Sistemas controladores GuardLogix 5570

Transcripción

1 Manual de referencia de seguridad Sistemas controladores GuardLogix 5570 Números de catálogo 1756-L71S, 1756-L72S, 1756-L73S, 1756-L73SXT, 1756-L7SP, 1756-L7SPXT, 1756-L72EROMS, Aplicaciones Studio 5000 Logix Designer Traducción de las instrucciones originales

2 Información importante para el usuario Antes de instalar, configurar, poner en funcionamiento o realizar el mantenimiento de este producto, lea este documento y los documentos listados en la sección Recursos adicionales acerca de la instalación, configuración, operación y mantenimiento de este equipo. Los usuarios deben familiarizarse con las instrucciones de instalación y cableado y con los requisitos de todos los códigos, leyes y estándares vigentes. El personal debidamente capacitado debe realizar las actividades relacionadas a la instalación, ajustes, puesta en servicio, uso, ensamblaje, desensamblaje y mantenimiento de conformidad con el código de práctica aplicable. Si este equipo se usa de una manera no especificada por el fabricante, la protección provista por el equipo puede resultar afectada. Bajo ninguna circunstancia Rockwell Automation, Inc. será responsable por daños indirectos o consecuentes, resultantes del uso o de la aplicación de estos equipos. Los ejemplos y los diagramas que aparecen en este manual se incluyen únicamente con fines ilustrativos. Debido a las muchas variables y a los muchos requisitos asociados con cada instalación en particular, Rockwell Automation, Inc. no puede asumir responsabilidad alguna por el uso real basado en ejemplos y diagramas. Rockwell Automation, Inc. no asume ninguna responsabilidad de patente con respecto al uso de información, circuitos, equipos o software descritos en este manual. Se prohíbe la reproducción total o parcial del contenido de este manual sin la autorización por escrito de Rockwell Automation, Inc. En este manual, cuando es necesario, usamos notas de seguridad para indicarle factores de seguridad. ADVERTENCIA: Identifica información acerca de prácticas o de circunstancias que pueden causar una explosión en un ambiente peligroso, lo que puede ocasionar lesiones o la muerte al personal, daños materiales o pérdidas económicas. ATENCIÓN: Identifica información acerca de prácticas o circunstancias que pueden ocasionar lesiones o la muerte al personal, daños materiales o pérdidas económicas. Los mensajes de Atención le ayudan a identificar los peligros y a reconocer las consecuencias. IMPORTANTE Identifica información esencial para usar el producto y comprender su funcionamiento. También puede haber etiquetas sobre o a los lados del equipo que proporcionan información sobre precauciones específicas. PELIGRO DE CHOQUE: Puede haber etiquetas en el exterior o en el interior del equipo (por ejemplo, en un variador o en un motor) para advertir sobre la posible presencia de voltaje peligroso. PELIGRO DE QUEMADURA: En el equipo o dentro del mismo puede haber etiquetas (por ejemplo, en un variador o en un motor) a fin de advertir sobre superficies que pueden alcanzar temperaturas peligrosas. PELIGRO DE ARCO ELÉCTRICO: Puede haber etiquetas sobre o a los lados del equipo, por ejemplo en un centro de control de motores, para alertar al personal respecto a un potencial arco eléctrico. Un arco eléctrico causará lesiones graves o la muerte. Use el equipo de protección personal (PPE) apropiado. Siga TODOS los requisitos normativos respecto a prácticas de trabajo seguras y respecto a equipo de protección personal (PPE). Allen-Bradley, Armor, ArmorBlock, ArmorGuard, CompactBlock, CompactLogix, ControlFLASH, ControlLogix, ControlLogix-XT, FLEX, Guard I/O, GuardLogix, GuardLogix-XT, Kinetix, Logix5000, POINT Guard I/O, Rockwell Automation, Rockwell Software, RSLogix, SLC, SmartGuard, Studio 5000, Studio 5000 Automation Engineering & Design Environment son marcas comerciales pertenecientes a Rockwell Automation, Inc. ControlNet, DeviceNet y EtherNet/IP son marcas comerciales de ODVA. Las marcas comerciales que no pertenecen a Rockwell Automation son propiedad de sus respectivas empresas.

3 Resumen de cambios Este manual contiene información nueva y actualizada. Información nueva y actualizada Esta tabla contiene los cambios hechos en esta revisión. Tema Se cambiaron las referencias al módulo de E/S de seguridad a dispositivo de E/S de seguridad, más genérico, según lo apropiado Se añadió el número de catálogo del Armor GuardLogix, 1756-L72EROMS, en la cubierta Se añadió información sobre los servovariadores Kinetix 5500 a la lista de componentes con certificación SIL-3 Se añadió el módulo 1756-EN2TRXT a la lista de módulos de interface de comunicación Se añadió una nota respecto a que el proyecto no verifica si existen combinaciones de direcciones de nodo Y SNN duplicados Se añadió una referencia al documento Kinetix 5500 Servo Drive User Manual para información sobre cómo usar comandos directos de movimiento en aplicaciones de seguridad Se añadieron datos de seguridad actualizados (IEC Edición 2, 2010) para los módulos Guard I/O Se añadieron datos de seguridad para los módulos 1734-IB8S, serie B y 1734-OB8S, serie B Se actualizaron los datos de probabilidad de fallo por hora para los módulos 1734-IE4S Página En todo el manual Cubierta Apéndice E Apéndice E Apéndice E Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

4 Resumen de cambios Notas: 4 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

5 Tabla de contenido Prefacio Entorno Studio Terminología Recursos adicionales Concepto de nivel de integridad de seguridad (SIL) Capítulo 1 Certificación SIL Pruebas de calidad Arquitectura GuardLogix para aplicaciones SIL Componentes del sistema GuardLogix Certificaciones de GuardLogix Especificaciones PFD y PFH de GuardLogix Distribución y peso de conformidad con el nivel de integridad de seguridad (SIL) Tiempo de reacción del sistema Tiempo de reacción de la tarea de seguridad Período de la tarea de seguridad y temporizador de vigilancia de tarea de seguridad Información de contacto si se produce un fallo en el dispositivo Capítulo 2 Sistema controlador GuardLogix Hardware del controlador GuardLogix Controlador primario Homólogo de seguridad Chasis Fuentes de alimentación eléctrica Protocolo CIP Safety Dispositivos de E/S de seguridad Puentes de comunicación Descripción general de la programación CIP Safety I/O para el sistema de control GuardLogix Capítulo 3 Descripción general Funciones de seguridad típicas de los dispositivos de CIP Safety I/O Diagnósticos Datos de estado Indicadores de estado Función de retardo a la conexión o a la desconexión Tiempo de reacción Consideraciones de seguridad en torno a los dispositivos de CIP Safety I/O Propiedad Firma de configuración de Safety I/O Reemplazo del dispositivo de Safety I/O Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

6 Tabla de contenido CIP Safety y número de red de seguridad Características de tags de seguridad, tarea de seguridad y programas de seguridad Desarrollo de la aplicación de seguridad Capítulo 4 Sistema de control CIP Safety encaminable Referencia única de nodo Número de red de seguridad Consideraciones para la asignación del número de red de seguridad (SNN) Número de red de seguridad (SNN) para tags de seguridad consumidos Número de red de seguridad (SNN) para dispositivos tal como vienen de fábrica Número de red de seguridad (SNN) para dispositivo de seguridad con un propietario de configuración diferente Número de red de seguridad (SNN) al copiar un proyecto de seguridad Capítulo 5 Diferenciar entre estándar y seguridad Aplicaciones de seguridad SIL Control de seguridad SIL 2 en la tarea de seguridad Control de seguridad SIL 2 en tareas estándar Seguridad SIL 3; la tarea de seguridad Limitaciones de la tarea de seguridad Detalles de ejecución de la tarea de seguridad Uso de interfaces máquina-operador Precauciones Cómo obtener acceso a sistemas relacionados con la seguridad Programas de seguridad Rutinas de seguridad Tags de seguridad Tags estándar en rutinas de seguridad (asignación de tags) Capítulo 6 Suposiciones sobre el concepto de seguridad Nociones básicas de desarrollo y prueba de aplicaciones Proceso para poner en servicio Especificación de la función de control Crear el proyecto Probar el programa de aplicación Generar la firma de tarea de seguridad Prueba de verificación de proyecto Confirmar el proyecto Validación de seguridad Bloquear el controlador GuardLogix Descarga del programa de aplicación de seguridad Carga del programa de aplicación de seguridad Edición en línea Almacenamiento y carga de un proyecto desde la memoria no volátil Forzar datos Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

7 Tabla de contenido Inhibir un dispositivo Editar la aplicación de seguridad Ediciones fuera de línea Ediciones en línea Modificación de la prueba de impacto Monitoreo de estado y manejo de fallos Capítulo 7 Monitoreo del estado del sistema Datos de CONNECTION_STATUS Diagnósticos de entrada y salida Estado de conexión de dispositivo de E/S Sistema de desenergizar para activar Instrucciones GSV (obtener valor del sistema) y SSV (establecer valor del sistema) Fallos del sistema GuardLogix Fallos no recuperables de controlador Fallos no recuperables de seguridad Fallos recuperables Apéndice A Instrucciones de seguridad Apéndice B Instrucciones Add-On de seguridad Crear y usar una instrucción Add-On de seguridad Crear un proyecto de prueba de instrucción Add-On Crear una instrucción Add-On de seguridad Generar una firma de instrucción Descargar y generar la firma de instrucción de seguridad Prueba de calificación de instrucción Add-On SIL Confirmar el proyecto Validar la seguridad de instrucciones Add-On Crear entrada de historial de firmas Exportar e importar la instrucción Add-On de seguridad Verificar firmas de instrucción Add-On de seguridad Probar el programa de aplicación Prueba de verificación del proyecto Validar la seguridad del proyecto Recursos adicionales Apéndice C Tiempos de reacción Tiempo de reacción del sistema Tiempo de reacción del sistema Logix Cadena sencilla de entrada-lógica-salida Cadena lógica que utiliza tags de seguridad producidos/ consumidos Factores que afectan los componentes del tiempo de reacción del sistema Logix Cómo obtener acceso a los valores de configuración de tiempo de retardo del módulo de entrada Guard I/O Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

8 Tabla de contenido Cómo obtener acceso al límite de tiempo de reacción de la conexión de seguridad de entrada y de salida Configuración del período de la tarea de seguridad y el temporizador de vigilancia Acceso a datos de tag producido/consumido Listas de verificación para aplicaciones de seguridad GuardLogix Datos de seguridad de sistemas GuardLogix Software RSLogix 5000, versión 14 y posteriores; instrucciones de aplicaciones de seguridad Uso de módulos 1794 FLEX I/O y entradas y salidas 1756 SIL 2 con controladores 1756 GuardLogix en cumplimiento de la normativa EN Apéndice D Listas de verificación para el sistema controlador GuardLogix Lista de verificación para entradas de seguridad Lista de verificación para salidas de seguridad Lista de verificación para el desarrollo de un programa de aplicación de seguridad Apéndice E Valores de probabilidad de fallo a demanda (PFD) Valores de probabilidad de fallo por hora (PFH) Apéndice F Sistema de desenergizar para activar Use los datos de estado de conexión para iniciar un fallo como parte de la programación Apéndice G Entradas de doble canal SIL 2 (lado estándar de los controladores GuardLogix) Salidas SIL 2 usando los módulos de salida Guard I/O SIL Salidas SIL 2 usando módulos de salida 1756 o 1794 SIL Funciones de seguridad dentro de la tarea de seguridad 1756 GuardLogix Glosario Índice 8 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

9 Prefacio Tema Página Entorno Studio Terminología 10 Recursos adicionales 10 Este manual tiene el propósito de describir el sistema controlador GuardLogix 5570, que es de un tipo-aprobado y está certificado para uso en aplicaciones de seguridad hasta el nivel SIL CL 3 según IEC e IEC 62061, y aplicaciones de seguridad hasta el nivel de rendimiento (Categoría 4) según ISO Use este manual si usted es responsable del desarrollo, de la operación o del mantenimiento de un sistema de seguridad basado en un controlador GuardLogix 5570 que utiliza la aplicación Studio 5000 Logix Designer, versión o posterior. Es necesario que lea y comprenda los conceptos y los requisitos de seguridad presentados en este manual, antes de operar un sistema de seguridad basado en un controlador GuardLogix Para obtener información sobre los requisitos de seguridad relacionados a los controladores GuardLogix 5570 en proyectos RSLogix 5000 consulte el documento GuardLogix Controllers Safety Reference Manual, publicación 1756-RM093. Entorno Studio 5000 El sistema Studio 5000 Automation Engineering and Design Environment combina los elementos de ingeniería y diseño en un entorno común. El primer elemento en el entorno Studio 5000 es la aplicación Logix Designer. La aplicación Logix Designer es la redefinición del software RSLogix 5000 y continúa siendo el producto para programar los controladores Logix5000 para las soluciones basadas en control discreto, de proceso, de lote, de movimiento, de seguridad y de variador. El entorno Studio 5000 es la base para las futuras herramientas y capacidades de diseño de ingeniería de Rockwell Automation. Es el lugar para que los ingenieros de diseño desarrollen todos los elementos de su sistema de control. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

10 Prefacio Terminología En la tabla siguiente se definen los términos utilizados en este manual. Tabla 1 Términos y definiciones Abreviatura Significado Definición 1oo2 Uno de dos Identifica la arquitectura del controlador electrónico programable. CIP Protocolo industrial común Un protocolo de comunicación industrial usado por los sistemas de automatización basados en Logix5000 en las redes de comunicación Ethernet/IP, ControlNet y DeviceNet. CIP Safety Protocolo industrial común Certificado de Versión de CIP con clasificación SIL 3. seguridad DC Cobertura de diagnóstico Relación entre la tasa de fallos detectada y la tasa total de fallos. EN Normativa europea Norma oficial europea GSV Obtener valor del sistema Instrucción de lógica de escalera que obtiene información especificada sobre el estado del controlador y la pone en un tag de destino. PC Computadora personal Computadora utilizada para servir de interface y controlar un sistema basado en Logix mediante el entorno Studio PFD Probabilidad de fallo a demanda Probabilidad promedio de que un sistema falle al realizar bajo demanda la función para la que está diseñado. PFH Probabilidad de fallo por hora Probabilidad de un sistema de experimentar un fallo peligroso por hora. PL Nivel de rendimiento Clasificación de seguridad ISO SNN Número de red de seguridad Número único que identifica una sección de una red de seguridad. SSV Establecer valor del sistema Instrucción de lógica de escalera que define los datos del sistema controlador. -- Estándar Cualquier objeto, tarea, tag, programa o componente del proyecto que no está relacionado con la seguridad (por ej., un controlador estándar se refiere de manera genérica a un controlador ControlLogix o CompactLogix ). Recursos adicionales Estos documentos incluyen más información sobre productos de Rockwell Automation relacionados. Recurso GuardLogix 5570 Controllers User Manual, publicación 1756-UM022 Descripción Proporciona información acerca de cómo instalar, configurar, programar y usar controladores GuardLogix 5570 en proyectos Studio 5000 Logix Designer GuardLogix Safety Application Instruction Set Reference Manual, Proporciona información acerca del conjunto de instrucciones de aplicaciones de seguridad GuardLogix. publicación 1756-RM095 Guard I/O DeviceNet Safety Modules User Manual, Proporciona información sobre cómo usar los módulos Guard I/O DeviceNet Safety publicación 1791DS-UM001 Guard I/O EtherNet/IP Safety Modules User Manual, Proporciona información sobre cómo usar los módulos Guard I/O EtherNet/IP Safety publicación 1791ES-UM001 POINT Guard I/O Safety Modules User Manual, publicación 1734-UM013 Proporciona información sobre cómo instalar y usar los módulos POINT Guard I/O Kinetix 5500 Servo Drives User Manual, publicación 2198-UM001 Proporciona información sobre cómo instalar y usar los servovariadores Kinetix 5500 Using ControlLogix in SIL 2 Applications Safety Reference Manual, publicación 1756-RM001 Logix5000 General Instruction Set Reference Manual, publicación 1756-RM003 Logix Common Procedures Programming Manual, publicación 1756-PM001 Logix5000 Controllers Add-On Instructions Programming Manual, publicación 1756-PM010 ControlLogix System User Manual, publicación 1756-UM001 DeviceNet Modules in Logix5000 Control Systems User Manual, publicación DNET-UM004 EtherNet/IP Modules in Logix5000 Control Systems User Manual, publicación ENET-UM001 Describe los requisitos para usar los controladores ControlLogix y la tarea estándar GuardLogix en aplicaciones de control de seguridad SIL 2 Proporciona información acerca del conjunto de instrucciones de Logix5000. Proporciona información sobre cómo programar los controladores Logix5000, inclusive cómo administrar los archivos del proyecto, organizar tags, programar y probar rutinas y manejar fallos Proporciona información sobre cómo crear y usar instrucciones Add-On estándar y de seguridad en aplicaciones Logix Proporciona información sobre cómo usar los controladores ControlLogix en aplicaciones que no son de seguridad Proporciona información sobre cómo usar el módulo 1756-DNB en un sistema de control Logix5000 Proporciona información sobre cómo usar el módulo 1756-ENBT en un sistema de control Logix Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

11 Prefacio Recurso ControlNet Modules in Logix5000 Control Systems User Manual, publicación CNET-UM001 Logix5000 Controllers Execution Time and Memory Use Reference Manual, publicación 1756-RM087 Logix Import Export Reference Manual, publicación 1756-RM084 Pautas de cableado y conexión a tierra de equipos de automatización industrial, publicación Sitio web de certificaciones de productos, Descripción Proporciona información sobre cómo usar el módulo 1756-CNB en sistemas de control Logix5000 Proporciona información sobre cómo calcular el tiempo de ejecución y el uso de memoria para las instrucciones Proporciona información sobre cómo usar la utilidad de importación/exportación de Logix Designer Proporciona pautas generales para instalar un sistema industrial de Rockwell Automation. Presenta declaraciones de conformidad, certificados y otros detalles de certificación. Puede ver o descargar publicaciones en Para solicitar copias impresas de la documentación técnica, comuníquese con su distribuidor regional de Allen-Bradley o con el o representante de ventas de Rockwell Automation. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

12 Prefacio Notas: 12 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

13 Capítulo 1 Concepto de nivel de integridad de seguridad (SIL) Tema Página Certificación SIL 3 13 Pruebas de calidad 14 Arquitectura GuardLogix para aplicaciones SIL 3 15 Componentes del sistema GuardLogix 16 Certificaciones de GuardLogix 18 Especificaciones PFD y PFH de GuardLogix 18 Distribución y peso de conformidad con el nivel de integridad de seguridad (SIL) 19 Tiempo de reacción del sistema 19 Período de la tarea de seguridad y temporizador de vigilancia de tarea de seguridad 20 Información de contacto si se produce un fallo en el dispositivo 20 Certificación SIL 3 Los sistemas de controlador GuardLogix 5570 cuentan con aprobación de tipo y están certificados para ser usados en aplicaciones de seguridad hasta el nivel SIL CL3 según IEC e IEC 62061, y aplicaciones de seguridad hasta el nivel de rendimiento PLe (Categoría 4) según ISO Los requisitos de nivel de integridad de seguridad (SIL) se basan en las normas vigentes al momento de la certificación. IMPORTANTE Cuando el controlador GuardLogix está en modo de marcha Run o de programación Program y el programa de aplicación no ha sido validado, usted es responsable de mantener las condiciones de seguridad. Además, las tareas estándar dentro de los controladores GuardLogix se pueden utilizar ya sea para aplicaciones estándar o para aplicaciones de seguridad SIL 2, tal como se describe en el documento Using ControlLogix in SIL 2 Applications Reference Manual, publicación 1756-RM001. En cualquier caso, no se debe utilizar SIL 2 ni tareas ni variables estándar para implementar lazos de seguridad de un nivel superior. La tarea de seguridad es la única tarea certificada para aplicaciones SIL 3. Use la aplicación Studio 5000 Logix Designer para crear programas para los controladores GuardLogix Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

14 Capítulo 1 Concepto de nivel de integridad de seguridad (SIL) TÜV Rheinland ha aprobado los sistemas de controlador GuardLogix 5570 para uso en aplicaciones relacionadas con la seguridad hasta SIL CL 3, en las que el estado desenergizado se considera el estado de seguridad. Todos los ejemplos relacionados con E/S que se incluyen en este manual se basan en conseguir la desenergización como estado seguro en sistemas típicos de parada de emergencia (ESD) y de seguridad de máquinas. IMPORTANTE Como el usuario del sistema, usted es responsable de lo siguiente: configuración, clasificación SIL y validación de los sensores o accionadores conectados al sistema GuardLogix administración del proyecto y pruebas de funcionamiento control de acceso al sistema de seguridad, incluido el manejo de contraseñas programación de la aplicación y configuraciones de dispositivos, según la información presentada en este manual de referencia de seguridad y en el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022. Al aplicar la seguridad funcional, restrinja el acceso solo a personal calificado y autorizado que cuente con la debida capacitación y experiencia. La función de bloqueo de seguridad, con contraseñas, se proporciona en la aplicación Logix Designer. Para obtener información sobre cómo usar la función de bloqueo de seguridad consulte el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022. Pruebas de calidad La norma IEC estipula que usted debe realizar varias pruebas de calidad del equipo que se usa en el sistema. Las pruebas de calidad se realizan en momentos definidos por el usuario. Por ejemplo, los intervalos de pruebas de calidad pueden ser una vez al año, una vez cada 15 años o cualquier otro intervalo adecuado. Los controladores GuardLogix 5570 tienen un intervalo de pruebas de calidad de hasta 20 años. Otros componentes del sistema, como dispositivos de E/S de seguridad, sensores y accionadores, pueden tener intervalos más cortos de pruebas de calidad. Incluya el controlador en las pruebas de verificación de funcionalidad del resto de los componentes en el sistema de seguridad. IMPORTANTE El intervalo para las pruebas de calidad se determina según su aplicación específica. No obstante, esto está principalmente relacionado con los dispositivos de E/S de seguridad y con la instrumentación de campo. 14 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

15 DeviceNet Concepto de nivel de integridad de seguridad (SIL) Capítulo 1 Arquitectura GuardLogix para aplicaciones SIL 3 La siguiente ilustración muestra una función SIL típica que incluye lo siguiente: Función general de seguridad Porción de GuardLogix de la función general de seguridad Cómo están conectados otros dispositivos (por ejemplo, HMI), mientras operan fuera de la función A la red Ethernet a nivel de toda la planta Software de programación Figura 1 Función SIL típica HMI Acceso de solo lectura a los tags de seguridad Switch Función general de seguridad Sistema GuardLogix SIL 3 Módulo de E/S CIP Safety 1756-L7xS 1756-L7SP 1756-EN2T 1756-DNB Accionador Sensor Red DeviceNet Safety Módulo de E/S CIP Safety en red Ethernet Módulo de E/S CIP Safety Accionador Sensor CIP Safety Módulo de E/S CIP Safety en red Ethernet Controlador Compact GuardLogix con módulo 1768-ENBT Accionador Sensor Sistema Compact GuardLogix SIL 3 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

16 Capítulo 1 Concepto de nivel de integridad de seguridad (SIL) Componentes del sistema GuardLogix Las tablas en esta sección listan los componentes GuardLogix con certificación SIL 3 y los componentes sin certificación SIL 3 que pueden usarse con sistemas GuardLogix SIL 3. Tabla 2 Componentes GuardLogix con certificación SIL 3 Tipo de dispositivo N. de cat. Descripción Controlador primario 1756 GuardLogix (ControlLogix5570S) Homólogo de seguridad 1756 GuardLogix (ControlLogix557SP) Controlador primario 1756 GuardLogix (ControlLogix5560S) (1) Homólogo de seguridad 1756 GuardLogix (ControlLogix55SP) (1) Controlador 1768 Compact GuardLogix (CompactLogix4xS) (2) Módulos de E/S CIP Safety en redes DeviceNet Módulos de E/S CIP Safety en redes EtherNet/IP 1756-L71S 1756-L72S 1756-L73S 1756-L73SXT 1756-L7SP 1756-L7SPXT 1756-L61S 1756-L62S 1756-L63S 1756-LSP Para obtener la lista más actualizada de series y versiones de firmware certificadas de controladores GuardLogix y dispositivos de E/S CIP Safety, visite Hay versiones de firmware disponibles en /. Controlador con memoria estándar de 2 MB, memoria de seguridad de 1 MB Controlador con memoria estándar de 4 MB, memoria de seguridad de 2 MB Controlador con memoria estándar de 8 MB, memoria de seguridad de 4 MB Controlador (XT) con memoria estándar de 8 MB, memoria de seguridad de 4 MB Homólogo de seguridad Homólogo de seguridad (XT) Controlador con memoria estándar de 2 MB, memoria de seguridad de 1 MB Controlador con memoria estándar de 4 MB, memoria de seguridad de 1 MB Controlador con memoria estándar de 8 MB, memoria de seguridad de 3.75 MB Homólogo de seguridad Instrucciones de instalación Documentación relacionada (3) Manual del usuario Con entorno Studio 5000, versión 21 o N/D (4) posterior: 1756-UM022 Con el software RSLogix 5000, versión 20 y anteriores: 1756-UM020 N/D (4) 1756-UM L43S Controlador con cabida para dos módulos 1768 N/D (4) 1768-UM L45S Controlador con cabida para cuatro módulos 1768 Para obtener la lista más actualizada de series y versiones de firmware certificadas vea el certificado de seguridad en DS-IN DS-IN DS-IN ES-IN DS-UM ES-UM001 Módulos POINT Guard I/O N/D (4) 1734-UM013 Servovariadores Kinetix 5500 (números de catálogo que terminan en -ERS2) Para obtener la lista más actualizada de series y versiones de firmware certificadas vea el certificado de seguridad en IN UM001 (1) Certificado para uso con el software RSLogix 5000, versión 14 y versión 16 y posteriores. (2) Certificado para uso con el software RSLogix 5000, versión 18 y posteriores. (3) Estas publicaciones están disponibles en el sitio web de Rockwell Automation en (4) Consulte el manual del usuario para obtener instrucciones de instalación. 16 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

17 Concepto de nivel de integridad de seguridad (SIL) Capítulo 1 Tabla 3 Componentes adecuados para uso con sistemas de seguridad de controladores 1756 GuardLogix Tipo de dispositivo N. de cat. Descripción Chasis Fuente de alimentación eléctrica Módulos de comunicación Software de programación Tarjetas de memoria 1756-A A A A A A4LXT 1756-A5XT 1756-A7XT 1756-A7LXT Chasis de 4 ranuras Chasis de 7 ranuras Chasis de 10 ranuras Chasis de 13 ranuras Chasis de 17 ranuras Chasis XT de 4 ranuras Chasis XT de 5 ranuras Chasis XT de 7 ranuras Chasis XT de 7 ranuras 1756-PA72 Fuente de alimentación eléctrica, CA C 1756-PB72 Fuente de alimentación eléctrica, CC C 1756-PA75 Fuente de alimentación eléctrica, CA B 1756-PB75 Fuente de alimentación eléctrica, CC B 1756-PAXT Fuente de alimentación eléctrica XT, CA B 1756-PBXT Fuente de alimentación eléctrica XT, CC B 1756-ENBT 1756-EN2T 1756-EN2F 1756-EN2TR 1756-EN3TR 1756-EN2TXT 1756-EN2TRXT Puente EtherNet/IP Serie (1) Revisión (1) Instrucciones de instalación B B A AA C B N/D N/D Documentación relacionada (3) 1756-IN005 N/D N/D 1756-IN005 N/D Puente XT EtherNet/IP (cobre) C C Manual del usuario ENET-IN002 ENET-UM AENT Adaptador POINT I/O Ethernet A IN UM DNB Puente DeviceNet A DNET-IN001 DNET-UM CN2 Puente ControlNet A CN2R Puente ControlNet, medio físico redundante A CNET-IN005 CNET-UM CN2RXT Puente ControlNet XT, medio físico redundante B Software de programación RSLogix 5000 para controladores 14 (2) 9324-xxxx GuardLogix 5560 N/D N/D Consulte la ayuda Software RSLogix 5000 para controladores GuardLogix 5570 (XT) 20 en línea xxxx Entorno Studio 5000 para controladores GuardLogix 5570 (XT) CF SD SD2 Tarjeta CompactFlash de 128 MB para controladores GuardLogix 5560 Tarjeta Secure Digital (SD) de 1 GB para controladores GuardLogix 5570 Tarjeta Secure Digital (SD) de 2 GB para controladores GuardLogix 5570 (1) Esta versión o posterior. (2) El software RSLogix 5000, versión 15, no es compatible con los controladores de seguridad GuardLogix. (3) Estas publicaciones están disponibles en el sitio web de Rockwell Automation en N/D N/D N/D N/D Puede llenar las ranuras del chasis de un sistema SIL 3 que no utiliza el sistema GuardLogix SIL 3 con otros módulos ControlLogix (1756) certificados de acuerdo a las directivas de bajo voltaje y de compatibilidad electromagnética (EMC). IMPORTANTE Los componentes del sistema ControlLogix-XT están clasificados para condiciones ambientales extremas solo cuando se usan correctamente con otros componentes del sistema Logix-XT. El uso de componentes ControlLogix-XT con componentes de sistemas tradicionales ControlLogix o GuardLogix anula las clasificaciones para condiciones extremas. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

18 Logix5562S Logix55LSP DeviceNet EtherNet Capítulo 1 Concepto de nivel de integridad de seguridad (SIL) Para encontrar los certificados para la familia de productos de control programable ControlLogix visite Certificaciones de GuardLogix El documento ControlLogix Controllers Technical Data, publicación 1756-TD001, lista las especificaciones de productos y las certificaciones para las cuales los productos están aprobados. Si un producto ha sido certificado, su etiqueta incluye el distintivo correspondiente. Para obtener información sobre declaraciones de conformidad, certificados y otros detalles de certificación vaya al vínculo Product Certification en Especificaciones PFD y PFH de GuardLogix Los sistemas relacionados con la seguridad pueden clasificarse en cuanto a su operación en sistemas que funcionan en modo de baja demanda y en sistemas que funcionan en modo de alta demanda o en modo continuo. IEC cuantifica esta clasificación al establecer que la frecuencia de demandas de operación del sistema de seguridad no sea superior a una vez al año en el modo de baja demanda, ni superior a una vez al año en el modo de alta demanda o en el modo continuo. El valor de nivel de integridad de seguridad (SIL) para un sistema relacionado con la seguridad de baja demanda está directamente relacionado con los rangos de orden de magnitud de su probabilidad media de fallos para realizar satisfactoriamente su función de seguridad a demanda o, sencillamente, la probabilidad de fallo a demanda (PFD). El valor SIL de un sistema de seguridad en modo de alta demanda/continuo está directamente relacionado con la probabilidad de que ocurra un fallo peligroso por hora (PFH). Los valores PFD y PFH están asociados con cada uno de los tres elementos primarios que conforman un sistema relacionado con la seguridad (sensores, elementos lógicos y accionadores). Dentro de los elementos lógicos también hay elementos de entrada, procesadores y de salida. Para obtener los valores PFD y PFH y los intervalos de pruebas de calidad de los módulos Guard I/O, consulte el Apéndice E, Datos de seguridad de sistemas GuardLogix. 1791DS-IB12 Figura 2 Ejemplo de PFH Sensor Controlador GuardLogix LAZO DS-IB4XOX4 Accionador Sensor LAZO 2 Accionador Sensor 1791DS-IB8XOB8 18 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

19 Concepto de nivel de integridad de seguridad (SIL) Capítulo 1 Para determinar el elemento lógico PFH de cada lazo de seguridad en el sencillo sistema mostrado en el ejemplo de PFH, sume los valores de PFH de cada componente del lazo. La tabla Ecuaciones de PFH por lazo de seguridad presenta un ejemplo simplificado de cálculos del valor PFH para cada lazo de seguridad mostrado en la ilustración del ejemplo de PFH. Tabla 4 Ecuaciones de PFH por lazo de seguridad En este lazo PFH total en el lazo 1 = PFH total en el lazo 2 = Sume los valores PFH de estos componentes 1791DS-IB12 + controlador GuardLogix DS-IB4XOX4 1791DS-IB8XOB8 + controlador GuardLogix DS-IB4XOX4 Al calcular los valores de PFH se deben tener en cuenta los requisitos específicos de su aplicación, incluidos los intervalos de prueba. Distribución y peso de conformidad con el nivel de integridad de seguridad (SIL) Se puede suponer conservadoramente que el controlador GuardLogix y el sistema de E/S representan un 10% de la carga de confiabilidad. Es posible que un sistema SIL 3 deba incorporar varias entradas para sensores críticos y dispositivos de entrada críticos, así como salidas dobles conectadas en serie a accionadores dobles, de acuerdo a las evaluaciones SIL del sistema relacionado con la seguridad. Figura 3 Carga de confiabilidad 10% de la PFD +V 40% de la PFD Sensor Módulo de entrada Controlador Módulo de salida Accionador Sensor Accionador 50% de la PFD Tiempo de reacción del sistema El tiempo de reacción del sistema es el tiempo transcurrido desde que ocurre un evento de seguridad, como una entrada al sistema, hasta que el sistema establece las salidas correspondientes a su estado seguro. Los fallos dentro del sistema también pueden afectar el tiempo de reacción del sistema. El tiempo de reacción del sistema es la suma de los siguientes tiempos de reacción: Tiempo de reacción de sensor Tiempo de Tiempo de Tiempo de + reacción de + reacción de la + reacción de + entrada tarea de seguridad salida Tiempo de reacción de accionador Cada uno de los tiempos de reacción varía debido a factores como, por ejemplo, el tipo de dispositivo de E/S y las instrucciones utilizadas en el programa. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

20 Capítulo 1 Concepto de nivel de integridad de seguridad (SIL) Tiempo de reacción de la tarea de seguridad El tiempo de reacción de la tarea de seguridad es el mayor retardo que puede producirse entre el momento en que se presenta cualquier cambio a la entrada del controlador y el momento en que la salida procesada queda establecida por el productor de salida. Es menor o igual que la suma del período de la tarea de seguridad y del temporizador de vigilancia de tarea de seguridad. Período de la tarea de seguridad y temporizador de vigilancia de tarea de seguridad El período de tarea de seguridad es el intervalo en que se ejecuta la tarea de seguridad. El tiempo del temporizador de vigilancia de tarea de seguridad es el máximo tiempo permisible para el procesamiento de la tarea de seguridad. Si el tiempo de procesamiento de la tarea de seguridad supera el tiempo del temporizador de vigilancia de tarea de seguridad, se presenta un fallo de seguridad no recuperable en el controlador y las salidas cambian automáticamente al estado seguro (desconectado). Usted define el tiempo del temporizador de vigilancia de tarea de seguridad, que debe ser menor o igual al período de la tarea de seguridad. El tiempo del temporizador de vigilancia de tarea de seguridad se establece en la ventana de propiedades de tareas de la aplicación Logix Designer. Este valor puede ser modificado en línea, independientemente del modo en que se encuentre el controlador, pero no se puede cambiar cuando el controlador esté en bloqueo de seguridad o una vez que se haya creado una firma de tarea de seguridad. Información de contacto si se produce un fallo en el dispositivo Si experimenta un fallo en algún dispositivo con certificación SIL 3, comuníquese con su distribuidor local de Allen-Bradley para iniciar las siguientes acciones: Puede devolver el dispositivo a Rockwell Automation para que el fallo quede registrado adecuadamente para el número de catálogo afectado y se guarde un informe del fallo. Puede solicitar un análisis del fallo (en caso necesario) para intentar determinar el motivo del fallo. 20 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

21 Capítulo 2 Sistema controlador GuardLogix Tema Página Hardware del controlador GuardLogix Protocolo CIP Safety 22 Dispositivos de E/S de seguridad 23 Puentes de comunicación 23 Descripción general de la programación 25 Para consultar una breve lista de los componentes adecuados para usar en aplicaciones con nivel de integridad de seguridad (SIL 3) vea la tabla en la página 16. Para obtener información más detallada y actualizada visite Al instalar un controlador GuardLogix 5570 siga la información descrita en el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022. Hardware del controlador GuardLogix 5570 El controlador GuardLogix consta de un controlador primario (ControlLogix 557xS) y de un homólogo de seguridad (ControlLogix 557SP). Estos dos módulos funcionan en una arquitectura 1oo2 para crear el controlador compatible con SIL 3. Dichos módulos se describen en las siguientes secciones. Tanto el controlador primario como el homólogo de seguridad realizan pruebas diagnósticas funcionales, tanto al momento del encendido como durante la ejecución, de todos los componentes del controlador relacionados con la seguridad. Para obtener detalles acerca de la operación de los indicadores de estado consulte el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022. IMPORTANTE Los indicadores de estado no son indicadores confiables de las funciones de seguridad. Deben utilizarse solo para realizar diagnósticos generales al poner en servicio o al resolver problemas. No intente utilizar los indicadores de estado para determinar el estado de operación. Para obtener una lista de los números de catálogo de los controladores de seguridad GuardLogix vea la Tabla 2 en la página 16. Para obtener una lista de los componentes ControlLogix estándar apropiados para aplicaciones de seguridad vea la Tabla 3 en la página 17. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

22 Capítulo 2 Sistema controlador GuardLogix Controlador primario El controlador primario es el procesador que realiza funciones estándar y de control de seguridad, y que se comunica con el homólogo de seguridad para las funciones relacionadas con la seguridad del sistema de control GuardLogix. El controlador primario consta de un procesador central, la interface de E/S y la memoria. Homólogo de seguridad Para satisfacer los requisitos SIL 3 es necesario instalar un homólogo de seguridad en la ranura que se encuentra justo a la derecha del controlador primario. El homólogo de seguridad es un coprocesador que proporciona redundancia para las funciones relacionadas con la seguridad del sistema. El controlador primario configura el homólogo de seguridad. Solo es necesaria una sola descarga del programa de usuario al controlador primario. El modo de operación del homólogo de seguridad se controla mediante el controlador primario. Chasis El chasis proporciona las conexiones físicas entre los módulos y el sistema 1756 GuardLogix. Cualquier fallo, aunque improbable, sería detectado como fallo por uno o más de los componentes activos del sistema. Por tanto, el chasis es irrelevante para el análisis de seguridad. Los controladores GuardLogix-XT usan un chasis ControlLogix-XT para alcanzar la clasificación de ambientes difíciles. Fuentes de alimentación eléctrica No es necesario contar con configuraciones ni con cableados adicionales para la operación SIL 3 de las fuentes de alimentación eléctrica ControlLogix. Cualquier fallo sería detectado como tal por uno o más de los componentes activos del sistema GuardLogix. Por lo tanto, la fuente de alimentación eléctrica es irrelevante para el análisis de seguridad. Los controladores GuardLogix-XT usan una fuente de alimentación eléctrica ControlLogix-XT para alcanzar la clasificación de ambientes difíciles. Protocolo CIP Safety La comunicación relacionada con la seguridad entre controladores GuardLogix tiene lugar a través de los tags de seguridad producidos y consumidos. Estos tags de seguridad utilizan el protocolo CIP Safety, que está diseñado para conservar la integridad de los datos durante las comunicaciones. 22 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

23 Sistema controlador GuardLogix Capítulo 2 Para obtener más información acerca de los tags de seguridad consulte el Capítulo 5, Características de tags de seguridad, tarea de seguridad y programas de seguridad. Dispositivos de E/S de seguridad Para obtener información acerca de los dispositivos de E/S CIP Safety para uso con los controladores GuardLogix consulte el Capítulo 3. Puentes de comunicación La Tabla 5 lista los módulos de interface de comunicación que están disponibles para facilitar la comunicación mediante redes Ethernet/IP, DeviceNet y ControlNet mediante el protocolo CIP Safety. Tabla 5 Módulos de interface de comunicación por sistema Sistema GuardLogix Módulos de comunicación 1756 Puente 1756-ENBT, 1756-EN2T(R), 1756-EN2F o 1756-EN3TR EtherNet/IP Adaptador 1734-AENT POINT I/O Ethernet Puente 1756-DNB DeviceNet Puente 1756-CN2 ControlNet Puente 1756-CN2R redundante ControlNet XT Puente 1756-EN2TXT, 1756-EN2TRXT EtherNet/IP XT (cobre) Puente 1756-CN2RXT redundante XT ControlNet ENBT Adaptador 1734-AENT POINT I/O Ethernet 1768-CNB 1768-CNBR IMPORTANTE Debido al diseño del sistema de control CIP Safety, los dispositivos de puente de seguridad CIP como los puentes listados en la tabla no necesitan tener la certificación SIL 3. Red EtherNet/IP La comunicación de seguridad de igual a igual entre controladores GuardLogix es posible a través de la red EtherNet/IP mediante el uso de puente EtherNet/IP. Un puente EtherNet/IP permite que el controlador GuardLogix controle e intercambie datos de seguridad con dispositivos de E/S CIP Safety en una red EtherNet/IP. Figura 4 Comunicación de igual a igual mediante puente EtherNet/IP y la red EtherNet/IP Switch Ethernet Red EtherNet/IP Red EtherNet/IP 1756-PB EN2T 1756-L73S 1756-L7SP Controlador A Módulo de E/S CIP Safety Módulo de E/S CIP Safety Módulo de E/S CIP Safety Módulo de E/S CIP Safety 1756-L72S 1756-L7SP 1756-DNB 1756-EN2T Red DeviceNet Controlador B Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

24 Capítulo 2 Sistema controlador GuardLogix SUGERENCIA La comunicación de seguridad de igual a igual entre dos controladores GuardLogix en el mismo chasis también es posible a través del backplane. Backplane Red DeviceNet Safety El puente DeviceNet le permite al controlador GuardLogix controlar e intercambiar datos de seguridad con módulos de E/S CIP Safety en una red DeviceNet. Figura 5 Comunicación mediante u puente DeviceNet 1756-L72S 1756-L7SP 1756-DNB 1756-L72S 1756-L7SP 1756-L72S 1756-L7SP Red DeviceNet Módulo de E/S CIP Safety Módulo de E/S CIP Safety Red ControlNet Los puentes ControlNet le permiten al controlador GuardLogix producir y consumir tags de seguridad mediante redes ControlNet a otros controladores GuardLogix o redes de E/S CIP Safety remotas. Figura 6 Comunicación mediante un puente ControlNet Red ControlNet Controlador A 1756-PB CN L73S 1756-L7SP 1756-OB IB DNB 1756-CN2 Controlador B Módulo de E/S CIP Safety Módulo de E/S CIP Safety Red DeviceNet 24 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

25 Sistema controlador GuardLogix Capítulo 2 Descripción general de la programación Programe los controladores GuardLogix 5570 mediante la aplicación Studio 5000 Logix Designer. Use la aplicación Logix Designer para definir la ubicación, la propiedad y la configuración de los dispositivos de E/S y controladores, así como para crear, probar y depurar la lógica del programa. Solo la lógica de escalera de relés es compatible con la tarea de seguridad GuardLogix. Consulte el Apéndice A para obtener información acerca del conjunto de instrucciones lógicas disponibles para proyectos de seguridad. El personal autorizado puede cambiar un programa de seguridad, pero solo si utiliza uno de los procesos descritos en Editar la aplicación de seguridad en la página 59. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

26 Capítulo 2 Sistema controlador GuardLogix Notas: 26 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

27 Capítulo 3 CIP Safety I/O para el sistema de control GuardLogix Tema Página Descripción general 27 Funciones de seguridad típicas de los dispositivos de CIP Safety I/O 27 Tiempo de reacción 28 Consideraciones de seguridad en torno a los dispositivos de CIP Safety I/O 29 Descripción general Antes de poner a funcionar un sistema de seguridad GuardLogix 5570 que contiene dispositivos CIP Safety I/O, usted debe leer, entender y seguir la información de instalación, operación y seguridad proporcionada en las publicaciones listadas en las tablas de Componentes GuardLogix con certificación SIL 3 en la página 16. Los dispositivos de CIP Safety I/O se pueden conectar a dispositivos de entrada y salida de seguridad, como sensores y accionadores que permiten a estos dispositivos ser monitoreados y controlados por el controlador GuardLogix. En el caso de datos de seguridad, las comunicaciones de E/S se realizan mediante conexiones de seguridad utilizando el protocolo CIP Safety; la lógica de seguridad se procesa en el controlador GuardLogix. Funciones de seguridad típicas de los dispositivos de CIP Safety I/O Los dispositivos de CIP Safety I/O tratan lo siguiente como estado seguro: Salidas de seguridad: Desactivadas Datos de entrada de seguridad al controlador: Desactivados Red CIP Safety Estado de seguridad Salida de seguridad, desactivada Datos de entrada de seguridad Los dispositivos de CIP Safety I/O deben utilizarse para aplicaciones que estén en estado seguro cuando se desactive la salida de seguridad. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

28 Capítulo 3 CIP Safety I/O para el sistema de control GuardLogix Diagnósticos Los dispositivos de CIP Safety I/O realizan autodiagnósticos cuando se conecta la alimentación eléctrica y periódicamente durante la operación. Si se detecta un fallo de diagnóstico, los datos de entrada de seguridad (al controlador) y las salidas de seguridad locales se establecen en su estado seguro (desactivado). Datos de estado Además de los datos de entrada y de salida de seguridad, los dispositivos de CIP Safety I/O aceptan datos de estado para monitorear el buen estado de los circuitos de E/S y del dispositivo. Consulte la documentación de su dispositivo para obtener información sobre las capacidades del producto especifico. Indicadores de estado Los dispositivos de CIP Safety I/O incluyen indicadores de estado. Para obtener información detallada acerca de la operación de los indicadores de estado, consulte la documentación del producto relacionada con el dispositivo específico. Función de retardo a la conexión o a la desconexión Algunos dispositivos de CIP Safety I/O admiten funciones de retardo a la conexión y a la desconexión para las señales de entrada. De acuerdo a la aplicación es posible que usted deba incluir retardo a la desconexión, retardo a la conexión, o ambos, al calcular el tiempo de reacción del sistema. Consulte el Apéndice C para obtener información acerca del tiempo de reacción del sistema. Tiempo de reacción El tiempo de reacción de entrada es el tiempo que transcurre desde que la señal cambia en un terminal de entrada hasta que se envían datos de seguridad al controlador GuardLogix. El tiempo de reacción de salida es el tiempo que transcurre desde que se reciben datos de seguridad del controlador GuardLogix hasta que el terminal de salida cambia de estado. Para obtener información acerca de cómo determinar los tiempos de reacción de entrada y de salida, consulte la documentación del producto relacionada con el dispositivo de CIP Safety I/O específico. Consulte el Apéndice C para obtener información acerca de cómo calcular el tiempo de reacción del sistema. 28 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

29 CIP Safety I/O para el sistema de control GuardLogix Capítulo 3 Consideraciones de seguridad en torno a los dispositivos de CIP Safety I/O Debe poner en servicio todos los dispositivos con dirección de nodo o dirección IP y velocidad de comunicación, de ser necesario, antes de instalarlos en una red de seguridad. Propiedad Cada dispositivo de CIP Safety I/O en un sistema GuardLogix es propiedad de un controlador GuardLogix. Es posible usar múltiples controladores GuardLogix y múltiples dispositivos de CIP Safety I/O sin restricciones en chasis o en redes, según sea necesario. Cuando un controlador posee un dispositivo de E/S, almacena los datos de configuración del dispositivo, tal y como los define el usuario. Esta configuración controla la forma en que operan los dispositivos en el sistema. Desde el punto de vista de control, los dispositivos de salida de seguridad pueden ser controlados solamente por un controlador. Cada dispositivo de entrada de seguridad es posesión de un solo controlador; sin embargo, los datos de entrada de seguridad pueden ser compartidos (consumidos) por múltiples controladores GuardLogix. Firma de configuración de Safety I/O La firma de configuración define la configuración del dispositivo. La misma se puede leer y monitorear. La firma de configuración se utiliza para identificar de forma exclusiva la configuración de un dispositivo. Al usar un controlador GuardLogix usted no tiene que monitorear esta firma. El controlador GuardLogix monitorea automáticamente la firma. Reemplazo del dispositivo de Safety I/O El reemplazo de dispositivos de seguridad precisa que el dispositivo de reemplazo sea configurado adecuadamente y que la operación del dispositivo de reemplazo sea verificada por el usuario. ATENCIÓN: Durante el reemplazo o las pruebas de funcionamiento de un dispositivo, la seguridad del sistema no debe recaer en ninguna parte del dispositivo afectado. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

30 Capítulo 3 CIP Safety I/O para el sistema de control GuardLogix Hay dos opciones disponibles de dispositivos de E/S de repuesto en la ficha Safety del cuadro de diálogo Controller Properties de la aplicación Logix Designer: Configure Only When No Safety Signature Exists Configure Always Figura 7 Opciones de reemplazo de Safety I/O Configure Only When No Safety Signature Exists Esta opción instruye al controlador GuardLogix que configure un dispositivo de seguridad solo cuando la tarea de seguridad no tenga una firma de tarea de seguridad y si el dispositivo de repuesto está tal como viene de fábrica, lo cual significa que no existe un número de red de seguridad en el dispositivo de seguridad. Si la tarea de seguridad tiene una firma de tarea de seguridad, el controlador GuardLogix configura solo el dispositivo de CIP Safety I/O de repuesto si lo siguiente es verdadero: El dispositivo ya tiene el número de red de seguridad correcto. La codificación electrónica del dispositivo es correcta. El nodo o dirección IP es correcto. 30 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

31 CIP Safety I/O para el sistema de control GuardLogix Capítulo 3 Configure Always El controlador GuardLogix siempre intenta configurar un dispositivo de CIP Safety I/O de repuesto si el dispositivo está tal como viene de fábrica, lo cual significa que no existe un número de red de seguridad en el dispositivo de seguridad de reemplazo y el número de nodo y la codificación del dispositivo de E/S coinciden con la configuración del controlador. ATENCIÓN: Habilite la función Configure Always solo si no confía en todo el sistema de control CIP Safety encaminable para mantener el comportamiento SIL 3 durante el reemplazo y las pruebas funcionales de un dispositivo. Si se confía en otras partes del sistema de control CIP Safety para mantener el comportamiento SIL 3, asegúrese de que la función Configure Always del controlador esté inhabilitada. Es su responsabilidad implementar un proceso para asegurar que se mantenga la funcionalidad de seguridad adecuada durante el reemplazo del dispositivo. ATENCIÓN: No ponga ningún dispositivo en su condición original en ninguna red de seguridad CIP cuando la función Configure Always esté habilitada, excepto al seguir el procedimiento de reemplazo de dispositivo descrito en el documento GuardLogix5570 Controllers User Manual, publicación 1756-UM022. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

32 Capítulo 3 CIP Safety I/O para el sistema de control GuardLogix Notas: 32 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

33 Capítulo 4 CIP Safety y número de red de seguridad Tema Página Sistema de control CIP Safety encaminable 33 Consideraciones para la asignación del número de red de seguridad (SNN) 35 Sistema de control CIP Safety encaminable Para comprender los requisitos de seguridad de un sistema de control CIP Safety, incluido el número de red de seguridad (SNN), primero hay que entender cómo se encamina la comunicación en los sistemas de control CIP. El sistema de control CIP Safety representa un conjunto interconectado de dispositivos CIP Safety. El sistema encaminable representa la totalidad de los posibles encaminamientos erróneos de paquetes, desde un originador hasta un receptor, dentro del sistema de control CIP Safety. El sistema se aísla, de forma que no existan otras conexiones en el sistema. Por ejemplo, debido a que el sistema que aparece en la Figura 8 no puede interconectarse con otro sistema CIP Safety a través de una conexión principal Ethernet más grande a nivel de toda la planta, ilustra el alcance de un sistema CIP Safety encaminable. Figura 8 Ejemplo de sistema CIP Safety Encaminador/ cortafuegos (1) Switch Switch 1756-L71S 1756-L7SP 1756-DNB 1756-EN2T 1768-PB ENBT 1768-ENBT 1768-L43S 1769-ECR 1756-OB IB DNB 1756-EN2T SmartGuard CIP Safety I/O CIP Safety I/O CIP Safety I/O CIP Safety I/O CIP Safety I/O CIP Safety I/O CIP Safety I/O CIP Safety I/O (1) El encaminador o el cortafuegos están configurados para limitar el tráfico. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

34 Capítulo 4 CIP Safety y número de red de seguridad Referencia única de nodo El protocolo CIP Safety es un protocolo de seguridad entre nodos finales. El protocolo CIP Safety permite el encaminamiento de mensajes CIP Safety desde y hacia dispositivos CIP Safety, a través de puentes, conmutadores y encaminadores no certificados. Para evitar que los errores en puentes, conmutadores o encaminadores no certificados se tornen peligrosos, cada nodo final dentro de un sistema de control CIP Safety encaminable debe tener una referencia única de nodo. La referencia única de nodo es una combinación de un número de red de seguridad (SNN) y la dirección de nodo correspondiente al nodo. Número de red de seguridad El número de red de seguridad (SNN) es asignado automáticamente por el software o manualmente por usted. Cada red CIP Safety que contiene nodos de E/S de seguridad debe tener por lo menos un SNN único. Cada chasis que contenga uno o más dispositivos de seguridad debe tener por lo menos un SNN único. Los números de red de seguridad asignados a cada red de seguridad o subred de la red tienen que ser únicos.. SUGERENCIA Varios SNN se pueden asignar a una subred CIP Safety o a un chasis que contenga múltiples dispositivos de seguridad. No obstante, para simplificar las cosas, recomendamos que cada subred CIP Safety tenga un solo SNN único. Esta recomendación también aplica para cada chasis. Figura 9 Ejemplo de CIP Safety con más de un SNN Encaminador/ cortafuegos Switch Switch 1756-L71S 1756-L7SP 1756-DNB 1756-EN2T 1768-PB ENBT 1768-ENBT 1768-L43S 1769-ECR 1756-OB IB DNB SNN_1 SNN_3 SNN_ EN2T SmartGuard CIP Safety I/O CIP Safety I/O CIP Safety I/O CIP Safety I/O CIP Safety I/O CIP Safety I/O CIP Safety I/O SNN_2 SNN_4 SNN_6 CIP Safety I/O SNN_7 Cada dispositivo CIP Safety debe configurarse con un SNN. Cualquier dispositivo que origine una conexión de seguridad hacia otro dispositivo de seguridad debe configurarse con el SNN del dispositivo receptor. Si el sistema CIP Safety está en proceso de encendido antes de que se realice la prueba de seguridad funcional del sistema, el dispositivo originador puede utilizarse para definir la referencia única de nodo en el dispositivo. 34 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

35 CIP Safety y número de red de seguridad Capítulo 4 El SNN utilizado por el sistema es un número hexadecimal de 6 bytes. El SNN puede establecerse y verse en cualquiera de dos formatos: basado en tiempo o manual. Cuando se selecciona el formato basado en tiempo, el SNN representa una fecha y una hora concretas. Cuando se selecciona el formato manual, el SNN representa un tipo de red y un valor decimal de Figura 10 Formatos de SNN La asignación de un SNN basado en tiempo es automática cuando se crea un nuevo proyecto de controlador de seguridad GuardLogix y se añaden nuevos dispositivos CIP Safety I/O. La manipulación manual de un SNN es necesaria en las siguientes situaciones: Si se utilizan tags de seguridad consumidos Si el proyecto consume datos de entrada de seguridad provenientes de un dispositivo cuya configuración está en posesión de otro dispositivo de seguridad Si un proyecto de seguridad se copia en una instalación de hardware distinta dentro del mismo sistema CIP Safety encaminable IMPORTANTE Si usted asigna un SNN manualmente, no olvide asegurarse de que la expansión del sistema no dé como resultado una duplicación de las combinaciones de SNN y direcciones de nodo. Un error de verificación ocurre si su proyecto contiene combinaciones de SNN y direcciones de nodo duplicadas. Consideraciones para la asignación del número de red de seguridad (SNN) La asignación del SNN depende de factores que incluyen la configuración del controlador o del dispositivo de E/S CIP Safety. Número de red de seguridad (SNN) para tags de seguridad consumidos Cuando un controlador de seguridad que contiene tags de seguridad producidos se añade al árbol de configuración de E/S, es necesario introducir el número de red de seguridad (SNN) del controlador productor. El SNN puede copiarse del proyecto del controlador productor y pegarse en el nuevo controlador que se esté añadiendo al árbol de configuración de E/S. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

36 Capítulo 4 CIP Safety y número de red de seguridad Consulte el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022, para obtener más información acerca de cómo copiar y pegar un SNN. Número de red de seguridad (SNN) para dispositivos tal como vienen de fábrica Los dispositivos CIP Safety I/O tal como vienen de fábrica, no tienen un SNN. El SNN se establece cuando se envía una configuración al dispositivo por parte del controlador GuardLogix que es propietario del dispositivo. IMPORTANTE Para añadir un dispositivo de E/S CIP Safety a un sistema GuardLogix configurado (el SNN está presente en el controlador GuardLogix), es necesario aplicar el SNN correcto al dispositivo de E/S CIP Safety de reemplazo antes de que se añada a la red CIP Safety. Número de red de seguridad (SNN) para dispositivo de seguridad con un propietario de configuración diferente Cuando un dispositivo CIP Safety I/O es propiedad de un distinto controlador GuardLogix (controlador B), y posteriormente se añade a otro proyecto GuardLogix (proyecto de controlador A), la aplicación Logix Designer asigna el número de red de seguridad (SNN) basado en el proyecto actual. Puesto que el proyecto actual (proyecto del controlador A) no es el verdadero propietario de la configuración, es necesario copiar el SNN original (proyecto del controlador B) en la configuración en el proyecto del controlador A. Esto puede hacerse fácilmente mediante los comandos estándar de copiar y pegar. Como resultado, el dispositivo CIP Safety I/O produce datos para dos controladores GuardLogix simultáneamente. Es posible copiar y pegar para un máximo de 16 controladores. Consulte el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022, para obtener más información acerca de cómo copiar y pegar números de red de seguridad. Número de red de seguridad (SNN) al copiar un proyecto de seguridad ATENCIÓN: Si se copia un proyecto de seguridad para usarlo en otro proyecto con hardware diferente o en una ubicación física diferente, y el nuevo proyecto está dentro del mismo sistema CIP Safety encaminable, todos los números de red de seguridad deben cambiarse en el segundo sistema. Los valores SNN no deben repetirse. Consulte el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022, para obtener información sobre cómo cambiar el SNN. 36 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

37 Capítulo 5 Características de tags de seguridad, tarea de seguridad y programas de seguridad Tema Página Diferenciar entre estándar y seguridad 37 Aplicaciones de seguridad SIL 2 38 Seguridad SIL 3; la tarea de seguridad 41 Uso de interfaces máquina-operador 43 Programas de seguridad 45 Rutinas de seguridad 45 Tags de seguridad 46 Diferenciar entre estándar y seguridad Puesto que se trata de un controlador de la serie Logix, en el sistema de control GuardLogix se pueden utilizar tanto componentes estándar (no relacionados con la seguridad) como componentes relacionados con la seguridad. Dentro de un proyecto GuardLogix se puede realizar control de automatización estándar de tareas estándar. Los controladores GuardLogix proporcionan la misma funcionalidad que otros controladores de la serie ControlLogix. Lo que diferencia a los controladores GuardLogix de los controladores estándar es que éstos proporcionan una tarea de seguridad con capacidad SIL 3. Sin embargo, es necesario realizar una distinción lógica y visible entre la porción estándar y la relacionada con la seguridad de la aplicación. La aplicación Logix Designer proporciona esta diferenciación mediante la tarea de seguridad, los programas de seguridad, las rutinas de seguridad, los tags de seguridad y los dispositivos de E/S de seguridad. Es posible implementar tanto el nivel SIL 2 como el nivel SIL 3 del control de seguridad con la tarea de seguridad del controlador GuardLogix. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

38 Capítulo 5 Características de tags de seguridad, tarea de seguridad y programas de seguridad Aplicaciones de seguridad SIL 2 Se puede realizar el control de seguridad SIL 2 mediante la tarea de seguridad del controlador GuardLogix. Puesto que los controladores GuardLogix forman parte de la serie de procesadores ControlLogix, se puede realizar el control de seguridad SIL 2 con un controlador GuardLogix mediante las tareas estándar o la tarea de seguridad. Esta capacidad ofrece opciones de control de seguridad únicas y versátiles, ya que la mayoría de las aplicaciones tiene un porcentaje mayor de funciones de seguridad SIL 2 que de funciones de seguridad SIL 3. Control de seguridad SIL 2 en la tarea de seguridad La tarea de seguridad GuardLogix puede usarse para proporcionar funciones de seguridad SIL 2 y SIL 3. Si las funciones de seguridad SIL 3 deben ejecutarse simultáneamente con las funciones de seguridad SIL 2, se debe cumplir con los requisitos definidos en las secciones Seguridad SIL 3; la tarea de seguridad, Programas de seguridad y Rutinas de seguridad de este capítulo, así como los requisitos de SIL 2 listados en esta sección. Lógica de seguridad SIL 2 Desde la perspectiva de control de seguridad GuardLogix, la mayor diferencia entre dispositivos con clasificación de seguridad SIL 2 y SIL 3 es que SIL 2 generalmente tiene un solo canal, mientras que SIL 3 generalmente tiene dos canales. Al usar E/S con clasificación de seguridad Guard (módulos rojos), que es lo requerido en la tarea de seguridad, las entradas de seguridad SIL 2 puede tener un solo canal, lo cual puede reducir la complejidad y el número de módulos necesarios. La correcta implementación de todas las funciones de seguridad depende del diseñador del sistema de seguridad. Se debe considerar lo siguiente: Selección del dispositivo de campo (correcta selección, identificación y mitigación de todos los fallos de dispositivos) Considere los requisitos de demanda de seguridad (baja según IEC o alta según ISO 13849) Considere los intervalos de prueba (pruebas de calidad y diagnósticos necesarios para satisfacer los requisitos de la aplicación) Identifique y justifique con la documentación apropiada todas las exclusiones de fallo usadas z IMPORTANTE Si se usa una combinación de funciones de seguridad SIL 2 y SIL 3 simultáneamente dentro de la tarea de seguridad, es necesario evitar que las señales de entrada SIL 2 controlen directamente las funciones de seguridad SIL 3. Use rutinas o programas de tarea de seguridad específicos para separar las funciones de seguridad SIL 2 y SIL 3. Dentro de la tarea de seguridad, la aplicación Logix Designer incluye un conjunto de instrucciones de lógica de escalera relacionadas con la seguridad. Los controladores GuardLogix también ofrecen instrucciones de seguridad SIL 3 específicas para la aplicación. Todas estas instrucciones lógicas pueden usarse en funciones de seguridad CAT 1 4 y SIL Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

39 Características de tags de seguridad, tarea de seguridad y programas de seguridad Capítulo 5 Para el nivel de seguridad SIL 2 únicamente no se requiere una firma de tarea de seguridad. Sin embargo, si se usa alguna función de seguridad SIL 3 dentro de la tarea de seguridad, sí se requiere una firma de tarea de seguridad. Para las aplicaciones SIL 2, se recomienda el bloqueo de seguridad de la tarea de seguridad una vez terminadas las pruebas. Bloquear la tarea de seguridad habilita más funciones de seguridad. Se pueden usar FactoryTalk Security y protección de origen de rutina Logix Designer para limitar el acceso a la lógica relacionada con la seguridad. Para obtener más información sobre cómo generar una firma de tarea de seguridad y cómo realizar el bloqueo de seguridad de la tarea de seguridad, consulte el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022. Entradas de seguridad SIL 2 Los módulos de entrada de seguridad CompactBlock Guard I/O (serie 1791), ArmorBlock Guard I/O (serie 1732) y POINT Guard I/O (serie 1734) aceptan circuitos de entrada de seguridad SIL 2 de un solo canal. Puesto que estos módulos también están clasificados para operación SIL 3, es posible combinar los circuitos SIL 2 y SIL 3 en el mismo módulo, siempre que se sigan estas pautas. Estos dos ejemplos de cableado muestran cómo cablear los circuitos de seguridad SIL 2 a los módulos de entrada de seguridad Guard I/O. Estos ejemplos utilizan fuentes de prueba incorporadas (T0 Tx) que residen en todos los módulos de entradas de seguridad 1791 y Figura 11 Cableado de entradas I0 I1 T0 T1 Los módulos Guard I/O agrupan las entradas en parejas para facilitar las funciones de seguridad Cat 3, Cat 4 y SIL 3. Para usarse en funciones de seguridad Cat 1, Cat 2 y SIL 2, las entradas de módulos deben usarse en parejas como se ilustra. Se muestran dos funciones de seguridad SIL 2 cableadas a I0 y I1 usando las fuentes de prueba T0 y T1, respectivamente. Figura 12 Cableado de entradas en parejas I0 I1 T0 T1 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

40 Capítulo 5 Características de tags de seguridad, tarea de seguridad y programas de seguridad En el caso de funciones de seguridad Cat 1, Cat 2 y SIL 2, los módulos de seguridad Guard I/O necesitan configuraciones específicas dentro del proyecto GuardLogix. En este ejemplo, las entradas 0, 1, 6, 7, 8, 9, 10 y 11 forman parte de una función de seguridad CAT 1, 2 o SIL 2. Las entradas 2 y 3, así como las entradas 4 y 5 forman parte de una función de seguridad CAT 3, CAT 4 o SIL 3. Figura 13 Configuración de entradas Campo Tipo Discrepancy Time Point Mode Test Source Input Delay Time Valor Single N/D Safety Pulse Test Establecer valores según la forma en que el dispositivo de campo esté cableado físicamente al módulo. Para asegurar que la fuente de prueba esté correctamente habilitada, abra y fíjese en los valores de configuración de la ficha Test Output. Entrada de usuario basada en las características de los dispositivos de campo. IMPORTANTE Las salidas de prueba de impulso incorporadas (T0 Tx) generalmente se usan con dispositivos de campo que tienen contactos mecánicos. Si se usa un dispositivo de seguridad con salidas electrónicas (para alimentar entradas de seguridad), éstas deben tener las clasificaciones de seguridad apropiadas. IMPORTANTE Si está usando las instrucciones de aplicaciones de seguridad GuardLogix, asegúrese de configurar sus módulos de entrada de seguridad como módulos sencillos, no equivalentes ni complementarios. Estas instrucciones proporcionan la funcionalidad de doble canal necesaria para las funciones de seguridad PLd (Cat. 3) o PLe (Cat. 4). Consulte el documento GuardLogix Safety Application Instruction Set Reference Manual, publicación 1756-RM095. Control de seguridad SIL 2 en tareas estándar Debido al número y a la calidad de los diagnósticos incorporados en la serie de controladores ControlLogix es posible realizar funciones de seguridad SIL 2 desde dentro de las tareas estándar. Esto también se cumple en el caso de los controladores GuardLogix. 40 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

41 Características de tags de seguridad, tarea de seguridad y programas de seguridad Capítulo 5 Para realizar un control de seguridad SIL 2 dentro de una tarea estándar GuardLogix es necesario cumplir con los requisitos definidos en el documento Using ControlLogix in SIL 2 Applications Safety Reference Manual, publicación 1756-RM001. Seguridad SIL 3; la tarea de seguridad Al crear un proyecto GuardLogix se crea automáticamente una sola tarea de seguridad. La tarea de seguridad tiene estas características adicionales: Los controladores GuardLogix son los únicos controladores que aceptan la tarea de seguridad. La tarea de seguridad no se puede eliminar. Los controladores GuardLogix admiten una sola tarea de seguridad. Dentro de la tarea de seguridad se pueden usar varios programas de seguridad, compuestos a su vez por varias rutinas de seguridad. No es posible secuenciar ni ejecutar rutinas estándar desde dentro de la tarea de seguridad. La tarea de seguridad es una tarea periódica temporizada con prioridad de tarea y temporizador de vigilancia seleccionables por el usuario. En la mayoría de los casos ésta es la prioridad principal del controlador, y el temporizador de vigilancia definido por el usuario debe establecerse para que se adapte a las fluctuaciones en la ejecución de la tarea de seguridad. Limitaciones de la tarea de seguridad Usted especifica tanto el período de la tarea de seguridad como el temporizador de vigilancia de tarea de seguridad. El período de la tarea de seguridad es el período en el que se ejecuta la tarea de seguridad. El temporizador de vigilancia de tarea de seguridad es el tiempo máximo permitido desde el inicio de la ejecución priorizada de la tarea de seguridad hasta que la misma se completa. Si desea obtener más información acerca del temporizador de vigilancia de tarea de seguridad consulte el Apéndice C, Tiempos de reacción. El período de la tarea de seguridad está limitado a 500 ms como máximo, y no se puede modificar en línea. Asegúrese de que la tarea de seguridad tenga suficiente tiempo para completarse antes de que se vuelva a activar. Si se activa la tarea de seguridad mientras todavía se está ejecutando debido a la activación anterior, ocurre una interrupción del temporizador de vigilancia de tarea de seguridad, que es un fallo de seguridad no recuperable en el controlador GuardLogix. Vea Capítulo 7, Monitoreo de estado y manejo de fallos, para obtener más información. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

42 Capítulo 5 Características de tags de seguridad, tarea de seguridad y programas de seguridad Detalles de ejecución de la tarea de seguridad La tarea de seguridad se ejecuta de la misma forma que las tareas periódicas estándar, con las siguientes excepciones: La tarea de seguridad no comienza a ejecutarse sino hasta que el controlador primario y el homólogo de seguridad hayan establecido su asociación de control y que la hora coordinada del sistema (CST) se haya sincronizado. No obstante, las tareas estándar comienzan a ejecutarse tan pronto como el controlador cambia al modo Run. Si bien el rango configurable del intervalo solicitado entre paquetes (RPI) para las entradas de seguridad y para los tags consumidos de seguridad es ms, los tags de entrada de seguridad y los tags consumidos de seguridad se actualizan solo al comienzo de la ejecución de la tarea de seguridad. Esto significa que, aunque el intervalo solicitado entre paquetes (RPI) de E/S puede ser más breve que el período de la tarea de seguridad, los datos no cambian durante la ejecución de la tarea de seguridad. Los datos se leen solo una vez al inicio de la ejecución de la tarea de seguridad. Los valores de entrada de seguridad se congelan al inicio de la ejecución de la tarea de seguridad. Como resultado, las instrucciones relacionadas con el temporizador, tales como TON y TOF, no se actualizan durante una sola ejecución de la tarea de seguridad. Mantienen el tiempo exacto de una ejecución de tarea a otra, pero el tiempo acumulado no cambia durante la ejecución de la tarea de seguridad. ATENCIÓN: Este comportamiento difiere de la ejecución de la tarea Logix estándar, pero es similar al comportamiento de PLC o SLC. En el caso de tags estándar que están asignados a tags de seguridad, los valores de tag estándar se copian en la memoria de seguridad al inicio de la tarea de seguridad y no cambian durante la ejecución de dicha tarea. Los valores de tags de salida de seguridad (de salida y producidos) se actualizan cuando finaliza la ejecución de la tarea de seguridad. La tarea de seguridad responde a cambios de modo (por ejemplo, Run a Program o de Program a Run) a intervalos temporizados. Como resultado, la tarea de seguridad puede tardar más de un período de tarea, pero siempre menos de dos, para realizar una transición de modo. 42 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

43 Características de tags de seguridad, tarea de seguridad y programas de seguridad Capítulo 5 IMPORTANTE Mientras el controlador esté en desbloqueo de seguridad y no haya una firma de tarea de seguridad, éste impide el acceso simultáneo de escritura a la memoria de seguridad desde la tarea de seguridad y desde comandos de comunicación. Como resultado, la tarea de seguridad puede permanecer retenida hasta que se complete la actualización de comunicación. El tiempo necesario para la actualización varía de acuerdo al tamaño del tag. Por lo tanto, es posible que ocurran suspensiones de conexión de seguridad y del temporizador de vigilancia de seguridad. (Por ejemplo, si realiza ediciones en línea cuando la tasa de la tarea de seguridad se establece en 1 ms, podría ocurrir una interrupción del temporizador de vigilancia de seguridad). Para compensar el tiempo de aplazamiento debido a la actualización de comunicación, añada 2 ms al tiempo del temporizador de vigilancia de seguridad. Cuando el controlador está en bloqueo de seguridad o cuando existe una firma de tarea de seguridad, la situación descrita en esta nota no puede suceder. Uso de interfaces máquina-operador Siga estas precauciones y pautas para usar dispositivos HMI en sistemas GuardLogix con clasificación SIL. Precauciones Tome medidas de precaución e implemente técnicas específicas en dispositivos HMI. Estas precauciones incluyen, entre otras, las siguientes: Acceso limitado y protección Especificaciones, pruebas y validación Restricciones de datos y de acceso Límites de datos y de parámetros Para obtener más información sobre cómo los dispositivos HMI encajan en un lazo SIL típico, vea la Figura 1 en la página 15. Use técnicas seguras en el software de aplicación dentro del HMI y el controlador. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

44 Capítulo 5 Características de tags de seguridad, tarea de seguridad y programas de seguridad Cómo obtener acceso a sistemas relacionados con la seguridad Las funciones relacionadas al HMI constan de dos actividades primarias: lectura y escritura de datos. Lectura de parámetros en sistemas relacionados a la seguridad La lectura de datos no está restringida porque la lectura no afecta el comportamiento del sistema de seguridad. Sin embargo, el número, la frecuencia y el tamaño de los datos que se leen pueden afectar la disponibilidad del controlador. Para evitar disparos inoportunos relacionados a la seguridad, use buenas prácticas de comunicación para limitar el efecto del procesamiento de comunicaciones en el controlador. No establezca los regímenes de lectura en el valor de régimen más rápido posible. Cambio de parámetros en sistemas con clasificación SIL Se permite un cambio de parámetro en un lazo relacionado a la seguridad mediante un dispositivo externo (es decir, fuera del lazo de seguridad), por ejemplo, un HMI, con las siguientes restricciones: Solo el personal especialmente capacitado y autorizado (operadores) puede cambiar los parámetros en sistemas relacionados a la seguridad mediante la HMI. El operador que haga cambios en un sistema relacionado a la seguridad mediante un HMI es responsable del efecto de dichos cambios en el lazo de seguridad. Usted debe documentar claramente las variables que vayan a ser modificadas. Se debe usar un procedimiento de operador claro, completo y explícito para hacer cambios relacionados a la seguridad mediante un HMI. Pueden aceptarse cambios en un sistema relacionado a la seguridad sólo si ocurre la siguiente secuencia de eventos: a. La nueva variable debe enviarse dos veces a dos tags diferentes; es decir, no debe escribirse a ambos valores con un comando. b. El código relacionado a la seguridad que se ejecuta en el controlador debe verificar la equivalencia de ambos tags y asegurarse de que estén dentro del rango (verificaciones de límites). c. Ambas variables nuevas deben volverse a leer y aparecer en el dispositivo HMI. d. Los operadores capacitados deben confirmar visualmente que ambas variables sean iguales y que tengan el valor correcto. e. Los operadores capacitados deben confirmar manualmente que los valores sean los correctos en la pantalla HMI que envía un comando a la lógica de seguridad, lo cual permite que se usen los nuevos valores en la función de seguridad. 44 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

45 Características de tags de seguridad, tarea de seguridad y programas de seguridad Capítulo 5 En cada caso el operador debe confirmar la validez del cambio antes de aceptarlo y aplicarlo en el lazo de seguridad. Pruebe todos los cambios como parte del procedimiento de validación de seguridad. Documente de manera suficiente todos los cambios relacionados a la seguridad hechos mediante el HMI, incluidos los siguientes: Autorización Análisis de impacto Ejecución Información de prueba Información de la revisión Los cambios en el sistema relacionado a la seguridad deben cumplir con el estándar sobre seguridad de procesos IEC 61511, sección , requisitos de interface de operador. Los cambios hechos al sistema relacionado a la seguridad deben cumplir con IEC para seguridad de máquina. El desarrollador debe seguir las mismas técnicas de desarrollo y los mismos procedimientos seguros usados para otro desarrollo de software de aplicación, incluidas la verificación y las pruebas de la interface de operador y su acceso a otras partes del programa. En el software de aplicación del controlador cree una tabla que sea accesible por el HMI y limite el acceso solamente a los puntos de datos requeridos. De modo similar al programa del controlador, el software HMI debe ser protegido y mantenido en cumplimiento con el nivel SIL después de que el sistema haya sido validado y probado. Programas de seguridad Un programa de seguridad tiene todos los atributos de un programa estándar, con la excepción de que solo se puede priorizar en la tarea de seguridad. Un programa de seguridad también puede definir tags de seguridad restringidos al programa. Un programa de seguridad puede ser priorizado o no priorizado. Un programa de seguridad solo puede contener componentes de seguridad. Todas las rutinas de un programa de seguridad son rutinas de seguridad. Un programa de seguridad no puede contener rutinas estándar ni tags estándar. Rutinas de seguridad Las rutinas de seguridad tienen todos los atributos de las rutinas estándar, con la excepción de que solo pueden existir en los programas de seguridad. Una rutina de seguridad puede ser designada como la rutina principal. Otra rutina de seguridad puede ser designada como la rutina de fallo. En las rutinas de seguridad solo se pueden utilizar instrucciones certificadas de seguridad. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

46 Capítulo 5 Características de tags de seguridad, tarea de seguridad y programas de seguridad Consulte la lista de instrucciones de seguridad en el Apéndice A. ATENCIÓN: Para preservar el nivel SIL 3, es necesario asegurarse de que su lógica de seguridad no intente leer ni escribir tags estándar. Tags de seguridad El sistema de control GuardLogix admite el uso de tags estándar y de tags de seguridad en el mismo proyecto. Sin embargo, el software de programación diferencia operativamente los tags estándar de los tags de seguridad. Los tags de seguridad tienen todos los atributos de los tags estándar, además de mecanismos para proporcionar integridad de datos SIL 3. Tabla 6 Tipos de datos válidos para tags de seguridad AUX_VALVE_CONTROL DINT MUTING_FOUR_SENSOR_BIDIR BOOL DIVERSE_INPUT MUTING_TWO_SENSOR_ASYM CAM_PROFILE EIGHT_POS_MODE_SELECTOR MUTING_TWO_SENSOR_SYM CAMSHAFT_MONITOR EMERGENCY_STOP MOTION_INSTRUCTION CB_CONTINUOUS_MODE ENABLE_PENDANT PHASE CB_CRANKSHAFT_POS_MONITOR EXT_ROUTINE_CONTROL PHASE_INSTRUCTION CB_INCH_MODE EXT_ROUTINE_PARAMETERS REAL CB_SINGLE_STROKE_MODE FBD_BIT_FIELD_DISTRIBUTE REDUNDANT_INPUT CONFIGURABLE_ROUT FBD_CONVERT REDUNDANT_OUTPUT CONNECTION_STATUS FBD_COUNTER SAFETY_MAT CONTROL FBD_LOGICAL SERIAL_PORT_CONTROL COUNTER FBD_MASK_EQUAL SFC_ACTION DCA_INPUT FBD_MASKED_MOVE SFC_STEP DCI_MONITOR FBD_TIMER SFC_STOP DCI_START FIVE_POS_MODE_SELECTOR SINT DCI_STOP INT STRING DCI_STOP_TEST LIGHT_CURTAIN THRS_ENHANCED DCI_STOP_TEST_LOCK MAIN_VALVE_CONTROL TIMER DCI_STOP_TEST_MUTE MANUAL_VALVE_CONTROL TWO_HAND_RUN_STATION La aplicación Logix Designer evita la creación directa de tags inválidos en un programa de seguridad. Si los tags inválidos son importados, no podrán verificarse. IMPORTANTE Los alias entre tags estándar y de seguridad están prohibidos en las aplicaciones de seguridad. Los tags clasificados como tags de seguridad se restringen al controlador o al programa. Los tags de seguridad restringidos al controlador pueden ser leídos por la lógica estándar o de seguridad o por otros dispositivos de comunicación, pero pueden ser escritos solo por la lógica de seguridad o por otro controlador de seguridad GuardLogix. Solamente las rutinas de seguridad locales pueden tener acceso a los tags de seguridad restringidos al programa. Estas son rutinas que residen dentro del programa de seguridad. 46 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

47 Características de tags de seguridad, tarea de seguridad y programas de seguridad Capítulo 5 Los tags asociados con Safety I/O y los datos de seguridad producidos o consumidos deben ser tags de seguridad restringidos al controlador. IMPORTANTE Cualquier tag de seguridad restringido al controlador se puede leer mediante una rutina estándar, pero la velocidad de actualización se basa en la ejecución de la tarea de seguridad. Por consiguiente, los tags de seguridad se actualizan a la tasa periódica de la tarea de seguridad, que es diferente del comportamiento de los tags estándar. Tags estándar en rutinas de seguridad (asignación de tags) Los tags estándar restringidos al controlador se pueden asignar a tags de seguridad, lo que proporciona un mecanismo para sincronizar las acciones estándar y las de seguridad. ATENCIÓN: Cuando utilice datos estándar en una rutina de seguridad, usted será responsable de proporcionar una forma confiable de garantizar que los datos se utilicen de manera apropiada. El uso de datos estándar en un tag de seguridad no los convierte en datos de seguridad. No se debe controlar directamente una salida de seguridad con datos de tag estándar. Este ejemplo ilustra cómo calificar los datos estándar con datos de seguridad. Figura 14 Calificación de datos estándar con datos de seguridad MappedBooleanTag Node30ComboModule:I.Pt07Data Node30ComboModule:O.Pt03Data LatchOneShot ONS Node30ComboModule:O.Pt03Data Calificador de entrada de seguridad para tag asignado Enclave el circuito para evitar un reinicio automático si la entrada estándar (MappedTag) falla en un estado atascado en 1 ( stuck at 1 ). Salida de seguridad Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

48 Capítulo 5 Características de tags de seguridad, tarea de seguridad y programas de seguridad Notas: 48 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

49 Capítulo 6 Desarrollo de la aplicación de seguridad Tema Página Suposiciones sobre el concepto de seguridad 49 Nociones básicas de desarrollo y prueba de aplicaciones 50 Proceso para poner en servicio 51 Descarga del programa de aplicación de seguridad 57 Carga del programa de aplicación de seguridad 57 Edición en línea 57 Almacenamiento y carga de un proyecto desde la memoria no volátil 58 Forzar datos 58 Inhibir un dispositivo 58 Editar la aplicación de seguridad 59 Suposiciones sobre el concepto de seguridad El concepto de seguridad parte de los siguientes supuestos: Que si usted es responsable de crear, operar y mantener la aplicación, debe estar debidamente calificado y especialmente capacitado, y tener experiencia en sistemas de seguridad. Que usted aplica la lógica correctamente, lo que significa que los errores de programación se pueden detectar. Los errores de programación se pueden detectar mediante la estricta observancia de las especificaciones y de las reglas de programación y nomenclatura. Que usted realiza un análisis crítico de la aplicación y que hace uso de todas las medidas posibles para detectar un fallo. Que usted confirma todas las descargas de la aplicación mediante la verificación manual de la firma de tarea de seguridad. Que antes de poner en marcha un sistema relacionado con la seguridad, usted realiza una prueba de funcionamiento completa de todo el sistema. Tabla 7 Modos del controlador Modo del controlador Program Estado de la tarea de seguridad Desbloqueado Sin firma Desbloqueado Sin firma Seguridad (1) (hasta e inclusive) Comentarios (Un programa válido ha sido descargado al controlador.) Conexiones de E/S establecidas La lógica de la tarea de seguridad no está siendo escaneada. Run (únicamente para fines de desarrollo) Forzado permitido Edición en línea permitida La memoria de seguridad está aislada, pero no está protegida (lectura/escritura) La lógica de la tarea de seguridad está siendo escaneada. Los controladores primario y homólogo procesan la lógica, hacen comparación cruzada de salidas lógicas. Se escriben salidas lógicas a las salidas de seguridad. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

50 Capítulo 6 Desarrollo de la aplicación de seguridad Tabla 7 Modos del controlador Modo del controlador Estado de la tarea de seguridad Seguridad (1) (hasta e inclusive) Comentarios (Un programa válido ha sido descargado al controlador.) Run Desbloqueado Sin firma PLd/Cat. 3 Control confiable SIL CL2 No se admiten nuevos forzados. Se mantienen forzados existentes. Edición en línea no permitida. La memoria de seguridad está protegida (lectura solamente). Se escanea la lógica de la tarea de seguridad. Los controladores primario y homólogo procesan la lógica, hacen comparación cruzada de salidas lógicas. Se escriben salidas lógicas a las salidas de seguridad. Run Desbloqueado Con firma Ple/Cat. 4 Control confiable SIL CL3 No se admiten forzados. (Deben retirarse para generar una firma de tarea de seguridad). Edición en línea no permitida. La memoria de seguridad está protegida (lectura solamente). Se escanea la lógica de la tarea de seguridad. Los controladores primario y homólogo procesan la lógica, hacen comparación cruzada de salidas lógicas. Se escriben salidas lógicas a las salidas de seguridad. La firma de la tarea de seguridad no está protegida y cualquier persona con acceso al controlador puede eliminarla. Run Bloqueado Con firma Ple/Cat. 4 Control confiable SIL CL3 No se admiten forzados. (Deben retirarse para generar una firma de tarea de seguridad). Edición en línea no permitida. La memoria de seguridad está protegida (lectura solamente). Se escanea la lógica de la tarea de seguridad. Los controladores primario y homólogo procesan la lógica, hacen comparación cruzada de salidas lógicas. Se escriben salidas lógicas a las salidas de seguridad. La firma de la tarea de seguridad está protegida. Los usuarios deben ingresar la contraseña de desbloqueo para desbloquear el controlador antes de eliminar la firma de la tarea de seguridad. (1) Para llegar a este nivel es necesario cumplir con los requisitos de seguridad definidos en esta publicación. Nociones básicas de desarrollo y prueba de aplicaciones Recomendamos que el programa de aplicación para el sistema SIL CL3 deseado sea desarrollado por el integrador de sistemas o por un usuario que tenga la debida capacitación y experiencia en aplicaciones de seguridad. El especialista en desarrollo debe cumplir con buenas prácticas de diseño: Usar especificaciones funcionales, tales como diagramas de flujo, diagramas de temporización y diagramas de secuencia. Realizar la revisión de la lógica de la tarea de seguridad. Realizar la validación de la aplicación. 50 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

51 Desarrollo de la aplicación de seguridad Capítulo 6 Proceso para poner en servicio El siguiente diagrama de flujo muestra los pasos necesarios para poner en servicio un sistema GuardLogix. Los ítems en negrita se explican en las secciones siguientes. Figura 15 Poner en servicio el sistema Especificar la función de control Crear proyecto En línea Crear proyecto Fuera de línea Adjuntar al controlador y descargar Probar el programa de aplicación Generar la firma de tarea de seguridad Hacer las modificaciones necesarias Prueba de verificación del proyecto Pasó las pruebas? No Eliminar la firma de tarea de seguridad Sí Confirmar el proyecto Registrar la firma de tarea de seguridad Completar las listas de verificación de seguridad en el Apéndice D Validación de seguridad (revisión independiente) Es válido el proyecto? No Sí Bloquear el controlador/fin Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

52 Capítulo 6 Desarrollo de la aplicación de seguridad Especificación de la función de control Usted debe crear una especificación para la función de control. Utilice esta especificación para verificar que la lógica del programa esté orientada correcta y totalmente a satisfacer los requisitos de funcionamiento y de control de seguridad de la aplicación. La especificación puede presentarse en diversos formatos, según la aplicación. No obstante, la especificación debe ser una descripción detallada que incluya lo siguiente (si corresponde): Secuencia de operaciones Diagramas de flujo y de temporización Diagramas de secuencias Descripción del programa Impresión del programa Descripciones por escrito de los pasos con condiciones de pasos y accionadores que deben controlarse, incluido lo siguiente: Definiciones de entrada Definiciones de salida Referencias y diagramas de cableado de E/S Teoría de operación Matriz o tabla de condiciones por pasos, y los accionadores que deben controlarse, incluidos los diagramas de secuencia y de temporización Definición de condiciones marginales; por ejemplo, modos de operación y de PARO DE EMERGENCIA. La porción de E/S de la especificación debe contener el análisis de los circuitos de campo, es decir, el tipo de sensores y de accionadores. Sensores (digitales o analógicos) Señal en operación estándar (en el caso de sensores digitales, si éstos están desactivados no se transmiten señales) Determinación de redundancias necesarias para niveles SIL Monitoreo y visualización de discrepancias, incluida la lógica de diagnóstico Accionadores Posición y activación en la operación estándar (normalmente desactivado) Reacción y posicionamiento de seguridad cuando se conmuta a desactivado o cuando se produce un fallo en la energía eléctrica Monitoreo y visualización de discrepancias, incluida la lógica de diagnóstico 52 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

53 Desarrollo de la aplicación de seguridad Capítulo 6 Crear el proyecto La lógica y las instrucciones utilizadas en la programación de la aplicación deben ser las siguientes: Fáciles de comprender Fáciles de rastrear Fáciles de cambiar Fáciles de probar Revise y pruebe toda la lógica. Mantenga separadas la lógica relacionada con la seguridad de la lógica estándar. Etiquetar el programa El programa de aplicación se identifica claramente mediante uno de los siguientes datos: Nombre Fecha Revisión Cualquier otra identificación del usuario Probar el programa de aplicación Este paso consta de cualquier combinación de los modo Run y Program, ediciones en línea o fuera de línea, cargas y descargas, y pruebas informales necesarias para que la aplicación funcione debidamente en preparación para la prueba de verificación del proyecto. Generar la firma de tarea de seguridad La firma de tarea de seguridad identifica de forma exclusiva cada proyecto, incluida su lógica, datos y configuración. La firma de tarea de seguridad está compuesta por el número de identificación, la fecha y la hora. Usted puede generar la firma de tarea de seguridad si se cumple con todas las siguientes condiciones: la aplicación Logix Designer está en línea con el controlador; el controlador está en modo Program; el controlador está en desbloqueo de seguridad; el controlador no tiene forzados de seguridad ni ediciones de seguridad pendientes en línea; el estado de la tarea de seguridad es OK. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

54 Capítulo 6 Desarrollo de la aplicación de seguridad Una vez completada la prueba del programa de aplicación, es necesario generar la firma de tarea de seguridad. El software de programación carga automáticamente la firma de tarea de seguridad una vez que ha sido generada. IMPORTANTE Para verificar la integridad de cada descarga es necesario registrar manualmente la firma de tarea de seguridad después de haberla creado inicialmente, y comprobarla después de cada descarga, para asegurarse de que coincida con el original. Se puede eliminar la firma de tarea de seguridad solo cuando el controlador GuardLogix está en desbloqueo de seguridad y, si está en línea, cuando el interruptor de llave está en la posición REM o PROG. Cuando existe una firma de tarea de seguridad no se pueden realizar las siguientes acciones dentro de la tarea de seguridad: programación o edición en línea o fuera de línea de componentes de seguridad; forzado de E/S de seguridad; manipulación de datos (excepto a través de la lógica de rutina o de otro controlador GuardLogix) Prueba de verificación de proyecto Para comprobar si el programa de aplicación se apega a las especificaciones es necesario generar un conjunto adecuado de escenarios de prueba que cubran la aplicación. El conjunto de escenarios de prueba debe archivarse y conservarse como especificación de prueba. Es necesario incluir un grupo de pruebas para comprobar la validez de los cálculos (las fórmulas) utilizados en la lógica de la aplicación. Es aceptable utilizar pruebas de rangos equivalentes. Estas son pruebas dentro de los rangos de valores definidos, en los límites, o en rangos de valores inválidos. El número necesario de escenarios de prueba depende de las fórmulas utilizadas y debe incluir pares de valores críticos. También se debe incluir una simulación activa con fuentes (dispositivos de campo), ya que es la única forma de verificar que los sensores y los accionadores del sistema estén cableados correctamente. Verifique la operación de las funciones programadas manipulando manualmente los sensores y los accionadores. También debe incluir pruebas para verificar la reacción frente a fallos de cableado y fallos de comunicación en red. La verificación del proyecto incluye pruebas de rutinas de fallo y canales de entrada y de salida, con el fin de asegurarse de que el sistema de seguridad funcione adecuadamente. Para realizar una prueba de verificación del proyecto en el controlador GuardLogix es necesario realizar una prueba total de la aplicación. Es necesario alternar cada sensor y accionador utilizado en cada función de seguridad. Desde la perspectiva de un controlador, esto significa alternar el punto de E/S que va al controlador, no necesariamente los accionadores en sí. Es necesario asegurarse de probar todas las funciones de desactivación, ya que estas funciones generalmente 54 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

55 Desarrollo de la aplicación de seguridad Capítulo 6 no se ejecutan durante la operación normal. Además, tenga en cuenta que una prueba de verificación del proyecto es válida solo para la aplicación específica que esté siendo probada. Si el controlador se traslada a otra aplicación, es necesario realizar también la prueba de verificación del proyecto y de puesta en marcha en el controlador en el contexto de su nuevo programa de aplicación. Confirmar el proyecto Es imperativo imprimir o ver el proyecto y comparar las E/S de seguridad cargadas y las configuraciones del controlador, los datos de seguridad y la lógica del programa de la tarea de seguridad para asegurarse de que los componentes de seguridad adecuados hayan sido descargados, probados y conservados en el programa de aplicación de seguridad. Si el programa de aplicación contiene una instrucción Add-On de seguridad que haya sido sellada con una firma de instrucción, también es necesario comparar la firma de la instrucción, la fecha/hora y la firma de la instrucción de seguridad contra los valores registrados al sellar la instrucción Add-On. Consulte el Apéndice B, Instrucciones Add-On de seguridad para obtener información sobre cómo crear y usar instrucciones Add-On de seguridad en aplicaciones SIL 3. Los siguientes pasos ilustran un método para confirmar el proyecto. 1. Guarde el proyecto cuando el controlador esté en el modo de programación. 2. Responda Yes cuando aparezca Upload Tag Values. 3. Con la aplicación Logix Designer fuera de línea, guarde el proyecto con un nuevo nombre, como Offlineprojectname.ACD, donde projectname es el nombre del proyecto. Este es el nuevo archivo de proyecto maestro probado. 4. Cierre el proyecto. 5. Mueva el archivo de proyecto original fuera de su directorio actual. Puede eliminar este archivo o guardarlo en una ubicación de almacenamiento. Se requiere este paso porque si la aplicación Logix Designer encuentra projectname.acd en este directorio, lo correlaciona con el proyecto del controlador y no realiza la carga. 6. Con el controlador todavía en el modo Program, cargue el proyecto desde el controlador. 7. Guarde el proyecto guardado como Onlineprojectname.ACD, donde projectname es el nombre de su proyecto. 8. Responda Yes cuando aparezca Upload Tag Values. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

56 Capítulo 6 Desarrollo de la aplicación de seguridad 9. Use la utilidad Logix Designer Program Compare para realizar estas comparaciones: Compare todas las propiedades del controlador GuardLogix y los de dispositivos de E/S CIP Safety. Compare todas las propiedades de la tarea de seguridad, de los programas de seguridad y de las rutinas de seguridad. Compare toda la lógica de las rutinas de seguridad. Validación de seguridad Es posible que sea necesario que un tercero independiente revise el sistema de seguridad antes de que éste quede aprobado para funcionar. Se requiere una certificación por parte de un tercero independiente, según IEC SIL 3. Bloquear el controlador GuardLogix Es posible aplicar un bloqueo de seguridad al sistema controlador GuardLogix para ayudar a proteger los componentes de control de seguridad frente a posibles modificaciones. Sin embargo, no es obligatorio realizar un bloqueo de seguridad del controlador para las aplicaciones SIL 3. La función de bloqueo de seguridad solo es aplicable a componentes de seguridad como, por ejemplo, la tarea de seguridad, los programas de seguridad, las rutinas de seguridad, los tags de seguridad, las instrucciones Add-On, las E/S de seguridad y la firma de tarea de seguridad. No obstante, el bloqueo de seguridad por sí solo no satisface los requisitos de SIL 3. Ningún aspecto de seguridad puede ser modificado mientras el controlador esté en el estado de bloqueo de seguridad. Cuando el controlador está en bloqueo de seguridad no se permiten las siguientes acciones dentro de la tarea de seguridad: programación o edición en línea o fuera de línea; forzado de E/S de seguridad; manipulación de datos (excepto a través de la lógica de rutina o de otro controlador GuardLogix) creación o edición de instrucciones Add-On de seguridad; generación o eliminación de la firma de tarea de seguridad. El estado predeterminado del controlador es desbloqueo de seguridad. Es posible poner la aplicación de seguridad en un estado de bloqueo de seguridad, independientemente de que esté en línea o fuera de línea, e independientemente de si usted tiene la fuente original del programa. No obstante, no debe estar presente ningún forzado de seguridad ni edición de seguridad pendiente. El estado de bloqueo o de desbloqueo de seguridad no se puede modificar cuando el interruptor de llave está en la posición de RUN. Para contar con una capa adicional de protección es posible utilizar contraseñas independientes para el bloqueo o el desbloqueo de seguridad del controlador. Las contraseñas son opcionales. 56 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

57 Desarrollo de la aplicación de seguridad Capítulo 6 Descarga del programa de aplicación de seguridad Al realizar la descarga es necesario realizar una prueba de aplicación, a no ser que exista una firma de tarea de seguridad. IMPORTANTE Para verificar la integridad de cada descarga es necesario registrar manualmente la firma de tarea de seguridad después de haberla creado inicialmente, y comprobarla después de cada descarga, para asegurarse de que coincida con el original. Las descargas a un controlador GuardLogix en bloqueo de seguridad se permiten solo si la firma de tarea de seguridad, la serie de hardware y la versión del sistema operativo del proyecto fuera de línea coinciden con las contenidas en el controlador receptor GuardLogix, y si el estado de la tarea de seguridad del controlador es OK. IMPORTANTE Si la firma de tarea de seguridad no coincide y el controlador está en bloqueo de seguridad, es necesario desbloquear el controlador para la descarga. En este caso, la descarga al controlador elimina la firma de tarea de seguridad. Como resultado, es necesario volver a validar la aplicación. ATENCIÓN: El puerto USB está diseñado solamente para programación local temporal, no para conexión permanente. Carga del programa de aplicación de seguridad Si el controlador GuardLogix contiene una firma de tarea de seguridad, dicha firma se carga junto con el proyecto. Esto significa que cualquier cambio en los datos de seguridad fuera de línea se sobrescribe como resultado de la carga. Edición en línea Si no hay firma de tarea de seguridad y el controlador está en desbloqueo de seguridad, es posible realizar ediciones en línea de las rutinas de seguridad. SUGERENCIA No se pueden editar instrucciones estándar ni instrucciones Add-On de seguridad mientras se está en línea. No puede haber ediciones pendientes cuando el controlador está en bloqueo de seguridad o cuando hay una firma de tarea de seguridad. Pueden existir ediciones en línea cuando el controlador está en bloqueo de seguridad. Sin embargo, estas no se pueden ensamblar ni cancelar. SUGERENCIA Las ediciones en línea en las rutinas estándar no se ven afectadas por el estado de bloqueo o de desbloqueo de seguridad. Para obtener más información acerca de cómo realizar ediciones en el programa de aplicación consulte la página 59. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

58 Capítulo 6 Desarrollo de la aplicación de seguridad Almacenamiento y carga de un proyecto desde la memoria no volátil Los controladores GuardLogix 5570 admiten actualizaciones de firmware y almacenamiento y recuperación de programas de usuario mediante una tarjeta de memoria. En un sistema GuardLogix, solo el controlador primario usa una tarjeta de memoria como memoria no volátil. Cuando usted almacena un proyecto de seguridad en una tarjeta de memoria, Rockwell Automation recomienda que seleccione Remote Program como modo de carga, es decir, el modo al que entra el controlador después de la carga. Antes de que la máquina pueda ponerse en funcionamiento es necesario que el operador intervenga para arrancar la máquina. Es posible iniciar una carga desde memoria no volátil solo bajo estas condiciones: Si el tipo de controlador especificado por el proyecto almacenado en la memoria no volátil coincide con el tipo del controlador Si las revisiones mayor y menor del proyecto alojadas en memoria no volátil coinciden con las revisiones mayor y menor del controlador Si su controlador no está en el modo Run La carga de un proyecto a un controlador con bloqueo de seguridad está permitido solo cuando la firma de tarea de seguridad del proyecto almacenado en la memoria no volátil coincide con el proyecto en el controlador. Si las firmas no coinciden o el controlador tiene bloqueo de seguridad sin una firma de tarea de seguridad, primero debe desbloquear el controlador antes de actualizar el controlador mediante la memoria no volátil. IMPORTANTE Si usted desbloquea el controlador e inicia una carga desde la memoria no volátil, el estado de bloqueo de seguridad, las contraseñas y la firma de tarea de seguridad se establecen con los valores contenidos en la memoria no volátil una vez que la carga ha sido completada. Forzar datos Todos los datos contenidos en un tag de seguridad de E/S, producido o consumido, incluido CONNECTION_STATUS, pueden ser forzados mientras el proyecto está en desbloqueo de seguridad y no existe una firma de tarea de seguridad. Sin embargo, los forzados no solo deben ser inhabilitados sino también desinstalados en todos los tags de seguridad para que el proyecto de seguridad pueda estar en bloqueo de seguridad o para que se pueda generar una firma de tarea de seguridad. Los tags de seguridad no se pueden forzar mientras el proyecto esté en bloqueo de seguridad ni cuando exista una firma de tarea de seguridad. SUGERENCIA Es posible instalar y desinstalar los forzados en los tags estándar, independientemente de si el estado es de bloqueo o de desbloqueo de seguridad. Inhibir un dispositivo No es posible inhibir o desinhibir dispositivos de E/S CIP Safety ni controladores productores si el programa de aplicación está en bloqueo de seguridad o si existe una firma de tarea de seguridad. 58 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

59 Desarrollo de la aplicación de seguridad Capítulo 6 Siga estos pasos para inhibir un dispositivo específico de E/S de seguridad. 1. En la aplicación Logix Designer, haga clic con el botón derecho del mouse en el dispositivo y seleccione Properties. 2. En el cuadro de diálogo Module Properties, haga clic en la ficha Connection. 3. Seleccione Inhibit Connection y haga clic en Apply. El dispositivo está inhibido siempre que la casilla de verificación esté seleccionada. Si un dispositivo de comunicación está inhibido, todos los dispositivos en la rama descendente también están inhibidos. Editar la aplicación de seguridad Las siguientes reglas se aplican al cambio del programa de aplicación de seguridad en la aplicación Logix Designer: Solo personal autorizado y con la debida capacitación puede realizar ediciones en los programas. Este personal debe utilizar todos los métodos de supervisión disponibles como, por ejemplo, protecciones mediante contraseñas para el software e interruptor de llave para el controlador. Cuando el personal debidamente autorizado y capacitado realiza ediciones en los programas, este personal asume la responsabilidad de la seguridad central mientras se realizan los cambios. Este personal también debe mantener la operación segura de la aplicación. Cuando se realiza una edición en línea es necesario utilizar un mecanismo de protección alternativo para mantener la seguridad del sistema. Es necesario documentar suficientemente todas las ediciones del programa, incluidas las siguientes: Autorización Análisis de impacto Ejecución Información de prueba Información de la revisión Si existen ediciones en línea solo en las rutinas estándar, no es necesario validar esas ediciones antes de volver a la operación normal. Es necesario asegurarse de que los cambios en la rutina estándar, con respecto a la temporización y a la asignación de tags, sean aceptables para su aplicación de seguridad. Es posible editar la parte lógica de su programa, ya sea en línea o fuera de línea, tal y como se describe en las siguientes secciones. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

60 Capítulo 6 Desarrollo de la aplicación de seguridad Ediciones fuera de línea Cuando se realizan ediciones fuera de línea solamente a elementos del programa estándar y si la firma de tarea de seguridad coincide después de la descarga, entonces es posible reanudar la operación. Cuando las ediciones fuera de línea afectan el programa de seguridad, antes de reanudar la operación es necesario volver a validar todos los elementos afectados de la aplicación, según lo determinado por el análisis de impacto. El diagrama de flujo de la página 61 ilustra el proceso de edición fuera de línea. Ediciones en línea Si las ediciones en línea afectan el programa de seguridad, antes de reanudar la operación es necesario volver a validar todos los elementos afectados de la aplicación, según lo determinado por el análisis de impacto. El diagrama de flujo de la página 61 ilustra el proceso de edición en línea. SUGERENCIA Limite las ediciones en línea a modificaciones menores en los programas, como cambios de puntos de ajuste o adiciones, eliminaciones y modificaciones menores en la lógica. Las ediciones en línea se ven afectadas por las funciones de bloqueo de seguridad y de firma de tarea de seguridad del controlador GuardLogix. Para obtener más información consulte Generar la firma de tarea de seguridad en la página 53 y Bloquear el controlador GuardLogix en la página 56. Para obtener información detallada acerca de cómo editar la lógica de escalera en la aplicación Logix Designer mientras está en línea, consulte el documento Logix5000 Controllers Quick Start, publicación 1756-QS001. Modificación de la prueba de impacto Cualquier modificación, mejora o adaptación de su software validado debe planificarse y analizarse para determinar el impacto en el sistema de seguridad funcional. Todas las fases apropiadas del ciclo de vida de seguridad del software deben llevarse a cabo según lo indicado por el análisis de impacto. Como mínimo deben llevarse a cabo pruebas funcionales de todo el software afectado. Todas las modificaciones en las especificaciones del software deben documentarse. También deben documentarse los resultados de las pruebas. Consulte IEC , Sección 7.8, Modificación de software, para obtener información detallada. 60 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

61 Desarrollo de la aplicación de seguridad Capítulo 6 Figura 16 Proceso de edición en línea y fuera de línea Edición fuera de línea Edición en línea Abrir proyecto Adjuntar al controlador No Hay cambios de seguridad? Sí Desbloquear el controlador Hay cambios de seguridad? Sí No Realizar las modificaciones deseadas en la lógica estándar Realizar las modificaciones deseadas en la lógica estándar Adjuntar al controlador y descargar Eliminar la firma de aplicación de seguridad Realizar las modificaciones deseadas en la lógica de seguridad Desbloquear el controlador Eliminar la firma de aplicación de seguridad Realizar las modificaciones deseadas Probar el programa de aplicación Probar el programa de aplicación Adjuntar al controlador y descargar Probar el programa de aplicación FIN Confirmar el proyecto Generar la firma de tarea de seguridad Modificación de la prueba de impacto Hacer las modificaciones necesarias Pasó las pruebas? Sí Confirmar el proyecto No Eliminar la firma de aplicación de seguridad FIN Registrar la firma de aplicación de seguridad Validación de seguridad (revisión independiente) Es válido el proyecto? No Sí Bloquear el controlador/fin FIN Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

62 Capítulo 6 Desarrollo de la aplicación de seguridad Notas: 62 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

63 Capítulo 7 Monitoreo de estado y manejo de fallos Tema Página Monitoreo del estado del sistema 63 Fallos del sistema GuardLogix 66 La arquitectura GuardLogix le proporciona muchas formas de detectar fallos del sistema y reaccionar ante ellos. La primera forma en que usted puede manejar los fallos consiste en asegurarse de haber completado las listas de verificación de sus aplicaciones (vea Apéndice D). Monitoreo del estado del sistema Se puede ver el estado de las conexiones de tags de seguridad. También se puede determinar el estado operativo actual al interrogar varios objetos de dispositivos. Es su responsabilidad determinar qué datos son los más adecuados para iniciar una secuencia de desactivación. Datos de CONNECTION_STATUS El primer miembro de la estructura de tags asociada con datos de entrada de seguridad y con datos de tags de seguridad producidos/consumidos contiene el estado de la conexión. Este miembro es un tipo de datos predefinido que se denomina CONNECTION_STATUS. Figura 17 Cuadro de diálogo Data Type Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

64 Capítulo 7 Monitoreo de estado y manejo de fallos Los primeros dos bits del tipo de datos CONNECTION_STATUS contienen los bits de estado RunMode y ConnectionFaulted de un dispositivo. La siguiente tabla describe las combinaciones de los estados RunMode y ConnectionFaulted. Tabla 8 Estado de la conexión de seguridad Estado RunMode Estado ConnectionFaulted Operación de conexión de seguridad 1 = Run 0 = Válido El dispositivo productor está controlando activamente los datos. El dispositivo productor está en el modo Run. 0 = Idle 0 = Válido La conexión está activa y el dispositivo productor está en estado inactivo. Los datos de seguridad han sido restablecidos a cero. 0 = Idle 1 = Fallo La conexión de seguridad ha fallado. Se desconoce el estado del dispositivo productor. Los datos de seguridad han sido restablecidos a cero. 1 1 Estado inválido ATENCIÓN: Las conexiones Safety I/O y las conexiones producidas/consumidas no se pueden configurar automáticamente para que produzcan un fallo en el controlador si se pierde una conexión y el sistema realiza la transición al estado seguro. Por tanto, si necesita detectar un fallo en el dispositivo para asegurarse de que el sistema mantiene el nivel SIL 3, debe monitorear los bits de CONNECTION_STATUS de Safety I/O e iniciar el fallo a través de la lógica del programa. Diagnósticos de entrada y salida Los módulos de Guard I/O proporcionan capacidades de prueba de impulsos y de monitoreo. Si el módulo detecta un fallo, establece la entrada o la salida perturbadora en su estado de seguridad e informa del fallo al controlador. La indicación de fallo se realiza mediante el estado de entrada o salida, y se mantiene durante un período de tiempo configurable después de que se repara el fallo. IMPORTANTE Usted es responsable de proporcionar la lógica de la aplicación para enclavar estos fallos de E/S y de asegurarse que el sistema se reinicie correctamente. Estado de conexión de dispositivo de E/S El protocolo CIP Safety proporciona el estado de cada dispositivo de E/S del sistema de seguridad. Si se detecta un fallo en la conexión de entrada, el sistema operativo pone todas las entradas del dispositivo en su estado desenergizado (de seguridad) y el estado de la entrada asociada en fallo. Si se detecta un fallo de conexión de salida, el sistema operativo establece el estado de la salida asociada en condición de fallo. El dispositivo de salida desactiva las salidas. IMPORTANTE Usted es responsable de proporcionar la lógica de la aplicación para enclavar estos fallos de E/S y de asegurarse que el sistema se reinicie correctamente. 64 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

65 Monitoreo de estado y manejo de fallos Capítulo 7 Sistema de desenergizar para activar Los controladores GuardLogix forman parte de un sistema de desenergizar para activar, lo cual significa que cero es el estado de seguridad. Algunos fallos del dispositivo de E/S de seguridad, aunque no todos, causan que todas las entradas o salidas del dispositivo se establezcan en cero (estado de seguridad). Los fallos asociados a un canal de entrada específico causan que dicho canal específico se establezca en cero; por ejemplo, un fallo de prueba de impulso específico del canal 0 causa que los datos de entrada del canal 0 se establezcan en el estado de seguridad (0). Si un fallo es general para el dispositivo y no corresponde a un canal específico, el bit de estado combinado muestra el estado del fallo y todos los datos del dispositivo se establecen en el estado de seguridad (0). Para obtener información sobre cómo usar las instrucciones de aplicación de seguridad consulte el Apéndice F de este manual y el documento GuardLogix Safety Application Instructions Safety Reference Manual, publicación 1756-RM095. Instrucciones GSV (obtener valor del sistema) y SSV (establecer valor del sistema) Las instrucciones GSV y SSV permiten obtener (GSV) y establecer (SSV) datos del sistema controlador que están almacenados en objetos de dispositivos. Cuando se introduce una instrucción GSV o SSV, el software de programación muestra las clases válidas de objetos, los nombres de objetos y los nombres de atributos de cada instrucción. Existen restricciones en cuanto al uso de las instrucciones GSV y SSV con componentes de seguridad. IMPORTANTE La tarea de seguridad no puede realizar operaciones GSV o SSV en atributos estándar. Los atributos de los objetos de seguridad que puede escribir la tarea estándar son solo para fines de diagnóstico. No afectan la ejecución de la tarea de seguridad. Para obtener más información sobre qué atributos son accesibles mediante las instrucciones GSV y SSV consulte el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022. Si desea obtener información general acerca del uso de las instrucciones GSV y SSV consulte el documento Logix5000 Controllers General Instructions Reference Manual, publicación 1756-RM003. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

66 Capítulo 7 Monitoreo de estado y manejo de fallos Fallos del sistema GuardLogix Los fallos en el sistema GuardLogix se dividen en estas tres categorías: Fallos no recuperables de controlador Fallos no recuperables de seguridad Fallos recuperables Para obtener información acerca de cómo manejar los fallos consulte el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022. Fallos no recuperables de controlador Si falla el diagnóstico interno del controlador se presenta un fallo no recuperable de controlador. La asociación se pierde cuando se presenta un fallo no recuperable de controlador, ya sea en el controlador primario o en el homólogo de seguridad, lo cual hace que el otro genere un fallo de interrupción no recuperable del temporizador de vigilancia. La ejecución de la tarea estándar y de la tarea de seguridad se detienen, y Safety I/O realiza una transición al estado seguro. En el caso de la recuperación de un fallo no recuperable de controlador es necesario realizar una descarga del programa de aplicación. Fallos no recuperables de seguridad En caso de que se produzca un fallo no recuperable de seguridad, el controlador registra el fallo en el gestor de fallos restringidos al controlador y desactiva la tarea de seguridad, incluidas Safety I/O y la lógica de seguridad. Para recuperarse de un fallo no recuperable de seguridad se reinicializa la memoria de seguridad, ya sea desde la firma de tarea de seguridad (sucede automáticamente cuando se borra el fallo) o, si no existe una firma de tarea de seguridad, mediante una descarga explícita del proyecto de seguridad. Usted puede anular el fallo de seguridad si borra la entrada del registro de fallos por medio del gestor de fallos de seguridad restringido al controlador. Esto permite que las tareas estándar sigan funcionando. ATENCIÓN: La anulación del fallo de seguridad no lo borra. Si usted anula el fallo de seguridad, es su responsabilidad comprobar que al hacerlo se mantenga el nivel SIL Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

67 Monitoreo de estado y manejo de fallos Capítulo 7 Fallos recuperables Los fallos del controlador originados por errores de programación del usuario en un programa de seguridad activan el controlador para que procese la lógica contenida en el gestor de fallos del programa de seguridad del proyecto. El gestor de fallos del programa de seguridad proporciona a la aplicación la oportunidad de resolver la condición de fallo y posteriormente realizar la recuperación. ATENCIÓN: Usted debe presentar una prueba al organismo certificador de que la recuperación automática de los fallos recuperables mantiene el SIL 3. Cuando no existe un gestor de fallos del programa de seguridad o el fallo no se puede recuperar a través de éste, el controlador procesa la lógica en el gestor de fallos restringido al controlador, con lo cual cancela la lógica del programa de seguridad y deja las conexiones Safety I/O activas, pero en estado inactivo. IMPORTANTE Cuando la ejecución de la lógica del programa de seguridad se cancela debido a un fallo recuperable que no se maneja a través del gestor de fallos del programa de seguridad, las conexiones Safety I/O se cierran y se vuelven a abrir, para reinicializar las conexiones de seguridad. Si la lógica del usuario se cancela como resultado de un fallo recuperable que no se recupera, las salidas de seguridad se ponen en el estado seguro y el productor de los tags consumidos de seguridad da instrucciones a los consumidores para ponerlos en el estado seguro. SUGERENCIA Cuando se utilizan E/S de seguridad para aplicaciones estándar, esas reciben instrucciones para ponerse en estado seguro si la lógica del usuario finaliza como resultado de un fallo recuperable que no se recupera. Si se anula un fallo recuperable de seguridad en el gestor de fallos restringido al controlador, solo las tareas estándar siguen funcionando. Si el fallo no se anula, las tareas estándar también se desactivan. ATENCIÓN: La anulación del fallo de seguridad no lo borra. Si usted anula el fallo de seguridad, es su responsabilidad comprobar que al hacerlo se mantenga el nivel SIL 3. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

68 Capítulo 7 Monitoreo de estado y manejo de fallos Notas: 68 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

69 Apéndice A Instrucciones de seguridad Para obtener la información más reciente vea nuestros certificados de seguridad en La Tabla 9 y la Tabla 10 listan las instrucciones de aplicación certificadas para usar en aplicaciones SIL 3. Tabla 9 Instrucciones generales de aplicaciones de seguridad Mnemónico Nombre Finalidad Certificación CROUT Salida redundante configurable Controla y monitorea salidas redundantes. BG TÜV DCA Entrada de doble canal Analógica (versión de números enteros) TÜV DCAF Entrada de doble canal Analógica (versión de punto flotante (coma flotante)) Monitorea la desviación y la tolerancia de rango de dos valores analógicos. DCS Entrada de doble canal Paro Monitorea dispositivos de seguridad de entrada doble cuyo propósito principal es proporcionar una función de paro como, por ejemplo, paro de emergencia, cortina de luz o interruptor de puerta. DCST DCSTL DCSTM Entrada de doble canal Paro con prueba Entrada de doble canal Paro con prueba y bloqueo Entrada de doble canal Paro con prueba y silenciamiento DCM Entrada de doble canal Monitoreo Monitorea dispositivos de seguridad de entrada doble cuyo propósito principal es proporcionar una función de paro como, por ejemplo, paro de emergencia, cortina de luz o interruptor de puerta. Incluye la capacidad adicional de iniciar una prueba funcional del dispositivo de paro. Monitorea dispositivos de seguridad de entrada doble cuyo propósito principal es proporcionar una función de paro como, por ejemplo, paro de emergencia, cortina de luz o interruptor de puerta. Incluye la capacidad adicional de iniciar una prueba funcional del dispositivo de paro. Puede monitorear una señal de retroalimentación proveniente de un dispositivo de seguridad y emitir una petición de bloqueo a un dispositivo de seguridad. Monitorea dispositivos de seguridad de entrada doble cuyo propósito principal es proporcionar una función de paro como, por ejemplo, paro de emergencia, cortina de luz o interruptor de puerta. Incluye la capacidad adicional de iniciar una prueba funcional del dispositivo de paro, y además la capacidad de silenciar el dispositivo de seguridad. BG TÜV BG TÜV BG TÜV Monitorea dispositivos de seguridad de entrada doble. BG TÜV DCSRT Entrada de doble canal Arranque Energiza dispositivos de seguridad de entrada doble cuya función principal es arrancar una máquina de manera segura como, por ejemplo, una consola colgante habilitante. SMAT Tapete de seguridad Indica si el tapete de seguridad está ocupado. TÜV THRSe Estación de mando a dos manos Características mejoradas Monitorea dos entradas de seguridad diversas: una desde un botón pulsador para la mano derecha y otra desde un botón pulsador para la mano izquierda, a fin de controlar una sola salida. Proporciona tiempo de discrepancia configurable canal a canal, y capacidad mejorada para evitar una estación de mando a dos manos. TSAM Muting asimétrico de dos sensores Inhabilita automáticamente la función de protección de una cortina óptica temporalmente, mediante dos sensores de muting dispuestos de forma asimétrica. TSSM Muting simétrico de dos sensores Inhabilita automáticamente la función de protección de una cortina óptica temporalmente, mediante dos sensores de muting dispuestos de forma simétrica. FSBM Muting bidireccional de cuatro sensores Inhabilita automáticamente la función de protección de una cortina óptica temporalmente mediante cuatro sensores dispuestos secuencialmente antes y después del campo de detección de la cortina óptica. TÜV BG TÜV BG TÜV TÜV TÜV TÜV Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

70 Apéndice A Instrucciones de seguridad Tabla 10 Instrucciones de aplicaciones de seguridad en formado de metales Mnemónico Nombre Finalidad Certificación CBCM Embrague/freno Modo Se usa en aplicaciones de prensa cuando se selecciona la operación continua. BG continuo TÜV CBIM CBSSM Embrague/freno Modo de avance a pasos Embrague/freno Modo de ciclo sencillo Se usa en aplicaciones de prensas que requieren ajustes menores del carro como, por ejemplo, durante la configuración de la prensa. Las rutinas en la tarea de seguridad pueden usar estas instrucciones de seguridad de lógica de escalera. Tabla 11 Instrucciones de seguridad de lógica de escalera BG TÜV Se usa en aplicaciones de prensa de un solo ciclo. BG TÜV CPM Monitor de posición de cigüeñal Se usa para determinar la posición del carro de la prensa. BG TÜV CSM Monitor de árbol de levas Monitorea el movimiento en operaciones de arranque, paro y marcha de un árbol de levas. BG TÜV EPMS Selector de modo de ocho posiciones Monitorea ocho entradas de seguridad para controlar una de las ocho salidas que corresponden a la entrada activa. BG TÜV AVC Control de válvula auxiliar Controla una válvula auxiliar que se usa con una válvula principal. TÜV MVC Control de válvula principal Controla y monitorea una válvula principal. BG TÜV MMVC Control manual de válvula en Se usa para accionar manualmente una válvula durante las operaciones de mantenimiento. BG mantenimiento TÜV Tipo Mnemónico Nombre Finalidad Matriz (archivo) Bit Timer FAL (1) Aritmética y lógica de archivo Realizar operaciones de copia, aritméticas, lógicas y de función en los datos almacenados en una matriz FLL (1) Llenado de archivo Llenar el elemento en una matriz con el valor de origen, sin cambiar el valor de origen FSC (1) Búsqueda y comparación de Comparar el valor en una matriz, elemento por elemento archivo SIZE (1) Dimensionar elementos Buscar la magnitud de una dimensión de una matriz XIC Examinar si está cerrado Habilitar salidas cuando se establece un bit. XIO Examinar si está abierto Habilitar salidas cuando se borra un bit. OTE Activación de salida Establecer un bit. OTL Enclavamiento de salida Establecer un bit (retentivo). OTU Desenclavamiento de salida Borrar un bit (retentivo). ONS Un impulso Activar un evento para que ocurra una sola vez. OSR Un impulso en flanco Activar un evento para que ocurra una sola vez en el flanco ascendente (de estado falso a verdadero). ascendente OSF Un impulso en flanco descendente Activar un evento una sola vez en el flanco descendente (de estado verdadero a falso). TON Temporizador de retardo a la Contabilizar el tiempo que un temporizador está habilitado. conexión TOF Temporizador de retardo a la Contabilizar el tiempo que un temporizador está inhabilitado. desconexión RTO Temporizador retentivo Acumular tiempo. activado CTU Conteo progresivo Conteo progresivo CTD Conteo regresivo Conteo regresivo RES Restablecimiento Restablecer un temporizador o un contador. 70 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

71 Instrucciones de seguridad Apéndice A Tabla 11 Instrucciones de seguridad de lógica de escalera Tipo Mnemónico Nombre Finalidad Comparación Movimiento Lógico Control de programa Matemáticas/ Cálculo E/S CMP (1)(2) Comparación Realizar una comparación de las operaciones aritméticas que se especifican en la expresión. EQU Igual a Probar si dos valores son iguales. GEQ Mayor o igual que Probar si un valor es mayor o igual a un segundo valor. GRT Mayor que Probar si un valor es mayor a un segundo valor. LEQ Menor o igual que Probar si un valor es menor o igual a un segundo valor. LES Menor que Probar si un valor es menor a un segundo valor. MEQ Comparación enmascarada de Pasar la fuente, comparar los valores a través de una máscara y determinar si son iguales. igualdad NEQ Desigual a Probar si un valor no es igual a un segundo valor. LIM Prueba de límite Probar si un valor está dentro de un rango determinado. CLR Borrado Borrar un valor. COP (3) Copiado Copiar un valor MOV Movimiento Copiar un valor MVM Mover con máscara Copiar una parte específica de un entero. SWPB (1) Intercambio de byte Reacomodar los bytes de un valor. AND Función Y a nivel de bits Realizar la función Y a nivel de bits. NOT Función NO a nivel de bits Realizar la función NOT a nivel de bits. OR Función O a nivel de bits Realizar la función O a nivel de bits. XOR Función O a nivel de bits exclusiva Realizar la función O a nivel de bits exclusiva. JMP Salto a etiqueta Saltar sobre una sección de lógica que no siempre debe ser ejecutada (salta a la instrucción de la etiqueta referenciada). LBL Etiqueta Etiquetar una instrucción para que pueda ser referenciada por una instrucción JMP. JSR Salto a subrutina Saltar a otra rutina. RET Retorno Retornar los resultados de una subrutina. SBR Subrutina Pasar datos a una subrutina. TND Fin temporal Marcar un fin temporal que detiene la ejecución de la rutina. MCR Restablecimiento de control Inhabilitar cada renglón de una sección de lógica maestro AFI Instrucción siempre falso Inhabilitar un renglón. NOP Ninguna operación Insertar un indicador de posición en la lógica. EVENT Activación de tarea de evento Activar la ejecución de una tarea de evento. (5) ADD Suma Sumar dos valores. CPT (1) Cálculo Realizar la operación aritmética definida en la expresión SUB Resta Restar dos valores. MUL Multiplicación Multiplicar dos valores. DIV División Dividir dos valores. MOD Modulus Determinar el residuo después de que un valor se divide entre un segundo valor. SQR Raíz cuadrada Calcular la raíz cuadrada de un valor. NEG Negar Tomar el signo opuesto de un valor. ABS Valor absoluto Tomar el valor absoluto de un valor. GSV (4) Obtener valor del sistema Obtener información de estado del controlador. SSV (4) Establecer valor del sistema Establecer información de estado del controlador. (1) Solo en los controladores 1756-L7xS y 1756-L7xSXT. En el tipo de datos REAL se acepta el formato de punto flotante (coma flotante) para rutinas de seguridad en los controladores 1756-L7xS y 1756-L7xSXT. (2) Los operandos avanzados, tales como SIN, COS y TAN no son compatibles en las rutinas de seguridad. (3) La longitud del operando debe ser una constante cuando se utiliza la instrucción COP en una rutina de seguridad. La longitud del origen y del destino deben ser iguales. (4) Consulte el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022, para obtener información sobre consideraciones especiales al usar las instrucciones GSV y SSV. (5) La instrucción del evento acciona un escán de la tarea estándar. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

72 Apéndice A Instrucciones de seguridad IMPORTANTE Si está usando comandos directos de movimiento con un servovariador Kinetix 5500, consulte el documento Kinetix 5500 Servo Drives User Manual, publicación 2198-UM001, para obtener información sobre como usar esta función en aplicaciones de seguridad. Consulte estas publicaciones para obtener más información. Tabla 12 Recursos adicionales Recurso GuardLogix Safety Application Instruction Set Reference Manual, publicación 1756-RM095 Logix5000 Controllers General Instructions Reference Manual, publicación 1756-RM003 Descripción Proporciona más información acerca de las instrucciones de aplicaciones de seguridad. Contiene información detallada sobre el conjunto de instrucciones Logix. 72 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

73 Apéndice B Instrucciones Add-On de seguridad Tema Página Crear y usar una instrucción Add-On de seguridad 73 Recursos adicionales 78 Con la aplicación Logix Designer se pueden crear instrucciones Add-On de seguridad. Las instrucciones Add-On de seguridad permiten encapsular en una sola instrucción la lógica de seguridad usada comúnmente, lo que la hace modular y más fácil de volver a utilizar. Las instrucciones Add-On de seguridad usan la firma de instrucción de las instrucciones Add-On de alta integridad además de una firma de instrucción de seguridad SIL 3 para funciones asociadas con la seguridad hasta el nivel SIL 3. Crear y usar una instrucción Add-On de seguridad El diagrama de flujo en la página 74 muestra los pasos requeridos para crear una instrucción Add-On de seguridad y posteriormente usar dicha instrucción en un programa de aplicación de seguridad SIL 3. Los ítems sombreados son pasos exclusivos de instrucciones Add-On. Los ítems en negrita se explican en las páginas que siguen al diagrama de flujo. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

74 Apéndice B Instrucciones Add-On de seguridad Figura 18 Diagrama de flujo para crear y usar instrucciones Add-On de seguridad Para crear una instrucción Add-On de seguridad Para usar una instrucción Add-On de seguridad Para modificar una instrucción Add-On de seguridad (fuera de línea) Crear un proyecto de prueba de instrucción Add-On Crear o abrir un proyecto Crear una instrucción Add-On de seguridad Importar una instrucción Add-On de seguridad Generar una firma de instrucción Crear/modificar una aplicación Crear/modificar un programa de prueba Descargar Modificar una instrucción Add-On de seguridad Descargar (Generar una firma de instrucción de seguridad) Verificar firmas de instrucción Add-On de seguridad Eliminar firma de instrucción Cambiar al modo Run Regresar al proyecto de prueba original No Firma de instrucción válida? Sí Ir fuera de línea Realizar prueba de calificación de instrucción Add-On SIL 3 Regresar al proyecto de prueba original No Firma de instrucción de seguridad válida? Eliminar firma de tarea de seguridad, si la hay. No Todas las pruebas aprobadas? Sí Probar el programa de aplicación Sí Confirmar proyecto Cambiar al modo Program Validar la seguridad de la instrucción Add-On Crear la firma de tarea de seguridad Crear entrada de historial de firmas (fuera de línea) Registrar firma de instrucción, fecha/hora y firma de instrucción de seguridad Exportar instrucción Add-On de seguridad Instrucción Add-On de seguridad disponible para ser usada Sí Hacer las modificaciones necesarias Eliminar la firma de tarea de seguridad No Se requieren cambios a la instrucción Add-On? Confirmar proyecto Cambiar al modo Run Prueba de verificación del proyecto No Todas las pruebas aprobadas? Registrar la firma de tarea de seguridad Sí Validar la seguridad del proyecto No Proyecto válido? Sí Fin 74 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

75 Instrucciones Add-On de seguridad Apéndice B Crear un proyecto de prueba de instrucción Add-On Usted debe crear un proyecto de prueba único, específicamente para crear y probar la instrucción Add-On de seguridad. Este proyecto debe ser un proyecto independiente y dedicado para minimizar las influencias inesperadas. Siga las pautas para proyectos descritas en la sección Crear el proyecto en la página 53. Crear una instrucción Add-On de seguridad Para obtener información sobre cómo crear instrucciones Add-On consulte el documento Logix5000 Controllers Add-On Instruction Programming Manual, publicación 1756-PM010. Generar una firma de instrucción La firma de instrucción le permite determinar rápidamente si la instrucción ha sido modificada. Cada instrucción Add-On puede tener su propia firma. Se requiere la firma de instrucción cuando se usa una instrucción Add-On en funciones relacionadas con la seguridad, y algunas veces es posible que sea un requisito en industrias reguladas. Úsela cuando su aplicación requiera un nivel más alto de integridad. La firma de instrucción consiste de un número de identificación y de un sello de hora que identifican el contenido de la instrucción Add-On en un momento dado. La firma de instrucción, una vez que ha sido generada, sella la instrucción Add-On lo que evita que la instrucción sea editada mientras la firma esté implementada. Esta restricción incluye comentarios de renglón, descripciones de tags y toda documentación de instrucción que haya sido creada. Cuando la instrucción está sellada solo se pueden realizar las siguientes acciones: copiar la firma de instrucción; crear o copiar una entrada de historial de firmas; crear instancias de la instrucción Add-On; descargar la instrucción; retirar la firma de instrucción; imprimir informes. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

76 Apéndice B Instrucciones Add-On de seguridad Cuando se ha generado una firma de instrucción, la aplicación Logix Designer muestra la definición de la instrucción con el icono de sello. IMPORTANTE Si usted va a proteger una instrucción Add-On mediante la función de protección de fuente de la aplicación Logix Designer, es necesario que habilite la protección de fuente antes de generar la firma de instrucción. Descargar y generar la firma de instrucción de seguridad Cuando se descarga por primera vez una instrucción Add-On de seguridad, automáticamente se genera una firma de instrucción de seguridad SIL 3. La firma de instrucción de seguridad es un número de identificación que identifica las características de ejecución de la instrucción Add-On de seguridad. Prueba de calificación de instrucción Add-On SIL 3 La instrucción Add-On de seguridad SIL 3 debe ejecutarse en una aplicación independiente y dedicada para asegurar que se mantengan al mínimo las influencias inesperadas. Usted debe seguir un plan de prueba bien diseñado y realizar una prueba de unidad de la instrucción Add-On de seguridad que cubra todas las rutas de ejecución posibles a través de la lógica, incluidos los rangos válidos y no válidos de todos los parámetros de entrada. El desarrollo de todas las instrucciones Add-On de seguridad debe satisfacer la norma IEC Requisitos de prueba de módulo de software, que proporciona requisitos detallados para la prueba de unidades. Confirmar el proyecto Es necesario imprimir o ver el proyecto y comparar manualmente los ítems cargados, a saber, las configuraciones del controlador y las E/S de seguridad, los datos de seguridad, las definiciones de la instrucción Add-On de seguridad y la lógica del programa de la tarea de seguridad, para asegurarse de que se hayan descargado los componentes de seguridad adecuados, que hayan sido probados y que hayan sido conservados en el programa de aplicación de seguridad. Consulte la descripción de un método de confirmación de un proyecto en Confirmar el proyecto en la página Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

77 Instrucciones Add-On de seguridad Apéndice B Validar la seguridad de instrucciones Add-On Es posible que sea necesario que un tercero realice una revisión independiente de la instrucción Add-On de seguridad antes de que dicha instrucción quede aprobada para ser usada. IEC SIL 3 requiere que un tercero independiente realice una validación. Crear entrada de historial de firmas El historial de firmas proporciona un registro para referencia futura. Una entrada de historial de firmas consta de la firma de la instrucción, del nombre del usuario, del valor del sello de hora y de una descripción definida por el usuario. Es posible almacenar hasta seis entradas de historial. Es necesario estar fuera de línea para crear una entrada de historial de firma. SUGERENCIA El informe de listado de firmas en la aplicación Logix Designer imprime la firma de instrucción, el sello de hora y la firma de instrucción de seguridad. Para imprimir el informe haga clic con el botón derecho del mouse en la instrucción Add-On en Controller Organizer y seleccione Print>Signature Listing. Exportar e importar la instrucción Add-On de seguridad Cuando vaya a exportar una instrucción Add-On de seguridad, seleccione la opción para incluir todas las instrucciones Add-On referenciadas y todos los tipos definidos por el usuario en el mismo archivo de exportación. Incluir las instrucciones Add-On referenciadas facilita la conservación de las firmas. Al importar las instrucciones Add-On considere las pautas siguientes: No es posible importar una instrucción Add-On de seguridad a un proyecto estándar. No es posible importar una instrucción Add-On de seguridad a un proyecto de seguridad que tenga un bloqueo de seguridad o una firma de tarea de seguridad. No es posible importar una instrucción Add-On de seguridad mientras se está en línea. Si se importa una instrucción Add-On con una firma de instrucción en un proyecto donde las instrucciones Add-On referenciadas o los tipos definidos por el usuario no están disponibles, quizás sea necesario eliminar la firma. Verificar firmas de instrucción Add-On de seguridad Después de descargar el proyecto de aplicación que contiene la instrucción Add-On de seguridad importada, es necesario comparar el valor de la firma de instrucción, la fecha y el sello de hora, y los valores de firmas de instrucción de seguridad con los valores originales registrados antes de exportar la instrucción Add-On de seguridad. Si coinciden, la instrucción Add-On de seguridad es válida y usted puede continuar con la validación de su aplicación. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

78 Apéndice B Instrucciones Add-On de seguridad Probar el programa de aplicación Este paso consta de cualquier combinación de modo de marcha Run y de programación Program, ediciones de programa en línea o fuera de línea, cargas y descargas, y pruebas informales necesarias para que la aplicación funcione debidamente. Prueba de verificación del proyecto Realice una prueba de ingeniería de la aplicación, incluido el sistema de seguridad. Vea Prueba de verificación de proyecto en la página 54 para obtener más información sobre los requisitos. Validar la seguridad del proyecto Es posible que sea necesario que un tercero independiente revise el sistema de seguridad antes de que éste quede aprobado para funcionar. IEC SIL 3 requiere que un tercero independiente realice una validación. Recursos adicionales Para obtener más información sobre cómo usar las instrucciones Add-On, consulte estas publicaciones. Recurso Logix5000 Controllers Add-On Instructions Programming Manual, publicación 1756-PM010 Import/Export Project Components Programming Manual, publicación 1756-PM019 Descripción Proporciona información sobre cómo planificar, crear, usar, importar y exportar instrucciones Add-On en aplicaciones RSLogix 5000 Contiene información detallada sobre cómo importar y exportar componentes del proyecto 78 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

79 Apéndice C Tiempos de reacción Tema Página Tiempo de reacción del sistema 79 Tiempo de reacción del sistema Logix 79 Tiempo de reacción del sistema Para determinar el tiempo de reacción del sistema de cualquier cadena de control, es necesario sumar los tiempos de reacción de todos los componentes de la cadena de seguridad. Tiempo de reacción del sistema = Tiempo de reacción de sensores + Tiempo de reacción del sistema Logix + Tiempo de reacción de accionadores Figura 19 Tiempo de reacción del sistema Tiempo de reacción del sistema Tiempo de reacción de sensor Tiempo de reacción de entrada Tiempo de reacción de la tarea de seguridad Tiempo de reacción de salida Tiempo de reacción de accionador tiempo de reacción del sistema Logix Retardo de dispositivo de entrada Límite de tiempo de reacción de conexión de entrada Período de tarea de seguridad + Temporizador de vigilancia de tarea de seguridad Límite de tiempo de reacción de conexión de salida Retardo de dispositivo de salida Tiempo de reacción del sistema Logix Las siguientes secciones proporcionan información acerca de cómo calcular el tiempo de reacción del sistema Logix de una cadena sencilla de entrada-lógica-salida y para una aplicación más compleja utilizando tags de seguridad producidos/consumidos en la cadena lógica. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

80 Apéndice C Tiempos de reacción Cadena sencilla de entrada-lógica-salida Figura 20 Tiempo de reacción en el peor de los casos del sistema Logix de una entrada sencilla a lógica y a salida 3. Período de tarea de seguridad + Temporizador de vigilancia de tarea de seguridad Controlador GuardLogix Módulo de comunicación 1. Retardo del dispositivo de entrada de seguridad 2. Límite de tiempo de reacción de la conexión de entrada de seguridad Red CIP Safety 4. Límite de tiempo de reacción de la conexión de salida de seguridad 5. Retardo del dispositivo de salida de seguridad El tiempo de reacción del sistema Logix para cualquier cadena sencilla de entrada-lógica-salida consta de los cinco componentes siguientes: 1. Tiempo de reacción del dispositivo de entrada de seguridad (más tiempo de retardo de entrada, si corresponde) 2. Límite de tiempo de reacción de conexión de entrada de seguridad (leído desde el cuadro de diálogo Module Properties en la aplicación Logix Designer, este valor es un múltiplo del RPI de la conexión del dispositivo de entrada de seguridad). 3. Período de la tarea de seguridad más temporizador de vigilancia de tarea de seguridad 4. Límite de tiempo de reacción de conexión de salida de seguridad (leído desde el cuadro de diálogo Module Properties en la aplicación Logix Designer, este valor es un múltiplo del período de la tarea de seguridad). 5. Tiempo de reacción del dispositivo de salida de seguridad Para ayudar a determinar el tiempo de reacción de su lazo de control en particular, en la carpeta Tools del DVD del entorno Studio 5000 se incluye una hoja de cálculo en formato Microsoft Excel. 80 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

81 Tiempos de reacción Apéndice C Cadena lógica que utiliza tags de seguridad producidos/consumidos Figura 21 Tiempo de reacción del sistema Logix de una cadena entrada a lógica de-controlador A a lógica-controlador B a salida 4. Límite de tiempo de reacción de la conexión de seguridad P/C Red EtherNet Switch Ethernet Red EtherNet 3. Período de tarea de seguridad + Temporizador de vigilancia de tarea de seguridad 5. Período de la tarea de seguridad + temporizador de vigilancia de tarea de seguridad Controlador GuardLogix A Módulo DeviceNet Módulo EtherNet Controlador GuardLogix B Módulo DeviceNet Módulo EtherNet 1. Retardo del dispositivo de entrada de seguridad 2. Límite de tiempo de reacción de la conexión de entrada de seguridad Red CIP Safety Red CIP Safety 6. Límite de tiempo de reacción de la conexión de salida de seguridad 7. Retardo del dispositivo de salida de seguridad El tiempo de reacción del sistema Logix de una cadena entrada a lógica del controlador A a lógica del controlador B a salida consta de los siguientes siete componentes: 1. Tiempo de reacción del dispositivo de entrada de seguridad (más tiempo de retardo de entrada, si corresponde) 2. Límite de tiempo de reacción de la conexión de entrada de seguridad 3. Período de la tarea de seguridad más temporizador de vigilancia de tarea de seguridad para el controlador A 4. Límite de tiempo de reacción de la conexión de seguridad de datos producidos/consumidos 5. Período de la tarea de seguridad más temporizador de vigilancia de tarea de seguridad para el controlador B 6. Límite de tiempo de reacción de la conexión de salida de seguridad 7. Tiempo de reacción del dispositivo de salida de seguridad Para ayudar a determinar el tiempo de reacción de su lazo de control en particular, en la carpeta Tools del DVD del entorno Studio 5000 se incluye una hoja de cálculo en formato Microsoft Excel. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

82 Apéndice C Tiempos de reacción Factores que afectan los componentes del tiempo de reacción del sistema Logix Los componentes del tiempo de reacción de Logix descritos en las secciones anteriores pueden verse influenciados por una serie de factores. Tabla 13 Factores que afectan el tiempo de reacción del sistema Logix Estos componentes de tiempo de reacción Retardo de dispositivo de entrada Límite de tiempo de reacción de la conexión de entrada de seguridad Período de la tarea de seguridad y temporizador de vigilancia de tarea de seguridad Límite de tiempo de reacción de la conexión de seguridad de datos producidos/consumidos Límite de tiempo de reacción de conexión de salida Retardo del módulo de salida Son influenciados por los siguientes factores Tiempo de reacción de dispositivo de entrada Ajustes de retardo de activado a desactivado y desactivado a activado para cada canal de entrada, si corresponde Ajustes del dispositivo de entrada para: Intervalo solicitado entre paquetes (RPI) Multiplicador de interrupciones Multiplicador de retardo Cantidad de tráfico de comunicación en la red El entorno de compatibilidad electromagnética (EMC) del sistema Configuración del período de la tarea de seguridad Configuración del temporizador de vigilancia de tarea de seguridad Número y tiempo de ejecución de las instrucciones en la tarea de seguridad Cualquier tarea de mayor prioridad que pueda impedir la ejecución de la tarea de seguridad Configuración de tag consumido para: Intervalo entre paquetes solicitados (RPI) Multiplicador de interrupciones Multiplicador de retardo Cantidad de tráfico de comunicación en la red El entorno de compatibilidad electromagnética (EMC) del sistema Configuración del período de la tarea de seguridad Configuraciones del dispositivo de salida para: Multiplicador de interrupciones Multiplicador de retardo Cantidad de tráfico de comunicación en la red El entorno de compatibilidad electromagnética (EMC) del sistema Tiempo de reacción del módulo de salida Las siguientes secciones describen cómo obtener acceso a datos o a valores de configuración de muchos de estos factores. Cómo obtener acceso a los valores de configuración de tiempo de retardo del módulo de entrada Guard I/O Siga estos pasos para configurar el tiempo de retardo del módulo de entrada en la aplicación Logix Designer. 1. En el árbol de configuración haga clic con el botón derecho del mouse en módulo Guard I/O y seleccione Properties. 2. Haga clic en la ficha Input Configuration. 82 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

83 Tiempos de reacción Apéndice C 3. Ajuste el tiempo de retardo de entrada según lo necesario para su aplicación. Cómo obtener acceso al límite de tiempo de reacción de la conexión de seguridad de entrada y de salida El límite de tiempo de reacción de la conexión es definido por estos tres valores: Valor Intervalo solicitado entre paquetes (RPI) Multiplicador de interrupciones Network Delay Multiplier Descripción El valor de frecuencia con el que se colocan los paquetes de entrada y de salida en el cable (la red). El valor de Timeout Multiplier es esencialmente el número de reintentos antes de que se sobrepase el tiempo de espera. El valor de Network Delay Multiplier tiene en cuenta los retardos conocidos en el cable. Cuando ocurren estos retardos pueden evitarse los tiempos de espera mediante este parámetro. Al ajustar estos valores se puede ajustar el límite de tiempo de reacción de la conexión. Para ver o configurar estos ajustes, siga estos pasos. 1. En el árbol de configuración haga clic con el botón derecho del mouse en dispositivo de E/S de seguridad y seleccione Properties. 2. Haga clic en la ficha Safety. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

84 Apéndice C Tiempos de reacción 3. Haga clic en Advanced para abrir el cuadro de diálogo Advanced Connection Reaction Time Limit. Configuración del período de la tarea de seguridad y el temporizador de vigilancia La tarea de seguridad es una tarea periódica temporizada. Usted selecciona la prioridad de la tarea y el tiempo del temporizador de vigilancia en el cuadro de diálogo Task Properties Safety Task en su proyecto Logix Designer. Para obtener acceso a los valores de configuración del período de la tarea de seguridad y del tiempo del temporizador de vigilancia haga clic con el botón derecho del mouse en Safety Task y seleccione Properties. La prioridad de la tarea de seguridad no afecta la seguridad, ya que el temporizador de vigilancia de tarea de seguridad monitorea si la tarea es interrumpida por una tarea de mayor prioridad. 84 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

85 Tiempos de reacción Apéndice C Acceso a datos de tag producido/consumido Para ver o configurar los datos de conexión de tag de seguridad, siga estos pasos. 1. En el árbol de configuración haga clic con el botón derecho del mouse en Controller Tags y seleccione Edit Tags. 2. En el Tag Editor haga clic con el botón derecho del mouse en el nombre del tag y seleccione Edit Properties. 3. Haga clic en Connection. 4. Haga clic en la ficha Safety. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

86 Apéndice C Tiempos de reacción 5. Haga clic en Advanced para ver o editar los valores de configuración actuales. Consulte el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022 para obtener,más información. 86 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

87 Apéndice D Listas de verificación para aplicaciones de seguridad GuardLogix Tema Página Listas de verificación para el sistema controlador GuardLogix 88 Lista de verificación para entradas de seguridad 89 Lista de verificación para salidas de seguridad 90 Lista de verificación para el desarrollo de un programa de aplicación de 91 seguridad Las listas de verificación de este apéndice son necesarias para planificar, programar y poner en marcha una aplicación GuardLogix con certificación SIL 3. Pueden utilizarse como guías de planificación, así como durante las pruebas de verificación del proyecto. Si se utilizan como guías de planificación, las listas de verificación se pueden guardar como registro del plan. Las listas de verificación en las siguientes páginas proporcionan una muestra de las consideraciones de seguridad y no fueron concebidas como una lista exhaustiva de puntos a verificar. Su aplicación de seguridad en particular puede tener requisitos de seguridad adicionales, para los que hemos contemplado un espacio en las listas de verificación. SUGERENCIA Haga copias de las listas de verificación y guarde estas páginas para uso futuro. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

88 Apéndice D Listas de verificación para aplicaciones de seguridad GuardLogix Listas de verificación para el sistema controlador GuardLogix Empresa Ubicación Definición de la función de seguridad Número Requisitos del sistema Lista de verificación para el sistema GuardLogix 1 Está usando solo los componentes listados en Componentes GuardLogix con certificación SIL 3 en la página 16 y en el sitio con la versión de firmware correspondiente? 2 Ha calculado el tiempo de respuesta de seguridad del sistema para cada cadena de seguridad? 3 Incluye el tiempo de respuesta del sistema tanto el tiempo del temporizador de vigilancia del programa de tarea de seguridad (temporizador de vigilancia de software) como la velocidad/el período de la tarea de seguridad? 4 Está el tiempo de respuesta del sistema en la proporción adecuada con respecto al tiempo de tolerancia del proceso? 5 Se han calculado los valores de probabilidad (PFD/PFH), según la configuración del sistema? 6 Ha realizado usted todas las pruebas de verificación del proyecto correspondientes? 7 Ha determinado usted cómo manejará los fallos su sistema? 8 Tiene cada red del sistema de seguridad un SNN único? 9 Está configurado cada dispositivo CIP Safety con el SNN correcto? 10 Ha generado usted una firma de tarea de seguridad? 11 Ha cargado y grabado la firma de tarea de seguridad para compararla posteriormente? 12 Después de una descarga, ha verificado que la firma de la tarea seguridad del controlador coincida con la firma de tarea de seguridad registrada? 13 Ha dispuesto usted un mecanismo alternativo para preservar la integridad de seguridad del sistema al realizar ediciones en línea? 14 Ha tenido usted en cuenta las listas de verificación para utilizar las entradas y las salidas SIL que aparecen en las páginas 89 y 90? Completada Sí No Comentario 88 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

89 Listas de verificación para aplicaciones de seguridad GuardLogix Apéndice D Lista de verificación para entradas de seguridad Para la programación o puesta en marcha, es posible llenar una lista de verificación individual para cada canal de entrada SIL de un sistema. Este método constituye la única forma de asegurarse de que los requisitos se implementen total y claramente. Esta lista de verificación también se puede utilizar como documentación de la conexión del cableado externo al programa de aplicación. Empresa Ubicación Definición de la función de seguridad Canales de entrada SIL Número Requisitos del dispositivo de entrada Lista de verificación para entradas del sistema GuardLogix 1 Ha seguido usted las instrucciones de instalación y las precauciones de conformidad con los estándares de seguridad aplicables? 2 Ha realizado pruebas de verificación del proyecto en el sistema y en los dispositivos? 3 Se ejecutan las funciones de control, de diagnóstico y de alarma en secuencia en la lógica de la aplicación? 4 Ha cargado y comparado usted la configuración de cada dispositivo con la configuración enviada por la herramienta de configuración? 5 Están los dispositivos cableados de conformidad con PLe/Cat. 4 según ISO ? (1) 6 Ha verificado usted que las especificaciones eléctricas del sensor y de la entrada sean compatibles? Completada Sí No Comentario (1) Para obtener información acerca de cómo cablear su dispositivo de E/S CIP Safety, consulte en la documentación del producto la sección que trata el dispositivo específico. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

90 Apéndice D Listas de verificación para aplicaciones de seguridad GuardLogix Lista de verificación para salidas de seguridad Para programar o poner en marcha, es posible llenar una lista de verificación de requisitos individuales para cada canal de salida SIL de un sistema. Este método constituye la única forma de asegurarse de que los requisitos se implementen total y claramente. Esta lista de verificación también se puede utilizar como documentación de la conexión del cableado externo al programa de aplicación. Empresa Ubicación Definición de la función de seguridad Canales de salida SIL Número Requisitos del dispositivo de salida Lista de verificación de salidas para el sistema GuardLogix 1 Ha seguido usted las instrucciones de instalación y las precauciones de conformidad con los estándares de seguridad aplicables? 2 Ha realizado usted pruebas de verificación del proyecto en los dispositivos? 3 Ha cargado y comparado usted la configuración de cada dispositivo con la configuración enviada por la herramienta de configuración? 4 Ha verificado usted que las salidas de prueba no estén siendo utilizadas como salidas de seguridad? 5 Están los dispositivos cableados de conformidad con PLe/Cat. 4 según ISO ? (1) 6 Ha verificado que las especificaciones eléctricas del accionador y de la salida son compatibles? Completada Sí No Comentario (1) Para obtener información acerca de cómo cablear su dispositivo de E/S de seguridad, consulte en la documentación del producto la sección que trata el dispositivo específico. 90 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

91 Listas de verificación para aplicaciones de seguridad GuardLogix Apéndice D Lista de verificación para el desarrollo de un programa de aplicación de seguridad Utilice la siguiente lista de verificación para ayudar a mantener la seguridad al crear o al modificar un programa de aplicación de seguridad. Empresa Ubicación Definición del proyecto Número Requisitos del programa de aplicación Lista de verificación para el desarrollo de un programa de aplicación GuardLogix 1 Utiliza usted la versión 21 o superior de la aplicación Logix Designer, la herramienta de programación del sistema GuardLogix? 2 Se siguieron las pautas de programación que aparecen en el Capítulo 6 durante la creación del programa de aplicación de seguridad? 3 Contiene el programa de aplicación de seguridad solo lógica de escalera de relés? 4 Contiene el programa de aplicación de seguridad solo las instrucciones que aparecen en el Apéndice A como adecuadas para la programación de una aplicación de seguridad? 5 Distingue el programa de aplicación de seguridad claramente entre tags de seguridad y tags estándar? 6 Se utilizan solo tags de seguridad para las rutinas de seguridad? 7 Ha verificado usted que las rutinas de seguridad no intenten leer tags estándar o escribir a ellos? 8 Ha verificado usted que ningún tag de seguridad esté vinculado mediante alias a tags estándar, y viceversa? 9 Está cada tag de salida de seguridad configurado correctamente y conectado a un canal de salida física? 10 Ha verificado usted que todos los tags asignados hayan sido condicionados en la lógica de la aplicación de seguridad? 11 Ha definido usted los parámetros de proceso monitoreados por las rutinas de fallo? 12 Ha sellado usted alguna instrucción Add-On de seguridad con una firma de instrucción y registrado la firma de la instrucción de seguridad? 13 Ha revisado el programa un revisor de seguridad independiente (si corresponde)? 14 Ha sido documentada y firmada la revisión? Completada Sí No Comentario Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

92 Apéndice D Listas de verificación para aplicaciones de seguridad GuardLogix Notas: 92 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

93 Apéndice E Datos de seguridad de sistemas GuardLogix Tema Página Valores de probabilidad de fallo a demanda (PFD) 93 Valores de probabilidad de fallo por hora (PFH) 94 Los siguientes ejemplos muestran los valores de probabilidad de fallo a demanda (PFD) y de probabilidad de fallo por hora (PFH) para los sistemas GuardLogix 1oo2 SIL 3 que utilizan los módulos Guard I/O. El tiempo de misión de los controladores GuardLogix y los módulos Guard I/O es 20 años. Valores de probabilidad de fallo a demanda (PFD) N. de cat. Descripción Tabla 14 PFD calculado por intervalo de prueba de calidad 2 años (17,520 horas) 5 años (43,800 horas) PFD calculada 10 años (87,600 horas) 20 años (175,200 horas) 1756-L7xS y 1756-L7SP Controlador GuardLogix 5.7E E E E L73SXT y 1756-L7SPXT Controlador GuardLogix XT 5.7E E E E DS-IB12 Módulo de entrada de 12 puntos CIP Safety 4.73E E E E-06 (2) 1791DS-IB16 Módulo de entrada de 16 puntos CIP Safety 4.11E E E E DS-IB8XOB8 Módulo de 8 puntos de entrada y 8 puntos de salida 4.73E E E E-06 (2) CIP Safety 1791DS-IB4XOW4 Módulo de 4 puntos de entrada y 4 puntos de salida de relé CIP Safety 2.21E E E E-04 (2) 1791DS-IB8XOBV4 Módulo de 8 puntos de entrada y 4 puntos de salida 4.16E E E E DS-IB8XOBV4 1732DS-IB8 bipolar CIP Safety Módulo de entrada de 8 puntos CIP Safety 4.11E E E E ES-IB16 Módulo de entrada de 16 puntos CIP Safety 4.13E E E ES-IB8XOBV4 Módulo de 8 puntos de entrada y 4 puntos de salida 4.17E E E-05 bipolar CIP Safety 1734-IB8S, serie A Módulo de entrada de 8 puntos CIP Safety 4.23E E E IB8S, serie B (1) Módulo de entrada de 8 puntos CIP Safety 4.36E E E E OB8S, serie A Módulo de salida de 8 puntos CIP Safety 4.27E E E E OB8S, serie B Módulo de salida de 8 puntos CIP Safety 4.32E E E E IE4S Módulo de entrada analógica de 4 puntos CIP Safety, 4.7E E E E-06 operación de un solo canal 1734-IE4S Módulo de entrada analógica de 4 puntos CIP Safety, operación de dos canales 3.2E E E E-06 (1) Este dato es para la operación de un solo canal. (2) Los datos de probabilidad de fallo a demanda (PFD) de 20 años para este producto se aplican solo a productos con código de fecha de fabricación de 2009/01/01 (1º de enero de 2009) o posterior. El código de fecha se encuentra en la etiqueta del producto. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

94 Apéndice E Datos de seguridad de sistemas GuardLogix Valores de probabilidad de fallo por hora (PFH) Tabla 15 Cálculo de probabilidad de fallo por hora Los datos a continuación se aplican a intervalos de prueba de calidad de hasta 20 años. N. de cat. Descripción PFH (1/hora) 1756-L7xS y 1756-L7SP Controlador GuardLogix 1.2E L7xSXT y 1756-L7SPXT Controlador GuardLogix XT 1.2E DS-IB12 Módulo de entrada de 12 puntos CIP Safety 5.77E-11 (1) 1791DS-IB16 Módulo de entrada de 16 puntos CIP Safety 4.96E DS-IB8XOB8 Módulo de 8 puntos de entrada y 8 puntos de salida CIP Safety 5.77E-11 (1) 1791DS-IB4XOW4 Módulo de 4 puntos de entrada y 4 puntos de salida de relé CIP Safety 9.03E-09 (1) 1791DS-IB8XOBV4 Módulo de 8 puntos de entrada y 4 puntos de salida bipolar CIP Safety 5.02E DS-IB8XOBV4 1732DS-IB8 Módulo de entrada de 8 puntos CIP Safety 4.96E ES-IB16 Módulo de entrada de 16 puntos CIP Safety 4.98E ES-IB8XOBV4 Módulo de 8 puntos de entrada y 4 puntos de salida bipolar CIP Safety 5.04E IB8S, serie A Módulo de entrada de 8 puntos CIP Safety 5.10E IB8S, serie B Módulo de entrada de 8 puntos CIP Safety 5.27E OB8S, serie A Módulo de salida de 8 puntos CIP Safety 5.14E OB8S, serie B Módulo de salida de 8 puntos CIP Safety 5.20E IE4S Módulo de entrada analógica de 4 puntos CIP Safety, operación de un solo canal Módulo de entrada analógica de 4 puntos CIP Safety, operación de dos canales 5.6E E-11 (1) Los datos de probabilidad de fallo por hora (PFH) para este producto se aplican solo a productos con código de fecha de fabricación de 2009/01/01 (1º de enero de 2009) o posterior. El código de fecha se encuentra en la etiqueta del producto. 94 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

95 Apéndice F Software RSLogix 5000, versión 14 y posteriores; instrucciones de aplicaciones de seguridad Tema Página Sistema de desenergizar para activar 95 Use los datos de estado de conexión para iniciar un fallo como parte de la programación 95 Sistema de desenergizar para activar Cuando se usan las instrucciones del software RSLogix 5000, versión 14, instrucciones de aplicación de seguridad, todas las entradas y todas las salidas se establecen en cero cuando se detecta un fallo. Como resultado, toda entrada monitoreada por una de las instrucciones de entradas diversas (Entradas diversas o Estación de mando a dos manos) debe tener entradas normalmente cerradas condicionadas por una lógica similar a la lógica en el renglón 4 del Ejemplo de lógica de escalera 2 y Ejemplo de lógica de escalera 3 en las páginas 98 y 99. La lógica exacta requerida depende de la aplicación y del dispositivo de entrada. Sin embargo, la lógica debe crear un estado de seguridad de 1 para la entrada normalmente cerrada de las instrucciones de entradas diversas. Use los datos de estado de conexión para iniciar un fallo como parte de la programación Los siguientes diagramas proporcionan ejemplos de la lógica de aplicación requerida para enclavar y restablecer fallos de E/S. Los ejemplos muestran la lógica necesaria para módulos de entrada solamente y para módulos combinados de entrada y salida. Los ejemplos usan la función Combined Status de los módulos de E/S, la cual presenta el estado de todos los canales de entrada en una variable booleana. Otra variable booleana representa el estado de todos los canales de salida. Este enfoque reduce la cantidad de lógica de condicionamiento de E/S requerida, y fuerza la lógica a desactivar todos los canales de entrada o de salida del módulo afectado. Use el Diagrama de flujo de enclavamiento y de restablecimiento de fallo de entrada en la página 96 para determinar qué renglones de lógica se requieren para diferentes situaciones de la aplicación. El Ejemplo de lógica de escalera 1 muestra la lógica que sobrescribe las variables de tags de entrada actuales mientras exista una condición de fallo. Si se requiere el estado de entrada para la resolución de problemas mientras el fallo de entrada está enclavado, use la lógica mostrada en el Ejemplo de lógica de escalera 2. Esta lógica usa tags internos que representan las entradas que se van a usar en la lógica de la aplicación. Mientras el fallo de entrada esté enclavado, los tags internos se establecen en su estado de seguridad. Mientras el fallo de entrada no esté enclavado, los valores de entrada actuales se copian a los tags internos. Use el Diagrama de flujo de restablecimiento y enclavamiento de fallo de salida para determinar qué renglones se requieren de la lógica de aplicación en el Ejemplo de lógica de escalera 3 en la página 99. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

96 Apéndice F Software RSLogix 5000, versión 14 y posteriores; instrucciones de aplicaciones de seguridad Figura 22 Diagrama de flujo de enclavamiento y de restablecimiento de fallo de entrada Inicio Requiere la función de seguridad acción del operad. tras fallo de entrada de seguridad? No Sí No Se usan entradas para controlar instruc. de aplicación de seguridad? Sí Puede usarse Circuit Reset como acción del operador? Sí Seleccione Manual Reset para la instrucción de aplicación de seguridad. No Escriba lógica p/enclavar fallo entrada. (Renglón 0 de ej.) Sí Se requiere info. de fallo de entrada para diagnóstico? Escriba lógica p/establecer entradas a estado seguridad (Renglones 2 y 3 de ej.) Escriba lógica p/desenclavar fallo entrada (Renglón 1 de ej.) Escriba lógica p/enclavar fallo entrada. (Renglón 0 de ej.) No No Se usan entradas en instrucción con entradas diversas? (DIN o THRS) Escriba lógica p/establecer valor de estado seguridad cuando una entrada tiene un fallo. (Renglón 4 de ej.) Sí Fin 96 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

97 Software RSLogix 5000, versión 14 y posteriores; instrucciones de aplicaciones de seguridad Apéndice F Figura 23 Ejemplo de lógica de escalera 1 El nodo 30 es un módulo combinado de 8 puntos de entrada y 8 puntos de salida. El nodo 31 es un módulo de 12 puntos de entrada. Si el estado de la entrada no es OK, enclave la indicación de entradas en fallo. Node30:I.InputStatus 0 / Node31:I.CombinedStatus / Node30InputsFaulted L Node31InputsFaulted L Si se detecta el flanco ascendente de la señal de restablecimiento de fallo y el estado de la entrada es OK, desenclave la indicación de entradas en fallo. 1 FaultReset InputFaultResetOneShot ONS Node30:I.InputStatus Node30InputsFaulted U Node31:I.CombinedStatus Node31InputsFaulted U 2 Si las entradas tienen un fallo, sobrescriba los tags de entrada con los valores de estado de seguridad. Node30InputsFaulted Node30:I.Pt00Data U Node30:I.Pt01Data U Node30:I.Pt07Data U 3 Si las entradas tienen un fallo, sobrescriba los tags de entrada con los valores de estado de seguridad. Node31InputsFaulted Node31:I.Pt00Data U Node31:I.Pt01Data U Node31:I.Pt11Data U 4 Si la indicación de entradas en fallo es verdadera, establezca los valores de entradas diversas en su estado de seguridad (1). Node30InputsFaulted Node30:I.Pt01Data L Node30:I.Pt03Data L Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

98 Apéndice F Software RSLogix 5000, versión 14 y posteriores; instrucciones de aplicaciones de seguridad Figura 24 Ejemplo de lógica de escalera 2 El nodo 30 es un módulo combinado de 8 puntos de entrada y 8 puntos de salida. El nodo 31 es un módulo de 12 puntos de entrada. Si el estado de la entrada no es OK, enclave la indicación de entradas en fallo. Node30:I.InputStatus 0 / Node31:I.CombinedStatus / Node30InputsFaulted L Node31InputsFaulted L Si se detecta el flanco ascendente de la señal de restablecimiento de fallo y el estado de la entrada es OK, desenclave la indicación de entradas en fallo. 1 FaultReset InputFaultResetOneShot ONS Node30:I.InputStatus Node30InputsFaulted U Node31:I.CombinedStatus Node31InputsFaulted U Si las entradas no tienen un fallo, escriba los valores de tags de entrada a las representaciones internas de las entradas. 2 Node30InputsFaulted Node30:I.Pt00Data Node30Input00 / Node30:I.Pt01Data Node30Input01 Node30:I.Pt07Data Node30Input07 3 Si las entradas no tienen un fallo, escriba los valores de tags de entrada a las representaciones internas de las entradas. Node31InputsFaulted Node31:I.Pt00Data / Node31:I.Pt01Data Node31Input00 Node31Input01 Node31:I.Pt11Data Node31Input11 Si la indicación de entradas en fallo es verdadera, establezca las representaciones internas de las entradas diversas en su estado de seguridad (1). 4 Node30InputsFaulted Node31Input01 L Node31Input03 L 98 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

99 Software RSLogix 5000, versión 14 y posteriores; instrucciones de aplicaciones de seguridad Apéndice F Figura 25 Diagrama de flujo de restablecimiento y enclavamiento de fallo de salida Inicio Requiere la función de seguridad acción del operad. tras fallo de salida de seguridad? No Escriba lógica p/enclavar fallo de salida (Renglón 0 de ej.) Sí Sí Se requiere info. de fallo de salida para diagnóstico? Escriba lógica p/establecer salidas a estado seguridad (Renglones 2 de ej.) Escriba lógica p/desenclavar fallo de salida (Renglón 1 de ej.) Escriba lógica p/enclavar fallo de salida (Renglón 0 de ej.) No Fin Figura 26 Ejemplo de lógica de escalera 3 El nodo 30 es un módulo combinado de 8 puntos de entrada y 8 puntos de salida. Si el estado de la salida no es OK, enclave la indicación de salida en fallo. Node30:I.OutputStatus 0 / Node30OutputsFaulted L Si se detecta el flanco ascendente de la señal de restablecimiento de fallo y el estado de la entrada es OK, desenclave la indicación de entradas en fallo. 1 FaultReset InputFaultResetOneShot ONS Node30:I.OutputStatus Node30OutputsFaulted U 2 Node30OutputsFaulted / RedundantOutputTag.O1 Node30:O.Pt00Data RedundantOutputTag.O2 Node30:O.Pt01Data ss Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

100 Apéndice F Software RSLogix 5000, versión 14 y posteriores; instrucciones de aplicaciones de seguridad Notas: 100 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

101 Apéndice G Uso de módulos 1794 FLEX I/O y entradas y salidas 1756 SIL 2 con controladores 1756 GuardLogix en cumplimiento de la normativa EN Tema Página Entradas de doble canal SIL 2 (lado estándar de los controladores GuardLogix) 101 Salidas SIL 2 usando los módulos de salida Guard I/O SIL Salidas SIL 2 usando módulos de salida 1756 o 1794 SIL Funciones de seguridad dentro de la tarea de seguridad 1756 GuardLogix 104 Se requiere una configuración de doble canal para cumplir con la normativa en ciertas aplicaciones relacionadas con la seguridad, incluidas funciones de seguridad relacionadas con quemadores. Estos ejemplos proporcionan pautas para cumplir con los requisitos de doble canal SIL 2 de EN50156 con intervalos de prueba de calidad de 1 y 2 años. Entradas de doble canal SIL 2 (lado estándar de los controladores GuardLogix) Es necesario implementar una separación clara y fácilmente identificable entre ambos canales de entrada y cumplir con todos los requisitos SIL 2 existentes según lo definido en el documento Using ControlLogix in SIL 2 Applications, publicación 1756-RM001. Figura 27 Ejemplo de entradas de doble canal SIL 2 F Canal A Canal B Cn0+ Cn0- Cn0+ Cn Transmisor de voltaje A + - Transmisor de voltaje B Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre

102 Apéndice G Uso de módulos 1794 FLEX I/O y entradas y salidas 1756 SIL 2 con controladores 1756 GuardLogix en cumplimiento de la normativa EN Datos de entrada SIL 2 Siempre mantenga los datos de entrada del canal A y del canal B separados. Este ejemplo ilustra un método para separar los datos del canal A y del canal B en su aplicación. Siga todas las reglas para los módulos de E/S 1756 y 1794 FLEX según lo indicado en el documento Using ControlLogix in SIL 2 Applications Safety Reference Manual, publicación 1756-RM001. IMPORTANTE No realice funciones específicas de seguridad dentro de estas rutinas. La evaluación de seguridad debe manejarse dentro de la tarea de seguridad 1756 GuardLogix. Transferencia de datos SIL 2 a la tarea de seguridad Para transferir datos de seguridad SIL 2 del canal A y del canal B a la tarea de seguridad GuardLogix, use la función de asignación de tags de seguridad de la aplicación Logix Designer. Los nombres de tags usados aquí tienen fines de ejemplo. Implemente y siga las convenciones de asignación de nombres apropiadas para su aplicación. SUGERENCIA Para usar la función de asignación de tags de seguridad, seleccione Map Safety Tags del menú Logic de la aplicación Logix Designer. 102 Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre 2014

103 Uso de módulos 1794 FLEX I/O y entradas y salidas 1756 SIL 2 con controladores 1756 GuardLogix en cumplimiento de la normativa EN Apéndice G Salidas SIL 2 usando los módulos de salida Guard I/O SIL 3 Siga estas pautas para las salidas SIL 2. Los módulos de salida Guard I/O usados para salidas de seguridad SIL 2 deben configurarse para operación de doble canal. Todos los módulos de salida Guard I/O están aprobados para ser usados en aplicaciones SIL DS-IB8XOBV4 1791ES-IB8XOBV4 1791DS-IB8XOBV4, 1791ES-IB8XOBV4 1791DS-IB4XOW4 1791DS-IB8XOB OB8S Salidas SIL 2 usando módulos de salida 1756 o 1794 SIL 2 Cuando use estos módulos de salida con clasificación SIL 2 debe configurar sus salidas de seguridad SIL 2 como tags de seguridad producidos GuardLogix para cumplir con los requisitos de doble canal de la normativa EN Genere tags de seguridad producidos con las salidas SIL 2 que requiera su aplicación. Los tags de seguridad producidos/consumidos GuardLogix requieren que el primer miembro se asigne para diagnósticos. El primer miembro de una conexión de seguridad de datos producidos/consumidos debe ser un tipo de datos llamado CONNECTION_STATUS. Este ejemplo muestra un tag SIL 2 con dos miembros INT y dos miembros BOOL. Use estos tags de seguridad SIL 2 para controlar las salidas 1756 o 1794 SIL 2 directamente. SUGERENCIA En este ejemplo no se muestra un consumidor de tag producido. El estado de conexión muestra un fallo si usted no configura un consumidor. Sin embargo, en este tipo de configuración no es necesario que usted monitoree el estado de conexión del tag producido, por lo tanto el fallo no es motivo de preocupación. Siga todas las reglas para los módulos de E/S 1756 y 1794 FLEX según lo indicado en el documento Using ControlLogix in SIL 2 Applications Safety Reference Manual, publicación 1756-RM001. Publicación de Rockwell Automation 1756-RM099B-ES-P Noviembre