MANUAL DE ENTRENAMIENTO EN GUARD LOGIX INFORMACION TECNICA Principales riesgos y seguimientos de seguridad Definiciones 2 Riesgo: Es toda aquella situación que puede provocar un accidente y que en muchos de los casos no lo podemos eliminar, mas sin embargo existen diferentes métodos de control para evitar accidentes. Seguridad: Es el cumplimiento a reglas y procedimientos establecidos con el fin de evitar accidentes. Seguimientos de seguridad Este manual describe el sistema controlador GuardLogix, que es de un tipo aprobado y está certificado para uso en aplicaciones de seguridad hasta el nivel SIL 3 según IEC 61508 e IEC 62061, y aplicaciones de seguridad hasta el nivel de rendimiento PLe (Categoría 4) según ISO 13849-1 Use este manual si usted es responsable del desarrollo, de la operación o del mantenimiento de un sistema de seguridad basado en un controlador GuardLogix. Es necesario que lea y comprenda los conceptos y los requisitos de seguridad presentados en este manual, antes de operar un sistema de seguridad basado en un controlador GuardLogix. Cuando el controlador GuardLogix está en modo de marcha o de programación, y el usuario no ha validado la aplicación, el usuario es responsable de mantener las condiciones de seguridad. La tarea de seguridad es la única tarea certificada para aplicaciones SIL3 Al aplicar la seguridad de funcionamiento, restrinja el acceso a personal calificado y autorizado que cuente con la debida formación y experiencia. La función de bloqueo de seguridad, con contraseñas, se proporciona en el software RSLogix 5000. GuardLogix Introducción 3 Este curso ofrece la posibilidad de adquirir las destrezas necesarias a todos aquellos interesados en adquirir conocimientos básicos de los sistemas y la terminología GuardLogix. Se introducirá al alumno en los componentes de hardware y software, funciones y terminología de GuardLogix. Ganará experiencia en la programación de instrucciones de seguridad mediante el software RSLogix5000. Importancia En la actualidad, la integración de la lógica de seguridad con la lógica estándar se establece dentro de un mismo PLC. Capitulo1. Concepto de nivel de integridad de Seguridad (SIL) Objetivo: Este capítulo presenta el concepto de nivel de integridad de seguridad (SIL) y describe cómo el controlador GuardLogix cumple con los requisitos para la certificación SIL 3. 4 1.1 Certificación SIL 3 Los sistemas de controlador 1756 GuardLogix cuentan con aprobación de tipo y están certificados para uso en aplicaciones de seguridad hasta el nivel SIL 3 según IEC 61508 e IEC 62061, y aplicaciones de seguridad hasta el nivel de rendimiento Ple (Categoría 4) según ISO 13849-1. Los requisitos de nivel de integridad de seguridad (SIL) se basan en los estándares vigentes al momento de la certificación. TÜV Rheinland ha aprobado los sistemas controladores GuardLogix para uso en aplicaciones relacionadas con la seguridad hasta SIL 3, en las que el estado desenergizado se considera el estado seguro. Todos los ejemplos relacionados con E/S que se incluyen en este manual se basan en la consecución de la desenergización como estado seguro para sistemas típicos de desactivación de emergencia (ESD) y seguridad de máquinas El usuario del sistema es responsable de: -La configuración, la clasificación SIL y la validación de cualquier sensor o accionador conectado al sistema GuardLogix; - La administración del proyecto y las pruebas de funcionamiento; -El control de acceso al sistema de seguridad, incluido el manejo de contraseñas; -Programar el software de aplicación y las configuraciones de los dispositivos según la información descrita en este manual de referencia de seguridad 1.2 Arquitectura GuardLogix para aplicaciones SIL 3 5 1.3Tiempo de reacción del sistema 6 El tiempo de reacción del sistema es la cantidad de tiempo transcurrido desde la ocurrencia de un evento de seguridad, como una entrada al sistema, hasta que el sistema establece las salidas correspondientes a su estado seguro. Los fallos dentro del sistema también pueden afectar el tiempo de reacción del sistema. El tiempo de reacción del sistema es la suma de los siguientes tiempos de reacción: Cada uno de los tiempos antes mencionados varía debido a factores como, por ejemplo, el tipo de módulo de E/S y las instrucciones utilizadas en el programa. 1.4 Tiempo de reacción de la tarea de seguridad El tiempo de reacción de la tarea de seguridad es el mayor retardo que puede producirse entre el momento en que se presenta cualquier cambio a la entrada del controlador y el momento en que la salida procesada queda establecida por el productor de salida. Es menor o igual que la suma del período de la tarea de seguridad y el temporizador de control (watchdog) de tarea de seguridad. 1.5 Período de la tarea de seguridad y temporizador de control (watchdog) de tarea de seguridad El período de la tarea de seguridad es el intervalo con que se ejecuta la tarea de seguridad. El tiempo del temporizador de control (watchdog) de tarea de seguridad es el mayor tiempo permisible para el procesamiento de la tarea de seguridad. Si el tiempo de procesamiento de la tarea de seguridad supera el tiempo del temporizador de control (watchdog) de tarea de seguridad, se presenta un fallo de seguridad no recuperable en el controlador y las salidas cambian automáticamente al estado seguro (desconectado). Usted define el tiempo del temporizador de control (watchdog) de tarea de seguridad, el cual debe ser menor o igual que el período de la tarea de seguridad. El tiempo del temporizador de control (watchdog) de tarea de seguridad se establece en la ventana de propiedades de tareas del software RSLogix 5000. Este valor se puede modificar en línea, independientemente del modo del controlador, pero no se puede cambiar cuando el controlador esté en bloqueo de seguridad o una vez que se haya creado una firma de tarea de seguridad. 7 Capítulo 2. Hardware del controlador 1756 GuardLogix El controlador 1756 GuardLogix consta de un controlador primario, número de catálogo 1756L61S, 1756-L62S o 1756-L63S, y un homólogo de seguridad, número de catálogo 1756-LSP. 2.1 Controlador primario El controlador primario es el procesador que realiza funciones estándar y de control de seguridad, y que se comunica con el homólogo de seguridad para las funciones relacionadas con la seguridad del sistema de control GuardLogix. El controlador primario consta de un procesador central, la interface de E/S y la memoria. 2.2 Homólogo de seguridad Con el fin de cumplir los requisitos de SIL 3, es necesario instalar un homólogo de seguridad, número de catálogo 1756-LSP, en la ranura situada inmediatamente a la derecha del controlador primario. El homólogo de seguridad es un coprocesador que proporciona redundancia para las funciones relacionadas con la seguridad del sistema. El homólogo de seguridad es configurado por el controlador primario. Sólo es necesaria una simple descarga del programa de usuario al controlador primario. El modo de operación del Homólogo de seguridad se controla mediante el controlador primario. 2.3 Puentes de comunicación Los siguientes módulos de interface de comunicación están disponibles para facilitar la comunicación sobre redes Ethernet/IP, DeviceNet y ControlNet mediante el protocolo CIP Safety: 8 2.4 Red Ethernet/IP La comunicación de seguridad de igual a igual entre controladores GuardLogix es posible a través de la red Ethernet/IP mediante el uso de módulos puente 1756-ENBT, 1756-EN2T o 1768-ENBT. Un Módulo puente Ethernet/IP permite que el controlador GuardLogix controle e intercambie datos de seguridad con módulos CIP Safety I/O en una red Ethernet/IP. La comunicación de seguridad de igual a igual entre dos controladores 1756 GuardLogix en el mismo chasis también es posible a través del backplane. 9 2.5 Red DeviceNet Safety El módulo puente 1756-DNB DeviceNet permite que el controlador 1756 GuardLogix controle e intercambie datos de seguridad con módulos CIP Safety I/O en una red DeviceNet. 2.6 Red ControlNet El módulo 1756-CN2 ó 1768-CNB CN2 permiten que el controlador GuardLogix produzca y consuma tags de seguridad mediante redes ControlNet a otros procesadores GuardLogix o redes CIP Safety I/O remotas. 10 Capitulo 3. CIP Safety I/O para el sistema de control GuardLogix 3.1 Consideraciones de seguridad en torno a los módulos CIP Safety I/O Cada módulo CIP Safety I/O en un sistema GuardLogix es propiedad de un controlador GuardLogix. Es posible usar múltiples controladores GuardLogix y múltiples módulos CIP Safety I/O sin restricciones en chasis o en redes, según sea necesario. Cuando un controlador tiene la propiedad de un módulo de E/S, almacena los datos de configuración del módulo, tal y como los define el usuario. Esto controla la forma en que operan los módulos en el sistema. Desde el punto de vista del control, los módulos de salida de seguridad sólo pueden ser controlados por un controlador. Cada módulo de entrada de seguridad también es propiedad de un solo controlador; sin embargo, los datos de entrada de seguridad pueden ser compartidos (consumidos) por múltiples controladores GuardLogix. Capitulo 4. Características de tags de seguridad, tarea de seguridad y programas de seguridad 4.1 Diferenciar entre estándar y de seguridad Puesto que se trata de un controlador de la serie Logix, en el sistema de control GuardLogix se pueden utilizar tanto componentes estándar (no relacionados con la seguridad) como Componentes relacionados con la seguridad. Usted puede realizar un control de automatización estándar de tareas estándar dentro de un proyecto GuardLogix. Los controladores 1756 GuardLogix proporcionan la misma funcionalidad que otros controladores de la serie 1756 ControlLogix. Los controladores 1768 Compact GuardLogix proporcionan la misma funcionalidad que otros controladores 1768-L4x CompactLogix. Lo que diferencia a los controladores1756 y 1768 GuardLogix de los controladores estándar es que proporcionan una tarea de seguridad con capacidad SIL 3. Sin embargo, es necesario realizar una distinción lógica y visible entre la parte estándar y la relacionada con la seguridad de la aplicación. El software RSLogix 5000 proporciona esta diferenciación mediante la tarea de seguridad, los programas de seguridad, las rutinas de seguridad, los tags de seguridad y los 11 módulos de E/S de seguridad. Usted puede implementar tanto el nivel SIL 2 como el nivel SIL 3 del control de seguridad con la tarea de seguridad del controlador GuardLogix. 4.2 Lógica de seguridad SIL 2 Desde la perspectiva de control de seguridad GuardLogix, la mayor diferencia entre dispositivos con clasificación de seguridad SIL 2 y SIL 3 es que SIL 2 generalmente tiene un solo canal, mientras que SIL 3 generalmente tiene dos canales. Al usar E/S con clasificación de seguridad, que es lo requerido por la tarea de seguridad, la seguridad SIL 2 puede tener un solo canal, lo cual reduce la complejidad del sistema. Dentro de la tarea de seguridad, el software RSLogix 5000 incluye un conjunto de instrucciones de lógica de escalera relacionadas con la seguridad. Además de estas instrucciones de lógica de escalera relacionadas con la seguridad, los controladores GuardLogix cuentan con instrucciones de seguridad con clasificación SIL 3 específicas en cuanto a la aplicación. Todas estas instrucciones lógicas pueden usarse en funciones de seguridad Cat 1…4 y SIL 1…3. Para el nivel de seguridad SIL 2 únicamente, no se requiere una firma de tarea de seguridad. Sin embargo, si se usa alguna función de seguridad SIL 3 dentro de la tarea de seguridad, se requerirá una firma de tarea de seguridad. Para las aplicaciones SIL 2, se recomienda el bloqueo de seguridad de la tarea de seguridad una vez terminadas las pruebas. Bloquear la tarea de seguridad habilita funciones de seguridad adicionales. 4.3 Entradas de seguridad SIL 2 Los módulos de entrada de seguridad Compact Block Guard I/O (serie 1791) y ArmorBlock Guard I/O (serie 1732) aceptan circuitos de entrada de seguridad SIL 2 de un solo canal. Puesto que estos módulos también están clasificados para operación SIL 3, es posible combinar los circuitos SIL 2 y SIL 3 en el mismo módulo, siempre que se sigan estas pautas: Estos dos ejemplos de cableado muestran cómo cablear los circuitos de seguridad SIL 2 a los módulos de entrada de seguridad Guard I/O. Estos ejemplos utilizan fuentes de prueba incorporadas (T0…Tx) que residen en todos los módulos de entrada de seguridad 1791 y 1732. 12 Los módulos Guard I/O agrupan las entradas en parejas para facilitar las funciones de seguridad Cat 3, Cat 4 y SIL 3. Para usarse en funciones de seguridad Cat 1, Cat 2 y SIL 2, las entradas de módulos deben usarse en parejas como se ilustra. Se muestran dos funciones de seguridad SIL 2 cableadas a I0 y I1 usando las fuentes de prueba T0 y T1, respectivamente. Para las funciones de seguridad Cat 1, Cat 2 y SIL 2, los módulos de seguridad Guard I/O necesitan configuraciones específicas dentro del proyecto GuardLogix. En este ejemplo, las entradas 0, 1, 6, 7, 8, 9, 10 y 11 son parte de una función de seguridad CAT 1, 2 o SIL 2. Las entradas 2 y 3, así como las entradas 4 y 5 son parte de una función de seguridad CAT 3, CAT 4 o SIL 3. 13 Las salidas de prueba de impulso incorporadas (T0…Tx) generalmente se usan con dispositivos de campo que tienen contactos mecánicos. Si se usa un dispositivo de seguridad que tiene salidas electrónicas (entradas de seguridad de alimentación), éstas deben tener las clasificaciones de seguridad apropiadas. Si está usando las instrucciones de aplicaciones de seguridad GuardLogix, asegúrese de configurar sus módulos de entrada de seguridad como módulos sencillos, no equivalentes ni complementarios. Estas instrucciones proporcionan la funcionalidad de doble canal necesaria para las funciones de seguridad PLd (Cat. 3) o PLe (Cat. 4). 14 4.4 Seguridad SIL3 – la tarea de seguridad La creación de un proyecto GuardLogix crea automáticamente una sola tarea de seguridad. La tarea de seguridad tiene estas características adicionales: • Los controladores GuardLogix son los únicos controladores que aceptan la tarea de seguridad. • La tarea de seguridad no se puede eliminar. • Los controladores GuardLogix admiten una sola tarea de seguridad. • Dentro de la tarea de seguridad se pueden secuenciar múltiples programas de seguridad compuestos por múltiples rutinas de seguridad. • No es posible secuenciar ni ejecutar rutinas estándar desde dentro de la tarea de seguridad. La tarea de seguridad es una tarea periódica temporizada con prioridad de tarea y temporizador de control (watchdog) seleccionables por el usuario. En la mayoría de los casos, es la prioridad principal del controlador, y el temporizador de control (watchdog) definido por el usuario debe establecerse para que se adapte a las fluctuaciones en la ejecución de la tarea de seguridad. 4.5 Limitaciones de la tarea de seguridad Especifique tanto el período de la tarea de seguridad como el temporizador de control (watchdog) de la tarea de seguridad. El período de la tarea de seguridad es el período con el que se ejecuta la tarea de seguridad. El temporizador de control (watchdog) de la tarea de seguridad es el tiempo máximo permitido desde el inicio de la ejecución secuenciada de la tarea de seguridad hasta que la misma se completa. Si desea obtener más información acerca del temporizador de control (watchdog) de la tarea de seguridad, consulte el Apéndice C, Tiempos de reacción. El período de la tarea de seguridad está limitado a un máximo de 100 ms y no se puede modificar en línea. Asegúrese de que la tarea de seguridad tenga suficiente tiempo para completarse antes de volver a activarse. Si la tarea de seguridad se activa sin que la misma haya terminado de ejecutarse tras la activación anterior, ocurre una expiración del tiempo de espera del temporizador de control (watchdog) de tarea de seguridad, que es un fallo de seguridad no recuperable en el controlador GuardLogix Programas de seguridad 15 Un programa de seguridad tiene todos los atributos de un programa estándar, con la excepción de que sólo se puede secuenciar en la tarea de seguridad. Un programa de seguridad también puede definir tags de seguridad restringidos al programa. Un programa de seguridad puede ser secuenciado o no secuenciado. Un programa de seguridad sólo puede contener componentes de seguridad. Todas las rutinas de un programa de seguridad son rutinas de seguridad. Un programa de seguridad no puede contener rutinas estándar o tags estándar. Rutinas de seguridad Las rutinas de seguridad tienen todos los atributos de las rutinas estándar, con la excepción de que sólo pueden existir en los programas de seguridad. Una rutina de seguridad puede estar designada como la rutina principal. Otra rutina de seguridad puede estar designada como la rutina de fallo. En las rutinas de seguridad sólo se pueden utilizar instrucciones certificadas de seguridad. ATENCIÓN Para preservar el nivel SIL 3, debe asegurarse de que su lógica de seguridad no intente leer ni escribir tags estándar. Tags de seguridad 16 Los tags clasificados como tags de seguridad se restringen al controlador o al programa. Los tags de seguridad restringidos al controlador pueden ser leídos por la lógica estándar o de seguridad o por otros dispositivos de comunicación, pero sólo pueden ser escritos por la lógica de seguridad u otro controlador de seguridad GuardLogix. Sólo las rutinas de seguridad locales pueden tener acceso a los tags de seguridad restringidos al programa. Éstas son rutinas que residen dentro del programa de seguridad. Los tags asociados con Safety I/O y los datos de seguridad producidos o consumidos deben ser tags de seguridad restringidos al controlador. IMPORTANTE Cualquier tag de seguridad restringido al controlador se puede leer mediante una rutina estándar, pero la velocidad de actualización se basa en la ejecución de la tarea de seguridad. 17 Esto significa que los tags de seguridad se actualizan a la tasa periódica de la tarea de seguridad, que es diferente del comportamiento de los tags estándar. Proceso para la puesta en servicio 18 Generar la firma de tarea de seguridad 19 La firma de tarea de seguridad identifica de forma exclusiva cada proyecto, incluida su lógica, datos y tags. La firma de tarea de seguridad está compuesta del número de identificación, la fecha y la hora. Puede generar la firma de tarea de seguridad, si se cumple con todas las condiciones siguientes: • El software RsLogix 5000 está en línea con el controlador; • El controlador está en modo de programa; • El controlador está en desbloqueo de seguridad; • El controlador no tiene forzados de seguridad ni ediciones de seguridad pendientes en línea; • El estado de la tarea de seguridad es OK. Una vez completada la prueba del programa de aplicación, es necesario generar la firma de tarea de seguridad. El software de programación carga automáticamente la firma de tarea de seguridad una vez que ha sido generada. IMPORTANTE Para verificar la integridad de cada descarga, es necesario grabar manualmente la firma de tarea de seguridad después de haberla creado inicialmente, y comprobarla después de cada descarga, para asegurarse de que coincida con la original. Se puede eliminar la firma de tarea de seguridad sólo cuando el controlador GuardLogix está en desbloqueo de seguridad y, si está en línea, cuando el interruptor de llave está en la posición REM o PROG. Cuando existe una firma de tarea de seguridad, no se pueden realizar las siguientes acciones dentro de la tarea de seguridad: • Programación o edición en línea o fuera de línea de componentes de seguridad; • forzado de E/S de seguridad; • Manipulación de datos (excepto a través de la lógica de rutina u otro controlador GuardLogix). Bloquear el controlador GuardLogix 20 Es posible aplicar un bloqueo de seguridad al sistema controlador GuardLogix, con el fin de proteger los componentes de control de seguridad frente a posibles modificaciones. La función de bloqueo de seguridad sólo es aplicable a componentes de seguridad como, por ejemplo, la tarea de seguridad, los programas de seguridad, las rutinas de seguridad, los tags de seguridad, las instrucciones Add-On, las E/S de seguridad y la firma de tarea de seguridad. Ningún aspecto de seguridad se puede modificar mientras el controlador está en el estado de bloqueo de seguridad. Cuando el controlador está en bloqueo de seguridad, no se permiten las siguientes acciones dentro de la tarea de seguridad: • Programación o edición en línea o fuera de línea • forzado de E/S de seguridad • Manipulación de datos (excepto a través de la lógica de rutina u otro controlador GuardLogix) • Creación o edición de instrucciones Add-On de seguridad • Generación o eliminación de la firma de tarea de seguridad El estado predeterminado del controlador es desbloqueo de seguridad. Es posible poner la aplicación de seguridad en un estado de bloqueo de seguridad, independientemente de que esté en línea o fuera de línea, e independientemente de si tiene la fuente original del programa. No obstante, no debe estar presente ningún forzado de seguridad ni edición de seguridad pendiente. El estado de bloqueo o de desbloqueo de seguridad no se puede modificar cuando el interruptor de llave está en la posición de MARCHA. Para contar con una capa adicional de protección, es posible utilizar contraseñas independientes para el bloqueo o el desbloqueo de seguridad del controlador. Las contraseñas son opcionales Programación de un E-STOP CAT4 21 Descripción funcional Lazo E-Stop de canal dual Si se pulsa E-Stop, los dos (2) contactos NC (normalmente cerrados) del interior de la E-Stop se abren, lo que hace que las dos (2) entradas E-Stop de seguridad del módulo Safety I/O cambien a cero. Función de prueba de impulso El módulo Safety I/O está equipado con salidas de prueba de impulso que permiten detectar fallos cruzados entre canales, así como entre un canal y la alimentación de 24 V CC en el lazo E-Stop de canal dual. Función de restablecimiento de fallos Para restablecer el sistema en caso de producirse una condición de fallo causada por cualquier tipo de cortocircuito en las conexiones del lazo E-Stop, es necesario utilizar el pulsador FAULT RESET de la estación de demostración una vez solucionado el fallo. Función de restablecimiento del circuito Si no existe ningún fallo y se libera la E-Stop, las salidas de seguridad pueden activarse con el pulsador CIRCUIT RESET de la estación de trabajo. Acerca de esta sesión Va a aprender a configurar y agregar un módulo DeviceNet Safety I/O, 1791DS-IB8XOB8 a su Proyecto. En este apartado se le introducirá en GuardLogix y DeviceNet Safety I/O. Durante la sesión, usted: 22 • • • Creará un nuevo archivo para el controlador GuardLogix Agregará el módulo DeviceNet Safety I/O 1791DS-IB8XOB8 Configurará los módulos Safety I/O Siga los pasos indicados a continuación para completar la sesión: Creación del proyecto de seguridad GuardLogix En esta parte de la sesión iniciará el software RSLogix 5000 1. Haga doble clic en el icono RSLogix5000 del escritorio para iniciar RSLogix5000. 2. Cree un nuevo proyecto (New Project). 3. Elija el controlador de seguridad ControlLogix1756-L62S 4. Introduzca el número de revisión 17 5. Llame al controlador "SafetyLab". 6. Seleccione un chasis de 17 ranuras 7. Seleccione la ranura 11 para el controlador 8. Haga clic en OK. Si aparece un cuadro de diálogo que señala que ya existe un proyecto llamado “SafetyLab”, haga clic en Yes (sí) para sobrescribirlo. 9. Haga clic en el botón Controller Properties (propiedades del controlador) ,a continuación haga clic en la ficha Date/Time (fecha/hora) y marque la casilla Make this controller the Coordinated System Time master (Convierta a este controlador en el maestro del Coordinated System Time master -hora coordinada del sistema-) y haga clic en OK. Para su información El módulo homólogo de seguridad debe estar situado en la ranura Inmediatamente situada a la derecha del controlador de seguridad. Uno de los dispositivos del chasis local debe ser designado como maestro del Coordinated System Time (hora coordinada del sistema o CST). El maestro CST debe ser un controlador GuardLogix cuando haya uno presente. 23 Nota: Si no existe un maestro CST, se producirá un fallo de seguridad irrecuperable cuando el controlador pase a modo Run (ejecución). 10. Agregue una tarjeta 1756-DNB (Major Revision 6) al árbol de configuración de E/S en la ranura 9, nodo 0 y llámela "DNet". 11. Desactive la casilla Open Module Properties (abrir propiedades del módulo). 12. Haga clic en OK. 13. Compruebe si el apartado I/O Configuration (configuración de E/S) tiene esta apariencia: 14. Haga clic con el botón derecho en 1756-DNB, en I/O Configuration, y seleccione New Module (nuevo módulo) 24 15. Compruebe la lista de módulos Safety I/O actualmente disponibles. Nota: Si no le aparece ningún modulo, diríjase con su instructor. 16. Seleccione el módulo 1791DS-IB8XOB8 y haga clic en OK. Espere unos instantes a que se abra la pantalla de propiedades del módulo Safety I/O agregado. 25 17. Llame al módulo "safety_LabNode1". 18. Seleccione 1 como número de nodo. 19. Haga clic en la ficha Safety (seguridad) para cambiar el Requested Packet Interval (RPI) (intervalo entre paquetes solicitados) de Safety Inputs (entradas de seguridad) del valor por defecto, 10 ms, a un valor mínimo de "6 ms". 26 Para su información Requested Packet Interval (intervalo entre paquetes solicitados o RPI) especifica el periodo de tiempo durante el cual los datos se actualizan sobre la conexión. Para las conexiones Safety Input (entradas de seguridad), puede ajustar Requested Packet Interval (RPI) en la ficha Safety (seguridad) del diálogo Module Properties (propiedades de módulo). El RPI se introduce en incrementos de 1 milisegundo, con un intervalo válido de entre 6 y 500 ms. El valor por defecto es 10 ms. Nota: Debido a las limitaciones del módulo I/O Safety, el RPI mínimo válido es 6 ms. No es posible cambiar Requested Packet Interval (RPI) de Safety Outputs (salidas de seguridad; si están disponibles en el módulo) en Module Properties (aparece en color gris). Esto se debe a que existe un vínculo directo entre SafetyTask Period (periodo de la tarea de seguridad) y el RPI de las salidas. Las salidas de seguridad se tratan de forma SINCRONIZADA al final de la tarea de seguridad y por lo tanto el RPI de las salidas es el mismo que el Safety Task Period. 27 Configuración de entradas de seguridad Al contrario que los módulos de E/S estándar, los módulos 1791DS realizan un auto diagnóstico cuando se conecta la alimentación y de forma periódica durante el funcionamiento. Si se produce algún error, se trata como error fatal y tanto las salidas de seguridad como el envío de datos de salida a la red se desconectan. 20. Haga clic en la ficha Input Configuration (configuración de entrada) para configurar las entradas de seguridad. 21. Haga clic en el menú desplegable Point Mode (tipo de entra) en Point 0 (punto 0) y seleccione Safety Pulse Test (entrada segura con tren de pulsos). 28 Tipo de canal de entrada: Single (individual): Los dos canales son independientes entre sí. El módulo no detecta entradas incoherentes. (En esta sesión se elige Single para que la instrucción ESTOP que vamos a utilizar se ocupe de las entradas incoherentes). Equivalent (equivalente): Se utiliza con dispositivos de entrada de canal dual. El estado normal es cuando ambos canales están ON (activados) u OFF (desactivados) simultáneamente. El módulo detecta las entradas incoherentes. Complementary (complementario): Se utiliza para entradas diversas. En estado normal uno de los canales está activado (ON) y el otro desactivado (OFF). El módulo detecta las entradas incoherentes. Modos de punto de entrada: Safety Pulse Test (entrada segura con tren de pulsos): Permite diagnosticar si existe algún cortocircuito con la alimentación de 24 V CC del circuito externo y entre los canales de entrada. Safety (entrada segura sin tren de pulsos): Se conecta un sensor de seguridad de salida de estado sólido. Standard (estándar): Se conecta un dispositivo que no sea de seguridad, como un interruptor de restablecimiento. 29 22. Repita el paso anterior para Input Point 1 (punto de entrada 1). Nota: En la columna Test Source se asigna automáticamente un valor de "0" a los puntos de entrada impares y un valor de "1" a los puntos de entrada pares. Estos valores representan los Test Output a los que está conectada la entrada de seguridad. Puede cambiar esta asignación a otros Test Output (0-3) dependiendo de la forma en la que sus dispositivos de seguridad estén conectados. En esta sesión, los Test Output de los canales E-Stop son 0 y 1. 23. Cambie Test Source a "2" en Point 2, ya que el origen de Input 2 (entrada 2) es Test Source 2. Cambie Test Source a "3" en Point 3, ya que el origen de Input 3 (entrada 3) es Test Source 3. DI2 - Botón “CIRCUIT RESET” DI3 - Botón “FAULT RESET” 26. Haga clic en Apply (aplicar). 27. Haga clic en OK para finalizar la configuración del módulo Safety I/O. Configuración de salidas estándar Ya hemos configurado las entradas. En el código que programaremos más adelante definiremos varias salidas. Dichas salidas se indican mediante los pilotos luminosos. Las lámparas están conectados permanentemente al módulo de E/S estándar 1756-OB32. Por lo tanto, es necesario agregar este módulo al árbol de configuración de E/S. 28. Haga clic con el botón derecho en el chasis 1756 y seleccione New Module (nuevo módulo) 29. Agregue el módulo de salidas digitales 1756-OB32 y haga clic en OK. 30 30. Agréguelo en Slot 0 (ranura 0) y llámelo "Local_Outputs". 31. Su configuración de E/S debe tener esta apariencia: 31 32. Guarde el proyecto. Cómo agregar una instrucción de seguridad En esta parte de la sesión introducirá la instrucción de seguridad ESTOP en un renglón y la configurará. 1. Expanda el signo "+" situado junto a Safety Program (programa de seguridad) en Safety Task (tarea de seguridad). 2. Haga doble clic en MainRoutine (rutina principal), dentro de SafetyTask. Observe que tanto SafetyTask como los programas y rutinas aparecen señalados en rojo. 32 3. Desplácese entre los tipos de instrucción que aparecen a la derecha hasta llegar a la ficha Safety (seguridad). (Asegúrese de haber seleccionado el renglón "0"; si no es así, haga clic en el "0", que aparece a la izquierda del renglón). Para su información Solamente es posible ver la ficha Safety, en la que aparecen las instrucciones de seguridad, cuando se encuentre en SafetyTask. 5. Haga clic en el botón ESTOP para agregar una instrucción de seguridad ESTOP a MainRoutine, dentro de SafetyTask. Para su información Aunque es muy sencilla de configurar, la instrucción ESTOP, al igual que todas las instrucciones de seguridad, contiene numerosos renglones de código con certificación TUV que garantizan el correcto funcionamiento de la instrucción. 33 Configuración de la instrucción ESTOP 6. Haga clic con el botón derecho en ESTOP, dentro de la instrucción ESTOP, para crear un nuevo tag (variable) 7. Haga clic en New Tag… (nueva variable) 8. Llame ‘safety_EStop’ al tag recién creado. 9. Asegúrese de que Data Type (tipo de datos) sea EMERGENCY_STOP 10. Cambie Scope (alcance) a SafetyLab 34 11. Haga clic en OK Información complementaria El alcance de un tag de seguridad puede ser Program (programa) o Controller (controlador), igual que una tag estándar. Los tags de seguridad están protegidos y no pueden modificarse desde fuera de la tarea de seguridad. En nuestro caso, los tags tienen alcance de Controlador, de forma que posteriormente sea posible leer dichos tags desde la rutina estándar. 12. En la instrucción ESTOP, haga clic dos veces en Reset Type (tipo de restablecimiento) y ajústelo en MANUAL. Para su información: Manual requiere una acción intencionada para restablecer la salida de la instrucción, al contrario que Automatic (automático), que restablece la instrucción sin necesidad de realizar acción alguna. Configuración de las entradas de seguridad de ESTOP: 13. Haga clic dos veces en el signo de interrogación que aparece junto a Channel A (canal A) y seleccione safety_LabNode1:I.Pt00Data como primera entrada de seguridad de la instrucción ESTOP. Para su información: Al agregar el módulo 1791DS-IB8XOB8 a I/O Configuration, se crearon dos tags de controlador para éste: safety_LabNode1:I, para entradas y estado, y safety_LabNode1:O para las salidas. Pt00Data: Pt significa "punto" 00 indica el punto "0" Data indica que se trata de un punto de datos y no un punto InputStatus (estado de entrada) u OutputStatus (estado de salida) 35 14. Repita el paso anterior con el canal B y seleccione safety_LabNode1:I.Pt01Data como segunda entrada de seguridad de la instrucción ESTOP del canal dual. 15. Para restablecer el circuito seleccionamos safety_LabNode1:I.Pt02Data y para restablecer fallos safety_LabNode1:I.Pt03Data. Estas entradas están conectadas permanentemente a los botones “Circuit Reset” (restablecimiento del circuito) y “Fault Reset” (restablecimiento de fallos). Botones normalmente con 1 contacto normalmente cerrado. Para su información: El restablecimiento NO tiene porqué efectuarse mediante E/S de seguridad. En realidad se trata del ejemplo más obvio de uso de E/S estándar en una aplicación de seguridad. En una misma red DeviceNet pueden residir tanto E/S estándar como E/S de seguridad. En este equipo de demostración ambos tipos de restablecimientos están conectados a las E/S de seguridad por razones prácticas. 16. Compruebe si su instrucción de seguridad ESTOP tiene este aspecto: 36 17. Esta instrucción ESTOP tiene varias salidas. • Output 1: O1 (salida 1) cambia a estado activo cuando se cumplen las condiciones de entrada. Safe (segura) = 0, Active (activa) = 1 • Cycle Inputs: CI (ciclar entradas) solicita una acción. Antes de activar Output 1, las entradas del canal A y el canal B deben cambiar a su estado seguro simultáneamente antes de poder restablecer el circuito. Este aviso desaparece cuando tanto el canal A como el canal B pasan a estado seguro. • Circuit Reset Held On: CRHO; el requisito Circuit Reset Held On (restablecimiento de circuito mantenido) se activa cuando ambos canales de entrada cambian a estado activo y la entrada de restablecimiento del circuito ya estaba activada. El aviso Circuit Reset Held On desaparece cuando se desactiva la entrada de restablecimiento del circuito • Inputs Inconsistent: II El fallo Inputs Inconsistent (entradas incoherentes) se produce cuando las entradas de los canales A y B presentan estados incoherentes entre sí (seguro y activo, respectivamente) durante un periodo de tiempo superior al Inconsistent Time Period (tiempo de espera de entradas incoherentes). Este fallo se soluciona cuando las entradas de los canales A y B vuelven a un estado coherente (ambas entradas están en estado seguro o estado activo) y se activa la entrada de restablecimiento de fallos. • Fault Present: FP El fallo Fault Present (fallo presente) se produce cuando existe un fallo en la instrucción. Output 1 no puede cambiar a estado activo cuando existe un fallo Fault Present. Fault Present desaparece una vez solucionados todos los fallos y cuando se activa la entrada de restablecimiento de fallos. Para su información 37 Solamente es posible tener acceso de lectura/escritura a los tags de seguridad dentro de las rutinas de seguridad. En las rutinas estándar solamente se permite el acceso de lectura. Los tags estándar no pueden utilizarse directamente en rutinas de seguridad. Para utilizar un tag estándar en una rutina de seguridad debe utilizarse la herramienta Mapping Tool (herramienta de asignación). Ahora deseamos monitorizar algunas de estas salidas ESTOP mediante los pilotos luminosos. Dichas luces representan las salidas estándar del módulo 1756-OB32. Como se indica en el recuadro informativo anterior, los tags estándar no pueden utilizarse en la tarea de seguridad. Sin embargo, las salidas de seguridad de la instrucción ESTOP pueden utilizarse en la tarea principal como instrucciones READ (lectura). 18. Cambie a MainRoutine, en Standard Tasks (tareas estándar). 19. Inserte los renglones de la forma que se muestra en la figura siguiente. Ahora vamos a vincular nuestras salidas de seguridad a los pilotos luminosos conectados al módulo 1756OB32 local. 38 20. Guarde el proyecto. Prueba de la función E-Stop 1. Descargamos: 39 2. Cuando se le pregunte, haga clic en Yes para regresar al modo Run (ejecución). 3. En I/O Configuration, haga clic con el botón derecho en el módulo Safety I/O 1791DSIB8XOB8. Vaya a Properties (propiedades). 4. Seleccione la ficha Safety (seguridad). Si Configuration Ownership (propiedad de la configuración) ya está ajustada en Local, no toque el botón Reset Ownership (restablecer propiedad). Si aparece "??", entonces haga clic en el botón Reset Ownership. Responda Yes (Sí) a las advertencias. Espere unos segundos a que el módulo Safety I/O se reinicie tras el restablecimiento y observe los LED del módulo durante la operación. Para su información Todos los módulos GuardLogix son "propiedad" de uno de los controladores del sistema. Cuando un controlador es propietario de un módulo de E/S, guarda los datos de configuración del módulo definidos por el usuario mediante un proyecto RSLogix 5000. Cuando crea y descarga un nuevo proyecto, en realidad está reasignando un nuevo propietario a la configuración. Un módulo solamente puede tener un propietario. 40 Para cambiar el propietario de un proyecto RSLogix™ 5000, haga clic en el botón Reset Ownership de la ficha Safety del cuadro de diálogo Module Properties (propiedades del módulo). 5. Compruebe el resultado de la sesión siguiendo las instrucciones descritas a continuación. A medida que lleva a cabo las instrucciones, observe los LED del módulo de seguridad, las luces indicadoras y el estado de la instrucción ESTOP. • Pulse el botón E-Stop. Suelte el botón E-Stop y a continuación pulse el botón “Circuit Reset” para activar la salida. • Genere un cortocircuito entre canales. Las entradas (IN0, IN1) del módulo de seguridad cambiarán a color rojo. Observe que la instrucción ESTOP no indica ningún fallo. Esto se debe a que el módulo 1791DSIB8XOB8 utiliza la prueba de impulso para detectar el cortocircuito entre canales en las entradas E-Stop y cambia los dos canales de entrada que presentan un fallo a modo bajo. La instrucción ESTOP de GuardLogix actúa como si se hubiera pulsado el botón E-Stop, por lo que desconecta la salida de seguridad y espera a que los canales de entrada cambien a modo alto. El módulo 1791DS-IB8XOB8, sin embargo, requiere que las entradas cambien a modo bajo para poder restablecer los fallos de entrada. 41 No se indica ningún bit en falla, actúa como si el Paro se hubiera oprimido. La forma de darnos cuenta es con los LEDS en color rojo de las entradas 0 y 1 del modulo de seguridad • • • • • Corrija el fallo Quitando el corto. Pulse el botón E-Stop para restablecer los fallos del 1791DS-IB8XOB8. Regrese el botón E-Stop. Las entradas vuelven a cambiar a modo alto. Pulse el botón CIRCUIT RESET. safety_EStop.O1 debe encenderse. • Ahora simule una situación de desconexión de cable del E-Stop desconectando la entrada 0 Esta vez el módulo 1791DS no detecta ningún fallo de entrada. La entrada en la que se ha desconectado el cable cambia a modo bajo y la otra sigue iluminada en color ámbar. (Recuerde que hemos ajustado las entradas de seguridad en Single (individual), por lo que, en lo que al módulo se refiere, la entrada simplemente ha cambiado a modo bajo). Si se programaran como Equivalente, las 2 entradas se apagarían. GuardLogix, sin embargo, señala un fallo de entrada incoherente (hay un canal en modo bajo y otro en modo alto). Esto porque la Instrucción de ESTOP está programada para detectar inconsistencia en las entradas. Más adelante cambiaremos las entradas a modo Equivalente, donde si especificamos un Tiempo de Discrepancia. Funciona de igual manera. Ahora la lámpara Input Inconsistent II se ilumina -FP (Fault Present): Hubo una Falla en la instrucción. Corregir el fallo y después pulsar botón de Fault Reset -II (Input Inconsistent): Inconsistencia en las entradas. 42 Solucione el fallo conectando nuevamente la entrada. CYCLE INPUTS se ilumina porque uno de los canales ha cambiado entre los modos alto/bajo/alto, mientras que el otro permaneció en modo alto. Para apagar Cycle Inputs debe cambiar ambos canales a modo bajo pulsando EStop. Presione el Paro de emergencia para apagar CI Libere el Paro de Emergencia y después pulse el botón FAULT RESET (IN2). Se eliminan todos los fallos. FP se apaga. Pulse el botón CIRCUIT RESET (IN3) para volver a activar la salida de seguridad. • • • 43 Ahora configure el modulo de Seguridad con entradas Equivalentes. Ajuste el Tiempo de Discrepancia a un mínimo valor de 20ms (Note como con 10ms que es el mínimo no es suficiente. La diferencia mecánica de apertura y cierre entre los 2 contactos normalmente cerrados es mayor a 10ms). Haga pruebas con 10ms para que observe como las entradas siempre se ponen en rojo, quiere decir que son inconsistentes. Para hacer estas pruebas la configuración del nodo de seguridad deberá verse como abajo: Modifique el tiempo de Discrepancia a 20ms para que ya no detecte inconsistencia y se activen las entradas poniéndose en color Ámbar. • • Haga una prueba de configurar los Test Outputs T2 y T3 para FAULT y CIRCUIT RESET como Power Supply, recuerde que no necesariamente los Resets deben ser con pulsos. En este caso, no olvide configurar las entradas I2, I3 como tipo Estándar. Verifique con el multimetro como en un Test Output configurado como Power Supply el voltaje esta fijo en 24 Volts. Coloque el multimetro en T0 y T1 y observe como el voltaje de 24Volts parece estar variando. Esto porque existen trenes de pulsos de 24 Volts Para hacer estas pruebas, la configuración de los módulos de seguridad deberá verse como se observa abajo: 44 *Note que para hacer el CIRCUIT RESET simplemente hay que llevar voltaje de 24 Volts. Ya no forzosamente tiene que Venir de T2. Puede llevar voltaje de T3. • Haga un cambio en el tipo de Reset del Paro de Emergencia de Manual a Automático y verifique que funcione. 45 Note como ahora el Tag safety_EStop.ResetType está en “0”. Cuando está en modo manual su valor es de “1”. • Haga una prueba donde desconecte la entrada I0, note como se ponen las dos entradas en color Rojo. A diferencia de cuando son configuradas como Single, la que queda conectada permanece en color Ámbar y en la instrucción de ESTOP en la lógica se observa que solo la entrada safety_LabNode1:I.Pt00Data está en Cero y la safety_LabNode1:I.Pt01Data permanece en uno. Cuando son configuradas como equivalentes, ambas se observan que están en “Cero”. Vuelva a conectar la Entrada presione en Paro y libérelo y se volverá a Activar safety_EStop.O1. • Haga una prueba ocasionando un Corto entre Canales. • Haga una prueba ocasionando un corto entre el V+ y uno de los canales. • Haga una prueba junto con el instructor presionando el Paro y regresarlo lentamente, de tal manera que solo se cierre el primer contacto NC. Observe que las entradas se ponen en color Rojo. Cuando se configura como Equivalente, la manera de darnos cuenta cuando las entradas fueron inconsistentes, o hubo un corto entre canales o un corto entre V+ y uno de los canales es a través de Hardware, con los LEDS en color Rojo. Cuando hubo un corto entre V+ y uno de los canales, un LED esta fijo en rojo y el que está en corto está parpadeando en rojo. Sesión 2: Firmas y bloqueos de seguridad Acerca de esta sesión práctica En esta sesión aprenderá a utilizar las firmas y bloqueos de seguridad. El alumno: • 46 Configurará y eliminará la firma de seguridad • Bloqueará y desbloqueará el proyecto Trabajar con firmas y bloqueos de seguridad En esta parte de la sesión creará la firma y el bloqueo de seguridad. Para su información ¿Qué es una firma de seguridad? Una CRC (comprobación de redundancia cíclica) compleja con registro de tiempo de las CRC de los componentes de seguridad que forman la aplicación de seguridad del usuario. Solamente es posible generar una firma de seguridad cuando el controlador GuardLogix está en línea, en modo de programación, sin bloqueo de seguridad y sin otros requisitos, modificaciones en línea pendientes o fallos, relacionados con la seguridad. Cuando se crea una firma de seguridad, no es posible llevar a cabo las siguientes acciones en la parte de la aplicación relacionada con la seguridad: Programación o edición en línea/fuera de línea. Forzado de las E/S de seguridad Manipulación de los datos (excepto mediante la lógica de las rutinas de seguridad) Nota: Si elimina la firma de seguridad, deberá volver a comprobar y validar el sistema para que cumpla los requisitos de seguridad SIL 3. ¿Qué es un bloqueo de seguridad? El sistema controlador GuardLogix permite proteger mediante bloqueos de seguridad los componentes de control relacionados con la seguridad frente a cualquier modificación. Esta función únicamente es aplicable a componentes como las tareas, programas, rutinas, tags, E/S, firmas, etc. relacionados con la seguridad. No es posible realizar las siguientes acciones en la parte de la aplicación relacionada con la seguridad cuando existe un bloqueo de seguridad: Programación o edición en línea/fuera de línea. Forzado de las E/S de seguridad Cambio del estado de des habilitación de las E/S de seguridad o los controladores del fabricante 47 Manipulación de los datos (excepto mediante la lógica de las rutinas de seguridad) Generación o eliminación de la firma de seguridad La diferencia entre un bloqueo de seguridad y una firma de seguridad consiste en que un bloqueo de seguridad puede (y debe) estar protegido por una contraseña. Es posible utilizar contraseñas diferentes para crear y eliminar un bloqueo de seguridad. El bloqueo es una función de seguridad. Nota: La instrucción de ESTOP no nos permite forzar la salida O1, esto también es parte de la certificación de seguridad con la que cuenta. Podemos forzar las entradas de un modulo de seguridad pero no podemos forzar 2 entradas que están asignadas a una instrucción ESTOP al mismo tiempo, cuando lo hacemos la instrucción muestra inconsistencia en las entradas y se va a falla. Esto también confirma el nivel de certificación de seguridad con el que cuenta la instrucción. 1. Abra uno de los proyectos que ha creado o modificado. Vaya al modo de programación en línea. 2. Vaya a Controller Properties (propiedades del controlador) y seleccione la ficha Safety (seguridad). Genere la firma de seguridad haciendo clic en el botón Generate (generar). No es posible hacerlo en modo Run. Una vez puesto al PLC en program y de haber generado la firma de seguridad, aparecerán los siguientes datos como en la figura de abajo: 48 3. Vaya a Controller Tags (tags de controlador) y compruebe que la columna Value (valor) de todos los tags de seguridad aparecen en color gris, lo cual impide modificar ningún dato, excepto mediante la lógica. 4. Regrese a la ficha Safety de Controller Properties (propiedades del controlador), y haga clic en el botón Safety Lock/Unlock (bloquear/retirar bloqueo de seguridad). 5. Haga clic en Lock (bloquear) y a continuación en OK para cerrar la ventana Controller Properties. 6. Pruebe a modificar las partes de la aplicación relacionadas con la seguridad, tanto en línea como fuera de línea. Las rutinas estándar pueden modificarse con normalidad. 7. Regrese a la ficha Safety de Controller Properties. Desbloquee el controlador haciendo clic en 49 y a continuación en Unlock (desbloquear) 8. En la misma ficha Safety, elimine la firma de seguridad haciendo clic en el botón Delete (eliminar) y en Yes para confirmar. Haga clic en OK. 9. Compruebe si ahora es posible volver a modificar los tags de seguridad y la MainRoutine de seguridad. 10. Genere nuevamente la firma de seguridad y note como el número es diferente al anterior. 11. Haga una prueba donde configure los password para Lock y Unlock. Fije la contraseña como Safety para ambos passwords. Ahora cualquier usuario que trate de desbloquearse, tendrá que poner la contraseña Safety. Después de desbloquearse y hacer cualquier modificación para poder bloquear nuevamente la Lógica de seguridad, tendrá también que poner el password Safety. Para borrar las contraseñas, tendrá que entrar a Change Passwords y en Old Password tanto para Lock y Unlock anotar la contraseña Safety y dejar en blanco los espacios de New password y confirm new passwrod. 12. El GuardLogix se quedara bloqueado así como el programa fuente si es que se han guardado los cambios. Si se intenta descargar otro programa, Logix5000 nos mandara un mensaje donde nos dice que el PLC está bloqueado. En este caso, tendrá que poner la contraseña Safety. Si no sabe cuál es la contraseña, pudiera hacer un cambio de Firmware del GuardLogix para que borre su programa y ahora si poder descargar un nuevo programa pero si trata de descargar el programa que tenia donde incluia al password Safety se descargara con esta contraseña y como quiera no podrá modificar la lógica pues necesitara saber este password. Aquí la importancia de conservar en un lugar seguro el Password Safety. Conclusiones: -El generar una firma de seguridad, avala la programación de seguridad. Si alguien en algún momento la modifica, forzosamente tiene que borrar la firma. -Se puede dejar bloqueada la lógica de seguridad sin necesidad de generar una firma. Para hacer ediciones, forzamientos, etc., solamente desbloqueamos. Sesión 3: Mapping Tool (herramienta de asignación) Acerca de esta sesión práctica Se enseñará la utilización de Mapping Tool (herramienta de asignación), que permite utilizar tags estándar en la tarea de seguridad. Los tags de seguridad únicamente pueden utilizarse en tareas estándar con acceso de sólo lectura. El alumno: • • 50 Utilizará tags de seguridad en tareas estándar con acceso de sólo lectura Asignará tags estándar a los tags de seguridad para su uso en tareas de seguridad Para su información Solamente es posible tener acceso de lectura/escritura a los tags de seguridad dentro de las rutinas de seguridad. En las rutinas estándar solamente se permite el acceso de lectura. Los tags estándar no pueden utilizarse directamente en rutinas de seguridad. Para utilizar un tag estándar en una rutina de seguridad debe utilizarse la herramienta Mapping Tool (herramienta de asignación). Siga los pasos indicados a continuación para completar la sesión 3. Creación de tags estándar para su asignación En esta parte de la sesión se creará y restablecerá un temporizador de seguridad con un tag estándar. 1. Vaya a MainRoutine, dentro de SafetyTask. 2. Añada un temporizador que funcione durante 15 segundos. Es un tag de seguridad, ya que se utiliza en la tarea de seguridad. Añada otro renglón para restablecer el temporizador y crear el tag safety_reset: 51 3. Ahora diríjase al explorador de proyecto de RSLogix 5000, vaya a controller tags y cree un nuevo tag booleano, standard_reset, con alcance limitado al controlador. 52 4. Haga clic en el menú Logic (lógica) y seleccione Map Safety Tags (asignar tags de seguridad). 5. Se abre la herramienta de asignación. Ahora puede seleccionar el tag estándar “standard_reset”. 53 6. Haga clic en el espacio en blanco que hay debajo de Safety Tag Name (nombre del tag de seguridad) y seleccione el tag de seguridad al que desea asignar el tag estándar. En este caso seleccione el tag de seguridad “safety_reset”. Información complementaria Los tags que va a asignar deben tener el mismo tipo de datos y, si se trata de una matriz, el mismo tamaño. 7. Cierre la ventana Safety Tag Mapping (asignación de tags de seguridad) 8. Guarde y descargue el programa al GuardLogix Al poner al PLC en modo de RUN el timer empezara a contar. Vaya Controller Tags y observe que al alcanzar su preset, el Timer solo puede ser reseteado a través del tag standard_reset y no con el tag safety_reset. Si existe este Mapeo, el tag safety_reset se pone en color Gris y no puede ponerlo en “1”, incluso si va a la lógica de seguridad y trata de hacer un Toggle bit, tampoco obtendrá éxito. Borre este Mapeo y verifique como ahora el reset del Timer se da con safety_reset y standard_reset queda ahora sin poder resetear al Timer. 54 En esta sesión ha aprendido todo lo necesario para utilizar los tags estándar en la rutina de seguridad. También ha aprendido a utilizar la herramienta de asignación. Para su información En muchas aplicaciones las entradas estándar se asignan a los tags de seguridad mediante la herramienta de asignación cuando se pulsa el botón de restablecimiento. Los botones de restablecimiento para EStop, cortinas de luz, etc. Son el ejemplo más obvio 55 Sesión 4: Programación de una cortina de luz Acerca de esta sesión práctica Va a aprender lo sencillo que es configurar una cortina de luz con el software de programación RSLogix 5000. Solamente es necesario llevar a cabo algunos pasos. El alumno: • • • Configurará una cortina de luz con RSLogix 5000 y observará su funcionamiento. Realizará cambios en línea. Probará la función de muting. Siga los pasos indicados a continuación para completar la sesión 4. Instrucción de la cortina de luz 1. Cree una Rutina llamada Light_Curtain. No olvide llamarla desde la Principal con un JSR 3. En la subrutina Light Curtain (cortina de luz), cree un nuevo renglón 1 y agregue una instrucción LC con los siguientes parámetros: • • • • • • • 56 De de alta un tag de tipo LC nombrándolo Lightcurtain01 Reset Type: MANUAL Channel A y B: Configurar las entradas 0 y 1 del nodo 2 para recibir señales de voltaje de un dispositivo de seguridad, en este caso, de una cortina de luz. Estas entradas se configuran en modo Safety y reciben a las señales de voltaje OSSD1 y OSSD2 provenientes de la cortina de luz. Input Filter Time: Lo dejamos en cero Mute Light Curtain: Por lo pronto lo dejamos en cero, mas adelante veremos su funcionamiento Circuit Reset: Utilizamos las mismas entradas del Paro de Emergencia Fault Reset: Utilizamos las mismas entradas del Paro de Emergencia Para su información Las cortinas de luz se alimentaran con 24VCD. Normalmente tienen 2 salidas por PNP. Estas salidas están mandando voltaje cuando la cortina no está violada. Estas salidas están identificadas como OSSD1 y OSSD2 que significan Output Signal Switching Devices. Estas salidas pueden energizar directamente actuadores (Contactores de seguridad o relevadores de seguridad) usualmente que no demanden una corriente superior a los 500mA o ir conectadas a módulos de seguridad para GuardLogix. 57 58 Además de las entradas, también existen varias salidas para la cortina de luz. La mayoría de ellas ya se han mencionado en la sesión 2 en relación con el E-Stop CAT4. Las demás se explican aquí: • Light Curtain Blocked: LCB (cortina de luz bloqueada). Indica que la cortina de luz está bloqueada o ha sufrido un corte de alimentación. Bloqueada = 1 • Light Curtain Muted: LCM (cortina de luz en muting). Indica que la cortina de luz está "muting" (es decir, que no se utiliza). Muting = 1 4. Pruebe el Funcionamiento de la instrucción LC primero con la configuración de las entradas en modo Equivalente y verifique que los bits de error se activen, después hágalo de manera Single. Si pasa lo mismo que se observo en el Paro de Emergencia (Al configurar los canales en modo Equivalente ante la ocurrencia de fallas de cortos de Canal, desconexión de Cables o cortos con la línea de V+ solo las entradas de los módulos de seguridad se ponen en color Rojo, la visualización de fallas es solo visible a través de Hardware. En modo de Single si tenemos diagnostico. Recordar lo siguiente: 5. Pruebe el funcionamiento de la cortina de luz llevando a cabo los pasos siguientes: 59 • Acción: Pulse el botón “Circuit Reset” de la estación de trabajo. • Resultado: la O1 (salida 1) de la instrucción LC tiene el valor "1". • Acción: Interrumpa el haz de la cortina de luz introduciendo la mano entre los postes. • Resultado: La entrada LCB (cortina de luz bloqueada) de la instrucción LC tiene como valor "1" mientras el haz permanezca bloqueado. O1 toma el valor "0" (desactivada). • Acción: Aparte la mano de la cortina de luz. • Resultado: El valor de la entrada LCB de la instrucción LC cambia de "1" a "0". El valor de O1 sigue siendo "0" (desactivada). • Acción: Pulse el botón “Circuit Reset” de la estación de trabajo. • Resultado: La salida O1 de la instrucción LC toma el valor "1" (activada). • Acción: Desconecte un canal. • Resultado: Las entradas LCB, II (entradas incoherentes) y FP (fallo presente) son verdaderas”, siempre y cuando estén configuradas las entradas en modo Single. La salida O1 de la instrucción LC toma el valor "0" (Desactivada). • Acción: Pulse el botón “Light Curtain Open Wire” de la estación de trabajo. • Resultado: Las luces “Input Fault” y “Pulse Test Fault” permanecen encendidas y la luz “Cycle Inputs” se enciende a su vez. • Acción: Pulse el botón “Fault Reset”. • Resultado: las entradas FP e II de la instrucción LC adoptan el valor "0", mientras que CI cambia a "1". O1 continúa con el valor "0". • Acción: Apague Cycle Inputs” introduciendo la mano entre los postes de la cortina de luz. Pulse el botón “Circuit Reset” de la estación de trabajo. • Resultado: El valor de la entrada O1 de la instrucción LC cambia de "0" a "1". 6. Guarde el proyecto y permanezca en línea. 60 Muting de la cortina de luz 1. Defina un tag de nombre MuteLC de tipo Bool en el programa de seguridad y asígnelo al parámetro Mute Light Curtain de la instrucción LC 2. Defina un Tag de nombre Sensor_Mute de tipo Bool en el programa de seguridad 61 3. Pruebe la función de muting de la cortina de luz: 62 • Acción: Pulse el botón “Circuit Reset”. • Resultado: La O1 (salida 1) de la instrucción LC tiene el valor "1". • Acción: Interrumpa el haz de la cortina de luz introduciendo la mano entre los postes. • Resultado: La entrada LCB (cortina de luz bloqueada) de la instrucción LC tiene como valor "1" mientras el haz permanezca bloqueado, O1 adopta el valor "0" (desactivada). • Acción: Aparte la mano de la cortina de luz. • Resultado: El valor de la entrada LCB de la instrucción LC cambia de "1" a "0". El valor de O1 sigue siendo "0" (desactivada). • Acción: Pulse el botón “Circuit Reset” de la estación de trabajo. • Resultado: La salida O1 de la instrucción LC adopta el valor "1" (activada). • Acción: Cambie el bit de Sensor_Mute para que active la instrucción MuteLC (imagine, por ejemplo, que Sensor_Mute es la entrada proveniente de un sensor situado en una cinta transportadora que ha detectado una pieza que debe atravesar la cortina de luz sin desconectarla). Seleccione Sensor_Mute en el renglón 0, haga clic sobre ella con el botón derecho y vaya a Toggle Bit (cambiar bit; o simplemente pulse CTRL+T cuando Sensor_Mute aparezca resaltada). 63 • Resultado: La salida LCM de la instrucción LC cambia a modo alto y el indicador de fallos de entrada, de color rojo, se ilumina. Esto no significa que exista un fallo de entrada, sino que señala que la función de muting está activada (esto se debe a que no hay ninguna luz que indique la señal de muting). • Acción: Interrumpa el haz de la cortina de luz introduciendo la mano entre los postes. • Resultado: La entrada LCB cambia a modo alto para señalar que la cortina de luz está bloqueada, pero la salida O1 permanece también en modo alto debido a que la cortina de luz está en muting. • Acción: Cambie el bit de Sensor_Mute a estado OFF (desactivado) y bloquee el haz con la mano. • Resultado: La salida O1 de la instrucción LC cambia a "0" (desactivada), ya que la cortina de luz ya no está en muting. Configuración de la instrucción ROUT para Máster Relays Condiciones: Si las condiciones de seguridad están OK energizaremos un Relevador de Seguridad que alimentara a un Manifold, esto dará movimiento a cilindros. 1. Cuáles son las condiciones que se deben de cumplir para que la seguridad este OK? Damos un Cross reference a Zone1S.PwrOn Haciendo una referencia Cruzada, nos lleva a una instrucción RIN (Esta instrucción lee en qué estado se encuentran los Paros de Emergencia que se evalúan en la Rutina de Paros S01_EStops del mismo programa. Sumariza todos los paros de la Zona1, si todos los Paros están OK este Tag es verdadero. La instrucción RIN se encuentra dentro de la misma rutina S11_Zone Power. Generalmente serian diferentes los tags Channel A y Channel B pero vemos que es posible utilizar el mismo para ambos canales. 64 Para que la seguridad este Ok, los Paros de Emergencia, Puertas de Acceso y cualquier otro dispositivo de seguridad de la Zona 1 no debe estar violado Hacemos una referencia Cruzada, nos envía a la rutina donde se evalúan los Paros de Emergencia Dentro de la rutina S01_EStops, Localizamos al Tag Zone1S.AllEStopOK Observamos que Sumariza el estado OK de los Paros de las estaciones del Operador, Paros de Robots, Paros de los Safety Gates y Paros de HMI´s. Si cualquier Paro de emergencia no está violado, la seguridad de Paros de la Zona1 se encuentra OK Más adelante analizaremos la rutina de Paros de Emergencia. Continuemos en la rutina S11_Zone Power Se evalúa si las puertas de acceso de la zona 1 están cerradas. A través de una instrucción RIN lee el estado de todas las puertas de acceso que se verifican en la rutina S02_SafetyGates El Tipo de Reset se configura como automático, pues aquí la instrucción solo nos sirve para leer de la rutina de Gates el estado de las puertas. En la rutina de Gates, ahí si los Reset de los RIN se configurarían como manuales pues controlan directamente el acceso a las puertas. Para los RIN que leen el status de los paros de emergencia es lo mismo, el Tipo reset es automático. Para el Circuit Reset y Fault Reset, son botones que van conectados a un modulo de seguridad localizado en el Panel View de la Zona1 65 Generamos una referencia cruzada Más adelante analizaremos la rutina de S02_SafetyGates, donde se utiliza la instrucción RIN para energizar y/o desenergizar la bobina que controla el seguro de la puerta de acceso. 66 Hacemos una referencia cruzada Hacemos una referencia cruzada Nos lleva al primer renglón de la rutina S11_Zone_Power. El tag sumariza las condiciones Generales de seguridad. Se pone al principio para poder leer el estatus de seguridad de la Zona1 de manera rápida. Aparte incluye a los 2 Switches de seguridad que detectan presencia Del Fixture. Hacemos una referencia cruzada 67 Haciendo una referencia cruzada nos lleva hasta un copy, el cual esta copiando las entradas 4 y 5 de un nodo de seguridad, al cual a esas entradas, van conectados los sensores de seguridad. Como son dispositivos de seguridad, las entradas se configuran en modo de Safety. Sugerencia: Que su instructor le muestre el diagrama de conexión del nodo de seguridad 02, estación C10, Zona de seguridad 1. Nota: Es lo mismo para el otro sensor de seguridad: haga referencias cruzadas de C10L_Nest.STPresSwRIN.O1 para comprobarlo. 68 Llegamos al Inicio nuevamente. Zone1S.PwrOn activa a Zone1S.MCR_PwrOn.Enable y habilita la instrucción ROUT, que va a energizar a un Máster Relay (Pudiera ser solo una expansión de contactos de Seguridad marca Allen Bradley). C10_SIO1.O.M1_0 se conecta al positivo del Relay de Seguridad, es decir, a la terminal A1. C10_SIO1.O.M1_1 se conecta a la terminal A2 del Relay de Seguridad. Esta conexión se le conoce como configuración de salida Dual o Bipolar. En Feedback 1 y 2, pondremos un contacto Auxiliar NC del Relay de seguridad. Como es normalmente cerrado, se considera NEGATIVE. 69 Generamos Referencias Cruzadas de C10_SIO1.O.M1_0 y C10_SIO1.O.M1_1. Nos llevan a las Salidas 0 y 1 del modulo de seguridad, que están configuradas en modo DUAL. En modo DUAL forzosamente el común debe ser la salida 1. Si conectamos la terminal A2 del Relay en G0 del modulo de seguridad, no se energizara. Contactos NA del Relay de seguridad cerraran cuando las condiciones estén seguras proporcionando alimentación a bancos de válvulas y así permitir el movimiento de clamps. 70 Haga un ejercicio donde energice el Relevador de seguridad Pilz que se encuentra en el Demo. Los módulos de seguridad que están en el Demo constan de 8IN/8OUT. A pesar de que nos da la opción de configurar sus salidas como Duales, no está preparado el modulo para tener salidas Bipolares. Así que la configuración solo seria de modo Single y tipo Safety. La retroalimentación está conectada a la entrada 3 del modulo de seguridad nodo 2. El contacto NC se conecta al pulso T1. Observe en las imágenes de abajo como quedaría la configuración: 71 Solo utilizamos la salida 0 y configuramos como Safety pues va a un Relé de seguridad Pilz. Configuraríamos la salida como Pulse test si no fuera un Relé de seguridad, como un electromecánico. Un relé de seguridad ya tiene cierta certificación de seguridad, desde el hecho que cuenta con 2 Relés, K1 y K2. Cuenta con mayor seguridad al presentársele alguna falla. 72 De de alta un Tag de nombre MCR_PwrOn de tipo de dato ROUT. Condicione sus salidas para que se activen cuando la cortina de Luz no está violada. Fíjese en la imagen de abajo como solamente utilizamos la salida O1 del Tag MCR_PwrOn para activar la salida safety_LabNode2:O.Pt00Data. Como no estamos utilizando salidas Duales, no es necesario activar también la salida safety_LabNode2:O.Pt01Data. Configure la cortina de Luz con reset Automático Cuando este descargado al PLC esta Lógica con los módulos previamente configurados como lo vimos anteriormente, haga las siguientes pruebas: 1. Energice la Salida 01. Una vez energizado el Relé Pilz, desconecte la retroalimentación, es decir, desconecte la entrada 3. Note como el Relevador sigue energizado. 2. Bloquee la cortina de seguridad. Note como la instrucción ROUT se pone en falla. Esto porque la instrucción no detecto un cambio de estado en el contacto auxiliar del Relé Pilz. 3. Trate de borrar la Falla. Note como no es posible hacerlo. 4. Conecte nuevamente la retroalimentación, rasete la falla y observe que las salidas O1 y O2 se vuelven a habilitar. Conclusión: La retroalimentación, le es importante a la instrucción para evaluar que el estado del Relé Pilz este OK, no se encuentre dañado. Para poder activar al Relé, la instrucción requiere monitorear antes que el estado del contacto auxiliar este en su modo natural (NC). 73 Configuración de la instrucción RIN para monitoreo de puertas de Seguridad La instrucción de Seguridad RIN la utilizaremos para el monitoreo de los 2 contactos auxiliares de la bobina de la puerta de seguridad. Comprendamos que cuando la bobina del interlock esta sin energizarse, la puerta está bloqueada. Cuando se presiona el botón de requerimiento para accesar a la Celda (Botón Físico o botón de Panel View), vamos a energizar la bobina, por lógica tendremos que dejar esa salida memorizada o también manejarla con una instrucción Latch. El tipo de Interlock con el que cuenta el Demo de GuardLogix es marca Fortress Interlock. Cuando energizamos su bobina para accesar a la Celda y liberamos la perilla, el Led color rojo se energiza, cuando regresamos la perilla a posición de bloqueo, un Led color amarillo se ilumina y el Led Rojo se apaga. Una vez que desenergizamos la bobina para que quede bloqueado nuevamente el interlock, ningún LED queda iluminado. Realice la siguiente Sesión: Según como se muestra en las imágenes de abajo, es como se tiene conectado al Interlock Fortress: 74 75 Configure la instrucción RIN como se observa en la figura de abajo y agregue los dos renglones para energizar y desenergizar la bobina. La instrucción RIN se utilizara para estar monitoreando que el interlock este bloqueado a través de los contactos NC. Si algún contacto NC abriera, la instrucción RIN se va a falla y el tag SG01.01 se apaga. 76