MANUAL DE ENTRENAMIENTO
EN GUARD LOGIX
INFORMACION
TECNICA
Principales riesgos y seguimientos de seguridad
Definiciones
2
Riesgo: Es toda aquella situación que puede provocar un accidente y que
en muchos de los casos no lo podemos eliminar, mas sin embargo existen
diferentes métodos de control para evitar accidentes.
Seguridad: Es el cumplimiento a reglas y procedimientos establecidos con
el fin de evitar accidentes.
Seguimientos
de seguridad
Este manual describe el sistema controlador GuardLogix, que es de un tipo
aprobado y está certificado para uso en aplicaciones de seguridad hasta el
nivel SIL 3 según IEC 61508 e IEC 62061, y aplicaciones de seguridad
hasta el nivel de rendimiento PLe (Categoría 4) según ISO 13849-1
Use este manual si usted es responsable del desarrollo, de la operación o
del mantenimiento de un sistema de seguridad basado en un controlador
GuardLogix. Es necesario que lea y comprenda los conceptos y los
requisitos de seguridad presentados en este manual, antes de operar un
sistema de seguridad basado en un controlador GuardLogix.
Cuando el controlador GuardLogix está en modo de marcha o de
programación, y el usuario no ha validado la aplicación, el usuario es
responsable de mantener las condiciones de seguridad.
La tarea de seguridad es la única tarea certificada para aplicaciones SIL3
Al aplicar la seguridad de funcionamiento, restrinja el acceso a personal
calificado y autorizado que cuente con la debida formación y experiencia.
La función de bloqueo de seguridad, con contraseñas, se proporciona en el
software RSLogix 5000.
GuardLogix
Introducción
3
Este curso ofrece la posibilidad de adquirir las destrezas necesarias a todos aquellos
interesados en adquirir conocimientos básicos de los sistemas y la terminología
GuardLogix. Se introducirá al alumno en los componentes de hardware y software,
funciones y terminología de GuardLogix. Ganará experiencia en la programación de
instrucciones de seguridad mediante el software RSLogix5000.
Importancia
En la actualidad, la integración de la lógica de seguridad con la lógica estándar se
establece dentro de un mismo PLC.
Capitulo1. Concepto de nivel de integridad de
Seguridad (SIL)
Objetivo:
Este capítulo presenta el concepto de nivel de integridad de seguridad (SIL) y describe cómo el
controlador GuardLogix cumple con los requisitos para la certificación SIL 3.
4
1.1 Certificación SIL 3
Los sistemas de controlador 1756 GuardLogix cuentan con aprobación de tipo y están
certificados para uso en aplicaciones de seguridad hasta el nivel SIL 3 según IEC 61508 e IEC
62061, y aplicaciones de seguridad hasta el nivel de rendimiento Ple (Categoría 4) según ISO
13849-1. Los requisitos de nivel de integridad de seguridad (SIL) se basan en los estándares
vigentes al momento de la certificación.
TÜV Rheinland ha aprobado los sistemas controladores GuardLogix para uso en aplicaciones
relacionadas con la seguridad hasta SIL 3, en las que el estado desenergizado se considera el
estado seguro. Todos los ejemplos relacionados con E/S que se incluyen en este manual se
basan en la consecución de la desenergización como estado seguro para sistemas típicos de
desactivación de emergencia (ESD) y seguridad de máquinas
El usuario del sistema es responsable de:
-La configuración, la clasificación SIL y la validación de cualquier sensor o accionador
conectado al sistema GuardLogix;
- La administración del proyecto y las pruebas de funcionamiento;
-El control de acceso al sistema de seguridad, incluido el manejo de contraseñas;
-Programar el software de aplicación y las configuraciones de los dispositivos según la
información descrita en este manual de referencia de seguridad
1.2 Arquitectura GuardLogix para aplicaciones SIL 3
5
1.3Tiempo de reacción del sistema
6
El tiempo de reacción del sistema es la cantidad de tiempo transcurrido desde la ocurrencia de
un evento de seguridad, como una entrada al sistema, hasta que el sistema establece las
salidas correspondientes a su estado seguro. Los fallos dentro del sistema también pueden
afectar el tiempo de reacción del sistema.
El tiempo de reacción del sistema es la suma de los siguientes tiempos de reacción:
Cada uno de los tiempos antes mencionados varía debido a factores como, por ejemplo, el tipo
de módulo de E/S y las instrucciones utilizadas en el programa.
1.4 Tiempo de reacción de la tarea de seguridad
El tiempo de reacción de la tarea de seguridad es el mayor retardo que puede producirse entre
el momento en que se presenta cualquier cambio a la entrada del controlador y el momento en
que la salida procesada queda establecida por el productor de salida. Es menor o igual que la
suma del período de la tarea de seguridad y el temporizador de control (watchdog) de tarea de
seguridad.
1.5 Período de la tarea de seguridad y temporizador de control (watchdog) de tarea de
seguridad
El período de la tarea de seguridad es el intervalo con que se ejecuta la tarea de seguridad.
El tiempo del temporizador de control (watchdog) de tarea de seguridad es el mayor tiempo
permisible para el procesamiento de la tarea de seguridad. Si el tiempo de procesamiento de la
tarea de seguridad supera el tiempo del temporizador de control (watchdog) de tarea de
seguridad, se presenta un fallo de seguridad no recuperable en el controlador y las salidas
cambian automáticamente al estado seguro (desconectado).
Usted define el tiempo del temporizador de control (watchdog) de tarea de seguridad, el cual
debe ser menor o igual que el período de la tarea de seguridad.
El tiempo del temporizador de control (watchdog) de tarea de seguridad se establece en la
ventana de propiedades de tareas del software RSLogix 5000. Este valor se puede modificar en
línea, independientemente del modo del controlador, pero no se puede cambiar cuando el
controlador esté en bloqueo de seguridad o una vez que se haya creado una firma de tarea de
seguridad.
7
Capítulo 2. Hardware del controlador 1756
GuardLogix
El controlador 1756 GuardLogix consta de un controlador primario, número de catálogo 1756L61S, 1756-L62S o 1756-L63S, y un homólogo de seguridad, número de catálogo 1756-LSP.
2.1 Controlador primario
El controlador primario es el procesador que realiza funciones estándar y de control de
seguridad, y que se comunica con el homólogo de seguridad para las funciones relacionadas
con la seguridad del sistema de control GuardLogix. El controlador primario consta de un
procesador central, la interface de E/S y la memoria.
2.2 Homólogo de seguridad
Con el fin de cumplir los requisitos de SIL 3, es necesario instalar un homólogo de seguridad,
número de catálogo 1756-LSP, en la ranura situada inmediatamente a la derecha del
controlador primario. El homólogo de seguridad es un coprocesador que proporciona
redundancia para las funciones relacionadas con la seguridad del sistema.
El homólogo de seguridad es configurado por el controlador primario. Sólo es necesaria una
simple descarga del programa de usuario al controlador primario. El modo de operación del
Homólogo de seguridad se controla mediante el controlador primario.
2.3 Puentes de comunicación
Los siguientes módulos de interface de comunicación están disponibles para facilitar la
comunicación sobre redes Ethernet/IP, DeviceNet y ControlNet mediante el protocolo CIP
Safety:
8
2.4 Red Ethernet/IP
La comunicación de seguridad de igual a igual entre controladores GuardLogix es posible a
través de la red Ethernet/IP mediante el uso de módulos puente 1756-ENBT, 1756-EN2T o
1768-ENBT. Un Módulo puente Ethernet/IP permite que el controlador GuardLogix controle e
intercambie datos de seguridad con módulos CIP Safety I/O en una red Ethernet/IP.
La comunicación de seguridad de igual a igual entre dos controladores 1756 GuardLogix
en el mismo chasis también es posible a través del backplane.
9
2.5 Red DeviceNet Safety
El módulo puente 1756-DNB DeviceNet permite que el controlador 1756 GuardLogix controle e
intercambie datos de seguridad con módulos CIP Safety I/O en una red DeviceNet.
2.6 Red ControlNet
El módulo 1756-CN2 ó 1768-CNB CN2 permiten que el controlador GuardLogix produzca y
consuma tags de seguridad mediante redes ControlNet a otros procesadores GuardLogix o
redes CIP Safety I/O remotas.
10
Capitulo 3. CIP Safety I/O para el sistema de control
GuardLogix
3.1 Consideraciones de seguridad en torno a los módulos CIP Safety I/O
Cada módulo CIP Safety I/O en un sistema GuardLogix es propiedad de un controlador
GuardLogix. Es posible usar múltiples controladores GuardLogix y múltiples módulos CIP
Safety I/O sin restricciones en chasis o en redes, según sea necesario. Cuando un controlador
tiene la propiedad de un módulo de E/S, almacena los datos de configuración del módulo,
tal y como los define el usuario. Esto controla la forma en que operan los módulos en el
sistema.
Desde el punto de vista del control, los módulos de salida de seguridad sólo pueden ser
controlados por un controlador. Cada módulo de entrada de seguridad también es propiedad de
un solo controlador; sin embargo, los datos de entrada de seguridad pueden ser compartidos
(consumidos) por múltiples controladores GuardLogix.
Capitulo 4. Características de tags de seguridad, tarea
de seguridad y programas de seguridad
4.1 Diferenciar entre estándar y de seguridad
Puesto que se trata de un controlador de la serie Logix, en el sistema de control GuardLogix se
pueden utilizar tanto componentes estándar (no relacionados con la seguridad) como
Componentes relacionados con la seguridad.
Usted puede realizar un control de automatización estándar de tareas estándar dentro de un
proyecto GuardLogix. Los controladores 1756 GuardLogix proporcionan la misma funcionalidad
que otros controladores de la serie 1756 ControlLogix. Los controladores 1768 Compact
GuardLogix proporcionan la misma funcionalidad que otros controladores 1768-L4x
CompactLogix.
Lo que diferencia a los controladores1756 y 1768 GuardLogix de los controladores estándar es
que proporcionan una tarea de seguridad con capacidad SIL 3. Sin embargo, es necesario
realizar una distinción lógica y visible entre la parte estándar y la relacionada con la seguridad
de la aplicación. El software RSLogix 5000 proporciona esta diferenciación mediante la tarea de
seguridad, los programas de seguridad, las rutinas de seguridad, los tags de seguridad y los
11
módulos de E/S de seguridad. Usted puede implementar tanto el nivel SIL 2 como el nivel SIL 3
del control de seguridad con la tarea de seguridad del controlador GuardLogix.
4.2 Lógica de seguridad SIL 2
Desde la perspectiva de control de seguridad GuardLogix, la mayor diferencia entre dispositivos
con clasificación de seguridad SIL 2 y SIL 3 es que SIL 2 generalmente tiene un solo canal,
mientras que SIL 3 generalmente tiene dos canales. Al usar E/S con clasificación de seguridad,
que es lo requerido por la tarea de seguridad, la seguridad SIL 2 puede tener un solo canal, lo
cual reduce la complejidad del sistema.
Dentro de la tarea de seguridad, el software RSLogix 5000 incluye un conjunto de instrucciones
de lógica de escalera relacionadas con la seguridad. Además de estas instrucciones de lógica
de escalera relacionadas con la seguridad, los controladores GuardLogix cuentan con
instrucciones de seguridad con clasificación SIL 3 específicas en cuanto a la aplicación. Todas
estas instrucciones lógicas pueden usarse en funciones de seguridad Cat 1…4 y SIL 1…3.
Para el nivel de seguridad SIL 2 únicamente, no se requiere una firma de tarea de seguridad.
Sin embargo, si se usa alguna función de seguridad SIL 3 dentro de la tarea de seguridad, se
requerirá una firma de tarea de seguridad.
Para las aplicaciones SIL 2, se recomienda el bloqueo de seguridad de la tarea de seguridad
una vez terminadas las pruebas. Bloquear la tarea de seguridad habilita funciones de seguridad
adicionales.
4.3 Entradas de seguridad SIL 2
Los módulos de entrada de seguridad Compact Block Guard I/O (serie 1791) y ArmorBlock
Guard I/O (serie 1732) aceptan circuitos de entrada de seguridad SIL 2 de un solo canal.
Puesto que estos módulos también están clasificados para operación SIL 3, es posible
combinar los circuitos SIL 2 y SIL 3 en el mismo módulo, siempre que se sigan estas pautas:
Estos dos ejemplos de cableado muestran cómo cablear los circuitos de seguridad SIL 2 a los
módulos de entrada de seguridad Guard I/O. Estos ejemplos utilizan fuentes de prueba
incorporadas (T0…Tx) que residen en todos los módulos de entrada de seguridad 1791 y 1732.
12
Los módulos Guard I/O agrupan las entradas en parejas para facilitar las funciones de
seguridad Cat 3, Cat 4 y SIL 3. Para usarse en funciones de seguridad Cat 1, Cat 2 y SIL 2, las
entradas de módulos deben usarse en parejas como se ilustra. Se muestran dos funciones de
seguridad SIL 2 cableadas a I0 y I1 usando las fuentes de prueba T0 y T1, respectivamente.
Para las funciones de seguridad Cat 1, Cat 2 y SIL 2, los módulos de seguridad Guard I/O
necesitan configuraciones específicas dentro del proyecto GuardLogix. En este ejemplo, las
entradas 0, 1, 6, 7, 8, 9, 10 y 11 son parte de una función de seguridad CAT 1, 2 o SIL 2. Las
entradas 2 y 3, así como las entradas 4 y 5 son parte de una función de seguridad CAT 3, CAT
4 o SIL 3.
13
Las salidas de prueba de impulso incorporadas (T0…Tx) generalmente se usan con
dispositivos de campo que tienen contactos mecánicos. Si se usa un dispositivo de seguridad
que tiene salidas electrónicas (entradas de seguridad de alimentación), éstas deben tener las
clasificaciones de seguridad apropiadas.
Si está usando las instrucciones de aplicaciones de seguridad GuardLogix, asegúrese de
configurar sus módulos de entrada de seguridad como módulos sencillos, no equivalentes ni
complementarios. Estas instrucciones proporcionan la funcionalidad de doble canal necesaria
para las funciones de seguridad PLd (Cat. 3) o PLe (Cat. 4).
14
4.4 Seguridad SIL3 – la tarea de seguridad
La creación de un proyecto GuardLogix crea automáticamente una sola tarea de seguridad. La
tarea de seguridad tiene estas características adicionales:
• Los controladores GuardLogix son los únicos controladores que aceptan la tarea de
seguridad.
• La tarea de seguridad no se puede eliminar.
• Los controladores GuardLogix admiten una sola tarea de seguridad.
• Dentro de la tarea de seguridad se pueden secuenciar múltiples programas de seguridad
compuestos por múltiples rutinas de seguridad.
• No es posible secuenciar ni ejecutar rutinas estándar desde dentro de la tarea de seguridad.
La tarea de seguridad es una tarea periódica temporizada con prioridad de tarea y
temporizador de control (watchdog) seleccionables por el usuario. En la mayoría de los casos,
es la prioridad principal del controlador, y el temporizador de control (watchdog) definido por el
usuario debe establecerse para que se adapte a las fluctuaciones en la ejecución de la tarea de
seguridad.
4.5 Limitaciones de la tarea de seguridad
Especifique tanto el período de la tarea de seguridad como el temporizador de control
(watchdog) de la tarea de seguridad. El período de la tarea de seguridad es el período con el
que se ejecuta la tarea de seguridad. El temporizador de control (watchdog) de la tarea de
seguridad es el tiempo máximo permitido desde el inicio de la ejecución secuenciada de la
tarea de seguridad hasta que la misma se completa.
Si desea obtener más información acerca del temporizador de control (watchdog) de la tarea de
seguridad, consulte el Apéndice C, Tiempos de reacción.
El período de la tarea de seguridad está limitado a un máximo de 100 ms y no se puede
modificar en línea. Asegúrese de que la tarea de seguridad tenga suficiente tiempo para
completarse antes de volver a activarse. Si la tarea de seguridad se activa sin que la misma
haya terminado de ejecutarse tras la activación anterior, ocurre una expiración del tiempo de
espera del temporizador de control (watchdog) de tarea de seguridad, que es un fallo de
seguridad no recuperable en el controlador GuardLogix
Programas de seguridad
15
Un programa de seguridad tiene todos los atributos de un programa estándar, con la excepción
de que sólo se puede secuenciar en la tarea de seguridad. Un programa de seguridad también
puede definir tags de seguridad restringidos al programa. Un programa de seguridad puede ser
secuenciado o no secuenciado.
Un programa de seguridad sólo puede contener componentes de seguridad. Todas las rutinas
de un programa de seguridad son rutinas de seguridad. Un programa de seguridad no puede
contener rutinas estándar o tags estándar.
Rutinas de seguridad
Las rutinas de seguridad tienen todos los atributos de las rutinas estándar, con la excepción de
que sólo pueden existir en los programas de seguridad. Una rutina de seguridad puede estar
designada como la rutina principal. Otra rutina de seguridad puede estar designada como la
rutina de fallo. En las rutinas de seguridad sólo se pueden utilizar instrucciones certificadas de
seguridad.
ATENCIÓN
Para preservar el nivel SIL 3, debe asegurarse de que su lógica de seguridad no intente leer ni
escribir tags estándar.
Tags de seguridad
16
Los tags clasificados como tags de seguridad se restringen al controlador o al programa. Los
tags de seguridad restringidos al controlador pueden ser leídos por la lógica estándar o de
seguridad o por otros dispositivos de comunicación, pero sólo pueden ser escritos por la lógica
de seguridad u otro controlador de seguridad GuardLogix. Sólo las rutinas de seguridad locales
pueden tener acceso a los tags de seguridad restringidos al programa. Éstas son rutinas que
residen dentro del programa de seguridad.
Los tags asociados con Safety I/O y los datos de seguridad producidos o consumidos deben
ser tags de seguridad restringidos al controlador.
IMPORTANTE
Cualquier tag de seguridad restringido al controlador se puede leer mediante una rutina
estándar, pero la velocidad de actualización se basa en la ejecución de la tarea de seguridad.
17
Esto significa que los tags de seguridad se actualizan a la tasa periódica de la tarea de
seguridad, que es diferente del comportamiento de los tags estándar.
Proceso para la puesta en servicio
18
Generar la firma de tarea de seguridad
19
La firma de tarea de seguridad identifica de forma exclusiva cada proyecto, incluida su lógica,
datos y tags. La firma de tarea de seguridad está compuesta del número de identificación, la
fecha y la hora.
Puede generar la firma de tarea de seguridad, si se cumple con todas las condiciones
siguientes:
• El software RsLogix 5000 está en línea con el controlador;
• El controlador está en modo de programa;
• El controlador está en desbloqueo de seguridad;
• El controlador no tiene forzados de seguridad ni ediciones de seguridad pendientes en línea;
• El estado de la tarea de seguridad es OK.
Una vez completada la prueba del programa de aplicación, es necesario generar la firma de
tarea de seguridad. El software de programación carga automáticamente la firma de tarea de
seguridad una vez que ha sido generada.
IMPORTANTE
Para verificar la integridad de cada descarga, es necesario grabar manualmente la firma de
tarea de seguridad después de haberla creado inicialmente, y comprobarla después de cada
descarga, para asegurarse de que coincida con la original.
Se puede eliminar la firma de tarea de seguridad sólo cuando el controlador GuardLogix está
en desbloqueo de seguridad y, si está en línea, cuando el interruptor de llave está en la
posición REM o PROG.
Cuando existe una firma de tarea de seguridad, no se pueden realizar las siguientes acciones
dentro de la tarea de seguridad:
• Programación o edición en línea o fuera de línea de componentes de seguridad;
• forzado de E/S de seguridad;
• Manipulación de datos (excepto a través de la lógica de rutina u otro controlador GuardLogix).
Bloquear el controlador GuardLogix
20
Es posible aplicar un bloqueo de seguridad al sistema controlador GuardLogix, con el fin de
proteger los componentes de control de seguridad frente a posibles modificaciones. La función
de bloqueo de seguridad sólo es aplicable a componentes de seguridad como, por ejemplo, la
tarea de seguridad, los programas de seguridad, las rutinas de seguridad, los tags de
seguridad, las instrucciones Add-On, las E/S de seguridad y la firma de tarea de seguridad.
Ningún aspecto de seguridad se puede modificar mientras el controlador está en el estado de
bloqueo de seguridad. Cuando el controlador está en bloqueo de seguridad, no se permiten las
siguientes acciones dentro de la tarea de seguridad:
• Programación o edición en línea o fuera de línea
• forzado de E/S de seguridad
• Manipulación de datos (excepto a través de la lógica de rutina u otro controlador GuardLogix)
• Creación o edición de instrucciones Add-On de seguridad
• Generación o eliminación de la firma de tarea de seguridad
El estado predeterminado del controlador es desbloqueo de seguridad. Es posible poner la
aplicación de seguridad en un estado de bloqueo de seguridad, independientemente de que
esté en línea o fuera de línea, e independientemente de si tiene la fuente original del programa.
No obstante, no debe estar presente ningún forzado de seguridad ni edición de seguridad
pendiente.
El estado de bloqueo o de desbloqueo de seguridad no se puede modificar cuando el
interruptor de llave está en la posición de MARCHA.
Para contar con una capa adicional de protección, es posible utilizar contraseñas
independientes para el bloqueo o el desbloqueo de seguridad del controlador. Las contraseñas
son opcionales
Programación de un E-STOP CAT4
21
Descripción funcional
Lazo E-Stop de canal dual
Si se pulsa E-Stop, los dos (2) contactos NC (normalmente cerrados) del interior de la E-Stop
se abren, lo que hace que las dos (2) entradas E-Stop de seguridad del módulo Safety I/O
cambien a cero.
Función de prueba de impulso
El módulo Safety I/O está equipado con salidas de prueba de impulso que permiten detectar
fallos cruzados entre canales, así como entre un canal y la alimentación de 24 V CC en el lazo
E-Stop de canal dual.
Función de restablecimiento de fallos
Para restablecer el sistema en caso de producirse una condición de fallo causada por cualquier
tipo de cortocircuito en las conexiones del lazo E-Stop, es necesario utilizar el pulsador FAULT
RESET de la estación de demostración una vez solucionado el fallo.
Función de restablecimiento del circuito
Si no existe ningún fallo y se libera la E-Stop, las salidas de seguridad pueden activarse con el
pulsador CIRCUIT RESET de la estación de trabajo.
Acerca de esta sesión
Va a aprender a configurar y agregar un módulo DeviceNet Safety I/O, 1791DS-IB8XOB8 a su
Proyecto.
En este apartado se le introducirá en GuardLogix y DeviceNet Safety I/O. Durante la sesión,
usted:
22
•
•
•
Creará un nuevo archivo para el controlador GuardLogix
Agregará el módulo DeviceNet Safety I/O 1791DS-IB8XOB8
Configurará los módulos Safety I/O
Siga los pasos indicados a continuación para completar la sesión:
Creación del proyecto de seguridad GuardLogix
En esta parte de la sesión iniciará el software RSLogix 5000
1. Haga doble clic en el icono RSLogix5000 del escritorio para iniciar RSLogix5000.
2. Cree un nuevo proyecto (New Project).
3. Elija el controlador de seguridad ControlLogix1756-L62S
4. Introduzca el número de revisión 17
5. Llame al controlador "SafetyLab".
6. Seleccione un chasis de 17 ranuras
7. Seleccione la ranura 11 para el controlador
8. Haga clic en OK.
Si aparece un cuadro de diálogo que señala que ya existe un proyecto llamado “SafetyLab”,
haga clic en Yes (sí) para sobrescribirlo.
9. Haga clic en el botón Controller Properties (propiedades del controlador)
,a
continuación haga clic en la ficha Date/Time (fecha/hora) y marque la casilla Make this
controller the Coordinated System Time master (Convierta a este controlador en el maestro
del Coordinated System Time master -hora coordinada del sistema-) y haga clic en OK.
Para su información
El módulo homólogo de seguridad debe estar situado en la ranura Inmediatamente situada a la
derecha del controlador de seguridad.
Uno de los dispositivos del chasis local debe ser designado como maestro del
Coordinated System Time (hora coordinada del sistema o CST). El maestro CST debe ser un
controlador GuardLogix cuando haya uno presente.
23
Nota: Si no existe un maestro CST, se producirá un fallo de seguridad irrecuperable cuando el
controlador pase a modo Run (ejecución).
10. Agregue una tarjeta 1756-DNB (Major Revision 6) al árbol de configuración de E/S en la
ranura 9, nodo 0 y llámela "DNet".
11. Desactive la casilla Open Module Properties (abrir propiedades del módulo).
12. Haga clic en OK.
13. Compruebe si el apartado I/O Configuration (configuración de E/S) tiene esta apariencia:
14. Haga clic con el botón derecho en 1756-DNB, en I/O Configuration, y seleccione New
Module (nuevo módulo)
24
15. Compruebe la lista de módulos Safety I/O actualmente disponibles. Nota: Si no le aparece
ningún modulo, diríjase con su instructor.
16. Seleccione el módulo 1791DS-IB8XOB8 y haga clic en OK.
Espere unos instantes a que se abra la pantalla de propiedades del módulo Safety I/O
agregado.
25
17. Llame al módulo "safety_LabNode1".
18. Seleccione 1 como número de nodo.
19. Haga clic en la ficha Safety (seguridad) para cambiar el Requested Packet Interval (RPI)
(intervalo entre paquetes solicitados) de Safety Inputs (entradas de seguridad) del valor por
defecto, 10 ms, a un valor mínimo de "6 ms".
26
Para su información
Requested Packet Interval (intervalo entre paquetes solicitados o RPI) especifica el periodo de
tiempo durante el cual los datos se actualizan sobre la conexión.
Para las conexiones Safety Input (entradas de seguridad), puede ajustar
Requested Packet Interval (RPI) en la ficha Safety (seguridad) del diálogo Module Properties
(propiedades de módulo). El RPI se introduce en incrementos de 1 milisegundo, con un
intervalo válido de entre 6 y 500 ms. El valor por defecto es 10 ms.
Nota: Debido a las limitaciones del módulo I/O Safety, el RPI mínimo válido es 6 ms.
No es posible cambiar Requested Packet Interval (RPI) de Safety Outputs (salidas de
seguridad; si están disponibles en el módulo) en Module Properties (aparece en color gris).
Esto se debe a que existe un vínculo directo entre SafetyTask Period (periodo de la tarea de
seguridad) y el RPI de las salidas. Las salidas de seguridad se tratan de forma
SINCRONIZADA al final de la tarea de seguridad y por lo tanto el RPI de las salidas es el
mismo que el Safety Task Period.
27
Configuración de entradas de seguridad
Al contrario que los módulos de E/S estándar, los módulos 1791DS realizan un auto
diagnóstico cuando se conecta la alimentación y de forma periódica durante el funcionamiento.
Si se produce algún error, se trata como error fatal y tanto las salidas de seguridad como el
envío de datos de salida a la red se desconectan.
20. Haga clic en la ficha Input Configuration (configuración de entrada) para configurar las
entradas de seguridad.
21. Haga clic en el menú desplegable Point Mode (tipo de entra) en Point 0 (punto 0) y
seleccione Safety Pulse Test (entrada segura con tren de pulsos).
28
Tipo de canal de entrada:
Single (individual): Los dos canales son independientes entre sí. El módulo no detecta
entradas incoherentes. (En esta sesión se elige Single para que la instrucción ESTOP que
vamos a utilizar se ocupe de las entradas incoherentes).
Equivalent (equivalente): Se utiliza con dispositivos de entrada de canal dual. El estado normal
es cuando ambos canales están ON (activados) u OFF (desactivados) simultáneamente. El
módulo detecta las entradas incoherentes.
Complementary (complementario): Se utiliza para entradas diversas. En estado normal uno de
los canales está activado (ON) y el otro desactivado (OFF). El módulo detecta las entradas
incoherentes.
Modos de punto de entrada:
Safety Pulse Test (entrada segura con tren de pulsos): Permite diagnosticar si existe algún
cortocircuito con la alimentación de 24 V CC del circuito externo y entre los canales de entrada.
Safety (entrada segura sin tren de pulsos): Se conecta un sensor de seguridad de salida de
estado sólido.
Standard (estándar): Se conecta un dispositivo que no sea de seguridad, como un interruptor
de restablecimiento.
29
22. Repita el paso anterior para Input Point 1 (punto de entrada 1).
Nota:
En la columna Test Source se asigna automáticamente un valor de "0" a los puntos de entrada
impares y un valor de "1" a los puntos de entrada pares. Estos valores representan los Test
Output a los que está conectada la entrada de seguridad. Puede cambiar esta asignación a
otros Test Output (0-3) dependiendo de la forma en la que sus dispositivos de seguridad estén
conectados. En esta sesión, los Test Output de los canales E-Stop son 0 y 1.
23. Cambie Test Source a "2" en Point 2, ya que el origen de Input 2 (entrada 2) es Test
Source 2. Cambie Test Source a "3" en Point 3, ya que el origen de Input 3 (entrada 3) es Test
Source 3.
DI2 - Botón “CIRCUIT RESET”
DI3 - Botón “FAULT RESET”
26. Haga clic en Apply (aplicar).
27. Haga clic en OK para finalizar la configuración del módulo Safety I/O.
Configuración de salidas estándar
Ya hemos configurado las entradas. En el código que programaremos más adelante
definiremos varias salidas. Dichas salidas se indican mediante los pilotos luminosos. Las
lámparas están conectados permanentemente al módulo de E/S estándar 1756-OB32. Por lo
tanto, es necesario agregar este módulo al árbol de configuración de E/S.
28. Haga clic con el botón derecho en el chasis 1756 y seleccione New Module (nuevo
módulo)
29. Agregue el módulo de salidas digitales 1756-OB32 y haga clic en OK.
30
30. Agréguelo en Slot 0 (ranura 0) y llámelo "Local_Outputs".
31. Su configuración de E/S debe tener esta apariencia:
31
32. Guarde el proyecto.
Cómo agregar una instrucción de seguridad
En esta parte de la sesión introducirá la instrucción de seguridad ESTOP en un renglón y la
configurará.
1. Expanda el signo "+" situado junto a Safety Program (programa de seguridad) en Safety
Task (tarea de seguridad).
2. Haga doble clic en MainRoutine (rutina principal), dentro de SafetyTask.
Observe que tanto SafetyTask como los programas y rutinas aparecen señalados en rojo.
32
3.
Desplácese entre los tipos de instrucción que aparecen a la derecha hasta llegar a la
ficha Safety (seguridad). (Asegúrese de haber seleccionado el renglón "0"; si no es así,
haga clic en el "0", que aparece a la izquierda del renglón).
Para su información Solamente es posible ver la ficha Safety, en la que aparecen las
instrucciones de seguridad, cuando se encuentre en SafetyTask.
5. Haga clic en el botón ESTOP para agregar una instrucción de seguridad ESTOP a
MainRoutine, dentro de SafetyTask.
Para su información
Aunque es muy sencilla de configurar, la instrucción ESTOP, al igual que todas las
instrucciones de seguridad, contiene numerosos renglones de código con certificación TUV que
garantizan el correcto funcionamiento de la instrucción.
33
Configuración de la instrucción ESTOP
6. Haga clic con el botón derecho en ESTOP, dentro de la instrucción ESTOP, para crear un
nuevo tag (variable)
7. Haga clic en New Tag… (nueva variable)
8. Llame ‘safety_EStop’ al tag recién creado.
9. Asegúrese de que Data Type (tipo de datos) sea EMERGENCY_STOP 10. Cambie Scope
(alcance) a SafetyLab
34
11. Haga clic en OK
Información complementaria
El alcance de un tag de seguridad puede ser Program (programa) o Controller (controlador),
igual que una tag estándar. Los tags de seguridad están protegidos y no pueden modificarse
desde fuera de la tarea de seguridad. En nuestro caso, los tags tienen alcance de
Controlador, de forma que posteriormente sea posible leer dichos tags desde la rutina estándar.
12. En la instrucción ESTOP, haga clic dos veces en Reset Type (tipo de restablecimiento) y
ajústelo en MANUAL.
Para su información:
Manual requiere una acción intencionada para restablecer la salida de la instrucción, al
contrario que Automatic (automático), que restablece la instrucción sin necesidad de realizar
acción alguna.
Configuración de las entradas de seguridad de ESTOP:
13. Haga clic dos veces en el signo de interrogación que aparece junto a Channel A (canal A) y
seleccione safety_LabNode1:I.Pt00Data como primera entrada de seguridad de la instrucción
ESTOP.
Para su información:
Al agregar el módulo 1791DS-IB8XOB8 a I/O Configuration, se crearon dos tags de
controlador para éste: safety_LabNode1:I, para entradas y estado, y safety_LabNode1:O
para las salidas.
Pt00Data:
Pt significa "punto"
00 indica el punto "0"
Data indica que se trata de un punto de datos y no un punto InputStatus (estado de entrada) u
OutputStatus (estado de salida)
35
14. Repita el paso anterior con el canal B y seleccione safety_LabNode1:I.Pt01Data como
segunda entrada de seguridad de la instrucción ESTOP del canal dual.
15. Para restablecer el circuito seleccionamos safety_LabNode1:I.Pt02Data y para restablecer
fallos safety_LabNode1:I.Pt03Data. Estas entradas están conectadas permanentemente a los
botones “Circuit Reset” (restablecimiento del circuito) y “Fault Reset” (restablecimiento de
fallos). Botones normalmente con 1 contacto normalmente cerrado.
Para su información:
El restablecimiento NO tiene porqué efectuarse mediante E/S de seguridad. En realidad se
trata del ejemplo más obvio de uso de E/S estándar en una aplicación de seguridad. En una
misma red DeviceNet pueden residir tanto E/S estándar como E/S de seguridad. En este
equipo de demostración ambos tipos de restablecimientos están conectados a las E/S de
seguridad por razones prácticas.
16. Compruebe si su instrucción de seguridad ESTOP tiene este aspecto:
36
17. Esta instrucción ESTOP tiene varias salidas.
• Output 1: O1 (salida 1) cambia a estado activo cuando se cumplen las condiciones de
entrada. Safe (segura) = 0, Active (activa) = 1
• Cycle Inputs: CI (ciclar entradas) solicita una acción. Antes de activar Output 1, las
entradas del canal A y el canal B deben cambiar a su estado seguro simultáneamente
antes de poder restablecer el circuito. Este aviso desaparece cuando tanto el canal A
como el canal B pasan a estado seguro.
• Circuit Reset Held On: CRHO; el requisito Circuit Reset Held On (restablecimiento de
circuito mantenido) se activa cuando ambos canales de entrada cambian a estado
activo y la entrada de restablecimiento del circuito ya estaba activada. El aviso Circuit
Reset Held On desaparece cuando se desactiva la entrada de restablecimiento del
circuito
• Inputs Inconsistent: II El fallo Inputs Inconsistent (entradas incoherentes) se produce
cuando las entradas de los canales A y B presentan estados incoherentes entre sí
(seguro y activo, respectivamente) durante un periodo de tiempo superior al
Inconsistent Time Period (tiempo de espera de entradas incoherentes). Este fallo se
soluciona cuando las entradas de los canales A y B vuelven a un estado coherente
(ambas entradas están en estado seguro o estado activo) y se activa la entrada de
restablecimiento de fallos.
• Fault Present: FP El fallo Fault Present (fallo presente) se produce cuando existe un
fallo en la instrucción. Output 1 no puede cambiar a estado activo cuando existe un fallo
Fault Present. Fault Present desaparece una vez solucionados todos los fallos y
cuando se activa la entrada de restablecimiento de fallos.
Para su información
37
Solamente es posible tener acceso de lectura/escritura a los tags de seguridad dentro de las
rutinas de seguridad. En las rutinas estándar solamente se permite el acceso de lectura.
Los tags estándar no pueden utilizarse directamente en rutinas de seguridad. Para utilizar un
tag estándar en una rutina de seguridad debe utilizarse la herramienta Mapping Tool
(herramienta de asignación).
Ahora deseamos monitorizar algunas de estas salidas ESTOP mediante los pilotos luminosos.
Dichas luces representan las salidas estándar del módulo 1756-OB32. Como se indica en el
recuadro informativo anterior, los tags estándar no pueden utilizarse en la tarea de seguridad.
Sin embargo, las salidas de seguridad de la instrucción ESTOP pueden utilizarse en la tarea
principal como instrucciones READ (lectura).
18. Cambie a MainRoutine, en Standard Tasks (tareas estándar).
19. Inserte los renglones de la forma que se muestra en la figura siguiente. Ahora vamos a
vincular nuestras salidas de seguridad a los pilotos luminosos conectados al módulo 1756OB32 local.
38
20. Guarde el proyecto.
Prueba de la función E-Stop
1. Descargamos:
39
2. Cuando se le pregunte, haga clic en Yes para regresar al modo Run (ejecución).
3. En I/O Configuration, haga clic con el botón derecho en el módulo Safety I/O 1791DSIB8XOB8. Vaya a Properties (propiedades).
4. Seleccione la ficha Safety (seguridad). Si Configuration Ownership (propiedad de la
configuración) ya está ajustada en Local, no toque el botón Reset Ownership (restablecer
propiedad). Si aparece "??", entonces haga clic en el botón Reset Ownership. Responda Yes
(Sí) a las advertencias. Espere unos segundos a que el módulo Safety I/O se reinicie tras el
restablecimiento y observe los LED del módulo durante la operación.
Para su información
Todos los módulos GuardLogix son "propiedad" de uno de los controladores del sistema.
Cuando un controlador es propietario de un módulo de E/S, guarda los datos de configuración
del módulo definidos por el usuario mediante un proyecto RSLogix 5000. Cuando crea y
descarga un nuevo proyecto, en realidad está reasignando un nuevo propietario a la
configuración. Un módulo solamente puede tener un propietario.
40
Para cambiar el propietario de un proyecto RSLogix™ 5000, haga clic en el botón Reset
Ownership de la ficha Safety del cuadro de diálogo Module Properties (propiedades del
módulo).
5. Compruebe el resultado de la sesión siguiendo las instrucciones descritas a continuación.
A medida que lleva a cabo las instrucciones, observe los LED del módulo de seguridad, las
luces indicadoras y el estado de la instrucción ESTOP.
• Pulse el botón E-Stop. Suelte el botón E-Stop y a continuación pulse el botón “Circuit
Reset” para activar la salida.
• Genere un cortocircuito entre canales.
Las entradas (IN0, IN1) del módulo de seguridad cambiarán a color rojo. Observe que
la instrucción ESTOP no indica ningún fallo. Esto se debe a que el módulo 1791DSIB8XOB8 utiliza la prueba de impulso para detectar el cortocircuito entre canales en las
entradas E-Stop y cambia los dos canales de entrada que presentan un fallo a modo
bajo. La instrucción ESTOP de GuardLogix actúa como si se hubiera pulsado el botón
E-Stop, por lo que desconecta la salida de seguridad y espera a que los canales de
entrada cambien a modo alto. El módulo 1791DS-IB8XOB8, sin embargo, requiere que
las entradas cambien a modo bajo para poder restablecer los fallos de entrada.
41
No se indica ningún bit en falla,
actúa como si el Paro se hubiera
oprimido. La forma de darnos
cuenta es con los LEDS en color
rojo de las entradas 0 y 1 del
modulo de seguridad
•
•
•
•
•
Corrija el fallo Quitando el corto.
Pulse el botón E-Stop para restablecer los fallos del 1791DS-IB8XOB8.
Regrese el botón E-Stop.
Las entradas vuelven a cambiar a modo alto.
Pulse el botón CIRCUIT RESET. safety_EStop.O1 debe encenderse.
• Ahora simule una situación de desconexión de cable del E-Stop desconectando la entrada 0
Esta vez el módulo 1791DS no detecta ningún fallo de entrada. La entrada en la que se ha
desconectado el cable cambia a modo bajo y la otra sigue iluminada en color ámbar. (Recuerde
que hemos ajustado las entradas de seguridad en Single (individual), por lo que, en lo que al
módulo se refiere, la entrada simplemente ha cambiado a modo bajo). Si se programaran como
Equivalente, las 2 entradas se apagarían.
GuardLogix, sin embargo, señala un fallo de entrada incoherente (hay un canal en modo bajo y
otro en modo alto). Esto porque la Instrucción de ESTOP está programada para detectar
inconsistencia en las entradas. Más adelante cambiaremos las entradas a modo Equivalente,
donde si especificamos un Tiempo de Discrepancia. Funciona de igual manera.
Ahora la lámpara Input Inconsistent II se ilumina
-FP (Fault Present): Hubo una
Falla en la instrucción. Corregir el
fallo y después pulsar botón de
Fault Reset
-II (Input Inconsistent):
Inconsistencia en las entradas.
42
Solucione el fallo conectando nuevamente la entrada. CYCLE INPUTS se ilumina porque uno
de los canales ha cambiado entre los modos alto/bajo/alto, mientras que el otro permaneció en
modo alto. Para apagar Cycle Inputs debe cambiar ambos canales a modo bajo pulsando
EStop.
Presione el Paro de emergencia
para apagar CI
Libere el Paro de Emergencia y después pulse el botón FAULT RESET (IN2). Se eliminan
todos los fallos. FP se apaga.
Pulse el botón CIRCUIT RESET (IN3) para volver a activar la salida de seguridad.
•
•
•
43
Ahora configure el modulo de Seguridad con entradas Equivalentes.
Ajuste el Tiempo de Discrepancia a un mínimo valor de 20ms (Note como con 10ms que
es el mínimo no es suficiente. La diferencia mecánica de apertura y cierre entre los 2
contactos normalmente cerrados es mayor a 10ms).
Haga pruebas con 10ms para que observe como las entradas siempre se ponen en rojo,
quiere decir que son inconsistentes. Para hacer estas pruebas la configuración del nodo
de seguridad deberá verse como abajo:
Modifique el tiempo de Discrepancia a 20ms para que ya no detecte inconsistencia y se
activen las entradas poniéndose en color Ámbar.
•
•
Haga una prueba de configurar los Test Outputs T2 y T3 para FAULT y CIRCUIT
RESET como Power Supply, recuerde que no necesariamente los Resets deben ser
con pulsos. En este caso, no olvide configurar las entradas I2, I3 como tipo Estándar.
Verifique con el multimetro como en un Test Output configurado como Power Supply el
voltaje esta fijo en 24 Volts. Coloque el multimetro en T0 y T1 y observe como el voltaje
de 24Volts parece estar variando. Esto porque existen trenes de pulsos de 24 Volts
Para hacer estas pruebas, la configuración de los módulos de seguridad deberá verse como se
observa abajo:
44
*Note que para hacer el CIRCUIT RESET simplemente hay que llevar voltaje de 24 Volts. Ya
no forzosamente tiene que Venir de T2. Puede llevar voltaje de T3.
• Haga un cambio en el tipo de Reset del Paro de Emergencia de Manual a Automático y
verifique que funcione.
45
Note como ahora el Tag safety_EStop.ResetType está en “0”. Cuando está en modo manual su
valor es de “1”.
• Haga una prueba donde desconecte la entrada I0, note como se ponen las dos entradas
en color Rojo. A diferencia de cuando son configuradas como Single, la que queda
conectada permanece en color Ámbar y en la instrucción de ESTOP en la lógica se
observa que solo la entrada safety_LabNode1:I.Pt00Data está en Cero y la
safety_LabNode1:I.Pt01Data permanece en uno. Cuando son configuradas como
equivalentes, ambas se observan que están en “Cero”. Vuelva a conectar la Entrada
presione en Paro y libérelo y se volverá a Activar safety_EStop.O1.
• Haga una prueba ocasionando un Corto entre Canales.
• Haga una prueba ocasionando un corto entre el V+ y uno de los canales.
• Haga una prueba junto con el instructor presionando el Paro y regresarlo lentamente, de
tal manera que solo se cierre el primer contacto NC. Observe que las entradas se
ponen en color Rojo.
Cuando se configura como Equivalente, la manera de darnos cuenta cuando las entradas
fueron inconsistentes, o hubo un corto entre canales o un corto entre V+ y uno de los canales
es a través de Hardware, con los LEDS en color Rojo. Cuando hubo un corto entre V+ y uno de
los canales, un LED esta fijo en rojo y el que está en corto está parpadeando en rojo.
Sesión 2: Firmas y bloqueos de seguridad
Acerca de esta sesión práctica
En esta sesión aprenderá a utilizar las firmas y bloqueos de seguridad.
El alumno:
•
46
Configurará y eliminará la firma de seguridad
•
Bloqueará y desbloqueará el proyecto
Trabajar con firmas y bloqueos de seguridad
En esta parte de la sesión creará la firma y el bloqueo de seguridad.
Para su información
¿Qué es una firma de seguridad?
Una CRC (comprobación de redundancia cíclica) compleja con registro de tiempo de las CRC
de los componentes de seguridad que forman la aplicación de seguridad del usuario.
Solamente es posible generar una firma de seguridad cuando el controlador GuardLogix está
en línea, en modo de programación, sin bloqueo de seguridad y sin otros requisitos,
modificaciones en línea pendientes o fallos, relacionados con la seguridad.
Cuando se crea una firma de seguridad, no es posible llevar a cabo las siguientes acciones en
la parte de la aplicación relacionada con la seguridad:
Programación o edición en línea/fuera de línea.
Forzado de las E/S de seguridad
Manipulación de los datos (excepto mediante la lógica de las rutinas de seguridad)
Nota: Si elimina la firma de seguridad, deberá volver a comprobar y validar el sistema para que
cumpla los requisitos de seguridad SIL 3.
¿Qué es un bloqueo de seguridad?
El sistema controlador GuardLogix permite proteger mediante bloqueos de seguridad los
componentes de control relacionados con la seguridad frente a cualquier modificación. Esta
función únicamente es aplicable a componentes como las tareas, programas, rutinas, tags, E/S,
firmas, etc. relacionados con la seguridad.
No es posible realizar las siguientes acciones en la parte de la aplicación relacionada con la
seguridad cuando existe un bloqueo de seguridad:
Programación o edición en línea/fuera de línea.
Forzado de las E/S de seguridad
Cambio del estado de des habilitación de las E/S de seguridad o los controladores del
fabricante
47
Manipulación de los datos (excepto mediante la lógica de las rutinas de seguridad)
Generación o eliminación de la firma de seguridad
La diferencia entre un bloqueo de seguridad y una firma de seguridad consiste en que un
bloqueo de seguridad puede (y debe) estar protegido por una contraseña. Es posible utilizar
contraseñas diferentes para crear y eliminar un bloqueo de seguridad. El bloqueo es una
función de seguridad.
Nota: La instrucción de ESTOP no nos permite forzar la salida O1, esto también es parte de la
certificación de seguridad con la que cuenta. Podemos forzar las entradas de un modulo de
seguridad pero no podemos forzar 2 entradas que están asignadas a una instrucción ESTOP al
mismo tiempo, cuando lo hacemos la instrucción muestra inconsistencia en las entradas y se
va a falla. Esto también confirma el nivel de certificación de seguridad con el que cuenta la
instrucción.
1. Abra uno de los proyectos que ha creado o modificado. Vaya al modo de programación en
línea.
2. Vaya a Controller Properties (propiedades del controlador)
y seleccione la ficha Safety
(seguridad). Genere la firma de seguridad haciendo clic en el botón Generate (generar). No es
posible hacerlo en modo Run.
Una vez puesto al PLC en program y de haber generado la firma de seguridad, aparecerán los
siguientes datos como en la figura de abajo:
48
3. Vaya a Controller Tags (tags de controlador) y compruebe que la columna Value (valor) de
todos los tags de seguridad aparecen en color gris, lo cual impide modificar ningún dato,
excepto mediante la lógica.
4. Regrese a la ficha Safety de Controller Properties (propiedades del controlador), y haga
clic en el botón Safety Lock/Unlock (bloquear/retirar bloqueo de seguridad).
5. Haga clic en Lock (bloquear) y a continuación en OK para cerrar la ventana Controller
Properties.
6. Pruebe a modificar las partes de la aplicación relacionadas con la seguridad, tanto en línea
como fuera de línea. Las rutinas estándar pueden modificarse con normalidad.
7. Regrese a la ficha Safety de Controller Properties. Desbloquee el controlador haciendo clic
en
49
y a continuación en Unlock (desbloquear)
8. En la misma ficha Safety, elimine la firma de seguridad haciendo clic en el botón Delete
(eliminar) y en Yes para confirmar. Haga clic en OK.
9. Compruebe si ahora es posible volver a modificar los tags de seguridad y la MainRoutine de
seguridad.
10. Genere nuevamente la firma de seguridad y note como el número es diferente al anterior.
11. Haga una prueba donde configure los password para Lock y Unlock. Fije la contraseña
como Safety para ambos passwords. Ahora cualquier usuario que trate de desbloquearse,
tendrá que poner la contraseña Safety. Después de desbloquearse y hacer cualquier
modificación para poder bloquear nuevamente la Lógica de seguridad, tendrá también que
poner el password Safety. Para borrar las contraseñas, tendrá que entrar a Change Passwords
y en Old Password tanto para Lock y Unlock anotar la contraseña Safety y dejar en blanco los
espacios de New password y confirm new passwrod.
12. El GuardLogix se quedara bloqueado así como el programa fuente si es que se han
guardado los cambios. Si se intenta descargar otro programa, Logix5000 nos mandara un
mensaje donde nos dice que el PLC está bloqueado. En este caso, tendrá que poner la
contraseña Safety. Si no sabe cuál es la contraseña, pudiera hacer un cambio de Firmware del
GuardLogix para que borre su programa y ahora si poder descargar un nuevo programa pero si
trata de descargar el programa que tenia donde incluia al password Safety se descargara con
esta contraseña y como quiera no podrá modificar la lógica pues necesitara saber este
password. Aquí la importancia de conservar en un lugar seguro el Password Safety.
Conclusiones:
-El generar una firma de seguridad, avala la programación de seguridad. Si alguien en algún
momento la modifica, forzosamente tiene que borrar la firma.
-Se puede dejar bloqueada la lógica de seguridad sin necesidad de generar una firma. Para
hacer ediciones, forzamientos, etc., solamente desbloqueamos.
Sesión 3: Mapping Tool (herramienta de asignación)
Acerca de esta sesión práctica
Se enseñará la utilización de Mapping Tool (herramienta de asignación), que permite utilizar
tags estándar en la tarea de seguridad. Los tags de seguridad únicamente pueden utilizarse en
tareas estándar con acceso de sólo lectura.
El alumno:
•
•
50
Utilizará tags de seguridad en tareas estándar con acceso de sólo lectura
Asignará tags estándar a los tags de seguridad para su uso en tareas de seguridad
Para su información
Solamente es posible tener acceso de lectura/escritura a los tags de seguridad dentro de las
rutinas de seguridad. En las rutinas estándar solamente se permite el acceso de lectura.
Los tags estándar no pueden utilizarse directamente en rutinas de seguridad. Para utilizar un
tag estándar en una rutina de seguridad debe utilizarse la herramienta Mapping Tool
(herramienta de asignación).
Siga los pasos indicados a continuación para completar la sesión 3.
Creación de tags estándar para su asignación
En esta parte de la sesión se creará y restablecerá un temporizador de seguridad con un tag
estándar.
1. Vaya a MainRoutine, dentro de SafetyTask.
2. Añada un temporizador que funcione durante 15 segundos. Es un tag de seguridad, ya que
se utiliza en la tarea de seguridad. Añada otro renglón para restablecer el temporizador y crear
el tag safety_reset:
51
3. Ahora diríjase al explorador de proyecto de RSLogix 5000, vaya a controller tags y cree un
nuevo tag booleano, standard_reset, con alcance limitado al controlador.
52
4. Haga clic en el menú Logic (lógica) y seleccione Map Safety Tags (asignar tags de
seguridad).
5. Se abre la herramienta de asignación.
Ahora puede seleccionar el tag estándar “standard_reset”.
53
6. Haga clic en el espacio en blanco que hay debajo de Safety Tag Name (nombre del tag de
seguridad) y seleccione el tag de seguridad al que desea asignar el tag estándar. En este caso
seleccione el tag de seguridad “safety_reset”.
Información complementaria
Los tags que va a asignar deben tener el mismo tipo de datos y, si se trata de una matriz, el
mismo tamaño.
7. Cierre la ventana Safety Tag Mapping (asignación de tags de seguridad)
8. Guarde y descargue el programa al GuardLogix
Al poner al PLC en modo de RUN el timer empezara a contar. Vaya Controller Tags y observe
que al alcanzar su preset, el Timer solo puede ser reseteado a través del tag standard_reset y
no con el tag safety_reset. Si existe este Mapeo, el tag safety_reset se pone en color Gris y
no puede ponerlo en “1”, incluso si va a la lógica de seguridad y trata de hacer un Toggle bit,
tampoco obtendrá éxito. Borre este Mapeo y verifique como ahora el reset del Timer se da con
safety_reset y standard_reset queda ahora sin poder resetear al Timer.
54
En esta sesión ha aprendido todo lo necesario para utilizar los tags estándar en la rutina de
seguridad. También ha aprendido a utilizar la herramienta de asignación.
Para su información
En muchas aplicaciones las entradas estándar se asignan a los tags de seguridad mediante la
herramienta de asignación cuando se pulsa el botón de restablecimiento. Los botones de
restablecimiento para EStop, cortinas de luz, etc. Son el ejemplo más obvio
55
Sesión 4: Programación de una cortina de luz
Acerca de esta sesión práctica
Va a aprender lo sencillo que es configurar una cortina de luz con el software de programación
RSLogix 5000. Solamente es necesario llevar a cabo algunos pasos.
El alumno:
•
•
•
Configurará una cortina de luz con RSLogix 5000 y observará su funcionamiento.
Realizará cambios en línea.
Probará la función de muting.
Siga los pasos indicados a continuación para completar la sesión 4.
Instrucción de la cortina de luz
1. Cree una Rutina llamada Light_Curtain. No olvide llamarla desde la Principal con un JSR
3. En la subrutina Light Curtain (cortina de luz), cree un nuevo renglón 1 y agregue una
instrucción LC con los siguientes parámetros:
•
•
•
•
•
•
•
56
De de alta un tag de tipo LC nombrándolo Lightcurtain01
Reset Type: MANUAL
Channel A y B: Configurar las entradas 0 y 1 del nodo 2 para recibir señales de voltaje
de un dispositivo de seguridad, en este caso, de una cortina de luz. Estas entradas se
configuran en modo Safety y reciben a las señales de voltaje OSSD1 y OSSD2
provenientes de la cortina de luz.
Input Filter Time: Lo dejamos en cero
Mute Light Curtain: Por lo pronto lo dejamos en cero, mas adelante veremos su
funcionamiento
Circuit Reset: Utilizamos las mismas entradas del Paro de Emergencia
Fault Reset: Utilizamos las mismas entradas del Paro de Emergencia
Para su información
Las cortinas de luz se alimentaran con 24VCD. Normalmente tienen 2 salidas por PNP. Estas
salidas están mandando voltaje cuando la cortina no está violada. Estas salidas están
identificadas como OSSD1 y OSSD2 que significan Output Signal Switching Devices.
Estas salidas pueden energizar directamente actuadores (Contactores de seguridad o
relevadores de seguridad) usualmente que no demanden una corriente superior a los 500mA o
ir conectadas a módulos de seguridad para GuardLogix.
57
58
Además de las entradas, también existen varias salidas para la cortina de luz. La mayoría de
ellas ya se han mencionado en la sesión 2 en relación con el E-Stop CAT4. Las demás se
explican aquí:
•
Light Curtain Blocked: LCB (cortina de luz bloqueada). Indica que la cortina de luz está
bloqueada o ha sufrido un corte de alimentación. Bloqueada = 1
•
Light Curtain Muted: LCM (cortina de luz en muting). Indica que la cortina de luz está
"muting" (es decir, que no se utiliza). Muting = 1
4. Pruebe el Funcionamiento de la instrucción LC primero con la configuración de las entradas
en modo Equivalente y verifique que los bits de error se activen, después hágalo de manera
Single. Si pasa lo mismo que se observo en el Paro de Emergencia (Al configurar los canales
en modo Equivalente ante la ocurrencia de fallas de cortos de Canal, desconexión de Cables o
cortos con la línea de V+ solo las entradas de los módulos de seguridad se ponen en color
Rojo, la visualización de fallas es solo visible a través de Hardware. En modo de Single si
tenemos diagnostico.
Recordar lo siguiente:
5. Pruebe el funcionamiento de la cortina de luz llevando a cabo los pasos siguientes:
59
•
Acción: Pulse el botón “Circuit Reset” de la estación de trabajo.
•
Resultado: la O1 (salida 1) de la instrucción LC tiene el valor "1".
•
Acción: Interrumpa el haz de la cortina de luz introduciendo la mano entre los postes.
•
Resultado: La entrada LCB (cortina de luz bloqueada) de la instrucción LC tiene como
valor "1" mientras el haz permanezca bloqueado. O1 toma el valor "0" (desactivada).
•
Acción: Aparte la mano de la cortina de luz.
•
Resultado: El valor de la entrada LCB de la instrucción LC cambia de "1" a "0". El valor
de O1 sigue siendo "0" (desactivada).
•
Acción: Pulse el botón “Circuit Reset” de la estación de trabajo.
•
Resultado: La salida O1 de la instrucción LC toma el valor "1" (activada).
•
Acción: Desconecte un canal.
•
Resultado: Las entradas LCB, II (entradas incoherentes) y FP (fallo presente) son
verdaderas”, siempre y cuando estén configuradas las entradas en modo Single. La
salida O1 de la instrucción LC toma el valor "0" (Desactivada).
•
Acción: Pulse el botón “Light Curtain Open Wire” de la estación de trabajo.
•
Resultado: Las luces “Input Fault” y “Pulse Test Fault” permanecen encendidas y la luz
“Cycle Inputs” se enciende a su vez.
•
Acción: Pulse el botón “Fault Reset”.
•
Resultado: las entradas FP e II de la instrucción LC adoptan el valor "0", mientras que
CI cambia a "1". O1 continúa con el valor "0".
•
Acción: Apague Cycle Inputs” introduciendo la mano entre los postes de la cortina de
luz. Pulse el botón “Circuit Reset” de la estación de trabajo.
•
Resultado: El valor de la entrada O1 de la instrucción LC cambia de "0" a "1".
6. Guarde el proyecto y permanezca en línea.
60
Muting de la cortina de luz
1. Defina un tag de nombre MuteLC de tipo Bool en el programa de seguridad y asígnelo al
parámetro Mute Light Curtain de la instrucción LC
2. Defina un Tag de nombre Sensor_Mute de tipo Bool en el programa de seguridad
61
3. Pruebe la función de muting de la cortina de luz:
62
•
Acción: Pulse el botón “Circuit Reset”.
•
Resultado: La O1 (salida 1) de la instrucción LC tiene el valor "1".
•
Acción: Interrumpa el haz de la cortina de luz introduciendo la mano entre los postes.
•
Resultado: La entrada LCB (cortina de luz bloqueada) de la instrucción LC tiene como
valor "1" mientras el haz permanezca bloqueado, O1 adopta el valor "0" (desactivada).
•
Acción: Aparte la mano de la cortina de luz.
•
Resultado: El valor de la entrada LCB de la instrucción LC cambia de "1" a "0". El valor
de O1 sigue siendo "0" (desactivada).
•
Acción: Pulse el botón “Circuit Reset” de la estación de trabajo.
•
Resultado: La salida O1 de la instrucción LC adopta el valor "1" (activada).
•
Acción: Cambie el bit de Sensor_Mute para que active la instrucción MuteLC (imagine,
por ejemplo, que Sensor_Mute es la entrada proveniente de un sensor situado en una
cinta transportadora que ha detectado una pieza que debe atravesar la cortina de luz sin
desconectarla). Seleccione Sensor_Mute en el renglón 0, haga clic sobre ella con el
botón derecho y vaya a Toggle Bit (cambiar bit; o simplemente pulse CTRL+T cuando
Sensor_Mute aparezca resaltada).
63
•
Resultado: La salida LCM de la instrucción LC cambia a modo alto y el indicador de
fallos de entrada, de color rojo, se ilumina. Esto no significa que exista un fallo de
entrada, sino que señala que la función de muting está activada (esto se debe a que no
hay ninguna luz que indique la señal de muting).
•
Acción: Interrumpa el haz de la cortina de luz introduciendo la mano entre los postes.
•
Resultado: La entrada LCB cambia a modo alto para señalar que la cortina de luz está
bloqueada, pero la salida O1 permanece también en modo alto debido a que la cortina
de luz está en muting.
•
Acción: Cambie el bit de Sensor_Mute a estado OFF (desactivado) y bloquee el haz
con la mano.
•
Resultado: La salida O1 de la instrucción LC cambia a "0" (desactivada), ya que la
cortina de luz ya no está en muting.
Configuración de la instrucción
ROUT para Máster Relays
Condiciones:
Si las condiciones de seguridad están OK energizaremos
un Relevador de Seguridad que alimentara a un Manifold,
esto dará movimiento a cilindros.
1. Cuáles son las condiciones que se deben de
cumplir para que la seguridad este OK? Damos un
Cross reference a Zone1S.PwrOn
Haciendo una referencia Cruzada, nos
lleva a una instrucción RIN (Esta
instrucción lee en qué estado se
encuentran los Paros de Emergencia que
se evalúan en la Rutina de Paros
S01_EStops
del mismo
programa.
Sumariza todos los paros de la Zona1, si
todos los Paros están OK este Tag es
verdadero. La instrucción RIN se
encuentra dentro de la misma rutina
S11_Zone Power. Generalmente serian
diferentes los tags Channel A y Channel B
pero vemos que es posible utilizar el
mismo para ambos canales.
64
Para que la seguridad este Ok, los
Paros de Emergencia, Puertas de
Acceso y cualquier otro dispositivo de
seguridad de la Zona 1 no debe estar
violado
Hacemos una referencia
Cruzada, nos envía a la
rutina donde se evalúan los
Paros de Emergencia
Dentro de la rutina S01_EStops, Localizamos al Tag Zone1S.AllEStopOK
Observamos que Sumariza el estado OK de los Paros de las estaciones del Operador, Paros
de Robots, Paros de los Safety Gates y Paros de HMI´s. Si cualquier Paro de emergencia no
está violado, la seguridad de Paros de la Zona1 se encuentra OK
Más adelante analizaremos la rutina de
Paros de Emergencia. Continuemos en la
rutina S11_Zone Power
Se evalúa si las puertas de acceso
de la zona 1 están cerradas. A
través de una instrucción RIN lee
el estado de todas las puertas de
acceso que se verifican en la
rutina S02_SafetyGates
El Tipo de Reset se configura como automático, pues aquí la
instrucción solo nos sirve para leer de la rutina de Gates el
estado de las puertas. En la rutina de Gates, ahí si los Reset de
los RIN se configurarían como manuales pues controlan
directamente el acceso a las puertas. Para los RIN que leen el
status de los paros de emergencia es lo mismo, el Tipo reset es
automático. Para el Circuit Reset y Fault Reset, son botones
que van conectados a un modulo de seguridad localizado en el
Panel View de la Zona1
65
Generamos una
referencia cruzada
Más adelante analizaremos la rutina de
S02_SafetyGates, donde se utiliza la
instrucción RIN para energizar y/o
desenergizar la bobina que controla el
seguro de la puerta de acceso.
66
Hacemos una referencia
cruzada
Hacemos una
referencia cruzada
Nos lleva al primer renglón de la rutina S11_Zone_Power. El tag sumariza las condiciones
Generales de seguridad. Se pone al principio para poder leer el estatus de seguridad de la
Zona1 de manera rápida. Aparte incluye a los 2 Switches de seguridad que detectan presencia
Del Fixture.
Hacemos una referencia
cruzada
67
Haciendo una referencia cruzada nos lleva
hasta un copy, el cual esta copiando las
entradas 4 y 5 de un nodo de seguridad, al
cual a esas entradas, van conectados los
sensores
de
seguridad.
Como
son
dispositivos de seguridad, las entradas se
configuran en modo de Safety.
Sugerencia: Que su instructor le muestre el diagrama de conexión del nodo de seguridad 02, estación
C10, Zona de seguridad 1.
Nota: Es lo mismo para el otro sensor de seguridad: haga referencias cruzadas de
C10L_Nest.STPresSwRIN.O1 para comprobarlo.
68
Llegamos al Inicio nuevamente. Zone1S.PwrOn
activa a Zone1S.MCR_PwrOn.Enable y habilita
la instrucción ROUT, que va a energizar a un
Máster Relay (Pudiera ser solo una expansión de
contactos de Seguridad marca Allen Bradley).
C10_SIO1.O.M1_0 se conecta al positivo del
Relay de Seguridad, es decir, a la terminal A1.
C10_SIO1.O.M1_1 se conecta a la terminal A2
del Relay de Seguridad. Esta conexión se le
conoce como configuración de salida Dual o
Bipolar. En Feedback 1 y 2, pondremos un
contacto Auxiliar NC del Relay de seguridad.
Como es normalmente cerrado, se considera
NEGATIVE.
69
Generamos Referencias Cruzadas de
C10_SIO1.O.M1_0 y C10_SIO1.O.M1_1.
Nos llevan a las Salidas 0 y 1 del modulo de seguridad,
que están configuradas en modo
DUAL. En modo DUAL forzosamente el común debe
ser la salida 1. Si conectamos la terminal A2 del Relay
en G0 del modulo de seguridad, no se energizara.
Contactos NA del Relay de seguridad cerraran cuando las condiciones estén seguras
proporcionando alimentación a bancos de válvulas y así permitir el movimiento de clamps.
70
Haga un ejercicio donde energice el Relevador de seguridad Pilz que se encuentra en el
Demo.
Los módulos de seguridad que están en el Demo constan de 8IN/8OUT. A pesar de que nos da
la opción de configurar sus salidas como Duales, no está preparado el modulo para tener
salidas Bipolares. Así que la configuración solo seria de modo Single y tipo Safety. La
retroalimentación está conectada a la entrada 3 del modulo de seguridad nodo 2. El contacto
NC se conecta al pulso T1. Observe en las imágenes de abajo como quedaría la configuración:
71
Solo utilizamos la salida
0 y configuramos como
Safety pues va a un
Relé de seguridad Pilz.
Configuraríamos
la
salida como Pulse test
si no fuera un Relé de
seguridad, como un
electromecánico.
Un
relé de seguridad ya
tiene cierta certificación
de seguridad, desde el
hecho que cuenta con 2
Relés, K1 y K2. Cuenta
con mayor seguridad al
presentársele
alguna
falla.
72
De de alta un Tag de nombre MCR_PwrOn de tipo de dato ROUT. Condicione sus salidas para
que se activen cuando la cortina de Luz no está violada.
Fíjese en la imagen de abajo como solamente utilizamos la salida O1 del Tag MCR_PwrOn
para activar la salida safety_LabNode2:O.Pt00Data. Como no estamos utilizando salidas
Duales, no es necesario activar también la salida safety_LabNode2:O.Pt01Data. Configure la
cortina de Luz con reset Automático
Cuando este descargado al PLC esta Lógica con los módulos previamente configurados como
lo vimos anteriormente, haga las siguientes pruebas:
1. Energice la Salida 01. Una vez energizado el Relé Pilz, desconecte la retroalimentación, es
decir, desconecte la entrada 3. Note como el Relevador sigue energizado.
2. Bloquee la cortina de seguridad. Note como la instrucción ROUT se pone en falla. Esto
porque la instrucción no detecto un cambio de estado en el contacto auxiliar del Relé Pilz.
3. Trate de borrar la Falla. Note como no es posible hacerlo.
4. Conecte nuevamente la retroalimentación, rasete la falla y observe que las salidas O1 y O2
se vuelven a habilitar.
Conclusión: La retroalimentación, le es importante a la instrucción para evaluar que el estado
del Relé Pilz este OK, no se encuentre dañado. Para poder activar al Relé, la instrucción
requiere monitorear antes que el estado del contacto auxiliar este en su modo natural (NC).
73
Configuración de la instrucción RIN para monitoreo
de puertas de Seguridad
La instrucción de Seguridad RIN la utilizaremos para el monitoreo de los 2 contactos auxiliares
de la bobina de la puerta de seguridad. Comprendamos que cuando la bobina del interlock esta
sin energizarse, la puerta está bloqueada. Cuando se presiona el botón de requerimiento para
accesar a la Celda (Botón Físico o botón de Panel View), vamos a energizar la bobina, por
lógica tendremos que dejar esa salida memorizada o también manejarla con una instrucción
Latch.
El tipo de Interlock con el que cuenta el Demo de GuardLogix es marca Fortress Interlock.
Cuando energizamos su bobina para accesar a la Celda y liberamos la perilla, el Led color rojo
se energiza, cuando regresamos la perilla a posición de bloqueo, un Led color amarillo se
ilumina y el Led Rojo se apaga. Una vez que desenergizamos la bobina para que quede
bloqueado nuevamente el interlock, ningún LED queda iluminado.
Realice la siguiente Sesión:
Según como se muestra en las imágenes de abajo, es como se tiene conectado al Interlock
Fortress:
74
75
Configure la instrucción RIN como se observa en la figura de abajo y agregue los dos renglones
para energizar y desenergizar la bobina. La instrucción RIN se utilizara para estar
monitoreando que el interlock este bloqueado a través de los contactos NC. Si algún contacto
NC abriera, la instrucción RIN se va a falla y el tag SG01.01 se apaga.
76