Schneider Electric QSA0080 QSA00801, Modules Mode d'emploi

1
Sommaire
Pages
1. Rôle
3
2. Présentation
2.1 Généralités
2.2 Module
2.3 Synoptique
2.4 Caractéristiques
2.5 Visualisation
2.6 Installation
2.7 Détrompage
2.8 Câblage
5
7
8
9
10
11
13
14
3. Modes de marche
3.1 Présentation
3.2 Invalidation volontaire
des commandes d'un coupleur
3.3 Fonctionnement en redondance 1/2 reconfigurable
3.4 Fonctionnement en Normal/Secours
3.5 Fonctionnement en rack standard
16
16
16
16
16
4. Configuration par ORPHEE
4.1 Sélection du mode de fonctionnement
4.2 Paramétrer le diagnostic
17
19
5. Utilisation en programmation
5.1 Ambivalence des commandes
5.2 Programmation
20
20
6. Dialogue module automate
6.1 Diagnostic
6.2 Autres informations coupleur vers CPU
21
22
Les produits matériels et logiciels présentés dans ce document sont à tout moment suceptibles
d'évolution ou de modification tant aux plans techniques et d'aspect que d'utilisation. Leur
description ne peut en aucun cas revêtir un aspect contractuel.
TEM30300F
n
2
TEM30300F
n
3
1 . Rôle
Les modules QSA008x trouvent leur utilisation dans les applications à haute sûreté de
fonctionnement. Ils apportent leur contribution tant dans le domaine de la sécurité, du
fait des modules de sorties à panne orientée, que dans le domaine de la disponibilité
en facilitant la mise en oeuvre d’applications redondantes.
≈
Chaîne de commande B
Chaîne de commande A
rack standard
C R
P P
U U
rack standard
ADT0120
automate A
C R
P P
U U
tB
fil ver l
a
coaxi
automate B
ADT0120
RAK5200
A
rt
ve al
fil axi
co
Q Q Q Q Q Q Q Q
S S S S S S S S
A A A A A A A A
ADT0120
ADT0120
Architecture APRIL 5000 SDR ou SHD
(voir "Manuel de sûreté APRIL 5000S, Ref. TEM32000F).
TEM30300F
n
4
Mission :
- Elaborer de façon sûre 8 sorties à partir d’informations codées, reçues d’une ou de
deux chaînes automate via leur liaison fil vert.
- Relire les états effectifs en sortie, issus du vote.
- Gérer de façon sûre les modes de marche et leur transition compte tenu des
défaillances détectées en amont des coupleurs et des défaillances propres au module.
- Présenter un très haut niveau de sécurité.
- Permettre d'atteindre un très haut niveau de disponiblité système.
- Limiter la présence de modes communs de défaillance.
- Renseigner l’agent de maintenance.
m
TEM30300F
- Permettre le dépannage «on-line», l'embrochage / débrochage sous tension étant
possible.
- La position de "repli" est la position à manque ( état 0, transistors ouverts ).
n
5
2 . Présentation
2.1 Généralités
Les modules QSA008x comprennent deux coupleurs fils verts (cf §2-3) et permettent
la commande de 8 sorties de sécurité à partir d’une ou de deux chaînes automate.
Les deux coupleurs fils verts sont totalement distincts et alimentés par deux réseaux
d’alimentation séparés.
Chacun de ces coupleurs traite les informations qui lui sont destinées et élabore les
commandes codées à destination des voteurs de sortie (MSF) intrinséquement sûrs.
Chaque coupleur élabore aussi de façon dynamique un signal d’état codé à destination
de ces voteurs. Ce signal est représentatif de l’état de bon fonctionnement de la chaîne
automate du coupleur. Il permet de valider ou non les commandes envoyées au MSF.
Dans la suite de ce document ce signal est appelé signal de validation des
commandes.
Pour chaque sortie, le MSF, alimenté par les deux réseaux d’alimentation, réalise
les fonctions suivantes :
- vérification du codage des commandes et signaux d’état reçus. En cas de codage
incorrect, le voteur passe en position de " repli"
- vote sur les commandes validées selon la loi suivante :
. si les coupleurs se déclarent en bon fonctionnement, le voteur
réalise un ET des deux commandes,
. si l’un des coupleurs se déclare invalide, le voteur ne retient que
l'information issue du coupleur valide,
. si les deux coupleurs se déclarent invalides, le voteur décide par
construction le passage en position de repli.
Par ailleurs les MSF font appel à une technologie particulière leur conférant la propriété
d’être "fail safe". Ainsi, aucune défaillance interne du MSF ne peut masquer une
commande de passage en repli.
Le MSF effectue un autotest périodique qui fait passer les sorties à 0. Le fonctionnement
est sans conséquence pour les actionneurs.
t2
t0
t1
t0 = 630 µs max.
t2 = 630 µs max.
t1 = 44,16 ms max.
Le module accepte les modes de fonctionnement suivant :
- la redondance active 1/2 reconfigurable,
- le mode Normal/Secours actif,
- le fonctionnement en rack standard ( solitaire ).
La programmation de ces modes de fonctionnement se fait via l'écran de paramètrage
Orphée de la carte pour chaque chaîne automate.
n
En redondance 1/2 reconfigurable la carte réalise un ET logique des commandes des
deux chaînes
TEM30300F
6
Le mode de fonctionnement Normal / Secours actif diffère du précédent (redondance
1/2 reconfigurable) par le fait qu’à un instant donné une seule chaîne commande
effectivement la sortie.
Est déclaré actif (Normal) le premier coupleur paramétré. En cas de défaillance ou
d'invalidation de la chaîne active, le module commute sur l'autre chaîne active.
En fonctionnement en Rack standard, seul le coupleur A pilote les sorties.
Le module gére par ailleurs la reconfiguration des modes de marche en fonction des
défaillances détectées du module et des chaînes amont ainsi que des actions de l'
opérateur.
Chaque coupleur transmet vers sa CPU automate :
- son état interne et la validation de ses commandes,
- l’état de l’autre coupleur et la validation de ses commandes,
- l’état des composants MSF (résultat des autotests internes),
- l’état effectif des sorties MSF de la carte (après vote).
TEM30300F
n
7
2.2 Module
LED modes de marche
LED visualisation
Sorties TOR
emplacement bornier
Détrompage du module
le module peut être débroché et embroché dans le rack sous tension.
TEM30300F
n
8
2.3 Synoptique
QSA008x
MSF
MSF
MSF
MSF
MSF
MSF
MSF
CPU B
MSF
Commmande
puissance
ISOLEMENT
ALIMENTATION
EXTERNE
COUPLEUR
FIL VERT B
Vote
sûr
CPU A
COUPLEUR
FIL VERT A
Adaptation
ISOLEMENT
8 sorties
libres de potentiel
contrôle
présence
bornier
Relecture
Le coupleur A est le coupleur alimenté dans le cas d'utilisation en rack standard. Il pilote
seul les leds d'affichage du bloc visualisation.
En rack bi-fil vert (RAK5200) le coupleur B est associé à l'alimentation la plus à gauche
dans le rack, le coupleur A est associé à l'alimentation occupant les emplacements 0
et 1 du rack.
A chaque sortie physique sont associés, un MSF et une relecture interne au module.
TEM30300F
n
9
2.4 Caractéristiques
tension d'utilisation :
QSA0080
30 à 60 VDC
QSA0081
18 à 32 VDC
courant nominal
2A
courant de pointe pendant 1msec.
20A
courant résiduel à l'état 0
<5mA
tension de déchet
<3,1V eff.
isolement des sorties entre elles
2kV
isolement entre les sorties et la logique
2kV
protection contre les surtensions
transil
protection contre les inversions de polarité
fusibles externes
température de fonctionnement
0 à 55° C
température de stockage
-25+70° C
humidité relative de fonctionnement
≤ 90% sans
et de stockage
condensation
dimensions
252X320x36 mm
poids
~ 1kg
normes
CEI1131-2
CEI1508-2
!
NFC63850
Une protection extérieure au module doit être réalisée par fusible de calibre adapté à
la charge. Ce fusible est disponible sur le bornier TQS0820.
Une coupure sur l'alimentation externe doit durer plus de 5 s pour garantir l'acquittement
du défaut "alimentation externe" de la voie et ainsi son bon redémarrage.
Si le rack ne comporte pas de ventilateur, l'intensité par sortie est limitée à 0,5A. Le
courant permanent admissible avec ventilation du module est de 12A (50% des sorties
à 2A, 50% des sorties à 1A).
Les coefficients du module QSA008X dans un rack standard sont:
C1 = 2,7
C2 = 4
Pour l'utilisation de ces coefficients, se reporter à la documentation TEM30000F §4
TEM30300F
n
10
2.5 Visualisation
LED OK
Allumée quand il n’y a pas de défaut.
Eteinte si au moins un des deux coupleurs
est en défaut interne grave (hors service)
ou quelque soit le défaut en rack standard.
Clignotante si au moins un des deux
coupleurs est en défaut toléré (défaut ne
conduisant pas à un passage en "hors
service" du coupleur (voir § 6.1)).
Si la led est clignotante ou éteinte certaines
sorties peuvent encore fonctionner
correctement.
OK
RUN
EXT.FAULT
LED RUN
La led RUN est allumée dès qu’un des deux
coupleurs "fil-vert" est en marche (RUN).
La led RUN clignote lorsque le module est
en attente de paramètre.
LED EXT.FAULT
Chaque coupleur l’allume sur détection d’un
défaut externe.
m
!
TEM30300F
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
LEDS D'AFFICHAGE
LED 0 à 7 : état des 8 sorties votées avec la convention
sortie à 1 = led allumée
LED 8 : état du coupleur B avec la convention
- led allumée = coupleur en fonctionnement
- led éteinte = coupleur hors service ou hors tension
LED 9 : état du signal de validation des commandes (voir §2.1) du coupleur B avec la
convention
- led allumée = le coupleur valide ses commandes
- led éteinte = le coupleur ne valide pas ses commandes
LED 12 : état du coupleur A
LED 13 : état du signal de validation des commandes du coupleur A
(voir § 2.1)
Ces leds ne sont pilotées que par le coupleur A.
La défaillance du coupleur A entraîne la perte des leds d'affichage. La signification des
autres leds reste valide ( OK, RUN, EXT.FAULT )
n
11
2.6 Installation
2
B
3
4
5
6
7
8
9
A
Le module doit être installé dans les emplacements 2 à 9 du RAK5200, du RAK5000 ou
du RAK5100.
2
B
3
4
5
6
7
8
9
A
Visser impérativement les 2 vis de fixation du module pour garantir la tenue aux
perturbations électriques.
TEM30300F
n
12
2.6 Installation (suite)
2
B
bornier
3
4
5
6
7
8
9
A
détrompeur
2
B
3
4
5
6
7
8
9
A
mettre en place le bornier
le détrompage est automatique
2
B
3
4
5
6
7
8
9
A
visser
le bornier
TEM30300F
n
13
2.7 détrompage
détrompeur femelle: F
détrompeur mâle : M
position sur bornier
QSA0080
M
F F
position sur bornier
QSA0081
TEM30300F
M
F F
position sur module
F
MM
position sur module
F
M M
n
14
2.8 Câblage
réaliser le câblage selon les indications de la porte du module.
1
2
3
4
21
22
23
24
17
37
18
38
19
39
20
40
Borniers
BORNIER A RESSORT
Section des fils
Commun
Sortie
Bornier à vis
1,5mm
2
Bornier à ressort
!
TEM30300F
Ne pas accéder aux connexions du module lorsque le bornier est absent.
Les sorties passent à zéro dès que le bornier est déconnecté.
Pour le démontage, retirer le bornier pour enlever le module.
n
15
2.8 Câblage (suite)
Description des signaux clients :
les 8 voies sont numérotées de 0 à 7.
Les signaux suivants sont indicés
avec le numéro de la voie à laquelle
ils sont affectés.
VALIM : tension d'utilisation comprise
entre :
30V et 60V DC pour la QSA0080,
18V et 32V DC pour la QSA0081.
Q : sortie de commande actionneur
COMQ : référence 0V de la tension
d'utilisation.
Les 2 points COMQ d'une même voie
sont reliés électriquement sur le
module.
VALIM0
Q0
Appellations
Bornes
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
Q0
COMQ0
Q1
COMQ1
Q2
COMQ2
Q3
COMQ3
Q4
COMQ4
Q5
COMQ5
Q6
COMQ6
Q7
COMQ7
NC
NC
NC
NC
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
Appellations
VALIM0
COMQ0
VALIM1
COMQ1
VALIM2
COMQ2
VALIM3
COMQ3
VALIM4
COMQ4
VALIM5
COMQ5
VALIM6
COMQ6
VALIM7
COMQ7
NC
NC
NC
NC
charge
COMQ0
COMQ0
Câblage de deux modules QSA008x en OU
Le câblage en OU de 2 modules QSA008x est
possible. Pour cela il est nécessaire d'utiliser le
bornier TQS0820 et les câbles KIT0300.
Le bornier TQS0820 comporte 1 fusible 2A par
voie.
Q
S
A
0
0
8
x
Q
S
A
0
0
8
x
KIT0300
TQS0820
Charges
TEM30300F
n
16
3 . Modes de marche
3.1 Présentation
En l'absence de défaillance module ou chaîne amont, le comportement de chaque
coupleur est le suivant :
- en redondance 1/2 reconfigurable, chaque coupleur valide ses commandes.
- en Normal/Secours, seul le coupleur Normal valide ses commandes
- en fonctionnement en rack standard, seul le coupleur A valide ses commandes.
3.2 Invalidation volontaire des commandes d'un coupleur
L'exploitant peut forcer l'invalidation des commandes d'un coupleur en générant des
commandes non ambivalentes ( voir § 5) . Dans ce cas le coupleur invalide ses
commandes grâce à son signal de validation des commandes et ne participe plus à
l'élaboration des 8 sorties du module.
3.3 Fonctionnement en redondance 1/2 reconfigurable
Le choix de la mise en redondance est lié aux architectures de sûreté SDR, SHD ou
HD (voir "Manuel de sûreté APRIL 5000S, Ref. TEM32000F).
En l'absence de défaillance chaque voteur effectue un ET des commandes. En cas
de défaillance, ou d'invalidation volontaire d'un coupleur, ou de sa chaîne amont, le
coupleur invalide ses commandes et le voteur ne retient que l'information issue du
coupleur valide.
3.4 Fonctionnement en Normal/Secours
Lors de l’initialisation du système, c’est le premier coupleur paramétré qui se déclare
"Normal". En cas de paramètrage simultané un détrompage hard privilégie le
coupleur A.
Le coupleur Secours bascule en Normal et valide ses commandes lorsqu'il s’aperçoit
que l'autre coupleur cesse de valider ses commandes.
Ce principe induit la possibilité d’avoir certains modules fonctionnant en Normal sur
la chaîne A et d’autres sur la chaîne B.
Pour forcer un état cohérent sur tous les modules (tous les coupleurs d'une chaîne
dans le même état), il est recommandé d'invalider volontairement toutes les commandes
issues d'une chaîne pendant quelques secondes. On force ainsi tous les coupleurs
de cette chaîne en Secours. Pour l'invalidation des commandes se reporter au §5.
3.5 Fonctionnement en rack standard
En fonctionnement normal le coupleur A valide ses commandes et active les sorties.
En cas d'invalidation volontaire les sorties passent en "repli".
TEM30300F
n
17
4 . Configuration par ORPHEE
4.1 Sélectionner le mode de fonctionnement
Indiquer le mode de fonctionnement et les voies utilisées de 0 à 7
Paramètrage de la carte QSA 008x
utilisation en redondance 2/2
utilisation en normal/secours
utilisation dans un rack standard
utilisation des voies
DIAGNOSTIC
TEM30300F
voie 0
voie 4
voie 1
voie 5
voie 2
voie 6
voie 3
voie 7
ANNULER
OK
n
18
4.2 Paramètrer le diagnostic
En fonction des défauts diagnostiqués par la carte, l’automate peut déclencher une des
trois actions suivantes paramétrées au préalable :
- Continuer l’exécution du programme sans tenir compte du défaut,
- Arrêter l’exécution du programme,
- Déclencher un traitement diagnostic % TDn programmé par l’utilisateur.
Les différents types de défauts détectés par le coupleur sont les suivants :
Message console
DEFAUT
CONFIGURATION
DEFAUT
INTERNE
1 - Coupleur déclaré dans le programme
mais physiquement absent ou différent
2 - Coupleur hors service ne pouvant plus
communiquer sur le bus
On distingue 2 types de DI :
- les DI mineurs
- les DI majeurs
les DI majeurs sont ceux qui peuvent mettre
en cause la sécurité. Seuls les DI majeurs
imposent le passage en Hors service du
coupleur
DEFAUT EXTERNE
Absence de bornier ou d'alimentation
bornier
NO RUN
défaut interne majeur
défaut externe
RUN
TEM30300F
Signification du message
1 - Disposition du défaut externe
2 - Cartre changée avec automate
sous tension
n
19
En l'absence de paramètrage spécifique, l'automate exécutera par défaut les actions
suivantes :
Paramètre diagnostic automate
CARTE
QSA008x
CONTINUER
DEFAUT CONFIGURATION
ARRETER
DECLENCHER
%TD
DEFAUT INTERNE
%TD
DEFAUT EXTERNE
%TD
NO RUN
%TD
RUN
%TD
ANNULER
OK
choix par défaut
ß
TEM30300F
Ce paramètrage peut avoir une influence considérable sur les performances de sûreté.
Il doit donc résulter d'une analyse globale des dysfonctionnements.
n
20
5 . Utilisation en programmation
5.1 Ambivalence des commandes
On appelle ambivalence, le codage d'une variable sous la forme de deux
informations binaires de logique opposée.
Dans le cas présent chaque commande émise à destination des modules QSA008x
doit être codée de façon ambivalente.
ETAT
commandé
0
1
%QXn
%QXn+16
0
1
1
0
5.2 Programmation
A chaque voie utilisée sont affectée deux emplacements mémoire
( %QXn et %QXn+16 ) que le programme doit gérer de façon ambivalente.
En cas de non ambivalence des signaux de commande sur au moins une voie utilisée
( %QXn = %QXn+16 ), le coupleur invalide l'ensemble de ses commandes. Dans
ces conditions les voteurs de sortie (MSF) ne retiennent que la commande issue du
coupleur valide.
Les commandes à destination des modules QSA008x peuvent être émises grâce à la
BFC SOR_SEC qui gère l'ambivalence ou en programmant directement les %QX
correspondants.
La commande de sortie TOR est identifiée par %QXn et %QXn+16 (OUTPUT).
n=
≈
TEM30300F
n°de canal
APRIL 7000 : 0 à 9
APRIL 5000 : 0
exemple:
n° de rack
dans le canal
APRIL 7000 : 0 à 6
APRIL 5000 : 0 à 6
n°d'emplacement
dans le rack
2 à9
n° de sortie
sur le module
00 à 07
canal 1, rack1, emplacement 2,
sortie 6 = ( % QX 11206, %QX11222 )
n
21
6 . Dialogue module automate
6.1 Diagnostic
!
Défauts internes :
DI1 : Défaut voteur ou alimentation externe
Sur apparition de ce défaut, le coupleur ne passe pas en hors service. Ce défaut
peut provoquer le passage en repli d'une sortie.
Origine possible:
- absence d'alimentation sur la sortie,
- by-pass sur une sortie,
- défaut interne toléré,
- défaut interne non toléré provoquant la mise en repli de la sortie.
La voie en défaut est localisée par %IX(n+8) (voir § 6.2 ).
Une intervention est necessaire.
DI2 : Défaut de la logique de commande
Sur apparition de ce défaut, les cas de passage en hors service du coupleur
sont :
- en 1/2 reconfigurable il voit l'autre coupleur valider ses commandes,
- en Normal/Secours il voit l'autre coupleur OK.
DI3 : Défaut relecture sorties
Sur apparition de ce défaut, le coupleur ne passe pas en hors service.
DI4 : Défaut relecture visualisation : bloc visu en panne.
Sur apparition de ce défaut, le coupleur A ne passe pas en hors service.
Le défaut relecture visualisation peut être détecté lors de l’initialisation du
coupleur A ou pendant le déroulement du logiciel. Sur ce défaut, il y aura
émission d’un défaut interne mais le coupleur concerné (coupleur A puisque c’est
lui qui pilote le bloc visualisation) ne modifie pas son fonctionnement (pas de
passage hors service).
Défauts externes :
DE1, DE2, DE3 : non répertoriés,
DE4 : Défaut de bornier.
Sur apparition de ce défaut, chaque coupleur invalide ses sorties. La led RUN
s'éteint et la led OK indique un défaut toléré.
Défauts logiques : idem autres modules TOR
DL1 : Défaut logique 1,
DL2 : Le module n’est pas paramétré ou ses paramètres sont en défaut,
DL3 : Le module n’est pas paramétré ou son programme est en défaut.
TEM30300F
n
22
6.2 autres informations coupleur vers CPU
Des informations complémentaires sur l'état du module sont remontées par chaque
coupleur du module vers sa CPU.
Ces informations sont disponibles dans le %IXn associé au module:
n=
n° de canal
APRIL 7000 : 0 à 9
APRIL 5000 : 0
n° de rack
dans le canal
APRIL 7000 : 0 à 6
APRIL 5000 : 0 à 6
n°d'emplacement
dans le rack
2à9
bits significatif
de 00 à 20
(voir ci-dessous)
La mise à jour de ces informations dans la mémoire UC peut prendre jusqu'à 3 cycles
programme.
%IX...00-----> %IX...07 : valeur lue des 8 sorties physiques
%IX...08-----> %IX...15 : défaut voteur ou alimentation client ou présence
de by-pass sur la sortie:
1= défaut sur la voie,
0= pas de défaut.
Ces informations sont valides sur apparition d'un défaut interne (DI1) de la carte.
%IX..16 : état de l'autre coupleur:
1= actif,
0= inactif ( hors tension ou hors service ).
%IX..17 : état du signal de validation des commandes:
1= actif,
0= inactif.
%IX..18 : état du signal de validation des commandes de l'autre coupleur:
1= actif,
0= inactif.
%IX..19 : indication de discordance:
1= discordance sur au moins une voie utilisée,
0= pas de discordance.
%IX..20 : indication de bits non ambivalents (le coupleur invalide ses
commandes)
1= bits non ambivalents sur au moins une voie utilisée,
0= toutes les voies utilisées ont des bits ambivalents.
TEM30300F
n