Schneider Electric XPSMF60 / XPSMF40 Mode d'emploi

XPSMF60/XPSMF40
33003793 03/2017
XPSMF60/XPSMF40
Manuel de sécurité
33003793.05
03/2017
www.schneider-electric.com
Le présent document comprend des descriptions générales et/ou des caractéristiques techniques
des produits mentionnés. Il ne peut pas être utilisé pour définir ou déterminer l'adéquation ou la
fiabilité de ces produits pour des applications utilisateur spécifiques. Il incombe à chaque utilisateur
ou intégrateur de réaliser l'analyse de risques complète et appropriée, l'évaluation et le test des
produits pour ce qui est de l'application à utiliser et de l'exécution de cette application. Ni la société
Schneider Electric ni aucune de ses sociétés affiliées ou filiales ne peuvent être tenues pour
responsables de la mauvaise utilisation des informations contenues dans le présent document. Si
vous avez des suggestions, des améliorations ou des corrections à apporter à cette publication,
veuillez nous en informer.
Aucune partie de ce document ne peut être reproduite sous quelque forme ou par quelque moyen
que ce soit, électronique, mécanique ou photocopie, sans autorisation préalable de Schneider
Electric.
Toutes les réglementations de sécurité pertinentes locales doivent être observées lors de
l'installation et de l'utilisation de ce produit. Pour des raisons de sécurité et afin de garantir la
conformité aux données système documentées, seul le fabricant est habilité à effectuer des
réparations sur les composants.
Lorsque des équipements sont utilisés pour des applications présentant des exigences techniques
de sécurité, suivez les instructions appropriées.
La non-utilisation du logiciel Schneider Electric ou d'un logiciel approuvé avec nos produits
matériels peut entraîner des blessures, des dommages ou un fonctionnement incorrect.
Le non-respect de cette consigne peut entraîner des lésions corporelles ou des dommages
matériels.
© 2017 Schneider Electric. Tous droits réservés.
2
33003793 03/2017
Table des matières
Consignes de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . .
A propos de ce manuel. . . . . . . . . . . . . . . . . . . . . . . . . .
Chapitre 1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.1 Sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mode de fonctionnement à manque et à émission . . . . . . . . . . . . . . .
1.2 Exigences de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration matérielle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Programmation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modes de fonctionnement spéciaux . . . . . . . . . . . . . . . . . . . . . . . . . .
Temps de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Test hors ligne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Chapitre 2 Fonctions centrales. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Alimentations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Description fonctionnelle de la section centrale . . . . . . . . . . . . . . . . .
Auto-tests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Diagnostic d’erreur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Chapitre 3 Entrées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1 Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Présentation du matériel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2 Généralités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informations générales sur les entrées . . . . . . . . . . . . . . . . . . . . . . . .
3.3 Sécurité des capteurs, codeurs et transmetteurs . . . . . . . . . . . . . . . .
Exigences de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.4 Entrées numériques de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Généralités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Routines de test. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Réaction en cas d’erreur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Schéma des entrées numériques . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Surtension sur les entrées numériques . . . . . . . . . . . . . . . . . . . . . . . .
Entrées numériques paramétrables . . . . . . . . . . . . . . . . . . . . . . . . . .
Contrôle des lignes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
33003793 03/2017
7
9
13
14
15
16
17
18
19
20
21
22
24
25
26
27
29
31
33
34
34
35
35
36
36
37
38
39
40
41
43
44
45
3
3.5 Entrées analogiques de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Généralités. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Routines de test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Réaction en cas d’erreur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Schéma des entrées analogiques . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.6 Compteurs de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Généralités. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Réaction en cas d’erreur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Schéma des compteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.7 Liste de contrôle pour les entrées de sécurité . . . . . . . . . . . . . . . . . . .
Liste de contrôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Chapitre 4 Sorties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1 Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Présentation du matériel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2 Généralités. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informations générales sur les sorties . . . . . . . . . . . . . . . . . . . . . . . . .
4.3 Sorties numériques de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Routines de test pour les sorties numériques . . . . . . . . . . . . . . . . . . .
Réaction en cas d’erreur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Performances en cas de court-circuit externe ou de surcharge. . . . . .
Schéma des sorties numériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
contrôle des lignes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.4 Sorties relais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Routines de test pour les sorties relais . . . . . . . . . . . . . . . . . . . . . . . .
Réaction en cas d’erreur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Schéma des sorties relais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.5 Sorties analogiques de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Généralités. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Routines de test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Réaction en cas d’erreur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Schéma des sorties analogiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.6 Liste de contrôle pour les sorties de sécurité. . . . . . . . . . . . . . . . . . . .
Liste de contrôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Chapitre 5 Logiciel pour les systèmes XPSMF60/XPSMF40. . . . . . .
5.1 Généralités. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informations générales sur le logiciel. . . . . . . . . . . . . . . . . . . . . . . . . .
5.2 Sécurité du système d’exploitation. . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informations générales sur la sécurité . . . . . . . . . . . . . . . . . . . . . . . . .
4
47
48
50
51
52
53
54
55
56
57
57
59
60
60
61
61
62
63
64
65
66
68
69
70
71
72
73
74
75
76
77
78
78
81
82
82
83
83
33003793 03/2017
5.3 Mode de fonctionnement et fonctions du système d’exploitation . . . .
Informations générales sur le fonctionnement et les fonctions . . . . . .
5.4 Sécurité de la programmation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
concept de sécurité du XPSMFWIN . . . . . . . . . . . . . . . . . . . . . . . . . .
Vérification de la configuration et du programme d’application . . . . . .
Création d’un archivage de projet . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Possibilité d’identification du programme et de la configuration . . . . .
5.5 Paramètres de l’automate programmable . . . . . . . . . . . . . . . . . . . . . .
Paramètres de l’automate programmable . . . . . . . . . . . . . . . . . . . . . .
5.6 Forçage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informations générales sur le forçage . . . . . . . . . . . . . . . . . . . . . . . . .
5.7 Protection contre la manipulation . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informations générales sur la protection . . . . . . . . . . . . . . . . . . . . . . .
5.8 Liste de contrôle pour la création d’un programme d’application . . . .
Liste de contrôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Chapitre 6 Sécurité du programme d’application . . . . . . . . . . . . . . .
6.1 Séquence générale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Séquence de programmation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.2 Cadre du fonctionnement de sécurité . . . . . . . . . . . . . . . . . . . . . . . . .
Général . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bases de programmation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Déclaration des signaux et des variables . . . . . . . . . . . . . . . . . . . . . .
Attribution au niveau E/S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Types de variables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fonctions du programme d’application . . . . . . . . . . . . . . . . . . . . . . . .
Paramètres système de l’UC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verrouillage du PES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Déverrouillage du PES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Génération de code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Chargement et démarrage du programme d’application . . . . . . . . . . .
Forçage des signaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Test en ligne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Documentation du programme pour les applications de sécurité . . . .
Approbation par l’autorité de test. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Chapitre 7 Configuration de la communication . . . . . . . . . . . . . . . .
7.1 Communication ne concernant pas la sécurité . . . . . . . . . . . . . . . . . .
Généralités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
33003793 03/2017
84
84
85
86
87
88
89
90
90
91
91
93
93
95
95
97
98
98
99
100
101
103
104
105
106
107
108
110
111
112
113
116
117
118
119
120
120
5
7.2 Communication de sécurité (poste à poste). . . . . . . . . . . . . . . . . . . . .
Général . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Receive TMO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Calculer le temps de réponse maximum . . . . . . . . . . . . . . . . . . . . . . .
Calcul du temps de réponse max. avec des modules E/S à distance .
Chapitre 8 Utilisation dans les dispositifs d’alarme incendie centraux
Généralités. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Chapitre 9 Conditions de test. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Normes et conditions courantes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conditions climatiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conditions mécaniques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conditions de compatibilité électromagnétique (CEM) . . . . . . . . . . . .
Tension d'alimentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Glossaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
121
122
123
125
126
129
129
133
134
135
136
137
138
139
143
33003793 03/2017
Consignes de sécurité
Informations importantes
AVIS
Lisez attentivement ces instructions et examinez le matériel pour vous familiariser avec l'appareil
avant de tenter de l'installer, de le faire fonctionner, de le réparer ou d'assurer sa maintenance.
Les messages spéciaux suivants que vous trouverez dans cette documentation ou sur l'appareil
ont pour but de vous mettre en garde contre des risques potentiels ou d'attirer votre attention sur
des informations qui clarifient ou simplifient une procédure.
33003793 03/2017
7
REMARQUE IMPORTANTE
L'installation, l'utilisation, la réparation et la maintenance des équipements électriques doivent être
assurées par du personnel qualifié uniquement. Schneider Electric décline toute responsabilité
quant aux conséquences de l'utilisation de ce matériel.
Une personne qualifiée est une personne disposant de compétences et de connaissances dans le
domaine de la construction, du fonctionnement et de l'installation des équipements électriques, et
ayant suivi une formation en sécurité leur permettant d'identifier et d'éviter les risques encourus.
8
33003793 03/2017
A propos de ce manuel
Présentation
Objectif du document
Ce manuel contient des informations pour une utilisation correcte des équipements d’automatisme
de sécurité XPSMF60/XPSMF40.
La connaissance des réglementations et l’application correcte des informations de sécurité
contenues dans ce manuel de la part de personnel qualifié sont des conditions préalables à
l’installation, le démarrage, le fonctionnement et l’utilisation sécurisés des équipements
d’automatisme XPSMF60/XPSMF40.
Champ d'application
Les contrôleurs programmables de sécurité XPSMF60/XPSMF40 (systèmes électroniques
programmables, PES) sont testés et certifiés par TÜV pour la sûreté fonctionnelle conformément
aux normes mentionnées ci-dessous :



TÜV Rheinland Industrie Service GmbH
Automatisation, Sécurité fonctionnelle
Am Grauen Stein
51105 Cologne
Fiche d'essai N° 968/EZ 236.04/12 (XPSMF40)
Fiche d'essai N° 968/EZ 217.02/12 (XPSMF60)
Normes internationales :
 IEC 61508, parties 1à 7 : 2000
 IEC 61511, parties 1 à 3 : 2004
 EN 12067-2 : 2004, EN 298 : 2003, EN 230 : 2005
 NFPA 85 : 2011
 EN / IEC 61131-2 : 2007
 EN 61000-6-2 : 2007
 EN 54-2 : 1997 + AC :1999 + A1 :2006+ A1 :2007, NFPA 72 : 2010
(XPSMF40 est conforme à cette norme uniquement si des modules d’E/S à distance adaptés
sont utilisés.)
 EN / ISO 13849-1 : 2008 + AC:2009 Niveau de performance e
33003793 03/2017
9




EN / IEC 62061 : 2005 + AC : 2010
EN 50156-1 : 2004
NFPA 86 : 2011
EN 50130-4 : 1989 + A1 : 1989 +A2 : 2003 + Corr. 2003
Le chapitre Conditions de test, page 133 contient une liste détaillée de l'ensemble des essais et
des environnements EMC appliqués.
Tous les appareils portent le sigle CE.
Pour programmer les équipements XPSMF60/XPSMF40, on recourt à un PADT (unité de
programmation, PC) exécutant le logiciel de programmation XPSMFWIN et les langages à blocs
fonctionnels (FBD) et à diagramme fonctionnel en séquence (SFC) conformément à la norme IEC
61131-3. Ce logiciel aide l'utilisateur à créer des programmes relatifs à la sécurité et au fonctionnement du PES.
Les caractéristiques techniques des équipements décrits dans ce document sont également
fournies en ligne. Pour accéder à ces informations en ligne :
Etape
Action
1
Accédez à la page d'accueil de Schneider Electric www.schneider-electric.com.
2
Dans la zone Search, saisissez la référence d'un produit ou le nom d'une gamme de produits.
 N'insérez pas d'espaces dans la référence ou la gamme de produits.
 Pour obtenir des informations sur un ensemble de modules similaires, utilisez des
astérisques (*).
3
Si vous avez saisi une référence, accédez aux résultats de recherche Fiches produit et cliquez
sur la référence qui vous intéresse.
Si vous avez saisi une gamme de produits, accédez aux résultats de recherche Product Ranges
et cliquez sur la gamme de produits qui vous intéresse.
4
Si plusieurs références s'affichent dans les résultats de recherche Products, cliquez sur la
référence qui vous intéresse.
5
Selon la taille de l'écran, vous serez peut-être amené à faire défiler la page pour consulter la fiche
technique.
6
Pour enregistrer ou imprimer une fiche technique au format .pdf, cliquez sur Download XXX
product datasheet.
Les caractéristiques présentées dans ce manuel devraient être identiques à celles fournies en
ligne. Toutefois, en application de notre politique d'amélioration continue, nous pouvons être
amenés à réviser le contenu du document afin de le rendre plus clair et plus précis. Si vous
constatez une différence entre le manuel et les informations fournies en ligne, utilisez ces
dernières en priorité.
10
33003793 03/2017
Document(s) à consulter
Titre de documentation
Référence
Instructions d'installation de Safety Suite V1
33003529
Manuel du hardware XPSMF60
33003387
Manuel du hardware XPSMF40
33003363
Manuel du logiciel XPSMFWIN
33003788
Vous pouvez télécharger ces publications et autres informations techniques depuis notre site web
à l'adresse : http://www.schneider-electric.com/en/download
Information spécifique au produit
La connaissance des réglementations et l’application correcte des informations de sécurité
contenues dans ce manuel de la part de personnel qualifié sont des conditions préalables à
l’installation, le démarrage, le fonctionnement et l’utilisation sécurisés des équipements
d’automatisme XPSMF60/XPSMF40.
En cas d’interventions par du personnel non qualifié sur les équipements d’automatisme, si l’on
désactive ou passe outre les fonctions de sécurité, ou si l’on ignore les conseils de ce manuel
(entraînant des perturbations ou des dégradations des fonctions de sécurité), des dommages
corporels, matériels ou sur l’environnement peuvent se produire, pour lesquels Schneider ne peut
être tenu pour responsable.
Les équipements d’automatisme XPSMF60/XPSMF40 sont conçus, fabriqués et testés
conformément aux normes de sécurité applicables. Ils doivent être utilisés seulement pour les
applications décrites dans les instructions, dans les conditions ambiantes spécifiées, et connectés
uniquement aux périphériques externes homologués.
33003793 03/2017
11
12
33003793 03/2017
XPSMF60/XPSMF40
Introduction
33003793 03/2017
Chapitre 1
Introduction
Introduction
Présentation
Ce chapitre donne une présentation générale du manuel de sécurité XPSMF60/XPSMF40.
Contenu de ce chapitre
Ce chapitre contient les sous-chapitres suivants :
Sous-chapitre
Sujet
Page
1.1
Sécurité
14
1.2
Exigences de sécurité
17
33003793 03/2017
13
Introduction
Sous-chapitre 1.1
Sécurité
Sécurité
Présentation
Cette section donne une vue d’ensemble de la sécurité.
Contenu de ce sous-chapitre
Ce sous-chapitre contient les sujets suivants :
Sujet
14
Page
Sécurité
15
Mode de fonctionnement à manque et à émission
16
33003793 03/2017
Introduction
Sécurité
Présentation
Les automates programmables sont conçus pour être utilisés à manque d'énergie, c’est-à-dire que
les périphériques et la fonction de l’automate interprètent un état hors tension comme un état
sécurisé.
En cas d’erreur, les signaux d’entrée et de sortie commutent en position de repli sans potentiel ou
sans courant pour garantir un fonctionnement sécurisé.
puissance surfacique et probabilité de défaillance horaire (PFD et PFH)
Les calculs de la PFD et de la PFH ont été effectués pour les systèmes XPSMF60/XPSMF40 selon
la norme IEC 61508.
La norme IEC 61508-1 définit une PFD de10-4 à 10-3 et une PFH de 10-8 à 10-7 par heure pour
SIL 3.
Automate (PES)
Pour l’automate (PES), il faut considérer 15 % de la valeur limite de la norme pour la PFD et la
PFH. Cela fait donc une valeur limite de 1,5 * 10-4 par heure (pour la section PFD de l’automate)
et 1,5 * 10-8 par heure (pour la section PFH).
XPSMF60/XPSMF40
L’intervalle de test pour les systèmes XPSMF60/XPSMF40 est fixé à 10 ans, 3 ans pour les
modules de sortie relais du XPSMF60 (test hors ligne, voir la norme IEC 61508-4, paragraphe
3.8.5).
Les fonctions de sécurité, formées d’une boucle de sécurité (entrée, module de traitement, sortie
et communication entre les systèmes XPSMF60/XPSMF40) sont conformes aux exigences cidessus quelle que soit leur combinaison. Les modules E/S à distance sont également conformes
à ces besoins.
NOTE : De plus amples informations sont disponibles sur demande.
33003793 03/2017
15
Introduction
Mode de fonctionnement à manque et à émission
Présentation
Les automates programmables sont conçus pour être utilisés en mode de mise hors tension
jusqu’au déclenchement.
Système XPSMF60/XPSMF40
Les systèmes XPSMF60/XPSMF40 sont certifiés pour la gestion des sécurité des procédés et des
machines.
Un système fonctionnant en mode de mise hors tension jusqu’au déclenchement n’a pas besoin
d’énergie pour exécuter sa fonction de sécurité.
En cas d’erreur, les signaux d’entrée et de sortie commutent en position de repli pour garantir un
fonctionnement sécurisé.
Les automates XPSMF60/XPSMF40 peuvent aussi être utilisés dans des applications en mode de
mise en tension jusqu’au déclenchement. Un système fonctionnant en mode de mise en tension
jusqu’au déclenchement a besoin d’énergie, par exemple de l’énergie électrique ou pneumatique,
pour exécuter sa fonction de sécurité.
C’est pourquoi les systèmes XPSMF60/XPSMF40 ont été testés et certifiés conformes aux
normes EN54 et NFPA72 pour être utilisés dans des dispositifs d’alarme incendie et des dispositifs
d’extinction des incendies. Dans ces systèmes, il est nécessaire que, sur demande, l’état actif soit
utilisé pour contrôler le danger (pour plus de détails, consultez Généralités, page 129).
NOTE : XPSMF40 est conforme uniquement si des modules adaptés d'E/S distantes sont utilisés.
16
33003793 03/2017
Introduction
Sous-chapitre 1.2
Exigences de sécurité
Exigences de sécurité
Présentation
Les exigences de sécurité suivantes doivent être suivies lors de l’utilisation du PES de sécurité du
système XPSMF60/XPSMF40.
Contenu de ce sous-chapitre
Ce sous-chapitre contient les sujets suivants :
Sujet
Page
Configuration matérielle
18
Programmation
19
Communication
20
Modes de fonctionnement spéciaux
21
Temps de sécurité
22
Test hors ligne
24
33003793 03/2017
17
Introduction
Configuration matérielle
Exigences indépendantes du produit

Pour un fonctionnement correct sécurisé, seul le matériel spécifié et les composants logiciels
autorisés doivent être utilisés. Les modules matériels et les composants logiciels autorisés sont
répertoriés dans la Liste de révision des périphériques et firmware des systèmes
XPSMF60/XPSMF40 de Schneider Electric GmbH / HIMA Paul Hildebrandt GmbH + Co KG,
certificat n°968/EZ 217.00/06 ainsi que dans le Certificat d'examen de type CE N° :
01/205/5234/12 pour XPSMF60 et N° : 01/205/5233/12 pour XPSMF40. Les versions valides



sont contenues dans la liste des versions, qui est mise à jour avec l’autorité d’approbation.
Les conditions de fonctionnement spécifiées (voir Conditions de test, page 133) concernant les
influences CEM, mécaniques, chimiques et climatiques doivent être respectées.
Les modules matériels et les composants logiciels qui ne sont pas de sécurité (mais qui ne
provoquent aucune réaction) peuvent être utilisés pour des signaux non sécurisés. Ils ne
peuvent pas, cependant, être utilisés pour exécuter des tâches de sécurité.
Le mode de mise hors tension jusqu’au déclenchement doit être utilisé dans tous les circuits
externes de sécurité connectés au système.
Exigences dépendantes du produit


18
Seul l’équipement qui peut être isolé en toute sécurité du secteur doit être connecté au système.
L’isolation électrique sécurisée de l’alimentation doit avoir lieu dans une alimentation de 24 V.
Seules les alimentations PELV ou SELV peuvent être utilisées.
33003793 03/2017
Introduction
Programmation
Exigences indépendantes du produit


Dans la cas d’applications de sécurité, assurez-vous que les variables du système de sécurité
sont correctement configurées.
Vous devez prêter particulièrement attention à la configuration du système, au temps de cycle
maximal et au temps de sécurité.
Exigences dépendantes du produit
Exigences pour utiliser le système de programmation :





L’outil XPSMFWIN doit être utilisé pour la programmation.
Après la création de l'application, vérifiez que la compilation a été correctement réalisée en
compilant manuellement deux fois et en comparant les CRC.
La conversion correcte de la spécification de l’application doit être validée et vérifiée. Un test
complet de la logique doit être effectué.
Cette procédure doit être répétée à chaque modification de l’application.
La réponse d’erreur du système (lors d’une erreur au niveau d’un module d’entrée ou de sortie)
doit être déterminée par le programme d’application en accord avec les règles de sécurité
spécifiques à l’usine.
33003793 03/2017
19
Introduction
Communication
Réponse totale
Lorsque la communication de sécurité est utilisée entre différents périphériques, assurez-vous que
le temps de réponse total du système ne dépasse pas le temps de tolérance aux pannes. La base
des calculs répertoriés dans Communication de sécurité (poste à poste), page 121 doit être
utilisée.
Données de sécurité
Il n’est actuellement pas autorisé de transférer des données de sécurité à l’aide de réseaux publics
(par ex. Internet).
Protection contre la manipulation
Si les données doivent être transférées à travers les réseaux de l’entreprise/usine, veillez à vous
assurer (via des moyens administratifs ou techniques) qu’une protection suffisante est mise en
place contre la manipulation (par ex. à l’aide d’un pare-feu pour maintenir la partie de sécurité du
réseau séparée des autres réseaux).
Interfaces série
A ce niveau, les interfaces série ne doivent pas être utilisées à des fins de sécurité.
Isolation électrique sécurisée
Seuls les périphériques qui ont une isolation électrique sécurisée doivent être connectés aux
interfaces de communication.
20
33003793 03/2017
Introduction
Modes de fonctionnement spéciaux
Forçage la maintenance
Lorsque vous utilisez Conduite libre de la maintenance, il faut suivre la version la plus récente du
document Conduite libre de la maintenance de TÜV Rheinland et TÜV Service produits (voir
Informations générales sur le forçage, page 91).
Protection de l’accès
Si nécessaire, l’opérateur doit consulter le service des approbations compétent pour l’application
afin de déterminer les mesures administratives requises pour protéger l’accès aux systèmes.
33003793 03/2017
21
Introduction
Temps de sécurité
Présentation
Les erreurs individuelles, qui peuvent amener à un état de fonctionnement dangereux, sont
détectées par les auto-tests des périphériques et pendant le temps de sécurité, ce qui amène
l’automate à définir des réponses aux erreurs qui font passer les composants erronés à un état
sécurisé.
Temps de résilience
Le temps de résilience (FTZ) est caractéristique de ce processus et décrit la période de temps
pendant laquelle le processus peut recevoir des signaux d’erreur sans qu’il s’agisse pour autant
d’une situation dangereuse. Une situation dangereuse peut se produire si une erreur se produit
pendant une durée dépassant le FTZ.
(FTZ, voir DIN VDE 0801, annexe A1 2.5.3)
Temps de sécurité (du PES)
Le temps de sécurité est le temps pendant lequel le PES (en état RUN) doit réagir après une erreur
interne.
Pour le processus effectif, le temps de sécurité est la quantité maximale de temps pendant laquelle
le système de sécurité doit répondre aux sorties lorsque les signaux d’entrée changent (temps de
réponse).
Dans le cas des automates, des temps avoisinant les 20… 50 000 ms peuvent être atteints.
Temps d'occurrence de défauts multiples ()
Le temps d'occurrence de défauts multiples est la période de temps pendant laquelle il y a une
probabilité de défauts multiples (qui, lorsqu’il y en a plusieurs, sont cruciaux en matière de sécurité)
suffisamment petite.
Le temps d'occurrence de défauts multiples est défini sur 24 heures dans le système
d’exploitation.
Temps de réponse
Le temps de réponse maximal des automates cycliques XPSMF60/XPSMF40 est de deux fois le
temps de cycle de ces systèmes mais seulement s’il n’y a pas de retard dû au paramétrage ou à
la logique du programme d’application.
22
33003793 03/2017
Introduction
Le temps de cycle d’un automate implique les importantes opérations suivantes:





lecture des entrées
traitement du programme d’application
écriture des sorties
communication des données de processus
exécution des routines de test
En outre, dans le pire des scénarios pour tout le système, les temps de commutation des
entrées/sorties doivent être pris en compte.
Temps du chien de garde
Le temps du chien de garde est spécifié comme le temps dans le menu pour définir les attributs
du PES. C’est la durée maximale autorisée d’un cycle RUN (temps de cycle). Si le temps de cycle
dépasse le temps du chien de garde spécifié, l’UC entre en mode ERROR STOP.
Le temps du chien de garde de l’UC doit être défini entre 2 ms et ½ * le temps de sécurité du PES.
La valeur maximale autorisée est de 5 000 ms.
Paramètres par défaut : XPSMF60/XPSMF40 50 ms.
33003793 03/2017
23
Introduction
Test hors ligne
Présentation
Le test hors ligne reconnaît les erreurs cachées dangereuses qui risquent d’affecter la fonction
sécurisée de l’usine.
Les systèmes de sécurité XPSMF60/XPSMF40 doivent être sujets à un test hors ligne par
intervalles de 10 ans.
Pour les modules relais, le test pour les relais doit être exécuté à intervalles définis pour l’usine
concernée.
Exécution du test hors ligne
L’exécution du test hors ligne dépend de la configuration de l’usine (EUC = equipment under
control [appareil sous contrôle]), de son potentiel de risque et des normes pour le fonctionnement
qui sont appliquées et qui forment la base de l’autorisation par l’autorité compétente.
Selon les normes IEC 61508 1-7, IEC 61511 1-3, EN/IEC 62061 et VDI/VDE 2180 fiches 1 à 4, s’il
s’agit de systèmes de sécurité, c’est l’entreprise exploitante qui doit organiser des tests.
Test réguliers
Le XPSMF60/XPSMF40 peut être testé en exécutant la boucle de sécurité.
En pratique les périphériques de terrain ont un intervalle de test plus fréquent (par ex. tous les 6
ou 12 mois) que le XPSMF60/XPSMF40. Si l’utilisateur final teste la boucle de sécurité complète
en raison des périphériques de terrain alors le XPSMF60/XPSMF40 est automatiquement compris
dans ces tests. Aucun test supplémentaire régulier n’est requis pour le XPSMF60/XPSMF40.
Si le test des périphériques de terrain n’inclut pas le XPSMF60/XPSMF40, alors le PES doit être
testé au minimum une fois tous les 10 ans. Cela peut être fait en exécutant une réinitialisation du
XPSMF60/XPSMF40.
En cas d’exigences de tests réguliers pour des modules en particulier, l’utilisateur final doit
consulter les fiches techniques de ces modules.
24
33003793 03/2017
XPSMF60/XPSMF40
Fonctions centrales
33003793 03/2017
Chapitre 2
Fonctions centrales
Fonctions centrales
Présentation
Les équipements XPSMF40 sont des systèmes compacts, qui ne peuvent pas être modifiés.
Les automates de type XPSMF60 sont des systèmes modulaires, jusqu’à six modules E/S peuvent
être insérés dans un automate avec un module d’alimentation et une unité centrale.
Contenu de ce chapitre
Ce chapitre contient les sujets suivants :
Sujet
Page
Alimentations
26
Description fonctionnelle de la section centrale
27
Auto-tests
29
Diagnostic d’erreur
31
33003793 03/2017
25
Fonctions centrales
Alimentations
Présentation
Un module d’alimentation est seulement disponible avec le XPSMF60. Dans le cas d’équipements
compacts, cette fonction est intégrée dans le système et ne peut pas être vue d’une façon
modulaire.
Le module d’alimentation PS 01 (pour le XPSMF60) ou la fonction intégrée convertit la tension
d’alimentation de 24 V en 3,3 V et 5 V (utilisé pour le bus E/S interne).
26
33003793 03/2017
Fonctions centrales
Description fonctionnelle de la section centrale
Présentation
Le module central (exemple) est composé des blocs de fonction suivants :
Représentation
Blocs de fonction, le CPU01 du XPSMF60 servant d’exemple
33003793 03/2017
27
Fonctions centrales
Attributs du module central
Attributs du module central CPU01 du XPSMF60 :















28
Deux microprocesseurs synchrones (µP1 et µP2)
Chaque microprocesseur possède sa propre mémoire RAM
Comparateurs de matériel testable pour tous les accès externes des deux microprocesseurs
En cas d'erreur, le chien de garde est réglé sur un état sécurisé.
Mémoires Flash EPROM des mémoires de programme pour systèmes d’exploitation et
programmes d’application, convenant pour 100 000 cycles de stockage au minimum.
Mémoire de données dans la NVRAM
Multiplexeur de connexion du bus E/S, RAM à double port (DPR)
Alimentation de sauvegarde (goldcap) pour la date et l’heure
Processeurs de communication pour bus de terrain et connexions Ethernet
Interface de transfert des données entre les équipements XPSMF60/XPSMF40 et le PADT,
basée sur Ethernet
Interface(s) optionnelle(s) d’échange de données par l’intermédiaire du bus de terrain
Signalisation de l’état du système par des DEL
Bus logique E/S pour connexion aux modules E/S
Chien de garde de sécurité (WD)
Surveillance de l’alimentation, testable (tensions de système de 3,3 V / 5 V)
33003793 03/2017
Fonctions centrales
Auto-tests
Présentation
Les routines d’auto-test les plus importantes pour les modules centraux de sécurité et le
raccordement du niveau E/S sont répertoriées ci-dessous.
Test du microprocesseur
Les éléments suivants sont testés :



toutes les commandes et les modes d’adressage utilisés
la capacité d’écriture des indicateurs d’état et des commandes qu’ils génèrent
la capacité d’écriture et la diaphonie des registres
Test des zones mémoire
Le système d’exploitation, le programme d’application, les constantes et les paramètres ainsi que
les données variables sont sauvegardés dans les deux zones de processeur pour chaque module
central et sont testés par un comparateur matériel.
Zones mémoire protégées
Le système d’exploitation, le programme d’application et les zones de paramètre sont stockés
chacun dans une mémoire. Ces mémoires sont protégées en écriture et par un test CRC.
Test de la RAM
Les zones de RAM modifiables, en particulier de collage et de diaphonie, sont vérifiées par un test
d’écriture et de lecture.
Test du chien de garde
Le signal de chien de garde se coupe s’il n’est pas déclenché par les deux UC dans une fenêtre
temporelle définie et également si le test du comparateur matériel échoue. Un test à part détermine
si le signal de chien de garde peut être coupé.
Test du bus E/S à l’intérieur de l’automate
La connexion entre l’UC et les entrée et sorties associées (modules E/S) est testée.
33003793 03/2017
29
Fonctions centrales
Réactions aux erreurs du CPU
Un comparateur matériel central vérifie en permanence que les données dans le système à
microprocesseur n° 1 sont identiques aux données dans le système à microprocesseur n° 2. Si les
données ne sont pas identiques ou si les routines de test centrales renvoient une valeur négative,
l’automate se met automatiquement en mode ERROR STOP et le signal de chien de garde est
coupé. Cela signifie que les signaux d’entrée ne sont plus traités et que les sorties basculent vers
un état éteint hors tension.
Si une telle erreur se produit pour la première fois, le contrôleur est redémarré (reboot). Si une
autre erreur interne se produit dans la première minute suivant le démarrage, le contrôleur passe
en mode STOP/INVALID CONFIGURATION et demeure dans cet état.
30
33003793 03/2017
Fonctions centrales
Diagnostic d’erreur
Présentation
Tous les modules XPSMF60 ont une DEL qui indique les erreurs en cas de défauts dans le module
ou le câblage externe. Cela facilite le diagnostic rapide d’un module qui a été signalé comme
défectueux.
Systèmes XPSMF
Etant donné que les systèmes XPSMF40 sont compacts, ces affichages de défauts sont
regroupés en un seul signal de défaut de groupe.
De plus, divers signaux système peuvent être évalués dans l’application avec affichage de l’état
des entrées/sorties ou de l’UC.
L’indication de défaut a lieu uniquement si celui-ci n’empêche pas la communication avec l’UC, c.à-d. si l’UC est encore en mesure d’évaluer les signaux.
Il est possible d’évaluer les codes d’erreur de tous les signaux d’entrée et de sortie et ceux
concernant les signaux système par la logique du programme d’application.
Un enregistrement complet de diagnostic des performances du système et des défauts détectés
est stocké dans la mémoire de diagnostic de l’UC et le COM. Il est possible de lire l’enregistrement
via le PADT, même après un défaut système.
Pour plus d’informations sur l’analyse des messages de diagnostic, reportez-vous au Manuel
système des systèmes compacts ou Manuel système du système modulaire XPSMF60, chapitre
Diagnostic.
33003793 03/2017
31
Fonctions centrales
32
33003793 03/2017
XPSMF60/XPSMF40
Entrées
33003793 03/2017
Chapitre 3
Entrées
Entrées
Présentation
Ce chapitre décrit les entrées.
Contenu de ce chapitre
Ce chapitre contient les sous-chapitres suivants :
Sous-chapitre
Sujet
Page
3.1
Présentation
34
3.2
Généralités
35
3.3
Sécurité des capteurs, codeurs et transmetteurs
36
3.4
Entrées numériques de sécurité
37
3.5
Entrées analogiques de sécurité
47
3.6
Compteurs de sécurité
53
3.7
Liste de contrôle pour les entrées de sécurité
57
33003793 03/2017
33
Entrées
Sous-chapitre 3.1
Présentation
Présentation
Présentation du matériel
Automate modulaire XPSMF60
Entrées numériques
Module
Quantité
Sécurité
Noninteraction
Isolation
électrique
XPSMF DIO241601
24
+
+
+
XPSMF DI3201 (avec configuration
du contrôle des lignes)
32
+
+
+
XPSMF DI2401 (110 V)
24
+
+
+
Entrées analogiques
Module
Quantité
Sécurité
Noninteraction
Isolation
électrique
Compteur 24 bits : XPSMF
CIO2401
2
+
+
+
Entrées analogiques : XPSMF
AI801
8
+
+
+
Section système
Quantité
Sécurité
Noninteraction
Isolation
électrique
Entrées numériques
24
+
+
-
+ Applicable
- Non applicable
Automate XPSMF40
+ Applicable
- Non applicable
34
33003793 03/2017
Entrées
Sous-chapitre 3.2
Généralités
Généralités
Informations générales sur les entrées
Présentation
Les entrées de sécurité peuvent être utilisées pour les signaux concernant ou ne concernant pas
la sécurité.
Signaux d’état
Outre les DEL de diagnostic des modules, les automates envoient également au programme
d’application des signaux d’état qui peuvent être évalués. Il est possible de lire les erreurs E/S
stockées dans la mémoire de diagnostic à l’aide de XPSMFWIN.
Auto-tests cycliques
Les modules d’entrée de sécurité sont automatiquement soumis à des auto-tests cycliques
rigoureux au cours du fonctionnement. Ces routines de test sont testées par TÜV et surveillent le
fonctionnement sécurisé du module concerné.
Informations sur le défaut
En cas de défaut, un signal à 0 est envoyé au programme d’application. Des informations
détaillées sur le défaut sont également générées dans tous les cas. Ces informations sur le défaut
peuvent être évaluées dans le programme d’application par la lecture des codes d’erreur.
Signaux ne concernant pas la sécurité
Dans le cas de quelques défaillances de composants, n’ayant pas d’impact sur la sécurité, aucune
information de diagnostic n’est générée.
33003793 03/2017
35
Entrées
Sous-chapitre 3.3
Sécurité des capteurs, codeurs et transmetteurs
Sécurité des capteurs, codeurs et transmetteurs
Exigences de sécurité
Présentation
Dans une application concernant la sécurité, le système électronique programmable (PES) ainsi
que les capteurs qui y sont raccordés doivent respecter les exigences de sécurité (niveau
d’intégrité de sécurité SIL).
SIL
Les capteurs, codeurs et transmetteurs de sécurité ayant le niveau d’intégrité de sécurité (SIL)
requis peuvent être raccordés aux entrées du système électronique programmable (PES). Si
aucun capteur, codeur ou transmetteur n'a le niveau SIL spécifié, ils peuvent être raccordés
également. Cependant, le programme d’application doit alors traiter la logique et le contrôle des
signaux.
Des informations sur l’obtention du niveau SIL requis sont contenues, par exemple, dans la norme
IEC 61511-1, Paragraphe 11.4.
36
33003793 03/2017
Entrées
Sous-chapitre 3.4
Entrées numériques de sécurité
Entrées numériques de sécurité
Présentation
Les points répertoriés ci-dessous concernent les voies d’entrée numériques à la fois des modules
XPSMF60 et de tous les systèmes compacts XPSMF40 (sauf indication contraire).
Contenu de ce sous-chapitre
Ce sous-chapitre contient les sujets suivants :
Sujet
Page
Généralités
38
Routines de test
39
Réaction en cas d’erreur
40
Schéma des entrées numériques
41
Surtension sur les entrées numériques
43
Entrées numériques paramétrables
44
Contrôle des lignes
45
33003793 03/2017
37
Entrées
Généralités
Présentation
Les entrées numériques sont lues une fois par cycle et sauvegardées en interne, des tests
cycliques sont effectués pour assurer la sécurité de leur fonction.
Signaux d’entrée
Il est possible que les signaux d’entrée présents pendant un temps plus court que le temps entre
deux échantillonnages (c.-à-d. plus courts qu'une période) ne soient pas enregistrés.
38
33003793 03/2017
Entrées
Routines de test
Signaux d’entrée
Les routines de test en ligne vérifient si les voies d’entrée, quels que soient les signaux d’entrée
en attente, sont capables de connecter les deux niveaux de signaux (signaux L et H). Ce test est
effectué à chaque fois que les signaux d’entrée sont lus.
33003793 03/2017
39
Entrées
Réaction en cas d’erreur
Présentation
Si les routines de test détectent un défaut sur les entrées numériques, un signal 0 est traité dans
le programme d’application pour la voie défectueuse selon le mode de mise hors tension jusqu’au
déclenchement. Il y a alors activation de la DEL ERR sur le module XPSMF60 ou de la DEL FAU
sur le XPSMF40.
Code d’erreur
Outre la valeur de signal de la voie, le code d’erreur approprié doit être pris en compte dans le
programme d’application. Le code d’erreur vous permet d’ajouter une gestion des erreurs au
programme d’application et de diagnostiquer le câblage externe.
40
33003793 03/2017
Entrées
Schéma des entrées numériques
Représentation
Vue des fonctions, le module XPSMF DIO241601 servant d’exemple
33003793 03/2017
41
Entrées
Vue des fonctions des entrées numériques de sécurité XPSMF40
42
33003793 03/2017
Entrées
Surtension sur les entrées numériques
Présentation
Dans le cas des entrées numériques, une impulsion de surtension EN 61000-4-5 peut être lue
comme un signal haut de courte durée (dû au temps de cycle court des systèmes
XPSMF60/XPSMF40).
pour éviter les erreurs de ce type, il convient de prendre une des mesures suivantes en fonction
des applications :


Installation de lignes d’entrée blindées pour éviter les effets des surtensions dans le système,
Masquage de défauts dans le programme d’application : un signal doit être présent pendant au
moins deux cycles avant d’être évalué.
NOTE : des techniques de conception correctes CEM permettront au concepteur du système de
sécurité d'obtenir une performance maximale en utilisant le temps de réponse minimal de
l'automate de sécurité.
33003793 03/2017
43
Entrées
Entrées numériques paramétrables
Présentation
Les entrées numériques du module de contrôle XPSMF35 fonctionnent selon le principe des
entrées analogiques mais sont définies sur des valeurs numériques par le paramétrage des points
de fonctionnement.
Pour les entrées numériques paramétrables, les routines de test et les fonctions de sécurité des
entrées analogiques s’appliquent comme indiqué dans Routines de test, page 50.
44
33003793 03/2017
Entrées
Contrôle des lignes
Présentation
Le contrôle des lignes est un système de surveillance des courts-circuits et des coupures, par
exemple de dispositifs d’arrêt d’urgence, que vous pouvez configurer dans les systèmes
XPSMF60/XPSMF40 à l’aide d’entrées numériques (et non d’entrées numériques paramétrables,
voir chapitre Entrées numériques paramétrables, page 44).
contrôle des lignes
En outre, des sorties numériques DO sont reliées aux entrées numériques DI d'un même système,
comme indiqué ci-dessous (par exemple) :
Commutateurs OFF d’urgence selon la norme, par exemple EN 60947-5-1, EN 60947-5-5
sorties pulsées
Le contrôleur envoie des impulsions aux sorties numériques pour détecter les courts-circuits de la
ligne et les circuits ouverts aux entrées numériques. Pour ce faire, configurez la valeur du signal
du système DO[01] en ELOP II Factory. Les variables pour les sorties pulsées doivent commencer
par la voie 1 et continuer en séquence directe, l'une après l'autre (voir les signaux du système dans
les manuels correspondants) :
33003793 03/2017
45
Entrées
Il y a clignotement de la DEL ERR en face avant pour le module XPSMF60, ou de la DEL FAU pour
le XPSMF40, les entrées prennent la valeur 0 et un code d’erreur (qu’il est possible d’évaluer) est
créé lorsque les défauts suivants apparaissent :




46
court-circuit entre deux lignes parallèles,
changement entre deux lignes (par ex. entre DO 2 et DI 3),
défaut de terre sur l'une des lignes (uniquement avec un pôle de référence mis à la terre),
coupure de ligne ou ouverture de contacts : lorsque l’un des commutateurs d’urgence OFF
(schéma présenté dans la section contrôle des lignes, page 45) est enfoncé, la DEL clignote et
le code de défaut est créé.
33003793 03/2017
Entrées
Sous-chapitre 3.5
Entrées analogiques de sécurité
Entrées analogiques de sécurité
Présentation
Cette section décrit les entrées analogiques de sécurité.
Contenu de ce sous-chapitre
Ce sous-chapitre contient les sujets suivants :
Sujet
Page
Généralités
48
Routines de test
50
Réaction en cas d’erreur
51
Schéma des entrées analogiques
52
33003793 03/2017
47
Entrées
Généralités
Présentation
La valeur des signaux d’entrée dans les voies d’entrée analogiques est convertie en un Entier.
Le programme d’application peut alors utiliser cette valeur.
La précision de sécurité est la précision garantie de l’entrée analogique sans erreur du module.
Cette valeur doit être prise en compte lors de la configuration des fonctions de sécurité.
Automate XPSMF60
Les valeurs d’entrée suivantes sont disponibles :
Voies
d'entrée
Al 801
Méthode de
mesure
Courant,
tension
Plage de valeurs dans
l’application
8
unipolaire
-10...+10 V
8
unipolaire
0...20 mA
0...1000
8
unipolaire
0...20 mA
4
bipolaire
-10...+10 V
Précision de
sécurité
FS10001)
FS20001)
-1000...1000
-2000...2000
1%
0...20003)
1%
0...5002)
0...10002)
4%
-1000...1000
-2000...2000
1%
3)
1) Spécifié par le choix du type d’équipement (XPSMF60)
2) Avec dérivation externe 250 Ω
3) Avec dérivation externe 500 Ω (précision 0,05 %, P 1 W)
XPSMFAI801
Le module XPSMF AI801 du XPSMF60 est configurable dans le programme d’application pour huit
fonctions unipolaires ou quatre fonctions bipolaires. Cependant, il n’est pas possible de mélanger
les types de fonctions sur un module.
Les entrées analogiques du module XPSMF AI801 du XPSMF60 fonctionnent par mesure de la
tension.
Mesure
En cas de défaut de circuit ouvert (il n’y a pas de contrôle de ligne dans le système), tous les
signaux d’entrée seront reçus par les entrées haute résistance. La valeur résultant de cette tension
d'entrée fluctuante n'est pas fiable ; avec les entrées de tension, les voies doivent se terminer par
une résistance de 10 kΩ. L’impédance de sortie de la source doit être prise en compte.
Pour une mesure du courant, la dérivation est connectée en parallèle sur une entrée, la résistance
de 10 kΩ n'est alors pas nécessaire.
48
33003793 03/2017
Entrées
Si des voies d’entrée ne sont pas utilisées, l’entrée de mesure doit être reliée au potentiel de
référence. Les influences négatives (tensions d’entrée fluctuantes) sur les autres voies dans le cas
d’une coupure sont évitées.
Pour la voie d’entrée inutilisée le signal correspondant AI[0x]. Used doit être mis à la valeur par
défaut FALSE ou à 0 dans la gestion du matériel XPSMFWIN. De cette façon, la voie est mise hors
service dans le programme d’application, c.-à-d. qu'aucun signal de cette voie n’est disponible
dans la logique.
33003793 03/2017
49
Entrées
Routines de test
Présentation
Les valeurs analogiques sont traitées en parallèle par deux multiplexeurs et deux convertisseurs
analogiques/numériques avec une résolution de 12 bits et les résultats sont comparés. De plus,
des valeurs de test sont reliées à des convertisseurs numériques/analogiques puis converties à
nouveau en valeurs numériques, qui sont alors comparées aux valeurs spécifiées.
Erreurs
Lorsqu’une erreur est détectée, l’entrée est mise à 0 pour traitement par le programme
d’application et l’état d’erreur est activé.
50
33003793 03/2017
Entrées
Réaction en cas d’erreur
Présentation
Si des défauts de voie se produisent dans les entrées analogiques, le code d’erreur de la voie
correspondante est mis à une valeur > 0. Si le défaut concerne tout le module, le code d’erreur du
module est mis à une valeur > 0. La DEL ERR est activée dans les deux cas.
La valeur d'entrée analogique doit être forcée à cette donnée sur l'état (code d'erreur des entrées
analogiques) à l'intérieur du programme d'application. In case of a value > 0 a safety-related
reaction must be programmed.Dans le cas d’une valeur > 0, une réaction de sécurité doit être
programmée.
33003793 03/2017
51
Entrées
Schéma des entrées analogiques
Représentation
Vue des fonctions, le module XPSMF AI801 servant d’exemple
52
33003793 03/2017
Entrées
Sous-chapitre 3.6
Compteurs de sécurité
Compteurs de sécurité
Présentation
Les points répertoriés ci-dessous concernent les modules compteur du XPSMF60.
Contenu de ce sous-chapitre
Ce sous-chapitre contient les sujets suivants :
Sujet
Page
Généralités
54
Réaction en cas d’erreur
55
Schéma des compteurs
56
33003793 03/2017
53
Entrées
Généralités
Présentation
Selon la configuration, le module compteur peut fonctionner dans le programme d’application en
tant que compteur rapide croissant ou décroissant avec une résolution de 24 bits, ou en tant que
décodeur en code Gray.
Module compteur
En cas d’utilisation comme compteur rapide croissant ou décroissant, l'impulsion d'entrée et les
signaux d'entrée de direction de comptage sont nécessaires dans l’application. Une remise à zéro
a lieu uniquement dans le programme d’application.
Le module compteur du XPSMF60 a une résolution de codage de 4 ou 8 bits. Il est possible
d’effectuer une remise à zéro.
Il est possible d’interconnecter deux entrées 4 bits indépendantes à une entrée 8 bits par le biais
du programme d’application. Il n’est pas prévu d’option de commutation à cet effet.
La fonction codeur surveille la variation du profil binaire sur les voies d’entrée. Les profils binaires
sur les entrées sont transférés directement au programme d’application. L’affichage sur le PADT
est sous la forme d’un nombre décimal (Counter[0x].Value) qui correspond au profil binaire.
Selon l’application, il est possible de convertir ce nombre (qui correspond au profil binaire de code
Gray) en la valeur décimale correspondante, par exemple.
54
33003793 03/2017
Entrées
Réaction en cas d’erreur
Présentation
Si un défaut est détecté dans la section compteur du module, un bit d’état est positionné pour
évaluation dans le programme d’application. En outre, il est possible d’y prendre en compte le code
d’erreur concerné. La DEL ERR sur le module s’allume.
Erreurs
Le code d’erreur vous permet d’ajouter une gestion des erreurs supplémentaires au programme
d’application.
33003793 03/2017
55
Entrées
Schéma des compteurs
Représentation
Vue des fonctions, le module compteur XPSMF CIO801 servant d’exemple
56
33003793 03/2017
Entrées
Sous-chapitre 3.7
Liste de contrôle pour les entrées de sécurité
Liste de contrôle pour les entrées de sécurité
Liste de contrôle
Présentation
Nous vous recommandons d’utiliser la liste de contrôle ci-dessous pendant la configuration, la
programmation et la mise en service des entrées de sécurité. Il peut être utilisé comme un
document de planification et, en même temps, comme une preuve que la planification a été
soigneusement réalisée.
Liste de contrôle des besoins
Dans le cadre des phases de configuration ou de mise en service, une liste de contrôle des
besoins séparée peut aussi être créée pour chacune des voies d’entrée de sécurité installées dans
le système. Cela garantit que tous les besoins sont clairement répertoriés. Cela permet aussi de
produire des documents sur le raccordement du câblage externe au programme d’application.
Représentation
Manuel de sécurité XPSMF60/XPSMF40
Liste de contrôle pour la configuration, la programmation et la mise en service
Société
Emplacement
Boucle
Entrées de sécurité pour XPSMF60/XPSMF40
N°
Besoins
1
S’agit-il d’une entrée de sécurité ?
2
L’affichage de défaut est-il traité
dans le programme d’application ?
[VALUE=0] et [ERRORCODE≠0]
3
S’agit-il d’une entrée analogique ?
4
unipolaire 0+/-10 V CC
5
unipolaire 020 mA
6
bipolaire +/-10 V CC
7
Est-il possible d’exclure la fin de la
tension d’entrée ou une défaillance
due à une coupure ?
33003793 03/2017
Oui
Non
Remarques
57
Entrées
Manuel de sécurité XPSMF60/XPSMF40
Liste de contrôle pour la configuration, la programmation et la mise en service
58
8
Les zones de capteurs
correspondent-elles à la
configuration de la voie ?
9
Les entrées analogiques inutilisées
sont-elles court-circuitées ?
10
Les validations (AI[0x].Used) des
entrées concernées sont-elles
paramétrées ?
11
Cette entrée est-elle une entrée
compteur ?
12
Fonction : Compteur d’impulsion ?
13
Fonction : Décodeur (code Gray) ?
14
Un codeur/capteur de sécurité est-il
fourni pour cette entrée ?
33003793 03/2017
XPSMF60/XPSMF40
Sorties
33003793 03/2017
Chapitre 4
Sorties
Sorties
Présentation
Ce chapitre décrit les sorties.
Contenu de ce chapitre
Ce chapitre contient les sous-chapitres suivants :
Sous-chapitre
Sujet
Page
4.1
Présentation
60
4.2
Généralités
61
4.3
Sorties numériques de sécurité
62
4.4
Sorties relais
69
4.5
Sorties analogiques de sécurité
73
4.6
Liste de contrôle pour les sorties de sécurité
78
33003793 03/2017
59
Sorties
Sous-chapitre 4.1
Présentation
Présentation
Présentation du matériel
Automate modulaire XPSMF60
Sorties numériques
Module
Quantité
Sécurité
Isolation électrique
XPSMF CIO2401
4
+
+
XPSMF DIO241601
(Configurable pour contrôle
des lignes)
16
+
+
Autres
Module
Quantité
Sécurité
Isolation électrique
XPSMF DO801
(avec contacts de relais)
8
+
+
XPSMF AO801
(Sorties analogiques)
8
+
+
Section système
Quantité
Sécurité
Isolation électrique
Sorties numériques
24
+
-
Sorties pulsées
8
-
-
+ Applicable
- Non applicable
Automate XPSMF40
+ Applicable
- Non applicable
60
33003793 03/2017
Sorties
Sous-chapitre 4.2
Généralités
Généralités
Informations générales sur les sorties
Présentation
Les modules de sortie de sécurité sont écrits une fois par cycle, les signaux de sortie sont relus et
comparés avec les signaux de sortie spécifiés.
L’état sécurisé des sorties est la valeur 0 ou un contact de relais ouvert.
Commutateurs testables
Trois commutateurs testables sont intégrés en série dans les voies de sortie de sécurité. Cela
permet l’intégration dans le module de sortie du second chemin de coupure indépendant
(nécessaire pour des raisons de sécurité).
Mécanisme d’arrêt de sécurité
Ce mécanisme d’arrêt de sécurité intégré déconnecte toutes les voies du module de sortie
défaillant (état hors tension).
Signal de chien de garde (WD)
De plus, le signal de chien de garde (WD) de l’UC offre une seconde possibilité d’arrêt. En cas de
perte du signal WD, le système est immédiatement basculé vers un état sécurisé.
Cette fonction est prise en compte uniquement pour toutes les sorties numériques et les sorties de
relais de l’automate.
Code d’erreur
Le code d’erreur approprié vous permet d’ajouter des réactions de défaut supplémentaires au
programme d’application.
33003793 03/2017
61
Sorties
Sous-chapitre 4.3
Sorties numériques de sécurité
Sorties numériques de sécurité
Présentation
Les points répertoriés ci-dessous concernent les voies de sortie numériques à la fois des modules
XPSMF60 et du système compact XPSMF40. Les modules de relais sont exclus dans les deux
cas, sauf indication contraire.
Contenu de ce sous-chapitre
Ce sous-chapitre contient les sujets suivants :
Sujet
62
Page
Routines de test pour les sorties numériques
63
Réaction en cas d’erreur
64
Performances en cas de court-circuit externe ou de surcharge
65
Schéma des sorties numériques
66
contrôle des lignes
68
33003793 03/2017
Sorties
Routines de test pour les sorties numériques
Présentation
Les modules sont testés automatiquement en cours de fonctionnement.
Fonctions-test
Les principales fonctions de test sont les suivantes :



Collationnement du signal de sortie de l’amplificateur de commutation. Le seuil de commutation
pour un signal nul de collationnement est 2 V. Les diodes utilisées empêchent la rétroaction des
signaux.
Vérification de l’arrêt de sécurité redondant intégré
Un test d’arrêt des sorties est effectué durant le MEZ pour une durée maximale de 200 µs. Le
temps minimum entre deux tests est ≥ 20 s.
La tension de fonctionnement de tout le système est surveillée, et toutes les sorties sont mises
hors tension à une sous-tension de < 13 V.
33003793 03/2017
63
Sorties
Réaction en cas d’erreur
Présentation
Si un signal à 1 défaillant est détecté, la sortie concernée du module est mise à un état zéro hors
tension par les commutateurs de sécurité.
En cas de défaut de module, toutes les sorties sont coupées. Ces deux défauts sont aussi signalés
par la DEL ERR sur le module du XPSMF60 ou la DEL FAU sur le XPSMF40.
64
33003793 03/2017
Sorties
Performances en cas de court-circuit externe ou de surcharge
Présentation
Si la sortie est court-circuitée sur L- ou en cas de surcharge, il est toujours possible d'effectuer des
tests sur le module. Un arrêt de sécurité n’est pas nécessaire.
Surveillance de la consommation
L’intensité totale du module est surveillée. Si le seuil est dépassé, toutes les voies du module de
sortie sont mise à l’état 0 de sécurité.
Rebranchement
Dans cet état, les sorties sont vérifiées périodiquement (à intervalles de plusieurs secondes) s'il y
a toujours surcharge. Dans des conditions normales, les sorties sont reliées à nouveau au circuit
de charge.
33003793 03/2017
65
Sorties
Schéma des sorties numériques
Représentation
Vue des fonctions, le module XPSMF DIO241601 servant d’exemple
66
33003793 03/2017
Sorties
Vue des fonctions des sorties numériques de sécurité du XPSMF40
33003793 03/2017
67
Sorties
contrôle des lignes
Présentation
Il est possible de combiner les sorties numériques de sécurité avec les entrées numériques de
sécurité du même système (mais pas avec des entrées numériques paramétrables, voir chapitre
Entrées numériques paramétrables, page 44). Cela permet de surveiller les courts-circuits ou les
ruptures de ligne, par exemple, avec des dispositifs d'arrêt d'urgence de la catégorie PL/e. 4
conformément à la norme EN ISO 13849 (voir Contrôle des lignes, page 45).
ATTENTION
MAUVAISE UTILISATION DES SORTIES DE RELAIS
Les sorties de relais ne peuvent pas servir de sorties pulsées.
Le non-respect de ces instructions peut provoquer des blessures ou des dommages matériels.
ATTENTION
MAUVAISE UTILISATION DES SORTIES PULSÉES
Les sorties pulsées ne doivent pas servir de sorties de sécurité, par exemple pour le contrôle des
actionneurs de sécurité !
Le non-respect de ces instructions peut provoquer des blessures ou des dommages matériels.
68
33003793 03/2017
Sorties
Sous-chapitre 4.4
Sorties relais
Sorties relais
Présentation
Cette section décrit les propriétés des sorties relais
Contenu de ce sous-chapitre
Ce sous-chapitre contient les sujets suivants :
Sujet
Page
Routines de test pour les sorties relais
70
Réaction en cas d’erreur
71
Schéma des sorties relais
72
33003793 03/2017
69
Sorties
Routines de test pour les sorties relais
Présentation
Les modules sont testés automatiquement en cours de fonctionnement.
Fonctions de test
Les principales fonctions de test sont les suivantes :



collationnement des signaux de sortie des amplificateurs de commutation avant les relais
test de commutation des relais avec contacts à guidage positif
test de l’arrêt de sécurité redondant intégré
La tension de fonctionnement de tout le système est surveillée, et toutes les sorties sont mises
hors tension à une sous-tension de < 13 V.
Relais de sécurité
Sur le module XPSMF DO801, les sorties sont équipées de trois relais de sécurité : deux relais
avec contacts à guidage positif et un relais de type standard. Les sorties peuvent donc être
utilisées pour les arrêts de sécurité.
70
33003793 03/2017
Sorties
Réaction en cas d’erreur
Présentation
Si un signal à 1 défaillant est détecté, la sortie concernée du module est mise à un état zéro de
sécurité, hors tension, par les commutateurs de sécurité.
En cas de défaut de module, toutes les sorties sont coupées. Les deux défauts sont aussi signalés
par la DEL ERR sur le module.
33003793 03/2017
71
Sorties
Schéma des sorties relais
Représentation
Vue des fonctions, le module XPSMF DO801 servant d’exemple
72
33003793 03/2017
Sorties
Sous-chapitre 4.5
Sorties analogiques de sécurité
Sorties analogiques de sécurité
Présentation
Cette section décrit les sorties analogiques de sécurité.
Contenu de ce sous-chapitre
Ce sous-chapitre contient les sujets suivants :
Sujet
Page
Généralités
74
Routines de test
75
Réaction en cas d’erreur
76
Schéma des sorties analogiques
77
33003793 03/2017
73
Sorties
Généralités
Présentation
Le module intelligent XPSMF AO801 possède son propre système de sécurité à microprocesseur
1oo2 analogique/numérique avec communication sécurisée. Les sorties analogiques sont écrites
une fois par cycle et les valeurs sont sauvegardées en interne. Le module lui-même teste la
fonction.
Sorties en tension ou en courant
Les modules de sortie de sécurité peuvent être configurés en sorties en tension ou en courant à
l’aide de commutateurs DIP (dual in-line package) sur le module. Assurez-vous que les
paramètres correspondent à leur application dans le système et à leur configuration dans le
programme d’application. Dans le cas contraire, les réactions du module sont imprévisibles.
ATTENTION
PARAMÈTRES DE COMMUTATEUR DIP INCORRECTS
Avant d’installer le module dans le système, vérifiez les paramètres de commutateur DIP sur le
module ainsi que leur configuration dans le programme d’application.
Le non-respect de ces instructions peut provoquer des blessures ou des dommages matériels.
Valeurs de signal
Selon le choix du type d’équipement (FS1000, FS2000) à l’aide de la ressource du XPSMF60,
vous devez envisager différentes valeurs pour le signal AO 0x.Value dans le circuit logique afin
d’obtenir des valeurs de sorties identiques.
Sorties couplées
Les sorties analogiques sont couplées en CC deux par deux (sortie 1 et sortie 2, sortie 3 et sortie
4, sortie 5 et sortie 6, sortie 7 et sortie 8).
Circuits de sortie analogiques
Les circuits de sortie analogiques possèdent des canaux de contrôle du courant ou de la tension,
de collationnement et de test (même dans le cas de circuits de sortie parallèles), ainsi que deux
commutateurs de sécurité supplémentaires permettant un débranchement sécurisé des circuits de
sortie en cas de défaut. Cela garantit que l’état sécurisé est atteint (sortie en courant : 0 mA, sortie
en tension : 0 V).
74
33003793 03/2017
Sorties
Routines de test
Présentation
Le module est testé automatiquement en cours de fonctionnement.
Fonctions de test
Les principales fonctions de test sont les suivantes :



double collationnement du signal de sortie,
test de diaphonie entre les sorties,
vérification de l’arrêt de sécurité intégré.
33003793 03/2017
75
Sorties
Réaction en cas d’erreur
Présentation
Les signaux de sortie sont relus une fois par cycle et comparés avec les signaux de sortie
sauvegardés en interne du module intelligent.
S’il y a un écart, la voie de sortie défectueuse est désactivée via les deux interrupteurs de sécurité
et l’erreur du module est signalée via la DEL ERR sur le module.
Temps de réponse
Le signal du code d’erreur vous permet d’ajouter une gestion des erreurs supplémentaire au
programme d’application.
Pour obtenir le temps de réponse du cas le plus défavorable des sorties analogiques, ajoutez deux
fois le temps du chien de garde (2 x WDTCPU) à deux fois le temps du chien de garde de l’AO-UC
(2 x WDTAO-C).
Vous pouvez consulter le temps de réponse du cas le plus défavorable dans la fiche technique.
76
33003793 03/2017
Sorties
Schéma des sorties analogiques
Représentation
Vue des fonctions, le module XPSMF AO801 servant d’exemple
33003793 03/2017
77
Sorties
Sous-chapitre 4.6
Liste de contrôle pour les sorties de sécurité
Liste de contrôle pour les sorties de sécurité
Liste de contrôle
Présentation
Nous vous recommandons d’utiliser la liste de contrôle ci-dessous pendant la configuration, la
programmation et la mise en service des sorties de sécurité.
Elle peut être utilisée comme un document de planification et, en même temps, comme une preuve
que la planification a été soigneusement réalisée.
Liste de contrôle des besoins
Une liste de contrôle séparée des besoins pour la configuration ou la mise en service peut aussi
être créée pour chacune des voies de sortie de sécurité installées dans le système. Cela garantit
que tous les besoins sont tous clairement répertoriés. Il est aussi possible de produire des
documents sur le raccordement du câblage extérieur au programme d’application.
Représentation
Manuel de sécurité XPSMF60/XPSMF40
Liste de contrôle pour la configuration, la programmation et la mise en service
Société
Emplacement
Boucle
Sorties de sécurité pour XPSMF60/XPSMF40
78
N°
Besoin
1
S’agit-il d’une sortie de sécurité ?
2
Le signal d’erreur est-il traité dans le
programme d’application ?
3
S’agit-il d’une sortie numérique ?
4
La charge de la voie correspond-elle à
la valeur maximale autorisée ?
5
La charge du module correspond-elle
à la valeur maximale autorisée ?
6
Y a-t-il des circuits RC (free-running
circuits) installés sur les actionneurs ?
Oui
Non
Remarques
33003793 03/2017
Sorties
Manuel de sécurité XPSMF60/XPSMF40
Liste de contrôle pour la configuration, la programmation et la mise en service
7
L’actionneur a-t-il été connecté en
suivant la fiche technique ?
(connexion à deux pôles)
8
S’agit-il d’une sortie analogique ?
9
Application de la sortie tension : le
commutateur DIP est-il positionné en
fonction de la configuration dans le
programme d’application ?
10
Application de la sortie courant : le
commutateur DIP est-il positionné en
fonction de la configuration dans le
programme d’application ?
11
Les sorties courant analogiques qui
ne sont pas utilisées sont-elles courtcircuitées ?
12
Les validations (AO[0x]) sont-elles
utilisées pour les sorties paramétrées
adéquates ?
13
Un actionneur de sécurité est-il fourni
pour cette sortie ?
33003793 03/2017
79
Sorties
80
33003793 03/2017
XPSMF60/XPSMF40
Logiciel pour les systèmes XPSMF60/XPSMF40
33003793 03/2017
Chapitre 5
Logiciel pour les systèmes XPSMF60/XPSMF40
Logiciel pour les systèmes XPSMF60/XPSMF40
Présentation
Ce chapitre offre une présentation générale à propos du logiciel des systèmes
XPSMF60/XPSMF40.
Contenu de ce chapitre
Ce chapitre contient les sous-chapitres suivants :
Sous-chapitre
Sujet
Page
5.1
Généralités
82
5.2
Sécurité du système d’exploitation
83
5.3
Mode de fonctionnement et fonctions du système d’exploitation
84
5.4
Sécurité de la programmation
85
5.5
Paramètres de l’automate programmable
90
5.6
Forçage
91
5.7
Protection contre la manipulation
93
5.8
Liste de contrôle pour la création d’un programme d’application
95
33003793 03/2017
81
Logiciel pour les systèmes XPSMF60/XPSMF40
Sous-chapitre 5.1
Généralités
Généralités
Informations générales sur le logiciel
Présentation
Le logiciel des automates programmables de sécurité des systèmes XPSMF60/XPSMF40 peut
être divisé selon ces différents blocs :



système d'exploitation,
programme d’application,
outil de programmation pour XPSMFWIN (conforme à IEC 61131-3).
Ce système de fonctionnement est chargé dans l’UC de l’automate et doit être utilisé sous sa
forme valide et certifiée par TÜV, requise pour les applications de sécurité.
XPSMFWIN
Le programme d’application est créé avec le logiciel de programmation XPSMFWIN et contient les
fonctions spécifiques du système que l’automate programmable doit exécuter. Le logiciel du
système XPSMFWIN est aussi utilisé pour configurer et contrôler les fonctions du système
d’exploitation.
Générateur de code
Le programme d’application est traduit en code machine à l’aide du générateur de code. Ce code
machine est transféré dans l’EPROM Flash de l’automate programmable via une interface
Ethernet.
82
33003793 03/2017
Logiciel pour les systèmes XPSMF60/XPSMF40
Sous-chapitre 5.2
Sécurité du système d’exploitation
Sécurité du système d’exploitation
Informations générales sur la sécurité
Présentation
Chaque système d’exploitation agréé est marqué en conséquence. Pour pouvoir mieux distinguer
les systèmes d’exploitation, la révision et la signature CRC sont indiquées.
Systèmes d’exploitation
Les versions valides du système d’exploitation (agréées par TÜV pour les automates
programmables de sécurité) et les signatures pertinentes (CRC) sont sujettes à un contrôle de
révision et sont spécifiées dans une liste, élaborée en collaboration avec TÜV.
La version actuelle du système d’exploitation peut uniquement être lue à l’aide de l’outil de
programmation XPSMFWIN. Vous devez effectuer une vérification (voir Liste de contrôle,
page 95).
33003793 03/2017
83
Logiciel pour les systèmes XPSMF60/XPSMF40
Sous-chapitre 5.3
Mode de fonctionnement et fonctions du système d’exploitation
Mode de fonctionnement et fonctions du système d’exploitation
Informations générales sur le fonctionnement et les fonctions
Présentation
Le système d’exploitation exécute le programme d’application de manière cyclique.
Fonctions de base
Les fonctions ci-dessous s’effectuent très simplement :



lecture des données d’entrée,
traitement des fonctions logiques qui ont été programmées selon la norme IEC 61131-3,
écriture des données de sortie.
Fonctions importantes
Les fonctions importantes ci-dessous sont également effectuées :




84
auto-tests complets
tests du module E/S en fonctionnement,
transfert de données,
diagnostic.
33003793 03/2017
Logiciel pour les systèmes XPSMF60/XPSMF40
Sous-chapitre 5.4
Sécurité de la programmation
Sécurité de la programmation
Présentation
Cette section décrit les aspects de la sécurité de la programmation.
Contenu de ce sous-chapitre
Ce sous-chapitre contient les sujets suivants :
Sujet
Page
concept de sécurité du XPSMFWIN
86
Vérification de la configuration et du programme d’application
87
Création d’un archivage de projet
88
Possibilité d’identification du programme et de la configuration
89
33003793 03/2017
85
Logiciel pour les systèmes XPSMF60/XPSMF40
concept de sécurité du XPSMFWIN
Présentation
Le concept de sécurité de XPSMFWIN garantit que




le système de programmation (PADT) fonctionne correctement,
les erreurs du système de programmation peuvent être détectées,
vous faites fonctionner le PADT correctement,
les erreurs de votre part sont détectées.
Durant l'installation de l'outil de programmation, une somme de contrôle CRC assure l'intégrité du
progiciel, du fabricant jusqu'à l'utilisateur.
L'outil de programmation effectue un contrôle de vraisemblance dans le but de réduire les erreurs
potentielles lors de la saisie.
Il est nécessaire de compiler deux fois avec une comparaison subséquente des CRC (sommes de
contrôle) de configuration produits. Cela permet d'assurer la détection des erreurs de l'application
qui résultent de dysfonctionnements temporaires du PC utilisé. Pour plus de détails, veuillez
consulter le Manuel du logiciel XPSFMFWIN.
Avec l'outil de programmation et les mesures décrits dans le présent manuel de sécurité, la
génération d'un code sémantiquement et syntaxiquement correct, contenant encore des erreurs
systématiques inconnues, est très improbable.
Sécurité du système
Lorsqu’un automate de sécurité est mis en service pour la première fois ou lorsque le programme
d’application est modifié, un test fonctionnel complet doit être effectué pour vérifier la sécurité de
l’ensemble du système.
Procédure
Les étapes suivantes doivent être suivies pour garantir la sécurité du système :
Etape
86
Action
1
Compiler deux fois le programme d’application et comparer les versions des
codes (CRC).
2
Vérifier la mise en œuvre de l’application à l’aide des flux de données et de
signaux.
3
Effectuer par essai un test complet de la logique (voir Vérification de la
configuration et du programme d’application, page 87).
33003793 03/2017
Logiciel pour les systèmes XPSMF60/XPSMF40
Vérification de la configuration et du programme d’application
Présentation
Pour vérifier que le programme d’application exécute les fonctions de sécurité spécifiques, vous
devez générer des jeux d’essai adéquats pour répondre aux besoins dans la spécification.
Test indépendant
Un test indépendant de chaque boucle (comprenant l’entrée, les combinaisons logiques
importantes du point de vue de l’application et la sortie) est normalement suffisant. XPSMFWIN et
les mesures décrites dans le manuel de sécurité font en sorte qu’il soit peu probable qu’un code
sémantiquement et syntaxiquement correct soit produit alors qu’il contient encore des erreurs
systématiques non reconnues depuis le processus de génération du code.
Test adéquat
Des jeux d’essais adéquats doivent aussi être générés pour l’évaluation numérique des formules.
Des tests de classe équivalents sont les plus adéquats, c’est-à-dire des tests compris dans des
plages définies de valeurs, fixées aux limites ou qui utilisent des valeurs incorrectes. Les jeux
d’essai doivent être choisis d’une façon qui démontre que le calcul est correct.
A la suite d'une compilation de l'outil de programmation XPSMFWIN, comparez les valeurs initiales
définies pour REAL et LREAL et les valeurs de l'éditeur de forçage pour détecter tout écart. En cas
de différence entre la valeur d'origine définie et la valeur chargée dans le contrôleur, les valeurs
REAL et LREAL doivent être forcées pour être identiques aux valeurs d'origine définies dans
l'application.
Simulation active
Une simulation active avec des sources doit être utilisée, uniquement de façon à ce que le câblage
correct des capteurs et des actionneurs du système (aussi connectés via la communication avec
les modules E/S à distance) puisse être prouvé. C’est aussi la seule façon de vérifier la
configuration du système.
Cette procédure doit être utilisée lorsque un programme d’application est créé pour la première
fois et que des modifications y sont apportées.
33003793 03/2017
87
Logiciel pour les systèmes XPSMF60/XPSMF40
Création d’un archivage de projet
Présentation
Lors de la création d’un archivage de projet, vous devez suivre les étapes suivantes dans l’ordre
spécifié.
Création d’un archivage de projet
Etape
88
Action
1
Imprimer le programme d’application pour comparer la logique avec les besoins.
2
Compiler le programme d’application pour générer la configuration CRC de l’UC.
3
Noter la version de la configuration CRC de l’UC en vérifiant les CRC. Pour ce
faire, sélectionner l’automate dans Gestion du matériel. Les versions s’affichent
dans le menu contextuel A propos de la configuration. Remarques importantes
lors de la spécification d’une version :
 rootcpu.config montre la configuration de sécurité de l’UC et la configuration
CRC de l’UC,
 rootcom.config montre la configuration ne concernant pas la sécurité du
COM,
 root.config montre la configuration complète y compris les modules E/S à
distance (UC + COM).
4
Créer un archivage du projet sur un support de données et prendre note
 des noms des programmes d’application
 des CRC de la configuration des UC
 de la date (cela ne remplace pas vos exigences internes en matière de
documentation)
33003793 03/2017
Logiciel pour les systèmes XPSMF60/XPSMF40
Possibilité d’identification du programme et de la configuration
Présentation
Les programmes d’application peuvent être identifiés uniquement par les CRC de configuration
depuis root.config. L’archivage pertinent peut alors être facilement identifié. Le nom donné à une
archive doit contenir les CRC de configuration de root.config.
Comparer la configuration
Pour garantir que l’archive n’est pas modifiée, compiler les ressources après reprise puis comparer
le CRC de configuration du root.config avec les CRC des configurations chargées, qui peuvent être
affichées à l’aide de XPSMFWIN.
Pour contrôler, vous pouvez vérifier le menu Ressource → Vérifier la cohérence dans le panneau
de configuration.
33003793 03/2017
89
Logiciel pour les systèmes XPSMF60/XPSMF40
Sous-chapitre 5.5
Paramètres de l’automate programmable
Paramètres de l’automate programmable
Paramètres de l’automate programmable
Présentation
Les paramètres répertoriés ci-dessous sont définis par XPSMFWIN comme des mesures
autorisées lors du fonctionnement de l’automate programmable et désignés comme des
paramètres de sécurité.
Paramètres
Les paramètres possibles pendant le fonctionnement de sécurité ne sont pas liés à un type de
besoins spécifiques ; ils doivent être définis avec le pouvoir d’approbation de chaque application
dans laquelle l’automate logique programmable est utilisé.
Paramètres
Paramètres de l’automate programmable
Paramètres de sécurité
Configuration sécurisée
Temps de sécurité en ms
dépendant du processus
Temps du chien de garde en ms
Max. 50 % du temps de sécurité
Démarrage/redémarrage
Réinitialisation/désactivation (en mode RUN
uniquement)
Mode forcé activé
Réinitialisation/désactivation
Forcé (commutateur seul)
Réinitialisation/désactivation
Dispositif de validation principal (modification Réinitialisation/désactivation (en mode RUN
des paramètres de sécurité)
uniquement)
Mode test
90
Réinitialisation/désactivation
33003793 03/2017
Logiciel pour les systèmes XPSMF60/XPSMF40
Sous-chapitre 5.6
Forçage
Forçage
Informations générales sur le forçage
AVERTISSEMENT
DANGER DE FORÇAGE
Le forçage est uniquement autorisé après consultation de l’autorité d’approbation compétente
pour l’usine.
Lors de l’exécution du forçage, le responsable doit s’assurer qu’un contrôle de sécurité du
processus suffisant est mis en œuvre à travers d’autres mesures techniques et
organisationnelles.
Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou des
dommages matériels.
Options disponibles lors du forçage
Les options suivantes sont disponibles avec le forçage :




Le forçage peut être interdit sur une configuration par une base de configuration. Le PES
n’accepte alors plus de valeurs forcées définies comme spécifiques à l’utilisateur. Dans ce cas,
de nouvelles valeurs forcées peuvent uniquement être définies après que l’automate a été de
nouveau autorisé au forçage.
Tous les signaux peuvent être affichés à l’aide de l’éditeur de forçage de l’outil de
programmation XPSMFWIN. Pour plus de détails voir le manuel du logiciel XPSFMFWIN.
Dans l’éditeur de forçage, il est possible de vérifier quels signaux sont forcés.
Tous les signaux peuvent être encore désactivés à l’aide de la commande Stop de l’éditeur de
forçage de l’outil de programmation XPSMFWIN. Les valeurs et les commutateurs forcés
restent dans le même état ; cela signifie qu’ils sont réactivés si la commande Start est réactivée.
Informations complémentaires
Consultez l’aide en ligne de XPSMFWIN pour plus d’informations sur le forçage.
NOTE : Les boutons et les paramètres de forçage sont expliqués dans la section Forçage des
signaux, page 113 du présent manuel.
33003793 03/2017
91
Logiciel pour les systèmes XPSMF60/XPSMF40
Vous trouverez les informations essentielles sur le forçage dans le document de TÜV Conduite
libre de la maintenance.
Il est possible d’accéder à ce document sur les pages d’accueil suivantes de TÜV :


92
http://tuvasi.com (TÜV Rheinland)
http://www.tuv-fs.com (Sécurité de fonctionnement TÜV)
33003793 03/2017
Logiciel pour les systèmes XPSMF60/XPSMF40
Sous-chapitre 5.7
Protection contre la manipulation
Protection contre la manipulation
Informations générales sur la protection
Présentation
Avec l’autorité d’approbation compétente, l’utilisateur définit quelles mesures doivent être prises
pour apporter une protection contre la manipulation.
Mécanismes de protection
Les mécanismes de protection intégrés au PES et au système de programmation XPSMFWIN
empêchent des modifications du système de sécurité non voulues ou non approuvées.




Une modification du programme d’application ou de la configuration génère un nouveau CRC.
Ces modifications peuvent uniquement être transférées vers le PES par un téléchargement
(pendant lequel le PES est sur STOP).
Les options de fonctionnement requièrent que vous soyez connecté au PES.
L’outil de programmation XPSMFWIN requiert un mot de passe pour se connecter au PES
lorsque vous vous connectez.
La connexion entre le PADT et le PES n’est pas requise en mode RUN.
Sécurité
Les exigences de sécurité et de l’application concernant la protection contre la manipulation
doivent être prises en compte. Il relève de la responsabilité de l’opérateur d’autoriser le personnel
et de prendre les mesures de protection nécessaires.
ATTENTION
RISQUE D’ACCES NON AUTORISE
Le mot de passe doit être protégé contre un accès non autorisé. Les paramètres par défaut de
l’identifiant ainsi que du mot de passe doivent être modifiés.
Le non-respect de ces instructions peut provoquer des blessures ou des dommages matériels.
33003793 03/2017
93
Logiciel pour les systèmes XPSMF60/XPSMF40
PES et PADT
L’accès aux données PES n’est possible que si le PADT utilisé a accès à l’outil de programmation
XPSMFWIN et à la version actuelle du projet d’application (maintenance de l’archivage !).
La connexion entre le PADT et le PES est requise uniquement pour télécharger le programme
d’application ou pour lire les variables/signaux. En fonctionnement normal, le PADT n’est pas
requis ; la déconnexion du PADT et du PES en fonctionnement normal permet de se protéger
contre un accès non autorisé.
94
33003793 03/2017
Logiciel pour les systèmes XPSMF60/XPSMF40
Sous-chapitre 5.8
Liste de contrôle pour la création d’un programme d’application
Liste de contrôle pour la création d’un programme d’application
Liste de contrôle
Présentation
Nous vous recommandons d’utiliser la liste de contrôle ci-dessous afin de garantir que les
exigences de sécurité sont respectées lors de la programmation et avant et après le chargement
d’un programme nouveau ou modifié.
Représentation
Manuel de sécurité XPSMF60/XPSMF40
Liste de contrôle pour la création d’un programme d’application
Société
Emplacement
Projet
Fichier/archive
Contrôles
Oui
Non
Remarques
Pendant la création d’un programme/Avant une modification
La configuration du PES et le programme d’application ont-ils été créés en
pensant à la sécurité ?
Les instructions de programmation ont-elles été utilisées lors de la
création du programme d’application ?
Les sections fonctionnellement indépendantes du programme sont-elles
encapsulées dans des fonctions et des blocs fonction ?-{}Est-ce que seuls des signaux sécurisés ont été utilisés pour toutes les
fonctions de sécurité ?
Chaque source de signal de sécurité atteint-elle correctement (également
via la communication) le programme d’application ?
Chaque débit de signal de sécurité est-il correctement écrit (également via
la communication) ?
Après une modification – avant chargement
Une personne non impliquée dans la création du programme a-t-elle
effectué une vérification du programme d’application en contrôlant les
spécifications obligatoires du système ?
Le résultat du test a-t-il été documenté et publié (date/signature) ?
33003793 03/2017
95
Logiciel pour les systèmes XPSMF60/XPSMF40
Manuel de sécurité XPSMF60/XPSMF40
Liste de contrôle pour la création d’un programme d’application
Le programme d’application a-t-il été compilé deux fois avec une
comparaison subséquente des deux CRC de configuration produits ?
Une archive du projet entier a-t-elle été faite avant le chargement du
programme dans le PES ?
Après une modification – après chargement
Un nombre adéquat de tests a-t-il été réalisé pour toutes les opérations
logiques concernant la sécurité (y compris E/S) et pour toutes les
opérations mathématiques ?
Toutes les informations sur le forçage ont-elles été réinitialisées avant le
mode sécurisé ?
Est-ce que les dispositifs de validation correspondent aux paramètres
pour une protection maximale/spécifiée ?
Le système d’exploitation de l’UC et le CRC sont-ils des versions
approuvées officiellement par TÜV ?
96
33003793 03/2017
XPSMF60/XPSMF40
Sécurité du programme d’application
33003793 03/2017
Chapitre 6
Sécurité du programme d’application
Sécurité du programme d’application
Présentation
Cette section décrit les différents aspects de la sécurité du programme d’application.
Contenu de ce chapitre
Ce chapitre contient les sous-chapitres suivants :
Sous-chapitre
Sujet
Page
6.1
Séquence générale
98
6.2
Cadre du fonctionnement de sécurité
99
33003793 03/2017
97
Sécurité du programme d’application
Sous-chapitre 6.1
Séquence générale
Séquence générale
Séquence de programmation
Présentation
Séquence générale dans la programmation des automates programmables XPSMF60/XPSMF40
pour les applications concernant la sécurité :






spécification des fonctions des automates,
écriture du programme d’application,
compilation du programme d’application avec le générateur C-Code,
deuxième compilation du programme d’application (les deux résultats (CRC) doivent être
comparés),
génération du programme sans erreur et le programme est exécutable,
vérification et validation.
Vous pouvez alors tester le programme, le PES peut prendre en charge un fonctionnement
sécurisé.
98
33003793 03/2017
Sécurité du programme d’application
Sous-chapitre 6.2
Cadre du fonctionnement de sécurité
Cadre du fonctionnement de sécurité
Présentation
Cette section décrit le cadre du fonctionnement de sécurité.
Contenu de ce sous-chapitre
Ce sous-chapitre contient les sujets suivants :
Sujet
Page
Général
100
Bases de programmation
101
Déclaration des signaux et des variables
103
Attribution au niveau E/S
104
Types de variables
105
Fonctions du programme d’application
106
Paramètres système de l’UC
107
Verrouillage du PES
108
Déverrouillage du PES
110
Génération de code
111
Chargement et démarrage du programme d’application
112
Forçage des signaux
113
Test en ligne
116
Documentation du programme pour les applications de sécurité
117
Approbation par l’autorité de test
118
33003793 03/2017
99
Sécurité du programme d’application
Général
Présentation
Le programme d’application est chargé avec le logiciel de programmation XPSMFWIN pour les
PC.
Caractéristiques principales
Les caractéristiques principales du système de programmation XPSMFWIN sont :






entrée (éditeur de blocs fonction), surveillance et documentation
variables avec des noms symboliques et des types de données (BOOL, UINT, etc.)
attribution des automates du système XPSMF60/XPSMF40
générateur de code (conversion du programme d’application en code machine)
configuration matérielle
configuration de la communication
NOTE : Pour les conditions, les règles et les explications des exigences de sécurité, voir
Exigences de sécurité, page 17.
100
33003793 03/2017
Sécurité du programme d’application
Bases de programmation
Présentation
La tâche que l’automate exécutera doit déjà exister sous la forme d’une spécification. La
spécification doit être utilisée pour vérifier si ses exigences ont été correctement mises en œuvre
dans le programme. La façon dont la spécification est présentée dépend de la tâche en cours.
Logique combinatoire
La logique combinatoire peut être :



schéma cause/effet
fonctionnement logique avec fonctions et blocs fonction
blocs fonction avec caractéristiques spécifiques
Automates séquentiels (contrôle des séquences)
Les automates séquentiels peuvent être :




description verbale des conditions d’étapes de validation et des actionneurs à contrôler
organigrammes
matrice ou tableau montrant les conditions d’étapes de validation et les actionneurs à contrôler
définition des contraintes auxiliaires, par exemple les états de fonctionnement, ARRÊT
D'URGENCE, etc.
Concept E/S
Le concept E/S pour le système doit contenir une analyse des circuits d’excitation, par exemple
les types de capteurs et d’actionneurs.
Capteurs (numériques ou analogiques)
Signaux des capteurs
signal en fonctionnement normal (mode de mise hors tension avec des capteurs numériques,
désactivation avec des capteurs analogiques)
 signaux en cas d’erreur
 déterminer les redondances de sécurité requises (1oo2, 2oo3) (voir Exigences de sécurité,
page 36)
 écart surveillance et réaction

Actionneurs
Positions des actionneurs
position et activation en fonctionnement normal
 réaction/position sécurisée en cas d’arrêt ou de panne de courant

33003793 03/2017
101
Sécurité du programme d’application
Cibles
Cibles lors de l’écriture du programme d’application




102
facile à comprendre
facile à mettre en œuvre
facile à modifier
facile à tester
33003793 03/2017
Sécurité du programme d’application
Déclaration des signaux et des variables
Variables
Une variable est une substitution pour une valeur dans la logique du programme. L’espace
mémoire avec la valeur enregistrée est symboliquement désigné par le nom de la variable. Ces
noms symboliques peuvent comporter jusqu’à 256 caractères. Une variable est générée dans la
déclaration de variables du programme ou du bloc fonction.
Signaux
Un signal est utilisé comme emplacement entre les différentes zones du contrôle complet. Le
signal est généré dans l’éditeur de signaux et correspond à la couche globale d’une variable
VAR_EXTERNAL si la relation était configurée.
Noms symboliques
L’utilisation de noms symboliques, contrairement aux adresses physiques, offre deux différents
avantages pour vous :




Les désignations du système des entrées et des sorties peuvent être utilisées dans le
programme d’application.
Les modifications de la façon dont les signaux sont assignés aux voies d’entrée et de sortie
n’ont pas d’effet sur le programme d’application.
Après un démarrage à froid, les variables sans valeur initiale définie par l'utilisateur sont réglées
sur la valeur par défaut 0 ou FALSE.
Les variables avec source non valide, par exemple, en raison d'un défaut matériel dans une
entrée physique, adoptent la valeur initiale configurée.
33003793 03/2017
103
Sécurité du programme d’application
Attribution au niveau E/S
Présentation
Lorsque la valeur d’une variable doit être attribuée à une voie E/S, un signal ayant le même nom
doit être généré dans l’éditeur de signaux de la gestion du matériel.
Ensuite, le signal est glissé (glisser-déposer) dans la liste de variables du programme et dans la
liste de voies du module E/S.
Les routines de test requises pour les modules E/S de sécurité ou les voies E/S sont exécutées
automatiquement par le système d’exploitation.
Attribution de signaux aux voies E/S
Pour attribuer un signal à une voie E/S, procédez comme suit :
Etape
Action
1
Dans l'éditeur de signaux de la gestion du matériel, définissez un signal.
2
Faites glisser le signal sur la déclaration de variables du programme.
VAR_EXTERNAL est automatiquement créé.
3
Faites glisser le signal sur la liste de voies associée au module d'E/S.
4
Dans le programme de l'utilisateur, évaluez le code d'erreur et programmer une
réaction relative à la sécurité.
Le système est attribué à une voie d'E/S.
NOTE : le nom de signal du système pour le code d'erreur dépend du type de voie E/S.
104
33003793 03/2017
Sécurité du programme d’application
Types de variables
Présentation
En fonction de l’unité d’organisation du programme (POU) – programme, bloc fonction ou fonction
– différents types de variables peuvent être définis.
Types de variables
Le tableau ci-dessous offre une vue d’ensemble :
Type de variable
Programme
Bloc fonction
Fonction
Utilisation
VAR
+ (CONST)
+ (CONST)
+ (CONST)
Variable locale
VAR_INPUT
-
+
+
Variable d’entrée
VAR_OUTPUT
-
+
+
Variable de sortie
VAR_EXTERNAL
+
(CONST,
RETAIN*)
+
(CONST,
RETAIN*)
-
Extérieur à la/de l’autre
POU ou le niveau
global supérieur
VAR_GLOBAL
+ (CONST)
-
-
Global à la/de l’autre
POU
+ Peut être utilisé.
- Ne peut être utilisé.
CONST Les constantes ne peuvent pas être modifiées par le programme d’application (par ex.
point de commutation).
RETAIN Valeur tampon en démarrage à chaud, valeur initiale en démarrage à froid.
* Seulement si signal.
Caractéristiques principales
La caractéristique principale est l’inclusion de fonctions dans les blocs fonction que vous créez
vous-même et les fonctions dérivées des fonctions standard. Cela permet à un programme d’être
clairement structuré en modules (fonctions, blocs fonction). Chaque module peut être vu comme
une entité séparée, et une fonction importante et complexe peut aussi être créée en reliant des
modules entre eux pour former un plus grand module ou programme.
33003793 03/2017
105
Sécurité du programme d’application
Fonctions du programme d’application
Présentation
La programmation n’est sujette à aucune restriction matérielle. Les fonctions du programme
d’application peuvent être programmées selon vos besoins.
Programmation
Lors de la programmation, le mode de mise hors tension jusqu’au déclenchement doit être pris en
compte avec les entrées et les sorties physiques. Seuls les composants conformes à la norme IEC
61131-3 et leurs exigences fonctionnelles pertinentes sont utilisés dans la logique.





106
Les entrées et les sorties physiques fonctionnent généralement selon le mode de mise hors
tension jusqu’au déclenchement, c’est-à-dire que leur état sécurisé est 0.
Le programme d’application contient les fonctions logiques et/ou arithmétiques adéquates,
sans tenir compte du mode de mise hors tension jusqu’au déclenchement des entrées et des
sorties physiques.
La logique doit être désignée et documentée de façon claire afin que les erreurs puissent être
facilement localisées. Cela implique l’utilisation des diagrammes fonctionnels.
La négation peut être utilisée selon les besoins.
Les signaux d’erreur des entrées/sorties ou des modules logiques doivent être évalués par le
programmeur.
33003793 03/2017
Sécurité du programme d’application
Paramètres système de l’UC
Présentation
Les paramètres répertoriés ci-dessous déterminent les performances de l’automate en fonctionnement et sont spécifiés dans les attributs de ressource.
Les opérations autorisées pour le fonctionnement sécurisé de l’automate sont définies ici à l’aide
de l’outil de programmation (PADT) et les paramètres de sécurité sont spécifiés.
Paramètres du système
Paramètres du système de l’UC
Commutateur
Fonction
Valeur par
défaut
Paramétrage du
fonctionnement
sécurisé
Activation
principale
Les commutateurs/paramètres suivants peuvent être
modifiés en fonctionnement (= RUN) avec le PADT
ON
OFF*
Démarrage
automatique
Démarrage automatique après activation de l’UC
OFF
ON/OFF**
Démarrage/
redémarrage
autorisé
Démarrage à froid, démarrage à chaud ou reprise
immédiate par PADT en modes RUN ou STOP
ON
OFF*
Chargement
autorisé
Déclenchement du chargement pour un programme
d’application
ON
ON
Mode test
autorisé
Mode test autorisé ou interdit. En mode test, l’exécution OFF
du programme sera figée ou arrêtée. Les sorties restent
actionnées et l’exécution du programme peut se faire par
étapes en un seul cycle.
OFF
Modification des Les valeurs des variables peuvent être affichées et
variables de test définies dans les champs de test en ligne (OLT)
en ligne autorisée
OFF
OFF***
Forçage autorisé
L’entrée ou l’activation des valeurs pour les signaux sont
permises, quelle que soit la valeur actuelle du signal
logique/de processus.
OFF
Déterminé par
l’autorité
d’approbation
Arrêt sur le délai
de forçage
Arrêt de l’UC une fois le délai de forçage dépassé
ON
Déterminé par
l’autorité
d’approbation
* En mode RUN, seule la transformation de la valeur en OFF est possible.
** L’application détermine si elle est réglée sur ON ou sur OFF.
*** En mode RUN, il est uniquement possible de changer la valeur par ON.
NOTE : des sélecteurs et des paramètres supplémentaires peuvent être spécifiés pour le forçage
(voir également Forçage des signaux, page 113)
33003793 03/2017
107
Sécurité du programme d’application
Verrouillage du PES
Présentation
Le verrouillage du PES signifie que les fonctions système et l’accès de l’utilisateur sont bloqués
en fonctionnement. Cela veut dire que le programme d’application ne peut pas être manipulé. Le
degré de verrouillage dépend des exigences de sécurité quant à l’utilisation du PES. Cependant,
il peut aussi être déterminé après consultation de l’autorité d’approbation compétente pour l’usine.
Verrouillage d’un PES
La procédure suivante doit être suivie lors du verrouillage d’un PES :
Etape 1 : les valeurs ci-dessous doivent être définies sur l’automate et avant compilation (voir aussi
Génération de code, page 111) :
Commutateur
Valeur
Activation principale
TRUE
Forçage autorisé
FALSE (en fonction de l’application)
Mode test autorisé
FALSE
Démarrage/redémarrage
autorisé
TRUE
Chargement autorisé
TRUE
Démarrage automatique
TRUE/FALSE
Arrêt après le délai de forçage
TRUE (en fonction de l’application)
Etape 2 : après le chargement et le redémarrage, les sélecteurs ci-dessous doivent être changés
dans l’automate en ligne dans l’ordre suivant :
Commutateur
Valeur
Démarrage/redémarrage
autorisé
FALSE
Chargement autorisé
FALSE
Activation principale
FALSE
AVERTISSEMENT
FONCTIONNEMENT IMPREVU DE L’APPAREIL
Les commutateurs suivants ne peuvent être définis sur des valeurs différentes qu’après
consultation de l’autorité d’approbation.
Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou des
dommages matériels.
108
33003793 03/2017
Sécurité du programme d’application
Etape 3 : après consultation de l’autorité d’approbation, les commutateurs doivent être modifiés :
Commutateur
Valeur
Forçage autorisé
TRUE
Arrêt après le délai de
forçage
TRUE/FALSE
Démarrage/redémarrage
autorisé
TRUE
Démarrage automatique
TRUE
Mode test jamais vrai
AVERTISSEMENT
FONCTIONNEMENT IMPREVU DE L’APPAREIL
Pour garantir la sécurité du fonctionnement, ne jamais régler le commutateur du MODE TEST
sur TRUE.
Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou des
dommages matériels.
33003793 03/2017
109
Sécurité du programme d’application
Déverrouillage du PES
du contrôleur
Le déverrouillage du PES signifie la suppression des blocs actifs de façon à ce que le travail puisse
être exécuté sur le contrôleur. Pour déverrouiller le PES (activation principale sur ON), l’automate
doit être en mode STOP. L’activation principale ne peut pas être activée lorsque l’automate est en
marche (en mode RUN). Elle peut, cependant, être désactivée en mode RUN.
Déverrouiller le PES
Pour exécuter un autre démarrage après l’intialisation de l’UC (à la suite d’une panne de courant),
la procédure ci-dessous devra être suivie pour déverrouiller le PES :
Etape
Action
1
Régler Activation principale sur TRUE.
2
Régler Démarrage/redémarrage sur TRUE.
3
Démarrer le programme d’application.
Après avoir effectué les modifications sur le contrôleur, le SPE devrait être verrouillé de nouveau
(voir Verrouillage du PES, page 108).
110
33003793 03/2017
Sécurité du programme d’application
Génération de code
Présentation
Le code est généré après que le programme d’application a été entièrement saisi et que les
entrées/sorties de l’automate ont été affectées. Le CRC de configuration du root.config est aussi
créé à ce moment. Il doit être compilé deux fois et le CRC de configuration doit être identique dans
les deux cycles de compilation.
Signature de l’UC
C’est la signature de tout l’UC et de la configuration des modules E/S. Elle s’affiche comme un
code hexadécimal au format 32 bits. Tous les composants peuvent être configurés ou modifiés, y
compris la logique, les variables et les paramètres de commutateur.
33003793 03/2017
111
Sécurité du programme d’application
Chargement et démarrage du programme d’application
Présentation
Le processus de chargement d’un système PES de XPSMF60/XPSMF40 peut uniquement avoir
lieu lorsque le PES a été réglé sur STOP.
Pas de chargement en ligne
Le chargement en ligne est impossible actuellement.
Un seul programme
Seul un programme d’application peut être chargé dans le PES pertinent. Tout le chargement du
programme d’application est surveillé. Le programme d’application peut donc être démarré, c’està-dire que l’exécution cyclique des routines commence.
112
33003793 03/2017
Sécurité du programme d’application
Forçage des signaux
Présentation
Le forçage est l’application de valeurs aux signaux quelle que soit la valeur actuelle d’un signal
depuis le processus connecté ou le résultat d’une opération logique. Le signal peut être par
exemple affecté aux entrées, aux sorties ou utilisé pour la communication.
Commutateurs et paramètres de forçage
Le tableau suivant présente les commutateurs et les paramètres de forçage :
Commutateur
Fonction
Valeur par
défaut
Paramétrage du
fonctionnement sécurisé
Forçage autorisé Activer la fonction de
forçage
OFF
OFF/ON*
Arrêt sur le délai
de forçage
Arrêt de l’UC après
dépassement du
temps de forçage
ON
ON
Paramètre
Fonction
Valeur par
défaut
Affichage
Forçage activé
Forçage actif
OFF
OFF
ON
Temps de
forçage restant
0
Limite de temps
appliquée à la valeur
de forçage, temps (en
secondes)
0
Temps de forçage
restant ou -1*
* Consulter les avertissements ci-dessous :
Les commutateurs Forçage autorisé et Arrêt après le délai de forçagene peuvent pas être modifiés
en fonctionnement avec un PES verrouillé, c’est-à-dire que ce paramètre aurait déjà dû être défini
avant de verrouiller le PES.
AVERTISSEMENT
FONCTIONNEMENT IMPREVU DE L’APPAREIL
Le commutateur Forçage autorisé ne doit être défini qu’après consultation de l’autorité
d’approbation.
Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou des
dommages matériels.
NOTE : pour un forçage sans limite de temps, la valeur -1 devra être définie pour le temps de
forçage.
33003793 03/2017
113
Sécurité du programme d’application
AVERTISSEMENT
FONCTIONNEMENT IMPREVU DE L’APPAREIL
Le forçage sans limite de temps n’est possible qu’après consultation de l’autorité d’approbation
pour l’usine.
Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou des
dommages matériels.
NOTE : le forçage permet que le forçage central par commutateur via l’UC soit permis ou interdit.
Commutateur de l’UC
Si le commutateur de l’UC
forçage autorisé est
Alors...
défini
 le forçage est autorisé.
 les valeurs de forçage spécifiées ne sont prises en
compte que si le commutateur de forçage approprié
est défini pour la source de données.
non défini
 le forçage n’est pas possible (paramètre par défaut).
 les valeurs de forçage entrées restent dans le système
mais n’ont pas d’effet.
Arrêt après le délai de forçage
Après que le temps de forçage est écoulé ou à l’arrêt du forçage, le forçage est terminé et la valeur
de processus est à nouveau activée.
Si Arrêt après le délai de forçage est Alors...
défini
dans les propriétés de l’automate (voir le champ
d’informations), l’automate entre en état STOP après
la réactivation du temps de forçage et des valeurs de
processus.
non défini
l’automate n’est pas arrêté après le temps de
forçage. Le forçage est désactivé et les valeurs de
forçage (valeurs de forçage R) sont échangées avec
leurs valeurs de processus.
Cela peut générer des réactions imprévues de tout le système.
114
33003793 03/2017
Sécurité du programme d’application
Avec le bouton Stop dans l’éditeur de forçage, le forçage est arrêté manuellement. Dans ce cas,
l’automate reste en état RUN car le délai n’a pas été atteint et la réaction Arrêt sur le délai de
forçage n’a pas été définie.
AVERTISSEMENT
FONCTIONNEMENT IMPREVU DE L’APPAREIL
Le forçage est uniquement autorisé après consultation de l’autorité d’approbation compétente
pour l’usine.
Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou des
dommages matériels.
Forçage
Lors de l’exécution du forçage, le responsable doit s’assurer qu’un contrôle de sécurité du
processus suffisant est mis en œuvre à travers d’autres mesures techniques et organisationnelles.
La période pendant laquelle le forçage est appliqué peut être limitée. Si le temps de forçage est
dépassé, vous pouvez spécifier si l’UC se mettra en état STOP ou si la valeur de forçage n’est plus
applicable et que le fonctionnement normal reprend. Le dépassement du temps de forçage a donc
toujours un impact sur le programme d’application ainsi que sur le processus.
Valeur de forçage
La valeur de forçage est enregistrée dans l’UC. Si l’UC passe du mode RUN au mode STOP, le
forçage est désactivé pour empêcher l’automate d’être démarré par mégarde avec des signaux de
forçage actifs.
Forçage à l’aide de marqueurs de force
Les marqueurs de force sont une autre façon de forcer les signaux, par exemple pour le débogage.
Les marqueurs de force sont des blocs fonction qui peuvent être utilisés dans le programme pour
permettre le forçage de signaux uniques. Pour plus d’informations, consulter l’aide en ligne de
XPSMFWIN.
AVERTISSEMENT
FONCTIONNEMENT IMPREVU DE L’APPAREIL
Les marqueurs de force ne sont pas influencés par les paramètres des commutateurs de forçage.
Par conséquent, il faut supprimer tous les marqueurs de force du programme d’application avant
de le mettre en fonctionnement de sécurité.
Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou des
dommages matériels.
33003793 03/2017
115
Sécurité du programme d’application
Test en ligne
Présentation
La fonction Test en ligne permet d’utiliser les champs OLT dans la logique pour afficher et
paramétrer les variables au cours du fonctionnement de l’automate.
Commutateur de l’UC
Modification des variables de test en ligne autorisée
Non défini
Défini
La modification des variables dans Test en
ligne n’est pas possible.
La modification des variables dans Test en
ligne est possible
Si le commutateur Modification des variables
dans OLT autorisée est désactivé, alors les
valeurs des signaux/variables peuvent
uniquement être affichées dans les champs
OLT mais pas modifiées.
Si le commutateur Modification des variables
dans OLT autorisée est activé, alors les
valeurs des variables peuvent être affichées
et définies dans les champs OLT. La valeur
définie est valide uniquement jusqu’à ce
qu’une fonction dans la logique ne l’écrase.
Pour plus d’informations sur l’utilisation des champs OLT, consulter l’index Champ OLT dans l’aide
en ligne de la Gestion de projet XPSMFWIN.
116
33003793 03/2017
Sécurité du programme d’application
Documentation du programme pour les applications de sécurité
Présentation
Le système de programmation XPSMFWIN permet d’imprimer automatiquement la documentation
du projet.
Principaux types de documentation
Les principaux types de documentation sont








déclaration d’interface
liste des signaux
logique
description des types de données
configurations pour le système, les modules et les paramètres système
configuration du réseau
liste à références croisées des signaux
informations sur le générateur de code
Acceptation fonctionnelle
La documentation est une partie de l’acceptation fonctionnelle d’un système nécessitant
l’approbation d’une autorité (par exemple TÜV). L’acceptation fonctionnelle ne porte que sur les
fonctions utilisateur, mais pas sur les modules de sécurité ni sur les automates programmables du
système XPSMF60/XPSMF40 ayant déjà subi des essais type.
33003793 03/2017
117
Sécurité du programme d’application
Approbation par l’autorité de test
Présentation
Schneider Electric recommande d'impliquer l'autorité de test le plus tôt possible lors de la
conception d'un système soumis à approbation
Ce test d'acceptation ne porte que sur les fonctions utilisateur, mais pas sur les modules de
sécurité ni sur les automates programmables du système de sécurité ayant déjà été approuvés.
118
33003793 03/2017
XPSMF60/XPSMF40
Configuration de la communication
33003793 03/2017
Chapitre 7
Configuration de la communication
Configuration de la communication
Présentation
Ce chapitre donne une présentation générale de la configuration de communication.
Contenu de ce chapitre
Ce chapitre contient les sous-chapitres suivants :
Sous-chapitre
Sujet
Page
7.1
Communication ne concernant pas la sécurité
120
7.2
Communication de sécurité (poste à poste)
121
33003793 03/2017
119
Configuration de la communication
Sous-chapitre 7.1
Communication ne concernant pas la sécurité
Communication ne concernant pas la sécurité
Généralités
Présentation
En plus des signaux physiques d’entrée/de sortie, les signaux peuvent aussi être échangés avec
un autre système via une liaison des données. Les variables requises pour cela sont déclarées
dans le protocole à l’aide du système de programmation XPSMFWIN.
Les données peuvent être échangées à la fois aux formats de lecture et d’écriture.
AVERTISSEMENT
FONCTIONNEMENT IMPREVU DE L’APPAREIL
N’utilisez pas de données importées depuis des « sources non sécurisées » pour les fonctions
de sécurité du programme d’application.
Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou des
dommages matériels.
Selon le périphérique esclave Modbus, Modbus TCP et Profibus DP sont disponibles pour des
communications ne concernant pas la sécurité.
Interfaces des versions XPSMF40
Version XPSMF
Interface de l’esclave Interface de l’esclave Serveur TCP Modbus
Modbus
Profibus
sur SafeEthernet
4000
-
-
-
4002
-
-
+
4020
+
-
-
4022
+
-
+
4040
-
+
-
4042
-
+
+
+ La version XPSMF40 possède l’interface
- La version XPSMF40 ne possède pas l’interface
120
33003793 03/2017
Configuration de la communication
Sous-chapitre 7.2
Communication de sécurité (poste à poste)
Communication de sécurité (poste à poste)
Présentation
Ce chapitre décrit la communication de sécurité.
Contenu de ce sous-chapitre
Ce sous-chapitre contient les sujets suivants :
Sujet
Page
Général
122
Receive TMO
123
Calculer le temps de réponse maximum
125
Calcul du temps de réponse max. avec des modules E/S à distance
126
33003793 03/2017
121
Configuration de la communication
Général
Présentation
La communication de sécurité via SafeEthernet est certifiée jusqu'à SIL 3.
La surveillance d’une communication de sécurité doit être configurée dans l’éditeur poste à poste.
Le temps de surveillance de Receive TMO doit également être défini. Si aucun autre signal
importé n’est reçu pendant le temps spécifié, les signaux sont définis sur leurs valeurs initiales
(spécifiées par l’utilisateur) dans le PES.
AVERTISSEMENT
FONCTIONNEMENT IMPRÉVU DE L'ÉQUIPEMENT
Receive TMO est un paramètre de sécurité. La valeur d’un signal doit être présente plus
longtemps que Receive TMO ou être surveillée via une boucle avec retour, si chaque valeur doit
être transférée.
Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou des
dommages matériels.
122
33003793 03/2017
Configuration de la communication
Receive TMO
Présentation
Receive TMO est le temps de contrôle sur le PES 1 pendant lequel une réponse correcte doit être
reçue du PES 2.
NOTE : Receive TMO s’applique également en sens inverse, soit du PES 2 au PES 1.
Communication de sécurité
Receive TMO (de sécurité) fait partie du temps de réaction du cas le plus
défavorable TR (voir le temps de réponse maximum, Calculer le temps de réponse maximum,
page 125). Receive TMO doit être calculé et saisi dans l’éditeur poste à poste.
Si le partenaire de communication ne reçoit pas de réponse correcte dans Receive TMO, la
communication de sécurité est fermée et tous les signaux importés sur ce canal de communication
seront définis sur les valeurs initiales définies par vous.
Exigences
Les exigences ci-dessous doivent être satisfaites pour un réseau dans lequel la perte potentielle
de paquets de données peut avoir lieu :
Receive TMO = 2 * Temps de réponse (minimum)
(valide pour le profil Fast & Noisy)
Si l’exigence est
Alors...
satisfaite
la perte d’au moins un paquet de données peut être tolérée
sans que la connexion poste à poste ne soit affectée.
non satisfaite
la disponibilité d’une connexion poste à poste peut
uniquement être garantie dans un réseau sans collision et
sans erreur. Cependant, cela n’affecte pas la sécurité de l’UC.
NOTE : la valeur maximale autorisée pour Receive TMO dépend du processus d’application et
est définie dans l’éditeur poste à poste ainsi que le temps de réponse maximum attendu et le profil.
33003793 03/2017
123
Configuration de la communication
Représentation
Exemple de valeurs pour les paramètres d’une connexion poste à poste
124
33003793 03/2017
Configuration de la communication
Calculer le temps de réponse maximum
Présentation
Le temps de réponse TR maximum (cas le plus défavorable) entre le changement d’un
transmetteur du PES 1 (In) et la réponse de la sortie du PES 2 (Out) peut être calculé comme suit.
Représentation
Symbole
Description
TR
cas le plus défavorable
t1
2 * temps du chien de garde d’un PES 1
t2
0 ms, si le Débit de production = 0 (cas normal),
sinon Réception TMO + temps du chien de garde du PES 1
t3
ReceiveTMO
t4
2 * temps du chien de garde d’un PES 2
Le temps TR peut être trouvé dans l’éditeur poste à poste dans la colonne Cas le plus défavorable.
Le temps de réponse maximum dépend du processus et doit être déterminé avec l’organisme/le
service d’approbation.
33003793 03/2017
125
Configuration de la communication
Calcul du temps de réponse max. avec des modules E/S à distance
Présentation
Le temps de réponse maximum TR entre le changement d’un transmetteur (In) du premier module
E/S à distance (par ex. XPSMF3 DIO20802) et la réponse de la sortie du deuxième module E/S
(Out) peut être calculé comme suit :
Représentation
Formulaire
(chemin d’entrée)
(chemin de sortie)
Symbole Description
TR
cas le plus défavorable
t1
2 * temps du chien de garde du module E/S à distance 1
t2
0 ms, si le Débit de production = 0 (cas normal),
sinon ReceiveTMO 1 + temps du chien de garde du module E/S à distance 1
t3
ReceiveTMO1
t4
2 * temps du chien de garde du PES
t5
ReceiveTMO2
t6
0 ms, si le Débit de production = 0 (cas normal),
sinon ReceiveTMO 2 + temps du chien de garde du PES
t7
2 * temps du chien de garde du module E/S à distance 2
NOTE : les modules E/S à distance 1 et 2 peuvent être identiques. Les temps s’appliquent
également si un PES est utilisé à la place d’un module E/S à distance.
126
33003793 03/2017
Configuration de la communication
Termes
Terme
Description
ReceiveTMO
Le temps de contrôle dans le PES 1 pendant lequel une
réponse valide doit être reçue du PES 2. Après expiration du
temps, la communication de sécurité est fermée.
ReceiveTMO1
Module E/S à distance 1 → PES
ReceiveTMO2
PES → module E/S à distance 2
Débit de production
Temps minimum entre deux transmissions de données
Temps du chien de garde
Durée maximale autorisée du cycle RUN d’un PES
Cas le plus défavorable
Temps de réponse maximum entre le transfert du changement
de signal d’une entrée physique (In) d’un PES 1 et le
changement d’une sortie physique (Out) d’un PES 2.
Les données sont transférées à l’aide d’un protocole de sécurité.
ATTENTION
ACCES NON AUTORISE
L’opérateur doit garantir que l’Ethernet utilisé pour la communication poste à poste est protégé
de façon adéquate contre un accès non autorisé (c’est-à-dire des pirates). La nature et l’étendue
des mesures à prendre doivent être déterminées en collaboration avec les autorités
d’approbation.
Le non-respect de ces instructions peut provoquer des blessures ou des dommages matériels.
33003793 03/2017
127
Configuration de la communication
128
33003793 03/2017
XPSMF60/XPSMF40
Utilisation dans les dispositifs d’alarme incendie centraux
33003793 03/2017
Chapitre 8
Utilisation dans les dispositifs d’alarme incendie centraux
Utilisation dans les dispositifs d’alarme incendie centraux
Généralités
Présentation
Tous les systèmes XPSMF60 avec des entrées analogiques peuvent être utilisés pour les
dispositifs d’alarme incendie centraux en accord avec les normes DIN EN 54-2 et NFPA 72.
Le programme d’application doit accomplir les fonctions des dispositifs d’alarme incendie
centralisés en conformité avec les normes citées.
Temps de cycle maximum
Le temps de cycle maximum requis de 10 secondes (DIN EN 54-2) pour les dispositifs d’alarme
incendie centraux peut facilement être réalisé car les temps de cycle de ces dispositifs peuvent
être mesurés en millisecondes. De même, le temps de sécurité requis de 1 seconde (si
nécessaire), peut aussi être facilement réalisé (temps de réponse à une erreur).
Selon la norme EN 54-2, le dispositif d'alarme incendie doit rester 100 secondes à l'état de rapport
d'erreur après que l'XPSMF60 a reçu ce rapport.
Les alarmes incendie sont connectées à l'aide du mode de mise en tension jusqu’au
déclenchement avec contrôle des lignes pour la détection des courts-circuits et coupures de
lignes. Les entrées numériques et analogiques peuvent être utilisées sur le module d’entrée
analogique XPSMF AI801.
Représentation
Câblage des alarmes incendie
33003793 03/2017
129
Utilisation dans les dispositifs d’alarme incendie centraux
Symbole
Description
M
Alarme incendie
REOL
Résistance d'extrémité sur le dernier capteur dans le circuit
RL
Limite du courant maximal autorisé du circuit
RDérivation
Résistance de mesure
Résistance de REOL, RL et de RDérivation
Pour une application, la résistance de REOL, RLet RDérivation doit être calculée selon les capteurs
utilisés et selon le nombre de capteurs par circuit d'alarme. Les données nécessaires sont
contenues dans la fiche technique correspondante du fabricant des capteurs.
Coupure de ligne et court-circuit
Les sorties d'alarme, utilisées pour activer les voyants, sirènes, etc. fonctionnent à l'aide du mode
de mise en tension jusqu’au déclenchement. Il est nécessaire de surveiller les sorties pour détecter
tout court-circuit ou coupure. Cela peut être fait en renvoyant les signaux de sortie directement de
l'actionneur aux entrées.
Le courant dans le circuit de l'actionneur doit de préférence être surveillé via une entrée analogique
avec une dérivation appropriée. Un montage en série de diodes Zener et de série protège l'entrée
contre les surtensions en cas de court-circuit.
Pour permettre une surveillance explicite des coupures (sur les sorties hors tension (DO)), une
alimentation du transmetteur doit être ajoutée sur les entrées analogiques (voir le schéma cidessous).
130
33003793 03/2017
Utilisation dans les dispositifs d’alarme incendie centraux
Représentation
Exemple de surveillance de coupure de ligne et de court-circuit pour les sorties numériques (circuit
d’actionneur)
Surveillance des courts-circuits
Dans le chapitre Surveillance des lignes de l’XPSMF35, vous trouverez un exemple de
surveillance des courts-circuits et des coupures de lignes des actionneurs via des entrées
analogiques.
Les systèmes d’affichage, panneaux de voyants, affichages à diodes, affichages alphanumériques, alarmes sonores, etc. peuvent tous être contrôlés à l’aide du programme d’application
approprié.
L'acheminement des signaux de défaut par les modules d'entrée et de sortie ou vers un dispositif
d'acheminement doit se faire à l'aide du mode de mise hors tension jusqu’au déclenchement.
33003793 03/2017
131
Utilisation dans les dispositifs d’alarme incendie centraux
Alarmes incendie
Les alarmes incendie peuvent être transmises d'un système XPSMF60 à un autre à l'aide de la
norme de communication Ethernet (OPC) disponible. Toute défaillance de communication doit être
signalée.
Les systèmes XPSMF60 utilisés comme dispositifs d’alarme incendie centralisés doivent avoir une
alimentation redondante. Des précautions doivent également être prises contre les pannes
d'alimentation, par exemple l'utilisation d'une sirène alimentée par batterie. Le fonctionnement ne
doit pas être interrompu lors du passage de l'alimentation principale à l'alimentation secondaire.
Les baisses de tension ne doivent pas durer plus de 10 ms.
Signaux d’erreur
En cas d’erreur dans le système, les signaux du système spécifiés dans le programme
d’application sont écrits par le système d’exploitation. Cela permet de programmer des signaux
d'erreur indiquant les erreurs détectées par le système. En cas d'erreur, les entrées et sorties de
sécurité sont déconnectées. Par exemple, des signaux 0 sont appliqués à toutes les voies des
entrées défectueuses et toutes les voies des sorties défectueuses sont déconnectées.
132
33003793 03/2017
XPSMF60/XPSMF40
Conditions de test
33003793 03/2017
Chapitre 9
Conditions de test
Conditions de test
Présentation
Ce chapitre donne une présentation générale des conditions de test.
Contenu de ce chapitre
Ce chapitre contient les sujets suivants :
Sujet
Page
Normes et conditions courantes
134
Conditions climatiques
135
Conditions mécaniques
136
Conditions de compatibilité électromagnétique (CEM)
137
Tension d'alimentation
138
33003793 03/2017
133
Conditions de test
Normes et conditions courantes
Normes pour CEM
Les périphériques ont été développés conformément aux normes suivantes sur la compatibilité
électromagnétique (CEM), le climat et l’environnement.
IEC/EN 61131-2
Automates programmables, partie 2
Exigences sur les matériels et tests
IEC/EN 61000-6-2
CEM
Normes génériques, partie 6-2
Immunité pour les environnements industriels
IEC/EN 61000-6-4
CEM
Norme d’émission générique
Environnement industriel
Conditions courantes
Pour utiliser les systèmes d’automates XPSMF60/XPSMF40 de sécurité, les conditions courantes
ci-dessous doivent être remplies.
134
Classe de protection
Classe de protection II selon la norme IEC/EN 61131-2
Pollution
Degré de pollution II selon la norme IEC/EN 61131-2
Altitude
< 2000 m
Boîtier
Standard : IP 20
Si les normes applicatives concernées l'exigent (ex. EN
60204, EN 15849), l'appareil doit être installé dans un
boîtier adapté (ex. IP 54).
33003793 03/2017
Conditions de test
Conditions climatiques
Principales valeurs et limites de test
Les principales valeurs limites et de test des conditions climatiques sont indiquées dans le tableau
suivant :
IEC/EN 61131-2
Chapitre 6.3.4
Tests climatiques
Température, fonctionnement : 0...60 °C (32...140 °F)
(Limites de test -10...+70 °C (14...158 °F))
Température de stockage : -40...85 °C (-40...185 °F)
6.3.4.2
Test de chaleur sèche et de résistance au froid :
70 °C / -25 °C (158 °F / -13 °F), 96 h, alimentation de l'appareil en
test non connectée
6.3.4.3
Test de changement de température, de résistance et d’immunité
thermique :
-40 °C / 70 °C (-40 °F / 158 °F) et 0 °C / 55 °C (32 °F / 131 °F),
Alimentation de l'appareil en test non connectée
6.3.4.4
Test de résistance cyclique à la chaleur humide :
25 °C / 55 °C (77 F / 131 °F), 95 % d’humidité relative,
Alimentation de l'appareil en test non connectée
33003793 03/2017
135
Conditions de test
Conditions mécaniques
Principales valeurs et limites de test
Les principales valeurs limites et test des conditions mécaniques sont répertoriées dans le tableau
suivant.
IEC/EN 61131-2
Chapitre 6.3.5
Tests mécaniques
Test de vibrations, en fonctionnement :
5...9 Hz / 3,5 mm (0.137 in)
9...150 Hz / 1 g, appareil en test en fonctionnement, 10 cycles par axe
6.3.5.2
136
Test d’immunité aux chocs :
15 g, 11 ms, appareil en test en fonctionnement, 2 cycles par axe, 3 chocs
par axe (18 chocs)
33003793 03/2017
Conditions de test
Conditions de compatibilité électromagnétique (CEM)
Principaux tests et valeurs limites
Les principaux tests et valeurs limites des conditions de CEM sont indiqués dans les tableaux
suivants :
IEC/EN 61131-2
Tests d'immunité aux interférences
Critère FS
IEC/EN 61000-4-2
Test de décharges électrostatiques : 6 kV par
contact, 8 kV par décharge aérienne
6 kV, 8 kV
IEC/EN 61000-4-3
Test de parasites haute fréquence (RFI) (10 V/m) : –
–
80 MHz à 2 GHz, 80 % AM
Test de parasites haute fréquence (RFI) (3 V/m) : 20 V/m
2 GHz à 3 GHz, 80 % AM :
Test de parasites haute fréquence (RFI) (20 V/m) :
80 MHz à 1 GHz, 80 % AM
IEC/EN 61000-4-4
Test de salves :
Lignes d'alimentation 4 kV
Lignes de signaux 2 kV
IEC/EN 61000-4-12
Test des oscillations amorties :
2.5 kV L-, L+ / PE
1 kV L+ / L-
4 kV
2 kV
–
IEC/EN 61000-6-2
Tests d'immunité aux interférences
Critère FS
IEC/EN 61000-4-6
Haute fréquence, asymétrique :
10 V, 150 kHz...80 MHz, AM
20 V, fréquences ISM, 80 % AM
10 V
IEC/EN 61000-4-3
pulsé à 900 MHz
–
IEC/EN 61000-4-5
Surtension :
Lignes d'alimentation : 2 kV CM, 1 kV DM
Lignes de signaux : 2 kV CM, CA E/S : 1 kV DM
2 kV /1 kV
2 kV
33003793 03/2017
137
Conditions de test
Tension d'alimentation
Principales valeurs et limites de test
Les principales valeurs et limites de test d’alimentation de l’appareil sont indiquées dans le tableau
suivant :
IEC/EN 61131-2
Chapitre 6.3.7
Vérification des caractéristiques de l'alimentation CC
L’alimentation doit être conforme soit à la norme IEC/EN 61131-2,
soit à
SELV (très basse tension de sécurité), soit à
PELV (très basse tension de protection)
La protection par fusible des périphériques XPSMF60/XPSMF40
doit être conforme aux indications de ce manuel
138
6.3.7.1.1
Test de plage de tension :
24 V CC, -20 à 25 % (19,2 à 30,0 V CC)
6.3.7.2.1
Test d’immunité aux interruptions momentanées :
CC, PS 2 : 10 ms
6.3.7.4.1
Test d'inversion de polarité de l'alimentation CC.
33003793 03/2017
XPSMF60/XPSMF40
Glossaire
33003793 03/2017
Glossaire
A
AI
AIO
AO
AWG
analog input (entrée analogique)
analog input/output (entrée/sortie analogique)
analog output (sortie analogique)
american wire gauge (calibre américain des diamètres des câbles)
C
CEM
COM
CRC
compatibilité électromagnétique
module de communication
contrôle par redondance cyclique
D
DI
DIO
DIP
DO
digital input (entrée numérique)
digital input/output (entrée/sortie numérique)
dual in-line package (interrupteur à bascule à deux positions possibles : marche/arrêt ou 1/0)
digital output (sortie numérique)
33003793 03/2017
139
Glossaire
F
FB
FBD
FTT
FTZ
field bus (bus de terrain)
functional block diagram (schéma fonctionnel)
fault tolerance time (temps de résilience)
voir FTT.
H
H (signal)
signal haut
I
IEC
commission électrotechnique internationale
L
L (signal)
signal bas (low)
L/E
lecture/écriture
M
MEZ
MFOT
voir MFOT.
multi-fault occurrence time (temps d'occurrence de défauts multiples)
O
OLE
140
object linking and embedding (liaison et incorporation d'objets)
33003793 03/2017
Glossaire
OPC
OLE for Process Control (OLE pour contrôle de processus)
OSI (modèle)
open system interconnection model (modèle de référence d'interconnexion de systèmes ouverts)
P
PADT (PC)
programming and debugging tool (outils de programmation et de mise au point, selon la norme IEC
61131-3)
PELV
protective extra low voltage (très basse tension de protection)
PES (APS)
programmable electronic system (système électronique programmable)
PFD
PFH
probability of failure on demand (probabilité d’échec sur demande)
probability of failure per hour (probabilité d’échec par heure)
R
R
RC
read (lecture)
requirement class (classe d'exigences)
S
SELV
SFC
SIL
SNTP
SRS
safety extra low voltage (très basse tension de sécurité)
sequential function chart (GRAFCET – diagramme fonctionnel en séquence)
Safety Integrity Level (niveau d'intégrité de sûreté, selon la norme IEC 61508)
Simple Network Time Protocol (protocole de temps réseau simple, REC 1769)
system-rack-slot (système-rack-emplacement)
33003793 03/2017
141
Glossaire
T
TMO
timeout (temps dépassé)
U
UC
unité centrale
W
W
WD
142
write (écriture)
watchdog (chien de garde)
33003793 03/2017
XPSMF60/XPSMF40
Index
33003793 03/2017
Index
A
D
B
E
alarmes incendie, 132
alimentation, 26
arrêt après le délai de forçage, 114
auto-tests, 29
automate, 15, 34, 48, 60, 90, 101
paramètres, 114
besoins
liste de contrôle, 57, 78
C
capteur, 129
capteurs, 101
chien de garde, 23, 29
COM, 88
communication, 20
de sécurité, 121
ne concernant pas la sécurité, 120
communication de sécurité, 121
communication ne concernant pas la sécurité, 120
commutateur
UC, 114, 116
commutateurs, 113
automate, 108
concept de sécurité du XPSMFWIN, 86, 86
configuration de la communication, 119, 119
contrôle des lignes, 45, 68
contrôleur, 16, 22, 134
coupure de ligne, 130
court-circuit, 130
CPU, 23, 27, 30
CRC, 88
configuration, 111
33003793 03/2017
définir les valeurs
automate, 108
Déverrouillage
du PES, 110
documentation, 117
documentation du projet, 117
entrées, 33
erreur, 50, 55
code, 40
diagnostic, 31
exigences, 123
dépendantes, 18, 19
indépendantes, 18, 19
F
fonctions, 84, 105
forçage, 91, 113
formulaire, 125, 126
G
générateur de code, 82
L
liste de contrôle, 57, 78, 95
M
module compteur
XPSMF60, 54
143
Index
P
PADT, 94
paramètres, 113
de l’automate, 90
de l’UC, 107
poste à poste, 124
PES, 23, 94
verrouillage, 108
poste à poste, 121
connexion, 124
Présentation, 110
probabilité de défaillance horaire (PFH), 15
processus de chargement, 112
puissance surfacique (PFD), 15
R
receive TMO, 123
relais de sécurité
xpsmf do801, 70
S
schéma
fonctionnel, 27
module compteur, 56
XPSMF AI801, 52
XPSMF AO801, 77
XPSMF CIO2401, 56
XPSMF DIO241601, 41, 66
XPSMF DO801, 72
XPSMF40, 41, 66
signaux, 103, 113
d’entrée, 39
d’erreur, 132
entrée, 38
état, 35
sortie, 61
SIL, 36
sortie
pulsée, 45
sorties, 59, 74
système d’exploitation, 83
systèmes XPSMF, 31
144
T
temps
de cycle maximum, 129
de réponse, 126
réponse, 76, 125
temps de
sécurité, 22
temps de sécurité, 22
termes, 127
test, 87
fonctions, 63, 70, 75
tests
auto-tests, 29
U
UC, 31, 61, 88, 111, 114, 116
paramètres du système, 107
V
valeurs, 74, 114, 124
test et limite, 135, 136, 137, 138
variables, 103, 105
X
XPSMF AI801, 48
XPSMF60/XPSMF40, 15, 16
XPSMFWIN, 82
33003793 03/2017