Función de seguridad: Bloqueo y monitoreo de puerta Productos: TLS3-GD2 Controlador GuardLogix® Módulos POINT Guard Safety I/O™ Clasificación de seguridad: PLe, Cat. 4 según EN ISO 13849.1 2008 Tabla de contenido Introducción 3 Información importante para el usuario 3 Realización de la función de seguridad 4 Información general sobre seguridad 5 Instalación y cableado 7 Configuración 8 Programación 15 Restablecimiento de flanco descendente 19 Cálculo del nivel de rendimiento 19 Plan de verificación y validación 21 Recursos adicionales 24 3 Introducción Esta nota de aplicación sobre la función de seguridad explica cómo cablear, configurar y programar un controlador Compact GuardLogix® y un módulo POINT Guard I/O™ para monitorear y bloquear un interruptor de enclavamiento TLS3-GD2 montado en una puerta. Si se abre o desbloquea la compuerta, o si se detecta un fallo en el circuito de monitoreo, el controlador GuardLogix desactiva el dispositivo de control final, en este caso una pareja redundante de contactores 100S. En este ejemplo se utiliza un controlador Compact GuardLogix, pero es aplicable a cualquier controlador GuardLogix. Este ejemplo utiliza un interruptor de enclavamiento TLS3-GD2, pero se aplica a interruptores de enclavamiento de potencia para desbloquear con por lo menos 2 contactos de puerta 2 N/C y por lo menos un contacto de bloqueo N/C. Los usuarios de los interruptores de potencia para desbloquear pueden utilizar este documento con un cambio sencillo en la lógica de escalera. Este ejemplo supone que se han retirado los puentes en el interruptor TLS3-GD2 y que está disponible retroalimentación separada para el bloqueo y para la puerta. Los cálculos de la herramienta SISTEMA mostrados posteriormente en este documento tendrían que recalcularse usando productos reales. Información importante para el usuario Los equipos de estado sólido tienen características de operación distintas a las de los equipos electromecánicos. El documento Safety Guidelines for the Application, Installation and Maintenance of Solid State Controls (publicación SGI-1.1 disponible en la oficina local de ventas de Rockwell Automation® o en línea en http://www.rockwellautomation.com/literature) describe algunas diferencias importantes entre los equipos de estado sólido y los dispositivos electromecánicos cableados. Debido a esta diferencia y también a la amplia variedad de usos de los equipos de estado sólido, todas las personas responsables de aplicarlos primero deben asegurarse de la idoneidad de cada una de las aplicaciones concebidas con estos equipos. Bajo ninguna circunstancia Rockwell Automation Inc. será responsable de daños indirectos o de consecuencia que resulten del uso o de la aplicación de este equipo. Los ejemplos y los diagramas que aparecen en este manual se incluyen únicamente con fines ilustrativos. Debido a las muchas variables y a los numerosos requisitos relacionados con cualquier instalación en particular, Rockwell Automation, Inc., no puede hacerse responsable ni asumir obligaciones por el uso de equipos basado en ejemplos y diagramas. Rockwell Automation, Inc., no asume ninguna obligación de patente con respecto al uso de información, circuitos, equipo o software descritos en este manual. Se prohíbe la reproducción total o parcial del contenido de este manual sin la autorización por escrito de Rockwell Automation, Inc. 4 Realización de la función de seguridad: Evaluación de riesgo El nivel de rendimiento requerido es resultado de la evaluación de riesgo, y se refiere a la magnitud de reducción de riesgo que realizan los componentes relacionados con la seguridad del sistema de control. Parte del proceso de reducción de riesgo es determinar las funciones de seguridad de la máquina. A los efectos del presente documento, el nivel supuesto de rendimiento requerido es categoría 4, PLe. De: Evaluación de riesgo (ISO 12100) 1 Identificación de funciones de seguridad 2 Especificación de características de cada función de seguridad 3 Determinación de PL (PLr) requerido para cada función de seguridad Para: Realización y evaluación de PL Función de seguridad de enclavamiento y bloqueo La función de seguridad es la desconexión de la alimentación eléctrica del peligro cuando el sistema de seguridad detecta que se abrió la puerta o que el bloqueo se ha energizado. Requisitos de la función de seguridad El acceso al movimiento peligroso se impide mediante una puerta de guarda enclavada con seguridad con bloqueo. Una vez que se desconecte la alimentación eléctrica del motor, la puerta de guarda permanecerá cerrada y bloqueada por un tiempo predeterminado para confirmar que se detuvo el movimiento peligroso. En dicho momento, el operador puede desbloquear la puerta conectando la alimentación eléctrica al sistema de bloqueo de guarda. La puerta es monitoreada mientras está abierta para confirmar un arranque inesperado. Cuando se cierra la puerta, el movimiento peligroso y la conexión de alimentación eléctrica al motor no continúan mientras no se realice una segunda acción (oprimir el botón de arranque). Antes de la siguiente demanda de seguridad se detectan los fallos en el interruptor de enclavamiento de puerta, en los terminales de cableado o en el controlador de seguridad. La tiempo de paro de la máquina debe establecerse de modo que el movimiento peligroso se detenga antes de que el usuario llegue al peligro. La función de seguridad en este ejemplo puede conectar e interrumpir la alimentación eléctrica a los motores con clasificación de 9 A, 600 VCA. La función de seguridad cumple con los requisitos de categoría 4, nivel de rendimiento “e” (Cat 4, PLe), según ISO 13849-1, y SIL3 según IEC 62061, así como operación de control confiable según ANSI B11.19. 5 Este manual contiene notas de seguridad en cada una de las circunstancias en que se estimen necesarias. Advertencia: Identifica información acerca de prácticas o de circunstancias que pueden provocar una explosión en un ambiente peligroso, lo cual podría producir lesiones personales o la muerte, daños materiales o pérdidas económicas. IMPORTANTE Identifica información de suma importancia para comprender y aplicar correctamente el producto. Atención: Identifica información sobre las prácticas o las circunstancias que pueden producir lesiones personales o la muerte, daños materiales o pérdidas económicas. Los mensajes de Atención le ayudan a identificar los peligros y a reconocer las consecuencias. Peligro de choque: Puede haber etiquetas en el exterior o en el interior del equipo (por ejemplo, en un variador o en un motor) para advertir sobre la posible presencia de voltajes peligrosos. Peligro de quemadura: En el equipo o dentro del mismo puede haber etiquetas (por ejemplo, en un variador o en un motor) a fin de advertir acerca de superficies que pueden llegar a alcanzar temperaturas peligrosas. Información general sobre seguridad Comuníquese con Rockwell Automation para obtener más información sobre los servicios de evaluación de riesgos de seguridad. IMPORTANTE Esta aplicación de ejemplo se ofrece para usuarios avanzados y se supone que usted está capacitado y tiene experiencia en los requisitos del sistema de seguridad. Atención: Debe realizarse una evaluación de riesgos para asegurar que todas las combinaciones de tareas y peligros sean identificadas y abordadas. La evaluación de riesgos puede requerir circuitos adicionales para reducir el riesgo a un nivel tolerable. Los circuitos de seguridad deben considerar los cálculos de distancia de seguridad que no forman parte del alcance de este documento. 6 Descripción de seguridad funcional En este ejemplo, se solicita el desbloqueo mediante una demanda de enclavamiento de entrada de seguridad. La demanda sobre la entrada de seguridad desconecta los contactores redundantes y el movimiento se detiene por inercia. Después de un retardo de cinco segundos para permitir que el movimiento se detenga completamente, se desbloquea la compuerta. El interruptor TLS3-GD2 se cablea a dos parejas de entradas de seguridad en un módulo de entrada de seguridad (SI1). Una pareja contiene los contactos de monitoreo de bloqueo y la otra los contactos de monitoreo de la puerta. Los contactores de seguridad (K1 y K2) se conectan a una pareja de salidas de seguridad en un módulo de salida de seguridad (SO1). El módulo de E/S está conectado vía CIP Safety por una red EtherNet/IP al controlador de seguridad (SC1). El código de seguridad en SC1 monitorea el estado de la compuerta usando la instrucción de seguridad precertificada llamada ‘Dual Channel Input Stop with Test and Lock’ (DCSTL). Cuando se han satisfecho todas las entradas de seguridad, no se detectan fallos y el botón pulsador Reset está presionado, un segundo bloque de funciones certificado llamado Configurable Redundant Output (CROUT) controla y monitorea la retroalimentación de una pareja de contactores redundantes 100S. En resumen, cuando se presenta una demanda sobre un enclavamiento de seguridad, los contactores se desactivan. Cinco segundos más tarde se desbloquea la compuerta. Cuando la puerta se cierra y se bloquea, y se oprime el botón de restablecimiento, se activan los contactores. Lista de materiales Número de catálogo Descripción Cantidad 440G-T27181 Interruptor de enclavamiento de seguridad de potencia para desbloquear TLS3-GD2 1 800FM-G611MX10 Botón pulsador de restablecimiento 800F – Metal, protegido, azul, R, montaje de enclavamiento metálico, 1 contacto N.A., estándar 1 100S-C09ZJ23C Boletín 100S-C – Contactores de seguridad 2 800FP-MT44PX02 Pulsadores tipo hongo sin iluminación 800F, desbloqueo por rotación, 40 mm, redondo, de plástico (tipo 4/4X/13, IP66), rojo, 2 contactos N.C. 1 800F-15YE112 Placa de inscripción 800F, redondo de 60 mm, en inglés: EMERGENCY STOP, amarillo con texto en negro 1 1768-ENBT Módulo puente CompactLogix™ EtherNet/IP 1 1768-L43S Procesador Compact GuardLogix, memoria estándar de 2.0 MB, memoria de seguridad de 0.5 MB 1 1768-PA3 Fuente de alimentación eléctrica, entrada de 120/240 VCA, 3.5 A a 24 VCC 1 1769-ECR Terminación de tapa final derecha 1 1734-AENT Adaptador Ethernet de 24 VCC 1 1734-TB Base de módulo con terminales de tornillo IEC extraíbles 4 1734-IB8S Módulo de entrada POINT Guard Safety 1 1734-OB8S Módulo de salida POINT Guard Safety 1 1783-US05T Switch Ethernet no administrado Stratix 2000™ 1 7 Instalación y cableado Para obtener información detallada sobre la instalación y el cableado consulte los manuales de los productos mencionados en Recursos adicionales. Descripción general del sistema El módulo de entrada 1734-IB8S monitorea dos canales de puerta y dos canales de bloqueo del TLS3-GD2. El módulo 1734-IB8S puede surtir los 24 VCC para todos estos canales para probar dinámicamente el cableado de señales en búsqueda de cortocircuitos de 24 VCC y cortocircuitos de canal a canal. Si ocurre un fallo, uno ambos canales establecen LO, y el controlador reaccionará desactivando los contactores de seguridad. Solo después de que se borra el fallo y se conmuta la compuerta se restablece el bloque de funciones. Los cortocircuitos a 0 VCC (y cable desconectado) son detectados como circuito abierto por el módulo de entrada 1734-IB8S y el controlador reaccionará desactivando los contactores de seguridad. Si las entradas permanecen discrepantes durante más del tiempo que el tiempo de discrepancia, entonces los bloques de funciones en la tarea de seguridad del controlador declararán un fallo. Solo después de que se borra el fallo y se conmuta la compuerta se restablece el bloque de funciones. El dispositivo de control final en este caso es una pareja de contactores de seguridad 100S, K1 y K2. Los contactores son controlados por un módulo de salida 1734-OBS. Los contactores se cablean en una configuración en serie redundante. Un circuito de retroalimentación se cablea a través de los contactos N/A y de vuelta a una entrada en el módulo 1734-IB8S para monitorear la correcta operación de los contactores. Los contactores no pueden reiniciarse si el circuito de retroalimentación no está en el estado correcto. El sistema tiene botones de restablecimiento individuales para restablecer fallos y salidas de seguridad. Tome nota de que en este ejemplo los botones de restablecimiento y el circuito de retroalimentación de los contactores están cableados al módulo 1734-IB8S. Esto no se requiere para la seguridad funcional. Estas tres (3) entradas podrían cablearse a un módulo de entrada estándar. En este ejemplo, el solenoide de la compuerta es controlado por una salida de seguridad. Esto no se requiere para la seguridad funcional. El solenoide podría controlarse mediante una salida estándar. Si el solenoide falla, en LO, la compuerta nunca se desbloqueará un estado seguro. Si el solenoide falla en HI, la compuerta se desbloqueará, pero a menos que la entrada ‘motion stopped’ esté en HI, la instrucción DCSTL en la tarea de seguridad declarará un fallo y desconectará su salida. Por estas razones, el solenoide no es parte de la función de seguridad. 8 Esquema eléctrico Configuración El controlador Compact GuardLogix se configura mediante el software RSLogix™ 5000, versión 17 o posterior. Es necesario crear un nuevo proyecto y añadir los módulos de E/S. Luego, se deben configurar los módulos de E/S según los tipos correctos de entradas y de salidas. La descripción detallada de cada paso está fuera del alcance de este documento. Se supone que la persona responsable tiene conocimiento del entorno de programación RSLogix. 9 Configure el controlador y añada módulos de E/S Siga estos pasos. 1. En el software RSLogix 5000 genere un nuevo proyecto. 2. En Controller Organizer añada el módulo 1768-ENBT al bus 1768. 3. Seleccione el módulo 1768-ENBT y haga clic en OK. 10 4. Asigne un nombre al módulo, escriba su dirección IP y haga clic en OK. En este ejemplo de aplicación usamos 192.168.1.8. La suya puede ser diferente. 5. Añada el adaptador 1734-AENT haciendo clic con el botón derecho del mouse en el módulo 1768-ENBT en Controller Organizer y seleccionando New Module. 6. Seleccione el adaptador 1734-AENT y haga clic en OK. 11 7. Asigne un nombre al módulo, escriba su dirección IP y haga clic en OK. En este ejemplo de aplicación usamos 192.168.1.11. La suya puede ser diferente. 8. Haga clic en Change. 9. Establezca Chassis Size en 3 para el adaptador 1734-AENT y haga clic en OK. El tamaño del chasis es el número de módulos que se insertan en el chasis. Se considera que el adaptador 1734-AENT está en la ranura 0; por lo tanto, en el caso de un módulo de entrada y un módulo de salida, el tamaño del chasis es 3. 12 10. En Controller Organizer haga clic con el botón derecho del mouse en el adaptador 1734-AENT y seleccione New Module. 11. Expanda Safety, seleccione el módulo 1734-IB8S y haga clic en OK. 12. En el cuadro de diálogo New Module, asigne el nombre de dispositivo ‘IB8S’ y haga clic en Change. 13. Cuando se abra el cuadro de diálogo Module Definition, cambie Output Data a ‘None’ y verifique que Input Status esté en Combined Status-Power’, luego haga clic en OK. Establecer Output Data en ‘None’ significa que no se pueden usar Test Outputs como salidas estándar, y no haremos esto en este ejemplo. Tome nota de que esto ahorra una (1) conexión del controlador porque solo usamos la conexión de entrada. 13 14. Cierre el cuadro de diálogo Module Properties haciendo clic en OK. 15. Repita los pasos 10 – 14 para añadir el módulo de salida de seguridad 1734-OB8S. Asigne un nombre al módulo OB8S. Tome nota de que este módulo estará en la ranura 2 y seleccione ‘Combined Status-Readback-Power’ como definición de Input Status. 14 Configure los módulos de E/S Siga estos pasos para configurar los módulos POINT Guard I/O. 1. En Controller Organizer haga clic con el botón derecho del mouse en el módulo 1734-IB8S y seleccione Properties. 2. Haga clic en Test Output y configure el módulo, como se muestra. T0 y T1 se usan para probar por impulsos los canales TLS3-GD2. T2 se está usando para prueba de impulsos del circuito de retroalimentación de los contactores. 3. Haga clic en Input Configuration y configure el módulo, como se muestra. Las entradas 0/1 son los contactos de monitoreo de puerta TLS3-GD2. Recuerde que las entradas 0/1 se surten mediante las salidas de prueba 0/1. Las entradas 2/3 son los contactos de monitoreo de bloqueo. Estas también se surten mediante las salidas de prueba 0/1. Las entradas 4/5 son los botones de restablecimiento. La entrada 7 es el circuito de monitoreo de los contactores. Recuerde que la entrada 7 se surte desde la salida de prueba 2. Note que no hay una diferencia real cuando el canal de entrada se configura para seguridad o para modo estándar. Este se usa más para documentación. 4. Haga clic en OK. 5. En Controller Organizer haga clic con el botón derecho del mouse en el módulo 1734-OB8S y seleccione Properties. 15 6. Haga clic en Output Configuration y configure el módulo, como se muestra. La bobina electromecánica en el contactor (salidas 0/1) puede probarse por impulsos sin reaccionar al impulso LO breve. La salida 7 es el solenoide de bloqueo TLS3-GD2. 7. Haga clic en OK. Programación La instrucción Dual Channel Input Stop with Test and Lock (DCSTL) monitorea y bloquea los dispositivos de seguridad de doble canal cuya principal función es parar una máquina de manera segura. Por ejemplo, una compuerta de seguridad con solenoide de bloqueo. Cuando ‘unlock request’ está en HI, la instrucción DCSTL espera que la entrada ‘Hazard Stopped’ esté en HI y luego activa la salida ULC (comando de desbloqueo). Simultáneamente, la salida (O1) cambia a LO para indicar que la compuerta ya no está protegiendo el peligro. Lock Feedback debe cambiar a LO, indicando que la compuerta está desbloqueada. Ahora el operador puede abrir la compuerta. Tome nota que DCSTL requiere conmutar los monitores de puerta (canal A y canal B) en este momento, de lo contrario se producirá un fallo cuando se intente un reinicio. Esta conmutación puede hacerse abriendo o cerrando la compuerta o puede hacerse mediante el software como se muestra posteriormente en esta sección. En este ejemplo, la petición de desbloqueo es generada mediante una demanda sobre el enclavamiento de seguridad controlado por la instrucción DCS. Para su aplicación, todo lo que se requiere es que la petición de desbloqueo se establezca en LO. La demanda sobre el enclavamiento de seguridad desactiva los contactores de seguridad, y 5 segundos después, el tag ‘hazard stopped’ se establece en HI. Esto causa que la instrucción DCSTL establezca la salida ULC, la cual activa la salida 7 y desbloquea la compuerta. Su aplicación necesita determinar la manera correcta de generar el tag ‘hazard stopped’. Existen dos (2) contactos de monitoreo de bloqueo en el interruptor TLS3-GD2, sin embargo solo se requiere un (1) tag de retroalimentación de bloqueo para la instrucción DCSTL. La instrucción DCM se usa para monitorear ambos contactos de bloqueo, y su salida usada para el tag ‘lock feedback’ de DCSTK. Las instrucciones DCSTL, DCM y DCS monitorean la uniformidad de sus respectivas entradas de doble canal (Equivalent – Active High) y detectan fallos cuando se detecta una inconsistencia mayor al valor configurado para Discrepancy Time (ms). El tipo de reinicio automático permite que las salidas DCSTL y DCS (O1) se restablezcan automáticamente después de una demanda. La acción manual normalmente requerida para seguridad se proporciona en el renglón 6 para restablecer la habilitación de la salida de seguridad. 16 El estado de entrada normalmente representa el estado del canal de los dos canales de entrada. En este ejemplo, el bit ‘Combined Input Status’ entra al estado LO si alguno de los 8 canales de entrada del módulo 1734-IB8S tiene un fallo. En este ejemplo, el restablecimiento de DCSTL, DCM y DCS actúa como restablecimiento de fallo. Incluso cuando se configura para reinicio automático, se requiere un restablecimiento para recuperarse de un fallo. Las salidas (O1) de las instrucciones DCSTL, DCM y DCSD se usan como enclavamiento de seguridad en el renglón de sello para accionar el tag de habilitación de salida. Si alguna de las tres (3) salidas se desactiva, también lo hace la habitación de salida y permanece desactivada hasta que se realiza una acción de restablecimiento manual. La instrucción Configurable Redundant Output (CROUT) controla y monitorea las salidas redundantes. Esencialmente, esta instrucción verifica que la retroalimentación siga las salidas de seguridad apropiadamente. Para la retroalimentación negativa usada en este ejemplo, si las salidas están HI, la retroalimentación debe ser LO y viceversa. En este ejemplo, la retroalimentación tiene 500 ms para cambiar al estado apropiado. Puesto que se está usando solo un circuito de retroalimentación, el tag de retroalimentación se usa para la retroalimentación 1 y 2. Los dos (2) tags de salida de la instrucción CROUT se usan para accionar las salidas de contactor en el módulo 1734-OB8S. 17 Si desea usar el software para conmutar programáticamente el canal A y el canal B en DCSTL, el siguiente código es un ejemplo de cómo lograr esto. Siempre que Lock Feedback cambie a LO, por un escán, el canal A y el canal B se desconectan lógicamente para satisfacer los requisitos de DCSTL de conmutar la compuerta. El resto del tiempo, los dos contactos de monitoreo de puerta accionan el estado del canal A y del canal B. 18 19 Restablecimiento de flanco descendente ISO 13849-1 estipula que deben existir funciones de restablecimiento de instrucción en las señales de flanco descendente. Para cumplir con este requisito se usa una instrucción One Shot Falling en el renglón de restablecimiento. Entonces se usa el tag Output Bit de la instrucción OSF como bit de restablecimiento para el renglón de habilitación de salida. Cálculo del nivel de rendimiento Cuando se configura correctamente, esta función de seguridad de monitoreo y bloqueo de puerta puede lograr una clasificación de seguridad de PLe, CAT 4 según EN ISO 13849.1 2008. Las especificaciones de seguridad funcional del proyecto requieren un nivel de rendimiento de PLd (mínimo) y una estructura de Cat. 3 (mínimo). Un PFHd menor que 1.0 E-06 para la función de seguridad general se requiere para PLd. Los valores de subsistemas individuales se muestran a continuación. El valor de la función general de seguridad se muestra a continuación. La función de seguridad de monitoreo y bloqueo de puerta de guarda puede modelarse como se muestra en el siguiente diagrama de bloques relacionados a la seguridad. 20 Los cálculos se basan en una operación de la puerta de guarda de seguridad por hora; por lo tanto, 8760 operaciones de los contactores por año. Las medidas contra fallo por causas comunes (CCF) se cuantifican usando el proceso de puntaje descrito en el Anexo F de ISO 13849-1. Para propósitos de cálculo de PL, el puntaje de 65 requerido para cumplir con los requisitos de CCF se considera cumplido. Debe realizarse el proceso completo de puntaje CCF al implementar este ejemplo. 21 Plan de verificación y validación La verificación y la validación desempeñan un papel importante para evitar fallos en el diseño y en el proceso de desarrollo del sistema de seguridad. ISO/EN 13849-2 establece los requisitos para la verificación y la validación. Requiere un plan documentado para confirmar que se hayan cumplido todos los requisitos funcionales de seguridad. La verificación es un análisis del sistema de control de seguridad resultante. Se calcula el nivel de rendimiento (PL) del sistema de control de seguridad para confirmar que se cumple con el nivel de rendimiento requerido (PLr) especificado. La herramienta de software SISTEMA generalmente se usa para realizar los cálculos y ayudar a satisfacer los requisitos de ISO 13849-1. La validación es una prueba funcional del sistema de control de seguridad para demostrar que se cumple con los requisitos especificados de la función de seguridad. El sistema de control de seguridad se prueba para confirmar que todas las salidas relacionadas con la seguridad responden apropiadamente a sus correspondientes entradas relacionadas con la seguridad. La prueba funcional debe incluir condiciones de operación normal y debe introducir un fallo potencial de los modos de fallo. Generalmente se usa una lista de verificación para documentar la validación del sistema de control de seguridad. La validación del desarrollo de software es un proceso en el cual se implementan metodologías y técnicas similares usadas en el desarrollo de hardware. Los fallos creados debido a procesos y procedimientos deficientes de desarrollo de software son de naturaleza sistémica y no son fallos asociados con el hardware, los cuales se consideran aleatorios. Antes de validar el sistema de seguridad GuardLogix es necesario confirmar que el sistema de seguridad y que el programa de aplicación de seguridad han sido diseñados conforme al documento GuardLogix System Safety Reference Manual (pub. 1756-RM093) y al documento GuardLogix Application Instruction Safety Reference Manual (pub. 1756-RM095). 22 Lista de verificación de validación y verificación de la función de monitoreo de puerta con bloqueo de seguridad GuardLogix Información general sobre maquinaria Nombre/número de modelo de máquina Número de serie de máquina Nombre de cliente Fecha de prueba Nombre(s) de probador Número de esquema Nombre del controlador ID de firma de seguridad Número(s) de red(es) de seguridad Versión de software RSLogix5000 Módulos de sistema de control de seguridad Controlador de seguridad GuardLogix Puente CompactLogix Ethernet Adaptador POINT I/O Ethernet Módulos de entrada POINT I/O Módulos de salida POINT I/O Módulos GuardLogix Versión de firmware 1768-L43S 1768-ENBT 1734-AENT 1734-IB8S 1734-OB8S Configuración del sistema de seguridad y verificación de cableado GuardLogix Paso de prueba Verificación 1 Verifique que el sistema de seguridad esté diseñado según lo indicado en el documento GuardLogix System Safety Reference Manual, pub. 1756-RM093. 2 Verifique que el programa de aplicación esté diseñado según lo indicado en el documento GuardLogix Application Instruction Safety Reference Manual, pub. 1756-RM095. 3 Inspeccione visualmente que las E/S y la red del sistema de seguridad estén cableadas según lo documentado en los esquemas. 4 Inspeccione visualmente el programa RSLogix 5000 para verificar que la red del sistema de seguridad y el módulo de E/S estén configurados según lo documentado. 5 Inspeccione visualmente el programa de aplicación RSLogix 5000 para verificar que se utilicen las instrucciones de seguridad certificadas apropiadas. La lógica puede leerse, entenderse y probarse con ayuda de comentarios claros. 6 Todos los dispositivos de entrada tienen capacidad para desconectar y reconectar sus accionadores respectivos. Monitoree el estado en la ventana RSLogix 5000 Controller Tags. 7 Todos los dispositivos de salida tienen capacidad para alternar sus accionadores respectivos. Monitoree el estado en la ventana RSLogix 5000 Controller Tags. Paso/ rechazo Cambios/ modificaciones Verificación de operación normal – El sistema de relé de seguridad responde correctamente a todos los comandos normales de inicio, paro, paro de emergencia, bloqueo habilitación y restablecimiento Paso de prueba Verificación 1 Inicie un comando de arranque. Ambos contactores deben energizarse para una condición de marcha de máquina normal. Verifique la correcta indicación de estado de la máquina y del programa de aplicación de seguridad RSLogix 5000. 2 Inicie un comando de paro. Ambos contactores deben desenergizarse inmediatamente para una condición de paro de máquina normal. Después del retardo de tiempo preseleccionado, verifique que la puerta se desbloquee. Verifique la correcta indicación de estado de la máquina y del programa de aplicación de seguridad RSLogix 5000. 3 Mientras está en marcha, intente abrir la puerta de guarda. La puerta debe permanecer cerrada y bloqueada. Ambos contactores deben permanecer energizados y cerrados para una condición de seguridad normal. Verifique la correcta indicación de estado de la máquina y del programa de aplicación de seguridad RSLogix 5000. Repita el procedimiento para todas las puertas de guarda. 4 Mientras está en paro, intente abrir la puerta de guarda. La puerta debe estar desbloqueada y debe poder abrirse. Ambos contactores deben permanecer desenergizados y abiertos para una condición de seguridad normal. Verifique la correcta indicación de estado de la máquina y del programa de aplicación de seguridad RSLogix 5000. Repita el procedimiento para todas las puertas de guarda. 5 Mientras está en paro con la puerta de guarda abierta, inicie un comando de arranque. Ambos contactores deben permanecer desenergizados y abiertos para una condición de seguridad normal. Verifique la correcta indicación de estado de la máquina y del programa de aplicación de seguridad RSLogix 5000. Repita el procedimiento para todas las puertas de guarda. 7 Inicie un comando de restablecimiento. Ambos contactores deben permanecer desactivados. Verifique la correcta indicación de estado de la máquina y del programa de aplicación de seguridad RSLogix 5000. Paso/ rechazo Cambios/ modificaciones 23 Verificación de operación anormal – El sistema de seguridad GuardLogix responde correctamente a todos los fallos previsibles con los diagnósticos correspondientes. Pruebas de entrada de monitoreo y bloqueo de puerta Paso de prueba Validación 1 Durante la ejecución, retire de las E/S de seguridad el cable del canal 1 de monitoreo de puerta. Ambos contactores deben desactivarse. Verifique la correcta indicación de estado de la máquina y del programa de aplicación de seguridad RSLogix 5000. Verifique la incapacidad de restablecimiento y reinicio con fallo. Restaure el canal 1 y repita el procedimiento para el canal 2. 2 Durante la ejecución, ponga en cortocircuito el canal 1 de monitoreo de puerta de las E/S de seguridad a 24 VCC. Ambos contactores deben desactivarse. Verifique la correcta indicación de estado de la máquina y del programa de aplicación de seguridad RSLogix 5000. Verifique la incapacidad de restablecimiento y reinicio con fallo. Restaure el canal 1 y repita el procedimiento para el canal 2. 3 Durante la ejecución, ponga en cortocircuito el canal 1 de monitoreo de puerta de las E/S de seguridad a 0 VCC. Ambos contactores deben desactivarse. Verifique la correcta indicación de estado de la máquina y del programa de aplicación de seguridad RSLogix 5000. Verifique la incapacidad de restablecimiento y reinicio con fallo. Restaure el canal 1 y repita el procedimiento para el canal 2. 4 Durante la ejecución, ponga en cortocircuito los canales 1 y 2 de monitoreo de puerta de las E/S de seguridad. Ambos contactores deben desactivarse. Verifique la correcta indicación de estado de la máquina y del programa de aplicación de seguridad RSLogix 5000. Verifique la incapacidad de restablecimiento y reinicio con fallo. Restaure el cableado de los canales 1 y 2. 5 Durante la ejecución, ponga en cortocircuito el canal 1 a origen de prueba 1 de las E/S de seguridad. Abra la puerta de guarda. Ambos contactores deben desactivarse. Verifique la correcta indicación de estado de la máquina y del programa de aplicación de seguridad RSLogix 5000. Verifique la incapacidad de restablecimiento y reinicio con fallo. Restaure el canal 1 y repita el procedimiento para el canal 2. 6 Durante la ejecución, retire de las E/S de seguridad el cable del canal 1 de monitoreo de bloqueo. Ambos contactores deben desactivarse. Verifique la correcta indicación de estado de la máquina y del programa de aplicación de seguridad RSLogix 5000. Verifique la incapacidad de restablecimiento y reinicio con fallo. Restaure el canal 1 y repita el procedimiento para el canal 2. 7 Durante la ejecución, ponga en cortocircuito el canal 1 de monitoreo de bloqueo de las E/S de seguridad a 24 VCC. Ambos contactores deben desactivarse. Verifique la correcta indicación de estado de la máquina y del programa de aplicación de seguridad RSLogix 5000. Verifique la incapacidad de restablecimiento y reinicio con fallo. Restaure el canal 1 y repita el procedimiento para el canal 2. 8 Durante la ejecución, ponga en cortocircuito el canal 1 de monitoreo de bloqueo de las E/S de seguridad a (–) 0 VCC. Ambos contactores deben desactivarse. Verifique la correcta indicación de estado de la máquina y del programa de aplicación de seguridad RSLogix 5000. Verifique la incapacidad de restablecimiento y reinicio con fallo. Restaure el canal 1 y repita el procedimiento para el canal 2. 9 Durante la ejecución, ponga en cortocircuito los canales 1 y 2 de monitoreo de bloqueo de las E/S de seguridad. Ambos contactores deben desactivarse. Verifique la correcta indicación de estado de la máquina y del programa de aplicación de seguridad RSLogix 5000. Verifique la incapacidad de restablecimiento y reinicio con fallo. Restaure el cableado de los canales 1 y 2. Paso/rechazo Cambios/ modificaciones Paso/rechazo Cambios/ modificaciones Paso/rechazo Cambios/ modificaciones Pruebas de la red y el controlador GuardLogix Paso de prueba Validación 1 Durante la ejecución, retire la conexión de la red Ethernet entre las E/S de seguridad y el controlador. Todos los contactores deben desactivarse. Verifique la correcta indicación de estado de la máquina y el estado de la conexión de E/S en el programa de aplicación de seguridad RSLogix 5000. 2 Restaure la conexión de la red del módulo de E/S de seguridad y deje tiempo para que se restablezca la comunicación. Verifique el bit de estado de conexión en el programa de aplicación de seguridad RSLogix 5000. Repita el procedimiento para todas las conexiones de E/S de seguridad. 3 Durante la ejecución, cambie el modo del controlador a un modo que no sea marcha. Todos los contactores deben desactivarse. Regrese el interruptor de llave nuevamente al modo marcha; todos los contactores deben permanecer desactivados. Verifique la correcta indicación de estado de la máquina y del programa de aplicación de seguridad RSLogix 5000. Pruebas de salida del contactor de seguridad Paso de prueba Validación 1 Inicie un comando de arranque. Ambos contactores deben energizarse para una condición de marcha de máquina normal. Verifique la correcta indicación de estado de la máquina y del programa de aplicación de seguridad RSLogix 5000. 2 Durante la ejecución, retire de las E/S de seguridad la retroalimentación de contactor. Todos los contactores deben permanecer desactivados. Inicie un comando de paro e intente un comando de restablecimiento. El sistema no debe reiniciarse ni restablecerse. Verifique la correcta indicación de estado de la máquina y del programa de aplicación de seguridad RSLogix 5000. 3 Durante la ejecución, ponga en cortocircuito la retroalimentación de contactor respecto a las E/S de seguridad. Todos los contactores deben permanecer desactivados. Inicie un comando de paro e intente un comando de restablecimiento. El sistema no debe reiniciarse ni restablecerse. Verifique la correcta indicación de estado de la máquina y del programa de aplicación de seguridad RSLogix 5000. 4 Mientras está en paro, retire la salida de seguridad al bloqueo de puerta. La puerta debe permanecer bloqueada y todos los contactores deben permanecer desenergizados. Verifique la correcta indicación de estado de la máquina y del programa de aplicación de seguridad RSLogix 5000. 24 Recursos adicionales Para obtener más información sobre los productos usados en este ejemplo, consulte estos documentos. Recurso Descripción Compact GuardLogix Controllers User Manual, publicación 1768-UM002 Proporciona información sobre cómo configurar, operar y mantener los controladores Compact GuardLogix. POINT Guard I/O Safety Modules Installation and User Manual, publicación 1734-UM013 Proporciona información sobre cómo instalar, configurar y operar los módulos POINT Guard I/O. GuardLogix Controller Systems Safety Reference Manual, publicación 1756-RM093 Contiene los requisitos detallados para obtener y mantener las clasificaciones de seguridad con el sistema controlador GuardLogix. GuardLogix Safety Application Instruction Set Reference Manual, publicación 1756-RM095 Proporciona información detallada acerca del conjunto de instrucciones de las aplicaciones de seguridad GuardLogix. Safety Accelerator Toolkit for GuardLogix Systems Quick Start Guide, publicación IASIMP-QS005 Proporciona una guía paso a paso para usar herramientas de diseño, programación y diagnósticos en el Safety Accelerator Toolkit. Catálogo de productos de seguridad Puede ver o descargar publicaciones de http://www.rockwellautomation.com/literature. Para solicitar copias impresas de la documentación técnica comuníquese con su distribuidor regional de Allen-Bradley® o con su representante de ventas de Rockwell Automation. Para obtener más información sobre las capacidades de la función de seguridad visite: discover.rockwellautomation.com/safety Rockwell Automation, Allen-Bradley, GuardLogix, RSLogix 5000, CompactLogix, Stratix 2000 y POINT Guard I/O son marcas comerciales de Rockwell Automation, Inc. Las marcas comerciales que no pertenecen a Rockwell Automation son propiedad de sus respectivas empresas. Publicación SAFETY-AT061B-ES-E – Enero de 2013 Copyright © 2013 Rockwell Automation, Inc. Todos los derechos reservados.