▼
Scroll to page 2
of
28
M580 Safety Conditions d'utilisation relatives à la sécurité - Plan de vérification Traduction de la notice originale EIO0000004741.00 11/2021 www.se.com Mentions légales La marque Schneider Electric et toutes les marques de commerce de Schneider Electric SE et de ses filiales mentionnées dans ce guide sont la propriété de Schneider Electric SE ou de ses filiales. Toutes les autres marques peuvent être des marques de commerce de leurs propriétaires respectifs. Ce guide et son contenu sont protégés par les lois sur la propriété intellectuelle applicables et sont fournis à titre d'information uniquement. Aucune partie de ce guide ne peut être reproduite ou transmise sous quelque forme ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre), à quelque fin que ce soit, sans l'autorisation écrite préalable de Schneider Electric. Schneider Electric n'accorde aucun droit ni aucune licence d'utilisation commerciale de ce guide ou de son contenu, sauf dans le cadre d'une licence non exclusive et personnelle, pour le consulter tel quel. Les produits et équipements Schneider Electric doivent être installés, utilisés et entretenus uniquement par le personnel qualifié. Les normes, spécifications et conceptions sont susceptibles d'être modifiées à tout moment. Les informations contenues dans ce guide peuvent faire l'objet de modifications sans préavis. Dans la mesure permise par la loi applicable, Schneider Electric et ses filiales déclinent toute responsabilité en cas d'erreurs ou d'omissions dans le contenu informatif du présent document ou pour toute conséquence résultant de l'utilisation des informations qu'il contient. En tant que membre d'un groupe d'entreprises responsables et inclusives, nous actualisons nos communications qui contiennent une terminologie non inclusive. Cependant, tant que nous n'aurons pas terminé ce processus, notre contenu pourra toujours contenir des termes standardisés du secteur qui pourraient être jugés inappropriés par nos clients. Table des matières Consignes de sécurité ................................................................................5 Avant de commencer ..................................................................................5 Démarrage et test.......................................................................................6 Fonctionnement et réglages ........................................................................7 Introduction ..................................................................................................8 Processus de vérification .........................................................................10 Exigences relatives à la sécurité des applications ............................... 11 Exigences relatives au cycle de vie des applications ................................... 11 Informations sur la sécurité - Manuel de sécurité M580................................15 Informations sur la sécurité - M580 - Guide de planification du système de sécurité ...............................................................................................23 Informations sur la sécurité - EcoStruxure™ Control Expert - Sécurité Bibliothèque de blocs................................................................................25 Informations sur la sécurité - Normes et certifications ..................................27 EIO0000004741.00 3 Consignes de sécurité Consignes de sécurité Informations importantes Lisez attentivement ces instructions et examinez le matériel pour vous familiariser avec l'appareil avant de tenter de l'installer, de le faire fonctionner, de le réparer ou d'assurer sa maintenance. Les messages spéciaux suivants que vous trouverez dans cette documentation ou sur l'appareil ont pour but de vous mettre en garde contre des risques potentiels ou d'attirer votre attention sur des informations qui clarifient ou simplifient une procédure. La présence de ce symbole sur une étiquette “Danger” ou “Avertissement” signale un risque d'électrocution qui provoquera des blessures physiques en cas de non-respect des consignes de sécurité. Ce symbole est le symbole d'alerte de sécurité. Il vous avertit d'un risque de blessures corporelles. Respectez scrupuleusement les consignes de sécurité associées à ce symbole pour éviter de vous blesser ou de mettre votre vie en danger. ! DANGER DANGER signale un risque qui, en cas de non-respect des consignes de sécurité, provoque la mort ou des blessures graves. ! AVERTISSEMENT AVERTISSEMENT signale un risque qui, en cas de non-respect des consignes de sécurité, peut provoquer la mort ou des blessures graves. ! ATTENTION ATTENTION signale un risque qui, en cas de non-respect des consignes de sécurité, peut provoquer des blessures légères ou moyennement graves. AVIS AVIS indique des pratiques n'entraînant pas de risques corporels. Remarque Importante L'installation, l'utilisation, la réparation et la maintenance des équipements électriques doivent être assurées par du personnel qualifié uniquement. Schneider Electric décline toute responsabilité quant aux conséquences de l'utilisation de ce matériel. Une personne qualifiée est une personne disposant de compétences et de connaissances dans le domaine de la construction, du fonctionnement et de l'installation des équipements électriques, et ayant suivi une formation en sécurité leur permettant d'identifier et d'éviter les risques encourus. Avant de commencer N'utilisez pas ce produit sur les machines non pourvues de protection efficace du point de fonctionnement. L'absence de ce type de protection sur une machine présente un risque de blessures graves pour l'opérateur. EIO0000004741.00 5 Consignes de sécurité AVERTISSEMENT EQUIPEMENT NON PROTEGE • N'utilisez pas ce logiciel ni les automatismes associés sur des appareils non équipés de protection du point de fonctionnement. • N'accédez pas aux machines pendant leur fonctionnement. Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou des dommages matériels. Cet automatisme et le logiciel associé permettent de commander des processus industriels divers. Le type ou le modèle d'automatisme approprié pour chaque application dépendra de facteurs tels que la fonction de commande requise, le degré de protection exigé, les méthodes de production, des conditions inhabituelles, la législation, etc. Dans certaines applications, plusieurs processeurs seront nécessaires, notamment lorsque la redondance de sauvegarde est requise. Vous seul, en tant que constructeur de machine ou intégrateur de système, pouvez connaître toutes les conditions et facteurs présents lors de la configuration, de l'exploitation et de la maintenance de la machine, et êtes donc en mesure de déterminer les équipements automatisés, ainsi que les sécurités et verrouillages associés qui peuvent être utilisés correctement. Lors du choix de l'automatisme et du système de commande, ainsi que du logiciel associé pour une application particulière, vous devez respecter les normes et réglementations locales et nationales en vigueur. Le document National Safety Council's Accident Prevention Manual (reconnu aux Etats-Unis) fournit également de nombreuses informations utiles. Dans certaines applications, telles que les machines d'emballage, une protection supplémentaire, comme celle du point de fonctionnement, doit être fournie pour l'opérateur. Elle est nécessaire si les mains ou d'autres parties du corps de l'opérateur peuvent entrer dans la zone de point de pincement ou d'autres zones dangereuses, risquant ainsi de provoquer des blessures graves. Les produits logiciels seuls, ne peuvent en aucun cas protéger les opérateurs contre d'éventuelles blessures. C'est pourquoi le logiciel ne doit pas remplacer la protection de point de fonctionnement ou s'y substituer. Avant de mettre l'équipement en service, assurez-vous que les dispositifs de sécurité et de verrouillage mécaniques et/ou électriques appropriés liés à la protection du point de fonctionnement ont été installés et sont opérationnels. Tous les dispositifs de sécurité et de verrouillage liés à la protection du point de fonctionnement doivent être coordonnés avec la programmation des équipements et logiciels d'automatisation associés. NOTE: La coordination des dispositifs de sécurité et de verrouillage mécaniques/électriques du point de fonctionnement n'entre pas dans le cadre de cette bibliothèque de blocs fonction, du Guide utilisateur système ou de toute autre mise en œuvre référencée dans la documentation. Démarrage et test Avant toute utilisation de l'équipement de commande électrique et des automatismes en vue d'un fonctionnement normal après installation, un technicien qualifié doit procéder à un test de démarrage afin de vérifier que l'équipement fonctionne correctement. Il est essentiel de planifier une telle vérification et d'accorder suffisamment de temps pour la réalisation de ce test dans sa totalité. 6 EIO0000004741.00 Consignes de sécurité AVERTISSEMENT RISQUES INHERENTS AU FONCTIONNEMENT DE L'EQUIPEMENT • Assurez-vous que toutes les procédures d'installation et de configuration ont été respectées. • Avant de réaliser les tests de fonctionnement, retirez tous les blocs ou autres cales temporaires utilisés pour le transport de tous les dispositifs composant le système. • Enlevez les outils, les instruments de mesure et les débris éventuels présents sur l'équipement. Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou des dommages matériels. Effectuez tous les tests de démarrage recommandés dans la documentation de l'équipement. Conservez toute la documentation de l'équipement pour référence ultérieure. Les tests logiciels doivent être réalisés à la fois en environnement simulé et réel Vérifiez que le système entier est exempt de tout court-circuit et mise à la terre temporaire non installée conformément aux réglementations locales (conformément au National Electrical Code des Etats-Unis, par exemple). Si des tests diélectriques sont nécessaires, suivez les recommandations figurant dans la documentation de l'équipement afin d'éviter de l'endommager accidentellement. Avant de mettre l'équipement sous tension : • Enlevez les outils, les instruments de mesure et les débris éventuels présents sur l'équipement. • Fermez le capot du boîtier de l'équipement. • Retirez toutes les mises à la terre temporaires des câbles d'alimentation entrants. • Effectuez tous les tests de démarrage recommandés par le fabricant. Fonctionnement et réglages Les précautions suivantes sont extraites du document NEMA Standards Publication ICS 7.1-1995 (la version anglaise prévaut) : EIO0000004741.00 • Malgré le soin apporté à la conception et à la fabrication de l'équipement ou au choix et à l'évaluation des composants, des risques subsistent en cas d'utilisation inappropriée de l'équipement. • Il arrive parfois que l'équipement soit déréglé accidentellement, entraînant ainsi un fonctionnement non satisfaisant ou non sécurisé. Respectez toujours les instructions du fabricant pour effectuer les réglages fonctionnels. Les personnes ayant accès à ces réglages doivent connaître les instructions du fabricant de l'équipement et les machines utilisées avec l'équipement électrique. • Seuls ces réglages fonctionnels, requis par l'opérateur, doivent lui être accessibles. L'accès aux autres commandes doit être limité afin d'empêcher les changements non autorisés des caractéristiques de fonctionnement. 7 Introduction Introduction Contexte Ce document est un plan de vérification générique des conditions d'application liées à la sécurité (SRAC) pour démontrer la conformité avec la section « Specific requirements » (Exigences spécifiques) du certificat d'examen CE de type du système de sécurité Modicon M580. Le certificat d'examen CE de type du contrôleur de sécurité fonctionnelle Modicon M580 REG.-NO : 01/205/5610/01/19 [3] exprime une exigence spécifique selon laquelle « Les instructions des manuels d'installation et de sécurité associés doivent être prises en compte ». Ce plan de vérification des conditions d'application liées à la sécurité vise à : • identifier toutes les « instructions des manuels d'installation et de sécurité associés » (également appelées exigences ou SRAC) ; • fournir une trame générique pour justifier que ces « instructions des manuels d'installation et de sécurité associés » sont respectées. Documents de référence 8 Réf. Titre de la documentation Référence Révision – Date [1] Modicon M580 - Manuel de sécurité QGH46983 06–10/2020 ou version ultérieure [2] Modicon M580 - Guide de planification du système de sécurité QGH60284 06–09/2020 ou version ultérieure [3] Examen CE de type du contrôleur de sécurité fonctionnelle M580 01/205/5610/01/19 - EIO0000004741.00 Introduction Réf. Titre de la documentation Référence Révision – Date [4] EcoStruxure Control Expert - Sécurité Bibliothèque de blocs QGH60278 06–10/2020 ou version ultérieure [5] Plateformes Modicon M580, M340 et X80 I/O - Normes et certifications EIO0000002727 02–10/2018 ou version ultérieure Acronymes EIO0000004741.00 Acronyme Définition CIP Common Industrial Protocol (protocole industriel commun) CPU Control Processing Unit (unité de traitement des commandes ou unité centrale) DDDT Device Derived Data Type (type de données dérivé d'équipement) DTM Device Type Manager (gestionnaire de type d'équipement) CEM Compatibilité électromagnétique E/E/PE Electrical/Electronic/Programmable Electronic (système électrique, électronique, électronique programmable) DDT Derived Data Type (type de données dérivé) ES (ou E/S) Entrée/Sortie FS Functional Safety (sécurité fonctionnelle) MTTR Mean Time To Restoration (délai moyen avant restauration) NTP Network Time Protocol (protocole de temps réseau) PAC Programmable Automation Controller (automate programmable) PLC Programmable Logic Controller (automate programmable industriel) PELV Protective Extra Low Voltage (très basse tension de protection) PL Performance level (niveau de performance) SIF Safety Instrumented Function (fonction instrumentée de sécurité) SIL Safety Integrity Level (niveau d'intégrité de la sécurité) SIS Safety Instrumented System (système instrumenté de sécurité) SAid Safety Application identifier (identifiant d'application de sécurité) SRAC Safety Related Application Condition (condition d'application liée à la sécurité) SRT System Reaction Time (temps de réaction système) SELV Safety Extra-Low Voltage (très basse tension de sécurité) UID Unique Identifier (identifiant unique) VS Voltage Supply (tension d'alimentation) 9 Processus de vérification Processus de vérification Exigences Cinq sous-ensembles d'exigences ont été extraits des documents suivants : • Exigences relatives au cycle de vie des applications, Modicon M580 - Manuel de sécurité [1] • Exigences relatives aux messages d'informations sur la sécurité, Modicon M580 - Manuel de sécurité [1] • Exigences relatives aux messages d'informations sur la sécurité, Modicon M580 - Guide de planification du système de sécurité [2] • Exigences relatives aux messages d'informations sur la sécurité, EcoStruxure Control Expert - Sécurité - Bibliothèque de blocs [4] • Exigences relatives aux messages d'informations sur la sécurité, Plateformes Modicon M580, M340 et X80 I/O - Normes et certifications [5] Par conséquent, le chapitre suivant contient cinq listes de contrôle distinctes, correspondant à chacun des cinq sous-ensembles d'exigences. Le processus de vérification consiste à s'assurer que toutes les exigences identifiées ont été correctement prises en compte dans l'application de projet envoyée pour vérification. Condition préalable Les personnes chargées de la vérification des SRAC doivent : • travailler de façon indépendante (vis-à-vis de l'équipe de conception) ; • maîtriser la sécurité fonctionnelle (certificat de formation FS niveau 3) ; • maîtriser le système de sécurité Modicon M580 et Control Expert (certificat de formation en sécurité M580 Schneider Electric). Exclusions Ce document est valide uniquement avec les documents et révisions référencés, tels qu'indiqués au paragraphe Documents de référence, page 8. 10 EIO0000004741.00 Exigences relatives à la sécurité des applications Exigences relatives à la sécurité des applications Exigences relatives au cycle de vie des applications Liste de contrôle des exigences relatives au cycle de vie des applications. Pour plus d'informations sur les exigences associées, consultez le document Modicon M580 - Manuel de sécurité [1]. Id Exigences relatives au cycle de vie des applications Done Justification Cycle de vie d'une application > Etape 9 : Spécification des exigences de sécurité des systèmes E/E/PE CV 1 CV 2 Cette étape a lieu lorsque l'analyse des risques est terminée et a fourni (entre autres) les informations suivantes : • Définition des fonctions intégrées de sécurité • Performances exigées desdites fonctions (temps, réduction des risques, niveau SIL, etc.) • Modes de défaillance de ces fonctions □ □ □ Elle doit produire les spécifications du besoin en matière de sécurité, lesquelles comprendront au minimum les informations suivantes nécessaires à la conception d'une application sécurisée à l'aide de n'importe quel type de PAC de sécurité : • Etat sécurisé des fonctions de sécurité intégrées • Analyse du mode de fonctionnement du SIS (y compris le comportement en mode de marche, d'arrêt, de mise sous tension, de maintenance, de réparation, etc.) • Intervalle de test de la fonction de sécurité (SIF) • MTTR du SIS • Choix d'avoir la SIF alimentée ou non alimentée • Performance du solveur de logique (temps de réaction, précision, etc.) • Besoins en matière de performance • □ □ □ □ □ □ • Tolérance aux défaillances □ • Intégrité □ • Taux maximum de déclenchements infondés □ • Taux maximum de défaillances dangereuses □ Spécifications environnementales (CEM, conditions mécaniques, chimiques, climatiques, etc.) EIO0000004741.00 □ 11 Exigences relatives à la sécurité des applications Id Exigences relatives au cycle de vie des applications Done Justification > Etape 10 : Réalisation de systèmes liés à la sécurité E/E/PE CV 3 La première sous-étape (10.1) a pour but de convertir les exigences de sécurité du SIS en spécifications de la conception matérielle, des tests du matériel, de la conception logicielle, des tests du logiciel et des tests d'intégration. Elle doit fournir au minimum les informations suivantes, nécessaires pour concevoir une application sécurisée utilisant le système de sécurité M580 : • • Architecture matérielle, en tenant compte des points suivants : • Respect des règles M580 concernant le mélange de modules de sécurité et de modules hors sécurité : tous les modules de sécurité (modules d'E/S de sécurité et UC & coprocesseur de sécurité) sont placés dans des racks où le rack principal et son extension sont alimentés par une alimentation sécurisée et contiennent uniquement des modules sécurisés ou des modules non perturbateurs de type 1. □ • Consommation électrique par rack. □ • Règles de déclassement. □ Architecture de l'alimentation : • • • 12 Y compris l'utilisation de variables globales M580 ; une variable globale ne doit pas empêcher le déclenchement d'une action de sécurité à moins qu'un « protocole d'application sécurisé » soit utilisé. □ Intégration du matériel (câblage, armoire, etc.) : • Protection par fusibles. □ • Accessoires pour diagnostic du câblage. □ Interfaces homme-machine : • • □ Architecture logicielle : • • Alimentation SELV/PELV uniquement. Y compris l'utilisation de variables globales M580 ; une variable globale ne doit pas empêcher le déclenchement d'une action de sécurité à moins qu'un « protocole d'application sécurisé » soit utilisé. □ Interfaces électriques/numériques : • Etat de sécurité. □ • Capteur et actionneur. □ • Algorithme • Performances (y compris la définition de la période, du chien de garde et du timeout de la tâche) et prédiction d'un bon comportement à l'aide de la formule : • Comportement dans les cas suivants : □ □ • Configuration déverrouillée □ • Mode Maintenance □ • Entrée de maintenance □ • Canal non valide □ • Défaut du câblage □ • Intégrité de la voie □ • Intégrité du module □ • Gestion des identifiants uniques (UID) des modules d'E/S sécurisés (définir quand un UID doit être modifié). • Serveur NTP : □ • Choix du PAC en tant que serveur NTP ou serveur NTP externe (en fonction de l'utilisation de l'horodatage des E/S dans l'application de processus). □ • Redondance de serveurs □ • Perte de serveur □ EIO0000004741.00 Exigences relatives à la sécurité des applications Id Exigences relatives au cycle de vie des applications Done Justification > Etape 12 : Installation et mise en service globales CV 4 Cette étape a pour but de définir les besoins pour les procédures d'installation, de planification des tâches, d'instrumentation et de mise en service, puis de générer le système et de vérifier qu'il est correct. • CV 5 Pour les applications redondantes, vérifiez que le timeout de repli des modules de sortie de sécurité remplit les conditions définies pour les opérations de permutation et de basculement, puis vérifiez le temps de maintien du CRA. □ • Vérifiez que le timeout de sécurité de repli (S_TO) pour les modules de sorties de sécurité est, au moins supérieur à 40 ms ou à (2,5 * TSAFE), où TSAFE est égal à la période de la tâche SAFE configurée. □ • Effacez toute application préexistante dans l'automate ou utilisez une application configurée sans équipement de sécurité CIP avant d'installer l'équipement de sécurité sur un réseau de sécurité Ethernet (avec équipements de sécurité CIP). □ Dans un système de sécurité M580, la procédure de mise en service doit comprendre les points suivants : • Vérification de l'intégrité de Control Expert et de la version de Control Expert. • Vérification des versions de micrologiciel de l'UC et du coprocesseur via la surveillance des mots système %SW14 (version de micrologiciel du processeur de l'automate) et %SW142 (version de micrologiciel du coprocesseur). • Vérification des adresses de tous les modules (position dans le rack, commutateurs CRA). • Vérification du câblage : □ □ • Vérification point à point : de la variable interne au module d'E/S et à l'actionneur ou au capteur. □ • Fusibles. □ • Equipement de diagnostic du câblage. □ • Au terme de cette procédure, tous les modules de sécurité sont en mode verrouillé (LCK) (il est recommandé que l'application de sécurité elle-même vérifie cette condition). • Vérification de la configuration de chaque module (y compris les timeouts) : • Lisez la configuration à l'aide de l'écran Control Expert et comparez-la à la spécification. • Toutes les applications de sécurité ont été regénérées à l'aide de l'option Regénérer tout le projet, puis téléchargées vers chaque automate, et leur identifiant (SAId) a été enregistré ainsi que leur archive. • La période et le chien de garde des tâches sont corrects. • Références et versions des modules. • Utilisation d'alimentations SELV/PELV uniquement. • Si l'application de sécurité contient des équipements CIP Safety : • □ □ □ □ □ □ □ • L'identifiant de configuration de sécurité (SCID) peut être considéré comme validé (option activée dans le DTM CIP Safety dans Control Expert) et la configuration cible est verrouillée après le test par l'utilisateur. □ • Pour vérifier que la configuration source créée par l'utilisateur à l'aide du logiciel Control Expert a bien été envoyée et enregistrée dans le module source CIP Safety M580, comparez visuellement les paramètres de la configuration cible CIP Safety affichés dans les DDDT cibles (en mode connecté avec le PAC, dans une table d'animation) à ceux affichés et configurés dans l'onglet Vérification de la configuration du DTM cible. Les valeurs doivent toutes être identiques. □ • Une fois que les configurations de connexion de sécurité ont été appliquées dans le module source CIP Safety M580, testez chacune de ces connexions cibles pour vérifier qu'elles fonctionnent comme prévu. □ • Avant d'installer des équipements CIP Safety dans le réseau de sécurité, attribuez-leur les adresses MAC et les débits appropriés. □ Les téléchargements d'application sont validés au moyen d'un test utilisateur. EIO0000004741.00 □ 13 Exigences relatives à la sécurité des applications Id Exigences relatives au cycle de vie des applications Done Justification > Etape 13 : Validation de sécurité globale CV 6 Cette étape a pour but de confirmer que le système intégré de sécurité satisfait aux exigences définies. Elle exécute tous les tests et produit les rapports définis à l'étape 7 du « cycle de vie de la sécurité ». Elle doit notamment : • Vérifier qu'il n'y a pas de condition de dépassement (overrun) au cours d'aucun des états du système (vérification du bit système %S19 dans les tâches MAST, FAST, AUX0) et que le temps d'exécution maximum et actuel de la tâche SAFE (%SW42 et %SW43) sont inférieurs à la période de la tâche SAFE. • Vérifier la formule de charge de l'UC : □ □ NOTE: Vous pouvez utiliser les mots système %SW110 à %SW115 pour effectuer une évaluation en temps réel de la charge moyenne pour les tâches de l'UC (si toutes les tâches sont périodiques, %SW116 doit être inférieur à 80). • Vérifier les modes de fonctionnement spéciaux (déverrouillage de module, entrée de maintenance, canal non valide, défaut de câblage). • Pour les applications redondantes, vérifiez que toutes les tâches sont correctement synchronisées via la liaison redondante en vérifiant les bits MAST_SYNCHRONIZED, FAST_ SYNCHRONIZED et SAFE_SYNCHRONIZED du DDT T_M_ECPU_HSBY. Consultez le document Redondance d'UC Modicon M580 - Guide de planification du système pour architectures courantes pour une description du DDT T_M_ECPU_HSBY. □ □ > Etape 14 : Exploitation, maintenance et réparation générales CV 7 • • Exécuter les tests périodiques à intervalles corrects. □ Surveiller l'identifiant SAId. (Voir remarque ci-dessous) □ NOTE: Tant que le SAId n'a pas changé, la portion de sécurité de l'application n'a pas été modifiée. Voir le bloc fonction S_SYST_STAT_MX pour plus de détails sur le comportement du SAId. • Surveiller l'état de verrouillage de la configuration de chaque module de sécurité. • Enregistrer les opérations de réparation. • Si un module est remplacé, l'équipement de remplacement doit être correctement configuré et vous (l'utilisateur) devez vérifier son bon fonctionnement. Effectuez (au minimum) les opérations de mise en service applicables à ce module. • Enregistrer les écarts. □ □ □ □ > Etape 15 : Modification et modernisation générales CV 8 • Toute modification doit être traitée comme une nouvelle conception. Une analyse d'impact peut permettre de définir quelle partie de l'ancien système de sécurité peut être conservée et quelle partie doit être reconçue. □ NOTE: Lorsqu'une modification ne concerne pas l'application sécurisée, utilisez la signature du source SAFE pour vous assurer qu'aucun changement n'a été apporté involontairement au code SAFE. Cette signature permet de vérifier théoriquement que l'application n'a pas changé. • 14 Elle ne remplace pas le SAId, qui représente l'unique moyen de s'assurer qu'un PAC exécute bien l'application sécurisée qui a été validée. □ EIO0000004741.00 Exigences relatives à la sécurité des applications Informations sur la sécurité - Manuel de sécurité M580 Liste de contrôle des exigences relatives aux messages d'informations sur la sécurité du manuel de sécurité. Pour plus d'informations sur les exigences associées, reportez-vous au document Modicon M580 - Manuel de sécurité [1]. Exigences relatives aux messages d'informations sur la sécurité Id Done Justification Consignes de sécurité > Avant de commencer MS 1 EQUIPEMENT NON PROTEGE N'utilisez pas ce logiciel ni les automatismes associés sur des appareils non équipés de protection du point de fonctionnement. □ N'accédez pas aux machines pendant leur fonctionnement. □ > Démarrage et test MS 2 RISQUES INHERENTS AU FONCTIONNEMENT DE L'EQUIPEMENT • Assurez-vous que toutes les procédures d'installation et de configuration ont été respectées. • Avant de réaliser les tests de fonctionnement, retirez tous les blocs ou autres cales temporaires utilisés pour le transport de tous les dispositifs composant le système. • Enlevez les outils, les instruments de mesure et les débris éventuels présents sur l'équipement. □ □ □ Fonction de sécurité M580 > Boucle de sécurité MS 3 PERTE DE LA CAPACITE A EXECUTER LES FONCTIONS DE SECURITE • Utilisez uniquement des modules de sécurité pour assurer des fonctions de sécurité. • N'utilisez pas les entrées ou les sorties de modules non perturbateurs pour les fonctions liées à la sécurité. • N'utilisez pas de variables de la zone globale pour les fonctions liées à la sécurité. □ □ □ Modules pris en charge par le système de sécurité M580 > Modules non perturbateurs MS 4 UTILISATION INCORRECTE DES DONNÉES LIÉES À LA SÉCURITÉ Vérifiez que les données d'entrée et les données de sortie des modules non perturbateurs ne sont pas utilisées pour le contrôle des sorties liées à la sécurité. Les modules sans fonction de sécurité peuvent traiter uniquement des données non sécurisées. □ Modules d'E/S de sécurité M580 > Caractéristiques communes des modules d'E/S de sécurité M580 > Alimentation externe utilisée avec les modules d'E/S de sécurité numériques MS 5 ALIMENTATION SELV/PELV DE CATÉGORIE DE SURTENSION II REQUISE Utilisez obligatoirement une alimentation de type SELV/PELV de catégorie de surtension II, avec une sortie maximum de 60 VCC, pour alimenter les capteurs et les actionneurs. □ Modules d'E/S de sécurité M580 > Module d'entrée analogique BMXSAI0410 > Exemples de câblage d'application du module d'entrée BMXSAI0410 MS 6 RISQUE DE FONCTIONNEMENT IMPRÉVU Le niveau d'intégrité de sécurité (SIL) maximum est déterminé par la qualité du capteur et la longueur de l'intervalle entre tests périodiques conformément à la norme IEC 61508. Si vous utilisez des capteurs qui ne répondent pas aux exigences du standard SIL visé, prévoyez systématiquement un câblage redondant à deux canaux. EIO0000004741.00 □ 15 Exigences relatives à la sécurité des applications Id Exigences relatives aux messages d'informations sur la sécurité Done Justification > SIL3 Cat2/PLd MS 7 RISQUE DE FONCTIONNEMENT IMPRÉVU Pour obtenir le niveau SIL3 conformément à la norme IEC 61508 et Cat 2/PLd conformément à la norme ISO13849 en utilisant ce mode de câblage, vous devez utiliser un capteur homologué approprié. □ > SIL3 Cat2/PLd avec haute disponibilité MS8 RISQUE DE FONCTIONNEMENT IMPRÉVU Pour obtenir le niveau SIL3 conformément à la norme IEC 61508 et Cat 2/PLd conformément à la norme ISO13849 en utilisant ce mode de câblage, vous devez utiliser un capteur homologué approprié. □ > SIL3 Cat4/PLe MS 9 RISQUE DE FONCTIONNEMENT IMPRÉVU Pour obtenir le niveau SIL3 conformément à la norme IEC 61508 et Cat 4/PLe conformément à la norme ISO13849 en utilisant ce mode de câblage, vous devez utiliser un capteur homologué approprié. □ > SIL3 Cat4/PLe avec haute disponibilité MS 10 RISQUE DE FONCTIONNEMENT IMPRÉVU Pour obtenir le niveau SIL3 conformément à la norme IEC 61508 et Cat 4/PLe conformément à la norme ISO13849 en utilisant ce mode de câblage, vous devez utiliser un capteur homologué approprié. □ Modules d'E/S de sécurité M580 > Module d'entrée numérique de sécurité BMXSDI1602 > Exemples de câblage d'application du module d'entrée BMXSDI1602 MS 11 PERTE DE LA CAPACITE A EXECUTER LES FONCTIONS DE SECURITE MS 12 SELECTION DE FUSIBLE INCORRECTE MS 13 RISQUE DE FONCTIONNEMENT IMPRÉVU Utilisez obligatoirement une alimentation process de type SELV/PELV avec sortie maximale de 60 V. Utilisez des fusibles à fusion rapide pour protéger les composants électroniques du module d'entrée numérique contre les excès d'intensité électrique. Un mauvais choix de fusible peut endommager le module d'entrée. Le niveau d'intégrité de sécurité (SIL) maximum est déterminé par la qualité du capteur et la longueur de l'intervalle entre tests périodiques conformément à la norme IEC 61508. Si vous utilisez des capteurs qui ne répondent pas aux exigences du standard SIL visé, prévoyez systématiquement un câblage redondant à deux canaux. MS 14 □ □ □ RISQUE DE FONCTIONNEMENT IMPRÉVU Schneider Electric recommande d'activer les diagnostics disponibles dans Control Expert pour détecter ou exclure les conditions décrites plus haut. Si un test de diagnostic n'est pas activé ou n'est pas disponible dans Control Expert, vous devrez appliquer une autre mesure de sécurité pour détecter ou exclure ces conditions. □ > SIL3 Cat2/PLd MS 15 RISQUE DE CIRCUITS CROISES ENTRE CANAUX AU SEIN DU MEME GROUPE MS 16 RISQUE DE CIRCUITS CROISES ENTRE CANAUX Le module ne peut pas détecter les circuits croisés entre deux canaux d'un même groupe VS. Vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. Le module ne peut pas détecter les circuits croisés entre deux canaux (dans le cas, décrit ciavant, d'un seul capteur connecté avec une seule entrée et alimenté par une source externe). Vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. MS 17 16 □ □ RISQUE DE COURT-CIRCUIT VERS LE 24 VCC Le module ne peut pas détecter les conditions de court-circuit vers le 24 VCC (dans le cas, décrit ci-avant, d'un seul capteur connecté avec une seule entrée et alimenté par une source externe). Vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. □ EIO0000004741.00 Exigences relatives à la sécurité des applications Id Exigences relatives aux messages d'informations sur la sécurité Done Justification > SIL3 Cat2/PLd avec haute disponibilité MS 18 RISQUE DE CIRCUITS CROISES ENTRE CANAUX MS 19 RISQUE DE COURT-CIRCUIT VERS LE 24 VCC MS 20 RISQUE DE CIRCUITS CROISES ENTRE CANAUX AU SEIN DU MEME GROUPE MS 21 RISQUE DE CIRCUITS CROISES ENTRE CANAUX Le module ne peut pas détecter les circuits croisés entre deux canaux (dans le cas, décrit ciavant, d'un seul capteur connecté sur deux entrées et alimenté par une source externe). Vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. Le module ne peut pas détecter les conditions de court-circuit vers le 24 VCC (dans le cas, décrit ci-avant, d'un seul capteur connecté sur deux entrées et alimenté par une source externe). Vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. Le module ne peut pas détecter les circuits croisés entre deux canaux d'un même groupe VS. Vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. Le module ne peut pas détecter les circuits croisés entre deux canaux (dans le cas de deux capteurs redondants connectés à des entrées distinctes sur deux modules avec alimentation externe). Vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. MS 22 □ □ □ □ RISQUE DE COURT-CIRCUIT VERS LE 24 VCC Le module ne peut pas détecter une condition de court-circuit vers le 24 VCC (dans le cas de deux capteurs redondants connectés à des entrées distinctes sur deux modules avec alimentation externe). Vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. □ > Cat4/PLe MS 23 RISQUE DE CIRCUITS CROISES ENTRE CANAUX AU SEIN DU MEME GROUPE MS 24 RISQUE DE CIRCUITS CROISES ENTRE CANAUX MS 25 RISQUE DE COURT-CIRCUIT VERS LE 24 VCC MS 26 RISQUE DE FONCTIONNEMENT IMPRÉVU Le module ne peut pas détecter les circuits croisés entre deux canaux d'un même groupe VS. Vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. Le module ne peut pas détecter les circuits croisés entre deux canaux (dans le cas d'un seul capteur connecté sur deux entrées du même module avec une alimentation externe). Vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. Le module ne peut pas détecter les conditions de court-circuit vers le 24 VCC (dans le cas d'un seul capteur connecté sur deux entrées du même module avec une alimentation externe). Vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. Pour obtenir le niveau SIL3 conformément à la norme IEC 61508 et Cat4/PLe conformément à la norme ISO13849 en utilisant ce mode de câblage, vous devez utiliser les capteurs homologués appropriés. MS 27 RISQUE DE CIRCUITS CROISES ENTRE CANAUX AU SEIN DU MEME GROUPE MS 28 RISQUE DE COURT-CIRCUIT VERS LE 24 VCC MS 29 RISQUE DE CIRCUITS CROISES ENTRE CANAUX Le module ne peut pas détecter les circuits croisés entre deux canaux du même groupe VS (dans le cas de l'acquisition de la même variable de processus à l'aide de deux capteurs distincts avec alimentation par VS). Vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. Le module ne peut pas détecter une condition de court-circuit vers le 24 VCC (dans le cas de l'acquisition de la même variable de processus à l'aide de deux capteurs distincts avec alimentation par VS). Vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. Le module ne peut pas détecter les circuits croisés entre deux canaux (dans le cas de l'acquisition de la même variable de processus à l'aide de deux capteurs distincts avec alimentation externe). Vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. EIO0000004741.00 □ □ □ □ □ □ □ 17 Exigences relatives à la sécurité des applications Exigences relatives aux messages d'informations sur la sécurité Id MS 30 Done Justification RISQUE DE FONCTIONNEMENT IMPRÉVU Pour atteindre les niveaux SIL3 et Cat4/PLe avec ce câblage, vous devez utiliser un capteur homologué approprié. □ > Cat4/PLe avec haute disponibilité MS 31 RISQUE DE CIRCUITS CROISES ENTRE CANAUX AU SEIN DU MEME GROUPE MS 32 RISQUE DE CIRCUITS CROISES ENTRE CANAUX Le module ne peut pas détecter les circuits croisés entre deux canaux d'un même groupe VS. Vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. Le module ne peut pas détecter les circuits croisés entre deux canaux (dans le cas de la connexion monocanal de deux capteurs monocanaux redondants avec une alimentation externe). Vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. MS 33 RISQUE DE COURT-CIRCUIT VERS LE 24 VCC MS 34 RISQUE DE CIRCUITS CROISES ENTRE CANAUX AU SEIN DU MEME GROUPE MS 35 RISQUE DE CIRCUITS CROISES ENTRE CANAUX MS 36 RISQUE DE FONCTIONNEMENT IMPRÉVU Le module ne peut pas détecter une condition de court-circuit vers le 24 VCC (dans le cas de la connexion monocanal de deux capteurs monocanaux redondants avec une alimentation externe). Vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. Le module ne peut pas détecter les circuits croisés entre deux canaux d'un même groupe VS. Vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. Le module ne peut pas détecter les circuits croisés entre deux canaux. Vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. Pour obtenir le niveau SIL3 conformément à la norme IEC 61508 et Cat4/PLe conformément à la norme ISO13849 en utilisant ce mode de câblage, vous devez utiliser les capteurs homologués appropriés. □ □ □ □ □ □ Modules d'E/S de sécurité M580 > Module de sortie numérique de sécurité BMXSDO0802 MS 37 SELECTION DE FUSIBLE INCORRECTE Utilisez des fusibles à fusion rapide pour protéger les composants électroniques du module de sortie numérique contre les excès d'intensité électrique. Un mauvais choix de fusible peut endommager le module. □ > Exemples de câblage d'application du module de sortie BMXSDO0802 MS 38 RISQUE DE FONCTIONNEMENT IMPRÉVU Le niveau d'intégrité de sécurité (SIL) maximum est déterminé par la qualité de l'actionneur et la longueur de l'intervalle entre tests périodiques conformément à la norme IEC 61508. Si vous utilisez des actionneurs qui ne répondent pas aux exigences du standard SIL visé, prévoyez systématiquement un câblage redondant à deux canaux. MS 39 □ RISQUE DE FONCTIONNEMENT IMPRÉVU Lorsque l'équipement est utilisé dans une application impliquant des risques d'incendie et d'émanation de gaz, ou encore lorsque l'état de demande de la sortie est alimenté : 18 • Votre procédure de tests périodiques doit inclure un test d'efficacité de la détection de fil rompu qui consiste à retirer le bornier et à vérifier que les bits d'erreur correspondants sont définis. • Vérifiez l'efficacité de la détection de court-circuit à la terre, soit en activant la fonction de diagnostic Test d'impulsion pour l'état alimenté dans l'onglet Configuration du module, soit en implémentant une autre procédure (par exemple, en définissant la sortie sur 1 et en vérifiant les diagnostics, et ainsi de suite). • Evitez d'utiliser des actionneurs de type lampe car leur impédance est très faible à l'allumage, ce qui peut créer le risque de détecter une condition erronée de court-circuit ou de surcharge. □ □ □ EIO0000004741.00 Exigences relatives à la sécurité des applications Id Exigences relatives aux messages d'informations sur la sécurité Done Justification > Diagnostics de câblage configurables dans Control Expert MS 40 RISQUE DE FONCTIONNEMENT IMPRÉVU Schneider Electric recommande d'activer les diagnostics disponibles dans Control Expert pour détecter et résoudre les conditions décrites plus haut. Si un test de diagnostic n'est pas activé ou n'est pas disponible dans Control Expert, vous devrez appliquer une autre mesure de sécurité pour détecter ou exclure ces conditions. □ > Récapitulatif des diagnostics de câblage des sorties MS 41 RISQUE DE COURT-CIRCUIT VERS LA TERRE 0 VCC MS 42 RISQUE DE COURT-CIRCUIT VERS LE 24 VCC MS 43 RISQUE DE CIRCUITS CROISES MS 44 RISQUE DE CIRCUITS CROISES MS 45 RISQUE DE CIRCUITS CROISES MS 46 RISQUE DE CIRCUITS CROISES Pour la condition de court-circuit à la terre 0 V avec un état de sortie non alimenté, il est recommandé d'activer l'option Détection de fil ouvert dans l'onglet Configuration du module. Sinon, vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. Pour la condition de court-circuit sur le 24 V avec l'état de sortie alimenté ou non alimenté, il est recommandé d'activer l'option Court-circuit pour détection 24 V dans l'onglet Configuration du module. Sinon, vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. Le module ne peut pas détecter la condition de circuits croisés entre deux canaux avec l'état de sortie non alimenté et l'autre canal non alimenté. Vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition si elle se produit lorsque la sortie passe à l'état alimenté. Pour la condition de circuits croisés entre deux canaux avec l'état de sortie non alimenté et l'autre canal alimenté, il est recommandé d'activer l'option Court-circuit pour détection 24 V dans l'onglet Configuration du module. Sinon, vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition lorsque la sortie passe à l'état alimenté. Le module ne peut pas détecter la condition de circuits croisés entre deux canaux avec l'état de sortie alimenté et l'autre canal non alimenté. Vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. Pour la condition de circuits croisés entre deux canaux avec l'état de sortie alimenté et l'autre canal alimenté, il est recommandé d'activer l'option Court-circuit pour détection 24 V dans l'onglet Configuration du module. Sinon, vous devez appliquer une autre mesure de sécurité pour détecter ou exclure cette condition. □ □ □ □ □ □ Modules d'E/S de sécurité M580 > Module de sortie relais numérique de sécurité BMXSRA0405 > Connecteur de câblage du BMXSRA0405 MS 47 RISQUE DE FONCTIONNEMENT IMPRÉVU Il vous incombe de mettre en oeuvre les diagnostics de câblage appropriés pour détecter et éviter la survenue de défauts dangereux sur le câblage externe. □ > Application_1 : 4 sorties, conformité SIL2 et Cat2/PLc, état non alimenté, pas de test de signal automatique MS 48 PERTE DE LA CAPACITE A EXECUTER LES FONCTIONS DE SECURITE Pour réaliser le niveau SIL2 de la norme IEC61508 et le niveau Cat2/PLc de la norme ISO 13849 avec cette conception de câblage, vous devez effectuer une transition de signal quotidienne de l'état alimenté vers l'état non alimenté. □ > Application_3 : 4 sorties, conformité SIL2 et Cat2/PLc, état non alimenté, pas de test de signal automatique MS 49 PERTE DE LA CAPACITE A EXECUTER LES FONCTIONS DE SECURITE Pour réaliser le niveau SIL2 de la norme IEC61508 et le niveau Cat2/PLc de la norme ISO 13849 avec cette conception de câblage, vous devez effectuer une transition de signal quotidienne de l'état alimenté vers l'état non alimenté. □ > Application_5 : 2 sorties, conformité SIL3 et Cat4/PLe, état non alimenté, pas de test de signal automatique MS 50 PERTE DE LA CAPACITE A EXECUTER LES FONCTIONS DE SECURITE Pour réaliser le niveau SIL3 de la norme IEC61508 et le niveau Cat 4/PLe de la norme ISO 13849 avec cette conception de câblage, vous devez effectuer une transition de signal quotidienne de l'état alimenté vers l'état non alimenté. EIO0000004741.00 □ 19 Exigences relatives à la sécurité des applications Exigences relatives aux messages d'informations sur la sécurité Id Done Justification > Application_7 : 2 sorties, conformité SIL3 et Cat4/PLe, état alimenté, pas de test de signal automatique MS 51 PERTE DE LA CAPACITE A EXECUTER LES FONCTIONS DE SECURITE Pour réaliser le niveau SIL3 de la norme IEC61508 et le niveau Cat 4/PLe de la norme ISO 13849 avec cette conception de câblage, vous devez effectuer une transition de signal quotidienne de l'état alimenté vers l'état non alimenté. □ Alimentations de sécurité M580 MS 52 PERTE DE LA CAPACITE A EXECUTER LES FONCTIONS DE SECURITE Utilisez uniquement une alimentation BMXCPS4002S, BMXCPS4022S ou BMXCPS3522S dans un rack comprenant un module de sécurité M580. Vérifiez à la fois votre installation physique et votre projet dans Control Expert pour confirmer que seuls des modules d'alimentation de sécurité M580 sont utilisés. □ Validation d'un système de sécurité M580 > Calculs de performance et de chronologie d'un système de sécurité M580 MS 53 RISQUE DE COMPORTEMENT INATTENDU DE L'EQUIPEMENT Réglez le timeout de sécurité de repli (S_TO) pour un module de sorties de sécurité sur une valeur au moins supérieure à 40 ms ou (2,5 * TSAFE), où TSAFE est égal à la période de la tâche SAFE configurée. MS 54 □ RISQUE DE DEPASSEMENT DU DELAI DE SECURITE DU PROCESSUS Définissez la période maximum de la tâche SAFE de l'UC en tenant compte du délai de sécurité de votre processus. La période de la tâche SAFE de l'UC doit être inférieure au délai de sécurité de processus de votre projet. □ Bibliothèque de sécurité > Fonctions et blocs fonction de sécurité certifiés MS 55 FONCTIONNEMENT IMPRÉVU DE L'APPLICATION • N'utilisez pas la V1.00 du bloc fonction dérivé S_GUARD_LOCKING dans votre application. • Dans Unity Pro 13.0 XLS (ou version ultérieure), mettez à jour le bloc fonction S_ GUARD_LOCKING dans votre application avec la version V1.01 (ou ultérieure) et régénérez l'application. □ □ Communications du système de sécurité M580 > Service NTP > Configuration du service NTP MS 56 RISQUE DE FONCTIONNEMENT IMPRÉVU Si vous insérez des modules d'E/S de sécurité dans une station RIO, l'heure courante doit être configurée pour le PAC avec micrologiciel de version 3.10 ou antérieure. Activez le service NTP pour votre système M580 et configurez l'UC de sécurité en tant que serveur NTP ou client NTP. □ > Modification des paramètres temporels NTP durant les opérations MS 57 RISQUE D'ARRÊT DU SYSTÈME DE SÉCURITÉ • Lors de l'utilisation de Control Expert V13 ou V13.1 ou du micrologiciel CPU 2.70 ou version antérieure, ne modifiez pas les paramètres temporels (horloge) sur le serveur NTP ou la CPU. • Un changement d'heure au cours des opérations peut entraîner une perte de communication et un arrêt du système de sécurité. □ □ > Procédure de synchronisation des paramètres temporels NTP MS 58 RISQUE D'EQUIPEMENT INOPERANT Si vous mettez à jour l'heure du PAC à l'aide de la fonction facultative Mettre à jour l'UC avec l'heure du module sur un module BMENOP0300 ou BMENOC0301/11, une fois l'heure fournie par le serveur NTP externe appliquée (lorsque %SW152 passe de 0 à 1), synchronisez l'heure SAFE avec le serveur NTP externe via le mot %SW128. Respectez la procédure suivante pour synchroniser l'heure NTP. 20 □ EIO0000004741.00 Exigences relatives à la sécurité des applications Exigences relatives aux messages d'informations sur la sécurité Id MS 59 Done Justification RISQUE D'ARRÊT DU SYSTÈME DE SÉCURITÉ • Si vous utilisez Control Expert V14.0 ou version ultérieure et le micrologiciel CPU 2.80 ou version ultérieure pour effectuer une modification d'horloge de PAC, vous devez faire suivre cette modification de la procédure de synchronisation décrite précédemment. • Si vous n'effectuez pas la procédure de synchronisation, les E/S de sécurité peuvent indiquer soit l'état sécurisé, soit l'état de repli après la dérive de l'horloge durant le délai de communication. □ □ > Configuration du DFB S_WR_ETH_MX MS 60 PERTE DE LA CAPACITÉ À EXÉCUTER LES FONCTIONS DE SÉCURITÉ La valeur du paramètre ID doit être unique et immuable dans le réseau pour une paire émetteur/récepteur. □ > Configuration du DFB S_RD_ETH_MX MS 61 PERTE DE LA CAPACITÉ À EXÉCUTER LES FONCTIONS DE SÉCURITÉ • Le bloc fonction DFB S_RD_ETH_MX doit être appelé lors de chaque cycle dans la logique de programme du PAC récepteur et il doit être exécuté avant que les données du cycle soient utilisées. • La valeur du paramètre ID doit être unique et immuable dans le réseau pour une paire émetteur/récepteur. • Vous devez tester la valeur du bit HEALTH du DFB S_RD_ETH_MX à chaque cycle avant d'utiliser toute donnée sûre pour gérer la fonction de sécurité. □ □ □ > Configuration du DFB S_WR_ETH_MX2 MS 62 PERTE DE LA CAPACITÉ À EXÉCUTER LES FONCTIONS DE SÉCURITÉ La valeur du paramètre ID doit être unique et immuable dans le réseau pour une paire émetteur/récepteur. □ > Configuration du DFB S_RD_ETH_MX2 MS 63 PERTE DE LA CAPACITÉ À EXÉCUTER LES FONCTIONS DE SÉCURITÉ • Le bloc fonction DFB S_RD_ETH_MX2 doit être appelé lors de chaque cycle dans la logique de programme du PAC récepteur et il doit être exécuté avant que les données du cycle soient utilisées. • La valeur du paramètre ID doit être unique et immuable dans le réseau pour une paire émetteur/récepteur. • Vous devez tester la valeur du bit HEALTH du DFB S_RD_ETH_MX2 à chaque cycle avant d'utiliser toute donnée sécurisée pour gérer la fonction de sécurité. □ □ □ > Communications par canal noir M580 MS 64 RISQUE DE FONCTIONNEMENT IMPRÉVU Si vous insérez des modules d'E/S de sécurité dans une station RIO, l'heure courante doit être configurée pour le PAC avec micrologiciel d'UC de version 3.10 ou antérieure. Activez le service NTP pour votre système M580 et configurez l'UC de sécurité en tant que serveur NTP ou client NTP. MS 65 □ CHANGEMENT INATTENDU D'ETAT DES SORTIES LORS DU RETABLISSEMENT DE LA COMMUNICATION La logique du programme doit surveiller l'état des canaux de sortie et activer la fonction de sécurité en conséquence, en faisant passer les commandes de sorties à l'état sécurisé. □ Diagnostics d'un système de sécurité M580 > Diagnostics de l'UC et du coprocesseur de sécurité M580 > Diagnostics par LED de l'UC de sécurité M580 MS 66 RISQUE DE DIAGNOSTIC SYSTEME INEXACT Ne pas utiliser les LED comme des indicateurs de fonctionnement. EIO0000004741.00 □ 21 Exigences relatives à la sécurité des applications Exigences relatives aux messages d'informations sur la sécurité Id Done Justification Utilisation d'un système de sécurité M580 > Modes de fonctionnement, états de fonctionnement et tâches > Fonctionnement du mode de maintenance MS 67 PERTE DU NIVEAU D'INTÉGRITÉ DE LA SÉCURITÉ Vous devez prendre les mesures nécessaires afin de sécuriser le système lorsque le PAC de sécurité est en mode maintenance. □ > Séquences de démarrage MS 68 FONCTIONNEMENT IMPRÉVU DE L'ÉQUIPEMENT Vous devez vous assurer que la sélection de la fonction Démarrage automatique en mode RUN n'entraîne pas un comportement inattendu de votre système. Si c'est le cas, vous devez désactiver cette fonction. □ > Verrouillage de la configuration des modules d'E/S de sécurité M580 > Verrouillage de la configuration d'un module d'E/S de sécurité MS 69 RISQUE DE DETERIORATION INATTENDUE DU NIVEAU D'INTEGRITE DE LA SECURITE DU PROJET Vous devez verrouiller chaque module d'E/S de sécurité, une fois configuré mais avant de lancer les opérations. MS 70 □ VALEUR DE VARIABLE INATTENDUE • Assurez-vous que les paramètres de projet de l'application sont corrects. • Vérifiez la syntaxe permettant d'accéder aux variables dans les différents espaces de nom. □ □ CIP Safety > Opérations CIP Safety > Configuration de l'équipement CIP Safety à l'aide d'un outil fourni par le fabricant MS 71 RISQUE DE COMPORTEMENT INATTENDU DE L'EQUIPEMENT Si la CPU M580 est configurée comme équipement CIP Safety source, testez et vérifiez le bon fonctionnement du système avant de contrôler la fonction de sécurité associée via une communication CIP Safety. Lorsque les tests et la vérification ont été correctement exécutés, activez la signature de la configuration CIP Safety cible (si elle existe) dans les DTM CIP Safety Control Expert. □ > Interactions entre les opérations du PAC de sécurité et la connexion cible MS 72 22 RISQUE DE COMPORTEMENT INATTENDU DE L'EQUIPEMENT N'utilisez pas les bits CTRL_IN ou CTRL_OUT comme mesure de sécurité pour faire passer les données cibles à l'état sécurisé. □ EIO0000004741.00 Exigences relatives à la sécurité des applications Informations sur la sécurité - M580 - Guide de planification du système de sécurité Liste de contrôle des exigences relatives aux messages d'informations sur la sécurité du Guide de planification du système de sécurité. Pour plus d'informations sur les exigences associées, consultez le document Modicon M580 - Guide de planification du système de sécurité [2]. Id Exigences relatives aux messages d'informations sur la sécurité Done Justification Consignes de sécurité > Avant de commencer PG 1 PG 2 EQUIPEMENT NON PROTEGE N'utilisez pas ce logiciel ni les automatismes associés sur des appareils non équipés de protection du point de fonctionnement. □ N'accédez pas aux machines pendant leur fonctionnement. □ > Démarrage et test RISQUES INHERENTS AU FONCTIONNEMENT DE L'EQUIPEMENT • Assurez-vous que toutes les procédures d'installation et de configuration ont été respectées. • Avant de réaliser les tests de fonctionnement, retirez tous les blocs ou autres cales temporaires utilisés pour le transport de tous les dispositifs composant le système. • Enlevez les outils, les instruments de mesure et les débris éventuels présents sur l'équipement. □ □ □ Modules pris en charge par le système de sécurité M580 > Modules non perturbateurs PG 3 UTILISATION INCORRECTE DES DONNÉES LIÉES À LA SÉCURITÉ Vérifiez que les données d'entrée et les données de sortie des modules non perturbateurs ne sont pas utilisées pour le contrôle des sorties liées à la sécurité. Les modules sans fonction de sécurité peuvent traiter uniquement des données non sécurisées. □ CPU et coprocesseur de sécurité M580 > Caractéristiques physiques de la CPU et du coprocesseur de sécurité M580 PG 4 RISQUE D'ÉLECTROCUTION Lorsqu'il est impossible de prouver que l'extrémité d'un câble blindé est reliée à la masse locale, ce câble doit être considéré comme dangereux et les équipements de protection individuelle (EPI) doivent être utilisés. □ Installation du PAC de sécurité M580 > Installation de racks et modules d'extension M580 PG 5 FONCTIONNEMENT IMPRÉVU DE L'ÉQUIPEMENT Installez les racks sur le plan horizontal longitudinal pour faciliter la ventilation. PG 6 □ SURCHAUFFE ET FONCTIONNEMENT INATTENDU DE L'ÉQUIPEMENT Lorsque vous installez des racks, prévoyez des dégagements suffisants pour le refroidissement. □ > Installation d'une CPU, d'un coprocesseur, d'une alimentation et d'un module d'E/S M580 PG 7 RISQUE D'ÉLECTROCUTION Déconnectez toutes les sources d'alimentation avant d'installer la CPU. PG 8 □ FONCTIONNEMENT IMPRÉVU DE L'ÉQUIPEMENT Assurez-vous que la CPU ne contient pas de carte mémoire SD non prise en charge avant de la mettre sous tension. EIO0000004741.00 □ 23 Exigences relatives à la sécurité des applications Id PG 9 Exigences relatives aux messages d'informations sur la sécurité □ RISQUE D'ÉLECTROCUTION Lorsqu'il est impossible de prouver que l'extrémité d'un câble blindé est reliée à la masse locale, ce câble doit être considéré comme dangereux et les équipements de protection individuelle (EPI) doivent être utilisés. PG 15 □ RISQUES DE FONCTIONNEMENT IMPRÉVU DU SYSTÈME Vérifiez que le module d'alimentation de sécurité M580 est hors tension avant de connecter ou de déconnecter le bornier amovible du relais d'alarme. PG 14 □ RISQUES DE FONCTIONNEMENT IMPRÉVU DU SYSTÈME Vérifiez que l'alimentation est coupée (disjoncteur en amont OFF) avant de connecter ou de déconnecter le bornier amovible de l'alimentation principale du module d'alimentation de sécurité M580. PG 13 □ RISQUES DE FONCTIONNEMENT IMPRÉVU DU SYSTÈME Vérifiez que l'alimentation est coupée avant le retrait du module d'alimentation de sécurité M580 du rack ou avant son insertion dans le rack. PG 12 □ PERTE DE LA CAPACITÉ À EXÉCUTER LA FONCTION DE SÉCURITÉ Utilisez l'alimentation de sécurité BMXCPS4002S, BMXCPS4022S ou BMXCPS3522S uniquement dans un rack contenant au moins un module de sécurité. PG 11 Justification RISQUE D'ÉLECTROCUTION Lorsqu'il est impossible de prouver que l'extrémité d'un câble blindé est reliée à la masse locale, ce câble doit être considéré comme dangereux et les équipements de protection individuelle (EPI) doivent être utilisés. PG 10 Done □ RISQUE D'ÉLECTROCUTION, D'EXPLOSION OU D'ARC ÉLECTRIQUE Lors du montage ou du retrait des modules d'E/S de sécurité : • Vérifiez que chaque bornier est relié à la barre de mise à la terre BMXXSP••••. • Coupez la tension d'alimentation des capteurs et actionneurs. □ □ Utilisation d'un système de sécurité M580 > Modes de fonctionnement, états de fonctionnement et tâches PG 16 PERTE DU NIVEAU D'INTÉGRITÉ DE LA SÉCURITÉ Vous devez prendre les mesures nécessaires afin de sécuriser le système lorsque le PAC de sécurité est en mode maintenance. PG 17 □ FONCTIONNEMENT IMPRÉVU DE L'ÉQUIPEMENT Vous devez vous assurer que la sélection de la fonction Démarrage automatique en mode RUN n'entraîne pas un comportement inattendu de votre système. Si c'est le cas, vous devez désactiver cette fonction. □ > Verrouillage de la configuration des modules d'E/S de sécurité M580 PG 18 RISQUE DE DETERIORATION INATTENDUE DU NIVEAU D'INTEGRITE DE LA SECURITE DU PROJET Vous devez verrouiller chaque module d'E/S de sécurité, une fois configuré mais avant de lancer les opérations. □ > Utilisation des tables d'animation dans Control Expert PG 19 24 VALEUR DE VARIABLE INATTENDUE • Assurez-vous que les paramètres de projet de l'application sont corrects. • Vérifiez la syntaxe permettant d'accéder aux variables dans les différents espaces de nom. □ □ EIO0000004741.00 Exigences relatives à la sécurité des applications Informations sur la sécurité - EcoStruxure™ Control Expert - Sécurité - Bibliothèque de blocs Liste de contrôle des exigences relatives aux messages d'informations sur la sécurité de la bibliothèque de blocs de sécurité. Pour plus d'informations sur les exigences associées, consultez le document EcoStruxure™ Control Expert Sécurité - Bibliothèque de blocs [4]. Id Exigences relatives aux messages d'informations sur la sécurité Done Justification A propos de ce manuel > Informations relatives au produit BIB 1 FONCTIONNEMENT IMPRÉVU DE L'ÉQUIPEMENT N'utilisez que des logiciels approuvés par Schneider Electric. BIB 2 □ FONCTIONNEMENT IMPRÉVU DE L'ÉQUIPEMENT • Consultez le document CEI 61508, « Sécurité fonctionnelle des systèmes électriques/ électroniques/électroniques programmables relatifs à la sécurité ». • Veillez à bien comprendre la définition des applications et environnements du niveau d'intégrité de sécurité (SIL) 3 de la norme CEI 61508 Parties 1-7, édition 2.0. • Ne dépassez pas les spécifications SIL 3 dans l'application de ce produit. □ □ □ S_EDM : surveillance de détection des erreurs relatives à l'actionneur > Description BIB 3 RISQUE DE FONCTIONNEMENT IMPRÉVU Activez les entrées S_StartReset et S_AutoReset uniquement après avoir vérifié qu'aucune situation dangereuse ne peut survenir en cas de démarrage du système. □ S_ENABLE_SWITCH : commutateur d'activation à trois positions > Description BIB 4 RISQUE DE FONCTIONNEMENT IMPRÉVU Activez les entrées S_StartReset et S_AutoReset uniquement après avoir vérifié qu'aucune situation dangereuse ne peut survenir en cas de démarrage du système. □ S_ESPE : équipement de protection électrosensible > Description BIB 5 RISQUE DE FONCTIONNEMENT IMPRÉVU Activez les entrées S_StartReset et S_AutoReset uniquement après avoir vérifié qu'aucune situation dangereuse ne peut survenir en cas de démarrage du système. □ S_GUARD_LOCKING : commande de système de verrouillage > Description BIB 6 RISQUE DE FONCTIONNEMENT IMPRÉVU Activez les entrées S_StartReset et S_AutoReset uniquement après avoir vérifié qu'aucune situation dangereuse ne peut survenir en cas de démarrage du système. □ S_GUARD_MONITORING : surveillance de système de verrouillage > Description BIB 7 RISQUE DE FONCTIONNEMENT IMPRÉVU Activez les entrées S_StartReset et S_AutoReset uniquement après avoir vérifié qu'aucune situation dangereuse ne peut survenir en cas de démarrage du système. EIO0000004741.00 □ 25 Exigences relatives à la sécurité des applications Id Exigences relatives aux messages d'informations sur la sécurité Done Justification S_OUTCONTROL : pilote de sortie > Description BIB 8 RISQUE DE FONCTIONNEMENT IMPRÉVU Activez les entrées S_StartReset et S_AutoReset uniquement après avoir vérifié qu'aucune situation dangereuse ne peut survenir en cas de démarrage du système. □ S_AI_COMP : comparaison d'entrées analogiques > Description BIB 9 PERTE DU NIVEAU D'INTÉGRITÉ DE LA SÉCURITÉ Le code qui inclut le bloc fonction S_AI_COMP doit être certifié conforme à la norme CEI 61508, avant d'être utilisé en production. □ S_EMERGENCYSTOP : surveillance d'arrêt d'urgence > Description BIB 10 RISQUE DE FONCTIONNEMENT IMPRÉVU Activez les entrées S_StartReset et S_AutoReset uniquement après avoir vérifié qu'aucune situation dangereuse ne peut survenir en cas de démarrage du système. □ S_MUTING_PAR : inhibition parallèle > Description BIB 11 RISQUE DE FONCTIONNEMENT IMPRÉVU Activez les entrées S_StartReset et S_AutoReset uniquement après avoir vérifié qu'aucune situation dangereuse ne peut survenir en cas de démarrage du système. □ S_MUTING_SEQ : inhibition séquentielle > Description BIB 12 RISQUE DE FONCTIONNEMENT IMPRÉVU Activez les entrées S_StartReset et S_AutoReset uniquement après avoir vérifié qu'aucune situation dangereuse ne peut survenir en cas de démarrage du système. □ S_AIHA : haute disponibilité pour entrées analogiques de sécurité Mx80 > Description BIB 13 PERTE DU NIVEAU D'INTÉGRITÉ DE LA SÉCURITÉ Le code qui inclut le bloc fonction S_AIHA doit être certifié conforme à la norme CEI 61508, avant d'être utilisé en production. □ S_DIHA : haute disponibilité pour entrées numériques de sécurité Mx80 > Description BIB 14 PERTE DU NIVEAU D'INTÉGRITÉ DE LA SÉCURITÉ Le code qui inclut le bloc fonction S_DIHA doit être certifié conforme à la norme CEI 61508, avant d'être utilisé en production. 26 □ EIO0000004741.00 Exigences relatives à la sécurité des applications Informations sur la sécurité - Normes et certifications Liste de contrôle des exigences relatives aux messages d'informations sur la sécurité des normes et certifications. Pour plus d'informations sur les exigences associées, consultez le document Plateformes Modicon M580, M340 et X80 I/O Normes et certifications [5]. Id Exigences relatives aux messages d'informations sur la sécurité Done Justification A propos de ce manuel > Informations relatives au produit CERT 1 FONCTIONNEMENT IMPRÉVU DE L'ÉQUIPEMENT • L'utilisation de ce produit requiert une expertise dans la conception et la programmation des systèmes d'automatisme. Seules les personnes ayant les compétences adéquates sont autorisées à programmer, installer, modifier et utiliser ce produit. • Respectez toutes les normes et consignes de sécurité locales et nationales. □ □ Règles générales d'installation CERT 2 Vérifiez que les règles générales d'installation sont conformes à celles définies dans le document [5]. □ Conditions de stockage et de fonctionnement CERT 3 Vérifiez que les conditions de stockage et de fonctionnement sont conformes à celles définies dans le document [5]. EIO0000004741.00 □ 27 Printed in: Schneider Electric 35, rue Joseph Monier 92500 Rueil Malmaison - France + 33 (0) 1 41 29 70 00 Schneider Electric 35, rue Joseph Monier 92500 Rueil Malmaison France + 33 (0) 1 41 29 70 00 www.se.com Les normes, spécifications et conceptions pouvant changer de temps à autre, veuillez demander la confirmation des informations figurant dans cette publication. © 2021 Schneider Electric. Tous droits réservés. EIO0000004741.00