Schneider Electric ASISAFEMON. / ASISAFEMON.B Moniteur de sécurité AS-Interface Manuel utilisateur

Telemecanique
ASISAFEMON1 /..1B
ASISAFEMON2 /..2B
Moniteur de sécurité
AS-interface
Manuel d'utilisation
10/2006
© Tous droits réservés, en particulier de polycopie ainsi que de traduction. Toute polycopie ou
reproduction sous n'importe quelle forme nécessite un accord écrit du propriétaire.
Les noms des produits sont utilisés sans garantie de leur utilisabilité libre.
Sous réserve de modifications favorisant le progrès technique.
Table des matières
Table des matières
1
Généralités ......................................................................................................................... 4
1.1
Explication des symboles..................................................................................................... 4
1.2
Déclaration de conformité .................................................................................................... 4
1.3
Normes ................................................................................................................................ 4
1.4
Définitions ............................................................................................................................ 5
1.5
Abréviations ......................................................................................................................... 6
1.6
Description brève ................................................................................................................. 7
1.7
Différents modèles de moniteur de sécurité AS-interface.................................................... 8
2
Recommandations de sécurité ......................................................................................... 9
2.1
Standard de sécurité ............................................................................................................ 9
2.2
Utilisation conforme ............................................................................................................. 9
2.2.1
2.2.2
2.2.3
Domaines d'application ............................................................................................................ 9
Risques résiduels (EN 292-1) .................................................................................................. 9
Domaines d'application .......................................................................................................... 10
2.3
Mesures relatives à l'organisation...................................................................................... 11
3
Caractéristiques techniques ........................................................................................... 12
3.1
Caractéristiques générales ................................................................................................ 12
3.2
Observation de la probabilité de défaillance selon CEI 61508 .......................................... 14
3.3
Encombrement................................................................................................................... 15
3.4
Étendue de la livraison....................................................................................................... 15
4
Montage ............................................................................................................................ 16
4.1
Montage dans l'armoire de commande.............................................................................. 16
5
Branchement électrique pour le ASISAFEMON1 et le ASISAFEMON1B .................... 20
5.1
Affectation des bornes ....................................................................................................... 20
5.2
Vue d'ensemble des raccordements.................................................................................. 22
6
Branchement électrique pour le ASISAFEMON2 et le ASISAFEMON2B .................... 23
Affectation des bornes ....................................................................................................... 23
6.2
Vue d'ensemble des raccordements.................................................................................. 25
7
Branchement électrique pour tous les types ................................................................ 26
7.1
Raccordement du bus AS-interface ................................................................................... 26
7.2
Interface série .................................................................................................................... 27
Situation : 10/2006
6.1
Manuel d'utilisation du moniteur de sécurité AS-interface
1
Table des matières
8
Fonction et mise en service............................................................................................ 28
8.1
Fonctionnement et modes opératoires .............................................................................. 28
Mode démarrage ....................................................................................................................28
Mode configuration .................................................................................................................29
Mode protection ......................................................................................................................29
8.2
Éléments d'affichage et de commande .............................................................................. 30
8.3
Mise en service de l'appareil.............................................................................................. 31
8.4
Configuration et paramétrage de l'appareil ........................................................................ 31
8.5
Documentation de l'application en matière de sécurité...................................................... 32
9
Maintenance ..................................................................................................................... 33
9.1
Contrôler la coupure de sécurité........................................................................................ 33
10
Affichage d'état, pannes et résolution des erreurs ...................................................... 34
10.1
Affichage d'état sur l'appareil / Diagnostic des erreurs sur le PC ...................................... 34
10.2
Quelques conseils pour la recherche d'erreurs.................................................................. 34
10.3
Déverrouillage des erreurs par la touche « Service »........................................................ 34
10.4
Remplacement des esclaves AS-interface de sécurité défectueux ................................... 35
10.4.1
10.4.2
Remplacement d'un esclave AS-interface de sécurité défectueux.........................................35
Remplacement de plusieurs esclaves AS-interface de sécurité défectueux ..........................35
10.5
Remplacement d'un moniteur de sécurité AS-interface défectueux .................................. 37
10.6
Vous avez oublié votre mot de passe ? Que faire ? .......................................................... 38
11
Diagnostic par AS-interface............................................................................................ 39
11.1
Déroulement général ......................................................................................................... 39
11.2
Messages........................................................................................................................... 40
11.2.1
11.2.2
11.2.3
Diagnostic du moniteur de sécurité AS-interface....................................................................40
Diagnostic des blocs trié par circuit de validation ...................................................................43
Diagnostic des blocs non trié ..................................................................................................45
11.3
Exemple : Principe de demande dans le cas du diagnostic trié par circuit de validation ... 47
12
Des systèmes de bus sûrs grâce à l'AS-interface ........................................................ 48
12.1
Description du principe ...................................................................................................... 48
12.2
Structure matérielle des participants au bus pour la transmission..................................... 50
12.3
Structure du télégramme de sécurité................................................................................. 54
12.4
Mesures contre les erreurs de transmission ...................................................................... 56
12.5
Recherche de la probabilité d'erreurs résiduelles .............................................................. 57
12.6
Mise en service, réparation................................................................................................ 60
12.7
Disponibilité........................................................................................................................ 61
12.8
Fabricant ............................................................................................................................ 61
12.9
Bibliographie ...................................................................................................................... 62
2
Manuel d'utilisation du moniteur de sécurité AS-interface
Situation : 10/2006
8.1.1
8.1.2
8.1.3
Liste des figures
Liste des figures
Composants standard et composants de sécurité dans un réseau AS-interface .............. 7
Dimensions ...................................................................................................................... 15
Montage ........................................................................................................................... 16
Bornes de connexion démontables.................................................................................. 17
Retirer et monter les bornes de connexion codées ......................................................... 17
Accessoires de montage pour le plombage de l'appareil................................................. 18
Disposition des bornes / schéma fonctionnel des moniteurs de
sécurité AS-interface de ASISAFEMON1 et de ASISAFEMON1B .................................. 20
Figure 5.2 : Vue d'ensemble des raccordements du moniteur de
sécurité AS-interface de ASISAFEMON1 et de ASISAFEMON1B .................................. 22
Figure 6.1 : Disposition des bornes / schéma fonctionnel des moniteurs de
sécurité AS-interface de ASISAFEMON2 et de ASISAFEMON2B .................................. 23
Figure 6.2 : Vue d'ensemble des raccordements du moniteur de
sécurité AS-interface de ASISAFEMON2 et de ASISAFEMON2B .................................. 25
Figure 7.1 : Variantes de câbles AS-interface..................................................................................... 26
Figure 7.2 : Emplacement de l'interface de configuration RS 232C.................................................... 27
Figure 8.1 : Aperçu des DEL............................................................................................................... 30
Figure 11.1 : Principe de demande dans le cas du diagnostic trié par circuit de sortie ........................ 47
Figure 12.1 : Vue d'ensemble d'un système AS-interface .................................................................... 49
Figure 12.2 : Échange de données en mode de fonctionnement standard .......................................... 50
Figure 12.3 : Échange de données sécuritaire ..................................................................................... 51
Figure 12.4 : Schéma fonctionnel du moniteur de sécurité................................................................... 52
Figure 12.5 : Structure du système avec un moniteur de sécurité........................................................ 52
Figure 12.6 : Structure du système avec un hôte de sécurité............................................................... 53
Figure 12.7 : Signification des bits de l'appel du maître et de la réponse par l'esclave ........................ 54
Figure 12.8 : Schéma fonctionnel d'un esclave de sécurité avec composant de sécurité à deux voies 55
Situation : 10/2006
Figure 1.1 :
Figure 3.1 :
Figure 4.1 :
Figure 4.2 :
Figure 4.3 :
Figure 4.4 :
Figure 5.1 :
Manuel d'utilisation du moniteur de sécurité AS-interface
3
Généralités
1
Généralités
1.1
Explication des symboles
Vous trouverez ci-dessous l'explication des symboles utilisés dans ce manuel d'utilisation.
Attention !
Ce symbole est placé devant des paragraphes qui doivent absolument être respectés. En
cas de non-respect, vous risquez de blesser des personnes ou de détériorer le matériel.
Remarque !
Ce symbole caractérise les parties du texte contenant des informations importantes.
1.2
Déclaration de conformité
Le moniteur de sécurité AS-interface a été développé et produit dans le respect des normes et directives européennes en vigueur.
Remarque !
Vous trouverez la déclaration de conformité dans chaque emballage.
Le fabricant des produits est titulaire du système d'assurance de la qualité selon ISO 9001.
1.3
Normes
Situation : 10/2006
• Proposition de principe pour la vérification et la certification de « systèmes de bus pour la transmission d'informations de haute sécurité »
• EN 954-1 - Sécurité des machines - Pièces de sécurité des commandes
• EN 50295 - Appareillage électrique à basse tension ; interface commande et appareil ; interface
actionneur-capteur (AS-interface)
• EN 60204-1 - Sécurité des machines - Équipement électrique des machines - 1ère partie : exigences générales
• EN 60947-5-1 - Appareillage électrique à basse tension - Partie 5-1 : Appareils de commande et
éléments de commutation ; appareils de commande électromécaniques
• EN 61496-1 - Equipements de protection électro-sensibles
• CEI 61508 1-7 - Sécurité fonctionnelle de systèmes électriques/électroniques/électroniques programmables avec fonction de sécurité
4
Manuel d'utilisation du moniteur de sécurité AS-interface
Généralités
1.4
Définitions
Élément de commutation de sortie (sortie de sécurité) du moniteur de sécurité AS-interface
Élément actionné par la logique du moniteur et capable de couper en toute sécurité les pièces de commande en aval. L'élément de commutation de sortie ne doit pouvoir passer et
rester en état de marche que si tous les composants fonctionnent comme prévu.
Circuit de sortie
Il est composé de deux éléments de commutation de sortie en rapport logique.
Circuit de validation
Composants AS-interface et composants de fonction de sécurité affectés à un circuit de
sortie du moniteur de sécurité AS-interface et responsables du déverrouillage de la partie
de la machine qui provoque le mouvement dangereux.
Esclave intégré
Composant dans lequel la fonctionnalité de capteur et/ou d'actionneur est assemblée avec
l'esclave en une unité.
Mode configuration
Mode de fonctionnement du moniteur de sécurité dans lequel la configuration est chargée
et contrôlée.
Composant de transmission de données qui commande le comportement logique et temporel sur la ligne AS-interface.
Contrôle externe (contrôle à contacteurs)
Le contrôle externe permet la surveillance de la fonction de commutation des contacteurs
raccordés au moniteur de sécurité AS-interface.
Sortie de sécurité
Voir élément de commutation de sortie.
Esclave d'entrée de sécurité
Esclave qui lit l'état de sécurité Marche ou Arrêt du capteur ou du dispositif de transmission
d'ordre raccordé et le transmet au maître ou au moniteur de sécurité.
Situation : 10/2006
Esclave de sécurité
Esclave de raccordement de capteurs, actionneurs et autres appareils de sécurité.
Manuel d'utilisation du moniteur de sécurité AS-interface
5
TNT 35/7-24V
Maître
Généralités
Moniteur de sécurité
Composant surveillant les esclaves de sécurité et le bon fonctionnement du réseau.
Esclave
Composant de transmission de données auquel le maître s'adresse cycliquement à son
adresse et qui ne génère qu'alors une réponse.
Esclave standard
Esclave de raccordement de capteurs, actionneurs et autres appareils non sécuritaires.
Temps de synchronisation
Décalage temporel maximal admissible entre l'apparition de deux événements dépendants
l'un de l'autre.
1.5
Abréviations
Interface actionneur-capteur
DPSC
Dispositif de protection agissant sans contact
CRC
Cyclic Redundancy Check
= contrôle cyclique de la redondance
I/O
Entrée/Sortie
EDM
External Device Monitoring
= contrôle externe
CEM
Compatibilité électromagnétique
ESD
Electrostatic Discharge
= décharge électrostatique
PELV
Protective Extra-Low Voltage (basse tension de protection)
PFD
Probability of Failure on Demand
= probabilité de défaillance lors d'une sollicitation de la fonction de sécurité
API
Automate programmable industriel
Situation : 10/2006
AS-interface
6
Manuel d'utilisation du moniteur de sécurité AS-interface
Généralités
1.6
Description brève
L'interface actionneur-capteur (AS-interface) est un système établi pour la mise en réseau de capteurs et actionneurs principalement binaires au niveau le plus bas de la hiérarchie d'automatisation.
Le grand nombre de systèmes installés, la facilité de manipulation et la fiabilité du fonctionnement en
font un système également intéressant pour la sécurité des machines.
Le système AS-interface sûr est conçu pour des applications de sécurité de catégorie allant jusqu'à
4 selon EN 954-1. Un fonctionnement mixte des composants standard et des composants de sécurité
est possible.
Remarque !
Vous trouverez une description résumée de la transmission AS-interface sûre au
chapitre 12 à la fin de ce manuel d'utilisation.
Dans un système AS-interface, le moniteur de sécurité AS-interface surveille les esclaves de sécurité
qui lui sont affectés selon la configuration que l'utilisateur lui aura indiquée à l'aide du logiciel de configuration. Selon le modèle d'appareil, jusqu'à deux circuits de validation dépendants ou indépendants, chacun muni d'un contrôle externe, sont disponibles. En cas de demande d'arrêt ou de défaut,
le moniteur de sécurité AS-interface en mode de protection coupe le système de façon sûre en un
temps de réaction de 40ms maximum.
Automate standard
avec maître
AS-interface standard
Moniteur
de sécurité
Module
standard
Bouton coup de poing
d’arret d’urgence
de sécurité
Interrupteurs
de sécurité
Barrière
immatérielle
de sécurité
Module
standard
TNT 35/7-24V
Bloc d’alimentation
du moniteur
de sécurité
AS-interface
Interrupteurs
de sécurité
Situation : 10/2006
Figure 1.1 : Composants standard et composants de sécurité dans un réseau AS-interface
Il est possible d'utiliser plusieurs moniteurs de sécurité AS-interface dans un seul système AS-interface. Un esclave de sécurité peut être surveillé par plusieurs moniteurs de sécurité AS-interface.
Manuel d'utilisation du moniteur de sécurité AS-interface
7
Généralités
1.7
Différents modèles de moniteur de sécurité AS-interface
Le moniteur de sécurité est disponible dans quatre versions qui se distinguent par le jeu de fonctions
du logiciel général et la configuration de départ.
Les jeux de fonctions de « Base » ASISAFEMON1/2 et « Étendu » ASISAFEMON1B/2B se distinguent comme suit :
« Base » « Étendu »
Nombre de blocs fonctionnels au niveau de combinaison
32
Porte Ou (entrées)
2
48
6
Porte Et (entrées)
–
6
Fonction de temps sûre, temporisation à la mise sous et hors tension
non
oui
Fonction « Bouton »
non
oui
Porte de sécurité/module avec stabilisation
non
oui
Désactivation de blocs fonctionnels
oui
oui
Déverrouillage des erreurs
oui
oui
Arrêt du diagnostic
oui
oui
Support des techniques A/B pour les esclaves non sécuritaires
oui
oui
Nouveaux blocs fonctionnels
(bascules, impulsion lors de fronts de montée etc.)
non
oui
Bloc de substitut (NOP)
oui
oui
Tableau 1.1 : Jeux de fonctions de « Base » et « Étendu »
Remarque !
Une description détaillée de toutes les fonctions se trouve dans le manuel d'utilisation du
logiciel de configuration ASISWIN2.
Configuration des sorties
ASISAFEMON1 et ASISAFEMON1B : un circuit de sortie.
ASISAFEMON2 et ASISAFEMON2B : deux circuits de sortie.
Propriétés des différentes versions d'appareil
Nombre de
circuits de sortie
« Étendu »
1
ASISAFEMON1
ASISAFEMON1B
2
ASISAFEMON2
ASISAFEMON2B
Tableau 1.2 : Propriétés des différentes versions d'appareil
8
Manuel d'utilisation du moniteur de sécurité AS-interface
Situation : 10/2006
Jeu de fonctions
« Base »
Recommandations de sécurité
2
Recommandations de sécurité
2.1
Standard de sécurité
Le moniteur de sécurité AS-interface a été développé, produit et testé dans le respect des normes de
sécurité en vigueur au moment du contrôle, et soumis à la certification des modèles-type. Tous les
appareils remplissent les exigences de sécurité de la catégorie 4 selon EN 954-1 et SIL3 selon
CEI 61508.
Remarque !
Vous trouverez une énumération détaillée des valeurs de la probabilité de défaillance (valeurs PFD) dans le chapitre 3.2.
Réalisez une analyse des risques. Vous pourrez ensuite utiliser le moniteur de sécurité AS-interface
conformément à sa catégorie de sécurité (4) comme dispositif de protection par coupure pour la mise
en sécurité de zones dangereuses.
2.2
Utilisation conforme
2.2.1 Domaines d'application
Le moniteur de sécurité AS-interface est un dispositif de protection par coupure développé pour
la mise en sécurité de zones dangereuses sur les appareils à moteur.
Attention !
Aucune intervention ni modification n'est autorisée sur les appareils, en dehors de celles décrites explicitement dans ce manuel.
2.2.2 Risques résiduels (EN 292-1)
Situation : 10/2006
Les propositions de câblage exposés dans ce manuel ont été soigneusement testés et contrôlés. Les
normes et règlements applicables seront respectés si vous utilisez bien les composants indiqués avec
les câblages correspondants. Il reste des risques si :
• les concepts de câblage proposés ne sont pas parfaitement respectés, ce qui aurait pour conséquence que les composants de sécurité et dispositifs de protection raccordés ne seraient pas ou
pas assez impliqués dans le système de sécurité.
• l'exploitant ne respecte pas les règlements de sécurité applicables pour l'utilisation, le réglage et
l'entretien de la machine. Veillez à respecter scrupuleusement les intervalles de test et d'entretien
de la machine.
Manuel d'utilisation du moniteur de sécurité AS-interface
9
TNT 35/7-24V
Attention !
La protection de l'utilisateur et de l'appareil n'est pas garantie si l'appareil n'est pas employé
conformément aux directives d'utilisation conforme.
Recommandations de sécurité
2.2.3 Domaines d'application
Le moniteur de sécurité AS-interface permet s'il est utilisé comme prévu d'utiliser des dispositifs de
protection de personnes commandés par capteurs et autres composants de sécurité jusqu'à la catégorie 4 incluse, conformément à EN 954-1.
Le moniteur de sécurité prend également en charge la fonction d'arrêt d'urgence (catégorie d'arrêt 0
ou 1) obligatoire pour toutes les machines non manuelles, ainsi que la surveillance dynamique de la
fonction de redémarrage et la fonction de contrôle à contacteurs.
Exemples d'utilisation du moniteur de sécurité AS-interface :
Le moniteur de sécurité est intéressant économiquement parlant dans les machines et installations
dans lesquelles le bus AS-interface standard est rentable en tant que bus local. Ainsi, en utilisant le
moniteur de sécurité comme participant au bus, des configurations de bus AS-interface déjà existantes peuvent être étendues sans problème, des composants de sécurité avec AS-interface safety at
work ajoutées. Si le composant de sécurité ne dispose pas d'interface AS-interface safety at work, il
est aussi possible d'ajouter des modules dits de couplage qui se chargeront de la liaison. Les maîtres
AS-interface et les blocs d'alimentation AS-interface déjà en place peuvent rester.
On peut utiliser le moniteur de sécurité dans toutes les branches de l'industrie. Citons ici quelquesuns des domaines d'application les plus importants :
Situation : 10/2006
• Machines-outil
• Machines d'usinage étendues comportant plusieurs éléments de commande et capteurs de sécurité pour le bois et le métal
• Machines à imprimer et de traitement du papier, découpeuses
• Empaqueteuses utilisées seules ou en groupe
• Machines utilisées dans l'alimentaire
• Installations de transport de pièces et de marchandises en vrac
• Machines utilisées dans l'industrie du caoutchouc et du plastique
• Automates de montage et matériel de maniement
10
Manuel d'utilisation du moniteur de sécurité AS-interface
Recommandations de sécurité
2.3
Mesures relatives à l'organisation
Documentation
Toutes les indications contenues dans ce manuel d'utilisation, et en particulier les paragraphes
« Recommandations de sécurité » et « Mise en service » doivent absolument être respectées.
Conservez ce manuel d'utilisation avec soin. Il doit toujours être disponible.
Règlements de sécurité
Respectez les décrets en vigueur dans la région, ainsi que les règlements des corporations professionnelles.
Personnel qualifié
Le montage, la mise en service et la maintenance des appareils doivent toujours être effectués par
des experts qualifiés.
Les travaux électriques ne doivent être effectués que par des personnes qualifiées en électrotechnique.
La définition et la modification de la configuration de l'appareil avec un ordinateur et le programme de
configuration ASISWIN2 doivent être réalisées uniquement par les personnes autorisées.
Le responsable de la sécurité doit conserver le mot de passe permettant de changer la configuration
de l'appareil dans un endroit fermé.
Réparations
Les réparations, en particulier l'ouverture de l'appareil, doivent être réalisées par le fabricant ou une
personne autorisée par lui uniquement.
Remarque !
La ferraille électronique fait partie des déchets spéciaux. Pour son élimination, respectez les
consignes locales en vigueur !
Situation : 10/2006
Le moniteur de sécurité AS-interface ne renferme aucune pile ; il n'y a donc pas lieu de
veiller à les enlever avant de mettre l'appareil à la décharge.
Manuel d'utilisation du moniteur de sécurité AS-interface
11
TNT 35/7-24V
Élimination
Caractéristiques techniques
3
Caractéristiques techniques
3.1
Caractéristiques générales
Données électriques
Tension d'alimentation UN
Ondulation résiduelle
Courant de fonctionnement
de dimensionnement
Courant de pointe au démarrage 1)
Temps de réaction
(du point de vue de la sécurité)
Temps d'initialisation
1)
24V CC +/- 15%
< 15%
ASISAFEMON1 et ASISAFEMON1B :
ASISAFEMON2 et ASISAFEMON2B :
tous les types : 600mA
< 40ms
150mA ;
200mA
< 10s
Mise en route simultanée de tous les relais, le courant des sorties de signalisation n'est pas pris en
compte
Caractéristiques de l'AS-interface
Profil de l'AS-interface
Plage de tension de l'AS-interface
Consommation de courant de
l'AS-interface
Nombre d'appareils par
branche AS-interface
Sur un réseau AS-interface complet avec 31 adresses standard utilisées, il est possible d'installer en plus jusqu'à quatre
moniteurs de sécurité sans adresse.
Si moins de 31 adresses standard sont utilisées, un moniteur
supplémentaire peut être installé par adresse standard non
utilisée. Si d'autres participants sans adresse sont installés
(p. ex. des modules de surveillance de la mise à la terre), le
nombre de moniteurs de sécurité pouvant être installés diminue en conséquence. Si des prolongateurs de ligne sont en
place, cette règle est valable pour chaque segment.
9600 Baud, pas de parité, 1 bit de départ, 1 bit d'arrêt, 8 bits
de données
Situation : 10/2006
Interface de configuration
RS 232
Moniteur 7.F
18,5 … 31,6V
< 45mA
12
Manuel d'utilisation du moniteur de sécurité AS-interface
Caractéristiques techniques
Entrées et sorties
Entrée « Démarrage »
Entrée « Contrôle externe »
Sortie de signalisation
« Safety on »1)
Sortie de sécurité
Courant permanent
thermique maximal
Fusibles
Catégorie de surtension
La sortie de signalisation « Safety on » n'est pas de sécurité !
Caractéristiques ambiantes
Température de fonctionnem. -20 … +60°C
Température de stockage
-30 … +70°C
Indice de protection
IP 20 (adapté uniquement à l'utilisation dans des locaux / armoires
électriques d'indice de protection minimum IP 54)
Données mécaniques
Dimensions (H x L x P)
Matériel du boîtier
Poids
Situation : 10/2006
Fixation
Raccordement
45mm x 105mm x 120mm
Polyamide PA 66
ASISAFEMON1 et ASISAFEMON1B : env. 350g;
ASISAFEMON2 et ASISAFEMON2B : env. 450g
Fixation encliquetable sur profilé chapeau conforme à EN 50022
5 ... 6 mm / PZ2
0,8 ... 1,2 Nm
7 ... 10.3 LB.IN
10
1 x (0,5 ... 4,0) mm²
2 x (0,5 ... 2,5) mm²
10
1 x (0,5 ... 2,5) mm²
2 x (0,5 ... 1,5) mm²
AWG
2 x 20 ... 14
Manuel d'utilisation du moniteur de sécurité AS-interface
13
TNT 35/7-24V
1)
Entrée de l'optocoupleur (actif HIGH),
courant d'entrée env. 10mA pour 24V CC
Entrée de l'optocoupleur (actif HIGH),
courant d'entrée env. 10mA pour 24V CC
Sortie de transistor PNP, 200mA,
protégée contre les courts-circuits et l'inversion de polarité
Contacts de travail libres de potentiel,
charge max. des contacts : 1A CC-13 sous 24V CC
3A CA-15 sous 230V CA
ASISAFEMON1 et ASISAFEMON1B:
courant somme maximal pour tous les éléments de commutation de
sortie : 6A
càd. circuit de sortie 1 : 3A par élément de commutation de sortie
ASISAFEMON2 et ASISAFEMON2B:
courant somme maximal pour tous les éléments de commutation
de sortie : 8A
càd. circuit de sortie 1 : 3A par élément de commutation de sortie
circuit de sortie 2 : 1A par élément de commutation de sortie
ou
circuit de sortie 1 : 2A par élément de commutation de sortie
circuit de sortie 2 : 2A par élément de commutation de sortie
Externes, max. 4A à action semi-retardée
3 pour une tension de fonctionnement de dimensionnement de
300V CA selon VDE 0110 1ère partie
Caractéristiques techniques
Attention !
Le bloc d'alimentation AS-interface servant à l'alimentation des composants AS-interface
doit posséder un système sûr de déconnexion du réseau conformément à CEI 60742 et surmonter des pannes brèves du réseau (jusqu'à 20ms).
Le bloc d'alimentation 24V doit également posséder un système sûr de déconnexion du réseau conformément à CEI 60742 et surmonter des pannes brèves du réseau (jusqu'à
20ms).
Remarque !
Conformément à EN 61000-4-2, il a été testé que le moniteur de sécurité fonctionne sans
incident sous une décharge dans l'air de 8kV. La valeur de 15kV imposée dans la norme
EN 61496-1 n'est pas importante pour le moniteur de sécurité puisque ce dernier ne sera
intégré à l'installation que dans un boîtier ou une armoire électrique et que seul le personnel
qualifié a accès au moniteur. Nous recommandons toutefois à l'utilisateur de se décharger
(en se mettant à la terre) à un endroit adapté avant de brancher le câble de paramétrage
dans le moniteur de sécurité.
3.2
Observation de la probabilité de défaillance selon CEI 61508
Pour le calcul de la probabilité de défaillance du système complet, le moniteur de sécurité AS-interface délivre un composant qui dépend de la durée maximale ininterrompue de mise en fonctionnement
du ou des circuits de sortie.
Il en résulte le tableau suivant :
Durée de mise en fonctionnement
Durée totale de fonctionnement
PFD
3 mois
10 ans
< 4 x 10-5
6 mois
10 ans
< 6 x 10-5
12 mois
10 ans
< 9 x 10-5
Tableau 3.1 : Probabilité de défaillance en cas de sollicitation en fonction de la durée de mise en
fonctionnement
La durée de mise en fonctionnement donne l'intervalle de temps jusqu'à la sollicitation de la fonction
de sécurité ou l'intervalle de temps maximal entre deux contrôles de sécurité. Lors de ce contrôle, la
sécurité de la coupure est testée par actionnement de chacun des capteurs de sécurité.
La durée totale de fonctionnement est la durée de vie du système de sécurité, depuis la mise en service jusqu'au démontage, elle est à la base du calcul de la probabilité de défaillance.
Durée de mise en fonctionnement
Durée totale de fonctionnement
PFH
12 mois
10 ans
< 9 x 10-9
Tableau 3.2 : Probabilité de défaillance par heure
14
Manuel d'utilisation du moniteur de sécurité AS-interface
Situation : 10/2006
Avec les probabilités de défaillance des autres composants utilisés dans le système de sécurité (p.
ex. esclaves AS-interface), on peut en déduire la probabilité totale de défaillance. La valeur calculée
alors permet la classification dans le niveau de sécurité correspondant conformément à CEI 61508.
Caractéristiques techniques
3.3
Encombrement
45
115
94
82,6
102
91,5
68, 2
5
105,9
65
7,2
28,8
3.4
TNT 35/7-24V
Figure 3.1 : Dimensions
Étendue de la livraison
L'unité de base comprend les éléments suivants :
• Moniteur de sécurité AS-interface ASISAFEMON1, ASISAFEMON2, ASISAFEMON1B ou
ASISAFEMON2B
Situation : 10/2006
Les accessoires suivants sont disponibles :
• Câble d'interface pour la configuration (RJ45/SubD à 9 pôles) pour la liaison PC/moniteur de sécurité
• CD contenant le programme avec
• le logiciel de communication ASISWIN2 compatible Microsoft® Windows 9x/Me/NT/2000/
XP®
• le manuel d'utilisation au format PDF
(pour pouvoir lire les fichiers vous avez besoin d'Adobe® Acrobat Reader® Version 4.x ou
suivante)
• Manuel d'utilisation
• Câble de téléchargement (RJ45/RJ45) pour la liaison moniteur de sécurité/moniteur de sécurité
• Couvercle à l'avant de l'appareil pour la protection et le plombage
Manuel d'utilisation du moniteur de sécurité AS-interface
15
Montage
4
Montage
4.1
Montage dans l'armoire de commande
Le moniteur de sécurité AS-interface est monté dans l'armoire de commande sur des rails 35mm standard conformément à la norme DIN EN 50022.
Attention !
Le boîtier du moniteur de sécurité AS-interface ne convient pas pour une installation murale
extérieure. Si vous souhaitez installer l'appareil en-dehors de l'armoire de commande, prévoyez dans tous les cas un carter protecteur.
Figure 4.1 : Montage
Remarque !
Recouvrez le moniteur de sécurité AS-interface lors de tout forage au dessus de l'appareil.
Aucune particule, et en particulier aucun copeau métallique, ne doit pouvoir pénétrer dans
le boîtier par les prises d'air ; cela pourrait engendrer un court-circuit.
16
Manuel d'utilisation du moniteur de sécurité AS-interface
Situation : 10/2006
Pour le montage, posez l'appareil sur l'arête supérieure du rail standard puis enclenchez-le sur l'arête
inférieure. Pour le retirer, appuyer fermement l'appareil contre le contrerail supérieur et le dégager.
Montage
Bornes de connexion démontables
Le moniteur de sécurité AS-interface possède des bornes de connexion codées démontables
(A, B, C, D sur la figure 4.2).
A, B, C, D:
D
C
A
B
Figure 4.2 : Bornes de connexion démontables
Pour démonter les bornes de connexion codées, faire sortir le ressort d'arrêt a en appuyant dessus
et retirer les bornes vers l'avant (figure 4.3). Lors du montage, les bornes de connexion doivent s'encliqueter.
TNT 35/7-24V
1. U = 0 V
2. a, b, c, d
b
c
Situation : 10/2006
a
d
Figure 4.3 : Retirer et monter les bornes de connexion codées
Manuel d'utilisation du moniteur de sécurité AS-interface
17
Montage
Accessoires pour le montage
Comme le moniteur de sécurité AS-interface est un composant de sécurité, il est possible de protéger
l'accès à l'interface de configuration CONFIG et à la touche Service par un plombage. Vous trouverez
pour cela dans le contenu de la livraison un couvercle transparent avec des crochets de sécurité qui
permettent de faire passer un fil de plombage tout en laissant l'appareil monté (voir figure 4.4). Rompez le crochet de sécurité avant d'utiliser le couvercle.
D
3
1
4
4
C
A
B
5
2
Remarque !
Nous vous recommandons de toujours mettre le couvercle transparent avec les crochets de
sécurité en place : il apporte une bonne protection contre les décharges électrostatiques
(ESD) et empêche la pénétration de corps étrangers dans la prise RJ45 CONFIG de l'interface de configuration du moniteur de sécurité AS-interface.
Le fil de plombage ne fait pas partie de la livraison.
18
Manuel d'utilisation du moniteur de sécurité AS-interface
Situation : 10/2006
Figure 4.4 : Accessoires de montage pour le plombage de l'appareil
Situation : 10/2006
TNT 35/7-24V
Montage
Manuel d'utilisation du moniteur de sécurité AS-interface
19
Branchement électrique pour le ASISAFEMON1 et le ASISAFEMON1B
5
Branchement électrique pour le ASISAFEMON1 et le
ASISAFEMON1B
Remarque !
Les travaux électriques ne doivent être effectués que par des personnes qualifiées en électrotechnique.
5.1
Affectation des bornes
Occupation des bornes / Schéma fonctionnel
➀
➁
➂
➃
Bloc d'alimentation
Logique de commande
Commande élément de commutation de sortie 1
Commande élément de commutation de sortie 2
Situation : 10/2006
Figure 5.1 : Disposition des bornes / schéma fonctionnel des moniteurs de sécurité AS-interface de
ASISAFEMON1 et de ASISAFEMON1B
20
Manuel d'utilisation du moniteur de sécurité AS-interface
Branchement électrique pour le ASISAFEMON1 et le ASISAFEMON1B
Affectation des bornes
Borne
AS-i+
AS-i–
L+
M
FE
1.Y1
1.Y2
1.13
1.14
1.23
1.24
1.32
Signal / description
Raccordement au bus AS-interface
+24V CC / tension d'alimentation
GND / terre de référence
Terre de fonction
EDM 1 / Entrée contrôle externe
Démarrage 1 / Entrée démarrage
Élément de commutation de sortie 1
Élément de commutation de sortie 2
Sortie de signalisation « Safety on »
Tableau 5.1 : Affectation des bornes moniteur de sécurité AS-interface de ASISAFEMON1 et de
ASISAFEMON1B
Situation : 10/2006
Attention !
Le bloc d'alimentation AS-interface servant à l'alimentation des composants AS-interface
doit posséder un système sûr de déconnexion du réseau conformément à CEI 60742 et surmonter des pannes brèves du réseau (jusqu'à 20ms). Le bloc d'alimentation 24V doit également posséder un système sûr de déconnexion du réseau conformément à CEI 60742 et
surmonter des pannes brèves du réseau (jusqu'à 20ms).
Manuel d'utilisation du moniteur de sécurité AS-interface
21
TNT 35/7-24V
Remarque !
Le raccordement du conducteur de protection sur la borne FE n'est pas nécessaire si la borne M est reliée à la terre à proximité immédiate de l'appareil.
Branchement électrique pour le ASISAFEMON1 et le ASISAFEMON1B
5.2
Vue d'ensemble des raccordements
Bloc d'alimentation PELV ext.
avec isolation galvanique
Situation : 10/2006
Figure 5.2 : Vue d'ensemble des raccordements du moniteur de sécurité AS-interface de
ASISAFEMON1 et de ASISAFEMON1B
22
Manuel d'utilisation du moniteur de sécurité AS-interface
Branchement électrique pour le ASISAFEMON2 et le ASISAFEMON2B
6
Branchement électrique pour le ASISAFEMON2 et le
ASISAFEMON2B
Remarque !
Les travaux électriques ne doivent être effectués que par des personnes qualifiées en électrotechnique.
6.1
Affectation des bornes
➀
➁
➂
➃
➄
➅
Bloc d'alimentation
Logique de commande
Commande élément de commutation de sortie 1, circuit de sortie 1
Commande élément de commutation de sortie 2, circuit de sortie 1
Commande élément de commutation de sortie 1, circuit de sortie 2
Commande élément de commutation de sortie 2, circuit de sortie 2
Situation : 10/2006
Figure 6.1 : Disposition des bornes / schéma fonctionnel des moniteurs de sécurité AS-interface de
ASISAFEMON2 et de ASISAFEMON2B
Manuel d'utilisation du moniteur de sécurité AS-interface
23
TNT 35/7-24V
Affectation des bornes
Branchement électrique pour le ASISAFEMON2 et le ASISAFEMON2B
Affectation des bornes
Borne
AS-i+
AS-i–
L+
M
FE
1.Y1
1.Y2
1.13
1.14
1.23
1.24
1.32
2.Y1
2.Y2
2.13
2.14
2.23
2.24
2.32
Signal / description
Raccordement au bus AS-interface
+24V CC / tension d'alimentation
GND / terre de référence
Terre de fonction
EDM 1 / entrée contrôle externe, circuit de sortie 1
Démarrage 1 / entrée démarrage, circuit de sortie 1
Élément de commutation de sortie 1, circuit de sortie 1
Élément de commutation de sortie 2, circuit de sortie 1
Sortie de signalisation 1 « Safety on », circuit de sortie 1
EDM 2 / entrée contrôle externe, circuit de sortie 2
Démarrage 2 / entrée démarrage, circuit de sortie 2
Élément de commutation de sortie 1, circuit de sortie 2
Élément de commutation de sortie 2, circuit de sortie 2
Sortie de signalisation 2 « Safety on », circuit de sortie 2
Tableau 6.1 : Affectation des bornes moniteur de sécurité AS-interface de ASISAFEMON2 et de
ASISAFEMON2B
Remarque !
Le raccordement du conducteur de protection sur la borne FE n'est pas nécessaire si la borne M est reliée à la terre à proximité immédiate de l'appareil.
Situation : 10/2006
Attention !
Le bloc d'alimentation AS-interface servant à l'alimentation des composants AS-interface
doit posséder un système sûr de déconnexion du réseau conformément à CEI 60742 et surmonter des pannes brèves du réseau (jusqu'à 20ms). Le bloc d'alimentation 24V doit également posséder un système sûr de déconnexion du réseau conformément à CEI 60742 et
surmonter des pannes brèves du réseau (jusqu'à 20ms).
24
Manuel d'utilisation du moniteur de sécurité AS-interface
Branchement électrique pour le ASISAFEMON2 et le ASISAFEMON2B
Vue d'ensemble des raccordements
TNT 35/7-24V
6.2
Bloc d'alimentation PELV ext.
avec isolation galvanique
Situation : 10/2006
Figure 6.2 : Vue d'ensemble des raccordements du moniteur de sécurité AS-interface de
ASISAFEMON2 et de ASISAFEMON2B
Manuel d'utilisation du moniteur de sécurité AS-interface
25
Branchement électrique pour tous les types
7
Branchement électrique pour tous les types
Remarque !
Les travaux électriques ne doivent être effectués que par des personnes qualifiées en électrotechnique.
7.1
Raccordement du bus AS-interface
Bleu
AS-interface-
Marron
AS-interface+
Bleu
AS-interface-
Câble plat AS-interface jaune
Marron
AS-interface+
Câble rond AS-interface à deux fils
(recommandation : ligne courant fort flexible
H05VV-F2x1,5 conforme à DIN VDE 0281)
Situation : 10/2006
Figure 7.1 : Variantes de câbles AS-interface
26
Manuel d'utilisation du moniteur de sécurité AS-interface
Branchement électrique pour tous les types
7.2
Interface série
L'interface série RS 232C CONFIG sert à la communication entre l'ordinateur et l'appareil, sa vitesse
de transmission est fixe et réglée à 9600 Baud.
L'interface série se matérialise sur le moniteur de sécurité AS-interface sous forme d'une douille RJ45.
Un câble d'interface avec prise SubD à 9 pôles est disponible comme accessoire.
Attention !
Utilisez uniquement le câble d'interface disponible en option. L'utilisation d'un autre câble
risque d'entraîner des dysfonctionnements ou d'endommager le moniteur de sécurité ASinterface raccordé !
Interface de configuration RS 232C
TNT 35/7-24V
Douille RJ45 de
l'interface de configuration RS 232C
Situation : 10/2006
Figure 7.2 : Emplacement de l'interface de configuration RS 232C
Manuel d'utilisation du moniteur de sécurité AS-interface
27
Fonction et mise en service
8
Fonction et mise en service
La configuration et la mise en service du moniteur de sécurité AS-interface se font à partir d'un PC/
ordinateur portable muni du logiciel de configuration ASISWIN2.
Remarque !
Vous trouverez la description du logiciel ASISWIN2 et de la mise en service du moniteur de
sécurité AS-interface dans le manuel « ASISWIN2 - Logiciel de configuration du moniteur
de sécurité AS-interface pour Microsoft®-Windows® ».
Le manuel décrivant le logiciel est une partie importante du manuel d'utilisation du moniteur
de sécurité AS-interface. La configuration et la mise en service du moniteur de sécurité ASinterface sans le logiciel ASISWIN2 ne sont pas possibles.
Seul un responsable de la sécurité est habilité à effectuer la configuration. Toutes les commandes
importantes relevant de la sécurité sont protégées par un mot de passe.
8.1
Fonctionnement et modes opératoires
On distingue 3 modes de fonctionnement pour le moniteur de sécurité AS-interface :
• Mode démarrage
• Mode configuration
• Mode protection
8.1.1 Mode démarrage
Après la mise en marche, les microcontrôleurs du moniteur de sécurité AS-interface effectuent tout
d'abord un test système du matériel et du logiciel interne. Si une erreur interne de l'appareil est détectée, l'initialisation de l'appareil est stoppée et les éléments de commutation de sortie restent coupés.
Une fois que tous les tests internes sont terminés avec succès, le moniteur de sécurité AS-interface
contrôle qu'une configuration valable et validée est enregistrée dans la mémoire de configuration interne.
Si tel est le cas, cette configuration est chargée, les structures de données nécessaires constituées,
et le système passe en mode protection. Les éléments de commutation de sortie sont mis en route
ou restent coupés conformément à la configuration.
Situation : 10/2006
Si la configuration détectée dans la mémoire de configuration est inexistante ou erronée, le système
passe en mode configuration. Les éléments de commutation de sortie restent coupés.
28
Manuel d'utilisation du moniteur de sécurité AS-interface
Fonction et mise en service
8.1.2 Mode configuration
En mode configuration du moniteur de sécurité AS-interface, un traitement des instructions est activé.
Celui-ci communique avec le logiciel ASISWIN2 installé sur l'ordinateur/le portable raccordé via l'interface série de configuration (voir manuel « ASISWIN2 - Logiciel de configuration du moniteur de sécurité AS-interface pour Microsoft®-Windows® »). La transmission des données est surveillée et en
cas d'erreur de transmission, répétée.
Il est possible de basculer en mode configuration
• en envoyant par voie logicielle ASISWIN2 l'instruction d'Arrêt protégée par un mot de passe en
mode protection. Il faut alors tenir compte des délais d'arrêt paramétrés.
• en envoyant par voie logicielle ASISWIN2 l'instruction d'Arrêt en mode protection sans entrée de
mot de passe. La condition en est qu'aucune communication n'ait lieu sur la ligne AS-interface, ce
que vous pourrez obtenir par exemple en déconnectant la ligne AS-interface au niveau du moniteur directement.
• lorsque l'appareil constate l'absence de configuration ou une configuration erronée en mode
démarrage.
• par un premier appui sur la touche Service lors du remplacement d'un esclave AS-interface de
sécurité défectueux (voir chapitre 10.4 « Remplacement des esclaves AS-interface de sécurité
défectueux »).
8.1.3 Mode protection
En mode protection, le moniteur de sécurité AS-interface envoie en continu des données de diagnostic via l'interface série de configuration. Ces données peuvent ensuite être traitées par le logiciel
ASISWIN2.
Si, en mode protection du moniteur de sécurité AS-interface, une fonction interne défectueuse est détectée, les éléments de commutation de sortie sont immédiatement coupés sans tenir compte de
temps de retard éventuellement réglés. Le moniteur de sécurité AS-interface effectue ensuite un nouvel autocontrôle. Si l'erreur a disparu, le moniteur de sécurité AS-interface rebascule en mode protection. Si l'erreur est encore là, c'est que cet état est verrouillé contre les erreurs et ne peut être quitté
qu'en remettant le moniteur de sécurité AS-interface en route.
Situation : 10/2006
Il est possible de basculer en mode protection
• en envoyant par voie logicielle ASISWIN2 l'instruction de Démarrage en mode configuration.
• lorsque l'appareil constate une configuration validée et correcte en mode démarrage.
• par un deuxième appui sur la touche Service lors du remplacement d'un esclave AS-interface de
sécurité défectueux (voir chapitre 10.4 « Remplacement des esclaves AS-interface de sécurité
défectueux »).
Manuel d'utilisation du moniteur de sécurité AS-interface
29
TNT 35/7-24V
Le mode protection est le mode de fonctionnement normal du moniteur de sécurité AS-interface. Les
éléments de commutation de sortie y sont activés et désactivés suivant l'état de fonctionnement des
esclaves AS-interface de sécurité surveillés et des composants de fonction configurés.
Fonction et mise en service
8.2
Éléments d'affichage et de commande
Les affichages à DEL à l'avant du moniteur de sécurité AS-interface vous renseigneront sur le mode
de fonctionnement et l'état de l'appareil.
non occupé
DEL AS-i 1
DEL AS-i 2
Circuit de sortie 1
Circuit de sortie 2
Figure 8.1 :Aperçu des DEL
Signification de l'affichage à DEL en mode protection
Couleur
éteinte
AS-i 1
30
Contacts de l'élément de commutation de sortie ouverts
verte,
Contacts de l'élément de commutation de sortie fermés
lumière permanente
verte,
Temps de retard en cours si catégorie d'arrêt 1
clignotante
éteinte
3 OFF/FAULT
(par circuit de
sortie)
–
jaune,
Blocage au démarrage/redémarrage actif
lumière permanente
jaune,
Test externe nécessaire / validation / retard au démarclignotante
rage actif
éteinte
2 ON
(par circuit de
sortie)
Fonctionnement normal
rouge,
Erreur de communication
lumière permanente
éteinte
1 READY
(par circuit de
sortie)
Pas d'alimentation
verte,
Alimentation AS-interface présente
lumière permanente
éteinte
AS-i 2
Signification
Contacts de l'élément de commutation de sortie fermés
rouge,
Contacts de l'élément de commutation de sortie ouverts
lumière permanente
rouge,
Anomalie au niveau des composants AS-interface sous
clignotante
contrôle
Manuel d'utilisation du moniteur de sécurité AS-interface
Situation : 10/2006
DEL
Fonction et mise en service
DEL
Couleur
1 READY
2 ON
3 OFF/FAULT
(par circuit de
sortie)
clignotant
rapidement
simultanément
Signification
Erreur interne de l'appareil,
message d'erreur interrogeable par logiciel ASISWIN2
Remarque !
L'appui sur la touche Service est acquitté par l'allumage unique bref de toutes les DEL de
l'appareil.
Attention !
Force d'actionnement max. pour la touche Service : 1N !
8.3
Mise en service de l'appareil
Appliquez la tension d'alimentation à l'appareil, le test interne du système se lance. Cet état de fonctionnement est indiqué par l'allumage de toutes les DEL de l'appareil (voir chapitre 8.1.1 « Mode
démarrage »).
Configuration et paramétrage de l'appareil
Pour la configuration et le paramétrage de l'appareil, vous avez besoin du programme ASISWIN2.
Le logiciel ASISWIN2 exécute les tâches suivantes :
•
•
•
•
Configuration du moniteur de sécurité AS-interface
Documentation de la configuration
Mise en service du moniteur de sécurité AS-interface
Diagnostic du moniteur de sécurité AS-interface
Remarque !
Vous trouverez la description du programme ASISWIN2 dans le manuel d'utilisation spécifique au logiciel.
Situation : 10/2006
Le mode configuration (chapitre 8.1.2) est indiqué par l'allumage à tour de rôle des
DEL 1 … 3 du circuit de sortie 1.
Manuel d'utilisation du moniteur de sécurité AS-interface
31
TNT 35/7-24V
8.4
Fonction et mise en service
Procédez comme suit :
• Installez le programme sur votre ordinateur.
• Mettez le moniteur de sécurité AS-interface sous tension.
Remarque !
Nous recommandons à l'utilisateur de se décharger (en se mettant à la terre) à un endroit
adapté avant de brancher le câble de paramétrage dans le moniteur de sécurité.
• Reliez le PC au moniteur de sécurité AS-interface à l'aide du câble d'interface (RJ45/SubD à 9
pôles) (voir chapitre 2.1.2 « Liaison entre le moniteur de sécurité AS-interface et le PC » du
manuel d'utilisation du logiciel).
• Procédez à la configuration du moniteur de sécurité AS-interface puis à la mise en service comme
décrit dans le manuel d'utilisation du logiciel.
• Une fois la mise en service terminée, le moniteur de sécurité AS-interface est prêt au fonctionnement.
Attention !
Avant la mise en service de l'appareil vous devez en adapter la configuration à votre application spécifique. Pour ce faire, configurez le moniteur de sécurité AS-interface à l'aide du
manuel d'utilisation du logiciel, de manière à ce que l'appareil protège la zone de danger
concernée.
8.5
Documentation de l'application en matière de sécurité
Remarque !
Vous trouverez une description détaillée de la documentation de la configuration de votre
application en matière de sécurité dans le manuel spécifique au programme.
Procédez comme suit :
Situation : 10/2006
• Procédez à la configuration du moniteur de sécurité AS-interface pour votre application.
• Validez la configuration (à faire par le responsable de la sécurité).
• Imprimez le protocole de configuration définitif et éventuellement la vue d'ensemble de la configuration (voir chapitre 5.8 « Documentation de la configuration » du manuel d'utilisation du logiciel).
• Signez le protocole de configuration définitif (à faire par le responsable de la sécurité).
• Joignez le protocole à la documentation de votre application pour les questions de sécurité
(papiers de la machine) et conservez-le avec soin.
32
Manuel d'utilisation du moniteur de sécurité AS-interface
Maintenance
9
Maintenance
9.1
Contrôler la coupure de sécurité
La personne chargée de la sécurité doit contrôler au moins tous les ans que le moniteur de sécurité
AS-interface fonctionne de façon impeccable dans le système protecteur, c'est-à-dire que le déclenchement d'un capteur ou d'un actionneur de sécurité qui lui est affecté provoquera une coupure de
sécurité.
Attention !
Pour cela, chaque esclave AS-interface de sécurité doit être actionné au moins une fois par
an et le comportement de commutation contrôlé en observant les circuits de sortie du moniteur de sécurité AS-interface.
Attention !
La durée maximale de mise en fonctionnement et la durée totale de fonctionnement doivent
être prises en compte en fonction la valeur de PFD choisie pour la probabilité de défaillance
totale.
Une fois la durée maximale de mise en fonctionnement atteinte (trois, six ou douze mois),
le fonctionnement correct du système de sécurité doit être contrôlé par sollicitation de la
fonction de coupure.
Situation : 10/2006
TNT 35/7-24V
Une fois la durée totale de fonctionnement atteinte (10 ans), le fonctionnement correct de
l'appareil doit être contrôlé par le fabricant dans les usines du fabricant.
Manuel d'utilisation du moniteur de sécurité AS-interface
33
Affichage d'état, pannes et résolution des erreurs
10
Affichage d'état, pannes et résolution des erreurs
10.1
Affichage d'état sur l'appareil / Diagnostic des erreurs sur le PC
Une erreur interne ou externe sera signalée par la DEL rouge clignotante OFF/FAULT sur le moniteur
de sécurité AS-interface (voir chapitre 8.2 « Éléments d'affichage et de commande »).
Remarque !
L'interface de configuration et le logiciel ASISWIN2 permettent un diagnostic plus exact (voir
manuel du logiciel).
10.2
Quelques conseils pour la recherche d'erreurs
Erreur
DEL AS-i 1
éteinte
DEL AS-i 2
est rouge
DEL 3 OFF/FAULT
est rouge et clignote
DEL 1 … 3
clignotent rapidement
simultanément
10.3
Cause possible
Remède
Pas d'alimentation de l'AS-inter- • Contrôler les connexions des câbles
face
• Contrôler le bloc d'alimentation du
moniteur de sécurité AS-interface
La communication sur le bus AS- • Contrôler les connexions des câbles
interface est défectueuse
• Contrôler le maître AS-interface
Anomalie au niveau des compo- • Effectuer un diagnostic à l'aide du
sants AS-interface sous contrôle
logiciel ASISWIN2
• Si nécessaire, remplacer les composants AS-interface défectueux
Erreur interne de l'appareil
• Notez les numéros d'erreur qui s'affichent dans la fenêtre d'avertissement
du logiciel ASISWIN2 et contactez le
fabricant
Déverrouillage des erreurs par la touche « Service »
Un moniteur de sécurité dont les erreurs sont verrouillées (DEL 3 OFF/FAULT rouge clignotante) peut
être déverrouillé par actionnement de la touche de « Service ». L'appui sur la touche provoque la réinitialisation du bloc en état d'erreur. Après la réinitialisation, un test au démarrage de ce bloc est nécessaire.
Situation : 10/2006
Remarque !
L'appui sur la touche Service est acquitté par l'allumage unique bref de toutes les DEL de
l'appareil.
34
Manuel d'utilisation du moniteur de sécurité AS-interface
Affichage d'état, pannes et résolution des erreurs
10.4
Remplacement des esclaves AS-interface de sécurité défectueux
10.4.1 Remplacement d'un esclave AS-interface de sécurité défectueux
Si un esclave AS-interface de sécurité est défectueux, vous pourrez le remplacer même sans ordinateur et sans nouvelle configuration du moniteur de sécurité AS-interface grâce à la touche Service du
moniteur de sécurité AS-interface.
Attention !
Force d'actionnement max. pour la touche Service : 1N !
Remarque !
L'appui sur la touche Service fait passer le moniteur de sécurité du mode de protection au
mode de configuration. Les circuits de sortie sont donc en tout cas coupés.
L'appui sur la touche Service est acquitté par l'allumage unique bref de toutes les DEL de
l'appareil.
Procédez comme suit :
3.
4.
Déconnectez l'esclave AS-interface défectueux de la liaison AS-interface.
Appuyez pendant env. 1 seconde sur la touche Service de tous les moniteurs de sécurité
AS-interface qui utilisent l'esclave AS-interface de sécurité défectueux.
Connectez le nouvel esclave AS-interface de sécurité à la liaison AS-interface.
Appuyez à nouveau pendant env. 1 seconde sur la touche Service de tous les moniteurs de
sécurité AS-interface qui utilisent l'esclave AS-interface de sécurité remplacé.
Lorsque vous appuyez la première fois sur la touche Service le système cherche si un seul esclave
fait défaut. Celui-ci est alors consigné dans la mémoire d'erreurs du moniteur de sécurité AS-interface.
Le moniteur de sécurité AS-interface bascule alors en mode configuration. Lorsque vous appuyez la
deuxième fois sur la touche Service, le système apprend le code du nouvel esclave et vérifie qu'il est
correct. S'il est correct, le moniteur de sécurité AS-interface rebascule en mode protection.
Attention !
Après remplacement d'un esclave de sécurité défectueux, il est impératif de contrôler le
fonctionnement correct du nouvel esclave.
10.4.2 Remplacement de plusieurs esclaves AS-interface de sécurité défectueux
Si sur une branche AS-interface plusieurs esclaves AS-interface de sécurité sont défectueux, procédez comme suit pour les remplacer :
Situation : 10/2006
Remarque !
L'appui sur la touche Service fait passer le moniteur de sécurité du mode de protection au
mode de configuration. Les circuits de sortie sont donc en tout cas coupés.
L'appui sur la touche Service est acquitté par l'allumage unique bref de toutes les DEL de
l'appareil.
Manuel d'utilisation du moniteur de sécurité AS-interface
35
TNT 35/7-24V
1.
2.
Affichage d'état, pannes et résolution des erreurs
Attention !
Force d'actionnement max. pour la touche Service : 1N !
1.
2.
Déconnectez tous les esclaves AS-interface défectueux de la liaison AS-interface. Raccordez
tous les nouveaux esclaves AS-interface de sécurité déjà adressés, sauf un à la liaison
AS-interface (Auto_Address ne fonctionne pas dans ce cas).
Actionnez tous les esclaves qui viennent d'êtres raccordés de telle façon que l'esclave n'envoie
pas de série de code (actionner l'arrêt d'urgence, ouvrir la porte, interrompre le réseau optique
etc.).
Remarque !
La reconnaissance des erreurs intégrée au moniteur fait qu'un nouvel esclave ne sera accepté que si le 2ème point est respecté sans limite.
3.
4.
5.
6.
7.
8.
9.
10.
11.
Appuyez pendant env. une seconde sur la touche Service de tous les moniteurs de sécurité
AS-interface qui utilisaient les esclaves AS-interface de sécurité défectueux.
Raccordez l'esclave manquant et déjà adressé à la liaison AS-interface.
Appuyez pendant env. une seconde sur la touche Service de tous les moniteurs de sécurité
AS-interface qui utilisaient les esclaves AS-interface de sécurité défectueux.
Déconnectez un des esclaves AS-interface remplacé mais pas encore programmé de la liaison
AS-interface.
Appuyez pendant env. une seconde sur la touche Service de tous les moniteurs de sécurité
AS-interface qui utilisaient les esclaves AS-interface de sécurité défectueux.
Reconnectez l'esclave AS-interface que vous venez de déconnecter à la liaison AS-interface.
Activez l'esclave que vous venez de raccorder. La série de code est maintenant transmise au
moniteur de sécurité AS-Interface et y est enregistrée.
Appuyez pendant env. une seconde sur la touche Service de tous les moniteurs de sécurité
AS-interface qui utilisaient les esclaves AS-interface de sécurité défectueux.
Répétez cette procédure depuis l'étape 6 jusqu'à ce que tous les esclaves AS-interface soient
programmés.
Lorsque vous appuyez la première fois sur la touche Service le système cherche si un seul esclave
fait défaut. Celui-ci est alors consigné dans la mémoire d'erreurs du moniteur de sécurité AS-interface.
Le moniteur de sécurité AS-interface bascule alors en mode configuration. Lorsque vous appuyez la
deuxième fois sur la touche Service, le système apprend le code du nouvel esclave et vérifie qu'il est
correct. S'il est correct, le moniteur de sécurité AS-interface rebascule en mode protection.
Situation : 10/2006
Attention !
Après remplacement des esclaves de sécurité défectueux, il est impératif de contrôler le
fonctionnement correct des nouveaux esclaves.
36
Manuel d'utilisation du moniteur de sécurité AS-interface
Affichage d'état, pannes et résolution des erreurs
10.5
Remplacement d'un moniteur de sécurité AS-interface défectueux
Si un moniteur de sécurité AS-interface est défectueux et qu'il doit être remplacé, il n'est pas absolument nécessaire de reconfigurer complètement le nouvel appareil par voie logicielle avec ASISWIN2 :
il est possible de reprendre directement la configuration de l'appareil défectueux dans le nouvel appareil par téléchargement (câble accessoire en option).
Conditions :
• Vous disposez d'un câble de téléchargement (voir accessoires dans le chapitre 3.4).
• L'appareil de remplacement n'a pas de configuration valide dans sa mémoire de configuration.
Remarque !
Si l'appareil de remplacement est un moniteur de sécurité AS-interface qui était utilisé
ailleurs auparavant, vous devrez remplacer la configuration actuelle par une nouvelle que
vous ne validerez pas.
Procédez comme suit :
• Mettez le moniteur de sécurité AS-interface défectueux hors tension.
• Reliez l'appareil défectueux via le câble de téléchargement (RJ45/RJ45) à l'appareil de remplacement.
• Raccordez l'appareil de remplacement à la tension d'alimentation.
• La configuration de l'appareil défectueux est transmise automatiquement à l'appareil de remplacement.
Vous pouvez constater que la transmission est en cours grâce à la DEL jaune READY qui reste
allumée en permanence. Quand la transmission est terminée avec succès, les DEL jaune READY
et verte ON s'allument en permanence.
• Mettez le nouveau moniteur de sécurité AS-interface hors tension et détachez le câble de téléchargement des deux appareils. L'appareil de remplacement peut maintenant être utilisé directement à la place de l'appareil défectueux.
Situation : 10/2006
Moniteurs de sécurité AS-interface de version ≥ V2.12 :
Procédez comme suit :
• Mettez le moniteur de sécurité AS-interface défectueux hors tension et démontez-le.
• Installez le nouveau moniteur de sécurité AS-interface et raccordez-le (connexions L+, M et FE
ainsi que AS-i+ et AS-i- et autres connexions selon les besoins).
• Mettez le nouveau moniteur de sécurité AS-interface sous tension. Le moniteur de sécurité ASinterface bascule en mode configuration.
• Reliez le moniteur de sécurité AS-interface défectueux et hors tension au nouveau moniteur de
sécurité AS-interface à l'aide du câble de téléchargement (RJ45/RJ45) et appuyez sur la touche
Service.
• Le moniteur de sécurité AS-interface redémarre (test des DEL) et la configuration est transmise.
La DEL jaune 1 READY est allumée pendant la transmission.
• Quand la DEL jaune 1 READY s'éteint, la transmission est terminée. Séparez les deux moniteurs
de sécurité AS-interface et appuyez à nouveau sur la touche Service.
• Le moniteur de sécurité AS-interface redémarre, il utilise la configuration réengistrée.
Attention !
Après remplacement d'un moniteur de sécurité AS-interface défectueux, il est impératif de
contrôler le fonctionnement correct du nouveau moniteur de sécurité AS-interface.
Manuel d'utilisation du moniteur de sécurité AS-interface
37
TNT 35/7-24V
Moniteur de sécurité AS-interface de version < V2.12 :
Affichage d'état, pannes et résolution des erreurs
10.6
Vous avez oublié votre mot de passe ? Que faire ?
Attention !
Seul le responsable de la sécurité a le droit de récupérer un mot de passe de la façon décrite
ci-dessous !
Si vous avez perdu le mot de passe nécessaire à votre configuration, procédez comme suit :
1.
2.
3.
4.
Recherchez le protocole de configuration valide du moniteur de sécurité AS-interface dont
vous n'avez pas de mot de passe (exemplaire papier ou fichier). Vous trouverez sur la ligne 10
(Monitor Section, Validated) du protocole de configuration un code à quatre caractères.
•
Si vous ne disposez pas du protocole de configuration ou si le moniteur de sécurité
AS-interface ne doit pas être mis en mode configuration, reliez le moniteur de sécurité
AS-interface dont vous n'avez plus le mot de passe au PC et lancez le logiciel ASISWIN2.
•
Sélectionnez la Configuration Neutre et lancez la fonction de diagnostic d'ASISWIN2 par
Moniteur -> Diagnostic. Attendez que la configuration actuelle apparaisse à l'écran. Cela
peut durer jusqu'à cinq minutes.
•
Ouvrez la fenêtre Informations concernant le moniteur / le bus (rubrique Éditer -> Informations concernant le moniteur / le bus…). Vous trouverez également le code à quatre
caractères sur l'onglet Titre dans la partie de la fenêtre intitulée Temps de chargement.
Contactez le support technique de votre fournisseur et donnez-lui votre code à quatre caractères.
Ce code permet de générer un mot de passe maître qui vous donne accès à la configuration
enregistrée.
Utilisez ce mot de passe maître pour stopper le moniteur de sécurité AS-interface et entrer un
nouveau mot de passe utilisateur. Sélectionnez pour cela dans le menu Moniteur du logiciel
de configuration ASISWIN2 la rubrique Changement de mot de passe….
Attention !
Veuillez noter que l'accès à la configuration enregistrée dans le moniteur de sécurité AS-interface peut avoir des incidences sur la sécurité du fonctionnement de l'installation. Seul le
personnel autorisé a le droit de faire des modifications de configurations validées. Toute modification doit être réalisée conformément aux instructions données dans le manuel utilisateur du logiciel de configuration ASISWIN2.
Situation : 10/2006
Remarque !
Tant qu'aucune configuration valide n'a été enregistrée dans le moniteur de sécurité AS-interface, le mot de passe standard est « SIMON ».
38
Manuel d'utilisation du moniteur de sécurité AS-interface
Diagnostic par AS-interface
11
Diagnostic par AS-interface
11.1
Déroulement général
Remarque !
Une adresse esclave AS-interface doit impérativement être affectée au moniteur de
sécurité AS-interface pour pouvoir effectuer un diagnostic du moniteur de sécurité AS-interface sur le maître AS-interface.
Le bus AS-interface permet de réaliser le diagnostic du moniteur de sécurité AS-interface et des blocs
configurés depuis le maître AS-interface, généralement un automate programmable avec module maître.
Mais pour que la transmission des données de diagnostic soit fiable et leur évaluation efficace, il est
impératif que toute une série d'exigences soit satisfaite :
La procédure de diagnostic décrite ci-dessous satisfait à ces exigences, elle doit donc impérativement
être respectée.
Déroulement du diagnostic
Situation : 10/2006
L'automate interroge toujours le moniteur de sécurité AS-interface à l'aide de deux appels de données
(0) et (1) en alternance. Ces appels apportent l'information de base nécessaire au diagnostic (état des
circuits de sortie, mode de protection/configuration). Le moniteur de sécurité AS-interface répond aux
deux appels en envoyant les mêmes données utiles (3 bits, D2 … D0). Le bit D3 est un bit de commande, il est semblable sans être identique à un bit-bascule. Pour tous les appels de données pairs
(0), D3 = 0 ; pour tous les appels impairs (1), D3 = 1. L'automate peut ainsi reconnaître un changement de la réponse.
Les appels de données (0) et (1) délivrent la réponse X000 quand l'état est normal (mode protection,
tout est ok). Les appareils ayant seulement un circuit de sortie et dans les cas de deux circuits de sortie dépendants, le circuit de sortie 2 est toujours marqué comme étant ok. Dans le cas de deux circuits
de sortie indépendants, un circuit non configuré est également signalé comme étant ok. Pour pouvoir
interpréter ce qui est ok et ce qui ne l'est pas, l'utilisateur doit bien connaître sa configuration.
Lors du passage de l'appel de données de (0) à (1), le jeu de données est enregistré dans le moniteur
Manuel d'utilisation du moniteur de sécurité AS-interface
39
TNT 35/7-24V
• En particulier si un autre système de bus est utilisé entre automate et AS-interface, il peut arriver
que les temps de transmission des messages soient relativement longs. Comme la transmission
est asynchrone dans le maître, si deux appels de données identiques se suivent, l'automate ne
peut pas forcément reconnaître quand le moniteur de sécurité AS-interface répond au nouvel
appel. Dans le cas de deux appels de données consécutifs différents, les réponses doivent donc
se distinguer par au moins un bit.
• Les données de diagnostic doivent être consistantes, c'est-à-dire que les informations d'état émises par le moniteur de sécurité AS-interface doivent être en rapport avec les états réels des blocs,
et ce en particulier si le temps de transmission vers l'automate est supérieur au temps d'actualisation dans le moniteur de sécurité AS-interface (env. 30 … 150ms).
• Suivant le mode de fonctionnement du moniteur de sécurité AS-interface, un relais coupé d'un circuit de sortie correspond ou non à l'état normal. Mais le diagnostic de l'automate ne doit être lancé
que si l'état n'est pas l'état normal.
Diagnostic par AS-interface
de sécurité AS-interface. Mais le bit D3 de la réponse reste à zéro jusqu'à ce que la procédure soit
terminée. L'automate pense donc encore recevoir des réponses à l'appel de données (0). Lorsque D3
est mis à un, le jeu de données est consistant.
Si, le bit D3 étant à un, la réponse du moniteur de sécurité AS-interface indique la coupure d'un circuit
de sortie, il est maintenant possible de demander des informations de diagnostic détaillées dans l'état
enregistré à l'aide des appels de données plus ciblés (2) … (B). Selon le réglage dans la configuration
du moniteur de sécurité AS-interface, les appels de données (4) … (B) délivrent des informations de
diagnostic des blocs triées par sortie (voir paragraphe 11.2.2) ou non triées (voir paragraphe 11.2.3).
Remarque !
Si le moniteur de sécurité AS-interface est en mode de configuration, la demande des informations de diagnostic détaillées à l'aide des appels de données (2) … (B) n'est pas possible.
Un nouvel appel de données (0) met fin à l'état enregistré.
11.2
Messages
11.2.1 Diagnostic du moniteur de sécurité AS-interface
État des circuits de sortie, mode de fonctionnement
Remarque !
L'émission en alternance des appels de données (0) et (1) est indispensable à la consistance de la transmission des données. Voir « Déroulement du diagnostic » page 39.
Les valeurs binaires des appels de données se rapportent au niveau AS-interface, il
est possible dans certaines conditions qu'elles soient inversées au niveau automate.
0001
0010
0011
0100
0101
0110
0111
1XXX
40
Signification
Mode protection, tout est ok
(des circuits de sortie inexistants, non configurés ou dépendants sont signalés comme étant ok).
Mode protection, circuit de sortie 1 coupé.
Mode protection, circuit de sortie 2 coupé.
Mode protection, deux circuits de sortie coupés.
Mode configuration : Power On.
Mode configuration
Réservé / non défini
Mode configuration : erreur fatale de l'appareil,
RAZ ou remplacement de l'appareil requis.
Pas d'information de diagnostic actuelle, veuillez attendre svp.
Manuel d'utilisation du moniteur de sécurité AS-interface
Situation : 10/2006
Appel de données / Réponse
valeur
D3 … D0
(0) / 1111
0000
État moniteur
Diagnostic par AS-interface
Appel de données
/ valeur
(1) / 1110
Enregistrer l'information de diagnostic (état moniteur)
Réponse
D3 … D0
1000
1001
1010
1011
1100
1101
1110
1111
Signification
Mode protection, tout est ok
(des circuits de sortie inexistants, non configurés ou dépendants sont signalés comme étant ok).
Mode protection, circuit de sortie 1 coupé.
Mode protection, circuit de sortie 2 coupé.
Mode protection, deux circuits de sortie coupés.
Mode configuration : Power On.
Mode configuration
Réservé / non défini
Mode configuration : erreur fatale de l'appareil,
RAZ ou remplacement de l'appareil requis.
État des DEL de l'appareil
Les appels de données (2) et (3) donnent une reproduction simplifiée des DEL des circuits de sortie
sur le moniteur de sécurité AS-interface (voir chapitre 8.2).
Si la réponse à l'appel de données (1) = 10XX :
Réponse
D3 … D0
0000
0001
0010
0011
01XX
Appel de
données / valeur
(3) / 1100
État DEL circuit de
sortie 2
Réponse
D3 … D0
1000
1001
1010
1011
Vert = contacts du circuit de sortie fermés
Jaune = blocage au démarrage/redémarrage actif
Jaune clignotant ou rouge =
contacts du circuit de sortie
ouverts
Rouge clignotant =
anomalie au niveau des composants
AS-interface contrôlés
Réservé
Signification
Vert = contacts du circuit de sortie fermés
Jaune = blocage au démarrage/redémarrage actif
Jaune clignotant ou rouge =
contacts du circuit de sortie
ouverts
Rouge clignotant =
anomalie au niveau des composants
AS-interface contrôlés
Réservé
Situation : 10/2006
11XX
Signification
Manuel d'utilisation du moniteur de sécurité AS-interface
41
TNT 35/7-24V
Appel de
données / valeur
(2) / 1101
État DEL circuit de
sortie 1
Diagnostic par AS-interface
Codage des couleurs
Remarque !
La couleur d'un bloc correspond à la couleur de la DEL virtuelle dans la fenêtre de diagnostic
du logiciel de configuration ASISWIN2. Un bloc qui n'est associé à aucun circuit de sortie
est toujours représenté en vert.
Code CCC
(D2 … D0)
000
001
010
011
100
101
110
Couleur
Signification
verte,
lumière permanente
verte,
clignotante
jaune,
lumière permanente
Le bloc est dans l'état ON (actif)
Le bloc est dans l'état ON (actif) mais déjà en cours de passage dans l'état OFF, p. ex. temporisation d'arrêt
Le bloc est prêt mais il attend encore une condition manquante, comme p. ex. un acquittement local ou un appui sur la
touche de lancement
Condition temporelle dépassée, l'action doit être répétée,
p. ex. le temps de synchronisation est dépassé
Le bloc est dans l'état OFF (inactif)
jaune,
clignotante
rouge,
lumière permanente
rouge,
Le verrouillage des erreurs est actif, déverrouillage par l'une
clignotante
des actions suivantes :
• Acquittement par la touche de service
• Power OFF/ON
• Bus AS-interface OFF/ON
grise,
Pas de communication avec l'esclave AS-interface
éteinte
Tableau 11.1 :Codage des couleurs
Remarque !
Même en mode de protection normal, il y a des blocs qui ne sont pas dans l'état vert. Lors
de la recherche de la cause d'une coupure, le bloc d'index de bloc le plus faible est le plus
important. D'autres coupures ne sont éventuellement survenues qu'en conséquence
(exemple : l'appui sur l'arrêt d'urgence fait également passer le bloc de démarrage et le temporisateur dans l'état d'arrêt).
Comme les numéros de bloc peuvent changer lors de modifications de la configuration, il
est recommandé d'utiliser l'affectation des index de diagnostic.
42
Manuel d'utilisation du moniteur de sécurité AS-interface
Situation : 10/2006
Une programmation adaptée du bloc fonctionnel dans l'automate peut guider l'utilisateur directement vers la cause primaire de l'erreur. Pour l'interprétation d'autres informations, des
connaissances plus précises de la configuration et du mode de fonctionnement du moniteur
de sécurité AS-interface sont nécessaires.
Diagnostic par AS-interface
11.2.2 Diagnostic des blocs trié par circuit de validation
Si tel en est le réglage dans la configuration, les appels de données (4) … (B) délivrent les informations de diagnostic des blocs triées par circuit de sortie.
Remarque !
Veillez au réglage correct du type de diagnostic dans la boîte de dialogue Informations
concernant le moniteur / le bus du logiciel de configuration ASISWIN2 pour le moniteur
de sécurité AS-interface.
Les valeurs obtenues en réponse aux appels (5) et (6) ainsi que (9) et (A) se rapportent à
l'index de diagnostic du bloc dans le logiciel de configuration et non à une adresse AS-interface.
Exécutez toujours les appels de données (4) … (7) et (8) … (B) ensemble et les uns à la suite des autres pour chaque bloc.
Diagnostic trié des blocs, circuit de sortie 1
Si la réponse à l'appel de données (1) = 10X1 :
Appel de données / Réponse
valeur
D3 … D0
(4) / 1011
0XXX
Nombre de blocs de
couleur non verte
circuit de sortie 1
Signification
Appel de données / Réponse
valeur
D3 … D0
1HHH
(5) / 1010
Adresse bloc HIGH
circuit de sortie 1
Signification
Situation : 10/2006
Appel de données / Réponse
valeur
D3 … D0
(7) / 1000
1CCC
Couleur bloc circuit
de sortie 1
pas de bloc, réponses aux appels de données (5) … (7) pas importantes.
XXX = 1 … 6 : nombre de blocs dans le circuit de sortie 1
XXX = 7 :
nombre de blocs est > 6 dans le circuit de
sortie 1
HHH = I5,I4,I3 : index de diagnostic du bloc dans le circuit de
sortie 1 de la configuration
(HHHLLL = index de diagnostic)
Signification
LLL = I2,I1,I0 : index de diagnostic du bloc dans le circuit de
sortie 1 de la configuration
(HHHLLL = index de diagnostic)
Signification
CCC = couleur (voir tableau 11.1 page 42)
Manuel d'utilisation du moniteur de sécurité AS-interface
43
TNT 35/7-24V
Appel de données / Réponse
valeur
D3 … D0
(6) / 1001
0LLL
Adresse bloc LOW
circuit de sortie 1
XXX = 0 :
Diagnostic par AS-interface
Diagnostic trié des blocs, circuit de sortie 2
Si la réponse à l'appel de données (1) = 101X :
Appel de données / Réponse
valeur
D3 … D0
(8) / 0111
0XXX
Nombre de blocs de
couleur non verte
circuit de sortie 2
Signification
Appel de données / Réponse
valeur
D3 … D0
(9) / 0110
1HHH
Adresse bloc HIGH
circuit de sortie 2
Signification
Appel de données / Réponse
valeur
D3 … D0
(A) / 0101
0LLL
Adresse bloc LOW
circuit de sortie 2
Appel de données / Réponse
valeur
D3 … D0
(B) / 0100
1CCC
Couleur bloc circuit
de sortie 2
XXX = 0 :
pas de bloc, réponses aux appels de données (5) … (7) pas importantes.
XXX = 1 … 6 : nombre de blocs dans le circuit de sortie 2
XXX = 7 :
nombre de blocs est > 6 dans le circuit de
sortie 2
HHH = I5,I4,I3 : index de diagnostic du bloc dans le circuit de
sortie 2 de la configuration
(HHHLLL = index de diagnostic)
Signification
LLL = I2,I1,I0 : index de diagnostic du bloc dans le circuit de
sortie 2 de la configuration
(HHHLLL = index de diagnostic)
Signification
CCC = couleur (voir tableau 11.1 page 42)
Situation : 10/2006
Remarque !
Les appels de données (C) 0011 à (F) 0000 sont réservés.
44
Manuel d'utilisation du moniteur de sécurité AS-interface
Diagnostic par AS-interface
11.2.3 Diagnostic des blocs non trié
Si tel en est le réglage dans la configuration, les appels de données (4) … (B) délivrent les informations de diagnostic des blocs non triées pour tous les blocs.
Remarque !
Veillez au réglage correct du type de diagnostic dans la boîte de dialogue Informations
concernant le moniteur / le bus du logiciel de configuration ASISWIN2 pour le moniteur
de sécurité AS-interface.
Les valeurs obtenues en réponse aux appels (5) et (6) ainsi que (9) et (A) se rapportent à
l'index de diagnostic du bloc dans le logiciel de configuration et non à une adresse AS-interface.
Exécutez toujours les appels de données (4) … (7) et (8) … (B) ensemble et les uns à la suite des autres pour chaque bloc.
Diagnostic non trié des blocs pour tous les blocs
Si la réponse à l'appel de données (1) = 1001, 1010 ou 1011 :
Appel de données / Réponse
valeur
D3 … D0
(4) / 1011
0XXX
Nombre de blocs de
couleur non verte,
lumière permanente
Signification
Appel de données / Réponse
valeur
D3 … D0
(5) / 1010
1HHH
Adresse bloc HIGH
Signification
Situation : 10/2006
Appel de données / Réponse
valeur
D3 … D0
(7) / 1000
1CCC
Couleur bloc
Appel de données / Réponse
valeur
D3 … D0
(8) / 0111
0XXX
pas de bloc, réponses aux appels de données
(5) … (7) pas importantes.
XXX = 1 … 6 : nombre de blocs de couleur non verte.
XXX = 7 :
nombre de blocs de couleur non verte est > 6
(couleurs voir tableau 11.1 page 42).
HHH = I5,I4,I3 : index de diagnostic du bloc dans la configuration
(HHHLLL = index de diagnostic)
Signification
LLL = I2,I1,I0 : index de diagnostic du bloc dans la configuration
(HHHLLL = index de diagnostic)
Signification
CCC = couleur (voir tableau 11.1 page 42)
Signification
non utilisé
Manuel d'utilisation du moniteur de sécurité AS-interface
45
TNT 35/7-24V
Appel de données / Réponse
valeur
D3 … D0
(6) / 1001
0LLL
Adresse bloc LOW
XXX = 0 :
Diagnostic par AS-interface
Appel de données / Réponse
valeur
D3 … D0
(9) / 0110
1HHH
Adresse bloc HIGH
Appel de données / Réponse
valeur
D3 … D0
(A) / 0101
0LLL
Adresse bloc LOW
Appel de données / Réponse
valeur
D3 … D0
(B) / 0100
10XX
Affectation au circuit
de sortie
Signification
HHH = I5,I4,I3 : index de diagnostic du bloc dans la configuration
(HHHLLL = index de diagnostic)
Signification
LLL = I2,I1,I0 : index de diagnostic du bloc dans la configuration
(HHHLLL = index de diagnostic)
Signification
XX = 00 :
XX = 01 :
XX = 10 :
XX = 11 :
bloc du prétraitement
bloc du circuit de sortie 1
bloc du circuit de sortie 2
bloc des deux circuits de sortie
Situation : 10/2006
Remarque !
Les appels de données (C) 0011 à (F) 0000 sont réservés.
46
Manuel d'utilisation du moniteur de sécurité AS-interface
Diagnostic par AS-interface
11.3
Exemple : Principe de demande dans le cas du diagnostic trié par circuit de validation
État des circuits de sortie, mode de fonctionnement
État des DEL de l'appareil
Début
Diagnostic
en option
Appel de données (0)
état
Appel de données (2)
DEL circuit 1
Réponse à (0) ≠ 0X00
Appel de données (1)
geler la demande
Appel de données (3)
DEL circuit 2
Réponse à (1) ≠ 1X00
Diagnostic bloc circuit de sortie 1
Diagnostic bloc circuit de sortie 2
Diagnostic
Diagnostic
Réponse à (1) = 10X1
Réponse à (1) = 101X
Appel de données (4)
nombre
Appel de données (8)
nombre
Appel de données (9)
adresse HIGH
Appel de données (5)
adresse HIGH
Bloc suivant
Bloc suivant
Appel de données (A)
adresse LOW
Appel de données (6)
adresse LOW
Appel de données (B)
couleur
Appel de données (7)
couleur
Index de diagnostic < index de diagnostic précédent
Situation : 10/2006
TNT 35/7-24V
Diagnostic ou
début
Diagnostic
Index de diagnostic < index de diagnostic précédent
Diagnostic ou
début
Diagnostic ou
début
Figure 11.1 : Principe de demande dans le cas du diagnostic trié par circuit de sortie
Manuel d'utilisation du moniteur de sécurité AS-interface
47
Des systèmes de bus sûrs grâce à l'AS-interface
12
Des systèmes de bus sûrs grâce à l'AS-interface
L'extension de l'AS-interface à des fonctions de sécurité est basée sur le système normé selon
EN 50295 qui prend en compte la mise en réseau de capteurs et actionneurs à commutation binaire.
Aucune modification et aucun complément du système de transmission standard n'a été nécessaire.
On a plutôt voulu ajouter des composants de sécurité à un système déjà existant. Il est ainsi possible
de combiner les fonctions normales et celles de sécurité dans un seul et unique système.
Du point de vue de la sécurité également, l'AS-interface est adapté aux composants à commutation
binaire. On ne transmet plus maintenant que des données utiles de sécurité sur un bit au lieu des données E/S 8 bits disponibles dans le système. Ainsi pour un interrupteur d'arrêt d'urgence par exemple,
on ne transmet plus que l'information « interrupteur actionné » ou « interrupteur non actionné ».
Des applications de catégorie de commande allant jusqu'à 4 selon EN 954-1 [2] sont réalisables.
12.1
Description du principe
Vous trouverez ci-dessous une description plus détaillée des fonctions de sécurité. Nous n'avons représenté du système standard que ce qui est indispensable à la bonne compréhension des mesures
de sécurité que nous voulons exposer.
Pour des informations plus détaillées au sujet du système AS-interface standard, veuillez vous reporter au manuel AS-interface [3] et à la norme correspondante EN 50295 [1]1.
Toutes les nouvelles extensions telles que le fonctionnement avec 62 esclaves ont aussi été intégrées
à la version 2.1 de la spécification de l'AS-interface [4].
1.
48
Vous trouverez également beaucoup des informations sur Internet à l'adresse http://www.as-interface.net.
Manuel d'utilisation du moniteur de sécurité AS-interface
Situation : 10/2006
Dans un système AS-interface, jusqu'à 31 ou 62 esclaves communiquent avec un maître sur une ligne
à deux fils. Le maître contrôle l'échange d'informations et échange à son tour toutes les données importantes du système avec l'hôte. L'hôte est le composant du système de niveau supérieur, le plus
souvent un automate, un ordinateur industriel ou un coupleur vers un bus de terrain de niveau supérieur, par exemple INTERBUS ou PROFIBUS. Le maître est en général l'un des composants du système hôte, par exemple une carte enfichable dans un automate.
Des systèmes de bus sûrs grâce à l'AS-interface
Bus de terrain de
niveau sup. Ex.:
PROFIBUS
INTERBUS
Hôte
(automate, IPC, coupleur)
Maître
Ligne AS-i
Bloc d'alimentation
.....
(1 à 31)
Esclaves
(Capteurs et actionneurs)
Figure 12.1 : Vue d'ensemble d'un système AS-interface
Un avantage essentiel est la réduction considérable des frais d'installation pour les capteurs et actionneurs binaires au niveau du procédé, c'est-à-dire au niveau de l'automation industrielle brute. De par
l'électromécanique AS-interface, le câblage du système se fait au moyen d'un câble plat spécial à
deux fils par pénétration (les raccords du participant pénètrent dans le câble plat). D'autres avantages
en sont le diagnostic amélioré et simplifié des capteurs et actionneurs participants, ainsi que la facilité
d'extension favorisée par le fait que la topologie du réseau constitué peut être quelconque.
Depuis l'introduction sur le marché en 1994, plus de 2 millions d'IC esclaves ont déjà été vendus. Le
système est maintenant considéré comme éprouvé depuis longtemps, surtout en ce qui concerne le
respect des exigences de CEM imposées aux composants et systèmes utilisés dans le domaine de
l'automation industrielle.
Situation : 10/2006
Les avantages cités plus haut sont également valables pour l'extension de sécurité. L'utilisateur n'a
pas besoin de changer la structure du système pour intégrer les composants de sécurité et il applique
une seule technologie homogène. Le deuxième câblage nécessaire en plus jusqu'alors pour le diagnostic de l'état de commutation de composants de sécurité est devenu inutile. En effet, de par le principe du système AS-interface, l'information de diagnostic est déjà disponible dans l'hôte, en général
un automate non sécuritaire, sans frais supplémentaires.
Il est possible d'intégrer jusqu'à 31 esclaves de sécurité dans un système, des applications de catégorie de commande allant jusqu'à 4 selon EN 954-1 sont réalisables avec un temps de réaction système de 40ms au maximum.
Manuel d'utilisation du moniteur de sécurité AS-interface
49
TNT 35/7-24V
Le système est alimenté par un bloc d'alimentation spécifique (voir figure 12.1) disposant également
du découplage des données nécessaire. Les informations et l'énergie sont transmises ensemble sur
une ligne à deux fils de section minimale 1,5mm2, la somme de toutes les portions de fils pouvant
atteindre une longueur de 100m, et le temps du cycle d'échange des données est de 5ms pour un
système complet.
Des systèmes de bus sûrs grâce à l'AS-interface
12.2
Structure matérielle des participants au bus pour la transmission
Partons de la structure du système standard représenté figure 12.1 comprenant un maître et jusqu'à
31 esclaves.
Notons que, conformément à [4], version 2.1 de la spécification AS-interface, il est également possible d'exploiter jusqu'à 62 esclaves dits A/B dans un système, sans influencer l'extension de sécurité
puisque la structure maximale reste limitée à 31 pour le nombre d'esclaves ayant un rôle dans la sécurité. Ainsi par exemple, selon [4], il est possible d'ajouter normalement à un système comprenant
déjà 5 esclaves de sécurité 26 esclaves habituels ou 52 esclaves A/B.
Pendant le fonctionnement dit normal du maître qui comprend des phases d'échange de données et
de management, un appel du maître pendant la phase d'échange des données provoque la transmission de l'adresse esclave ainsi que de données de sortie sur 4 bits (4A) à tous les esclaves. Après
réception d'un appel, l'esclave concerné répond au maître par une réponse-esclave (voir figure 12.2),
il transmet des données d'entrée sur 4 bits (4E). Ainsi, au total 8 bits de données utiles sont échangées par esclave avec le maître.
Esclave standard (capteur)
Hôte (automate)
Capteurs
Bits de
données
Maître AS-i
standard
Ligne AS-i
D0
D1
D2
D3
Connexion AS-i
esclave standard
Appel du maître
Bloc d'alimentation
standard
Réponse de l'esclave
Figure 12.2 : Échange de données en mode de fonctionnement standard
De son côté, le maître décide de l'ordre des appels. Pendant cette phase d'échange de données, tous
les esclaves sont interrogés à leur tour dans l'ordre des adresses croissantes.
Si le maître détecte une erreur dans un message pendant la phase d'échange de données, le message concerné est immédiatement répété une fois.
Tous les mécanismes cités jusqu'ici restent identiques pour l'extension de sécurité. Tout maître ASinterface conforme aux spécifications reste donc utilisable dans le système sans modification, même
50
Manuel d'utilisation du moniteur de sécurité AS-interface
Situation : 10/2006
Cette procédure, également connue sous le nom de Master-Slave-Polling, est répétée en permanence pendant le fonctionnement normal cyclique du maître, laissant passer après les max. 31 messages
de la phase d'échange de données un message de la phase de management avant de repartir pour
la phase d'échange de données suivante.
Des systèmes de bus sûrs grâce à l'AS-interface
si des composants de sécurité y sont intégrés, d'autant que le maître lui-même ne fait pas partie des
composants importants pour la sécurité. En effet, en plus des esclaves de sécurité, le seul composant
complémentaire nécessaire dans le système est un moniteur de sécurité.
Comme le dit son nom, ce composant n'intervient pas dans le transfert de données entre maître et
esclaves. Il ne fait que le surveiller (voir figure 12.3) et en déduit l'état de commutation de chacun des
esclaves de sécurité.
Hôte (automate)
Esclave de sécurité
(capteur)
Moniteur de sécurité
validé :
01
01
01
10
10
10
11
11
Maître AS-i
standard
01
10
11
01
10
11
01
10
n. validé :
0000
Ligne AS-i
Capteurs
Voie 1
Voie 1
Générat.
série
Voie 2
Voie 2
Générat.
série
Bits de
données
Cycle
D0
D1
D2
D3
Connexion AS-i
esclave standard
Appel du maître
Bloc d'alimentation
standard
Réponse de l'esclave
L'état de commutation de tous les esclaves de sécurité est intégré à l'image sûre du processus du
moniteur de sécurité et mis à disposition d'unités en aval pour la sécurité.
Situation : 10/2006
Un moniteur de sécurité est un appareil indépendant, l'élément branché en sa sortie est une unité qui
exécute une combinaison correspondante des informations de l'image du processus et qui intervient
à l'aide de relais dans les circuits de commande de sécurité conventionnels (ex. circuit d'arrêt d'urgence).
Manuel d'utilisation du moniteur de sécurité AS-interface
51
TNT 35/7-24V
Figure 12.3 : Échange de données sécuritaire
Des systèmes de bus sûrs grâce à l'AS-interface
La figure 12.4 montre le schéma fonctionnel du moniteur de sécurité, la figure 12.5 une structure de
système contenant des composants normaux et des composants de sécurité.
Schéma fonctionnel
du moniteur de sécurité
Transmission sûre
Image sûre du processus
Unité en aval
(User functions)
Figure 12.4 : Schéma fonctionnel du moniteur de sécurité
Hôte (automate)
Moniteur de sécurité avec
contacts de sortie sûrs
Esclaves
Rideau optique
de sécurité
Cellule photoél.
de sécurité
Circuit de
commande
sûr
Disjoncteur
de sécurité
Maître AS-i
standard
Ligne AS-i
Interrupteur d'arrêt
d'urgence
Bloc d'alimentation
standard
Esclaves standard (Capteurs de fonction et actionneurs)
L'unité en aval peut également être une interface vers un système de bus de terrain sûr de niveau
supérieur, tel que par exemple PROFISAFE ou SafetyBus p (voir figure 12.6). Dans ce cas, l'image
sûre du processus est mise à disposition d'une commande sûre à un niveau supérieur.
52
Manuel d'utilisation du moniteur de sécurité AS-interface
Situation : 10/2006
Figure 12.5 : Structure du système avec un moniteur de sécurité
Des systèmes de bus sûrs grâce à l'AS-interface
Bus de terrain sûr de niveau supérieur
par ex. PROFISAFE ou SafetyBUS p
Hôte (automate ou coupleur)
Esclaves
Rideau optique
de sécurité
Cellule photoél.
de sécurité
Disjoncteur
de sécurité
Maître AS-i associé au
moniteur de sécurité
Ligne AS-i
Bloc d'alimentation
standard
Interrupteur d'arrêt
d'urgence
Esclaves standard (Capteurs de fonction et actionneurs)
Figure 12.6 : Structure du système avec un hôte de sécurité
Si le maître et le moniteur de sécurité sont montés en une seule unité comme c'est le cas à la figure
12.6, il est également possible d'exploiter des actionneurs de sécurité à commutation binaire sur la
ligne AS-interface. Une commande sûre doit alors fournir l'information de commutation aux actionneurs, elle est de niveau supérieur par rapport au maître, ainsi qu'au moniteur de sécurité.
La structure répond au modèle d'architecture D donné dans [5]. Le système de transmission AS-interface est utilisé comme voie de transmission non sûre, le niveau de sécurité requis est atteint grâce
à des mécanismes dans les éléments de niveau supérieur des esclaves de sécurité et dans le moniteur de sécurité.
Pour garantir la sécurité requise, les composants suivants doivent en outre répondre à des exigences
particulières :
1.
Esclave de sécurité
Lors du montage d'un esclave de sécurité, la séparation du générateur de code et de l'IC ASinterface décrite dans le chapitre 12.3 doit être garantie.
2.
Moniteur de sécurité
Le moniteur de sécurité peut prétraiter les messages dynamisés sur une voie unique. Toutes
les autres fonctions sont importantes du point de vue de la sécurité et doivent être préparées
en conséquence.
Situation : 10/2006
Tous les autres composants du système tels que le maître, le bloc d'alimentation et les esclaves normaux ne sont pas considérés comme importants pour la sécurité.
Manuel d'utilisation du moniteur de sécurité AS-interface
53
TNT 35/7-24V
La sécurité est basée sur la dynamique et le codage spécial de l'information transmise.
Des systèmes de bus sûrs grâce à l'AS-interface
12.3
Structure du télégramme de sécurité
Les informations de sécurité sont transmises sur la voie de transmission non sécuritaire du standard
AS-interface (cette voie est décrite dans le chapitre 12.2 et détaillée dans [3]).
Un appel du maître sur 14 bits est suivi, après une pause esclave, d'une réponse par l'esclave sur 7
bits. Vous trouverez la signification de chacun des bits à la figure 12.7. Des signaux digitaux en attente
en entrée sont lus puis transmis cycliquement. Si un signal statique est en attente, il sera relu lors de
chaque cycle et la valeur constante retransmise à chaque cycle.
150 µs
St SB A4 A3 A2 A1 A0 I4 I3 I2 I1 I0 PB EB
St I3 I2 I1 I0 PB EB
Appel du maître
Pause du maître
St
SB
A4 ... A0
I4 ... I0
PB
EB
=
=
=
=
=
=
Bit de départ (= 0)
Bit de contrôle
Adresse esclave (5 Bit)
Information (5 Bit)
Bit de parité
Bit d'arrêt (= 1)
St
I3 ... I0
PB
EB
Réponse de l'esclave
Pause de l'esclave
=
=
=
=
Bit de départ (= 0)
Information (4 Bit)
Bit de parité
Bit d'arrêt (= 1)
Figure 12.7 : Signification des bits de l'appel du maître et de la réponse par l'esclave
• Un seul bit d'information utile est transmis. Les deux états possibles ont la signification validé (=1)
et non validé (=0).
Exemple :
Arrêt d'urgence non actionné
== validé (mouvement dangereux autorisé)
Arrêt d'urgence actionné
== non validé (mouvement dangereux pas autorisé)
• Dans l'état non validé, la valeur statique (0,0,0,0) est appliquée sur les 4 bits d'entrée de l'IC
esclave.
• Dans l'état validé, une valeur différente à chaque cycle est appliquée sur les 4 bits d'entrée. Les
valeurs forment une suite de 8 valeurs de 4 bits différentes par paires, chaque esclave possédant
sa série propre et univoque dans le système.
La série est stockée dans une table de codes de l'esclave et doit être générée selon des règles
bien définies. Elle est attribuée par le fabricant. Plusieurs séries peuvent être mémorisées sur chaque esclave, laissant le choix à l'utilisateur avant la mise en route.
La figure 12.3 présente un exemple de série valide.
54
Manuel d'utilisation du moniteur de sécurité AS-interface
Situation : 10/2006
La transmission de sécurité fonctionne selon le même mécanisme : l'information sur 4 bits en attente
sur l'IC AS-interface de l'esclave est transmise. Du point de vue de la transmission, des informations
sont transmises du maître à l'esclave et réciproquement. Mais le flux d'informations important pour la
sécurité passe de l'esclave vers le moniteur de sécurité qui écoute et surveille tous les échanges d'informations. Les données utiles de sécurité sont spécifiées comme suit :
Des systèmes de bus sûrs grâce à l'AS-interface
• Le moniteur met dans son image sûre du processus l'un des trois états validé, non validé ou
erreur pour chaque esclave.
non validé .... le passage dans cet état a lieu après réception d'une valeur (0,0,0,0).
validé ....
le passage dans cet état a lieu après réception au moins 8 fois de suite de
la valeur (0,0,0,0), puis de 9 fois la valeur correcte de la série.
erreur ....
après détection du non-respect des règles de transmission de sécurité, par
exemple après réception d'une valeur de 4 bits non autorisée ou si aucune
valeur correcte d'une série n'est entrée pendant un intervalle de temps trop long.
En réduisant les données utiles, on arrive à ne plus devoir différencier, du point de vue de la sécurité,
que les deux états validé et non validé.
L'état validé, qui autorise le mouvement dangereux, est représenté par la dynamique de l'information
de telle façon que toute erreur sera détectée avec fiabilité dans la voie de transmission, si bien que le
mouvement dangereux ne restera pas autorisé.
Alors que dans l'état non validé, la valeur (0,0,0,0) est transmise statiquement, une valeur différente
doit être transmise à chaque cycle pour l'état validé. Comme représenté à la figure 12.8, un générateur de code fournit la valeur correspondante d'une série à l'IC AS-interface. A chaque cycle détecté
par le signal stroboscopique de l'IC AS-interface (DSTB, cf. [3]), le générateur de code détermine la
valeur suivante de la série et la met à disposition. La valeur transmise est ensuite comparée avec la
valeur attendue dans le moniteur de sécurité, et en cas de différence, le système est coupé en toute
sécurité.
Schéma fonctionnel
d'un esclave sûr
TNT 35/7-24V
Capteurs
Générateur/
Séparation sûre
Connexion AS-i
esclave standard
Situation : 10/2006
Figure 12.8 : Schéma fonctionnel d'un esclave de sécurité avec composant de sécurité à deux voies
Le moniteur connaît la valeur attendue, elle lui a été configurée lors de l'auto-apprentissage réalisé
pendant la mise en service (voir chapitre 12.6).
Manuel d'utilisation du moniteur de sécurité AS-interface
55
Des systèmes de bus sûrs grâce à l'AS-interface
Cette procédure est répétée en permanence. Si le composant de sécurité commute dans l'état non
validé, la valeur (0,0,0,0) statique est immédiatement transmise, ce qui provoque directement la coupure.
Un esclave de sécurité doit être monté de façon à garantir que, dans l'état non validé, la sortie du
générateur de code soit séparée sûrement de l'entrée de l'IC AS-interface esclave si bien que la valeur (0,0,0,0), ou tout au moins une valeur statique, est appliquée à l'IC AS-interface.
Le cas particulier des modules de couplage de sécurité utilisés pour la liaison de composants de sécurité conventionnels à l'AS-interface a été pris en compte. Dans ce cas, l'esclave de sécurité se trouve dans le module de couplage. Comme la liaison des composants conventionnels doit être réalisée
sur deux voies dans la catégorie de sécurité correspondante, toute erreur statique sur une voie doit
être sûrement reconnue, ainsi par exemple en cas de soudage de contacts ou de court-circuit.
Si, comme représenté sur le Schéma fonctionnel d'un esclave de sécurité avec composant de sécurité
à deux voies, suite à la séparation sûre du générateur de code et de l'IC AS-interface, deux bits par
voie sont séparés, alors la coupure se fera par seulement deux des quatre bits utilisés (cas du soudage de contacts par exemple). Le moniteur de sécurité qui interprète les valeurs transmises reconnaît la situation, il coupe en toute sécurité et peut bloquer le redémarrage de l'installation.
En plus des exigences à respecter pour le montage des esclaves de sécurité, le taux d'erreurs résiduelles imposé doit être garanti pour les erreurs décrites ci-dessous :
1.
Démarrage défectueux :
Suite à une erreur de transmission, à des incidents, etc., la transition de l'état non validé à
l'état validé ne doit avoir lieu à aucun moment.
2.
Coupure n'ayant pas lieu :
La transition de l'état validé à l'état non validé doit avoir lieu dans le temps de réaction maximal imposé, et ce, même si des erreurs de transmission, des incidents ou toute autre influence
extérieure intervient pendant la procédure de commutation.
12.4
Mesures contre les erreurs de transmission
AS-interface a été conçu et développé pour être utilisé au niveau de l'automation industrielle ; les exigences écologiques correspondantes ont donc été prises en compte. On a voulu développer un système permettant la transmission de l'énergie et des informations sur un câble plat à deux fils non
torsadé pour un environnement industriel aux champs électromagnétiques importants. Cette spécification a été résolue avec un système structuré de façon symétrique conséquente. On a constaté que
la réjection en mode commun résultant dans le système structuré de façon symétrique apporte l'immunité aux parasites imposée, si bien qu'il est même possible d'obtenir dans un réseau structuré en
bonne et due forme des résultats qui dépassent l'immunité aux parasites d'installations conventionnelles.
Une condition en est aussi l'isolation sûre selon PELV dans le bloc d'alimentation.
Pour éviter les erreurs de transmission, toutes les conditions importantes en matière de CEM ont été
56
Manuel d'utilisation du moniteur de sécurité AS-interface
Situation : 10/2006
Comme déjà expliqué, la transmission des données utiles de sécurité est basée sur celle du système
standard. Pour cette raison, la première étape consiste à observer les mécanismes du système standard et leurs éventuelles erreurs de transmission. Nous distinguerons ici les mesures de suppression
des influences perturbatrices de celles de détection des erreurs qui sont dues à des incidents.
Des systèmes de bus sûrs grâce à l'AS-interface
posées pour la spécification AS-interface en s'appuyant sur CEI 61000 [6]. Des vérifications détaillées
de modèle-type que l'AS-International Association doit réaliser pour la certification de tout produit garantissent la conformité aux spécifications.
Pour la transmission d'informations exposée dans le détail dans [3], on utilise un codage Manchester.
Ce dernier contient des caractéristiques essentielles pour la détection d'erreurs.
Les principaux mécanismes de détection d'erreurs sont :
•
•
•
•
Contrôle de la parité dans l'appel du maître et la réponse de l'esclave
Règle d'alternance lors du codage
Surveillance de la longueur des télégrammes
Surveillance des pauses
Finalement, le système en fonctionnement depuis des années est maintenant éprouvé ; c'est particulièrement sa haute disponibilité qui en fait un système accepté de manière universelle. Les expériences faites montrent qu'en fonctionnement normal, les taux d'erreurs détectées mesurés sur bancs de
test sont de l'ordre de moins de 10 erreurs/h. Cela correspond à une probabilité d'erreur de bit
PBit < 10-7 et démontre également que la suppression des perturbations choisie y est pour beaucoup
dans la grande disponibilité du système.
Les mécanismes de répétition des messages en cas d'erreur qui sont implémentés dans le maître ont
d'ailleurs la conséquence suivante : si on considère que les incidents sont répartis uniformément,
théoriquement, le système restera disponible avec une probabilité d'erreur de bit allant jusqu'à
PBit = 4,7 • 10-2 si tous les composants participant fonctionnent normalement.
Le chapitre 12.5 en particulier montre que le taux d'erreurs résiduelles résultant est inférieur au seuil
imposé pour SIL 3 selon CEI 61508.
De plus, il est facile de montrer que les erreurs du système de transmission citées dans [5], telles que
la répétition d'un message, la perte, l'insertion, l'inversion, la falsification et le retard sont maîtrisées
grâce au mécanisme de dynamisation.
12.5
Recherche de la probabilité d'erreurs résiduelles
La recherche du taux d'erreurs résiduelles s'appuie sur les spécifications données dans [5].
Situation : 10/2006
Selon ces spécifications, pour obtenir l'autorisation selon SIL 3 conformément à CEI 61508 [7] ou la
catégorie de commande 4 selon EN 954-1 [2], il faut atteindre un taux d'erreurs résiduelles
Λ < 10-9/h, c.-à-d. une seule erreur non détectée sur une durée de fonctionnement de 109 heures.
Pour des systèmes disposant de sauvegarde de données qui s'intéresse uniquement à l'information
comme par exemple CRC ou d'autres mesures analogues, l'observation peut s'appuyer sur des méthodes connues. Dans le cas de l'AS-interface par contre, une observation parfaitement adaptée aux
mesures du système est indispensable. Les points exposés dans le chapitre 12.3 doivent être considérés comme des cas particulièrement critiques et de haute sécurité ; il est important de déterminer
la probabilité de leur apparition :
Manuel d'utilisation du moniteur de sécurité AS-interface
57
TNT 35/7-24V
Comme le fonctionnement mixte est autorisé sur une ligne, les mêmes conditions relatives à la voie
de transmission sont valables pour les fonctions normales et celles de sécurité. De par la dynamique
de la transmission des informations, des mesures supplémentaires sont cependant disponibles pour
la sécurité de la transmission. Ces mesures sont même suffisantes pour garantir le minimum de protection imposé en cas de défaillance de toutes les mesures de sécurité du système standard.
Des systèmes de bus sûrs grâce à l'AS-interface
Démarrage dangereux
L'esclave de sécurité envoie une série statique de valeurs (0,0,0,0). Pourtant, suite à une erreur sur
le parcours de transmission, c'est la série permettant le démarrage qui atteint le récepteur, si bien que
ce dernier commute l'esclave en état validé sur l'image du processus, autorisant ainsi le mouvement
dangereux.
Absence de coupure
Au moment où l'esclave de sécurité commence la procédure d'arrêt et où il envoie la valeur statique
(0,0,0,0) au lieu de la série dynamique, la transmission est falsifiée de telle façon que le récepteur
continue de recevoir une série dynamique qui semble correcte, que l'état validé reste dans l'image
du processus, et que par conséquent la procédure de coupure n'a pas lieu.
Taux d'erreurs de bits élevé
Lors de perturbations massives couplées sur la ligne du bus, alors que les mécanismes de sécurité
du système standard sont considérés comme défectueux, des erreurs de bit qui se produisent continuellement augmentent le taux d'erreurs résiduelles.
Une étude détaillée a permis de prouver que les cas d'erreurs cités suffisent pour répondre aux exigences de SIL 3. Les lignes ci-dessous ne donnent qu'une explication succinte du calcul.
1. Démarrage dangereux :
Considérons les erreurs pouvant apparaître pendant le démarrage.
Le moniteur de sécurité fait commuter un esclave de sécurité vers l'état validé si la condition suivante
est remplie :
La série complète de 8 valeurs différentes par paires est passée correctement et la première valeur
revient bien une deuxième fois. On a donc reçu 9 valeurs correctes d'une série.
Considérons le pire des cas dans lequel à chaque fois un seul bit à un est nécessaire pour obtenir
une valeur correcte de la série, alors la probabilité d'obtenir 9 valeurs correctes d'une série et donc la
probabilité d'erreurs résiduelles peut être évaluée comme suit
Psérie = PPER < PBit9 .
Même si la probabilité d'erreur de bit est de 10-2, on peut évaluer le taux d'erreurs résiduelles Λ pour
le cas du démarrage dangereux, à une fréquence de demande d'1 Hz, comme suit :
Λ < 10-13/h (par message).
Situation : 10/2006
(Note : ce scénario est contraire aux règles de génération des tables de code. Une telle série ne peut
pas arriver, elle serait encore pire que tous les cas réels possibles, « pire que le pire des cas ».)
58
Manuel d'utilisation du moniteur de sécurité AS-interface
Des systèmes de bus sûrs grâce à l'AS-interface
2. Absence de coupure :
Considérons les erreurs pouvant apparaître pendant l'arrêt.
Si au lieu de la série statique de (0,0,0,0) nécessaire à l'arrêt, la série dynamique continue d'être transmise, alors, dans les conditions du pire des cas, seul un bit doit être falsifié avec l'élément suivant.
Les règles de génération de la table de codes imposent par contre de falsifier au moins deux bits de
la valeur suivante pour obtenir une valeur correcte. Pour la troisième valeur de la série, la falsification
d'un seul bit aura déjà une incidence. On pourra finalement évaluer la probabilité d'apparition d'une
série correcte résultant d'erreurs comme suit :
Psérie = PPER < 1/8 • PBit4.
Pour un taux d'erreur de bit de PBit = 10-4 et sous une fréquence de demande d'1Hz, on obtient au
total un taux d'erreurs résiduelles Λ selon [5] de :
Λ < 9 • 10-10 /h
3. Taux d'erreurs de bits élevé :
Selon [5], il faut prouver la probabilité d'erreur de bit qui entre dans le calcul du taux d'erreurs résiduelles ou bien considérer qu'elle vaut PBit = 10-2.
Il est également admissible d'utiliser un compteur d'erreurs qui permettra de déduire du nombre d'erreurs de transmission détectées le taux d'erreurs résiduelles auquel on peut s'attendre. Le dépassement d'un certain taux d'erreurs peut alors provoquer un arrêt sûr.
Comme déjà expliqué, les probabilités d'erreur de bit correspondant aux taux d'erreur de bit observés
de systèmes AS-interface utilisés correctement sont de l'ordre de PBit < 10-7. Ainsi, la probabilité d'erreur de bit supposée pour le calcul du taux d'erreurs résiduelles à 10-4 dépasse le taux observé sur
des systèmes utilisés correctement d'un facteur 1000.
Pour le calcul du taux d'erreurs résiduelles, on considère que tous les mécanismes de protection du
système standard, et en particulier le contrôleur de code de l'IC esclave AS-interface et du maître, ne
fonctionnent pas. Dans ces conditions, chaque erreur est envoyée au niveau de protection supérieur
du moniteur de sécurité.
Situation : 10/2006
Ces erreurs y seront très probablement reconnues puisque le moniteur de sécurité connaît déjà la plupart des bits transmis à l'avance et que le message reçu ne correspond pas au message attendu. Ceci
est valable pour les valeurs de la série transmise par l'esclave, ainsi que pour l'adresse de l'esclave
transmise par le maître puisque le moniteur de sécurité surveille en permanence aussi bien la série
que l'ordre croissant des adresses des appels du maître.
On peut finalement montrer que, grâce à la surveillance de sécurité dans le moniteur de sécurité, les
taux d'erreurs de bits utilisés pour le calcul du taux d'erreurs résiduelles mènent en peu de temps à
une erreur détectée, provoquant une coupure (cf. tableau 12.1) :
Manuel d'utilisation du moniteur de sécurité AS-interface
59
TNT 35/7-24V
Le principe de surveillance des erreurs utilisé dans le cas de l'AS-interface est décrit brièvement cidessous :
Des systèmes de bus sûrs grâce à l'AS-interface
PBit
10-4
Temps de coupure
1s
10-2
10ms
Tableau 12.1 :Temps de coupure et probabilité d'erreur de bit
Cela signifie que pour un taux d'erreurs de bits de 10-4, ou 10-2, il y a une coupure toutes les secondes, respectivement toutes les 10ms, ce qui n'est pas acceptable dans la pratique. On peut donc partir
du principe que AS-interface ne sera utilisé qu'avec des taux d'erreurs de bits inférieurs à 10-7. Ceci
correspond à une coupure toutes les 1000s.
12.6
Mise en service, réparation
Si on compare avec la mise en route d'un système AS-interface standard (décrite dans [3]), seules
quelques étapes supplémentaires sont nécessaires. Respecter la procédure suivante :
•
•
•
•
•
•
•
•
•
•
Montage du système et de tous les composants participants
En option : configuration du maître via l'hôte non sécuritaire (le plus souvent un automate).
Configuration de la partie de sécurité par configuration du moniteur de sécurité.
Distribution des adresses esclave AS-interface aux composants normaux et aux composants de
sécurité.
Mise en route de l'alimentation en tension
Configuration du maître à l'aide de la fonction « Configurer la configuration réelle » (si ce n'est pas
déjà fait via l'hôte).
Une fois en fonctionnement AS-interface normal : auto-apprentissage des tables de codes des
composants de sécurité.
Condition : tous les esclaves doivent se trouver dans l'état validé.
(ex. : l'arrêt d'urgence ne doit pas être actionné)
Test et documentation de toutes les fonctions de sécurité par le personnel responsable.
Validation du fonctionnement de l'installation.
1.
2.
60
Défaillance d'un esclave de sécurité
En général, dans ce cas, on remplacera le composant concerné. Comme il n'est pas permis
d'utiliser deux fois la même table de codes pour les composants de sécurité, il reste à supposer
que la table de codes justement contenue dans le composant de remplacement ne correspond
pas à celle de l'esclave défectueux. Après remplacement et affectation de l'adresse AS-interface, il faudra donc réintroduire la table de codes de l'esclave en renouvelant la procédure
d'auto-apprentissage. Puis, s'il n'y a pas d'autre erreur, l'installation peut être remise en service.
Défaillance du moniteur de sécurité
En cas de défaillance du moniteur de sécurité, le composant de remplacement doit impérativement être configuré exactement comme le composant d'origine. Deux mécanismes le
permettent :
• Réitération du chargement de la configuration de l'ordinateur de configuration vers le nouveau composant
• Transmission directe de la configuration depuis l'appareil défectueux si la mémoire de configuration qui est particulièrement protégée n'est pas concernée par le défaut.
Manuel d'utilisation du moniteur de sécurité AS-interface
Situation : 10/2006
Si l'installation devait présenter des dysfonctionnements ou des pannes, il faudra principalement pouvoir maîtriser les situations suivantes en plus des cas d'erreurs connus du système standard :
Des systèmes de bus sûrs grâce à l'AS-interface
12.7
Disponibilité
La disponibilité des fonctions de sécurité du système de bus utilisé en mode mixte est identique à celle
du système standard.
Comme déjà dit, le grand nombre des systèmes installés depuis des années a depuis le temps prouvé
que la grande résistance de l'AS-interface aux influences perturbatrices obtenue en laboratoire apporte une disponibilité qui suffit aux exigences de l'automation industrielle.
12.8
Fabricant
Au départ, une équipe de l'AS-International Association voulait travailler à développer un concept pour
l'extension de sécurité du système standard. Ce concept contient tous les mécanismes de transmission et sert de base pour tous les développements de produits, si bien que le système est ouvert aux
produits les plus variés de différents fabricants et que l'interopérabilité de tous les produits est garantie.
Les firmes intéressées se sont réunies pour activer le développement des premiers produits. En particulier, le développement du moniteur de sécurité, seul composant nécessaire en plus, a été réalisé
par un consortium dont font partie les sociétés suivantes :
Bihl+Wiedemann, EJA, Euchner, Festo, Idec, ifm, Leuze, Omron, Pepperl+Fuchs, Pilz, Schmersal,
Schneider electric, Sick et Siemens
Pour la certification des composants de sécurité sur la ligne AS-interface, deux points sont
fondamentaux :
• Certification en vue de la catégorie de commande requise conformément à EN 954-1 par un institut notifié comme par exemple le TÜV ou la BIA.
Situation : 10/2006
• Certification conformément à CEI 61508 par un institut notifié comme par exemple le TÜV ou la
BIA.
Manuel d'utilisation du moniteur de sécurité AS-interface
61
TNT 35/7-24V
• l'interopérabilité avec d'autres produits AS-interface doit être certifiée par l'AS-International Association.
Des systèmes de bus sûrs grâce à l'AS-interface
Bibliographie
[1]
DIN EN 50295,
Niederspannungsschaltgeräte - Steuerungs- und Geräte-Interface-Systeme - Aktuator Sensor Interface (AS-interface); Deutsche Fassung EN 50295: 1999-10
Low-voltage switchgear and controlgear - Controller and device interface systems - Actuator
Sensor Interface (AS-interface); German version EN 50295: 1999-10
Appareillage électrique à basse tension - Interface commande et appareil - interface actionneur-capteur (AS-interface) ; Version allemande EN 50295 : 1999-10
[2]
DIN EN 954-1,
Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1: Allgemeine
Gestaltungsleitsätze; Deutsche Fassung EN 954-1: 1997-03
Safety of machinery - Safety-related parts of control systems - Part 1: General principles for
design; German version EN 954-1: 1997-03
Sécurité des machines - Pièces de sécurité des commandes - 1ère partie : Principes généraux de conception ; Version allemande EN 954-1 : 1997-03
[3]
Kriesel, Werner R.; Madelung, Otto W. (édit.): AS-Interface. Das Aktuator-Sensor-Interface
für die Automation.
L'interface actionneur-capteur pour l'automation. Auflage, Carl Hanser Verlag; München,
Wien, 1999, ISBN 3-446-21064-4
Édité par Carl Hanser Verlag; Munich, Vienne, 1999, ISBN 3-446-21064-4
[4]
Spezifikation des AS-Interface, ComSpec V2.1.
Spécification de l'AS-Interface, ComSpec V2.1. AS-International Association (disponible
auprès de l'AS-International Association, http://www.as-interface.net).
[5]
Vorschlag eines Grundsatzes für die Prüfung und Zertifizierung von "Bussystemen für die
Übertragung sicherheitsrelevanter Nachrichten", Stand 29.2.2000.
Proposition de principe pour la vérification et la certification de « systèmes à bus pour la transmision d'informations de haute sécurité », Situation 29.2.2000.
[6]
DIN EN 61000 in mehreren Teilen, Elektromagnetische Verträglichkeit (EMV).
DIN EN 61000, différentes parties, compatibilité électromagnétique (CEM).
[7]
IEC 61508 1-7, Functional safety of electrical/electronic/programmable electronic safetyrelated systems, 2000-05.
[8]
AS-Interface - Die Lösung in der Automation, Ein Kompendium über Technik, Funktion, Applikation
AS-Interface - La solution pour l'automation, Un abrégé de technique, fonction, application
(disponible, également en anglais, auprès de l'AS-International Association,
http://www.as-interface.net).
62
Manuel d'utilisation du moniteur de sécurité AS-interface
Situation : 10/2006
12.9
2FR/149/02
ASISMONDOC
10/2006
95471 12-FR
Printed in Germany