Schneider Electric ASISAFEMON. / ASISAFEMON.B Moniteur de sécurité AS-Interface Manuel utilisateur
PDF
Download
Document
Telemecanique ASISAFEMON1 /..1B ASISAFEMON2 /..2B Moniteur de sécurité AS-interface Manuel d'utilisation 10/2006 © Tous droits réservés, en particulier de polycopie ainsi que de traduction. Toute polycopie ou reproduction sous n'importe quelle forme nécessite un accord écrit du propriétaire. Les noms des produits sont utilisés sans garantie de leur utilisabilité libre. Sous réserve de modifications favorisant le progrès technique. Table des matières Table des matières 1 Généralités ......................................................................................................................... 4 1.1 Explication des symboles..................................................................................................... 4 1.2 Déclaration de conformité .................................................................................................... 4 1.3 Normes ................................................................................................................................ 4 1.4 Définitions ............................................................................................................................ 5 1.5 Abréviations ......................................................................................................................... 6 1.6 Description brève ................................................................................................................. 7 1.7 Différents modèles de moniteur de sécurité AS-interface.................................................... 8 2 Recommandations de sécurité ......................................................................................... 9 2.1 Standard de sécurité ............................................................................................................ 9 2.2 Utilisation conforme ............................................................................................................. 9 2.2.1 2.2.2 2.2.3 Domaines d'application ............................................................................................................ 9 Risques résiduels (EN 292-1) .................................................................................................. 9 Domaines d'application .......................................................................................................... 10 2.3 Mesures relatives à l'organisation...................................................................................... 11 3 Caractéristiques techniques ........................................................................................... 12 3.1 Caractéristiques générales ................................................................................................ 12 3.2 Observation de la probabilité de défaillance selon CEI 61508 .......................................... 14 3.3 Encombrement................................................................................................................... 15 3.4 Étendue de la livraison....................................................................................................... 15 4 Montage ............................................................................................................................ 16 4.1 Montage dans l'armoire de commande.............................................................................. 16 5 Branchement électrique pour le ASISAFEMON1 et le ASISAFEMON1B .................... 20 5.1 Affectation des bornes ....................................................................................................... 20 5.2 Vue d'ensemble des raccordements.................................................................................. 22 6 Branchement électrique pour le ASISAFEMON2 et le ASISAFEMON2B .................... 23 Affectation des bornes ....................................................................................................... 23 6.2 Vue d'ensemble des raccordements.................................................................................. 25 7 Branchement électrique pour tous les types ................................................................ 26 7.1 Raccordement du bus AS-interface ................................................................................... 26 7.2 Interface série .................................................................................................................... 27 Situation : 10/2006 6.1 Manuel d'utilisation du moniteur de sécurité AS-interface 1 Table des matières 8 Fonction et mise en service............................................................................................ 28 8.1 Fonctionnement et modes opératoires .............................................................................. 28 Mode démarrage ....................................................................................................................28 Mode configuration .................................................................................................................29 Mode protection ......................................................................................................................29 8.2 Éléments d'affichage et de commande .............................................................................. 30 8.3 Mise en service de l'appareil.............................................................................................. 31 8.4 Configuration et paramétrage de l'appareil ........................................................................ 31 8.5 Documentation de l'application en matière de sécurité...................................................... 32 9 Maintenance ..................................................................................................................... 33 9.1 Contrôler la coupure de sécurité........................................................................................ 33 10 Affichage d'état, pannes et résolution des erreurs ...................................................... 34 10.1 Affichage d'état sur l'appareil / Diagnostic des erreurs sur le PC ...................................... 34 10.2 Quelques conseils pour la recherche d'erreurs.................................................................. 34 10.3 Déverrouillage des erreurs par la touche « Service »........................................................ 34 10.4 Remplacement des esclaves AS-interface de sécurité défectueux ................................... 35 10.4.1 10.4.2 Remplacement d'un esclave AS-interface de sécurité défectueux.........................................35 Remplacement de plusieurs esclaves AS-interface de sécurité défectueux ..........................35 10.5 Remplacement d'un moniteur de sécurité AS-interface défectueux .................................. 37 10.6 Vous avez oublié votre mot de passe ? Que faire ? .......................................................... 38 11 Diagnostic par AS-interface............................................................................................ 39 11.1 Déroulement général ......................................................................................................... 39 11.2 Messages........................................................................................................................... 40 11.2.1 11.2.2 11.2.3 Diagnostic du moniteur de sécurité AS-interface....................................................................40 Diagnostic des blocs trié par circuit de validation ...................................................................43 Diagnostic des blocs non trié ..................................................................................................45 11.3 Exemple : Principe de demande dans le cas du diagnostic trié par circuit de validation ... 47 12 Des systèmes de bus sûrs grâce à l'AS-interface ........................................................ 48 12.1 Description du principe ...................................................................................................... 48 12.2 Structure matérielle des participants au bus pour la transmission..................................... 50 12.3 Structure du télégramme de sécurité................................................................................. 54 12.4 Mesures contre les erreurs de transmission ...................................................................... 56 12.5 Recherche de la probabilité d'erreurs résiduelles .............................................................. 57 12.6 Mise en service, réparation................................................................................................ 60 12.7 Disponibilité........................................................................................................................ 61 12.8 Fabricant ............................................................................................................................ 61 12.9 Bibliographie ...................................................................................................................... 62 2 Manuel d'utilisation du moniteur de sécurité AS-interface Situation : 10/2006 8.1.1 8.1.2 8.1.3 Liste des figures Liste des figures Composants standard et composants de sécurité dans un réseau AS-interface .............. 7 Dimensions ...................................................................................................................... 15 Montage ........................................................................................................................... 16 Bornes de connexion démontables.................................................................................. 17 Retirer et monter les bornes de connexion codées ......................................................... 17 Accessoires de montage pour le plombage de l'appareil................................................. 18 Disposition des bornes / schéma fonctionnel des moniteurs de sécurité AS-interface de ASISAFEMON1 et de ASISAFEMON1B .................................. 20 Figure 5.2 : Vue d'ensemble des raccordements du moniteur de sécurité AS-interface de ASISAFEMON1 et de ASISAFEMON1B .................................. 22 Figure 6.1 : Disposition des bornes / schéma fonctionnel des moniteurs de sécurité AS-interface de ASISAFEMON2 et de ASISAFEMON2B .................................. 23 Figure 6.2 : Vue d'ensemble des raccordements du moniteur de sécurité AS-interface de ASISAFEMON2 et de ASISAFEMON2B .................................. 25 Figure 7.1 : Variantes de câbles AS-interface..................................................................................... 26 Figure 7.2 : Emplacement de l'interface de configuration RS 232C.................................................... 27 Figure 8.1 : Aperçu des DEL............................................................................................................... 30 Figure 11.1 : Principe de demande dans le cas du diagnostic trié par circuit de sortie ........................ 47 Figure 12.1 : Vue d'ensemble d'un système AS-interface .................................................................... 49 Figure 12.2 : Échange de données en mode de fonctionnement standard .......................................... 50 Figure 12.3 : Échange de données sécuritaire ..................................................................................... 51 Figure 12.4 : Schéma fonctionnel du moniteur de sécurité................................................................... 52 Figure 12.5 : Structure du système avec un moniteur de sécurité........................................................ 52 Figure 12.6 : Structure du système avec un hôte de sécurité............................................................... 53 Figure 12.7 : Signification des bits de l'appel du maître et de la réponse par l'esclave ........................ 54 Figure 12.8 : Schéma fonctionnel d'un esclave de sécurité avec composant de sécurité à deux voies 55 Situation : 10/2006 Figure 1.1 : Figure 3.1 : Figure 4.1 : Figure 4.2 : Figure 4.3 : Figure 4.4 : Figure 5.1 : Manuel d'utilisation du moniteur de sécurité AS-interface 3 Généralités 1 Généralités 1.1 Explication des symboles Vous trouverez ci-dessous l'explication des symboles utilisés dans ce manuel d'utilisation. Attention ! Ce symbole est placé devant des paragraphes qui doivent absolument être respectés. En cas de non-respect, vous risquez de blesser des personnes ou de détériorer le matériel. Remarque ! Ce symbole caractérise les parties du texte contenant des informations importantes. 1.2 Déclaration de conformité Le moniteur de sécurité AS-interface a été développé et produit dans le respect des normes et directives européennes en vigueur. Remarque ! Vous trouverez la déclaration de conformité dans chaque emballage. Le fabricant des produits est titulaire du système d'assurance de la qualité selon ISO 9001. 1.3 Normes Situation : 10/2006 • Proposition de principe pour la vérification et la certification de « systèmes de bus pour la transmission d'informations de haute sécurité » • EN 954-1 - Sécurité des machines - Pièces de sécurité des commandes • EN 50295 - Appareillage électrique à basse tension ; interface commande et appareil ; interface actionneur-capteur (AS-interface) • EN 60204-1 - Sécurité des machines - Équipement électrique des machines - 1ère partie : exigences générales • EN 60947-5-1 - Appareillage électrique à basse tension - Partie 5-1 : Appareils de commande et éléments de commutation ; appareils de commande électromécaniques • EN 61496-1 - Equipements de protection électro-sensibles • CEI 61508 1-7 - Sécurité fonctionnelle de systèmes électriques/électroniques/électroniques programmables avec fonction de sécurité 4 Manuel d'utilisation du moniteur de sécurité AS-interface Généralités 1.4 Définitions Élément de commutation de sortie (sortie de sécurité) du moniteur de sécurité AS-interface Élément actionné par la logique du moniteur et capable de couper en toute sécurité les pièces de commande en aval. L'élément de commutation de sortie ne doit pouvoir passer et rester en état de marche que si tous les composants fonctionnent comme prévu. Circuit de sortie Il est composé de deux éléments de commutation de sortie en rapport logique. Circuit de validation Composants AS-interface et composants de fonction de sécurité affectés à un circuit de sortie du moniteur de sécurité AS-interface et responsables du déverrouillage de la partie de la machine qui provoque le mouvement dangereux. Esclave intégré Composant dans lequel la fonctionnalité de capteur et/ou d'actionneur est assemblée avec l'esclave en une unité. Mode configuration Mode de fonctionnement du moniteur de sécurité dans lequel la configuration est chargée et contrôlée. Composant de transmission de données qui commande le comportement logique et temporel sur la ligne AS-interface. Contrôle externe (contrôle à contacteurs) Le contrôle externe permet la surveillance de la fonction de commutation des contacteurs raccordés au moniteur de sécurité AS-interface. Sortie de sécurité Voir élément de commutation de sortie. Esclave d'entrée de sécurité Esclave qui lit l'état de sécurité Marche ou Arrêt du capteur ou du dispositif de transmission d'ordre raccordé et le transmet au maître ou au moniteur de sécurité. Situation : 10/2006 Esclave de sécurité Esclave de raccordement de capteurs, actionneurs et autres appareils de sécurité. Manuel d'utilisation du moniteur de sécurité AS-interface 5 TNT 35/7-24V Maître Généralités Moniteur de sécurité Composant surveillant les esclaves de sécurité et le bon fonctionnement du réseau. Esclave Composant de transmission de données auquel le maître s'adresse cycliquement à son adresse et qui ne génère qu'alors une réponse. Esclave standard Esclave de raccordement de capteurs, actionneurs et autres appareils non sécuritaires. Temps de synchronisation Décalage temporel maximal admissible entre l'apparition de deux événements dépendants l'un de l'autre. 1.5 Abréviations Interface actionneur-capteur DPSC Dispositif de protection agissant sans contact CRC Cyclic Redundancy Check = contrôle cyclique de la redondance I/O Entrée/Sortie EDM External Device Monitoring = contrôle externe CEM Compatibilité électromagnétique ESD Electrostatic Discharge = décharge électrostatique PELV Protective Extra-Low Voltage (basse tension de protection) PFD Probability of Failure on Demand = probabilité de défaillance lors d'une sollicitation de la fonction de sécurité API Automate programmable industriel Situation : 10/2006 AS-interface 6 Manuel d'utilisation du moniteur de sécurité AS-interface Généralités 1.6 Description brève L'interface actionneur-capteur (AS-interface) est un système établi pour la mise en réseau de capteurs et actionneurs principalement binaires au niveau le plus bas de la hiérarchie d'automatisation. Le grand nombre de systèmes installés, la facilité de manipulation et la fiabilité du fonctionnement en font un système également intéressant pour la sécurité des machines. Le système AS-interface sûr est conçu pour des applications de sécurité de catégorie allant jusqu'à 4 selon EN 954-1. Un fonctionnement mixte des composants standard et des composants de sécurité est possible. Remarque ! Vous trouverez une description résumée de la transmission AS-interface sûre au chapitre 12 à la fin de ce manuel d'utilisation. Dans un système AS-interface, le moniteur de sécurité AS-interface surveille les esclaves de sécurité qui lui sont affectés selon la configuration que l'utilisateur lui aura indiquée à l'aide du logiciel de configuration. Selon le modèle d'appareil, jusqu'à deux circuits de validation dépendants ou indépendants, chacun muni d'un contrôle externe, sont disponibles. En cas de demande d'arrêt ou de défaut, le moniteur de sécurité AS-interface en mode de protection coupe le système de façon sûre en un temps de réaction de 40ms maximum. Automate standard avec maître AS-interface standard Moniteur de sécurité Module standard Bouton coup de poing d’arret d’urgence de sécurité Interrupteurs de sécurité Barrière immatérielle de sécurité Module standard TNT 35/7-24V Bloc d’alimentation du moniteur de sécurité AS-interface Interrupteurs de sécurité Situation : 10/2006 Figure 1.1 : Composants standard et composants de sécurité dans un réseau AS-interface Il est possible d'utiliser plusieurs moniteurs de sécurité AS-interface dans un seul système AS-interface. Un esclave de sécurité peut être surveillé par plusieurs moniteurs de sécurité AS-interface. Manuel d'utilisation du moniteur de sécurité AS-interface 7 Généralités 1.7 Différents modèles de moniteur de sécurité AS-interface Le moniteur de sécurité est disponible dans quatre versions qui se distinguent par le jeu de fonctions du logiciel général et la configuration de départ. Les jeux de fonctions de « Base » ASISAFEMON1/2 et « Étendu » ASISAFEMON1B/2B se distinguent comme suit : « Base » « Étendu » Nombre de blocs fonctionnels au niveau de combinaison 32 Porte Ou (entrées) 2 48 6 Porte Et (entrées) – 6 Fonction de temps sûre, temporisation à la mise sous et hors tension non oui Fonction « Bouton » non oui Porte de sécurité/module avec stabilisation non oui Désactivation de blocs fonctionnels oui oui Déverrouillage des erreurs oui oui Arrêt du diagnostic oui oui Support des techniques A/B pour les esclaves non sécuritaires oui oui Nouveaux blocs fonctionnels (bascules, impulsion lors de fronts de montée etc.) non oui Bloc de substitut (NOP) oui oui Tableau 1.1 : Jeux de fonctions de « Base » et « Étendu » Remarque ! Une description détaillée de toutes les fonctions se trouve dans le manuel d'utilisation du logiciel de configuration ASISWIN2. Configuration des sorties ASISAFEMON1 et ASISAFEMON1B : un circuit de sortie. ASISAFEMON2 et ASISAFEMON2B : deux circuits de sortie. Propriétés des différentes versions d'appareil Nombre de circuits de sortie « Étendu » 1 ASISAFEMON1 ASISAFEMON1B 2 ASISAFEMON2 ASISAFEMON2B Tableau 1.2 : Propriétés des différentes versions d'appareil 8 Manuel d'utilisation du moniteur de sécurité AS-interface Situation : 10/2006 Jeu de fonctions « Base » Recommandations de sécurité 2 Recommandations de sécurité 2.1 Standard de sécurité Le moniteur de sécurité AS-interface a été développé, produit et testé dans le respect des normes de sécurité en vigueur au moment du contrôle, et soumis à la certification des modèles-type. Tous les appareils remplissent les exigences de sécurité de la catégorie 4 selon EN 954-1 et SIL3 selon CEI 61508. Remarque ! Vous trouverez une énumération détaillée des valeurs de la probabilité de défaillance (valeurs PFD) dans le chapitre 3.2. Réalisez une analyse des risques. Vous pourrez ensuite utiliser le moniteur de sécurité AS-interface conformément à sa catégorie de sécurité (4) comme dispositif de protection par coupure pour la mise en sécurité de zones dangereuses. 2.2 Utilisation conforme 2.2.1 Domaines d'application Le moniteur de sécurité AS-interface est un dispositif de protection par coupure développé pour la mise en sécurité de zones dangereuses sur les appareils à moteur. Attention ! Aucune intervention ni modification n'est autorisée sur les appareils, en dehors de celles décrites explicitement dans ce manuel. 2.2.2 Risques résiduels (EN 292-1) Situation : 10/2006 Les propositions de câblage exposés dans ce manuel ont été soigneusement testés et contrôlés. Les normes et règlements applicables seront respectés si vous utilisez bien les composants indiqués avec les câblages correspondants. Il reste des risques si : • les concepts de câblage proposés ne sont pas parfaitement respectés, ce qui aurait pour conséquence que les composants de sécurité et dispositifs de protection raccordés ne seraient pas ou pas assez impliqués dans le système de sécurité. • l'exploitant ne respecte pas les règlements de sécurité applicables pour l'utilisation, le réglage et l'entretien de la machine. Veillez à respecter scrupuleusement les intervalles de test et d'entretien de la machine. Manuel d'utilisation du moniteur de sécurité AS-interface 9 TNT 35/7-24V Attention ! La protection de l'utilisateur et de l'appareil n'est pas garantie si l'appareil n'est pas employé conformément aux directives d'utilisation conforme. Recommandations de sécurité 2.2.3 Domaines d'application Le moniteur de sécurité AS-interface permet s'il est utilisé comme prévu d'utiliser des dispositifs de protection de personnes commandés par capteurs et autres composants de sécurité jusqu'à la catégorie 4 incluse, conformément à EN 954-1. Le moniteur de sécurité prend également en charge la fonction d'arrêt d'urgence (catégorie d'arrêt 0 ou 1) obligatoire pour toutes les machines non manuelles, ainsi que la surveillance dynamique de la fonction de redémarrage et la fonction de contrôle à contacteurs. Exemples d'utilisation du moniteur de sécurité AS-interface : Le moniteur de sécurité est intéressant économiquement parlant dans les machines et installations dans lesquelles le bus AS-interface standard est rentable en tant que bus local. Ainsi, en utilisant le moniteur de sécurité comme participant au bus, des configurations de bus AS-interface déjà existantes peuvent être étendues sans problème, des composants de sécurité avec AS-interface safety at work ajoutées. Si le composant de sécurité ne dispose pas d'interface AS-interface safety at work, il est aussi possible d'ajouter des modules dits de couplage qui se chargeront de la liaison. Les maîtres AS-interface et les blocs d'alimentation AS-interface déjà en place peuvent rester. On peut utiliser le moniteur de sécurité dans toutes les branches de l'industrie. Citons ici quelquesuns des domaines d'application les plus importants : Situation : 10/2006 • Machines-outil • Machines d'usinage étendues comportant plusieurs éléments de commande et capteurs de sécurité pour le bois et le métal • Machines à imprimer et de traitement du papier, découpeuses • Empaqueteuses utilisées seules ou en groupe • Machines utilisées dans l'alimentaire • Installations de transport de pièces et de marchandises en vrac • Machines utilisées dans l'industrie du caoutchouc et du plastique • Automates de montage et matériel de maniement 10 Manuel d'utilisation du moniteur de sécurité AS-interface Recommandations de sécurité 2.3 Mesures relatives à l'organisation Documentation Toutes les indications contenues dans ce manuel d'utilisation, et en particulier les paragraphes « Recommandations de sécurité » et « Mise en service » doivent absolument être respectées. Conservez ce manuel d'utilisation avec soin. Il doit toujours être disponible. Règlements de sécurité Respectez les décrets en vigueur dans la région, ainsi que les règlements des corporations professionnelles. Personnel qualifié Le montage, la mise en service et la maintenance des appareils doivent toujours être effectués par des experts qualifiés. Les travaux électriques ne doivent être effectués que par des personnes qualifiées en électrotechnique. La définition et la modification de la configuration de l'appareil avec un ordinateur et le programme de configuration ASISWIN2 doivent être réalisées uniquement par les personnes autorisées. Le responsable de la sécurité doit conserver le mot de passe permettant de changer la configuration de l'appareil dans un endroit fermé. Réparations Les réparations, en particulier l'ouverture de l'appareil, doivent être réalisées par le fabricant ou une personne autorisée par lui uniquement. Remarque ! La ferraille électronique fait partie des déchets spéciaux. Pour son élimination, respectez les consignes locales en vigueur ! Situation : 10/2006 Le moniteur de sécurité AS-interface ne renferme aucune pile ; il n'y a donc pas lieu de veiller à les enlever avant de mettre l'appareil à la décharge. Manuel d'utilisation du moniteur de sécurité AS-interface 11 TNT 35/7-24V Élimination Caractéristiques techniques 3 Caractéristiques techniques 3.1 Caractéristiques générales Données électriques Tension d'alimentation UN Ondulation résiduelle Courant de fonctionnement de dimensionnement Courant de pointe au démarrage 1) Temps de réaction (du point de vue de la sécurité) Temps d'initialisation 1) 24V CC +/- 15% < 15% ASISAFEMON1 et ASISAFEMON1B : ASISAFEMON2 et ASISAFEMON2B : tous les types : 600mA < 40ms 150mA ; 200mA < 10s Mise en route simultanée de tous les relais, le courant des sorties de signalisation n'est pas pris en compte Caractéristiques de l'AS-interface Profil de l'AS-interface Plage de tension de l'AS-interface Consommation de courant de l'AS-interface Nombre d'appareils par branche AS-interface Sur un réseau AS-interface complet avec 31 adresses standard utilisées, il est possible d'installer en plus jusqu'à quatre moniteurs de sécurité sans adresse. Si moins de 31 adresses standard sont utilisées, un moniteur supplémentaire peut être installé par adresse standard non utilisée. Si d'autres participants sans adresse sont installés (p. ex. des modules de surveillance de la mise à la terre), le nombre de moniteurs de sécurité pouvant être installés diminue en conséquence. Si des prolongateurs de ligne sont en place, cette règle est valable pour chaque segment. 9600 Baud, pas de parité, 1 bit de départ, 1 bit d'arrêt, 8 bits de données Situation : 10/2006 Interface de configuration RS 232 Moniteur 7.F 18,5 … 31,6V < 45mA 12 Manuel d'utilisation du moniteur de sécurité AS-interface Caractéristiques techniques Entrées et sorties Entrée « Démarrage » Entrée « Contrôle externe » Sortie de signalisation « Safety on »1) Sortie de sécurité Courant permanent thermique maximal Fusibles Catégorie de surtension La sortie de signalisation « Safety on » n'est pas de sécurité ! Caractéristiques ambiantes Température de fonctionnem. -20 … +60°C Température de stockage -30 … +70°C Indice de protection IP 20 (adapté uniquement à l'utilisation dans des locaux / armoires électriques d'indice de protection minimum IP 54) Données mécaniques Dimensions (H x L x P) Matériel du boîtier Poids Situation : 10/2006 Fixation Raccordement 45mm x 105mm x 120mm Polyamide PA 66 ASISAFEMON1 et ASISAFEMON1B : env. 350g; ASISAFEMON2 et ASISAFEMON2B : env. 450g Fixation encliquetable sur profilé chapeau conforme à EN 50022 5 ... 6 mm / PZ2 0,8 ... 1,2 Nm 7 ... 10.3 LB.IN 10 1 x (0,5 ... 4,0) mm² 2 x (0,5 ... 2,5) mm² 10 1 x (0,5 ... 2,5) mm² 2 x (0,5 ... 1,5) mm² AWG 2 x 20 ... 14 Manuel d'utilisation du moniteur de sécurité AS-interface 13 TNT 35/7-24V 1) Entrée de l'optocoupleur (actif HIGH), courant d'entrée env. 10mA pour 24V CC Entrée de l'optocoupleur (actif HIGH), courant d'entrée env. 10mA pour 24V CC Sortie de transistor PNP, 200mA, protégée contre les courts-circuits et l'inversion de polarité Contacts de travail libres de potentiel, charge max. des contacts : 1A CC-13 sous 24V CC 3A CA-15 sous 230V CA ASISAFEMON1 et ASISAFEMON1B: courant somme maximal pour tous les éléments de commutation de sortie : 6A càd. circuit de sortie 1 : 3A par élément de commutation de sortie ASISAFEMON2 et ASISAFEMON2B: courant somme maximal pour tous les éléments de commutation de sortie : 8A càd. circuit de sortie 1 : 3A par élément de commutation de sortie circuit de sortie 2 : 1A par élément de commutation de sortie ou circuit de sortie 1 : 2A par élément de commutation de sortie circuit de sortie 2 : 2A par élément de commutation de sortie Externes, max. 4A à action semi-retardée 3 pour une tension de fonctionnement de dimensionnement de 300V CA selon VDE 0110 1ère partie Caractéristiques techniques Attention ! Le bloc d'alimentation AS-interface servant à l'alimentation des composants AS-interface doit posséder un système sûr de déconnexion du réseau conformément à CEI 60742 et surmonter des pannes brèves du réseau (jusqu'à 20ms). Le bloc d'alimentation 24V doit également posséder un système sûr de déconnexion du réseau conformément à CEI 60742 et surmonter des pannes brèves du réseau (jusqu'à 20ms). Remarque ! Conformément à EN 61000-4-2, il a été testé que le moniteur de sécurité fonctionne sans incident sous une décharge dans l'air de 8kV. La valeur de 15kV imposée dans la norme EN 61496-1 n'est pas importante pour le moniteur de sécurité puisque ce dernier ne sera intégré à l'installation que dans un boîtier ou une armoire électrique et que seul le personnel qualifié a accès au moniteur. Nous recommandons toutefois à l'utilisateur de se décharger (en se mettant à la terre) à un endroit adapté avant de brancher le câble de paramétrage dans le moniteur de sécurité. 3.2 Observation de la probabilité de défaillance selon CEI 61508 Pour le calcul de la probabilité de défaillance du système complet, le moniteur de sécurité AS-interface délivre un composant qui dépend de la durée maximale ininterrompue de mise en fonctionnement du ou des circuits de sortie. Il en résulte le tableau suivant : Durée de mise en fonctionnement Durée totale de fonctionnement PFD 3 mois 10 ans < 4 x 10-5 6 mois 10 ans < 6 x 10-5 12 mois 10 ans < 9 x 10-5 Tableau 3.1 : Probabilité de défaillance en cas de sollicitation en fonction de la durée de mise en fonctionnement La durée de mise en fonctionnement donne l'intervalle de temps jusqu'à la sollicitation de la fonction de sécurité ou l'intervalle de temps maximal entre deux contrôles de sécurité. Lors de ce contrôle, la sécurité de la coupure est testée par actionnement de chacun des capteurs de sécurité. La durée totale de fonctionnement est la durée de vie du système de sécurité, depuis la mise en service jusqu'au démontage, elle est à la base du calcul de la probabilité de défaillance. Durée de mise en fonctionnement Durée totale de fonctionnement PFH 12 mois 10 ans < 9 x 10-9 Tableau 3.2 : Probabilité de défaillance par heure 14 Manuel d'utilisation du moniteur de sécurité AS-interface Situation : 10/2006 Avec les probabilités de défaillance des autres composants utilisés dans le système de sécurité (p. ex. esclaves AS-interface), on peut en déduire la probabilité totale de défaillance. La valeur calculée alors permet la classification dans le niveau de sécurité correspondant conformément à CEI 61508. Caractéristiques techniques 3.3 Encombrement 45 115 94 82,6 102 91,5 68, 2 5 105,9 65 7,2 28,8 3.4 TNT 35/7-24V Figure 3.1 : Dimensions Étendue de la livraison L'unité de base comprend les éléments suivants : • Moniteur de sécurité AS-interface ASISAFEMON1, ASISAFEMON2, ASISAFEMON1B ou ASISAFEMON2B Situation : 10/2006 Les accessoires suivants sont disponibles : • Câble d'interface pour la configuration (RJ45/SubD à 9 pôles) pour la liaison PC/moniteur de sécurité • CD contenant le programme avec • le logiciel de communication ASISWIN2 compatible Microsoft® Windows 9x/Me/NT/2000/ XP® • le manuel d'utilisation au format PDF (pour pouvoir lire les fichiers vous avez besoin d'Adobe® Acrobat Reader® Version 4.x ou suivante) • Manuel d'utilisation • Câble de téléchargement (RJ45/RJ45) pour la liaison moniteur de sécurité/moniteur de sécurité • Couvercle à l'avant de l'appareil pour la protection et le plombage Manuel d'utilisation du moniteur de sécurité AS-interface 15 Montage 4 Montage 4.1 Montage dans l'armoire de commande Le moniteur de sécurité AS-interface est monté dans l'armoire de commande sur des rails 35mm standard conformément à la norme DIN EN 50022. Attention ! Le boîtier du moniteur de sécurité AS-interface ne convient pas pour une installation murale extérieure. Si vous souhaitez installer l'appareil en-dehors de l'armoire de commande, prévoyez dans tous les cas un carter protecteur. Figure 4.1 : Montage Remarque ! Recouvrez le moniteur de sécurité AS-interface lors de tout forage au dessus de l'appareil. Aucune particule, et en particulier aucun copeau métallique, ne doit pouvoir pénétrer dans le boîtier par les prises d'air ; cela pourrait engendrer un court-circuit. 16 Manuel d'utilisation du moniteur de sécurité AS-interface Situation : 10/2006 Pour le montage, posez l'appareil sur l'arête supérieure du rail standard puis enclenchez-le sur l'arête inférieure. Pour le retirer, appuyer fermement l'appareil contre le contrerail supérieur et le dégager. Montage Bornes de connexion démontables Le moniteur de sécurité AS-interface possède des bornes de connexion codées démontables (A, B, C, D sur la figure 4.2). A, B, C, D: D C A B Figure 4.2 : Bornes de connexion démontables Pour démonter les bornes de connexion codées, faire sortir le ressort d'arrêt a en appuyant dessus et retirer les bornes vers l'avant (figure 4.3). Lors du montage, les bornes de connexion doivent s'encliqueter. TNT 35/7-24V 1. U = 0 V 2. a, b, c, d b c Situation : 10/2006 a d Figure 4.3 : Retirer et monter les bornes de connexion codées Manuel d'utilisation du moniteur de sécurité AS-interface 17 Montage Accessoires pour le montage Comme le moniteur de sécurité AS-interface est un composant de sécurité, il est possible de protéger l'accès à l'interface de configuration CONFIG et à la touche Service par un plombage. Vous trouverez pour cela dans le contenu de la livraison un couvercle transparent avec des crochets de sécurité qui permettent de faire passer un fil de plombage tout en laissant l'appareil monté (voir figure 4.4). Rompez le crochet de sécurité avant d'utiliser le couvercle. D 3 1 4 4 C A B 5 2 Remarque ! Nous vous recommandons de toujours mettre le couvercle transparent avec les crochets de sécurité en place : il apporte une bonne protection contre les décharges électrostatiques (ESD) et empêche la pénétration de corps étrangers dans la prise RJ45 CONFIG de l'interface de configuration du moniteur de sécurité AS-interface. Le fil de plombage ne fait pas partie de la livraison. 18 Manuel d'utilisation du moniteur de sécurité AS-interface Situation : 10/2006 Figure 4.4 : Accessoires de montage pour le plombage de l'appareil Situation : 10/2006 TNT 35/7-24V Montage Manuel d'utilisation du moniteur de sécurité AS-interface 19 Branchement électrique pour le ASISAFEMON1 et le ASISAFEMON1B 5 Branchement électrique pour le ASISAFEMON1 et le ASISAFEMON1B Remarque ! Les travaux électriques ne doivent être effectués que par des personnes qualifiées en électrotechnique. 5.1 Affectation des bornes Occupation des bornes / Schéma fonctionnel ➀ ➁ ➂ ➃ Bloc d'alimentation Logique de commande Commande élément de commutation de sortie 1 Commande élément de commutation de sortie 2 Situation : 10/2006 Figure 5.1 : Disposition des bornes / schéma fonctionnel des moniteurs de sécurité AS-interface de ASISAFEMON1 et de ASISAFEMON1B 20 Manuel d'utilisation du moniteur de sécurité AS-interface Branchement électrique pour le ASISAFEMON1 et le ASISAFEMON1B Affectation des bornes Borne AS-i+ AS-i– L+ M FE 1.Y1 1.Y2 1.13 1.14 1.23 1.24 1.32 Signal / description Raccordement au bus AS-interface +24V CC / tension d'alimentation GND / terre de référence Terre de fonction EDM 1 / Entrée contrôle externe Démarrage 1 / Entrée démarrage Élément de commutation de sortie 1 Élément de commutation de sortie 2 Sortie de signalisation « Safety on » Tableau 5.1 : Affectation des bornes moniteur de sécurité AS-interface de ASISAFEMON1 et de ASISAFEMON1B Situation : 10/2006 Attention ! Le bloc d'alimentation AS-interface servant à l'alimentation des composants AS-interface doit posséder un système sûr de déconnexion du réseau conformément à CEI 60742 et surmonter des pannes brèves du réseau (jusqu'à 20ms). Le bloc d'alimentation 24V doit également posséder un système sûr de déconnexion du réseau conformément à CEI 60742 et surmonter des pannes brèves du réseau (jusqu'à 20ms). Manuel d'utilisation du moniteur de sécurité AS-interface 21 TNT 35/7-24V Remarque ! Le raccordement du conducteur de protection sur la borne FE n'est pas nécessaire si la borne M est reliée à la terre à proximité immédiate de l'appareil. Branchement électrique pour le ASISAFEMON1 et le ASISAFEMON1B 5.2 Vue d'ensemble des raccordements Bloc d'alimentation PELV ext. avec isolation galvanique Situation : 10/2006 Figure 5.2 : Vue d'ensemble des raccordements du moniteur de sécurité AS-interface de ASISAFEMON1 et de ASISAFEMON1B 22 Manuel d'utilisation du moniteur de sécurité AS-interface Branchement électrique pour le ASISAFEMON2 et le ASISAFEMON2B 6 Branchement électrique pour le ASISAFEMON2 et le ASISAFEMON2B Remarque ! Les travaux électriques ne doivent être effectués que par des personnes qualifiées en électrotechnique. 6.1 Affectation des bornes ➀ ➁ ➂ ➃ ➄ ➅ Bloc d'alimentation Logique de commande Commande élément de commutation de sortie 1, circuit de sortie 1 Commande élément de commutation de sortie 2, circuit de sortie 1 Commande élément de commutation de sortie 1, circuit de sortie 2 Commande élément de commutation de sortie 2, circuit de sortie 2 Situation : 10/2006 Figure 6.1 : Disposition des bornes / schéma fonctionnel des moniteurs de sécurité AS-interface de ASISAFEMON2 et de ASISAFEMON2B Manuel d'utilisation du moniteur de sécurité AS-interface 23 TNT 35/7-24V Affectation des bornes Branchement électrique pour le ASISAFEMON2 et le ASISAFEMON2B Affectation des bornes Borne AS-i+ AS-i– L+ M FE 1.Y1 1.Y2 1.13 1.14 1.23 1.24 1.32 2.Y1 2.Y2 2.13 2.14 2.23 2.24 2.32 Signal / description Raccordement au bus AS-interface +24V CC / tension d'alimentation GND / terre de référence Terre de fonction EDM 1 / entrée contrôle externe, circuit de sortie 1 Démarrage 1 / entrée démarrage, circuit de sortie 1 Élément de commutation de sortie 1, circuit de sortie 1 Élément de commutation de sortie 2, circuit de sortie 1 Sortie de signalisation 1 « Safety on », circuit de sortie 1 EDM 2 / entrée contrôle externe, circuit de sortie 2 Démarrage 2 / entrée démarrage, circuit de sortie 2 Élément de commutation de sortie 1, circuit de sortie 2 Élément de commutation de sortie 2, circuit de sortie 2 Sortie de signalisation 2 « Safety on », circuit de sortie 2 Tableau 6.1 : Affectation des bornes moniteur de sécurité AS-interface de ASISAFEMON2 et de ASISAFEMON2B Remarque ! Le raccordement du conducteur de protection sur la borne FE n'est pas nécessaire si la borne M est reliée à la terre à proximité immédiate de l'appareil. Situation : 10/2006 Attention ! Le bloc d'alimentation AS-interface servant à l'alimentation des composants AS-interface doit posséder un système sûr de déconnexion du réseau conformément à CEI 60742 et surmonter des pannes brèves du réseau (jusqu'à 20ms). Le bloc d'alimentation 24V doit également posséder un système sûr de déconnexion du réseau conformément à CEI 60742 et surmonter des pannes brèves du réseau (jusqu'à 20ms). 24 Manuel d'utilisation du moniteur de sécurité AS-interface Branchement électrique pour le ASISAFEMON2 et le ASISAFEMON2B Vue d'ensemble des raccordements TNT 35/7-24V 6.2 Bloc d'alimentation PELV ext. avec isolation galvanique Situation : 10/2006 Figure 6.2 : Vue d'ensemble des raccordements du moniteur de sécurité AS-interface de ASISAFEMON2 et de ASISAFEMON2B Manuel d'utilisation du moniteur de sécurité AS-interface 25 Branchement électrique pour tous les types 7 Branchement électrique pour tous les types Remarque ! Les travaux électriques ne doivent être effectués que par des personnes qualifiées en électrotechnique. 7.1 Raccordement du bus AS-interface Bleu AS-interface- Marron AS-interface+ Bleu AS-interface- Câble plat AS-interface jaune Marron AS-interface+ Câble rond AS-interface à deux fils (recommandation : ligne courant fort flexible H05VV-F2x1,5 conforme à DIN VDE 0281) Situation : 10/2006 Figure 7.1 : Variantes de câbles AS-interface 26 Manuel d'utilisation du moniteur de sécurité AS-interface Branchement électrique pour tous les types 7.2 Interface série L'interface série RS 232C CONFIG sert à la communication entre l'ordinateur et l'appareil, sa vitesse de transmission est fixe et réglée à 9600 Baud. L'interface série se matérialise sur le moniteur de sécurité AS-interface sous forme d'une douille RJ45. Un câble d'interface avec prise SubD à 9 pôles est disponible comme accessoire. Attention ! Utilisez uniquement le câble d'interface disponible en option. L'utilisation d'un autre câble risque d'entraîner des dysfonctionnements ou d'endommager le moniteur de sécurité ASinterface raccordé ! Interface de configuration RS 232C TNT 35/7-24V Douille RJ45 de l'interface de configuration RS 232C Situation : 10/2006 Figure 7.2 : Emplacement de l'interface de configuration RS 232C Manuel d'utilisation du moniteur de sécurité AS-interface 27 Fonction et mise en service 8 Fonction et mise en service La configuration et la mise en service du moniteur de sécurité AS-interface se font à partir d'un PC/ ordinateur portable muni du logiciel de configuration ASISWIN2. Remarque ! Vous trouverez la description du logiciel ASISWIN2 et de la mise en service du moniteur de sécurité AS-interface dans le manuel « ASISWIN2 - Logiciel de configuration du moniteur de sécurité AS-interface pour Microsoft®-Windows® ». Le manuel décrivant le logiciel est une partie importante du manuel d'utilisation du moniteur de sécurité AS-interface. La configuration et la mise en service du moniteur de sécurité ASinterface sans le logiciel ASISWIN2 ne sont pas possibles. Seul un responsable de la sécurité est habilité à effectuer la configuration. Toutes les commandes importantes relevant de la sécurité sont protégées par un mot de passe. 8.1 Fonctionnement et modes opératoires On distingue 3 modes de fonctionnement pour le moniteur de sécurité AS-interface : • Mode démarrage • Mode configuration • Mode protection 8.1.1 Mode démarrage Après la mise en marche, les microcontrôleurs du moniteur de sécurité AS-interface effectuent tout d'abord un test système du matériel et du logiciel interne. Si une erreur interne de l'appareil est détectée, l'initialisation de l'appareil est stoppée et les éléments de commutation de sortie restent coupés. Une fois que tous les tests internes sont terminés avec succès, le moniteur de sécurité AS-interface contrôle qu'une configuration valable et validée est enregistrée dans la mémoire de configuration interne. Si tel est le cas, cette configuration est chargée, les structures de données nécessaires constituées, et le système passe en mode protection. Les éléments de commutation de sortie sont mis en route ou restent coupés conformément à la configuration. Situation : 10/2006 Si la configuration détectée dans la mémoire de configuration est inexistante ou erronée, le système passe en mode configuration. Les éléments de commutation de sortie restent coupés. 28 Manuel d'utilisation du moniteur de sécurité AS-interface Fonction et mise en service 8.1.2 Mode configuration En mode configuration du moniteur de sécurité AS-interface, un traitement des instructions est activé. Celui-ci communique avec le logiciel ASISWIN2 installé sur l'ordinateur/le portable raccordé via l'interface série de configuration (voir manuel « ASISWIN2 - Logiciel de configuration du moniteur de sécurité AS-interface pour Microsoft®-Windows® »). La transmission des données est surveillée et en cas d'erreur de transmission, répétée. Il est possible de basculer en mode configuration • en envoyant par voie logicielle ASISWIN2 l'instruction d'Arrêt protégée par un mot de passe en mode protection. Il faut alors tenir compte des délais d'arrêt paramétrés. • en envoyant par voie logicielle ASISWIN2 l'instruction d'Arrêt en mode protection sans entrée de mot de passe. La condition en est qu'aucune communication n'ait lieu sur la ligne AS-interface, ce que vous pourrez obtenir par exemple en déconnectant la ligne AS-interface au niveau du moniteur directement. • lorsque l'appareil constate l'absence de configuration ou une configuration erronée en mode démarrage. • par un premier appui sur la touche Service lors du remplacement d'un esclave AS-interface de sécurité défectueux (voir chapitre 10.4 « Remplacement des esclaves AS-interface de sécurité défectueux »). 8.1.3 Mode protection En mode protection, le moniteur de sécurité AS-interface envoie en continu des données de diagnostic via l'interface série de configuration. Ces données peuvent ensuite être traitées par le logiciel ASISWIN2. Si, en mode protection du moniteur de sécurité AS-interface, une fonction interne défectueuse est détectée, les éléments de commutation de sortie sont immédiatement coupés sans tenir compte de temps de retard éventuellement réglés. Le moniteur de sécurité AS-interface effectue ensuite un nouvel autocontrôle. Si l'erreur a disparu, le moniteur de sécurité AS-interface rebascule en mode protection. Si l'erreur est encore là, c'est que cet état est verrouillé contre les erreurs et ne peut être quitté qu'en remettant le moniteur de sécurité AS-interface en route. Situation : 10/2006 Il est possible de basculer en mode protection • en envoyant par voie logicielle ASISWIN2 l'instruction de Démarrage en mode configuration. • lorsque l'appareil constate une configuration validée et correcte en mode démarrage. • par un deuxième appui sur la touche Service lors du remplacement d'un esclave AS-interface de sécurité défectueux (voir chapitre 10.4 « Remplacement des esclaves AS-interface de sécurité défectueux »). Manuel d'utilisation du moniteur de sécurité AS-interface 29 TNT 35/7-24V Le mode protection est le mode de fonctionnement normal du moniteur de sécurité AS-interface. Les éléments de commutation de sortie y sont activés et désactivés suivant l'état de fonctionnement des esclaves AS-interface de sécurité surveillés et des composants de fonction configurés. Fonction et mise en service 8.2 Éléments d'affichage et de commande Les affichages à DEL à l'avant du moniteur de sécurité AS-interface vous renseigneront sur le mode de fonctionnement et l'état de l'appareil. non occupé DEL AS-i 1 DEL AS-i 2 Circuit de sortie 1 Circuit de sortie 2 Figure 8.1 :Aperçu des DEL Signification de l'affichage à DEL en mode protection Couleur éteinte AS-i 1 30 Contacts de l'élément de commutation de sortie ouverts verte, Contacts de l'élément de commutation de sortie fermés lumière permanente verte, Temps de retard en cours si catégorie d'arrêt 1 clignotante éteinte 3 OFF/FAULT (par circuit de sortie) – jaune, Blocage au démarrage/redémarrage actif lumière permanente jaune, Test externe nécessaire / validation / retard au démarclignotante rage actif éteinte 2 ON (par circuit de sortie) Fonctionnement normal rouge, Erreur de communication lumière permanente éteinte 1 READY (par circuit de sortie) Pas d'alimentation verte, Alimentation AS-interface présente lumière permanente éteinte AS-i 2 Signification Contacts de l'élément de commutation de sortie fermés rouge, Contacts de l'élément de commutation de sortie ouverts lumière permanente rouge, Anomalie au niveau des composants AS-interface sous clignotante contrôle Manuel d'utilisation du moniteur de sécurité AS-interface Situation : 10/2006 DEL Fonction et mise en service DEL Couleur 1 READY 2 ON 3 OFF/FAULT (par circuit de sortie) clignotant rapidement simultanément Signification Erreur interne de l'appareil, message d'erreur interrogeable par logiciel ASISWIN2 Remarque ! L'appui sur la touche Service est acquitté par l'allumage unique bref de toutes les DEL de l'appareil. Attention ! Force d'actionnement max. pour la touche Service : 1N ! 8.3 Mise en service de l'appareil Appliquez la tension d'alimentation à l'appareil, le test interne du système se lance. Cet état de fonctionnement est indiqué par l'allumage de toutes les DEL de l'appareil (voir chapitre 8.1.1 « Mode démarrage »). Configuration et paramétrage de l'appareil Pour la configuration et le paramétrage de l'appareil, vous avez besoin du programme ASISWIN2. Le logiciel ASISWIN2 exécute les tâches suivantes : • • • • Configuration du moniteur de sécurité AS-interface Documentation de la configuration Mise en service du moniteur de sécurité AS-interface Diagnostic du moniteur de sécurité AS-interface Remarque ! Vous trouverez la description du programme ASISWIN2 dans le manuel d'utilisation spécifique au logiciel. Situation : 10/2006 Le mode configuration (chapitre 8.1.2) est indiqué par l'allumage à tour de rôle des DEL 1 … 3 du circuit de sortie 1. Manuel d'utilisation du moniteur de sécurité AS-interface 31 TNT 35/7-24V 8.4 Fonction et mise en service Procédez comme suit : • Installez le programme sur votre ordinateur. • Mettez le moniteur de sécurité AS-interface sous tension. Remarque ! Nous recommandons à l'utilisateur de se décharger (en se mettant à la terre) à un endroit adapté avant de brancher le câble de paramétrage dans le moniteur de sécurité. • Reliez le PC au moniteur de sécurité AS-interface à l'aide du câble d'interface (RJ45/SubD à 9 pôles) (voir chapitre 2.1.2 « Liaison entre le moniteur de sécurité AS-interface et le PC » du manuel d'utilisation du logiciel). • Procédez à la configuration du moniteur de sécurité AS-interface puis à la mise en service comme décrit dans le manuel d'utilisation du logiciel. • Une fois la mise en service terminée, le moniteur de sécurité AS-interface est prêt au fonctionnement. Attention ! Avant la mise en service de l'appareil vous devez en adapter la configuration à votre application spécifique. Pour ce faire, configurez le moniteur de sécurité AS-interface à l'aide du manuel d'utilisation du logiciel, de manière à ce que l'appareil protège la zone de danger concernée. 8.5 Documentation de l'application en matière de sécurité Remarque ! Vous trouverez une description détaillée de la documentation de la configuration de votre application en matière de sécurité dans le manuel spécifique au programme. Procédez comme suit : Situation : 10/2006 • Procédez à la configuration du moniteur de sécurité AS-interface pour votre application. • Validez la configuration (à faire par le responsable de la sécurité). • Imprimez le protocole de configuration définitif et éventuellement la vue d'ensemble de la configuration (voir chapitre 5.8 « Documentation de la configuration » du manuel d'utilisation du logiciel). • Signez le protocole de configuration définitif (à faire par le responsable de la sécurité). • Joignez le protocole à la documentation de votre application pour les questions de sécurité (papiers de la machine) et conservez-le avec soin. 32 Manuel d'utilisation du moniteur de sécurité AS-interface Maintenance 9 Maintenance 9.1 Contrôler la coupure de sécurité La personne chargée de la sécurité doit contrôler au moins tous les ans que le moniteur de sécurité AS-interface fonctionne de façon impeccable dans le système protecteur, c'est-à-dire que le déclenchement d'un capteur ou d'un actionneur de sécurité qui lui est affecté provoquera une coupure de sécurité. Attention ! Pour cela, chaque esclave AS-interface de sécurité doit être actionné au moins une fois par an et le comportement de commutation contrôlé en observant les circuits de sortie du moniteur de sécurité AS-interface. Attention ! La durée maximale de mise en fonctionnement et la durée totale de fonctionnement doivent être prises en compte en fonction la valeur de PFD choisie pour la probabilité de défaillance totale. Une fois la durée maximale de mise en fonctionnement atteinte (trois, six ou douze mois), le fonctionnement correct du système de sécurité doit être contrôlé par sollicitation de la fonction de coupure. Situation : 10/2006 TNT 35/7-24V Une fois la durée totale de fonctionnement atteinte (10 ans), le fonctionnement correct de l'appareil doit être contrôlé par le fabricant dans les usines du fabricant. Manuel d'utilisation du moniteur de sécurité AS-interface 33 Affichage d'état, pannes et résolution des erreurs 10 Affichage d'état, pannes et résolution des erreurs 10.1 Affichage d'état sur l'appareil / Diagnostic des erreurs sur le PC Une erreur interne ou externe sera signalée par la DEL rouge clignotante OFF/FAULT sur le moniteur de sécurité AS-interface (voir chapitre 8.2 « Éléments d'affichage et de commande »). Remarque ! L'interface de configuration et le logiciel ASISWIN2 permettent un diagnostic plus exact (voir manuel du logiciel). 10.2 Quelques conseils pour la recherche d'erreurs Erreur DEL AS-i 1 éteinte DEL AS-i 2 est rouge DEL 3 OFF/FAULT est rouge et clignote DEL 1 … 3 clignotent rapidement simultanément 10.3 Cause possible Remède Pas d'alimentation de l'AS-inter- • Contrôler les connexions des câbles face • Contrôler le bloc d'alimentation du moniteur de sécurité AS-interface La communication sur le bus AS- • Contrôler les connexions des câbles interface est défectueuse • Contrôler le maître AS-interface Anomalie au niveau des compo- • Effectuer un diagnostic à l'aide du sants AS-interface sous contrôle logiciel ASISWIN2 • Si nécessaire, remplacer les composants AS-interface défectueux Erreur interne de l'appareil • Notez les numéros d'erreur qui s'affichent dans la fenêtre d'avertissement du logiciel ASISWIN2 et contactez le fabricant Déverrouillage des erreurs par la touche « Service » Un moniteur de sécurité dont les erreurs sont verrouillées (DEL 3 OFF/FAULT rouge clignotante) peut être déverrouillé par actionnement de la touche de « Service ». L'appui sur la touche provoque la réinitialisation du bloc en état d'erreur. Après la réinitialisation, un test au démarrage de ce bloc est nécessaire. Situation : 10/2006 Remarque ! L'appui sur la touche Service est acquitté par l'allumage unique bref de toutes les DEL de l'appareil. 34 Manuel d'utilisation du moniteur de sécurité AS-interface Affichage d'état, pannes et résolution des erreurs 10.4 Remplacement des esclaves AS-interface de sécurité défectueux 10.4.1 Remplacement d'un esclave AS-interface de sécurité défectueux Si un esclave AS-interface de sécurité est défectueux, vous pourrez le remplacer même sans ordinateur et sans nouvelle configuration du moniteur de sécurité AS-interface grâce à la touche Service du moniteur de sécurité AS-interface. Attention ! Force d'actionnement max. pour la touche Service : 1N ! Remarque ! L'appui sur la touche Service fait passer le moniteur de sécurité du mode de protection au mode de configuration. Les circuits de sortie sont donc en tout cas coupés. L'appui sur la touche Service est acquitté par l'allumage unique bref de toutes les DEL de l'appareil. Procédez comme suit : 3. 4. Déconnectez l'esclave AS-interface défectueux de la liaison AS-interface. Appuyez pendant env. 1 seconde sur la touche Service de tous les moniteurs de sécurité AS-interface qui utilisent l'esclave AS-interface de sécurité défectueux. Connectez le nouvel esclave AS-interface de sécurité à la liaison AS-interface. Appuyez à nouveau pendant env. 1 seconde sur la touche Service de tous les moniteurs de sécurité AS-interface qui utilisent l'esclave AS-interface de sécurité remplacé. Lorsque vous appuyez la première fois sur la touche Service le système cherche si un seul esclave fait défaut. Celui-ci est alors consigné dans la mémoire d'erreurs du moniteur de sécurité AS-interface. Le moniteur de sécurité AS-interface bascule alors en mode configuration. Lorsque vous appuyez la deuxième fois sur la touche Service, le système apprend le code du nouvel esclave et vérifie qu'il est correct. S'il est correct, le moniteur de sécurité AS-interface rebascule en mode protection. Attention ! Après remplacement d'un esclave de sécurité défectueux, il est impératif de contrôler le fonctionnement correct du nouvel esclave. 10.4.2 Remplacement de plusieurs esclaves AS-interface de sécurité défectueux Si sur une branche AS-interface plusieurs esclaves AS-interface de sécurité sont défectueux, procédez comme suit pour les remplacer : Situation : 10/2006 Remarque ! L'appui sur la touche Service fait passer le moniteur de sécurité du mode de protection au mode de configuration. Les circuits de sortie sont donc en tout cas coupés. L'appui sur la touche Service est acquitté par l'allumage unique bref de toutes les DEL de l'appareil. Manuel d'utilisation du moniteur de sécurité AS-interface 35 TNT 35/7-24V 1. 2. Affichage d'état, pannes et résolution des erreurs Attention ! Force d'actionnement max. pour la touche Service : 1N ! 1. 2. Déconnectez tous les esclaves AS-interface défectueux de la liaison AS-interface. Raccordez tous les nouveaux esclaves AS-interface de sécurité déjà adressés, sauf un à la liaison AS-interface (Auto_Address ne fonctionne pas dans ce cas). Actionnez tous les esclaves qui viennent d'êtres raccordés de telle façon que l'esclave n'envoie pas de série de code (actionner l'arrêt d'urgence, ouvrir la porte, interrompre le réseau optique etc.). Remarque ! La reconnaissance des erreurs intégrée au moniteur fait qu'un nouvel esclave ne sera accepté que si le 2ème point est respecté sans limite. 3. 4. 5. 6. 7. 8. 9. 10. 11. Appuyez pendant env. une seconde sur la touche Service de tous les moniteurs de sécurité AS-interface qui utilisaient les esclaves AS-interface de sécurité défectueux. Raccordez l'esclave manquant et déjà adressé à la liaison AS-interface. Appuyez pendant env. une seconde sur la touche Service de tous les moniteurs de sécurité AS-interface qui utilisaient les esclaves AS-interface de sécurité défectueux. Déconnectez un des esclaves AS-interface remplacé mais pas encore programmé de la liaison AS-interface. Appuyez pendant env. une seconde sur la touche Service de tous les moniteurs de sécurité AS-interface qui utilisaient les esclaves AS-interface de sécurité défectueux. Reconnectez l'esclave AS-interface que vous venez de déconnecter à la liaison AS-interface. Activez l'esclave que vous venez de raccorder. La série de code est maintenant transmise au moniteur de sécurité AS-Interface et y est enregistrée. Appuyez pendant env. une seconde sur la touche Service de tous les moniteurs de sécurité AS-interface qui utilisaient les esclaves AS-interface de sécurité défectueux. Répétez cette procédure depuis l'étape 6 jusqu'à ce que tous les esclaves AS-interface soient programmés. Lorsque vous appuyez la première fois sur la touche Service le système cherche si un seul esclave fait défaut. Celui-ci est alors consigné dans la mémoire d'erreurs du moniteur de sécurité AS-interface. Le moniteur de sécurité AS-interface bascule alors en mode configuration. Lorsque vous appuyez la deuxième fois sur la touche Service, le système apprend le code du nouvel esclave et vérifie qu'il est correct. S'il est correct, le moniteur de sécurité AS-interface rebascule en mode protection. Situation : 10/2006 Attention ! Après remplacement des esclaves de sécurité défectueux, il est impératif de contrôler le fonctionnement correct des nouveaux esclaves. 36 Manuel d'utilisation du moniteur de sécurité AS-interface Affichage d'état, pannes et résolution des erreurs 10.5 Remplacement d'un moniteur de sécurité AS-interface défectueux Si un moniteur de sécurité AS-interface est défectueux et qu'il doit être remplacé, il n'est pas absolument nécessaire de reconfigurer complètement le nouvel appareil par voie logicielle avec ASISWIN2 : il est possible de reprendre directement la configuration de l'appareil défectueux dans le nouvel appareil par téléchargement (câble accessoire en option). Conditions : • Vous disposez d'un câble de téléchargement (voir accessoires dans le chapitre 3.4). • L'appareil de remplacement n'a pas de configuration valide dans sa mémoire de configuration. Remarque ! Si l'appareil de remplacement est un moniteur de sécurité AS-interface qui était utilisé ailleurs auparavant, vous devrez remplacer la configuration actuelle par une nouvelle que vous ne validerez pas. Procédez comme suit : • Mettez le moniteur de sécurité AS-interface défectueux hors tension. • Reliez l'appareil défectueux via le câble de téléchargement (RJ45/RJ45) à l'appareil de remplacement. • Raccordez l'appareil de remplacement à la tension d'alimentation. • La configuration de l'appareil défectueux est transmise automatiquement à l'appareil de remplacement. Vous pouvez constater que la transmission est en cours grâce à la DEL jaune READY qui reste allumée en permanence. Quand la transmission est terminée avec succès, les DEL jaune READY et verte ON s'allument en permanence. • Mettez le nouveau moniteur de sécurité AS-interface hors tension et détachez le câble de téléchargement des deux appareils. L'appareil de remplacement peut maintenant être utilisé directement à la place de l'appareil défectueux. Situation : 10/2006 Moniteurs de sécurité AS-interface de version ≥ V2.12 : Procédez comme suit : • Mettez le moniteur de sécurité AS-interface défectueux hors tension et démontez-le. • Installez le nouveau moniteur de sécurité AS-interface et raccordez-le (connexions L+, M et FE ainsi que AS-i+ et AS-i- et autres connexions selon les besoins). • Mettez le nouveau moniteur de sécurité AS-interface sous tension. Le moniteur de sécurité ASinterface bascule en mode configuration. • Reliez le moniteur de sécurité AS-interface défectueux et hors tension au nouveau moniteur de sécurité AS-interface à l'aide du câble de téléchargement (RJ45/RJ45) et appuyez sur la touche Service. • Le moniteur de sécurité AS-interface redémarre (test des DEL) et la configuration est transmise. La DEL jaune 1 READY est allumée pendant la transmission. • Quand la DEL jaune 1 READY s'éteint, la transmission est terminée. Séparez les deux moniteurs de sécurité AS-interface et appuyez à nouveau sur la touche Service. • Le moniteur de sécurité AS-interface redémarre, il utilise la configuration réengistrée. Attention ! Après remplacement d'un moniteur de sécurité AS-interface défectueux, il est impératif de contrôler le fonctionnement correct du nouveau moniteur de sécurité AS-interface. Manuel d'utilisation du moniteur de sécurité AS-interface 37 TNT 35/7-24V Moniteur de sécurité AS-interface de version < V2.12 : Affichage d'état, pannes et résolution des erreurs 10.6 Vous avez oublié votre mot de passe ? Que faire ? Attention ! Seul le responsable de la sécurité a le droit de récupérer un mot de passe de la façon décrite ci-dessous ! Si vous avez perdu le mot de passe nécessaire à votre configuration, procédez comme suit : 1. 2. 3. 4. Recherchez le protocole de configuration valide du moniteur de sécurité AS-interface dont vous n'avez pas de mot de passe (exemplaire papier ou fichier). Vous trouverez sur la ligne 10 (Monitor Section, Validated) du protocole de configuration un code à quatre caractères. • Si vous ne disposez pas du protocole de configuration ou si le moniteur de sécurité AS-interface ne doit pas être mis en mode configuration, reliez le moniteur de sécurité AS-interface dont vous n'avez plus le mot de passe au PC et lancez le logiciel ASISWIN2. • Sélectionnez la Configuration Neutre et lancez la fonction de diagnostic d'ASISWIN2 par Moniteur -> Diagnostic. Attendez que la configuration actuelle apparaisse à l'écran. Cela peut durer jusqu'à cinq minutes. • Ouvrez la fenêtre Informations concernant le moniteur / le bus (rubrique Éditer -> Informations concernant le moniteur / le bus…). Vous trouverez également le code à quatre caractères sur l'onglet Titre dans la partie de la fenêtre intitulée Temps de chargement. Contactez le support technique de votre fournisseur et donnez-lui votre code à quatre caractères. Ce code permet de générer un mot de passe maître qui vous donne accès à la configuration enregistrée. Utilisez ce mot de passe maître pour stopper le moniteur de sécurité AS-interface et entrer un nouveau mot de passe utilisateur. Sélectionnez pour cela dans le menu Moniteur du logiciel de configuration ASISWIN2 la rubrique Changement de mot de passe…. Attention ! Veuillez noter que l'accès à la configuration enregistrée dans le moniteur de sécurité AS-interface peut avoir des incidences sur la sécurité du fonctionnement de l'installation. Seul le personnel autorisé a le droit de faire des modifications de configurations validées. Toute modification doit être réalisée conformément aux instructions données dans le manuel utilisateur du logiciel de configuration ASISWIN2. Situation : 10/2006 Remarque ! Tant qu'aucune configuration valide n'a été enregistrée dans le moniteur de sécurité AS-interface, le mot de passe standard est « SIMON ». 38 Manuel d'utilisation du moniteur de sécurité AS-interface Diagnostic par AS-interface 11 Diagnostic par AS-interface 11.1 Déroulement général Remarque ! Une adresse esclave AS-interface doit impérativement être affectée au moniteur de sécurité AS-interface pour pouvoir effectuer un diagnostic du moniteur de sécurité AS-interface sur le maître AS-interface. Le bus AS-interface permet de réaliser le diagnostic du moniteur de sécurité AS-interface et des blocs configurés depuis le maître AS-interface, généralement un automate programmable avec module maître. Mais pour que la transmission des données de diagnostic soit fiable et leur évaluation efficace, il est impératif que toute une série d'exigences soit satisfaite : La procédure de diagnostic décrite ci-dessous satisfait à ces exigences, elle doit donc impérativement être respectée. Déroulement du diagnostic Situation : 10/2006 L'automate interroge toujours le moniteur de sécurité AS-interface à l'aide de deux appels de données (0) et (1) en alternance. Ces appels apportent l'information de base nécessaire au diagnostic (état des circuits de sortie, mode de protection/configuration). Le moniteur de sécurité AS-interface répond aux deux appels en envoyant les mêmes données utiles (3 bits, D2 … D0). Le bit D3 est un bit de commande, il est semblable sans être identique à un bit-bascule. Pour tous les appels de données pairs (0), D3 = 0 ; pour tous les appels impairs (1), D3 = 1. L'automate peut ainsi reconnaître un changement de la réponse. Les appels de données (0) et (1) délivrent la réponse X000 quand l'état est normal (mode protection, tout est ok). Les appareils ayant seulement un circuit de sortie et dans les cas de deux circuits de sortie dépendants, le circuit de sortie 2 est toujours marqué comme étant ok. Dans le cas de deux circuits de sortie indépendants, un circuit non configuré est également signalé comme étant ok. Pour pouvoir interpréter ce qui est ok et ce qui ne l'est pas, l'utilisateur doit bien connaître sa configuration. Lors du passage de l'appel de données de (0) à (1), le jeu de données est enregistré dans le moniteur Manuel d'utilisation du moniteur de sécurité AS-interface 39 TNT 35/7-24V • En particulier si un autre système de bus est utilisé entre automate et AS-interface, il peut arriver que les temps de transmission des messages soient relativement longs. Comme la transmission est asynchrone dans le maître, si deux appels de données identiques se suivent, l'automate ne peut pas forcément reconnaître quand le moniteur de sécurité AS-interface répond au nouvel appel. Dans le cas de deux appels de données consécutifs différents, les réponses doivent donc se distinguer par au moins un bit. • Les données de diagnostic doivent être consistantes, c'est-à-dire que les informations d'état émises par le moniteur de sécurité AS-interface doivent être en rapport avec les états réels des blocs, et ce en particulier si le temps de transmission vers l'automate est supérieur au temps d'actualisation dans le moniteur de sécurité AS-interface (env. 30 … 150ms). • Suivant le mode de fonctionnement du moniteur de sécurité AS-interface, un relais coupé d'un circuit de sortie correspond ou non à l'état normal. Mais le diagnostic de l'automate ne doit être lancé que si l'état n'est pas l'état normal. Diagnostic par AS-interface de sécurité AS-interface. Mais le bit D3 de la réponse reste à zéro jusqu'à ce que la procédure soit terminée. L'automate pense donc encore recevoir des réponses à l'appel de données (0). Lorsque D3 est mis à un, le jeu de données est consistant. Si, le bit D3 étant à un, la réponse du moniteur de sécurité AS-interface indique la coupure d'un circuit de sortie, il est maintenant possible de demander des informations de diagnostic détaillées dans l'état enregistré à l'aide des appels de données plus ciblés (2) … (B). Selon le réglage dans la configuration du moniteur de sécurité AS-interface, les appels de données (4) … (B) délivrent des informations de diagnostic des blocs triées par sortie (voir paragraphe 11.2.2) ou non triées (voir paragraphe 11.2.3). Remarque ! Si le moniteur de sécurité AS-interface est en mode de configuration, la demande des informations de diagnostic détaillées à l'aide des appels de données (2) … (B) n'est pas possible. Un nouvel appel de données (0) met fin à l'état enregistré. 11.2 Messages 11.2.1 Diagnostic du moniteur de sécurité AS-interface État des circuits de sortie, mode de fonctionnement Remarque ! L'émission en alternance des appels de données (0) et (1) est indispensable à la consistance de la transmission des données. Voir « Déroulement du diagnostic » page 39. Les valeurs binaires des appels de données se rapportent au niveau AS-interface, il est possible dans certaines conditions qu'elles soient inversées au niveau automate. 0001 0010 0011 0100 0101 0110 0111 1XXX 40 Signification Mode protection, tout est ok (des circuits de sortie inexistants, non configurés ou dépendants sont signalés comme étant ok). Mode protection, circuit de sortie 1 coupé. Mode protection, circuit de sortie 2 coupé. Mode protection, deux circuits de sortie coupés. Mode configuration : Power On. Mode configuration Réservé / non défini Mode configuration : erreur fatale de l'appareil, RAZ ou remplacement de l'appareil requis. Pas d'information de diagnostic actuelle, veuillez attendre svp. Manuel d'utilisation du moniteur de sécurité AS-interface Situation : 10/2006 Appel de données / Réponse valeur D3 … D0 (0) / 1111 0000 État moniteur Diagnostic par AS-interface Appel de données / valeur (1) / 1110 Enregistrer l'information de diagnostic (état moniteur) Réponse D3 … D0 1000 1001 1010 1011 1100 1101 1110 1111 Signification Mode protection, tout est ok (des circuits de sortie inexistants, non configurés ou dépendants sont signalés comme étant ok). Mode protection, circuit de sortie 1 coupé. Mode protection, circuit de sortie 2 coupé. Mode protection, deux circuits de sortie coupés. Mode configuration : Power On. Mode configuration Réservé / non défini Mode configuration : erreur fatale de l'appareil, RAZ ou remplacement de l'appareil requis. État des DEL de l'appareil Les appels de données (2) et (3) donnent une reproduction simplifiée des DEL des circuits de sortie sur le moniteur de sécurité AS-interface (voir chapitre 8.2). Si la réponse à l'appel de données (1) = 10XX : Réponse D3 … D0 0000 0001 0010 0011 01XX Appel de données / valeur (3) / 1100 État DEL circuit de sortie 2 Réponse D3 … D0 1000 1001 1010 1011 Vert = contacts du circuit de sortie fermés Jaune = blocage au démarrage/redémarrage actif Jaune clignotant ou rouge = contacts du circuit de sortie ouverts Rouge clignotant = anomalie au niveau des composants AS-interface contrôlés Réservé Signification Vert = contacts du circuit de sortie fermés Jaune = blocage au démarrage/redémarrage actif Jaune clignotant ou rouge = contacts du circuit de sortie ouverts Rouge clignotant = anomalie au niveau des composants AS-interface contrôlés Réservé Situation : 10/2006 11XX Signification Manuel d'utilisation du moniteur de sécurité AS-interface 41 TNT 35/7-24V Appel de données / valeur (2) / 1101 État DEL circuit de sortie 1 Diagnostic par AS-interface Codage des couleurs Remarque ! La couleur d'un bloc correspond à la couleur de la DEL virtuelle dans la fenêtre de diagnostic du logiciel de configuration ASISWIN2. Un bloc qui n'est associé à aucun circuit de sortie est toujours représenté en vert. Code CCC (D2 … D0) 000 001 010 011 100 101 110 Couleur Signification verte, lumière permanente verte, clignotante jaune, lumière permanente Le bloc est dans l'état ON (actif) Le bloc est dans l'état ON (actif) mais déjà en cours de passage dans l'état OFF, p. ex. temporisation d'arrêt Le bloc est prêt mais il attend encore une condition manquante, comme p. ex. un acquittement local ou un appui sur la touche de lancement Condition temporelle dépassée, l'action doit être répétée, p. ex. le temps de synchronisation est dépassé Le bloc est dans l'état OFF (inactif) jaune, clignotante rouge, lumière permanente rouge, Le verrouillage des erreurs est actif, déverrouillage par l'une clignotante des actions suivantes : • Acquittement par la touche de service • Power OFF/ON • Bus AS-interface OFF/ON grise, Pas de communication avec l'esclave AS-interface éteinte Tableau 11.1 :Codage des couleurs Remarque ! Même en mode de protection normal, il y a des blocs qui ne sont pas dans l'état vert. Lors de la recherche de la cause d'une coupure, le bloc d'index de bloc le plus faible est le plus important. D'autres coupures ne sont éventuellement survenues qu'en conséquence (exemple : l'appui sur l'arrêt d'urgence fait également passer le bloc de démarrage et le temporisateur dans l'état d'arrêt). Comme les numéros de bloc peuvent changer lors de modifications de la configuration, il est recommandé d'utiliser l'affectation des index de diagnostic. 42 Manuel d'utilisation du moniteur de sécurité AS-interface Situation : 10/2006 Une programmation adaptée du bloc fonctionnel dans l'automate peut guider l'utilisateur directement vers la cause primaire de l'erreur. Pour l'interprétation d'autres informations, des connaissances plus précises de la configuration et du mode de fonctionnement du moniteur de sécurité AS-interface sont nécessaires. Diagnostic par AS-interface 11.2.2 Diagnostic des blocs trié par circuit de validation Si tel en est le réglage dans la configuration, les appels de données (4) … (B) délivrent les informations de diagnostic des blocs triées par circuit de sortie. Remarque ! Veillez au réglage correct du type de diagnostic dans la boîte de dialogue Informations concernant le moniteur / le bus du logiciel de configuration ASISWIN2 pour le moniteur de sécurité AS-interface. Les valeurs obtenues en réponse aux appels (5) et (6) ainsi que (9) et (A) se rapportent à l'index de diagnostic du bloc dans le logiciel de configuration et non à une adresse AS-interface. Exécutez toujours les appels de données (4) … (7) et (8) … (B) ensemble et les uns à la suite des autres pour chaque bloc. Diagnostic trié des blocs, circuit de sortie 1 Si la réponse à l'appel de données (1) = 10X1 : Appel de données / Réponse valeur D3 … D0 (4) / 1011 0XXX Nombre de blocs de couleur non verte circuit de sortie 1 Signification Appel de données / Réponse valeur D3 … D0 1HHH (5) / 1010 Adresse bloc HIGH circuit de sortie 1 Signification Situation : 10/2006 Appel de données / Réponse valeur D3 … D0 (7) / 1000 1CCC Couleur bloc circuit de sortie 1 pas de bloc, réponses aux appels de données (5) … (7) pas importantes. XXX = 1 … 6 : nombre de blocs dans le circuit de sortie 1 XXX = 7 : nombre de blocs est > 6 dans le circuit de sortie 1 HHH = I5,I4,I3 : index de diagnostic du bloc dans le circuit de sortie 1 de la configuration (HHHLLL = index de diagnostic) Signification LLL = I2,I1,I0 : index de diagnostic du bloc dans le circuit de sortie 1 de la configuration (HHHLLL = index de diagnostic) Signification CCC = couleur (voir tableau 11.1 page 42) Manuel d'utilisation du moniteur de sécurité AS-interface 43 TNT 35/7-24V Appel de données / Réponse valeur D3 … D0 (6) / 1001 0LLL Adresse bloc LOW circuit de sortie 1 XXX = 0 : Diagnostic par AS-interface Diagnostic trié des blocs, circuit de sortie 2 Si la réponse à l'appel de données (1) = 101X : Appel de données / Réponse valeur D3 … D0 (8) / 0111 0XXX Nombre de blocs de couleur non verte circuit de sortie 2 Signification Appel de données / Réponse valeur D3 … D0 (9) / 0110 1HHH Adresse bloc HIGH circuit de sortie 2 Signification Appel de données / Réponse valeur D3 … D0 (A) / 0101 0LLL Adresse bloc LOW circuit de sortie 2 Appel de données / Réponse valeur D3 … D0 (B) / 0100 1CCC Couleur bloc circuit de sortie 2 XXX = 0 : pas de bloc, réponses aux appels de données (5) … (7) pas importantes. XXX = 1 … 6 : nombre de blocs dans le circuit de sortie 2 XXX = 7 : nombre de blocs est > 6 dans le circuit de sortie 2 HHH = I5,I4,I3 : index de diagnostic du bloc dans le circuit de sortie 2 de la configuration (HHHLLL = index de diagnostic) Signification LLL = I2,I1,I0 : index de diagnostic du bloc dans le circuit de sortie 2 de la configuration (HHHLLL = index de diagnostic) Signification CCC = couleur (voir tableau 11.1 page 42) Situation : 10/2006 Remarque ! Les appels de données (C) 0011 à (F) 0000 sont réservés. 44 Manuel d'utilisation du moniteur de sécurité AS-interface Diagnostic par AS-interface 11.2.3 Diagnostic des blocs non trié Si tel en est le réglage dans la configuration, les appels de données (4) … (B) délivrent les informations de diagnostic des blocs non triées pour tous les blocs. Remarque ! Veillez au réglage correct du type de diagnostic dans la boîte de dialogue Informations concernant le moniteur / le bus du logiciel de configuration ASISWIN2 pour le moniteur de sécurité AS-interface. Les valeurs obtenues en réponse aux appels (5) et (6) ainsi que (9) et (A) se rapportent à l'index de diagnostic du bloc dans le logiciel de configuration et non à une adresse AS-interface. Exécutez toujours les appels de données (4) … (7) et (8) … (B) ensemble et les uns à la suite des autres pour chaque bloc. Diagnostic non trié des blocs pour tous les blocs Si la réponse à l'appel de données (1) = 1001, 1010 ou 1011 : Appel de données / Réponse valeur D3 … D0 (4) / 1011 0XXX Nombre de blocs de couleur non verte, lumière permanente Signification Appel de données / Réponse valeur D3 … D0 (5) / 1010 1HHH Adresse bloc HIGH Signification Situation : 10/2006 Appel de données / Réponse valeur D3 … D0 (7) / 1000 1CCC Couleur bloc Appel de données / Réponse valeur D3 … D0 (8) / 0111 0XXX pas de bloc, réponses aux appels de données (5) … (7) pas importantes. XXX = 1 … 6 : nombre de blocs de couleur non verte. XXX = 7 : nombre de blocs de couleur non verte est > 6 (couleurs voir tableau 11.1 page 42). HHH = I5,I4,I3 : index de diagnostic du bloc dans la configuration (HHHLLL = index de diagnostic) Signification LLL = I2,I1,I0 : index de diagnostic du bloc dans la configuration (HHHLLL = index de diagnostic) Signification CCC = couleur (voir tableau 11.1 page 42) Signification non utilisé Manuel d'utilisation du moniteur de sécurité AS-interface 45 TNT 35/7-24V Appel de données / Réponse valeur D3 … D0 (6) / 1001 0LLL Adresse bloc LOW XXX = 0 : Diagnostic par AS-interface Appel de données / Réponse valeur D3 … D0 (9) / 0110 1HHH Adresse bloc HIGH Appel de données / Réponse valeur D3 … D0 (A) / 0101 0LLL Adresse bloc LOW Appel de données / Réponse valeur D3 … D0 (B) / 0100 10XX Affectation au circuit de sortie Signification HHH = I5,I4,I3 : index de diagnostic du bloc dans la configuration (HHHLLL = index de diagnostic) Signification LLL = I2,I1,I0 : index de diagnostic du bloc dans la configuration (HHHLLL = index de diagnostic) Signification XX = 00 : XX = 01 : XX = 10 : XX = 11 : bloc du prétraitement bloc du circuit de sortie 1 bloc du circuit de sortie 2 bloc des deux circuits de sortie Situation : 10/2006 Remarque ! Les appels de données (C) 0011 à (F) 0000 sont réservés. 46 Manuel d'utilisation du moniteur de sécurité AS-interface Diagnostic par AS-interface 11.3 Exemple : Principe de demande dans le cas du diagnostic trié par circuit de validation État des circuits de sortie, mode de fonctionnement État des DEL de l'appareil Début Diagnostic en option Appel de données (0) état Appel de données (2) DEL circuit 1 Réponse à (0) ≠ 0X00 Appel de données (1) geler la demande Appel de données (3) DEL circuit 2 Réponse à (1) ≠ 1X00 Diagnostic bloc circuit de sortie 1 Diagnostic bloc circuit de sortie 2 Diagnostic Diagnostic Réponse à (1) = 10X1 Réponse à (1) = 101X Appel de données (4) nombre Appel de données (8) nombre Appel de données (9) adresse HIGH Appel de données (5) adresse HIGH Bloc suivant Bloc suivant Appel de données (A) adresse LOW Appel de données (6) adresse LOW Appel de données (B) couleur Appel de données (7) couleur Index de diagnostic < index de diagnostic précédent Situation : 10/2006 TNT 35/7-24V Diagnostic ou début Diagnostic Index de diagnostic < index de diagnostic précédent Diagnostic ou début Diagnostic ou début Figure 11.1 : Principe de demande dans le cas du diagnostic trié par circuit de sortie Manuel d'utilisation du moniteur de sécurité AS-interface 47 Des systèmes de bus sûrs grâce à l'AS-interface 12 Des systèmes de bus sûrs grâce à l'AS-interface L'extension de l'AS-interface à des fonctions de sécurité est basée sur le système normé selon EN 50295 qui prend en compte la mise en réseau de capteurs et actionneurs à commutation binaire. Aucune modification et aucun complément du système de transmission standard n'a été nécessaire. On a plutôt voulu ajouter des composants de sécurité à un système déjà existant. Il est ainsi possible de combiner les fonctions normales et celles de sécurité dans un seul et unique système. Du point de vue de la sécurité également, l'AS-interface est adapté aux composants à commutation binaire. On ne transmet plus maintenant que des données utiles de sécurité sur un bit au lieu des données E/S 8 bits disponibles dans le système. Ainsi pour un interrupteur d'arrêt d'urgence par exemple, on ne transmet plus que l'information « interrupteur actionné » ou « interrupteur non actionné ». Des applications de catégorie de commande allant jusqu'à 4 selon EN 954-1 [2] sont réalisables. 12.1 Description du principe Vous trouverez ci-dessous une description plus détaillée des fonctions de sécurité. Nous n'avons représenté du système standard que ce qui est indispensable à la bonne compréhension des mesures de sécurité que nous voulons exposer. Pour des informations plus détaillées au sujet du système AS-interface standard, veuillez vous reporter au manuel AS-interface [3] et à la norme correspondante EN 50295 [1]1. Toutes les nouvelles extensions telles que le fonctionnement avec 62 esclaves ont aussi été intégrées à la version 2.1 de la spécification de l'AS-interface [4]. 1. 48 Vous trouverez également beaucoup des informations sur Internet à l'adresse http://www.as-interface.net. Manuel d'utilisation du moniteur de sécurité AS-interface Situation : 10/2006 Dans un système AS-interface, jusqu'à 31 ou 62 esclaves communiquent avec un maître sur une ligne à deux fils. Le maître contrôle l'échange d'informations et échange à son tour toutes les données importantes du système avec l'hôte. L'hôte est le composant du système de niveau supérieur, le plus souvent un automate, un ordinateur industriel ou un coupleur vers un bus de terrain de niveau supérieur, par exemple INTERBUS ou PROFIBUS. Le maître est en général l'un des composants du système hôte, par exemple une carte enfichable dans un automate. Des systèmes de bus sûrs grâce à l'AS-interface Bus de terrain de niveau sup. Ex.: PROFIBUS INTERBUS Hôte (automate, IPC, coupleur) Maître Ligne AS-i Bloc d'alimentation ..... (1 à 31) Esclaves (Capteurs et actionneurs) Figure 12.1 : Vue d'ensemble d'un système AS-interface Un avantage essentiel est la réduction considérable des frais d'installation pour les capteurs et actionneurs binaires au niveau du procédé, c'est-à-dire au niveau de l'automation industrielle brute. De par l'électromécanique AS-interface, le câblage du système se fait au moyen d'un câble plat spécial à deux fils par pénétration (les raccords du participant pénètrent dans le câble plat). D'autres avantages en sont le diagnostic amélioré et simplifié des capteurs et actionneurs participants, ainsi que la facilité d'extension favorisée par le fait que la topologie du réseau constitué peut être quelconque. Depuis l'introduction sur le marché en 1994, plus de 2 millions d'IC esclaves ont déjà été vendus. Le système est maintenant considéré comme éprouvé depuis longtemps, surtout en ce qui concerne le respect des exigences de CEM imposées aux composants et systèmes utilisés dans le domaine de l'automation industrielle. Situation : 10/2006 Les avantages cités plus haut sont également valables pour l'extension de sécurité. L'utilisateur n'a pas besoin de changer la structure du système pour intégrer les composants de sécurité et il applique une seule technologie homogène. Le deuxième câblage nécessaire en plus jusqu'alors pour le diagnostic de l'état de commutation de composants de sécurité est devenu inutile. En effet, de par le principe du système AS-interface, l'information de diagnostic est déjà disponible dans l'hôte, en général un automate non sécuritaire, sans frais supplémentaires. Il est possible d'intégrer jusqu'à 31 esclaves de sécurité dans un système, des applications de catégorie de commande allant jusqu'à 4 selon EN 954-1 sont réalisables avec un temps de réaction système de 40ms au maximum. Manuel d'utilisation du moniteur de sécurité AS-interface 49 TNT 35/7-24V Le système est alimenté par un bloc d'alimentation spécifique (voir figure 12.1) disposant également du découplage des données nécessaire. Les informations et l'énergie sont transmises ensemble sur une ligne à deux fils de section minimale 1,5mm2, la somme de toutes les portions de fils pouvant atteindre une longueur de 100m, et le temps du cycle d'échange des données est de 5ms pour un système complet. Des systèmes de bus sûrs grâce à l'AS-interface 12.2 Structure matérielle des participants au bus pour la transmission Partons de la structure du système standard représenté figure 12.1 comprenant un maître et jusqu'à 31 esclaves. Notons que, conformément à [4], version 2.1 de la spécification AS-interface, il est également possible d'exploiter jusqu'à 62 esclaves dits A/B dans un système, sans influencer l'extension de sécurité puisque la structure maximale reste limitée à 31 pour le nombre d'esclaves ayant un rôle dans la sécurité. Ainsi par exemple, selon [4], il est possible d'ajouter normalement à un système comprenant déjà 5 esclaves de sécurité 26 esclaves habituels ou 52 esclaves A/B. Pendant le fonctionnement dit normal du maître qui comprend des phases d'échange de données et de management, un appel du maître pendant la phase d'échange des données provoque la transmission de l'adresse esclave ainsi que de données de sortie sur 4 bits (4A) à tous les esclaves. Après réception d'un appel, l'esclave concerné répond au maître par une réponse-esclave (voir figure 12.2), il transmet des données d'entrée sur 4 bits (4E). Ainsi, au total 8 bits de données utiles sont échangées par esclave avec le maître. Esclave standard (capteur) Hôte (automate) Capteurs Bits de données Maître AS-i standard Ligne AS-i D0 D1 D2 D3 Connexion AS-i esclave standard Appel du maître Bloc d'alimentation standard Réponse de l'esclave Figure 12.2 : Échange de données en mode de fonctionnement standard De son côté, le maître décide de l'ordre des appels. Pendant cette phase d'échange de données, tous les esclaves sont interrogés à leur tour dans l'ordre des adresses croissantes. Si le maître détecte une erreur dans un message pendant la phase d'échange de données, le message concerné est immédiatement répété une fois. Tous les mécanismes cités jusqu'ici restent identiques pour l'extension de sécurité. Tout maître ASinterface conforme aux spécifications reste donc utilisable dans le système sans modification, même 50 Manuel d'utilisation du moniteur de sécurité AS-interface Situation : 10/2006 Cette procédure, également connue sous le nom de Master-Slave-Polling, est répétée en permanence pendant le fonctionnement normal cyclique du maître, laissant passer après les max. 31 messages de la phase d'échange de données un message de la phase de management avant de repartir pour la phase d'échange de données suivante. Des systèmes de bus sûrs grâce à l'AS-interface si des composants de sécurité y sont intégrés, d'autant que le maître lui-même ne fait pas partie des composants importants pour la sécurité. En effet, en plus des esclaves de sécurité, le seul composant complémentaire nécessaire dans le système est un moniteur de sécurité. Comme le dit son nom, ce composant n'intervient pas dans le transfert de données entre maître et esclaves. Il ne fait que le surveiller (voir figure 12.3) et en déduit l'état de commutation de chacun des esclaves de sécurité. Hôte (automate) Esclave de sécurité (capteur) Moniteur de sécurité validé : 01 01 01 10 10 10 11 11 Maître AS-i standard 01 10 11 01 10 11 01 10 n. validé : 0000 Ligne AS-i Capteurs Voie 1 Voie 1 Générat. série Voie 2 Voie 2 Générat. série Bits de données Cycle D0 D1 D2 D3 Connexion AS-i esclave standard Appel du maître Bloc d'alimentation standard Réponse de l'esclave L'état de commutation de tous les esclaves de sécurité est intégré à l'image sûre du processus du moniteur de sécurité et mis à disposition d'unités en aval pour la sécurité. Situation : 10/2006 Un moniteur de sécurité est un appareil indépendant, l'élément branché en sa sortie est une unité qui exécute une combinaison correspondante des informations de l'image du processus et qui intervient à l'aide de relais dans les circuits de commande de sécurité conventionnels (ex. circuit d'arrêt d'urgence). Manuel d'utilisation du moniteur de sécurité AS-interface 51 TNT 35/7-24V Figure 12.3 : Échange de données sécuritaire Des systèmes de bus sûrs grâce à l'AS-interface La figure 12.4 montre le schéma fonctionnel du moniteur de sécurité, la figure 12.5 une structure de système contenant des composants normaux et des composants de sécurité. Schéma fonctionnel du moniteur de sécurité Transmission sûre Image sûre du processus Unité en aval (User functions) Figure 12.4 : Schéma fonctionnel du moniteur de sécurité Hôte (automate) Moniteur de sécurité avec contacts de sortie sûrs Esclaves Rideau optique de sécurité Cellule photoél. de sécurité Circuit de commande sûr Disjoncteur de sécurité Maître AS-i standard Ligne AS-i Interrupteur d'arrêt d'urgence Bloc d'alimentation standard Esclaves standard (Capteurs de fonction et actionneurs) L'unité en aval peut également être une interface vers un système de bus de terrain sûr de niveau supérieur, tel que par exemple PROFISAFE ou SafetyBus p (voir figure 12.6). Dans ce cas, l'image sûre du processus est mise à disposition d'une commande sûre à un niveau supérieur. 52 Manuel d'utilisation du moniteur de sécurité AS-interface Situation : 10/2006 Figure 12.5 : Structure du système avec un moniteur de sécurité Des systèmes de bus sûrs grâce à l'AS-interface Bus de terrain sûr de niveau supérieur par ex. PROFISAFE ou SafetyBUS p Hôte (automate ou coupleur) Esclaves Rideau optique de sécurité Cellule photoél. de sécurité Disjoncteur de sécurité Maître AS-i associé au moniteur de sécurité Ligne AS-i Bloc d'alimentation standard Interrupteur d'arrêt d'urgence Esclaves standard (Capteurs de fonction et actionneurs) Figure 12.6 : Structure du système avec un hôte de sécurité Si le maître et le moniteur de sécurité sont montés en une seule unité comme c'est le cas à la figure 12.6, il est également possible d'exploiter des actionneurs de sécurité à commutation binaire sur la ligne AS-interface. Une commande sûre doit alors fournir l'information de commutation aux actionneurs, elle est de niveau supérieur par rapport au maître, ainsi qu'au moniteur de sécurité. La structure répond au modèle d'architecture D donné dans [5]. Le système de transmission AS-interface est utilisé comme voie de transmission non sûre, le niveau de sécurité requis est atteint grâce à des mécanismes dans les éléments de niveau supérieur des esclaves de sécurité et dans le moniteur de sécurité. Pour garantir la sécurité requise, les composants suivants doivent en outre répondre à des exigences particulières : 1. Esclave de sécurité Lors du montage d'un esclave de sécurité, la séparation du générateur de code et de l'IC ASinterface décrite dans le chapitre 12.3 doit être garantie. 2. Moniteur de sécurité Le moniteur de sécurité peut prétraiter les messages dynamisés sur une voie unique. Toutes les autres fonctions sont importantes du point de vue de la sécurité et doivent être préparées en conséquence. Situation : 10/2006 Tous les autres composants du système tels que le maître, le bloc d'alimentation et les esclaves normaux ne sont pas considérés comme importants pour la sécurité. Manuel d'utilisation du moniteur de sécurité AS-interface 53 TNT 35/7-24V La sécurité est basée sur la dynamique et le codage spécial de l'information transmise. Des systèmes de bus sûrs grâce à l'AS-interface 12.3 Structure du télégramme de sécurité Les informations de sécurité sont transmises sur la voie de transmission non sécuritaire du standard AS-interface (cette voie est décrite dans le chapitre 12.2 et détaillée dans [3]). Un appel du maître sur 14 bits est suivi, après une pause esclave, d'une réponse par l'esclave sur 7 bits. Vous trouverez la signification de chacun des bits à la figure 12.7. Des signaux digitaux en attente en entrée sont lus puis transmis cycliquement. Si un signal statique est en attente, il sera relu lors de chaque cycle et la valeur constante retransmise à chaque cycle. 150 µs St SB A4 A3 A2 A1 A0 I4 I3 I2 I1 I0 PB EB St I3 I2 I1 I0 PB EB Appel du maître Pause du maître St SB A4 ... A0 I4 ... I0 PB EB = = = = = = Bit de départ (= 0) Bit de contrôle Adresse esclave (5 Bit) Information (5 Bit) Bit de parité Bit d'arrêt (= 1) St I3 ... I0 PB EB Réponse de l'esclave Pause de l'esclave = = = = Bit de départ (= 0) Information (4 Bit) Bit de parité Bit d'arrêt (= 1) Figure 12.7 : Signification des bits de l'appel du maître et de la réponse par l'esclave • Un seul bit d'information utile est transmis. Les deux états possibles ont la signification validé (=1) et non validé (=0). Exemple : Arrêt d'urgence non actionné == validé (mouvement dangereux autorisé) Arrêt d'urgence actionné == non validé (mouvement dangereux pas autorisé) • Dans l'état non validé, la valeur statique (0,0,0,0) est appliquée sur les 4 bits d'entrée de l'IC esclave. • Dans l'état validé, une valeur différente à chaque cycle est appliquée sur les 4 bits d'entrée. Les valeurs forment une suite de 8 valeurs de 4 bits différentes par paires, chaque esclave possédant sa série propre et univoque dans le système. La série est stockée dans une table de codes de l'esclave et doit être générée selon des règles bien définies. Elle est attribuée par le fabricant. Plusieurs séries peuvent être mémorisées sur chaque esclave, laissant le choix à l'utilisateur avant la mise en route. La figure 12.3 présente un exemple de série valide. 54 Manuel d'utilisation du moniteur de sécurité AS-interface Situation : 10/2006 La transmission de sécurité fonctionne selon le même mécanisme : l'information sur 4 bits en attente sur l'IC AS-interface de l'esclave est transmise. Du point de vue de la transmission, des informations sont transmises du maître à l'esclave et réciproquement. Mais le flux d'informations important pour la sécurité passe de l'esclave vers le moniteur de sécurité qui écoute et surveille tous les échanges d'informations. Les données utiles de sécurité sont spécifiées comme suit : Des systèmes de bus sûrs grâce à l'AS-interface • Le moniteur met dans son image sûre du processus l'un des trois états validé, non validé ou erreur pour chaque esclave. non validé .... le passage dans cet état a lieu après réception d'une valeur (0,0,0,0). validé .... le passage dans cet état a lieu après réception au moins 8 fois de suite de la valeur (0,0,0,0), puis de 9 fois la valeur correcte de la série. erreur .... après détection du non-respect des règles de transmission de sécurité, par exemple après réception d'une valeur de 4 bits non autorisée ou si aucune valeur correcte d'une série n'est entrée pendant un intervalle de temps trop long. En réduisant les données utiles, on arrive à ne plus devoir différencier, du point de vue de la sécurité, que les deux états validé et non validé. L'état validé, qui autorise le mouvement dangereux, est représenté par la dynamique de l'information de telle façon que toute erreur sera détectée avec fiabilité dans la voie de transmission, si bien que le mouvement dangereux ne restera pas autorisé. Alors que dans l'état non validé, la valeur (0,0,0,0) est transmise statiquement, une valeur différente doit être transmise à chaque cycle pour l'état validé. Comme représenté à la figure 12.8, un générateur de code fournit la valeur correspondante d'une série à l'IC AS-interface. A chaque cycle détecté par le signal stroboscopique de l'IC AS-interface (DSTB, cf. [3]), le générateur de code détermine la valeur suivante de la série et la met à disposition. La valeur transmise est ensuite comparée avec la valeur attendue dans le moniteur de sécurité, et en cas de différence, le système est coupé en toute sécurité. Schéma fonctionnel d'un esclave sûr TNT 35/7-24V Capteurs Générateur/ Séparation sûre Connexion AS-i esclave standard Situation : 10/2006 Figure 12.8 : Schéma fonctionnel d'un esclave de sécurité avec composant de sécurité à deux voies Le moniteur connaît la valeur attendue, elle lui a été configurée lors de l'auto-apprentissage réalisé pendant la mise en service (voir chapitre 12.6). Manuel d'utilisation du moniteur de sécurité AS-interface 55 Des systèmes de bus sûrs grâce à l'AS-interface Cette procédure est répétée en permanence. Si le composant de sécurité commute dans l'état non validé, la valeur (0,0,0,0) statique est immédiatement transmise, ce qui provoque directement la coupure. Un esclave de sécurité doit être monté de façon à garantir que, dans l'état non validé, la sortie du générateur de code soit séparée sûrement de l'entrée de l'IC AS-interface esclave si bien que la valeur (0,0,0,0), ou tout au moins une valeur statique, est appliquée à l'IC AS-interface. Le cas particulier des modules de couplage de sécurité utilisés pour la liaison de composants de sécurité conventionnels à l'AS-interface a été pris en compte. Dans ce cas, l'esclave de sécurité se trouve dans le module de couplage. Comme la liaison des composants conventionnels doit être réalisée sur deux voies dans la catégorie de sécurité correspondante, toute erreur statique sur une voie doit être sûrement reconnue, ainsi par exemple en cas de soudage de contacts ou de court-circuit. Si, comme représenté sur le Schéma fonctionnel d'un esclave de sécurité avec composant de sécurité à deux voies, suite à la séparation sûre du générateur de code et de l'IC AS-interface, deux bits par voie sont séparés, alors la coupure se fera par seulement deux des quatre bits utilisés (cas du soudage de contacts par exemple). Le moniteur de sécurité qui interprète les valeurs transmises reconnaît la situation, il coupe en toute sécurité et peut bloquer le redémarrage de l'installation. En plus des exigences à respecter pour le montage des esclaves de sécurité, le taux d'erreurs résiduelles imposé doit être garanti pour les erreurs décrites ci-dessous : 1. Démarrage défectueux : Suite à une erreur de transmission, à des incidents, etc., la transition de l'état non validé à l'état validé ne doit avoir lieu à aucun moment. 2. Coupure n'ayant pas lieu : La transition de l'état validé à l'état non validé doit avoir lieu dans le temps de réaction maximal imposé, et ce, même si des erreurs de transmission, des incidents ou toute autre influence extérieure intervient pendant la procédure de commutation. 12.4 Mesures contre les erreurs de transmission AS-interface a été conçu et développé pour être utilisé au niveau de l'automation industrielle ; les exigences écologiques correspondantes ont donc été prises en compte. On a voulu développer un système permettant la transmission de l'énergie et des informations sur un câble plat à deux fils non torsadé pour un environnement industriel aux champs électromagnétiques importants. Cette spécification a été résolue avec un système structuré de façon symétrique conséquente. On a constaté que la réjection en mode commun résultant dans le système structuré de façon symétrique apporte l'immunité aux parasites imposée, si bien qu'il est même possible d'obtenir dans un réseau structuré en bonne et due forme des résultats qui dépassent l'immunité aux parasites d'installations conventionnelles. Une condition en est aussi l'isolation sûre selon PELV dans le bloc d'alimentation. Pour éviter les erreurs de transmission, toutes les conditions importantes en matière de CEM ont été 56 Manuel d'utilisation du moniteur de sécurité AS-interface Situation : 10/2006 Comme déjà expliqué, la transmission des données utiles de sécurité est basée sur celle du système standard. Pour cette raison, la première étape consiste à observer les mécanismes du système standard et leurs éventuelles erreurs de transmission. Nous distinguerons ici les mesures de suppression des influences perturbatrices de celles de détection des erreurs qui sont dues à des incidents. Des systèmes de bus sûrs grâce à l'AS-interface posées pour la spécification AS-interface en s'appuyant sur CEI 61000 [6]. Des vérifications détaillées de modèle-type que l'AS-International Association doit réaliser pour la certification de tout produit garantissent la conformité aux spécifications. Pour la transmission d'informations exposée dans le détail dans [3], on utilise un codage Manchester. Ce dernier contient des caractéristiques essentielles pour la détection d'erreurs. Les principaux mécanismes de détection d'erreurs sont : • • • • Contrôle de la parité dans l'appel du maître et la réponse de l'esclave Règle d'alternance lors du codage Surveillance de la longueur des télégrammes Surveillance des pauses Finalement, le système en fonctionnement depuis des années est maintenant éprouvé ; c'est particulièrement sa haute disponibilité qui en fait un système accepté de manière universelle. Les expériences faites montrent qu'en fonctionnement normal, les taux d'erreurs détectées mesurés sur bancs de test sont de l'ordre de moins de 10 erreurs/h. Cela correspond à une probabilité d'erreur de bit PBit < 10-7 et démontre également que la suppression des perturbations choisie y est pour beaucoup dans la grande disponibilité du système. Les mécanismes de répétition des messages en cas d'erreur qui sont implémentés dans le maître ont d'ailleurs la conséquence suivante : si on considère que les incidents sont répartis uniformément, théoriquement, le système restera disponible avec une probabilité d'erreur de bit allant jusqu'à PBit = 4,7 • 10-2 si tous les composants participant fonctionnent normalement. Le chapitre 12.5 en particulier montre que le taux d'erreurs résiduelles résultant est inférieur au seuil imposé pour SIL 3 selon CEI 61508. De plus, il est facile de montrer que les erreurs du système de transmission citées dans [5], telles que la répétition d'un message, la perte, l'insertion, l'inversion, la falsification et le retard sont maîtrisées grâce au mécanisme de dynamisation. 12.5 Recherche de la probabilité d'erreurs résiduelles La recherche du taux d'erreurs résiduelles s'appuie sur les spécifications données dans [5]. Situation : 10/2006 Selon ces spécifications, pour obtenir l'autorisation selon SIL 3 conformément à CEI 61508 [7] ou la catégorie de commande 4 selon EN 954-1 [2], il faut atteindre un taux d'erreurs résiduelles Λ < 10-9/h, c.-à-d. une seule erreur non détectée sur une durée de fonctionnement de 109 heures. Pour des systèmes disposant de sauvegarde de données qui s'intéresse uniquement à l'information comme par exemple CRC ou d'autres mesures analogues, l'observation peut s'appuyer sur des méthodes connues. Dans le cas de l'AS-interface par contre, une observation parfaitement adaptée aux mesures du système est indispensable. Les points exposés dans le chapitre 12.3 doivent être considérés comme des cas particulièrement critiques et de haute sécurité ; il est important de déterminer la probabilité de leur apparition : Manuel d'utilisation du moniteur de sécurité AS-interface 57 TNT 35/7-24V Comme le fonctionnement mixte est autorisé sur une ligne, les mêmes conditions relatives à la voie de transmission sont valables pour les fonctions normales et celles de sécurité. De par la dynamique de la transmission des informations, des mesures supplémentaires sont cependant disponibles pour la sécurité de la transmission. Ces mesures sont même suffisantes pour garantir le minimum de protection imposé en cas de défaillance de toutes les mesures de sécurité du système standard. Des systèmes de bus sûrs grâce à l'AS-interface Démarrage dangereux L'esclave de sécurité envoie une série statique de valeurs (0,0,0,0). Pourtant, suite à une erreur sur le parcours de transmission, c'est la série permettant le démarrage qui atteint le récepteur, si bien que ce dernier commute l'esclave en état validé sur l'image du processus, autorisant ainsi le mouvement dangereux. Absence de coupure Au moment où l'esclave de sécurité commence la procédure d'arrêt et où il envoie la valeur statique (0,0,0,0) au lieu de la série dynamique, la transmission est falsifiée de telle façon que le récepteur continue de recevoir une série dynamique qui semble correcte, que l'état validé reste dans l'image du processus, et que par conséquent la procédure de coupure n'a pas lieu. Taux d'erreurs de bits élevé Lors de perturbations massives couplées sur la ligne du bus, alors que les mécanismes de sécurité du système standard sont considérés comme défectueux, des erreurs de bit qui se produisent continuellement augmentent le taux d'erreurs résiduelles. Une étude détaillée a permis de prouver que les cas d'erreurs cités suffisent pour répondre aux exigences de SIL 3. Les lignes ci-dessous ne donnent qu'une explication succinte du calcul. 1. Démarrage dangereux : Considérons les erreurs pouvant apparaître pendant le démarrage. Le moniteur de sécurité fait commuter un esclave de sécurité vers l'état validé si la condition suivante est remplie : La série complète de 8 valeurs différentes par paires est passée correctement et la première valeur revient bien une deuxième fois. On a donc reçu 9 valeurs correctes d'une série. Considérons le pire des cas dans lequel à chaque fois un seul bit à un est nécessaire pour obtenir une valeur correcte de la série, alors la probabilité d'obtenir 9 valeurs correctes d'une série et donc la probabilité d'erreurs résiduelles peut être évaluée comme suit Psérie = PPER < PBit9 . Même si la probabilité d'erreur de bit est de 10-2, on peut évaluer le taux d'erreurs résiduelles Λ pour le cas du démarrage dangereux, à une fréquence de demande d'1 Hz, comme suit : Λ < 10-13/h (par message). Situation : 10/2006 (Note : ce scénario est contraire aux règles de génération des tables de code. Une telle série ne peut pas arriver, elle serait encore pire que tous les cas réels possibles, « pire que le pire des cas ».) 58 Manuel d'utilisation du moniteur de sécurité AS-interface Des systèmes de bus sûrs grâce à l'AS-interface 2. Absence de coupure : Considérons les erreurs pouvant apparaître pendant l'arrêt. Si au lieu de la série statique de (0,0,0,0) nécessaire à l'arrêt, la série dynamique continue d'être transmise, alors, dans les conditions du pire des cas, seul un bit doit être falsifié avec l'élément suivant. Les règles de génération de la table de codes imposent par contre de falsifier au moins deux bits de la valeur suivante pour obtenir une valeur correcte. Pour la troisième valeur de la série, la falsification d'un seul bit aura déjà une incidence. On pourra finalement évaluer la probabilité d'apparition d'une série correcte résultant d'erreurs comme suit : Psérie = PPER < 1/8 • PBit4. Pour un taux d'erreur de bit de PBit = 10-4 et sous une fréquence de demande d'1Hz, on obtient au total un taux d'erreurs résiduelles Λ selon [5] de : Λ < 9 • 10-10 /h 3. Taux d'erreurs de bits élevé : Selon [5], il faut prouver la probabilité d'erreur de bit qui entre dans le calcul du taux d'erreurs résiduelles ou bien considérer qu'elle vaut PBit = 10-2. Il est également admissible d'utiliser un compteur d'erreurs qui permettra de déduire du nombre d'erreurs de transmission détectées le taux d'erreurs résiduelles auquel on peut s'attendre. Le dépassement d'un certain taux d'erreurs peut alors provoquer un arrêt sûr. Comme déjà expliqué, les probabilités d'erreur de bit correspondant aux taux d'erreur de bit observés de systèmes AS-interface utilisés correctement sont de l'ordre de PBit < 10-7. Ainsi, la probabilité d'erreur de bit supposée pour le calcul du taux d'erreurs résiduelles à 10-4 dépasse le taux observé sur des systèmes utilisés correctement d'un facteur 1000. Pour le calcul du taux d'erreurs résiduelles, on considère que tous les mécanismes de protection du système standard, et en particulier le contrôleur de code de l'IC esclave AS-interface et du maître, ne fonctionnent pas. Dans ces conditions, chaque erreur est envoyée au niveau de protection supérieur du moniteur de sécurité. Situation : 10/2006 Ces erreurs y seront très probablement reconnues puisque le moniteur de sécurité connaît déjà la plupart des bits transmis à l'avance et que le message reçu ne correspond pas au message attendu. Ceci est valable pour les valeurs de la série transmise par l'esclave, ainsi que pour l'adresse de l'esclave transmise par le maître puisque le moniteur de sécurité surveille en permanence aussi bien la série que l'ordre croissant des adresses des appels du maître. On peut finalement montrer que, grâce à la surveillance de sécurité dans le moniteur de sécurité, les taux d'erreurs de bits utilisés pour le calcul du taux d'erreurs résiduelles mènent en peu de temps à une erreur détectée, provoquant une coupure (cf. tableau 12.1) : Manuel d'utilisation du moniteur de sécurité AS-interface 59 TNT 35/7-24V Le principe de surveillance des erreurs utilisé dans le cas de l'AS-interface est décrit brièvement cidessous : Des systèmes de bus sûrs grâce à l'AS-interface PBit 10-4 Temps de coupure 1s 10-2 10ms Tableau 12.1 :Temps de coupure et probabilité d'erreur de bit Cela signifie que pour un taux d'erreurs de bits de 10-4, ou 10-2, il y a une coupure toutes les secondes, respectivement toutes les 10ms, ce qui n'est pas acceptable dans la pratique. On peut donc partir du principe que AS-interface ne sera utilisé qu'avec des taux d'erreurs de bits inférieurs à 10-7. Ceci correspond à une coupure toutes les 1000s. 12.6 Mise en service, réparation Si on compare avec la mise en route d'un système AS-interface standard (décrite dans [3]), seules quelques étapes supplémentaires sont nécessaires. Respecter la procédure suivante : • • • • • • • • • • Montage du système et de tous les composants participants En option : configuration du maître via l'hôte non sécuritaire (le plus souvent un automate). Configuration de la partie de sécurité par configuration du moniteur de sécurité. Distribution des adresses esclave AS-interface aux composants normaux et aux composants de sécurité. Mise en route de l'alimentation en tension Configuration du maître à l'aide de la fonction « Configurer la configuration réelle » (si ce n'est pas déjà fait via l'hôte). Une fois en fonctionnement AS-interface normal : auto-apprentissage des tables de codes des composants de sécurité. Condition : tous les esclaves doivent se trouver dans l'état validé. (ex. : l'arrêt d'urgence ne doit pas être actionné) Test et documentation de toutes les fonctions de sécurité par le personnel responsable. Validation du fonctionnement de l'installation. 1. 2. 60 Défaillance d'un esclave de sécurité En général, dans ce cas, on remplacera le composant concerné. Comme il n'est pas permis d'utiliser deux fois la même table de codes pour les composants de sécurité, il reste à supposer que la table de codes justement contenue dans le composant de remplacement ne correspond pas à celle de l'esclave défectueux. Après remplacement et affectation de l'adresse AS-interface, il faudra donc réintroduire la table de codes de l'esclave en renouvelant la procédure d'auto-apprentissage. Puis, s'il n'y a pas d'autre erreur, l'installation peut être remise en service. Défaillance du moniteur de sécurité En cas de défaillance du moniteur de sécurité, le composant de remplacement doit impérativement être configuré exactement comme le composant d'origine. Deux mécanismes le permettent : • Réitération du chargement de la configuration de l'ordinateur de configuration vers le nouveau composant • Transmission directe de la configuration depuis l'appareil défectueux si la mémoire de configuration qui est particulièrement protégée n'est pas concernée par le défaut. Manuel d'utilisation du moniteur de sécurité AS-interface Situation : 10/2006 Si l'installation devait présenter des dysfonctionnements ou des pannes, il faudra principalement pouvoir maîtriser les situations suivantes en plus des cas d'erreurs connus du système standard : Des systèmes de bus sûrs grâce à l'AS-interface 12.7 Disponibilité La disponibilité des fonctions de sécurité du système de bus utilisé en mode mixte est identique à celle du système standard. Comme déjà dit, le grand nombre des systèmes installés depuis des années a depuis le temps prouvé que la grande résistance de l'AS-interface aux influences perturbatrices obtenue en laboratoire apporte une disponibilité qui suffit aux exigences de l'automation industrielle. 12.8 Fabricant Au départ, une équipe de l'AS-International Association voulait travailler à développer un concept pour l'extension de sécurité du système standard. Ce concept contient tous les mécanismes de transmission et sert de base pour tous les développements de produits, si bien que le système est ouvert aux produits les plus variés de différents fabricants et que l'interopérabilité de tous les produits est garantie. Les firmes intéressées se sont réunies pour activer le développement des premiers produits. En particulier, le développement du moniteur de sécurité, seul composant nécessaire en plus, a été réalisé par un consortium dont font partie les sociétés suivantes : Bihl+Wiedemann, EJA, Euchner, Festo, Idec, ifm, Leuze, Omron, Pepperl+Fuchs, Pilz, Schmersal, Schneider electric, Sick et Siemens Pour la certification des composants de sécurité sur la ligne AS-interface, deux points sont fondamentaux : • Certification en vue de la catégorie de commande requise conformément à EN 954-1 par un institut notifié comme par exemple le TÜV ou la BIA. Situation : 10/2006 • Certification conformément à CEI 61508 par un institut notifié comme par exemple le TÜV ou la BIA. Manuel d'utilisation du moniteur de sécurité AS-interface 61 TNT 35/7-24V • l'interopérabilité avec d'autres produits AS-interface doit être certifiée par l'AS-International Association. Des systèmes de bus sûrs grâce à l'AS-interface Bibliographie [1] DIN EN 50295, Niederspannungsschaltgeräte - Steuerungs- und Geräte-Interface-Systeme - Aktuator Sensor Interface (AS-interface); Deutsche Fassung EN 50295: 1999-10 Low-voltage switchgear and controlgear - Controller and device interface systems - Actuator Sensor Interface (AS-interface); German version EN 50295: 1999-10 Appareillage électrique à basse tension - Interface commande et appareil - interface actionneur-capteur (AS-interface) ; Version allemande EN 50295 : 1999-10 [2] DIN EN 954-1, Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1: Allgemeine Gestaltungsleitsätze; Deutsche Fassung EN 954-1: 1997-03 Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design; German version EN 954-1: 1997-03 Sécurité des machines - Pièces de sécurité des commandes - 1ère partie : Principes généraux de conception ; Version allemande EN 954-1 : 1997-03 [3] Kriesel, Werner R.; Madelung, Otto W. (édit.): AS-Interface. Das Aktuator-Sensor-Interface für die Automation. L'interface actionneur-capteur pour l'automation. Auflage, Carl Hanser Verlag; München, Wien, 1999, ISBN 3-446-21064-4 Édité par Carl Hanser Verlag; Munich, Vienne, 1999, ISBN 3-446-21064-4 [4] Spezifikation des AS-Interface, ComSpec V2.1. Spécification de l'AS-Interface, ComSpec V2.1. AS-International Association (disponible auprès de l'AS-International Association, http://www.as-interface.net). [5] Vorschlag eines Grundsatzes für die Prüfung und Zertifizierung von "Bussystemen für die Übertragung sicherheitsrelevanter Nachrichten", Stand 29.2.2000. Proposition de principe pour la vérification et la certification de « systèmes à bus pour la transmision d'informations de haute sécurité », Situation 29.2.2000. [6] DIN EN 61000 in mehreren Teilen, Elektromagnetische Verträglichkeit (EMV). DIN EN 61000, différentes parties, compatibilité électromagnétique (CEM). [7] IEC 61508 1-7, Functional safety of electrical/electronic/programmable electronic safetyrelated systems, 2000-05. [8] AS-Interface - Die Lösung in der Automation, Ein Kompendium über Technik, Funktion, Applikation AS-Interface - La solution pour l'automation, Un abrégé de technique, fonction, application (disponible, également en anglais, auprès de l'AS-International Association, http://www.as-interface.net). 62 Manuel d'utilisation du moniteur de sécurité AS-interface Situation : 10/2006 12.9 2FR/149/02 ASISMONDOC 10/2006 95471 12-FR Printed in Germany ">
Public link updated
The public link to your chat has been updated.