S7 Distributed Safety Configuration et programmation

SIMATIC S7 Distributed Safety Configuration et programmation

__________________________________________________________________________________________________

______________

____________________________

__________________________________________

Avant-propos

Présentation du produit 1

Configuration 2

Protection de l'accès 3

Programmation 4

Accès à la périphérie F 5

Réalisation d'un acquittement utilisateur

6Echange de données entre les programmes utilisateurs standard et le programme de sécurité

7

Configuration et programmation de la communication

8

Bibliothèques F 9

Génération et mise en service du programme de sécurité

10

Inspection de l'installation 11

Exploitation et maintenance 12

Liste de contrôle A

SIMATIC

S7 Distributed Safety Configuration et programmation

Manuel de programmation et d'utilisation

10/2007 A5E00109538-04

Consignes de sécurité Consignes de sécurité Ce manuel donne des consignes que vous devez respecter pour votre propre sécurité et pour éviter des dommages matériels. Les avertissements servant à votre sécurité personnelle sont accompagnés d'un triangle de danger, les avertissements concernant uniquement des dommages matériels sont dépourvus de ce triangle. Les avertissements sont représentés ci-après par ordre décroissant de niveau de risque.

DANGER signifie que la non-application des mesures de sécurité appropriées entraîne la mort ou des blessures graves.

ATTENTION signifie que la non-application des mesures de sécurité appropriées peut entraîner la mort ou des blessures graves.

PRUDENCE accompagné d’un triangle de danger, signifie que la non-application des mesures de sécurité appropriées peut entraîner des blessures légères.

PRUDENCE non accompagné d’un triangle de danger, signifie que la non-application des mesures de sécurité appropriées peut entraîner un dommage matériel.

IMPORTANT signifie que le non-respect de l'avertissement correspondant peut entraîner l'apparition d'un événement ou d'un état indésirable.

En présence de plusieurs niveaux de risque, c'est toujours l'avertissement correspondant au niveau le plus élevé qui est reproduit. Si un avertissement avec triangle de danger prévient des risques de dommages corporels, le même avertissement peut aussi contenir un avis de mise en garde contre des dommages matériels.

Personnes qualifiées L'installation et l'exploitation de l'appareil/du système concerné ne sont autorisées qu'en liaison avec la présente documentation. La mise en service et l'exploitation d'un appareil/système ne doivent être effectuées que par des personnes qualifiées. Au sens des consignes de sécurité figurant dans cette documentation, les personnes qualifiées sont des personnes qui sont habilitées à mettre en service, à mettre à la terre et à identifier des appareils, systèmes et circuits en conformité avec les normes de sécurité.

Utilisation conforme à la destination Tenez compte des points suivants:

ATTENTION L'appareil/le système ne doit être utilisé que pour les applications spécifiées dans le catalogue ou dans la description technique, et uniquement en liaison avec des appareils et composants recommandés ou agréés par Siemens s'ils ne sont pas de Siemens. Le fonctionnement correct et sûr du produit implique son transport, stockage, montage et mise en service selon les règles de l'art ainsi qu'une utilisation et maintenance soigneuses.

Marques de fabrique Toutes les désignations repérées par ® sont des marques déposées de Siemens AG. Les autres désignations dans ce document peuvent être des marques dont l'utilisation par des tiers à leurs propres fins peut enfreindre les droits de leurs propriétaires respectifs.

Exclusion de responsabilité Nous avons vérifié la conformité du contenu du présent document avec le matériel et le logiciel qui y sont décrits. Ne pouvant toutefois exclure toute divergence, nous ne pouvons pas nous porter garants de la conformité intégrale. Si l'usage de ce manuel devait révéler des erreurs, nous en tiendrons compte et apporterons les corrections nécessaires dès la prochaine édition.

Siemens AG Automation and Drives Postfach 48 48 90327 NÜRNBERG ALLEMAGNE

Ordernumber: A5E00109538-04 Ⓟ 10/2007

Copyright © Siemens AG 2005. Sous réserve de modifications techniques

Configuration et programmation Manuel de programmation et d'utilisation, 10/2007, A5E00109538-04 3

Avant-propos

Avant-propos

Objet de la documentation Les informations contenues dans la présente documentation vous permettent de configurer et de programmer des systèmes de sécurité S7 Distributed Safety.

Connaissances de base requises Des connaissances générales dans le domaine de l'automatisation sont nécessaires à la compréhension de la présente documentation. En outre, vous avez besoin des connaissances de base dans les domaines suivants: ● systèmes d'automatisation de sécurité ● systèmes d'automatisation S7-300/S7-400 ● systèmes de périphérie décentralisée sur le PROFIBUS DP/PROFINET IO ● logiciel de base STEP 7, en particulier:

– utilisation du SIMATIC Manager – langages de programmation CONT et LOG – configuration matérielle avec HW Config – communication entre CPU

Domaine de validité de la documentation La présente documentation est valable pour le logiciel optionnel suivant:

Logiciel Numéro de référence à partir de la version Logiciel optionnel S7 Distributed Safety

6ES7833-1FC02-0YA5 V5.4 SP4

Le logiciel optionnel S7 Distributed Safety sert à configurer et à programmer le système de sécurité S7 Distributed Safety. Dans ce contexte, on considérera en outre l'intégration de la périphérie de sécurité suivante dans S7 Distributed Safety : ● modules de sécurité ET 200S ● modules de périphérie de sécurité ET 200eco ● modules de sécurité ET 200pro ● modules de signaux de sécurité S7-300 ● esclaves DP de sécurité normés ● IO-Normdevices de sécurité

Avant-propos

Configuration et programmation 4 Manuel de programmation et d'utilisation, 10/2007, A5E00109538-04

Modifications par rapport aux versions précédentes Par rapport aux versions précédentes, la présente documentation contient les modifications/compléments suivants : ● Les contenus de l'information produit de S7 Distributed Safety V5.4 SP1 et SP3, édition

01/2007 ont été intégrés dans ce manuel. ● Description des nouveautés importantes suivantes dans S7 Distributed Safety, V5.4 SP4

: – l'installation du logiciel optionnel S7 Distributed Safety est possible sous Windows

Vista – Prise en charge du module de signaux de sécurité SM 336; AI F 6 x 0/4 ... 20 mA

HART – Prise en charge du paramètres de la CPU F "Mode compatibilité".

Homologations S7 Distributed Safety, les modules de sécurité ET 200S et ET 200eco, ET 200pro ainsi que les modules de signaux de sécurité S7-300 sont homologués pour l'utilisation en mode de sécurité jusqu'à : ● la classe de sécurité SIL3 (Safety Integrity Level) selon la norme CEI 61508 ● la catégorie 4 selon la norme EN 954-1

Avant-propos


Vue d'ensemble de la documentation Selon l'application, vous aurez besoin des documentations supplémentaires suivantes pour travailler avec S7 Distributed Safety. En certains endroits du présent manuel, il est fait référence à ces documentations.

Documentation Résumé du contenu Manuel système Technologie de sécurité dans SIMATICS7

• fournit des connaissances de base sur la mise en œuvre, la configuration et le fonctionnement des systèmes d'automatisation de sécurité S7 Distributed Safety et S7 F/FH Systems

• fournit des informations techniques détaillées regroupées pour les systèmes F S7 Distributed Safety et S7 F/FH Systems

• contient les calculs des temps de surveillance et des temps de réaction pour les systèmes de sécurité S7 Distributed Safety et S7 F/FH Systems

pour le système S7 Distributed Safety En fonction de la CPU F mise en œuvre, vous avez besoin des documentations suivantes : • Les instructions de service S7-300, CPU 31xC et CPU 31x : Installation et

configuration décrit le montage et le câblage de systèmes S7 300. • Le manuel CPU 31xC et CPU 31x : Caractéristiques techniques décrit les

CPU 315-2 DP et PN/DP, la CPU 317-2 DP et PN/DP ainsi que la CPU 319-3 PN/DP.

• Le manuel de mise en œuvre Système d'automatisation S7-400, Installation et configuration décrit le montage et le câblage des systèmes S7-400.

• Le manuel de référence Système d'automatisation S7-400, Caractéristiques des CPU décrit la CPU 416-2 et la CPU 416-3 PN/DP.

• Le manuel ET 200S, Module d'interface IM 151-7 CPU décrit l'IM 151-7 CPU.

• Chaque CPU F utilisée possède sa propre information produit. Les informations produit décrivent uniquement les points qui divergent des CPU standard correspondantes.

Manuel Périphérie décentralisée ET 200eco, module de périphérie de sécurité

décrit le matériel des modules de périphérie de sécurité ET 200eco (en particulier le montage, le câblage et les caractéristiques techniques)

Instructions de service Système de périphérie décentralisé ET 200S, Modules de sécurité

décrit le matériel des modules de sécurité dans l'ET 200S (en particulier le montage, le câblage et les caractéristiques techniques)

Manuel Automation System S7-300, Fail-Safe Signal Modules

décrit le matériel des modules de signaux de sécurité dans le S7-300 (en particulier le montage, le câblage et les caractéristiques techniques)

Instructions de service Système de périphérie décentralisée ET 200pro, Modules de sécurité

décrit le matériel des modules de sécurité dans l'ET 200pro (en particulier le montage, le câblage et les caractéristiques techniques)

Avant-propos


Documentation Résumé du contenu Manuels STEP 7 • Le manuel Configuration matérielle et communication dans STEP 7 V5.x

décrit l'utilisation des utilitaires standard correspondants de STEP7. • Le manuel de référence CONT pour S7-300/400 décrit le langage de

programmation standard CONT dans STEP7. • Le manuel de référence LOG pour S7-300/400 décrit le langage de

programmation standard LOG dans STEP7. • Le manuel de référence Logiciel système pour S7-300/400 Fonctions

système et fonctions standard décrit les fonctions d'accès/de diagnostic de la périphérie décentralisée/CPU.

• Le manuel Programmer avec STEP 7 V5.x fournit un aperçu de la programmation avec STEP 7 (p. ex. installation, mise en service, marche à suivre pour la création de programmes et éléments du programme utilisateur).

Aide en ligne de STEP 7 • décrit l'utilisation des outils standard de STEP 7 • contient des informations sur la configuration et le paramétrage de

modules et d'esclaves I avec HW Config • contient la description des langages de programmation LOG et CONT

L'ensemble de la documentation SIMATIC S7 est disponible sur CD-ROM.

Organisation de la documentation La présente documentation décrit l'utilisation du logiciel optionnel S7 Distributed Safety. Elle se compose de chapitres introductifs et de chapitres de référence (description des blocs de sécurité de la bibliothèque). La documentation traite des rubriques suivantes : ● configuration de S7 Distributed Safety ● droits d'accès pour S7 Distributed Safety ● programmation du programme de sécurité (programme utilisateur sécurisé) ● communication sécurisée ● bibliothèques F ● assistance pour la réception l'installation ● exploitation et maintenance de S7 Distributed Safety.

Avant-propos


Conventions Dans la présente documentation, les concepts "technologie de sécurité" et "technologie F" sont synonymes. Il en va de même pour "de sécurité" et "F" (par ex. bloc de sécurité et bloc F). "S7 Distributed Safety" écrit en italique désigne le logiciel optionnel pour le système de sécurité "S7 Distributed Safety". "Programme de sécurité" désigne la partie du programme utilisateur conditionnant la sécurité et est employée au lieu de "programme utilisateur de sécurité" ou "programme F", etc. Pour faire la distinction, le programme utilisateur non sécurisé est désigné comme "programme utilisateur standard". Tous les blocs de sécurité sont représentés sur fond jaune dans l'interface utilisateur STEP 7 (par ex. dans le SIMATIC Manager) pour les distinguer des blocs du programme utilisateur standard .

Assistance supplémentaire Pour toutes questions concernant l'utilisation des produits décrits dans le manuel, pour lesquelles vous n'avez pas trouvé de réponse, veuillez vous adresser à votre interlocuteur à l'agence Siemens. Vous trouverez votre interlocuteur sous : http://www.siemens.com/automation/partner Le guide concernant l'offre de documentations techniques pour les différents produits et systèmes SIMATIC se trouve sous : http://www.automation.siemens.com/simatic/portal/html_77/techdoku.htm

Centre de formation Siemens propose des formations destinées spécifiquement aux personnes souhaitant se familiariser avec le système d'automatisation S7. Pour tout renseignement, veuillez vous adresser à votre centre de formation régional ou au centre de formation central à Nürnberg (code postal : D-90327). Tél. : +49 (911) 895–3200 http://www.sitrain.com

H/F Competence Center Le centre H/F Competence Center de Nuremberg propose des stages de formation spéciaux sur les systèmes d'automatisation de sécurité et à disponibilité élevée SIMATIC S7. Ce centre vous fournit également une assistance sur site pour la configuration, la mise en route et la résolution de problèmes. Tél. : +49 (911) 895-4759 Fax : +49 (911) 895-5193 Questions relatives aux stages de formation etc. : [email protected]

http://www.siemens.com/automation/partner

http://www.automation.siemens.com/simatic/portal/html_77/techdoku.htm

http://www.sitrain.com

mailto:[email protected]

Avant-propos


Support technique Vous accédez au Technical Support pour tous les produits A&D ● via le formulaire Web pour le Support Request

http://www.siemens.com/automation/support-request ● Tél. : + 49 180 5050 222 ● Fax : + 49 180 5050 223 Pour plus d'informations sur notre Technical Support, visitez le site Internet http://www.siemens.de/automation/service

Service & support via l'Internet En complément de nos documentations, nous vous proposons toutes nos informations en direct via l'Internet. http://www.siemens.com/automation/service&support Vous y trouverez : ● le bulletin d'information (Newsletter) qui vous informe sur l'actualité des produits

SIMATIC, ● les documents dont vous avez besoin, grâce à la recherche dans Service & Support, ● un forum international d'échange pour utilisateurs et spécialistes, ● votre interlocuteur sur site pour Automation & Drives, ● des informations concernant la maintenance sur site, les réparations, les pièces de

rechange. De nombreuses informations supplémentaires sont données dans la rubrique "Services".

Remarque importante pour l'obtention de la sécurité de fonctionnement de votre installation

Remarque Pour les installations destinées à la sécurité, les utilisateurs doivent prendre des mesures particulières concernant la sécurité de fonctionnement. Le fournisseur est lui aussi tenu de respecter des mesures particulières en ce qui concerne la veille technologique. C'est la raison pour laquelle, un bulletin d'information spécial vous informe des développements et des caractéristiques des produits qui sont ou pourraient être importants pour l'aspect sécurité du fonctionnement des installations. Vous devez donc vous abonner à la Newsletter correspondante pour être toujours informé et pouvoir, si nécessaire, procéder à des modifications de votre installation. Pour ce faire, allez sur Internet à la page : http://my.ad.siemens.de/myAnD/guiThemes2select.asp?subjectID=2&lang=en et vous abonner aux bulletins d'information suivants : • SIMATIC S7-300 / S7-300F • SIMATIC S7-400 / S7-400H / S7-400F/FH • Périphérie décentralisée • SIMATIC Industrie Software Cochez la case "Actualité" pour chacun de ces bulletins d'information.

http://support.automation.siemens.com/WW/llisapi.dll?aktprim=99&lang=fr&referer=%2fWW%2f&func=cslib.csinfo2&siteid=csius&extranet=standard

http://www.siemens.com/automation/service&support

http://www.automation.siemens.com/WW/newsletter/guiThemes2Select.aspx?subjectID=2

http://www.siemens.com/automation/support-request


Sommaire Avant-propos ............................................................................................................................................. 3 1 Présentation du produit............................................................................................................................ 13

1.1 Présentation.................................................................................................................................13 1.2 Constituants matériels et logiciels ...............................................................................................14 1.3 Installation/Désinstallation du logiciel optionnel S7 Distributed Safety V5.4 SP4 .......................17

2 Configuration ........................................................................................................................................... 23 2.1 Vue d'ensemble de la configuration.............................................................................................23 2.2 Particularités de la configuration du système F...........................................................................25 2.3 Configuration de la CPU F ...........................................................................................................26 2.4 Configuration de la périphérie F...................................................................................................36 2.5 Configuration d'esclaves DP de sécurité normalisés et de IO-Normdevice de sécurité .............39 2.6 Attribution de noms symboliques.................................................................................................44

3 Protection de l'accès................................................................................................................................ 47 3.1 Vue d'ensemble des droits d'accès..............................................................................................47 3.2 Droit d'accès au programme de sécurité .....................................................................................49 3.3 Accès en lecture sans mot de passe pour le programme de sécurité.........................................51 3.4 Droit d'accès à la CPU F..............................................................................................................53

4 Programmation ........................................................................................................................................ 55 4.1 Vue d'ensemble de la programmation .........................................................................................55 4.1.1 Vue d'ensemble de la programmation .........................................................................................55 4.1.2 Structure du programme de sécurité dans S7 Distributed Safety ...............................................57 4.1.3 Blocs F .........................................................................................................................................59 4.1.4 Différences entres les langages de programmation LOG F/CONT F et les langages

standard LOG/CONT ...................................................................................................................61 4.2 Création d'un programme de sécurité..........................................................................................73 4.2.1 Principe de création du programme de sécurité ..........................................................................73 4.2.2 Définition de la structure du programme......................................................................................74 4.3 Création de blocs F dans LOG F/CONT F...................................................................................76 4.3.1 Création de blocs F dans LOG F/CONT F...................................................................................76 4.3.2 Création et édition de FB F/FC F.................................................................................................77 4.3.3 Création et édition de DB F..........................................................................................................79 4.3.4 Protection contre le piratage des FB F et FC F et DB F créés par l'utilisateur............................81 4.3.5 Fonction "Vérification de la cohérence des blocs" pour FB F, FC F et DB F créés par

l'utilisateur ....................................................................................................................................84 4.3.6 Fonction "Compiler et charger les objets"....................................................................................84 4.3.7 Fonction "Sauvegarder en lecture seule" pour FB F, FC F et DB F créés par l'utilisateur..........84 4.3.8 Fonction "Réassignation" pour FB F et FC F...............................................................................85

Sommaire


4.4 Définition des groupes d'exécution F.......................................................................................... 86 4.4.1 Règles pour les groupes d'exécution F du programme de sécurité ........................................... 86 4.4.2 Marche à suivre pour la définition d'un groupe d'exécution F..................................................... 87 4.4.3 Communication sécurisée entre des groupes d'exécution F d'un programme de sécurité ........ 90 4.4.4 Suppression de groupes d'exécution F....................................................................................... 93 4.4.5 Modification de groupes d'exécution F ....................................................................................... 93 4.5 Programmation d'une protection contre le démarrage................................................................ 94

5 Accès à la périphérie F ............................................................................................................................ 95 5.1 Accès à la périphérie F ............................................................................................................... 95 5.2 Valeurs de processus ou de remplacement................................................................................ 97 5.3 DB de périphérie F ...................................................................................................................... 98 5.4 Accès aux variables du DB de périphérie F.............................................................................. 105 5.5 Passivation et réintégration de la périphérie F après démarrage du système F ...................... 106 5.6 Passivation et réintégration de la périphérie F après des erreurs de communication.............. 108 5.7 Passivation et réintégration de la périphérie F après des erreurs de périphérie F/voie ........... 110 5.8 Passivation groupée.................................................................................................................. 114

6 Réalisation d'un acquittement utilisateur................................................................................................ 117 6.1 Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un

maître DP ou d'un IO-Controller................................................................................................ 117 6.2 Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un

esclave I .................................................................................................................................... 120 7 Echange de données entre les programmes utilisateurs standard et le programme de sécurité ........... 123

7.1 Transfert de données du programme de sécurité au programme utilisateur standard ............ 123 7.2 Transfert de données du programme utilisateur standard au programme de sécurité ............ 125

8 Configuration et programmation de la communication........................................................................... 127 8.1 Vue d'ensemble de la communication sécurisée...................................................................... 127 8.2 Communication sécurisée maître-maître .................................................................................. 130 8.2.1 Configuration des zones d'adresses (communication sécurisée maître-maître) ...................... 130 8.2.2 Configuration de la communication sécurisée maître-maître ................................................... 131 8.2.3 Communication avec F_SENDDP et F_RCVDP (communication sécurisée maître-maître).... 134 8.2.4 Programmation de la communication sécurisée maître-maître ................................................ 135 8.2.5 Limites pour la transmission des données (communication sécurisée maître-maître)............. 139 8.3 Communication sécurisée maître-esclave I .............................................................................. 140 8.3.1 Configuration des zones d'adresses (communication sécurisée maître-esclave I) .................. 140 8.3.2 Configuration de la communication sécurisée maître-esclave I ............................................... 142 8.3.3 Communication avec F_SENDDP et F_RCVDP (communication sécurisée maître-esclave

I/esclave I-esclave I) ................................................................................................................. 145 8.3.4 Programmation de la communication sécurisée maître-esclave I/ esclave I-esclave I ............ 147 8.3.5 Limites pour la transmission des données (communication sécurisée maître-esclave

I/esclave I-esclave I) ................................................................................................................. 149 8.4 Communication sécurisée esclave I-esclave I .......................................................................... 150 8.4.1 Configuration des zones d'adresses (communication sécurisée esclave I-esclave I) .............. 150 8.4.2 Configuration de la communication sécurisée esclave I-esclave I ........................................... 152 8.4.3 Communication avec F_SENDDP et F_RCVDP (communication sécurisée esclave I-

esclave I) ................................................................................................................................... 155 8.4.4 Programmation de la communication sécurisée esclave I-esclave I ........................................ 155 8.4.5 Limites pour la transmission des données (communication sécurisée esclave I-esclave I)..... 155

Sommaire


8.5 Communication sécurisée esclave I-esclave.............................................................................156 8.5.1 Configuration des zones d'adresses (communication sécurisée esclave I-esclave).................156 8.5.2 Configuration de la communication sécurisée esclave I-esclave ..............................................159 8.5.3 Accès à la périphérie F pour la communication sécurisée esclave I-esclave ...........................163 8.5.4 Limites pour la transmission des données (communication sécurisée esclave I-esclave) .......164 8.6 Communication sécurisée IO Controller-IO Controller ..............................................................165 8.7 Communication sécurisée via des liaisons S7...........................................................................166 8.7.1 Configuration de la communication sécurisée via des liaisons S7............................................166 8.7.2 Communication avec F_SENDS7 et F_RCVS7 et DB de communication F .............................167 8.7.3 Programmation de la communication sécurisée CPU-CPU via des liaisons S7 .......................168 8.7.4 Limites pour la transmission des données (communication sécurisée via liaisons S7) ............172 8.8 Communication sécurisée entre S7 Distributed Safety et S7 F Systems..................................173

9 Bibliothèques F...................................................................................................................................... 175 9.1 La bibliothèque F Distributed Safety (V1) ..................................................................................175 9.1.1 Présentation de la bibliothèque F Distributed Safety (V1).........................................................175 9.1.2 Blocs d'application F ..................................................................................................................176 9.1.2.1 Présentation des blocs d'application de sécurité.......................................................................176 9.1.2.2 FB 179 "F_SCA_I" : Mise à l'échelle des valeurs du type INT...................................................179 9.1.2.3 FB 181 "F_CTU" : Comptage.....................................................................................................180 9.1.2.4 FB 182 "F_CTD" : Décomptage .................................................................................................181 9.1.2.5 FB 183 "F_CTUD" : Comptage et décomptage .........................................................................182 9.1.2.6 FB 184 "F_TP" : Création d'une impulsion.................................................................................183 9.1.2.7 FB 185 "F_TON" : Création d'un retard à la montée .................................................................185 9.1.2.8 FB 186 "F_TOF" : Création d'un retard à la retombée...............................................................187 9.1.2.9 FB 187 "F_ACK_OP" : Acquittement de sécurité.......................................................................189 9.1.2.10 FB 188 "F_2HAND" : Surveillance de commande bimanuelle ..................................................191 9.1.2.11 FB 189 "F_MUTING" : Inhibition ................................................................................................193 9.1.2.12 FB 190 "F_1oo2DI" : Exploitation 1oo2 (1de2) avec analyse de discordance ..........................201 9.1.2.13 FB 211 "F_2H_EN" : Surveillance de commande bimanuelle avec validation ..........................205 9.1.2.14 FB 212 "F_MUT_P" : Inhibition parallèle....................................................................................207 9.1.2.15 FB 215 "F_ESTOP1" : Arrêt d'urgence jusqu'à la catégorie 1...................................................217 9.1.2.16 FB 216 "F_FDBACK" : Surveillance de boucles de retour ........................................................220 9.1.2.17 FB 217 "F_SFDOOR" : Surveillance de la porte de protection..................................................224 9.1.2.18 FB 219 "F_ACK_GL" : Acquittement global de toutes les périphéries F d'un groupe

d'exécution F..............................................................................................................................228 9.1.2.19 FB 223 "F_SENDDP" et FB 224 "F_RCVDP" : émission et réception de données via

PROFIBUS DP...........................................................................................................................229 9.1.2.20 FB 225 "F_SENDS7" et FB 226 "F_RCVS7" : Communication via liaisons S7.........................235 9.1.2.21 FC 174 "F_SHL_W" : Décalage vers la gauche de 16 bits ........................................................243 9.1.2.22 FC 175 "F_SHR_W" : Décalage vers la droite de 16 bits ..........................................................244 9.1.2.23 FC 176 "F_BO_W" : Conversion de 16 données de type BOOL en donnée de type WORD....245 9.1.2.24 FC 177 "F_W_BO" : Conversion d'une données de type WORD en 16 données de type

BOOL .........................................................................................................................................245 9.1.2.25 FC 178 "F_INT_WR" : Ecriture indirecte du type de données INT dans un DB F .....................246 9.1.2.26 FC 179 "F_INT_RD" : lecture indirecte d'une valeur de type de données INT depuis

un DB F ......................................................................................................................................248 9.1.3 Blocs système F.........................................................................................................................249 9.1.4 DB global F ................................................................................................................................250 9.1.5 Bibliothèques F personnalisées.................................................................................................251

Sommaire


10 Génération et mise en service du programme de sécurité..................................................................... 253 10.1 La boîte de dialogue "Programme de sécurité" ........................................................................ 253 10.2 Etats du programme de sécurité............................................................................................... 257 10.3 Génération du programme de sécurité ..................................................................................... 258 10.4 Chargement du programme de sécurité ................................................................................... 260 10.5 Mémoire de travail requise par le programme de sécurité ....................................................... 265 10.6 Test fonctionnel du programme de sécurité ou enregistrement par identification du

programme................................................................................................................................ 267 10.7 Modification du programme de sécurité.................................................................................... 271 10.7.1 Modification du programme de sécurité en mode RUN............................................................ 271 10.7.2 Comparaison de programmes de sécurité................................................................................ 273 10.7.3 Suppression du programme de sécurité ................................................................................... 277 10.7.4 Journal du programme de sécurité ........................................................................................... 278 10.8 Impression des données de projet............................................................................................ 279 10.8.1 Données de projet imprimées pour la configuration matérielle................................................. 281 10.8.2 Données de projet imprimées pour le programme de sécurité................................................. 282 10.9 Test du programme de sécurité ................................................................................................ 285 10.9.1 Vue d'ensemble du test du programme de sécurité ................................................................. 285 10.9.2 Désactivation du mode de sécurité........................................................................................... 286 10.9.3 Test du programme de sécurité ................................................................................................ 289

11 Inspection de l'installation ...................................................................................................................... 293 11.1 Vue d'ensemble de l'inspection de l'installation ........................................................................ 293 11.2 Vérification des impressions ..................................................................................................... 294 11.2.1 Inspection de la configuration de la CPU F et de la périphérie F ............................................. 295 11.2.2 Réception du programme de sécurité....................................................................................... 296 11.3 Vérifications après le chargement du programme de sécurité dans la CPU F......................... 298 11.4 Réception de modifications....................................................................................................... 299

12 Exploitation et maintenance................................................................................................................... 301 12.1 Remarques relatives au mode de sécurité du programme de sécurité .................................... 301 12.2 Remplacement de constituants logiciels et matériels ............................................................... 302 12.3 Guide de diagnostic .................................................................................................................. 304

A Liste de contrôle .................................................................................................................................... 307 A.1 Liste de contrôle........................................................................................................................ 307

Glossaire ............................................................................................................................................... 313 Index...................................................................................................................................................... 325


Présentation du produit 11.1 Présentation

Système de sécurité S7 Distributed Safety Pour la réalisation de concepts de sécurité dans le domaine de la protection des machines et des personnes (par ex. pour les dispositifs d'arrêt d'urgence des machines-outils et des machines de façonnage) et dans les processus industriels (par ex. pour les fonctions de protection des équipements de mesures, automatismes, régulations et brûleurs), vous disposez du système de sécurité S7 Distributed Safety.

Critères de sécurité accessibles Les systèmes de sécurité S7 Distributed Safety peuvent répondre aux exigences de sécurité suivantes : ● classe de sécurité (Safety Integrity Level) SIL1 à SIL3 selon CEI 61508 ● catégorie 2 à 4 selon EN 954-1

Principe des fonctions de sécurité dans S7 Distributed Safety La sécurité fonctionnelle est réalisée à l'aide de fonctions de sécurité principalement au niveau du logiciel. Les fonctions de sécurité sont exécutées par le système S7 Distributed Safety pour amener ou maintenir l'installation dans un état sûr en cas d'événement dangereux. Les fonctions de sécurité sont contenues essentiellement dans les composantes suivantes : ● le programme utilisateur sécurisé (programme de sécurité) dans la CPU de sécurité

(CPU F)

● dans les entrées/sorties de sécurité (périphérie F). La périphérie F assure le traitement de sécurité des informations de terrain (interrupteur d'arrêt d'urgence, barrières lumineuses, commande de moteur). Elle dispose de tous les constituants matériels et logiciels nécessaires au traitement de sécurité conformément à la classe de sécurité exigée. L'utilisateur se contente de programmer les fonctions utilisateur de sécurité. La fonction de sécurité pour le processus est réalisable soit par une fonction de sécurité utilisateur, soit par une fonction de réaction aux erreurs. Lorsque le système F n'est plus en mesure d'assurer la fonction de sécurité utilisateur proprement dite en cas de défaut, une fonction de réaction aux erreurs est déclenchée : par ex. les sorties correspondantes sont coupées ou la CPU F va à l'état STOP.

Présentation du produit 1.2 Constituants matériels et logiciels


Exemple de fonction de sécurité utilisateur et de fonction de réaction à un défaut Le système F a pour tâche d'ouvrir une vanne (fonction de sécurité utilisateur). En cas d'erreur dangereuse de la CPU F, toutes les sorties sont coupées (fonction de réaction aux erreurs), ce qui a pour effet d'ouvrir la vanne et aussi d'amener les autres actionneurs à un état sûr. Avec un système F intact, seule la vanne serait ouverte.

1.2 Constituants matériels et logiciels

Constituants matériels et logiciels de S7 Distributed Safety La figure ci-dessous représente une vue d'ensemble des constituants matériels et logiciels nécessaires à la configuration et à l'exploitation d'un système de sécurité S7 Distributed Safety.

PROFIBUS DP/

PROFINET IO

Constituants matériels pour PROFIBUS DP Les constituants matériels de S7 Distributed Safety sont les suivants : ● CPU F, par ex. CPU 315F-2 DP ● entrées/sorties de sécurité (périphérie F), par ex.:

– module de signaux de sécurité S7-300 dans S7 Distributed Safety (configuration centralisée)

– module de signaux de sécurité S7-300 dans ET 200 M (configuration décentralisée) – modules d'alimentation et modules électroniques de sécurité dans ET 200S – le module de périphérie de sécurité ET 200eco – modules de sécurité dans ET 200pro – esclaves DP de sécurité normés

Vous pouvez réaliser une extension de la configuration au moyen d'une périphérie standard.



Constituants matériels pour PROFINET IO Vous pouvez utiliser les composants de sécurité suivants dans des systèmes F S7 Distributed Safety dans le PROFINET IO : ● des CPU F avec interface PN, par ex. CPU 416F-3 PN/DP ● modules électroniques de sécurité pour ET 200S ● modules électroniques de sécurité dans ET 200pro ● IO-Normdevices de sécurité (grilles lumineuses, scanners laser, etc.) Vous pouvez réaliser une extension de la configuration au moyen d'une périphérie standard.

Informations supplémentaires Vous trouverez un complément d'information au sujet des composants matériels dans le manuel système Technologie de sécurité dans SIMATIC S7.

Constituants logiciels Les constituants logiciels de S7 Distributed Safety sont les suivants : ● le logiciel optionnel S7 Distributed Safety sur votre PG/PC pour la configuration et la

programmation du système F ● le programme de sécurité dans la CPU F. De plus, vous avez besoin du logiciel de base STEP 7 sur votre PG/PC pour la configuration et la programmation du système d'automatisation standard.

Logiciel optionnel S7 Distributed Safety Le logiciel optionnel S7 Distributed Safety V5.4, SP4 est décrit dans la présente documentation. S7 Distributed Safety est le logiciel de configuration et de programmation pour le système de sécurité S7 Distributed Safety. Avec S7 Distributed Safety, vous disposez de : ● l'assistance à la configuration de la périphérie F dans STEP 7 avec HW Config ● l'assistance à la création du programme de sécurité et à l'intégration de fonctions de

détection de défauts dans ce programme ● la bibliothèque F contenant des blocs d'application F que vous pouvez utiliser dans votre

programme de sécurité. En outre, S7 Distributed Safety vous propose des fonctions de comparaison des programmes de sécurité et d'assistance lors de la réception de l'installation.



Programme de sécurité La création d'un programme de sécurité s'effectue dans l'éditeur LOG/CONT dans STEP 7. Vous programmez des FB et des FC de sécurité dans les langages de programmation LOG F ou CONT F, puis vous créez des DB de sécurité dans le langage de développement DB F. Dans la bibliothèque de sécurité Distributed Safety (V1) fournie, vous disposez de blocs d'application F que vous pouvez utiliser dans votre programme de sécurité. Lorsque vous générez le programme de sécurité, le logiciel effectue automatiquement des contrôles de sécurité et intègre des blocs de sécurité supplémentaires pour la détection des défauts et la réaction aux défauts. De cette manière, vous êtes assuré de la détection des défaillances et des défauts, ainsi que du déclenchement des réactions correspondantes destinées à maintenir ou à amener le système F dans un état sûr. En plus du programme de sécurité, il est possible d'exécuter un programme utilisateur standard dans la CPU F. La coexistence de programmes standard et de sécurité dans une CPU F est possible étant donné que les données sécurisées du programme de sécurité sont protégées des influences involontaires des données du programme utilisateur. L'échange de données entre les programmes utilisateur standard et de sécurité dans la CPU F est possible par le biais de mémentos et de l'accès à la mémoire image des entrées et des sorties.

Présentation du produit 1.3 Installation/Désinstallation du logiciel optionnel S7 Distributed Safety V5.4 SP4


1.3 Installation/Désinstallation du logiciel optionnel S7 Distributed Safety V5.4 SP4

Environnement logiciel requis pour S7 Distributed Safety V5.4 SP4 Les progiciels suivants doivent être installés sur la PG/le PC : ● STEP 7, à partir de V5.3 Servicepack 3

ATTENTION

L'utilisation de S7 Distributed Safety Programming V5.4 Servicepack 4 avec des versions antérieures de STEP 7 n'est pas autorisée

● S7 F Configuration Pack, à partir de V 5.2 Servicepack 3 Les conditions logicielles requises suivantes s'appliquent pour l'utilisation des fonctions suivantes :

Fonction Conditions logicielles requises Communication esclave I-esclave sécurisée pour modules de signaux de sécurité S7-300 (ET 200M)

STEP 7 V5.4 et S7 F Configuration Pack, à partir de V5.5

Blocage de la désactivation du mode de sécurité S7 F Configuration Pack, V 5.5 SP1 Paramètre iPar_CRC F pour la prise en charge d'esclaves DP normés/IO-Normdevices de sécurité avec des paramètres d'appareil individuels (paramètres i).

S7 F Configuration Pack, V 5.5 SP1

Stockage en lecture seule de blocs F STEP 7 V5.4 SP2 Fonction STEP 7 "Réassignation" pour blocs F STEP 7 V5.4 SP2 et S7 F Configuration Pack,

V5.5 SP1 IO-Normdevices de sécurité STEP 7 V5.4 SP2

S7 F Configuration Pack V5.4 Utilisation du SM 336; F-AI 6 x 0/4 ... 20 mA HART sans utilisation de la fonction HART

S7 F Configuration Pack V5.5 SP4

Utilisation du SM 336; F-AI 6 x 0/4 ... 20 mA HART avec utilisation de la fonction HART

STEP 7 V5.4 SP3 et S7 F Configuration Pack, V5.5 SP4

Lire le fichier Lisezmoi Les fichiers Lisezmoi contiennent les informations produit actuelles sur le logiciel fourni (par ex. les versions de Windows prises en charge). Vous pouvez afficher le fichier Lisezmoi au cours de l'installation (programme Setup) ou l'ouvrir ultérieurement à l'aide de la commande Démarrer > Simatic > Informations > Français.



Installer S7 Distributed Safety 1. Démarrez la PG ou le PC sur lequel vous avez installé le logiciel de base STEP 7 et

assurez-vous qu'aucune application de STEP 7 n'est ouverte. 2. Insérez le CD produit du logiciel optionnel. 3. Appelez le programme SETUP.EXE qui se trouve sur le CD. 4. Suivez les instructions du programme d'installation et tenez compte des informations

contenues dans les fichiers Lisezmoi.

Démarrer S7 Distributed Safety S7 Distributed Safety est entièrement intégré dans STEP 7, ce qui signifie que vous ne pouvez pas démarrer S7 Distributed Safety séparément, mais que vous disposez de l'assistance à la configuration et la programmation de Distributed Safety dans l'application STEP 7 correspondante (dans SIMATIC Manager, dans HW Config et dans l'éditeur LOG/CONT).

Afficher l'aide intégrée Une aide contextuelle est disponible pour les boîtes de dialogue de S7 Distributed Safety. Vous pouvez l'appeler dans n'importe quelle phase de configuration ou de programmation à l'aide de la touche F1 ou du bouton "Aide" . La commande de menu Aide> Rubriques d'aide > Appel des aides sur les logiciels optionnels > S7 Distributed Safety Mise en œuvre de systèmes F vous permet d'obtenir une aide supplémentaire.

Désinstaller S7 Distributed Safety Le logiciel optionnel S7 Distributed Safety se compose des deux composants suivants : ● "S7 F Configuration Pack V5.5 SP4" ● "S7 Distributed Safety Programming V5.4 SP4" Vous pouvez désinstaller ces composants individuellement. Utilisez la procédure habituelle sous Windows pour la désinstallation : 1. Démarrez la boîte de dialogue de Windows pour l'installation de logiciels en cliquant sur

l'icône "Ajout/Suppression de programmes" dans le "Panneau de configuration". 2. Sélectionnez le logiciel en question dans la liste des logiciels installés. Cliquez sur le

bouton "Ajouter/Supprimer..." pour désinstaller le logiciel. 3. Si la boîte de dialogue "Supprimer les fichiers libérés" s'affiche, cliquez, en cas de doute,

sur le bouton "Non".



Passage à S7 Distributed Safety V5.4 SP4 Lecture du programme de sécurité avec S7 Distributed Safety V5.4 SP4 Si vous voulez lire un programme de sécurité créé avec une version de S7 Distributed Safety < V5.4 SP4 avec S7 Distributed Safety V5.4 SP4 sans toutefois le modifier, ouvrez la boîte de dialogue "Programme de sécurité" avec V5.4 SP4. Vous n'effectuez ni génération du programme de sécurité, ni enregistrement et compilation avec remplacement des blocs de la bibliothèque F Distributed Safety (V1) dans HW Config.

Remarque A l'ouverture de la boîte de dialogue "Programme de sécurité", l'état suivant est indiqué pour un programme de sécurité cohérent créé avec S7 Distributed Safety V 5.1 : l'état "Programme de sécurité cohérent" est visualisé à l'ouverture de la boîte de dialogue "Programme de sécurité", bien que les signatures affichées soient différentes. Raison : La longueur des signatures a été modifiée de 16 à 32 bits.

Modification du programme de sécurité avec S7 Distributed Safety V5.4 SP4 Vous pouvez utiliser les nouvelles fonctions de S7 Distributed Safety V5.4 SP4 dans un programme de sécurité créé avec une version S7 Distributed Safety < V5.4 SP4 (voir aussi l'avant-propos "Modifications par rapport aux versions précédentes") :

Remarque Il est à noter que la passivation par voie de la périphérie F et la réintégration de la périphérie F à PROFINET IO ont pour conséquence une prolongation du temps d'exécution du/des groupe(s) d'exécution de sécurité et une augmentation de l'espace requis pour la mémoire de travail du programme de sécurité (voir aussi fichier Excel pour le calcul du temps de réaction s7cotic.xls). En outre, au moins 330 octets de données locales doivent être disponibles pour le programme de sécurité (voir le chapitre "Configuration de la CPU F").

Si vous souhaitez modifier un programme de sécurité créé avec S7 Distributed Safety, < V5.4 SP4 avec la version V5.4 SP4, procédez de la manière suivante : 1. Générez le programme de sécurité avec la version S7 Distributed Safety V5.4 SP4 avant

de procéder aux modifications. Résultat : tous les blocs F de la bibliothèque F Distributed Safety (V1) qui ont été utilisés dans le programme de sécurité et pour lesquels il existe une nouvelle version dans la bibliothèque F Distributed Safety (V1) dans la version V 5.4 SP4 sont remplacés automatiquement après acquittement de votre part. La signature globale de tous les blocs F et la signature des blocs F individuels changent car : – la longueur de la signature globale a été modifiée de 16 à 32 bits (uniquement dans le

cas du passage de V 5.1 à V5.4 SP4) – des blocs F de la bibliothèque F Distributed Safety (V1) ont été remplacés – des blocs F générés automatiquement ont été modifiés Lors du passage de la version V5.4 SP3 à la version V5.4 SP4, la signature globale de tous les blocs F reste identique bien que le bloc système F F_CTRL_1 soit remplacé par une version plus récente (modification ne concernant pas la sécurité).

2. Modifiez le programme de sécurité en fonction de vos besoins.



3. Compilez une nouvelle fois le programme de sécurité. 4. Dans la boîte de dialogue "Comparer le programme de sécurité", effectuez une

comparaison entre l'ancienne et la nouvelle version du programme de sécurité (voir le chapitre "Comparaison de programmes de sécurité"). – Vous reconnaissez le changement de version des blocs F de la bibliothèque

Distributed Safety (V1) à la modification des signatures de ces blocs F. Les signatures modifiées et les signatures de la valeur de début de tous les blocs d'application F et blocs système F doivent correspondre à celles de l'annexe 1 du rapport du certificat.

– Vous reconnaissez en outre les éventuelles modifications dans le programme de sécurité. Le cas échéant, vous devez procéder à une nouvelle réception du programme de sécurité.

Passage de S7 Distributed Safety d'une version V5.4 SP4 à une version antérieure Si vous voulez passer à une version S7 Distributed Safety < V5.4 SP4, vous devez d'abord entièrement désinstaller S7 Distributed Safety V5.4 SP4.



Passage de S7 Distributed Safety version V5.4 SP4 à la version V5.3 A l'ouverture de la boîte de dialogue "Programme de sécurité", l'état suivant est indiqué pour un programme de sécurité cohérent créé avec S7 Distributed Safety V5.4 SP4 : "Le programme de sécurité est cohérent". Vous pouvez modifier un programme de sécurité créé avec la version V5.4 SP4 avec V5.3 si vous utilisez uniquement des fonctions mises à disposition par la version V5.3. Si vous souhaitez modifier un programme de sécurité créé avec S7 Distributed Safety V5.4 SP4 avec la version V5.3, procédez de la manière suivante : 1. Supprimez tous les blocs F générés et complétés automatiquement dans le dossier Blocs

hors ligne du programme de sécurité, puis générez de nouveau le programme de sécurité.

2. Enregistrez et compilez la configuration matérielle dans HW Config. 3. Modifiez le programme de sécurité en fonction de vos besoins. 4. Compilez une nouvelle fois le programme de sécurité.

Passage de S7 Distributed Safety version V5.4 SP4 à la version V5.2 A l'ouverture de la boîte de dialogue "Programme de sécurité", l'état suivant est indiqué pour un programme de sécurité cohérent créé avec S7 Distributed Safety V5.4 SP4 : "Le programme de sécurité n'est pas cohérent", bien que le programme de sécurité soit cohérent. Vous pouvez modifier un programme de sécurité créé avec la version V5.4 SP4 avec V5.2 si vous utilisez uniquement des fonctions mises à disposition par la version V5.2. Procédez comme suit pour passer de V5.4 SP4 à V5.3.

Calcul du temps de réaction maximum de votre système F Pour le calcul du temps de réaction maximum de votre système F, utilisez le fichier Excel fourni pour S7 Distributed Safety V 5.4 SP4. Vous trouverez ce fichier sur Internet, à l'adresse : http://support.automation.siemens.com/WW/view/fr/11669702/133100

Voir aussi Réception du programme de sécurité (Page 296)

http://support.automation.siemens.com/WW/view/fr/11669702/133100




Configuration 22.1 Vue d'ensemble de la configuration

Introduction Par principe, vous configurez un système de sécurité S7 Distributed Safety de la même manière qu'un système d'automatisation standard S7-300, S7-400 ou ET 200S. Dans ce chapitre vous ne trouverez par conséquent que les principales différences distinguant la configuration d'un système de sécurité S7 Distributed Safety de la configuration standard.

Quels sont les constituants F à configurer? Pour un système de sécurité S7 Distributed Safety, vous allez configurer les constituants matériels suivants : 1. CPU F, par ex. la CPU 315F-2 DP 2. Périphérie F, par ex. :

– modules de sécurité ET 200S – modules de signaux de sécurité S7-300 (pour configuration centralisée à côté de la

CPU F ou configuration décentralisée dans l'ET 200M) – modules de sécurité ET 200pro – modules de périphérie de sécurité ET 200eco – esclaves DP de sécurité normés – IO-Normdevices de sécurité

Configuration 2.1 Vue d'ensemble de la configuration


Informations relatives à la périphérie F utilisable Vous trouverez des informations détaillée sur la périphérie F utilisable dans les manuels mentionnés dans le tableau suivant:

Rubrique Description, voir ... Règles de configuration, par ex.: • configuration centralisée, décentralisée avec

périphérie F • coexistence des périphéries F et standard

• Manuel système Technologie de sécurité dans SIMATIC S7

• Manuel relatif à la périphérie F

Attribution d'adresses PROFIsafe pour la périphérie F Manuel et aide en ligne contextuelle de la périphérie F Occupation des plages d'adresses de la CPU F par la périphérie F

Manuel relatif à la périphérie F

Esclaves DP de sécurité normés Documentation relative à un esclave DP de sécurité normé particulier

IO-Normdevices de sécurité Documentation relative à un IO-Normdevice de sécurité particulier

Quelles possibilités de la communication sécurisée pouvez-vous configurer ? Pour les possibilités de communication sécurisée suivantes, vous devez réaliser des configurations dans HW Config : ● Communication sécurisée maître-maître ● Communication sécurisée maître-esclave I ● Communication sécurisée esclave I-esclave I ● Communication sécurisée esclave I-esclave ● Communication sécurisée IO Controller-IO Controller ● Communication sécurisée via des liaisons S7

Configuration 2.2 Particularités de la configuration du système F


2.2 Particularités de la configuration du système F

Configuration comme pour le standard Vous configurez un système de sécurité S7 Distributed Safety de la même manière qu'un système S7 standard. Cela signifie que, dans HW Config, vous configurez et paramétrez les constituants matériels de manière centralisée (CPU F et, le cas échéant, modules de signaux F S7-300) et/ou décentralisée (CPU F, modules de signaux F dans ET 200M, modules F dans ET 200S, ET 200eco et ET 200pro, esclaves DP de sécurité normés, IO-Normdevice de sécurité). Vous trouverez la description exacte des variantes de configuration dans le manuel système Technologie de sécurité dans SIMATIC S7.

Onglets spécifiques à la sécurité Quelques onglets spéciaux sont dédiés aux fonctions de sécurité dans les propriétés de l'objet des constituants de sécurité (CPU F et périphérie F). Ils seront explicités dans les chapitres suivants.

Attribution de mnémoniques aux entrées/sorties de sécurité de la périphérie F Pour une programmation conviviale de S7 Distributed Safety, il est particulièrement important d'attribuer des mnémoniques aux entrées/sorties de sécurité de la périphérie F dans HW Config.

Enregistrement et compilation de la configuration matérielle Vous devez enregistrer et compiler la configuration matérielle du système de sécurité S7 Distributed Safety dans HW Config. Ce n'est qu'à cette condition que vous pourrez programmer ensuite le programme de sécurité.

Modification des paramètres relevant de la sécurité

Remarque Si vous modifiez un paramètre de sécurité pour une périphérie de sécurité, un esclave DP de sécurité normé, un IO-Normdevice de sécurité ou une CPU F, vous devez générer une nouvelle fois le programme de sécurité. La même règle s'applique pour des modifications de la configuration de communication de sécurité, en particulier pour la modification de liaisons S7 pour la communication sécurisée via des liaisons S7.

Configuration 2.3 Configuration de la CPU F


2.3 Configuration de la CPU F

Introduction Pour l'essentiel, vous configurez la CPU F comme un système d'automatisation standard. Pour un système de sécurité S7 Distributed Safety, vous devez en outre : ● configurer le niveau de protection 1. ● configurer les paramètres F.

Configuration du niveau de protection de la CPU F

ATTENTION En mode de sécurité, il faut qu'en cas de modification du programme utilisateur standard, l'accès par le mode de passe de la CPU F soit interdit, sans quoi le programme de sécurité pourrait également être modifié. Pour l'éviter, vous devez configurer le niveau de protection 1. Si une seule personne est autorisée à modifier le programme utilisateur standard et le programme de sécurité, il est recommandé de configurer le niveau de protection "2" ou "3" afin de restreindre ou d'interdire aux autres personnes l'accès au programme utilisateur entier (programme standard et programme de sécurité).

Procédez de la manière suivante pour configurer le niveau de protection 1 : 1. Dans HW Config, sélectionnez la CPU F, par ex.CPU 315F-2 DP, puis la commande de

menu Edition > Propriétés de l'objet. 2. Ouvrez l'onglet "Protection". 3. Paramétrez le niveau de protection "1" : "Accès protégé à la CPU F" et "modifiable par

mot de passe". Entrez un mot de passe pour la CPU F dans les champs de saisie prévus à cet effet et activez l'option "CPU contient un programme de sécurité". Veuillez noter que le champ "Mode" n'a aucune signification pour le mode de sécurité. Vous trouverez des informations sur le mot de passe pour la CPU F au chapitre "Vue d'ensemble des droits d'accès". Respectez en particulier les avertissements du chapitre "Création de droits d'accès à la CPU F".



Configuration des paramètres F de la CPU F Procédez de la manière suivante pour configurer les paramètres F: 1. Dans HW Config, sélectionnez la CPU F puis la commande de menu Edition > Propriétés

de l'objet. 2. Ouvrez l'onglet "Paramètres F". Dès que l'onglet s'ouvre, vous êtes invité à donner le mot

de passe du programme de sécurité ou à l'attribuer dans une boîte de dialogue. Vous trouverez des informations sur le mot de passe pour le programme de sécurité au chapitre "Vue d'ensemble des droits d'accès". Dans l'onglet "Paramètres F", vous pouvez modifier ou valider les paramètres suivants : – valider ou verrouiller ici la fonction de mode de sécurité désactivable – base pour les adresses PROFIsafe – le module de compatibilité pour les CPU F

(uniquement pour des CPU F qui prennent en charge le PROFIsafe V2-MODE et ne disposent que d'interfaces PROFIBUS DP, non PROFINET IO)

– plage de numéros pour les blocs de données F – plage de numéros pour les blocs fonctionnels F – la quantité de données locales mise à disposition du programme de sécurité

Remarque Une modification des paramètres de sécurité de la CPU F peut entraîner un changement du programme de sécurité après sa nouvelle génération, ce qui nécessite une nouvelle réception.

Paramètre "Mode de sécurité désactivable" Vous pouvez valider ou verrouiller la fonction de mode de sécurité désactivable dans l'onglet "Paramètres F". Le paramètre "Mode de sécurité désactivable" est activé par défaut. Si vous verrouillez la fonction désactivable, la désactivation du mode de sécurité n'est généralement plus possible. Cela signifie que vous ne pouvez pas désactiver le mode de sécurité pour le programme de sécurité malgré l'existence du mot de passe : ● dans la boîte de dialogue "Programme de sécurité" ● dans la boîte de dialogue de désactivation du mode de sécurité pour les fonctions de

test/IBS et au chargement de blocs F



Paramètre "Base pour adresses PROFIsafe" Ces informations sont uniquement nécessaires à la gestion interne des adresses PROFIsafe du système F. Les adresses PROFIsafe servent à l'identification claire de la source et de la destination. Vous pouvez configurer la "Base pour les adresses PROFIsafe", c'est-à-dire la zone d'affectation automatique des adresses cible PROFIsafe, pour les éléments suivants : ● périphérie F ET 200S, ET 200pro et ET 200eco nouvellement disposées dans

HW Config, ● modules de signaux de sécurité S7-300 :

– qui ne sont exploitables qu'en mode de sécurité et que vous avez placés de nouveau (voir manuel S7-300, Modules de signaux de sécurité)

– pour lesquels vous avez pour la première fois paramétré le mode de sécurité dans HW Config et dont les adresses PROFIsafe ne sont pas attribuées par l'intermédiaire des adresses de début des modules (voir le manuel S7-300, Modules de signaux de sécurité)

Ce paramètre n'a aucune influence pour toutes les autres périphéries F. Il permet d'attribuer par défaut une plage pour les adresses cible PROFIsafe. Ceci est significatif lorsque plusieurs réseaux maître DP et systèmes PROFINET IO sont utilisés sur un réseau. Il est possible, mais pas obligatoire, de modifier ultérieurement les adresses, car les plages d'adresse ont été réservées en tenant compte de votre paramétrage. Vous pouvez paramétrer la "Base pour adresses PROFIsafe" par pas de 1000. L'attribution automatique des adresses cible PROFIsafe s'effectue toujours selon la formule suivante : Base pour adresses PROFIsafe/10. L'adresse cible PROFIsafe maximale autorisée est 1022. Exemple : Vous configurez comme base "2000". L'attribution automatique des adresses cible PROFIsafe s'effectue de manière décroissante en partant de 200.

Paramètre "Mode compatibilité" Le paramètre est affiché uniquement pour des CPU F qui prennent en charge le PROFIsafe V2-MODE et ne disposent que d'interfaces PROFIBUS DP (et non PROFINET IO). Une modification du paramétrage par défaut (= mode compatibilité désactivé) n'est recommandée que lorsque vous souhaitez remplacer dans votre configuration logicielle une CPU F prenant en charge uniquement le PROFIsafe V1-MODE par une CPU F prenant en charge également le PROFIsafe V2-MODE. Pour éviter que le programme de sécurité ne soit modifié et doive être réceptionné après l'échange de CPU décrit et la génération consécutive, vous devez activer le mode compatibilité. Si vous n'en tenez pas compte, le PROFIsafe-MODE de toutes les périphéries F supportant le V2-MODE passeront en MODE V2 lors de l'enregistrement et de la compilation de la configuration matérielle dans HW Config. Si vous utilisez dans votre projet des périphéries F dans PROFINET IO ou dans des configurations mixtes dans PROFIBUS DP et PROFINET IO selon IE/PB Link, le mode compatibilité doit être désactivé.



Paramètre "Blocs de données F" Lorsque vous générez le programme de sécurité, les blocs F sont automatiquement complétés de manière à générer un programme de sécurité exécutable à partir du programme de sécurité que vous avez programmé. Vous devez réserver une plage de numéros pour les blocs de données F automatiquement complétés. Vous devez définir ici le premier et le dernier numéro de la plage de numéros. Règle concernant la taille de la plage de numéros : Nous vous recommandons d'utiliser au minimum la plage de numéros par défaut. En outre: nombre de blocs de données F automatiquement complétés = nombre de périphéries F configurées + nombre de DB F (sans "DB pour la communication entre groupes d'exécution F") + 5 x nombre "DB pour la communication entre groupes d'exécution F" + nombre d'appels de blocs F de type FB (FB F/PB F/blocs d'application F) + nombre de blocs F de type FC (FC F/PB F/blocs d'application F) + nombre de blocs F de type FC (FC F/PB F/blocs d'application F) utilisés dans 2 groupes d'exécution F +6 x nombre de groupes d'exécution F Si la plage de numéros configurée ne suffit pas, S7 Distributed Safety le signale par un message d'erreur. Vous devez alors augmenter la plage de numéros. Astuce : Attribuez les numéros pour les blocs de données F automatiquement complétés en partant du plus grand nombre possible dans la CPU et en décroissant. Attribuez les numéros pour les DB du programme utilisateur standard et pour les DB F et les DB d'instance des FB F et des blocs d'application F du programme de sécurité en commençant par "1". Vous ne devez utiliser les blocs de données F automatiquement complétés réservés ni dans le programme de sécurité, ni dans le programme utilisateur standard. Si vous avez modifié la plage de numéros, p. ex. en remplaçant une CPU F par une autre, dont la plage de numéros est plus petite que celle de la CPU F configurée précédemment, tous les DB F complétés automatiquement ne sont pas créés dans la plage de numéros modifiée (de la nouvelle CPU F) lors la génération suivante, mais conservent leur ancien numéro. Il est alors possible que vous ne puissiez pas charger ces DB F dans la CPU F. Solution :supprimez tous les blocs F générés automatiquement dans le dossier des blocs hors ligne du programme de sécurité, puis générez de nouveau le programme de sécurité.



Paramètre "Blocs fonctionnels F" Lorsque vous générez le programme de sécurité, les blocs F sont automatiquement complétés de manière à générer un programme de sécurité exécutable à partir du programme de sécurité que vous avez programmé. Vous devez réserver une plage de numéros pour les blocs fonctionnels F automatiquement complétés. Vous devez définir ici le premier et le dernier numéro de la plage de numéros. Règle concernant la taille de la plage de numéros : nous vous recommandons d'utiliser au minimum la plage de numéros par défaut. En outre: nombre de blocs fonctionnels F automatiquement complétés = nombre de blocs F (FB F/FC F/PB F/blocs d'application F) + nombre de blocs F (FB F/FC F) appelés dans deux groupes d'exécution F + nombre de blocs d'application F se trouvant dans la plage de numéros réservée + 5 Si la plage de numéros configurée ne suffit pas, S7 Distributed Safety le signale par un message d'erreur. Vous devez alors augmenter la plage de numéros. Astuce : Attribuez la plage de numéros pour les blocs fonctionnels F automatiquement complétés en partant du plus grand nombre possible dans la CPU et en décroissant. Attribuez les numéros pour les FB du programme utilisateur standard et pour les FB F du programme utilisateur et du programme de sécurité en commençant par "1". Vous ne devez utiliser les blocs fonctionnels F automatiquement complétés réservés ni dans le programme de sécurité, ni dans le programme utilisateur standard. Les blocs d'application F de la bibliothèque F Distributed Safety peuvent se trouver dans cette plage de numéros.



Paramètre "Données locales F" Lorsque vous générez le programme de sécurité, les blocs F sont automatiquement complétés de manière à générer un programme de sécurité exécutable à partir du programme de sécurité que vous avez programmé. Avec ce paramètre, vous définissez le nombre de données locales (en octets) pour le programme de sécurité global, c'est-à-dire les données locales disponibles pour les blocs F-CALL des groupes d'exécution F du programme de sécurité et donc aussi pour les blocs F complétés automatiquement dans le F-CALL.

Remarque Le paramétrage des données locales s'applique à tous les groupes d'exécution F d'un programme de sécurité. Au moins 330 octets de données locales doivent être disponibles pour le programme de sécurité. Le nombre de données locales requis par les blocs F automatiquement complétés peut cependant être plus élevé en fonction du nombre de données locales nécessaire pour le programme de sécurité que vous avez programmé. Par conséquent, mettez autant de données locales que possible à disposition des blocs F automatiquement complétés. Si le volume des données locales disponible pour les blocs de sécurité complétés automatiquement (à partir de > 330 octets) est insuffisant, le programme de sécurité est quand même généré. A la place de données locales, des données dans des DB F complétés automatiquement sont alors utilisées. Il en résulte une prolongation du temps d'exécution du/des groupe(s) d'exécution de sécurité. Un message est affiché par S7 Distributed Safety, lorsque les blocs F automatiquement complétés requièrent plus de données locales que vous n'en avez configurées.

ATTENTION

Le calcul du temps d'exécution maximal du groupe d'exécution F avec le fichier Excel s7fcotic.xls ne correspond dans ce cas plus à la réalité car ce calcul se base sur la supposition que suffisamment de données locales F sont disponibles. Pour le calcul des temps max. de réaction avec erreur et pour les temps exécution quelconques du système standard pour obtenir le temps d'exécution max. du groupe d'exécution de sécurité, utilisez dans ce cas la valeur que vous avez configurée pour le temps max. de cycle du groupe d'exécution F (temps de surveillance F) à l'aide du fichier Excel cité ci-dessus.

Remarque

Veuillez prendre en compte que le nombre maximum de données locales F possible dépend : • du nombre de données locales requis par votre programme utilisateur standard

hiérarchiquement supérieur. Par conséquent, vous devriez appeler les blocs F-CALL directement dans des OB (si possible des OB d'alarme cyclique) et ne pas déclarer de données locales supplémentaires dans ces OB d'alarme cyclique.

• de la taille maximale des données locales de la CPU F utilisée (voir les caractéristiques techniques dans l'information produit de la CPU F utilisée). Dans le cas de la CPU 416F-2, vous pouvez configurer les données locales en fonction de la classe de priorité. Veuillez par conséquent attribuer une plage de données locales aussi grande que possible pour les classes de priorité dans lesquelles le programme de sécurité (les blocs F-CALL) est appelé (p. ex. OB 35).



Nombre maximum de données locales F en fonction des données locales requises par le programme utilisateur standard hiérarchiquement supérieur.

Cas 1 : Blocs F-CALL appelés directement dans des OB

F-CALL

OB x

Programme utilisateur

standard Programme de sécurité

Groupe d'exécution F x

Indiquez comme paramètre "Données locales F" : ● la taille maximale des données locales de la CPU F utilisée moins 32 octets ou ● la taille maximale des données locales de la CPU F mise en œuvre, moins les données

locales requises par l'OB x (dans le cas de 2 groupes d'exécution F, par l'OB x avec le plus grand besoin en données locales), si celles-ci sont supérieures à 32 octets.

Remarque :vous pouvez déduire les données locales requises par les OB de la structure du programme. Dans SIMATIC Manager, choisissez à cet effet la commande de menu Outils > Données de référence > Afficher (paramètre : "Structure de programme" sélectionné). Vous obtenez la taille des données locales dans le chemin ou pour les blocs individuels (voir aussi l'aide en ligne STEP 7).



Cas 2 : Blocs F-CALL pas appelés directement dans des OB

Paramétrez "Données locales F" avec: ● la taille maximale des données locales de la CPU F utilisée moins 32 octets ou ● la taille maximale des données locales de la CPU F mise en œuvre moins les données

locales requises par l'OB x (dans le cas de 2 groupes d'exécution F, par l'OB x avec le plus grand besoin en données locales) et moins les données locales requises par le programme utilisateur standard A, si l'ensemble de ces données locales est supérieur à 32 octets.

Remarque :vous pouvez déduire les données locales requises par les OB ou le programme utilisateur standard A de la structure du programme. Dans SIMATIC Manager, choisissez à cet effet la commande de menu Outils > Données de référence > Afficher (paramètre : "Structure de programme" sélectionné). Vous obtenez la taille des données locales dans le chemin ou pour les blocs individuels (voir aussi l'aide en ligne STEP 7).



Données locales requises par les blocs F automatiquement complétés en fonction des données locales requises par le programme de sécurité que vous avez programmé

Ne tenez compte des informations suivantes que si vous avez trop peu de données locales à disposition de votre programme de sécurité et que vous avez reçu un message de S7 Distributed Safety à ce sujet. Vous pouvez estimer les données locales prévisionnelles requises par les blocs F automatiquement complétés de la manière suivante : Déterminez les données locales requises pour chaque groupe d'exécution F, pour chaque hiérarchie d'appel (chemin dans le groupe d'exécution F à partir du PB F inclus, via tous les niveaux d'imbrication) du programme de sécurité que vous avez programmé : données locales requises pour une hiérarchie d'appel (données locales requises du chemin en octets) = 2 x nombre de toutes les données locales des FB F/FC F du type de données BOOL dans le chemin +4 x nombre de toutes les données locales des FB F/FC F des types de données INT ou WORD dans le chemin +6 x nombre de toutes les données locales des FB F/FC F du type de données TIME dans le chemin +42 x nombre de niveaux d'imbrication dans lesquels un bloc d'application F est appelé +18 x nombre de niveaux d'imbrication +14 x nombre de niveaux d'imbrication dans lesquels une fonction à virgule fixe ou une opération combinatoire sur mots sont programmées. Le nombre prévisionnel de données locales requises par les blocs F automatiquement complétés correspond alors au maximum des nombres de données locales requises pour tous les chemins de tous les groupes d'exécution de sécurité.

Remarque Si vous ne pouvez pas mettre suffisamment de données locales à disposition des blocs F automatiquement complétés, nous vous recommandons de réduire le nombre de données locales requises par votre programme utilisateur de sécurité, par ex. en réduisant la profondeur d'imbrication.



Utilisation de données locales dans un FB F ou dans une FC F

Remarque Lorsque vous générez le programme de sécurité, les blocs F sont automatiquement complétés de manière à générer un programme de sécurité exécutable à partir du programme de sécurité que vous avez programmé. Si vous utilisez la zone mémoire des données locales dans un FB F/dans une FC F, vous devez respecter les limites suivantes (non applicable aux CPU F de la gamme S7-400) : données locales requises < taille max. de données locales par bloc (voir les caractéristiques techniques dans l'information produit de la CPU F mise en œuvre) nombre moyen des données locales requises en octets = 2 x nombre de toutes les données locales du FB F/FC F du type de données BOOL + 4 x nombre de toutes les données locales du FB F/FC F des types de données INT ou WORD + 6 x nombre de toutes les données locales du FB F/FC F du type de données TIME + 12 + 14 (si une fonction à virgule fixe ou une opération combinatoire sur mots ont été programmées) + 6 (lorsqu'un FB F, une FC F ou un bloc d'application F est appelé) Si le nombre de données locales requises est plus grand, votre programme de sécurité ne pourra pas être chargé dans la CPU F ! Réduisez les données locales requises par le FB F, la FC F que vous avez programmé(e).

Voir aussi Installation/Désinstallation du logiciel optionnel S7 Distributed Safety V5.4 SP4 (Page 17) Vue d'ensemble des droits d'accès (Page 47) Droit d'accès à la CPU F (Page 53) Structure du programme de sécurité dans S7 Distributed Safety (Page 57) Vue d'ensemble de l'inspection de l'installation (Page 293)

Configuration 2.4 Configuration de la périphérie F


2.4 Configuration de la périphérie F

Configuration comme pour le standard Les modules de sécurité ET 200S, ET 200eco, ET 200pro et les modules de signaux de sécurité SM F S7-300 sont toujours configurés selon le même schéma : Une fois que vous avez inséré la périphérie F dans la fenêtre de la station de HW Config, vous ouvrez la boîte de dialogue de configuration avec la commande de menu Edition > Propriétés de l'objet ou en double-cliquant sur la périphérie F. Dès que la boîte de dialogue s'ouvre, vous êtes invité à donner le mot de passe du programme de sécurité ou à l'attribuer dans une boîte de dialogue. Vous trouverez des informations sur le mot de passe pour le programme de sécurité au chapitre Vue d'ensemble des droits d'accès. S7 Distributed Safety attribue automatiquement les valeurs dans les champs grisés de l'onglet spécifique sécurité. Vous pouvez modifier les valeurs des champs blancs.

Passivation par voie après des erreurs de voies Vous pouvez configurer le comportement de la périphérie F après des erreurs de voie, comme p. ex. un court-circuit, une surcharge, une erreur de discordance ou une rupture de fil, lorsque la périphérie F prend en charge ce paramètre (p. ex. pour les modules F ET 200S, ET 200pro). Vous configurez le comportement dans la boîte de dialogue des propriétés de l'objet de la périphérie F correspondante (paramètre "Comportement après des erreurs de voie"). Vous déterminez si l'ensemble de la périphérie F doit être passivée à la suite d'erreurs de voie ou uniquement les voies défectueuses.

Remarque Notez que, par rapport à la passivation de l'ensemble de la périphérie F, la passivation par voie de la périphérie F a pour conséquence une prolongation du temps d'exécution du/des groupe(s) d'exécution de sécurité (voir aussi le fichier Excel pour le calcul du temps de réaction s7cotic.xls).

Informations supplémentaires Vous trouverez dans le manuel système Technologie de sécurité dans SIMATIC S7 les modules F ET 200S, ET 200eco, ET 200pro et SM F S7-300 (centralisés/décentralisés) que vous pouvez utiliser. Vous trouverez la description des paramètres dans l'aide en ligne contextuelle de l'onglet et dans le manuel de la périphérie F correspondant. Vous trouverez dans le manuel système Technologie de sécurité dans SIMATIC S7 les éléments nécessaires à la configuration du temps de surveillance pour la périphérie F.

Adresses PROFIsafe Les adresses PROFIsafe (paramètres "Adresse_source_F", "Adresse_cible_F") servent à identifier la source et la destination de façon univoque.



Adresse_cible_F L'Adresse_cible_F est une identification univoque de la destination de PROFIsafe (de la périphérie F). L'Adresse_cible_F doit donc être univoque dans tout le réseau et sur toute la station (voir les Règles d'attribution des adresses ci-dessous). Afin de prévenir une erreur de paramétrage, l'adresse_cible_F est automatiquement attribuée de manière univoque sur toute la station lors du placement de la périphérie F dans HW Config. Pour obtenir également une attribution de l'adresse_cible_F univoque dans tout le réseau, lorsqu'un réseau comporte plusieurs réseaux maître DP et réseaux PROFINET IO, vous devez régler le paramètre "base pour les adresses PROFIsafe" (paramètre dans les propriétés de l'objet de la CPU F) différemment dans les réseaux F S7 Distributed Safety avant de placer le module F dans les diverses stations d'un réseau. Si vous modifiez l'Adresse_cible_F, l'univocité de l'Adresse_cible_F sur toute la station est contrôlée automatiquement. Vous devez en principe contrôler vous-même l'univocité de l'Adresse_cible_F dans le réseau. Vous devez paramétrer l'Adresse_cible_F dans la périphérie F au moyen du commutateur multiple avant de monter la périphérie de sécurité.

Remarque Pour les SM F S7-300 suivants, l'Adresse_cible_F = l'adresse de début du SM F/8 est : • SM 326; DI 24 X DC 24 V (numéro de référence 6ES7326-1BK00-0AB0), • SM 326; DI 8 x Namur (numéro de référence 6ES7326-1RF00-0AB0), • SM 326 DO 10 x DC 24V/2A (numéro de référence 6ES7326-2BF01-0AB0), • SM 336; AI 6 x 13 bit (numéro de référence 6ES7336-1HE00-0AB0). La "base pour les adresses PROFIsafe" n'a aucune influence sur l'attribution de l'Adresse_cible_F pour ces SM F. Paramétrez pour ces SM F des adresses de début courtes si vous utilisez également d'autres périphéries F.

Adresse_source_F L'Adresse_source_F est attribuée automatiquement dans S7 Distributed Safety.



Règles d'attribution des adresses

ATTENTION Dans le cas de sous-réseaux PROFIBUS exclusifs : L'adresse cible PROFIsafe, et donc également la position du commutateur d'adresses de la périphérie F, doivent être univoques dans tout le réseau* et dans toute la station** (dans l'ensemble du système). Pour des SM F S7-300, modules F ET 200S, ET 200eco et ET 200pro, vous pouvez attribuer maximum 1022 adresses cibles PROFIsafe différentes. Exception : Dans différents esclaves I, les périphéries F peuvent avoir la même adresse cible PROFIsafe car elles sont accessibles uniquement au sein de la station, c'est-à-dire depuis la CPU F dans l'esclave I. Dans le cas de sous-réseaux Ethernet et de configurations mixtes composées de sous-réseaux PROFIBUS et Ethernet : L'adresse cible PROFIsafe, et donc également la position du commutateur d'adresse de la périphérie F, doivent uniquement*** être univoques dans l'ensemble du sous-réseau Ethernet, y compris dans tous les sous-réseaux PROFIBUS qu'il comporte, ainsi qu'au sein de la station** (dans l'ensemble du système). Pour des SM F S7-300, modules F ET 200S, ET 200eco et ET 200pro, vous pouvez attribuer maximum 1022 adresses cibles PROFIsafe différentes. Exception : Dans différents esclaves I, les périphéries F peuvent avoir la même adresse cible PROFIsafe car elles sont accessibles uniquement au sein de la station, c'est-à-dire depuis la CPU F dans l'esclave I. Un sous-réseau Ethernet se caractérise par le fait que les adresses IP de tous les partenaires mis en réseau possèdent la même adresse de sous-réseau, c'est-à-dire que les adresses IP sont identiques aux positions dont le masque de sous-réseau possède la valeur "1". Exemple : Adresse IP : 140.80.0.2. Masque de sous-réseau : 255.255.0.0 = 11111111.11111111.00000000.00000000 Signification : Les 2 premiers octets de l'adresse IP définissent le sous-réseau ; masque de sous-réseau = 140.80.

* Un réseau se compose d'un ou plusieurs sous-réseaux. "Sur l'ensemble du réseau" signifie au delà des limites des sous-réseaux. ** "au niveau de la station" signifie une station dans HW Config (par ex. une station S7-300 ou un esclave I) *** en cas d'exclusion de la communication PROFINET IO cyclique (communication RT) au delà des limites des sous-réseaux Ethernet

Configuration 2.5 Configuration d'esclaves DP de sécurité normalisés et de IO-Normdevice de sécurité


Diagnostic groupé des SM F S7-300 Le paramètre "Diagnostic groupé" permet d'activer et désactiver la transmission des messages de diagnostic spécifiques à une voie (par ex. rupture de fil, court-circuit) des SM F à la CPU F. Pour des raisons de disponibilité, il est recommandé de désactiver le diagnostic groupé pour les voies d'entrée ou de sortie non utilisées des SM F suivants : ● SM 326; DI 8 x NAMUR ● SM 326; DO 10 x DC 24V/2A ● SM 336; AI 6 x 13Bit

ATTENTION

Sur les SM F en mode de sécurité, vous devez activer le "diagnostic groupé" pour toutes les voies connectées. Veuillez contrôler que le diagnostic groupé n'est coupé que pour des entrées/sorties réellement non utilisées.

Des alarmes de diagnostic peuvent être activées de manière facultative. Pour les SM 326; DI 24 x DC 24V (à partir du N° de référence 6ES7326-1BK01-0AB0) et SM 326; DO 8 x DC 24V/2A PM, on a : Lorsque vous désactivez une voie dans STEP 7 HW Config, le diagnostic groupé est simultanément désactivé pour cette voie.

2.5 Configuration d'esclaves DP de sécurité normalisés et de IO-Normdevice de sécurité

Condition Pour pouvoir utiliser des esclaves DP de sécurité normés pour S7 Distributed Safety, il faut que ces esclaves normés soient sur le PROFIBUS DP et qu'ils supportent le profil de bus PROFIsafe. Les esclaves DP de sécurité normés utilisés en configuration mixte sur PROFIBUS DP et PROFINET IO après des liens IE/PB doivent prendre en charge le profil de bus PROFIsafe en mode V2. Pour pouvoir utiliser des IO-Normdevice de sécurité pour S7 Distributed Safety, il faut que ces Normdevice soient sur le PROFINET IO et qu'ils prennent en charge le profil de bus PROFIsafe.en mode V2.

Configuration avec des fichiers GSD La base de la configuration des esclaves DP de sécurité normés/IO-Normdevices de sécurité – comme pour la configuration standard – est la spécification de l'appareil dans le fichier GSD (fichier des caractéristiques de l'appareil). Le fichier GSD contient toutes les propriétés d'esclaves DP normés/IO-Normdevices. Pour les esclaves DP de sécurité normés/IO-Normdevice, certaines parties de la spécification sont sécurisées par CRC. Les fichiers GSD sont fournis par les fabricants des appareils.



Protection de la structure des données de l'appareil dans les fichiers GSD. A partir de PROFIsafe Specification V 2.0, la structure des données de l'appareil décrite dans le fichier GSD doit être protégée par un CRC enregistré dans ce fichier ("consigne" pour F_IO_StructureDescCRC).

F_IO_StructureDescCRC Lors du placement dans HW Config et dans l'impression des données du projet de la configuration matérielle, vous recevez, pour chaque esclave DP normé/IO-Normdevice de sécurité configuré, l'une des informations suivantes : ● la valeur calculée par S7 Distributed Safety pour F_IO_StructureDescCRC concorde/ne

concorde pas avec la "consigne" dans le fichier GSD installé, ● la "consigne" pour F_IO_StructureDescCRC n'est pas disponible dans le fichier GSD

installé.

Remarque Pour la réception de l'installation (voir chapitre "Réception de l'installation"), l'indication du F_IO_StructureDescCRC n'est pas significative si le projet a été généré avec S7 Distributed Safety V5.4 SP4. Pour des versions de S7 Distributed Safety > V5.4 SP4, le contrôle de F_IO_StructureDescCRC ne doit pas avoir signalé d'erreur (concordance de la valeur calculée avec la consigne). Procurez-vous à cet effet auprès du fabricant d'appareils le fichier GSD correspondant contenant la consigne pour F_IO_StructureDescCRC.

Procéder de la manière suivante pour la configuration avec fichiers GSD Vous importez les fichiers GSD dans votre projet (voir l'aide en ligne STEP 7). 1. Sélectionnez l'esclave DP de sécurité normé/IO-Normdevice dans le catalogue des

matériels de HW Config et insérez-le dans votre réseau maître DP/IO. 2. Sélectionnez l'esclave DP de sécurité normé/IO-Normdevice. 3. Ouvrez la boîte de dialogue des propriétés de l'objet avec la commande de menu Edition

> Propriétés de l'objet ou avec un double clic sur l'emplacement du composant F. Dès que la boîte de dialogue s'ouvre, vous êtes invité à donner le mot de passe du programme de sécurité ou à l'attribuer dans une boîte de dialogue. Vous trouverez des informations sur le mot de passe pour le programme de sécurité au chapitre "Vue d'ensemble des droits d'accès".

La passivation par voies n'est pas prise en charge pour les esclaves DP de sécurité normés/les IO-Normdevices.



Onglet "PROFIsafe" Dans l'onglet "PROFIsafe", les textes spécifiques des paramètres du fichier GSD figurent sous "Nom de paramètre", la valeur actuelle du paramètre correspondant figurant sous "Valeur". Vous pouvez modifier ces valeurs à l'aide du bouton "Modifier la valeur". Les paramètres sont expliqués ci-après.

Paramètre "F_Check_SeqNr" Ce paramètre définit si le contrôle de cohérence (calcul CRC) du télégramme de données utiles F doit intégrer le numéro de séquence. Dans PROFIsafe V1-MODE vous devez mettre le paramètre "F_Check_SeqNr" sur "No check". Seuls les esclaves DP de sécurité normés qui se comportent de cette manière sont supportés. En mode PROFIsafe V2, "F_CHECK_SeqNr" est sans signification.

Paramètre "F_SIL" Classe de sécurité de l'esclave DP de sécurité normé/IO-Normdevice. Le paramètre dépend de l'appareil. En fonction du fichier GSD, vous pouvez le définir entre "SIL 1" et "SIL 3" au maximum.



Paramètre "F_CRC_Length" Selon la longueur des données utiles F (valeurs du processus), de la classe de sécurité et du MODE PROFIsafe, il faut une valeur de contrôle CRC de 2, 3 ou 4 octets. Ce paramètre informe la CPU F de la longueur à attendre du code CRC2 dans le télégramme de sécurité. En mode PROFIsafe V1 : Avec une longueur des données utiles de jusqu'à 12 octets, le paramètre "F_CRC_Length" doit être mis à "2 octets CRC", à partir d'une longueur des données utiles de 13 octets et jusqu'à un maximum de 122, il doit être mis à "4 octets CRC". S7 Distributed Safety ne supporte que "2 octets CRC"; le comportement de l'esclave DP de sécurité normé doit être adapté en conséquence. En mode PROFIsafe V2 : Avec une longueur des données utiles de jusqu'à 12 octets, le paramètre "F_CRC_Length" doit être mis à "3 octets CRC", à partir d'une longueur des données utiles de 13 octets et jusqu'à un maximum de 123, il doit être mis à "4 octets CRC". S7 Distributed Safety ne supporte que "3 octets CRC"; le comportement de l'esclave DP de sécurité normé/IO-Normdevice doit être adapté en conséquence.

Paramètre "F_Block_ID" Le paramètre F_Block_ID possède la valeur 1 lorsque le paramètre F_iPar_CRC existe, sinon il possède la valeur 0. Le paramètre F_Block_ID affiche que l'enregistrement de données a été étendu de 4 octets pour la valeur de F_iPar_CRC. Vous ne devez pas modifier le paramètre.

Paramètre "F_Par_Version" Ce paramètre identifie le mode de fonctionnement PROFIsafe. Vous pouvez déduire les modes de fonctionnement pris en charge par l'appareil à partir de la plage de valeurs. Pour les IO-Normdevices de sécurité, ce paramètre est mis à "1" (PROFIsafe V2-MODE) et ne peut pas être modifié. Vous pouvez régler le cas échéant ce paramètre pour les esclaves DP de sécurité normés : ● pour un réseau homogène de PROFIBUS DP, il faut forcer la valeur "F_Par_Version" sur

"1" (PROFIsafe V2-MODE) si l'appareil et la CPU F le permettent. Sinon, sélectionnez "0" (mode PROFIsafe V1).

● pour un réseau composé de sous-réseaux PROFIBUS DP et PROFINET IO, il faut forcer la valeur "F_Par_Version" sur "1" (PROFIsafe V2-MODE).



Remarque Les CPU F suivantes prennent en charge le mode V2-MODE : • CPU 416F--2 à partir de la version du firmware V 4.1 • CPU 416F-3 PN/DP • IM 151-7 CPU F, à partir de la version du firmware V2.6 • CPU 315F-2 PN/DP • CPU 315F-2 DP, à partir de la version du firmware V2.6 • CPU 317F-2 PN/DP • CPU 317F-2 DP, à partir de la version du firmware V2.5 • CPU 319F-3 PN/DP Si vous paramétrez "F_Par_Version" sur "1" pour un appareil dans des CPU F ne prenant pas en charge le V2-MODE, une erreur de communication se produit dans la communication de sécurité avec l'appareil. L'un des événements de diagnostic suivants sera alors écrit dans le tampon de diagnostic de la CPU F : • "Périphérie F passivée" : Erreur de valeur de contrôle (CRC) / erreur de numéro de

séquence... • "Périphérie F passivée" : Temps de surveillance dépassé pour le télégramme de

sécurité...

ATTENTION

Pour un réseau composé de sous-réseaux PROFIBUS DP et PROFINET IO, il faut forcer la valeur "F_Par_Version" sur "1" (PROFIsafe V2-MODE). Les appareils ne prenant pas en charge le PROFIsafe V2-MODE ne doivent pas être mis en œuvre dans un réseau PROFINET IO ou dans des configurations mixtes constituées de sous-réseaux PROFIBUS DP et PROFINET IO.

Paramètres "F_Source_Add" et "F_Dest_Add" Les adresses PROFIsafe (paramètres "F_Source_Add", "F_Dest_Add") servent à identifier la source et la destination de façon univoque. Les paramètres "F_Source_Add" und "F_Dest_Add" pour des esclaves DP normés/IO-Normdevices de sécurité correspondent aux paramètres "Adresse_source_F" et "Adresse_cible_F" d'une autre périphérie F. Exception : La plage de valeurs est prédéfinie par le fichier GSD et n'est pas limitée, pour l'adresse cible PROFIsafe, à une valeur comprise entre 1 et 1022. Sinon, les informations relatives à l'attribution des adresses PROFIsafe du chapitre "Configuration de la périphérie F" s'appliquent.

Paramètre "F_WD_Time" Temps de surveillance dans l'esclave DP de sécurité normé/IO-Normdevice. Un télégramme de sécurité valide doit arriver de la CPU F dans le temps de surveillance imparti. De cette manière, vous êtes assuré de la détection des défaillances et des défauts, ainsi que du déclenchement des réactions correspondantes destinées à maintenir ou à amener le système F dans un état sûr. Vous devez choisir le temps de surveillance de telle sorte que la communication tolère des retards du télégramme, mais que la fonction de réaction aux erreurs réponde suffisamment vite en cas de défaut (par ex. perte de la liaison de communication) (voir le manuel système Technologie de sécurité dans SIMATIC S7). Vous pouvez donner au paramètre "F_WD_Time" des valeurs par pas de 1 ms. La plage de valeurs du paramètre "F_WD_Time" est imposée par le fichier GSD.

Configuration 2.6 Attribution de noms symboliques


Paramètre "F_iPar_CRC" CRC via les paramètres d'appareil individuels (paramètres i). Les paramètres d'appareil individuels (paramètres i) d'esclaves DP normés/IO-Normdevices de sécurité sont configurés via l'outil de paramétrage propre au fabricant de l'appareil. Entrez ici le CRC calculé à partir de l'outil de paramétrage du fabricant de l'appareil afin de protéger les paramètres i. S7 Distributed Safety prend en compte la valeur lors du calcul du CRC de paramètre F (CRC1).

Voir aussi Configuration de la périphérie F (Page 36)

2.6 Attribution de noms symboliques

Nom symbolique pour DB de périphérie F Lors de la compilation sous HW Config, un DB de périphérie F est automatiquement généré pour chaque périphérie F avec inscription dans la table des mnémoniques d'un nom symbolique pour ce DB. Le nom symbolique se compose du préfixe fixe "F", de l'adresse de début de la périphérie F et du nom entré dans les propriétés de l'objet de la périphérie F, dans HW Config (max. 17 caractères) (par ex. F00005_4_8_F_DI_DC24V). Les caractères spéciaux contenus dans le nom sont remplacés le cas échéant par "_". Pour la périphérie F, à laquelle vous accédez via la communication esclave I-esclave, un X est ajouté derrière l'adresse de début de la périphérie F (pour "Mode : modules F-DX" = communication de sécurité esclave I-esclave) (par ex. F00005_X_4_8_F_DI_DC24V). Pour éviter que le nom par défaut entré dans les propriétés de l'objet de la périphérie F ne soit utilisé dans le nom symbolique, vous devez modifier ce nom avant la première compilation dans HW Config. Veuillez observer que seuls les 17 premiers caractères du nom sont repris dans le nom symbolique. Après la première compilation, vous pouvez uniquement changer le nom symbolique: ● en l'éditant directement dans la table des mnémoniques

(veuillez vous assurer que la longueur maximale du mnémonique ne dépasse pas 24 caractères et que le nom symbolique ne corresponde plus au nom existant dans les propriétés de l'objet de la périphérie F). ou

● en l'effaçant de la table des mnémonique, en modifiant ensuite le nom dans les propriétés de l'objet puis en effectuant une nouvelle compilation dans HW Config.



Remarque Veuillez observer que, dans le cas des esclaves DP normés/IO-Normdevices de sécurité, ce n'est pas la "désignation" définissable dans HW Config (à la place du nom) qui est utilisée pour constituer le nom symbolique du DB de périphérie F correspondant. Le nom symbolique est constitué à partir du préfixe "F", le l'adresse de début de l'esclave DP normé/IO-Normdevice de sécurité et d'une suite de caractères fixe. Vous ne pouvez modifier le nom symbolique qu'en l'éditant directement dans la table des mnémoniques.

ATTENTION

L'affectation entre un DB de périphérie F et une périphérie F s'effectue uniquement par l'intermédiaire du numéro du DB de périphérie F et non pas par l'adresse de début contenue par défaut dans le nom symbolique ! C'est pourquoi vous ne devez pas changer le numéro affecté automatiquement au DB de périphérie F, sans quoi votre programme de sécurité ne pourrait plus accéder à ce DB de périphérie F.

Des noms symboliques pour les voies d'entrée des SM 336 ; AI 6 x 13Bit et SM 336 ; AI F 6 x 0/4 ... 20 mA HART

Si vous souhaitez attribuer des mnémoniques aux voies d'entrée du SM 336; AI 6 x 13Bit ou SM 336; F-AI 6 x ... 0/4 20 mA HART, assurez-vous que le type de données des mnémoniques est INT.

Voir aussi DB de périphérie F (Page 98)




Protection de l'accès 33.1 Vue d'ensemble des droits d'accès

Introduction L'accès au système de sécurité S7 Distributed Safety est protégé par deux mots de passe, à savoir le mot de passe de la CPU F et le mot de passe du programme de sécurité. Pour le mot de passe du programme de sécurité, une distinction est faite entre un mot de passe hors ligne et un mot de passe en ligne : ● Le mot de passe hors ligne fait partie du programme de sécurité dans la projet hors ligne

sur la PG. ● Le mot de passe en ligne fait partie du programme de sécurité dans la CPU F. Le tableau ci-après vous donne une vue d'ensemble des droits d'accès pour la CPU F et le programme de sécurité. La rubrique suivante vous explique comment vous pouvez attribuer les mots de passe et comment vous pouvez créer, modifier et annuler les droits d'accès à la CPU F et au programme de sécurité.

Mot de passe de la CPU F Mot de passe du programme de sécurité Création dans HW Config, lors de la configuration de la

CPU F, Propriétés - CPU, onglet "Protection", niveau de protection correspondant, p. ex. "1 : protection d'accès pour la CPU F" et cases à cocher "modifiable par mot de passe" et "CPU contient programme de sécurité"

• dans SIMATIC Manager, Menu Outils > Editer le programme de sécurité > Habilitation >

• lorsque vous ouvrez le PB F pour la première fois • lorsque vous ouvrez des FB F/FC F pour la

première fois • lorsque vous ouvrez des DB F pour la première fois • lorsque vous ouvrez la boîte de dialogue "Editer les

groupes d'exécution F" pour la première fois • lorsque vous générez pour la première fois dans HW Config après le premier enregistrement : • lorsque vous disposez la périphérie F paramétrée

sur "Mode de sécurité", dans la table de configuration

• lorsque vous ouvrez pour la première fois l'onglet "Paramètres F" dans la boîte de dialogue des propriétés de l'objet de la CPU F

• lorsque vous ouvrez pour la première fois la boîte de dialogue des propriétés de l'objet d'une périphérie F

• lorsque vous ouvrez pour la première fois l'onglet "Configuration F" dans les propriétés de l'objet d'un esclave I

• lorsque vous ouvrez pour la première fois l'onglet "PROFIsafe" dans la boîte de dialogue des propriétés de l'objet d'un esclave DP normé/IO-Normdevice de sécurité

• lorsque vous modifiez les paramètres dans les onglets et boîtes de dialogue ci-dessus

• lorsque vous supprimez une périphérie F ou une CPU F dans la table de configuration

Protection de l'accès 3.1 Vue d'ensemble des droits d'accès


Mot de passe de la CPU F Mot de passe du programme de sécurité Interrogation • lorsque vous chargez le programme de

sécurité complet • lorsque vous chargez et supprimez des blocs F

avec des attributs F

Mot de passe hors ligne : • lorsque vous chargez des blocs F dans

SIMATIC Manager • lorsque vous générez depuis la boîte de dialogue

"Programme de sécurité" • lorsque vous effectuez une génération avec la

fonction "Contrôle de cohérence d'un bloc" • lorsque vous ouvrez le PB F • lorsque vous ouvrez des FB F/FC F • lorsque vous ouvrez des DB F • lorsque vous paramétrez la protection contre le

piratage des FB F, FC F et DB F créés par l'utilisateur

• lorsque vous ouvrez le dialogue "Editer les groupes d'exécution de sécurité"

• lorsque vous modifiez le mot de passe • lorsque vous agencez une périphérie F réglée sur

le "mode de sécurité", dans le tableau de configuration.

• lorsque vous ouvrez l'onglet "Paramètres F" dans la boîte de dialogue des propriétés de l'objet

• lorsque vous ouvrez la boîte de dialogue des propriétés de l'objet d'une périphérie F

• lorsque vous ouvrez l'onglet "PROFIsafe" dans la boîte de dialogue des propriétés de l'objet d'un esclave DP normé/IO-Normdevice de sécurité

• lorsque vous modifiez les paramètres dans les onglets et boîtes de dialogue ci-dessus

• lorsque vous supprimez une périphérie F ou une CPU F dans la table de configuration

• lorsque vous enregistrez et compilez une configuration matérielle (seul le programme de sécurité est protégé contre des modifications)

• lorsque vous créez, insérez, déplacez de (nouveaux) blocs F dans le dossier Blocs hors ligne du programme de sécurité*

• lorsque vous enregistrez des blocs F • lorsque vous supprimez des blocs F dans le dossier

Blocs hors ligne du programme de sécurité* • lorsque vous coupez et supprimez des blocs F

dans le dossier Blocs hors ligne du programme de sécurité*

• lors de la "réassignation" de blocs F • en cas de stockage en lecture seule de blocs F • lorsque vous supprimez le dossier Blocs hors ligne*• lorsque vous supprimez le dossier "Programme

S7"* • lorsque vous ouvrez des propriétés de l'objet de

blocs F* • lorsque vous éditez des propriétés de l'objet d'un

bloc F*

Protection de l'accès 3.2 Droit d'accès au programme de sécurité


Mot de passe de la CPU F Mot de passe du programme de sécurité Mot de passe en ligne : • lorsque vous désactivez le mode de sécurité (saisie

toujours requise, même lorsque le droit d'accès au programme de sécurité est encore valable)

• lorsque vous forcez des données du programme de sécurité

• lorsque vous créez de nouveaux blocs F dans le dossier Blocs en ligne du programme de sécurité

Validité Une fois le mot de passe correct entré, le droit d'accès s'applique jusqu'à que vous quittiez le SIMATIC Manager ou qu'il soit annulé avec la commande de menu Système cible > Droit d'accès > Annuler .

Après saisie du mot de passe correct, le droit d'accès est valable pendant une heure. Pour plus d'informations, voir la rubrique "Droit d'accès au programme de sécurité"

* Condition : le programme de sécurité est affecté à une CPU F.

3.2 Droit d'accès au programme de sécurité

Marche à suivre pour l'attribution du mot de passe pour le programme de sécurité Pour attribuer le mot de passe au programme de sécurité : 1. Sélectionnez la CPU ou son programme S7 dans le SIMATIC Manager. 2. Choisissez la commande de menu Outils > Editer le programme de sécurité.

La boîte de dialogue "Programme de sécurité" s'ouvre. 3. Cliquez sur le bouton "Habilitation..." et entrez le mot de passe du programme de sécurité

dans les zones "Nouveau mot de passe" et "Confirmer mot de passe" dans la boîte de dialogue "Habilitation d'accès au programme de sécurité".

Si vous n'avez attribué encore aucun mot de passe pour le programme de sécurité et exécuté une action lors de laquelle le mot de passe pour le programme de sécurité est demandé (voir le tableau sur l'attribution et l'interrogation des mots de passe), la boîte de dialogue "Habilitation d'accès au programme de sécurité" pour l'attribution du mot de passe du programme de sécurité s'affiche automatiquement.

Remarque Veillez à utiliser des mots de passe identiques en ligne et hors ligne pour le programme de sécurité, en chargeant le programme de sécurité dans la CPU F avec la boîte de dialogue "Programme de sécurité". Sinon, vous ne pouvez pas charger à l'aide du SIMATIC Manager et de l'éditeur LOG/CONT.

ATTENTION

Vous devez utiliser des mots de passe différents pour la CPU F et le programme de sécurité afin d'optimiser la protection d'accès.

Protection de l'accès 3.2 Droit d'accès au programme de sécurité


ATTENTION Lorsque l'accès à la PG/au PC n'est pas limité par un droit d'accès aux personnes habilitées à modifier le programme de sécurité, il faut que la protection par mot de passe soit assurée par les mesures administratives suivantes, côté PG/PC: • Le mot de passe ne doit être accessible qu'à des personnes habilitées. • Les personnes habilitées doivent explicitement retirer les droits d'accès au programme

de sécurité avant de quitter la PG/le PC. Si cette mesure n'est pas appliquée systématiquement, il faut utiliser en outre un économiseur d'écran avec un mot de passe accessible aux seules personnes autorisées.

Modifier le mot de passe du programme de sécurité Vous modifiez également le mot de passe du programme de sécurité dans la boîte de dialogue "Habilitation d'accès au programme de sécurité" en entrant, comme dans Windows, l'ancien mot de passe et deux fois le nouveau mot de passe.

Procéder de la manière suivante pour créer le droit d'accès au programme de sécurité Pour configurer un droit d'accès au programme de sécurité : 1. Sélectionnez la CPU ou son programme S7 dans le SIMATIC Manager. 2. Choisissez la commande de menu Outils > Editer le programme de sécurité.

La boîte de dialogue "Programme de sécurité" s'ouvre. 3. Cliquez sur le bouton "Habilitation..." et entrez le mot de passe du programme de sécurité

dans la zone "Ancien mot de passe" de la boîte de dialogue "Habilitation d'accès au programme de sécurité".

Si vous n'avez encore configuré aucun droit d'accès et que vous avez exécuté une action lors de laquelle le mot de passe pour le programme de sécurité est demandé (voir le tableau sur l'attribution et l'interrogation des mots de passe), la boîte de dialogue "Mot de passe du programme de sécurité" s'affiche automatiquement pour la saisie du mot de passe.

Validité du droit d'accès à un programme de sécurité Un droit d'accès configuré pour un programme de sécurité permet uniquement un accès à l'utilisateur Windows qui était également l'utilisateur Windows au moment de la configuration. Par ailleurs, le droit d'accès à un programme de sécurité est effectif uniquement dans le contexte du projet dans lequel le programme de sécurité se trouvait au moment de la configuration. Après saisie du mot de passe correct, le droit d'accès au programme de sécurité est valable pendant une heure ou jusqu'à ce qu'il soit annulé. Dans cette heure, la durée de validité du mot de passe en ligne pour chaque action en ligne ou la durée de validité du mot de passe hors ligne pour chaque action hors ligne, pour laquelle le mot de passe est demandé (voir le tableau sur l'attribution et l'interrogation des mots de passe) est remise sur une heure. Si la validité d'un droit d'accès expire pendant que vous êtes en train d'effectuer une action exigeant un mot de passe (par ex. pendant l'édition d'un bloc F), le mot de passe actuel vous est de nouveau demandé à la sauvegarde. Si vous n’entrez pas de mot de passe, le résultat de l'action ne peut pas être sauvegardé.

Protection de l'accès 3.3 Accès en lecture sans mot de passe pour le programme de sécurité


Annuler le droit d'accès au programme de sécurité Vous annulez le droit d'accès au programme de sécurité dans la boîte de dialogue "Habilitation d'accès au programme de sécurité" en cliquant sur le bouton "Annuler". Vous pouvez aussi annuler les droits d'accès au programme de sécurité dans la boîte de dialogue "Programme de sécurité" via le bouton "Habilitation...". Par conséquent, le mot de passe pour le programme de sécurité vous sera redemandé à la prochaine action qui requiert la saisie d'un mot de passe (voir le tableau sur l'attribution et l'interrogation des mots de passe). Pour "Annuler" le droit d'accès lors du forçage, vous devez interrompre la liaison de communication à la CPU F (par ex. en fermant les applications STEP 7). Le droit d'accès est automatiquement remis à 0 pour le programme de sécurité si toutes les applications STEP 7 qui ont "ouvert" S7 Distributed Safety ( par ex. SIMATIC Manager, l'éditeur LOG/CONT) ont été quittées. Si vous appelez de nouveau STEP 7 après avoir quitté ces applications STEP 7 et exécutez une action exigeant un mot de passe, le mot de passe pour le programme de sécurité vous sera de nouveau demandé.

3.3 Accès en lecture sans mot de passe pour le programme de sécurité

Accès en lecture sans mot de passe La boîte de dialogue "Mot de passe du programme de sécurité" vous permet de définir le mot de passe pour le programme de sécurité. Vous pouvez également vous décider pour des accès en lecture sans mot de passe. Les accès en lecture sans mot de passe sont possibles pour les onglets et boîtes de dialogue des propriétés F concernant la CPU F, la périphérie F, les blocs F et la communication sécurisée, ainsi que pour les blocs F du programme de sécurité et la boîte de dialogue "Editer les groupes d'exécution F".

Boîte de dialogue "Mot de passe du programme de sécurité" La boîte de dialogue "Mot de passe du programme de sécurité" se présente ainsi :

Protection de l'accès 3.3 Accès en lecture sans mot de passe pour le programme de sécurité


Accès en écriture pour toutes les actions suivantes Si vous avez paramétré l'accès en lecture pour toutes les actions suivantes, le mot de passe ne sera alors plus demandé et l'accès sera uniquement effectué en lecture. Exception : l'accès souhaité est impossible en lecture et vous souhaitez mettre fin à l'accès en lecture. L'accès en lecture pour toutes les actions suivantes n'est pas limité dans le temps et est uniquement valable pour le programme de sécurité pour lequel il a été activé et non pas pour d'autres programmes de sécurité sur la même PG/le même PC.

Mettre fin à l'accès en lecture pour toutes les actions suivantes L'accès en lecture pour toutes les actions suivantes se termine lorsque vous exécutez l'une des actions suivantes : ● annulation du droit d'accès dans la boîte de dialogue "Habilitation d'accès au programme

de sécurité" ● annulation du droit d'accès dans la boîte de dialogue "Programme de sécurité" via le

menu déroulant du bouton "Habilitation...". ● fin de toutes les applications S7 dans lesquelles des données d'un programme de

sécurité ont été éditées avec un accès en lecture pour toutes les actions suivantes ● saisie d'un mot de passe pour le programme de sécurité lors d'une action n'autorisant

aucun accès en lecture (p. ex. compilation du programme de sécurité) ● redémarrage de la PG/du PC

Accès en lecture uniquement pour cet accès Si vous avez paramétré un accès unique en lecture, le mot de passe sera de nouveau demandé pour l'accès en lecture suivant ou pour toutes les actions suivantes nécessitant un mot de passe.

Protection de l'accès 3.4 Droit d'accès à la CPU F


3.4 Droit d'accès à la CPU F

Marche à suivre pour l'attribution d'un mot de passe pour la CPU F Vous attribuez le mot de passe de la CPU F lors de la configuration de la CPU F (voir le chapitre "Configuration de la CPU F").

Modification du mot de passe de la CPU F Vous ne pouvez modifier le mot de passe de la CPU F qu'en modifiant la configuration. Pour charger la configuration modifiée, vous devez mettre la CPU F à l'état STOP.

Marche à suivre pour la création d'un droit d'accès à la CPU F 1. Sélectionnez la CPU ou son programme S7 dans le SIMATIC Manager. 2. Choisissez la commande de menu Système cible > Droits d'accès > Créer et entrez,

dans la boîte de dialogue, le mot de passe de la CPU F que vous avez créé à la configuration de la CPU F dans l'onglet "Protection".

ATTENTION

Lorsque l'accès à la PG/au PC n'est pas limité par un droit d'accès aux personnes habilitées à modifier le programme de sécurité, il faut que la protection de la CPU F par mot de passe soit assurée par les mesures administratives suivantes, côté PG/PC: • Le mot de passe ne doit être accessible qu'à des personnes habilitées. • Les personnes habilitées doivent explicitement retirer les droits d'accès à la CPU F

avant de quitter la PG/le PC. Si cette mesure n'est pas appliquée systématiquement, il faut utiliser en outre un économiseur d'écran avec un mot de passe accessible aux seules personnes autorisées.

Après annulation du droit d'accès, contrôlez que les signatures globales de tous les blocs F avec attributs F du dossier Blocs en ligne sont identiques à celles de tous les blocs F avec attributs F du dossier Blocs du programme de sécurité ayant fait l'objet de la réception. Sinon, chargez à nouveau le bon programme de sécurité dans la CPU F.

Validité/Annulation du droit d'accès à la CPU F Le droit d'accès à la CPU F est valide jusqu'à ce que vous quittiez le SIMATIC Manager ou jusqu'à ce qu'il soit annulé via la commande de menu Système cible > Droit d'accès > Annuler ou bien encore jusqu'à ce que la dernière application S7 soit terminée.

Protection de l'accès 3.4 Droit d'accès à la CPU F


Transférer le programme de sécurité dans plusieurs CPU F

ATTENTION Si plusieurs CPU F sont accessibles à partir d'un PG/PC via un réseau (p. ex. MPI), vous devez vous assurer que le programme de sécurité est chargé dans la CPU F correcte en prenant les mesures supplémentaires suivantes : Utilisez des mots de passe spécifiques à chaque CPU F, par ex. un mot de passe commun pour les CPU F avec en suffixe l'adresse MPI de chacune d'entre elles (8 caractères au plus) : "PW_8". Veuillez observer : • La première affectation d'un mot de passe à une CPU F doit avoir lieu via une liaison

point à point (de la même façon que la première affectation d'une adresse MPI à une CPU F).

• Avant de charger un programme de sécurité dans une CPU F pour laquelle il n'existe pas encore d'autorisation d'accès par mot de passe, vous devez d'abord annuler une autorisation d'accès existant déjà pour une autre CPU F.

Voir aussi Configuration de la CPU F (Page 26)


Programmation 44.1 Vue d'ensemble de la programmation

4.1.1 Vue d'ensemble de la programmation

Introduction Un programme de sécurité se compose de blocs de sécurité (blocs F) que vous créez avec les langages de programmation LOG F ou CONT F ou que vous sélectionnez dans une bibliothèque F, et de blocs F qui sont automatiquement complétés lors de la génération du programme de sécurité. Le programme de sécurité que vous avez créé, est ainsi automatiquement complété par des mesures de contrôle des défaillances, des contrôles de sécurité complémentaires étant alors exécutés.

Contenu du présent chapitre Le présent chapitre décrit : ● la structure du programme de sécurité dans S7 Distributed Safety ● les blocs de sécurité ● les différences entres les langages de programmation LOG F / CONT F et les langages

LOG/CONT standard



Structure schématique d'un projet avec programme utilisateur standard et programme de sécurité La figure ci-après présente la structure schématique d'un projet STEP 7 sur PG/PC avec programme utilisateur standard et programme de sécurité pour S7 Distributed Safety. La bibliothèque de blocs F S7 Distributed Safety (V1) est fournie avec le logiciel optionnel S7 Distributed Safety pour la programmation du programme de sécurité. La bibliothèque F se trouve dans le répertoire step7/s7libs. Les informations concernant la programmation sont présentées en détail dans les chapitres suivants.

Figure 4-1 Structure



4.1.2 Structure du programme de sécurité dans S7 Distributed Safety

Présentation de la structure de programme La figure ci-après présente la structure schématique d'un programme de sécurité pour S7 Distributed Safety. La structure d'un programme de sécurité est composée d'un ou de deux groupes d'exécution F. Chaque groupe d'exécution F contient : ● des blocs F que vous avez créés vous-même et que vous sélectionnez dans la

bibliothèque F Distributed Safety (V1) ou dans une bibliothèque F utilisateur et ● des blocs F qui sont complétés automatiquement (blocs système de sécurité SB F, blocs

F générés automatiquement et DB global F)



Description de la structure du programme Le lancement du programme de sécurité s'effectue par appel du F-CALL à partir du programme utilisateur standard. Appelez le F-CALL directement dans un OB, de préférence dans un OB d'alarme cyclique (p. ex. l'OB 35). Les OB d'alarme cyclique présentent l'avantage d'interrompre à intervalles réguliers l'exécution du programme dans l'OB1 du programme utilisateur standard, en d'autres termes, le programme de sécurité est appelé et exécuté à intervalles réguliers dans un OB d'alarme cyclique. Après exécution du programme de sécurité, le traitement du programme utilisateur standard reprend.

Groupes d'exécution F Un programme de sécurité est composé d'un ou de deux "groupes d'exécution F" pour une utilisation simplifiée. Un groupe d'exécution F est une structure logique constituée de plusieurs blocs F associés que le système F crée en interne. Un groupe d'exécution F se compose : ● d'un bloc d'appel F F-CALL ● d'un bloc de programme de sécurité PB F (il s'agit d'un FB F/FC F auquel vous affectez le

F-CALL) ● éventuellement d'autres FB F/FC F que vous programmez en LOG F/CONT F ● éventuellement d'un ou de plusieurs DB F ● de DB de périphérie F ● de blocs F de la bibliothèque de sécurité Distributed Safety (V1) ● de blocs F de bibliothèques de sécurité utilisateur ● de blocs système F SB F ● de blocs F générés automatiquement

Structure du programme de sécurité dans deux groupes d'exécution F Vous pouvez diviser votre programme de sécurité en deux groupes d'exécution F. En exécutant des parties du programme de sécurité (un groupe d'exécution F) dans un niveau d'exécution plus rapide, vous obtenez des boucles de sécurité plus rapides avec des temps de réaction plus courts.

Voir aussi Règles pour les groupes d'exécution F du programme de sécurité (Page 86)



4.1.3 Blocs F

Blocs F d'un groupe d'exécution F Dans un groupe d'exécution F vous utiliserez les blocs F du tableau suivant :

Bloc F Fonction Langage de

création F-CALL Bloc F pour l'appel du groupe d'exécution F à partir du programme

utilisateur standard. Le F-CALL contient l'appel du bloc de programme F et les appels des blocs F du groupe d'exécution F complétés automatiquement. Vous pouvez créer le F-CALL mais vous ne pouvez pas l'éditer. L'appel du F-CALL est possible dans un OB ou un FB/FC appelés dans un OB.

F-CALL

FB F/FC F, PB F

La fonction de sécurité proprement dite se programme à l'aide de LOG F ou de CONT F. La programmation de sécurité débute par le bloc de programme F. Le PB F est un FC F ou FB F (avec DB d'instance) qui, par l'affectation au F-CALL, devient un PB F. Dans le PB F, vous pouvez : • programmer le programme de sécurité sous LOG F ou CONT F • appeler d'autres FB F/FC F créés pour structurer le programme

de sécurité • insérer des blocs F du dossier Blocs F-Application Blocks (blocs

d'application F) de la bibliothèque F Distributed Safety (V1). • Insérer des blocs F de "bibliothèques F utilisateur" Quant à l'ordre d'appel des blocs F au sein du PB F, c'est à vous de le définir.

LOG F/CONT F

DB F Bloc de données F que vous pouvez utiliser facultativement et auxquels il est possible d'accéder en lecture et en écriture au sein du programme de sécurité.

DB F

DB de périphérie F

Dans HW Config, un DB de périphérie F est généré automatiquement pour chaque module de périphérie F lors de la compilation. L'accès aux variables du DB de périphérie F est possible ou nécessaire dans le cadre d'accès à la périphérie F.

–



Blocs F de la bibliothèque F Distributed Safety (V1) La bibliothèque F Distributed Safety (V1) contient : ● dans le dossier Blocs F-Application Blocks\Blocks des blocs d'application F, ● dans le dossier Blocs F-System Blocks\Blocks des blocs système F et le DB global F.

Les dossiers contiennent les blocs F du tableau suivant :

Dossier ... contenant des blocs F pour

fonction/blocs F

F-Application Blocks

Dossier qui contient les blocs d'application F que vous pouvez appeler dans les PB F/FB F/FC F

Communication sécurisée CPU-CPU

Blocs d'application F pour la communication sécurisée CPU-CPU : F_SENDDP, F_RCVDP, F_SENDS7, et F_RCVS7 pour l'émission et la réception de données en communication sécurisée CPU-CPU

Acquittement Bloc d'application F_ACK_OP pour l'acquittement de sécurité via un système de contrôle-commande Bloc d'application F F_ACK_GL pour un acquittement global de toutes les périphéries F d'un groupe d'exécution F

Temporisations et compteurs

Blocs d'application F F_TP, F_TON, F_TOF ; Blocs d'application F F_CTU, F_CTD, F_CTUD

Fonction F préprogrammées

Blocs d'application F par exemple pour la surveillance de commande bimanuelle, l'inhibition, l'arrêt d'urgence, la surveillance de porte de protection, la surveillance de boucles de retour

Conversion de données et mise à l'échelle

Blocs d'application F F_SCA_I, F_BO_W, F_W_BO

Copie Blocs d'application F F_INT_WR, F_INT_RD Opérations de décalage Blocs d'application F F_SHL_W, F_SHR_W F-System Blocks Dossier qui contient les blocs système F (SB F) et le

DB global F qui sont automatiquement intégrés dans le programme de sécurité

Blocs système F Les blocs système F (SB F) sont automatiquement intégrés par S7 Distributed Safety lors de la génération du programme de sécurité pour créer un programme exécutable à partir du programme de sécurité que vous avez généré. N'intégrez pas de blocs système F issus du dossier Blocs F-System Blocks dans un PB F/FB F/FC F et ne modifiez (renommez) pas ni ne supprimez les blocs système F de la bibliothèque F Distributed Safety (V1) ou du dossier de votre projet utilisateur !



Dossier ... contenant des blocs F pour

fonction/blocs F

DB global F Bloc de données de sécurité qui contient toutes les données globales du programme de sécurité ainsi que des informations complémentaires requises par le système F. Le DB global F est inséré et complété automatiquement lors de l'enregistrement et la compilation de la configuration matérielle. Par le biais de son nom symbolique F_GLOBDB, vous pouvez traiter certaines données du programme de sécurité dans le programme utilisateur standard.

Remarque Vous trouverez une représentation détaillée des blocs d'application F au chapitre "Bibliothèque F Distributed Safety (V1)".

Voir aussi Accès à la périphérie F (Page 95) Présentation de la bibliothèque F Distributed Safety (V1) (Page 175) Bibliothèques F personnalisées (Page 251)

4.1.4 Différences entres les langages de programmation LOG F/CONT F et les langages standard LOG/CONT

Introduction Le programme utilisateur dans la CPU F se compose en général d'un programme utilisateur standard et d'un programme de sécurité. Le programme utilisateur standard est créé avec des langages de programmation standard tels que LIST, CONT ou LOG sous STEP 7. Le programme de sécurité pour S7 Distributed Safety est programmé en LOG F ou CONT F.

Langages de programmation LOG F et CONT F Les langages de programmation LOG F et CONT F correspondent d'une manière générale aux langages standard LOG/CONT. La programmation fait appel à l'éditeur LOG/CONT standard sous STEP 7. LOG F et CONT F se distinguent des langages standard essentiellement par les restrictions au niveau du jeu d'opérations, ainsi que des types de données et zones d'opérandes utilisables.



Types de données et de paramètres pris en charge LOG F/CONT F prennent en charge les types de données élémentaires suivants : ● BOOL ● INT ● WORD ● TIME

Types de données et de paramètres illicites Sont illicites : ● les types de données élémentaires non mentionnés ci-dessus (BYTE, DWORD, DINT,

REAL, p. ex.) ● les types de données composés (STRING, ARRAY, STRUCT, UDT, p. ex.) ● les types de paramètres (BLOCK_FB, BLOCK_DB, ANY, p. ex.)

Zones d'opérandes prises en charge La répartition en zones d'opérandes de la mémoire système d'une CPU F est la même que celle d'une CPU standard. Avec le programme de sécurité, vous pouvez accéder aux zones d'opérandes mentionnées dans le tableau ci-après. Veuillez noter à ce propos que, sous LOG F/CONT F, vous ne pourrez accéder ● aux données de type BOOL que par bit, ● aux données de type INT que par mot, ● aux données de type WORD que par mot, ● aux données de type TIME que par double mot. Cette restriction ne s'applique pas à l'accès en écriture à des données du programme utilisateur standard (mémento ou mémoire image d'une périphérie standard). Exemple : Vous ne pouvez accéder aux voies d'entrée de type de données BOOL dans la mémoire image des entrées de la périphérie F que par l'unité "Entrée (bit)". Pour des raisons de clarté, accédez toujours dans le programme de sécurité aux zones d'opérandes au moyen de noms symboliques.

Zone d'opérandes Accès via les unités

de taille suivante : Notation S7

Description

Mémoire image des entrées • de la

périphérie F Au début du groupe d'exécution F (F-CALL),

la CPU F lit les entrées sur la périphérie F et enregistre les valeurs dans la mémoire image des entrées. L'accès aux voies d'entrée n'est possible qu'en lecture. C'est la raison pour laquelle aucun transfert aux paramètres (IN_OUT) transitoires d'un FB F ou FC F n'est admissible.



Zone d'opérandes Accès via les unités de taille suivante :

Notation S7

Description

Voies de type de données BOOL, voies TOR par ex.

Entrée (bit) E L'accès aux voies d'entrée de type de données BOOL n'est possible qu'en lecture via l'unité "Entrée (bit)". L'accès, par ex. par l'unité "Mot d'entrée", n'est pas admissible.

Voies de type de données INT (WORD), voies analogiques par ex.

Mot d'entrée EW L'accès aux voies d'entrée de type de données INT (WORD) n'est possible qu'en lecture via l'unité "Mot d'entrée". Un accès aux différents bits via l'unité "Entrée (bit)" n'est pas admissible.

• de la périphérie Standard

Au début de chaque cycle d'OB 1, la CPU F lit les entrées sur la périphérie standard et enregistre les valeurs dans la mémoire image des entrées. Pour les S7-400, tenez compte également des heures à laquelle l'actualisation est effectuée en cas d'utilisation de mémoires image partielles.

Entrée (bit) Mot d'entrée

E EW

L'accès aux voies d'entrée de la périphérie standard n'est possible qu'en lecture via les unités mentionnées. C'est la raison pour laquelle aucun transfert aux paramètres (IN_OUT) transitoires d'un FB F ou FC F n'est admissible. Un contrôle de plausibilité spécifique au processus est par ailleurs nécessaire.

Mémoire image des sorties • de la

périphérie F Dans le PB F, le programme de sécurité

calcule les valeurs des sorties de la périphérie F et les enregistre dans la mémoire image des sorties. En fin de groupe d'exécution F (F-CALL), la CPU F écrit les valeurs de sortie calculées dans les sorties de la périphérie F. L'accès aux voies de sortie n'est possible qu'en écriture. C'est la raison pour laquelle aucun transfert aux paramètres (IN_OUT) transitoires d'un FB F ou FC F n'est admissible.

Voies de type de données BOOL, voies TOR par ex.

Sortie (bit) A L'accès aux voies de sortie de type de données BOOL n'est possible qu'en écriture via l'unité "Sortie (bit)". L'accès, par ex., par l'unité "Mot de sortie" n'est pas admissible.

Voies de type de données INT (WORD), voies analogiques par ex.

Mot de sortie AW L'accès aux voies de sortie de type de données INT (WORD) n'est possible qu'en écriture via l'unité "Mot de sortie". Un accès aux différents bits via l'unité "Sortie (bit)" n'est pas admissible.




Notation S7

Description

• de la périphérie Standard

Dans le PB F le programme de sécurité calcule éventuellement aussi les valeurs des sorties de la périphérie standard et les enregistre dans la mémoire image des sorties. Au début du cycle d'OB 1suivant, la CPU F écrit les valeurs de sortie calculées dans les sorties de la périphérie standard. Pour les S7-400, tenez compte également des heures à laquelle l'actualisation est effectuée en cas d'utilisation de mémoires image partielles.

Sortie (bit) Mot de sortie

A AW

L'accès aux voies de sortie de la périphérie standard n'est possible qu'en écriture via les unités mentionnées. C'est la raison pour laquelle aucun transfert aux paramètres (IN_OUT) transitoires d'un FB F ou FC F n'est admissible.

Mémento Mémento (bit) Mot de mémento

M MW

Cette zone sert à l'échange de données avec le programme utilisateur standard. L'accès aux mémentos n'est possible que via les unités mentionnées. En cas d'accès en lecture, un contrôle de plausibilité additionnel spécifique au processeur est nécessaire. Le programme de sécurité autorise pour les mémentos l'accès en lecture ou en écriture. C'est la raison pour laquelle aucun transfert aux paramètres (IN_OUT) transitoires d'un FB F ou FC F n'est admissible. Veuillez noter que les mémentos ne sont autorisés que pour le couplage entre programme utilisateur standard et programme de sécurité et non pas comme mémoire intermédiaire pour les données F.

Bloc de données Les blocs de données mémorisent les informations du programme. Ils peuvent être définis de sorte que tous les FB F/FC F/PB F puissent y accéder (DB F) ou puissent être affectés à un FB F/PB F défini (DB d'instance). Les blocs de données doivent être créés avec le langage "DB F" ou comme DB d'instance d'un FB F/PB F.

Bit de données Mot de données Double mot de données

DBX DBW DBD

L'accès aux données n'est possible que via les unités qui correspondent au type de données dans la table de déclaration.




Notation S7

Description

Données locales Cette zone de mémoire enregistre les données temporaires d'un bloc (F) durant le traitement de ce bloc (F). La pile L met également de la mémoire à disposition pour le transfert de paramètres de bloc et pour l'enregistrement de résultats intermédiaires.

Bit de données locales Mot de données locales Double mot de données locales

L LW LD

L'accès aux données locales n'est possible que via les unités qui correspondent au type de données dans la table de déclaration.

Zones d'opérandes illicites Est illicite, l'accès via des unités non mentionnées dans le tableau ci-dessus ou l'accès à des zones d'opérandes non mentionnées, notamment à : ● des compteurs (les compteurs de sécurité sont réalisés via des blocs d'application F de la

bibliothèque F Distributed Safety (V1) : F_CTU, F_CTD, F_CTUD) ● des temporisations (les temporisations de sécurité sont réalisées via des blocs

d'application F de la bibliothèque F Distributed Safety (V1) : F_TP, F_TON, F_TOF) ● des blocs de données du programme utilisateur standard ● des blocs de données (DB F) via "OPN DI" ● des blocs de données qui ont été complétés automatiquement

– Exception : certaines données dans le DB de périphérie F et le DB global F du programme de sécurité

● Zone de périphérie : Entrées ● Zone de périphérie : Sorties

Constantes booléennes "0" et "1" Si, dans votre programme de sécurité, vous avez besoin des constantes booléennes "0" et "1" pour les transmettre à des paramètres à l'appel de blocs, vous pouvez accéder aux variables "VKE0" et "VKE1" dans le DB global F par un accès entièrement qualifié au DB ("F_GLOBDB".VKE0 ou "F_GLOBDB".VKE1).



Zone d'opérandes des données locales Particularités

Remarque Veillez lors de l'utilisation d'une plage d'opérandes Données locales à ce que le premier accès à une donnée locale dans un PB F/FB F/FC F soit toujours un accès en écriture initialisant celle-ci. Veillez à ce que la donnée locale ne soit pas omise par les opérations JMP, JMPN ou RET (branchement) lors de l'initialisation. L'initialisation d'un "bit de données locales" doit être réalisée avec l'opération Affectation ("=") (LOG F) ou bobine à relais, sortie ("--()") (CONT F). Affectez au bit de donnée locale l'état de signal "0" ou "1" comme constante booléenne. Les opérations de bascule (SR, RS), la mise à 1 (S) ou la remise à 0 (R) de la sortie ne permettent pas d'initialiser les bits de données locales. Si ceci n'est pas respecté, la CPU F peut passer en STOP. L'un des événements de diagnostic suivants sera alors écrit dans le tampon de diagnostic de la CPU F : • "Altération de données dans le programme de sécurité avant sortie vers la périphérie F" • "Altération de données dans le programme de sécurité avant sortie vers une CPU F

partenaire" • "Programme de sécurité : Erreur interne de CPU ; Information d'erreur interne : 404"

Les plages d'adresses possibles sur votre CPU F sont indiquées dans l'information produit de la CPU F mise en œuvre.

Zones d'opérande pour N, P, NEG, POS, S, R, SR ; opérations RS : Particularités

Remarque Les plages d'opérandes "Mémoire image des entrées", "Mémoire image des sorties" et "Mémentos" ne doivent pas être utilisées pour les mémentos de front des opérations d'interrogation de front (N, P) ou d'interrogation de front du signal (NEG, POS) ou pour l'opérande des opérations de bascule (SR, RS). Si la plage d'opérandes "Données locales" est utilisée pour les mémentos de front des opérations d'interrogation de front (N, P) ou d'interrogation du front du signal (NEG, POS) ou pour l'opérande des opérations de bascule (SR, RS), la mise à 1 de la sortie (S) ou la remise à 0 de la sortie (R), le bit de données locales doit avoir au préalable été initialisé.



Opérations prises en charge Dans le programme de sécurité, vous pouvez utiliser les opérations mentionnées dans le tableau ci-après :

Opération Fonction Description LOG F CONT F >=1 - Opération binaire Combinaison OU & - Opération binaire Combinaison ET XOR - Opération binaire Combinaison OU EXCLUSIF ---| - Opération binaire Activation entrée binaire ---o| - Opération binaire Négation entrée binaire = - Opération binaire Affectation - ---| |--- Opération binaire Contact à fermeture - ---| / |--- Opération binaire Contact à ouverture - ---|NOT|--- Opération binaire Inversion du résultat de

l'opération binaire - ---( ) Opération binaire Bobinage de sortie # ---(#)--- Opération binaire Connecteur S ---(S) Opération binaire Mise à 1 de la sortie R ---(R) Opération binaire Mise à 0 de la sortie SR SR Opération binaire Mise à 1/mise à 0 de la bascule RS RS Opération binaire Mise à 0/mise à 1 de la bascule N ---(N)--- Opération binaire Détection de front descendant NEG NEG Opération binaire Détection de front descendant

de signal P ---(P)--- Opération binaire Détection de front montant POS POS Opération binaire Détection de front montant de

signal WAND_W WAND_W Opération sur mot Combinaisons ET à 16 bits WOR_W WOR_W Opération sur mot Combinaisons OU à 16 bits WXOR_W WXOR_W Opération sur mot Combinaisons OU EXCLUSIF à

16 bits ADD_I ADD_I Fonction virgule fixe Addition d'entiers (16 bits) DIV_I DIV_I Fonction virgule fixe Division d'entiers (16 bits) MUL_I MUL_I Fonction virgule fixe Multiplication d'entiers (16 bits) SUB_I SUB_I Fonction virgule fixe Soustraction d'entiers (16 bits) CMP ? I CMP ? I Comparateur Comparaison d'entiers (16 bits)

(CMP==I, CMP<>I, CMP>I, CMP<I, CMP>=I, CMP<=I)

NEG_I NEG_I Convertisseur Générer complément à deux de l'entier de 16 bits

OPN ---(OPN) Appel de DB Ouverture d'un bloc de données MOVE MOVE Décalage Transfert d'une valeur CALL_FC (FC appelé comme boîte)

CALL_FC (FC appelé comme boîte)

Gestion d'exécution de programme

Appel inconditionnel de FC F (EN = 1, pas de connexion de EN !)



Opération Fonction Description CALL_FB (FB appelé comme boîte)

CALL_FB (FB appelé comme boîte)


Appel inconditionnel de FB F (EN = 1, pas de connexion de EN !)

vRET ---( RET ) Gestion d'exécution de programme

Retour (quitter le bloc)

appel d'instances multiples




JMP ---( JMP ) Opération de saut Saut absolu dans le bloc Saut dans le bloc si 1 (conditionné)

JMPN ---( JMPN ) Opération de saut Saut dans le bloc si 0 (conditionné)

OV OV ---| |--- Bit du mot d'état Exploitation du bit d'erreur débordement (bit OV dans le mot d'état)

Opération S : Particularités

Remarque L'opération (S) n'est pas exécutée lorsqu'elle s'applique à une sortie d'une périphérie F qui est passivée (p. ex. au démarrage du système F). N'accédez par conséquent aux sorties de la périphérie F qu'avec l'opération Affectation ("=") (LOG F) ou Bobinage de sortie ("--( )") (CONT F). Vous pouvez vérifier la passivation d'une périphérie F par traitement du DB de périphérie F correspondant.

Opérations S, R, SR, RS, N, NEG, P, POS : Particularités

Remarque Si vous souhaitez utiliser un paramètre formel d'un FB F/FC F pour les mémentos de front des opérations d'interrogation de front (N, P) ou d'interrogation du front du signal (NEG, POS) ou pour l'opérande des opérations de bascule (SR, RS), la mise à 1 de la sortie (S) ou la remise à 0 de la sortie (R), ce paramètre doit être déclaré comme paramètre d'entrée/sortie. Si cette instruction n'est pas suivie, la CPU F passe en STOP. L'un des événements de diagnostic suivants sera alors écrit dans le tampon de diagnostic de la CPU F : • "Altération de données dans le programme de sécurité avant sortie vers la périphérie F" • "Altération de données dans le programme de sécurité avant sortie vers une CPU F




Opérations OV : ADD_I, SUB_I, MUL_I, NEG, DIV_I : Particularités

Remarque Si le résultat d'une opération ADD_I, SUB_I, MUL_I ou NEG_I, ou encore le quotient d'une opération DIV_I est situé en dehors de la plage admissible des nombres entiers (16 bits), la CPU F va à l'état STOP au cas où le résultat/le quotient est une sortie vers la périphérie F ou est transmis à une CPU F partenaire par une liaison de communication sécurisée CPU-CPU. L'un des événements de diagnostic suivants sera alors écrit dans le tampon de diagnostic de la CPU F : • "Altération de données dans le programme de sécurité avant sortie vers la périphérie F" • "Altération de données dans le programme de sécurité avant sortie vers une CPU F

partenaire" • "Programme de sécurité : Erreur interne de CPU ; Information d'erreur interne : 404" De ce fait, veillez à tenir compte, dès la création du programme, de la plage admissible pour les nombres entiers (16 bits) ou exploitez le bit OV. Un avertissement est émis lorsqu'aucune interrogation du bit OV n'a été programmée pour les opérations ADD_I, SUB_I, MUL_I, NEG_I et DIV_I.

En exploitant le bit OV, vous pouvez détecter un débordement sans que la CPU F ne passe à l'état STOP en cas de débordement. Le résultat/quotient se comporte alors comme pour l'opération correspondante dans un programme utilisateur standard.

Remarque Une interrogation du bit OV n'est autorisée que dans le réseau qui suit le réseau contenant l'opération agissant sur le bit OV. Le réseau contenant l'interrogation du bit OV n'a pas le droit d'être la destination d'une opération de saut, c'est-à-dire qu'il ne doit pas contenir de repère de saut. Si vous programmez une interrogation du bit OV dans le réseau suivant l'opération agissant sur le bit OV, le temps d'exécution de l'opération agissant sur le bit OV est rallongé (voir aussi Fichier Excel pour le calcul du temps de réaction s7fcotic.xls).

Remarque

Si le diviseur (entrée IN2) d'une opération DIV_I est égal à 0, le quotient de la division (résultat de la division sur la sortie OUT) est égal à 0. Le résultat se comporte comme pour l'opération correspondante dans le programme utilisateur standard. La CPU F ne va pas à l'état STOP. Le comportement est indépendant du fait qu'une interrogation du bit OV soit programmée ou non dans le réseau suivant.



Opération OPN DB : Particularités

Remarque Lors de l'utilisation de l'opération "OPN DB", veuillez noter qu'après des appels de FB F/FC F et d'"accès entièrement qualifiés au DB", le contenu du registre du DB peut être modifié de sorte qu'il est impossible d'assurer que le dernier bloc de données que vous avez ouvert par "OPN DB" est encore ouvert. Nous vous recommandons par conséquent, afin d'éviter des erreurs lors de l'accès aux données du registre de DB, d'utiliser la méthode suivante pour l'adressage de données : • Utilisez l'adressage symbolique. • Utilisez exclusivement des accès entièrement qualifiés au DB. Si vous voulez tout de même utiliser l'opération "OPN DB", vous devrez lancer, après des appels de FB F/FC F et des "accès entièrement qualifiés au DB", un nouvel "OPN DB" pour restaurer le registre du DB et éviter ainsi un comportement erroné.

"Accès entièrement qualifié au DB" Le premier accès aux données d'un bloc de données dans un FB F/une FC F doit toujours être un "accès entièrement qualifié au DB" ou bien doit être précédé de l'opération "OPN DB". Ceci est également valable pour le premier accès aux données d'un bloc de données après un repère de saut.

Exemple d'un "accès entièrement qualifié au DB" :

FB5 : Titre

Réseau 1 : Comparaison de VALEUR_A avec VALEUR_B

„DONNÉES_F_1“.VALEUR_A „DONNÉES_F_1“-RÉSULTAT

„DONNÉES_F_1“.VALEUR_B

Commentaire�:

Avec accès avec spécification complète et avec nom symbolique.

Vous devez affecter pour le DB F un nom symbolique, par ex „DONNÉES_F_1“ et utili-ser les noms affectés dans la déclaration du DB F au lieu de l’adresse absolue.

„DONNÉES_F_1“.VALEUR_A„DONNÉES_F_1“.VALEUR_B„DONNÉES_F_1“ RÉSULTAT

IN1

IN2

Informations mnémoniques :

DB2.DBW0DB2.DBW2DB2.DBX4.0



Exemple d'un "accès non entièrement qualifié au DB" :

Accès aux DB d'instance Vous pouvez également procéder à des accès entièrement qualifiés aux DB d'instance de FB F, par ex. pour le transfert de paramètres de bloc. Les accès aux données statiques dans des DB d'instance d'autres FB F sont impossibles. Veillez à ce que dans la boîte de dialogue "Général" de l'éditeur LOG/CONT (commande de menu Outils > Paramètres), l'option "Signaler les accès aux DB d'instance comme erreurs" ne soit pas activée. Sinon, l'accès aux DB d'instance n'est pas possible. Veuillez noter que l'accès aux DB d'instance de FB F qui ne sont pas appelés dans le programme de sécurité, peut faire basculer la CPU F sur STOP.

Opération MOVE : Particularités

Remarque L'opération MOVE est valide quand les types de données concordent sur l'entrée et la sortie ou entre des données des types INT et WORD. La longueur des types de données doit concorder sur l'entrée et la sortie pour les données du programme utilisateur standard.



Appel d'instances multiples : Particularités

Remarque Vous de devez pas déclarer les blocs d'application F F_SENDS7 et R_RCVS7 en tant que multiinstances, même si ces blocs d'application F possèdent la propriété "Multiinstance". Des accès à des données statiques d'une multiinstance dans le FB F dans lequel la multiinstance est déclarée ne sont pas autorisés. Des accès à des entrées et sorties d'une multiinstance en dehors du FB F dans lequel la multiinstance est déclarée ne sont pas autorisés.

Opérations JMP, JMPN, RET : Particularités

Remarque Entre une opération de saut et la destination correspondante de cette opération de saut, vous ne devez pas programmer d'appel de F_SENDDP ou F_SENDS7. Avant l'appel d'une opération F_SENDDP ou F_SENDS7, vous ne devez pas programmer d'opération RET.

Opérations illicites Sont illicites toutes les opérations qui ne sont pas mentionnées dans le tableau ci-dessus, notamment : ● Les opérations de comptage (les compteurs de sécurité sont réalisés via des blocs

d'application F de la bibliothèque F Distributed Safety (V1) : F_CTU, F_CTD, F_CTUD) ● Les opérations de temporisation (les temporisations de sécurité sont réalisées via des

blocs d'application F de la bibliothèque F Distributed Safety (V1) : F_TP, F_TON, F_TOF) ● Les opérations de décalage et de rotation (les opérations de décalage sont réalisées via

des blocs d'application F de la bibliothèque F Distributed Safety (V1) F_SHL_W, F_SHR_W)

● les opérations de gestion d'exécution de programme suivantes : – appel de blocs standard (FB, FC) – CALL : appel de FC/SFC sans paramètre – appel conditionnel de FB F, FC F (connexion d'EN ou EN = 0) – appel de SFB, SFC

Remarque L'entrée de validation EN et la sortie de validation ENO ne doivent pas être connectées, mises à "0" ou traitées !

Voir aussi Accès à la périphérie F (Page 95) Transfert de données du programme de sécurité au programme utilisateur standard (Page 123) Transfert de données du programme utilisateur standard au programme de sécurité (Page 125)

Programmation 4.2 Création d'un programme de sécurité


4.2 Création d'un programme de sécurité

4.2.1 Principe de création du programme de sécurité

Conditions logicielles requises Les logiciels requis sont décrits au chapitre "Installation/Désinstallation du logiciel optionnel S7 Distributed Safety V5.4, SP4".

Autres préréquis ● Une structure de projet doit avoir été créée dans SIMATIC Manager. ● Les constituants matériels du projet, en particulier la CPU F, de même que la

périphérie F doivent avoir été configurés avant la programmation. ● Le programme de sécurité doit être affecté à une unité centrale compatible F, à une

CPU 315F-2 DP p. ex.

Etapes de création du programme S7 Distributed Safety Les principales étapes de la création du programme de sécurité sont :

Etape Activité Voir chapitre ... 1 Enregistrement et compilation de la configuration

matérielle sous HW Config et chargement dans la CPU F le cas échéant

Configuration

2 Définition de la structure du programme Définition de la structure du programme

3 Création des FB F/FC F avec le langage LOG F ou CONT F dans SIMATIC Manager

Création de blocs F dans LOG F/CONT F

4 Edition et enregistrement des FB F/FC F dans l'éditeur LOG/CONT

Création de blocs F dans LOG F/CONT F

Définition d'un ou de deux groupes d'exécution F Pour chaque groupe d'exécution F : • affecter un FB F ou une FC F préalablement

programmés au F-CALL du groupe d'exécution (FB F/FC F devient PB du fait de l'affectation)

• si le PB F est un bloc fonctionnel, affecter un DB d'instance

Définition des groupes d'exécution F

• régler le temps de cycle max. du groupe d'exécution F Manuel système Technologie de sécurité dans SIMATIC S7

5

• si un groupe d'exécution F doit mettre des données à exploiter à disposition d'un autre groupe d'exécution F du programme de sécurité, affecter un DB pour la communication entre groupes d'exécution F

Définition des groupes d'exécution F



Etape Activité Voir chapitre ... 6 Génération du programme de sécurité dans le dialogue

"Programme de sécurité" Génération du programme de sécurité

7 Appel direct de blocs F-CALL dans des OB (si possible dans des OB d'alarme cyclique)

Définition du groupe d'exécution F

8 Chargement du programme utilisateur complet (programme utilisateur standard et programme de sécurité) dans la CPU F via le dialogue "Programme de sécurité"

Chargement du programme de sécurité

Voir aussi Installation/Désinstallation du logiciel optionnel S7 Distributed Safety V5.4 SP4 (Page 17) Vue d'ensemble de la configuration (Page 23) Définition de la structure du programme (Page 74) Création de blocs F dans LOG F/CONT F (Page 76) Règles pour les groupes d'exécution F du programme de sécurité (Page 86) Génération du programme de sécurité (Page 258) Chargement du programme de sécurité (Page 260)

4.2.2 Définition de la structure du programme

Structure du programme de sécurité dans deux groupes d'exécution F Vous pouvez diviser votre programme de sécurité en deux groupes d'exécution F. En exécutant des parties du programme de sécurité (un groupe d'exécution F) dans un niveau d'exécution plus rapide, vous obtenez des boucles de sécurité plus rapides avec des temps de réaction plus courts.

Remarque La répartition de votre programme de sécurité en deux groupes d'exécution F vous permet de mieux le structurer. Sachez cependant que vous pouvez uniquement exécuter les tâches suivantes pour l'ensemble du programme de sécurité et non pas pour des groupes d'exécution F individuels : • Définition du mot de passe du programme de sécurité • Génération du programme de sécurité • Chargement du programme de sécurité • Désactivation du mode de sécurité • Comparaison de programmes de sécurité • Impression du programme de sécurité Les signatures globales sont créées pour l'ensemble des blocs F du programme de sécurité.



Règles de structuration du programme Lors de la conception d'un programme de sécurité pour S7 Distributed Safety, il convient de respecter les règles suivantes : ● Les blocs de sécurité ne doivent pas être appelés directement dans un OB, mais doivent

être insérés dans un ou deux groupes d'exécution F. ● Le programme de sécurité se compose de un ou deux groupes d'exécution F comprenant

chacun un F-CALL. A chaque F-CALL, il est possible d'affecter au maximum un bloc de programme F.

● L'accès aux voies d'une périphérie de sécurité n'est autorisé que depuis un groupe d'exécution F.

● L'accès à des variables du DB d'une périphérie F n'est autorisé que depuis un groupe d'exécution F, à savoir celui depuis lequel l'accès aux voies de cette périphérie de sécurité est réalisé (si l'accès est disponible).

● Pour une exploitation optimale des données locales, vous devez appeler les blocs F-CALL (les groupes d'exécution F) directement dans des OB (si possible des OB d'alarme cyclique) sans y déclarer d'autres données locales.

● Des ressources particulières doivent être réservées pour les besoins du programme de sécurité. Ceci s'effectue lors de la configuration de la CPU F sous HW Config dans le dialogue des propriétés d'objet de la CPU F. Si vous n'effectuez pas de paramétrage explicite, le système utilise des valeurs par défaut appropriées.

● Programmez conformément aux règles générales STEP 7. Tenez compte p. ex du flux de données.

Remarque Vous pouvez améliorer les performance en programmant les éléments de programme qui ne sont pas nécessaires aux fonctions de sécurité, dans le programme utilisateur standard. Lors de la répartition entre programme utilisateur standard et programme de sécurité, il est bon de se rappeler que le programme utilisateur standard est plus facile à éditer et à charger sur la CPU F. Les modifications du programme utilisateur standard ne sont en général pas assujetties à une réception.

Voir aussi Vue d'ensemble de la configuration (Page 23) Différences entres les langages de programmation LOG F/CONT F et les langages standard LOG/CONT (Page 61) Règles pour les groupes d'exécution F du programme de sécurité (Page 86) Réception du programme de sécurité (Page 296)

Programmation 4.3 Création de blocs F dans LOG F/CONT F


4.3 Création de blocs F dans LOG F/CONT F

4.3.1 Création de blocs F dans LOG F/CONT F

Contenu du présent chapitre Ce chapitre décrit comment créer le programme de sécurité en LOG F / CONT F au moyen des FB F / FC F / DB F que vous avez créés. Vous procéderez d'une manière générale comme pour le programme utilisateur standard, raison pour laquelle seules seront abordées ci-après les différences par rapport à la programmation du programme utilisateur standard. La présentation des blocs F dans le SIMATIC Manager est décrite au chapitre "La boîte de dialogue 'Programme de sécurité'".

Création de blocs F individuels sans affectation à une CPU F

Remarque Il est possible de créer des blocs F individuels directement dans un programme S7 qui n'est pas affecté à une CPU F. Vous pouvez ainsi créer des programmes de sécurité pour différentes CPU F indépendamment du matériel utilisé. Notez cependant qu'aucun contrôle des opérandes F et de la validité des accès à la périphérie F n'est effectué dans ce cas.

Voir aussi La boîte de dialogue "Programme de sécurité" (Page 253)



4.3.2 Création et édition de FB F/FC F

Marche à suivre pour la création et l'édition d'un FB F/FC F 1. Ouvrez le dossier Blocs de SIMATIC Manager et choisissez la commande de menu

Insertion > Bloc S7 > Fonction (ou bloc fonctionnel). Vous pouvez également utiliser le menu contextuel "Insérer nouvel objet".

Remarque Vous ne devez pas utiliser les numéros de FB de la plage de numéros que vous avez réservée pour les blocs fonctionnels F complétés automatiquement (paramètre "Blocs fonctionnels F" dans les propriétés d'objet de la CPU F).

2. Entrez dans l'onglet "Général - partie 1" de la fenêtre "Propriétés - Fonction" le nom du F-FB/FC F. Sélectionnez le langage de création "LOG F" ou "CONT F". Acquittez avec "OK". Entrez le mot de passe du programme de sécurité (les demandes d'entrée de mot de passe ne seront plus évoquées dans les manipulations décrites ci-après). Le symbole de bloc est affiché dans le SIMATIC Manager sur fond jaune. Le bloc F ainsi créé peut exclusivement être ouvert et édité avec l'éditeur LOG/CONT :

3. effectuez un double clic sur le FB F/FC F dans SIMATIC Manager. L'éditeur LOG/CONT s'ouvre.

4. Il est recommandé d'activer l'option "Vérification du type des opérandes" dans la boîte de dialogue "CONT/LOG" (commande de menu Outils > Paramètres) de l'éditeur LOG/CONT.

Remarque Le répertoire d'éléments de programme F affiche seulement : • les opérations prises en charge • les FB F et FC F du dossier Blocs de votre programme S7 et • les blocs F des bibliothèques F, par ex. les blocs d'application F de la bibliothèque F

Distributed Safety (V1) • les multiinstances du bloc de sécurité édité

5. Editez votre bloc FB F/FC F. Lors de l'édition, les types de données sont contrôlés. Les erreurs détectées sont signalées comme lors de la programmation du programme utilisateur standard dans l'éditeur LOG/CONT.

Remarque Le FB F ou la FC F appelés dans F-CALL (et vont de ce fait constituer le PB F) ne doivent pas contenir de paramètres, car ces derniers ne peuvent pas être renseignés.

Remarque Les FB F/FC F ne doivent pas s'appeler eux-mêmes.



Remarque Lorsque vous passez de LOG F en CONT F, il est possible que certains réseaux LOG F ne puissent pas être affichés de manière graphique dans CONT F, mais soient affichés sous forme de LIST. Vous ne devez pas modifier le code LIST contenu dans ces réseaux. Règle : la représentation LOG F ne doit pas contenir de réseaux LIST. Les réseaux LIST dans CONT F doivent à nouveau être représentés sous forme de réseaux LOG F lors du passage à LOG F.

ATTENTION

L'édition du DB d'instance d'un FB F n'est autorisée ni en ligne, ni hors ligne et peut entraîner l'ARRET de la CPU F.

Remarque Les accès aux paramètres statiques dans des DB d'instance d'autres FB F ne sont pas autorisés.

Remarque Lorsque vous utilisez des FC F, veillez à ce que le premier accès aux paramètres de sortie de FC F soit toujours un accès en écriture permettant d'initialiser les paramètres de sortie. Les paramètres de sortie de FC F doivent toujours être initialisés. Si ceci n'est pas respecté, la CPU F peut passer en STOP. L'un des événements de diagnostic suivants sera alors écrit dans le tampon de diagnostic de la CPU F : • "Altération de données dans le programme de sécurité avant sortie vers la périphérie

F" • "Altération de données dans le programme de sécurité avant sortie vers une CPU F


Remarque Si vous voulez affecter un opérande de la zone Données (bloc de données) à un paramètre formel d'un FC F comme paramètre effectif, vous devez utiliser un accès entièrement qualifiés au DB.

Remarque Les noms de variables dans les FB F/FC F peuvent comporter 22 caractères au maximum.

Remarque Notez qu'il n'est possible d'accéder aux paramètres d'entrée d'un(e) FB F/FC F qu'en lecture seule et, à ses paramètres de sortie, qu'en écriture. Utilisez un paramètre d'entrée/sortie si vous souhaitez un accès en lecture et en écriture à un paramètre.

6. Enregistrez le bloc FB F/FC F

Remarque Lorsque vous enregistrez un bloc LOG F/CONT F dans l'éditeur LOG/CONT, la vérification de cohérence est vérifiée uniquement localement pour ce bloc de sécurité. Aucun programme de sécurité n'est encore généré.



Remarque Il est possible que certains réseaux que vous avez édités dans LOG F soient représentés en LIST après une tentative d'enregistrement du bloc de sécurité (p. ex. des combinaisons précédentes avec des mémentos de front et des branchements). De tels blocs de sécurité ne peuvent pas être enregistrés. Vous devez supprimer le réseau LIST et remplacer la combinaison précédente par des réseaux individuels dans lesquels la combinaison précédente renvoie à une variable temporaire. Vous pouvez ensuite utiliser cette variable temporaire comme opérande.

Remarque Pour une meilleure vue d'ensemble, attribuez aux FB F/FC F que vous créez des noms symboliques univoques. Ces noms symboliques apparaissent dans la vue de "Détail" de SIMATIC Manager, dans la boîte de dialogue "Programme de sécurité" et dans la table des mnémoniques. L'attribution des mnémoniques s'effectue de la même manière qu'en mode standard.

Voir aussi Configuration de la CPU F (Page 26) Vue d'ensemble des droits d'accès (Page 47) Différences entres les langages de programmation LOG F/CONT F et les langages standard LOG/CONT (Page 61) Génération du programme de sécurité (Page 258)

4.3.3 Création et édition de DB F

DB F De manière analogue aux FB F/FC F, vous pouvez également créer et éditer des DB F (en langage de programmation DB F) et accéder en lecture et en écriture à leur paramètres dans un groupe d'exécution du programme de sécurité. Lors de l'édition, les types de données sont contrôlés. Les erreurs détectées sont signalées comme lors de la programmation du programme utilisateur standard dans l'éditeur LOG/CONT.

Remarque Vous ne pouvez pas utiliser les numéros de DB de la plage de numéros que vous avez réservée pour les blocs de données F complétés automatiquement (paramètre "Blocs de données F" dans les propriétés de l'objet de la CPU F ; voir le chapitre "Configuration de la CPU F").

Remarque Lorsque vous enregistrez un DB de sécurité dans l'éditeur LOG/CONT, la vérification de cohérence est effectuée uniquement localement pour ce bloc de sécurité. Aucun programme de sécurité n'est encore généré.



Remarque Pour une meilleure vue d'ensemble, attribuez aux DB de sécurité que vous créez des noms symboliques univoques. Ces noms symboliques apparaissent dans la vue de "Détail" de SIMATIC Manager, dans la boîte de dialogue "Programme de sécurité" et dans la table des mnémoniques. L'attribution des mnémoniques s'effectue de la même manière qu'en mode standard. Les noms de variables dans les DB de sécurité peuvent comporter 22 caractères au maximum.

Options pour blocs de données "Unlinked" et "DB protégé en écriture dans l'AS"

Remarque L'option "Unlinked" pouvant être définie dans les propriétés de l'objet d'un DB ne doit pas être paramétrée pour les DB F et DB d'instance de blocs F. L'option "DB protégé dans l'AS" pouvant être définie dans les propriétés de l'objet d'un DB ne doit pas être paramétrée pour les DB F et DB d'instance de blocs F. Si vous avez sélectionné l'une des options précitées, une correction sera effectuée lors de la génération du programme de sécurité.

DB de communication pour la communication sécurisée CPU-CPU via des liaisons S7 Pour la communication sécurisée CPU-CPU via des liaisons S7, vous devez créer un DB de communication F côté émetteur et côté récepteur. Les DB de communication F sont des DB F que vous créez et éditez tout comme les autres DB F dans SIMATIC Manager. Les exigences particulières des DB de communication F sont décrites au chapitre "Programmation de la communication de sécurité CPU-CPU via des liaisons S7".

DB pour la communication entre groupes d'exécution F Pour la communication sécurisée entre des groupes d'exécution F d'un programme de sécurité, vous devez créer un "DB pour communication entre groupes d'exécution F" pour chaque groupe d'exécution F qui doit mettre des données à la disposition d'un autre groupe d'exécution F. La création des DB pour la communication entre groupes d'exécution F ainsi que les exigences particulières sont décrites au chapitre "Définition des groupes d'exécution F".

Voir aussi Création et édition de FB F/FC F (Page 77)



4.3.4 Protection contre le piratage des FB F et FC F et DB F créés par l'utilisateur

Protection contre le piratage Un bloc protégé contre le piratage est un bloc protégé et qui ne peut pas être modifié. Vous pouvez protéger les FB F, FC F et DB F (sauf les DB d'instance) créés par l'utilisateur contre le piratage. Les FB F, FC F et DB F protégés ne peuvent plus être modifiés. Vous pouvez lire les propriétés de bloc des FB F, FC F et DB F protégés, la section d'instruction n'étant pas accessible.

Utilisation de la protection contre le piratage Utilisez la protection contre le piratage pour protéger le savoir technique que contiennent les FB F/FC F/DB F ou pour éviter des manipulations intempestives de ces FB F/FC F/DB F (sauf des DB d'instance).

Conditions Vous avez créé des FB F, FC F ou DB F que vous voulez protéger. Les FB F/FC F/DB F à protéger ne sont pas ouverts dans l'éditeur LOG/CONT.



Procédure de paramétrage de la protection contre le piratage Procédez de la manière suivante : 1. Dans SIMATIC Manager, ouvrez la boîte de dialogue "Programme de sécurité". 2. Vous activez la protection des FB F/FC F/DB F dans le programme de sécurité hors

ligne. Pour cela, sélectionnez l'onglet "Hors ligne".



3. Cochez la case appropriée dans la colonne "Protection Know How" pour les FB F/FC F et DB F concernés. Résultat : pour chaque FB F/FC F/DB F que vous voulez protéger, un boîte de dialogue permettant de créer une copie de sauvegarde s'ouvre automatiquement.

4. Pour la sauvegarde des copies, tenez compte des instructions suivantes :

Remarque Attribuez un nom univoque à la copie de sauvegarde, de sorte à pouvoir affecter ultérieurement le FB F/FC F/DB F au FB F/FC F/DB F protégé (p. ex. même nom, commentaire du FB F/FC F/DB F). N'enregistrez pas la copie de sauvegarde dans le projet contenant le FB F/FC F/DB F (sinon, une copie non protégée du FB F/FC F/DB F est disponible). Si vous souhaitez enregistrer la copie de sauvegarde dans une bibliothèque F, veillez à ce qu'il s'agisse d'une bibliothèque F créée par l'utilisateur dans S7 Distributed Safety. Dans l'éditeur LOG/CONT, seules les bibliothèques F pour S7 Distributed Safety sont affichées.

5. Enregistrez la copie de sauvegarde du FB F/FC F/DB F. Résultat : dans la boîte de dialogue "Programme de sécurité", la case d'option est activée dans la colonne "Protection piratage" et vous ne pouvez plus la sélectionner. Le symbole du blocs dans la colonne "Bloc" est repéré par un cadenas. Le FB F, la FC F ou le DB F sont protégés.

6. Continuez de la même manière jusqu'à ce que tous les FB F/FC F/DB F souhaités soient protégés.

Modifier un FB F/ FC F/DB F protégé

Remarque Vous ne pouvez pas supprimer la protection contre le piratage des FB F/FC F/DB F.

Si vous voulez modifier un FBF/FC F/DB F protégé, procédez de la manière suivante : 1. Effacez de votre projet le FB F/FC F/DB F protégé. 2. Copiez la copie de sauvegarde du FB F/FC F/DB F dans le projet. 3. Modifiez le FB F/FC F/DB F non protégé dans l'éditeur LOG/CONT. 4. Rétablissez la protection contre le piratage pour le FB F/FC F/DB F (voir ci-dessus).

Voir aussi Bibliothèques F personnalisées (Page 251)



4.3.5 Fonction "Vérification de la cohérence des blocs" pour FB F, FC F et DB F créés par l'utilisateur

Fonction "Contrôle de cohérence d'un bloc" Vous trouvez la fonction "Contrôle de cohérence d'un bloc" dans SIMATIC Manager, dans le menu "Edition" après avoir sélectionné un dossier de blocs. La fonction "Contrôle de cohérence d'un bloc" résout une grande partie des conflits d'horodatage et des incohérences des blocs. Vous pouvez utiliser cette fonction pour les FB F, FC F et DB F de votre programme de sécurité en possédant pas de protection contre le piratage. La fonction correspond à la fonction dans le programme utilisateur standard. La fonction "Aller à" n'est pas prise en charge. Pour la fonction "Vérification de la cohérence des blocs", vous pouvez exécuter les commandes de menu Programme > Compiler et Programme > Compiler tout. Le programme de sécurité complet est ensuite respectivement généré avec les différences suivantes : ● Si vous sélectionnez la commande Programme > Compiler, le programme de sécurité est

uniquement généré une nouvelle fois s'il a été modifié. ● Si vous sélectionnez la commande Programme > Compiler tout, le programme de

sécurité est généré une nouvelle fois, qu'il ait ou non été modifié.

4.3.6 Fonction "Compiler et charger les objets"

Fonction "Compiler et charger les objets" Avec la fonction "Compiler et charger les objets" dans SIMATIC Manager, vous ne pouvez pas générer de programmes de sécurité, ni les charger dans la CPU F.

4.3.7 Fonction "Sauvegarder en lecture seule" pour FB F, FC F et DB F créés par l'utilisateur

Sauvegarder en lecture seule du bloc F Vous pouvez utiliser la fonction "Sauvegarder en lecture seule" pour des blocs F. Si, pour le bloc F actuellement ouvert dans l'éditeur LOG/CONT, vous exécutez la commande de menu Fichier > Sauvegarder en lecture seule, une copie en lecture seule du bloc F est créée dans un dossier Blocs librement définissable.



4.3.8 Fonction "Réassignation" pour FB F et FC F

Fonction "Réassignation" Vous pouvez utiliser la fonction STEP 7 "Réassignation" pour des FB F et FC F dans le programme de sécurité hors ligne. Après une réassignation, une entrée correspondante est effectuée dans le journal du programme de sécurité. Les contrôles de cohérence automatiques sont exécutés, lors de l'enregistrement de blocs F, dans le cadre de la "Réassignation". Un programme de sécurité cohérent n'est pas généré.

ATTENTION La "Réassignation" de blocs F est un changement du programme de sécurité et a pour conséquence une modification de la signature globale. Pour cette raison, le programme de sécurité doit être de nouveau réceptionné.

Programmation 4.4 Définition des groupes d'exécution F


4.4 Définition des groupes d'exécution F

4.4.1 Règles pour les groupes d'exécution F du programme de sécurité

Conditions Vous devez avoir programmé votre programme de sécurité.

Règles

ATTENTION Veuillez observer les points suivants : • L'accès aux voies d'une périphérie de sécurité n'est autorisé que depuis un groupe

d'exécution F. • L'accès à des variables du DB d'une périphérie F n'est autorisé que depuis un groupe

d'exécution F, à savoir celui depuis lequel l'accès aux voies de cette périphérie de sécurité est réalisé (si l'accès est disponible).

• Un bloc de programme F ne doit pas être utilisé dans plusieurs groupes d'exécution F. • Les FB F peuvent être utilisés dans plusieurs groupes d'exécution F, mais ils doivent

être appelés avec des DB d'instance distincts. • L'accès aux DB d'instance est autorisé uniquement à partir du groupe d'exécution F

dans lequel le FB F correspondant est appelé. • Les paramètres individuels des DB F (excepté le DB F global) ne doivent être utilisés

que dans un groupe d'exécution F (mais un DB F peut être utilisé dans plusieurs groupes d'exécution F).

• Le groupe d'exécution F, pour lequel vous avez défini un DB pour la communication entre groupes d'exécution F, peut effectuer la lecture et l'écriture de ce DB, alors que le groupe d'exécution F "récepteur" peut uniquement lire ce DB F.

• L'accès à un DB de communication F n'est autorisé que depuis un groupe d'exécution F.

● Les blocs de sécurité ne doivent pas être appelés directement dans un OB, mais doivent

être insérés dans un ou deux groupes d'exécution F. ● Pour une exploitation optimale des données locales, vous devez appeler les blocs F-

CALL (les groupes d'exécution F) directement dans des OB (si possible des OB d'alarme cyclique) sans y déclarer d'autres données locales.

● Il est recommandé d'appeler le F-CALL (groupe d'exécution F) avant le programme utilisateur standard dans un OB d'alarme cyclique, c'est-à-dire qu'il doit se trouver tout au début de l'OB, afin que le groupe d'exécution F soit toujours appelé à des intervalles de temps fixes, quelle que soit la durée de traitement du programme utilisateur standard.

● Un F-CALL ne peut être appelé qu'une seule fois. Un appel multiple n'est pas autorisé et risque d'entraîner l'ARRET de la CPU.

● L'accès à la mémoire image des entrées et sorties de la périphérie standard et aux mémentos est autorisé depuis plusieurs groupes d'exécution F.

● De manière générale, les FC F peuvent être appelées dans plusieurs groupes d'exécution F.



4.4.2 Marche à suivre pour la définition d'un groupe d'exécution F

Marche à suivre 1. Choisissez dans SIMATIC Manager la commande de menu Outils > Editer le programme

de sécurité. La boîte de dialogue "Programme de sécurité" s'ouvre. Cliquez sur le bouton "Groupes d'exécution F..." afin d'ouvrir la boîte de dialogue "Editer les groupes d'exécution F".

2. Dans la boîte de dialogue "Editer les groupes d'exécution F", cliquez sur le bouton

"Nouveau...". La boîte de dialogue "Définir un nouveau groupe d'exécution F" s'ouvre.

3. Dans la liste déroulante, sélectionnez la FC que vous souhaitez définir comme F-CALL

du nouveau groupe d'exécution F ou indiquez une FC n'existant pas encore. Cette FC sera créée automatiquement lorsque vous quitterez la boîte de dialogue "Editer les groupes d'exécution F" en cliquant sur "OK".



4. Définissez le bloc de programme F du groupe d'exécution F en sélectionnant, dans la liste déroulante, le FB F/FC F que vous souhaitez utiliser comme PB F du nouveau groupe (la saisie symbolique est possible). Seuls des FB F/FC F sans paramètres peuvent être définis. Si le bloc que vous souhaitez affecter est un bloc de sécurité de type "FB", vous devez indiquer un DB d'instance (p. ex. "DB10)" pour "DB I du bloc de programme F". Ce DB I sera créé automatiquement lorsque vous quitterez la boîte de dialogue "Editer les groupes d'exécution F" en cliquant sur "OK". Le numéro du DB I ne doit pas faire partie de la plage réservée dans HW Config. Si vous indiquez un DB I déjà existant, il doit être adapté au bloc de programme F sélectionné.

5. La CPU F effectue une surveillance du temps de cycle de sécurité dans le groupe d'exécution F. Comme "Temps de cycle max. du groupe d'exécution F en ms", entrez le temps maximum pouvant s'écouler entre deux appels de ce groupe d'exécution F (au maximum 120.000 ms), voir le manuel système Technologie de sécurité dans SIMATIC S7.

ATTENTION

La surveillance de l'intervalle d'appel du groupe d'exécution F porte sur sa valeur maximale, c'est-à-dire que l'on vérifie si le nombre d'appels est suffisant, mais pas s'il est trop fréquent. Les temporisations de sécurité doivent de ce fait être réalisées au moyen de blocs d'application F de la bibliothèque F Distributed Safety (V1) et pas au moyen de compteurs (appels d'OB).



6. Si ce groupe d'exécution F doit mettre des données à disposition d'un autre groupe d'exécution F, sélectionnez pour "DB pour la communication entre groupes d'exécution F" un DB F dans la liste déroulante ou indiquez un DB F n'existant pas encore (la saisie symbolique est possible). Ce DB F sera créé automatiquement lorsque vous quitterez la boîte de dialogue "Editer les groupes d'exécution F" en cliquant sur "OK". Lorsque vous cliquez sur le bouton "OK", les entrées effectuées sont reprises dans la boîte de dialogue "Edition des groupes d'exécution F", après un contrôle de vraisemblance interne.

La boîte de dialogue affiche en outre : – le nom symbolique des nouveaux blocs F définis – le bloc du programme utilisateur standard dans lequel le groupe d'exécution F est

appelé. – l'instant de l'appel des groupes d'exécution F il s'agit du temps de cycle de l'OB d'alarme cyclique dans lequel le F CALL est appelé. Vous avez configuré ce temps dans HW Config (propriétés de l'objets de la CPU F, onglet "Alarme cyclique", paramètre "Temps d'exécution" de l'OB concerné).

7. Pour créer un second groupe d'exécution F, répétez les étapes 2 à 6 ci-dessus. 8. Lorsque vous cliquez sur le bouton "OK" dans la boîte de dialogue "Edition des groupes

d'exécution F", les entrées effectuées sont enregistrées puis, après une demande de confirmation, les blocs F éventuellement manquants sont créés automatiquement.



4.4.3 Communication sécurisée entre des groupes d'exécution F d'un programme de sécurité

Communication sécurisée entre des groupes d'exécution F La communication sécurisée est possible entre les deux groupes d'exécution F d'un programme de sécurité. Cela signifie que des données de sécurité mises à disposition dans un DB F par un groupe d'exécution F peuvent être lues dans un autre groupe d'exécution F. Pour créer le "DB pour la communication entre groupes d'exécution F", vous avez les possibilités suivantes : ● dans la boîte de dialogue "Définir un nouveau groupe d'exécution F" ● dans la boîte de dialogue "Editer les groupes d'exécution F" ● dans SIMATIC Manager (voir le paragraphe "Création du DB pour la communication

entre groupes d'exécution F dans SIMATIC Manager" ci-après)

Remarque Le groupe d'exécution F, pour lequel vous avez défini le DB pour la communication entre groupes d'exécution F, peut effectuer la lecture et l'écriture de ce DB F, alors que le groupe d'exécution F "récepteur" peut uniquement lire ce DB F.

Astuce : Vous améliorez la performance de votre programme de sécurité en le structurant de manière à ce que le moins de données possibles soient échangées entre les groupes d'exécution F.

Création du DB pour la communication entre groupes d'exécution F dans SIMATIC Manager Dans SIMATIC Manager, vous pouvez créer le DB pour la communication entre groupes d'exécution F comme tous les autres DB F (voir la rubrique "Création et édition de DB F"). Lors de la création dans SIMATIC Manager, tenez compte des points suivants : Lorsque vous créez le DB F, entrez l'identification "RTG_DB" dans la zone de saisie "Famille" de l'onglet "Général - Partie 2", dans ses propriétés de l'objet. Elle identifie le DB F en tant que DB pour la communication entre groupes d'exécution F. Attribuez un nom symbolique au DB pour la communication entre groupes d'exécution F.



Actualité des données lors de la lecture depuis un autre groupe d'exécution F

Remarque Elles ont les valeurs qui étaient actuelles à la fin du dernier traitement achevé du groupe d'exécution F qui les met à disposition, avant le démarrage du groupe d'exécution F qui les lit.

En cas de modifications répétées des données mises à disposition pendant le temps d'exécution du groupe d'exécution F qui met les données à disposition, le groupe d'exécution F qui effectue la lecture n'enregistre toujours que les dernières modifications. Attribution de valeurs de remplacement Après une mise en route du système de sécurité, des valeurs de remplacement sont mises à la disposition du groupe d'exécution F qui accède en lecture aux données dans le DB de communication d'un autre groupe d'exécution F (p. ex. groupe d'exécution F2). Les valeurs de remplacement mises à disposition sont celles que vous avez définies dans le DB de communication du groupe d'exécution F1 (valeurs par défaut du DB de communication entre groupes d'exécution F). Lors de son premier appel, le groupe d'exécution F2 lit les valeurs de remplacement. Lors de son deuxième appel, le groupe d'exécution F2 lit les données actuelles si le groupe d'exécution F1 a été entièrement traité entre les deux appels du groupe F2. Si le groupe d'exécution F1 n'a pas été intégralement traité, le groupe d'exécution F2 continue d'utiliser les valeurs de remplacement jusqu'à ce que le traitement du groupe F1 soit terminé. Un exemple de ce comportement est représenté dans les deux images ci-dessous. Lecture des données du groupe d'exécution F 1 ayant un cycle d'OB plus long que celui du groupe d'exécution F 2 et une priorité inférieure

1

(1) Démarrage du système F

Temps de cycle de l'OB dans lequel le groupe d'exécution F est appelé. Temps d'exécution du groupe d'exécution F

... Date du groupe d'exécution F1, écrite dans le DB pour communication entre groupes d'exécution F du groupe d'exécution F1

...Date du groupe d'exécution F 2, lue dans le DB pour communication entre groupes d'exécution F du groupe d'exécution F 1

Valeur par défaut dans le DB pour la communication entre groupes d'exécution F



Lecture des données du groupe d'exécution F1 qui a un cycle d'OB plus court que celui du groupe d'exécution F2 et une priorité supérieure

1

(1) Démarrage du système F Temps de cycle de l'OB dans lequel le groupe d'exécution F est appelé. Temps d'exécution du groupe d'exécution F

... Date du groupe d'exécution F1, écrite dans le DB pour communication entre groupes d'exécution F du groupe d'exécution F1

... Date du groupe d'exécution F2, lue dans le DB pour communication entre groupes d'exécution F du groupe d'exécution F1

Valeur par défaut dans le DB pour la communication entre groupes d'exécution F

Groupe d'exécution F mettant les données à disposition, non traité

Remarque Quand le groupe d'exécution F, dont des données doivent être lues dans son DB pour communication entre groupes d'exécution F, n'est pas traité (son F-CALL n'est pas appelé dans un OB ou un FB), la CPU F se met à l'état STOP. L'un des événements de diagnostic suivants sera alors écrit dans le tampon de diagnostic de la CPU F : • Erreur dans le programme de sécurité : Dépassement du temps de cycle • Numéro du bloc F-CALL correspondant (du groupe d'exécution F qui n'est pas traité) • Temps de cycle actuel en ms : "0"

Voir aussi Création et édition de DB F (Page 79) Marche à suivre pour la définition d'un groupe d'exécution F (Page 87)



4.4.4 Suppression de groupes d'exécution F

Suppression du groupe d'exécution F 1. Dans la boîte de dialogue "Editer les groupes d'exécution F", sélectionnez le dossier du

groupe d'exécution F à supprimer. 2. Cliquez sur le bouton "Supprimer". 3. Quittez la boîte de dialogue en cliquant sur "OK". L'affectation des blocs F à un groupe d'exécution F est supprimée. Les blocs F existent cependant encore.

Remarque Si vous souhaitez supprimer votre programme de sécurité, effacez hors ligne tous les blocs F apparaissant sur fond jaune dans SIMATIC Manager.

Voir aussi Marche à suivre pour la définition d'un groupe d'exécution F (Page 87)

4.4.5 Modification de groupes d'exécution F

Modification de groupes d'exécution F Pour chaque groupe d'exécution F de votre programme de sécurité, vous pouvez modifier les éléments suivants dans la boîte de dialogue "Editer les groupes d'exécution F" : ● définir un autre FB/FC comme bloc de programme F (sélection dans la liste déroulante) ● saisir un autre ou un nouveau DB I pour le bloc de programme F ● modifier la valeur du temps de cycle max. du groupe d'exécution F ● définir un autre DB F comme bloc de données pour la communication entre groupes

d'exécution F (sélection dans la liste déroulante ou saisie d'un nouveau DB F) Lorsque vous cliquez sur le bouton "OK", les modifications effectuées sont enregistrées, puis après une demande de confirmation, les blocs F éventuellement manquants sont créés automatiquement.

Voir aussi Marche à suivre pour la définition d'un groupe d'exécution F (Page 87)

Programmation 4.5 Programmation d'une protection contre le démarrage


4.5 Programmation d'une protection contre le démarrage

Introduction

ATTENTION Lors du passage STOP/RUN d'une CPU F, le démarrage du programme utilisateur standard s'effectue comme à l'accoutumée. Lors du démarrage du programme de sécurité, tous les blocs de données possédant l'attribut F sont initialisés avec les valeurs de la mémoire de chargement - comme dans le cas d'un démarrage à froid. Les informations d'erreur mémorisées sont perdues. Le système de sécurité procède à une réintégration automatique de la périphérie de sécurité. Un démarrage du programme de sécurité avec les valeurs de la mémoire de chargement risque également d'être déclenché par une erreur de manipulation ou une erreur interne. Quand le processus n'autorise pas cela, il faut prévoir une protection contre la (re)mise en route dans le programme de sécurité. Il faut bloquer la sortie des valeurs de processus jusqu'à une validation manuelle. Cette validation ne doit être réalisée que lorsque la mise à disposition des valeurs du processus est possible sans danger et que toutes les erreurs ont été corrigées.

Exemple de réalisation d'une protection contre un (re)démarrage La condition nécessaire à la réalisation d'une protection contre un (re)démarrage est la détection d'un démarrage. Pour détecter un démarrage, vous déclarez une variable de type de données BOOL avec valeur initiale/valeur actuelle "1" dans un DB de sécurité. Bloquez la mise à disposition des valeurs du processus lorsque la valeur de cette variable est "1", p. ex. par passivation de la périphérie de sécurité au moyen de la variable PASS_ON dans le DB de périphérie de sécurité. Pour réaliser la validation manuelle, remettez cette variable à zéro par un acquittement utilisateur.

Voir aussi DB de périphérie F (Page 98) Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un maître DP ou d'un IO-Controller (Page 117) Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un esclave I (Page 120)


Accès à la périphérie F 55.1 Accès à la périphérie F

Contenu du présent chapitre Ce chapitre décrit la manière d'accéder à la périphérie F et les particularités dont il faut tenir compte lors de la programmation de l'accès.

Accès via la mémoire image Vous accédez à la périphérie F (p. ex. SM F S7-300) comme à la périphérie standard via la Mémoire image (MIE et MIS). L'accès direct à la périphérie n'est pas autorisé. L'accès aux voies d'une périphérie de sécurité n'est autorisé que depuis un groupe d'exécution F. Le rafraîchissement de la mémoire image des entres s'effectue au début du groupe d'exécution F avant le traitement du bloc de programme F. Le rafraîchissement de la mémoire image des sorties s'effectue à la fin du groupe d'exécution F après le traitement du bloc de programme F (voir figure dans le chapitre "Structure du programme de sécurité" dans S7 Distributed Safety). La communication proprement dite entre CPU F (mémoire image) et la périphérie F pour le rafraîchissement de la mémoire image s'effectue en tâche de fond via un protocole de sécurité particulier conforme à PROFIsafe.

ATTENTION Compte tenu du protocole de sécurité particulier, les périphéries F occupent une zone de mémoire image plus importante que ne le nécessitent les voies effectivement disponibles sur la périphérie F. La zone de la mémoire image dans laquelle se trouvent les voies (données utiles) est indiquée dans les manuels correspondants de la périphérie F. Le programme de sécurité n'autorise, lors de l'accès à la mémoire image, qu'un accès aux voies effectivement disponibles ! Veuillez noter que sur certaines périphéries F (SM F S7-300, modules de sécurité ET 200S p. ex.), vous pouvez paramétrer une "exploitation 1oo2 (1de2) des capteurs". Parmi les voies regroupées par "exploitation 1oo2 (1de2)des capteurs", celle à laquelle vous pouvez accéder dans le programme de sécurité est indiquée dans les manuels correspondants de la périphérie F.

Accès à la périphérie F 5.1 Accès à la périphérie F


Figures concernant les allures des signaux dans les chapitres suivants Les allures des signaux représentées dans les figures des chapitres suivants correspondent à des allures de signaux typiques pour le comportement décrit. Les allures réelles des signaux et en particulier les positions relatives des transitions d'état des différents signaux les unes par rapport aux autres sont susceptibles de différer des allures représentées, dans le cadre des imprécisions connues dans le traitement cyclique du programme. Ces divergences dépendent : ● de la périphérie F utilisée

(périphérie F avec des entrées, périphérie F avec des sorties, périphérie F avec des entrées et des sorties, SM F S7-300, modules F ET200S, ET 200eco, ET 200pro ou esclaves DP normés/IO-Normdevices de sécurité, version du profil de bus PROFIsafe pour la périphérie F et la CPU F),

● le temps de cycle de l'OB dans lequel le groupe d'exécution F est appelé et ● le Target Rotation Time de PROFIBUS DP ou le temps d'actualisation de PROFINET IO

Remarque Les allures des signaux représentées se rapportent à l'état des signaux dans le programme de sécurité programmé par l'utilisateur. Lorsque les signaux dans le programme utilisateur standard sont exploités avant ou après l'appel du programme de sécurité dans le même OB, les transitions d'état des signaux peuvent être décalées d'un cycle. Les transitions d'état entre les valeurs de processus et de remplacement transmises aux sorties de sécurité représentées dans les figures (allure du signal "vers les sorties"), se produisent, le cas échéant, et contrairement à ce qui est représenté dans les courbes, déjà avant la transition d'état du signal QBAD correspondant. L'heure à laquelle la transition d'état se produit dépend de ce que vous utilisez une périphérie F avec des sorties ou une périphérie F avec des entrées et sorties.

Voir aussi Structure du programme de sécurité dans S7 Distributed Safety (Page 57) Accès à la périphérie F pour la communication sécurisée esclave I-esclave (Page 163)

Accès à la périphérie F 5.2 Valeurs de processus ou de remplacement


5.2 Valeurs de processus ou de remplacement

Quand utilise-t-on des valeurs de remplacement ? La fonction de sécurité prévoit qu'en cas de passivation de toute la périphérie F ou de certaines voies d'une périphérie F, les valeurs de remplacement (0) suivantes sont utilisées à la place des valeurs du processus dans les cas suivants : Ceci est valable aussi bien pour les voies (TOR) de type BOOL que pour les voies (analogiques) de type INT (WORD) : ● au démarrage du système F ● en cas d'erreur de communication sécurisée entre la CPU F et la périphérie F via le

protocole de sécurité selon PROFIsafe ● en cas d'erreur de périphérie F/voie (rupture de câble, court-circuit, erreur de

discordance) ● tant que vous activez, par PASS_ON = 1 dans le DB de périphérie F (voir ci-dessous),

une passivation de la périphérie F

Sortie de valeurs de remplacement pour la périphérie F/les voies d'une périphérie F Dans le cas d'une périphérie F à entrées, le système F met, lors de la passivation, des valeurs de remplacement (0) à la disposition du programme de sécurité dans la MIE à la place des valeurs du processus reçues aux entrées de sécurité. Le système F détecte le débordement haut ou bas d'une voie du SM336 ; AI 6 x 13Bit ou du SM 336 ; AI F 6 x 0/4 ... 20 mA HART comme une erreur de périphérie F/erreur de voie. La valeur de remplacement 0 est écrite dans la MIE pour le programme de sécurité, à la place de 7FFFH (débordement haut) ou 8000H (débordement bas). Si, pour une périphérie F avec des entrées pour voies analogiques du type de données INT (WORD), vous voulez travailler avec d'autres valeurs de remplacement que "0" dans le programme de sécurité, vous pouvez alors définir vos propres valeurs de remplacement pour QBAD/QBAD_I_xx/QBAD_O_xx = 1.

ATTENTION Pour une périphérie F avec des entrées, le traitement doit être poursuivi avec la valeur de remplacement "0" mise à disposition dans la MIE pour des voies TOR de type de données BOOL dans le programme de sécurité.

En cas de passivation des sorties d'un module de périphérie F, le système F transmet aux sorties de sécurité des valeurs de remplacement (0) à la place des valeurs de sorties fournies dans la mémoire image des sorties par le programme de sécurité. La MIS correspondante est écrasée par le système F avec des valeurs de remplacement (0).

Accès à la périphérie F 5.3 DB de périphérie F


Réintégration d'une périphérie F/des voies d'une périphérie F Le retour des valeurs de remplacement (0) aux valeurs du processus (Réintégration d'une périphérie F) s'effectue automatiquement ou seulement après un acquittement l'utilisateur dans le DB de périphérie F. La nature de la réintégration est fonction : ● de la cause de la passivation de la périphérie F/des voies de la périphérie F ● du paramétrage que vous aurez effectué dans le DB de périphérie F (voir ci-dessous)

Remarque En cas d'erreur de voie dans la périphérie F, notez qu'il est possible de réaliser une passivation de la voie présentant l'erreur. Si la configuration dans HW Config le permet, la valeur de remplacement (0) est émise pour la voie concernée. Si vous avez configuré une passivation par voie pour la périphérie F, les voies concernées sont réintégrées une fois les erreurs corrigées, celles présentant des erreurs restent passivées.

Voir aussi Configuration de la périphérie F (Page 36)

5.3 DB de périphérie F

Introduction Dans HW Config, un DB de périphérie F est généré automatiquement pour chaque module de périphérie F lors de la compilation. Le DB de périphérie F contient des variables que vous pouvez ou devez lire ou écrire dans le programme de sécurité (à l'exception de la variable DIAG qui est uniquement lue dans le programme utilisateur standard). La modification de la valeur initiale/actuelle des variables, directement dans le DB de périphérie F n'est pas possible compte tenu de la protection contre le piratage du DB de périphérie F.

Utilisation de l'accès à un DB de périphérie F Vous accédez aux variables du DB de périphérie F : ● pour la réintégration de la périphérie F à la suite d'une erreur de

communication/périphérie F/voie ● lorsque vous voulez passiver la périphérie F en fonction d'états définis de votre

programme de sécurité (passivation groupée p. ex.) ● pour la modification du paramétrage d'esclaves DP de sécurité normés/IO-Normdevices ● lorsque vous voulez savoir si les valeurs émises sont des valeurs de remplacement ou

des valeurs du processus



Variables d'un DB de périphérie F Le tableau ci-après récapitule les variables d'un DB de périphérie F :

Variable Type de

données Fonction Valeur par

défaut PASS_ON BOOL 1=active la passivation 0 ACK_NEC BOOL 1=acquittement pour la réintégration

requis après erreurs de périphérie F/voie

1

ACK_REI BOOL 1=acquittement de réintégration 0

Variables dans lesquelles vous pouvez/devez écrire

IPAR_EN BOOL Variable pour le reparamétrage d'esclaves DP normés/IO-Normdevices de sécurité ou pour SM 336 ; AI F 6 x 0/4 ... 20 mA HART pour la validation de la communication HART.

0

PASS_OUT BOOL Sortie de passivation* 1 QBAD BOOL 1=Mise à disposition des valeurs de

remplacement* 1

ACK_REQ BOOL 1=requête d'acquittement de réintégration

0

IPAR_OK BOOL Variable pour le reparamétrage d'esclaves DP normés/IO-Normdevices de sécurité ou pour SM 336 ; AI F 6 x 0/4 ... 20 mA HART pour la validation de la communication HART.

0

DIAG BYTE Information de maintenance QBAD_I_xx BOOL 1=Mise à disposition des valeurs de

remplacement sur la voie d'entrée xx 1

Variablesque vous pouvez exploiter :

QBAD_O_xx BOOL 1=Mise à disposition des valeurs de remplacement sur la voie de sortie xx

1

* Des explications sont fournies au paragraphe "PASS_OUT/QBAD/QBAD_I_xx/QBAD_O_xx"

PASS_ON La variable PASS_ON permet d'activer la passivation d'une périphérie F par ex. en fonction de certains états particuliers de votre programme de sécurité. La variable PASS_ON dans le DB de périphérie F permet uniquement la passivation de la périphérie F complète ; la passivation par voie n'est pas possible. Tant que PASS_ON = 1, il y a passivation de la périphérie F associée.



ACK_NEC Dès que la périphérie F détecte une erreur de périphérie F, la périphérie F concernée est passivée. Lorsque des erreurs de voie sont détectées, une passivation des voies concernées a lieu en cas de paramétrage d'une passivation par voie et une passivation de toutes les voies de la périphérie F concernée en cas de passivation de l'ensemble de la périphérie F. Après suppression de l'erreur de périphérie F/voie, la périphérie F concernée est réintégrée en fonction de ACK_NEC : ● ACK_NEC = 0 permet de paramétrer une réintégration automatique. ● ACK_NEC = 1 permet de paramétrer une réintégration sur acquittement utilisateur.

ATTENTION

Le paramétrage de la variable ACK_NEC = 0 n'est permis que si les mécanismes de sécurité autorisent pour le process concerné une réintégration automatique.

Remarque La valeur par défaut de ACK_NEC après création du DB de périphérie F est 1. Si vous n'avez pas besoin de réintégration automatique, l'écriture dans ACK_NEC n'est pas nécessaire.

ACK_REI Si le système F détecte une erreur de communication ou une erreur de périphérie F sur une périphérie F, la périphérie F concernée est passivée. Lorsque des erreurs de voie sont détectées, une passivation des voies concernées a lieu en cas de paramétrage d'une passivation par voie et une passivation de toutes les voies de la périphérie F concernée en cas de passivation de l'ensemble de la périphérie F. Un acquittement utilisateur qui déclenche un front montant dans la variable ACK_REI de la périphérie F est nécessaire à la réintégration de la périphérie F/voies de la périphérie F après suppression des erreurs : ● toujours après une erreur de communication ● uniquement en cas de paramétrage ACK_NEC = 1 après une erreur de périphérie F/voie En cas de réintégration après erreur de voie, toutes les voies dont les erreurs sont supprimées sont réintégrées. Un acquittement n'est possible que si la variable ACK_REQ = 1. Dans votre programme de sécurité, vous devez prévoir un acquittement utilisateur via la variable ACK_REI pour chaque périphérie F.

ATTENTION Pour l'acquittement de l'utilisateur, vous devez connecter la variable ACK_REI du DB de périphérie F à un signal généré par une commande. Une connexion avec un signal généré automatiquement n'est pas autorisée.



Remarque Après des erreurs de communication/de périphérie F ou de voie, vous pouvez également effectuer la réintégration de la périphérie F via le module d'application F FB 219 "F_ACK_GL" (voir chapitre "FB 219 "F_ACK_GL" : acquittement global de toutes les périphéries F d'un groupe d'exécution F").

IPAR_EN La variable IPAR_EN correspond à la variable iPar_EN_C dans le profil de bus PROFIsafe, à partir de PROFIsafe Specification V1.20. Esclaves DP de sécurité normés/IO-Normdevices Pour savoir quand vous devez mettre à 1/à 0 cette variable lors d'un reparamétrage d'esclaves DP normés/IO-Normdevices de sécurité, veuillez consulter la spécification PROFIsafe à partir de V1.20 ou la documentation de l'esclave DP normé/IO-Normdevice de sécurité.

ATTENTION Notez que, avec IPAR_EN = 1 aucune passivation de la périphérie F concernée n'est déclenchée. Si une passivation est souhaitée pour IPAR_EN = 1, une mise à 1 de la variable PASS_ON = 1 est nécessaire.

Communication HART avec SM 336 ; AI F 6 x 0/4 ... 20 mA HART Si, lors du paramétrage "HART_TOR" = "commutable", la variable IPAR_EN est mise à "1", la communication HART est validée pour SM 336 ; AI F 6 x 0/4 ... 20 mA HART, bloquée pour "0". Le SM F acquitte la communication HART validée ou bloquée avec la variable IPAR_OK = 1 ou 0. Ne validez la communication HART que si votre installation se trouve dans un état dans lequel un reparamétrage individuel de l'appareil de terrain HART correspondant peut s'effectuer sans danger. Si vous souhaitez exploiter l'état "Validation de la communication HART" dans votre programme de sécurité afin, par exemple, de programmer des verrouillages, vous devez présenter cette information comme indiquée dans l'exemple précédent. Vous assurez ainsi la mise à disposition correcte de l'information également en cas d'erreurs de communication pendant la validation de la communication HART via IPAR_EN = 1. Lors de cette exploitation, modifiez l'état de la variable IPAR_EN uniquement lorsqu'aucune passivation n'existe en raison d'une erreur de communication ou d'une erreur de périphérie F/de voie (PASS_OUT = 0).



Exemple de validation de la communication HART

Réseau 1 : validation communication HART

Réseau 2 : valider détermination communication HART

#CONDITION_1

Commentaire :

Commentaire :

#MEMENTOS DE FRONT

#CONDITION_2

#HART_COMM_VALIDÉEN

R

S Q

RS

&

=

“F00210_FAI6x15Bit_HART”.IPAR_EN

“F00210_FAI6x15Bit_HART”.IPAR_EN

“F00210_FAI6x15Bit_HART”.IPAR_OK

Figure 5-1 Exemple de validation de la communication HART

Pour plus d'informations sur la communication HART avec SM 336; AI F 6 x 0/4 ... 20 mA HART, consultez le manuel S7-300, Modules de signaux de sécurité ou l'aide en ligne relative à HW Config dans les propriétés de l'objet de ce SM F.

PASS_OUT/QBAD/QBAD_I_xx/QBAD_O_xx Si vous avez configuré la passivation par voie pour la périphérie F, PASS_OUT = 1 et QBAD = 1 indiquent qu'au moins une voie est passivée. QBAD_I_xx et QBAD_O_xx indiquent les voies d'entrée et de sortie ayant été passivées. Si vous avez configuré la passivation par voie pour la périphérie F, PASS_OUT = 1 et QBAD = 1 indiquent qu'au moins une voie est passivée. Le système F met PASS_OUT, QBAD, QBAD_I_xx et QBAD_O_xx à 1 tant que des valeurs de remplacement 0 sont utilisées à la place de valeurs du processus pour la périphérie F correspondante ou les voies individuelles de la périphérie F. Si vous activez une passivation via PASS_ON = 1, seules QBAD, QBAD_I_xx et QBAD_O_xx sont mise à 1. PASS_OUT ne modifie pas sa valeur en cas de passivation via PASS_ON = 1. PASS_OUT peut donc être utilisée pour la passivation groupée d'autres périphéries F.



ACK_REQ Si le système F détecte une erreur de communication ou une erreur de périphérie F/voie sur une périphérie F, la périphérie F concernée ou les voies individuelles de la périphérie F sont passivées. ACK_REQ = 1 signale qu'un acquittement utilisateur est nécessaire pour réintégrer la périphérie F/les voies de la périphérie F concernée. Le système F met ACK_REQ à 1 dès que l'erreur a été supprimée et qu'un acquittement utilisateur est possible. En cas de passivation par voie, le système F met ACK_REQ = 1 dès que l'erreur de voie est corrigée. L'acquittement utilisateur est possible pour cette erreur. Après un acquittement sans erreur, le système F remet ACK_REQ à zéro.

Remarque Pour la périphérie F à sorties, il se peut qu'après une erreur de périphérie F/voie, l'acquittement ne soit possible qu'au bout de quelques minutes environ après suppression de l'erreur en raison de la transmission requise de signaux de test (voir Manuels de la périphérie F).

IPAR_OK La variable IPAR_OK correspond à la variable iPar_OK_S dans le profil de bus PROFIsafe, à partir de PROFIsafe Specification V1.20. Esclaves DP de sécurité normés/IO-Normdevices Pour savoir comment vous devez mettre à 1/à 0 cette variable lors d'un reparamétrage d'esclaves DP normés/IO-Normdevices de sécurité, veuillez consulter la spécification PROFIsafe à partir de V1.20 ou la documentation de l'esclave DP normé/IO-Normdevice de sécurité. Communication HART avec SM 336 ; AI F 6 x 0/4 ... 20 mA HART voir la section "IPAR_EN"

DIAG La variable DIAG met à disposition, à des fins de maintenance, une information (1 octet) qui n'est pas une information de sécurité sur les erreurs survenues. Vous pouvez la lire au moyen de systèmes de contrôle-commande ou, le cas échéant, l'exploiter dans votre programme utilisateur standard. Les bits DIAG restent en mémoire jusqu'à ce que la variable ACK_REI soit acquittée ou qu'une réintégration automatique soit exécutée.

Remarque L'accès à cette variable dans le programme de sécurité n'est pas autorisé !



Structure de DIAG N° de bit Occupation Origine possible de l'erreur Remède

Liaison PROFIBUS/PROFINET entre CPU F et périphérie F en dérangement. La valeur paramétrée dans HW Config pour le temps de surveillance de la périphérie F est trop faible. La périphérie F contient des données de paramétrage invalides. ou

• Contrôlez la liaison PROFIBUS/PROFINET et vérifiez l'absence de sources de perturbation externes.

• Contrôlez le paramétrage de la périphérie F dans HW Config. Augmentez si nécessaire la valeur du temps de surveillance. Compilez de nouveau la configuration matérielle et rechargez-la dans la CPU F. Compilez une nouvelle fois le programme de sécurité.

• Contrôlez le tampon de diagnostic de la périphérie F.

• Mettez la périphérie F hors tension puis à nouveau sous tension.

erreur interne de la périphérie F ou

Echangez la périphérie F

Bit 0 Détection de timeout de la périphérie F

erreur interne de la CPU F Remplacez la CPU F Bit 1 Détection d'une erreur de

périphérie F/voie de la périphérie F

voir Manuels de la périphérie F

voir Manuels de la périphérie F

Bit 2 Détection d'une erreur de CRC/numéro de séquence de la périphérie F

Voir la description du bit 0 Voir la description du bit 0

Bit 3 Réserve - - Bit 4 Détection de timeout du

système F Voir la description du bit 0 Voir la description du bit 0

Bit 5 Détection d'erreur de numéro de séquence du système F


Bit 6 Détection d'une erreur de CRC du système F


Bit 7 Réserve - -

Voir aussi Configuration de la périphérie F (Page 36) Passivation et réintégration de la périphérie F après des erreurs de périphérie F/voie (Page 110) Passivation groupée (Page 114)

Accès à la périphérie F 5.4 Accès aux variables du DB de périphérie F


5.4 Accès aux variables du DB de périphérie F

Nom symbolique du DB de périphérie F Lors de la compilation sous HW Config, un DB de périphérie F est automatiquement généré pour chaque périphérie F et, parallèlement, un nom symbolique est inscrit dans la table des mnémoniques. Le nom symbolique est constitué du préfixe invariable "F", de l'adresse de début de la périphérie F et du nom (17 caractères max.) inscrit dans les propriétés de l'objet de la périphérie F sous HW Config (Exemple : F000005_4_8_F_DI_DC24V). Pour la périphérie F, à laquelle vous accédez via la communication esclave I-esclave, un X est également ajouté derrière l'adresse de début de la périphérie F (par ex. F00005_X_4_8_F_DI_DC24V).

Règles concernant l'accès aux variables du DB de périphérie F L'accès à des variables du DB d'une périphérie F n'est autorisé qu'à partir d'un seul groupe d'exécution F, à savoir celui à partir duquel l'accès aux voies de cette périphérie de sécurité est également réalisé (si l'accès est disponible).

Accès entièrement qualifié au DB Vous pouvez accéder aux variables du DB de périphérie F par un "accès entièrement qualifié au DB" (c.-à-d. en mentionnant le nom symbolique du DB de périphérie F et le nom des variables). Veillez à ce que dans la boîte de dialogue "Général" de l'éditeur LOG/CONT (commande de menu Outils > Paramètres), l'option "Signaler les accès aux DB d'instance comme erreurs" ne soit pas activée. Sinon, l'accès aux variables des DB de périphérie F est impossible.

Exemple de lecture de la variable QBAD

Voir aussi Attribution de noms symboliques (Page 44)

Accès à la périphérie F 5.5 Passivation et réintégration de la périphérie F après démarrage du système F


5.5 Passivation et réintégration de la périphérie F après démarrage du système F

Comportement après un démarrage Après le démarrage du système F, la communication entre la CPU F et la périphérie F doit d'abord s'établir via le protocole de sécurité selon PROFIsafe. Durant ce temps, l'ensemble de la périphérie F est passivé. Pendant l'utilisation de valeurs de remplacement (0), les variables QBAD, PASS_OUT, QBAD_I_xx et QBAD_O_xx sont à 1.

Réintégration de la périphérie F La réintégration de la périphérie F, c.-à-d. la mise à disposition de valeurs de processus dans la MIE ou le transfert des valeurs de processus mises à disposition dans la MIS vers les sorties de sécurité, s'effectue quel que soit le paramétrage de la variable ACK_NEC automatiquement au plus tôt à compter du 2e cycle du groupe d'exécution F après le démarrage du système F. Selon la périphérie F utilisée et le temps de cycle du groupe d'exécution F et du PROFIBUS DP/PROFINET IO, la réintégration ne s'effectuera qu'au bout de quelques cycles du groupe d'exécution F. Si l'établissement de la communication entre la CPU F et la périphérie F dure plus longtemps que le temps de surveillance paramétré sous HW Config dans les propriétés d'objet de la périphérie F, aucune réintégration automatique n'est effectuée.

Accès à la périphérie F 5.5 Passivation et réintégration de la périphérie F après démarrage du système F


Allure des signaux lors de la passivation et réintégration de la périphérie F après démarrage du système F

ATTENTION Si vous ne souhaitez pas de réintégration automatique après le démarrage du système F, vous devez programmer une protection contre le démarrage.

Voir aussi Programmation d'une protection contre le démarrage (Page 94) Passivation et réintégration de la périphérie F après des erreurs de communication (Page 108)

Accès à la périphérie F 5.6 Passivation et réintégration de la périphérie F après des erreurs de communication


5.6 Passivation et réintégration de la périphérie F après des erreurs de communication

Comportement après des erreurs de communication Si le système F détecte une erreur de la communication sécurisée (erreur de communication) entre la CPU F et une périphérie F via le protocole de sécurité selon PROFIsafe, il y a passivation de la périphérie F concernée. Pendant l'utilisation de valeurs de remplacement (0), les variables QBAD, PASS_OUT, QBAD_I_xx et QBAD_O_xx sont à 1.

Réintégration de la périphérie F La réintégration de la périphérie F concernée, c.-à-d. la mise à disposition de valeurs de processus dans la MIE ou le transfert des valeurs de processus mises à disposition dans la MIS vers les sorties de sécurité n'intervient que si : ● il n'y a plus d'erreur de communication et si le système F a mis la variable ACK_REQ à 1 ● un acquittement de l'utilisateur avec un front positif a eu lieu :

– sur la variable ACK_REI du DB de périphérie F ou – à l'entrée ACK_REI_GLOB du module d'application F FB 219 "F_ACK_GL" (voir

chapitre 9.1.2.18)

Accès à la périphérie F 5.6 Passivation et réintégration de la périphérie F après des erreurs de communication


Allure des signaux lors de la passivation et de la réintégration de la périphérie F après des erreurs de communication

QBAD

QBAD_I_xx

QBAD_O_xx

PASS_OUT

ACK_REQ

ACK_REI

Aux sorties

Valeurs de remplacement

Bit DIAG activé

Valeurs de remplacement

Plus aucune erreur de

communication

Erreur de

communication/Passivation Réintégration

Valeurs de process

Valeurs de process

Valeurs de process

Valeurs de

process

Sortie des valeurs de remplacement

dans le cas de la périphérie F avec entrées

dans le cas de la périphérie F avec sorties et de la périphérie F avec entrées et sorties

(variation du signal en fonction de la périphérie F utilisée)

Sortie de passivation mise à 1

Requête d’acquittement

Acquittement utilisateur

Bit DIAG x activé

MIE

E

S

SE

E

E

S

S

Voir aussi Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un maître DP ou d'un IO-Controller (Page 117) Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un esclave I (Page 120)

Accès à la périphérie F 5.7 Passivation et réintégration de la périphérie F après des erreurs de périphérie F/voie


5.7 Passivation et réintégration de la périphérie F après des erreurs de périphérie F/voie

Comportement après des erreurs de périphérie F Si le système F détecte une erreur de périphérie F (p. ex. erreur de paramétrage, température trop élevée), l'ensemble de la périphérie F concernée est passivé. Pendant l'utilisation de valeurs de remplacement (0), les variables QBAD, PASS_OUT, QBAD_I_xx et QBAD_O_xx sont à 1.

Comportement après des erreurs de voie Si le système F détecte une erreur de voie (par ex., court-circuit, surcharge, erreur de discordance, rupture de fil), le comportement du système F dépend de la configuration du paramètre "Comportement après des erreurs de voie" dans HW Config. Si vous avez configuré une passivation par voie, les voies concernées de la périphérie F sont passivées. Pendant l'utilisation de valeurs de remplacement (0), les variables QBAD, PASS_OUT ou QBAD_I_xx et QBAD_O_xx des voies concernées sont à 1. Si vous avez configuré une passivation de la périphérie F globale, la passivation intervient comme après des erreurs de la périphérie F (voir ci-dessus).

Réintégration de la périphérie F La réintégration de la périphérie F concernée ou des voies concernées de la périphérie F, c.-à-d. la mise à disposition de valeurs de processus dans la MIE ou le transfert des valeurs de processus mises à disposition dans la MIS vers les sorties de sécurité n'intervient que si : ● il n'existe plus d'erreur de périphérie F ou d'erreur de voie. Si vous avez configuré une passivation par voie pour la périphérie F, les voies concernées sont réintégrées une fois les erreurs corrigées, celles présentant des erreurs restent passivées. La réintégration intervient en fonction du paramétrage de la variable ACK_NEC : ● Si ACK_NEC = 0, il y a réintégration automatique dès que le système F détecte la

suppression de l'erreur. En cas de réintégration des entrées d'un module de périphérie F, la réintégration s'effectue immédiatement. En cas de réintégration des entrées ou des entrées et sorties d'un module de périphérie F et en fonction de la périphérie F utilisée, la réintégration ne s'effectuera éventuellement qu'au bout de quelques minutes, après l'application des signaux de test requis permettant à la périphérie F de détecter la suppression de l'erreur.

● Avec ACK_NEC = 1, une réintégration est effectuée seulement via un acquittement de l'utilisateur avec un front positif sur la variable ACK_REI du DB de périphérie F ou sur l'entrée ACK_REI_GLOB du module d'application F FB 219 "F_ACK_GL". L'acquittement n'est possible que lorsque le système F a détecté l'absence d'erreur et que la variable ACK_REQ a été mise à 1.



ATTENTION

A la suite d'une coupure de tension de la périphérie F d'une durée inférieure au temps de surveillance paramétré pour la périphérie F sous HW Config (voir manuel système Technique de sécurité SIMATIC S7), il se peut qu'indépendamment de votre paramétrage de la variable ACK_NEC, une réintégration s'effectue automatiquement comme décrit pour le paramétrage ACK_NEC = 0. Si dans ce cas une réintégration automatique n'est pas admissible pour le processus concerné, programmez une protection contre le démarrage par lecture des variables QBAD ou QBAD_I_xx et QBAD_O_xx ou PASS_OUT. En cas de coupure de tension de la périphérie F d'une durée supérieure au temps de surveillance paramétré pour la périphérie F sous HW Config, le système F détecte une erreur de communication.



Allure des signaux lors de la passivation et de la réintégration de la périphérie F après des erreurs de périphérie F/voie et ACK_NEC = 0 (lors de la passivation de la périphérie F globale après des erreurs de voie)

Allure des signaux lors de la passivation et réintégration de la périphérie F après des erreurs de périphérie F/voie et ACK_NEC = 1 (lors de la passivation de l'ensemble de la périphérie F après des erreurs de voie)

Pour l'allure des signaux lors de la passivation et réintégration de la périphérie F après des erreurs de périphérie F/voie et ACK_NEC = 1 (valeur par défaut), voir le chapitre "Passivation et réintégration de la périphérie F après des erreurs de communication".



Allure des signaux lors de la passivation et réintégration de la périphérie F après des erreurs de voie et ACK_NEC = 1 (en cas de passivation par voie)

6

5

4

3

2

1

654321

Accès à la périphérie F 5.8 Passivation groupée


Voir aussi Configuration de la périphérie F (Page 36) Programmation d'une protection contre le démarrage (Page 94) Passivation et réintégration de la périphérie F après des erreurs de communication (Page 108) Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un maître DP ou d'un IO-Controller (Page 117) Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un esclave I (Page 120)

5.8 Passivation groupée

Programmation d'une passivation groupée Si, lors de la passivation d'une périphérie F ou d'une voie de la périphérie F par le système F, vous voulez activer la passivation d'autres périphéries F, vous pouvez réaliser une passivation groupée de périphéries F associées à l'aide des variables PASS_OUT/PASS_ON. La passivation groupée via PASS_OUT/PASS_ON peut être utilisée p. ex. pour le forçage d'une réintégration simultanée de toutes les périphéries F à la suite du démarrage du système F. Pour réaliser une passivation groupée, liez toutes les variables PASS_OUT des périphéries F de ce groupe par une fonction OU et affectez le résultat à toutes les variables PASS_ON des périphéries F de ce groupe. Durant l'utilisation des valeurs de remplacement (0) suite à la passivation groupée via PASS_ON = 1, les variables QBAD, QBAD_I_xx et QBAD_O_xx des périphéries F de ce groupe sont à 1.



Exemple de passivation groupée

Réintégration de la périphérie F La réintégration des périphéries F passivées par une passivation groupée s'effectue automatiquement si une réintégration de la périphérie F qui a déclenché la passivation groupée, a lieu (automatiquement ou sur acquittement utilisateur) (PASS_OUT = 0).



Allure des signaux lors de la passivation groupée


Réalisation d'un acquittement utilisateur 66.1 Réalisation d'un acquittement utilisateur dans le programme de

sécurité de la CPU F d'un maître DP ou d'un IO-Controller

Possibilités d'acquittement utilisateur Vous pouvez réaliser un acquittement utilisateur par : ● un bouton d'acquittement que vous connectez à une périphérie F avec des entrées ● un système de contrôle-commande

Acquittement utilisateur par bouton d'acquittement

Remarque Si l'acquittement utilisateur est réalisé au moyen d'un bouton d'acquittement, l'acquittement pour la réintégration de la périphérie F n'est pas possible si l'erreur de communication/périphérie F/voie est survenue dans la périphérie F à laquelle le bouton d'acquittement est connecté. Il n'est possible de remédier à ce "blocage" que par une transition STOP/RUN de la CPU F. Nous vous recommandons par conséquent de prévoir, pour l'acquittement en vue de la réintégration de la périphérie F à laquelle le bouton d'acquittement est connecté, également un acquittement par un système de contrôle-commande.

Acquittement utilisateur par système de contrôle-commande La réalisation d'un acquittement utilisateur par le système de contrôle-commande s'effectue à l'aide du bloc d'application F F_ACK_OP issu de la bibliothèque F Distributed Safety (V1).

Réalisation d'un acquittement utilisateur 6.1 Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un maître DP ou d'un IO-Controller


Marche à suivre pour la programmation d'un acquittement utilisateur par système de contrôle-commande

1. Appelez le bloc d'application F "F_ACK_OP" dans votre programme de sécurité. Le signal d'acquittement utilisateur est mis à disposition pour traitement à la sortie OUT du F_ACK_OP.

2. Créez, dans votre système de contrôle-commande, un champ pour l'entrée manuelle de la "valeur d'acquittement" "6" (1ère étape d'acquittement) et de la "valeur d'acquittement" "9" (2ème étape d'acquittement) dans le DB d'instance du F_ACK_OP (entrée IN) ou définissez une touche de fonction 1 pour le transfert de la "valeur d'acquittement" "6" (1ère étape d'acquittement) et une touche de fonction 2 pour le transfert de la "valeur d'acquittement" "9" (2ème étape d'acquittement) dans le DB d'instance du F_ACK_OP (entrée IN).

3. Facultatif : sur votre système de contrôle-commande, exploitez l'entrée Q dans le DB d'instance du F_ACK_OP pour afficher la fenêtre de temps pendant lequel il faut exécuter la 2ème étape d'acquittement ou pour signaler que la 1ère étape d'acquittement a déjà été exécutée.

Si vous ne pouvez exécuter l'acquittement de l'utilisateur qu'à partir d'une PG/PC via la fonction "Visualiser/forcer variable" et que vous ne voulez pas désactiver le mode de sécurité, transférez un opérande (mot de mémento) à l'entrée IN lors de l'appel du bloc F F_ACK_OP. Vous pourrez alors transférer les "valeurs d'acquittement" "6" et "9" à partir de la PG/PC par forçage du mot de mémento. L'écriture dans le mot de mémento par le programme n'est pas admissible.

Remarque Si vous connectez l'entrée IN avec un mot de mémento, celui-ci peut uniquement être une entrée sur le F_ACK_OP dans un groupe d'exécution F.

ATTENTION

Les deux étapes d'acquittement ne doivent pas être déclenchées par une commande unique, p. ex. en programmant des étapes d'acquittement automatiques, conditions de temps comprises, déclenchées par une seule touche de fonction ! Les deux étapes d'acquittement distinctes excluent un déclenchement erroné de l'acquittement par un système de contrôle-commande qui n'est pas un système de sécurité.

Réalisation d'un acquittement utilisateur 6.1 Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un maître DP ou d'un IO-Contro


ATTENTION Si votre système de contrôle-commande autorise l'accès à plusieurs CPU F qui utilisent le F_ACK_OP pour l'acquittement de sécurité ou si possédez des systèmes de contrôle-commande et CPU F (avec blocs d'application F_ACK_OP) interconnectés en réseau, vérifiez avant l'exécution des deux étapes d'acquittement que vous adressez bien la CPU F voulue : • Pour ce faire, enregistrez sur chaque CPU F, dans un DB de votre programme

utilisateur standard, une désignation unique dans tout le réseau pour la CPU F. • Créez dans votre système de contrôle-commande un champ permettant de lire en ligne,

à partir du DB, la désignation de la CPU F avant l'exécution des deux étapes d'acquittement.

• Facultatif : créez dans votre système de contrôle-commande un champ non éditable dans lequel la désignation de la CPU F est également enregistrée. Vous pouvez alors, par simple comparaison de la désignation de la CPU F lue en ligne avec celle affichée dans ce champ, vous assurer que la CPU F adressée est bien la bonne.

Exemple de marche à suivre pour la programmation d'un acquittement de l'utilisateur en vue de la réintégration d'une périphérie F

1. Facultatif : mettez la variable ACK_NEC dans les DB de périphérie F respectifs à "0" si vous voulez que la réintégration s'effectue automatiquement (sans acquittement utilisateur) après une erreur de périphérie F/voie.

ATTENTION

Le paramétrage de la variable ACK_NEC = 0 n'est permis que si les mécanismes de sécurité autorisent, pour le process concerné, une réintégration automatique.

2. Facultatif : exploitez les variables QBAD ou QBAD_I_xx et QBAD_O_xx ou DIAG dans le DB de périphérie F correspondant pour commander l'allumage d'un voyant en cas d'erreur et/ou générez dans votre programme utilisateur standard, par exploitation des variables QBAD ou DIAG, des messages d'erreur à destination de votre système de contrôle-commande, qui pourront être traités avant l'exécution de l'acquittement. Vous pouvez également évaluer le tampon de diagnostic de la CPU F.

3. Facultatif : exploitez la variable ACK_REQ dans le DB périphérie F correspondant, par ex. dans le programme utilisateur standard ou sur le système de contrôle-commande, pour détecter ou signaler la nécessité d'un acquittement de l'utilisateur.

4. Affectez à la variable ACK_REI du DB de périphérie F correspondant ou à l'entrée ACK_REI_GLOB du module d'application F FB 219 "F_ACK_GL", l'entrée du bouton d'acquittement ou la sortie OUT du F_ACK_OP (voir ci-dessus).

Voir aussi DB de périphérie F (Page 98) FB 187 "F_ACK_OP" : Acquittement de sécurité (Page 189)

Réalisation d'un acquittement utilisateur 6.2 Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un esclave I


6.2 Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un esclave I

Possibilités d'acquittement utilisateur Vous pouvez réaliser un acquittement utilisateur par : ● un système de contrôle-commande avec lequel vous pouvez accéder à la CPU F de

l'esclave I ● un bouton d'acquittement connecté à une périphérie F avec des entrées affectée à la

CPU F de l'esclave I ● un bouton d'acquittement connecté à une périphérie F avec des entrées affectée à la

CPU F du maître DP La figure ci-dessous représente les 3 possibilités à titre d'exemple.

1. Acquittement utilisateur via un système de contrôle-commande avec lequel vous pouvez accéder à la CPU F de l'esclave I

La réalisation d'un acquittement utilisateur par un système de contrôle-commande avec lequel vous pouvez accéder à la CPU F de l'esclave I s'effectue à l'aide du bloc d'application F F_ACK_OP issu de la bibliothèque F Distributed Safety (V1). Marche à suivre pour la programmation Procédez comme décrit au chapitre Réalisation d'un acquittement de l'utilisateur dans le programme de sécurité de la CPU F d'un maître DP sous "Marche à suivre pour programmer l'acquittement de l'utilisateur via un système de contrôle-commande". Depuis votre système de contrôle-commande, vous accédez directement au DMB d'instance du F_ACK_OP dans l'esclave I.



2. Acquittement utilisateur par bouton d'acquittement connecté à une périphérie F avec des entrées, affectée à la CPU F de l'esclave I

Remarque Si l'erreur de communication/périphérie F/voie est survenue dans la périphérie F à laquelle le bouton d'acquittement est connecté, aucun acquittement pour réintégration de cette périphérie F n'est possible. Ce "blocage" peut être supprimé uniquement via une transition ARRÊT/MARCHE de la CPU F de l'esclave I. Pour cette raison, nous vous recommandons de prévoir, pour l'acquittement de la réintégration d'une périphérie F à laquelle un bouton d'acquittement est connecté, un acquittement supplémentaire via un système de contrôle-commande permettant d'accéder à la CPU F de l'esclave I (voir 1.).

3. Acquittement de l'utilisateur par bouton d'acquittement connecté à une périphérie F avec entrées affectée à la CPU F du maître DP

Si vous souhaitez également utiliser la touche d'acquittement affectée à la CPU F du maître DP pour un acquittement de l'utilisateur dans le programme de sécurité de la CPU F d'un esclave I, vous devez transférer le signal d'acquittement via une communication sécurisée maître-esclave I depuis le programme de sécurité dans la CPU F du maître DP vers le programme de sécurité dans la CPU F de l'esclave I. Marche à suivre pour la programmation 1. Dans le programme de sécurité se trouvant dans la CPU F du maître DP, appelez le bloc

d'application F F_SENDDP. 2. Dans le programme de sécurité se trouvant dans la CPU F de l'esclave I, appelez le bloc

d'application F F_RCVDP. 3. Connectez une entrée SD_BO_xx du F_SENDDP avec l'entrée de la touche

d'acquittement. 4. Sur la sortie RD_BO_xx correspondante du F_RCVDP, vous disposez du signal

d'acquittement et vous pouvez l'exploiter pour l'acquittement utilisateur. Vous pouvez alors lire le signal d'acquittement dans les parties de programme suivantes, directement dans le DB d'instance associé ("Nom F_RCVDP1".RD_BO_02 p. ex.) par un accès mentionnant l'adresse complète. Vous devez pour ce faire, attribuer d'abord dans la table des mnémoniques un nom symbolique (dans notre exemple "Nom F_RCVDP1") au DB d'instance du F_RCVDP.

5. Affectez la valeur de remplacement "VKE0" à l'entrée SUBBO_xx correspondante du F_RCVDP afin qu'aucun acquittement de l'utilisateur intempestif ne soit déclenché jusqu'au premier établissement de la communication après un démarrage des systèmes de sécurité émetteur et récepteur ou en cas d'erreur de la communication sécurisée. VKE0 est mis à votre disposition dans le DB global F. A l'entrée SUBBO_xx, vous transmettez "F_GLOBDB".VKE0 en mentionnant l'adresse complète.



Remarque Si l'erreur de communication/périphérie F/voie est survenue dans la périphérie F à laquelle le bouton d'acquittement est connecté, aucun acquittement pour réintégration de cette périphérie F n'est également possible. Ce "blocage" peut être supprimé uniquement via une transition ARRÊT/MARCHE de la CPU F du maître DP. Pour cette raison, nous vous recommandons de prévoir, pour l'acquittement de la réintégration de la périphérie F à laquelle un bouton d'acquittement est connecté, un acquittement supplémentaire via un système de contrôle-commande permettant d'accéder à la CPU F du maître DP. En cas d'erreur de la communication sécurisée maître-esclave I, aucune transmission du signal d'acquittement n'est plus possible, ni par conséquent d'acquittement pour réintégrer la communication sécurisée. Ce "blocage" peut être supprimé uniquement via une transition ARRÊT/MARCHE de la CPU F de l'esclave I. Pour cette raison, nous vous recommandons de prévoir, pour l'acquittement de la réintégration de la communication sécurisée pour la transmission des signaux d'acquittement, un acquittement supplémentaire via un système de contrôle-commande permettant d'accéder directement à la CPU F de l'esclave I (voir 1.).

Voir aussi Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un maître DP ou d'un IO-Controller (Page 117) Vue d'ensemble de la communication sécurisée (Page 127) FB 187 "F_ACK_OP" : Acquittement de sécurité (Page 189) FB 223 "F_SENDDP" et FB 224 "F_RCVDP" : émission et réception de données via PROFIBUS DP (Page 229)


Echange de données entre les programmes utilisateurs standard et le programme de sécurité 77.1 Transfert de données du programme de sécurité au programme

utilisateur standard

Transfert de données du programme de sécurité au programme utilisateur standard Le programme utilisateur standard peut lire toutes les données du programme de sécurité, p. ex. par des accès symboliques (entièrement qualifiés) : ● aux DB d'instance des FB F ● aux DB F (p. ex. "Nom F_DB".Signal_1) ● à la mémoire image des entrées et sorties de la périphérie F (p. ex.

"bouton_d'arrêt_d'urgence_1" (E 5.0) )

Remarque La mémoire image des entrées de la périphérie F est actualisée non pas au début d'un groupe d'exécution F avant le traitement du bloc de programme F, mais par le système d'exploitation standard. Vous pouvez vous référer à l'aide en ligne STEP 7, à la rubrique "Mémoire image des entrées/sorties" pour connaître les moments de l'actualisation par le système d'exploitation standard. Pour les F-CPU, tenez compte également, le cas échéant, des heures à laquelle l'actualisation est effectuée en cas d'utilisation de mémoires image partielles. Lorsque vous accédez à la mémoire image des entrées de la périphérie F dans le programme utilisateur standard, vous risquez de recevoir d'autres données que dans le programme de sécurité. Ces différences entre les valeurs peuvent résulter : • des instants d'actualisation différents • de l'utilisation de valeurs de remplacement dans le programme de sécurité Pour obtenir, dans le programme utilisateur standard, les mêmes valeurs que dans le programme de sécurité, vous ne devez accéder à la mémoire image des entrées dans le programme utilisateur standard qu'après le traitement d'un groupe d'exécution F. Dans ce cas, vous pouvez également exploiter dans le programme utilisateur standard la variable QBAD ou QBAD_I_xx dans le DB de périphérie F correspondant, afin de déterminer si la mémoire image des entrées comprend des valeurs de remplacement (0) ou des valeurs du processus. En cas d'utilisation de mémoires image partielles, tenez également compte du fait que ni le système d'exploitation standard, ni le SFC 26 UPDAT_PI n'effectuent d'actualisation de la mémoire image entre le traitement d'un groupe d'exécution F (F-CALL) et l'exploitation de la mémoire image des entrées dans le programme utilisateur standard.

Echange de données entre les programmes utilisateurs standard et le programme de sécurité 7.1 Transfert de données du programme de sécurité au programme utilisateur standard


DB global F Vous pouvez, au sein du programme utilisateur standard ou sur le système de contrôle-commande, lire dans le DB global F : ● le mode de sécurité/mode de sécurité désactivé (variable "MODE") ● l'information d'erreur "Erreur lors du traitement du programme de sécurité" (variable

"ERROR") ● la signature globale du programme de sécurité (variable "F_PROG_SIG") ● la date de compilation du programme de sécurité (variable "F_PROG_DAT", type de

données DATE_AND_TIME) La lecture de ces variables s'effectue par accès entièrement qualifié (p. ex. "F_GLOBDB".MODE). Le numéro et le nom symbolique du DB global F ainsi que l'adresse absolue des variables sont indiqués dans la sortie d'imprimante du programme de sécurité.

Mémento Pour pouvoir exploiter les résultats intermédiaires du programme de sécurité, sans le détour par les DB F du programme utilisateur standard, le programme de sécurité permet également d'écrire dans des mémentos. Ces mémentos ne peuvent cependant pas être lus dans le programme de sécurité même.

Mémoire image des sorties Dans le programme de sécurité, vous pouvez également écrire dans la mémoire image des sorties (MIS) de la périphérie standard, p. ex. à des fins d'affichage. La lecture de ces valeurs dans le programme de sécurité est également interdite (voir aussi le tableau des zones d'opérandes prises en charge au chapitre "Différences entre les langages de programmation LOG F/CONT F et les langages standard LOG/CONT").

Voir aussi Différences entres les langages de programmation LOG F/CONT F et les langages standard LOG/CONT (Page 61)

Echange de données entre les programmes utilisateurs standard et le programme de sécurité 7.2 Transfert de données du programme utilisateur standard au programme de sécurité


7.2 Transfert de données du programme utilisateur standard au programme de sécurité

Transfert de données du programme utilisateur standard au programme de sécurité Dans le programme de sécurité, il n'est possible de traiter par principe que des données ou signaux de sécurité issus de périphéries F ou d'autres programmes de sécurité (sur d'autres CPU F) car toutes les données et tous les signaux du programme standard ne sont pas des données et signaux de sécurité. Si vous devez malgré tout traiter des données issues du programme utilisateur standard dans le programme de sécurité, vous pouvez exploiter soit des mémentos du programme utilisateur standard, soit la mémoire image des entrées (MIE) de la périphérie standard dans le programme de sécurité (voir également le tableau des zones d'opérandes prises en charge au chapitre "Différences entre les langages de programmation LOG F/CONT F et les langages standard LOG/CONT").

ATTENTION Ces données n'étant pas formées d'une manière sécurisée, vous devez prévoir dans le programme de sécurité des contrôles de vraisemblance additionnels, spécifiques au process, pour exclure des états dangereux. Si un mémento ou une entrée d'une périphérie standard sont utilisés dans deux groupes d'exécution F, vous devez réaliser le contrôle de vraisemblance séparément dans chaque groupe d'exécution F.

Pour faciliter la vérification, tous les signaux du programme utilisateur standard qui sont traités dans le programme de sécurité sont imprimés dans la sortie sur imprimante du programme de sécurité.

Remarque L'utilisation de données du programme utilisateur standard (mémentos ou MIE de la périphérie standard) pour les mémentos de front des opérations Détection de flanc (montant, descendant) ou Détection de front de signal (montant, descendant) et pour l'opérande des opérations Bascule (mise à 1/0, mise à 0/1), n'est pas autorisée car celles-ci peuvent être lues et écrites par les opérations.

Remarque Dans l'éditeur LOG/CONT tous les opérandes qui ne sont pas des opérandes de sécurité sont présentés par défaut sur fond jaune lors du traitement des blocs F sous LOG F/CONT F.

Echange de données entre les programmes utilisateurs standard et le programme de sécurité 7.2 Transfert de données du programme utilisateur standard au programme de sécurité


Exemples : Programmation de contrôles de vraisemblance ● Contrôlez les données du programme utilisateur standard qui ne sont pas des données

de sécurité à l'aide d'opérations de comparaison pour vérifier qu'elles ne dépassent pas un seuil supérieur/inférieur admissible. Le résultat de la comparaison permet ensuite d'influencer votre fonction de sécurité.

● Utilisez des signaux du programme utilisateur standard qui ne sont pas des signaux de sécurité, avec des opérations telles que mise à 1, mise à 0 ou bascule, uniquement pour l'arrêt d'un moteur, mais non pas pour la mise en marche.

● Combinez, pour les opérations de mise en marche, les signaux du programme utilisateur standard qui ne sont pas des signaux de sécurité, au moyen d'une fonction ET p. ex., à des conditions de mise en marche dérivées de signaux de sécurité.

Lorsque vous voulez traiter des données qui ne sont pas des données de sécurité dans le programme de sécurité, tenez compte du fait que le contrôle de vraisemblance de certaines de ces données n'est pas simple.

Lecture de données du programme utilisateur standard qui peuvent évoluer durant l'exécution d'un groupe d'exécution F

Si, dans le programme de sécurité, vous voulez lire des données du programme utilisateur standard (mémentos ou MIE de la périphérie standard) qui peuvent être modifiées par le programme utilisateur standard ou par un système de contrôle-commande durant l'exécution du groupe d'exécution F dans lequel elles sont lues, parce que votre programme utilisateur standard est traité par une alarme cyclique prioritaire p. ex., utilisez pour ce faire des mémentos particuliers. Les données du programme utilisateur standard doivent être écrites dans ces mémentos juste avant l'appel du groupe d'exécution F. Dans le programme de sécurité, vous devrez alors uniquement accéder à ces mémentos. Veuillez également noter que les mémentos de cadence que vous avez définis lors de la configuration de votre CPU F (sous HW Config dans le dialogue des propriétés d'objet de la CPU F) peuvent évoluer durant l'exécution du groupe d'exécution F, étant donné que les mémentos de cadence et le cycle de la CPU F sont asynchrones.

Remarque Si vous ne tenez pas compte des points ci-dessus, il se peut que la CPU F bascule sur STOP. L'un des événements de diagnostic suivants sera alors écrit dans le tampon de diagnostic de la CPU F : • "Altération de données dans le programme de sécurité avant sortie vers la périphérie F" • "Altération de données dans le programme de sécurité avant sortie vers une CPU F


Voir aussi Différences entres les langages de programmation LOG F/CONT F et les langages standard LOG/CONT (Page 61) Génération du programme de sécurité (Page 258)


Configuration et programmation de la communication 88.1 Vue d'ensemble de la communication sécurisée

Introduction Le présent chapitre vous donne une vue d'ensemble des possibilités de la communication sécurisée dans les systèmes F S7 Distributed Safety : ● communication sécurisée esclave I-esclave (via PROFIBUS DP) Communication sécurisée CPU-CPU : ● communication sécurisée maître-maître (via PROFIBUS DP) ● communication sécurisée maître-esclave I (via PROFIBUS DP) ● communication sécurisée esclave I-esclave I (via PROFIBUS DP) ● communication sécurisée IO Controller-IO Controller (via PROFINET IO) ● communication sécurisée via des liaisons S7 (via Industrial Ethernet) ● communication sécurisée entre S7 Distributed Safety et S7 F Systems



Vue d'ensemble de la communication sécurisée via PROFIBUS DP La figure suivante vous donne une vue d'ensemble des 4 possibilités de communication sécurisée via PROFIBUS DP dans les systèmes F S7 Distributed Safety.

B

C

B

D

B

A

Réseau maître DP 2

A communication sécurisée maître-maître (via coupleur DP/DP)

B communication sécurisée maître-esclave intelligent

C communication sécurisée esclave I-esclave I

D communication sécurisée esclave I-esclave

Maître DP Maître DP

Esclave IEsclave IEsclave I

Esclave

DP

avec-

modules F

Coupleur

DP/DPSous-réseau

PROFIBUS 2

Sous-réseau

PROFIBUS 2

Réseau maître DP 1

Communication CPU-CPU sécurisée via PROFIBUS DP ou PROFINET IO La communication sécurisée CPU-CPU réalise la transmission d'un nombre fixe de données de sécurité des types BOOL et INT entre les programmes de sécurité exécutés dans les CPU F de maîtres DP/esclaves I ou d'IO-Controllers. La transmission des données s'effectue à l'aide des blocs d'application F F_SENDDP pour l'émission et des blocs F_RCVDP pour la réception. Les données sont enregistrées dans les plages d'adresse configurées du coupleur DP/maître DP/esclave I ou PN/PN.

Communication sécurisée esclave I-esclave via PROFIBUS DP La communication sécurisée esclave I/esclave est possible avec la périphérie F dans un esclave DP prenant en charge la communication sécurisée esclave I-esclave, par ex. avec tous les modules F ET 200S et pour tous les modules de signaux de sécurité S7-300 avec IM 153-2, à partir du n° de référence 6ES7 153-2BA01-0XB0, version du firmware > V4.0.0. La communication sécurisée entre le programme de sécurité de la CPU F d'un esclave I et la périphérie F d'un esclave est réalisée – comme en standard – via l'échange direct de données. L'accès aux voies de la périphérie F dans le programme de sécurité de la CPU F de l'esclave I est réalisée via la mémoire image des entrées (PAE et PAA).



Utilisation du IE/PB-Link Afin d'intégrer également à PROFINET IO les 4 possibilités de communication sécurisée via PROFIBUS DP dans des systèmes F S7 Distributed Safety, vous pouvez utiliser le IE/PB-Link (voir aussi les documentations sur PROFINET IO et IE/PB-Link).

Remarque Pour la configuration des temps de surveillance spécifiques F et pour le calcul du temps de réaction maximum de votre système F, vous devez tenir compte de la mise en œuvre d'un IE/PB-Link (voir aussi le fichier Excel s7cotic.xls détaillant le calcul du temps de réaction pour S7 Distributed Safety).Notez que ce fichier Excel ne prend pas en charge toutes les configurations que vous pourriez imaginer.

Communication sécurisée CPU-CPU via Industrial Ethernet La communication sécurisée CPU-CPU via Industrial Ethernet peut être réalisée via des liaisons S7 configurées. La communication est possible de et vers les CPU suivantes : ● CPU 315F-2 PN/DP (uniquement via l'interface PN de la CPU) ● CPU 317F-2 PN/DP (uniquement via l'interface PN de la CPU) ● CPU 319F-3 PN/DP (uniquement via l'interface PN de la CPU) ● CPU 416F-2 à partir de la version du firmware V4.0 ● CPU 416F- 3 PN/DP Pour la communication sécurisée via des liaisons S7, vous définissez le nombre de données de sécurité des types BOOL, INT, WORD ou TIME à transmettre de manière sûre entre les programmes de sécurité des CPU F reliées via la liaison S7. La transmission des données s'effectue à l'aide des blocs d'application F_SENDS7 pour l'émission et des blocs F_RCVS7 pour la réception. Les données sont échangées respectivement via un DB F ("DB de communication F") côté émission et côté réception. La communication sécurisée entre S7 Distributed Safety et S7 F Systems est possible.

Configuration et programmation de la communication 8.2 Communication sécurisée maître-maître


8.2 Communication sécurisée maître-maître

8.2.1 Configuration des zones d'adresses (communication sécurisée maître-maître)

Coupleur DP/DP La communication sécurisée entre des programmes de sécurité s'exécutant sur des CPU F de maîtres DP s'effectue à l'aide d'un coupleur DP/DP (numéro de référence 6ES7158-0AD01-0XA0). Chacune des deux CPU F est reliée au coupleur DP/DP par son interface PROFIBUS DP.

Remarque Sur le commutateur multiple du coupleur DP/DP, mettez l'indicateur de validité des données "DIA" sur "OFF". Sinon, la communication sécurisée CPU-CPU ne serait pas possible.

Configuration des plages d'adresses Pour chaque liaison de communication entre deux CPU F via coupleur DP/DP, vous devez configurer, dans le coupleur DP/DP, une plage d'adresses pour les données de sortie et une plage d'adresses pour les données d'entrée dans HW Config. Dans la figure suivante, chacune des deux CPU F doit pouvoir émettre et recevoir des données (communication bidirectionnelle).



Règles s'appliquant à la détermination des plages d'adresses La plage d'adresses des données de sortie pour les données à émettre doit commencer avec la même adresse de début que la plage d'adresses correspondante des données d'entrée. La plage d'adresses des données de sortie requiert 12 octets (cohérents), celle des données d'entrée 6 octets (cohérents). La plage d'adresses des données d'entrée pour les données à recevoir doit commencer avec la même adresse de début que la plage d'adresses correspondante des données de sortie. La plage d'adresses des données d'entrée requiert 12 octets (cohérents), celle des données de sortie 6 octets (cohérents).

8.2.2 Configuration de la communication sécurisée maître-maître

Condition Vous avez configuré deux stations avec respectivement un réseau maître DP dans HW Config.

Marche à suivre pour la configuration de la communication maître-maître (exemple avec communication bidirectionnelle)

1. Ouvrez la station avec la CPU F 1. 2. Dans le catalogue du matériel "PROFIBUS DP\Autres appareils de

terrain\Routeur\DP/DP Coupler", sélectionner le coupleur DP/DP. Placez le coupleur DP/DP sur le réseau maître DP de votre CPU F.

3. Dans le menu contextuel, le système attribue automatiquement une adresse PROFIBUS libre. Vous pouvez modifier cette adresse entre 1 et 125. Vous devez la régler au moyen du commutateur sur le coupleur DP/DP, soit directement sur le coupleur DP/DP en utilisant le commutateur multiple, soit via STEP 7 (voir le manuel Coupleur DP/DP). A l'aide de la commande de menu "Propriétés", vous pouvez entrer le nom du sous-réseau, l'ID de sous-réseau ainsi qu'un commentaire. Dans l'onglet "Paramètres réseau", vous devez paramétrer la vitesse de transmission à au moins "1,5 Mbit/s". Comme Profil, vous devez choisir "DP" .

4. Pour pouvoir établir la communication sécurisée entre les CPU F de manière cohérente, et pour que les adresses et les longueurs soient librement configurables, vous devez utiliser des modules universels . Choisissez "DP/DP" sur le réseau maître DP et insérez un module universel issu du dossier coupleur DP/DP. En cas de liaison de communication bidirectionnelle, c'est-à-dire lorsque chaque CPU F envoie et reçoit des données, vous devez utiliser deux modules universels pour chaque CPU F.



5. Sélectionnez le premier module universel et choisissez la commande de menu Edition > Propriétés de l'objet. La boîte de dialogue des propriétés de l'objet s'affiche.

6. Dans les propriétés de l'objet du premier module universel, choisissez le type E/S "Sortie-

Entrée". 7. Entrez les valeurs correspondantes pour la plage d'adresses des données de sortie.

Dans notre exemple, entrez l'adresse de début "16", la longueur "12", l'unité "octet" et la cohérence assurée par "longueur totale".

8. Entrez les valeurs correspondantes pour la plage d'adresses des données d'entrée. Dans notre exemple, entrez l'adresse de début "16", la longueur "6", l'unité "octet" et la cohérence assurée par "longueur totale".

9. Acquittez avec "OK". 10. Sélectionnez le deuxième module universel et choisissez la commande de menu Edition

> Propriétés de l'objet.



La boîte de dialogue des propriétés de l'objet s'affiche.

11. Dans les propriétés de l'objet du deuxième module universel, choisissez le type E/S

"Sortie-Entrée". 12. Entrez les valeurs correspondantes pour la plage d'adresses des données de sortie.

Dans notre exemple, entrez l'adresse de début "28", la longueur "6", l'unité "octet" et la cohérence assurée par "longueur totale".

13. Entrez les valeurs correspondantes pour la plage d'adresses des données d'entrée. Dans notre exemple, entrez l'adresse de début "28", la longueur "12", l'unité "octet" et la cohérence assurée par "longueur totale".

14. Acquittez avec "OK". La configuration de la communication maître-maître pour la CPU F 1 est terminée. Procédez aux étapes 1 à 14 pour la CPU F 2. Notez que les adresses doivent être adaptées en conséquence (voir le tableau dans le chapitre "Configuration des plages d'adresses (communication sécurisée maître-maître").

Remarque Assurez-vous d'attribuer des valeurs identiques pour les adresses de début des plages d'adresses des données de sortie et d'entrée. Pour toutes les plages d'adresses des données d'entrée et de sortie, choisissez toujours l'option "Cohérence assurée par longueur totale".

Informations supplémentaires Le coupleur DP/DP est décrit dans le manuel Coupleur DP/DP.



8.2.3 Communication avec F_SENDDP et F_RCVDP (communication sécurisée maître-maître)

Communication avec F_SENDDP et F_RCVDP

La communication sécurisée s'effectue à l'aide des blocs d'application F_SENDDP pour l'émission et des blocs F_RCVDP pour la réception. Ils permettent de transmettre sans erreur un nombre défini de données de sécurité du type BOOL et INT. Vous trouverez ces blocs d'application F dans le dossier Blocs F-Application Blocks de la bibliothèque F Distributed Safety (V1). Le F_RCVDP doit être appelé au début du PB F. Le F_SENDDP doit être appelé à la fin du PB F. Notez que les signaux d'émission ne sont envoyés qu'après l'appel du F_SENDDP à la fin du traitement du groupe d'exécution F. La description détaillée des blocs d'application F F_SENDDP et F_RCVDP se trouve au chapitre "FB 223 "F_SENDDP" et FB 224 "F_RCVDP" : émission et réception de données via PROFIBUS DP".

Voir aussi FB 223 "F_SENDDP" et FB 224 "F_RCVDP" : émission et réception de données via PROFIBUS DP (Page 229)



8.2.4 Programmation de la communication sécurisée maître-maître

Conditions Les conditions ci-après doivent être remplies pour pouvoir programmer : ● Les plages d'adresses pour les données d'entrée et de sortie doivent avoir été

configurées dans HW Config pour le coupleur DP/DP. ● Les deux CPU doivent avoir été configurées comme CPU F :

– L'option "CPU contient programme de sécurité" doit être activée – le mot de passe de la CPU F doit avoir été entré.

Marche à suivre pour la programmation 1. Appelez dans le programme de sécurité à partir duquel des données doivent être émises,

le bloc d'application F F_SENDDP d'émission à la fin du PB F. 2. Appelez dans le programme de sécurité qui doit recevoir des données, le bloc

d'application F F_RCVDP de réception au début du PB F. 3. Affectez aux entrées LADDR respectives les adresses de début configurées dans

HW Config pour les plages d'adresses des données d'entrée et de sortie du coupleur DP/DP. Procédez à cette affectation pour chaque liaison de communication sur chacune des CPU F concernées.



4. Affectez aux entrées DP_DP_ID la valeur de la relation d'adresse respective. Vous définissez ainsi la relation de communication d'un F_SENDDP dans une CPU F avec un F_RCVDP dans l'autre CPU F : les blocs de sécurités associés possèdent la même valeur de DP_DP_ID.

ATTENTION

Vous pouvez sélectionner une valeur quelconque pour la relation d'adresse respective (paramètre d'entrée DP_DP_ID ; type de donnée : INT), cependant elle doit être univoque dans l'ensemble du réseau pour toutes les relations de communication sécurisées.



Remarque Vous devez utiliser un DB d'instance séparé pour chaque appel du F_SENDDP ou du F_RCVDP. Vous ne devez pas affecter des données locales du bloc de programmation F aux paramètres d'entrée et de sortie de F_RCVDP. Pour un paramètre de sortie d'un F_RCVDP, vous ne devez pas utiliser de paramètre effectif déjà utilisé pour un paramètre d'entrée du même ou d'un autre appel de F_RCVDP ou F_RCVS7. Si ceci n'est pas respecté, la CPU F peut passer en STOP. L'un des événements de diagnostic suivants sera alors écrit dans le tampon de diagnostic de la CPU F : • "Altération de données dans le programme de sécurité avant sortie vers la périphérie



5. Alimentez les entrées SD_BO_xx du F_SENDDP avec les signaux d'émission. Pour économiser des signaux intermédiaires lors de la transmission des paramètres de bloc, vous pouvez, avant l'appel du F_SENDDP, écrire la valeur directement dans le DB d'instance du F_SENDDP au moyen d'un accès symbolique entièrement qualifié ("Nom F_SENDDP1".SD_BO_02 p. ex.).

6. Affectez aux sorties RD_BO_xx du F_RCVDP les signaux que vous souhaitez traiter dans d'autres parties de programme ou lisez les signaux reçus directement dans le DB d'instance associé ("Nom F_RCVDP1".RD_BO_02 p. ex.) par un accès entièrement qualifié dans les parties de programme suivantes.

7. Alimentez les entrées SUBBO_xx et SUBI_xx du F_RCVDP avec les valeurs de remplacement qui doivent être émises à la place des valeurs de process par le F_RCVDP jusqu'à l'établissement initial de la communication après le démarrage des systèmes F émetteur et récepteur ou après une erreur de la communication sécurisée. – Prédéfinition de valeurs de remplacement constantes :

Pour les données du type INT, vous pouvez entrer, sous forme de constantes, des valeurs de remplacement constantes directement à l'entrée SUBI_xx. Si vous souhaitez prédéfinir des valeurs de remplacement constantes pour des données du type BOOL, utilisez les variables "VKE0" ou "VKE1" du DB global F. A l'entrée SUBBO_xx, entrez sous forme entièrement qualifiée "F_GLOBDB".VKE0 si vous voulez prédéfinir la valeur de remplacement "0" ou "F_GLOBDB".VKE1 si vous voulez prédéfinir la valeur de remplacement "1".

– Prédéfinition de valeurs de remplacement dynamiques : Si vous voulez prédéfinir des valeurs de remplacement dynamiques, définissez dans un DB F une variable que votre programme de sécurité modifiera dynamiquement et entrez cette variable sous forme entièrement qualifiée à l'entrée SUBI_xx ou SUBBO_xx.

ATTENTION

Veuillez noter que votre programme de sécurité ne peut être exécuté pour la première fois, en vue de la modification dynamique de la variable pour une valeur de remplacement dynamique, qu'après l'appel du F_RCVDP car, avant l'appel du F_RCVDP, le PB F ne doit pas contenir de réseau, tout au plus un autre F_RCVDP. Attribuez par conséquent à ces variables des valeurs initiales/actuelles appropriées à émettre au cours de premier cycle après démarrage du système F par le F_RCVDP.



8. Paramétrez le temps de surveillance voulu pour les entrées TIMEOUT des F_RCVDP et F_SENDDP.

ATTENTION

Ceci permet de s'assurer qu'un niveau de signal à transmettre sera acquis côté émetteur et transféré au récepteur s'il dure au moins aussi longtemps que le temps de surveillance paramétré (TIMEOUT). Vous trouverez des informations relatives au calcul du temps de surveillance dans le manuel système Technique de sécurité dans SIMATIC S7.

9. Facultatif : exploitez la sortie ACK_REQ de F_RCVDP, p. ex. dans le programme utilisateur standard ou sur le système de contrôle-commande pour détecter ou signaler la nécessité d'un acquittement utilisateur.

10. Affectez à l'entrée ACK_REI du F_RCVDP le signal d'acquittement en vue de la réintégration.

11. Facultatif : exploitez la sortie SUBS_ON de F_RCVDP ou de F_SENDDP pour savoir si F_RCVDP émet les valeurs de remplacement paramétrées aux entrées SUBBO_xx et SUBI_xx de F_RCVDP.

12. Facultatif : exploitez la sortie ERROR de F_RCVDP ou de F_SENDDP, p. ex. dans le programme utilisateur standard ou sur le système de contrôle-commande, pour détecter ou signaler la présence d'une erreur de communication.

13. Facultatif : traitez la sortie SENDMODE du F_RCVDP pour savoir si la CPU F et le F_SENDDP se trouvent en mode de sécurité désactivé.

ATTENTION

Si la CPU F et le F_SENDDP associé se trouvent en mode de sécurité désactivé, les données reçues par la CPU F n'ont probablement plus été générées dans les conditions de sécurité requises. Vous devez alors également assurer la sécurité des parties de l'installation concernées par les données reçues, soit en prenant des mesures d'organisation, p. ex. le mode contrôlé et la désactivation de sécurité manuelle, soit dans la CPU F dans laquelle se trouve le F_RCVDP, en exploitant SENDMODE afin de fournir des valeurs de remplacement de sécurité au lieu des données reçues.

Voir aussi Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un maître DP ou d'un IO-Controller (Page 117) Désactivation du mode de sécurité (Page 286)



8.2.5 Limites pour la transmission des données (communication sécurisée maître-maître)

Remarque Si le volume de données à déterminer est supérieur à la capacité de la paire de blocs F_SENDDP/F_RCVDP, vous pourrez utiliser un deuxième (ou troisième) appel F_SENDDP/F_RCVDP. Configurez pour ce faire une nouvelle liaison de communication via le coupleur DP/DP. La possibilité de configurer une liaison sur le même coupleur DP/DP dépend de ses capacités.

Configuration et programmation de la communication 8.3 Communication sécurisée maître-esclave I


8.3 Communication sécurisée maître-esclave I

8.3.1 Configuration des zones d'adresses (communication sécurisée maître-esclave I)

Introduction La communication de sécurité entre le programme de sécurité de la CPU F d'un maître DP et le/les programme(s) de sécurité de la/des CPU F d'un ou de plusieurs esclave(s) I s'effectue -comme pour les programmes utilisateur standard - via liaisons maître I-esclave. Vous n'avez pas besoin de matériel supplémentaire pour la communication maître-esclave I.

Configuration des plages d'adresses Vous devez configurer des plages d'adresse dans HW Config pour chaque liaison de communication entre deux CPU F. Dans la figure suivante, chacune des deux CPU F doit pouvoir émettre et recevoir des données (communication bidirectionnelle).

Vous configurez, dans la boîte de dialogue des propriétés de l'objet de l'esclave I, : ● une adresse locale (esclave I) et une adresse de partenaire (maître DP) pour l'émission

vers le maître DP ● une adresse locale (esclave I) et une adresse de partenaire (maître DP) pour la réception

du maître DP Dans les programmes de sécurité, vous attribuez les adresses configurées au paramètre LADDR des blocs d'application F F_SENDDP et F_RCVDP correspondants.



Plages d'adresses occupées Chacune des adresses locale et de partenaire représente l'adresse de début d'une plage d'adresses pour les données d'entrée et de sortie. Les plages d'adresses sont automatiquement occupées après la configuration des adresses locale et de partenaire. Les plages d'adresse occupées pour une liaison d'émission/réception sont décrites dans le tableau suivant :

Liaison de communication Plage d'adresse occupée dans la CPU F du ...

esclave I : 12 octets de données de sortie et 6 octets de données d'entrée

Emission : Esclave I vers maître DP

Maître DP : 12 octets de données d'entrée et 6 octets de données de sortie esclave I : 12 octets de données d'entrée et 6 octets de données de sortie

Réception : Esclave I depuis maître DP

Maître DP : 12 octets de données de sortie et 6 octets de données d'entrée

Remarque Nous vous recommandons d'utiliser, pour les adresses locales et de partenaire, des adresses situées en dehors de la mémoire image du processus, la mémoire image devant de préférence rester réservée aux plages d'adresse des modules.



8.3.2 Configuration de la communication sécurisée maître-esclave I

Condition Vous avez créé un projet dans STEP 7.

Marche à suivre pour la configuration de la communication maître-esclave I (exemple avec communication bidirectionnelle)

1. Créez une station dans votre projet (dans SIMATIC Manager, par ex. une station S7-300).

2. Affectez une CPU F à cette station (dans HW Config, à partir du catalogue du matériel). 3. Configurez cette CPU comme esclave DP (dans HW Config, dans les propriétés de

l'objet de l'interface DP de la CPU, onglet "Mode de fonctionnement"). 4. Créez une deuxième station et affectez-lui une CPU F (voir les étapes 1 et 2). 5. Configurez cette CPU comme maître DP (dans HW Config, dans les propriétés de l'objet

de l'interface DP de la CPU, onglet "Mode de fonctionnement"). 6. Dans le catalogue du matériel, sélectionnez sous "Stations déjà configurées", le type de

station de l'esclave I (par exemple : "CPU 31x") et déposez-le sous le réseau maître DP. 7. Dans la boîte de dialogue de couplage qui s'ouvre automatiquement, couplez l'esclave I

au maître DP. A présent, vous pouvez définir les plages d'adresses pour la communication sécurisée maître-esclave I :

8. Dans les propriétés de l'objet de l'esclave I, sélectionnez le bouton "Nouveau" dans l'onglet "Configuration F".



9. Dans la boîte de dialogue suivante, entrez à titre d'exemple les paramètres suivants pour la liaison de réception du maître DP : – pour "Mode : F-MS-R" (via Réception communication sécurisée du maître vers

l'esclave I) – pour "partenaire DP (émetteur) : Adresse (LADDR) : 2048" – pour "local (récepteur) : Adresse (LADDR) : 256" – Reprenez les valeurs par défaut pour les paramètres restants de la boîte de dialogue.

La boîte de dialogue a l'aspect suivant :

10. Acquittez vos entrées avec "OK". 11. Dans les propriétés de l'objet de l'esclave I, sélectionnez le bouton "Nouveau" dans

l'onglet "Configuration F". 12. Dans la boîte de dialogue suivante, entrez à titre d'exemple les paramètres suivants pour

la liaison d'émission vers le maître DP : – pour "Mode : F-MS-S" (via Emission communication de sécurité du maître vers

l'esclave I) – pour "partenaire DP (récepteur) : Adresse (LADDR) : 2060" – pour "local (émetteur) : Adresse (LADDR) : 268"



13. Validez vos entrées avec "OK". Vous obtenez pour cet exemple, deux lignes de configuration :

Remarque Dans les propriétés de l'objet de l'esclave I, le système entre automatiquement des paramètres de la configuration de l'onglet "Configuration F" dans l'onglet "Configuration". Vous ne devez pas les modifier, sans quoi la communication sécurisée maître-esclave I n'est pas possible. L'onglet "Configuration" indique les plages d'adresses occupées dans le maître DP et l'esclave I.

Suppression du couplage actif d'un esclave I Avant de pouvoir supprimer un "couplage actif" d'un esclave I, vous devez supprimer toutes les liaisons de communication sécurisée avec les autres CPU F ou modules F dans l'onglet "Configuration F".



Informations supplémentaires Vous trouverez la description des paramètres dans l'aide en ligne contextuelle de l'onglet "configuration F". Des informations supplémentaires sur la communication maître-esclave I sont données dans l'aide en ligne STEP 7. Vous trouverez des informations sur les plages d'adresses, les mémoires image partielles et les OB d'alarme supportés dans les caractéristiques techniques de la CPU F mise en œuvre.

8.3.3 Communication avec F_SENDDP et F_RCVDP (communication sécurisée maître-esclave I/esclave I-esclave I)

Introduction Pour programmer la communication sécurisée maître-esclave I ou la communication sécurisée esclave I-esclave I, procédez exactement de la même façon que pour programmer la communication sécurisée maître-maître. C'est pourquoi le présent chapitre se contente de mentionner les différences.

Communication avec F_SENDDP et F_RCVDP

La communication sécurisée entre les CPU F du maître DP et d'un esclave I ou entre les CPU F de plusieurs esclaves I s'effectue à l'aide des blocs d'application F F_SENDDP (pour l'émission) et F_RCVDP (pour la réception). Ils permettent de transmettre sans erreur un nombre défini de données de sécurité du type BOOL et INT. Vous trouverez ces blocs d'application F dans le dossier Blocs F-Application Blocks de la bibliothèque F Distributed Safety (V1). Le F_RCVDP doit être appelé au début du PB F. Le F_SENDDP doit être appelé à la fin du PB F. Notez que les signaux d'émission ne sont envoyés qu'après l'appel du F_SENDDP à la fin du traitement du groupe d'exécution F. La description détaillée des blocs d'application F F_SENDDP et F_RCVDP se trouve au chapitre "FB 223 "F_SENDDP" et FB 224 "F_RCVDP" : émission et réception de données via PROFIBUS DP".



Affectation des CPU F aux F_SENDDP/F_RCVDP Pour affecter les CPU F aux F_SENDDP/F_RCVDP, procédez de la manière suivante : ● Configurez les plages d'adresses (adresses locales et du partenaire) pour le maître DP et

le ou les esclaves I dans HW Config. ● Entrez les adresses suivantes pour la communication maître-esclave I dans le

programme de sécurité de la CPU F du maître DP : – dans le paramètre d'entrée LADDR du F_SENDDP, l'adresse de partenaire pour

l'émission (onglet "Configuration F" : ligne Mode : "F-MS-R") – dans le paramètre d'entrée LADDR du F_RCVDP, l'adresse de partenaire pour la

réception (onglet "Configuration F" : ligne Mode : "F-MS-S") ● Entrez les adresses suivantes pour la communication maître-esclave I ou esclave I-

esclave I dans le programme de sécurité de la CPU F d'un esclave I : – dans le paramètre d'entrée LADDR du F_SENDDP, l'adresse locale pour l'émission

(onglet "Configuration F" : ligne Mode : "F-MS-S" ou "F-DX-S") – dans le paramètre d'entrée LADDR du F_RCVDP, l'adresse locale pour la réception

(onglet "Configuration F" : ligne Mode : "F-MS-R" ou "F-DX-R") Vous devez procéder à cette affectation pour chacune des CPU F concernées.

Remarque Dans le cas de la communication sécurisée maître-esclave I et esclave I-esclave I, vous devez toujours : • entrer dans le F_SENDDP/F_RCVDP du maître DPles adresses de partenaire pour

toutes les liaisons de communication (de HW Config, onglet "Communication F" de l'esclave I).

• entrer dans le F_SENDDP/F_RCVDP d'un esclave DPles adresses locales pour toutes les liaisons de communication (de HW Config, onglet "Communication F" de l'esclave I).

Voir aussi Programmation de la communication sécurisée maître-maître (Page 135) FB 223 "F_SENDDP" et FB 224 "F_RCVDP" : émission et réception de données via PROFIBUS DP (Page 229)



8.3.4 Programmation de la communication sécurisée maître-esclave I/ esclave I-esclave I

Conditions Les conditions ci-après doivent être remplies pour pouvoir programmer : ● les zones d'adresses (adresses locales et du partenaire) pour le maître DP et le ou les

esclaves I doivent être configurées dans HW Config. ● Les deux CPU doivent avoir été configurées comme CPU F :

– L'option "CPU contient programme de sécurité" doit être activée et – le mot de passe de la CPU F doit avoir été entré.

Marche à suivre pour la programmation Pour programmer la communication sécurisée maître-esclave I ou la communication esclave I-esclave I, procédez exactement de la même façon que pour programmer la communication sécurisée maître-maître. La figure suivante illustre un exemple pour la définition des adresses aux entrées des blocs d'application F F_SENDDP et F_RCVDP pour deux communications sécurisées maître-esclave I et une communication esclave I-esclave I.



ATTENTION Vous pouvez sélectionner une valeur quelconque pour la relation d'adresse respective (paramètre d'entrée DP_DP_ID ; type de donnée : INT), cependant elle doit être univoque dans l'ensemble du réseau pour toutes les relations de communication sécurisées.

Remarque

Vous devez utiliser un DB d'instance séparé pour chaque appel du F_SENDDP ou du F_RCVDP. Vous ne devez pas affecter des données locales du bloc de programmation F aux paramètres d'entrée et de sortie de F_RCVDP. Pour un paramètre de sortie d'un F_RCVDP, vous ne devez pas utiliser de paramètre effectif déjà utilisé pour un paramètre d'entrée du même ou d'un autre appel de F_RCVDP ou F_RCVS7. Si ceci n'est pas respecté, la CPU F passe en STOP. L'un des événements de diagnostic suivants sera alors écrit dans le tampon de diagnostic de la CPU F : • "Altération de données dans le programme de sécurité avant sortie vers la périphérie F" • "Altération de données dans le programme de sécurité avant sortie vers une CPU F


ATTENTION

Si la CPU F et le F_SENDDP associé se trouvent en mode de sécurité désactivé, les données reçues par la CPU F n'ont probablement plus été générées dans les conditions de sécurité requises. Vous devez alors également assurer la sécurité des parties de l'installation concernées par les données reçues, soit en prenant des mesures d'organisation, p. ex. le mode contrôlé et la désactivation de sécurité manuelle, soit dans la CPU F dans laquelle se trouve le F_RCVDP, en exploitant SENDMODE afin de fournir des valeurs de remplacement de sécurité au lieu des données reçues.

Voir aussi Programmation de la communication sécurisée maître-maître (Page 135) Désactivation du mode de sécurité (Page 286)



8.3.5 Limites pour la transmission des données (communication sécurisée maître-esclave I/esclave I-esclave I)

Limites pour la transmission des données Si la quantité de données à transmettre est supérieure à la capacité d'une paire de blocs F_SENDDP/F_RCVDP, vous pouvez utiliser des appels F_SENDDP/ F_RCVDP supplémentaires. Configurer pour cela d'autres liaisons de communication. Tenez compte de la limite maximale de 244 octets de données d'entrée et de 244 octets de données de sortie pour la transmission entre un esclave I et un maître DP. Le tableau suivant indique le nombre de données de sortie et d'entrée qu'occupent les liaisons de communication de sécurité :

Données d'entrée et de sortie occupées entre esclave I 1 et maître DP

entre esclave I 2 et maître DP

Communication sécurisée

Liaison de communication

Données de sortie

Données d'entrée

Données de sortie

Données d'entrée

Emission : Esclave I 1 vers maître DP

12 octets 6 octets - - Maître-esclave I

Réception : Esclave I 1 depuis maître DP

6 octets 12 octets - -

Emission : Esclave I 1 à esclave I 2

12 octets - 6 octets - Esclave I-esclave I

Réception : Esclave I 1 depuis esclave I 2

6 octets - 12 octets -

Dans le cas de la limite maximale de 244 octets de données d'entrée et de 244 octets de données de sortie pour la transmission entre un esclave I et un maître DP, tenez éventuellement également compte de la communication sécurisée esclave I-esclave (modules F-DX), des liaisons maître-esclave (MS) ou des liaisons directes pour l'échange de données (DX) vous permettant d'échanger des données au sein de votre programme utilisateur standard. Vous pouvez contrôler le respect des limites maximales de 244 octets de données d'entrées et 244 octets de données de sortie pour toutes les liaisons de communication standard et de sécurité que vous avez configurées dans l'onglet "Configuration" dans les propriétés de l'objet de l'esclave I. Pour cela, tenez compte de toutes les lignes dont le MODE est "MS" dans l'onglet "Configuration". Le ligne dont le MODE est "DX" ne sont pas à prendre en compte.

Configuration et programmation de la communication 8.4 Communication sécurisée esclave I-esclave I


8.4 Communication sécurisée esclave I-esclave I

8.4.1 Configuration des zones d'adresses (communication sécurisée esclave I-esclave I)

Introduction La communication sécurisée entre le programme de sécurité de la CPU F d'esclaves I est réalisée – comme en standard – via l'échange direct de données. Vous n'avez pas besoin de matériel supplémentaire pour la communication esclave I-esclave I.

Configuration des plages d'adresses Vous devez configurer des plages d'adresse dans HW Config pour chaque liaison de communication entre deux CPU F. Dans la figure suivante, chacune des deux CPU F doit pouvoir émettre et recevoir des données (communication bidirectionnelle).



Vous configurez, dans la boîte de dialogue des propriétés de l'objet de l'esclave I 1, : ● une adresse locale (esclave I 1) et une adresse de partenaire (esclave I 2) pour

l'émission vers l'esclave I 2 ● une adresse locale (esclave I 1) et une adresse de partenaire (esclave I 2) pour la

réception de l'esclave I 2 Aucune configuration de communication supplémentaire n'est nécessaire dans la boîte de dialogue des propriétés de l'esclave I 2. Les adresses y sont entrées automatiquement. Dans les programmes de sécurité, vous attribuez les adresses configurées au paramètre LADDR des blocs d'application de sécurité F_SENDDP et F_RCVDP correspondants.

Plages d'adresses occupées Chacune des adresses locale et de partenaire représente l'adresse de début d'une plage d'adresses pour les données d'entrée et de sortie. Les plages d'adresses sont automatiquement occupées après la configuration des adresses locale et de partenaire. Les plages d'adresse occupées pour une liaison d'émission/réception sont décrites dans le tableau suivant :

Liaison de communication Plage d'adresse occupée dans la CPU F du ...

esclave I 1 : 12 octets de données de sortie et 6 octets de données d'entrée esclave I 2 : 12 octets de données d'entrée et 6 octets de données de sortie

Emission : esclave I 1 à esclave I 2

Maître DP : 12 + 6 octets de données d'entrée esclave I 1 : 12 octets de données d'entrée et 6 octets de données de sortie esclave I 2 : 12 octets de données de sortie et 6 octets de données d'entrée

Réception : esclave I 1 depuis esclave I 2

Maître DP : 12 + 6 octets de données d'entrée * La CPU du maître DP peut être une CPU F ou une CPU standard. Pour savoir si l'interface PROFIBUS DP de la CPU standard prend en charge l'échange de données direct, référez-vous à l'info-bulle de la CPU correspondante dans le catalogue du matériel de HW Config.

Remarque Nous vous recommandons d'utiliser, pour les adresses locales et de partenaire, des adresses situées en dehors de la mémoire image du processus, la mémoire image devant de préférence rester réservée aux plages d'adresse des modules.



8.4.2 Configuration de la communication sécurisée esclave I-esclave I


Marche à suivre pour la configuration de la communication esclave I-esclave I (exemple avec communication bidirectionnelle)

1. Créez une station dans votre projet (dans SIMATIC Manager, par ex. une station S7-300).

2. Affectez une CPU F à cette station (dans HW Config, à partir du catalogue du matériel). 3. Configurez cette CPU comme esclave DP (dans HW Config, dans les propriétés de

l'objet de l'interface DP de la CPU, onglet "Mode de fonctionnement"). 4. Configurez un autre esclave DP (esclave I) conformément aux étapes 1 à 3. 5. Créez une deuxième station et affectez-lui une CPU F (voir les étapes 1 et 2). 6. Configurez cette CPU comme maître DP (dans HW Config, dans les propriétés de l'objet

de l'interface DP de la CPU, onglet "Mode de fonctionnement"). Remarque: La CPU du maître DP peut être une CPU F ou une CPU standard.

7. Dans le catalogue du matériel, sélectionnez sous "Stations déjà configurées", le type de station d'un des esclaves I (par exemple : "CPU 31x") et déposez-le sous le réseau maître DP.

8. Dans la boîte de dialogue de couplage qui s'ouvre automatiquement, couplez l'esclave I au maître DP.

9. Couplez de deuxième esclave I au maître DP conformément aux étapes 7 et 8. A présent, vous pouvez définir les plages d'adresses pour la communication sécurisée esclave I-esclave I :

10. Dans les propriétés de l'objet de l'esclave I 1, sélectionnez le bouton "Nouveau" dans l'onglet "Configuration F".



11. Dans la boîte de dialogue suivante, entrez à titre d'exemple les paramètres suivants pour la liaison de réception de l'esclave I 2 : – pour "Mode : F-DX-R" (via Réception d'une communication sécurisée esclaves I-

esclave I) – pour "partenaire DP (émetteur) : Adresse DP : 5: esclave (adresse PROFIBUS) ;

adresse (LADDR) : 130" – pour "local (récepteur) : Adresse (LADDR) : 128" – Reprenez les valeurs par défaut pour les paramètres restants de la boîte de dialogue.


12. Acquittez vos entrées avec "OK". 13. Dans les propriétés de l'objet de l'esclave I 1, sélectionnez le bouton "Nouveau" dans

l'onglet "Configuration F". 14. Dans la boîte de dialogue suivante, entrez à titre d'exemple les paramètres suivants pour

la liaison d'émission vers l'esclave I 2 : – pour "Mode : F-DX-S" (via Emission d'une communication sécurisée esclaves I-

esclave I) – pour "partenaire DP (récepteur) : Adresse DP : 5: esclave ; adresse (LADDR) : 142" – pour "local (émetteur) : Adresse (LADDR) : 140" – Reprenez les valeurs par défaut pour les paramètres restants de la boîte de dialogue.



15. Validez vos entrées avec "OK". Vous obtenez pour cet exemple, deux lignes de configuration :

Remarque Dans les propriétés de l'objet de l'esclave I respectif, le système entre automatiquement des paramètres de la configuration de l'onglet "Configuration F" dans l'onglet "Configuration". Vous ne devez pas les modifier, sans quoi la communication sécurisée esclave I-esclave I n'est pas possible. L'onglet "Configuration" indique les plages d'adresses occupées dans le maître DP et les esclaves I.


Informations supplémentaires Vous trouverez la description des paramètres dans l'aide en ligne contextuelle de l'onglet "Configuration F". Vous trouverez des informations sur les plages d'adresses, les mémoires image partielles et les OB d'alarme supportés dans les caractéristiques techniques de la CPU mise en œuvre.



8.4.3 Communication avec F_SENDDP et F_RCVDP (communication sécurisée esclave I-esclave I)

Référence Voir la description au chapitre "Communication avec F_SENDDP et F_RCVDP (communication sécurisée maître-esclave I/esclave I-esclave I)".

8.4.4 Programmation de la communication sécurisée esclave I-esclave I

Référence Voir la description au chapitre "Programmation de la communication sécurisée maître-esclave I/esclave I-esclave I".

8.4.5 Limites pour la transmission des données (communication sécurisée esclave I-esclave I)

Limites pour la transmission des données Voir la description au chapitre "Limites pour la transmission des données (communication sécurisée maître-esclave I/esclave I-esclave I)".

Configuration et programmation de la communication 8.5 Communication sécurisée esclave I-esclave


8.5 Communication sécurisée esclave I-esclave

8.5.1 Configuration des zones d'adresses (communication sécurisée esclave I-esclave)

Introduction La communication sécurisée entre le programme de sécurité de la CPU F d'un esclave I et la périphérie F d'un esclave est réalisée – comme en standard – via l'échange direct de données. L'accès aux voies de la périphérie F dans le programme de sécurité de la CPU F de l'esclave I est réalisée via la mémoire image des entrées (MIE et MIS), comme décrit dans le chapitre "Accès à la périphérie F". Pour l'accès à la périphérie F via la communication esclave I-esclave I sécurisée, un DB de périphérie F est généré automatiquement lors de la compilation dans HW Config dans le programme de sécurité de la CPU F de l'esclave I. Vous n'avez pas besoin de matériel supplémentaire pour la communication esclave I-esclave.

Restrictions

Remarque La communication sécurisée esclave I-esclave est possible avec la périphérie F dans un esclave DP prenant en charge la communication sécurisée esclave I-esclave, par ex. pour tous les modules F ET 200S et pour tous les modules de signaux de sécurité S7-300 avec IM 153-2, à partir du n° de référence 6ES7 153-2BA01-0XB0, version du firmware > V4.0.0.

Remarque

Pour la communication sécurisée esclave I-esclave, veillez à ce que la CPU du maître DP démarre avant la CPU F de l'esclave I. Sinon le système F peut - en fonction du temps de surveillance F paramétré pour la périphérie F- détecter une erreur dans la communication sécurisée (erreur de communication) entre la CPU F et la périphérie F affectée à l'esclave I. Ceci signifie que la réintégration de la périphérie F ne s'effectue pas automatiquement après un démarrage du système F, mais seulement après un acquittement utilisateur avec un front positif de la variable ACK-REI du DB de périphérie F (voir aussi le chapitre "Passivation et réintégration de la périphérie F après des erreurs de communication" et "Passivation et réintégration de la périphérie F après le démarrage du système F").



Configuration des plages d'adresses Pour chaque liaison de communication entre une CPU F d'un esclave I et une périphérie F dans un esclave, vous devez configurer des plages d'adresses dans HW Config. La figure suivante donne l'exemple d'une ET 200S avec un module F-DI et F-DO.

Dans la boîte de dialogue des propriétés de l'objet de l'esclave I, vous configurez pour chaque communication esclave I-esclave avec une périphérie F : ● une adresse locale (programme de sécurité), avec laquelle vous pouvez accéder à la

périphérie F dans le programme de sécurité de l'esclave I ● une adresse partenaire (périphérie F) de la périphérie F dans le maître DP Dans les boîtes de dialogue des propriétés de l'objet de la périphérie F de l'esclave DP et du maître DP, aucune configuration n'est nécessaire pour la communication.



Plages d'adresses occupées Chacune des adresses locale et de partenaire représente l'adresse de début d'une plage d'adresses pour les données d'entrée et de sortie. Les plages d'adresses sont automatiquement occupées après la configuration des adresses locale et de partenaire. Les plages d'adresses occupées pour la communication esclave I-esclave avec la périphérie F peuvent être trouvées à titre d'exemple pour un ET 200S 4/8 F-DI et 4 F-DO dans le tableau suivant :

Liaison de communication Plages d'adresses occupées en ...*

de la CPU F de l'esclave I : 6 octets de données d'entrée et 4 octets de données de sortie

Communication esclave I-esclave avec 4/8 F-DI

de la CPU F** du maître DP : 6 + 4 octets de données d'entrée de la CPU F de l'esclave I : 5 octets de données de sortie et 5 octets de données d'entrée

Communication esclave I-esclave avec 4 F-DO

de la CPU F** du maître DP : 5 +5 octets de données d'entrée * Exemple pour 4/8 F-DI et 4 F-DO ET 200S (pour l'affectation d'adresse spéciale voir les manuels de la périphérie F) ** La CPU du maître DP peut être une CPU F ou une CPU standard. Pour savoir si l'interface PROFIBUS DP de la CPU standard prend en charge l'échange de données direct, référez-vous à l'info-bulle de la CPU correspondante dans le catalogue du matériel de HW Config.

Remarque Vous devez utiliser pour les adresses locales des adresses qui se situent hors de la mémoire image, car la communication a lieu vers une périphérie F réelle.



8.5.2 Configuration de la communication sécurisée esclave I-esclave


Marche à suivre pour la configuration de la communication esclave I-esclave A titre d'exemple, voici la configuration des plages d'adresses de la figure ci-dessus. 1. Créez une station dans votre projet (dans SIMATIC Manager, par ex. une station S7-

300). 2. Affectez une CPU F à cette station (dans HW Config, à partir du catalogue du matériel). 3. Configurez cette CPU comme esclave DP (dans HW Config, dans les propriétés de

l'objet de l'interface DP de la CPU, onglet "Mode de fonctionnement"). 4. Créez une station supplémentaire et affectez-lui une CPU standard ou une CPU F (voir

les étapes 1 et 2). 5. Configurez cette CPU comme maître DP (dans HW Config, dans les propriétés de l'objet

de l'interface DP de la CPU, onglet "Mode de fonctionnement"). 6. Dans le catalogue du matériel, sélectionnez un IM 151 HIGH FEATURE, à partir du N° de

référence 6ES7 151-1BA01-0AB0 et disposez-le sur le réseau maître DP. 7. Affectez à l'IM un module d'alimentation, un module 4/8 F-DI et un module 4 F-DO par

glisser-lâcher. 8. Dans le catalogue du matériel, sélectionnez sous "Stations déjà configurées", le type de

station de l'esclave I (par exemple : "CPU 31x") et déposez-le sous le réseau maître DP. 9. Dans la boîte de dialogue de couplage qui s'ouvre automatiquement, couplez l'esclave I

au maître DP. A présent, vous pouvez définir la périphérie F pour la communication sécurisée esclave I- esclave :

10. Dans les propriétés de l'objet de l'esclave I, sélectionnez le bouton "Nouveau" dans l'onglet "Configuration F".

11. Dans la boîte de dialogue suivante, entrez les paramètres suivants pour la liaison vers le module 4/8 F-DI de notre exemple : – pour "mode : modules F-DX" (communication sécurisée esclave I-esclave) – pour "partenaire DP (périphérie F)" :

"Adresse DP : 1: esclave (adresse PROFIBUS de l'esclave avec la périphérie F) ; "Adresse (LADDR) : 0: 4/8 F-DI" (adresse de début de la périphérie F)

– pour "local (programme de sécurité) : Adresse (LADDR) : 100" (adresse de début de la périphérie F via laquelle s'effectue l'accès dans le programme de sécurité de la CPU F de l'esclave I)

– Reprenez les valeurs par défaut pour les paramètres restants de la boîte de dialogue.



Remarque "Partenaire DP (périphérie F)" Pour l'"adresse DP", les adresses PROFIBUS des esclaves possibles prenant en charge la communication esclave I-esclave sécurisée vous sont proposées dans un champ de liste. Sélectionnez ici l'esclave DP souhaité. Notez cependant que, dans le champ de liste, des esclaves DP non affectés au système maître DP dans lequel se trouve l'esclave I peuvent être affichés. Vous ne devez pas les modifier. Pour l'"adresse (LADDR)", les adresses de début des périphéries F de l'esclave DP sélectionné vous sont proposées dans un champ de liste. Sélectionnez ici la périphérie F souhaitée.


12. Acquittez vos entrées avec "OK". 13. Dans les propriétés de l'objet de l'esclave I, sélectionnez le bouton "Nouveau" dans

l'onglet "Configuration F".



14. Dans la boîte de dialogue suivante, entrez les paramètres suivants pour la liaison vers le module 4 F-DO de notre exemple : – pour "mode : modules F-DX" (communication sécurisée esclave I-esclave) – pour "partenaire DP (périphérie F)" :

"Adresse DP : 1: esclave (adresse PROFIBUS de l'esclave avec la périphérie F) ; "Adresse (LADDR) : 6: 4 F-DO" (adresse de début de la périphérie F)

– pour "local (programme de sécurité) : Adresse (LADDR) : 120" (adresse de début de la périphérie F via laquelle s'effectue l'accès dans le programme de sécurité de la CPU F de l'esclave I)

– Reprenez les valeurs par défaut pour les paramètres restants de la boîte de dialogue. 15. Validez vos entrées avec "OK".

Vous obtenez pour cet exemple, deux lignes de configuration :

Remarque Dans les propriétés de l'objet de l'esclave I, le système entre automatiquement des paramètres de la configuration de l'onglet "Configuration F" dans l'onglet "Configuration". Vous ne devez pas les modifier, sans quoi la communication sécurisée esclave I-esclave n'est pas possible. L'onglet "Configuration" indique les plages d'adresses occupées dans le maître DP et l'esclave I.



Modification de la configuration de la communication esclave I-esclave

ATTENTION Si vous avez configuré une nouvelle communication esclave I-esclave ou supprimé une communication esclave I-esclave existante pour une périphérie F, vous devez enregistrer et compiler aussi bien la configuration matérielle de la station du maître DP que la configuration matérielle de la station de l'esclave I et les charger dans la station du maître DP ou de l'esclave I. La signature globale du programme de sécurité de la CPU F de l'esclave I et la signature globale du programme de sécurité de la CPU F du maître DP (si un programme de sécurité s'y trouve également) sont mises à "0". Vous devez ensuite générer une nouvelle fois le(s) programme(s) de sécurité.


Informations supplémentaires Vous trouverez la description des paramètres dans l'aide en ligne contextuelle de l'onglet "Configuration F". Vous trouverez des informations sur les plages d'adresses, les mémoires image partielles et les OB d'alarme prise en charge dans les caractéristiques techniques de la CPU mise en œuvre.



8.5.3 Accès à la périphérie F pour la communication sécurisée esclave I-esclave

Accès via la mémoire image Lors de la communication sécurisée esclave I-esclave, vous accédez à la périphérie F via la mémoire image (MIE ou MIS) dans le programme de sécurité de la CPU F de l'esclave I. Cela correspond à l'accès d'une périphérie F à la périphérie F directement affectée à l'esclave I. Dans l'esclave I, vous adressez la périphérie F avec l'adresse de début que vous avez configurée dans l'onglet "Configuration F" comme "Adresse (LADDR)" sous "local (programme de sécurité)". L'accès direct à la périphérie n'est pas autorisé. L'accès aux voies d'une périphérie de sécurité n'est autorisé que depuis un groupe d'exécution F.

ATTENTION Compte tenu du protocole de sécurité particulier, les périphéries F occupent une zone de mémoire image plus importante que ne le nécessitent les voies effectivement disponibles sur la périphérie F. La zone de la mémoire image dans laquelle se trouvent les voies (données utiles) est indiquée dans les manuels correspondants de la périphérie F. Le programme de sécurité n'autorise, lors de l'accès à la mémoire image, qu'un accès aux voies effectivement disponibles ! Veuillez noter que sur certaines périphéries F (SM F S7300, modules de sécurité ET 200S par ex.), vous pouvez paramétrer une "exploitation 1oo2 (1de2) des capteurs". Parmi les voies regroupées par "exploitation 1oo2 (1de2)des capteurs", celle à laquelle vous pouvez accéder dans le programme de sécurité est indiquée dans les manuels correspondants de la périphérie F.

Voir aussi Accès à la périphérie F (Page 95)



8.5.4 Limites pour la transmission des données (communication sécurisée esclave I-esclave)

Limites pour la transmission des données Tenez compte de la limite maximale de 244 octets de données d'entrée et de 244 octets de données de sortie pour la transmission entre un esclave I et un maître DP. Le tableau suivant indique par exemple pour un ET 200S 4/8 F-DI et 4 F-DO, le nombre de données de sortie et d'entrée occupées par les liaisons de communication sécurisées :

Données d'entrée et de sortie occupées* entre un esclave I et le maître DP

Communication sécurisée

Liaison de communication

données de sortie dans l'esclave I

données d'entrée dans l'esclave I

Communication esclave I-esclave avec 4/8 F-DI

4 octets 6 octets Esclave I-esclave

Communication esclave I-esclave avec 4 F-DO

5 octets 5 octets

* Exemple pour DI 4/8 F et DO 4 F ET 200S

Dans le cas de la limite maximale de 244 octets de données d'entrée et de 244 octets de données de sortie pour la transmission entre un esclave I et un maître DP, tenez éventuellement également compte de la communication sécurisée maître I-esclave (F-MS-R, F-MS-S) et des liaisons maître-esclave (MS) ou des liaisons directes pour l'échange de données (DX) vous permettant d'échanger des données au sein de votre programme utilisateur standard. Vous pouvez vérifier que la limite maximale de 244 octets de données d'entrée et de 244 octets de données de sortie est respectée pour toutes les liaisons de communication sécurisées et standards que vous avez configurées dans l'onglet "Configuration" des propriétés de l'objet de l'esclave I. Pour cela, tenez compte de toutes les lignes dont le MODE est "MS" dans l'onglet "Configuration". Les lignes dont le MODE est "DX" ne sont pas à prendre en compte.

Configuration et programmation de la communication 8.6 Communication sécurisée IO Controller-IO Controller


8.6 Communication sécurisée IO Controller-IO Controller

Conditions La communication sécurisée entre les programmes de sécurité des CPU F d'IO-Controllers s'effectue via un coupleur PN/PN (numéro de référence 6ES7158-3AD00-0XA0) que vous mettez en œuvre entre les deux CPU F. Pour cette communication, vous avez besoin de HSP 101 pour STEP 7 V5.4 SP1 ou du fichier GSD pour le coupleur PN/PN. Pour des CPU 416F sans interface PROFINET intégrée, vous mettez en œuvre des CP 443-1 Advanced.

Remarque Dans HW Config, au niveau des propriétés de l'objet du coupleur PN/PN, désactivez le paramètre "Affichage de validité des données DIA" (correspond au paramétrage par défaut). Sinon, une communication sécurisée IO-Controller-IO-Controller est impossible.

Référence Les informations relatives à la communication maître-maître sécurisée dans le chapitre "Communication maître-maître sécurisée" s'appliquent.

Configuration et programmation de la communication 8.7 Communication sécurisée via des liaisons S7


8.7 Communication sécurisée via des liaisons S7

8.7.1 Configuration de la communication sécurisée via des liaisons S7

Introduction La communication sécurisée entre les programmes de sécurité des CPU F via des liaisons S7 s'effectue - comme pour les programmes standards - via la table des liaisons dans NetPro.

Restrictions

Remarque Dans S7 Distributed Safety, les liaisons S7 sont généralement uniquement autorisées via Industrial Ethernet ! La communication sécurisée via des liaisons S7 est possible de et vers les CPU suivantes : • CPU 315F-2 PN/DP (uniquement via l'interface PN de la CPU) • CPU 317F-2 PN/DP (uniquement via l'interface PN de la CPU) • CPU 416F--3 PN/DP (uniquement via l'interface PN de la CPU) • CPU 416F-2 à partir de la version du firmware V4.0

Création de liaisons S7 dans la table des liaisons Pour chaque liaison de communication entre deux CPU F, vous devez créer une liaison S7 dans la table des liaisons de NetPro. Pour chaque nœud d'extrémité d'une liaison, STEP 7 attribue une ID locale et une ID partenaire. Le cas échéant, vous pouvez modifier l'ID locale dans NetPro. Vous attribuez l'ID locale au paramètre ID des blocs d'application F correspondants, dans les programmes de sécurité.

Remarque La communication sécurisée via des liaisons S7 vers des partenaires non spécifiés n'est pas possible.

Marche à suivre pour la configuration des liaisons S7 Vous configurez les liaisons S7 pour la communication sécurisée CPU-CPU de la même manière que pour le standard.

Remarque Si vous modifiez la configuration de liaisons S7 pour la communication sécurisée, la signature globale du programme de sécurité est mise à "0". Vous devez ensuite générer une nouvelle fois le programme de sécurité.



Informations supplémentaires Vous trouverez la description de la configuration des liaisons S7 dans le manuel Configuration matérielle et communication dans STEP 7 V 5.x de même que dans l'aide en ligne de STEP 7.

8.7.2 Communication avec F_SENDS7 et F_RCVS7 et DB de communication F

Communication avec F_SENDS7 et F_RCVS7

Pour l'émission et la réception de sécurité de données via des liaisons S7, vous utilisez les blocs d'application F F_SENDS7 et F_RCVS7. Avec ces blocs d'application F, vous pouvez transmettre de manière sécurisée un nombre défini par vous-même de données de sécurité des types BOOL, INT, WORD et TIME. Les données de sécurité sont inscrites dans les DB F que vous avez créés. Vous trouverez ces blocs d'application F dans le dossier Blocs Blocs d'application F de la bibliothèque F Distributed Safety (V1). Le F_RCVS7 doit être appelé au début du PB F. Le F_SENDS7 doit être appelé à la fin du PB F. Notez que les signaux d'émission ne sont envoyés qu'après l'appel du F_SENDS7 à la fin du traitement du groupe d'exécution F. Vous trouverez la description détaillée des blocs d'application F au chapitre "FB 225 "F_SENDS7", FB 226 F_RCVS7" : Communication via liaisons S7".

DB de communication F Pour chaque liaison de communication, les données d'émission sont inscrites dans un DB F (DBx F de communications) et les données de réception dans un DB F (DBy F de communication). Vous mettez les numéros de DB de la communication F à la disposition des F_SENDS7 ou F_RCVS7 sous forme de paramètres.

Voir aussi FB 225 "F_SENDS7" et FB 226 "F_RCVS7" : Communication via liaisons S7 (Page 235)



8.7.3 Programmation de la communication sécurisée CPU-CPU via des liaisons S7

Introduction Le présent chapitre décrit la programmation de la communication sécurisée entre les programmes de sécurité des CPU F via des liaisons S7. Dans les programmes de sécurité des CPU F concernées, vous devez : ● créer des DB F dans lesquels vont être inscrites les données d'émission/réception pour la

communication. ● appeler des blocs d'application F pour la communication dans la bibliothèque F

Distributed Safety (V1) et les paramétrer dans le programme de sécurité.

Conditions pour la programmation Les conditions ci-après doivent être remplies pour pouvoir programmer : ● les liaisons S7 entre les CPU F concernées doivent être configurées dans NetPro ● Les deux CPU doivent avoir été configurées comme CPU F :

– L'option "CPU contient programme de sécurité" doit être activée et – le mot de passe de la CPU F doit avoir été entré.

Création et édition d'un DB de communication F Les DB de communication F sont des DB F que vous créez et éditez tout comme les autres DB F dans SIMATIC Manager. Lors de leur création, veuillez tenir compte de la particularité suivante : Lorsque vous créez le DB F, entrez l'identification "COM_DBS7" sur l'onglet "Général – 2e partie" dans le champ de saisie "Famille" de ses propriétés de l'objet. Celle-ci identifie le DB F en tant que DB de communication F. Seuls des DB F possédant cette identification peuvent être transmis en tant que DB de communication F à F_SENDS7 ou à F_RCVS7. Attribuez un nom symbolique au DB de communication F.



Remarque La longueur et la structure du DB de communication F côté récepteur doivent concorder avec la longueur et à la structure du DB de communication F correspondant côté émetteur. Si les DB de communication F ne concordent pas, la CPU F peut basculer sur STOP. L'un des événements de diagnostic suivants sera alors écrit dans le tampon de diagnostic de la CPU F : • "Altération de données dans le programme de sécurité avant sortie vers la périphérie F" • "Altération de données dans le programme de sécurité avant sortie vers une CPU F

partenaire" • "Programme de sécurité : Erreur interne de CPU ; Information d'erreur interne : 404" C'est la raison pour laquelle, nous vous recommandons de procéder de la manière suivante : 1. Dans SIMATIC Manager, créez un DB de communication F dans le dossier Blocs du

programme de sécurité hors ligne, côté émetteur. 2. Définissez la structure du DB de communication F en fonction des données à

transmettre. 3. Copiez ce DB de communication F dans le dossier Blocs du programme de sécurité hors

ligne côté récepteur, puis modifiez éventuellement le numéro de DB.

Exigences supplémentaires pour les DB de communication F Les DB de communication F doivent en outre posséder les propriétés suivantes. ● Il ne doit pas s'agir de DB d'instance. ● Leur longueur peut être de 100 octets au maximum. ● Seuls les types de données BOOL, INT, WORD et TIME peuvent être déclarés dans des

DB de communication F. ● Les types de données doivent être disposés par blocs et dans l'ordre BOOL, INT, WORD

et TIME. Dans un DB de communication F, un seul bloc par type de données est autorisé.

● Vous de devez pas déclarer plus de 128 données tu type BOOL. ● Le nombre de données du type BOOL doit toujours correspondre à des multiples entiers

de 16 (limite d'un mot). Le cas échéant, vous devez pour cela ajouter des données de réserve.

Si les conditions décrites ci-dessus ne sont pas remplies, S7 Distributed Safety émet un message d'erreur.

Attribution de valeurs de remplacement Les valeurs de remplacement sont mises à disposition par le côté réception : ● pendant le premier établissement de liaison entre les partenaires de communication

après le démarrage des systèmes F, ● lorsqu'une erreur de communication est survenue. Les valeurs de remplacement mises à disposition sont celles que vous avez définies dans le DB de communication F côté récepteur (prédéfinition du DB de communication F).



Marche à suivre pour la programmation 1. Affectez les signaux d'émission aux variables du DB de communication F côté émetteur

via un accès symbolique entièrement qualifié (p. ex. "Nom du DB de communication F".Nom de la variable).

2. Effectuez la lecture des variables du DB de communication F côté récepteur (signaux de réception) via un accès symbolique entièrement qualifié (par ex. "Nom du DB de communication F".Nom de la variables) afin de pouvoir poursuivre leur traitement dans d'autres parties du programme.

3. Appelez dans le programme de sécurité à partir duquel des données doivent être émises le bloc d'application F F_SENDS7 d'émission à la fin du PB F.

4. Appelez dans le programme de sécurité devant recevoir des données le bloc d'application F F_RCVS7 de réception au début du PB F.

5. Affectez les numéros de DB de communication F correspondants aux entrées respectives SEND_DB de F_SENDS7 et RCV_DB de F_RCVS7.

6. Attribuez à l'ID d'entrée du F_SENDS7 l'ID locale configurée dans NetPro pour la liaison S7 (type de données : WORD).

7. Attribuez à l'ID d'entrée ID du F_RCVS7 l'ID locale de la liaison S7 configurée dans HW Config (type de données : WORD).

8. Affectez aux entrées R_ID de F_SENDS7 et de F_RCVS7 un nombre impair (type de données : DWORD). Vous déterminez ainsi l'appartenance d'un F_SENDS7 à un F_RCVS7. Les blocs F apparentés obtiennent la même valeur pour R_ID.

ATTENTION

Vous pouvez sélectionner une valeur quelconque pour la relation d'adresse respective (paramètre d'entrée R_ID ; type de donnée : DWORD), cependant elle doit être impaire et univoque dans l'ensemble du réseau pour toutes les relations de communication sécurisées. La valeur R_ID + 1 est attribuée de manière interne et ne doit pas être utilisée.



Remarque Vous devez utiliser un DB d'instance séparé pour chaque appel d'un F_SENDS7 ou d'un F_RCVS7. Vous ne devez pas affecter des données locales du bloc de programmation F aux paramètres d'entrée et de sortie du F_RCVS7. Pour un paramètre de sortie d'un F_RCVS7, vous ne devez pas utiliser de paramètre effectif déjà utilisé pour un paramètre d'entrée du même ou d'un autre appel de F_RCVS7 ou F_RCVDP. Si ceci n'est pas respecté, la CPU F peut passer en STOP. L'un des événements de diagnostic suivants sera alors écrit dans le tampon de diagnostic de la CPU F : • "Altération de données dans le programme de sécurité avant sortie vers la périphérie


partenaire"

• "Programme de sécurité : Erreur interne de CPU ; Information d'erreur interne : 404"

9. Paramétrez le temps de surveillance voulu pour les entrées TIMEOUT des F_SENDS7 et F_RCVS7.

ATTENTION

Cela permet d'obtenir l'assurance (de sécurité) qu'un niveau de signal à transmettre sera acquis côté émetteur et transféré au récepteur s'il dure au moins aussi longtemps que le temps de surveillance paramétré (TIMEOUT). Des informations relatives au calcul des temps de surveillance vous sont données dans le manuel système Technique de sécurité dans SIMATIC S7.

10. A l'entrée EN_SEND de F_SENDS7, vous pouvez temporairement désactiver la communication entre les CPU F afin de réduire la charge pour le bus. Pour cela, affectez la valeur "0" à l'entrée EN_SEND (réglage par défaut = "1"). Plus aucune donnée d'émission n'est alors transmise au DB de communication F du F_RCVS7 correspondant et, durant cette période, le récepteur F_RCVS7 met à disposition les valeurs de remplacement (prédéfinies dans son DB de communication F). Si une communication était déjà établie entre les partenaires de liaison, une erreur de communication est détectée.

11. Facultatif : exploitez la sortie ACK_REQ de F_RCVS7, p. ex. dans le programme utilisateur standard ou sur le système de contrôle-commande pour détecter ou signaler la nécessité d'un acquittement utilisateur.

12. Affectez à l'entrée ACK_REI du F_RCVS7 le signal d'acquittement en vue de la réintégration.

13. Facultatif : exploitez la sortie SUBS_ON de F_RCVS7 ou de F_SENDS7 pour savoir si F_RCVS7 émet les valeurs de remplacement que vous avez réglées par défaut dans le DB de communication F.

14. Facultatif : exploitez la sortie ERROR de F_RCVS7 ou de F_SENDS7 , p. ex. dans le programme utilisateur standard ou sur le système de contrôle-commande, pour détecter ou signaler la présence d'une erreur de communication.

15. Facultatif : exploitez la sortie SENDMODE du F_RCVS7 pour savoir si la CPU F et le F_SENDS7 correspondant se trouvent en mode de sécurité désactivé.



ATTENTION

Si la CPU F et le F_SENDS7 associé se trouvent en mode de sécurité désactivé, les données reçues par la CPU F n'ont probablement plus été générées dans les conditions de sécurité requises. Vous devez alors également assurer la sécurité des parties de l'installation concernées par les données reçues, soit en prenant des mesures d'organisation, par ex. le mode contrôlé et la désactivation de sécurité manuelle, soit dans la CPU F dans laquelle se trouve le F_RCVS7, en exploitant SENDMODE afin de fournir des valeurs de remplacement de sécurité au lieu des données reçues.

Voir aussi Création et édition de DB F (Page 79)

8.7.4 Limites pour la transmission des données (communication sécurisée via liaisons S7)

Limites pour la transmission des données

Remarque Si le volume de données à transmettre est supérieur à la longueur autorisée pour le DB de communication F (100 octets), vous pouvez créer un DB de communication F supplémentaire, que vous transmettez à un appel du F_SENDS7/F_RCVS7 supplémentaire avec un R_ID modifié.

Veuillez considérer qu'à chaque appel du F_SENDS7 ou chaque appel du F_RCVS7 les FB standards 8 et 9 qui occupent les ressources des liaisons dans la CPU F sont appelés. Ceci influence le nombre maximum possible des liaisons de communication. Vous obtiendrez des informations sur les ressources des liaisons d'une CPU F dans le mode standard via la boîte de dialogue "Etat du module" sur l'onglet "Communication".

Configuration et programmation de la communication 8.8 Communication sécurisée entre S7 Distributed Safety et S7 F Systems


8.8 Communication sécurisée entre S7 Distributed Safety et S7 F Systems

Introduction La communication sécurisée via des des liaisons S7 aux CPU F est également possible dans S7 F Systems. 32 données maximum du type de données BOOL peuvent être remplacées ici.

Marche à suivre pour S7 Distributed Safety Pour S7 Distributed Safety , procédez comme décrit au chapitre "Communication sécurisée via des liaisons S7". Particularité : Pour la communication entre S7 F Systems et S7 Distributed Safety, vous devez créer le DB de communication F avec exactement 32 données du type BOOL dans S7 Distributed Safety.

Marche à suivre pour S7 F Systems pour S7 F Systems , procédez comme décrit dans le manuel "S7 F/FH Systems - Configuration et programmation" (http://support.automation.siemens.com/WW/view/fr/16537972) au chapitre "Communication sécurisée entre des CPU F". Particularité : La communication entre S7 F Systems et S7 Distributed Safety est possible pour S7 F Systems uniquement avec les blocs F F_SDS_BO/F_RDS_BO.

http://support.automation.siemens.com/WW/view/fr/16537972

Configuration et programmation de la communication 8.8 Communication sécurisée entre S7 Distributed Safety et S7 F Systems



Bibliothèques F 99.1 La bibliothèque F Distributed Safety (V1)

9.1.1 Présentation de la bibliothèque F Distributed Safety (V1)

Vue d'ensemble La bibliothèque F Distributed Safety (V1) contient : ● dans le dossier Blocs F-Application Blocks\Blocks des blocs d'application F ● dans le dossier Blocs F-System Blocks\Blocks des blocs système F et le DB global F.

Remarque Vous ne devez pas modifier le nom de la bibliothèque F. La bibliothèque F Distributed Safety (V1) ne doit contenir que des blocs F installés avec la version de S7 Distributed Safety.



9.1.2 Blocs d'application F

9.1.2.1 Présentation des blocs d'application de sécurité

Vue d'ensemble des blocs d'application F

Numéro de bloc Nom du bloc Fonction FB179 (Page 179) F_SCA_I Mise à l'échelle des valeurs du type INT FB181 (Page 180) F_CTU Comptage FB182 (Page 181) F_CTD Décomptage FB183 (Page 182) F_CTUD Comptage et décomptage FB184 (Page 183) F_TP Création d'une impulsion FB185 (Page 185) F_TON Création d'un retard à la montée FB186 (Page 187) F_TOF Création d'un retard à la retombée FB187 (Page 189) F_ACK_OP Acquittement de sécurité FB188 (Page 191) F_2HAND Surveillance de commande bimanuelle FB189 (Page 193) F_MUTING Inhibition FB 190 (Page 201) F_1oo2DI Exploitation 1oo2 (1de2) avec analyse de

discordance FB 211 (Page 205) F_2H_EN Surveillance de commande bimanuelle avec

validation FB 212 (Page 207) F_MUT_P Inhibition parallèle FB 215 (Page 217) F_ESTOP1 Arrêt d'urgence jusqu'à la catégorie 1 FB 216 (Page 220) F_FDBACK Surveillance de boucles de retour FB 217 (Page 224) F_SFDOOR Surveillance de la porte de protection FB 219 (Page 228) F_ACK_GL Acquittement global de toutes les

périphéries F d'un groupe d'exécution F FB223 (Page 229) F_SENDDP Emission de données (16 BOOL, 2 INT) via

PROFIBUS DP FB224 (Page 229) F_RCVDP Réception de données (16 BOOL, 2 INT)

via PROFIBUS DP FB 225 (Page 235) F_SENDS7 Pour les CPU 4xxF : Emission de données

(du DB F) via des liaisons S7 FB 226 (Page 235) F_RCVS7 Pour les CPU 4xxF : Réception de données

(du DB F) via des liaisons S7 FC 174 (Page 243) F_SHL_W Décalage vers la gauche de 16 bits FC 175 (Page 244) F_SHR_W Décalage vers la droite de 16 bits FC 176 (Page 245) F_BO_W Conversion de 16 données de type BOOL

en donnée de type WORD FC 177 (Page 245) F_W_BO Conversion d'une données de type WORD

en 16 données de type BOOL FC 178 (Page 246) F_INT_WR Ecriture indirecte d'une valeur de type de

données INT dans un DB F FC 179 (Page 248) F_INT_RD Lecture indirecte d'une valeur de type de

données INT à partir d'un DB F



Remarque

Vous pouvez modifier les numéros des blocs d'application F. Exception : lorsque vous utilisez les blocs d'application F F_ESTOP1 et F_FDBACK, le bloc d'application F F_TOF doit avoir le numéro FB 186 et ne doit pas être renuméroté. Lors d'une modification, veuillez prendre note du fait que le nom symbolique du bloc dans la table des mnémoniques et le nom dans les propriétés de l'objet du bloc (en-tête) doivent être identiques pour chaque bloc d'application F. Vous ne devez pas utiliser les noms symboliques de blocs d'application F de la bibliothèque F Distributed Safety (V1) pour les FB F, les FC F et les blocs pour le programme utilisateur standard que vous créez.

Remarque

Il est indispensable de garantir un état cohérent des blocs F sur la CPU F. Pour cela, vous ne devez utiliser que les blocs d'application F d'une seule version de S7 Distributed Safety et générer le programme de sécurité avec le programme d'installation S7 Distributed Safety Setup.

Remarque

Lorsque vous appelez un bloc, l'entrée de validation EN et la sortie de validation ENO apparaissent automatiquement. Vous ne devez ni connecter ces connecteurs, ni leur affecter la valeur "0" ou les exploiter !

Imprécisions de temps dans le cas de blocs d'application F réalisant un traitement horaire

ATTENTION Lorsque vous mettez en œuvre un bloc d'application F réalisant un traitement horaire, tenez compte des imprécisions suivantes lorsque vous déterminez vos temps de réaction : • l'imprécision de temps connue du cas standard, résultant du traitement cyclique • l'imprécision de temps résultant de l'instant d'actualisation de la base de temps utilisée

dans le bloc d'application F (voir la figure ci-dessous) • la tolérance du contrôle interne des temporisations dans la CPU F

– pour des valeurs de temps inférieures à 100 ms, au maximum 20% de la valeur (paramétrée)

– pour des valeurs de temps supérieures à 100 ms, au maximum 2% de la valeur (paramétrée)

• Vous devez sélectionner l'écart entre deux instants d'appel d'un bloc d'application F réalisant un traitement horaire de sorte à atteindre les temps de réaction requis tout en tenant compte des imprécisions de temps possibles.



Imprécision de temps résultant de l'instant d'actualisation de la base de temps utilisée dans le bloc d'application F

1 2

3

Description

(1) Lors du premier appel dans le cycle n+1, l'instant d'appel du bloc d'application F par rapport au début du groupe d'exécution F est réalisée plus tôt de Δ1 que dans le cycle n, p. ex. parce que des parties du programme de sécurité du groupe d'exécution F sont sautées avant l'instant d'appel du bloc d'application F dans le cycle n+1. Lors de l'actualisation de temps, le bloc d'application F tient compte du temps TBase_1 au lieu du temps T 1 qui s'est effectivement écoulé depuis l'appel dans le cycle n.

(2) Le bloc d'application F est appelé une seconde fois dans le cycle n+1. Il n'y a pas de nouvelle actualisation de temps (de Δ2).

(3) Lors de l'appel dans le cycle n+2, l'instant d'appel du bloc d'application F par rapport au début du groupe d'exécution F est réalisée plus tard de Δ3 que dans le cycle n, p. ex. parce que le groupe d'exécution F a été interrompu par une alarme de priorité plus élevée avant l'instant d'appel du bloc d'application F dans le cycle n+2. Au lieu du temps T3 qui s'est effectivement écoulé depuis d'appel dans le cycle n, le bloc d'application F a pris en compte le temps TBase_1 + TBase_2 . Il en serait de même, si aucun appel n'avait eu lieu dans le cycle n+1.



9.1.2.2 FB 179 "F_SCA_I" : Mise à l'échelle des valeurs du type INT

Connecteurs

Paramètre Type de données

Description Valeur par défaut

Entrées : IN INT Valeur d'entrée qui doit être convertie dans l'unité physique

0

HI_LIM INT Limite supérieure dans l'unité physique 0 LO_LIM INT Limite inférieure dans l'unité physique 0 Sorties : OUT INT Résultat de la mise à l'échelle 0 OUT_HI BOOL 1 = valeur d'entrée > 27648 : OUT =

HI_LIM 0

OUT_LO BOOL 1 = valeur d'entrée < 0 : OUT = LO_LIM 0

Fonctionnement Ce bloc d'application F convertit la valeur sur l'entrée IN dans une valeur en unités physiques comprise entre la limite inférieure sur l'entrée LO_LIM et la limite supérieure sur l'entrée HI_LIM. La valeur sur l'entrée IN est supposée comprise entre 0 et 27648. Le résultat de la mise à l'échelle est fourni sur la sortie OUT. Le bloc d'application F travaille avec l'équation suivante : OUT = [ IN * (HI_LIM - LO_LIM)] / 27648 + LO_LIM Tant que la valeur sur l'entrée IN est supérieure à 27648, la sortie OUT est mise à HI_LIM et OUT_HI est mis à 1. Tant que la valeur sur l'entrée IN est inférieure à 0, la sortie OUT est mise à LOI_LIM et OUT_LO est mis à 1. Pour effectuer une mise à l'échelle inverse, vous devez paramétrer LO_LIM > HI_LIM. Dans la mise à l'échelle inversée, la valeur de sortie OUT diminue en fonction de l'augmentation de la valeur d'entrée IN.



Comportement en cas de débordement haut ou bas de valeurs analogiques et sortie de valeurs de remplacement

Remarque Lorsque vous utilisez pour valeurs d'entrée des entrées de la MIE d'un SM 336; AI 6 x 13bits, vous devez tenir compte du fait que le système F détecte le débordement haut ou bas d'une voie de ce SM F comme une erreur de périphérie F/de voie. La valeur de remplacement 0 est écrite dans la MIE pour le programme de sécurité, à la place de 7FFFH (débordement haut) ou 8000H (débordement bas). Si vous voulez sortir d'autres valeurs de remplacement dans ce cas, vous devez exploiter la variable QBAD dans le DB de périphérie F (aiguillage pour la sortie d'une valeur de remplacement individuelle). Si la valeur dans la MIE du SM F se trouve dans les limites de débordement haut et bas, mais cependant > 27648 ou < 0, vous pouvez également sortir une valeur de remplacement qui vous est propre en exploitant les sorties OUT_HI ou OUT_LO.

9.1.2.3 FB 181 "F_CTU" : Comptage

Connecteurs



Entrées : CU BOOL Entrée de comptage 0 R BOOL Entrée de réinitialisation (R prévaut sur CU) 0 PV INT Valeur par défaut ; pour le fonctionnement

de PV, voir le paramètre Q. 0

Sorties : Q BOOL Etat du compteur :

Q = 1, si CV >= PV Q = 0, lorsque CV < PV

0

CV INT Valeur de comptage actuelle (Valeurs possibles : 0 à 32767)

0

Fonctionnement Ce bloc d'application F représente un compteur commandé sur front (dont la fonctionnalité est fondée le compteur CEI SFB 0 "CTU"). En cas de front montant (par rapport au dernier appel du bloc d'application F), le compteur est incrémenté de 1 à l'entrée CU. Lorsque la valeur de comptage atteint la limite supérieure 32767, il n'est plus incrémenté. Tout autre front montant à l'entrée CU reste alors sans effet. L'état de signal 1 à l'entrée R entraîne la réinitialisation du compteur à la valeur 0, quelle que soit la valeur à l'entrée CU. La sortie Q indique si la valeur de comptage actuelle est supérieure ou égale à la valeur par défaut PV. La fonctionnalité de ce bloc d'application F est conforme à la norme CEI 61131-3.



Comportement à la mise en route Après un démarrage du système de sécurité, les instances de F_CTU sont réinitialisées, à savoir : ● CV = 0 ● Q = 0

9.1.2.4 FB 182 "F_CTD" : Décomptage

Connecteurs



Entrées : CD BOOL Entrée de comptage 0 LOAD BOOL Entrée de chargement (LOAD prévaut sur

CD) 0

PV INT Valeur par défaut ; le compteur prend la valeur de PV lorsque l'entrée LOAD est à l'état de signal 1.

0

Sorties : Q BOOL Etat du compteur :

Q = 1, si CV <= 0 Q = 0, lorsque CV > 0

0

CV INT Valeur de comptage actuelle (Valeurs possibles : -32768 à 32767)

0

Fonctionnement Ce bloc d'application F représente un compteur régressif commandé sur front (dont la fonctionnalité est fondée le compteur CEI SFB 1 "CTD"). En cas de front montant (par rapport au dernier appel du bloc d'application F), le compteur est décrémenté de 1 à l'entrée CD. Lorsque la valeur de comptage atteint la limite inférieure -32768, il n'est plus décrémenté. Tout autre front montant à l'entrée CD reste alors sans effet. Avec l'état de signal 1 à l'entrée LOAD, le compteur prend la valeur par défaut PV. Ceci se produit quelle que soit la valeur à l'entrée CD. La sortie Q indique si la valeur de comptage actuelle est inférieure ou égale à zéro. La fonctionnalité de ce bloc d'application F est conforme à la norme CEI 61131-3.

Comportement à la mise en route Les instances de F_CTD sont réinitialisées dans le premier cycle après un démarrage du système de sécurité, à savoir : ● CV = 0 ● Q = 0



9.1.2.5 FB 183 "F_CTUD" : Comptage et décomptage

Connecteurs



Entrées : CU BOOL Entrée de comptage 0 CD BOOL Entrée de décomptage 0 R BOOL Entrée de réinitialisation (R prévaut sur

LOAD) 0

LOAD BOOL Entrée de chargement (LOAD prévaut sur CU et CD)

0

PV INT Valeur par défaut ; le compteur prend la valeur de PV lorsque l'entrée LOAD est à l'état de signal 1.

0

Sorties : QU BOOL Etat du compteur :

QU = 1, si CV >= PV QU = 0, lorsque CV < PV

0

QD BOOL Etat du compteur régressif : QD = 1, si CV <= 0 QD = 0, lorsque CV > 0

0

CV INT Valeur de comptage actuelle (Valeurs possibles : -32768 à 32767)

0

Fonctionnement Ce bloc d'application F représente un compteur/décompteur commandé sur front (dont la fonctionnalité est fondée sur le compteur CEI SFB 2 "CTUD"). En cas de front montant (par rapport au dernier appel du bloc d'application F), le compteur est : ● incrémenté de 1 à l'entrée CU.

Lorsque la valeur de comptage atteint la limite supérieure (32767), il n'est plus incrémenté.

● décrémenté de 1 à l'entrée CD. Lorsque la valeur de comptage atteint la limite inférieure (–32768), il n'est plus décrémenté.

En cas de front montant à la fois à l'entrée CU et à l'entrée CD dans un cycle, le compteur conserve sa valeur actuelle.

ATTENTION En présence simultanée des signaux CU et CD, le comportement diffère de la norme CEI 61131-3 ab. Dans cette norme, l'entrée CU prévaut en présence simultanée des signaux CU et CD.



Load = 1 : CV prend la valeur de l'entrée PV. Les valeurs aux entrées CU et CD sont ignorées. R = 1 : CV est réinitialisé à 0. Les valeurs aux entrées CU, CD et LOAD sont ignorées. La sortie QU indique si la valeur de comptage actuelle est supérieure ou égale à la valeur par défaut PV. La sortie QD indique si elle est inférieure ou égale à zéro.

Comportement au démarrage Les instances de F_CTUD sont réinitialisées dans le premier cycle après un démarrage du système de sécurité, à savoir : ● CV = 0 ● QU = 0 ● QD = 0

9.1.2.6 FB 184 "F_TP" : Création d'une impulsion

Connecteurs



Entrées : IN BOOL Entrée de démarrage 0 PT TIME Durée de l'impulsion, avec PT >= 0 T# 0 ms Sorties : Q BOOL Etat du temps 0 ET TIME Temps écoulé T# 0 ms

Fonctionnement Ce bloc d'application F crée une impulsion de durée PT à la sortie Q (fonctionnalité fondée sur le TIMER CEI SFB 3 "TP"). L'impulsion est démarrée par un front montant à l'entrée IN. La sortie Q reste à 1 pendant la durée PT, quelle que soit l'évolution du signal d'entrée (c'est-à-dire même lorsque l'entrée IN passe à nouveau de 0 à 1 avant que le temps PT ne se soit écoulé). La sortie ET indique depuis quelle durée la sortie Q est à 1. Elle peut prendre au maximum la valeur de l'entrée PT. Elle est réinitialisée lorsque l'entrée IN passe à 0, cependant au plus tôt après écoulement du temps PT.



ATTENTION Lorsque vous mettez en oeuvre un bloc d'application F réalisant un traitement horaire, tenez compte des imprécisions suivantes lorsque vous déterminez vos temps de réaction : • l'imprécision de temps connue du cas standard, résultant du traitement cyclique • l'imprécision de temps résultant de l'instant d'actualisation de la base de temps utilisée

dans le bloc d'application F (voir la figure dans la section "Blocs d'application F"). • la tolérance du contrôle interne des temporisations dans la CPU F



Vous devez sélectionner l'écart entre deux instants d'appel d'un bloc d'application F réalisant un traitement horaire de sorte à atteindre les temps de réaction requis tout en tenant compte des imprécisions de temps possibles.

ATTENTION

La fonctionnalité de ce bloc d'application F correspond à la norme CEI 61131-3, mais diffère du TIMER CEI SFB 3 "TP" pour les points suivants : • Lors de l'appel avec PT = 0 ms, l'instance de F_TP n'est pas entièrement réinitialisée

(initialisée). Le blocs se comporte conformément aux diagrammes en fonction du temps : seules les sorties Q et ET sont réinitialisées. Pour un nouveau démarrage de l'impulsion, après que PT soit à nouveau > 0, un nouveau front montant est requis à l'entrée IN.

• Lors de l'appel avec PT < 0 ms, les sorties Q et ET sont réinitialisées. Pour un nouveau démarrage de l'impulsion, après que PT soit à nouveau > 0, un nouveau front montant est requis à l'entrée IN.

Diagrammes en fonction du temps F_TP

IN

Q

ET

PT

PT PT PT



Comportement au démarrage Les instances de F_TP sont réinitialisées dans le premier cycle après un démarrage du système de sécurité, à savoir : ● ET = 0 ● Q = 0

Voir aussi Présentation des blocs d'application de sécurité (Page 176)

9.1.2.7 FB 185 "F_TON" : Création d'un retard à la montée

Connecteurs



Entrées : IN BOOL Entrée de démarrage 0 PT TIME Durée de laquelle le front montant est

retardé à l'entrée IN, avec PT >= 0 T# 0 ms

Sorties : Q BOOL Etat du temps 0 ET TIME Temps écoulé T# 0 ms

Fonctionnement Ce bloc d'application F retarde un front montant du temps PT (fonctionnalité fondée sur le TIMER CEI SFB 4 "TON"). Un front montant à l'entrée IN a pour conséquence un front montant à la sortie Q, après écoulement de la durée PT. Q reste à 1 jusqu'à ce que l'entrée IN passe à 0. Si l'entrée IN passe à 0 avant que le temps PT ne se soit écoulé, la sortie Q reste à 0. La sortie ET fournit le temps qui s'est écoulé depuis le dernier front montant à l'entrée IN, toutefois au maximum la valeur de l'entrée PT. ET est remis à 0 lorsque l'entrée IN passe à 0.




dans le bloc d'application F (voir la figure dans la section "Blocs d'application F") • la tolérance du contrôle interne des temporisations dans la CPU F




ATTENTION

La fonctionnalité de ce bloc d'application F correspond à la norme CEI 61131-3, mais diffère du TIMER CEI SFB 4 "TON" pour les points suivants : • Lors de l'appel avec PT = 0 ms, l'instance de F_TON n'est pas entièrement réinitialisée

(initialisée). Le blocs se comporte conformément aux diagrammes en fonction du temps : seule la sortie ET est réinitialisée. Pour un nouveau démarrage du retard à la montée, après que PT soit à nouveau > 0, un nouveau front montant est requis à l'entrée IN.

• Lors de l'appel avec PT < 0 ms, les sorties Q et ET sont réinitialisées. Pour un nouveau démarrage du retard à la montée, après que PT soit à nouveau > 0, un nouveau front montant est requis à l'entrée IN.

Diagrammes en fonction du temps F_TON

IN

Q

ET

PT

PT PT



Comportement au démarrage Les instances de F_TON sont réinitialisées dans le premier cycle après un démarrage du système de sécurité, à savoir : ● ET = 0 ● Q = 0


9.1.2.8 FB 186 "F_TOF" : Création d'un retard à la retombée

Connecteurs



Entrées : IN BOOL Entrée de démarrage 0 PT TIME Durée de laquelle le front descendant est

retardé à l'entrée IN, avec PT >= 0 T# 0 ms

Sorties : Q BOOL Etat du temps 0 ET TIME Temps écoulé T# 0 ms

Fonctionnement Ce bloc d'application F retarde un front descendant du temps PT (fonctionnalité fondée sur le TIMER CEI SFB 5 "TOF"). Un front montant à l'entrée IN provoque un front montant à la sortie Q. Un front descendant à l'entrée IN provoque un front descendant à la sortie Q, après écoulement de la durée PT. Si l'entrée IN passe de nouveau à 1 avant que le temps PT ne se soit écoulé, la sortie Q reste à 1. La sortie ET fournit le temps qui s'est écoulé depuis le dernier front descendant à l'entrée IN, toutefois au maximum la valeur de l'entrée PT. ET est remis à 0 lorsque l'entrée IN passe à 1.








ATTENTION

La fonctionnalité de ce bloc d'application F correspond à la norme CEI 61131-3, mais diffère du TIMER CEI SFB 5 "TOF" pour les points suivants : • Lors de l'appel avec PT = 0 ms, l'instance de F_TOF n'est pas entièrement réinitialisée

(initialisée). Le blocs se comporte conformément aux diagrammes en fonction du temps : seules les sorties Q et ET sont réinitialisées. Pour un nouveau démarrage du retard à la retombée, après que PT soit à nouveau > 0, un nouveau front descendant est requis à l'entrée IN.

• Lors de l'appel avec PT < 0 ms, les sorties Q et ET sont réinitialisées. Pour un nouveau démarrage du retard à la retombée, après que PT soit à nouveau > 0, un nouveau front descendant est requis à l'entrée IN.

Diagrammes en fonction du temps F_TOF

IN

Q

ET

PT

PT PT



Comportement au démarrage Les instances de F_TOF sont réinitialisées dans le premier cycle après un démarrage du système de sécurité, à savoir : ● ET = 0 ● Q = 0


9.1.2.9 FB 187 "F_ACK_OP" : Acquittement de sécurité

Connecteurs



Entrées/Sorties :

IN INT Grandeur d'entrée du système de contrôle-commande

0

Sorties : OUT BOOL Sortie pour l'acquittement 0 Q BOOL Etat du temps 0

Fonctionnement Ce bloc d'application de sécurité permet d'effectuer un acquittement de sécurité depuis un système de contrôle-commande. Ainsi, il est p. ex. possible de commander la réintégration de la périphérie de sécurité depuis le système de contrôle-commande. Un acquittement est réalisé en deux étapes : 1. L'entrée/sortie IN prend la valeur 6. 2. L'entrée/sortie IN prend la valeur 9 durant un intervalle d'une minute. Le bloc d'application F détermine si, une fois que l'entrée/sortie IN a pris la valeur 6, elle prend la valeur 9 après au plus tôt 1 seconde ou au plus tard une minute. Ensuite, la sortie OUT (sortie pour l'acquittement) est mise à 1 durant un cycle. Si vous entrez une valeur invalide ou si l'entrée/sortie IN ne prend pas la valeur 9 durant un intervalle d'une minute ou avant écoulement d'une seconde, elle sera réinitialisée à 0 et il vous faudra renouveler les deux étapes précédentes. La sortie Q est mise à 1 durant l'intervalle dans lequel doit s'effectuer le passage de 6 à 9. Sinon, Q prend la valeur 0.








Remarque

Vous devez uniquement exploiter la sortie Q dans votre programme utilisateur standard. L'accès à la sortie Q n'est pas autorisé dans le programme de sécurité ! L'entrée/sortie IN ne doit pas être connectée ou alors uniquement à un mot de mémento. Dans le programme de sécurité, l'accès en lecture et en écriture à l'entrée/sortie IN dans le DB d'instance correspondant n'est pas autorisé !

Remarque

Vous devez utiliser un DB d'instance séparé pour chaque appel du F_ACK_OP. Chaque appel ne doit être traité qu'une seule fois dans un cycle du groupe d'exécution F. Sinon, il se peut que la CPU F bascule sur STOP. L'un des événements de diagnostic suivants sera alors écrit dans le tampon de diagnostic de la CPU F : • "Altération de données dans le programme de sécurité avant sortie vers la périphérie F" • "Altération de données dans le programme de sécurité avant sortie vers une CPU F

partenaire" • "Programme de sécurité : Erreur interne de CPU ; information d'erreur interne : 404"

Informations supplémentaires Vous trouverez d'autres informations sur l'acquittement de sécurité avec le bloc d'application F F_ACK_OP aux renvois indiqués sous "Voir aussi".

Voir aussi Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un maître DP ou d'un IO-Controller (Page 117) Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un esclave I (Page 120) Présentation des blocs d'application de sécurité (Page 176)



9.1.2.10 FB 188 "F_2HAND" : Surveillance de commande bimanuelle

Connecteurs



Entrées : IN1 BOOL Bouton-poussoir 1 0 IN2 BOOL Bouton-poussoir 2 0 DISCTIME TIME Temps de discordance (0 ... 500 ms) T# 0 ms Sorties : Q BOOL 1=Validation 0

Fonctionnement Ce bloc d'application F réalise une surveillance de commande bimanuelle. Si vous activez les boutons-poussoirs IN1 et IN2 durant le temps de discordance autorisé DISCTIME ≤ 500 ms (IN1/IN2 = 1) (activation synchrone), le signal de validation Q est mis à 1. Si la différence de temps entre l'activation du bouton-poussoir IN1 et celle du bouton-poussoir IN2 est supérieure à DISCTIME, vous devez relâcher les deux boutons-poussoirs et les activer à nouveau. Q est remis à 0 aussitôt que vous relâchez le bouton-poussoir (IN1/IN2 =0). Le signal de validation Q ne peut être remis à 1 que si l'autre bouton-poussoir a également été relâché et si ensuite les deux boutons-poussoirs sont activés durant le temps de discordance. Le signal de validation Q ne peut jamais être mis à 1 lorsque le temps de discordance est paramétré avec des valeurs < 0 ou > 500 ms. Le bloc d'application F répond aux exigences de la norme EN 574. Commentaire : sur le bloc d'application F, il n'est possible d'évaluer qu'un seul signal par bouton. La surveillance du temps de discordance du contact à ouverture et à fermeture des boutons-poussoirs IN1 et IN2 est réalisé en cas de configuration correspondante (type de branchement de capteurs : antivalent à 2 voies) direct par la périphérie F avec entrées. Le contact à fermeture doit être câblé de sorte à fournir le signal zéro (voir le manuel relatif à la périphérie F mise en oeuvre). Pour que le temps de réaction ne soit pas influencé par le temps de discordance, vous devez paramétrer "fournir la valeur 0" comme comportement de discordance. Lorsqu'une discordance est détectée, la valeur de remplacement 0 est entrée pour le bouton dans la mémoire image des entrées (MIE) et QBAD ou QBAD_I_xx sont mis à 1 dans le DB de périphérie F correspondant.








Informations supplémentaires Vous trouverez d'autres informations sur la configuration et le DB de périphérie F aux renvois indiqués sous "Voir aussi".

Voir aussi Vue d'ensemble de la configuration (Page 23) DB de périphérie F (Page 98) Présentation des blocs d'application de sécurité (Page 176)



9.1.2.11 FB 189 "F_MUTING" : Inhibition

Connecteurs



Entrées : MS_11 BOOL Détecteur à inhibition 1 de la paire de détecteurs 1

0

MS_12 BOOL Détecteur à inhibition 2 de la paire de détecteurs 1

0


0


0

STOP BOOL 1=Transporteur à l'arrêt 0 FREE BOOL 1=Barrière photoélectrique non

interrompue 0

QBAD_MUT BOOL Le signal QBAD ou QBAD_O_xx de la périphérie F/voie de la lampe à inhibition (DB de périphérie F)

0

DISCTIM1 TIME Temps de discordance de la paire de détecteurs 1 (0 ... 3 s)

T# 0 ms


T# 0 ms

TIME_MAX TIME Temps d'inhibition maximum (0 ... 10 min) T# 0 M ACK BOOL Acquittement de l'inhibition de

redémarrage 0

Sorties : Q BOOL 1=Validation, Non arrêté 0 MUTING BOOL Affichage inhibition active 0 ACK_REQ BOOL Acquittement nécessaire 0 FAULT BOOL Erreur groupée 0 DIAG BYTE Information de maintenance 0

Fonctionnement Ce bloc d'application F réalise une inhibition parallèle via deux ou quatre détecteurs à inhibition. L'inhibition correspond à une réjection définie de la fonction de protection de barrières photoélectriques. Le fonctionnement avec inhibition des barrières photoélectriques peut être utilisé pour amener des marchandises ou des objets dans la zone de danger surveillée par la barrière photoélectrique, sans que la machine ne s'arrête. L'utilisation de la fonction d'inhibition requiert la présence d'au moins deux détecteurs à inhibition câblés indépendamment l'un de l'autre. En utilisant deux ou quatre détecteurs à inhibition correctement intégrés à la marche de production, vous devez vous assurer qu'aucune personne ne peut pénétrer la zone de danger lorsque la barrière photoélectrique est court-circuitée.








Schéma d'un procédé d'inhibition de détection réalisé correctement au moyen de 4 détecteurs à inhibition (MS_11, MS_12, MS_21, MS_22)

1

MS_22

MS_21

MS_12

MS_11 Emetteur

Récepteur

Zone dange-reuse

● Lorsque les deux détecteurs à inhibition MS_11 et MS_12 sont activés par le produit durant DISCTIM1 (prennent l'état du signal = 1) et que MUTING est validé via l'entrée ENABLE = 1, le bloc d'application F démarre la fonction MUTING. Le signal de validation Q reste à 1, même lorsque l'entrée FREE = 0 (barrière photoélectrique interrompue par le produit). La sortie MUTING permettant d'amorcer la lampe à inhibition se met à 1.

Remarque La lampe à inhibition peut être surveillée au moyen de l'entrée QBAD_MUT ! Raccordez de ce fait la lampe à inhibition à une sortie avec surveillance de rupture de fil d'une périphérie F et connectez l'entrée QBAD_MUT au signal QBAD ou QBAD_O_xx de la périphérie F/voie correspondante. Lorsque QBAD_MUT = 1, le bloc d'application F met fin à l'inhibition. Lorsqu'aucune surveillance de la lampe à inhibition n'est requise, vous n'avez pas besoin de connecter l'entrée QBAD_MUT. Seules des périphéries F détectant à temps une rupture de fil après l'activation de la procédure d'inhibition sont adaptées (voir le manuel relatif à la périphérie F spéciale).



2

MS_22

MS_21

MS_12

MS_11 Emetteur

Récepteur

Zone dange-reuse

● Tant que les deux détecteurs à inhibition MS_11 et MS_12 continuent à rester activées, la fonction MUTING du bloc d'applications de sécurité fait que Q = 1 et MUTING = 1 (de sorte à ce que le produit puisse traverser la barrière photoélectrique sans que la machine ne s'arrête).

3

MS_22

MS_21

MS_12

MS_11 Emetteur

Récepteur

Zone dange-reuse

● Les deux détecteurs à inhibition MS_21 et MS_22 doivent être activés (durant DISCTIM2) avant que les deux détecteurs à inhibition MS_11 et MS_12 ne soient désactivés (prennent l'état de signal 0). Le bloc d'application F maintient alors la fonction MUTING (Q = 1, MUTING = 1).

4

MS_22

MS_21

MS_12

MS_11 Emetteur

Récepteur

Zone dange-reuse

● La fonction MUTING n'est terminée (Q = 1, MUTING = 0) que lorsque les deux détecteurs à inhibition MS_21 et MS_22 sont désactivés (le produit libère les détecteurs). La fonction MUTING doit être active au maximum pour le temps paramétré à l'entrée TIME_MAX.

Remarque La fonction MUTING démarre également lorsque le produit passe la barrière photoélectrique dans l'autre sens et que les détecteurs à inhibition sont donc activés en sens inverse par le produit.



Diagrammes en fonction du temps pour un procédé d'inhibition de détection réalisé correctement au moyen de 4 détecteurs à inhibition

FREE

ACK

MUTING

FAULT

ACK_REQ

t < DISCTIM1 t < DISCTIM2

t < TIME_MAX

Q

MS_11

MS_21

MS_22

MS_12

Schéma d'un procédé d'inhibition de détection avec des barrières photoélectriques reflex Lorsque vous mettez en œuvre des barrières photoélectriques reflex comme détecteurs à inhibition, vous devez généralement les disposer de manière croisée. Puisque généralement seuls deux barrières photoélectriques sont mises en œuvre dans le cas de cette disposition comme détecteurs à inhibition, seules MS_11 et MS_12 sont connectées. Le fonctionnement est analogue à celui décrit pour le procédé d'inhibition avec 4 détecteurs à inhibition. L'étape 3 n'est pas à effectuer. Dans la description de l'étape 4, veuillez remplacer MS_21 et MS_22 par MS_11 et MS_12.

MS_12

MS_11 Emetteur

Récepteur

Zone

dange-

reuse



Inhibition de redémarrage lors d'une interruption de la barrière photoélectrique (lorsque MUTING n'est pas actif), en cas d'erreurs et lors du démarrage su système F

Le signal de validation Q ne peut pas être mis à 1 ou devient 0 lorsque : ● la barrière photoélectrique est interrompue (p. ex. par une personne ou le transport de

matériel) bien que la fonction MUTING n'est pas active, ● la surveillance de la lampe à inhibition se déclenche à l'entrée QBAD_MUT, ● la paire de détecteurs 1 (MS_11 et MS_12) ou la paire de détecteurs 2 (MS_21 et

MS_22) ne sont pas activées ou désactivées durant les temps de discordance DISCTIM1 ou DISCTIM2,

● la fonction MUTING est active plus longtemps que le temps d'inhibition maximum TIME_MAX,

● les temps de discordance DISCTIM1 ou DISCTIM2 ont été paramétrés avec des valeurs < 0 ou > 3 s,

● le temps d'inhibition maximum TIME_MAX a été paramétré avec une valeur < 0 ou > 10 min.

Dans les cas cités, la sortie FAULT (erreur groupée) est mise à 1 (inhibition de redémarrage). Lorsque la fonction MUTING est démarrée, elle est arrêtée et la sortie MUTING devient 0.

ATTENTION Si, lors du démarrage du système de sécurité, une combinaison valide des détecteurs à inhibition est constatée immédiatement (p. ex. parce que les détecteurs à inhibition sont commutés sur les entrées d'une périphérie standard fournissant des valeurs de processus après le démarrage du système de sécurité), la fonction MUTING est démarrée immédiatement et la sortie MUTING et le signal de validation Q prennent la valeur 1. La sortie FAULT (signalisation groupées des erreurs) n'est pas mise à 1 (pas d'inhibition de redémarrage !).

Acquittement utilisateur de l'inhibition de redémarrage Le signal de validation Q redevient 1 lorsque ● la barrière photoélectrique n'est plus interrompue ● les éventuelles erreurs sont corrigées (voir la sortie DIAG)

et ● un acquittement utilisateur avec front positif est effectué sur l'entrée ACK (voir aussi le

chapitre "Réalisation d'un acquittement utilisateur"). La sortie FAULT est mise à 0. La sortie ACK_REQ = 1 signale qu'un acquittement par l'utilisateur est nécessaire à l'entrée ACK pour annuler l'inhibition de redémarrage. Le bloc met ACK_-REQ à 1 aussitôt que la barrière photoélectrique ne plus interrompue ou que toutes les erreurs ont été corrigées. Une fois l'acquittement correctement effectué, le bloc réinitialise ACK_REQ à 0.

Remarque Après des erreurs de discordance et après dépassement du temps d'inhibition maximum, ACK_REQ est toujours mis à 1. Aussitôt qu'un acquittement par l'utilisateur est réalisé à l'entrée ACK, les temps de discordance DISCTIM1 ou DISCTIM2 et le temps d'inhibition maximum TIME_MAX sont réinitialisés.



Diagrammes en fonction du temps en cas d'erreur de discordance pour la paire de détecteur 1 ou en cas d'interruption de la barrière photoélectrique (lorsque la fonction MUTING n'est pas active)

3

3

1 2

FREE

MS_11

MS_21

MS_22

t = 0

MUTING

t = DISCTIM1 t < DISCTIM2

t < TIME_MAXt > DISCTIM1

FAULT

ACK_REQ

Q

MS_12

(1) La paire de détecteurs 1 (MS_11 et MS_12) n'est pas activée pendant le temps de discordance DISCTIM1.

(2) La barrière photoélectrique est interrompue bien que la fonction MUTING ne soit pas active,

(3) Acquittement

Comportement lorsque la transporteur est à l'arrêt Si la surveillance doit être désactivée ● en tenant compte des temps de discordance DISCTIM1 ou DISCTIM2 ou ● en tenant compte du temps d'inhibition maximum TIME_MAX lorsque le transporteur est à l'arrêt, vous devez appliquer un signal "1" à l'entrée STOP tant que le transporteur est à l'arrêt. Aussitôt que le transporteur est à nouveau en marche (STOP = 0), les temps de discordance DISCTIM1 ou DISCTIM2 et le temps d'inhibition maximum TIME_MAX sont réinitialisés.



ATTENTION Lorsque STOP = 1, la surveillance du temps de discordance est désactivée. Si durant ce temps, les deux entrées MSx1/MSx2 d'un couple de détecteurs prennent l'état de signal 1 en raison d'une erreur indéfinie, p. ex. parce que les deux détecteurs à inhibition sont défaillants après 1, l'erreur n'est pas reconnue et la fonction MUTING peut être démarrée de manière non intentionnelle.

Sortie DIAG La sortie DIAG met à votre disposition une information non sécurisée relative aux erreurs survenues à des fins de maintenance. Vous pouvez la lire au moyen de systèmes de contrôle-commande ou, le cas échéant, l'exploiter dans votre programme utilisateur standard. Les bits de DIAG restent enregistrés jusqu'à ce que vous acquittiez l'entrée ACK.

Structure de DIAG N° de bit Occupation Origine possible de l'erreur Solution Bit 0 Erreur de discordance ou temps de

discordance DISCTIM 1 erroné paramétré pour la paire de détecteurs 1.

Erreur dans la marche de production

Corriger l'erreur dans la marche de production

Capteur défectueux Vérifier les capteurs Erreur de câblage Vérifier le câblage des capteurs Les capteurs sont câblés sur

différentes périphéries F et il y a une erreur de périphérie F, une erreur de voie ou une erreur de communication ou encore une passivation par PASS_ON sur une périphérie F

Voir la variable DIAG, bits 0 à 6 au chapitre "DB de périphérie F".

Temps de discordance trop petit Augmenter le cas échéant le temps de discordance

Temps de discordance paramétré < 0 s ou > 3 s

Paramétrer un temps de discordance compris entre 0 s et 3 s.

Bit 1 Erreur de discordance ou temps de discordance DISCTIM 2 erroné paramétré pour la paire de détecteurs 2.

comme pour le bit 0 comme pour le bit 0

Bit 2 Dépassement du temps d'inhibition maximum ou paramétrage incorrect du temps d'inhibition TIME_MAX.



Temps d'inhibition maximum paramétré trop court

Le cas échéant, paramétrer un temps d'inhibition maximum plus long.

Paramétrage du temps d'inhibition < 0 s ou > 10 min.

Paramétrer un temps d'inhibition compris entre 0 s et 10 min.



N° de bit Occupation Origine possible de l'erreur Solution Bit 3 Interruption de la barrière

photoélectrique et inhibition inactive.

Barrière photoélectrique défectueuse

Vérifiez la barrière photoélectrique

Erreur de câblage Vérifiez le câblage de la barrière photoélectrique (entrée FREE)

Erreur de périphérie F, erreur de voie ou erreur de communication ou encore passivation par PASS_ON de la périphérie F de la barrière photoélectrique (entrée FREE)


Voir les autres bits DIAG Bit 4 Lampe à inhibition défectueuse ou

non amorçable Lampe à inhibition défectueuse Remplacer la lampe à inhibition

Erreur de câblage Vérifier le câblage de la lampe à inhibition

Erreur de périphérie F, erreur de voie ou erreur de communication ou encore passivation par PASS_ON de la périphérie F de la lampe à inhibition


Bit 5 Réserve - - Bit 6 Réserve - - Bit 7 Réserve - -

Remarque L'accès à la sortie DIAG n'est pas autorisé dans le programme de sécurité !

Voir aussi DB de périphérie F (Page 98) Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un maître DP ou d'un IO-Controller (Page 117) Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un esclave I (Page 120) Présentation des blocs d'application de sécurité (Page 176)



9.1.2.12 FB 190 "F_1oo2DI" : Exploitation 1oo2 (1de2) avec analyse de discordance

Connecteurs



Entrées : IN1 BOOL Capteur 1 0 IN2 BOOL Capteur 2 0 DISCTIME TIME Temps de discordance (0 ... 60 s) T# 0 ms ACK_NEC BOOL 1 = acquittement nécessaire en cas

d'erreur de discordance 1

ACK BOOL Acquittement de l'erreur de discordance 0 Sorties : Q BOOL Sortie 0 ACK_REQ BOOL 1 = acquittement nécessaire 0 DISC_FLT BOOL 1 = erreur de discordance 0 DIAG Octet Information de maintenance 0

Fonctionnement Ce bloc d'application F réalise une exploitation 1oo2 (1de2) de deux capteurs monovoie combinée avec une analyse de discordance. La sortie Q est mise à 1, lorsque les états logiques des entrées IN1 et IN2 sont égaux à 1 et qu'aucune erreur de discordance DISC_FLT n'est mémorisée. Si l'état logique d'une des entrées ou des deux entrées est 0, la sortie Q est mise à 0. Lorsque les signaux des entrées IN1 et IN2 sont différents, le temps de discordance DISCTIME est démarré. Si les signaux des deux entrées sont différents après écoulement de ce temps, le bloc détecte une erreur de discordance et met DISC_FLT à 1 (blocage de redémarrage). Si le bloc de détecte plus d'erreur de discordance entre les entrées IN1 et IN2, l'erreur de discordance est acquittée en fonction du paramétrage de ACK_NEC : ● si ACK_NEC = 0, l'acquittement est automatique ● si ACK_NEC = 1, vous ne pouvez acquitter l'erreur de discordance que grâce à un front

montant sur l'entrée ACK. La sortie ACK_REQ = 1 signale la nécessité d'un acquittement utilisateur sur l'entrée ACK pour acquitter l'erreur de discordance (déblocage du redémarrage). Le bloc d'application F met ACK_REQ = 1 sitôt qu'il ne détecte plus de discordance. Après l'acquittement ou si le bloc détecte une nouvelle discordance des signaux IN1 et IN2 avant l'acquittement, il remet ACK_REQ à 0. La sortie Q ne peut jamais être mise à 1 si le temps de discordance est < 0 ou > 60 s. Dans ce cas, la sortie DISC_FLT est également mise à 1 (blocage de redémarrage). Le cycle d'appel du programme de sécurité (par ex. OB 35) doit être inférieur au temps de discordance paramétré.



ATTENTION Le paramétrage de la variable ACK_NEC = 0 est uniquement autorisé lorsqu'un redémarrage automatique du processus correspondant est par ailleurs exclu.

ATTENTION

Lorsque vous mettez en œuvre un bloc d'application F réalisant un traitement horaire, tenez compte des imprécisions suivantes lorsque vous déterminez vos temps de réaction : • l'imprécision de temps connue du cas standard, résultant du traitement cyclique • l'imprécision de temps résultant de l'instant d'actualisation de la base de temps utilisée





Activation des entrées IN1 et IN2 Les deux entrées IN1 et IN2 doivent être activées de manière à ce que leur état de sécurité soit 0.

Exemple En cas de signaux antivalents, vous devez inverser l'entrée (IN1 ou IN2) à laquelle vous affectez le signal de capteur avec l'état de sécurité 1 . Vous devez de plus relier par l'opération OU le signal de capteur à la variable QBAD ou QBAD_I_xx de la périphérie F/voie correspondante, afin que les entrées IN1 ou IN2 (après la négation) aient l'état de signal 0 lorsque des valeurs de remplacement sont générées.

...

...

...

...

...

...

...

EN“F_1oo2DI”

0ACK_REQ

DISC_FLTDIAGEND

DB190

INIIN2

DISCTIMEACK_NEC

>=1

T#100MS

ACK

Réseau 1 : F_1oo2DI avec signaux antivalents

“Capteur_1_(contact à ouverture)”“F0000B_DI24xDC24V”,0BAD

Commentaire :

“Capteur_2_(contact à fermeture)”



Diagramme dans le temps de F_1oo2DI Lorsque ACK_NEC est paramétré à 1 :

IN1

IN2

DISC_FLT

ACK_REQ

ACK

DIAG (Bit1)

DIAG (Bit2)

DISCTIME DISCTIME DISCTIME DISCTIME

Q

Comportement au démarrage

Remarque Si les capteurs sur les entrées IN1 et IN2 sont affectés à des périphéries F différentes, il peut arriver que les sorties des valeurs de remplacement soient de durées différentes après un démarrage du système F, du fait des comportements au démarrage différents des périphéries F. Si les signaux des deux entrées IN1 et IN2 sont encore discordants après écoulement du temps de discordance DISCTIME, le bloc détecte une erreur de discordance après le démarrage du système F. Si ACK_NEC = 1, vous devez acquitter l'erreur de discordance à l'aide d'un front montant sur l'entrée ACK.

Sortie DIAG La sortie DIAG met à votre disposition une information non sécurisée relative aux erreurs survenues à des fins de maintenance. Vous pouvez la lire au moyen de systèmes de contrôle-commande ou, le cas échéant, l'exploiter dans votre programme utilisateur standard. Les bits de DIAG restent enregistrés jusqu'à ce que vous acquittiez l'entrée ACK.



Structure de DIAG

N° de bit

Occupation Origine possible de l'erreur Solution

Bit 0 Erreur de discordance ou temps de discordance paramétré incorrect (= état de DISC_FLT)

Capteur défectueux Vérifier les capteurs

Erreur de câblage Vérifier le câblage des capteurs

Les capteurs sont câblés sur différentes périphéries F et il y a une erreur de périphérie F, une erreur de voie ou une erreur de communication ou encore une passivation par PASS_ON sur une périphérie F


Temps de discordance trop petit

Augmenter le cas échéant le temps de discordance



Bit 1 En cas d'erreur de discordance : le dernier changement d'état logique était sur l'entrée IN1

- -

Bit 2 En cas d'erreur de discordance : le dernier changement d'état logique était sur l'entrée IN2

- -

Bit 3 Réserve - - Bit 4 Réserve - - Bit 5 En cas d'erreur de discordance

: l'entrée ACK est à l'état 1 en permanence

Touche d'acquittement défectueuse

Remplacer la touche d'acquittement

Erreur de câblage Vérifier le câblage de la touche d'acquittement

Bit 6 Acquittement nécessaire - - Bit 7 Etat de la sortie Q - -


Voir aussi DB de périphérie F (Page 98) Présentation des blocs d'application de sécurité (Page 176)



9.1.2.13 FB 211 "F_2H_EN" : Surveillance de commande bimanuelle avec validation

Connecteurs



Entrées : IN1 BOOL Bouton-poussoir 1 FALSE IN2 BOOL Bouton-poussoir 2 FALSE ENABLE BOOL Entrée de validation FALSE DISCTIME TIME Temps de discordance (0 ... 500 ms) T# 0 ms Sorties : Q BOOL 1=Validation FALSE DIAG BYTE Information de maintenance B#16#0

Fonctionnement Ce bloc d'application F réalise une surveillance de commande bimanuelle. Si vous activez les boutons-poussoirs IN1 et IN2 durant le temps de discordance autorisé DISCTIME ≤ 500 ms (IN1/IN2 = 1) (activation synchrone), le signal de validation Q est mis à 1 si la validation ENABLE = 1. Si la différence de temps entre l'activation du bouton-poussoir IN1 et celle du bouton-poussoir IN2 est supérieure à DISCTIME, vous devez relâcher les deux boutons-poussoirs et les activer à nouveau. Q est remis à 0 aussitôt que vous relâchez l'un des boutons-poussoirs (IN1/IN 2 = 0) ou que la validation ENABLE = 0. Le signal de validation Q ne peut être remis à 1 que si l'autre bouton-poussoir a également été relâché et si ensuite les deux boutons-poussoirs sont activés durant le temps de discordance lorsque la validation ENABLE=1. Le bloc d'application F répond aux exigences de la norme EN 574. Remarque : sur le bloc d'application F, il n'est possible d'évaluer qu'un seul signal par bouton. La surveillance du temps de discordance du contact à ouverture et à fermeture des boutons-poussoirs IN1 et IN2 est réalisé en cas de configuration correspondante (type de branchement de capteurs : antivalent à 2 voies) direct par la périphérie F avec entrées. Le contact à fermeture doit être câblé de sorte à fournir le signal zéro (voir le manuel relatif à la périphérie F mise en œuvre). Pour que le temps de réaction ne soit pas influencé par le temps de discordance, vous devez paramétrer comme comportement en cas de discordance : "Délivrer valeur 0". Lorsqu'une discordance est détectée, la valeur de remplacement 0 est entrée pour le bouton dans la mémoire image des entrées (MIE) et QBAD ou QBAD_I_xx sont mis à 1 dans le DB de périphérie F correspondant.








Sortie DIAG La sortie DIAG met à votre disposition une information non sécurisée relative aux erreurs survenues à des fins de maintenance. Vous pouvez la lire au moyen de systèmes de contrôle-commande ou, le cas échéant, l'exploiter dans votre programme utilisateur standard. Les bits DIAG 0 à 5 restent enregistrés jusqu'à ce que la cause de l'erreur ait été corrigée.

Structure de DIAG

N° de bit Occupation Origine possible de l'erreur Solution Bit 0 temps de discordance

DISCTIME paramétré incorrect

Temps de discordance paramétré < 0 ou > 500 s

Paramétrer un temps de discordance entre 0 et 500 s

Bit 1 Temps de discordance écoulé



Boutons-poussoirs n'ont pas été activés durant le temps de discordance

Relâchez les boutons-poussoir et les activer durant le temps de discordance

Erreur de câblage Vérifier le câblage des boutons-poussoirs

Bouton-poussoir défectueux Vérifiez le bouton-poussoir Les boutons-poussoirs sont

câblés sur différentes périphéries F et il y a une erreur de périphérie F, une erreur de voie ou une erreur de communication ou encore une passivation par PASS_ON sur une périphérie F


Bit 2 Réserve - -



N° de bit Occupation Origine possible de l'erreur Solution Bit 3 Réserve - - Bit 4 Ordre d'activation erroné Un bouton-poussoir n'a pas

été relâché Relâchez les boutons-poussoir et les activer durant le temps de discordance

Bouton-poussoir défectueux Vérifiez le bouton-poussoir Bit 5 Validation ENABLE non

activée Validation ENABLE = 0 Mettre la validation ENABLE

= 1, relâchez le bouton-poussoir et l'activer durant le temps de discordance

Bit 6 Réserve - - Bit 7 Etat de la sortie Q - -



9.1.2.14 FB 212 "F_MUT_P" : Inhibition parallèle

Connecteurs



Entrées : MS_11 BOOL Détecteur à inhibition 11 0 MS_12 BOOL Détecteur à inhibition 12 0 MS_21 BOOL Détecteur à inhibition 21 0 MS_22 BOOL Détecteur à inhibition 22 0 STOP BOOL 1=Transporteur à l'arrêt 0 FREE BOOL 1=Barrière photoélectrique non

interrompue 0

ENABLE BOOL 1=Validation MUTING 0 QBAD_MUT BOOL Le signal QBAD ou QBAD_O_xx de

la périphérie F/voie de la lampe à inhibition (DB de périphérie F)

0

ACK BOOL Acquittement de l'inhibition de redémarrage

0


T# 0 ms


T# 0 ms

TIME_MAX TIME Temps d'inhibition maximum (0... 10 min)

T# 0 ms





Sorties : Q BOOL 1: Validation, Non arrêté 0 MUTING BOOL Affichage inhibition active 0 ACK_REQ BOOL Acquittement nécessaire 0 FAULT BOOL Erreur groupée 0 DIAG WORD Information de maintenance W#16#0

Fonctionnement Ce bloc d'application F réalise une inhibition parallèle via deux ou quatre détecteurs à inhibition. L'inhibition correspond à une réjection définie de la fonction de protection de barrières photoélectriques. Le fonctionnement avec inhibition des barrières photoélectriques peut être utilisé pour amener des marchandises ou des objets dans la zone de danger surveillée par la barrière photoélectrique, sans que la machine ne s'arrête. L'utilisation de la fonction d'inhibition requiert la présence d'au moins deux détecteurs à inhibition câblés indépendamment l'un de l'autre. En utilisant deux ou quatre détecteurs à inhibition correctement intégrés à la marche de production, vous devez vous assurer qu'aucune personne ne peut pénétrer la zone de danger lorsque la barrière photoélectrique est court-circuitée.








Schéma d'un procédé d'inhibition de détection réalisé correctement au moyen de 4 détecteurs à inhibition (MS_11, MS_12, MS_21, MS_22)

1

MS_22

MS_21

MS_12

MS_11 Emetteur

Récepteur

Zone dange-reuse

● Lorsque les deux détecteurs à inhibition MS_11 et MS_12 sont activés par le produit

durant DISCTIM1 (prennent l'état du signal = 1) et que MUTING est validé via l'entrée ENABLE = 1, le bloc d'application F démarre la fonction MUTING. Le signal de validation Q reste à 1, même lorsque l'entrée FREE = 0 (barrière photoélectrique interrompue par le produit). La sortie MUTING permettant d'amorcer la lampe à inhibition se met à 1.

Remarque La lampe à inhibition peut être surveillée au moyen de l'entrée QBAD_MUT ! Raccordez de ce fait la lampe à inhibition à une sortie avec surveillance de rupture de fil d'une périphérie F et connectez l'entrée QBAD_MUT au signal QBAD ou QBAD_O_xx de la périphérie F/voie correspondante. Lorsque QBAD_MUT = 1, le bloc d'application F met fin à l'inhibition. Lorsqu'aucune surveillance de la lampe à inhibition n'est requise, vous n'avez pas besoin de connecter l'entrée QBAD_MUT. Seules des périphéries F détectant à temps une rupture de fil après l'activation de la procédure d'inhibition sont adaptées (voir le manuel relatif à la périphérie F spéciale).

2

MS_22

MS_21

MS_12

MS_11 Emetteur

Récepteur

Zone dange-reuse

● Tant que les deux détecteurs à inhibition MS_11 et MS_12 continuent à rester activées,

la fonction MUTING du bloc d'applications de sécurité fait que Q = 1 et MUTING = 1 (de sorte à ce que le produit puisse traverser la barrière photoélectrique sans que la machine ne s'arrête). L'un des deux détecteurs à inhibition MS_11 ou MS_12 peut brièvement (t < DISCTIM1) être désactivé (prendre l'état de signal 0).



3

MS_22

MS_21

MS_12

MS_11 Emetteur

Récepteur

Zone dange-reuse

● Les deux détecteurs à inhibition MS_21 et MS_22 doivent être activés (durant DISCTIM2)

avant que les deux détecteurs à inhibition MS_11 et MS_12 ne soient désactivés (prennent l'état de signal 0). Le bloc d'application F maintient alors la fonction MUTING (Q = 1, MUTING = 1).

4

MS_22

MS_21

MS_12

MS_11 Emetteur

Récepteur

Zone dange-reuse

La fonction MUTING n'est terminée (Q = 1, MUTING = 0) que lorsque les deux détecteurs à inhibition MS_21 et MS_22 sont désactivés (le produit libère les détecteurs). La fonction MUTING doit être active au maximum pour le temps paramétré à l'entrée TIME_MAX.

Remarque La fonction MUTING démarre également lorsque le produit passe la barrière photoélectrique dans l'autre sens et que les détecteurs à inhibition sont donc activés en sens inverse par le produit.



Diagrammes en fonction du temps pour un procédé d'inhibition de détection réalisé correctement au moyen de 4 détecteurs à inhibition

FREE

MS_11

MS_21

MS_22

ACK

MUTING

FAULT

t < DISCTIM1

t < DISCTIM1

t < DISCTIM1 t < DISCTIM1

t < DISCTIM2

t < DISCTIM2

t < TIME_MAX

t < DISCTIM2t < DISCTIM2

ACK_REQ

Q

MS_12

Schéma d'un procédé d'inhibition de détection avec des barrières photoélectriques reflex Lorsque vous mettez en œuvre des barrières photoélectriques reflex comme détecteurs à inhibition, vous devez généralement les disposer de manière croisée. Puisque généralement seuls deux barrières photoélectriques sont mises en œuvre dans le cas de cette disposition comme détecteurs à inhibition, seules MS_11 et MS_12 sont connectées. Le fonctionnement est analogue à celui décrit pour le procédé d'inhibition avec 4 détecteurs à inhibition. L'étape 3 n'est pas à effectuer. Dans la description de l'étape 4, veuillez remplacer MS_21 et MS_22 par MS_11 et MS_12.

MS_12

MS_11 Emetteur

Récepteur

Zone

dange-

reuse



Inhibition de redémarrage en cas d'interruption de la barrière photoélectrique (lorsque MUTING n'est pas actif), en cas d'erreurs et lors du démarrage du système F

Le signal de validation Q ne peut pas être mis à 1 ou devient 0 lorsque : ● la barrière photoélectrique est interrompue (p. ex. par une personne ou le transport de

matériel) bien que la fonction MUTING n'est pas active, ● la barrière photoélectrique est interrompue et la surveillance de la lampe à inhibition se

déclenche à l'entrée QBAD_MUT, ● la barrière photoélectrique est interrompue et la fonction MUTING n'est pas validée par

l'entrée ENABLE = 1, ● la paire de détecteurs 1 (MS_11 et MS_12) ou la paire de détecteurs 2 (MS_21 et

MS_22) ne sont pas activées ou désactivées durant les temps de discordance DISCTIM1 ou DISCTIM2,

● la fonction MUTING est active plus longtemps que le temps d'inhibition maximum TIME_MAX,

● les temps de discordance DISCTIM1 ou DISCTIM2 ont été paramétrés avec des valeurs < 0 ou > 3 s,

● le temps d'inhibition maximum TIME_MAX a été paramétré avec une valeur < 0 ou > 10 min.

● un démarrage du système F a lieu (que la barrière photoélectrique soit interrompue ou pas, étant que la périphérie F est passivée après démarrage du système F et que l'entrée FREE et ainsi d'abord connectée à 0),

Dans les cas cités, la sortie FAULT (erreur groupée) est mise à 1 (inhibition de redémarrage). Lorsque la fonction MUTING est démarrée, elle est arrêtée et la sortie MUTING devient 0.

Acquittement utilisateur de l'inhibition de redémarrage (aucun détecteur d'inhibition n'est activé ou ENABLE = 0)

Le signal de validation Q redevient 1 lorsque ● la barrière photoélectrique n'est plus interrompue ● les éventuelles erreurs sont corrigées (voir la sortie DIAG)

et ● un acquittement utilisateur avec front positif est effectué sur l'entrée ACK (voir aussi le

chapitre "Réalisation d'un acquittement utilisateur"). La sortie FAULT est mise à 0. La sortie ACK_REQ = 1 signale qu'un acquittement par l'utilisateur est nécessaire à l'entrée ACK pour annuler l'inhibition de redémarrage. Le bloc met ACK_REQ à 1 aussitôt que la barrière photoélectrique ne plus interrompue ou que toutes les erreurs ont été corrigées. Une fois l'acquittement correctement effectué, le bloc réinitialise ACK_REQ à 0.



Acquittement utilisateur de l'inhibition de redémarrage (au moins un détecteur d'inhibition est activé et ENABLE = 1)

Le signal de validation Q redevient 1 lorsque ● les éventuelles erreurs sont corrigées (voir la sortie DIAG) ● une MARCHE A VIDE a lieu jusqu'à ce qu'une combinaison valide des détecteurs à

inhibition soit déterminée La sortie FAULT est mise à 0. Le cas échéant, la fonction MUTING est redémarrée et la sortie MUTING est mise à 1 lorsqu'une combinaison valide des détecteurs à inhibition est déterminée. Lorsque ENABLE = 1, la sortie ACK_REQ = 1 signale que la MARCHE A VIDE est nécessaire pour corriger l'erreur et pour annuler l'inhibition de redémarrage. Une fois la MARCHE A VIDE correctement effectuée, le bloc réinitialise ACK_REQ à 0.

Remarque Lorsque le temps d'inhibition maximum TIME_MAX est dépassé, il est redémarré aussitôt que la fonction MUTING est démarrée.

Marche à vide Lorsqu'une erreur ne peut pas être corrigée immédiatement, la fonction MARCHE A VIDE peut être utilisée dans la plage d'inhibition. Le signal de validation Q et la sortie MUTING = 1 de manière temporaire. La marche à vide est possible quand ● ENABLE = 1 ● au moins un détecteur d'inhibition est activé ● un acquittement utilisateur avec front positif est effectué deux fois à l'entrée ACK durant

un intervalle de 4 s et que le second acquittement utilisateur à l'entrée ACK reste à l'état de signal 1 (le bouton d'acquittement reste enfoncé)

ATTENTION

Vous devez surveiller la marche à vide. Vous devez à tout moment pouvoir interrompre une situation de mise en danger par relâchement du bouton d'acquittement. Le bouton d'acquittement doit être disposé de sorte à ce que la totalité de la zone de danger puisse être surveillée.



Diagrammes en fonction du temps en cas d'erreur de discordance pour la paire de détecteur 1 ou en cas d'interruption de la barrière photoélectrique (MUTING n'est pas active)

3

1 2

4

FREE

MS_11

MS_21

MS_22

t < 4s

MUTING

t = DISCTIM1

FAULT

ACK_REQ

ACK

ENABLE

Q

MS_12

(1) La paire de détecteurs 1 (MS_11 et MS_22) n'est pas activée pendant le temps de discordance DISCTIM1.

(2) La barrière photoélectrique est interrompue bien qu'aucune validation n'ait été attribuée (ENABLE=0)

(3) Marche à vide (4) Acquittement

Comportement lorsque la transporteur est à l'arrêt Si la surveillance doit être désactivée ● en tenant compte des temps de discordance DISCTIM1 ou DISCTIM2 ou ● en tenant compte du temps d'inhibition maximum TIME_MAX lorsque le transporteur est à l'arrêt, vous devez appliquer un signal "1" à l'entrée STOP tant que le transporteur est à l'arrêt. Aussitôt que le transporteur est à nouveau en marche (STOP = 0), les temps de discordance DISCTIM1 ou DISCTIM2 et le temps d'inhibition maximum TIME_MAX sont réinitialisés.



ATTENTION

Lorsque STOP = 1 ou ENABLE = 0, la surveillance de la discordance est désactivée. Si durant ce temps, les deux entrées MSx1/MSx2 d'un couple de détecteurs prennent l'état de signal 1 en raison d'une erreur indéfinie, p. ex. parce que les deux détecteurs à inhibition sont défaillants après 1, l'erreur n'est pas reconnue et la fonction MUTING peut être démarrée de manière non intentionnelle (lorsque ENABLE = 1).

Sortie DIAG La sortie DIAG met à votre disposition une information non sécurisée relative aux erreurs survenues à des fins de maintenance. Vous pouvez la lire au moyen de systèmes de contrôle-commande ou, le cas échéant, l'exploiter dans votre programme utilisateur standard. Les bits de DIAG 0 à 6 restent enregistrés jusqu'à ce que vous acquittiez l'entrée ACK.

Structure de DIAG

N° de bit





Capteur défectueux Vérifier les capteurs Erreur de câblage Vérifier le câblage des

capteurs Les capteurs sont câblés sur

différentes périphéries F et il y a une erreur de périphérie F, une erreur de voie ou une erreur de communication ou encore une passivation par PASS_ON sur une périphérie F







comme pour le bit 0 comme pour le bit 0

Bit 2 Dépassement du temps d'inhibition maximum ou paramétrage incorrect du temps d'inhibition TIME_MAX.



Temps d'inhibition maximum paramétré trop court

Le cas échéant, paramétrer un temps d'inhibition maximum plus long.

Paramétrage du temps d'inhibition < 0 s ou > 10 min.

Paramétrer un temps d'inhibition compris entre 0 s et 10 min.



N° de bit


Bit 3 Interruption de la barrière photoélectrique et inhibition inactive.

ENABLE = 0 Mettre ENABLE = 1

Barrière photoélectrique défectueuse

Vérifiez la barrière photoélectrique

Erreur de câblage Vérifiez le câblage de la barrière photoélectrique (entrée FREE)

Erreur de périphérie, erreur de voie ou erreur de communication ou encore passivation par PASS_ON de la périphérie F de la barrière photoélectrique (entrée FREE)


Démarrage du système F Marche à vide, voir DIAG-Bit 5

Voir les autres bits DIAG Bit 4 Lampe à inhibition

défectueuse ou non amorçable

Lampe à inhibition défectueuse

Remplacer la lampe à inhibition

Erreur de câblage Vérifier le câblage de la lampe à inhibition

Erreur de périphérie F, erreur de voie ou erreur de communication ou encore passivation par PASS_ON de la périphérie F de la lampe à inhibition


Bit 5 Marche à vide requise Voir les autres bits DIAG Deux fronts positifs à ACK durant 4 s, puis laisser le bouton d'acquittement enfoncé jusqu'à ce que ACK_REQ = 0

Bit 6 Acquittement nécessaire - - Bit 7 Etat de la sortie Q - - Bit 8 Etat de la sortie MUTING - - Bit 9 Marche à vide active - - Bit 10 Réserve ... Bit 15 Réserve




Voir aussi DB de périphérie F (Page 98) Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un maître DP ou d'un IO-Controller (Page 117) Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un esclave I (Page 120) Présentation des blocs d'application de sécurité (Page 176)

9.1.2.15 FB 215 "F_ESTOP1" : Arrêt d'urgence jusqu'à la catégorie 1

Connecteurs



Entrées : E_STOP BOOL Arrêt d'urgence 0 ACK_NEC BOOL 1=Acquittement nécessaire 1 ACK BOOL acquittement 0 TIME_DEL TIME Temps de retard T# 0 ms Sorties : Q BOOL 1=Validation 0 Q_DELAY BOOL Validation retard à la retombée 0 ACK_REQ BOOL 1=demande d'acquittement 0 DIAG BYTE Information de maintenance B#16#0

Fonctionnement Ce bloc d'application F réalise un arrêt d'urgence avec acquittement pour les catégories d'arrêt 0 et 1. Le signal de validation Q est mis à 0 aussitôt que l'entrée E_STOP prend l'état de signal 0 (catégorie d'arrêt 0). Le signal de validation Q_DELAY est remis à 0 (catégorie d'arrêt 1) après le temps de retard paramétré à l'entrée TIME_DEL. Le signal de validation Q n'est remis à 1 que lorsque l'entrée E_STOP prend l'état de signal 1 et qu'un acquittement est réalisé. L'acquittement de validation est réalisé en fonction du paramétrage à l'entrée ACK_NEC : ● si ACK_NEC = 0, l'acquittement est automatique ● Si ACK_NEC = 1, vous devez acquitter la validation à l'aide d'un front montant sur

l'entrée ACK. La sortie ACK_REQ signale que l'acquittement nécessite un acquittement utilisateur à l'entrée ACK. Le bloc d'application F met la sortie ACK_REQ à 1 aussitôt que l'entrée E_STOP = 1. Lorsque l'acquittement a été réalisé, le bloc d'application F remet ACK_REQ à 0.




Remarque

Avant d'insérer le bloc d'application F F_ESTOP, vous devez copier le bloc d'application F F_TOF du dossier Blocs F-Application Blocks\Blocks de la bibliothèque F Distributed Safety (V1) dans le dossier Blocs de votre programme S7, s'il ne s'y trouve pas encore.

ATTENTION

Lorsque vous utilisez le bloc d'application F F_ESTOP1, le bloc d'application F F_TOF doit avoir le numéro FB 186 et ne doit pas être renuméroté !

ATTENTION






Le bloc d'application F répond aux exigences des normes EN 418, EN 292-2 et EN 60204-1. Remarque : sur le bloc d'application F, il n'est possible d'évaluer qu'un seul signal d'arrêt d'urgence (E_STOP). La surveillance de la discordance des deux contacts à ouverture (en présence de deux voies) conformément à la catégorie 3, 4 selon EN 954-1 est réalisée directement par la périphérie F possédant des entrée dans la cas d'une configuration en conséquence (type de capteur : équivalent à 2 voies) direct par la périphérie F avec entrées. Pour que le temps de réaction ne soit pas influencé par le temps de discordance, vous devez paramétrer comme comportement en cas de discordance : "Délivrer valeur 0".

Comportement au démarrage Après un démarrage du système F, vous devez acquitter le bloc d'application F avec un front montant à l'entrée ACK lorsque ACK_NEC = 1.



Sortie DIAG La sortie DIAG met à votre disposition une information non sécurisée relative aux erreurs survenues à des fins de maintenance. Vous pouvez la lire au moyen de systèmes de contrôle-commande ou, le cas échéant, l'exploiter dans votre programme utilisateur standard. Les bits de DIAG 1 à 5 restent enregistrés jusqu'à ce que vous acquittiez l'entrée ACK.

Structure de DIAG

N° de bit


Bit 0 Temps de retard TIM_DEL paramétré incorrect

Temps de retard paramétré < 0

Paramétrer un temps de retard > 0

Bit 1 Réserve - - Bit 2 Réserve - - Bit 3 Réserve - - Bit 4 Acquittement impossible, car

l'arrêt d'urgence est encore actif

Bouton d'arrêt d'urgence verrouillé

Déverrouiller le bouton d'arrêt d'urgence

Erreur de périphérie F, erreur de voie ou erreur de communication ou encore passivation par PASS_ON de la périphérie F du bouton d'arrêt d'urgence


Bouton d'arrêt d'urgence défectueux

Vérifier le bouton d'arrêt d'urgence

Erreur de câblage Vérifier le câblage du bouton d'arrêt d'urgence

Bit 5 en cas d'absence de validation : l'entrée ACK est à l'état 1 en permanence


Vérifier le bouton d'acquittement

Erreur de câblage Vérifier le câblage du bouton d'acquittement vérifier

Bit 6 Acquittement nécessaire (= état de ACK_REQ)

- -

Bit 7 Etat de la sortie Q - -


Voir aussi DB de périphérie F (Page 98)



9.1.2.16 FB 216 "F_FDBACK" : Surveillance de boucles de retour

Connecteurs



Entrées : ON BOOL 1=activer la sortie 0 FEEDBACK BOOL Entrée de lecture de retour 0 QBAD_FIO BOOL Signal QBAD ou QBAD_O_xx de la

périphérie F/voie de la sortie Q (DB de périphérie F)

0

ACK_NEC BOOL 1=Acquittement nécessaire 1 ACK BOOL Acquittement 0 FDB_TIME TIME Temps de lecture de retour T# 0 ms Sorties : Q BOOL Sortie 0 ERROR BOOL Erreur de lecture de retour 0 ACK_REQ BOOL Demande d'acquittement 0 DIAG BYTE Information de maintenance B#16#0

Fonctionnement Ce bloc d'application de sécurité réalise une surveillance de boucles de retour. Pour cela, il doit être vérifié si l'état du signal de la sortie Q coïncide avec l’état de signal inversé de l’entrée de lecture de retour FEEDBACK. La sortie Q est mise à 1 aussitôt que l'entrée ON = 1. La condition est que l’entrée de lecture de retour FEEDBACK = 1 et qu'aucune erreur de lecture de retour ne soit enregistrée. La sortie Q est remise à 0 aussitôt que l'entrée ON = 0 ou lorsqu'une erreur de lecture de retour est reconnue. Une erreur de lecture de retour (ERROR = 1) est reconnue lorsque l'état de signal inversé de l'entrée de lecture de retour FEEDBACK (de la sortie Q) ne suit pas l'état de signal de la sortie Q durant le temps de lecture de retour FDB_TIME maximum toléré. L'erreur de lecture de retour est enregistrée. Si une discordance entre l'entrée de lecture de retour FEEDBACK et la sortie Q est détectée après une erreur de lecture de retour, l'erreur de lecture de retour est acquittée en fonction du paramétrage de ACK_NEC : ● si ACK_NEC = 0, l'acquittement est automatique ● si ACK_NEC = 1, vous devez acquitter l'erreur de lecture de retour à l'aide d'un front

montant sur l'entrée ACK. La sortie ACK_REQ = 1 signale la nécessité d'un acquittement utilisateur sur l'entrée ACK pour acquitter l'erreur de lecture de retour. Lorsque l'acquittement a été réalisé, le bloc d'application F remet ACK_REQ à 0. Afin qu'aucune erreur de lecture de retour ne soit détectée lors d'une passivation de la périphérie F commandée par la sortie Q et qu'aucun acquittement ne soit requis, vous devez connecter à l'entrée QBAD_FIO, la variable QBAD ou QBAD_O_xx de la périphérie F correspondante.



ATTENTION Le paramétrage de la variable ACK_NEC = 0 est uniquement autorisé lorsqu'un redémarrage automatique du processus correspondant est par ailleurs exclu après une erreur de lecture de retour.

Remarque

Avant d'insérer le bloc d'application F F_FDBACK, vous devez copier le bloc d'application F F_TOF du dossier Blocs F-Application Blocks\Blocks de la bibliothèque F Distributed Safety (V1) dans le dossier Blocs de votre programme S7, s'il ne s'y trouve pas encore.

ATTENTION

Lorsque vous utilisez le bloc d'application F F_FDBACK, le bloc d'application F F_TOF doit avoir le numéro FB 186 et ne doit pas être renuméroté !

ATTENTION








Exemple de connexion

1

23

P

M

M

DI

F-DO

DC24V

K1

K2

(1) DI standard (2) Entrée FEEDBACK (3) Sortie Q

Le contact de lecture de retour est câblé sur une périphérie standard.

Comportement au démarrage Après un démarrage du système F, le bloc d'application F ne doit pas être acquitté en cas d'erreur.

Sortie DIAG La sortie DIAG met à votre disposition une information non sécurisée relative aux erreurs survenues à des fins de maintenance. Vous pouvez la lire au moyen de systèmes de contrôle-commande ou, le cas échéant, l'exploiter dans votre programme utilisateur standard. Les bits de DIAG 0, 2 et 5 restent enregistrés jusqu'à ce que vous acquittiez l'entrée ACK.



Structure de DIAG

N° de bit

Occupation Origine possible de l'erreur Remède

Bit 0 Erreur de lecture de retour ou temps de lecture de retour paramétré incorrect (= état de ERROR)

Temps de lecture de retour paramétré < 0

Paramétrer un temps de lecture de retour > 0

Temps de lecture de retour trop petit

Augmenter le cas échéant le temps de lecture de retour

Erreur de câblage Vérifier le câblage de l'actionneur et du contact de lecture de retour

Actionneur ou contact de lecture de retour défectueux

Vérifier l'actionneur et le contact de lecture de retour

Erreur de périphérie ou de voie de l'entrée de lecture de retour

Vérifier la périphérie

Bit 1 Passivation de la périphérie F/voie commandée par la sortie Q (= état de QBAD_FIO)

Erreur de périphérie F, erreur de voie ou erreur de communication ou encore passivation par PASS_ON de la périphérie F


Bit 2 après l'erreur de lecture de retour : l'entrée de lecture de retour a en permanence l'état de signal 0

Erreur de périphérie ou de voie de l'entrée de lecture de retour

Vérifier la périphérie

Contact de lecture de retour défectueux

Vérifier le contact de lecture de retour

Erreur de périphérie F, erreur de voie ou erreur de communication ou encore passivation par PASS_ON de la périphérie F de l'entrée de lecture de retour


Bit 3 Réserve - - Bit 4 Réserve - - Bit 5 lors d'une erreur de lecture de

retour : l'entrée ACK est à l'état 1 en permanence



Erreur de câblage Vérifier le câblage du bouton d'acquittement


- -






9.1.2.17 FB 217 "F_SFDOOR" : Surveillance de la porte de protection

Connecteurs



Entrées : IN1 BOOL Entrée 1 0 IN2 BOOL Entrée 2 0 QBAD_IN1 BOOL Signal QBAD ou QBAD_I_xx de la

périphérie F/voie de l'entrée IN1 (périphérie F)

0

QBAD_IN2 BOOL Signal QBAD ou QBAD_I_xx de la périphérie F/voie de l'entrée IN2 (périphérie F)

0

OPEN_NEC BOOL 1=ouverture requise au démarrage 1 ACK_NEC BOOL 1=Acquittement nécessaire 1 ACK BOOL Acquittement 0 Sorties : Q BOOL 1=validation, porte de protection fermée 0 ACK_REQ BOOL Demande d'acquittement 0 DIAG BYTE Information de maintenance B#16#0

Fonctionnement Ce bloc d'application de sécurité réalise une surveillance de la porte de protection. Le signal de validation Q est remis à 0 aussitôt qu'une des deux entrées IN1 ou IN2 prend l'état de signal 0 (la porte de protection est ouverte). Le signal de validation ne peut être remis à 1 que lorsque : ● les deux entrées IN1 et IN2 ont pris l'état de signal 0 avant la fermeture de la porte (la

porte de protection a été entièrement ouverte) ● les deux entrées IN1 et IN2 prennent ensuite l'état de signal 1 (la porte de protection est

fermée) ● un acquittement est réalisé L'acquittement de validation est réalisé en fonction du paramétrage à l'entrée ACK_NEC : ● si ACK_NEC = 0, l'acquittement est automatique ● Si ACK_NEC = 1, vous devez acquitter la validation à l'aide d'un front montant sur

l'entrée ACK. La sortie ACK_REQ = 1 signale que l'acquittement nécessite un acquittement utilisateur à l'entrée ACK. Le blocs d'application F met ACK_REQ = 1 aussitôt que la porte est fermée. Lorsque l'acquittement a été réalisé, le bloc d'application F remet ACK_REQ à 0. Afin que le bloc d'application F puisse reconnaître si les entrées IN1 et IN2 sont à 0 uniquement en raison d'une passivation de la périphérie F correspondante, vous devez connecter les entrées QBAD_IN1 ou QBAD_IN2 aux variables QBAD ou QBAD_I_xx des périphéries F/voies correspondantes. Ceci vous permet d'éviter entre autres de devoir ouvrir entièrement la porte de protection avant un acquittement dans le cas d'une passivation de la périphérie F.




Le bloc d'application F répond aux exigences des normes EN954-1 et EN 1088.

Exemple de connexion Vous devez connecter le contact à ouverture du commutateur de positionnement 1 de la porte de protection sur l'entrée IN1 et le contact de fermeture du commutateur de positionnement 2 sur l'entrée IN2. Le commutateur de positionnement 1 doit être disposé de sorte à forcément devoir être activé lorsque la porte de protection est ouverte. Le commutateur de positionnement 2 doit être placé de sorte à être activé lorsque la porte de protection est fermée.



Comportement au démarrage Après un démarrage du système F, le signal de validation Q est remis à 0. L'acquittement de validation est réalisé en fonction du paramétrage aux entrées OPEN_NEC et ACK_NEC : ● Lorsque OPEN_NEC = 0, un acquittement automatique a lieu indépendamment de

ACK_NEC dès que les deux entrées IN1 et IN2 prennent pour la première fois l'état de signal 1 (la porte de protection est fermée) après réintégration de la périphérie F correspondante.

● Lorsque OPEN_NEC = 1 ou lorsqu'une au moins des deux entrées IN1 et IN2 a encore l'état de signal 0 après réintégration de la périphérie F correspondante, un acquittement automatique a lieu en fonction de ACK_NEC ou vous devez réaliser un acquittement par front montant à l'entrée ACK afin de réaliser la validation. Avant l'acquittement, les deux entrées IN1 et IN2 doivent avoir pris l'état de signal 0 (la porte de protection a été entièrement ouverte), puis l'état de signal 1 (la porte de protection a été fermée).

ATTENTION

Le paramétrage de la variable OPEN_NEC = 0 est uniquement autorisé lorsqu'un redémarrage automatique du processus correspondant est par ailleurs exclu.

Sortie DIAG La sortie DIAG met à votre disposition une information non sécurisée relative aux erreurs survenues à des fins de maintenance. Vous pouvez la lire au moyen de systèmes de contrôle-commande ou, le cas échéant, l'exploiter dans votre programme utilisateur standard.



Structure de DIAG

N° de bit

Occupation Origine possible de l'erreur Remède

Bit 0 Réserve - - Bit 1 Etat de signal 0 des deux

entrées IN1 et IN2 manquant Après démarrage du système F, la porte de protection n'a pas été ouverte entièrement avec OPEN_NEC = 1

Ouvrir entièrement la porte de protection

La porte de protection n'a pas été ouverte entièrement

Ouvrir entièrement la porte de protection

Erreur de câblage Vérifier le câblage des commutateurs de positionnement

Commutateurs de positionnement défectueux

Vérifier les commutateurs de positionnement

Commutateurs de positionnement mal réglés

Régler correctement les commutateurs de positionnement

Bit 2 Etat de signal 1 des deux entrées IN1 et IN2 manquant

La porte de protection n'a pas été fermée

Fermer la porte de protection

Erreur de câblage Vérifier le câblage des commutateurs de positionnement

Commutateurs de positionnement défectueux

Vérifier les commutateurs de positionnement

Commutateurs de positionnement mal réglés

Régler correctement les commutateurs de positionnement

Bit 3 QBAD_IN1 et/ou QBAD_IN2 = 1

Erreur de périphérie F, erreur de voie ou erreur de communication ou encore passivation par PASS_ON de la périphérie F/voie de IN1 et/ou IN2


Bit 4 Réserve - - Bit 5 en cas d'absence de validation

: l'entrée ACK est à l'état 1 en permanence



Erreur de câblage Vérifier le câblage du bouton d'acquittement


- -



Voir aussi DB de périphérie F (Page 98) Passivation et réintégration de la périphérie F après démarrage du système F (Page 106)



9.1.2.18 FB 219 "F_ACK_GL" : Acquittement global de toutes les périphéries F d'un groupe d'exécution F

Connecteurs



Entrée : ACK_REI_GLOB BOOL 1=acquittement de réintégration 0

Fonctionnement Ce bloc d'application F génère un acquittement pour la réintégration simultanée de toutes les périphéries F/voies des périphéries F d'un groupe d'exécution F après des erreurs de communication ou des erreurs de périphérie F/de voie. Un acquittement utilisateur avec un front montant est requis sur l'entrée ACK_REI_GLOB pour la réintégration. L'acquittement est effectué de la même manière que l'acquittement utilisateur via la variable ACK_REI du DB de périphérie F mais se répercute simultanément sur toutes les périphéries F du groupe d'exécution F dans lequel le bloc d'application F est appelé. Si vous utilisez le bloc d'application F F_ACK_GL, il n'est pas nécessaire de prévoir un acquittement utilisateur via la variable ACK_REI du DB de périphérie F pour chaque périphérie F du groupe d'exécution F.

Remarque L'utilisation du bloc d'application F F_ACK_GL n'est possible que si votre programme de sécurité a été créé avec S7 Distributed Safety V5.4 ou une version supérieure, si vous avez configuré la passivation par voie pour au moins une périphérie F et si au moins une périphérie F est connectée à PROFINET IO. Le bloc système F F_IO_CGP se trouve dans le dossier Blocs du "Programme S7". Un acquittement via F_ACK_GL n'est possible que si la variable ACK_REI du DB de périphérie F = 0. De la même manière, un acquittement via la variable ACK_REI du DB de périphérie F n'est possible que si l'entrée ACK_REI_GLOB du bloc d'application F = 0 Le bloc d'application F de doit être appelé qu'une fois par groupe d'exécution F.

Voir aussi DB de périphérie F (Page 98) Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un maître DP ou d'un IO-Controller (Page 117) Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un esclave I (Page 120)



9.1.2.19 FB 223 "F_SENDDP" et FB 224 "F_RCVDP" : émission et réception de données via PROFIBUS DP

Introduction Vous mettez en œuvre les blocs d'application F F_SENDDP et F_RCVDP pour l'émission et la réception de sécurité de données via : ● Communication sécurisée maître-maître ● Communication sécurisée maître-esclave I ● Communication sécurisée esclave I-esclave I

Connecteurs du bloc d'application de sécurité F_SENDDP



Entrées : SD_BO_00 BOOL Donnée d'émission BOOL 00 0 ... SD_BO_15 BOOL Donnée d'émission BOOL 15 0 SD_I_00 INT Donnée d'émission INT 00 0 SD_I_01 INT Donnée d'émission INT 01 0 DP_DP_ID INT Valeur univoque sur l'ensemble du réseau

pour l'affectation des adresses entre un F_SENDDP et un F_RCVDP

0

TIMEOUT TIME Temps de surveillance en ms pour la communication sécurisée (voir aussi le manuel système Technique de sécurité dans SIMATIC S7)

0 ms

LADDR INT Adresse de début de la plage d'adresses : • du coupleur DP/DP pour la

communication sécurisée maître-maître • pour la communication sécurisée

maître-esclave I • pour la communication sécurisée

esclave I-esclave I

0

Sorties : ERROR BOOL 1=Erreur de communication 0 SUBS_ON BOOL 1=Récepteur émet des valeurs de

remplacement 1

RETVAL14 WORD Code d'erreur de la SFC 14 (Vous trouverez la description des codes d'erreur dans l'aide en ligne de la SFC 14)

0

RETVAL15 WORD Code d'erreur de la SFC 15 (Vous trouverez la description des codes d'erreur dans l'aide en ligne de la SFC 15)

0

DIAG BYTE Information de maintenance 0



Connecteurs du bloc d'application de sécurité F_RCVDP



Entrées : ACK_REI BOOL 1=Acquittement pour la réintégration des données d'émission après des erreurs de communication

0

SUBBO_00 BOOL Valeur de remplacement pour la données de réception BOOL 00

0

... SUBBO_15 BOOL Valeur de remplacement pour la données

de réception BOOL 15 0

SUBI_00 INT Valeur de remplacement pour la données de réception INT 00

0

SUBI_01 INT Valeur de remplacement pour la données de réception INT 01

0

DP_DP_ID INT Valeur univoque sur l'ensemble du réseau pour l'affectation des adresses entre un F_SENDDP et un F_RCVDP

0

TIMEOUT TIME Temps de surveillance en ms pour la communication sécurisée (voir aussi le manuel système Technique de sécurité dans SIMATIC S7)

0 ms

LADDR INT Adresse de début de la plage d'adresses : • du coupleur DP/DP pour la

communication sécurisée maître-maître

• pour la communication sécurisée maître-esclave I

• pour la communication sécurisée esclave I-esclave I

0

Sorties : ERROR BOOL 1=Erreur de communication 0 SUBS_ON BOOL 1=Mise à disposition des valeurs de

remplacement 1

ACK_REQ BOOL 1=Acquittement requis pour la réintégration des données d'émission

0

SENDMODE BOOL 1=F_CPU avec F_SENDDP en mode de sécurité désactivé

0

RD_BO_00 BOOL Donnée de réception BOOL 00 0 ... RD_BO_15 BOOL Donnée de réception BOOL 15 0 RD_I_00 INT Donnée de réception INT 00 0 RD_I_01 INT Donnée de réception INT 01 0 RETVAL14 WORD Code d'erreur de la SFC 14 (vous

trouverez la description des codes d'erreur dans l'aide en ligne de la SFC 14)

0

RETVAL15 WORD Code d'erreur de la SFC 15 (vous trouverez la description des codes d'erreur dans l'aide en ligne de la SFC 15)

0




Fonctionnement Le bloc d'application de sécurité F_SENDDP émet de manière sécurisée 16 données du type BOOL et 2 données du type INT à une autre CPU de sécurité via PROFIBUS DP. L'autre CPU de sécurité peut recevoir ces données avec le bloc d'application de sécurité F_RCVDP correspondant. Dans le F_SENDDP, les données à émettre (p. ex. les sorties d'autres blocs de sécurité) sont disponibles aux entrées SD_BO_xx ou SD_I_xx. Dans le F_RCVDP, les données reçues sont disponibles aux sorties RD_BO_xx ou RD_I_xx pour leur traitement par d'autres blocs de sécurité. La sortie SENDMODE indique le mode de fonctionnement de la CPU de sécurité avec le F_SENDDP. Lorsque la CPU de sécurité avec le F_SENDDP est en mode de sécurité désactivé, la sortie SENDMODE = 1. La communication entre les CPU de sécurité est réalisée en arrière-plan, de manière transparente, via un protocole de sécurité spécial. A cet effet, vous devez définir la communication entre un F_SENDDP dans une CPU de sécurité et un F_RCVDP dans une autre CPU de sécurité en affectant une adresse par défaut aux entrées DP_DP_ID du F_SENDDP et du F_RCVDP. Les F_SENDDP et F_RCVDP correspondants obtiennent la même valeur pour DP_DP_ID.

ATTENTION Vous pouvez sélectionner une valeur quelconque pour la relation d'adresse respective (paramètre d'entrée DP_DP_ID ; type de donnée : INT), cependant elle doit être univoque dans l'ensemble du réseau pour toutes les relations de communication sécurisées. A l'appel du bloc d'application F, vous devez connecter les entrées DP_DP_ID et LADDR à des valeurs constantes. Dans le programme de sécurité, les accès directs ne sont possibles ni en lecture, ni en écriture dans le DB d'instance correspondant !

Remarque

Dans un programme de sécurité, vous devez paramétrer une adresse de début à l'entrée LADDR pour chaque appel de F_SENDDP et F_RCVDP. Pour chaque appel de F_SENDDP et F_RCVDP, vous devez utiliser un DB d'instance distinct. Vous ne devez pas affecter des données locales du bloc de programmation F aux paramètres d'entrée et de sortie de F_RCVDP. Pour un paramètre de sortie d'un F_RCVDP, vous ne devez pas utiliser de paramètre effectif déjà utilisé pour un paramètre d'entrée du même ou d'un autre appel de F_RCVDP ou F_RCVS7. Si ceci n'est pas respecté, la CPU F peut passer en STOP. L'un des événements de diagnostic suivants sera alors écrit dans le tampon de diagnostic de la CPU F : • "Altération de données dans le programme de sécurité avant sortie vers la périphérie F" • "Altération de données dans le programme de sécurité avant sortie vers une CPU F




Comportement au démarrage Après le démarrage des systèmes de sécurité d'émission et de réception, vous devez établir pour la première fois la communication entre les partenaires de liaison F_SENDDP et F_RCVDP. Durant cet intervalle de temps, le récepteur F_RCVDP fournit les valeurs de remplacement à ses entrées SUBBO_xx et SUBBI_xx. F_SENDDP et F_RCVDP signalent ceci par 1 à la sortie SUBS_ON. La sortie SENDMODE a la valeur par défaut 0 et n'est pas actualisée tant que la sortie SUBS_ON = 1.

Comportement en cas d'erreurs de communication Lorsqu'une erreur de communication survient, p. ex. en raison d'une erreur de valeur de contrôle (CRC) ou après écoulement du temps de surveillance TIMEOUT, les sorties ERROR et SUBS_ON sont mises à 1 dans les deux blocs d'application F. Le récepteur F_RCVDP fournit alors les valeurs de remplacement paramétrées à ses entrées SUBBO_xx. Pendant que la sortie SUBS_ON = 1, la sortie SENDMODE n'est pas actualisée. Les données d'émission de F_SENDDP se trouvant aux entrées SD_BO_xx et SUBI_xx ne seront de nouveau mises à disposition que lorsqu'aucune erreur de communication ne sera plus constatée (ACK_REQ = 1) et lorsque vous réaliserez un acquittement avec un front positif à l'entrée ACK_REI.

ATTENTION Pour l'acquittement de l'utilisateur, vous devez connecter l'entrée ACK_REI à un signal généré par une commande. Une connexion avec un signal généré automatiquement n'est pas autorisée.

Attention, la sortie ERROR (1=erreur de communication) est activée pour la première fois en cas d'erreur de communication si la communication entre les partenaires de liaison F_SENDDP et F_RCVDP a déjà été établie une fois. Si la communication ne peut pas être établie après un démarrage des systèmes de sécurité émetteur et récepteur, vérifiez la configuration de la communication sécurisée CPU-CPU, le paramétrage du F-SENDDP et du F_RCVDP et la liaison au bus. Vous trouverez également des informations sur les causes probables d'erreurs par l'exploitation des sorties RETVAL14 ou RETVAL15. En règle générale, exploitez toujours RETVAL14 et RETVAL15, car une seule des deux sorties peut contenir une information sur les erreurs.



Diagrammes en fonction du temps F_SENDDP /F_RCVDP

Sortie DIAG Les sorties DIAG des deux blocs d'application de sécurité F_SENDDP et F_RCVDP mettent à votre disposition une information non sécurisée sur le type des erreurs de communication survenues, à des fins de maintenance. Vous pouvez la lire au moyen de systèmes de contrôle-commande ou, le cas échéant, l'exploiter dans votre programme utilisateur standard. Les bits de DIAG restent enregistrés jusqu'à ce que vous acquittiez l'entrée ACK_REI.



Formation de DIAG dans le bloc d'application de sécurité F_SENDDP/F_RCVDP N° de bit

Affectation F_SENDDP et F_RCVDP

Origine possible de l'erreur Remède

Bit 0 Réserve - - Bit 1 Réserve - - Bit 2 Réserve - - Bit 3 Réserve - - Bit 4 Timeout reconnu par

F_SENDDP/F_RCVDP La liaison au bus de la CPU F partenaire est perturbée.

Vérifier la liaison au bus et s'assurer de l'absence de sources de perturbation externes.

Temps de surveillance de la CPU F et de la CPU F partenaire paramétré trop petit.

Vérifier le temps de surveillance TIMEOUT paramétré pour F_SENDDP et F_RCVDP des deux CPU F. Le cas échéant, paramétrer une valeur plus élevée. Générer de nouveau le programme de sécurité.

La configuration du coupleur DP/DP est invalide.

Vérifier la configuration du coupleur DP/DP.

Erreur interne du coupleur DP/DP Remplacer le coupleur DP/DP. STOP ou erreur interne du CP Mettre le CP sur RUN, vérifier le tampon de

diagnostic du CP, le cas échéant, remplacer le CP.

STOP ou erreur interne de la CPU F/CPU F partenaire

Mettre les CPU F sur RUN, vérifier le tampon de diagnostic des CPU F, le cas échéant, remplacer les CPU F

Bit 5 Erreur numéro de séquence, reconnu par F_SENDDP/F_RCVDP


Bit 6 Erreur CRC reconnue par F_SENDDP/F_RCVDP


Bit 7 Réserve - -

Remarque L'accès aux sorties DIAG, RETVAL14 et RETVAL15 n'est pas autorisé dans le programme de sécurité !

Informations supplémentaires Vous trouverez d'autres informations supplémentaires sur la configuration et la programmation de la communication sécurisée entre des programmes de sécurité dans différentes CPU F aux renvois indiqués sous "Voir aussi".



Voir aussi Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un maître DP ou d'un IO-Controller (Page 117) Vue d'ensemble de la communication sécurisée (Page 127) Configuration des zones d'adresses (communication sécurisée maître-maître) (Page 130) Configuration des zones d'adresses (communication sécurisée maître-esclave I) (Page 140) Configuration des zones d'adresses (communication sécurisée esclave I-esclave I) (Page 150)

9.1.2.20 FB 225 "F_SENDS7" et FB 226 "F_RCVS7" : Communication via liaisons S7

Introduction Pour l'émission et la réception de sécurité de données via des liaisons S7, vous utilisez les blocs d'application F F_SENDS7 et F_RCVS7.

Remarque Dans S7 Distributed Safety, les liaisons S7 sont généralement uniquement autorisées via Industrial Ethernet ! La communication sécurisée via des liaisons S7 est possible de et vers les CPU suivantes : • CPU 315F-2 PN/DP (uniquement via l'interface PN de la CPU) • CPU 317F-2 PN/DP (uniquement via l'interface PN de la CPU) • CPU 416F-3 PN/DP (uniquement via l'interface PN de la CPU) • CPU 416F-2 à partir de la version du firmware V4.0

Connecteurs du bloc d'application de sécurité F_SENDS7



Entrées : SEND_DB BLOCK_DB Numéro du DB de communication F 0 TIMEOUT TIME Temps de surveillance en ms pour la

communication sécurisée (voir aussi le manuel système Technique de sécurité dans SIMATIC S7)

0 ms

EN_SEND BOOL 1=validation d'émission 1 ID WORD ID locale de la liaison S7 (de NetPro) 0 R_ID DWORD Valeur univoque sur l'ensemble du

réseau pour une affectation des adresses entre un F_SENDS7 et un F_RCVS7

0





Sorties : ERROR BOOL 1=Erreur de communication 0 SUBS_ON BOOL 1=Récepteur émet des valeurs de

remplacement 1

STAT_RCV WORD Code d'erreur de SFB/FB URCV (SFB 9/FB 9) (la description des codes d'erreur est donnée dans l'aide en ligne du SFB 9)

0

STAT_SND WORD Code d'erreur de SFB/FB USEND (SFB 8/FB 8) (la description des codes d'erreur est donnée dans l'aide en ligne du SFB 8 )

0


Connecteurs du bloc d'application de sécurité F_RCVS7



Entrées : ACK_REI BOOL Acquittement pour la réintégration des données d'émission après des erreurs de communication

0

RCV_DB BLOCK_DB Numéro du DB de communication F 0 TIMEOUT TIME Temps de surveillance en ms pour la

communication sécurisée (voir aussi le manuel système Technique de sécurité dans SIMATIC S7)

0 ms

ID WORD ID locale de la liaison S7 (de NetPro) 0 R_ID DWORD Valeur univoque sur l'ensemble du

réseau pour une affectation des adresses entre un F_SENDS7 et un F_RCVS7

0

Sorties : ERROR BOOL 1=Erreur de communication 0 SUBS_ON BOOL 1=Mise à disposition des valeurs de

remplacement 1

ACK_REQ BOOL 1=Acquittement requis pour la réintégration des données d'émission

0

SENDMODE BOOL 1=CPU F avec F_SENDS7 en mode de sécurité désactivé

0

STAT_RCV WORD Code d'erreur de SFB/FB URCV (SFB 9/FB 9) (la description des codes d'erreur est donnée dans l'aide en ligne du SFB 9)

0

STAT_SND WORD Code d'erreur de SFB/FB USEND (SFB 8/FB 8) (la description des codes d'erreur est donnée dans l'aide en ligne du SFB 8 )

0




Fonctionnement Le F_SENDS7 émet de manière sécurisée les données d'émission se trouvant dans un DB de communication F via une liaison S7 aux DB de communication F du F_RCVS7 correspondant. Un DB de communication F est un DB F pour la communication sécurisée CPU-CPU avec des propriétés spéciales. Les propriétés, la création et l'édition des DB de communication F sont décrites au chapitre "Programmation de la communication sécurisée CPU-CPU via des liaisons S7". Vous devez indiquer les numéros des DB de communication F aux entrées SEND_DB et RCV_DB des blocs d'application F F_SENDS7 et F_RCVS7. La sortie SENDMODE du F_RCVS7 fournit le mode de fonctionnement de la CPU F avec le F_SENDS7. Lorsque la CPU F avec le F_SENDS7 est en mode de sécurité désactivé, la sortie SENDMODE = 1. A l'entrée EN_SEND de F_SENDS7, vous pouvez temporairement désactiver la communication entre les CPU F afin de réduire la charge pour le bus. Pour cela, affectez la valeur "0" à l'entrée EN_SEND (réglage par défaut = "1"). Plus aucune donnée d'émission n'est alors transmise au DB de communication F du F_RCVS7 correspondant et, durant cette période, le récepteur F_RCVS7 met à disposition les valeurs de remplacement (prédéfinies dans son DB de communication F). Si une communication était déjà établie entre les partenaires de liaison, une erreur de communication est détectée. Vous devez indiquer l'ID local - du point de vue de la CPU F - de la liaison S7 (de la table des liaisons sous NetPro) sur l'ID d'entrée du F_SENDS7 ou du F_RCVS7. La communication entre les CPU de sécurité est réalisée en arrière-plan, de manière transparente, via un protocole de sécurité spécial. A cet effet, vous devez définir la communication entre un F_SENDS7 dans une CPU F et un F_RCVS7 dans une autre CPU F en réglant un nombre impair par défaut sur les entrées R_ID du F_SENDS7 et du F_RCVS7. Les F_SENDS7 et F_RCVS7 correspondants obtiennent la même valeur pour le R_ID.

ATTENTION Vous pouvez sélectionner une valeur quelconque pour la relation d'adresse respective (paramètre d'entrée R_ID ; type de donnée : DWORD), cependant elle doit être impaire et univoque dans l'ensemble du réseau pour toutes les relations de communication sécurisées. La valeur R_ID + 1 est attribuée de manière interne et ne doit pas être utilisée. A l'appel du bloc d'application F, vous devez connecter les entrées ID et R_ID à des valeurs constantes. Dans le programme de sécurité, les accès directs ne sont possibles ni en lecture, ni en écriture dans le DB d'instance correspondant !



Remarque Vous devez utiliser un DB d'instance séparé pour chaque appel d'un F_SENDS7 ou d'un F_RCVS7. Vous ne devez pas appeler ces blocs d'application F en tant que multiinstances. Vous ne devez pas affecter des données locales du bloc de programmation F aux paramètres d'entrée et de sortie du F_RCVS7. Pour un paramètre de sortie d'un F_RCVS7, vous ne devez pas utiliser de paramètre effectif déjà utilisé pour un paramètre d'entrée du même ou d'un autre appel de F_RCVS7 ou F_RCVDP. Si ceci n'est pas respecté, la CPU F peut passer en STOP. L'un des événements de diagnostic suivants sera alors écrit dans le tampon de diagnostic de la CPU F : • "Altération de données dans le programme de sécurité avant sortie vers la périphérie F" • "Altération de données dans le programme de sécurité avant sortie vers une CPU F

partenaire"

• "Programme de sécurité : Erreur interne de CPU ; Information d'erreur interne : 404"

Comportement au démarrage Après le démarrage des systèmes de sécurité d'émission et de réception, vous devez établir pour la première fois la communication entre les partenaires de liaison F_SENDS7 et F_RCVS7. Durant cet intervalle de temps, le récepteur F_RCVS7 met les valeurs de remplacement à disposition (valeurs par défaut dans son DB de communication F). F_SENDS7 et F_RCVS7 signalent ceci en réglant 1 sur la sortie SUBS_ON. La sortie SENDMODE du F_RCVS7 a la valeur par défaut 0 et n'est pas mise à jour tant que la sortie SUBS_ON = 1.



Comportement en cas d'erreurs de communication Lorsqu'une erreur de communication survient, p. ex. en raison d'une erreur de valeur de contrôle (CRC) ou après écoulement du temps de surveillance TIMEOUT, les sorties ERROR et SUBS_ON sont mises à 1 dans F_SENDS7 et F_RCVS7. Le récepteur F_RCVS7 met alors les valeurs de remplacement à disposition (valeurs par défaut dans son DB de communication F). Pendant que la sortie SUBS_ON = 1, la sortie SENDMODE n'est pas actualisée. Les données d'émission se trouvant dans le DB de communication F de F_SENDS7 ne seront de nouveau mises à disposition que lorsqu'aucune erreur de communication ne sera plus constatée (ACK_REQ = 1) et lorsque vous réaliserez un acquittement avec un front positif à l'entrée ACK_REI de F_RCVS7.

ATTENTION Pour l'acquittement de l'utilisateur, vous devez connecter l'entrée ACK_REI à un signal généré par une commande. Une connexion avec un signal généré automatiquement n'est pas autorisée.

Attention, la sortie ERROR (1=erreur de communication) est activée pour la première fois en cas d'erreur de communication si la communication entre les partenaires de liaison F_SENDS7 et F_RCVS7 a déjà été établie une fois. Si la communication ne peut pas être établie après un démarrage des systèmes de sécurité émetteur et récepteur, vérifiez la configuration de la communication sécurisée CPU-CPU, le paramétrage du F-SENDS7 et du F_RCVS7 et la liaison au bus. Vous trouverez également des informations sur les causes probables d'erreurs par l'exploitation des sorties STAT_RCV ou STAT_SND. En règle générale, exploitez toujours STAT_RCV et STAT_SND, car une seule des deux sorties peut contenir une information sur les erreurs. Si un des bits de DIAG est activé à la sortie DIAG, vérifiez également si la longueur et la structure du DB de communication F correspondent côté émetteur.



Diagrammes en fonction du temps F_SENDS7 et F_RCVS7

Sortie DIAG La sortie DIAG met à votre disposition une information non sécurisée relative au type d'erreurs de communication survenues à des fins de maintenance. Vous pouvez la lire au moyen de systèmes de contrôle-commande ou, le cas échéant, l'exploiter dans votre programme utilisateur standard. Les bits de DIAG restent enregistrés jusqu'à ce que vous réalisiez un acquittement à l'entrée ACK_REI du F_RCVS7 correspondant.



Structure de DIAG

N° de bit

Affectation F_SENDS7 et F_RCVS7

Origine possible de l'erreur

Remède

Bit 0 Réserve - - Bit 1 Réserve - - Bit 2 Réserve - - Bit 3 Réserve - - Bit 4 Timeout de F_SENDS7 et

F_RCVS7 reconnu La liaison au bus de la CPU F partenaire est perturbée

Vérifier la liaison au bus et s'assurer de l'absence de sources de perturbation externes.

Temps de surveillance de la CPU F et de la CPU F partenaire paramétré trop petit

Vérifier le temps de surveillance TIMEOUT paramétré pour F_SENDS7 et F_RCVS7 des deux CPU F. Le cas échéant, paramétrer une valeur plus élevée. Générer de nouveau le programme de sécurité.

STOP ou erreur interne des CP

Mettre les CP sur RUN Vérifier le tampon de diagnostic des CP Le cas échéant, remplacer les CP

STOP ou erreur interne de la CPU F/CPU F partenaire

Mettre les CPU F sur RUN Vérifier le tampon de diagnostic des CPU F Le cas échéant, remplacer les CPU F

La communication a été arrêtée avec EN_SEND = 0.

Activer de nouveau la communication au F_SENDS7 correspondant avec EN_SEND = 1.

La liaison S7 a été modifiée, p. ex. l'adresse IP du CP a été modifiée

Générer de nouveau les programmes de sécurité et les charger dans les CPU F.

Bit 5 Erreur de numéro de séquence, reconnu par F_SENDS7 et F_RCVS7

Voir la description du bit 4


Bit 6 Erreur de CRC, reconnu par F_SENDS7 et F_RCVS7



Bit 7 Réserve - -

Remarque Dans le programme de sécurité, un accès aux sorties DIAG, STAT_RCV et STAT_SND n'est pas autorisé !



Informations supplémentaires Vous trouverez d'autres informations sur la programmation de la communication sécurisée via liaisons S7 au renvoi indiqué sous "Voir aussi".

Voir aussi Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un maître DP ou d'un IO-Controller (Page 117) Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un esclave I (Page 120) Vue d'ensemble de la communication sécurisée (Page 127) Configuration de la communication sécurisée via des liaisons S7 (Page 166)



9.1.2.21 FC 174 "F_SHL_W" : Décalage vers la gauche de 16 bits

Connecteurs



Entrées : IN WORD Valeur à décaler - N INT Nombre de décalage - Sorties : OUT WORD Résultat de l'opération de décalage -

Fonctionnement Ce bloc d'application F décale bit par bit vers la gauche le contenu des bits de la valeur transmise à l'entrée IN. Les bits devenus libres lors du décalage sont complétés par des zéros. Le nombre de décalage N indique de combien de bits le décalage est effectué. Le résultat de l'opération de décalage est fourni sur la sortie OUT. Dans le cas d'un nombre de décalage 15 < N ≤ 255, la sortie OUT est toujours 0. Dans le cas d'un nombre de décalage N < 0 ou N > 255, notez que seul l'octet de poids faible de la valeur transmise à l'entrée N est exploitée comme nombre de décalage.



9.1.2.22 FC 175 "F_SHR_W" : Décalage vers la droite de 16 bits

Connecteurs



Entrées : IN WORD Valeur à décaler - N INT Nombre de décalage - Sorties : OUT WORD Résultat de l'opération de décalage -

Fonctionnement Ce bloc d'application F décale bit par bit vers la droite le contenu des bits de la valeur transmise à l'entrée IN. Les bits devenus libres lors du décalage sont complétés par des zéros. Le nombre de décalage N indique de combien de bits le décalage est effectué. Le résultat de l'opération de décalage est fourni sur la sortie OUT. Dans le cas d'un nombre de décalage 15 < N ≤ 255, la sortie OUT est toujours 0. Dans le cas d'un nombre de décalage N < 0 ou N > 255, notez que seul l'octet de poids faible de la valeur transmise à l'entrée N est exploitée comme nombre de décalage.



9.1.2.23 FC 176 "F_BO_W" : Conversion de 16 données de type BOOL en donnée de type WORD

Connecteurs



Entrées : IN0 BOOL Bit 0 de la valeur WORD 0 IN1 BOOL Bit 1 de la valeur WORD 0 ... IN15 BOOL Bit 15 de la valeur WORD 0 Sorties : OUT WORD Valeur WORD formée de IN0 à IN15 0

Fonctionnement Ce bloc d'application F convertit les 16 valeurs de type BOOL aux entrées IN0 à IN15 en une valeur de type WORD et fournit cette dernière à la sortie OUT. La conversion est réalisée de la manière suivante : le bit i de la valeur WORD est mis à 0 (ou 1) lorsque la valeur est à l'entrée INi0 0 (ou 1). Commentaire : pour transmettre les constantes booléennes "0" et "1" aux entrées IN0 à IN15, vous pouvez accéder aux variables "VKE0" et "VKE1" dans le DB global F via un accès au DB entièrement qualifié ("F_GLOBDB".VKE0 ou "F_GLOBDB".VKE1).

9.1.2.24 FC 177 "F_W_BO" : Conversion d'une données de type WORD en 16 données de type BOOL

Connecteurs



Entrées : IN WORD Valeur WORD 0 Sorties : OUT0 BOOL Bit 0 de la valeur WORD 0 OUT1 BOOL Bit 1 de la valeur WORD 0 ... OUT15 BOOL Bit 15 de la valeur WORD 0

Fonctionnement Ce bloc d'application F convertit la valeur de type WORD à l'entrée IN en 16 valeurs de type BOOL et fournit ces dernières aux sorties OUT0 à OUT15. La conversion est réalisée de la manière suivante : la sortie OUTi est mise à 0 (ou 1) lorsque le bit i de la valeur WORD est 0 (ou 1).



9.1.2.25 FC 178 "F_INT_WR" : Ecriture indirecte du type de données INT dans un DB F

Connecteurs


Description

Entrées : IN INT Valeur qui sera écrite dans le DB F ADDR_INT POINTER Adresse de début de la plage INT dans un DB F END_INT POINTER Adresse de fin de la plage INT dans un DB F OFFS_INT INT Offset de l'adresse dans la plage INT

Fonctionnement Ce bloc d'application F écrit la valeur de type INT présente à l'entrée IN dans la variable adressée à l'aide de ADDR_INT et OFFS_INT dans un DB F. L'adresse des variables adressées par ADDR_INT et OFFS_INT doit se trouver dans la plage définie par les adresses ADDR_INT et END_INT. Si la CPU F s'est mise à l'arrêt avec l'événement de diagnostic ID d'événement 75E2, vérifiez que cette condition est respectée. L'entrée ADDR_INT permet de transmettre l'adresse de début de la plage de variables de type INT dans un DB F dans lequel il s'agit d'écrire la valeur transmise sur l'entrée IN. L'entrée OFFS_INT permet de transmettre l'offset de l'adresse dans cette plage. Les adresses transmises dans les entrées ADDR_INT et END_INT doivent pointer sur une variable de type de données INT dans un DB F. Entre les adresses ADDR_INT et END_INT ne doivent figurer que des variables de type de données INT. L'adresse ADDR_INT doit être inférieure à l'adresse END_INT. Les adresses transmises dans ADDR_INT et END_INT doivent être complètes, comme représenté dans l'exemple suivant, c'est-à-dire "DBx.DBWy" ou sous forme symbolique correspondante. La transmission d'adresses sous toute autre forme n'est pas autorisée.



Exemple de paramétrage de ADDR_INT, END_INT et OFFS_INT

<-OFFS_INT = 3

<- END_INT = “F-DB”,VAR_INT15


<-OFFS_INT = 1


0.0

+0.0

stat

stat

stat

stat

stat

stat

stat

stat

stat

stat

stat

stat

stat

stat

stat

stat

stat

stat

stat

stat

stat

stat

stat

stat

stat

stat

stat

stat

FALSE

FALSE

FALSE

FALSE

T#0MS

T#0MS

0

0

0

0

0

0

FALSE

FALSE

FALSE

FALSE

0

0

0

0

0

0

0

0

0

T#0MS

STRUCT

BOOL

BOOL

BOOL

BOOL

TIME

TIME

INT

INT

INT

INT

INT

INT

BOOL

BOOL

BOOL

BOOL

INT

INT

INT

INT

INT

INT

INT

INT

INT

TIME

END_STRUCT

VAR_BOOL10

VAR_BOOL11

VAR_BOOL12

VAR_BOOL13

VAR_TIME10

VAR_TIME11

VAR_INT10

VAR_INT11

VAR_INT12

VAR_INT13

VAR_INT14

VAR_INT15

VAR_BOOL20

VAR_BOOL21

VAR_BOOL22

VAR_BOOL23

VAR_INT20

VAR_INT21

VAR_INT22

VAR_INT23

VAR_INT30

VAR_INT31

VAR_INT32

VAR_INT33

VAR_INT34

VAR_TIME20

+0.1

+0.2

+0.3

+2.0

+6.0

+10.0

+12.0

+14.0

+16.0

+18.0

+20.0

+22.0

+22.1

+22.2

+22.3

+24.0

+26.0

+28.0

+30.0

+32.0

+34.0

+36.0

+38.0

+40.0

+42.0

-46.0

CommentaireDeclaration Valeur initialeTypeNomAdresse

<- ADDR_INT = “F-DB”,VAR_INT10 Exemple 1

<- ADDR_INT = “F-DB”,VAR_INT20 <-OFFS_INT = 0 Exemple 2

<- ADDR_INT = “F-DB”,VAR_INT30 Exemple 3



9.1.2.26 FC 179 "F_INT_RD" : lecture indirecte d'une valeur de type de données INT depuis un DB F

Connecteurs


Description

Entrées : ADDR_INT POINTER Adresse de début de la plage INT dans un DB F END_INT POINTER Adresse de fin de la plage INT dans un DB F OFFS_INT INT Offset de l'adresse dans la plage INT Sorties : OUT INT Valeur à lire dans le DB F

Fonctionnement Ce bloc d'application F lit la variable de type INT adressée à l'aide de ADDR_INT et OFFS_INT dans un DB F et la met à disposition à la sortie OUT. L'adresse des variables adressées par ADDR_INT et OFFS_INT doit se trouver dans la plage définie par les adresses ADDR_INT et END_INT. Si la CPU F s'est mise à l'arrêt avec l'événement de diagnostic ID d'événement 75E2, vérifiez que cette condition est respectée. L'entrée ADDR_INT permet de transmettre l'adresse de début de la plage de variables de type INT dans un DB F dans lequel il s'agit de lire la variable. L'entrée OFFS_INT permet de transmettre l'offset de l'adresse dans cette plage. Les adresses transmises dans les entrées ADDR_INT et END_INT doivent pointer sur une variable de type de données INT dans un DB F. Entre les adresses ADDR_INT et END_INT ne doivent figurer que des variables de type de données INT. L'adresse ADDR_INT doit être inférieure à l'adresse END_INT. Les adresses transmises dans ADDR_INT et END_INT doivent être complètes en tant que "DBx.DBWy" ou sous forme symbolique correspondante. La transmission d'adresses sous toute autre forme n'est pas autorisée. Vous trouverez des exemples de paramétrage de ADDR_INT, END_INT et OFFS_INT au renvoi indiqué sous "Voir aussi".

Voir aussi FC 178 "F_INT_WR" : Ecriture indirecte du type de données INT dans un DB F (Page 246)



9.1.3 Blocs système F

Fonction Les blocs système F sont complétés automatiquement lors de la compilation du programme de sécurité pour créer un programme de sécurité exécutable à partir de celui que vous avez programmé. Les blocs système F complètent votre programme de sécurité par des mesures de suppression d'erreurs et effectuent des vérifications de sécurité supplémentaires.

Présentation des blocs système F Les blocs système F suivants sont disponibles : ● F_CTRL_1 ● F_CTRL_2 ● F_IO_BOI ● FSIO_BOI ● F_RTGCO2 ● F_IO_CGP ● FSIO_CGP ● F_DIAG_N ● FISCA_I ● FICTU ● FICTD ● FICTUD ● FITP ● FITON ● FITOF ● FIACK_OP ● FI2HAND ● FIMUTING ● FI1oo2DI ● FI2H_EN ● FIMUT_P ● FIACK_GL ● FISHL_W ● FISHR_W ● FIBO_W ● FIW_BO ● FIINT_WR ● FIINT_RD Les blocs système F sont complétés automatiquement lors de la génération du programme de sécurité, puis stockés dans la plage de numéros que vous avez réservée pour les "Blocs fonctionnels F" de manière à générer un programme de sécurité exécutable à partir du programme de sécurité que vous avez programmé.



Remarque N'intégrez pas de blocs système F issus du dossier Blocs F-System Blocks dans un PB F/FB F/FC F et ne modifiez (renommez) pas ni ne supprimez les blocs système F de la bibliothèque F Distributed Safety (V1) ou du dossier de votre projet utilisateur !

Voir aussi Vue d'ensemble de la configuration (Page 23)

9.1.4 DB global F

Fonction Le DB global F est un bloc de données de sécurité qui contient toutes les données globales du programme de sécurité ainsi que des informations supplémentaires requises par le système F. Le DB global F est inséré et complété automatiquement lors de l'enregistrement et la compilation de la configuration matérielle sous HW Config. Par le biais de son nom symbolique F_GLOBDB, vous pouvez traiter certaines données du programme de sécurité dans le programme utilisateur standard.

ATTENTION Vous ne devez pas copier le DB global F d'un programme de sécurité dans un autre programme de sécurité (exception : copie du programme S7 complet).

Voir aussi Transfert de données du programme de sécurité au programme utilisateur standard (Page 123) Transfert de données du programme utilisateur standard au programme de sécurité (Page 125)



9.1.5 Bibliothèques F personnalisées

Introduction Vous avez la possibilité de créer vous-même des bibliothèques F pour S7 Distributed Safety.

Marche à suivre pour créer une bibliothèque F Vous créez votre propre bibliothèque F de la manière suivante : 1. Dans SIMATIC Manager, choisissez la commande de menu Fichier >Nouveau. 2. Dans l'onglet "Bibliothèques", sélectionnez "Bibliothèque F" dans la liste déroulante

"Type". 3. Attribuez un nom à cette bibliothèque F. 4. Définissez le "Lieu d'archivage (chemin)". 5. Quittez la boîte de dialogue en cliquant sur "OK". La bibliothèque F est créée.

Travailler avec des bibliothèques F créées par l'utilisateur Pour utiliser les FB F/FC F/modèles d'application des bibliothèques F créées par l'utilisateur, vous devez avoir installé sur votre PG/PC la version de S7 Distributed Safety avec laquelle ont été créés les FB F, les FC F ou les modèles d'application. Vous devez vérifier vous-même l'actualité d'une bibliothèque F créée par l'utilisateur existante. Le cas échéant, vous devez remplacer une bibliothèque F créée par l'utilisateur par une version plus récente disponible. S7 Distributed Safety ne contrôle pas la version des FB F/FC F dans une bibliothèque F créée par l'utilisateur. Lors de la génération d'un programme de sécurité, les FB F/FC F d'une bibliothèque créée par l'utilisateur ne sont pas automatiquement remplacés par les FB F/FC C correspondants d'une version plus récente de cette bibliothèque F. Copiez le cas échéant les FB F/FC F d'une version plus récente de la bibliothèque F créée par l'utilisateur dans le dossier Blocs de votre programme de sécurité Vous ne devez pas utiliser les noms symboliques de blocs d'application F de la bibliothèque F Distributed Safety (V1) pour les FB F, les FC F et les blocs pour le programme utilisateur standard que vous créez. Il n'y aucune différence de manipulation des FB F/FC F/des bibliothèques F créées par l'utilisateur par rapport à la bibliothèque F de Distributed Safety (V1).

Désinstallation de S7 Distributed Safety Lorsque vous désinstallez S7 Distributed Safety, les bibliothèques F créées par l'utilisateur sont conservées.




Génération et mise en service du programme de sécurité 1010.1 La boîte de dialogue "Programme de sécurité"

Introduction La boîte de dialogue "Programme de sécurité" affiche les informations sur le programme de sécurité et contient des fonctions importantes vous permettant d'éditer votre programme de sécurité.

Remarque Les blocs F sont représentés avec un fond jaune dans SIMATIC Manager et dans la boîte de dialogue "Programme de sécurité". • Dans SIMATIC Manager, les blocs avec une protection contre le piratage sont de plus

représentés avec une icône de verrou. Une fois le programme de sécurité généré (compilé), tous les blocs qu'il contient sont protégés contre le piratage, à l'exception des blocs F (PB F, FB F, FC F, DB F) que vous avez créés vous-même et que vous n'avez pas protégés vous-même contre le piratage.

• Dans la boîte de dialogue "Programme de sécurité", les blocs F possédant l'attribut F sont de plus représentés avec un "F" dans le mnémonique du bloc.

Après la génération (compilation) réussie du programme de sécurité, seuls les blocs du programme de sécurité possèdent l'attribut F.



Marche à suivre pour l'appel de la boîte de dialogue "Programme de sécurité" 1. Sélectionnez la CPU F correcte ou le programme S7 qui lui est affecté. 2. Dans SIMATIC Manager, choisissez la commande de menu Outils > Editer le programme

de sécurité ou, à partir de STEP 7 V5.4, cliquez sur le bouton correspondant dans la barre d'outils. La boîte de dialogue "Programme de sécurité" s'ouvre.



Données relatives aux blocs F du programme de sécurité Cette boîte de dialogue affiche tous les blocs F du dossier Blocs. En cliquant sur les onglets "Hors ligne"/"En ligne", vous pouvez choisir d'afficher les blocs F du dossier Blocs hors ligne ou en ligne. ● Le(s) dossier(s) "Groupe d'exécution F..." contiennent la structure du groupe d'exécution

F du programme de sécurité. Vous pouvez obtenir la vue des groupes d'exécution F dans la boîte de dialogue uniquement pour le programme de sécurité hors ligne avec DB F global et au moins un groupe d'exécution F défini. Les noms des dossiers des groupes d'exécution F sont formés du "Groupe d'exécution F" + Nom du F-CALL du groupe d'exécution F. Le dossier "Groupe d'exécution F..." affiche : tous les FB F, FC F, blocs d'application F, DB d'instance, DB F, le F-CALL et, le cas échéant, le DB pour la communication entre groupes d'exécution F du groupe d'exécution F correspondant. De plus, le dossier "Groupe d'exécution F ..." contient un dossier "DB de périphérie F". Ce dossier affiche tous les DB de périphérie F auxquels accède le groupe d'exécution F.

Remarque S'il n'existe pas de programme de sécurité cohérent, le contenu des dossiers "Groupe d'exécution F ..." et "DB de périphérie F" risque d'être incomplet.

● Le dossier "Global" contient tous les blocs F du dossier Blocs hors ligne. Les propriétés suivantes de chaque bloc F sont affichées : – désignation du bloc (type/numéro) avec/sans attribut F avec/sans protection contre le

piratage dans le mnémonique du bloc – nom symbolique du bloc – fonction dans le programme de sécurité – signature du bloc F – protection contre le piratage désactivée/activée (uniquement pour le programme de

sécurité hors ligne)

Remarque Vous ne devez pas modifier les noms symboliques des blocs F de la bibliothèque F Distributed Safety (V1) et des blocs F générés automatiquement. Le nom symbolique de ces blocs F doit toujours correspondre avec le nom de l'en-tête, sinon la génération (compilation) d'un programme de sécurité est interrompue.



Indications relatives au programme de sécurité Les indications suivantes sont affichées pour le programme de sécurité : ● Date de la dernière compilation et signatures globales calculées :

– "Signature de tous les blocs F avec l'attribut F du dossier Blocs" – "Signature globale du programme de sécurité" : valeur de tous les blocs F appelés

dans le groupe d'exécution F du programme de sécurité ● Information sur l'état du programme de sécurité. Il y a trois états possibles :

– Cohérent – Incohérent – Modifié

● "Mode en cours :" indique si : – le mode de sécurité est "activé" ou – "désactivé" ou si – la "CPU est à l'état STOP" ou si – l'état du mode de sécurité est "non connu", c'est-à-dire ne peut pas être déterminé ou – le "Groupe d'exécution F n'a pas été appelé" : Le F-CALL associé n'a pas été appelé

pour un groupe d'exécution F au moins (par ex. parce qu'aucun appel du F-CALL n'a encore été programmé dans un OB (OB35), un FB ou une FC).

Remarque Lorsque le texte sous "Mode en cours" est affiché entre crochets [abc], cela signifie que les signatures globales du programme de sécurité et/ou que les mots de passe ne correspondent pas pour le programme de sécurité en ligne et hors ligne. Cela signifie :• soit que le programme de sécurité a été modifié hors ligne depuis son dernier

chargement, • soit qu'une CPU F erronée a été adressée. Vérifiez le second point au moyen de la

signature globale en ligne de tous les blocs F du dossier Blocs possédant l'attribut F.

En cliquant sur la ligne de titre de la liste des blocs, vous pouvez trier la liste.

Attention, l'affichage du mode en cours du mode de sécurité peut ne pas être à jour si le PG/PC n'est pas raccordé directement à la CPU F/à l'esclave DP intelligent et si la boîte de dialogue du programme de sécurité situé sur cette CPU F est ouverte. Dans ce cas, le mode "non connu" est affiché. Solution : Raccordez le PG/PC directement à la CPU F pour laquelle la boîte de dialogue de sécurité doit être ouverte. Pour la journalisation du programme de sécurité, voir le chapitre "Impression des données de configuration du programme de sécurité".

Voir aussi Etats du programme de sécurité (Page 257) Impression des données de projet (Page 279)

Génération et mise en service du programme de sécurité 10.2 Etats du programme de sécurité


10.2 Etats du programme de sécurité

Etats possible Les états suivants sont possibles pour le programme de sécurité : ● Cohérent

La signature globale de tous les blocs de sécurité du dossier Blocs possédant l'attribut F et la signature globale du programme de sécurité sont identiques. Les blocs de sécurité qui ne sont pas appelés dans le groupe d'exécution F du programme de sécurité sont affichés sans l'attribut F dans l'icône du bloc dans la boîte de dialogue "Programme de sécurité" et ne font pas partie du calcul des signatures globales. Lors de la génération du programme de sécurité, les blocs de sécurité non utilisés du dossier Blocs sont signalés. Pour une vue d'ensemble plus claire, nous vous recommandons de supprimer ces blocs de sécurité non utilisés. Ceci permet en outre de configurer la périphérie de sécurité qui n'est pas (encore ) adressée dans le programme de sécurité et de créer tout de même un programme de sécurité cohérent. Un programme de sécurité cohérent est une condition préalable pour la réception du programme de sécurité.

● Incohérent La signature globale de tous les blocs de sécurité du dossier Blocs possédant l'attribut F et la signature globale du programme de sécurité sont différentes, car un bloc de sécurité possédant l'attribut F a p. ex. été copié, mais n'est pas appelé dans le groupe d'exécution F du programme de sécurité. Si un programme de sécurité se trouve dans la CPU F à l'état "incohérent", le démarrage de la CPU F est empêché si la CPU F prend en charge cette détection (voir l'information produit de la CPU F correspondante). Vous devez générer de nouveau le programme de sécurité afin de conserver un programme de sécurité cohérent.

● Modifié La signature globale du programme de sécurité est mise à "0" car le programme de sécurité ou les paramètres de sécurité de la CPU F et des périphéries F ont été modifiés. La signature globale de tous les blocs de sécurité du dossier Blocs possédant l'attribut F et la signature globale du programme de sécurité sont différentes. Si, dans la CPU F, un programme de sécurité se trouve dans l'état "modifié", le démarrage de la CPU F est empêché si la CPU F prend en charge cette détection (voir l'information produit de la CPU F correspondante). Si la CPU F ne prend pas en charge cette détection, l'exécution d'un programme de sécurité avec l'état "modifié" dans le mode de sécurité activé peut provoquer l'ARRÊT de la CPU F. Vous devez générer de nouveau le programme de sécurité afin de conserver un programme de sécurité cohérent.

Voir aussi Vue d'ensemble de l'inspection de l'installation (Page 293)

Génération et mise en service du programme de sécurité 10.3 Génération du programme de sécurité


10.3 Génération du programme de sécurité

Remarque Avant de générer le programme de sécurité, fermer les applications éditeur CONT/LOG, Afficher les données de référence S7 et Contrôle de cohérence des blocs ainsi que la table des mnémoniques.

Marche à suivre pour la génération du programme de sécurité 1. Sélectionnez la CPU F correcte ou le programme S7 qui lui est affecté. 2. Choisissez dans SIMATIC Manager la commande de menu Outils > Editer le programme

de sécurité. La boîte de dialogue "Programme de sécurité" s'ouvre.

3. Cliquez sur le bouton "Générer". Le programme de sécurité est compilé.

Alternativement, vous pouvez générer le programme de sécurité avec la fonction "Vérifier la cohérence des blocs" dans SIMATIC Manager (voir la fonction "Vérifier la cohérence des blocs" au chapitre "Création et édition de F-FB/F-FC").

Génération du programme de sécurité La génération est possible uniquement pour des groupes d'exécution F valides, c.-à-d. dans lesquels il ne manque aucun bloc F que vous avez défini dans la boîte de dialogue "Editer les groupes d'exécution F". Une vérification de cohérence accompagne la génération du programme de sécurité ; elle porte sur les erreurs et sur les blocs de sécurité que vous avez créés dans le dossier Blocs, mais que vous n'utilisez pas dans le groupe d'exécution F. D'éventuels messages d'erreur sont affichés dans une fenêtre d'erreurs. Seuls les blocs de sécurité appartenant au programme de sécurité reçoivent l'attribut F. Après une compilation réussie, il y a toujours un programme de sécurité cohérent dans le dossier Blocs, composé de tous les blocs de sécurité possédant l'attribut F. Le dossier Blocs hors ligne peut contenir des blocs de sécurité sans attribut F. Une fois la vérification de cohérence effectuée avec succès, les blocs système de sécurité requis en plus et les blocs de sécurité générés automatiquement sont ajoutés. Les messages d'erreur ou avertissements constatés lors de la compilation sont émis de manière regroupée dans une boîte de dialogue à la fin de la procédure de génération. Les avertissements sont signalés de manière spécifique. Cliquez sur le bouton "Générer" pour :. ● consulter et enregistrer le journal de la dernière génération ● "vérifier les accès du standard" ● démarrer ou arrêter "l'actualisation des données de référence"

Génération et mise en service du programme de sécurité 10.3 Génération du programme de sécurité


ATTENTION

Vous ne devez pas insérer des blocs système F du dossier Blocs F-System Blocks de la bibliothèque Distributed Safety (V1) dans un PB F/FB F/FC F et ne devez : • ni dans la bibliothèque F Distributed Safety (V1) ni • dans le dossier Blocs de votre projet utilisateur (hors ligne) :insérer, supprimer ou

renommer, car cela risquerait d'entraîner des erreurs lors de la prochaine génération.• insérer, supprimer ou renommer, car cela risquerait d'entraîner l'ARRET de la CPU

F. Selon l'étendue de la manipulation, le programme de sécurité généré n'est pas exécutable. Dans un tel cas, vous devez supprimer tous les blocs de sécurité complétés automatiquement (c'est-à-dire tous les blocs de sécurité représentés dans SIMATIC Manager par un symbole avec fond jaune, créés avec le langage de création LIST F ou avec Autor FALGxxxx, de même que le DB global F), puis effectuer les tâches suivantes : • copier tous les blocs du dossier Blocs F-Application Blocks de la bibliothèque

Distributed Safety (V1) dans votre projet utilisateur, • réaliser l'enregistrement et la compilation dans HW Config, • définir les groupes d'exécution F, • générer le programme de sécurité complet.

"Vérifier les accès du standard" Le programme vérifie : ● si les OB, FB et FC provenant du programme utilisateur standard décrivent des

DB F du programme de sécurité via des accès entièrement qualifiés au DB, ● si les OB, FB et FC provenant du programme utilisateur standard écrivent dans les

plages d'adresses de la périphérie F via des accès à la mémoire image ou via des accès directs à la périphérie,

● si des blocs F sont appelés dans des OB, FB ou FC du programme utilisateur standard, ● si des accès en lecture aux mémentos de cadence ont lieu

(les mémentos de cadence sont définis lors de la configuration de la CPU F sous HW Config dans le dialogue des propriétés de la CPU F).

Le résultat apparaît dans une fenêtre de message.

Remarque Notez que les vérifications précitées ne sont pas exhaustives. Par exemple, la vérification déterminant si l'accès aux DB F à partir du programme utilisateur standard s'effectue en écriture n'aboutit pas en cas d'adressage indirect ou d'accès partiellement qualifié aux DB F dans le programme utilisateur standard.

Génération et mise en service du programme de sécurité 10.4 Chargement du programme de sécurité


"Actualiser les données de référence" Vous pouvez désactiver l'actualisation des données de référence à la fin de la génération. Ceci permet de diminuer la durée de compilation du programme de sécurité complet. A noter : Lorsque l'actualisation des données de référence est désactivée, la structure du programme ne s'affiche éventuellement pas correctement dans les données de référence. Dans le paramétrage par défaut, l'actualisation des données de référence est activée. Le paramétrage s'applique à l'utilisateur Windows actuel.

Voir aussi Création et édition de FB F/FC F (Page 77)

10.4 Chargement du programme de sécurité

Introduction Une fois que vous avez généré votre programme de sécurité, vous pouvez le charger dans la CPU F. Vous disposez à cet effet des possibilités suivantes : ● Chargement du programme de sécurité complet dans la boîte de dialogue "Programme

de sécurité", à l'état STOP. Il s'agit de la méthode recommandée pour charger un programme de sécurité cohérent.

● Chargement des modifications du programme de sécurité dans la boîte de dialogue "Programme de sécurité", à l'état d'ARRET.

● Charger des blocs de sécurité individuels dans SIMATIC Manager ou dans l'éditeur LOG/CONT.

Marche à suivre pour le chargement du programme de sécurité dans la CPU F depuis la boîte de dialogue "Programme de sécurité".

1. Sélectionnez la CPU F correcte ou le programme S7 qui lui est affecté. 2. Choisissez dans SIMATIC Manager la commande de menu Outils > Editer le programme


3. Cliquez sur le bouton "Charger". Tous les blocs de sécurité possédant l'attribut F et appartenant au programme de sécurité sont ainsi déterminés et chargés dans la CPU F. Un message s'affiche vous donnant la possibilité de charger le programme utilisateur standard en plus du programme de sécurité. Si le programme de sécurité a été modifié ou s'il n'est pas cohérent, vous serez informé que vous avez la possibilité de créer (générer) un programme de sécurité cohérent.



4. Confirmez la demande d'arrêt de la CPU F.

Remarque Vous pouvez uniquement effectuer le chargement du programme de sécurité complet à l'état de fonctionnement STOP. Si vous chargez uniquement les blocs de sécurité, les blocs dans lesquels les F-CALL sont appelés (p. ex. l'OB d'alarme cyclique OB 35) ne sont pas chargés. Vous devez alors charger ces OB séparément comme dans le mode standard.

Remarque Après le chargement dans la boîte de dialogue "Programme de sécurité", une comparaison en ligne/hors ligne est effectuée automatiquement pour tous les blocs F du programme de sécurité possédant l'attribut F. Tous les blocs de sécurité ne possédant pas l'attribut F sont supprimés dans la CPU F. Après cela, la CPU F contient exactement les mêmes blocs de sécurité avec attribut F que le dossier Blocs hors ligne.

5. Dans la boîte de dialogue "Programme de sécurité", activez l'un après l'autre les onglets "Hors ligne" et "En ligne" et vérifiez que les signatures globales de tous les blocs de sécurité du dossier Blocs possédant l'attribut F concordent en ligne et hors ligne. Lorsque cela est le cas, le chargement s'est correctement déroulé. Si cela n'est pas le cas, renouveler la procédure de chargement.

6. Pour activer le mode de sécurité, effectuez une commutation STOP/RUN de la CPU F.

Remarque En cas d'interruption de la procédure de chargement, vous devez répéter le chargement (étape 3) et la vérification des signatures globales de tous les blocs de sécurité avec attribut F du dossier Blocs en ligne et hors ligne (étape 5).

Marche à suivre pour le chargement des modifications du programme de sécurité dans la boîte de dialogue "Programme de sécurité"

1. Sélectionnez la CPU F correcte ou le programme S7 qui lui est affecté. 2. Choisissez dans SIMATIC Manager la commande de menu Outils > Editer le programme


3. Activez le bouton "Charger les modifications" du bouton "Charger". Tous les blocs de sécurité nouveaux et modifiés possédant l'attribut F dans le programme de sécurité sont ainsi détectés et chargés dans la CPU F.

Le reste de la procédure est identique à celle du chargement du programme de sécurité complet dans la boîte de dialogue "Programme de sécurité" (voir ci-dessus).

Remarque Il est à noter qu'un chargement des modifications du programme de sécurité est uniquement prévu pour la phase de mise en service. Avant la réception du programme de sécurité, ce dernier doit être chargé en entier dans la CPU F. Sinon, l'horodatage des blocs F risque d'être différent dans les dossiers Blocs en ligne et hors ligne.



Chargement du programme de sécurité dans un PG/PC

Remarque Fondamentalement, il est possible de charger un programme de sécurité de la CPU F dans un PG/PC. Attention, les mnémoniques utilisés dans le programme de sécurité sont supprimés et ne sont pas créés à nouveau, car aucune information sur le mnémonique n'est enregistrée dans la CPU F. Les mnémoniques ne sont disponibles que dans un projet hors ligne.

Vous pouvez recharger un programme de sécurité non modifié après un chargement dans un PG/PC, sans qu'il soit nécessaire de réceptionner à nouveau le programme de sécurité. Le programme de sécurité chargé de nouveau dans la CPU F est tout de même exécutable uniquement : ● si le programme de sécurité a été exécuté avant le chargement dans la PG/le PC, ● si la configuration matérielle de la communication sécurisée (voir chapitre "Configuration

et programmation de la communication") n'a pas été modifiée.

Remarque Si le programme de sécurité a été modifié ou déjà exécuté dans la CPU F, vous devez exécuter les points suivants avant un nouveau chargement du programme de sécurité complet dans la CPU F : 1. supprimer tous les DB d'instance des blocs F dans le dossier Blocs, 2. insérer une nouvelle fois tous les blocs F utilisés dans le programme de sécurité

depuis la bibliothèque "Distributed Safety (V1)" ou depuis une bibliothèque F spécifique dans le dossier Blocs hors ligne et écraser les blocs F existants,

3. attribuer une nouvelle fois les constantes pour les paramètres de blocs F du type de données "Pointer" (uniquement nécessaire pour les blocs F F_INT_WR, F_INT_RD),

4. générer de nouveau le programme de sécurité. Les DB d'instance supprimés sont de nouveau créés.

Si ceci n'est pas respecté, la CPU F passe en STOP. L'un des événements de diagnostic suivants sera alors écrit dans le tampon de diagnostic de la CPU F : • "Altération de données dans le programme de sécurité avant sortie vers la périphérie


partenaire" • "Programme de sécurité : Erreur interne de CPU ; information d'erreur interne : 404"

ATTENTION

Une modification du programme de sécurité provoque la modification de la signature globale ; c'est pourquoi il doit être à nouveau réceptionné.

Chargement dans S7-PLCSIM Avec la fonction STEP 7 S7-PLCSIM (simulation du matériel), vous pouvez tester le programme de sécurité.



Conditions pour le chargement dans S7-PLCSIM ● Le logiciel optionnel S7-PLCSIM, à partir de la version V5.3, est installé sur votre PG/PC. ● Vous avez des droits d'accès en écriture au répertoire dans lequel est installée la

bibliothèque F Distributed Safety (V1). ● S7-PLCSIM est activé. Choisissez à cet effet la commande de menu Outils > Editer le

programme de sécurité dans SIMATIC Manager. L'application S7-PLCSIM est démarrée et une nouvelle fenêtre "CPU" s'ouvre.

● Une configuration matérielle contenant une CPU F est chargée. Ouvrez pour cela HW Config et chargez la configuration souhaitée comme pour le chargement d'une CPU réelle.

● Le programme de sécurité est cohérent.

Marche à suivre pour le chargement dans S7-PLCSIM 1. Sélectionnez la CPU F correcte ou le programme S7 qui lui est affecté. 2. Choisissez dans SIMATIC Manager la commande de menu Outils > Editer le programme


3. Dans la boîte de dialogue "Programme de sécurité“, activez le bouton "Charger". Tous les blocs de sécurité possédant l'attribut F et appartenant au programme de sécurité sont ainsi déterminés et chargés dans S7-PLCSIM.

4. Confirmez la demande d'arrêt de la CPU F.

Remarque S7 Distributed Safety détermine automatiquement si la cible est une CPU F "réelle" ou s'il s'agit de S7-PLCSIM. Dans le second cas, des blocs de simulation spéciaux (blocs système F) sont automatiquement chargés de la bibliothèque F S7 Distributed Safety (V1) dans S7-PLCSIM. Après la procédure de chargement dans S7-PLCSIM, votre programme de sécurité hors ligne est inchangé et cohérent. Dans S7-PLCSIM, la signature globale de tous les blocs F possédant l'attribut F et la signature globale ne correspondent plus. Etant donné que le programme de sécurité n'est pas modifié hors ligne pour la prise en charge de S7-PLCSIM, il peut également être chargé dans une CPU F après avoir été chargé dans S7-PLCSIM. Pour cela, désactivez simplement S7-PLCSIM.

5. Après chaque ARRET de S7-PLCSIM, vous devez de nouveau charger le programme de sécurité dans S7-PLCSIM.

Il est également possible de charger les modifications du programme de sécurité dans un S7-PLCSIM (voir plus haut).



Chargement dans SIMATIC Manager ou dans l'éditeur LOG/CONT Vous pouvez charger simultanément des blocs F et des blocs standard dans la CPU F en utilisant les outils standard de STEP 7. Toutefois, dès qu'il s'agit de charger des blocs de sécurité, il est vérifié que la CPU F se trouve à l'état STOP ou en mode de sécurité désactivé. Si ce n'est pas le cas, la possibilité vous est donnée de passer en mode de sécurité désactivé ou de mettre la CPU F à l'état STOP. Sachez que la cohérence du programme de sécurité chargé dans la CPU F n'est pas garantie après le chargement de bloc de sécurité individuels. Utilisez donc la boîte de dialogue "Programme de sécurité" pour charger un programme de sécurité cohérent en l'état STOP de la CPU F.

Remarque Si S7 Distributed Safety détecte un programme de sécurité incohérent au démarrage de la CPU F, le démarrage de celle-ci est empêché dans la mesure où la CPU F prend en charge cette détection (voir l'information produit de la CPU F correspondante). L'événement de diagnostic suivant est alors inscrit dans le tampon de diagnostic de la CPU F : • "Programme de sécurité incohérent" Si la CPU F ne prend pas en charge cette détection, l'exécution d'un programme de sécurité non cohérent dans le mode de sécurité activé peut provoquer l'ARRÊT de la CPU F. L'un des événements de diagnostic suivants sera alors écrit dans le tampon de diagnostic de la CPU F : • "Altération de données dans le programme de sécurité avant sortie vers la périphérie F" • "Altération de données dans le programme de sécurité avant sortie vers une CPU F


Le chargement dans une S7-PLCSIM est possible depuis le SIMATIC Manager ou depuis l'éditeur LOG/CONT, cependant, puisqu'aucun bloc de simulation n'est chargé automatiquement, le programme de sécurité n'est pas exécutable. Le chargement dans une S7-PLCSIM depuis le SIMATIC Manager ou l'éditeur LOG/CONT n'est pertinent qu'en mode de sécurité désactivé à des fins de test.

ATTENTION Lorsque vous chargez des blocs de sécurité dans SIMATIC Manager ou dans l'éditeur LOG/CONT, vous devez faire le nécessaire pour qu'il n'y ait pas de F-CALL non utilisé dans le dossier Blocs. Si le chargement est toujours réalisé dans la boîte de dialogue "Programme de sécurité", tous les blocs de sécurité non appelés - et donc aussi un bloc F-CALL non utilisé - sont effacés automatiquement.

Génération et mise en service du programme de sécurité 10.5 Mémoire de travail requise par le programme de sécurité


Règles pour le chargement de blocs F dans SIMATIC Manager ou dans l'éditeur LOG/CONT Pour effectuer le chargement de blocs de sécurité, vous devez tenir compte des règles suivantes : ● Le chargement n'est possible qu'en mode de sécurité désactivé ou à l'état STOP de la

CPU F. ● Des blocs de sécurité peuvent être chargés uniquement dans une CPU F dans laquelle

vous avez déjà chargé un programme de sécurité via la boîte de dialogue "Programme de sécurité".

● Le mot de passe hors ligne et le mot de passe en ligne du programme de sécurité doivent être identiques.

● Les modifications du mot de passe pour le programme de sécurité (bouton "Autorisation" dans la boîte de dialogue "Programme de sécurité") ne peuvent parvenir dans la CPU F que par chargement via la boîte de dialogue "Programme de sécurité".

● Les seuls programme source autorisés sont des programmes de sécurité hors ligne. Il en résulte que le premier chargement du programme de sécurité, de même que le chargement après une modification du mot de passe du programme de sécurité peuvent uniquement être réalisée depuis la boîte de dialogue "Programme de sécurité". Quand des blocs de sécurité ne peuvent pas être chargés (parce que la CPU F se trouve en mode de sécurité ou parce que vous n'avez entré aucun mot de passe ou un mot de passe erroné pour le programme de sécurité), vous êtes informé que vous avez la possibilité de poursuivre avec le chargement des autres blocs standard.

Voir aussi Test du programme de sécurité (Page 289)

10.5 Mémoire de travail requise par le programme de sécurité

Estimation Vous pouvez évaluer grossièrement la mémoire de travail requise par le programme de sécurité de la manière suivante :

Mémoire de travail requise par le programme de sécurité :

31 Ko pour les blocs système F F_CTRL_1, F_CTRL_2; FD_IO_CGP/F_IO_BOI et F_DIAG_N + 4,3 Ko pour les blocs système F F_RTGCO2 (uniquement pour la communication

entre groupes d'exécution F) + 4,5 x mémoire de travail requise par tous les FB F/FC F/PB F + 4,5 x mémoire de travail requise par tous les blocs d'application F utilisés

(sauf F_SENDDP, F_RCVDP, F_SENDS7 et F_RCVS7) + mémoire de travail requise par les blocs d'application F utilisés F_SENDDP et

F_RCVDP (4,4 Ko chacun) + mémoire de travail requise par les blocs d'application F utilisés F_SENDS7 et

F_RCVS7 (9,5 ko chacun)

Génération et mise en service du programme de sécurité 10.5 Mémoire de travail requise par le programme de sécurité


Mémoire de travail requise pour les données

5 x mémoire de travail requise pour tous les DB F (y compris les DB de communication F, mais sans les DB pour la communication entre groupes d'exécution F) et les DB I pour PB F/FB F + 24 x mémoire de travail requise pour tous les DB pour la communication entre

groupes d'exécution F + 2,3 x mémoire de travail requise par tous les DB I pour blocs d'application F (sauf

F_SENDDP, F_RCVDP, F_SENDS7 et F_RCVS7) + mémoire de travail requise pour tous les DB I des blocs d'application F F_SENDDP

(0,2 Ko), F_RCVDP (0,3 Ko), F_SENDS7 (0,6 Ko) et F_RCVS7 (1,0 Ko) + 0,7 ko par FC F (ou bloc d'application F de type FC) + 0,7 ko par périphérie F (pour les DB de périphérie F) + 4,5 Ko

Taille des blocs F automatiquement générés Afin que les blocs F automatiquement générés de dépassent pas la taille maximale possible dans la CPU F respective, vous devez tenir compte des données suivantes : ● La taille d'un FB F/FC F/PB F doit atteindre au plus un quart de la taille maximum des FB

ou FC (voir Caractéristiques techniques dans le manuel de la CPU F mise en oeuvre). ● Pour les FB F/FC F/PB F, on doit avoir :

2 x nombre de tous les paramètres ou données statiques du type BOOL + 4 x le nombre de tous les paramètres ou données statiques du type INT / WORD + 6 x le nombre de tous les paramètres ou données statiques du type TIME + 36 < taille maximale des blocs de données en octets (voir les Caractéristiques techniques

dans le manuel de la CPU F mise en oeuvre) ● Pour les DB F, il faut que :

2 x le nombre de toutes les variables du DB F de type BOOL + 4 x le nombre de toutes les variables du DB F de type INT / WORD + 6 x le nombre de toutes les variables du DB F de type TIME + 36 < taille maximale des blocs de données en octets

(voir les Caractéristiques techniques dans le manuel de la CPU F mise en oeuvre) Si, lors du chargement de votre programme de sécurité dans le CPU F, vous obtenez le message "Le bloc x n'a pas pu être copié", vérifiez que ces conditions sont bien remplies et, le cas échéant, réduisez : ● la taille du FB F/FC F/PB F ou ● le nombre de paramètres et de données statiques des FB F/FC F/PB F ou ● le nombre de variables des DB F ou ● le nombre de blocs. Vous ne devez pas dépasser la limite maximale des blocs de la CPU

F (voir le manuel, Caractéristiques techniques de la CPU F mise en oeuvre).

Génération et mise en service du programme de sécurité 10.6 Test fonctionnel du programme de sécurité ou enregistrement par identification du programme


10.6 Test fonctionnel du programme de sécurité ou enregistrement par identification du programme

Test fonctionnel complet ou test des modifications Après avoir créé un programme de sécurité, vous devez effectuer un test fonctionnel complet correspondant à votre tâche d'automatisation. Après avoir effectué des modifications dans un programme de sécurité pour lequel vous avez déjà réalisé un test fonctionnel complet, il vous suffit de tester les modifications.

Transfert du programme de sécurité dans la CPU F avec votre PG/PC

CPU F avec carte mémoire enfichée (carte Flash ou MMC) Les avertissements suivants s'appliquent au transfert du programme de sécurité d'une PG/d'un PC dans : ● des CPU F avec carte Flash enfichée (par ex. CPU 416F-2) ● CPU F avec MMC

(par ex. CPU 317F-2 DP, CPU 315F-2 DP ou IM 151-7 F-CPU)

ATTENTION

Lorsque le test fonctionnel du programme de sécurité n'est pas réalisé dans la CPU F cible, vous devez procéder de la manière suivante lors du transfert du programme de sécurité dans la CPU F avec votre PG/PC afin de vous assurer qu'aucun "ancien" programme de sécurité ne se trouve dans la CPU F : • Pour les CPU F avec MMC : Chargez le programme de sécurité dans la CPU F

depuis la boîte de dialogue "Programme de sécurité". • Pour les CPU F avec carte Flash enfichée : Chargez le programme de sécurité dans

la CPU F depuis la boîte de dialogue "Charger le programme utilisateur sur carte mémoire".

• Procédez à une identification du programme (c'est-à-dire vérifiez que les signatures globales de tous les blocs F avec attribut F du dossier Blocs en ligne et hors ligne correspondent).

• Effectuez un effacement général de la CPU F au moyen du commutateur de mode de fonctionnement ou à partir du PG/PC. Après l'effacement de la mémoire de travail, le programme de sécurité est de nouveau transféré depuis la mémoire de chargement (carte mémoire, MMC dans le cas des CPU F 3xxF et IM 151-7 F-CPU ou carte Flash dans le cas des CPU F 4xxF) dans la mémoire de travail.



ATTENTION

Si plusieurs CPU F sont accessibles depuis un PG/PC via un réseau (p. ex. MPI), vous devez vous assurer que le programme de sécurité est chargé dans la CPU F correcte en prenant les mesures supplémentaires suivantes : Utilisez des mots de passe spécifiques à chaque CPU F, par ex. un mot de passe commun pour les CPU F avec en suffixe l'adresse MPI de chacune : "Motdepasse_8". Veuillez observer : • La première affectation d'un mot de passe à une CPU F doit avoir lieu via une liaison


• Avant de charger un programme de sécurité dans une CPU F pour laquelle il n'existe pas encore d'autorisation d'accès par mot de passe, vous devez d'abord annuler une autorisation d'accès existant déjà pour une autre CPU F.

CPU F sans carte Flash enfichée Les avertissements suivants s'appliquent au transfert du programme de sécurité d'une PG/d'un PC dans : ● des CPU F sans carte Flash enfichée (par ex. CPU 416F-2)

ATTENTION

Lorsque le test fonctionnel du programme de sécurité n'est pas réalisé dans la CPU F cible, vous devez procéder de la manière suivante lors du transfert du programme de sécurité dans la CPU F avec votre PG/PC afin de vous assurer qu'aucun "ancien" programme de sécurité ne se trouve dans la CPU F : • Effectuez un effacement général de la CPU F au moyen du commutateur de mode

de fonctionnement ou à partir du PG/PC. • Chargez la configuration dans la CPU F dans HW Config • Chargez le programme de sécurité dans la CPU F depuis la boîte de dialogue

"Programme de sécurité". • Procédez à une identification du programme (c'est-à-dire vérifiez que les signatures

globales de tous les blocs F avec attribut F du dossier Blocs en ligne et hors ligne correspondent).



ATTENTION

Si plusieurs CPU F sont accessibles depuis un PG/PC via un réseau (p. ex. MPI), vous devez vous assurer que le programme de sécurité est chargé dans la CPU F correcte en prenant les mesures supplémentaires suivantes : Utilisez des mots de passe spécifiques à chaque CPU F, par ex. un mot de passe commun pour les CPU F avec en suffixe l'adresse MPI de chacune : "Motdepasse_8". Veuillez observer : • La première affectation d'un mot de passe à une CPU F doit avoir lieu via une liaison


Avant de charger un programme de sécurité dans une CPU F pour laquelle il n'existe pas encore d'autorisation d'accès par mot de passe, vous devez d'abord annuler une autorisation d'accès existant déjà pour une autre CPU F.



Transfert du programme de sécurité dans la CPU F avec une carte mémoire

Utilisation de MMC ou carte Flash L'avertissement suivant s'applique à l'utilisation de : ● carte Flash (par ex. CPU 416F-2) ● MMC (p. ex. CPU 317F-2 DP, CPU 315F-2 PN/DP ou IM 151-7 F-CPU)

ATTENTION

Lorsque le test fonctionnel du programme de sécurité n'est pas réalisé dans la CPU F cible, vous devez procéder de la manière suivante lors du transfert du programme de sécurité dans la CPU F avec une carte mémoire (MMC ou Flash), afin de vous assurer qu'aucun "ancien" programme de sécurité ne se trouve dans la CPU F : • Mettez la CPU F hors tension et retirez la pile des CPU F sauvegardées par pile (par

ex. CPU 416F-2). (Pour vous assurez que la CPU F est hors tension, respectez le temps de maintien de l'alimentation utilisée et si vous ne le connaissez pas, retirez la CPU F.)

• Retirez la carte mémoire (MMC ou carte Flash) contenant l'ancien programme de sécurité de la CPU F.

• Enfichez la carte mémoire (MMC ou carte Flash) contenant le nouveau programme de sécurité dans la CPU F.

• Remettez la CPU F sous tension et replacez la pile dans le cas des CPU F sauvegardées par pile (par ex. CPU 416F2).

Vous devez vous assurer que le programme de sécurité correct se trouve sur la carte mémoire (MMC ou carte Flash). Vous pouvez réaliser ceci par identification du programme ou par d'autres mesures, comme p. ex. un repérage univoque sur la carte mémoire MMC ou carte Flash). Pour charger un programme de sécurité sur une carte mémoire (MMC ou carte Flash), vous devez procéder de la manière suivante : • Chargez le programme de sécurité sur la carte mémoire (MMC ou carte Flash). • Procédez à une identification du programme (c'est-à-dire vérifiez que les signatures

globales de tous les blocs F avec attribut F du dossier Blocs hors ligne et sur la carte mémoire (MMC ou carte Flash) correspondent.

• Repérez la carte mémoire (MMC ou carte Flash) en conséquence. Le procédé décrit doit être assuré par des mesures d'organisation adéquates.

Voir aussi Comparaison de programmes de sécurité (Page 273)

Génération et mise en service du programme de sécurité 10.7 Modification du programme de sécurité


10.7 Modification du programme de sécurité

10.7.1 Modification du programme de sécurité en mode RUN

Introduction Des modification du programme de sécurité durant le fonctionnement (mode RUN) sont uniquement possibles lorsque le mode de sécurité est désactivé. Vous modifiez les blocs de sécurité hors ligne comme dans le programme standard, à l'aide de l'éditeur LOG/CONT. Il n'est pas possible de modifier des blocs de sécurité en ligne.

Remarque Si vous souhaitez modifier le programme de sécurité, mais pas durant le fonctionnement, reportez-vous à la rubrique "Création de blocs de sécurité en LOG F/CONT F".

Marche à suivre pour la modification du programme de sécurité en mode RUN 1. Modifiez et enregistrez le PB F/FB F ainsi que le DB d'instance, la FC F ou le DB F

correspondants dans l'éditeur LOG/CONT. 2. Chargez le bloc de sécurité modifié de l'éditeur LOG/CONT dans la CPU F. Si vous

souhaitez charger plusieurs blocs de sécurité modifiés, sélectionnez-les dans SIMATIC Manager, puis chargez-les. Le chargement de blocs de sécurité en mode de sécurité désactivé s'effectue de la même manière qu'en mode standard. Tenez compte des règles spécifiques à l'ordre de chargement dans l'aide en ligne de STEP 7.

3. Si le mode de sécurité est activé, une boîte de dialogue s'ouvre pour vous permettre de le désactiver. Confirmez la désactivation.

Remarque Lorsque vous effectuez le chargement dans SIMATIC Manager, vous n'êtes autorisé à charger, en mode de sécurité désactivé, que des blocs de sécurité que vous avez créés vous-même (PB F, FB F, FC F, DB F), des blocs d'application F ou des blocs standard, ainsi que les DB d'instance respectifs. Si vous chargez des blocs de sécurité ajoutés automatiquement (SB F ou blocs de sécurité générés automatiquement ainsi que les DB d'instance et DB global F respectifs), la CPU F risque de passer à l'état STOP ou le mode de sécurité risque d'être activé. C'est la raison pour laquelle, vous ne devez pas sélectionner les objets "Station", "Programme S7" ou "Dossier Blocs" lors du chargement depuis SIMATIC Manager, mais uniquement des blocs de sécurité individuels.



Restrictions lors de la communication sécurisée CPU-CPU Durant le fonctionnement (MARCHE), vous ne pouvez pas établir de nouvelle communication sécurisée CPU-CPU au moyen d'un nouveau couple de blocs F_SENDDP/F_RCVDP, F_SENDS7/F_RCVS7. Pour établir une nouvelle communication sécurisée CPU-CPU, vous devez toujours, après avoir inséré un nouvel appel de bloc F_SENDDP, F_SENDS7, F_RCVDP ou F_RCVS7, générer une nouvelle fois le programme de sécurité respectif et le charger complètement dans la CPU F à l'état de fonctionnement STOP.

Restrictions pour la communication entre groupes d'exécution F En mode RUN, vous ne pouvez pas effectuer de modification de la communication sécurisée entre les groupes d'exécution F. C'est-à-dire que vous ne pouvez ni ajouter, ni supprimer, ni modifier un DB pour la communication entre groupes d'exécution F dans les boîtes de dialogue "Définition de nouveaux groupes d'exécution F" et "Edition des groupes d'exécution F" ou dans SIMATIC Manager. Après avoir effectué des modifications dans la communication entre groupes d'exécution F, vous devez toujours générer de nouveau le programme de sécurité et le recharger en entier dans la CPU F à l'état de fonctionnement STOP.

Restrictions pour les accès à la périphérie de sécurité Si, durant le fonctionnement (mode RUN), vous insérez un accès à la périphérie F dans une périphérie F, dont aucune voie ou aucune variable du DB de périphérie F correspondant n'ont été utilisées dans le programme de sécurité, l'accès à la périphérie F ne sera actif que si vous générez de nouveau le programme de sécurité et chargez celui-ci au complet dans la CPU F à l'état de fonctionnement STOP.

Modification du programme utilisateur standard Vous pouvez charger des modifications du programme utilisateur standard à l'état RUN de la CPU F, que le mode de sécurité soit activé ou désactivé.

ATTENTION En mode de sécurité, il faut qu'en cas de modification du programme utilisateur standard, l'accès par le mot de passe de la CPU F soit interdit, sans quoi le programme de sécurité pourrait également être modifié. Pour l'éviter, vous devez configurer le niveau de protection 1. Si une seule personne est autorisée à modifier le programme utilisateur standard et le programme de sécurité, il est recommandé de configurer le niveau de protection "2" ou "3" afin de restreindre ou d'interdire aux autres personnes l'accès au programme utilisateur entier (programme standard et programme de sécurité).

Modifications de l'appel d'un groupe d'exécution F Quand un OB (p. ex. l'OB 35) ou un FB sont chargés dans la CPU F avec un appel de F-CALL durant le fonctionnement (RUN), le mode n'est mis à jour qu'après fermeture puis réouverture de la boîte de dialogue "Programme de sécurité".



Marche à suivre pour la validation des modifications dans le programme de sécurité Quand vous chargez des blocs de sécurité individuels dans la CPU F durant le fonctionnement (mode RUN), les blocs système F (SB F) et les blocs de sécurité générés automatiquement ne sont ni actualisés, ni chargés, si bien qu'il en résulte un programme de sécurité incohérent dans la CPU F. Pour valider les modifications dans le programme de sécurité, procédez de la manière suivante : 1. Générez le programme de sécurité dans la boîte de dialogue "Programme de sécurité". 2. Depuis la boîte de dialogue "Programme de sécurité", chargez le programme de sécurité

complet dans la CPU F à l'état STOP, puis effectuez une commutation STOP/RUN de la CPU F afin d'activer le mode de sécurité.

3. Suivez les étapes décrites dans le chapitre "Réception d'un programme de sécurité".

Voir aussi Configuration de la CPU F (Page 26) Création de blocs F dans LOG F/CONT F (Page 76) Génération du programme de sécurité (Page 258) Chargement du programme de sécurité (Page 260) Réception du programme de sécurité (Page 296)

10.7.2 Comparaison de programmes de sécurité

Critères pour la comparaison de programmes de sécurité Vous pouvez comparer deux programmes de sécurité d'après les critères suivants : ● signature globale de tous les blocs F du dossier Blocs possédant l'attribut de sécurité ● paramètres des différents blocs de sécurité ● signatures des différents blocs de sécurité En comparant les signatures des blocs de sécurité, vous pouvez détecter les blocs de sécurité modifiés ou supprimés.

Programmes de sécurité comparables Vous pouvez comparer un programme de sécurité avec : ● le programme de sécurité en ligne (état en ligne de ce programme de sécurité) ● un programme de sécurité hors ligne (programme de sécurité hors ligne quelconque) ● un programme de sécurité en ligne (programme de sécurité en ligne quelconque) ● un programme de sécurité sur une carte mémoire ● un programme de sécurité d'une station atteinte



Marche à suivre pour comparaison de programmes de sécurité Pour comparer deux programmes de sécurité, procédez de la manière suivante : 1. Sélectionnez la CPU F correcte ou le programme S7 qui lui est affecté. 2. Choisissez dans SIMATIC Manager la commande de menu Outils > Editer le programme


3. Cliquez sur le bouton "Comparer...". La boîte de dialogue "Comparer le programme de sécurité" s'ouvre.

4. Sélectionnez le programme de sécurité avec lequel vous souhaitez effectuer la

comparaison. Cliquez sur le bouton "Parcourir..." afin d'entrer le chemin correspondant. 5. Cliquez sur le bouton "Lancer comparaison". La comparaison de blocs souhaitée est alors réalisée et les blocs de sécurité différents s'affichent sous forme de tableau dans la boîte de dialogue.



Résultat de la comparaison Le résultat affiche les blocs de sécurité ayant été modifiés (pour lesquels les entrées dans les colonnes "Signature dans le programme source" et "Signature dans le programme de comparaison" sont différentes), les blocs de sécurité qui se trouvent uniquement dans le programme source (entrée figurant uniquement dans la colonne "Signature dans le programme source") et ceux qui se trouvent uniquement dans le programme de comparaison (entrée figurant uniquement dans la colonne "Signature dans le programme de comparaison"). La colonne "Interface différente" indique s'il y a eu des modifications dans la table de déclaration de certains blocs F. Vous pouvez imprimer le résultat en cliquant sur le bouton "Imprimer". Si vous comparez un programme de sécurité hors ligne avec un programme de sécurité en ligne et si vous interrompez la liaison à la CPU F durant la comparaison, le résultat de la comparaison ne sera pas correct.

Affectation des modifications Le résultat de la comparaison indique les blocs de sécurité modifiés, ce qui vous permet d'en déduire les modifications du programme de sécurité.

Bloc F modifié Modification dans le programme de sécurité Bloc de programme F, FB F, FC F • Modification dans ce bloc

• Modification de la table de déclaration des variables dans les FB/FC appelés ou dans le PB F/FB F/FC F des DB F utilisés

• Modification de la table de déclaration dans des FB F contenus comme multiinstance

• Absence de FB F appelés comme multiinstance DB I pour bloc de programme F, I-DB pour FB F

• Modification de la table de déclaration des variables du PB F /FB F associé au DB I respectif

Bloc d'application F bloc système F

• Version modifiée du bloc de sécurité (p. ex. par utilisation de blocs F d'une nouvelle version de S7 Distributed Safety)

• Absence de FB F appelés comme multiinstance DB I pour bloc d'application F • Version modifiée du bloc d'application F

correspondant DB F • Modification de la table de déclaration du DB F DB de périphérie F • Modification de la configuration matérielle de la

périphérie de sécurité en question • Modification des paramètres F de la CPU F • Version modifiée de blocs système F

Bloc F généré automatiquement • Modification du temps de cycle maximum du groupe d'exécution F

• Modification des paramètres F de la CPU F • Version modifiée de blocs système F • Modification de la communication entre groupes

d'exécution F, p. ex. modification du nº d'un DB pour communication entre groupes d'exécution F



Bloc F modifié Modification dans le programme de sécurité F-CALL • Modification de l'affectation du PB F et de son DB

d'instance • Modification de la périphérie F adressée dans le

programme de sécurité • Modification des accès en lecture aux données du

programme utilisateur standard • Modification des paramètres F de la CPU F • Version modifiée de blocs système F • Modification de la communication entre groupes

d'exécution F

Il peut également exister des combinaisons de modifications, si bien qu'une modification d'un bloc de sécurité peut avoir plusieurs causes. Si aucun bloc de sécurité modifié n'est indiqué, mais que la signature globale est différente, c'est qu'il y a des différences dans des blocs de sécurité générés automatiquement qui ne sont pas pris en considération dans la comparaison. Ceci peut se produire lorsque vous modifiez la numérotation des blocs de sécurité ou lorsque vous modifiez les ressources réservées au programme de sécurité dans HW Config, dans les propriétés de la CPU F.



10.7.3 Suppression du programme de sécurité

Suppression de blocs F individuels Pour supprimer un bloc F, procédez comme dans le mode standard.

Suppression d'un groupe d'exécution F 1. Dans la boîte de dialogue "Editer les groupes d'exécution F", sélectionnez le dossier du

groupe d'exécution F à supprimer. 2. Cliquez sur le bouton "Supprimer". 3. Quittez la boîte de dialogue en cliquant sur "OK". L'affectation des blocs F à un groupe d'exécution F est supprimée. Les blocs F existent cependant encore.

Suppression du programme de sécurité complet 1. Dans SIMATIC Manager, supprimez hors ligne tous les blocs F représentés avec un fond

jaune. 2. Dans HW Config, sélectionnez la CPU F puis la commande de menu Edition > Propriétés

de l'objet. Ouvrez l'onglet "Protection" et désactivez l'option "CPU contient programme de sécurité". Enregistrez et compilez la configuration matérielle. A présent, le projet hors ligne ne contient plus de programme de sécurité.

3. Pour les CPU F avec carte mémoire (carte Flash ou MMC) : Pour supprimer un programme de sécurité sur une carte mémoire (MMC ou carte Flash), enfichez cette carte mémoire (MMC ou carte Flash) dans votre PG/PC. Choisissez la commande de menu Fichier > Carte mémoire S7 > Supprimer dans SIMATIC Manager. Vous pouvez ensuite copier le programme utilisateur standard hors ligne sur la carte mémoire (MMC ou carte Flash). Pour les CPU F sans carte Flash enfichée : L'effacement général du module dans le SIMATIC Manager (commande de menu Système cible > Effacement général) vous permet de supprimer le programme de sécurité. Vous pouvez ensuite charger le programme utilisateur standard hors ligne dans la CPU F.



10.7.4 Journal du programme de sécurité

Journal Les modifications et actions effectuées pour un programme de sécurité sont consignées dans un journal. Les différentes actions de l'utilisateur sont consignées avec des entrées correspondantes dans le journal. Chaque programme de sécurité possède son propre journal. Les entrées sont consignées de manière chronologique. Un journal peut contenir 300 entrées au maximum. Au-delà de 300 entrées, les anciennes entrées sont successivement écrasées. La fonction journal pour le programme de sécurité ne relève pas de la sécurité selon CEI 61508.

Contenus du journal Les actions suivantes donnent lieu à des entrées dans le journal du programme de sécurité : ● modification de la configuration matérielle pour le programme de sécurité ● création du bloc F ● enregistrement du Bloc F ● renommer le bloc F ● réassignation du bloc F ● modification des propriétés du bloc F ● suppression du bloc F ● modification de groupes d'exécution F ● génération du programme de sécurité ● désactivation du mode de sécurité ● chargement de blocs F ● chargement du programme de sécurité ou des modifications du programme de sécurité

Exemple d'entrée dans le journal : Action : création du bloc F FB1 Entrée dans le journal : Date, heure (moment de l'entrée dans le journal), ID utilisateur, chemin du programme, action "Bloc F FB1 créé"

Génération et mise en service du programme de sécurité 10.8 Impression des données de projet


Afficher, enregistrer, imprimer et copier le journal 1. Sélectionnez la CPU F ou le programme S7 qui lui est affecté. 2. Dans SIMATIC Manager, choisissez la commande de menu Outils > Editer le programme

de sécurité ou cliquez sur le bouton correspondant dans la barre d'outils. La boîte de dialogue "Programme de sécurité" s'ouvre.

3. Cliquez sur le bouton "Journal...". Le journal (fenêtre de message) s'ouvre alors. Vous pouvez enregistrer le journal sous forme de fichier de texte dans l'arborescence des répertoires de Windows, puis l'imprimer.

Lors de la copie d'un programme de sécurité, le journal correspondant existant éventuellement est également copié.

Programme de sécurité < V5.4 SP1 Si le programme de sécurité a été créé avec une version de S7 Distributed Safety < V5.4 SP1, le journal sera disponible uniquement lorsqu'une action pertinente y aura été consignée avec V5.4 SP1 ou une version supérieure.

10.8 Impression des données de projet

Introduction Le bouton "Impression" de la boîte dialogue "Programme de sécurité" vous permet d'imprimer toutes les données de projet importantes de la configuration matérielle et du programme de sécurité dont vous avez besoin, entre autres pour la réception de l'installation. Les signatures se trouvant dans le bas de page des imprimés assurent une affectation univoque des imprimés à un programme de sécurité.

Remarque Avant d'imprimer les données du projet, fermez les applications HW Config, Editeur CONT/LOG et la table des mnémoniques.



Marche à suivre pour l'impression de toutes les données de projet importantes de la configuration matérielle et du programme de sécurité

1. Dans SIMATIC Manager, sélectionnez la CPU F correcte ou le programme S7 qui lui est affecté.

2. Choisissez dans SIMATIC Manager la commande de menu Outils > Editer le programme de sécurité. La boîte de dialogue "Programme de sécurité" s'ouvre.

3. Cliquez sur le bouton "Imprimer". Vous pouvez ensuite sélectionner les contenus d'impression : ● "Logigramme/Schéma à contact" :

tous les blocs F du programme de sécurité (PB F, FB F,FC F,DB F) que vous avez créés conformément au langage de programmation utilisé. pour les DB F, c'est la vue des données qui est imprimée.

● "Programme de sécurité" : liste de tous les blocs F du programme de sécurité et autres données significatives pour la réception (voir chapitre "Données de projet imprimées pour le programme de sécurité").

● "Configuration matérielle..." (voir le chapitre "Données de projet imprimées pour la configuration matérielle")

● "Table des mnémoniques" Pour la réception de l'installation, vous devez imprimer tous les contenus d'impression.

Bas de page des imprimés Les éléments suivants sont sortis dans le bas de page des imprimés : ● signature globale de tous les blocs F du dossier Blocs possédant l'attribut de sécurité, ● signature des mnémoniques (uniquement lors de l'impression du programme de sécurité

hors ligne) ● identification de la version de S7 Distributed Safety avec laquelle les sorties imprimées

ont été créées ● en fonction de l'état du programme de sécurité : "Programme de sécurité modifié",

"Programme de sécurité non modifié" ou "Symbolique modifiée"

Remarque L'édition de "Symbolique modifiée" signifie que des affectations ont été modifiées pour des mnémoniques globaux ou locaux (par ex. modification de la table des mnémoniques ou de noms de paramètres de DB F ou de FB F) sans que ces modifications aient été appliquées à tous les FB F/FC F concernés. Pour y remédier, utilisez la fonction "Vérification de la cohérence des blocs" (voir l'aide en ligne de STEP 7). Le cas échéant, vous devez générer de nouveau le programme de sécurité.



10.8.1 Données de projet imprimées pour la configuration matérielle

Marche à suivre Lorsque vous avez sélectionné le contenu d'impression "Configuration matérielle...", une boîte de dialogue s'affiche ensuite. 1. Sélectionnez l'étendue d'impression "Tout". De cette manière, les "descriptions de

modules" et la "liste d'adresses" seront également imprimées. 2. Sélectionnez l'option "Avec paramètres" afin que les descriptions de paramètres soient

également imprimées.

Informations imprimées Dans l'impression de la configuration matérielle (contenu d'impression "Configuration matérielle..."), les informations suivantes sont importantes pour la réception de la configuration : ● les paramètres suivants de la CPU F :

– niveau de protection – paramètres F

● tous les paramètres de la périphérie F

Marche à suivre en cas de communication sécurisée esclave I-esclave Lors d'une communication esclave I-esclave sécurisée, vous avez également besoin pour la réception de l'installation d'une impression des paramètres des périphéries F que vous adressez via la communication esclave I-esclave sécurisée. Vous trouverez celle-ci dans la sortie imprimée de la configuration matérielle de la station avec le maître DP. Si la CPU du maître DP est une CPU F à laquelle un programme de sécurité est affecté, vous recevez l'imprimé des paramètres de ces périphéries F si, dans le SIMATIC Manager, vous sélectionnez la CPU F du maître DP ou le programme S7 qui vous est affecté puis déclenchez un imprimé via la commande de menu Outils > Programme de sécurité, comme décrit ci-dessus. Si la CPU du maître DP est une CPU standard, vous recevez l'impression des paramètres de ces périphéries F comme suit : 1. Sélectionnez la station avec le maître DP. 2. Dans SIMATIC Manager, choisissez la commande de menu Imprimer > Contenu de

l'objet. La boîte de dialogue qui suit s'affiche.

3. Sélectionnez l'étendue d'impression "Tout". De cette manière, les "descriptions de modules" et la "liste d'adresses" seront également imprimées.

4. Sélectionnez l'option "Avec paramètres" afin que les descriptions de paramètres soient également imprimées.



10.8.2 Données de projet imprimées pour le programme de sécurité

Informations imprimées Dans l'impression du programme de sécurité (contenu d'impression "Programme de sécurité"), les informations importantes pour la réception du programme de sécurité suivantes sont sorties : ● Signatures globales :

– "Blocs F avec attribut F du dossier Blocs" (= "Signature globale de tous les blocs F du dossier Blocs possédant l'attribut de sécurité" dans la boîte de dialogue "Programme de sécurité" apparaît également dans le bas de page de l'imprimé)

– "Programme de sécurité" (= "Signature globale du programme de sécurité" dans la boîte de dialogue "Programme de sécurité" = valeur de la variable "F_PROG_SIG" dans le DB global F)

Pour une réception, ces deux signatures doivent coïncider. Une différence entre ces deux signatures indique en général que le programme de sécurité a été modifié ou qu'il est incohérent. Ceci est également signalé dans le bas de page.

● Identification de la version de S7 Distributed Safety avec laquelle le programme de sécurité a été créé en dernier

● Heure à laquelle le programme de sécurité a été généré ● Information en cas de dépassement du nombre des données locales réservées pour le

programme de sécurité ● Liste de tous les blocs F contenus dans le dossier Blocs (les blocs F sans attribut F sont

caractérisés par des crochets enfermant le nom de bloc et la signature). Les éléments suivants sont édités pour chaque bloc F : – Numéro de bloc – Nom symbolique – Fonction dans le programme de sécurité (F-CALL, bloc de programme F, ...) – Signature – Signature de la valeur initiale pour tous les FB F qui ne sont pas générés

automatiquement ● Liste des paramètres pour la communication sécurisée CPU-CPU, par ex. :

– DP_DP_ID et LADDR du F_SENDDP, F_RCVDP – ID, R_ID et numéro du DB de communication F du F_SENDS7, F_RCVS7 – TIMEOUT du F_SENDDP, F_RCVDP, F_SENDS7, F_RCVS7



Pour chaque paramètre sont indiqués : – nom du paramètre – Nom du bloc d'application F correspondant – Numéros des DB d'instance avec lesquels l'appel du bloc d'application F est réalisé – Nom du bloc F dans lequel le bloc d'application F est appelé – numéro du réseau dans lequel est réalisé l'appel – Nom du groupe d'exécution F (nom du F-CALL) – valeur du paramètre

● Liste des données transférées à partir du programme utilisateur standard : – opérande – mnémonique – Groupe d'exécution F dans lequel la date est utilisée

● Liste des données pour l'échange des données entre les groupes d'exécution F – Numéro du F-CALL du groupe d'exécution F "émetteur" – Numéro du F-CALL du groupe d'exécution F "récepteur" – Numéro du DB pour la communication entre groupes d'exécution F

● Information relative à chaque groupe d'exécution F : – Numéro du F-CALL – Nom symbolique du F-CALL – Numéro du bloc de programme F appelé – Nom symbolique du bloc de programme F – le cas échéant, le numéro du DB d'instance correspondant – nom symbolique du DB d'instance correspondant – Temps de cycle maximum du groupe d'exécution F

● Liste de tous les blocs de sécurité utilisés dans le groupe d'exécution F, sauf les blocs système F, les DB globaux F et les blocs F générés automatiquement. (Les blocs de sécurité sans attribut F sont caractérisés par des crochets enfermant le nom de bloc et la signature). Les éléments suivants sont édités pour chaque bloc F : – Numéro de bloc – Nom symbolique – Fonction dans le programme de sécurité (F-CALL, bloc de programme F, ...) – Signature – Signature de la valeur initiale pour tous les FB F qui ne sont pas générés

automatiquement



● Liste des périphéries F adressées dans le groupe d'exécution F (c.-à-d. pas pour toutes les périphéries F configurées dans HW Config, mais uniquement celles effectivement utilisées) : – Nom symbolique du DB de périphérie F – Numéro du DB de périphérie F – Adresse de début – Nom/désignation de la périphérie F – type de module – Temps de surveillance F – CRC du paramétrage (permettant de détecter rapidement des modifications de la

périphérie), – Adresses PROFIsafe source et cible – Mode PROFIsafe – Type de passivation

● Les éléments suivants sont édités pour le DB global F du programme de sécurité : – Numéro du DB global F – Nom symbolique de F_GLOBDB – adresse absolue et symbolique de la signature globale du programme de sécurité – adresse absolue et symbolique pour la lecture du mode de fonctionnement – Adresse absolue et symbolique pour la lecture de l'information d'erreur – Adresse absolue et symbolique pour la lecture de l'instant de la génération – adresse absolue et symbolique pour la lecture du VKE 0 – adresse absolue et symbolique pour la lecture du VKE 1

● Informations complémentaires – Le réglage du paramètre "Mode de sécurité désactivable" pour le programme de

sécurité – Imprimé créé le – Le total des pages de cet imprimé

Voir aussi La boîte de dialogue "Programme de sécurité" (Page 253)

Génération et mise en service du programme de sécurité 10.9 Test du programme de sécurité


10.9 Test du programme de sécurité

10.9.1 Vue d'ensemble du test du programme de sécurité

Possibilités de test Par principe, toutes les fonctions de test par lecture (p. ex. la visualisation de variables) sont également possibles pour des programmes de sécurité et en mode de sécurité. L'objet à visualiser peut être un bloc de sécurité quelconque, mais il est judicieux de ne visualiser que les blocs de sécurité (PB F, FB F, FC F, DB de sécurité) que vous avez créés. La visualisation est possible sans restrictions. Le forçage de données du programme de sécurité à l'aide de la fonction "Visualisation/forçage de variables" et les accès en écriture via HW Config ou l'éditeur LOG/CONT sont possibles mais seulement avec des restrictions et lorsque le mode de sécurité est désactivé. D'autres accès en écriture au programme de sécurité ne sont pas autorisés et risquent d'entraîner l'ARRET de la CPU F.

Test avec la fonction STEP7 S7-PLCSIM Avec la fonction STEP 7 S7-PLCSIM, à partir de V5.3 (simulation du matériel), vous pouvez tester le programme de sécurité. Vous utilisez S7-PLCSIM comme dans le cas des programmes utilisateur standard.

Remarque Vous pouvez utiliser les blocs d'application F F_SENDDP, F_RCVDP, F_SENDS7, F_RCVS7 avec la fonction STEP 7 S7-PLCSIM (simulation du matériel). Sachez que lors de leur démarrage dans la CPU de simulation, les blocs d'application F signalent de manière permanente des "erreurs de communication".



10.9.2 Désactivation du mode de sécurité

Introduction En règle générale, le programme de sécurité s'exécute en mode de sécurité dans la CPU F, ce qui signifie que toutes les mesures de suppression d'erreurs sont activées. Dans ce mode, une modification du programme de sécurité n'est pas possible durant le fonctionnement (mode RUN). Pour pouvoir charger des modifications du programme de sécurité en mode RUN, vous devez désactiver le mode de sécurité du programme de sécurité. Le mode de sécurité reste désactivé jusqu'à la prochaine commutation STOP/RUN. L'option de désactivation du mode de sécurité peut être validée ou inhibée dans les propriétés de la CPU F (onglet "Paramètres F").

ATTENTION Etant donné que vous avez la possibilité d'effectuer des modifications du programme de sécurité en mode RUN lorsque le mode de sécurité est désactivé, vous devez tenir compte des points suivants : • La désactivation du mode de sécurité est prévue à des fins de test, de mise en service,

etc. Lorsque le mode de sécurité est désactivé, la sécurité de l'installation doit être assurée par d'autres mesures d'organisation, p. ex. la visualisation du fonctionnement et l'arrêt de sécurité manuel.

• La désactivation du mode de sécurité doit être signalée. L'imprimé du programme de sécurité contient pour cela l'adresse dans le DB global F ("F_GLOBDB".MODE) des variables que vous pouvez exploiter pour la lecture du mode de fonctionnement (1 = mode de sécurité désactivé). Ainsi, la désactivation du mode de sécurité n'est pas indiquée seulement sur le PG/PC, dans la boîte de dialogue correspondante, mais en exploitant la variable "Mode de sécurité désactivé" du DB global F, vous pouvez aussi la faire indiquer par un témoin de signalisation déclenché par le programme utilisateur standard ou par un message (une alarme) sur un système de contrôle-commande.

• Des modifications du programme de sécurité en mode RUN lorsque le mode de sécurité est désactivé risquent d'entraîner des effets de commutation. Le chargement de blocs de sécurité en mode de sécurité désactivé s'effectue de la même manière qu'en mode standard. Tenez compte des règles spécifiques à l'ordre de chargement dans l'aide en ligne de STEP 7.

• Il est recommandé de modifier séparément le programme utilisateur standard et le programme de sécurité, puis de charger les modifications séparément, car sinon, une erreur serait chargée simultanément dans le programme utilisateur standard et la fonction de protection requise serait détériorée dans le programme de sécurité ou des effets de commutations surviendraient dans les deux programmes.

• La désactivation du programme de sécurité doit pouvoir être constatée. La création d'un protocole s'avère nécessaire, si possible par émission de messages au système de contrôle-commande, et le cas échéant également par des mesures d'organisation. De plus, il est recommandé d'afficher une désactivation du mode de sécurité sur le système de contrôle-commande.

• Le mode de sécurité n'est désactivé que pour la CPU F. En cas de communication sécurisée entre CPU, vous devez tenir compte des points suivants : Quand la CPU F et le F_SENDDP ou le F_SENDS7 associé se trouvent en mode de sécurité désactivé, vous ne pouvez plus présumer que les données émises par cette CPU F ont été calculées dans les conditions de sécurité requises. Vous devez alors également assurer la sécurité des parties de l'installation influencées par les données émises, soit en prenant des mesures d'organisation comme fonctionnement sous surveillance et coupure manuelle de sécurité, soit dans la CPU F dans laquelle se trouve le F_RCVDP ou le F_RCVS7, en exploitant SENDMODE pour fournir des valeurs de remplacement de sécurité au lieu des données reçues.



Conditions requises pour désactiver le mode de sécurité Le paramètre "Mode de sécurité désactivable" dans l'onglet "Paramètres F" de la CPU F dans HW Config est validé (voir le chapitre "Configuration de la CPU F"). La CPU F se trouve à l'état de fonctionnement RUN et de mode de sécurité est activé.

Marche à suivre pour la désactivation du mode de sécurité 1. Sélectionnez la CPU F correcte ou le programme S7 qui lui est affecté. 2. Choisissez dans SIMATIC Manager la commande de menu Outils > Editer le programme


3. Entrez le mot de passe pour la CPU F s'il vous est demandé. 4. Vérifiez que le "Mode en cours :" affiche "Mode de sécurité activé". Si ceci est le cas,

poursuivez avec l'étape suivante, si non, interrompez la procédure, car le mode de sécurité est déjà désactivé ou ne peut pas l'être.

Remarque Un texte affiché entre crochets [abc] sous "Mode en cours" indique que les signatures globales et/ou les mots de passe ne concordent pas pour le programme de sécurité en ligne et hors ligne. Cela signifie : • soit que le programme de sécurité a été modifié hors ligne depuis son dernier

chargement, • soit qu'une CPU F erronée a été adressée. Vérifiez le second point au moyen de la

signature globale en ligne de tous les blocs F du dossier Blocs possédant l'attribut F.

5. Cliquez sur le bouton "Mode de sécurité" et saisissez le mot de passe du programme de sécurité en ligne. Lorsque le mot de passe est incorrect, le mode de sécurité n'est pas désactivé et reste actif.

6. Lorsque le mot de passe est correct, une autre interrogation s'affiche qui contient aussi la signature globale du programme de sécurité de la CPU F. Vérifiez qu'il s'agit bien de la signature globale escomptée.

7. S'il ne s'agit pas de la signature globale attendue, vérifiez si vous avez adressé la CPU F correcte et si elle contient les blocs de sécurité escomptés. Quittez pour cela toutes les applications STEP 7 et ouvrez la boîte de dialogue "Programme de sécurité" seulement après pour éviter des accès simultanés de plusieurs applications à la même CPU F.

8. Confirmez la désactivation du mode de sécurité en cliquant sur "OK". Le mode de sécurité est désactivé.



Vous pouvez ensuite charger des modifications du programme de sécurité dans la CPU F durant le fonctionnement (mode RUN).

Remarque Pour activer le mode de sécurité, il est nécessaire d'effectuer une commutation STOP/RUN de la CPU F. Une commutation STOP/RUN de la CPU F active toujours le mode de sécurité, même quand le programme de sécurité a été modifié ou qu'il n'est pas cohérent. La variable MODE dans le DB global F est mise à "0". Tenez-en compte lorsque vous exploitez la variable MODE pour effectuer la lecture du mode de fonctionnement. Si vous avez modifié votre programme de sécurité sans l'avoir généré et chargé une nouvelle fois, la CPU F risque de passer une nouvelle fois à l'état STOP.

Exploitation du mode de fonctionnement Mode de sécurité/Mode de sécurité désactivé Si vous désirez exploiter dans le programme de sécurité le mode de fonctionnement Mode de sécurité/mode de sécurité désactivé, vous avez la possibilité d'exploiter la variable "MODE" dans le DB global F (1 = mode de sécurité désactivé). La lecture de cette variable s'effectue par accès entièrement qualifié (p. ex. "F_GLOBDB".MODE). Le numéro et le nom symbolique du DB global F ainsi que l'adresse absolue des variables sont indiqués dans la sortie d'imprimante du programme de sécurité. Cela peut vous servir, par exemple, à passiver des périphéries F quand le programme de sécurité se trouve en mode de sécurité désactivé. Affectez pour cela la variable "MODE" du DB global F à toutes les variables "PASS_ON" dans les DB des périphéries F que vous souhaitez passiver.

ATTENTION Quand le programme de sécurité se trouve en mode de sécurité désactivé, l'exploitation de la variable "MODE" du DB global F a lieu également en mode de sécurité désactivé. Même quand la périphérie F est passivée par l'exploitation de la variable "MODE" en mode de sécurité désactivé, la sécurité de l'installation doit être assurée durant le mode de sécurité désactivé par d'autres mesures d'organisation, par exemple un fonctionnement sous surveillance et un arrêt de sécurité manuel.

Voir aussi Modification du programme de sécurité en mode RUN (Page 271)



10.9.3 Test du programme de sécurité

Introduction En mode de sécurité désactivé certaines mesures de suppression d'erreurs du programme de sécurité sont désactivées, de sorte qu'une modification en ligne à l'état de MARCHE du programme de sécurité est possible. Il est ainsi possible de modifier des données du programme de sécurité au moyen des outils standard de STEP 7.

Modification des données du programme de sécurité avec "Visualisation/forçage de variables" En plus des données qu'il est toujours possible de forcer pour un programme utilisateur standard, vous avez la possibilité de modifier les données suivantes d'un programme de sécurité via la fonction "Visualisation/forçage de variables" en mode de sécurité désactivé : ● la mémoire image de la périphérie de sécurité, ● les DB F (à l'exception des DB pour la communication entre groupes d'exécution F, des

DB d'instance de FB F, ● les DB d'instance des blocs d'application F, ● les DB de périphérie F (les signaux autorisés sont indiqués dans le chapitre "DB de

périphérie F")

Remarque Le forçage de la périphérie de sécurité est uniquement possible à l'état RUN de la CPU F. Dans la table de déclaration des variables, vous devez prévoir une ligne distincte pour chacune des voies à forcer, ce qui signifie que par exemple des voies TOR du type de données BOOL ne peuvent pas être forcées par octet ou par mot. Une table de variables permet de forcer au maximum 5 entrées/sorties. Vous pouvez utiliser plusieurs tables de variables. Vous ne pouvez réaliser le forçage d'une périphérie F configurée dont aucune voie, ni aucune variable du DB de périphérie F correspondant n'ont été utilisées dans le programme de sécurité. Dans votre programme de sécurité, utilisez à cet effet toujours au moins une variable du DB de périphérie F correspondant ou au moins une voie de la périphérie F à forcer. Comme point de déclenchement, vous devez paramétrer "Début de cycle" ou "Fin de cycle". Sachez cependant que quel que soit le point de déclenchement sélectionné, les tâches de forçage d'entrées (MIE) de la périphérie de sécurité sont toujours activées avant l'exécution du PB F et que les tâches de forçage de sorties (MIS) de la périphérie de sécurité sont toujours activées après exécution du PB F. Dans le cas des entrées (MIE), les tâches de forçage sont prioritaires par rapport à la mise à disposition des valeurs de remplacement, dans le cas des sorties (MIE), la mise à disposition des valeurs de remplacement est prioritaire par rapport aux tâches de forçage. Dans le cas de sorties (voies) qui ne sont pas activées dans les propriétés de l'objet de la périphérie-de sécurité dans HW Config (voir les Manuels relatifs à la périphérie de sécurité), les tâches de forçage n'ont d'effet que sur la MIS et pas sur la périphérie de sécurité. Comme condition de déclenchement, vous pouvez paramétrer aussi bien "Unique" que "Cyclique".



ATTENTION

Le forçage permanent de la périphérie de sécurité reste actif dans les cas suivants : • lors de l'interruption de la liaison entre la PG et la CPU F (en raison du retrait du

câble de bus), • lorsque la table des variables de réagit plus. La suppression de ces tâches de forçage est uniquement possible par un effacement général ou une commutation STOP/RUN de la CPU F, avec une interruption simultanée de la liaison avec votre PG/PC.

Test de câblage L'utilisation de noms symboliques pour les signaux facilite le test de câblage. Pour effectuer le test de câblage d'une entrée, modifiez un signal d'entrée et contrôlez si la nouvelle valeur parvient dans la MIE. Pour effectuer le test de câblage d'une sortie, modifiez la sortie en la forçant et contrôlez si l'actionneur souhaité répond. Lors du test de câblage (aussi bien d'une entrée que d'une sortie), veillez à ce que la CPU F exécute un programme de sécurité qui utilise au moins une voie de la périphérie F à forcer ou une variable du DB de périphérie F correspondant. Dans le cas d'une périphérie de sécurité pouvant également être mise en œuvre comme périphérie standard (p. ex. modules de signaux de sécurité S7-300), vous pouvez également effectuer le test de câblage des sorties par le forçage à l'état STOP, en utilisant la périphérie de sécurité non pas en mode de sécurité, mais comme périphérie standard. Tenez compte des règles complémentaires pour le test.

Remarque Un forçage contrôlé par le système F est uniquement possible avec STEP 7 et le logiciel optionnel S7 Distributed Safety. Un forçage de variables via un système de contrôle-commande ainsi qu'un forçage via STEP 7 sans le logiciel optionnel S7 Distributed Safety peuvent entraîner l'ARRET de la CPU F par la tâche de forçage. La sélection des fonctions de test /IBS doit être réalisée au moyen des outils standard de STEP 7 (éditeur LOG/CONT / éditeur de variables / HW Config). Une tentative de forçage d'un programme de sécurité en mode de sécurité est rejetée par un message d'erreur correspondant ou alors une boîte de dialogue vous est proposée pour désactiver le mode de sécurité. Le cas échéant, une tâche de forçage peut entraîner l'ARRET de la CPU F.

Ouverture de blocs de sécurité L'ouverture en ligne d'un bloc de sécurité dans la CPU F avec l'éditeur LOG/CONT est uniquement possible avec une protection contre l'écriture, ce qui signifie que vous ne pouvez pas modifier directement un bloc de sécurité dans la CPU F, même lorsque le mode de sécurité est désactivé. Vous devez l'éditer hors ligne, puis le charger.



Forçage de variables dans des DB de sécurité Le forçage de valeurs dans des DB de sécurité s'effectue uniquement en ligne dans la CPU de sécurité. Si la valeur doit également être modifiée hors ligne, vous devez également le réaliser hors ligne en éditant la valeur effective et en générant le programme de sécurité. Forcez uniquement les paramètres décrits dans la présente documentation.

Règles complémentaires pour le test ● Le forçage permanent n'est pas possible pour la périphérie de sécurité. ● La définition de points d'arrêt dans le programme utilisateur standard provoque des

erreurs dans le programme de sécurité : – écoulement de la surveillance du temps de cycle de sécurité, – erreur lors de la communication avec la périphérie F, – erreur lors de la communication sécurisée CPU-CPU, – erreur de CPU interne. Si vous souhaitez malgré tout utiliser des points d'arrêt pour le test, vous devez préalablement désactiver le mode de sécurité. Ceci provoque de plus les erreurs suivantes : – erreur lors de la communication avec la périphérie F, – erreur lors de la communication sécurisée CPU-CPU,

● Des modifications de la configuration de la périphérie de sécurité ou de la communication sécurisée CPU-CPU peuvent seulement être testées après enregistrement et chargement de la configuration matérielle et après génération et chargement dans la boîte de dialogue "Programme de sécurité".

Remarque Lorsque vous testez un programme de sécurité via la fonction "Visualisation/forçage de variables", cette fonction ne détecte pas toutes les modifications que vous effectuez parallèlement avec d'autres applications dans la CPU F. Dans le cadre d'une désactivation du mode de sécurité, il est ainsi p. ex. possible que la modification de la signature globale du programme de sécurité consécutive à une édition/modification ne soit pas détectée et qu'une ancienne signature globale soit affichée. Dans de tels cas, mettez fin à la fonction de "Visualisation/forçage de variable", puis redémarrez-la afin d'utiliser les données actualisées.

Fonction "Piloter sur le contact" La fonction "Piloter sur le contact" prise en charge à partir de STEP 7 V5.2, n'est pas prise en charge pour des blocs F.



Marche à suivre pour le test du programme de sécurité Pour effectuer le test, procédez de la manière suivante : 1. Désactivez le mode de sécurité. 2. Effectuez la visualisation et le forçage des données de sécurité et/ou de la(des)

périphérie(s) de sécurité souhaitées depuis une table des variables, depuis HW Config ou depuis l'éditeur LOG/CONT.

3. A la fin du test, mettez fin aux tâches de forçage existantes avant d'activer le mode de sécurité.

4. Pour activer le mode de sécurité, effectuez une commutation STOP/RUN de la CPU F. Si lors du test, le comportement de votre programme de sécurité ne correspond pas à vos attentes, vous avez la possibilité de modifier le programme de sécurité en mode RUN et de poursuivre le test immédiatement jusqu'à le comportement du programme de sécurité corresponde à vos attentes. De plus amples informations sur la modification du programme de sécurité en mode RUN sont données au chapitre "Modifications du programme de sécurité en mode RUN".

Test du programme de sécurité avec S7-PLCSIM Dans S7-PLCSIM, vous pouvez effectuer le contrôle-commande de votre programme de sécurité et réaliser d'autres accès en écriture à celui-ci. Pour utiliser S7-PLCSIM, il vous suffit de charger votre programme de sécurité cohérent dans S7-PLCSIM.

Remarque Pour réaliser le forçage des variables dans S7-PLCSIM, vous devez préalablement désactiver le mode de sécurité. Sinon, S7-PLCSIM risque de se mettre à l'état STOP. Vous pouvez uniquement désactiver le mode de sécurité dans la boîte de dialogue "Programme de sécurité".

La fonction de STEP 7, S7-PLCSIM, est décrite en détails dans le manuel utilisateur S7-PLCSIM V5.x. Structure du programme de sécurité dans S7 Distributed Safety. (Valeurs du processus ou de remplacement. Modification du programme de sécurité en RUN)

Voir aussi Structure du programme de sécurité dans S7 Distributed Safety (Page 57) Valeurs de processus ou de remplacement (Page 97) DB de périphérie F (Page 98) Chargement du programme de sécurité (Page 260) Modification du programme de sécurité en mode RUN (Page 271) Désactivation du mode de sécurité (Page 286)


Inspection de l'installation 1111.1 Vue d'ensemble de l'inspection de l'installation

Introduction Lors de la réception de l'installation, les normes pertinentes spécifiques à l'application et la marche à suivre décrite ci-après doivent être respectées. Cela s'applique également aux installations pour lesquelles la réception n'est pas obligatoire. Lors de la réception, vous devez tenir compte des tirages dans le rapport du certificat. En général, la réception d'un système F est réalisée par un expert indépendant.

Conditions La configuration matérielle et le paramétrage sont terminés. Le programme de sécurité a été créé et généré et est cohérent.

Marche à suivre Pour la réception de l'installation, procédez de la manière suivante : 1. Sauvegardez le projet STEP 7 complet. 2. Sélectionnez l'onglet "Hors ligne" dans la boîte de dialogue "Programme de sécurité". 3. Imprimez les données de projet avec tous les contenus d'impression (voir chapitre

"Impression des données du projet"). 4. Vérifiez toutes les impressions (voir chapitre "Vérification des impressions"). 5. Chargez le programme de sécurité complet dans la CPU F (voir chapitre "Vérifications

après le chargement du programme de sécurité dans la CPU F"). 6. Effectuez un test fonctionnel complet.

Voir aussi Chargement du programme de sécurité (Page 260) Impression des données de projet (Page 279) Test du programme de sécurité (Page 289)

Inspection de l'installation 11.2 Vérification des impressions


11.2 Vérification des impressions

Marche à suivre Vous vérifiez les impressions comme suit : 1. Vérifiez si les deux signatures dans le bas de page de l'imprimé concordent dans les 4

imprimés : – signature globale de tous les blocs F du dossier Blocs possédant l'attribut de sécurité, – signature des mnémoniques.

2. Dans le bas de page de l'imprimé, vérifiez si "Symbolique modifiée" a été édité. 3. Vérifiez l'impression de la configuration matérielle (voir chapitre "Réception de la

configuration de la CPU F et de la périphérie F"). 4. Vérifiez l'impression des blocs F que vous avez créés (PB F/FB F/FC F/DB F). 5. Vérifiez l'impression de la table des mnémoniques. 6. Vérifiez l'impression "Programme de sécurité" (voir chapitre "Réception du programme de

sécurité").

Remarque L'édition de "Symbolique modifiée" signifie que des affectations ont été modifiées pour des mnémoniques globaux ou locaux (par ex. modification de la table des mnémoniques ou de noms de paramètres de DB F ou de FB F) sans que ces modifications aient été appliquées à tous les FB F/FC F concernés. Pour y remédier, utilisez la fonction "Vérification de la cohérence des blocs" (voir l'aide en ligne de STEP 7). Le cas échéant, vous devez générer de nouveau le programme de sécurité.



11.2.1 Inspection de la configuration de la CPU F et de la périphérie F

Vérification de la configuration matérielle (contenu d'impression "Configuration matérielle...") 1. Contrôlez, sur la sortie imprimée, les paramètres de la CPU F.

Vérifiez en particulier le niveau de protection paramétré de la CPU F et si l'option "CPU contient programme de sécurité" est activée.

ATTENTION

En mode de sécurité, il faut qu'en cas de modification du programme utilisateur standard, l'accès par le mode de passe de la CPU F soit interdit, sans quoi le programme de sécurité pourrait également être modifié. Pour l'éviter, vous devez configurer le niveau de protection 1. Si une seule personne est autorisée à modifier le programme utilisateur standard et le programme de sécurité, il est recommandé de configurer le niveau de protection "2" ou "3" afin de restreindre ou d'interdire aux autres personnes l'accès au programme utilisateur global (programme standard et programme de sécurité).

2. Sur la sortie imprimée, vérifiez les paramètres de sécurité de toutes les périphéries F configurées. Vous trouvez les paramètres de sécurité sous "Paramètres - Paramètres F" et sous "Paramètres - Paramètres des modules". Pour des périphéries F que vous adressez via la communication sécurisée esclave I-esclave I, vous trouverez ces paramètres dans l'impression de la configuration matérielle de la station du maître DP (voir chapitre "Données de projet imprimées pour la configuration matérielle"). Pour les esclaves DP de sécurité normés/IO-Normdevice, vous trouverez les paramètre de sécurité sous "PROFIsafe". En ce qui concerne les autres paramètres (technologiques) de sécurité éventuels, consultez en outre la documentation sur l'esclave DP de sécurité normés/IO-Normdevice correspondant.

Remarque Les périphéries F qui, à l'exception des adresses PROFIsafe, doivent recevoir les mêmes paramètres de sécurité, peuvent être copiées lors de la configuration. Toujours à l'exception des adresses PROFIsafe, vous n'avez plus besoin de contrôler individuellement tous les paramètres de sécurité. Une comparaison des "CRC de paramètre (sans adresses F)" suffit en cas d'esclaves DP normés/IO-Normdevices de sécurité les "F_Par_CRC (sans adresses F)" de la périphérie F copiée avec le CRC correspondant de la périphérie F déjà contrôlée. Vous trouverez les "CRC de paramètre (sans adresses F)" dans l'impression de la configuration matérielle au niveau de la description de modules correspondante de la périphérie F.



3. Vérification de l'univocité des adresses cibles PROFIsafe

ATTENTION

Dans le cas de sous-réseaux PROFIBUS exclusifs : L'adresse cible PROFIsafe, et donc également la position du commutateur d'adresses de la périphérie F, doivent être univoques dans tout le réseau* et dans toute la station** (dans l'ensemble du système). Pour des SM F S7-300, modules F ET 200S, ET 200eco et ET 200pro, vous pouvez attribuer maximum 1022 adresses cibles PROFIsafe différentes. Exception : Dans différents esclaves I, les périphéries F peuvent avoir la même adresse cible PROFIsafe car elles sont accessibles uniquement au sein de la station, c'est-à-dire depuis la CPU F dans l'esclave I. Dans le cas de sous-réseaux Ethernet et de configurations mixtes composées de sous-réseaux PROFIBUS et Ethernet : L'adresse cible PROFIsafe, et donc également la position du commutateur d'adresse de la périphérie F, doivent uniquement*** être univoques dans l'ensemble du sous-réseau Ethernet, y compris dans tous les sous-réseaux PROFIBUS qu'il comporte, ainsi qu'au sein de la station** (dans l'ensemble du système). Pour des SM F S7-300, modules F ET 200S, ET 200eco et ET 200pro, vous pouvez attribuer maximum 1022 adresses cibles PROFIsafe différentes. Exception : Dans différents esclaves I, les périphéries F peuvent avoir la même adresse cible PROFIsafe car elles sont accessibles uniquement au sein de la station, c'est-à-dire depuis la CPU F dans l'esclave I. Un sous-réseau Ethernet se caractérise par le fait que les adresses IP de tous les partenaires mis en réseau possèdent la même adresse de sous-réseau, c'est-à-dire que les adresses IP sont identiques aux positions dont le masque de sous-réseau possède la valeur "1". Exemple : Adresse IP : 140.80.0.2. Masque de sous-réseau : 255.255.0.0 = 11111111.11111111.00000000.00000000 Signification : Les 2 premiers octets de l'adresse IP définissent le sous-réseau ; masque de sous-réseau = 140.80.

* Un réseau se compose d'un ou plusieurs sous-réseaux. "Sur l'ensemble du réseau" signifie au delà des limites des sous-réseaux. ** "au niveau de la station" signifie une station dans HW Config (par ex. une station S7-300 ou un esclave I) *** en cas d'exclusion de la communication PROFINET IO cyclique (communication RT) au delà des limites des sous-réseaux Ethernet

11.2.2 Réception du programme de sécurité

Vérification du programme de sécurité (contenu d'impression "Programme de sécurité") 1. Dans l'impression, vérifiez si les deux signatures globales concordent :



– signature globale de tous les blocs F du dossier Blocs possédant l'attribut de sécurité, – signature globale du programme de sécurité

2. Vérifiez si la version de S7 Distributed Safety avec laquelle l'imprimé a été créé (bas de page de l'imprimé) est ≥ à la version avec laquelle le programme de sécurité a été généré (section d'information de l'imprimé "Programme de sécurité").

3. Vérifiez si la version de S7 Distributed Safety avec laquelle le programme de sécurité a été généré (section d'information de l'imprimé "Programme de sécurité") correspond à la version dans l'annexe 1 du rapport du certificat.

4. Vérifiez si les signatures modifiées et les signatures de la valeur de début de tous les blocs d'application F et blocs système F concordent avec celles indiquées dans l'annexe 1 du rapport du certificat.

5. Vérifiez si vous avez indiqué de façon univoque, dans tout le réseau, le paramètre DP_DP_ID pour toutes les liaisons de communication sécurisée en ce qui concerne la communication sécurisée maître-maître, maître-esclave I, esclave I-esclave I et IO-Controller-IO-Controller.

6. Vérifiez si vous avez indiqué de façon univoque, dans tout le réseau, le paramètre R_ID pour toutes les liaisons de communication sécurisée en ce qui concerne la communication sécurisée via les liaisons S7.

7. Contrôlez que vous avez bien programmé un contrôle de vraisemblance dans le programme de sécurité pour toutes les données transférées à partir du programme utilisateur standard .

8. Contrôlez le nombre de groupes d'exécution F dans le programme de sécurité (max. 2) et si les blocs F requis dans le groupe d'exécution F sont présents.

9. Vérifiez, pour chaque groupe d'exécution F, si les valeurs suivantes dans l'information du groupe d'exécution F correspondent aux valeurs que vous avez configurées : – Numéro du F-CALL – Numéro du bloc de programme F appelé – le cas échéant, le numéro du DB d'instance correspondant – Temps de cycle maximum du groupe d'exécution F – Le cas échéant, le numéro du DB pour la communication entre groupes d'exécution F

10. Pour chaque périphérie F adressée dans le groupe d'exécution F, vérifiez : – Via l'adresse de début de la périphérie F, si le nom symbolique utilisé dans le

programme de sécurité et le numéro du DB de la périphérie F appartiennent à la bonne la périphérie F,

– Si la valeur du temps de surveillance concorde avec la valeur correspondante de la périphérie F ayant la même adresse de début dans la sortie imprimée "Configuration matérielle" (en cas d'esclaves DP normés/IO-Normdevices de sécurité "F_WD_Time"),

– Si, en cas de mise en œuvre de la périphérie F sur PROFINET IO ou dans des configurations mixtes sur PROFIBUS DP et PROFINET IO selon IE/PB Link, PROFIsafe V2-MODE existe,

– Si le type de la passivation correspond à la valeur que vous avez configurée. 11. Vérifiez les informations complémentaires :

– Si le paramétrage "Mode de sécurité désactivable" correspond à la valeur que vous avez configurée,

– A l'aide du total de pages de cet imprimé, si l'impression des données du projet est complète.

Voir aussi Impression des données de projet (Page 279)

Inspection de l'installation 11.3 Vérifications après le chargement du programme de sécurité dans la CPU F


11.3 Vérifications après le chargement du programme de sécurité dans la CPU F

Introduction Vous chargez le programme S7 dans la CPU F, comme décrit au chapitre "Chargement du programme de sécurité". Effectuez ensuite les vérifications décrites ci-après.

Remarque Le dernier chargement de blocs F avant la réception doit être réalisé via la boîte de dialogue "Programme de sécurité". Le chargement de modifications n'est pas suffisant.

Vérifications après le chargement 1. Après le chargement du programme de sécurité dans la CPU F, vérifiez :

– Si la signature globale en ligne de tous les blocs F avec l'attribut F du dossier Blocs concorde avec celle de l'impression hors ligne réceptionnée,

– Si aucun F-CALL inutilisé n'existe dans le programme de sécurité en ligne, – Si 2 blocs F-CALL maximum sont autorisés dans la CPU F.

Si ces conditions ne sont pas remplies, vérifiez si vous avez chargé le programme de sécurité dans la bonne CPU F et, le cas échéant, chargez de nouveau le programme de sécurité.

Remarque En cas de contrôles répétitifs, pour déterminer si le programme de sécurité correct se trouve dans la CPU F, comparez la signature globale en ligne de tous les blocs F avec attribut F du dossier Blocs avec celle figurant dans l'impression hors ligne réceptionnée. Si aucun(e) PG/PC n'est disponible pour des vérifications répétitives avec S7 Distributed Safety V5.4, vous pouvez charger la signature globale du programme de sécurité à partir du DB global F via un système de contrôle-commande. Vous trouvez l'adresse à laquelle est inscrite la signature globale du programme de sécurité dans le DB global F (variable "F_PROG_SIG") dans la sortie imprimée "Programme de sécurité". N'utilisez cette variante que si vous ne comptez pas faire de manipulation.

Voir aussi Chargement du programme de sécurité (Page 260)

Inspection de l'installation 11.4 Réception de modifications


11.4 Réception de modifications

Introduction Lors de la réception de modifications, vous devez procéder comme pour la première réception (voir chapitre "Vue d'ensemble de la réception de l'installation"). Pour la réception de modifications, les points suivants suffisent pour la vérification de la configuration matérielle, la vérification des blocs F ainsi que le test fonctionnel : ● Vérifiez, dans l'impression de la configuration matérielle relative aux paramètres de

sécurité de la périphérie F, les paramètres de sécurité des périphéries F modifiées ou venant d'être ajoutées.

● Vérifiez, dans l'impression des blocs F, les blocs F modifiés ou nouvellement ajoutés. ● Vérifiez, dans l'impression du programme de sécurité, les blocs d'application F modifiés

et les blocs système F au niveau de la concordance des signatures et des signatures de la valeur de début avec les signatures indiquées dans l'annexe 1 du rapport du certificat.

● Effectuez un test fonctionnel des modifications.

Marche à suivre fondamentale pour la détermination de modifications Pour déterminer des modifications de sécurité, comparez les deux signatures globales dans la section d'information de l'impression de "Programme de sécurité" du programme de sécurité modifié et à réceptionner de nouveau avec celles se trouvant dans l'impression du programme de sécurité réceptionné. Si les signatures sont différentes, une modification significative pour la sécurité existe dans la configuration de la CPU F et/ou de la périphérie F et/ou dans le programme de sécurité.

Détection de modifications de sécurité dans le paramétrage de la périphérie F Pour déterminer des modifications de sécurité dans le paramétrage de périphéries F adressées dans le programme de sécurité, comparez les CRC de paramètres de toutes les périphéries F dans l'impression "Programme de sécurité" de la section "Périphérie F adressée" avec celles de l'impression du programme de sécurité réceptionné. Si, pour une périphérie F, le "CRC de paramètre" est différent, une modification de sécurité existe alors dans le paramétrage de cette périphérie F, par ex. pour les adresses PROFIsafe également. Dans ce cas, comparez également les "CRC de paramètre (sans adresses F)", en cas d'esclaves DP normés/IO-Normdevices de sécurité les "F_Par_CRC (sans adresses F)", dans l'impression de la configuration matérielle modifiée avec le CRC correspondant dans l'impression de la configuration matérielle réceptionnée. Vous trouverez celle-ci dans la sortie imprimée de la configuration matérielle au niveau de la description de modules respective de la périphérie F. Si elle est identique, seules les adresses PROFIsafe ont été modifiées. Dans ce cas, vous ne devez plus vérifier individuellement tous les autres paramètres de sécurité de la périphérie F. Notez que l'univocité des adresses cibles PROFIsafe de l'ensemble des périphéries F configurées est assurée. Si vous souhaitez déterminer des modifications de sécurité dans le paramétrage de toutes les périphéries F configurées, vous devez comparer le "CRC de paramètre", en cas d'esclaves DP normés/IO-Normdevices de sécurité, le "F_Par_CRC", directement dans l'impression de la configuration matérielle. N'oubliez pas de comparer le CRC de paramètre des périphéries F que vous adressez via la communication esclave I-esclave I sécurisée.

Inspection de l'installation 11.4 Réception de modifications


Détection de modifications des adresses de début de la périphérie F Pour déterminer des modifications des adresses de début des périphéries F adressées dans le programme de sécurité, comparez les adresses de début de toutes les périphéries F dans l'impression "Programme de sécurité" de la section "Périphérie F adressée" avec celles de l'impression du programme de sécurité réceptionné. Si vous souhaitez déterminer des modifications des adresses de début de toutes les périphéries F configurées, vous devez les comparer directement dans l'impression de la configuration matérielle.

Détection de modifications dans le programme de sécurité Pour déterminer des modifications dans le programme de sécurité, comparez le programme de sécurité hors ligne modifié avec le programme de sécurité réceptionné enregistré (à l'aide du bouton "Comparer..." dans la boîte de dialogue "Programme de sécurité"). De cette manière vous voyez quels blocs F ont été modifiés. Déterminez les modifications dans les blocs F que vous avez créés (PB F/FB F/FC F/DB F) en comparant les impressions (contenu d'impression "Logigramme/Schéma à contacts").

Utilisation des logiciels avec un programme utilisateur standard Avec les logiciels que vous pouvez utiliser parallèlement pour le programme utilisateur standard et le programme de sécurité (par ex. SW-Redundancy), vous devez respectez certaines conditions annexes :

Remarque Si le programme de sécurité occupe des numéros de blocs (pour des FB, des DB et des FC), dont le logiciel a impérativement besoin, il peut s'avérer nécessaire de modifier le programme de sécurité de façon à libérer ces numéros de blocs, afin de pouvoir utiliser le logiciel. Vous devez alors de nouveau recevoir les modifications du programme de sécurité.

Voir aussi Chargement du programme de sécurité (Page 260) Comparaison de programmes de sécurité (Page 273) Test du programme de sécurité (Page 289)


Exploitation et maintenance 1212.1 Remarques relatives au mode de sécurité du programme de sécurité

Introduction Veuillez respecter les remarques importantes suivantes qui s'appliquent à l'exploitation de sécurité du programme de sécurité.

Utilisation d'appareils / de programmes de simulation

ATTENTION Si vous utilisez des appareils / programmes de simulation qui génèrent des télégrammes de sécurité, p. ex. génération selon PROFIsafe, et les mettent à la disposition du système de sécurité S7 Distributed Safety via le système de bus (p. ex. PROFIBUS DP ou PROFINET IO), vous devez garantir la sécurité du système F par des mesures organisationnelles, comme p. ex. la visualisation du fonctionnement et un arrêt de sécurité manuel. Si vous utilisez la fonction S7-PLCSIM de STEP7 pour la simulation de programmes de sécurité, ces mesures ne sont pas nécessaires, car S7-PLCSIM ne peut pas établir de liaison en ligne vers un composant S7 réel. Veuillez considérer qu'un analyseur de protocole ne doit par exemple pas exécuter de fonction pour la retransmission chronologiquement correcte de suites de télégrammes enregistrées.

STOP commandé par PG/ PC, commutateur de mode de fonctionnement ou fonction de communication

ATTENTION Le passage de l'état STOP à l'état RUN commandé par PG/PC, commutateur de mode de fonctionnement ou fonction de communication n'est pas verrouillé. Depuis la PG/le PC, il suffit par exemple d'appuyer sur une touche pour passer de STOP à RUN. C'est la raison pour laquelle, vous ne devez pas considérer le STOP que vous avez paramétré par commande PG/PC, par commutateur de mode de fonctionnement ou fonction de communication comme étant une condition de sécurité. Coupez toujours la CPU F directement sur l'appareil pour effectuer des travaux de maintenance.

Exploitation et maintenance 12.2 Remplacement de constituants logiciels et matériels


Commuter la CPU F à l'état STOP avec SFC 46 "STP"

ATTENTION Le passage à l'état STOP initié par SFC 46 "STP" peut être très facilement annulé par commande depuis la PG/le PC (même involontairement). C'est pourquoi le STOP obtenu via SFC 46 n'est pas un état STOP de sécurité.

Voir aussi Programmation d'une protection contre le démarrage (Page 94) Vue d'ensemble du test du programme de sécurité (Page 285)

12.2 Remplacement de constituants logiciels et matériels

Remplacement de constituants logiciels Lorsque vous remplacez des constituants logiciels sur votre PG/PC, par ex. une nouvelle version de STEP 7, vous devez tenir compte des informations concernant la compatibilité ascendante et descendante fournies dans la documentation et dans les fichiers lisezmoi des produits concernés.

Remplacement de constituants matériels Vous effectuez le remplacement de constituants matériels pour S7 Distributed Safety (CPU F, périphérie F, piles, etc.) comme pour les systèmes d'automatisation standard.

Brochage/débrochage de périphérie F à chaud Le brochage et le débrochage de modules de périphérie F à chaud est possible de la même façon que pour la périphérie standard. Veuillez cependant observer que le remplacement d'un module de périphérie en cours de fonctionnement peut engendrer une erreur de communication dans la CPU F. Vous devez acquitter l'erreur de communication dans votre programme de sécurité au niveau de la variable ACK_REI du DB de périphérie F. En l'absence d'acquittement, la périphérie F reste passivée.

Mise à jour du système d'exploitation de la CPU Contrôle de l'habilitation du système d'exploitation de la CPU à la sécurité : Avant de mettre en place un nouveau système d'exploitation CPU (mise à jour), vous devez contrôler que ce système d'exploitation CPU est bien homologué pour une utilisation dans un système F. Dans l'annexe au certificat il est indiqué à partir de quelle version le système d'exploitation de la CPU est homologué pour les applications de sécurité. Ces indications ainsi que d'éventuelles remarques relatives au nouveau système d'exploitation CPU sont à respecter impérativement.

Exploitation et maintenance 12.2 Remplacement de constituants logiciels et matériels


Mise à jour du système d'exploitation pour les modules d'interface Lorsque vous installez un nouveau système d'exploitation pour ce module d'interface, p. ex. IM 151-1 HIGH FEATURE ET 200S (pour la mise à jour du système d'exploitation voir l'aide en ligne STEP 7), vous devez respecter les indications suivantes : Si, à la mise à jour du système d'exploitation, vous avez activé la case d'option "Activer le microprogramme après chargement", l'IM est automatiquement réinitialisé après le chargement puis fonctionne avec le nouveau système d'exploitation. Après le démarrage de l'IM, toutes les périphéries F sont passivées. La réintégration des modules de la périphérie F s'effectue de la même façon qu'après une erreur de communication, c'est-à-dire qu'il faut un acquittement au niveau de la variable ACK_REI du DB de périphérie F.

Maintenance préventive (essais) Les valeurs de probabilité de défaillance des composantes homologuées du système F garantissent, pour les configurations usuelles, un intervalle de test de 10 ans. Vous trouverez des informations détaillées dans les manuels de la périphérie de sécurité. Les essais pour des composantes électroniques complexes signifient en général un remplacement par des matériels non utilisés. Si vous avec besoin, pour des raisons particulières, d'un intervalle de test supérieur à 10 ans, adressez-vous à votre agence Siemens. En général, un intervalle de test plus court est nécessaire pour les capteurs et les actionneurs.

Désinstallation de S7 Distributed Safety Pour désinstaller le logiciel, référez-vous au chapitre "Installation/désinstallation du logiciel optionnel S7 Distributed Safety V5.4 SP4". Le démontage et l'élimination des matériels d'un système F s'effectuent comme pour les systèmes d'automatisation standard; se référer aux manuels des matériels correspondants.

Voir aussi Installation/Désinstallation du logiciel optionnel S7 Distributed Safety V5.4 SP4 (Page 17) Accès à la périphérie F (Page 95)

Exploitation et maintenance 12.3 Guide de diagnostic


12.3 Guide de diagnostic

Introduction Vous trouverez dans ce chapitre l'ensemble des possibilités de diagnostic que vous pouvez exploiter pour votre système F en cas de défaut. La plupart des possibilités de diagnostic ne se distinguent pas de celles des systèmes d'automatisation standard. La séquence des étapes indiquée l'est à titre de recommandation.

Etapes d'analyse des possibilités de diagnostic Etape Marche à suivre Description, voir ... 1 Analyser les DEL sur le matériel (CPU F, périphérie F) :

• DEL BUSF de la CPU F : clignote en cas d'erreur de communication sur le PROFIBUS DP/PROFINET IO ; est allumée en cas d'erreur de programmation, lorsque l'OB 85 et l'OB 121 ont été programmés (p. ex. DB d'instance non chargé)

• DEL STP de la CPU F : est allumée lorsque la CPU F est à l'état de fonctionnement STOP

• DEL d'erreur de la périphérie F : p. ex. DEL SF (DEL d'erreur groupée) allumée, lorsqu'une erreur quelconque est survenue dans la périphérie F spéciale

Manuels relatifs à la CPU F et à la périphérie F

2 Analyser le tampon de diagnostic dans STEP 7 : lire le tampon de diagnostic des modules (CPU F, périphérie F, CP) dans HW Config à l'aide de la commande de menu Système cible > Etat du module

Aide en ligne de STEP 7 et manuels relatifs à la CPU F et à la périphérie F

3 Analyser les piles dans STEP 7 : lorsque la CPU F se trouve à l'état de fonctionnement STOP, choisir la commande de menu Système cible > Etat du module dans HW Config pour lire successivement : • la pile des blocs (pile B) vérifier si le passage en STOP de la CPU F

a été occasionné par un bloc F du programme de sécurité • la pile des interruptions (pile I) • la pile des données locales (pile L)

Aide en ligne de STEP 7

4 Analyser les variables de diagnostic du DB de périphérie F à l'aide de fonctions de test et de mise en service ou dans le programme utilisateur standard : analyser la variable DIAG dans le DB de périphérie F

Chapitre "Accès à la périphérie F"



Etape Marche à suivre Description, voir ... 5 Analyser les paramètres de diagnostic des DB d'instance des blocs

d'application F à l'aide de fonctions de test et de mise en service ou dans le programme utilisateur standard : • Pour F_MUTING, F_1oo2DI, F_2H_EN, F_MUT_P, F_ESTOP1,

F_FDBBACK, F_SFDOOR, analyser dans les DB d'instance correspondants : – le paramètre DIAG

• Pour F_SENDDP et F_RCVDP, analyser dans les DB d'instance correspondants : – le paramètre RETVAL14 – le paramètre RETVAL15 – le paramètre DIAG

• Pour F_SENDS7 et F_RCVS7, analyser dans les DB d'instance correspondants : – le paramètre STAT_RCV – le paramètre STAT_SND – le paramètre DIAG

Chapitre relatif au bloc d'application F correspondant

Analyse des variables/paramètres de diagnostic des DB de périphérie F/DB d'instance

Remarque Les variables/paramètres de diagnostic DIAG, RETVAL14, RETVAL15, STAT_RCV et STAT_SND fournissent des données de diagnostic détaillées. Vous pouvez lire ces données à l'aide des fonctions de test et de mise en service sur la PG ou un système de contrôle-commande ou les exploiter dans votre programme utilisateur standard. Dans le programme de sécurité, l'accès à ces paramètres n'est pas autorisé.

Analyse des variables/paramètres de diagnostic dans le programme utilisateur standard N'analysez pas les variable/paramètres de diagnostic dans le programme de sécurité mais procédez de la manière suivante : 1. Chargez dans votre programme utilisateur standard les informations de diagnostic des

variable/paramètres mentionnés ci-dessus du DB de périphérie F/du DB d'instance correspondant avec un accès au DB mentionnant l'adresse complète (exemple pour un DB de périphérie F : L "F00005_4_8_F_DI_DC24V".DIAG). A cet effet, attribuez le cas échéant un nom symbolique au DB d'instance dans la table des mnémoniques.

2. Stockez les données de diagnostic dans votre programme utilisateur standard, par exemple dans une zone de mémento, par ex. avec l'opération "T MB x".

3. Exploitez par ex. les différents bits des données de diagnostic dans votre programme utilisateur standard, dans l'exemple: M x.y

Astuce concernant RETVAL14 et 15 Les données de diagnostic des paramètres RETVAL14 et RETVAL15 correspondent à celles des SFC 14 et 15. Leur description est donnée dans l'aide en ligne de STEP 7 sur les SFC 14 et 15.



Astuce concernant STAT_RCV et STAT_SND La donnée de diagnostic du paramètre STAT_RCV correspond à celle du paramètre STATUS du SFB 9/FB 9. La donnée de diagnostic du paramètre STAT_SND correspond à celle du paramètre STATUS du SFB 8/FB 8. Leur description est donnée dans l'aide en ligne de STEP 7 sur les SFB 8 et 9.

Voir aussi Accès à la périphérie F (Page 95)


Liste de contrôle AA.1 Liste de contrôle

Cycle de vie des systèmes d'automatisation de sécurité Les tableaux suivants résument, sous forme de liste de contrôle, les activités intervenant pendant le cycle de vie d'un système de sécurité S7 Distributed Safety, avec les conditions et les règles qu'il importe de respecter.

Liste de contrôle Légende: ● Les références à des chapitres sans autre indication supplémentaire se rapportent à la

présente documentation. ● "DS" est l'abréviation du manuel système Technique de sécurité dans SIMATIC S7. ● "Man. AS F" est l'abréviation du manuel Automation System S7-300, Fail-Safe Signal

Modules. ● "Man. Modules F" est l'abréviation du manuel Système de périphérie décentralisée

ET 200S, Modules de sécurité. ● "Man. ET 200eco" est l'abréviation du manuel Périphérie décentralisée ET 200eco,

Modules de périphérie de sécurité. ● "Man. ET 200pro" est l'abréviation du manuel Périphérie décentralisée ET 200pro,

Modules de périphérie de sécurité. Phase A respecter Description sous... ContrôlePlanification Conditions préalables : "Safety requirements specification" est disponible pour l'application prévue

dépend du processus -

Spécification de l'architecture du système

dépend du processus -

Affectation des fonctions et sous-fonctions aux composantes du système

dépend du processus Chap. Présentation du produit ; DS, chap. 1.5, 2.4

Liste de contrôle A.1 Liste de contrôle


Phase A respecter Description sous... ContrôleChoix des capteurs et actionneurs

exigences sur les actionneurs Man. AS F, chap. 6.5 ; Man. Modules F, chap. 4.5 ; Man. ET 200eco, chap. 5.5 : Man. ET 200pro, chap. 4.4

Définition des caractéristiques de sécurité nécessaires des différents composants

• Norme DIN V 19 250 • CEI 61508

DS, chap. 4.7, 4.8

Configuration Installer le logiciel optionnel

Conditions préalables pour l'installation Chap. Installation/désinstallation...

Choix des composantes S7

Règles relatives à l'installation Chap. Composants matériels et logiciels ; DS, chap. 2.4 ; Man. AS F, chap. 3 ; Man. Modules F, chap. 3 ; Man. ET 200eco, chap. 3 : Man. ET 200pro, chap. 2

Configuration du matériel • Règles relatives aux systèmes F • Vérification des constituants matériels

utilisés selon l'annexe 1 du rapport de certification

Chap. Vue d'ensemble de la configuration, Particularités de la configuration... ; Annexe 1 du rapport du certificat

Configuration de la CPU F • Niveau de protection, "CPU contient programme de sécurité"

• Mot de passe • Définir/régler les paramètres

spécifiques à la sécurité • Définir l'instant de l'appel du groupe

d'exécution dans lequel le programme de sécurité doit être traité en fonction des exigences et des prescriptions de sécurité – comme pour le standard

Chap. Configuration de la CPU F ; S7-300 standard ; S7-400 standard ; IM 151-7 CPU

Configuration de la périphérie F

• Paramétrages pour le mode de sécurité

• Configurer les temps de surveillance • Définir le type de branchement de

capteur/exploitation de capteur • Définir le comportement de diagnostic • Attribuer les noms symboliques

Chap. Configuration de la périphérie F et suivants ; DS, annexe A ; Man. AS F, chap. 3, 9, 10 ; Man. Modules F, chap. 2.4, 7 ; Man. ET 200eco, chap. 3, 8 : Man. ET 200pro, chap. 2.4, 8

Enregistrement, compilation, chargement de la configuration matérielle

• Les données systèmes sont générées • Le DB global F, les blocs système F et

les DB de périphérie F sont générés

–



Phase A respecter Description sous... ContrôleProgrammation Conception du programme, définition de la structure du programme

• Respecter les avertissements et les remarques concernant la programmation

• Vérifier les constituants logiciels utilisés selon l'annexe 1 du rapport de certification

Chap. Vue d'ensemble de la programmation, Structure du programme..., Définition de la structure du programme ; Programmation d'une protection contre le démarrage par lecture ; Annexe 1 du rapport du certificat

Création/Insertion des blocs F

• Créer, éditer et enregistrer les FB F, FC F, DB F selon les spécifications de la structure du programme

• Règles relatives à : – Accès à la périphérie F – Passivation et réintégration de la

périphérie F – Insertion de blocs F de la

bibliothèque de sécurité Distributed Safety (V1) et des bibliothèques F créées par l'utilisateur

– Communication sécurisée CPU-CPU

– Communication avec le programme utilisateur standard

Chap. Création des blocs F dans LOG F/CONT F, La bibliothèque F Distributed Safety (V1) Chapitre Accès à la périphérie F Chapitre Réalisation d'un acquittement utilisateur Chap. bibliothèques F Chap. Configuration et programmation de la communication Chap. Echange de données entre les programmes utilisateurs standard et le programme de sécurité

Création de groupes d'exécution F

• Créer F-CALL • Affecter FB F/FC F au F-CALL • Paramétrer le temps de cycle max. du

groupe d'exécution F selon les exigences (dépend du processus et des prescriptions de sécurité)

• Créer le DB pour la communication entre groupes d'exécution F

Chap. Définition des groupes d'exécution F ; DS, annexe A

Génération du programme de sécurité

Chap. Génération du programme de sécurité

Implémentation de l'appel du programme de sécurité

Appel des blocs F-CALL directement dans des OB (p. ex. l'OB 35), FB ou FC

Chap. Définition des groupes d'exécution F

Installation Montage des matériels • Règles de montage

• Règles de câblage Chap. Vue d'ensemble de la configuration, Particularités de la configuration... ; Man. AS F, chap. 5, 6 ; Man. Modules F, chap. 3, 4 ; Man. ET 200eco, chap. 3, 4 : Man. ET 200pro, chap. 2, 3



Phase A respecter Description sous... ContrôleMise en service, test Mise sous tension Règles de mise en service – comme pour

le standard S7-300 standard ; S7-400 standard

Chargement du programme de sécurité et du programme utilisateur standard

• Règles de chargement • Règles d'identification du programme • Comparaison de programmes de

sécurité

Chap. Chargement du programme de sécurité Chap. Comparaison de programmes de sécurité

Test du programme de sécurité

• Règles pour la désactivation du mode de sécurité

• Marche à suivre pour modifier des données du programme de sécurité

Chap. Test fonctionnel du programme de sécurité ou Protection via identification du programme ; Test du programme de sécurité ; Désactivation du mode de sécurité

Modification du programme de sécurité

• Règles pour la désactivation du mode de sécurité

• Règles pour la modification du programme de sécurité

Chap. Modification du programme de sécurité en mode RUN, Désactivation du mode de sécurité, Suppression du programme de sécurité

Contrôle des paramètres relevant de la sécurité

Règles pour la configuration Chap. Impression des données de projet du programme de sécurité ; Man. AS F, chap. 4, 9, 10 ; Man. Modules F, chap. 2.4, 7 ; Man. ET 200eco, chap. 3, 8 : Man. ET 200pro, chap. 2.4, 8

Réception • Règles et informations concernant la réception

• Examiner les sorties imprimées

Chap. Réception de l'installation

Exploitation, maintenance Exploitation générale Informations concernant l'exploitation Chap. Remarques relatives au mode de

sécurité...

Protection de l'accès Chap. Protection de l'accès Diagnostic Réactions aux défauts et événements Chap. Guide de diagnostic Remplacement de constituants logiciels et matériels

• Règles relatives au remplacement des modules

• Règles relatives à la mise à jour du système d'exploitation de la CPU F – comme pour le standard

• Règles relatives à la mise à jour des constituants logiciels

• Informations relatives à la mise à jour du système d'exploitation des IM

• Informations relatives à la maintenance préventive

Chap. Remplacement des constituants logiciels et matériels, Accès à la périphérie F ; Aide en ligne STEP 7

Désinstallation, démontage

• Informations relatives à la désinstallation des constituants logiciels

• Informations relatives au démontage des modules

Installation/désinstallation..., Remplacement des constituants logiciels et matériels



Voir aussi Présentation (Page 13) Installation/Désinstallation du logiciel optionnel S7 Distributed Safety V5.4 SP4 (Page 17) Vue d'ensemble de la configuration (Page 23) Particularités de la configuration du système F (Page 25) Configuration de la CPU F (Page 26) Configuration de la périphérie F (Page 36) Vue d'ensemble des droits d'accès (Page 47) Vue d'ensemble de la programmation (Page 55) Structure du programme de sécurité dans S7 Distributed Safety (Page 57) Définition de la structure du programme (Page 74) Création de blocs F dans LOG F/CONT F (Page 76) Règles pour les groupes d'exécution F du programme de sécurité (Page 86) Accès à la périphérie F (Page 95) Présentation de la bibliothèque F Distributed Safety (V1) (Page 175) Bibliothèques F personnalisées (Page 251) Génération du programme de sécurité (Page 258) Chargement du programme de sécurité (Page 260) Modification du programme de sécurité en mode RUN (Page 271) Comparaison de programmes de sécurité (Page 273) Suppression du programme de sécurité (Page 277) Impression des données de projet (Page 279) Désactivation du mode de sécurité (Page 286) Test du programme de sécurité (Page 289) Vue d'ensemble de l'inspection de l'installation (Page 293) Remarques relatives au mode de sécurité du programme de sécurité (Page 301) Remplacement de constituants logiciels et matériels (Page 302) Guide de diagnostic (Page 304)




Glossaire

Adresse PROFIsafe Toute -> périphérie F possède une adresse PROFIsafe. Vous devez la configurer dans STEP 7 HW Config et la régler sur la périphérie F au moyen d'un commutateur.

Analyse de discordance L'analyse de discordance (valence/antivalence) est utilisée sur les entrées de sécurité pour détecter des erreurs lors du traitement simultané de deux signaux de même fonctionnalité. L'analyse de discordance est démarrée lorsque des niveaux différents sont constatés pour deux signaux d'entrée correspondants (dans le cas de la vérification d'antivalence : niveaux identiques). Le système vérifie si, après un délai défini, le -> temps de discordance, l'écart (en cas de contrôle de l'antivalence : la concordance) a disparu. Si cela n'est pas le cas, il y a une erreur de discordance. L'analyse de discordance est réalisée entre les deux signaux d'entrée de l'exploitation 1oo2 (1de2) du capteur (-> exploitation du capteur) dans l'entrée de sécurité.

Attribut F L'attribut F est affecté à tous les -> blocs F appartenant au -> programme de sécurité (repéré par un "F" dans le symbole du bloc F dans la boîte de dialogue "Programme de sécurité"). Après compilation du programme de sécurité, seuls les blocs du programme de sécurité sont dotés de l'attribut F.

Bibliothèques F créées par l'utilisateur Bibliothèques F créées par l'utilisateur contenant des FB F, des FC F et des modèles d'application (modèles de réseau).

Blocs F Les blocs F sont tous les blocs de sécurité : ● créés par l'utilisateur dans les langages -> LOG F/CONT F, F-CALL et DB F ● choisis par l'utilisateur dans une bibliothèque F ● complétés automatiquement dans le -> programme de sécurité (-> SB F, -> Blocs F

générés automatiquement, -> DB global F) Tous les blocs F sont représentés sur fond jaune dans la boîte de dialogue "Programme de sécurité" et dans le SIMATIC Manager.

Glossaire


Blocs F automatiquement générés -> Blocs F générés et, le cas échéant, appelés automatiquement à l'occasion de la génération du -> programme de sécurité pour générer un programme de sécurité exécutable à partir du programme de sécurité programmé par l'utilisateur.

Catégorie Catégorie selon EN 954-01 En -> mode de sécurité, S7 Distributed Safety permet une mise en œuvre allant jusqu'à la catégorie 4.

Classe de sécurité Niveau de sécurité (Safety Integrity Level) SIL selon CEI 61508 et pour EN 50129. Les mesures prises pour empêcher des erreurs systématiques ainsi que pour maîtriser ces erreurs systématiques et les défaillances matérielles sont d'autant plus sévères que le niveau de sécurité Safety Integrity Level est élevé. En mode de sécurité, S7 Distributed Safety permet une mise en œuvre allant jusqu'à la classe de sécurité SIL3.

Communication sécurisée Communication servant à l'échange de données de sécurité.

Communication standard Communication servant à l'échange de données non sécurisées.

CONT F -> LOG F

Coupleur DP/DP Appareil permettant de coupler deux sous-réseaux PROFIBUS DP, nécessaire pour réaliser la communication maître-maître entre des -> programmes de sécurité dans des -> CPU F distinctes du système S7 Distributed Safety. Au moins deux CPU F sont impliquées dans la communication sécurisée maître-maître via coupleur DP/DP. Chacune des deux CPU F est reliée au coupleur DP/DP par son interface PROFIBUS DP.

CPU F Une CPU F est une unité centrale de sécurité, homologuée pour l'utilisation dans S7 Distributed Safety et dans laquelle peut s'exécuter un -> programme de sécurité en plus du -> programme utilisateur standard.

Glossaire


CRC Cyclic Redundancy Check -> Valeur de contrôle CRC

DB de communication F Blocs de données de sécurité pour la communication sécurisée CPU-CPU via des liaisons S7.

DB de périphérie F Bloc de données de sécurité pour une -> périphérie F dans S7 Distributed Safety. Dans HW Config, un DB de périphérie F est généré automatiquement pour chaque module de périphérie F lors de la compilation. Le DB de périphérie F contient des variables que l'utilisateur peut lire, et peut ou doit écrire dans le programme de sécurité : ● pour la réintégration de la périphérie F à la suite d'une erreur de

communication/périphérie F/voie ● lorsque la périphérie F doit être passivée en fonction de certains états du programme de

sécurité (par ex. passivation de groupe) ● pour la modification du paramétrage d'esclaves DP de sécurité normés ● pour décider de la sortie de valeurs de remplacement ou de valeurs de processus.

DB F Blocs de données de sécurité pouvant être mis mettre en œuvre de manière optionnelle et auxquels l'accès est possible en lecture et en écriture dans l'ensemble du -> programme de sécurité (exception : DB pour la communication entre groupes d'exécution F

DB global de sécurité Bloc de données de sécurité contenant toutes les données globales du -> programme de sécurité ainsi que des informations supplémentaires pour le système F. Le DB global F est inséré et complété automatiquement lors de l'enregistrement et la compilation de la configuration matérielle sous HW Config. L'utilisateur a accès à certaines données du -> programme de sécurité par le nom symbolique F_GLOBDB.

DB pour la communication entre groupes d'exécution F -> DB F pour la communication sécurisée entre des groupes d'exécution F d'un programme de sécurité.

Démarrage du système F Au passage de l'état STOP à l'état RUN d'une -> CPU F, le -> programme utilisateur standard démarre comme d'habitude. Au démarrage du -> programme de sécurité, tous les blocs de données avec -> attribut F sont initialisés avec les valeurs de la mémoire de chargement, comme pour un démarrage à froid. Les informations d'erreur mémorisées sont perdues. Le -> système F effectue une -> réintégration automatique de la -> périphérie F.

Glossaire


Dépassivation -> Réintégration

Détecteur antivalent Un détecteur ou capteur antivalent est un inverseur qui, dans des -> systèmes de sécurité (à 2 voies), est connecté sur deux entrées d'une -> périphérie F (pour l'exploitation 1oo2 (1de2) des signaux du capteur; -> exploitation du capteur).

Erreur de périphérie F Erreur causée par un module ou une carte de périphérie F, par ex. erreur de communication ou erreur de paramétrage

Erreur de voie Erreur concernant une voie, p. ex. une rupture de fil ou un court-circuit.

Esclaves DP de sécurité normés Les esclaves DP de sécurité normés sont des esclaves exploités sur le PROFIBUS selon le protocole DP. Ils doivent répondre à la norme CEI 61784-1:2002 Ed1 CP 3/1 et au profil de bus PROFIsafe. Leur configuration est réalisée au moyen d'un fichier GSD.

Etat de sécurité Le principe du concept de sécurité dans des -> systèmes de sécurité est l'existence d'un état de sécurité pour toutes les grandeurs du processus. Pour la -> périphérie F TOR, il s'agit toujours de la valeur "0".

Exploitation du capteur L'on distingue deux types d'exploitation d'un capteur : ● l'exploitation 1oo1 (1de1) – le signal du capteur n'est lu qu'une fois, ● l'exploitation 1oo2 (1de2) – le signal du capteur est lu deux fois de la même -> périphérie

F et comparé de manière interne.

F-Application Blocks Dossier Blocs de la bibliothèque F Distributed Safety qui contient les -> blocs d'application F.

FB F Blocs fonctionnels de sécurité (avec DB d'instance) utilisés pour programmer le -> programme de sécurité en langage -> LOG F ou -> CONT F.

Glossaire


FC F FC de sécurité, utilisées pour programmer le -> programme de sécurité en langage -> LOG F ou -> CONT F.

F-CALL "Bloc d'appel F" pour le -> programme de sécurité dans S7 Distributed Safety. Le F-CALL est créé par l'utilisateur en tant que FC dans le langage "F-CALL" et ne peut pas être édité. Le F-CALL appelle le -> groupe d'exécution F dans le -> programme utilisateur standard. Il contient l'appel du -> PB F ainsi que les appels des blocs F automatiquement complétés (-> SB F, -> Blocs F générés automatiquement, -> DB global F) du groupe d'exécution F.

Fonction de réaction aux erreurs -> Fonction de sécurité utilisateur

Fonction de sécurité Mécanisme de sécurité intégré à la -> CPU F et à la -> périphérie F, permettant leur mise en œuvre dans des -> systèmes de sécurité. selon CEI 61508 : fonction mise en œuvre par un dispositif de sécurité afin de maintenir ou d'amener le système dans un -> état de sécurité en présence d'une erreur donnée. (-> fonction de sécurité utilisateur)

Fonction de sécurité utilisateur La -> fonction de sécurité pour le processus est réalisable soit par une fonction de sécurité utilisateur, soit par une fonction de réaction aux erreurs. L'utilisateur se contente de programmer les fonctions utilisateur de sécurité. Quand le -> système F ne peut plus exécuter, en cas d'erreur, la fonction de sécurité utilisateur proprement dite, il exécute la fonction de réaction à l'erreur : par ex., les sorties correspondantes sont désactivées et la -> CPU F passe en STOP, le cas échéant.

F-System Blocks Dossier Blocs de la bibliothèque F Distributed Safety contenant les -> SB F et le -> DB global F.

Groupe de potentiel dans les stations de périphérie décentralisée ET 200S et ET 200pro : Un groupe de potentiel est un groupe de modules électroniques alimentés par un module de puissance.

Glossaire


Groupe d'exécution F Le -> programme de sécurité est composé d'un ou de deux groupes d'exécution F. Un groupe d'exécution F est une ensemble logique de -> blocs F liés entre eux, formé de manière interne par le système F. Un groupe d'exécution F se compose des blocs F suivants: -> F-CALL, -> PB F, le cas échéant -> FB F/ -> FC F, le cas échéant -> DB F, -> DB de périphérie F, blocs F de la bibliothèque F Distributed Safety et des bibliothèques F créées par l'utilisateur, DB d'instance, -> DB F et -> blocs F générés automatiquement.

Intervalle de test Intervalle de temps après lequel un composant doit être mis à l'état de sécurité, c'est-à-dire est remplacé par un composant inutilisé ou est vérifié afin de garantir qu'il ne présente aucune erreur.

IO-Normdevices de sécurité Les IO-Normdevices de sécurité sont des normdevices exploités sur le PROFINET selon le protocole IO. Ils doivent répondre à la norme CEI 61784-1:2002 Ed1 CP 3/3 et au profil de bus PROFIsafe V2-MODE. Leur configuration est réalisée au moyen d'un fichier GSD.

les blocs d'application F Blocs F (FB F, FC F) avec des fonctions prédéfinies de la bibliothèque F Distributed Safety. Les blocs d'application F peuvent être appelés par l'utilisateur dans le -> PB F et dans d'autres -> FB F et -> FC F.

LOG F Langage de programmation pour les -> programmes de sécurité dans S7 Distributed Safety. Pour la programmation, on utilise l'éditeur LOG/CONT standard de STEP 7.

Mode de sécurité 1. Mode de fonctionnement de la -> périphérie F, dans lequel la -> communication

sécurisée est possible au moyen de -> télégrammes de sécurité. 2. Mode de fonctionnement du programme de sécurité. En mode de sécurité, tous les

mécanismes de sécurité pour la détection d'erreurs et la réaction aux erreurs sont activés. Dans cet état, il n'est pas possible de modifier le programme de sécurité pendant le fonctionnement. L'utilisateur peut désactiver le mode de sécurité (-> mode de sécurité désactivé).

Glossaire


Mode de sécurité désactivé Coupure temporaire du -> mode de sécurité à des fins de test, de mise en service, etc. Ce n'est qu'avec le mode de sécurité désactivé que sont possibles: ● le chargement de modifications du -> programme de sécurité, en fonctionnement, dans la

-> CPU F ● des fonctions de test comme "forçage" ou d'autres accès en écriture aux données du ->

programme de sécurité (avec des restrictions) Pendant la désactivation du mode de sécurité, la sûreté de l'installation doit être assurée par d'autres mesures d'organisation, par ex. fonctionnement sous surveillance et coupure manuelle de sécurité.

Mode standard Mode de fonctionnement de la -> périphérie F, dans lequel aucune -> communication sécurisée via des -> télégrammes de sécurité n'est possible, mais uniquement une -> communication standard.

Modules de périphérie de sécurité Modules ET 200eco pouvant être mis en œuvre pour le fonctionnement sécurisé (-> mode de sécurité). Ces modules disposent de -> fonctions de sécurité intégrées. Ils répondent à la norme CEI 61784-1:2002 Ed1 CP 3/1 et au profil de bus PROFIsafe.

Modules de sécurité Modules ET 200S et ET 200pro pouvant être mis en œuvre dans le système de périphérie décentralisé ET 200S ou ET 200pro pour un fonctionnement sécurisé (-> mode de sécurité). Ces modules disposent de -> fonctions de sécurité intégrées. Ils répondent à la norme CEI 61784-1:2002 Ed1 CP 3/1 et CP 3/3 et au profil de bus PROFIsafe.

Modules F -> modules de sécurité

MSR Mesure, commande, régulation

Organisme compétent La réception d'une installation, c'est-à-dire les essais en relation avec la sécurité est généralement effectuée par un organisme compétent indépendant (par ex. par le TÜV (centre de contrôle technique allemand)).

Paramètres i Paramètres individuels des -> esclaves DP de sécurité normés

Glossaire


Passivation En cas de passivation des entrées d'un module de -> périphérie F, le -> système F écrit dans la mémoire image des entrées pour le programme de sécurité des valeurs de remplacement (0) à la place des valeurs du processus disponibles aux entrées de sécurité. En cas de passivation des sorties d'un module de périphérie F, le système F transmet aux sorties de sécurité des valeurs de remplacement (0) à la place des valeurs de sorties fournies dans la mémoire image des sorties par le programme de sécurité.

PB F "Bloc F d'introduction" dans la programmation de sécurité du -> programme de sécurité dans S7 Distributed Safety. Le PB F est un -> FB F ou une -> FC F affecté par l'utilisateur au -> F-CALL d'un -> groupe d'exécution F. Le PB F contient le programme de sécurité LOG F ou CONT F, le cas échéant, des appels d'autres -> FB F/FC F pour la structuration du programme, le cas échéant, des blocs d'application F du dossier Blocs de -> F-Application Blocks de la bibliothèque F Distributed Safety et des blocs F des -> bibliothèques F créées par l'utilisateur.

Périphérie F Désignation regroupant les entrées et les sorties de sécurité disponibles dans SIMATIC S7 pour l'intégration entre autres dans S7 Distributed Safety. Pour S7 Distributed Safety, il existe : ● le module de périphérie de sécurité ET 200eco ● les modules de signaux de sécurité S7-300 (-> SM F) ● les -> modules de sécurité pour ET 200S ● les -> modules de sécurité pour ET 200Spro ● les -> esclaves DP de sécurité normés ● -> IO-Normdevices de sécurité

PROFIsafe Profil de bus de sécurité de PROFIBUS DP/PA et PROFINET IO pour la communication entre le -> programme de sécurité et la -> périphérie F dans un -> système F.

Programme de sécurité Programme utilisateur sécurisé

Programme utilisateur standard programme utilisateur non sécurisé

Glossaire


Protection de l'accès Les -> systèmes de sécurité doivent être protégés contre l'accès non autorisé, dangereux. Pour les systèmes F, la protection de l'accès est réalisée par attribution de deux mots de passe (pour la -> CPU F et pour le -> programme de sécurité).

Protocole de sécurité -> télégramme de sécurité

Réintégration Le basculement des valeurs de remplacement (0) sur les valeurs du processus (réintégration d'une -> périphérie F) se fait automatiquement ou seulement après acquittement utilisateur dans le DB de périphérie F. La nature de la réintégration est fonction : ● de la cause de la -> passivation de la périphérie F/des voies de la périphérie F ● d'un paramétrage dans le -> DB de périphérie F Après la réintégration, les valeurs du processus présentes aux entrées de sécurité d'un module -> de périphérie F sont de nouveau fournies dans la mémoire image des entrées pour le programme de sécurité. Le système F transmet de nouveau les valeurs de sortie écrites par le programme de sécurité dans la mémoire image des sorties aux sorties de sécurité d'un module de périphérie F.

S7-PLCSIM Avec S7-PLCSIM, vous pouvez éditer et tester votre programme sur un système d'automatisation simulé existant sur votre PG/PC. Puisque la simulation est entièrement réalisée dans STEP 7, vous n'avez pas besoin de matériel (CPU, périphérie).

SB F Blocs système de sécurité insérés et appelés automatiquement à l'occasion de la génération du -> programme de sécurité pour générer un programme de sécurité exécutable à partir du programme de sécurité programmé par l'utilisateur.

Signature -> signatures globales

Signature du programme -> signature globale

Glossaire


Signatures globales Les signatures globales caractérisent de manière univoque un état précis du -> programme de sécurité et des paramètres de sécurité de la CPU F et des périphéries F. Elles sont importantes pour la recette sur site du programme de sécurité par ex. par l'->organisme compétent. Les signatures suivantes sont visualisées par le logiciel de programmation (et peuvent être imprimées): ● signature globale de tous les blocs F du dossier Blocs possédant l'attribut de sécurité ● signature globale du programme de sécurité Pour une réception, ces deux signatures doivent coïncider.

SM F Modules de signaux de sécurité de la gamme des modules de signaux S7-300 pouvant être utilisés dans le fonctionnement de sécurité (-> mode de sécurité) en configuration centralisée dans S7 300 ou décentralisée dans le système de périphérie décentralisée ET200M. Les SM F sont dotés de -> fonctions de sécurité intégrées.

Systèmes de sécurité Les systèmes de sécurité (systèmes F) sont caractérisés en ceci qu'en cas de défaut, ils restent dans un état sûr ou passent immédiatement à un autre état sûr.

Systèmes F -> systèmes de sécurité

Télégramme de sécurité En mode de sécurité, les données entre la -> CPU F et la -> périphérie F ou la communication sécurisée CPU-CPU entre les CPU F sont transmises au moyen d'un télégramme de sécurité.

Temps de discordance Temps paramétrable pour l'->analyse de discordance. Si le temps de discordance paramétré est trop long, les temps de détection d'erreurs et -> de réaction aux erreurs sont inutilement rallongés. Si le temps de discordance paramétré est trop court, la disponibilité est diminuée de façon inutile, car une erreur de discordance est détectée en l'absence d'une erreur réelle.

Temps de réaction aux erreurs Pour le système F, le temps de réaction maximum aux erreurs correspond à la durée entre l'apparition d'une erreur quelconque et la réaction de sécurité sur toutes les sorties de sécurité concernées.

Glossaire


Valeur de contrôle CRC La validité des valeurs du processus contenues dans le -> télégramme de sécurité, l'exactitude des adresses affectées et les paramètres de sécurité sont vérifiées par une valeur de contrôle CRC contenue dans le télégramme de sécurité.

Glossaire



Index

A Accès à la périphérie F, 95

pendant le fonctionnement, 271 Via la mémoire image, 95

Accès aux variables du DB de périphérie F, 105 Accès en lecture au programme de sécurité, 51 Accès entièrement qualifié au DB, 61, 105 ACK_NEC, 98 ACK_REI, 98 ACK_REI_GLOB, 228 ACK_REQ, 98 Acquittement, 59 Acquittement de sécurité, 189 Acquittement utilisateur, 120

en cas d'interruption de la barrière photoélectrique, 193 Par bouton d'acquittement, 117, 120 Pour réintégration d'une périphérie F, 117, 120 Via un système de contrôle-commande, 117, 120

Actualisation des données de référence, 260 Allure des signaux lors de la passivation et de la réintégration de la périphérie F

Après des erreurs de communication, 108 Après des erreurs de périphérie F/voie, 110

Allure des signaux lors de la passivation et réintégration de la périphérie F

après démarrage du système F, 106 Passivation groupée, 114

ARRET (STOP) Commuter la CPU F à l'état STOP avec SFC 46 "STP", 301 par commande sur le PG/ PC, 301 par commutateur de mode de fonctionnement, 301 par fonction de communication, 301

Arrêt d'urgence jusqu'à la catégorie 1, 217 Assistance, 3

Supplémentaire, 3 Autorisations, 3 Avant-propos, 3

B Barrière photoélectrique, 193 Barrières photoélectriques reflex, 193 Bibliothèque F Distributed Safety V1, 175

Blocs F, 59 Répertoire, 55

Bibliothèque F Distributed Safety V1:Vue d'ensemble, 175 Bibliothèques F, 251

créées par l'utilisateur, 251 Bibliothèques F créées par l'utilisateur, 251 Bloc d'appel F, 59 Bloc de données, 61

Accès, 61 Bloc de programme F, 59, 86

Définir, 86 Blocs F, 59

Groupe d'exécution F, 59 Stocker en lecture seule, 77

Blocs F générés automatiquement, 260 Taille de bloc, 260

Blocs système F, 59, 249 Vue d'ensemble, 249

Boîte de dialogue ", 253 BOOL, 61

C Carte Flash, 267 Carte mémoire, 267 Centre de formation, 3 Chargement, 260

dans la boîte de dialogue "Programme de sécurité", 260 dans SIMATIC Manager ou dans l'éditeur LOG/CONT, 260 Pour le programme de sécurité, 260

Chargement dans S7-PLCSIM, 260 Chargement dans SIMATIC Manager ou dans l'éditeur LOG/CONT

Règles, 260 Cohérent, 257

Index


Communication via F_SENDS7 et F_RCVS7, 166

Communication CPU-CPU, 23, 25, 127, 135, 147, 170 Possibilités de, 23 sécurisée, 25, 135, 147 sécurisées, 170 Vue d'ensemble de la communication sécurisée, 127

Communication entre groupes d'exécution F, 86 Communication entre le programme utilisateur standard et le programme de sécurité, 123, 125 Communication esclave I-esclave, 159

Configuration, 159 Communication esclave I-esclave I, 152

Configuration, 152 Communication maître-esclave I, 142

Configuration, 142 Communication maître-maître, 131

Configuration, 131 Communication sécurisée, 86

entre groupes d'exécution F, 86 Communication sécurisée CPU-CPU, 23, 25, 59, 127, 135, 147, 235, 271

DB de communication F, 168 établir une nouvelle, 271 F_RCVDP, 229 F_SENDDP, 229 Possibilités, 23 Programmation, 127 Vue d'ensemble, 127

Communication sécurisée esclave I-esclave, 159 Configuration, 159 Configuration des plages d'adresses, 156

Communication sécurisée esclave I-esclave I, 147, 152 Configuration, 152 Configuration des plages d'adresses, 150 Programmation, 147

Communication sécurisée IO Controller-IO Controller, 165 Communication sécurisée maître-esclave I, 142

Configuration, 142 Configuration des plages d'adresses, 140 Programmation, 147

Communication sécurisée maître-maître Configuration, 131 Programmation, 135

Communication sécurisée maître-maître:Limites pour la transmission des données, 139 Communication sécurisée via des liaisons S7, 166

Configuration, 166 Programmation, 170

Communication sécurisée via liaisons S7:Limites pour la transmission des données, 172 Communication via liaisons S7, 166

Configuration, 166 Comparaison de programmes de sécurité, 273 Comportement à la mise en route

F_CTD, 181 Comportement après des erreurs de communication, 108 Comportement après des erreurs de périphérie F/voie, 110 Comportement après un démarrage, 106 Comportement au démarrage, 201, 207, 217, 220, 224

ACK_REI_GLOB, 228 F_1oo2DI, 201 F_CTU, 180 F_CTUD, 182 F_ESTOP1, 217 F_FDBACK, 220 F_MUT_P, 207 F_RCVDP, 229 F_RCVS7, 235 F_SENDDP, 229 F_SENDS7, 235 F_SFDOOR, 224 F_TOF, 187 F_TON, 185 F_TP, 183

Comptage, 180 Comptage et décomptage, 182 Conditions logicielles requises, 17 Configuration, 142, 152, 159, 166

avec fichier GSD, 39 comme pour le standard, 25, 36 Communication sécurisée maître-maître, 131 de la communication sécurisée esclave I-esclave, 159 de la communication sécurisée esclave I-esclave I, 152 de la communication sécurisée maître-esclave I, 142 de la communication sécurisée via des liaisons S7, 166 Diagnostic groupé, 36 esclaves DP de sécurité normés, 39 Liaison de communication entre deux CPU F via coupleur DP/DP, 131 Liaison de communication via coupleur DP/DP, 131 Niveau de protection de la CPU F, 26 Noms symboliques, 44 Paramètres F de la CPU F, 26 Particularités, 25

Index


Périphérie F, 36 Plages d'adresses pour communication sécurisée maître-esclave I, 140 Plages d'adresses pour la communication sécurisée esclave I-esclave, 156 Plages d'adresses pour la communication sécurisée esclave I-esclave I, 150 Réglage des adresses PROFIsafe, 36 Vue d'ensemble, 23

Configuration de la communication esclave I-esclave, 159 Configuration de la communication esclave I-esclave I, 152 Configuration de la communication maître-esclave I, 142 Configuration de la communication via des liaisons S7, 166 Configuration matérielle, 25

Enregistrement et compilation, 25 Connaissances de base, 3

Nécessaires, 3 Connecteurs, 179, 201, 205, 207, 217, 220, 224, 235, 243, 244, 245, 246, 248

ACK_REI_GLOB, 228 F_1oo2DI, 201 F_2H_EN, 205 F_2HAND, 191 F_ACK_OP, 189 F_BO_W, 245 F_CTD, 181 F_CTU, 180 F_CTUD, 182 F_ESTOP1, 217 F_FDBACK, 220 F_INT_RD, 248 F_INT_WR, 246 F_MUT_P, 207 F_MUTING, 193 F_RCVDP, 229 F_RCVS7, 235 F_SCA_I, 179 F_SENDDP, 229 F_SENDS7, 235 F_SFDOOR, 224 F_SHL_W, 243 F_SHR_W, 244 F_TOF, 187 F_TON, 185 F_TP, 183 F_W_BO, 245

Constituants F, 23 Configuration, 23

Constituants logiciels, 14, 302 Remplacement, 302

Constituants matériels, 14 CONT F, 61 Contrôle de cohérence d'un bloc, 84 Contrôle de vraisemblance, 125 Conventions, 3 Conversion de BOOL en WORD, 245 Conversion de WORD en BOOL, 245 Coupleur DP/DP, 134, 135

Configuration de la communication sécurisée maître-maître, 131 Programmation de la communication sécurisée maître-maître, 134, 135

Coupleur PN/PN, 165 CPU F, 23, 53

Création du droit d'accès, 53 Modifier le mot de passe existant de la CPU F, 53

Création de blocs F dans LOG F/CONT F, 76 Création de blocs F dans LOG F/CONT F:sans affectation à une CPU F, 76 Création de droits d'accès à la CPU F, 53 Création de modèles de réseau, 76 Création d'un modèle de réseau, 76 Création d'un programme de sécurité, 73 Création d'un retard à la montée, 185 Création d'un retard à la retombée, 187 Création d'une impulsion, 183 Création et édition de FB F/FC F, 77 Créer

FB F/FC F, 77 Critères de sécurité, 8

Accessibles, 8 Cycle de vie des systèmes d'automatisation de sécurité, 307

D DB de communication F

Communication sécurisée CPU-CPU, 168 Programmation, 168

DB de périphérie F, 44, 98, 304 Exploitation des variable/paramètres de diagnostic, 304 Noms symboliques, 44 Structure de DIAG, 98

DB d'instance, 61, 304 Accès, 61 Exploitation des variable/paramètres de diagnostic, 304

DB F, 81 Paramétrer la protection contre le piratage, 81

Index


DB global F, 59, 123, 250 DB pour la communication entre groupes d'exécution F, 86

Définir, 86 Décalage vers la droite de 16 bits, 244 Décalage vers la gauche de 16 bits, 243 Décomptage, 181 définir les groupes d'exécution F,, 86 Définition de la structure du programme, 74 Démarrage du système F, 94, 106 Désactivation du mode de sécurité, 286 Désinstallation, 251

S7 Distributed Safety, 251, 302 DIAG, 201, 205, 207, 217, 220, 224

DB de périphérie F, 98 F_1oo2DI, 201 F_2H_EN, 205 F_ESTOP1, 217 F_FDBACK, 220 F_MUT_P, 207 F_MUTING, 193 F_RCVS7, 235 F_SENDDP/F_RCVDP, 229 F_SENDS7, 235 F_SFDOOR, 224

Diagnostic, 304 Organisation de la documentation, 304

Diagnostic groupé, 36 pour SM F S7-300, 36

Diagrammes en fonction du temps, 183, 185, 187, 193, 201, 207, 229

F_1oo2DI, 201 F_MUT_P, 207 F_MUTING, 193 F_RCVDP, 229 F_SENDDP, 229 F_TOF, 187 F_TON, 185 F_TP, 183

Différences entres les langages de programmation LOG F/CONT F et les langages standard LOG/CONT, 61 Documentation, 3

Domaine de validité, 3 Supplémentaire, 3 Vue d'ensemble, 3

Données de projet pour le programme de sécurité, 279 Données locales, 61 Données locales F, 26

Nombre maximal possible, 26 Droit d'accès, 49, 53

Annuler pour la CPU F, 53

annuler pour le programme de sécurité, 49 Création pour le programme de sécurité, 49 Créer pour la CPU F, 53

E Ecriture indirecte de INT dans un DB F, 246 Editer

FB F/FC F, 77 Effacement général, 267, 289 Emission et réception de données via des liaisons S7, 235 EN, 61 ENO, 61 Entrée de validation, 61 Entrées/sorties de sécurité de la périphérie F, 25

Attribution de mnémoniques, 25 Erreur de communication, 108, 229

F_SENDDP/F_RCVDP, 229 Erreur de discordance sur la paire de détecteurs 1, 193

Diagrammes en fonction du temps, 193 Erreurs de périphérie F/voie, 110 Esclaves DP de sécurité normés

Configuration, 39 Essais, 302 Etats du programme de sécurité, 257 Exploitation, 304

Variable/paramètres de diagnostic, 304 Exploitation 1oo2 (1de2) avec analyse de discordance, 201

F F_1oo2DI, 201 F_2H_EN, 205 F_2HAND, 191 F_ACK_GL, 228 F_ACK_OP, 189 F_BO_W, 245 F_Check_SeqNr, 39 F_CRC_Length, 39 F_CTD, 181 F_CTU, 180 F_CTUD, 182 F_Dest_Add, 39 F_ESTOP1, 217 F_FDBACK, 220 F_GLOBDB, 123, 250 F_INT_RD, 248 F_INT_WR, 246 F_IO_StructureDescCRC, 39

Index


F_MUT_P, 207 F_MUTING, 193

Structure de DIAG, 193 F_MUTING parallèle, 207 F_Par_Version, 39 F_RCVDP, 229

Comportement en cas d'erreurs de communication, 229 Diagrammes en fonction du temps, 229 Programmation de la communication sécurisée esclave I-esclave I, 145 Programmation de la communication sécurisée maître-esclave I, 145 Programmation de la communication sécurisée maître-maître, 134, 135 Réception de données, 229 Structure de DIAG, 229

F_RCVS7, 166, 235 F_SCA_I, 179 F_SENDDP, 229

Comportement en cas d'erreurs de communication, 229 Diagrammes en fonction du temps, 229 Emission de données, 229 Programmation de la communication sécurisée esclave I-esclave I, 145 Programmation de la communication sécurisée maître-esclave I, 145 Programmation de la communication sécurisée maître-maître, 134, 135 Structure de DIAG, 229

F_SENDS7, 166, 235 F_SFDOOR, 224 F_SHL_W, 243 F_SHR_W, 244 F_SIL, 39 F_Source_Add, 39 F_TOF, 187 F_TON, 185 F_TP, 183 F_W_BO, 245 F_WD_Time, 39 F-Application Blocks, 59 FB 179, 179 FB 181, 180 FB 182, 181 FB 183, 182 FB 184, 183 FB 185, 185 FB 186, 187 FB 187, 189 FB 188, 191

FB 189, 193 FB 190, 201 FB 211, 205 FB 212, 207 FB 215, 217 FB 216, 220 FB 217, 224 FB 219, 228 FB 223, 229 FB 225, 235 FB 226, 235 FB F, 81

Paramétrer la protection contre le piratage, 81 FC 174, 243 FC 175, 244 FC 176, 245 FC 177, 245 FC 178, 246 FC 179, 248 FC F, 81

Paramétrer la protection contre le piratage, 81 F-CALL, 59, 74, 86

Définir, 86 Fichier GSD, 39

Configuration, 39 Paramètre, 39

Fonction de réaction aux erreurs, 8 Exemple, 8

Fonction de sécurité utilisateur, 8 Exemple, 8

Fonction F préprogrammées, 59 Fonction STEP 7 "Réassignation", 77 Fonctionnement, 179, 201, 205, 207, 217, 220, 224, 243, 244, 245, 246, 248

ACK_REI_GLOB, 228 F_1oo2DI, 201 F_2H_EN, 205 F_2HAND, 191 F_ACK_OP, 189 F_BO_W, 245 F_CTD, 181 F_CTU, 180 F_CTUD, 182 F_ESTOP1, 217 F_FDBACK, 220 F_INT_RD, 248 F_INT_WR, 246 F_MUT_P, 207 F_MUTING, 193 F_RCVDP, 229 F_RCVS7, 235 F_SCA_I, 179

Index


F_SENDDP, 229 F_SENDS7, 235 F_SFDOOR, 224 F_SHL_W, 243 F_SHR_W, 244 F_TOF, 187 F_TON, 185 F_TP, 183 F_W_BO, 245

Forçage de variables dans des DB de sécurité, 289 F-System Blocks, 59, 249

G Génération du programme de sécurité, 258 Groupe d'exécution F, 57, 59, 74

Blocs F, 59 Définition des groupes d'exécution F, 86 Règles pour les groupes d'exécution F, 86

I ID de partenaire, 166

de la liaison S7, 166 ID locale, 166

de la liaison S7, 166 Identification du programme, 267 IE/PB-Link, 165 IM 151-1 High Feature (ET 200S), 302 Impression des données de projet, 279 Imprimer

Programme de sécurité, 279 Incohérent, 257 Industrial Ethernet, 127

Communication sécurisée via, 127 Inhibition de redémarrage, 193

en cas d'interruption de la barrière photoélectrique, 193

Inhibition de redémarrage en cas d'interruption de la barrière photoélectrique, 207

F_MUT_P, 207 INT, 61 Internet, 3

Documentation SIMATIC, 3 Service & Support, 3

Interruption de la barrière photoélectrique, 193 Intranet Siemens, 3

Documentation SIMATIC, 3 IO-Normdevices de sécurité

Configuration, 39 IPAR_EN, 98

IPAR_OK, 98

J Journal du programme de sécurité, 278

L Langages de programmation LOG F et CONT F, 61 Lecture de données du programme utilisateur standard

qui peuvent évoluer durant l'exécution d'un groupe d'exécution F, 125

Lecture indirecte de INT depuis un DB F, 248 Liaison de communication entre deux CPU F via coupleur DP/DP, 131

Configuration, 131 Programmation, 131

Liaison de communication via coupleur DP/DP, 131 Configuration, 131 Programmation, 131

Liaisons bidirectionnelles, 131 Liaisons S7, 127, 170

Communication sécurisée via, 127 Programmation de la communication sécurisée, 170

Liaisons unidirectionnelles, 131 Limites pour la transmission des données:Communication sécurisée maître-maître, 139 Limites pour la transmission des données:Communication sécurisée via liaisons S7, 172 LIST, 77 Liste de contrôle, 307 LOG F, 61

M Maintenance préventive (essais), 302 Mémento, 61, 123 Mémoire de travail nécessaire, 260, 265

pour le programme de sécurité, 260, 265 Mémoire image, 95 Mémoire image des entrées, 61 Mémoire image des sorties, 61, 123 Mémoire nécessaire, 260

pour le programme de sécurité, 260 Mise à jour du système d'exploitation, 302 Mise à jour du système d'exploitation de la CPU, 302 Mise à l'échelle de INT, 179 MMC, 267 mode de sécurité, 301

pour le programme de sécurité, 301

Index


Mode de sécurité, 286 Désactiver, 286

Mode de sécurité désactivable, 27 Modification de groupes d'exécution F, 86 Modification des données du programme de sécurité, 289 Modification du programme de sécurité en mode RUN, 271 Modification du programme utilisateur standard, 271 Module universel, 131 Mot de passe

attribuer un nouveau mot de passe pour le programme de sécurité, 49 CPU F, 53 Création, 47 Interrogation, 47 Modification du mot de passe existant du programme de sécurité, 49 Programme de sécurité, 49 Validité, 47

N Niveau de protection de la CPU F, 26

Configuration, 26 Nom symbolique du DB de périphérie F, 105 Noms symboliques, 44

Création, 44 pour DB de périphérie F, 44

Numéro de référence, 3 S7 Distributed Safety, 3

O Objet de la documentation, 3 Onglet ", 39 Onglets spécifiques à la sécurité, 25 Opérations, 61 Opérations illicites, 61 Opérations prises en charge, 61 Opérations STEP 7, 61 Organisation de la documentation, 3 Ouverture de blocs de sécurité, 289

P Paramètres de diagnostic, 304

Exploitation, 304 Paramètres de sécurité, 25

Modifier, 25

Paramètres F de la CPU F, 26 Base pour adresses PROFIsafe, 26 Blocs de données F, 26 Blocs fonctionnels F, 26 Configuration, 26 Données locales F, 26

PASS_ON, 98 PASS_OUT/QBAD, 98 Passivation et réintégration de la périphérie F

après démarrage du système F, 106 Après des erreurs de communication, 108 Après des erreurs de périphérie F/voie, 110

Passivation groupée, 114 Périphérie F, 23, 302

Brochage/débrochage à chaud, 302 Périphérie F avec entrées, 97 Périphérie F avec sorties, 97 Plage de numéros

Blocs de données F, 26 Blocs fonctionnels F, 26, 39

Plages d'adresses pour communication sécurisée maître-esclave I, 140 pour la communication sécurisée esclave I-esclave, 156 pour la communication sécurisée esclave I-esclave I, 150

Plages d'adresses pour communication maître-esclave I

Définition, 140 Occupation, 140

Plages d'adresses pour la communication esclave I-esclave


Plages d'adresses pour la communication esclave I-esclave I


Possibilités de diagnostic, 304 Etapes d'exploitation, 304

Possibilités de test, 285 Présentation du produit, 8 Principe de création du programme de sécurité, 73 Principe des fonctions de sécurité dans S7 Distributed Safety, 8 Procédé d'inhibition de détection avec 4 détecteurs à inhibition, 193 Procédé d'inhibition de détection avec barrières photoélectriques reflex, 193 PROFIBUS DP

Constituants matériels, 14

Index


PROFIBUS IO Constituants matériels, 14

Programmation, 127, 134, 135, 147, 170 Communication sécurisée CPU-CPU, 127 Communication sécurisée esclave I-esclave I, 147 Communication sécurisée maître-esclave I, 147 Communication sécurisée maître-maître, 135 Contrôles de vraisemblance, 125 DB de communication F, 168 de la communication sécurisée CPU-CPU via des liaisons S7, 170 Passivation groupée, 114 Vue d'ensemble, 55

Programmation:Protection contre le démarrage, 94 programme de sécurité, 74, 279

Règles de structuration du programme, 74 Remarques relatives au mode de sécurité..., 301

Programme de sécurité, 14, 49, 53, 73, 257, 258, 260, 273, 285, 301

Chargement, 260 Comparer, 273 Création du droit d'accès, 49 Etapes de création du programme, 73 Génération, 258 Impression, 279 Incohérent, 257 Mot de passe, 49 Principe de création, 73 Structure, 57 Tester, 285 Transférer dans plusieurs CPU F, 53

Programme de sécurité, boîte de dialogue, 253 Programme de sécurité:Etats, 257 Protection, 81

contre le piratage de FB F/FC F/DB F, 81 Protection contre le démarrage, 94 Protection contre le piratage, 81

des FB F, FC F et DB F créés par l'utilisateur, 81 Protection contre le redémarrage, 94 Protection de l'accès, 47

Vue d'ensemble, 47

Q QBAD, 105

R Réalisation d'un acquittement utilisateur, 117, 120

dans le programme de sécurité de la CPU F d'un esclave DP intelligent, 120 Dans le programme de sécurité de la CPU F d'un maître DP, 117

Réglage des adresses, 36 PROFIsafe, 36

Réglage des adresses PROFIsafe, 36 Règles de structuration du programme, 74 Règles pour le chargement de blocs F dans SIMATIC Manager ou dans l'éditeur LOG/CONT, 260 Règles pour le test, 289 Règles pour les groupes d'exécution F, 86 Réintégration, 100, 119 Réintégration de la périphérie F, 106, 108, 110, 120

après démarrage du système F, 106 Après des erreurs de communication, 108 Après des erreurs de périphérie F/voie, 110 Passivation groupée, 114 Programmation d'un acquittement utilisateur, 117, 120

Réintégration d'une périphérie F, 97 RETVAL 14, 304 RETVAL 15, 304 Réutilisation de blocs F existants, 76

S S7 Distributed Safety, 14, 302

Désinstallation, 302 Etapes de création du programme, 73 Logiciel de configuration et de programmation, 14 Présentation du produit, 8 Principe des fonctions de sécurité, 8

S7-PLCSIM, 260, 285 Chargement dans, 260

Saisie/modification/annulation du mot de passe du programme de sécurité, 49 Sécurité de fonctionnement de l'installation, 8

Préservation, 8 Service & Support, 3

Automation and Drives, 3 SFC 46 "STP", 301

Commuter la CPU F à l'état STOP, 301 Simulateurs, 301

Utilisation, 301 Simulation, 260

du matériel, 260 Simulation du matériel, 260

Index


Sortie de valeurs de remplacement pour la périphérie F, 97 Sortie de validation, 61 Sorties de sécurité

Passivation longue durée, 302 STOP, 301 Structure des données

Protection, 39 Structure du programme de sécurité dans S7 Distributed Safety, 57 Surveillance de boucles de retour, 220 Surveillance de commande bimanuelle, 191 Surveillance de commande bimanuelle avec validation, 205 Surveillance de la porte de protection, 224 Système de sécurité S7 Distributed Safety, 8

Constituants matériels et logiciels, 14 Logiciel optionnel S7 Distributed Safety, 14 Programme de sécurité, 14

T Table des liaisons, 166 Taille, 260

Des blocs F générés automatiquement, 260 Temporisations et compteurs, 59 Temps de cycle, 86

pour groupe d'exécution F, 86 Test avec S7-PLCSIM, 289 Test de câblage, 289 Test du programme de sécurité, 289 Test fonctionnel complet du programme de sécurité, 267 Test fonctionnel du programme de sécurité, 267 TIME, 61 Transférer le programme de sécurité dans la CPU F, 267

avec un PG/PC, 267 avec une carte Flash, 267 avec une carte mémoire (MMC), 267

Transférer le programme de sécurité dans plusieurs CPU F, 53

Transfert de données du programme de sécurité au programme utilisateur standard, 123 du programme utilisateur standard au programme de sécurité, 125

Transmission des données:Limites pour la communication sécurisée maître-maître, 139 Transmission des données:Limites pour la communication sécurisée via liaisons S7, 172 Transporteur

A l'arrêt, 193 Types de données et de paramètres, 61 Types de données et de paramètres illicites, 61 Types de données et de paramètres pris en charge, 61

U Unlinked, 61

DB, 61 Utilisation de l'accès à un DB de périphérie F, 98

V Valeurs de processus ou de remplacement, 97 Valeurs de remplacement ou de processus, 97 Validation des modifications dans le programme de sécurité, 271 Variable de diagnostic, 304

Exploitation, 304 Variables d'un DB de périphérie F, 98 Vérification par identification du programme, 267 Visualisation/forçage de variables, 289

W WORD, 61

Z Zones d'opérandes, 61 Zones d'opérandes illicites, 61 Zones d'opérandes prises en charge, 61

Index


SIMATIC S7 Distributed Safety: feedbackA5E00297771-04

Siemens AG

A&D AS SM IDPostfach 1963D-92209 Amberg

Telefax: +49(9621)80-3103mailto:[email protected]

Your Feedback as regards the S7 Distributed Safety

Dear SIMATIC user,

Our goal is to provide you information with a high degree of quality and usability, and to continuouslyimprove the SIMATIC documentation for you. To achieve this goal, we require your feedback andsuggestions. Please take a few minutes to fill out this questionnaire and return it to me by Fax, e-mail orby post.

We are giving out three presents every month in a raffle among the senders. Which present would youlike to have?

SIMATIC Manual Collection Automation Value Card Laser pointer

Dr. Thomas Rubach,Head of Information & Documentation

General Questions

1. Are you familiar with the SIMATIC ManualCollection?

yes no

2. Have you ever downloaded manuals from theinternet?

yes no

3. Do you use Getting Starteds?

yes no

if yes, which:

4. How much experience do you have with theS7 Distributed Safety?

Expert

Experienced user

Advanced user

Beginner

Your Address:

Name:

Company:

Position:

Street:

Postal code / Place:

Email:

Phone:

Fax:

SIMATIC S7 Distributed Safety: feedbackA5E00297771-04

Please specify the documents, for which you want to answer the questions below:

A: Manual S7 Distributed Safety, D: Manual ET 200eco, Distributed I/O Configuring and Programming Fail-Safe I/O Module

B: Manual S7-300, Fail-Safe E: System DescriptionSignal Modules Safety Engineering in SIMATIC S7

C: Manual ET 200S, Distributed I/O SystemFail-Safe Modules

1. In which project phase do you use thisdocument frequently?

Information Assembly

Planning Commissioning

Configuration Maintenance & Service

Programming others:

2. Finding the required information in thedocument:

� How quickly can you find the desired information inthe document?

immediately not at all

after a brief after a long search search

� Which search method do you prefer?

Table of contents Index

Full-text search others:

� Which supplements/improvements would you like in order to help you find the required information �quickly?

3. Your judgement of the document as regardscontent.

� How satisfied are you with this document

Totally satisfied not very satisfied

Very satisfied not satisfied

Satisfied

� Were able to find the required information?

yes no

which was not:

4. What is the scope of the information?

Just right

Not enough - which topic:

Too detailed – which topic:

5. Is the information easy to understand (texts,figures, tables)?

yes no

if no, which was not:

6. Are examples important to you?

no, of less importance

yes, important –were the examplesenough?

yes no

if no, on which topic:

7. What are your suggestions as regards thecontents of the document?

Thank you for your cooperation

F: Getting StartedS7 Distributed Safety

G: ET 200pro Distributed I/O Device -Fail-Safe Modules

Documents

S7 Distributed Safety Configuration et programmation