Introduction

Cette section décrit les opérations de l'équipement CIP Safety, y compris les mécanismes de détection des erreurs système et de réponse, ainsi que les états de fonctionnement de l'équipement :

  • Auto-contrôle de mise sous tension

  • Réponse à une erreur détectée non récupérable

  • Réponse à une erreur détectée récupérable

  • Gestion de la validité de la connexion cible

  • Etat Run/Repos de l'équipement CIP Safety

Auto-contrôle de mise sous tension de la source et de la cible CIP Safety

Lors de la mise sous tension et à chaque chargement d'une nouvelle application, le système CIP Safety exécute les opérations suivantes :

  • La CPU transfère les paramètres de configuration vers la pile CIP Safety (CSS) de la CPU et du coprocesseur.

  • La CSS, de la CPU et du coprocesseur, évalue le CPCRC pour chaque connexion.

  • Pour chaque connexion, le système CIP Safety compare le CPCRC téléchargé (calculé par le DTM source) aux CPCRC calculés par la CPU et par le coprocesseur.

  • La CSS verrouille la configuration source.

  • L'application lance des requêtes SafetyOpen de type 2 pour connecter chaque équipement CIP Safety.

  • Chaque équipement CIP Safety :

    • calcule son CPCRC et le compare à celui provenant de la source ;

    • compare l'identifiant SCID à celui stocké en interne (contrôle réservé aux équipements configurables).

Les échanges d'E/S entre les équipements source et cible démarrent seulement si tous ces tests sont concluants.

NOTE : en plus des auto-tests de mise sous tension ci-dessus, le système réalise les auto-tests d'exécution exigés par la norme CIP Safety IEC 61784-3.

Réponse à une erreur détectée non récupérable

Si les diagnostics de la CPU ou des E/S détectent une erreur, le système de sécurité place la partie concernée du système dans un état sécurisé. Cette partie est alors arrêtée et mise hors tension, et les entrées de sécurité sont réglées sur 0. Les sorties de sécurité concernées passent dans l'état de repli configuré.

Réponse à une erreur détectée récupérable

En général, les erreurs détectées récupérables concernent des événements, comme la perte de connexion d'un module. Elles sont signalées dans le bit de validité du DDDT de l'équipement (T_CIP_SAFETY_IO), lequel contient la valeur ET logique des bits de validité Status_IN et Status_OUT. En cas de détection d'une erreur récupérable sur une entrée, la valeur de l'entrée est forcée sur l'état sécurisé et réglée sur 0.

Gestion de la validité de la connexion cible

La validité de la connexion à la cible CIP Safety est signalée dans le bit de validité des paramètres Status_IN et Status_OUT, tel que décrit pour le type de données T_CIP_SAFETY_STATUS. La cible peut être ouverte et opérationnelle, ou une erreur peut être détectée.

Pour les entrées, l'état de connexion est fourni par le valideur de sécurité côté serveur. Pour les sorties, il provient du valideur de sécurité côté client.

Run/Repos

L'état de fonctionnement de l'équipement CIP Safety (Run ou Repos) est signalé dans le bit Run_Idle du paramètre Status_IN ou Status_OUT, tel que décrit pour le type de données T_CIP_SAFETY_STATUS.

Pour un équipement d'entrée :

Lors de la connexion d'un module d'entrée, le producteur (l'entrée) fait passer le bit Run_Idle à l'état Repos (0) jusqu'à ce que la coordination horaire initiale ait été exécutée. Ensuite, ce bit prend la valeur 1 (état Run) ou 0 (état Repos). Si le bit Run_Idle est à 0 (état Repos), les valeurs des données d'entrée sont forcées sur 0 (état sécurisé).

Pour un équipement de sortie :

La source (la CPU) règle le bit Run_Idle des sorties sur 1 lorsque le PAC passe à l'état Run et que la coordination horaire initiale a été exécutée. Elle règle ce même bit sur 0 lorsque le PAC passe à l'état Stop ou Repos, en cas d'échec de la coordination horaire initiale ou suite à la fermeture de la connexion. Si le bit Run_Idle est réglé sur 0 (état Repos), l'équipement de sortie doit appliquer l'état de repli approprié à ses sorties.