Interactions entre les opérations du PAC de sécurité et la connexion cible

Introduction

Cette section décrit les interactions entre les opérations/états de la CPU de sécurité source et la connexion de l'équipement cible :

Temps de réaction système
Etat Run
Etat Stop/Halt
Redémarrage ou réinitialisation
Commande Initialiser SAFE
Mode Maintenance
CCOTF
Connexion/déconnexion/remplacement d'un équipement

Temps de réaction système

Le temps consommé par la communication CIP Safety (temps réseau attendu) est ajouté au temps de réaction du système de sécurité M580. Pour plus d'informations, reportez-vous à la section Incidence des communications CIP Safety sur le temps de réaction du système de sécurité.

Etat Run

Lorsque le système CIP Safety est à l'état Run :

Les bits de validité du DDDT de communication de l'équipement CIP Safety sont mis à jour en début de cycle de la tâche SAFE.
Les valeurs d'entrée sont mises à jour en début de cycle de la tâche SAFE, en fonction de la dernière valeur reçue.
Les valeurs de sortie sont mises à jour et transmises une fois la tâche SAFE exécutée.
Le bit Run_Idle des sorties est réglé sur 1 dans le DDDT de communication de l'équipement CIP Safety.
Les bits de validité du DDDT de communication de l'équipement CIP Safety sont mis à jour.

Etat Stop

Lorsque la tâche SAFE passe à l'état Stop (tâche arrêtée ou point d'arrêt atteint) :

La connexion Source->Cible reste ouverte.
Les échanges de données entre la CPU et l'équipement CIP Safety démarrent.
Les bits de validité du DDDT de communication de l'équipement CIP Safety sont mis à jour.
Le bit Run_Idle des sorties est réglé sur 0 dans le DDDT de communication de l'équipement CIP Safety et les équipements de sortie passent dans l'état de repli configuré.

Etat Halt

A l'état Halt, les valeurs de sortie ne sont pas envoyées de la CPU vers l'équipement CIP Safety et les bits de validité de l'équipement sont réglés sur 0.

Redémarrage ou réinitialisation

En cas de redémarrage ou de réinitialisation :

La partie sécurisée de l'application exécute un démarrage à froid.
Le PAC exécute la même séquence d'opérations que pour un téléchargement d'application.

Commande Initialiser SAFE

La commande Automate > Initialiser SAFE de Control Expert permet d'initialiser les valeurs du DDDT de communication de l'équipement CIP Safety, en rétablissant leurs valeurs d'usine par défaut.

Mode Maintenance

L'activation du mode Maintenance de la CPU de sécurité M580 n'a pas d'incidence sur les opérations de l'équipement CIP Safety. La CPU continue de comparer les calculs qu'elle et le coprocesseur réalisent séparément. En revanche, aucune autre comparaison n'est faite avec les valeurs du DDDT cible. C'est pourquoi un PAC fonctionnant en mode Maintenance n'est pas considéré comme sécurisé.

CCOTF

Les équipements CIP Safety ne prennent pas en charge la fonction Modifier la configuration en temps réel (CCOTF). Comme leurs paramètres de configuration proviennent non pas de la CPU source, mais d'un outil de configuration du réseau de sécurité (SNCT) fourni par le fabricant, il est impossible de modifier ces paramètres depuis la CPU.

Connexion/déconnexion/remplacement d'un équipement CIP Safety

Lors du démarrage d'une application ou de l'exécution d'une commande Automate > Initialiser SAFE , les bits CTRL_IN et CTRL_OUT du DDDT sont activés (1) par défaut. Si un équipement est connecté à un PAC en mode Stop ou Run et si son bit CTRL_IN ou CTRL_OUT est activé (1), les échanges de données démarrent automatiquement.

NOTE : un redémarrage active les bits CTRL_IN et CTRL_OUT. Aussi, veillez à prendre les mesures nécessaires dans l'application de tâche SAFE pour éviter toute opération involontaire lors d'un redémarrage.

AVERTISSEMENT

RISQUE DE COMPORTEMENT INATTENDU DE L'EQUIPEMENT

N'utilisez pas les bits CTRL_IN ou CTRL_OUT comme mesure de sécurité pour faire passer les données cibles à l'état sécurisé.

Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou des dommages matériels.

Lorsque le PAC détecte une erreur nécessitant l'arrêt de la connexion d'un équipement, il désactive (met à 0) le bit CTRL_IN ou CTRL_OUT correspondant. L'équipement reste à l'état désactivé jusqu'à ce qu'il repasse à 1 (par exemple, lorsque l'erreur est résolue et qu'une requête de réouverture de connexion est exécutée).

Pour exécuter une requête de réouverture de connexion, réactivez le bit de contrôle correspondant (CTRL_IN ou CTRL_OUT) en le réglant à nouveau sur 1 dans le DDDT.

Lorsque vous reconnectez un équipement, le délai de connexion varie en fonction de la durée de la tâche SAFE et du nombre d'équipements connectés :

Pour un équipement avec une durée de tâche SAFE inférieure à 100 ms, le délai de reconnexion estimé est inférieur à 2 secondes.
Pour plusieurs équipements, reportez-vous au graphique des délais de reconnexion estimés.

Pour le PAC CIP Safety, un remplacement d'équipement équivaut à une opération de déconnexion/reconnexion. Le nouvel équipement est reconfiguré en local avec les mêmes paramètres que l'équipement d'origine (le PAC n'intervient pas dans cette procédure).