Siemens SIMATIC ET 200SP Manuel page 61

Lors de l'arrêt de sécurité des modules DQ standard, vous atteignez SIL2/Cat.3/PLd.
Les sorties de modules DQ standard ne permettent pas une mise en circuit de sécurité,
mais uniquement une mise horscircuit de sécurité. C'est pourquoi vous devez tenir compte
des incidences suivantes :
Dans le pire des cas, vous devez vous attendre à toutes les erreurs possibles des modules
DQ standard et du programme qui ne peuvent pas être détectées directement. Par
exemple, les modules F-PM-E 24VDC/8A PPM ST et F-DQ 4×24VDC/2A PM HF ne
reconnaissent pas les courts-circuits externes sur L+ aux sorties des modules DQ
standard. Toutes les erreurs des modules DQ standard agissent via des actionneurs sur le
processus. La CPU F doit être informée du processus au moyen de capteurs et d'un
programme de sécurité correspondant.
Etant donné que les erreurs critiques pour la sécurité ne peuvent pas être détectées au
moyen d'autotests dans les modules DQ standard, le "diagnostic" doit être réalisé
indirectement par le processus piloté : Tant que le processus mal piloté n'est pas
dangereux, la commande de sécurité n'intervient pas. Une désactivation n'a lieu que
lorsque le comportement du processus est involontaire ou potentiellement dangereux.
Il en résulte que les temps de réaction aux erreurs dans les modules DQ standard ne
dépendent pas des temps de détection d'erreurs courts spécifiés dans S7, mais du
processus piloté et de l'exploitation des messages en retour qu'il émet.
Les données de process concernant la sécurité doivent être
• sûres du point de vue fonctionnel,
• lues via les entrées de sécurité ou des modules d'entrées de sécurité (p. ex. F-DI),
• la fonction de sécurité est exploitée localement dans le module de puissance F-PM-
• transmises par le module de sorties de sécurité pour la désactivation du relais de
• par le module de puissance de sécurité F-PM-E 24VDC/8A PPM ST.
Si le comportement prévu côté processus n'a pas lieu (en raison soit d'une erreur du
processus, soit d'une défaillance des modules DQ standard), les modules DQ standard
doivent être commutés à l'état de sécurité par le circuit de sécurité de niveau supérieur.
Pour cela, il faut en particulier tenir compte du temps de tolérance du processus aux
erreurs. En effet, pendant ce temps de tolérance, aucun danger n'émane d'un processus
éventuellement mal piloté.
Le programme de sécurité doit réagir de manière logiquement appropriée et dans un souci
de sécurité aux états indésirables ou potentiellement dangereux du processus, par
l'intermédiaire du F-PM-E 24VDC/8A PPM ST, F-DQ 4×24VDC/2A PM HF et des modules
de sorties de sécurité.
Module de puissance F-PM-E 24VDC/8A PPM ST (6ES7136-6PA00-0BC0)
Manuel, 07/2013, A5E03857934-01
ATTENTION
E 24VDC/8A PPM ST, ou transformée en commandes de sortie par la CPU de sécurité
et
sécurité correspondant ou
Cas d'application du module de périphérie F
5.4 Cas d'application pour l'arrêt de sécurité de modules standard
61