Académique Documents
Professionnel Documents
Culture Documents
Remarques importantes
Présentation du produit 1
2
SIMATIC Configuration
Safety Administration
Editor 3
Logiciel industriel
SIMATIC Safety - Configuration et 4
Protection d'accès
programmation
Programmation 5
Manuel de programmation et d'utilisation
Accès à la périphérie F 6
Réalisation d'un
acquittement utilisateur 7
Échange de données entre
le programme utilisateur
standard et le programme 8
de sécurité
Communication de sécurité 9
Compiler et mettre le
programme de sécurité en 10
service
Réception de l'installation 11
Exploitation et
maintenance 12
Instructions STEP 7 Safety
V18 13
Temps de surveillance et de
réaction A
DANGER
signifie que la non-application des mesures de sécurité appropriées entraîne la mort ou des blessures graves.
ATTENTION
signifie que la non-application des mesures de sécurité appropriées peut entraîner la mort ou des blessures
graves.
PRUDENCE
signifie que la non-application des mesures de sécurité appropriées peut entraîner des blessures légères.
IMPORTANT
signifie que la non-application des mesures de sécurité appropriées peut entraîner un dommage matériel.
En présence de plusieurs niveaux de risque, c'est toujours l'avertissement correspondant au niveau le plus élevé
qui est reproduit. Si un avertissement avec triangle de danger prévient des risques de dommages corporels, le
même avertissement peut aussi contenir un avis de mise en garde contre des dommages matériels.
Personnes qualifiées
L’appareil/le système décrit dans cette documentation ne doit être manipulé que par du personnel qualifié pour
chaque tâche spécifique. La documentation relative à cette tâche doit être observée, en particulier les consignes
de sécurité et avertissements. Les personnes qualifiées sont, en raison de leur formation et de leur expérience, en
mesure de reconnaître les risques liés au maniement de ce produit / système et de les éviter.
Utilisation des produits Siemens conforme à leur destination
Tenez compte des points suivants:
ATTENTION
Les produits Siemens ne doivent être utilisés que pour les cas d'application prévus dans le catalogue et dans la
documentation technique correspondante. S'ils sont utilisés en liaison avec des produits et composants d'autres
marques, ceux-ci doivent être recommandés ou agréés par Siemens. Le fonctionnement correct et sûr des
produits suppose un transport, un entreposage, une mise en place, un montage, une mise en service, une
utilisation et une maintenance dans les règles de l'art. Il faut respecter les conditions d'environnement
admissibles ainsi que les indications dans les documentations afférentes.
Marques de fabrique
Toutes les désignations repérées par ® sont des marques déposées de Siemens AG. Les autres désignations dans ce
document peuvent être des marques dont l'utilisation par des tiers à leurs propres fins peut enfreindre les droits de
leurs propriétaires respectifs.
Exclusion de responsabilité
Nous avons vérifié la conformité du contenu du présent document avec le matériel et le logiciel qui y sont décrits.
Ne pouvant toutefois exclure toute divergence, nous ne pouvons pas nous porter garants de la conformité
intégrale. Si l'usage de ce manuel devait révéler des erreurs, nous en tiendrons compte et apporterons les
corrections nécessaires dès la prochaine édition.
Remarque
Le manuel de programmation et d'utilisation "SIMATIC Safety - Configuration et
programmation" dans sa version actuelle (incluant le cas échéant des informations produit
relatives au manuel) est la source autorisée de toutes les informations sur la sécurité
fonctionnelle en ce qui concerne la configuration et la programmation. Cela vaut également
en cas de divergences entre ce manuel et d'autres documents sur la sécurité fonctionnelle eu
égard à la configuration et la programmation de SIMATIC Safety.
Vous devez tenir compte de tous les avertissements figurant dans le manuel de
programmation et d'utilisation "SIMATIC Safety - Configuration et programmation".
Remarque
Identification de version STEP 7 Safety Advanced V18 et STEP 7 Safety Basic V18
Les STEP 7 Safety Advanced V18 et STEP 7 Safety Basic V18 livrés portent l'identification de
version V18.0.1.0.
C'est pourquoi l'identification de version représentée est V18 SP1, p. ex. sur l'écran et dans
l'impression de sécurité.
Homologations
Le système F SIMATIC Safety est certifié pour l'utilisation en mode de sécurité jusqu'à :
• Classe de sécurité (Safety Integrity Level) SIL3 selon CEI 61508:2010
• Performance Level (PL) e et catégorie 4 selon ISO 13849-1:2015 ou selon
EN ISO 13849-1:2015
L'ensemble de la documentation SIMATIC S7 est disponible sur DVD. Vous trouverez plus
d'informations sur Internet (http://www.automation.siemens.com/mcms/industrial-
automation-systems-simatic/en/manual-overview/manual-collection/Pages/Default.aspx).
Guide de la documentation
La présente documentation décrit l'utilisation de STEP 7 Safety. Elle se compose de parties
décrivant les procédures et de parties de référence (description des instructions pour le
programme de sécurité).
La documentation traite des thèmes suivants :
• Configuration de SIMATIC Safety
• Protection d'accès pour SIMATIC Safety
• Programmation du programme de sécurité (programme utilisateur de sécurité)
• Communication de sécurité
• Instructions pour le programme de sécurité
• Assistance pour la réception de l'installation
• Exploitation et maintenance de SIMATIC Safety
• Temps de surveillance et de réaction
Conventions
Les conventions suivantes s'appliquent :
• Dans la présente documentation, les termes "technologie de sécurité" et "technologie F"
sont synonymes. Il en va de même des termes "de sécurité" et "F".
• Les "systèmes F" incluent les systèmes S7-1500HF redondants. Les particularités et
limitations des systèmes H sont décrites dans le manuel système "Système redondant
S7-1500R/H (https://support.industry.siemens.com/cs/ww/fr/view/109754833)" et
s'appliquent également aux systèmes S7-1500HF redondants.
• "STEP 7 Safety V18" est synonyme de "STEP 7 Safety Advanced V18" et
"STEP 7 Safety Basic V18"
• "(S7-300)" signifie que la section correspondante est valable uniquement pour les CPU F
S7-300. Les CPU F S7-300 incluent les CPU F ET 200S et ET 200pro (CPU IM F).
• "(S7-400)" signifie que la section correspondante est valable uniquement pour les CPU F
S7-400 ainsi que pour WinAC RTX F.
• "(S7-1200)" signifie que la section correspondante est valable uniquement pour les CPU F
S7-1200.
• "(S7-1500)" signifie que la section correspondante est valable uniquement pour les CPU F
S7-1500. CPU F S7-1500 inclut également les CPU HF S7-1500, les CPU F ET 200SP, la CPU
151xpro F-2 PN, le S7-1500 F Software Controller et le SIMATIC Drive Controller. Les
exceptions éventuelles sont indiquées.
Des combinaisons des domaines d'application sont possibles.
Le terme programme de sécurité désigne la partie du programme utilisateur relative à la
sécurité et est employée au lieu de "programme utilisateur de sécurité", "programme F", etc.
Pour faire la distinction, la partie ne concernant pas la sécurité du programme utilisateur est
désignée par "programme utilisateur standard".
La configuration matérielle comprend la configuration des CPU et des périphéries standard,
ainsi que la configuration des CPU et des périphéries F.
La configuration matérielle de sécurité comprend les paramètres relatifs à la sécurité des
CPU F et des périphéries F.
Les données de projet de sécurité incluent la configuration matérielle de sécurité, ainsi que
le programme de sécurité.
Remarque
Les avertissements sont caractérisés par un numéro unique figurant à la fin du texte. Ils
peuvent être ainsi facilement référencés dans d'autres documents, par exemple pour obtenir
une vue d'ensemble des exigences de sécurité pour l'installation.
Assistance supplémentaire
Pour toute question concernant l'utilisation des produits décrits dans le présent manuel à
laquelle le manuel n'apporte pas de réponse, veuillez vous adresser à l'interlocuteur Siemens
dont vous dépendez.
Vous trouverez votre interlocuteur sur Internet
(http://www.siemens.com/automation/partner).
L'index des documentations techniques proposées pour les différents produits et systèmes
SIMATIC est disponible sur Internet (http://www.siemens.com/simatic-tech-doku-portal).
Vous trouverez le catalogue en ligne et le système de commande en ligne sur Internet
(www.siemens.com/industrymall).
Centre de formation
Siemens propose des formations destinées aux personnes souhaitant se familiariser avec le
système d'automatisation S7. Pour tout renseignement, veuillez vous adresser à votre centre
de formation régional ou au centre de formation central à Nuremberg.
Vous trouverez plus d'informations sur Internet (http://www.sitrain.com).
Assistance technique
Pour contacter l'assistance technique pour tous les produits Industry Automation, utilisez le
formulaire Web (http://www.siemens.com/automation/support-request) de demande
d'assistance.
Vous trouverez des informations complémentaires sur notre assistance technique sur Internet
(http://www.siemens.com/automation/service).
Remarque
L'exploitant d'installations à caractère de sécurité doit respecter des exigences particulières
quant à la sécurité de fonctionnement. Le fournisseur est lui aussi tenu de prendre des
mesures particulières lors du suivi du produit. C'est pourquoi nous publions des informations
sous forme de notifications personnalisées relatives aux développements et propriétés du
produit qui sont ou pourraient être importants pour l'exploitation d'installations du point de
vue de la sécurité.
Pour vous tenir toujours informé et pouvoir le cas échéant procéder à des modifications de
votre installation, il est donc nécessaire que vous vous abonniez à ces notifications.
Inscrivez-vous auprès de Industry Online Support. Suivez les liens suivants et cliquez sur
"E-Mail pour mise à jour" à droite sur la page affichée :
• SIMATIC S7-300/S7-300F
(https://support.industry.siemens.com/cs/products?pnid=13751&lc=fr-WW)
• SIMATIC S7-400/S7-400H/S7-400F/FH
(https://support.industry.siemens.com/cs/products?pnid=13828&lc=fr-WW)
• SIMATIC S7-1500/SIMATIC S7-1500F/SIMATIC S7-1500HF
(https://support.industry.siemens.com/cs/products?pnid=13716&lc=fr-WW)
• SIMATIC S7-1200/SIMATIC S7-1200F
(https://support.industry.siemens.com/cs/products?pnid=13683&lc=fr-WW)
• Contrôleur logiciel (https://support.industry.siemens.com/cs/products?pnid=13911&lc=fr-
WW)
• Périphérie décentralisée
(https://support.industry.siemens.com/cs/products?pnid=14029&lc=fr-WW)
• STEP 7 (TIA Portal) (https://support.industry.siemens.com/cs/products?pnid=14340&lc=fr-
WW)
Les produits et solutions Siemens font l'objet de développements continus pour être encore
plus sûrs. Siemens recommande vivement d'effectuer des mises à jour dès que celles-ci sont
disponibles et d'utiliser la dernière version des produits. L'utilisation de versions qui ne sont
plus prises en charge et la non-application des dernières mises à jour peut augmenter le
risque de cybermenaces pour nos clients.
Pour être informé des mises à jour produit, abonnez-vous au flux RSS Siemens Industrial
Security à l'adresse suivante (https://www.siemens.com/cert) :
Industry Mall
L'Industry Mall est le catalogue et le système de commande de Siemens AG pour les solutions
d'automatisation et d'entraînements sur la base de Totally Integrated Automation (TIA) et
Totally Integrated Power (TIP).
Vous trouverez les catalogues de tous les produits des techniques d'automatisation et
d'entraînement sur Internet (https://mall.industry.siemens.com).
10.3.2.2 Charger les données de projet dans une CPU F S7-1200 avec carte programme enfichée .. 309
10.3.2.3 Enficher une carte transfert dans une CPU F S7-1200 ....................................................... 311
10.3.2.4 Charger les données de projet d'une CPU F S7-1200 de la mémoire de chargement
interne sur une carte mémoire SIMATIC vide .................................................................... 313
10.3.2.5 Mettre à jour les données de projet d'une CPU F S7-1200 à l'aide d'une carte transfert ...... 314
10.3.2.6 Charger les données de projet sur une carte mémoire SIMATIC et enficher la carte
mémoire SIMATIC ............................................................................................................ 314
10.3.3 Charger les données de projet dans une CPU F S7-1500.................................................... 315
10.3.3.1 Charger les données de projet dans une CPU F S7-1500.................................................... 315
10.3.3.2 Charger les données de projet dans un système redondant S7-1500HF ............................. 315
10.3.3.3 Charger les données de projet dans un contrôleur logiciel S7-1500 F ................................ 316
10.3.3.4 Charger les données de projet sur une carte mémoire SIMATIC et enficher la carte
mémoire SIMATIC ou le support de données amovible ...................................................... 318
10.3.4 Restaurer le programme de sécurité sauvegardé d'une CPU F ............................................ 320
10.3.5 Particularités lors de la création et de l'importation d'images d'un contrôleur logiciel S7-
1500 F............................................................................................................................. 321
10.3.6 Charger les données de projet (y compris les données de projet de sécurité) d'une CPU
F dans une PG/un PC (S7-1500) ........................................................................................ 322
10.3.7 Charger les données de projet (y compris les données de projet de sécurité) d'une carte
mémoire dans une PG/un PC (S7-1500) ............................................................................ 323
10.3.8 Charger la station PC via un fichier de configuration ......................................................... 324
10.3.8.1 Créer un fichier de configuration ...................................................................................... 325
10.3.8.2 Importer le fichier de configuration .................................................................................. 326
10.4 Identification du programme ........................................................................................... 330
10.5 Comparaison de programmes de sécurité ......................................................................... 331
10.6 Créer une impression de sécurité ..................................................................................... 334
10.7 Tester le programme de sécurité ...................................................................................... 336
10.7.1 Vue d'ensemble du test du programme de sécurité........................................................... 336
10.7.2 Mode de sécurité désactivé .............................................................................................. 337
10.7.2.1 Configuration de la durée limitée du mode de sécurité désactivé (S7-1200, S7-1500) ....... 337
10.7.2.2 Désactiver le mode de sécurité ......................................................................................... 338
10.7.3 Tester le programme de sécurité ...................................................................................... 341
10.7.4 Tester le programme de sécurité avec S7-PLCSIM ............................................................. 345
10.7.5 Modifier le programme de sécurité à l'état Marche (S7-300, S7-400) ................................ 349
10.7.6 Modifier le programme de sécurité à l'état Marche (S7-1200, S7-1500) ............................ 351
10.8 Historique des modifications F ......................................................................................... 358
11 Réception de l'installation ................................................................................................................. 360
11.1 Vue d'ensemble de l'inspection de l'installation ................................................................ 360
11.2 Correction du programme de sécurité, configuration matérielle comprise (test inclus) ...... 361
11.3 Intégralité de l'impression de sécurité .............................................................................. 362
11.4 Conformité des éléments de la bibliothèque système utilisés dans le programme de
sécurité avec l'annexe 1 du rapport sur le certificat TÜV .................................................... 363
11.5 Conformité des blocs F avec protection du know-how utilisés dans le programme de
sécurité avec leur documentation de sécurité ................................................................... 364
11.6 Intégralité et correction de la configuration matérielle...................................................... 366
11.7 Correction et intégralité de la configuration de la communication .................................... 373
13.2.2.9 P : Interroger front montant d'un opérande (STEP 7 Safety V18) ....................................... 424
13.2.2.10 N : Interroger front descendant d'un opérande (STEP 7 Safety V18) .................................. 425
13.2.2.11 P_TRIG : Interroger front montant du RLO (STEP 7 Safety V18) .......................................... 426
13.2.2.12 N_TRIG : Interroger front descendant du RLO (STEP 7 Safety V18) ..................................... 427
13.3 Fonctions de sécurité ....................................................................................................... 429
13.3.1 ESTOP1 : ARRÊT d'URGENCE/COUPURE d'URGENCE jusqu'à catégorie d'arrêt 1 (STEP 7
Safety V18)...................................................................................................................... 429
13.3.2 TWO_HAND : Surveillance de commande bimanuelle (STEP 7 Safety Advanced V18)
(S7-300, S7-400) ............................................................................................................. 434
13.3.3 TWO_H_EN : Surveillance de commande bimanuelle avec validation (STEP 7 Safety
V18) ................................................................................................................................ 437
13.3.4 MUTING : Inhibition (muting) (STEP 7 Safety Advanced V18) (S7-300, S7-400) ................. 442
13.3.5 MUT_P : Inhibition parallèle (STEP 7 Safety V18) ............................................................... 454
13.3.6 EV1oo2DI : Exploitation 1oo2 (1de2) avec analyse de discordance (STEP 7 Safety V18) ..... 467
13.3.7 FDBACK : Surveillance du circuit de réaction (STEP 7 Safety V18) ...................................... 474
13.3.8 SFDOOR : Surveillance de protecteur mobile (STEP 7 Safety V18) ...................................... 480
13.3.9 ACK_GL : Acquittement global de toutes les périphéries F d'un groupe d'exécution F
(STEP 7 Safety V18) ......................................................................................................... 486
13.4 Temporisations ................................................................................................................ 488
13.4.1 TP : Génération d'impulsion (STEP 7 Safety V18) ............................................................... 488
13.4.2 TON : Retard à la montée (STEP 7 Safety V18) .................................................................. 493
13.4.3 TOF : Retard à la retombée (STEP 7 Safety V18) ................................................................ 498
13.5 Compteurs....................................................................................................................... 503
13.5.1 CTU : Comptage (STEP 7 Safety V18) ................................................................................ 503
13.5.2 CTD : Décomptage (STEP 7 Safety V18) ............................................................................ 505
13.5.3 CTUD : Comptage et décomptage (STEP 7 Safety V18) ...................................................... 507
13.6 Comparaison ................................................................................................................... 510
13.6.1 CMP == : Égal à (STEP 7 Safety V18) ................................................................................. 510
13.6.2 CMP <> : Différent de (STEP 7 Safety V18) ........................................................................ 512
13.6.3 CMP >= : Supérieur ou égal à (STEP 7 Safety V18) ............................................................. 513
13.6.4 CMP <= : Inférieur ou égal à (STEP 7 Safety V18) .............................................................. 514
13.6.5 CMP > : Supérieur à (STEP 7 Safety V18) ........................................................................... 516
13.6.6 CMP < : Inférieur à (STEP 7 Safety V18) ............................................................................ 517
13.7 Fonctions mathématiques................................................................................................ 518
13.7.1 ADD : Addition (STEP 7 Safety V18) .................................................................................. 518
13.7.2 SUB : Soustraction (STEP 7 Safety V18) ............................................................................. 522
13.7.3 MUL : Multiplication (STEP 7 Safety V18) .......................................................................... 525
13.7.4 DIV : Division (STEP 7 Safety V18)..................................................................................... 528
13.7.5 NEG : Créer le complément à 2 (STEP 7 Safety V18) .......................................................... 531
13.7.6 ABS : Valeur absolue (STEP 7 Safety V18) (S7-1200, S7-1500) .......................................... 535
13.8 Transfert.......................................................................................................................... 536
13.8.1 MOVE : Copier valeur (STEP 7 Safety V18) ........................................................................ 536
13.8.2 RD_ARRAY_I : Lire valeur dans un tableau F INT (STEP 7 Safety V18) (S7-1500) ................. 537
13.8.3 RD_ARRAY_DI : Lire valeur dans un tableau F DINT (STEP 7 Safety V18) (S7-1500) ............. 540
13.8.4 WR_FDB : Écrire indirectement une valeur dans un DB F (STEP 7 Safety Advanced V18)
(S7-300, S7-400) ............................................................................................................. 542
13.8.5 RD_FDB : Écrire indirectement une valeur dans un DB F (STEP 7 Safety Advanced V18)
(S7-300, S7-400) ............................................................................................................. 544
13.9 Conversion ...................................................................................................................... 546
ATTENTION
Le système F SIMATIC Safety sert à la commande de processus dont l'état de sécurité peut
être atteint immédiatement par coupure. Cela s'applique en particulier aux systèmes
S7-1500HF redondants.
Vous ne pouvez utiliser SIMATIC Safety que pour la commande de processus dans lesquels
une coupure immédiate ne constitue aucun danger pour les personnes ou l'environnement.
Lors de la réalisation des applications de sécurité, création des données de projet de sécurité
comprise, vous devez tenir compte des normes et directives applicables pour votre
application. Intégrez notamment les normes dans lesquelles le processus de création de
logiciel est décrit (par exemple, CEI 61508-3 ou ISO 13849-1). (S062)
Remarque
Dans un système S7-1500HF redondant, le passage à l'arrêt de la CPU F du fait de la fonction
de réaction aux erreurs provoque le passage à l'arrêt de la CPU principale et de la CPU réserve.
Dans un système F SIMATIC Safety, vous pouvez utiliser les CP/CM suivants sur PROFIBUS DP
pour la connexion de la périphérie F décentralisée :
• CP 443-5 Extended
• CM 1243-5
• CM 1542-5
• CP 1542-5
• SP CM DP
STEP 7 Safety
La présente documentation décrit STEP 7 Safety Advanced V18 et STEP 7 Safety Basic V18.
STEP 7 Safety est le logiciel de configuration et de programmation pour le système F SIMATIC
Safety. Avec STEP 7 Safety, vous disposez :
• d'une assistance pour configurer la périphérie F dans l'éditeur de matériel et de réseaux de
TIA Portal,
• d'une assistance pour créer le programme de sécurité en CONT et LOG et pour y intégrer
des fonctions de détection d'erreurs,
• d'instructions – que vous utilisez déjà dans le programme utilisateur standard – pour
programmer votre programme de sécurité en CONT et LOG,
• d'instructions pour programmer votre programme de sécurité en CONT et LOG avec des
fonctions de sécurité spéciales.
STEP 7 Safety offre en outre des fonctions de comparaison des programmes de sécurité et
d'assistance lors de la réception de l'installation.
ATTENTION
Packs optionnels
Vous pouvez utiliser, en plus de STEP 7 Safety, des packs optionnels avec des périphéries F et
des CPU F, ainsi que des instructions pour la programmation de votre programme de sécurité
avec des fonctions de sécurité spéciales dans le système F SIMATIC Safety. Il peut, par
exemple, s'agir de SINUMERIK ou de HMI Mobile Panels de sécurité.
L'installation, le paramétrage et la programmation, ainsi que les points à respecter lors de la
réception de l'installation sont décrits dans la documentation des packs optionnels respectifs.
Tenez également compte des remarques sous "Configurations prises en charge par le système
F SIMATIC Safety (Page 65)".
ATTENTION
TIA Portal Cloud Connector doit être uniquement utilisé pour les tâches d'ingénierie avec
TIA Portal. Il est interdit de l'utiliser pour des accès en ligne en mode production (par
exemple, SCADA). Cela vaut en particulier pour les programmes de sécurité. (S068)
Openness
Les fonctions Openness (https://support.industry.siemens.com/cs/ww/fr/view/109798533)
énumérées ci-dessous sont prises en charge dans le cadre de STEP 7 Safety. Utiliser Openness
n'est pas autorisé en mode production.
Les fonctionnalités suivantes sont prises en charge dans le cadre de STEP 7 Safety :
• Enfichage/suppression de CPU F et de périphéries F
• Copie/suppression de CPU F et de périphéries F de modèles de copie
• Compilation de matériels
• Compilation de logiciels (dont le programme de sécurité)
• Gestion de la protection d'accès des données du projet de sécurité (en cas de projets TIA
non protégés par la protection de projet)
• Lecture/configuration des paramètres de sécurité de la CPU F
• Lecture/configuration des paramètres de sécurité des périphéries F
• Lecture/configuration des paramètres individuels des modules de sécurité ET 200SP
• Lecture, déclaration ou suppression de variables de sécurité dans la table de variables API
• Actualisation des blocs F du projet aux dernières versions de type
• Chargement de station cohérent
• Exportation et importation de blocs F et de types de données API (UDT) conformes F
• Comparaison de matériels et de logiciels
• Prise en charge de VCI (Version Control interface)
• Lecture de l'empreinte d'API en ligne pour le programme de sécurité
La fonction suivante n'est pas prise en charge :
• Chargement dans l'appareil
ATTENTION
Lorsque vous utilisez Openness ou d'autres outils pour l'utilisation de TIA Portal en lien avec
des données du projet de sécurité, vous devez assurer l'intégrité de ces données (par
exemple, dans le cadre de l'enregistrement ou de la transmission par des applications de
gestion du code source). En cas de connexion à des outils externes, respectez les exigences
pour les outils logiciels hors ligne (outils logiciels autonomes) selon la norme IEC 61508-3.
Une violation de l'intégrité des données du projet de sécurité en ligne ou hors ligne ne peut
pas être constatée par STEP 7 Safety. Il faut effectuer un contrôle final de la correction des
données de projet relatives à la sécurité comme décrit sous Réception de l'installation
(Page 360). (S070)
Les programmes Openness peuvent également être intégrés comme add-in dans TIA Portal. Il
est aussi possible d'intégrer des add-ins de workflow qui sont appelés automatiquement
avant la compilation d'un programme de sécurité. Voir à ce sujet l'aide en ligne standard,
sous "Étendre les workflows".
Si vous avez intégré un add-in de workflow, celui-ci est imprimé dans l'impression de sécurité
à des fins de documentation.
Service Openness
L'interface Openness (Siemens.Engineering.dll) est étendue avec les services suivants :
• GlobalSettings (voir l'espace de nom Siemens.Engineering.Safety) qui mettent les
actions suivantes à disposition :
– SafetyModificationsPossible(bool safetyModificationsPossible)
– UsernameForFChangeHistory(string userName)
– bool SafetyModificationsPossible()
– string UsernameForFChangeHistory()
• SafetySignatureProvider qui mettent les actions et propriétés suivantes à
disposition :
– SafetySignatureComposition Signatures
– UInt64 SafetySignature.Value
– SafetySignatureType SafetySignature.Type
• SafetyAdministration avec les actions et propriétés suivantes dans l'espace de nom
Siemens.Engineering.Safety.
– bool IsSafetyOfflineProgramPasswordSet
– void SetSafetyOfflineProgramPassword(SecureString newPassword)
– void RevokeSafetyOfflineProgramPassword(SecureString
currentPassword)
– bool IsLoggedOnToSafetyOfflineProgram
– void LoginToSafetyOfflineProgram(SecureString currentPassword)
– void LogoffFromSafetyOfflineProgram()
Environnements virtuels
ATTENTION
Utilisation d'environnements virtuels dans le système d'ingénierie
Notez qu'un hyperviseur ou le logiciel client d'un hyperviseur n'est pas autorisé à exécuter
une fonction qui reproduit des séquences de télégrammes enregistrées avec un
comportement temporel correct dans un réseau avec des CPU F et des périphéries F réelles.
Veillez à ce que cette condition soit remplie, par exemple, lors de l'utilisation des fonctions
suivantes :
• Réinitialisation d'états acquis (snapshots) des machines virtuelles (VM)
• Suspension et reprise des VM (suspend & resume)
• Reproduction de séquences enregistrées (replay) dans les VM
• Déplacement de VM entre les hôtes en mode production (par exemple, Fault Tolerance
(FT))
• Jumeaux numériques de VM dans l'environnement virtuel
En cas de doute, désactivez ces fonctions dans les paramètres (console d'administration de
l'hyperviseur). (S067)
ATTENTION
Programme de sécurité
Vous créez un programme de sécurité dans l'éditeur de programme. Vous programmez les FB
et FC de sécurité dans les langages de programmation LOG ou CONT avec les instructions de
STEP 7 Safety et vous créez les DB de sécurité.
Des vérifications de sécurité sont automatiquement effectuées lors de la compilation du
programme de sécurité et des blocs de sécurité supplémentaires sont intégrés pour la
détection d'erreurs et la réaction aux erreurs. Cela garantit que les défaillances et erreurs
éventuelles sont détectées et que des réactions appropriées sont déclenchées pour maintenir
ou amener le système F dans un état de sécurité.
Un programme utilisateur standard peut également s'exécuter dans la CPU F en plus du
programme de sécurité. La coexistence du programme standard et du programme de sécurité
dans une CPU F est possible, car le programme utilisateur standard ne peut pas affecter
involontairement les données de sécurité du programme de sécurité sans que cela ne soit
détecté.
Un échange de données entre le programme de sécurité et le programme utilisateur standard
dans la CPU F est possible au moyen de mémentos, des données d'un DB standard ou de
l'accès à la mémoire image du processus.
Tenez compte des restrictions/particularités éventuelles lors de l'utilisation d'unités logicielles
ou d'une unité Safety (Page 113).
Voir aussi
Transfert de données du programme de sécurité au programme utilisateur standard
(Page 192)
Introduction
Dans STEP 7 Safety Advanced, vous pouvez réutiliser des projets avec des programmes de
sécurité que vous avez créés avec S7 Distributed Safety V5.4 SP5.
Condition
STEP 7 Safety Advanced, S7 Distributed Safety V5.4 SP5 et le F-Configuration Pack avec
lequel le projet a été créé doivent être installés sur l'ordinateur que vous utilisez pour la
migration. Les versions V5.4 SP5 à V5.5 SP13 du F-Configuration Pack sont prises en charge.
Vous devez avoir compilé les projets dans S7 Distributed Safety V5.4 SP5 et avec le F-
Configuration Pack.
Avant la migration
Avant la migration, supprimez tous les blocs F qui ne sont pas utilisés par le programme de
sécurité dans votre projet S7 Distributed Safety V5.4 SP5.
Remarque
Si vous utilisez des blocs F avec protection du know-how dans le programme de sécurité à
migrer, supprimez la protection du know-how avant la migration.
Vous pouvez réactiver la protection du know-how des blocs F après la migration.
La procédure de migration est décrite sous "Migration" dans l'aide de STEP 7 Professional.
Seules les particularités pour STEP 7 Safety Advanced sont décrites ci-après.
Remarque
Nous vous recommandons d'activer l'option "Inclure la configuration matérielle" dans la
fenêtre "Migrer le projet".
Après la migration
Après la migration, vous obtenez un projet complet avec un programme de sécurité qui a
conservé la structure de S7 Distributed Safety ainsi que la signature globale F. Les blocs F de
la bibliothèque F S7 Distributed Safety (V1) sont convertis en instructions fournies par STEP 7
Safety Advanced.
Il n'est pas nécessaire de réceptionner à nouveau le projet migré qui peut être chargé tel quel
dans la CPU F à condition qu'il n'ait pas été édité ou compilé après la migration.
Remarque
Impression de sécurité
Vous ne pouvez pas générer d'impression de sécurité dans STEP 7 Safety Advanced pour un
projet migré. L'impression du projet générée avec S7 Distributed Safety V5.4 SP5 et les
documents de réception associés restent valables parce que la signature globale F a été
conservée.
Remarque
Lors de la première compilation du programme de sécurité migré, l'appel du F-CALL est
automatiquement remplacé par un appel du Main Safety Block si le bloc appelant du F-CALL a
été créé avec le langage de programmation CONT, LOG ou LIST.
Remarque
Changement de version du système Safety
Avant la première compilation avec STEP 7 Safety Advanced, vous devez changer la version
du système Safety en une version différente de 1.0 dans la section "Settings" de l'éditeur
Safety Administration Editor. Nous recommandons l'utilisation de la version la plus élevée
disponible.
Remarque
Utilisation de la dernière version des instructions
Si vous voulez étendre le programme de sécurité migré, nous vous conseillons de convertir la
version des instructions utilisées à la version disponible la plus récente avant la première
compilation avec STEP 7 Safety Advanced. Tenez compte des remarques sur les versions de
l'instruction concernée.
Remarque
Notez que la compilation du programme de sécurité migré entraîne un allongement du
temps d'exécution du ou des groupes d'exécution F ainsi qu'une augmentation de la mémoire
de travail requise pour le programme de sécurité (voir également le fichier Excel de calcul des
temps de réaction (https://support.industry.siemens.com/cs/ww/fr/view/109783831)).
Voir aussi
Exemple d'application "Migration d'un programme de sécurité vers TIA Portal"
(https://support.industry.siemens.com/cs/ww/fr/view/109475826)
Remarque
Une nouvelle réception est nécessaire après la migration de la CPU F.
Voir aussi
Programmation (Page 108)
1.8.1 Mise à niveau de projets de STEP 7 Safety à partir de V14 SP1 vers V18
Si vous voulez travailler avec un projet de STEP 7 Safety à partir de V14 SP1, vous devez le
mettre à niveau vers STEP 7 Safety V18.
Procédez pour la mise à niveau comme il est d'usage dans STEP 7. Après la mise à niveau vers
V18, vous devez compiler votre programme de sécurité.
Lorsque vous avez mis à niveau un projet <= V17 vers V18 et l'avez compilé, la signature
globale F reste identique mais la comparaison de versions des programmes en ligne et hors
ligne indique une modification. Procédez ici comme décrit au chapitre "Équivalence des
programmes en ligne et hors ligne (Page 376)".
Tenez compte du fait que les éventuels historiques de modifications ne sont pas mis à niveau.
Toutes les entrées antérieures sont effacées après la mise à niveau. Si nécessaire, imprimez le
journal des modifications avant la mise à niveau.
1.8.2 Mise à niveau de projets de STEP 7 Safety V13 SP1/SP2 vers V18
Si vous voulez travailler avec un projet de STEP 7 Safety V13 SP1, vous devez le mettre à
niveau vers STEP 7 Safety V18.
Procédez pour la mise à niveau comme il est d'usage dans STEP 7. Après la mise à niveau vers
V18, vous devez compiler votre programme de sécurité.
S7-300/400 : après la compilation, votre programme de sécurité est cohérent et la signature
globale F du programme de sécurité mis à niveau correspond à la signature globale F du
programme de sécurité V13 SP1. Aucune réception des modifications n'est nécessaire.
S7-1200/1500 : après la compilation, votre programme de sécurité est cohérent et la
signature globale F du programme de sécurité mis à niveau a changé du fait du système. La
nouvelle signature globale F du programme de sécurité avec STEP 7 Safety V18 remplace la
signature globale F précédente du programme de sécurité avec STEP 7 Safety V13 SP1.
Une vue d'ensemble de toutes les modifications liées au système est disponible sous
"Common data/Logs/F-convert log+nom-CPU+horodatage". Notamment, les versions
d'instructions qui ne sont plus prises en charge ont été remplacées automatiquement dans
STEP 7 Safety V18 par de nouvelles versions identiques sur le plan fonctionnel. La vue
d'ensemble contient une comparaison entre les anciennes signatures avec STEP 7 Safety V13
SP1 et les nouvelles signatures avec STEP 7 Safety V18 et affiche les versions d'instructions
converties automatiquement. Imprimez la vue d'ensemble et conservez-la avec vos
documents de réception ou la documentation de vos machines. Une réception des
modifications n'est pas nécessaire puisque la "signature globale F avec STEP 7 Safety V13 SP1"
dans la vue d'ensemble concorde avec la signature globale F figurant dans vos documents de
réception antérieurs.
Tenez compte du fait que les éventuels historiques de modifications ne sont pas mis à niveau.
Toutes les entrées antérieures sont effacées après la mise à niveau. Si nécessaire, imprimez le
journal des modifications avant la mise à niveau.
Jusqu'à STEP 7 Safety V13 SP1, un acquittement utilisateur d'une erreur de périphérie F/de
voie corrigée n'était pas possible tant que la variable PASS_ON (DB de périphérie F) était
égale à 1. Un acquittement utilisateur n'était possible qu'une fois la variable PASS_ON égale
à 0. La réintégration (mise à disposition des valeurs de processus) avait lieu immédiatement
après l'acquittement utilisateur.
1.8.3 Mettre à niveau des projets de version STEP 7 Safety antérieure à V13 SP1
Si vous voulez mettre à niveau un projet antérieur à STEP 7 Safety V13 SP1 vers STEP 7
Safety V18, vous devez mettre le projet à niveau avec une étape intermédiaire vers STEP 7
Safety V13 SP1, comme pour le standard.
La signature du programme de sécurité ne change pas après sa mise à niveau à STEP 7 Safety
V13 SP1. Aucune réception des modifications n'est donc nécessaire.
Procédez pour la mise à niveau comme il est d'usage dans STEP 7 Professional.
Tenez compte de la remarque suivante lors de la mise à niveau d'un projet créé avec STEP 7
Safety Advanced V11 :
Remarque
Des adaptations sont nécessaires avant l'utilisation d'un projet mis à niveau à partir de STEP 7
Safety Advanced V11 :
Il existait un avertissement produit pour STEP 7 Safety Advanced V11 concernant la définition
des paramètres "Comportement de discordance" et "Réintégration après erreur de
discordance" pour les modules d'entrées/sorties TOR de sécurité 4F-DI/3F-DO DC24V/2A
(6ES7138-4FC01-0AB0, 6ES7138-4FC00-0AB0). Dans certaines combinaisons, l'affichage de
ces paramètres pouvait être faussé.
Conformément aux instructions données dans cet avertissement produit, vous avez configuré
les paramètres concernés au moyen d'une table de conversion de manière telle qu'ils
s'affichent de manière erronée dans l'impression de sécurité et la configuration matérielle
afin qu'ils opèrent correctement dans le module F. Vous avez en outre corrigé l'impression de
sécurité pour documenter le comportement effectif des modules F.
Procédez comme suit pour annuler cette manipulation :
1. Compilez le programme mis à niveau avec STEP 7 Safety Advanced V13 SP1. Un message
d'erreur s'affiche pour chaque module F dont vous avez corrigé les paramètres dans STEP 7
Safety Advanced V11 : "Le CRC (F_Par_CRC) du module (xxx) ne correspond pas à la valeur
calculée (yyy)."
2. Adaptez le paramétrage sur la base de vos corrections dans l'impression de sécurité pour
chaque module F pour lequel ce message d'erreur s'affiche.
3. Procédez ainsi pour chaque CPU F, puis compilez le programme de sécurité.
4. Toutes les corrections nécessaires ont bien été apportées si la signature globale F après la
compilation correspond à la signature globale F sur l'impression de sécurité.
Utilisation de CP
Aucune attribution automatique univoque de l'adresse cible F n'avait lieu pour les périphéries
F exploitées en aval d'un CP 443-5 Extended, CP 443-1 ou CP 443-1 Advanced-IT.
Cela vous est signalé dès que vous compilez le matériel pour un projet avec de telles
périphéries F dans STEP 7 Safety Advanced V13 SP1. Vous devez alors réaffecter de nouvelles
adresses cible F uniques aux périphéries F concernées. Vous trouverez plus d'informations
sous Adresses PROFIsafe pour la périphérie F de type d'adresse PROFIsafe 1 (Page 67),
Adresses PROFIsafe pour la périphérie F de type d'adresse PROFIsafe 2 (Page 69) et
Particularités lors de la configuration d'appareils DP normalisés de sécurité et de
périphériques IO normalisés de sécurité (Page 77).
Cette modification entraîne une modification de la signature globale F du programme de
sécurité. Comme la signature globale SW F est inchangée, cela indique que le programme de
sécurité est resté inchangé. La signature globale HW F modifiée signale que la configuration
matérielle de sécurité a changé. Vous pouvez maintenant établir que ce sont uniquement les
adresses cible F modifiées qui ont entraîné cette modification :
• La signature de paramètre F (sans adresse) est inchangée pour chaque périphérie F
modifiée.
• Lorsque le filtre "Compare only F-blocks relevant for certification" est activé dans l'éditeur
de comparaison, seuls les DB de périphérie F affectés du programme de sécurité sont
listés.
Contenus
La documentation Getting Started décrit la création d'un projet de bout en bout, auquel
chaque chapitre vient contribuer. Vous partez de la configuration et vous programmez une
coupure de sécurité, vous modifiez la programmation et vous réceptionnez l'installation.
Outre les instructions pas à pas, la documentation Getting Started fournit des informations
générales succinctes sur chaque nouveau thème afin d'expliquer les fonctions utilisées plus
en détails et de montrer les corrélations.
Groupe cible
La documentation Getting Started s'adresse aux débutants, mais convient également aux
anciens utilisateurs de S7 Distributed Safety.
Téléchargement
Trois documentations Getting Started sont disponibles au téléchargement gratuit sous forme
de fichiers PDF sur le site Industry Online Support :
• STEP 7 Safety Advanced V11 avec les CPU F S7-300/400
(http://support.automation.siemens.com/WW/view/en/49972838)
• STEP 7 Safety Basic V13 SP1 avec les CPU F S7-1200
(http://support.automation.siemens.com/WW/view/en/34612486/133300) (partie du
manuel "Manuel de sécurité fonctionnelle S7-1200")
• STEP 7 Safety Advanced V13 avec les CPU F S7-1500
(http://support.automation.siemens.com/WW/view/en/101177693)
Introduction
Vous configurez un système F SIMATIC Safety fondamentalement de la même manière qu'un
système d'automatisation standard S7-300, S7-400, S7-1200, S7-1500 ou ET 200MP,
ET 200SP, ET 200AL, ET 200S, ET 200iSP, ET 200eco, ET 200eco PN ou ET 200pro dans
STEP 7.
Vous ne trouverez par conséquent ici que les principales différences entre la configuration
d'un système F SIMATIC Safety et la configuration standard.
Cette documentation distingue entre deux groupes de périphérie F :
Périphérie F STEP 7 Safety Basic STEP 7 Safety Advanced Type d'adresse PROFIsafe
SM F S7-300 x** x** 1
Modules F ET 200S x x 1
Modules F ET 200pro x x 1
Modules F ET 200iSP x x 1
Modules de périphérie F ET 200eco — avec CPU F S7-300/400 1
DP (uniquement mode
PROFIsafe V1)
Modules de périphérie F ET 200eco x x 2
PN
Modules F S7-1200 x x 2
(en mode centralisé sur CPU F
S7-1200)
Modules F ET 200SP x x 2
Modules F S7-1500/ET 200MP x x 2
Modules F ET 200AL x x 2
Appareils DP normalisés de sécuri- x x *
té
Périphériques IO normalisés de x x *
sécurité
* Pour déterminer le type d'adresse PROFIsafe d'un appareil DP normalisé/périphérique IO normalisé, consultez la documen-
tation correspondante. En cas de doute, partez du principe qu'il s'agit du type d'adresse PROFIsafe 1.
** Les SM F qui prennent uniquement en charge le mode PROFIsafe V1 ne sont utilisables que sur des CPU F S7-300/400.
Informations supplémentaires
Vous trouverez des informations précises sur la périphérie F dans le manuel de la périphérie F
concernée.
Paramètres F spécifiques
Il existe pour la fonctionnalité F des paramètres F spécifiques que vous pouvez examiner et
définir dans les propriétés des composants de sécurité (CPU F et périphérie F). Les paramètres
F sont marqués en jaune.
Les paramètres F sont expliqués sous "Configurer la CPU F (Page 47)" et "Configurer la
périphérie F (Page 53)".
Remarque
D'éventuelles incohérences sont admises lors de la configuration matérielle et peuvent même
être enregistrées. Un contrôle de cohérence complet de la configuration matérielle et des
données de liaison éventuelles n'a lieu que lors de la compilation. Il est donc recommandé
d'exécuter régulièrement la commande "Édition > Compiler".
Remarque
Si vous modifiez un paramètre de sécurité (en jaune) pour une périphérie F ou une CPU F,
vous devez compiler la configuration matérielle modifiée et Compiler le programme de
sécurité (Page 299) (menu contextuel "Compiler > Matériel et logiciel (uniquement
modifications)") et les charger. Cela vaut également pour des modifications de la périphérie F
qui n'est pas utilisée dans le programme de sécurité. Cela ne concerne pas la périphérie F en
mode standard.
Introduction
Vous configurez la CPU F essentiellement comme pour un système d'automatisation
standard.
Les CPU F sont toujours configurables dans STEP 7, qu'une licence pour STEP 7 Safety soit ou
non installée. Sans licence STEP 7 Safety installée, la CPU F ne peut être mise en œuvre que
comme CPU standard.
Si une licence STEP 7 Safety est installée, vous pouvez activer ou désactiver la fonctionnalité F
pour la CPU F.
La fonctionnalité F de la CPU F doit être activée si vous voulez utiliser la périphérie F en mode
de sécurité ou la communication de sécurité.
La fonctionnalité F est activée par défaut lorsqu'une licence pour STEP 7 Safety est installée.
Activer/désactiver la fonctionnalité F
Procédez comme suit pour modifier le paramétrage de la fonctionnalité F :
1. Sélectionnez la CPU F dans la vue des appareils ou du réseau et ouvrez l'onglet "Propriétés"
dans la fenêtre d'inspection.
2. Sélectionnez "Fail-safe" dans la navigation locale.
3. Activez ou désactivez la fonctionnalité F à l'aide du bouton correspondant.
4. Si vous voulez désactiver la fonctionnalité F, confirmez votre choix par "Oui" dans la boîte de
dialogue "Disable F-activation".
Remarque
Une modification du temps de surveillance F pour la périphérie F centralisée ou
décentralisée sur la CPU F entraîne la modification du programme de sécurité après une
nouvelle compilation, ce qui peut rendre une nouvelle réception nécessaire.
Remarque
Les paramètres "Low limit for F-destination addresses" et "High limit for F-destination
addresses" n'ont pas d'influence sur la périphérie F suivante :
• SM 326, DI 8 x NAMUR (à partir du numéro d'article 6ES7326-1RF00-0AB0)
• SM 326, DO 10 x DC 24V/2A (numéro d'article 6ES7326-2BF01-0AB0)
• SM 336, AI 6 x 13 bits (numéro d'article 6ES7336-1HE00-0AB0)
Remarque
Une modification du paramètre "Central F-source address" entraîne la modification du
programme de sécurité après une nouvelle compilation. Cela peut rendre une nouvelle
réception nécessaire, car il s'ensuit une modification centralisée des adresses source F de
toutes les périphéries F de type d'adresse 2.
Vous pouvez aussi personnaliser le temps de surveillance F pour chaque périphérie F dans les
propriétés de la périphérie F (voir Configurer la périphérie F (Page 53) ou Particularités lors de
la configuration d'appareils DP normalisés de sécurité et de périphériques IO normalisés de
sécurité (Page 77)).
Remarque
Une modification du temps de surveillance F pour la périphérie F centralisée ou décentralisée
sur la CPU F entraîne la modification du programme de sécurité après une nouvelle
compilation, ce qui peut rendre une nouvelle réception nécessaire.
Remarque
La valeur par défaut du "Temps de surveillance F par défaut pour la périphérie F" pour un
système HF est de 2300 ms et est conçue pour un anneau MRP. Pour une topologie linéaire,
vous pouvez régler un "Temps de surveillance F par défaut pour la périphérie F" environ 2 fois
plus petit. Vous pouvez déterminer la taille exacte comme décrit au chapitre "Temps de
surveillance et de réaction (Page 602)". Vous pouvez régler cette valeur dans les propriétés de
la CPU F (sélection de la CPU F, puis "Propriétés > Fail-safe > F-Parameters > Interface
PROFINET [X1]")
ATTENTION
Vous trouverez plus d'informations sous Temps de surveillance et de réaction (Page 602).
ATTENTION
(S7-300, S7-400) En mode production, l'accès avec le mot de passe de la CPU ne doit pas
être autorisé lors de modifications du programme utilisateur standard, car cela permettrait
également de modifier le programme de sécurité. Pour exclure ce risque, vous devez
configurer le niveau de protection "Write protection for fail-safe blocks" et définir un mot de
passe pour la CPU F. Si une seule personne est autorisée à modifier le programme utilisateur
standard et le programme de sécurité, il est nécessaire de configurer le niveau de protection
"Write protection" ou "Read/write protection" afin de restreindre ou d'interdire aux autres
personnes l'accès au programme utilisateur entier (programme standard et programme de
sécurité). (S001)
ATTENTION
(S7-1200, S7-1500) En mode production, les données du projet de sécurité doivent être
protégées par un mot de passe. Pour cela, configurez au moins le niveau de protection "Full
access (no protection)" et définissez un mot de passe sous "Full access incl. fail-safe (no
protection)". Ce niveau de protection permet l'accès complet uniquement aux données
standard du projet mais pas aux blocs F.
Si vous sélectionnez un niveau de protection supérieur, par exemple pour protéger les
données standard du projet, vous devez définir un mot de passe supplémentaire pour "Full
access (no protection)".
Attribuez des mots de passe différents aux différents niveaux de protection. (S041)
Pour la configuration du niveau de protection, procédez comme pour les CPU standard.
Vous trouverez des informations sur le mot de passe de la CPU F sous Protection d'accès
(Page 99). Tenez notamment compte des avertissements sous Protection d'accès pour la CPU
F (Page 103).
Introduction
Vous configurez les modules F S7-1500/ET 200MP, ET 200SP, ET 200AL, ET 200S, ET 200eco
(S7-300, S7-400), ET 200eco PN, ET 200pro, ET 200iSP, les SM F S7-300 et les modules
F S7-1200 comme vous en avez l'habitude dans STEP 7.
Une fois que vous avez inséré la périphérie F dans l'espace de travail de la vue des appareils
ou du réseau, vous accédez aux boîtes de dialogue de configuration en sélectionnant la
périphérie F concernée et l'onglet "Properties".
Remarque
Une modification du paramétrage entraîne la modification du programme de sécurité après
une nouvelle compilation, ce qui peut rendre une nouvelle réception nécessaire.
ATTENTION
Vous devez effectuer un test de câblage (Page 341) si vous apportez des modifications qui
peuvent changer l'affectation des adresses d'entrée/sortie et du câblage.
Il peut s'agir des modifications suivantes :
• Ajout de périphéries F
• Modification de l'adresse de début de périphéries F
• Modification de l'emplacement d'enfichage de périphéries F
• Modification
– du châssis
– de l'adresse de l'appareil/du périphérique
– du sous-réseau PROFIBUS DP/PROFINET IO
– de l'adresse IP
– du nom de périphérique
(S071)
Remarque
(S7-300, S7-400) Notez que la passivation par voie entraîne un allongement du temps
d'exécution du ou des groupes d'exécution F par rapport à la passivation de l'ensemble de la
périphérie F (voir également le fichier Excel de calcul des temps de réaction
(https://support.industry.siemens.com/cs/ww/fr/view/109783831)).
ATTENTION
Remarque
Le paramètre "Channel failure acknowledge" a par défaut la valeur "Manual" lors de la
création du module F.
Remarque
Une modification du temps de surveillance F pour la périphérie F centralisée ou décentralisée
sur la CPU F entraîne la modification du programme de sécurité après une nouvelle
compilation, ce qui peut rendre une nouvelle réception nécessaire.
ATTENTION
Vous trouverez plus d'informations sous Temps de surveillance et de réaction (Page 602).
ATTENTION
(S7-300, S7-400) Pour les modules de signaux de sécurité S7-300 suivants (SM F) avec
mode de sécurité activé, le diagnostic groupé "Group diagnostics" doit être activé pour
toutes les voies connectées :
• SM 326; DI 8 x NAMUR (numéro d'article 6ES7326-1RF00-0AB0 et 6ES7326-1RF01-0AB0)
• SM 326; DO 10 x DC 24V/2A (numéro d'article 6ES7326-2BF01-0AB0)
• SM 336; AI 6 x 13 Bit (numéro d'article 6ES7336-1HE00-0AB0)
Vérifiez que le diagnostic groupé n'est réellement désactivé que pour les voies
d'entrée/sortie inutilisées sur ces SM F. (S003)
Informations supplémentaires
Vous trouverez une description détaillée des paramètres dans l'aide relative aux propriétés
de chaque périphérie F, ainsi que dans le manuel de la périphérie F correspondant.
Conditions
• Les conditions mentionnées sous "Contrôle de configuration (traitement des options)"
dans l'aide de STEP 7 sont remplies.
• La procédure décrite sous "Contrôle de configuration (traitement des options)" dans l'aide
de STEP 7 a été exécutée en traitant la périphérie F comme une périphérie standard.
Remarque
L'affectation des adresses PROFIsafe (Page 71) n'est possible que si la configuration
maximale est effectivement réalisée.
Procédure
(S7-1200, S7-1500) Désactivez la périphérie F absente dans la variante respective (option) en
mettant la variable DISABLE (Page 168) à 1 dans le DB de périphérie F (Page 162)
correspondant. Vous éviterez ainsi le clignotement de la LED d'erreur de la CPU F et la
création d'entrées de diagnostic du programme de sécurité pour cette périphérie F. La
variable DISABLED (Page 169) du DB de périphérie F correspondant permet d'évaluer si un
module F est désactivé.
(S7-300, S7-400) Vous n'avez rien d'autre à faire pour éviter le clignotement de la LED
d'erreur de la CPU F. Il n'est pas possible d'éliminer les entrées de diagnostic.
ATTENTION
2.5.1 Exemple
Introduction
L'exemple suivant vous montre comment :
• sélectionner/détecter une option de station,
• désactiver des périphéries F absentes dans une option de station (S7-1200/1500),
• prévoir votre programme de sécurité pour différentes options de station.
Lors de la détection de l'option de station, tenez compte du fait que des valeurs de
remplacement (0) sont utilisées pour les entrées de la périphérie F dans certaines situations,
par exemple au démarrage du système F ou en cas d'erreurs de périphérie F/de voie.
L'option de station présente ne peut pas être détectée dans ces situations. C'est pourquoi
vous devez aussi évaluer l'état de la valeur des entrées et n'appliquer l'option de station
qu'une seule fois après le démarrage du système F.
Définissez, pour la détection unique de l'option de station, une donnée locale statique, par
exemple OptionSelectionRuns, avec TRUE comme valeur par défaut.
Remarque
Si vous effectuez la sélection/détection d'une option de station uniquement dans le
programme utilisateur standard, l'"option de station" 'est disponible uniquement comme
donnée standard non sécurisée.
Assurez-vous que cela ne provoque pas d'états dangereux.
Tenez compte des indications sous "Échange de données entre le programme utilisateur
standard et le programme de sécurité (Page 191)".
Remarque
Vous devez désactiver toutes les périphéries F "optionnelles" tant que la détection de l'option
de station (pendant le démarrage du système F) n'est pas achevée (OptionSelectionRuns =
TRUE).
Pour éviter que l'arrêt d'urgence groupé ne se déclenche à cause de machines ou de signaux
d'arrêt d'urgence absents dans certaines options de station, vous pouvez inhiber l'évaluation
du signal d'arrêt d'urgence des machines absentes en tenant compte de l'option de station
présente.
Adresses cible F
Référez-vous à "Recommandation relative à l'affectation des adresses PROFIsafe (Page 64)"
pour l'affectation des adresses cible F.
Voir aussi
Affecter l'adresse PROFIsafe à un module F dans un shared device inter-projet (Page 76)
Condition
CPU F S7-1500 à partir du firmware V2.0, qui prennent en charge IRT
Remarque
La périphérie F fonctionnant en mode isochrone ne garantit pas (de manière sûre) que toutes
les données d'entrée des périphéries F affectées à la mémoire image partielle sont
disponibles de manière cohérente au début du Main Safety Block ou que toutes les données
de sortie sont transmises de manière cohérente aux périphéries F, c'est-à-dire forment un
ensemble logique et temporel. La cohérence est garantie uniquement dans la périphérie F.
La cohérence sur toutes les périphéries F fonctionnant en mode isochrone de la mémoire
image partielle dépend notamment du nombre de périphéries F fonctionnant en mode
isochrone et de la taille du programme de sécurité dans l'OB d'alarme d'isochronisme.
S'il existe des exigences de cohérence correspondantes, vous devez vérifier vous-même la
cohérence des données d'entrée et de sortie, par exemple en transmettant et en évaluant
également des horodatages dans les données d'entrée et de sortie des périphéries F
fonctionnant en mode isochrone.
L'impression de sécurité (Page 362) liste les informations suivantes pour chaque CPU F :
• Paramètre "Central F-source address" (adresse source F pour la périphérie F de type
d'adresse PROFIsafe 2)
• Plage effectivement utilisée d'adresses cible F de la périphérie F de type d'adresse
PROFIsafe 1 affectée
• Plage effectivement utilisée d'adresses cible F de la périphérie F de type d'adresse
PROFIsafe 2 affectée
La périphérie F configurée par communication esclave I-esclave est prise en compte dans
l'impression de sécurité au niveau de la plage des adresses cible F de l'esclave I.
La périphérie F configurée dans un shared device est indiquée dans l'impression de sécurité
au niveau des adresses cible F de la CPU F à laquelle cette périphérie F est affectée.
ATTENTION
Tenez compte des points suivants si vous utilisez des configurations qui ne font pas partie
des configurations prises en charge :
• Assurez-vous que la périphérie F de cette configuration apparaît dans l'impression de
sécurité et qu'un DB de périphérie F a été créé pour celle-ci. Sinon, vous ne pourrez pas
utiliser la périphérie F dans cette configuration (adressez-vous à l'assistance client).
• Vous devez vérifier la correction du paramètre du mode de fonctionnement PROFIsafe
(F_Par_Version) au moyen de l'impression de sécurité pour la périphérie F dans
l'environnement PROFINET IO**. Le mode V2 doit être paramétré dans l'environnement
PROFINET IO. Une périphérie F qui prend uniquement en charge le mode V1 ne doit pas
être utilisée dans l'environnement PROFINET IO.
• Vous devez vous assurer que l'attribution de l'adresse PROFIsafe est unique à l'échelle de
la CPU*/**** et du réseau*** :
– Vérifiez la correction des adresses PROFIsafe au moyen de l'impression de sécurité.
– Pour la périphérie F de type d'adresse PROFIsafe 2, vérifiez au moyen de l'impression
de sécurité que l'adresse source F correspond au paramètre "Central F-source address"
de la CPU F.
– Pour la périphérie F de type d'adresse PROFIsafe 1 ou si vous ne pouvez pas définir
l'adresse source F en accord avec le paramètre "Central F-source address" de la CPU F,
vous devez assurer l'unicité de l'adresse PROFIsafe seulement par l'affectation d'une
adresse cible F unique.
Dans une configuration non prise en charge, vous devez vérifier l'unicité de l'adresse
cible F de chaque périphérie F au moyen de l'impression de sécurité. (voir Intégralité et
correction de la configuration matérielle (Page 366)) (S050)
* "À l'échelle de la CPU" signifie toutes les périphéries F affectées à une CPU F : périphérie F
centralisée de cette CPU F, périphérie F pour laquelle la CPU F est maître DP/contrôleur IO,
ainsi que périphérie F affectée dans un shared device. La périphérie F adressée via la
communication esclave I-esclave est affectée à la CPU F de l'esclave I et non à la CPU F du
maître DP/contrôleur IO.
** La périphérie F se trouve "dans l'environnement PROFINET IO" lorsqu'au moins une partie
de la communication de sécurité vers la CPU F se fait via PROFINET IO. Si la périphérie F est
connectée par communication esclave I-esclave, il faut également considérer la ligne de
communication vers le maître DP/le contrôleur IO.
*** Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les abonnés
accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les abonnés accessibles
via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas échéant, via RT_Class_UDP
(IP, couche 3).
**** Dans un système S7-1500HF redondant, les deux CPU F du système S7-1500HF
redondant sont à considérer comme une CPU F en ce qui concerne les adresses PROFIsafe. Le
système configure donc l'adresse source F centralisée (Central F-source address) de manière
identique pour les deux CPU F.
Remarque
Pour plus d'informations sur l'attribution d'adresses PROFIsafe uniques à l'échelle de la CPU et
du réseau, consultez cette FAQ
(https://support.industry.siemens.com/cs/ww/fr/view/109740240).
Adresse cible F
L'unicité de l'adresse PROFIsafe est uniquement assurée par l'adresse cible F. L'adresse
source F n'est pas affichée et n'a aucune influence sur l'unicité de l'adresse PROFIsafe.
L'adresse cible F doit donc être unique à l'échelle du réseau et de la CPU (voir les règles ci-
après pour l'attribution d'adresses).
Pour empêcher un paramétrage incorrect, une adresse cible F unique à l'échelle de la CPU est
attribuée automatiquement lors du placement de la périphérie F dans l'espace de travail de la
vue des appareils ou du réseau tant que vous configurez uniquement des configurations
prises en charge (Page 65).
Pour avoir une attribution de l'adresse cible F unique à l'échelle du réseau lorsque plusieurs
réseaux maîtres DP et réseaux PROFINET IO fonctionnent sur un réseau, vous devez définir les
paramètres "Low limit for F-destination addresses" et "High limit for F-destination addresses"
de manière ciblée dans les propriétés de la CPU F dans les systèmes F SIMATIC Safety avant le
placement de la périphérie F (voir "Recommandation relative à l'affectation des adresses")
afin que les plages d'adresses cible F ne se chevauchent pas.
Si vous modifiez l'adresse cible F d'une périphérie F, l'unicité de l'adresse cible F à l'échelle de
la CPU est automatiquement vérifiée pour les configurations prises en charge. C'est à vous
d'assurer l'unicité de l'adresse cible F à l'échelle du réseau.
Remarque
(S7-300, S7-400) Pour les modules de signaux de sécurité S7-300 suivants, l'adresse cible F
est l'adresse de début du SM F divisée par 8 :
• SM 326; DI 8 x NAMUR (à partir du numéro d'article 6ES7326-1RF00-0AB0),
• SM 326; DO 10 x DC 24V/2A (numéro d'article 6ES7326-2BF01-0AB0)
• SM 336; AI 6 x 13 Bit (numéro d'article 6ES7336-1HE00-0AB0)
Vous avez la possibilité d'afficher les colonnes "Adresse source F" et "Adresse cible F" dans la
vue d'ensemble des appareils de la vue des appareils. Les adresses affichées dans ces
colonnes ne le sont qu'à titre d'information. Lors de la réception de l'installation, vous devez
vérifier les adresses cible F dans l'impression de sécurité.
ATTENTION
La périphérie F de type d'adresse PROFIsafe 1 est adressée de manière univoque par son
adresse cible F (par exemple, par la position du commutateur d'adresse).
L'adresse cible F (et donc également la position du commutateur d'adresse) de la périphérie
F doit être unique à l'échelle du réseau* et de la CPU**/*** (c'est-à-dire à l'échelle du
système) pour l'ensemble de la périphérie F. Il faut ce faisant aussi tenir compte de la
périphérie F de type d'adresse PROFIsafe 2. (S051)
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les abonnés
accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les abonnés accessibles
via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas échéant, via RT_Class_UDP
(IP, couche 3).
** "À l'échelle de la CPU" signifie toutes les périphéries F affectées à une CPU F : périphérie F
centralisée de cette CPU F, périphérie F pour laquelle la CPU F est maître DP/contrôleur IO,
ainsi que périphérie F affectée dans un shared device. La périphérie F adressée via la
communication esclave I-esclave est affectée à la CPU F de l'esclave I et non à la CPU F du
maître DP/contrôleur IO.
*** Dans un système S7-1500HF redondant, les deux CPU F du système S7-1500HF
redondant sont à considérer comme une CPU F en ce qui concerne les adresses PROFIsafe. Le
système configure donc l'adresse source F centralisée (Central F-source address) de manière
identique pour les deux CPU F.
Remarque
Pour plus d'informations sur l'attribution d'adresses PROFIsafe uniques à l'échelle de la CPU et
du réseau, consultez cette FAQ
(https://support.industry.siemens.com/cs/ww/fr/view/109740240).
Voir aussi
Intégralité de l'impression de sécurité (Page 362)
ATTENTION
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les abonnés
accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les abonnés accessibles
via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas échéant, via RT_Class_UDP
(IP, couche 3).
** "À l'échelle de la CPU" signifie toutes les périphéries F affectées à une CPU F : périphérie F
centralisée de cette CPU F, périphérie F pour laquelle la CPU F est maître DP/contrôleur IO,
ainsi que périphérie F affectée dans un shared device. La périphérie F adressée via la
communication esclave I-esclave est affectée à la CPU F de l'esclave I et non à la CPU F du
maître DP/contrôleur IO.
*** Dans un système S7-1500HF redondant, les deux CPU F du système S7-1500HF
redondant sont à considérer comme une CPU F en ce qui concerne les adresses PROFIsafe. Le
système configure donc l'adresse source F centralisée (Central F-source address) de manière
identique pour les deux CPU F.
Tenez également compte de Recommandation relative à l'affectation des adresses PROFIsafe
(Page 64).
Remarque
Pour plus d'informations sur l'attribution d'adresses PROFIsafe uniques à l'échelle de la CPU et
du réseau, consultez cette FAQ
(https://support.industry.siemens.com/cs/ww/fr/view/109740240).
Voir aussi
Intégralité de l'impression de sécurité (Page 362)
Introduction
Vous affectez l'adresse PROFIsafe (Page 69) composée de l'adresse F source et de l'adresse F
cible pour
• les modules de sécurité ET 200SP,
• les modules de sécurité S7-1500/ET 200MP,
• les modules de périphérie de sécurité ET 200AL,
• les modules de périphérie de sécurité ET 200eco PN
directement depuis STEP 7 Safety.
Pour les modules F S7-1200, l'adresse PROFIsafe est affectée automatiquement lors du
chargement de la configuration matérielle.
Toutes ces périphéries F ne possèdent pas de commutateur DIP permettant de régler l'adresse
F cible unique pour chaque module.
Dans les cas suivants, une nouvelle affectation est nécessaire pour les modules de sécurité
ET 200SP, les modules de sécurité S7-1500/ET 200MP, les modules de périphérie de sécurité
ET 200AL et les modules de périphérie de sécurité ET 200eco PN :
• Enfichage ultérieur d'un module F pendant la première mise en service (pas pour ET
200eco PN)
• Modification intentionnelle de l'adresse cible F
• Modification du paramètre "Central F source address" de la CPU F associée (modifie
l'adresse source F)
• Remplacement de l'élément de codage
• mise en service d'une machine série
Une nouvelle affectation n'est pas nécessaire dans les cas suivants pour les modules de
sécurité ET 200SP et les modules de sécurité S7-1500/ET 200MP :
• Mise hors tension/sous tension
• Remplacement d'un module F (réparation) sans PG/PC
• Remplacement de la BaseUnit (reprise de l'élément de détrompage avec adresse F source
et adresse F cible dans la nouvelle BaseUnit)
• Remplacement d'une BaseUnit sans élément de codage
Remarque
Affectation de l'adresse PROFIsafe pour les modules F S7-1200
La procédure suivante pour l'identification et l'affectation des adresses PROFIsafe n'est pas
nécessaire pour les modules F S7-1200.
Notez qu'un S7-1200 ne doit pas contenir de module F supplémentaire non configuré.
1. Paramétrez l'adresse cible F (Page 69) et l'adresse source F (Page 69) dans la configuration
matérielle dans STEP 7 Safety.
2. Identifiez les modules de sécurité ET 200SP, S7-1500/ET 200MP, les modules de périphérie
de sécurité ET 200AL ou les module de périphérie de sécurité ET 200eco PN auxquels vous
voulez affectez l'adresse PROFIsafe.
3. Affectez l'adresse PROFIsafe aux périphéries F.
Affectation de l'adresse PROFIsafe pour des périphéries F via un système S7-1500HF redondant
Dans la boîte de dialogue "Assign PROFIsafe address" sous "Select PLC of HF-System",
sélectionnez la CPU HF du système S7-1500HF redondant via laquelle vous voulez affecter
l'adresse PROFIsafe.
Le tableau suivant montre au moyen de l'état du système par quelle CPU HF du système
S7-1500HF redondant vous pouvez affecter l'adresse PROFIsafe.
Remarque
Utilisation d'appareils R1
L'affectation de l'adresse PROFIsafe pour les périphéries F dans un appareil R1 est uniquement
possible via le module d'interface gauche de l'appareil R1. C'est pourquoi c'est toujours le
module d'interface gauche qui est affiché dans le dialogue "Affecter l'adresse PROFIsafe". Le
module d'interface gauche doit être alimenté en tension pour l'affectation de l'adresse
PROFIsafe.
Si les deux CPU HF du système redondant S7-1500HF se trouvent dans deux sous-réseaux
séparés, la PG et la CPU avec laquelle l'affectation de l'adresse PROFIsafe doit être effectuée
doivent se trouver dans le même sous-réseau.
Condition
Les conditions suivantes doivent être remplies :
• La CPU F et les modules F sont configurés.
• Lors de l'utilisation d'un ET 200SP Open Controller, la configuration matérielle de
l'ET 200SP Open Controller et du contrôleur logiciel de sécurité doit être chargée.
• La CPU F et les modules F sont accessibles en ligne.
ATTENTION
Veillez à ce que la configuration matérielle actuelle ait été chargée dans la CPU F avant
l'identification. Confirmez la correction des adresses PROFIsafe des périphéries F en cliquant
sur le bouton "Identification" puis sur "Assign PROFIsafe address".
Procédez donc avec précaution lors de la confirmation des périphéries F par le clignotement
des LED ou le numéro de série de la CPU F avec périphéries F centralisées ou le numéro de
série du module d'interface avec périphéries F.
Une affectation des adresses PROFIsafe au numéro de série du module d'interface n'est
autorisée que si l'affectation concerne toutes les périphéries F d'une station. Vous devez
pour cela lire le numéro de série directement sur la CPU F* ou sur le module d'interface** et
le noter. La lecture du numéro de série avec la vue En ligne & Diagnostic de TIA Portal n'est
pas autorisée.
Une règle particulière s'applique aux périphéries F du système de périphérie décentralisée
ET 200AL. Pour ces périphéries F, seule l'identification par clignotement est permise et une
seule périphérie F doit être sélectionnée pour l'affectation de l'adresse PROFIsafe.
* Sur un ET 200SP Open Controller, vous devez lire les numéros de série sur l'écran du
S7-1500 Software Controller de sécurité dans le menu "Vue d'ensemble > CPU" et les noter.
** Sur un appareil R1, vous devez lire le numéro de série du module d'interface gauche et le
noter. (S046)
Procédure
Procédez comme suit pour identifier les modules F :
1. Établissez une connexion en ligne avec la CPU F à laquelle les modules F sont affectés.
2. Sélectionnez dans la vue de réseau
– la CPU F avec modules F,
– le module d'interface avec modules F
auxquels vous voulez affecter les adresses PROFIsafe.
Vous pouvez aussi sélectionner un seul module F.
3. Sélectionnez "Assign PROFIsafe address" dans le menu contextuel.
Remarque
Si vous intégrez un module ET 200AL de sécurité dans une configuration du système de
périphérie décentralisée ET 200SP (configuration mixte ET 200AL/ET 200SP avec ET-
Connection), vous devez ouvrir le dialogue "Assign PROFIsafe adresse" séparément pour
chaque module ET 200AL de sécurité dans la vue des appareils de l'ET 200SP.
4. Sélectionnez la méthode d'identification des modules F sous "Assign PROFIsafe address by".
– "Identification by LED flashing"
Il s'agit du paramétrage par défaut. Lors de l'identification, les LED DIAG et STATUS des
modules F à identifier clignotent.
– "Identification by serial number"
Si vous n'avez pas les modules F sous les yeux, vous pouvez identifier ces derniers par
le numéro de série de la CPU F ou du module d'interface que vous avez noté.
Remarque
Le numéro de série affiché peut être complété par une année par rapport au numéro
de série imprimé sur la CPU F ou le module d'interface. Les numéros de série sont
néanmoins identiques.
5. En cas d'identification par clignotement des LED, sélectionnez tous les modules F auxquels
vous souhaitez affecter l'adresse PROFIsafe dans la colonne "Assign".
Lorsque vous sélectionnez la CPU F ou le module d'interface dans la colonne "Assign", tous
les modules F de la station sont mis en évidence.
6. Cliquez sur le bouton "Identification". Observez si les LED DIAG et STATUS des modules F
auxquels vous voulez affecter l'adresse PROFIsafe clignotent en vert. Si vous identifiez par le
numéro de série, comparez le numéro de série affiché avec le numéro de série noté de la
CPU F avec les modules F centralisés ou du module d'interface avec les modules F.
Tenez compte du comportement suivant pour certains modules F et variantes de
configuration :
– Si vous avez configuré plus de module F qu'il n'en existe en réalité, une boîte de
dialogue s'affiche. Dans cette boîte de dialogue, entrez le nombre de modules F
réellement disponibles et confirmez le dialogue.
– Si vous avez configuré moins de modules F qu'il n'en existe en réalité, une
comparaison en ligne-hors ligne est affichée et l'affectation de l'adresse PROFIsafe n'est
pas possible.
Condition
Les modules F ont été identifiés avec succès.
Procédure
Procédez comme suit pour affecter l'adresse PROFIsafe :
1. Sélectionnez dans la colonne "Confirm" tous les modules F auxquels vous voulez affecter
l'adresse source F et les adresses cible F.
2. Affectez l'adresse PROFIsafe aux modules F avec le bouton "Assign PROFIsafe address". Vous
devrez éventuellement saisir le mot de passe de la CPU F.
Pour affecter l'adresse PROFIsafe, vous devez confirmer la boîte de dialogue "Confirmer
l'affectation d'adresse PROFIsafe" dans un délai de 60 secondes.
Introduction
L'affectation de l'adresse PROFIsafe pour un module F dans un shared device inter-projet ne
peut être effectuée que dans le projet dans lequel se trouve l'automate IO (CPU F) auquel le
module F est affecté.
Par conséquent, dans le dialogue "Affectation de l'adresse PROFIsafe" il n'est possible de
sélectionner pour l'affectation de l'adresse PROFIsafe, que les modules F qui sont affectés à
un automate IO (CPU F) de ce projet.
Condition
Les conditions suivantes doivent être remplies :
• Toutes les conditions des chapitres "Identifier des modules F (Page 73)" et "Affecter
l'adresse PROFIsafe (Page 75)".
• La configuration matérielle de tous les automates IO (CPU F) auxquels un module F du
shared device a été affecté est chargée.
• Tous les automates IO (CPU F) auxquels un module F du shared device a été affecté et le
shared device doivent se trouver dans le même sous-réseau.
Marche à suivre
Pour identifier les modules F et pour affecter l'adresse PROFIsafe, procédez comme décrit aux
chapitres "Identifier des modules F (Page 73)" et "Affecter l'adresse PROFIsafe (Page 75)".
Si, dans un shared device inter-projet, les modules F sont affectés à plusieurs automates IO
(CPU F) dans plusieurs projets, procédez aux affectations l'une après l'autre dans les différents
projets.
Voir aussi
Configurer un shared device (Page 62)
Remarque
Veillez, également après une modification de l'adresse PROFIsafe d'une périphérie F, à réaliser
une réception (Page 366) comprenant un contrôle de votre modification (Page 379) selon
l'impression de sécurité (Page 334).
Condition
La condition requise pour l'utilisation d'appareils DP normalisés de sécurité pour SIMATIC
Safety est que ces esclaves normalisés se trouvent sur PROFIBUS DP et prennent en charge le
profil de bus PROFIsafe. En cas de mise en œuvre sur une CPU F S7-1200/1500, ils doivent
prendre en charge le profil de bus PROFIsafe en MODE V2.
Les appareils DP normalisés de sécurité qui sont mis en œuvre après IE/PB-Link dans des
configurations mixtes sur PROFIBUS DP et PROFINET IO doivent prendre en charge le profil de
bus PROFIsafe en MODE V2.
La condition requise pour l'utilisation de périphériques IO normalisés de sécurité pour
SIMATIC Safety est que ces périphériques normalisés se trouvent sur PROFINET IO et prennent
en charge le profil de bus PROFIsafe en MODE V2.
ATTENTION
* N'utilisez la variante de module F 1 pour les CPU F S7-1200/1500 que si ni la variante de module F 2, ni la variante de
module F 3 n'existent.
Informations supplémentaires
Vous trouverez la description des paramètres dans l'aide sur les appareils DP normalisés et
périphériques IO normalisés de sécurité.
• F-blocks
La section "F-blocks" fournit des informations sur les blocs F utilisés dans votre programme
de sécurité et leurs propriétés. Vous trouverez plus d'informations sur la section "F-blocks"
sous "Section "F-blocks" (Page 88)".
• F-compliant PLC data types
La section "F-compliant PLC data types" fournit des informations sur les types de données
API (UDT) conformes F créés. Il y est également précisé si un type de données API (UDT)
conforme F est utilisé dans le programme de sécurité. Vous trouverez plus d'informations
sur la section "F-compliant PLC data types" sous "Section "F-compliant PLC data types"
(S7-1200, S7-1500) (Page 89)".
• Access protection
Dans la section "Access protection", vous pouvez définir un mot de passe pour le
programme de sécurité et le modifier ou le révoquer. Vous pouvez aussi créer une
protection d'accès pour les données de projet de sécurité avec la protection de projet. Une
protection d'accès à la CPU F est obligatoire pour le mode production. Vous trouverez plus
d'informations sur la protection d'accès sous "Protection d'accès à l'échelle de la CPU pour
les données de projet de sécurité (Page 100)".
• Web server F-admins
La section "Web server F-admins" fournit des informations sur les utilisateurs avec l'attribut
"F-admin" pour le serveur Web de la CPU F. Vous trouverez plus d'informations sur la
section "Web server F-admins" sous "Section "Web server F-admins" (S7-1200, S7-1500)
(Page 90)".
• Settings
Vous configurez les paramètres pour le programme de sécurité sous "Settings". Vous
trouverez des informations sur les paramètres de votre programme de sécurité sous
"Section "Settings" (Page 91)".
• Flexible F-Link
Dans la zone "Flexible F-Link " vous obtenez des informations sous forme de tableau sur
les communications F via Flexible F-Link configurées et créez des communications F. Vous
trouverez des informations à ce sujet sous "Section "Flexible F-Link" (S7-1200, S7-1500)
(Page 97)".
Voir aussi
Structure du programme de sécurité (S7-1200, S7-1500) (Page 110)
Structure du programme de sécurité (S7-300, S7-400) (Page 108)
Définir des groupes d'exécution F (Page 131)
Condition
L'éditeur Safety Administration Editor apparaît comme ligne dans le navigateur de projet si
vous avez configuré une CPU de votre projet comme CPU F (l'option "F-capability activated"
est sélectionnée dans les propriétés de la CPU F).
Procédure
Procédez comme suit pour ouvrir l'éditeur Safety Administration Editor :
1. Ouvrez le dossier de votre CPU F dans le navigateur de projet.
2. Double-cliquez sur "Safety Administration" ou cliquez avec le bouton droit de la souris et
sélectionnez Safety Administration Editor dans le menu contextuel.
Résultat
L'éditeur Safety Administration Editor s'ouvre pour votre CPU F dans l'espace de travail.
"F-signatures" (signatures F)
État Signification
Les signatures globales F en ligne et hors ligne correspondent.
Vous trouverez plus d'informations sur la cohérence du programme de sécurité en ligne sous
Équivalence des programmes en ligne et hors ligne (Page 376).
Voir aussi
Identification du programme (Page 330)
Remarque
Vous devrez générer à nouveau le "RTGx_GLOB_FIO_STATUS" si vous ajoutez ou supprimez
des périphéries F.
Voir aussi
Valeurs de processus ou de remplacement (Page 160)
Condition
• Utiliser uniquement des FC standard
• Seules les données locales temporaires et les constantes sont autorisées dans l'interface
de bloc d'une FC standard.
• (S7-1500) Si le groupe d'exécution F se trouve dans une unité Safety et que des FC
doivent être utilisées en dehors de l'unité Safety, ces FC doivent être publiées et leur unité
logicielle doit être liée à l'unité Safety par une relation.
Procédure
1. Créez les FC standard pour le prétraitement ou le post-traitement.
2. Affectez les FC standard sous "Pre/Post processing of the F-runtime group" dans l'éditeur
Safety Administration Editor.
Remarque
Si vous supprimez une FC affectée ou l'écrasez par copie, sa sélection comme bloc de
prétraitement/post-traitement est automatiquement réinitialisée.
Comportement de chargement
Les appels des FC standard sélectionnées sont placés avant ou après l'appel du Main Safety
Block dans l'OB F lors de la compilation.
Il s'ensuit que l'état de fonctionnement Arrêt est requis en cas de chargement ultérieur.
Apporter des modifications de contenu aux FC standard sélectionnées est possible à l'état
Marche.
Il faut exclure les modifications des noms et numéros de blocs qui entraînent également la
compilation du programme de sécurité.
Si un bloc de prétraitement/post-traitement est chargé individuellement par la CPU F, il ne se
connecte pas automatiquement au groupe d'exécution F dans le Safety Administration
Editor.
Si un chargement cohérent de la CPU F dans la PG/le PC est effectué au lieu de cela, les
paramétrages pour le prétraitement et le post-traitement sont actualisés en fonction de la
CPU en ligne.
vue d'ensemble
La section "F-blocks" vous aide pour les tâches suivantes :
• Affichage des blocs F utilisés dans votre programme de sécurité
• Affichage des blocs F utilisés dans les groupes d'exécution F
• Affichage d'informations supplémentaires sur les blocs F
Les blocs F s'affichent alors hiérarchiquement comme dans le dossier "Blocs de programme".
Vous trouverez une description des blocs F sous "Créer des blocs F en CONT/LOG (Page 148)".
Informations affichées
Les informations suivantes s'affichent en mode hors ligne :
• Les blocs F affichés ont-ils été compilés et utilisés ?
• Fonction des blocs F dans le programme de sécurité
• Signature de bloc
• Signature de groupe
• Horodatage de modification des blocs F
Les informations suivantes s'affichent en mode en ligne :
• État (si le bloc en ligne et hors ligne a le même horodatage)
• Fonction du bloc F dans le programme de sécurité
• Signature de bloc hors ligne
• Signature de groupe hors ligne
• Signature de bloc en ligne
• Signature de groupe en ligne
Remarque
Lors d'une comparaison hors ligne-en ligne, il peut arriver que l'état de comparaison diffère
entre l'éditeur de comparaison et la visualisation d'état dans l'éditeur Safety Administration
Editor. C'est le résultat de la comparaison dans l'éditeur de comparaison qui fait foi, car c'est
la seule comparaison qui prend en compte le contenu des blocs F.
Remarque
Les signatures de groupe se forment à partir des signatures des blocs F qui sont contenus
dans le groupe ou des sous-groupes. Seuls sont pris en compte les blocs F qui sont utilisés
dans le programme de sécurité. Seules les signatures de groupe jusqu'au 6e niveau
hiérarchique sont affichées.
Fonction de filtre
Avec la fonction de filtre, vous pouvez choisir de voir tous les blocs F d'un groupe d'exécution
F donné ou du programme de sécurité entier.
• Sélectionnez "All F-blocks" dans la liste déroulante pour voir tous les blocs F.
• Sélectionnez un groupe d'exécution F dans la liste déroulante pour voir tous les blocs F de
ce groupe d'exécution F.
vue d'ensemble
La section "F-compliant PLC data types" fournit des informations sur les types de données API
(UDT) conformes F que vous avez définis.
Vous pouvez y supprimer des types de données API (UDT) conformes F via le menu
contextuel.
Vous trouverez une description des types de données API (UDT) conformes F sous "Types de
données API (UDT) conformes F (S7-1200, S7-1500) (Page 124)".
Informations affichées
Les informations suivantes sur les types de données API (UDT) conformes F s'affichent en
mode hors ligne :
• Le type de données API conforme F est-il utilisé dans le programme de sécurité ?
• Horodatage de la dernière modification
Les informations suivantes sur les types de données API (UDT) conformes F s'affichent en
mode en ligne :
• État (si les types de données API (UDT) conformes F en ligne et hors ligne ont le même
horodatage)
Les types de données API (UDT) conformes F s'affichent alors hiérarchiquement comme dans
le dossier "Types de données API".
Un double clic ouvre le type de données API (UDT) conforme F pour édition.
Vous trouverez une description des icônes dans la colonne "Status" sous "Comparaison de
programmes de sécurité (Page 331)".
Remarque
Lors d'une comparaison hors ligne-en ligne, il peut arriver qu'un état de comparaison diffère
entre l'éditeur de comparaison et la visualisation d'état dans l'éditeur Safety Administration
Editor. C'est le résultat de la comparaison dans l'éditeur de comparaison qui fait foi, car c'est
la seule comparaison qui prend en compte le contenu des types de données API (UDT)
conformes F.
Voir aussi
Intégralité et correction de la configuration matérielle (Page 366)
Le volume minimum à régler est déterminé par les besoins en données locales des blocs F
ajoutés automatiquement lors de la compilation du programme de sécurité.
Vous devez donc fournir 440 octets au minimum. Toutefois, le besoin en données locales
pour les blocs F ajoutés automatiquement peut être plus élevé en fonction des besoins en
données locales des blocs F que vous avez créés en LOG ou CONT.
C'est pourquoi il faut fournir autant de données locales que possible. Le programme de
sécurité sera compilé même s'il n'y a pas suffisamment de données locales pour les blocs F
ajoutés automatiquement (au moins 440 octets).
Dans ce cas, des données dans les DB F ajoutés automatiquement seront utilisées à la place
des données locales. Cela augmentera toutefois le temps d'exécution du ou des groupes
d'exécution F. Vous serez notifié si les blocs F ajoutés automatiquement auraient besoin de
plus de données locales que configuré.
ATTENTION
Volume maximum possible de données locales en fonction des besoins en données locales du
Main Safety Block et du programme utilisateur standard de niveau supérieur (S7-300, S7-400) :
Définissez le paramètre "Local data used in safety program" au volume maximal de données
locales de la CPU F utilisée moins les besoins en données locales du Main Safety Block (pour 2
groupes d'exécution F, du Main Safety Block ayant le plus grand besoin en données locales)
moins les besoins en données locales de l'OBx appelant (pour 2 groupes d'exécution F, de
l'OBx ayant le plus grand besoin en données locales).
Remarque : Si vous n'avez pas déclaré de données locales temporaires dans les Main Safety
Blocks et l'OBx appelant, les besoins en données locales sont de 6 octets pour les Main Safety
Blocks et de 26 octets pour l'OBx appelant. Vous pouvez éventuellement déduire les besoins
en données locales des Main Safety Blocks et de l'OBx appelant de la structure du
programme.
Dans le navigateur du projet, sélectionnez la CPU F utilisée, puis "Outils > Structure d'appels".
Le tableau vous donne les besoins en données locales dans le chemin ou pour les différents
blocs (voir aussi l'aide de STEP 7).
Cas 2 : Le Main Safety Block n'est pas appelé directement dans des OB
Définissez le paramètre "Local data used in safety program" à la valeur calculée pour le cas 1
moins les besoins en données locales du programme utilisateur standard A (pour 2 groupes
d'exécution F, du programme utilisateur standard A ayant le plus grand besoin en données
locales).
Remarque : Vous pouvez déduire les besoins en données locales du programme utilisateur
standard A de la structure du programme.
Dans le navigateur du projet, sélectionnez la CPU F utilisée, puis "Outils > Structure d'appels".
Le tableau vous donne les besoins en données locales dans le chemin ou pour les différents
blocs (voir aussi l'aide de STEP 7).
"Safety mode can be disabled" (le mode de sécurité peut être désactivé)
Avec cette option, vous pouvez empêcher que le mode de sécurité d'un programme de
sécurité soit désactivé.
Sous "Runtime for the deactivated safety mode" (temps d'exécution pour mode de sécurité
désactivé), vous paramétrez le temps à l'expiration duquel la CPU F passe à l'arrêt après la
désactivation du mode de sécurité.
Vous devez recompiler le programme de sécurité après une modification de l'option et le
charger dans la CPU F pour que la modification entre en vigueur. Cela entraîne la
modification de la signature globale F et de la signature globale SW F de votre programme de
sécurité.
Assurez-vous que l'option est désactivée en mode production, afin d'exclure toute
désactivation involontaire du mode de sécurité.
ATTENTION
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les abonnés
accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les abonnés accessibles
via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas échéant, via RT_Class_UDP
(IP, couche 3).
** S7-1200/1500 : À partir de la version V3.0 des instructions SENDDP et RCVDP, aucune
communication n'est établie si l'ID de communication F à l'entrée DP_DP_ID est égale à "0".
*** S7-1200/1500 : À partir de la version V3.0 des instructions SENDDP et RCVDP, vous
pouvez également affecter à l'entrée DP_DP_ID des valeurs variables provenant d'un DB F
global. Dans ce cas également, vous devez contrôler lors de la réception du programme de
sécurité que l'unicité est garantie à tout moment en vérifiant l'algorithme de génération de la
valeur variable en conséquence. Si vous ne pouvez pas garantir une ID de communication F
unique au démarrage du programme de sécurité, car elle n'est définie qu'après le démarrage
du programme de sécurité, vous devez veiller à ce que la valeur à l'entrée DP_DP_ID soit égale
à "0" dans cette phase.
**** Dans un système S7-1500HF redondant, les deux CPU F du système S7-1500HF
redondant sont à considérer comme une CPU F en ce qui concerne DP_DP_ID.
Condition
• CPU F S7-1500 à partir du firmware V2.0
• CPU F S7-1200 à partir du firmware V4.2
• Version du système Safety à partir de V2.2
Voir aussi
Flexible F-Link (Page 289)
Communication entre groupes d'exécution F (S7-1200, S7-1500) (Page 144)
ATTENTION
L'accès au système F SIMATIC Safety sans protection d'accès est prévu aux fins de test, de
mise en service, etc., lorsque l'installation n'est pas en mode production. En l'absence de
protection d'accès, vous devez assurer la sécurité de l'installation par d'autres mesures
organisationnelles (Page 617).
Vous devez avoir configuré et activé la protection d'accès avant le passage en mode
production. (S005)
Introduction
Vous pouvez réguler l'accès au système F SIMATIC Safety avec la protection d'accès pour les
données de projet de sécurité et le mot de passe pour la CPU F.
Configurer une protection d'accès à l'échelle de la CPU pour les données de projet de sécurité
Pour configurer la protection d'accès à l'échelle de la CPU pour les données de projet de
sécurité, attribuez un mot de passe pour le programme de sécurité. Pour cela, procédez
comme suit :
1. Ouvrez le dossier de votre CPU F dans le navigateur de projet.
2. Sélectionnez "Safety Administration" et choisissez "Go to protection" dans le menu
contextuel.
Vous pouvez également double-cliquer sur "Safety Administration". L'éditeur Safety
Administration Editor de la CPU F s'ouvre. Sélectionnez "Access protection" dans la
navigation locale.
3. Sous "Offline safety program protection", sélectionnez le bouton "Setup" et saisissez dans la
boîte de dialogue suivante le mot de passe (30 caractères au maximum) pour le programme
de sécurité dans les champs "New password" et "Confirm password".
4. Confirmez l'attribution du mot de passe avec "OK".
Vous avez configuré la protection d'accès à l'échelle de la CPU pour les données de projet de
sécurité et obtenu les droits d'accès pour les données de projet de sécurité.
Remarque
Pour optimiser la protection d'accès, utilisez des mots de passe différents pour la CPU F et le
programme de sécurité.
Supprimer la protection d'accès à l'échelle de la CPU pour les données de projet de sécurité
Pour supprimer la protection d'accès à l'échelle de la CPU pour les données de projet de
sécurité, supprimez le mot de passe pour le programme de sécurité. Pour cela, procédez
comme suit :
1. Ouvrez le dossier de votre CPU F dans le navigateur de projet.
2. Sélectionnez "Safety Administration" et choisissez "Go to protection" dans le menu
contextuel.
Vous pouvez également double-cliquer sur "Safety Administration". L'éditeur Safety
Administration Editor de la CPU F s'ouvre.
3. Sélectionnez "Access protection" dans la navigation locale.
4. Cliquez sur le bouton "Change".
5. Saisissez le mot de passe pour le programme de sécurité sous "Old password".
6. Cliquez sur "Revoke", puis sur "OK".
Remarque
L'activation de la protection d'accès à l'échelle du projet peut entraîner la suppression
éventuelle de mots de passe existants pour les données de projet de sécurité pour toutes les
CPU F.
Les utilisateurs ayant besoin du droit fonctionnel "Edit safety-related project data" peuvent
éventuellement avoir besoin d'autres droits fonctionnels, par exemple :
• "Modify PLC program" pour modifier le programme de sécurité :
• "Downloading to PLC" pour charger les données de projet de sécurité dans la CPU F
• "Modify hardware configuration" pour modifier la configuration matérielle de sécurité
ATTENTION
(S7-300, S7-400) En mode production, l'accès avec le mot de passe de la CPU ne doit pas
être autorisé lors de modifications du programme utilisateur standard, car cela permettrait
également de modifier le programme de sécurité. Pour exclure ce risque, vous devez
configurer le niveau de protection "Write protection for fail-safe blocks" et définir un mot de
passe pour la CPU F. Si une seule personne est autorisée à modifier le programme utilisateur
standard et le programme de sécurité, il est nécessaire de configurer le niveau de protection
"Write protection" ou "Read/write protection" afin de restreindre ou d'interdire aux autres
personnes l'accès au programme utilisateur entier (programme standard et programme de
sécurité). (S001)
ATTENTION
(S7-1200, S7-1500) En mode production, les données du projet de sécurité doivent être
protégées par un mot de passe. Pour cela, configurez au moins le niveau de protection "Full
access (no protection)" et définissez un mot de passe sous "Full access incl. fail-safe (no
protection)". Ce niveau de protection permet l'accès complet uniquement au programme
utilisateur standard et pas aux blocs F.
Si vous sélectionnez un niveau de protection supérieur, par exemple pour protéger le
programme utilisateur standard, vous devez définir un mot de passe supplémentaire pour
"Full access (no protection)".
Attribuez des mots de passe différents aux différents niveaux de protection. (S041)
ATTENTION
Si plusieurs CPU F sont accessibles via un réseau (par exemple Industrial Ethernet) à partir
de la même PG/du même PC, vous devez vous assurer que les données de projet de
sécurité sont chargées dans la bonne CPU F en prenant les mesures supplémentaires
suivantes :
Utilisez des mots de passe spécifiques à chaque CPU F, par exemple le même mot de passe
pour les CPU F avec l'adresse Ethernet de chacune en suffixe.
Tenez compte des points suivants :
• Le premier chargement de la configuration matérielle pour l'activation de la protection
d'accès d'une CPU F doit se faire via une liaison point à point (de manière similaire à la
première affectation d'une adresse MPI à une CPU F).
• Avant de charger les données du projet de sécurité dans une CPU F, il faut annuler les
droits d'accès existants déjà pour une autre CPU F.
• Le dernier chargement des données du projet de sécurité avant le passage en mode
production doit se faire avec la protection d'accès activée. (S021)
ATTENTION
Il est possible que les données de projet relatives à la sécurité ne soient plus protégées
contre des modifications involontaires lorsque vous utilisez des outils pour l'automatisation
ou la commande (de TIA Portal ou du serveur Web) permettant de contourner la protection
d'accès pour la CPU F (par exemple, enregistrement ou saisie automatique d'un mot de
passe CPU pour le niveau de protection "Full access incl. fail-safe (no protection)" ou du mot
de passe du serveur Web). (S078)
ATTENTION
ATTENTION
Par des mesures organisationnelles (Page 617), vous devez restreindre l'accès à la CPU F aux
personnes habilitées à enficher des supports de données amovibles. (S079)
Tenez compte de l'avertissement suivant pour empêcher qu'un WinAC RTX F ou un contrôleur
logiciel S7-1500 F soit désinstallé et installé accidentellement :
ATTENTION
Par des mesures organisationnelles (Page 617), vous devez restreindre l'accès à un WinAC
RTX F ou un contrôleur logiciel S7-1500 F aux personnes habilitées à désinstaller et installer
ou réparer un WinAC RTX F ou un contrôleur logiciel S7-1500 F (par exemple, avec le droit
d'administrateur Windows (ADMIN)). (S075)
Pour un contrôleur logiciel S7-1500 F avec une version de station PC jusqu'à V2.1 incluse, la
fonction "Delete Configuration" n'est proposée sur le PC Station Panel que si aucune
protection d'accès n'est configurée dans la CPU F.
Pour une station PC à partir de la version V2.2, le système vérifie si l'utilisateur Windows
actuel est membre du groupe d'utilisateurs Windows "Failsafe Operators". Si l'utilisateur
Windows connecté est membre du groupe, il peut exécuter la fonction "Delete Configuration"
même si un mot de passe F est défini. Si l'utilisateur Windows connecté n'est pas membre du
groupe, la station PC se comporte comme jusqu'à la version V2.1.
Nous vous recommandons donc de ne configurer la protection d'accès F qu'après la mise en
service.
Afin d'éviter, sur une CPU F S7-1500, une restauration involontaire des données du projet de
sécurité, le formatage de la CPU F et la suppression de dossiers de programme à l'écran, tenez
compte de l'avertissement suivant :
ATTENTION
Le mot de passe de l'écran ne doit être connu que des personnes habilitées à restaurer les
données du projet de sécurité, à formater la CPU F et à supprimer les dossiers de
programme. Si aucun mot de passe n'est défini pour l'écran, vous devez protéger l'écran
contre toute manipulation non autorisée par des mesures organisationnelles (Page 617).
(S063)
Afin d'éviter, sur une CPU F S7-1200/1500, une restauration involontaire des données du
projet de sécurité du programme de sécurité avec le serveur web, tenez compte de
l'avertissement suivant :
ATTENTION
L'autorisation "F-admin" pour le serveur Web sans protection par mot de passe (utilisateur
"Everybody") est uniquement prévue aux fins de test, mise en service, etc., c'est-à-dire
uniquement lorsque l'installation n'est pas en mode production. Dans ce cas, vous devez
assurer la sécurité de l'installation par d'autres mesures organisationnelles (Page 617).
Avant le passage en mode production, vous devez révoquer le droit "F-admin" pour
l'utilisateur "Everybody".
Le mot de passe de l'utilisateur du serveur Web avec le droit "F-admin" ne doit être
accessible qu'aux personnes habilitées. Après le chargement de la configuration matérielle,
vérifiez que seuls les utilisateurs habilités du serveur Web disposent du droit "F-admin" sur la
CPU F. Utilisez pour cela le mode en ligne de l'éditeur Safety Administration Editor.
L'enregistrement du fichier de connexion ainsi que du mot de passe du serveur Web dans le
navigateur n'est autorisé que si d'autres mesures organisationnelles (Page 617) empêchent
une utilisation par des personnes non autorisées.
Si vous utilisez le mécanisme de ticket, vous devez gérer les tickets de manière aussi
restrictive que le mot de passe de l'utilisateur du serveur Web doté du droit "F-admin".
(S064)
Introduction
Un programme de sécurité est constitué de blocs F que vous créez en langage de
programmation LOG ou CONT et de blocs F qui sont ajoutés automatiquement. Le
programme de sécurité que vous avez créé est ainsi automatiquement complété par des
mesures de détection et de maîtrise des erreurs et des contrôles de sécurité supplémentaires
sont effectués. Vous pouvez en outre intégrer dans votre programme de sécurité des
fonctions de sécurité préconfigurées spéciales sous forme d'instructions.
La suite vous donnera une vue d'ensemble sur
• la structure du programme de sécurité
• les blocs de sécurité
• les différences entre la programmation du programme de sécurité avec LOG/CONT et la
programmation de programmes utilisateur standard
Groupes d'exécution F
Pour faciliter la manipulation, un programme de sécurité est constitué d'un ou deux "groupes
d'exécution F". Un groupe d'exécution F consiste en un assemblage logique de plusieurs blocs
F associés qui est formé en interne par le système F.
Un groupe d'exécution F se compose :
• d'un Main Safety Block (FB F/FC F que vous affectez à l'OB appelant (FB/FC le cas échéant))
• d'éventuels FB F/FC F supplémentaires que vous programmez avec LOG/CONT et appelez
dans le Main Safety Block
• d'un ou plusieurs DB F le cas échéant
• de DB de périphérie F
• de blocs F de la bibliothèque du projet ou de bibliothèques globales
• de blocs système de sécurité SB F
• de blocs F générés automatiquement
Groupes d'exécution F
Pour faciliter la manipulation, un programme de sécurité est constitué d'un ou deux "groupes
d'exécution F". Un groupe d'exécution F consiste en un assemblage logique de plusieurs blocs
F associés qui est formé en interne par le système F.
Un groupe d'exécution F se compose :
• d'un OB F qui appelle le Main Safety Block
• d'un Main Safety Block (FB F/FC F que vous affectez à l'OB F)
• d'éventuels FB F/FC F supplémentaires que vous programmez avec LOG/CONT et appelez
dans le Main Safety Block
• d'un ou plusieurs DB F le cas échéant
• de DB de périphérie F
• DB d'informations sur le groupe d'exécution F
• de blocs F de la bibliothèque du projet ou de bibliothèques globales
• de blocs système de sécurité SB F
• de blocs F générés automatiquement
• d'un bloc de prétraitement et/ou de post-traitement le cas échéant (voir
Prétraitement/post-traitement (S7-1200, S7-1500) (Page 86))
Voir aussi
DB d'informations sur le groupe d'exécution F (S7-1200, S7-1500) (Page 152)
Introduction
Si vous souhaitez également utiliser les avantages des unités logicielles pour le programme
de sécurité, par exemple la compilation et le chargement indépendants, vous pouvez utiliser
des unités Safety.
Les blocs du programme de sécurité se trouvent alors exclusivement dans l'unité Safety et ne
peuvent plus être créés dans le dossier "blocs de programme" directement sous la CPU F.
La décision d'utiliser l'unité Safety doit être prise avant de créer la CPU F. Après la création de
la CPU F, la décision ne peut plus être modifiée pour cette CPU F.
Condition
• CPU F S7-1500 à partir du FW V2.6
• Sous "Options/Settings/STEP 7 Safety", la case à cocher "Manage fail-safe in 'Software
Units' environment" (Gestion du programme de sécurité dans 'unités Safety') est
sélectionnée.
• La CPU F est nouvellement créée.
Particularités
• Vous ne pouvez pas stocker l'unité Safety dans une bibliothèque.
• Les blocs système dans l'unité Safety ne peuvent pas être publiés.
5.1.4 Blocs F
Remarque
Il est interdit d'insérer des blocs système F du dossier "Blocs système" dans un Main Safety
Block/FB F/FC F.
Informations supplémentaires
Vous trouverez une description détaillée des instructions pour le programme de sécurité sous
Vue d'ensemble des instructions (Page 393).
Remarque
Tenez compte des remarques suivantes :
• Si, dans la Task Card "Instructions", vous modifiez la version d'une instruction utilisée dans
le programme de sécurité à une version qui n'est pas identique fonctionnellement, il est
possible que la fonction de votre programme de sécurité change après la recompilation du
programme de sécurité. Outre la signature du bloc F qui utilise l'instruction, la signature
globale F et la signature globale SW F de votre programme de sécurité changent
également. Vous devrez procéder à une réception des modifications (Page 379) le cas
échéant.
• (S7-300/400) Si vous utilisez dans votre programme de sécurité un bloc F avec protection
du know-how qui utilise une instruction dans une version différente de celle configurée
dans la Task Card "Instructions" et que l'interface des versions d'instruction est identique,
ce bloc sera adapté à la version configurée dans la Task Card "Instructions" lors de la
compilation du programme de sécurité sans saisie du mot de passe pour le bloc F avec
protection du know-how. Si les versions de l'instruction ne sont pas identiques
fonctionnellement, la fonction du bloc F avec protection du know-how s'en trouvera
éventuellement modifiée, ce qui est toujours le cas de sa signature.
Remarque
La connexion de l'entrée de validation EN ou de la sortie de validation ENO n'est pas possible.
Exception :
(S7-1200, S7-1500) Vous pouvez programmer une détection de débordement pour les
instructions suivantes en connectant la sortie de validation ENO :
• ADD : Addition (STEP 7 Safety V18) (Page 518)
• SUB : Soustraction (STEP 7 Safety V18) (Page 522)
• MUL : Multiplication (STEP 7 Safety V18) (Page 525)
• DIV : Division (STEP 7 Safety V18) (Page 528)
• NEG : Créer le complément à 2 (STEP 7 Safety V18) (Page 531)
• ABS : Valeur absolue (STEP 7 Safety V18) (S7-1200, S7-1500) (Page 535)
• CONVERT : Convertir valeur (STEP 7 Safety V18) (Page 546)
• ARRAY, ARRAY[*] lors de l'utilisation des instructions RD_ARRAY_I : Lire valeur dans un
tableau F INT (STEP 7 Safety V18) (S7-1500) (Page 537) et RD_ARRAY_DI : Lire valeur dans
un tableau F DINT (STEP 7 Safety V18) (S7-1500) (Page 540)
Restrictions :
– ARRAY uniquement dans les DB globaux F
– Limites ARRAY : 0 à 10000 max.
– ARRAY[*] uniquement comme paramètre d'entrée/sortie (InOut) dans les FC F et FB F
– ARRAY of UDT n'est pas autorisé.
– ARRAY of Bool n'est pas autorisé.
– ARRAY of Word n'est pas autorisé.
– ARRAY of Time n'est pas autorisé.
• Type de données API (UDT) conforme F (S7-1200, S7-1500)
Remarque
La CPU F peut passer à l'état Arrêt si le résultat d'une instruction se situe hors de la plage
autorisée pour le type de données. La cause de l'événement de diagnostic est inscrite dans le
tampon de diagnostic de la CPU F.
Vous devez donc veiller dès la création du programme à ce que la plage autorisée pour le type
de données soit respectée, ou bien choisissez un type de données adapté ou utilisez la sortie
ENO.
Tenez compte de la description des différentes instructions.
Accès Slice
Les accès Slice ne sont pas possibles dans le programme de sécurité.
Exemple CONT :
Vous avez aussi toujours la possibilité de générer "1" ou "TRUE" dans une variable au moyen
de l'instruction "Affectation (Page 403)".
Pour cela, ne connectez pas l'entrée de la boîte de l'instruction "Affectation" en LOG. En
CONT, connectez l'entrée directement à la barre conductrice.
Pour obtenir une variable de valeur "0" ou "FALSE", procédez ensuite à une inversion avec
l'instruction "Inverser RLO (Page 400)".
Exemple LOG :
Exemple CONT :
Remarque
Tenez compte du fait lors de l'utilisation de la plage d'opérandes Données locales temporaires
que le premier accès à une donnée locale dans un Main Safety Block/un FB F/FC F doit
toujours être un accès en écriture qui initialise la donnée locale.
Veillez à ce que l'initialisation d'une donnée locale temporaire se fasse avant la première
instruction JMP, JMPN ou RET.
Il est recommandé de procéder à l'initialisation d'un "bit de données locales" avec l'instruction
Affectation ("=" en LOG ou "--( )" en CONT). Affectez l'état logique "0" ou "1" comme constante
booléenne au bit de données locales.
Les instructions Bascule (SR, RS), Mise à 1 sortie (S) ou Mise à 0 sortie (R) ne permettent pas
d'initialiser les bits de données locales.
La CPU F peut passer à l'état Arrêt si cela n'est pas respecté. La cause de l'événement de
diagnostic est inscrite dans le tampon de diagnostic de la CPU F.
ATTENTION
Si vous programmez des accès globaux aux DB d'instance de FB F, vous devez veiller à ce
que le FB F correspondant soit appelé dans le programme de sécurité. (S096)
Introduction
Vous déclarez et utilisez les types de données API (UDT) conformes F comme les types de
données API (UDT) standard. Vous pouvez utiliser les types de données API (UDT) conformes
F aussi bien dans le programme de sécurité que dans le programme utilisateur standard.
Ce chapitre décrit les différences par rapport aux types de données API (UDT) standard.
Vous trouverez plus d'informations sur l'utilisation et la déclaration des types de données API
(UDT) standard sous "Déclaration de types de données API (UDT)" dans l'aide de STEP 7.
Exemple 1
Le Main Safety Block (niveau 1) appelle un FB F comme multi-instance (niveau 2) qui appelle
à son tour une FC F (niveau 3) dans laquelle une variable d'un type de données API conforme
F imbriqué est déclarée. Une profondeur d'imbrication maximale de 5 est ainsi disponible
pour le type de données API conforme F utilisé par la variable.
Exemple 2
Le Main Safety Block appelle un FB F comme instance unique (niveau 1) qui appelle à son
tour une FC F (niveau 2) dans laquelle une variable d'un type de données API conforme F
imbriqué est déclarée. Une profondeur d'imbrication maximale de 6 est ainsi disponible pour
le type de données API conforme F utilisé par la variable.
Voir aussi
Section "F-compliant PLC data types" (S7-1200, S7-1500) (Page 89)
5.1.6.1 Regrouper dans des structures les variables API pour les entrées et sorties de
périphérie F (S7-1200, S7-1500)
Vous regroupez les variables API pour les entrées et sorties de périphérie F dans des
structures (variables API structurées) comme pour les entrées et sorties de périphérie
standard.
Utilisez pour cela des types de données API (UDT) conformes F.
Règles
Lors de la création de variables API structurées pour les entrées et sorties de périphérie F,
observez les règles suivantes en plus des règles standard :
• Vous ne pouvez pas regrouper à la fois des entrées/sorties de périphérie standard et de
périphérie F dans une variable API structurée.
• Vous pouvez regrouper dans une variable API structurée uniquement des entrées/sorties
de voies existant réellement (valeur de voie et état de la valeur).
Voir aussi Adresser la périphérie F (Page 155)
• Vous pouvez regrouper dans une variable API structurée uniquement des entrées/sorties
de voies (valeur de voie et état de la valeur) qui sont activées dans la configuration
matérielle.
Voir aussi Adresser la périphérie F (Page 155)
• Vous pouvez regrouper dans une variable API structurée uniquement des entrées de voies
(valeur de voie et état de la valeur) qui fournissent le résultat de "l'exploitation 1oo2
(1de2) des capteurs" lorsque l'option "Exploitation 1oo2 (1de2) des capteurs" est activée.
Voir aussi Adresser la périphérie F (Page 155)
• Il est recommandé de regrouper toutes les entrées et sorties d'une périphérie F dans une
variable API structurée. En cas de répartition sur plusieurs variables API structurées, celles-
ci ne peuvent commencer qu'à des multiples de 16 bits. Cela vaut également pour les
types de données API (UDT) conformes F imbriqués. Voir les règles pour le programme
standard.
La CPU F peut passer à l'état Arrêt si cette règle n'est pas respectée. La cause de
l'événement de diagnostic est inscrite dans le tampon de diagnostic de la CPU F.
• Une variable API structurée qui regroupe des sorties d'une périphérie F ne doit pas se
superposer à une autre variable API.
La CPU F peut passer à l'état Arrêt si cette règle n'est pas respectée. La cause de
l'événement de diagnostic est inscrite dans le tampon de diagnostic de la CPU F.
Remarque
Pour respecter ces règles, vous devez déclarer le type de données API conforme F utilisé pour
la variable API structurée en conséquence.
L'onglet "Variable IO" dans la configuration d'une périphérie F indique les adresses qui
peuvent être occupées par une variable API structurée.
5.1.6.2 Exemple de variables API structurées pour les entrées et sorties de périphérie F
(S7-1200, S7-1500)
Introduction
Cet exemple montre à l'aide du module F 4 F-DI/3 F-DO DC24V/2A avec exploitation
1oo2 (1de2) comment utiliser des variables API structurées pour accéder à la périphérie F.
Tableau 5- 2 Structure de voies et adresses des valeurs de voie des entrées avec exploitation
1oo2 (1de2)
Voie Adresse
Valeur de voie voie DI 0 I15.0
Valeur de voie voie DI 1 I15.1
Valeur de voie voie DI 2 I15.2
Valeur de voie voie DI 3 I15.3
— I15.4
— I15.5
— I15.6
— I15.7
Tableau 5- 3 Structure de voies et adresses des états de valeur des entrées avec exploitation
1oo2 (1de2)
Voie Adresse
État de la valeur voie DI 0 I16.0
État de la valeur voie DI 1 I16.1
État de la valeur voie DI 2 I16.2
État de la valeur voie DI 3 I16.3
— I16.4
— I16.5
— I16.6
— I16.7
Voie Adresse
État de la valeur voie DO 0 I17.0
État de la valeur voie DO 1 I17.1
État de la valeur voie DO 2 I17.2
État de la valeur voie DO 3 I17.3
Voie Adresse
Valeur de voie voie DO 0 Q15.0
Valeur de voie voie DO 1 Q15.1
Valeur de voie voie DO 2 Q15.2
Valeur de voie voie DO 3 Q15.3
La figure suivante montre le type de données API (UDT) conforme F pour l'accès aux valeurs
de voie et aux états de valeur des sorties :
Créer une variable API structurée pour le module F 4 F-DI/3 F-DO DC24V/2A
Créez des variables API structurées pour le module F 4 F-DI/3 F-DO DC24V/2A :
Appel de la FC F
Transmettez les variables API structurées créées lors de l'appel de la FC F (par exemple,
"Motor") :
Voir aussi
Adresser la périphérie F (Page 155)
État de la valeur (S7-1200, S7-1500) (Page 157)
Remarque
La signature globale F du programme de sécurité est réinitialisée après l'importation d'une
table de variables qui contient des variables utilisées dans le programme de sécurité.
Vous devez recompiler les données du projet pour générer à nouveau la signature globale F.
Si la protection d'accès pour le programme de sécurité est activée, vous avez besoin pour cela
de droits d'accès valides pour le programme de sécurité.
C'est pourquoi nous vous recommandons de stocker les variables API utilisées dans le
programme de sécurité dans leur propre table des variables si vous souhaitez éditer les
variables API avec des éditeurs externes.
Supprimer le programme de sécurité complet pour les CPU F S7-300/400 avec carte mémoire
enfichée (carte flash ou Micro Memory Card SIMATIC)
Procédez comme suit pour supprimer un programme de sécurité complet :
1. Supprimez tous les blocs F (signalés par une icône jaune) dans le navigateur du projet.
2. Supprimez tous les appels avec lesquels vous avez appelé le programme de sécurité
(Main_Safety).
3. Sélectionnez la CPU F dans l'éditeur de matériel et de réseaux et désactivez l'option
"F-capability activated" dans les propriétés de la CPU F.
4. Compilez les données de projet de la CPU F.
Le projet hors ligne ne contient maintenant plus de programme de sécurité.
5. Pour supprimer un programme de sécurité de la carte mémoire (carte flash ou Micro
Memory Card SIMATIC), enfichez la carte dans la PG/le PC ou dans un programmateur
d'EPROM USB SIMATIC.
6. Sélectionnez la commande "Projet > Card Reader/Mémoire USB > Afficher Card
Reader/mémoire USB" dans la barre de menus.
7. Ouvrez le dossier "SIMATIC Card Reader" et supprimez la carte mémoire.
8. Enfichez la carte mémoire dans la CPU F.
9. Effectuez un effacement général de la CPU F (le clignotement de la LED STOP requiert un
effacement général).
Vous pouvez ensuite charger le programme utilisateur standard hors ligne dans la CPU F.
Supprimer le programme de sécurité complet pour les CPU F S7-400 sans carte flash enfichée
Procédez comme suit pour supprimer un programme de sécurité complet :
1. Supprimez tous les blocs F (signalés par une icône jaune) dans le navigateur du projet.
2. Supprimez tous les appels avec lesquels vous avez appelé le programme de sécurité
(Main_Safety).
3. Sélectionnez la CPU F dans l'éditeur de matériel et de réseaux et désactivez l'option
"F-capability activated" dans les propriétés de la CPU F.
4. Compilez les données de projet de la CPU F.
Le projet hors ligne ne contient maintenant plus de programme de sécurité.
5. Effectuez un effacement général de la CPU F (dans la Task Card "Outils en ligne" de la CPU F).
Vous pouvez ensuite charger le programme utilisateur standard hors ligne dans la CPU F.
Règles
Tenez compte des points suivants :
• L'accès aux voies (valeurs de voie et états de valeur) d'une périphérie F n'est autorisé qu'à
partir d'un seul groupe d'exécution F.
• L'accès à des variables du DB de périphérie F d'une périphérie F n'est autorisé qu'à partir
d'un seul groupe d'exécution F qui doit être le groupe d'exécution F dans lequel se fait
également l'accès aux voies ou aux états de valeur de cette périphérie F (si l'accès existe).
• Les FB F peuvent être utilisés dans plusieurs groupes d'exécution F, mais il doivent être
appelés avec des DB d'instance différents.
• L'accès aux DB d'instance de FB F n'est autorisé qu'à partir du groupe d'exécution F dans
lequel le FB F correspondant est appelé.
• L'accès à une variable d'un DB F global (à l'exception du DB global F) n'est autorisé qu'à
partir d'un seul groupe d'exécution F (mais un DB F global peut être utilisé dans plusieurs
groupes d'exécution F).
• (S7-300, S7-400) Le groupe d'exécution F pour lequel vous avez configuré un DB pour la
communication entre groupes d'exécution F peut lire et écrire dans ce DB ; le groupe
d'exécution F "récepteur" peut uniquement lire ce DB F.
• (S7-300, S7-400) L'accès à un DB de communication F n'est autorisé qu'à partir d'un seul
groupe d'exécution F.
• (S7-1200, S7-1500) Vous ne pouvez pas appeler le Main Safety Block vous-même. Il est
automatiquement appelé par l'OB F associé.
Remarque
Le système F protège le know-how des OB F. Les informations de déclenchement des OB F
ne peuvent donc pas être exploitées.
• (S7-1200, S7-1500) L'OB F doit être créé avec la priorité maximale de tous les OB.
Remarque
La charge due à la communication, le traitement d'alarmes de priorité supérieure et les
fonctions de test et de mise en service notamment peuvent allonger le temps de
cycle/d'exécution d'un OB F Dans un système S7-1500H redondant, il dépend également
de l'état actuel du système.
• (S7-300, S7-400) Le Main Safety Block ne peut être appelé qu'une fois à partir d'un bloc
standard. Plusieurs appels peuvent provoquer l'arrêt de la CPU F.
• (S7-300, S7-400) Pour une utilisation optimale des données locales temporaires, vous
devez appeler le groupe d'exécution F (le Main Safety Block) directement dans un OB (OB
d'alarme cyclique de préférence) et ne pas déclarer d'autres données locales temporaires
dans cet OB d'alarme cyclique.
• (S7-300, S7-400) Dans un OB d'alarme cyclique, le groupe d'exécution F doit être exécuté
avant le programme utilisateur standard et donc se trouver tout au début de l'OB afin
d'être toujours appelé à intervalles de temps fixes, indépendamment de la durée de
traitement du programme utilisateur standard.
C'est pourquoi l'OB d'alarme cyclique ne doit pas être interrompu par des alarmes même
de priorité supérieure.
• L'accès en lecture ou en écriture à la mémoire image des entrées et des sorties de la
périphérie standard, aux mémentos et aux variables des DB du programme utilisateur
standard est possible à partir de plusieurs groupes d'exécution F (voir aussi Échange de
données entre le programme utilisateur standard et le programme de sécurité
(Page 191)).
• Les FC F peuvent généralement être appelées dans plusieurs groupes d'exécution F.
Remarque
Vous améliorerez les performances en programmant dans le programme utilisateur standard
les parties du programme qui n'assurent pas de fonction de sécurité.
Lors de la répartition entre programme utilisateur standard et programme de sécurité, veillez
à simplifier les modifications et le chargement du programme utilisateur standard dans la
CPU F. Les modifications du programme utilisateur standard ne sont en principe pas soumises
à obligation de réception.
Conditions
• Vous avez inséré une CPU F S7-300/400 dans votre projet.
• L'option "F-capability activated" est cochée dans l'onglet "Propriétés" de la CPU F
(configuration par défaut).
Le paragraphe suivant décrit comment modifier les paramètres du groupe d'exécution F créé
par défaut ou ajouter un autre groupe d'exécution F.
3. Définissez le bloc dans lequel le Main Safety Block doit être appelé.
L'OB 35 d'alarme cyclique est proposé par défaut. L'avantage des OB d'alarme cyclique, est
qu'ils interrompent le traitement cyclique du programme dans l'OB 1 du programme
utilisateur standard à des intervalles de temps fixes. Un OB d'alarme cyclique permet donc
d'appeler et d'exécuter un programme de sécurité à des intervalles de temps fixes.
Dans ce champ de saisie, vous pouvez uniquement sélectionner des blocs qui ont été
créés dans les langages de programmation CONT, LOG ou LIST. Si vous sélectionnez un
bloc ici, l'appel est automatiquement inséré dans ce bloc et supprimé le cas échéant du
bloc sélectionné précédemment.
Si vous voulez appeler le Main Safety Block dans un bloc qui a été créé dans un autre
langage de programmation, vous devez y programmer cet appel vous-même. Le champ de
saisie est alors grisé et vous ne pouvez pas modifier l'appel dans l'éditeur Safety
Administration Editor, mais uniquement dans le bloc appelant.
4. Affectez le Main Safety Block souhaité au groupe d'exécution F. Si le Main Safety Block est
un FB, vous devez également affecter un DB d'instance.
Main_Safety [FB1] et Main_Safety_DB [DB1] sont proposés par défaut.
5. La CPU F surveille le temps de cycle F du groupe d'exécution F. Pour "Maximum cycle time of
the F-runtime group", sélectionnez le temps maximal autorisé entre deux appels du groupe
d'exécution F.
ATTENTION
ATTENTION
6. Si un groupe d'exécution F doit mettre des variables à disposition d'un autre groupe
d'exécution F du programme de sécurité pour évaluation, affectez un DB pour la
communication entre groupes d'exécution F. Sélectionnez un DB F pour "DB for F-runtime
group communication" (voir aussi Communication entre groupes d'exécution F (S7-300,
S7-400) (Page 141)).
7. Si vous voulez créer un deuxième groupe d'exécution F, cliquez sur le bouton "Add new
F-runtime group".
8. Affectez un FB F ou une FC F comme Main Safety Block à un bloc appelant. Ce FB F ou cette
FC F est automatiquement créé dans le navigateur du projet s'il n'existe pas déjà.
9. Si le Main Safety Block est un FB F, affectez-lui un DB d'instance. Le DB d'instance est
automatiquement créé dans le navigateur du projet.
10.Procédez comme décrit aux étapes 3 à 5 ci-dessus pour achever la création du deuxième
groupe d'exécution F.
Conditions
• Vous avez inséré une CPU F S7-1200/1500 dans votre projet.
• Dans l'onglet "Propriétés" de la CPU F, la case à cocher "Fonctionnalité F activée" est
sélectionnée (réglage par défaut).
Le paragraphe suivant décrit comment modifier les paramètres du groupe d'exécution F créé
par défaut ou ajouter un autre groupe d'exécution F.
Remarque
Il est recommandé de créer l'OB F avec la classe d'événement "Cyclic interrupt", afin que le
programme de sécurité soit appelé à intervalles de temps fixes.
Des OB F de classe d'événement "Synchronous cycle" n'ont de sens qu'avec des périphéries
F prenant en charge l'isochronisme, par exemple le sous-module "Profisafe Telgr 902" de
l'entraînement SINAMICS S120 CU310-2 PN V5.1.
Des OB F de classe d'événement "Program cycle" ne sont pas conseillés, car cette classe
possède la priorité "1" la plus basse (voir ci-dessous).
Remarque
Respectez le nombre maximal autorisé d'OB (OB F inclus) de classe d'événement
"Synchronous cycle" (voir les caractéristiques techniques dans les manuels des CPU
S7-1500).
Remarque
La priorité élevée de l'OB F permet de minimiser l'influence du programme utilisateur
standard sur le temps d'exécution du programme de sécurité et sur le temps de réaction
de vos fonctions de sécurité (Page 603).
Remarque
Pour les OB F de classe d'événement "Synchronous cycle", vous devez, après avoir défini le
groupe d'exécution F et la connexion de la périphérie F isochrone à l'OB d'alarme
d'isochronisme, encore paramétrer le cycle d'application (ms) et le temps de retard (ms),
le cas échéant. Ces paramètres figurent dans la boîte de dialogue "Propriétés" de l'OB
d'alarme d'isochronisme dans le groupe "Isochronisme". Procédez comme décrit sous
"Paramétrer des OB d'alarme d'isochronisme" dans l'aide de STEP 7.
7. Affectez le bloc Main Safety Block à appeler à l'OB F. Si le Main Safety Block est un FB, vous
devez également affecter un DB d'instance.
Main_Safety_RTG1 [FB1] et Main_Safety_RTG1_DB [DB1] sont proposés par défaut.
8. La CPU F surveille le temps de cycle F du groupe d'exécution F. Deux paramètres sont
disponibles à cet effet :
– Si la limite d'alerte "Warn cycle time of the F-runtime group" est dépassée, une requête
de maintenance est inscrite dans le tampon de diagnostic de la CPU F et la LED MAINT
de la CPU F est activée. Vous pouvez utiliser ce paramètre pour constater, par exemple,
si le temps de cycle dépasse une valeur requise sans que la CPU F ne passe à l'état
Arrêt.
Remarque
La requête de maintenance est signalée comme événement disparaissant en cas de
changement d'état Arrêt/Marche de la CPU F. Dans un système HF, vous devez pour
cela mettre les deux CPU HF ou le système redondant S7-1500HF à l'état Arrêt avant de
redémarrer les CPU HF.
Vous pouvez également marquer la requête de maintenance comme disparaissante
avec l'instruction standard "ACK_FCT_WARN". Appelez pour cela l'instruction
"ACK_FCT_WARN" avec un front montant au paramètre d'entrée "ACK_WARN" dans
votre programme utilisateur standard.
Un nouveau dépassement de la limite d'alerte ne sera signalé qu'après un changement
d'état Arrêt/Marche de la CPU F.
ATTENTION
ATTENTION
Vous devez paramétrer la limite d'alerte "Warn cycle time of the F-runtime group" à une
valeur inférieure ou égale au temps "Maximum cycle time of the F-runtime group".
9. Si nécessaire, vous pouvez modifier, sous "F-runtime group information DB", le nom du DB
d'informations sur le groupe d'exécution F (Page 152) proposé par le système.
10.Vous pouvez si nécessaire sélectionner des blocs du programme standard (FC) pour le
prétraitement ou le post-traitement d'un groupe d'exécution F (voir Prétraitement/post-
traitement (S7-1200, S7-1500) (Page 86)).
11.Si vous voulez créer un deuxième groupe d'exécution F, cliquez sur le bouton "Add new
F-runtime group". Procédez comme décrit aux étapes 3 à 10 ci-dessus.
Remarque
Le groupe d'exécution F pour lequel vous avez configuré un DB F pour la communication
entre groupes d'exécution F peut lire et écrire dans ce DB ; le groupe d'exécution F "récepteur"
peut uniquement lire ce DB F.
Remarque
Les variables lues sont contemporaines du dernier traitement achevé du groupe d'exécution F
fournissant les variables avant le démarrage du groupe d'exécution F lisant les variables.
Si les variables fournies sont modifiées plusieurs fois pendant le temps d'exécution du groupe
d'exécution F fournissant les variables, le groupe d'exécution F lisant les variables ne reçoit
que la dernière modification (voir la figure suivante).
① Démarrage du système F
Temps de cycle de l'OB (F) dans lequel le groupe d'exécution F est appelé
Lecture de variables du groupe d'exécution F 1 qui présente un cycle d'OB plus court et
une priorité supérieure au groupe d'exécution F 2
① Démarrage du système F
Temps de cycle de l'OB (F) dans lequel le groupe d'exécution F est appelé
Remarque
La CPU F passe à l'arrêt si le groupe d'exécution F dont les variables de DB de communication
entre groupes d'exécution F doivent être lues dans n'est pas traité (le Main Safety Block du
groupe d'exécution F n'est pas appelé). L'un des événements de diagnostic suivants est inscrit
dans le tampon de diagnostic de la CPU F :
• Erreur dans le programme de sécurité : Temps de cycle dépassé
• Numéro du Main Safety Block concerné (du groupe d'exécution F qui n'est pas traité)
• Temps de cycle actuel en ms : "0"
Introduction
La fonctionnalité Flexible F-Link permet de réaliser une communication entre groupes
d'exécution F.
Flexible F-Link fournit un tableau F codé pour les données d'émission du groupe
d'exécution F. Le tableau F codé est transmis à l'autre groupe d'exécution F au moyen
d'instructions standard, par exemple UMOVE_BLK.
Condition
• CPU F S7-1500 à partir du firmware V2.0
• CPU F S7-1200 à partir du firmware V4.2
• Version du système Safety à partir de V2.2
Procédez comme suit pour l'envoi sécurisé de données d'un groupe d'exécution F à un autre
groupe d'exécution F :
1. Créez un type de données API (UDT) conforme F non imbriqué pour la communication entre
groupes d'exécution F. Il peut avoir une taille de 100 octets au maximum.
2. Créez deux communications F pour une communication entre groupes d'exécution F dans la
section "Flexible F-Link" de l'éditeur Safety Administration Editor, c'est-à-dire une
communication F respectivement pour l'émission et pour la réception.
4. Du côté émission (p. ex. RTG1), écrivez les données à envoyer dans les données du DB de
communication F (Page 293) pour le sens émission.
Par exemple :
5. Du côté réception (p. ex. RTG2), lisez les données reçues du DB de communication F
(Page 293) pour le sens réception.
Par exemple :
"Send" est le DB de communication F (Page 293) du groupe d'exécution F qui envoie les
données.
"Receive" est le DB de communication F (Page 293) du groupe d'exécution F qui reçoit les
données.
8. Appelez l'instruction "UMOVE_BLK" dans la FC de post-traitement (Page 97) dans le groupe
d'exécution F pour l'acquittement (par exemple, RTG2).
ATTENTION
Lors de la réception, vérifiez à l'aide de l'impression de sécurité que les décalages de tous les
éléments des types de données API conformes F (UDT) correspondent pour les données
d'émission et de réception à l'intérieur du télégramme de sécurité. À cet effet, tous les
membres et toutes les adresses sont listés par UDT dans l'impression de sécurité. (S088)
ATTENTION
Lors de la création d'une nouvelle communication avec Flexible F-Link dans l'éditeur Safety
Administration Editor, une UUID de communication F unique est fournie par le système pour
la communication. Les UUID de communication F ne sont pas à nouveau générées lors de la
copie de communications dans l'éditeur Safety Administration Editor à l'intérieur de la table
de paramétrage ou lors de la copie dans une autre CPU F et elles ne sont donc plus uniques.
Si une nouvelle relation de communication est créée par copie, vous devez veiller vous-
même à l'unicité des UUID de communication. Sélectionnez pour cela les UUID concernées
et générez-les à nouveau avec la commande "Generate UUID" du menu contextuel. L'unicité
doit être vérifiée dans l'impression du programme de sécurité lors de la réception. (S087)
ATTENTION
Introduction
Pour créer des FB F, FC F et DB F pour le programme de sécurité, vous procédez en principe
comme dans le système standard. Les paragraphes ci-après présentent uniquement les
différences par rapport au système standard.
Créer des FB F, FC F et DB F
Vous créez les blocs F de la même manière que les blocs standard. Procédez comme suit :
1. Double-cliquez dans le navigateur de projet de la CPU F ou de l'unité Safety sous "Blocs de
programme" sur "Ajouter un nouveau bloc".
2. Dans la boîte de dialogue qui s'affiche, définissez le type, le nom et la langue et cochez
l'option "Create F-block" (un bloc standard sera créé si vous n'activez pas l'option).
3. Le bloc s'ouvre dans l'éditeur de programme après acquittement de la boîte de dialogue.
Remarque
• Ne déclarez pas de paramètres de bloc dans l'interface du Main Safety Block, car aucune
valeur ne peut leur être transmise.
• (S7-1200, S7-1500) Vous pouvez éditer les valeurs initiales dans les DB d'instance.
• La fonction "Appliquer les valeurs actuelles" n'est pas prise en charge.
• Vous ne pouvez pas accéder aux données locales statiques dans des instances
uniques/multiples d'autres FB F.
• Vous devez toujours initialiser les sorties des FC F.
La CPU F peut passer à l'état Arrêt si cette règle n'est pas respectée. La cause de
l'événement de diagnostic est inscrite dans le tampon de diagnostic de la CPU F.
• (S7-300, S7-400) Si vous souhaitez affecter un opérande de la zone Données (bloc de
données) comme paramètre effectif à un paramètre formel d'une FC F, vous devez
indiquer le chemin complet du DB.
• Un bloc peut accéder uniquement en lecture à ses entrées et en écriture à ses sorties.
Utilisez un paramètre d'entrée/sortie si vous voulez y accéder en lecture et en écriture.
• Pour plus de clarté, donnez des noms explicites aux blocs F que vous créez.
Voir aussi
Modifier un groupe d'exécution F (S7-1200, S7-1500) (Page 147)
Conditions
Tenez compte des remarques suivantes pour la protection du know-how des blocs F pour les
CPU F S7-1200/1500 :
• Un bloc F dont vous voulez protéger le savoir-faire doit être appelé dans le programme de
sécurité.
• Le programme de sécurité doit être cohérent avant que vous ne puissiez configurer la
protection du know-how pour un bloc F. Pour cela, vous devez compiler (Page 299) le
programme de sécurité.
Remarque
L'impression de sécurité ne contient pas le code source des blocs F avec protection du know-
how. Il faut donc générer l'impression de sécurité (par exemple, en vue d'un examen du code
ou de la réception du bloc F) avant de configurer la protection du know-how.
Remarque
Si vous souhaitez éditer le code de programme et/ou l'interface de bloc d'un bloc F avec
protection du know-how, nous vous recommandons de ne pas ouvrir le bloc F en saisissant le
mot de passe, mais de supprimer complètement la protection du know-how puis de la rétablir
après la compilation.
Remarque
(S7-1200, S7-1500) Si un bloc F avec protection du know-how ou des blocs F qu'il appelle
sont renommés, la signature du bloc F avec protection du know-how ne change que lors de la
saisie du mot de passe à l'ouverture ou de la suppression de la protection du know-how.
Remarque
Lors de l'utilisation de blocs F avec protection du know-how, des avertissements et des
messages d'erreur dont la cause se trouve dans ces blocs F peuvent s'afficher lors la
compilation du programme de sécurité. Les avertissements et messages d'erreur
comprennent des indications appropriées. Exemple : Dans un bloc F avec protection du know-
how, vous accédez en lecture à une variable du programme utilisateur standard à laquelle un
autre bloc F (avec protection du know-how) accède en écriture.
Pour les CPU F S7-1200/1500, vous trouverez des informations supplémentaires dans la
section "Know-how protected F-blocks in the safety program" de l'impression de sécurité.
Voir aussi
Réutilisation de blocs F (Page 150)
Introduction
Vous pouvez réutiliser les blocs F que vous avez déjà testés et éventuellement réceptionnés
dans d'autres programmes de sécurité sans devoir à nouveau les tester et les réceprogramme
de sécuritéptionner.
Vous pouvez protéger le contenu du bloc F en configurant une protection du know-how. Il ne
faut configurer cette protection qu'une fois la réception du bloc F effectuée afin que
l'impression de sécurité contienne l'intégralité de ce bloc F.
Vous pouvez enregistrer les blocs F tout comme les blocs standard comme modèles de copie
ou types dans des bibliothèques globales ou dans la bibliothèque du projet.
Vous trouverez plus d'informations sous "Utiliser des bibliothèques" dans l'aide de STEP 7.
CPU F S7-300/400
• Signature et signature de valeur initiale du bloc F avec protection du know-how
• Versions de toutes les instructions CONT/LOG avec versionnage utilisées
• Signatures et signatures de valeurs initiales de tous les FB F et FC F appelés
• Signatures de tous les DB F auxquels le bloc F à réutiliser accède
CPU F S7-1200/1500
• Signature du bloc F avec protection du know-how
• Version du système Safety lors de la configuration de la protection du know-how
• Versions de toutes les instructions CONT/LOG avec versionnage utilisées
• Signatures de tous les FB F et FC F appelés
• Signatures de tous les DB F auxquels le bloc F à réutiliser accède
La documentation de sécurité doit également inclure une description du fonctionnement du
bloc F, notamment en cas de protection du know-how.
Vous obtenez les informations nécessaires en générant une impression de sécurité du
programme de sécurité dans lequel vous avez initialement créé, testé et accepté le bloc F à
réutiliser.
Cette impression de sécurité peut aussi servir directement de documentation de sécurité pour
le bloc F à réutiliser.
Voir aussi
Conformité des blocs F avec protection du know-how utilisés dans le programme de sécurité
avec leur documentation de sécurité (Page 364)
Fonction
Le DB global F est un bloc de données de sécurité qui contient toutes les données globales du
programme de sécurité, ainsi que des informations supplémentaires dont le système F a
besoin. Le DB global F est automatiquement inséré lors de la compilation de la configuration
matérielle.
Vous pouvez exploiter certaines données du programme de sécurité dans le programme
utilisateur standard grâce à son nom F_GLOBDB.
Introduction
Le DB d'informations sur le groupe d'exécution F fournit des informations essentielles sur le
groupe d'exécution F correspondant et sur l'ensemble du programme de sécurité.
Le DB d'informations sur le groupe d'exécution F est généré lors de la création d'un groupe
d'exécution F. Un mnémonique est alors attribué au DB d'informations sur le groupe
d'exécution F, par exemple "RTG1SysInfo". Vous pouvez modifier ce nom dans l'éditeur Safety
Administration Editor.
Vous ne devez pas accéder aux informations dans le paramètre "F_SYSINFO" à partir du
programme de sécurité.
* Lorsque la CPU F passe à l'arrêt une fois que le temps imparti pour le mode Mode de sécurité désactivé a expiré, le temps
restant encore disponible dans le dernier cycle est affiché.
Voir aussi
Identification du programme (Page 330)
Introduction
ATTENTION
STOP par action sur la PG/le PC, sélecteur de mode, fonction de communication ou
instruction "STP", par exemple
La commutation sur l'état STOP au moyen d'une action sur la PG/le PC, du sélecteur de
mode, d'une fonction de communication ou de l'instruction "STP", par exemple, ainsi que le
maintien à l'état STOP ne sont pas des fonctions de sécurité. Cet état STOP peut très
facilement (même involontairement) être annulé par une action sur la PG/le PC, par
exemple.
Lors du changement d'état STOP/RUN d'une CPU F, le programme utilisateur standard
démarre comme à l'accoutumée. Lors du démarrage du programme de sécurité, tous les
contenus des DB F sont réinitialisés à leur valeur initiale de la mémoire de chargement. Les
informations d'erreur mémorisées sont donc perdues. Le système F procède à une
réintégration automatique de la périphérie F.
Si le processus n'autorise pas un tel démarrage, il faut inclure une protection contre le
(re)démarrage dans le programme de sécurité. La sortie des valeurs de processus doit être
bloquée jusqu'à l'acquittement par l'utilisateur (voir "Réalisation d'un acquittement
utilisateur"). Cet acquittement utilisateur ne doit avoir lieu que lorsque la sortie des valeurs
de processus est possible sans danger et que les erreurs ont été corrigées. (S031)
Voir aussi
Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un
maître DP ou d'un IO-Controller (Page 183)
Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un
esclave I ou d'un périphérique I (Page 188)
DB de périphérie F (Page 162)
vue d'ensemble
La suite décrit comment adresser la périphérie F dans le programme de sécurité et quelles
sont les règles à respecter.
Règles
• Vous ne pouvez adresser une voie (valeur de voie et état de la valeur) d'une périphérie F
que dans un seul groupe d'exécution F. Le premier adressage que vous programmez
définit le groupe d'exécution F affecté.
• Vous ne pouvez adresser une voie (valeur de voie et état de la valeur) d'une périphérie F
qu'avec l'unité correspondant au type de données de la voie.
Exemple : Pour accéder aux voies d'entrée de type de données BOOL, utilisez l'unité
"entrée (bit)" (Ix.y). Accéder à 16 voies d'entrée consécutives de type de données BOOL
par l'unité "mot d'entrée" (IWx) n'est pas possible.
• Les voies analogiques doivent toujours être entrées dans la table des variables avec le type
de données INT ou DINT. Les types de données WORD, DWORD ou TIME ne sont pas
autorisés.
• Adressez uniquement des entrées et sorties qui référencent une voie existant réellement
(valeur de voie et état de la valeur), par exemple pour une sortie F-DO 10xDC24V
d'adresse de début 10 uniquement les sorties Q10.0 à Q11.1 pour les valeurs de voie et les
entrées I10.0 à I11.1 pour les états de valeur. N'oubliez pas non plus que, en raison du
protocole de sécurité spécifique, la périphérie F occupe une zone plus importante dans la
mémoire qu'il n'est nécessaire pour les voies réellement présentes sur la périphérie F
(valeurs de voie et états de valeur). Pour savoir dans quelle zone de la mémoire image les
voies (valeurs de voie et états de valeur) sont stockées, reportez-vous aux manuels
correspondants de la périphérie F.
• Des voies peuvent être désactivées dans certaines périphéries F (par exemple, modules de
sécurité ET 200SP ou modules de sécurité S7-1500/ET 200MP). Adressez uniquement les
voies (valeur de voie et état de la valeur) qui sont activées dans la configuration
matérielle. Un avertissement peut être émis lors de la compilation du programme de
sécurité si vous adressez des voies qui sont désactivées dans la configuration matérielle.
• Il est possible de paramétrer une "exploitation 1oo2 (1de2) des capteurs" pour certaines
périphéries F (par exemple, modules de sécurité ET 200SP ou modules de sécurité
S7-1500/ET 200MP). Deux voies sont alors regroupées en une paire de voies et le résultat
de "l'exploitation 1oo2 (1de2) des capteurs" est généralement fourni sous l'adresse de la
voie de numéro de poids faible (voir les manuels correspondants de la périphérie F).
Adressez uniquement cette voie (valeur de voie et état de la valeur) de cette paire de
voies. Un avertissement peut être émis lors de la compilation du programme de sécurité si
vous adressez l'autre voie.
ATTENTION
Voir aussi
Accès à la périphérie F pour la communication esclave I-esclave de sécurité (Page 240)
État de la valeur (S7-1200, S7-1500) (Page 157)
Propriétés
L'état de la valeur est une information binaire supplémentaire pour la valeur de voie d'une
périphérie F. L'état de la valeur est inscrit dans la mémoire image des entrées (MIE).
L'état de la valeur est pris en charge par les modules de sécurité S7-1500/ET 200MP,
ET 200SP, ET 200AL, ET 200eco PN, ET 200S, ET 200iSP, ET 200pro, S7-1200 ou les SM F
S7-300, les périphériques IO normalisés de sécurité, ainsi que les appareils DP normalisés de
sécurité prenant en charge le profil "RIOforFA-Safety". Pour plus d'informations sur l'état de la
valeur, voir la documentation de la périphérie F concernée.
Nous vous recommandons d'ajouter "_VS" au nom de la valeur de voie pour l'état de la valeur,
par exemple "TagIn_1_VS".
L'état de la valeur donne des informations sur la validité de la valeur de voie correspondante :
• 1 : Une valeur de process valide est émise pour la voie.
• 0 : Une valeur de remplacement est sortie pour la voie.
L'accès à la valeur de voie et à l'état de la valeur d'une périphérie F n'est possible qu'à partir
du même groupe d'exécution F.
Emplacement des bits d'état de la valeur dans la mémoire image des entrées pour une
périphérie F avec entrées TOR
Les bits d'état de la valeur suivent directement les valeurs de voie dans la mémoire image des
entrées.
Tableau 6- 1 Exemple : affectation des adresses dans la mémoire image des entrées pour une périphérie F avec 16 voies
d'entrée TOR
L'emplacement des valeurs de voie dans la mémoire image des entrées est indiqué dans le
manuel de la périphérie F correspondante.
Emplacement des bits d'état de la valeur dans la mémoire image des entrées pour une
périphérie F avec sorties TOR
Les bits d'état de la valeur sont mappés dans la mémoire image des entrées selon la même
structure que les valeurs de voie dans la mémoire image des sorties.
Tableau 6- 2 Exemple : affectation des adresses dans la mémoire image des sorties pour une périphérie F avec 4 voies de
sortie TOR
Tableau 6- 3 Exemple : affectation des adresses dans la mémoire image des entrées pour une périphérie F avec 4 voies de
sortie TOR
L'emplacement des valeurs de voie dans la mémoire image des sorties est indiqué dans le
manuel de la périphérie F correspondante.
Emplacement des bits d'état de la valeur dans la mémoire image des entrées pour une
périphérie F avec entrées et sorties TOR
Les bits d'état de la valeur suivent directement les valeurs de voie dans la mémoire image des
entrées dans l'ordre suivant :
• Bits d'état de la valeur pour les entrées TOR
• Bits d'état de la valeur pour les sorties TOR
Tableau 6- 4 Exemple : affectation des adresses dans la mémoire image des sorties pour une périphérie F avec 2 voies d'en-
trée TOR et 1 voie de sortie TOR
Tableau 6- 5 Exemple : affectation des adresses dans la mémoire image des entrées pour une périphérie F avec 2 voies d'en-
trée TOR et 1 voie de sortie TOR
L'emplacement des valeurs de voie dans la MIE et la MIS est indiqué dans le manuel de la
périphérie F correspondante.
Emplacement des bits d'état de la valeur dans la mémoire image des entrées pour une
périphérie F avec entrées analogiques
Les bits d'état de la valeur suivent directement les valeurs de voie dans la MIE.
Tableau 6- 6 Exemple : affectation des adresses dans la mémoire image des entrées pour une périphérie F avec 6 voies d'en-
trée analogiques (type de données INT)
L'emplacement des valeurs de voie dans la mémoire image des entrées est indiqué dans le
manuel de la périphérie F correspondante.
Emplacement des bits d'état de la valeur dans la mémoire image des entrées pour une
périphérie F avec sorties analogiques
Les bits d'état de la valeur sont mappés dans la mémoire image des entrées.
Tableau 6- 7 Exemple : affectation des adresses dans la mémoire image des sorties pour une périphérie F avec 6 voies de
sortie analogiques (type de données INT)
Tableau 6- 8 Exemple : affectation des adresses dans la mémoire image des entrées pour une périphérie F avec 6 voies de
sortie analogiques (type de données INT)
L'emplacement des valeurs de voie dans la mémoire image des sorties est indiqué dans le
manuel de la périphérie F correspondante.
• tant que vous activez une passivation de la périphérie F avec PASS_ON = 1 dans le DB de
périphérie F (voir ci-après)
• tant que vous désactivez la périphérie F avec DISABLE = 1 dans le DB de périphérie F (voir
ci-après)
ATTENTION
Pour une périphérie F avec des voies d'entrée TOR (type de données BOOL), c'est toujours la
valeur fournie dans la MIE qui doit être traitée dans le programme de sécurité, quel que soit
l'état de la valeur ou QBAD/QBAD_I_xx. (S009)
passivationEn cas de passivation dans une périphérie F avec des sorties, le système F
transmet des valeurs de remplacement (0) aux sorties de sécurité au lieu des valeurs de sortie
mises à disposition dans la mémoire image des sorties par le programme de sécurité.
État de la MIE/MIS associée Périphérie F avec profil Périphérie F sans profil Périphérie F avec CPU F
après... "RIOforFA-Safety" avec "RIOforFA-Safety" avec CPU S7-300/400
CPU F S7-1200/1500 F S7-1200/1500
Démarrage du système F Le système F écrase la MIE/MIS avec les valeurs de remplacement (0).
Erreurs de communication
Erreurs de périphérie F Le système F écrase la MIE Le système F écrase la MIE/MIS avec les valeurs de rempla-
Erreurs de voie en cas de avec les valeurs de rempla- cement (0).
configuration Passivation de cement (0). La MIS conserve
l'ensemble de la périphérie F les valeurs calculées dans le
programme de sécurité.
Erreurs de voie en cas de Pour les voies concernées : Le système F écrase la MIE/MIS
configuration Passivation par avec les valeurs de remplacement (0).
voie
Tant qu'une passivation de la Le système F écrase la MIE/MIS avec les valeurs de remplacement (0).
périphérie F est activée avec
PASS_ON = 1 dans le DB de
périphérie F
Tant que la périphérie F est Le système F écrase la MIE/MIS avec les valeurs de rempla- -
désactivée avec DISABLE = 1 cement (0).
dans le DB de périphérie F
Remarque
Tenez compte du fait qu'une passivation par voie a lieu lors d'erreurs de voie dans la
périphérie F en cas de configuration correspondante dans l'éditeur de matériel et de réseaux.
Les valeurs de remplacement (0) sont alors sorties pour les voies concernées.
En cas de réintégration après des erreurs de voie, toutes les voies dont les erreurs ont été
éliminées sont réintégrées, les voies présentant des erreurs restent passivées.
Voir aussi
Configurer la périphérie F (Page 53)
6.4 DB de périphérie F
Introduction
Lors de la configuration de la périphérie F dans l'éditeur de matériel et de réseaux, un DB de
périphérie F est généré automatiquement pour chaque périphérie F (en mode de sécurité). Le
DB de périphérie F contient des variables que vous pouvez évaluer ou que vous pouvez ou
devez écrire dans le programme de sécurité. Il est interdit de modifier les valeurs initiales des
variables directement dans le DB de périphérie F. La suppression d'une périphérie F entraîne
la suppression du DB de périphérie F correspondant.
Accès à un DB de périphérie F
Vous accédez aux variables du DB de périphérie F :
• pour réintégrer la périphérie F après des erreurs de communication/de périphérie F/de voie
• si vous voulez passiver la périphérie F en fonction d'états particuliers de votre programme
de sécurité (par exemple, passivation groupée)
• si vous voulez désactiver la périphérie F (par exemple, en cas de contrôle de la
configuration)
• pour le reparamétrage d'appareils DP/de périphériques IO normalisés de sécurité
• pour déterminer si ce sont les valeurs de remplacement ou les valeurs de processus qui
sont transmises
Variable dans le DB Périphérie F avec Périphérie F sans profil Périphérie F avec CPU F
de périphérie F ou profil "RIOforFA- "RIOforFA-Safety" avec S7-300/400
état de la valeur Safety" avec CPU CPU F S7-1200/1500
F S7-1200/1500
ACK_NEC —2 x x
QBAD3 x x x
PASS_OUT3 x x x
QBAD_I_xx1 — — x
QBAD_O_xx1 — — x
Wertstatus1 x x —
1 QBAD_I_xx et QBAD_O_xx indiquent la validité de la valeur de voie par voie et correspondent donc
à l'état de la valeur inversé pour le S7-1200/1500. L'état de la valeur ou QBAD_I_xx et QBAD_O_xx
ne sont pas disponibles pour les appareils DP normalisés de sécurité et les périphériques IO norma-
lisés de sécurité sans profil "RIOforFA-Safety".
2 Pour les périphéries F qui prennent en charge le paramètre de voie "Acquittement d'erreur de voie"
(par exemple, les modules F S7-1500/ET 200MP ou les modules F S7-1200), ce paramètre rem-
place la fonction de la variable ACK_NEC du DB de périphérie F.
3 Pour des explications sur le comportement, voir
"QBAD/PASS_OUT/DISABLED/QBAD_I_xx/QBAD_O_xx et état de la valeur"
6.4.2.1 PASS_ON
La variable PASS_ON vous permet d'activer la passivation d'une périphérie F, par exemple, en
fonction d'états définis dans votre programme de sécurité.
Vous pouvez uniquement passiver l'ensemble de la périphérie F avec la variable PASS_ON du
DB de périphérie F, une passivation par voie n'est pas possible.
La passivation de la périphérie F dure tant que PASS_ON = 1.
6.4.2.2 ACK_NEC
Si la périphérie F détecte une erreur de périphérie F, la périphérie F correspondante est
passivée. Si des erreurs de voie sont détectées et qu'une passivation par voie est configurée,
les voies concernées sont passivées. Si la passivation de l'ensemble de la périphérie F est
activée, toutes les voies de la périphérie F concernée sont passivées. Une fois l'erreur de
périphérie F/de voie éliminée, la périphérie F concernée est réintégrée en fonction de
ACK_NEC :
• Avec ACK_NEC = 0, vous pouvez paramétrer une réintégration automatique.
• Avec ACK_NEC = 1, vous pouvez paramétrer une réintégration par acquittement
utilisateur.
ATTENTION
Remarque
La valeur initiale de ACK_NEC après la génération du DB de périphérie F est 1. Si aucune
réintégration automatique n'est nécessaire, vous n'avez pas besoin d'écrire de valeur dans
ACK_NEC.
Voir aussi
Après des erreurs de périphérie F / de voie (Page 177)
6.4.2.3 ACK_REI
Si le système F détecte une erreur de communication ou une erreur de périphérie F pour une
périphérie F, la périphérie F concernée est passivée. Si des erreurs de voie sont détectées et
qu'une passivation par voie est configurée, les voies concernées sont passivées. Si la
passivation de l'ensemble de la périphérie F est activée, toutes les voies de la périphérie F
concernée sont passivées. Pour réintégrer la périphérie F/les voies après élimination des
erreurs, un acquittement utilisateur avec front montant de la variable ACK_REI du DB de
périphérie F est nécessaire :
• est toujours nécessaire après des erreurs de communication
• n'est nécessaire après des erreurs de périphérie F/de voie qu'en cas de paramétrage
"Acquittement d'erreur de voie = Manuel" ou ACK_NEC = 1
En cas de réintégration après des erreurs de voie, toutes les voies dont les erreurs ont été
éliminées sont réintégrées.
Un acquittement n'est possible qu'une fois que la variable ACK_REQ = 1.
Dans votre programme de sécurité, vous devez prévoir un acquittement utilisateur via la
variable ACK_REI pour chaque périphérie F.
ATTENTION
Remarque
Vous pouvez également exécuter la réintégration de la périphérie F par l'instruction "ACK_GL"
après des erreurs de communication/de périphérie F ou de voie (ACK_GL : Acquittement
global de toutes les périphéries F d'un groupe d'exécution F (STEP 7 Safety V18) (Page 486)).
6.4.2.4 IPAR_EN
La variable IPAR_EN correspond à la variable iPar_EN_C dans le profil de bus PROFIsafe à partir
de la spécification PROFIsafe V1.20.
Appareils DP/périphériques IO normalisés de sécurité
Pour savoir quand vous devez mettre cette variable à "1" ou à "0" en cas de reparamétrage
d'appareils DP/de périphériques IO normalisés de sécurité, reportez-vous à la spécification
PROFIsafe à partir de V1.20 ou à la documentation de l'appareil DP/du périphérique IO
normalisé de sécurité.
Notez que IPAR_EN = 1 ne déclenche pas de passivation de la périphérie F concernée.
S'il doit y avoir une passivation lorsque IPAR_EN = 1, vous devez aussi mettre la variable
PASS_ON à "1".
Communication HART avec SM 336; F-AI 6 x 0/4 ... 20 mA HART
Si vous mettez la variable IPAR_EN à "1" lorsque le paramètre "HART_Tor" a la valeur
"Connexion possible", la communication HART est validée pour le module
SM 336; F-AI 6 x 0/4 ... 20 mA HART ; elle est inhibée avec "0". Le SM F acquitte la validation
ou l'inhibition de la communication HART avec la variable IPAR_OK = 1 ou 0.
Ne validez la communication HART que si votre installation se trouve dans un état dans lequel
un reparamétrage éventuel d'un appareil de terrain HART associé est possible sans danger.
Si vous souhaitez évaluer l'état "Communication HART validée" dans votre programme de
sécurité, par exemple, pour programmer des verrouillages, vous devez générer cette
information comme illustré dans l'exemple suivant. C'est la seule manière de garantir que
l'information sera correctement fournie même si des erreurs de communication surviennent
pendant la validation de la communication HART avec IPAR_EN = 1. Ne modifiez l'état de la
variable IPAR_EN lors de cette évaluation que s'il n'y a pas de passivation due à une erreur de
communication ou à une erreur de périphérie F/de voie.
6.4.2.5 DISABLE
La variable DISABLE vous permet de désactiver une périphérie F.
La passivation de la périphérie F dure tant que DISABLE = 1.
Aucune entrée de diagnostic du programme de sécurité n'est plus inscrite dans le tampon de
diagnostic de la CPU F pour cette périphérie F (par exemple, à cause d'une erreur de
communication).
Les entrées de diagnostic existantes sont marquées comme disparaissantes.
Sortie de valeur de rempla- Périphérie F avec profil Périphérie F sans profil Périphérie F avec CPU F
cement après... "RIOforFA-Safety" avec "RIOforFA-Safety" avec S7-300/400
CPU F S7-1200/1500 CPU F S7-1200/1500
Démarrage du système F QBAD et PASS_OUT = 1 QBAD et PASS_OUT = 1
Erreurs de communication DISABLED inchangé Pour toutes les voies :
Pour toutes les voies : valeur de voie = valeur de rem-
Erreurs de périphérie F valeur de voie = valeur de remplacement (0) placement (0)
état de la valeur = 0* QBAD_I_xx et QBAD_O_xx = 1*
Erreurs de voie
en cas de configuration Passi-
vation de l'ensemble de la
périphérie F
Erreurs de voie en cas de confi- QBAD, PASS_OUT et QBAD et PASS_OUT = 1 QBAD et PASS_OUT = 1
guration Passivation par voie DISABLED inchangés DISABLED inchangé Pour les voies concernées :
Pour les voies concernées : Pour les voies concer- valeur de voie = valeur de rem-
valeur de voie = valeur de nées : placement (0)
remplacement (0) valeur de voie = valeur de QBAD_I_xx et QBAD_O_xx = 1*
état de la valeur = 0 remplacement (0)
état de la valeur = 0*
Tant qu'une passivation de la QBAD = 1, PASS_OUT et DISABLED inchangés QBAD = 1, PASS_OUT inchangé
périphérie F est activée avec Pour toutes les voies : Pour toutes les voies :
PASS_ON = 1 dans le DB de
périphérie F valeur de voie = valeur de remplacement (0) valeur de voie = valeur de rem-
état de la valeur = 0* placement (0)
QBAD_I_xx et QBAD_O_xx = 1*
Tant que la périphérie F est QBAD, PASS_OUT et DISABLED = 1 -
désactivée avec DISABLE = 1 Pour toutes les voies :
dans le DB de périphérie F
valeur de voie = valeur de remplacement (0)
état de la valeur = 0*
* L'état de la valeur ou QBAD_I_xx et QBAD_O_xx ne sont pas disponibles pour les appareils DP normalisés de sécurité et les
périphériques IO normalisés de sécurité sans profil "RIOforFA-Safety".
6.4.2.7 ACK_REQ
Si le système F détecte une erreur de communication ou une erreur de périphérie F/de voie
pour une périphérie F, la périphérie F concernée ou des voies individuelles de la périphérie F
sont passivées. ACK_REQ = 1 signale qu'une réintégration de la périphérie F concernée/des
voies de la périphérie F requiert un acquittement utilisateur.
Le système F définit ACK_REQ = 1 dès que l'erreur est éliminée et qu'un acquittement
utilisateur est possible. En cas de passivation par voie, le système F définit ACK_REQ = 1 dès
qu'une erreur de voie est corrigée. Un acquittement utilisateur est possible pour cette erreur.
Une fois l'acquittement effectué, le système F met ACK_REQ à 0.
Remarque
Pour une périphérie F avec des sorties, l'acquittement après des erreurs de périphérie F/de
voie n'est éventuellement possible que quelques minutes après l'élimination de l'erreur en
raison de l'application des signaux de test requis (voir les manuels de la périphérie F).
6.4.2.8 IPAR_OK
La variable IPAR_OK correspond à la variable iPar_OK_S dans le profil de bus PROFIsafe à partir
de la spécification PROFIsafe V1.20.
Appareils DP/périphériques IO normalisés de sécurité
Pour savoir comment évaluer cette variable en cas de reparamétrage d'appareils DP/de
périphériques IO normalisés de sécurité, reportez-vous à la spécification PROFIsafe à partir de
V1.20 ou à la documentation de l'appareil DP/du périphérique IO normalisé de sécurité.
Pour la communication HART avec SM 336; F-AI 6 x 0/4 ... 20 mA HART, voir sous IPAR_EN
(Page 167).
6.4.2.9 DIAG
La variable DIAG fournit, aux fins de service, des informations non de sécurité (1 octet) sur les
erreurs qui se sont produites. Vous pouvez lire ces informations au moyen de systèmes de
contrôle-commande ou les évaluer, le cas échéant, dans votre programme utilisateur
standard. Les bits DIAG sont mémorisés jusqu'à ce que vous effectuiez un acquittement avec
la variable ACK_REI ou qu'une réintégration automatique ait lieu.
Structure de DIAG
Voir aussi
DB de périphérie F (Page 162)
vue d'ensemble
Vous trouverez ci-après des informations sur la passivation et la réintégration de la
périphérie F.
Remarque
Les allures des signaux représentées se réfèrent à l'état des signaux dans le programme de
sécurité programmé par l'utilisateur.
Sortie de valeur de rempla- Périphérie F avec profil Périphérie F sans profil Chaque périphérie F avec
cement après un démar- "RIOforFA-Safety" avec "RIOforFA-Safety" avec CPU F S7-300/400
rage du système F CPU F S7-1200/1500 CPU F S7-1200/1500
Il y a passivation de l'en- QBAD et PASS_OUT = 1 QBAD et PASS_OUT = 1
semble de la périphérie F Pour toutes les voies : Pour toutes les voies :
pendant le démarrage.
valeur de voie = valeur de remplacement (0) valeur de voie = valeur de
état de la valeur = 0* remplacement (0)
QBAD_I_xx et QBAD_O_xx =
1*
* L'état de la valeur ou QBAD_I_xx et QBAD_O_xx ne sont pas disponibles pour les appareils DP normalisés de sécurité et les
périphériques IO normalisés de sécurité sans profil "RIOforFA-Safety".
Réintégration de la périphérie F
La réintégration de la périphérie F, c'est-à-dire la mise à disposition de valeurs de processus
dans la mémoire image des entrées ou la transmission aux sorties de sécurité des valeurs de
processus fournies dans la mémoire image des sorties, se fait automatiquement au plus tôt
au deuxième cycle du groupe d'exécution F après le démarrage du système F,
indépendamment du paramétrage de la variable ACK_NEC ou de la configuration
"Acquittement d'erreur de voie".
Vous trouverez des informations supplémentaires sur les éventuelles erreurs de
communication F, de périphérie F ou de voie sous Après des erreurs de communication
(Page 175) et Après des erreurs de périphérie F / de voie (Page 177).
Pour les appareils DP/périphériques IO normalisés de sécurité avec profil "RIOforFA-Safety",
consultez la documentation respective de l'appareil ou du périphérique.
La réintégration peut n'avoir lieu qu'après quelques cycles du groupe d'exécution F en
fonction de la périphérie F utilisée et du temps de cycle du groupe d'exécution F et de
PROFIBUS DP/PROFINET IO.
Aucune réintégration automatique n'a lieu si l'établissement de la communication entre la
CPU F et la périphérie F excède le temps de surveillance F paramétré dans les propriétés de la
périphérie F.
ATTENTION
Sortie de valeur de rempla- Périphérie F avec profil Périphérie F sans profil Chaque périphérie F avec
cement après des erreurs "RIOforFA-Safety" avec "RIOforFA-Safety" avec CPU F S7-300/400
de communication CPU F S7-1200/1500 CPU F S7-1200/1500
Si une erreur de communica- QBAD et PASS_OUT = 1 QBAD et PASS_OUT = 1
tion entre la CPU F et la péri- Pour toutes les voies : Pour toutes les voies :
phérie F est détectée, toutes
les voies de la périphérie F valeur de voie = valeur de remplacement (0) valeur de voie = valeur de
concernée sont passivées. état de la valeur = 0* remplacement (0)
QBAD_I_xx et QBAD_O_xx =
1*
* L'état de la valeur ou QBAD_I_xx et QBAD_O_xx ne sont pas disponibles pour les appareils DP normalisés de sécurité et les
périphériques IO normalisés de sécurité sans profil "RIOforFA-Safety".
Réintégration de la périphérie F
La réintégration de la périphérie F concernée, c'est-à-dire la mise à disposition de valeurs de
processus dans la mémoire image des entrées ou la transmission aux sorties de sécurité des
valeurs de processus fournies dans la mémoire image des sorties, n'a lieu que :
• s'il n'existe plus d'erreur de communication et que le système F a défini ACK_REQ = 1 ;
• s'il y a eu un acquittement utilisateur avec un front montant :
– sur la variable ACK_REI du DB de périphérie F (Page 166) ou
– dans l'entrée ACK_REI_GLOB de l'instruction "ACK_GL" (ACK_GL : Acquittement global
de toutes les périphéries F d'un groupe d'exécution F (STEP 7 Safety V18) (Page 486)).
Allure des signaux lors de la passivation et réintégration de la périphérie F après des erreurs de
communication
Exemple pour une périphérie F avec entrées :
① Erreur de communication/passivation
② Il n'y a plus d'erreurs de communication
③ Réintégration
Voir aussi
Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un
maître DP ou d'un IO-Controller (Page 183)
Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un
esclave I ou d'un périphérique I (Page 188)
Sortie de valeur de rempla- Périphérie F avec profil Périphérie F sans profil Chaque périphérie F avec
cement après des erreurs "RIOforFA-Safety" avec "RIOforFA-Safety" avec CPU F S7-300/400
de périphérie F CPU F S7-1200/1500 CPU F S7-1200/1500
Si le système F détecte une QBAD et PASS_OUT = 1 QBAD et PASS_OUT = 1
erreur de périphérie F, toutes Pour toutes les voies : Pour toutes les voies :
les voies de la périphérie F
concernée sont passivées. valeur de voie = valeur de remplacement (0) valeur de voie = valeur de
état de la valeur = 0* remplacement (0)
QBAD_I_xx et QBAD_O_xx =
1*
* L'état de la valeur ou QBAD_I_xx et QBAD_O_xx ne sont pas disponibles pour les appareils DP normalisés de sécurité et les
périphériques IO normalisés de sécurité sans profil "RIOforFA-Safety".
Sortie de valeur de rempla- Périphérie F avec profil Périphérie F sans profil Chaque périphérie F avec
cement après des erreurs "RIOforFA-Safety" avec "RIOforFA-Safety" avec CPU F S7-300/400
de voie CPU F S7-1200/1500 CPU F S7-1200/1500
En cas de configuration Pas- QBAD et PASS_OUT = 1 QBAD et PASS_OUT = 1
sivation de l'ensemble de la Pour toutes les voies : Pour toutes les voies :
périphérie F :
valeur de voie = valeur de remplacement (0) valeur de voie = valeur de
si le système F détecte une remplacement (0)
erreur de voie, toutes les état de la valeur = 0*
voies de la périphérie F con- QBAD_I_xx et QBAD_O_xx =
cernée sont passivées. 1*
En cas de configuration Pas- QBAD et PASS_OUT inchan- QBAD et PASS_OUT = 1 QBAD et PASS_OUT = 1
sivation par voie : gés Pour les voies concernées : Pour les voies concernées :
si le système F détecte une Pour les voies concernées : valeur de voie = valeur de valeur de voie = valeur de
erreur de voie, toutes les valeur de voie = valeur de remplacement (0) remplacement (0)
voies concernées de la péri- remplacement (0)
phérie F concernée sont état de la valeur = 0* QBAD_I_xx et QBAD_O_xx =
passivées. état de la valeur = 0 1*
* L'état de la valeur ou QBAD_I_xxet QBAD_O_xx ne sont pas disponibles pour les appareils DP normalisés de sécurité et les
périphériques IO normalisés de sécurité sans profil "RIOforFA-Safety".
Réintégration de la périphérie F
La réintégration de la périphérie F concernée ou des voies concernées de la périphérie F,
c'est-à-dire la mise à disposition de valeurs de processus dans la mémoire image des entrées
ou la transmission aux sorties de sécurité des valeurs de processus fournies dans la mémoire
image des sorties, n'intervient que :
• s'il n'existe plus d'erreur de périphérie F ou de voie.
Si vous avez configuré une passivation par voie pour la périphérie F, les voies concernées
dont les erreurs ont été éliminées sont réintégrées et les voies présentant des erreurs restent
passivées.
ATTENTION
Allure des signaux lors de la passivation et réintégration de la périphérie F après des erreurs de
périphérie F/de voie pour ACK_NEC = 0 ou la configuration "Acquittement d'erreur de voie =
Automatique" en cas de passivation de l'ensemble de la périphérie F après des erreurs de voie
Exemple pour une périphérie F avec entrées :
Allure des signaux lors de la passivation et réintégration de la périphérie F après des erreurs de
périphérie F/de voie pour ACK_NEC = 1 ou la configuration "Acquittement d'erreur de voie =
Manuel" en cas de passivation de l'ensemble de la périphérie F après des erreurs de voie
Pour l'allure des signaux lors de la passivation et réintégration de la périphérie F après des
erreurs de périphérie F/de voie pour ACK_NEC = 1 ou la configuration "Acquittement d'erreur
de voie = Manuel" (valeur initiale), consultez Après des erreurs de communication
(Page 175).
Allure des signaux lors de la passivation et réintégration de la périphérie F après des erreurs de
voie pour ACK_NEC = 1 ou la configuration "Acquittement d'erreur de voie = Manuel" en cas de
passivation par voie
Exemple pour une périphérie F avec entrées :
Remarque
Tenez compte du comportement différent de PASS_OUT pour les périphéries F avec/sans
profil "RIOforFA-Safety" (voir le tableau sous
QBAD/PASS_OUT/DISABLED/QBAD_I_xx/QBAD_O_xx et état de la valeur (Page 169)).
Réintégration de la périphérie F
La réintégration des périphéries F passivées par une passivation groupée s'effectue
automatiquement si une réintégration de la périphérie F qui a déclenché la passivation
groupée a lieu (automatiquement ou sur acquittement utilisateur) (PASS_OUT = 0).
Allure des signaux lors d'une passivation groupée après une erreur de communication
Exemple pour deux périphéries F avec entrées :
Remarque
Si l'acquittement utilisateur est réalisé au moyen d'un bouton d'acquittement, l'acquittement
pour la réintégration de la périphérie F n'est pas possible si l'erreur de communication/de
périphérie F/de voie est survenue dans la périphérie F à laquelle le bouton d'acquittement est
connecté.
Il n'est possible de remédier à ce "blocage" que par un changement d'état STOP/RUN de la
CPU F. Dans un système S7-1500HF redondant, vous devez faire passer les deux CPU HF ou le
système redondant S7-1500HF en STOP avant de redémarrer les CPU HF.
Nous vous recommandons par conséquent de prévoir, pour l'acquittement en vue de la
réintégration de la périphérie F à laquelle le bouton d'acquittement est connecté, un
acquittement supplémentaire par un système de contrôle-commande.
Un acquittement utilisateur peut être effectué avec un bouton d'acquittement connecté à
une périphérie standard dotée d'entrées ou avec d'autres mécanismes de lecture de
l'acquittement utilisateur, si l'analyse des risques le permet.
Remarque
Si vous connectez le paramètre d'entrée/sortie IN à un mot de mémentos ou un DBW d'un DB,
vous devez utiliser pour chaque instance de l'instruction ACK_OP un propre mot de
mémentos ou DBW de DB du programme utilisateur standard dans le paramètre
d'entrée/sortie IN.
ATTENTION
Les deux étapes d'acquittement ne doivent pas être déclenchées par une opération unique,
par exemple suite à leur stockage automatique, conditions de temps comprises, dans un
programme et à leur déclenchement par une seule touche de fonction.
La séparation des deux étapes d'acquittement permet également d'éviter le déclenchement
erroné d'un acquittement par votre système de contrôle-commande non de sécurité. (S013)
ATTENTION
Si vous avez des systèmes de contrôle-commande et des CPU F en réseau qui utilisent
l'instruction ACK_OP pour l'acquittement de sécurité, vous devez vérifier avant l'exécution
des deux étapes d'acquittement que vous accédez bien à la CPU F voulue.
• Enregistrez dans un DB de votre programme utilisateur standard sur chaque CPU F un
nom unique à l'échelle du réseau* pour la CPU F.
• Configurez sur votre système de contrôle-commande un champ dans lequel vous pourrez
lire en ligne dans le DB le nom de la CPU F avant l'exécution des deux étapes
d'acquittement.
• En option :
Configurez dans votre système de contrôle-commande un champ dans lequel le nom de
la CPU F est également stocké de manière permanente. Vous pourrez alors vous assurer
que la CPU F adressée est bien la bonne par simple comparaison du nom de la CPU F lu
en ligne avec celui enregistré de manière permanente. (S014)
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux.
Remarque
La configuration de votre système de contrôle-commande n'influe pas sur la signature
globale F.
Remarque
Vous devez fournir pour chaque instance de l'instruction ACK_OP un propre mot de
mémentos ou DBW de DB du programme utilisateur standard au paramètre d'entrée/sortie
IN.
ou
définissez une touche de fonction 1 pour la transmission unique de la "valeur
d'acquittement" "6" (1ère étape d'acquittement) et une touche de fonction 2 pour la
transmission unique de "l'ID" paramétrée dans l'entrée ACK_ID (2ème étape
d'acquittement).
Vous devez affecter au champ ou aux touches de fonction le mot de mémentos ou le DBW
du DB du programme utilisateur standard affecté au paramètre d'entrée/sortie IN.
5. En option : sur votre système de contrôle-commande, évaluez la sortie Q dans le DB
d'instance de ACK_OP pour afficher la fenêtre de temps pendant laquelle il faut exécuter la
2ème étape d'acquittement ou pour signaler que la 1ère étape d'acquittement a déjà été
exécutée.
ATTENTION
Les deux étapes d'acquittement ne doivent pas être déclenchées par une opération unique,
par exemple suite à leur stockage automatique, conditions de temps comprises, dans un
programme et à leur déclenchement par une seule touche de fonction.
La séparation des deux étapes d'acquittement permet également d'éviter le déclenchement
erroné d'un acquittement par votre système de contrôle-commande non de sécurité. (S013)
ATTENTION
Si vous avez des systèmes de contrôle-commande et des CPU F en réseau qui utilisent
l'instruction ACK_OP pour l'acquittement de sécurité, vous devez vérifier avant l'exécution
des deux étapes d'acquittement que vous accédez bien à la CPU F voulue.
Première possibilité :
• La valeur pour chaque identification de l'acquittement (entrée ACK_ID, type de données
INT) peut être choisie librement dans la plage de 9...30000, mais doit être unique à
l'échelle du réseau* pour toutes les instances de l'instruction ACK_OP.
Vous devez connecter l'entrée ACK_ID à des valeurs constantes lors de l'appel de
l'instruction. Les accès directs au DB d'instance correspondant ne sont autorisés ni en
lecture, ni en écriture dans le programme de sécurité.
Deuxième possibilité :
• Enregistrez dans un DB de votre programme utilisateur standard sur chaque CPU F un
nom unique à l'échelle du réseau* pour la CPU F.
• Configurez sur votre système de contrôle-commande un champ dans lequel vous pourrez
lire en ligne dans le DB le nom de la CPU F avant l'exécution des deux étapes
d'acquittement.
• En option :
Configurez dans votre système de contrôle-commande un champ dans lequel le nom de
la CPU F est également stocké de manière permanente. Vous pourrez alors vous assurer
que la CPU F adressée est bien la bonne par simple comparaison du nom de la CPU F lu
en ligne avec celui enregistré de manière permanente. (S047)
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux.
Remarque
La transmission d'une valeur au paramètre d'entrée/sortie IN de l'instruction ACK_OP ainsi que
la configuration de votre système de contrôle-commande n'influent pas sur la signature
globale F, la signature globale SW F ou la signature du bloc qui appelle l'instruction ACK_OP.
Modifier la valeur transmise au paramètre d'entrée/sortie IN ou la configuration de votre
système de contrôle-commande n'entraîne donc pas de modification de la signature globale
F, la signature globale SW F ou la signature du bloc appelant.
ATTENTION
Remarque
Si une erreur de communication/de périphérie F/de voie est survenue dans la périphérie F à
laquelle le bouton d'acquittement est connecté, aucun acquittement pour la réintégration de
cette périphérie F n'est possible.
Il n'est possible de remédier à ce "blocage" que par un changement d'état STOP/RUN de la CPU
F de l'esclave I/du périphérique I.
Pour cette raison, nous vous recommandons de prévoir, pour l'acquittement de la
réintégration d'une périphérie F à laquelle un bouton d'acquittement est connecté, un
acquittement supplémentaire via un système de contrôle-commande permettant d'accéder à
la CPU F de l'esclave I/périphérique I (voir 1.).
Remarque
Si une erreur de communication/de périphérie F/de voie est survenue dans la périphérie F
à laquelle le bouton d'acquittement est connecté, aucun acquittement pour la
réintégration de cette périphérie F n'est plus possible.
Il n'est possible de remédier à ce "blocage" que par un changement d'état STOP/RUN de la
CPU F du maître DP/du contrôleur IO.
Nous vous recommandons par conséquent de prévoir, pour l'acquittement en vue de la
réintégration de la périphérie F à laquelle le bouton d'acquittement est connecté, un
acquittement supplémentaire par un système de contrôle-commande permettant
d'accéder à la CPU F du maître DP/du contrôleur IO.
En cas d'erreur de la communication de sécurité maître-esclave I / contrôleur IO-
périphérique I, aucune transmission du signal d'acquittement n'est plus possible, ni par
conséquent d'acquittement pour réintégrer la communication de sécurité.
Il n'est possible de remédier à ce "blocage" que par un changement d'état STOP/RUN de la
CPU F de l'esclave I/du périphérique I.
Nous vous recommandons par conséquent de prévoir, pour l'acquittement en vue de la
réintégration de la communication de sécurité pour la transmission du signal
d'acquittement, un acquittement supplémentaire par un système de contrôle-commande
permettant d'accéder à la CPU F de l'esclave I/du périphérique I (voir 1.).
Remarque
Pour les CPU F S7-300/400
La mémoire image des entrées de la périphérie F est actualisée, non seulement au début
d'un groupe d'exécution F, mais aussi par le système d'exploitation standard.
Les instants d'actualisation par le système d'exploitation standard sont indiqués sous
"Mémoire image des entrées et des sorties" dans l'aide de STEP 7. Vous devez également
tenir compte, le cas échéant, des instants d'actualisation des mémoires images partielles
pour les CPU F prenant les mémoires images partielles en charge. Lors de l'accès à la
mémoire image des entrées de la périphérie F dans le programme utilisateur standard,
vous risquez par conséquent d'obtenir d'autres valeurs que dans le programme de
sécurité. Ces différences entre les valeurs peuvent résulter :
• des instants d'actualisation différents
• de l'utilisation de valeurs de remplacement dans le programme de sécurité
Pour obtenir, dans le programme utilisateur standard, les mêmes valeurs que dans le
programme de sécurité, vous ne devez donc accéder à la mémoire image des entrées dans
le programme utilisateur standard qu'après le traitement d'un groupe d'exécution F. Dans
ce cas, vous pouvez également évaluer dans le programme utilisateur standard la variable
QBAD ou QBAD_I_xx dans le DB de périphérie F correspondant afin de déterminer si la
mémoire image des entrées reçoit les valeurs de remplacement (0) ou les valeurs du
processus. En cas d'utilisation de mémoires images partielles, tenez également compte du
fait que ni le système d'exploitation standard, ni l'instruction UPDAT_PI n'effectuent
d'actualisation de la mémoire image entre le traitement d'un groupe d'exécution F et
l'évaluation de la mémoire image des entrées dans le programme utilisateur standard.
Remarque
Pour les CPU F S7-1200/1500
La mémoire image des entrées de la périphérie F est actualisée avant le traitement du
Main Safety Block.
Dans le programme de sécurité, il n'est possible de traiter par principe que des données ou
signaux de sécurité issus de la périphérie F et d'autres programmes de sécurité (dans d'autres
CPU F), car les variables du programme standard ne sont pas des données de sécurité.
Si vous devez malgré tout traiter des variables du programme utilisateur standard dans le
programme de sécurité, vous pouvez évaluer des mémentos du programme utilisateur
standard, des variables d'un DB standard ou la mémoire image des entrées (MIE) de la
périphérie standard dans le programme de sécurité (voir aussi le tableau des plages
d'opérandes prises en charge sous "Restrictions pour les langages de programmation
LOG/CONT (Page 117)").
Tenez compte du tableau sous "Échange de données entre le programme utilisateur standard
et le programme de sécurité (Page 191)".
Lors de la lecture d'une variable de type de données ARRAY, l'indice doit être une constante.
Les variables ne sont pas autorisées comme indices.
Notez qu'apporter des modifications structurelles aux DB standard utilisés dans le programme
de sécurité peut entraîner des incohérences du programme de sécurité et ne peut donc être
effectué que si une autorisation d'accès aux données de projet de sécurité est disponible. La
signature globale F correspond dans ce cas de nouveau à la signature initiale après la
compilation. Pour éviter cet effet, utilisez des "bloc de données de transfert" entre le
programme utilisateur standard et le programme de sécurité.
ATTENTION
Comme ces variables ne sont pas générées de manière sûre, vous devez prévoir des
contrôles de vraisemblance supplémentaires spécifiques au processus dans le programme
de sécurité afin d'exclure tout état dangereux. Si un mémento, une variable d'un DB
standard ou une entrée de la périphérie standard est utilisée dans les deux groupes
d'exécution F, vous devez effectuer le contrôle de vraisemblance séparément dans chaque
groupe d'exécution F. (S015)
Pour faciliter le contrôle, toutes les variables API du programme utilisateur standard qui sont
évaluées dans le programme de sécurité sont imprimées lors de la création de la
documentation de sécurité (Page 334).
Les variables API du programme utilisateur standard qui sont évaluées dans les blocs F avec
protection know-how ne sont pas prises en compte dans la documentation de sécurité. Le
contrôle de vraisemblance doit avoir été assuré par l'auteur des blocs F avec protection du
know-how.
Lire des variables du programme utilisateur standard pouvant évoluer pendant le temps
d'exécution d'un groupe d'exécution F
Si vous voulez lire dans le programme de sécurité des variables du programme utilisateur
standard (mémentos, variables d'un DB standard ou MIE de la périphérie standard) qui
peuvent être modifiées par le programme utilisateur standard ou par un système de contrôle-
commande durant l'exécution du groupe d'exécution F dans lequel elles sont lues – par
exemple, parce que votre programme utilisateur standard est traité par une alarme cyclique
de priorité supérieure –, vous devez utiliser des mémentos ou des variables de DB standard
spécifiques. Nous vous recommandons d'utiliser des FC standard de prétraitement (Page 86)
pour les CPU F S7-1200/1500.
(S7-300/400) Les variables du programme utilisateur standard doivent être écrites dans ces
mémentos ou variables de DB standard juste avant l'appel du groupe d'exécution F.
Vous ne serez alors autorisé à accéder qu'à ces mémentos ou variables de DB standard dans le
programme de sécurité.
Veuillez également noter que les mémentos de cadence que vous avez définis dans l'onglet
"Propriétés" lors de la configuration de la CPU F peuvent évoluer durant l'exécution du groupe
d'exécution F, car ils s'exécutent de manière asynchrone par rapport au cycle de la CPU F.
Remarque
La CPU F peut passer à l'état Arrêt si cela n'est pas respecté. La cause de l'événement de
diagnostic est inscrite dans le tampon de diagnostic de la CPU F.
Introduction
Cette section donne une vue d'ensemble des options de communication de sécurité dans des
systèmes F SIMATIC Safety.
Introduction
La communication de sécurité entre les programmes de sécurité des CPU F de contrôleurs IO
se fait via un coupleur PN/PN que vous montez entre les deux CPU F.
Utilisez un CP 443-1 ou un CP 443-1 Advanced-IT pour les CPU 416F-2 DP sans interface
PROFINET intégrée.
Remarque
Désactivez le paramètre "Affichage de la validité des données DIA" dans les propriétés du
coupleur PN/PN dans l'éditeur de matériel et de réseaux (cela correspond au paramétrage par
défaut). Sinon, une communication contrôleur IO-contrôleur IO de sécurité est impossible.
6. Dans les propriétés des modules, affectez les adresses hors de la mémoire image comme
suit :
Pour le module "IN/OUT 6 octets / 12 octets" pour l'envoi de données par exemple :
– Adresses d'entrée : adresse de début 518
– Adresses de sortie : adresse de début 518
Pour le module "IN/OUT 12 octets / 6 octets" pour la réception de données par exemple :
– Adresses d'entrée : adresse de début 530
– Adresses de sortie : adresse de début 530
Remarque
Veillez à attribuer des adresses de début identiques pour les plages d'adresses des
données d'entrée et de sortie.
Conseil : Notez les adresses de début des zones de transfert. Vous en aurez besoin pour la
programmation des blocs SENDDP et RCVDP (entrée LADDR).
7. Sélectionnez les modules suivants sous "IN/OUT" dans la vue des appareils du coupleur
PN/PN X2 et insérez-les dans l'onglet "Vue d'ensemble des appareils" :
– un module "IN/OUT 12 octets / 6 octets" et
– un module "IN/OUT 6 octets / 12 octets"
8. Dans les propriétés des modules, affectez les adresses hors de la mémoire image comme
suit :
Pour le module "IN/OUT 12 octets / 6 octets" pour la réception de données par exemple :
– Adresses d'entrée : adresse de début 516
– Adresses de sortie : adresse de début 516
Pour le module "IN/OUT 6 octets / 12 octets" pour l'envoi de données par exemple :
– Adresses d'entrée : adresse de début 528
– Adresses de sortie : adresse de début 528
La communication de sécurité entre les CPU F des contrôleurs IO se fait à l'aide des
instructions SENDDP pour l'émission et RCVDP pour la réception. Elles permettent de
transmettre un nombre fixe de données de sécurité de type BOOL ou INT de manière
sécurisée.
Ces instructions se trouvent sous "Communication" dans la Task Card "Instructions". Vous
devez appeler l'instruction RCVDP au début du Main Safety Block. Vous devez appeler
l'instruction SENDDP à la fin du Main Safety Block.
Notez que les signaux d'émission ne sont envoyés qu'après l'appel de l'instruction SENDDP à
la fin du traitement du groupe d'exécution F correspondant.
Vous trouverez une description détaillée des instructions SENDDP et RCVDP sous SENDDP et
RCVDP : Émission et réception de données via PROFIBUS DP/PROFINET IO (STEP 7 Safety V18)
(Page 585).
ATTENTION
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les abonnés
accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les abonnés
accessibles via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas échéant, via
RT_Class_UDP (IP, couche 3).
5. Fournissez les signaux d'émission aux entrées SD_BO_xx et SD_I_xx de SENDDP. Pour
économiser des signaux intermédiaires lors de la transmission des paramètres de bloc, vous
pouvez également, avant l'appel de SENDDP, écrire la valeur directement dans son DB
d'instance au moyen d'un accès indiquant le chemin complet ("Name
SENDDP_1".SD_BO_02, par exemple).
6. Affectez aux sorties RD_BO_xx et RD_I_xx de RCVDP les signaux que vous souhaitez traiter
dans d'autres parties du programme ou lisez dans les parties de traitement ultérieur du
programme les signaux reçus directement dans le DB d'instance associé par un accès
indiquant le chemin complet ("Name RCVDP_1".RD_BO_02, par exemple).
7. Fournissez aux entrées SUBBO_xx et SUBI_xx de RCVDP les valeurs de remplacement qui
doivent être émises par RCVDP à la place des valeurs de processus jusqu'au premier
établissement de la communication après un démarrage des systèmes F émetteur et
récepteur ou en cas d'erreur de la communication de sécurité.
– Spécification de valeurs de remplacement constantes :
Pour les données de type INT, vous pouvez saisir des valeurs de remplacement
constantes directement comme constantes à l'entrée SUBI_xx (valeur initiale = "0"). Si
vous souhaitez spécifier une valeur de remplacement constante "TRUE" pour des
données de type BOOL, fournissez la variable "F_GOBDB".VKE1 à l'entrée SUBBO_xx
(valeur initiale = "FALSE").
– Spécification de valeurs de remplacement variables :
Si vous souhaitez spécifier des valeurs de remplacement variables, définissez dans un
DB F une variable que votre programme de sécurité calculera en conséquence et
indiquez cette variable à l'entrée SUBI_xx ou SUBBO_xx en indiquant son chemin
complet.
ATTENTION
8. Paramétrez le temps de surveillance voulu pour les entrées TIMEOUT des instructions RCVDP
et SENDDP.
ATTENTION
Vous trouverez des informations sur le calcul des temps de surveillance sous Temps de
surveillance et de réaction (Page 602).
9. En option : Évaluez la sortie ACK_REQ de l'instruction RCVDP, par exemple dans le
programme utilisateur standard ou dans le système de contrôle-commande, pour détecter
ou signaler si un acquittement utilisateur est requis.
10.Fournissez le signal d'acquittement en vue de la réintégration à l'entrée ACK_REI de
l'instruction RCVDP.
11.En option : Évaluez la sortie SUBS_ON de l'instruction RCVDP ou SENDDP pour savoir si
l'instruction RCVDP fournit les valeurs de remplacement paramétrées aux entrées SUBBO_xx
et SUBI_xx.
12.En option : Évaluez la sortie ERROR de l'instruction RCVDP ou SENDDP, par exemple dans le
programme utilisateur standard ou dans le système de contrôle-commande, pour détecter
ou signaler la présence d'une erreur de communication.
13.En option : Évaluez la sortie SENDMODE de l'instruction RCVDP pour savoir si la CPU F avec
l'instruction SENDDP correspondante se trouve en mode de sécurité désactivé (Page 338).
Remarque
Si les volumes de données à transmettre sont supérieurs à la capacité des instructions
SENDDP/RCVDP associées, il est possible d'utiliser un deuxième (ou troisième) appel
SENDDP/RCVDP. Configurez pour cela une nouvelle connexion de communication via le
coupleur PN/PN. La possibilité de configurer une liaison sur le même coupleur DP/DP dépend
des capacités de ce coupleur.
Introduction
La communication de sécurité entre les programmes de sécurité des CPU F de maîtres DP se
fait via un coupleur DP/DP.
Remarque
Réglez l'affichage de la validité des données "DIA" sur "OFF" sur le commutateur DIP du
coupleur DP/DP. Sinon, une communication CPU-CPU de sécurité est impossible.
6. Une adresse PROFIBUS libre est automatiquement attribuée dans les propriétés du coupleur
DP/DP dans la vue des appareils. Vous devez régler cette adresse sur le coupleur DP/DP de
PLC_1 soit au moyen du commutateur DIP sur l'appareil, soit dans la configuration du
coupleur DP/DP (voir le manuel Coupleur DP/DP
(http://support.automation.siemens.com/WW/view/fr/1179382)).
7. Pour des connexins de communication bidirectionnelles, c'est-à-dire si chaque CPU F doit
envoyer et recevoir des données, passez dans la vue des appareils du coupleur DP/DP pour
PLC_1. Sélectionnez les modules suivants dans la Task Card "Catalogue du matériel" avec
filtre activé et insérez-les dans l'onglet "Vue d'ensemble des appareils" :
– un module "6 octets I/12 octets Q cohérents" et
– un module "12 octets I/6 octets Q cohérents"
8. Dans les propriétés des modules, affectez les adresses hors de la mémoire image comme
suit :
Pour le module "6 octets I/12 octets Q cohérents" pour l'envoi de données par exemple :
– Adresses d'entrée : adresse de début 530
– Adresses de sortie : adresse de début 530
Pour le module "12 octets I/6 octets Q cohérents" pour la réception de données par
exemple :
– Adresses d'entrée : adresse de début 542
– Adresses de sortie : adresse de début 542
Remarque
Veillez à attribuer des adresses de début identiques pour les plages d'adresses des
données de sortie et d'entrée.
Conseil : Notez les adresses de début des zones de transfert. Vous en aurez besoin
pour la programmation des blocs SENDDP et RCVDP (entrée LADDR).
9. Sélectionnez les modules suivants dans la Task Card "Catalogue du matériel" de la vue des
appareils du coupleur DP/DP PLC_2 avec filtre activé et insérez-les dans l'onglet "Vue
d'ensemble des appareils" :
– un module "12 octets I/6 octets Q cohérents" et
– un module "6 octets I/12 octets Q cohérents"
10.Dans les propriétés des modules, affectez les adresses hors de la mémoire image comme
suit :
Pour le module "12 octets I/6 octets Q cohérents" pour la réception de données par
exemple :
– Adresses d'entrée : adresse de début 548
– Adresses de sortie : adresse de début 548
Pour le module "6 octets I/12 octets Q cohérents" pour l'envoi de données par exemple :
– Adresses d'entrée : adresse de début 560
– Adresses de sortie : adresse de début 560
La communication de sécurité entre les CPU F des maîtres DP se fait à l'aide des instructions
SENDDP pour l'émission et RCVDP pour la réception. Elles permettent de transmettre un
nombre fixe de données de sécurité de type BOOL ou INT de manière sécurisée.
Ces instructions se trouvent sous "Communication" dans la Task Card "Instructions". Vous
devez appeler l'instruction RCVDP au début du Main Safety Block. Vous devez appeler
l'instruction SENDDP à la fin du Main Safety Block.
Notez que les signaux d'émission ne sont envoyés qu'après l'appel de l'instruction SENDDP à
la fin du traitement du groupe d'exécution F correspondant.
Vous trouverez une description détaillée des instructions SENDDP et RCVDP sous SENDDP et
RCVDP : Émission et réception de données via PROFIBUS DP/PROFINET IO (STEP 7 Safety V18)
(Page 585).
ATTENTION
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les abonnés
accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les abonnés
accessibles via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas échéant, via
RT_Class_UDP (IP, couche 3).
5. Fournissez les signaux d'émission aux entrées SD_BO_xx et SD_I_xx de SENDDP. Pour
économiser des signaux intermédiaires lors de la transmission des paramètres de bloc, vous
pouvez également, avant l'appel de SENDDP, écrire la valeur directement dans son DB
d'instance au moyen d'un accès indiquant le chemin complet ("Name
SENDDP_1".SD_BO_02, par exemple).
6. Affectez aux sorties RD_BO_xx et RD_I_xx de RCVDP les signaux que vous souhaitez traiter
dans d'autres parties du programme ou lisez dans les parties de traitement ultérieur du
programme les signaux reçus directement dans le DB d'instance associé par un accès
indiquant le chemin complet ("nom RCVDP_1".RD_BO_02, par exemple).
7. Fournissez aux entrées SUBBO_xx et SUBI_xx de RCVDP les valeurs de remplacement qui
doivent être émises par RCVDP à la place des valeurs de processus jusqu'au premier
établissement de la communication après un démarrage des systèmes F émetteur et
récepteur ou en cas d'erreur de la communication de sécurité.
– Spécification de valeurs de remplacement constantes :
Pour les données de type INT, vous pouvez saisir des valeurs de remplacement
constantes directement comme constantes à l'entrée SUBI_xx (valeur initiale = "0"). Si
vous souhaitez spécifier une valeur de remplacement constante pour des données de
type BOOL, fournissez la variable "F_GLOBDB".VKE1 à l'entrée SUBBO_xx (valeur initiale
= "FALSE").
– Spécification de valeurs de remplacement variables :
Si vous souhaitez spécifier des valeurs de remplacement variables, définissez dans un
DB F une variable que votre programme de sécurité calculera en conséquence et
indiquez cette variable à l'entrée SUBI_xx ou SUBBO_xx en indiquant son chemin
complet.
ATTENTION
8. Paramétrez le temps de surveillance voulu pour les entrées TIMEOUT des instructions RCVDP
et SENDDP.
ATTENTION
Vous trouverez des informations sur le calcul des temps de surveillance sous Temps de
surveillance et de réaction (Page 602).
9. En option : Évaluez la sortie ACK_REQ de l'instruction RCVDP, par exemple dans le
programme utilisateur standard ou dans le système de contrôle-commande, pour détecter
ou signaler si un acquittement utilisateur est requis.
10.Fournissez le signal d'acquittement en vue de la réintégration à l'entrée ACK_REI de
l'instruction RCVDP.
11.En option : Évaluez la sortie SUBS_ON de l'instruction RCVDP ou SENDDP pour savoir si
l'instruction RCVDP fournit les valeurs de remplacement paramétrées aux entrées SUBBO_xx
et SUBI_xx.
12.En option : Évaluez la sortie ERROR de l'instruction RCVDP ou SENDDP, par exemple dans le
programme utilisateur standard ou dans le système de contrôle-commande, pour détecter
ou signaler la présence d'une erreur de communication.
13.En option : Évaluez la sortie SENDMODE de l'instruction RCVDP pour savoir si la CPU F avec
l'instruction SENDDP correspondante se trouve en mode de sécurité désactivé (Page 338).
Remarque
Si les volumes de données à transmettre sont supérieurs à la capacité des instructions
SENDDP/RCVDP associées, il est possible d'utiliser un deuxième (ou troisième) appel
SENDDP/RCVDP. Configurez pour cela une nouvelle connexion de communication via le
coupleur DP/DP. La possibilité de configurer une connexion avec le même coupleur DP/DP
dépend des limites de capacité du coupleur.
Introduction
La communication de sécurité entre le programme de sécurité de la CPU F d'un contrôleur IO
et le ou les programmes de sécurité de la ou des CPU F d'un ou de plusieurs périphériques I
est réalisée – comme dans le système standard via PROFINET IO – par des connexions
contrôleur IO-périphérique I (F-CD).
Vous n'avez pas besoin de matériel supplémentaire pour la communication contrôleur IO-
périphérique I.
La CPU F devant assumer le rôle de périphérique I doit prendre en charge le mode de
fonctionnement "Périphérique IO".
Lors de sa création, la zone de transfert reçoit une identification qui caractérise la relation de
communication. Par exemple, "F-CD_PLC_2-PLC_1_1" pour la première connexion F-CD entre
la CPU F 1 contrôleur IO et la CPU F 2 périphérique I.
Vous affectez les adresses de début des zones de transfert dans les programmes de sécurité à
l'entrée LADDR des instructions SENDDP et RCVDP.
4. Créez une autre connexion F-CD pour recevoir des données du contrôleur IO.
5. Dans la zone de transfert que vous venez de créer, cliquez sur la flèche pour changer le sens
de transmission à Réception du contrôleur IO (→).
Reportez-vous au tableau ci-dessous pour l'affectation des adresses de début des zones de
transfert à l'entrée LADDR des instructions SENDDP/RCVDP :
ATTENTION
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les abonnés
accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les abonnés accessibles
via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas échéant, via RT_Class_UDP
(IP, couche 3).
ATTENTION
Vous trouverez des informations sur le calcul des temps de surveillance sous Temps de
surveillance et de réaction (Page 602).
Tenez compte pour la limite maximale de 1440 octets de données d'entrée et 1440 octets de
données de sortie pour la transmission entre un périphérique I et un contrôleur IO de toutes
les autres connexions de communication standard et de sécurité configurées (zones de
transfert de type F-CD et CD). Des données sont en outre occupées en interne de sorte que la
limite maximale peut éventuellement être atteinte plus tôt.
En cas de dépassement de la limite, vous recevez un message d'erreur correspondant.
Introduction
La communication de sécurité entre le programme de sécurité de la CPU F d'un maître DP et
le ou les programmes de sécurité de la ou des CPU F d'un ou de plusieurs esclaves I est
réalisée – comme dans le système standard – par des connexions maître-esclave I (F-MS).
Vous n'avez pas besoin de coupleur DP/DP pour la communication maître-esclave I.
Lors de sa création, la zone de transfert reçoit une identification qui caractérise la relation de
communication. Par exemple, "F-MS_PLC_2-PLC_1_1" pour la première connexion F-MS entre
la CPU F 1 maître DP et la CPU F 2 esclave I.
Vous affectez les adresses de début des zones de transfert dans les programmes de sécurité à
l'entrée LADDR des instructions SENDDP et RCVDP.
Conditions
Les zones de transfert doivent être configurées.
Reportez-vous au tableau ci-dessous pour l'affectation des adresses de début des zones de
transfert à l'entrée LADDR des instructions SENDDP/RCVDP :
ATTENTION
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les abonnés
accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les abonnés accessibles
via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas échéant, via RT_Class_UDP
(IP, couche 3).
ATTENTION
Vous trouverez des informations sur le calcul des temps de surveillance sous Temps de
surveillance et de réaction (Page 602).
Tenez compte pour la limite maximale de 244 octets de données d'entrée et 244 octets de
données de sortie pour la transmission entre un esclave I et un maître DP de toutes les autres
connexions de communication standard et de sécurité configurées (zones de transfert de
type F-MS, F-DX, modules F-DX, MS, DX). En cas de dépassement de la limite maximale de
244 octets de données d'entrée ou 244 octets de données de sortie, vous recevez un
message d'erreur correspondant.
Introduction
La communication de sécurité entre les programmes de sécurité des CPU F d'esclaves I est
réalisée – comme dans le système standard – par échange direct de données (F-DX).
Vous n'avez pas besoin de matériel supplémentaire pour la communication esclave I-esclave I.
La communication esclave I-esclave I est également possible :
• si le maître DP affecté est une CPU standard qui prend en charge l'échange direct de
données ;
• si, au lieu d'un maître DP, un contrôleur IO est mis en réseau avec les esclaves I via un
IE/PB-Link.
Lors de sa création, la zone de transfert reçoit une identification qui caractérise la relation de
communication. Par exemple, "F-DX_PLC_2-PLC_1_1" pour la première connexion F-DX entre
la CPU F 1 et la CPU F 2.
Vous affectez les adresses de début des zones de transfert dans les programmes de sécurité à
l'entrée LADDR des instructions SENDDP et RCVDP.
5. Faites glisser la CPU F 2 dans la colonne "Partenaire 2" de l'onglet "Communication E/S" de la
vue de réseau.
Une ligne avec le mode de fonctionnement "Échange direct de données" est ainsi créée
pour l'envoi de données à l'esclave I (CPU F 2) (→).
7. Créez sous "Zones de transfert" (tableau "Échange direct de données") une connexion F-DX
(type "F-DX") pour l'envoi à l'esclave I (CPU F 2) (→). La connexion F-DX est marquée en
jaune dans le tableau et les zones de transfert occupées hors de la mémoire image dans les
esclaves I (PLC_2 et PLC_3) sont affichées.
Une ligne avec le mode de fonctionnement "Échange direct de données" est en outre
créée automatiquement dans l'onglet "Communication E/S" pour la réception de données
de l'esclave I (CPU F 2) (←), ainsi qu'une connexion d'acquittement dans le tableau
"Échange direct de données" associé (→, zone de transfert x_Ack).
Une zone de transfert (type F-MS) vers la CPU maître est créée dans le tableau
"Communication esclave I" de chacun des deux esclaves I.
Cela achève la configuration pour l'envoi de données à la CPU F 2.
Référence
Vous trouverez la description de la communication avec SENDDP et RCVDP pour la
communication esclave I-esclave I de sécurité sous SENDDP et RCVDP : Émission et réception
de données via PROFIBUS DP/PROFINET IO (STEP 7 Safety V18) (Page 585).
Référence
La description de la programmation de la communication esclave I-esclave I de sécurité figure
sous Programmer la communication maître-esclave I ou esclave I-esclave I de sécurité
(Page 226).
Reportez-vous au tableau ci-dessous pour l'affectation des adresses de début des zones de
transfert à l'entrée LADDR des instructions SENDDP/RCVDP :
Introduction
La communication de sécurité entre le programme de sécurité de la CPU F d'un esclave I et la
périphérie F dans un esclave DP est réalisée – comme dans le système standard – par
échange direct de données (modules F-DX).
Vous n'avez pas besoin de matériel supplémentaire pour la communication esclave I-esclave.
La communication esclave I-esclave est également possible :
• si le maître DP affecté est une CPU standard qui prend en charge l'échange direct de
données ;
• si, au lieu d'un maître DP, un contrôleur IO est mis en réseau avec les esclaves I via un
IE/PB-Link.
Lors de la configuration d'une périphérie F dans l'éditeur de matériel et de réseaux, le
système génère automatiquement pour chaque périphérie F un DB de périphérie F dont vous
avez besoin pour l'accès à la périphérie F via la communication esclave I-esclave de sécurité.
Le DB de périphérie F est créé initialement dans le programme de sécurité du maître DP s'il
s'agit d'une CPU F avec activation F. Ce n'est que lors de la configuration de la connexion
Modules F-DX que le DB de périphérie F est créé dans le programme de sécurité de l'esclave I
et supprimé dans le programme de sécurité du maître DP.
L'accès aux voies de la périphérie F dans le programme de sécurité de la CPU F de l'esclave I se
fait via la mémoire image du processus comme décrit sous Accès à la périphérie F pour la
communication esclave I-esclave de sécurité (Page 240).
Restrictions
Remarque
La communication esclave I-esclave de sécurité est possible avec la périphérie F dans un
esclave DP prenant en charge la communication esclave I-esclave de sécurité, par exemple
avec tous les modules F ET 200SP avec IM 155-6 DP HF de firmware > V3.1, tous les modules
F ET 200S avec IM 151-1 HF, tous les modules de signaux de sécurité S7-300 avec IM 153-2 à
partir du numéro d'article 6ES7153-2BA01-0XB0 et de firmware > V4.0.0.
Remarque
Veillez à ce que la CPU du maître DP démarre avant la CPU F de l'esclave I dans la
communication esclave I-esclave de sécurité.
Sinon le système F peut – en fonction du temps de surveillance F paramétré pour la
périphérie F – détecter une erreur dans la communication de sécurité (erreur de
communication) entre la CPU F et la périphérie F affectée à l'esclave I. Cela signifie que la
réintégration de la périphérie F ne s'effectue pas automatiquement après un démarrage du
système F, mais seulement après un acquittement utilisateur avec un front montant de la
variable ACK_REI du DB de périphérie F (voir aussi Après des erreurs de communication
(Page 175) et Après un démarrage du système F (Page 173)).
Procédure de configuration prenant comme exemple un ET 200S avec des modules F dans
l'esclave
La procédure pour configurer une communication esclave I-esclave de sécurité est la même
que dans le système standard.
Procédez comme suit :
1. Insérez deux CPU F de la Task Card "Catalogue du matériel" dans le projet.
2. Insérez un esclave DP approprié, par exemple l'IM 151-1 HF de numéro d'article
6ES7151-1BA0..., de la Task Card "Catalogue du matériel" dans la vue de réseau de l'éditeur
de matériel et de réseaux.
3. Insérez un module d'alimentation, un module 4/8 F-DI et un module 4 F-DO dans la vue des
appareils de l'ET 200S.
4. Activez le mode de fonctionnement "Esclave DP" (esclave I) pour la CPU F 2 dans les
propriétés de son interface DP et affectez cette interface à la CPU F 1.
5. Affectez l'interface DP de l'IM 151-1 HF au maître DP (CPU F 1).
6. Sélectionnez l'interface DP de la CPU F 2 (esclave I) dans la vue du réseau.
7. Sélectionnez l'onglet "Communication E/S".
8. Faites glisser l'ET 200S dans la colonne "Partenaire 2" de l'onglet "Communication E/S" de la
vue de réseau.
10.Sous "Zones de transfert", créez une connexion Modules F-DX (type "Modules F-DX"). La
connexion Modules F-DX est marquée en jaune dans le tableau. Les adresses pour le
"module partenaire" 4/8 F-DI dans l'esclave I (PLC_2) s'affichent. Vous pouvez modifier les
adresses directement dans le tableau si nécessaire.
Cela achève la configuration pour le module 4/8 F-DI.
11.Créez une autre connexion Modules F-DX sous "Zones de transfert".
12.Changez le module partenaire en module 4 F-DO soit directement dans le tableau "Zones de
transfert", soit dans les détails de la zone de transfert 2 si le module 4 F-DO n'a pas déjà été
sélectionné.
Cela achève la configuration pour le module 4 F-DO.
Une zone de transfert (type F-MS) vers la CPU maître est créée dans le tableau
"Communication esclave I" de l'esclave I pour chaque connexion Modules F-DX.
ATTENTION
Si vous avez ajouté ou supprimé une communication esclave-esclave I pour une périphérie
F, vous devez compiler et charger aussi bien la configuration matérielle du maître DP que la
configuration matérielle de l'esclave I.
La signature globale F dans la CPU F de l'esclave I et la signature globale F dans la CPU F du
maître DP (si un programme de sécurité s'y trouve également) sont mises à "0". Vous devez
ensuite recompiler le ou les programmes de sécurité. (S019)
Tenez compte pour la limite maximale de 244 octets de données d'entrée et 244 octets de
données de sortie pour la transmission entre un esclave I et un maître DP de toutes les autres
connexions de communication standard et de sécurité configurées (connexions F-MS, F-DX,
Modules F-DX, MS et DX). En cas de dépassement de la limite maximale de 244 octets de
données d'entrée ou 244 octets de données de sortie, vous recevez un message d'erreur
correspondant.
Introduction
La communication de sécurité entre le programme de sécurité de la CPU F d'un contrôleur IO
et le ou les programmes de sécurité de la ou des CPU F d'un ou de plusieurs esclaves I est
réalisée – comme dans le système standard – par des connexions maître-esclave I (F-MS).
IE/PB-Link
L'IE/PB-Link est indispensable pour la communication contrôleur IO-esclave I de sécurité.
Chacune des deux CPU F est reliée à l'IE/PB-Link via son interface PROFIBUS DP ou PROFINET.
Remarque
Vous devez tenir compte de l'utilisation d'un IE/PB-Link lors de la configuration des temps de
surveillance spécifiques F et lors du calcul du temps de réaction maximal de votre système F
(voir aussi Temps de surveillance et de réaction (Page 602)).
Notez que le fichier Excel de calcul des temps de réaction
(https://support.industry.siemens.com/cs/ww/fr/view/109783831) pour les CPU F S7-300/400
ne prend pas en charge toutes les configurations envisageables.
Référence
Les informations sur la communication maître-esclave I de sécurité sous Communication
maître-esclave I de sécurité (Page 224) s'appliquent également.
Introduction
La communication de sécurité entre les programmes de sécurité de CPU F via des liaisons S7
est réalisée – comme dans le système standard – par des liaisons S7 configurées que vous
créez dans la vue du réseau de l'éditeur de matériel et de réseaux.
Restrictions
Remarque
Dans SIMATIC Safety, les liaisons S7 ne sont généralement autorisées que via Industrial
Ethernet.
La communication de sécurité via des liaisons S7 est possible depuis et vers les CPU
suivantes :
• CPU F S7-300 via l'interface PROFINET intégrée
• CPU F S7-400 via l'interface PROFINET intégrée ou un CP 443-1 ou CP 443-1 Advanced-IT
Les instructions SENDS7 et RCVS7 permettent l'envoi et la réception sécurisés de données via
des liaisons S7.
Avec ces instructions, vous pouvez transmettre de manière sécurisée un volume, que vous
définissez, de données de sécurité de types BOOL, INT, WORD, DINT, DWORD ou TIME. Les
données de sécurité sont stockées dans les DB F (DB de communication F) que vous avez
créés.
Ces instructions se trouvent sous "Communication" dans la Task Card "Instructions". Vous
devez appeler l'instruction RCVS7 au début du Main Safety Block. Vous devez appeler
l'instruction SENDS7 à la fin du Main Safety Block.
Notez que les signaux d'émission ne sont envoyés qu'après l'appel de l'instruction SENDS7 à la
fin du traitement du groupe d'exécution F correspondant.
Vous trouverez une description détaillée des instructions SENDS7 et RCVS7 sous SENDS7 et
RCVS7 : Communication via liaisons S7 (STEP 7 Safety Advanced V18) (S7-300, S7-400)
(Page 595).
DB de communication F
Pour chaque liaison de communication, les données d'émission sont stockées dans un DB F
(DBx de communication F) et les données de réception dans un DB F (DBy de
communication F).
Vous paramétrez les numéros des DB de communication F dans les instructions SENDS7 et
RCVS7.
Introduction
La programmation de la communication CPU-CPU de sécurité via des liaisons S7 est décrite ci-
après. Vous devez effectuer les opérations suivantes dans les programmes de sécurité des
CPU F concernées :
• Créer les DB F (DB de communication F) dans lesquels les données d'émission/de réception
pour la communication seront stockées
• Appeler et paramétrer les instructions pour la communication de la Task Card
"Instructions" dans le programme de sécurité
Remarque
La longueur et la structure du DB de communication F côté récepteur doit correspondre à la
longueur et à la structure du DB de communication F correspondant côté émetteur.
La CPU F peut passer à l'état Arrêt si les DB de communication F ne coïncident pas. Un
événement de diagnostic est alors inscrit dans le tampon de diagnostic de la CPU F.
C'est pourquoi nous vous recommandons de procéder de la manière suivante :
1. Dans le navigateur du projet, créez un DB de communication F dans ou sous le dossier "Blocs
de programme" de la CPU F côté émetteur.
2. Définissez la structure du DB de communication F en fonction des données à transmettre.
3. Copiez ce DB de communication F dans ou sous le dossier "Blocs de programme" de la CPU F
côté récepteur dans le navigateur du projet et modifiez le nom si nécessaire.
• Les types de données doivent être agencés par blocs et dans l'ordre BOOL, types de
données avec 16 bits de longueur (INT, WORD) et types de données avec 32 bits de
longueur (DINT, DWORD et TIME). L'ordre des types de données est indifférent à l'intérieur
des blocs de données de 16 bits et de 32 bits.
• Il ne faut pas déclarer plus de 128 données de type BOOL.
• Le nombre de données de type BOOL doit toujours correspondre à un multiple entier de
16 (limite de mot). Vous devez donc ajouter des données de réserve si nécessaire.
Si ces critères ne sont pas remplis, STEP 7 Safety Advanced émet un message d'erreur lors de
la compilation.
8. Affectez un nombre impair (type de données DWORD) aux entrées R_ID de SENDS7 et
RCVS7. Vous définissez ainsi l'appartenance d'une instruction SENDS7 à une instruction
RCVS7. Les instructions associées reçoivent la même valeur pour R_ID.
ATTENTION
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les abonnés
accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les abonnés
accessibles via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas échéant, via
RT_Class_UDP (IP, couche 3).
9. Paramétrez le temps de surveillance voulu pour les entrées TIMEOUT des instructions
SENDS7 et RCVS7.
ATTENTION
Vous trouverez des informations sur le calcul des temps de surveillance sous Temps de
surveillance et de réaction (Page 602).
Remarque
Si le volume de données à transmettre est supérieur à la longueur autorisée pour le DB de
communication F (100 octets), vous pouvez créer un DB de communication F supplémentaire
que vous transmettez à des instructions SENDS7/RCVS7 supplémentaires avec une R_ID
modifiée.
Notez que les instructions USEND et URCV qui utilisent des ressources de liaison dans la CPU F
sont appelées en interne à chaque appel de l'instruction SENDS7 ou RCVS7. Cela affecte le
nombre maximum de connexions de communication possibles (voir les manuels des CPU F).
Des informations supplémentaires sur les limites de la transmission de données pour les
liaisons S7 des différentes CPU F sont disponibles sur Internet
(http://support.automation.siemens.com/WW/view/en/38549114).
9.1.10.1 Introduction
La communication de sécurité de CPU F dans SIMATIC Safety avec des CPU F dans des
systèmes F S7 Distributed Safety est possible via un coupleur PN/PN ou DP/DP installé entre
les deux CPU F sous forme de communication contrôleur IO-contrôleur IO ou maître-maître
ou bien via des liaisons S7 configurées.
La communication de sécurité de CPU F dans SIMATIC Safety avec des CPU F dans des
systèmes F S7 F/FH Systems est possible via des liaisons S7 configurées.
Exemple de programme :
9.1.10.5 Communication avec des systèmes S7 F/FH Systems via des liaisons S7
La communication fonctionne entre des instructions SENDS7/RCVS7 du côté STEP 7
Safety Advanced et des blocs F F_SDS_BO/F_RDS_BO du côté S7 F Systems.
32 données de type BOOL au maximum peuvent être échangées.
Exemple de programme :
Vous devez ensuite importer la fonction dans CFC comme type de bloc et l'insérer dans un
diagramme de votre programme utilisateur standard. Pour l'ordre d'exécution, veillez à ce
que le groupe d'exécution standard correspondant soit traité avant le groupe d'exécution F.
Introduction
Cette section donne une vue d'ensemble des options de communication de sécurité dans des
systèmes F SIMATIC Safety.
Remarque
Les options de communication de sécurité possibles dépendent des CPU F mises en œuvre.
Remarque
La communication de sécurité avec des CPU F S7-1200 n'est possible qu'à partir de la version
de firmware V4.1.2.
Introduction
La communication de sécurité entre les programmes de sécurité des CPU F de contrôleurs IO
se fait via un coupleur PN/PN que vous montez entre les deux CPU F.
Remarque
Désactivez le paramètre "Affichage de la validité des données DIA" dans les propriétés du
coupleur PN/PN dans l'éditeur de matériel et de réseaux (cela correspond au paramétrage par
défaut). Sinon, une communication contrôleur IO-contrôleur IO de sécurité est impossible.
Remarque
Coupleur PN/PN de numéro d'article 6ES7158-3AD10-0XA0
Pour la configuration des zones de transfert pour les données de sortie et d'entrée, procédez
comme décrit sous "Configurer le coupleur PN/PN avec STEP 7 TIA Portal" dans le manuel
"SIMATIC Coupleurs de bus Coupleur PN/PN
(https://support.industry.siemens.com/cs/ww/fr/view/44319532)".
Remarque
L'affectation des zones de transfert se fait au moyen de l'identification matérielle qui est
automatiquement attribuée aux modules et aux appareils. Vous avez besoin de l'ID
matérielle pour la programmation des blocs SENDDP et RCVDP (entrée LADDR). Une
constante système est créée dans la CPU F correspondante pour chaque ID matérielle de la
zone de transfert. Vous pouvez affecter ces constantes système de manière symbolique
aux blocs SENDDP et RCVDP.
6. Sélectionnez les modules suivants sous "IN/OUT" dans la vue des appareils du coupleur
PN/PN X2 et insérez-les dans l'onglet "Vue d'ensemble des appareils" :
– un module "IN/OUT 12 octets / 6 octets" et
– un module "IN/OUT 6 octets / 12 octets"
La communication de sécurité entre les CPU F des contrôleurs IO se fait à l'aide des
instructions SENDDP pour l'émission et RCVDP pour la réception. Elles permettent de
transmettre un nombre fixe de données de sécurité de type BOOL ou INT (ou bien DINT) de
manière sécurisée.
Ces instructions se trouvent sous "Communication" dans la Task Card "Instructions". Vous
devez appeler l'instruction RCVDP au début du Main Safety Block. Vous devez appeler
l'instruction SENDDP à la fin du Main Safety Block.
Vous pouvez également appeler les instructions RCVDP et SENDDP dans des FB F/FC F
distincts que vous devez appeler respectivement au début ou à la fin du Main Safety Block.
Notez que les signaux d'émission ne sont envoyés qu'après l'appel de l'instruction SENDDP à
la fin du traitement du groupe d'exécution F correspondant.
Vous trouverez une description détaillée des instructions SENDDP et RCVDP sous SENDDP et
RCVDP : Émission et réception de données via PROFIBUS DP/PROFINET IO (STEP 7 Safety V18)
(Page 585).
ATTENTION
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les abonnés
accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les abonnés
accessibles via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas échéant, via
RT_Class_UDP (IP, couche 3).
** S7-1200/1500 : À partir de la version V3.0 des instructions SENDDP et RCVDP, aucune
communication n'est établie si l'ID de communication F à l'entrée DP_DP_ID est égale à "0".
*** S7-1200/1500 : À partir de la version V3.0 des instructions SENDDP et RCVDP, vous
pouvez également affecter à l'entrée DP_DP_ID des valeurs variables provenant d'un DB F
global. Dans ce cas également, vous devez contrôler lors de la réception du programme de
sécurité que l'unicité est garantie à tout moment en vérifiant l'algorithme de génération
de la valeur variable en conséquence. Si vous ne pouvez pas garantir une ID de
communication F unique au démarrage du programme de sécurité, car elle n'est définie
qu'après le démarrage du programme de sécurité, vous devez veiller à ce que la valeur à
l'entrée DP_DP_ID soit égale à "0" dans cette phase.
**** Dans un système S7-1500HF redondant, les deux CPU F du système S7-1500HF
redondant sont à considérer comme une CPU F en ce qui concerne DP_DP_ID.
5. Fournissez les signaux d'émission aux entrées SD_BO_xx et SD_I_xx (ou bien SD_DI_00) de
SENDDP. Pour économiser des signaux intermédiaires lors de la transmission des paramètres
de bloc, vous pouvez également, avant l'appel de SENDDP, écrire la valeur directement dans
son DB d'instance au moyen d'un accès indiquant le chemin complet ("Name
SENDDP_1".SD_BO_02, par exemple).
6. Affectez aux sorties RD_BO_xx et RD_I_xx (ou bien RD_DI_00) de RCVDP les signaux que
vous souhaitez traiter dans d'autres parties du programme ou lisez dans les parties de
traitement ultérieur du programme les signaux reçus directement dans le DB d'instance
associé par un accès indiquant le chemin complet ("Name RCVDP_1".RD_BO_02, par
exemple).
7. Si vous voulez envoyer les données à l'entrée SD_DI_00 au lieu des données aux entrées
SD_I_00 et SD_I_01, fournissez la valeur "TRUE" à l'entrée DINTMODE (valeur initiale =
"FALSE") de SENDDP.
8. Fournissez aux entrées SUBBO_xx et SUBI_xx – ou bien SUBDI_00 – de RCVDP les valeurs de
remplacement qui doivent être émises par RCVDP à la place des valeurs de processus
jusqu'au premier établissement de la communication après un démarrage des systèmes F
émetteur et récepteur ou en cas d'erreur de la communication de sécurité.
– Spécification de valeurs de remplacement constantes :
Pour les données de type INT/DINT, vous pouvez saisir des valeurs de remplacement
constantes directement comme constantes à l'entrée SUBI_xx – ou bien SUBDI_00 –
(valeur initiale = "0"). Si vous souhaitez spécifier une valeur de remplacement
constante "TRUE" pour les données de type BOOL, fournissez "TRUE" à l'entrée
SUBBO_xx (valeur initiale = "FALSE").
– Spécification de valeurs de remplacement variables :
Si vous souhaitez spécifier des valeurs de remplacement variables, définissez dans un
DB F une variable que votre programme de sécurité calculera en conséquence et
indiquez cette variable à l'entrée SUBBO_xx ou SUBI_xx – ou bien SUBDI_00 – en
indiquant son chemin complet.
ATTENTION
9. Paramétrez le temps de surveillance voulu pour les entrées TIMEOUT des instructions RCVDP
et SENDDP.
ATTENTION
Vous trouverez des informations sur le calcul des temps de surveillance sous Temps de
surveillance et de réaction (Page 602).
10.En option : Évaluez la sortie ACK_REQ de l'instruction RCVDP, par exemple dans le
programme utilisateur standard ou dans le système de contrôle-commande, pour détecter
ou signaler si un acquittement utilisateur est requis.
11.Fournissez le signal d'acquittement en vue de la réintégration à l'entrée ACK_REI de
l'instruction RCVDP.
12.En option : Évaluez la sortie SUBS_ON de l'instruction RCVDP ou SENDDP pour savoir si
l'instruction RCVDP émet les valeurs de remplacement paramétrées aux entrées SUBBO_xx et
SUBI_xx – ou bien SUBDI_00.
13.En option : Évaluez la sortie ERROR de l'instruction RCVDP ou SENDDP, par exemple dans le
programme utilisateur standard ou dans le système de contrôle-commande, pour détecter
ou signaler la présence d'une erreur de communication.
14.En option : Évaluez la sortie SENDMODE de l'instruction RCVDP pour savoir si la CPU F avec
l'instruction SENDDP correspondante se trouve en mode de sécurité désactivé (Page 338).
Remarque
Si les volumes de données à transmettre sont supérieurs à la capacité des instructions
SENDDP/RCVDP associées, il est possible d'utiliser un deuxième (ou troisième) appel
SENDDP/RCVDP. Configurez pour cela une nouvelle connexion de communication via le
coupleur PN/PN. La possibilité de configurer une liaison sur le même coupleur DP/DP dépend
des capacités de ce coupleur.
Introduction
La communication de sécurité entre les programmes de sécurité des CPU F de maîtres DP se
fait via un coupleur DP/DP.
Remarque
Réglez l'affichage de la validité des données "DIA" sur "OFF" sur le commutateur DIP du
coupleur DP/DP. Sinon, une communication CPU-CPU de sécurité est impossible.
6. Une adresse PROFIBUS libre est automatiquement attribuée dans les propriétés du coupleur
DP/DP dans la vue des appareils. Vous devez régler cette adresse sur le coupleur DP/DP soit
au moyen du commutateur DIP sur l'appareil, soit dans la configuration du coupleur DP/DP
(voir le manuel Coupleur DP/DP
(http://support.automation.siemens.com/WW/view/fr/1179382)).
Remarque
L'affectation des zones de transfert se fait au moyen de l'identification matérielle qui est
automatiquement attribuée aux modules et aux appareils. Vous avez besoin de l'ID
matérielle pour la programmation des blocs SENDDP et RCVDP (entrée LADDR). Une
constante système est créée dans la CPU F correspondante pour chaque ID matérielle de la
zone de transfert. Vous pouvez affecter ces constantes système de manière symbolique
aux blocs SENDDP et RCVDP.
8. Sélectionnez les modules suivants dans la Task Card "Catalogue du matériel" de la vue des
appareils du coupleur DP/DP PLC_2 avec filtre activé et insérez-les dans l'onglet "Vue
d'ensemble des appareils" :
– un module "12 octets I/6 octets Q cohérents" et
– un module "6 octets I/12 octets Q cohérents"
La communication de sécurité entre les CPU F des maîtres DP se fait à l'aide des instructions
SENDDP pour l'émission et RCVDP pour la réception. Elles permettent de transmettre un
nombre fixe de données de sécurité de type BOOL ou INT (ou bien DINT) de manière
sécurisée.
Ces instructions se trouvent sous "Communication" dans la Task Card "Instructions". Vous
devez appeler l'instruction RCVDP au début du Main Safety Block. Vous devez appeler
l'instruction SENDDP à la fin du Main Safety Block.
Vous pouvez également appeler les instructions RCVDP et SENDDP dans des FB F/FC F
distincts que vous devez appeler respectivement au début ou à la fin du Main Safety Block.
Notez que les signaux d'émission ne sont envoyés qu'après l'appel de l'instruction SENDDP à
la fin du traitement du groupe d'exécution F correspondant.
Vous trouverez une description détaillée des instructions SENDDP et RCVDP sous SENDDP et
RCVDP : Émission et réception de données via PROFIBUS DP/PROFINET IO (STEP 7 Safety V18)
(Page 585).
ATTENTION
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les abonnés
accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les abonnés
accessibles via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas échéant, via
RT_Class_UDP (IP, couche 3).
** S7-1200/1500 : À partir de la version V3.0 des instructions SENDDP et RCVDP, aucune
communication n'est établie si l'ID de communication F à l'entrée DP_DP_ID est égale à "0".
*** S7-1200/1500 : À partir de la version V3.0 des instructions SENDDP et RCVDP, vous
pouvez également affecter à l'entrée DP_DP_ID des valeurs variables provenant d'un DB F
global. Dans ce cas également, vous devez contrôler lors de la réception du programme de
sécurité que l'unicité est garantie à tout moment en vérifiant l'algorithme de génération
de la valeur variable en conséquence. Si vous ne pouvez pas garantir une ID de
communication F unique au démarrage du programme de sécurité, car elle n'est définie
qu'après le démarrage du programme de sécurité, vous devez veiller à ce que la valeur à
l'entrée DP_DP_ID soit égale à "0" dans cette phase.
5. Fournissez les signaux d'émission aux entrées SD_BO_xx et SD_I_xx (ou bien SD_DI_00) de
SENDDP. Pour économiser des signaux intermédiaires lors de la transmission des paramètres
de bloc, vous pouvez également, avant l'appel de SENDDP, écrire la valeur directement dans
son DB d'instance au moyen d'un accès indiquant le chemin complet ("Name
SENDDP_1".SD_BO_02, par exemple).
6. Affectez aux sorties RD_BO_xx et RD_I_xx (ou bien RD_DI_00) de RCVDP les signaux que
vous souhaitez traiter dans d'autres parties du programme ou lisez dans les parties de
traitement ultérieur du programme les signaux reçus directement dans le DB d'instance
associé par un accès indiquant le chemin complet ("Name RCVDP_1".RD_BO_02, par
exemple).
7. Si vous voulez envoyer les données à l'entrée SD_DI_00 au lieu des données aux entrées
SD_I_00 et SD_I_01, fournissez la valeur "TRUE" à l'entrée DINTMODE (valeur initiale =
"FALSE") de SENDDP.
8. Fournissez aux entrées SUBBO_xx et SUBI_xx – ou bien SUBDI_00 – de RCVDP les valeurs de
remplacement qui doivent être émises par RCVDP à la place des valeurs de processus
jusqu'au premier établissement de la communication après un démarrage des systèmes F
émetteur et récepteur ou en cas d'erreur de la communication de sécurité.
– Spécification de valeurs de remplacement constantes :
Pour les données de type INT/DINT, vous pouvez saisir des valeurs de remplacement
constantes directement comme constantes à l'entrée SUBI_xx – ou bien SUBDI_00 –
(valeur initiale = "0"). Si vous souhaitez spécifier une valeur de remplacement
constante "TRUE" pour les données de type BOOL, fournissez "TRUE" à l'entrée
SUBBO_xx (valeur initiale = "FALSE").
– Spécification de valeurs de remplacement variables :
Si vous souhaitez spécifier des valeurs de remplacement variables, définissez dans un
DB F une variable que votre programme de sécurité calculera en conséquence et
indiquez cette variable à l'entrée SUBBO_xx ou SUBI_xx – ou bien SUBDI_00 – en
indiquant son chemin complet.
ATTENTION
9. Paramétrez le temps de surveillance voulu pour les entrées TIMEOUT des instructions RCVDP
et SENDDP.
ATTENTION
Vous trouverez des informations sur le calcul des temps de surveillance sous Temps de
surveillance et de réaction (Page 602).
10.En option : Évaluez la sortie ACK_REQ de l'instruction RCVDP, par exemple dans le
programme utilisateur standard ou dans le système de contrôle-commande, pour détecter
ou signaler si un acquittement utilisateur est requis.
11.Fournissez le signal d'acquittement en vue de la réintégration à l'entrée ACK_REI de
l'instruction RCVDP.
12.En option : Évaluez la sortie SUBS_ON de l'instruction RCVDP ou SENDDP pour savoir si
l'instruction RCVDP émet les valeurs de remplacement paramétrées aux entrées SUBBO_xx et
SUBI_xx – ou bien SUBDI_00.
13.En option : Évaluez la sortie ERROR de l'instruction RCVDP ou SENDDP, par exemple dans le
programme utilisateur standard ou dans le système de contrôle-commande, pour détecter
ou signaler la présence d'une erreur de communication.
14.En option : Évaluez la sortie SENDMODE de l'instruction RCVDP pour savoir si la CPU F avec
l'instruction SENDDP correspondante se trouve en mode de sécurité désactivé (Page 338).
Remarque
Si les volumes de données à transmettre sont supérieurs à la capacité des instructions
SENDDP/RCVDP associées, il est possible d'utiliser un deuxième (ou troisième) appel
SENDDP/RCVDP. Configurez pour cela une nouvelle connexion de communication via le
coupleur DP/DP. La possibilité de configurer une connexion avec le même coupleur DP/DP
dépend des limites de capacité du coupleur.
Introduction
La communication de sécurité entre le programme de sécurité de la CPU F d'un contrôleur IO
et le ou les programmes de sécurité de la ou des CPU F d'un ou de plusieurs périphériques I
est réalisée – comme dans le système standard via PROFINET IO – par des connexions
contrôleur IO-périphérique I (F-CD).
Vous n'avez pas besoin de matériel supplémentaire pour la communication contrôleur IO-
périphérique I.
Lors de sa création, la zone de transfert reçoit une identification qui caractérise la relation de
communication. Par exemple, "F-CD_PLC_2-PLC_1_1" pour la première connexion F-CD entre
la CPU F 1 contrôleur IO et la CPU F 2 périphérique I.
Lors de la création d'une zone de transfert, une constante système avec le nom de la zone de
transfert est créée à la fois dans la CPU F du contrôleur IO et dans la CPU F du périphérique I.
La constante système contient l'ID matérielle de la zone de transfert du point de vue de la
CPU F concernée.
Vous affectez les ID matérielles (constante système dans la table des variables standard) des
zones de transfert dans les programmes de sécurité de manière symbolique à l'entrée LADDR
des instructions SENDDP et RCVDP.
4. Créez une autre connexion F-CD pour envoyer les données au contrôleur IO.
5. Dans la zone de transfert que vous venez de créer, cliquez sur la flèche pour changer le sens
de transmission à Emission du contrôleur IO (→).
Instruction ID matérielle
SENDDP dans le contrôleur IO ID matérielle de la zone de transfert correspon-
dante dans le contrôleur IO
RCVDP dans le contrôleur IO ID matérielle de la zone de transfert correspon-
dante dans le contrôleur IO
SENDDP dans le périphérique I ID matérielle de la zone de transfert dans le péri-
phérique I
RCVDP dans le périphérique I ID matérielle de la zone de transfert dans le péri-
phérique I
ATTENTION
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les abonnés
accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les abonnés accessibles
via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas échéant, via RT_Class_UDP
(IP, couche 3).
** S7-1200/1500 : À partir de la version V3.0 des instructions SENDDP et RCVDP, aucune
communication n'est établie si l'ID de communication F à l'entrée DP_DP_ID est égale à "0".
*** S7-1200/1500 : À partir de la version V3.0 des instructions SENDDP et RCVDP, vous
pouvez également affecter à l'entrée DP_DP_ID des valeurs variables provenant d'un DB F
global. Dans ce cas également, vous devez contrôler lors de la réception du programme de
sécurité que l'unicité est garantie à tout moment en vérifiant l'algorithme de génération de la
valeur variable en conséquence. Si vous ne pouvez pas garantir une ID de communication F
unique au démarrage du programme de sécurité, car elle n'est définie qu'après le démarrage
du programme de sécurité, vous devez veiller à ce que la valeur à l'entrée DP_DP_ID soit égale
à "0" dans cette phase.
**** Dans un système S7-1500HF redondant, les deux CPU F du système S7-1500HF
redondant sont à considérer comme une CPU F en ce qui concerne DP_DP_ID.
ATTENTION
Vous trouverez des informations sur le calcul des temps de surveillance sous Temps de
surveillance et de réaction (Page 602).
Tenez compte pour la limite maximale de 1440 octets de données d'entrée et 1440 octets de
données de sortie pour la transmission entre un périphérique I et un contrôleur IO de toutes
les autres connexions de communication standard et de sécurité configurées (zones de
transfert de type F-CD et CD). Des données sont en outre occupées en interne de sorte que la
limite maximale peut éventuellement être atteinte plus tôt.
En cas de dépassement de la limite, vous recevez un message d'erreur correspondant.
Introduction
La communication de sécurité entre le programme de sécurité de la CPU F d'un maître DP et
le ou les programmes de sécurité de la ou des CPU F d'un ou de plusieurs esclaves I est
réalisée – comme dans le système standard – par des connexions maître-esclave I (F-MS).
Vous n'avez pas besoin de coupleur DP/DP pour la communication maître-esclave I.
Lors de sa création, la zone de transfert reçoit une identification qui caractérise la relation de
communication. Par exemple, "F-MS_PLC_2-PLC_1_1" pour la première connexion F-MS entre
la CPU F 1 maître DP et la CPU F 2 esclave I.
Lors de la création d'une zone de transfert, une constante système avec le nom de la zone de
transfert est créée à la fois dans la CPU F du maître DP et dans la CPU F de l'esclave I. La
constante système contient l'ID matérielle de la zone de transfert du point de vue de la CPU F
concernée.
Vous affectez les ID matérielles (constante système dans la table des variables standard) des
zones de transfert dans les programmes de sécurité de manière symbolique à l'entrée LADDR
des instructions SENDDP et RCVDP.
Conditions
Les zones de transfert doivent être configurées.
Instruction ID matérielle
SENDDP dans le maître DP ID matérielle de la zone de transfert correspon-
dante dans le maître DP
RCVDP dans le maître DP ID matérielle de la zone de transfert correspon-
dante dans le maître DP
SENDDP dans l'esclave I ID matérielle de la zone de transfert dans l'esclave I
RCVDP dans l'esclave I ID matérielle de la zone de transfert dans l'esclave I
ATTENTION
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les abonnés
accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les abonnés accessibles
via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas échéant, via RT_Class_UDP
(IP, couche 3).
** S7-1200/1500 : À partir de la version V3.0 des instructions SENDDP et RCVDP, aucune
communication n'est établie si l'ID de communication F à l'entrée DP_DP_ID est égale à "0".
*** S7-1200/1500 : À partir de la version V3.0 des instructions SENDDP et RCVDP, vous
pouvez également affecter à l'entrée DP_DP_ID des valeurs variables provenant d'un DB F
global. Dans ce cas également, vous devez contrôler lors de la réception du programme de
sécurité que l'unicité est garantie à tout moment en vérifiant l'algorithme de génération de la
valeur variable en conséquence. Si vous ne pouvez pas garantir une ID de communication F
unique au démarrage du programme de sécurité, car elle n'est définie qu'après le démarrage
du programme de sécurité, vous devez veiller à ce que la valeur à l'entrée DP_DP_ID soit égale
à "0" dans cette phase.
ATTENTION
Vous trouverez des informations sur le calcul des temps de surveillance sous Temps de
surveillance et de réaction (Page 602).
Tenez compte pour la limite maximale de 244 octets de données d'entrée et 244 octets de
données de sortie pour la transmission entre un esclave I et un maître DP de toutes les autres
connexions de communication standard et de sécurité configurées (zones de transfert de
type F-MS et MS). En cas de dépassement de la limite maximale de 244 octets de données
d'entrée ou 244 octets de données de sortie, vous recevez un message d'erreur
correspondant.
Introduction
La communication de sécurité entre le programme de sécurité de la CPU F d'un contrôleur IO
et le ou les programmes de sécurité de la ou des CPU F d'un ou de plusieurs esclaves I est
réalisée – comme dans le système standard – par des connexions maître-esclave I (F-MS).
IE/PB-Link
L'IE/PB-Link est indispensable pour la communication contrôleur IO-esclave I de sécurité.
Chacune des deux CPU F est reliée à l'IE/PB-Link via son interface PROFIBUS DP ou PROFINET.
Remarque
Vous devez tenir compte de l'utilisation d'un IE/PB-Link lors de la configuration des temps de
surveillance spécifiques F et lors du calcul du temps de réaction maximal de votre système F
(voir aussi Temps de surveillance et de réaction (Page 602)).
Notez que le fichier Excel de calcul des temps de réaction
(https://support.industry.siemens.com/cs/ww/fr/view/109783831) pour les CPU F S7-300/400
ne prend pas en charge toutes les configurations envisageables.
Référence
Les informations sur la communication maître-esclave I de sécurité sous Communication
maître-esclave I de sécurité (Page 281) s'appliquent également.
9.2.7.1 Introduction
La communication de sécurité de CPU F dans SIMATIC Safety avec des CPU F dans des
systèmes F S7 Distributed Safety est possible via un coupleur PN/PN ou DP/DP intercalé entre
les deux CPU F comme communication contrôleur IO-contrôleur IO ou maître-maître.
Introduction
La communication CPU-CPU de sécurité "Flexible F-Link" est disponible pour les CPU F
S7-1200 et S7-1500. Les données de sécurité peuvent ainsi être facilement échangées sous
forme de tableaux de sécurité via des mécanismes de communication standard entre les
CPU F.
Flexible F-Link offre toute une série d'avantages pour l'échange de données de sécurité :
• Regroupement des données de sécurité à transmettre dans les types de données API (UDT)
conformes F
(les types de données API (UDT) conformes F imbriqués ne sont pas pris en charge)
• Jusqu'à 100 octets de données de sécurité par UDT
• Paramétrage simplifié et génération automatique de DB de communication de sécurité
• Transmission de données de sécurité avec des blocs de communication standard même
par-delà les limites du réseau
• Communication entre groupes d'exécution F (Page 97) pour les CPU F 1200/1500
• UUID de communication F intégrée au système et suffisamment unique dans le monde
entier
• Signature d'adresse de communication F séparée pour faciliter la détection de
changements dans l'UUID de communication F
Condition
• CPU F S7-1500 à partir du firmware V2.0
• CPU F S7-1200 à partir du firmware V4.2
• À partir de la version du système Safety V2.2
4. Renseignez dans le programme de sécurité les variables pour les données d'émission
(SEND_DATA) dans le DB de communication F (Page 293) de la communication de sécurité.
5. Créez des blocs standard dans lesquels les tableaux (arrays) de sécurité automatiquement
créés dans le DB de communication F sont envoyés avec les données d'émission et reçus
avec les données d'acquittement. Vous disposez de l'OB F Prétraitement/post-traitement
(Page 86) pour le traitement chronologique correct des valeurs de processus. Lors de
l'utilisation des instructions de communication, veillez à ce que les tableaux (arrays) de
sécurité soient disponibles de manière cohérente au moment de l'évaluation et à ce que le
temps de surveillance F (Page 608) soit respecté. Tenez compte de la remarque ci-après.
Procédez comme suit du côté réception :
1. Créez un type de données API (UDT) conforme F avec la même structure que du côté
émission.
Pour cela, copiez par exemple le type de données API (UDT) conforme F du côté émission
ou utilisez la bibliothèque du projet ou la bibliothèque globale.
2. Créez une communication de sécurité dans l'éditeur Safety Administration Editor (Page 97)
dans le sens "Réception".
Pour la communication de sécurité, un nouveau DB de communication F est créé sous
"Blocs programme\Blocs système\STEP 7 Safety\DB de communication F".
3. Copiez l'UUID de communication F de la communication de sécurité du côté émission.
4. Définissez le même temps de surveillance F que du côté émission.
5. Évaluez dans le programme de sécurité les variables pour les données de réception
(RCV_DATA) dans le DB de communication F (Page 293).
6. Créez des blocs standard dans lesquels les tableaux (arrays) de sécurité automatiquement
créés dans le DB de communication F sont reçus avec les données de réception et envoyés
avec les données d'acquittement. Vous disposez de l'OB F Prétraitement/post-traitement
(Page 97) pour le traitement chronologique correct des valeurs de processus. Lors de
l'utilisation des instructions de communication, veillez à ce que les tableaux (arrays) de
sécurité soient disponibles de manière cohérente au moment de l'évaluation et à ce que le
temps de surveillance F (Page 608) soit respecté. Tenez compte de la remarque ci-après.
Remarque
Tenez compte des points suivants en cas d'utilisation de protocoles de communication non
déterministes (TCP/IP, par exemple) :
• Une charge de communication élevée peut en principe affecter la disponibilité de votre
application (expiration du temps de surveillance F de la connexion de communication F).
Cela vaut notamment en cas d'utilisation parallèle de OPC UA et de Secure Open User
Communication (OUC).
• Des débordements des tampons de communication peuvent affecter négativement la
disponibilité de votre application et doivent être évités.
Vous pourrez trouver d'autres informations utiles dans l'exemple d'application
"Configuring Flexible F-Link Communication
(https://support.industry.siemens.com/cs/ww/fr/view/109768964)".
Remarque
Lors de la simulation avec S7-PLCSIM, il n'y a pas de déclenchement de la temporisation qui
génère un message d'erreur après expiration lorsque la communication avec des périphéries
réelles est interrompue (par exemple, par mise à l'arrêt d'une CPU). C'est pourquoi aucun
message d'erreur ne s'affiche dans ce cas. Ce message s'affiche dès que la connexion est
rétablie. Les valeurs actuelles sont à nouveau envoyées et reçues suite à l'acquittement de
l'utilisateur.
ATTENTION
ATTENTION
Si, lors d'une communication CPU-CPU de sécurité avec Flexible F-Link, des données sont
émises d'une CPU F simulée avec S7-PLCSIM, vous ne pouvez plus être sûr que ces données
sont générées de manière sûre. Vous devez alors assurer la sécurité des parties de
l'installation affectées par les données envoyées en prenant des mesures organisationnelles
(Page 617) ou bien en fournissant dans la CPU F qui reçoit les données des valeurs de
remplacement de sécurité au lieu des données reçues par évaluation de SENDMODE*.
* SENDMODE est disponible comme variable dans le DB de communication F.
(S086)
ATTENTION
Lors de la création d'une nouvelle communication avec Flexible F-Link dans l'éditeur Safety
Administration Editor, une UUID de communication F unique est fournie par le système pour
la communication. Les UUID de communication F ne sont pas à nouveau générées lors de la
copie de communications dans l'éditeur Safety Administration Editor à l'intérieur de la table
de paramétrage ou lors de la copie dans une autre CPU F et elles ne sont donc plus uniques.
Si une nouvelle relation de communication est créée par copie, vous devez veiller vous-
même à l'unicité des UUID de communication. Sélectionnez pour cela les UUID concernées
et générez-les à nouveau avec la commande "Generate UUID" du menu contextuel. L'unicité
doit être vérifiée dans l'impression du programme de sécurité lors de la réception. (S087)
ATTENTION
Lors de la réception, vérifiez à l'aide de l'impression de sécurité que les décalages de tous les
éléments des types de données API conformes F (UDT) correspondent pour les données
d'émission et de réception à l'intérieur du télégramme de sécurité. À cet effet, tous les
membres et toutes les adresses sont listés par UDT dans l'impression de sécurité. (S088)
Voir aussi
Communication entre groupes d'exécution F (S7-1200, S7-1500) (Page 144)
Introduction
Cette section donne une vue d'ensemble des options de communication de sécurité entre des
CPU F S7-300/400 et des CPU F S7-1200/1500 dans des systèmes F SIMATIC Safety.
Introduction
La communication de sécurité entre le programme de sécurité de la CPU F d'un contrôleur IO
et le ou les programmes de sécurité de la ou des CPU F d'un ou de plusieurs périphériques I
est réalisée – comme dans le système standard via PROFINET IO – par des connexions
contrôleur IO-périphérique I (F-CD).
La section suivante décrit les particularités à prendre en considération lorsque le contrôleur
IO et le périphérique I se trouvent dans des projets différents.
Condition
• Le contrôleur IO est une CPU F S7-1200/1500 qui prend en charge la fonctionnalité
Contrôleur IO.
• Le périphérique I est une CPU F S7-300/400/1200/1500 qui prend en charge la
fonctionnalité Périphérique I.
• Le projet dans lequel se trouve le périphérique I doit avoir été créé avec S7 Distributed
Safety V5.4, STEP 7 Safety V13 ou une version ultérieure.
Configuration
1. Configurez la communication de sécurité dans le projet avec le périphérique I comme décrit
sous "Configurer la communication contrôleur IO-périphérique I de sécurité (Page 218)"
(S7-300/S7-400) ou "Configurer la communication contrôleur IO-périphérique I de sécurité
(Page 275)" (S7-1200/S7-1500). La CPU F 1 (contrôleur IO) est alors uniquement un module
de réservation pour la CPU F dans le projet du contrôleur IO.
Remarque
En cas de création avec STEP 7 Safety < V14 SP1, évitez un changement ultérieur de CD à
F-CD pour les zones de transfert.
Lors de la création avec S7 Distributed Safety V5.4, créez les zones de transfert
d'application de types d'adresse "Sortie" et "Entrée" directement l'une après l'autre.
2. Exportez le périphérique I comme fichier GSD. Procédez comme décrit sous "Configurer un
I-Device" dans l'aide de STEP 7.
3. Importez le fichier GSD dans le projet avec le contrôleur IO. Procédez comme décrit sous
"Installer un fichier GSD" dans l'aide de STEP 7.
4. Insérez le périphérique I de la Task Card "Catalogue du matériel" dans le projet avec le
contrôleur IO.
5. Affectez la CPU F du contrôleur IO au périphérique I.
Remarque
Veuillez noter que, après une modification de sécurité de la configuration matérielle, il faut
recompiler et recharger non seulement la configuration matérielle mais également le
programme de sécurité. Cela s'applique également aux modifications apportées à la
périphérie F qui n'est pas utilisée dans le programme de sécurité.
Remarque
Pour les CPU F S7-300/400
Si vous voulez compiler un bloc F avec protection du know-how après une modification, vous
devez supprimer la protection du know-how de ce bloc F avant la compilation.
Estimation
Vous pouvez évaluer approximativement la mémoire de travail requise par le programme de
sécurité de la manière suivante :
5 x mémoire de travail requise par tous les DB F (y compris les DB de communication F, mais
sans les DB pour la communication entre groupes d'exécution F) et DB I pour Main Safety
Block/FB F
+ 24 x mémoire de travail requise par tous les DB pour la communication entre groupes
d'exécution F
+ 2,3 x mémoire de travail requise par tous les DB I pour instructions (excepté SENDDP,
RCVDP, SENDS7 et RCVS7)
+ mémoire de travail requise par tous les DB I des instructions SENDDP (0,2 Ko), RCVDP
(0,3 Ko), SENDS7 (0,6 Ko) et RCVS7 (1,0 Ko)
+ 0,7 Ko par FC F
+ 0,7 Ko par périphérie F (entre autres pour les DB de périphérie F)
+ 4,5 Ko
Introduction
Une fois que vous avez compilé votre programme de sécurité avec succès, vous pouvez le
charger dans la CPU F conjointement avec le programme utilisateur standard.
(S7-1500) Si le programme de sécurité se trouve dans une unité Safety, vous pouvez charger
l'unité Safety indépendamment dans la CPU F.
ATTENTION
Si plusieurs CPU F sont accessibles via un réseau (par exemple Industrial Ethernet) à partir
de la même PG/du même PC, vous devez vous assurer que les données de projet de
sécurité sont chargées dans la bonne CPU F en prenant les mesures supplémentaires
suivantes :
Utilisez des mots de passe spécifiques à chaque CPU F, par exemple le même mot de passe
pour les CPU F avec l'adresse Ethernet de chacune en suffixe.
Tenez compte des points suivants :
• Le premier chargement de la configuration matérielle pour l'activation de la protection
d'accès d'une CPU F doit se faire via une liaison point à point (de manière similaire à la
première affectation d'une adresse MPI à une CPU F).
• Avant de charger les données du projet de sécurité dans une CPU F, il faut annuler les
droits d'accès existants déjà pour une autre CPU F.
• Le dernier chargement des données du projet de sécurité avant le passage en mode
production doit se faire avec la protection d'accès activée. (S021)
Remarque
Vous ne pouvez effectuer le chargement d'un programme de sécurité cohérent qu'à l'état
Arrêt.
Remarque
Si STEP 7 Safety détecte un programme de sécurité incohérent au démarrage de la CPU F, le
démarrage de la CPU F n'a pas lieu à condition que cette dernière prenne cette fonction de
détection en charge (voir l'information produit de la CPU F S7-300/400 concernée). Cette
fonction est toujours prise en charge par les CPU F S7-1200/1500. Un événement de
diagnostic correspondant est alors inscrit dans le tampon de diagnostic de la CPU F.
Si la CPU F ne prend pas cette détection en charge, l'exécution d'un programme de sécurité
incohérent en mode de sécurité activé peut entraîner la mise à l'arrêt de la CPU F.
La cause de l'événement de diagnostic est inscrite dans le tampon de diagnostic de la CPU F.
10.3.1.1 Charger les données de projet dans une CPU F S7-300/400 avec carte mémoire
enfichée (carte flash ou Micro Memory Card SIMATIC)
Vous devez tenir compte de l'avertissement suivant lorsque vous chargez des données de
projet dans une CPU F S7-300/400 avec carte mémoire enfichée (Micro Memory Card SIMATIC
pour le S7-300 ou carte flash pour le S7-400) :
ATTENTION
Si le test fonctionnel du programme de sécurité n'est pas réalisé dans la CPU F cible, vous
devez suivre la procédure suivante lors du chargement des données du projet de sécurité
dans la CPU F avec une PG/un PC pour vous assurer que des "anciennes" données du projet
de sécurité ne se trouvent pas dans la CPU F :
• Chargez les données de projet de sécurité dans la CPU F.
• Procédez à une identification du programme (c'est-à-dire vérifiez que les signatures
globales F en ligne et hors ligne correspondent).
• Effectuez un effacement général de la CPU F au moyen du sélecteur de mode ou avec la
PG/le PC. Après l'effacement de la mémoire de travail, les données de projet de sécurité
sont de nouveau transférées de la mémoire de chargement (carte mémoire, SIMATIC
Micro Memory Card pour les CPU F S7-300, carte flash pour les CPU F S7-400) dans la
mémoire de travail. (S022)
10.3.1.2 Charger les données de projet dans une CPU F S7-400 sans carte flash enfichée
Vous devez tenir compte de l'avertissement suivant lorsque vous chargez des données de
projet dans une CPU F S7-400 sans carte flash enfichée :
ATTENTION
Si le test fonctionnel du programme de sécurité n'est pas réalisé dans la CPU F cible, vous
devez suivre la procédure suivante lors du chargement des données du projet de sécurité
dans la CPU F avec une PG/un PC pour vous assurer que des "anciennes" données du projet
de sécurité ne se trouvent pas dans la CPU F :
• Effectuez un effacement général de la CPU F au moyen du sélecteur de mode ou avec la
PG/le PC.
• Chargez les données de projet de sécurité dans la CPU F.
• Procédez à une identification du programme (c'est-à-dire vérifiez que les signatures
globales F en ligne et hors ligne correspondent). (S023)
ATTENTION
Pour vous assurer que des "anciennes" données de projet de sécurité ne se trouvent pas
dans le WinAC RTX F, vous devez suivre la procédure suivante lors du chargement des
données de projet de sécurité dans le WinAC RTX F avec une PG/un PC :
1. Effectuez un effacement général de WinAC RTX F (voir le manuel Windows Automation
Center RTX WinAC RTX (F) 2010
(http://support.automation.siemens.com/WW/view/en/43715176)).
2. Chargez les données de projet dans le WinAC RTX F.
Si le test fonctionnel du programme de sécurité n'est pas réalisé dans le WinAC RTX
F cible, observez également les points 3 et 4 :
3. Procédez à une identification du programme. C'est-à-dire vérifiez que les signatures
globales F en ligne et hors ligne correspondent.
4. Démarrez le système F.
Il ne faut pas fermer WinAC RTX F entre l'identification du programme en ligne et le
démarrage du système F (par exemple, par une mise hors tension/sous tension ou un
amorçage). (S024)
Remarque
Si vous chargez uniquement des blocs F individuels, les blocs dans lesquels les Main Safety
Blocks sont appelés (par exemple, l'OB 35 d'alarme cyclique) ne sont pas chargés. Pour cela,
vous devez activer l'option de sélection sous "Standard software" dans la boîte de dialogue
d'aperçu, puis sélectionner les blocs nécessaires.
Remarque
Le chargement de blocs F individuels convient uniquement pour le test de blocs F. Vous
devez charger le programme de sécurité de manière cohérente dans la CPU F avant le
passage en mode production.
10.3.1.5 Charger les données de projet sur une carte mémoire et enficher la carte mémoire
ou le support de données amovible
Vous procédez au chargement des données de projet d'une CPU F sur une carte mémoire
(carte flash pour le S7-400, Micro Memory Card SIMATIC pour le S7-300) comme dans le
système standard. Vous devez également tenir compte de l'avertissement suivant :
ATTENTION
Si le test fonctionnel du programme de sécurité n'est pas réalisé dans la CPU F cible, vous
devez vous assurer après le chargement des données de projet de sécurité sur la carte
mémoire que ce sont les bonnes données de projet de sécurité qui se trouvent sur la carte
mémoire.
Procédez de la manière suivante :
1. Chargez les données de projet sur la carte mémoire.
2. Procédez à une identification du programme (Page 330).
3. Identifiez la carte mémoire de manière unique (avec une signature globale F, par
exemple). (S043)
Vous devez tenir compte de l'avertissement suivant lorsque vous enfichez une carte mémoire
(carte flash pour le S7-400 ou Micro Memory Card SIMATIC pour le S7-300) ou un support de
données amovible pour WinAC RTX F contenant les données de projet d'une CPU F :
ATTENTION
Si le test fonctionnel du programme de sécurité n'est pas réalisé dans la CPU F cible, vous
devrez vous assurer que ce sont les bonnes données de projet de sécurité qui se trouvent
sur la carte mémoire ou le support de données amovible enfiché, et ce soit par une
identification du programme en ligne, soit par d'autres mesures appropriées (par exemple,
contrôle de l'identification de la carte mémoire ou du support de données amovible). (S025)
Vous devez tenir compte de l'avertissement suivant lorsque vous enfichez une carte mémoire
(carte flash pour le S7-400 ou Micro Memory Card SIMATIC pour le S7-300) dans une CPU F
S7-300/400 :
ATTENTION
Si le test fonctionnel du programme de sécurité n'est pas réalisé dans la CPU F cible, vous
devez suivre la procédure suivante lors de l'enfichage de la carte mémoire pour vous assurer
que des "anciennes" données de projet de sécurité ne se trouvent pas dans la CPU F :
• Mettez la CPU F hors tension et retirez le cas échéant la pile pour les CPU F avec
sauvegarde par pile (par exemple, CPU 416F-2). (Pour garantir que la CPU F est hors
tension, tenez compte du temps de maintien de l'alimentation utilisée ou, si vous ne
connaissez pas ce temps, débrochez la CPU F.)
• Retirez de la CPU F la carte mémoire avec les anciennes données de projet de sécurité.
• Enfichez dans la CPU F la carte mémoire avec les nouvelles données de projet de
sécurité.
• Remettez la CPU F sous tension et replacez la pile que vous aviez éventuellement retirée
pour les CPU F avec sauvegarde par pile (par exemple, CPU 416F-2).
(S026)
10.3.2.1 Charger les données de projet dans une CPU F S7-1200 sans carte programme
enfichée
Vous devez tenir compte de l'avertissement suivant lorsque vous chargez des données de
projet dans une CPU F S7-1200 sans carte programme enfichée :
ATTENTION
Si le test fonctionnel du programme de sécurité n'est pas réalisé dans la CPU F cible, vous
devez suivre la procédure suivante lors du chargement des données du projet de sécurité
dans la CPU F avec une PG/un PC pour vous assurer que des "anciennes" données du projet
de sécurité ne se trouvent pas dans la CPU F :
• Chargez les données de projet de sécurité dans la CPU F.
• Procédez à une identification du programme (c'est-à-dire vérifiez que les signatures
globales F en ligne et hors ligne correspondent). (S042)
10.3.2.2 Charger les données de projet dans une CPU F S7-1200 avec carte programme
enfichée
Vous devez tenir compte des avertissements suivants lorsque vous chargez des données de
projet dans une CPU F S7-1200 avec carte programme enfichée :
ATTENTION
Procédez de la manière suivante pour vous assurer, lors de l'enfichage d'une carte
programme dans une CPU F S7-1200, que des "anciennes" données de projet de sécurité ne
se trouvent pas dans la mémoire de chargement interne de la CPU F :
1. Vérifiez que la LED STOP/RUN (orange) et la LED de maintenance clignotent pendant 3
secondes à la mise en route avec logement de carte vide.
Si c'est le cas, la mémoire de chargement interne de la CPU F est déjà effacée (par exemple,
si la CPU F fonctionnait avec une carte programme comme mémoire de chargement
externe) et vous pouvez sauter l'étape 3.
2. Enfichez la carte programme dans la CPU F.
Si la CPU F est à l'état de fonctionnement RUN, elle passe en STOP. La LED de
maintenance sur la CPU F clignote pour indiquer que la carte programme doit être
évaluée ou que la mémoire de chargement interne doit être effacée.
3. Déclenchez l'effacement de la mémoire de chargement interne de l'une des manières
suivantes :
– Mettez la CPU F hors tension puis à nouveau sous tension.
– Faites passer la CPU F de l'état STOP à l'état RUN.
– Exécutez la fonction Effacement général (MRES).
Après le redémarrage et l'effacement de la mémoire de chargement interne, la LED
STOP/RUN (orange) et la LED de maintenance doivent clignoter. Dans ce cas, la
mémoire de chargement interne de la CPU F est effacée et ne contient pas "d'anciennes"
données de projet de sécurité.
4. Déclenchez l'évaluation de la carte programme de l'une des manières suivantes :
– Mettez la CPU F hors tension puis à nouveau sous tension.
– Faites passer la CPU F de l'état STOP à l'état RUN.
– Exécutez la fonction Effacement général (MRES).
La CPU exécute un redémarrage et évalue la carte programme.
La CPU F passe ensuite à l'état de fonctionnement configuré pour sa mise en route (RUN
ou STOP). (S061)
Pour une CPU F S7-1200 sans carte mémoire SIMATIC enfichée et avec la mémoire de
chargement interne effacée, les LED d'état ont l'état décrit dans le tableau suivant.
ATTENTION
Si vous chargez avec une PG/un PC des blocs F dans une CPU F S7-1200 avec carte
programme enfichée (mémoire de chargement externe), vous devez vous assurer que le
transfert sur la mémoire de chargement externe a bien lieu. Cela peut être accompli par les
mesures suivantes :
• Vérifiez que la carte programme est correctement enfichée.
• Utilisez une carte programme dont la taille de mémoire est différente de la taille de la
mémoire de chargement interne. Vérifiez sous "En ligne & Diagnostic > Diagnostic >
Mémoire" dans le navigateur de projet si la taille affichée de la mémoire de chargement
correspond à la taille de mémoire de la carte programme. (S058)
ATTENTION
Si le test fonctionnel du programme de sécurité n'est pas réalisé dans la CPU F cible, vous
devez suivre la procédure suivante lors du chargement des données du projet de sécurité
dans la CPU F avec une PG/un PC pour vous assurer que des "anciennes" données du projet
de sécurité ne se trouvent pas dans la CPU F :
• Chargez les données de projet de sécurité dans la CPU F.
• Procédez à une identification du programme (c'est-à-dire vérifiez que les signatures
globales F en ligne et hors ligne correspondent). (S042)
ATTENTION
Procédez de la manière suivante pour vous assurer, lors de la copie des données de projet de
sécurité dans une CPU F S7-1200 au moyen d'une carte transfert, que des "anciennes"
données de projet de sécurité ne se trouvent pas dans la mémoire de chargement interne :
1. Vérifiez que la LED STOP/RUN (orange) et la LED de maintenance clignotent pendant 3
secondes au démarrage avec un logement de carte vide.
Si c'est le cas, la mémoire de chargement interne de la CPU F est déjà effacée et vous
pouvez sauter l'étape 3.
2. Enfichez la carte transfert dans la CPU F.
Si la CPU F est à l'état de fonctionnement RUN, elle passe en STOP. La LED de
maintenance sur la CPU F clignote pour indiquer que la carte transfert doit être évaluée
ou que la mémoire de chargement interne doit être effacée.
3. Déclenchez l'effacement de la mémoire de chargement interne de l'une des manières
suivantes :
– Mettez la CPU F hors tension puis à nouveau sous tension.
– Faites passer la CPU F de l'état STOP à l'état RUN.
– Exécutez la fonction Effacement général (MRES).
Après le redémarrage et l'effacement de la mémoire de chargement interne, la LED
STOP/RUN (orange) et la LED de maintenance doivent clignoter. Dans ce cas, la
mémoire de chargement interne de la CPU F est effacée et ne contient pas "d'anciennes"
données de projet de sécurité.
4. Déclenchez l'évaluation de la carte transfert de l'une des manières suivantes (transfert de la
carte transfert dans la mémoire de chargement interne) :
– Mettez la CPU F hors tension puis à nouveau sous tension.
– Faites passer la CPU F de l'état STOP à l'état RUN.
– Exécutez la fonction Effacement général (MRES).
Après le redémarrage et l'évaluation de la carte mémoire SIMATIC, la CPU F copie les
données de projet dans sa mémoire de chargement interne. Une fois la copie achevée, la
LED de maintenance sur la CPU F clignote pour indiquer que la carte transfert peut être
retirée.
5. Retirez la carte transfert de la CPU F.
6. Déclenchez l'évaluation de la mémoire de chargement interne de l'une des manières
suivantes :
– Mettez la CPU F hors tension puis à nouveau sous tension.
– Faites passer la CPU F de l'état STOP à l'état RUN.
– Exécutez la fonction Effacement général (MRES).
La CPU F passe ensuite à l'état de fonctionnement configuré pour sa mise en route (RUN
ou STOP). (S059)
Pour une CPU F S7-1200 sans carte mémoire SIMATIC enfichée et avec la mémoire de
chargement interne effacée, les LED d'état ont l'état décrit dans le tableau suivant.
10.3.2.4 Charger les données de projet d'une CPU F S7-1200 de la mémoire de chargement
interne sur une carte mémoire SIMATIC vide
Vous devez tenir compte de l'avertissement suivant lorsque vous chargez des données de
projet de la mémoire de chargement interne d'une CPU F S7-1200 sur une carte mémoire
SIMATIC vide :
ATTENTION
Vous devez respecter la procédure suivante pour garantir que, lors de l'enfichage d'une carte
mémoire SIMATIC vide dans une CPU F S7-1200, les données de projet de sécurité soient
chargées de la mémoire de chargement interne de la CPU F sur la carte mémoire SIMATIC,
puis que la mémoire de chargement interne de la CPU F soit effacée :
1. Veillez à ce que la carte mémoire utilisée soit bien une carte mémoire SIMATIC vide, par
exemple, en vérifiant à l'aide de l'Explorateur Windows que le dossier "SIMATIC.S7S" et le
fichier "S7_JOB.S7S" sont effacés.
2. Enfichez la carte mémoire SIMATIC vide dans la CPU F.
Si la CPU F est à l'état de fonctionnement RUN, elle passe en STOP. La LED de
maintenance sur la CPU F clignote pour indiquer que le programme peut être copié de la
mémoire de chargement interne sur la carte mémoire SIMATIC, puis que la mémoire de
chargement interne sera effacée.
3. Déclenchez la copie de la mémoire de chargement interne sur la carte mémoire SIMATIC et
l'effacement subséquent de la mémoire de chargement interne de l'une des manières
suivantes :
– Mettez la CPU F hors tension puis à nouveau sous tension.
– Faites passer la CPU F de l'état STOP à l'état RUN.
– Exécutez la fonction Effacement général (MRES).
Après le redémarrage et la copie des données de projet de la mémoire de chargement
interne sur la carte mémoire SIMATIC et l'effacement subséquent de la mémoire de
chargement interne, la LED STOP/RUN (orange) et la LED de maintenance doivent
clignoter. Dans ce cas, la mémoire de chargement interne de la CPU F est effacée et ne
contient plus de données de projet de sécurité. La carte mémoire SIMATIC est désormais
une carte programme.
4. Déclenchez l'évaluation de la carte programme de l'une des manières suivantes :
– Mettez la CPU F hors tension puis à nouveau sous tension.
– Faites passer la CPU F de l'état STOP à l'état RUN.
– Exécutez la fonction Effacement général (MRES).
La CPU F exécute un redémarrage et évalue la carte programme.
La CPU F passe ensuite à l'état de fonctionnement configuré pour sa mise en route (RUN
ou STOP). (S057)
Remarque
Tenez également compte du paramètre "Désactiver la copie de la mémoire de chargement
interne vers la mémoire de chargement externe" dans la configuration matérielle de votre
CPU F.
10.3.2.5 Mettre à jour les données de projet d'une CPU F S7-1200 à l'aide d'une carte
transfert
Vous devez tenir compte de l'avertissement suivant si vous voulez mettre à jour les données
de projet d'une CPU F S7-1200 à l'aide d'une carte transfert :
ATTENTION
Si vous effectuez une mise à jour des données de projet de sécurité à l'aide d'une carte
transfert sur une CPU F S7-1200, vous devez ensuite vous assurer par une identification du
programme que le transfert dans la mémoire de chargement interne s'est fait correctement.
(S060)
10.3.2.6 Charger les données de projet sur une carte mémoire SIMATIC et enficher la carte
mémoire SIMATIC
Vous procédez au chargement des données de projet d'une CPU F sur une carte mémoire
SIMATIC comme dans le système standard. Vous devez également tenir compte de
l'avertissement suivant :
ATTENTION
Si le test fonctionnel du programme de sécurité n'est pas réalisé dans la CPU F cible, vous
devez vous assurer après le chargement des données de projet de sécurité sur la carte
mémoire que ce sont les bonnes données de projet de sécurité qui se trouvent sur la carte
mémoire.
Procédez de la manière suivante :
1. Chargez les données de projet sur la carte mémoire.
2. Procédez à une identification du programme (Page 330).
3. Identifiez la carte mémoire de manière unique (avec une signature globale F, par
exemple). (S043)
Vous devez tenir compte de l'avertissement suivant lorsque vous enfichez une carte mémoire
SIMATIC contenant les données de projet d'une CPU F :
ATTENTION
Si le test fonctionnel du programme de sécurité n'est pas réalisé dans la CPU F cible, vous
devrez vous assurer que ce sont les bonnes données de projet de sécurité qui se trouvent
sur la carte mémoire ou le support de données amovible enfiché, et ce soit par une
identification du programme en ligne, soit par d'autres mesures appropriées (par exemple,
contrôle de l'identification de la carte mémoire ou du support de données amovible). (S025)
ATTENTION
Si le test fonctionnel du programme de sécurité n'est pas réalisé dans la CPU F cible, vous
devez suivre la procédure suivante lors du chargement des données du projet de sécurité
dans la CPU F avec une PG/un PC pour vous assurer que des "anciennes" données du projet
de sécurité ne se trouvent pas dans la CPU F :
• Chargez les données de projet de sécurité dans la CPU F.
• Procédez à une identification du programme (c'est-à-dire vérifiez que les signatures
globales F en ligne et hors ligne correspondent). (S042)
ATTENTION
ATTENTION
Si le test fonctionnel du programme de sécurité n'est pas réalisé dans le système S7-
1500HF cible, vous devez suivre la procédure suivante lors du chargement des données
du projet de sécurité dans les CPU HF avec une PG/un PC pour vous assurer que des
"anciennes" données du projet de sécurité ne se trouvent pas dans les CPU HF :
1. Faites passer l'une des deux CPU HF à l'état STOP.
2. Si vous n'avez pas programmé de protection contre le (re)démarrage dans votre ancien
programme de sécurité (Programmer une protection contre le démarrage (Page 154)),
vous devez formater la carte mémoire SIMATIC ou effacer le programme, par exemple
depuis l'écran pour la CPU HF qui est à l'état STOP.
3. Chargez les données de projet de sécurité dans la CPU HF qui se trouve à l'état STOP
(dans la CPU réserve avec la commande "Download to backup CPU" du menu
contextuel).
4. Faites passer à l'état STOP la CPU HF qui se trouve encore à l'état RUN.
5. Si vous n'avez pas programmé de protection contre le (re)démarrage dans votre ancien
programme de sécurité, vous devez formater la carte mémoire SIMATIC ou effacer le
programme, par exemple depuis l'écran pour la CPU HF que vous venez de commuter à
l'état STOP.
6. Faites passer à l'état RUN la CPU HF avec les nouvelles données de projet de sécurité
chargées.
7. Faites passer la deuxième CPU HF à l'état RUN.
8. Dès que l'état RUN-Redundant est atteint, vous devez procéder à une identification du
programme sur l'une des deux CPU HF (c'est-à-dire que vous vérifiez si les signatures
globales F en ligne et hors ligne correspondent).
Si vous avez programmé une protection contre le (re)démarrage dans votre nouveau
programme de sécurité, vous ne devez acquitter cette dernière qu'après la réussite de
l'identification du programme. (S091)
ATTENTION
Si le test fonctionnel du programme de sécurité n'est pas réalisé dans la CPU F cible, vous
devez suivre la procédure suivante lors du chargement des données du projet de sécurité
dans la CPU F avec une PG/un PC pour vous assurer que des "anciennes" données du projet
de sécurité ne se trouvent pas dans la CPU F :
• Chargez les données de projet de sécurité dans la CPU F.
• Procédez à une identification du programme (c'est-à-dire vérifiez que les signatures
globales F en ligne et hors ligne correspondent). (S042)
ATTENTION
ATTENTION
Pour des raisons de sécurité, le mot de passe d'un contrôleur logiciel S7-1500 F est stocké
dans une mémoire distincte en plus de la mémoire de chargement.
Contrairement à la mémoire de chargement, cette mémoire distincte n'est pas effacée. Les
anciens mots de passe sont donc à nouveau actifs après la suppression des données de
projet du contrôleur logiciel S7-1500 F suivie d'un démarrage.
Vous devez donc tenir compte des points suivants :
• Les données de projet du contrôleur logiciel S7-1500 F sont supprimées dans le cas des
scénarios de chargement suivants de la station PC :
– Chargement d'une station PC avec affectation d'interface modifiée
– Chargement d'une station PC avec emplacement de stockage des données
rémanentes modifié
• Nous vous recommandons de ne configurer la protection d'accès F qu'après la mise en
service. Si vous devez encore modifier l'affectation d'interface de la station PC ou
l'emplacement de stockage des données rémanentes, vous ne devrez ainsi pas saisir le
mot de passe F lors du chargement obligatoire suivant du contrôleur logiciel S7-1500 F.
• Nous vous recommandons de supprimer la protection d'accès F d'un contrôleur logiciel
S7-1500 F que vous n'utilisez plus. En effet, si vous ne vous souvenez plus du mot de
passe lors d'une réutilisation ultérieure de ce contrôleur logiciel S7-1500 F, vous ne
pourrez supprimer le mot de passe F que par une désinstallation/installation/réparation
ou par l'importation d'une image. (S076)
Voir aussi
Charger les données de projet (Page 300)
Contrôleur logiciel (http://support.automation.siemens.com/WW/view/fr/109249299)
10.3.3.4 Charger les données de projet sur une carte mémoire SIMATIC et enficher la carte
mémoire SIMATIC ou le support de données amovible
Vous procédez au chargement des données de projet d'une CPU (H)F sur une carte mémoire
SIMATIC comme dans le système standard. Vous devez également tenir compte de
l'avertissement suivant :
ATTENTION
Si le test fonctionnel du programme de sécurité n'est pas réalisé dans la CPU F cible, vous
devez vous assurer après le chargement des données de projet de sécurité sur la carte
mémoire que ce sont les bonnes données de projet de sécurité qui se trouvent sur la carte
mémoire.
Procédez de la manière suivante :
1. Chargez les données de projet sur la carte mémoire.
2. Procédez à une identification du programme (Page 330).
3. Identifiez la carte mémoire de manière unique (avec une signature globale F, par
exemple). (S043)
Vous devez tenir compte de l'avertissement suivant lorsque vous enfichez une carte mémoire
SIMATIC ou un support de données amovible de contrôleur logiciel S7-1500 F contenant les
données de projet d'une CPU (H)F :
ATTENTION
Si le test fonctionnel du programme de sécurité n'est pas réalisé dans la CPU F cible, vous
devrez vous assurer que ce sont les bonnes données de projet de sécurité qui se trouvent
sur la carte mémoire ou le support de données amovible enfiché, et ce soit par une
identification du programme en ligne, soit par d'autres mesures appropriées (par exemple,
contrôle de l'identification de la carte mémoire ou du support de données amovible). (S025)
ATTENTION
Procédez comme suit lors de l'enfichage de deux nouvelles cartes mémoire SIMATIC avec de
nouvelles données de projet de sécurité pour un système S7-1500HF redondant :
1. Faites passer les deux CPU HF à l'état STOP.
2. Remplacez les cartes mémoire SIMATIC des deux CPU HF par :
– deux cartes mémoire SIMATIC avec les nouvelles données de projet de sécurité ou
– une carte mémoire SIMATIC avec les nouvelles données de projet de sécurité et une
carte mémoire SIMATIC vide.
Procédure pour garantir les bonnes données de projet de sécurité par identification du
programme en ligne :
1. Sur les deux CPU HF à l'état STOP, vérifiez p. ex. depuis l'écran si les bonnes données de
projet de sécurité se trouvent sur la carte mémoire SIMATIC ou si la deuxième carte
mémoire SIMATIC est vide.
2. Une fois la vérification réussie, faites passer les CPU HF à l'état RUN. Si les nouvelles
données de projet de sécurité ne se trouvent que sur une carte mémoire SIMATIC, vous
devez d'abord faire passer la CPU HF avec les nouvelles données de projet de sécurité à
l'état RUN et seulement ensuite la CPU HF avec la carte mémoire SIMATIC vide.
Procédure pour garantir les bonnes données de projet de sécurité par identification unique
des cartes mémoire SIMATIC :
1. Commutez les CPU HF en RUN. Si les nouvelles données de projet de sécurité ne se
trouvent que sur une carte mémoire SIMATIC, vous devez d'abord faire passer la CPU HF
avec les nouvelles données de projet de sécurité à l'état RUN et seulement ensuite la CPU
HF avec la carte mémoire SIMATIC vide. (S092)
ATTENTION
Procédez comme suit lors de l'enfichage d'une nouvelle carte mémoire SIMATIC avec de
nouvelles données de projet de sécurité pour un système S7-1500HF redondant :
1. Faites passer les deux CPU HF à l'état STOP.
2. Retirez la carte mémoire SIMATIC de l'une des deux CPU HF.
3. Formatez la carte mémoire SIMATIC ou effacez le programme, par exemple via l'écran de la
CPU HF dont la carte mémoire SIMATIC n'a pas été retirée.
4. Enfichez dans la CPU HF sans carte mémoire SIMATIC la carte mémoire SIMATIC contenant
les nouvelles données de projet de sécurité.
5. Si vous ne pouvez pas garantir par d'autres mesures appropriées (par exemple, par
identification unique de la carte mémoire SIMATIC) que les bonnes données de projet de
sécurité se trouvent sur la carte mémoire SIMATIC, vous devez procéder à une
identification du programme sur la CPU HF avec les nouvelles données de projet de
sécurité.
6. Faites passer à l'état RUN la CPU HF sur laquelle se trouvent les nouvelles données de projet
de sécurité.
7. Faites passer la deuxième CPU HF à l'état RUN. (S093)
ATTENTION
Vous devez procéder à une identification du programme après avoir restauré une copie de
sauvegarde d'une CPU F.
Dans le cas d'un système S7-1500HF redondant, vous devez effectuer cette identification du
programme à l'état RUN-Redundant. (S055)
Remarque
Nous vous conseillons d'utiliser pour l'identification du programme la signature globale F
contenue dans le nom du fichier de sauvegarde. Vous ne devez dans ce cas pas modifier la
signature globale F dans le nom.
ATTENTION
(S7-1200/1500) Si plusieurs CPU F avec serveur Web activé sont accessibles à partir de la
même PG/du même PC, vous devez vous assurer que le programme de sécurité est restauré
sur la bonne CPU F en prenant des mesures supplémentaires.
Utilisez des mots de passe spécifiques aux CPU pour le droit "F-admin" sur le serveur Web.
Sélectionnez, par exemple, le même mot de passe pour les CPU F avec l'adresse IP de
chacune en suffixe (par exemple, Password_192.168.0.8). (S065)
Remarque
Vous devez, le cas échéant, saisir l'ancien mot de passe de la CPU F lors de la restauration.
ATTENTION
Vous devez observer les points suivants lors de la création d'une image avec des données du
projet de sécurité :
• Vous devez, par des mesures organisationnelles (Page 617), restreindre l'accès au
contrôleur logiciel S7-1500 F aux personnes habilitées à créer des images.
• Avant la création de l'image, vous devez vous assurer par une identification du
programme que les données de projet de sécurité dans le contrôleur logiciel S7-1500 F
sont les bonnes.
• Les images avec données de projet de sécurité doivent être créées sur un support de
données vierge (effacé ou formaté) ou il faut effacer explicitement l'image déjà présente.
• Après la création de l'image, retirez le support de données contenant l'image.
• Identifiez le support de données de manière univoque (avec une signature globale F, par
exemple). (S073)
IMPORTANT
Si les données de projet de sécurité dans l'image sont différentes des données de projet de
sécurité dans le contrôleur logiciel S7-1500 F, le programme de sécurité importé ne démarre
pas. Dans ce cas, vous devez charger de nouveau les données du projet sur la CPU F, avec
TIA Portal par exemple. C'est pourquoi vous devez veiller à ce que les copies de sauvegarde
d'images soient toujours à jour.
Tout comme vous pouvez démarrer un programme de sécurité à partir d'une autre carte
CFast, vous pouvez charger et exécuter une image qui a été créée à partir d'un autre
appareil ou support de données.
ATTENTION
Vous devez observer les points suivants lors de l'importation d'une image avec des données
du projet de sécurité :
• Vous devez, par des mesures organisationnelles (Page 617), restreindre l'accès au
contrôleur logiciel S7-1500 F aux personnes habilitées à importer des images.
• Lors de l'importation d'une image via un réseau local, un accès à distance ou d'autres
accès comparables, vous devez assurer une protection d'accès (par exemple, avec le droit
d'administrateur Windows (ADMIN)). Veillez toutefois à ce que seules des personnes
autorisées soient configurées comme utilisateurs.
• Pour garantir lors de l'importation d'une image via un réseau local que l'image est écrite
sur le bon contrôleur logiciel S7-1500 F, vous devez faire en sorte qu'un seul contrôleur
logiciel S7-1500 F soit accessible. C'est, par exemple, possible en supprimant les
connexions physiques et les options de routage vers d'autres contrôleurs logiciels
S7-1500 F.
• Vous devez vous assurer que les bonnes données de projet de sécurité se trouvent sur
l'image, par exemple par une identification univoque du support de données.
• Supprimez l'image, ainsi que ses éventuelles copies, une fois que vous l'avez importée
dans le contrôleur logiciel S7-1500 F.
• Après l'importation de l'image, vous devez vous assurer par une identification du
programme au moyen de l'écran, par exemple, que les données de projet de sécurité
dans le contrôleur logiciel S7-1500 F sont les bonnes. (S074)
10.3.6 Charger les données de projet (y compris les données de projet de sécurité)
d'une CPU F dans une PG/un PC (S7-1500)
La fonction de chargement de l'appareil "Upload from device (software)" ou "Upload device as
new station (hardware and software)" n'est possible pour les CPU F S7-1500 que si l'option
"Enable consistent upload from the F-CPU" est activée pour la CPU F dans l'éditeur Safety
Administration Editor et que les données de projet ont ensuite été chargées dans la CPU F.
Pour charger les données de projet (y compris les données de projet de sécurité) dans une
PG/un PC, procédez comme pour le standard.
Si plusieurs CPU F sont accessibles via un réseau (par exemple, Industrial Ethernet) à partir de
la PG/du PC, vous devez vous assurer que les données de projet sont chargées de la bonne
CPU F, par exemple avec "En ligne & diagnostic" > "Accès en ligne" > "Clignotement LED".
Une fois le chargement de l'appareil réussi, vous pouvez continuer à travailler comme avec un
projet créé hors ligne.
ATTENTION
Si vous voulez effectuer une réception avec les données de projet chargées dans la PG/le PC
ou apporter des modifications aux données de projet relatives à la sécurité, vous devez vous
assurer avant le chargement que le programme de sécurité est exécutable.
Lors du chargement depuis une CPU F, cette condition est remplie si, avant le chargement,
la CPU F est à l'état RUN et en mode de sécurité activé ou qu'il est possible de la faire passer
à l'état RUN. Si la CPU F reste à l'état STOP, vous ne devez pas effectuer de réception ou de
modifications avec les données de projet de sécurité chargées.
En cas de chargement depuis une carte mémoire, celle-ci doit s'être trouvée auparavant
dans une CPU S7-1500 appropriée. Les conditions applicables sont les mêmes que pour le
chargement depuis une CPU F. (S080)
Vous pouvez charger des blocs F individuels dans une PG/un PC indépendamment de l'option
"Enable consistent upload from the F-CPU" (autoriser le chargement cohérent à partir de la
CPU F).
Il n'est pas possible de charger des blocs F avec protection du know-how individuels dans une
PG/un PC.
À partir de STEP 7 Safety V18, le chargement des données de projet à partir d'une carte
mémoire est possible comme nouvelle station (matériel et logiciel) et appareil (logiciel).
Voir aussi
Section "Settings" (Page 91)
Charger les données de projet (y compris les données de projet de sécurité) d'une carte
mémoire dans une PG/un PC (S7-1500) (Page 323)
10.3.7 Charger les données de projet (y compris les données de projet de sécurité)
d'une carte mémoire dans une PG/un PC (S7-1500)
La fonction de chargement de l'appareil "Upload from device (software)" ou "Upload device as
new station (hardware and software)" n'est possible pour les CPU F S7-1500 que si l'option
"Enable consistent upload from the F-CPU" est activée pour la CPU F dans l'éditeur Safety
Administration Editor et que les données de projet ont ensuite été chargées sur la carte
mémoire.
Pour charger les données de projet (y compris les données de projet de sécurité) dans une
PG/un PC, procédez comme pour le standard.
Après le chargement à partir de la carte mémoire, vous pouvez travailler comme avec un
projet créé hors ligne.
ATTENTION
Si vous voulez effectuer une réception avec les données de projet chargées dans la PG/le PC
ou apporter des modifications aux données de projet relatives à la sécurité, vous devez vous
assurer avant le chargement que le programme de sécurité est exécutable.
Lors du chargement depuis une CPU F, cette condition est remplie si, avant le chargement,
la CPU F est à l'état RUN et en mode de sécurité activé ou qu'il est possible de la faire passer
à l'état RUN. Si la CPU F reste à l'état STOP, vous ne devez pas effectuer de réception ou de
modifications avec les données de projet de sécurité chargées.
En cas de chargement depuis une carte mémoire, celle-ci doit s'être trouvée auparavant
dans une CPU S7-1500 appropriée. Les conditions applicables sont les mêmes que pour le
chargement depuis une CPU F. (S080)
Voir aussi
Section "Settings" (Page 91)
Exemple
Vous trouverez un exemple détaillé sur Internet
(https://support.industry.siemens.com/cs/ww/fr/view/109759142).
Paramètres d'identification
Les paramètres d'identification comprennent :
• le nom de fichier
• des informations du projet et de la station qui sont sauvegardées de TIA Portal dans les
métadonnées du fichier psc
Par exemple :
– Version du projet
– Repère d'installation
– Commentaire de station
Enregistrez, le cas échéant, les paramètres d'identification dans un fichier que vous stockerez
sur le système cible.
Pour évaluer et tester ces paramètres d'identification par script, vous devez sauvegarder ces
informations directement dans le script ou enregistrer les paramètres d'identification dans un
fichier distinct que vous stockerez sur le système cible.
ATTENTION
Au lieu d'une identification de programme en ligne, vous pouvez garantir par une
identification univoque du fichier de configuration *.psc (PC Station Configuration) que ce
sont les bonnes données de projet de sécurité qui se trouvent dans le fichier de
configuration.
Vous devez en outre observer les points suivants lors de la création d'un fichier de
configuration :
La création d'un fichier de configuration avec les données de projet de sécurité ne doit pas
utiliser un fichier existant. Vous devez créer un nouveau fichier.
Vous devez en outre supprimer du système de gestion des données les fichiers de
configuration contenant des données de projet de sécurité erronées.
Vous devez restreindre par des mesures organisationnelles (Page 617) l'accès au fichier de
configuration (*.psc) aux personnes habilitées à importer et modifier le fichier de
configuration. (S081)
Condition
Si vous voulez lancer l'importation du fichier de configuration au moyen du menu du PC
Station Panel d'un S7-150xS(P) F, la personne exécutant l'opération doit appartenir au groupe
d'utilisateurs Windows "Failsafe Operators".
Procédure
ATTENTION
Vous recevez une signalisation en retour positive après une importation réussie. En
l'absence de notification positive, vous devez supposer que l'importation a échoué et que les
anciennes données de projet de sécurité sont encore présentes.
Vous devez observer les points suivants en cas d'importation d'un fichier de configuration
avec des données de projet de sécurité d'une station PC via le menu du Panel :
• Utilisez le nom unique du fichier de configuration pour vérifier que vous avez sélectionné
le fichier de configuration voulu.
• Pour garantir que l'importation se fera sur le bon contrôleur logiciel S7-1500 F, vérifiez
que vous accédez au bon contrôleur logiciel S7-1500 F lors de l'importation d'un fichier
de configuration via le réseau local. Cela peut être accompli par les mesures suivantes :
– Supprimez les connexions physiques et les options de routage vers d'autres
contrôleurs logiciels S7-1500 F.
– Utilisez des noms d'ordinateur uniques et des identifiants utilisateur uniques ou
utilisez d'autres options d'identification. (S084)
ATTENTION
Vous devez vérifier dans le script au moyen des paramètres d'identification définis si
l'importation du fichier de configuration est autorisée pour le système cible concerné (par
évaluation du nom de la CPU F ou du projet ou par le repère d'installation, par exemple).
Il peut également s'avérer nécessaire ou utile d'effectuer une vérification de l'instance
correspondante du système cible, c'est-à-dire une vérification diversifiée de son adressage
et/ou une vérification de la version du fichier de configuration, par exemple uniquement
versions supérieures ou exclusion de versions données (liste noire). Vous devez sauvegarder
ces informations au préalable sur le système cible.
Exemple de vérification de l'admissibilité d'une version :
• Le script évalue les informations concernant la version et n'autorise, par exemple, que les
fichiers de configuration avec une version supérieure.
En tant que constructeur de machine, vous devez veiller à ce que le script soit protégé de
toute manipulation (modification non autorisée du contenu ou du nom).
Si vous ne faites que fournir les fichiers de configuration en tant que constructeur de
machine, vous devez vous assurer par des mesures techniques (contrôles approfondis dans
le script) et par la formation des opérateurs de la machine qu'aucun fichier de configuration
erroné ne pourra être importé. (S082)
Le script vérifie :
• l'équivalence de l'ID de machine
• que l'ID de version est supérieure à l'ID actuelle. Si c'est le cas, la nouvelle version est
inscrite dans le fichier txt.
• le numéro d'instance
ATTENTION
Vous déterminez si l'importation des données de projet de sécurité via le script a réussi en
évaluant la valeur en retour correspondante (0x51A3). Si la valeur en retour appropriée
n'est pas renvoyée par la commande de script PCSystem_Control, l'importation a échoué et il
se peut que les données de projet de sécurité présentes soient toujours les anciennes.
Pour vous assurer que la valeur en retour ne provient pas de l'importation précédente,
réinitialisez la valeur en retour à 0x3FF avant l'importation ("PCSystem_Control
/ImportConfig" sans saisir de nom de fichier), puis vérifiez que la valeur en retour a bien été
réinitialisée à 0x3FF (saisir "PCSystem_Control /GetStatus /ImportConfig", puis saisir "echo
%errorlevel%". Cette instruction doit renvoyer la valeur en retour 0x3FF).
Si l'importation a été lancée depuis un serveur, il doit également y avoir une signalisation en
retour sur la valeur en retour positive.
Nous vous recommandons de documenter l'importation dans un fichier journal pour une
plus grande transparence et traçabilité.
Si l'importation du fichier de configuration a été exécutée manuellement via la ligne de
commande Windows (par une commande de script), vous devez procéder de l'une des
manières suivantes :
• Réinitialisez la valeur en retour à 0x3FF avant l'importation et contrôlez-la (voir ci-
dessus).
– Effectuez l'importation.
– Évaluez la valeur en retour (saisir "PCSystem_Control /GetStatus /ImportConfig", puis
"echo %errorlevel%". Cette commande doit renvoyer la valeur en retour 0x51A3).
• Effectuez l'importation.
– Procédez à une identification manuelle du programme, par exemple par l'écran de la
CPU F.
(S083)
Remarque
La valeur en retour positive lors de l'importation d'un fichier de configuration par script est
"0x51A3" pour un contrôleur logiciel S7-1500 F, contrairement au contrôleur logiciel S7-1500
où elle est de "0x0000".
Lorsque le fichier est importé par script, l'autorisation doit être déplacée dans le script. Ceci
signifie que l'utilisateur exécutant le script n'a lui-même pas besoin d'une autorisation plus
élevée, car le script qui lui a été fourni par le fabricant de la machine contient les
autorisations nécessaires (groupe d'utilisateurs "Failsafe Operators").
Les droits sont affectés via le script par affectation du service Windows au groupe
d'utilisateurs correspondant. Cette installation initiale doit être effectuée préalablement par
l'administrateur Windows sur chaque ordinateur avec S7-150xS(P) F. Le service Windows peut
être appelé par la personne exécutant l'opération et le service Windows exécute le script.
6. Dans la section "Web server F-admins", vérifiez que seuls des utilisateurs autorisés ont le
droit "F-admin" hors ligne et en ligne.
Voir aussi
Safety Administration Editor (Page 80)
Remarque
Vous ne devez pas utiliser l'éditeur de comparaison pour détecter des modifications hors
ligne/en ligne dans le programme de sécurité/dans la configuration de la périphérie F lors de
la réception des modifications. Une comparaison hors ligne-en ligne est appropriée pour cela.
Procédez comme décrit sous Réception de modifications (Page 379) pour la réception des
modifications.
Lorsque vous cliquez sur un bloc F, vous voyez les signatures respectives et les signatures
d'interface en plus des informations standard.
Remarque
Le résultat de la comparaison ne sera pas correct si vous coupez la connexion à la CPU F
pendant la comparaison hors ligne/en ligne.
Vous disposez en outre des deux options de filtre "Afficher uniquement les objets différents"
et "Afficher objets identiques et objets différents" de STEP 7.
Les blocs F dans le dossier "Blocs système" sont également pris en compte pour la
comparaison de programmes de sécurité.
Critères de comparaison
Assurez-vous que seul le critère de comparaison "Safety" est activé sous .
Impression de sécurité
L'impression de sécurité constitue la documentation des données de projet relatives à la
sécurité sur laquelle vous vous appuierez lors de la réception de l'installation. Dans ce cas,
vous pouvez aussi utiliser la forme électronique de "l'impression" de sécurité, par exemple
comme fichier PDF.
Visualisation
Des fonctions de test avec lecture (par exemple, visualisation de variables du programme de
sécurité) sont disponibles pour les programmes de sécurité comme pour les programmes
standard.
Forçage
Des fonctions de test avec écriture (par exemple, forçage de variables du programme de
sécurité) ne sont disponibles que de manière limitée pour les programmes de sécurité et
uniquement en mode de sécurité désactivé.
Voir aussi
Désactiver le mode de sécurité (Page 338)
Introduction
Vous pouvez configurer la durée de la limite de temps.
Conditions
• L'option de désactivation du mode de sécurité "Safety mode can be disabled" est activée
dans l'éditeur Safety Administration Editor.
• La version du système Safety est au moins V2.4.
Remarque
La valeur de temps configurée n'est pas incluse dans la signature globale F.
Conditions
• L'option de désactivation du mode de sécurité "Safety mode can be disabled" est activée
dans l'éditeur Safety Administration Editor.
• Le projet est chargé dans la CPU F.
• Le CPU F est à l'état de fonctionnement Marche.
• Le programme de sécurité s'exécute en mode de sécurité.
ATTENTION
Comme il est possible d'apporter des modifications au programme de sécurité à l'état RUN
lorsque le mode de sécurité est désactivé, vous devez tenir compte des points suivants :
• La désactivation du mode de sécurité est prévue à des fins de test, mise en service, etc.
Pendant la désactivation du mode de sécurité, la sécurité de l'installation doit être
assurée par des mesures organisationnelles (Page 617).
Le mode de sécurité doit être réactivé après le test et la mise en service. Pour cela,
exécutez un changement d'état STOP/RUN de la CPU F.
Dans un système S7-1500HF redondant, vous devez faire passer les deux CPU HF ou le
système redondant S7-1500HF en STOP avant de redémarrer les CPU HF.
• La désactivation du mode de sécurité doit être signalée.
Vous disposez pour cela de la variable MODE dans le DB global F ("F_GLOBDB".MODE)
pour les CPU F S7-300/400 ou dans le DB d'informations sur le groupe d'exécution F (par
exemple, RTG1SysInfo.F_SYSINFO.MODE) pour les CPU F S7-1200/1500 que vous pouvez
évaluer afin de connaître le mode de fonctionnement (1 = mode de sécurité désactivé).
Ainsi, la désactivation du mode de sécurité sera non seulement affichée dans la boîte de
dialogue de désactivation du mode de sécurité sur la PG/le PC, mais vous pourrez
également visualiser l'information "Disabled safety mode" obtenue par évaluation des
variables mentionnées plus haut grâce à un voyant lumineux commandé par le
programme utilisateur standard ou d'un message transmis à un système de contrôle-
commande.
• La désactivation du mode de sécurité doit pouvoir être constatée. Une consignation est
nécessaire, si possible par enregistrement et éventuellement archivage des notifications
au système de contrôle-commande et, si nécessaire, par des mesures organisationnelles.
Il est en outre recommandé de signaler une désactivation du mode de sécurité sur le
système de contrôle-commande.
• Le mode de sécurité est désactivé à l'échelle de la CPU F. En cas de communication CPU-
CPU de sécurité, vous devez toutefois tenir compte de ce qui suit : Si la CPU F qui envoie
les données est en mode de sécurité désactivé, vous ne pouvez plus être sûr que les
données envoyées par cette CPU F sont générées de manière sûre. Vous devez alors
assurer la sécurité des parties de l'installation affectées par les données envoyées en
prenant des mesures organisationnelles ou bien en fournissant dans la CPU F qui reçoit
les données des valeurs de remplacement de sécurité au lieu des données reçues par
évaluation de SENDMODE*.
* SENDMODE est disponible comme sortie des instructions RCVDP ou RCVS7 ou bien comme
variable dans le DB de communication F en cas de communication par F-Link flexible.
(S027)
Remarque
Le temps restant est également indiqué dans la variable MODE_REMAINING_TIME du DB
d'informations (Page 152) du groupe d'exécution F correspondant.
Dans le cas de deux groupes d'exécution F, des valeurs différentes peuvent s'afficher à cause
d'instants d'actualisation différents.
À l'expiration du temps restant, ce n'est pas la valeur "0" qui s'affiche mais le temps restant
encore disponible dans le dernier cycle.
Remarque
Un changement d'état Arrêt/Marche de la CPU F est nécessaire pour activer le mode de
sécurité.
Dans un système S7-1500HF redondant, vous devez faire passer les deux CPU HF ou le
système redondant S7-1500HF en STOP avant de redémarrer les CPU HF.
Un changement d'état Arrêt/Marche de la CPU F active toujours le mode de sécurité, et ce
même si le programme de sécurité a été modifié ou n'est pas cohérent.
La CPU F peut repasser à l'état Arrêt si vous avez modifié votre programme de sécurité mais
que vous ne l'avez pas recompilé et rechargé.
ATTENTION
Voir aussi
Configuration de la durée limitée du mode de sécurité désactivé (S7-1200, S7-1500)
(Page 337)
Introduction
La visualisation de variables du programme de sécurité est possible à tout moment.
Remarque
Le forçage de la périphérie F est possible uniquement à l'état Marche de la CPU F.
Il n'est pas possible de forcer une périphérie F configurée dont aucune valeur de voie ou état
de la valeur (S7-1200, S7-1500), ni aucune variable du DB de périphérie F correspondant
n'ont été utilisés dans le programme de sécurité. Vous devez donc toujours utiliser dans votre
programme de sécurité au moins une variable du DB de périphérie F correspondant ou au
moins une valeur de voie ou un état de la valeur (S7-1200, S7-1500) de la périphérie F à
forcer.
Pour les entrées (MIE), les tâches de forçage sont prioritaires par rapport à la sortie de valeur
de remplacement ; pour les sorties (MIS), la sortie de valeur de remplacement est prioritaire
par rapport aux tâches de forçage. Pour les sorties (voies) qui ne sont pas activées dans les
propriétés de la périphérie F, les tâches de forçage affectent la MIS uniquement et pas la
périphérie F.
Remarque
Pour les CPU F S7-1200/1500
Pour éviter des combinaisons invalides de valeur de voie et d'état de la valeur :
• En cas de forçage d'une valeur de voie à une valeur différente de la valeur de
remplacement "0", le système F met automatiquement l'état de la valeur correspondant à
"1".
• En cas de forçage d'un état de la valeur à "0", la valeur de remplacement "0" est
automatiquement transmise pour la valeur de voie correspondante.
ATTENTION
Vous devez réinitialiser de manière ciblée les tâches de forçage permanent dans la table de
visualisation en mode de sécurité désactivé.
Tenez compte du fait que les tâches de forçage permanent qui n'ont pas été correctement
réinitialisées peuvent encore être actives en arrière-plan après un changement d'état
STOP/RUN de la CPU F.
Comme la CPU F se retrouve en mode de sécurité après un changement d'état STOP/RUN,
ces tâches ne sont toutefois plus en vigueur et ne sont plus affichées dans la table de
visualisation.
Elles redeviennent cependant actives dès que vous désactivez à nouveau le mode de
sécurité.
Un effacement général de la CPU F garantit qu'une tâche de forçage permanent n'est pas
active en arrière-plan sur la CPU F. (S029)
Pour effectuer le test de câblage d'une sortie, modifiez la sortie en la forçant et contrôlez si
l'actionneur souhaité réagit.
Lors du test de câblage, veillez à ce que la CPU F exécute un programme de sécurité qui utilise
au moins une valeur de voie ou un état de la valeur (S7-1200, S7-1500) de la périphérie F à
visualiser ou à forcer ou une variable du DB de périphérie F correspondant.
Dans le cas d'une périphérie F pouvant également être mise en œuvre comme périphérie
standard (par exemple, modules de signaux de sécurité S7-300), vous pouvez également
effectuer le test de câblage des sorties par forçage à l'état Arrêt en exploitant la périphérie F
non pas en mode de sécurité mais comme périphérie standard.
Voir aussi
Modifier le programme de sécurité à l'état Marche (S7-300, S7-400) (Page 349)
Charger les données de projet (Page 300)
Heures d'actualisation
Tenez compte du fait que l'état des entrées (valeurs de voie ou état de la valeur
(S7-1200/1500)) que vous visualisez dans la table SIM dans S7-PLCSIM ne correspond à l'état
qui est traité dans le programme de sécurité que s'il n'y a pas de passivation de la périphérie F
correspondante.
En cas de passivation de la périphérie F, le programme de sécurité opère avec des valeurs de
remplacement (valeur de voie et état de la valeur (S7-1200/1500) = 0).
Tableau 10- 1 Structure de la zone de transfert pertinente pour les entrées et du mot de commande de simulation (instruc-
tion RCVDP)
Tableau 10- 2 Structure de la zone de transfert pertinente pour les entrées et du mot de commande de simulation (instruc-
tion SENDDP)
ATTENTION
Si, lors d'une communication CPU-CPU de sécurité avec Flexible F-Link, des données sont
émises d'une CPU F simulée avec S7-PLCSIM, vous ne pouvez plus être sûr que ces données
sont générées de manière sûre. Vous devez alors assurer la sécurité des parties de
l'installation affectées par les données envoyées en prenant des mesures organisationnelles
(Page 617) ou bien en fournissant dans la CPU F qui reçoit les données des valeurs de
remplacement de sécurité au lieu des données reçues par évaluation de SENDMODE*.
* SENDMODE est disponible comme variable dans le DB de communication F.
(S086)
Introduction
Vous apportez des modifications aux blocs F hors ligne dans l'éditeur de programme de la
même manière que dans le système standard. Vous chargez les blocs F modifiés à l'état
Marche dans la CPU F en mode de sécurité désactivé (Page 338).
Remarque
Reportez-vous à Créer des blocs F en CONT/LOG (Page 148) si vous ne souhaitez pas
modifier le programme de sécurité en cours de fonctionnement.
Remarque
Lors du chargement en mode de sécurité désactivé, vous pouvez uniquement charger des
blocs de sécurité que vous avez créés vous-même (Main Safety Blocks, FB F, FC F, DB F) ou
des blocs standard et les DB d'instance associés. La CPU F peut passer à l'arrêt ou le mode
de sécurité peut s'activer si vous chargez des blocs F ajoutés automatiquement (SB F ou
blocs F générés automatiquement et DB d'instance associés, DB global F).
Nous vous conseillons donc de ne sélectionner que des blocs F individuels lors du
chargement en mode de sécurité désactivé.
ATTENTION
(S7-300, S7-400) En mode production, l'accès avec le mot de passe de la CPU ne doit pas
être autorisé lors de modifications du programme utilisateur standard, car cela permettrait
également de modifier le programme de sécurité. Pour exclure ce risque, vous devez
configurer le niveau de protection "Write protection for fail-safe blocks" et définir un mot de
passe pour la CPU F. Si une seule personne est autorisée à modifier le programme utilisateur
standard et le programme de sécurité, il est nécessaire de configurer le niveau de protection
"Write protection" ou "Read/write protection" afin de restreindre ou d'interdire aux autres
personnes l'accès au programme utilisateur entier (programme standard et programme de
sécurité). (S001)
Introduction
Vous apportez des modifications aux blocs F hors ligne dans l'éditeur de programme de la
même manière que dans le système standard. Le chargement en RUN des blocs F modifiés
sur la CPU F s'effectue en mode de sécurité désactivé (Page 338) avec le mode Fast
Commissioning.
Le mode Fast Commissioning fait une distinction entre "Fast Compile" (paramétrage par
défaut) et "Consistent Compile".
Le mode Fast Commissioning avec "Fast Compile" peut être utilisé pour de petites
modifications logicielles du programme de sécurité, par exemple à des fins de test et de mise
en service. Il permet une compilation rapide, car seuls les blocs F créés par l'utilisateur y sont
compilés.
Le mode Fast Commissioning avec "Consistent Compile" peut quant à lui être utilisé par
exemple à la fin de la mise en service pour la compilation cohérente du programme de
sécurité et son chargement cohérent sur la CPU F. Vous renoncez alors à l'avantage d'une
compilation rapide, mais êtes en mesure, après le chargement dans la CPU F, de réactiver
immédiatement le mode de sécurité après un rapide passage de STOP à RUN.
Remarque
Ne commutez pas la CPU F en mode Fast Commissioning avec "Fast Compile" à l'état STOP.
Sinon, la CPU F ne redémarre pas car elle contient un programme de sécurité incohérent.
Solution :
• Chargez un programme de sécurité cohérent dans la CPU F puis effectuez un passage de
STOP à RUN. Le mode de sécurité désactivé prend alors fin.
• Si votre CPU F prend en charge "Consistent Compile", sélectionnez "Consistent Compile" et
effectuez un chargement cohérent dans la CPU F. Un passage de STOP à RUN est ensuite
possible.
Remarque
Le comportement du mode Fast Commissioning avec "Fast Compile" avec S7-PLCSIM est
différent de son comportement avec la CPU F réelle.
Une S7-PLCSIM redémarre après un STOP.
Conditions
Pour activer et utiliser le mode Fast Commissioning, les conditions suivantes doivent être
remplies :
• Vous pouvez utiliser le mode Fast Commissioning avec "Fast Compile" à partir de la version
V2.4 du système Safety. Pour les CPU F S7-1200, il est disponible à partir du firmware V4.5
et pour les CPU F S7-1500, à partir du firmware V2.0.
• Vous pouvez utiliser le mode Fast Commissioning avec "Consistent Compile" à partir de la
version V2.5 du système Safety. Il est uniquement disponible pour les CPU F S7-1500, à
partir du firmware V3.0. Pour le contrôleur logiciel S7-1500 F, il n'est disponible à partir de
la version V2.5 du système Safety que pour des IPC validés à partir du firmware V30.0.
Remarque
Contrôleur logiciel S7-1500 F
Les IPC validés sont indiqués dans le tableau dans l' information produit des CPU F
(https://support.industry.siemens.com/cs/ww/fr/view/109478599).
En cas d'utilisation d'IPC non validés, une erreur est signalée au redémarrage du
contrôleur logiciel F. Le téléchargement doit être recommencé ensuite à l'état STOP.
• L'option "Safety mode can be disabled" (le mode Safety peut être désactivé) doit être
activée dans la zone "Settings" (Paramètres) de l'éditeur Safety Administration Editor.
• Le programme de sécurité hors ligne doit être cohérent et identique au programme de
sécurité en ligne.
• Le CPU F est à l'état de fonctionnement Marche.
Remarque
Une fois le mode Fast Commissioning activé, toutes les sections sont grisées dans l'éditeur
Safety Administration Editor à l'exception de la section "General". Les accès en écriture ne
sont pas autorisés dans l'éditeur Safety Administration Editor même via Openness. L'accès en
lecture reste possible.
Pendant que le mode Fast Commissioning avec "Fast Compile" est activé, l'éditeur Safety
Administration Editor affiche pour l'état du programme de sécurité l'information "Mode Fast
Commissioning activé".
Aucune signature n'est calculée en mode Fast Commissioning avec "Fast Compile". C'est
pourquoi il n'est pas possible de se prononcer dans ce mode sur l'état du programme de
sécurité et des blocs F en ce qui concerne la comparaison hors ligne et en ligne. L'état des
comparaisons de signatures est représenté dans ce cas par l'icône .
Si au moins une ces 3 conditions n'est pas remplie, la boîte de dialogue "Chargement" indique
que le chargement en RUN n'est pas possible.
Remarque
Si la connexion entre la PG/le PC et la CPU F est coupée pendant le chargement à l'état
Marche, le chargement dans la CPU F ne peut pas s'achever correctement. Les informations
relatives au programme de sécurité affichées à l'écran ou dans le serveur Web de la CPU F ne
sont également plus à jour.
Un nouveau chargement à l'état Marche n'est alors plus possible même si toutes les
conditions pour le mode Fast Commissioning sont remplies.
Solution : Faites passer la CPU F à l'état Arrêt et chargez un programme de sécurité cohérent
dans la CPU F.
Remarque
Si l'utilisation de la mémoire de travail de la CPU F est > 80 %, il peut arriver que le
chargement en RUN avec "Consistent Compile" s'interrompe et que le chargement dans la
CPU F ne se termine pas correctement. Les indications concernant le programme de sécurité
sur l'écran et dans le serveur web de la CPU F ne sont alors plus actuelles.
Un chargement ultérieur en RUN n'est plus possible, bien que toutes les conditions pour le
mode Fast Commissioning soient remplies.
Solution : Commutez la CPU F en STOP et chargez un programme de sécurité cohérent dans la
CPU F.
Modifications non prises en charge dans le mode Fast Commissioning avec "Fast Compile"
Lorsque le mode Fast Commissioning avec "Fast Compile" est activé, vous ne pouvez pas
modifier votre programme de sécurité à volonté. Les modifications non prises en charge
sont décrites ci-après.
Remarque
Pour les modifications avec la mention "Erreur de compilation", la compilation du programme
de sécurité est interrompue en mode Fast Commissioning. Une remarque supplémentaire
s'affiche sous "Info > Compile" dans la fenêtre d'inspection et indique le bloc F où se trouve la
modification non prise en charge.
Remarque
Le tableau "Modifications non prises en charge dans le mode Fast Commissioning avec Fast
Compile" est indiqué à titre d'aide. De manière générale, des erreurs lors de la compilation qui
se réfèrent à des blocs que vous n'avez pas programmés vous-même signifient qu'une
modification non prise en charge a été effectuée. Annulez dans ce cas les modifications
précédentes ou terminez le mode Fast Commissioning et compilez l'ensemble du programme
de sécurité.
Remarque
La journalisation dans l'historique des modifications F est incomplète lorsque le mode Fast
Commissioning avec "Fast Compile" est activé, les entrées suivantes ne sont pas acquises :
• Signature globale F
• Horodatage de compilation
• Blocs F compilés avec signature et horodatage
Modifications non prises en charge dans le mode Fast Commissioning avec "Consistent Compile"
En mode Fast Commissioning avec "Consistent Compile", vous ne pouvez pas non plus
modifier votre programme de sécurité à volonté. Toutefois les modifications du programme
de sécurité possibles sont nettement plus nombreuses par rapport à "Fast Compile". Les
modifications non prises en charge sont décrites ci-après.
Remarque
Notez que les modifications décrites ici ne doivent pas être déjà présentes lors de l'activation
du mode Fast Commissioning avec "Consistent Compile". Assurez-vous que le programme de
sécurité hors ligne est cohérent et identique au programme de sécurité en ligne. Sinon, il se
peut que la CPU F bascule sur STOP.
Après une mise à niveau du projet, la fonction "Aller à" n'est plus disponible dans l'historique
des modifications F du projet pour les entrées qui ont été générées avant STEP 7 Safety
V15.1.
IMPORTANT
Le lien entre la CPU F et l'historique des modifications F associé est établi par le nom de
l'historique des modifications F.
C'est pourquoi vous ne devez pas renommer la CPU F et l'historique des modifications F. Si
vous renommez la CPU F ou l'historique des modifications F, un nouvel historique des
modifications F est commencé avec le nom actuel de la CPU F.
Remarque
Vous ne devez pas utiliser l'historique des modifications F pour détecter des modifications
dans le programme de sécurité/dans la configuration de la périphérie F lors de la réception
des modifications.
Procédez comme décrit sous Réception de modifications (Page 379) pour la réception des
modifications.
Remarque
Nous vous conseillons d'activer l'historique des modifications F avant de passer en mode
production.
Introduction
Lors de la réception de l'installation, toutes les normes et directives pertinentes spécifiques à
l'application (par exemple, PROFINET Installation Guidelines) doivent être respectées. Cela
s'applique également aux installations pour lesquelles la réception n'est pas obligatoire. Lors
de la réception, vous devez tenir compte des obligations figurant dans le rapport sur le
certificat (http://support.automation.siemens.com/WW/view/fr/49368678/134200).
La réception d'un système F est généralement réalisée par un expert indépendant.
L'indépendance requise de l'expert doit être définie dans le plan de sécurité Safety et dépend
du niveau PL/SIL exigé.
Tenez compte de tous les avertissements dans ce manuel.
ATTENTION
Impression de sécurité
L'impression de sécurité (Page 334) constitue la documentation du projet indispensable pour
la réception de l'installation.
Vérification/test fonctionnel
Vous testerez (Page 336) votre programme de sécurité et la configuration matérielle
correspondante dès la création. Vous devez exécuter ces tests relativement à la spécification
de vos fonctions de sécurité et les documenter avant de réceptionner l'installation.
Pour vous permettre de procéder à l'examen du code de votre programme de sécurité et de
documenter le code de programme réceptionné, le code source de tous les blocs F est
imprimé comme partie de l'impression de sécurité (Page 334) si vous avez sélectionné
l'option "Tout" lors de l'impression.
Si vous voulez effectuer un test fonctionnel après un chargement, vous devez procéder à une
identification du programme. Vous trouverez des informations supplémentaires sous
"Charger les données de projet (Page 300)".
Vous devez garantir le bon fonctionnement du programme de sécurité en vous conformant à
toutes les étapes sous "Vue d'ensemble de l'inspection de l'installation (Page 360)" avant de le
mettre en œuvre en production. En cas d'utilisation du contrôle de la configuration
(traitement des options), vous devez assurer le fonctionnement correct du programme de
sécurité pour toutes les options de station possibles par des tests fonctionnels appropriés. Il
est recommandé d'archiver les protocoles de test avec l'impression de sécurité et les
documents de réception.
Les indications de temps, par exemple les temps de surveillance (Page 602) et les temps de
retard, ne peuvent être vérifiées que de manière limitée avec des tests fonctionnels
(Page 300). Vous devez donc contrôler ces temps de façon ciblée, par exemple au moyen de
l'impression de sécurité, afin de déterminer s'ils sont dimensionnés correctement.
Certains de ces temps sont mentionnés spécifiquement dans l'impression de sécurité, par
exemple le temps de surveillance F (pour la communication entre la CPU F et la périphérie F)
et le temps de surveillance de la communication CPU-CPU de sécurité (TIMEOUT). Vous
disposez du fichier Excel de calcul des temps de réaction sur Internet
(https://support.industry.siemens.com/cs/ww/fr/view/109783831) pour déduire les temps de
surveillance dans des conditions normatives. Il faut en tenir compte tout comme des
conditions de l'application déterminées pratiquement. Tenez compte du fait que ces temps de
surveillance ont un impact sur les temps de réaction de vos fonctions de sécurité.
Introduction
Si vous avez une version de vos données de projet de sécurité qui est prête pour la réception,
vous devez effectuer et documenter des tests supplémentaires relatifs à l'impression de
sécurité pour prouver que celle-ci est complète et correspond au programme de sécurité à
approuver.
Introduction
STEP 7 Safety contient des instructions CONT/LOG pour la programmation de votre
programme de sécurité ainsi que des blocs système F pour la création d'un programme de
sécurité exécutable qui ont été créés et testés par SIEMENS et certifiés par le TÜV. Les blocs
système F utilisés sont automatiquement déterminés par le système F sur la base de la
version du système F paramétrée (voir sous Section "Settings" (Page 91)).
Pour vous permettre de vérifier si les instructions CONT/LOG et les blocs système F avec
versionnage utilisés correspondent à ceux à l'annexe 1 du rapport sur le certificat TÜV et aux
versions que vous avez prévues, ceux-ci sont énumérés dans l'impression de sécurité.
Procédure
Pour la vérification, téléchargez l'annexe 1 actuelle du rapport sur le certificat TÜV "SIMATIC
Safety" depuis Internet
(http://support.automation.siemens.com/WW/view/fr/49368678/134200).
ATTENTION
• (S7-1200, S7-1500) Les versions des instructions CONT/LOG avec versionnage
énumérées sous "System library elements used in safety program" dans l'impression de
sécurité doivent correspondre aux versions à l'annexe 1 du rapport sur le certificat TÜV.
• (S7-300, S7-400) Les versions, signatures et signatures de valeurs initiales des
instructions CONT/LOG et blocs système F avec versionnage énumérées sous "System
library elements used in safety program" dans l'impression de sécurité doivent
correspondre aux versions, signatures et signatures de valeurs initiales à l'annexe 1 du
rapport sur le certificat TÜV.
• Les versions des instructions CONT/LOG avec versionnage énumérées dans l'impression
de sécurité doivent remplir les exigences de sécurité de votre application.
Tenez compte des différences éventuelles dans les fonctionnalités des différentes
versions mentionnées dans le chapitre sur l'instruction correspondante.
• La version du système Safety (Safety system version) indiquée sous "Safety program
settings" dans l'impression de sécurité doit correspondre aux versions à l'annexe 1 du
rapport sur le certificat TÜV. (S054)
CPU F S7-300/400
• Signature et signature de valeur initiale du bloc F avec protection du know-how
• Versions de toutes les instructions CONT/LOG avec versionnage utilisées
• Signatures et signatures de valeur initiale de tous les blocs F appelés
• Signatures de tous les DB F auxquels le bloc F à réutiliser accède
Lors de la réception de votre installation, vous devez procéder aux vérifications suivantes à
l'aide de l'impression de sécurité :
• La signature et la signature de valeur initiale de chaque bloc F avec protection du know-
how énumérées sous "F-blocks in safety program" dans l'impression de sécurité doivent
correspondre à la signature et à la signature de valeur initiale documentées par l'auteur.
• Les versions des instructions CONT/LOG avec versionnage énumérées sous "System library
elements used in safety program" dans l'impression de sécurité doivent correspondre aux
versions de chaque bloc F avec protection du know-how documentées par l'auteur ou leur
être fonctionnellement identiques.
• Les signatures et signatures de valeur initiale des blocs F appelés dans chaque bloc F avec
protection du know-how énumérées sous "F-blocks in safety program" dans l'impression
de sécurité doivent correspondre aux signatures et signatures de valeur initiale (des blocs
F appelés) documentées par l'auteur.
En cas de différences, paramétrez les versions documentées (ou fonctionnellement
identiques) et utilisez les blocs F avec les signatures et signatures de valeur initiale
documentées. S'il n'est pas possible d'éliminer les conflits de version en raison d'autres
interactions, adressez-vous à l'auteur du bloc F avec protection du know-how pour obtenir
une version acceptée compatible.
CPU F S7-1200/1500
• Signature du bloc F avec protection du know-how
• Version du système Safety paramétrée lors de la configuration de la protection du know-
how
• Versions de toutes les instructions CONT/LOG avec versionnage utilisées
• Signatures de tous les FB F/FC F appelés dans le bloc F avec protection du know how
• Signatures de tous les DB F auxquels le bloc F avec protection du know-how accède
Lors de la réception de votre installation, vous devez procéder aux vérifications suivantes à
l'aide de l'impression de sécurité :
• La signature de chaque bloc F avec protection du know-how énumérée sous "Know-how
protected F-blocks in the safety program" dans l'impression de sécurité doit correspondre
à la signature documentée par l'auteur.
• La version du système Safety de chaque bloc F avec protection du know-how indiquée
sous "Know-how protected F-blocks in the safety program" dans l'impression de sécurité
doit correspondre à l'une des versions énumérées à l'annexe 1 du rapport sur le certificat
TÜV.
• Les versions des instructions CONT/LOG avec versionnage de chaque bloc F avec
protection du know-how énumérées sous "Know-how protected F-blocks in the safety
program" dans l'impression de sécurité doivent correspondre aux versions documentées
par l'auteur ou leur être fonctionnellement identiques.
• Les signatures des blocs F appelés dans chaque bloc F avec protection du know-how
énumérées sous "Know-how protected F-blocks in the safety program" dans l'impression
de sécurité doivent correspondre aux signatures (des blocs F appelés) documentées par
l'auteur.
Introduction
La configuration matérielle est une composante essentielle du projet à réceptionner. Avec la
configuration matérielle, vous avez effectué des paramétrages qui peuvent influencer la
sécurité des signaux. Vous devez documenter ces paramétrages avec l'impression de sécurité
pour prouver que les exigences de sécurité de votre application sont satisfaites.
Vous disposez pour cela de la section "Hardware configuration of F-I/O" dans l'impression de
sécurité. Cette section est constituée de plusieurs tableaux :
• Un tableau avec des informations sur la CPU F et sur les plages des adresses cible F
utilisées et de l'adresse source F centralisée (Central F-source address) de la CPU F
• Tableaux récapitulatifs de la périphérie F utilisée.
• Un tableau par périphérie F avec des informations sur la périphérie F et tous les
paramètres de la périphérie F avec des valeurs configurées
Comme la gestion des utilisateurs du serveur Web fait également partie de la configuration
matérielle, il faut vérifier l'attribution du droit "F-admin". Vous pouvez vérifier l'attribution du
droit "F-admin" uniquement dans la section "Web server F-admins" de l'éditeur Safety
Administration Editor.
Remarque
Notez que la périphérie F que vous adressez via la communication esclave I-esclave de
sécurité se trouve dans l'impression de sécurité de la CPU F de l'esclave I et non dans celle de
la CPU F du maître DP affecté.
L'impression de sécurité de la CPU F du maître DP contient une remarque pour cette
périphérie F dans le tableau récapitulatif indiquant que la périphérie F n'est pas affectée à
cette CPU F.
Remarque
En cas d'utilisation de shared devices :
La périphérie F que vous adressez dans un shared device se trouve dans l'impression de
sécurité de la CPU F du contrôleur IO auquel elle est affectée.
L'impression de sécurité des CPU F des autres contrôleurs IO entre lesquels le shared device
est partagé contient une remarque pour cette périphérie F dans le tableau récapitulatif
indiquant que la périphérie F n'est pas affectée à cette CPU F.
Remarque
En cas d'utilisation du contrôle de la configuration (traitement des options), l'impression de
sécurité doit inclure toutes les périphéries F de la configuration maximale. Les vérifications
suivantes doivent être effectuées pour toutes les périphéries F de la configuration maximale.
Procédure pour vérifier que la configuration matérielle est correcte à l'aide de l'impression de
sécurité
Procédez comme suit pour vérifier que la configuration matérielle est correcte :
1. Vérifiez l'unicité des adresses PROFIsafe dans la section "Hardware configuration of F-I/O".
Pour cela, reportez-vous aux chapitres Adresses PROFIsafe pour la périphérie F de type
d'adresse PROFIsafe 1 (Page 67) ou Adresses PROFIsafe pour la périphérie F de type
d'adresse PROFIsafe 2 (Page 69), Particularités lors de la configuration d'appareils DP
normalisés de sécurité et de périphériques IO normalisés de sécurité (Page 77) et
Recommandation relative à l'affectation des adresses PROFIsafe (Page 64).
– Vérifiez si les paramètres "Central F-source address" des différentes CPU F diffèrent à
l'échelle du réseau. Vous n'avez pas besoin de tenir compte lors de cette vérification
des CPU F auxquelles sont uniquement affectées des périphéries F de type d'adresse
PROFIsafe 1.
– Pour la périphérie F de type d'adresse PROFIsafe 1, vérifiez si les adresses cible F sont
conformes à l'avertissement suivant :
ATTENTION
Remarque
Pour plus d'informations sur l'attribution d'adresses PROFIsafe uniques à l'échelle de la
CPU et du réseau, consultez cette FAQ
(https://support.industry.siemens.com/cs/ww/fr/view/109740240).
– Pour la périphérie F de type d'adresse PROFIsafe 2, vérifiez si les adresses cible F sont
conformes à l'avertissement suivant :
ATTENTION
Remarque
Pour plus d'informations sur l'attribution d'adresses PROFIsafe uniques à l'échelle de la
CPU et du réseau, consultez cette FAQ
(https://support.industry.siemens.com/cs/ww/fr/view/109740240).
ATTENTION
Remarque
Il est possible de copier lors de la configuration les périphéries F censées avoir les mêmes
paramètres de sécurité – à l'exception des adresses PROFIsafe. Pour ces périphéries, il n'est
pas nécessaire de vérifier les paramètres de sécurité individuellement – à l'exception des
adresses PROFIsafe. Il suffit de comparer la signature de paramètre F (sans adresses)
(F-parameter signature (without addresses)) dans le tableau récapitulatif de la section
"Hardware configuration of F-I/O". Cela s'applique également aux appareils
DP/périphériques IO normalisés de sécurité sans paramètres i. Pour les appareils
DP/périphériques IO normalisés avec paramètres i, il est possible que la signature de
paramètre F (sans adresses) ne concorde pas bien que tous les paramètres de sécurité
coïncident à l'exception des adresses PROFIsafe. Dans ce cas, vous devez comparer tous
les paramètres de sécurité.
Exception :
Pour les périphéries F ne prenant pas en charge le profil "RIOforFA-Safety", vous devez le
cas échéant comparer le paramètre de comportement après erreur de voie "Behavior after
channel fault" en plus de la signature de paramètre F (sans adresses).
4. Reportez-vous à Configurations prises en charge par le système F SIMATIC Safety (Page 65)
pour les configurations non prises en charge.
ATTENTION
Tenez compte des points suivants si vous utilisez des configurations qui ne font pas
partie des configurations prises en charge :
• Assurez-vous que la périphérie F de cette configuration apparaît dans l'impression de
sécurité et qu'un DB de périphérie F a été créé pour celle-ci. Sinon, vous ne pourrez
pas utiliser la périphérie F dans cette configuration (adressez-vous à l'assistance
client).
• Vous devez vérifier la correction du paramètre du mode de fonctionnement PROFIsafe
(F_Par_Version) au moyen de l'impression de sécurité pour la périphérie F dans
l'environnement PROFINET IO**. Le mode V2 doit être paramétré dans
l'environnement PROFINET IO. Une périphérie F qui prend uniquement en charge le
mode V1 ne doit pas être utilisée dans l'environnement PROFINET IO.
• Vous devez vous assurer que l'attribution de l'adresse PROFIsafe est unique à l'échelle
de la CPU*/**** et du réseau*** :
– Vérifiez la correction des adresses PROFIsafe au moyen de l'impression de sécurité.
– Pour la périphérie F de type d'adresse PROFIsafe 2, vérifiez au moyen de
l'impression de sécurité que l'adresse source F correspond au paramètre "Central
F-source address" de la CPU F.
– Pour la périphérie F de type d'adresse PROFIsafe 1 ou si vous ne pouvez pas définir
l'adresse source F en accord avec le paramètre "Central F-source address" de la
CPU F, vous devez assurer l'unicité de l'adresse PROFIsafe seulement par
l'affectation d'une adresse cible F unique.
Dans une configuration non prise en charge, vous devez vérifier l'unicité de l'adresse
cible F de chaque périphérie F au moyen de l'impression de sécurité.
(S050)
* "À l'échelle de la CPU" signifie toutes les périphéries F affectées à une CPU F : périphérie
F centralisée de cette CPU F, périphérie F pour laquelle la CPU F est maître DP/contrôleur
IO, ainsi que périphérie F affectée dans un shared device. La périphérie F adressée via la
communication esclave I-esclave est affectée à la CPU F de l'esclave I et non à la CPU F du
maître DP/contrôleur IO.
** La périphérie F se trouve "dans l'environnement PROFINET IO" lorsqu'au moins une
partie de la communication de sécurité vers la CPU F se fait via PROFINET IO. Si la
périphérie F est connectée par communication esclave I-esclave, il faut également
considérer la ligne de communication vers le maître DP/le contrôleur IO.
*** Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau"
signifie par-delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les
abonnés accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les
abonnés accessibles via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas
échéant, via RT_Class_UDP (IP, couche 3).
**** Dans un système S7-1500HF redondant, les deux CPU F du système S7-1500HF
redondant sont à considérer comme une CPU F en ce qui concerne les adresses PROFIsafe.
Le système configure donc l'adresse source F centralisée (Central F-source address) de
manière identique pour les deux CPU F.
Remarque
Pour plus d'informations sur l'attribution d'adresses PROFIsafe uniques à l'échelle de la CPU
et du réseau, consultez cette FAQ
(https://support.industry.siemens.com/cs/ww/fr/view/109740240).
5. Vérifiez que seules des personnes habilitées ont le droit "F-admin" dans l'éditeur Safety
Administration Editor ou dans l'impression standard des données de projet.
ATTENTION
L'autorisation "F-admin" pour le serveur Web sans protection par mot de passe
(utilisateur "Everybody") est uniquement prévue aux fins de test, mise en service, etc.,
c'est-à-dire uniquement lorsque l'installation n'est pas en mode production. Dans ce cas,
vous devez assurer la sécurité de l'installation par d'autres mesures organisationnelles
(Page 617).
Avant le passage en mode production, vous devez révoquer le droit "F-admin" pour
l'utilisateur "Everybody".
Le mot de passe de l'utilisateur du serveur Web avec le droit "F-admin" ne doit être
accessible qu'aux personnes habilitées. Après le chargement de la configuration
matérielle, vérifiez que seuls les utilisateurs habilités du serveur Web disposent du droit
"F-admin" sur la CPU F. Utilisez pour cela le mode en ligne de l'éditeur Safety
Administration Editor.
L'enregistrement du fichier de connexion ainsi que du mot de passe du serveur Web dans
le navigateur n'est autorisé que si d'autres mesures organisationnelles (Page 617)
empêchent une utilisation par des personnes non autorisées.
Si vous utilisez le mécanisme de ticket, vous devez gérer les tickets de manière aussi
restrictive que le mot de passe de l'utilisateur du serveur Web doté du droit "F-admin".
(S064)
Voir aussi
Section "Web server F-admins" (S7-1200, S7-1500) (Page 90)
Introduction
La communication de sécurité est basée sur les mécanismes de la communication standard
de STEP 7.
Les liaisons de communication de sécurité entre les CPU F sont en outre sécurisées afin que
les erreurs qui ne sont pas détectées par la communication standard soient identifiées. Cette
protection requiert des paramètres supplémentaires que vous devez documenter et contrôler
lors de la réception.
Remarque
Les informations dans cette section concernant la communication via Flexible F-Link sont
également valables lorsque cette communication est utilisée entre des groupes d'exécution F.
ATTENTION
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les abonnés
accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les abonnés accessibles
via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas échéant, via RT_Class_UDP
(IP, couche 3).
ATTENTION
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les abonnés
accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les abonnés accessibles
via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas échéant, via RT_Class_UDP
(IP, couche 3).
** S7-1200/1500 : À partir de la version V3.0 des instructions SENDDP et RCVDP, aucune
communication n'est établie si l'ID de communication F à l'entrée DP_DP_ID est égale à "0".
*** S7-1200/1500 : À partir de la version V3.0 des instructions SENDDP et RCVDP, vous
pouvez également affecter à l'entrée DP_DP_ID des valeurs variables provenant d'un DB F
global. Dans ce cas également, vous devez contrôler lors de la réception du programme de
sécurité que l'unicité est garantie à tout moment en vérifiant l'algorithme de génération de la
valeur variable en conséquence. Si vous ne pouvez pas garantir une ID de communication F
unique au démarrage du programme de sécurité, car elle n'est définie qu'après le démarrage
du programme de sécurité, vous devez veiller à ce que la valeur à l'entrée DP_DP_ID soit égale
à "0" dans cette phase.
**** Dans un système S7-1500HF redondant, les deux CPU F du système S7-1500HF
redondant sont à considérer comme une CPU F en ce qui concerne DP_DP_ID.
Tenez compte des avertissements suivants pour la communication via Flexible F-Link :
ATTENTION
Lors de la création d'une nouvelle communication avec Flexible F-Link dans l'éditeur Safety
Administration Editor, une UUID de communication F unique est fournie par le système pour
la communication. Les UUID de communication F ne sont pas à nouveau générées lors de la
copie de communications dans l'éditeur Safety Administration Editor à l'intérieur de la table
de paramétrage ou lors de la copie dans une autre CPU F et elles ne sont donc plus uniques.
Si une nouvelle relation de communication est créée par copie, vous devez veiller vous-
même à l'unicité des UUID de communication. Sélectionnez pour cela les UUID concernées
et générez-les à nouveau avec la commande "Generate UUID" du menu contextuel. L'unicité
doit être vérifiée dans l'impression du programme de sécurité lors de la réception. (S087)
ATTENTION
Lors de la réception, vérifiez à l'aide de l'impression de sécurité que les décalages de tous les
éléments des types de données API conformes F (UDT) correspondent pour les données
d'émission et de réception à l'intérieur du télégramme de sécurité. À cet effet, tous les
membres et toutes les adresses sont listés par UDT dans l'impression de sécurité. (S088)
ATTENTION
Dans le cas d'un système S7-1500HF redondant, vous devez effectuer le contrôle de
l'identité du programme en ligne et hors ligne dans l'état RUN-Redundant. Il suffit
d'effectuer le contrôle pour une CPU S7-1500 HF. (S098)
1. Connectez-vous en ligne à la CPU F. Si plusieurs CPU F sont accessibles via un réseau (par
exemple, Industrial Ethernet) à partir de la PG/du PC, vous devez vous assurer que vous êtes
connecté à la bonne CPU F, par exemple avec "En ligne & diagnostic" > "Accès en ligne" >
"Clignotement LED".
2. Ouvrez l'éditeur Safety Administration Editor.
3. Vérifiez que les signatures globales F en ligne et hors ligne correspondent avec la signature
globale F de l'impression de sécurité.
4. Puis vérifiez si les programmes de sécurité en ligne et hors ligne sont cohérents sous "Safety
program status" dans la section "General".
Vérifiez quelle est la situation en utilisant les informations "Status" et "Version comparison"
et mettez en œuvre la mesure proposée le cas échéant :
Tenez compte du fait que seule la comparaison des modifications prouve de manière fiable
que les programmes de sécurité sont identiques. L'affichage des signatures permet
uniquement la détection rapide de modifications.
Introduction
Vous devez encore vérifier quelques autres propriétés qui sont également pertinentes pour la
réception du projet.
Appel multiple d'un FB F ou d'une instruction avec la même instance (instance individuelle ou
multi-instance)
Vérifiez que vous avez utilisé une instance propre pour chaque appel d'un FB F ou d'une
instruction.
Les appels multiples avec la même instance ne sont généralement pas utiles ou demandent
une attention particulière :
Si, par exemple, vous transmettez explicitement un opérande (p. ex. comme constante) lors
du 1er appel de l'instance et qu'il n'y a pas de transmission explicite lors du 2e appel (de sorte
que la valeur initiale est valable), vous devez vous assurer de la valeur qui sera valable pour
cet opérande lors du 2e appel. Tenez également compte des comportements de démarrage,
des OB de priorité plus élevée ou autres, dans lesquels le 1er appel peut être présent.
Protection d'accès
Vérifiez sous "Access protection" dans la section "General information" que le paramétrage
pour la protection d'accès est autorisé. Tenez compte de l'avertissement suivant.
Si ce n'est pas le cas, la réception du projet n'est pas possible, car le programme de sécurité
dans la CPU F ne serait pas protégé contre les accès non autorisés.
ATTENTION
(S7-300, S7-400) En mode production, l'accès avec le mot de passe de la CPU ne doit pas
être autorisé lors de modifications du programme utilisateur standard, car cela permettrait
également de modifier le programme de sécurité. Pour exclure ce risque, vous devez
configurer le niveau de protection "Write protection for fail-safe blocks" et définir un mot de
passe pour la CPU F. Si une seule personne est autorisée à modifier le programme utilisateur
standard et le programme de sécurité, il est nécessaire de configurer le niveau de protection
"Write protection" ou "Read/write protection" afin de restreindre ou d'interdire aux autres
personnes l'accès au programme utilisateur entier (programme standard et programme de
sécurité). (S001)
ATTENTION
(S7-1200, S7-1500) En mode production, les données du projet de sécurité doivent être
protégées par un mot de passe. Pour cela, configurez au moins le niveau de protection "Full
access (no protection)" et définissez un mot de passe sous "Full access incl. fail-safe (no
protection)". Ce niveau de protection permet l'accès complet uniquement au programme
utilisateur standard et pas aux blocs F.
Si vous sélectionnez un niveau de protection supérieur, par exemple pour protéger le
programme utilisateur standard, vous devez définir un mot de passe supplémentaire pour
"Full access (no protection)".
Attribuez des mots de passe différents aux différents niveaux de protection. (S041)
Introduction
En règle générale, vous pouvez procéder pour la réception de modifications exactement
comme pour la réception initiale de l'installation (voir Vue d'ensemble de l'inspection de
l'installation (Page 360)).
Vous devez vérifier si des modifications ont été apportées à l'ensemble des données de projet
de sécurité (programme de sécurité et configuration matérielle de sécurité) et déterminer les
données de projet de sécurité à valider et à approuver dans le cadre d'une analyse d'impact.
ATTENTION
Lors d'une réception de modifications, vous devez vérifier que les modifications prévues ont
été effectuées correctement et complètement.
Vous devez également contrôler qu'aucune modification involontaire n'a été introduite à un
autre endroit (une périphérie F ou des instructions ont été ajoutées, par exemple). (S072)
Pour éviter une nouvelle réception de l'installation entière en cas de modifications minimes,
STEP 7 Safety vous aide à identifier les parties de votre programme de sécurité qui ont
changé.
Procédez comme suit pour la réception des modifications :
1. Localisez les modifications dans les données de projet relatives à la sécurité :
– Blocs F modifiés ou nouvellement ajoutés
– Instructions et blocs système F modifiés ou nouvellement ajoutés
– Paramètres de sécurité de la périphérie F modifiée ou nouvellement ajoutée
– Structure de la configuration matérielle de sécurité (par exemple, position des
emplacements ou adresses de début des périphéries F)
– Communication de sécurité via Flexible F-Link modifiée
2. Déduisez de ces modifications les données de projet de sécurité affectées (analyse d'impact).
Il peut également s'agir de données de projet relatives à la sécurité qui n'ont pas elles-
mêmes changé.
3. Procédez ensuite à une validation et à une réception des données de projet de sécurité
concernées par les modifications.
Remarque
Une réception des modifications n'est pas possible après la migration de la CPU.
ATTENTION
Vous devez effectuer un test de câblage (Page 341) si vous apportez des modifications qui
peuvent changer l'affectation des adresses d'entrée/sortie et du câblage.
Il peut s'agir des modifications suivantes :
• Ajout de périphéries F
• Modification de l'adresse de début de périphéries F
• Modification de l'emplacement d'enfichage de périphéries F
• Modification
– du châssis
– de l'adresse de l'appareil/du périphérique
– du sous-réseau PROFIBUS DP/PROFINET IO
– de l'adresse IP
– du nom de périphérique
(S071)
Pour localiser des modifications dans le programme de sécurité, procédez à une comparaison
hors ligne/hors ligne entre le programme de sécurité à réceptionner du projet à réceptionner
et le programme de sécurité du projet de référence (voir Comparaison de programmes de
sécurité (Page 331)). Utilisez la définition de filtre "Compare only F-blocks relevant for
certification". Vous limitez ainsi le résultat de la comparaison aux blocs F pertinents.
ATTENTION
Veillez à ce que le critère de comparaison "Safety" soit activé afin que les critères pertinents
pour une réception des modifications soient pris en compte dans la comparaison. (S069)
La désactivation des critères de comparaison restants permet d'exclure les différences qui ne
sont pas pertinentes pour la réception des modifications (les horodatages, par exemple).
Vous identifiez les blocs F qui ont été modifiés grâce à l'état de la comparaison.
(S7-1200, S7-1500) Au lieu de la comparaison hors ligne/hors ligne, vous pouvez utiliser la
comparaison des signatures de groupe pour localiser les modifications dans le programme de
sécurité. Utilisez pour cela les impressions de sécurité du projet de référence et du projet à
réceptionner. Des groupes à la signature inchangée indiquent qu'aucun des blocs F dans ces
groupes ou leurs sous-groupes n'a été modifié. Dans les groupes avec une signature de
groupe modifiée, vous pouvez localiser les blocs F modifiés grâce à leur signature de bloc
modifiée. Notez que l'affectation de blocs F à des groupes n'est pas enregistrée par la
signature globale F.
Vous avez deux méthodes pour localiser les modifications de sécurité dans la configuration
matérielle de sécurité :
• Localisation par comparaison hors ligne/hors ligne
• Localisation par comparaison de deux impressions de sécurité
La suite décrit comment procéder.
(S7-1200, S7-1500) Détecter des modifications dans la communication avec Flexible F-Link
Une méthode rapide pour détecter des modifications dans la configuration de la
communication avec Flexible F-Link consiste à comparer la signature d'adresse de
communication F des données de projet de sécurité dans le projet de référence à la signature
d'adresse de communication F des données de projet de sécurité dans le projet à
réceptionner. Le fait qu'elles soient différentes signifie que la configuration de la
communication avec Flexible F-Link (UUID uniquement) comporte des modifications qui
doivent être validées et réceptionnées si nécessaire. D'autres paramètres de communication,
par exemple le dépassement de délai ou le sens de transmission, sont couverts par la
signature globale SW F (voir "Localisation de modifications dans le programme de sécurité"
plus haut).
Pour localiser des modifications dans la configuration de la communication avec Flexible
F-Link, comparez le tableau "Communications via Flexible F-Link Overview" du projet de
référence à celui du projet à réceptionner dans l'impression de sécurité respective.
Voir aussi
Accéder aux variables du DB de périphérie F (Page 171)
Remarque
La réinitialisation des DB F aux valeurs initiales de la mémoire de chargement entraîne
également :
• la réinitialisation d'informations d'erreur éventuellement mémorisées
• la réinitialisation de mémentos de front dans les instructions ou les FB F avec évaluation
de front (p. ex. l'instruction TON), de sorte que pour un signal qui a déjà l'état "TRUE" dans
le 1er cycle d'un groupe d'exécution F, un front positif est immédiatement détecté lors de
l'interrogation du front positif du signal.
Introduction
Tenez compte des remarques importantes suivantes pour le mode de sécurité du programme
de sécurité.
ATTENTION
Utilisation d'appareils / de programmes de simulation dans les installations
Si vous utilisez des appareils / programmes de simulation qui génèrent des télégrammes de
sécurité, conformément à PROFIsafe par exemple, et les mettent à la disposition du système
F SIMATIC Safety via le système de bus (par exemple, PROFIBUS DP ou PROFINET IO), vous
devez garantir la sécurité de l'installation par des mesures organisationnelles (Page 617).
Notez, par exemple, qu'un analyseur de protocole n'est pas autorisé à exécuter une fonction
qui reproduit des séquences de télégrammes enregistrées avec un comportement temporel
correct.
• Version S7-PLCSIM < 15.1 ou version S7-PLCSIM Advanced < 2.0 SP1 et version du
système Safety < V2.2
Si vous utilisez S7-PLCSIM (Page 336) pour la simulation de programmes de sécurité, les
mesures indiquées plus haut ne sont pas nécessaires, car S7-PLCSIM ne peut pas établir
de liaison en ligne avec un composant réel.
• Version S7-PLCSIM ≥ 15.1 ou version S7-PLCSIM Advanced ≥ 2.0 SP1 ou version du
système Safety ≥ V2.2
Vous devez assurer la sécurité de l'installation par des mesures organisationnelles.
Le chargement dans S7-PLCSIM des données de projet de sécurité avec une version du
système Safety supérieure ou égale à V2.2 n'est autorisé qu'à partir de S7-PLCSIM V15.1
ou de S7-PLCSIM Advanced V2.0 SP1.
(S030)
Remarque
Le programme de sécurité passe à l'état Arrêt pour une version de S7-PLCSIM antérieure à
V15.1 ou de S7-PLCSIM Advanced antérieure à V2.0 SP1 et une version du système Safety
supérieure ou égale à V2.2. La cause de l'événement de diagnostic est inscrite dans le tampon
de diagnostic de la CPU F.
ATTENTION
STOP par action sur la PG/le PC, sélecteur de mode, fonction de communication ou
instruction "STP", par exemple
La commutation sur l'état STOP au moyen d'une action sur la PG/le PC, du sélecteur de
mode, d'une fonction de communication ou de l'instruction "STP", par exemple, ainsi que le
maintien à l'état STOP ne sont pas des fonctions de sécurité. Cet état STOP peut très
facilement (même involontairement) être annulé par une action sur la PG/le PC, par
exemple.
Lors du changement d'état STOP/RUN d'une CPU F, le programme utilisateur standard
démarre comme à l'accoutumée. Lors du démarrage du programme de sécurité, tous les
contenus des DB F sont réinitialisés à leur valeur initiale de la mémoire de chargement. Les
informations d'erreur mémorisées sont donc perdues. Le système F procède à une
réintégration automatique de la périphérie F.
Si le processus n'autorise pas un tel démarrage, il faut inclure une protection contre le
(re)démarrage dans le programme de sécurité. La sortie des valeurs de processus doit être
bloquée jusqu'à l'acquittement par l'utilisateur (voir "Réalisation d'un acquittement
utilisateur"). Cet acquittement utilisateur ne doit avoir lieu que lorsque la sortie des valeurs
de processus est possible sans danger et que les erreurs ont été corrigées (voir Programmer
une protection contre le démarrage (Page 154)). (S031)
Remarque
Erreur de CRC dans l'accès à la périphérie F ou la communication de sécurité
Si vous constatez qu'un acquittement manuel est demandé en raison d'une erreur de CRC
plus d'une fois toutes les 100 heures et que ce problème est récurrent, vérifiez si les directives
d'installation pour la topologie de réseau utilisée ont bien été respectées.
Vous êtes en présence d'erreurs de CRC dans les cas suivants :
• En cas d'accès à la périphérie F, la variable ACK_REQ du DB de périphérie F est à 1 et la
variable DIAG du DB de périphérie F signale des erreurs de CRC via le bit 2 ou 6.
• Pour la communication de sécurité avec les instructions SENDDP/RCVDP, la sortie ACK_REQ
de l'instruction RCVDP est à 1 et la sortie DIAG de l'instruction SENDDP/RCVDP signale des
erreurs de CRC via le bit 6.
• Pour la communication de sécurité avec les instructions SENDS7/RCVS7, la sortie ACK_REQ
de l'instruction RCVS7 est à 1 et la sortie DIAG de l'instruction SENDS7/RCVS7 signale des
erreurs de CRC via le bit 6.
• Pour la communication avec Flexible F-Link, la variable ACK_REQ du DB de communication
F pour la réception est à 1 et la variable DIAG du DB de communication F pour l'émission/la
réception signale des erreurs de CRC via le bit 6.
ou
• Une erreur de CRC est inscrite dans le tampon de diagnostic de la CPU F.
Dans ce cas, les valeurs de probabilité de défaillance
(https://support.industry.siemens.com/cs/ww/fr/view/109481784) (PFDavg/PFH) pour la
communication de sécurité ne sont plus valables.
Vous trouverez des informations sur les directives d’installation pour PROFINET et PROFIBUS
sous :
• PROFIBUS Installation Guidelines (www.profibus.com/PBInstallationGuide)
• PROFIBUS Interconnection Technology
(http://www.profibus.com/nc/downloads/downloads/profibus-interconnection-
technology/display/)
• PROFINET Installation Guidelines (www.profibus.com/PNInstallationGuide)
• PROFINET Cabling and Interconnection Technology
(http://www.profibus.com/nc/downloads/downloads/profinet-cabling-and-
interconnection-technology/display/)
• PROFIsafe Environment Requirements (www.profibus.com/PROFIsafeRequirements)
Si vos contrôles vous ont permis de conclure que les directives d’installation pour PROFINET et
PROFIBUS ont été respectées, contactez l'assistance technique.
Introduction
Procédez comme dans le système standard. Tenez également compte des paragraphes
suivants.
ATTENTION
Si vous remplacez une CPU F dans un système S7-1500HF redondant (par exemple, en
raison d'une défaillance de la CPU, d'un défaut, etc.), vous devez mettre la CPU F de
remplacement en service avec la carte mémoire SIMATIC de la CPU F précédente ou avec
une carte mémoire SIMATIC vide. Cela garantit que, une fois la synchronisation SYNCUP de
la CPU F de remplacement effectuée, seul le programme de sécurité actuel est exécuté.
(S094)
ATTENTION
Pour plus d'informations sur les conditions d'utilisation des CPU F, voir PI CPU F
(https://support.industry.siemens.com/cs/ww/fr/view/109478599) et PI de PFDavg, valeurs
PFH (https://support.industry.siemens.com/cs/ww/fr/view/109481784).
Introduction
Vous trouverez ici une compilation des possibilités de diagnostic que vous pouvez évaluer
pour votre système F en cas d'erreur. La plupart des possibilités de diagnostic sont identiques
à celles des systèmes d'automatisation standard. La séquence des étapes est donnée à titre de
recommandation.
Remarque
La connexion de l'entrée de validation EN ou de la sortie de validation ENO n'est pas possible.
Exception :
(S7-1200, S7-1500) Vous pouvez programmer une détection de débordement pour les
instructions suivantes en connectant la sortie de validation ENO :
• ADD : Addition (STEP 7 Safety V18) (Page 518)
• SUB : Soustraction (STEP 7 Safety V18) (Page 522)
• MUL : Multiplication (STEP 7 Safety V18) (Page 525)
• DIV : Division (STEP 7 Safety V18) (Page 528)
• NEG : Créer le complément à 2 (STEP 7 Safety V18) (Page 531)
• ABS : Valeur absolue (STEP 7 Safety V18) (S7-1200, S7-1500) (Page 535)
• CONVERT : Convertir valeur (STEP 7 Safety V18) (Page 546)
13.1 Générales
13.1.1 CONT
Condition
Un bloc F est ouvert.
Procédure
Procédez comme suit pour insérer un nouveau réseau :
1. Sélectionnez le réseau après lequel vous voulez insérer un nouveau réseau.
2. Choisissez la commande "Insérer réseau" dans le menu contextuel.
Remarque
Si vous ajoutez un élément dans le dernier réseau encore vide du bloc F dans un programme
CONT, un nouveau réseau vide est automatiquement créé à la suite.
Résultat
Un nouveau réseau vide est inséré dans le bloc F.
Condition
Un réseau existe.
Procédure
Procédez comme suit pour insérer une instruction CONT dans un réseau à l'aide d'une boîte
vide :
1. Ouvrez la Task Card "Instructions".
2. Naviguez jusqu'à "Instructions de base > Général > Boîte vide".
3. Faites glisser l'élément "Boîte vide" à l'endroit voulu dans le réseau.
4. Déplacez le pointeur de la souris au-dessus du triangle jaune situé dans le coin supérieur
droit de la boîte vide.
Une liste déroulante s'ouvre.
5. Sélectionnez l'instruction souhaitée dans la liste déroulante.
Si l'instruction concernée est, en interne, un bloc fonctionnel (FB), la boîte de dialogue
'"Options d'appel" s'ouvre. Dans cette boîte, vous pouvez créer pour le bloc fonctionnel un
bloc de données d'instance comme instance unique ou comme multi-instance, le cas
échéant, dans lequel les données de l'instruction insérée seront enregistrées. Après sa
création, vous trouverez le nouveau bloc de données d'instance sous "Blocs de programme >
Blocs système" dans le dossier "Ressources programme" dans le navigateur de projet. Si vous
avez sélectionné "Multi-instance", vous trouverez celle-ci dans la section "Static" de l'interface
de bloc.
Résultat
La boîte vide est changée en l'instruction correspondante. Des emplacements réservés sont
ménagés pour les paramètres.
Description
Pour programmer des montages en parallèle en langage CONT (schéma à contacts), vous
utilisez des branches. Les branches sont insérées dans le circuit principal. Vous pouvez insérer
plusieurs contacts dans la branche et obtenir ainsi un montage en parallèle de montages en
série. Vous pouvez ainsi programmer des schémas à contacts complexes.
Condition
• Un réseau existe.
• Le réseau contient des éléments.
Procédure
Procédez comme suit pour ajouter une nouvelle branche au réseau :
1. Ouvrez la Task Card "Instructions".
2. Naviguez jusqu'à "Instructions de base > Général > Ouvrir branche".
3. Faites glisser l'élément à l'endroit voulu dans le réseau.
4. Si vous voulez placer la nouvelle branche directement sur la barre conductrice, faites glisser
l'élément sur la barre.
Exemple
La figure suivante montre un exemple d'utilisation des branches :
Description
Les branches doivent être refermées aux endroits appropriés. Si nécessaire, les branches sont
agencées afin d'éviter qu'elles ne se croisent.
Condition
Une branche existe.
Procédure
Procédez comme suit pour fermer une branche ouverte :
1. Sélectionnez la branche ouverte.
2. Appuyez sur le bouton gauche de la souris et maintenez-le enfoncé.
Une ligne en pointillés s'affiche dès que vous déplacez le pointeur de la souris.
3. Faites glisser la ligne sur un endroit approprié du réseau. Les connexions autorisées sont
signalées par des lignes vertes.
4. Relâchez le bouton gauche de la souris.
exemple
La figure suivante montre un exemple d'utilisation des branches :
13.1.2 LOG
Condition
Un bloc F est ouvert.
Procédure
Procédez comme suit pour insérer un nouveau réseau :
1. Sélectionnez le réseau après lequel vous voulez insérer un nouveau réseau.
2. Choisissez la commande "Insérer réseau" dans le menu contextuel.
Remarque
Si vous ajoutez un élément dans le dernier réseau encore vide du bloc F dans un programme
LOG, un nouveau réseau vide est automatiquement créé à la suite.
Résultat
Un nouveau réseau vide est inséré dans le bloc F.
Condition
Un réseau existe.
Procédure
Procédez comme suit pour insérer un élément LOG dans un réseau à l'aide d'une boîte vide :
1. Ouvrez la Task Card "Instructions".
2. Naviguez jusqu'à "Instructions de base > Général > Boîte vide".
3. Faites glisser l'élément "Boîte vide" à l'endroit voulu dans le réseau.
4. Déplacez le pointeur de la souris au-dessus du triangle jaune situé dans le coin supérieur
droit de la boîte vide.
Une liste déroulante s'ouvre.
5. Sélectionnez l'élément LOG voulu dans la liste déroulante.
Si l'instruction concernée est, en interne, un bloc fonctionnel (FB), la boîte de dialogue
'"Options d'appel" s'ouvre. Dans cette boîte, vous pouvez créer pour le bloc fonctionnel un
Résultat
La boîte vide est changée en l'instruction correspondante. Des emplacements réservés sont
ménagés pour les paramètres.
Description
Pour programmer des montages en parallèle avec le langage de programmation LOG
(logigramme), vous utilisez des branches que vous insérez entre les boîtes. Vous pouvez
insérer d'autres boîtes dans la branche et programmer ainsi des logigrammes complexes.
Condition
Un réseau existe.
Procédure
Procédez comme suit pour ajouter une nouvelle branche au réseau :
1. Ouvrez la Task Card "Instructions".
2. Naviguez jusqu'à "Instructions de base > Général > Branchement" dans la palette.
3. Faites glisser l'élément à l'endroit souhaité sur une ligne de connexion entre deux boîtes.
Exemple
La figure suivante montre un exemple d'utilisation des branches :
Description
L'instruction "Insérer entrée" permet d'ajouter une entrée binaire à la boîte de l'une des
instructions suivantes :
• "Opération logique ET"
• "Opération logique OU"
• "Opération logique OU EXCLUSIF"
En agrandissant la boîte d'instruction, vous pourrez interroger l'état logique de plusieurs
opérandes.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Une entrée binaire supplémentaire a été ajoutée à la boîte de l'instruction "Opération logique
ET", elle permet d'interroger l'état logique de l'opérande "TagIn_3". La sortie "TagOut" est mise
à 1 lorsque les opérandes "TagIn_1", "TagIn_2" et "TagIn_3" fournissent l'état logique "1".
Voir aussi
Opération logique ET (STEP 7 Safety V18) (Page 414)
Opération logique OU (STEP 7 Safety V18) (Page 415)
X : Opération logique OU EXCLUSIF (STEP 7 Safety V18) (Page 416)
Description
L'instruction "Inverser RLO" permet d'inverser le résultat logique (RLO).
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
La sortie "TagOut" est mise à 1 lorsque les conditions suivantes sont remplies :
• L'entrée "TagIn_1" et/ou "TagIn_2" fournissent l'état logique "0".
• L'entrée "TagIn_3" et/ou "TagIn_4" fournissent l'état logique "0" ou l'entrée "TagIn_5"
fournit l'état logique "1".
13.2.1 CONT
Description
L'activation d'un contact à fermeture dépend de l'état logique de l'opérande correspondant.
Lorsque l'opérande fournit l'état logique "1", le contact à fermeture se ferme. Le courant
circule de la barre conductrice gauche à la barre conductrice droite à travers le contact à
fermeture et l'état logique à la sortie de l'instruction est mis à "1".
Lorsque l'opérande fournit l'état logique "0", le contact à fermeture n'est pas activé. Le flux de
courant vers la barre conductrice droite est interrompu et l'état logique à la sortie de
l'instruction est mis à "0".
Dans un montage en série, deux ou plusieurs contacts à fermeture sont reliés bit par bit par
une opération ET. Le courant circule dans un montage en série lorsque tous les contacts sont
fermés.
Dans un montage en parallèle, des contacts à fermeture sont reliés par une opération OU. Le
courant circule dans un montage en parallèle lorsque l'un des contacts est fermé.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'opérande "TagOut" est mis à 1 lorsque l'une des conditions suivantes est remplie :
• Les opérandes "TagIn_1" et "TagIn_2" fournissent l'état logique "1".
• L'état logique de l'opérande "TagIn_3" est "1".
Description
L'activation d'un contact à ouverture dépend de l'état logique de l'opérande correspondant.
Quand l'opérande est à l'état logique "1", le contact à ouverture s'ouvre et la sortie de
l'instruction est mise à l'état logique "0".
Lorsque l'opérande est à l'état logique "0", le contact à ouverture n'est pas activé et la sortie
de l'instruction est mise à l'état logique "1".
Dans un montage en série, deux ou plusieurs contacts à ouverture sont reliés bit par bit par
une opération ET. Le courant circule dans un montage en série lorsque tous les contacts sont
fermés.
Dans un montage en parallèle, des contacts à ouverture sont reliés par une opération OU. Le
courant circule dans un montage en parallèle lorsque l'un des contacts est fermé.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'opérande "TagOut" est mis à 1 lorsque l'une des conditions suivantes est remplie :
• Les opérandes "TagIn_1" et "TagIn_2" fournissent l'état logique "1".
• L'état logique de l'opérande "TagIn_3" est "0".
Description
L'instruction "Inverser RLO" permet d'inverser l'état logique du résultat logique (RLO). Si l'état
logique "1" est appliqué à l'entrée de l'instruction, la sortie fournit l'état logique "0". Si l'état
logique est "0" à l'entrée de l'instruction, la sortie fournit l'état logique "1".
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'opérande "TagOut" est mis à 0 lorsque l'une des conditions suivantes est remplie :
• L'opérande "TagIn_1" fournit l'état logique "1".
• Les opérandes "TagIn_2" et "TagIn_3" sont à l'état logique "1".
Description
L'instruction "Affectation" permet de mettre à 1 le bit d'un opérande indiqué. Lorsque le
résultat logique (RLO) à l'entrée de la bobine est égal à "1", l'opérande indiqué est mis à l'état
logique "1". Lorsque l'entrée de la bobine est à l'état logique "0", le bit de l'opérande indiqué
est mis à "0".
Cette instruction n'influence pas le RLO. Le RLO à l'entrée de la bobine est transmis
directement à la sortie.
L'instruction "Affectation" peut être placée à n'importe quel endroit dans le réseau.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'opérande "TagOut" est mis à 1 lorsque l'une des conditions suivantes est remplie :
• Les opérandes "TagIn_1" et "TagIn_2" fournissent l'état logique "1".
• L'état logique de l'opérande "TagIn_3" est "0".
Description
L'instruction "Mise à 0 sortie" permet de mettre à 0 l'état logique d'un opérande indiqué.
Si le courant circule vers la bobine (RLO égal à "1"), l'opérande indiqué est mis à "0". Lorsque
le RLO à l'entrée de la bobine est égal à "0" (pas de flux de signal dans la bobine), l'état
logique de l'opérande indiqué reste inchangé.
Cette instruction n'influence pas le RLO. Le RLO à l'entrée de la bobine est transmis
directement à la sortie de la bobine.
Remarque
Si vous voulez utiliser un opérande formel d'une FC F comme opérande de l'instruction, celui-
ci doit être déclaré comme paramètre d'entrée/sortie.
Remarque
Si la plage d'opérandes "Données locales (temp)" est utilisée pour l'opérande de l'instruction,
le bit de données locales utilisé doit être initialisé au préalable.
Remarque
Vous ne devez pas utiliser les plages d'opérandes "Mémoire image des entrées", "Mémoire
image des sorties" de la périphérie standard, "DB standard" et "Mémentos" pour l'opérande de
l'instruction.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'opérande "TagOut" est mis à 0 lorsque l'une des conditions suivantes est remplie :
• Les opérandes "TagIn_1" et "TagIn_2" fournissent l'état logique "1".
• L'état logique de l'opérande "TagIn_3" est "0".
Description
L'instruction "Mise à 1 sortie" permet de mettre à 1 l'état logique d'un opérande indiqué.
Si le courant circule vers la bobine (RLO égal à "1"), l'opérande indiqué est mis à "1". Lorsque
le RLO à l'entrée de la bobine est égal à "0" (pas de flux de signal dans la bobine), l'état
logique de l'opérande indiqué reste inchangé.
Cette instruction n'influence pas le RLO. Le RLO à l'entrée de la bobine est transmis
directement à la sortie de la bobine.
Remarque
Cette instruction n'est pas exécutée lorsqu'elle s'applique à une sortie d'une périphérie F qui
est passivée (au démarrage du système F, par exemple). N'accédez par conséquent aux
sorties de la périphérie F qu'avec l'instruction "Affectation" dans la mesure du possible.
Il y a passivation d'une sortie d'une périphérie F si QBAD ou QBAD_O_xx = 1 ou l'état de la
valeur = 0 dans le DB de périphérie F associé.
Remarque
Si vous voulez utiliser un opérande formel d'une FC F comme opérande de l'instruction, celui-
ci doit être déclaré comme paramètre d'entrée/sortie.
Remarque
Si la plage d'opérandes "Données locales (temp)" est utilisée pour l'opérande de l'instruction,
le bit de données locales utilisé doit être initialisé au préalable.
Remarque
Vous ne devez pas utiliser les plages d'opérandes "Mémoire image des entrées", "Mémoire
image des sorties" de la périphérie standard, "DB standard" et "Mémentos" pour l'opérande de
l'instruction.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'opérande "TagOut" est mis à 1 lorsque l'une des conditions suivantes est remplie :
• Les opérandes "TagIn_1" et "TagIn_2" fournissent l'état logique "1".
• L'état logique de l'opérande "TagIn_3" est "0".
Description
L'instruction "Bascule 'mise à 1/mise à 0'" permet de mettre à 1 ou à 0 le bit d'un opérande
indiqué en fonction de l'état logique aux entrées S et R1. Si l'état logique est égal à "1" à
l'entrée S et à "0" à l'entrée R1, l'opérande indiqué est mis à "1". Si l'état logique est égal à "0"
à l'entrée S et à "1" à l'entrée R1, l'opérande indiqué est mis à "0".
L'entrée R1 domine l'entrée S. Si l'état logique est égal à "1" aux deux entrées S et R1, l'état
logique de l'opérande indiqué est mis à "0".
Si l'état logique est égal à "0" aux deux entrées S et R1, l'instruction n'est pas exécutée. Dans
ce cas, l'état logique de l'opérande reste inchangé.
L'état logique actuel de l'opérande est transmis à la sortie Q où il peut être interrogé.
Remarque
Si vous voulez utiliser un opérande formel d'une FC F comme opérande de l'instruction, celui-
ci doit être déclaré comme paramètre d'entrée/sortie.
Remarque
Vous ne devez pas utiliser les plages d'opérandes "Mémoire image du processus", "DB
standard" et "Mémentos" pour l'opérande de l'instruction.
Si la plage d'opérandes "Données locales (temp)" est utilisée pour l'opérande de l'instruction,
le bit de données locales utilisé doit être initialisé au préalable.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Les opérandes ""F_DB_1".TagSR" et "TagOut" sont mis à 1 lorsque les conditions suivantes
sont remplies :
• L'opérande "TagIn_1" fournit l'état logique "1".
• L'opérande "TagIn_2" fournit l'état logique "0".
Les opérandes ""F_DB_1".TagSR" et "TagOut" sont mis à 0 lorsque l'une des conditions
suivantes est remplie :
• L'opérande "TagIn_1" fournit l'état logique "0" et l'opérande "TagIn_2" fournit l'état logique
"1".
• Les deux opérandes "TagIn_1" et "TagIn_2" fournissent l'état logique "1".
Description
L'instruction "Bascule 'mise à 0, mise à 1'" permet de mettre à 0 ou à 1 le bit d'un opérande
indiqué en fonction de l'état logique aux entrées R et S1. Si l'état logique est égal à "1" à
l'entrée R et à "0" à l'entrée S1, l'opérande indiqué est mis à "0". Si l'état logique est égal à "0"
à l'entrée R et à "1" à l'entrée S1, l'opérande indiqué est mis à "1".
L'entrée S1 domine l'entrée R. Si l'état logique est égal à "1" aux deux entrées R et S1, l'état
logique de l'opérande indiqué est mis à "1".
Si l'état logique est égal à "0" aux deux entrées R et S1, l'instruction n'est pas exécutée. Dans
ce cas, l'état logique de l'opérande reste inchangé.
L'état logique actuel de l'opérande est transmis à la sortie Q où il peut être interrogé.
Remarque
Si vous voulez utiliser un opérande formel d'une FC F comme opérande de l'instruction, celui-
ci doit être déclaré comme paramètre d'entrée/sortie.
Remarque
Vous ne devez pas utiliser les plages d'opérandes "Mémoire image du processus", "DB
standard" et "Mémentos" pour l'opérande de l'instruction.
Si la plage d'opérandes "Données locales (temp)" est utilisée pour l'opérande de l'instruction,
le bit de données locales utilisé doit être initialisé au préalable.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Les opérandes ""F_DB_1".TagRS" et "TagOut" sont mis à 0 lorsque les conditions suivantes
sont remplies :
• L'opérande "TagIn_1" fournit l'état logique "1".
• L'opérande "TagIn_2" fournit l'état logique "0".
Les opérandes ""F_DB_1".TagRS" et "TagOut" sont mis à 1 lorsque les conditions suivantes
sont remplies :
• L'opérande "TagIn_1" fournit l'état logique "0" et l'opérande "TagIn_2" fournit l'état logique
"1".
• Les opérandes "TagIn_1" et "TagIn_2" fournissent l'état logique "1".
13.2.1.9 --|P|-- : Interroger front montant d'un opérande (STEP 7 Safety V18)
Description
L'instruction "Interroger front montant d'un opérande" permet de détecter un changement de
"0" à "1" dans l'état logique d'un opérande indiqué (<opérande1>). L'instruction compare
l'état logique actuel de l'<opérande1> à celui de l'interrogation précédente, mémorisé dans
<opérande2>. Il y a front montant si l'instruction détecte un changement de "0" à "1" dans le
résultat logique.
Lorsqu'un front montant est détecté, la sortie de l'instruction fournit l'état logique "1". Dans
tous les autres cas, l'état logique est "0" à la sortie de l'instruction.
Vous indiquez l'opérande à interroger (<opérande1>) dans l'emplacement réservé au-dessus
de l'instruction. Vous indiquez le mémento de front (<opérande2>) dans l'emplacement
réservé en dessous de l'instruction.
Remarque
L'adresse du mémento de front ne doit pas être utilisée plusieurs fois dans le programme, car
le mémento de front serait alors écrasé. Cela influerait sur l'évaluation du front, si bien que le
résultat deviendrait ambigu.
Remarque
Si vous voulez utiliser un opérande formel d'une FC F comme mémento de front
<opérande2> de l'instruction, celui-ci doit être déclaré comme paramètre d'entrée/sortie.
Remarque
Vous ne devez pas utiliser les plages d'opérandes "Mémoire image du processus", "DB
standard" et "Mémentos" pour le mémento de front <opérande2> de l'instruction.
Si la plage d'opérandes "Données locales (temp)" est utilisée pour le mémento de front
<opérande2> de l'instruction, le bit de données locales utilisé doit être initialisé au préalable.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'opérande "TagOut" est mis à 1 lorsque les conditions suivantes sont remplies :
• Il y a un front montant à l'entrée "TagIn_1". L'état logique de l'interrogation précédente est
mémorisé dans le mémento de front ""F_DB_1".Tag_M".
• L'état logique de l'opérande "TagIn_2" est "1".
13.2.1.10 --|N|-- : Interroger front descendant d'un opérande (STEP 7 Safety V18)
Description
L'instruction "Interroger front descendant d'un opérande" permet de détecter un changement
de "1" à "0" dans l'état logique d'un opérande indiqué. L'instruction compare l'état logique
actuel de l'<opérande1> à celui de l'interrogation précédente, mémorisé dans <opérande2>.
Il y a front descendant si l'instruction détecte un changement de "1" à "0" dans le résultat
logique.
Lorsqu'un front descendant est détecté, la sortie de l'instruction fournit l'état logique "1".
Dans tous les autres cas, l'état logique est "0" à la sortie de l'instruction.
Vous indiquez l'opérande à interroger (<opérande1>) dans l'emplacement réservé au-dessus
de l'instruction. Vous indiquez le mémento de front (<opérande2>) dans l'emplacement
réservé en dessous de l'instruction.
Remarque
L'adresse du mémento de front ne doit pas être utilisée plusieurs fois dans le programme, car
le mémento de front serait alors écrasé. Cela influerait sur l'évaluation du front, si bien que le
résultat deviendrait ambigu.
Remarque
Si vous voulez utiliser un opérande formel d'une FC F comme mémento de front
<opérande2> de l'instruction, celui-ci doit être déclaré comme paramètre d'entrée/sortie.
Remarque
Vous ne devez pas utiliser les plages d'opérandes "Mémoire image du processus", "DB
standard" et "Mémentos" pour le mémento de front <opérande2> de l'instruction.
Si la plage d'opérandes "Données locales (temp)" est utilisée pour le mémento de front
<opérande2> de l'instruction, le bit de données locales utilisé doit être initialisé au préalable.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'opérande "TagOut" est mis à 1 lorsque les conditions suivantes sont remplies :
• Il y a un front descendant à l'opérande "TagIn_1". L'état logique de l'interrogation
précédente est mémorisé dans le mémento de front ""F_DB_1".Tag_M".
• L'état logique de l'opérande "TagIn_2" est "1".
Description
L'instruction "Interroger front montant du RLO" permet de détecter un changement de "0" à
"1" dans l'état logique du résultat logique (RLO). L'instruction compare l'état logique actuel du
résultat logique (RLO) à celui de l'interrogation précédente, mémorisé dans le mémento de
front <opérande>. Il y a front montant si l'instruction détecte un changement de "0" à "1"
dans le RLO.
Lorsqu'un front montant est détecté, la sortie de l'instruction fournit l'état logique "1". Dans
tous les autres cas, l'état logique est "0" à la sortie de l'instruction.
Remarque
L'adresse du mémento de front ne doit pas être utilisée plusieurs fois dans le programme, car
le mémento de front serait alors écrasé. Cela influerait sur l'évaluation du front, si bien que le
résultat deviendrait ambigu.
Remarque
Si vous voulez utiliser un opérande formel d'une FC F comme mémento de front <opérande>
de l'instruction, celui-ci doit être déclaré comme paramètre d'entrée/sortie.
Remarque
Vous ne devez pas utiliser les plages d'opérandes "Mémoire image du processus", "DB
standard" et "Mémentos" pour le mémento de front <opérande> de l'instruction.
Si la plage d'opérandes "Données locales (temp)" est utilisée pour le mémento de front
<opérande> de l'instruction, le bit de données locales utilisé doit être initialisé au préalable.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Le RLO de l'opération sur bits précédente est mémorisé dans le mémento de front
""F_DB_1".Tag_M". Le saut au repère de saut CAS1 est exécuté si un changement de "0" à "1"
est détecté dans l'état logique du RLO.
Description
L'instruction "Interroger front descendant du RLO" permet de détecter un changement de "1"
à "0" dans l'état logique du résultat logique (RLO). L'instruction compare l'état logique actuel
du résultat logique à celui de l'interrogation précédente, mémorisé dans le mémento de front
<opérande>. Il y a front descendant si l'instruction détecte un changement de "1" à "0" dans le
RLO.
Lorsqu'un front descendant est détecté, la sortie de l'instruction fournit l'état logique "1".
Dans tous les autres cas, l'état logique est "0" à la sortie de l'instruction.
Remarque
L'adresse du mémento de front ne doit pas être utilisée plusieurs fois dans le programme, car
le mémento de front serait alors écrasé. Cela influerait sur l'évaluation du front, si bien que le
résultat deviendrait ambigu.
Remarque
Si vous voulez utiliser un opérande formel d'une FC F comme mémento de front <opérande>
de l'instruction, celui-ci doit être déclaré comme paramètre d'entrée/sortie.
Remarque
Vous ne devez pas utiliser les plages d'opérandes "Mémoire image du processus", "DB
standard" et "Mémentos" pour le mémento de front <opérande> de l'instruction.
Si la plage d'opérandes "Données locales (temp)" est utilisée pour le mémento de front
<opérande> de l'instruction, le bit de données locales utilisé doit être initialisé au préalable.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Le RLO de l'opération sur bits précédente est mémorisé dans le mémento de front
""F_DB_1".Tag_M". Le saut au repère de saut CAS1 est exécuté si un changement de "1" à "0"
est détecté dans l'état logique du RLO.
13.2.2 LOG
Description
L'instruction "Opération logique ET" permet d'interroger les états logiques de deux ou
plusieurs opérandes indiqués et de les évaluer selon la table de vérité ET.
Si l'état logique de tous les opérandes est "1", la condition est remplie et l'instruction fournit
le résultat "1". Si l'un des opérandes est à l'état logique "0", la condition n'est pas remplie et
l'instruction fournit le résultat "0".
Si l'instruction "Opération logique ET" est la première dans une chaîne opératoire, elle
mémorise le résultat de son interrogation d'état logique dans le bit RLO.
Toute instruction "Opération logique ET" suivante dans la chaîne opératoire combine le
résultat de son interrogation d'état logique avec la valeur mémorisée dans le bit RLO. Cette
opération se fait selon la table de vérité ET.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
La sortie "TagOut" est mise à 1 si l'état logique des opérandes "TagIn_1" et "TagIn_2" est "1".
Table de vérité ET
Le tableau suivant montre les résultats de la liaison de deux opérandes par un ET logique :
État logique du premier opérande État logique du deuxième opé- Résultat logique
rande
1 1 1
0 1 0
1 0 0
0 0 0
Voir aussi
Insérer entrée TOR (STEP 7 Safety V18) (Page 399)
Description
L'instruction "Opération logique OU" permet d'interroger les états logiques de deux ou
plusieurs opérandes indiqués et de les évaluer selon la table de vérité OU.
Si l'état logique d'au moins un opérande est "1", la condition est remplie et l'instruction
fournit le résultat "1". Si l'état logique de tous les opérandes est "0", la condition n'est pas
remplie et l'instruction fournit le résultat "0".
Si l'instruction "Opération logique OU" est la première dans une chaîne opératoire, elle
mémorise le résultat de son interrogation d'état logique dans le bit RLO.
Toute instruction "Opération logique OU" suivante dans la chaîne opératoire combine le
résultat de son interrogation d'état logique avec la valeur mémorisée dans le bit RLO. Cette
opération se fait selon la table de vérité OU.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
La sortie "TagOut" est mise à 1 si l'état logique de l'opérande "TagIn_1" ou "TagIn_2" est "1".
Table de vérité OU
Le tableau suivant montre les résultats de la liaison de deux opérandes par un OU logique :
État logique du premier opérande État logique du deuxième opé- Résultat logique
rande
1 0 1
0 1 1
1 1 1
0 0 0
Voir aussi
Insérer entrée TOR (STEP 7 Safety V18) (Page 399)
Description
L'instruction "Opération logique OU EXCLUSIF" permet d'interroger le résultat d'une
interrogation d'état logique selon la table de vérité OU EXCLUSIF.
Pour l'instruction "Opération logique OU EXCLUSIF", l'état logique "1" est obtenu lorsque l'état
logique de l'un des deux opérandes indiqués est "1". Si l'interrogation porte sur plus de deux
opérandes, le résultat logique global est égal à "1" lorsqu'un nombre impair d'opérandes
interrogés fournit le résultat "1".
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
La sortie "TagOut" est mise à 1 si l'état logique de l'un des deux opérandes "TagIn_1" et
"TagIn_2" est "1". Si les deux opérandes sont à l'état logique "1" ou "0", la sortie "TagOut" est
mise à 0.
État logique du premier opé- État logique du deuxième opérande Résultat logique
rande
1 0 1
0 1 1
1 1 0
0 0 0
Le tableau suivant montre les résultats de la liaison de trois opérandes par un OU EXCLUSIF :
État logique du premier État logique du deu- État logique du Résultat logique
opérande xième opérande troisième opérande
1 0 0 1
0 1 1 0
0 1 0 1
1 0 1 0
0 0 1 1
1 1 0 0
1 1 1 1
0 0 0 0
Voir aussi
Insérer entrée TOR (STEP 7 Safety V18) (Page 399)
Description
L'instruction "Affectation" permet de mettre à 1 le bit d'un opérande indiqué. Lorsque le
résultat logique (RLO) à l'entrée de la boîte fournit l'état logique "1" ou que l'entrée de la boîte
n'est pas connectée pour les CPU F S7-1200/1500, l'opérande indiqué est mis à l'état logique
"1". Lorsque l'état logique à l'entrée de la boîte est "0", le bit de l'opérande indiqué est mis à
"0".
Cette instruction n'influence pas le RLO. Le RLO à l'entrée de la boîte est affecté directement à
l'opérande situé au-dessus de la boîte d'affectation.
L'instruction "Affectation" peut être placée à n'importe quel endroit de la chaîne opératoire.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'opérande "TagOut" à la sortie de l'instruction "Affectation" est mis à 1 lorsque l'une des
conditions suivantes est remplie :
• Les entrées "TagIn_1" et "TagIn_2" fournissent l'état logique "1".
• L'état logique est "0" à l'entrée "TagIn_3".
Description
L'instruction "Mise à 0 sortie" permet de mettre à 0 l'état logique d'un opérande indiqué.
Si l'entrée de la boîte fournit l'état logique "1" ou n'est pas connectée pour les CPU F
S7-1200/1500, l'opérande indiqué est mis à "0". Lorsque le résultat logique à l'entrée de la
boîte est égal à "0", l'état logique de l'opérande indiqué reste inchangé.
Cette instruction n'influence pas le RLO. Le RLO à l'entrée de la boîte est transmis directement
à la sortie de la boîte.
Remarque
Si vous voulez utiliser un opérande formel d'une FC F comme opérande de l'instruction, celui-
ci doit être déclaré comme paramètre d'entrée/sortie.
Remarque
Si la plage d'opérandes "Données locales (temp)" est utilisée pour l'opérande de l'instruction,
le bit de données locales utilisé doit être initialisé au préalable.
Remarque
Vous ne devez pas utiliser les plages d'opérandes "Mémoire image des entrées", "Mémoire
image des sorties" de la périphérie standard, "DB standard" et "Mémentos" pour l'opérande de
l'instruction.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'opérande "TagOut" est mis à 0 lorsque l'une des conditions suivantes est remplie :
• Les opérandes "TagIn_1" et "TagIn_2" fournissent l'état logique "1".
• L'état logique de l'opérande "TagIn_3" est "0".
Description
L'instruction "Mise à 1 sortie" permet de mettre à 1 l'état logique d'un opérande indiqué.
Si l'entrée de la boîte fournit l'état logique "1" ou n'est pas connectée pour les CPU F
S7-1200/1500, l'opérande indiqué est mis à "1". Lorsque le résultat logique à l'entrée de la
boîte est égal à "0", l'état logique de l'opérande indiqué reste inchangé.
Cette instruction n'influence pas le RLO. Le RLO à l'entrée de la boîte est transmis directement
à la sortie de la boîte.
Remarque
Cette instruction n'est pas exécutée lorsqu'elle s'applique à une sortie d'une périphérie F qui
est passivée (au démarrage du système F, par exemple). N'accédez par conséquent aux
sorties de la périphérie F qu'avec l'instruction "Affectation" dans la mesure du possible.
Il y a passivation d'une sortie d'une périphérie F si QBAD ou QBAD_O_xx = 1 ou l'état de la
valeur = 0 dans le DB de périphérie F associé.
Remarque
Si vous voulez utiliser un opérande formel d'une FC F comme opérande de l'instruction, celui-
ci doit être déclaré comme paramètre d'entrée/sortie.
Remarque
Si la plage d'opérandes "Données locales (temp)" est utilisée pour l'opérande de l'instruction,
le bit de données locales utilisé doit être initialisé au préalable.
Remarque
Vous ne devez pas utiliser les plages d'opérandes "Mémoire image des entrées", "Mémoire
image des sorties" de la périphérie standard, "DB standard" et "Mémentos" pour l'opérande de
l'instruction.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'opérande "TagOut" est mis à 1 lorsque l'une des conditions suivantes est remplie :
• Les opérandes "TagIn_1" et "TagIn_2" fournissent l'état logique "1".
• L'état logique de l'opérande "TagIn_3" est "0".
Description
L'instruction "Bascule 'mise à 1/mise à 0'" permet de mettre à 1 ou à 0 le bit d'un opérande
indiqué en fonction de l'état logique aux entrées S et R1. Si l'état logique est égal à "1" à
l'entrée S et à "0" à l'entrée R1, l'opérande indiqué est mis à "1". Si l'état logique est égal à "0"
à l'entrée S et à "1" à l'entrée R1, l'opérande indiqué est mis à "0".
L'entrée R1 domine l'entrée S. Si l'état logique est égal à "1" aux deux entrées S et R1, l'état
logique de l'opérande indiqué est mis à "0".
Si l'état logique est égal à "0" aux deux entrées S et R1, l'instruction n'est pas exécutée. Dans
ce cas, l'état logique de l'opérande reste inchangé.
L'état logique actuel de l'opérande est transmis à la sortie Q où il peut être interrogé.
Remarque
Si vous voulez utiliser un opérande formel d'une FC F comme opérande de l'instruction, celui-
ci doit être déclaré comme paramètre d'entrée/sortie.
Remarque
Vous ne devez pas utiliser les plages d'opérandes "Mémoire image du processus", "DB
standard" et "Mémentos" pour l'opérande de l'instruction.
Si la plage d'opérandes "Données locales (temp)" est utilisée pour les mémentos de front de
l'instruction, le bit de données locales utilisé doit être initialisé au préalable.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Les opérandes ""F_DB_1".TagSR" et "TagOut" sont mis à 1 lorsque les conditions suivantes
sont remplies :
• L'opérande "TagIn_1" fournit l'état logique "1".
• L'opérande "TagIn_2" fournit l'état logique "0".
Les opérandes ""F_DB_1".TagSR" et "TagOut" sont mis à 0 lorsque l'une des conditions
suivantes est remplie :
• L'opérande "TagIn_1" fournit l'état logique "0" et l'opérande "TagIn_2" fournit l'état logique
"1".
• Les deux opérandes "TagIn_1" et "TagIn_2" fournissent l'état logique "1".
Description
L'instruction "Bascule 'mise à 0, mise à 1'" permet de mettre à 0 ou à 1 le bit d'un opérande
indiqué en fonction de l'état logique aux entrées R et S1. Si l'état logique est égal à "1" à
l'entrée R et à "0" à l'entrée S1, l'opérande indiqué est mis à "0". Si l'état logique est égal à "0"
à l'entrée R et à "1" à l'entrée S1, l'opérande indiqué est mis à "1".
L'entrée S1 domine l'entrée R. Si l'état logique est égal à "1" aux deux entrées R et S1, l'état
logique de l'opérande indiqué est mis à "1".
Si l'état logique est égal à "0" aux deux entrées R et S1, l'instruction n'est pas exécutée. Dans
ce cas, l'état logique de l'opérande reste inchangé.
L'état logique actuel de l'opérande est transmis à la sortie Q où il peut être interrogé.
Remarque
Si vous voulez utiliser un opérande formel d'une FC F comme opérande de l'instruction, celui-
ci doit être déclaré comme paramètre d'entrée/sortie.
Remarque
Vous ne devez pas utiliser les plages d'opérandes "Mémoire image du processus", "DB
standard" et "Mémentos" pour l'opérande de l'instruction.
Si la plage d'opérandes "Données locales (temp)" est utilisée pour les mémentos de front de
l'instruction, le bit de données locales utilisé doit être initialisé au préalable.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Les opérandes ""F_DB_1".TagRS" et "TagOut" sont mis à 0 lorsque les conditions suivantes
sont remplies :
• L'opérande "TagIn_1" fournit l'état logique "1".
• L'opérande "TagIn_2" fournit l'état logique "0".
Les opérandes ""F_DB_1".TagRS" et "TagOut" sont mis à 1 lorsque les conditions suivantes
sont remplies :
• L'opérande "TagIn_1" fournit l'état logique "0" et l'opérande "TagIn_2" fournit l'état logique
"1".
• Les opérandes "TagIn_1" et "TagIn_2" fournissent l'état logique "1".
Description
L'instruction "Interroger front montant d'un opérande" permet de détecter un changement de
"0" à "1" dans l'état logique d'un opérande indiqué (<opérande1>). L'instruction compare
l'état logique actuel de l'<opérande1> à celui de l'interrogation précédente, mémorisé dans
<opérande2>. Il y a front montant si l'instruction détecte un changement de "0" à "1" dans le
résultat logique.
Lorsqu'un front montant est détecté, la sortie de l'instruction fournit l'état logique "1". Dans
tous les autres cas, l'état logique est "0" à la sortie de l'instruction.
Vous indiquez l'opérande à interroger (<opérande1>) dans l'emplacement réservé au-dessus
de l'instruction. Vous indiquez le mémento de front (<opérande2>) dans l'emplacement
réservé en dessous de l'instruction.
Remarque
L'adresse du mémento de front ne doit pas être utilisée plusieurs fois dans le programme, car
le mémento de front serait alors écrasé. Cela influerait sur l'évaluation du front, si bien que le
résultat deviendrait ambigu.
Remarque
Si vous voulez utiliser un opérande formel d'une FC F comme mémento de front
<opérande2> de l'instruction, celui-ci doit être déclaré comme paramètre d'entrée/sortie.
Remarque
Vous ne devez pas utiliser les plages d'opérandes "Mémoire image du processus", "DB
standard" et "Mémentos" pour le mémento de front <opérande2> de l'instruction.
Si la plage d'opérandes "Données locales (temp)" est utilisée pour le mémento de front
<opérande2> de l'instruction, le bit de données locales utilisé doit être initialisé au préalable.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
La sortie "TagOut" est mise à 1 lorsque les conditions suivantes sont remplies :
• Il y a un front montant à l'entrée "TagIn_1".
• L'état logique de l'opérande "TagIn_2" est "1".
Description
L'instruction "Interroger front descendant d'un opérande" permet de détecter un changement
de "1" à "0" dans l'état logique d'un opérande indiqué. L'instruction compare l'état logique
actuel de l'<opérande1> à celui de l'interrogation précédente, mémorisé dans <opérande2>.
Il y a front descendant si l'instruction détecte un changement de "1" à "0" dans le résultat
logique.
Lorsqu'un front descendant est détecté, la sortie de l'instruction fournit l'état logique "1".
Dans tous les autres cas, l'état logique est "0" à la sortie de l'instruction.
Vous indiquez l'opérande à interroger (<opérande1>) dans l'emplacement réservé au-dessus
de l'instruction. Vous indiquez le mémento de front (<opérande2>) dans l'emplacement
réservé en dessous de l'instruction.
Remarque
L'adresse du mémento de front ne doit pas être utilisée plusieurs fois dans le programme, car
le mémento de front serait alors écrasé. Cela influerait sur l'évaluation du front, si bien que le
résultat deviendrait ambigu.
Remarque
Si vous voulez utiliser un opérande formel d'une FC F comme mémento de front
<opérande2> de l'instruction, celui-ci doit être déclaré comme paramètre d'entrée/sortie.
Remarque
Vous ne devez pas utiliser les plages d'opérandes "Mémoire image du processus", "DB
standard" et "Mémentos" pour le mémento de front <opérande2> de l'instruction.
Si la plage d'opérandes "Données locales (temp)" est utilisée pour le mémento de front
<opérande2> de l'instruction, le bit de données locales utilisé doit être initialisé au préalable.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
La sortie "TagOut" est mise à 1 lorsque les conditions suivantes sont remplies :
• Il y a un front descendant à l'entrée "TagIn_1".
• L'état logique de l'opérande "TagIn_2" est "1".
Description
L'instruction "Interroger front montant du RLO" permet de détecter un changement de "0" à
"1" dans l'état logique du résultat logique (RLO). L'instruction compare l'état logique actuel du
résultat logique à celui de l'interrogation précédente, mémorisé dans le mémento de front
<opérande>. Il y a front montant si l'instruction détecte un changement de "0" à "1" dans le
RLO.
Lorsqu'un front montant est détecté, la sortie de l'instruction fournit l'état logique "1". Dans
tous les autres cas, l'état logique est "0" à la sortie de l'instruction.
Remarque
L'adresse du mémento de front ne doit pas être utilisée plusieurs fois dans le programme, car
le mémento de front serait alors écrasé. Cela influerait sur l'évaluation du front, si bien que le
résultat deviendrait ambigu.
Remarque
Si vous voulez utiliser un opérande formel d'une FC F comme mémento de front <opérande>
de l'instruction, celui-ci doit être déclaré comme paramètre d'entrée/sortie.
Remarque
Vous ne devez pas utiliser les plages d'opérandes "Mémoire image du processus", "DB
standard" et "Mémentos" pour le mémento de front <opérande> de l'instruction.
Si la plage d'opérandes "Données locales (temp)" est utilisée pour le mémento de front
<opérande> de l'instruction, le bit de données locales utilisé doit être initialisé au préalable.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Le RLO de l'opération sur bits précédente est mémorisé dans le mémento de front
""F_DB_1".Tag_M". Le saut au repère de saut CAS1 est exécuté si un changement de "0" à "1"
est détecté dans l'état logique du RLO.
Description
L'instruction "Interroger front descendant du RLO" permet de détecter un changement de "1"
à "0" dans l'état logique du résultat logique (RLO). L'instruction compare l'état logique actuel
du résultat logique à celui de l'interrogation précédente, mémorisé dans le mémento de front
<opérande>. Il y a front descendant si l'instruction détecte un changement de "1" à "0" dans le
RLO.
Lorsqu'un front descendant est détecté, la sortie de l'instruction fournit l'état logique "1".
Dans tous les autres cas, l'état logique est "0" à la sortie de l'instruction.
Remarque
L'adresse du mémento de front ne doit pas être utilisée plusieurs fois dans le programme, car
le mémento de front serait alors écrasé. Cela influerait sur l'évaluation du front, si bien que le
résultat deviendrait ambigu.
Remarque
Si vous voulez utiliser un opérande formel d'une FC F comme mémento de front <opérande>
de l'instruction, celui-ci doit être déclaré comme paramètre d'entrée/sortie.
Remarque
Vous ne devez pas utiliser les plages d'opérandes "Mémoire image du processus", "DB
standard" et "Mémentos" pour le mémento de front <opérande> de l'instruction.
Si la plage d'opérandes "Données locales (temp)" est utilisée pour le mémento de front
<opérande> de l'instruction, le bit de données locales utilisé doit être initialisé au préalable.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Le RLO de l'opération sur bits précédente est mémorisé dans le mémento de front
""F_DB_1".Tag_M". Le saut au repère de saut CAS1 est exécuté si un changement de "1" à "0"
est détecté dans l'état logique du RLO.
Description
Cette instruction prend en charge la réalisation d'un arrêt d'urgence ou d'une coupure
d'urgence avec acquittement pour la catégorie d'arrêt 0 et 1, pour satisfaire aux exigences de
IEC 60204 ou IEC 61800-5-2. Pour satisfaire entièrement aux exigences de la norme
correspondante, il est possible que des mesures supplémentaires décrites dans cette norme
soient nécessaires.
Le signal de validation Q est mis à 0 dès que l'entrée E_STOP prend l'état logique 0 (catégorie
d'arrêt 0). Le signal de validation Q_DELAY est mis à 0 après le temps de retard paramétré à
l'entrée TIME_DEL (catégorie d'arrêt 1).
Le signal de validation Q n'est remis à 1 que lorsque l'entrée E_STOP prend l'état logique "1"
et qu'un acquittement est effectué. L'acquittement pour la validation est réalisé en fonction
du paramétrage à l'entrée ACK_NEC :
• Si ACK_NEC = 0, l'acquittement est automatique.
• Si ACK_NEC = 1, vous devez utiliser un front montant à l'entrée ACK pour acquitter la
validation.
La sortie ACK_REQ signale que l'acquittement nécessite un acquittement utilisateur à l'entrée
ACK. L'instruction met la sortie ACK_REQ à 1 dès que l'entrée E_STOP est égale à 1.
L'instruction met ACK_REQ à 0 une fois l'acquittement effectué.
Il faut associer à chaque appel de l'instruction ESTOP1 (Emergency STOP/emergency OFF up
to stop category 1) une zone de données dans laquelle les données de l'instruction sont
stockées. Ainsi, l'insertion de l'instruction dans le programme déclenche automatiquement
l'ouverture de la boîte de dialogue "Options d'appel" dans laquelle vous pouvez créer un bloc
de données (instance unique) (par exemple, ESTOP1_DB_1) ou une multi-instance (par
exemple, ESTOP1_Instance_1) pour l'instruction "Emergency STOP/emergency OFF up to stop
category 1". Après sa création, vous trouverez le nouveau bloc de données sous "Blocs de
programme > Blocs système" dans le dossier "STEP 7 Safety" dans le navigateur de projet ou la
multi-instance comme variable locale dans la section "Static" de l'interface du bloc. Vous
trouverez plus d'informations à ce sujet dans l'aide de STEP 7.
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" n'est pas
possible. L'instruction est donc toujours exécutée (quel que soit l'état logique à l'entrée de
validation "EN").
ATTENTION
ATTENTION
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Versions de l'instruction
Plusieurs versions sont disponibles pour cette instruction :
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety, la version la plus récente
disponible pour la CPU F créée est automatiquement prédéfinie.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
Comportement au démarrage
Après un démarrage du système F, vous devez acquitter l'instruction par un front montant à
l'entrée ACK si ACK_NEC = 1.
Sortie DIAG
La sortie DIAG fournit, aux fins de service, des informations non de sécurité sur les erreurs qui
se sont produites. Vous pouvez lire ces informations au moyen de systèmes de contrôle-
commande ou les évaluer, le cas échéant, dans votre programme utilisateur standard. Les bits
DIAG 4 et 5 restent mémorisés jusqu'à ce que vous procédiez à l'acquittement à l'entrée ACK.
Structure de DIAG
① Lors du premier appel au cycle n+1, l'instant d'appel de l'instruction par rapport au début du
groupe d'exécution F est antérieur de Δ1 à celui du cycle n parce que, par exemple, des parties
du programme de sécurité du groupe d'exécution F sont sautées avant l'appel de l'instruction au
cycle n+1. Lors de l'actualisation du temps, l'instruction tient compte du temps TBase_1 au lieu du
temps T1 qui s'est effectivement écoulé depuis l'appel au cycle n.
② L'instruction est appelée une deuxième fois au cycle n+1. Il n'y a pas de nouvelle actualisation
du temps (de Δ2).
③ Lors de l'appel au cycle n+2, l'instant d'appel de l'instruction par rapport au début du groupe
d'exécution F est postérieur de Δ3 à celui du cycle n parce que, par exemple, le groupe d'exécu-
tion F a été interrompu par une alarme de priorité plus élevée avant l'appel de l'instruction au
cycle n+2. Au lieu du temps T3 qui s'est effectivement écoulé depuis l'appel au cycle n, l'instruc-
tion a pris en compte le temps TBase_1 + TBase_2. Il en serait de même si aucun appel n'avait eu lieu
au cycle n+1.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Description
Cette instruction prend en charge la réalisation d'une surveillance de commande bimanuelle
pour satisfaire aux exigences de la norme ISO 13851. Pour satisfaire entièrement aux
exigences de la norme, il est possible que des mesures supplémentaires décrites dans cette
norme soient nécessaires.
Remarque
Cette instruction est disponible uniquement pour les CPU F S7-300 et S7-400. Pour les CPU F
S7-1200/1500, vous disposez de l'instruction "Two-hand monitoring with enable"
(Surveillance de commande bimanuelle avec validation). L'instruction "Surveillance de
commande bimanuelle avec validation" remplace l'instruction "Surveillance de commande
bimanuelle" avec des fonctions compatibles.
Si les boutons-poussoirs IN1 et IN2 sont actionnés pendant le temps de discordance autorisé
DISCTIME ≤ 500 ms (IN1/IN2 = 1) (actionnement synchrone), le signal de validation Q est mis
à 1. Si la différence de temps entre l'actionnement du bouton-poussoir IN1 et celui du
bouton-poussoir IN2 est supérieure à DISCTIME, les boutons-poussoirs doivent être relâchés
puis à nouveau actionnés.
Q est mis à 0 dès que l'un des boutons-poussoirs est relâché (IN1/IN2 = 0). Le signal de
validation Q ne peut être remis à 1 que lorsque l'autre bouton-poussoir a également été
relâché et que les deux boutons-poussoirs sont ensuite à nouveau actionnés durant le temps
de discordance. Le signal de validation Q ne peut jamais être mis à 1 si le temps de
discordance est configuré à des valeurs < 0 ou > 500 ms.
Il faut associer à chaque appel de l'instruction TWO_HAND (Two-hand monitoring) une zone
de données dans laquelle les données de l'instruction sont stockées. Ainsi, l'insertion de
l'instruction dans le programme déclenche automatiquement l'ouverture de la boîte de
dialogue "Options d'appel" dans laquelle vous pouvez créer un bloc de données (instance
unique) (par exemple, TWO_HAND_DB_1) ou une multi-instance (par exemple,
TWO_HAND_Instance_1) pour l'instruction "Two-hand monitoring". Après sa création, vous
trouverez le nouveau bloc de données sous "Blocs de programme > Blocs système" dans le
dossier "STEP 7 Safety" dans le navigateur de projet ou la multi-instance comme variable
locale dans la section "Static" de l'interface du bloc. Vous trouverez plus d'informations à ce
sujet dans l'aide de STEP 7.
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" n'est pas
possible. L'instruction est donc toujours exécutée (quel que soit l'état logique à l'entrée de
validation "EN").
Remarque : Il n'est possible d'évaluer qu'un seul signal par bouton-poussoir dans
l'instruction. La surveillance de discordance du contact à ouverture et du contact à fermeture
des boutons-poussoirs IN1 et IN2 est réalisée directement par la périphérie F avec entrées en
cas de configuration appropriée (exploitation des capteurs : exploitation 1oo2 (1de2),
antivalente). Le contact à fermeture doit être câblé de manière à fournir le signal utile (voir le
manuel de la périphérie F utilisée). Pour que le temps de réaction ne soit pas influencé par le
temps de discordance, vous devez paramétrer "Délivrer valeur 0" comme comportement de
discordance lors de la configuration. Si une discordance est détectée, la valeur de
remplacement 0 est inscrite dans la mémoire image des entrées (MIE) pour le bouton-
poussoir et QBAD ou QBAD_I_xx est mis à 1 dans le DB de périphérie F correspondant (voir
aussi Accès à la périphérie F (Page 155)).
ATTENTION
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
① Lors du premier appel au cycle n+1, l'instant d'appel de l'instruction par rapport au début du
groupe d'exécution F est antérieur de Δ1 à celui du cycle n parce que, par exemple, des parties
du programme de sécurité du groupe d'exécution F sont sautées avant l'appel de l'instruction au
cycle n+1. Lors de l'actualisation du temps, l'instruction tient compte du temps TBase_1 au lieu du
temps T1 qui s'est effectivement écoulé depuis l'appel au cycle n.
② L'instruction est appelée une deuxième fois au cycle n+1. Il n'y a pas de nouvelle actualisation
du temps (de Δ2).
③ Lors de l'appel au cycle n+2, l'instant d'appel de l'instruction par rapport au début du groupe
d'exécution F est postérieur de Δ3 à celui du cycle n parce que, par exemple, le groupe d'exécu-
tion F a été interrompu par une alarme de priorité plus élevée avant l'appel de l'instruction au
cycle n+2. Au lieu du temps T3 qui s'est effectivement écoulé depuis l'appel au cycle n, l'instruc-
tion a pris en compte le temps TBase_1 + TBase_2. Il en serait de même si aucun appel n'avait eu lieu
au cycle n+1.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Description
Cette instruction prend en charge la réalisation d'une surveillance de commande bimanuelle
avec validation pour satisfaire aux exigences de la norme ISO 13851. Pour satisfaire
entièrement aux exigences de la norme, il est possible que des mesures supplémentaires
décrites dans cette norme soient nécessaires.
Si les boutons-poussoirs IN1 et IN2 sont actionnés pendant le temps de discordance autorisé
DISCTIME ≤ 500 ms (IN1/IN2 = 1) (actionnement synchrone), le signal de validation Q est mis
à 1 en présence de la validation ENABLE = 1. Si la différence de temps entre l'actionnement
du bouton-poussoir IN1 et celui du bouton-poussoir IN2 est supérieure à DISCTIME, les
boutons-poussoirs doivent être relâchés puis à nouveau actionnés.
Q est mis à 0 dès que l'un des boutons-poussoirs est relâché (IN1/IN 2 = 0) ou que la
validation ENABLE égale 0. Le signal de validation Q ne peut être remis à 1 que lorsque l'autre
bouton-poussoir a également été relâché et que les deux boutons-poussoirs sont ensuite à
nouveau actionnés durant le temps de discordance en présence de la validation ENABLE = 1.
Il faut associer à chaque appel de l'instruction TWO_H_EN (Two-hand monitoring with
enable) une zone de données dans laquelle les données de l'instruction sont stockées. Ainsi,
l'insertion de l'instruction dans le programme déclenche automatiquement l'ouverture de la
boîte de dialogue "Options d'appel" dans laquelle vous pouvez créer un bloc de données
(instance unique) (par exemple, TWO_H_EN_DB_1) ou une multi-instance (par exemple,
TWO_H_EN_Instance_1) pour l'instruction "Two-hand monitoring with enable". Après sa
création, vous trouverez le nouveau bloc de données sous "Blocs de programme > Blocs
système" dans le dossier "STEP 7 Safety" dans le navigateur de projet ou la multi-instance
comme variable locale dans la section "Static" de l'interface du bloc. Vous trouverez plus
d'informations à ce sujet dans l'aide de STEP 7.
ATTENTION
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Versions de l'instruction
Plusieurs versions sont disponibles pour cette instruction :
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety, la version la plus récente
disponible pour la CPU F créée est automatiquement prédéfinie.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
Sortie DIAG
La sortie DIAG fournit, aux fins de service, des informations non de sécurité sur les erreurs qui
se sont produites. Vous pouvez lire ces informations au moyen de systèmes de contrôle-
commande ou les évaluer, le cas échéant, dans votre programme utilisateur standard. Les bits
DIAG 0 à 5 restent mémorisés jusqu'à ce que la cause de l'erreur soit éliminée.
Structure de DIAG
① Lors du premier appel au cycle n+1, l'instant d'appel de l'instruction par rapport au début du
groupe d'exécution F est antérieur de Δ1 à celui du cycle n parce que, par exemple, des parties
du programme de sécurité du groupe d'exécution F sont sautées avant l'appel de l'instruction au
cycle n+1. Lors de l'actualisation du temps, l'instruction tient compte du temps TBase_1 au lieu du
temps T1 qui s'est effectivement écoulé depuis l'appel au cycle n.
② L'instruction est appelée une deuxième fois au cycle n+1. Il n'y a pas de nouvelle actualisation
du temps (de Δ2).
③ Lors de l'appel au cycle n+2, l'instant d'appel de l'instruction par rapport au début du groupe
d'exécution F est postérieur de Δ3 à celui du cycle n parce que, par exemple, le groupe d'exécu-
tion F a été interrompu par une alarme de priorité plus élevée avant l'appel de l'instruction au
cycle n+2. Au lieu du temps T3 qui s'est effectivement écoulé depuis l'appel au cycle n, l'instruc-
tion a pris en compte le temps TBase_1 + TBase_2. Il en serait de même si aucun appel n'avait eu lieu
au cycle n+1.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Description
Cette instruction réalise une inhibition (muting) parallèle avec deux ou quatre détecteurs
d'inhibition.
Remarque
Cette instruction est disponible uniquement pour les CPU F S7-300 et S7-400. Pour les CPU F
S7-1200/1500, vous disposez de l'instruction "Inhibition parallèle (Page 454)". L'instruction
"Inhibition parallèle" remplace l'instruction "Inhibition" avec des fonctions compatibles.
Il faut associer à chaque appel de l'instruction "Muting" une zone de données dans laquelle les
données de l'instruction sont stockées. Ainsi, l'insertion de l'instruction dans le programme
déclenche automatiquement l'ouverture de la boîte de dialogue "Options d'appel" dans
laquelle vous pouvez créer un bloc de données (instance unique) (par exemple,
MUTING_DB_1) ou une multi-instance (par exemple, MUTING_Instance_1) pour l'instruction
"Muting". Après sa création, vous trouverez le nouveau bloc de données sous "Blocs de
programme > Blocs système" dans le dossier "STEP 7 Safety" dans le navigateur de projet ou la
multi-instance comme variable locale dans la section "Static" de l'interface du bloc. Vous
trouverez plus d'informations à ce sujet dans l'aide de STEP 7.
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" n'est pas
possible. L'instruction est donc toujours exécutée (quel que soit l'état logique à l'entrée de
validation "EN").
ATTENTION
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
• L'instruction démarre la fonction MUTING lorsque les deux détecteurs à inhibition MS_11
et MS_12 sont activés par le produit durant DISCTIM1 (ils prennent l'état logique 1). Le
signal de validation Q reste à 1 même lorsque l'entrée FREE = 0 (barrière immatérielle
interrompue par le produit). La sortie MUTING pour l'activation de la lampe d'inhibition
prend la valeur 1.
Remarque
La lampe d'inhibition peut être surveillée grâce à l'entrée QBAD_MUT. Pour cela, raccordez
la lampe d'inhibition à une sortie avec surveillance de rupture de fil d'une périphérie F et
connectez l'entrée QBAD_MUT au signal QBAD de la périphérie F correspondante ou au
signal QBAD_O_xx de la voie correspondante. Si QBAD_MUT = 1, l'instruction met fin à
l'inhibition. Si aucune surveillance de la lampe d'inhibition n'est nécessaire, vous n'avez
pas besoin de connecter l'entrée QBAD_MUT.
Seules des périphéries F détectant une rupture de fil rapidement après l'activation de la
procédure d'inhibition sont adaptées (voir le manuel de la périphérie F spécifique).
• Tant que les deux détecteurs à inhibition MS_11 et MS_12 restent activés, la fonction
MUTING de l'instruction laisse Q à 1 et MUTING à 1 (de sorte que le produit peut traverser
la barrière immatérielle sans que la machine ne s'arrête).
• Les deux détecteurs à inhibition MS_21 et MS_22 doivent s'activer (durant DISCTIM2)
avant que les détecteurs à inhibition MS_11 et MS_12 ne se désactivent (prennent l'état
logique 0). L'instruction maintient ainsi la fonction MUTING (Q = 1, MUTING = 1).
• Ce n'est que lorsque l'un des deux détecteurs à inhibition MS_21 ou MS_22 se désactive
(le produit a franchi les détecteurs) que la fonction MUTING prend fin (Q = 1, MUTING =
0). La fonction MUTING doit être active au maximum pendant le temps paramétré à
l'entrée TIME_MAX.
Remarque
La fonction MUTING démarre également si le produit passe la barrière immatérielle dans
l'autre sens activant ainsi les détecteurs à inhibition dans l'ordre inverse.
Schéma d'un procédé d'inhibition de détection avec des barrières photoélectriques reflex
Si des barrières réflex sont utilisées comme détecteurs à inhibition, elles sont généralement
disposées de manière croisée.
Comme cette configuration ne requiert en général que deux barrières immatérielles comme
détecteurs à inhibition, seules les entrées MS_11 et MS_12 sont connectées.
Le fonctionnement est analogue à celui décrit pour la procédure d'inhibition avec 4
détecteurs à inhibition. L'étape 3 est supprimée. Dans la description de l'étape 4, remplacez
MS_21 et MS_22 par MS_11 et MS_12 respectivement.
Blocage du redémarrage en cas d'interruption de la barrière immatérielle (si MUTING n'est pas
actif), en cas d'erreurs et au démarrage du système F
Le signal de validation Q ne peut pas être mis à 1 ou prend la valeur 0 dans les cas suivants :
• La barrière immatérielle est interrompue (par exemple, par une personne ou le transport
de matériel) alors que la fonction MUTING n'est pas active.
• La surveillance de la lampe d'inhibition se déclenche à l'entrée QBAD_MUT.
• La paire de détecteurs 1 (MS_11 et MS_12) ou la paire de détecteurs 2 (MS_21 et MS_22)
ne s'activent ou ne se désactivent pas durant les temps de discordance DISCTIM1 ou
DISCTIM2.
• La fonction MUTING est active plus longtemps que le temps d'inhibition maximal
TIME_MAX.
• Les temps de discordance DISCTIM1 ou DISCTIM2 ont été paramétrés avec des valeurs < 0
ou > 3 s.
• Le temps d'inhibition maximal TIME_MAX a été paramétré avec une valeur < 0 ou >
10 min.
Dans ces cas, la sortie FAULT (défaut groupé) est mise à 1 (blocage du redémarrage). Si la
fonction MUTING est en cours d'exécution, elle est arrêtée et la sortie MUTING prend la
valeur 0.
ATTENTION
Si, lors du démarrage du système de sécurité, une combinaison valide des détecteurs à
fonction "muting" est constatée immédiatement (par exemple, parce que les détecteurs à
fonction "muting" sont connectés aux entrées d'une périphérie standard fournissant
immédiatement des valeurs de processus après le démarrage du système F), la fonction
MUTING est démarrée immédiatement et la sortie MUTING et le signal de validation Q
prennent la valeur 1. La sortie FAULT (défaut groupé) n'est pas mise à 1 (pas de blocage du
redémarrage). (S035)
La sortie FAULT est mise à 0. La sortie ACK_REQ = 1 signale qu'un acquittement utilisateur à
l'entrée ACK est nécessaire pour supprimer le blocage du redémarrage. L'instruction met
ACK_REQ à 1 dès que la barrière immatérielle n'est plus interrompue ou que les erreurs ont
été corrigées. Une fois l'acquittement effectué, l'instruction met ACK_REQ à 0.
Remarque
ACK_REQ est immédiatement mis à 1 après des erreurs de discordance et après dépassement
du temps d'inhibition maximal. Dès qu'un acquittement utilisateur est réalisé à l'entrée ACK,
les temps de discordance DISCTIM1 ou DISCTIM2 et le temps d'inhibition maximal TIME_MAX
sont réinitialisés.
ATTENTION
Sortie DIAG
La sortie DIAG fournit, aux fins de service, des informations non de sécurité sur les erreurs qui
se sont produites. Vous pouvez lire ces informations au moyen de systèmes de contrôle-
commande ou les évaluer, le cas échéant, dans votre programme utilisateur standard. Les bits
DIAG restent mémorisés jusqu'à ce que vous procédiez à l'acquittement à l'entrée ACK.
Structure de DIAG
① Lors du premier appel au cycle n+1, l'instant d'appel de l'instruction par rapport au début du
groupe d'exécution F est antérieur de Δ1 à celui du cycle n parce que, par exemple, des parties
du programme de sécurité du groupe d'exécution F sont sautées avant l'appel de l'instruction au
cycle n+1. Lors de l'actualisation du temps, l'instruction tient compte du temps TBase_1 au lieu du
temps T1 qui s'est effectivement écoulé depuis l'appel au cycle n.
② L'instruction est appelée une deuxième fois au cycle n+1. Il n'y a pas de nouvelle actualisation
du temps (de Δ2).
③ Lors de l'appel au cycle n+2, l'instant d'appel de l'instruction par rapport au début du groupe
d'exécution F est postérieur de Δ3 à celui du cycle n parce que, par exemple, le groupe d'exécu-
tion F a été interrompu par une alarme de priorité plus élevée avant l'appel de l'instruction au
cycle n+2. Au lieu du temps T3 qui s'est effectivement écoulé depuis l'appel au cycle n, l'instruc-
tion a pris en compte le temps TBase_1 + TBase_2. Il en serait de même si aucun appel n'avait eu lieu
au cycle n+1.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Description
Cette instruction réalise une inhibition (muting) parallèle avec deux ou quatre détecteurs
d'inhibition.
L'inhibition ou "muting" correspond à une désactivation définie de la fonction de protection
de barrières immatérielles. Le fonctionnement avec inhibition des barrières immatérielles
peut être utilisé pour amener des marchandises ou des objets dans la zone de danger
surveillée par la barrière immatérielle sans que la machine ne s'arrête.
Au moins deux détecteurs à fonction "muting" (ou détecteurs à inhibition) câblés
indépendamment l'un de l'autre sont nécessaires pour utiliser la fonction d'inhibition.
L'utilisation de deux ou quatre détecteurs à inhibition ainsi que l'intégration correcte dans le
processus de production doivent garantir qu'aucune personne ne pénètre dans la zone de
danger lorsque la barrière immatérielle est désactivée.
Il faut associer à chaque appel de l'instruction "Parallel muting" une zone de données dans
laquelle les données de l'instruction sont stockées. Ainsi, l'insertion de l'instruction dans le
programme déclenche automatiquement l'ouverture de la boîte de dialogue "Options d'appel"
dans laquelle vous pouvez créer un bloc de données (instance unique) (par exemple,
MUT_P_DB_1) ou une multi-instance (par exemple, MUT_P_Instance_1) pour l'instruction
"Parallel muting". Après sa création, vous trouverez le nouveau bloc de données sous "Blocs
de programme > Blocs système" dans le dossier "STEP 7 Safety" dans le navigateur de projet
ou la multi-instance comme variable locale dans la section "Static" de l'interface du bloc. Vous
trouverez plus d'informations à ce sujet dans l'aide de STEP 7.
ATTENTION
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Versions de l'instruction
Plusieurs versions sont disponibles pour cette instruction :
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety, la version la plus récente
disponible pour la CPU F créée est automatiquement prédéfinie.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
• L'instruction démarre la fonction MUTING lorsque les deux détecteurs à inhibition MS_11
et MS_12 sont activés par le produit durant DISCTIM1 (ils prennent l'état logique 1) et que
MUTING est validé par l'entrée ENABLE = 1. Le signal de validation Q reste à 1 même
lorsque l'entrée FREE = 0 (barrière immatérielle interrompue par le produit). La sortie
MUTING pour l'activation de la lampe d'inhibition prend la valeur 1.
Remarque
La lampe d'inhibition peut être surveillée grâce à l'entrée QBAD_MUT. Pour cela, raccordez
la lampe d'inhibition à une sortie avec surveillance de rupture de fil d'une périphérie F et
connectez l'entrée QBAD_MUT au signal QBAD de la périphérie F correspondante ou au
signal QBAD_O_xx / à l'état de la valeur inversé de la voie correspondante. Si QBAD_MUT =
1, l'instruction met fin à l'inhibition. Si aucune surveillance de la lampe d'inhibition n'est
nécessaire, vous n'avez pas besoin de connecter l'entrée QBAD_MUT.
Seules des périphéries F détectant une rupture de fil rapidement après l'activation de la
procédure d'inhibition sont adaptées (voir le manuel de la périphérie F spécifique).
• Tant que les deux détecteurs à inhibition MS_11 et MS_12 restent activés, la fonction
MUTING de l'instruction laisse Q à 1 et MUTING à 1 (de sorte que le produit peut traverser
la barrière immatérielle sans que la machine ne s'arrête). Chacun des deux détecteurs à
inhibition MS_11 ou MS_12 peut alors se désactiver (prendre l'état logique 0) brièvement
(t < DISCTIM1).
• Les deux détecteurs à inhibition MS_21 et MS_22 doivent s'activer (durant DISCTIM2)
avant que les deux détecteurs à inhibition MS_11 et MS_12 ne se désactivent (prennent
l'état logique 0). L'instruction maintient ainsi la fonction MUTING (Q = 1, MUTING = 1).
Ce n'est que lorsque les deux détecteurs à inhibition MS_21 et MS_22 se désactivent (le
produit a franchi les détecteurs) que la fonction MUTING prend fin (Q = 1, MUTING = 0). La
fonction MUTING doit être active au maximum pendant le temps paramétré à l'entrée
TIME_MAX.
Remarque
La fonction MUTING démarre également si le produit passe la barrière immatérielle dans
l'autre sens activant ainsi les détecteurs à inhibition dans l'ordre inverse.
Schéma d'un procédé d'inhibition de détection avec des barrières photoélectriques reflex
Si des barrières réflex sont utilisées comme détecteurs à inhibition, elles sont généralement
disposées de manière croisée.
Comme cette configuration ne requiert en général que deux barrières immatérielles comme
détecteurs à inhibition, seules les entrées MS_11 et MS_12 sont connectées.
Le fonctionnement est analogue à celui décrit pour la procédure d'inhibition avec 4
détecteurs à inhibition. L'étape 3 est supprimée. Dans la description de l'étape 4, remplacez
MS_21 et MS_22 par MS_11 et MS_12 respectivement.
Remarque
Lorsque le temps d'inhibition maximal TIME_MAX a été dépassé, il est réinitialisé dès que la
fonction MUTING est redémarrée.
ATTENTION
En cas d'utilisation de la fonction FREE, vous devez surveiller l'action. Vous devez à tout
moment pouvoir interrompre une situation de mise en danger par relâchement du bouton
d'acquittement. Le bouton d'acquittement doit être placé de manière à ce que l'ensemble de
la zone de danger puisse être surveillé. (S037)
ATTENTION
Sortie DIAG
La sortie DIAG fournit, aux fins de service, des informations non de sécurité sur les erreurs qui
se sont produites. Vous pouvez lire ces informations au moyen de systèmes de contrôle-
commande ou les évaluer, le cas échéant, dans votre programme utilisateur standard. Les bits
DIAG 0 à 6 restent mémorisés jusqu'à ce que vous procédiez à l'acquittement à l'entrée ACK.
Structure de DIAG
① Lors du premier appel au cycle n+1, l'instant d'appel de l'instruction par rapport au début du
groupe d'exécution F est antérieur de Δ1 à celui du cycle n parce que, par exemple, des parties
du programme de sécurité du groupe d'exécution F sont sautées avant l'appel de l'instruction au
cycle n+1. Lors de l'actualisation du temps, l'instruction tient compte du temps TBase_1 au lieu du
temps T1 qui s'est effectivement écoulé depuis l'appel au cycle n.
② L'instruction est appelée une deuxième fois au cycle n+1. Il n'y a pas de nouvelle actualisation
du temps (de Δ2).
③ Lors de l'appel au cycle n+2, l'instant d'appel de l'instruction par rapport au début du groupe
d'exécution F est postérieur de Δ3 à celui du cycle n parce que, par exemple, le groupe d'exécu-
tion F a été interrompu par une alarme de priorité plus élevée avant l'appel de l'instruction au
cycle n+2. Au lieu du temps T3 qui s'est effectivement écoulé depuis l'appel au cycle n, l'instruc-
tion a pris en compte le temps TBase_1 + TBase_2. Il en serait de même si aucun appel n'avait eu lieu
au cycle n+1.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Description
Cette instruction réalise une exploitation 1oo2 (1de2) de deux capteurs monovoie combinée
à une analyse de discordance.
La sortie Q est mise à 1 lorsque les états logiques des deux entrées IN1 et IN2 sont égaux à 1
et qu'aucune erreur de discordance DISC_FLT n'est mémorisée. Si l'état logique de l'une ou
des deux entrées est 0, la sortie Q est mise à 0.
Le temps de discordance DISCTIME démarre dès que les états logiques des deux entrées IN1
et IN2 diffèrent. Si les états logiques des deux entrées sont toujours différents à l'expiration
du temps de discordance, une erreur de discordance est détectée et DISC_FLT est mis à 1
(blocage du redémarrage).
Si aucune discordance n'est plus détectée entre les entrées IN1 et IN2, l'erreur de discordance
est acquittée en fonction du paramétrage de ACK_NEC :
• Si ACK_NEC = 0, l'acquittement est automatique.
• Si ACK_NEC = 1, vous pouvez acquitter l'erreur de discordance par un front montant à
l'entrée ACK.
La sortie ACK_REQ = 1 signale qu'un acquittement utilisateur à l'entrée ACK est nécessaire
pour acquitter l'erreur de discordance (suppression du blocage du redémarrage). L'instruction
met ACK_REQ à 1 dès qu'elle ne détecte plus de discordance. L'instruction met ACK_REQ à 0
une fois l'acquittement effectué ou si elle détecte une nouvelle discordance entre les états
logiques des deux entrées IN1 et IN2 avant un acquittement.
La sortie Q ne peut jamais être mise à 1 si le temps de discordance est configuré à des valeurs
< 0 ou > 60 s. Dans ce cas, la sortie DISC_FLT est également mise à 1 (blocage du
redémarrage). L'intervalle d'appel du programme de sécurité (par exemple, l'OB 35) doit être
inférieur au temps de discordance paramétré.
Il faut associer à chaque appel de l'instruction EV1oo2DI (1oo2 evaluation with discrepancy
analysis) une zone de données dans laquelle les données de l'instruction sont stockées. Ainsi,
l'insertion de l'instruction dans le programme déclenche automatiquement l'ouverture de la
boîte de dialogue "Options d'appel" dans laquelle vous pouvez créer un bloc de données
(instance unique) (par exemple, EV1oo2DI_DB_1) ou une multi-instance (par exemple,
EV1oo2DI_Instance_1) pour l'instruction "1oo2 evaluation with discrepancy analysis". Après
sa création, vous trouverez le nouveau bloc de données sous "Blocs de programme > Blocs
système" dans le dossier "STEP 7 Safety" dans le navigateur de projet ou la multi-instance
comme variable locale dans la section "Static" de l'interface du bloc. Vous trouverez plus
d'informations à ce sujet dans l'aide de STEP 7.
ATTENTION
ATTENTION
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Versions de l'instruction
Plusieurs versions sont disponibles pour cette instruction :
Comportement au démarrage
Remarque
Si les capteurs aux entrées IN1 et IN2 sont affectés à des périphéries F différentes, il peut
arriver que les sorties de valeurs de remplacement aient des durées différentes après un
démarrage du système F du fait des comportements au démarrage différents des périphéries
F. Si les états logiques des deux entrées IN1 et IN2 sont toujours différents à l'expiration du
temps de discordance DISCTIME, une erreur de discordance est détectée après le démarrage
du système F.
Si ACK_NEC = 1, vous devez acquitter l'erreur de discordance par un front montant à l'entrée
ACK.
Sortie DIAG
La sortie DIAG fournit, aux fins de service, des informations non de sécurité sur les erreurs qui
se sont produites. Vous pouvez lire ces informations au moyen de systèmes de contrôle-
commande ou les évaluer, le cas échéant, dans votre programme utilisateur standard. Les bits
DIAG restent mémorisés jusqu'à ce que vous procédiez à l'acquittement à l'entrée ACK.
Structure de DIAG
① Lors du premier appel au cycle n+1, l'instant d'appel de l'instruction par rapport au début du
groupe d'exécution F est antérieur de Δ1 à celui du cycle n parce que, par exemple, des parties
du programme de sécurité du groupe d'exécution F sont sautées avant l'appel de l'instruction au
cycle n+1. Lors de l'actualisation du temps, l'instruction tient compte du temps TBase_1 au lieu du
temps T1 qui s'est effectivement écoulé depuis l'appel au cycle n.
② L'instruction est appelée une deuxième fois au cycle n+1. Il n'y a pas de nouvelle actualisation
du temps (de Δ2).
③ Lors de l'appel au cycle n+2, l'instant d'appel de l'instruction par rapport au début du groupe
d'exécution F est postérieur de Δ3 à celui du cycle n parce que, par exemple, le groupe d'exécu-
tion F a été interrompu par une alarme de priorité plus élevée avant l'appel de l'instruction au
cycle n+2. Au lieu du temps T3 qui s'est effectivement écoulé depuis l'appel au cycle n, l'instruc-
tion a pris en compte le temps TBase_1 + TBase_2. Il en serait de même si aucun appel n'avait eu lieu
au cycle n+1.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Description
Cette instruction réalise une surveillance du circuit de réaction.
Elle vérifie pour cela si l'état logique de la sortie Q coïncide avec l’état logique inversé de
l’entrée de relecture FEEDBACK.
La sortie Q est mise à 1 dès que l'entrée ON a la valeur 1. La condition est que l’entrée de
relecture FEEDBACK ait la valeur 1 et qu'aucune erreur de relecture ne soit mémorisée.
La sortie Q est mise à 0 dès que l'entrée ON prend la valeur 0 ou lorsqu'une erreur de
relecture est détectée.
Une erreur de relecture ERROR = 1 est détectée si l'état logique inverse de l'entrée de
relecture FEEDBACK (pour la sortie Q) ne suit pas l'état logique de la sortie Q dans le temps de
relecture tolérable maximal FDB_TIME. L'erreur de relecture est mémorisée.
Si une discordance est détectée entre l'entrée de relecture FEEDBACK et la sortie Q après une
erreur de relecture, l'erreur de relecture est acquittée en fonction du paramétrage de
ACK_NEC :
• Si ACK_NEC = 0, l'acquittement est automatique.
• Si ACK_NEC = 1, vous devez acquitter l'erreur de relecture par un front montant à l'entrée
ACK.
La sortie ACK_REQ = 1 signale qu'un acquittement utilisateur à l'entrée ACK est nécessaire
pour acquitter l'erreur de relecture. L'instruction met ACK_REQ à 0 une fois l'acquittement
effectué.
Pour éviter qu'une erreur de relecture ne soit détectée et qu'un acquittement ne soit exigé en
cas de passivation de la périphérie F commandée par la sortie Q, vous devez connecter
l'entrée QBAD_FIO au signal QBAD de la périphérie F correspondante ou au signal QBAD_O_xx
/ à l'état de la valeur inversé de la voie correspondante.
Il faut associer à chaque appel de l'instruction FDBACK (Feedback monitoring) une zone de
données dans laquelle les données de l'instruction sont stockées. Ainsi, l'insertion de
l'instruction dans le programme déclenche automatiquement l'ouverture de la boîte de
dialogue "Options d'appel" dans laquelle vous pouvez créer un bloc de données (instance
unique) (par exemple, FDBACK_DB_1) ou une multi-instance (par exemple,
FDBACK_Instance_1) pour l'instruction "Feedback monitoring". Après sa création, vous
trouverez le nouveau bloc de données sous "Blocs de programme > Blocs système" dans le
dossier "STEP 7 Safety" dans le navigateur de projet ou la multi-instance comme variable
locale dans la section "Static" de l'interface du bloc. Vous trouverez plus d'informations à ce
sujet dans l'aide de STEP 7.
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" n'est pas
possible. L'instruction est donc toujours exécutée (quel que soit l'état logique à l'entrée de
validation "EN").
ATTENTION
ATTENTION
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Versions de l'instruction
Plusieurs versions sont disponibles pour cette instruction :
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety, la version la plus récente
disponible pour la CPU F créée est automatiquement prédéfinie.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
Exemple de connexion
Sortie DIAG
La sortie DIAG fournit, aux fins de service, des informations non de sécurité sur les erreurs qui
se sont produites. Vous pouvez lire ces informations au moyen de systèmes de contrôle-
commande ou les évaluer, le cas échéant, dans votre programme utilisateur standard. Les bits
DIAG 0, 2 et 5 restent mémorisés jusqu'à ce que vous procédiez à l'acquittement à l'entrée
ACK.
Structure de DIAG
① Lors du premier appel au cycle n+1, l'instant d'appel de l'instruction par rapport au début du
groupe d'exécution F est antérieur de Δ1 à celui du cycle n parce que, par exemple, des parties
du programme de sécurité du groupe d'exécution F sont sautées avant l'appel de l'instruction au
cycle n+1. Lors de l'actualisation du temps, l'instruction tient compte du temps TBase_1 au lieu du
temps T1 qui s'est effectivement écoulé depuis l'appel au cycle n.
② L'instruction est appelée une deuxième fois au cycle n+1. Il n'y a pas de nouvelle actualisation
du temps (de Δ2).
③ Lors de l'appel au cycle n+2, l'instant d'appel de l'instruction par rapport au début du groupe
d'exécution F est postérieur de Δ3 à celui du cycle n parce que, par exemple, le groupe d'exécu-
tion F a été interrompu par une alarme de priorité plus élevée avant l'appel de l'instruction au
cycle n+2. Au lieu du temps T3 qui s'est effectivement écoulé depuis l'appel au cycle n, l'instruc-
tion a pris en compte le temps TBase_1 + TBase_2. Il en serait de même si aucun appel n'avait eu lieu
au cycle n+1.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction pour les CPU F S7-300/400 :
Description
Cette instruction réalise une surveillance de protecteur mobile.
Le signal de validation Q est mis à 0 dès que l'une des deux entrées IN1 ou IN2 prend l'état
logique 0 (le protecteur mobile s'ouvre). Le signal de validation ne peut être remis à 1 que
lorsque :
• les deux entrées IN1 et IN2 ont pris l'état logique 0 avant la fermeture de la porte (le
protecteur mobile a été complètement ouvert),
• les deux entrées IN1 et IN2 prennent ensuite l'état logique 1 (le protecteur mobile est
fermé),
• un acquittement est réalisé.
L'acquittement pour la validation est réalisé en fonction du paramétrage à l'entrée ACK_NEC :
• Si ACK_NEC = 0, l'acquittement est automatique.
• Si ACK_NEC = 1, vous devez utiliser un front montant à l'entrée ACK pour acquitter la
validation.
La sortie ACK_REQ = 1 signale que l'acquittement nécessite un acquittement utilisateur à
l'entrée ACK. L'instruction met ACK_REQ à 1 dès que la porte est fermée. L'instruction met
ACK_REQ à 0 une fois l'acquittement effectué.
Pour que l'instruction détecte si les entrées IN1 et IN2 ont la valeur 0 uniquement à cause
d'une passivation de la périphérie F correspondante, vous devez connecter les entrées
QBAD_IN1 ou QBAD_IN2 au signal QBAD de la périphérie F correspondante ou au signal
QBAD_I_xx / à l'état de la valeur inversé des voies correspondantes. Cela vous évitera
notamment d'avoir à ouvrir entièrement le protecteur mobile avant un acquittement en cas
de passivation de la périphérie F.
Il faut associer à chaque appel de l'instruction SFDOOR (Safety door monitoring) une zone de
données dans laquelle les données de l'instruction sont stockées. Ainsi, l'insertion de
l'instruction dans le programme déclenche automatiquement l'ouverture de la boîte de
dialogue "Options d'appel" dans laquelle vous pouvez créer un bloc de données (instance
unique) (par exemple, SFDOOR_DB_1) ou une multi-instance (par exemple,
SFDOOR_Instance_1) pour l'instruction "Safety door monitoring". Après sa création, vous
trouverez le nouveau bloc de données sous "Blocs de programme > Blocs système" dans le
dossier "STEP 7 Safety" dans le navigateur de projet ou la multi-instance comme variable
locale dans la section "Static" de l'interface du bloc. Vous trouverez plus d'informations à ce
sujet dans l'aide de STEP 7.
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" n'est pas
possible. L'instruction est donc toujours exécutée (quel que soit l'état logique à l'entrée de
validation "EN").
ATTENTION
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Versions de l'instruction
Plusieurs versions sont disponibles pour cette instruction :
Exemple de connexion
Vous devez connecter le contact à ouverture de l'interrupteur de position 1 du protecteur
mobile à l'entrée IN1 et le contact de fermeture de l'interrupteur de position 2 à l'entrée IN2.
L'interrupteur de position 1 doit être placé de manière à être obligatoirement actionné
lorsque le protecteur mobile est ouvert. L'interrupteur de position 2 doit être placé de
manière à être actionné lorsque le protecteur mobile est fermé.
Comportement au démarrage
Le signal de validation Q est mis à 0 après un démarrage du système F. L'acquittement pour la
validation est réalisé en fonction du paramétrage aux entrées OPEN_NEC et ACK_NEC :
• Si OPEN_NEC = 0, un acquittement automatique a lieu indépendamment de ACK_NEC
dès que les deux entrées IN1 et IN2 prennent pour la première fois l'état logique 1 (le
protecteur mobile est fermé) après réintégration de la périphérie F correspondante.
• Si OPEN_NEC = 1 ou qu'au moins une des deux entrées IN1 et IN2 a encore l'état logique 0
après réintégration de la périphérie F correspondante, un acquittement automatique a
lieu en fonction de ACK_NEC ou vous devez procéder à un acquittement par un front
montant à l'entrée ACK pour réaliser la validation. Avant l'acquittement, les deux entrées
IN1 et IN2 doivent avoir pris l'état logique 0 (le protecteur mobile a été complètement
ouvert), puis l'état logique 1 (le protecteur mobile est fermé).
ATTENTION
Sortie DIAG
La sortie DIAG fournit, aux fins de service, des informations non de sécurité sur les erreurs qui
se sont produites. Vous pouvez lire ces informations au moyen de systèmes de contrôle-
commande ou les évaluer, le cas échéant, dans votre programme utilisateur standard.
Structure de DIAG
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction pour les CPU F S7-300/400 :
Description
Cette instruction génère un acquittement pour la réintégration simultanée de toutes les
périphéries F/voies de la périphérie F d'un groupe d'exécution F après des erreurs de
communication ou des erreurs de périphérie F/de voie.
Un acquittement utilisateur (Page 183) avec un front montant à l'entrée ACK_GLOB est
nécessaire pour la réintégration. L'acquittement se fait de la même manière que
l'acquittement utilisateur par la variable ACK_REI du DB de périphérie F (Page 166), mais agit
simultanément sur toutes les périphéries F du groupe d'exécution F dans lequel l'instruction
est appelée.
Si vous utilisez l'instruction ACK_GL, il est inutile de prévoir un acquittement utilisateur par la
variable ACK_REI du DB de périphérie F pour chaque périphérie F du groupe d'exécution F.
Il faut associer à chaque appel de l'instruction ACK_GL (Global acknowledgment of all F-I/Os
in an F-runtime group) une zone de données dans laquelle les données de l'instruction sont
stockées. Ainsi, l'insertion de l'instruction dans le programme déclenche automatiquement
l'ouverture de la boîte de dialogue "Options d'appel" dans laquelle vous pouvez créer un bloc
de données (instance unique) (par exemple, ACK_GL_DB_1) ou une multi-instance (par
exemple, ACK_GL_Instance_1) pour l'instruction "Global acknowledgment of all F-I/Os in an F-
runtime group". Après sa création, vous trouverez le nouveau bloc de données sous "Blocs de
programme > Blocs système" dans le dossier "STEP 7 Safety" dans le navigateur de projet ou la
multi-instance comme variable locale dans la section "Static" de l'interface du bloc. Vous
trouverez plus d'informations à ce sujet dans l'aide de STEP 7.
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" n'est pas
possible. L'instruction est donc toujours exécutée (quel que soit l'état logique à l'entrée de
validation "EN").
Remarque
Un acquittement par l'instruction ACK_GL n'est possible que si la variable ACK_REI du DB de
périphérie F est égale à 0. De même, un acquittement par la variable ACK_REI du DB de
périphérie F n'est possible que si l'entrée ACK_GLOB de l'instruction est égale à 0.
L'instruction ne peut être appelée qu'une fois par groupe d'exécution F.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Versions de l'instruction
Plusieurs versions sont disponibles pour cette instruction :
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety, la version la plus récente
disponible pour la CPU F créée est automatiquement prédéfinie.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
13.4 Temporisations
Description
L'instruction "Génération d'impulsion" permet de mettre la sortie Q à 1 pour une durée
programmée. L'instruction démarre lorsque le résultat logique (RLO) à l'entrée IN passe de "0"
à "1" (front montant). La durée programmée PT commence à s'écouler au démarrage de
l'instruction. La sortie Q est mise à 1 pour la durée PT, indépendamment de l'évolution du
signal d'entrée. La détection d'un nouveau front montant n'a pas d'influence sur l'état logique
à la sortie Q tant que la durée PT n'est pas écoulée.
Vous pouvez interroger la valeur de temps actuelle au niveau de la sortie ET. La valeur de
temps débute à T#0s et se termine lorsque la valeur de la durée PT est atteinte. Lorsque la
durée PT est atteinte et que l'état logique à l'entrée IN est "0", la sortie ET est mise à 0.
Il faut associer à chaque appel de l'instruction "Génération d'impulsion" une zone de données
dans laquelle les données de l'instruction sont stockées. Ainsi, l'insertion de l'instruction dans
le programme déclenche automatiquement l'ouverture de la boîte de dialogue "Options
d'appel" dans laquelle vous pouvez créer un bloc de données (instance unique) (par exemple,
F_IEC_Timer_DB_1) ou une multi-instance (par exemple, F_IEC_Timer_Instance_1) pour
l'instruction "Génération d'impulsion". Après sa création, vous trouverez le nouveau bloc de
données sous "Blocs de programme > Blocs système" dans le dossier "STEP 7 Safety" dans le
navigateur de projet ou la multi-instance comme variable locale dans la section "Static" de
l'interface du bloc. Vous trouverez plus d'informations à ce sujet dans l'aide de STEP 7.
ATTENTION
Remarque
La fonctionnalité de cette instruction diffère de l'instruction TP standard correspondante sur
les points suivants :
• Si l'instruction est appelée avec PT = 0 ms alors que le temps s'écoule, les sorties Q et ET
sont mises à 0.
• Si l'instruction est appelée avec PT < 0 ms, les sorties Q et ET sont mises à 0.
Un nouveau front montant à l'entrée IN est nécessaire pour redémarrer l'impulsion une fois
que PT est de nouveau supérieur à 0.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Versions de l'instruction
Plusieurs versions sont disponibles pour cette instruction :
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety, la version la plus récente
disponible pour la CPU F créée est automatiquement prédéfinie.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
Diagramme d'impulsion
La figure suivante montre le diagramme d'impulsion de l'instruction "Génération
d'impulsion" :
① Lors du premier appel au cycle n+1, l'instant d'appel de l'instruction par rapport au début du
groupe d'exécution F est antérieur de Δ1 à celui du cycle n parce que, par exemple, des parties
du programme de sécurité du groupe d'exécution F sont sautées avant l'appel de l'instruction au
cycle n+1. Lors de l'actualisation du temps, l'instruction tient compte du temps TBase_1 au lieu du
temps T1 qui s'est effectivement écoulé depuis l'appel au cycle n.
② L'instruction est appelée une deuxième fois au cycle n+1. Il n'y a pas de nouvelle actualisation
du temps (de Δ2).
③ Lors de l'appel au cycle n+2, l'instant d'appel de l'instruction par rapport au début du groupe
d'exécution F est postérieur de Δ3 à celui du cycle n parce que, par exemple, le groupe d'exécu-
tion F a été interrompu par une alarme de priorité plus élevée avant l'appel de l'instruction au
cycle n+2. Au lieu du temps T3 qui s'est effectivement écoulé depuis l'appel au cycle n, l'instruc-
tion a pris en compte le temps TBase_1 + TBase_2. Il en serait de même si aucun appel n'avait eu lieu
au cycle n+1.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Description
L'instruction "Retard à la montée" permet de retarder la mise à 1 de la sortie Q de la durée
programmée PT. L'instruction démarre lorsque le résultat logique (RLO) à l'entrée IN passe de
"0" à "1" (front montant). La durée programmée PT commence à s'écouler au démarrage de
l'instruction. Lorsque la durée PT est écoulée, la sortie Q fournit l'état logique "1". La sortie Q
reste à 1 tant que l'entrée de démarrage est à "1". Lorsque l'état logique passe de "1" à "0" à
l'entrée de démarrage, la sortie Q est mise à 0. La fonction de temporisation redémarre
lorsqu'un nouveau front montant est détecté à l'entrée de démarrage.
Vous pouvez interroger la valeur de temps actuelle au niveau de la sortie ET. La valeur de
temps débute à T#0s et se termine lorsque la valeur de la durée PT est atteinte. La sortie ET
est réinitialisée dès que l'état logique à l'entrée IN passe à "0".
Il faut associer à chaque appel de l'instruction "Retard à la montée" une zone de données dans
laquelle les données de l'instruction sont stockées. Ainsi, l'insertion de l'instruction dans le
programme déclenche automatiquement l'ouverture de la boîte de dialogue "Options d'appel"
dans laquelle vous pouvez créer un bloc de données (instance unique) (par exemple,
F_IEC_Timer_DB_1) ou une multi-instance (par exemple, F_IEC_Timer_Instance_1) pour
l'instruction "Retard à la montée". Après sa création, vous trouverez le nouveau bloc de
données sous "Blocs de programme > Blocs système" dans le dossier "STEP 7 Safety" dans le
navigateur de projet ou la multi-instance comme variable locale dans la section "Static" de
l'interface du bloc. Vous trouverez plus d'informations à ce sujet dans l'aide de STEP 7.
ATTENTION
Remarque
La fonctionnalité de cette instruction diffère de l'instruction TON standard correspondante sur
les points suivants :
• Si l'instruction est appelée avec PT = 0 ms alors que le temps s'écoule, la sortie ET est mise
à 0.
• Si l'instruction est appelée avec PT < 0 ms, les sorties Q et ET sont mises à 0.
Un nouveau front montant à l'entrée IN est nécessaire pour redémarrer le retard à la montée
une fois que PT est de nouveau supérieur à 0.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Versions de l'instruction
Plusieurs versions sont disponibles pour cette instruction :
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety, la version la plus récente
disponible pour la CPU F créée est automatiquement prédéfinie.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
Diagramme d'impulsion
La figure suivante montre le diagramme d'impulsion de l'instruction "Retard à la montée" :
① Lors du premier appel au cycle n+1, l'instant d'appel de l'instruction par rapport au début du
groupe d'exécution F est antérieur de Δ1 à celui du cycle n parce que, par exemple, des parties
du programme de sécurité du groupe d'exécution F sont sautées avant l'appel de l'instruction au
cycle n+1. Lors de l'actualisation du temps, l'instruction tient compte du temps TBase_1 au lieu du
temps T1 qui s'est effectivement écoulé depuis l'appel au cycle n.
② L'instruction est appelée une deuxième fois au cycle n+1. Il n'y a pas de nouvelle actualisation
du temps (de Δ2).
③ Lors de l'appel au cycle n+2, l'instant d'appel de l'instruction par rapport au début du groupe
d'exécution F est postérieur de Δ3 à celui du cycle n parce que, par exemple, le groupe d'exécu-
tion F a été interrompu par une alarme de priorité plus élevée avant l'appel de l'instruction au
cycle n+2. Au lieu du temps T3 qui s'est effectivement écoulé depuis l'appel au cycle n, l'instruc-
tion a pris en compte le temps TBase_1 + TBase_2. Il en serait de même si aucun appel n'avait eu lieu
au cycle n+1.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Si l'état logique de l'opérande "TagIn_1" passe de "0" à "1", l'instruction "Retard à la montée"
démarre et la durée paramétrée à l'entrée PT (1 s) s'écoule.
L'opérande "TagOut" à la sortie Q fournit l'état logique "1" lorsque la durée a expiré et reste à
1 aussi longtemps que l'opérande "TagIn_1" est à 1. L'opérande ""F_DB_1".Tag_ET" contient la
valeur de temps actuelle.
Description
L'instruction "Retard à la retombée" permet de retarder la mise à 0 de la sortie Q de la durée
programmée PT. La sortie Q est mise à 1 lorsque le résultat logique (RLO) à l'entrée IN passe
de "0" à "1" (front montant). Lorsque l'état logique à l'entrée IN repasse à "0", la durée
programmée PT commence à s'écouler. La sortie Q reste à 1 tant que la durée PT s'écoule.
Une fois la durée PT écoulée, la sortie Q est mise à 0. Si l'état logique à l'entrée IN passe à "1"
avant que la durée PT n'ait expiré, le temps est réinitialisé. L'état logique à la sortie Q reste à
"1".
Vous pouvez interroger la valeur de temps actuelle au niveau de la sortie ET. La valeur de
temps débute à T#0s et se termine lorsque la valeur de la durée PT est atteinte. Une fois la
durée PT écoulée, la sortie ET reste à la valeur actuelle jusqu'à ce que l'entrée IN passe de
nouveau à "1". Si l'entrée IN passe à "1" avant l'expiration de la durée PT, la sortie ET est
réinitialisée à la valeur T#0s.
Il faut associer à chaque appel de l'instruction "Retard à la retombée" une zone de données
dans laquelle les données de l'instruction sont stockées. Ainsi, l'insertion de l'instruction dans
le programme déclenche automatiquement l'ouverture de la boîte de dialogue "Options
d'appel" dans laquelle vous pouvez créer un bloc de données (instance unique) (par exemple,
F_IEC_Timer_DB_1) ou une multi-instance (par exemple, F_IEC_Timer_Instance_1) pour
l'instruction "Retard à la retombée". Après sa création, vous trouverez le nouveau bloc de
données sous "Blocs de programme > Blocs système" dans le dossier "STEP 7 Safety" dans le
navigateur de projet ou la multi-instance comme variable locale dans la section "Static" de
l'interface du bloc. Vous trouverez plus d'informations à ce sujet dans l'aide de STEP 7.
ATTENTION
Remarque
La fonctionnalité de cette instruction diffère de l'instruction TOF standard correspondante sur
les points suivants :
• Si l'instruction est appelée avec PT = 0 ms alors que le temps s'écoule, les sorties Q et ET
sont mises à 0.
• Si l'instruction est appelée avec PT < 0 ms, les sorties Q et ET sont mises à 0.
Un nouveau front descendant à l'entrée IN est nécessaire pour redémarrer le retard à la
retombée une fois que PT est de nouveau supérieur à 0.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Versions de l'instruction
Plusieurs versions sont disponibles pour cette instruction :
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety, la version la plus récente
disponible pour la CPU F créée est automatiquement prédéfinie.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
Diagramme d'impulsion
La figure suivante montre le diagramme d'impulsion de l'instruction "Retard à la retombée" :
① Lors du premier appel au cycle n+1, l'instant d'appel de l'instruction par rapport au début du
groupe d'exécution F est antérieur de Δ1 à celui du cycle n parce que, par exemple, des parties
du programme de sécurité du groupe d'exécution F sont sautées avant l'appel de l'instruction au
cycle n+1. Lors de l'actualisation du temps, l'instruction tient compte du temps TBase_1 au lieu du
temps T1 qui s'est effectivement écoulé depuis l'appel au cycle n.
② L'instruction est appelée une deuxième fois au cycle n+1. Il n'y a pas de nouvelle actualisation
du temps (de Δ2).
③ Lors de l'appel au cycle n+2, l'instant d'appel de l'instruction par rapport au début du groupe
d'exécution F est postérieur de Δ3 à celui du cycle n parce que, par exemple, le groupe d'exécu-
tion F a été interrompu par une alarme de priorité plus élevée avant l'appel de l'instruction au
cycle n+2. Au lieu du temps T3 qui s'est effectivement écoulé depuis l'appel au cycle n, l'instruc-
tion a pris en compte le temps TBase_1 + TBase_2. Il en serait de même si aucun appel n'avait eu lieu
au cycle n+1.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Lorsque l'état logique de l'opérande "TagIn_1" passe de "0" à "1", l'état logique de l'opérande
"TagOut" est mis à 1 à la sortie Q.
Si l'état logique de l'opérande "TagIn_1" repasse à "0", la durée paramétrée à l'entrée PT
(200 ms) commence à s'écouler.
L'opérande "TagOut" à la sortie Q est remis à "0" lorsque la durée a expiré. L'opérande
""F_DB_1".Tag_ET" contient la valeur de temps actuelle.
13.5 Compteurs
Description
L'instruction "Comptage" permet d'incrémenter la valeur à la sortie CV. Lorsque l'état logique
à l'entrée CU passe de "0" à "1" (front montant), l'instruction est exécutée et la valeur de
comptage actuelle à la sortie CV est incrémentée de un. La valeur de comptage est
incrémentée à chaque détection d'un front montant jusqu'à ce qu'elle atteigne la valeur limite
supérieure du type de données indiqué à la sortie CV. Une fois la valeur limite supérieure
atteinte, l'état logique à l'entrée CU n'a plus d'influence sur l'instruction.
L'état du compteur peut être interrogé à la sortie Q. L'état logique à la sortie Q est déterminé
par le paramètre PV. Lorsque la valeur de comptage actuelle est supérieure ou égale à la
valeur du paramètre PV, la sortie Q est mise à l'état logique "1". Dans tous les autres cas, l'état
logique à la sortie Q est "0".
La valeur à la sortie CV est remise à zéro lorsque l'état logique à l'entrée R passe à "1". Tant
que l'entrée R présente l'état logique "1", l'état logique à l'entrée CU n'a pas d'effet sur
l'instruction.
Il faut associer à chaque appel de l'instruction "Comptage" une zone de données dans laquelle
les données de l'instruction sont stockées. Ainsi, l'insertion de l'instruction dans le
programme déclenche automatiquement l'ouverture de la boîte de dialogue "Options d'appel"
dans laquelle vous pouvez créer un bloc de données (instance unique) (par exemple,
F_IEC_Counter_DB_1) ou une multi-instance (par exemple, F_IEC_Counter_Instance_1) pour
l'instruction "Comptage". Après sa création, vous trouverez le nouveau bloc de données sous
"Blocs de programme > Blocs système" dans le dossier "STEP 7 Safety" dans le navigateur de
projet ou la multi-instance comme variable locale dans la section "Static" de l'interface du
bloc. Vous trouverez plus d'informations à ce sujet dans l'aide de STEP 7.
Le système d'exploitation réinitialise les instances de l'instruction "Comptage" lors d'un
démarrage du système F.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Versions de l'instruction
Plusieurs versions sont disponibles pour cette instruction :
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety, la version la plus récente
disponible pour la CPU F créée est automatiquement prédéfinie.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Lorsque l'état logique à l'entrée CU passe de "0" à "1", l'instruction "Comptage" est exécutée et
la valeur de comptage actuelle de la sortie CV est incrémentée de un. La valeur de comptage
est incrémentée à chaque autre front montant jusqu'à ce que la valeur limite supérieure du
type de données indiqué (32767) soit atteinte.
La valeur du paramètre PV est appliquée comme limite pour déterminer l'opérande "TagOut" à
la sortie Q. La sortie Q fournit l'état logique "1" tant que la valeur de comptage actuelle est
supérieure ou égale à la valeur de l'entrée PV. Dans tous les autres cas, la sortie Q fournit
l'état logique "0".
Description
L'instruction "Décomptage" permet de décrémenter la valeur à la sortie CV. Lorsque l'état
logique à l'entrée CD passe de "0" à "1" (front montant), l'instruction est exécutée et la valeur
de comptage actuelle à la sortie CV est décrémentée de un. La valeur de comptage est
décrémentée à chaque détection d'un front montant jusqu'à ce qu'elle atteigne la valeur
limite inférieure du type de données indiqué. Une fois la valeur limite inférieure atteinte,
l'état logique à l'entrée CD n'a plus d'influence sur l'instruction.
L'état du compteur peut être interrogé à la sortie Q. Lorsque la valeur de comptage actuelle
est inférieure ou égale à zéro, la sortie Q est mise à l'état logique "1". Dans tous les autres cas,
l'état logique à la sortie Q est "0".
La valeur à la sortie CV prend la valeur du paramètre PV lorsque l'état logique à l'entrée LD
passe à "1". Tant que l'entrée LD présente l'état logique "1", l'état logique à l'entrée CD n'a pas
d'effet sur l'instruction.
Il faut associer à chaque appel de l'instruction "Décomptage" une zone de données dans
laquelle les données de l'instruction sont stockées. Ainsi, l'insertion de l'instruction dans le
programme déclenche automatiquement l'ouverture de la boîte de dialogue "Options d'appel"
dans laquelle vous pouvez créer un bloc de données (instance unique) (par exemple,
F_IEC_Counter_DB_1) ou une multi-instance (par exemple, F_IEC_Counter_Instance_1) pour
l'instruction "Décomptage". Après sa création, vous trouverez le nouveau bloc de données
sous "Blocs de programme > Blocs système" dans le dossier "STEP 7 Safety" dans le navigateur
de projet ou la multi-instance comme variable locale dans la section "Static" de l'interface du
bloc. Vous trouverez plus d'informations à ce sujet dans l'aide de STEP 7.
Le système d'exploitation réinitialise les instances de l'instruction "Décomptage" lors d'un
démarrage du système F.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Versions de l'instruction
Plusieurs versions sont disponibles pour cette instruction :
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety, la version la plus récente
disponible pour la CPU F créée est automatiquement prédéfinie.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Lorsque l'état logique à l'entrée CD passe de "0" à "1", l'instruction "Décomptage" est exécutée
et la valeur à la sortie CV est décrémentée de un. La valeur de comptage est décrémentée à
chaque autre front montant jusqu'à ce que la valeur limite inférieure du type de données
indiqué (-32768) soit atteinte.
La sortie Q fournit l'état logique "1" tant que la valeur de comptage actuelle est inférieure ou
égale à zéro. Dans tous les autres cas, la sortie Q fournit l'état logique "0".
Description
L'instruction "Comptage et décomptage" permet d'incrémenter et de décrémenter la valeur de
comptage à la sortie CV. Lorsque l'état logique à l'entrée CU passe de "0" à "1" (front
montant), la valeur de comptage actuelle à la sortie CV est incrémentée de un. Lorsque l'état
logique à l'entrée CD passe de "0" à "1" (front montant), la valeur de comptage à la sortie CV
est décrémentée de un. En présence d'un front montant aux entrées CU et CD pendant un
cycle de programme, la valeur de comptage actuelle à la sortie CV reste inchangée.
La valeur de comptage peut être incrémentée jusqu'à ce qu'elle atteigne la valeur limite
supérieure du type de données indiqué à la sortie CV. Une fois la valeur limite supérieure
atteinte, la valeur de comptage n'est plus incrémentée lors d'un front montant. Une fois la
valeur limite inférieure du type de données indiqué atteinte, la valeur de comptage n'est plus
décrémentée.
Lorsque l'état logique à l'entrée LD passe à "1", la valeur de comptage à la sortie CV prend la
valeur du paramètre PV. Tant que l'entrée LD présente l'état logique "1", l'état logique aux
entrées CU et CD n'a pas d'effet sur l'instruction.
La valeur de comptage est mise à zéro lorsque l'état logique à l'entrée R passe à "1". Tant que
l'entrée R présente l'état logique "1", l'état logique aux entrées CU, CD et LD n'a pas d'effet sur
l'instruction "Comptage et décomptage".
L'état du compteur incrémental peut être interrogé à la sortie QU. Lorsque la valeur de
comptage actuelle est supérieure ou égale à la valeur du paramètre PV, la sortie QU fournit
l'état logique "1". Dans tous les autres cas, l'état logique à la sortie QU est "0".
L'état du compteur décrémental peut être interrogé à la sortie QD. Lorsque la valeur de
comptage actuelle est inférieure ou égale à zéro, la sortie QD fournit l'état logique "1". Dans
tous les autres cas, l'état logique à la sortie QD est "0".
Il faut associer à chaque appel de l'instruction "Comptage et décomptage" une zone de
données dans laquelle les données de l'instruction sont stockées. Ainsi, l'insertion de
l'instruction dans le programme déclenche automatiquement l'ouverture de la boîte de
dialogue "Options d'appel" dans laquelle vous pouvez créer un bloc de données (instance
unique) (par exemple, F_IEC_Counter_DB_1) ou une multi-instance (par exemple,
F_IEC_Counter_Instance_1) pour l'instruction "Comptage et décomptage". Après sa création,
vous trouverez le nouveau bloc de données sous "Blocs de programme > Blocs système" dans
le dossier "STEP 7 Safety" dans le navigateur de projet ou la multi-instance comme variable
locale dans la section "Static" de l'interface du bloc. Vous trouverez plus d'informations à ce
sujet dans l'aide de STEP 7.
Le système d'exploitation réinitialise les instances de l'instruction "Comptage et décomptage"
lors du démarrage du système F.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Versions de l'instruction
Plusieurs versions sont disponibles pour cette instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Quand l'état logique passe de "0" à "1" (front montant) à l'entrée CU ou à l'entrée CD,
l'instruction "Comptage et décomptage" est exécutée. En présence d'un front montant à
l'entrée CU, la valeur de comptage actuelle à la sortie CV est incrémentée de un. En présence
d'un front montant à l'entrée CD, la valeur de comptage actuelle à la sortie CV est
décrémentée de un. La valeur de comptage est incrémentée à chaque front montant à
l'entrée CU jusqu'à ce qu'elle atteigne la valeur limite supérieure égale à 32767. La valeur de
comptage est décrémentée à chaque front montant à l'entrée CD jusqu'à ce qu'elle atteigne la
valeur limite inférieure égale à -32768.
La sortie QU fournit l'état logique "1" tant que la valeur de comptage actuelle est supérieure
ou égale à la valeur à l'entrée PV. Dans tous les autres cas, la sortie QU fournit l'état logique
"0".
La sortie QD fournit l'état logique "1" tant que la valeur de comptage actuelle est inférieure ou
égale à zéro. Dans tous les autres cas, la sortie QD fournit l'état logique "0".
13.6 Comparaison
Description
L'instruction "Égal à" permet de déterminer si la première valeur à comparer (IN1 ou
<opérande1>) est égale à la seconde valeur à comparer (IN2 ou <opérande2>).
Si la condition de la comparaison est remplie, l'instruction fournit le résultat logique (RLO)
"1". Si la condition n'est pas remplie, elle fournit le résultat logique "0".
Pour CONT :
Le RLO de l'instruction est relié au RLO du circuit de courant entier de la manière suivante :
• par ET lorsque l'instruction de comparaison est connectée en série,
• par OU lorsque l'instruction de comparaison est connectée en parallèle.
Vous indiquez la première valeur à comparer (<opérande1>) dans l'emplacement réservé au-
dessus de l'instruction. Vous indiquez la seconde valeur à comparer (<opérande2>) dans
l'emplacement réservé en dessous de l'instruction.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Vous pouvez sélectionner le type de données de l'instruction dans la liste déroulante "<???>"
de la boîte d'instruction.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
La sortie "TagOut" est mise à 1 lorsque les conditions suivantes sont remplies :
• "Tag_In1" fournit l'état logique "1".
• La condition de l'instruction de comparaison est remplie ("Tag_Value1" = "Tag_Value2").
Description
L'instruction "Différent de" permet de déterminer si la première valeur à comparer (IN1 ou
<opérande1>) est différente de la seconde valeur à comparer (IN2 ou <opérande2>).
Si la condition de la comparaison est remplie, l'instruction fournit le résultat logique (RLO)
"1". Si la condition n'est pas remplie, elle fournit le résultat logique "0".
Pour CONT :
Le RLO de l'instruction est relié au RLO du circuit de courant entier de la manière suivante :
• par ET lorsque l'instruction de comparaison est connectée en série,
• par OU lorsque l'instruction de comparaison est connectée en parallèle.
Vous indiquez la première valeur à comparer (<opérande1>) dans l'emplacement réservé au-
dessus de l'instruction. Vous indiquez la seconde valeur à comparer (<opérande2>) dans
l'emplacement réservé en dessous de l'instruction.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Vous pouvez sélectionner le type de données de l'instruction dans la liste déroulante "<???>"
de la boîte d'instruction.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
La sortie "TagOut" est mise à 1 lorsque les conditions suivantes sont remplies :
• "Tag_In1" fournit l'état logique "1".
• La condition de l'instruction de comparaison est remplie ("Tag_Value1" <> "Tag_Value2").
Description
L'instruction "Supérieur ou égal à" permet de déterminer si la première valeur à comparer
(IN1 ou <opérande1>) est supérieure ou égale à la seconde valeur à comparer (IN2 ou
<opérande2>). Les deux valeurs à comparer doivent avoir le même type de données.
Si la condition de la comparaison est remplie, l'instruction fournit le résultat logique (RLO)
"1". Si la condition n'est pas remplie, elle fournit le résultat logique "0".
Pour CONT :
Le RLO de l'instruction est relié au RLO du circuit de courant entier de la manière suivante :
• par ET lorsque l'instruction de comparaison est connectée en série,
• par OU lorsque l'instruction de comparaison est connectée en parallèle.
Vous indiquez la première valeur à comparer (<opérande1>) dans l'emplacement réservé au-
dessus de l'instruction. Vous indiquez la seconde valeur à comparer (<opérande2>) dans
l'emplacement réservé en dessous de l'instruction.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Vous pouvez sélectionner le type de données de l'instruction dans la liste déroulante "<???>"
de la boîte d'instruction.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
La sortie "TagOut" est mise à 1 lorsque les conditions suivantes sont remplies :
• "Tag_In1" fournit l'état logique "1".
• La condition de l'instruction de comparaison est remplie ("Tag_Value1" >= "Tag_Value2").
Description
L'instruction "Inférieur ou égal à" permet de déterminer si la première valeur à comparer (IN1
ou <opérande1>) est inférieure ou égale à la seconde valeur à comparer (IN2 ou
<opérande2>). Les deux valeurs à comparer doivent avoir le même type de données.
Si la condition de la comparaison est remplie, l'instruction fournit le résultat logique (RLO)
"1". Si la condition n'est pas remplie, elle fournit le résultat logique "0".
Pour CONT :
Le RLO de l'instruction est relié au RLO du circuit de courant entier de la manière suivante :
• par ET lorsque l'instruction de comparaison est connectée en série,
• par OU lorsque l'instruction de comparaison est connectée en parallèle.
Vous indiquez la première valeur à comparer (<opérande1>) dans l'emplacement réservé au-
dessus de l'instruction. Vous indiquez la seconde valeur à comparer (<opérande2>) dans
l'emplacement réservé en dessous de l'instruction.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Vous pouvez sélectionner le type de données de l'instruction dans la liste déroulante "<???>"
de la boîte d'instruction.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
La sortie "TagOut" est mise à 1 lorsque les conditions suivantes sont remplies :
• "Tag_In1" fournit l'état logique "1".
• La condition de l'instruction de comparaison est remplie ("Tag_Value1" <= "Tag_Value2").
Description
L'instruction "Supérieur à" permet de déterminer si la première valeur à comparer (IN1 ou
<opérande1>) est supérieure à la seconde valeur à comparer (IN2 ou <opérande2>). Les deux
valeurs à comparer doivent avoir le même type de données.
Si la condition de la comparaison est remplie, l'instruction fournit le résultat logique (RLO)
"1". Si la condition n'est pas remplie, elle fournit le résultat logique "0".
Pour CONT :
Le RLO de l'instruction est relié au RLO du circuit de courant entier de la manière suivante :
• par ET lorsque l'instruction de comparaison est connectée en série,
• par OU lorsque l'instruction de comparaison est connectée en parallèle.
Vous indiquez la première valeur à comparer (<opérande1>) dans l'emplacement réservé au-
dessus de l'instruction. Vous indiquez la seconde valeur à comparer (<opérande2>) dans
l'emplacement réservé en dessous de l'instruction.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Vous pouvez sélectionner le type de données de l'instruction dans la liste déroulante "<???>"
de la boîte d'instruction.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
La sortie "TagOut" est mise à 1 lorsque les conditions suivantes sont remplies :
• "Tag_In1" fournit l'état logique "1".
• La condition de l'instruction de comparaison est remplie ("Tag_Value1" > "Tag_Value2").
Description
L'instruction "Inférieur à" permet de déterminer si la première valeur à comparer (IN1 ou
<opérande1>) est inférieure à la seconde valeur à comparer (IN2 ou <opérande2>). Les deux
valeurs à comparer doivent avoir le même type de données.
Si la condition de la comparaison est remplie, l'instruction fournit le résultat logique (RLO)
"1". Si la condition n'est pas remplie, elle fournit le résultat logique "0".
Pour CONT :
Le RLO de l'instruction est relié au RLO du circuit de courant entier de la manière suivante :
• par ET lorsque l'instruction de comparaison est connectée en série,
• par OU lorsque l'instruction de comparaison est connectée en parallèle.
Vous indiquez la première valeur à comparer (<opérande1>) dans l'emplacement réservé au-
dessus de l'instruction. Vous indiquez la seconde valeur à comparer (<opérande2>) dans
l'emplacement réservé en dessous de l'instruction.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Vous pouvez sélectionner le type de données de l'instruction dans la liste déroulante "<???>"
de la boîte d'instruction.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
La sortie "TagOut" est mise à 1 lorsque les conditions suivantes sont remplies :
• "Tag_In1" fournit l'état logique "1".
• La condition de l'instruction de comparaison est remplie ("Tag_Value1" < "Tag_Value2").
Description
L'instruction "Addition" permet d'additionner la valeur à l'entrée IN1 à la valeur à l'entrée IN2
et de lire la somme dans la sortie OUT (OUT = IN1 + IN2).
Remarque
La CPU F peut passer à l'état Arrêt si le résultat de l'instruction se situe hors de la plage
autorisée pour le type de données. La cause de l'événement de diagnostic est inscrite dans le
tampon de diagnostic de la CPU F.
Vous devez donc veiller dès la création du programme à ce que la plage autorisée pour le type
de données soit respectée.
(S7-1200, S7-1500) Vous pouvez éviter un arrêt de la CPU F en connectant la sortie de
validation ENO et en programmant ainsi une détection de débordement.
Tenez compte ce faisant des points suivants :
• Si le résultat de l'instruction se situe en dehors de la plage autorisée pour le type de
données, la sortie de validation ENO fournit l'état logique "0".
• Le résultat de l'instruction se comporte alors comme pour l'instruction correspondante
dans un bloc standard.
• Le temps d'exécution de l'instruction s'allonge (voir aussi le fichier Excel de calcul des
temps de réaction (https://support.industry.siemens.com/cs/ww/fr/view/109783831)).
• La mémoire requise par le programme de sécurité augmente.
(S7-300, S7-400) Vous pouvez éviter un arrêt de la CPU F en insérant une instruction
"Interroger le bit d'état OV" dans le réseau suivant et en programmant ainsi une détection de
débordement.
Tenez compte ce faisant des points suivants :
• Le résultat de l'instruction se comporte alors comme pour l'instruction correspondante
dans un bloc standard.
• Le réseau avec l'instruction "Interroger le bit d'état OV" ne doit pas contenir de repère de
saut.
• Le temps d'exécution de l'instruction s'allonge (voir aussi le fichier Excel de calcul des
temps de réaction (https://support.industry.siemens.com/cs/ww/fr/view/109783831)).
• Un avertissement est émis si vous n'insérez pas d'instruction "Interroger le bit d'état OV".
• La mémoire requise par le programme de sécurité augmente.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
L'instruction "Addition" est toujours exécutée, quel que soit l'état logique à l'entrée de
validation EN.
La valeur de l'opérande "Tag_Value1" est additionnée à celle de l'opérande "Tag_Value2". Le
résultat de l'addition est stocké dans l'opérande ""F_DB_1".Tag_Result".
Si nécessaire, vous pouvez également mémoriser l'état logique de la sortie de validation ENO
dans un DB (F) et évaluer de manière centralisée si des débordements se sont produits pour la
totalité ou pour un groupe d'instructions grâce à une détection de débordement.
Si un débordement se produit pendant l'exécution de l'instruction "Addition", le bit d'état OV
est mis à 1. L'instruction "Mise à 1 sortie" (S) est exécutée dans le réseau 2 après
l'interrogation du bit d'état OV et l'opérande "TagOut" est mis à 1.
L'instruction "Addition" est toujours exécutée, quel que soit l'état logique à l'entrée de
validation EN.
La valeur de l'opérande "#Tag_Value1" est additionnée à celle de l'opérande "#Tag_Value2".
Le résultat de l'addition est stocké dans l'opérande ""F_DB_1".Tag_Result".
Si aucun débordement ne se produit pendant l'exécution de l'instruction "Addition", la sortie
de validation ENO fournit l'état logique "1" et l'opérande "#TagOut" est mis à 1.
Si nécessaire, vous pouvez également mémoriser l'état logique de la sortie de validation ENO
dans un DB (F) et évaluer de manière centralisée si des débordements se sont produits pour la
totalité ou pour un groupe d'instructions grâce à une détection de débordement.
Voir aussi
---| |--- OV : Interrogation du bit d'état OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)
(Page 582)
---| / |--- OV : Interrogation du bit d'état OV inversé (STEP 7 Safety Advanced V18) (S7-300,
S7-400) (Page 583)
Description
L'instruction "Soustraction" permet de soustraire la valeur à l'entrée IN2 de la valeur à l'entrée
IN1 et de lire la différence dans la sortie OUT (OUT = IN1 – IN2).
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" (S7-300,
S7-400) n'est pas possible. L'instruction est donc toujours exécutée, quel que soit l'état
logique à l'entrée de validation "EN".
Remarque
La CPU F peut passer à l'état Arrêt si le résultat de l'instruction se situe hors de la plage
autorisée pour le type de données. La cause de l'événement de diagnostic est inscrite dans le
tampon de diagnostic de la CPU F.
Vous devez donc veiller dès la création du programme à ce que la plage autorisée pour le type
de données soit respectée.
(S7-1200, S7-1500) Vous pouvez éviter un arrêt de la CPU F en connectant la sortie de
validation ENO et en programmant ainsi une détection de débordement.
Tenez compte ce faisant des points suivants :
• Si le résultat de l'instruction se situe en dehors de la plage autorisée pour le type de
données, la sortie de validation ENO fournit l'état logique "0".
• Le résultat de l'instruction se comporte alors comme pour l'instruction correspondante
dans un bloc standard.
• Le temps d'exécution de l'instruction s'allonge (voir aussi le fichier Excel de calcul des
temps de réaction (https://support.industry.siemens.com/cs/ww/fr/view/109783831)).
• La mémoire requise par le programme de sécurité augmente.
(S7-300, S7-400) Vous pouvez éviter un arrêt de la CPU F en insérant une instruction
"Interroger le bit d'état OV" dans le réseau suivant et en programmant ainsi une détection de
débordement.
Tenez compte ce faisant des points suivants :
• Le résultat de l'instruction se comporte alors comme pour l'instruction correspondante
dans un bloc standard.
• Le réseau avec l'instruction "Interroger le bit d'état OV" ne doit pas contenir de repère de
saut.
• Le temps d'exécution de l'instruction s'allonge (voir aussi le fichier Excel de calcul des
temps de réaction (https://support.industry.siemens.com/cs/ww/fr/view/109783831)).
• Un avertissement est émis si vous n'insérez pas d'instruction "Interroger le bit d'état OV".
• La mémoire requise par le programme de sécurité augmente.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
L'instruction "Soustraction" est toujours exécutée, quel que soit l'état logique à l'entrée de
validation EN.
La valeur de l'opérande "Tag_Value2" est soustraite de celle de l'opérande "Tag_Value1". Le
résultat de la soustraction est stocké dans l'opérande ""F_DB_1".Tag_Result".
L'instruction "Soustraction" est toujours exécutée, quel que soit l'état logique à l'entrée de
validation EN.
La valeur de l'opérande "#Tag_Value2" est soustraite de celle de l'opérande "#Tag_Value1". Le
résultat de la soustraction est stocké dans l'opérande ""F_DB_1".Tag_Result".
Si aucun débordement ne se produit pendant l'exécution de l'instruction "Soustraction", la
sortie de validation ENO fournit l'état logique "1" et l'opérande "#TagOut" est mis à 1.
Voir aussi
---| |--- OV : Interrogation du bit d'état OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)
(Page 582)
---| / |--- OV : Interrogation du bit d'état OV inversé (STEP 7 Safety Advanced V18) (S7-300,
S7-400) (Page 583)
Description
L'instruction "Multiplication" permet de multiplier la valeur à l'entrée IN1 par la valeur à
l'entrée IN2 et de lire le produit dans la sortie OUT (OUT = IN1 × IN2).
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" (S7-300,
S7-400) n'est pas possible. L'instruction est donc toujours exécutée, quel que soit l'état
logique à l'entrée de validation "EN".
Remarque
La CPU F peut passer à l'état Arrêt si le résultat de l'instruction se situe hors de la plage
autorisée pour le type de données. La cause de l'événement de diagnostic est inscrite dans le
tampon de diagnostic de la CPU F.
Vous devez donc veiller dès la création du programme à ce que la plage autorisée pour le type
de données soit respectée.
(S7-1200, S7-1500) Vous pouvez éviter un arrêt de la CPU F en connectant la sortie de
validation ENO et en programmant ainsi une détection de débordement.
Tenez compte ce faisant des points suivants :
• Si le résultat de l'instruction se situe en dehors de la plage autorisée pour le type de
données, la sortie de validation ENO fournit l'état logique "0".
• Le résultat de l'instruction se comporte alors comme pour l'instruction correspondante
dans un bloc standard.
• Le temps d'exécution de l'instruction s'allonge (voir aussi le fichier Excel de calcul des
temps de réaction (https://support.industry.siemens.com/cs/ww/fr/view/109783831)).
• La mémoire requise par le programme de sécurité augmente.
(S7-300, S7-400) Vous pouvez éviter un arrêt de la CPU F en insérant une instruction
"Interroger le bit d'état OV" dans le réseau suivant et en programmant ainsi une détection de
débordement.
Tenez compte ce faisant des points suivants :
• Le résultat de l'instruction se comporte alors comme pour l'instruction correspondante
dans un bloc standard.
• Le réseau avec l'instruction "Interroger le bit d'état OV" ne doit pas contenir de repère de
saut.
• Le temps d'exécution de l'instruction s'allonge (voir aussi le fichier Excel de calcul des
temps de réaction (https://support.industry.siemens.com/cs/ww/fr/view/109783831)).
• Un avertissement est émis si vous n'insérez pas d'instruction "Interroger le bit d'état OV".
• La mémoire requise par le programme de sécurité augmente.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
L'instruction "Multiplication" est toujours exécutée, quel que soit l'état logique à l'entrée de
validation EN.
La valeur de l'opérande "Tag_Value1" est multipliée par celle de l'opérande "Tag_Value2". Le
résultat de la multiplication est stocké dans l'opérande ""F_DB_1".Tag_Result".
L'instruction "Multiplication" est toujours exécutée, quel que soit l'état logique à l'entrée de
validation EN.
La valeur de l'opérande "#Tag_Value1" est multipliée par celle de l'opérande "#Tag_Value2".
Le résultat de la multiplication est stocké dans l'opérande ""F_DB_1".Tag_Result".
Si aucun débordement ne se produit pendant l'exécution de l'instruction "Multiplication", la
sortie de validation ENO fournit l'état logique "1" et l'opérande "#TagOut" est mis à 1.
Voir aussi
---| |--- OV : Interrogation du bit d'état OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)
(Page 582)
---| / |--- OV : Interrogation du bit d'état OV inversé (STEP 7 Safety Advanced V18) (S7-300,
S7-400) (Page 583)
Description
L'instruction "Division" permet de diviser la valeur à l'entrée IN1 par la valeur à l'entrée IN2 et
de lire le quotient dans la sortie OUT (OUT = IN1 / IN2).
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" (S7-300,
S7-400) n'est pas possible. L'instruction est donc toujours exécutée, quel que soit l'état
logique à l'entrée de validation "EN".
Remarque
La CPU F peut passer à l'état Arrêt si le résultat de l'instruction se situe hors de la plage
autorisée pour le type de données. La cause de l'événement de diagnostic est inscrite dans le
tampon de diagnostic de la CPU F.
Vous devez donc veiller dès la création du programme à ce que la plage autorisée pour le type
de données soit respectée.
(S7-1200, S7-1500) Vous pouvez éviter un arrêt de la CPU F en connectant la sortie de
validation ENO et en programmant ainsi une détection de débordement.
Tenez compte ce faisant des points suivants :
• Si le résultat de l'instruction se situe en dehors de la plage autorisée pour le type de
données, la sortie de validation ENO fournit l'état logique "0".
• Le résultat de l'instruction se comporte alors comme pour l'instruction correspondante
dans un bloc standard.
• Le temps d'exécution de l'instruction s'allonge (voir aussi le fichier Excel de calcul des
temps de réaction (https://support.industry.siemens.com/cs/ww/fr/view/109783831)).
• La mémoire requise par le programme de sécurité augmente.
(S7-300, S7-400) Vous pouvez éviter un arrêt de la CPU F en insérant une instruction
"Interroger le bit d'état OV" dans le réseau suivant et en programmant ainsi une détection de
débordement.
Tenez compte ce faisant des points suivants :
• Le résultat de l'instruction se comporte alors comme pour l'instruction correspondante
dans un bloc standard.
• Le réseau avec l'instruction "Interroger le bit d'état OV" ne doit pas contenir de repère de
saut.
• Le temps d'exécution de l'instruction s'allonge (voir aussi le fichier Excel de calcul des
temps de réaction (https://support.industry.siemens.com/cs/ww/fr/view/109783831)).
• Un avertissement est émis si vous n'insérez pas d'instruction "Interroger le bit d'état OV".
• La mémoire requise par le programme de sécurité augmente.
Remarque
S7-300/400, S7-1200/1500 (sortie de validation ENO connectée) :
Si le diviseur (entrée IN2) d'une instruction DIV est égal à 0, le quotient de la division (résultat
de la division à la sortie OUT) est égal à 0. Le résultat se comporte comme pour l'instruction
correspondante dans un bloc standard. La CPU F ne passe pas à l'état Arrêt.
S7-1200/1500 (sortie de validation ENO non connectée) :
Si le diviseur (entrée IN2) d'une instruction DIV est égal à 0, la CPU F passe à l'état Arrêt. La
cause de l'événement de diagnostic est inscrite dans le tampon de diagnostic de la CPU F.
Nous vous recommandons d'exclure l'éventualité d'un diviseur (entrée IN2) égal à 0 dès
l'écriture du programme.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
L'instruction "Division" est toujours exécutée, quel que soit l'état logique à l'entrée de
validation EN.
La valeur de l'opérande "Tag_Value1" est divisée par celle de l'opérande "Tag_Value2". Le
résultat de la division est stocké dans l'opérande ""F_DB_1".Tag_Result".
Si un débordement se produit pendant l'exécution de l'instruction "Division", le bit d'état OV
est mis à 1. L'instruction "Mise à 1 sortie" (S) est exécutée dans le réseau 2 après
l'interrogation du bit d'état OV et l'opérande "TagOut" est mis à 1.
L'instruction "Division" est toujours exécutée, quel que soit l'état logique à l'entrée de
validation EN.
La valeur de l'opérande "#Tag_Value1" est divisée par celle de l'opérande "#Tag_Value2". Le
résultat de la division est stocké dans l'opérande ""F_DB_1".Tag_Result".
Voir aussi
---| |--- OV : Interrogation du bit d'état OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)
(Page 582)
---| / |--- OV : Interrogation du bit d'état OV inversé (STEP 7 Safety Advanced V18) (S7-300,
S7-400) (Page 583)
Description
L'instruction "Créer le complément à 2" permet d'inverser le signe de la valeur à l'entrée IN et
de lire le résultat dans la sortie OUT. Si une valeur positive se trouve à l'entrée IN, par
exemple, la sortie OUT fournit l'équivalent négatif de cette valeur.
Remarque
La CPU F peut passer à l'état Arrêt si le résultat de l'instruction se situe hors de la plage
autorisée pour le type de données. La cause de l'événement de diagnostic est inscrite dans le
tampon de diagnostic de la CPU F.
Vous devez donc veiller dès la création du programme à ce que la plage autorisée pour le type
de données soit respectée.
(S7-1200, S7-1500) Vous pouvez éviter un arrêt de la CPU F en connectant la sortie de
validation ENO et en programmant ainsi une détection de débordement.
Tenez compte ce faisant des points suivants :
• Si le résultat de l'instruction se situe en dehors de la plage autorisée pour le type de
données, la sortie de validation ENO fournit l'état logique "0".
• Le résultat de l'instruction se comporte alors comme pour l'instruction correspondante
dans un bloc standard.
• Le temps d'exécution de l'instruction s'allonge (voir aussi le fichier Excel de calcul des
temps de réaction (https://support.industry.siemens.com/cs/ww/fr/view/109783831)).
• La mémoire requise par le programme de sécurité augmente.
(S7-300, S7-400) Vous pouvez éviter un arrêt de la CPU F en insérant une instruction
"Interroger le bit d'état OV" dans le réseau suivant et en programmant ainsi une détection de
débordement.
Tenez compte ce faisant des points suivants :
• Le résultat de l'instruction se comporte alors comme pour l'instruction correspondante
dans un bloc standard.
• Le réseau avec l'instruction "Interroger le bit d'état OV" ne doit pas contenir de repère de
saut.
• Le temps d'exécution de l'instruction s'allonge (voir aussi le fichier Excel de calcul des
temps de réaction (https://support.industry.siemens.com/cs/ww/fr/view/109783831)).
• Un avertissement est émis si vous n'insérez pas d'instruction "Interroger le bit d'état OV".
• La mémoire requise par le programme de sécurité augmente.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
L'instruction "Créer le complément à 2" est toujours exécutée, quel que soit l'état logique à
l'entrée de validation EN.
Le signe de l'opérande "TagIn_Value" est inversé et le résultat est stocké dans l'opérande
""F_DB_1".TagOut_Value".
Si un débordement se produit pendant l'exécution de l'instruction "Créer le complément à 2",
le bit d'état OV est mis à 1. L'instruction "Mise à 1 sortie" (S) est exécutée dans le réseau 2
après l'interrogation du bit d'état OV et l'opérande "TagOut" est mis à 1.
L'instruction "Créer le complément à 2" est toujours exécutée, quel que soit l'état logique à
l'entrée de validation EN.
Le signe de l'opérande "#TagIn_Value" est inversé et le résultat est stocké dans l'opérande
""F_DB_1".TagOut_Value".
Si aucun débordement ne se produit pendant l'exécution de l'instruction "Créer le
complément à 2", la sortie de validation ENO fournit l'état logique "1" et l'opérande "TagOut"
est mis à 1.
Voir aussi
---| |--- OV : Interrogation du bit d'état OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)
(Page 582)
---| / |--- OV : Interrogation du bit d'état OV inversé (STEP 7 Safety Advanced V18) (S7-300, S7-
400) (Page 583)
Description
L'instruction "Valeur absolue" permet de calculer la valeur absolue de la valeur indiquée à
l'entrée IN. Le résultat de l'instruction est fourni dans la sortie OUT où il peut être lu.
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" (S7-300,
S7-400) n'est pas possible. L'instruction est donc toujours exécutée, quel que soit l'état
logique à l'entrée de validation "EN".
Remarque
La CPU F peut passer à l'état Arrêt si le résultat de l'instruction se situe hors de la plage
autorisée pour le type de données. La cause de l'événement de diagnostic est inscrite dans le
tampon de diagnostic de la CPU F.
Vous devez donc veiller dès la création du programme à ce que la plage autorisée pour le type
de données soit respectée.
Vous pouvez éviter un arrêt de la CPU F en connectant la sortie de validation ENO et en
programmant ainsi une détection de débordement.
Tenez compte ce faisant des points suivants :
• Si le résultat de l'instruction se situe en dehors de la plage autorisée pour le type de
données, la sortie de validation ENO fournit l'état logique "0".
• Le résultat de l'instruction se comporte alors comme pour l'instruction correspondante
dans un bloc standard.
• Le temps d'exécution de l'instruction s'allonge (voir aussi le fichier Excel de calcul des
temps de réaction (https://support.industry.siemens.com/cs/ww/fr/view/109783831)).
• La mémoire requise par le programme de sécurité augmente.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'instruction "Valeur absolue" est toujours exécutée, quel que soit l'état logique à l'entrée de
validation EN.
La valeur absolue de la valeur dans l'opérande "TagIn_Value" est calculée et le résultat est
stocké dans l'opérande ""F_DB_1".TagOut_Value".
Si aucun débordement ne se produit pendant l'exécution de l'instruction "Valeur absolue", la
sortie de validation ENO fournit l'état logique "1" et l'opérande "#TagOut" est mis à 1.
13.8 Transfert
Description
L'instruction "Copier valeur" permet de transférer le contenu de l'opérande à l'entrée IN dans
l'opérande à la sortie OUT1.
Seuls des opérandes de largeur et de structure de données identiques peuvent être indiqués à
l'entrée IN et à la sortie OUT1.
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" n'est pas
possible. L'instruction est donc toujours exécutée (quel que soit l'état logique à l'entrée de
validation "EN").
(S7-1200, S7-1500) À l'état initial, la boîte d'instruction contient une sortie (OUT1). Le
nombre de sorties est extensible. Les sorties insérées sont numérotées par ordre croissant sur
la boîte. Lors de l'exécution, le contenu de l'opérande à l'entrée IN est transféré à toutes les
sorties disponibles. La boîte d'instruction n'est pas extensible en cas de transfert d'opérandes
avec des types de données API (UDT) conformes F.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'instruction est toujours exécutée, quel que soit l'état logique à l'entrée de validation "EN".
Elle copie le contenu de l'opérande "TagIn_Value" dans l'opérande ""F_DB_1".TagOut_Value".
13.8.2 RD_ARRAY_I : Lire valeur dans un tableau F INT (STEP 7 Safety V18)
(S7-1500)
Description
L'instruction "Lire valeur dans un tableau F INT" permet de lire dans le tableau à l'entrée
ARRAY l'élément désigné par l'indice de l'entrée INDEX et d'écrire sa valeur dans la sortie OUT.
Une erreur qui se produirait lors de l'accès au tableau pendant l'exécution est signalée dans la
sortie ERROR.
Le tableau doit être créé dans un DB global F et ne peut contenir qu'une dimension. Les
éléments du tableau doivent être de type de données INT. Les limites du tableau diffèrent de
celles du système standard :
• La limite inférieure doit être 0.
• La limite supérieure ne doit pas dépasser 10000.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Paramètre ARRAY
En plus de la connexion directe à un tableau dans un DB global de sécurité, cette entrée peut
aussi être connectée à un paramètre INOUT de type de données ARRAY[*] of INT. Cela permet
de découpler les données et la logique du programme, par exemple, pour créer une fonction
de bibliothèque sans lien avec un bloc de données dédié.
Paramètre ERROR
Le tableau suivant donne la signification des valeurs du paramètre ERROR :
Valeur Description
FALSE Aucune erreur
TRUE La valeur du paramètre INDEX se trouve en dehors des valeurs limites du tableau.
Versions de l'instruction
Une version est disponible pour cette instruction :
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety, la version la plus récente
disponible pour la CPU F créée est automatiquement prédéfinie.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'instruction "Lire valeur dans un tableau F INT" est toujours exécutée, quel que soit l'état
logique à l'entrée de validation EN.
Le contenu du deuxième élément de l'opérande "Global_DB.Array" est transmis à la sortie
"#TagOut_Value".
13.8.3 RD_ARRAY_DI : Lire valeur dans un tableau F DINT (STEP 7 Safety V18)
(S7-1500)
Description
L'instruction "Lire valeur dans un tableau F DINT" permet de lire dans le tableau à l'entrée
ARRAY l'élément désigné par l'indice de l'entrée INDEX et d'écrire sa valeur dans la sortie OUT.
Une erreur qui se produirait lors de l'accès au tableau pendant l'exécution est signalée dans la
sortie ERROR.
Le tableau doit être créé dans un DB global F et ne peut contenir qu'une dimension. Les
éléments du tableau doivent être de type de données DINT. Les limites du tableau diffèrent
de celles du système standard :
• La limite inférieure doit être 0.
• La limite supérieure ne doit pas dépasser 10000.
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" n'est pas
possible. L'instruction est donc toujours exécutée (quel que soit l'état logique à l'entrée de
validation "EN").
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Paramètre ARRAY
En plus de la connexion directe à un tableau dans un DB global de sécurité, cette entrée peut
aussi être connectée à un paramètre INOUT de type de données ARRAY[*] of DINT. Cela
permet de découpler les données et la logique du programme, par exemple, pour créer une
fonction de bibliothèque sans lien avec un bloc de données dédié.
Paramètre ERROR
Le tableau suivant donne la signification des valeurs du paramètre ERROR :
Valeur Description
FALSE Aucune erreur
TRUE La valeur du paramètre INDEX se trouve en dehors des valeurs limites du tableau.
Versions de l'instruction
Une version est disponible pour cette instruction :
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety, la version la plus récente
disponible pour la CPU F créée est automatiquement prédéfinie.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'instruction "Lire valeur dans un tableau F DINT" est toujours exécutée, quel que soit l'état
logique à l'entrée de validation EN.
Le contenu du deuxième élément de l'opérande "Global_DB.Array" est transmis à la sortie
"#TagOut_Value".
Description
Cette instruction écrit la valeur indiquée dans l'entrée IN dans la variable adressée par
INI_ADDR et OFFSET dans un DB F.
L'adresse de la variable adressée par INI_ADDR et OFFSET doit se situer dans la plage
d'adresses définie par les adresses INI_ADDR et END_ADDR.
Vérifiez que cette condition est remplie si la CPU F est passée à l'état Arrêt avec l'ID
d'événement de diagnostic 75E2.
L'entrée INI_ADDR transmet l'adresse de début de la plage d'un DB F dans laquelle la valeur à
l'entrée IN doit être écrite. L'entrée OFFSET indique le décalage correspondant dans cette
plage.
Les adresses transmises à l'entrée INI_ADDR ou END_ADDR doivent pointer sur une variable
du type de données sélectionné dans un DB F. Il ne doit y avoir que des variables du type de
données sélectionné entre les adresses INI_ADDR et END_ADDR. L'adresse INI_ADDR doit être
inférieure à l'adresse END_ADDR.
Comme illustré dans l'exemple suivant, les adresses INI_ADDR et END_ADDR doivent être
transmises en indiquant le chemin complet sous la forme "DBx".DBWy ou dans la
représentation symbolique correspondante. Une transmission sous d'autres formes n'est pas
autorisée.
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" n'est pas
possible. L'instruction est donc toujours exécutée (quel que soit l'état logique à l'entrée de
validation "EN").
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Vous pouvez sélectionner le type de données de l'instruction dans la liste déroulante "<???>"
de la boîte d'instruction.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Description
Cette instruction lit la variable adressée par INI_ADDR et OFFSET dans un DB F et la met à
disposition dans la sortie OUT.
L'adresse de la variable adressée par INI_ADDR et OFFSET doit se situer dans la plage
d'adresses définie par les adresses INI_ADDR et END_ADDR.
Vérifiez que cette condition est remplie si la CPU F est passée à l'état Arrêt avec l'ID
d'événement de diagnostic 75E2.
L'entrée INI_ADDR transmet l'adresse de début de la plage d'un DB F dans laquelle la variable
doit être lue. L'entrée OFFSET indique le décalage correspondant dans cette plage.
Les adresses transmises à l'entrée INI_ADDR ou END_ADDR doivent pointer sur une variable
du type de données sélectionné dans un DB F. Il ne doit y avoir que des variables du type de
données sélectionné entre les adresses INI_ADDR et END_ADDR. L'adresse INI_ADDR doit être
inférieure à l'adresse END_ADDR.
Les adresses INI_ADDR et END_ADDR doivent être transmises en indiquant le chemin complet
sous la forme "DBx".DBWy ou dans la représentation symbolique correspondante. Une
transmission sous d'autres formes n'est pas autorisée. Vous trouverez des exemples de
paramétrage de INI_ADDR, END_ADDR et OFFSET sous WR_FDB : Écrire indirectement une
valeur dans un DB F (STEP 7 Safety Advanced V18) (S7-300, S7-400) (Page 542).
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Vous pouvez sélectionner le type de données de l'instruction dans la liste déroulante "<???>"
de la boîte d'instruction.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
13.9 Conversion
Description
L'instruction "Convertir valeur" lit le contenu du paramètre IN et le convertit conformément
aux types de données choisis dans la boîte d'instruction. La valeur convertie est fournie à la
sortie OUT.
La connexion de l'entrée de validation "EN" n'est pas possible. L'instruction est donc toujours
exécutée (quel que soit l'état logique à l'entrée de validation "EN"). La connexion de la sortie
de validation "ENO" n'est possible et nécessaire que pour la conversion du type de données
"DINT" en "INT".
Remarque
Lors de la conversion du type de données "DINT" en "INT", vous devez connecter la sortie de
validation ENO, programmant ainsi une détection de débordement.
Tenez compte ce faisant des points suivants :
• ENO renvoie 0 si la valeur à l'entrée se situe hors de la plage des entiers.
• Le résultat de l'instruction se comporte alors comme pour l'instruction correspondante
dans un bloc standard.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Vous pouvez sélectionner les types de données de l'instruction dans les listes déroulantes
"<???>" de la boîte d'instruction. Les conversions de "INT en DINT" et de "DINT en INT" sont
prises en charge.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction "Convertir valeur de DINT en INT"
pour les CPU F S7-1200/1500 :
L'instruction est toujours exécutée, quel que soit l'état logique à l'entrée de validation EN.
La valeur de l'opérande "TagIn_Value" est convertie en un nombre entier (16 bits) et le
résultat est stocké dans l'opérande ""F_DB_1".TagOut_Value".
Si aucun débordement ne se produit pendant l'exécution de l'instruction "Convertir valeur de
DINT en INT", la sortie de validation ENO fournit l'état logique "1" et l'opérande "TagOut" est
mis à 1.
Vous pouvez également mémoriser l'état logique de la sortie de validation ENO dans un DB
(F) et évaluer de manière centralisée si des débordements se sont produits pour la totalité ou
pour un groupe d'instructions grâce à une détection de débordement.
Description
Cette instruction convertit les 16 valeurs de type de données BOOL aux entrées IN0 à IN15 en
une valeur de type de données WORD et fournit le résultat à la sortie OUT. La conversion
s'effectue de la manière suivante : le i-ième bit de la valeur WORD est mis à 0 (respectivement
à 1) lorsque la valeur à l'entrée INi = 0 (respectivement 1).
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" n'est pas
possible. L'instruction est donc toujours exécutée (quel que soit l'état logique à l'entrée de
validation "EN").
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Versions de l'instruction
Plusieurs versions sont disponibles pour cette instruction :
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety, la version la plus récente
disponible pour la CPU F créée est automatiquement prédéfinie.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Les valeurs des opérandes "TagValue_0" à "TagValue_15" sont regroupées en une valeur de
type de données WORD qui est affectée à l'opérande ""F_DB_1".TagResult".
Description
Cette instruction convertit la valeur de type de données WORD à l'entrée IN en 16 valeurs de
type de données BOOL et fournit ces valeurs résultantes aux sorties OUT0 à OUT15. La
conversion s'effectue de la manière suivante : la sortie OUTi est mise à 0 (respectivement à 1)
lorsque le i-ième bit de la valeur WORD est égal à 0 (respectivement à 1).
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" n'est pas
possible. L'instruction est donc toujours exécutée (quel que soit l'état logique à l'entrée de
validation "EN").
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Versions de l'instruction
Plusieurs versions sont disponibles pour cette instruction :
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety, la version la plus récente
disponible pour la CPU F créée est automatiquement prédéfinie.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Description
Cette instruction met la valeur à l'entrée IN à l'échelle en unités physiques entre la limite
inférieure à l'entrée LO_LIM et la limite supérieure à l'entrée HI_LIM. La valeur à l'entrée IN est
supposée être comprise entre 0 et 27648. Le résultat de la mise à l'échelle est fourni dans la
sortie OUT.
L'instruction utilise l'équation suivante :
OUT = [ IN × (HI_LIM – LO_LIM) ] / 27648 + LO_LIM
Tant que la valeur à l'entrée IN est supérieure à 27648, la sortie OUT est connectée à HI_LIM
et OUT_HI est mis à 1.
Tant que la valeur à l'entrée IN est inférieure à 0, la sortie OUT est connecée à LO_LIM et
OUT_LO est mis à 1.
Vous devez paramétrer LO_LIM > HI_LIM pour une mise à l'échelle inverse. Avec la mise à
l'échelle inverse, la valeur de sortie à la sortie OUT diminue lorsque la valeur d'entrée à
l'entrée IN augmente.
Il faut associer à chaque appel de l'instruction "Mise à l'échelle" une plage de données dans
laquelle les données de l'instruction sont stockées. Ainsi, l'insertion de l'instruction dans le
programme déclenche automatiquement l'ouverture de la boîte de dialogue "Options d'appel"
dans laquelle vous pouvez créer un bloc de données (instance unique) (par exemple,
SCALE_DB_1) ou une multi-instance (par exemple, SCALE_Instance_1) pour l'instruction "Mise
à l'échelle". Après sa création, vous trouverez le nouveau bloc de données sous "Blocs de
programme > Blocs système" dans le dossier "STEP 7 Safety" dans le navigateur de projet ou la
multi-instance comme variable locale dans la section "Static" de l'interface du bloc. Vous
trouverez plus d'informations à ce sujet dans l'aide de STEP 7.
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" n'est pas
possible. L'instruction est donc toujours exécutée (quel que soit l'état logique à l'entrée de
validation "EN").
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Versions de l'instruction
Plusieurs versions sont disponibles pour cette instruction :
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety, la version la plus récente
disponible pour la CPU F créée est automatiquement prédéfinie.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
Remarque
Si vous utilisez des entrées de la MIE d'un SM 336; AI 6 x 13Bit ou d'un SM 336; F-
AI 6 x 0/4 ... 20 mA HART comme valeurs d'entrée, notez que le système F identifie le
débordement haut ou bas d'une voie de ces SM F comme une erreur de périphérie F/de voie.
La valeur de remplacement 0 est fournie à la place de 7FFFH (débordement haut) ou de
8000H (débordement bas) dans la mémoire image des entrées pour le programme de
sécurité.
Si vous voulez sortir d'autres valeurs de remplacement dans ce cas, vous devez évaluer le
signal QBAD de la périphérie F correspondante ou le signal QBAD_I_xx/l'état de la valeur de la
voie correspondante.
Si la valeur dans la MIE du SM F se situe dans les limites de dépassement haut ou bas mais est
supérieure à 27648 ou inférieure à 0, vous pouvez aussi opter pour la sortie d'une valeur de
remplacement individuelle en évaluant les sorties OUT_HI ou OUT_LO.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
13.9.5 SCALE_D : Mise à l'échelle de la valeur vers le type de données DINT (STEP 7
Safety V18) (S7-1200, S7-1500)
Description
Cette instruction met la valeur à l'entrée IN à l'échelle en unités physiques entre la limite
inférieure à l'entrée LO_LIM et la limite supérieure à l'entrée HI_LIM. La valeur à l'entrée IN est
supposée être comprise entre 0 et 27648. Le résultat de la mise à l'échelle est fourni dans la
sortie OUT.
L'instruction utilise l'équation suivante :
OUT = [ IN × (HI_LIM – LO_LIM) ] / 27648 + LO_LIM
Tant que la valeur à l'entrée IN est supérieure à 27648, la sortie OUT est connectée à HI_LIM
et OUT_HI est mis à 1.
Tant que la valeur à l'entrée IN est inférieure à 0, la sortie OUT est connecée à LO_LIM et
OUT_LO est mis à 1.
Vous devez paramétrer LO_LIM > HI_LIM pour une mise à l'échelle inverse. Avec la mise à
l'échelle inverse, la valeur de sortie à la sortie OUT diminue lorsque la valeur d'entrée à
l'entrée IN augmente.
Il faut associer à chaque appel de l'instruction "Mise à l'échelle au type de données DINT" une
plage de données dans laquelle les données de l'instruction sont stockées. Ainsi, l'insertion de
l'instruction dans le programme déclenche automatiquement l'ouverture de la boîte de
dialogue "Options d'appel" dans laquelle vous pouvez créer un bloc de données (instance
unique) (par exemple, SCALE_D_DB_1) ou une multi-instance (par exemple,
SCALE_D_Instance_1) pour l'instruction "Mise à l'échelle au type de données DINT". Après sa
création, vous trouverez le nouveau bloc de données sous "Blocs de programme > Blocs
système" dans le dossier "STEP 7 Safety" dans le navigateur de projet ou la multi-instance
comme variable locale dans la section "Static" de l'interface du bloc. Vous trouverez plus
d'informations à ce sujet dans l'aide de STEP 7.
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" n'est pas
possible. L'instruction est donc toujours exécutée (quel que soit l'état logique à l'entrée de
validation "EN").
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Versions de l'instruction
Une version est disponible pour cette instruction :
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety, la version la plus récente
disponible pour la CPU F créée est automatiquement prédéfinie.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
Remarque
Si vous utilisez des entrées de la MIE d'un SM 336; AI 6 x 13Bit ou d'un SM 336;
F-AI 6 x 0/4 ... 20 mA HART comme valeurs d'entrée, notez que le système F identifie le
débordement haut ou bas d'une voie de ces SM F comme une erreur de périphérie F/de voie.
La valeur de remplacement 0 est fournie à la place de 7FFFH (débordement haut) ou de
8000H (débordement bas) dans la mémoire image des entrées pour le programme de
sécurité.
Si vous voulez sortir d'autres valeurs de remplacement dans ce cas, vous devez évaluer le
signal QBAD de la périphérie F correspondante ou le signal QBAD_I_xx/l'état de la valeur de la
voie correspondante.
Si la valeur dans la MIE du SM F se situe dans les limites de dépassement haut ou bas mais est
supérieure à 27648 ou inférieure à 0, vous pouvez aussi opter pour la sortie d'une valeur de
remplacement individuelle en évaluant les sorties OUT_HI ou OUT_LO.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Description
L'instruction "Saut si RLO = 1" permet d'interrompre l'exécution linéaire du programme et de
la poursuivre dans un autre réseau. Le réseau cible doit être identifié par un repère de saut
(Page 561) (LABEL). La désignation de ce repère est indiquée dans l'emplacement réservé au-
dessus de l'instruction.
Le repère de saut indiqué doit se trouver dans le bloc où l'instruction est exécutée. Sa
désignation ne doit figurer qu'une seule fois dans le bloc.
Si le résultat logique (RLO) à l'entrée de l'instruction est égal à "1" ou que l'entrée n'est pas
connectée, le saut est exécuté dans le réseau identifié par le repère de saut indiqué. Le saut
peut s'effectuer dans l'ordre croissant ou décroissant des numéros de réseau.
Remarque
(S7-1200, S7-1500)
Si la destination du saut (le repère de saut) d'une instruction "JMP" ou "JMPN" se situe au-
dessus de l'instruction "JMP" ou "JMPN" associée (saut en arrière), vous ne pouvez pas insérer
d'autres instructions de gestion du programme (JMP, JMPN, RET, repère de saut) entre elles.
Exception : Vous pouvez intercaler une instruction "JMP" ou "JMPN" si vous insérez
également sa destination de saut entre elles et en dessous de l'instruction "JMP" ou "JMPN"
associée (saut avant).
Le non-respect de cette règle peut entraîner des erreurs de compilation ou le passage de la
CPU F à l'arrêt.
Remarque
Vous ne pouvez pas insérer d'instructions SENDDP ou SENDS7 entre une instruction JMP ou
JMPN et la destination de saut associée (repère de saut).
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Lorsque l'opérande "TagIn_1" fournit l'état logique "1", l'instruction "Saut si RLO = 1" est
exécutée. L'exécution linéaire du programme est alors interrompue et se poursuit dans le
réseau 3, identifié par le repère de saut CAS1. Lorsque l'entrée "TagIn_3" fournit l'état logique
"1", la sortie "TagOut_3" est mise à 0.
Description
L'instruction "Saut si RLO = 0" permet d'interrompre l'exécution linéaire du programme et de
la poursuivre dans un autre réseau si le résultat logique à l'entrée de l'instruction est "0". Le
réseau cible doit être identifié par un repère de saut (Page 561) (LABEL). La désignation de ce
repère est indiquée dans l'emplacement réservé au-dessus de l'instruction.
Le repère de saut indiqué doit se trouver dans le bloc où l'instruction est exécutée. Sa
désignation ne doit figurer qu'une seule fois dans le bloc.
Si le résultat logique (RLO) à l'entrée de l'instruction est égal à "0", le saut est exécuté dans le
réseau identifié par le repère de saut indiqué. Le saut peut s'effectuer dans l'ordre croissant
ou décroissant des numéros de réseau.
Remarque
(S7-1200, S7-1500)
Si la destination du saut (le repère de saut) d'une instruction "JMP" ou "JMPN" se situe au-
dessus de l'instruction "JMP" ou "JMPN" associée (saut en arrière), vous ne pouvez pas insérer
d'autres instructions de gestion du programme (JMP, JMPN, RET, repère de saut) entre elles.
Exception : Vous pouvez intercaler une instruction "JMP" ou "JMPN" si vous insérez
également sa destination de saut entre elles et en dessous de l'instruction "JMP" ou "JMPN"
associée (saut avant).
Le non-respect de cette règle peut entraîner des erreurs de compilation ou le passage de la
CPU F à l'arrêt.
Remarque
Vous ne pouvez pas insérer d'instructions SENDDP ou SENDS7 entre une instruction JMP ou
JMPN et la destination de saut associée (repère de saut).
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Lorsque l'opérande "TagIn_1" fournit l'état logique "0", l'instruction "Saut si RLO = 0" est
exécutée. L'exécution linéaire du programme est alors interrompue et se poursuit dans le
réseau 3, identifié par le repère de saut CAS1. Lorsque l'entrée "TagIn_3" fournit l'état logique
"1", la sortie "TagOut_3" est mise à 0.
Description
Un repère de saut permet d'identifier le réseau cible dans lequel l'exécution du programme
doit se poursuivre lorsqu'un saut est effectué.
Le repère de saut et l'instruction dans laquelle le repère de saut est indiqué comme
destination du saut doivent se trouver dans le même bloc. La désignation d'un repère de saut
ne doit être attribuée qu'une seule fois dans le bloc.
Vous ne pouvez placer qu'un seul repère de saut par réseau. Il est possible de sauter à chaque
repère de saut depuis plusieurs endroits.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Lorsque l'opérande "TagIn_1" fournit l'état logique "1", l'instruction "Saut si RLO = 1" est
exécutée. L'exécution linéaire du programme est alors interrompue et se poursuit dans le
réseau 3, identifié par le repère de saut CAS1. Lorsque l'entrée "TagIn_3" fournit l'état logique
"1", la sortie "TagOut_3" est mise à 0.
Voir aussi
JMP : Saut si RLO = 1 (STEP 7 Safety V18) (Page 557)
JMPN : Saut si RLO = 0 (STEP 7 Safety V18) (Page 559)
RET : Retour de saut (STEP 7 Safety V18) (Page 563)
Description
L'instruction "Retour de saut" permet de mettre fin à l'exécution d'un bloc.
Si le résultat logique (RLO) à l'entrée de l'instruction "Retour de saut" est "1" ou que l'entrée de
la boîte n'est pas connectée en LOG pour les CPU F S7-1200/1500, le traitement du
programme prend fin dans le bloc appelé actuel et se poursuit après la fonction d'appel dans
le bloc appelant (par exemple, dans le Main Safety Block). Si le RLO est "0" à l'entrée de
l'instruction "Retour de saut", l'instruction n'est pas exécutée. Le traitement du programme se
poursuit dans le réseau suivant du bloc appelé.
Agir sur l'état de la fonction d'appel (ENO) n'est pas pertinent puisque la connexion de la
sortie de validation "ENO" n'est pas possible.
Remarque
(S7-300, S7-400) Vous ne pouvez pas programmer d'instruction RET dans le Main Safety
Block.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'instruction "Retour de saut" est exécutée lorsque l'opérande "TagIn" fournit l'état logique "1".
L'exécution du programme prend fin dans le bloc appelé et se poursuit dans le bloc appelant.
Voir aussi
JMP : Saut si RLO = 1 (STEP 7 Safety V18) (Page 557)
JMPN : Saut si RLO = 0 (STEP 7 Safety V18) (Page 559)
LABEL : Repère de saut (STEP 7 Safety V18) (Page 561)
13.10.5 OPN : Ouvrir bloc de données global (STEP 7 Safety Advanced V18) (S7-300,
S7-400)
Description
L'instruction "Ouvrir bloc de données global" permet d'ouvrir un bloc de données (DB). Le
numéro du bloc de données est transcrit dans le registre de DB. Les commandes DB suivantes
accèdent aux blocs concernés en fonction du contenu du registre.
Remarque
Notez lors de l'utilisation de l'instruction "Ouvrir bloc de données global" que le contenu du
registre DP peut avoir changé après des appels de FB F/FC F et des accès DB avec indication du
chemin complet, de sorte qu'il n'est plus garanti que le dernier bloc de données que vous
avez ouvert avec "Ouvrir bloc de données global" est encore ouvert.
Vous devez donc utiliser la méthode suivante pour adresser des données afin d'éviter des
erreurs lors de l'accès aux données du registre de DB :
• Utilisez l'adressage symbolique.
• Utilisez exclusivement des accès DB avec indication du chemin complet.
Si vous souhaitez quand même utiliser l'instruction "Ouvrir bloc de données global", vous
devrez veiller vous-même à restaurer le registre de DB en répétant l'instruction "Ouvrir bloc de
données global" après des appels de FB F/FC F et des accès DB avec indication du chemin
complet. Un dysfonctionnement pourrait se produire sinon.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Le bloc de données "Motor_DB" est appelé dans le réseau 1. Le numéro du bloc de données
est transcrit dans le registre de DB. L'opérande "DBX0.0" est interrogé dans le réseau 2. L'état
logique de l'opérande "DBX0.0" est affecté à l'opérande "Tag_Output".
Description
L'instruction "Opération logique ET" permet d'effectuer une opération ET logique bit par bit
entre la valeur à l'entrée IN1 et la valeur à l'entrée IN2 et de lire le résultat dans la sortie OUT.
Lors de l'exécution de l'instruction, une opération ET logique est effectuée entre le bit 0 de la
valeur à l'entrée IN1 et le bit 0 de la valeur à l'entrée IN2. Le résultat est inscrit dans le bit 0 de
la sortie OUT. La même opération est exécutée pour tous les autres bits des valeurs indiquées.
Un bit de résultat n'est à l'état logique "1" que si les deux bits à relier fournissent également
l'état logique "1". Si l'un des deux bits à relier fournit l'état logique "0", le bit de résultat
correspondant est mis à 0.
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" n'est pas
possible. L'instruction est donc toujours exécutée (quel que soit l'état logique à l'entrée de
validation "EN").
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'instruction est toujours exécutée, quel que soit l'état logique à l'entrée de validation "EN". La
valeur de l'opérande "Tag_Value1" est reliée à celle de l'opérande "Tag_Value2" par un ET
logique. Le résultat est calculé bit par bit et fourni dans l'opérande ""F_DB_1".Tag_Result".
Description
L'instruction "Opération logique OU" permet de relier bit par bit la valeur à l'entrée IN1 et la
valeur à l'entrée IN2 par une opération OU logique et de lire le résultat à la sortie OUT.
Lors de l'exécution de l'instruction, le bit 0 de la valeur à l'entrée IN1 est relié au bit 0 de la
valeur à l'entrée IN2 par une opération OU logique. Le résultat est inscrit dans le bit 0 de la
sortie OUT. La même opération est réalisée pour tous les bits des variables indiquées.
Un bit de résultat est seulement à l'état logique "1" si l'un au moins des deux bits à relier
fournit l'état logique "1". Si les deux bits à relier fournissent l'état logique "0", le bit de résultat
correspondant est remis à 0.
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" n'est pas
possible. L'instruction est donc toujours exécutée (quel que soit l'état logique à l'entrée de
validation "EN").
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'instruction est toujours exécutée, quel que soit l'état logique à l'entrée de validation "EN". La
valeur de l'opérande "Tag_Value1" est reliée à celle de l'opérande "Tag_Value2" par un OU
logique. Le résultat est calculé bit par bit et fourni dans l'opérande ""F_DB_1".Tag_Result".
Description
L'instruction "Opération OU EXCLUSIF logique" permet de relier bit par bit la valeur à l'entrée
IN1 et la valeur à l'entrée IN2 par une opération OU EXCLUSIF logique et de lire le résultat à la
sortie OUT.
Lors de l'exécution de l'instruction, le bit 0 de la valeur à l'entrée IN1 est relié au bit 0 de la
valeur à l'entrée IN2 par une opération OU EXCLUSIF logique. Le résultat est inscrit dans le bit
0 de la sortie OUT. La même opération est exécutée pour tous les autres bits des valeurs
indiquées.
Un bit de résultat a l'état logique "1" si l'un des deux bits à relier fournit l'état logique "1". Si
les deux bits à relier fournissent l'état logique "1" ou "0", le bit de résultat correspondant est
mis à 0.
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" n'est pas
possible. L'instruction est donc toujours exécutée (quel que soit l'état logique à l'entrée de
validation "EN").
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'instruction est toujours exécutée, quel que soit l'état logique à l'entrée de validation "EN". La
valeur de l'opérande "Tag_Value1" est reliée à celle de l'opérande "Tag_Value2" par un OU
EXCLUSIF logique. Le résultat est calculé bit par bit et fourni dans l'opérande
""F_DB_1".Tag_Result".
Description
L'instruction "Décaler à droite" permet de décaler le contenu de l'opérande à l'entrée IN bit par
bit vers la droite et de lire le résultat dans la sortie OUT. Avec l'entrée N, vous déterminez le
nombre de positions de bit dont il faut décaler la valeur indiquée.
Si la valeur à l'entrée N est "0", la valeur de l'entrée IN est copiée sans modification dans
l'opérande de la sortie OUT.
Si la valeur à l'entrée N est supérieure au nombre de positions de bit disponibles, la valeur
d'opérande à l'entrée IN est décalée vers la droite du nombre de positions disponibles.
Les positions de bit libérées par le décalage dans la partie gauche de l'opérande sont
complétées par des zéros.
La figure suivante montre comment le contenu d'un opérande de type de données WORD est
décalé de 6 positions de bit vers la droite :
Remarque
S7-300/400 :
Seul l'octet de poids faible de l'entrée N est évalué.
S7-1200/1500 :
Si la valeur à l'entrée N est inférieure à 0, la sortie OUT est mise à 0.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Versions de l'instruction
Plusieurs versions sont disponibles pour cette instruction :
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety, la version la plus récente
disponible pour la CPU F créée est automatiquement prédéfinie.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'instruction est toujours exécutée, quel que soit l'état logique à l'entrée de validation "EN". Le
contenu de l'opérande ""F_DB_1".TagIn_Value" est décalé de trois positions de bit vers la
droite. Le résultat est fourni dans la sortie ""F_DB_1".TagOut_Value".
Description
L'instruction "Décaler à gauche" permet de décaler le contenu de l'opérande à l'entrée IN bit
par bit vers la gauche et de lire le résultat dans la sortie OUT. Avec l'entrée N, vous
déterminez le nombre de positions de bit dont il faut décaler la valeur indiquée.
Si la valeur à l'entrée N est "0", la valeur de l'entrée IN est copiée sans modification dans
l'opérande de la sortie OUT.
Si la valeur à l'entrée N est supérieure au nombre de positions de bit disponibles, la valeur
d'opérande à l'entrée IN est décalée vers la gauche du nombre de positions disponibles.
Les positions de bit libérées par le décalage dans la partie droite de l'opérande sont
complétées par des zéros.
La figure suivante montre comment le contenu d'un opérande de type de données WORD est
décalé de 6 positions de bit vers la gauche :
Remarque
S7-300/400 :
Seul l'octet de poids faible de l'entrée N est évalué.
S7-1200/1500 :
Si la valeur à l'entrée N est inférieure à 0, la sortie OUT est mise à 0.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Versions de l'instruction
Plusieurs versions sont disponibles pour cette instruction :
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety, la version la plus récente
disponible pour la CPU F créée est automatiquement prédéfinie.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'instruction est toujours exécutée, quel que soit l'état logique à l'entrée de validation "EN". Le
contenu de l'opérande ""F_DB_1".TagIn_Value" est décalé de quatre positions de bit vers la
gauche. Le résultat est fourni dans la sortie ""F_DB_1".TagOut_Value".
13.13 Utilisation
En présence d'une valeur invalide ou si le changement à la valeur 9 n'a pas lieu dans la
minute ou a lieu avant qu'une seconde soit écoulée, le paramètre d'entrée/sortie IN est remis
à 0 et les deux étapes ci-dessus doivent être répétées.
La sortie Q est mise à 1 durant l'intervalle dans lequel doit s'effectuer le passage de 6 à 9.
Sinon, Q a la valeur 0.
Il faut associer à chaque appel de l'instruction "Acquittement de sécurité" une plage de
données dans laquelle les données de l'instruction sont stockées. Ainsi, l'insertion de
l'instruction dans le programme déclenche automatiquement l'ouverture de la boîte de
dialogue "Options d'appel" dans laquelle vous pouvez créer un bloc de données (instance
unique) (par exemple, ACK_OP_DB_1) ou une multi-instance (par exemple,
ACK_OP_Instance_1) pour l'instruction "Acquittement de sécurité". Après sa création, vous
trouverez le nouveau bloc de données sous "Blocs de programme > Blocs système" dans le
dossier "STEP 7 Safety" dans le navigateur de projet ou la multi-instance comme variable
locale dans la section "Static" de l'interface du bloc. Vous trouverez plus d'informations à ce
sujet dans l'aide de STEP 7.
Remarque
Vous devez utiliser une plage de données distincte pour chaque appel de ACK_OP. Chaque
appel ne doit être traité qu'une fois dans un cycle du groupe d'exécution F.
En cas de non-respect, le comportement décrit sous "Description" n'est plus garanti.
ATTENTION
Les deux étapes d'acquittement ne doivent pas être déclenchées par une opération unique,
par exemple suite à leur stockage automatique, conditions de temps comprises, dans un
programme et à leur déclenchement par une seule touche de fonction.
La séparation des deux étapes d'acquittement permet également d'éviter le déclenchement
erroné d'un acquittement par votre système de contrôle-commande non de sécurité. (S013)
ATTENTION
Si vous avez des systèmes de contrôle-commande et des CPU F en réseau qui utilisent
l'instruction ACK_OP pour l'acquittement de sécurité, vous devez vérifier avant l'exécution
des deux étapes d'acquittement que vous accédez bien à la CPU F voulue.
• Enregistrez dans un DB de votre programme utilisateur standard sur chaque CPU F un
nom unique à l'échelle du réseau* pour la CPU F.
• Configurez sur votre système de contrôle-commande un champ dans lequel vous pourrez
lire en ligne dans le DB le nom de la CPU F avant l'exécution des deux étapes
d'acquittement.
• En option :
Configurez dans votre système de contrôle-commande un champ dans lequel le nom de
la CPU F est également stocké de manière permanente. Vous pourrez alors vous assurer
que la CPU F adressée est bien la bonne par simple comparaison du nom de la CPU F lu
en ligne avec celui enregistré de manière permanente. (S014)
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux.
Remarque
Vous pouvez lire la sortie Q au moyen de systèmes de contrôle-commande ou l'évaluer, le cas
échéant, dans votre programme utilisateur standard.
Vous pouvez affecter à l'entrée/sortie IN un mot de mémento ou un DBW d'un DB du
programme utilisateur standard propre à chaque appel de l'instruction ACK_OP.
Remarque
La configuration de votre système de contrôle-commande n'influe pas sur la signature
globale F.
ATTENTION
locale dans la section "Static" de l'interface du bloc. Vous trouverez plus d'informations à ce
sujet dans l'aide de STEP 7.
Remarque
Vous devez utiliser une plage de données distincte pour chaque appel de ACK_OP. Chaque
appel ne doit être traité qu'une fois dans un cycle du groupe d'exécution F.
En cas de non-respect, le comportement décrit sous "Description" n'est plus garanti.
ATTENTION
Les deux étapes d'acquittement ne doivent pas être déclenchées par une opération unique,
par exemple suite à leur stockage automatique, conditions de temps comprises, dans un
programme et à leur déclenchement par une seule touche de fonction.
La séparation des deux étapes d'acquittement permet également d'éviter le déclenchement
erroné d'un acquittement par votre système de contrôle-commande non de sécurité. (S013)
ATTENTION
Si vous avez des systèmes de contrôle-commande et des CPU F en réseau qui utilisent
l'instruction ACK_OP pour l'acquittement de sécurité, vous devez vérifier avant l'exécution
des deux étapes d'acquittement que vous accédez bien à la CPU F voulue.
Première possibilité :
• La valeur pour chaque identification de l'acquittement (entrée ACK_ID, type de données
INT) peut être choisie librement dans la plage de 9...30000, mais doit être unique à
l'échelle du réseau* pour toutes les instances de l'instruction ACK_OP.
Vous devez connecter l'entrée ACK_ID à des valeurs constantes lors de l'appel de
l'instruction. Les accès directs au DB d'instance correspondant ne sont autorisés ni en
lecture, ni en écriture dans le programme de sécurité.
Deuxième possibilité :
• Enregistrez dans un DB de votre programme utilisateur standard sur chaque CPU F un
nom unique à l'échelle du réseau* pour la CPU F.
• Configurez sur votre système de contrôle-commande un champ dans lequel vous pourrez
lire en ligne dans le DB le nom de la CPU F avant l'exécution des deux étapes
d'acquittement.
• En option :
Configurez dans votre système de contrôle-commande un champ dans lequel le nom de
la CPU F est également stocké de manière permanente. Vous pourrez alors vous assurer
que la CPU F adressée est bien la bonne par simple comparaison du nom de la CPU F lu
en ligne avec celui enregistré de manière permanente. (S047)
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux.
Remarque
Vous pouvez lire la sortie Q au moyen de systèmes de contrôle-commande ou l'évaluer, le cas
échéant, dans votre programme utilisateur standard.
À chaque appel de l'instruction ACK_OP, vous devez affecter à l'entrée/sortie IN un mot de
mémento ou un DBW d'un DB du programme utilisateur standard propre.
Remarque
La transmission d'une valeur au paramètre d'entrée/sortie IN de l'instruction ACK_OP ainsi que
la configuration de votre système de contrôle-commande n'influent pas sur la signature
globale F, la signature globale SW F ou la signature du bloc qui appelle l'instruction ACK_OP.
Modifier la valeur transmise au paramètre d'entrée/sortie IN ou la configuration de votre
système de contrôle-commande n'entraîne donc pas de modification de la signature globale
F, la signature globale SW F ou la signature du bloc appelant.
ATTENTION
Versions de l'instruction
Plusieurs versions sont disponibles pour cette instruction :
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety, la version la plus récente
disponible pour la CPU F créée est automatiquement prédéfinie.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
① Lors du premier appel au cycle n+1, l'instant d'appel de l'instruction par rapport au début du
groupe d'exécution F est antérieur de Δ1 à celui du cycle n parce que, par exemple, des parties
du programme de sécurité du groupe d'exécution F sont sautées avant l'appel de l'instruction au
cycle n+1. Lors de l'actualisation du temps, l'instruction tient compte du temps TBase_1 au lieu du
temps T1 qui s'est effectivement écoulé depuis l'appel au cycle n.
② L'instruction est appelée une deuxième fois au cycle n+1. Il n'y a pas de nouvelle actualisation
du temps (de Δ2).
③ Lors de l'appel au cycle n+2, l'instant d'appel de l'instruction par rapport au début du groupe
d'exécution F est postérieur de Δ3 à celui du cycle n parce que, par exemple, le groupe d'exécu-
tion F a été interrompu par une alarme de priorité plus élevée avant l'appel de l'instruction au
cycle n+2. Au lieu du temps T3 qui s'est effectivement écoulé depuis l'appel au cycle n, l'instruc-
tion a pris en compte le temps TBase_1 + TBase_2. Il en serait de même si aucun appel n'avait eu lieu
au cycle n+1.
exemple
Vous trouverez un exemple d'application de l'instruction sous Réalisation d'un acquittement
utilisateur dans le programme de sécurité de la CPU F d'un maître DP ou d'un IO-Controller
(Page 183).
Voir aussi
Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un
esclave I ou d'un périphérique I (Page 188)
13.14.1 CONT
13.14.1.1 ---| |--- OV : Interrogation du bit d'état OV (STEP 7 Safety Advanced V18) (S7-300,
S7-400)
Description
L'instruction "Interroger le bit d'état OV à 1" permet de détecter si un débordement de plage
numérique s'est produit dans la dernière instruction arithmétique traitée.
L'instruction "Interroger le bit d'état OV à 1" fonctionne comme un contact à fermeture. Si
l'interrogation est vraie, l'instruction fournit l'état logique "1". Si l'interrogation est fausse,
l'instruction fournit l'état logique "0".
L'évaluation "Interroger le bit d'état OV à 1" doit être placée dans le réseau qui suit
l'instruction affectant le bit OV. Ce réseau ne doit pas contenir de repères de saut.
Remarque
L'utilisation de l'instruction "Interroger le bit d'état OV à 1" allonge le temps d'exécution de
l'instruction affectant le bit OV (voir aussi le fichier Excel de calcul des temps de réaction
(https://support.industry.siemens.com/cs/ww/fr/view/109783831)).
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'instruction "Addition" est toujours exécutée (quel que soit l'état logique à l'entrée de
validation EN).
13.14.1.2 ---| / |--- OV : Interrogation du bit d'état OV inversé (STEP 7 Safety Advanced V18)
(S7-300, S7-400)
Description
L'instruction "Interroger le bit d'état OV à 0" permet de détecter si un débordement de plage
numérique s'est produit dans la dernière instruction arithmétique traitée. Cette instruction est
disponible uniquement en CONT.
L'instruction "Interroger le bit d'état OV à 0" fonctionne comme un contact à ouverture. Si
l'interrogation est vraie, l'instruction fournit l'état logique "0". Si l'interrogation est fausse,
l'instruction fournit l'état logique "1".
L'évaluation "Interroger le bit d'état OV à 0" doit être placée dans le réseau qui suit
l'instruction affectant le bit OV. Ce réseau ne doit pas contenir de repères de saut.
Remarque
L'utilisation de l'instruction "Interroger le bit d'état OV à 0" allonge le temps d'exécution de
l'instruction affectant le bit OV (voir aussi le fichier Excel de calcul des temps de réaction
(https://support.industry.siemens.com/cs/ww/fr/view/109783831)).
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
L'instruction "Addition" est toujours exécutée (quel que soit l'état logique à l'entrée de
validation EN).
13.14.2 LOG
13.14.2.1 OV : Interrogation du bit d'état OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)
Description
L'instruction "Interroger le bit d'état OV à 1" permet de détecter si un débordement de plage
numérique s'est produit dans la dernière instruction arithmétique traitée.
L'évaluation "Interroger le bit d'état OV à 1" doit être placée dans le réseau qui suit
l'instruction affectant le bit OV. Ce réseau ne doit pas contenir de repères de saut.
Si l'interrogation est vraie, l'instruction fournit l'état logique "1". Si l'interrogation est fausse,
l'instruction fournit l'état logique "0".
Vous pouvez programmer une interrogation à "0" du bit d'état OV à l'aide de l'instruction
"Inverser RLO".
Remarque
L'utilisation de l'instruction "Interroger le bit d'état OV à 1" allonge le temps d'exécution de
l'instruction affectant le bit OV (voir aussi le fichier Excel de calcul des temps de réaction
(https://support.industry.siemens.com/cs/ww/fr/view/109783831)).
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
13.15 Communication
13.15.1 PROFIBUS/PROFINET
Introduction
Les instructions SENDDP et RCVDP permettent l'émission et la réception sécurisées de
données via l'un des modes de communication suivants :
• Communication maître-maître de sécurité
• Communication maître-maître de sécurité pour S7 Distributed Safety
• Communication maître-esclave I de sécurité
• Communication esclave I-esclave I de sécurité
• Communication contrôleur IO-contrôleur IO de sécurité
• Communication contrôleur IO-contrôleur IO pour S7 Distributed Safety
• Communication contrôleur IO-périphérique I de sécurité
• Communication contrôleur IO-esclave I de sécurité
Description
L'instruction SENDDP envoie de manière sécurisée via PROFIBUS DP/PROFINET IO 16 données
de type BOOL et 2 données de type INT – ou bien une donnée de type DINT (S7-1200,
S7-1500) – à une autre CPU F. Les données peuvent y être reçues avec l'instruction RCVDP
correspondante.
Il faut associer à chaque appel de ces instructions une plage de données dans laquelle les
données de l'instruction sont stockées. Ainsi, l'insertion de l'instruction dans le programme
déclenche automatiquement l'ouverture de la boîte de dialogue "Options d'appel" dans
laquelle vous pouvez créer un bloc de données (instance unique) (par exemple, RCVDP_DB_1)
pour ces instructions. Après sa création, vous trouverez le nouveau bloc de données sous
"Blocs de programme > Blocs système" dans le dossier "STEP 7 Safety" dans le navigateur de
projet. Vous trouverez plus d'informations à ce sujet dans l'aide de STEP 7.
ATTENTION
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les abonnés
accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les abonnés accessibles
via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas échéant, via RT_Class_UDP
(IP, couche 3).
** S7-1200/1500 : À partir de la version V3.0 des instructions SENDDP et RCVDP, aucune
communication n'est établie si l'ID de communication F à l'entrée DP_DP_ID est égale à "0".
*** S7-1200/1500 : À partir de la version V3.0 des instructions SENDDP et RCVDP, vous
pouvez également affecter à l'entrée DP_DP_ID des valeurs variables provenant d'un DB F
global. Dans ce cas également, vous devez contrôler lors de la réception du programme de
sécurité que l'unicité est garantie à tout moment en vérifiant l'algorithme de génération de la
valeur variable en conséquence. Si vous ne pouvez pas garantir une ID de communication F
unique au démarrage du programme de sécurité, car elle n'est définie qu'après le démarrage
du programme de sécurité, vous devez veiller à ce que la valeur à l'entrée DP_DP_ID soit égale
à "0" dans cette phase.
**** Dans un système S7-1500HF redondant, les deux CPU F du système S7-1500HF
redondant sont à considérer comme une CPU F en ce qui concerne DP_DP_ID.
Remarque
Vous devez paramétrer une autre adresse initiale (S7-300/400) ou une autre ID matérielle
(S7-1200/1500) à l'entrée LADDR pour chaque appel des instructions SENDDP et RCVDP dans
un programme de sécurité.
Vous devez utiliser un DB d'instance distinct pour chaque appel des instructions SENDDP et
RCVDP. Il est interdit de déclarer et d'appeler ces instructions comme multi-instances.
(S7-300/400) Les entrées des instructions RCVDP et RCVS7 ne doivent pas avoir d'opérations
amont (une instruction "Opération logique ET", par exemple).
Les entrées de l'instruction RCVDP ne peuvent pas être connectées, par des accès DB avec
indication du chemin complet, à des sorties d'une instruction RCVDP ou RCVS7 appelée dans
un réseau précédent.
(S7-1200/1500) La sortie RD_DI_00 de l'instruction RCVDP ne doit pas être évaluée si
DINTMODE = 0 ; les sorties RD_I_xx ne doivent pas être évaluées si DINTMODE = 1.
(S7-1200/1500) Les sorties des instructions SENDDP et RCVDP ne doivent pas être connectées
à des variables du programme utilisateur standard. Exception : sorties RET_DPRD, RET_DPWR
et DIAG.
Les accès avec indication du chemin complet à DP_DP_ID et LADDR ne sont pas possibles dans
le programme de sécurité.
Pour une sortie d'une instruction RCVDP, vous ne devez pas utiliser de paramètre effectif déjà
utilisé pour une entrée de la même ou d'une autre instruction RCVDP ou RCVS7.
La CPU F peut passer à l'état Arrêt si cela n'est pas respecté. La cause de l'événement de
diagnostic est inscrite dans le tampon de diagnostic de la CPU F.
Remarque
Vous ne pouvez pas insérer d'instructions SENDDP/RCVDP entre une instruction JMP ou JMPN
et la destination de saut associée (repère de saut).
Vous ne pouvez pas insérer d'instruction RET avant une instruction SENDDP.
Paramètres de SENDDP
Le tableau suivant montre les paramètres de l'instruction SENDDP :
Paramètres de RCVDP :
Le tableau suivant montre les paramètres de l'instruction RCVDP :
Versions de l'instruction
Plusieurs versions sont disponibles pour ces instructions :
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety, la version la plus récente
disponible pour la CPU F créée est automatiquement prédéfinie.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
Emplacement
Vous devez insérer l'instruction RCVDP soit au début du Main Safety Block, soit (pour les CPU
F S7-1200/1500) dans un FB F/une FC F appelée directement au début du Main Safety Block.
Aucune autre instruction ne doit la précéder dans le Main Safety Block ou bien la précéder ou
la suivre dans le FB F/la FC F.
Vous devez insérer l'instruction SENDDP soit à la fin du Main Safety Block, soit (pour les CPU F
S7-1200/1500) dans un FB F/une FC F appelée directement à la fin du Main Safety Block.
Aucune autre instruction ne doit la suivre dans le Main Safety Block ou bien la précéder ou la
suivre dans le FB F/la FC F.
Comportement au démarrage
Après un démarrage des systèmes F émetteur et récepteur, la communication doit être
établie pour la première fois entre les partenaires de communication (instructions SENDDP et
RCVDP). Pendant ce temps, le récepteur (instruction RCVDP) transmet les valeurs de
remplacement présentes à ses entrées SUBBO_xx et SUBI_xx – ou bien SUBDI_00.
Les instructions SENDDP et RCVDP signalent cela en mettant la sortie SUBS_ON à 1. La sortie
SENDMODE a la valeur par défaut 0 et n'est pas actualisée tant que la sortie SUBS_ON est
égale à 1.
À partir de la version V3.0 des instructions SENDDP et RCVDP, la communication n'est établie
que si DP_DP_ID est différent de 0.
ATTENTION
Pour l'acquittement utilisateur, vous devez connecter l'entrée ACK_REI à un signal généré
par la commande.
Une connexion à un signal généré automatiquement n'est pas autorisée.* (S040)
la sortie DIAG
La sortie DIAG des deux instructions SENDDP et RCVDP fournit, aux fins de service, des
informations non de sécurité sur le type des erreurs de communication qui se sont produites.
Vous pouvez lire ces informations au moyen de systèmes de contrôle-commande ou les
évaluer, le cas échéant, dans votre programme utilisateur standard. Les bits DIAG restent
mémorisés jusqu'à ce que vous procédiez à l'acquittement à l'entrée ACK_REI de l'instruction
RCVDP.
Voir aussi
Communication avec S7 Distributed Safety via un coupleur PN/PN (communication contrôleur
IO-contrôleur IO) (Page 249)
Communication avec S7 Distributed Safety via un coupleur DP/DP (communication maître-
maître) (Page 250)
Configurer et programmer la communication (S7-300, S7-400) (Page 196)
Communication contrôleur IO-contrôleur IO de sécurité (Page 199)
Communication maître-maître de sécurité (Page 208)
Communication contrôleur IO-périphérique I de sécurité (Page 218)
Communication maître-esclave I de sécurité (Page 224)
Communication contrôleur IO-esclave I de sécurité (Page 241)
13.15.2 Communication S7
13.15.2.1 SENDS7 et RCVS7 : Communication via liaisons S7 (STEP 7 Safety Advanced V18)
(S7-300, S7-400)
Introduction
Les instructions SENDS7 et RCVS7 permettent l'émission et la réception de sécurité de
données via des liaisons S7.
Remarque
Dans STEP 7 Safety Advanced, les liaisons S7 ne sont généralement autorisées que via
Industrial Ethernet.
La communication de sécurité via des liaisons S7 est possible depuis et vers des CPU à
interface PROFINET ou des CPU F S7-400 avec CP compatibles PROFINET. Voir aussi
Communication de sécurité via des liaisons S7 (Page 241).
Description
L'instruction SENDS7 envoie les données d'émission contenues dans un DB de
communication F au DB de communication F de l'instruction RCVS7 associée d'une autre
CPU F de manière sécurisée via une liaison S7.
Il faut associer à chaque appel de ces instructions une plage de données dans laquelle les
données de l'instruction sont stockées. Ainsi, l'insertion de l'instruction dans le programme
déclenche automatiquement l'ouverture de la boîte de dialogue "Options d'appel" dans
laquelle vous pouvez créer un bloc de données (instance unique) (par exemple,
SENDS7_DB_1) ou une multi-instance (par exemple, SENDS7_Instance_1) pour ces
instructions. Après sa création, vous trouverez le nouveau bloc de données sous "Blocs de
programme > Blocs système" dans le dossier "STEP 7 Safety" dans le navigateur de projet ou la
multi-instance comme variable locale dans la section "Static" de l'interface du bloc. Vous
trouverez plus d'informations à ce sujet dans l'aide de STEP 7.
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" n'est pas
possible. L'instruction est donc toujours exécutée (quel que soit l'état logique à l'entrée de
validation "EN").
Vous trouverez des informations sur le DB de communication F sous "Programmer la
communication de sécurité via des liaisons S7 (Page 244)".
Un DB de communication F est un DB F pour la communication CPU-CPU de sécurité ayant
des propriétés spéciales. Vous devez indiquer les numéros des DB de communication F aux
entrées SEND_DB et RCV_DB des instructions SENDS7 et RCVS7.
Le mode de fonctionnement de la CPU F avec l'instruction SENDS7 est fourni à la sortie
SENDMODE de l'instruction RCVS7. La sortie SENDMODE = 1 si la CPU F avec l'instruction
SENDS7 se trouve en mode de sécurité désactivé.
Pour réduire la charge du bus, vous pouvez désactiver temporairement la communication
entre les CPU F à l'entrée EN_SEND de l'instruction SENDS7 en affectant la valeur "0" à l'entrée
EN_SEND (la valeur par défaut est "1"). Plus aucune donnée d'émission n'est alors envoyée au
DB de communication F de l'instruction RCVS7 associée et le récepteur fournit les valeurs de
remplacement (valeurs initiales dans son DB de communication F) durant cette période. Si
une communication était déjà établie entre les partenaires de liaison, une erreur de
communication est détectée.
Vous devez indiquer l'ID locale – du point de vue de la CPU F – de la liaison S7 (figurant dans
la table des liaisons de la vue du réseau) à l'entrée ID de l'instruction SENDS7 (voir aussi
Configuration (Page 43)).
La communication entre les CPU F se fait en arrière-plan via un protocole de sécurité spécial.
Vous devez pour cela définir la relation de communication entre une instruction SENDS7 dans
une CPU F et une instruction RCVS7 dans l'autre CPU F en spécifiant un nombre impair à
l'entrée R_ID (de l'instruction SENDS7 et RCVS7). Les instructions SENDS7 et RCVS7 associées
reçoivent la même valeur pour R_ID.
ATTENTION
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les abonnés
accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les abonnés accessibles
via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas échéant, via RT_Class_UDP
(IP, couche 3).
Remarque
Vous devez utiliser un DB d'instance distinct pour chaque appel des instructions SENDS7 et
RCVS7 dans un programme de sécurité. Il est interdit de déclarer et d'appeler ces instructions
comme multi-instances.
Les entrées de l'instruction RCVS7 ne peuvent pas être connectées, par des accès DB avec
indication du chemin complet, à des sorties d'une instruction RCVS7 ou RCVDP appelée dans
un réseau précédent.
Pour une sortie d'une instruction RCVS7, vous ne devez pas utiliser de paramètre effectif déjà
utilisé pour une entrée de la même ou d'une autre instruction RCVS7 ou RCVDP.
La CPU F peut passer à l'état Arrêt si cela n'est pas respecté. Un événement de diagnostic est
alors inscrit dans le tampon de diagnostic de la CPU F.
Remarque
Vous ne pouvez pas programmer d'instruction SENDS7/RCVS7 entre une instruction JMP ou
JMPN et le réseau cible correspondant de l'instruction JMP ou JMPN.
Vous ne pouvez pas programmer d'instruction RET avant une instruction SENDS7.
Paramètres de SENDS7
Le tableau suivant montre les paramètres de l'instruction SENDS7 :
Paramètres de RCVS7
Le tableau suivant montre les paramètres de l'instruction RCVS7 :
Versions de l'instruction
Plusieurs versions sont disponibles pour ces instructions :
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety Advanced, la version la plus
récente disponible pour la CPU F créée est automatiquement prédéfinie.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
Emplacement
Vous devez insérer l'instruction RCVS7 au début du Main Safety Block. Aucune autre
instruction ne doit la précéder dans le Main Safety Block.
Vous devez insérer l'instruction SENDS7 à la fin du Main Safety Block. Aucune autre
instruction ne doit la suivre dans le Main Safety Block.
Comportement au démarrage
Après un démarrage des systèmes F émetteur et récepteur, la communication doit être
établie pour la première fois entre les partenaires de communication (instructions SENDS7 et
RCVS7). Le récepteur (instruction RCVS7) fournit les valeurs de remplacement (valeurs
initiales dans son DB de communication F) durant cette période.
Les instructions SENDS7 et RCVS7 signalent cela en mettant la sortie SUBS_ON à 1. La sortie
SENDMODE (instruction RCVS7) a la valeur par défaut 0 et n'est pas actualisée tant que la
sortie SUBS_ON est égale à 1.
ATTENTION
Pour l'acquittement utilisateur, vous devez connecter l'entrée ACK_REI à un signal généré
par la commande.
Une connexion à un signal généré automatiquement n'est pas autorisée. (S040)
Notez que la sortie ERROR (1 = erreur de communication) est mise à 1 pour la première fois
en cas d'erreur de communication si la communication entre les partenaires de
communication (instructions SENDS7 et RCVS7) a déjà été établie une fois. Si la
communication ne peut pas être établie après un démarrage des systèmes F émetteur et
récepteur, vérifiez la configuration de la communication CPU-CPU de sécurité, le paramétrage
des instructions SENDS7 et RCVS7 et la liaison au bus. Vous trouverez aussi des informations
sur les causes d'erreur possibles en évaluant les sorties STAT_RCV ou STAT_SND.
En règle générale, évaluez toujours STAT_RCV et STAT_SND, car il est possible qu'une seule
des deux sorties contienne une information d'erreur.
Si l'un des bits DIAG à la sortie DIAG est à 1, vérifiez également si la longueur et la structure
du DB de communication F associé concordent du côté émetteur et récepteur.
La sortie DIAG
La sortie DIAG fournit, aux fins de service, des informations non de sécurité sur le type des
erreurs de communication qui se sont produites. Vous pouvez lire ces informations au moyen
de systèmes de contrôle-commande ou les évaluer, le cas échéant, dans votre programme
utilisateur standard. Les bits DIAG restent mémorisés jusqu'à ce que vous procédiez à
l'acquittement à l'entrée ACK_REI de l'instruction RCVS7 correspondante.
Structure de DIAG
Informations supplémentaires
Les calculs des temps de surveillance et de réaction pour la partie standard dans SIMATIC
Safety se font exactement comme pour les systèmes d'automatisation standard S7-300,
S7-400, S7-1200 et S7-1500 et ne sont pas traités ici. Vous trouverez une description de ces
calculs dans les manuels du matériel des CPU. Reportez-vous également au manuel système
"Système S7-1500R/H redondant
(https://support.industry.siemens.com/cs/ww/fr/view/109754833)" pour les systèmes
S7-1500HF redondants.
ATTENTION
Remarque
Des temps de surveillance minimum plus élevés sont nécessaires pour la disponibilité dans
un système S7-1500HF redondant afin d'éviter un déclenchement des surveillances de
temps dans les états de fonctionnement et système spécifiques du système S7-1500HF
redondant. Cette exigence est prise en compte dans le fichier Excel de calcul des temps de
réaction.
3. Calculez le temps de réaction maximum à l'aide du fichier Excel de calcul des temps de
réaction et vérifiez que le temps de sécurité du processus n'est pas dépassé. Vous devrez, le
cas échéant, réduire les temps de surveillance spécifiques du système F.
Voir aussi
Système S7-1500R/H redondant
(https://support.industry.siemens.com/cs/ww/fr/view/109754833)
Remarque
Notez que, dans un système S7-1500HF redondant utilisant un périphérique IO qui ne prend
pas en charge la redondance système S2, une défaillance de la CPU principale entraîne une
interruption de la communication PROFINET avec ce périphérique et donc une erreur de
communication avec les périphéries F de ce périphérique IO, ce qui exigera une réintégration
des périphéries F (voir sous "Après des erreurs de communication (Page 175)").
Pour les périphériques IO avec redondance système S2, le système redondant S7-1500HF
commute sans interruption sur la CPU de réserve en cas de défaillance de la CPU principale.
Pendant la commutation principale/réserve, les sorties de sécurité restent activées.
Remarque
Pendant la mise en service du système F, vous pouvez vérifier en mode de sécurité activé si le
temps de surveillance PROFIsafe configuré est trop court.
Cette vérification du temps de surveillance PROFIsafe est utile si vous voulez être sûr que le
temps de surveillance configuré présente un écart suffisant au temps de surveillance
minimum. Cela pourrait éviter des erreurs de temps de surveillances sporadiques.
Procédure :
1. Enfichez une périphérie F qui ne sera pas nécessaire dans le fonctionnement ultérieur de
l'installation.
2. Paramétrez pour cette périphérie F un temps de surveillance inférieur à celui de la périphérie
F de l'installation.
3. Si la périphérie F supplémentaire tombe en panne et que le diagnostic signale "Temps de
surveillance dépassé pour le télégramme de sécurité", vous êtes passé en dessous du temps
de surveillance PROFIsafe minimum possible.
4. Augmentez le temps de surveillance de la périphérie F supplémentaire jusqu' au point où
elle ne présente plus de défaillance. Ce temps de surveillance correspond
approximativement au temps de surveillance minimum possible.
Conditions :
La périphérie F à enficher en plus doit avoir les propriétés suivantes en commun avec la
périphérie F dont le temps de surveillance PROFIsafe doit être vérifié :
• être enfichée dans le même châssis
• être partenaire dans le même sous-réseau
Conseil :
Il peut s'avérer utile de laisser la périphérie F supplémentaire enfichée en permanence dans
les installations qui sont modifiées/complétées en cours de fonctionnement après la mise en
service. Grâce à cette périphérie F, un avertissement sera émis à temps en cas de
modifications du comportement temporel, ce qui permettra d'éviter un arrêt du processus
déclenché par la périphérie F dans le processus.
Dans un système S7-1500HF redondant, il faut vérifier si le temps de surveillance PROFIsafe
configuré est trop court dans tous les états de fonctionnement et système, car les temps de
réaction y dépendent également de l'état de fonctionnement et système respectif.
Entrée TIMEOUT dans SENDDP et RCVDP ou SENDS7 et RCVS7 / temps de surveillance F pour la
communication via Flexible F-Link
La surveillance de temps a lieu dans les instructions SENDDP et RCVDP (Page 585) ou SENDS7
et RCVS7 (Page 595) des partenaires de communication. Vous devez paramétrer la
surveillance de temps avec un temps de surveillance identique à l'entrée TIMEOUT des deux
instructions.
Vous devez choisir un temps de surveillance TIMEOUT suffisamment long pour que la
surveillance ne se déclenche pas en l'absence d'erreur.
Pour la communication via Flexible F-Link, vous définissez lors de la création d'une
communication de sécurité (Page 97) le temps de surveillance F pour cette communication
de sécurité.
Utilisez le fichier Excel de calcul des temps de réaction
(https://support.industry.siemens.com/cs/ww/fr/view/109783831) disponible pour
SIMATIC Safety afin de déterminer la valeur minimale pour TIMEOUT ou pour le temps de
surveillance F.
Tenez également compte des commentaires dans le fichier Excel.
Plage de variation
Le temps de réaction effectif se situe entre un temps de réaction minimal et un temps de
réaction maximal. Lors de la configuration de votre installation, vous devez toujours vous
baser sur le temps de réaction maximal.
Tenez également compte des commentaires dans le fichier Excel de calcul des temps de
réaction (https://support.industry.siemens.com/cs/ww/fr/view/109783831).
Remarque
Dans un système redondant S7-1500HF, l'état actuel de fonctionnement et du système
influent sur le temps de réaction effectif.
ATTENTION
Vous ne pouvez utiliser le fichier Excel de calcul des temps de réaction ou de calcul des
délais lors de l'utilisation d'une communication Flexible F-Link que si vous avez observé les
règles suivantes concernant les instructions standard pour le transfert cohérent des
données :
Communication CPU-CPU (Page 289)
Vous devez appeler l'instruction standard pour l'envoi cohérent de données et
d'acquittements dans le post-traitement du groupe d'exécution F (Page 86). Avec les
instructions standard pour la réception cohérente de données et d'acquittements, vous
devez distinguer si la liaison de communication standard est déterministe ou non. Dans le
cas d'une liaison déterministe (telle que DPRD_DAT / DPWR_DAT), vous devez appeler
l'instruction standard dans le prétraitement du groupe d'exécution F (Page 86). Dans le cas
d'une liaison non déterministe (telle que liaison S7, liaisons TCP), vous devez appeler
l'instruction standard dans un OB d'alarme cyclique. Cet OB d'alarme cyclique doit être
appelé à intervalles de temps plus courts que le groupe d'exécution F. Nous recommandons
un rapport de 1 à 5.
Communication entre groupes d'exécution F (Page 144)
Vous devez appeler l'instruction standard UMOVE_BLK pour le transfert des données à
envoyer dans le post-traitement du groupe d'exécution F émetteur. Vous devez appeler
l'instruction standard UMOVE_BLK pour le transfert de l'acquittement à envoyer dans le
post-traitement du groupe d'exécution F récepteur. (S089)
ATTENTION
Le temps de réaction de votre fonction de sécurité dépend, entre autres, du temps de cycle
de l'OB F, du temps d'exécution du groupe d'exécution F et du paramétrage de
PROFINET/PROFIBUS en cas d'utilisation d'une périphérie F décentralisée.
Ainsi, la configuration/le paramétrage du système standard influe également sur le temps de
réaction de votre fonction de sécurité.
Exemples :
• L'augmentation de la priorité d'un OB standard par rapport à la priorité d'un OB F peut
allonger le temps de cycle de l'OB F ou le temps d'exécution du groupe d'exécution F en
raison du traitement à priorité plus élevée de l'OB standard. Notez que des OB de priorité
très élevée peuvent être automatiquement créés lors de la création d'objets
technologiques.
• La modification de la cadence d'émission de PROFINET modifie le temps de cycle d'un OB
F de classe d'événement "Synchronous cycle".
Notez que la configuration/le paramétrage du système standard n'est pas soumis à la
protection d'accès pour le programme de sécurité et n'entraîne pas de modification de la
signature globale F.
Si vous n'empêchez pas les modifications dans la configuration/le paramétrage du système
standard influant sur le temps de réaction par des mesures organisationnelles, vous devez
toujours utiliser les temps de surveillance pour le calcul du temps de réaction maximal d'une
fonction de sécurité (voir Configurer les temps de surveillance (Page 603)).
Les temps de surveillance sont protégés des modifications par la protection d'accès du
programme de sécurité et sont acquis par la signature globale F et la signature globale SW F.
En cas de calcul à l'aide du fichier Excel de calcul des temps de réaction
(https://support.industry.siemens.com/cs/ww/fr/view/109783831), vous devez tenir compte
de la valeur indiquée pour "Any standard system runtimes" comme valeur pour le temps de
réaction maximal. (S085)
Liste de contrôle
Légende :
• Les références à des chapitres sans indication supplémentaire se rapportent à la présente
documentation.
• "Man. SM F" désigne le manuel Système d'automatisation S7-300, Système de périphérie
décentralisée ET 200M, Modules de signaux de sécurité
(http://support.automation.siemens.com/WW/view/fr/19026151).
• "Man. Modules F" désigne le manuel Système de périphérie décentralisée ET 200S,
Modules de sécurité (http://support.automation.siemens.com/WW/view/en/27235629).
• "Man. ET 200eco" désigne le manuel Station de périphérie décentralisée ET 200eco,
Module de périphérie de sécurité
(http://support.automation.siemens.com/WW/view/en/19033850).
• "Man. ET 200eco PN" désigne le manuel ET 200eco PN F-DI 8 x 24 VDC, 4xM12 / F-DQ 3 x
24 VDC/2.0A PM, 3xM12
(https://support.industry.siemens.com/cs/ww/fr/view/109765611).
• "Man. ET 200pro" désigne le manuel Station de périphérie décentralisée ET 200pro,
Module de périphérie de sécurité
(http://support.automation.siemens.com/WW/view/en/22098524).
• "Man. ET 200iSP" désigne le manuel Station de périphérie décentralisée ET 200iSP,
Modules de sécurité (http://support.automation.siemens.com/WW/view/en/47357221).
• "Man. ET 200SP" désigne le manuel Manuel système ET 200SP
(http://support.automation.siemens.com/WW/view/fr/58649293).
• "Man. ET 200AL" désigne le manuel Manuel système ET 200AL
(https://support.industry.siemens.com/cs/ww/fr/view/89254965).
• "Man. ET 200MP" désigne le manuel Manuel système S7-1500/ET 200MP
(http://support.automation.siemens.com/WW/view/fr/59191792).
• "Man. S7-1500R/H" désigne le manuel Manuel système S7-1500R/H
(https://support.industry.siemens.com/cs/ww/fr/view/109754833).
• "Man. SIMATIC Drive Controller" désigne le manuel Manuel de l'appareil SIMATIC Drive
Controller (https://support.industry.siemens.com/cs/ww/fr/view/109766665).
• "Man. Modules ET 200SP" désigne les manuels des modules F du système de périphérie
décentralisée ET 200SP (https://support.industry.siemens.com/cs/ww/fr/ps/14059/man).
• "Man. Modules ET 200 MP" désigne les manuels des modules F du système de périphérie
décentralisée ET 200 MP (https://support.industry.siemens.com/cs/ww/fr/ps/14141/man).
• "Man. Module ET 200AL" désigne le manuel du module F du système de périphérie
décentralisée ET 200AL (https://support.industry.siemens.com/cs/ww/fr/view/109798489).
À l'échelle de la CPU
En relation avec la périphérie F, "à l'échelle de la CPU" signifie toutes les périphéries F
affectées à une CPU F : périphérie F centralisée de cette CPU F, périphérie F pour laquelle la
CPU F est maître DP/contrôleur IO, ainsi que périphérie F affectée dans un shared device. La
périphérie F adressée via la communication esclave I-esclave est affectée à la CPU F de
l'esclave I et non à la CPU F du maître DP/contrôleur IO.
En relation avec la communication CPU-CPU de sécurité, "à l'échelle de la CPU" comprend
toutes les liaisons de communication de sécurité qui sont configurées dans une CPU F.
Dans un système S7-1500HF redondant, les deux CPU F du système S7-1500HF redondant
sont à considérer comme une CPU F.
À l'échelle du réseau
Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie par-
delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les abonnés
accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les abonnés accessibles
via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas échéant, via RT_Class_UDP
(IP, couche 3).
Adresse cible F
→ Adresse PROFIsafe
Adresse PROFIsafe
L'adresse PROFIsafe (nom de code conforme à IEC 61784-3-3:2021) sert à protéger les
mécanismes d'adressage standard tels que les adresses IP. L'adresse PROFIsafe est composée
de l'adresse source F et de l'adresse cible F. Chaque → périphérie F a donc deux composantes
d'adresse, l'adresse source F et l'adresse cible F.
L'adresse source F est affectée automatiquement et elle est affichée pour les appareils
DP/périphériques IO normalisés de sécurité et les modules F ET 200SP, les modules F ET
200MP, les modules F ET 200AL, ET 200eco PN et les modules F S7-1200. L'adresse source F
est toujours égale à 1 pour les modules F ET 200S, ET 200eco, ET 200pro, ET 200iSP et les SM
F S7-300. Pour les modules F ET 200SP, les modules F ET 200MP, les modules F ET 200AL et
ET 200eco PN, l'adresse source F correspond au paramètre "Central F-source address" de la
CPU F correspondante.
Vous devez configurer l'adresse cible F dans l'éditeur de matériel et de réseaux. Vous réglez
l'adresse cible F au moyen d'un commutateur sur les modules F ET 200S, ET 200eco, ET
200pro, ET 200iSP et les SM F S7-300. Pour les modules F ET 200SP, les modules F ET 200MP,
les modules F ET 200AL et ET 200eco PN, vous affectez l'adresse PROFIsafe dans l'éditeur de
matériel et de réseaux. L'adresse cible F des modules F S7-1200 est affectée
automatiquement par le système F.
Analyse de discordance
L'analyse de discordance (équivalence / antivalence) est utilisée pour les entrées de sécurité
afin de détecter des erreurs du déroulement temporel de deux signaux ayant la même
fonction. L'analyse de discordance est démarrée lorsque des niveaux différents sont constatés
pour deux signaux d'entrée correspondants (dans le cas du contrôle d'antivalence : niveaux
identiques). Ce contrôle vérifie si la différence (dans le cas du contrôle d'antivalence : la
concordance) a disparu après l'écoulement d'un intervalle de temps paramétrable, appelé →
temps de discordance. Si cela n'est pas le cas, il y a une erreur de discordance. L'analyse de
discordance est réalisée entre les deux signaux d'entrée de l'exploitation 1oo2 (1de2) des
capteurs (→ exploitation des capteurs) dans l'entrée de sécurité.
Blocs F
On désigne par blocs F tous les blocs de sécurité :
• qui sont créés par l'utilisateur en CONT ou LOG,
• qui sont créés par l'utilisateur comme → DB F,
• qui sont sélectionnés par l'utilisateur dans une bibliothèque globale,
• qui sont ajoutés automatiquement dans le → programme de sécurité (→ SB F, → blocs F
générés automatiquement, → DB global F, → DB de périphérie F, DB d'instance de FB F).
Tous les blocs F sont représentés sur fond jaune dans le navigateur de projet.
Blocs système F
→ Blocs système de sécurité qui sont insérés et appelés automatiquement lors de la
compilation du → programme de sécurité pour générer un programme de sécurité
exécutable à partir du programme de sécurité programmé par l'utilisateur.
Catégorie
Catégorie selon ISO 13849-1:2015 ou EN ISO 13849-1:2015
En → mode de sécurité, SIMATIC Safety permet une mise en œuvre jusqu'à la catégorie 4.
Communication de sécurité
Communication servant à l'échange sécurisé de données de sécurité.
Communication standard
Communication servant à l'échange de données non de sécurité.
Configuration matérielle
La configuration matérielle comprend la configuration des CPU et des périphéries standard,
ainsi que la configuration des CPU et des périphéries F.
Coupleur DP/DP
Appareil qui permet de coupler deux sous-réseaux PROFIBUS DP et qui est nécessaire pour
réaliser la communication maître-maître entre des → programmes de sécurité dans des →
CPU F distinctes dans SIMATIC Safety et S7 Distributed Safety.
Coupleur PN/PN
Appareil qui permet de coupler deux réseaux PROFINET IO et qui est nécessaire pour réaliser
la communication contrôleur IO-contrôleur IO entre des → programmes de sécurité dans des
→ CPU F distinctes dans SIMATIC Safety et S7 Distributed Safety.
CPU F
Une CPU F est une unité centrale à fonctionnalité F homologuée pour l'utilisation dans
SIMATIC Safety et dans laquelle peut s'exécuter un → programme de sécurité en plus du →
programme utilisateur standard.
CRC
Contrôle de redondance cyclique CRC → valeur de contrôle CRC
DB de communication F
Blocs de données de sécurité pour
• la communication CPU-CPU de sécurité via des liaisons S7
• la communication avec Flexible F-Link
DB de périphérie F
Pour les CPU F, bloc de données de sécurité pour une → périphérie F dans STEP 7 Safety. Lors
de la configuration dans l'éditeur de matériel et de réseaux, un DB de périphérie F est créé
automatiquement pour chaque périphérie F. Le DB de périphérie F contient des variables que
l'utilisateur peut évaluer ou qu'il peut ou doit écrire dans le programme de sécurité :
• pour réintégrer la périphérie F après des erreurs de communication,
• pour réintégrer la périphérie F après des erreurs de périphérie F/de voie,
• si la périphérie F doit être passivée en fonction d'états particuliers du programme de
sécurité (par exemple, passivation groupée),
• pour reparamétrer des appareils DP/des périphériques IO normalisés de sécurité ou pour
valider la communication HART pour la périphérie F à fonctionnalité correspondante,
• pour déterminer si des valeurs de remplacement ou des valeurs de processus sont
transmises.
DB F
Blocs de données de sécurité optionnels auxquels il est possible d'accéder en lecture et en
écriture dans l'ensemble du → programme de sécurité (exception : DB pour la communication
entre groupes d'exécution F).
DB global F
(S7-300, S7-400) Bloc de données de sécurité qui contient toutes les données globales du →
programme de sécurité, ainsi que des informations supplémentaires dont le système F a
besoin. Le DB global F est automatiquement inséré et complété lors de la compilation de la
configuration matérielle. L'utilisateur peut évaluer certaines données du → programme de
sécurité au moyen de son nom F_GLOBDB.
Démarrage du système F
Voir chapitre "Remarques relatives au démarrage du système F".
Dépassivation
→ Réintégration
Données de projet
Les données de projet comprennent la → configuration matérielle et le → programme
utilisateur.
Erreur de périphérie F
Erreur de périphérie F liée à un module, par exemple erreur de communication ou erreur de
paramétrage
Erreur de voie
Erreur survenant sur une voie, par exemple rupture de fil ou court-circuit.
Esclave I
La fonctionnalité "Esclave I" (esclave DP intelligent) d'une CPU permet d'échanger des
données avec un maître DP et donc de l'utiliser, par exemple, comme unité de prétraitement
intelligente de processus partiels. L'esclave I assumant ici le rôle d'esclave DP est connecté à
un maître DP "de niveau supérieur".
État de la valeur
L'état de la valeur est une information binaire supplémentaire pour une valeur de voie. L'état
de la valeur est inscrit dans la mémoire image des entrées et renseigne sur la validité de la
valeur de voie.
1 : une valeur de processus valide est émise pour la valeur de voie.
0 : une valeur de remplacement est émise pour la valeur de voie.
État de sécurité
Le principe du concept de sécurité dans des → systèmes de sécurité repose sur l'existence
d'un état de sécurité pour toutes les grandeurs du processus. Pour la → périphérie F TOR
fonctionnant conformément à CEI 61508:2010, il s'agit toujours de la valeur "0".
Expert
La réception d'une installation, c'est-à-dire les essais de réception de l'installation en lien avec
la sécurité, est généralement réalisée par un organisme expert indépendant (le TÜV, par
exemple).
FB F
Blocs fonctionnels de sécurité (avec DB d'instance) dans lesquels l'utilisateur programme le →
programme de sécurité en langage LOG ou CONT.
FC F
Fonctions de sécurité dans lesquelles l'utilisateur programme le → programme de sécurité en
langage LOG ou CONT.
F-CALL
"Bloc d'appel F" pour le → programme de sécurité dans S7 Distributed Safety
Fonction de sécurité
Mécanisme de sécurité intégré à la → CPU F et à la → périphérie F, permettant leur mise en
œuvre dans des → systèmes de sécurité.
Selon CEI 61508:2010, fonction mise en œuvre par un dispositif de sécurité afin de maintenir
ou d'amener le système dans un → état de sécurité en présence d'une erreur donnée.
(Fonction de réaction aux erreurs → Fonction de sécurité utilisateur)
IE/PB-Link
Appareil qui permet de coupler des réseaux PROFINET IO et PROFIBUS DP et qui est nécessaire
entre autres pour réaliser la communication contrôleur IO-esclave I entre des → programmes
de sécurité dans des → CPU F distinctes dans SIMATIC Safety.
Impression de sécurité
L'impression de sécurité constitue la documentation des données de projet relatives à la
sécurité sur laquelle vous vous appuierez lors de la réception de l'installation. Dans ce cas,
vous pouvez aussi utiliser la forme électronique de l'impression de sécurité, par exemple
comme fichier PDF.
Mode de sécurité
1. Mode de fonctionnement de la → périphérie F dans lequel la → communication de sécurité
est possible au moyen de → télégrammes de sécurité.
2. Mode de fonctionnement du programme de sécurité. En mode de sécurité du programme
de sécurité, tous les mécanismes de sécurité pour la détection d'erreurs et la réaction aux
erreurs sont activés. Dans ce mode, une modification du programme de sécurité n'est pas
possible en cours de fonctionnement. L'utilisateur peut désactiver le mode de sécurité (→
mode de sécurité désactivé).
Mode standard
Mode de fonctionnement de la → périphérie F dans lequel aucune → communication de
sécurité entre la CPU F et la périphérie F via des → télégrammes de sécurité n'est possible,
mais uniquement une → communication standard.
Modules de sécurité
Modules de sécurité ET 200SP, ET 200S, ET 200pro, ET 200iSP pouvant être mis en œuvre
dans le système de périphérie décentralisée ET 200SP, ET 200S, ET 200pro ou ET 200iSP
Modules de sécurité S7-1500/ET 200MP utilisables dans un S7-1500 en mode centralisé ou
dans le système de périphérie décentralisée ET 200MP
Modules de sécurité S7-1200 utilisables dans un S7-1200 en mode centralisé
Ces modules disposent de → fonctions de sécurité intégrées pour un fonctionnement
sécurisé (→ mode de sécurité). Ils se comportent conformément au profil de bus →
PROFIsafe.
Modules F
→ Modules de sécurité
OB F
L'OB F appelle le Main Safety Block d'un groupe d'exécution F dans les CPU F S7-1200/1500.
Paramètres i
Paramètres individuels d'→appareils normalisés DP de sécurité ou de → périphériques IO
normalisés de sécurité
Passivation
En cas de passivation dans une → périphérie F avec des entrées, le → système F met à
disposition du programme de sécurité des valeurs de remplacement (0) au lieu des valeurs de
processus disponibles aux entrées de sécurité dans la MIE.
En cas de passivation dans une périphérie F avec des sorties, le système F transmet des
valeurs de remplacement (0) aux sorties de sécurité au lieu des valeurs de sortie mises à
disposition dans la MIS par le programme de sécurité.
Périphérie F
Désignation regroupant les entrées et les sorties de sécurité disponibles dans SIMATIC S7
pour l'intégration, entre autres, dans SIMATIC Safety. Les modules suivants sont disponibles :
• → Module de périphérie de sécurité ET 200eco
• → Module de périphérie de sécurité ET 200eco PN
• → Module de périphérie de sécurité ET 200AL
• → Modules de signaux de sécurité S7-300
• → Modules de sécurité pour S7-1200
• → Modules de sécurité pour ET 200 MP
• → Modules de sécurité pour ET 200SP
• → Modules de sécurité pour ET 200S
• → Modules de sécurité pour ET 200pro
• → Modules de sécurité pour ET 200iSP
• → Appareils DP normalisés de sécurité
• → Périphériques IO normalisés de sécurité
PL
Performance Level (PL) selon ISO 13849-1:2015 ou selon EN ISO 13849-1:2015
En → mode de sécurité, SIMATIC Safety permet une mise en œuvre jusqu'au niveau de
performance PL e.
PROFIsafe
Profil de bus de sécurité de PROFIBUS DP et PROFINET IO pour la communication entre le
→ programme de sécurité et la → périphérie F dans un → système F. Voir IEC 61784-3-
3:2021 ou PROFIsafe – Profile for Safety Technology on PROFIBUS DP and PROFINET IO; Order
No: 3.192 (V2.6.1).
Programme de sécurité
Programme utilisateur de sécurité
Programme utilisateur
Le programme utilisateur comprend le → programme utilisateur standard et le → programme
de sécurité.
Protection d'accès
Les → systèmes de sécurité doivent être protégés contre les accès non autorisés dangereux.
La protection d'accès des systèmes F est réalisée par l'attribution d'un mot de passe pour la →
CPU F et d'un mot de passe ou d'une → protection du projet pour le → programme de
sécurité.
Protection du projet
Gestion d'utilisateurs (UMAC, User Management and Access Control) pour créer et gérer des
utilisateurs et des rôles pour les projets. Vous pouvez en outre protéger votre projet et définir
quels utilisateurs peuvent exécuter quelles fonctions. Le droit fonctionnel "Edit safety-related
project data" est disponible pour les données de projet de sécurité.
Protocole de sécurité
→ Télégramme de sécurité
Réintégration
La commutation des valeurs de remplacement (0) aux valeurs du processus (réintégration
d'une → périphérie F) s'effectue automatiquement ou bien après un acquittement utilisateur
dans le DB de périphérie F. Le type de réintégration dépend :
• de la cause à l'origine de la → passivation de la périphérie F/des voies de la périphérie F
• d'un paramétrage dans le → DB de périphérie F ou dans la configuration elle-même (par
exemple, modules F ET 200MP sur une CPU F S7-1500 et modules F S7-1200 sur une CPU
F S7-1200)
Après la réintégration d'une → périphérie F avec des entrées, les valeurs de processus
disponibles aux entrées de sécurité dans la MIE sont à nouveau mises à disposition du →
programme de sécurité. Pour une périphérie F avec des sorties, le système F transmet à
nouveau aux sorties de sécurité les valeurs de sortie fournies dans la MIS par le programme
de sécurité.
RIOforFA-Safety
Remote IO for Factory Automation avec PROFIsafe ; profil pour périphérie F
S7-PLCSIM
Avec S7-PLCSIM, vous pouvez éditer et tester votre programme dans un système
d'automatisation simulé sur votre PG/PC. Comme la simulation est intégralement réalisée sur
votre PG/PC, vous n'avez pas besoin de matériel (CPU, périphérie).
Shared device
La fonctionnalité "shared device" permet de répartir les sous-modules d'un périphérique IO
Device entre différents contrôleurs IO.
Signature
→ Signature globale F
Signature d'adresse de communication F
La signature d'adresse de communication F se compose des noms et des UUID de
communication F des liaisons de communication avec Flexible F-Link qui sont utilisées dans le
programme de sécurité.
Signature de programme
→ Signature globale F
Signature globale F
La signature globale F caractérise de manière unique un état précis des données de projet de
sécurité. Elle est importante pour l'identification du programme, ainsi que pour la réception
sur site du programme de sécurité, par exemple par des → experts.
Signature globale HW F
La signature globale HW F caractérise de manière unique un état précis de la configuration
matérielle de sécurité. Elle est importante pour documenter le fait que la configuration
matérielle de sécurité a été ou n'a pas été modifiée, par exemple dans le cadre d'une
réception des modifications.
Signature globale SW F
La signature globale SW F caractérise de manière unique un état précis du programme de
sécurité. Elle est importante pour documenter le fait que le programme de sécurité a été ou
n'a pas été modifié, par exemple dans le cadre d'une réception des modifications.
SIL
Niveau de sécurité (Safety Integrity Level) SIL selon CEI 61508:2010. Les mesures prises pour
empêcher des erreurs systématiques ainsi que pour maîtriser ces erreurs systématiques et les
défaillances matérielles aléatoires sont d'autant plus rigoureuses que le niveau de sécurité SIL
est élevé.
En mode de sécurité, SIMATIC Safety permet une mise en œuvre jusqu'au niveau de sécurité
SIL3.
SM F
→ Modules de signaux de sécurité S7-300
Systèmes de sécurité
Les systèmes de sécurité (systèmes F) sont caractérisés en ce qu'ils restent à l'état de sécurité
ou passent immédiatement dans un autre état de sécurité lorsque certaines défaillances se
produisent.
Systèmes F
→ Systèmes de sécurité
Systèmes redondants
Les systèmes redondants sont caractérisés par le fait que les composants d'automatisation
importants y figurent plusieurs fois (en redondance). En cas de défaillance d'un composant
redondant, le contrôle du processus n'est pas interrompu.
Télégramme de sécurité
En → mode de sécurité, les données entre la → CPU F et la → périphérie F – ou entre les CPU
F en cas de communication CPU-CPU de sécurité – sont transmises dans un télégramme de
sécurité.
Temps de cycle F
Le temps de cycle F est le temps qui s'écoule entre deux appels d'un groupe d'exécution F. Il
est surveillé par la CPU F. La CPU F passe à l'état Arrêt dès qu'il dépasse le temps de cycle F
maximal (propriété du groupe d'exécution F).
(S7-1200, S7-1500) : Le groupe d'exécution F comporte en outre une limite d'alerte. Une
entrée est inscrite dans le tampon de diagnostic si le temps de cycle F dépasse cette limite
d'alerte.
Temps de discordance
Temps paramétrable pour I' →analyse de discordance. Si le temps de discordance paramétré
est trop élevé, le temps de détection des erreurs et le → temps de réaction aux erreurs
s'allongent inutilement. Si le temps de discordance paramétré est trop court, la disponibilité
est diminuée de façon inutile, car une erreur de discordance serait détectée en l'absence
d'une erreur réelle.
Unité Safety
Une unité logicielle contenant le programme de sécurité complet d'une CPU F.
Valeur de contrôle CRC
La validité des valeurs du processus contenues dans le → télégramme de sécurité, l'exactitude
des relations d'adresses définies et les paramètres de sécurité sont validés au moyen d'une
valeur de contrôle CRC contenue dans le télégramme de sécurité.
Index
Arrêt (STOP), 384
attribution d'adresses
= Règles, 70
Attribution d'adresses
=, 418
Règles, 68
A B
ABS, 535
Barrière immatérielle, 442
Accès
Barrières réflex, 442
aux variables du DB de périphérie F, 171
Bascule
Accès à la périphérie F, 155
mise à 0/mise à 1, 407, 422
en cours de fonctionnement, 349
mise à 1/mise à 0, 406, 421
par la mémoire image du processus, 155, 240
Bit d'état OV
restrictions à l'état Marche, 351
interrogation à 0, 583
Accès DB avec indication du chemin complet, 122, 171
interrogation à 1, 582, 584
Accès DB sans indication du chemin complet, 123
Bloc de données, 192
Accès Slice, 120
Bloc de données global
ACK_GL, 486
ouverture, 564
ACK_NEC, 165
Bloc F
ACK_OP, 574
copie, 149
ACK_REI, 166
suppression, 130
ACK_REQ, 170
Blocage du redémarrage
Acquittement
en cas d'interruption de la barrière
de sécurité, 574
immatérielle, 442, 454
Erreur de voie, 55
MUT_P, 454
Acquittement de sécurité, 574, 580
MUTING, 442
Acquittement utilisateur, 183, 188, 442
BO_W, 547
exemple, 187
Boîte vide
système de contrôle-commande, 184, 185
insérer un élément CONT, 394
Activation
insérer un élément LOG, 397
fonctionnalité F, 48
Mode de sécurité, 341
ADD, 518
C
Addition, 518
Adresse cible F, 67, 69 Catégorie, 23
Adresse cible PROFIsafe, 49 Centre de formation, 3
Adresse PROFIsafe Certificat TÜV, 363
affectation, 72, 75 Chargement
attribution, 71, 78 Configuration matérielle, 300
modification, 77 Programme de sécurité, 300
recommandations, 64 programme utilisateur standard, 300
Adresse source F, 50, 69 Chemin complet, accès DB, 122, 171
Adresse source F centralisée, 50 Chronogrammes, 442, 454, 585
Affectation, 403, 418 RCVDP, 585
AND, 566 SENDDP, 585
Appareils de simulation dans le système F, 384 Classe de sécurité, 23
Appareils DP normalisés de sécurité CMP <, 517
configuration, 77 CMP <=, 514
Index
L N
LABEL, 561
N, 410, 425
Liaison S7
N_TRIG, 413, 427
communication de sécurité, 241
NEG, 531
Liste de contrôle, 611
Niveau de protection de la CPU F, 52
NOT, 402
M
Main Safety Block, 115, 148 O
Marche (RUN), 349
OB F, 55, 115, 136
Mémento, 192
copie, 149
Mémoire de travail requise par le programme de
Opérande
sécurité, 299
interroger le front descendant, 410, 425
Mémoire image du processus, 55, 155, 192
interroger le front montant, 409, 424
Migration
Opération logique sur bits
à partir de S7 Distributed Safety, 33, 244
Affectation, 403, 418
CPU F, 36
Bascule 'mise à 0/mise à 1', 407, 422
impression, 336
Bascule 'mise à 1/mise à 0', 406, 421
Mise à jour du firmware, 388
Contact à fermeture, 400
Mise à jour du système d'exploitation, 388
Contact à ouverture, 401
Mise à l'échelle
ET, 414
valeurs, 552, 555
Insérer entrée binaire, 399
Mise à niveau
Interroger front descendant du RLO, 413, 427
Projets, 37, 38, 39
Interroger front descendant d'un
Mise en route, 42
opérande, 410, 425
Mode de fonctionnement
Interroger front montant du RLO, 411, 426
RCVDP, 585
Interroger front montant d'un opérande, 409, 424
RCVS7, 595
Inverser RLO, 400, 402
SENDDP, 585
Mise à 0 sortie, 403, 418
SENDS7, 595
Mise à 1 sortie, 405, 420
Mode de sécurité
OU, 415
activation, 341
OU EXCLUSIF, 416
désactivation, 337, 338
Opérations logiques sur mots
Mode Fast Commissioning, 351
ET, 566
Mode production, 99
OU, 567
Modification
OU EXCLUSIF, 568
détection, 379
OPN, 564
données du programme de sécurité, 341
OR, 567
du programme de sécurité à l'état Marche, 349, 351
U
UMAC, 102
UUID de communication F, 97