Progfailfrfr FR FR

SIMATIC Safety - Configuration et programmation
Remarques importantes
Présentation du produit 1
2
SIMATIC Configuration
Safety Administration
Editor 3
Logiciel industriel
SIMATIC Safety - Configuration et 4
Protection d'accès
programmation
Programmation 5
Manuel de programmation et d'utilisation
Accès à la périphérie F 6
Réalisation d'un
acquittement utilisateur 7
Échange de données entre
le programme utilisateur
standard et le programme 8
de sécurité
Communication de sécurité 9
Compiler et mettre le
programme de sécurité en 10
service
Réception de l'installation 11
Exploitation et
maintenance 12
Instructions STEP 7 Safety
V18 13
Temps de surveillance et de
réaction A
11/2022 Liste de contrôle B

A5E52320330-AM
Mentions légales
Signalétique d'avertissement
Ce manuel donne des consignes que vous devez respecter pour votre propre sécurité et pour éviter des dommages
matériels. Les avertissements servant à votre sécurité personnelle sont accompagnés d'un triangle de danger, les
avertissements concernant uniquement des dommages matériels sont dépourvus de ce triangle. Les
avertissements sont représentés ci-après par ordre décroissant de niveau de risque.
DANGER
signifie que la non-application des mesures de sécurité appropriées entraîne la mort ou des blessures graves.
ATTENTION
signifie que la non-application des mesures de sécurité appropriées peut entraîner la mort ou des blessures
graves.
PRUDENCE
signifie que la non-application des mesures de sécurité appropriées peut entraîner des blessures légères.
IMPORTANT
signifie que la non-application des mesures de sécurité appropriées peut entraîner un dommage matériel.
En présence de plusieurs niveaux de risque, c'est toujours l'avertissement correspondant au niveau le plus élevé
qui est reproduit. Si un avertissement avec triangle de danger prévient des risques de dommages corporels, le
même avertissement peut aussi contenir un avis de mise en garde contre des dommages matériels.
Personnes qualifiées
L’appareil/le système décrit dans cette documentation ne doit être manipulé que par du personnel qualifié pour
chaque tâche spécifique. La documentation relative à cette tâche doit être observée, en particulier les consignes
de sécurité et avertissements. Les personnes qualifiées sont, en raison de leur formation et de leur expérience, en
mesure de reconnaître les risques liés au maniement de ce produit / système et de les éviter.
Utilisation des produits Siemens conforme à leur destination
Tenez compte des points suivants:
ATTENTION
Les produits Siemens ne doivent être utilisés que pour les cas d'application prévus dans le catalogue et dans la
documentation technique correspondante. S'ils sont utilisés en liaison avec des produits et composants d'autres
marques, ceux-ci doivent être recommandés ou agréés par Siemens. Le fonctionnement correct et sûr des
produits suppose un transport, un entreposage, une mise en place, un montage, une mise en service, une
utilisation et une maintenance dans les règles de l'art. Il faut respecter les conditions d'environnement
admissibles ainsi que les indications dans les documentations afférentes.
Marques de fabrique
Toutes les désignations repérées par ® sont des marques déposées de Siemens AG. Les autres désignations dans ce
document peuvent être des marques dont l'utilisation par des tiers à leurs propres fins peut enfreindre les droits de
leurs propriétaires respectifs.
Exclusion de responsabilité
Nous avons vérifié la conformité du contenu du présent document avec le matériel et le logiciel qui y sont décrits.
Ne pouvant toutefois exclure toute divergence, nous ne pouvons pas nous porter garants de la conformité
intégrale. Si l'usage de ce manuel devait révéler des erreurs, nous en tiendrons compte et apporterons les
corrections nécessaires dès la prochaine édition.
Siemens AG A5E52320330-AM Copyright © Siemens AG 2011 - 2022.

Digital Industries Ⓟ 11/2022 Sous réserve de modifications Tous droits réservés
Postfach 48 48
90026 NÜRNBERG
ALLEMAGNE
Objet de cette documentation

La présente documentation contient des informations vous permettant de configurer
(Page 43) et de programmer (Page 108) des systèmes de sécurité SIMATIC Safety. Elle
contient en outre des informations sur la réception (Page 360) d'un système F
SIMATIC Safety.
Remarque
Le manuel de programmation et d'utilisation "SIMATIC Safety - Configuration et
programmation" dans sa version actuelle (incluant le cas échéant des informations produit
relatives au manuel) est la source autorisée de toutes les informations sur la sécurité
fonctionnelle en ce qui concerne la configuration et la programmation. Cela vaut également
en cas de divergences entre ce manuel et d'autres documents sur la sécurité fonctionnelle eu
égard à la configuration et la programmation de SIMATIC Safety.
Vous devez tenir compte de tous les avertissements figurant dans le manuel de
programmation et d'utilisation "SIMATIC Safety - Configuration et programmation".
Remarque
Identification de version STEP 7 Safety Advanced V18 et STEP 7 Safety Basic V18
Les STEP 7 Safety Advanced V18 et STEP 7 Safety Basic V18 livrés portent l'identification de
version V18.0.1.0.
C'est pourquoi l'identification de version représentée est V18 SP1, p. ex. sur l'écran et dans
l'impression de sécurité.

Manuel de programmation et d'utilisation, 11/2022, A5E52320330-AM 3
Connaissances de base requises

Des connaissances générales dans le domaine de l'automatisation sont nécessaires à la
compréhension de la présente documentation. En outre, vous avez besoin de connaissances
de base dans les domaines suivants :
• Systèmes d'automatisation de sécurité
• Systèmes d'automatisation
– S7-300
– S7-400
– S7-1200
– S7-1500
– S7-1500H
– S7-1500 Software Controller
– SIMATIC Drive Controller
– WinAC RTX F
• Systèmes de périphérie décentralisée sur
– PROFIBUS DP
– PROFINET IO
• Totally Integrated Automation Portal, notamment :
– Configuration matérielle avec l'éditeur de matériel et de réseaux
– Programmation dans les langages CONT et LOG avec l'éditeur de programme
– Communication entre CPU

4 Manuel de programmation et d'utilisation, 11/2022, A5E52320330-AM
Domaine de validité de la documentation

Cette document est valable pour STEP 7 Safety Advanced V18 et STEP 7 Safety Basic V18
STEP 7 Safety Advanced V18 et STEP 7 Safety Basic V18 servent à la configuration et à la
programmation du système de sécurité SIMATIC Safety.
L'intégration de la périphérie de sécurité suivante dans SIMATIC Safety doit également être
envisagée dans ce contexte :
• Modules de sécurité S7-1500/ET 200MP
• Modules de sécurité ET 200SP
• Modules de sécurité ET 200S
• Modules de périphérie de sécurité ET 200eco
• Modules de périphérie de sécurité ET 200eco PN
• Modules de périphérie de sécurité ET 200AL
• Modules de sécurité ET 200pro
• Modules de sécurité ET 200iSP
• Modules de signaux de sécurité S7-300
• Modules de sécurité S7-1200
• Appareils DP normalisés de sécurité
• Périphériques IO normalisés de sécurité
Homologations
Le système F SIMATIC Safety est certifié pour l'utilisation en mode de sécurité jusqu'à :
• Classe de sécurité (Safety Integrity Level) SIL3 selon CEI 61508:2010
• Performance Level (PL) e et catégorie 4 selon ISO 13849-1:2015 ou selon
EN ISO 13849-1:2015
Vue d'ensemble de la documentation

Selon l'application, vous aurez besoin des documentations supplémentaires suivantes pour
travailler avec STEP 7 Safety.

Le présent manuel fait référence à ces documentations lorsque c'est approprié.
documentation Résumé du contenu

Pour le système F SIMATIC Safety Vous aurez besoin des documentations suivantes en fonction de la CPU F mise
en œuvre :
• Pour les CPU F S7-1200/1500, une information produit
(http://support.automation.siemens.com/WW/view/fr/109478599) décrit
toutes les divergences par rapport aux CPU standard correspondantes.
• Chaque CPU F S7-300/400 utilisable possède sa propre information produit.
Les informations produit décrivent les divergences par rapport aux CPU
standard respectives.
• Les Manuels
(http://support.automation.siemens.com/WW/view/fr/67295862/133300)
décrivent les CPU S7-1500.
• Les instructions de service "S7-300, CPU 31xC et CPU 31x : montage"
(http://support.automation.siemens.com/WW/view/fr/13008499) décrivent
le montage et le câblage de systèmes S7-300.
• Le manuel "CPU 31xC et CPU 31x, Caractéristiques techniques"
(http://support.automation.siemens.com/WW/view/fr/12996906) décrit les
CPU 315-2 DP et PN/DP, la CPU 317-2 DP et PN/DP et la CPU 319-3 PN/DP.
• Le manuel de mise en œuvre "Système d'automatisation S7-400, installa-
tion et configuration"
(http://support.automation.siemens.com/WW/view/fr/1117849) décrit le
montage et le câblage de systèmes S7-400.
• Le manuel de référence "Système d'automatisation S7-400, Caractéris-
tiques des CPU"
(http://support.automation.siemens.com/WW/view/fr/23904550) décrit la
CPU 414-3 PN/DP, la CPU 416-2 et la CPU 416-3 PN/DP.
• Le manuel "ET 200S, module d'interface CPU IM 151-7"
(http://support.automation.siemens.com/WW/view/fr/12714722) décrit
l'IM 151-7 CPU.
• Le manuel "ET 200S, Module d'interface IM 151-8 PN/DP CPU"
(http://support.automation.siemens.com/WW/view/en/47409312) décrit
l'IM 151-8 PN/DP CPU.
• Le manuel "ET 200pro, Module d'interface IM 154-8 CPU"
(http://support.automation.siemens.com/WW/view/en/24363739) décrit
l'IM 154-8 CPU.
• Le manuel "Windows Automation Center RTX WinAC RTX (F) 2010
(http://support.automation.siemens.com/WW/view/en/43715176)" décrit
WinAC RTX 2010 et WinAC RTX F 2010.
• Le manuel "Contrôleur logiciel S7-1500 ; CPU 1505SP, CPU 1507S
(http://support.automation.siemens.com/WW/view/fr/109249299)" décrit
les CPU 1505SP et CPU 1507S du contrôleur logiciel SIMATIC S7-1500.
Manuel de sécurité fonctionnelle S7-1200 Décrit les CPU F S7-1200 et les modules de sécurité S7-1200 (notamment le
(http://support.automation.siemens.com/ montage, le câblage et les caractéristiques techniques).
WW/view/fr/104547552)


Manuel système "Manuel système Décrivent le matériel des systèmes S7-1500 et des modules de sécurité
S7-1500/ET200MP S7-1500/ET 200MP (notamment le montage, le câblage et les caractéristiques
(http://support.automation.siemens.com/ techniques).
WW/view/fr/59191792)" et manuels
(https://support.industry.siemens.com/cs/
ww/fr/ps/14141/man) des différents mo-
dules de sécurité S7-1500/ET 200MP
Manuel système "Système redondant Décrit le matériel des systèmes S7-1500R/H (notamment le montage, le câ-
S7-1500R/H blage et les caractéristiques techniques).
ww/fr/view/109754833)"
Manuel système "SIMATIC Drive Controller Décrivent le matériel du SIMATIC Drive Controller (entre autres le montage, le
(https://support.industry.siemens.com/cs/ câblage et les caractéristiques techniques)
ww/fr/view/109766665)" et manuel de
l'appareil "SIMATIC Drive Controller
ww/fr/view/109766666)"
Description fonctionnelle "SIMATIC Décrit l'utilisation de S7-PLCSIM Advanced
S7-1500 S7-PLCSIM Advanced
ww/en/view/109798879)"
Manuel système "Système de périphérie Décrivent le matériel des modules de sécurité ET 200SP (notamment le mon-
décentralisée ET 200SP tage, le câblage et les caractéristiques techniques).
(http://support.automation.siemens.com/
WW/view/fr/58649293)" et manuels
ww/fr/ps/14059/man) des différents mo-
dules de sécurité ET 200SP
Manuel "Station de périphérie décentrali- Décrit le matériel des modules de périphérie de sécurité ET 200eco (notam-
sée ET 200eco, Module de périphérie de ment le montage, le câblage et les caractéristiques techniques).
sécurité
WW/view/en/19033850)"
Manuel "ET 200eco PN F-DI 8 x 24 VDC, Décrit le matériel des modules de périphérie de sécurité ET 200eco PN (no-
4xM12 / F-DQ 3 x 24 VDC/2.0A PM, 3xM12 tamment le montage, le câblage et les caractéristiques techniques).
ww/fr/view/109765611)"
Manuel système "Manuel système Décrit le matériel du module de périphérie de sécurité ET 200AL (entre autres
ET 200AL le montage, le câblage et les caractéristiques techniques)
ww/fr/view/89254965)" et manuel "Mo-
dule d'entrées/sorties TOR F-DI 4+F-DQ
2x24VDC/2A, 4xM12"
Instructions de service "Système de péri- Décrivent le matériel des modules de sécurité ET 200S (notamment le mon-
phérie décentralisée ET 200S, Modules de tage, le câblage et les caractéristiques techniques).
sécurité
WW/view/en/27235629)"
Manuel "Système d'automatisation S7-300, Décrit le matériel des modules de signaux de sécurité du S7-300 (notamment
Système de périphérie décentralisée le montage, le câblage et les caractéristiques techniques).
ET 200M, Modules de signaux de sécurité
WW/view/fr/19026151)"
Instructions de service "Système de péri- Décrivent le matériel des modules de sécurité ET 200pro (notamment le mon-
phérie décentralisée ET 200pro, Module de tage, le câblage et les caractéristiques techniques).
périphérie de sécurité
WW/view/en/22098524)"


Instructions de service "Station de périphé- Décrivent le matériel des modules de sécurité ET 200iSP (notamment le mon-
rie décentralisée ET 200iSP, Modules de tage, le câblage et les caractéristiques techniques).
sécurité
WW/view/en/47357221)"
Aide de STEP 7 • Décrit l'utilisation des outils standard dans STEP 7.
• Contient des informations sur la configuration et le paramétrage du maté-
riel.
• Contient la description des langages de programmation LOG et CONT.
L'ensemble de la documentation SIMATIC S7 est disponible sur DVD. Vous trouverez plus
d'informations sur Internet (http://www.automation.siemens.com/mcms/industrial-
automation-systems-simatic/en/manual-overview/manual-collection/Pages/Default.aspx).
Guide de la documentation
La présente documentation décrit l'utilisation de STEP 7 Safety. Elle se compose de parties
décrivant les procédures et de parties de référence (description des instructions pour le
programme de sécurité).
La documentation traite des thèmes suivants :
• Configuration de SIMATIC Safety
• Protection d'accès pour SIMATIC Safety
• Programmation du programme de sécurité (programme utilisateur de sécurité)
• Communication de sécurité
• Instructions pour le programme de sécurité
• Assistance pour la réception de l'installation
• Exploitation et maintenance de SIMATIC Safety
• Temps de surveillance et de réaction

Conventions
Les conventions suivantes s'appliquent :
• Dans la présente documentation, les termes "technologie de sécurité" et "technologie F"
sont synonymes. Il en va de même des termes "de sécurité" et "F".
• Les "systèmes F" incluent les systèmes S7-1500HF redondants. Les particularités et
limitations des systèmes H sont décrites dans le manuel système "Système redondant
S7-1500R/H (https://support.industry.siemens.com/cs/ww/fr/view/109754833)" et
s'appliquent également aux systèmes S7-1500HF redondants.
• "STEP 7 Safety V18" est synonyme de "STEP 7 Safety Advanced V18" et
"STEP 7 Safety Basic V18"
• "(S7-300)" signifie que la section correspondante est valable uniquement pour les CPU F
S7-300. Les CPU F S7-300 incluent les CPU F ET 200S et ET 200pro (CPU IM F).
S7-400 ainsi que pour WinAC RTX F.
S7-1200.
S7-1500. CPU F S7-1500 inclut également les CPU HF S7-1500, les CPU F ET 200SP, la CPU
151xpro F-2 PN, le S7-1500 F Software Controller et le SIMATIC Drive Controller. Les
exceptions éventuelles sont indiquées.
Des combinaisons des domaines d'application sont possibles.
Le terme programme de sécurité désigne la partie du programme utilisateur relative à la
sécurité et est employée au lieu de "programme utilisateur de sécurité", "programme F", etc.
Pour faire la distinction, la partie ne concernant pas la sécurité du programme utilisateur est
désignée par "programme utilisateur standard".
La configuration matérielle comprend la configuration des CPU et des périphéries standard,
ainsi que la configuration des CPU et des périphéries F.
La configuration matérielle de sécurité comprend les paramètres relatifs à la sécurité des
CPU F et des périphéries F.
Les données de projet de sécurité incluent la configuration matérielle de sécurité, ainsi que
le programme de sécurité.
Remarque
Les avertissements sont caractérisés par un numéro unique figurant à la fin du texte. Ils
peuvent être ainsi facilement référencés dans d'autres documents, par exemple pour obtenir
une vue d'ensemble des exigences de sécurité pour l'installation.

Assistance supplémentaire
Pour toute question concernant l'utilisation des produits décrits dans le présent manuel à
laquelle le manuel n'apporte pas de réponse, veuillez vous adresser à l'interlocuteur Siemens
dont vous dépendez.
Vous trouverez votre interlocuteur sur Internet
(http://www.siemens.com/automation/partner).
L'index des documentations techniques proposées pour les différents produits et systèmes
SIMATIC est disponible sur Internet (http://www.siemens.com/simatic-tech-doku-portal).
Vous trouverez le catalogue en ligne et le système de commande en ligne sur Internet
(www.siemens.com/industrymall).
Centre de formation
Siemens propose des formations destinées aux personnes souhaitant se familiariser avec le
système d'automatisation S7. Pour tout renseignement, veuillez vous adresser à votre centre
de formation régional ou au centre de formation central à Nuremberg.
Vous trouverez plus d'informations sur Internet (http://www.sitrain.com).
Assistance technique
Pour contacter l'assistance technique pour tous les produits Industry Automation, utilisez le
formulaire Web (http://www.siemens.com/automation/support-request) de demande
d'assistance.
Vous trouverez des informations complémentaires sur notre assistance technique sur Internet
(http://www.siemens.com/automation/service).

Remarque importante pour le maintien de la sécurité de fonctionnement de votre installation
Remarque
L'exploitant d'installations à caractère de sécurité doit respecter des exigences particulières
quant à la sécurité de fonctionnement. Le fournisseur est lui aussi tenu de prendre des
mesures particulières lors du suivi du produit. C'est pourquoi nous publions des informations
sous forme de notifications personnalisées relatives aux développements et propriétés du
produit qui sont ou pourraient être importants pour l'exploitation d'installations du point de
vue de la sécurité.
Pour vous tenir toujours informé et pouvoir le cas échéant procéder à des modifications de
votre installation, il est donc nécessaire que vous vous abonniez à ces notifications.
Inscrivez-vous auprès de Industry Online Support. Suivez les liens suivants et cliquez sur
"E-Mail pour mise à jour" à droite sur la page affichée :
• SIMATIC S7-300/S7-300F
(https://support.industry.siemens.com/cs/products?pnid=13751&lc=fr-WW)
• SIMATIC S7-400/S7-400H/S7-400F/FH
• SIMATIC S7-1500/SIMATIC S7-1500F/SIMATIC S7-1500HF
• SIMATIC S7-1200/SIMATIC S7-1200F
• Contrôleur logiciel (https://support.industry.siemens.com/cs/products?pnid=13911&lc=fr-
WW)
• Périphérie décentralisée
• STEP 7 (TIA Portal) (https://support.industry.siemens.com/cs/products?pnid=14340&lc=fr-
WW)
Note relative à la sécurité

Siemens commercialise des produits et solutions comprenant des fonctions de sécurité
industrielle qui contribuent à une exploitation sûre des installations, systèmes, machines et
réseaux.
Pour garantir la sécurité des installations, systèmes, machines et réseaux contre les
cybermenaces, il est nécessaire de mettre en œuvre - et de maintenir en permanence - un
concept de sécurité industrielle global et de pointe. Les produits et solutions de Siemens
constituent une partie de ce concept.
Il incombe aux clients d'empêcher tout accès non autorisé à ses installations, systèmes,
machines et réseaux. Ces systèmes, machines et composants doivent uniquement être
connectés au réseau d'entreprise ou à Internet si et dans la mesure où cela est nécessaire et
seulement si des mesures de protection adéquates (ex : pare-feu et/ou segmentation du
réseau) ont été prises.
Pour plus d'informations sur les mesures de protection pouvant être mises en œuvre dans le
domaine de la sécurité industrielle, rendez-vous sur
(https://www.siemens.com/industrialsecurity).

Les produits et solutions Siemens font l'objet de développements continus pour être encore
plus sûrs. Siemens recommande vivement d'effectuer des mises à jour dès que celles-ci sont
disponibles et d'utiliser la dernière version des produits. L'utilisation de versions qui ne sont
plus prises en charge et la non-application des dernières mises à jour peut augmenter le
risque de cybermenaces pour nos clients.
Pour être informé des mises à jour produit, abonnez-vous au flux RSS Siemens Industrial
Security à l'adresse suivante (https://www.siemens.com/cert) :
Siemens Industry Online Support

Vous y trouvez rapidement et facilement des informations actuelles sur les thèmes suivants :
• Support produit
Toutes les informations et un know-how complet sur votre produit, des caractéristiques
techniques, des FAQ, des certificats, des téléchargements et des manuels.
• Exemples d'application
Des outils et des exemples pour vous permettre d'exécuter vos tâches d'automatisation -
également des blocs fonctionnels, des données sur la performance et des vidéos.
• Services
Des informations sur Industry Services, Field Services, l'assistance technique, les pièce de
rechange et l'offre de formations.
• Forums
Pour obtenir des réponses et des solutions aux questions sur la technique
d'automatisation.
• mySupport
Votre espace personnel dans Siemens Industry Online Support, pour avoir accès à des
notifications, poser des questions à l'assistance et obtenir des documents configurables.
Ces informations vous sont fournies par Siemens Industry Online Support sur Internet
(http://www.siemens.com/automation/service&support).
Industry Mall
L'Industry Mall est le catalogue et le système de commande de Siemens AG pour les solutions
d'automatisation et d'entraînements sur la base de Totally Integrated Automation (TIA) et
Totally Integrated Power (TIP).
Vous trouverez les catalogues de tous les produits des techniques d'automatisation et
d'entraînement sur Internet (https://mall.industry.siemens.com).

Sommaire
Remarques importantes ........................................................................................................................ 3

1 Présentation du produit ....................................................................................................................... 23
1.1 Vue d'ensemble ................................................................................................................. 23
1.2 Constituants matériels et logiciels ...................................................................................... 25
1.3 Installer/désinstaller une licence pour STEP 7 Safety Basic V18 ............................................ 31
1.4 Installer/désinstaller une licence pour STEP 7 Safety Advanced V18 ..................................... 32
1.5 Installer/désinstaller le pack STEP 7 Safety Powerpack ......................................................... 32
1.6 Migrer des projets de S7 Distributed Safety V5.4 SP5 à STEP 7 Safety Advanced .................. 33
1.7 Migrer des programmes API sur une CPU F S7-1500............................................................ 36
1.8 Mise à niveau de projets vers STEP 7 Safety V18 ................................................................. 37
1.8.1 Mise à niveau de projets de STEP 7 Safety à partir de V14 SP1 vers V18 ............................... 37
1.8.2 Mise à niveau de projets de STEP 7 Safety V13 SP1/SP2 vers V18 ......................................... 38
1.8.3 Mettre à niveau des projets de version STEP 7 Safety antérieure à V13 SP1 ......................... 39
1.9 Mise en route .................................................................................................................... 42
2 Configuration....................................................................................................................................... 43
2.1 Vue d'ensemble de la configuration.................................................................................... 43
2.2 Particularités lors de la configuration du système F ............................................................. 46
2.3 Configurer la CPU F ............................................................................................................ 47
2.4 Configurer la périphérie F .................................................................................................. 53
2.5 Contrôle de la configuration (traitement des options) pour la périphérie F .......................... 57
2.5.1 exemple ............................................................................................................................ 59
2.6 Configurer un shared device .............................................................................................. 62
2.7 Configurer l'isochronisme (S7-1500) .................................................................................. 63
2.8 Recommandation relative à l'affectation des adresses PROFIsafe ......................................... 64
2.9 Configurations prises en charge par le système F SIMATIC Safety ........................................ 65
2.10 Adresses PROFIsafe pour la périphérie F de type d'adresse PROFIsafe 1 ............................... 67
2.11 Adresses PROFIsafe pour la périphérie F de type d'adresse PROFIsafe 2 ............................... 69
2.12 Régler l'adresse cible F pour une périphérie F avec commutateur DIP .................................. 71
2.13 Affecter une adresse PROFIsafe de la périphérie F avec SIMATIC Safety ............................... 71
2.13.1 Identifier des modules F ..................................................................................................... 73
2.13.2 Affecter l'adresse PROFIsafe ............................................................................................... 75
2.13.3 Affecter l'adresse PROFIsafe à un module F dans un shared device inter-projet .................... 76
2.13.4 Modifier les adresses PROFIsafe .......................................................................................... 77

Sommaire
2.14 Particularités lors de la configuration d'appareils DP normalisés de sécurité et de

périphériques IO normalisés de sécurité ............................................................................. 77
3 Safety Administration Editor ............................................................................................................... 80
3.1 Ouvrir l'éditeur Safety Administration Editor ....................................................................... 83
3.2 Section "General" ............................................................................................................... 83
3.3 Section "F-runtime group" .................................................................................................. 85
3.3.1 Section "F-runtime group" .................................................................................................. 85
3.3.2 Prétraitement/post-traitement (S7-1200, S7-1500)............................................................. 86
3.4 Section "F-blocks" .............................................................................................................. 88
3.5 Section "F-compliant PLC data types" (S7-1200, S7-1500) ................................................... 89
3.6 Section "Web server F-admins" (S7-1200, S7-1500) ............................................................ 90
3.7 Section "Settings"............................................................................................................... 91
3.8 Section "Flexible F-Link" (S7-1200, S7-1500) ...................................................................... 97
4 Protection d'accès ................................................................................................................................ 99
4.1 Vue d'ensemble de la protection d'accès............................................................................. 99
4.2 Protection d'accès pour les données de projet de sécurité ................................................. 100
4.2.1 Protection d'accès à l'échelle de la CPU pour les données de projet de sécurité .................. 100
4.2.2 Protection d'accès à l'échelle du projet pour les données de projet de sécurité .................. 102
4.3 Protection d'accès pour la CPU F ....................................................................................... 103
4.4 Protection d'accès par des mesures organisationnelles ..................................................... 105
5 Programmation .................................................................................................................................. 108
5.1 Vue d'ensemble de la programmation .............................................................................. 108
5.1.1 Structure du programme de sécurité (S7-300, S7-400) ..................................................... 108
5.1.2 Structure du programme de sécurité (S7-1200, S7-1500) ................................................. 110
5.1.3 Programme de sécurité dans l'unité logicielle (unité Safety) (S7-1500) ............................. 113
5.1.4 Blocs F ............................................................................................................................. 115
5.1.5 Restrictions pour les langages de programmation LOG/CONT ............................................ 117
5.1.6 Types de données API (UDT) conformes F (S7-1200, S7-1500) .......................................... 124
5.1.6.1 Regrouper dans des structures les variables API pour les entrées et sorties de périphérie
F (S7-1200, S7-1500) ...................................................................................................... 125
5.1.6.2 Exemple de variables API structurées pour les entrées et sorties de périphérie F (S7-
1200, S7-1500) ............................................................................................................... 126
5.1.7 Éditer des variables API avec des éditeurs externes ........................................................... 129
5.1.8 Utiliser l'ingénierie multi-utilisateur .................................................................................. 130
5.1.9 Supprimer le programme de sécurité................................................................................ 130
5.2 Définir des groupes d'exécution F..................................................................................... 131
5.2.1 Règles pour les groupes d'exécution F du programme de sécurité ..................................... 131
5.2.2 Procédure pour définir un groupe d'exécution F (S7-300, S7-400) .................................... 133
5.2.3 Procédure pour définir un groupe d'exécution F (S7-1200, S7-1500) ................................ 136
5.2.4 Communication entre groupes d'exécution F (S7-300, S7-400)......................................... 141
5.2.5 Communication entre groupes d'exécution F (S7-1200, S7-1500)..................................... 144
5.2.6 Supprimer un groupe d'exécution F .................................................................................. 147
5.2.7 Modifier un groupe d'exécution F (S7-300, S7-400) .......................................................... 147
5.2.8 Modifier un groupe d'exécution F (S7-1200, S7-1500) ...................................................... 147

Sommaire
5.3 Créer des blocs F en CONT/LOG ........................................................................................ 148

5.3.1 Créer des blocs F .............................................................................................................. 148
5.3.2 Protection du know-how .................................................................................................. 149
5.3.3 Réutilisation de blocs F..................................................................................................... 150
5.4 Interface d'information avec le programme de sécurité..................................................... 152
5.4.1 DB global F (S7-300, S7-400) ........................................................................................... 152
5.4.2 DB d'informations sur le groupe d'exécution F (S7-1200, S7-1500) ................................... 152
5.5 Programmer une protection contre le démarrage ............................................................. 154
6 Accès à la périphérie F ....................................................................................................................... 155
6.1 Adresser la périphérie F.................................................................................................... 155
6.2 État de la valeur (S7-1200, S7-1500) ................................................................................ 157
6.3 Valeurs de processus ou de remplacement ....................................................................... 160
6.4 DB de périphérie F ........................................................................................................... 162
6.4.1 Nom et numéro du DB de périphérie F.............................................................................. 163
6.4.2 Variables du DB de périphérie F ........................................................................................ 164
6.4.2.1 PASS_ON ......................................................................................................................... 165
6.4.2.2 ACK_NEC ......................................................................................................................... 165
6.4.2.3 ACK_REI ........................................................................................................................... 166
6.4.2.4 IPAR_EN ........................................................................................................................... 167
6.4.2.5 DISABLE ........................................................................................................................... 168
6.4.2.6 QBAD/PASS_OUT/DISABLED/QBAD_I_xx/QBAD_O_xx et état de la valeur ............................ 169
6.4.2.7 ACK_REQ ......................................................................................................................... 170
6.4.2.8 IPAR_OK .......................................................................................................................... 170
6.4.2.9 DIAG ................................................................................................................................ 170
6.4.3 Accéder aux variables du DB de périphérie F ..................................................................... 171
6.5 Passivation et réintégration de la périphérie F .................................................................. 172
6.5.1 Après un démarrage du système F.................................................................................... 173
6.5.2 Après des erreurs de communication................................................................................ 175
6.5.3 Après des erreurs de périphérie F / de voie........................................................................ 177
6.5.4 Passivation groupée ......................................................................................................... 181
7 Réalisation d'un acquittement utilisateur ......................................................................................... 183
7.1 Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F
d'un maître DP ou d'un IO-Controller ................................................................................ 183
7.2 Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F
d'un esclave I ou d'un périphérique I................................................................................. 188
8 Échange de données entre le programme utilisateur standard et le programme de sécurité ......... 191
8.1 Transfert de données du programme de sécurité au programme utilisateur standard ........ 192
8.2 Transfert de données du programme utilisateur standard au programme de sécurité ........ 193
9 Communication de sécurité ............................................................................................................... 196
9.1 Configurer et programmer la communication (S7-300, S7-400) ........................................ 196
9.1.1 Vue d'ensemble de la communication .............................................................................. 196
9.1.2 Communication contrôleur IO-contrôleur IO de sécurité ................................................... 199
9.1.2.1 Configurer la communication contrôleur IO-contrôleur IO de sécurité ............................... 199
9.1.2.2 Communication contrôleur IO-contrôleur IO de sécurité avec SENDDP et RCVDP ............... 203

Sommaire
9.1.2.3 Programmer la communication contrôleur IO-contrôleur IO de sécurité ............................ 204

9.1.2.4 Communication contrôleur IO-contrôleur IO de sécurité - Limites pour la transmission
de données...................................................................................................................... 207
9.1.3 Communication maître-maître de sécurité........................................................................ 208
9.1.3.1 Configurer la communication maître-maître de sécurité ................................................... 208
9.1.3.2 Communication maître-maître de sécurité avec SENDDP et RCVDP .................................... 213
9.1.3.3 Programmer la communication maître-maître de sécurité ................................................. 214
9.1.3.4 Communication maître-maître de sécurité - Limites pour la transmission de données ........ 217
9.1.4 Communication contrôleur IO-périphérique I de sécurité .................................................. 218
9.1.4.1 Configurer la communication contrôleur IO-périphérique I de sécurité .............................. 218
9.1.4.2 Communication contrôleur IO-périphérique I de sécurité avec SENDDP et RCVDP .............. 221
9.1.4.3 Programmer la communication contrôleur IO-périphérique I de sécurité ........................... 221
9.1.4.4 Communication contrôleur IO-périphérique I de sécurité - Limites pour la transmission
de données...................................................................................................................... 223
9.1.5 Communication maître-esclave I de sécurité ..................................................................... 224
9.1.5.1 Configurer la communication maître-esclave I de sécurité ................................................ 224
9.1.5.2 Communication maître-esclave I ou esclave I-esclave I de sécurité avec SENDDP et
RCVDP ............................................................................................................................. 226
9.1.5.3 Programmer la communication maître-esclave I ou esclave I-esclave I de sécurité ............. 226
9.1.5.4 Communication maître-esclave I ou esclave I-esclave I de sécurité - Limites pour la
transmission de données ................................................................................................. 228
9.1.6 Communication esclave I-esclave I de sécurité .................................................................. 229
9.1.6.1 Configurer la communication esclave I-esclave I de sécurité.............................................. 229
9.1.6.2 Communication esclave I-esclave I de sécurité avec SENDDP et RCVDP .............................. 234
9.1.6.3 Programmer la communication esclave I-esclave I de sécurité ........................................... 234
9.1.6.4 Communication esclave I-esclave I de sécurité - Limites pour la transmission de
données .......................................................................................................................... 234
9.1.7 Communication esclave I-esclave de sécurité.................................................................... 235
9.1.7.1 Configurer la communication esclave I-esclave de sécurité ............................................... 235
9.1.7.2 Accès à la périphérie F pour la communication esclave I-esclave de sécurité ...................... 240
9.1.7.3 Communication esclave I-esclave de sécurité - Limites pour la transmission de données.... 240
9.1.8 Communication contrôleur IO-esclave I de sécurité .......................................................... 241
9.1.9 Communication de sécurité via des liaisons S7 ................................................................. 241
9.1.9.1 Configurer la communication de sécurité via des liaisons S7 ............................................. 241
9.1.9.2 Communication avec SENDS7, RCVS7 et DB de communication F ..................................... 243
9.1.9.3 Programmer la communication de sécurité via des liaisons S7 .......................................... 244
9.1.9.4 Communication de sécurité via des liaisons S7 - Limites pour la transmission de
données .......................................................................................................................... 248
9.1.10 Communication de sécurité avec d'autres systèmes F S7................................................... 248
9.1.10.1 Introduction .................................................................................................................... 248
9.1.10.2 Communication avec S7 Distributed Safety via un coupleur PN/PN (communication
contrôleur IO-contrôleur IO) ............................................................................................. 249
9.1.10.3 Communication avec S7 Distributed Safety via un coupleur DP/DP (communication
maître-maître) ................................................................................................................. 250
9.1.10.4 Communication avec S7 Distributed Safety via des liaisons S7 .......................................... 251
9.1.10.5 Communication avec des systèmes S7 F/FH Systems via des liaisons S7 ............................ 253
9.2 Configurer et programmer la communication (S7-1200, S7-1500) .................................... 254
9.2.2 Communication contrôleur IO-contrôleur IO de sécurité ................................................... 257
9.2.2.1 Configurer la communication contrôleur IO-contrôleur IO de sécurité ............................... 257
9.2.2.2 Communication contrôleur IO-contrôleur IO de sécurité avec SENDDP et RCVDP ............... 261
9.2.2.3 Programmer la communication contrôleur IO-contrôleur IO de sécurité ............................ 262

Sommaire
9.2.2.4 Communication contrôleur IO-contrôleur IO de sécurité - Limites pour la transmission

de données...................................................................................................................... 266
9.2.3 Communication maître-maître de sécurité ........................................................................ 266
9.2.3.1 Configurer la communication maître-maître de sécurité ................................................... 266
9.2.3.2 Communication maître-maître de sécurité avec SENDDP et RCVDP .................................... 270
9.2.3.3 Programmer la communication maître-maître de sécurité ................................................. 270
9.2.3.4 Communication maître-maître de sécurité - Limites pour la transmission de données ........ 275
9.2.4 Communication contrôleur IO-périphérique I de sécurité .................................................. 275
9.2.4.2 Communication contrôleur IO-périphérique I de sécurité avec SENDDP et RCVDP .............. 278
9.2.4.4 Communication contrôleur IO-périphérique I de sécurité - Limites pour la transmission
de données...................................................................................................................... 281
9.2.5 Communication maître-esclave I de sécurité ..................................................................... 281
9.2.5.1 Configurer la communication maître-esclave I de sécurité................................................. 281
9.2.5.2 Communication maître-esclave I de sécurité avec SENDDP et RCVDP ................................. 284
9.2.5.3 Programmer la communication maître-esclave I de sécurité .............................................. 284
9.2.5.4 Communication maître-esclave I de sécurité - Limites pour la transmission de données ..... 286
9.2.6 Communication contrôleur IO-esclave I de sécurité........................................................... 287
9.2.6.1 Communication contrôleur IO-esclave I de sécurité........................................................... 287
9.2.7 Communication de sécurité avec un système F S7 S7 Distributed Safety ........................... 288
9.2.7.1 Introduction .................................................................................................................... 288
contrôleur IO-contrôleur IO) ............................................................................................. 288
maître-maître) ................................................................................................................. 289
9.3 Configurer et programmer la communication avec Flexible F-Link (S7-1200, S7-1500) ..... 289
9.3.1 Flexible F-Link .................................................................................................................. 289
9.3.2 DB de communication F (S7-1200, S7-1500) .................................................................... 293
9.4 Configurer et programmer la communication entre CPU F S7-300/400 et S7-1200/1500 ... 295
9.5 Configurer et programmer la communication dans plusieurs projets ................................. 296
9.5.1 Communication contrôleur IO-périphérique I de sécurité dans plusieurs projets ................ 296
10 Compiler et mettre le programme de sécurité en service ................................................................. 299
10.1 Compiler le programme de sécurité .................................................................................. 299
10.2 Mémoire de travail requise par le programme de sécurité (S7-300, S7-400) ...................... 299
10.3 Charger les données de projet .......................................................................................... 300
10.3.1 Charger les données de projet dans une CPU F S7-300/400 ............................................... 304
10.3.1.1 Charger les données de projet dans une CPU F S7-300/400 avec carte mémoire
enfichée (carte flash ou Micro Memory Card SIMATIC) ...................................................... 304
10.3.1.2 Charger les données de projet dans une CPU F S7-400 sans carte flash enfichée ............... 304
10.3.1.3 Charger les données de projet dans WinAC RTX F ............................................................. 305
10.3.1.4 Charger des bloc F individuels dans une CPU F S7-300/400 ............................................... 305
10.3.1.5 Charger les données de projet sur une carte mémoire et enficher la carte mémoire ou
le support de données amovible....................................................................................... 306
10.3.2 Charger les données de projet dans une CPU F S7-1200 .................................................... 308
10.3.2.1 Charger les données de projet dans une CPU F S7-1200 sans carte programme enfichée ... 308

Sommaire
10.3.2.2 Charger les données de projet dans une CPU F S7-1200 avec carte programme enfichée .. 309
10.3.2.3 Enficher une carte transfert dans une CPU F S7-1200 ....................................................... 311
10.3.2.4 Charger les données de projet d'une CPU F S7-1200 de la mémoire de chargement
interne sur une carte mémoire SIMATIC vide .................................................................... 313
10.3.2.5 Mettre à jour les données de projet d'une CPU F S7-1200 à l'aide d'une carte transfert ...... 314
10.3.2.6 Charger les données de projet sur une carte mémoire SIMATIC et enficher la carte
mémoire SIMATIC ............................................................................................................ 314
10.3.3 Charger les données de projet dans une CPU F S7-1500.................................................... 315
10.3.3.1 Charger les données de projet dans une CPU F S7-1500.................................................... 315
10.3.3.2 Charger les données de projet dans un système redondant S7-1500HF ............................. 315
10.3.3.3 Charger les données de projet dans un contrôleur logiciel S7-1500 F ................................ 316
mémoire SIMATIC ou le support de données amovible ...................................................... 318
10.3.4 Restaurer le programme de sécurité sauvegardé d'une CPU F ............................................ 320
10.3.5 Particularités lors de la création et de l'importation d'images d'un contrôleur logiciel S7-
1500 F............................................................................................................................. 321
10.3.6 Charger les données de projet (y compris les données de projet de sécurité) d'une CPU
F dans une PG/un PC (S7-1500) ........................................................................................ 322
10.3.7 Charger les données de projet (y compris les données de projet de sécurité) d'une carte
mémoire dans une PG/un PC (S7-1500) ............................................................................ 323
10.3.8 Charger la station PC via un fichier de configuration ......................................................... 324
10.3.8.1 Créer un fichier de configuration ...................................................................................... 325
10.3.8.2 Importer le fichier de configuration .................................................................................. 326
10.4 Identification du programme ........................................................................................... 330
10.5 Comparaison de programmes de sécurité ......................................................................... 331
10.6 Créer une impression de sécurité ..................................................................................... 334
10.7 Tester le programme de sécurité ...................................................................................... 336
10.7.1 Vue d'ensemble du test du programme de sécurité........................................................... 336
10.7.2 Mode de sécurité désactivé .............................................................................................. 337
10.7.2.1 Configuration de la durée limitée du mode de sécurité désactivé (S7-1200, S7-1500) ....... 337
10.7.2.2 Désactiver le mode de sécurité ......................................................................................... 338
10.7.3 Tester le programme de sécurité ...................................................................................... 341
10.7.4 Tester le programme de sécurité avec S7-PLCSIM ............................................................. 345
10.7.5 Modifier le programme de sécurité à l'état Marche (S7-300, S7-400) ................................ 349
10.7.6 Modifier le programme de sécurité à l'état Marche (S7-1200, S7-1500) ............................ 351
10.8 Historique des modifications F ......................................................................................... 358
11 Réception de l'installation ................................................................................................................. 360
11.1 Vue d'ensemble de l'inspection de l'installation ................................................................ 360
11.2 Correction du programme de sécurité, configuration matérielle comprise (test inclus) ...... 361
11.3 Intégralité de l'impression de sécurité .............................................................................. 362
11.4 Conformité des éléments de la bibliothèque système utilisés dans le programme de
sécurité avec l'annexe 1 du rapport sur le certificat TÜV .................................................... 363
11.5 Conformité des blocs F avec protection du know-how utilisés dans le programme de
sécurité avec leur documentation de sécurité ................................................................... 364
11.6 Intégralité et correction de la configuration matérielle...................................................... 366
11.7 Correction et intégralité de la configuration de la communication .................................... 373

Sommaire
11.8 Équivalence des programmes en ligne et hors ligne .......................................................... 376

11.9 Autres propriétés ............................................................................................................. 377
11.10 Réception de modifications .............................................................................................. 379
12 Exploitation et maintenance ............................................................................................................. 384
12.1 Remarques relatives au démarrage du système F .............................................................. 384
12.2 Remarques relatives au mode de sécurité du programme de sécurité ................................ 384
12.3 Remplacement de constituants logiciels et matériels ........................................................ 388
12.4 Guide de diagnostic (S7-300, S7-400) .............................................................................. 391
12.5 Guide de diagnostic (S7-1500) ......................................................................................... 392
12.6 Guide de diagnostic (S7-1200) ......................................................................................... 392
13 Instructions STEP 7 Safety V18 .......................................................................................................... 393
13.1 Générales ........................................................................................................................ 394
13.1.1 CONT............................................................................................................................... 394
13.1.1.1 Nouveau réseau (STEP 7 Safety V18) ................................................................................ 394
13.1.1.2 Boîte vide (STEP 7 Safety V18).......................................................................................... 394
13.1.1.3 Ouvrir branche (STEP 7 Safety V18) .................................................................................. 395
13.1.1.4 Fermer branche (STEP 7 Safety V18) ................................................................................ 396
13.1.2 LOG ................................................................................................................................. 397
13.1.2.1 Nouveau réseau (STEP 7 Safety V18) ................................................................................ 397
13.1.2.2 Boîte vide (STEP 7 Safety V18).......................................................................................... 397
13.1.2.3 Ouvrir branche (STEP 7 Safety V18) .................................................................................. 398
13.1.2.4 Insérer entrée TOR (STEP 7 Safety V18) ............................................................................ 399
13.1.2.5 Inverser RLO (STEP 7 Safety V18)...................................................................................... 400
13.2 Opérations logiques sur bits ............................................................................................. 400
13.2.1 CONT............................................................................................................................... 400
13.2.1.1 ---| |--- : Contact à fermeture (STEP 7 Safety V18) .............................................................. 400
13.2.1.2 ---| / |--- : Contact à ouverture (STEP 7 Safety V18) ............................................................ 401
13.2.1.3 --|NOT|-- : Inverser RLO (STEP 7 Safety V18) ...................................................................... 402
13.2.1.4 ---( )--- : Affectation (STEP 7 Safety V18) ........................................................................... 403
13.2.1.5 ---( R )--- : Mise à 0 de la sortie (STEP 7 Safety V18) ........................................................... 403
13.2.1.6 ---( S )--- : Mise à 1 de la sortie (STEP 7 Safety V18) ........................................................... 405
13.2.1.7 SR : Bascule 'mise à 1/mise à 0' (STEP 7 Safety V18) .......................................................... 406
13.2.1.8 RS : Bascule 'mise à 0/mise à 1' (STEP 7 Safety V18) .......................................................... 407
13.2.1.9 --|P|-- : Interroger front montant d'un opérande (STEP 7 Safety V18) ................................. 409
13.2.1.10 --|N|-- : Interroger front descendant d'un opérande (STEP 7 Safety V18) ............................ 410
13.2.1.11 P_TRIG : Interroger front montant du RLO (STEP 7 Safety V18) .......................................... 411
13.2.1.12 N_TRIG : Interroger front descendant du RLO (STEP 7 Safety V18) ..................................... 413
13.2.2 LOG ................................................................................................................................. 414
13.2.2.1 Opération logique ET (STEP 7 Safety V18) ........................................................................ 414
13.2.2.2 Opération logique OU (STEP 7 Safety V18) ....................................................................... 415
13.2.2.3 X : Opération logique OU EXCLUSIF (STEP 7 Safety V18) ................................................... 416
13.2.2.4 = : Affectation (STEP 7 Safety V18) ................................................................................... 418
13.2.2.5 R : Mise à 0 de la sortie (STEP 7 Safety V18) ...................................................................... 418
13.2.2.6 S : Mise à 1 de la sortie (STEP 7 Safety V18) ...................................................................... 420
13.2.2.7 SR : Bascule 'mise à 1/mise à 0' (STEP 7 Safety V18) .......................................................... 421
13.2.2.8 RS : Bascule 'mise à 0/mise à 1' (STEP 7 Safety V18) .......................................................... 422

Sommaire
13.2.2.9 P : Interroger front montant d'un opérande (STEP 7 Safety V18) ....................................... 424
13.2.2.10 N : Interroger front descendant d'un opérande (STEP 7 Safety V18) .................................. 425
13.2.2.11 P_TRIG : Interroger front montant du RLO (STEP 7 Safety V18) .......................................... 426
13.2.2.12 N_TRIG : Interroger front descendant du RLO (STEP 7 Safety V18) ..................................... 427
13.3 Fonctions de sécurité ....................................................................................................... 429
13.3.1 ESTOP1 : ARRÊT d'URGENCE/COUPURE d'URGENCE jusqu'à catégorie d'arrêt 1 (STEP 7
Safety V18)...................................................................................................................... 429
13.3.2 TWO_HAND : Surveillance de commande bimanuelle (STEP 7 Safety Advanced V18)
(S7-300, S7-400) ............................................................................................................. 434
13.3.3 TWO_H_EN : Surveillance de commande bimanuelle avec validation (STEP 7 Safety
V18) ................................................................................................................................ 437
13.3.4 MUTING : Inhibition (muting) (STEP 7 Safety Advanced V18) (S7-300, S7-400) ................. 442
13.3.5 MUT_P : Inhibition parallèle (STEP 7 Safety V18) ............................................................... 454
13.3.6 EV1oo2DI : Exploitation 1oo2 (1de2) avec analyse de discordance (STEP 7 Safety V18) ..... 467
13.3.7 FDBACK : Surveillance du circuit de réaction (STEP 7 Safety V18) ...................................... 474
13.3.8 SFDOOR : Surveillance de protecteur mobile (STEP 7 Safety V18) ...................................... 480
13.3.9 ACK_GL : Acquittement global de toutes les périphéries F d'un groupe d'exécution F
(STEP 7 Safety V18) ......................................................................................................... 486
13.4 Temporisations ................................................................................................................ 488
13.4.1 TP : Génération d'impulsion (STEP 7 Safety V18) ............................................................... 488
13.4.2 TON : Retard à la montée (STEP 7 Safety V18) .................................................................. 493
13.4.3 TOF : Retard à la retombée (STEP 7 Safety V18) ................................................................ 498
13.5 Compteurs....................................................................................................................... 503
13.5.1 CTU : Comptage (STEP 7 Safety V18) ................................................................................ 503
13.5.2 CTD : Décomptage (STEP 7 Safety V18) ............................................................................ 505
13.5.3 CTUD : Comptage et décomptage (STEP 7 Safety V18) ...................................................... 507
13.6 Comparaison ................................................................................................................... 510
13.6.1 CMP == : Égal à (STEP 7 Safety V18) ................................................................................. 510
13.6.2 CMP <> : Différent de (STEP 7 Safety V18) ........................................................................ 512
13.6.3 CMP >= : Supérieur ou égal à (STEP 7 Safety V18) ............................................................. 513
13.6.4 CMP <= : Inférieur ou égal à (STEP 7 Safety V18) .............................................................. 514
13.6.5 CMP > : Supérieur à (STEP 7 Safety V18) ........................................................................... 516
13.6.6 CMP < : Inférieur à (STEP 7 Safety V18) ............................................................................ 517
13.7 Fonctions mathématiques................................................................................................ 518
13.7.1 ADD : Addition (STEP 7 Safety V18) .................................................................................. 518
13.7.2 SUB : Soustraction (STEP 7 Safety V18) ............................................................................. 522
13.7.3 MUL : Multiplication (STEP 7 Safety V18) .......................................................................... 525
13.7.4 DIV : Division (STEP 7 Safety V18)..................................................................................... 528
13.7.5 NEG : Créer le complément à 2 (STEP 7 Safety V18) .......................................................... 531
13.7.6 ABS : Valeur absolue (STEP 7 Safety V18) (S7-1200, S7-1500) .......................................... 535
13.8 Transfert.......................................................................................................................... 536
13.8.1 MOVE : Copier valeur (STEP 7 Safety V18) ........................................................................ 536
13.8.2 RD_ARRAY_I : Lire valeur dans un tableau F INT (STEP 7 Safety V18) (S7-1500) ................. 537
13.8.3 RD_ARRAY_DI : Lire valeur dans un tableau F DINT (STEP 7 Safety V18) (S7-1500) ............. 540
13.8.4 WR_FDB : Écrire indirectement une valeur dans un DB F (STEP 7 Safety Advanced V18)
(S7-300, S7-400) ............................................................................................................. 542
13.8.5 RD_FDB : Écrire indirectement une valeur dans un DB F (STEP 7 Safety Advanced V18)
(S7-300, S7-400) ............................................................................................................. 544
13.9 Conversion ...................................................................................................................... 546

Sommaire
13.9.1 CONVERT : Convertir valeur (STEP 7 Safety V18) ............................................................... 546

13.9.2 BO_W : Conversion de 16 données de type BOOL en donnée de type WORD (STEP 7
Safety V18) ...................................................................................................................... 547
13.9.3 W_BO : Conversion de données de type WORD en 16 données de type BOOL (STEP 7
Safety V18) ...................................................................................................................... 550
13.9.4 SCALE : Mise à l'échelle de la valeur (STEP 7 Safety V18) ................................................... 552
13.9.5 SCALE_D : Mise à l'échelle de la valeur vers le type de données DINT (STEP 7 Safety
V18) (S7-1200, S7-1500) ................................................................................................. 555
13.10 Gestion du programme .................................................................................................... 557
13.10.1 JMP : Saut si RLO = 1 (STEP 7 Safety V18) ......................................................................... 557
13.10.2 JMPN : Saut si RLO = 0 (STEP 7 Safety V18) ....................................................................... 559
13.10.3 LABEL : Repère de saut (STEP 7 Safety V18) ...................................................................... 561
13.10.4 RET : Retour de saut (STEP 7 Safety V18) .......................................................................... 563
13.10.5 OPN : Ouvrir bloc de données global (STEP 7 Safety Advanced V18) (S7-300, S7-400) ....... 564
13.11 Opérations logiques sur mots ........................................................................................... 566
13.11.1 AND : Opération logique ET (STEP 7 Safety V18) ............................................................... 566
13.11.2 OR : Opération logique OU (STEP 7 Safety V18) ................................................................ 567
13.11.3 XOR : Opération logique OU EXCLUSIF (STEP 7 Safety V18) ............................................... 568
13.12 Décalage et rotation ........................................................................................................ 569
13.12.1 SHR : Décalage à droite (STEP 7 Safety V18) ..................................................................... 569
13.12.2 SHL : Décalage à gauche (STEP 7 Safety V18) ................................................................... 572
13.13 Utilisation ........................................................................................................................ 574
13.13.1 ACK_OP : Acquittement de sécurité (STEP 7 Safety V18) ................................................... 574
13.14 Autres instructions ........................................................................................................... 582
13.14.1 CONT............................................................................................................................... 582
13.14.1.1 ---| |--- OV : Interrogation du bit d'état OV (STEP 7 Safety Advanced V18) (S7-300, S7-
400) ................................................................................................................................ 582
13.14.1.2 ---| / |--- OV : Interrogation du bit d'état OV inversé (STEP 7 Safety Advanced V18) (S7-
300, S7-400) ................................................................................................................... 583
13.14.2 LOG ................................................................................................................................. 584
13.14.2.1 OV : Interrogation du bit d'état OV (STEP 7 Safety Advanced V18) (S7-300, S7-400) .......... 584
13.15 Communication ............................................................................................................... 585
13.15.1 PROFIBUS/PROFINET ......................................................................................................... 585
13.15.1.1 SENDDP et RCVDP : Émission et réception de données via PROFIBUS DP/PROFINET IO
(STEP 7 Safety V18) ......................................................................................................... 585
13.15.2 Communication S7 .......................................................................................................... 595
13.15.2.1 SENDS7 et RCVS7 : Communication via liaisons S7 (STEP 7 Safety Advanced V18) (S7-
300, S7-400) ................................................................................................................... 595
A Temps de surveillance et de réaction ................................................................................................ 602
A.1 Configurer les temps de surveillance ................................................................................ 603
A.1.1 Temps de surveillance minimum du temps de cycle du groupe d'exécution F .................... 605
A.1.2 Temps de surveillance minimum de la communication sécurisée entre la CPU F et la
périphérie F" .................................................................................................................... 605
A.1.3 Temps de surveillance minimum de la communication CPU - CPU sécurisée ...................... 607
A.1.4 Temps de surveillance de la communication sécurisée entre groupes d'exécution de
sécurité ........................................................................................................................... 607
A.2 Temps de réaction de fonctions de sécurité ...................................................................... 608

Sommaire
B Liste de contrôle ................................................................................................................................ 611

Glossaire ............................................................................................................................................ 617
Index .................................................................................................................................................. 632

Présentation du produit 1
1.1 Vue d'ensemble
Système de sécurité SIMATIC Safety

Le système de sécurité SIMATIC Safety permet de réaliser des concepts de sécurité dans le
domaine de la protection des machines et des personnes (par exemple, pour des dispositifs
d'arrêt d'urgence lors de la mise en œuvre de machines de façonnage et d'usinage) et dans
l'industrie des procédés (par exemple, pour l'exécution de fonctions de protection pour les
dispositifs de protection MSR et les brûleurs).
ATTENTION
Le système F SIMATIC Safety sert à la commande de processus dont l'état de sécurité peut
être atteint immédiatement par coupure. Cela s'applique en particulier aux systèmes
S7-1500HF redondants.
Vous ne pouvez utiliser SIMATIC Safety que pour la commande de processus dans lesquels
une coupure immédiate ne constitue aucun danger pour les personnes ou l'environnement.
Lors de la réalisation des applications de sécurité, création des données de projet de sécurité
comprise, vous devez tenir compte des normes et directives applicables pour votre
application. Intégrez notamment les normes dans lesquelles le processus de création de
logiciel est décrit (par exemple, CEI 61508-3 ou ISO 13849-1). (S062)
Exigences de sécurité réalisables

Les systèmes F SIMATIC Safety peuvent satisfaire aux exigences de sécurité suivantes :
• Classe de sécurité (Safety Integrity Level) SIL3 selon CEI 61508:2010
• Performance Level (PL) e et catégorie 4 selon ISO 13849-1:2015 ou selon
EN ISO 13849-1:2015

Présentation du produit
1.1 Vue d'ensemble
Sécurité fonctionnelle dans SIMATIC Safety

La sécurité fonctionnelle est réalisée principalement au niveau du logiciel. Le système F
SIMATIC Safety amène l'installation dans un état sûr en cas d'événement dangereux et l'y
maintient. Les mécanismes de sécurité sont contenus principalement dans les composants
suivants :
• dans le programme utilisateur de sécurité (programme de sécurité) dans la CPU à
fonctionnalité F (CPU F),
• dans les entrées/sorties de sécurité (périphérie F).
La périphérie F assure le traitement de sécurité des informations de terrain (capteurs : par
exemple boutons d'arrêt d'urgence, barrières photoélectriques ; actionneurs, par exemple
commande de moteur). Elle dispose de tous les composants matériels et logiciels nécessaires
au traitement de sécurité conformément à la classe de sécurité requise. L'utilisateur
programme uniquement la fonction de sécurité utilisateur. La sécurité fonctionnelle pour le
processus est réalisable soit par une fonction de sécurité utilisateur, soit par une fonction de
réaction aux erreurs. Le système F contrôle cycliquement l'intégrité du programme de
sécurité et des données de sécurité. Ce contrôle est systématiquement effectué lorsque des
données de sécurité quittent un groupe d'exécution F via la communication de sécurité ou un
accès à la périphérie F. Si ce contrôle détecte une erreur, le système F exécute une fonction
de réaction aux erreurs qui désactive les sorties et, si nécessaire, met la CPU F à l'arrêt.
Remarque
Dans un système S7-1500HF redondant, le passage à l'arrêt de la CPU F du fait de la fonction
de réaction aux erreurs provoque le passage à l'arrêt de la CPU principale et de la CPU réserve.
Exemple de fonction de sécurité utilisateur et de fonction de réaction aux erreurs

Le système F doit ouvrir une vanne en cas de surpression (fonction de sécurité utilisateur). En
cas de défaillance dangereuse de la CPU F, toutes les sorties sont coupées (fonction de
réaction aux erreurs), ce qui a pour effet d'ouvrir la vanne ainsi que d'amener les autres
actionneurs à l'état de sécurité. Avec un système F intact, seule la vanne serait ouverte.

1.2 Constituants matériels et logiciels
Composants matériels et logiciels de SIMATIC Safety

Le schéma de principe suivant montre une vue d'ensemble des composants matériels et
logiciels nécessaires à la configuration et à l'exploitation d'un système F SIMATIC Safety.
Composants matériels pour PROFIBUS DP

Vous pouvez utiliser les composants de sécurité suivants dans les systèmes F SIMATIC Safety
sur PROFIBUS DP :
• CPU F avec interface DP, par exemple CPU 1516F-3 PN/DP
• SIMATIC Drive Controller, p. ex. CPU 1504D TF
• Entrées/sorties de sécurité (périphérie F), par exemple :
– Modules de signaux de sécurité S7-300 dans l'ET 200M
– Modules de sécurité S7-1500/ET 200MP
– Modules de sécurité ET 200SP
– Modules de sécurité ET 200S
– Modules de sécurité ET 200pro
– Modules de sécurité ET 200iSP
– Modules de périphérie de sécurité ET 200eco (S7-300, S7-400)
– Appareils DP normalisés de sécurité (barrière immatérielle, scanner laser, etc.)
Vous pouvez étendre la configuration par une périphérie standard.

Dans un système F SIMATIC Safety, vous pouvez utiliser les CP/CM suivants sur PROFIBUS DP
pour la connexion de la périphérie F décentralisée :
• CP 443-5 Extended
• CM 1243-5
• CM 1542-5
• CP 1542-5
• SP CM DP
Composants matériels pour PROFINET IO

sur PROFINET IO :
• CPU F avec interface PN, par exemple CPU 1214FC DC/DC/DC
• SIMATIC Drive Controller, p. ex. CPU 1504D TF
• Entrées/sorties de sécurité (périphérie F), par exemple :
– Modules de signaux de sécurité S7-300 dans l'ET 200M
– Modules de sécurité S7-1500/ET 200MP
– Modules de sécurité ET 200SP
– Modules de sécurité ET 200S
– Modules de sécurité ET 200pro
– Modules de périphérie de sécurité ET 200eco PN
– Modules de périphérie de sécurité ET 200AL
– Périphériques IO normalisés de sécurité (barrière immatérielle, scanner laser, etc.)
Dans un système F SIMATIC Safety, vous pouvez utiliser les CP/CM suivants sur PROFINET IO
pour la connexion de la périphérie F décentralisée :
• CP 443-1
• CP 443-1 Advanced-IT
• CM 1542-1

Composants matériels pour la configuration centralisée

en montage centralisé sur une CPU F (pas sur une CPU HF) :
• Modules de sécurité ET 200pro (également utilisables avec la CPU 1516proF-2)
STEP 7 Safety
La présente documentation décrit STEP 7 Safety Advanced V18 et STEP 7 Safety Basic V18.
STEP 7 Safety est le logiciel de configuration et de programmation pour le système F SIMATIC
Safety. Avec STEP 7 Safety, vous disposez :
• d'une assistance pour configurer la périphérie F dans l'éditeur de matériel et de réseaux de
TIA Portal,
• d'une assistance pour créer le programme de sécurité en CONT et LOG et pour y intégrer
des fonctions de détection d'erreurs,
• d'instructions – que vous utilisez déjà dans le programme utilisateur standard – pour
programmer votre programme de sécurité en CONT et LOG,
• d'instructions pour programmer votre programme de sécurité en CONT et LOG avec des
fonctions de sécurité spéciales.
STEP 7 Safety offre en outre des fonctions de comparaison des programmes de sécurité et
d'assistance lors de la réception de l'installation.
ATTENTION
La configuration de la CPU F et de la périphérie F ainsi que la programmation des blocs F

doivent être effectuées dans TIA Portal comme décrit dans la présente documentation.Vous
devez tenir compte de tous les aspects décrits sous Réception de l'installation (Page 360)
pour garantir un fonctionnement sûr avec le système SIMATIC SAFETY. Aucune autre
procédure n'est autorisée. (S056)
Packs optionnels
Vous pouvez utiliser, en plus de STEP 7 Safety, des packs optionnels avec des périphéries F et
des CPU F, ainsi que des instructions pour la programmation de votre programme de sécurité
avec des fonctions de sécurité spéciales dans le système F SIMATIC Safety. Il peut, par
exemple, s'agir de SINUMERIK ou de HMI Mobile Panels de sécurité.
L'installation, le paramétrage et la programmation, ainsi que les points à respecter lors de la
réception de l'installation sont décrits dans la documentation des packs optionnels respectifs.
Tenez également compte des remarques sous "Configurations prises en charge par le système
F SIMATIC Safety (Page 65)".

TIA Portal Cloud Connector
ATTENTION
TIA Portal Cloud Connector doit être uniquement utilisé pour les tâches d'ingénierie avec
TIA Portal. Il est interdit de l'utiliser pour des accès en ligne en mode production (par
exemple, SCADA). Cela vaut en particulier pour les programmes de sécurité. (S068)
Openness
Les fonctions Openness (https://support.industry.siemens.com/cs/ww/fr/view/109798533)
énumérées ci-dessous sont prises en charge dans le cadre de STEP 7 Safety. Utiliser Openness
n'est pas autorisé en mode production.
Les fonctionnalités suivantes sont prises en charge dans le cadre de STEP 7 Safety :
• Enfichage/suppression de CPU F et de périphéries F
• Copie/suppression de CPU F et de périphéries F de modèles de copie
• Compilation de matériels
• Compilation de logiciels (dont le programme de sécurité)
• Gestion de la protection d'accès des données du projet de sécurité (en cas de projets TIA
non protégés par la protection de projet)
• Lecture/configuration des paramètres de sécurité de la CPU F
• Lecture/configuration des paramètres de sécurité des périphéries F
• Lecture/configuration des paramètres individuels des modules de sécurité ET 200SP
• Lecture, déclaration ou suppression de variables de sécurité dans la table de variables API
• Actualisation des blocs F du projet aux dernières versions de type
• Chargement de station cohérent
• Exportation et importation de blocs F et de types de données API (UDT) conformes F
• Comparaison de matériels et de logiciels
• Prise en charge de VCI (Version Control interface)
• Lecture de l'empreinte d'API en ligne pour le programme de sécurité
La fonction suivante n'est pas prise en charge :
• Chargement dans l'appareil

ATTENTION
Lorsque vous utilisez Openness ou d'autres outils pour l'utilisation de TIA Portal en lien avec
des données du projet de sécurité, vous devez assurer l'intégrité de ces données (par
exemple, dans le cadre de l'enregistrement ou de la transmission par des applications de
gestion du code source). En cas de connexion à des outils externes, respectez les exigences
pour les outils logiciels hors ligne (outils logiciels autonomes) selon la norme IEC 61508-3.
Une violation de l'intégrité des données du projet de sécurité en ligne ou hors ligne ne peut
pas être constatée par STEP 7 Safety. Il faut effectuer un contrôle final de la correction des
données de projet relatives à la sécurité comme décrit sous Réception de l'installation
(Page 360). (S070)
Les programmes Openness peuvent également être intégrés comme add-in dans TIA Portal. Il
est aussi possible d'intégrer des add-ins de workflow qui sont appelés automatiquement
avant la compilation d'un programme de sécurité. Voir à ce sujet l'aide en ligne standard,
sous "Étendre les workflows".
Si vous avez intégré un add-in de workflow, celui-ci est imprimé dans l'impression de sécurité
à des fins de documentation.
Service Openness
L'interface Openness (Siemens.Engineering.dll) est étendue avec les services suivants :
• GlobalSettings (voir l'espace de nom Siemens.Engineering.Safety) qui mettent les
actions suivantes à disposition :
– SafetyModificationsPossible(bool safetyModificationsPossible)
– UsernameForFChangeHistory(string userName)
– bool SafetyModificationsPossible()
– string UsernameForFChangeHistory()
• SafetySignatureProvider qui mettent les actions et propriétés suivantes à
disposition :
– SafetySignatureComposition Signatures
– UInt64 SafetySignature.Value
– SafetySignatureType SafetySignature.Type
• SafetyAdministration avec les actions et propriétés suivantes dans l'espace de nom
Siemens.Engineering.Safety.
– bool IsSafetyOfflineProgramPasswordSet
– void SetSafetyOfflineProgramPassword(SecureString newPassword)
– void RevokeSafetyOfflineProgramPassword(SecureString
currentPassword)
– bool IsLoggedOnToSafetyOfflineProgram
– void LoginToSafetyOfflineProgram(SecureString currentPassword)
– void LogoffFromSafetyOfflineProgram()

• SafetyAdministration auquel il est possible d'accéder depuis Plc-DeviceItem.

Le service SafetyAdministration offre les propriétés suivantes dans l'espace de nom
Siemens.Engineering.Safety. Ces deux propriétés incluent des propriétés
supplémentaires qui sont listées dans la description.
– RuntimegroupComposition RuntimeGroups { get; }
– SafetySettings Settings { get; }
• SafetyPrintout avec l'action suivante dans l'espace de nom
Siemens.Engineering.Safety :
– bool Print(SafetyPrintoutFilePrinter filePrinter, FileInfo
fullOutputPath, SafetyPrintoutOption documentationOption,
string documentLayout);
Vous trouverez plus d'informations à ce sujet dans le manuel système "SIMATIC TIA Portal
Openness : Automatisation de la création de projet
(https://support.industry.siemens.com/cs/ww/fr/view/109798533)" sous "Openness spécifique
F".
Environnements virtuels
ATTENTION
Utilisation d'environnements virtuels dans le système d'ingénierie
Notez qu'un hyperviseur ou le logiciel client d'un hyperviseur n'est pas autorisé à exécuter
une fonction qui reproduit des séquences de télégrammes enregistrées avec un
comportement temporel correct dans un réseau avec des CPU F et des périphéries F réelles.
Veillez à ce que cette condition soit remplie, par exemple, lors de l'utilisation des fonctions
suivantes :
• Réinitialisation d'états acquis (snapshots) des machines virtuelles (VM)
• Suspension et reprise des VM (suspend & resume)
• Reproduction de séquences enregistrées (replay) dans les VM
• Déplacement de VM entre les hôtes en mode production (par exemple, Fault Tolerance
(FT))
• Jumeaux numériques de VM dans l'environnement virtuel
En cas de doute, désactivez ces fonctions dans les paramètres (console d'administration de
l'hyperviseur). (S067)
Installations de système d'exploitation pour S7-150xS(P) F ou WinAC RTX F
ATTENTION
Lors de l'utilisation d'un PC avec plusieurs installations de système d'exploitation de

Windows ou Linux (par exemple, via le gestionnaire d'amorçage), un seul S7-150xS(P) F ou
WinAC RTX F doit être installé sur ce PC. (S095)

1.3 Installer/désinstaller une licence pour STEP 7 Safety Basic V18
Programme de sécurité
Vous créez un programme de sécurité dans l'éditeur de programme. Vous programmez les FB
et FC de sécurité dans les langages de programmation LOG ou CONT avec les instructions de
STEP 7 Safety et vous créez les DB de sécurité.
Des vérifications de sécurité sont automatiquement effectuées lors de la compilation du
programme de sécurité et des blocs de sécurité supplémentaires sont intégrés pour la
détection d'erreurs et la réaction aux erreurs. Cela garantit que les défaillances et erreurs
éventuelles sont détectées et que des réactions appropriées sont déclenchées pour maintenir
ou amener le système F dans un état de sécurité.
Un programme utilisateur standard peut également s'exécuter dans la CPU F en plus du
programme de sécurité. La coexistence du programme standard et du programme de sécurité
dans une CPU F est possible, car le programme utilisateur standard ne peut pas affecter
involontairement les données de sécurité du programme de sécurité sans que cela ne soit
détecté.
Un échange de données entre le programme de sécurité et le programme utilisateur standard
dans la CPU F est possible au moyen de mémentos, des données d'un DB standard ou de
l'accès à la mémoire image du processus.
Tenez compte des restrictions/particularités éventuelles lors de l'utilisation d'unités logicielles
ou d'une unité Safety (Page 113).
Voir aussi
Transfert de données du programme de sécurité au programme utilisateur standard
(Page 192)
1.3 Installer/désinstaller une licence pour STEP 7 Safety Basic V18

Après l'installation d'une licence pour STEP 7 Safety Basic V18, vous disposez de la
fonctionnalité de STEP 7 Safety Basic V18.
Logiciel requis pour STEP 7 Safety Basic V18

Le pack logiciel suivant au minimum doit être installé sur la PG/le PC :
• SIMATIC STEP 7 Basic V18
Installer une licence pour STEP 7 Safety Basic V18

1. Démarrez le gestionnaire de licences Automation License Manager sur la PG/le PC sur
laquelle/lequel est installé le pack logiciel "SIMATIC STEP 7 Basic V18" ou "SIMATIC STEP 7
Advanced V18".
2. Installez la licence pour STEP 7 Safety Basic V18 comme décrit dans l'aide de Automation
License Manager.

1.4 Installer/désinstaller une licence pour STEP 7 Safety Advanced V18
Désinstaller une licence pour STEP 7 Safety Basic V18

Pour désinstaller la licence pour STEP 7 Safety Basic V18 procédez comme décrit dans l'aide
de Automation License Manager.
1.4 Installer/désinstaller une licence pour STEP 7 Safety Advanced

V18
Après l'installation d'une licence pour STEP 7 Safety Advanced V18 , vous disposez de la
fonctionnalité de STEP 7 Safety Advanced V18.
Logiciel requis pour STEP 7 Safety Advanced V18

• SIMATIC STEP 7 Professional V18
Installer une licence pour STEP 7 Safety Advanced V18

laquelle/lequel est installé le pack logiciel "SIMATIC STEP 7 Professional V18".
2. Installez la licence pour STEP 7 Safety Advanced V18 comme décrit dans l'aide de
Automation License Manager.
Désinstaller une licence pour STEP 7 Safety Advanced V18

Pour désinstaller la licence pour STEP 7 Safety Advanced V18 procédez comme décrit dans
l'aide de Automation License Manager.
1.5 Installer/désinstaller le pack STEP 7 Safety Powerpack

Après l'installation d'une licence pour STEP 7 Safety Powerpacks, vous disposez de la
fonctionnalité de STEP 7 Safety Advanced V18.
Environnement logiciel requis pour STEP 7 Safety Powerpack

• SIMATIC STEP 7 Professional V18
Installer le pack STEP 7 Safety Powerpack

laquelle/lequel est installé le pack logiciel "SIMATIC STEP 7 Professional V18".
2. Installez la licence incluse dans le pack STEP 7 Safety Powerpack comme décrit dans l'aide
pour Automation License Manager.

1.6 Migrer des projets de S7 Distributed Safety V5.4 SP5 à STEP 7 Safety Advanced
Désinstaller le pack STEP 7 Safety Powerpack

Pour désinstaller la licence incluse dans le pack STEP 7 Safety Powerpack, procédez comme
décrit dans l'aide pour Automation License Manager.
1.6 Migrer des projets de S7 Distributed Safety V5.4 SP5 à STEP 7

Safety Advanced
Introduction
Dans STEP 7 Safety Advanced, vous pouvez réutiliser des projets avec des programmes de
sécurité que vous avez créés avec S7 Distributed Safety V5.4 SP5.
Condition
STEP 7 Safety Advanced, S7 Distributed Safety V5.4 SP5 et le F-Configuration Pack avec
lequel le projet a été créé doivent être installés sur l'ordinateur que vous utilisez pour la
migration. Les versions V5.4 SP5 à V5.5 SP13 du F-Configuration Pack sont prises en charge.
Vous devez avoir compilé les projets dans S7 Distributed Safety V5.4 SP5 et avec le F-
Configuration Pack.
Avant la migration
Avant la migration, supprimez tous les blocs F qui ne sont pas utilisés par le programme de
sécurité dans votre projet S7 Distributed Safety V5.4 SP5.
Procédure comme dans STEP 7 Professional

Procédez à la migration de projets de S7 Distributed Safety V5.4 SP5 à STEP 7 Safety
Advanced exactement comme pour des projets standard. Après la migration, vérifiez que le
projet a été migré sans modification au moyen de la signature globale F.
Remarque
Si vous utilisez des blocs F avec protection du know-how dans le programme de sécurité à
migrer, supprimez la protection du know-how avant la migration.
Vous pouvez réactiver la protection du know-how des blocs F après la migration.
La procédure de migration est décrite sous "Migration" dans l'aide de STEP 7 Professional.
Seules les particularités pour STEP 7 Safety Advanced sont décrites ci-après.
Remarque
Nous vous recommandons d'activer l'option "Inclure la configuration matérielle" dans la
fenêtre "Migrer le projet".

Anciennes versions de matériels

Il est possible que d'anciennes versions de matériels F ne soient pas prises en charge par
STEP 7 Safety Advanced.
Si vous avez utilisé et configuré des versions de CPU F et de périphéries F dans des projets S7
Distributed Safety qui ne sont pas homologuées pour STEP 7 Safety Advanced, vous devez
mettre ces matériels à niveau à la nouvelle version dans S7 Distributed Safety V5.4 SP5 et le
F-Configuration Pack approprié. La migration à STEP 7 Safety Advanced est ensuite possible.
Vous trouverez une information produit avec la liste des matériels homologués sur Internet
(https://support.industry.siemens.com/cs/ww/fr/view/109481784).
Particularités lors de la communication CPU-CPU de sécurité via des liaisons S7

Les particularités des projets migrés avec communication CPU-CPU de sécurité via des liaisons
S7 sont décrites sous Communication de sécurité via des liaisons S7 (Page 241). Tenez
également compte de Communication avec S7 Distributed Safety via des liaisons S7
(Page 251).
Particularités pour les instructions ESTOP1 et FDBACK

Vous trouverez des informations sur les particularités à prendre en compte lors de l'utilisation
des instructions ESTOP1 et FDBACK au paragraphe "Versions de l'instruction" sous ESTOP1 :
ARRÊT d'URGENCE/COUPURE d'URGENCE jusqu'à catégorie d'arrêt 1 (STEP 7 Safety V18)
(Page 429) et FDBACK : Surveillance du circuit de réaction (STEP 7 Safety V18) (Page 474).
Après la migration
Après la migration, vous obtenez un projet complet avec un programme de sécurité qui a
conservé la structure de S7 Distributed Safety ainsi que la signature globale F. Les blocs F de
la bibliothèque F S7 Distributed Safety (V1) sont convertis en instructions fournies par STEP 7
Safety Advanced.
Il n'est pas nécessaire de réceptionner à nouveau le projet migré qui peut être chargé tel quel
dans la CPU F à condition qu'il n'ait pas été édité ou compilé après la migration.
Remarque
Impression de sécurité
Vous ne pouvez pas générer d'impression de sécurité dans STEP 7 Safety Advanced pour un
projet migré. L'impression du projet générée avec S7 Distributed Safety V5.4 SP5 et les
documents de réception associés restent valables parce que la signature globale F a été
conservée.
Compiler la configuration matérielle migrée

Si, après la migration suivie de la compilation de la configuration matérielle, vous recevez un
message d'erreur signalant que l'adresse source F ne correspond pas au paramètre "Central F-
source address" de la CPU F, vous devez modifier le paramètre "Central F-source address".
Les adresses source F de toutes les périphéries F affectées à la CPU F sont alors réattribuées.

Si, après la migration d'un SM 326; DI 24 x DC 24V (6ES7 326-1BK01-0AB0 et

6ES7 326-1BK02-0AB0) suivie d'une compilation de la configuration matérielle, vous recevez
le message d'erreur "F_IParam_ID_1 : Valeur hors de la plage autorisée", retirez le SM F et
enfichez-le à nouveau.
Dans les deux cas, une compilation du programme de sécurité est ensuite nécessaire.
Compiler le programme de sécurité migré

La compilation du projet migré avec STEP 7 Safety Advanced convertit l'ancienne structure de
programme (avec F-CALL) à la nouvelle structure de STEP 7 Safety Advanced (avec Main
Safety Block). Cela modifie la signature globale F et le programme de sécurité doit être validé
et à nouveau réceptionné le cas échéant.
(S7-300, S7-400) Vous devez appeler le Main Safety Block conformément au F-CALL dans un
bloc quelconque du programme utilisateur standard. Nous recommandons que l'appel se
fasse dans un OB 3x.
Remarque
Lors de la première compilation du programme de sécurité migré, l'appel du F-CALL est
automatiquement remplacé par un appel du Main Safety Block si le bloc appelant du F-CALL a
été créé avec le langage de programmation CONT, LOG ou LIST.
Remarque
Changement de version du système Safety
Avant la première compilation avec STEP 7 Safety Advanced, vous devez changer la version
du système Safety en une version différente de 1.0 dans la section "Settings" de l'éditeur
Safety Administration Editor. Nous recommandons l'utilisation de la version la plus élevée
disponible.
Remarque
Utilisation de la dernière version des instructions
Si vous voulez étendre le programme de sécurité migré, nous vous conseillons de convertir la
version des instructions utilisées à la version disponible la plus récente avant la première
compilation avec STEP 7 Safety Advanced. Tenez compte des remarques sur les versions de
l'instruction concernée.
Remarque
Notez que la compilation du programme de sécurité migré entraîne un allongement du
temps d'exécution du ou des groupes d'exécution F ainsi qu'une augmentation de la mémoire
de travail requise pour le programme de sécurité (voir également le fichier Excel de calcul des
temps de réaction (https://support.industry.siemens.com/cs/ww/fr/view/109783831)).
Voir aussi
Exemple d'application "Migration d'un programme de sécurité vers TIA Portal"
(https://support.industry.siemens.com/cs/ww/fr/view/109475826)

1.7 Migrer des programmes API sur une CPU F S7-1500
1.7 Migrer des programmes API sur une CPU F S7-1500

Procédez pour la migration d'une CPU F S7-300/400 sur une CPU F S7-1500 comme pour la
migration d'une CPU standard S7-300/400 sur une CPU standard S7-1500.
Tenez compte des points suivants après la migration :
• Actions non automatisables :
– Création d'un groupe d'exécution F et affectation du Main Safety Block
– La configuration matérielle, périphérie comprise, de la CPU F d'origine n'est pas
transférée automatiquement sur une CPU F S7-1500. Procédez manuellement à la
configuration matérielle de la nouvelle CPU une fois la migration effectuée.
Tenez également compte des paragraphes "Définir la plage d'adresses cible F pour la
périphérie F de type d'adresse PROFIsafe 1" et "Définir la plage d'adresses cible F pour la
périphérie F de type d'adresse PROFIsafe 2" sous "Configurer la CPU F (Page 47)". Il
pourrait sinon y avoir une réaffectation des adresses cible F dans la configuration.
– Lors de l'utilisation d'une périphérie F avec la version de protocole PROFIsafe "Expanded
Protocol (XP)" (par exemple, modules F S7-1500/ET 200MP), n'oubliez pas que les CPU
F S7-1200/1500 ont besoin d'un octet de plus dans la plage d'adresses que les CPU F
S7-300/400.
– Remplacement de l'instruction OV par connexion de la sortie ENO pour les fonctions
mathématiques (Page 518)
– Remplacement de l'instruction RD_FDB par les instructions RD_ARRAY_I (Page 537) et
RD_ARRAY_DI (Page 540)
– Remplacement de la communication entre groupes d'exécution F par la
communication via Flexible F-Link (Page 144)
• Instructions non prises en charge :
– MUTING
– TWO_HAND
– WR_FDB
– OPN
– SENDS7
– RCVS7
• Types de données non pris en charge :
– DWORD

1.8 Mise à niveau de projets vers STEP 7 Safety V18
• Programmation modifiée du programme de sécurité :

– Remplacement de F_GLOBDB.VKE0/1 par FALSE/TRUE (Page 117)
– Remplacement des valeurs lisibles de F_GLOBDB par le DB d'informations sur le groupe
d'exécution F. Vous trouverez plus d'informations sous DB global F (S7-300, S7-400)
(Page 152) et DB d'informations sur le groupe d'exécution F (S7-1200, S7-1500)
(Page 152).
– Remplacement de la variable QBAD_I_xx ou QBAD_O_xx par l'état de la valeur. Vous
trouverez plus d'informations sous État de la valeur (S7-1200, S7-1500) (Page 157) et
DB de périphérie F (Page 162).
• Nouvelle convention pour nommer les DB de périphérie F
• Comportement modifié des variables QBAD et PASS_OUT (Page 169) pour la périphérie F
avec profil "RIOforFA-Safety"
Compilez le programme de sécurité et corrigez les erreurs de compilation éventuellement
signalées.
Remarque
Une nouvelle réception est nécessaire après la migration de la CPU F.
Voir aussi
Programmation (Page 108)
1.8.1 Mise à niveau de projets de STEP 7 Safety à partir de V14 SP1 vers V18
Si vous voulez travailler avec un projet de STEP 7 Safety à partir de V14 SP1, vous devez le
mettre à niveau vers STEP 7 Safety V18.
Procédez pour la mise à niveau comme il est d'usage dans STEP 7. Après la mise à niveau vers
V18, vous devez compiler votre programme de sécurité.
Lorsque vous avez mis à niveau un projet <= V17 vers V18 et l'avez compilé, la signature
globale F reste identique mais la comparaison de versions des programmes en ligne et hors
ligne indique une modification. Procédez ici comme décrit au chapitre "Équivalence des
programmes en ligne et hors ligne (Page 376)".
Tenez compte du fait que les éventuels historiques de modifications ne sont pas mis à niveau.
Toutes les entrées antérieures sont effacées après la mise à niveau. Si nécessaire, imprimez le
journal des modifications avant la mise à niveau.

1.8.2 Mise à niveau de projets de STEP 7 Safety V13 SP1/SP2 vers V18
Si vous voulez travailler avec un projet de STEP 7 Safety V13 SP1, vous devez le mettre à
niveau vers STEP 7 Safety V18.
Procédez pour la mise à niveau comme il est d'usage dans STEP 7. Après la mise à niveau vers
V18, vous devez compiler votre programme de sécurité.
S7-300/400 : après la compilation, votre programme de sécurité est cohérent et la signature
globale F du programme de sécurité mis à niveau correspond à la signature globale F du
programme de sécurité V13 SP1. Aucune réception des modifications n'est nécessaire.
S7-1200/1500 : après la compilation, votre programme de sécurité est cohérent et la
signature globale F du programme de sécurité mis à niveau a changé du fait du système. La
nouvelle signature globale F du programme de sécurité avec STEP 7 Safety V18 remplace la
signature globale F précédente du programme de sécurité avec STEP 7 Safety V13 SP1.
Une vue d'ensemble de toutes les modifications liées au système est disponible sous
"Common data/Logs/F-convert log+nom-CPU+horodatage". Notamment, les versions
d'instructions qui ne sont plus prises en charge ont été remplacées automatiquement dans
STEP 7 Safety V18 par de nouvelles versions identiques sur le plan fonctionnel. La vue
d'ensemble contient une comparaison entre les anciennes signatures avec STEP 7 Safety V13
SP1 et les nouvelles signatures avec STEP 7 Safety V18 et affiche les versions d'instructions
converties automatiquement. Imprimez la vue d'ensemble et conservez-la avec vos
documents de réception ou la documentation de vos machines. Une réception des
modifications n'est pas nécessaire puisque la "signature globale F avec STEP 7 Safety V13 SP1"
dans la vue d'ensemble concorde avec la signature globale F figurant dans vos documents de
réception antérieurs.
Tenez compte du fait que les éventuels historiques de modifications ne sont pas mis à niveau.
Toutes les entrées antérieures sont effacées après la mise à niveau. Si nécessaire, imprimez le
journal des modifications avant la mise à niveau.
Particularités pour l'acquittement utilisateur et la réintégration de la périphérie F après des

erreurs de périphérie F/de voie avec PASS_ON = 1 (S7-1200, S7-1500)
La remarque ci-dessous concerne les périphéries F suivantes :
• Modules de sécurité ET 200pro
• Modules de sécurité ET 200iSP
Tenez compte du comportement modifié de l'acquittement utilisateur et de la réintégration
pour la configuration "Réaction aux erreurs de voie" = "Passivation de la voie" avec la variable
ACK_NEC (DB de périphérie F) = 1. Le comportement a été aligné sur le comportement pour
la configuration "Réaction aux erreurs de voie" = "Passivation de tout le module".
À partir de STEP 7 Safety V14, un acquittement utilisateur d'une erreur de périphérie F/de voie
corrigée est également possible lorsque la variable PASS_ON (DB de périphérie F) est égale
à 1. Une réintégration (mise à disposition des valeurs de processus) est réalisée dès que la
variable PASS_ON prend la valeur 0.

Jusqu'à STEP 7 Safety V13 SP1, un acquittement utilisateur d'une erreur de périphérie F/de
voie corrigée n'était pas possible tant que la variable PASS_ON (DB de périphérie F) était
égale à 1. Un acquittement utilisateur n'était possible qu'une fois la variable PASS_ON égale
à 0. La réintégration (mise à disposition des valeurs de processus) avait lieu immédiatement
après l'acquittement utilisateur.
Particularités en cas d'utilisation de profils d'instruction

Si vous utilisez un profil d'instruction dans votre projet de STEP 7 Safety V13 SP1, vous devez
supprimer ce profil d'instruction avant la mise à niveau vers STEP 7 Safety V18. Notez vos
paramétrages avant la suppression. Après la mise à niveau, créez un nouveau profil
d'instruction si nécessaire et reportez-y, le cas échéant, les paramétrages que vous avez
notés. Notez que certaines versions d'instructions ne sont plus prises en charge sous STEP 7
Safety V18. Vous trouverez plus d'informations sur les versions d'instruction prises en charge
dans la description de chaque instruction.
1.8.3 Mettre à niveau des projets de version STEP 7 Safety antérieure à V13 SP1
Si vous voulez mettre à niveau un projet antérieur à STEP 7 Safety V13 SP1 vers STEP 7
Safety V18, vous devez mettre le projet à niveau avec une étape intermédiaire vers STEP 7
Safety V13 SP1, comme pour le standard.
La signature du programme de sécurité ne change pas après sa mise à niveau à STEP 7 Safety
V13 SP1. Aucune réception des modifications n'est donc nécessaire.
Procédez pour la mise à niveau comme il est d'usage dans STEP 7 Professional.

Tenez compte de la remarque suivante lors de la mise à niveau d'un projet créé avec STEP 7
Safety Advanced V11 :
Remarque
Des adaptations sont nécessaires avant l'utilisation d'un projet mis à niveau à partir de STEP 7
Safety Advanced V11 :
Il existait un avertissement produit pour STEP 7 Safety Advanced V11 concernant la définition
des paramètres "Comportement de discordance" et "Réintégration après erreur de
discordance" pour les modules d'entrées/sorties TOR de sécurité 4F-DI/3F-DO DC24V/2A
(6ES7138-4FC01-0AB0, 6ES7138-4FC00-0AB0). Dans certaines combinaisons, l'affichage de
ces paramètres pouvait être faussé.
Conformément aux instructions données dans cet avertissement produit, vous avez configuré
les paramètres concernés au moyen d'une table de conversion de manière telle qu'ils
s'affichent de manière erronée dans l'impression de sécurité et la configuration matérielle
afin qu'ils opèrent correctement dans le module F. Vous avez en outre corrigé l'impression de
sécurité pour documenter le comportement effectif des modules F.
Procédez comme suit pour annuler cette manipulation :
1. Compilez le programme mis à niveau avec STEP 7 Safety Advanced V13 SP1. Un message
d'erreur s'affiche pour chaque module F dont vous avez corrigé les paramètres dans STEP 7
Safety Advanced V11 : "Le CRC (F_Par_CRC) du module (xxx) ne correspond pas à la valeur
calculée (yyy)."
2. Adaptez le paramétrage sur la base de vos corrections dans l'impression de sécurité pour
chaque module F pour lequel ce message d'erreur s'affiche.
3. Procédez ainsi pour chaque CPU F, puis compilez le programme de sécurité.
4. Toutes les corrections nécessaires ont bien été apportées si la signature globale F après la
compilation correspond à la signature globale F sur l'impression de sécurité.

Utilisation de CP
Aucune attribution automatique univoque de l'adresse cible F n'avait lieu pour les périphéries
F exploitées en aval d'un CP 443-5 Extended, CP 443-1 ou CP 443-1 Advanced-IT.
Cela vous est signalé dès que vous compilez le matériel pour un projet avec de telles
périphéries F dans STEP 7 Safety Advanced V13 SP1. Vous devez alors réaffecter de nouvelles
adresses cible F uniques aux périphéries F concernées. Vous trouverez plus d'informations
sous Adresses PROFIsafe pour la périphérie F de type d'adresse PROFIsafe 1 (Page 67),
Adresses PROFIsafe pour la périphérie F de type d'adresse PROFIsafe 2 (Page 69) et
Particularités lors de la configuration d'appareils DP normalisés de sécurité et de
périphériques IO normalisés de sécurité (Page 77).
Cette modification entraîne une modification de la signature globale F du programme de
sécurité. Comme la signature globale SW F est inchangée, cela indique que le programme de
sécurité est resté inchangé. La signature globale HW F modifiée signale que la configuration
matérielle de sécurité a changé. Vous pouvez maintenant établir que ce sont uniquement les
adresses cible F modifiées qui ont entraîné cette modification :
• La signature de paramètre F (sans adresse) est inchangée pour chaque périphérie F
modifiée.
• Lorsque le filtre "Compare only F-blocks relevant for certification" est activé dans l'éditeur
de comparaison, seuls les DB de périphérie F affectés du programme de sécurité sont
listés.
Noms modifiés des DB de périphérie F

Avant STEP 7 Safety V13 SP1, il était possible de modifier le nom d'un DB de périphérie F.
Cette modification entraîne une signature globale F modifiée lors de la mise à niveau.
Procédez comme suit si une signature globale F modifiée est indésirable lors de la mise à
niveau :
1. Sous STEP 7 Safety V13, redonnez aux DB de périphérie F leur nom d'origine.
2. Compilez le programme de sécurité.
La signature globale F change.
3. Procédez à une comparaison hors ligne/hors ligne entre le programme mis à niveau et le
programme compilé à l'étape 2.
4. Générez une impression de comparaison (Page 331) (sous forme électronique ou papier).
L'impression de comparaison vous sert à prouver que vous avez uniquement modifié les
noms des DB de périphérie F.
5. Mettez le programme de sécurité à niveau à la version STEP 7 Safety V13 SP1. Après la mise
à niveau, le programme de sécurité a la signature globale F de l'étape 2.

1.9 Mise en route
1.9 Mise en route
Mise en route avec SIMATIC Safety

Trois documentations de mise en route (Getting Started) vous offrent une introduction rapide
à SIMATIC Safety.
Une telle documentation est un guide qui décrit pas à pas comment créer un projet avec
SIMATIC Safety. Elle vous permet de vous familiariser rapidement avec les fonctionnalités de
SIMATIC Safety.
Contenus
La documentation Getting Started décrit la création d'un projet de bout en bout, auquel
chaque chapitre vient contribuer. Vous partez de la configuration et vous programmez une
coupure de sécurité, vous modifiez la programmation et vous réceptionnez l'installation.
Outre les instructions pas à pas, la documentation Getting Started fournit des informations
générales succinctes sur chaque nouveau thème afin d'expliquer les fonctions utilisées plus
en détails et de montrer les corrélations.
Groupe cible
La documentation Getting Started s'adresse aux débutants, mais convient également aux
anciens utilisateurs de S7 Distributed Safety.
Téléchargement
Trois documentations Getting Started sont disponibles au téléchargement gratuit sous forme
de fichiers PDF sur le site Industry Online Support :
• STEP 7 Safety Advanced V11 avec les CPU F S7-300/400
(http://support.automation.siemens.com/WW/view/en/49972838)
• STEP 7 Safety Basic V13 SP1 avec les CPU F S7-1200
(http://support.automation.siemens.com/WW/view/en/34612486/133300) (partie du
manuel "Manuel de sécurité fonctionnelle S7-1200")
• STEP 7 Safety Advanced V13 avec les CPU F S7-1500
(http://support.automation.siemens.com/WW/view/en/101177693)

Configuration 2
2.1 Vue d'ensemble de la configuration
Introduction
Vous configurez un système F SIMATIC Safety fondamentalement de la même manière qu'un
système d'automatisation standard S7-300, S7-400, S7-1200, S7-1500 ou ET 200MP,
ET 200SP, ET 200AL, ET 200S, ET 200iSP, ET 200eco, ET 200eco PN ou ET 200pro dans
STEP 7.
Vous ne trouverez par conséquent ici que les principales différences entre la configuration
d'un système F SIMATIC Safety et la configuration standard.
Cette documentation distingue entre deux groupes de périphérie F :
Périphérie F de type d'adresse PROFIsafe 1

Périphérie F pour laquelle l'unicité de l'adresse PROFIsafe est assurée uniquement par
l'adresse cible F, par exemple modules F ET 200S. Vous affectez généralement l'adresse
PROFIsafe par des commutateurs DIP.

Périphérie F pour laquelle l'unicité de l'adresse PROFIsafe est assurée par combinaison de
l'adresse source F et de l'adresse cible F, par exemple modules F S7-1500/ET 200MP. Vous
affectez généralement l'adresse PROFIsafe avec STEP 7 Safety.
Quels composants F pouvez-vous configurer avec STEP 7 Safety ?

Le tableau suivant montre quelles CPU F vous pouvez configurer avec STEP 7 Safety Basic et
quelles CPU F avec STEP 7 Safety Advanced :
CPU F STEP 7 Safety Basic STEP 7 Safety Advanced

S7-300 — x
S7-400 — x
S7-1200 x x
S7-1500(H) — x
SIMATIC Drive Controller — x
WinAC RTX F — x
Contrôleur logiciel S7-1500 F — x

Configuration
Le tableau suivant montre quelles périphéries F vous pouvez configurer avec

STEP 7 Safety Basic et quelles périphéries F avec STEP 7 Safety Advanced, ainsi que le type
d'adresse PROFIsafe pris en charge :
Périphérie F STEP 7 Safety Basic STEP 7 Safety Advanced Type d'adresse PROFIsafe
SM F S7-300 x** x** 1
Modules F ET 200S x x 1
Modules F ET 200pro x x 1
Modules F ET 200iSP x x 1
Modules de périphérie F ET 200eco — avec CPU F S7-300/400 1
DP (uniquement mode
PROFIsafe V1)
Modules de périphérie F ET 200eco x x 2
PN
Modules F S7-1200 x x 2
(en mode centralisé sur CPU F
S7-1200)
Modules F ET 200SP x x 2
Modules F S7-1500/ET 200MP x x 2
Modules F ET 200AL x x 2
Appareils DP normalisés de sécuri- x x *
té
Périphériques IO normalisés de x x *
sécurité
* Pour déterminer le type d'adresse PROFIsafe d'un appareil DP normalisé/périphérique IO normalisé, consultez la documen-
tation correspondante. En cas de doute, partez du principe qu'il s'agit du type d'adresse PROFIsafe 1.
** Les SM F qui prennent uniquement en charge le mode PROFIsafe V1 ne sont utilisables que sur des CPU F S7-300/400.

Configuration
Exemple : système F configuré dans STEP 7 Professional

La figure suivante représente un système F configuré. Vous sélectionnez les composants de
sécurité, comme pour le système standard, dans la Task Card "Catalogue du matériel" et vous
les placez dans l'espace de travail de la vue du réseau ou des appareils. Les composants F sont
représentés en jaune.
Informations supplémentaires
Vous trouverez des informations précises sur la périphérie F dans le manuel de la périphérie F
concernée.

Configuration
2.2 Particularités lors de la configuration du système F
Quelles options de communication de sécurité pouvez-vous configurer ?

Vous devez procéder à des configurations dans l'éditeur de matériel et de réseaux pour les
options de communication de sécurité suivantes (voir Configurer et programmer la
communication (S7-300, S7-400) (Page 196) ou Configurer et programmer la communication
(S7-1200, S7-1500) (Page 254)) :
• Communication avec Flexible F-Link (Page 289)
• Communication maître-maître de sécurité
• Communication maître-maître de sécurité pour S7 Distributed Safety
• Communication maître-esclave I de sécurité
• Communication esclave I-esclave I de sécurité
• Communication esclave I-esclave de sécurité
• Communication contrôleur IO-contrôleur IO de sécurité
• Communication contrôleur IO-contrôleur IO pour S7 Distributed Safety
• Communication contrôleur IO-périphérique I de sécurité
• Communication contrôleur IO-esclave I de sécurité
• Communication de sécurité via des liaisons S7
• Communication de sécurité via des liaisons S7 pour S7 Distributed Safety ou S7 F Systems
2.2 Particularités lors de la configuration du système F
Configuration comme dans le système standard

Vous configurez un système F SIMATIC Safety comme un système standard S7. Cela signifie
que vous configurez et paramétrez le matériel dans l'éditeur de matériel et de réseaux
comme configuration centralisée (CPU F et le cas échéant périphérie F, par exemple CPU
1516F-3 PN/DP et modules F S7-1500/ET 200MP) et/ou comme configuration décentralisée
(CPU F, SM F dans ET 200M, modules F ET 200MP, ET 200SP, ET 200AL, ET 200S, ET 200pro,
ET 200iSP, ET 200eco, ET 200eco PN, appareils DP normalisés de sécurité et/ou périphériques
IO normalisés de sécurité).
Paramètres F spécifiques
Il existe pour la fonctionnalité F des paramètres F spécifiques que vous pouvez examiner et
définir dans les propriétés des composants de sécurité (CPU F et périphérie F). Les paramètres
F sont marqués en jaune.
Les paramètres F sont expliqués sous "Configurer la CPU F (Page 47)" et "Configurer la
périphérie F (Page 53)".

Configuration
2.3 Configurer la CPU F
Compilation de la configuration matérielle

Vous devez compiler la configuration matérielle du système F SIMATIC Safety (menu
contextuel "Compiler > Matériel"). Une CPU F configurée avec fonctionnalité F activée est la
seule condition requise pour la programmation du programme de sécurité.
Remarque
D'éventuelles incohérences sont admises lors de la configuration matérielle et peuvent même
être enregistrées. Un contrôle de cohérence complet de la configuration matérielle et des
données de liaison éventuelles n'a lieu que lors de la compilation. Il est donc recommandé
d'exécuter régulièrement la commande "Édition > Compiler".
Modification des paramètres de sécurité
Remarque
Si vous modifiez un paramètre de sécurité (en jaune) pour une périphérie F ou une CPU F,
vous devez compiler la configuration matérielle modifiée et Compiler le programme de
sécurité (Page 299) (menu contextuel "Compiler > Matériel et logiciel (uniquement
modifications)") et les charger. Cela vaut également pour des modifications de la périphérie F
qui n'est pas utilisée dans le programme de sécurité. Cela ne concerne pas la périphérie F en
mode standard.
Introduction
Vous configurez la CPU F essentiellement comme pour un système d'automatisation
standard.
Les CPU F sont toujours configurables dans STEP 7, qu'une licence pour STEP 7 Safety soit ou
non installée. Sans licence STEP 7 Safety installée, la CPU F ne peut être mise en œuvre que
comme CPU standard.
Si une licence STEP 7 Safety est installée, vous pouvez activer ou désactiver la fonctionnalité F
pour la CPU F.
La fonctionnalité F de la CPU F doit être activée si vous voulez utiliser la périphérie F en mode
de sécurité ou la communication de sécurité.
La fonctionnalité F est activée par défaut lorsqu'une licence pour STEP 7 Safety est installée.

Configuration
Activer/désactiver la fonctionnalité F
Procédez comme suit pour modifier le paramétrage de la fonctionnalité F :
1. Sélectionnez la CPU F dans la vue des appareils ou du réseau et ouvrez l'onglet "Propriétés"
dans la fenêtre d'inspection.
2. Sélectionnez "Fail-safe" dans la navigation locale.
3. Activez ou désactivez la fonctionnalité F à l'aide du bouton correspondant.
4. Si vous voulez désactiver la fonctionnalité F, confirmez votre choix par "Oui" dans la boîte de
dialogue "Disable F-activation".
Désactiver la fonctionnalité F en présence d'un programme de sécurité

Tenez compte des points suivants si vous désactivez la fonctionnalité F d'une CPU F parce que
vous voulez utiliser cette CPU F comme CPU standard alors qu'il existe un programme de
sécurité :
• Vous avez besoin du mot de passe pour le programme de sécurité s'il a été défini.
• L'éditeur Safety Administration Editor (Page 80) est supprimé du navigateur de projet.
• Les OB F sont supprimés. (S7-1200, S7-1500)
• Tous les blocs F sont supprimés.
• Vous ne pouvez plus mettre en œuvre de périphérie F en mode de sécurité avec cette
CPU F.
Configurer les paramètres F de la CPU F

Vous pouvez modifier les paramètres suivants ou appliquer les valeurs par défaut dans
l'onglet "Properties" de la CPU F :
• Plage d'adresses cible F
– Low limit for F-destination addresses (limite inférieure des adresses cible F)
– High limit for F-destination addresses (limite supérieure des adresses cible F)
• Temps de surveillance F par défaut pour la périphérie F centralisée ou décentralisée sur la
CPU F
(pour les CPU HF, uniquement le temps de surveillance F par défaut pour la périphérie F
décentralisée)
Remarque
Une modification du temps de surveillance F pour la périphérie F centralisée ou
décentralisée sur la CPU F entraîne la modification du programme de sécurité après une
nouvelle compilation, ce qui peut rendre une nouvelle réception nécessaire.

Configuration
Définir la plage d'adresses cible F pour la périphérie F de type d'adresse PROFIsafe 1

Les paramètres "Low limit for F-destination addresses" et "High limit for F-destination
addresses" permettent de définir pour cette CPU F une plage dans laquelle l'adresse cible F
d'une nouvelle périphérie F enfichée de type d'adresse PROFIsafe 1 (Page 67) est
automatiquement attribuée. Une adresse cible F qui n'est pas encore dans la plage d'adresses
cible F est également réattribuée si vous réaffectez un esclave DP/un périphérique IO à la CPU
F, activez l'activation F de la CPU F ou modifiez l'adresse logique de ce module F.
L'adresse cible F est attribuée par ordre croissant à partir de la limite inférieure "Low limit for
F-destination addresses". Si aucune adresse cible F n'est libre dans la plage d'adresses cible F,
l'adresse cible F libre suivante en dehors de la plage d'adresses cible F est attribuée et un
avertissement est émis à la compilation.
L'adresse cible F maximale possible est égale à 1022 pour les modules F ET 200S, ET 200eco,
ET 200pro, ET 200iSP et les SM F S7-300.
Les adresses cible F pour la périphérie F de type d'adresse PROFIsafe 1 doivent être uniques à
l'échelle du réseau et de la CPU.
En choisissant des plages d'adresses cible F différentes pour différentes CPU F, vous pouvez
définir des plages différentes pour l'attribution automatique de l'adresse cible F. Cela peut
être utile si plusieurs CPU F sont exploitées dans un réseau. Des modifications manuelles
ultérieures des adresses sont possibles (voir aussi Recommandation relative à l'affectation des
adresses PROFIsafe (Page 64)).
Exemple :
Vous avez paramétré la plage des adresses cible F comme suit :
• Limite inférieure "Low limit for F-destination addresses" = 100
• Limite supérieure "High limit for F-destination addresses" = 199
L'adresse cible F 100 est attribuée lors de l'enfichage de la première périphérie F de type
d'adresse PROFIsafe 1. L'adresse cible F 101 est attribuée lors de l'enfichage d'une autre
périphérie F de type d'adresse PROFIsafe 1.
Remarque
Les paramètres "Low limit for F-destination addresses" et "High limit for F-destination
addresses" n'ont pas d'influence sur la périphérie F suivante :
• SM 326, DI 8 x NAMUR (à partir du numéro d'article 6ES7326-1RF00-0AB0)
• SM 326, DO 10 x DC 24V/2A (numéro d'article 6ES7326-2BF01-0AB0)
• SM 336, AI 6 x 13 bits (numéro d'article 6ES7336-1HE00-0AB0)

Configuration
Définir la plage d'adresses cible F pour la périphérie F de type d'adresse PROFIsafe 2

L'adresse cible F d'une périphérie F de type d'adresse PROFIsafe 2 (Page 69) est attribuée
automatiquement pour chaque CPU F par ordre décroissant à partir de 65534. La limite
inférieure est la valeur définie par le paramètre "High limit for F-destination addresses" (pour
la périphérie F de type d'adresse PROFIsafe 1) + 1.
Lorsque la valeur définie par le paramètre "High limit for F-destination addresses" est atteinte,
un avertissement est émis lors de la compilation (voir aussi Recommandation relative à
l'affectation des adresses PROFIsafe (Page 64)).
Définir l'adresse source F pour la périphérie F de type d'adresse PROFIsafe 2

Le paramètre "Central F-source address" permet de définir l'adresse source F pour une
périphérie F de type d'adresse PROFIsafe 2 (Page 69) qui est affectée à cette CPU F. L'adresse
source F doit être unique à l'échelle du réseau (voir aussi Recommandation relative à
l'affectation des adresses PROFIsafe (Page 64)).
Remarque
Une modification du paramètre "Central F-source address" entraîne la modification du
programme de sécurité après une nouvelle compilation. Cela peut rendre une nouvelle
réception nécessaire, car il s'ensuit une modification centralisée des adresses source F de
toutes les périphéries F de type d'adresse 2.
Paramètre "Temps de surveillance F par défaut"

Vous configurez le temps de surveillance F par défaut pour la surveillance de la
communication entre la CPU F et la périphérie F.
Vous pouvez configurer le temps de surveillance F au moyen des paramètres suivants :
• "Default F-monitoring time for central F-I/O" (temps de surveillance F par défaut pour la
périphérie F centralisée)
• "Default F-monitoring time for F-I/O of this interface" (temps de surveillance F par défaut
pour la périphérie F de cette interface)
Le temps de surveillance Default F-monitoring time for central F-I/O influe sur la périphérie
F en montage centralisé, c'est-à-dire la périphérie enfichée à droite de la CPU F. Vous
définissez ce paramètre dans les propriétés de la CPU F (sélectionner la CPU F, puis "Properties
> Fail-safe > F-parameters").
Le temps de surveillance Default F-monitoring time for F-I/O of this interface influe sur la
périphérie F qui est affectée à cette interface de la CPU F (PROFIBUS ou PROFINET). Vous
modifiez ce paramètre dans les propriétés de l'interface correspondante (sélectionner
l'interface dans l'onglet "Device overview", puis "F-parameters").
Les différentes possibilités de paramétrage vous permettent d'adapter le temps de
surveillance F de manière souple aux conditions de votre système F, par exemple de tenir
compte de cycles de bus différents.

Configuration
Vous pouvez aussi personnaliser le temps de surveillance F pour chaque périphérie F dans les
propriétés de la périphérie F (voir Configurer la périphérie F (Page 53) ou Particularités lors de
la configuration d'appareils DP normalisés de sécurité et de périphériques IO normalisés de
sécurité (Page 77)).
Remarque
Une modification du temps de surveillance F pour la périphérie F centralisée ou décentralisée
sur la CPU F entraîne la modification du programme de sécurité après une nouvelle
compilation, ce qui peut rendre une nouvelle réception nécessaire.
Remarque
La valeur par défaut du "Temps de surveillance F par défaut pour la périphérie F" pour un
système HF est de 2300 ms et est conçue pour un anneau MRP. Pour une topologie linéaire,
vous pouvez régler un "Temps de surveillance F par défaut pour la périphérie F" environ 2 fois
plus petit. Vous pouvez déterminer la taille exacte comme décrit au chapitre "Temps de
surveillance et de réaction (Page 602)". Vous pouvez régler cette valeur dans les propriétés de
la CPU F (sélection de la CPU F, puis "Propriétés > Fail-safe > F-Parameters > Interface
PROFINET [X1]")
ATTENTION
La détection et la transmission au récepteur d'un état de signal à transmettre ne sont alors

garanties (de manière sûre) que lorsque la durée du signal est égale ou supérieure au temps
de surveillance paramétré. (S018)
Vous trouverez plus d'informations sous Temps de surveillance et de réaction (Page 602).
Créer le programme de sécurité automatiquement

Le programme de sécurité d'une CPU F comprend un ou deux groupes d'exécution F qui
contiennent les blocs F (voir aussi Définir des groupes d'exécution F (Page 131)). Un
programme de sécurité avec un groupe d'exécution F est généré automatiquement lors de
l'insertion de la CPU F (avec fonctionnalité F activée) dans l'espace de travail de la vue des
appareils ou du réseau.
Vous pouvez décider dans STEP 7 Safety qu'aucun groupe d'exécution F ne sera créé lors de
l'insertion de la CPU F (avec fonctionnalité F activée).
Pour cela, procédez comme suit :
1. Sélectionnez la commande de menu "Outils > Paramètres".
2. Sélectionnez la zone "STEP 7 Safety".
3. Si elle ne l'est pas déjà, désactivez la génération automatique d'un groupe d'exécution F en
décochant l'option "Generate default fail-safe program".
Cette modification n'a pas d'effet sur les programmes de sécurité existants, mais définit
uniquement si un groupe d'exécution F sera généré automatiquement pour les nouvelles CPU
F qui seront insérées ultérieurement.

Configuration
Configurer le niveau de protection de la CPU F
ATTENTION
(S7-300, S7-400) En mode production, l'accès avec le mot de passe de la CPU ne doit pas
être autorisé lors de modifications du programme utilisateur standard, car cela permettrait
également de modifier le programme de sécurité. Pour exclure ce risque, vous devez
configurer le niveau de protection "Write protection for fail-safe blocks" et définir un mot de
passe pour la CPU F. Si une seule personne est autorisée à modifier le programme utilisateur
standard et le programme de sécurité, il est nécessaire de configurer le niveau de protection
"Write protection" ou "Read/write protection" afin de restreindre ou d'interdire aux autres
personnes l'accès au programme utilisateur entier (programme standard et programme de
sécurité). (S001)
ATTENTION
(S7-1200, S7-1500) En mode production, les données du projet de sécurité doivent être
protégées par un mot de passe. Pour cela, configurez au moins le niveau de protection "Full
access (no protection)" et définissez un mot de passe sous "Full access incl. fail-safe (no
protection)". Ce niveau de protection permet l'accès complet uniquement aux données
standard du projet mais pas aux blocs F.
Si vous sélectionnez un niveau de protection supérieur, par exemple pour protéger les
données standard du projet, vous devez définir un mot de passe supplémentaire pour "Full
access (no protection)".
Attribuez des mots de passe différents aux différents niveaux de protection. (S041)
Pour la configuration du niveau de protection, procédez comme pour les CPU standard.
Vous trouverez des informations sur le mot de passe de la CPU F sous Protection d'accès
(Page 99). Tenez notamment compte des avertissements sous Protection d'accès pour la CPU
F (Page 103).

Configuration
2.4 Configurer la périphérie F
Introduction
Vous configurez les modules F S7-1500/ET 200MP, ET 200SP, ET 200AL, ET 200S, ET 200eco
(S7-300, S7-400), ET 200eco PN, ET 200pro, ET 200iSP, les SM F S7-300 et les modules
F S7-1200 comme vous en avez l'habitude dans STEP 7.
Une fois que vous avez inséré la périphérie F dans l'espace de travail de la vue des appareils
ou du réseau, vous accédez aux boîtes de dialogue de configuration en sélectionnant la
périphérie F concernée et l'onglet "Properties".
Remarque
Une modification du paramétrage entraîne la modification du programme de sécurité après
une nouvelle compilation, ce qui peut rendre une nouvelle réception nécessaire.
L'utilisation décentralisée des modules F ET 200SP est possible avec :

• IM 155-6 PN ST à partir du firmware V1.1
• IM 155-6 PN HF
• IM 155-6 PN/2 HF à partir du firmware V4.2
• IM 155-6 PN/3 HF à partir du firmware V4.2
• IM 155-6 MF HF
• IM 155-6 PN HS
• IM 155-6 DP HF
• IM 155-6 PN R1
Pour savoir si le fonctionnement avec R1 est pris en charge pour un module F ET 200SP,
voir sur Internet. (https://support.industry.siemens.com/cs/ww/fr/view/73021864)
L'utilisation des modules F S7-1500/ET 200MP est possible en configuration décentralisée
avec :
• IM 155-5 PN BA à partir du firmware V4.3
• IM 155-5 PN ST à partir du firmware V3.0
• IM 155-5 PN HF à partir du firmware V2.0
• IM 155-5 DP ST à partir du firmware V3.0
L'utilisation des modules F S7-1500/ET 200MP est possible en configuration centralisée avec
les CPU F S7-1500 à partir du firmware V1.7 et en configuration décentralisée à partir du
firmware V1.5.

Configuration
(S7-1200) Nous vous recommandons de limiter à 12 le nombre total de périphéries F utilisées

en configuration centralisée et décentralisée dans une CPU F S7-1200. Le nombre maximal de
périphéries F peut être inférieur selon le volume des données de projet.
ATTENTION
Vous devez effectuer un test de câblage (Page 341) si vous apportez des modifications qui
peuvent changer l'affectation des adresses d'entrée/sortie et du câblage.
Il peut s'agir des modifications suivantes :
• Ajout de périphéries F
• Modification de l'adresse de début de périphéries F
• Modification de l'emplacement d'enfichage de périphéries F
• Modification
– du châssis
– de l'adresse de l'appareil/du périphérique
– du sous-réseau PROFIBUS DP/PROFINET IO
– de l'adresse IP
– du nom de périphérique
(S071)
Passivation par voie après des erreurs de voie

Vous pouvez configurer le comportement de la périphérie F après des erreurs de voie, telles
que court-circuit, surcharge, erreur de discordance, rupture de fil, si la périphérie F prend ce
paramètre en charge (par exemple, pour les modules F ET 200S ou ET 200pro). Vous
configurez ce comportement dans les propriétés de la périphérie F correspondante
(paramètre "Behavior after channel fault"). Vous indiquez si l'ensemble de la périphérie F est
passivé après des erreurs de voie ou si seules la ou les voies présentant des erreurs sont
passivées.
Remarque
(S7-300, S7-400) Notez que la passivation par voie entraîne un allongement du temps
d'exécution du ou des groupes d'exécution F par rapport à la passivation de l'ensemble de la
périphérie F (voir également le fichier Excel de calcul des temps de réaction
(https://support.industry.siemens.com/cs/ww/fr/view/109783831)).

Configuration
Paramètre "Acquittement d'erreur de voie" (S7-1200, S7-1500)

Pour les périphéries F qui prennent en charge le paramètre de voie "Acquittement d'erreur de
voie" (Channel failure acknowledge) (par exemple, les modules F S7-1500/ET 200MP, les
modules F S7-1200 et les modules F ET 200AL), ce paramètre remplace la fonction de la
variable ACK_NEC du DB de périphérie F.
Si la périphérie F détecte une erreur de périphérie F, toutes les voies de la périphérie F
concernée sont passivées. Si des erreurs de voie sont détectées avec la configuration
"Passivate channel", les voies concernées sont passivées. Avec la configuration "Passivate the
entire module", toutes les voies de la périphérie F concernée sont passivées. Une fois l'erreur
de périphérie F/de voie éliminée, la périphérie F/la voie concernée est réintégrée en fonction
du paramètre "Acquittement d'erreur de voie" :
• Automatique
• Manuel
Le paramètre "Acquittement d'erreur de voie" peut être configuré individuellement pour
chaque voie en cas de passivation par voie si "Adjustable" a été configuré pour le paramètre
"Reintegration after channel fault".
ATTENTION
Le paramétrage "Channel failure acknowledge = automatic" n'est autorisé que si une

réintégration automatique est permise du point de vue de la sécurité pour le processus
concerné. (S045)
Remarque
Le paramètre "Channel failure acknowledge" a par défaut la valeur "Manual" lors de la
création du module F.
Bloc d'organisation/mémoire image du processus (S7-1200, S7-1500)

Si vous utilisez la périphérie F en mode standard, vous pouvez choisir le bloc d'organisation/la
mémoire image comme pour la périphérie standard.
Aucune sélection n'est possible si vous utilisez la périphérie F en mode de sécurité. La
mémoire image est toujours actualisée automatiquement au début ou à la fin du groupe
d'exécution F (voir chapitre Structure du programme de sécurité (S7-1200, S7-1500)
(Page 110)).
Contrairement à la périphérie F ne fonctionnant pas en mode isochrone, vous devez
sélectionner une mémoire image partielle, par exemple MIP 1, pour la périphérie F en mode
isochrone (voir "Configurer l'isochronisme (S7-1500) (Page 63)").
Modifier le nom et le numéro du DB de périphérie F

Vous trouverez plus d'informations sous DB de périphérie F (Page 162).

Configuration
Personnaliser le temps de surveillance F d'une périphérie F

Vous pouvez personnaliser le temps de surveillance F sous "F-parameters" dans les propriétés
d'une périphérie F. Cela peut s'avérer nécessaire pour éviter un déclenchement des
surveillances de temps en l'absence d'erreur si la périphérie F a besoin d'un temps de
surveillance F plus long ou si une affectation au moyen du temps de surveillance F par défaut
n'est pas possible. Activez pour cela la case à cocher correspondante et attribuez un temps de
surveillance F.
Remarque
Une modification du temps de surveillance F pour la périphérie F centralisée ou décentralisée
sur la CPU F entraîne la modification du programme de sécurité après une nouvelle
compilation, ce qui peut rendre une nouvelle réception nécessaire.
ATTENTION

Vous trouverez plus d'informations sous Temps de surveillance et de réaction (Page 602).
Diagnostic groupé des modules de signaux de sécurité S7-300

Lorsque vous désactivez une voie dans les propriétés du module de signaux de sécurité, vous
désactivez également le diagnostic groupé pour cette voie.
Exception pour les CPU F S7-300/400 :
Dans les modules de signaux de sécurité S7-300 suivants :
• SM 326; DI 8 x NAMUR (à partir du numéro d'article 6ES7326-1RF00-0AB0),
• SM 326; DO 10 x DC 24V/2A (numéro d'article 6ES7326-2BF01-0AB0) et
• SM 336; AI 6 x 13Bit (numéro d'article 6ES7336-1HE00-0AB0),

Configuration
2.5 Contrôle de la configuration (traitement des options) pour la périphérie F
le paramètre "Group diagnostics" permet d'activer et de désactiver la surveillance des

messages de diagnostic spécifiques aux voies (par exemple, rupture de fil, court-circuit) que
les SM F envoient aux CPU F. Il est recommandé de désactiver le diagnostic groupé pour les
voies d'entrée ou de sortie inutilisées.
ATTENTION
(S7-300, S7-400) Pour les modules de signaux de sécurité S7-300 suivants (SM F) avec
mode de sécurité activé, le diagnostic groupé "Group diagnostics" doit être activé pour
toutes les voies connectées :
• SM 326; DI 8 x NAMUR (numéro d'article 6ES7326-1RF00-0AB0 et 6ES7326-1RF01-0AB0)
• SM 326; DO 10 x DC 24V/2A (numéro d'article 6ES7326-2BF01-0AB0)
• SM 336; AI 6 x 13 Bit (numéro d'article 6ES7336-1HE00-0AB0)
Vérifiez que le diagnostic groupé n'est réellement désactivé que pour les voies
d'entrée/sortie inutilisées sur ces SM F. (S003)
Des alarmes de diagnostic peuvent être validées en option.
Vous trouverez une description détaillée des paramètres dans l'aide relative aux propriétés
de chaque périphérie F, ainsi que dans le manuel de la périphérie F correspondant.
2.5 Contrôle de la configuration (traitement des options) pour la

périphérie F
Pour le contrôle de la configuration (traitement des options) avec la périphérie F, procédez
comme avec la périphérie standard. Vous trouverez des informations détaillées à ce sujet
sous "Contrôle de configuration (traitement des options)" dans l'aide de STEP 7.
Le paragraphe suivant décrit les conditions devant en outre être remplies pour la périphérie F.
Conditions
• Les conditions mentionnées sous "Contrôle de configuration (traitement des options)"
dans l'aide de STEP 7 sont remplies.
• La procédure décrite sous "Contrôle de configuration (traitement des options)" dans l'aide
de STEP 7 a été exécutée en traitant la périphérie F comme une périphérie standard.

Configuration
• La version du système Safety est V2.1 ou plus.

• La périphérie F pour laquelle vous utilisez le contrôle de la configuration (traitement des
options) est montée :
– en configuration décentralisée sur une CPU F S7-300/400/1200/1500
– en configuration centralisée sur une CPU F S7-1500
Les adresses PROFIsafe des périphéries F sont configurées ou affectées.
Remarque
L'affectation des adresses PROFIsafe (Page 71) n'est possible que si la configuration
maximale est effectivement réalisée.
Procédure
(S7-1200, S7-1500) Désactivez la périphérie F absente dans la variante respective (option) en
mettant la variable DISABLE (Page 168) à 1 dans le DB de périphérie F (Page 162)
correspondant. Vous éviterez ainsi le clignotement de la LED d'erreur de la CPU F et la
création d'entrées de diagnostic du programme de sécurité pour cette périphérie F. La
variable DISABLED (Page 169) du DB de périphérie F correspondant permet d'évaluer si un
module F est désactivé.
(S7-300, S7-400) Vous n'avez rien d'autre à faire pour éviter le clignotement de la LED
d'erreur de la CPU F. Il n'est pas possible d'éliminer les entrées de diagnostic.
ATTENTION
Lors de l'utilisation du contrôle de la configuration, votre configuration réelle diffère de la

configuration maximale configurée. Vous identifiez les périphéries F absentes de la variante
actuelle (option de station) comme "not available" par un enregistrement de commande.
Si une périphérie F est marquée comme inexistante alors qu'elle est éventuellement
présente dans la configuration réelle, il faut s'assurer que des valeurs de remplacement (0)
soient fournies dans le programme de sécurité pour cette périphérie F ou soient transmises
aux sorties. Mettez pour cela la variable DISABLE (S7-1200/1500) ou PASS_ON (S7-300/400)
à "1" dans le DB de périphérie F correspondant. (S077)

Configuration
2.5.1 Exemple
Introduction
L'exemple suivant vous montre comment :
• sélectionner/détecter une option de station,
• désactiver des périphéries F absentes dans une option de station (S7-1200/1500),
• prévoir votre programme de sécurité pour différentes options de station.
Sélection/détection sûre de l'option de station

Vous procédez à la sélection/détection sûre d'une option de station avec des entrées d'une
périphérie F câblées de manière fixe sur M/L+.
Par exemple, vous pouvez sélectionner jusqu'à 4 options de station avec 2 entrées d'une
périphérie F.
Option OptionSelection_Bit_0 OptionSelection_Bit_1

A 0 0
B 0 1
C 1 0
D 1 1
Lors de la détection de l'option de station, tenez compte du fait que des valeurs de
remplacement (0) sont utilisées pour les entrées de la périphérie F dans certaines situations,
par exemple au démarrage du système F ou en cas d'erreurs de périphérie F/de voie.
L'option de station présente ne peut pas être détectée dans ces situations. C'est pourquoi
vous devez aussi évaluer l'état de la valeur des entrées et n'appliquer l'option de station
qu'une seule fois après le démarrage du système F.
Définissez, pour la détection unique de l'option de station, une donnée locale statique, par
exemple OptionSelectionRuns, avec TRUE comme valeur par défaut.

Configuration
Similaires pour les options C et D.

Dès qu'une option de station a été détectée, mettez la donnée locale statique de détection
unique de l'option de station à 0 :
Remarque
Si vous effectuez la sélection/détection d'une option de station uniquement dans le
programme utilisateur standard, l'"option de station" 'est disponible uniquement comme
donnée standard non sécurisée.
Assurez-vous que cela ne provoque pas d'états dangereux.
Tenez compte des indications sous "Échange de données entre le programme utilisateur
standard et le programme de sécurité (Page 191)".

Configuration
Désactiver des périphéries F absentes dans une option de station

Si une ou plusieurs périphéries F manquent dans une option de station, vous pouvez les
désactiver pour empêcher le clignotement de la LED d'erreur de la CPU F.
Les entrées de diagnostic du programme de sécurité pour ces périphéries F sont en outre
éliminées.
Remarque
Vous devez désactiver toutes les périphéries F "optionnelles" tant que la détection de l'option
de station (pendant le démarrage du système F) n'est pas achevée (OptionSelectionRuns =
TRUE).
Prévoir un programme de sécurité pour différentes options de station

Dans l'exemple suivant, les signaux d'arrêt d'urgence de différentes machines ou parties de
l'installation sont combinés en un signal d'arrêt d'urgence groupé.
Dans l'option de station A, les machines I et III et la périphérie F correspondante avec le signal
d'arrêt d'urgence pour les machines I et III ne sont pas présentes.
Dans l'option de station B, la machine II et la périphérie F correspondante avec le signal
d'arrêt d'urgence pour la machine II ne sont pas présentes.
Des valeurs de remplacement (0) sont donc utilisées dans le programme de sécurité pour les
signaux d'arrêt d'urgence des machines respectivement absentes.

Configuration
2.6 Configurer un shared device
Pour éviter que l'arrêt d'urgence groupé ne se déclenche à cause de machines ou de signaux
d'arrêt d'urgence absents dans certaines options de station, vous pouvez inhiber l'évaluation
du signal d'arrêt d'urgence des machines absentes en tenant compte de l'option de station
présente.
2.6 Configurer un shared device

Pour configurer un shared device, procédez comme dans le système standard. La
configuration est décrite sous "Configurer un Shared device" dans l'aide de STEP 7.
Seuls les shared devices inter-projets sont pris en charge. Les shared devices internes au
projet ne sont pas pris en charge.
Adresses cible F
Référez-vous à "Recommandation relative à l'affectation des adresses PROFIsafe (Page 64)"
pour l'affectation des adresses cible F.
Voir aussi
Affecter l'adresse PROFIsafe à un module F dans un shared device inter-projet (Page 76)

Configuration
2.7 Configurer l'isochronisme (S7-1500)
2.7 Configurer l'isochronisme (S7-1500)

Vous configurez l'isochronisme pour les périphéries F prenant en charge l'isochronisme, par
exemple le sous-module "Profisafe Telgr 902" de l'entraînement SINAMICS S120 CU310-2 PN
V5.1, de la même manière que dans le système standard. La configuration est décrite sous
"Configurer le synchronisme d'horloge" dans l'aide de STEP 7.
Tenez compte des points suivants :
• Contrairement à la périphérie F ne fonctionnant pas en mode isochrone, vous devez
sélectionner une mémoire image partielle, par exemple MIP 1, pour la périphérie F en
mode isochrone.
Cette mémoire image partielle ne doit contenir que des périphéries F en mode isochrone
et pas de périphéries standard.
• L'OB d'alarme d'isochronisme à affecter doit avoir été généré au préalable comme OB F par
la définition d'un groupe d'exécution F (voir Procédure pour définir un groupe d'exécution
F (S7-1200, S7-1500) (Page 136)). Il n'est pas possible d'ajouter un OB F de classe
d'événement "Synchronous Cycle" directement lors de la configuration de l'isochronisme.
Condition
CPU F S7-1500 à partir du firmware V2.0, qui prennent en charge IRT
Connexion d'une périphérie F en mode isochrone à l'OB d'alarme d'isochronisme

Vous accédez à une périphérie F fonctionnant en mode isochrone comme à une périphérie
standard fonctionnant en mode isochrone au moyen de la mémoire image partielle
sélectionnée.
Contrairement à la périphérie standard en mode isochrone, l'actualisation de la mémoire
image partielle par le système F se fait automatiquement au début et à la fin de l'OB F (voir
Structure du programme de sécurité (S7-1200, S7-1500) (Page 110)).
Aucun appel des instructions SYNC_PI et SYNC_PO n'est nécessaire dans l'OB F.
Remarque
La périphérie F fonctionnant en mode isochrone ne garantit pas (de manière sûre) que toutes
les données d'entrée des périphéries F affectées à la mémoire image partielle sont
disponibles de manière cohérente au début du Main Safety Block ou que toutes les données
de sortie sont transmises de manière cohérente aux périphéries F, c'est-à-dire forment un
ensemble logique et temporel. La cohérence est garantie uniquement dans la périphérie F.
La cohérence sur toutes les périphéries F fonctionnant en mode isochrone de la mémoire
image partielle dépend notamment du nombre de périphéries F fonctionnant en mode
isochrone et de la taille du programme de sécurité dans l'OB d'alarme d'isochronisme.
S'il existe des exigences de cohérence correspondantes, vous devez vérifier vous-même la
cohérence des données d'entrée et de sortie, par exemple en transmettant et en évaluant
également des horodatages dans les données d'entrée et de sortie des périphéries F
fonctionnant en mode isochrone.

Configuration
2.8 Recommandation relative à l'affectation des adresses PROFIsafe
2.8 Recommandation relative à l'affectation des adresses PROFIsafe

Avant d'enficher la périphérie F, définissez pour chaque CPU F pour les adresses cible F de la
périphérie F de type d'adresse PROFIsafe 1 (Page 67) une plage d'adresses qui ne chevauche
pas les plages d'adresses des autres CPU F à l'échelle du réseau et de la CPU (à l'échelle du
système). Vous définissez la plage pour la périphérie F de type d'adresse PROFIsafe 1 avec les
paramètres "Low limit for F-destination addresses" et "High limit for F-destination addresses"
(voir aussi sous Configurer la CPU F (Page 47)).
Vous devez considérer les deux CPU F d'un système S7-1500HF redondant comme une CPU F
en ce qui concerne les adresses PROFIsafe. Le système configure donc les limites inférieure et
supérieure pour les adresses cible F ou l'adresse source F centralisée de manière identique
pour les deux CPU F.
Les adresses cible F de la périphérie F de type d'adresse PROFIsafe 2 (Page 69) ne doivent
recouper aucune plage d'adresses de la périphérie F de type d'adresse PROFIsafe 1. Les plages
des adresses cible F de la périphérie F de type d'adresse PROFIsafe 2 peuvent se chevaucher à
condition que les adresses source F se distinguent. Pour les configurations prises en charge
(Page 65), c'est le cas lorsque le paramètre "Central F-source address" a été défini
différemment pour chaque CPU F.
Affectez des adresses cible F les plus basses possibles pour la périphérie F de type d'adresse
PROFIsafe 1 et les plus hautes possibles pour la périphérie F de type d'adresse PROFIsafe 2.
Figure 2-1 Affectation d'adresses pour la périphérie F de type d'adresse PROFIsafe 1 et 2
L'impression de sécurité (Page 362) liste les informations suivantes pour chaque CPU F :
• Paramètre "Central F-source address" (adresse source F pour la périphérie F de type
d'adresse PROFIsafe 2)
• Plage effectivement utilisée d'adresses cible F de la périphérie F de type d'adresse
PROFIsafe 1 affectée
• Plage effectivement utilisée d'adresses cible F de la périphérie F de type d'adresse
PROFIsafe 2 affectée

Configuration
2.9 Configurations prises en charge par le système F SIMATIC Safety
La périphérie F configurée par communication esclave I-esclave est prise en compte dans
l'impression de sécurité au niveau de la plage des adresses cible F de l'esclave I.
La périphérie F configurée dans un shared device est indiquée dans l'impression de sécurité
au niveau des adresses cible F de la CPU F à laquelle cette périphérie F est affectée.
Configurations prises en charge

Les périphéries F (voir Vue d'ensemble de la configuration (Page 43)) sont essentiellement
prises en charge dans les configurations suivantes :
Configuration centralisée (aussi esclave I) :
• La périphérie F est dans le même châssis que la CFU F associée.
• La périphérie F est dans un châssis d'extension du châssis de la CPU F associée.
Configuration décentralisée (sur l'interface DP/PN de la CPU ou sur un CP/CM) :
• PROFIBUS DP (aussi en aval d'un IE/PB-Link)
– La périphérie F est dans un esclave DP.
– La périphérie F est dans un esclave DP et est adressée par communication esclave I-
esclave. Le maître DP affecté (le contrôleur IO affecté de l'IE/PB-Link) peut être une CPU
standard ou une CPU F.
• PROFINET IO
– La périphérie F est dans un périphérique IO.
– La périphérie F se trouve dans un shared device inter-projet. Les shared devices
internes au projet ne font pas partie des configurations prises en charge.
Pour un système S7-1500HF redondant, la seule configuration prise en charge est :
Configuration décentralisée (sur l'interface PN de la CPU HF)
• PROFINET IO
– La périphérie F est dans un périphérique IO qui est affecté aux réseaux IO des deux CPU
F.
Pour plus d'informations sur les périphériques IO pour la redondance R1, S1 et S2, voir
la Description fonctionnelle PROFINET
(https://support.industry.siemens.com/cs/ww/fr/view/49948856) au chapitre "PROFINET
avec le système redondant S7-1500R/H".
Pour les périphéries F qui ne sont pas mentionnées sous "Vue d'ensemble de la configuration
(Page 43)", vérifiez dans la documentation associée si elles sont prises en charge par le
système F SIMATIC Safety. En cas de doute, considérez que cette périphérie F fait partie des
configurations non prises en charge.

Configuration
Vérifications par le système F SIMATIC Safety

Pour les configurations prises en charge, le système F vérifie :
• si le paramètre de mode de fonctionnement PROFIsafe (F_Par_Version) a la valeur Mode
V2 dans l'environnement PROFINET IO**
• si les adresses cible F affectées sont uniques à l'échelle de la CPU
Vous devez assurer vous-même l'unicité de l'adresse PROFIsafe à l'échelle du réseau.
• si l'adresse source F pour la périphérie F de type d'adresse PROFIsafe 2 correspond au
paramètre "Central F-source address" de la CPU F
ATTENTION
Tenez compte des points suivants si vous utilisez des configurations qui ne font pas partie
des configurations prises en charge :
• Assurez-vous que la périphérie F de cette configuration apparaît dans l'impression de
sécurité et qu'un DB de périphérie F a été créé pour celle-ci. Sinon, vous ne pourrez pas
utiliser la périphérie F dans cette configuration (adressez-vous à l'assistance client).
• Vous devez vérifier la correction du paramètre du mode de fonctionnement PROFIsafe
(F_Par_Version) au moyen de l'impression de sécurité pour la périphérie F dans
l'environnement PROFINET IO**. Le mode V2 doit être paramétré dans l'environnement
PROFINET IO. Une périphérie F qui prend uniquement en charge le mode V1 ne doit pas
être utilisée dans l'environnement PROFINET IO.
• Vous devez vous assurer que l'attribution de l'adresse PROFIsafe est unique à l'échelle de
la CPU*/**** et du réseau*** :
– Vérifiez la correction des adresses PROFIsafe au moyen de l'impression de sécurité.
– Pour la périphérie F de type d'adresse PROFIsafe 2, vérifiez au moyen de l'impression
de sécurité que l'adresse source F correspond au paramètre "Central F-source address"
de la CPU F.
– Pour la périphérie F de type d'adresse PROFIsafe 1 ou si vous ne pouvez pas définir
l'adresse source F en accord avec le paramètre "Central F-source address" de la CPU F,
vous devez assurer l'unicité de l'adresse PROFIsafe seulement par l'affectation d'une
adresse cible F unique.
Dans une configuration non prise en charge, vous devez vérifier l'unicité de l'adresse
cible F de chaque périphérie F au moyen de l'impression de sécurité. (voir Intégralité et
correction de la configuration matérielle (Page 366)) (S050)
* "À l'échelle de la CPU" signifie toutes les périphéries F affectées à une CPU F : périphérie F
centralisée de cette CPU F, périphérie F pour laquelle la CPU F est maître DP/contrôleur IO,
ainsi que périphérie F affectée dans un shared device. La périphérie F adressée via la
communication esclave I-esclave est affectée à la CPU F de l'esclave I et non à la CPU F du
maître DP/contrôleur IO.
** La périphérie F se trouve "dans l'environnement PROFINET IO" lorsqu'au moins une partie
de la communication de sécurité vers la CPU F se fait via PROFINET IO. Si la périphérie F est
connectée par communication esclave I-esclave, il faut également considérer la ligne de
communication vers le maître DP/le contrôleur IO.

Configuration
2.10 Adresses PROFIsafe pour la périphérie F de type d'adresse PROFIsafe 1
*** Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
par-delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les abonnés
accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les abonnés accessibles
via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas échéant, via RT_Class_UDP
(IP, couche 3).
**** Dans un système S7-1500HF redondant, les deux CPU F du système S7-1500HF
redondant sont à considérer comme une CPU F en ce qui concerne les adresses PROFIsafe. Le
système configure donc l'adresse source F centralisée (Central F-source address) de manière
identique pour les deux CPU F.
Remarque
Pour plus d'informations sur l'attribution d'adresses PROFIsafe uniques à l'échelle de la CPU et
du réseau, consultez cette FAQ
2.10 Adresses PROFIsafe pour la périphérie F de type d'adresse

PROFIsafe 1
Adresse cible F
L'unicité de l'adresse PROFIsafe est uniquement assurée par l'adresse cible F. L'adresse
source F n'est pas affichée et n'a aucune influence sur l'unicité de l'adresse PROFIsafe.
L'adresse cible F doit donc être unique à l'échelle du réseau et de la CPU (voir les règles ci-
après pour l'attribution d'adresses).
Pour empêcher un paramétrage incorrect, une adresse cible F unique à l'échelle de la CPU est
attribuée automatiquement lors du placement de la périphérie F dans l'espace de travail de la
vue des appareils ou du réseau tant que vous configurez uniquement des configurations
prises en charge (Page 65).
Pour avoir une attribution de l'adresse cible F unique à l'échelle du réseau lorsque plusieurs
réseaux maîtres DP et réseaux PROFINET IO fonctionnent sur un réseau, vous devez définir les
paramètres "Low limit for F-destination addresses" et "High limit for F-destination addresses"
de manière ciblée dans les propriétés de la CPU F dans les systèmes F SIMATIC Safety avant le
placement de la périphérie F (voir "Recommandation relative à l'affectation des adresses")
afin que les plages d'adresses cible F ne se chevauchent pas.
Si vous modifiez l'adresse cible F d'une périphérie F, l'unicité de l'adresse cible F à l'échelle de
la CPU est automatiquement vérifiée pour les configurations prises en charge. C'est à vous
d'assurer l'unicité de l'adresse cible F à l'échelle du réseau.

Configuration
Pour les modules F ET 200S, ET 200eco (PROFIBUS), ET 200pro, ET 200iSP et SM F S7-300 :

Vous devez régler l'adresse cible F sur la périphérie F au moyen du commutateur DIP avant de
monter la périphérie F. Vous pouvez attribuer 1022 adresses cible F différentes au maximum.
Remarque
(S7-300, S7-400) Pour les modules de signaux de sécurité S7-300 suivants, l'adresse cible F
est l'adresse de début du SM F divisée par 8 :
• SM 326; DI 8 x NAMUR (à partir du numéro d'article 6ES7326-1RF00-0AB0),
• SM 326; DO 10 x DC 24V/2A (numéro d'article 6ES7326-2BF01-0AB0)
• SM 336; AI 6 x 13 Bit (numéro d'article 6ES7336-1HE00-0AB0)
Vous avez la possibilité d'afficher les colonnes "Adresse source F" et "Adresse cible F" dans la
vue d'ensemble des appareils de la vue des appareils. Les adresses affichées dans ces
colonnes ne le sont qu'à titre d'information. Lors de la réception de l'installation, vous devez
vérifier les adresses cible F dans l'impression de sécurité.
Règles pour l'attribution d'adresses
ATTENTION
La périphérie F de type d'adresse PROFIsafe 1 est adressée de manière univoque par son
adresse cible F (par exemple, par la position du commutateur d'adresse).
L'adresse cible F (et donc également la position du commutateur d'adresse) de la périphérie
F doit être unique à l'échelle du réseau* et de la CPU**/*** (c'est-à-dire à l'échelle du
système) pour l'ensemble de la périphérie F. Il faut ce faisant aussi tenir compte de la
périphérie F de type d'adresse PROFIsafe 2. (S051)
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie
(IP, couche 3).
** "À l'échelle de la CPU" signifie toutes les périphéries F affectées à une CPU F : périphérie F
*** Dans un système S7-1500HF redondant, les deux CPU F du système S7-1500HF

Configuration
Tenez également compte de Recommandation relative à l'affectation des adresses PROFIsafe

(Page 64).
Remarque
Voir aussi
Intégralité de l'impression de sécurité (Page 362)
2.11 Adresses PROFIsafe pour la périphérie F de type d'adresse

PROFIsafe 2
Adresse source F et adresse cible F

L'unicité de l'adresse PROFIsafe est assurée par la combinaison de l'adresse source F et de
l'adresse cible F.
L'adresse PROFIsafe doit être unique à l'échelle du réseau et de la CPU. C'est le cas lorsque les
deux conditions suivantes sont remplies :
• L'adresse source F (paramètre "Central F-source address") de la CPU F est unique à l'échelle
du réseau. Veuillez en tenir compte également lors de modifications.
• L'adresse cible F du module F est unique à l'échelle de la CPU.
Vous définissez l'adresse source F avec le paramètre "Central F source address" dans la CPU F.
Tant que vous configurez uniquement des configurations prises en charge (Page 65), ce
paramètre est automatiquement appliqué comme adresse source F et une adresse cible F
unique à l'échelle de la CPU est affectée (généralement par ordre décroissant à partir de
65534).
Si vous modifiez l'adresse cible F, l'unicité de l'adresse cible F à l'échelle de la CPU est
automatiquement vérifiée pour les configurations prises en charge.
Vous devez affecter l'adresse source F et l'adresse cible F avant de mettre la périphérie F en
service. Vous trouverez plus d'informations sous Affecter une adresse PROFIsafe de la
périphérie F avec SIMATIC Safety (Page 71).
Vous avez la possibilité d'afficher les colonnes "Adresse source F" et "Adresse cible F" dans la
vue d'ensemble des appareils de la vue des appareils. Les adresses affichées dans ces
colonnes ne le sont qu'à titre d'information. Lors de la réception de l'installation, vous devez
vérifier les adresses source F et les adresses cible F dans l'impression de sécurité.

Configuration
Règles pour l'attribution d'adresses
ATTENTION
La périphérie F de type d'adresse PROFIsafe 2 est adressée de manière univoque par

combinaison de l'adresse source F (paramètre "Central F-source address" de la CPU F
affectée) et de l'adresse cible F.
La combinaison de l'adresse source F et de l'adresse cible F de chaque périphérie F doit être
unique à l'échelle du réseau* et de la CPU**/*** (c'est-à-dire à l'échelle du système). En
outre, l'adresse cible F ne doit pas être occupée par une périphérie F de type d'adresse
PROFIsafe 1.
Afin de garantir l'unicité des adresses de toutes CPU F dans les configurations prises en
charge (Page 65), vous devez veiller à ce que le paramètre "Central F-source address" de
toutes les CPU F soit unique à l'échelle du réseau*. Cela peut être obtenu par différents
réglages du paramètre "Central F-source address" des CPU F. (S052)
(IP, couche 3).
** "À l'échelle de la CPU" signifie toutes les périphéries F affectées à une CPU F : périphérie F
Tenez également compte de Recommandation relative à l'affectation des adresses PROFIsafe
(Page 64).
Remarque
Voir aussi
Intégralité de l'impression de sécurité (Page 362)

Configuration
2.12 Régler l'adresse cible F pour une périphérie F avec commutateur DIP
2.12 Régler l'adresse cible F pour une périphérie F avec commutateur

DIP
Vous trouverez des informations sur le réglage de l'adresse cible F pour une périphérie F avec
des commutateurs DIP dans la documentation de la périphérie F respective.
2.13 Affecter une adresse PROFIsafe de la périphérie F avec SIMATIC

Safety
Introduction
Vous affectez l'adresse PROFIsafe (Page 69) composée de l'adresse F source et de l'adresse F
cible pour
• les modules de sécurité ET 200SP,
• les modules de sécurité S7-1500/ET 200MP,
• les modules de périphérie de sécurité ET 200AL,
• les modules de périphérie de sécurité ET 200eco PN
directement depuis STEP 7 Safety.
Pour les modules F S7-1200, l'adresse PROFIsafe est affectée automatiquement lors du
chargement de la configuration matérielle.
Toutes ces périphéries F ne possèdent pas de commutateur DIP permettant de régler l'adresse
F cible unique pour chaque module.
Dans les cas suivants, une nouvelle affectation est nécessaire pour les modules de sécurité
ET 200SP, les modules de sécurité S7-1500/ET 200MP, les modules de périphérie de sécurité
ET 200AL et les modules de périphérie de sécurité ET 200eco PN :
• Enfichage ultérieur d'un module F pendant la première mise en service (pas pour ET
200eco PN)
• Modification intentionnelle de l'adresse cible F
• Modification du paramètre "Central F source address" de la CPU F associée (modifie
l'adresse source F)
• Remplacement de l'élément de codage
• mise en service d'une machine série
Une nouvelle affectation n'est pas nécessaire dans les cas suivants pour les modules de
sécurité ET 200SP et les modules de sécurité S7-1500/ET 200MP :
• Mise hors tension/sous tension
• Remplacement d'un module F (réparation) sans PG/PC
• Remplacement de la BaseUnit (reprise de l'élément de détrompage avec adresse F source
et adresse F cible dans la nouvelle BaseUnit)
• Remplacement d'une BaseUnit sans élément de codage

Configuration
2.13 Affecter une adresse PROFIsafe de la périphérie F avec SIMATIC Safety
• Modification du montage lorsqu'une nouvelle BaseUnit est enfichée avant un module F

• réparation/remplacement du module d'interface
Une nouvelle affectation n'est pas nécessaire dans les cas suivants pour les modules de
périphérie de sécurité ET 200eco PN et ET 200AL :
• Mise hors tension/sous tension
• Remplacement de l'appareil compact (transfert de l'élément de codage avec l'adresse
source F et l'adresse cible F affectées dans le nouvel appareil compact)
Marche à suivre de principe
Remarque
Affectation de l'adresse PROFIsafe pour les modules F S7-1200
La procédure suivante pour l'identification et l'affectation des adresses PROFIsafe n'est pas
nécessaire pour les modules F S7-1200.
Notez qu'un S7-1200 ne doit pas contenir de module F supplémentaire non configuré.
1. Paramétrez l'adresse cible F (Page 69) et l'adresse source F (Page 69) dans la configuration
matérielle dans STEP 7 Safety.
2. Identifiez les modules de sécurité ET 200SP, S7-1500/ET 200MP, les modules de périphérie
de sécurité ET 200AL ou les module de périphérie de sécurité ET 200eco PN auxquels vous
voulez affectez l'adresse PROFIsafe.
3. Affectez l'adresse PROFIsafe aux périphéries F.
Affectation de l'adresse PROFIsafe pour des périphéries F via un système S7-1500HF redondant
Dans la boîte de dialogue "Assign PROFIsafe address" sous "Select PLC of HF-System",
sélectionnez la CPU HF du système S7-1500HF redondant via laquelle vous voulez affecter
l'adresse PROFIsafe.
Le tableau suivant montre au moyen de l'état du système par quelle CPU HF du système
S7-1500HF redondant vous pouvez affecter l'adresse PROFIsafe.
État du système/rôle de la CPU Principale Réserve

F
RUN-Redundant x x
RUN-Solo x -
Arrêt (STOP) x -
x : affectation possible, - : affectation impossible

Configuration
Remarque
Utilisation d'appareils R1
L'affectation de l'adresse PROFIsafe pour les périphéries F dans un appareil R1 est uniquement
possible via le module d'interface gauche de l'appareil R1. C'est pourquoi c'est toujours le
module d'interface gauche qui est affiché dans le dialogue "Affecter l'adresse PROFIsafe". Le
module d'interface gauche doit être alimenté en tension pour l'affectation de l'adresse
PROFIsafe.
Si les deux CPU HF du système redondant S7-1500HF se trouvent dans deux sous-réseaux
séparés, la PG et la CPU avec laquelle l'affectation de l'adresse PROFIsafe doit être effectuée
doivent se trouver dans le même sous-réseau.
2.13.1 Identifier des modules F
Condition
Les conditions suivantes doivent être remplies :
• La CPU F et les modules F sont configurés.
• Lors de l'utilisation d'un ET 200SP Open Controller, la configuration matérielle de
l'ET 200SP Open Controller et du contrôleur logiciel de sécurité doit être chargée.
• La CPU F et les modules F sont accessibles en ligne.

Configuration
ATTENTION
Veillez à ce que la configuration matérielle actuelle ait été chargée dans la CPU F avant
l'identification. Confirmez la correction des adresses PROFIsafe des périphéries F en cliquant
sur le bouton "Identification" puis sur "Assign PROFIsafe address".
Procédez donc avec précaution lors de la confirmation des périphéries F par le clignotement
des LED ou le numéro de série de la CPU F avec périphéries F centralisées ou le numéro de
série du module d'interface avec périphéries F.
Une affectation des adresses PROFIsafe au numéro de série du module d'interface n'est
autorisée que si l'affectation concerne toutes les périphéries F d'une station. Vous devez
pour cela lire le numéro de série directement sur la CPU F* ou sur le module d'interface** et
le noter. La lecture du numéro de série avec la vue En ligne & Diagnostic de TIA Portal n'est
pas autorisée.
Une règle particulière s'applique aux périphéries F du système de périphérie décentralisée
ET 200AL. Pour ces périphéries F, seule l'identification par clignotement est permise et une
seule périphérie F doit être sélectionnée pour l'affectation de l'adresse PROFIsafe.
* Sur un ET 200SP Open Controller, vous devez lire les numéros de série sur l'écran du
S7-1500 Software Controller de sécurité dans le menu "Vue d'ensemble > CPU" et les noter.
** Sur un appareil R1, vous devez lire le numéro de série du module d'interface gauche et le
noter. (S046)
Procédure
Procédez comme suit pour identifier les modules F :
1. Établissez une connexion en ligne avec la CPU F à laquelle les modules F sont affectés.
2. Sélectionnez dans la vue de réseau
– la CPU F avec modules F,
– le module d'interface avec modules F
auxquels vous voulez affecter les adresses PROFIsafe.
Vous pouvez aussi sélectionner un seul module F.
3. Sélectionnez "Assign PROFIsafe address" dans le menu contextuel.
Remarque
Si vous intégrez un module ET 200AL de sécurité dans une configuration du système de
périphérie décentralisée ET 200SP (configuration mixte ET 200AL/ET 200SP avec ET-
Connection), vous devez ouvrir le dialogue "Assign PROFIsafe adresse" séparément pour
chaque module ET 200AL de sécurité dans la vue des appareils de l'ET 200SP.

Configuration
4. Sélectionnez la méthode d'identification des modules F sous "Assign PROFIsafe address by".
– "Identification by LED flashing"
Il s'agit du paramétrage par défaut. Lors de l'identification, les LED DIAG et STATUS des
modules F à identifier clignotent.
– "Identification by serial number"
Si vous n'avez pas les modules F sous les yeux, vous pouvez identifier ces derniers par
le numéro de série de la CPU F ou du module d'interface que vous avez noté.
Remarque
Le numéro de série affiché peut être complété par une année par rapport au numéro
de série imprimé sur la CPU F ou le module d'interface. Les numéros de série sont
néanmoins identiques.
5. En cas d'identification par clignotement des LED, sélectionnez tous les modules F auxquels
vous souhaitez affecter l'adresse PROFIsafe dans la colonne "Assign".
Lorsque vous sélectionnez la CPU F ou le module d'interface dans la colonne "Assign", tous
les modules F de la station sont mis en évidence.
6. Cliquez sur le bouton "Identification". Observez si les LED DIAG et STATUS des modules F
auxquels vous voulez affecter l'adresse PROFIsafe clignotent en vert. Si vous identifiez par le
numéro de série, comparez le numéro de série affiché avec le numéro de série noté de la
CPU F avec les modules F centralisés ou du module d'interface avec les modules F.
Tenez compte du comportement suivant pour certains modules F et variantes de
configuration :
– Si vous avez configuré plus de module F qu'il n'en existe en réalité, une boîte de
dialogue s'affiche. Dans cette boîte de dialogue, entrez le nombre de modules F
réellement disponibles et confirmez le dialogue.
– Si vous avez configuré moins de modules F qu'il n'en existe en réalité, une
comparaison en ligne-hors ligne est affichée et l'affectation de l'adresse PROFIsafe n'est
pas possible.
2.13.2 Affecter l'adresse PROFIsafe
Condition
Les modules F ont été identifiés avec succès.

Configuration
Procédure
Procédez comme suit pour affecter l'adresse PROFIsafe :
1. Sélectionnez dans la colonne "Confirm" tous les modules F auxquels vous voulez affecter
l'adresse source F et les adresses cible F.
2. Affectez l'adresse PROFIsafe aux modules F avec le bouton "Assign PROFIsafe address". Vous
devrez éventuellement saisir le mot de passe de la CPU F.
Pour affecter l'adresse PROFIsafe, vous devez confirmer la boîte de dialogue "Confirmer
l'affectation d'adresse PROFIsafe" dans un délai de 60 secondes.
2.13.3 Affecter l'adresse PROFIsafe à un module F dans un shared device inter-

projet
Introduction
L'affectation de l'adresse PROFIsafe pour un module F dans un shared device inter-projet ne
peut être effectuée que dans le projet dans lequel se trouve l'automate IO (CPU F) auquel le
module F est affecté.
Par conséquent, dans le dialogue "Affectation de l'adresse PROFIsafe" il n'est possible de
sélectionner pour l'affectation de l'adresse PROFIsafe, que les modules F qui sont affectés à
un automate IO (CPU F) de ce projet.
Condition
Les conditions suivantes doivent être remplies :
• Toutes les conditions des chapitres "Identifier des modules F (Page 73)" et "Affecter
l'adresse PROFIsafe (Page 75)".
• La configuration matérielle de tous les automates IO (CPU F) auxquels un module F du
shared device a été affecté est chargée.
• Tous les automates IO (CPU F) auxquels un module F du shared device a été affecté et le
shared device doivent se trouver dans le même sous-réseau.
Marche à suivre
Pour identifier les modules F et pour affecter l'adresse PROFIsafe, procédez comme décrit aux
chapitres "Identifier des modules F (Page 73)" et "Affecter l'adresse PROFIsafe (Page 75)".
Si, dans un shared device inter-projet, les modules F sont affectés à plusieurs automates IO
(CPU F) dans plusieurs projets, procédez aux affectations l'une après l'autre dans les différents
projets.
Voir aussi
Configurer un shared device (Page 62)

Configuration
2.14 Particularités lors de la configuration d'appareils DP normalisés de sécurité et de périphériques IO normalisés de sécur
2.13.4 Modifier les adresses PROFIsafe
Modifier les adresses PROFIsafe
Remarque
Veillez, également après une modification de l'adresse PROFIsafe d'une périphérie F, à réaliser
une réception (Page 366) comprenant un contrôle de votre modification (Page 379) selon
l'impression de sécurité (Page 334).
1. Modifiez l'adresse PROFIsafe (adresse cible F, adresse source F) dans la configuration

matérielle.
2. Compilez la configuration matérielle.
3. Chargez la configuration matérielle dans la CPU F.
4. Sélectionnez "Assign PROFIsafe address" dans le menu contextuel.
5. Procédez ensuite comme décrit sous Identifier des modules F (Page 73) et Affecter l'adresse
PROFIsafe (Page 75).
2.14 Particularités lors de la configuration d'appareils DP normalisés

de sécurité et de périphériques IO normalisés de sécurité
Condition
La condition requise pour l'utilisation d'appareils DP normalisés de sécurité pour SIMATIC
Safety est que ces esclaves normalisés se trouvent sur PROFIBUS DP et prennent en charge le
profil de bus PROFIsafe. En cas de mise en œuvre sur une CPU F S7-1200/1500, ils doivent
prendre en charge le profil de bus PROFIsafe en MODE V2.
Les appareils DP normalisés de sécurité qui sont mis en œuvre après IE/PB-Link dans des
configurations mixtes sur PROFIBUS DP et PROFINET IO doivent prendre en charge le profil de
bus PROFIsafe en MODE V2.
La condition requise pour l'utilisation de périphériques IO normalisés de sécurité pour
SIMATIC Safety est que ces périphériques normalisés se trouvent sur PROFINET IO et prennent
en charge le profil de bus PROFIsafe en MODE V2.
Configuration avec des fichiers GSD

Comme dans le système standard, la spécification de l'appareil dans le fichier GSD (données
de base de l'appareil) constitue la base de la configuration des appareils DP
normalisés/périphériques IO normalisés de sécurité.
Un fichier GSD contient toutes les propriétés d'un appareil DP normalisé/périphérique IO
normalisé. Pour les appareils DP normalisés/périphériques IO normalisés de sécurité, certaines
parties sont protégées par un CRC.
Les fichiers GSD sont fournis par les fabricants des appareils.

Configuration
2.14 Particularités lors de la configuration d'appareils DP normalisés de sécurité et de périphériques IO
normalisés de sécurité
Protection de la structure des données de l'appareil dans les fichiers GSD

Seuls sont pris en charge les fichiers GSD qui satisfont à l'exigence de protection définie à
partir de PROFIsafe Specification V2.0 au moyen d'un CRC enregistré dans ce fichier
("consigne" pour F_IO_StructureDescCRC).
La structure de données décrite dans le fichier GSD est vérifiée lorsque la périphérie F est
ajoutée à la configuration matérielle et que la configuration matérielle est compilée. Si une
erreur est détectée, vous devez clarifier si le fichier GSD fourni par le fabricant de l'appareil
contient la consigne pour F_IO_StructureDescCRC.
Attribution et réglage de l'adresse PROFIsafe
ATTENTION
Consultez la documentation de votre appareil DP normalisé/périphérique IO normalisé de

sécurité pour savoir quel est son type d'adresse PROFIsafe. En l'absence d'information à ce
sujet, partez du principe qu'il s'agit du type d'adresse PROFIsafe 1. Pour la configuration,
procédez comme décrit sous Adresses PROFIsafe pour la périphérie F de type d'adresse
PROFIsafe 1 (Page 67) ou Adresses PROFIsafe pour la périphérie F de type d'adresse
PROFIsafe 2 (Page 69).
Définissez l'adresse source F pour les appareils DP normalisés/périphériques IO normalisés
de sécurité selon les indications du constructeur. Si l'adresse source F doit correspondre au
paramètre "Central F-source address" de la CPU F (type d'adresse PROFIsafe 2), vous
trouverez cette dernière adresse dans l'onglet "Propriétés" de la CPU F. Vérifiez dans ce cas
dans l'impression de sécurité que la valeur de la CPU F pour le paramètre "Central F-source
address" correspond à la valeur de l'adresse source F de l'appareil DP normalisé/du
périphérique IO normalisé de sécurité. (S053)
Procédure pour la configuration avec des fichiers GSD

Vous importez les fichiers GSD dans votre projet (voir sous "Fichiers GSD" dans l'aide de
STEP 7).
1. Sélectionnez l'appareil DP normalisé/le périphérique IO normalisé de sécurité dans la Task
Card "Catalogue du matériel" et connectez-le au sous-réseau approprié dans la vue du
réseau.
2. Sélectionnez l'appareil DP normalisé/le périphérique IO normalisé de sécurité et insérez-y les
modules F nécessaires si cela n'a pas été fait automatiquement.
3. Sélectionnez le module F concerné et ouvrez l'onglet "Properties" dans la fenêtre
d'inspection.
Le paramètre "Manual assignment of F-monitoring time" est activé pour les appareils DP
normalisés/périphériques IO normalisés de sécurité (ce qui n'est pas le cas pour les autres
périphéries F). La valeur indiquée dans le fichier GSD pour le temps de surveillance F est alors
utilisée comme valeur par défaut lors de l'enfichage. Vous pourrez modifier les deux valeurs
(temps et mode d'affectation) manuellement ultérieurement.

Configuration
2.14 Particularités lors de la configuration d'appareils DP normalisés de sécurité et de périphériques IO normalisés de sécur
Paramètres F "F_CRC_Seed" et "F_Passivation" pour les périphériques IO normalisés de sécurité

Les paramètres F "F_CRC_Seed" et "F_Passivation" influencent le comportement d'un
périphérique IO normalisé de sécurité. La combinaison des paramètres F ne peut pas être
définie ; elle est déterminée par la sélection d'un module F correspondant. Jusqu'à trois
variantes de module F peuvent être utilisées en fonction de la CPU F S7-300/400 ou
S7-1200/1500 mise en œuvre.
Variante de F_CRC_Seed F_Passivation Comportement du périphérique IO normalisé Utilisable avec la

module F de sécurité CPU F
1 Paramètre non Paramètre non Le périphérique IO normalisé de sécurité utilise S7-300/400/
disponible disponible le protocole BP (Basic Protocol) de PROFIsafe. 1200/1500*
Le profil "RIOforFA-Safety" n'est pas pris en
charge.
2 CRC-Seed24/32 Device/Module Le périphérique IO normalisé de sécurité utilise S7-1200/1500
le protocole XP (Expanded Protocol) de
PROFIsafe.
Le profil "RIOforFA-Safety" n'est pas pris en
charge.
3 CRC-Seed24/32 Channel Le périphérique IO normalisé de sécurité utilise S7-1200/1500
le protocole XP (Expanded Protocol) de
PROFIsafe.
Le profil "RIOforFA-Safety" est pris en charge.
* N'utilisez la variante de module F 1 pour les CPU F S7-1200/1500 que si ni la variante de module F 2, ni la variante de
module F 3 n'existent.
Vous trouverez la description des paramètres dans l'aide sur les appareils DP normalisés et
périphériques IO normalisés de sécurité.

Safety Administration Editor 3
Vue d'ensemble
L'éditeur Safety Administration Editor vous aide dans la réalisation des tâches suivantes :
• Afficher l'état du mode de sécurité
• Désactiver le mode de sécurité
• (S7-1200, S7-1500) Afficher et modifier l'état de Fast Commissioning
• Afficher l'état du programme de sécurité
• Afficher la signature globale F
• (S7-1200, S7-1500) Afficher la signature globale SW F
• (S7-1200, S7-1500) Afficher la signature globale HW F
• (S7-1200, S7-1500) Signature d'adresse de communication F
• Créer/organiser des groupes d'exécution F
• Afficher des informations sur les blocs F
• Afficher des informations sur les types de données API (UDT) conformes F
• Définir/modifier la protection d'accès
• Informations sur les utilisateurs ayant le droit F-admin
• Définir/modifier des paramètres pour le programme de sécurité, par exemple activer
l'historique des modifications F
• (S7-1200, S7-1500) Créer/afficher/supprimer des communications F avec Flexible F-Link

Safety Administration Editor
L'éditeur Safety Administration Editor se compose de plusieurs sections :

• General
Les informations suivantes s'affichent sous "General" :
– État du mode de sécurité (Safety mode status)
– État de Fast Commissioning (Fast Commissioning status)
– État du programme de sécurité (Safety program status)
– Signatures F (F-signatures)
Vous trouverez plus d'informations sur la section "General" sous "Section "General"
(Page 83)".
• F-runtime group
Vous définissez les blocs et les propriétés d'un groupe d'exécution F sous "F-runtime
group".
Vous trouverez des informations sur les groupes d'exécution F sous "Section "F-runtime
group" (Page 85)".

• F-blocks
La section "F-blocks" fournit des informations sur les blocs F utilisés dans votre programme
de sécurité et leurs propriétés. Vous trouverez plus d'informations sur la section "F-blocks"
sous "Section "F-blocks" (Page 88)".
• F-compliant PLC data types
La section "F-compliant PLC data types" fournit des informations sur les types de données
API (UDT) conformes F créés. Il y est également précisé si un type de données API (UDT)
conforme F est utilisé dans le programme de sécurité. Vous trouverez plus d'informations
sur la section "F-compliant PLC data types" sous "Section "F-compliant PLC data types"
(S7-1200, S7-1500) (Page 89)".
• Access protection
Dans la section "Access protection", vous pouvez définir un mot de passe pour le
programme de sécurité et le modifier ou le révoquer. Vous pouvez aussi créer une
protection d'accès pour les données de projet de sécurité avec la protection de projet. Une
protection d'accès à la CPU F est obligatoire pour le mode production. Vous trouverez plus
d'informations sur la protection d'accès sous "Protection d'accès à l'échelle de la CPU pour
les données de projet de sécurité (Page 100)".
• Web server F-admins
La section "Web server F-admins" fournit des informations sur les utilisateurs avec l'attribut
"F-admin" pour le serveur Web de la CPU F. Vous trouverez plus d'informations sur la
section "Web server F-admins" sous "Section "Web server F-admins" (S7-1200, S7-1500)
(Page 90)".
• Settings
Vous configurez les paramètres pour le programme de sécurité sous "Settings". Vous
trouverez des informations sur les paramètres de votre programme de sécurité sous
"Section "Settings" (Page 91)".
• Flexible F-Link
Dans la zone "Flexible F-Link " vous obtenez des informations sous forme de tableau sur
les communications F via Flexible F-Link configurées et créez des communications F. Vous
trouverez des informations à ce sujet sous "Section "Flexible F-Link" (S7-1200, S7-1500)
(Page 97)".
Voir aussi
Structure du programme de sécurité (S7-1200, S7-1500) (Page 110)
Structure du programme de sécurité (S7-300, S7-400) (Page 108)
Définir des groupes d'exécution F (Page 131)

3.1 Ouvrir l'éditeur Safety Administration Editor
3.1 Ouvrir l'éditeur Safety Administration Editor
Condition
L'éditeur Safety Administration Editor apparaît comme ligne dans le navigateur de projet si
vous avez configuré une CPU de votre projet comme CPU F (l'option "F-capability activated"
est sélectionnée dans les propriétés de la CPU F).
Procédure
Procédez comme suit pour ouvrir l'éditeur Safety Administration Editor :
1. Ouvrez le dossier de votre CPU F dans le navigateur de projet.
2. Double-cliquez sur "Safety Administration" ou cliquez avec le bouton droit de la souris et
sélectionnez Safety Administration Editor dans le menu contextuel.
Résultat
L'éditeur Safety Administration Editor s'ouvre pour votre CPU F dans l'espace de travail.
3.2 Section "General"
"Safety mode status" (état du mode de sécurité)

L'état actuel du mode de sécurité est affiché sous "Safety mode status". Cela suppose qu'il
existe une connexion en ligne à la CPU F sélectionnée.
Les états suivants sont possibles :
• "The safety mode is active" (le mode de sécurité est activé)
• "The safety mode is not activated" (le mode de sécurité n'est pas activé)
• "F-CPU is in STOP" (la CPU F est à l'arrêt)
• "No active F-CPU available" (aucune CPU F active n'est disponible)
• "F-runtime group is not called" (pas d'appel du groupe d'exécution F)
• "The safety program was not called" (pas d'appel du programme de sécurité)
• "(No online connection)" (pas de connexion en ligne)
"Disable safety mode" (désactiver le mode de sécurité)

S'il existe une connexion en ligne et que le mode de sécurité est activé, vous pouvez
désactiver le mode de sécurité de la CPU F sélectionnée avec le bouton "Disable safety mode".
Le mode de sécurité peut uniquement être désactivé pour le programme de sécurité entier,
pas pour des groupes d'exécution F individuels.
Vous trouverez plus d'informations sous "Désactiver le mode de sécurité (Page 338)".

3.2 Section "General"
"Fast Commissioning status" (état de Fast Commissioning)

Pour utiliser le mode Fast Commissioning, assurez-vous que l'option "Safety mode can be
disabled" (le mode Safety peut être désactivé) est activée dans la zone "Settings" (Page 91)
(Paramètres) et que le programme de sécurité a été compilé de manière cohérente. Le mode
Fast Commissioning peut être exécuté avec "Fast Compile" (réglage par défaut) ou avec
"Consistent Compile". Vous trouverez plus d'informations sous "Modifier le programme de
sécurité à l'état Marche (S7-1200, S7-1500) (Page 351)".
"Safety program status" (état du programme de sécurité)

L'état actuel de votre programme en ligne et hors ligne est affiché sous "Safety program
status".
Les états suivants sont possibles :
• Consistent (Cohérent)
(Avec information, si aucun mot de passe n'a été défini. Cette information est omise en
cas d'utilisation de la protection de projet)
• Inconsistent
• Modified
• Fast Commissioning Mode active
(Si le mode Fast Commissioning Mode a été activé avec "Fast Compile" et qu'une
modification a été effectuée dans le programme)
"(No online connection)" signale qu'il n'a pas été possible d'établir une connexion au
programme en ligne.
"F-signatures" (signatures F)
En l'absence de connexion en ligne

Plusieurs signatures sont affichées sous "F-signatures". Chaque signature se compose de
parties différentes des données de projet de sécurité.
• Signature globale F : Cette signature change à chaque modification apportée aux données
de projet de sécurité. Elle comprend les signatures décrites ci-dessous.
• Signature globale SW F (S7-1200/1500) : Cette signature change en cas de modifications
du programme de sécurité.
• Signature globale HW F (S7-1200/1500) : Cette signature change en cas de modifications
de la configuration matérielle de sécurité.
• Signature d'adresse de communication F (S7-1200/1500) : Cette signature change en cas
de modifications du nom ou de l'UUID de communication F des liaisons de communication
avec Flexible F-Link.
La colonne d'horodatage "Time stamp" affiche l'heure de la dernière compilation pour la
signature globale F.

3.3 Section "F-runtime group"
En cas de connexion en ligne

Les informations suivantes s'affichent sous "Program signature" en présence d'une connexion
en ligne :
• État du programme de sécurité
État Signification
Les signatures globales F en ligne et hors ligne correspondent.
Les signatures globales F en ligne et hors ligne ne correspondent pas.
— Impossible de déterminer l'état du programme de sécurité
• Signatures globales F en ligne et hors ligne

• En cas de concordance des signatures globales F : information indiquant si les versions des
blocs F en ligne et hors ligne concordent
État Comparaison Constatation

de versions
Sans objet Les signatures globales F en ligne et hors ligne ne correspondent
pas.
Les signatures globales F en ligne et hors ligne correspondent, mais
des versions de blocs F différentes sont utilisées en ligne et hors
ligne.
Les signatures globales F en ligne et hors ligne correspondent et des
versions de blocs F identiques sont utilisées en ligne et hors ligne.
Sans objet — Impossible de déterminer les versions du système Safety
Vous trouverez plus d'informations sur la cohérence du programme de sécurité en ligne sous
Équivalence des programmes en ligne et hors ligne (Page 376).
Voir aussi
Identification du programme (Page 330)
3.3.1 Section "F-runtime group"

Un programme de sécurité est composé d'un ou de deux groupes d'exécution F.
Vous trouverez des informations générales sur les groupes d'exécution F sous "Structure du
programme de sécurité (S7-300, S7-400) (Page 108)" ou "Structure du programme de
sécurité (S7-1200, S7-1500) (Page 110)".
Vous trouverez des informations sur la création de groupes d'exécution F sous "Définir des
groupes d'exécution F (Page 131)".

(S7-1200, S7-1500) "Generate global F-I/O status block"

Vous pouvez créer un bloc standard (FB) de nom "RTGx_GLOB_FIO_STATUS" qui évalue si des
valeurs de remplacement sont émises au lieu des valeurs de processus pour au moins une
périphérie F ou au moins une voie d'une périphérie F d'un groupe d'exécution F x. Le résultat
de l'évaluation est disponible à la sortie "QSTATUS". Les périphéries F que vous avez
désactivées avec la variable DISABLE dans le DB de périphérie F ne sont pas prises en compte.
La sortie "RIOforFA_VALUE_STATUS" correspond à la sortie "QSTATUS", mais tient uniquement
compte des périphéries F ayant le profil "RIOforFA-Safety".
Utilisez le bouton "Generate global F-I/O status block" pour générer ce FB standard. Vous ne
pouvez créer le FB standard qu'une fois votre programme de sécurité compilé. Vous pouvez
appeler le FB standard n'importe où dans votre programme utilisateur standard.
Remarque
Vous devrez générer à nouveau le "RTGx_GLOB_FIO_STATUS" si vous ajoutez ou supprimez
des périphéries F.
Voir aussi
Valeurs de processus ou de remplacement (Page 160)
3.3.2 Prétraitement/post-traitement (S7-1200, S7-1500)

Avec le prétraitement et le post-traitement, vous pouvez appeler des blocs standard (FC)
immédiatement avant ou après un groupe d'exécution F, par exemple pour le transfert de
données en cas de communication sécurisée via Flexible F-Link (Page 289).
Condition
• Utiliser uniquement des FC standard
• Seules les données locales temporaires et les constantes sont autorisées dans l'interface
de bloc d'une FC standard.
• (S7-1500) Si le groupe d'exécution F se trouve dans une unité Safety et que des FC
doivent être utilisées en dehors de l'unité Safety, ces FC doivent être publiées et leur unité
logicielle doit être liée à l'unité Safety par une relation.

Procédure
1. Créez les FC standard pour le prétraitement ou le post-traitement.
2. Affectez les FC standard sous "Pre/Post processing of the F-runtime group" dans l'éditeur
Safety Administration Editor.
Remarque
Si vous supprimez une FC affectée ou l'écrasez par copie, sa sélection comme bloc de
prétraitement/post-traitement est automatiquement réinitialisée.
Conséquence sur le programme de sécurité

• Le temps d'exécution du groupe d'exécution F s'allonge du temps d'exécution des FC
standard de prétraitement/post-traitement (influence sur TRTG_CURR et TRTG_LONG dans
le DB d'informations sur le groupe d'exécution F).
• Comme le prétraitement/post-traitement ne modifie pas la fonctionnalité du programme
de sécurité, la signature globale F reste inchangée après la compilation.
Comportement de chargement
Les appels des FC standard sélectionnées sont placés avant ou après l'appel du Main Safety
Block dans l'OB F lors de la compilation.
Il s'ensuit que l'état de fonctionnement Arrêt est requis en cas de chargement ultérieur.
Apporter des modifications de contenu aux FC standard sélectionnées est possible à l'état
Marche.
Il faut exclure les modifications des noms et numéros de blocs qui entraînent également la
compilation du programme de sécurité.
Si un bloc de prétraitement/post-traitement est chargé individuellement par la CPU F, il ne se
connecte pas automatiquement au groupe d'exécution F dans le Safety Administration
Editor.
Si un chargement cohérent de la CPU F dans la PG/le PC est effectué au lieu de cela, les
paramétrages pour le prétraitement et le post-traitement sont actualisés en fonction de la
CPU en ligne.

3.4 Section "F-blocks"
3.4 Section "F-blocks"
vue d'ensemble
La section "F-blocks" vous aide pour les tâches suivantes :
• Affichage des blocs F utilisés dans votre programme de sécurité
• Affichage des blocs F utilisés dans les groupes d'exécution F
• Affichage d'informations supplémentaires sur les blocs F
Les blocs F s'affichent alors hiérarchiquement comme dans le dossier "Blocs de programme".
Vous trouverez une description des blocs F sous "Créer des blocs F en CONT/LOG (Page 148)".
Informations affichées
Les informations suivantes s'affichent en mode hors ligne :
• Les blocs F affichés ont-ils été compilés et utilisés ?
• Fonction des blocs F dans le programme de sécurité
• Signature de bloc
• Signature de groupe
• Horodatage de modification des blocs F
Les informations suivantes s'affichent en mode en ligne :
• État (si le bloc en ligne et hors ligne a le même horodatage)
• Fonction du bloc F dans le programme de sécurité
• Signature de bloc hors ligne
• Signature de groupe hors ligne
• Signature de bloc en ligne
• Signature de groupe en ligne
Remarque
Lors d'une comparaison hors ligne-en ligne, il peut arriver que l'état de comparaison diffère
entre l'éditeur de comparaison et la visualisation d'état dans l'éditeur Safety Administration
Editor. C'est le résultat de la comparaison dans l'éditeur de comparaison qui fait foi, car c'est
la seule comparaison qui prend en compte le contenu des blocs F.
Remarque
Les signatures de groupe se forment à partir des signatures des blocs F qui sont contenus
dans le groupe ou des sous-groupes. Seuls sont pris en compte les blocs F qui sont utilisés
dans le programme de sécurité. Seules les signatures de groupe jusqu'au 6e niveau
hiérarchique sont affichées.

3.5 Section "F-compliant PLC data types" (S7-1200, S7-1500)
Fonction de filtre
Avec la fonction de filtre, vous pouvez choisir de voir tous les blocs F d'un groupe d'exécution
F donné ou du programme de sécurité entier.
• Sélectionnez "All F-blocks" dans la liste déroulante pour voir tous les blocs F.
• Sélectionnez un groupe d'exécution F dans la liste déroulante pour voir tous les blocs F de
ce groupe d'exécution F.
3.5 Section "F-compliant PLC data types" (S7-1200, S7-1500)
vue d'ensemble
La section "F-compliant PLC data types" fournit des informations sur les types de données API
(UDT) conformes F que vous avez définis.
Vous pouvez y supprimer des types de données API (UDT) conformes F via le menu
contextuel.
Vous trouverez une description des types de données API (UDT) conformes F sous "Types de
données API (UDT) conformes F (S7-1200, S7-1500) (Page 124)".

3.6 Section "Web server F-admins" (S7-1200, S7-1500)
Informations affichées
Les informations suivantes sur les types de données API (UDT) conformes F s'affichent en
mode hors ligne :
• Le type de données API conforme F est-il utilisé dans le programme de sécurité ?
• Horodatage de la dernière modification
Les informations suivantes sur les types de données API (UDT) conformes F s'affichent en
mode en ligne :
• État (si les types de données API (UDT) conformes F en ligne et hors ligne ont le même
horodatage)
Les types de données API (UDT) conformes F s'affichent alors hiérarchiquement comme dans
le dossier "Types de données API".
Un double clic ouvre le type de données API (UDT) conforme F pour édition.
Vous trouverez une description des icônes dans la colonne "Status" sous "Comparaison de
programmes de sécurité (Page 331)".
Remarque
Lors d'une comparaison hors ligne-en ligne, il peut arriver qu'un état de comparaison diffère
entre l'éditeur de comparaison et la visualisation d'état dans l'éditeur Safety Administration
Editor. C'est le résultat de la comparaison dans l'éditeur de comparaison qui fait foi, car c'est
la seule comparaison qui prend en compte le contenu des types de données API (UDT)
conformes F.
3.6 Section "Web server F-admins" (S7-1200, S7-1500)

Vous avez besoin du droit "F-admin" pour effectuer la restauration d'une copie de sauvegarde
(Page 320) via le serveur Web de votre CPU F. Vous affectez le droit "F-admin" dans la gestion
des utilisateurs du serveur Web dans la configuration matérielle de la CPU F.
Dans cette section, vous pouvez vous renseigner sur les utilisateurs qui ont le droit "F-admin"
en ligne ou hors ligne pour les CPU F qui prennent en charge ce droit. Vous voyez ainsi si une
modification du droit "F-admin" est en vigueur dans la CPU F. Pour qu'une modification du
droit "F-admin" prenne effet, vous devez charger la configuration dans la CPU F.
Voir aussi
Intégralité et correction de la configuration matérielle (Page 366)

3.7 Section "Settings"
"Assignment of block numbers generated by the safety system"

Les plages de numéros paramétrées ici sont utilisées par le système F pour les nouveaux blocs
F créés automatiquement.
Vous pouvez choisir ici si les plages de numéros sont gérées par le système ou si une plage
fixe que vous spécifiez est utilisée.
• "F-system managed"
Les plages de numéros sont gérées automatiquement par le système F en fonction de la
CPU F utilisée. Le système F choisit une plage de numéros libre. Les plages de début et de
fin des plages de numéros sont affichées.
• "Fixed range"
Vous pouvez choisir vous-même les plages de début et de fin des plages de numéros dans
la plage libre. La plage libre dépend de la CPU F utilisée.
Un choix invalide de plage de numéros est signalé par un message d'erreur.
Lors de la configuration, le système vérifie uniquement si la limite inférieure paramétrée
est inférieure ou égale à la limite supérieure et se situe dans la plage libre de la CPU F. Ce
n'est qu'à la compilation que la plage configurée est contrôlée pour savoir si elle est
suffisamment grande. Vous devez vous assurer que la plage est suffisamment grande. Une
erreur de compilation se produit si la plage disponible ne suffit pas. Les blocs ne sont pas
tous générés et le programme de sécurité n'est pas exécutable.
Les changements ne s'appliquent que lors de la compilation suivante. Lors de la compilation,
les blocs F créés automatiquement sont déplacés dans la nouvelle plage si nécessaire. Les DB
de périphérie F constituent une exception. Ils conservent toujours leur numéro d'origine que
vous pouvez modifier si nécessaire dans les propriétés de la périphérie F.

"Safety system version"

Ce paramètre vous permet de définir la version du système Safety (notamment la version des
blocs système F et des blocs F générés automatiquement, voir Vue d'ensemble de la
programmation (Page 108)).
Plusieurs versions sont disponibles :
Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion3
1.6 — x x Ces versions sont fonctionnellement identiques.
2.0 x x1 x2 Selon la version paramétrée, les temps d'exécution du ou des groupes
d'exécution F peuvent s'avérer différents (voir le fichier Excel de calcul
des temps de réaction sur Internet
2.1 — x1 x2 Prend également en charge les variables "DISABLE" et "DISABLED" dans le
DB de périphérie F.
2.2 — x1 x2 Prend en charge la communication CPU-CPU de sécurité et la communi-
cation entre groupes d'exécution F avec Flexible F-Link.
2.3 — x1 x2 Cette version est fonctionnellement identique à la version 2.2.
2.4 — x1, 4 x2 Prend également en charge :
• les CPU F
• Mode Fast Commissioning avec "Fast Compile"
• le temps imparti pour le mode de sécurité désactivé (Runtime for the
deactivated safety mode)
2.5 — — x5 Prend également en charge :
• Mode Fast Commissioning avec "Consistent Compile"
1 Prise en charge à partir du firmware V4.2

3 Après la migration de projets créés avec S7 Distributed Safety V5.4 SP5, la version 1.0 est automatiquement paramétrée
pour identifier les projets migrés qui n'ont pas encore été compilés avec STEP 7 Safety Advanced.
4 Le mode Fast Commissioning avec "Fast Compile" est pris en charge à partir du firmware V4.5.
5 Le mode Fast Commissioning avec "Consistent Compile" est pris en charge à partir du firmware V3.0. Pour le S7-1500 F
Software Controller, il n'est disponible que pour des IPC validés à partir du firmware V30.0.
Vous n'avez généralement pas besoin de configurer ce paramètre.

Lors de la création d'une nouvelle CPU F avec STEP 7 Safety, la version la plus récente
disponible pour la CPU F créée est automatiquement prédéfinie.
"Local data used in safety program" (S7-300, S7-400)

Ce paramètre permet de définir le volume de données locales temporaires en octets qui sont
disponibles pour la hiérarchie d'appel sous le Main Safety Block.
Le paramétrage s'applique à chaque groupe d'exécution F d'un programme de sécurité. Vous
trouverez plus d'informations sur les groupes d'exécution F sous "Structure du programme de
sécurité (S7-1200, S7-1500) (Page 110)" ou. "Structure du programme de sécurité (S7-300,
S7-400) (Page 108)".

Le volume minimum à régler est déterminé par les besoins en données locales des blocs F
ajoutés automatiquement lors de la compilation du programme de sécurité.
Vous devez donc fournir 440 octets au minimum. Toutefois, le besoin en données locales
pour les blocs F ajoutés automatiquement peut être plus élevé en fonction des besoins en
données locales des blocs F que vous avez créés en LOG ou CONT.
C'est pourquoi il faut fournir autant de données locales que possible. Le programme de
sécurité sera compilé même s'il n'y a pas suffisamment de données locales pour les blocs F
ajoutés automatiquement (au moins 440 octets).
Dans ce cas, des données dans les DB F ajoutés automatiquement seront utilisées à la place
des données locales. Cela augmentera toutefois le temps d'exécution du ou des groupes
d'exécution F. Vous serez notifié si les blocs F ajoutés automatiquement auraient besoin de
plus de données locales que configuré.
ATTENTION
Le calcul du temps d'exécution maximal du groupe d'exécution F avec le fichier Excel de

calcul des temps de réaction
(https://support.industry.siemens.com/cs/ww/fr/view/109783831) n'est plus correct dans ce
cas, car il présuppose qu'il y a suffisamment de données locales F disponibles.
Utilisez dans ce cas lors du calcul des temps de réaction max. à une erreur ou de temps
d'exécution du système standard avec le fichier Excel mentionné ci-dessus pour le temps
d'exécution max. du groupe d'exécution F la valeur configurée pour le temps de cycle max.
du groupe d'exécution F (temps de surveillance F). (S004)
Le volume maximal paramétrable dépend :

• des données locales requises par le Main Safety Block et par le programme utilisateur
standard hiérarchiquement supérieur. C'est pourquoi vous devriez appeler les Main Safety
Blocs directement dans des OB (si possible dans des OB d'alarme cyclique) et ne pas
déclarer de données locales supplémentaires dans ces OB d'alarme cyclique.
• du volume maximal de données locales pour la CPU F utilisée (voir les caractéristiques
techniques dans l'information produit pour la CPU F utilisée). Pour les CPU F S7-400, vous
pouvez configurer les données locales par classe de priorité. Vous devez donc attribuer le
maximum de données locales possible pour les classes de priorité dans lesquelles le
programme de sécurité (les Main Safety Blocs) est appelé (par exemple, l'OB 35).

Volume maximum possible de données locales en fonction des besoins en données locales du
Main Safety Block et du programme utilisateur standard de niveau supérieur (S7-300, S7-400) :
Cas 1 : Main Safety Block appelé directement dans des OB
Définissez le paramètre "Local data used in safety program" au volume maximal de données
locales de la CPU F utilisée moins les besoins en données locales du Main Safety Block (pour 2
groupes d'exécution F, du Main Safety Block ayant le plus grand besoin en données locales)
moins les besoins en données locales de l'OBx appelant (pour 2 groupes d'exécution F, de
l'OBx ayant le plus grand besoin en données locales).
Remarque : Si vous n'avez pas déclaré de données locales temporaires dans les Main Safety
Blocks et l'OBx appelant, les besoins en données locales sont de 6 octets pour les Main Safety
Blocks et de 26 octets pour l'OBx appelant. Vous pouvez éventuellement déduire les besoins
en données locales des Main Safety Blocks et de l'OBx appelant de la structure du
programme.
Dans le navigateur du projet, sélectionnez la CPU F utilisée, puis "Outils > Structure d'appels".
Le tableau vous donne les besoins en données locales dans le chemin ou pour les différents
blocs (voir aussi l'aide de STEP 7).

Cas 2 : Le Main Safety Block n'est pas appelé directement dans des OB
Définissez le paramètre "Local data used in safety program" à la valeur calculée pour le cas 1
moins les besoins en données locales du programme utilisateur standard A (pour 2 groupes
d'exécution F, du programme utilisateur standard A ayant le plus grand besoin en données
locales).
Remarque : Vous pouvez déduire les besoins en données locales du programme utilisateur
standard A de la structure du programme.
Dans le navigateur du projet, sélectionnez la CPU F utilisée, puis "Outils > Structure d'appels".
Le tableau vous donne les besoins en données locales dans le chemin ou pour les différents
blocs (voir aussi l'aide de STEP 7).
"Advanced settings" (paramètres avancés)
"Safety mode can be disabled" (le mode de sécurité peut être désactivé)
Avec cette option, vous pouvez empêcher que le mode de sécurité d'un programme de
sécurité soit désactivé.
Sous "Runtime for the deactivated safety mode" (temps d'exécution pour mode de sécurité
désactivé), vous paramétrez le temps à l'expiration duquel la CPU F passe à l'arrêt après la
désactivation du mode de sécurité.
Vous devez recompiler le programme de sécurité après une modification de l'option et le
charger dans la CPU F pour que la modification entre en vigueur. Cela entraîne la
modification de la signature globale F et de la signature globale SW F de votre programme de
sécurité.
Assurez-vous que l'option est désactivée en mode production, afin d'exclure toute
désactivation involontaire du mode de sécurité.

"Activation of F-change history" (activation de l'historique des modifications F)

L'option "Activation of F-change history" permet d'activer la consignation des modifications
apportées au programme de sécurité. Vous trouverez plus d'informations sous "Historique des
modifications F (Page 358)".
"Enable consistent upload from the F-CPU" (autoriser le chargement cohérent de la

CPU F) (S7-1500)
Cette option vous permet de charger les données de projet chargées (y compris les données
de projet de sécurité) de manière cohérente de la CPU F dans la PG/le PC.
Cette option ne peut être activée que si la CPU F et le firmware de la CPU F acceptent le
chargement des données de projet (y compris des données de projet de sécurité).
Les CPU F S7-1500 à partir du firmware V2.1 sont prises en charge. Les contrôleurs logiciels
S7-1500 F ne sont pas pris en charge.
Vous devez charger les données de projet dans la CPU F pour chaque modification de cette
option.
Notez que l'activation de cette option allonge le chargement des données de projet de
sécurité dans la CPU F.
"Enable variable F-communication IDs" (activer les ID de communication F variables)

(S7-1200, S7-1500)
Lorsque vous activez cette option, vous pouvez affecter à l'entrée DP_DP_ID des instructions
SENDDP et RCVDP des valeurs variables provenant d'un DB F global.
ATTENTION
La valeur de l'ID de communication F respective (entrée DP_DP_ID, type de données INT)

peut être choisie librement**, mais elle doit être unique à tout moment à l'échelle du
réseau* et de la CPU**** pour toutes les liaisons de communication de sécurité. L'unicité
doit être vérifiée dans l'impression du programme de sécurité lors de la réception du
programme de sécurité.
Vous devez connecter les entrées DP_DP_ID et LADDR à des valeurs constantes*** lors de
l'appel de l'instruction. Les accès directs en écriture à DP_DP_ID et LADDR dans le DB
d'instance correspondant ne sont pas autorisés dans le programme de sécurité. (S016)
(IP, couche 3).
** S7-1200/1500 : À partir de la version V3.0 des instructions SENDDP et RCVDP, aucune
communication n'est établie si l'ID de communication F à l'entrée DP_DP_ID est égale à "0".

3.8 Section "Flexible F-Link" (S7-1200, S7-1500)
*** S7-1200/1500 : À partir de la version V3.0 des instructions SENDDP et RCVDP, vous
pouvez également affecter à l'entrée DP_DP_ID des valeurs variables provenant d'un DB F
global. Dans ce cas également, vous devez contrôler lors de la réception du programme de
sécurité que l'unicité est garantie à tout moment en vérifiant l'algorithme de génération de la
valeur variable en conséquence. Si vous ne pouvez pas garantir une ID de communication F
unique au démarrage du programme de sécurité, car elle n'est définie qu'après le démarrage
du programme de sécurité, vous devez veiller à ce que la valeur à l'entrée DP_DP_ID soit égale
à "0" dans cette phase.
redondant sont à considérer comme une CPU F en ce qui concerne DP_DP_ID.
"System generated objects" (objets générés par le système) (S7-1200, S7-1500)

"Create F-I/O DB without prefix" (créer des DB de périphérie F sans préfixe)
Si vous activez cette option, les noms des DB de périphérie F (Page 163) sont créés sans
préfixe.
"Clean up" (nettoyage)
Le bouton "Clean up" est prévu aux fins de service et d'assistance et nettoie le résultat de la
compilation de sécurité.

Dans la section "Flexible F-Link", vous créez de nouvelles communications F, vous recevez des
informations sur les communications F existantes et vous supprimez des communications F.
Condition
• CPU F S7-1500 à partir du firmware V2.0
• Version du système Safety à partir de V2.2
Informations sur les communications F créées

La section "Flexible F-Link" contient un tableau avec des informations sur les communications
F configurées ;
• Nom de la communication F unique à l'échelle de la CPU
• Type de données API (UDT) conforme F pour les données d'émission/de réception
• Sens de la communication F : émission/réception
• Temps de surveillance F de la communication F
• UUID de communication F
• Variable pour les données d'émission
• Variable pour les données de réception

Créer une communication F

1. Dans une ligne vide du tableau, cliquez avec la souris sur "<Ajouter nouveau>".
2. Attribuez un nom à la liaison de communication.
3. Sélectionnez un type de données API (UDT) conforme F pour la liaison de communication.
SI vous n'avez pas encore créé de type de données API (UDT) conforme F pour la liaison de
communication ou si vous voulez en créer un nouveau, créez un nouveau type de
données API (UDT) conforme F (Page 124) de structure quelconque. Tenez compte du fait
que la taille doit être de 100 octets au maximum.
4. Sélectionnez le sens de la liaison de communication (émission ou réception).
5. Sélectionnez le temps de surveillance F de la liaison de communication (Page 603).
L'UUID de la communication F via Flexible F-Link s'affiche dans la colonne "F-communication
UUID". L'UUID de communication F garantit une unicité suffisante de l'ID de communication
de sécurité même par-delà les limites de réseau.
La colonne "Send data tag" (variable pour les données d'émission) affiche la nouvelle variable
créée pour les données d'émission du DB de communication F (Page 293).
La colonne "Receive data tag" (variable pour les données de réception) affiche la nouvelle
variable créée pour les données de réception du DB de communication F (Page 293).
Le nouveau DB de communication F créé pour cette communication F se trouve sous "Blocs
de programme\Blocs système\STEP 7 Safety\DB de communication F".
Supprimer une communication F

1. Sélectionnez toute la ligne, puis choisissez "Delete" dans le menu contextuel. Vous pouvez
aussi supprimer plusieurs communications F simultanément.
Copier une communication F

1. Sélectionnez toute la ligne, puis choisissez "Copy" dans le menu contextuel. Vous pouvez
aussi copier plusieurs communications F simultanément.
2. La commande "Paste" vous permet d'insérer les communications F copiées autant de fois
que souhaité dans le tableau. L'UUID pour la communication F respective est conservée lors
de la copie. Vous devez donc générer de nouvelles UUID si nécessaire.
Générer une nouvelle UUID de communication F

1. Sélectionnez toute la ligne, puis choisissez "Generate UUID" dans le menu contextuel. Vous
pouvez aussi générer plusieurs UUID simultanément.
Voir aussi
Flexible F-Link (Page 289)
Communication entre groupes d'exécution F (S7-1200, S7-1500) (Page 144)

Protection d'accès 4
Protection d'accès nécessaire pour le mode production
Une protection d'accès au système F SIMATIC Safety est absolument nécessaire pour le mode
production.
Aucune protection d'accès n'est initialement nécessaire aux fins de test, mise en service, etc.
Cela signifie que vous pouvez exécuter des actions hors ligne et en ligne sans protection
d'accès, c'est-à-dire sans demande du mot de passe.
ATTENTION
L'accès au système F SIMATIC Safety sans protection d'accès est prévu aux fins de test, de
mise en service, etc., lorsque l'installation n'est pas en mode production. En l'absence de
protection d'accès, vous devez assurer la sécurité de l'installation par d'autres mesures
organisationnelles (Page 617).
Vous devez avoir configuré et activé la protection d'accès avant le passage en mode
production. (S005)
4.1 Vue d'ensemble de la protection d'accès
Introduction
Vous pouvez réguler l'accès au système F SIMATIC Safety avec la protection d'accès pour les
données de projet de sécurité et le mot de passe pour la CPU F.
Protection d'accès pour les données de projet de sécurité

La protection d'accès pour les données de projet de sécurité (Page 100) est disponible sous
deux formes :
• Attribution d'un mot de passe pour les données de projet de sécurité (au niveau de la
CPU F) dans l'éditeur Safety Administration Editor
• Configuration d'une protection de projet pour toutes les données de projet de sécurité
dans le projet TIA
Protection d'accès pour la CPU F

La protection d'accès (Page 103) est valable au niveau de la CPU F. Vous définissez pour cela
un mot de passe pour la CPU F dans la configuration de la CPU F. Ce mot de passe sert
également à l'identification de la CPU et doit donc être unique à l'échelle du réseau.

Protection d'accès
4.2 Protection d'accès pour les données de projet de sécurité

La protection d'accès pour les données de projet de sécurité affecte toutes les opérations
pour lesquelles les données de projet de sécurité peuvent être modifiées hors ligne, par
exemple :
• lors de la modification du programme de sécurité
• lors de la modification et de la suppression de groupes d'exécution F
• lors de la modification de paramètres de sécurité de la périphérie F
• lors de la compilation
Des modifications des DB standard auxquels le programme de sécurité a accès en lecture ou
en écriture requièrent une recompilation du programme de sécurité. Ces DB standard ne sont
pas soumis à la protection d'accès pour les données de projet de sécurité.
4.2.1 Protection d'accès à l'échelle de la CPU pour les données de projet de

sécurité
Configurer une protection d'accès à l'échelle de la CPU pour les données de projet de sécurité
Pour configurer la protection d'accès à l'échelle de la CPU pour les données de projet de
sécurité, attribuez un mot de passe pour le programme de sécurité. Pour cela, procédez
comme suit :
2. Sélectionnez "Safety Administration" et choisissez "Go to protection" dans le menu
contextuel.
Vous pouvez également double-cliquer sur "Safety Administration". L'éditeur Safety
Administration Editor de la CPU F s'ouvre. Sélectionnez "Access protection" dans la
navigation locale.
3. Sous "Offline safety program protection", sélectionnez le bouton "Setup" et saisissez dans la
boîte de dialogue suivante le mot de passe (30 caractères au maximum) pour le programme
de sécurité dans les champs "New password" et "Confirm password".
4. Confirmez l'attribution du mot de passe avec "OK".
Vous avez configuré la protection d'accès à l'échelle de la CPU pour les données de projet de
sécurité et obtenu les droits d'accès pour les données de projet de sécurité.
Remarque
Pour optimiser la protection d'accès, utilisez des mots de passe différents pour la CPU F et le

Protection d'accès
Modification du mot de passe pour les données de projet de sécurité

Vous pouvez modifier le mot de passe pour les données de projet de sécurité si vous possédez
les droits d'accès nécessaires. La modification du mot de passe se fait aussi dans la section
"Access protection" (au moyen du bouton "Change") et requiert comme d'habitude sous
Windows la saisie de l'ancien mot de passe et la saisie du nouveau mot de passe en double.
Supprimer la protection d'accès à l'échelle de la CPU pour les données de projet de sécurité
Pour supprimer la protection d'accès à l'échelle de la CPU pour les données de projet de
sécurité, supprimez le mot de passe pour le programme de sécurité. Pour cela, procédez
comme suit :
contextuel.
Administration Editor de la CPU F s'ouvre.
3. Sélectionnez "Access protection" dans la navigation locale.
4. Cliquez sur le bouton "Change".
5. Saisissez le mot de passe pour le programme de sécurité sous "Old password".
6. Cliquez sur "Revoke", puis sur "OK".
Obtenir des droits d'accès par connexion au programme de sécurité

Connectez-vous au programme de sécurité de la manière suivante :
contextuel.
Administration Editor de la CPU F s'ouvre.
3. Sélectionnez "Access protection" dans la navigation locale.
4. Saisissez le mot de passe pour le programme de sécurité dans le champ de saisie"Password".
5. Sélectionnez la bouton "Login".
Validité des droits d'accès pour les données de projet de sécurité

Si les droits d'accès pour les données de projet de sécurité ont été obtenus par saisie du mot
de passe, ils sont conservés jusqu'à la fermeture du projet. Lorsque TIA Portal est fermé, un
projet encore ouvert est automatiquement fermé et un droit d'accès accordé est révoqué.

Protection d'accès
Révoquer des droits d'accès par déconnexion

Les droits d'accès pour les données de projet de sécurité peuvent être révoqués comme
indiqué ci-dessous :
• Avec le bouton "Log off" dans la section "Access protection" de l'éditeur Safety
Administration Editor
• Dans le menu contextuel pour Safety Administration Editor avec le bouton droit de la
souris
• Dans le menu contextuel de l'icône de cadenas dans la ligne de l'éditeur Safety
Le mot de passe pour le programme de sécurité sera alors demandé lors de la prochaine
action nécessitant la saisie d'un mot de passe.
Affichage de la validité des droits d'accès

La validité des droits d'accès s'affiche comme suit dans le navigateur de projet :
• Les droits d'accès sont valables lorsque l'icône de cadenas dans la ligne de l'éditeur Safety
Administration Editor est représentée ouverte.
• Il n'y a pas de droits d'accès lorsque le cadenas est fermé.
• L'absence d'icône de cadenas signifie qu'aucun mot de passe n'a été attribué.
4.2.2 Protection d'accès à l'échelle du projet pour les données de projet de

sécurité
Parallèlement à la protection d'accès à l'échelle de la CPU pour les données de projet de
sécurité avec un mot de passe dans l'éditeur Safety Administration Editor, vous disposez de la
protection de projet pour le projet TIA.
Attribuez pour cela le droit fonctionnel "Edit safety-related project data" aux utilisateurs ayant
le droit d'éditer les données de projet de sécurité en procédant de la manière habituelle pour
les droits fonctionnels. Vous trouverez plus d'informations à ce sujet sous "Gérer les
utilisateurs et les rôles" dans l'aide de STEP 7.
Remarque
L'activation de la protection d'accès à l'échelle du projet peut entraîner la suppression
éventuelle de mots de passe existants pour les données de projet de sécurité pour toutes les
CPU F.
Les utilisateurs ayant besoin du droit fonctionnel "Edit safety-related project data" peuvent
éventuellement avoir besoin d'autres droits fonctionnels, par exemple :
• "Modify PLC program" pour modifier le programme de sécurité :
• "Downloading to PLC" pour charger les données de projet de sécurité dans la CPU F
• "Modify hardware configuration" pour modifier la configuration matérielle de sécurité

Protection d'accès
4.3 Protection d'accès pour la CPU F

La protection d'accès pour la CPU F affecte toutes les opérations pour lesquelles les données
de projet de sécurité peuvent être modifiées en ligne, par exemple :
• lors du chargement du programme de sécurité dans la CPU F
• (S7-300, S7-400) lors du chargement de la configuration matérielle dans la CPU F,
également pour des modifications apportées à une périphérie F qui n'est pas utilisée dans
le programme de sécurité
• (S7-1200, S7-1500) lors du chargement dans la CPU F d'une configuration matérielle
contenant des modifications de sécurité
• lors de l'affectation de l'adresse PROFIsafe
• lors du chargement ou de la suppression de blocs F utilisés dans le programme de sécurité
• lors de la désactivation du mode de sécurité ou de la réinitialisation du temps restant
(saisie toujours nécessaire même lorsque les droits d'accès pour la CPU F sont encore
valables)
• lors de la restauration d'une copie de sauvegarde de la CPU F
Exception pour les CPU F S7-1200/1500 : si cela ne modifie ni le programme de sécurité ni
le mot de passe pour la CPU F, le mot de passe pour la CPU F n'est pas demandé.
Configurer la protection d'accès pour la CPU F

Pour configurer la protection d'accès pour la CPU F, vous définissez un mot de passe pour la
CPU F dans la configuration de la CPU F.
Pour y parvenir directement, cliquez sur le lien "Go to the "Protection" area of the F-CPU" dans
la section "Access protection" de l'éditeur Safety Administration Editor. Procédez comme
décrit sous "Paramétrer les niveaux d'accès" dans l'aide de STEP 7.
ATTENTION
sécurité). (S001)

Protection d'accès
ATTENTION
protection)". Ce niveau de protection permet l'accès complet uniquement au programme
utilisateur standard et pas aux blocs F.
Si vous sélectionnez un niveau de protection supérieur, par exemple pour protéger le
programme utilisateur standard, vous devez définir un mot de passe supplémentaire pour
"Full access (no protection)".
Vous activez la protection d'accès par le chargement (Page 300) de la configuration

matérielle dans la CPU F.
ATTENTION
Si plusieurs CPU F sont accessibles via un réseau (par exemple Industrial Ethernet) à partir
de la même PG/du même PC, vous devez vous assurer que les données de projet de
sécurité sont chargées dans la bonne CPU F en prenant les mesures supplémentaires
suivantes :
Utilisez des mots de passe spécifiques à chaque CPU F, par exemple le même mot de passe
pour les CPU F avec l'adresse Ethernet de chacune en suffixe.
• Le premier chargement de la configuration matérielle pour l'activation de la protection
d'accès d'une CPU F doit se faire via une liaison point à point (de manière similaire à la
première affectation d'une adresse MPI à une CPU F).
• Avant de charger les données du projet de sécurité dans une CPU F, il faut annuler les
droits d'accès existants déjà pour une autre CPU F.
• Le dernier chargement des données du projet de sécurité avant le passage en mode
production doit se faire avec la protection d'accès activée. (S021)
ATTENTION
Il est possible que les données de projet relatives à la sécurité ne soient plus protégées
contre des modifications involontaires lorsque vous utilisez des outils pour l'automatisation
ou la commande (de TIA Portal ou du serveur Web) permettant de contourner la protection
d'accès pour la CPU F (par exemple, enregistrement ou saisie automatique d'un mot de
passe CPU pour le niveau de protection "Full access incl. fail-safe (no protection)" ou du mot
de passe du serveur Web). (S078)

Protection d'accès
4.4 Protection d'accès par des mesures organisationnelles
Modifier le mot de passe pour la CPU F

Pour que le nouveau mot de passe prenne effet après un changement du mot de passe de la
CPU F, vous devez charger la configuration modifiée dans la CPU F. Pour cette opération de
chargement, vous devez éventuellement saisir l'ancien mot de passe de la CPU F. La CPU F
doit être à l'état Arrêt.
Supprimer la protection d'accès pour la CPU F

Pour supprimer la protection d'accès pour la CPU F, supprimez le mot de passe pour la CPU F.
Procédez comme dans le système standard.
Obtenir des droits d'accès pour la CPU F

Vous obtenez les droits d'accès pour la CPU F – en fonction du niveau de protection configuré
– en saisissant le mot de passe de la CPU F avant une action exigeant le mot de passe.
Validité des droits d'accès pour la CPU F

Les droits d'accès pour la CPU F sont valables jusqu'à ce que le projet soit fermé dans TIA
Portal ou qu'ils soient révoqués.
Révoquer les droits d'accès pour la CPU F

Vous révoquez les droits d'accès avec la commande de menu "Online > Delete access rights".
ATTENTION
La validité des droits d'accès n'est pas limitée dans le temps.

Une fois les droits d'accès pour la CPU F obtenus, ils doivent être annulés avant de quitter la
PG/le PC ou d'autres mesures organisationnelles (Page 617) doivent être prises. (S006)

Tenez compte de l'avertissement suivant pour empêcher qu'un programme de sécurité soit
remplacé sans autorisation lors du remplacement de supports de données amovibles (par
exemple, carte flash, microcarte mémoire SIMATIC ou disque dur pour WinAC RTX F ou le
contrôleur logiciel S7-1500 F) :
ATTENTION
Par des mesures organisationnelles (Page 617), vous devez restreindre l'accès à la CPU F aux
personnes habilitées à enficher des supports de données amovibles. (S079)

Protection d'accès
Tenez compte de l'avertissement suivant pour empêcher qu'un WinAC RTX F ou un contrôleur
logiciel S7-1500 F soit désinstallé et installé accidentellement :
ATTENTION
Par des mesures organisationnelles (Page 617), vous devez restreindre l'accès à un WinAC
RTX F ou un contrôleur logiciel S7-1500 F aux personnes habilitées à désinstaller et installer
ou réparer un WinAC RTX F ou un contrôleur logiciel S7-1500 F (par exemple, avec le droit
d'administrateur Windows (ADMIN)). (S075)
Pour un contrôleur logiciel S7-1500 F avec une version de station PC jusqu'à V2.1 incluse, la
fonction "Delete Configuration" n'est proposée sur le PC Station Panel que si aucune
protection d'accès n'est configurée dans la CPU F.
Pour une station PC à partir de la version V2.2, le système vérifie si l'utilisateur Windows
actuel est membre du groupe d'utilisateurs Windows "Failsafe Operators". Si l'utilisateur
Windows connecté est membre du groupe, il peut exécuter la fonction "Delete Configuration"
même si un mot de passe F est défini. Si l'utilisateur Windows connecté n'est pas membre du
groupe, la station PC se comporte comme jusqu'à la version V2.1.
Nous vous recommandons donc de ne configurer la protection d'accès F qu'après la mise en
service.
Afin d'éviter, sur une CPU F S7-1500, une restauration involontaire des données du projet de
sécurité, le formatage de la CPU F et la suppression de dossiers de programme à l'écran, tenez
compte de l'avertissement suivant :
ATTENTION
Le mot de passe de l'écran ne doit être connu que des personnes habilitées à restaurer les
données du projet de sécurité, à formater la CPU F et à supprimer les dossiers de
programme. Si aucun mot de passe n'est défini pour l'écran, vous devez protéger l'écran
contre toute manipulation non autorisée par des mesures organisationnelles (Page 617).
(S063)

Protection d'accès
Afin d'éviter, sur une CPU F S7-1200/1500, une restauration involontaire des données du
projet de sécurité du programme de sécurité avec le serveur web, tenez compte de
l'avertissement suivant :
ATTENTION
L'autorisation "F-admin" pour le serveur Web sans protection par mot de passe (utilisateur
"Everybody") est uniquement prévue aux fins de test, mise en service, etc., c'est-à-dire
uniquement lorsque l'installation n'est pas en mode production. Dans ce cas, vous devez
assurer la sécurité de l'installation par d'autres mesures organisationnelles (Page 617).
Avant le passage en mode production, vous devez révoquer le droit "F-admin" pour
l'utilisateur "Everybody".
Le mot de passe de l'utilisateur du serveur Web avec le droit "F-admin" ne doit être
accessible qu'aux personnes habilitées. Après le chargement de la configuration matérielle,
vérifiez que seuls les utilisateurs habilités du serveur Web disposent du droit "F-admin" sur la
CPU F. Utilisez pour cela le mode en ligne de l'éditeur Safety Administration Editor.
L'enregistrement du fichier de connexion ainsi que du mot de passe du serveur Web dans le
navigateur n'est autorisé que si d'autres mesures organisationnelles (Page 617) empêchent
une utilisation par des personnes non autorisées.
Si vous utilisez le mécanisme de ticket, vous devez gérer les tickets de manière aussi
restrictive que le mot de passe de l'utilisateur du serveur Web doté du droit "F-admin".
(S064)

Programmation 5
5.1 Vue d'ensemble de la programmation
Introduction
Un programme de sécurité est constitué de blocs F que vous créez en langage de
programmation LOG ou CONT et de blocs F qui sont ajoutés automatiquement. Le
programme de sécurité que vous avez créé est ainsi automatiquement complété par des
mesures de détection et de maîtrise des erreurs et des contrôles de sécurité supplémentaires
sont effectués. Vous pouvez en outre intégrer dans votre programme de sécurité des
fonctions de sécurité préconfigurées spéciales sous forme d'instructions.
La suite vous donnera une vue d'ensemble sur
• la structure du programme de sécurité
• les blocs de sécurité
• les différences entre la programmation du programme de sécurité avec LOG/CONT et la
programmation de programmes utilisateur standard
5.1.1 Structure du programme de sécurité (S7-300, S7-400)
Représentation de la structure du programme

Un programme de sécurité est structuré en un ou deux groupes d'exécution F.
Chaque groupe d'exécution F contient :
• des blocs F que vous créez avec LOG ou CONT ou que vous insérez à partir de la
bibliothèque du projet ou de bibliothèques globales
• des blocs F ajoutés automatiquement (blocs système de sécurité SB F, blocs F générés
automatiquement et DB de périphérie F)

Programmation
La figure suivante montre la structure schématique d'un programme de sécurité ou d'un

groupe d'exécution F pour une CPU F S7-300/400.

Programmation
Main Safety Block

Le Main Safety Block est le premier bloc F du programme de sécurité que vous programmez
vous-même. Lors de la compilation, il est complété par des appels invisibles supplémentaires
de blocs système F.
Vous devez affecter le bloc Main Safety Block à un groupe d'exécution F (Page 131).
Le Main Safety Block est appelé à partir d'un bloc quelconque du programme utilisateur
standard dans une CPU F S7-300/400. Nous recommandons que l'appel se fasse dans un OB
3x.
Groupes d'exécution F
Pour faciliter la manipulation, un programme de sécurité est constitué d'un ou deux "groupes
d'exécution F". Un groupe d'exécution F consiste en un assemblage logique de plusieurs blocs
F associés qui est formé en interne par le système F.
Un groupe d'exécution F se compose :
• d'un Main Safety Block (FB F/FC F que vous affectez à l'OB appelant (FB/FC le cas échéant))
• d'éventuels FB F/FC F supplémentaires que vous programmez avec LOG/CONT et appelez
dans le Main Safety Block
• d'un ou plusieurs DB F le cas échéant
• de DB de périphérie F
• de blocs F de la bibliothèque du projet ou de bibliothèques globales
• de blocs système de sécurité SB F
• de blocs F générés automatiquement
Structuration du programme de sécurité en deux groupes d'exécution F

Vous pouvez subdiviser votre programme de sécurité en deux groupes d'exécution F. Si vous
exécutez des parties du programme de sécurité (un groupe d'exécution F) à un niveau
d'exécution plus rapide, les boucles de sécurité seront plus rapides avec des temps de
réaction plus courts.
5.1.2 Structure du programme de sécurité (S7-1200, S7-1500)
Représentation de la structure du programme

Un programme de sécurité est structuré en un ou deux groupes d'exécution F.

Programmation
Chaque groupe d'exécution F contient :

• des blocs F que vous créez avec LOG ou CONT ou que vous insérez à partir de la
bibliothèque du projet ou de bibliothèques globales
• des blocs F ajoutés automatiquement (blocs système de sécurité SB F, blocs F générés
automatiquement, DB d'informations sur le groupe d'exécution F et DB de périphérie F)
La figure suivante montre la structure schématique d'un programme de sécurité ou d'un
groupe d'exécution F pour une CPU F S7-1200/1500.

Programmation
Main Safety Block

Le Main Safety Block est le premier bloc F du programme de sécurité que vous programmez
vous-même.
Vous devez affecter le bloc Main Safety Block à un groupe d'exécution F (Page 131).
Le Main Safety Block est appelé par l'OB F affecté au groupe d'exécution F dans une CPU F
S7-1200/1500.
Groupes d'exécution F
Pour faciliter la manipulation, un programme de sécurité est constitué d'un ou deux "groupes
d'exécution F". Un groupe d'exécution F consiste en un assemblage logique de plusieurs blocs
F associés qui est formé en interne par le système F.
Un groupe d'exécution F se compose :
• d'un OB F qui appelle le Main Safety Block
• d'un Main Safety Block (FB F/FC F que vous affectez à l'OB F)
• d'éventuels FB F/FC F supplémentaires que vous programmez avec LOG/CONT et appelez
dans le Main Safety Block
• d'un ou plusieurs DB F le cas échéant
• de DB de périphérie F
• DB d'informations sur le groupe d'exécution F
• de blocs F de la bibliothèque du projet ou de bibliothèques globales
• de blocs système de sécurité SB F
• de blocs F générés automatiquement
• d'un bloc de prétraitement et/ou de post-traitement le cas échéant (voir
Prétraitement/post-traitement (S7-1200, S7-1500) (Page 86))
Prétraitement/post-traitement d'un groupe d'exécution F

Vous avez la possibilité d'appeler des blocs du programme utilisateur standard (FC)
directement avant ou après un groupe d'exécution F. Par exemple pour le transfert de
données lors de la communication de sécurité via Flexible F-Link. (voir Prétraitement/post-
traitement (S7-1200, S7-1500) (Page 86))

Programmation
Structuration du programme de sécurité en deux groupes d'exécution F

Vous pouvez subdiviser votre programme de sécurité en deux groupes d'exécution F. Si vous
exécutez des parties du programme de sécurité (un groupe d'exécution F) à un niveau
d'exécution plus rapide, les boucles de sécurité seront plus rapides avec des temps de
réaction plus courts.
Voir aussi
DB d'informations sur le groupe d'exécution F (S7-1200, S7-1500) (Page 152)
5.1.3 Programme de sécurité dans l'unité logicielle (unité Safety) (S7-1500)
Introduction
Si vous souhaitez également utiliser les avantages des unités logicielles pour le programme
de sécurité, par exemple la compilation et le chargement indépendants, vous pouvez utiliser
des unités Safety.
Les blocs du programme de sécurité se trouvent alors exclusivement dans l'unité Safety et ne
peuvent plus être créés dans le dossier "blocs de programme" directement sous la CPU F.
La décision d'utiliser l'unité Safety doit être prise avant de créer la CPU F. Après la création de
la CPU F, la décision ne peut plus être modifiée pour cette CPU F.
Condition
• CPU F S7-1500 à partir du FW V2.6
• Sous "Options/Settings/STEP 7 Safety", la case à cocher "Manage fail-safe in 'Software
Units' environment" (Gestion du programme de sécurité dans 'unités Safety') est
sélectionnée.
• La CPU F est nouvellement créée.

Programmation
Programme de sécurité dans l'unité Safety

Après la création d'une nouvelle CPU F, le programme de sécurité se trouve dans l'unité
Safety.
Utilisez pour l'échange de données entre le programme de sécurité et le programme

utilisateur standard un bloc de données de transfert (Page 191) que vous créez dans l'unité
Safety comme DB global standard.
Pour plus d'informations sur les unités logicielles, voir l'aide de STEP 7, sous "Utiliser des
unités logicielles".
Particularités
• Vous ne pouvez pas stocker l'unité Safety dans une bibliothèque.
• Les blocs système dans l'unité Safety ne peuvent pas être publiés.

Programmation
5.1.4 Blocs F
Blocs F d'un groupe d'exécution F

Le tableau suivant montre les blocs F que vous utilisez dans un groupe d'exécution F :
Bloc F Fonction CPU F S7- CPU F S7-

300/400 1200/
1500
Main Safety Le Main Safety Block constitue le point d'entrée dans la programmation du X X
Block programme de sécurité.
Dans les CPU F S7-300/400, le Main Safety Block est une FC F ou un FB F (avec
DB d'instance) qui est appelé par un bloc standard (recommandation : OB 35)
dans le programme utilisateur standard.
Dans les CPU F S7-1200/1500, le Main Safety Block est une FC F ou un FB F
(avec DB d'instance) qui est appelé par l'OB F.
FB F/FC F Vous pouvez effectuer les opérations suivantes dans le Main Safety Block X X
comme dans les FB F et FC F supplémentaires :
• Programmer le programme de sécurité avec les instructions disponibles en
LOG ou CONT pour les blocs F
• Appeler d'autres FB F/FC F créés pour structurer le programme de sécurité
• Insérer des blocs F de la bibliothèque du projet ou de bibliothèques glo-
bales
DB F Blocs de données de sécurité optionnels auxquels il est possible d'accéder en X X
lecture et en écriture dans l'ensemble du programme de sécurité
DB de périphé- Lors de la configuration de la périphérie F, un DB de périphérie F est généré X X
rie F automatiquement pour chaque périphérie F. Vous pouvez ou devez accéder
aux variables du DB de périphérie F en relation avec les accès à la périphérie F.
DB global F Le DB global F est un bloc de données de sécurité qui contient toutes les don- X —
nées globales du programme de sécurité, ainsi que des informations supplé-
mentaires dont le système F a besoin.
DB d'informa- Un DB d'informations sur le groupe d'exécution F est généré lors de la création — X
tions sur le d'un groupe d'exécution F.
groupe d'exécu- Le DB d'informations sur le groupe d'exécution F fournit des informations sur
tion F le groupe d'exécution F et sur l'ensemble du programme de sécurité.
Remarque
Il est interdit d'insérer des blocs système F du dossier "Blocs système" dans un Main Safety
Block/FB F/FC F.

Programmation
Instructions pour le programme de sécurité

La Task Card "Instructions" contient les instructions que vous pouvez utiliser pour
programmer le programme de sécurité en fonction de la CPU F mise en œuvre.
Vous y trouverez des instructions que vous connaissez du programme utilisateur standard,
comme les opérations logiques sur bits, les fonctions mathématiques, les fonctions de
gestion du programme et les opérations logiques sur mots.
Il y a en outre des instructions avec des fonctions de sécurité, par exemple pour la
surveillance de commande bimanuelle, l'analyse de discordance, l'inhibition (muting),
l'arrêt/la coupure d'urgence, la surveillance de protecteur mobile, la surveillance du circuit de
réaction, ainsi que des instructions pour la communication de sécurité entre CPU F.
Vous trouverez une description détaillée des instructions pour le programme de sécurité sous
Vue d'ensemble des instructions (Page 393).
Utiliser des versions d'instruction

Tout comme les instructions pour le programme utilisateur standard, les instructions pour le
programme de sécurité peuvent avoir différentes versions.
Vous trouverez plus d'informations sur les versions des instructions sous "Informations de
base concernant les versions d'instruction" dans l'aide de STEP 7.
Vous trouverez des informations supplémentaires sur les différences entre les versions
individuelles des instructions pour le programme de sécurité dans le chapitre décrivant
l'instruction concernée.
Remarque
Tenez compte des remarques suivantes :
• Si, dans la Task Card "Instructions", vous modifiez la version d'une instruction utilisée dans
le programme de sécurité à une version qui n'est pas identique fonctionnellement, il est
possible que la fonction de votre programme de sécurité change après la recompilation du
programme de sécurité. Outre la signature du bloc F qui utilise l'instruction, la signature
globale F et la signature globale SW F de votre programme de sécurité changent
également. Vous devrez procéder à une réception des modifications (Page 379) le cas
échéant.
• (S7-300/400) Si vous utilisez dans votre programme de sécurité un bloc F avec protection
du know-how qui utilise une instruction dans une version différente de celle configurée
dans la Task Card "Instructions" et que l'interface des versions d'instruction est identique,
ce bloc sera adapté à la version configurée dans la Task Card "Instructions" lors de la
compilation du programme de sécurité sans saisie du mot de passe pour le bloc F avec
protection du know-how. Si les versions de l'instruction ne sont pas identiques
fonctionnellement, la fonction du bloc F avec protection du know-how s'en trouvera
éventuellement modifiée, ce qui est toujours le cas de sa signature.

Programmation
5.1.5 Restrictions pour les langages de programmation LOG/CONT
Langages de programmation LOG et CONT

Le programme utilisateur dans la CPU F est généralement constitué d'un programme
utilisateur standard et d'un programme de sécurité.
Le programme utilisateur standard est écrit dans les langages de programmation standard,
par exemple SCL, LIST, CONT ou LOG.
CONT ou LOG sont possibles pour le programme de sécurité avec certaines restrictions
concernant les instructions et les types de données et plages d'opérandes utilisables. Tenez
également compte des remarques sur les restrictions pour les différentes instructions.
Instructions prises en charge

Les instructions disponibles dépendent de la CPU F utilisée. La description des instructions
(sous Instructions STEP 7 Safety V18 (Page 393)) indique les instructions prises en charge.
Remarque
La connexion de l'entrée de validation EN ou de la sortie de validation ENO n'est pas possible.
Exception :
(S7-1200, S7-1500) Vous pouvez programmer une détection de débordement pour les
instructions suivantes en connectant la sortie de validation ENO :
• ADD : Addition (STEP 7 Safety V18) (Page 518)
• SUB : Soustraction (STEP 7 Safety V18) (Page 522)
• MUL : Multiplication (STEP 7 Safety V18) (Page 525)
• DIV : Division (STEP 7 Safety V18) (Page 528)
• NEG : Créer le complément à 2 (STEP 7 Safety V18) (Page 531)
• ABS : Valeur absolue (STEP 7 Safety V18) (S7-1200, S7-1500) (Page 535)
• CONVERT : Convertir valeur (STEP 7 Safety V18) (Page 546)
Types de données et de paramètres pris en charge

Seuls les types de données suivants sont pris en charge :
• BOOL
• INT
• WORD
• DINT
• DWORD (S7-300, S7-400)
• TIME

Programmation
• ARRAY, ARRAY[*] lors de l'utilisation des instructions RD_ARRAY_I : Lire valeur dans un
tableau F INT (STEP 7 Safety V18) (S7-1500) (Page 537) et RD_ARRAY_DI : Lire valeur dans
un tableau F DINT (STEP 7 Safety V18) (S7-1500) (Page 540)
Restrictions :
– ARRAY uniquement dans les DB globaux F
– Limites ARRAY : 0 à 10000 max.
– ARRAY[*] uniquement comme paramètre d'entrée/sortie (InOut) dans les FC F et FB F
– ARRAY of UDT n'est pas autorisé.
– ARRAY of Bool n'est pas autorisé.
– ARRAY of Word n'est pas autorisé.
– ARRAY of Time n'est pas autorisé.
• Type de données API (UDT) conforme F (S7-1200, S7-1500)
Remarque
La CPU F peut passer à l'état Arrêt si le résultat d'une instruction se situe hors de la plage
autorisée pour le type de données. La cause de l'événement de diagnostic est inscrite dans le
tampon de diagnostic de la CPU F.
Vous devez donc veiller dès la création du programme à ce que la plage autorisée pour le type
de données soit respectée, ou bien choisissez un type de données adapté ou utilisez la sortie
ENO.
Tenez compte de la description des différentes instructions.
Types de données et de paramètres interdits

Les types suivants sont interdits :
• Tous les types qui ne figurent pas dans le paragraphe "Types de données et de paramètres
pris en charge" (par exemple, BYTE, REAL)
• Les types de données composés (par exemple, STRING, ARRAY (S7-300, S7-400, S7-1200),
STRUCT, type de données API (UDT) (S7-300, S7-400))
• Des types de paramètres (par exemple, BLOCK_FB, BLOCK_DB, ANY)

Programmation
Plages d'opérandes prises en charge

La mémoire système d'une CPU F est subdivisée dans les mêmes plages d'opérandes qu'une
CPU standard. Vous pouvez accéder dans le programme de sécurité aux plages d'opérandes
indiquées dans le tableau ci-après.
Tableau 5- 1 Plages d'opérandes prises en charge
Plage d'opérandes Description

Mémoire image des entrées
• de la périphérie F L'accès aux voies d'entrée de la périphérie F n'est possible qu'en lec-
ture.
La transmission de valeurs aux paramètres d'entrée/sortie (IN_OUT)
d'un FB F ou d'une FC F n'est donc pas autorisée.
La mémoire image des entrées de la périphérie F est actualisée avant
le début du Main Safety Block.
• de la périphérie standard L'accès aux voies d'entrée de la périphérie standard n'est possible
qu'en lecture.
Un contrôle de vraisemblance spécifique au processus est en outre
nécessaire.
Les instants d'actualisation de la mémoire image des entrées de la
périphérie standard sont indiqués dans l'aide de STEP 7.
Mémoire image des sorties
• de la périphérie F L'accès aux voies de sortie de la périphérie F n'est possible qu'en écri-
ture.
Les valeurs pour les sorties de la périphérie F sont calculées dans le
programme de sécurité et enregistrées dans la mémoire image des
sorties.
La mémoire image des sorties de la périphérie F est actualisée une fois
l'exécution du Main Safety Block achevée.
• de la périphérie standard L'accès aux voies de sortie de la périphérie standard n'est possible
qu'en écriture.
Des valeurs pour les sorties de la périphérie standard sont éventuelle-
ment aussi calculées dans le programme de sécurité et enregistrées
dans la mémoire image des sorties.
Les instants d'actualisation de la mémoire image des sorties de la péri-
phérie standard sont indiqués dans l'aide de STEP 7.
Mémentos Cette zone sert à l'échange de données avec le programme utilisateur
standard.
nécessaire lors d'un accès en lecture.
Pour un mémento, les accès sont possibles soit en écriture soit en
lecture dans le programme de sécurité.
Tenez compte du fait que les mémentos sont conçus uniquement pour
le couplage entre le programme utilisateur standard et le programme
de sécurité ; il ne faut pas les utiliser comme stockage intermédiaire
pour les données F.

Programmation
Plage d'opérandes Description

Blocs de données
• DB F Les blocs de données mémorisent des informations pour le pro-
gramme. Ils peuvent soit être définis comme blocs de données glo-
baux auxquels tous les FB F/FC F/Main Safety Blocks peuvent accéder,
soit être affectés à un FB F/Main Safety Block précis comme bloc de
données d'instance. Il n'est possible d'accéder à une variable d'un DB
global qu'à partir d'un groupe d'exécution F et à un DB d'instance qu'à
partir du groupe d'exécution F dans lequel l'instruction ou le FB F cor-
respondant est appelé.
• DB Cette zone sert à l'échange de données avec le programme utilisateur
standard.
nécessaire lors d'un accès en lecture.
Pour une variable d'un DB, les accès sont possibles soit en écriture soit
en lecture dans le programme de sécurité.
Tenez compte du fait que les variables d'un DB sont conçues unique-
ment pour le couplage entre le programme utilisateur standard et le
programme de sécurité ; il ne faut pas utiliser les DB comme stockage
intermédiaire pour les données F.
Données locales tempo- Cette zone de mémoire stocke les variables temporaires d'un bloc (F)
raires pour la durée du traitement de ce bloc (F). La pile de données locales
fournit également de la mémoire pour le transfert de paramètres de
bloc et l'enregistrement de résultats intermédiaires.
Conversion du type de données

Comme dans le programme utilisateur standard, il existe dans le programme de sécurité deux
possibilités de conversion des types de données :
• Conversion implicite
La conversion implicite s'effectue comme dans le programme utilisateur standard avec les
restrictions suivantes : La longueur de bits du type de données source doit correspondre à
la longueur de bits du type de données cible.
• Conversion explicite
Vous utilisez une instruction de conversion (Page 546) explicite avant d'exécuter
l'instruction proprement dite.
Accès Slice
Les accès Slice ne sont pas possibles dans le programme de sécurité.

Programmation
Plages d'opérandes non autorisées

L'accès via des unités ne figurant dans le tableau précédent n'est pas autorisé ; cela vaut
également pour l'accès aux plages d'opérandes qui ne sont pas mentionnées, notamment :
• Blocs de données ajoutés automatiquement
Exception : certaines variables dans le DB de périphérie F (Page 162) et dans le DB global F
(S7-300, S7-400) (Page 152) ou le DB d'informations sur le groupe d'exécution F
(S7-1200, S7-1500) (Page 152)
• Plage de périphérie : entrées
• Plage de périphérie : sorties
Constantes booléennes "0" ou "FALSE" et "1" ou "TRUE" (S7-300, S7-400)

Pour les CPU F S7-300/400, les constantes booléennes "0" ou "FALSE" et "1" ou "TRUE" sont
disponibles comme "variables" "RLO0" et "RLO1" dans le DB global F. Vous y accédez par un
accès DB avec indication du chemin complet ("F_GLOBDB".VKE0 bzw. "F_GLOBDB".VKE1).
Constantes booléennes "0" ou "FALSE" et "1" ou "TRUE" (S7-1200, S7-1500)

Pour les CPU F S7-1200/1500, les constantes booléennes "0" ou "FALSE" et "1" ou "TRUE" sont
disponibles comme valeurs pour les paramètres lors d'appels de blocs. Vous pouvez les entrer
directement dans les entrées de bloc respectives en LOG ou CONT.
Exemple LOG :
Exemple CONT :
Vous avez aussi toujours la possibilité de générer "1" ou "TRUE" dans une variable au moyen
de l'instruction "Affectation (Page 403)".
Pour cela, ne connectez pas l'entrée de la boîte de l'instruction "Affectation" en LOG. En
CONT, connectez l'entrée directement à la barre conductrice.
Pour obtenir une variable de valeur "0" ou "FALSE", procédez ensuite à une inversion avec
l'instruction "Inverser RLO (Page 400)".

Programmation
Exemple LOG :
Exemple CONT :
Plage d'opérandes Données locales temporaires : particularités
Remarque
Tenez compte du fait lors de l'utilisation de la plage d'opérandes Données locales temporaires
que le premier accès à une donnée locale dans un Main Safety Block/un FB F/FC F doit
toujours être un accès en écriture qui initialise la donnée locale.
Veillez à ce que l'initialisation d'une donnée locale temporaire se fasse avant la première
instruction JMP, JMPN ou RET.
Il est recommandé de procéder à l'initialisation d'un "bit de données locales" avec l'instruction
Affectation ("=" en LOG ou "--( )" en CONT). Affectez l'état logique "0" ou "1" comme constante
booléenne au bit de données locales.
Les instructions Bascule (SR, RS), Mise à 1 sortie (S) ou Mise à 0 sortie (R) ne permettent pas
d'initialiser les bits de données locales.
La CPU F peut passer à l'état Arrêt si cela n'est pas respecté. La cause de l'événement de
diagnostic est inscrite dans le tampon de diagnostic de la CPU F.
Accès DB avec indication du chemin complet

L'accès aux variables d'un bloc de données dans un FB F/une FC F se fait avec indication du
chemin complet. Cela s'applique également au premier accès aux variables d'un bloc de
données après un repère de saut.
Pour les CPU F S7-300/400, seul le premier accès doit être un accès DB avec indication du
chemin complet. Vous pouvez également utiliser l'instruction "OPN" pour cela.

Programmation
Exemple d'accès au DB avec indication du chemin complet :

Donnez un nom au DB F, par exemple "F_Data_1". Utilisez les noms affectés dans la
déclaration du DB F (au lieu des adresses absolues).
Figure 5-1 Exemple d'accès avec indication du chemin complet
Exemple d'accès au DB sans indication du chemin complet (S7-300, S7-400) :
Figure 5-2 Exemple d'accès sans indication du chemin complet
Accès aux DB d'instance

Vous pouvez également accéder aux DB d'instance des FB F en indiquant le chemin complet,
par exemple pour transmettre des paramètres de bloc. Les accès aux données locales
statiques dans des instances uniques/multiples d'autres FB F ne sont pas possibles.
(S7-300, S7-400) Tenez compte du fait que l'accès à des DB d'instance de FB F qui ne sont pas
appelés dans le programme de sécurité peut entraîner l'arrêt de la CPU F.
Tenez compte de l'avertissement suivant pour les CPU F S7-1200/1500 :
ATTENTION
Si vous programmez des accès globaux aux DB d'instance de FB F, vous devez veiller à ce
que le FB F correspondant soit appelé dans le programme de sécurité. (S096)

Programmation
5.1.6 Types de données API (UDT) conformes F (S7-1200, S7-1500)
Introduction
Vous déclarez et utilisez les types de données API (UDT) conformes F comme les types de
données API (UDT) standard. Vous pouvez utiliser les types de données API (UDT) conformes
F aussi bien dans le programme de sécurité que dans le programme utilisateur standard.
Ce chapitre décrit les différences par rapport aux types de données API (UDT) standard.
Vous trouverez plus d'informations sur l'utilisation et la déclaration des types de données API
(UDT) standard sous "Déclaration de types de données API (UDT)" dans l'aide de STEP 7.
Déclaration de types de données API (UDT) conformes F

Vous déclarez les types de données API (UDT) conformes F comme les types de données API
(UDT).
Vous pouvez utiliser dans les types de données API (UDT) conformes F tous les types de
données (Page 117) utilisables dans les programmes de sécurité. Exception : ARRAY.
Procédez comme suit pour la déclaration :
1. Dans le dossier "Types de données API" dans le navigateur du projet, cliquez sur "Ajouter
nouveau type de données".
2. Pour créer un type de données API (UDT) conforme F, activez l'option "Créer un type de
données API conforme à la sécurité" dans la boîte de dialogue "Ajouter nouveau type de
données".
3. Procédez ensuite comme décrit sous "Programmer la structure de types de données API"
dans l'aide de STEP 7.
Vous définissez les valeurs par défaut pour les types de données API (UDT) conformes F lors
de la déclaration.
Utilisation des types de données API (UDT) conformes F

Vous utilisez les types de données API (UDT) conformes F comme les types de données API
(UDT) standard.
Profondeur d'imbrication pour les types de données API conformes F

La profondeur d'imbrication maximale pour les types de données API conformes F est
inférieure à celle des types de données API standard (qui est de 8). Il existe une dépendance
par rapport à la chaîne d'appel du bloc dans lequel une variable du type de données API
conforme F imbriqué est déclarée. Chaque niveau d'appel de FC F ou de FB F multi-instances
réduit la profondeur d'imbrication maximale du type de données API conforme F utilisé. Pour
les FB F multi-instances, le bloc appelant compte comme niveau supplémentaire.
Si une variable d'un type de données API conforme F imbriqué est déclarée dans un bloc de
données F global, la profondeur d'imbrication maximale du type de données est égale à 7.

Programmation
Exemple 1
Le Main Safety Block (niveau 1) appelle un FB F comme multi-instance (niveau 2) qui appelle
à son tour une FC F (niveau 3) dans laquelle une variable d'un type de données API conforme
F imbriqué est déclarée. Une profondeur d'imbrication maximale de 5 est ainsi disponible
pour le type de données API conforme F utilisé par la variable.
Exemple 2
Le Main Safety Block appelle un FB F comme instance unique (niveau 1) qui appelle à son
tour une FC F (niveau 2) dans laquelle une variable d'un type de données API conforme F
imbriqué est déclarée. Une profondeur d'imbrication maximale de 6 est ainsi disponible pour
le type de données API conforme F utilisé par la variable.
Modifications apportées aux types de données API (UDT) conformes F

Vous avez besoin du mot de passe du programme de sécurité pour modifier un type de
données API (UDT) conforme F, que vous utilisiez ce type de données dans un bloc F, dans un
bloc standard ou que vous ne l'utilisiez même pas.
Voir aussi
Section "F-compliant PLC data types" (S7-1200, S7-1500) (Page 89)
5.1.6.1 Regrouper dans des structures les variables API pour les entrées et sorties de
périphérie F (S7-1200, S7-1500)
Vous regroupez les variables API pour les entrées et sorties de périphérie F dans des
structures (variables API structurées) comme pour les entrées et sorties de périphérie
standard.
Utilisez pour cela des types de données API (UDT) conformes F.
Règles
Lors de la création de variables API structurées pour les entrées et sorties de périphérie F,
observez les règles suivantes en plus des règles standard :
• Vous ne pouvez pas regrouper à la fois des entrées/sorties de périphérie standard et de
périphérie F dans une variable API structurée.
• Vous pouvez regrouper dans une variable API structurée uniquement des entrées/sorties
de voies existant réellement (valeur de voie et état de la valeur).
Voir aussi Adresser la périphérie F (Page 155)
• Vous pouvez regrouper dans une variable API structurée uniquement des entrées/sorties
de voies (valeur de voie et état de la valeur) qui sont activées dans la configuration
matérielle.

Programmation
• Vous pouvez regrouper dans une variable API structurée uniquement des entrées de voies
(valeur de voie et état de la valeur) qui fournissent le résultat de "l'exploitation 1oo2
(1de2) des capteurs" lorsque l'option "Exploitation 1oo2 (1de2) des capteurs" est activée.
• Il est recommandé de regrouper toutes les entrées et sorties d'une périphérie F dans une
variable API structurée. En cas de répartition sur plusieurs variables API structurées, celles-
ci ne peuvent commencer qu'à des multiples de 16 bits. Cela vaut également pour les
types de données API (UDT) conformes F imbriqués. Voir les règles pour le programme
standard.
La CPU F peut passer à l'état Arrêt si cette règle n'est pas respectée. La cause de
l'événement de diagnostic est inscrite dans le tampon de diagnostic de la CPU F.
• Une variable API structurée qui regroupe des sorties d'une périphérie F ne doit pas se
superposer à une autre variable API.
Remarque
Pour respecter ces règles, vous devez déclarer le type de données API conforme F utilisé pour
la variable API structurée en conséquence.
L'onglet "Variable IO" dans la configuration d'une périphérie F indique les adresses qui
peuvent être occupées par une variable API structurée.
5.1.6.2 Exemple de variables API structurées pour les entrées et sorties de périphérie F
(S7-1200, S7-1500)
Introduction
Cet exemple montre à l'aide du module F 4 F-DI/3 F-DO DC24V/2A avec exploitation
1oo2 (1de2) comment utiliser des variables API structurées pour accéder à la périphérie F.
Structure de voies du module F 4 F-DI/3 F-DO DC24V/2A

Le tableau suivant montre la structure de voies et l'affectation des adresses du module F
4 F-DI/3 F-DO DC24V/2A avec exploitation 1oo2 (1de2). Vous devez uniquement accéder aux
voies activées et réellement présentes (adresses I15.0 à I15.3 et I16.0 à I16.3). Le résultat de
l'exploitation 1oo2 (1de2)calculé en interne dans le module F est mis à disposition sur ces
voies.

Programmation
Tableau 5- 2 Structure de voies et adresses des valeurs de voie des entrées avec exploitation
1oo2 (1de2)
Voie Adresse
Valeur de voie voie DI 0 I15.0
— I15.4
— I15.5
— I15.6
— I15.7
Tableau 5- 3 Structure de voies et adresses des états de valeur des entrées avec exploitation
1oo2 (1de2)
Voie Adresse
État de la valeur voie DI 0 I16.0
— I16.4
— I16.5
— I16.6
— I16.7
Tableau 5- 4 Structure de voies et adresses des états de valeur des sorties
Voie Adresse
État de la valeur voie DO 0 I17.0
Tableau 5- 5 Structure de voies et adresses des valeurs de voie des sorties
Voie Adresse
Valeur de voie voie DO 0 Q15.0

Programmation
Créer des types de données API (UDT) conformes F

Créez, par exemple, deux types de données API (UDT) conformes F pour accéder à toutes les
voies.
La figure suivante montre un type de données API (UDT) conforme F pour l'accès aux valeurs
de voie et aux états de valeur des entrées en cas d'exploitation 1oo2 (1de2) :
La figure suivante montre le type de données API (UDT) conforme F pour l'accès aux valeurs
de voie et aux états de valeur des sorties :
Utilisation des types de données API (UDT) conformes F

Vous pouvez utiliser les deux types de données API (UDT) conformes F créés dans une FC F
(par exemple, "Motor") comme illustré dans la figure suivante :

Programmation
Créer une variable API structurée pour le module F 4 F-DI/3 F-DO DC24V/2A
Créez des variables API structurées pour le module F 4 F-DI/3 F-DO DC24V/2A :
Appel de la FC F
Transmettez les variables API structurées créées lors de l'appel de la FC F (par exemple,
"Motor") :
Voir aussi
Adresser la périphérie F (Page 155)
État de la valeur (S7-1200, S7-1500) (Page 157)
5.1.7 Éditer des variables API avec des éditeurs externes

Pour éditer des variables API avec des éditeurs externes, vous procédez comme dans le
programme standard. Vous trouverez plus d'informations à ce sujet sous "Éditer des variables
API individuelles avec des éditeurs externes" dans l'aide de STEP 7.
Tenez compte de la remarque suivante :
Remarque
La signature globale F du programme de sécurité est réinitialisée après l'importation d'une
table de variables qui contient des variables utilisées dans le programme de sécurité.
Vous devez recompiler les données du projet pour générer à nouveau la signature globale F.
Si la protection d'accès pour le programme de sécurité est activée, vous avez besoin pour cela
de droits d'accès valides pour le programme de sécurité.
C'est pourquoi nous vous recommandons de stocker les variables API utilisées dans le
programme de sécurité dans leur propre table des variables si vous souhaitez éditer les
variables API avec des éditeurs externes.

Programmation
5.1.8 Utiliser l'ingénierie multi-utilisateur

Si vous voulez utiliser l'ingénierie multi-utilisateur, procédez comme décrit sous "Utiliser
l'ingénierie multi-utilisateur" dans l'aide de STEP 7.
5.1.9 Supprimer le programme de sécurité
Supprimer de blocs F individuels

Pour supprimer un bloc F, procédez comme il est d'usage dans STEP 7.
Supprimer un groupe d'exécution F

Voir Supprimer un groupe d'exécution F (Page 147)
(S7-300, S7-400) Supprimez tous les appels avec lesquels vous avez appelé le programme de
sécurité (Main_Safety).
Supprimer le programme de sécurité complet pour les CPU F S7-300/400 avec carte mémoire
enfichée (carte flash ou Micro Memory Card SIMATIC)
Procédez comme suit pour supprimer un programme de sécurité complet :
1. Supprimez tous les blocs F (signalés par une icône jaune) dans le navigateur du projet.
2. Supprimez tous les appels avec lesquels vous avez appelé le programme de sécurité
(Main_Safety).
3. Sélectionnez la CPU F dans l'éditeur de matériel et de réseaux et désactivez l'option
"F-capability activated" dans les propriétés de la CPU F.
4. Compilez les données de projet de la CPU F.
Le projet hors ligne ne contient maintenant plus de programme de sécurité.
5. Pour supprimer un programme de sécurité de la carte mémoire (carte flash ou Micro
Memory Card SIMATIC), enfichez la carte dans la PG/le PC ou dans un programmateur
d'EPROM USB SIMATIC.
6. Sélectionnez la commande "Projet > Card Reader/Mémoire USB > Afficher Card
Reader/mémoire USB" dans la barre de menus.
7. Ouvrez le dossier "SIMATIC Card Reader" et supprimez la carte mémoire.
8. Enfichez la carte mémoire dans la CPU F.
9. Effectuez un effacement général de la CPU F (le clignotement de la LED STOP requiert un
effacement général).
Vous pouvez ensuite charger le programme utilisateur standard hors ligne dans la CPU F.

Programmation
5.2 Définir des groupes d'exécution F
Supprimer le programme de sécurité complet pour les CPU F S7-400 sans carte flash enfichée
2. Supprimez tous les appels avec lesquels vous avez appelé le programme de sécurité
(Main_Safety).
5. Effectuez un effacement général de la CPU F (dans la Task Card "Outils en ligne" de la CPU F).
Supprimer le programme de sécurité complet pour les CPU F S7-1200/1500

5.2.1 Règles pour les groupes d'exécution F du programme de sécurité
Règles
• L'accès aux voies (valeurs de voie et états de valeur) d'une périphérie F n'est autorisé qu'à
partir d'un seul groupe d'exécution F.
• L'accès à des variables du DB de périphérie F d'une périphérie F n'est autorisé qu'à partir
d'un seul groupe d'exécution F qui doit être le groupe d'exécution F dans lequel se fait
également l'accès aux voies ou aux états de valeur de cette périphérie F (si l'accès existe).
• Les FB F peuvent être utilisés dans plusieurs groupes d'exécution F, mais il doivent être
appelés avec des DB d'instance différents.
• L'accès aux DB d'instance de FB F n'est autorisé qu'à partir du groupe d'exécution F dans
lequel le FB F correspondant est appelé.

Programmation
• L'accès à une variable d'un DB F global (à l'exception du DB global F) n'est autorisé qu'à
partir d'un seul groupe d'exécution F (mais un DB F global peut être utilisé dans plusieurs
groupes d'exécution F).
• (S7-300, S7-400) Le groupe d'exécution F pour lequel vous avez configuré un DB pour la
communication entre groupes d'exécution F peut lire et écrire dans ce DB ; le groupe
d'exécution F "récepteur" peut uniquement lire ce DB F.
• (S7-300, S7-400) L'accès à un DB de communication F n'est autorisé qu'à partir d'un seul
groupe d'exécution F.
• (S7-1200, S7-1500) Vous ne pouvez pas appeler le Main Safety Block vous-même. Il est
automatiquement appelé par l'OB F associé.
Remarque
Le système F protège le know-how des OB F. Les informations de déclenchement des OB F
ne peuvent donc pas être exploitées.
• (S7-1200, S7-1500) L'OB F doit être créé avec la priorité maximale de tous les OB.
Remarque
La charge due à la communication, le traitement d'alarmes de priorité supérieure et les
fonctions de test et de mise en service notamment peuvent allonger le temps de
cycle/d'exécution d'un OB F Dans un système S7-1500H redondant, il dépend également
de l'état actuel du système.
• (S7-300, S7-400) Le Main Safety Block ne peut être appelé qu'une fois à partir d'un bloc
standard. Plusieurs appels peuvent provoquer l'arrêt de la CPU F.
• (S7-300, S7-400) Pour une utilisation optimale des données locales temporaires, vous
devez appeler le groupe d'exécution F (le Main Safety Block) directement dans un OB (OB
d'alarme cyclique de préférence) et ne pas déclarer d'autres données locales temporaires
dans cet OB d'alarme cyclique.
• (S7-300, S7-400) Dans un OB d'alarme cyclique, le groupe d'exécution F doit être exécuté
avant le programme utilisateur standard et donc se trouver tout au début de l'OB afin
d'être toujours appelé à intervalles de temps fixes, indépendamment de la durée de
traitement du programme utilisateur standard.
C'est pourquoi l'OB d'alarme cyclique ne doit pas être interrompu par des alarmes même
de priorité supérieure.
• L'accès en lecture ou en écriture à la mémoire image des entrées et des sorties de la
périphérie standard, aux mémentos et aux variables des DB du programme utilisateur
standard est possible à partir de plusieurs groupes d'exécution F (voir aussi Échange de
données entre le programme utilisateur standard et le programme de sécurité
(Page 191)).
• Les FC F peuvent généralement être appelées dans plusieurs groupes d'exécution F.

Programmation
Remarque
Vous améliorerez les performances en programmant dans le programme utilisateur standard
les parties du programme qui n'assurent pas de fonction de sécurité.
Lors de la répartition entre programme utilisateur standard et programme de sécurité, veillez
à simplifier les modifications et le chargement du programme utilisateur standard dans la
CPU F. Les modifications du programme utilisateur standard ne sont en principe pas soumises
à obligation de réception.
5.2.2 Procédure pour définir un groupe d'exécution F (S7-300, S7-400)
Conditions
• Vous avez inséré une CPU F S7-300/400 dans votre projet.
• L'option "F-capability activated" est cochée dans l'onglet "Propriétés" de la CPU F
(configuration par défaut).
Groupe d'exécution F créé par défaut

Après l'ajout d'une CPU F, STEP 7 Safety insère par défaut des blocs F pour un groupe
d'exécution F dans le navigateur du projet. Lorsque vous ouvrez le dossier "Blocs de
programme", vous voyez les blocs (F) du groupe d'exécution F (CYC_INT5 [OB 35],
Main_Safety [FB1] et Main_Safety_DB [DB1]) dans le navigateur du projet.
Le paragraphe suivant décrit comment modifier les paramètres du groupe d'exécution F créé
par défaut ou ajouter un autre groupe d'exécution F.

Programmation
Procédure pour définir un groupe d'exécution F

Procédez comme suit pour définir un groupe d'exécution F :
1. Ouvrez l'éditeur Safety Administration Editor en double-cliquant dans le navigateur du
projet.
2. Sélectionnez "F-runtime group" dans la navigation locale.
Résultat : L'espace de travail pour la définition d'un groupe d'exécution F avec les
paramètres (par défaut) s'ouvre pour le groupe d'exécution F 1.
3. Définissez le bloc dans lequel le Main Safety Block doit être appelé.
L'OB 35 d'alarme cyclique est proposé par défaut. L'avantage des OB d'alarme cyclique, est
qu'ils interrompent le traitement cyclique du programme dans l'OB 1 du programme
utilisateur standard à des intervalles de temps fixes. Un OB d'alarme cyclique permet donc
d'appeler et d'exécuter un programme de sécurité à des intervalles de temps fixes.
Dans ce champ de saisie, vous pouvez uniquement sélectionner des blocs qui ont été
créés dans les langages de programmation CONT, LOG ou LIST. Si vous sélectionnez un
bloc ici, l'appel est automatiquement inséré dans ce bloc et supprimé le cas échéant du
bloc sélectionné précédemment.
Si vous voulez appeler le Main Safety Block dans un bloc qui a été créé dans un autre
langage de programmation, vous devez y programmer cet appel vous-même. Le champ de
saisie est alors grisé et vous ne pouvez pas modifier l'appel dans l'éditeur Safety
Administration Editor, mais uniquement dans le bloc appelant.
4. Affectez le Main Safety Block souhaité au groupe d'exécution F. Si le Main Safety Block est
un FB, vous devez également affecter un DB d'instance.
Main_Safety [FB1] et Main_Safety_DB [DB1] sont proposés par défaut.

Programmation
5. La CPU F surveille le temps de cycle F du groupe d'exécution F. Pour "Maximum cycle time of
the F-runtime group", sélectionnez le temps maximal autorisé entre deux appels du groupe
d'exécution F.
ATTENTION
La valeur maximale de l'intervalle d'appel du groupe d'exécution F est surveillée, c'est-à-

dire que le système vérifie si le nombre d'appels est suffisant, mais pas s'il est trop
fréquent ou s'il est exécuté de manière isochrone. Les temporisations de sécurité doivent
donc être réalisées au moyen des instructions TP, TON ou TOF (Page 488) de la Task Card
"Instructions" et pas au moyen de compteurs (appels d'OB). (S007)
ATTENTION
Le temps de réaction de votre fonction de sécurité dépend, entre autres, du temps de

cycle de l'OB F, du temps d'exécution du groupe d'exécution F et du paramétrage de
PROFINET/PROFIBUS en cas d'utilisation d'une périphérie F décentralisée.
Ainsi, la configuration/le paramétrage du système standard influe également sur le
temps de réaction de votre fonction de sécurité.
Exemples :
• L'augmentation de la priorité d'un OB standard par rapport à la priorité d'un OB F peut
allonger le temps de cycle de l'OB F ou le temps d'exécution du groupe d'exécution F
en raison du traitement à priorité plus élevée de l'OB standard. Notez que des OB de
priorité très élevée peuvent être automatiquement créés lors de la création d'objets
technologiques.
• La modification de la cadence d'émission de PROFINET modifie le temps de cycle d'un
OB F de classe d'événement "Synchronous cycle".
Notez que la configuration/le paramétrage du système standard n'est pas soumis à la
protection d'accès pour le programme de sécurité et n'entraîne pas de modification de la
Si vous n'empêchez pas les modifications dans la configuration/le paramétrage du
système standard influant sur le temps de réaction par des mesures organisationnelles,
vous devez toujours utiliser les temps de surveillance pour le calcul du temps de réaction
maximal d'une fonction de sécurité (voir Configurer les temps de surveillance
(Page 603)).
Les temps de surveillance sont protégés des modifications par la protection d'accès du
programme de sécurité et sont acquis par la signature globale F et la signature globale
SW F.
En cas de calcul à l'aide du fichier Excel de calcul des temps de réaction
(https://support.industry.siemens.com/cs/ww/fr/view/109783831), vous devez tenir
compte de la valeur indiquée pour "Any standard system runtimes" comme valeur pour le
temps de réaction maximal. (S085)
6. Si un groupe d'exécution F doit mettre des variables à disposition d'un autre groupe
d'exécution F du programme de sécurité pour évaluation, affectez un DB pour la
communication entre groupes d'exécution F. Sélectionnez un DB F pour "DB for F-runtime
group communication" (voir aussi Communication entre groupes d'exécution F (S7-300,
S7-400) (Page 141)).

Programmation
7. Si vous voulez créer un deuxième groupe d'exécution F, cliquez sur le bouton "Add new
F-runtime group".
8. Affectez un FB F ou une FC F comme Main Safety Block à un bloc appelant. Ce FB F ou cette
FC F est automatiquement créé dans le navigateur du projet s'il n'existe pas déjà.
9. Si le Main Safety Block est un FB F, affectez-lui un DB d'instance. Le DB d'instance est
automatiquement créé dans le navigateur du projet.
10.Procédez comme décrit aux étapes 3 à 5 ci-dessus pour achever la création du deuxième
5.2.3 Procédure pour définir un groupe d'exécution F (S7-1200, S7-1500)
Conditions
• Vous avez inséré une CPU F S7-1200/1500 dans votre projet.
• Dans l'onglet "Propriétés" de la CPU F, la case à cocher "Fonctionnalité F activée" est
sélectionnée (réglage par défaut).
Groupe d'exécution F créé par défaut

Après l'ajout d'une CPU F, STEP 7 Safety insère par défaut des blocs F pour un groupe
d'exécution F dans le navigateur du projet. Lorsque vous ouvrez le dossier "Blocs de
programme", vous voyez les blocs (F) du groupe d'exécution F (FOB_RTG1 [OB123],
Main_Safety_RTG1 [FB1] et Main_Safety_RTG1_DB [DB1]) dans le navigateur du projet.
Le paragraphe suivant décrit comment modifier les paramètres du groupe d'exécution F créé
par défaut ou ajouter un autre groupe d'exécution F.

Programmation
Procédure pour définir un groupe d'exécution F

Procédez comme suit pour définir un groupe d'exécution F :
1. Ouvrez l'éditeur Safety Administration Editor en double-cliquant dans le navigateur du
projet.
2. Sélectionnez "F-runtime group" dans la navigation locale.
Résultat : L'espace de travail pour la définition d'un groupe d'exécution F avec les
paramètres (par défaut) s'ouvre pour le groupe d'exécution F 1.
3. Attribuez un nom à l'OB F sous "F-OB".

Programmation
4. Définissez la classe d'événement de l'OB F lors de la création d'un groupe d'exécution F.

Pour un OB F, vous pouvez choisir entre les classes d'événement "Program cycle", "Cyclic
interrupt" ou "Synchronous cycle".
L'OB F pour le groupe d'exécution F créé par défaut a la classe d'événement "Cyclic
interrupt". Pour modifier la classe d'événement de l'OB F d'un groupe d'exécution F déjà
créé, vous devez supprimer le groupe d'exécution F et le recréer.
Remarque
Il est recommandé de créer l'OB F avec la classe d'événement "Cyclic interrupt", afin que le
programme de sécurité soit appelé à intervalles de temps fixes.
Des OB F de classe d'événement "Synchronous cycle" n'ont de sens qu'avec des périphéries
F prenant en charge l'isochronisme, par exemple le sous-module "Profisafe Telgr 902" de
l'entraînement SINAMICS S120 CU310-2 PN V5.1.
Des OB F de classe d'événement "Program cycle" ne sont pas conseillés, car cette classe
possède la priorité "1" la plus basse (voir ci-dessous).
Remarque
Respectez le nombre maximal autorisé d'OB (OB F inclus) de classe d'événement
"Synchronous cycle" (voir les caractéristiques techniques dans les manuels des CPU
S7-1500).
5. Vous pouvez si nécessaire modifier manuellement le numéro de l'OB F proposé par le

système en tenant compte des plages de numéros pour la classe d'événement concernée.
6. Paramétrez le temps de cycle, le décalage de phase et la priorité pour les OB F de classe
d'événement "Cyclic interrupt".
Paramétrez la priorité pour les OB F de classe d'événement "Synchronous cycle".
– Choisissez un temps de cycle qui est inférieur au temps de cycle maximal du groupe
d'exécution F ("Maximum cycle time of the F-runtime group") et à la limite d'alerte du
temps de cycle du groupe d'exécution F ("Warn cycle time of the F-runtime group").
– Choisissez un décalage de phase inférieur au temps de cycle.
– Choisissez si possible une priorité qui est supérieure à la priorité de tous les autres OB.
Remarque
La priorité élevée de l'OB F permet de minimiser l'influence du programme utilisateur
standard sur le temps d'exécution du programme de sécurité et sur le temps de réaction
de vos fonctions de sécurité (Page 603).
Remarque
Pour les OB F de classe d'événement "Synchronous cycle", vous devez, après avoir défini le
groupe d'exécution F et la connexion de la périphérie F isochrone à l'OB d'alarme
d'isochronisme, encore paramétrer le cycle d'application (ms) et le temps de retard (ms),
le cas échéant. Ces paramètres figurent dans la boîte de dialogue "Propriétés" de l'OB
d'alarme d'isochronisme dans le groupe "Isochronisme". Procédez comme décrit sous
"Paramétrer des OB d'alarme d'isochronisme" dans l'aide de STEP 7.

Programmation
7. Affectez le bloc Main Safety Block à appeler à l'OB F. Si le Main Safety Block est un FB, vous
devez également affecter un DB d'instance.
Main_Safety_RTG1 [FB1] et Main_Safety_RTG1_DB [DB1] sont proposés par défaut.
8. La CPU F surveille le temps de cycle F du groupe d'exécution F. Deux paramètres sont
disponibles à cet effet :
– Si la limite d'alerte "Warn cycle time of the F-runtime group" est dépassée, une requête
de maintenance est inscrite dans le tampon de diagnostic de la CPU F et la LED MAINT
de la CPU F est activée. Vous pouvez utiliser ce paramètre pour constater, par exemple,
si le temps de cycle dépasse une valeur requise sans que la CPU F ne passe à l'état
Arrêt.
Remarque
La requête de maintenance est signalée comme événement disparaissant en cas de
changement d'état Arrêt/Marche de la CPU F. Dans un système HF, vous devez pour
cela mettre les deux CPU HF ou le système redondant S7-1500HF à l'état Arrêt avant de
redémarrer les CPU HF.
Vous pouvez également marquer la requête de maintenance comme disparaissante
avec l'instruction standard "ACK_FCT_WARN". Appelez pour cela l'instruction
"ACK_FCT_WARN" avec un front montant au paramètre d'entrée "ACK_WARN" dans
votre programme utilisateur standard.
Un nouveau dépassement de la limite d'alerte ne sera signalé qu'après un changement
d'état Arrêt/Marche de la CPU F.

Programmation
– Si le temps de cycle maximal du groupe d'exécution F ("Maximum cycle time of the

F-runtime group") est dépassé, la CPU F passe à l'état Arrêt. Choisissez pour "Maximum
cycle time of the F-runtime group" le temps maximal autorisé entre deux appels de ce
groupe d'exécution F (20000000 µs au maximum).
ATTENTION
La valeur maximale de l'intervalle d'appel du groupe d'exécution F est surveillée, c'est-

à-dire que le système vérifie si le nombre d'appels est suffisant, mais pas s'il est trop
fréquent ou s'il est exécuté de manière isochrone. Les temporisations de sécurité
doivent donc être réalisées au moyen des instructions TP, TON ou TOF (Page 488) de
la Task Card "Instructions" et pas au moyen de compteurs (appels d'OB). (S007)
ATTENTION
Le temps de réaction de votre fonction de sécurité dépend, entre autres, du temps de

cycle de l'OB F, du temps d'exécution du groupe d'exécution F et du paramétrage de
Ainsi, la configuration/le paramétrage du système standard influe également sur le
temps de réaction de votre fonction de sécurité.
Exemples :
• L'augmentation de la priorité d'un OB standard par rapport à la priorité d'un OB F
peut allonger le temps de cycle de l'OB F ou le temps d'exécution du groupe
d'exécution F en raison du traitement à priorité plus élevée de l'OB standard. Notez
que des OB de priorité très élevée peuvent être automatiquement créés lors de la
création d'objets technologiques.
• La modification de la cadence d'émission de PROFINET modifie le temps de cycle
d'un OB F de classe d'événement "Synchronous cycle".
protection d'accès pour le programme de sécurité et n'entraîne pas de modification
de la signature globale F.
Si vous n'empêchez pas les modifications dans la configuration/le paramétrage du
système standard influant sur le temps de réaction par des mesures
organisationnelles, vous devez toujours utiliser les temps de surveillance pour le
calcul du temps de réaction maximal d'une fonction de sécurité (voir Configurer les
temps de surveillance (Page 603)).
programme de sécurité et sont acquis par la signature globale F et la signature
globale SW F.
(https://support.industry.siemens.com/cs/ww/fr/view/109783831), vous devez tenir
compte de la valeur indiquée pour "Any standard system runtimes" comme valeur
pour le temps de réaction maximal. (S085)
Vous devez paramétrer la limite d'alerte "Warn cycle time of the F-runtime group" à une
valeur inférieure ou égale au temps "Maximum cycle time of the F-runtime group".
9. Si nécessaire, vous pouvez modifier, sous "F-runtime group information DB", le nom du DB
d'informations sur le groupe d'exécution F (Page 152) proposé par le système.

Programmation
10.Vous pouvez si nécessaire sélectionner des blocs du programme standard (FC) pour le
prétraitement ou le post-traitement d'un groupe d'exécution F (voir Prétraitement/post-
traitement (S7-1200, S7-1500) (Page 86)).
11.Si vous voulez créer un deuxième groupe d'exécution F, cliquez sur le bouton "Add new
F-runtime group". Procédez comme décrit aux étapes 3 à 10 ci-dessus.
5.2.4 Communication entre groupes d'exécution F (S7-300, S7-400)
Communication de sécurité entre groupes d'exécution F

Une communication de sécurité est possible entre les deux groupes d'exécution F d'un
programme de sécurité. Ainsi, des variables de sécurité mises à disposition dans un DB F d'un
groupe d'exécution F peuvent être lues dans un autre groupe d'exécution F.
Remarque
Le groupe d'exécution F pour lequel vous avez configuré un DB F pour la communication
entre groupes d'exécution F peut lire et écrire dans ce DB ; le groupe d'exécution F "récepteur"
peut uniquement lire ce DB F.
Conseil : Vous améliorerez les performances en structurant votre programme de sécurité de

sorte que le moins de variables possible soient échangées entre les groupes d'exécution F.
Procédure pour définir le DB pour la communication entre groupes d'exécution F

Vous définissez le DB pour la communication entre groupes d'exécution F dans l'espace de
travail "F-runtime group". Procédez comme suit :
1. Cliquez sur "F-runtime group" dans l'éditeur Safety Administration Editor.
2. Sélectionnez un DB F existant dans le champ "DB for F-runtime group communication" ou
affectez un nouveau DB F.
3. Donnez un nom au DB F.
Actualité des variables lors de la lecture dans un autre groupe d'exécution F
Remarque
Les variables lues sont contemporaines du dernier traitement achevé du groupe d'exécution F
fournissant les variables avant le démarrage du groupe d'exécution F lisant les variables.
Si les variables fournies sont modifiées plusieurs fois pendant le temps d'exécution du groupe
d'exécution F fournissant les variables, le groupe d'exécution F lisant les variables ne reçoit
que la dernière modification (voir la figure suivante).

Programmation
Attribution de valeurs de remplacement

Après un démarrage du système F, des valeurs de remplacement sont mises à disposition du
groupe d'exécution F qui accède en lecture aux variables dans le DB pour la communication
entre groupes d'exécution F d'un autre groupe d'exécution F (par exemple, groupe
d'exécution F 2). Ce sont les valeurs que vous avez indiquées comme valeurs initiales dans le
DB pour la communication entre groupes d'exécution F du groupe d'exécution F 1 qui sont
fournies comme valeurs de remplacement.
Au premier appel, le groupe d'exécution F 2 lit les valeurs de remplacement. Au deuxième
appel, le groupe d'exécution F 2 lit les variables actuelles si le groupe d'exécution F 1 a été
entièrement traité entre les deux appels du groupe d'exécution F 2. Si le groupe d'exécution
F 1 n'a pas été intégralement traité, le groupe d'exécution F 2 continue à lire les valeurs de
remplacement jusqu'à ce qu'un traitement complet du groupe d'exécution F 1 ait eu lieu.
Les deux figures suivantes montrent un exemple de ce comportement.
Lecture de variables du groupe d'exécution F 1 qui présente un cycle d'OB plus long et
une priorité inférieure au groupe d'exécution F 2
① Démarrage du système F
Temps de cycle de l'OB (F) dans lequel le groupe d'exécution F est appelé
Temps d'exécution du groupe d'exécution F
... Variable du groupe d'exécution F 1, écrite dans le DB pour la communication entre

groupes d'exécution F du groupe d'exécution F 1
... Variable du groupe d'exécution F 2, lue dans le DB pour la communication entre
Valeur initiale dans le DB pour la communication entre groupes d'exécution F

Programmation
Lecture de variables du groupe d'exécution F 1 qui présente un cycle d'OB plus court et
une priorité supérieure au groupe d'exécution F 2
① Démarrage du système F
Temps de cycle de l'OB (F) dans lequel le groupe d'exécution F est appelé
Temps d'exécution du groupe d'exécution F
... Variable du groupe d'exécution F 1, écrite dans le DB pour la communication entre

... Variable du groupe d'exécution F 2, lue dans le DB pour la communication entre
Valeur initiale dans le DB pour la communication entre groupes d'exécution F
Le groupe d'exécution F fournissant les variables n'est pas traité
Remarque
La CPU F passe à l'arrêt si le groupe d'exécution F dont les variables de DB de communication
entre groupes d'exécution F doivent être lues dans n'est pas traité (le Main Safety Block du
groupe d'exécution F n'est pas appelé). L'un des événements de diagnostic suivants est inscrit
dans le tampon de diagnostic de la CPU F :
• Erreur dans le programme de sécurité : Temps de cycle dépassé
• Numéro du Main Safety Block concerné (du groupe d'exécution F qui n'est pas traité)
• Temps de cycle actuel en ms : "0"

Programmation
5.2.5 Communication entre groupes d'exécution F (S7-1200, S7-1500)
Introduction
La fonctionnalité Flexible F-Link permet de réaliser une communication entre groupes
d'exécution F.
Flexible F-Link fournit un tableau F codé pour les données d'émission du groupe
d'exécution F. Le tableau F codé est transmis à l'autre groupe d'exécution F au moyen
d'instructions standard, par exemple UMOVE_BLK.
Condition
• Version du système Safety à partir de V2.2
Communication entre groupes d'exécution F
Procédez comme suit pour l'envoi sécurisé de données d'un groupe d'exécution F à un autre
groupe d'exécution F :
1. Créez un type de données API (UDT) conforme F non imbriqué pour la communication entre
groupes d'exécution F. Il peut avoir une taille de 100 octets au maximum.
2. Créez deux communications F pour une communication entre groupes d'exécution F dans la
section "Flexible F-Link" de l'éditeur Safety Administration Editor, c'est-à-dire une
communication F respectivement pour l'émission et pour la réception.

Programmation
3. Paramétrez le même temps de surveillance F et la même UUID de communication F pour

chaque relation de communication entre groupes d'exécution F.
Vous trouverez des informations sur le calcul du temps de surveillance F sous Temps de
surveillance et de réaction (Page 602).
Par exemple :
4. Du côté émission (p. ex. RTG1), écrivez les données à envoyer dans les données du DB de
communication F (Page 293) pour le sens émission.
Par exemple :
5. Du côté réception (p. ex. RTG2), lisez les données reçues du DB de communication F
(Page 293) pour le sens réception.
Par exemple :
6. Appelez l'instruction "UMOVE_BLK" dans la FC de post-traitement (Page 86) dans le groupe

d'exécution F pour les données d'émission (par exemple, RTG1).
7. Connectez une instruction "UMOVE_BLK" pour les données à envoyer de la manière
suivante :
"Send" est le DB de communication F (Page 293) du groupe d'exécution F qui envoie les
données.
"Receive" est le DB de communication F (Page 293) du groupe d'exécution F qui reçoit les
données.
8. Appelez l'instruction "UMOVE_BLK" dans la FC de post-traitement (Page 97) dans le groupe
d'exécution F pour l'acquittement (par exemple, RTG2).

Programmation
9. Connectez une instruction "UMOVE_BLK" pour la connexion d'acquittement de la manière

suivante :
"Receive" est le DB de communication F (Page 293) du groupe d'exécution F qui envoie le

télégramme d'acquittement.
"Send" est le DB de communication F (Page 293) du groupe d'exécution F qui reçoit le
télégramme d'acquittement.
10.Compilez le programme utilisateur.
11.Chargez le programme utilisateur dans la CPU F.
ATTENTION
Lors de la réception, vérifiez à l'aide de l'impression de sécurité que les décalages de tous les
éléments des types de données API conformes F (UDT) correspondent pour les données
d'émission et de réception à l'intérieur du télégramme de sécurité. À cet effet, tous les
membres et toutes les adresses sont listés par UDT dans l'impression de sécurité. (S088)
ATTENTION
Lors de la création d'une nouvelle communication avec Flexible F-Link dans l'éditeur Safety
Administration Editor, une UUID de communication F unique est fournie par le système pour
la communication. Les UUID de communication F ne sont pas à nouveau générées lors de la
copie de communications dans l'éditeur Safety Administration Editor à l'intérieur de la table
de paramétrage ou lors de la copie dans une autre CPU F et elles ne sont donc plus uniques.
Si une nouvelle relation de communication est créée par copie, vous devez veiller vous-
même à l'unicité des UUID de communication. Sélectionnez pour cela les UUID concernées
et générez-les à nouveau avec la commande "Generate UUID" du menu contextuel. L'unicité
doit être vérifiée dans l'impression du programme de sécurité lors de la réception. (S087)
ATTENTION

Actualité des variables lors de la lecture dans un autre groupe d'exécution F

Les mêmes principes s'appliquent que ceux mentionnés au chapitre "Communication entre
groupes d'exécution F (S7-300, S7-400) (Page 141)" (à l'exception des emplacement de
stockage des valeurs écrites, lues ou initiales).

Programmation
5.2.6 Supprimer un groupe d'exécution F
Supprimer un groupe d'exécution F

Procédez comme suit pour supprimer un groupe d'exécution F :
1. Cliquez sur le groupe d'exécution F à supprimer dans la navigation locale de l'éditeur Safety
Administration Editor.
2. Sélectionnez le bouton "Delete F-runtime group" dans l'espace de travail.
3. Confirmez la boîte de dialogue avec "Oui".
4. Compilez le programme de sécurité (Page 299) (commande "Édition > Compiler") pour que
vos modifications prennent effet.
L'affectation des blocs F à un groupe d'exécution F (au bloc appelant du Main Safety Block)
est supprimée. Mais les blocs F existent toujours.
5.2.7 Modifier un groupe d'exécution F (S7-300, S7-400)
Modifier un groupe d'exécution F

Vous pouvez apporter les modifications suivantes pour chaque groupe d'exécution F de votre
programme de sécurité dans l'espace de travail "F-runtime group" correspondant :
• Définir un autre bloc comme bloc appelant du Main Safety Block
• Définir un autre FB F/une autre FC F comme Main Safety Block
• Saisir un autre ou un nouveau DB d'instance pour le Main Safety Block
• Modifier la valeur du temps de cycle maximal du groupe d'exécution F
• Définir un autre DB F comme bloc de données pour la communication entre groupes
d'exécution F
5.2.8 Modifier un groupe d'exécution F (S7-1200, S7-1500)
Modifier un groupe d'exécution F

Vous pouvez apporter les modifications suivantes pour chaque groupe d'exécution F de votre
programme de sécurité dans l'espace de travail "F-runtime group" correspondant :
• Modifier le nom, le numéro, le temps de cycle, le décalage de phase et la priorité de l'OB F
• Définir un autre FB F/une autre FC F comme Main Safety Block
• Saisir un autre ou un nouveau DB d'instance pour le Main Safety Block
• Modifier la valeur du temps de cycle maximal et de la limite d'alerte du temps de cycle du
groupe d'exécution F
• Donner un autre nom au DB d'informations sur le groupe d'exécution F
• Définir une FC pour le prétraitement et le post-traitement

Programmation
5.3 Créer des blocs F en CONT/LOG
5.3.1 Créer des blocs F
Introduction
Pour créer des FB F, FC F et DB F pour le programme de sécurité, vous procédez en principe
comme dans le système standard. Les paragraphes ci-après présentent uniquement les
différences par rapport au système standard.
Créer des FB F, FC F et DB F
Vous créez les blocs F de la même manière que les blocs standard. Procédez comme suit :
1. Double-cliquez dans le navigateur de projet de la CPU F ou de l'unité Safety sous "Blocs de
programme" sur "Ajouter un nouveau bloc".
2. Dans la boîte de dialogue qui s'affiche, définissez le type, le nom et la langue et cochez
l'option "Create F-block" (un bloc standard sera créé si vous n'activez pas l'option).
3. Le bloc s'ouvre dans l'éditeur de programme après acquittement de la boîte de dialogue.
Observation à prendre en compte

Tenez compte des remarques importantes suivantes :
Remarque
• Ne déclarez pas de paramètres de bloc dans l'interface du Main Safety Block, car aucune
valeur ne peut leur être transmise.
• (S7-1200, S7-1500) Vous pouvez éditer les valeurs initiales dans les DB d'instance.
• La fonction "Appliquer les valeurs actuelles" n'est pas prise en charge.
• Vous ne pouvez pas accéder aux données locales statiques dans des instances
uniques/multiples d'autres FB F.
• Vous devez toujours initialiser les sorties des FC F.
• (S7-300, S7-400) Si vous souhaitez affecter un opérande de la zone Données (bloc de
données) comme paramètre effectif à un paramètre formel d'une FC F, vous devez
indiquer le chemin complet du DB.
• Un bloc peut accéder uniquement en lecture à ses entrées et en écriture à ses sorties.
Utilisez un paramètre d'entrée/sortie si vous voulez y accéder en lecture et en écriture.
• Pour plus de clarté, donnez des noms explicites aux blocs F que vous créez.

Programmation
Copier/coller des blocs F

Vous pouvez copier les FB F, FC F et DB F tout comme les blocs du programme utilisateur
standard.
(S7-1200, S7-1500) Il est interdit de copier un OB F.
Exceptions :
• Vous ne pouvez pas copier les blocs du dossier "Blocs de programme > Blocs système".
• Les blocs F ne peuvent pas être copiés d'une unité Safety dans une unité standard, ni entre
l'unité Safety et le dossier "Blocs de programme" de la CPU F.
Voir aussi
Modifier un groupe d'exécution F (S7-1200, S7-1500) (Page 147)
5.3.2 Protection du know-how

Pour protéger le savoir-faire (know-how) des blocs F, procédez comme décrit sous "Protéger
les blocs" dans l'aide de STEP 7.
Conditions
Tenez compte des remarques suivantes pour la protection du know-how des blocs F pour les
CPU F S7-1200/1500 :
• Un bloc F dont vous voulez protéger le savoir-faire doit être appelé dans le programme de
sécurité.
• Le programme de sécurité doit être cohérent avant que vous ne puissiez configurer la
protection du know-how pour un bloc F. Pour cela, vous devez compiler (Page 299) le
Remarque
L'impression de sécurité ne contient pas le code source des blocs F avec protection du know-
how. Il faut donc générer l'impression de sécurité (par exemple, en vue d'un examen du code
ou de la réception du bloc F) avant de configurer la protection du know-how.
Remarque
Si vous souhaitez éditer le code de programme et/ou l'interface de bloc d'un bloc F avec
protection du know-how, nous vous recommandons de ne pas ouvrir le bloc F en saisissant le
mot de passe, mais de supprimer complètement la protection du know-how puis de la rétablir
après la compilation.

Programmation
Remarque
(S7-1200, S7-1500) Si un bloc F avec protection du know-how ou des blocs F qu'il appelle
sont renommés, la signature du bloc F avec protection du know-how ne change que lors de la
saisie du mot de passe à l'ouverture ou de la suppression de la protection du know-how.
Remarque
Lors de l'utilisation de blocs F avec protection du know-how, des avertissements et des
messages d'erreur dont la cause se trouve dans ces blocs F peuvent s'afficher lors la
compilation du programme de sécurité. Les avertissements et messages d'erreur
comprennent des indications appropriées. Exemple : Dans un bloc F avec protection du know-
how, vous accédez en lecture à une variable du programme utilisateur standard à laquelle un
autre bloc F (avec protection du know-how) accède en écriture.
Pour les CPU F S7-1200/1500, vous trouverez des informations supplémentaires dans la
section "Know-how protected F-blocks in the safety program" de l'impression de sécurité.
Voir aussi
Réutilisation de blocs F (Page 150)
5.3.3 Réutilisation de blocs F
Introduction
Vous pouvez réutiliser les blocs F que vous avez déjà testés et éventuellement réceptionnés
dans d'autres programmes de sécurité sans devoir à nouveau les tester et les réceprogramme
de sécuritéptionner.
Vous pouvez protéger le contenu du bloc F en configurant une protection du know-how. Il ne
faut configurer cette protection qu'une fois la réception du bloc F effectuée afin que
l'impression de sécurité contienne l'intégralité de ce bloc F.
Vous pouvez enregistrer les blocs F tout comme les blocs standard comme modèles de copie
ou types dans des bibliothèques globales ou dans la bibliothèque du projet.
Vous trouverez plus d'informations sous "Utiliser des bibliothèques" dans l'aide de STEP 7.
Créer une documentation de sécurité pour le bloc F à réutiliser

Créez une documentation de sécurité avec les informations suivantes pour les blocs F que
vous voulez réutiliser.

Programmation
CPU F S7-300/400
• Signature et signature de valeur initiale du bloc F avec protection du know-how
• Versions de toutes les instructions CONT/LOG avec versionnage utilisées
• Signatures et signatures de valeurs initiales de tous les FB F et FC F appelés
• Signatures de tous les DB F auxquels le bloc F à réutiliser accède
CPU F S7-1200/1500
• Signature du bloc F avec protection du know-how
• Version du système Safety lors de la configuration de la protection du know-how
• Signatures de tous les FB F et FC F appelés
La documentation de sécurité doit également inclure une description du fonctionnement du
bloc F, notamment en cas de protection du know-how.
Vous obtenez les informations nécessaires en générant une impression de sécurité du
programme de sécurité dans lequel vous avez initialement créé, testé et accepté le bloc F à
réutiliser.
Cette impression de sécurité peut aussi servir directement de documentation de sécurité pour
le bloc F à réutiliser.
Tests lors de l'utilisation du bloc F à réutiliser

Assurez-vous des points suivants lors de la réutilisation du bloc F :
• La signature et la signature de valeur initiale (S7-300/400) du bloc F sont inchangées.
• (S7-1200, S7-1500) La version du système Safety documentée est active.
• Les versions documentées (ou fonctionnellement identiques) des instructions CONT/LOG
avec versionnage sont actives. Vous trouverez des informations sur les versions des
instructions dans la description des instructions.
• (S7-1200, S7-1500) Les blocs F appelés et en accès avec les signatures documentées sont
utilisés.
• (S7-300, S7-400) Les blocs F appelés avec les signatures et les signatures de valeurs
initiales documentées sont utilisés.
S'il n'est pas possible d'éliminer les conflits de version en raison d'autres interactions,
adressez-vous à l'auteur du bloc F avec protection du know-how pour obtenir une version
acceptée compatible.
Voir aussi
Conformité des blocs F avec protection du know-how utilisés dans le programme de sécurité
avec leur documentation de sécurité (Page 364)

Programmation
5.4 Interface d'information avec le programme de sécurité
5.4.1 DB global F (S7-300, S7-400)
Fonction
Le DB global F est un bloc de données de sécurité qui contient toutes les données globales du
programme de sécurité, ainsi que des informations supplémentaires dont le système F a
besoin. Le DB global F est automatiquement inséré lors de la compilation de la configuration
matérielle.
Vous pouvez exploiter certaines données du programme de sécurité dans le programme
utilisateur standard grâce à son nom F_GLOBDB.
Lire le DB global F dans le programme utilisateur standard

Vous pouvez lire les informations suivantes dans le DB global F dans le programme utilisateur
standard ou sur un système de contrôle-commande :
• Mode de sécurité / Mode de sécurité désactivé (variable "MODE")
• Information d'erreur "Une erreur est survenue lors du traitement du programme de
sécurité" (variable "ERROR")
• Signature globale F (variable "F_PROG_SIG")
• Date de génération du programme de sécurité (variable "F_PROG_DAT", type de données
DATE_AND_TIME)
Vous accédez à ces variables en indiquant leur chemin complet (par exemple,
"F_GLOBDB".MODE).
5.4.2 DB d'informations sur le groupe d'exécution F (S7-1200, S7-1500)
Introduction
Le DB d'informations sur le groupe d'exécution F fournit des informations essentielles sur le
groupe d'exécution F correspondant et sur l'ensemble du programme de sécurité.
Le DB d'informations sur le groupe d'exécution F est généré lors de la création d'un groupe
d'exécution F. Un mnémonique est alors attribué au DB d'informations sur le groupe
d'exécution F, par exemple "RTG1SysInfo". Vous pouvez modifier ce nom dans l'éditeur Safety
Vous ne devez pas accéder aux informations dans le paramètre "F_SYSINFO" à partir du

Programmation
Informations dans le DB d'informations sur le groupe d'exécution F

Le DB d'informations sur le groupe d'exécution F fournit les informations suivantes :
Nom Type de don- Pour traite- Pour traitement Description

nées ment dans le dans le programme
programme de utilisateur standard
sécurité
MODE BOOL x x 1 = mode de sécurité désactivé
MODE_REMAINING_TIM TIME x x Temps restant en mode de sécurité dé-
E sactivé jusqu'à ce que la CPU F passe à
l'état Arrêt *
F_SYSINFO
MODE BOOL — x 1 = mode de sécurité désactivé
TCYC_CURR DINT — x Temps de cycle actuel du groupe d'exé-
cution F en ms
TCYC_LONG DINT — x Temps de cycle le plus long du groupe
d'exécution F en ms
TRTG_CURR DINT — x Temps d'exécution actuel du groupe
d'exécution F en ms
TRTG_LONG DINT — x Temps d'exécution le plus long du
groupe d'exécution F en ms
T1RTG_CURR DINT — x Pas pris en charge par STEP 7 Safety V18.
T1RTG_LONG DINT — x Pas pris en charge par STEP 7 Safety V18.
F_PROG_SIG DWORD — x Signature globale F du programme de
sécurité
F_PROG_DAT DTL — x Date de génération du programme de
sécurité
F_RTG_SIG DWORD — x Signature du groupe d'exécution F
F_RTG_DAT DTL — x Date de génération du groupe d'exécu-
tion F
VERS_S7SAF DWORD — x ID de version de STEP 7 Safety
* Lorsque la CPU F passe à l'arrêt une fois que le temps imparti pour le mode Mode de sécurité désactivé a expiré, le temps
restant encore disponible dans le dernier cycle est affiché.
Vous accédez aux différents contenus du DB d'informations sur le groupe d'exécution F en

indiquant les adresses complètes, soit de manière groupée via le type de données API (UDT)
F_SYSINFO fourni par le système F, par exemple "RTG1SysInfo.F_SYSINFO", soit de manière
individuelle, par exemple "RTG1SysInfo.F_SYSINFO.MODE".
Voir aussi
Identification du programme (Page 330)

Programmation
5.5 Programmer une protection contre le démarrage
5.5 Programmer une protection contre le démarrage
Introduction
ATTENTION
STOP par action sur la PG/le PC, sélecteur de mode, fonction de communication ou
instruction "STP", par exemple
La commutation sur l'état STOP au moyen d'une action sur la PG/le PC, du sélecteur de
mode, d'une fonction de communication ou de l'instruction "STP", par exemple, ainsi que le
maintien à l'état STOP ne sont pas des fonctions de sécurité. Cet état STOP peut très
facilement (même involontairement) être annulé par une action sur la PG/le PC, par
exemple.
Lors du changement d'état STOP/RUN d'une CPU F, le programme utilisateur standard
démarre comme à l'accoutumée. Lors du démarrage du programme de sécurité, tous les
contenus des DB F sont réinitialisés à leur valeur initiale de la mémoire de chargement. Les
informations d'erreur mémorisées sont donc perdues. Le système F procède à une
réintégration automatique de la périphérie F.
Si le processus n'autorise pas un tel démarrage, il faut inclure une protection contre le
(re)démarrage dans le programme de sécurité. La sortie des valeurs de processus doit être
bloquée jusqu'à l'acquittement par l'utilisateur (voir "Réalisation d'un acquittement
utilisateur"). Cet acquittement utilisateur ne doit avoir lieu que lorsque la sortie des valeurs
de processus est possible sans danger et que les erreurs ont été corrigées. (S031)
Exemple de réalisation d'une protection contre le (re)démarrage

Pour réaliser une protection contre le (re)démarrage, il est nécessaire de détecter un
démarrage. Pour détecter un démarrage, vous déclarez une variable de type de données
BOOL avec la valeur initiale "TRUE" dans un DB F.
Bloquez la sortie des valeurs de processus lorsque cette variable est égale à "1", par exemple
en passivant la périphérie F avec la variable PASS_ON dans le DB de périphérie F.
Lorsque la sortie des valeurs de processus est possible sans danger et que les erreurs ont été
corrigées, réinitialisez cette variable par un acquittement utilisateur.
Voir aussi
Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un
maître DP ou d'un IO-Controller (Page 183)
esclave I ou d'un périphérique I (Page 188)
DB de périphérie F (Page 162)

Accès à la périphérie F 6
Les chapitres suivants contiennent une description générale des accès à la périphérie F.
Ils ne s'appliquent que de manière limitée aux modules technologiques (par exemple, F-TM
Count 1x1Vpp sin/cos HF). Vous trouverez des informations plus détaillées dans les manuels
des appareils correspondants.
6.1 Adresser la périphérie F
vue d'ensemble
La suite décrit comment adresser la périphérie F dans le programme de sécurité et quelles
sont les règles à respecter.
Adressage par la mémoire image du processus

Vous adressez la périphérie F (par exemple, les modules de sécurité S7-1500/ET 200MP)
comme la périphérie standard par la mémoire image du processus (MIE et MIS).
La lecture directe (avec l'ID d'accès de périphérie ":P") d'entrées et l'écriture de sorties ne sont
pas possibles dans le programme de sécurité.
Actualisation de la mémoire image du processus

La mémoire image des entrées (MIE) de la périphérie F est actualisée au début du groupe
d'exécution F. La mémoire image des sorties (MIS) de la périphérie F est actualisée à la fin du
groupe d'exécution F (voir Structure du programme de sécurité (S7-300, S7-400) (Page 108)
ou Structure du programme de sécurité (S7-1200, S7-1500) (Page 110)). Vous trouverez plus
d'informations sur l'actualisation de la mémoire image du processus dans la remarque sous
Transfert de données du programme de sécurité au programme utilisateur standard
(Page 192).
La communication entre la CPU F (mémoire image du processus) et la périphérie F nécessaire
pour mettre à jour la mémoire image utilise un protocole de sécurité spécial conforme à
PROFIsafe.
Règles
• Vous ne pouvez adresser une voie (valeur de voie et état de la valeur) d'une périphérie F
que dans un seul groupe d'exécution F. Le premier adressage que vous programmez
définit le groupe d'exécution F affecté.

Accès à la périphérie F
6.1 Adresser la périphérie F
• Vous ne pouvez adresser une voie (valeur de voie et état de la valeur) d'une périphérie F
qu'avec l'unité correspondant au type de données de la voie.
Exemple : Pour accéder aux voies d'entrée de type de données BOOL, utilisez l'unité
"entrée (bit)" (Ix.y). Accéder à 16 voies d'entrée consécutives de type de données BOOL
par l'unité "mot d'entrée" (IWx) n'est pas possible.
• Les voies analogiques doivent toujours être entrées dans la table des variables avec le type
de données INT ou DINT. Les types de données WORD, DWORD ou TIME ne sont pas
autorisés.
• Adressez uniquement des entrées et sorties qui référencent une voie existant réellement
(valeur de voie et état de la valeur), par exemple pour une sortie F-DO 10xDC24V
d'adresse de début 10 uniquement les sorties Q10.0 à Q11.1 pour les valeurs de voie et les
entrées I10.0 à I11.1 pour les états de valeur. N'oubliez pas non plus que, en raison du
protocole de sécurité spécifique, la périphérie F occupe une zone plus importante dans la
mémoire qu'il n'est nécessaire pour les voies réellement présentes sur la périphérie F
(valeurs de voie et états de valeur). Pour savoir dans quelle zone de la mémoire image les
voies (valeurs de voie et états de valeur) sont stockées, reportez-vous aux manuels
correspondants de la périphérie F.
• Des voies peuvent être désactivées dans certaines périphéries F (par exemple, modules de
sécurité ET 200SP ou modules de sécurité S7-1500/ET 200MP). Adressez uniquement les
voies (valeur de voie et état de la valeur) qui sont activées dans la configuration
matérielle. Un avertissement peut être émis lors de la compilation du programme de
sécurité si vous adressez des voies qui sont désactivées dans la configuration matérielle.
• Il est possible de paramétrer une "exploitation 1oo2 (1de2) des capteurs" pour certaines
périphéries F (par exemple, modules de sécurité ET 200SP ou modules de sécurité
S7-1500/ET 200MP). Deux voies sont alors regroupées en une paire de voies et le résultat
de "l'exploitation 1oo2 (1de2) des capteurs" est généralement fourni sous l'adresse de la
voie de numéro de poids faible (voir les manuels correspondants de la périphérie F).
Adressez uniquement cette voie (valeur de voie et état de la valeur) de cette paire de
voies. Un avertissement peut être émis lors de la compilation du programme de sécurité si
vous adressez l'autre voie.
ATTENTION
Si vous utilisez entre la CPU F (S7-300/400) et la périphérie F un composant supplémentaire

qui copie le télégramme de sécurité conformément à PROFIsafe entre la CPU F (S7-300/400)
et la périphérie F via le programme utilisateur, vous devez tester toutes les fonctions de
sécurité affectées par la fonction de copie à chaque modification de la fonction de copie
programmée par l'utilisateur. (S049)
Voir aussi
Accès à la périphérie F pour la communication esclave I-esclave de sécurité (Page 240)
État de la valeur (S7-1200, S7-1500) (Page 157)

6.2 État de la valeur (S7-1200, S7-1500)
Propriétés
L'état de la valeur est une information binaire supplémentaire pour la valeur de voie d'une
périphérie F. L'état de la valeur est inscrit dans la mémoire image des entrées (MIE).
L'état de la valeur est pris en charge par les modules de sécurité S7-1500/ET 200MP,
ET 200SP, ET 200AL, ET 200eco PN, ET 200S, ET 200iSP, ET 200pro, S7-1200 ou les SM F
S7-300, les périphériques IO normalisés de sécurité, ainsi que les appareils DP normalisés de
sécurité prenant en charge le profil "RIOforFA-Safety". Pour plus d'informations sur l'état de la
valeur, voir la documentation de la périphérie F concernée.
Nous vous recommandons d'ajouter "_VS" au nom de la valeur de voie pour l'état de la valeur,
par exemple "TagIn_1_VS".
L'état de la valeur donne des informations sur la validité de la valeur de voie correspondante :
• 1 : Une valeur de process valide est émise pour la voie.
• 0 : Une valeur de remplacement est sortie pour la voie.
L'accès à la valeur de voie et à l'état de la valeur d'une périphérie F n'est possible qu'à partir
du même groupe d'exécution F.
Emplacement des bits d'état de la valeur dans la mémoire image des entrées pour une
périphérie F avec entrées TOR
Les bits d'état de la valeur suivent directement les valeurs de voie dans la mémoire image des
entrées.
Tableau 6- 1 Exemple : affectation des adresses dans la mémoire image des entrées pour une périphérie F avec 16 voies
d'entrée TOR
Octet dans la CPU F Bits affectés dans la CPU F par périphérie F :

7 6 5 4 3 2 1 0
x+0 DI7 DI6 DI5 DI4 DI3 DI2 DI1 DI0
x+1 DI15 DI14 DI13 DI12 DI11 DI10 DI9 DI8
x+2 État de la État de la État de la État de la État de la État de la État de la État de la
valeur DI7 valeur DI6 valeur DI5 valeur DI4 valeur DI3 valeur DI2 valeur DI1 valeur DI0
x+3 État de la État de la État de la État de la État de la État de la État de la État de la
valeur DI15 valeur DI14 valeur DI13 valeur DI12 valeur DI11 valeur DI10 valeur DI9 valeur DI8
x = adresse de début du module
L'emplacement des valeurs de voie dans la mémoire image des entrées est indiqué dans le
manuel de la périphérie F correspondante.

périphérie F avec sorties TOR
Les bits d'état de la valeur sont mappés dans la mémoire image des entrées selon la même
structure que les valeurs de voie dans la mémoire image des sorties.
Tableau 6- 2 Exemple : affectation des adresses dans la mémoire image des sorties pour une périphérie F avec 4 voies de
sortie TOR

7 6 5 4 3 2 1 0
x+0 — — — — DQ3 DQ2 DQ1 DQ0
Tableau 6- 3 Exemple : affectation des adresses dans la mémoire image des entrées pour une périphérie F avec 4 voies de
sortie TOR

7 6 5 4 3 2 1 0
x+0 — — — — État de la État de la État de la État de la
valeur DQ3 valeur DQ2 valeur DQ1 valeur DQ0
L'emplacement des valeurs de voie dans la mémoire image des sorties est indiqué dans le
périphérie F avec entrées et sorties TOR
Les bits d'état de la valeur suivent directement les valeurs de voie dans la mémoire image des
entrées dans l'ordre suivant :
• Bits d'état de la valeur pour les entrées TOR
• Bits d'état de la valeur pour les sorties TOR
Tableau 6- 4 Exemple : affectation des adresses dans la mémoire image des sorties pour une périphérie F avec 2 voies d'en-
trée TOR et 1 voie de sortie TOR
Octet dans la CPU F Bit affecté dans la CPU F par périphérie F :

7 6 5 4 3 2 1 0
x+0 — — — — — — — DQ0

Tableau 6- 5 Exemple : affectation des adresses dans la mémoire image des entrées pour une périphérie F avec 2 voies d'en-
trée TOR et 1 voie de sortie TOR

7 6 5 4 3 2 1 0
x+0 — — — — — — DI1 DI0
x+1 — — — — — — État de la État de la
valeur DI1 valeur DI0
x+2 — — — — — — — État de la
valeur DQ0
L'emplacement des valeurs de voie dans la MIE et la MIS est indiqué dans le manuel de la
périphérie F correspondante.
périphérie F avec entrées analogiques
Les bits d'état de la valeur suivent directement les valeurs de voie dans la MIE.
Tableau 6- 6 Exemple : affectation des adresses dans la mémoire image des entrées pour une périphérie F avec 6 voies d'en-
trée analogiques (type de données INT)
Octet dans la CPU F Octets/bits affectés dans la CPU F par périphérie F :

7 6 5 4 3 2 1 0
x+0 Valeur de voie AI0
... ...
x + 10 Valeur de voie AI5
x + 12 — — État de la État de la État de la État de la État de la État de la
valeur AI5 valeur AI4 valeur AI3 valeur AI2 valeur AI1 valeur AI0
L'emplacement des valeurs de voie dans la mémoire image des entrées est indiqué dans le

6.3 Valeurs de processus ou de remplacement
périphérie F avec sorties analogiques
Les bits d'état de la valeur sont mappés dans la mémoire image des entrées.
Tableau 6- 7 Exemple : affectation des adresses dans la mémoire image des sorties pour une périphérie F avec 6 voies de
sortie analogiques (type de données INT)
Octet dans la CPU F Octets affectés dans la CPU F par périphérie F :

7 6 5 4 3 2 1 0
x+0 Valeur de voie AO0
... ...
x + 10 Valeur de voie AO5
Tableau 6- 8 Exemple : affectation des adresses dans la mémoire image des entrées pour une périphérie F avec 6 voies de
sortie analogiques (type de données INT)

7 6 5 4 3 2 1 0
x+0 — — État de la État de la État de la État de la État de la État de la
valeur AO5 valeur AO4 valeur AO3 valeur AO2 valeur AO1 valeur AO0
L'emplacement des valeurs de voie dans la mémoire image des sorties est indiqué dans le
Quand des valeurs de remplacement sont-elles utilisées ?

La fonction de sécurité détermine que les valeurs de remplacement (0) sont utilisées à la
place des valeurs de processus dans les cas suivants lors de la passivation de la périphérie F
complète ou de voies individuelles d'une périphérie F. Cela est valable aussi bien pour les
voies TOR (type de données BOOL) que pour les voies analogiques (type de données INT ou
DINT) :
• lors du démarrage du système de sécurité
• en cas d'erreurs dans la communication de sécurité (erreur de communication) entre la
CPU F et la périphérie F selon le protocole de sécurité selon PROFIsafe
• en cas d'erreurs de périphérie F/de voie (par exemple, rupture de fil, court-circuit, erreur
de discordance)

• tant que vous activez une passivation de la périphérie F avec PASS_ON = 1 dans le DB de
périphérie F (voir ci-après)
• tant que vous désactivez la périphérie F avec DISABLE = 1 dans le DB de périphérie F (voir
ci-après)
Sortie de valeur de remplacement pour la périphérie F/les voies d'une périphérie F

En cas de passivation dans une périphérie F avec des entrées, le système F met à
disposition du programme de sécurité des valeurs de remplacement (0) au lieu des valeurs de
processus disponibles aux entrées de sécurité dans la MIE.
Le système F identifie le débordement haut ou bas d'une voie du SM 336; AI 6 x 13Bit ou du
SM 336; F-AI 6 x 0/4 ... 20 mA HART comme erreur de périphérie F/de voie. La valeur de
remplacement 0 est fournie à la place de 7FFFH (débordement haut) ou de 8000H
(débordement bas) dans la mémoire image des entrées pour le programme de sécurité.
Si vous souhaitez utiliser des valeurs de remplacement différentes de "0" dans le programme
de sécurité pour une périphérie F avec entrées pour voies analogiques de type de données
INT ou DINT, vous pouvez affecter des valeurs de remplacement individuelles si QBAD = 1 et
état de la valeur = 0 ou QBAD_I_xx/QBAD_O_xx = 1 (instructions JMP/JMPN, LABEL et MOVE).
Vous trouverez des explications sur ce comportement sous
QBAD/PASS_OUT/DISABLED/QBAD_I_xx/QBAD_O_xx et état de la valeur (Page 169).
ATTENTION
Pour une périphérie F avec des voies d'entrée TOR (type de données BOOL), c'est toujours la
valeur fournie dans la MIE qui doit être traitée dans le programme de sécurité, quel que soit
l'état de la valeur ou QBAD/QBAD_I_xx. (S009)
passivationEn cas de passivation dans une périphérie F avec des sorties, le système F
transmet des valeurs de remplacement (0) aux sorties de sécurité au lieu des valeurs de sortie
mises à disposition dans la mémoire image des sorties par le programme de sécurité.
État de la MIE/MIS associée Périphérie F avec profil Périphérie F sans profil Périphérie F avec CPU F
après... "RIOforFA-Safety" avec "RIOforFA-Safety" avec CPU S7-300/400
CPU F S7-1200/1500 F S7-1200/1500
Démarrage du système F Le système F écrase la MIE/MIS avec les valeurs de remplacement (0).
Erreurs de communication
Erreurs de périphérie F Le système F écrase la MIE Le système F écrase la MIE/MIS avec les valeurs de rempla-
Erreurs de voie en cas de avec les valeurs de remplacement (0).
configuration Passivation de cement (0). La MIS conserve
l'ensemble de la périphérie F les valeurs calculées dans le
Erreurs de voie en cas de Pour les voies concernées : Le système F écrase la MIE/MIS
configuration Passivation par avec les valeurs de remplacement (0).
voie
Tant qu'une passivation de la Le système F écrase la MIE/MIS avec les valeurs de remplacement (0).
périphérie F est activée avec
PASS_ON = 1 dans le DB de
périphérie F
Tant que la périphérie F est Le système F écrase la MIE/MIS avec les valeurs de rempla- -
désactivée avec DISABLE = 1 cement (0).
dans le DB de périphérie F

6.4 DB de périphérie F
Réintégration d'une périphérie F/de voies d'une périphérie F

La commutation des valeurs de remplacement (0) aux valeurs du processus (réintégration
d'une périphérie F) s'effectue automatiquement ou bien après un acquittement
utilisateur dans le DB de périphérie F. Le type de réintégration dépend :
• de la cause à l'origine de la passivation de la périphérie F/des voies de la périphérie F
• pour une périphérie F sans le paramètre "Acquittement d'erreur de voie" (Channel failure
acknowledge), de la valeur de la variable ACK_NEC du DB de périphérie F (Page 162)
correspondant
• pour une périphérie F avec le paramètre "Acquittement d'erreur de voie" (par exemple,
modules F S7-1500/ET 200MP/modules F S7-1200), de la valeur de ce paramètre de voie
Pour les appareils DP normalisés de sécurité/périphériques IO normalisés de sécurité selon le
profil "RIOforFA-Safety", consultez la documentation correspondante.
Remarque
Tenez compte du fait qu'une passivation par voie a lieu lors d'erreurs de voie dans la
périphérie F en cas de configuration correspondante dans l'éditeur de matériel et de réseaux.
Les valeurs de remplacement (0) sont alors sorties pour les voies concernées.
En cas de réintégration après des erreurs de voie, toutes les voies dont les erreurs ont été
éliminées sont réintégrées, les voies présentant des erreurs restent passivées.
Voir aussi
Configurer la périphérie F (Page 53)
Introduction
Lors de la configuration de la périphérie F dans l'éditeur de matériel et de réseaux, un DB de
périphérie F est généré automatiquement pour chaque périphérie F (en mode de sécurité). Le
DB de périphérie F contient des variables que vous pouvez évaluer ou que vous pouvez ou
devez écrire dans le programme de sécurité. Il est interdit de modifier les valeurs initiales des
variables directement dans le DB de périphérie F. La suppression d'une périphérie F entraîne
la suppression du DB de périphérie F correspondant.

Accès à un DB de périphérie F
Vous accédez aux variables du DB de périphérie F :
• pour réintégrer la périphérie F après des erreurs de communication/de périphérie F/de voie
• si vous voulez passiver la périphérie F en fonction d'états particuliers de votre programme
de sécurité (par exemple, passivation groupée)
• si vous voulez désactiver la périphérie F (par exemple, en cas de contrôle de la
configuration)
• pour le reparamétrage d'appareils DP/de périphériques IO normalisés de sécurité
• pour déterminer si ce sont les valeurs de remplacement ou les valeurs de processus qui
sont transmises
6.4.1 Nom et numéro du DB de périphérie F

Le nom du DB de périphérie F se compose :
• du préfixe "F" fixe
• de l'adresse de début de la périphérie F, des noms indiqués dans les propriétés de la
périphérie F ou dans la vue d'ensemble des appareils dans l'éditeur de matériel et de
réseaux (24 premiers caractères max.)
Exemple : F00004_F-DI24xDC24V_1
Le numéro est attribué à l'intérieur de la plage de numéros définie dans la section "Settings"
(Page 91) de l'éditeur Safety Administration Editor.
Option "Create F-I/O DB without prefix" (S7-1200, S7-1500)

Si vous activez l'option de création du DB sans préfixe "Create F-I/O DB without prefix" dans la
section "Settings" (Page 91) de l'éditeur Safety Administration Editor, le nom est formé
uniquement :
• des noms indiqués dans les propriétés de la périphérie F ou dans la vue d'ensemble des
appareils dans l'éditeur de matériel et de réseaux (117 caractères max.)
Exemple : F-DI24xDC24V_1
Modifier le nom et le numéro du DB de périphérie F

Vous modifiez le nom en changeant le nom indiqué dans les propriétés de la périphérie F ou
dans la vue d'ensemble des appareils dans l'éditeur de matériel et de réseaux.
Vous modifiez le numéro dans l'onglet "Properties"/"F-parameters" de la périphérie F
correspondante.

6.4.2 Variables du DB de périphérie F

Le tableau suivant présente les variables d'un DB de périphérie F :
Variable Type de Fonction Valeur

données initiale
Variables que PASS_ON BOOL 1 = activer la passivation 0
vous pouvez / ACK_NEC BOOL 1 = acquittement pour la réintégration 1
devez écrire requis en cas d'erreurs de périphérie F / de
voie
ACK_REI BOOL 1 = acquittement pour la réintégration 0
IPAR_EN BOOL Variable pour le reparamétrage d'appareils 0
DP / de périphériques IO normalisés de
sécurité ou, dans le cas du
SM 336; F-AI 6 x 0/4 ... 20 mA HART, pour
la validation de la communication HART
DISABLE* BOOL 1 = désactiver la périphérie F 0
Variables que PASS_OUT BOOL Sortie de passivation 1
vous pouvez QBAD BOOL 1 = les valeurs de remplacement sont sor- 1
évaluer ties
ACK_REQ BOOL 1 = acquittement requis pour la réintégra- 0
tion
IPAR_OK BOOL Variable pour le reparamétrage d'appareils 0
DP / de périphériques IO normalisés de
sécurité ou, dans le cas du
SM 336; F-AI 6 x 0/4 ... 20 mA HART, pour
la validation de la communication HART
DIAG BYTE Information de service non de sécurité 0
DISABLED* BOOL 1 = la périphérie F est désactivée 0
QBAD_I_xx BOOL 1 = les valeurs de remplacement sont sor- 1
ties sur la voie d'entrée xx (S7-300/400)
QBAD_O_xx BOOL 1 = les valeurs de remplacement sont sor- 1
ties sur la voie de sortie xx (S7-300/400)
* À partir de la version du système Safety V2.1 pour S7-1200/1500

Différences dans l'évaluation entre CPU F S7-1200/1500 et S7-300/400

Le tableau suivant présente les différences dans l'évaluation des variables du DB de périphérie
F ou de l'état de la valeur en fonction de la périphérie F et de la CPU F utilisées.
Variable dans le DB Périphérie F avec Périphérie F sans profil Périphérie F avec CPU F
de périphérie F ou profil "RIOforFA- "RIOforFA-Safety" avec S7-300/400
état de la valeur Safety" avec CPU CPU F S7-1200/1500
F S7-1200/1500
ACK_NEC —2 x x
QBAD3 x x x
PASS_OUT3 x x x
QBAD_I_xx1 — — x
QBAD_O_xx1 — — x
Wertstatus1 x x —
1 QBAD_I_xx et QBAD_O_xx indiquent la validité de la valeur de voie par voie et correspondent donc
à l'état de la valeur inversé pour le S7-1200/1500. L'état de la valeur ou QBAD_I_xx et QBAD_O_xx
ne sont pas disponibles pour les appareils DP normalisés de sécurité et les périphériques IO norma-
lisés de sécurité sans profil "RIOforFA-Safety".
2 Pour les périphéries F qui prennent en charge le paramètre de voie "Acquittement d'erreur de voie"
(par exemple, les modules F S7-1500/ET 200MP ou les modules F S7-1200), ce paramètre rem-
place la fonction de la variable ACK_NEC du DB de périphérie F.
3 Pour des explications sur le comportement, voir
"QBAD/PASS_OUT/DISABLED/QBAD_I_xx/QBAD_O_xx et état de la valeur"
6.4.2.1 PASS_ON
La variable PASS_ON vous permet d'activer la passivation d'une périphérie F, par exemple, en
fonction d'états définis dans votre programme de sécurité.
Vous pouvez uniquement passiver l'ensemble de la périphérie F avec la variable PASS_ON du
DB de périphérie F, une passivation par voie n'est pas possible.
La passivation de la périphérie F dure tant que PASS_ON = 1.
6.4.2.2 ACK_NEC
Si la périphérie F détecte une erreur de périphérie F, la périphérie F correspondante est
passivée. Si des erreurs de voie sont détectées et qu'une passivation par voie est configurée,
les voies concernées sont passivées. Si la passivation de l'ensemble de la périphérie F est
activée, toutes les voies de la périphérie F concernée sont passivées. Une fois l'erreur de
périphérie F/de voie éliminée, la périphérie F concernée est réintégrée en fonction de
ACK_NEC :
• Avec ACK_NEC = 0, vous pouvez paramétrer une réintégration automatique.
• Avec ACK_NEC = 1, vous pouvez paramétrer une réintégration par acquittement
utilisateur.

ATTENTION
Le paramétrage de la variable ACK_NEC = 0 n'est autorisé que si une réintégration

automatique est permise du point de vue de la sécurité pour le processus concerné. (S010)
Remarque
La valeur initiale de ACK_NEC après la génération du DB de périphérie F est 1. Si aucune
réintégration automatique n'est nécessaire, vous n'avez pas besoin d'écrire de valeur dans
ACK_NEC.
Voir aussi
Après des erreurs de périphérie F / de voie (Page 177)
6.4.2.3 ACK_REI
Si le système F détecte une erreur de communication ou une erreur de périphérie F pour une
périphérie F, la périphérie F concernée est passivée. Si des erreurs de voie sont détectées et
qu'une passivation par voie est configurée, les voies concernées sont passivées. Si la
passivation de l'ensemble de la périphérie F est activée, toutes les voies de la périphérie F
concernée sont passivées. Pour réintégrer la périphérie F/les voies après élimination des
erreurs, un acquittement utilisateur avec front montant de la variable ACK_REI du DB de
périphérie F est nécessaire :
• est toujours nécessaire après des erreurs de communication
• n'est nécessaire après des erreurs de périphérie F/de voie qu'en cas de paramétrage
"Acquittement d'erreur de voie = Manuel" ou ACK_NEC = 1
En cas de réintégration après des erreurs de voie, toutes les voies dont les erreurs ont été
éliminées sont réintégrées.
Un acquittement n'est possible qu'une fois que la variable ACK_REQ = 1.
Dans votre programme de sécurité, vous devez prévoir un acquittement utilisateur via la
variable ACK_REI pour chaque périphérie F.
ATTENTION
Pour l'acquittement utilisateur, vous devez connecter la variable ACK_REI du DB de

périphérie F à un signal généré par une intervention opérateur. Une connexion à un signal
généré automatiquement n'est pas autorisée. (S011)
Remarque
Vous pouvez également exécuter la réintégration de la périphérie F par l'instruction "ACK_GL"
après des erreurs de communication/de périphérie F ou de voie (ACK_GL : Acquittement
global de toutes les périphéries F d'un groupe d'exécution F (STEP 7 Safety V18) (Page 486)).

6.4.2.4 IPAR_EN
La variable IPAR_EN correspond à la variable iPar_EN_C dans le profil de bus PROFIsafe à partir
de la spécification PROFIsafe V1.20.
Appareils DP/périphériques IO normalisés de sécurité
Pour savoir quand vous devez mettre cette variable à "1" ou à "0" en cas de reparamétrage
d'appareils DP/de périphériques IO normalisés de sécurité, reportez-vous à la spécification
PROFIsafe à partir de V1.20 ou à la documentation de l'appareil DP/du périphérique IO
normalisé de sécurité.
Notez que IPAR_EN = 1 ne déclenche pas de passivation de la périphérie F concernée.
S'il doit y avoir une passivation lorsque IPAR_EN = 1, vous devez aussi mettre la variable
PASS_ON à "1".
Communication HART avec SM 336; F-AI 6 x 0/4 ... 20 mA HART
Si vous mettez la variable IPAR_EN à "1" lorsque le paramètre "HART_Tor" a la valeur
"Connexion possible", la communication HART est validée pour le module
SM 336; F-AI 6 x 0/4 ... 20 mA HART ; elle est inhibée avec "0". Le SM F acquitte la validation
ou l'inhibition de la communication HART avec la variable IPAR_OK = 1 ou 0.
Ne validez la communication HART que si votre installation se trouve dans un état dans lequel
un reparamétrage éventuel d'un appareil de terrain HART associé est possible sans danger.
Si vous souhaitez évaluer l'état "Communication HART validée" dans votre programme de
sécurité, par exemple, pour programmer des verrouillages, vous devez générer cette
information comme illustré dans l'exemple suivant. C'est la seule manière de garantir que
l'information sera correctement fournie même si des erreurs de communication surviennent
pendant la validation de la communication HART avec IPAR_EN = 1. Ne modifiez l'état de la
variable IPAR_EN lors de cette évaluation que s'il n'y a pas de passivation due à une erreur de
communication ou à une erreur de périphérie F/de voie.

Exemple de validation de la communication HART
Vous trouverez plus d'informations sur la communication HART avec le

SM 336; F-AI 6 x 0/4 ... 20 mA HART dans le manuel Système d'automatisation S7-300,
Station de périphérie décentralisée ET 200M, Modules de signaux de sécurité
(http://support.automation.siemens.com/WW/view/fr/19026151) et dans l'aide du module F.
6.4.2.5 DISABLE
La variable DISABLE vous permet de désactiver une périphérie F.
La passivation de la périphérie F dure tant que DISABLE = 1.
Aucune entrée de diagnostic du programme de sécurité n'est plus inscrite dans le tampon de
diagnostic de la CPU F pour cette périphérie F (par exemple, à cause d'une erreur de
communication).
Les entrées de diagnostic existantes sont marquées comme disparaissantes.

6.4.2.6 QBAD/PASS_OUT/DISABLED/QBAD_I_xx/QBAD_O_xx et état de la valeur

Le tableau suivant décrit le comportement des valeurs de voie, des variables QBAD,
PASS_OUT, DISABLED, QBAD_I_xx/QBAD_O_xx et de l'état de la valeur en fonction de la
périphérie F et de la CPU F mises en œuvre.
Sortie de valeur de rempla- Périphérie F avec profil Périphérie F sans profil Périphérie F avec CPU F
cement après... "RIOforFA-Safety" avec "RIOforFA-Safety" avec S7-300/400
CPU F S7-1200/1500 CPU F S7-1200/1500
Démarrage du système F QBAD et PASS_OUT = 1 QBAD et PASS_OUT = 1
Erreurs de communication DISABLED inchangé Pour toutes les voies :
Pour toutes les voies : valeur de voie = valeur de rem-
Erreurs de périphérie F valeur de voie = valeur de remplacement (0) placement (0)
état de la valeur = 0* QBAD_I_xx et QBAD_O_xx = 1*
Erreurs de voie
en cas de configuration Passi-
vation de l'ensemble de la
périphérie F
Erreurs de voie en cas de confi- QBAD, PASS_OUT et QBAD et PASS_OUT = 1 QBAD et PASS_OUT = 1
guration Passivation par voie DISABLED inchangés DISABLED inchangé Pour les voies concernées :
Pour les voies concernées : Pour les voies concer- valeur de voie = valeur de rem-
valeur de voie = valeur de nées : placement (0)
remplacement (0) valeur de voie = valeur de QBAD_I_xx et QBAD_O_xx = 1*
état de la valeur = 0 remplacement (0)
état de la valeur = 0*
Tant qu'une passivation de la QBAD = 1, PASS_OUT et DISABLED inchangés QBAD = 1, PASS_OUT inchangé
périphérie F est activée avec Pour toutes les voies : Pour toutes les voies :
PASS_ON = 1 dans le DB de
périphérie F valeur de voie = valeur de remplacement (0) valeur de voie = valeur de rem-
état de la valeur = 0* placement (0)
QBAD_I_xx et QBAD_O_xx = 1*
Tant que la périphérie F est QBAD, PASS_OUT et DISABLED = 1 -
désactivée avec DISABLE = 1 Pour toutes les voies :
dans le DB de périphérie F
valeur de voie = valeur de remplacement (0)
état de la valeur = 0*
* L'état de la valeur ou QBAD_I_xx et QBAD_O_xx ne sont pas disponibles pour les appareils DP normalisés de sécurité et les
périphériques IO normalisés de sécurité sans profil "RIOforFA-Safety".

6.4.2.7 ACK_REQ
Si le système F détecte une erreur de communication ou une erreur de périphérie F/de voie
pour une périphérie F, la périphérie F concernée ou des voies individuelles de la périphérie F
sont passivées. ACK_REQ = 1 signale qu'une réintégration de la périphérie F concernée/des
voies de la périphérie F requiert un acquittement utilisateur.
Le système F définit ACK_REQ = 1 dès que l'erreur est éliminée et qu'un acquittement
utilisateur est possible. En cas de passivation par voie, le système F définit ACK_REQ = 1 dès
qu'une erreur de voie est corrigée. Un acquittement utilisateur est possible pour cette erreur.
Une fois l'acquittement effectué, le système F met ACK_REQ à 0.
Remarque
Pour une périphérie F avec des sorties, l'acquittement après des erreurs de périphérie F/de
voie n'est éventuellement possible que quelques minutes après l'élimination de l'erreur en
raison de l'application des signaux de test requis (voir les manuels de la périphérie F).
6.4.2.8 IPAR_OK
La variable IPAR_OK correspond à la variable iPar_OK_S dans le profil de bus PROFIsafe à partir
de la spécification PROFIsafe V1.20.
Appareils DP/périphériques IO normalisés de sécurité
Pour savoir comment évaluer cette variable en cas de reparamétrage d'appareils DP/de
périphériques IO normalisés de sécurité, reportez-vous à la spécification PROFIsafe à partir de
V1.20 ou à la documentation de l'appareil DP/du périphérique IO normalisé de sécurité.
Pour la communication HART avec SM 336; F-AI 6 x 0/4 ... 20 mA HART, voir sous IPAR_EN
(Page 167).
6.4.2.9 DIAG
La variable DIAG fournit, aux fins de service, des informations non de sécurité (1 octet) sur les
erreurs qui se sont produites. Vous pouvez lire ces informations au moyen de systèmes de
contrôle-commande ou les évaluer, le cas échéant, dans votre programme utilisateur
standard. Les bits DIAG sont mémorisés jusqu'à ce que vous effectuiez un acquittement avec
la variable ACK_REI ou qu'une réintégration automatique ait lieu.

Structure de DIAG
Bit n° Affectation Causes d'erreur possibles Solutions

Bit 0 Dépassement du temps La liaison PROFIBUS/PROFINET • Vérifiez la liaison PROFIBUS/PROFINET et
imparti détecté pour la péri- entre la CPU F et la périphérie
assurez-vous qu'il n’existe aucune source de
phérie F F est perturbée.
perturbation externe.
La valeur paramétrée pour le
temps de surveillance de la • Vérifiez le paramétrage de la périphérie F.
périphérie F est trop petite. Augmentez si nécessaire la valeur du temps
La périphérie F reçoit des de surveillance. Recompilez la configuration
données de paramétrage matérielle et rechargez-la dans la CPU F. Re-
invalides.
compilez le programme de sécurité.
ou
• Vérifiez le tampon de diagnostic de la péri-
phérie F.
• Mettez la périphérie F hors tension, puis à
nouveau sous tension.
Erreur interne de la périphérie Remplacez la périphérie F.
F
ou
Erreur interne à la CPU F Remplacez la CPU F.
Bit 1 Erreur de périphérie F/de Voir les manuels de la péri- Voir les manuels de la périphérie F
voie détectée pour la péri- phérie F
phérie F1
Bit 2 Erreur CRC/de numéro de Voir la description pour le bit 0 Voir la description pour le bit 0
séquence détectée pour la
périphérie F
Bit 3 Réservé — —
Bit 4 Dépassement du temps Voir la description pour le bit 0 Voir la description pour le bit 0
imparti détecté pour le sys-
tème F
Bit 5 Erreur de numéro de sé- Voir la description pour le bit 0 Voir la description pour le bit 0
quence détectée pour le
système F2
Bit 6 Erreur de CRC détectée pour Voir la description pour le bit 0 Voir la description pour le bit 0
le système F
Bit 7 Erreur d'adressage3 — Adressez-vous au Service & Support.
1 Pas pour la périphérie F prenant en charge le profil "RIOforFA-Safety"
2 Uniquement pour les CPU F S7-300/400
3 Uniquement pour les CPU F S7-1200/1500
6.4.3 Accéder aux variables du DB de périphérie F
Règles d'accès aux variables du DB de périphérie F

L'accès à des variables du DB de périphérie F d'une périphérie F n'est autorisé qu'à partir du
groupe d'exécution F dans lequel se fait également l'accès aux voies de cette périphérie F (si
l'accès existe).

6.5 Passivation et réintégration de la périphérie F

Vous pouvez accéder aux variables du DB de périphérie F en indiquant le chemin complet,
c'est-à-dire en indiquant le nom du DB de périphérie F et le nom de la variable.
Exemple d'évaluation de la variable QBAD
Voir aussi
DB de périphérie F (Page 162)
vue d'ensemble
Vous trouverez ci-après des informations sur la passivation et la réintégration de la
périphérie F.
Figures relatives aux allures des signaux

Les allures des signaux montrées dans les sections suivantes représentent des allures de
signaux typiques pour le comportement décrit.
Les allures de signaux réelles et, notamment, la position relative des changements d'état des
différents signaux peuvent différer des allures de signaux représentées dans les limites des
imprécisions connues apparaissant lors du traitement du programme cyclique selon :
• la périphérie F utilisée,
• la CPU F utilisée,
• le temps de cycle de l'OB (F) dans lequel le groupe d'exécution F associé est appelé et
• le temps de circulation du jeton de PROFIBUS DP ou le temps d'actualisation de
PROFINET IO.
Remarque
Les allures des signaux représentées se réfèrent à l'état des signaux dans le programme de
sécurité programmé par l'utilisateur.

6.5.1 Après un démarrage du système F
Comportement après un démarrage
Sortie de valeur de rempla- Périphérie F avec profil Périphérie F sans profil Chaque périphérie F avec
cement après un démar- "RIOforFA-Safety" avec "RIOforFA-Safety" avec CPU F S7-300/400
rage du système F CPU F S7-1200/1500 CPU F S7-1200/1500
Il y a passivation de l'en- QBAD et PASS_OUT = 1 QBAD et PASS_OUT = 1
semble de la périphérie F Pour toutes les voies : Pour toutes les voies :
pendant le démarrage.
valeur de voie = valeur de remplacement (0) valeur de voie = valeur de
état de la valeur = 0* remplacement (0)
QBAD_I_xx et QBAD_O_xx =
1*
Réintégration de la périphérie F
La réintégration de la périphérie F, c'est-à-dire la mise à disposition de valeurs de processus
dans la mémoire image des entrées ou la transmission aux sorties de sécurité des valeurs de
processus fournies dans la mémoire image des sorties, se fait automatiquement au plus tôt
au deuxième cycle du groupe d'exécution F après le démarrage du système F,
indépendamment du paramétrage de la variable ACK_NEC ou de la configuration
"Acquittement d'erreur de voie".
Vous trouverez des informations supplémentaires sur les éventuelles erreurs de
communication F, de périphérie F ou de voie sous Après des erreurs de communication
(Page 175) et Après des erreurs de périphérie F / de voie (Page 177).
Pour les appareils DP/périphériques IO normalisés de sécurité avec profil "RIOforFA-Safety",
consultez la documentation respective de l'appareil ou du périphérique.
La réintégration peut n'avoir lieu qu'après quelques cycles du groupe d'exécution F en
fonction de la périphérie F utilisée et du temps de cycle du groupe d'exécution F et de
PROFIBUS DP/PROFINET IO.
Aucune réintégration automatique n'a lieu si l'établissement de la communication entre la
CPU F et la périphérie F excède le temps de surveillance F paramétré dans les propriétés de la
périphérie F.

Allure des signaux lors de la passivation et réintégration de la périphérie F après démarrage du

système F
Exemple pour une périphérie F avec entrées :
① Démarrage du système F/passivation

② Réintégration automatique (par exemple, 3e cycle)

ATTENTION

démarre comme à l'accoutumée. Lors du démarrage du programme de sécurité, tous les DB
F sont initialisés – comme dans le cas d'un démarrage à froid – avec les valeurs de la
mémoire de chargement. Les informations d'erreur mémorisées sont donc perdues.
Le système F procède à une réintégration automatique de la périphérie F, comme décrit plus
haut.
Un démarrage du programme de sécurité avec les valeurs de la mémoire de chargement
peut également être déclenché par une erreur de manipulation ou une erreur interne. Si le
processus n'autorise pas un tel démarrage, il faut inclure une protection contre le
de processus est possible sans danger et que les erreurs ont été corrigées. (S008)
6.5.2 Après des erreurs de communication
Comportement après des erreurs de communication
cement après des erreurs "RIOforFA-Safety" avec "RIOforFA-Safety" avec CPU F S7-300/400
de communication CPU F S7-1200/1500 CPU F S7-1200/1500
Si une erreur de communica- QBAD et PASS_OUT = 1 QBAD et PASS_OUT = 1
tion entre la CPU F et la péri- Pour toutes les voies : Pour toutes les voies :
phérie F est détectée, toutes
les voies de la périphérie F valeur de voie = valeur de remplacement (0) valeur de voie = valeur de
concernée sont passivées. état de la valeur = 0* remplacement (0)
1*
La réintégration de la périphérie F concernée, c'est-à-dire la mise à disposition de valeurs de
processus dans la mémoire image des entrées ou la transmission aux sorties de sécurité des
valeurs de processus fournies dans la mémoire image des sorties, n'a lieu que :
• s'il n'existe plus d'erreur de communication et que le système F a défini ACK_REQ = 1 ;
• s'il y a eu un acquittement utilisateur avec un front montant :
– sur la variable ACK_REI du DB de périphérie F (Page 166) ou
– dans l'entrée ACK_REI_GLOB de l'instruction "ACK_GL" (ACK_GL : Acquittement global
de toutes les périphéries F d'un groupe d'exécution F (STEP 7 Safety V18) (Page 486)).

Allure des signaux lors de la passivation et réintégration de la périphérie F après des erreurs de
communication
① Erreur de communication/passivation
② Il n'y a plus d'erreurs de communication
③ Réintégration
Voir aussi
maître DP ou d'un IO-Controller (Page 183)

6.5.3 Après des erreurs de périphérie F / de voie
Comportement après des erreurs de périphérie F
de périphérie F CPU F S7-1200/1500 CPU F S7-1200/1500
Si le système F détecte une QBAD et PASS_OUT = 1 QBAD et PASS_OUT = 1
erreur de périphérie F, toutes Pour toutes les voies : Pour toutes les voies :
les voies de la périphérie F
concernée sont passivées. valeur de voie = valeur de remplacement (0) valeur de voie = valeur de
état de la valeur = 0* remplacement (0)
1*
Comportement après des erreurs de voie
de voie CPU F S7-1200/1500 CPU F S7-1200/1500
En cas de configuration Pas- QBAD et PASS_OUT = 1 QBAD et PASS_OUT = 1
sivation de l'ensemble de la Pour toutes les voies : Pour toutes les voies :
périphérie F :
valeur de voie = valeur de remplacement (0) valeur de voie = valeur de
si le système F détecte une remplacement (0)
erreur de voie, toutes les état de la valeur = 0*
voies de la périphérie F con- QBAD_I_xx et QBAD_O_xx =
cernée sont passivées. 1*
En cas de configuration Pas- QBAD et PASS_OUT inchan- QBAD et PASS_OUT = 1 QBAD et PASS_OUT = 1
sivation par voie : gés Pour les voies concernées : Pour les voies concernées :
si le système F détecte une Pour les voies concernées : valeur de voie = valeur de valeur de voie = valeur de
erreur de voie, toutes les valeur de voie = valeur de remplacement (0) remplacement (0)
voies concernées de la péri- remplacement (0)
phérie F concernée sont état de la valeur = 0* QBAD_I_xx et QBAD_O_xx =
passivées. état de la valeur = 0 1*
* L'état de la valeur ou QBAD_I_xxet QBAD_O_xx ne sont pas disponibles pour les appareils DP normalisés de sécurité et les
La réintégration de la périphérie F concernée ou des voies concernées de la périphérie F,
c'est-à-dire la mise à disposition de valeurs de processus dans la mémoire image des entrées
ou la transmission aux sorties de sécurité des valeurs de processus fournies dans la mémoire
image des sorties, n'intervient que :
• s'il n'existe plus d'erreur de périphérie F ou de voie.
Si vous avez configuré une passivation par voie pour la périphérie F, les voies concernées
dont les erreurs ont été éliminées sont réintégrées et les voies présentant des erreurs restent
passivées.

La réintégration se fait en fonction du paramétrage de la variable ACK_NEC ou du paramètre

"Acquittement d'erreur de voie" (configuration des modules F S7-1500/ET 200MP et des
modules F S7-1200) :
• Pour ACK_NEC = 0 ou la configuration "Acquittement d'erreur de voie = Automatique", une
réintégration automatique a lieu dès que le système F a détecté la suppression de
l'erreur. Pour une périphérie F avec des entrées, la réintégration est immédiate. Pour une
périphérie F avec des sorties ou des entrées/sorties, la réintégration n'a éventuellement
lieu, en fonction de la périphérie F utilisée, que quelques minutes après application des
signaux de test requis permettant à la périphérie F de détecter l'élimination de l'erreur.
• Pour ACK_NEC = 1 ou la configuration "Acquittement d'erreur de voie = Manuel", une
réintégration n'a lieu que par un acquittement utilisateur avec un front montant de la
variable ACK_REI du DB de périphérie F ou de l'entrée ACK_REI_GLOB de l'instruction
"ACK_GL". Un acquittement n'est possible que lorsque le système F a détecté la
suppression de l'erreur et qu'il a mis la variable ACK_REQ à "1".
Pour les périphériques IO normalisés de sécurité avec profil "RIOforFA-Safety", consultez la
documentation respective du périphérique.
ATTENTION
Après une coupure de tension de la périphérie F d'une durée inférieure au temps de

surveillance F configuré pour la périphérie F, il se peut que, indépendamment du
paramétrage de la variable ACK_NEC ou de la configuration "Channel failure
acknowledge", une réintégration automatique ait lieu comme pour le paramétrage
ACK_NEC = 0 ou la configuration "Channel failure acknowledge = automatic".
Si dans ce cas une réintégration automatique n'est pas admissible pour le processus
concerné, programmez une protection contre le démarrage en évaluant les variables
QBAD ou QBAD_I_xx et QBAD_O_xx ou l'état de la valeur ou PASS_OUT.
Le système F détecte une erreur de communication en cas de coupure de tension de la
périphérie F d'une durée supérieure au temps de surveillance configuré pour la
périphérie F. (S012)

périphérie F/de voie pour ACK_NEC = 0 ou la configuration "Acquittement d'erreur de voie =
Automatique" en cas de passivation de l'ensemble de la périphérie F après des erreurs de voie
① Erreurs de périphérie F / de voie

Passivation
② Erreurs de périphérie F / de voie éliminées
Réintégration automatique
périphérie F/de voie pour ACK_NEC = 1 ou la configuration "Acquittement d'erreur de voie =
Manuel" en cas de passivation de l'ensemble de la périphérie F après des erreurs de voie
Pour l'allure des signaux lors de la passivation et réintégration de la périphérie F après des
erreurs de périphérie F/de voie pour ACK_NEC = 1 ou la configuration "Acquittement d'erreur
de voie = Manuel" (valeur initiale), consultez Après des erreurs de communication
(Page 175).

voie pour ACK_NEC = 1 ou la configuration "Acquittement d'erreur de voie = Manuel" en cas de
passivation par voie
① Erreur de voie pour la voie 0/passivation voie 0 ④ Réintégration voie 0

② Erreur de voie pour la voie 1/passivation voie 1 ⑤ Erreur de voie pour la voie 1 éliminée
③ Erreur de voie pour la voie 0 éliminée ⑥ Réintégration voie 1

6.5.4 Passivation groupée
Programmation d'une passivation groupée

Si, lors de la passivation d'une périphérie F ou d'une voie d'une périphérie F par le système F,
vous voulez activer la passivation d'autres périphéries F, vous pouvez réaliser une passivation
groupée de périphéries F associées à l'aide des variables PASS_OUT/PASS_ON.
Une passivation groupée via PASS_OUT/PASS_ON peut être utilisée, par exemple, pour le
forçage d'une réintégration simultanée de toutes les périphéries F après un démarrage du
système F.
Pour réaliser une passivation groupée, vous devez relier toutes les variables PASS_OUT des
périphéries F de ce groupe par OU et affecter le résultat à toutes les variables PASS_ON des
périphéries F de ce groupe.
Durant l'utilisation des valeurs de remplacement (0) suite à la passivation groupée via
PASS_ON = 1, la variable QBAD des périphéries F de ce groupe est à "1".
Remarque
Tenez compte du comportement différent de PASS_OUT pour les périphéries F avec/sans
profil "RIOforFA-Safety" (voir le tableau sous
QBAD/PASS_OUT/DISABLED/QBAD_I_xx/QBAD_O_xx et état de la valeur (Page 169)).
Exemple de passivation groupée

La réintégration des périphéries F passivées par une passivation groupée s'effectue
automatiquement si une réintégration de la périphérie F qui a déclenché la passivation
groupée a lieu (automatiquement ou sur acquittement utilisateur) (PASS_OUT = 0).
Allure des signaux lors d'une passivation groupée après une erreur de communication
Exemple pour deux périphéries F avec entrées :
① Erreur de communication dans la périphérie F A

Passivation périphérie F A
② Passivation périphérie F B
③ Erreur de communication dans la périphérie F A éliminée et acquittée
④ Réintégration des périphéries F A et B

Réalisation d'un acquittement utilisateur 7
7.1 Réalisation d'un acquittement utilisateur dans le programme de
sécurité de la CPU F d'un maître DP ou d'un IO-Controller
Possibilités d'acquittement utilisateur

Selon le résultat de l'analyse des risques, vous pouvez réaliser un acquittement utilisateur de
l'une des manières suivantes :
• Un bouton d'acquittement que vous connectez à une périphérie F dotée d'entrées
• Un système de contrôle-commande
• Un bouton d'acquittement que vous connectez à une périphérie standard dotée d'entrées
• Par d'autres mécanismes de lecture de l'acquittement utilisateur
Acquittement utilisateur par un bouton d'acquittement
Remarque
Si l'acquittement utilisateur est réalisé au moyen d'un bouton d'acquittement, l'acquittement
pour la réintégration de la périphérie F n'est pas possible si l'erreur de communication/de
périphérie F/de voie est survenue dans la périphérie F à laquelle le bouton d'acquittement est
connecté.
Il n'est possible de remédier à ce "blocage" que par un changement d'état STOP/RUN de la
CPU F. Dans un système S7-1500HF redondant, vous devez faire passer les deux CPU HF ou le
système redondant S7-1500HF en STOP avant de redémarrer les CPU HF.
Nous vous recommandons par conséquent de prévoir, pour l'acquittement en vue de la
réintégration de la périphérie F à laquelle le bouton d'acquittement est connecté, un
acquittement supplémentaire par un système de contrôle-commande.
Un acquittement utilisateur peut être effectué avec un bouton d'acquittement connecté à
une périphérie standard dotée d'entrées ou avec d'autres mécanismes de lecture de
l'acquittement utilisateur, si l'analyse des risques le permet.
Acquittement utilisateur par un système de contrôle-commande

L'instruction ACK_OP : Acquittement de sécurité (STEP 7 Safety V18) (Page 574) est
nécessaire pour la réalisation d'un acquittement utilisateur par un système de contrôle-
commande.

Réalisation d'un acquittement utilisateur
7.1 Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un maître DP ou d'un
IO-Controller
Procédure pour la programmation de l'acquittement utilisateur par un système de contrôle-

commande (S7-300, S7-400)
1. Sélectionnez l'instruction "ACK_OP" dans la Task Card "Instructions" et placez-la dans votre
programme de sécurité. Le signal d'acquittement est mis à disposition à la sortie OUT de
ACK_OP pour l'évaluation des acquittements utilisateur.
2. Configurez, dans votre système de contrôle-commande, un champ pour la saisie manuelle
de la "valeur d'acquittement" "6" (1ère étape d'acquittement) et de la "valeur d'acquittement"
"9" (2ème étape d'acquittement)
ou
définissez une touche de fonction 1 pour la transmission unique de la "valeur
d'acquittement" "6" (1ère étape d'acquittement) et une touche de fonction 2 pour la
transmission unique de la "valeur d'acquittement" "9" (2ème étape d'acquittement). Vous
devez affecter le paramètre d'entrée/sortie IN (dans la plage de données de l'instruction
ACK_OP) au champ ou aux touches de fonction.
3. En option : sur votre système de contrôle-commande, évaluez la sortie Q dans le DB
d'instance de ACK_OP pour afficher la fenêtre de temps pendant laquelle il faut exécuter la
2ème étape d'acquittement ou pour signaler que la 1ère étape d'acquittement a déjà été
exécutée.
Si vous voulez exécuter l'acquittement utilisateur uniquement à partir d'une PG/d'un PC par la
table de visualisation (Visualiser/forcer des variables) sans désactiver le mode de sécurité,
vous devez transmettre un opérande (mot de mémentos ou DBW d'un DB du programme
utilisateur standard) au paramètre d'entrée/sortie IN lors de l'appel de ACK_OP. Vous pourrez
alors transmettre les "valeurs d'acquittement" "6" et "9" de la PG/du PC par forçage unique du
mot de mémentos ou du DBW du DB. Le programme ne doit pas écrire dans le mot de
mémentos ou le DBW du DB.
Remarque
Si vous connectez le paramètre d'entrée/sortie IN à un mot de mémentos ou un DBW d'un DB,
vous devez utiliser pour chaque instance de l'instruction ACK_OP un propre mot de
mémentos ou DBW de DB du programme utilisateur standard dans le paramètre
d'entrée/sortie IN.
ATTENTION
Les deux étapes d'acquittement ne doivent pas être déclenchées par une opération unique,
par exemple suite à leur stockage automatique, conditions de temps comprises, dans un
programme et à leur déclenchement par une seule touche de fonction.
La séparation des deux étapes d'acquittement permet également d'éviter le déclenchement
erroné d'un acquittement par votre système de contrôle-commande non de sécurité. (S013)

7.1 Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un maître DP ou d'un IO-Controll
ATTENTION
Si vous avez des systèmes de contrôle-commande et des CPU F en réseau qui utilisent
l'instruction ACK_OP pour l'acquittement de sécurité, vous devez vérifier avant l'exécution
des deux étapes d'acquittement que vous accédez bien à la CPU F voulue.
• Enregistrez dans un DB de votre programme utilisateur standard sur chaque CPU F un
nom unique à l'échelle du réseau* pour la CPU F.
• Configurez sur votre système de contrôle-commande un champ dans lequel vous pourrez
lire en ligne dans le DB le nom de la CPU F avant l'exécution des deux étapes
d'acquittement.
• En option :
Configurez dans votre système de contrôle-commande un champ dans lequel le nom de
la CPU F est également stocké de manière permanente. Vous pourrez alors vous assurer
que la CPU F adressée est bien la bonne par simple comparaison du nom de la CPU F lu
en ligne avec celui enregistré de manière permanente. (S014)
par-delà les limites des sous-réseaux.
Remarque
La configuration de votre système de contrôle-commande n'influe pas sur la signature
globale F.
Procédure pour la programmation de l'acquittement utilisateur par un système de contrôle-

commande (S7-1200, S7-1500)
1. Sélectionnez l'instruction "ACK_OP" dans la Task Card "Instructions" et placez-la dans votre
programme de sécurité. Le signal d'acquittement est mis à disposition à la sortie OUT de
ACK_OP pour l'évaluation des acquittements utilisateur.
2. Affectez à l'entrée ACK_ID une ID comprise entre 9 et 30000 pour l'acquittement.
3. Affectez un mot de mémentos ou un DBW d'un DB du programme utilisateur standard au
paramètre d'entrée/sortie IN.
Remarque
Vous devez fournir pour chaque instance de l'instruction ACK_OP un propre mot de
mémentos ou DBW de DB du programme utilisateur standard au paramètre d'entrée/sortie
IN.
4. Configurez, sur votre système de contrôle-commande, un champ pour la saisie manuelle de

la "valeur d'acquittement" "6" (1ère étape d'acquittement) et de "l'ID" paramétrée dans
l'entrée ACK_ID (2ème étape d'acquittement)

7.1 Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un maître DP ou d'un
IO-Controller
ou
définissez une touche de fonction 1 pour la transmission unique de la "valeur
d'acquittement" "6" (1ère étape d'acquittement) et une touche de fonction 2 pour la
transmission unique de "l'ID" paramétrée dans l'entrée ACK_ID (2ème étape
d'acquittement).
Vous devez affecter au champ ou aux touches de fonction le mot de mémentos ou le DBW
du DB du programme utilisateur standard affecté au paramètre d'entrée/sortie IN.
5. En option : sur votre système de contrôle-commande, évaluez la sortie Q dans le DB
d'instance de ACK_OP pour afficher la fenêtre de temps pendant laquelle il faut exécuter la
2ème étape d'acquittement ou pour signaler que la 1ère étape d'acquittement a déjà été
exécutée.
ATTENTION
ATTENTION
Première possibilité :
• La valeur pour chaque identification de l'acquittement (entrée ACK_ID, type de données
INT) peut être choisie librement dans la plage de 9...30000, mais doit être unique à
l'échelle du réseau* pour toutes les instances de l'instruction ACK_OP.
Vous devez connecter l'entrée ACK_ID à des valeurs constantes lors de l'appel de
l'instruction. Les accès directs au DB d'instance correspondant ne sont autorisés ni en
lecture, ni en écriture dans le programme de sécurité.
Deuxième possibilité :
d'acquittement.
• En option :

7.1 Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un maître DP ou d'un IO-Controll
Remarque
La transmission d'une valeur au paramètre d'entrée/sortie IN de l'instruction ACK_OP ainsi que
la configuration de votre système de contrôle-commande n'influent pas sur la signature
globale F, la signature globale SW F ou la signature du bloc qui appelle l'instruction ACK_OP.
Modifier la valeur transmise au paramètre d'entrée/sortie IN ou la configuration de votre
système de contrôle-commande n'entraîne donc pas de modification de la signature globale
F, la signature globale SW F ou la signature du bloc appelant.
Exemple de procédure pour la programmation d'un acquittement utilisateur en vue de la

réintégration d'une périphérie F
1. En option : mettez la variable ACK_NEC dans leDB de périphérie F (Page 165) correspondant
à "0" si vous voulez une réintégration automatique (sans acquittement utilisateur) après une
erreur de périphérie F/de voie.
ATTENTION
Le paramétrage de la variable ACK_NEC = 0 n'est autorisé que si une réintégration

automatique est permise du point de vue de la sécurité pour le processus concerné.
(S010)
2. En option : évaluez les variables QBAD ou QBAD_I_xx/QBAD_O_xx (S7-300/400) ou l'état de

la valeur (S7-1200, S7-1500) ou DIAG dans le DB de périphérie F correspondant pour
commander un voyant de signalisation en cas d'erreur et/ou générez dans votre programme
utilisateur standard, par évaluation des variables ci-dessus ou de l'état de la valeur, des
messages d'erreur à destination de votre système de contrôle-commande qui pourront être
évalués avant l'exécution de l'acquittement. Vous pouvez également évaluer le tampon de
diagnostic de la CPU F.
3. En option : évaluez la variable ACK_REQ dans le DB de périphérie F correspondant, par
exemple dans le programme utilisateur standard ou dans le système de contrôle-
commande, pour détecter ou signaler si un acquittement utilisateur est nécessaire.
4. Affectez l'entrée du bouton d'acquittement ou la sortie OUT de l'instruction ACK_OP à la
variable ACK_REI du DB de périphérie F correspondant ou à l'entrée ACK_REI_GLOB de
l'instruction ACK_GL (voir ci-dessus).

7.2 Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un esclave I ou d'un
périphérique I
7.2 Réalisation d'un acquittement utilisateur dans le programme de

sécurité de la CPU F d'un esclave I ou d'un périphérique I
Possibilités d'acquittement utilisateur

Vous pouvez réaliser un acquittement utilisateur par :
• un système de contrôle-commande avec lequel vous pouvez accéder à la CPU F de
l'esclave I/du périphérique I,
• un bouton d'acquittement que vous connectez à une périphérie F avec entrées qui est
affectée à la CPU F de l'esclave I/du périphérique I,
• un bouton d'acquittement que vous connectez à une périphérie F avec entrées qui est
affectée à la CPU F du maître DP/du contrôleur IO.
La figure ci-dessous montre un exemple de ces trois possibilités.

7.2 Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un esclave I ou d'un périphérique
1. Acquittement utilisateur par un système de contrôle-commande avec lequel vous pouvez

accéder à la CPU F de l'esclave I/du périphérique I
Vous avez besoin de l'instruction ACK_OP : Acquittement de sécurité (STEP 7 Safety V18)
(Page 574) pour réaliser un acquittement utilisateur via un système de contrôle-commande
avec lequel vous pouvez accéder à la CPU F de l'esclave I/du périphérique I.
Procédure pour la programmation
Procédez comme décrit au paragraphe "Procédure pour la programmation..." sous "Réalisation
d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un maître DP ou
d'un IO-Controller (Page 183)".
Vous accédez alors directement de votre système de contrôle-commande au DB d'instance de
ACK_OP dans l'esclave I/le périphérique I.
2. Acquittement utilisateur par un bouton d'acquittement connecté à une périphérie F avec

entrées qui est affectée à la CPU F de l'esclave I/du périphérique I
Remarque
Si une erreur de communication/de périphérie F/de voie est survenue dans la périphérie F à
laquelle le bouton d'acquittement est connecté, aucun acquittement pour la réintégration de
cette périphérie F n'est possible.
Il n'est possible de remédier à ce "blocage" que par un changement d'état STOP/RUN de la CPU
F de l'esclave I/du périphérique I.
Pour cette raison, nous vous recommandons de prévoir, pour l'acquittement de la
réintégration d'une périphérie F à laquelle un bouton d'acquittement est connecté, un
acquittement supplémentaire via un système de contrôle-commande permettant d'accéder à
la CPU F de l'esclave I/périphérique I (voir 1.).
3. Acquittement utilisateur par un bouton d'acquittement connecté à une périphérie F avec

entrées qui est affectée à la CPU F du maître DP/du contrôleur IO
Si vous voulez également utiliser le bouton d'acquittement affecté à la CPU F du maître DP/du
contrôleur IO pour un acquittement utilisateur dans le programme de sécurité de la CPU F
d'un esclave I/d'un périphérique I, vous devez transférer le signal d'acquittement du
programme de sécurité dans la CPU F du maître DP/du contrôleur IO vers le programme de
sécurité dans la CPU F de l'esclave I/du périphérique I via une communication sécurisée
maître-esclave I/contrôleur IO/périphérique I.
1. Placez l'instruction SENDDP (Page 585) dans le programme de sécurité de la CPU F du maître
DP/du contrôleur IO.
2. Placez l'instruction RCVDP (Page 585) dans le programme de sécurité de la CPU F de l'esclave
I/du périphérique I.
3. Connectez une entrée SD_BO_xx de SENDDP à l'entrée du bouton d'acquittement.

7.2 Réalisation d'un acquittement utilisateur dans le programme de sécurité de la CPU F d'un esclave I ou d'un
périphérique I
4. Le signal d'acquittement est mis à disposition à la sortie RD_BO_xx correspondante de

RCVDP pour l'évaluation des acquittements utilisateur.
Vous pouvez alors lire le signal d'acquittement dans les parties de traitement ultérieur du
programme directement dans le DB d'instance associé (par exemple,
"RCVDP_DB".RD_BO_02) par un accès indiquant le chemin complet.
5. Affectez FALSE (valeur de remplacement 0) à l'entrée SUBBO_xx correspondante de RCVDP
afin qu'aucun acquittement utilisateur intempestif ne soit déclenché jusqu'au premier
établissement de la communication après un démarrage des systèmes F émetteur et
récepteur ou en cas d'erreur de la communication de sécurité.
Remarque
Si une erreur de communication/de périphérie F/de voie est survenue dans la périphérie F
à laquelle le bouton d'acquittement est connecté, aucun acquittement pour la
réintégration de cette périphérie F n'est plus possible.
CPU F du maître DP/du contrôleur IO.
réintégration de la périphérie F à laquelle le bouton d'acquittement est connecté, un
acquittement supplémentaire par un système de contrôle-commande permettant
d'accéder à la CPU F du maître DP/du contrôleur IO.
En cas d'erreur de la communication de sécurité maître-esclave I / contrôleur IO-
périphérique I, aucune transmission du signal d'acquittement n'est plus possible, ni par
conséquent d'acquittement pour réintégrer la communication de sécurité.
CPU F de l'esclave I/du périphérique I.
réintégration de la communication de sécurité pour la transmission du signal
d'acquittement, un acquittement supplémentaire par un système de contrôle-commande
permettant d'accéder à la CPU F de l'esclave I/du périphérique I (voir 1.).

Échange de données entre le programme
utilisateur standard et le programme de sécurité 8
Il est possible d'échanger des données entre le programme de sécurité et le programme
utilisateur standard. Vous pouvez utiliser pour cela des variables de DB ou de DB F, ainsi que
des mémentos :
À partir du programme utilisateur standard À partir du programme de sécurité

en lecture en écriture en lecture en écriture
Variable de DB autorisé autorisé soit en lecture soit en écriture dans une variable
du DB
Variable de DB F autorisé interdit autorisé autorisé
Mémento autorisé autorisé soit en lecture soit en écriture dans un mémento
Il est également possible d'accéder à la mémoire image de la périphérie standard et de la

périphérie F :
À partir du programme utilisateur stan- À partir du programme de sécurité

dard
en lecture en écriture en lecture en écriture
Mémoire image péri- MIE autorisé autorisé autorisé interdit
phérie standard MIS autorisé autorisé interdit autorisé
Mémoire image péri- MIE autorisé interdit autorisé interdit
phérie F MIS autorisé interdit interdit autorisé
Tenez compte des restrictions/particularités éventuelles lors de l'utilisation d'unités logicielles

ou d'une unité Safety.
Découplage entre programme de sécurité et programme utilisateur standard

Pour l'échange de données entre le programme utilisateur standard et le programme de
sécurité, nous vous recommandons de définir des blocs de données spécifiques (blocs de
données de transmission) où les données à échanger sont stockées. Cette mesure permet de
découpler les blocs du programme utilisateur standard des blocs du programme de sécurité.
Tant que ces blocs de données ne sont pas modifiés, les modifications dans le programme
utilisateur standard n'ont donc pas d'incidence sur le programme de sécurité, et inversement.

Échange de données entre le programme utilisateur standard et le programme de sécurité
8.1 Transfert de données du programme de sécurité au programme utilisateur standard
8.1 Transfert de données du programme de sécurité au programme

utilisateur standard
Lire des données du programme de sécurité dans le programme utilisateur standard

Le programme utilisateur standard peut lire toutes les données du programme de sécurité,
par exemple par des accès symboliques avec indication du chemin complet :
• les DB d'instance des FB F ("nom du DB d'instance".signal_x)
• les DB F (par exemple, "nom du DB F".signal_1)
• la mémoire image des entrées et des sorties de la périphérie F (par exemple, "bouton
urgence_1" (I 5.0))
Remarque
Pour les CPU F S7-300/400
La mémoire image des entrées de la périphérie F est actualisée, non seulement au début
d'un groupe d'exécution F, mais aussi par le système d'exploitation standard.
Les instants d'actualisation par le système d'exploitation standard sont indiqués sous
"Mémoire image des entrées et des sorties" dans l'aide de STEP 7. Vous devez également
tenir compte, le cas échéant, des instants d'actualisation des mémoires images partielles
pour les CPU F prenant les mémoires images partielles en charge. Lors de l'accès à la
mémoire image des entrées de la périphérie F dans le programme utilisateur standard,
vous risquez par conséquent d'obtenir d'autres valeurs que dans le programme de
sécurité. Ces différences entre les valeurs peuvent résulter :
• des instants d'actualisation différents
• de l'utilisation de valeurs de remplacement dans le programme de sécurité
Pour obtenir, dans le programme utilisateur standard, les mêmes valeurs que dans le
programme de sécurité, vous ne devez donc accéder à la mémoire image des entrées dans
le programme utilisateur standard qu'après le traitement d'un groupe d'exécution F. Dans
ce cas, vous pouvez également évaluer dans le programme utilisateur standard la variable
QBAD ou QBAD_I_xx dans le DB de périphérie F correspondant afin de déterminer si la
mémoire image des entrées reçoit les valeurs de remplacement (0) ou les valeurs du
processus. En cas d'utilisation de mémoires images partielles, tenez également compte du
fait que ni le système d'exploitation standard, ni l'instruction UPDAT_PI n'effectuent
d'actualisation de la mémoire image entre le traitement d'un groupe d'exécution F et
l'évaluation de la mémoire image des entrées dans le programme utilisateur standard.
Remarque
La mémoire image des entrées de la périphérie F est actualisée avant le traitement du
Main Safety Block.
Lors du transfert de données du programme de sécurité au programme utilisateur standard,

l'intégrité du programme de sécurité et des données de sécurité n'est pas contrôlée (voir aussi
le chapitre "Présentation du produit (Page 23)").

8.2 Transfert de données du programme utilisateur standard au programme de sécurité
Écrire des données du programme de sécurité dans le programme utilisateur standard

Vous avez en outre la possibilité d'écrire des données du programme de sécurité directement
dans le programme utilisateur standard depuis le programme de sécurité (voir aussi le
tableau des plages d'opérande prises en charge dans : Restrictions pour les langages de
programmation LOG/CONT (Page 117)).
Cela vaut également pour les informations de service non de sécurité (par exemple, les
sorties DIAG des instructions de sécurité).
Tenez compte du tableau sous "Échange de données entre le programme utilisateur standard
et le programme de sécurité (Page 191)".
Lors de l'écriture d'une variable de type de données ARRAY, l'indice peut être soit une
constante, soit une variable.
8.2 Transfert de données du programme utilisateur standard au

programme de sécurité
Dans le programme de sécurité, il n'est possible de traiter par principe que des données ou
signaux de sécurité issus de la périphérie F et d'autres programmes de sécurité (dans d'autres
CPU F), car les variables du programme standard ne sont pas des données de sécurité.
Si vous devez malgré tout traiter des variables du programme utilisateur standard dans le
programme de sécurité, vous pouvez évaluer des mémentos du programme utilisateur
standard, des variables d'un DB standard ou la mémoire image des entrées (MIE) de la
périphérie standard dans le programme de sécurité (voir aussi le tableau des plages
d'opérandes prises en charge sous "Restrictions pour les langages de programmation
LOG/CONT (Page 117)").
Tenez compte du tableau sous "Échange de données entre le programme utilisateur standard
et le programme de sécurité (Page 191)".
Lors de la lecture d'une variable de type de données ARRAY, l'indice doit être une constante.
Les variables ne sont pas autorisées comme indices.

Notez qu'apporter des modifications structurelles aux DB standard utilisés dans le programme
de sécurité peut entraîner des incohérences du programme de sécurité et ne peut donc être
effectué que si une autorisation d'accès aux données de projet de sécurité est disponible. La
signature globale F correspond dans ce cas de nouveau à la signature initiale après la
compilation. Pour éviter cet effet, utilisez des "bloc de données de transfert" entre le
programme utilisateur standard et le programme de sécurité.
ATTENTION
Comme ces variables ne sont pas générées de manière sûre, vous devez prévoir des
contrôles de vraisemblance supplémentaires spécifiques au processus dans le programme
de sécurité afin d'exclure tout état dangereux. Si un mémento, une variable d'un DB
standard ou une entrée de la périphérie standard est utilisée dans les deux groupes
d'exécution F, vous devez effectuer le contrôle de vraisemblance séparément dans chaque
groupe d'exécution F. (S015)
Pour faciliter le contrôle, toutes les variables API du programme utilisateur standard qui sont
évaluées dans le programme de sécurité sont imprimées lors de la création de la
documentation de sécurité (Page 334).
Les variables API du programme utilisateur standard qui sont évaluées dans les blocs F avec
protection know-how ne sont pas prises en compte dans la documentation de sécurité. Le
contrôle de vraisemblance doit avoir été assuré par l'auteur des blocs F avec protection du
know-how.
Exemples : programmation de contrôles de vraisemblance

• Contrôlez les variables du programme utilisateur standard à l'aide d'instructions de
comparaison (Page 510) pour vérifier qu'elles ne dépassent pas une limite
supérieure/inférieure admissible. Vous pouvez alors influencer votre fonction de sécurité
avec le résultat de la comparaison.
• Autorisez avec des variables du programme utilisateur standard, par exemple avec les
instructions ---( S )--- : Mise à 1 de la sortie (STEP 7 Safety V18) (Page 405), ---( R )--- : Mise
à 0 de la sortie (STEP 7 Safety V18) (Page 403) ou SR : Bascule 'mise à 1/mise à 0' (STEP 7
Safety V18) (Page 406) uniquement l'arrêt d'un moteur, mais pas sa mise en marche.
• Pour les opérations de mise en marche, reliez les variables du programme utilisateur
standard par l'opération logique ET, par exemple, à des conditions de mise en marche
dérivées de variables de sécurité.
Si vous voulez traiter des variables du programme utilisateur standard dans le programme de
sécurité, tenez compte du fait que le contrôle de vraisemblance de certaines de ces variables
n'est pas facile.

Lire des variables du programme utilisateur standard pouvant évoluer pendant le temps
d'exécution d'un groupe d'exécution F
Si vous voulez lire dans le programme de sécurité des variables du programme utilisateur
standard (mémentos, variables d'un DB standard ou MIE de la périphérie standard) qui
peuvent être modifiées par le programme utilisateur standard ou par un système de contrôle-
commande durant l'exécution du groupe d'exécution F dans lequel elles sont lues – par
exemple, parce que votre programme utilisateur standard est traité par une alarme cyclique
de priorité supérieure –, vous devez utiliser des mémentos ou des variables de DB standard
spécifiques. Nous vous recommandons d'utiliser des FC standard de prétraitement (Page 86)
pour les CPU F S7-1200/1500.
(S7-300/400) Les variables du programme utilisateur standard doivent être écrites dans ces
mémentos ou variables de DB standard juste avant l'appel du groupe d'exécution F.
Vous ne serez alors autorisé à accéder qu'à ces mémentos ou variables de DB standard dans le
Veuillez également noter que les mémentos de cadence que vous avez définis dans l'onglet
"Propriétés" lors de la configuration de la CPU F peuvent évoluer durant l'exécution du groupe
d'exécution F, car ils s'exécutent de manière asynchrone par rapport au cycle de la CPU F.
Remarque

Communication de sécurité 9
9.1 Configurer et programmer la communication (S7-300, S7-400)
9.1.1 Vue d'ensemble de la communication
Introduction
Cette section donne une vue d'ensemble des options de communication de sécurité dans des
systèmes F SIMATIC Safety.
Options de communication de sécurité
Communication de sécurité Via le sous-réseau Matériel supplémen-

taire nécessaire
Communication esclave I-esclave PROFIBUS DP —
Communication CPU-CPU de sécurité :
Communication contrôleur IO- PROFINET IO Coupleur PN/PN
contrôleur IO
Communication maître-maître PROFIBUS DP Coupleur DP/DP
Communication contrôleur IO- PROFINET IO —
périphérique I
Communication maître-esclave I PROFIBUS DP —
Communication esclave I-esclave I PROFIBUS DP —
Communication contrôleur IO-esclave I PROFINET IO et PROFIBUS DP IE/PB-Link
Communication de sécurité via des Industrial Ethernet —
liaisons S7
Communication contrôleur IO- PROFINET IO Coupleur PN/PN
contrôleur IO pour S7 Distributed Safety
Communication maître-maître pour S7 PROFIBUS DP Coupleur DP/DP
Distributed Safety
Communication de sécurité pour S7 Industrial Ethernet —
Distributed Safety ou S7 F Systems via
des liaisons S7

Communication de sécurité
Vue d'ensemble de la communication de sécurité via PROFIBUS DP

La figure suivante présente les quatre options de communication de sécurité via PROFIBUS DP
dans des systèmes F SIMATIC Safety avec des CPU F S7-300/400.
① Communication maître-maître de sécurité

② Communication maître-esclave I de sécurité
③ Communication esclave I-esclave I de sécurité
④ Communication esclave I-esclave de sécurité
Vue d'ensemble de la communication de sécurité via PROFINET IO

La figure suivante présente les quatre options de communication de sécurité via PROFINET IO
dans des systèmes F SIMATIC Safety avec des CPU F S7-300/400. En cas d'utilisation d'un
IE/PB-Link, une communication de sécurité est possible entre les esclaves I affectés.
① Communication contrôleur IO-contrôleur IO de sécurité

② Communication contrôleur IO-périphérique I de sécurité
③ Communication contrôleur IO-esclave I de sécurité
④ Communication esclave I-esclave I de sécurité intégrant un contrôleur IO

Communication CPU-CPU de sécurité via PROFIBUS DP ou PROFINET IO

Lors de la communication CPU-CPU de sécurité, un nombre fixe de données de sécurité de
type INT ou BOOL sont transmises de manière sécurisée entre les programmes de sécurité
dans les CPU F de maîtres DP/esclaves I ou de contrôleurs IO/périphériques I.
Les données sont transmises à l'aide des instructions SENDDP pour l'émission et RCVDP pour
la réception. Les données sont enregistrées dans des zones de transfert configurées des
appareils. Une zone de transfert se compose d'une plage d'adresses d'entrée et d'une plage
d'adresses de sortie.
Communication esclave I-esclave de sécurité via PROFIBUS DP

La communication esclave I-esclave de sécurité est possible avec la périphérie F dans un
esclave DP prenant en charge la communication esclave I-esclave de sécurité, par exemple
avec tous les modules F ET 200SP avec IM 155-6 DP HF de firmware > V3.1, tous les modules
F ET 200S avec IM 151-1 HF, tous les modules de signaux de sécurité S7-300 avec IM 153-2 à
partir du numéro d'article 6ES7153-2BA01-0XB0 et de firmware > V4.0.0.
La communication de sécurité entre le programme de sécurité de la CPU F d'un esclave I et la
périphérie F d'un esclave DP est réalisée – comme dans le système standard – par échange
direct de données. L'accès aux voies de la périphérie F dans le programme de sécurité de la
CPU F de l'esclave I se fait via la mémoire image du processus.
Communication CPU-CPU de sécurité via Industrial Ethernet

La communication CPU-CPU de sécurité via Industrial Ethernet est possible via des liaisons S7
depuis et vers les CPU suivantes :
• CPU F S7-300 via l'interface PROFINET intégrée
• CPU F S7-400 via l'interface PROFINET intégrée ou un CP 443-1 ou CP 443-1 Advanced-IT
En cas de communication de sécurité via des liaisons S7, un nombre de données de sécurité
de type BOOL, INT, WORD, DINT, DWORD ou TIME que vous définissez sont transmises de
manière sécurisée entre les programmes de sécurité des CPU F connectées via la liaison S7.
La transmission des données se fait à l'aide des instructions SENDS7 pour l'émission et RCVS7
pour la réception. Les données sont échangées respectivement via un DB F ("DB de
communication F") côté émission et côté réception.
Communication CPU-CPU de sécurité pour S7 Distributed Safety ou S7 F Systems

La communication de sécurité de CPU F dans SIMATIC Safety vers des CPU F dans S7
Distributed Safety ou S7 F Systems est possible.

9.1.2 Communication contrôleur IO-contrôleur IO de sécurité
9.1.2.1 Configurer la communication contrôleur IO-contrôleur IO de sécurité
Introduction
La communication de sécurité entre les programmes de sécurité des CPU F de contrôleurs IO
se fait via un coupleur PN/PN que vous montez entre les deux CPU F.
Utilisez un CP 443-1 ou un CP 443-1 Advanced-IT pour les CPU 416F-2 DP sans interface
PROFINET intégrée.
Remarque
Désactivez le paramètre "Affichage de la validité des données DIA" dans les propriétés du
coupleur PN/PN dans l'éditeur de matériel et de réseaux (cela correspond au paramétrage par
défaut). Sinon, une communication contrôleur IO-contrôleur IO de sécurité est impossible.
Configurer les zones de transfert

Vous devez configurer une zone de transfert pour les données de sortie et une zone de
transfert pour les données d'entrée dans l'éditeur de matériel et de réseaux dans le coupleur
PN/PN pour chaque liaison de communication de sécurité entre deux CPU F. Dans la figure
suivante, chacune des deux CPU F doit pouvoir émettre et recevoir des données
(communication bidirectionnelle). Une zone de transfert pour les données de sortie et une
zone de transfert pour les données d'entrée doivent être configurées dans le coupleur PN/PN
pour chacune des deux liaisons de communication.

Règles pour la définition des zones de transfert

Pour les données à émettre, la zone de transfert pour les données de sortie et la zone de
transfert pour les données d'entrée doivent commencer à la même adresse de début. 12
octets (cohérents) sont nécessaires pour la zone de transfert pour les données de sortie et 6
octets (cohérents) pour la zone de transfert pour les données d'entrée.
Pour les données à recevoir, la zone de transfert pour les données d'entrée et la zone de
transfert pour les données de sortie doivent commencer à la même adresse de début. 12
octets (cohérents) sont nécessaires pour la zone de transfert pour les données d'entrée et 6
octets (cohérents) pour la zone de transfert pour les données de sortie.
Procédure pour la configuration

La procédure pour configurer une communication contrôleur IO-contrôleur IO de sécurité est
la même que dans le système standard.
Procédez comme suit :
1. Insérez deux CPU F de la Task Card "Catalogue du matériel" dans le projet.
2. Passez dans la vue du réseau de l'éditeur de matériel et de réseaux.
3. Sélectionnez un coupleur PN/PN X1 et un coupleur PN/PN X2 sous "Autres appareils de
terrain\PROFINET IO\Gateway\Siemens AG\PN/PN Coupler" dans la Task Card "Catalogue du
matériel" et insérez-les dans la vue du réseau de l'éditeur de matériel et de réseaux.
4. Connectez l'interface PN de la CPU F 1 à l'interface PN du coupleur PN/PN X1 et l'interface PN
de la CPU F 2 à l'interface PN du coupleur PN/PN X2.
5. Pour des liaisons de communication bidirectionnelles, c'est-à-dire si chaque CPU F doit

envoyer et recevoir des données, passez dans la vue des appareils du coupleur PN/PN X1.
Sélectionnez les modules suivants sous "IN/OUT" dans la Task Card "Catalogue du matériel"
avec filtre activé et insérez-les dans l'onglet "Vue d'ensemble des appareils" :
– un module "IN/OUT 6 octets / 12 octets" et
– un module "IN/OUT 12 octets / 6 octets"

6. Dans les propriétés des modules, affectez les adresses hors de la mémoire image comme
suit :
Pour le module "IN/OUT 6 octets / 12 octets" pour l'envoi de données par exemple :
– Adresses d'entrée : adresse de début 518
– Adresses de sortie : adresse de début 518
Pour le module "IN/OUT 12 octets / 6 octets" pour la réception de données par exemple :
Remarque
Veillez à attribuer des adresses de début identiques pour les plages d'adresses des
données d'entrée et de sortie.
Conseil : Notez les adresses de début des zones de transfert. Vous en aurez besoin pour la
programmation des blocs SENDDP et RCVDP (entrée LADDR).

7. Sélectionnez les modules suivants sous "IN/OUT" dans la vue des appareils du coupleur
PN/PN X2 et insérez-les dans l'onglet "Vue d'ensemble des appareils" :
suit :
Pour le module "IN/OUT 12 octets / 6 octets" pour la réception de données par exemple :
Pour le module "IN/OUT 6 octets / 12 octets" pour l'envoi de données par exemple :

9.1.2.2 Communication contrôleur IO-contrôleur IO de sécurité avec SENDDP et RCVDP
Communication avec les instructions SENDDP et RCVDP
La communication de sécurité entre les CPU F des contrôleurs IO se fait à l'aide des
instructions SENDDP pour l'émission et RCVDP pour la réception. Elles permettent de
transmettre un nombre fixe de données de sécurité de type BOOL ou INT de manière
sécurisée.
Ces instructions se trouvent sous "Communication" dans la Task Card "Instructions". Vous
devez appeler l'instruction RCVDP au début du Main Safety Block. Vous devez appeler
l'instruction SENDDP à la fin du Main Safety Block.
Notez que les signaux d'émission ne sont envoyés qu'après l'appel de l'instruction SENDDP à
la fin du traitement du groupe d'exécution F correspondant.
Vous trouverez une description détaillée des instructions SENDDP et RCVDP sous SENDDP et
RCVDP : Émission et réception de données via PROFIBUS DP/PROFINET IO (STEP 7 Safety V18)
(Page 585).

9.1.2.3 Programmer la communication contrôleur IO-contrôleur IO de sécurité
Condition pour la programmation

Les zones de transfert pour les données d'entrée et de sortie doivent être configurées pour le
coupleur PN/PN.

Vous programmez la communication contrôleur IO-contrôleur IO de sécurité de la manière
suivante :
1. Appelez l'instruction SENDDP (Page 585) d'émission à la fin du Main Safety Block dans le
programme de sécurité qui doit émettre les données.
2. Appelez l'instruction RCVDP (Page 585) de réception au début du Main Safety Block dans le
programme de sécurité qui doit recevoir les données.
3. Affectez aux entrées LADDR respectives les adresses de début, configurées dans l'éditeur de
matériel et de réseaux, des zones de transfert pour les données de sortie et d'entrée du
coupleur PN/PN.
Procédez à cette affectation pour chaque connexion de communication dans chacune des
CPU F concernées.

4. Affectez aux entrées DP_DP_ID la valeur de l'ID de communication F respective. Vous

définissez ainsi la relation de communication de l'instruction SENDDP dans une CPU F avec
l'instruction RCVDP dans l'autre CPU F : les instructions associées reçoivent la même valeur
pour DP_DP_ID.
La figure suivante montre un exemple de définition des ID de communication F au niveau
des entrées des instructions SENDDP et RCVDP pour 5 relations de communication
contrôleur IO-contrôleur IO de sécurité.
ATTENTION

peut être choisie librement, mais elle doit être unique à tout moment à l'échelle du
réseau* et de la CPU pour toutes les liaisons de communication de sécurité. L'unicité doit
être vérifiée dans l'impression du programme de sécurité lors de la réception du
Vous devez connecter les entrées DP_DP_ID et LADDR à des valeurs constantes lors de

accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les abonnés
accessibles via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas échéant, via
RT_Class_UDP (IP, couche 3).
5. Fournissez les signaux d'émission aux entrées SD_BO_xx et SD_I_xx de SENDDP. Pour
économiser des signaux intermédiaires lors de la transmission des paramètres de bloc, vous
pouvez également, avant l'appel de SENDDP, écrire la valeur directement dans son DB
d'instance au moyen d'un accès indiquant le chemin complet ("Name
SENDDP_1".SD_BO_02, par exemple).
6. Affectez aux sorties RD_BO_xx et RD_I_xx de RCVDP les signaux que vous souhaitez traiter
dans d'autres parties du programme ou lisez dans les parties de traitement ultérieur du
programme les signaux reçus directement dans le DB d'instance associé par un accès
indiquant le chemin complet ("Name RCVDP_1".RD_BO_02, par exemple).
7. Fournissez aux entrées SUBBO_xx et SUBI_xx de RCVDP les valeurs de remplacement qui
doivent être émises par RCVDP à la place des valeurs de processus jusqu'au premier
– Spécification de valeurs de remplacement constantes :
Pour les données de type INT, vous pouvez saisir des valeurs de remplacement
constantes directement comme constantes à l'entrée SUBI_xx (valeur initiale = "0"). Si
vous souhaitez spécifier une valeur de remplacement constante "TRUE" pour des
données de type BOOL, fournissez la variable "F_GOBDB".VKE1 à l'entrée SUBBO_xx
(valeur initiale = "FALSE").
– Spécification de valeurs de remplacement variables :
Si vous souhaitez spécifier des valeurs de remplacement variables, définissez dans un
DB F une variable que votre programme de sécurité calculera en conséquence et
indiquez cette variable à l'entrée SUBI_xx ou SUBBO_xx en indiquant son chemin
complet.
ATTENTION
Veuillez noter que la logique de programme pour le calcul de valeurs de

remplacement variables ne peut être insérée qu'après les appels RCVDP, car il ne doit
pas y avoir de logique de programme avant les appels RCVDP. C'est pourquoi ce sont
les valeurs initiales des valeurs de remplacement qui sont actives dans toutes les
instructions RCVDP au premier cycle après le démarrage du système F. Vous devez
donc affecter des valeurs initiales appropriées à ces variables. (S017)

8. Paramétrez le temps de surveillance voulu pour les entrées TIMEOUT des instructions RCVDP
et SENDDP.
ATTENTION
La détection et la transmission au récepteur d'un état de signal à transmettre ne sont

alors garanties (de manière sûre) que lorsque la durée du signal est égale ou supérieure
au temps de surveillance paramétré. (S018)
Vous trouverez des informations sur le calcul des temps de surveillance sous Temps de
9. En option : Évaluez la sortie ACK_REQ de l'instruction RCVDP, par exemple dans le
programme utilisateur standard ou dans le système de contrôle-commande, pour détecter
ou signaler si un acquittement utilisateur est requis.
10.Fournissez le signal d'acquittement en vue de la réintégration à l'entrée ACK_REI de
l'instruction RCVDP.
11.En option : Évaluez la sortie SUBS_ON de l'instruction RCVDP ou SENDDP pour savoir si
l'instruction RCVDP fournit les valeurs de remplacement paramétrées aux entrées SUBBO_xx
et SUBI_xx.
12.En option : Évaluez la sortie ERROR de l'instruction RCVDP ou SENDDP, par exemple dans le
ou signaler la présence d'une erreur de communication.
13.En option : Évaluez la sortie SENDMODE de l'instruction RCVDP pour savoir si la CPU F avec
l'instruction SENDDP correspondante se trouve en mode de sécurité désactivé (Page 338).
9.1.2.4 Communication contrôleur IO-contrôleur IO de sécurité - Limites pour la

transmission de données
Remarque
Si les volumes de données à transmettre sont supérieurs à la capacité des instructions
SENDDP/RCVDP associées, il est possible d'utiliser un deuxième (ou troisième) appel
SENDDP/RCVDP. Configurez pour cela une nouvelle connexion de communication via le
coupleur PN/PN. La possibilité de configurer une liaison sur le même coupleur DP/DP dépend
des capacités de ce coupleur.

9.1.3 Communication maître-maître de sécurité
9.1.3.1 Configurer la communication maître-maître de sécurité
Introduction
La communication de sécurité entre les programmes de sécurité des CPU F de maîtres DP se
fait via un coupleur DP/DP.
Remarque
Réglez l'affichage de la validité des données "DIA" sur "OFF" sur le commutateur DIP du
coupleur DP/DP. Sinon, une communication CPU-CPU de sécurité est impossible.

transfert pour les données d'entrée dans le coupleur DP/DP pour chaque connexion de
communication de sécurité entre deux CPU Fdans l'éditeur de matériel et de réseaux. Dans la
figure suivante, chacune des deux CPU F doit pouvoir émettre et recevoir des données
(communication bidirectionnelle). Une zone de transfert pour les données de sortie et une
zone de transfert pour les données d'entrée doivent être configurées dans le coupleur DP/DP
pour chacune des deux connexions de communication.


Pour les données à émettre, la zone de transfert pour les données d'entrée et la zone de
octets (cohérents) sont nécessaires pour la zone de transfert des données d'entrée et 12
octets (cohérents) pour la zone de transfert des données de sortie.
Pour les données à recevoir, la zone de transfert pour les données d'entrée et la zone de
octets (cohérents) sont nécessaires pour la zone de transfert pour les données d'entrée et 6
octets (cohérents) pour la zone de transfert pour les données de sortie.

La procédure pour configurer une communication maître-maître de sécurité est la même que
dans le système standard.
3. Sélectionnez un coupleur DP/DP sous "Autres appareils de
terrain\PROFIBUS DP\Passerelles\Siemens AG\Coupleur DP/DP" dans la Task Card "Catalogue
du matériel" et insérez-le dans la vue de réseau de l'éditeur de matériel et de réseaux.
4. Insérez un deuxième coupleur DP/DP.
5. Connectez une interface DP de la CPU F 1 à l'interface DP de l'un des coupleurs DP/DP et une
interface DP de la CPU F 2 à l'interface DP de l'autre coupleur DP/DP.

6. Une adresse PROFIBUS libre est automatiquement attribuée dans les propriétés du coupleur
DP/DP dans la vue des appareils. Vous devez régler cette adresse sur le coupleur DP/DP de
PLC_1 soit au moyen du commutateur DIP sur l'appareil, soit dans la configuration du
coupleur DP/DP (voir le manuel Coupleur DP/DP
(http://support.automation.siemens.com/WW/view/fr/1179382)).
7. Pour des connexins de communication bidirectionnelles, c'est-à-dire si chaque CPU F doit
envoyer et recevoir des données, passez dans la vue des appareils du coupleur DP/DP pour
PLC_1. Sélectionnez les modules suivants dans la Task Card "Catalogue du matériel" avec
filtre activé et insérez-les dans l'onglet "Vue d'ensemble des appareils" :
– un module "6 octets I/12 octets Q cohérents" et
– un module "12 octets I/6 octets Q cohérents"

suit :
Pour le module "6 octets I/12 octets Q cohérents" pour l'envoi de données par exemple :
Pour le module "12 octets I/6 octets Q cohérents" pour la réception de données par
exemple :
Remarque
Veillez à attribuer des adresses de début identiques pour les plages d'adresses des
données de sortie et d'entrée.
Conseil : Notez les adresses de début des zones de transfert. Vous en aurez besoin
pour la programmation des blocs SENDDP et RCVDP (entrée LADDR).

9. Sélectionnez les modules suivants dans la Task Card "Catalogue du matériel" de la vue des
appareils du coupleur DP/DP PLC_2 avec filtre activé et insérez-les dans l'onglet "Vue
d'ensemble des appareils" :
10.Dans les propriétés des modules, affectez les adresses hors de la mémoire image comme
suit :
Pour le module "12 octets I/6 octets Q cohérents" pour la réception de données par
exemple :
Pour le module "6 octets I/12 octets Q cohérents" pour l'envoi de données par exemple :

9.1.3.2 Communication maître-maître de sécurité avec SENDDP et RCVDP
La communication de sécurité entre les CPU F des maîtres DP se fait à l'aide des instructions
SENDDP pour l'émission et RCVDP pour la réception. Elles permettent de transmettre un
nombre fixe de données de sécurité de type BOOL ou INT de manière sécurisée.
(Page 585).

9.1.3.3 Programmer la communication maître-maître de sécurité

coupleur DP/DP.

Vous programmez la communication maître-maître de sécurité de la manière suivante :
3. Affectez aux entrées LADDR respectives les adresses de début, configurées dans l'éditeur de
matériel et de réseaux, des zones de transfert pour les données de sortie et d'entrée du
coupleur DP/DP.
CPU F concernées.


pour DP_DP_ID.
des entrées des instructions SENDDP et RCVDP pour 5 relations de communication maître-
maître de sécurité.
ATTENTION

peut être choisie librement, mais elle doit être unique à tout moment à l'échelle du
réseau* et de la CPU pour toutes les liaisons de communication de sécurité. L'unicité doit
être vérifiée dans l'impression du programme de sécurité lors de la réception du

5. Fournissez les signaux d'émission aux entrées SD_BO_xx et SD_I_xx de SENDDP. Pour
économiser des signaux intermédiaires lors de la transmission des paramètres de bloc, vous
pouvez également, avant l'appel de SENDDP, écrire la valeur directement dans son DB
d'instance au moyen d'un accès indiquant le chemin complet ("Name
6. Affectez aux sorties RD_BO_xx et RD_I_xx de RCVDP les signaux que vous souhaitez traiter
dans d'autres parties du programme ou lisez dans les parties de traitement ultérieur du
programme les signaux reçus directement dans le DB d'instance associé par un accès
indiquant le chemin complet ("nom RCVDP_1".RD_BO_02, par exemple).
7. Fournissez aux entrées SUBBO_xx et SUBI_xx de RCVDP les valeurs de remplacement qui
doivent être émises par RCVDP à la place des valeurs de processus jusqu'au premier
Pour les données de type INT, vous pouvez saisir des valeurs de remplacement
constantes directement comme constantes à l'entrée SUBI_xx (valeur initiale = "0"). Si
vous souhaitez spécifier une valeur de remplacement constante pour des données de
type BOOL, fournissez la variable "F_GLOBDB".VKE1 à l'entrée SUBBO_xx (valeur initiale
= "FALSE").
indiquez cette variable à l'entrée SUBI_xx ou SUBBO_xx en indiquant son chemin
complet.
ATTENTION


et SENDDP.
ATTENTION

9. En option : Évaluez la sortie ACK_REQ de l'instruction RCVDP, par exemple dans le
l'instruction RCVDP fournit les valeurs de remplacement paramétrées aux entrées SUBBO_xx
et SUBI_xx.
9.1.3.4 Communication maître-maître de sécurité - Limites pour la transmission de

données
Remarque
coupleur DP/DP. La possibilité de configurer une connexion avec le même coupleur DP/DP
dépend des limites de capacité du coupleur.

9.1.4 Communication contrôleur IO-périphérique I de sécurité
9.1.4.1 Configurer la communication contrôleur IO-périphérique I de sécurité
Introduction
La communication de sécurité entre le programme de sécurité de la CPU F d'un contrôleur IO
et le ou les programmes de sécurité de la ou des CPU F d'un ou de plusieurs périphériques I
est réalisée – comme dans le système standard via PROFINET IO – par des connexions
contrôleur IO-périphérique I (F-CD).
Vous n'avez pas besoin de matériel supplémentaire pour la communication contrôleur IO-
périphérique I.
La CPU F devant assumer le rôle de périphérique I doit prendre en charge le mode de
fonctionnement "Périphérique IO".

Vous devez configurer des zones de transfert dans l'éditeur de matériel et de réseaux pour
chaque connexion de communication de sécurité entre deux CPU F. Dans la figure suivante,
chacune des deux CPU F doit pouvoir émettre et recevoir des données (communication
bidirectionnelle).
Lors de sa création, la zone de transfert reçoit une identification qui caractérise la relation de
communication. Par exemple, "F-CD_PLC_2-PLC_1_1" pour la première connexion F-CD entre
la CPU F 1 contrôleur IO et la CPU F 2 périphérique I.
Vous affectez les adresses de début des zones de transfert dans les programmes de sécurité à
l'entrée LADDR des instructions SENDDP et RCVDP.


La procédure pour configurer une communication contrôleur IO-périphérique I de sécurité est
2. Activez le mode de fonctionnement "Périphérique IO" pour la CPU F 2 dans les propriétés de
son interface PN et affectez cette interface PN à une interface PN de la CPU F 1.
3. Sélectionnez l'interface PROFINET de la CPU F 2. Sous "Zones de transfert", créez une
connexion F-CD (type "F-CD") pour envoyer des données au contrôleur IO (←). La connexion
F-CD est marquée en jaune dans le tableau et les plages d'adresses occupées hors de la
mémoire image dans le périphérique I et le contrôleur IO sont affichées.
Une connexion d'acquittement est en outre créée automatiquement pour chaque
connexion F-CD (voir les détails sur la zone de transfert).

4. Créez une autre connexion F-CD pour recevoir des données du contrôleur IO.
5. Dans la zone de transfert que vous venez de créer, cliquez sur la flèche pour changer le sens
de transmission à Réception du contrôleur IO (→).

9.1.4.2 Communication contrôleur IO-périphérique I de sécurité avec SENDDP et RCVDP
La communication de sécurité entre la CPU F du contrôleur IO et un périphérique I se fait à

l'aide des instructions SENDDP pour l'émission et RCVDP pour la réception. Elles permettent
de transmettre un nombre fixe de données de sécurité de type BOOL ou INT de manière
sécurisée.
(Page 585).
9.1.4.3 Programmer la communication contrôleur IO-périphérique I de sécurité

Les zones de transfert doivent être configurées.

Vous programmez la communication contrôleur IO-périphérique I de sécurité exactement
comme la communication contrôleur IO-contrôleur IO de sécurité (voir Programmer la
communication contrôleur IO-contrôleur IO de sécurité (Page 204)).

Reportez-vous au tableau ci-dessous pour l'affectation des adresses de début des zones de
transfert à l'entrée LADDR des instructions SENDDP/RCVDP :
Instruction Adresse de début LADDR

de la ligne de la colonne
SENDDP dans le contrôleur IO → Adresse dans le contrôleur IO
RCVDP dans le contrôleur IO ← Adresse dans le contrôleur IO
SENDDP dans le périphérique I ← Adresse dans le périphérique IO
RCVDP dans le périphérique I → Adresse dans le périphérique IO
La figure suivante montre un exemple de définition des ID de communication F au niveau des

entrées des instructions SENDDP et RCVDP pour 4 relations de communication contrôleur IO-
périphérique I de sécurité.
ATTENTION

peut être choisie librement, mais elle doit être unique à tout moment à l'échelle du réseau*
et de la CPU pour toutes les liaisons de communication de sécurité. L'unicité doit être
vérifiée dans l'impression du programme de sécurité lors de la réception du programme de
sécurité.

(IP, couche 3).
ATTENTION

9.1.4.4 Communication contrôleur IO-périphérique I de sécurité - Limites pour la

Limites pour la transmission de données

Si le volume de données à transmettre est supérieur à la capacité des instructions
SENDDP/RCVDP associées, vous pouvez utiliser des instructions SENDDP/RCVDP
supplémentaires. Configurez pour cela des zones de transfert supplémentaires en tenant
compte de la limite maximale de 1440 octets de données d'entrée et 1440 octets de données
de sortie pour la transmission entre un périphérique I et un contrôleur IO.
Le tableau suivant indique le volume de données de sortie et d'entrée qu'occupent les
connexions de communication de sécurité :
Communication Connexion de com- Données d'entrée et de sortie occupées

de sécurité munication
dans le contrôleur IO dans le périphérique I
Données de Données Données de Données
sortie d'entrée sortie d'entrée
Contrôleur IO - Émission : 6 octets 12 octets 12 octets 6 octets
périphérique I périphérique I 1 au
contrôleur IO
Réception : 12 octets 6 octets 6 octets 12 octets
périphérique I 1 du
contrôleur IO
Tenez compte pour la limite maximale de 1440 octets de données d'entrée et 1440 octets de
données de sortie pour la transmission entre un périphérique I et un contrôleur IO de toutes
les autres connexions de communication standard et de sécurité configurées (zones de
transfert de type F-CD et CD). Des données sont en outre occupées en interne de sorte que la
limite maximale peut éventuellement être atteinte plus tôt.
En cas de dépassement de la limite, vous recevez un message d'erreur correspondant.

9.1.5 Communication maître-esclave I de sécurité
9.1.5.1 Configurer la communication maître-esclave I de sécurité
Introduction
La communication de sécurité entre le programme de sécurité de la CPU F d'un maître DP et
le ou les programmes de sécurité de la ou des CPU F d'un ou de plusieurs esclaves I est
réalisée – comme dans le système standard – par des connexions maître-esclave I (F-MS).
Vous n'avez pas besoin de coupleur DP/DP pour la communication maître-esclave I.

bidirectionnelle).
communication. Par exemple, "F-MS_PLC_2-PLC_1_1" pour la première connexion F-MS entre
la CPU F 1 maître DP et la CPU F 2 esclave I.

La procédure pour configurer une communication maître-esclave I de sécurité est la même
que dans le système standard.


2. Activez le mode de fonctionnement "Esclave DP" (esclave I) pour la CPU F 2 dans les
propriétés de son interface DP et affectez cette interface DP à une interface DP de la CPU F 1.
3. Sélectionnez l'interface PROFIBUS de la CPU F 2. Sous "Zones de transfert", créez une
connexion F-MS (type "F-MS") pour envoyer les données au maître DP (←). La connexion F-
MS est marquée en jaune dans le tableau et les zones de transfert occupées hors de la
mémoire image dans l'esclave I et le maître DP sont affichées.
connexion F-MS (voir les détails sur la zone de transfert).
4. Créez une autre connexion F-MS pour recevoir des données du maître DP.
de transmission à Réception du maître DP (→).

9.1.5.2 Communication maître-esclave I ou esclave I-esclave I de sécurité avec SENDDP et

RCVDP
La communication de sécurité entre la CPU F du maître DP et un esclave I ou entre les CPU F

de plusieurs esclaves I se fait à l'aide des instructions SENDDP pour l'émission et RCVDP pour
la réception. Elles permettent de transmettre un nombre fixe de données de sécurité de type
BOOL ou INT de manière sécurisée.
(Page 585).
9.1.5.3 Programmer la communication maître-esclave I ou esclave I-esclave I de sécurité
Conditions

Vous programmez la communication maître-esclave I ou esclave I-esclave I de sécurité
exactement comme la communication maître-maître de sécurité (voir Programmer la
communication maître-maître de sécurité (Page 214)).


SENDDP dans le maître DP → Adresse du maître
RCVDP dans le maître DP ← Adresse du maître
SENDDP dans l'esclave I ← Adresse de l'esclave
RCVDP dans l'esclave I → Adresse de l'esclave

entrées des instructions SENDDP et RCVDP pour quatre relations de communication maître-
esclave I de sécurité et deux relations de communication esclave I-esclave I.

ATTENTION

peut être choisie librement, mais elle doit être unique à tout moment à l'échelle du réseau*
et de la CPU pour toutes les liaisons de communication de sécurité. L'unicité doit être
vérifiée dans l'impression du programme de sécurité lors de la réception du programme de
sécurité.
(IP, couche 3).
ATTENTION

9.1.5.4 Communication maître-esclave I ou esclave I-esclave I de sécurité - Limites pour la


compte de la limite maximale de 244 octets de données d'entrée et 244 octets de données de
sortie pour la transmission entre un esclave I et un maître DP.


Communication Connexion de Données d'entrée et de sortie occupées

de sécurité communication Maître DP Esclave I 1 Esclave I 2
Données de Données Données Données Données de Données
sortie d'entrée de sortie d'entrée sortie d'entrée
Maître-esclave I Émission : 6 octets 12 octets 12 octets 6 octets — —
esclave I 1 au
maître DP
Réception : 12 octets 6 octets 6 octets 12 octets — —
esclave I 1 du
maître DP
Esclave I-esclave Émission : — 18 octets 12 octets 6 octets 6 octets 12 octets
I esclave I 1 à l'es-
clave I 2
Réception : — 18 octets 6 octets 12 octets 12 octets 6 octets
esclave I 1 de
l'esclave I 2
données de sortie pour la transmission entre un esclave I et un maître DP de toutes les autres
connexions de communication standard et de sécurité configurées (zones de transfert de
type F-MS, F-DX, modules F-DX, MS, DX). En cas de dépassement de la limite maximale de
244 octets de données d'entrée ou 244 octets de données de sortie, vous recevez un
message d'erreur correspondant.
9.1.6 Communication esclave I-esclave I de sécurité
9.1.6.1 Configurer la communication esclave I-esclave I de sécurité
Introduction
La communication de sécurité entre les programmes de sécurité des CPU F d'esclaves I est
réalisée – comme dans le système standard – par échange direct de données (F-DX).
Vous n'avez pas besoin de matériel supplémentaire pour la communication esclave I-esclave I.
La communication esclave I-esclave I est également possible :
• si le maître DP affecté est une CPU standard qui prend en charge l'échange direct de
données ;
• si, au lieu d'un maître DP, un contrôleur IO est mis en réseau avec les esclaves I via un
IE/PB-Link.


chaque connexion de communication de sécurité entre deux esclaves I. Dans la figure
suivante, chacun des deux esclaves I doit pouvoir émettre et recevoir des données
(communication bidirectionnelle).
communication. Par exemple, "F-DX_PLC_2-PLC_1_1" pour la première connexion F-DX entre
la CPU F 1 et la CPU F 2.

La procédure pour configurer une communication esclave I-esclave I de sécurité est la même
que dans le système standard. Procédez comme suit :
1. Insérez trois CPU F de la Task Card "Catalogue du matériel" dans le projet.
2. Activez le mode de fonctionnement "Esclave DP" (esclave I) pour la CPU F 2 et la CPU F 3
dans les propriétés de leur interface DP et affectez ces interfaces DP à une interface DP de la
CPU F 1.
3. Sélectionnez l'interface DP de la CPU F 3 dans la vue de réseau.
4. Sélectionnez l'onglet "Communication E/S".

5. Faites glisser la CPU F 2 dans la colonne "Partenaire 2" de l'onglet "Communication E/S" de la
vue de réseau.
Une ligne avec le mode de fonctionnement "Échange direct de données" est ainsi créée
pour l'envoi de données à l'esclave I (CPU F 2) (→).
6. Cliquez dans la nouvelle ligne (→).

7. Créez sous "Zones de transfert" (tableau "Échange direct de données") une connexion F-DX
(type "F-DX") pour l'envoi à l'esclave I (CPU F 2) (→). La connexion F-DX est marquée en
jaune dans le tableau et les zones de transfert occupées hors de la mémoire image dans les
esclaves I (PLC_2 et PLC_3) sont affichées.
Une ligne avec le mode de fonctionnement "Échange direct de données" est en outre
créée automatiquement dans l'onglet "Communication E/S" pour la réception de données
de l'esclave I (CPU F 2) (←), ainsi qu'une connexion d'acquittement dans le tableau
"Échange direct de données" associé (→, zone de transfert x_Ack).
Une zone de transfert (type F-MS) vers la CPU maître est créée dans le tableau
"Communication esclave I" de chacun des deux esclaves I.
Cela achève la configuration pour l'envoi de données à la CPU F 2.

8. Dans l'onglet "Communication E/S", sélectionnez la ligne avec le mode de fonctionnement

"Échange direct de données" créée automatiquement pour la réception de données de
l'esclave I (CPU F 2) (←).
9. Sous "Zones de transfert" (tableau "Échange direct de données"), créez une autre connexion
F-DX (type "F-DX") pour recevoir des données de l'esclave I (CPU F 3) (→).
Dans ce cas aussi, une connexion d'acquittement est automatiquement créée dans le
tableau "Échange direct de données" (→, zone de transfert x_Ack), ainsi que deux zones
de transfert (type F-MS) vers la CPU maître dans le tableau "Communication esclave I" des
deux esclaves I.
Cela achève la configuration pour la réception de données de la CPU F 2.
Modifier les plages d'adresses locales grisées des zones de transfert

Pour modifier la plage d'adresses locale grisée de la zone de transfert "Zone de transfert x",
vous devez modifier l'adresse de début de la plage d'adresses de la connexion d'acquittement
correspondante "Zone de transfert x_Ack".
1. Sous "Communication E/S", sélectionnez la ligne avec la flèche allant dans le même sens que
la flèche de la zone de transfert "Zone de transfert x" dans le tableau "Échange direct de
données".
2. Puis, sélectionnez dans le tableau "Échange direct de données" la ligne avec "Zone de
transfert x_Ack".
3. Modifiez-y l'adresse de début de la plage d'adresses.

9.1.6.2 Communication esclave I-esclave I de sécurité avec SENDDP et RCVDP
Référence
Vous trouverez la description de la communication avec SENDDP et RCVDP pour la
communication esclave I-esclave I de sécurité sous SENDDP et RCVDP : Émission et réception
de données via PROFIBUS DP/PROFINET IO (STEP 7 Safety V18) (Page 585).
9.1.6.3 Programmer la communication esclave I-esclave I de sécurité
Référence
La description de la programmation de la communication esclave I-esclave I de sécurité figure
sous Programmer la communication maître-esclave I ou esclave I-esclave I de sécurité
(Page 226).

SENDDP dans le premier esclave I → Adresse dans le <premier es-
clave I>
(dans l'exemple colonne
"Adresse dans PLC_2")
RCVDP dans le premier esclave I ← Adresse dans le <premier es-
clave I>
SENDDP dans le deuxième esclave I ← Adresse dans le <deuxième
esclave I>
RCVDP dans le deuxième esclave I → Adresse dans le <deuxième
esclave I>
9.1.6.4 Communication esclave I-esclave I de sécurité - Limites pour la transmission de

données

Vous trouverez la description des limites pour la transmission de données pour la
communication esclave I-esclave I de sécurité sous Communication maître-esclave I ou
esclave I-esclave I de sécurité - Limites pour la transmission de données (Page 228).

9.1.7 Communication esclave I-esclave de sécurité
9.1.7.1 Configurer la communication esclave I-esclave de sécurité
Introduction
La communication de sécurité entre le programme de sécurité de la CPU F d'un esclave I et la
périphérie F dans un esclave DP est réalisée – comme dans le système standard – par
échange direct de données (modules F-DX).
Vous n'avez pas besoin de matériel supplémentaire pour la communication esclave I-esclave.
La communication esclave I-esclave est également possible :
• si le maître DP affecté est une CPU standard qui prend en charge l'échange direct de
données ;
• si, au lieu d'un maître DP, un contrôleur IO est mis en réseau avec les esclaves I via un
IE/PB-Link.
Lors de la configuration d'une périphérie F dans l'éditeur de matériel et de réseaux, le
système génère automatiquement pour chaque périphérie F un DB de périphérie F dont vous
avez besoin pour l'accès à la périphérie F via la communication esclave I-esclave de sécurité.
Le DB de périphérie F est créé initialement dans le programme de sécurité du maître DP s'il
s'agit d'une CPU F avec activation F. Ce n'est que lors de la configuration de la connexion
Modules F-DX que le DB de périphérie F est créé dans le programme de sécurité de l'esclave I
et supprimé dans le programme de sécurité du maître DP.
L'accès aux voies de la périphérie F dans le programme de sécurité de la CPU F de l'esclave I se
fait via la mémoire image du processus comme décrit sous Accès à la périphérie F pour la
communication esclave I-esclave de sécurité (Page 240).
Restrictions
Remarque
La communication esclave I-esclave de sécurité est possible avec la périphérie F dans un
esclave DP prenant en charge la communication esclave I-esclave de sécurité, par exemple
avec tous les modules F ET 200SP avec IM 155-6 DP HF de firmware > V3.1, tous les modules
F ET 200S avec IM 151-1 HF, tous les modules de signaux de sécurité S7-300 avec IM 153-2 à
partir du numéro d'article 6ES7153-2BA01-0XB0 et de firmware > V4.0.0.

Remarque
Veillez à ce que la CPU du maître DP démarre avant la CPU F de l'esclave I dans la
communication esclave I-esclave de sécurité.
Sinon le système F peut – en fonction du temps de surveillance F paramétré pour la
périphérie F – détecter une erreur dans la communication de sécurité (erreur de
communication) entre la CPU F et la périphérie F affectée à l'esclave I. Cela signifie que la
réintégration de la périphérie F ne s'effectue pas automatiquement après un démarrage du
système F, mais seulement après un acquittement utilisateur avec un front montant de la
variable ACK_REI du DB de périphérie F (voir aussi Après des erreurs de communication
(Page 175) et Après un démarrage du système F (Page 173)).

chaque connexion de communication de sécurité entre esclave I et esclave.
communication. Par exemple, "F-DX-Mod_PLC_2-PLC_1_1" pour la première connexion
Modules F-DX entre la CPU F 1 et la CPU F 2.

Procédure de configuration prenant comme exemple un ET 200S avec des modules F dans
l'esclave
La procédure pour configurer une communication esclave I-esclave de sécurité est la même
2. Insérez un esclave DP approprié, par exemple l'IM 151-1 HF de numéro d'article
6ES7151-1BA0..., de la Task Card "Catalogue du matériel" dans la vue de réseau de l'éditeur
de matériel et de réseaux.
3. Insérez un module d'alimentation, un module 4/8 F-DI et un module 4 F-DO dans la vue des
appareils de l'ET 200S.
4. Activez le mode de fonctionnement "Esclave DP" (esclave I) pour la CPU F 2 dans les
propriétés de son interface DP et affectez cette interface à la CPU F 1.
5. Affectez l'interface DP de l'IM 151-1 HF au maître DP (CPU F 1).
6. Sélectionnez l'interface DP de la CPU F 2 (esclave I) dans la vue du réseau.
7. Sélectionnez l'onglet "Communication E/S".
8. Faites glisser l'ET 200S dans la colonne "Partenaire 2" de l'onglet "Communication E/S" de la
vue de réseau.
9. Cliquez dans la nouvelle ligne (←).

10.Sous "Zones de transfert", créez une connexion Modules F-DX (type "Modules F-DX"). La
connexion Modules F-DX est marquée en jaune dans le tableau. Les adresses pour le
"module partenaire" 4/8 F-DI dans l'esclave I (PLC_2) s'affichent. Vous pouvez modifier les
adresses directement dans le tableau si nécessaire.
Cela achève la configuration pour le module 4/8 F-DI.
11.Créez une autre connexion Modules F-DX sous "Zones de transfert".
12.Changez le module partenaire en module 4 F-DO soit directement dans le tableau "Zones de
transfert", soit dans les détails de la zone de transfert 2 si le module 4 F-DO n'a pas déjà été
sélectionné.
Cela achève la configuration pour le module 4 F-DO.

Une zone de transfert (type F-MS) vers la CPU maître est créée dans le tableau
"Communication esclave I" de l'esclave I pour chaque connexion Modules F-DX.
Modification de la configuration de la communication esclave I-esclave
ATTENTION
Si vous avez ajouté ou supprimé une communication esclave-esclave I pour une périphérie
F, vous devez compiler et charger aussi bien la configuration matérielle du maître DP que la
configuration matérielle de l'esclave I.
La signature globale F dans la CPU F de l'esclave I et la signature globale F dans la CPU F du
maître DP (si un programme de sécurité s'y trouve également) sont mises à "0". Vous devez
ensuite recompiler le ou les programmes de sécurité. (S019)

9.1.7.2 Accès à la périphérie F pour la communication esclave I-esclave de sécurité
Accès par la mémoire image du processus

Dans la communication esclave I-esclave de sécurité, vous accédez à la périphérie F par la
mémoire image du processus (MIE ou MIS) dans le programme de sécurité de la CPU F de
l'esclave I. Cela correspond à l'accès à une périphérie F directement affectée à un esclave I ou
un maître DP. Dans l'esclave I, vous accédez à la périphérie F avec les adresses qui ont été
attribuées pour la connexion Modules F-DX sous "Zones de transfert" (tableau "Échange direct
de données").
Ne tenez pas compte de la plage d'opérandes affichée. Accédez à une périphérie F avec
entrées par la MIE et à une périphérie F avec sorties par la MIS.
Vous trouverez des informations sur l'accès à la périphérie sous Accès à la périphérie F
(Page 155).
9.1.7.3 Communication esclave I-esclave de sécurité - Limites pour la transmission de

données

Tenez compte de la limite maximale de 244 octets de données d'entrée et 244 octets de
données de sortie pour la transmission entre un esclave I et un maître DP.
Le tableau suivant indique le volume de données de sortie et d'entrée qu'occupe une
connexion de communication de sécurité en prenant un module 4/8 F-DI et un module
4 F-DO ET 200S comme exemple :
Communication Connexion de communication Données d'entrée et de sortie occupées*

de sécurité entre l'esclave I et le maître DP
Données de sortie Données d'entrée
dans l'esclave I dans l'esclave I
Esclave I-esclave Communication esclave I-esclave 4 octets 6 octets
avec 4/8 F-DI
Communication esclave I-esclave 5 octets 5 octets
avec 4 F-DO
* Exemple pour 4/8 F-DI et 4 F-DO ET 200S
connexions de communication standard et de sécurité configurées (connexions F-MS, F-DX,
Modules F-DX, MS et DX). En cas de dépassement de la limite maximale de 244 octets de
données d'entrée ou 244 octets de données de sortie, vous recevez un message d'erreur
correspondant.

9.1.8 Communication contrôleur IO-esclave I de sécurité
Introduction
et le ou les programmes de sécurité de la ou des CPU F d'un ou de plusieurs esclaves I est
IE/PB-Link
L'IE/PB-Link est indispensable pour la communication contrôleur IO-esclave I de sécurité.
Chacune des deux CPU F est reliée à l'IE/PB-Link via son interface PROFIBUS DP ou PROFINET.
Remarque
Vous devez tenir compte de l'utilisation d'un IE/PB-Link lors de la configuration des temps de
surveillance spécifiques F et lors du calcul du temps de réaction maximal de votre système F
(voir aussi Temps de surveillance et de réaction (Page 602)).
Notez que le fichier Excel de calcul des temps de réaction
(https://support.industry.siemens.com/cs/ww/fr/view/109783831) pour les CPU F S7-300/400
ne prend pas en charge toutes les configurations envisageables.
Référence
Les informations sur la communication maître-esclave I de sécurité sous Communication
maître-esclave I de sécurité (Page 224) s'appliquent également.
9.1.9 Communication de sécurité via des liaisons S7
9.1.9.1 Configurer la communication de sécurité via des liaisons S7
Introduction
La communication de sécurité entre les programmes de sécurité de CPU F via des liaisons S7
est réalisée – comme dans le système standard – par des liaisons S7 configurées que vous
créez dans la vue du réseau de l'éditeur de matériel et de réseaux.

Restrictions
Remarque
Dans SIMATIC Safety, les liaisons S7 ne sont généralement autorisées que via Industrial
Ethernet.
La communication de sécurité via des liaisons S7 est possible depuis et vers les CPU
suivantes :
• CPU F S7-300 via l'interface PROFINET intégrée
• CPU F S7-400 via l'interface PROFINET intégrée ou un CP 443-1 ou CP 443-1 Advanced-IT
Créer des liaisons S7

Vous devez créer une liaison S7 dans la vue du réseau de l'éditeur de matériel et de réseaux
pour chaque connexion de communication entre deux CPU F.
Pour chaque nœud d'extrémité d'une liaison, une ID locale et une ID partenaire sont
automatiquement attribuées du point de vue du nœud d'extrémité (la CPU F). Vous pouvez
modifier ces deux ID dans l'onglet "Liaisons" si nécessaire. Vous affectez l'ID locale à l'entrée
"ID" des instructions SENDS7 et RCVS7 dans les programmes de sécurité.
Procédure pour la configuration des liaisons S7

Vous configurez les liaisons S7 pour la communication CPU-CPU de sécurité de la même
manière que dans STEP 7 Professional (voir "Liaisons S7" dans l'aide sur STEP 7 Professional).

9.1.9.2 Communication avec SENDS7, RCVS7 et DB de communication F
Communication avec les instructions SENDS7 et RCVS7
Les instructions SENDS7 et RCVS7 permettent l'envoi et la réception sécurisés de données via
des liaisons S7.
Avec ces instructions, vous pouvez transmettre de manière sécurisée un volume, que vous
définissez, de données de sécurité de types BOOL, INT, WORD, DINT, DWORD ou TIME. Les
données de sécurité sont stockées dans les DB F (DB de communication F) que vous avez
créés.
devez appeler l'instruction RCVS7 au début du Main Safety Block. Vous devez appeler
l'instruction SENDS7 à la fin du Main Safety Block.
Notez que les signaux d'émission ne sont envoyés qu'après l'appel de l'instruction SENDS7 à la
fin du traitement du groupe d'exécution F correspondant.
Vous trouverez une description détaillée des instructions SENDS7 et RCVS7 sous SENDS7 et
RCVS7 : Communication via liaisons S7 (STEP 7 Safety Advanced V18) (S7-300, S7-400)
(Page 595).
DB de communication F
Pour chaque liaison de communication, les données d'émission sont stockées dans un DB F
(DBx de communication F) et les données de réception dans un DB F (DBy de
communication F).
Vous paramétrez les numéros des DB de communication F dans les instructions SENDS7 et
RCVS7.

9.1.9.3 Programmer la communication de sécurité via des liaisons S7
Introduction
La programmation de la communication CPU-CPU de sécurité via des liaisons S7 est décrite ci-
après. Vous devez effectuer les opérations suivantes dans les programmes de sécurité des
CPU F concernées :
• Créer les DB F (DB de communication F) dans lesquels les données d'émission/de réception
pour la communication seront stockées
• Appeler et paramétrer les instructions pour la communication de la Task Card
"Instructions" dans le programme de sécurité

Les liaisons S7 entre les CPU F concernées doivent être configurées dans l'onglet "Liaisons" de
l'éditeur de matériel et de réseaux dans la vue de réseau.
Créer et éditer un DB de communication F

Les DB de communication F sont des DB F que vous créez et éditez de la même manière que
les autres DB F dans le navigateur du projet. Vous paramétrez les numéros des DB de
communication F dans les instructions SENDS7 et RCVS7.
Remarque
La longueur et la structure du DB de communication F côté récepteur doit correspondre à la
longueur et à la structure du DB de communication F correspondant côté émetteur.
La CPU F peut passer à l'état Arrêt si les DB de communication F ne coïncident pas. Un
événement de diagnostic est alors inscrit dans le tampon de diagnostic de la CPU F.
C'est pourquoi nous vous recommandons de procéder de la manière suivante :
1. Dans le navigateur du projet, créez un DB de communication F dans ou sous le dossier "Blocs
de programme" de la CPU F côté émetteur.
2. Définissez la structure du DB de communication F en fonction des données à transmettre.
3. Copiez ce DB de communication F dans ou sous le dossier "Blocs de programme" de la CPU F
côté récepteur dans le navigateur du projet et modifiez le nom si nécessaire.
Exigences supplémentaires pour les DB de communication F

Les DB de communication F doivent en outre remplir les conditions suivantes :
• Il ne doit pas s'agir de DB d'instance.
• Leur longueur peut être de 100 octets au maximum.
• Seuls les types de données BOOL, INT, WORD, DINT, DWORD et TIME peuvent être déclarés
dans des DB de communication F.

• Les types de données doivent être agencés par blocs et dans l'ordre BOOL, types de
données avec 16 bits de longueur (INT, WORD) et types de données avec 32 bits de
longueur (DINT, DWORD et TIME). L'ordre des types de données est indifférent à l'intérieur
des blocs de données de 16 bits et de 32 bits.
• Il ne faut pas déclarer plus de 128 données de type BOOL.
• Le nombre de données de type BOOL doit toujours correspondre à un multiple entier de
16 (limite de mot). Vous devez donc ajouter des données de réserve si nécessaire.
Si ces critères ne sont pas remplis, STEP 7 Safety Advanced émet un message d'erreur lors de
la compilation.
Attribution de valeurs de remplacement

Des valeurs de remplacement sont mises à disposition par le côté récepteur :
• pendant la première connexion entre les partenaires de communication après le
démarrage des systèmes F,
• lorsqu'une erreur de communication survient.
Ce sont les valeurs que vous avez indiquées comme valeurs initiales dans le DB de
communication F côté récepteur qui sont fournies comme valeurs de remplacement.

Vous programmez la communication de sécurité via des liaisons S7 de la manière suivante :
1. Fournissez les signaux d'émission aux variables dans le DB de communication F côté
émetteur par un accès indiquant le chemin complet (par exemple, "nom du DB de
communication F".nom de la variable).
2. Lisez dans le DB de communication F côté récepteur les variables (signaux de réception) que
vous souhaitez traiter dans d'autres parties du programme au moyen d'un accès indiquant le
chemin complet (par exemple, "nom du DB de communication F".nom de la variable).
3. Appelez l'instruction SENDS7 d'émission à la fin du Main Safety Block dans le programme de
sécurité qui doit émettre les données.
4. Appelez l'instruction RCVS7 de réception au début du Main Safety Block dans le programme
de sécurité qui doit recevoir les données.
5. Affectez les numéros de DB de communication F correspondants aux entrées respectives
SEND_DB de SENDS7 et RCV_DB de RCVS7.
6. Affectez à l'entrée "ID" de SENDS7 l'ID locale de la liaison S7 configurée du point de vue de la
CPU F dans l'onglet "Liaisons" de la vue de réseau (type de données WORD).
7. Affectez à l'entrée "ID" de RCVS7 l'ID locale de la liaison S7 configurée dans l'onglet "Liaisons"
de la vue de réseau (type de données WORD).

8. Affectez un nombre impair (type de données DWORD) aux entrées R_ID de SENDS7 et
RCVS7. Vous définissez ainsi l'appartenance d'une instruction SENDS7 à une instruction
RCVS7. Les instructions associées reçoivent la même valeur pour R_ID.
ATTENTION
La valeur de l'ID de communication F respective (entrée R_ID, type de données DWORD)

peut être choisie librement, mais elle doit être impaire et unique à l'échelle du réseau* et
de la CPU pour toutes les liaisons de communication de sécurité. La valeur R_ID + 1 est
attribuée en interne et ne doit pas être utilisée.
Vous devez connecter les entrées ID et R_ID à des valeurs constantes lors de l'appel de
lecture, ni en écriture dans le programme de sécurité. (S020)
9. Paramétrez le temps de surveillance voulu pour les entrées TIMEOUT des instructions
SENDS7 et RCVS7.
ATTENTION


10.Pour réduire la charge du bus, vous pouvez désactiver temporairement la communication

entre les CPU F à l'entrée EN_SEND de l'instruction SENDS7 en affectant la valeur "0" à
l'entrée EN_SEND (valeur initiale = "TRUE"). Plus aucune donnée d'émission n'est alors
envoyée au DB de communication F de l'instruction RCVS7 associée et l'instruction RCVS7 du
récepteur fournit les valeurs de remplacement (valeurs initiales dans son DB de
communication F) durant cette période. Si une communication était déjà établie entre les
partenaires de liaison, une erreur de communication est détectée.
11.En option : Évaluez la sortie ACK_REQ de RCVS7, par exemple dans le programme utilisateur
standard ou dans le système de contrôle-commande, pour détecter ou signaler si un
acquittement utilisateur est requis.
12.Fournissez le signal d'acquittement en vue de la réintégration à l'entrée ACK_REI de RCVS7.
13.En option : Évaluez la sortie SUBS_ON de RCVS7 ou de SENDS7 pour savoir si l'instruction
RCVS7 fournit les valeurs de remplacement que vous avez paramétrées comme valeurs
initiales dans le DB de communication F.
14.En option : Évaluez la sortie ERROR de RCVS7 ou de SENDS7, par exemple dans le
15.En option : Évaluez la sortie SENDMODE de RCVS7 pour savoir si la CPU F avec l'instruction
SENDS7 correspondante se trouve en mode de sécurité désactivé (Page 338).
Particularités des projets migrés

Tenez compte du point suivant si vous avez migré de S7 Distributed Safety V5.4 SP5 à STEP 7
Safety Advanced un projet dans lequel une communication de sécurité via des liaisons S7 est
programmée :
• Ne supprimez pas de DB d'instance migrés pour les instructions SENDS7 ou RCVS7 dans le
dossier "STEP 7 Safety" sous "Blocs de programme > Blocs système" dans le navigateur du
projet.
Des erreurs de communication peuvent sinon se produire pour les connexions de
communication concernées.
Un DB d'instance migré pour les instructions SENDS7 ou RCVS7 a été supprimé si, après la
compilation du programme de sécurité, "l'ID personnalisée" dans le nouveau DB d'instance
généré est différente de "FRCVS7CL" ou "FSNDS7CL".
"L'ID personnalisée" d'un bloc se trouve dans la zone "Information" des propriétés du bloc.

9.1.9.4 Communication de sécurité via des liaisons S7 - Limites pour la transmission de

données
Remarque
Si le volume de données à transmettre est supérieur à la longueur autorisée pour le DB de
communication F (100 octets), vous pouvez créer un DB de communication F supplémentaire
que vous transmettez à des instructions SENDS7/RCVS7 supplémentaires avec une R_ID
modifiée.
Notez que les instructions USEND et URCV qui utilisent des ressources de liaison dans la CPU F
sont appelées en interne à chaque appel de l'instruction SENDS7 ou RCVS7. Cela affecte le
nombre maximum de connexions de communication possibles (voir les manuels des CPU F).
Des informations supplémentaires sur les limites de la transmission de données pour les
liaisons S7 des différentes CPU F sont disponibles sur Internet
(http://support.automation.siemens.com/WW/view/en/38549114).
9.1.10 Communication de sécurité avec d'autres systèmes F S7
9.1.10.1 Introduction
La communication de sécurité de CPU F dans SIMATIC Safety avec des CPU F dans des
systèmes F S7 Distributed Safety est possible via un coupleur PN/PN ou DP/DP installé entre
les deux CPU F sous forme de communication contrôleur IO-contrôleur IO ou maître-maître
ou bien via des liaisons S7 configurées.
systèmes F S7 F/FH Systems est possible via des liaisons S7 configurées.


contrôleur IO-contrôleur IO)
La communication fonctionne entre des instructions SENDDP/RCVDP du côté STEP 7
Safety Advanced et des blocs d'application F F_SENDDP/F_RCVDP du côté S7 Distributed
Safety :
Procédure du côté de S7 Distributed Safety

Procédez du côté de S7 Distributed Safety comme décrit au chapitre "Communication
sécurisée IO Controller-IO Controller" du manuel "S7 Distributed Safety, Configuration et
programmation (http://support.automation.siemens.com/WW/view/fr/22099875)".
Procédure du côté de STEP 7 Safety Advanced

Procédez du côté de STEP 7 Safety Advanced comme décrit sous Communication contrôleur
IO-contrôleur IO de sécurité (Page 199).


maître-maître)
La communication fonctionne entre des instructions SENDDP/RCVDP du côté STEP 7
Safety Advanced et des blocs d'application F F_SENDDP/F_RCVDP du côté S7 Distributed
Safety :

sécurisée maître-maître" du manuel "S7 Distributed Safety, Configuration et programmation
(http://support.automation.siemens.com/WW/view/fr/22099875)".

Procédez du côté de STEP 7 Safety Advanced comme décrit sous Communication maître-
maître de sécurité (Page 208).

9.1.10.4 Communication avec S7 Distributed Safety via des liaisons S7

La communication fonctionne entre des instructions SENDS7/RCVS7 du côté STEP 7
Safety Advanced et des blocs d'application F F_SENDS7/F_RCVS7 du côté S7 Distributed
Safety :

sécurisée via des liaisons S7" du manuel "S7 Distributed Safety, Configuration et
Comme la communication de sécurité via des liaisons S7 n'est pas possible avec des
partenaires non spécifiés dans S7 Distributed Safety, vous devez d'abord créer dans S7
Distributed Safety une station SIMATIC "virtuelle" où vous configurez une CPU F comme proxy
pour la CPU F dans STEP 7 Safety Advanced avec l'adresse IP de celle-ci.
Vous insérez ensuite une liaison S7 à cette CPU F dans la table des liaisons. Les ressources de
liaison locale et partenaire (en hexadécimal) sont ainsi définies de manière fixe. Vous devez
alors les configurer dans la liaison S7 non spécifiée associée que vous créez dans
STEP 7 Professional.
En outre, vous devez, pour toutes les connexions de communication avec cette CPU F,
transmettre l'ID de communication F que vous avez attribuée à l'entrée R_ID des appels
associés des blocs d'application F F_SENDS7 et F_RCVS7 en plus dans la variable CRC_IMP du
DB d'instance de F_SENDS7 ou F_RCVS7 dans le programme utilisateur standard
immédiatement avant l'appel de F-CALL.

Exemple de programme :

Procédez du côté de STEP 7 Safety Advanced comme décrit sous Communication de sécurité
via des liaisons S7 (Page 241).
Vous devez créer une liaison S7 non spécifiée avec la CPU F dans S7 Distributed Safety et la
spécifier. Vous trouverez des informations à ce sujet sous "Créer une liaison non spécifiée" et
"Spécifier une liaison non spécifiée" dans l'aide de STEP 7.
Vous devez paramétrer pour celle-ci les ressources de liaison locale et partenaire (en
hexadécimal) qui sont définies de manière fixe par la liaison S7 associée que vous avez créée
dans S7 Distributed Safety.
Si la ressource de liaison locale (en hexadécimal) est déjà occupée par une liaison existante,
vous devez modifier la ressource de liaison (en hexadécimal) pour celle-ci.
Si les DB d'instance des instructions SENDS7 et RCVS7, que vous voulez utiliser pour
communiquer avec S7 Distributed Safety ont été migrés de S7 Distributed Safety, vous devez
les supprimer dans le dossier "STEP 7 Safety" sous "Blocs de programme > Blocs système" dans
le navigateur du projet, contrairement à ce qui est indiqué sous "Particularités des projets
migrés" dans Programmer la communication de sécurité via des liaisons S7 (Page 244).

9.1.10.5 Communication avec des systèmes S7 F/FH Systems via des liaisons S7
La communication fonctionne entre des instructions SENDS7/RCVS7 du côté STEP 7
Safety Advanced et des blocs F F_SDS_BO/F_RDS_BO du côté S7 F Systems.
32 données de type BOOL au maximum peuvent être échangées.
Procédure du côté de S7 F Systems

Procédez du côté de S7 F Systems comme décrit au chapitre "Safety-related communication
between F-CPUs" du manuel "S7 F/FH Systems, Configuring and Programming
(http://support.automation.siemens.com/WW/view/en/16537972)".
Comme la communication de sécurité via des liaisons S7 n'est pas possible avec des
partenaires non spécifiés dans S7 F/FH Systems, vous devez d'abord créer dans S7 F/FH
Systems une station SIMATIC "virtuelle" où vous configurez une CPU F comme proxy pour la
CPU F dans STEP 7 Safety Advanced avec l'adresse IP de celle-ci.
Vous insérez ensuite une liaison S7 à cette CPU F dans la table des liaisons. Les ressources de
liaison locale et partenaire (en hexadécimal) sont ainsi définies de manière fixe. Vous devez
alors les configurer dans la liaison S7 non spécifiée associée que vous créez dans STEP 7
Safety Advanced.
En outre, vous devez insérer dans votre programme S7 (dans la zone réservée pour d'autres
applications dans CFC) une fonction dans laquelle vous transmettez, pour toutes les liaisons
de communication avec cette CPU F, l'ID de communication F que vous avez attribuée à
l'entrée R_ID des appels associés des blocs F F_SDS_BO et F_RDS_BO en plus dans la variable
CRC_IMP du DB d'instance de F_SDS_BO ou F_RDS_BO. Vous obtenez le numéro du DB
d'instance dans les propriétés d'objet du bloc dans CFC. Donnez des noms explicites à ces DB
d'instance. Si vous effectuez une compression dans CFC, vous devez vérifier si les numéros de
ces DB d'instance ont changé.

Exemple de programme :
Vous devez ensuite importer la fonction dans CFC comme type de bloc et l'insérer dans un
diagramme de votre programme utilisateur standard. Pour l'ordre d'exécution, veillez à ce
que le groupe d'exécution standard correspondant soit traité avant le groupe d'exécution F.

Procédez du côté de STEP 7 Safety Advanced comme décrit sous "Communication de sécurité
via des liaisons S7" (Page 241).
Particularité : dans STEP 7 Safety Advanced, vous devez créer le DB de communication F
avec exactement 32 données de type BOOL.
Vous devez créer une liaison S7 non spécifiée avec la CPU F dans S7 F/FH Systems et la
spécifier. Pour plus d'informations à ce sujet, voir l'aide de STEP 7, sous "Créer une liaison non
spécifiée" et "Spécifier une liaison non spécifiée".
Vous devez paramétrer pour celle-ci les ressources de liaison locale et partenaire (en
hexadécimal) qui sont définies de manière fixe par la liaison S7 associée que vous avez créée
dans S7 F Systems.
Si la ressource de liaison locale (en hexadécimal) est déjà occupée par une liaison existante,
vous devez modifier la ressource de liaison (en hexadécimal) pour celle-ci.
Introduction
Cette section donne une vue d'ensemble des options de communication de sécurité dans des
systèmes F SIMATIC Safety.

Communication de sécurité Via le sous-réseau Matériel supplémentaire

nécessaire
Communication contrôleur IO-contrôleur IO PROFINET IO Coupleur PN/PN
Communication contrôleur IO-périphérique I PROFINET IO —
Communication contrôleur IO-esclave I PROFINET IO et PROFIBUS DP IE/PB-Link
Communication contrôleur IO-contrôleur IO pour PROFINET IO Coupleur PN/PN
S7 Distributed Safety
Communication maître-maître pour S7 Distri- PROFIBUS DP Coupleur DP/DP
buted Safety
Remarque
Les options de communication de sécurité possibles dépendent des CPU F mises en œuvre.
Remarque
La communication de sécurité avec des CPU F S7-1200 n'est possible qu'à partir de la version
de firmware V4.1.2.
Vue d'ensemble de la communication de sécurité via PROFIBUS DP

La figure suivante présente les options de communication de sécurité via PROFIBUS DP dans
des systèmes F SIMATIC Safety avec des CPU F S7-1200/1500.
① Communication maître-maître de sécurité

② Communication maître-esclave I de sécurité

Vue d'ensemble de la communication de sécurité via PROFINET IO

La figure suivante présente les options de communication de sécurité via PROFINET IO dans
des systèmes F SIMATIC Safety avec des CPU F S7-1200/1500.
① Communication contrôleur IO-contrôleur IO de sécurité

② Communication contrôleur IO-périphérique I de sécurité
③ Communication contrôleur IO-esclave I de sécurité
Communication CPU-CPU de sécurité via PROFIBUS DP ou PROFINET IO

Lors de la communication CPU-CPU de sécurité, un nombre fixe de données de type BOOL ou
INT (ou bien DINT) sont transmises de manière sécurisée entre les programmes de sécurité
dans les CPU F de maîtres DP/esclaves I ou de contrôleurs IO/périphériques I.
La transmission des données se fait à l'aide des instructions SENDDP pour l'émission et RCVDP
pour la réception. Les données sont enregistrées dans des zones de transfert configurées des
appareils. L'identification matérielle (ID matérielle) définit les zones de transfert configurées.
Communication CPU-CPU de sécurité pour S7 Distributed Safety

La communication de sécurité de CPU F dans SIMATIC Safety vers des CPU F dans S7
Distributed Safety est possible.

9.2.2 Communication contrôleur IO-contrôleur IO de sécurité
9.2.2.1 Configurer la communication contrôleur IO-contrôleur IO de sécurité
Introduction
La communication de sécurité entre les programmes de sécurité des CPU F de contrôleurs IO
se fait via un coupleur PN/PN que vous montez entre les deux CPU F.
Remarque
Désactivez le paramètre "Affichage de la validité des données DIA" dans les propriétés du
coupleur PN/PN dans l'éditeur de matériel et de réseaux (cela correspond au paramétrage par
défaut). Sinon, une communication contrôleur IO-contrôleur IO de sécurité est impossible.

transfert pour les données d'entrée respectivement dans l'éditeur de matériel et de réseaux
dans le coupleur PN/PN pour chaque connexion de communication de sécurité entre deux
CPU F. Dans la figure suivante, chacune des deux CPU F doit pouvoir émettre et recevoir des
données (communication bidirectionnelle).


Données à émettre :
12 octets (cohérents) sont nécessaires pour la zone de transfert des données de sortie et 6
octets (cohérents) pour la zone de transfert des données d'entrée.
Données à recevoir :
12 octets (cohérents) sont nécessaires pour la zone de transfert des données d'entrée et 6
Remarque
Coupleur PN/PN de numéro d'article 6ES7158-3AD10-0XA0
Pour la configuration des zones de transfert pour les données de sortie et d'entrée, procédez
comme décrit sous "Configurer le coupleur PN/PN avec STEP 7 TIA Portal" dans le manuel
"SIMATIC Coupleurs de bus Coupleur PN/PN
(https://support.industry.siemens.com/cs/ww/fr/view/44319532)".

La procédure pour configurer une communication contrôleur IO-contrôleur IO de sécurité est
3. Sélectionnez un coupleur PN/PN X1 et un coupleur PN/PN X2 sous "Autres appareils de
terrain\PROFINET IO\Gateway\Siemens AG\PN/PN Coupler" dans la Task Card "Catalogue du
matériel" et insérez-les dans la vue de réseau de l'éditeur de matériel et de réseaux.

4. Connectez l'interface PN de la CPU F 1 à l'interface PN du coupleur PN/PN X1 et l'interface PN

de la CPU F 2 à l'interface PN du coupleur PN/PN X2.


envoyer et recevoir des données, passez dans la vue des appareils du coupleur PN/PN X1.
Sélectionnez les modules suivants sous "IN/OUT" dans la Task Card "Catalogue du matériel"
avec filtre activé et insérez-les dans l'onglet "Vue d'ensemble des appareils" :
Remarque
L'affectation des zones de transfert se fait au moyen de l'identification matérielle qui est
automatiquement attribuée aux modules et aux appareils. Vous avez besoin de l'ID
matérielle pour la programmation des blocs SENDDP et RCVDP (entrée LADDR). Une
constante système est créée dans la CPU F correspondante pour chaque ID matérielle de la
zone de transfert. Vous pouvez affecter ces constantes système de manière symbolique
aux blocs SENDDP et RCVDP.
6. Sélectionnez les modules suivants sous "IN/OUT" dans la vue des appareils du coupleur
PN/PN X2 et insérez-les dans l'onglet "Vue d'ensemble des appareils" :

9.2.2.2 Communication contrôleur IO-contrôleur IO de sécurité avec SENDDP et RCVDP
La communication de sécurité entre les CPU F des contrôleurs IO se fait à l'aide des
transmettre un nombre fixe de données de sécurité de type BOOL ou INT (ou bien DINT) de
manière sécurisée.
Vous pouvez également appeler les instructions RCVDP et SENDDP dans des FB F/FC F
distincts que vous devez appeler respectivement au début ou à la fin du Main Safety Block.
(Page 585).

9.2.2.3 Programmer la communication contrôleur IO-contrôleur IO de sécurité

coupleur PN/PN.

Vous programmez la communication contrôleur IO-contrôleur IO de sécurité de la manière
suivante :
3. Affectez aux entrées LADDR respectives les ID matérielles (constante système dans la table
des variables standard) des zones de transfert configurées dans l'éditeur de matériel et de
réseaux pour les données de sortie et d'entrée du coupleur PN/PN.
CPU F concernées.


pour DP_DP_ID.
des entrées des instructions SENDDP et RCVDP pour 5 relations de communication
contrôleur IO-contrôleur IO de sécurité.
ATTENTION

réseau* et de la CPU**** pour toutes les liaisons de communication de sécurité.
L'unicité doit être vérifiée dans l'impression du programme de sécurité lors de la
réception du programme de sécurité.
Vous devez connecter les entrées DP_DP_ID et LADDR à des valeurs constantes*** lors
de l'appel de l'instruction. Les accès directs en écriture à DP_DP_ID et LADDR dans le DB

sécurité que l'unicité est garantie à tout moment en vérifiant l'algorithme de génération
de la valeur variable en conséquence. Si vous ne pouvez pas garantir une ID de
communication F unique au démarrage du programme de sécurité, car elle n'est définie
qu'après le démarrage du programme de sécurité, vous devez veiller à ce que la valeur à
l'entrée DP_DP_ID soit égale à "0" dans cette phase.
5. Fournissez les signaux d'émission aux entrées SD_BO_xx et SD_I_xx (ou bien SD_DI_00) de
SENDDP. Pour économiser des signaux intermédiaires lors de la transmission des paramètres
de bloc, vous pouvez également, avant l'appel de SENDDP, écrire la valeur directement dans
son DB d'instance au moyen d'un accès indiquant le chemin complet ("Name
6. Affectez aux sorties RD_BO_xx et RD_I_xx (ou bien RD_DI_00) de RCVDP les signaux que
vous souhaitez traiter dans d'autres parties du programme ou lisez dans les parties de
traitement ultérieur du programme les signaux reçus directement dans le DB d'instance
associé par un accès indiquant le chemin complet ("Name RCVDP_1".RD_BO_02, par
exemple).
7. Si vous voulez envoyer les données à l'entrée SD_DI_00 au lieu des données aux entrées
SD_I_00 et SD_I_01, fournissez la valeur "TRUE" à l'entrée DINTMODE (valeur initiale =
"FALSE") de SENDDP.

8. Fournissez aux entrées SUBBO_xx et SUBI_xx – ou bien SUBDI_00 – de RCVDP les valeurs de
remplacement qui doivent être émises par RCVDP à la place des valeurs de processus
jusqu'au premier établissement de la communication après un démarrage des systèmes F
émetteur et récepteur ou en cas d'erreur de la communication de sécurité.
Pour les données de type INT/DINT, vous pouvez saisir des valeurs de remplacement
constantes directement comme constantes à l'entrée SUBI_xx – ou bien SUBDI_00 –
(valeur initiale = "0"). Si vous souhaitez spécifier une valeur de remplacement
constante "TRUE" pour les données de type BOOL, fournissez "TRUE" à l'entrée
SUBBO_xx (valeur initiale = "FALSE").
indiquez cette variable à l'entrée SUBBO_xx ou SUBI_xx – ou bien SUBDI_00 – en
indiquant son chemin complet.
ATTENTION

et SENDDP.
ATTENTION

10.En option : Évaluez la sortie ACK_REQ de l'instruction RCVDP, par exemple dans le
l'instruction RCVDP émet les valeurs de remplacement paramétrées aux entrées SUBBO_xx et
SUBI_xx – ou bien SUBDI_00.

9.2.2.4 Communication contrôleur IO-contrôleur IO de sécurité - Limites pour la

Remarque
coupleur PN/PN. La possibilité de configurer une liaison sur le même coupleur DP/DP dépend
des capacités de ce coupleur.
9.2.3 Communication maître-maître de sécurité
9.2.3.1 Configurer la communication maître-maître de sécurité
Introduction
La communication de sécurité entre les programmes de sécurité des CPU F de maîtres DP se
fait via un coupleur DP/DP.
Remarque
Réglez l'affichage de la validité des données "DIA" sur "OFF" sur le commutateur DIP du
coupleur DP/DP. Sinon, une communication CPU-CPU de sécurité est impossible.


transfert pour les données d'entrée dans le coupleur DP/DP pour chaque connexion de
communication de sécurité entre deux CPU Fdans l'éditeur de matériel et de réseaux. Dans la
figure suivante, chacune des deux CPU F doit pouvoir émettre et recevoir des données
(communication bidirectionnelle).

Données à émettre :
12 octets (cohérents) sont nécessaires pour la zone de transfert des données de sortie et 6
octets (cohérents) pour la zone de transfert des données d'entrée.
Données à recevoir :
12 octets (cohérents) sont nécessaires pour la zone de transfert des données d'entrée et 6


La procédure pour configurer une communication maître-maître de sécurité est la même que
dans le système standard.
3. Sélectionnez un coupleur DP/DP sous "Autres appareils de
terrain\PROFIBUS DP\Passerelles\Siemens AG\Coupleur DP/DP" dans la Task Card "Catalogue
du matériel" et insérez-le dans la vue de réseau de l'éditeur de matériel et de réseaux.
4. Insérez un deuxième coupleur DP/DP.
5. Connectez une interface DP de la CPU F 1 à l'interface DP de l'un des coupleurs DP/DP et une
interface DP de la CPU F 2 à l'interface DP de l'autre coupleur DP/DP.
6. Une adresse PROFIBUS libre est automatiquement attribuée dans les propriétés du coupleur
DP/DP dans la vue des appareils. Vous devez régler cette adresse sur le coupleur DP/DP soit
au moyen du commutateur DIP sur l'appareil, soit dans la configuration du coupleur DP/DP
(voir le manuel Coupleur DP/DP
(http://support.automation.siemens.com/WW/view/fr/1179382)).


envoyer et recevoir des données, passez dans la vue des appareils du coupleur DP/DP PLC_1.
Sélectionnez les modules suivants dans la Task Card "Catalogue du matériel" avec filtre
activé et insérez-les dans l'onglet "Vue d'ensemble des appareils" du coupleur DP/DP :
Remarque
L'affectation des zones de transfert se fait au moyen de l'identification matérielle qui est
automatiquement attribuée aux modules et aux appareils. Vous avez besoin de l'ID
matérielle pour la programmation des blocs SENDDP et RCVDP (entrée LADDR). Une
constante système est créée dans la CPU F correspondante pour chaque ID matérielle de la
zone de transfert. Vous pouvez affecter ces constantes système de manière symbolique
aux blocs SENDDP et RCVDP.
8. Sélectionnez les modules suivants dans la Task Card "Catalogue du matériel" de la vue des
appareils du coupleur DP/DP PLC_2 avec filtre activé et insérez-les dans l'onglet "Vue
d'ensemble des appareils" :

9.2.3.2 Communication maître-maître de sécurité avec SENDDP et RCVDP
La communication de sécurité entre les CPU F des maîtres DP se fait à l'aide des instructions
SENDDP pour l'émission et RCVDP pour la réception. Elles permettent de transmettre un
nombre fixe de données de sécurité de type BOOL ou INT (ou bien DINT) de manière
sécurisée.
(Page 585).
9.2.3.3 Programmer la communication maître-maître de sécurité

Les plages d'adresses pour les données d'entrée et de sortie doivent être configurées pour le
coupleur DP/DP.


Vous programmez la communication maître-maître de sécurité de la manière suivante :
1. Appelez l'instruction SENDDP (Page 585) d'émission à la fin du Main Safety Block ou dans
une FC F/un FB F distinct dans le programme de sécurité qui doit émettre les données.
2. Appelez l'instruction RCVDP (Page 585) de réception au début du Main Safety Block ou dans
une FC F/un FB F distinct dans le programme de sécurité qui doit recevoir les données.
3. Affectez aux entrées LADDR respectives les ID matérielles configurées dans l'éditeur de
matériel et de réseaux (constante dans la table des variables) pour les données de sortie et
d'entrée du coupleur DP/DP.
CPU F concernées.


pour DP_DP_ID.
des entrées des instructions SENDDP et RCVDP pour 5 relations de communication maître-
maître de sécurité.
ATTENTION

réseau* et de la CPU pour toutes les connexions de communication de sécurité. L'unicité
Vous devez connecter les entrées DP_DP_ID et LADDR à des valeurs constantes*** lors
de l'appel de l'instruction. Les accès directs en écriture à DP_DP_ID et LADDR dans le DB

sécurité que l'unicité est garantie à tout moment en vérifiant l'algorithme de génération
de la valeur variable en conséquence. Si vous ne pouvez pas garantir une ID de
communication F unique au démarrage du programme de sécurité, car elle n'est définie
qu'après le démarrage du programme de sécurité, vous devez veiller à ce que la valeur à
l'entrée DP_DP_ID soit égale à "0" dans cette phase.
5. Fournissez les signaux d'émission aux entrées SD_BO_xx et SD_I_xx (ou bien SD_DI_00) de
SENDDP. Pour économiser des signaux intermédiaires lors de la transmission des paramètres
de bloc, vous pouvez également, avant l'appel de SENDDP, écrire la valeur directement dans
son DB d'instance au moyen d'un accès indiquant le chemin complet ("Name
6. Affectez aux sorties RD_BO_xx et RD_I_xx (ou bien RD_DI_00) de RCVDP les signaux que
vous souhaitez traiter dans d'autres parties du programme ou lisez dans les parties de
traitement ultérieur du programme les signaux reçus directement dans le DB d'instance
associé par un accès indiquant le chemin complet ("Name RCVDP_1".RD_BO_02, par
exemple).
7. Si vous voulez envoyer les données à l'entrée SD_DI_00 au lieu des données aux entrées
SD_I_00 et SD_I_01, fournissez la valeur "TRUE" à l'entrée DINTMODE (valeur initiale =
"FALSE") de SENDDP.

8. Fournissez aux entrées SUBBO_xx et SUBI_xx – ou bien SUBDI_00 – de RCVDP les valeurs de
remplacement qui doivent être émises par RCVDP à la place des valeurs de processus
jusqu'au premier établissement de la communication après un démarrage des systèmes F
émetteur et récepteur ou en cas d'erreur de la communication de sécurité.
Pour les données de type INT/DINT, vous pouvez saisir des valeurs de remplacement
constantes directement comme constantes à l'entrée SUBI_xx – ou bien SUBDI_00 –
(valeur initiale = "0"). Si vous souhaitez spécifier une valeur de remplacement
constante "TRUE" pour les données de type BOOL, fournissez "TRUE" à l'entrée
SUBBO_xx (valeur initiale = "FALSE").
indiquez cette variable à l'entrée SUBBO_xx ou SUBI_xx – ou bien SUBDI_00 – en
indiquant son chemin complet.
ATTENTION

et SENDDP.
ATTENTION

10.En option : Évaluez la sortie ACK_REQ de l'instruction RCVDP, par exemple dans le
l'instruction RCVDP émet les valeurs de remplacement paramétrées aux entrées SUBBO_xx et
SUBI_xx – ou bien SUBDI_00.

9.2.3.4 Communication maître-maître de sécurité - Limites pour la transmission de

données
Remarque
coupleur DP/DP. La possibilité de configurer une connexion avec le même coupleur DP/DP
dépend des limites de capacité du coupleur.
9.2.4 Communication contrôleur IO-périphérique I de sécurité
Introduction
Vous n'avez pas besoin de matériel supplémentaire pour la communication contrôleur IO-
périphérique I.


bidirectionnelle).
communication. Par exemple, "F-CD_PLC_2-PLC_1_1" pour la première connexion F-CD entre
la CPU F 1 contrôleur IO et la CPU F 2 périphérique I.
Lors de la création d'une zone de transfert, une constante système avec le nom de la zone de
transfert est créée à la fois dans la CPU F du contrôleur IO et dans la CPU F du périphérique I.
La constante système contient l'ID matérielle de la zone de transfert du point de vue de la
CPU F concernée.
Vous affectez les ID matérielles (constante système dans la table des variables standard) des
zones de transfert dans les programmes de sécurité de manière symbolique à l'entrée LADDR
des instructions SENDDP et RCVDP.

La procédure pour configurer une communication contrôleur IO-périphérique I de sécurité est
2. Activez le mode de fonctionnement "Périphérique IO" pour la CPU F 2 dans les propriétés de
son interface PN et affectez cette interface PN à une interface PN de la CPU F 1.
3. Sélectionnez l'interface PROFINET de la CPU F 2. Sous "Zones de transfert", créez une
connexion F-CD (type "F-CD") pour recevoir les données du contrôleur IO (→). La connexion
F-CD est marquée en jaune dans le tableau et les plages d'adresses occupées dans le
périphérique I et le contrôleur IO sont affichées.
connexion F-CD (voir les détails sur la zone de transfert).

4. Créez une autre connexion F-CD pour envoyer les données au contrôleur IO.
de transmission à Emission du contrôleur IO (→).

9.2.4.2 Communication contrôleur IO-périphérique I de sécurité avec SENDDP et RCVDP
La communication de sécurité entre la CPU F du contrôleur IO et un périphérique I se fait à

l'aide des instructions SENDDP pour l'émission et RCVDP pour la réception. Elles permettent
de transmettre un nombre fixe de données de type BOOL ou INT (ou bien DINT) de manière
sécurisée.
(Page 585).


Vous programmez la communication contrôleur IO-périphérique I de sécurité exactement
comme la communication contrôleur IO-contrôleur IO de sécurité (voir Programmer la
communication contrôleur IO-contrôleur IO de sécurité (Page 262)).

Reportez-vous au tableau ci-dessous pour l'affectation des ID matérielles (constantes système

dans la table des variables standard) des zones de transfert à l'entrée LADDR des instructions
SENDDP/RCVDP :
Instruction ID matérielle
SENDDP dans le contrôleur IO ID matérielle de la zone de transfert correspon-
dante dans le contrôleur IO
RCVDP dans le contrôleur IO ID matérielle de la zone de transfert correspon-
dante dans le contrôleur IO
SENDDP dans le périphérique I ID matérielle de la zone de transfert dans le péri-
phérique I
RCVDP dans le périphérique I ID matérielle de la zone de transfert dans le péri-
phérique I

entrées des instructions SENDDP et RCVDP pour 4 relations de communication contrôleur IO-
périphérique I de sécurité.

ATTENTION

(IP, couche 3).
ATTENTION


9.2.4.4 Communication contrôleur IO-périphérique I de sécurité - Limites pour la


compte de la limite maximale de 1440 octets de données d'entrée et 1440 octets de données
de sortie pour la transmission entre un périphérique I et un contrôleur IO.
Communication Connexion de com- Données d'entrée et de sortie occupées

de sécurité munication
dans le contrôleur IO dans le périphérique I
Contrôleur IO - Émission : 6 octets 12 octets 12 octets 6 octets
périphérique I périphérique I 1 au
contrôleur IO
périphérique I 1 du
contrôleur IO
données de sortie pour la transmission entre un périphérique I et un contrôleur IO de toutes
les autres connexions de communication standard et de sécurité configurées (zones de
transfert de type F-CD et CD). Des données sont en outre occupées en interne de sorte que la
limite maximale peut éventuellement être atteinte plus tôt.
En cas de dépassement de la limite, vous recevez un message d'erreur correspondant.
9.2.5 Communication maître-esclave I de sécurité
9.2.5.1 Configurer la communication maître-esclave I de sécurité
Introduction
La communication de sécurité entre le programme de sécurité de la CPU F d'un maître DP et
le ou les programmes de sécurité de la ou des CPU F d'un ou de plusieurs esclaves I est
Vous n'avez pas besoin de coupleur DP/DP pour la communication maître-esclave I.


bidirectionnelle).
communication. Par exemple, "F-MS_PLC_2-PLC_1_1" pour la première connexion F-MS entre
la CPU F 1 maître DP et la CPU F 2 esclave I.
Lors de la création d'une zone de transfert, une constante système avec le nom de la zone de
transfert est créée à la fois dans la CPU F du maître DP et dans la CPU F de l'esclave I. La
constante système contient l'ID matérielle de la zone de transfert du point de vue de la CPU F
concernée.
Vous affectez les ID matérielles (constante système dans la table des variables standard) des
zones de transfert dans les programmes de sécurité de manière symbolique à l'entrée LADDR
des instructions SENDDP et RCVDP.

La procédure pour configurer une communication maître-esclave I de sécurité est la même
2. Si la CPU F qui doit assumer le rôle de maître DP (CPU F 1) ne dispose pas d'interface
PROFIBUS DP intégrée, insérez un module de communication PROFIBUS, par exemple.
3. Dans la vue des appareils de la CPU F qui doit fonctionner comme esclave I (CPU F 2), insérez
un module de communication DP (CM DP) ou un processeur de communication DP (CP DP)
approprié.
4. Activez le cas échéant le mode de fonctionnement "Esclave DP" (esclave I) pour le CM DP/CP
DP dans les propriétés.
5. Affectez l'interface DP du CM/CP à une interface DP de la CPU F 1.

6. Sélectionnez l'interface PROFIBUS de la CPU F 2 ou du CM. Sous "Zones de transfert", créez

une connexion F-MS (type "F-MS") pour envoyer les données au maître DP (←). La
connexion F-MS est marquée en jaune dans le tableau et les zones de transfert occupées
dans l'esclave I et le maître DP sont affichées.
connexion F-MS (voir les détails sur la zone de transfert).
7. Créez une autre connexion F-MS pour recevoir des données du maître DP.
de transmission à Réception du maître DP (→).

9.2.5.2 Communication maître-esclave I de sécurité avec SENDDP et RCVDP
La communication de sécurité entre la CPU F du maître DP et un esclave I se fait à l'aide des

transmettre un nombre fixe de données de sécurité de type BOOL ou INT (ou bien DINT) de
manière sécurisée.
(Page 585).
9.2.5.3 Programmer la communication maître-esclave I de sécurité
Conditions

Vous programmez la communication maître-esclave I de sécurité exactement comme la
communication maître-maître de sécurité (voir Communication maître-maître de sécurité
(Page 266)).

Reportez-vous au tableau ci-dessous pour l'affectation des ID matérielles des zones de

Instruction ID matérielle
SENDDP dans le maître DP ID matérielle de la zone de transfert correspon-
dante dans le maître DP
RCVDP dans le maître DP ID matérielle de la zone de transfert correspon-
dante dans le maître DP
SENDDP dans l'esclave I ID matérielle de la zone de transfert dans l'esclave I
RCVDP dans l'esclave I ID matérielle de la zone de transfert dans l'esclave I

entrées des instructions SENDDP et RCVDP pour quatre relations de communication maître-
esclave I de sécurité.

ATTENTION

réseau* et de la CPU pour toutes les connexions de communication de sécurité. L'unicité
(IP, couche 3).
ATTENTION

9.2.5.4 Communication maître-esclave I de sécurité - Limites pour la transmission de

données

compte de la limite maximale de 244 octets de données d'entrée et 244 octets de données de
sortie pour la transmission entre un esclave I et un maître DP.


Communication Connexion de Données d'entrée et de sortie occupées

de sécurité communication Maître DP Esclave I

Maître-esclave I Émission : 6 octets 12 octets 12 octets 6 octets
esclave I 1 au
maître DP
esclave I 1 du
maître DP
connexions de communication standard et de sécurité configurées (zones de transfert de
type F-MS et MS). En cas de dépassement de la limite maximale de 244 octets de données
d'entrée ou 244 octets de données de sortie, vous recevez un message d'erreur
correspondant.
9.2.6 Communication contrôleur IO-esclave I de sécurité
9.2.6.1 Communication contrôleur IO-esclave I de sécurité
Introduction
et le ou les programmes de sécurité de la ou des CPU F d'un ou de plusieurs esclaves I est
IE/PB-Link
L'IE/PB-Link est indispensable pour la communication contrôleur IO-esclave I de sécurité.
Chacune des deux CPU F est reliée à l'IE/PB-Link via son interface PROFIBUS DP ou PROFINET.
Remarque
Vous devez tenir compte de l'utilisation d'un IE/PB-Link lors de la configuration des temps de
surveillance spécifiques F et lors du calcul du temps de réaction maximal de votre système F
(voir aussi Temps de surveillance et de réaction (Page 602)).
Notez que le fichier Excel de calcul des temps de réaction
(https://support.industry.siemens.com/cs/ww/fr/view/109783831) pour les CPU F S7-300/400
ne prend pas en charge toutes les configurations envisageables.

Référence
Les informations sur la communication maître-esclave I de sécurité sous Communication
maître-esclave I de sécurité (Page 281) s'appliquent également.
9.2.7 Communication de sécurité avec un système F S7 S7 Distributed Safety
9.2.7.1 Introduction
systèmes F S7 Distributed Safety est possible via un coupleur PN/PN ou DP/DP intercalé entre
les deux CPU F comme communication contrôleur IO-contrôleur IO ou maître-maître.

contrôleur IO-contrôleur IO)
La communication fonctionne entre des instructions SENDDP/RCVDP du côté STEP 7 Safety et
des blocs d'application F F_SENDDP/F_RCVDP du côté S7 Distributed Safety :

sécurisée IO Controller-IO Controller" du manuel "S7 Distributed Safety, Configuration et
Procédure du côté STEP 7 Safety

Procédez du côté STEP 7 Safety comme décrit sous Communication contrôleur IO-contrôleur
IO de sécurité (Page 257).

9.3 Configurer et programmer la communication avec Flexible F-Link (S7-1200, S7-1500)

maître-maître)
La communication fonctionne entre des instructions SENDDP/RCVDP du côté STEP 7 Safety et
des blocs d'application F F_SENDDP/F_RCVDP du côté S7 Distributed Safety :

sécurisée maître-maître" du manuel "S7 Distributed Safety, Configuration et programmation
(http://support.automation.siemens.com/WW/view/fr/22099875)".
Procédure du côté STEP 7 Safety

Procédez du côté STEP 7 Safety comme décrit sous Communication maître-maître de sécurité
(Page 266).
9.3 Configurer et programmer la communication avec Flexible F-Link

(S7-1200, S7-1500)
9.3.1 Flexible F-Link
Introduction
La communication CPU-CPU de sécurité "Flexible F-Link" est disponible pour les CPU F
S7-1200 et S7-1500. Les données de sécurité peuvent ainsi être facilement échangées sous
forme de tableaux de sécurité via des mécanismes de communication standard entre les
CPU F.

Flexible F-Link offre toute une série d'avantages pour l'échange de données de sécurité :
• Regroupement des données de sécurité à transmettre dans les types de données API (UDT)
conformes F
(les types de données API (UDT) conformes F imbriqués ne sont pas pris en charge)
• Jusqu'à 100 octets de données de sécurité par UDT
• Paramétrage simplifié et génération automatique de DB de communication de sécurité
• Transmission de données de sécurité avec des blocs de communication standard même
par-delà les limites du réseau
• Communication entre groupes d'exécution F (Page 97) pour les CPU F 1200/1500
• UUID de communication F intégrée au système et suffisamment unique dans le monde
entier
• Signature d'adresse de communication F séparée pour faciliter la détection de
changements dans l'UUID de communication F
Condition
• À partir de la version du système Safety V2.2
Principe de la communication via Flexible F-Link
Procédez comme suit du côté émission :

1. Créez un type de données API (UDT) conforme F pour les données à envoyer. La taille
maximale est de 100 octets.
2. Créez une communication de sécurité dans l'éditeur Safety Administration Editor (Page 97)
dans le sens "Émission".
Pour la communication de sécurité, un nouveau DB de communication F (Page 293) est
créé sous "Blocs programme\Blocs système\STEP 7 Safety\DB de communication F".
3. Paramétrez le Temps de surveillance F (Page 608) pour la communication de sécurité.

4. Renseignez dans le programme de sécurité les variables pour les données d'émission
(SEND_DATA) dans le DB de communication F (Page 293) de la communication de sécurité.
5. Créez des blocs standard dans lesquels les tableaux (arrays) de sécurité automatiquement
créés dans le DB de communication F sont envoyés avec les données d'émission et reçus
avec les données d'acquittement. Vous disposez de l'OB F Prétraitement/post-traitement
(Page 86) pour le traitement chronologique correct des valeurs de processus. Lors de
l'utilisation des instructions de communication, veillez à ce que les tableaux (arrays) de
sécurité soient disponibles de manière cohérente au moment de l'évaluation et à ce que le
temps de surveillance F (Page 608) soit respecté. Tenez compte de la remarque ci-après.
Procédez comme suit du côté réception :
1. Créez un type de données API (UDT) conforme F avec la même structure que du côté
émission.
Pour cela, copiez par exemple le type de données API (UDT) conforme F du côté émission
ou utilisez la bibliothèque du projet ou la bibliothèque globale.
2. Créez une communication de sécurité dans l'éditeur Safety Administration Editor (Page 97)
dans le sens "Réception".
Pour la communication de sécurité, un nouveau DB de communication F est créé sous
"Blocs programme\Blocs système\STEP 7 Safety\DB de communication F".
3. Copiez l'UUID de communication F de la communication de sécurité du côté émission.
4. Définissez le même temps de surveillance F que du côté émission.
5. Évaluez dans le programme de sécurité les variables pour les données de réception
(RCV_DATA) dans le DB de communication F (Page 293).
6. Créez des blocs standard dans lesquels les tableaux (arrays) de sécurité automatiquement
créés dans le DB de communication F sont reçus avec les données de réception et envoyés
avec les données d'acquittement. Vous disposez de l'OB F Prétraitement/post-traitement
(Page 97) pour le traitement chronologique correct des valeurs de processus. Lors de
l'utilisation des instructions de communication, veillez à ce que les tableaux (arrays) de
sécurité soient disponibles de manière cohérente au moment de l'évaluation et à ce que le
temps de surveillance F (Page 608) soit respecté. Tenez compte de la remarque ci-après.
Remarque
Tenez compte des points suivants en cas d'utilisation de protocoles de communication non
déterministes (TCP/IP, par exemple) :
• Une charge de communication élevée peut en principe affecter la disponibilité de votre
application (expiration du temps de surveillance F de la connexion de communication F).
Cela vaut notamment en cas d'utilisation parallèle de OPC UA et de Secure Open User
Communication (OUC).
• Des débordements des tampons de communication peuvent affecter négativement la
disponibilité de votre application et doivent être évités.
Vous pourrez trouver d'autres informations utiles dans l'exemple d'application
"Configuring Flexible F-Link Communication
(https://support.industry.siemens.com/cs/ww/fr/view/109768964)".

Remarque
Lors de la simulation avec S7-PLCSIM, il n'y a pas de déclenchement de la temporisation qui
génère un message d'erreur après expiration lorsque la communication avec des périphéries
réelles est interrompue (par exemple, par mise à l'arrêt d'une CPU). C'est pourquoi aucun
message d'erreur ne s'affiche dans ce cas. Ce message s'affiche dès que la connexion est
rétablie. Les valeurs actuelles sont à nouveau envoyées et reçues suite à l'acquittement de
l'utilisateur.
ATTENTION

ATTENTION
Si, lors d'une communication CPU-CPU de sécurité avec Flexible F-Link, des données sont
émises d'une CPU F simulée avec S7-PLCSIM, vous ne pouvez plus être sûr que ces données
sont générées de manière sûre. Vous devez alors assurer la sécurité des parties de
l'installation affectées par les données envoyées en prenant des mesures organisationnelles
(Page 617) ou bien en fournissant dans la CPU F qui reçoit les données des valeurs de
remplacement de sécurité au lieu des données reçues par évaluation de SENDMODE*.
* SENDMODE est disponible comme variable dans le DB de communication F.
(S086)
ATTENTION
ATTENTION
Voir aussi
Communication entre groupes d'exécution F (S7-1200, S7-1500) (Page 144)

9.3.2 DB de communication F (S7-1200, S7-1500)
DB de communication F pour émission

Le tableau suivant présente l'interface du DB de communication F pour la liaison de
communication dans le sens "Émission" :
Section Nom Type de données Valeur initiale Explication

Input SEND_DATA Type de données API Comme dans le type Données utiles à émettre
(UDT) conforme F de données API (UDT)
conforme F
ACK_RCV_ARRAY Array[0..n] of Byte Chaque élément avec Tableau avec les données brutes
16#0 reçues
Output ERROR Bool false Signale des erreurs de communi-
cation en attente ou non encore
acquittées au niveau du récepteur
(pas au démarrage initial).
1 = erreur de communication
ACTIVATE_FV Bool true Communication passivée, démar-
rage initial (par exemple, récep-
teur pas encore démarré) ou
l'hôte envoie ACTIVATE_FV. Le
périphérique envoie le bit d'état
FV_ACTVATED, mais pas de va-
leurs 0.
1 = la communication utilise des
valeurs de sécurité
DIAG Byte 16#0 Bits d'erreur (dépassement du
temps imparti ou erreur de CRC en
attente ou communication non
encore dépassivée après erreur)
Bit 3 : requête d'acquittement
active au niveau du récepteur
Bit 4 : dépassement du temps
imparti détecté
Bit 6 : erreur de CRC détectée
SEND_ARRAY Array[0..n] of Byte Chaque élément avec Tableau avec les données brutes à
16#0 envoyer
ACK_RCV_LENGTH UInt 0 Information de longueur pour
ACK_RCV_ARRAY en octets
SEND_LENGTH UInt 0 Information de longueur pour
SEND_ARRAY en octets
InOut — — — —
Static — — — —

DB de communication F pour réception

Le tableau suivant présente l'interface du DB de communication F pour la liaison de
communication dans le sens "Réception" :

Input PASS_ON Bool false Permet de passiver les données de
sortie (sortie des valeurs de passi-
vation).
1 = activer la passivation
ACK_REI Bool false Réintégration (en cas de requête
de réintégration) sur front mon-
tant
1 = acquittement pour la réinté-
gration
RCV_ARRAY Array[0..n] of Byte Chaque élément avec Tableau avec les données brutes
16#0 reçues
Output RCV_DATA Type de données API Comme dans le type Données de sortie (PASS_VALUES
(UDT) conforme F de données API (UDT) ou données reçues)
conforme F
ERROR Bool false Signale des erreurs de communi-
cation en attente ou non encore
acquittées (pas au démarrage
initial).
1 = erreur de communication
PASS_OUT Bool true Les valeurs PASS_VALUES sont
sorties si PASS_OUT = 1.
Peut être : ERROR, PASS_ON, dé-
marrage initial (par exemple,
émetteur non encore démarré) ou
ACK_REQ en attente (erreur non
acquittée)
ACK_REQ Bool false Requête de réintégration (com-
munication à nouveau stable
après erreur, mais des valeurs de
remplacement sont encore sor-
ties)
1 = acquittement requis pour la
réintégration
SENDMODE Bool false MOD_MODE actif dans la CPU
émettrice ou communication avec
PLCSIM Advanced
1 = CPU F avec un émetteur en
mode de sécurité désactivé ou sur
une CPU simulée

9.4 Configurer et programmer la communication entre CPU F
S7-300/400 et S7-1200/1500

DIAG Byte 16#0 Bits d'erreur (dépassement du
temps imparti ou erreur de CRC)
imparti détecté par l'émetteur
Bit 1 : erreur de communication
en attente dans l'émetteur
Bit 2 : erreur de CRC détectée par
l'émetteur
imparti détecté par le récepteur
Bit 6 : erreur de CRC détectée par
le récepteur
ACK_SEND_ARRAY Array[0..n] of Byte Chaque élément avec Tableau avec les données brutes à
16#0 envoyer
RCV_LENGTH UInt 0 Information de longueur pour
RCV_ARRAY en octets
ACK_SEND_LENGTH UInt 0 Information de longueur pour
ACK_SEND_ARRAY en octets
InOut — — — —
Static PASS_VALUES Type de données API Comme dans le type Valeurs de passivation ou de rem-
(UDT) conforme F de données API (UDT) placement
conforme F ou dans le
DB de périphérie
9.4 Configurer et programmer la communication entre CPU F

S7-300/400 et S7-1200/1500
Introduction
Cette section donne une vue d'ensemble des options de communication de sécurité entre des
CPU F S7-300/400 et des CPU F S7-1200/1500 dans des systèmes F SIMATIC Safety.

9.5 Configurer et programmer la communication dans plusieurs projets
Communication de sécurité Via le sous-réseau Matériel supplémentaire

nécessaire
Communication contrôleur IO-contrôleur PROFINET IO Coupleur PN/PN
IO
Communication contrôleur IO- PROFINET IO —
périphérique I
Communication contrôleur IO-esclave I PROFINET IO et PROFIBUS IE/PB-Link
DP
Procédure de principe pour la configuration et la programmation

Configurez et programmez la communication de sécurité entre les CPU F S7-300/400 et les
CPU F S7-1200/1500 pour votre cas d'application comme décrit sous Configurer et
programmer la communication (S7-300, S7-400) (Page 196) et Configurer et programmer la
communication (S7-1200, S7-1500) (Page 254).
Utilisez les adresses de début des zones de transfert pour la programmation d'une CPU F
S7-300/400. Utilisez les ID matérielles des zones de transfert pour la programmation d'une
CPU F S7-1200/1500.
9.5 Configurer et programmer la communication dans plusieurs

projets
9.5.1 Communication contrôleur IO-périphérique I de sécurité dans plusieurs

projets
Introduction
La section suivante décrit les particularités à prendre en considération lorsque le contrôleur
IO et le périphérique I se trouvent dans des projets différents.

Condition
• Le contrôleur IO est une CPU F S7-1200/1500 qui prend en charge la fonctionnalité
Contrôleur IO.
• Le périphérique I est une CPU F S7-300/400/1200/1500 qui prend en charge la
fonctionnalité Périphérique I.
• Le projet dans lequel se trouve le périphérique I doit avoir été créé avec S7 Distributed
Safety V5.4, STEP 7 Safety V13 ou une version ultérieure.
Configuration
1. Configurez la communication de sécurité dans le projet avec le périphérique I comme décrit
sous "Configurer la communication contrôleur IO-périphérique I de sécurité (Page 218)"
(S7-300/S7-400) ou "Configurer la communication contrôleur IO-périphérique I de sécurité
(Page 275)" (S7-1200/S7-1500). La CPU F 1 (contrôleur IO) est alors uniquement un module
de réservation pour la CPU F dans le projet du contrôleur IO.
Remarque
En cas de création avec STEP 7 Safety < V14 SP1, évitez un changement ultérieur de CD à
F-CD pour les zones de transfert.
Lors de la création avec S7 Distributed Safety V5.4, créez les zones de transfert
d'application de types d'adresse "Sortie" et "Entrée" directement l'une après l'autre.
2. Exportez le périphérique I comme fichier GSD. Procédez comme décrit sous "Configurer un
I-Device" dans l'aide de STEP 7.
3. Importez le fichier GSD dans le projet avec le contrôleur IO. Procédez comme décrit sous
"Installer un fichier GSD" dans l'aide de STEP 7.
4. Insérez le périphérique I de la Task Card "Catalogue du matériel" dans le projet avec le
contrôleur IO.
5. Affectez la CPU F du contrôleur IO au périphérique I.


Programmez la communication contrôleur IO-périphérique I de sécurité pour une CPU F
S7-300/400 comme décrit sous "Communication contrôleur IO-périphérique I de sécurité avec
SENDDP et RCVDP (Page 221)" et "Programmer la communication contrôleur IO-périphérique I
de sécurité (Page 221)". Utilisez les adresses de début des zones de transfert pour la
programmation d'une CPU F S7-300/400.
Programmez la communication contrôleur IO-périphérique I de sécurité pour une CPU F
S7-1200/1500 comme décrit sous "Communication contrôleur IO-périphérique I de sécurité
avec SENDDP et RCVDP (Page 278)" et "Programmer la communication contrôleur IO-
périphérique I de sécurité (Page 278)". Utilisez les ID matérielles des zones de transfert pour
la programmation d'une CPU F S7-1200/1500.

Compiler et mettre le programme de sécurité en
service 10
10.1 Compiler le programme de sécurité
Pour obtenir un programme de sécurité cohérent, procédez comme suit :
1. Sélectionnez le dossier "Blocs de programme" ou le dossier de l'unité Safety ou un niveau
supérieur.
2. Démarrez la compilation.
Procédez pour l'essentiel comme pour la compilation d'un programme utilisateur
standard. Il existe diverses manières pour accomplir cela dans STEP 7. Les principes de
base pour la compilation de programmes utilisateur sont décrits dans l'aide de STEP 7.
Remarque
Veuillez noter que, après une modification de sécurité de la configuration matérielle, il faut
recompiler et recharger non seulement la configuration matérielle mais également le
programme de sécurité. Cela s'applique également aux modifications apportées à la
périphérie F qui n'est pas utilisée dans le programme de sécurité.
Remarque
Si vous voulez compiler un bloc F avec protection du know-how après une modification, vous
devez supprimer la protection du know-how de ce bloc F avant la compilation.
Signalisation d'erreurs de compilation

Le message dans la fenêtre d'inspection sous "Info > Compiler" indique si la compilation s'est
effectuée correctement. Des messages d'erreur et des avertissements sont émis.
La procédure à suivre pour éliminer les erreurs de compilation est décrite sous "Corriger les
erreurs de compilation" dans l'aide de STEP 7.
10.2 Mémoire de travail requise par le programme de sécurité

(S7-300, S7-400)
Estimation
Vous pouvez évaluer approximativement la mémoire de travail requise par le programme de
sécurité de la manière suivante :

Compiler et mettre le programme de sécurité en service
10.3 Charger les données de projet
Mémoire de travail requise pour le programme de sécurité
32 Ko pour les blocs système F

+ 4,4 Ko pour la communication de sécurité entre groupes d'exécution F
+ 4,5 x mémoire de travail requise par tous les FB F/FC F/Main Safety Blocks
+ 4,5 x mémoire de travail requise par toutes les instructions utilisées qui sont représen-
tées avec l'icône de bloc dans la Task Card "Instructions"
(excepté SENDDP, RCVDP, SENDS7 et RCVS7)
+ mémoire de travail requise par les instructions SENDDP et RCVDP utilisées (4,3 Ko cha-
cune)
+ Mémoire de travail requise par les instructions SENDS7 et RCVS7 utilisées (8,5 Ko cha-
cune)
Mémoire de travail requise pour les données
5 x mémoire de travail requise par tous les DB F (y compris les DB de communication F, mais
sans les DB pour la communication entre groupes d'exécution F) et DB I pour Main Safety
Block/FB F
+ 24 x mémoire de travail requise par tous les DB pour la communication entre groupes
d'exécution F
+ 2,3 x mémoire de travail requise par tous les DB I pour instructions (excepté SENDDP,
RCVDP, SENDS7 et RCVS7)
+ mémoire de travail requise par tous les DB I des instructions SENDDP (0,2 Ko), RCVDP
(0,3 Ko), SENDS7 (0,6 Ko) et RCVS7 (1,0 Ko)
+ 0,7 Ko par FC F
+ 0,7 Ko par périphérie F (entre autres pour les DB de périphérie F)
+ 4,5 Ko
Taille des blocs F générés automatiquement

N'utilisez pas entièrement la taille maximale d'un bloc F, car les blocs F générés
automatiquement sont plus grands, ce qui peut entraîner un dépassement de la taille
maximale possible dans la CPU F. Le dépassement de la taille de bloc déclenche un message
d'erreur indiquant quels blocs F sont trop grands. Il faudra alors éventuellement les diviser.
Introduction
Une fois que vous avez compilé votre programme de sécurité avec succès, vous pouvez le
charger dans la CPU F conjointement avec le programme utilisateur standard.
(S7-1500) Si le programme de sécurité se trouve dans une unité Safety, vous pouvez charger
l'unité Safety indépendamment dans la CPU F.

Vous procédez au chargement d'un programme de sécurité en principe comme pour un

programme utilisateur standard en utilisant les diverses options disponibles dans STEP 7 :
• Dans la boîte de dialogue d'aperçu du chargement "Load preview", vous saisissez les
données (par exemple, le mot de passe de la CPU F) et vous configurez les conditions
requises pour le chargement (par exemple, que la CPU F soit mise à l'arrêt avant le
chargement).
• La boîte de dialogue des résultats du chargement "Load results" montre les résultats après
le chargement.
Les options pour le chargement du programme de sécurité sont présentées ci-après. Vous
trouverez des informations de base sur le chargement dans l'aide de STEP 7.
Règles pour le chargement des données de projet dans une CPU F
ATTENTION
Si plusieurs CPU F sont accessibles via un réseau (par exemple Industrial Ethernet) à partir
de la même PG/du même PC, vous devez vous assurer que les données de projet de
sécurité sont chargées dans la bonne CPU F en prenant les mesures supplémentaires
suivantes :
Utilisez des mots de passe spécifiques à chaque CPU F, par exemple le même mot de passe
pour les CPU F avec l'adresse Ethernet de chacune en suffixe.
• Le premier chargement de la configuration matérielle pour l'activation de la protection
d'accès d'une CPU F doit se faire via une liaison point à point (de manière similaire à la
première affectation d'une adresse MPI à une CPU F).
• Avant de charger les données du projet de sécurité dans une CPU F, il faut annuler les
droits d'accès existants déjà pour une autre CPU F.
• Le dernier chargement des données du projet de sécurité avant le passage en mode
production doit se faire avec la protection d'accès activée. (S021)
Remarque
Vous ne pouvez effectuer le chargement d'un programme de sécurité cohérent qu'à l'état
Arrêt.
Remarque
Si STEP 7 Safety détecte un programme de sécurité incohérent au démarrage de la CPU F, le
démarrage de la CPU F n'a pas lieu à condition que cette dernière prenne cette fonction de
détection en charge (voir l'information produit de la CPU F S7-300/400 concernée). Cette
fonction est toujours prise en charge par les CPU F S7-1200/1500. Un événement de
diagnostic correspondant est alors inscrit dans le tampon de diagnostic de la CPU F.
Si la CPU F ne prend pas cette détection en charge, l'exécution d'un programme de sécurité
incohérent en mode de sécurité activé peut entraîner la mise à l'arrêt de la CPU F.
La cause de l'événement de diagnostic est inscrite dans le tampon de diagnostic de la CPU F.

Lors du chargement du programme de sécurité, veillez à ce que l'action "Chargement

cohérent" soit activée dans la boîte de dialogue d'aperçu du chargement pour la sélection
"Programme de sécurité".
Le chargement non cohérent n'est possible qu'en mode de sécurité désactivé.
Demande du mot de passe avant le chargement dans une CPU F

Si vous avez défini un niveau de protection pour la CPU F (Page 103) (dans l'onglet
"Protection" des propriétés de la CPU F), le mot de passe correspondant est demandé dans la
boîte de dialogue d'aperçu du chargement. En l'absence du mot de passe, seules les actions
autorisées sans mot de passe sont possibles. Le bouton de chargement "Load" devient actif
dès que les conditions pour le chargement sont remplies.
Boîte de dialogue "Aperçu du chargement"

La boîte de dialogue "Aperçu du chargement", comprend, pour une CPU F, la section
supplémentaire "Programme de sécurité".
Procédez aux sélections suivantes :

• Pour charger un programme de sécurité de manière cohérente, sélectionnez l'action
"Consistent download" sous la cible "Safety program".
• (S7-300, S7-400) Pour charger des blocs F individuels de manière sélective (Page 305),
sélectionnez l'action "Download selection" sous la cible "Safety program", puis sélectionnez
les blocs F voulus. Il vous sera éventuellement demandé de désactiver le mode de sécurité
sous "Disable safety mode". Ce paramétrage convient uniquement au test en ligne de
blocs F individuels.

• (S7-300, S7-400) Pour charger uniquement le programme de sécurité, sélectionnez

l'action "Consistent download" sous la cible "Safety program" et l'action "Download
selection" sous la cible "Standard software", puis sélectionnez uniquement les blocs
standard qui appellent le Main Safety Block.
• (S7-300, S7-400) Pour ne pas charger de programme de sécurité, par exemple parce que
vous ne connaissez pas le mot de passe de la CPU F, sélectionnez l'action "No action" sous
la cible "Safety program".
Pour les CPU F S7-1200/1500, seul "Consistent download" est disponible comme action dans
la boîte de dialogue d'aperçu du chargement. Vous ne pouvez pas modifier la sélection des
parties de programme à charger dans cette boîte de dialogue. La sélection est réalisée
automatiquement en fonction de la sélection dans le navigateur du projet au démarrage du
chargement.
Boîte de dialogue "Load results"

La boîte de dialogue des résultats du chargement "Load results" s'ouvre après le chargement
dans la CPU F. Cette boîte de dialogue affiche l'état et les actions nécessaires après le
chargement.
Vérifiez si le message "Downloading of safety program completed without errors" apparaît

dans la boîte de dialogue "Load results". Répétez la procédure de chargement si ce n'est pas le
cas.

10.3.1 Charger les données de projet dans une CPU F S7-300/400
10.3.1.1 Charger les données de projet dans une CPU F S7-300/400 avec carte mémoire
enfichée (carte flash ou Micro Memory Card SIMATIC)
Vous devez tenir compte de l'avertissement suivant lorsque vous chargez des données de
projet dans une CPU F S7-300/400 avec carte mémoire enfichée (Micro Memory Card SIMATIC
pour le S7-300 ou carte flash pour le S7-400) :
ATTENTION
Si le test fonctionnel du programme de sécurité n'est pas réalisé dans la CPU F cible, vous
devez suivre la procédure suivante lors du chargement des données du projet de sécurité
dans la CPU F avec une PG/un PC pour vous assurer que des "anciennes" données du projet
de sécurité ne se trouvent pas dans la CPU F :
• Chargez les données de projet de sécurité dans la CPU F.
• Procédez à une identification du programme (c'est-à-dire vérifiez que les signatures
globales F en ligne et hors ligne correspondent).
• Effectuez un effacement général de la CPU F au moyen du sélecteur de mode ou avec la
PG/le PC. Après l'effacement de la mémoire de travail, les données de projet de sécurité
sont de nouveau transférées de la mémoire de chargement (carte mémoire, SIMATIC
Micro Memory Card pour les CPU F S7-300, carte flash pour les CPU F S7-400) dans la
mémoire de travail. (S022)
10.3.1.2 Charger les données de projet dans une CPU F S7-400 sans carte flash enfichée
projet dans une CPU F S7-400 sans carte flash enfichée :
ATTENTION
• Effectuez un effacement général de la CPU F au moyen du sélecteur de mode ou avec la
PG/le PC.
globales F en ligne et hors ligne correspondent). (S023)

10.3.1.3 Charger les données de projet dans WinAC RTX F

projet dans WinAC RTX F :
ATTENTION
Pour vous assurer que des "anciennes" données de projet de sécurité ne se trouvent pas
dans le WinAC RTX F, vous devez suivre la procédure suivante lors du chargement des
données de projet de sécurité dans le WinAC RTX F avec une PG/un PC :
1. Effectuez un effacement général de WinAC RTX F (voir le manuel Windows Automation
Center RTX WinAC RTX (F) 2010
(http://support.automation.siemens.com/WW/view/en/43715176)).
2. Chargez les données de projet dans le WinAC RTX F.
Si le test fonctionnel du programme de sécurité n'est pas réalisé dans le WinAC RTX
F cible, observez également les points 3 et 4 :
3. Procédez à une identification du programme. C'est-à-dire vérifiez que les signatures
globales F en ligne et hors ligne correspondent.
4. Démarrez le système F.
Il ne faut pas fermer WinAC RTX F entre l'identification du programme en ligne et le
démarrage du système F (par exemple, par une mise hors tension/sous tension ou un
amorçage). (S024)
10.3.1.4 Charger des bloc F individuels dans une CPU F S7-300/400
Charger des bloc F individuels en mode de sécurité désactivé

Vous pouvez charger à la fois des blocs F et des blocs standard dans la CPU F au moyen du
navigateur de projet. Toutefois, dès que des blocs F doivent être chargés, le système vérifie si
la CPU F se trouve à l'état Arrêt ou en mode de sécurité désactivé. Si ce n'est pas le cas, vous
avez la possibilité de commuter en mode de sécurité désactivé ou de mettre la CPU F à l'état
Arrêt.
Si vous voulez charger des blocs F individuels dans la CPU F, par exemple pour tester des
modifications, assurez-vous que vous n'avez pas sélectionné le dossier "Blocs de programme"
ou la CPU F dans le navigateur de projet, mais uniquement les blocs à charger.
Ce n'est qu'ainsi qu'il vous sera demandé dans la boîte de dialogue d'aperçu du chargement
de désactiver le mode de sécurité après que vous avez changé l'option de "Consistent
download" à "Download selection" et l'option "Stop modules" à "No action".
Si vous ne respectez pas cela, les blocs sont chargés sans désactivation du mode de sécurité,
ce qui peut entraîner le passage en STOP de la CPU F.
Vous pouvez également désactiver le mode de sécurité de manière explicite dans l'éditeur
Safety Administration Editor avant le chargement.
Notez que la cohérence du programme de sécurité dans la CPU F ne peut pas être garantie
lorsque des blocs F individuels ont été chargés. Pour être sûr que le programme de sécurité
est cohérent, chargez-le toujours dans son intégralité dans la CPU F.

Règles pour le chargement de blocs F individuels

Les règles suivantes s'appliquent lors du chargement de blocs F individuels :
• Le chargement n'est possible qu'en mode de sécurité désactivé ou à l'état Arrêt de la CPU
F.
• Il n'est possible de charger des blocs F que dans une CPU F dans laquelle un programme
de sécurité a déjà été chargé.
Vous devez par conséquent charger le programme de sécurité complet lors du chargement
initial du programme de sécurité et après une modification de son mot de passe.
Remarque
Si vous chargez uniquement des blocs F individuels, les blocs dans lesquels les Main Safety
Blocks sont appelés (par exemple, l'OB 35 d'alarme cyclique) ne sont pas chargés. Pour cela,
vous devez activer l'option de sélection sous "Standard software" dans la boîte de dialogue
d'aperçu, puis sélectionner les blocs nécessaires.
Remarque
Le chargement de blocs F individuels convient uniquement pour le test de blocs F. Vous
devez charger le programme de sécurité de manière cohérente dans la CPU F avant le
passage en mode production.
10.3.1.5 Charger les données de projet sur une carte mémoire et enficher la carte mémoire
ou le support de données amovible
Vous procédez au chargement des données de projet d'une CPU F sur une carte mémoire
(carte flash pour le S7-400, Micro Memory Card SIMATIC pour le S7-300) comme dans le
système standard. Vous devez également tenir compte de l'avertissement suivant :
ATTENTION
devez vous assurer après le chargement des données de projet de sécurité sur la carte
mémoire que ce sont les bonnes données de projet de sécurité qui se trouvent sur la carte
mémoire.
Procédez de la manière suivante :
1. Chargez les données de projet sur la carte mémoire.
2. Procédez à une identification du programme (Page 330).
3. Identifiez la carte mémoire de manière unique (avec une signature globale F, par
exemple). (S043)

Vous devez tenir compte de l'avertissement suivant lorsque vous enfichez une carte mémoire
(carte flash pour le S7-400 ou Micro Memory Card SIMATIC pour le S7-300) ou un support de
données amovible pour WinAC RTX F contenant les données de projet d'une CPU F :
ATTENTION
devrez vous assurer que ce sont les bonnes données de projet de sécurité qui se trouvent
sur la carte mémoire ou le support de données amovible enfiché, et ce soit par une
identification du programme en ligne, soit par d'autres mesures appropriées (par exemple,
contrôle de l'identification de la carte mémoire ou du support de données amovible). (S025)
(carte flash pour le S7-400 ou Micro Memory Card SIMATIC pour le S7-300) dans une CPU F
S7-300/400 :
ATTENTION
devez suivre la procédure suivante lors de l'enfichage de la carte mémoire pour vous assurer
que des "anciennes" données de projet de sécurité ne se trouvent pas dans la CPU F :
• Mettez la CPU F hors tension et retirez le cas échéant la pile pour les CPU F avec
sauvegarde par pile (par exemple, CPU 416F-2). (Pour garantir que la CPU F est hors
tension, tenez compte du temps de maintien de l'alimentation utilisée ou, si vous ne
connaissez pas ce temps, débrochez la CPU F.)
• Retirez de la CPU F la carte mémoire avec les anciennes données de projet de sécurité.
• Enfichez dans la CPU F la carte mémoire avec les nouvelles données de projet de
sécurité.
• Remettez la CPU F sous tension et replacez la pile que vous aviez éventuellement retirée
pour les CPU F avec sauvegarde par pile (par exemple, CPU 416F-2).
(S026)

10.3.2 Charger les données de projet dans une CPU F S7-1200
10.3.2.1 Charger les données de projet dans une CPU F S7-1200 sans carte programme
enfichée
projet dans une CPU F S7-1200 sans carte programme enfichée :
ATTENTION

10.3.2.2 Charger les données de projet dans une CPU F S7-1200 avec carte programme
enfichée
Vous devez tenir compte des avertissements suivants lorsque vous chargez des données de
projet dans une CPU F S7-1200 avec carte programme enfichée :
ATTENTION
Procédez de la manière suivante pour vous assurer, lors de l'enfichage d'une carte
programme dans une CPU F S7-1200, que des "anciennes" données de projet de sécurité ne
se trouvent pas dans la mémoire de chargement interne de la CPU F :
1. Vérifiez que la LED STOP/RUN (orange) et la LED de maintenance clignotent pendant 3
secondes à la mise en route avec logement de carte vide.
Si c'est le cas, la mémoire de chargement interne de la CPU F est déjà effacée (par exemple,
si la CPU F fonctionnait avec une carte programme comme mémoire de chargement
externe) et vous pouvez sauter l'étape 3.
2. Enfichez la carte programme dans la CPU F.
Si la CPU F est à l'état de fonctionnement RUN, elle passe en STOP. La LED de
maintenance sur la CPU F clignote pour indiquer que la carte programme doit être
évaluée ou que la mémoire de chargement interne doit être effacée.
3. Déclenchez l'effacement de la mémoire de chargement interne de l'une des manières
suivantes :
– Mettez la CPU F hors tension puis à nouveau sous tension.
– Faites passer la CPU F de l'état STOP à l'état RUN.
– Exécutez la fonction Effacement général (MRES).
Après le redémarrage et l'effacement de la mémoire de chargement interne, la LED
STOP/RUN (orange) et la LED de maintenance doivent clignoter. Dans ce cas, la
mémoire de chargement interne de la CPU F est effacée et ne contient pas "d'anciennes"
données de projet de sécurité.
4. Déclenchez l'évaluation de la carte programme de l'une des manières suivantes :
La CPU exécute un redémarrage et évalue la carte programme.
La CPU F passe ensuite à l'état de fonctionnement configuré pour sa mise en route (RUN
ou STOP). (S061)
Pour une CPU F S7-1200 sans carte mémoire SIMATIC enfichée et avec la mémoire de
chargement interne effacée, les LED d'état ont l'état décrit dans le tableau suivant.
Description STOP/RUN ERROR rouge MAINT orange

orange/verte
Mémoire de charge- Clignote (orange) Éteinte Clignote
ment interne effacée et (pendant 3 secondes au (pendant 3 secondes au
pas de carte mémoire démarrage) démarrage)
SIMATIC enfichée

ATTENTION
Si vous chargez avec une PG/un PC des blocs F dans une CPU F S7-1200 avec carte
programme enfichée (mémoire de chargement externe), vous devez vous assurer que le
transfert sur la mémoire de chargement externe a bien lieu. Cela peut être accompli par les
mesures suivantes :
• Vérifiez que la carte programme est correctement enfichée.
• Utilisez une carte programme dont la taille de mémoire est différente de la taille de la
mémoire de chargement interne. Vérifiez sous "En ligne & Diagnostic > Diagnostic >
Mémoire" dans le navigateur de projet si la taille affichée de la mémoire de chargement
correspond à la taille de mémoire de la carte programme. (S058)
ATTENTION

10.3.2.3 Enficher une carte transfert dans une CPU F S7-1200

Vous devez tenir compte de l'avertissement suivant lorsque vous enfichez une carte transfert
dans une CPU F S7-1200 :
ATTENTION
Procédez de la manière suivante pour vous assurer, lors de la copie des données de projet de
sécurité dans une CPU F S7-1200 au moyen d'une carte transfert, que des "anciennes"
données de projet de sécurité ne se trouvent pas dans la mémoire de chargement interne :
1. Vérifiez que la LED STOP/RUN (orange) et la LED de maintenance clignotent pendant 3
secondes au démarrage avec un logement de carte vide.
Si c'est le cas, la mémoire de chargement interne de la CPU F est déjà effacée et vous
pouvez sauter l'étape 3.
2. Enfichez la carte transfert dans la CPU F.
maintenance sur la CPU F clignote pour indiquer que la carte transfert doit être évaluée
ou que la mémoire de chargement interne doit être effacée.
3. Déclenchez l'effacement de la mémoire de chargement interne de l'une des manières
suivantes :
Après le redémarrage et l'effacement de la mémoire de chargement interne, la LED
STOP/RUN (orange) et la LED de maintenance doivent clignoter. Dans ce cas, la
mémoire de chargement interne de la CPU F est effacée et ne contient pas "d'anciennes"
données de projet de sécurité.
4. Déclenchez l'évaluation de la carte transfert de l'une des manières suivantes (transfert de la
carte transfert dans la mémoire de chargement interne) :
Après le redémarrage et l'évaluation de la carte mémoire SIMATIC, la CPU F copie les
données de projet dans sa mémoire de chargement interne. Une fois la copie achevée, la
LED de maintenance sur la CPU F clignote pour indiquer que la carte transfert peut être
retirée.
5. Retirez la carte transfert de la CPU F.
6. Déclenchez l'évaluation de la mémoire de chargement interne de l'une des manières
suivantes :
ou STOP). (S059)

Pour une CPU F S7-1200 sans carte mémoire SIMATIC enfichée et avec la mémoire de
chargement interne effacée, les LED d'état ont l'état décrit dans le tableau suivant.
Description STOP/RUN ERROR rouge MAINT orange

orange/verte
Mémoire de charge- Clignote (orange) Éteinte Clignote
ment interne effacée et (pendant 3 secondes au (pendant 3 secondes au
pas de carte mémoire démarrage) démarrage)
SIMATIC enfichée

10.3.2.4 Charger les données de projet d'une CPU F S7-1200 de la mémoire de chargement
interne sur une carte mémoire SIMATIC vide
projet de la mémoire de chargement interne d'une CPU F S7-1200 sur une carte mémoire
SIMATIC vide :
ATTENTION
Vous devez respecter la procédure suivante pour garantir que, lors de l'enfichage d'une carte
mémoire SIMATIC vide dans une CPU F S7-1200, les données de projet de sécurité soient
chargées de la mémoire de chargement interne de la CPU F sur la carte mémoire SIMATIC,
puis que la mémoire de chargement interne de la CPU F soit effacée :
1. Veillez à ce que la carte mémoire utilisée soit bien une carte mémoire SIMATIC vide, par
exemple, en vérifiant à l'aide de l'Explorateur Windows que le dossier "SIMATIC.S7S" et le
fichier "S7_JOB.S7S" sont effacés.
2. Enfichez la carte mémoire SIMATIC vide dans la CPU F.
maintenance sur la CPU F clignote pour indiquer que le programme peut être copié de la
mémoire de chargement interne sur la carte mémoire SIMATIC, puis que la mémoire de
chargement interne sera effacée.
3. Déclenchez la copie de la mémoire de chargement interne sur la carte mémoire SIMATIC et
l'effacement subséquent de la mémoire de chargement interne de l'une des manières
suivantes :
Après le redémarrage et la copie des données de projet de la mémoire de chargement
interne sur la carte mémoire SIMATIC et l'effacement subséquent de la mémoire de
chargement interne, la LED STOP/RUN (orange) et la LED de maintenance doivent
clignoter. Dans ce cas, la mémoire de chargement interne de la CPU F est effacée et ne
contient plus de données de projet de sécurité. La carte mémoire SIMATIC est désormais
une carte programme.
4. Déclenchez l'évaluation de la carte programme de l'une des manières suivantes :
La CPU F exécute un redémarrage et évalue la carte programme.
ou STOP). (S057)
Remarque
Tenez également compte du paramètre "Désactiver la copie de la mémoire de chargement
interne vers la mémoire de chargement externe" dans la configuration matérielle de votre
CPU F.

10.3.2.5 Mettre à jour les données de projet d'une CPU F S7-1200 à l'aide d'une carte
transfert
Vous devez tenir compte de l'avertissement suivant si vous voulez mettre à jour les données
de projet d'une CPU F S7-1200 à l'aide d'une carte transfert :
ATTENTION
Si vous effectuez une mise à jour des données de projet de sécurité à l'aide d'une carte
transfert sur une CPU F S7-1200, vous devez ensuite vous assurer par une identification du
programme que le transfert dans la mémoire de chargement interne s'est fait correctement.
(S060)
mémoire SIMATIC
Vous procédez au chargement des données de projet d'une CPU F sur une carte mémoire
SIMATIC comme dans le système standard. Vous devez également tenir compte de
ATTENTION
mémoire.
exemple). (S043)
SIMATIC contenant les données de projet d'une CPU F :
ATTENTION

10.3.3 Charger les données de projet dans une CPU F S7-1500
10.3.3.1 Charger les données de projet dans une CPU F S7-1500

projet dans une CPU F S7-1500 :
ATTENTION
10.3.3.2 Charger les données de projet dans un système redondant S7-1500HF

Avec un système S7-1500HF redondant, il n'est possible de charger un programme de
sécurité cohérent qu'à l'état Arrêt du système S7-1500HF redondant.
Vous devez pour cela tenir compte d'un des avertissements suivants :
• Chargement du système S7-1500HF redondant à l'état STOP.
ATTENTION
Si le test fonctionnel du programme de sécurité n'est pas réalisé dans le système

S7-1500HF cible, vous devez suivre la procédure suivante lors du chargement des
données du projet de sécurité dans les CPU HF avec une PG/un PC pour vous assurer que
des "anciennes" données du projet de sécurité ne se trouvent pas dans les CPU HF :
1. Faites passer les deux CPU HF à l'état STOP.
2. Si vous n'avez pas programmé de protection contre le (re)démarrage dans votre ancien
programme de sécurité (Programmer une protection contre le démarrage (Page 154)),
vous devez formater la carte mémoire SIMATIC ou effacer le programme, par exemple
avec l'écran pour les deux CPU HF.
3. Chargez les données de projet de sécurité sur l'une dles deux CPU HF.
4. Faites passer la CPU HF dans laquelle vous avez chargé les nouvelles données du projet
de sécurité à l'état RUN.
5. Faites passer la deuxième CPU HF à l'état RUN.
6. Dès que l'état RUN-Redundant est atteint, vous devez procéder à une identification du
programme sur l'une des deux CPU HF (c'est-à-dire que vous vérifiez si les signatures
Si vous avez programmé une protection contre le (re)démarrage dans votre nouveau
programme de sécurité, vous ne devez acquitter cette dernière qu'après la réussite de
l'identification du programme. (S090)

• Chargement du système S7-1500HF redondant avec durée de STOP réduite.
ATTENTION
Si le test fonctionnel du programme de sécurité n'est pas réalisé dans le système S7-
1500HF cible, vous devez suivre la procédure suivante lors du chargement des données
du projet de sécurité dans les CPU HF avec une PG/un PC pour vous assurer que des
"anciennes" données du projet de sécurité ne se trouvent pas dans les CPU HF :
1. Faites passer l'une des deux CPU HF à l'état STOP.
programme de sécurité (Programmer une protection contre le démarrage (Page 154)),
vous devez formater la carte mémoire SIMATIC ou effacer le programme, par exemple
depuis l'écran pour la CPU HF qui est à l'état STOP.
3. Chargez les données de projet de sécurité dans la CPU HF qui se trouve à l'état STOP
(dans la CPU réserve avec la commande "Download to backup CPU" du menu
contextuel).
4. Faites passer à l'état STOP la CPU HF qui se trouve encore à l'état RUN.
programme de sécurité, vous devez formater la carte mémoire SIMATIC ou effacer le
programme, par exemple depuis l'écran pour la CPU HF que vous venez de commuter à
l'état STOP.
6. Faites passer à l'état RUN la CPU HF avec les nouvelles données de projet de sécurité
chargées.
7. Faites passer la deuxième CPU HF à l'état RUN.
8. Dès que l'état RUN-Redundant est atteint, vous devez procéder à une identification du
programme sur l'une des deux CPU HF (c'est-à-dire que vous vérifiez si les signatures
Si vous avez programmé une protection contre le (re)démarrage dans votre nouveau
programme de sécurité, vous ne devez acquitter cette dernière qu'après la réussite de
l'identification du programme. (S091)
10.3.3.3 Charger les données de projet dans un contrôleur logiciel S7-1500 F

Vous devez tenir compte des avertissements suivants lorsque vous chargez des données de
projet dans un contrôleur logiciel S7-1500 F :
ATTENTION

L'avertissement suivant ne vaut que pour un contrôleur logiciel S7-1500 F de firmware ≤

V21.9.x sur un IPC 627E, IPC 647E, IPC 677E ou un IPC 847E :
ATTENTION
Lorsque vous effectuez un téléchargement du programme de sécurité, vous devez effectuer

ensuite une MISE HORS TENSION puis SOUS TENSION, avant de procéder à une
identification de programme pour la réception. (S097)
ATTENTION
Pour des raisons de sécurité, le mot de passe d'un contrôleur logiciel S7-1500 F est stocké
dans une mémoire distincte en plus de la mémoire de chargement.
Contrairement à la mémoire de chargement, cette mémoire distincte n'est pas effacée. Les
anciens mots de passe sont donc à nouveau actifs après la suppression des données de
projet du contrôleur logiciel S7-1500 F suivie d'un démarrage.
Vous devez donc tenir compte des points suivants :
• Les données de projet du contrôleur logiciel S7-1500 F sont supprimées dans le cas des
scénarios de chargement suivants de la station PC :
– Chargement d'une station PC avec affectation d'interface modifiée
– Chargement d'une station PC avec emplacement de stockage des données
rémanentes modifié
• Nous vous recommandons de ne configurer la protection d'accès F qu'après la mise en
service. Si vous devez encore modifier l'affectation d'interface de la station PC ou
l'emplacement de stockage des données rémanentes, vous ne devrez ainsi pas saisir le
mot de passe F lors du chargement obligatoire suivant du contrôleur logiciel S7-1500 F.
• Nous vous recommandons de supprimer la protection d'accès F d'un contrôleur logiciel
S7-1500 F que vous n'utilisez plus. En effet, si vous ne vous souvenez plus du mot de
passe lors d'une réutilisation ultérieure de ce contrôleur logiciel S7-1500 F, vous ne
pourrez supprimer le mot de passe F que par une désinstallation/installation/réparation
ou par l'importation d'une image. (S076)
Voir aussi
Charger les données de projet (Page 300)
Contrôleur logiciel (http://support.automation.siemens.com/WW/view/fr/109249299)

mémoire SIMATIC ou le support de données amovible
Vous procédez au chargement des données de projet d'une CPU (H)F sur une carte mémoire
SIMATIC comme dans le système standard. Vous devez également tenir compte de
ATTENTION
mémoire.
exemple). (S043)
SIMATIC ou un support de données amovible de contrôleur logiciel S7-1500 F contenant les
données de projet d'une CPU (H)F :
ATTENTION

Enficher des cartes mémoire SIMATIC dans un système S7-1500HF redondant
ATTENTION
Procédez comme suit lors de l'enfichage de deux nouvelles cartes mémoire SIMATIC avec de
nouvelles données de projet de sécurité pour un système S7-1500HF redondant :
2. Remplacez les cartes mémoire SIMATIC des deux CPU HF par :
– deux cartes mémoire SIMATIC avec les nouvelles données de projet de sécurité ou
– une carte mémoire SIMATIC avec les nouvelles données de projet de sécurité et une
carte mémoire SIMATIC vide.
Procédure pour garantir les bonnes données de projet de sécurité par identification du
programme en ligne :
1. Sur les deux CPU HF à l'état STOP, vérifiez p. ex. depuis l'écran si les bonnes données de
projet de sécurité se trouvent sur la carte mémoire SIMATIC ou si la deuxième carte
mémoire SIMATIC est vide.
2. Une fois la vérification réussie, faites passer les CPU HF à l'état RUN. Si les nouvelles
données de projet de sécurité ne se trouvent que sur une carte mémoire SIMATIC, vous
devez d'abord faire passer la CPU HF avec les nouvelles données de projet de sécurité à
l'état RUN et seulement ensuite la CPU HF avec la carte mémoire SIMATIC vide.
Procédure pour garantir les bonnes données de projet de sécurité par identification unique
des cartes mémoire SIMATIC :
1. Commutez les CPU HF en RUN. Si les nouvelles données de projet de sécurité ne se
trouvent que sur une carte mémoire SIMATIC, vous devez d'abord faire passer la CPU HF
avec les nouvelles données de projet de sécurité à l'état RUN et seulement ensuite la CPU
HF avec la carte mémoire SIMATIC vide. (S092)
ATTENTION
Procédez comme suit lors de l'enfichage d'une nouvelle carte mémoire SIMATIC avec de
nouvelles données de projet de sécurité pour un système S7-1500HF redondant :
2. Retirez la carte mémoire SIMATIC de l'une des deux CPU HF.
3. Formatez la carte mémoire SIMATIC ou effacez le programme, par exemple via l'écran de la
CPU HF dont la carte mémoire SIMATIC n'a pas été retirée.
4. Enfichez dans la CPU HF sans carte mémoire SIMATIC la carte mémoire SIMATIC contenant
les nouvelles données de projet de sécurité.
5. Si vous ne pouvez pas garantir par d'autres mesures appropriées (par exemple, par
identification unique de la carte mémoire SIMATIC) que les bonnes données de projet de
sécurité se trouvent sur la carte mémoire SIMATIC, vous devez procéder à une
identification du programme sur la CPU HF avec les nouvelles données de projet de
sécurité.
6. Faites passer à l'état RUN la CPU HF sur laquelle se trouvent les nouvelles données de projet
de sécurité.
7. Faites passer la deuxième CPU HF à l'état RUN. (S093)

10.3.4 Restaurer le programme de sécurité sauvegardé d'une CPU F

Vous pouvez, comme pour une CPU standard, réaliser une copie de sauvegarde d'une CPU F
en vue de sa restauration. Vous trouverez des informations sur la sauvegarde d'une CPU sous
"Créer la sauvegarde d'une CPU S7" dans l'aide de STEP 7. La sauvegarde d'une CPU F S7-400
n'est possible qu'avec une carte Flash enfichée.
Tenez compte des avertissements suivants lorsque vous restaurez le logiciel et la
configuration matérielle d'une CPU F :
ATTENTION
Vous devez procéder à une identification du programme après avoir restauré une copie de
sauvegarde d'une CPU F.
Dans le cas d'un système S7-1500HF redondant, vous devez effectuer cette identification du
programme à l'état RUN-Redundant. (S055)
Remarque
Nous vous conseillons d'utiliser pour l'identification du programme la signature globale F
contenue dans le nom du fichier de sauvegarde. Vous ne devez dans ce cas pas modifier la
signature globale F dans le nom.
ATTENTION
(S7-1200/1500) Si plusieurs CPU F avec serveur Web activé sont accessibles à partir de la
même PG/du même PC, vous devez vous assurer que le programme de sécurité est restauré
sur la bonne CPU F en prenant des mesures supplémentaires.
Utilisez des mots de passe spécifiques aux CPU pour le droit "F-admin" sur le serveur Web.
Sélectionnez, par exemple, le même mot de passe pour les CPU F avec l'adresse IP de
chacune en suffixe (par exemple, Password_192.168.0.8). (S065)
Remarque
Vous devez, le cas échéant, saisir l'ancien mot de passe de la CPU F lors de la restauration.

10.3.5 Particularités lors de la création et de l'importation d'images d'un contrôleur

logiciel S7-1500 F
Créer une image
ATTENTION
Vous devez observer les points suivants lors de la création d'une image avec des données du
projet de sécurité :
• Vous devez, par des mesures organisationnelles (Page 617), restreindre l'accès au
contrôleur logiciel S7-1500 F aux personnes habilitées à créer des images.
• Avant la création de l'image, vous devez vous assurer par une identification du
programme que les données de projet de sécurité dans le contrôleur logiciel S7-1500 F
sont les bonnes.
• Les images avec données de projet de sécurité doivent être créées sur un support de
données vierge (effacé ou formaté) ou il faut effacer explicitement l'image déjà présente.
• Après la création de l'image, retirez le support de données contenant l'image.
• Identifiez le support de données de manière univoque (avec une signature globale F, par
exemple). (S073)
IMPORTANT
Si les données de projet de sécurité dans l'image sont différentes des données de projet de
sécurité dans le contrôleur logiciel S7-1500 F, le programme de sécurité importé ne démarre
pas. Dans ce cas, vous devez charger de nouveau les données du projet sur la CPU F, avec
TIA Portal par exemple. C'est pourquoi vous devez veiller à ce que les copies de sauvegarde
d'images soient toujours à jour.
Tout comme vous pouvez démarrer un programme de sécurité à partir d'une autre carte
CFast, vous pouvez charger et exécuter une image qui a été créée à partir d'un autre
appareil ou support de données.

Importer une image
ATTENTION
Vous devez observer les points suivants lors de l'importation d'une image avec des données
du projet de sécurité :
• Vous devez, par des mesures organisationnelles (Page 617), restreindre l'accès au
contrôleur logiciel S7-1500 F aux personnes habilitées à importer des images.
• Lors de l'importation d'une image via un réseau local, un accès à distance ou d'autres
accès comparables, vous devez assurer une protection d'accès (par exemple, avec le droit
d'administrateur Windows (ADMIN)). Veillez toutefois à ce que seules des personnes
autorisées soient configurées comme utilisateurs.
• Pour garantir lors de l'importation d'une image via un réseau local que l'image est écrite
sur le bon contrôleur logiciel S7-1500 F, vous devez faire en sorte qu'un seul contrôleur
logiciel S7-1500 F soit accessible. C'est, par exemple, possible en supprimant les
connexions physiques et les options de routage vers d'autres contrôleurs logiciels
S7-1500 F.
• Vous devez vous assurer que les bonnes données de projet de sécurité se trouvent sur
l'image, par exemple par une identification univoque du support de données.
• Supprimez l'image, ainsi que ses éventuelles copies, une fois que vous l'avez importée
dans le contrôleur logiciel S7-1500 F.
• Après l'importation de l'image, vous devez vous assurer par une identification du
programme au moyen de l'écran, par exemple, que les données de projet de sécurité
dans le contrôleur logiciel S7-1500 F sont les bonnes. (S074)
10.3.6 Charger les données de projet (y compris les données de projet de sécurité)
d'une CPU F dans une PG/un PC (S7-1500)
La fonction de chargement de l'appareil "Upload from device (software)" ou "Upload device as
new station (hardware and software)" n'est possible pour les CPU F S7-1500 que si l'option
"Enable consistent upload from the F-CPU" est activée pour la CPU F dans l'éditeur Safety
Administration Editor et que les données de projet ont ensuite été chargées dans la CPU F.
Pour charger les données de projet (y compris les données de projet de sécurité) dans une
PG/un PC, procédez comme pour le standard.
Si plusieurs CPU F sont accessibles via un réseau (par exemple, Industrial Ethernet) à partir de
la PG/du PC, vous devez vous assurer que les données de projet sont chargées de la bonne
CPU F, par exemple avec "En ligne & diagnostic" > "Accès en ligne" > "Clignotement LED".

Une fois le chargement de l'appareil réussi, vous pouvez continuer à travailler comme avec un
projet créé hors ligne.
ATTENTION
Si vous voulez effectuer une réception avec les données de projet chargées dans la PG/le PC
ou apporter des modifications aux données de projet relatives à la sécurité, vous devez vous
assurer avant le chargement que le programme de sécurité est exécutable.
Lors du chargement depuis une CPU F, cette condition est remplie si, avant le chargement,
la CPU F est à l'état RUN et en mode de sécurité activé ou qu'il est possible de la faire passer
à l'état RUN. Si la CPU F reste à l'état STOP, vous ne devez pas effectuer de réception ou de
modifications avec les données de projet de sécurité chargées.
En cas de chargement depuis une carte mémoire, celle-ci doit s'être trouvée auparavant
dans une CPU S7-1500 appropriée. Les conditions applicables sont les mêmes que pour le
chargement depuis une CPU F. (S080)
Vous pouvez charger des blocs F individuels dans une PG/un PC indépendamment de l'option
"Enable consistent upload from the F-CPU" (autoriser le chargement cohérent à partir de la
CPU F).
Il n'est pas possible de charger des blocs F avec protection du know-how individuels dans une
PG/un PC.
À partir de STEP 7 Safety V18, le chargement des données de projet à partir d'une carte
mémoire est possible comme nouvelle station (matériel et logiciel) et appareil (logiciel).
Voir aussi
Section "Settings" (Page 91)
Charger les données de projet (y compris les données de projet de sécurité) d'une carte
mémoire dans une PG/un PC (S7-1500) (Page 323)
10.3.7 Charger les données de projet (y compris les données de projet de sécurité)
d'une carte mémoire dans une PG/un PC (S7-1500)
La fonction de chargement de l'appareil "Upload from device (software)" ou "Upload device as
new station (hardware and software)" n'est possible pour les CPU F S7-1500 que si l'option
"Enable consistent upload from the F-CPU" est activée pour la CPU F dans l'éditeur Safety
Administration Editor et que les données de projet ont ensuite été chargées sur la carte
mémoire.
Pour charger les données de projet (y compris les données de projet de sécurité) dans une
PG/un PC, procédez comme pour le standard.

Après le chargement à partir de la carte mémoire, vous pouvez travailler comme avec un
projet créé hors ligne.
ATTENTION
Si vous voulez effectuer une réception avec les données de projet chargées dans la PG/le PC
ou apporter des modifications aux données de projet relatives à la sécurité, vous devez vous
assurer avant le chargement que le programme de sécurité est exécutable.
Lors du chargement depuis une CPU F, cette condition est remplie si, avant le chargement,
la CPU F est à l'état RUN et en mode de sécurité activé ou qu'il est possible de la faire passer
à l'état RUN. Si la CPU F reste à l'état STOP, vous ne devez pas effectuer de réception ou de
modifications avec les données de projet de sécurité chargées.
En cas de chargement depuis une carte mémoire, celle-ci doit s'être trouvée auparavant
dans une CPU S7-1500 appropriée. Les conditions applicables sont les mêmes que pour le
chargement depuis une CPU F. (S080)
Voir aussi
Section "Settings" (Page 91)
10.3.8 Charger la station PC via un fichier de configuration

Vous avez la possibilité d'enregistrer la configuration du système PC dans un fichier de
configuration, de la transporter et de la charger dans un système cible. Toute la configuration
de votre station PC de TIA Portal est enregistrée dans un fichier de configuration avec
l'extension *.psc.
L'enregistrement et le chargement du fichier de configuration sont pris en charge à partir de :
• STEP 7 Safety V15
• Contrôleur logiciel S7-1500 V2.5
Exemple
Vous trouverez un exemple détaillé sur Internet

Paramètres d'identification
Les paramètres d'identification comprennent :
• le nom de fichier
• des informations du projet et de la station qui sont sauvegardées de TIA Portal dans les
métadonnées du fichier psc
Par exemple :
– Version du projet
– Repère d'installation
– Commentaire de station
Enregistrez, le cas échéant, les paramètres d'identification dans un fichier que vous stockerez
sur le système cible.
Pour évaluer et tester ces paramètres d'identification par script, vous devez sauvegarder ces
informations directement dans le script ou enregistrer les paramètres d'identification dans un
fichier distinct que vous stockerez sur le système cible.
10.3.8.1 Créer un fichier de configuration

1. Créez un nouveau fichier de configuration dans TIA Portal avec "Projet > Fichier carte
mémoire > Nouveau > Fichier de configuration système PC (.psc)".
Le fichier de configuration est créé sous "Card Reader/Mémoire USB" dans le navigateur de
projet.
2. Utilisez la signature globale F pour vérifier que vous sélectionnez le bon projet/la bonne
station dans l'éditeur Safety Administration Editor.
3. Faites glisser la station PC sélectionnée sur le fichier de configuration avec la souris.
La station PC est ainsi chargée dans le fichier de configuration.
ATTENTION
Au lieu d'une identification de programme en ligne, vous pouvez garantir par une
identification univoque du fichier de configuration *.psc (PC Station Configuration) que ce
sont les bonnes données de projet de sécurité qui se trouvent dans le fichier de
configuration.
Vous devez en outre observer les points suivants lors de la création d'un fichier de
configuration :
La création d'un fichier de configuration avec les données de projet de sécurité ne doit pas
utiliser un fichier existant. Vous devez créer un nouveau fichier.
Vous devez en outre supprimer du système de gestion des données les fichiers de
configuration contenant des données de projet de sécurité erronées.
Vous devez restreindre par des mesures organisationnelles (Page 617) l'accès au fichier de
configuration (*.psc) aux personnes habilitées à importer et modifier le fichier de
configuration. (S081)

10.3.8.2 Importer le fichier de configuration

Vous disposez des possibilités suivantes pour importer le fichier de configuration :
• Par le menu du PC Station Panel (Importer le fichier de configuration)
• Par un script
Importation par le menu du PC Station Panel
Condition
Si vous voulez lancer l'importation du fichier de configuration au moyen du menu du PC
Station Panel d'un S7-150xS(P) F, la personne exécutant l'opération doit appartenir au groupe
d'utilisateurs Windows "Failsafe Operators".
Procédure
ATTENTION
Vous recevez une signalisation en retour positive après une importation réussie. En
l'absence de notification positive, vous devez supposer que l'importation a échoué et que les
anciennes données de projet de sécurité sont encore présentes.
Vous devez observer les points suivants en cas d'importation d'un fichier de configuration
avec des données de projet de sécurité d'une station PC via le menu du Panel :
• Utilisez le nom unique du fichier de configuration pour vérifier que vous avez sélectionné
le fichier de configuration voulu.
• Pour garantir que l'importation se fera sur le bon contrôleur logiciel S7-1500 F, vérifiez
que vous accédez au bon contrôleur logiciel S7-1500 F lors de l'importation d'un fichier
de configuration via le réseau local. Cela peut être accompli par les mesures suivantes :
– Supprimez les connexions physiques et les options de routage vers d'autres
contrôleurs logiciels S7-1500 F.
– Utilisez des noms d'ordinateur uniques et des identifiants utilisateur uniques ou
utilisez d'autres options d'identification. (S084)

Importation par script
ATTENTION
Vous devez vérifier dans le script au moyen des paramètres d'identification définis si
l'importation du fichier de configuration est autorisée pour le système cible concerné (par
évaluation du nom de la CPU F ou du projet ou par le repère d'installation, par exemple).
Il peut également s'avérer nécessaire ou utile d'effectuer une vérification de l'instance
correspondante du système cible, c'est-à-dire une vérification diversifiée de son adressage
et/ou une vérification de la version du fichier de configuration, par exemple uniquement
versions supérieures ou exclusion de versions données (liste noire). Vous devez sauvegarder
ces informations au préalable sur le système cible.
Exemple de vérification de l'admissibilité d'une version :
• Le script évalue les informations concernant la version et n'autorise, par exemple, que les
fichiers de configuration avec une version supérieure.
En tant que constructeur de machine, vous devez veiller à ce que le script soit protégé de
toute manipulation (modification non autorisée du contenu ou du nom).
Si vous ne faites que fournir les fichiers de configuration en tant que constructeur de
machine, vous devez vous assurer par des mesures techniques (contrôles approfondis dans
le script) et par la formation des opérateurs de la machine qu'aucun fichier de configuration
erroné ne pourra être importé. (S082)
Le script vérifie :
• l'équivalence de l'ID de machine
• que l'ID de version est supérieure à l'ID actuelle. Si c'est le cas, la nouvelle version est
inscrite dans le fichier txt.
• le numéro d'instance

La figure suivante contient une représentation systématique de la vérification du fichier de

configuration dans le script à l'aide des paramètres d'identification sauvegardés dans un
fichier distinct (en violet dans la figure) :

ATTENTION
Vous déterminez si l'importation des données de projet de sécurité via le script a réussi en
évaluant la valeur en retour correspondante (0x51A3). Si la valeur en retour appropriée
n'est pas renvoyée par la commande de script PCSystem_Control, l'importation a échoué et il
se peut que les données de projet de sécurité présentes soient toujours les anciennes.
Pour vous assurer que la valeur en retour ne provient pas de l'importation précédente,
réinitialisez la valeur en retour à 0x3FF avant l'importation ("PCSystem_Control
/ImportConfig" sans saisir de nom de fichier), puis vérifiez que la valeur en retour a bien été
réinitialisée à 0x3FF (saisir "PCSystem_Control /GetStatus /ImportConfig", puis saisir "echo
%errorlevel%". Cette instruction doit renvoyer la valeur en retour 0x3FF).
Si l'importation a été lancée depuis un serveur, il doit également y avoir une signalisation en
retour sur la valeur en retour positive.
Nous vous recommandons de documenter l'importation dans un fichier journal pour une
plus grande transparence et traçabilité.
Si l'importation du fichier de configuration a été exécutée manuellement via la ligne de
commande Windows (par une commande de script), vous devez procéder de l'une des
manières suivantes :
• Réinitialisez la valeur en retour à 0x3FF avant l'importation et contrôlez-la (voir ci-
dessus).
– Effectuez l'importation.
– Évaluez la valeur en retour (saisir "PCSystem_Control /GetStatus /ImportConfig", puis
"echo %errorlevel%". Cette commande doit renvoyer la valeur en retour 0x51A3).
• Effectuez l'importation.
– Procédez à une identification manuelle du programme, par exemple par l'écran de la
CPU F.
(S083)
Remarque
La valeur en retour positive lors de l'importation d'un fichier de configuration par script est
"0x51A3" pour un contrôleur logiciel S7-1500 F, contrairement au contrôleur logiciel S7-1500
où elle est de "0x0000".
Lorsque le fichier est importé par script, l'autorisation doit être déplacée dans le script. Ceci
signifie que l'utilisateur exécutant le script n'a lui-même pas besoin d'une autorisation plus
élevée, car le script qui lui a été fourni par le fabricant de la machine contient les
autorisations nécessaires (groupe d'utilisateurs "Failsafe Operators").
Les droits sont affectés via le script par affectation du service Windows au groupe
d'utilisateurs correspondant. Cette installation initiale doit être effectuée préalablement par
l'administrateur Windows sur chaque ordinateur avec S7-150xS(P) F. Le service Windows peut
être appelé par la personne exécutant l'opération et le service Windows exécute le script.

10.4 Identification du programme
10.4 Identification du programme

L'identification de programme permet de déterminer que les bonnes données de projet de
sécurité ont été chargées dans la CPU F. Pour cela, vous comparez la signature globale F et
l'attribution du droit "F-Admin" en ligne avec la valeur attendue. La valeur attendue peut p.
ex. être la signature globale F hors ligne de l'éditeur Safety Administration Editor ou de
l'impression de sécurité. Vous vérifiez l'attribution du droit "F-admin" dans l'éditeur Safety
Assurez-vous, par des mesures organisationnelles, que les données de projet de sécurité ne
sont pas chargées depuis un autre TIA Portal (sur une PG/un PC séparé(e)) pendant que vous
effectuez l'identification du programme.
Avec l'éditeur Safety Administration Editor

Procédez comme suit pour une identification du programme avec l'éditeur Safety
Administration Editor :
1. Ouvrez l'éditeur Safety Administration Editorde la CPU F à vérifier.
2. Connectez-vous en ligne à la CPU F à vérifier.
3. Dans la section "General", comparez la signature globale F en ligne affichée à la valeur
attendue.
4. Vérifiez si le programme hors ligne et le programme en ligne sont cohérents (Page 376).
5. Vérifiez si l'icône verte est affichée dans les colonnes "Status" et "Version comparison".
6. Dans la section "Web server F-admins", vérifiez que seuls des utilisateurs autorisés ont le
droit "F-admin" hors ligne et en ligne.
Avec une IHM

Procédez comme suit pour une identification du programme avec une IHM :
1. Lisez la signature globale F du programme de sécurité dans la variable F_PROG_SIG du DB
global F (Page 152) (S7-300, S7-400) ou la variable F_SYSINFO.F_PROG_SIG du DB
d'informations sur le groupe d'exécution (Page 152) (S7-1200, S7-1500).
2. Comparez la valeur de la variable F_PROG_SIG à la valeur attendue.

10.5 Comparaison de programmes de sécurité
Avec l'écran d'une CPU F S7-1500

Procédez comme suit pour une identification du programme avec l'écran d'une CPU F :
1. Naviguez jusqu'à "Overview > Fail-safe" dans le menu de l'écran.
2. Comparez la signature globale F affichée à la valeur attendue.
Avec le serveur Web d'une CPU F S7-1200/1500

Procédez comme suit pour une identification du programme avec le serveur Web d'une CPU F
S7-1200/1500 :
1. Lisez la signature globale F dans la page d'accueil du serveur Web.
2. Comparez la signature globale F affichée à la valeur attendue.
Voir aussi
Safety Administration Editor (Page 80)
Comparer des programmes de sécurité comme dans le système standard

Vous pouvez comparer des programmes de sécurité hors ligne/en ligne ou hors ligne/hors
ligne grâce à l'éditeur de comparaison dans STEP 7. La procédure est la même que pour les
programmes utilisateur standard. Le contenu des blocs F est également comparé pour la
comparaison des programmes de sécurité. Une comparaison hors ligne/hors ligne peut ainsi
être utilisée pour une réception des modifications (Page 379). Vous activez cette
comparaison en sélectionnant le critère de comparaison "Safety" et en désactivant tous les
autres critères de comparaison.
Remarque
Vous ne devez pas utiliser l'éditeur de comparaison pour détecter des modifications hors
ligne/en ligne dans le programme de sécurité/dans la configuration de la périphérie F lors de
la réception des modifications. Une comparaison hors ligne-en ligne est appropriée pour cela.
Procédez comme décrit sous Réception de modifications (Page 379) pour la réception des
modifications.

Résultat de la comparaison de programmes de sécurité

La représentation du résultat de comparaison correspond à la représentation de STEP 7.
Si vous cliquez sur le dossier "Blocs de programme" dans la page gauche de l'éditeur de
comparaison, la signature globale F du programme de sécurité s'affiche sous "Résultat de la
comparaison". Vous apprenez en outre si le programme de sécurité est cohérent.
Lorsque vous cliquez sur un bloc F, vous voyez les signatures respectives et les signatures
d'interface en plus des informations standard.
Remarque
Le résultat de la comparaison ne sera pas correct si vous coupez la connexion à la CPU F
pendant la comparaison hors ligne/en ligne.
Options de filtrage pour la comparaison

Vous pouvez limiter le résultat de la comparaison aux groupes de blocs suivants en utilisant
des filtres dans l'éditeur de comparaison :
• Blocs F uniquement avec Compare only F-blocks
• Blocs F pour la réception uniquement avec Compare only F-blocks relevant for certification
• Blocs standard uniquement avec Compare standard blocks only

Vous disposez en outre des deux options de filtre "Afficher uniquement les objets différents"
et "Afficher objets identiques et objets différents" de STEP 7.
Les blocs F dans le dossier "Blocs système" sont également pris en compte pour la
comparaison de programmes de sécurité.
Critères de comparaison
Assurez-vous que seul le critère de comparaison "Safety" est activé sous .
Affectation des modifications affichées

Que vous ayez effectué une comparaison hors ligne/en ligne ou hors ligne/hors ligne, les
modifications suivantes peuvent expliquer les modifications signalées pour les blocs F
générés automatiquement :
• Modification du temps de cycle maximal et de la limite d'alerte du temps de cycle du
groupe d'exécution F
• (S7-1200/1500) Dépassement du temps imparti pour le mode de sécurité désactivé
• Modification des paramètres F de la CPU F
• Version du système Safety modifiée ou modification de la configuration matérielle
(S7-1200/1500 : signalé comme modification du bloc "F_SystemInfo_DB")
• (S7-1200/1500) Modifications dans la structure de groupe des blocs F. Signalé comme
modification du bloc "F_SystemInfo_DB"
• (S7-300/400) Modification de la communication entre groupes d'exécution F, par exemple
modification du numéro d'un DB pour la communication entre groupes d'exécution F
• Modification dans Main Safety Block, FB F, FC F, DB F
• Modification de la configuration matérielle de la périphérie F adressée dans le programme
de sécurité
Il peut arriver qu'un bloc soit signalé comme modifié mais qu'aucune modification
n'apparaisse dans la comparaison détaillée du contenu du bloc. Cela n'est pas un problème
d'affichage, mais signifie que des modifications, par exemple d'adresses dans la table des
variables, ont un impact sur ce bloc. Testez ce bloc en cas de doute.
Documenter le résultat de la comparaison

Vous pouvez imprimer le résultat de la comparaison avec "Projet > Imprimer" dans la barre de
menus ou avec l'icône "Imprimer" de la barre d'outils ou bien générer un fichier PDF.
Sélectionnez "Imprimer objets/plage" "Tout" et "Propriétés" "Tout".
Vérifiez après l'impression que toutes les pages sont bien présentes. Vous ne pouvez pas
utiliser d'impressions incomplètes (par exemple, lignes coupées, manque de toner en cas
d'impression papier) pour une réception des modifications.

10.6 Créer une impression de sécurité

Vous pouvez documenter toutes les données de projet importantes (configuration matérielle
de la CPU F et de la périphérie F, programme de sécurité) dans l'impression de sécurité. Vous
obtenez alors une impression de sécurité qui vous servira, en plus de la documentation, de
base pour vérifier que les composants individuels de l'installation sont corrects. Cette
correction est une condition requise pour la réception de l'installation.
La signature se trouvant dans le bas de page de l'impression assure une affectation univoque
de l'impression à un programme de sécurité.
L'impression de sécurité constitue la documentation des données de projet relatives à la
sécurité sur laquelle vous vous appuierez lors de la réception de l'installation. Dans ce cas,
vous pouvez aussi utiliser la forme électronique de "l'impression" de sécurité, par exemple
comme fichier PDF.
Procédure pour créer une impression de sécurité

Procédez comme suit pour créer une impression de sécurité :
1. Dans le navigateur du projet, sélectionnez l'éditeur Safety Administration Editor de la CPU F
dont vous voulez créer l'impression de sécurité.
2. Sélectionnez "Imprimer" dans le menu contextuel, "Projet > Imprimer" dans la barre de
menus ou l'icône d'impression dans la barre d'outils.
Dans la boîte de dialogue qui s'ouvre, vous pouvez entre autres configurer la mise en page
de l'impression et définir l'étendue de l'impression (tout/sous-ensemble).
3. Sélectionnez l'un des formats ISO, par exemple "DocuInfo_ISO_A4_Portrait", sous
"Informations sur le document".
4. Activez l'option "Tout" si les blocs F et les types de données API conformes F doivent être
représentés dans l'impression. C'est, par exemple, nécessaire pour documenter le code du
programme pour la réception (voir Réception de l'installation (Page 360)). Activez l'option
"Compact" pour ne pas imprimer le code source.
5. Cliquez sur le bouton "Imprimer".
Vous obtenez en résultat l'impression de sécurité pour la CPU F.
Vérifiez après l'impression que toutes les pages sont bien présentes. Vous ne pouvez pas
utiliser d'impressions incomplètes (par exemple, lignes coupées, manque de toner en cas
d'impression papier) pour une réception.

Présentation du contenu de l'impression

Vous trouverez ci-dessous un récapitulatif des thèmes qui figurent dans l'impression :
• Informations générales sur l'identification du programme, les signatures, les versions
logicielles, la protection d'accès, les paramètres du programme de sécurité (provenant de
l'espace de travail "Paramètres" de l'éditeur Safety Administration Editor), par exemple la
version du système Safety
• Éléments de la bibliothèque système utilisés dans le programme de sécurité (provenant de
la Task Card "Instructions") ainsi que leur version
• Informations sur les groupes d'exécution F (par exemple, limite d'alerte du temps de cycle
du groupe d'exécution F, temps de cycle maximal du groupe d'exécution F)
• Liste des blocs F dans le dossier "Blocs de programme" (par exemple, nom, fonction,
groupe d'exécution F associé, signature)
• (S7-1200, S7-1500) Liste des blocs F avec protection du know-how utilisés dans le
programme de sécurité (par exemple, nom, signature, version du système Safety utilisée,
instructions utilisées avec leur version ou blocs F appelés)
• (S7-1200, S7-1500) Liste des types de données API (UDT) conformes F s'il en existe dans le
• Données provenant du programme utilisateur standard qui sont évaluées dans le
• Paramètres de bloc de la communication CPU-CPU de sécurité
• (S7-300, S7-400) Adresses absolues et noms des variables du DB global F auxquelles il est
possible d'accéder à partir du programme utilisateur standard
• Informations sur la CPU F utilisée (par exemple, version du firmware, adresse source F),
informations sur la périphérie F utilisée (par exemple, version du firmware, paramètres
généraux et spécifiques)
• Informations sur l'impression (date d'impression, nombre de pages)
Contenu du pied de page des impressions

Vous pouvez déterminer à partir du pied de page de l'impression :
• si les données de projet relatives à la sécurité imprimées sont cohérentes et si toutes les
pages de l'impression correspondent au même programme de sécurité et à la même
version (la même signature globale F dans le pied de chaque page signifie que
l'impression appartient au programme de sécurité avec cette signature globale F).
Le pied de page n'est ajouté au code source des blocs F que si l'option "Tout" a été
sélectionnée lors de l'impression du programme de sécurité.
Le pied de page est omis si les blocs F sont imprimés par d'autres méthodes et vous ne
pouvez alors plus reconnaître facilement si l'impression de bloc appartient à la version
actuelle du programme de sécurité.

10.7 Tester le programme de sécurité
Imprimer un projet migré

Vous ne pouvez imprimer d'impression de sécurité pour un projet migré de S7 Distributed
Safety V5.4 SP5 que s'il a été compilé avec STEP 7 Safety Advanced et que la nouvelle
structure des programmes de sécurité (Main Safety Block) a donc été appliquée. L'impression
ne sera sinon pas possible et vous recevrez un message d'erreur correspondant.
Nous vous recommandons de générer une impression de sécurité pour votre projet dans S7
Distributed Safety V5.4 SP5 avant la migration.
10.7.1 Vue d'ensemble du test du programme de sécurité
Test fonctionnel complet ou test des modifications

Après la création d'un programme de sécurité, vous devez effectuer un test fonctionnel
complet conformément à votre tâche d'automatisation.
Si des modifications ont été apportées à un programme de sécurité ayant déjà subi un test
fonctionnel complet, il suffit de tester les modifications et l'absence de répercussions sur les
parties inchangées du programme de sécurité.
Visualisation
Des fonctions de test avec lecture (par exemple, visualisation de variables du programme de
sécurité) sont disponibles pour les programmes de sécurité comme pour les programmes
standard.
Forçage
Des fonctions de test avec écriture (par exemple, forçage de variables du programme de
sécurité) ne sont disponibles que de manière limitée pour les programmes de sécurité et
uniquement en mode de sécurité désactivé.
Simulation via S7-PLCSIM

Vous pouvez tester le programme de sécurité avec S7-PLCSIM. Vous utilisez S7-PLCSIM
comme dans le cas des programmes utilisateur standard.
Vous démarrez la simulation avec S7-PLCSIM avec la commande de menu "En ligne >
Simulation > Démarrer"

Règles pour le test

• Le forçage permanent d'entrées et de sorties de périphérie F n'est pas possible.
• Le forçage de sorties de périphérie F en lien avec la fonction "Débloquer sorties de
périphérie F" n'est pas possible.
• La définition de points d'arrêt dans le programme utilisateur standard peut entraîner des
erreurs dans le programme de sécurité (voir aussi Tester le programme de sécurité
(Page 341)).
• Des modifications dans la configuration de la périphérie F ou la communication CPU-CPU
de sécurité ne peuvent être testées qu'après enregistrement et chargement de la
configuration matérielle et après compilation et chargement dans la CPU F.
Voir aussi
Désactiver le mode de sécurité (Page 338)
10.7.2 Mode de sécurité désactivé

Le programme de sécurité s'exécute généralement en mode de sécurité dans la CPU F après
un changement d'état Arrêt/Marche, ce qui signifie que toutes les mesures de suppression
d'erreurs sont activées. Dans ce mode, une modification du programme de sécurité n'est pas
possible durant le fonctionnement (état Marche). Pour pouvoir forcer des variables du
programme de sécurité à l'état Marche par exemple, vous devez désactiver le mode de
sécurité du programme de sécurité. Le mode de sécurité reste désactivé jusqu'au prochain
changement d'état Arrêt/Marche de la CPU F.
Le mode Mode de sécurité désactivé est limité dans le temps pour les CPU F S7-1200/1500 à
partir de la version V2.4 du système Safety.
Une fois la limite de temps écoulée, la CPU F ou le système S7-1500HF redondant passe
automatiquement à l'arrêt. La cause de l'événement de diagnostic est inscrite dans le tampon
de diagnostic de la CPU F.
Vous pouvez éviter un arrêt non planifié de la CPU F à l'expiration de la limite de temps :
• en mettant fin au mode de sécurité désactivé par un changement d'état Arrêt/Marche ciblé
• en réinitialisant le temps imparti restant. La réinitialisation peut intervenir aussi souvent
que nécessaire.
10.7.2.1 Configuration de la durée limitée du mode de sécurité désactivé (S7-1200,

S7-1500)
Introduction
Vous pouvez configurer la durée de la limite de temps.

Conditions
• L'option de désactivation du mode de sécurité "Safety mode can be disabled" est activée
dans l'éditeur Safety Administration Editor.
• La version du système Safety est au moins V2.4.
Procédure pour configurer le temps imparti

Procédez comme suit pour configurer la limite de temps :
1. Ouvrez l'éditeur Safety Administration Editor de la CPU F.
2. Ouvrez la section "Settings (Page 91)" dans la navigation locale.
3. Configurez la limite de temps pour le mode de sécurité sous "Runtime for the deactivated
safety mode". La durée par défaut est de 4 heures. Vous pouvez configurer la limite de
temps entre 1 minute au minimum et 8 heures au maximum.
Remarque
La valeur de temps configurée n'est pas incluse dans la signature globale F.
10.7.2.2 Désactiver le mode de sécurité
Conditions
• L'option de désactivation du mode de sécurité "Safety mode can be disabled" est activée
dans l'éditeur Safety Administration Editor.
• Le projet est chargé dans la CPU F.
• Le CPU F est à l'état de fonctionnement Marche.
• Le programme de sécurité s'exécute en mode de sécurité.

Règles pour la désactivation du mode de sécurité
ATTENTION
Comme il est possible d'apporter des modifications au programme de sécurité à l'état RUN
lorsque le mode de sécurité est désactivé, vous devez tenir compte des points suivants :
• La désactivation du mode de sécurité est prévue à des fins de test, mise en service, etc.
Pendant la désactivation du mode de sécurité, la sécurité de l'installation doit être
assurée par des mesures organisationnelles (Page 617).
Le mode de sécurité doit être réactivé après le test et la mise en service. Pour cela,
exécutez un changement d'état STOP/RUN de la CPU F.
Dans un système S7-1500HF redondant, vous devez faire passer les deux CPU HF ou le
• La désactivation du mode de sécurité doit être signalée.
Vous disposez pour cela de la variable MODE dans le DB global F ("F_GLOBDB".MODE)
pour les CPU F S7-300/400 ou dans le DB d'informations sur le groupe d'exécution F (par
exemple, RTG1SysInfo.F_SYSINFO.MODE) pour les CPU F S7-1200/1500 que vous pouvez
évaluer afin de connaître le mode de fonctionnement (1 = mode de sécurité désactivé).
Ainsi, la désactivation du mode de sécurité sera non seulement affichée dans la boîte de
dialogue de désactivation du mode de sécurité sur la PG/le PC, mais vous pourrez
également visualiser l'information "Disabled safety mode" obtenue par évaluation des
variables mentionnées plus haut grâce à un voyant lumineux commandé par le
programme utilisateur standard ou d'un message transmis à un système de contrôle-
commande.
• La désactivation du mode de sécurité doit pouvoir être constatée. Une consignation est
nécessaire, si possible par enregistrement et éventuellement archivage des notifications
au système de contrôle-commande et, si nécessaire, par des mesures organisationnelles.
Il est en outre recommandé de signaler une désactivation du mode de sécurité sur le
système de contrôle-commande.
• Le mode de sécurité est désactivé à l'échelle de la CPU F. En cas de communication CPU-
CPU de sécurité, vous devez toutefois tenir compte de ce qui suit : Si la CPU F qui envoie
les données est en mode de sécurité désactivé, vous ne pouvez plus être sûr que les
données envoyées par cette CPU F sont générées de manière sûre. Vous devez alors
assurer la sécurité des parties de l'installation affectées par les données envoyées en
prenant des mesures organisationnelles ou bien en fournissant dans la CPU F qui reçoit
les données des valeurs de remplacement de sécurité au lieu des données reçues par
évaluation de SENDMODE*.
* SENDMODE est disponible comme sortie des instructions RCVDP ou RCVS7 ou bien comme
variable dans le DB de communication F en cas de communication par F-Link flexible.
(S027)
Procédure pour désactiver le mode de sécurité

Procédez comme suit pour désactiver le mode de sécurité :
1. Ouvrez l'éditeur Safety Administration Editor de la CPU F correspondante.
2. Ouvrez la section "General (Page 83)" dans la navigation locale.

3. Cliquez sur le bouton "Disable safety mode".

4. Si une protection d'accès est configurée pour la CPU F, saisissez le mot de passe de la CPU F.
5. Assurez-vous que vous désactivez bien le mode de sécurité de la CPU F souhaitée en
vérifiant la signature globale F dans la boîte de dialogue qui s'affiche ensuite.
Cette vérification n'a pas lieu d'être si une protection d'accès est configurée pour la CPU F,
car la CPU F correcte a déjà été identifiée par la saisie de son mot de passe unique.
6. Confirmez la désactivation.
Le mode de sécurité est alors désactivé.
Le temps imparti jusqu'à ce qu'une CPU F S7-1200/1500 passe à l'arrêt démarre
immédiatement après la désactivation du mode de sécurité. Ce temps s'affiche en mode en
ligne dans la section "General (Page 83)" de l'éditeur Safety Administration Editor. Il s'affiche
également sur le serveur Web d'une CPU F S7-1500 à partir de la version de firmware V2.9.
Réinitialiser le temps restant jusqu'à ce que la CPU F passe à l'arrêt

Pour éviter l'expiration du temps restant et donc le passage de la CPU F à l'état Arrêt, vous
pouvez réinitialiser le temps restant dans l'éditeur Safety Administration Editor. Le temps
restant est alors réinitialisé à la valeur configurée et recommence immédiatement à s'écouler.
1. Ouvrez l'éditeur Safety Administration Editor de la CPU F correspondante.
2. Ouvrez la section "General (Page 83)" dans la navigation locale.
3. Cliquez sur le bouton "Reset remaining runtime".
4. Si une protection d'accès est configurée pour la CPU F, saisissez le mot de passe de la CPU F.
5. Vérifiez les informations sur la signature globale F dans la boîte de dialogue qui s'affiche
ensuite.
6. Confirmez la réinitialisation du temps restant.
Remarque
Le temps restant est également indiqué dans la variable MODE_REMAINING_TIME du DB
d'informations (Page 152) du groupe d'exécution F correspondant.
Dans le cas de deux groupes d'exécution F, des valeurs différentes peuvent s'afficher à cause
d'instants d'actualisation différents.
À l'expiration du temps restant, ce n'est pas la valeur "0" qui s'affiche mais le temps restant
encore disponible dans le dernier cycle.

Activer le mode de sécurité
Remarque
Un changement d'état Arrêt/Marche de la CPU F est nécessaire pour activer le mode de
sécurité.
Dans un système S7-1500HF redondant, vous devez faire passer les deux CPU HF ou le
Un changement d'état Arrêt/Marche de la CPU F active toujours le mode de sécurité, et ce
même si le programme de sécurité a été modifié ou n'est pas cohérent.
La CPU F peut repasser à l'état Arrêt si vous avez modifié votre programme de sécurité mais
que vous ne l'avez pas recompilé et rechargé.
Évaluer le mode Mode de sécurité / Mode de sécurité désactivé

Si vous souhaitez évaluer le mode Mode de sécurité/Mode de sécurité désactivé dans le
programme de sécurité, vous pouvez évaluer la variable "MODE" dans le DB global F
(Page 152) pour les CPU F S7-300/400 ou le DB d'informations sur le groupe d'exécution F
pour les CPU F S7-1200/1500 (1 = mode de sécurité désactivé). Vous accédez à cette variable
en indiquant son chemin complet (par exemple, "F_GLOBDB".MODE ou RTG1SysInfo.MODE).
Vous pouvez utiliser cette évaluation, par exemple, pour passiver la périphérie F lorsque le
programme de sécurité se trouve en mode de sécurité désactivé. Affectez pour cela la
variable "MODE" du DB global F ou du DB d'informations sur le groupe d'exécution F à toutes
les variables "PASS_ON" dans les DB de la périphérie F que vous souhaitez passiver.
ATTENTION
La variable "MODE" dans le DB global F ou le DB d'informations sur le groupe d'exécution F

est évaluée même lorsque le programme de sécurité est en mode de sécurité désactivé.
Même lorsque la périphérie F est passivée en mode de sécurité désactivé suite à l'évaluation
de la variable "MODE", la sécurité de l'installation doit être assurée durant la désactivation
du mode de sécurité par des mesures organisationnelles (Page 617). (S028)
Voir aussi
Configuration de la durée limitée du mode de sécurité désactivé (S7-1200, S7-1500)
(Page 337)
10.7.3 Tester le programme de sécurité
Introduction
La visualisation de variables du programme de sécurité est possible à tout moment.

Le forçage de variables du programme de sécurité n'est possible qu'en mode de sécurité

désactivé, car certaines mesures de suppression d'erreurs du programme de sécurité doivent
être désactivées pour cela.
Vous pouvez forcer les variables suivantes du programme de sécurité :
• Entrées et sorties de périphérie F (valeurs de voie et états de valeur (S7-1200, S7-1500))
• Variables dans les DB globaux F (excepté le DB pour la communication entre groupes
d'exécution F)
• Variables dans les DB d'instance des FB F
• Variables dans les DB de périphérie F (voir DB de périphérie F (Page 162) pour les variables
autorisées)
Procédure pour la visualisation de variables du programme de sécurité

Visualisez les variables souhaitées du programme de sécurité à partir d'une table de
visualisation ouverte ou de l'éditeur de programme (visualisation d'état du programme).
1. Procédez comme dans le système standard. Vous trouverez plus d'informations à ce sujet
sous "Test du programme utilisateur" dans l'aide de STEP 7.
Procédure pour le forçage de variables du programme de sécurité

Forcez les variables souhaitées du programme de sécurité à partir d'une table de visualisation
ouverte :
1. Pour le forçage, désactivez le mode de sécurité (Page 338) dans la boîte de dialogue qui
s'affiche automatiquement.
2. Mettez fin aux tâches de forçage existantes une fois le test achevé avant d'activer le mode
de sécurité.
Les valeurs dans les DB F peuvent uniquement être forcées en ligne dans la CPU F. SI la valeur
doit également être modifiée hors ligne, vous devez le faire en éditant la valeur initiale hors
ligne et en compilant le programme de sécurité.
Procédez comme suit pour forcer des variables de périphérie F :
1. Créez une ligne distincte pour chaque valeur de voie et état de la valeur à forcer (S7-1200,
S7-1500). La valeur de forçage doit correspondre à la valeur de voie ou à l'état de la valeur.
2. Paramétrez "Début du cycle" ou "Fin du cycle" et "permanent" ou "unique" comme point de
déclenchement.
Quel que soit le point de déclenchement configuré, les tâches de forçage d'entrées (MIE)
de périphérie F sont toujours activées avant le traitement du Main Safety Block et les
tâches de forçage de sorties (MIS) de périphérie F sont toujours activées après le
traitement du Main Safety Block.
3. (S7-300, S7-400) Créez une table de visualisation supplémentaire si vous voulez forcer plus
de 5 entrées/sorties.

Remarque
Le forçage de la périphérie F est possible uniquement à l'état Marche de la CPU F.
Il n'est pas possible de forcer une périphérie F configurée dont aucune valeur de voie ou état
de la valeur (S7-1200, S7-1500), ni aucune variable du DB de périphérie F correspondant
n'ont été utilisés dans le programme de sécurité. Vous devez donc toujours utiliser dans votre
programme de sécurité au moins une variable du DB de périphérie F correspondant ou au
moins une valeur de voie ou un état de la valeur (S7-1200, S7-1500) de la périphérie F à
forcer.
Pour les entrées (MIE), les tâches de forçage sont prioritaires par rapport à la sortie de valeur
de remplacement ; pour les sorties (MIS), la sortie de valeur de remplacement est prioritaire
par rapport aux tâches de forçage. Pour les sorties (voies) qui ne sont pas activées dans les
propriétés de la périphérie F, les tâches de forçage affectent la MIS uniquement et pas la
périphérie F.
Remarque
Pour éviter des combinaisons invalides de valeur de voie et d'état de la valeur :
• En cas de forçage d'une valeur de voie à une valeur différente de la valeur de
remplacement "0", le système F met automatiquement l'état de la valeur correspondant à
"1".
• En cas de forçage d'un état de la valeur à "0", la valeur de remplacement "0" est
automatiquement transmise pour la valeur de voie correspondante.
ATTENTION
Vous devez réinitialiser de manière ciblée les tâches de forçage permanent dans la table de
visualisation en mode de sécurité désactivé.
Tenez compte du fait que les tâches de forçage permanent qui n'ont pas été correctement
réinitialisées peuvent encore être actives en arrière-plan après un changement d'état
STOP/RUN de la CPU F.
Comme la CPU F se retrouve en mode de sécurité après un changement d'état STOP/RUN,
ces tâches ne sont toutefois plus en vigueur et ne sont plus affichées dans la table de
visualisation.
Elles redeviennent cependant actives dès que vous désactivez à nouveau le mode de
sécurité.
Un effacement général de la CPU F garantit qu'une tâche de forçage permanent n'est pas
active en arrière-plan sur la CPU F. (S029)
Test de câblage avec la table de visualisation

Pour effectuer le test de câblage d'une entrée, modifiez un signal d'entrée et contrôlez si la
nouvelle valeur parvient dans la MIE.

Pour effectuer le test de câblage d'une sortie, modifiez la sortie en la forçant et contrôlez si
l'actionneur souhaité réagit.
Lors du test de câblage, veillez à ce que la CPU F exécute un programme de sécurité qui utilise
au moins une valeur de voie ou un état de la valeur (S7-1200, S7-1500) de la périphérie F à
visualiser ou à forcer ou une variable du DB de périphérie F correspondant.
Dans le cas d'une périphérie F pouvant également être mise en œuvre comme périphérie
standard (par exemple, modules de signaux de sécurité S7-300), vous pouvez également
effectuer le test de câblage des sorties par forçage à l'état Arrêt en exploitant la périphérie F
non pas en mode de sécurité mais comme périphérie standard.
Règles supplémentaires pour le test (S7-300/400/1500)

La définition de points d'arrêt dans le programme utilisateur standard provoque des erreurs
dans le programme de sécurité :
• Expiration de la surveillance du temps de cycle F
• Erreur lors de la communication avec la périphérie F
(S7-1500) Les modules de sécurité passent en état de sécurité à l'expiration du temps de
surveillance F configuré.
• Erreur lors de la communication CPU-CPU de sécurité
• Erreur CPU interne
Si vous voulez quand même utiliser des points d'arrêt pour le test, vous devez d'abord
désactiver le mode de sécurité. Cela entraînera les erreurs suivantes :
• Erreur lors de la communication avec la périphérie F
• Erreur lors de la communication CPU-CPU de sécurité
Différence entre CPU F S7-1500 et CPU F S7-300/400 :
• Si un point d'arrêt est activé et atteint, la CPU F passe directement à l'état Arrêt après l'état
Attente.
• Si vous voulez repasser à l'état Marche après l'état Attente pour continuer à tester votre
programme utilisateur standard, vous pouvez simuler cela avec S7-PLCSIM.
Aucune protection d'accès n'est initialement nécessaire aux fins de test, mise en service, etc.
Cela signifie que vous pouvez exécuter des actions hors ligne et en ligne sans protection
d'accès, c'est-à-dire sans demande du mot de passe.
Voir aussi
Modifier le programme de sécurité à l'état Marche (S7-300, S7-400) (Page 349)
Charger les données de projet (Page 300)

10.7.4 Tester le programme de sécurité avec S7-PLCSIM

Vous pouvez tester votre programme de sécurité avec votre programme utilisateur standard
sur une CPU simulée à l'aide de S7-PLCSIM sans avoir besoin de matériel. Tenez également
compte de l'avertissement S030 sous "Remarques relatives au mode de sécurité du
programme de sécurité (Page 384)".
Vous utilisez S7-PLCSIM pour les systèmes F SIMATIC Safety comme pour les systèmes
standard S7. Veuillez toutefois tenir compte des particularités suivantes.
Mode Mode de sécurité / Mode de sécurité désactivé

Nous vous recommandons de tester votre programme de sécurité en mode de sécurité pour
détecter dès la phase de test de votre programme de sécurité dans S7-PLCSIM si la CPU F
passe à l'arrêt, par exemple, parce que les résultats d'instructions se situent hors de la plage
admissible pour le type de données.
Les simulations suivantes ne peuvent être exécutées qu'en mode de sécurité désactivé dans
S7-PLCSIM tout comme dans une CPU F réelle :
• Forçage de variables dans des DB F et des DB de périphérie F
(S7-1200, S7-1500) Pour éviter un forçage accidentel de variables dans les DB F et les DB de
périphérie F en mode de sécurité, nous vous conseillons de ne pas sélectionner le bouton
"Activer/désactiver le forçage des non-entrées" dans S7-PLCSIM.
La surveillance du temps de cycle maximal et de la limite d'alerte du temps de cycle du
groupe d'exécution F (S7-1200, S7-1500) est désactivée pendant la simulation avec S7-
PLCSIM.
Différences entre CPU F simulée et réelle

Notez que S7-PLCSIM ne se comporte pas entièrement comme une CPU F jusque dans les
moindres détails. En particulier, le comportement au démarrage d'une périphérie F ne peut
pas être reproduit exactement.
Simulation d'entrée de la périphérie F
Simulation des entrées (valeurs de voie) dans S7-PLCSIM :

Vous simulez les entrées (valeurs de voies) de la périphérie F dans S7-PLCSIM comme des
entrées (valeurs de voie) de la périphérie standard. Veuillez toutefois tenir compte des
remarques et restrictions suivantes :
Lors du passage de la CPU F de l'état de fonctionnement "STOP" à l'état "RUN" dans S7-
PLCSIM, toutes les entrées (valeurs de voie) de la périphérie F sont mises à 0 dans la mémoire
image des entrées (MIE).
Les entrées (valeurs de voie) peuvent être simulées à partir du 2e cycle et sont ensuite
disponibles dans la MIE.

Simulation des entrées (état de la valeur) dans S7-PLCSIM :

(S7-1200, S7-1500) La simulation des entrées (état de la valeur) de la périphérie F permet de
simuler l'apparition et la disparition d'erreurs de périphérie F/de voie. Veuillez toutefois tenir
compte des remarques et restrictions suivantes :
• Pour simuler le comportement de la périphérie F de manière réaliste, vous devez tenir
compte du couplage entre valeur de voie et état de la valeur dans la périphérie F réelle. La
combinaison état de la valeur = 0 et valeur de voie <> valeur de remplacement (0) est
invalide et peut entraîner une simulation qui diverge du comportement de la CPU F réelle.
• Lors du passage de la CPU F de l'état de fonctionnement "STOP" à l'état "RUN" dans S7-
PLCSIM, toutes les entrées (état de la valeur) de la périphérie F sont mises à 1 dans la
mémoire image des entrées (MIE). Vous pouvez ainsi commencer immédiatement avec la
simulation des entrées (valeurs de voie) même sans simulation des entrées (état de la
valeur).
• La simulation des entrées (état de la valeur) dans S7-PLCSIM n'a aucune influence sur les
variables QBAD et PASS_OUT dans le DB de périphérie F. Notez que dans la périphérie F
réelle, QBAD et PASS_OUT peuvent être = 1 dès que l'état de la valeur d'au moins une voie
de la périphérie F est 0. (voir les variables du DB de périphérie F :
PASS_OUT/QBAD/QBAD_I_xx/QBAD_O_xx et état de la valeur (Page 169)).
• Pour une périphérie F configurée avec "Comportement après des erreurs de voie" =
"passivation de l'ensemble de la périphérie F", utilisez la variable PASS_ON dans le DB de
périphérie F pour simuler la passivation de l'ensemble de la périphérie F lors d'erreurs de
périphérie F/de voie. Si vous passivez uniquement des entrées individuelles lors de la
simulation (valeur de voie et état de la valeur), la simulation ne se comporte pas comme la
CPU F réelle.
• Pour une périphérie F sans état de la valeur, vous pouvez également utiliser la variable
PASS_ON dans le DB de périphérie F pour simuler la passivation de l'ensemble de la
périphérie F en cas d'erreurs de périphérie F/de voie.
• Pour la simulation d'une erreur de périphérie F/de voie du SM 336 ; AI 6 x 13bit ou du SM
336 ; F-AI 6 x 0/4...20 mA HART avec la configuration "Réaction aux erreurs de voie" =
"Passivation de la voie", vous devez simuler les entrées (valeurs de voie) avec 7FFFH (pour
débordement haut) ou 8000H (pour débordement bas).
• Pour une périphérie F qui ne prend pas en charge le profil "RIOforFA-Safety", après le
passage de l'état de la valeur de 0 à 1 ou après le passage de la valeur de voie de
7FFFH/8000H à une valeur différente de 7FFFH/8000H (voir ci-dessus), et si la variable
ACK_NEC du DB de périphérie F est paramétrée à 1, vous devez effectuer un acquittement
utilisateur avec un front montant sur la variable ACK_REI du DB de périphérie F, aux fins de
la dépassivation, comme pour une périphérie standard. Dans tous les autres cas, la
dépassivation est automatique contrairement à ce qui se passe dans la périphérie F réelle.
Heures d'actualisation
Tenez compte du fait que l'état des entrées (valeurs de voie ou état de la valeur
(S7-1200/1500)) que vous visualisez dans la table SIM dans S7-PLCSIM ne correspond à l'état
qui est traité dans le programme de sécurité que s'il n'y a pas de passivation de la périphérie F
correspondante.
En cas de passivation de la périphérie F, le programme de sécurité opère avec des valeurs de
remplacement (valeur de voie et état de la valeur (S7-1200/1500) = 0).

Communication CPU-CPU avec les instructions SENDDP/RCVDP

Le paragraphe suivant concerne les instructions SENDDP/RCVDP (S7-300/400) et les
instructions SENDDP/RCVDP de version < 3.0 (S7-1200/1500) :
Il n'est pas possible de simuler une communication entre CPU F avec les instructions SENDDP
et RCVDP dans S7-PLCSIM. Vous pouvez toutefois utiliser les instructions SENDDP et RCVDP
conjointement avec S7-PLCSIM. Pendant la simulation dans S7-PLCSIM, l'instruction RCVDP
transmet les valeurs de remplacement appliquées à ses entrées SUBBO_xx et SUBI_xx
((S7-1200/1500) ou bien SUBDI_00). Les instructions SENDDP et RCVDP signalent cela en
mettant la sortie SUBS_ON à 1.
Les points suivants concernent les instructions SENDDP/RCVDP de version >= 3.0
(S7-1200/1500) :
Pendant la simulation avec S7-PLCSIM, il est possible de simuler les données reçues et
l'information "Mode de sécurité désactivé" (RCVDP) ou l'information "Sortie de valeur de
remplacement" (SENDDP) dans la zone de transfert correspondante pour les entrées. Tenez
compte des remarques suivantes :
• Les valeurs simulées ne deviennent actives que lorsque vous mettez le bit SIMULATION à 1
dans le mot de commande de simulation correspondant (voir le tableau suivant) pour la
première fois après le démarrage du système F. Avant la mise à 1 du bit SIMULATION,
l'instruction RCVDP transmet les valeurs de remplacement appliquées à ses entrées
SUBBO_xx et SUBI_yy (ou bien SUBDI_00).
• La mise à 1 du bit SEND_MODE dans le mot de commande de simulation entraîne la mise
à 1 de la sortie SENDMODE pour l'instruction RCVDP.
• La mise à 1 du bit STATUS_SUBS dans le mot de commande de simulation entraîne la mise
à 1 de la sortie SUBS_ON pour l'instruction SENDDP.
• Les bits réservés dans le mot de commande de simulation doivent toujours être à 0.
• Les valeurs simulées en dernier dans la zone de transfert pour les entrées sont conservées
en cas de changement d'état Arrêt/Marche de S7-PLCSIM.
Vous trouverez les adresses de début des zones de transfert configurées pour les données de
sortie et d'entrée dans la configuration correspondante (voir aussi "Configurer et programmer
la communication (S7-1200, S7-1500) (Page 254)").

Tableau 10- 1 Structure de la zone de transfert pertinente pour les entrées et du mot de commande de simulation (instruc-
tion RCVDP)
Octet Signification Remarque

0 RD_BO_15 … RD_BO_08
1 RD_BO_07 … RD_BO_00
DINTMODE = 0 :
2 RD_I_00 Mot RD_I_00, MSB1) d'abord
3
4 RD_I_01 Mot RD_I_01, MSB1) d'abord
5
Ou bien DINTMODE = 1 :
2 RD_DI_00 Mot de poids fort de RD_DI_00, MSB1) d'abord
3
4 Mot de poids faible de RD_DI_00 XOR 0x8000, MSB1) d'abord
5
6 Mot de commande de simulation Bits 0…6 : réservés

(octet de poids fort) Bit 7 : SIMULATION : activer la simulation RCVDP
7 Mot de commande de simulation Bit 0 : SEND_MODE : mettre la sortie SENDMODE à 1
(octet de poids faible) Bits 1…7 : réservés
8 … 11 réservés
1) MSB : bit de poids fort
Tableau 10- 2 Structure de la zone de transfert pertinente pour les entrées et du mot de commande de simulation (instruc-
tion SENDDP)
Octet Signification Remarque

0 Mot de commande de simulation Bit 0 : STATUS_SUBS : mettre la sortie SUBS_ON à 1
(octet de poids fort) Bits 1…6 : réservés
Bit 7 : SIMULATION : activer la simulation SENDDP
1 Mot de commande de simulation Bits 0…7 : réservés
(octet de poids faible)
2…5 réservés
(S7-300, S7-400) Communication CPU-CPU avec les instructions SENDS7/RCVS7

Il n'est pas possible de simuler une communication entre CPU F avec les instructions SENDS7
et RCVS7 dans S7-PLCSIM. Vous pouvez toutefois utiliser les instructions SENDS7 et RCVS7
conjointement avec S7-PLCSIM.
Pendant la simulation dans S7-PLCSIM, l'instruction RCVS7 transmet les valeurs initiales
indiquées dans le DB de communication comme valeurs de remplacement. Les instructions
SENDS7 et RCVS7 signalent cela en mettant la sortie SUBS_ON à 1.

Communication CPU-CPU avec Flexible F-Link

Tenez compte de l'avertissement suivant lors de la simulation d'une communication entre
CPU F avec Flexible F-Link.
ATTENTION
Si, lors d'une communication CPU-CPU de sécurité avec Flexible F-Link, des données sont
émises d'une CPU F simulée avec S7-PLCSIM, vous ne pouvez plus être sûr que ces données
sont générées de manière sûre. Vous devez alors assurer la sécurité des parties de
l'installation affectées par les données envoyées en prenant des mesures organisationnelles
(Page 617) ou bien en fournissant dans la CPU F qui reçoit les données des valeurs de
remplacement de sécurité au lieu des données reçues par évaluation de SENDMODE*.
* SENDMODE est disponible comme variable dans le DB de communication F.
(S086)
Programme de sécurité incohérent (S7-1200, S7-1500)

Le fait que la CPU passe à l'arrêt dans S7-PLCSIM avec l'entrée de diagnostic "Programme de
sécurité : incohérent" signifie que la CPU F n'est pas encore correctement initialisée dans
S7-PLCSIM. Effectuez un effacement général de la CPU F dans S7-PLCSIM et rechargez le
programme dans la CPU dans S7-PLCSIM.
10.7.5 Modifier le programme de sécurité à l'état Marche (S7-300, S7-400)
Introduction
Vous apportez des modifications aux blocs F hors ligne dans l'éditeur de programme de la
même manière que dans le système standard. Vous chargez les blocs F modifiés à l'état
Marche dans la CPU F en mode de sécurité désactivé (Page 338).
Remarque
Reportez-vous à Créer des blocs F en CONT/LOG (Page 148) si vous ne souhaitez pas
modifier le programme de sécurité en cours de fonctionnement.

Procédure pour modifier le programme de sécurité à l'état Marche

Procédez comme suit pour modifier le programme de sécurité :
1. Modifiez le Main Safety Block/FB F et son DB d'instance, FC F ou DB F associé dans l'éditeur
de programme.
2. Chargez le ou les blocs F modifiés dans la CPU F (voir la procédure sous Charger les données
de projet (Page 300)). Le programme complet est alors automatiquement compilé.
3. Si le mode de sécurité est actif, vous serez invité à le désactiver et à saisir le mot de passe du
programme de sécurité dans la boîte de dialogue "Load preview".
Remarque
Lors du chargement en mode de sécurité désactivé, vous pouvez uniquement charger des
blocs de sécurité que vous avez créés vous-même (Main Safety Blocks, FB F, FC F, DB F) ou
des blocs standard et les DB d'instance associés. La CPU F peut passer à l'arrêt ou le mode
de sécurité peut s'activer si vous chargez des blocs F ajoutés automatiquement (SB F ou
blocs F générés automatiquement et DB d'instance associés, DB global F).
Nous vous conseillons donc de ne sélectionner que des blocs F individuels lors du
chargement en mode de sécurité désactivé.
Ordre lors du chargement de modifications

Des modifications du programme de sécurité à l'état Marche en mode de sécurité désactivé
peuvent, par exemple, modifier l'état des actionneurs suite à des changements du
programme.
Après des modifications, chargez d'abord le programme de sécurité, puis la fonction du
programme utilisateur standard surveillée par le programme de sécurité.
Restrictions pour la communication CPU-CPU de sécurité

Vous ne pouvez pas établir de nouvelle communication CPU-CPU de sécurité au moyen de
nouvelles instructions SENDDP/RCVDP ou SENDS7/RCVS7 en cours de fonctionnement (état
Marche).
Pour établir une nouvelle communication CPU-CPU de sécurité, vous devez, après l'insertion
d'une nouvelle instruction SENDDP, SENDS7, RCVDP ou RCVS7, charger le programme de
sécurité correspondant de manière cohérente dans la CPU F à l'état Arrêt.
Restrictions pour la communication entre groupes d'exécution F

Vous ne pouvez pas modifier la communication de sécurité entre groupes d'exécution F en
cours de fonctionnement (état Marche). Cela signifie que vous ne pouvez pas affecter,
supprimer ou modifier de DB pour la communication entre groupes d'exécution F d'un groupe
d'exécution F.
Après des modifications de la communication entre groupes d'exécution F, vous devez
toujours charger le programme de sécurité de manière cohérente dans la CPU F à l'état Arrêt.

Restrictions pour les accès à la périphérie F

Si vous insérez en cours de fonctionnement (état Marche) un accès à une périphérie F dont
aucune valeur de voie ni variable du DB de périphérie F correspondant n'a encore été utilisée
dans le programme de sécurité, l'accès à la périphérie F ne prendra effet que lorsque vous
aurez chargé le programme de sécurité de manière cohérente dans la CPU F.
Modification du programme utilisateur standard

Vous pouvez charger des modifications du programme utilisateur standard dans la CPU F à
l'état Marche que le mode de sécurité soit activé ou désactivé.
ATTENTION
sécurité). (S001)
Procédure pour appliquer des modifications au programme de sécurité

Lorsque vous chargez des blocs F individuels dans la CPU F en cours de fonctionnement (état
Marche), les blocs système F (SB F) et les blocs F générés automatiquement ne sont ni
actualisés ni chargés de sorte que le programme de sécurité dans la CPU F devient
incohérent. Procédez comme suit pour appliquer les modifications au programme de
sécurité :
1. Chargez le programme de sécurité de manière cohérente dans la CPU F et faites passer la
CPU F à l'état Arrêt puis Marche pour activer le mode de sécurité (voir la procédure sous
Charger les données de projet (Page 300)).
2. Suivez les étapes décrites sous Réception de modifications (Page 379).
10.7.6 Modifier le programme de sécurité à l'état Marche (S7-1200, S7-1500)
Introduction
Vous apportez des modifications aux blocs F hors ligne dans l'éditeur de programme de la
même manière que dans le système standard. Le chargement en RUN des blocs F modifiés
sur la CPU F s'effectue en mode de sécurité désactivé (Page 338) avec le mode Fast
Commissioning.
Le mode Fast Commissioning fait une distinction entre "Fast Compile" (paramétrage par
défaut) et "Consistent Compile".

Le mode Fast Commissioning avec "Fast Compile" peut être utilisé pour de petites
modifications logicielles du programme de sécurité, par exemple à des fins de test et de mise
en service. Il permet une compilation rapide, car seuls les blocs F créés par l'utilisateur y sont
compilés.
Le mode Fast Commissioning avec "Consistent Compile" peut quant à lui être utilisé par
exemple à la fin de la mise en service pour la compilation cohérente du programme de
sécurité et son chargement cohérent sur la CPU F. Vous renoncez alors à l'avantage d'une
compilation rapide, mais êtes en mesure, après le chargement dans la CPU F, de réactiver
immédiatement le mode de sécurité après un rapide passage de STOP à RUN.
Remarque
Ne commutez pas la CPU F en mode Fast Commissioning avec "Fast Compile" à l'état STOP.
Sinon, la CPU F ne redémarre pas car elle contient un programme de sécurité incohérent.
Solution :
• Chargez un programme de sécurité cohérent dans la CPU F puis effectuez un passage de
STOP à RUN. Le mode de sécurité désactivé prend alors fin.
• Si votre CPU F prend en charge "Consistent Compile", sélectionnez "Consistent Compile" et
effectuez un chargement cohérent dans la CPU F. Un passage de STOP à RUN est ensuite
possible.
Remarque
Le comportement du mode Fast Commissioning avec "Fast Compile" avec S7-PLCSIM est
différent de son comportement avec la CPU F réelle.
Une S7-PLCSIM redémarre après un STOP.
Conditions
Pour activer et utiliser le mode Fast Commissioning, les conditions suivantes doivent être
remplies :
• Vous pouvez utiliser le mode Fast Commissioning avec "Fast Compile" à partir de la version
V2.4 du système Safety. Pour les CPU F S7-1200, il est disponible à partir du firmware V4.5
et pour les CPU F S7-1500, à partir du firmware V2.0.
• Vous pouvez utiliser le mode Fast Commissioning avec "Consistent Compile" à partir de la
version V2.5 du système Safety. Il est uniquement disponible pour les CPU F S7-1500, à
partir du firmware V3.0. Pour le contrôleur logiciel S7-1500 F, il n'est disponible à partir de
la version V2.5 du système Safety que pour des IPC validés à partir du firmware V30.0.
Remarque
Contrôleur logiciel S7-1500 F
Les IPC validés sont indiqués dans le tableau dans l' information produit des CPU F
En cas d'utilisation d'IPC non validés, une erreur est signalée au redémarrage du
contrôleur logiciel F. Le téléchargement doit être recommencé ensuite à l'état STOP.

• L'option "Safety mode can be disabled" (le mode Safety peut être désactivé) doit être
activée dans la zone "Settings" (Paramètres) de l'éditeur Safety Administration Editor.
• Le programme de sécurité hors ligne doit être cohérent et identique au programme de
sécurité en ligne.
Activer le mode Fast Commissioning

Pour activer le mode Fast Commissioning, cliquez sur le bouton "Activate Fast
Commissioning" dans la section "General" de l'éditeur Safety Administration Editor.
"Fast Compile" est sélectionné par défaut.
Dès que le mode Fast Commissioning avec "Fast Compile" est activé, le comportement de
compilation des modifications (menu contextuel "Compiler > Logiciel (uniquement
modifications)" et "Compiler > Matériel et logiciel (uniquement modifications)") est changé
en comportement de compilation des modifications en mode Fast Commissioning avec "Fast
Compile".
Dès que vous passez au paramétrage "Consistent Compile", vous pouvez également effectuer
une compilation cohérente et un chargement en RUN dans la CPU F.
Remarque
Une fois le mode Fast Commissioning activé, toutes les sections sont grisées dans l'éditeur
Safety Administration Editor à l'exception de la section "General". Les accès en écriture ne
sont pas autorisés dans l'éditeur Safety Administration Editor même via Openness. L'accès en
lecture reste possible.
Pendant que le mode Fast Commissioning avec "Fast Compile" est activé, l'éditeur Safety
Administration Editor affiche pour l'état du programme de sécurité l'information "Mode Fast
Commissioning activé".
Aucune signature n'est calculée en mode Fast Commissioning avec "Fast Compile". C'est
pourquoi il n'est pas possible de se prononcer dans ce mode sur l'état du programme de
sécurité et des blocs F en ce qui concerne la comparaison hors ligne et en ligne. L'état des
comparaisons de signatures est représenté dans ce cas par l'icône .
Chargement de modifications en mode Fast Commissioning

Les trois conditions suivantes doivent être remplies pour charger des modifications du
programme de sécurité dans la CPU F à l'état Marche en mode Fast Commissioning :
• Le mode de sécurité est désactivé.
• Le mode Fast Commissioning est activé.

Si au moins une ces 3 conditions n'est pas remplie, la boîte de dialogue "Chargement" indique
que le chargement en RUN n'est pas possible.
Remarque
Si la connexion entre la PG/le PC et la CPU F est coupée pendant le chargement à l'état
Marche, le chargement dans la CPU F ne peut pas s'achever correctement. Les informations
relatives au programme de sécurité affichées à l'écran ou dans le serveur Web de la CPU F ne
sont également plus à jour.
Un nouveau chargement à l'état Marche n'est alors plus possible même si toutes les
conditions pour le mode Fast Commissioning sont remplies.
Solution : Faites passer la CPU F à l'état Arrêt et chargez un programme de sécurité cohérent
dans la CPU F.
Remarque
Si l'utilisation de la mémoire de travail de la CPU F est > 80 %, il peut arriver que le
chargement en RUN avec "Consistent Compile" s'interrompe et que le chargement dans la
CPU F ne se termine pas correctement. Les indications concernant le programme de sécurité
sur l'écran et dans le serveur web de la CPU F ne sont alors plus actuelles.
Un chargement ultérieur en RUN n'est plus possible, bien que toutes les conditions pour le
mode Fast Commissioning soient remplies.
Solution : Commutez la CPU F en STOP et chargez un programme de sécurité cohérent dans la
CPU F.
Modifications prises en charge en mode Fast Commissioning

Vous ne pouvez pas modifier votre programme de sécurité à votre gré lorsque le mode Fast
Commissioning est activé. Voici une vue d'ensemble des modifications prises en charge :
• Modifications de FB F/FC F/DB F. Voir les exceptions sous "Modifications non prises en
charge".
• Modifications de types de données API conformes F. Voir les exceptions sous
"Modifications non prises en charge".
• Modifications du programme utilisateur standard qui ont un impact sur le programme de
sécurité, par exemple DB utilisés à la fois dans le programme utilisateur standard et dans
• Création et utilisation de blocs F. Voir les exceptions sous "Modifications non prises en
charge".

Modifications non prises en charge dans le mode Fast Commissioning avec "Fast Compile"
Lorsque le mode Fast Commissioning avec "Fast Compile" est activé, vous ne pouvez pas
modifier votre programme de sécurité à volonté. Les modifications non prises en charge
sont décrites ci-après.
Type de modification Réaction système

Toute modification de la configuration matérielle STOP nécessaire pour le chargement
dans la CPU F.
Modification dans un FB F/une FC F :
• Insertion d'un nouvel appel d'une instruction à traitement Erreur de compilation
temporel (par exemple, TON, TOF, TP, MUT_P…) ou d'une
instruction ACK_OP/ACK_GL (Le reparamétrage des valeurs
de temporisation en cas d'appel est possible.)
• Insertion d'un nouvel appel d'une instruction

SENDDP/RCVDP
• Insertion d'un nouvel accès à une périphérie F (accès à une

variable du DB de périphérie F ou à la mémoire image du
processus) qui n'était jusque-là pas utilisée dans le groupe
d'exécution F
• Insertion d'un nouvel accès à une communication avec

Flexible F-Link (accès à une variable du DB de communica-
tion F) qui n'était jusque-là pas utilisée dans le groupe
d'exécution F.
Suppression dans un FB F/une FC F :
• Suppression de l'appel d'une instruction à traitement tem- Erreur de compilation lorsque les
instances sont également supprimées
porel (par exemple, TON, TOF, TP, MUT_P…) ou d'une ins-
truction ACK_OP/ACK_GL
• Suppression de l'appel d'une instruction SENDDP/RCVDP Erreur de compilation
• Suppression du dernier accès à une périphérie F (accès à

une variable du DB de périphérie F ou à la mémoire image
du processus) de sorte que celle-ci n'est plus utilisée dans
le groupe d'exécution F
• Suppression d'un dernier accès à une communication avec

Flexible F-Link (accès à une variable du DB de communica-
tion F) de sorte que celle-ci n'est plus utilisée dans le
Suppression d'un FB F ou d'une FC F si l'appel a eu lieu avant Erreur de compilation
l'activation du mode Fast Commissioning. La suppression d'un
appel est en revanche possible.
Suppression d'un DB F si des variables de ce DB F ont déjà été Erreur de compilation
utilisées avant l'activation du mode Fast Commissioning
Suppression d'un DB standard si des variables de ce DB ont Erreur de compilation
déjà été utilisées en lecture avant l'activation du mode Fast
Commissioning
Suppression d'une variable du programme utilisateur standard Erreur de compilation
si elle a déjà été utilisée en lecture avant l'activation du mode
Fast Commissioning


Modifications de la structure de types de données API con- Erreur de compilation
formes F référencés dans une communication Flexible F-Link
Création de types de blocs de bibliothèque Erreur de compilation
Ajout/suppression :
• d'OB F Erreur de compilation
• de communications Flexible F-Link Verrouillage dans l'éditeur Safety

• de groupes d'exécution F (modifications incluses)
• de liaisons F-CD/F-MS (modifications incluses)

Insertion d'un FB F/FC F (p. ex. d'une bibliothèque ou d'une Erreur de compilation
autre CPU F) avec accès global à un DB F.
Modification de la version d'instruction dans la Task Card "Ins- Erreur de compilation
tructions"
Création et modification de profils d'instruction
Chargement d'un programme de sécurité compilé en mode Verrouillage par chargement de la
Fast Commissioning de la CPU F dans la PG/le PC station de l'appareil
Modifications dans la section "Settings" de l'éditeur Safety Verrouillage dans l'éditeur Safety
Administration Editor Administration Editor
Modification du mot de passe pour le programme de sécurité
Changement de nom de l'OB F Erreur lors du chargement
Toute modification avec Openness. (espace de noms Refusée avec une exception.
SafetyAdministration)
Remarque
Pour les modifications avec la mention "Erreur de compilation", la compilation du programme
de sécurité est interrompue en mode Fast Commissioning. Une remarque supplémentaire
s'affiche sous "Info > Compile" dans la fenêtre d'inspection et indique le bloc F où se trouve la
modification non prise en charge.
Remarque
Le tableau "Modifications non prises en charge dans le mode Fast Commissioning avec Fast
Compile" est indiqué à titre d'aide. De manière générale, des erreurs lors de la compilation qui
se réfèrent à des blocs que vous n'avez pas programmés vous-même signifient qu'une
modification non prise en charge a été effectuée. Annulez dans ce cas les modifications
précédentes ou terminez le mode Fast Commissioning et compilez l'ensemble du programme
de sécurité.
Remarque
La journalisation dans l'historique des modifications F est incomplète lorsque le mode Fast
Commissioning avec "Fast Compile" est activé, les entrées suivantes ne sont pas acquises :
• Signature globale F
• Horodatage de compilation
• Blocs F compilés avec signature et horodatage

Modifications non prises en charge dans le mode Fast Commissioning avec "Consistent Compile"
En mode Fast Commissioning avec "Consistent Compile", vous ne pouvez pas non plus
modifier votre programme de sécurité à volonté. Toutefois les modifications du programme
de sécurité possibles sont nettement plus nombreuses par rapport à "Fast Compile". Les
modifications non prises en charge sont décrites ci-après.
Remarque
Notez que les modifications décrites ici ne doivent pas être déjà présentes lors de l'activation
du mode Fast Commissioning avec "Consistent Compile". Assurez-vous que le programme de
sécurité hors ligne est cohérent et identique au programme de sécurité en ligne. Sinon, il se
peut que la CPU F bascule sur STOP.

Toute modification de la configuration matérielle. STOP nécessaire pour le chargement
dans la CPU F.
Ajout/suppression :
• de communications Flexible F-Link Verrouillage dans l'éditeur Safety
• de groupes d'exécution F (modifications incluses)
Modifications dans la section "Settings" de l'éditeur Safety
Modifications du mot de passe pour le programme de sécurité.
Changement de nom de l'OB F CPU passe en STOP
Toute modification avec Openness. (espace de nom Refusée avec une exception.
SafetyAdministration)
Ajout d'un nouvel appel d'une instruction ACK_GL. Possible, mais suivi d'une passivation
de toutes les périphéries F. Une dé-
passivation n'est possible qu'avec un
passage STOP-RUN.
Insertion d'un nouvel accès à la périphérie F (accès à une va- Possible, mais suivi d'une passivation
riable du DB de périphérie F ou à la mémoire image) qui n'était de la périphérie F concernée. Une
jusque-là pas utilisée dans le groupe d'exécution F. dépassivation n'est possible qu'avec
un passage STOP-RUN.
Suppression d'un appel d'une instruction ACK_GL. Possible, mais suivi d'une passivation
de toutes les périphéries F. Une dé-
passivation n'est possible qu'avec un
passage STOP-RUN.
Suppression du dernier accès à une périphérie F (accès à une Possible mais une "Profisafe commu-
variable du DB de périphérie F ou à la mémoire image du pro- nication error" est entrée dans le
cessus) de sorte que celle-ci n'est plus utilisée dans le groupe tampon de diagnostic.
d'exécution F.

10.8 Historique des modifications F
Quitter le mode Fast Commissioning

Pour terminer le mode Fast Commissioning Modus avec "Fast Compile" et revenir au mode de
sécurité, procédez comme suit :
1. Cliquez sur le bouton "Deactivate Fast Commissioning".
2. Compilez le programme de sécurité avec Software (rebuild all).
3. Chargez le programme de sécurité dans la CPU F. La CPU F est alors mise à l'état Arrêt.
Dans le cas d'un système S7-1500HF redondant, vous devez sélectionner "Stop R/H
system" dans la boîte de dialogue "Load preview".
Le programme de sécurité en ligne est alors de nouveau cohérent et la CPU F peut être mise à
l'état Marche avec le mode de sécurité activé.
Pour terminer le mode Fast Commissioning Modus avec "Consistent Compile" et revenir au
mode de sécurité, procédez comme suit :
1. Cliquez sur le bouton "Deactivate Fast Commissioning".
2. Effectuez un passage STOP-RUN pour réactiver le mode de sécurité.

L'option "Activation of F-change history" dans l'éditeur Safety Administration Editor permet
d'activer la consignation des modifications apportées au programme de sécurité. L'historique
des modifications F se comporte comme l'historique des modifications dans le système
standard.
Un historique des modifications F est créé pour chaque CPU F sous "Données
communes/Journaux" dans le navigateur de projet.
Les informations suivantes sont consignées dans l'historique des modifications F :
• Signature globale F
• Nom d'utilisateur
• Horodatage de compilation
• Chargement du programme de sécurité avec horodatage
• Blocs F compilés avec signature et horodatage
L'historique des modifications F peut contenir au maximum 5000 entrées par CPU F. Lorsque
les 5000 entrées sont dépassées, un nouvel historiques des modifications F est créé sous le
nom "F-change history <nom de la CPU> AAAA-MM-JJ hh:mm:ss".

Après une mise à niveau du projet, la fonction "Aller à" n'est plus disponible dans l'historique
des modifications F du projet pour les entrées qui ont été générées avant STEP 7 Safety
V15.1.
IMPORTANT
Le lien entre la CPU F et l'historique des modifications F associé est établi par le nom de
l'historique des modifications F.
C'est pourquoi vous ne devez pas renommer la CPU F et l'historique des modifications F. Si
vous renommez la CPU F ou l'historique des modifications F, un nouvel historique des
modifications F est commencé avec le nom actuel de la CPU F.
Remarque
Vous ne devez pas utiliser l'historique des modifications F pour détecter des modifications
dans le programme de sécurité/dans la configuration de la périphérie F lors de la réception
des modifications.
Procédez comme décrit sous Réception de modifications (Page 379) pour la réception des
modifications.
Remarque
Nous vous conseillons d'activer l'historique des modifications F avant de passer en mode
production.

Réception de l'installation 11
11.1 Vue d'ensemble de l'inspection de l'installation
Introduction
Lors de la réception de l'installation, toutes les normes et directives pertinentes spécifiques à
l'application (par exemple, PROFINET Installation Guidelines) doivent être respectées. Cela
s'applique également aux installations pour lesquelles la réception n'est pas obligatoire. Lors
de la réception, vous devez tenir compte des obligations figurant dans le rapport sur le
certificat (http://support.automation.siemens.com/WW/view/fr/49368678/134200).
La réception d'un système F est généralement réalisée par un expert indépendant.
L'indépendance requise de l'expert doit être définie dans le plan de sécurité Safety et dépend
du niveau PL/SIL exigé.
Tenez compte de tous les avertissements dans ce manuel.
ATTENTION
La configuration de la CPU F et de la périphérie F ainsi que la programmation des blocs F

doivent être effectuées dans TIA Portal comme décrit dans la présente documentation. Vous
devez tenir compte de tous les aspects décrits sous Réception de l'installation (Page 360)
pour garantir un fonctionnement sûr avec le système SIMATIC SAFETY. Aucune autre
procédure n'est autorisée. (S056)
Preuve de l'implémentation correcte des données de projet relatives à la sécurité

Pour pouvoir réceptionner une installation, vous devez constater et documenter le fait que les
composants individuels sont corrects. Vous devez créer une impression de sécurité pour
documenter les caractéristiques des composants.
Les caractéristiques suivantes doivent être démontrées :
• Correction du programme de sécurité, configuration matérielle comprise (test inclus)
(Page 361)
• Intégralité de l'impression de sécurité (Page 362)
• Conformité des éléments de la bibliothèque système utilisés dans le programme de
sécurité avec l'annexe 1 du rapport sur le certificat TÜV (Page 363)
• Conformité des blocs F avec protection du know-how utilisés dans le programme de
sécurité avec leur documentation de sécurité (Page 364)
• Intégralité et correction de la configuration matérielle (Page 366)
• Correction et intégralité de la configuration de la communication (Page 373)

Réception de l'installation
11.2 Correction du programme de sécurité, configuration matérielle comprise (test inclus)
• Équivalence des programmes en ligne et hors ligne (Page 376)

• Autres caractéristiques (Page 377), telles que versions logicielles, utilisation de données
du programme utilisateur standard
Après la réception, il vous appartient d'archiver tous les documents pertinents ainsi que les
données de projet afin de disposer du projet approuvé comme référence en cas de réception
de modifications ultérieure.
L'impression de sécurité (Page 334) constitue la documentation du projet indispensable pour
la réception de l'installation.
11.2 Correction du programme de sécurité, configuration matérielle

comprise (test inclus)
La correction du logiciel ne peut pas être uniquement garantie par des tests lors de la mise en
service, mais requiert d'observer un large éventail de mesures dès la création. Tenez
également compte de l'avertissement S062 à ce sujet sous "Vue d'ensemble (Page 23)".
Vérification/test fonctionnel
Vous testerez (Page 336) votre programme de sécurité et la configuration matérielle
correspondante dès la création. Vous devez exécuter ces tests relativement à la spécification
de vos fonctions de sécurité et les documenter avant de réceptionner l'installation.
Pour vous permettre de procéder à l'examen du code de votre programme de sécurité et de
documenter le code de programme réceptionné, le code source de tous les blocs F est
imprimé comme partie de l'impression de sécurité (Page 334) si vous avez sélectionné
l'option "Tout" lors de l'impression.
Si vous voulez effectuer un test fonctionnel après un chargement, vous devez procéder à une
identification du programme. Vous trouverez des informations supplémentaires sous
"Charger les données de projet (Page 300)".
Vous devez garantir le bon fonctionnement du programme de sécurité en vous conformant à
toutes les étapes sous "Vue d'ensemble de l'inspection de l'installation (Page 360)" avant de le
mettre en œuvre en production. En cas d'utilisation du contrôle de la configuration
(traitement des options), vous devez assurer le fonctionnement correct du programme de
sécurité pour toutes les options de station possibles par des tests fonctionnels appropriés. Il
est recommandé d'archiver les protocoles de test avec l'impression de sécurité et les
documents de réception.
Les indications de temps, par exemple les temps de surveillance (Page 602) et les temps de
retard, ne peuvent être vérifiées que de manière limitée avec des tests fonctionnels
(Page 300). Vous devez donc contrôler ces temps de façon ciblée, par exemple au moyen de
l'impression de sécurité, afin de déterminer s'ils sont dimensionnés correctement.

11.3 Intégralité de l'impression de sécurité
Certains de ces temps sont mentionnés spécifiquement dans l'impression de sécurité, par
exemple le temps de surveillance F (pour la communication entre la CPU F et la périphérie F)
et le temps de surveillance de la communication CPU-CPU de sécurité (TIMEOUT). Vous
disposez du fichier Excel de calcul des temps de réaction sur Internet
(https://support.industry.siemens.com/cs/ww/fr/view/109783831) pour déduire les temps de
surveillance dans des conditions normatives. Il faut en tenir compte tout comme des
conditions de l'application déterminées pratiquement. Tenez compte du fait que ces temps de
surveillance ont un impact sur les temps de réaction de vos fonctions de sécurité.
Cohérence du programme de sécurité

Vérifiez dans la section "General information" de l'impression de sécurité si le programme de
sécurité a été reconnu comme "cohérent".
Pour les CPU F S7-300/400, c'est uniquement le cas si les signatures suivantes sont également
identiques :
• Signature globale F (section "General information", "Collective F-Signature")
• "Signature of F-blocks with F-attribute" (section "General information", "Current
compilation")
La cohérence du programme de sécurité est nécessaire pour la réception. Si les signatures ne
sont pas identiques, vous pouvez recompiler le programme de sécurité et recréer l'impression
de sécurité pour établir la cohérence.
11.3 Intégralité de l'impression de sécurité
Introduction
Si vous avez une version de vos données de projet de sécurité qui est prête pour la réception,
vous devez effectuer et documenter des tests supplémentaires relatifs à l'impression de
sécurité pour prouver que celle-ci est complète et correspond au programme de sécurité à
approuver.
Procédure pour créer l'impression de sécurité

Procédez comme décrit sous Créer une impression de sécurité (Page 334) pour générer
l'impression de sécurité.
Utilisez l'option "Tout" afin d'inclure le code source de vos blocs F dans l'impression.
Vérifier que l'impression est complète

Si vous voulez utiliser une impression existante dont vous ne savez pas exactement si elle est
complète, vous devez vérifier si la même signature globale F figure dans le pied de toutes les
pages de l'impression. Cela vous permet de prouver que toutes les pages incluses
appartiennent au même projet.

11.4 Conformité des éléments de la bibliothèque système utilisés dans le programme de sécurité avec l'annexe 1 du rappo
La section "Supplementary information" mentionne notamment le nombre de pages de

l'impression de sécurité. Vous établissez ainsi que l'ensemble des pages de l'impression de
sécurité sont présentes. Vous ne pouvez pas utiliser d'impressions incomplètes (par exemple,
par manque de toner en cas d'impression papier) pour une réception.
Si vous avez généré l'impression de sécurité avec l'option "Tout", le code source de tous les
blocs F est également inclus. L'impression de ce code source comprend aussi le pied de page
pour vous permettre d'attribuer aisément le code source à une impression de sécurité
spécifique.
L'indication du nombre de pages de l'impression de sécurité n'inclut pas les pages dans
lesquelles le code source des blocs F est imprimé.
Association avec le programme de sécurité

Dans la section "General information" de l'impression de sécurité, vérifiez si la signature
globale F correspond à la signature globale F du programme de sécurité à réceptionner en
ligne et hors ligne sous "General" dans l'espace de travail de l'éditeur Safety Administration
Editor. Si elles ne correspondent pas, l'impression et le programme de sécurité ne concordent
pas.
11.4 Conformité des éléments de la bibliothèque système utilisés

dans le programme de sécurité avec l'annexe 1 du rapport sur le
certificat TÜV
Introduction
STEP 7 Safety contient des instructions CONT/LOG pour la programmation de votre
programme de sécurité ainsi que des blocs système F pour la création d'un programme de
sécurité exécutable qui ont été créés et testés par SIEMENS et certifiés par le TÜV. Les blocs
système F utilisés sont automatiquement déterminés par le système F sur la base de la
version du système F paramétrée (voir sous Section "Settings" (Page 91)).
Pour vous permettre de vérifier si les instructions CONT/LOG et les blocs système F avec
versionnage utilisés correspondent à ceux à l'annexe 1 du rapport sur le certificat TÜV et aux
versions que vous avez prévues, ceux-ci sont énumérés dans l'impression de sécurité.
Procédure
Pour la vérification, téléchargez l'annexe 1 actuelle du rapport sur le certificat TÜV "SIMATIC
Safety" depuis Internet
(http://support.automation.siemens.com/WW/view/fr/49368678/134200).

11.5 Conformité des blocs F avec protection du know-how utilisés dans le programme de sécurité avec leur
documentation de sécurité
Procédez comme suit pour vérifier :
ATTENTION
• (S7-1200, S7-1500) Les versions des instructions CONT/LOG avec versionnage
énumérées sous "System library elements used in safety program" dans l'impression de
sécurité doivent correspondre aux versions à l'annexe 1 du rapport sur le certificat TÜV.
• (S7-300, S7-400) Les versions, signatures et signatures de valeurs initiales des
instructions CONT/LOG et blocs système F avec versionnage énumérées sous "System
library elements used in safety program" dans l'impression de sécurité doivent
correspondre aux versions, signatures et signatures de valeurs initiales à l'annexe 1 du
rapport sur le certificat TÜV.
• Les versions des instructions CONT/LOG avec versionnage énumérées dans l'impression
de sécurité doivent remplir les exigences de sécurité de votre application.
Tenez compte des différences éventuelles dans les fonctionnalités des différentes
versions mentionnées dans le chapitre sur l'instruction correspondante.
• La version du système Safety (Safety system version) indiquée sous "Safety program
settings" dans l'impression de sécurité doit correspondre aux versions à l'annexe 1 du
rapport sur le certificat TÜV. (S054)
En cas de différences, vérifiez à nouveau si vous disposez des versions correctes.

(S7-300/400) Des différences peuvent également apparaître si votre programme de sécurité
contient des instructions/blocs F inutilisés.
11.5 Conformité des blocs F avec protection du know-how utilisés

dans le programme de sécurité avec leur documentation de
sécurité
Si vous utilisez des blocs F avec protection du know-how (provenant de bibliothèques, par
exemple) pour écrire votre programme de sécurité, le code source de ces blocs n'est pas
inclus dans l'impression de sécurité.
Par conséquent, c'est l'auteur du bloc F avec protection du know-how qui doit procéder à la
réception du bloc F et fournir les informations suivantes :
CPU F S7-300/400
• Signature et signature de valeur initiale du bloc F avec protection du know-how
• Signatures et signatures de valeur initiale de tous les blocs F appelés

11.5 Conformité des blocs F avec protection du know-how utilisés dans le programme de sécurité avec leur documentation
Lors de la réception de votre installation, vous devez procéder aux vérifications suivantes à
l'aide de l'impression de sécurité :
• La signature et la signature de valeur initiale de chaque bloc F avec protection du know-
how énumérées sous "F-blocks in safety program" dans l'impression de sécurité doivent
correspondre à la signature et à la signature de valeur initiale documentées par l'auteur.
• Les versions des instructions CONT/LOG avec versionnage énumérées sous "System library
elements used in safety program" dans l'impression de sécurité doivent correspondre aux
versions de chaque bloc F avec protection du know-how documentées par l'auteur ou leur
être fonctionnellement identiques.
• Les signatures et signatures de valeur initiale des blocs F appelés dans chaque bloc F avec
protection du know-how énumérées sous "F-blocks in safety program" dans l'impression
de sécurité doivent correspondre aux signatures et signatures de valeur initiale (des blocs
F appelés) documentées par l'auteur.
En cas de différences, paramétrez les versions documentées (ou fonctionnellement
identiques) et utilisez les blocs F avec les signatures et signatures de valeur initiale
documentées. S'il n'est pas possible d'éliminer les conflits de version en raison d'autres
interactions, adressez-vous à l'auteur du bloc F avec protection du know-how pour obtenir
une version acceptée compatible.
CPU F S7-1200/1500
• Signature du bloc F avec protection du know-how
• Version du système Safety paramétrée lors de la configuration de la protection du know-
how
• Signatures de tous les FB F/FC F appelés dans le bloc F avec protection du know how
• Signatures de tous les DB F auxquels le bloc F avec protection du know-how accède
Lors de la réception de votre installation, vous devez procéder aux vérifications suivantes à
l'aide de l'impression de sécurité :
• La signature de chaque bloc F avec protection du know-how énumérée sous "Know-how
protected F-blocks in the safety program" dans l'impression de sécurité doit correspondre
à la signature documentée par l'auteur.
• La version du système Safety de chaque bloc F avec protection du know-how indiquée
sous "Know-how protected F-blocks in the safety program" dans l'impression de sécurité
doit correspondre à l'une des versions énumérées à l'annexe 1 du rapport sur le certificat
TÜV.
• Les versions des instructions CONT/LOG avec versionnage de chaque bloc F avec
protection du know-how énumérées sous "Know-how protected F-blocks in the safety
program" dans l'impression de sécurité doivent correspondre aux versions documentées
par l'auteur ou leur être fonctionnellement identiques.
• Les signatures des blocs F appelés dans chaque bloc F avec protection du know-how
énumérées sous "Know-how protected F-blocks in the safety program" dans l'impression
de sécurité doivent correspondre aux signatures (des blocs F appelés) documentées par
l'auteur.

11.6 Intégralité et correction de la configuration matérielle
En cas de différences, paramétrez les versions documentées (ou fonctionnellement

identiques) et utilisez les blocs F avec les signatures documentées. S'il n'est pas possible
d'éliminer les conflits de version en raison d'autres interactions, adressez-vous à l'auteur du
bloc F avec protection du know-how pour obtenir une version acceptée compatible.
Introduction
La configuration matérielle est une composante essentielle du projet à réceptionner. Avec la
configuration matérielle, vous avez effectué des paramétrages qui peuvent influencer la
sécurité des signaux. Vous devez documenter ces paramétrages avec l'impression de sécurité
pour prouver que les exigences de sécurité de votre application sont satisfaites.
Vous disposez pour cela de la section "Hardware configuration of F-I/O" dans l'impression de
sécurité. Cette section est constituée de plusieurs tableaux :
• Un tableau avec des informations sur la CPU F et sur les plages des adresses cible F
utilisées et de l'adresse source F centralisée (Central F-source address) de la CPU F
• Tableaux récapitulatifs de la périphérie F utilisée.
• Un tableau par périphérie F avec des informations sur la périphérie F et tous les
paramètres de la périphérie F avec des valeurs configurées
Comme la gestion des utilisateurs du serveur Web fait également partie de la configuration
matérielle, il faut vérifier l'attribution du droit "F-admin". Vous pouvez vérifier l'attribution du
droit "F-admin" uniquement dans la section "Web server F-admins" de l'éditeur Safety
Remarque
Notez que la périphérie F que vous adressez via la communication esclave I-esclave de
sécurité se trouve dans l'impression de sécurité de la CPU F de l'esclave I et non dans celle de
la CPU F du maître DP affecté.
L'impression de sécurité de la CPU F du maître DP contient une remarque pour cette
périphérie F dans le tableau récapitulatif indiquant que la périphérie F n'est pas affectée à
cette CPU F.
Remarque
En cas d'utilisation de shared devices :
La périphérie F que vous adressez dans un shared device se trouve dans l'impression de
sécurité de la CPU F du contrôleur IO auquel elle est affectée.
L'impression de sécurité des CPU F des autres contrôleurs IO entre lesquels le shared device
est partagé contient une remarque pour cette périphérie F dans le tableau récapitulatif
indiquant que la périphérie F n'est pas affectée à cette CPU F.

Procédure pour vérifier que la configuration matérielle est complète

Vérifiez que l'intégralité de la périphérie F configurée est incluse dans l'impression de
sécurité. Assurez-vous également qu'aucune périphérie F n'y figure que vous n'avez pas
configurée comme appartenant à cette CPU F.
Remarque
En cas d'utilisation du contrôle de la configuration (traitement des options), l'impression de
sécurité doit inclure toutes les périphéries F de la configuration maximale. Les vérifications
suivantes doivent être effectuées pour toutes les périphéries F de la configuration maximale.

Procédure pour vérifier que la configuration matérielle est correcte à l'aide de l'impression de
sécurité
Procédez comme suit pour vérifier que la configuration matérielle est correcte :
1. Vérifiez l'unicité des adresses PROFIsafe dans la section "Hardware configuration of F-I/O".
Pour cela, reportez-vous aux chapitres Adresses PROFIsafe pour la périphérie F de type
d'adresse PROFIsafe 1 (Page 67) ou Adresses PROFIsafe pour la périphérie F de type
d'adresse PROFIsafe 2 (Page 69), Particularités lors de la configuration d'appareils DP
normalisés de sécurité et de périphériques IO normalisés de sécurité (Page 77) et
Recommandation relative à l'affectation des adresses PROFIsafe (Page 64).
– Vérifiez si les paramètres "Central F-source address" des différentes CPU F diffèrent à
l'échelle du réseau. Vous n'avez pas besoin de tenir compte lors de cette vérification
des CPU F auxquelles sont uniquement affectées des périphéries F de type d'adresse
PROFIsafe 1.
– Pour la périphérie F de type d'adresse PROFIsafe 1, vérifiez si les adresses cible F sont
conformes à l'avertissement suivant :
ATTENTION

son adresse cible F (par exemple, par la position du commutateur d'adresse).
L'adresse cible F (et donc également la position du commutateur d'adresse) de la
périphérie F doit être unique à l'échelle du réseau* et de la CPU**/*** (c'est-à-dire à
l'échelle du système) pour l'ensemble de la périphérie F. Il faut ce faisant aussi tenir
compte de la périphérie F de type d'adresse PROFIsafe 2. (S051)
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau"

signifie par-delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les
abonnés accessibles via PROFIBUS DP. Dans PROFINET IO, un réseau inclut tous les
abonnés accessibles via RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, couche 2) et, le cas
échéant, via RT_Class_UDP (IP, couche 3).
** "À l'échelle de la CPU" signifie toutes les périphéries F affectées à une CPU F :
périphérie F centralisée de cette CPU F, périphérie F pour laquelle la CPU F est maître
DP/contrôleur IO, ainsi que périphérie F affectée dans un shared device. La périphérie F
adressée via la communication esclave I-esclave est affectée à la CPU F de l'esclave I et
non à la CPU F du maître DP/contrôleur IO.
redondant sont à considérer comme une CPU F en ce qui concerne les adresses
PROFIsafe. Le système configure donc l'adresse source F centralisée (Central F-source
address) de manière identique pour les deux CPU F.
Remarque
Pour plus d'informations sur l'attribution d'adresses PROFIsafe uniques à l'échelle de la
CPU et du réseau, consultez cette FAQ
– Pour la périphérie F de type d'adresse PROFIsafe 2, vérifiez si les adresses cible F sont
conformes à l'avertissement suivant :

ATTENTION

combinaison de l'adresse source F (paramètre "Central F-source address" de la CPU F
affectée) et de l'adresse cible F.
La combinaison de l'adresse source F et de l'adresse cible F de chaque périphérie F
doit être unique à l'échelle du réseau* et de la CPU**/*** (c'est-à-dire à l'échelle du
système). En outre, l'adresse cible F ne doit pas être occupée par une périphérie F de
type d'adresse PROFIsafe 1.
Afin de garantir l'unicité des adresses de toutes CPU F dans les configurations prises
en charge (Page 65), vous devez veiller à ce que le paramètre "Central F-source
address" de toutes les CPU F soit unique à l'échelle du réseau*. Cela peut être obtenu
par différents réglages du paramètre "Central F-source address" des CPU F. (S052)
* Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau"

** "À l'échelle de la CPU" signifie toutes les périphéries F affectées à une CPU F :
périphérie F centralisée de cette CPU F, périphérie F pour laquelle la CPU F est maître
DP/contrôleur IO, ainsi que périphérie F affectée dans un shared device. La périphérie F
adressée via la communication esclave I-esclave est affectée à la CPU F de l'esclave I et
non à la CPU F du maître DP/contrôleur IO.
redondant sont à considérer comme une CPU F en ce qui concerne les adresses
PROFIsafe. Le système configure donc l'adresse source F centralisée (Central F-source
address) de manière identique pour les deux CPU F.
Remarque
Pour plus d'informations sur l'attribution d'adresses PROFIsafe uniques à l'échelle de la
CPU et du réseau, consultez cette FAQ

– Vérifiez que les adresses PROFIsafe pour les appareils DP normalisés/périphériques IO

normalisés de sécurité sont conformes à l'avertissement suivant :
ATTENTION
Consultez la documentation de votre appareil DP normalisé/périphérique IO normalisé

de sécurité pour savoir quel est son type d'adresse PROFIsafe. En l'absence
d'information à ce sujet, partez du principe qu'il s'agit du type d'adresse PROFIsafe 1.
Pour la configuration, procédez comme décrit sous Adresses PROFIsafe pour la
périphérie F de type d'adresse PROFIsafe 1 (Page 67) ou Adresses PROFIsafe pour la
périphérie F de type d'adresse PROFIsafe 2 (Page 69).
Définissez l'adresse source F pour les appareils DP normalisés/périphériques IO
normalisés de sécurité selon les indications du constructeur. Si l'adresse source F doit
correspondre au paramètre "Central F-source address" de la CPU F (type d'adresse
PROFIsafe 2), vous trouverez cette dernière adresse dans l'onglet "Propriétés" de la
CPU F. Vérifiez dans ce cas dans l'impression de sécurité que la valeur de la CPU F pour
le paramètre "Central F-source address" correspond à la valeur de l'adresse source F
de l'appareil DP normalisé/du périphérique IO normalisé de sécurité. (S053)
2. Vérifiez les paramètres relatifs à la sécurité (y compris le temps de surveillance F ou

F_WD_Time) de toutes les périphéries F configurées.
Ces paramètres se trouvent dans les tableaux détaillés pour la périphérie F de la section
"Hardware configuration of F-I/O".
Le tableau comporte deux parties :
– La partie gauche contient les paramètres qui se rapportent à la périphérie F elle-même
("Module data").
– La partie droite contient les paramètres des différentes voies ("Channel parameters").
Ces paramètres doivent être configurés en conformité avec les exigences de sécurité de
votre application.
Si vous utilisez des appareils DP/des périphériques IO normalisés de sécurité, tenez compte
de la documentation correspondante pour les paramètres (technologiques) de sécurité
supplémentaires éventuels.

Remarque
Il est possible de copier lors de la configuration les périphéries F censées avoir les mêmes
paramètres de sécurité – à l'exception des adresses PROFIsafe. Pour ces périphéries, il n'est
pas nécessaire de vérifier les paramètres de sécurité individuellement – à l'exception des
adresses PROFIsafe. Il suffit de comparer la signature de paramètre F (sans adresses)
(F-parameter signature (without addresses)) dans le tableau récapitulatif de la section
"Hardware configuration of F-I/O". Cela s'applique également aux appareils
DP/périphériques IO normalisés de sécurité sans paramètres i. Pour les appareils
DP/périphériques IO normalisés avec paramètres i, il est possible que la signature de
paramètre F (sans adresses) ne concorde pas bien que tous les paramètres de sécurité
coïncident à l'exception des adresses PROFIsafe. Dans ce cas, vous devez comparer tous
les paramètres de sécurité.
Exception :
Pour les périphéries F ne prenant pas en charge le profil "RIOforFA-Safety", vous devez le
cas échéant comparer le paramètre de comportement après erreur de voie "Behavior after
channel fault" en plus de la signature de paramètre F (sans adresses).
3. Vérifiez si les numéros d'article de la périphérie F dans l'impression de sécurité

correspondent à ceux de la périphérie F effectivement présente dans l'installation. Si les
numéros d'article sont différents, la périphérie F existante doit être compatible avec la
périphérie F listée dans l'impression de sécurité.

4. Reportez-vous à Configurations prises en charge par le système F SIMATIC Safety (Page 65)
pour les configurations non prises en charge.
ATTENTION
Tenez compte des points suivants si vous utilisez des configurations qui ne font pas
partie des configurations prises en charge :
• Assurez-vous que la périphérie F de cette configuration apparaît dans l'impression de
sécurité et qu'un DB de périphérie F a été créé pour celle-ci. Sinon, vous ne pourrez
pas utiliser la périphérie F dans cette configuration (adressez-vous à l'assistance
client).
• Vous devez vérifier la correction du paramètre du mode de fonctionnement PROFIsafe
(F_Par_Version) au moyen de l'impression de sécurité pour la périphérie F dans
l'environnement PROFINET IO**. Le mode V2 doit être paramétré dans
l'environnement PROFINET IO. Une périphérie F qui prend uniquement en charge le
mode V1 ne doit pas être utilisée dans l'environnement PROFINET IO.
• Vous devez vous assurer que l'attribution de l'adresse PROFIsafe est unique à l'échelle
de la CPU*/**** et du réseau*** :
– Vérifiez la correction des adresses PROFIsafe au moyen de l'impression de sécurité.
– Pour la périphérie F de type d'adresse PROFIsafe 2, vérifiez au moyen de
l'impression de sécurité que l'adresse source F correspond au paramètre "Central
F-source address" de la CPU F.
– Pour la périphérie F de type d'adresse PROFIsafe 1 ou si vous ne pouvez pas définir
l'adresse source F en accord avec le paramètre "Central F-source address" de la
CPU F, vous devez assurer l'unicité de l'adresse PROFIsafe seulement par
l'affectation d'une adresse cible F unique.
Dans une configuration non prise en charge, vous devez vérifier l'unicité de l'adresse
cible F de chaque périphérie F au moyen de l'impression de sécurité.
(S050)
* "À l'échelle de la CPU" signifie toutes les périphéries F affectées à une CPU F : périphérie
F centralisée de cette CPU F, périphérie F pour laquelle la CPU F est maître DP/contrôleur
IO, ainsi que périphérie F affectée dans un shared device. La périphérie F adressée via la
** La périphérie F se trouve "dans l'environnement PROFINET IO" lorsqu'au moins une
partie de la communication de sécurité vers la CPU F se fait via PROFINET IO. Si la
périphérie F est connectée par communication esclave I-esclave, il faut également
considérer la ligne de communication vers le maître DP/le contrôleur IO.
*** Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau"
redondant sont à considérer comme une CPU F en ce qui concerne les adresses PROFIsafe.
Le système configure donc l'adresse source F centralisée (Central F-source address) de
manière identique pour les deux CPU F.

11.7 Correction et intégralité de la configuration de la communication
Remarque
Pour plus d'informations sur l'attribution d'adresses PROFIsafe uniques à l'échelle de la CPU
et du réseau, consultez cette FAQ
5. Vérifiez que seules des personnes habilitées ont le droit "F-admin" dans l'éditeur Safety
Administration Editor ou dans l'impression standard des données de projet.
ATTENTION
L'autorisation "F-admin" pour le serveur Web sans protection par mot de passe
(utilisateur "Everybody") est uniquement prévue aux fins de test, mise en service, etc.,
c'est-à-dire uniquement lorsque l'installation n'est pas en mode production. Dans ce cas,
vous devez assurer la sécurité de l'installation par d'autres mesures organisationnelles
(Page 617).
Avant le passage en mode production, vous devez révoquer le droit "F-admin" pour
l'utilisateur "Everybody".
Le mot de passe de l'utilisateur du serveur Web avec le droit "F-admin" ne doit être
accessible qu'aux personnes habilitées. Après le chargement de la configuration
matérielle, vérifiez que seuls les utilisateurs habilités du serveur Web disposent du droit
"F-admin" sur la CPU F. Utilisez pour cela le mode en ligne de l'éditeur Safety
L'enregistrement du fichier de connexion ainsi que du mot de passe du serveur Web dans
le navigateur n'est autorisé que si d'autres mesures organisationnelles (Page 617)
empêchent une utilisation par des personnes non autorisées.
Si vous utilisez le mécanisme de ticket, vous devez gérer les tickets de manière aussi
restrictive que le mot de passe de l'utilisateur du serveur Web doté du droit "F-admin".
(S064)
Voir aussi
Section "Web server F-admins" (S7-1200, S7-1500) (Page 90)
Introduction
La communication de sécurité est basée sur les mécanismes de la communication standard
de STEP 7.
Les liaisons de communication de sécurité entre les CPU F sont en outre sécurisées afin que
les erreurs qui ne sont pas détectées par la communication standard soient identifiées. Cette
protection requiert des paramètres supplémentaires que vous devez documenter et contrôler
lors de la réception.

Les sections "Block parameters for safety-related CPU-CPU communications" et

"Communications via Flexible F-Link Overview" sont disponibles pour cela dans l'impression
de sécurité. La section "Block parameters for safety-related CPU-CPU communications"
comprend deux tableaux au plus (pour la communication via PROFIBUS DP ou PROFINET IO et
pour la communication via des liaisons S7). La section "Communications via Flexible F-Link
Overview" contient un tableau donnant une vue d'ensemble des configurations de liaison,
ainsi qu'un tableau "Communications via Flexible F-Link for UDT" pour chaque type de
données API (UDT) conforme F utilisé.
Les communications de sécurité ne sont pas toutes disponibles pour toutes les CPU F. Vous
trouverez plus d'informations sous "Communication de sécurité (Page 196)".
Remarque
Les informations dans cette section concernant la communication via Flexible F-Link sont
également valables lorsque cette communication est utilisée entre des groupes d'exécution F.
Procédure pour vérifier que la configuration de la communication est correcte
Tenez compte de l'avertissement suivant pour la communication de sécurité avec les

instructions SENDS7/RCVS7 :
ATTENTION

peut être choisie librement, mais elle doit être impaire et unique à l'échelle du réseau* et de
la CPU pour toutes les liaisons de communication de sécurité. La valeur R_ID + 1 est
(IP, couche 3).

Tenez compte de l'avertissement suivant pour la communication de sécurité avec les

instructions SENDDP/RCVDP :
ATTENTION

(IP, couche 3).
Tenez compte des avertissements suivants pour la communication via Flexible F-Link :
ATTENTION

11.8 Équivalence des programmes en ligne et hors ligne
ATTENTION
11.8 Équivalence des programmes en ligne et hors ligne

Une fois que vous avez vérifié toutes les propriétés du programme de sécurité hors ligne,
vous devez vous assurer que le programme de sécurité est identique sur la CPU F sur laquelle
il doit s'exécuter.
ATTENTION
Dans le cas d'un système S7-1500HF redondant, vous devez effectuer le contrôle de
l'identité du programme en ligne et hors ligne dans l'état RUN-Redundant. Il suffit
d'effectuer le contrôle pour une CPU S7-1500 HF. (S098)
1. Connectez-vous en ligne à la CPU F. Si plusieurs CPU F sont accessibles via un réseau (par
exemple, Industrial Ethernet) à partir de la PG/du PC, vous devez vous assurer que vous êtes
connecté à la bonne CPU F, par exemple avec "En ligne & diagnostic" > "Accès en ligne" >
"Clignotement LED".
2. Ouvrez l'éditeur Safety Administration Editor.
3. Vérifiez que les signatures globales F en ligne et hors ligne correspondent avec la signature
globale F de l'impression de sécurité.
4. Puis vérifiez si les programmes de sécurité en ligne et hors ligne sont cohérents sous "Safety
program status" dans la section "General".
Vérifiez quelle est la situation en utilisant les informations "Status" et "Version comparison"
et mettez en œuvre la mesure proposée le cas échéant :
État Comparaison de Constatation Mesure

versions
Sans objet Les programmes de sécurité sont • Vérifiez que vous êtes
différents.
connecté à la bonne CPU
F.
• Chargez le programme de
sécurité dans la CPU F.
Les programmes de sécurité sont Il faut charger le programme
identiques mais des versions de sécurité dans la CPU F
différentes des blocs F sont utili- pour que les versions ac-
sées. tuelles prennent effet.
Les programmes de sécurité sont Aucune
identiques.

11.9 Autres propriétés
Tenez compte du fait que seule la comparaison des modifications prouve de manière fiable
que les programmes de sécurité sont identiques. L'affichage des signatures permet
uniquement la détection rapide de modifications.
Introduction
Vous devez encore vérifier quelques autres propriétés qui sont également pertinentes pour la
réception du projet.
Contrôle de vraisemblance pour le transfert de données du programme standard au programme

de sécurité
Vérifiez que vous avez programmé un contrôle de vraisemblance pour toutes les données
transférées du programme utilisateur standard au programme de sécurité. Utilisez pour cela
la section "Data from the standard user program" qui énumère toutes les variables du
programme utilisateur standard lues dans le programme de sécurité. Les variables du
programme utilisateur standard que vous écrivez dans le programme de sécurité ne sont pas
listées ici, car elles ne requièrent pas de contrôle de vraisemblance. Tenez compte à ce sujet
de l'avertissement S015 sous "Transfert de données du programme utilisateur standard au
programme de sécurité (Page 193)".
Appel multiple d'un FB F ou d'une instruction avec la même instance (instance individuelle ou
multi-instance)
Vérifiez que vous avez utilisé une instance propre pour chaque appel d'un FB F ou d'une
instruction.
Les appels multiples avec la même instance ne sont généralement pas utiles ou demandent
une attention particulière :
Si, par exemple, vous transmettez explicitement un opérande (p. ex. comme constante) lors
du 1er appel de l'instance et qu'il n'y a pas de transmission explicite lors du 2e appel (de sorte
que la valeur initiale est valable), vous devez vous assurer de la valeur qui sera valable pour
cet opérande lors du 2e appel. Tenez également compte des comportements de démarrage,
des OB de priorité plus élevée ou autres, dans lesquels le 1er appel peut être présent.
Vérifier la version du programme

Vérifiez si la version de STEP 7 Safety utilisée pour générer l'impression (dans le pied de page
de l'impression) est au moins la version utilisée pour compiler le programme de sécurité.
Cette dernière version se trouve sous "Used versions" dans la section "General information" de
l'impression de sécurité. Les deux versions doivent figurer à l'annexe 1 du rapport sur le
certificat TÜV.

Possibilité de désactiver le mode de sécurité

Vérifiez que le mode de sécurité ne peut pas être désactivé. Cette information figure sous
"Safety program settings" dans la section "General information". Avec ce paramétrage, vous
vous êtes assuré que le mode de sécurité du programme de sécurité ne peut pas être
désactivé même par inadvertance. Tenez compte à ce sujet de l'avertissement S027 sous
"Désactiver le mode de sécurité (Page 338)".
Version du système Safety pour une CPU S7-1500 HF

Vérifiez que la version du système Safety est supérieure ou égale à V2.4 si vous utilisez une
CPU S7-1500 HF.
Cette information figure sous "Safety program settings" dans la section "General information".
Protection d'accès
Vérifiez sous "Access protection" dans la section "General information" que le paramétrage
pour la protection d'accès est autorisé. Tenez compte de l'avertissement suivant.
Si ce n'est pas le cas, la réception du projet n'est pas possible, car le programme de sécurité
dans la CPU F ne serait pas protégé contre les accès non autorisés.
ATTENTION
sécurité). (S001)
ATTENTION
protection)". Ce niveau de protection permet l'accès complet uniquement au programme
utilisateur standard et pas aux blocs F.
Si vous sélectionnez un niveau de protection supérieur, par exemple pour protéger le
programme utilisateur standard, vous devez définir un mot de passe supplémentaire pour
"Full access (no protection)".

11.10 Réception de modifications
Introduction
En règle générale, vous pouvez procéder pour la réception de modifications exactement
comme pour la réception initiale de l'installation (voir Vue d'ensemble de l'inspection de
l'installation (Page 360)).
Vous devez vérifier si des modifications ont été apportées à l'ensemble des données de projet
de sécurité (programme de sécurité et configuration matérielle de sécurité) et déterminer les
données de projet de sécurité à valider et à approuver dans le cadre d'une analyse d'impact.
ATTENTION
Lors d'une réception de modifications, vous devez vérifier que les modifications prévues ont
été effectuées correctement et complètement.
Vous devez également contrôler qu'aucune modification involontaire n'a été introduite à un
autre endroit (une périphérie F ou des instructions ont été ajoutées, par exemple). (S072)
Pour éviter une nouvelle réception de l'installation entière en cas de modifications minimes,
STEP 7 Safety vous aide à identifier les parties de votre programme de sécurité qui ont
changé.
Procédez comme suit pour la réception des modifications :
1. Localisez les modifications dans les données de projet relatives à la sécurité :
– Blocs F modifiés ou nouvellement ajoutés
– Instructions et blocs système F modifiés ou nouvellement ajoutés
– Paramètres de sécurité de la périphérie F modifiée ou nouvellement ajoutée
– Structure de la configuration matérielle de sécurité (par exemple, position des
emplacements ou adresses de début des périphéries F)
– Communication de sécurité via Flexible F-Link modifiée
2. Déduisez de ces modifications les données de projet de sécurité affectées (analyse d'impact).
Il peut également s'agir de données de projet relatives à la sécurité qui n'ont pas elles-
mêmes changé.
3. Procédez ensuite à une validation et à une réception des données de projet de sécurité
concernées par les modifications.
Remarque
Une réception des modifications n'est pas possible après la migration de la CPU.

ATTENTION
Vous devez effectuer un test de câblage (Page 341) si vous apportez des modifications qui
peuvent changer l'affectation des adresses d'entrée/sortie et du câblage.
Il peut s'agir des modifications suivantes :
• Ajout de périphéries F
• Modification de l'adresse de début de périphéries F
• Modification de l'emplacement d'enfichage de périphéries F
• Modification
– du châssis
– de l'adresse de l'appareil/du périphérique
– du sous-réseau PROFIBUS DP/PROFINET IO
– de l'adresse IP
– du nom de périphérique
(S071)
Localisation de modifications dans les données de projet de sécurité

Vous avez besoin de deux projets TIA pour localiser les modifications pertinentes :
• Projet de référence : ce projet contient les données de projet acceptées initialement qui
constituent le point de départ pour la comparaison à venir.
• Projet à réceptionner : ce projet contient les données de projet de sécurité actuelles. Il
résulte du projet de référence et des modifications qui y ont été apportées.
Pour localiser les modifications, vous devez comparer les données de projet de sécurité dans
le projet de référence et dans le projet à réceptionner.
La signature globale F permet de déterminer rapidement si des modifications pertinentes ont
été apportées. Le fait que la signature ait changé signifie que des modifications pertinentes
sont présentes dans les données de projet de sécurité.
(S7-1200, S7-1500) Vous pouvez maintenant utiliser la signature globale SW F, la signature
globale HW F et la signature d'adresse de communication F pour préciser si ces modifications
se trouvent dans le programme de sécurité (signature globale SW F modifiée), dans la
configuration matérielle de sécurité (signature globale HW F) et/ou dans les données de
communication (avec Flexible F-Link, signature d'adresse de communication F).
Localisation de modifications dans le programme de sécurité

(S7-1200, S7-1500) Une méthode rapide pour détecter des modifications dans le programme
de sécurité consiste à comparer la signature globale SW F des données de projet de sécurité
dans le projet de référence à la signature globale SW F des données de projet de sécurité dans
le projet à réceptionner. Le fait qu'elles soient différentes signifie que le programme de
sécurité comporte des modifications qui doivent être validées et acceptées si nécessaire.

Pour localiser des modifications dans le programme de sécurité, procédez à une comparaison
hors ligne/hors ligne entre le programme de sécurité à réceptionner du projet à réceptionner
et le programme de sécurité du projet de référence (voir Comparaison de programmes de
sécurité (Page 331)). Utilisez la définition de filtre "Compare only F-blocks relevant for
certification". Vous limitez ainsi le résultat de la comparaison aux blocs F pertinents.
ATTENTION
Veillez à ce que le critère de comparaison "Safety" soit activé afin que les critères pertinents
pour une réception des modifications soient pris en compte dans la comparaison. (S069)
La désactivation des critères de comparaison restants permet d'exclure les différences qui ne
sont pas pertinentes pour la réception des modifications (les horodatages, par exemple).
Vous identifiez les blocs F qui ont été modifiés grâce à l'état de la comparaison.
(S7-1200, S7-1500) Au lieu de la comparaison hors ligne/hors ligne, vous pouvez utiliser la
comparaison des signatures de groupe pour localiser les modifications dans le programme de
sécurité. Utilisez pour cela les impressions de sécurité du projet de référence et du projet à
réceptionner. Des groupes à la signature inchangée indiquent qu'aucun des blocs F dans ces
groupes ou leurs sous-groupes n'a été modifié. Dans les groupes avec une signature de
groupe modifiée, vous pouvez localiser les blocs F modifiés grâce à leur signature de bloc
modifiée. Notez que l'affectation de blocs F à des groupes n'est pas enregistrée par la
Localisation de modifications dans la configuration matérielle de sécurité

(S7-1200, S7-1500) Une méthode rapide pour détecter des modifications dans la
configuration matérielle de sécurité consiste à comparer la signature globale HW F des
données de projet de sécurité dans le projet de référence à la signature globale HW F des
données de projet de sécurité dans le projet à réceptionner. Le fait qu'elles soient différentes
signifie que la configuration matérielle de sécurité comporte des modifications qui doivent
être validées et réceptionnées si nécessaire.
(S7-1200, S7-1500) Un changement de la signature globale HW F alors que toutes les
périphéries F sont inchangées signifie que des paramètres de sécurité de la CPU F ont changé
ou que la structure de la configuration matérielle de sécurité a changé, par exemple la
position des emplacements.
Vous avez deux méthodes pour localiser les modifications de sécurité dans la configuration
matérielle de sécurité :
• Localisation par comparaison hors ligne/hors ligne
• Localisation par comparaison de deux impressions de sécurité
La suite décrit comment procéder.

Localisation par comparaison hors ligne/hors ligne

Pour la comparaison, le projet de référence et le projet à réceptionner doivent être cohérents
et compilés. Reportez-vous à "Comparaison de programmes de sécurité (Page 331)" pour
l'exécution de la comparaison.
1. Naviguez jusqu'au dossier "Blocs système > STEP 7 Safety > DB de périphérie F" dans le
résultat de la comparaison. Tous les blocs de données figurant dans ce dossier sont des DB
de périphérie F qui sont respectivement affectés à une périphérie F.
– Le fait que les DB de périphérie F dans le résultat de la comparaison soient identiques
signifie que la configuration de sécurité de la périphérie F correspondante n'a pas non
plus été modifiée. Les paramètres standard peuvent avoir changé.
– Le fait que les DB de périphérie F dans le résultat de la comparaison soient différents
signifie que la configuration de sécurité de la périphérie F correspondante a aussi été
modifiée.
– Si des DB de périphérie F sont marqués comme inexistants dans le résultat de la
comparaison, il est possible que des périphéries F correspondantes aient été
supprimées ou ajoutées ou que le nom ou l'adresse de début des périphéries F aient
été modifiés. Dans ce cas, vous trouverez l'affectation d'un DB de périphérie F à une
périphérie F spécifique sous "Hardware configuration of F-I/O" dans l'impression de
sécurité.
2. Si vous avez trouvé une périphérie F modifiée, vous pouvez vérifier les paramètres modifiés
dans l'impression de sécurité de la manière décrite ci-après.
Localisation par comparaison de deux impressions de sécurité

Procédez comme suit pour comparer deux impressions de sécurité :
1. Comparez les adresses de début (adresses d'E/S), le paramètre "Behavior after channel fault"
et l'emplacement des périphéries F dans la section "Hardware configuration of F-I/O".
2. Comparez les CRC de paramètre des périphéries F dans le tableau récapitulatif des
périphéries F utilisées dans la section "Hardware configuration of F-I/O" à ceux dans
l'impression de sécurité de la CPU F correspondante du projet de référence.
– Le fait que la signature "Parameter signature (w/o addresses)" soit différente pour une
périphérie F indique que des paramètres de sécurité de cette périphérie F ont été
modifiés.
Dans ce cas, vérifiez les paramètres de sécurité de la périphérie F et l'unicité des
adresses PROFIsafe dans le tableau détaillé correspondant.
– Le fait que la signature "Parameter signature (w/o addresses)" soit identique signifie
que seules les adresses PROFIsafe ont changé.
Il suffit dans ce cas de vérifier l'unicité des adresses PROFIsafe.
Procédez pour la vérification comme décrit sous "Intégralité et correction de la configuration
matérielle (Page 366)".

(S7-1200, S7-1500) Détecter des modifications dans la communication avec Flexible F-Link
Une méthode rapide pour détecter des modifications dans la configuration de la
communication avec Flexible F-Link consiste à comparer la signature d'adresse de
communication F des données de projet de sécurité dans le projet de référence à la signature
d'adresse de communication F des données de projet de sécurité dans le projet à
réceptionner. Le fait qu'elles soient différentes signifie que la configuration de la
communication avec Flexible F-Link (UUID uniquement) comporte des modifications qui
doivent être validées et réceptionnées si nécessaire. D'autres paramètres de communication,
par exemple le dépassement de délai ou le sens de transmission, sont couverts par la
signature globale SW F (voir "Localisation de modifications dans le programme de sécurité"
plus haut).
Pour localiser des modifications dans la configuration de la communication avec Flexible
F-Link, comparez le tableau "Communications via Flexible F-Link Overview" du projet de
référence à celui du projet à réceptionner dans l'impression de sécurité respective.
Voir aussi
Accéder aux variables du DB de périphérie F (Page 171)

Exploitation et maintenance 12
12.1 Remarques relatives au démarrage du système F
À l'état "MISE EN ROUTE" d'une CPU F, le programme utilisateur standard démarre comme à
l'accoutumée.
Dans le programme de sécurité, tous les contenus des DB F sont réinitialisés à leur valeur
initiale de la mémoire de chargement.
Une dépassivation automatique de la périphérie F (Page 172) est effectuée à partir du 2e
cycle du groupe d'exécution F.
Remarque
La réinitialisation des DB F aux valeurs initiales de la mémoire de chargement entraîne
également :
• la réinitialisation d'informations d'erreur éventuellement mémorisées
• la réinitialisation de mémentos de front dans les instructions ou les FB F avec évaluation
de front (p. ex. l'instruction TON), de sorte que pour un signal qui a déjà l'état "TRUE" dans
le 1er cycle d'un groupe d'exécution F, un front positif est immédiatement détecté lors de
l'interrogation du front positif du signal.
12.2 Remarques relatives au mode de sécurité du programme de

sécurité
Introduction
Tenez compte des remarques importantes suivantes pour le mode de sécurité du programme
de sécurité.

Exploitation et maintenance
12.2 Remarques relatives au mode de sécurité du programme de sécurité
Utilisation d'appareils / de programmes de simulation
ATTENTION
Utilisation d'appareils / de programmes de simulation dans les installations
Si vous utilisez des appareils / programmes de simulation qui génèrent des télégrammes de
sécurité, conformément à PROFIsafe par exemple, et les mettent à la disposition du système
F SIMATIC Safety via le système de bus (par exemple, PROFIBUS DP ou PROFINET IO), vous
devez garantir la sécurité de l'installation par des mesures organisationnelles (Page 617).
Notez, par exemple, qu'un analyseur de protocole n'est pas autorisé à exécuter une fonction
qui reproduit des séquences de télégrammes enregistrées avec un comportement temporel
correct.
• Version S7-PLCSIM < 15.1 ou version S7-PLCSIM Advanced < 2.0 SP1 et version du
système Safety < V2.2
Si vous utilisez S7-PLCSIM (Page 336) pour la simulation de programmes de sécurité, les
mesures indiquées plus haut ne sont pas nécessaires, car S7-PLCSIM ne peut pas établir
de liaison en ligne avec un composant réel.
• Version S7-PLCSIM ≥ 15.1 ou version S7-PLCSIM Advanced ≥ 2.0 SP1 ou version du
système Safety ≥ V2.2
Vous devez assurer la sécurité de l'installation par des mesures organisationnelles.
Le chargement dans S7-PLCSIM des données de projet de sécurité avec une version du
système Safety supérieure ou égale à V2.2 n'est autorisé qu'à partir de S7-PLCSIM V15.1
ou de S7-PLCSIM Advanced V2.0 SP1.
(S030)
Remarque
Le programme de sécurité passe à l'état Arrêt pour une version de S7-PLCSIM antérieure à
V15.1 ou de S7-PLCSIM Advanced antérieure à V2.0 SP1 et une version du système Safety
supérieure ou égale à V2.2. La cause de l'événement de diagnostic est inscrite dans le tampon
de diagnostic de la CPU F.

Mettre la CPU F à l'état Arrêt (STOP)
ATTENTION
STOP par action sur la PG/le PC, sélecteur de mode, fonction de communication ou
instruction "STP", par exemple
La commutation sur l'état STOP au moyen d'une action sur la PG/le PC, du sélecteur de
mode, d'une fonction de communication ou de l'instruction "STP", par exemple, ainsi que le
maintien à l'état STOP ne sont pas des fonctions de sécurité. Cet état STOP peut très
facilement (même involontairement) être annulé par une action sur la PG/le PC, par
exemple.
démarre comme à l'accoutumée. Lors du démarrage du programme de sécurité, tous les
contenus des DB F sont réinitialisés à leur valeur initiale de la mémoire de chargement. Les
informations d'erreur mémorisées sont donc perdues. Le système F procède à une
réintégration automatique de la périphérie F.
Si le processus n'autorise pas un tel démarrage, il faut inclure une protection contre le
de processus est possible sans danger et que les erreurs ont été corrigées (voir Programmer
une protection contre le démarrage (Page 154)). (S031)

Erreur de CRC dans l'accès à la périphérie F ou la communication de sécurité
Remarque
Erreur de CRC dans l'accès à la périphérie F ou la communication de sécurité
Si vous constatez qu'un acquittement manuel est demandé en raison d'une erreur de CRC
plus d'une fois toutes les 100 heures et que ce problème est récurrent, vérifiez si les directives
d'installation pour la topologie de réseau utilisée ont bien été respectées.
Vous êtes en présence d'erreurs de CRC dans les cas suivants :
• En cas d'accès à la périphérie F, la variable ACK_REQ du DB de périphérie F est à 1 et la
variable DIAG du DB de périphérie F signale des erreurs de CRC via le bit 2 ou 6.
• Pour la communication de sécurité avec les instructions SENDDP/RCVDP, la sortie ACK_REQ
de l'instruction RCVDP est à 1 et la sortie DIAG de l'instruction SENDDP/RCVDP signale des
erreurs de CRC via le bit 6.
• Pour la communication de sécurité avec les instructions SENDS7/RCVS7, la sortie ACK_REQ
de l'instruction RCVS7 est à 1 et la sortie DIAG de l'instruction SENDS7/RCVS7 signale des
erreurs de CRC via le bit 6.
• Pour la communication avec Flexible F-Link, la variable ACK_REQ du DB de communication
F pour la réception est à 1 et la variable DIAG du DB de communication F pour l'émission/la
réception signale des erreurs de CRC via le bit 6.
ou
• Une erreur de CRC est inscrite dans le tampon de diagnostic de la CPU F.
Dans ce cas, les valeurs de probabilité de défaillance
(https://support.industry.siemens.com/cs/ww/fr/view/109481784) (PFDavg/PFH) pour la
communication de sécurité ne sont plus valables.
Vous trouverez des informations sur les directives d’installation pour PROFINET et PROFIBUS
sous :
• PROFIBUS Installation Guidelines (www.profibus.com/PBInstallationGuide)
• PROFIBUS Interconnection Technology
(http://www.profibus.com/nc/downloads/downloads/profibus-interconnection-
technology/display/)
• PROFINET Installation Guidelines (www.profibus.com/PNInstallationGuide)
• PROFINET Cabling and Interconnection Technology
(http://www.profibus.com/nc/downloads/downloads/profinet-cabling-and-
interconnection-technology/display/)
• PROFIsafe Environment Requirements (www.profibus.com/PROFIsafeRequirements)
Si vos contrôles vous ont permis de conclure que les directives d’installation pour PROFINET et
PROFIBUS ont été respectées, contactez l'assistance technique.

12.3 Remplacement de constituants logiciels et matériels
Introduction
Procédez comme dans le système standard. Tenez également compte des paragraphes
suivants.
Remplacement de composants logiciels

Lorsque vous remplacez des composants logiciels sur votre PG/PC, par exemple en cas de
nouvelle version de STEP 7, vous devez tenir compte des informations concernant la
compatibilité ascendante et descendante fournies dans la documentation et dans les fichiers
lisezmoi des produits concernés (STEP 7 Safety, par exemple).
Lors du remplacement de STEP 7 Safety, vérifiez si la version de STEP 7 Safety figure à
l'annexe 1 du rapport sur le certificat TÜV.
Remplacement de composants matériels

Vous procédez au remplacement de composants matériels pour SIMATIC Safety (CPU F,
périphérie F, piles, etc.) comme pour les systèmes d'automatisation standard.
Si vous remplacez une périphérie F par une périphérie F de n° d'article plus récent, qui occupe
plus d'adresses d'E/S, la plage d'adresses d'E/S désormais plus grande peut déjà être occupée
par d'autres périphéries F.
Par exemple, si vous remplacez un module F-DI 8x24VDC HF de n° d'article 6ES7136-6BA00-
0CA0 par un module F de n° d'article 6ES7136-6BA01-0CA0. L'adresse de fin des adresses
d'entrée et de sortie augmente d'un octet après le remplacement. Dans ce cas, STEP 7
attribue au module F une nouvelle plage d'adresses d'E/S libre. Vous devez ensuite adapter
manuellement la variable correspondante aux nouvelles adresses d'E/S dans la table des
variables.
Remplacement d'une CPU HF dans le système S7-1500 HF redondant

Tenez compte de l'avertissement suivant lors du remplacement d'une CPU HF d'un système
S7-1500HF redondant :
ATTENTION
Si vous remplacez une CPU F dans un système S7-1500HF redondant (par exemple, en
raison d'une défaillance de la CPU, d'un défaut, etc.), vous devez mettre la CPU F de
remplacement en service avec la carte mémoire SIMATIC de la CPU F précédente ou avec
une carte mémoire SIMATIC vide. Cela garantit que, une fois la synchronisation SYNCUP de
la CPU F de remplacement effectuée, seul le programme de sécurité actuel est exécuté.
(S094)

Remplacement de contrôleurs logiciels S7-1500 F
ATTENTION
Après un remplacement de CPU (par exemple, un nouveau PC avec le support de données

de l'ancien PC), un remplacement de support de données (par exemple, un support de
données avec le programme de sécurité 1 est remplacé par un support de données avec le
programme de sécurité 2) ou une mise à jour UEFI, vous devez vérifier à l'écran si la
signature globale F correcte s'affiche ou vous devez procéder à une identification du
programme. (S066)
Débrochage et enfichage de périphérie F durant le fonctionnement

Si le débrochage et l'enfichage sont possibles en cours de fonctionnement pour la périphérie
standard, c'est également le cas pour la périphérie F correspondante. Notez toutefois que le
remplacement d'une périphérie F en fonctionnement entraîne une erreur de communication
dans la CPU F.
Vous devez acquitter l'erreur de communication dans la variable ACK_REI du DB de périphérie
F (Page 162) dans votre programme de sécurité ou bien via l'instruction "ACK_GL (Page 486)".
La périphérie F reste passivée en l'absence d'acquittement.
Mise à jour du firmware de la CPU

Contrôle de l'admissibilité F du système d'exploitation de la CPU Lorsque vous utilisez un
nouveau système d'exploitation dans la CPU (mise à jour du firmware), vous devez vérifier
que le système d'exploitation utilisé est autorisé à l'utilisation dans un système F.
L'annexe au certificat indique à partir de quelle version l'aptitude F est garantie pour le
système d'exploitation de la CPU. Ces indications ainsi que d'éventuelles remarques relatives
au nouveau système d'exploitation de la CPU doivent être prises en compte.
Mise à jour du firmware pour les modules d'interface

Vous devez tenir compte des indications suivantes si vous utilisez un nouveau système
d'exploitation pour un module d'interface, par exemple l'IM 151-1 HIGH FEATURE ET 200S
(mise à jour du firmware) :
Si vous avez sélectionné l'option "Activer le firmware après la mise à jour" lors de la mise à
jour du firmware (voir "En ligne & diagnostic" dans l'aide de STEP 7), l'IM est
automatiquement réinitialisé après le chargement puis fonctionne avec le nouveau système
d'exploitation. Notez que la mise à jour du firmware en cours de fonctionnement pour les
modules d'interface entraîne une erreur de communication dans la CPU F.
Vous devez acquitter l'erreur de communication dans la variable ACK_REI des DB de
périphérie F (Page 162) dans votre programme de sécurité ou bien via l'instruction "ACK_GL
(Page 486)". La périphérie F reste passivée en l'absence d'acquittement.

Maintenance préventive (test périodique)

Les tests périodiques pour les composants électroniques complexes impliquent en général un
remplacement par de nouveaux composants.
Valeurs PFDavg et PFH pour les CPU F S7-300/400 et la périphérie F

Vous trouverez sur Internet (https://support.industry.siemens.com/cs/ww/fr/view/109481784)
une liste des valeurs de probabilité de défaillance (valeurs PFDavg et PFH) pour les composants
utilisables dans SIMATIC Safety.
Valeurs PFDavg et PFH pour les CPU F S7-1200/1500

Vous trouverez ci-après les valeurs de probabilité de défaillance (valeurs PFDavg et PFH) pour
les CPU F S7-1200/1500 pour une durée d'utilisation de 20 ans et un temps de réparation de
100 heures :
Mode à faible sollicitation Mode à forte sollicitation ou continu

low demand mode high demand/continuous mode
selon CEI 61508:2010 : selon CEI 61508:2010 :
PFDavg = Average probability of dangerous failure on PFH = Average frequency of a dangerous failure [h-1]
demand
< 2E-05 < 1E-09 jusqu'à une altitude d'utilisation de 3 000 m ou
< 2E-09 jusqu'à une altitude d'utilisation supérieure à 3 000 m
jusqu'à 5 000 m
Pour plus d'informations sur les conditions d'utilisation des CPU F, voir PI CPU F
(https://support.industry.siemens.com/cs/ww/fr/view/109478599) et PI de PFDavg, valeurs
PFH (https://support.industry.siemens.com/cs/ww/fr/view/109481784).
Valeurs PFDavg et PFH pour la communication de sécurité

Vous trouverez ci-après les valeurs de probabilité de défaillance (valeurs PFDavg et PFH) pour
la communication de sécurité :
Mode à faible sollicitation Mode à forte sollicitation ou continu

low demand mode high demand/continuous mode
selon CEI 61508:2010 : selon CEI 61508:2010 :
PFDavg = Average probability of dangerous failure on PFH = Average frequency of a dangerous failure [h-1]
demand
< 1E-05* < 1E-09*
* Remarque pour les CPU F S7-300/400 :

La valeur PFH s'applique en supposant que 100 périphéries F au maximum participent à une
fonction de sécurité. Si vous utilisez plus de 100 périphéries F, vous devez ajouter 4E-12 par
périphérie F pour cette fonction de sécurité.
La valeur PFDavg s'applique pour une durée d'utilisation de 20 ans et en supposant que 25
périphéries F au maximum participent à une fonction de sécurité. Si vous utilisez plus de 25
périphéries F, vous devez ajouter 3,5E-7 par périphérie F pour cette fonction de sécurité.

12.4 Guide de diagnostic (S7-300, S7-400)
12.4 Guide de diagnostic (S7-300, S7-400)
Introduction
Vous trouverez ici une compilation des possibilités de diagnostic que vous pouvez évaluer
pour votre système F en cas d'erreur. La plupart des possibilités de diagnostic sont identiques
à celles des systèmes d'automatisation standard. La séquence des étapes est donnée à titre de
recommandation.
Étapes d'évaluation des possibilités de diagnostic

Le tableau suivant indique les étapes vous permettant d'évaluer les possibilités de diagnostic.
Étape Procédure Pour une description, voir...

1 Évaluer les LED sur le matériel (CPU F, périphérie F) Manuels de la CPU F et de la péri-
phérie F
• LED BUSF de la CPU F : clignote en cas d'erreur de communication sur
PROFIBUS DP / PROFINET IO ;
allumée en cas d'erreur de programmation si l'OB 85 et l'OB 121 sont

programmés (par exemple, DB d'instance pas chargé)
• LED STOP de la CPU F : allumée lorsque la CPU est à l'état Arrêt
• LED d'erreur de la périphérie F : par exemple LED SF (LED d'erreur grou-
pée), allumée pour toute erreur dans la périphérie F spécifique
2 Évaluer le tampon de diagnostic des modules : Aide de STEP 7 et manuels de la
Vous lisez le tampon de diagnostic d'un module (CPU F, périphérie F, CP) CPU F et de la périphérie F
dans le groupe "Tampon de diagnostic" du dossier "En ligne & Diagnostic" de
sa vue En ligne & Diagnostic.
3 Évaluer les piles de la CPU F : Aide de STEP 7
Lorsque la CPU F est à l'état Arrêt, lire successivement :
• la pile des blocs : vérifier si l'arrêt de la CPU F a été déclenché par un bloc
F du programme de sécurité
• la pile des interruptions
• la pile des données locales

12.5 Guide de diagnostic (S7-1500)
Étape Procédure Pour une description, voir...

4 Évaluer la variable de diagnostic du DB de périphérie F à l'aide de fonc- Accès à la périphérie F (Page 155)
tions de test et de mise en service, d'un système de contrôle-commande
ou du programme utilisateur standard :
Évaluer la variable DIAG dans le DB de périphérie F
5 Évaluer les sorties de diagnostic des DB d'instance d'instructions à l'aide Instructions
de fonctions de test et de mise en service, d'un système de contrôle-
commande ou du programme utilisateur standard :
• Pour MUTING, EV1oo2DI, TWO_H_EN, MUT_P, ESTOP1, FDBACK,
SFDOOR, évaluer dans le DB d'instance associé :
– la sortie DIAG
• Pour SENDDP ou RCVDP, évaluer dans le DB d'instance associé :
– la sortie RET_DPRD/RET_DPWR
– la sortie DIAG
• Pour SENDS7 ou RCVS7, évaluer dans le DB d'instance associé :
– la sortie STAT_RCV
– la sortie STAT_SND
– la sortie DIAG
Conseil pour RET_DPRD/RET_DPWR

Les informations de diagnostic des sorties RET_DPRD/RET_DPWR des instructions SENDDP ou
RCVDP correspondent aux informations de diagnostic de la valeur en retour RETVAL des
instructions "DPRD_DAT" ou "DPWR_DAT". Vous en trouverez la description dans l'aide de
STEP 7 sur les instructions "DPRD_DAT" et "DPWR_DAT".
Conseil pour STAT_RCV et STAT_SND

L'information de diagnostic de la sortie STAT_RCV des instructions SENDS7 ou RCVS7
correspond à l'information de diagnostic de la sortie STATUS de l'instruction "URCV".
L'information de diagnostic de la sortie STAT_SND des instructions SENDS7 ou RCVS7
correspond à l'information de diagnostic de la sortie STATUS de l'instruction "USEND". Vous en
trouverez la description dans l'aide de STEP 7 sur l'instruction "UCRV" ou "USEND".

Vous trouverez des informations détaillées sur le diagnostic d'une CPU F S7-1500 dans la
description fonctionnelle Diagnostic
(http://support.automation.siemens.com/WW/view/fr/59192926).

Vous trouverez des informations détaillées sur le diagnostic d'une CPU F S7-1200 dans le
manuel de sécurité fonctionnelle S7-1200

Instructions STEP 7 Safety V18 13
Vue d'ensemble des instructions pour le programme de sécurité
Lors de la programmation d'un bloc F, vous trouvez dans la Task Card "Instructions" toutes les
instructions que vous pouvez utiliser pour programmer un bloc F en CONT ou en LOG avec la
CPU F configurée.
En plus des instructions pour la programmation de blocs standard que vous connaissez, il y a
des fonctions de sécurité spéciales, par exemple pour la surveillance de commande
bimanuelle, l'analyse de discordance, l'inhibition (muting), l'arrêt/la coupure d'urgence, la
surveillance de protecteur mobile et la surveillance du circuit de réaction, ainsi que des
instructions pour la communication CPU-CPU de sécurité.
Observation à prendre en compte
Remarque
La connexion de l'entrée de validation EN ou de la sortie de validation ENO n'est pas possible.
Exception :
(S7-1200, S7-1500) Vous pouvez programmer une détection de débordement pour les
instructions suivantes en connectant la sortie de validation ENO :
• ADD : Addition (STEP 7 Safety V18) (Page 518)
• SUB : Soustraction (STEP 7 Safety V18) (Page 522)
• MUL : Multiplication (STEP 7 Safety V18) (Page 525)
• DIV : Division (STEP 7 Safety V18) (Page 528)
• NEG : Créer le complément à 2 (STEP 7 Safety V18) (Page 531)
• ABS : Valeur absolue (STEP 7 Safety V18) (S7-1200, S7-1500) (Page 535)
• CONVERT : Convertir valeur (STEP 7 Safety V18) (Page 546)

Instructions STEP 7 Safety V18
13.1 Générales
13.1 Générales
13.1.1 CONT
13.1.1.1 Nouveau réseau (STEP 7 Safety V18)
Condition
Un bloc F est ouvert.
Procédure
Procédez comme suit pour insérer un nouveau réseau :
1. Sélectionnez le réseau après lequel vous voulez insérer un nouveau réseau.
2. Choisissez la commande "Insérer réseau" dans le menu contextuel.
Remarque
Si vous ajoutez un élément dans le dernier réseau encore vide du bloc F dans un programme
CONT, un nouveau réseau vide est automatiquement créé à la suite.
Résultat
Un nouveau réseau vide est inséré dans le bloc F.
13.1.1.2 Boîte vide (STEP 7 Safety V18)
Condition
Un réseau existe.
Procédure
Procédez comme suit pour insérer une instruction CONT dans un réseau à l'aide d'une boîte
vide :
1. Ouvrez la Task Card "Instructions".
2. Naviguez jusqu'à "Instructions de base > Général > Boîte vide".
3. Faites glisser l'élément "Boîte vide" à l'endroit voulu dans le réseau.

13.1 Générales
4. Déplacez le pointeur de la souris au-dessus du triangle jaune situé dans le coin supérieur
droit de la boîte vide.
Une liste déroulante s'ouvre.
5. Sélectionnez l'instruction souhaitée dans la liste déroulante.
Si l'instruction concernée est, en interne, un bloc fonctionnel (FB), la boîte de dialogue
'"Options d'appel" s'ouvre. Dans cette boîte, vous pouvez créer pour le bloc fonctionnel un
bloc de données d'instance comme instance unique ou comme multi-instance, le cas
échéant, dans lequel les données de l'instruction insérée seront enregistrées. Après sa
création, vous trouverez le nouveau bloc de données d'instance sous "Blocs de programme >
Blocs système" dans le dossier "Ressources programme" dans le navigateur de projet. Si vous
avez sélectionné "Multi-instance", vous trouverez celle-ci dans la section "Static" de l'interface
de bloc.
Résultat
La boîte vide est changée en l'instruction correspondante. Des emplacements réservés sont
ménagés pour les paramètres.
13.1.1.3 Ouvrir branche (STEP 7 Safety V18)
Description
Pour programmer des montages en parallèle en langage CONT (schéma à contacts), vous
utilisez des branches. Les branches sont insérées dans le circuit principal. Vous pouvez insérer
plusieurs contacts dans la branche et obtenir ainsi un montage en parallèle de montages en
série. Vous pouvez ainsi programmer des schémas à contacts complexes.
Condition
• Un réseau existe.
• Le réseau contient des éléments.
Procédure
Procédez comme suit pour ajouter une nouvelle branche au réseau :
2. Naviguez jusqu'à "Instructions de base > Général > Ouvrir branche".
3. Faites glisser l'élément à l'endroit voulu dans le réseau.
4. Si vous voulez placer la nouvelle branche directement sur la barre conductrice, faites glisser
l'élément sur la barre.

13.1 Générales
Exemple
La figure suivante montre un exemple d'utilisation des branches :
13.1.1.4 Fermer branche (STEP 7 Safety V18)
Description
Les branches doivent être refermées aux endroits appropriés. Si nécessaire, les branches sont
agencées afin d'éviter qu'elles ne se croisent.
Condition
Une branche existe.
Procédure
Procédez comme suit pour fermer une branche ouverte :
1. Sélectionnez la branche ouverte.
2. Appuyez sur le bouton gauche de la souris et maintenez-le enfoncé.
Une ligne en pointillés s'affiche dès que vous déplacez le pointeur de la souris.
3. Faites glisser la ligne sur un endroit approprié du réseau. Les connexions autorisées sont
signalées par des lignes vertes.
4. Relâchez le bouton gauche de la souris.
exemple

13.1 Générales
13.1.2 LOG
13.1.2.1 Nouveau réseau (STEP 7 Safety V18)
Condition
Un bloc F est ouvert.
Procédure
Procédez comme suit pour insérer un nouveau réseau :
1. Sélectionnez le réseau après lequel vous voulez insérer un nouveau réseau.
2. Choisissez la commande "Insérer réseau" dans le menu contextuel.
Remarque
Si vous ajoutez un élément dans le dernier réseau encore vide du bloc F dans un programme
LOG, un nouveau réseau vide est automatiquement créé à la suite.
Résultat
Un nouveau réseau vide est inséré dans le bloc F.
13.1.2.2 Boîte vide (STEP 7 Safety V18)
Condition
Un réseau existe.
Procédure
Procédez comme suit pour insérer un élément LOG dans un réseau à l'aide d'une boîte vide :
2. Naviguez jusqu'à "Instructions de base > Général > Boîte vide".
3. Faites glisser l'élément "Boîte vide" à l'endroit voulu dans le réseau.
4. Déplacez le pointeur de la souris au-dessus du triangle jaune situé dans le coin supérieur
droit de la boîte vide.
Une liste déroulante s'ouvre.
5. Sélectionnez l'élément LOG voulu dans la liste déroulante.
Si l'instruction concernée est, en interne, un bloc fonctionnel (FB), la boîte de dialogue
'"Options d'appel" s'ouvre. Dans cette boîte, vous pouvez créer pour le bloc fonctionnel un

13.1 Générales
bloc de données d'instance comme instance unique ou comme multi-instance, le cas

échéant, dans lequel les données de l'instruction insérée seront enregistrées. Après sa
création, vous trouverez le nouveau bloc de données d'instance sous "Blocs de programme >
Blocs système" dans le dossier "Ressources programme" dans le navigateur de projet. Si vous
avez sélectionné "Multi-instance", vous trouverez celle-ci dans la section "Static" de l'interface
de bloc.
Résultat
La boîte vide est changée en l'instruction correspondante. Des emplacements réservés sont
ménagés pour les paramètres.
13.1.2.3 Ouvrir branche (STEP 7 Safety V18)
Description
Pour programmer des montages en parallèle avec le langage de programmation LOG
(logigramme), vous utilisez des branches que vous insérez entre les boîtes. Vous pouvez
insérer d'autres boîtes dans la branche et programmer ainsi des logigrammes complexes.
Condition
Un réseau existe.
Procédure
Procédez comme suit pour ajouter une nouvelle branche au réseau :
2. Naviguez jusqu'à "Instructions de base > Général > Branchement" dans la palette.
3. Faites glisser l'élément à l'endroit souhaité sur une ligne de connexion entre deux boîtes.
Exemple

13.1 Générales
13.1.2.4 Insérer entrée TOR (STEP 7 Safety V18)
Description
L'instruction "Insérer entrée" permet d'ajouter une entrée binaire à la boîte de l'une des
instructions suivantes :
• "Opération logique ET"
• "Opération logique OU"
• "Opération logique OU EXCLUSIF"
En agrandissant la boîte d'instruction, vous pourrez interroger l'état logique de plusieurs
opérandes.
Paramètres
Le tableau suivant montre les paramètres de l'instruction :
Paramètre Déclaration Type de don- Description

nées
<opérande> Input BOOL L'opérande indique le bit dont l'état logique est interrogé.
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction :
Une entrée binaire supplémentaire a été ajoutée à la boîte de l'instruction "Opération logique
ET", elle permet d'interroger l'état logique de l'opérande "TagIn_3". La sortie "TagOut" est mise
à 1 lorsque les opérandes "TagIn_1", "TagIn_2" et "TagIn_3" fournissent l'état logique "1".
Voir aussi
Opération logique ET (STEP 7 Safety V18) (Page 414)
Opération logique OU (STEP 7 Safety V18) (Page 415)
X : Opération logique OU EXCLUSIF (STEP 7 Safety V18) (Page 416)

13.2 Opérations logiques sur bits
13.1.2.5 Inverser RLO (STEP 7 Safety V18)
Description
L'instruction "Inverser RLO" permet d'inverser le résultat logique (RLO).
Exemple
La sortie "TagOut" est mise à 1 lorsque les conditions suivantes sont remplies :
• L'entrée "TagIn_1" et/ou "TagIn_2" fournissent l'état logique "0".
• L'entrée "TagIn_3" et/ou "TagIn_4" fournissent l'état logique "0" ou l'entrée "TagIn_5"
fournit l'état logique "1".
13.2.1 CONT
13.2.1.1 ---| |--- : Contact à fermeture (STEP 7 Safety V18)
Description
L'activation d'un contact à fermeture dépend de l'état logique de l'opérande correspondant.
Lorsque l'opérande fournit l'état logique "1", le contact à fermeture se ferme. Le courant
circule de la barre conductrice gauche à la barre conductrice droite à travers le contact à
fermeture et l'état logique à la sortie de l'instruction est mis à "1".
Lorsque l'opérande fournit l'état logique "0", le contact à fermeture n'est pas activé. Le flux de
courant vers la barre conductrice droite est interrompu et l'état logique à la sortie de
l'instruction est mis à "0".
Dans un montage en série, deux ou plusieurs contacts à fermeture sont reliés bit par bit par
une opération ET. Le courant circule dans un montage en série lorsque tous les contacts sont
fermés.
Dans un montage en parallèle, des contacts à fermeture sont reliés par une opération OU. Le
courant circule dans un montage en parallèle lorsque l'un des contacts est fermé.

Paramètres
Paramètres Déclaration Type de don- Description

nées
<opérande> Input BOOL Opérande dont l'état logique est interrogé.
Exemple
L'opérande "TagOut" est mis à 1 lorsque l'une des conditions suivantes est remplie :
• Les opérandes "TagIn_1" et "TagIn_2" fournissent l'état logique "1".
• L'état logique de l'opérande "TagIn_3" est "1".
13.2.1.2 ---| / |--- : Contact à ouverture (STEP 7 Safety V18)
Description
L'activation d'un contact à ouverture dépend de l'état logique de l'opérande correspondant.
Quand l'opérande est à l'état logique "1", le contact à ouverture s'ouvre et la sortie de
l'instruction est mise à l'état logique "0".
Lorsque l'opérande est à l'état logique "0", le contact à ouverture n'est pas activé et la sortie
de l'instruction est mise à l'état logique "1".
Dans un montage en série, deux ou plusieurs contacts à ouverture sont reliés bit par bit par
une opération ET. Le courant circule dans un montage en série lorsque tous les contacts sont
fermés.
Dans un montage en parallèle, des contacts à ouverture sont reliés par une opération OU. Le
courant circule dans un montage en parallèle lorsque l'un des contacts est fermé.
Paramètres

nées
<opérande> Input BOOL Opérande dont l'état logique est interrogé.

Exemple
13.2.1.3 --|NOT|-- : Inverser RLO (STEP 7 Safety V18)
Description
L'instruction "Inverser RLO" permet d'inverser l'état logique du résultat logique (RLO). Si l'état
logique "1" est appliqué à l'entrée de l'instruction, la sortie fournit l'état logique "0". Si l'état
logique est "0" à l'entrée de l'instruction, la sortie fournit l'état logique "1".
Exemple
• L'opérande "TagIn_1" fournit l'état logique "1".
• Les opérandes "TagIn_2" et "TagIn_3" sont à l'état logique "1".

13.2.1.4 ---( )--- : Affectation (STEP 7 Safety V18)
Description
L'instruction "Affectation" permet de mettre à 1 le bit d'un opérande indiqué. Lorsque le
résultat logique (RLO) à l'entrée de la bobine est égal à "1", l'opérande indiqué est mis à l'état
logique "1". Lorsque l'entrée de la bobine est à l'état logique "0", le bit de l'opérande indiqué
est mis à "0".
Cette instruction n'influence pas le RLO. Le RLO à l'entrée de la bobine est transmis
directement à la sortie.
L'instruction "Affectation" peut être placée à n'importe quel endroit dans le réseau.
Paramètres

nées
<opérande> Output BOOL Opérande auquel le RLO est affecté
Exemple
13.2.1.5 ---( R )--- : Mise à 0 de la sortie (STEP 7 Safety V18)
Description
L'instruction "Mise à 0 sortie" permet de mettre à 0 l'état logique d'un opérande indiqué.
Si le courant circule vers la bobine (RLO égal à "1"), l'opérande indiqué est mis à "0". Lorsque
le RLO à l'entrée de la bobine est égal à "0" (pas de flux de signal dans la bobine), l'état
logique de l'opérande indiqué reste inchangé.

directement à la sortie de la bobine.
Remarque
Si vous voulez utiliser un opérande formel d'une FC F comme opérande de l'instruction, celui-
ci doit être déclaré comme paramètre d'entrée/sortie.
Remarque
Si la plage d'opérandes "Données locales (temp)" est utilisée pour l'opérande de l'instruction,
le bit de données locales utilisé doit être initialisé au préalable.
Remarque
Vous ne devez pas utiliser les plages d'opérandes "Mémoire image des entrées", "Mémoire
image des sorties" de la périphérie standard, "DB standard" et "Mémentos" pour l'opérande de
l'instruction.
Paramètres
Paramètres Déclaration Type de données Description

<opérande> Output BOOL Opérande mis à 0 lorsque RLO = "1"
Exemple

13.2.1.6 ---( S )--- : Mise à 1 de la sortie (STEP 7 Safety V18)
Description
Si le courant circule vers la bobine (RLO égal à "1"), l'opérande indiqué est mis à "1". Lorsque
le RLO à l'entrée de la bobine est égal à "0" (pas de flux de signal dans la bobine), l'état
logique de l'opérande indiqué reste inchangé.
directement à la sortie de la bobine.
Remarque
Cette instruction n'est pas exécutée lorsqu'elle s'applique à une sortie d'une périphérie F qui
est passivée (au démarrage du système F, par exemple). N'accédez par conséquent aux
sorties de la périphérie F qu'avec l'instruction "Affectation" dans la mesure du possible.
Il y a passivation d'une sortie d'une périphérie F si QBAD ou QBAD_O_xx = 1 ou l'état de la
valeur = 0 dans le DB de périphérie F associé.
Remarque
Remarque
Remarque
l'instruction.
Paramètres

nées

Exemple
13.2.1.7 SR : Bascule 'mise à 1/mise à 0' (STEP 7 Safety V18)
Description
L'instruction "Bascule 'mise à 1/mise à 0'" permet de mettre à 1 ou à 0 le bit d'un opérande
indiqué en fonction de l'état logique aux entrées S et R1. Si l'état logique est égal à "1" à
l'entrée S et à "0" à l'entrée R1, l'opérande indiqué est mis à "1". Si l'état logique est égal à "0"
à l'entrée S et à "1" à l'entrée R1, l'opérande indiqué est mis à "0".
L'entrée R1 domine l'entrée S. Si l'état logique est égal à "1" aux deux entrées S et R1, l'état
logique de l'opérande indiqué est mis à "0".
Si l'état logique est égal à "0" aux deux entrées S et R1, l'instruction n'est pas exécutée. Dans
ce cas, l'état logique de l'opérande reste inchangé.
L'état logique actuel de l'opérande est transmis à la sortie Q où il peut être interrogé.
Remarque
Remarque
Vous ne devez pas utiliser les plages d'opérandes "Mémoire image du processus", "DB
standard" et "Mémentos" pour l'opérande de l'instruction.

Paramètres

S Input BOOL Valider la mise à 1
R1 Input BOOL Valider la mise à 0
<opérande> Output BOOL Opérande à mettre à 1 ou à 0
Q Output BOOL État logique de l'opérande
Exemple
Les opérandes ""F_DB_1".TagSR" et "TagOut" sont mis à 1 lorsque les conditions suivantes
sont remplies :
Les opérandes ""F_DB_1".TagSR" et "TagOut" sont mis à 0 lorsque l'une des conditions
suivantes est remplie :
• L'opérande "TagIn_1" fournit l'état logique "0" et l'opérande "TagIn_2" fournit l'état logique
"1".
• Les deux opérandes "TagIn_1" et "TagIn_2" fournissent l'état logique "1".
13.2.1.8 RS : Bascule 'mise à 0/mise à 1' (STEP 7 Safety V18)
Description
L'instruction "Bascule 'mise à 0, mise à 1'" permet de mettre à 0 ou à 1 le bit d'un opérande
indiqué en fonction de l'état logique aux entrées R et S1. Si l'état logique est égal à "1" à
l'entrée R et à "0" à l'entrée S1, l'opérande indiqué est mis à "0". Si l'état logique est égal à "0"
à l'entrée R et à "1" à l'entrée S1, l'opérande indiqué est mis à "1".
L'entrée S1 domine l'entrée R. Si l'état logique est égal à "1" aux deux entrées R et S1, l'état
Si l'état logique est égal à "0" aux deux entrées R et S1, l'instruction n'est pas exécutée. Dans

Remarque
Remarque
Paramètres

R Input BOOL Valider la mise à 0
S1 Input BOOL Valider la mise à 1
Exemple
Les opérandes ""F_DB_1".TagRS" et "TagOut" sont mis à 0 lorsque les conditions suivantes
sont remplies :
sont remplies :
"1".

13.2.1.9 --|P|-- : Interroger front montant d'un opérande (STEP 7 Safety V18)
Description
L'instruction "Interroger front montant d'un opérande" permet de détecter un changement de
"0" à "1" dans l'état logique d'un opérande indiqué (<opérande1>). L'instruction compare
l'état logique actuel de l'<opérande1> à celui de l'interrogation précédente, mémorisé dans
<opérande2>. Il y a front montant si l'instruction détecte un changement de "0" à "1" dans le
résultat logique.
Lorsqu'un front montant est détecté, la sortie de l'instruction fournit l'état logique "1". Dans
tous les autres cas, l'état logique est "0" à la sortie de l'instruction.
Vous indiquez l'opérande à interroger (<opérande1>) dans l'emplacement réservé au-dessus
de l'instruction. Vous indiquez le mémento de front (<opérande2>) dans l'emplacement
réservé en dessous de l'instruction.
Remarque
L'adresse du mémento de front ne doit pas être utilisée plusieurs fois dans le programme, car
le mémento de front serait alors écrasé. Cela influerait sur l'évaluation du front, si bien que le
résultat deviendrait ambigu.
Remarque
Si vous voulez utiliser un opérande formel d'une FC F comme mémento de front
<opérande2> de l'instruction, celui-ci doit être déclaré comme paramètre d'entrée/sortie.
Remarque
standard" et "Mémentos" pour le mémento de front <opérande2> de l'instruction.
Si la plage d'opérandes "Données locales (temp)" est utilisée pour le mémento de front
<opérande2> de l'instruction, le bit de données locales utilisé doit être initialisé au préalable.
Paramètres

<opérande1> Input BOOL Signal à interroger
<opérande2> InOut BOOL Mémento de front dans lequel est mémorisé l'état
logique de l'interrogation précédente

Exemple
L'opérande "TagOut" est mis à 1 lorsque les conditions suivantes sont remplies :
• Il y a un front montant à l'entrée "TagIn_1". L'état logique de l'interrogation précédente est
mémorisé dans le mémento de front ""F_DB_1".Tag_M".
13.2.1.10 --|N|-- : Interroger front descendant d'un opérande (STEP 7 Safety V18)
Description
L'instruction "Interroger front descendant d'un opérande" permet de détecter un changement
de "1" à "0" dans l'état logique d'un opérande indiqué. L'instruction compare l'état logique
actuel de l'<opérande1> à celui de l'interrogation précédente, mémorisé dans <opérande2>.
Il y a front descendant si l'instruction détecte un changement de "1" à "0" dans le résultat
logique.
Lorsqu'un front descendant est détecté, la sortie de l'instruction fournit l'état logique "1".
Dans tous les autres cas, l'état logique est "0" à la sortie de l'instruction.
Remarque
Remarque

Remarque
Paramètres

<opérande2> InOut BOOL Mémento de front dans lequel est mémorisé l'état lo-
gique de l'interrogation précédente
Exemple
L'opérande "TagOut" est mis à 1 lorsque les conditions suivantes sont remplies :
• Il y a un front descendant à l'opérande "TagIn_1". L'état logique de l'interrogation
précédente est mémorisé dans le mémento de front ""F_DB_1".Tag_M".
13.2.1.11 P_TRIG : Interroger front montant du RLO (STEP 7 Safety V18)
Description
L'instruction "Interroger front montant du RLO" permet de détecter un changement de "0" à
"1" dans l'état logique du résultat logique (RLO). L'instruction compare l'état logique actuel du
résultat logique (RLO) à celui de l'interrogation précédente, mémorisé dans le mémento de
front <opérande>. Il y a front montant si l'instruction détecte un changement de "0" à "1"
dans le RLO.

Remarque
Remarque
Si vous voulez utiliser un opérande formel d'une FC F comme mémento de front <opérande>
de l'instruction, celui-ci doit être déclaré comme paramètre d'entrée/sortie.
Remarque
standard" et "Mémentos" pour le mémento de front <opérande> de l'instruction.
<opérande> de l'instruction, le bit de données locales utilisé doit être initialisé au préalable.
Paramètres

CLK Input BOOL RLO actuel
<opérande> InOut BOOL Mémento de front dans lequel est mémorisé le RLO de
l'interrogation précédente
Q Output BOOL Résultat de l'évaluation du front
Exemple
Le RLO de l'opération sur bits précédente est mémorisé dans le mémento de front
""F_DB_1".Tag_M". Le saut au repère de saut CAS1 est exécuté si un changement de "0" à "1"
est détecté dans l'état logique du RLO.

13.2.1.12 N_TRIG : Interroger front descendant du RLO (STEP 7 Safety V18)
Description
L'instruction "Interroger front descendant du RLO" permet de détecter un changement de "1"
à "0" dans l'état logique du résultat logique (RLO). L'instruction compare l'état logique actuel
du résultat logique à celui de l'interrogation précédente, mémorisé dans le mémento de front
<opérande>. Il y a front descendant si l'instruction détecte un changement de "1" à "0" dans le
RLO.
Remarque
Remarque
Remarque
Paramètres


Exemple
13.2.2 LOG
13.2.2.1 Opération logique ET (STEP 7 Safety V18)
Description
L'instruction "Opération logique ET" permet d'interroger les états logiques de deux ou
plusieurs opérandes indiqués et de les évaluer selon la table de vérité ET.
Si l'état logique de tous les opérandes est "1", la condition est remplie et l'instruction fournit
le résultat "1". Si l'un des opérandes est à l'état logique "0", la condition n'est pas remplie et
l'instruction fournit le résultat "0".
Si l'instruction "Opération logique ET" est la première dans une chaîne opératoire, elle
mémorise le résultat de son interrogation d'état logique dans le bit RLO.
Toute instruction "Opération logique ET" suivante dans la chaîne opératoire combine le
résultat de son interrogation d'état logique avec la valeur mémorisée dans le bit RLO. Cette
opération se fait selon la table de vérité ET.
Paramètres

nées

Exemple
La sortie "TagOut" est mise à 1 si l'état logique des opérandes "TagIn_1" et "TagIn_2" est "1".
Table de vérité ET
Le tableau suivant montre les résultats de la liaison de deux opérandes par un ET logique :
État logique du premier opérande État logique du deuxième opé- Résultat logique
rande
1 1 1
0 1 0
1 0 0
0 0 0
Voir aussi
Insérer entrée TOR (STEP 7 Safety V18) (Page 399)
13.2.2.2 Opération logique OU (STEP 7 Safety V18)
Description
L'instruction "Opération logique OU" permet d'interroger les états logiques de deux ou
plusieurs opérandes indiqués et de les évaluer selon la table de vérité OU.
Si l'état logique d'au moins un opérande est "1", la condition est remplie et l'instruction
fournit le résultat "1". Si l'état logique de tous les opérandes est "0", la condition n'est pas
remplie et l'instruction fournit le résultat "0".
Si l'instruction "Opération logique OU" est la première dans une chaîne opératoire, elle
mémorise le résultat de son interrogation d'état logique dans le bit RLO.
Toute instruction "Opération logique OU" suivante dans la chaîne opératoire combine le
résultat de son interrogation d'état logique avec la valeur mémorisée dans le bit RLO. Cette
opération se fait selon la table de vérité OU.
Paramètres

nées

Exemple
La sortie "TagOut" est mise à 1 si l'état logique de l'opérande "TagIn_1" ou "TagIn_2" est "1".
Table de vérité OU
Le tableau suivant montre les résultats de la liaison de deux opérandes par un OU logique :
État logique du premier opérande État logique du deuxième opé- Résultat logique
rande
1 0 1
0 1 1
1 1 1
0 0 0
Voir aussi
13.2.2.3 X : Opération logique OU EXCLUSIF (STEP 7 Safety V18)
Description
L'instruction "Opération logique OU EXCLUSIF" permet d'interroger le résultat d'une
interrogation d'état logique selon la table de vérité OU EXCLUSIF.
Pour l'instruction "Opération logique OU EXCLUSIF", l'état logique "1" est obtenu lorsque l'état
logique de l'un des deux opérandes indiqués est "1". Si l'interrogation porte sur plus de deux
opérandes, le résultat logique global est égal à "1" lorsqu'un nombre impair d'opérandes
interrogés fournit le résultat "1".
Paramètres

<opérande> Input BOOL L'opérande indique le bit dont l'état logique est interro-
gé.

Exemple
La sortie "TagOut" est mise à 1 si l'état logique de l'un des deux opérandes "TagIn_1" et
"TagIn_2" est "1". Si les deux opérandes sont à l'état logique "1" ou "0", la sortie "TagOut" est
mise à 0.
Table de vérité OU EXCLUSIF

Le tableau suivant montre les résultats de la liaison de deux opérandes par un OU EXCLUSIF :
État logique du premier opé- État logique du deuxième opérande Résultat logique
rande
1 0 1
0 1 1
1 1 0
0 0 0
Le tableau suivant montre les résultats de la liaison de trois opérandes par un OU EXCLUSIF :
État logique du premier État logique du deu- État logique du Résultat logique
opérande xième opérande troisième opérande
1 0 0 1
0 1 1 0
0 1 0 1
1 0 1 0
0 0 1 1
1 1 0 0
1 1 1 1
0 0 0 0
Voir aussi

13.2.2.4 = : Affectation (STEP 7 Safety V18)
Description
L'instruction "Affectation" permet de mettre à 1 le bit d'un opérande indiqué. Lorsque le
résultat logique (RLO) à l'entrée de la boîte fournit l'état logique "1" ou que l'entrée de la boîte
n'est pas connectée pour les CPU F S7-1200/1500, l'opérande indiqué est mis à l'état logique
"1". Lorsque l'état logique à l'entrée de la boîte est "0", le bit de l'opérande indiqué est mis à
"0".
Cette instruction n'influence pas le RLO. Le RLO à l'entrée de la boîte est affecté directement à
l'opérande situé au-dessus de la boîte d'affectation.
L'instruction "Affectation" peut être placée à n'importe quel endroit de la chaîne opératoire.
Paramètres

nées
<opérande> Output BOOL Opérande auquel le RLO est affecté
Exemple
L'opérande "TagOut" à la sortie de l'instruction "Affectation" est mis à 1 lorsque l'une des
conditions suivantes est remplie :
• Les entrées "TagIn_1" et "TagIn_2" fournissent l'état logique "1".
• L'état logique est "0" à l'entrée "TagIn_3".
13.2.2.5 R : Mise à 0 de la sortie (STEP 7 Safety V18)
Description
Si l'entrée de la boîte fournit l'état logique "1" ou n'est pas connectée pour les CPU F
S7-1200/1500, l'opérande indiqué est mis à "0". Lorsque le résultat logique à l'entrée de la
boîte est égal à "0", l'état logique de l'opérande indiqué reste inchangé.

Cette instruction n'influence pas le RLO. Le RLO à l'entrée de la boîte est transmis directement
à la sortie de la boîte.
Remarque
Remarque
Remarque
l'instruction.
Paramètres

nées
Exemple

13.2.2.6 S : Mise à 1 de la sortie (STEP 7 Safety V18)
Description
Si l'entrée de la boîte fournit l'état logique "1" ou n'est pas connectée pour les CPU F
S7-1200/1500, l'opérande indiqué est mis à "1". Lorsque le résultat logique à l'entrée de la
boîte est égal à "0", l'état logique de l'opérande indiqué reste inchangé.
Cette instruction n'influence pas le RLO. Le RLO à l'entrée de la boîte est transmis directement
à la sortie de la boîte.
Remarque
Cette instruction n'est pas exécutée lorsqu'elle s'applique à une sortie d'une périphérie F qui
est passivée (au démarrage du système F, par exemple). N'accédez par conséquent aux
sorties de la périphérie F qu'avec l'instruction "Affectation" dans la mesure du possible.
Il y a passivation d'une sortie d'une périphérie F si QBAD ou QBAD_O_xx = 1 ou l'état de la
valeur = 0 dans le DB de périphérie F associé.
Remarque
Remarque
Remarque
l'instruction.
Paramètres

nées

Exemple
13.2.2.7 SR : Bascule 'mise à 1/mise à 0' (STEP 7 Safety V18)
Description
L'instruction "Bascule 'mise à 1/mise à 0'" permet de mettre à 1 ou à 0 le bit d'un opérande
indiqué en fonction de l'état logique aux entrées S et R1. Si l'état logique est égal à "1" à
l'entrée S et à "0" à l'entrée R1, l'opérande indiqué est mis à "1". Si l'état logique est égal à "0"
à l'entrée S et à "1" à l'entrée R1, l'opérande indiqué est mis à "0".
L'entrée R1 domine l'entrée S. Si l'état logique est égal à "1" aux deux entrées S et R1, l'état
Si l'état logique est égal à "0" aux deux entrées S et R1, l'instruction n'est pas exécutée. Dans
Remarque
Remarque
Si la plage d'opérandes "Données locales (temp)" est utilisée pour les mémentos de front de
l'instruction, le bit de données locales utilisé doit être initialisé au préalable.

Paramètres

S Input BOOL Valider la mise à 1
R1 Input BOOL Valider la mise à 0
Exemple
Les opérandes ""F_DB_1".TagSR" et "TagOut" sont mis à 1 lorsque les conditions suivantes
sont remplies :
Les opérandes ""F_DB_1".TagSR" et "TagOut" sont mis à 0 lorsque l'une des conditions
suivantes est remplie :
"1".
• Les deux opérandes "TagIn_1" et "TagIn_2" fournissent l'état logique "1".
13.2.2.8 RS : Bascule 'mise à 0/mise à 1' (STEP 7 Safety V18)
Description
L'instruction "Bascule 'mise à 0, mise à 1'" permet de mettre à 0 ou à 1 le bit d'un opérande
indiqué en fonction de l'état logique aux entrées R et S1. Si l'état logique est égal à "1" à
l'entrée R et à "0" à l'entrée S1, l'opérande indiqué est mis à "0". Si l'état logique est égal à "0"
à l'entrée R et à "1" à l'entrée S1, l'opérande indiqué est mis à "1".
L'entrée S1 domine l'entrée R. Si l'état logique est égal à "1" aux deux entrées R et S1, l'état
Si l'état logique est égal à "0" aux deux entrées R et S1, l'instruction n'est pas exécutée. Dans

Remarque
Remarque
Si la plage d'opérandes "Données locales (temp)" est utilisée pour les mémentos de front de
l'instruction, le bit de données locales utilisé doit être initialisé au préalable.
Paramètres

R Input BOOL Valider la mise à 0
S1 Input BOOL Valider la mise à 1
Exemple
sont remplies :
sont remplies :
"1".

13.2.2.9 P : Interroger front montant d'un opérande (STEP 7 Safety V18)
Description
L'instruction "Interroger front montant d'un opérande" permet de détecter un changement de
"0" à "1" dans l'état logique d'un opérande indiqué (<opérande1>). L'instruction compare
l'état logique actuel de l'<opérande1> à celui de l'interrogation précédente, mémorisé dans
<opérande2>. Il y a front montant si l'instruction détecte un changement de "0" à "1" dans le
résultat logique.
Remarque
Remarque
Remarque
Paramètres

<opérande2> InOut BOOL Mémento de front dans lequel est mémorisé l'état lo-
gique de l'interrogation précédente

Exemple
• Il y a un front montant à l'entrée "TagIn_1".
13.2.2.10 N : Interroger front descendant d'un opérande (STEP 7 Safety V18)
Description
L'instruction "Interroger front descendant d'un opérande" permet de détecter un changement
de "1" à "0" dans l'état logique d'un opérande indiqué. L'instruction compare l'état logique
actuel de l'<opérande1> à celui de l'interrogation précédente, mémorisé dans <opérande2>.
Il y a front descendant si l'instruction détecte un changement de "1" à "0" dans le résultat
logique.
Remarque
Remarque
Remarque

Paramètres

<opérande2> InOut BOOL Mémento de front dans lequel est mémorisé l'état logique
de l'interrogation précédente
Exemple
• Il y a un front descendant à l'entrée "TagIn_1".
13.2.2.11 P_TRIG : Interroger front montant du RLO (STEP 7 Safety V18)
Description
L'instruction "Interroger front montant du RLO" permet de détecter un changement de "0" à
"1" dans l'état logique du résultat logique (RLO). L'instruction compare l'état logique actuel du
résultat logique à celui de l'interrogation précédente, mémorisé dans le mémento de front
<opérande>. Il y a front montant si l'instruction détecte un changement de "0" à "1" dans le
RLO.
Remarque
Remarque

Remarque
Paramètres

Exemple
13.2.2.12 N_TRIG : Interroger front descendant du RLO (STEP 7 Safety V18)
Description
L'instruction "Interroger front descendant du RLO" permet de détecter un changement de "1"
à "0" dans l'état logique du résultat logique (RLO). L'instruction compare l'état logique actuel
du résultat logique à celui de l'interrogation précédente, mémorisé dans le mémento de front
<opérande>. Il y a front descendant si l'instruction détecte un changement de "1" à "0" dans le
RLO.

Remarque
Remarque
Remarque
Paramètres

Exemple

13.3 Fonctions de sécurité
13.3.1 ESTOP1 : ARRÊT d'URGENCE/COUPURE d'URGENCE jusqu'à catégorie d'arrêt 1

(STEP 7 Safety V18)
Description
Cette instruction prend en charge la réalisation d'un arrêt d'urgence ou d'une coupure
d'urgence avec acquittement pour la catégorie d'arrêt 0 et 1, pour satisfaire aux exigences de
IEC 60204 ou IEC 61800-5-2. Pour satisfaire entièrement aux exigences de la norme
correspondante, il est possible que des mesures supplémentaires décrites dans cette norme
soient nécessaires.
Le signal de validation Q est mis à 0 dès que l'entrée E_STOP prend l'état logique 0 (catégorie
d'arrêt 0). Le signal de validation Q_DELAY est mis à 0 après le temps de retard paramétré à
l'entrée TIME_DEL (catégorie d'arrêt 1).
Le signal de validation Q n'est remis à 1 que lorsque l'entrée E_STOP prend l'état logique "1"
et qu'un acquittement est effectué. L'acquittement pour la validation est réalisé en fonction
du paramétrage à l'entrée ACK_NEC :
• Si ACK_NEC = 0, l'acquittement est automatique.
• Si ACK_NEC = 1, vous devez utiliser un front montant à l'entrée ACK pour acquitter la
validation.
La sortie ACK_REQ signale que l'acquittement nécessite un acquittement utilisateur à l'entrée
ACK. L'instruction met la sortie ACK_REQ à 1 dès que l'entrée E_STOP est égale à 1.
L'instruction met ACK_REQ à 0 une fois l'acquittement effectué.
Il faut associer à chaque appel de l'instruction ESTOP1 (Emergency STOP/emergency OFF up
to stop category 1) une zone de données dans laquelle les données de l'instruction sont
stockées. Ainsi, l'insertion de l'instruction dans le programme déclenche automatiquement
l'ouverture de la boîte de dialogue "Options d'appel" dans laquelle vous pouvez créer un bloc
de données (instance unique) (par exemple, ESTOP1_DB_1) ou une multi-instance (par
exemple, ESTOP1_Instance_1) pour l'instruction "Emergency STOP/emergency OFF up to stop
category 1". Après sa création, vous trouverez le nouveau bloc de données sous "Blocs de
programme > Blocs système" dans le dossier "STEP 7 Safety" dans le navigateur de projet ou la
multi-instance comme variable locale dans la section "Static" de l'interface du bloc. Vous
trouverez plus d'informations à ce sujet dans l'aide de STEP 7.
La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" n'est pas
possible. L'instruction est donc toujours exécutée (quel que soit l'état logique à l'entrée de
validation "EN").
ATTENTION
Le paramétrage de la variable ACK_NEC = 0 n'est autorisé que si un redémarrage

automatique du processus correspondant est exclu d'une autre manière. (S033)

ATTENTION
Lors de la détermination de vos temps de réaction, tenez compte des imprécisions

temporelles suivantes en cas d'utilisation d'une instruction avec traitement temporel :
• Imprécision de temps connue du programme utilisateur standard, résultant du
traitement cyclique
• Imprécision temporelle résultant de l'heure d'actualisation de la base de temps utilisée
dans l'instruction (voir la figure sous "Imprécision temporelle résultant de l'heure
d'actualisation de la base de temps utilisée dans l'instruction")
• Tolérance de la surveillance interne des temporisations dans la CPU F
– au maximum 4 ms pour des valeurs de temps inférieures à 200 ms
– au maximum 2 % de la valeur de temps (paramétrée) pour des valeurs de temps
supérieures à 200 ms
• Tolérance de la surveillance interne des temporisations dans la CPU HF S7-1500
Vous devez sélectionner l'intervalle entre deux appels d'une instruction avec traitement
temporel de manière à atteindre les temps de réaction requis tout en tenant compte des
imprécisions temporelles possibles. (S034)
Remarque : En présence de deux voies conformément à la catégorie 3, 4 selon la norme ISO

13849-1:2015 ou EN ISO 13849-1:2015, la surveillance de discordance des deux contacts à
ouverture de l'arrêt/la coupure d'urgence doit déjà avoir lieu dans la périphérie F. Il faut donc
configurer la périphérie F en conséquence (exploitation des capteurs : 2 voies, équivalente) et
connecter le résultat de l'évaluation à l'entrée E_STOP. Pour que le temps de réaction ne soit
pas influencé par le temps de discordance, vous devez paramétrer "Délivrer valeur 0" comme
comportement de discordance lors de la configuration.
Paramètres

E_STOP Input BOOL Arrêt/coupure d'urgence
ACK_NEC Input BOOL 1 = acquittement nécessaire
ACK Input BOOL 1 = acquittement
TIME_DEL Input TIME Temps de retard
Q Output BOOL 1 = validation
Q_DELAY Output BOOL Validation avec retard à la retombée
ACK_REQ Output BOOL 1 = acquittement nécessaire
DIAG Output BYTE Information de service non de sécurité

Versions de l'instruction
Plusieurs versions sont disponibles pour cette instruction :
Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
1.0 x — — La version 1.0 requiert que le bloc F_TOF avec le numéro FB 186 soit
disponible dans le dossier "Blocs de programme / Blocs système / STEP 7
Safety" dans le navigateur de projet.
La version 1.0 de l'instruction est automatiquement utilisée lors de la
migration de projets créés avec S7 Distributed Safety V5.4 SP5. Lorsque
vous voulez compiler un programme de sécurité migré pour la première
fois avec STEP 7 Safety Advanced, nous vous recommandons de d'abord
mettre l'instruction à niveau à la version disponible la plus récente. Vous
éviterez ainsi des conflits de numérotation.
1.1 x — — Ces versions sont fonctionnellement identiques à la version 1.0, mais ne
1.2 x — o requièrent pas que bloc F_TOF ait un numéro particulier.
1.3 x o o
1.4 x o o
1.5 x x x
1.6 x x x Le comportement du temps de retard TIME_DEL pour les CPU F
S7-1200/1500 a été aligné sur celui des CPU F S7-300/400 : si l'entrée
ESTOP change (0 -> 1 (acquittement compris) -> 0) alors que le temps de
retard s'écoule, le temps de retard est redémarré.
o Cette version n'est plus prise en charge.
Vous trouverez plus d'informations sur l'utilisation des versions d'instruction sous "Utiliser des
versions d'instruction" dans l'aide de STEP 7.
Comportement au démarrage
Après un démarrage du système F, vous devez acquitter l'instruction par un front montant à
l'entrée ACK si ACK_NEC = 1.
Sortie DIAG
La sortie DIAG fournit, aux fins de service, des informations non de sécurité sur les erreurs qui
se sont produites. Vous pouvez lire ces informations au moyen de systèmes de contrôle-
commande ou les évaluer, le cas échéant, dans votre programme utilisateur standard. Les bits
DIAG 4 et 5 restent mémorisés jusqu'à ce que vous procédiez à l'acquittement à l'entrée ACK.

Structure de DIAG

Bit 0 Temps de retard TIM_DEL Temps de retard paramétré < Paramétrer un temps de
paramétré incorrect 0 retard > 0
Bit 4 Acquittement impossible, car Bouton de coupure/d'arrêt Déverrouiller le bouton de
coupure/arrêt d'urgence en- d'urgence verrouillé coupure/d'arrêt d'urgence
core actif Erreur de périphérie F, erreur Voir la solution à la section
de voie ou erreur de com- "Structure de DIAG", bits 0 à
munication ou passivation 6, sous DIAG (Page 170)
via PASS_ON de la périphérie
F du bouton de cou-
pure/d'arrêt d'urgence
Bouton de coupure/d'arrêt Vérifier le bouton de cou-
d'urgence défectueux pure/d'arrêt d'urgence
Erreur de câblage Vérifier le câblage du bouton
de coupure/d'arrêt d'urgence
Bit 5 En l'absence de validation, Bouton d'acquittement dé- Vérifier le bouton d'acquit-
l'entrée ACK est en perma- fectueux tement
nence à l'état logique 1. Erreur de câblage Vérifier le câblage du bouton
d'acquittement
Bit 6 Acquittement nécessaire — —
(= état de ACK_REQ)
Bit 7 État de la sortie Q — —

Imprécision temporelle résultant de l'heure d'actualisation de la base de temps utilisée dans

l'instruction
① Lors du premier appel au cycle n+1, l'instant d'appel de l'instruction par rapport au début du
groupe d'exécution F est antérieur de Δ1 à celui du cycle n parce que, par exemple, des parties
du programme de sécurité du groupe d'exécution F sont sautées avant l'appel de l'instruction au
cycle n+1. Lors de l'actualisation du temps, l'instruction tient compte du temps TBase_1 au lieu du
temps T1 qui s'est effectivement écoulé depuis l'appel au cycle n.
② L'instruction est appelée une deuxième fois au cycle n+1. Il n'y a pas de nouvelle actualisation
du temps (de Δ2).
③ Lors de l'appel au cycle n+2, l'instant d'appel de l'instruction par rapport au début du groupe
d'exécution F est postérieur de Δ3 à celui du cycle n parce que, par exemple, le groupe d'exécu-
tion F a été interrompu par une alarme de priorité plus élevée avant l'appel de l'instruction au
cycle n+2. Au lieu du temps T3 qui s'est effectivement écoulé depuis l'appel au cycle n, l'instruc-
tion a pris en compte le temps TBase_1 + TBase_2. Il en serait de même si aucun appel n'avait eu lieu
au cycle n+1.

Exemple
13.3.2 TWO_HAND : Surveillance de commande bimanuelle (STEP 7 Safety

Advanced V18) (S7-300, S7-400)
Description
Cette instruction prend en charge la réalisation d'une surveillance de commande bimanuelle
pour satisfaire aux exigences de la norme ISO 13851. Pour satisfaire entièrement aux
exigences de la norme, il est possible que des mesures supplémentaires décrites dans cette
norme soient nécessaires.
Remarque
Cette instruction est disponible uniquement pour les CPU F S7-300 et S7-400. Pour les CPU F
S7-1200/1500, vous disposez de l'instruction "Two-hand monitoring with enable"
(Surveillance de commande bimanuelle avec validation). L'instruction "Surveillance de
commande bimanuelle avec validation" remplace l'instruction "Surveillance de commande
bimanuelle" avec des fonctions compatibles.
Si les boutons-poussoirs IN1 et IN2 sont actionnés pendant le temps de discordance autorisé
DISCTIME ≤ 500 ms (IN1/IN2 = 1) (actionnement synchrone), le signal de validation Q est mis
à 1. Si la différence de temps entre l'actionnement du bouton-poussoir IN1 et celui du
bouton-poussoir IN2 est supérieure à DISCTIME, les boutons-poussoirs doivent être relâchés
puis à nouveau actionnés.
Q est mis à 0 dès que l'un des boutons-poussoirs est relâché (IN1/IN2 = 0). Le signal de
validation Q ne peut être remis à 1 que lorsque l'autre bouton-poussoir a également été
relâché et que les deux boutons-poussoirs sont ensuite à nouveau actionnés durant le temps
de discordance. Le signal de validation Q ne peut jamais être mis à 1 si le temps de
discordance est configuré à des valeurs < 0 ou > 500 ms.

Il faut associer à chaque appel de l'instruction TWO_HAND (Two-hand monitoring) une zone
de données dans laquelle les données de l'instruction sont stockées. Ainsi, l'insertion de
l'instruction dans le programme déclenche automatiquement l'ouverture de la boîte de
dialogue "Options d'appel" dans laquelle vous pouvez créer un bloc de données (instance
unique) (par exemple, TWO_HAND_DB_1) ou une multi-instance (par exemple,
TWO_HAND_Instance_1) pour l'instruction "Two-hand monitoring". Après sa création, vous
trouverez le nouveau bloc de données sous "Blocs de programme > Blocs système" dans le
dossier "STEP 7 Safety" dans le navigateur de projet ou la multi-instance comme variable
locale dans la section "Static" de l'interface du bloc. Vous trouverez plus d'informations à ce
sujet dans l'aide de STEP 7.
validation "EN").
Remarque : Il n'est possible d'évaluer qu'un seul signal par bouton-poussoir dans
l'instruction. La surveillance de discordance du contact à ouverture et du contact à fermeture
des boutons-poussoirs IN1 et IN2 est réalisée directement par la périphérie F avec entrées en
cas de configuration appropriée (exploitation des capteurs : exploitation 1oo2 (1de2),
antivalente). Le contact à fermeture doit être câblé de manière à fournir le signal utile (voir le
manuel de la périphérie F utilisée). Pour que le temps de réaction ne soit pas influencé par le
temps de discordance, vous devez paramétrer "Délivrer valeur 0" comme comportement de
discordance lors de la configuration. Si une discordance est détectée, la valeur de
remplacement 0 est inscrite dans la mémoire image des entrées (MIE) pour le bouton-
poussoir et QBAD ou QBAD_I_xx est mis à 1 dans le DB de périphérie F correspondant (voir
aussi Accès à la périphérie F (Page 155)).
ATTENTION

traitement cyclique

Paramètres

IN1 Input BOOL Bouton-poussoir 1
DISCTIME Input TIME Temps de discordance (0 ... 500 ms)

l'instruction
du temps (de Δ2).
au cycle n+1.

Exemple
13.3.3 TWO_H_EN : Surveillance de commande bimanuelle avec validation (STEP 7

Safety V18)
Description
Cette instruction prend en charge la réalisation d'une surveillance de commande bimanuelle
avec validation pour satisfaire aux exigences de la norme ISO 13851. Pour satisfaire
entièrement aux exigences de la norme, il est possible que des mesures supplémentaires
décrites dans cette norme soient nécessaires.
Si les boutons-poussoirs IN1 et IN2 sont actionnés pendant le temps de discordance autorisé
DISCTIME ≤ 500 ms (IN1/IN2 = 1) (actionnement synchrone), le signal de validation Q est mis
à 1 en présence de la validation ENABLE = 1. Si la différence de temps entre l'actionnement
du bouton-poussoir IN1 et celui du bouton-poussoir IN2 est supérieure à DISCTIME, les
boutons-poussoirs doivent être relâchés puis à nouveau actionnés.
Q est mis à 0 dès que l'un des boutons-poussoirs est relâché (IN1/IN 2 = 0) ou que la
validation ENABLE égale 0. Le signal de validation Q ne peut être remis à 1 que lorsque l'autre
bouton-poussoir a également été relâché et que les deux boutons-poussoirs sont ensuite à
nouveau actionnés durant le temps de discordance en présence de la validation ENABLE = 1.
Il faut associer à chaque appel de l'instruction TWO_H_EN (Two-hand monitoring with
enable) une zone de données dans laquelle les données de l'instruction sont stockées. Ainsi,
l'insertion de l'instruction dans le programme déclenche automatiquement l'ouverture de la
boîte de dialogue "Options d'appel" dans laquelle vous pouvez créer un bloc de données
(instance unique) (par exemple, TWO_H_EN_DB_1) ou une multi-instance (par exemple,
TWO_H_EN_Instance_1) pour l'instruction "Two-hand monitoring with enable". Après sa
création, vous trouverez le nouveau bloc de données sous "Blocs de programme > Blocs
système" dans le dossier "STEP 7 Safety" dans le navigateur de projet ou la multi-instance
comme variable locale dans la section "Static" de l'interface du bloc. Vous trouverez plus
d'informations à ce sujet dans l'aide de STEP 7.


validation "EN").
Remarque : Il n'est possible d'évaluer qu'un seul signal par bouton-poussoir dans
l'instruction. La surveillance de discordance du contact à ouverture et du contact à fermeture
des boutons-poussoirs IN1 et IN2 est réalisée directement par la périphérie F avec entrées en
cas de configuration appropriée (exploitation des capteurs : exploitation 1oo2 (1de2),
antivalente). Le contact à fermeture doit être câblé de manière à fournir le signal utile (voir le
manuel de la périphérie F utilisée). Pour que le temps de réaction ne soit pas influencé par le
temps de discordance, vous devez paramétrer "Délivrer valeur 0" comme comportement de
discordance lors de la configuration.
Si une discordance est détectée, la valeur de remplacement 0 est inscrite dans la mémoire
image des entrées (MIE) pour le bouton-poussoir et QBAD ou QBAD_I_xx est mis à 1 ou l'état
de la valeur est mis à 0 dans le DB de périphérie F correspondant.
ATTENTION

traitement cyclique

Paramètres

ENABLE Input BOOL Entrée de validation
DISCTIME Input TIME Temps de discordance (0 ... 500 ms)
Sélectionnez un temps de discordance > 0 ms pour l'utili-
sation en production.
Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
1.0 x — — La version 1.0 de l'instruction est automatiquement utilisée lors de la
migration de projets créés avec S7 Distributed Safety V5.4 SP5.
Lorsque vous voulez compiler un programme de sécurité migré pour la
première fois avec STEP 7 Safety Advanced, nous vous recommandons de
d'abord mettre l'instruction à niveau à la version disponible la plus ré-
cente.
1.1 x — o Ces versions sont fonctionnellement identiques à la version 1.0.
1.2 x o o
1.3 x x x
Sortie DIAG
DIAG 0 à 5 restent mémorisés jusqu'à ce que la cause de l'erreur soit éliminée.

Structure de DIAG

Bit 0 Temps de discordance DISCTIME Temps de discordance paramétré < Paramétrer un temps de discordance
paramétré incorrect 0 ou > 500 ms compris entre 0 et 500 ms
Bit 1 Temps de discordance écoulé Le temps de discordance paramétré Augmenter le temps de discordance
est trop court. si nécessaire
Les boutons-poussoirs n'ont pas été Relâcher les boutons-poussoirs et les
actionnés pendant le temps de actionner pendant le temps de dis-
discordance. cordance
Erreur de câblage Vérifier le câblage des boutons-
poussoirs
Boutons-poussoirs défectueux Vérifier les boutons-poussoirs
Les boutons-poussoirs sont câblés Voir la solution à la section "Struc-
sur des périphéries F différentes et ture de DIAG", bits 0 à 6, sous DIAG
il y a erreur de périphérie F, erreur (Page 170)
de voie ou erreur de communica-
tion ou passivation via PASS_ON
dans une périphérie F.
Bit 4 Séquence d'actionnement incor- Un bouton-poussoir n'a pas été Relâcher les boutons-poussoirs et les
recte relâché. actionner pendant le temps de dis-
cordance
Boutons-poussoirs défectueux Vérifier les boutons-poussoirs
Bit 5 La validation ENABLE manque. Validation ENABLE = 0 Mettre la validation ENABLE à 1,
relâcher les boutons-poussoirs et les
actionner pendant le temps de dis-
cordance


l'instruction
du temps (de Δ2).
au cycle n+1.

Exemple
13.3.4 MUTING : Inhibition (muting) (STEP 7 Safety Advanced V18)

(S7-300, S7-400)
Description
Cette instruction réalise une inhibition (muting) parallèle avec deux ou quatre détecteurs
d'inhibition.
Remarque
Cette instruction est disponible uniquement pour les CPU F S7-300 et S7-400. Pour les CPU F
S7-1200/1500, vous disposez de l'instruction "Inhibition parallèle (Page 454)". L'instruction
"Inhibition parallèle" remplace l'instruction "Inhibition" avec des fonctions compatibles.
L'inhibition ou "muting" correspond à une désactivation définie de la fonction de protection

de barrières immatérielles. Le fonctionnement avec inhibition des barrières immatérielles
peut être utilisé pour amener des marchandises ou des objets dans la zone de danger
surveillée par la barrière immatérielle sans que la machine ne s'arrête.
Au moins deux détecteurs à fonction "muting" (ou détecteurs à inhibition) câblés
indépendamment l'un de l'autre sont nécessaires pour utiliser la fonction d'inhibition.
L'utilisation de deux ou quatre détecteurs à inhibition ainsi que l'intégration correcte dans le
processus de production doivent garantir qu'aucune personne ne pénètre dans la zone de
danger lorsque la barrière immatérielle est désactivée.

Il faut associer à chaque appel de l'instruction "Muting" une zone de données dans laquelle les
données de l'instruction sont stockées. Ainsi, l'insertion de l'instruction dans le programme
déclenche automatiquement l'ouverture de la boîte de dialogue "Options d'appel" dans
laquelle vous pouvez créer un bloc de données (instance unique) (par exemple,
MUTING_DB_1) ou une multi-instance (par exemple, MUTING_Instance_1) pour l'instruction
"Muting". Après sa création, vous trouverez le nouveau bloc de données sous "Blocs de
validation "EN").
ATTENTION

traitement cyclique

Paramètres

MS_11 Input BOOL Détecteur à inhibition 1 de la paire de détecteurs 1
STOP Input BOOL 1 = convoyeur à l'arrêt
FREE Input BOOL 1 = barrière immatérielle non interrompue
QBAD_MUT Input BOOL Signal QBAD de la périphérie F ou signal
QBAD_O_xx de la voie de la lampe d'inhibition
DISCTIM1 Input TIME Temps de discordance de la paire de détecteurs 1
(0 ... 3 s)
(0 ... 3 s)
TIME_MAX Input TIME Temps d'inhibition maximal (0 ... 10 min)
ACK Input BOOL Acquittement du blocage du redémarrage
Q Output BOOL 1 = validation, pas désactivé
MUTING Output BOOL Signalisation inhibition active
ACK_REQ Output BOOL Acquittement nécessaire
FAULT Output BOOL Défaut groupé
Schéma d'un procédé d'inhibition de détection réalisé correctement au moyen de 4 détecteurs à

inhibition (MS_11, MS_12, MS_21, MS_22)

• L'instruction démarre la fonction MUTING lorsque les deux détecteurs à inhibition MS_11
et MS_12 sont activés par le produit durant DISCTIM1 (ils prennent l'état logique 1). Le
signal de validation Q reste à 1 même lorsque l'entrée FREE = 0 (barrière immatérielle
interrompue par le produit). La sortie MUTING pour l'activation de la lampe d'inhibition
prend la valeur 1.
Remarque
La lampe d'inhibition peut être surveillée grâce à l'entrée QBAD_MUT. Pour cela, raccordez
la lampe d'inhibition à une sortie avec surveillance de rupture de fil d'une périphérie F et
connectez l'entrée QBAD_MUT au signal QBAD de la périphérie F correspondante ou au
signal QBAD_O_xx de la voie correspondante. Si QBAD_MUT = 1, l'instruction met fin à
l'inhibition. Si aucune surveillance de la lampe d'inhibition n'est nécessaire, vous n'avez
pas besoin de connecter l'entrée QBAD_MUT.
Seules des périphéries F détectant une rupture de fil rapidement après l'activation de la
procédure d'inhibition sont adaptées (voir le manuel de la périphérie F spécifique).
• Tant que les deux détecteurs à inhibition MS_11 et MS_12 restent activés, la fonction
MUTING de l'instruction laisse Q à 1 et MUTING à 1 (de sorte que le produit peut traverser
la barrière immatérielle sans que la machine ne s'arrête).

• Les deux détecteurs à inhibition MS_21 et MS_22 doivent s'activer (durant DISCTIM2)
avant que les détecteurs à inhibition MS_11 et MS_12 ne se désactivent (prennent l'état
logique 0). L'instruction maintient ainsi la fonction MUTING (Q = 1, MUTING = 1).
• Ce n'est que lorsque l'un des deux détecteurs à inhibition MS_21 ou MS_22 se désactive
(le produit a franchi les détecteurs) que la fonction MUTING prend fin (Q = 1, MUTING =
0). La fonction MUTING doit être active au maximum pendant le temps paramétré à
l'entrée TIME_MAX.
Remarque
La fonction MUTING démarre également si le produit passe la barrière immatérielle dans
l'autre sens activant ainsi les détecteurs à inhibition dans l'ordre inverse.

Chronogrammes d'une procédure d'inhibition sans erreur avec 4 détecteurs à inhibition
Schéma d'un procédé d'inhibition de détection avec des barrières photoélectriques reflex
Si des barrières réflex sont utilisées comme détecteurs à inhibition, elles sont généralement
disposées de manière croisée.
Comme cette configuration ne requiert en général que deux barrières immatérielles comme
détecteurs à inhibition, seules les entrées MS_11 et MS_12 sont connectées.
Le fonctionnement est analogue à celui décrit pour la procédure d'inhibition avec 4
détecteurs à inhibition. L'étape 3 est supprimée. Dans la description de l'étape 4, remplacez
MS_21 et MS_22 par MS_11 et MS_12 respectivement.

Blocage du redémarrage en cas d'interruption de la barrière immatérielle (si MUTING n'est pas
actif), en cas d'erreurs et au démarrage du système F
Le signal de validation Q ne peut pas être mis à 1 ou prend la valeur 0 dans les cas suivants :
• La barrière immatérielle est interrompue (par exemple, par une personne ou le transport
de matériel) alors que la fonction MUTING n'est pas active.
• La surveillance de la lampe d'inhibition se déclenche à l'entrée QBAD_MUT.
• La paire de détecteurs 1 (MS_11 et MS_12) ou la paire de détecteurs 2 (MS_21 et MS_22)
ne s'activent ou ne se désactivent pas durant les temps de discordance DISCTIM1 ou
DISCTIM2.
• La fonction MUTING est active plus longtemps que le temps d'inhibition maximal
TIME_MAX.
• Les temps de discordance DISCTIM1 ou DISCTIM2 ont été paramétrés avec des valeurs < 0
ou > 3 s.
• Le temps d'inhibition maximal TIME_MAX a été paramétré avec une valeur < 0 ou >
10 min.
Dans ces cas, la sortie FAULT (défaut groupé) est mise à 1 (blocage du redémarrage). Si la
fonction MUTING est en cours d'exécution, elle est arrêtée et la sortie MUTING prend la
valeur 0.
ATTENTION
Si, lors du démarrage du système de sécurité, une combinaison valide des détecteurs à
fonction "muting" est constatée immédiatement (par exemple, parce que les détecteurs à
fonction "muting" sont connectés aux entrées d'une périphérie standard fournissant
immédiatement des valeurs de processus après le démarrage du système F), la fonction
MUTING est démarrée immédiatement et la sortie MUTING et le signal de validation Q
prennent la valeur 1. La sortie FAULT (défaut groupé) n'est pas mise à 1 (pas de blocage du
redémarrage). (S035)
Acquittement utilisateur du blocage du redémarrage

Le signal de validation Q reprend la valeur 1 lorsque :
• la barrière immatérielle n'est plus interrompue,
• les erreurs éventuelles sont éliminées (voir la sortie DIAG)
et
• un acquittement utilisateur a lieu avec front montant à l'entrée ACK (voir aussi Réalisation
d'un acquittement utilisateur (Page 183)).

La sortie FAULT est mise à 0. La sortie ACK_REQ = 1 signale qu'un acquittement utilisateur à
l'entrée ACK est nécessaire pour supprimer le blocage du redémarrage. L'instruction met
ACK_REQ à 1 dès que la barrière immatérielle n'est plus interrompue ou que les erreurs ont
été corrigées. Une fois l'acquittement effectué, l'instruction met ACK_REQ à 0.
Remarque
ACK_REQ est immédiatement mis à 1 après des erreurs de discordance et après dépassement
du temps d'inhibition maximal. Dès qu'un acquittement utilisateur est réalisé à l'entrée ACK,
les temps de discordance DISCTIM1 ou DISCTIM2 et le temps d'inhibition maximal TIME_MAX
sont réinitialisés.
Chronogrammes en cas d'erreur de discordance sur la paire de détecteurs 1 ou d'interruption de

la barrière immatérielle (si MUTING n'est pas actif)
① La paire de détecteurs 1 (MS_11 et MS_12) ne s'active pas durant le temps de dis-

cordance DISCTIM1.
② La barrière immatérielle est interrompue alors que la fonction MUTING n'est pas
active.
③ Acquittement

Comportement en cas de convoyeur à l'arrêt

Si la surveillance doit être désactivée pour l'une des raisons suivantes alors que le convoyeur
est à l'arrêt :
• respect du temps de discordance DISCTIM1 ou DISCTIM2
• respect du temps d'inhibition maximal TIME_MAX
vous devez appliquer un signal "1" à l'entrée STOP tant que dure l'arrêt du convoyeur. Dès que
le convoyeur fonctionne à nouveau (STOP = 0), les temps de discordance DISCTIM1 ou
DISCTIM2 et le temps d'inhibition maximal TIME_MAX sont réinitialisés.
ATTENTION
Lorsque STOP = 1, la surveillance du temps de discordance est désactivée. Si, pendant ce

temps, les deux entrées MSx1/MSx2 d'une paire de détecteurs prennent l'état de signal 1 en
raison d'une erreur non détectée, par exemple parce que les deux détecteurs à fonction
"muting" tombent en panne après la mise à 1, l'erreur n'est pas détectée et la fonction
MUTING peut être lancée involontairement. (S036)
Sortie DIAG
DIAG restent mémorisés jusqu'à ce que vous procédiez à l'acquittement à l'entrée ACK.

Structure de DIAG

Bit 0 Erreur de discordance ou temps de Perturbation dans le processus de Éliminer la perturbation dans le proces-
discordance DISCTIM 1 incorrect production sus de production
paramétré pour la paire de détec- Détecteur défectueux Vérifier les détecteurs
teurs 1
Erreur de câblage Vérifier le câblage des détecteurs
Les détecteurs sont câblés sur des Voir la solution à la section "Structure
périphéries F différentes et il y a de DIAG", bits 0 à 6, sous DIAG
erreur de périphérie F, erreur de (Page 170)
voie ou erreur de communication
ou passivation via PASS_ON dans
une périphérie F.
Le temps de discordance paramétré Augmenter le temps de discordance si
est trop court. nécessaire
Temps de discordance paramétré < Paramétrer un temps de discordance
0 s ou > 3 s compris entre 0 s et 3 s
Bit 1 Erreur de discordance ou temps de Comme pour le bit 0 Comme pour le bit 0
discordance DISCTIM 2 incorrect
paramétré pour la paire de détec-
teurs 2
Bit 2 Temps d'inhibition maximal Perturbation dans le processus de Éliminer la perturbation dans le proces-
TIME_MAX dépassé ou mal para- production sus de production
métré Le temps d'inhibition maximal Augmenter le temps d'inhibition
paramétré est trop court. maximal si nécessaire
Temps d'inhibition paramétré < 0 s Paramétrer un temps d'inhibition com-
ou > 10 min pris entre 0 s et 10 min
Bit 3 Barrière immatérielle interrompue Barrière immatérielle défectueuse Vérifier la barrière immatérielle
et fonction MUTING inactive Erreur de câblage Vérifier le câblage de la barrière imma-
térielle (entrée FREE)
Erreur de périphérie F, erreur de Voir la solution à la section "Structure
voie ou erreur de communication de DIAG", bits 0 à 6, sous DIAG
ou passivation via PASS_ON de la (Page 170)
périphérie F de la barrière immaté-
rielle
(entrée FREE)
Voir les autres bits DIAG
Bit 4 Lampe d'inhibition défectueuse ou Lampe d'inhibition défectueuse Remplacer la lampe d'inhibition
non activable Erreur de câblage Vérifier le câblage de la lampe d'inhibi-
tion
Erreur de périphérie F, erreur de Voir la solution à la section "Structure
voie ou erreur de communication de DIAG", bits 0 à 6, sous DIAG
périphérie F de la lampe d'inhibi-
tion


l'instruction
du temps (de Δ2).
au cycle n+1.

Exemple

13.3.5 MUT_P : Inhibition parallèle (STEP 7 Safety V18)
Description
Cette instruction réalise une inhibition (muting) parallèle avec deux ou quatre détecteurs
d'inhibition.
L'inhibition ou "muting" correspond à une désactivation définie de la fonction de protection
de barrières immatérielles. Le fonctionnement avec inhibition des barrières immatérielles
peut être utilisé pour amener des marchandises ou des objets dans la zone de danger
surveillée par la barrière immatérielle sans que la machine ne s'arrête.
Au moins deux détecteurs à fonction "muting" (ou détecteurs à inhibition) câblés
indépendamment l'un de l'autre sont nécessaires pour utiliser la fonction d'inhibition.
L'utilisation de deux ou quatre détecteurs à inhibition ainsi que l'intégration correcte dans le
processus de production doivent garantir qu'aucune personne ne pénètre dans la zone de
danger lorsque la barrière immatérielle est désactivée.
Il faut associer à chaque appel de l'instruction "Parallel muting" une zone de données dans
laquelle les données de l'instruction sont stockées. Ainsi, l'insertion de l'instruction dans le
programme déclenche automatiquement l'ouverture de la boîte de dialogue "Options d'appel"
dans laquelle vous pouvez créer un bloc de données (instance unique) (par exemple,
MUT_P_DB_1) ou une multi-instance (par exemple, MUT_P_Instance_1) pour l'instruction
"Parallel muting". Après sa création, vous trouverez le nouveau bloc de données sous "Blocs
de programme > Blocs système" dans le dossier "STEP 7 Safety" dans le navigateur de projet
ou la multi-instance comme variable locale dans la section "Static" de l'interface du bloc. Vous


validation "EN").
ATTENTION

traitement cyclique
Paramètres

MS_11 Input BOOL Détecteur à inhibition 11
STOP Input BOOL 1 = convoyeur à l'arrêt
FREE Input BOOL 1 = barrière immatérielle non interrompue
ENABLE Input BOOL 1 = validation de l'inhibition
QBAD_MUT Input BOOL Signal QBAD de la périphérie F ou signal QBAD_O_xx /
état de la valeur inversé de la voie de la lampe d'inhi-
bition
ACK Input BOOL Acquittement du blocage du redémarrage
(0 ... 3 s)
(0 ... 3 s)
TIME_MAX Input TIME Temps d'inhibition maximal (0…10 min)
Q Output BOOL 1 = validation, pas désactivé


MUTING Output BOOL Signalisation inhibition active
ACK_REQ Output BOOL Acquittement nécessaire
FAULT Output BOOL Défaut groupé
DIAG Output WORD Information de service non de sécurité
Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
1.0 x* — — La version 1.0 de l'instruction est automatiquement utilisée lors de la
première fois avec STEP 7 Safety Advanced, nous vous recommandons
de d'abord mettre l'instruction à niveau à la version disponible la plus
récente.
1.1 x* — — Ces versions sont fonctionnellement identiques à la version 1.0.
1.2 x* — o La sortie DIAG peut désormais être connectée correctement à des opé-
1.3 x* o o randes de type de données WORD.
1.4 x x x

* S7-300/400 : En présence d'un blocage du redémarrage (sortie FAULT = 1) et si ENABLE = 1, la sortie ACK_REQ est mise à
1 même si au moins un détecteur à inhibition n'est pas activé. Utilisez les bits DIAG 5 et 6 pour plus d'informations.
Schéma d'un procédé d'inhibition de détection réalisé correctement au moyen de 4 détecteurs à

inhibition (MS_11, MS_12, MS_21, MS_22)

• L'instruction démarre la fonction MUTING lorsque les deux détecteurs à inhibition MS_11
et MS_12 sont activés par le produit durant DISCTIM1 (ils prennent l'état logique 1) et que
MUTING est validé par l'entrée ENABLE = 1. Le signal de validation Q reste à 1 même
lorsque l'entrée FREE = 0 (barrière immatérielle interrompue par le produit). La sortie
MUTING pour l'activation de la lampe d'inhibition prend la valeur 1.
Remarque
La lampe d'inhibition peut être surveillée grâce à l'entrée QBAD_MUT. Pour cela, raccordez
la lampe d'inhibition à une sortie avec surveillance de rupture de fil d'une périphérie F et
connectez l'entrée QBAD_MUT au signal QBAD de la périphérie F correspondante ou au
signal QBAD_O_xx / à l'état de la valeur inversé de la voie correspondante. Si QBAD_MUT =
1, l'instruction met fin à l'inhibition. Si aucune surveillance de la lampe d'inhibition n'est
nécessaire, vous n'avez pas besoin de connecter l'entrée QBAD_MUT.
Seules des périphéries F détectant une rupture de fil rapidement après l'activation de la
procédure d'inhibition sont adaptées (voir le manuel de la périphérie F spécifique).
• Tant que les deux détecteurs à inhibition MS_11 et MS_12 restent activés, la fonction
MUTING de l'instruction laisse Q à 1 et MUTING à 1 (de sorte que le produit peut traverser
la barrière immatérielle sans que la machine ne s'arrête). Chacun des deux détecteurs à
inhibition MS_11 ou MS_12 peut alors se désactiver (prendre l'état logique 0) brièvement
(t < DISCTIM1).

• Les deux détecteurs à inhibition MS_21 et MS_22 doivent s'activer (durant DISCTIM2)
avant que les deux détecteurs à inhibition MS_11 et MS_12 ne se désactivent (prennent
l'état logique 0). L'instruction maintient ainsi la fonction MUTING (Q = 1, MUTING = 1).
Ce n'est que lorsque les deux détecteurs à inhibition MS_21 et MS_22 se désactivent (le
produit a franchi les détecteurs) que la fonction MUTING prend fin (Q = 1, MUTING = 0). La
fonction MUTING doit être active au maximum pendant le temps paramétré à l'entrée
TIME_MAX.
Remarque
La fonction MUTING démarre également si le produit passe la barrière immatérielle dans
l'autre sens activant ainsi les détecteurs à inhibition dans l'ordre inverse.

Chronogrammes d'une procédure d'inhibition sans erreur avec 4 détecteurs à inhibition
Schéma d'un procédé d'inhibition de détection avec des barrières photoélectriques reflex
Si des barrières réflex sont utilisées comme détecteurs à inhibition, elles sont généralement
disposées de manière croisée.
Comme cette configuration ne requiert en général que deux barrières immatérielles comme
détecteurs à inhibition, seules les entrées MS_11 et MS_12 sont connectées.
Le fonctionnement est analogue à celui décrit pour la procédure d'inhibition avec 4
détecteurs à inhibition. L'étape 3 est supprimée. Dans la description de l'étape 4, remplacez
MS_21 et MS_22 par MS_11 et MS_12 respectivement.

Blocage du redémarrage en cas d'interruption de la barrière immatérielle (MUTING n'est pas

actif), ainsi qu'en cas d'erreurs et au démarrage du système F
Le signal de validation Q ne peut pas être mis à 1 ou prend la valeur 0 dans les cas suivants :
• La barrière immatérielle est interrompue (par exemple, par une personne ou le transport
de matériel) alors que la fonction MUTING n'est pas active.
• La barrière immatérielle est interrompue et la surveillance de la lampe d'inhibition se
déclenche à l'entrée QBAD_MUT.
• La barrière immatérielle est interrompue et la fonction MUTING n'est pas validée par
l'entrée ENABLE = 1.
• La paire de détecteurs 1 (MS_11 et MS_12) ou la paire de détecteurs 2 (MS_21 et MS_22)
ne s'activent ou ne se désactivent pas durant les temps de discordance DISCTIM1 ou
DISCTIM2.
• La fonction MUTING est active plus longtemps que le temps d'inhibition maximal
TIME_MAX.
• Les temps de discordance DISCTIM1 ou DISCTIM2 ont été paramétrés avec des valeurs < 0
ou > 3 s.
• Le temps d'inhibition maximal TIME_MAX a été paramétré avec une valeur < 0 ou >
10 min.
• Un démarrage du système F a lieu (que la barrière immatérielle soit interrompue ou non
puisque la périphérie F est passivée après un démarrage du système F et que l'entrée FREE
prend donc initialement la valeur 0).
Dans ces cas, la sortie FAULT (défaut groupé) est mise à 1 (blocage du redémarrage). Si la
fonction MUTING est en cours d'exécution, elle est arrêtée et la sortie MUTING prend la
valeur 0.
Acquittement utilisateur du blocage du redémarrage (aucun détecteur à inhibition activé ou

ENABLE = 0)
• la barrière immatérielle n'est plus interrompue,
et
• un acquittement utilisateur a lieu avec front montant à l'entrée ACK (voir aussi Réalisation
d'un acquittement utilisateur (Page 183)).
La sortie FAULT est mise à 0. La sortie ACK_REQ = 1 (et le bit DIAG 6) signale qu'un
acquittement utilisateur à l'entrée ACK est nécessaire pour supprimer le blocage du
redémarrage. L'instruction met ACK_REQ à 1 dès que la barrière immatérielle n'est plus
interrompue ou que les erreurs ont été corrigées. Une fois l'acquittement effectué,
l'instruction met ACK_REQ à 0.

Acquittement utilisateur du blocage du redémarrage (au moins un détecteur à inhibition activé

et ENABLE = 1)
• un dégagement (fonction FREE) est réalisé jusqu'à ce qu'une combinaison valide des
détecteurs à inhibition soit détectée
La sortie FAULT est mise à 0. La fonction MUTING est redémarrée le cas échéant et la sortie
MUTING prend la valeur 1 lorsqu'une combinaison valide des détecteurs à inhibition est
détectée. Lorsque ENABLE = 1, la sortie ACK_REQ = 1 (et le bit DIAG 5) signale qu'un
dégagement (fonction FREE) est nécessaire pour éliminer l'erreur et supprimer le blocage du
redémarrage. Une fois le dégagement effectué, l'instruction met ACK_REQ à 0.
Remarque
Lorsque le temps d'inhibition maximal TIME_MAX a été dépassé, il est réinitialisé dès que la
fonction MUTING est redémarrée.
Dégagement (fonction FREE)

Si une erreur ne peut pas être corrigée immédiatement, la fonction FREE permet de dégager
la zone d'inhibition. Le signal de validation Q et la sortie MUTING sont alors temporairement
mis à 1. La fonction FREE peut être utilisée si
• ENABLE = 1,
• au moins un détecteur à inhibition est activé,
• un acquittement utilisateur avec front montant à l'entrée ACK a lieu dans les 4 s et le
deuxième acquittement utilisateur à l'entrée ACK reste à l'état logique 1 (le bouton
d'acquittement reste actionné).
ATTENTION
En cas d'utilisation de la fonction FREE, vous devez surveiller l'action. Vous devez à tout
moment pouvoir interrompre une situation de mise en danger par relâchement du bouton
d'acquittement. Le bouton d'acquittement doit être placé de manière à ce que l'ensemble de
la zone de danger puisse être surveillé. (S037)

Chronogrammes en cas d'erreur de discordance sur la paire de détecteurs 1 ou d'interruption de

la barrière immatérielle (MUTING n'est pas actif)
① La paire de détecteurs 1 (MS_11 et MS_22) ne s'active pas durant le temps de dis-

cordance DISCTIM1.
② La barrière immatérielle est interrompue alors qu'il n'y a pas de validation
(ENABLE=0).
③ Dégagement (fonction FREE)
④ Acquittement

Comportement en cas de convoyeur à l'arrêt

Si la surveillance doit être désactivée pour l'une des raisons suivantes alors que le convoyeur
est à l'arrêt :
• respect du temps de discordance DISCTIM1 ou DISCTIM2
• respect du temps d'inhibition maximal TIME_MAX
vous devez appliquer un signal "1" à l'entrée STOP tant que dure l'arrêt du convoyeur. Dès que
le convoyeur fonctionne à nouveau (STOP = 0), les temps de discordance DISCTIM1 ou
DISCTIM2 et le temps d'inhibition maximal TIME_MAX sont réinitialisés.
ATTENTION
Lorsque STOP = 1 ou ENABLE = 0, la surveillance de la discordance est désactivée. Si,

pendant ce temps, les deux entrées MSx1/MSx2 d'une paire de détecteurs prennent l'état de
signal 1 en raison d'une erreur non détectée, par exemple parce que les deux détecteurs à
fonction "muting" tombent en panne après la mise à 1, l'erreur n'est pas détectée et la
fonction MUTING peut être lancée involontairement (si ENABLE = 1). (S038)
Sortie DIAG
DIAG 0 à 6 restent mémorisés jusqu'à ce que vous procédiez à l'acquittement à l'entrée ACK.
Structure de DIAG

Bit 0 Erreur de discordance ou temps de Perturbation dans le processus de Éliminer la perturbation dans le
discordance DISCTIM 1 incorrect production processus de production
paramétré pour la paire de détec- Détecteur défectueux Vérifier les détecteurs
teurs 1
Erreur de câblage Vérifier le câblage des détecteurs
Les détecteurs sont câblés sur des Voir la solution à la section "Struc-
périphéries F différentes et il y a ture de DIAG", bits 0 à 6, sous DIAG
erreur de périphérie F, erreur de (Page 170)
voie ou erreur de communication ou
passivation via PASS_ON dans une
périphérie F.
Le temps de discordance paramétré Augmenter le temps de discordance
est trop court. si nécessaire
Temps de discordance paramétré < Paramétrer un temps de discor-
0 s ou > 3 s dance compris entre 0 s et 3 s
Bit 1 Erreur de discordance ou temps de Comme pour le bit 0 Comme pour le bit 0
discordance DISCTIM 2 incorrect
paramétré pour la paire de détec-
teurs 2
Bit 2 Temps d'inhibition maximal Perturbation dans le processus de Éliminer la perturbation dans le
TIME_MAX dépassé ou mal paramé- production processus de production


tré Le temps d'inhibition maximal pa- Augmenter le temps d'inhibition
ramétré est trop court. maximal si nécessaire
Temps d'inhibition paramétré < 0 s Paramétrer un temps d'inhibition
ou > 10 min compris entre 0 s et 10 min
Bit 3 Barrière immatérielle interrompue et ENABLE = 0 Mettre ENABLE à 1
fonction MUTING inactive Barrière immatérielle défectueuse Vérifier la barrière immatérielle
Erreur de câblage Vérifier le câblage de la barrière
immatérielle (entrée FREE)
Erreur de périphérie, erreur de voie Voir la solution à la section "Struc-
ou erreur de communication ou ture de DIAG", bits 0 à 6, sous DIAG
passivation via PASS_ON de la péri- (Page 170)
phérie F de la barrière immatérielle
(entrée FREE)
Démarrage du système F Dégagement, voir le bit DIAG 5
Voir les autres bits DIAG
Bit 4 Lampe d'inhibition défectueuse ou Lampe d'inhibition défectueuse Remplacer la lampe d'inhibition
non activable Erreur de câblage Vérifier le câblage de la lampe
d'inhibition
Erreur de périphérie F, erreur de Voir la solution à la section "Struc-
voie ou erreur de communication ou ture de DIAG", bits 0 à 6, sous DIAG
passivation via PASS_ON de la péri- (Page 170)
phérie F de la lampe d'inhibition
Bit 5 Dégagement nécessaire Voir les autres bits DIAG Réaliser deux fronts montants à
l'entrée ACK dans les 4 s et mainte-
nir le bouton d'acquittement ac-
tionné jusqu'à ce que ACK_REQ = 0
Bit 8 État de la sortie MUTING — —
Bit 9 Dégagement actif — —
...


l'instruction
du temps (de Δ2).
au cycle n+1.

Exemple

13.3.6 EV1oo2DI : Exploitation 1oo2 (1de2) avec analyse de discordance (STEP 7

Safety V18)
Description
Cette instruction réalise une exploitation 1oo2 (1de2) de deux capteurs monovoie combinée
à une analyse de discordance.
La sortie Q est mise à 1 lorsque les états logiques des deux entrées IN1 et IN2 sont égaux à 1
et qu'aucune erreur de discordance DISC_FLT n'est mémorisée. Si l'état logique de l'une ou
des deux entrées est 0, la sortie Q est mise à 0.
Le temps de discordance DISCTIME démarre dès que les états logiques des deux entrées IN1
et IN2 diffèrent. Si les états logiques des deux entrées sont toujours différents à l'expiration
du temps de discordance, une erreur de discordance est détectée et DISC_FLT est mis à 1
(blocage du redémarrage).
Si aucune discordance n'est plus détectée entre les entrées IN1 et IN2, l'erreur de discordance
est acquittée en fonction du paramétrage de ACK_NEC :
• Si ACK_NEC = 1, vous pouvez acquitter l'erreur de discordance par un front montant à
l'entrée ACK.
La sortie ACK_REQ = 1 signale qu'un acquittement utilisateur à l'entrée ACK est nécessaire
pour acquitter l'erreur de discordance (suppression du blocage du redémarrage). L'instruction
met ACK_REQ à 1 dès qu'elle ne détecte plus de discordance. L'instruction met ACK_REQ à 0
une fois l'acquittement effectué ou si elle détecte une nouvelle discordance entre les états
logiques des deux entrées IN1 et IN2 avant un acquittement.
La sortie Q ne peut jamais être mise à 1 si le temps de discordance est configuré à des valeurs
< 0 ou > 60 s. Dans ce cas, la sortie DISC_FLT est également mise à 1 (blocage du
redémarrage). L'intervalle d'appel du programme de sécurité (par exemple, l'OB 35) doit être
inférieur au temps de discordance paramétré.
Il faut associer à chaque appel de l'instruction EV1oo2DI (1oo2 evaluation with discrepancy
analysis) une zone de données dans laquelle les données de l'instruction sont stockées. Ainsi,
l'insertion de l'instruction dans le programme déclenche automatiquement l'ouverture de la
boîte de dialogue "Options d'appel" dans laquelle vous pouvez créer un bloc de données
(instance unique) (par exemple, EV1oo2DI_DB_1) ou une multi-instance (par exemple,
EV1oo2DI_Instance_1) pour l'instruction "1oo2 evaluation with discrepancy analysis". Après
sa création, vous trouverez le nouveau bloc de données sous "Blocs de programme > Blocs


validation "EN").
ATTENTION

ATTENTION

traitement cyclique
Paramètres

IN1 Input BOOL Capteur 1
IN2 Input BOOL Capteur 2
DISCTIME Input TIME Temps de discordance (0 ... 60 s)
ACK_NEC Input BOOL 1 = acquittement nécessaire en cas d'erreur de dis-
cordance
ACK Input BOOL Acquittement de l'erreur de discordance
Q Output BOOL Sortie
ACK_REQ Output BOOL 1 = acquittement nécessaire
DISC_FLT Output BOOL 1 = erreur de discordance

Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
récente.
1.2 x o o
1.3 x x x

Activation des entrées IN1 et IN2

Les deux entrées IN1 et IN2 doivent être activées de manière à ce que leur état de sécurité
soit 0.
Exemple avec le signal QBAD ou QBAD_I_xx

En cas de signaux antivalents, vous devez relier par l'opération logique OU l'entrée (IN1 ou
IN2), à laquelle vous affectez le signal de capteur avec l'état de sécurité 1, au signal QBAD de
la périphérie F correspondante ou au signal QBAD_I_xx de la voie correspondante (pour les
CPU S7-300/400) et inverser le résultat. L'entrée IN1 ou IN2 présente donc l'état logique 0
lorsque des valeurs de remplacement sont sorties.

Exemple avec l'état de la valeur

En cas de signaux antivalents, vous devez inverser l'entrée (IN1 ou IN2), à laquelle vous
affectez le signal de capteur avec l'état de sécurité 1, et relier le résultat à l'état de la valeur de
la voie correspondante par l'opération logique ET. L'entrée IN1 ou IN2 présente donc l'état
logique 0 lorsque des valeurs de remplacement sont sorties.

Chronogrammes pour EV1oo2DI

En cas de paramétrage ACK_NEC = 1 :
Remarque
Si les capteurs aux entrées IN1 et IN2 sont affectés à des périphéries F différentes, il peut
arriver que les sorties de valeurs de remplacement aient des durées différentes après un
démarrage du système F du fait des comportements au démarrage différents des périphéries
F. Si les états logiques des deux entrées IN1 et IN2 sont toujours différents à l'expiration du
temps de discordance DISCTIME, une erreur de discordance est détectée après le démarrage
du système F.
Si ACK_NEC = 1, vous devez acquitter l'erreur de discordance par un front montant à l'entrée
ACK.
Sortie DIAG
DIAG restent mémorisés jusqu'à ce que vous procédiez à l'acquittement à l'entrée ACK.

Structure de DIAG

Bit 0 Erreur de discordance ou temps de Détecteur défectueux Vérifier les détecteurs
discordance incorrect paramétré Erreur de câblage Vérifier le câblage des détecteurs
(= état de DISC_FLT)
Les capteurs sont câblés sur des Voir la solution à la section "Struc-
périphéries F différentes et il y a ture de DIAG", bits 0 à 6, sous
erreur de périphérie F, erreur de DIAG (Page 170)
voie ou erreur de communication
ou passivation via PASS_ON dans
une périphérie F.
Le temps de discordance paramétré Augmenter le temps de discor-
est trop court. dance si nécessaire
Temps de discordance paramétré < Paramétrer un temps de discor-
0 s ou > 60 s dance compris entre 0 s et 60 s
Bit 1 En cas d'erreur de discordance : der- — —
nier changement d'état logique à
l'entrée IN1
Bit 2 En cas d'erreur de discordance : der- — —
nier changement d'état logique à
l'entrée IN2
Bit 5 En cas d'erreur de discordance : l'en- Bouton d'acquittement défectueux Remplacer le bouton d'acquitte-
trée ACK est en permanence à l'état ment
logique 1. Erreur de câblage Vérifier le câblage du bouton
d'acquittement


l'instruction
du temps (de Δ2).
au cycle n+1.

Exemple
13.3.7 FDBACK : Surveillance du circuit de réaction (STEP 7 Safety V18)
Description
Cette instruction réalise une surveillance du circuit de réaction.
Elle vérifie pour cela si l'état logique de la sortie Q coïncide avec l’état logique inversé de
l’entrée de relecture FEEDBACK.
La sortie Q est mise à 1 dès que l'entrée ON a la valeur 1. La condition est que l’entrée de
relecture FEEDBACK ait la valeur 1 et qu'aucune erreur de relecture ne soit mémorisée.
La sortie Q est mise à 0 dès que l'entrée ON prend la valeur 0 ou lorsqu'une erreur de
relecture est détectée.
Une erreur de relecture ERROR = 1 est détectée si l'état logique inverse de l'entrée de
relecture FEEDBACK (pour la sortie Q) ne suit pas l'état logique de la sortie Q dans le temps de
relecture tolérable maximal FDB_TIME. L'erreur de relecture est mémorisée.
Si une discordance est détectée entre l'entrée de relecture FEEDBACK et la sortie Q après une
erreur de relecture, l'erreur de relecture est acquittée en fonction du paramétrage de
ACK_NEC :
• Si ACK_NEC = 1, vous devez acquitter l'erreur de relecture par un front montant à l'entrée
ACK.

La sortie ACK_REQ = 1 signale qu'un acquittement utilisateur à l'entrée ACK est nécessaire
pour acquitter l'erreur de relecture. L'instruction met ACK_REQ à 0 une fois l'acquittement
effectué.
Pour éviter qu'une erreur de relecture ne soit détectée et qu'un acquittement ne soit exigé en
cas de passivation de la périphérie F commandée par la sortie Q, vous devez connecter
l'entrée QBAD_FIO au signal QBAD de la périphérie F correspondante ou au signal QBAD_O_xx
/ à l'état de la valeur inversé de la voie correspondante.
Il faut associer à chaque appel de l'instruction FDBACK (Feedback monitoring) une zone de
données dans laquelle les données de l'instruction sont stockées. Ainsi, l'insertion de
unique) (par exemple, FDBACK_DB_1) ou une multi-instance (par exemple,
FDBACK_Instance_1) pour l'instruction "Feedback monitoring". Après sa création, vous
validation "EN").
ATTENTION

ATTENTION

traitement cyclique

Paramètres

ON Input BOOL 1 = activer la sortie
FEEDBACK Input BOOL Entrée de relecture
QBAD_FIO Input BOOL Signal QBAD de la périphérie F ou signal QBAD_O_xx /
état de la valeur inversé de la voie de la sortie Q
ACK Input BOOL Acquittement
FDB_TIME Input TIME Temps de relecture
Q Output BOOL Sortie
ERROR Output BOOL Erreur de relecture
ACK_REQ Output BOOL Requête d'acquittement
Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
1.0 x — — La version 1.0 requiert que le bloc F_TOF avec le numéro FB 186 soit
disponible dans le dossier "Blocs de programme / Blocs système / STEP 7
Safety" dans le navigateur de projet.
La version 1.0 de l'instruction est automatiquement utilisée lors de la
migration de projets créés avec S7 Distributed Safety V5.4 SP5. Lorsque
vous voulez compiler un programme de sécurité migré pour la première
fois avec STEP 7 Safety Advanced, nous vous recommandons de d'abord
mettre l'instruction à niveau à la version disponible la plus récente. Vous
éviterez ainsi des conflits de numérotation.
1.1 x — — Ces versions sont fonctionnellement identiques à la version 1.0, mais ne
1.2 x — o requièrent pas que bloc F_TOF ait un numéro particulier.
1.3 x o o
1.4 x o o
1.5 x x x

Exemple de connexion
① va à l'entrée FEEDBACK de l'instruction

② de la sortie Q de l'instruction
Sortie DIAG
DIAG 0, 2 et 5 restent mémorisés jusqu'à ce que vous procédiez à l'acquittement à l'entrée
ACK.
Structure de DIAG

Bit 0 Erreur de relecture ou temps de relec- Temps de relecture paramétré < 0 Paramétrer un temps de relecture >
ture incorrect paramétré 0
(= état de ERROR) Le temps de relecture paramétré Augmenter le temps de relecture si
est trop court. nécessaire
Erreur de câblage Vérifier le câblage de l'actionneur et
du contact de relecture
Actionneur ou contact de relecture Vérifier l'actionneur et le contact de
défectueux relecture
Erreur de périphérie ou de voie de Vérifier la périphérie
l'entrée de relecture
Bit 1 Passivation de la périphérie F com- Erreur de périphérie F, erreur de Voir la solution à la section "Struc-
mandée par la sortie Q/de la voie (= voie ou erreur de communication ture de DIAG", bits 0 à 6, sous DIAG
état de QBAD_FIO) ou passivation via PASS_ON de la (Page 170)
périphérie F
Bit 2 Après une erreur de relecture : l'en- Erreur de périphérie ou de voie de Vérifier la périphérie
trée de relecture est en permanence à l'entrée de relecture
l'état logique 0. Contact de relecture défectueux Vérifier le contact de relecture
Erreur de périphérie F, erreur de Voir la solution à la section "Struc-
voie ou erreur de communication ture de DIAG", bits 0 à 6, sous DIAG
périphérie F de l'entrée de relecture


Bit 5 En cas d'erreur de relecture : l'entrée Bouton d'acquittement défectueux Vérifier le bouton d'acquittement
ACK est en permanence à l'état lo- Erreur de câblage Vérifier le câblage du bouton d'ac-
gique 1. quittement

l'instruction
du temps (de Δ2).
au cycle n+1.

Exemple
L'exemple suivant illustre le fonctionnement de l'instruction pour les CPU F S7-300/400 :

13.3.8 SFDOOR : Surveillance de protecteur mobile (STEP 7 Safety V18)
Description
Cette instruction réalise une surveillance de protecteur mobile.
Le signal de validation Q est mis à 0 dès que l'une des deux entrées IN1 ou IN2 prend l'état
logique 0 (le protecteur mobile s'ouvre). Le signal de validation ne peut être remis à 1 que
lorsque :
• les deux entrées IN1 et IN2 ont pris l'état logique 0 avant la fermeture de la porte (le
protecteur mobile a été complètement ouvert),
• les deux entrées IN1 et IN2 prennent ensuite l'état logique 1 (le protecteur mobile est
fermé),
• un acquittement est réalisé.
L'acquittement pour la validation est réalisé en fonction du paramétrage à l'entrée ACK_NEC :
• Si ACK_NEC = 1, vous devez utiliser un front montant à l'entrée ACK pour acquitter la
validation.
La sortie ACK_REQ = 1 signale que l'acquittement nécessite un acquittement utilisateur à
l'entrée ACK. L'instruction met ACK_REQ à 1 dès que la porte est fermée. L'instruction met
ACK_REQ à 0 une fois l'acquittement effectué.

Pour que l'instruction détecte si les entrées IN1 et IN2 ont la valeur 0 uniquement à cause
d'une passivation de la périphérie F correspondante, vous devez connecter les entrées
QBAD_IN1 ou QBAD_IN2 au signal QBAD de la périphérie F correspondante ou au signal
QBAD_I_xx / à l'état de la valeur inversé des voies correspondantes. Cela vous évitera
notamment d'avoir à ouvrir entièrement le protecteur mobile avant un acquittement en cas
de passivation de la périphérie F.
Il faut associer à chaque appel de l'instruction SFDOOR (Safety door monitoring) une zone de
unique) (par exemple, SFDOOR_DB_1) ou une multi-instance (par exemple,
SFDOOR_Instance_1) pour l'instruction "Safety door monitoring". Après sa création, vous
validation "EN").
ATTENTION

Paramètres

IN1 Input BOOL Entrée 1
IN2 Input BOOL Entrée 2
QBAD_IN1 Input BOOL Signal QBAD de la périphérie F ou signal QBAD_I_xx /
état de la valeur inversé de la voie de l'entrée IN1
QBAD_IN2 Input BOOL Signal QBAD de la périphérie F ou signal QBAD_I_xx /
état de la valeur inversé de la voie de l'entrée IN2
OPEN_NEC Input BOOL 1 = ouverture nécessaire au démarrage
ACK Input BOOL Acquittement
Q Output BOOL 1 = validation, protecteur mobile fermé
ACK_REQ Output BOOL Requête d'acquittement

Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
récente.
1.2 x o o
1.3 x x x


Exemple de connexion
Vous devez connecter le contact à ouverture de l'interrupteur de position 1 du protecteur
mobile à l'entrée IN1 et le contact de fermeture de l'interrupteur de position 2 à l'entrée IN2.
L'interrupteur de position 1 doit être placé de manière à être obligatoirement actionné
lorsque le protecteur mobile est ouvert. L'interrupteur de position 2 doit être placé de
manière à être actionné lorsque le protecteur mobile est fermé.

Le signal de validation Q est mis à 0 après un démarrage du système F. L'acquittement pour la
validation est réalisé en fonction du paramétrage aux entrées OPEN_NEC et ACK_NEC :
• Si OPEN_NEC = 0, un acquittement automatique a lieu indépendamment de ACK_NEC
dès que les deux entrées IN1 et IN2 prennent pour la première fois l'état logique 1 (le
protecteur mobile est fermé) après réintégration de la périphérie F correspondante.
• Si OPEN_NEC = 1 ou qu'au moins une des deux entrées IN1 et IN2 a encore l'état logique 0
après réintégration de la périphérie F correspondante, un acquittement automatique a
lieu en fonction de ACK_NEC ou vous devez procéder à un acquittement par un front
montant à l'entrée ACK pour réaliser la validation. Avant l'acquittement, les deux entrées
IN1 et IN2 doivent avoir pris l'état logique 0 (le protecteur mobile a été complètement
ouvert), puis l'état logique 1 (le protecteur mobile est fermé).
ATTENTION
Le paramétrage de la variable OPEN_NEC = 0 n'est autorisé que si un redémarrage

Sortie DIAG
commande ou les évaluer, le cas échéant, dans votre programme utilisateur standard.
Structure de DIAG

Bit 1 État logique 0 absent aux deux en- Le protecteur mobile n'a pas été Ouvrir complètement le protecteur
trées IN1 et IN2 ouvert complètement pour mobile
OPEN_NEC = 1 après le démarrage
du système F.
Le protecteur mobile n'a pas été Ouvrir complètement le protecteur
ouvert complètement. mobile
Erreur de câblage Vérifier le câblage des interrupteurs
de position
Interrupteurs de position défec- Vérifier les interrupteurs de position
tueux
Interrupteurs de position mal réglés Régler les interrupteurs de position
correctement
Bit 2 État logique 1 absent aux deux en- Le protecteur mobile n'a pas été Fermer le protecteur mobile
trées IN1 et IN2 fermé.
Erreur de câblage Vérifier le câblage des interrupteurs
de position
Interrupteurs de position défec- Vérifier les interrupteurs de position
tueux
Interrupteurs de position mal réglés Régler les interrupteurs de position
correctement


Bit 3 QBAD_IN1 et/ou QBAD_IN2 = 1 Erreur de périphérie F, erreur de Voir la solution à la section "Struc-
voie ou erreur de communication ture de DIAG", bits 0 à 6, sous DIAG
périphérie F/de la voie de IN1 et/ou
IN2
Bit 5 En l'absence de validation, l'entrée Bouton d'acquittement défectueux Vérifier le bouton d'acquittement
ACK est en permanence à l'état lo- Erreur de câblage Vérifier le câblage du bouton d'ac-
gique 1. quittement
Exemple

13.3.9 ACK_GL : Acquittement global de toutes les périphéries F d'un groupe

d'exécution F (STEP 7 Safety V18)
Description
Cette instruction génère un acquittement pour la réintégration simultanée de toutes les
périphéries F/voies de la périphérie F d'un groupe d'exécution F après des erreurs de
communication ou des erreurs de périphérie F/de voie.
Un acquittement utilisateur (Page 183) avec un front montant à l'entrée ACK_GLOB est
nécessaire pour la réintégration. L'acquittement se fait de la même manière que
l'acquittement utilisateur par la variable ACK_REI du DB de périphérie F (Page 166), mais agit
simultanément sur toutes les périphéries F du groupe d'exécution F dans lequel l'instruction
est appelée.
Si vous utilisez l'instruction ACK_GL, il est inutile de prévoir un acquittement utilisateur par la
variable ACK_REI du DB de périphérie F pour chaque périphérie F du groupe d'exécution F.

Il faut associer à chaque appel de l'instruction ACK_GL (Global acknowledgment of all F-I/Os
in an F-runtime group) une zone de données dans laquelle les données de l'instruction sont
stockées. Ainsi, l'insertion de l'instruction dans le programme déclenche automatiquement
l'ouverture de la boîte de dialogue "Options d'appel" dans laquelle vous pouvez créer un bloc
de données (instance unique) (par exemple, ACK_GL_DB_1) ou une multi-instance (par
exemple, ACK_GL_Instance_1) pour l'instruction "Global acknowledgment of all F-I/Os in an F-
runtime group". Après sa création, vous trouverez le nouveau bloc de données sous "Blocs de
validation "EN").
Remarque
Un acquittement par l'instruction ACK_GL n'est possible que si la variable ACK_REI du DB de
périphérie F est égale à 0. De même, un acquittement par la variable ACK_REI du DB de
périphérie F n'est possible que si l'entrée ACK_GLOB de l'instruction est égale à 0.
L'instruction ne peut être appelée qu'une fois par groupe d'exécution F.
Paramètres

ACK_GLOB Input BOOL 1 = acquittement pour la réintégration
Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
récente.
1.2 x o o
1.3 x x x

13.4 Temporisations
Exemple
13.4 Temporisations
13.4.1 TP : Génération d'impulsion (STEP 7 Safety V18)
Description
L'instruction "Génération d'impulsion" permet de mettre la sortie Q à 1 pour une durée
programmée. L'instruction démarre lorsque le résultat logique (RLO) à l'entrée IN passe de "0"
à "1" (front montant). La durée programmée PT commence à s'écouler au démarrage de
l'instruction. La sortie Q est mise à 1 pour la durée PT, indépendamment de l'évolution du
signal d'entrée. La détection d'un nouveau front montant n'a pas d'influence sur l'état logique
à la sortie Q tant que la durée PT n'est pas écoulée.
Vous pouvez interroger la valeur de temps actuelle au niveau de la sortie ET. La valeur de
temps débute à T#0s et se termine lorsque la valeur de la durée PT est atteinte. Lorsque la
durée PT est atteinte et que l'état logique à l'entrée IN est "0", la sortie ET est mise à 0.

13.4 Temporisations
Il faut associer à chaque appel de l'instruction "Génération d'impulsion" une zone de données
dans laquelle les données de l'instruction sont stockées. Ainsi, l'insertion de l'instruction dans
le programme déclenche automatiquement l'ouverture de la boîte de dialogue "Options
d'appel" dans laquelle vous pouvez créer un bloc de données (instance unique) (par exemple,
F_IEC_Timer_DB_1) ou une multi-instance (par exemple, F_IEC_Timer_Instance_1) pour
l'instruction "Génération d'impulsion". Après sa création, vous trouverez le nouveau bloc de
données sous "Blocs de programme > Blocs système" dans le dossier "STEP 7 Safety" dans le
navigateur de projet ou la multi-instance comme variable locale dans la section "Static" de
l'interface du bloc. Vous trouverez plus d'informations à ce sujet dans l'aide de STEP 7.
ATTENTION

traitement cyclique
Le système d'exploitation réinitialise les instances de l'instruction "Génération d'impulsion"

lors d'un démarrage du système F.
Remarque
La fonctionnalité de cette instruction diffère de l'instruction TP standard correspondante sur
les points suivants :
• Si l'instruction est appelée avec PT = 0 ms alors que le temps s'écoule, les sorties Q et ET
sont mises à 0.
• Si l'instruction est appelée avec PT < 0 ms, les sorties Q et ET sont mises à 0.
Un nouveau front montant à l'entrée IN est nécessaire pour redémarrer l'impulsion une fois
que PT est de nouveau supérieur à 0.

13.4 Temporisations
Paramètres

IN Input BOOL Entrée de démarrage
PT Input TIME Durée de l'impulsion, doit être positive.
Q Output BOOL Sortie d'impulsion
ET Output TIME Valeur de temps actuelle
Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
récente.
1.2 x o o
1.3 x o o
1.4 x x x

13.4 Temporisations
Diagramme d'impulsion
La figure suivante montre le diagramme d'impulsion de l'instruction "Génération
d'impulsion" :

13.4 Temporisations

l'instruction
du temps (de Δ2).
au cycle n+1.

13.4 Temporisations
Exemple
Si l'état logique de l'opérande "TagIn_1" passe de "0" à "1", l'instruction "Génération

d'impulsion" démarre et la durée paramétrée à l'entrée PT (100 ms) s'écoule
indépendamment de l'évolution de l'opérande "TagIn_1".
L'opérande "TagOut" à la sortie Q est à l'état logique "1" tant que la durée s'écoule. L'opérande
""F_DB_1".Tag_ET" contient la valeur de temps actuelle.
13.4.2 TON : Retard à la montée (STEP 7 Safety V18)
Description
L'instruction "Retard à la montée" permet de retarder la mise à 1 de la sortie Q de la durée
programmée PT. L'instruction démarre lorsque le résultat logique (RLO) à l'entrée IN passe de
"0" à "1" (front montant). La durée programmée PT commence à s'écouler au démarrage de
l'instruction. Lorsque la durée PT est écoulée, la sortie Q fournit l'état logique "1". La sortie Q
reste à 1 tant que l'entrée de démarrage est à "1". Lorsque l'état logique passe de "1" à "0" à
l'entrée de démarrage, la sortie Q est mise à 0. La fonction de temporisation redémarre
lorsqu'un nouveau front montant est détecté à l'entrée de démarrage.
temps débute à T#0s et se termine lorsque la valeur de la durée PT est atteinte. La sortie ET
est réinitialisée dès que l'état logique à l'entrée IN passe à "0".

13.4 Temporisations
Il faut associer à chaque appel de l'instruction "Retard à la montée" une zone de données dans
l'instruction "Retard à la montée". Après sa création, vous trouverez le nouveau bloc de
ATTENTION

traitement cyclique
Le système d'exploitation réinitialise les instances de l'instruction "Retard à la montée" lors

d'un démarrage du système F.
Remarque
La fonctionnalité de cette instruction diffère de l'instruction TON standard correspondante sur
• Si l'instruction est appelée avec PT = 0 ms alors que le temps s'écoule, la sortie ET est mise
à 0.
Un nouveau front montant à l'entrée IN est nécessaire pour redémarrer le retard à la montée
une fois que PT est de nouveau supérieur à 0.

13.4 Temporisations
Paramètres

PT Input TIME Durée du retard à la montée, doit être positive.
Q Output BOOL Sortie qui est mise à 1 après écoulement de la durée PT
Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
récente.
1.2 x o o
1.3 x o o
1.4 x x x

13.4 Temporisations
La figure suivante montre le diagramme d'impulsion de l'instruction "Retard à la montée" :

13.4 Temporisations

l'instruction
du temps (de Δ2).
au cycle n+1.

13.4 Temporisations
Exemple
Si l'état logique de l'opérande "TagIn_1" passe de "0" à "1", l'instruction "Retard à la montée"
démarre et la durée paramétrée à l'entrée PT (1 s) s'écoule.
L'opérande "TagOut" à la sortie Q fournit l'état logique "1" lorsque la durée a expiré et reste à
1 aussi longtemps que l'opérande "TagIn_1" est à 1. L'opérande ""F_DB_1".Tag_ET" contient la
valeur de temps actuelle.
13.4.3 TOF : Retard à la retombée (STEP 7 Safety V18)
Description
L'instruction "Retard à la retombée" permet de retarder la mise à 0 de la sortie Q de la durée
programmée PT. La sortie Q est mise à 1 lorsque le résultat logique (RLO) à l'entrée IN passe
de "0" à "1" (front montant). Lorsque l'état logique à l'entrée IN repasse à "0", la durée
programmée PT commence à s'écouler. La sortie Q reste à 1 tant que la durée PT s'écoule.
Une fois la durée PT écoulée, la sortie Q est mise à 0. Si l'état logique à l'entrée IN passe à "1"
avant que la durée PT n'ait expiré, le temps est réinitialisé. L'état logique à la sortie Q reste à
"1".
temps débute à T#0s et se termine lorsque la valeur de la durée PT est atteinte. Une fois la
durée PT écoulée, la sortie ET reste à la valeur actuelle jusqu'à ce que l'entrée IN passe de
nouveau à "1". Si l'entrée IN passe à "1" avant l'expiration de la durée PT, la sortie ET est
réinitialisée à la valeur T#0s.

13.4 Temporisations
Il faut associer à chaque appel de l'instruction "Retard à la retombée" une zone de données
dans laquelle les données de l'instruction sont stockées. Ainsi, l'insertion de l'instruction dans
le programme déclenche automatiquement l'ouverture de la boîte de dialogue "Options
d'appel" dans laquelle vous pouvez créer un bloc de données (instance unique) (par exemple,
l'instruction "Retard à la retombée". Après sa création, vous trouverez le nouveau bloc de
ATTENTION

traitement cyclique
Le système d'exploitation réinitialise les instances de l'instruction "Retard à la retombée" lors

d'un démarrage du système F.
Remarque
La fonctionnalité de cette instruction diffère de l'instruction TOF standard correspondante sur
• Si l'instruction est appelée avec PT = 0 ms alors que le temps s'écoule, les sorties Q et ET
sont mises à 0.
Un nouveau front descendant à l'entrée IN est nécessaire pour redémarrer le retard à la
retombée une fois que PT est de nouveau supérieur à 0.

13.4 Temporisations
Paramètres

PT Input TIME Durée du retard à la retombée, doit être positive.
Q Output BOOL Sortie qui est mise à 0 après écoulement de la durée PT
Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
récente.
1.2 x o o
1.3 x o o
1.4 x x x

13.4 Temporisations
La figure suivante montre le diagramme d'impulsion de l'instruction "Retard à la retombée" :

13.4 Temporisations

l'instruction
du temps (de Δ2).
au cycle n+1.

13.5 Compteurs
Exemple
Lorsque l'état logique de l'opérande "TagIn_1" passe de "0" à "1", l'état logique de l'opérande
"TagOut" est mis à 1 à la sortie Q.
Si l'état logique de l'opérande "TagIn_1" repasse à "0", la durée paramétrée à l'entrée PT
(200 ms) commence à s'écouler.
L'opérande "TagOut" à la sortie Q est remis à "0" lorsque la durée a expiré. L'opérande
""F_DB_1".Tag_ET" contient la valeur de temps actuelle.
13.5 Compteurs
13.5.1 CTU : Comptage (STEP 7 Safety V18)
Description
L'instruction "Comptage" permet d'incrémenter la valeur à la sortie CV. Lorsque l'état logique
à l'entrée CU passe de "0" à "1" (front montant), l'instruction est exécutée et la valeur de
comptage actuelle à la sortie CV est incrémentée de un. La valeur de comptage est
incrémentée à chaque détection d'un front montant jusqu'à ce qu'elle atteigne la valeur limite
supérieure du type de données indiqué à la sortie CV. Une fois la valeur limite supérieure
atteinte, l'état logique à l'entrée CU n'a plus d'influence sur l'instruction.
L'état du compteur peut être interrogé à la sortie Q. L'état logique à la sortie Q est déterminé
par le paramètre PV. Lorsque la valeur de comptage actuelle est supérieure ou égale à la
valeur du paramètre PV, la sortie Q est mise à l'état logique "1". Dans tous les autres cas, l'état
logique à la sortie Q est "0".
La valeur à la sortie CV est remise à zéro lorsque l'état logique à l'entrée R passe à "1". Tant
que l'entrée R présente l'état logique "1", l'état logique à l'entrée CU n'a pas d'effet sur
l'instruction.

13.5 Compteurs
Il faut associer à chaque appel de l'instruction "Comptage" une zone de données dans laquelle
les données de l'instruction sont stockées. Ainsi, l'insertion de l'instruction dans le
F_IEC_Counter_DB_1) ou une multi-instance (par exemple, F_IEC_Counter_Instance_1) pour
l'instruction "Comptage". Après sa création, vous trouverez le nouveau bloc de données sous
"Blocs de programme > Blocs système" dans le dossier "STEP 7 Safety" dans le navigateur de
projet ou la multi-instance comme variable locale dans la section "Static" de l'interface du
bloc. Vous trouverez plus d'informations à ce sujet dans l'aide de STEP 7.
Le système d'exploitation réinitialise les instances de l'instruction "Comptage" lors d'un
démarrage du système F.
Paramètres

CU Input BOOL Entrée de comptage
R Input BOOL Entrée de réinitialisation
PV Input INT Valeur pour laquelle la sortie Q est mise à 1
Q Output BOOL État du compteur
CV Output INT Valeur de comptage actuelle
Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
récente.
1.2 x o o
1.3 x x x

13.5 Compteurs
Exemple
Lorsque l'état logique à l'entrée CU passe de "0" à "1", l'instruction "Comptage" est exécutée et
la valeur de comptage actuelle de la sortie CV est incrémentée de un. La valeur de comptage
est incrémentée à chaque autre front montant jusqu'à ce que la valeur limite supérieure du
type de données indiqué (32767) soit atteinte.
La valeur du paramètre PV est appliquée comme limite pour déterminer l'opérande "TagOut" à
la sortie Q. La sortie Q fournit l'état logique "1" tant que la valeur de comptage actuelle est
supérieure ou égale à la valeur de l'entrée PV. Dans tous les autres cas, la sortie Q fournit
l'état logique "0".
13.5.2 CTD : Décomptage (STEP 7 Safety V18)
Description
L'instruction "Décomptage" permet de décrémenter la valeur à la sortie CV. Lorsque l'état
logique à l'entrée CD passe de "0" à "1" (front montant), l'instruction est exécutée et la valeur
de comptage actuelle à la sortie CV est décrémentée de un. La valeur de comptage est
décrémentée à chaque détection d'un front montant jusqu'à ce qu'elle atteigne la valeur
limite inférieure du type de données indiqué. Une fois la valeur limite inférieure atteinte,
l'état logique à l'entrée CD n'a plus d'influence sur l'instruction.
L'état du compteur peut être interrogé à la sortie Q. Lorsque la valeur de comptage actuelle
est inférieure ou égale à zéro, la sortie Q est mise à l'état logique "1". Dans tous les autres cas,
l'état logique à la sortie Q est "0".
La valeur à la sortie CV prend la valeur du paramètre PV lorsque l'état logique à l'entrée LD
passe à "1". Tant que l'entrée LD présente l'état logique "1", l'état logique à l'entrée CD n'a pas
d'effet sur l'instruction.

13.5 Compteurs
Il faut associer à chaque appel de l'instruction "Décomptage" une zone de données dans
F_IEC_Counter_DB_1) ou une multi-instance (par exemple, F_IEC_Counter_Instance_1) pour
l'instruction "Décomptage". Après sa création, vous trouverez le nouveau bloc de données
sous "Blocs de programme > Blocs système" dans le dossier "STEP 7 Safety" dans le navigateur
de projet ou la multi-instance comme variable locale dans la section "Static" de l'interface du
bloc. Vous trouverez plus d'informations à ce sujet dans l'aide de STEP 7.
Le système d'exploitation réinitialise les instances de l'instruction "Décomptage" lors d'un
démarrage du système F.
Paramètres

CD Input BOOL Entrée de comptage
LD Input BOOL Entrée de chargement
PV Input INT Valeur que prend la sortie CV lorsque LD = 1
Q Output BOOL État du compteur
Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
récente.
1.2 x o o
1.3 x x x

13.5 Compteurs
Exemple
Lorsque l'état logique à l'entrée CD passe de "0" à "1", l'instruction "Décomptage" est exécutée
et la valeur à la sortie CV est décrémentée de un. La valeur de comptage est décrémentée à
chaque autre front montant jusqu'à ce que la valeur limite inférieure du type de données
indiqué (-32768) soit atteinte.
La sortie Q fournit l'état logique "1" tant que la valeur de comptage actuelle est inférieure ou
égale à zéro. Dans tous les autres cas, la sortie Q fournit l'état logique "0".
13.5.3 CTUD : Comptage et décomptage (STEP 7 Safety V18)
Description
L'instruction "Comptage et décomptage" permet d'incrémenter et de décrémenter la valeur de
comptage à la sortie CV. Lorsque l'état logique à l'entrée CU passe de "0" à "1" (front
montant), la valeur de comptage actuelle à la sortie CV est incrémentée de un. Lorsque l'état
logique à l'entrée CD passe de "0" à "1" (front montant), la valeur de comptage à la sortie CV
est décrémentée de un. En présence d'un front montant aux entrées CU et CD pendant un
cycle de programme, la valeur de comptage actuelle à la sortie CV reste inchangée.
La valeur de comptage peut être incrémentée jusqu'à ce qu'elle atteigne la valeur limite
supérieure du type de données indiqué à la sortie CV. Une fois la valeur limite supérieure
atteinte, la valeur de comptage n'est plus incrémentée lors d'un front montant. Une fois la
valeur limite inférieure du type de données indiqué atteinte, la valeur de comptage n'est plus
décrémentée.
Lorsque l'état logique à l'entrée LD passe à "1", la valeur de comptage à la sortie CV prend la
valeur du paramètre PV. Tant que l'entrée LD présente l'état logique "1", l'état logique aux
entrées CU et CD n'a pas d'effet sur l'instruction.

13.5 Compteurs
La valeur de comptage est mise à zéro lorsque l'état logique à l'entrée R passe à "1". Tant que
l'entrée R présente l'état logique "1", l'état logique aux entrées CU, CD et LD n'a pas d'effet sur
l'instruction "Comptage et décomptage".
L'état du compteur incrémental peut être interrogé à la sortie QU. Lorsque la valeur de
comptage actuelle est supérieure ou égale à la valeur du paramètre PV, la sortie QU fournit
l'état logique "1". Dans tous les autres cas, l'état logique à la sortie QU est "0".
L'état du compteur décrémental peut être interrogé à la sortie QD. Lorsque la valeur de
comptage actuelle est inférieure ou égale à zéro, la sortie QD fournit l'état logique "1". Dans
tous les autres cas, l'état logique à la sortie QD est "0".
Il faut associer à chaque appel de l'instruction "Comptage et décomptage" une zone de
unique) (par exemple, F_IEC_Counter_DB_1) ou une multi-instance (par exemple,
F_IEC_Counter_Instance_1) pour l'instruction "Comptage et décomptage". Après sa création,
vous trouverez le nouveau bloc de données sous "Blocs de programme > Blocs système" dans
le dossier "STEP 7 Safety" dans le navigateur de projet ou la multi-instance comme variable
Le système d'exploitation réinitialise les instances de l'instruction "Comptage et décomptage"
lors du démarrage du système F.
Paramètres

CU Input BOOL Entrée de comptage
CD Input BOOL Entrée de décomptage
R Input BOOL Entrée de réinitialisation
LD Input BOOL Entrée de chargement
PV Input INT Valeur à laquelle la sortie QU est mise à 1 / valeur que
prend la sortie CV lorsque LD = 1
QU Output BOOL État du compteur incrémental
QD Output BOOL État du compteur décrémental

13.5 Compteurs
Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
récente.
1.2 x o o
1.3 x x x

Exemple

13.6 Comparaison
Quand l'état logique passe de "0" à "1" (front montant) à l'entrée CU ou à l'entrée CD,
l'instruction "Comptage et décomptage" est exécutée. En présence d'un front montant à
l'entrée CU, la valeur de comptage actuelle à la sortie CV est incrémentée de un. En présence
d'un front montant à l'entrée CD, la valeur de comptage actuelle à la sortie CV est
décrémentée de un. La valeur de comptage est incrémentée à chaque front montant à
l'entrée CU jusqu'à ce qu'elle atteigne la valeur limite supérieure égale à 32767. La valeur de
comptage est décrémentée à chaque front montant à l'entrée CD jusqu'à ce qu'elle atteigne la
valeur limite inférieure égale à -32768.
La sortie QU fournit l'état logique "1" tant que la valeur de comptage actuelle est supérieure
ou égale à la valeur à l'entrée PV. Dans tous les autres cas, la sortie QU fournit l'état logique
"0".
La sortie QD fournit l'état logique "1" tant que la valeur de comptage actuelle est inférieure ou
égale à zéro. Dans tous les autres cas, la sortie QD fournit l'état logique "0".
13.6 Comparaison
13.6.1 CMP == : Égal à (STEP 7 Safety V18)
Description
L'instruction "Égal à" permet de déterminer si la première valeur à comparer (IN1 ou
<opérande1>) est égale à la seconde valeur à comparer (IN2 ou <opérande2>).
Si la condition de la comparaison est remplie, l'instruction fournit le résultat logique (RLO)
"1". Si la condition n'est pas remplie, elle fournit le résultat logique "0".
Pour CONT :
Le RLO de l'instruction est relié au RLO du circuit de courant entier de la manière suivante :
• par ET lorsque l'instruction de comparaison est connectée en série,
• par OU lorsque l'instruction de comparaison est connectée en parallèle.
Vous indiquez la première valeur à comparer (<opérande1>) dans l'emplacement réservé au-
dessus de l'instruction. Vous indiquez la seconde valeur à comparer (<opérande2>) dans
l'emplacement réservé en dessous de l'instruction.

13.6 Comparaison
Paramètres

LOG : IN1 Input INT, DINT, TIME, Première valeur à comparer
CONT : <opérande1> WORD, (S7-300/400)
DWORD
LOG : IN2 Input INT, DINT, TIME, Seconde valeur à comparer
CONT : <opérande2> WORD, (S7-300/400)
DWORD
Vous pouvez sélectionner le type de données de l'instruction dans la liste déroulante "<???>"
de la boîte d'instruction.
Exemple
• "Tag_In1" fournit l'état logique "1".
• La condition de l'instruction de comparaison est remplie ("Tag_Value1" = "Tag_Value2").

13.6 Comparaison
13.6.2 CMP <> : Différent de (STEP 7 Safety V18)
Description
L'instruction "Différent de" permet de déterminer si la première valeur à comparer (IN1 ou
<opérande1>) est différente de la seconde valeur à comparer (IN2 ou <opérande2>).
Pour CONT :
Paramètres

LOG : IN1 Input INT, DINT, TIME, Première valeur à comparer
CONT : <opérande1> WORD, (S7-
300/400) DWORD
LOG : IN2 Input INT, DINT, TIME, Seconde valeur à comparer
CONT : <opérande2> WORD, (S7-
300/400) DWORD
Exemple

13.6 Comparaison
• La condition de l'instruction de comparaison est remplie ("Tag_Value1" <> "Tag_Value2").
13.6.3 CMP >= : Supérieur ou égal à (STEP 7 Safety V18)
Description
L'instruction "Supérieur ou égal à" permet de déterminer si la première valeur à comparer
(IN1 ou <opérande1>) est supérieure ou égale à la seconde valeur à comparer (IN2 ou
<opérande2>). Les deux valeurs à comparer doivent avoir le même type de données.
Pour CONT :
Paramètres

LOG : IN1 Input INT, DINT, TIME Première valeur à comparer
CONT : <opérande1>
LOG : IN2 Input INT, DINT, TIME Seconde valeur à comparer
CONT : <opérande2>

13.6 Comparaison
Exemple
• La condition de l'instruction de comparaison est remplie ("Tag_Value1" >= "Tag_Value2").
13.6.4 CMP <= : Inférieur ou égal à (STEP 7 Safety V18)
Description
L'instruction "Inférieur ou égal à" permet de déterminer si la première valeur à comparer (IN1
ou <opérande1>) est inférieure ou égale à la seconde valeur à comparer (IN2 ou
<opérande2>). Les deux valeurs à comparer doivent avoir le même type de données.
Pour CONT :

13.6 Comparaison
Paramètres

CONT : <opérande1>
CONT : <opérande2>
Exemple
• La condition de l'instruction de comparaison est remplie ("Tag_Value1" <= "Tag_Value2").

13.6 Comparaison
13.6.5 CMP > : Supérieur à (STEP 7 Safety V18)
Description
L'instruction "Supérieur à" permet de déterminer si la première valeur à comparer (IN1 ou
<opérande1>) est supérieure à la seconde valeur à comparer (IN2 ou <opérande2>). Les deux
valeurs à comparer doivent avoir le même type de données.
Pour CONT :
Paramètres

CONT : <opérande1>
CONT : <opérande2>
Exemple

13.6 Comparaison
• La condition de l'instruction de comparaison est remplie ("Tag_Value1" > "Tag_Value2").
13.6.6 CMP < : Inférieur à (STEP 7 Safety V18)
Description
L'instruction "Inférieur à" permet de déterminer si la première valeur à comparer (IN1 ou
<opérande1>) est inférieure à la seconde valeur à comparer (IN2 ou <opérande2>). Les deux
valeurs à comparer doivent avoir le même type de données.
Pour CONT :
Paramètres

CONT : <opérande1>
CONT : <opérande2>

13.7 Fonctions mathématiques
Exemple
• La condition de l'instruction de comparaison est remplie ("Tag_Value1" < "Tag_Value2").
13.7.1 ADD : Addition (STEP 7 Safety V18)
Description
L'instruction "Addition" permet d'additionner la valeur à l'entrée IN1 à la valeur à l'entrée IN2
et de lire la somme dans la sortie OUT (OUT = IN1 + IN2).

La connexion de l'entrée de validation "EN" ou de la sortie de validation "ENO" (S7-300,

S7-400) n'est pas possible. L'instruction est donc toujours exécutée, quel que soit l'état
logique à l'entrée de validation "EN".
Remarque
La CPU F peut passer à l'état Arrêt si le résultat de l'instruction se situe hors de la plage
de données soit respectée.
(S7-1200, S7-1500) Vous pouvez éviter un arrêt de la CPU F en connectant la sortie de
validation ENO et en programmant ainsi une détection de débordement.
Tenez compte ce faisant des points suivants :
• Si le résultat de l'instruction se situe en dehors de la plage autorisée pour le type de
données, la sortie de validation ENO fournit l'état logique "0".
• Le résultat de l'instruction se comporte alors comme pour l'instruction correspondante
dans un bloc standard.
• Le temps d'exécution de l'instruction s'allonge (voir aussi le fichier Excel de calcul des
• La mémoire requise par le programme de sécurité augmente.
(S7-300, S7-400) Vous pouvez éviter un arrêt de la CPU F en insérant une instruction
"Interroger le bit d'état OV" dans le réseau suivant et en programmant ainsi une détection de
débordement.
• Le réseau avec l'instruction "Interroger le bit d'état OV" ne doit pas contenir de repère de
saut.
• Un avertissement est émis si vous n'insérez pas d'instruction "Interroger le bit d'état OV".
Paramètres

ENO Output BOOL (S7-1200, S7-1500)
Sortie de validation
IN1 Input INT, DINT Premier terme de la somme
IN2 Input INT, DINT Deuxième terme de la somme
OUT Output INT, DINT Somme

Vous sélectionnez le type de données de l'instruction dans la liste déroulante "<???>" de la

boîte d'instruction.
Exemple pour les CPU F S7-300/400

L'instruction "Addition" est toujours exécutée, quel que soit l'état logique à l'entrée de
validation EN.
La valeur de l'opérande "Tag_Value1" est additionnée à celle de l'opérande "Tag_Value2". Le
résultat de l'addition est stocké dans l'opérande ""F_DB_1".Tag_Result".
Si nécessaire, vous pouvez également mémoriser l'état logique de la sortie de validation ENO
dans un DB (F) et évaluer de manière centralisée si des débordements se sont produits pour la
totalité ou pour un groupe d'instructions grâce à une détection de débordement.
Si un débordement se produit pendant l'exécution de l'instruction "Addition", le bit d'état OV
est mis à 1. L'instruction "Mise à 1 sortie" (S) est exécutée dans le réseau 2 après
l'interrogation du bit d'état OV et l'opérande "TagOut" est mis à 1.


L'instruction "Addition" est toujours exécutée, quel que soit l'état logique à l'entrée de
validation EN.
La valeur de l'opérande "#Tag_Value1" est additionnée à celle de l'opérande "#Tag_Value2".
Le résultat de l'addition est stocké dans l'opérande ""F_DB_1".Tag_Result".
Si aucun débordement ne se produit pendant l'exécution de l'instruction "Addition", la sortie
de validation ENO fournit l'état logique "1" et l'opérande "#TagOut" est mis à 1.
Si nécessaire, vous pouvez également mémoriser l'état logique de la sortie de validation ENO
dans un DB (F) et évaluer de manière centralisée si des débordements se sont produits pour la
totalité ou pour un groupe d'instructions grâce à une détection de débordement.
Voir aussi
---| |--- OV : Interrogation du bit d'état OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)
(Page 582)
---| / |--- OV : Interrogation du bit d'état OV inversé (STEP 7 Safety Advanced V18) (S7-300,
S7-400) (Page 583)

13.7.2 SUB : Soustraction (STEP 7 Safety V18)
Description
L'instruction "Soustraction" permet de soustraire la valeur à l'entrée IN2 de la valeur à l'entrée
IN1 et de lire la différence dans la sortie OUT (OUT = IN1 – IN2).
Remarque
débordement.
saut.

Paramètres

IN1 Input INT, DINT Diminuende
IN2 Input INT, DINT Diminuteur
OUT Output INT, DINT Différence


L'instruction "Soustraction" est toujours exécutée, quel que soit l'état logique à l'entrée de
validation EN.
La valeur de l'opérande "Tag_Value2" est soustraite de celle de l'opérande "Tag_Value1". Le
résultat de la soustraction est stocké dans l'opérande ""F_DB_1".Tag_Result".

Si un débordement se produit pendant l'exécution de l'instruction "Soustraction", le bit d'état

OV est mis à 1. L'instruction "Mise à 1 sortie" (S) est exécutée dans le réseau 2 après

L'instruction "Soustraction" est toujours exécutée, quel que soit l'état logique à l'entrée de
validation EN.
La valeur de l'opérande "#Tag_Value2" est soustraite de celle de l'opérande "#Tag_Value1". Le
résultat de la soustraction est stocké dans l'opérande ""F_DB_1".Tag_Result".
Si aucun débordement ne se produit pendant l'exécution de l'instruction "Soustraction", la
sortie de validation ENO fournit l'état logique "1" et l'opérande "#TagOut" est mis à 1.
Voir aussi
(Page 582)
S7-400) (Page 583)

13.7.3 MUL : Multiplication (STEP 7 Safety V18)
Description
L'instruction "Multiplication" permet de multiplier la valeur à l'entrée IN1 par la valeur à
l'entrée IN2 et de lire le produit dans la sortie OUT (OUT = IN1 × IN2).
Remarque
débordement.
saut.

Paramètres

IN1 Input INT, DINT Multiplicateur
IN2 Input INT, DINT Multiplicande
OUT Output INT, DINT Produit


L'instruction "Multiplication" est toujours exécutée, quel que soit l'état logique à l'entrée de
validation EN.
La valeur de l'opérande "Tag_Value1" est multipliée par celle de l'opérande "Tag_Value2". Le
résultat de la multiplication est stocké dans l'opérande ""F_DB_1".Tag_Result".

Si un débordement se produit pendant l'exécution de l'instruction "Multiplication", le bit d'état

OV est mis à 1. L'instruction "Mise à 1 sortie" (S) est exécutée dans le réseau 2 après

L'instruction "Multiplication" est toujours exécutée, quel que soit l'état logique à l'entrée de
validation EN.
La valeur de l'opérande "#Tag_Value1" est multipliée par celle de l'opérande "#Tag_Value2".
Le résultat de la multiplication est stocké dans l'opérande ""F_DB_1".Tag_Result".
Si aucun débordement ne se produit pendant l'exécution de l'instruction "Multiplication", la
Voir aussi
(Page 582)
S7-400) (Page 583)

13.7.4 DIV : Division (STEP 7 Safety V18)
Description
L'instruction "Division" permet de diviser la valeur à l'entrée IN1 par la valeur à l'entrée IN2 et
de lire le quotient dans la sortie OUT (OUT = IN1 / IN2).
Remarque
débordement.
saut.

Remarque
S7-300/400, S7-1200/1500 (sortie de validation ENO connectée) :
Si le diviseur (entrée IN2) d'une instruction DIV est égal à 0, le quotient de la division (résultat
de la division à la sortie OUT) est égal à 0. Le résultat se comporte comme pour l'instruction
correspondante dans un bloc standard. La CPU F ne passe pas à l'état Arrêt.
S7-1200/1500 (sortie de validation ENO non connectée) :
Si le diviseur (entrée IN2) d'une instruction DIV est égal à 0, la CPU F passe à l'état Arrêt. La
cause de l'événement de diagnostic est inscrite dans le tampon de diagnostic de la CPU F.
Nous vous recommandons d'exclure l'éventualité d'un diviseur (entrée IN2) égal à 0 dès
l'écriture du programme.
Paramètres

IN1 Input INT, DINT Dividende
IN2 Input INT, DINT Diviseur
OUT Output INT, DINT Quotient



L'instruction "Division" est toujours exécutée, quel que soit l'état logique à l'entrée de
validation EN.
La valeur de l'opérande "Tag_Value1" est divisée par celle de l'opérande "Tag_Value2". Le
résultat de la division est stocké dans l'opérande ""F_DB_1".Tag_Result".
Si un débordement se produit pendant l'exécution de l'instruction "Division", le bit d'état OV

L'instruction "Division" est toujours exécutée, quel que soit l'état logique à l'entrée de
validation EN.
La valeur de l'opérande "#Tag_Value1" est divisée par celle de l'opérande "#Tag_Value2". Le
résultat de la division est stocké dans l'opérande ""F_DB_1".Tag_Result".

Si aucun débordement ne se produit pendant l'exécution de l'instruction "Division", la sortie

de validation ENO fournit l'état logique "1" et l'opérande "#TagOut" est mis à 1.
Voir aussi
(Page 582)
S7-400) (Page 583)
13.7.5 NEG : Créer le complément à 2 (STEP 7 Safety V18)
Description
L'instruction "Créer le complément à 2" permet d'inverser le signe de la valeur à l'entrée IN et
de lire le résultat dans la sortie OUT. Si une valeur positive se trouve à l'entrée IN, par
exemple, la sortie OUT fournit l'équivalent négatif de cette valeur.


Remarque
débordement.
saut.
Paramètres

IN Input INT, DINT Valeur d'entrée
OUT Output INT, DINT Complément à 2 de la valeur d'entrée



L'instruction "Créer le complément à 2" est toujours exécutée, quel que soit l'état logique à
l'entrée de validation EN.
Le signe de l'opérande "TagIn_Value" est inversé et le résultat est stocké dans l'opérande
""F_DB_1".TagOut_Value".
Si un débordement se produit pendant l'exécution de l'instruction "Créer le complément à 2",
le bit d'état OV est mis à 1. L'instruction "Mise à 1 sortie" (S) est exécutée dans le réseau 2
après l'interrogation du bit d'état OV et l'opérande "TagOut" est mis à 1.


L'instruction "Créer le complément à 2" est toujours exécutée, quel que soit l'état logique à
l'entrée de validation EN.
Le signe de l'opérande "#TagIn_Value" est inversé et le résultat est stocké dans l'opérande
""F_DB_1".TagOut_Value".
Si aucun débordement ne se produit pendant l'exécution de l'instruction "Créer le
complément à 2", la sortie de validation ENO fournit l'état logique "1" et l'opérande "TagOut"
est mis à 1.
Voir aussi
(Page 582)
---| / |--- OV : Interrogation du bit d'état OV inversé (STEP 7 Safety Advanced V18) (S7-300, S7-
400) (Page 583)

13.7.6 ABS : Valeur absolue (STEP 7 Safety V18) (S7-1200, S7-1500)
Description
L'instruction "Valeur absolue" permet de calculer la valeur absolue de la valeur indiquée à
l'entrée IN. Le résultat de l'instruction est fourni dans la sortie OUT où il peut être lu.
Remarque
Vous pouvez éviter un arrêt de la CPU F en connectant la sortie de validation ENO et en
programmant ainsi une détection de débordement.
Paramètres

IN Input INT, DINT Valeur d'entrée
OUT Output INT, DINT Valeur absolue de la valeur d'entrée


13.8 Transfert
Exemple
L'instruction "Valeur absolue" est toujours exécutée, quel que soit l'état logique à l'entrée de
validation EN.
La valeur absolue de la valeur dans l'opérande "TagIn_Value" est calculée et le résultat est
stocké dans l'opérande ""F_DB_1".TagOut_Value".
Si aucun débordement ne se produit pendant l'exécution de l'instruction "Valeur absolue", la
13.8 Transfert
13.8.1 MOVE : Copier valeur (STEP 7 Safety V18)
Description
L'instruction "Copier valeur" permet de transférer le contenu de l'opérande à l'entrée IN dans
l'opérande à la sortie OUT1.
Seuls des opérandes de largeur et de structure de données identiques peuvent être indiqués à
l'entrée IN et à la sortie OUT1.
validation "EN").
(S7-1200, S7-1500) À l'état initial, la boîte d'instruction contient une sortie (OUT1). Le
nombre de sorties est extensible. Les sorties insérées sont numérotées par ordre croissant sur
la boîte. Lors de l'exécution, le contenu de l'opérande à l'entrée IN est transféré à toutes les
sorties disponibles. La boîte d'instruction n'est pas extensible en cas de transfert d'opérandes
avec des types de données API (UDT) conformes F.

13.8 Transfert
Paramètres

IN Input INT, DINT, WORD, (S7-300/400) DWORD, Valeur source
TIME, type de données API (UDT) con-
forme F
OUT1 Output INT, DINT, WORD, (S7-300/400) DWORD, Adresse cible
TIME, type de données API (UDT) con-
forme F
Exemple
L'instruction est toujours exécutée, quel que soit l'état logique à l'entrée de validation "EN".
Elle copie le contenu de l'opérande "TagIn_Value" dans l'opérande ""F_DB_1".TagOut_Value".
13.8.2 RD_ARRAY_I : Lire valeur dans un tableau F INT (STEP 7 Safety V18)
(S7-1500)
Description
L'instruction "Lire valeur dans un tableau F INT" permet de lire dans le tableau à l'entrée
ARRAY l'élément désigné par l'indice de l'entrée INDEX et d'écrire sa valeur dans la sortie OUT.
Une erreur qui se produirait lors de l'accès au tableau pendant l'exécution est signalée dans la
sortie ERROR.
Le tableau doit être créé dans un DB global F et ne peut contenir qu'une dimension. Les
éléments du tableau doivent être de type de données INT. Les limites du tableau diffèrent de
celles du système standard :
• La limite inférieure doit être 0.
• La limite supérieure ne doit pas dépasser 10000.

13.8 Transfert

validation "EN").
Paramètres

ARRAY Input VARIANT Tableau dans lequel la lecture a
lieu
INDEX Input DINT Élément à lire dans le tableau.
Une constante ou une variable
peut être indiquée.
OUT Output INT Valeur lue et transmise
ERROR Output BOOL Information d'erreur :
Le paramètre ERROR est mis à 1
si une erreur se produit pendant
l'exécution de l'instruction.
Paramètre ARRAY
En plus de la connexion directe à un tableau dans un DB global de sécurité, cette entrée peut
aussi être connectée à un paramètre INOUT de type de données ARRAY[*] of INT. Cela permet
de découpler les données et la logique du programme, par exemple, pour créer une fonction
de bibliothèque sans lien avec un bloc de données dédié.
Paramètre ERROR
Le tableau suivant donne la signification des valeurs du paramètre ERROR :
Valeur Description
FALSE Aucune erreur
TRUE La valeur du paramètre INDEX se trouve en dehors des valeurs limites du tableau.
Une version est disponible pour cette instruction :
Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
1.0 — — x1

13.8 Transfert
Réaction en cas d'erreurs

Si la valeur à l'entrée INDEX se situe hors des limites du tableau, la sortie ERROR est mise à 1
et la valeur de tableau de l'élément d'indice 0 est fournie dans la sortie OUT,
indépendamment de la valeur transmise à l'entrée INDEX.
Définissez par conséquent la valeur de l'élément d'indice 0 comme valeur de remplacement
de sécurité.
Exemple
Le tableau suivant montre le fonctionnement de l'instruction à l'aide de valeurs d'opérande

concrètes :
Paramètre Opérande Valeur

ARRAY "Global_DB".Array L'opérande "Global_DB".Array est un tableau Array[0..10] of INT.
INDEX #Tag_Index 2
OUT #TagOut_Value Valeur de l'élément à l'emplacement Array[2]
ERROR #TagError_Value False
L'instruction "Lire valeur dans un tableau F INT" est toujours exécutée, quel que soit l'état
logique à l'entrée de validation EN.
Le contenu du deuxième élément de l'opérande "Global_DB.Array" est transmis à la sortie
"#TagOut_Value".

13.8 Transfert
13.8.3 RD_ARRAY_DI : Lire valeur dans un tableau F DINT (STEP 7 Safety V18)
(S7-1500)
Description
L'instruction "Lire valeur dans un tableau F DINT" permet de lire dans le tableau à l'entrée
ARRAY l'élément désigné par l'indice de l'entrée INDEX et d'écrire sa valeur dans la sortie OUT.
Une erreur qui se produirait lors de l'accès au tableau pendant l'exécution est signalée dans la
sortie ERROR.
Le tableau doit être créé dans un DB global F et ne peut contenir qu'une dimension. Les
éléments du tableau doivent être de type de données DINT. Les limites du tableau diffèrent
de celles du système standard :
• La limite inférieure doit être 0.
• La limite supérieure ne doit pas dépasser 10000.
validation "EN").
Paramètres

ARRAY Input VARIANT Tableau dans lequel la lecture a
lieu
INDEX Input DINT Élément à lire dans le tableau.
Une constante ou une variable
peut être indiquée.
OUT Output DINT Valeur lue et transmise
ERROR Output BOOL Information d'erreur :
Le paramètre ERROR est mis à 1
si une erreur se produit pendant
l'exécution de l'instruction.
Paramètre ARRAY
En plus de la connexion directe à un tableau dans un DB global de sécurité, cette entrée peut
aussi être connectée à un paramètre INOUT de type de données ARRAY[*] of DINT. Cela
permet de découpler les données et la logique du programme, par exemple, pour créer une
fonction de bibliothèque sans lien avec un bloc de données dédié.

13.8 Transfert
Paramètre ERROR
Le tableau suivant donne la signification des valeurs du paramètre ERROR :
Valeur Description
FALSE Aucune erreur
TRUE La valeur du paramètre INDEX se trouve en dehors des valeurs limites du tableau.
Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
1.0 — — x1
Réaction en cas d'erreurs

Si la valeur à l'entrée INDEX se situe hors des limites du tableau, la sortie ERROR est mise à 1
et la valeur de tableau de l'élément d'indice 0 est fournie dans la sortie OUT,
indépendamment de la valeur transmise à l'entrée INDEX.
Définissez par conséquent la valeur de l'élément d'indice 0 comme valeur de remplacement
de sécurité.
Exemple

13.8 Transfert

concrètes :
Paramètre Opérande Valeur

ARRAY "Global_DB".Array L'opérande "Global_DB".Array est un tableau Array[0..10] of DINT.
INDEX #Tag_Index 2
OUT #TagOut_Value Valeur de l'élément à l'emplacement Array[2]
ERROR #TagError_Value False
L'instruction "Lire valeur dans un tableau F DINT" est toujours exécutée, quel que soit l'état
logique à l'entrée de validation EN.
Le contenu du deuxième élément de l'opérande "Global_DB.Array" est transmis à la sortie
"#TagOut_Value".
13.8.4 WR_FDB : Écrire indirectement une valeur dans un DB F (STEP 7 Safety

Advanced V18) (S7-300, S7-400)
Description
Cette instruction écrit la valeur indiquée dans l'entrée IN dans la variable adressée par
INI_ADDR et OFFSET dans un DB F.
L'adresse de la variable adressée par INI_ADDR et OFFSET doit se situer dans la plage
d'adresses définie par les adresses INI_ADDR et END_ADDR.
Vérifiez que cette condition est remplie si la CPU F est passée à l'état Arrêt avec l'ID
d'événement de diagnostic 75E2.
L'entrée INI_ADDR transmet l'adresse de début de la plage d'un DB F dans laquelle la valeur à
l'entrée IN doit être écrite. L'entrée OFFSET indique le décalage correspondant dans cette
plage.
Les adresses transmises à l'entrée INI_ADDR ou END_ADDR doivent pointer sur une variable
du type de données sélectionné dans un DB F. Il ne doit y avoir que des variables du type de
données sélectionné entre les adresses INI_ADDR et END_ADDR. L'adresse INI_ADDR doit être
inférieure à l'adresse END_ADDR.
Comme illustré dans l'exemple suivant, les adresses INI_ADDR et END_ADDR doivent être
transmises en indiquant le chemin complet sous la forme "DBx".DBWy ou dans la
représentation symbolique correspondante. Une transmission sous d'autres formes n'est pas
autorisée.
validation "EN").

13.8 Transfert
Paramètres

IN Input INT, DINT Valeur à écrire dans le DB F
INI_ADDR Input POINTER Adresse de début de la plage dans un DB F
END_ADDR Input POINTER Adresse de fin de la plage dans un DB F
OFFSET Input INT Décalage
Exemples de paramétrage de INI_ADDR, END_ADDR et OFFS
Nom Type de Valeur initiale Commentaire

données
Static
VAR_BOOL10 BOOL false
VAR_TIME10 TIME T#0MS
VAR_INT10 INT 0 <- INI_ADDR = "F-DB_1".VAR_INT10 exemple 1
VAR_INT11 INT 0
VAR_INT12 INT 0
VAR_INT13 INT 0 <- OFFSET = 3
VAR_INT14 INT 0
VAR INT15 INT 0 <- END ADDR = "F-DB 1".VAR INT15
VAR INT20 INT 0 <- INI ADDR = "F-DB 1".VAR INT20 exemple 2
VAR_INT21 INT 0
VAR_INT22 INT 0
VAR INT23 INT 0 <- END ADDR = "F-DB 1".VAR INT23
VAR_INT30 INT 0 <- INI_ADDR = "F-DB_1".VAR_INT30 exemple 3
VAR_INT31 INT 0 <- OFFSET = 1
VAR_INT32 INT 0
VAR_INT33 INT 0
VAR INT34 INT 0 <- END ADDR = "F-DB".VAR INT34
VAR DINT10 DINT 0 <- INI ADDR = "F-DB 1".VAR DINT10 exemple 4
VAR_DINT11 DINT 0
VAR DINT12 DINT 0 <- OFFSET = 2
VAR_DINT13 DINT 0 <- END_ADDR = "F-DB_1".VAR_DINT13

13.8 Transfert
Exemple
13.8.5 RD_FDB : Écrire indirectement une valeur dans un DB F (STEP 7 Safety

Advanced V18) (S7-300, S7-400)
Description
Cette instruction lit la variable adressée par INI_ADDR et OFFSET dans un DB F et la met à
disposition dans la sortie OUT.
L'adresse de la variable adressée par INI_ADDR et OFFSET doit se situer dans la plage
d'adresses définie par les adresses INI_ADDR et END_ADDR.
Vérifiez que cette condition est remplie si la CPU F est passée à l'état Arrêt avec l'ID
d'événement de diagnostic 75E2.
L'entrée INI_ADDR transmet l'adresse de début de la plage d'un DB F dans laquelle la variable
doit être lue. L'entrée OFFSET indique le décalage correspondant dans cette plage.
Les adresses transmises à l'entrée INI_ADDR ou END_ADDR doivent pointer sur une variable
du type de données sélectionné dans un DB F. Il ne doit y avoir que des variables du type de
données sélectionné entre les adresses INI_ADDR et END_ADDR. L'adresse INI_ADDR doit être
inférieure à l'adresse END_ADDR.
Les adresses INI_ADDR et END_ADDR doivent être transmises en indiquant le chemin complet
sous la forme "DBx".DBWy ou dans la représentation symbolique correspondante. Une
transmission sous d'autres formes n'est pas autorisée. Vous trouverez des exemples de
paramétrage de INI_ADDR, END_ADDR et OFFSET sous WR_FDB : Écrire indirectement une
valeur dans un DB F (STEP 7 Safety Advanced V18) (S7-300, S7-400) (Page 542).

13.8 Transfert

validation "EN").
Paramètres

INI_ADDR Input POINTER Adresse de début de la plage dans un DB F
END_ADDR Input POINTER Adresse de fin de la plage dans un DB F
OFFSET Input INT Décalage
OUT Output INT, DINT Valeur lue dans le DB F
Exemple

13.9 Conversion
13.9 Conversion
13.9.1 CONVERT : Convertir valeur (STEP 7 Safety V18)
Description
L'instruction "Convertir valeur" lit le contenu du paramètre IN et le convertit conformément
aux types de données choisis dans la boîte d'instruction. La valeur convertie est fournie à la
sortie OUT.
La connexion de l'entrée de validation "EN" n'est pas possible. L'instruction est donc toujours
exécutée (quel que soit l'état logique à l'entrée de validation "EN"). La connexion de la sortie
de validation "ENO" n'est possible et nécessaire que pour la conversion du type de données
"DINT" en "INT".
Remarque
Lors de la conversion du type de données "DINT" en "INT", vous devez connecter la sortie de
validation ENO, programmant ainsi une détection de débordement.
• ENO renvoie 0 si la valeur à l'entrée se situe hors de la plage des entiers.
Paramètres

ENO Output BOOL Sortie de validation
IN Input INT, DINT Valeur à convertir
OUT Output INT, DINT Résultat de la conversion
Vous pouvez sélectionner les types de données de l'instruction dans les listes déroulantes
"<???>" de la boîte d'instruction. Les conversions de "INT en DINT" et de "DINT en INT" sont
prises en charge.

13.9 Conversion
Exemple
L'exemple suivant illustre le fonctionnement de l'instruction "Convertir valeur de DINT en INT"
pour les CPU F S7-1200/1500 :
L'instruction est toujours exécutée, quel que soit l'état logique à l'entrée de validation EN.
La valeur de l'opérande "TagIn_Value" est convertie en un nombre entier (16 bits) et le
résultat est stocké dans l'opérande ""F_DB_1".TagOut_Value".
Si aucun débordement ne se produit pendant l'exécution de l'instruction "Convertir valeur de
DINT en INT", la sortie de validation ENO fournit l'état logique "1" et l'opérande "TagOut" est
mis à 1.
Vous pouvez également mémoriser l'état logique de la sortie de validation ENO dans un DB
(F) et évaluer de manière centralisée si des débordements se sont produits pour la totalité ou
pour un groupe d'instructions grâce à une détection de débordement.
13.9.2 BO_W : Conversion de 16 données de type BOOL en donnée de type WORD

(STEP 7 Safety V18)
Description
Cette instruction convertit les 16 valeurs de type de données BOOL aux entrées IN0 à IN15 en
une valeur de type de données WORD et fournit le résultat à la sortie OUT. La conversion
s'effectue de la manière suivante : le i-ième bit de la valeur WORD est mis à 0 (respectivement
à 1) lorsque la valeur à l'entrée INi = 0 (respectivement 1).
validation "EN").

13.9 Conversion
Paramètres

IN0 Input BOOL Bit 0 de la valeur WORD
... ...
OUT Output WORD Valeur WORD constituée des bits IN0 à IN15
Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
récente.
1.1 o — o Ces versions sont fonctionnellement identiques à la version 1.0.
1.2 x — o
1.3 x o o
1.4 x x x
2.0 x x1 x2


13.9 Conversion
Exemple

13.9 Conversion

concrètes :
Paramètres Opérande Valeur

IN0 TagValue_0 FALSE
... ...
IN14 TagValue_14 TRUE
IN15 TagValue_15 TRUE
OUT "F_DB_1".Result W#16#C000
Les valeurs des opérandes "TagValue_0" à "TagValue_15" sont regroupées en une valeur de
type de données WORD qui est affectée à l'opérande ""F_DB_1".TagResult".
13.9.3 W_BO : Conversion de données de type WORD en 16 données de type BOOL

(STEP 7 Safety V18)
Description
Cette instruction convertit la valeur de type de données WORD à l'entrée IN en 16 valeurs de
type de données BOOL et fournit ces valeurs résultantes aux sorties OUT0 à OUT15. La
conversion s'effectue de la manière suivante : la sortie OUTi est mise à 0 (respectivement à 1)
lorsque le i-ième bit de la valeur WORD est égal à 0 (respectivement à 1).
validation "EN").
Paramètres

IN Input WORD Valeur WORD
OUT0 Output BOOL Bit 0 de la valeur WORD
... ...

13.9 Conversion
Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
récente.
1.2 x — o
1.3 x o o
1.4 x x x
2.0 x x1 x2

Exemple

13.9 Conversion

concrètes :

IN "F_DB_1".TagValue W#16#C000
OUT0 TagOUT_0 FALSE
OUT1 TagOUT_1 FALSE
... ...
OUT13 TagOUT_13 FALSE
OUT14 TagOUT_14 TRUE
OUT15 TagOUT_15 TRUE
La valeur de l'opérande ""F_DB_1".TagValue" de type de données WORD est convertie en 16

valeurs "TagOUT_0" à "TagOUT_15" de type de données BOOL.
13.9.4 SCALE : Mise à l'échelle de la valeur (STEP 7 Safety V18)
Description
Cette instruction met la valeur à l'entrée IN à l'échelle en unités physiques entre la limite
inférieure à l'entrée LO_LIM et la limite supérieure à l'entrée HI_LIM. La valeur à l'entrée IN est
supposée être comprise entre 0 et 27648. Le résultat de la mise à l'échelle est fourni dans la
sortie OUT.
L'instruction utilise l'équation suivante :
OUT = [ IN × (HI_LIM – LO_LIM) ] / 27648 + LO_LIM
Tant que la valeur à l'entrée IN est supérieure à 27648, la sortie OUT est connectée à HI_LIM
et OUT_HI est mis à 1.

13.9 Conversion
Tant que la valeur à l'entrée IN est inférieure à 0, la sortie OUT est connecée à LO_LIM et
OUT_LO est mis à 1.
Vous devez paramétrer LO_LIM > HI_LIM pour une mise à l'échelle inverse. Avec la mise à
l'échelle inverse, la valeur de sortie à la sortie OUT diminue lorsque la valeur d'entrée à
l'entrée IN augmente.
Il faut associer à chaque appel de l'instruction "Mise à l'échelle" une plage de données dans
SCALE_DB_1) ou une multi-instance (par exemple, SCALE_Instance_1) pour l'instruction "Mise
à l'échelle". Après sa création, vous trouverez le nouveau bloc de données sous "Blocs de
validation "EN").
Paramètres

IN Input INT Valeur d'entrée qui doit être mise à l'échelle en unités
physiques
HI_LIM Input INT Limite supérieure de la plage de valeurs de OUT
LO_LIM Input INT Limite inférieure de la plage de valeurs de OUT
OUT Output INT Résultat de la mise à l'échelle
OUT_HI Output BOOL 1 = valeur d'entrée > 27648 : OUT = HI_LIM
OUT_LO Output BOOL 1 = valeur d'entrée < 0 : OUT = LO_LIM
Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
récente.
1.2 x x x

13.9 Conversion
Comportement en cas de débordement haut ou bas de valeurs analogiques et sortie de valeur de

remplacement
Remarque
Si vous utilisez des entrées de la MIE d'un SM 336; AI 6 x 13Bit ou d'un SM 336; F-
AI 6 x 0/4 ... 20 mA HART comme valeurs d'entrée, notez que le système F identifie le
débordement haut ou bas d'une voie de ces SM F comme une erreur de périphérie F/de voie.
La valeur de remplacement 0 est fournie à la place de 7FFFH (débordement haut) ou de
8000H (débordement bas) dans la mémoire image des entrées pour le programme de
sécurité.
Si vous voulez sortir d'autres valeurs de remplacement dans ce cas, vous devez évaluer le
signal QBAD de la périphérie F correspondante ou le signal QBAD_I_xx/l'état de la valeur de la
voie correspondante.
Si la valeur dans la MIE du SM F se situe dans les limites de dépassement haut ou bas mais est
supérieure à 27648 ou inférieure à 0, vous pouvez aussi opter pour la sortie d'une valeur de
remplacement individuelle en évaluant les sorties OUT_HI ou OUT_LO.
Exemple
Lorsque l'opérande "TagIn_Value" = 20000, le résultat pour ""F_DB_1".TagOut_Value" est 361.

13.9 Conversion
13.9.5 SCALE_D : Mise à l'échelle de la valeur vers le type de données DINT (STEP 7
Safety V18) (S7-1200, S7-1500)
Description
Cette instruction met la valeur à l'entrée IN à l'échelle en unités physiques entre la limite
inférieure à l'entrée LO_LIM et la limite supérieure à l'entrée HI_LIM. La valeur à l'entrée IN est
supposée être comprise entre 0 et 27648. Le résultat de la mise à l'échelle est fourni dans la
sortie OUT.
L'instruction utilise l'équation suivante :
OUT = [ IN × (HI_LIM – LO_LIM) ] / 27648 + LO_LIM
Tant que la valeur à l'entrée IN est supérieure à 27648, la sortie OUT est connectée à HI_LIM
et OUT_HI est mis à 1.
Tant que la valeur à l'entrée IN est inférieure à 0, la sortie OUT est connecée à LO_LIM et
OUT_LO est mis à 1.
Vous devez paramétrer LO_LIM > HI_LIM pour une mise à l'échelle inverse. Avec la mise à
l'échelle inverse, la valeur de sortie à la sortie OUT diminue lorsque la valeur d'entrée à
l'entrée IN augmente.
Il faut associer à chaque appel de l'instruction "Mise à l'échelle au type de données DINT" une
plage de données dans laquelle les données de l'instruction sont stockées. Ainsi, l'insertion de
unique) (par exemple, SCALE_D_DB_1) ou une multi-instance (par exemple,
SCALE_D_Instance_1) pour l'instruction "Mise à l'échelle au type de données DINT". Après sa
création, vous trouverez le nouveau bloc de données sous "Blocs de programme > Blocs
validation "EN").
Paramètres

IN Input INT Valeur d'entrée qui doit être mise à l'échelle en unités
physiques
HI_LIM Input DINT Limite supérieure de la plage de valeurs de OUT
LO_LIM Input DINT Limite inférieure de la plage de valeurs de OUT
OUT Output DINT Résultat de la mise à l'échelle
OUT_HI Output BOOL 1 = valeur d'entrée > 27648 : OUT = HI_LIM
OUT_LO Output BOOL 1 = valeur d'entrée < 0 : OUT = LO_LIM

13.9 Conversion
Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
2.0 — x1 x2
Comportement en cas de débordement haut ou bas de valeurs analogiques et sortie de valeur de

remplacement
Remarque
Si vous utilisez des entrées de la MIE d'un SM 336; AI 6 x 13Bit ou d'un SM 336;
F-AI 6 x 0/4 ... 20 mA HART comme valeurs d'entrée, notez que le système F identifie le
débordement haut ou bas d'une voie de ces SM F comme une erreur de périphérie F/de voie.
La valeur de remplacement 0 est fournie à la place de 7FFFH (débordement haut) ou de
8000H (débordement bas) dans la mémoire image des entrées pour le programme de
sécurité.
Si vous voulez sortir d'autres valeurs de remplacement dans ce cas, vous devez évaluer le
signal QBAD de la périphérie F correspondante ou le signal QBAD_I_xx/l'état de la valeur de la
voie correspondante.
Si la valeur dans la MIE du SM F se situe dans les limites de dépassement haut ou bas mais est
supérieure à 27648 ou inférieure à 0, vous pouvez aussi opter pour la sortie d'une valeur de
remplacement individuelle en évaluant les sorties OUT_HI ou OUT_LO.

13.10 Gestion du programme
Exemple
Lorsque l'opérande "TagIn_Value" = 20000, le résultat pour ""F_DB_1".TagOut_Value" est

72337.
13.10.1 JMP : Saut si RLO = 1 (STEP 7 Safety V18)
Description
L'instruction "Saut si RLO = 1" permet d'interrompre l'exécution linéaire du programme et de
la poursuivre dans un autre réseau. Le réseau cible doit être identifié par un repère de saut
(Page 561) (LABEL). La désignation de ce repère est indiquée dans l'emplacement réservé au-
dessus de l'instruction.
Le repère de saut indiqué doit se trouver dans le bloc où l'instruction est exécutée. Sa
désignation ne doit figurer qu'une seule fois dans le bloc.
Si le résultat logique (RLO) à l'entrée de l'instruction est égal à "1" ou que l'entrée n'est pas
connectée, le saut est exécuté dans le réseau identifié par le repère de saut indiqué. Le saut
peut s'effectuer dans l'ordre croissant ou décroissant des numéros de réseau.

Si le résultat logique à l'entrée de l'instruction est égal à "0", l'exécution du programme se

poursuit dans le réseau suivant.
Remarque
(S7-1200, S7-1500)
Si la destination du saut (le repère de saut) d'une instruction "JMP" ou "JMPN" se situe au-
dessus de l'instruction "JMP" ou "JMPN" associée (saut en arrière), vous ne pouvez pas insérer
d'autres instructions de gestion du programme (JMP, JMPN, RET, repère de saut) entre elles.
Exception : Vous pouvez intercaler une instruction "JMP" ou "JMPN" si vous insérez
également sa destination de saut entre elles et en dessous de l'instruction "JMP" ou "JMPN"
associée (saut avant).
Le non-respect de cette règle peut entraîner des erreurs de compilation ou le passage de la
CPU F à l'arrêt.
Remarque
Vous ne pouvez pas insérer d'instructions SENDDP ou SENDS7 entre une instruction JMP ou
JMPN et la destination de saut associée (repère de saut).
Exemple

Lorsque l'opérande "TagIn_1" fournit l'état logique "1", l'instruction "Saut si RLO = 1" est
exécutée. L'exécution linéaire du programme est alors interrompue et se poursuit dans le
réseau 3, identifié par le repère de saut CAS1. Lorsque l'entrée "TagIn_3" fournit l'état logique
"1", la sortie "TagOut_3" est mise à 0.
13.10.2 JMPN : Saut si RLO = 0 (STEP 7 Safety V18)
Description
L'instruction "Saut si RLO = 0" permet d'interrompre l'exécution linéaire du programme et de
la poursuivre dans un autre réseau si le résultat logique à l'entrée de l'instruction est "0". Le
réseau cible doit être identifié par un repère de saut (Page 561) (LABEL). La désignation de ce
repère est indiquée dans l'emplacement réservé au-dessus de l'instruction.
Le repère de saut indiqué doit se trouver dans le bloc où l'instruction est exécutée. Sa
désignation ne doit figurer qu'une seule fois dans le bloc.
Si le résultat logique (RLO) à l'entrée de l'instruction est égal à "0", le saut est exécuté dans le
réseau identifié par le repère de saut indiqué. Le saut peut s'effectuer dans l'ordre croissant
ou décroissant des numéros de réseau.

Si le résultat logique à l'entrée de l'instruction est égal à "1", l'exécution du programme se

poursuit dans le réseau suivant.
Remarque
(S7-1200, S7-1500)
Si la destination du saut (le repère de saut) d'une instruction "JMP" ou "JMPN" se situe au-
dessus de l'instruction "JMP" ou "JMPN" associée (saut en arrière), vous ne pouvez pas insérer
d'autres instructions de gestion du programme (JMP, JMPN, RET, repère de saut) entre elles.
Exception : Vous pouvez intercaler une instruction "JMP" ou "JMPN" si vous insérez
également sa destination de saut entre elles et en dessous de l'instruction "JMP" ou "JMPN"
associée (saut avant).
Le non-respect de cette règle peut entraîner des erreurs de compilation ou le passage de la
CPU F à l'arrêt.
Remarque
Vous ne pouvez pas insérer d'instructions SENDDP ou SENDS7 entre une instruction JMP ou
JMPN et la destination de saut associée (repère de saut).
Exemple

13.10.3 LABEL : Repère de saut (STEP 7 Safety V18)
Description
Un repère de saut permet d'identifier le réseau cible dans lequel l'exécution du programme
doit se poursuivre lorsqu'un saut est effectué.
Le repère de saut et l'instruction dans laquelle le repère de saut est indiqué comme
destination du saut doivent se trouver dans le même bloc. La désignation d'un repère de saut
ne doit être attribuée qu'une seule fois dans le bloc.
Vous ne pouvez placer qu'un seul repère de saut par réseau. Il est possible de sauter à chaque
repère de saut depuis plusieurs endroits.

Exemple

Voir aussi
JMP : Saut si RLO = 1 (STEP 7 Safety V18) (Page 557)
JMPN : Saut si RLO = 0 (STEP 7 Safety V18) (Page 559)
RET : Retour de saut (STEP 7 Safety V18) (Page 563)
13.10.4 RET : Retour de saut (STEP 7 Safety V18)
Description
L'instruction "Retour de saut" permet de mettre fin à l'exécution d'un bloc.
Si le résultat logique (RLO) à l'entrée de l'instruction "Retour de saut" est "1" ou que l'entrée de
la boîte n'est pas connectée en LOG pour les CPU F S7-1200/1500, le traitement du
programme prend fin dans le bloc appelé actuel et se poursuit après la fonction d'appel dans
le bloc appelant (par exemple, dans le Main Safety Block). Si le RLO est "0" à l'entrée de
l'instruction "Retour de saut", l'instruction n'est pas exécutée. Le traitement du programme se
poursuit dans le réseau suivant du bloc appelé.
Agir sur l'état de la fonction d'appel (ENO) n'est pas pertinent puisque la connexion de la
sortie de validation "ENO" n'est pas possible.
Remarque
(S7-300, S7-400) Vous ne pouvez pas programmer d'instruction RET dans le Main Safety
Block.
Exemple
L'instruction "Retour de saut" est exécutée lorsque l'opérande "TagIn" fournit l'état logique "1".
L'exécution du programme prend fin dans le bloc appelé et se poursuit dans le bloc appelant.

Voir aussi
JMP : Saut si RLO = 1 (STEP 7 Safety V18) (Page 557)
JMPN : Saut si RLO = 0 (STEP 7 Safety V18) (Page 559)
LABEL : Repère de saut (STEP 7 Safety V18) (Page 561)
13.10.5 OPN : Ouvrir bloc de données global (STEP 7 Safety Advanced V18) (S7-300,
S7-400)
Description
L'instruction "Ouvrir bloc de données global" permet d'ouvrir un bloc de données (DB). Le
numéro du bloc de données est transcrit dans le registre de DB. Les commandes DB suivantes
accèdent aux blocs concernés en fonction du contenu du registre.
Remarque
Notez lors de l'utilisation de l'instruction "Ouvrir bloc de données global" que le contenu du
registre DP peut avoir changé après des appels de FB F/FC F et des accès DB avec indication du
chemin complet, de sorte qu'il n'est plus garanti que le dernier bloc de données que vous
avez ouvert avec "Ouvrir bloc de données global" est encore ouvert.
Vous devez donc utiliser la méthode suivante pour adresser des données afin d'éviter des
erreurs lors de l'accès aux données du registre de DB :
• Utilisez l'adressage symbolique.
• Utilisez exclusivement des accès DB avec indication du chemin complet.
Si vous souhaitez quand même utiliser l'instruction "Ouvrir bloc de données global", vous
devrez veiller vous-même à restaurer le registre de DB en répétant l'instruction "Ouvrir bloc de
données global" après des appels de FB F/FC F et des accès DB avec indication du chemin
complet. Un dysfonctionnement pourrait se produire sinon.
Paramètres

nées
<bloc de données > Input BLOCK_DB Bloc de données à ouvrir


Le premier accès aux données d'un bloc de données dans un FB F/une FC F doit indiquer le
chemin complet ou il doit être précédé de l'instruction "Ouvrir bloc de données global". Cela
s'applique également au premier accès aux données d'un bloc de données après un repère de
saut.
Vous trouverez un exemple d'accès à un DB avec indication du chemin complet et sans
indication du chemin complet sous Restrictions pour les langages de programmation
LOG/CONT (Page 117).
Accès aux DB d'instance

Vous pouvez également accéder aux DB d'instance des FB F en indiquant le chemin complet,
par exemple pour transmettre des paramètres de bloc. Les accès aux données locales
statiques dans des instances uniques/multiples d'autres FB F ne sont pas possibles.
Tenez compte du fait que l'accès à des DB d'instance de FB F qui ne sont pas appelés dans le
programme de sécurité peut entraîner l'arrêt de la CPU F.
Exemple
Le bloc de données "Motor_DB" est appelé dans le réseau 1. Le numéro du bloc de données
est transcrit dans le registre de DB. L'opérande "DBX0.0" est interrogé dans le réseau 2. L'état
logique de l'opérande "DBX0.0" est affecté à l'opérande "Tag_Output".

13.11 Opérations logiques sur mots
13.11.1 AND : Opération logique ET (STEP 7 Safety V18)
Description
L'instruction "Opération logique ET" permet d'effectuer une opération ET logique bit par bit
entre la valeur à l'entrée IN1 et la valeur à l'entrée IN2 et de lire le résultat dans la sortie OUT.
Lors de l'exécution de l'instruction, une opération ET logique est effectuée entre le bit 0 de la
valeur à l'entrée IN1 et le bit 0 de la valeur à l'entrée IN2. Le résultat est inscrit dans le bit 0 de
la sortie OUT. La même opération est exécutée pour tous les autres bits des valeurs indiquées.
Un bit de résultat n'est à l'état logique "1" que si les deux bits à relier fournissent également
l'état logique "1". Si l'un des deux bits à relier fournit l'état logique "0", le bit de résultat
correspondant est mis à 0.
validation "EN").
Paramètres
Paramètre Déclaration Type de données Description

IN1 Input WORD Première valeur de l'opération
IN2 Input WORD Deuxième valeur de l'opération
OUT Output WORD Résultat de l'instruction
Exemple

IN1 "Tag_Value1" = 01010101 01010101

IN2 "Tag_Value2" = 00000000 00001111
OUT "F_DB_1"."Tag_Result" = 00000000 00000101
L'instruction est toujours exécutée, quel que soit l'état logique à l'entrée de validation "EN". La
valeur de l'opérande "Tag_Value1" est reliée à celle de l'opérande "Tag_Value2" par un ET
logique. Le résultat est calculé bit par bit et fourni dans l'opérande ""F_DB_1".Tag_Result".
13.11.2 OR : Opération logique OU (STEP 7 Safety V18)
Description
L'instruction "Opération logique OU" permet de relier bit par bit la valeur à l'entrée IN1 et la
valeur à l'entrée IN2 par une opération OU logique et de lire le résultat à la sortie OUT.
Lors de l'exécution de l'instruction, le bit 0 de la valeur à l'entrée IN1 est relié au bit 0 de la
valeur à l'entrée IN2 par une opération OU logique. Le résultat est inscrit dans le bit 0 de la
sortie OUT. La même opération est réalisée pour tous les bits des variables indiquées.
Un bit de résultat est seulement à l'état logique "1" si l'un au moins des deux bits à relier
fournit l'état logique "1". Si les deux bits à relier fournissent l'état logique "0", le bit de résultat
correspondant est remis à 0.
validation "EN").
Paramètres


Exemple
IN1 "Tag_Value1" = 01010101 01010101

IN2 "Tag_Value2" = 00000000 00001111
valeur de l'opérande "Tag_Value1" est reliée à celle de l'opérande "Tag_Value2" par un OU
logique. Le résultat est calculé bit par bit et fourni dans l'opérande ""F_DB_1".Tag_Result".
13.11.3 XOR : Opération logique OU EXCLUSIF (STEP 7 Safety V18)
Description
L'instruction "Opération OU EXCLUSIF logique" permet de relier bit par bit la valeur à l'entrée
IN1 et la valeur à l'entrée IN2 par une opération OU EXCLUSIF logique et de lire le résultat à la
sortie OUT.
Lors de l'exécution de l'instruction, le bit 0 de la valeur à l'entrée IN1 est relié au bit 0 de la
valeur à l'entrée IN2 par une opération OU EXCLUSIF logique. Le résultat est inscrit dans le bit
0 de la sortie OUT. La même opération est exécutée pour tous les autres bits des valeurs
indiquées.
Un bit de résultat a l'état logique "1" si l'un des deux bits à relier fournit l'état logique "1". Si
les deux bits à relier fournissent l'état logique "1" ou "0", le bit de résultat correspondant est
mis à 0.
validation "EN").

13.12 Décalage et rotation
Paramètres
Paramètre Déclaration Type de données Description

Exemple
IN1 "Tag_Value1" = 01010101 01010101

IN2 "Tag_Value2" = 00000000 00001111
valeur de l'opérande "Tag_Value1" est reliée à celle de l'opérande "Tag_Value2" par un OU
EXCLUSIF logique. Le résultat est calculé bit par bit et fourni dans l'opérande
""F_DB_1".Tag_Result".
13.12.1 SHR : Décalage à droite (STEP 7 Safety V18)
Description
L'instruction "Décaler à droite" permet de décaler le contenu de l'opérande à l'entrée IN bit par
bit vers la droite et de lire le résultat dans la sortie OUT. Avec l'entrée N, vous déterminez le
nombre de positions de bit dont il faut décaler la valeur indiquée.

Si la valeur à l'entrée N est "0", la valeur de l'entrée IN est copiée sans modification dans
l'opérande de la sortie OUT.
Si la valeur à l'entrée N est supérieure au nombre de positions de bit disponibles, la valeur
d'opérande à l'entrée IN est décalée vers la droite du nombre de positions disponibles.
Les positions de bit libérées par le décalage dans la partie gauche de l'opérande sont
complétées par des zéros.
La figure suivante montre comment le contenu d'un opérande de type de données WORD est
décalé de 6 positions de bit vers la droite :

validation "EN").
Remarque
S7-300/400 :
Seul l'octet de poids faible de l'entrée N est évalué.
S7-1200/1500 :
Si la valeur à l'entrée N est inférieure à 0, la sortie OUT est mise à 0.
Paramètres

IN Input WORD Valeur à décaler
N Input INT Nombre de positions de bit dont la valeur sera décalée

Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
récente.
1.2 x — o
1.3 x o o
1.4 x x x
2.0 x x1 x2

Exemple


concrètes :

IN "F_DB_1".TagIn_Value 0011 1111 1010 1111
N Tag_Number 3
OUT "F_DB_1".TagOut_Value 0000 0111 1111 0101
L'instruction est toujours exécutée, quel que soit l'état logique à l'entrée de validation "EN". Le
contenu de l'opérande ""F_DB_1".TagIn_Value" est décalé de trois positions de bit vers la
droite. Le résultat est fourni dans la sortie ""F_DB_1".TagOut_Value".
13.12.2 SHL : Décalage à gauche (STEP 7 Safety V18)
Description
L'instruction "Décaler à gauche" permet de décaler le contenu de l'opérande à l'entrée IN bit
par bit vers la gauche et de lire le résultat dans la sortie OUT. Avec l'entrée N, vous
déterminez le nombre de positions de bit dont il faut décaler la valeur indiquée.
Si la valeur à l'entrée N est "0", la valeur de l'entrée IN est copiée sans modification dans
l'opérande de la sortie OUT.
Si la valeur à l'entrée N est supérieure au nombre de positions de bit disponibles, la valeur
d'opérande à l'entrée IN est décalée vers la gauche du nombre de positions disponibles.
Les positions de bit libérées par le décalage dans la partie droite de l'opérande sont
complétées par des zéros.
La figure suivante montre comment le contenu d'un opérande de type de données WORD est
décalé de 6 positions de bit vers la gauche :


validation "EN").
Remarque
S7-300/400 :
Seul l'octet de poids faible de l'entrée N est évalué.
S7-1200/1500 :
Si la valeur à l'entrée N est inférieure à 0, la sortie OUT est mise à 0.
Paramètres

IN Input WORD Valeur à décaler
N Input INT Nombre de positions de bit dont la valeur sera décalée
Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
récente.
1.2 x — o
1.3 x o o
1.4 x x x
2.0 x x1 x2


13.13 Utilisation
Exemple

concrètes :

IN "F_DB_1".TagIn_Value 0011 1111 1010 1111
N Tag_Number 4
OUT "F_DB_1".TagOut_Value 1111 1010 1111 0000
L'instruction est toujours exécutée, quel que soit l'état logique à l'entrée de validation "EN". Le
contenu de l'opérande ""F_DB_1".TagIn_Value" est décalé de quatre positions de bit vers la
gauche. Le résultat est fourni dans la sortie ""F_DB_1".TagOut_Value".
13.13 Utilisation
13.13.1 ACK_OP : Acquittement de sécurité (STEP 7 Safety V18)
Description (S7-300, S7-400)

Cette instruction permet de réaliser un acquittement de sécurité depuis un système de
contrôle-commande. On peut ainsi, par exemple, commander la réintégration de la
périphérie F via le système de contrôle-commande. Un acquittement comprend deux étapes :
• Le paramètre d'entrée/sortie IN prend la valeur 6 pour exactement un cycle.
• Le paramètre d'entrée/sortie IN prend la valeur 9 en l'espace d'une minute pour
exactement un cycle.
L'instruction détermine si, une fois que le paramètre d'entrée/sortie IN a pris la valeur 6, il
prend la valeur 9 après au plus tôt 1 seconde ou au plus tard une minute. La sortie OUT
(sortie pour l'acquittement) est ensuite mise à 1 pour un cycle.

13.13 Utilisation
En présence d'une valeur invalide ou si le changement à la valeur 9 n'a pas lieu dans la
minute ou a lieu avant qu'une seconde soit écoulée, le paramètre d'entrée/sortie IN est remis
à 0 et les deux étapes ci-dessus doivent être répétées.
La sortie Q est mise à 1 durant l'intervalle dans lequel doit s'effectuer le passage de 6 à 9.
Sinon, Q a la valeur 0.
Il faut associer à chaque appel de l'instruction "Acquittement de sécurité" une plage de
unique) (par exemple, ACK_OP_DB_1) ou une multi-instance (par exemple,
ACK_OP_Instance_1) pour l'instruction "Acquittement de sécurité". Après sa création, vous
Remarque
Vous devez utiliser une plage de données distincte pour chaque appel de ACK_OP. Chaque
appel ne doit être traité qu'une fois dans un cycle du groupe d'exécution F.
En cas de non-respect, le comportement décrit sous "Description" n'est plus garanti.

validation "EN").
ATTENTION

13.13 Utilisation
ATTENTION
d'acquittement.
• En option :
Remarque
Vous pouvez lire la sortie Q au moyen de systèmes de contrôle-commande ou l'évaluer, le cas
échéant, dans votre programme utilisateur standard.
Vous pouvez affecter à l'entrée/sortie IN un mot de mémento ou un DBW d'un DB du
programme utilisateur standard propre à chaque appel de l'instruction ACK_OP.
Remarque
La configuration de votre système de contrôle-commande n'influe pas sur la signature
globale F.

13.13 Utilisation
ATTENTION

traitement cyclique
Description (S7-1200, S7-1500)

Cette instruction permet de réaliser un acquittement de sécurité depuis un système de
contrôle-commande. On peut ainsi, par exemple, commander la réintégration de la
périphérie F via le système de contrôle-commande. Un acquittement comprend deux étapes :
• Le paramètre d'entrée/sortie IN prend la valeur 6 pour exactement un cycle.
• Le paramètre d'entrée/sortie IN prend la valeur présente à l'entrée ACK_ID en l'espace
d'une minute pour exactement un cycle.
L'instruction détermine si, une fois que le paramètre d'entrée/sortie IN a pris la valeur 6, il
prend la valeur à l'entrée ACK_ID après au plus tôt 1 seconde ou au plus tard une minute. La
sortie OUT (sortie pour l'acquittement) est ensuite mise à 1 pour un cycle.
En présence d'une valeur invalide ou si le changement à la valeur à l'entrée ACK_ID n'a pas
lieu dans la minute ou a lieu avant qu'une seconde soit écoulée, le paramètre d'entrée/sortie
IN est remis à 0 et les deux étapes ci-dessus doivent être répétées.
La sortie Q est mise à 1 durant l'intervalle dans lequel doit s'effectuer le passage de 6 à la
valeur à l'entrée ACK_ID. Sinon, Q a la valeur 0.
Il faut associer à chaque appel de l'instruction "Acquittement de sécurité" une plage de
unique) (par exemple, ACK_OP_DB_1) ou une multi-instance (par exemple,
ACK_OP_Instance_1) pour l'instruction "Acquittement de sécurité". Après sa création, vous

13.13 Utilisation
Remarque
Vous devez utiliser une plage de données distincte pour chaque appel de ACK_OP. Chaque
appel ne doit être traité qu'une fois dans un cycle du groupe d'exécution F.
En cas de non-respect, le comportement décrit sous "Description" n'est plus garanti.

validation "EN").
ATTENTION
ATTENTION
Première possibilité :
• La valeur pour chaque identification de l'acquittement (entrée ACK_ID, type de données
INT) peut être choisie librement dans la plage de 9...30000, mais doit être unique à
l'échelle du réseau* pour toutes les instances de l'instruction ACK_OP.
Vous devez connecter l'entrée ACK_ID à des valeurs constantes lors de l'appel de
lecture, ni en écriture dans le programme de sécurité.
Deuxième possibilité :
d'acquittement.
• En option :

13.13 Utilisation
Remarque
Vous pouvez lire la sortie Q au moyen de systèmes de contrôle-commande ou l'évaluer, le cas
échéant, dans votre programme utilisateur standard.
À chaque appel de l'instruction ACK_OP, vous devez affecter à l'entrée/sortie IN un mot de
mémento ou un DBW d'un DB du programme utilisateur standard propre.
Remarque
La transmission d'une valeur au paramètre d'entrée/sortie IN de l'instruction ACK_OP ainsi que
la configuration de votre système de contrôle-commande n'influent pas sur la signature
globale F, la signature globale SW F ou la signature du bloc qui appelle l'instruction ACK_OP.
Modifier la valeur transmise au paramètre d'entrée/sortie IN ou la configuration de votre
système de contrôle-commande n'entraîne donc pas de modification de la signature globale
F, la signature globale SW F ou la signature du bloc appelant.
ATTENTION

traitement cyclique

13.13 Utilisation
Paramètres (S7-300, S7-400)


IN InOut INT Grandeur d'entrée du système de contrôle-commande
OUT Output BOOL Sortie pour l'acquittement
Q Output BOOL État du temps
Paramètres (S7-1200, S7-1500)


ACK_ID Input INT ID de l'acquittement (9…30000)
IN InOut INT Grandeur d'entrée du système de contrôle-commande
OUT Output BOOL Sortie pour l'acquittement
Q Output BOOL État du temps
Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
récente.
1.1 x — o Ces versions sont fonctionnellement identiques à la version 1.0 pour les
1.2 x o o CPU F S7-300/400.
1.3 x x x Pour les CPU F S7-1200/1500, vous devez également tenir compte de
l'entrée ACK_ID.

13.13 Utilisation

l'instruction
du temps (de Δ2).
au cycle n+1.
exemple
Vous trouverez un exemple d'application de l'instruction sous Réalisation d'un acquittement
utilisateur dans le programme de sécurité de la CPU F d'un maître DP ou d'un IO-Controller
(Page 183).
Voir aussi

13.14 Autres instructions
13.14.1 CONT
13.14.1.1 ---| |--- OV : Interrogation du bit d'état OV (STEP 7 Safety Advanced V18) (S7-300,
S7-400)
Description
L'instruction "Interroger le bit d'état OV à 1" permet de détecter si un débordement de plage
numérique s'est produit dans la dernière instruction arithmétique traitée.
L'instruction "Interroger le bit d'état OV à 1" fonctionne comme un contact à fermeture. Si
l'interrogation est vraie, l'instruction fournit l'état logique "1". Si l'interrogation est fausse,
l'instruction fournit l'état logique "0".
L'évaluation "Interroger le bit d'état OV à 1" doit être placée dans le réseau qui suit
l'instruction affectant le bit OV. Ce réseau ne doit pas contenir de repères de saut.
Remarque
L'utilisation de l'instruction "Interroger le bit d'état OV à 1" allonge le temps d'exécution de
l'instruction affectant le bit OV (voir aussi le fichier Excel de calcul des temps de réaction
Exemple
L'instruction "Addition" est toujours exécutée (quel que soit l'état logique à l'entrée de
validation EN).


13.14.1.2 ---| / |--- OV : Interrogation du bit d'état OV inversé (STEP 7 Safety Advanced V18)
(S7-300, S7-400)
Description
numérique s'est produit dans la dernière instruction arithmétique traitée. Cette instruction est
disponible uniquement en CONT.
L'instruction "Interroger le bit d'état OV à 0" fonctionne comme un contact à ouverture. Si
l'interrogation est vraie, l'instruction fournit l'état logique "0". Si l'interrogation est fausse,
Remarque
Exemple
L'instruction "Addition" est toujours exécutée (quel que soit l'état logique à l'entrée de
validation EN).


Si aucun débordement ne se produit pendant l'exécution de l'instruction "Addition", le bit
d'état OV est mis à 0. L'instruction "Mise à 1 sortie" (S) est exécutée dans le réseau 2 après
13.14.2 LOG
13.14.2.1 OV : Interrogation du bit d'état OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)
Description
numérique s'est produit dans la dernière instruction arithmétique traitée.
Si l'interrogation est vraie, l'instruction fournit l'état logique "1". Si l'interrogation est fausse,
Vous pouvez programmer une interrogation à "0" du bit d'état OV à l'aide de l'instruction
"Inverser RLO".
Remarque
Exemple

13.15 Communication

13.15 Communication
13.15.1 PROFIBUS/PROFINET
13.15.1.1 SENDDP et RCVDP : Émission et réception de données via

PROFIBUS DP/PROFINET IO (STEP 7 Safety V18)
Introduction
Les instructions SENDDP et RCVDP permettent l'émission et la réception sécurisées de
données via l'un des modes de communication suivants :
• Communication maître-maître de sécurité
• Communication maître-maître de sécurité pour S7 Distributed Safety
• Communication maître-esclave I de sécurité
• Communication esclave I-esclave I de sécurité
• Communication contrôleur IO-contrôleur IO de sécurité
• Communication contrôleur IO-contrôleur IO pour S7 Distributed Safety
• Communication contrôleur IO-périphérique I de sécurité
• Communication contrôleur IO-esclave I de sécurité
Description
L'instruction SENDDP envoie de manière sécurisée via PROFIBUS DP/PROFINET IO 16 données
de type BOOL et 2 données de type INT – ou bien une donnée de type DINT (S7-1200,
S7-1500) – à une autre CPU F. Les données peuvent y être reçues avec l'instruction RCVDP
correspondante.
Il faut associer à chaque appel de ces instructions une plage de données dans laquelle les
laquelle vous pouvez créer un bloc de données (instance unique) (par exemple, RCVDP_DB_1)
pour ces instructions. Après sa création, vous trouverez le nouveau bloc de données sous
"Blocs de programme > Blocs système" dans le dossier "STEP 7 Safety" dans le navigateur de
projet. Vous trouverez plus d'informations à ce sujet dans l'aide de STEP 7.

13.15 Communication

validation "EN").
Dans l'instruction SENDDP, les données à émettre (par exemple, les sorties d'autres blocs
F/instructions) sont disponibles aux entrées SD_BO_xx et SD_I_xx – ou bien SD_DI_00.
Dans l'instruction RCVDP, les données reçues sont disponibles aux sorties RD_BO_xx et
RD_I_xx – ou bien RD_DI_00 – pour la poursuite de leur traitement par d'autres blocs
F/instructions.
(S7-1200, S7-1500) Vous indiquez à l'entrée DINTMODE de l'instruction SENDDP s'il faut
envoyer les données aux entrées SD_I_00 et SD_I_01 ou bien la donnée à l'entrée SD_DI_00.
Le mode de fonctionnement de la CPU F avec l'instruction SENDDP est fourni à la sortie
SENDMODE. La sortie SENDMODE = 1 si la CPU F avec l'instruction SENDDP se trouve en mode
de sécurité désactivé.
La communication entre les CPU F se fait en arrière-plan via un protocole de sécurité spécial.
Vous devez pour cela définir la relation de communication entre une instruction SENDDP dans
une CPU F et une instruction RCVDP dans l'autre CPU F en spécifiant une ID de
communication F aux entrées DP_DP_ID des instructions SENDDP et RCVDP. Les instructions
SENDDP et RCVDP associées reçoivent la même valeur pour DP_DP_ID.
ATTENTION

(IP, couche 3).

13.15 Communication
Remarque
Vous devez paramétrer une autre adresse initiale (S7-300/400) ou une autre ID matérielle
(S7-1200/1500) à l'entrée LADDR pour chaque appel des instructions SENDDP et RCVDP dans
un programme de sécurité.
Vous devez utiliser un DB d'instance distinct pour chaque appel des instructions SENDDP et
RCVDP. Il est interdit de déclarer et d'appeler ces instructions comme multi-instances.
(S7-300/400) Les entrées des instructions RCVDP et RCVS7 ne doivent pas avoir d'opérations
amont (une instruction "Opération logique ET", par exemple).
Les entrées de l'instruction RCVDP ne peuvent pas être connectées, par des accès DB avec
indication du chemin complet, à des sorties d'une instruction RCVDP ou RCVS7 appelée dans
un réseau précédent.
(S7-1200/1500) La sortie RD_DI_00 de l'instruction RCVDP ne doit pas être évaluée si
DINTMODE = 0 ; les sorties RD_I_xx ne doivent pas être évaluées si DINTMODE = 1.
(S7-1200/1500) Les sorties des instructions SENDDP et RCVDP ne doivent pas être connectées
à des variables du programme utilisateur standard. Exception : sorties RET_DPRD, RET_DPWR
et DIAG.
Les accès avec indication du chemin complet à DP_DP_ID et LADDR ne sont pas possibles dans
Pour une sortie d'une instruction RCVDP, vous ne devez pas utiliser de paramètre effectif déjà
utilisé pour une entrée de la même ou d'une autre instruction RCVDP ou RCVS7.
Remarque
Vous ne pouvez pas insérer d'instructions SENDDP/RCVDP entre une instruction JMP ou JMPN
et la destination de saut associée (repère de saut).
Vous ne pouvez pas insérer d'instruction RET avant une instruction SENDDP.

13.15 Communication
Paramètres de SENDDP
Le tableau suivant montre les paramètres de l'instruction SENDDP :

nées
SD_BO_00 Input BOOL Donnée d'émission BOOL 00
... ...
SD_BO_15 Input BOOL Donnée d'émission BOOL 15
SD_I_00 Input INT Donnée d'émission INT 00
SD_I_01 Input INT Donnée d'émission INT 01
SD_DI_00 Input DINT (S7-1200, S7-1500)
(masqué)
Donnée d'émission DINT 00
DINTMODE Input DINT (S7-1200, S7-1500)
(masqué)
0 = SD_I_00 et SD_I_01 sont émis
1 = SD_DI_00 est émis
DP_DP_ID Input INT ID de communication F entre SENSENDDP et RCVDP
TIMEOUT Input TIME Temps de surveillance en ms pour la communication de sécurité
(voir aussi Temps de surveillance et de réaction (Page 602))
LADDR Input INT (S7-300, Adresse de début (S7-300, S7-400) ou ID matérielle (S7-1200, S7-
S7-400) 1500) de la plage d'adresses/de la zone de transfert :
HW_SUBMOD • du coupleur DP/DP pour la communication maître-maître de
ULE (S7-1200,
sécurité
S7-1500)
• pour la communication maître-esclave I de sécurité
• pour la communication esclave I-esclave I de sécurité
• du coupleur PN/PN pour la communication contrôleur IO-
contrôleur IO de sécurité
• pour la communication contrôleur IO-périphérique I de sécuri-
té
• pour la communication contrôleur IO-esclave I de sécurité
ERROR Output BOOL 1 = erreur de communication
SUBS_ON Output BOOL 1 = RCVDP sort des valeurs de remplacement
RET_DPRD Output WORD Code d'erreur RET_VAL non de sécurité de l'instruction DPRD_DAT
(les codes d'erreur sont décrits dans l'aide de l'instruction
DPRD_DAT ("Instructions avancées > Périphérie décentralisée >
Autres"))
RET_DPWR Output WORD Code d'erreur RET_VAL non de sécurité de l'instruction DPWR_DAT
DPWR_DAT ("Instructions avancées > Périphérie décentralisée >
Autres"))

13.15 Communication
Paramètres de RCVDP :
Le tableau suivant montre les paramètres de l'instruction RCVDP :

nées
ACK_REI Input BOOL 1 = acquittement pour la réintégration des données d'émission
après une erreur de communication
SUBBO_00 Input BOOL Valeur de remplacement pour la donnée de réception BOOL 00
... ...
SUBBO_15 Input BOOL Valeur de remplacement pour la donnée de réception BOOL 15
SUBI_00 Input INT Valeur de remplacement pour la donnée de réception INT 00
SUBI_01 Input INT Valeur de remplacement pour la donnée de réception INT 01
SUBDI_00 Input DINT (S7-1200, S7-1500)
(masqué)
Valeur de remplacement pour la donnée de réception DINT 00
DP_DP_ID Input INT ID de communication F entre SENSENDDP et RCVDP
LADDR Input INT (S7-300, Adresse de début (S7-300, S7-400) ou ID matérielle (S7-1200,
S7-400) S7-1500) de la plage d'adresses/de la zone de transfert :
HW_SUBMOD • du coupleur DP/DP pour la communication maître-maître de
ULE (S7-1200,
sécurité
S7-1500)
• pour la communication maître-esclave I de sécurité
• pour la communication esclave I-esclave I de sécurité
• du coupleur PN/PN pour la communication contrôleur IO-
contrôleur IO de sécurité
• pour la communication contrôleur IO-périphérique I de sécuri-
té
• pour la communication contrôleur IO-esclave I de sécurité
SUBS_ON Output BOOL 1 = les valeurs de remplacement sont sorties
ACK_REQ Output BOOL 1 = acquittement pour la réintégration des données d'émission
nécessaire
SENDMODE Output BOOL 1 = CPU F avec l'instruction SENDDP en mode de sécurité désacti-
vé
RD_BO_00 Output BOOL Donnée de réception BOOL 00
... ...
RD_BO_15 Output BOOL Donnée de réception BOOL 15
RD_I_00 Output INT Donnée de réception INT 00
RD_I_01 Output INT Donnée de réception INT 01
RD_DI_00 Output DINT (S7-1200, S7-1500)
(masqué)
Donnée de réception DINT 00
RET_DPRD Output WORD Code d'erreur RET_VAL non de sécurité de l'instruction DPRD_DAT
DPRD_DAT("Instructions avancées > Périphérie décentralisée >
Autres"))

13.15 Communication

nées
RET_DPWR Output WORD Code d'erreur RET_VAL non de sécurité de l'instruction DPWR_DAT
DPWR_DAT("Instructions avancées > Périphérie décentralisée >
Autres"))
Plusieurs versions sont disponibles pour ces instructions :
Ver- S7-300/400 S7-1200 S7-1500 Fonction

sion
récente.
1.2 x — o
1.4 x — x
1.3 x — o S7-300/400 : Ces versions sont fonctionnellement identiques à la version
1.5 x x x 1.0.
2.0 x x1 x2 S7-1200/1500 : Une donnée de type DINT peut être émise/reçue à la
place de 2 données de type INT. Sinon fonctionnellement identiques à la
version 1.0.
3.0 x x1 x2 S7-300/400 : Cette version est fonctionnellement identique à la version
2.0.
S7-1200/1500 :
• L'entrée DP_DP_ID peut aussi être connectée à des variables d'un DB
F global. Aucune communication n'est établie si DP_DP_ID = 0.
• Prend en charge l'octet d'état de données du coupleur PN/PN à partir
du firmware V4.0.
• Prend en charge la simulation de la communication en mode
S7-PLCSIM.
Sinon fonctionnellement identique à la version 2.0.


13.15 Communication
Emplacement
Vous devez insérer l'instruction RCVDP soit au début du Main Safety Block, soit (pour les CPU
F S7-1200/1500) dans un FB F/une FC F appelée directement au début du Main Safety Block.
Aucune autre instruction ne doit la précéder dans le Main Safety Block ou bien la précéder ou
la suivre dans le FB F/la FC F.
Vous devez insérer l'instruction SENDDP soit à la fin du Main Safety Block, soit (pour les CPU F
S7-1200/1500) dans un FB F/une FC F appelée directement à la fin du Main Safety Block.
Aucune autre instruction ne doit la suivre dans le Main Safety Block ou bien la précéder ou la
suivre dans le FB F/la FC F.
Après un démarrage des systèmes F émetteur et récepteur, la communication doit être
établie pour la première fois entre les partenaires de communication (instructions SENDDP et
RCVDP). Pendant ce temps, le récepteur (instruction RCVDP) transmet les valeurs de
remplacement présentes à ses entrées SUBBO_xx et SUBI_xx – ou bien SUBDI_00.
Les instructions SENDDP et RCVDP signalent cela en mettant la sortie SUBS_ON à 1. La sortie
SENDMODE a la valeur par défaut 0 et n'est pas actualisée tant que la sortie SUBS_ON est
égale à 1.
À partir de la version V3.0 des instructions SENDDP et RCVDP, la communication n'est établie
que si DP_DP_ID est différent de 0.
comportement en cas d'erreurs de communication

Si une erreur de communication se produit, par exemple en raison d'une erreur de valeur de
contrôle (CRC) ou de l'expiration du temps de surveillance TIMEOUT – ou, pour les CPU F
S7-1200/1500 à partir de la version V3.0, en raison du passage de DP_DP_ID à 0 après
l'établissement de la communication –, les sorties ERROR et SUBS_ON prennent la valeur 1. Le
récepteur (instruction RCVDP) transmet alors les valeurs de remplacement paramétrées à ses
entrées SUBBO_xx et SUBI_xx – ou bien SUBDI_00. Pendant que la sortie SUBS_ON = 1, la
sortie SENDMODE n'est pas actualisée.
Les données d'émission de l'instruction SENDDP présentes aux entrées SD_BO_xx et SD_I_xx –
ou bien SD_DI_00 – ne seront à nouveau transmises qu'une fois qu'il n'y aura plus d'erreur de
communication constatée (ACK_REQ = 1) et que vous aurez procédé à un acquittement
(Page 183) par un front montant à l'entrée ACK_REI de l'instruction RCVDP.
Des erreurs de communication se produisent également en cas de modification des valeurs
des DP_DP_ID variables après l'établissement de la communication si ces valeurs deviennent
temporairement différentes entre des instructions SENDDP et RCVDP associées.
ATTENTION
Pour l'acquittement utilisateur, vous devez connecter l'entrée ACK_REI à un signal généré
par la commande.
Une connexion à un signal généré automatiquement n'est pas autorisée.* (S040)
* Lors de l'utilisation d'ID de communication F variables, il est possible de changer le

partenaire de communication d'instructions SENDDP ou RCVDP en cours de fonctionnement.

13.15 Communication
Les éventuelles erreurs de communication résultantes ne peuvent être acquittées par un

signal généré automatiquement à l'entrée ACK_REI que dans les conditions suivantes :
• Le programme de sécurité forme un signal "Changement de partenaire de communication
en cours" de sécurité avec l'instruction RCVDP sur la base de l'état du processus.
• Le signal "Changement de partenaire de communication en cours" n'est généré qu'en
l'absence d'erreur de communication.
• Tant que le signal "Changement de partenaire de communication en cours" est présent, il
n'y a pas d'évaluation des données de processus reçues dans l'instruction RCVDP.
• L'acquittement automatique n'a lieu que pendant que le signal "Changement de
partenaire de communication en cours" est présent.
• Une réintégration automatique est permise du point de vue de la sécurité pour le
processus concerné.
Notez que la sortie ERROR (1 = erreur de communication) est mise à 1 pour la première fois
en cas d'erreur de communication si la communication entre les partenaires de
communication (instructions SENDDP et RCVDP) a déjà été établie une fois. Si la
communication ne peut pas être établie après un démarrage des systèmes F émetteur et
récepteur, vérifiez la configuration de la communication CPU-CPU de sécurité, le paramétrage
des instructions SENDDP et RCVDP et la liaison au bus. Vous trouverez aussi des informations
sur les causes d'erreur possibles en évaluant les sorties DIAG, RET_DPRD ou RETDP_WR.
En règle générale, évaluez toujours RET_DPRD et RETDP_WR, car il est possible qu'une seule
des deux sorties contienne une information d'erreur.

13.15 Communication
Chronogrammes pour SENDDP/RCVDP
la sortie DIAG
La sortie DIAG des deux instructions SENDDP et RCVDP fournit, aux fins de service, des
informations non de sécurité sur le type des erreurs de communication qui se sont produites.
Vous pouvez lire ces informations au moyen de systèmes de contrôle-commande ou les
évaluer, le cas échéant, dans votre programme utilisateur standard. Les bits DIAG restent
mémorisés jusqu'à ce que vous procédiez à l'acquittement à l'entrée ACK_REI de l'instruction
RCVDP.
Structure de DIAG pour l'instruction SENDDP/RCVDP

Bit 3 DP_DP_ID invalide DP_DP_ID est égale à 0. Vérifiez l'identification DP_DP_ID de SENDDP
ou RCVDP.

13.15 Communication

Bit 4 Dépassement du temps Le programme utilisateur standard Vérifiez si le programme utilisateur standard
imparti détecté par écrase les zones de transfert de effectue des accès en écriture aux zones de
SENDDP/RCVDP SENDDP et RCVDP. transfert de SENDDP et RCVDP. Tenez égale-
ment compte des accès indirects.
DP_DP_ID de SENDDP et RCVDP dif- Vérifiez l'identification DP_DP_ID de SENDDP
férente et RCVDP.
Pour des ID de communication F Procédez à un acquittement à l'entrée
variables, les valeurs ont changé à ACK_REI lorsque les DP_DP_ID de SENDDP et
l'entrée DP_DP_ID. RCVDP concordent à nouveau.
La liaison du bus vers la CPU F parte- Vérifiez la liaison du bus et assurez-vous qu'il
naire est perturbée. n’existe aucune source de perturbation ex-
terne.
Le temps de surveillance de la CPU F Vérifiez le temps de surveillance TIMEOUT
et de la CPU F partenaire paramétré paramétré dans les instructions SENDDP et
est trop court RCVDP des deux CPU F. Augmentez la valeur si
nécessaire. Recompilez le programme de
sécurité.
La configuration du coupleur DP/DP Vérifiez la configuration du coupleur DP/DP ou
ou PN/PN est invalide. PN/PN.
L'affichage de la validité des don- Réglez l'affichage de la validité des données
nées "DIA" du coupleur DP/DP est sur "DIA" à "OFF" sur le commutateur DIP du cou-
"ON". pleur DP/DP.
Le paramètre "Affichage de la validi- Désactivez le paramètre "Affichage de la vali-
té des données DIA" du coupleur dité des données DIA" dans les propriétés du
PN/PN est activé. coupleur PN/PN.
Le paramètre "Activer l'état des don- Désactivez le paramètre "Activer l'état des
nées" du coupleur PN/PN (à partir de données" dans les propriétés du coupleur
V4.0) est activé. PN/PN (à partir de V4.0).
ou
S7-1200/1500 : Utilisez la version V3.0 des
instructions SENDDP et RCVDP.
Erreur interne du coupleur DP/DP ou Remplacez le coupleur DP/DP ou PN/PN.
PN/PN
Arrêt ou erreur interne du CP Faites passer le CP à l'état Marche. Vérifiez le
tampon de diagnostic du CP.
Remplacez le CP, le cas échéant.
Arrêt ou erreur interne de la CPU Faites passer les CPU F à l'état Marche. Véri-
F/CPU F partenaire fiez le tampon de diagnostic des CPU F.
Remplacez les CPU F, le cas échéant.
Bit 5 Erreur de numéro de sé- Voir la description pour le bit 4 Voir la description pour le bit 4
quence détectée par
SENDDP/RCVDP
Bit 6 Erreur de CRC détectée par Voir la description pour le bit 4 Voir la description pour le bit 4
SENDDP/RCVDP DP_DP_ID de SENDDP et RCVDP dif- Vérifiez l'identification DP_DP_ID de SENDDP
férente et RCVDP.

13.15 Communication
Voir aussi
Communication avec S7 Distributed Safety via un coupleur PN/PN (communication contrôleur
IO-contrôleur IO) (Page 249)
Communication avec S7 Distributed Safety via un coupleur DP/DP (communication maître-
maître) (Page 250)
Configurer et programmer la communication (S7-300, S7-400) (Page 196)
Communication contrôleur IO-contrôleur IO de sécurité (Page 199)
Communication maître-maître de sécurité (Page 208)
Communication contrôleur IO-périphérique I de sécurité (Page 218)
Communication maître-esclave I de sécurité (Page 224)
Communication contrôleur IO-esclave I de sécurité (Page 241)
13.15.2 Communication S7
13.15.2.1 SENDS7 et RCVS7 : Communication via liaisons S7 (STEP 7 Safety Advanced V18)
(S7-300, S7-400)
Introduction
Les instructions SENDS7 et RCVS7 permettent l'émission et la réception de sécurité de
données via des liaisons S7.
Remarque
Dans STEP 7 Safety Advanced, les liaisons S7 ne sont généralement autorisées que via
Industrial Ethernet.
La communication de sécurité via des liaisons S7 est possible depuis et vers des CPU à
interface PROFINET ou des CPU F S7-400 avec CP compatibles PROFINET. Voir aussi
Communication de sécurité via des liaisons S7 (Page 241).
Description
L'instruction SENDS7 envoie les données d'émission contenues dans un DB de
communication F au DB de communication F de l'instruction RCVS7 associée d'une autre
CPU F de manière sécurisée via une liaison S7.
Il faut associer à chaque appel de ces instructions une plage de données dans laquelle les
laquelle vous pouvez créer un bloc de données (instance unique) (par exemple,
SENDS7_DB_1) ou une multi-instance (par exemple, SENDS7_Instance_1) pour ces
instructions. Après sa création, vous trouverez le nouveau bloc de données sous "Blocs de

13.15 Communication
validation "EN").
Vous trouverez des informations sur le DB de communication F sous "Programmer la
communication de sécurité via des liaisons S7 (Page 244)".
Un DB de communication F est un DB F pour la communication CPU-CPU de sécurité ayant
des propriétés spéciales. Vous devez indiquer les numéros des DB de communication F aux
entrées SEND_DB et RCV_DB des instructions SENDS7 et RCVS7.
Le mode de fonctionnement de la CPU F avec l'instruction SENDS7 est fourni à la sortie
SENDMODE de l'instruction RCVS7. La sortie SENDMODE = 1 si la CPU F avec l'instruction
SENDS7 se trouve en mode de sécurité désactivé.
Pour réduire la charge du bus, vous pouvez désactiver temporairement la communication
entre les CPU F à l'entrée EN_SEND de l'instruction SENDS7 en affectant la valeur "0" à l'entrée
EN_SEND (la valeur par défaut est "1"). Plus aucune donnée d'émission n'est alors envoyée au
DB de communication F de l'instruction RCVS7 associée et le récepteur fournit les valeurs de
remplacement (valeurs initiales dans son DB de communication F) durant cette période. Si
une communication était déjà établie entre les partenaires de liaison, une erreur de
communication est détectée.
Vous devez indiquer l'ID locale – du point de vue de la CPU F – de la liaison S7 (figurant dans
la table des liaisons de la vue du réseau) à l'entrée ID de l'instruction SENDS7 (voir aussi
Configuration (Page 43)).
La communication entre les CPU F se fait en arrière-plan via un protocole de sécurité spécial.
Vous devez pour cela définir la relation de communication entre une instruction SENDS7 dans
une CPU F et une instruction RCVS7 dans l'autre CPU F en spécifiant un nombre impair à
l'entrée R_ID (de l'instruction SENDS7 et RCVS7). Les instructions SENDS7 et RCVS7 associées
reçoivent la même valeur pour R_ID.
ATTENTION

peut être choisie librement, mais elle doit être impaire et unique à l'échelle du réseau* et de
la CPU pour toutes les liaisons de communication de sécurité. La valeur R_ID + 1 est

13.15 Communication
(IP, couche 3).
Remarque
Vous devez utiliser un DB d'instance distinct pour chaque appel des instructions SENDS7 et
RCVS7 dans un programme de sécurité. Il est interdit de déclarer et d'appeler ces instructions
comme multi-instances.
Les entrées de l'instruction RCVS7 ne peuvent pas être connectées, par des accès DB avec
indication du chemin complet, à des sorties d'une instruction RCVS7 ou RCVDP appelée dans
un réseau précédent.
Pour une sortie d'une instruction RCVS7, vous ne devez pas utiliser de paramètre effectif déjà
utilisé pour une entrée de la même ou d'une autre instruction RCVS7 ou RCVDP.
La CPU F peut passer à l'état Arrêt si cela n'est pas respecté. Un événement de diagnostic est
alors inscrit dans le tampon de diagnostic de la CPU F.
Remarque
Vous ne pouvez pas programmer d'instruction SENDS7/RCVS7 entre une instruction JMP ou
JMPN et le réseau cible correspondant de l'instruction JMP ou JMPN.
Vous ne pouvez pas programmer d'instruction RET avant une instruction SENDS7.
Paramètres de SENDS7
Le tableau suivant montre les paramètres de l'instruction SENDS7 :

nées
SEND_DB Input BLOCK_DB Numéro du DB de communication F
EN_SEND Input BOOL 1 = validation d'émission
ID Input WORD ID locale de la liaison S7
R_ID Input DWORD Valeur unique à l'échelle du réseau pour une ID de communica-
tion F entre une instruction SENDS7 et une instruction RCVS7
SUBS_ON Output BOOL 1 = le récepteur sort des valeurs de remplacement
STAT_RCV Output WORD Paramètre d'état STATUS non de sécurité de l'instruction URCV
(les codes d'erreur sont décrits dans l'aide de l'instruction URCV
("Communication > Communication S7"))
STAT_SND Output WORD Paramètre d'état STATUS non de sécurité de l'instruction USEND
(les codes d'erreur sont décrits dans l'aide de l'instruction USEND

13.15 Communication
Paramètres de RCVS7
Le tableau suivant montre les paramètres de l'instruction RCVS7 :

ACK_REI Input BOOL Acquittement pour la réintégration des données d'émission
après une erreur de communication
RCV_DB Input BLOCK_DB Numéro du DB de communication F
TIMEOUT Input TIME Temps de surveillance en ms pour la communication de sécuri-
té (voir aussi Temps de surveillance et de réaction (Page 602))
ID Input WORD ID locale de la liaison S7
R_ID Input DWORD Valeur unique à l'échelle du réseau pour une ID de communi-
cation F entre une instruction SENDS7 et une instruction
RCVS7
SUBS_ON Output BOOL 1 = les valeurs de remplacement sont sorties
ACK_REQ Output BOOL 1 = acquittement pour la réintégration des données d'émission
nécessaire
SENDMODE Output BOOL 1 = CPU F avec l'instruction SENDS7 en mode de sécurité dé-
sactivé
STAT_RCV Output WORD Paramètre d'état STATUS non de sécurité de l'instruction URCV
(les codes d'erreur sont décrits dans l'aide de l'instruction URCV
STAT_SND Output WORD Paramètre d'état STATUS non de sécurité de l'instruction
USEND (les codes d'erreur sont décrits dans l'aide de l'instruc-
tion USEND ("Communication > Communication S7"))
Plusieurs versions sont disponibles pour ces instructions :
Version S7-300/400 S7-1500 Fonction

1.0 x —
1.1 x — Cette version est fonctionnellement identique à la version 1.0.

Elle prend toutefois en charge des versions plus récentes d'instructions appelées en
interne.
La version 1.1 de l'instruction est automatiquement utilisée lors de la migration de pro-
jets créés avec S7 Distributed Safety V5.4 SP5.
Lorsque vous voulez compiler un programme de sécurité migré pour la première fois
avec STEP 7 Safety Advanced, nous vous recommandons de d'abord mettre l'instruction
à niveau à la version disponible la plus récente.
1.2 x — Cette version est fonctionnellement identique à la version 1.0/1.1.
Elle prend toutefois en charge des versions plus récentes d'instructions appelées en
interne.
Lors de la création d'une nouvelle CPU F avec STEP 7 Safety Advanced, la version la plus
récente disponible pour la CPU F créée est automatiquement prédéfinie.

13.15 Communication
Emplacement
Vous devez insérer l'instruction RCVS7 au début du Main Safety Block. Aucune autre
instruction ne doit la précéder dans le Main Safety Block.
Vous devez insérer l'instruction SENDS7 à la fin du Main Safety Block. Aucune autre
instruction ne doit la suivre dans le Main Safety Block.
Après un démarrage des systèmes F émetteur et récepteur, la communication doit être
établie pour la première fois entre les partenaires de communication (instructions SENDS7 et
RCVS7). Le récepteur (instruction RCVS7) fournit les valeurs de remplacement (valeurs
initiales dans son DB de communication F) durant cette période.
Les instructions SENDS7 et RCVS7 signalent cela en mettant la sortie SUBS_ON à 1. La sortie
SENDMODE (instruction RCVS7) a la valeur par défaut 0 et n'est pas actualisée tant que la
sortie SUBS_ON est égale à 1.
Comportement en cas d'erreurs de communication

Si une erreur de communication se produit, par exemple en raison d'une erreur de valeur de
contrôle (CRC) ou de l'expiration du temps de surveillance TIMEOUT, les sorties ERROR et
SUBS_ON = 1. Le récepteur (instruction RCVS7) fournit alors les valeurs de remplacement
(valeurs initiales dans son DB de communication F). Pendant que la sortie SUBS_ON = 1, la
sortie SENDMODE n'est pas actualisée.
Les données d'émission figurant dans le DB de communication F (instruction SENDS7) ne
seront à nouveau transmises qu'une fois qu'il n'y aura plus d'erreur de communication
constatée (ACK_REQ = 1) et que vous aurez procédé à un acquittement (Page 183) par un
front montant à l'entrée ACK_REI de l'instruction RCVS7.
ATTENTION
Pour l'acquittement utilisateur, vous devez connecter l'entrée ACK_REI à un signal généré
par la commande.
Une connexion à un signal généré automatiquement n'est pas autorisée. (S040)
Notez que la sortie ERROR (1 = erreur de communication) est mise à 1 pour la première fois
en cas d'erreur de communication si la communication entre les partenaires de
communication (instructions SENDS7 et RCVS7) a déjà été établie une fois. Si la
communication ne peut pas être établie après un démarrage des systèmes F émetteur et
récepteur, vérifiez la configuration de la communication CPU-CPU de sécurité, le paramétrage
des instructions SENDS7 et RCVS7 et la liaison au bus. Vous trouverez aussi des informations
sur les causes d'erreur possibles en évaluant les sorties STAT_RCV ou STAT_SND.
En règle générale, évaluez toujours STAT_RCV et STAT_SND, car il est possible qu'une seule
des deux sorties contienne une information d'erreur.
Si l'un des bits DIAG à la sortie DIAG est à 1, vérifiez également si la longueur et la structure
du DB de communication F associé concordent du côté émetteur et récepteur.

13.15 Communication
Chronogrammes pour SENDS7 et RCVS7
La sortie DIAG
La sortie DIAG fournit, aux fins de service, des informations non de sécurité sur le type des
erreurs de communication qui se sont produites. Vous pouvez lire ces informations au moyen
de systèmes de contrôle-commande ou les évaluer, le cas échéant, dans votre programme
utilisateur standard. Les bits DIAG restent mémorisés jusqu'à ce que vous procédiez à
l'acquittement à l'entrée ACK_REI de l'instruction RCVS7 correspondante.
Structure de DIAG
Bit n° Affectation SENDS7 et RCVS7 Causes d'erreur possibles Solutions

Bit 4 Dépassement du temps imparti La liaison du bus vers la CPU F par- Vérifier la liaison au bus et s'assurer de
détecté par SENDS7 et RCVS7 tenaire est perturbée. l'absence de sources de perturbation
externes.

13.15 Communication
Bit n° Affectation SENDS7 et RCVS7 Causes d'erreur possibles Solutions

Le temps de surveillance de la CPU F Vérifier le temps de surveillance
et de la CPU F partenaire paramétré TIMEOUT paramétré pour SENDS7 et
est trop court RCVS7 sur les deux CPU F. Le cas
échéant, paramétrer une valeur plus
élevée. Recompiler le programme de
sécurité
Arrêt ou erreur interne des CP • Commuter les CP sur Marche (RUN)
• Vérifier le tampon de diagnostic
des CP
• Remplacer les CP, le cas échéant
Arrêt ou erreur interne de la CPU • Commuter les CPU F sur Marche
F/CPU F partenaire
(RUN)
• Vérifier le tampon de diagnostic
des CPU F
• Remplacer les CPU F, le cas échéant
La communication a été coupée Réactiver la communication sur l'ins-
avec EN_SEND = 0. truction SENDS7 associée avec
EN_SEND = 1.
La liaison S7 a été modifiée, par Recompiler et charger les programmes
exemple l'adresse IP du CP a chan- de sécurité dans les CPU F
gé.
Bit 5 Erreur de numéro de séquence Voir la description pour le bit 4 Voir la description pour le bit 4
détectée par SENDS7 et RCVS7
Bit 6 Erreur de CRC détectée par Voir la description pour le bit 4 Voir la description pour le bit 4
SENDS7 et RCVS7
Bit 7 RCVS7 : Configuration de la communication Vérifier la configuration de la commu-
impossible d'établir la communi- CPU-CPU de sécurité erronée, para- nication CPU-CPU de sécurité, vérifier
cation métrage des instructions SENDS7 et le paramétrage des instructions
RCVS7 erroné SENDS7 et RCVS7
Voir aussi la description pour le bit 4 Voir aussi la description pour le bit 4
SENDS7 : — —
Réservé

Temps de surveillance et de réaction A
Introduction
Vous apprendrez ci-après :
• quels temps de surveillance spécifiques F vous devez configurer
• quelles règles doivent être respectées lors de la définition des temps de surveillance
• où saisir les temps de surveillance spécifiques F
• quelles règles doivent être respectées en ce qui concerne le temps de réaction maximal
d'une fonction de sécurité
Aide aux calculs

Vous disposez sur Internet (https://support.industry.siemens.com/cs/ww/fr/view/109783831)
d'un fichier Excel qui vous servira à calculer approximativement les temps d'exécution des
groupes d'exécution F, les temps de surveillance minimum spécifiques F et les temps de
réaction maximum pour votre système F.
Les calculs des temps de surveillance et de réaction pour la partie standard dans SIMATIC
Safety se font exactement comme pour les systèmes d'automatisation standard S7-300,
S7-400, S7-1200 et S7-1500 et ne sont pas traités ici. Vous trouverez une description de ces
calculs dans les manuels du matériel des CPU. Reportez-vous également au manuel système
"Système S7-1500R/H redondant
(https://support.industry.siemens.com/cs/ww/fr/view/109754833)" pour les systèmes
S7-1500HF redondants.

Temps de surveillance et de réaction
A.1 Configurer les temps de surveillance
Temps de surveillance à configurer

Vous devez configurer les temps de surveillance suivants :
Surveillance... Paramétrage... Paramètres Voir

du temps de cycle F ou de la limite dans l'éditeur Safety Administra- Temps de cycle • Procédure pour défi-
d'alerte du temps de cycle F des tion Editor : maximal du groupe
nir un groupe d'exé-
groupes d'exécution F qui contien- d'exécution F
nent le programme de sécurité • Boîte de dialogue de définition cution F (S7-300,
d'un groupe d'exécution F S7-400) (Page 133)
• Procédure pour défi-
nir un groupe d'exé-
cution F (S7-1200,
S7-1500) (Page 136)
de la communication de sécurité dans l'éditeur de matériel et de Temps de surveil- • Configurer la CPU F
entre la CPU F et la périphérie F via réseaux : lance F
(Page 47)
PROFIsafe (temps de surveillance F_WD_TIME
PROFIsafe) • de manière centralisée lors de • Configurer la péri-
la configuration de la CPU F ; phérie F (Page 53)
propriétés de la CPU F ou
• Particularités lors de
• lors de la configuration de la la configuration
périphérie F ; propriétés de la d'appareils DP nor-
périphérie F malisés de sécurité et
de périphériques IO
normalisés de sécuri-
té (Page 77)
de la communication CPU-CPU de Entrée "TIMEOUT" des instructions : TIMEOUT • Communication
sécurité
• SENDDP, RCVDP, SENDS7, (Page 585)
RCVS7
(S7-1200, S7-1500) de la commu- dans l'éditeur Safety Administration Temps de surveil- • Section "Flexible F-
nication avec Flexible F-Link Editor : lance F de la com-
Link" (S7-1200,
munication F
• Section "Flexible F-Link" S7-1500) (Page 97)
• Communication
entre groupes d'exé-
cution F (S7-1200,
S7-1500) (Page 144)
• Configurer et pro-
grammer la commu-
nication avec Flexible
F-Link (S7-1200,
S7-1500) (Page 289)
(S7-300, S7-400) Vous n'avez pas à configurer le temps de surveillance de la communication

de sécurité entre groupes d'exécution F.

Règles pour la configuration des temps de surveillance

Lors de la configuration des temps de surveillance, vous devez tenir compte à la fois de la
disponibilité et de la sécurité du système F :
• Disponibilité : Pour que les temps de surveillance ne se déclenchent pas en l'absence
d'erreur, il faut les choisir suffisamment longs.
• Sécurité : Pour que le temps de sécurité du processus ne soit pas dépassé, il faut choisir
des temps de surveillance suffisamment courts.
ATTENTION

Procédure générale pour la configuration des temps de surveillance

Procédez comme suit pour configurer les temps de surveillance :
1. Configurez le système standard.
Vous trouverez les informations nécessaires dans les manuels du matériel correspondants
et dans l'aide de STEP 7.
2. Configurez les temps de surveillance spécifiques du système F en tenant compte de la
disponibilité. Utilisez le fichier Excel de calcul des temps de réaction
(https://support.industry.siemens.com/cs/ww/fr/view/109783831) pour calculer
approximativement le temps de surveillance minimum.
Remarque
Des temps de surveillance minimum plus élevés sont nécessaires pour la disponibilité dans
un système S7-1500HF redondant afin d'éviter un déclenchement des surveillances de
temps dans les états de fonctionnement et système spécifiques du système S7-1500HF
redondant. Cette exigence est prise en compte dans le fichier Excel de calcul des temps de
réaction.
3. Calculez le temps de réaction maximum à l'aide du fichier Excel de calcul des temps de
réaction et vérifiez que le temps de sécurité du processus n'est pas dépassé. Vous devrez, le
cas échéant, réduire les temps de surveillance spécifiques du système F.
Voir aussi
Système S7-1500R/H redondant
(https://support.industry.siemens.com/cs/ww/fr/view/109754833)

A.1.1 Temps de surveillance minimum du temps de cycle du groupe d'exécution F
Paramètre "Temps de cycle maximal du groupe d'exécution F"

Vous configurez le temps de surveillance du temps de cycle du groupe d'exécution F dans
l'espace de travail de définition du groupe d'exécution F (Page 131) de l'éditeur Safety
Vous devez choisir un temps de cycle maximal du groupe d'exécution F suffisamment grand
pour que la surveillance du temps de cycle du groupe d'exécution F ne se déclenche pas en
l'absence d'erreurs, ce qui ferait passer la CPU F à l'état Arrêt.
Utilisez le fichier Excel de calcul des temps de réaction
(https://support.industry.siemens.com/cs/ww/fr/view/109783831) pour déterminer le temps
de surveillance minimum du temps de cycle du groupe d'exécution F. Tenez également
compte des commentaires dans le fichier Excel.
Pour les CPU F S7-1200/1500, vous pouvez en outre utiliser les variables TCYC_CURR
(Page 152) et TCYC_LONG (Page 152) pour le dimensionnement afin de déterminer le temps
de cycle actuel et le temps de cycle le plus long du groupe d'exécution F depuis la dernière
transition Arrêt/Marche.
A.1.2 Temps de surveillance minimum de la communication sécurisée entre la

CPU F et la périphérie F"
Paramètre "Temps de surveillance F"

Vous avez deux options pour configurer le temps de surveillance de la communication de
sécurité entre la CPU F et la périphérie F :
• de manière centralisée lors du paramétrage de la CPU F (Page 47) dans l'éditeur de
matériel et de réseaux ; dans les propriétés de la CPU F ou
• lors du paramétrage de la périphérie F (Page 53) dans l'éditeur de matériel et de réseaux ;
dans les propriétés de la périphérie F
Remarque
Notez que, dans un système S7-1500HF redondant utilisant un périphérique IO qui ne prend
pas en charge la redondance système S2, une défaillance de la CPU principale entraîne une
interruption de la communication PROFINET avec ce périphérique et donc une erreur de
communication avec les périphéries F de ce périphérique IO, ce qui exigera une réintégration
des périphéries F (voir sous "Après des erreurs de communication (Page 175)").
Pour les périphériques IO avec redondance système S2, le système redondant S7-1500HF
commute sans interruption sur la CPU de réserve en cas de défaillance de la CPU principale.
Pendant la commutation principale/réserve, les sorties de sécurité restent activées.

"temps de surveillance F" = temps de surveillance PROFIsafe TPSTO

Le temps de surveillance PROFIsafe TPSTO doit être suffisamment long pour que la surveillance
ne se déclenche pas en l'absence d'erreur.
(https://support.industry.siemens.com/cs/ww/fr/view/109783831) disponible pour
SIMATIC Safety afin de déterminer le temps de surveillance minimum de la communication
de sécurité entre la CPU F et la périphérie F.
Tenez également compte des commentaires dans le fichier Excel.
Vérifier si le temps de surveillance PROFIsafe configuré est trop court
Remarque
Pendant la mise en service du système F, vous pouvez vérifier en mode de sécurité activé si le
temps de surveillance PROFIsafe configuré est trop court.
Cette vérification du temps de surveillance PROFIsafe est utile si vous voulez être sûr que le
temps de surveillance configuré présente un écart suffisant au temps de surveillance
minimum. Cela pourrait éviter des erreurs de temps de surveillances sporadiques.
Procédure :
1. Enfichez une périphérie F qui ne sera pas nécessaire dans le fonctionnement ultérieur de
l'installation.
2. Paramétrez pour cette périphérie F un temps de surveillance inférieur à celui de la périphérie
F de l'installation.
3. Si la périphérie F supplémentaire tombe en panne et que le diagnostic signale "Temps de
surveillance dépassé pour le télégramme de sécurité", vous êtes passé en dessous du temps
de surveillance PROFIsafe minimum possible.
4. Augmentez le temps de surveillance de la périphérie F supplémentaire jusqu' au point où
elle ne présente plus de défaillance. Ce temps de surveillance correspond
approximativement au temps de surveillance minimum possible.
Conditions :
La périphérie F à enficher en plus doit avoir les propriétés suivantes en commun avec la
périphérie F dont le temps de surveillance PROFIsafe doit être vérifié :
• être enfichée dans le même châssis
• être partenaire dans le même sous-réseau
Conseil :
Il peut s'avérer utile de laisser la périphérie F supplémentaire enfichée en permanence dans
les installations qui sont modifiées/complétées en cours de fonctionnement après la mise en
service. Grâce à cette périphérie F, un avertissement sera émis à temps en cas de
modifications du comportement temporel, ce qui permettra d'éviter un arrêt du processus
déclenché par la périphérie F dans le processus.
Dans un système S7-1500HF redondant, il faut vérifier si le temps de surveillance PROFIsafe
configuré est trop court dans tous les états de fonctionnement et système, car les temps de
réaction y dépendent également de l'état de fonctionnement et système respectif.

A.1.3 Temps de surveillance minimum de la communication CPU - CPU sécurisée
Entrée TIMEOUT dans SENDDP et RCVDP ou SENDS7 et RCVS7 / temps de surveillance F pour la
communication via Flexible F-Link
La surveillance de temps a lieu dans les instructions SENDDP et RCVDP (Page 585) ou SENDS7
et RCVS7 (Page 595) des partenaires de communication. Vous devez paramétrer la
surveillance de temps avec un temps de surveillance identique à l'entrée TIMEOUT des deux
instructions.
Vous devez choisir un temps de surveillance TIMEOUT suffisamment long pour que la
surveillance ne se déclenche pas en l'absence d'erreur.
Pour la communication via Flexible F-Link, vous définissez lors de la création d'une
communication de sécurité (Page 97) le temps de surveillance F pour cette communication
de sécurité.
(https://support.industry.siemens.com/cs/ww/fr/view/109783831) disponible pour
SIMATIC Safety afin de déterminer la valeur minimale pour TIMEOUT ou pour le temps de
surveillance F.
Tenez également compte des commentaires dans le fichier Excel.
A.1.4 Temps de surveillance de la communication sécurisée entre groupes

d'exécution de sécurité
Temps de surveillance de la communication de sécurité entre groupes d'exécution F (S7-300,

S7-400)
Le temps de surveillance pour la communication de sécurité entre groupes d'exécution F avec
Flexible F-Link est automatiquement déduit des valeurs du "temps de cycle maximal du
groupe d'exécution F" (espace de travail de définition du groupe d'exécution F (Page 131)
dans l'éditeur Safety Administration Editor).
temps de surveillance = (temps de cycle maximal du 1er groupe d'exécution F) + (temps de
cycle maximal du 2ème groupe d'exécution F)
Temps de surveillance de la communication de sécurité entre groupes d'exécution F (S7-1200,

S7-1500)
Vous pouvez calculer le temps de surveillance pour la communication de sécurité entre
groupes d'exécution F à partir des valeurs du "temps de cycle maximal du groupe d'exécution
F" (zone définition du groupe d'exécution F (Page 131) dans l'éditeur Safety Administration
Editor) si vous placez le programme utilisateur standard pour la communication entre
groupes d'exécution F dans le prétraitement/post-traitement (Page 86).
temps de surveillance = (temps de cycle maximal du 1er groupe d'exécution F) + (temps de
cycle maximal du 2ème groupe d'exécution F)

A.2 Temps de réaction de fonctions de sécurité
Définition du temps de réaction

Le temps de réaction est le temps s'écoulant entre la détection d'un signal d'entrée et la
modification du signal de sortie associé.
Plage de variation
Le temps de réaction effectif se situe entre un temps de réaction minimal et un temps de
réaction maximal. Lors de la configuration de votre installation, vous devez toujours vous
baser sur le temps de réaction maximal.
Tenez également compte des commentaires dans le fichier Excel de calcul des temps de
réaction (https://support.industry.siemens.com/cs/ww/fr/view/109783831).
Remarque
Dans un système redondant S7-1500HF, l'état actuel de fonctionnement et du système
influent sur le temps de réaction effectif.
Règles pour le temps de réaction maximal d'une fonction de sécurité

Le temps de réaction maximal d'une fonction de sécurité doit être inférieur au temps de
sécurité du processus.
Définition du temps de sécurité d'un processus

Le temps de sécurité d'un processus correspond à l'intervalle de temps entre l'apparition
d'une erreur et l'achèvement de la réaction, durant lequel le processus peut continuer à
s'exécuter sans qu'il n'en résulte de risque de dommages corporels ou de danger pour la vie
du personnel ou de dégâts pour l'environnement.
Durant le temps de sécurité du processus, le système F qui commande le processus peut
continuer à piloter le processus de quelque manière que ce soit, c'est-à-dire même de façon
erronée ou pas du tout. Le temps de sécurité d'un processus dépend du type de processus et
doit être déterminé de manière individuelle.

Procédure de calcul du temps de réaction

Vous disposez du fichier Excel de calcul des temps de réaction
(https://support.industry.siemens.com/cs/ww/fr/view/109783831) pour calculer le temps de
réaction maximal d'une fonction de sécurité.
Calculez le temps de réaction maximal de la fonction de sécurité approximativement à l'aide
du fichier Excel et vérifiez que le temps de sécurité du processus n'est pas dépassé.
Vous devrez, le cas échéant, réduire les temps de surveillance spécifiques du système F (voir
Temps de surveillance minimum de la communication sécurisée entre la CPU F et la
périphérie F" (Page 605)).
ATTENTION
Vous ne pouvez utiliser le fichier Excel de calcul des temps de réaction ou de calcul des
délais lors de l'utilisation d'une communication Flexible F-Link que si vous avez observé les
règles suivantes concernant les instructions standard pour le transfert cohérent des
données :
Communication CPU-CPU (Page 289)
Vous devez appeler l'instruction standard pour l'envoi cohérent de données et
d'acquittements dans le post-traitement du groupe d'exécution F (Page 86). Avec les
instructions standard pour la réception cohérente de données et d'acquittements, vous
devez distinguer si la liaison de communication standard est déterministe ou non. Dans le
cas d'une liaison déterministe (telle que DPRD_DAT / DPWR_DAT), vous devez appeler
l'instruction standard dans le prétraitement du groupe d'exécution F (Page 86). Dans le cas
d'une liaison non déterministe (telle que liaison S7, liaisons TCP), vous devez appeler
l'instruction standard dans un OB d'alarme cyclique. Cet OB d'alarme cyclique doit être
appelé à intervalles de temps plus courts que le groupe d'exécution F. Nous recommandons
un rapport de 1 à 5.
Communication entre groupes d'exécution F (Page 144)
Vous devez appeler l'instruction standard UMOVE_BLK pour le transfert des données à
envoyer dans le post-traitement du groupe d'exécution F émetteur. Vous devez appeler
l'instruction standard UMOVE_BLK pour le transfert de l'acquittement à envoyer dans le
post-traitement du groupe d'exécution F récepteur. (S089)

ATTENTION
Le temps de réaction de votre fonction de sécurité dépend, entre autres, du temps de cycle
de l'OB F, du temps d'exécution du groupe d'exécution F et du paramétrage de
Ainsi, la configuration/le paramétrage du système standard influe également sur le temps de
réaction de votre fonction de sécurité.
Exemples :
• L'augmentation de la priorité d'un OB standard par rapport à la priorité d'un OB F peut
allonger le temps de cycle de l'OB F ou le temps d'exécution du groupe d'exécution F en
raison du traitement à priorité plus élevée de l'OB standard. Notez que des OB de priorité
très élevée peuvent être automatiquement créés lors de la création d'objets
technologiques.
• La modification de la cadence d'émission de PROFINET modifie le temps de cycle d'un OB
F de classe d'événement "Synchronous cycle".
protection d'accès pour le programme de sécurité et n'entraîne pas de modification de la
Si vous n'empêchez pas les modifications dans la configuration/le paramétrage du système
standard influant sur le temps de réaction par des mesures organisationnelles, vous devez
toujours utiliser les temps de surveillance pour le calcul du temps de réaction maximal d'une
fonction de sécurité (voir Configurer les temps de surveillance (Page 603)).
programme de sécurité et sont acquis par la signature globale F et la signature globale SW F.
(https://support.industry.siemens.com/cs/ww/fr/view/109783831), vous devez tenir compte
de la valeur indiquée pour "Any standard system runtimes" comme valeur pour le temps de
réaction maximal. (S085)

Liste de contrôle B
Cycle de vie des systèmes d'automatisation de sécurité
Les tableaux suivants résument, sous forme de liste de contrôle, les activités intervenant
pendant le cycle de vie d'un système de sécurité SIMATIC Safety, avec les conditions et les
règles qu'il importe de respecter.
Liste de contrôle
Légende :
• Les références à des chapitres sans indication supplémentaire se rapportent à la présente
documentation.
• "Man. SM F" désigne le manuel Système d'automatisation S7-300, Système de périphérie
décentralisée ET 200M, Modules de signaux de sécurité
• "Man. Modules F" désigne le manuel Système de périphérie décentralisée ET 200S,
Modules de sécurité (http://support.automation.siemens.com/WW/view/en/27235629).
• "Man. ET 200eco" désigne le manuel Station de périphérie décentralisée ET 200eco,
Module de périphérie de sécurité
• "Man. ET 200eco PN" désigne le manuel ET 200eco PN F-DI 8 x 24 VDC, 4xM12 / F-DQ 3 x
24 VDC/2.0A PM, 3xM12
• "Man. ET 200pro" désigne le manuel Station de périphérie décentralisée ET 200pro,
Module de périphérie de sécurité
• "Man. ET 200iSP" désigne le manuel Station de périphérie décentralisée ET 200iSP,
Modules de sécurité (http://support.automation.siemens.com/WW/view/en/47357221).
• "Man. ET 200SP" désigne le manuel Manuel système ET 200SP
• "Man. ET 200AL" désigne le manuel Manuel système ET 200AL
• "Man. ET 200MP" désigne le manuel Manuel système S7-1500/ET 200MP
• "Man. S7-1500R/H" désigne le manuel Manuel système S7-1500R/H
• "Man. SIMATIC Drive Controller" désigne le manuel Manuel de l'appareil SIMATIC Drive
Controller (https://support.industry.siemens.com/cs/ww/fr/view/109766665).

Liste de contrôle
• "Man. Modules ET 200SP" désigne les manuels des modules F du système de périphérie
décentralisée ET 200SP (https://support.industry.siemens.com/cs/ww/fr/ps/14059/man).
• "Man. Modules ET 200 MP" désigne les manuels des modules F du système de périphérie
décentralisée ET 200 MP (https://support.industry.siemens.com/cs/ww/fr/ps/14141/man).
• "Man. Module ET 200AL" désigne le manuel du module F du système de périphérie
décentralisée ET 200AL (https://support.industry.siemens.com/cs/ww/fr/view/109798489).
Phase Observation à prendre en compte Référence Co-

cher
Planification
Condition : la spécification Dépend du processus —
"Safety requirements
specification" est dispo-
nible pour l'application
prévue.
Spécification de l'architec- Dépend du processus —
ture système
Affectation des fonctions Dépend du processus Sous Présentation du produit (Page 23)
et sous-fonctions aux
composants du système
Choix des capteurs et Exigences relatives aux actionneurs Man. SM F, chap. 6.5
actionneurs Man. Modules F, chap. 4.5
Man. ET 200eco PN, chap. 5.5
Man. ET 200eco PN, chap. 5.2
Man. ET 200pro, chap. 4.4
Man. ET 200iSP, chap. 4.5
Man. ET 200SP, chap. 6.2.2
Man. ET 200MP, chap. 6.2.2
Définition des caractéris- CEI 61508:2010 —
tiques de sécurité néces-
saires des différents
composants
Configuration
Installer la licence Condition pour l'installation sous Installer/désinstaller une licence pour
STEP 7 Safety Basic V18 (Page 31) ou
Installer/désinstaller une licence pour
STEP 7 Safety Advanced V18 (Page 32)
Choix des composants S7 Descriptions pour la configuration Sous Présentation du produit (Page 23)
Man. SM F, chap. 3
Man. Modules F, chap. 3
Man. ET 200eco, chap. 3
Man. ET 200eco PN, chap. 4
Man. ET 200pro, chap. 2
Man. ET 200iSP, chap. 3
Man. ET 200SP, chap. 4
Man. ET 200AL, chap. 3
Man. ET 200MP, chap. 4
Man. S7-1500R/H, chap. 4
Man. SIMATIC Drive Controller, chap. 4

Liste de contrôle

cher
Configuration du matériel • Description des systèmes F Sous Configuration (Page 43)
Annexe 1 du rapport pour le certificat
• Vérification des composants matériels
utilisés selon l'annexe 1 du rapport
pour le certificat
Configuration de la CPU F • Niveau de protection "Protection en Sous Configurer la CPU F (Page 47)
écriture pour blocs F" (S7-300, S7-400) Man. S7-300 standard
• Niveau de protection au moins "Full Man. S7-400 standard
access" (S7-1200, S7-1500) Man. S7-1200 standard
Man. S7-1500 standard
• Mot de passe
Sous Temps de surveillance et de réaction
• Fonctionnalité F activée (Page 602)
• Définir/configurer les paramètres spé-
cifiques F
• Définir l'heure d'appel du groupe
d'exécution F dans lequel le pro-
gramme de sécurité doit être traité en
fonction des exigences et des prescrip-
tions de sécurité, comme dans le sys-
tème standard
Configuration de la péri- • Paramètres pour le mode de sécurité Sous Configurer la périphérie F (Page 53)
phérie F ou Particularités lors de la configuration
• Paramétrage du type de passivation d'appareils DP normalisés de sécurité et
• Configurer les temps de surveillance de périphériques IO normalisés de sécuri-
té (Page 77)
• Définir l'exploitation des capteurs
Sous Temps de surveillance et de réaction
• Définir le comportement de diagnostic (Page 602)
• Autres paramètres F Man. SM F, chap. 3, 9, 10
Man. Modules F, chap. 2.4, 7
• Attribuer un nom
Man. ET 200eco, chap. 3, 8
• Adresse PROFIsafe unique
Man. ET 200eco PN, chap. 6
Man. ET 200pro, chap. 2.4, 8
Man. ET 200iSP, chap. 2.4, 7, 8
Man. Modules ET 200SP, chap. 4
Man. Modules ET 200MP, chap. 4
Man. Module ET 200AL, chap. 4
Programmation
Conception du pro- • Tenir compte des avertissements et les Sous Vue d'ensemble de la programma-
gramme, définition de la tion (Page 108), Structure du programme
remarques pour la programmation
structure du programme de sécurité (S7-300, S7-400) (Page 108),
Structure du programme de sécurité (S7-
1200, S7-1500) (Page 110), Programmer
une protection contre le démarrage
(Page 154)

Liste de contrôle

cher
Création des groupes • Affectation de FB F/FC F comme Main Sous Définir des groupes d'exécution F
d'exécution F (Page 131)
Safety Block au bloc appelant (S7-300,
S7-400) ou OB F (S7-1200, S7-1500) Sous Temps de surveillance et de réaction
(Page 602)
• Paramétrer le temps de cycle max. du
groupe d'exécution F selon les exi-
gences (dépend du processus et des
prescriptions de sécurité)
• Créer le DB pour la communication
entre groupes d'exécution F
• (S7-300, S7-400) Appel des Main Safe-
ty Blocks directement dans des OB (par
ex. l'OB 35), FB ou FC
• (S7-1200, S7-1500) Appel des Main
Safety Blocks par l'OB F
Création/insertion des • Créer, éditer et enregistrer les FB F, FC Sous Créer des blocs F en CONT/LOG
blocs F (Page 148)
F, DB F selon les spécifications de la
structure du programme Sous Adresser la périphérie F (Page 155)
Sous Réalisation d'un acquittement utili-
• Description : sateur (Page 183)
– Accès à la périphérie F Sous Réutilisation de blocs F (Page 150)
– Passivation et réintégration de la Sous Configurer et programmer la com-
périphérie F munication (S7-300, S7-400) (Page 196)
– Insertion de blocs F de biblio- et Configurer et programmer la commu-
nication (S7-1200, S7-1500) (Page 254)
thèque globales
Sous Échange de données entre le pro-
– Communication CPU-CPU de sécu- gramme utilisateur standard et le pro-
rité gramme de sécurité (Page 191)
– Communication avec le pro-
gramme utilisateur standard
Compilation du pro- — Sous Compiler le programme de sécurité
gramme de sécurité (Page 299)
Implémentation de l'appel Vérifier si le Main Safety Block est appelé Sous Définir des groupes d'exécution F
du programme de sécurité directement dans des OB (par ex. l'OB 35), (Page 131)
(S7-300, S7-400) FB ou FC
Installation
Montage des matériels Description du Sous Vue d'ensemble de la configuration
(Page 43), Particularités lors de la confi-
• montage guration du système F (Page 46)
• câblage Man. SM F, chap. 5, 6
Man. Modules F, chap. 3, 4
Man. ET 200eco PN, chap. 4, 5
Man. ET 200pro, chap. 2, 3
Man. ET 200iSP, chap. 3, 4
Man. ET 200SP, chap. 5, 6
Man. ET 200AL, chap. 4, 5
Man. ET 200MP, chap. 5, 6
Man. S7-1500R/H, chap. 5, 6
Man. SIMATIC Drive Controller, chap. 5, 6

Liste de contrôle

cher
Mise en service, test
Mise sous tension Description de la mise en service, comme Man. S7-300 standard
dans le système standard Man. S7-400 standard
Man. Contrôleur logiciel S7-1500 stan-
dard
Man. WinAC RTX F
Man. S7-1500R/H
Man. SIMATIC Drive Controller
Chargement du pro- Description Sous Charger les données de projet
gramme de sécurité et du (Page 300)
programme utilisateur • Chargement
Sous Comparaison de programmes de
standard • Identification du programme sécurité (Page 331)
• Comparaison de programmes de sécu-
rité
Tester le programme de • Description de la désactivation du Sous Charger les données de projet
sécurité (Page 300), Tester le programme de sécu-
mode de sécurité
rité (Page 341), Désactiver le mode de
• Procédure pour modifier les données sécurité (Page 338)
du programme de sécurité
Modifications du pro- Description Sous Modifier le programme de sécurité à
gramme de sécurité l'état Marche (S7-300, S7-400)
• Désactivation du mode de sécurité (Page 349), Modifier le programme de
• Modification du programme de sécuri- sécurité à l'état Marche (S7-1200, S7-
té 1500) (Page 351), Désactiver le mode de
sécurité (Page 338), Supprimer le pro-
gramme de sécurité (Page 130)
Vérification des para- Description de la configuration Sous Créer une impression de sécurité
mètres de sécurité (Page 334)
Man. SM F, chap. 4, 9, 10
Man. Modules F, chap. 2.4, 7
Man. ET 200eco, chap. 6
Man. ET 200pro, chap. 2.4, 8
Man. ET 200iSP, chap. 2.4, 7, 8
Man. Modules ET 200SP, chap. 4
Man. Modules ET 200MP, chap. 4
Man. Module ET 200AL, chap. 4
Réception • Description et conseils pour la récep- Sous Réception de l'installation
(Page 360)
tion
• Effectuer les impressions
Exploitation, maintenance
Exploitation générale Remarques concernant le fonctionnement Sous Remarques relatives au mode de
sécurité du programme de sécurité
(Page 384)
Protection d'accès — Sous Protection d'accès (Page 99)

Liste de contrôle

cher
Diagnostic Réactions aux erreurs et événements Sous Guide de diagnostic (S7-300, S7-
400) (Page 391), Guide de diagnostic (S7-
1200) (Page 392), Guide de diagnostic
(S7-1500) (Page 392)
Remplacement de compo- Description Sous Remplacement de constituants logi-

sants logiciels et matériels ciels et matériels (Page 388), Adresser la
• Remplacement de modules périphérie F (Page 155)
• Actualisation du système d'exploita- Aide de STEP 7
tion des CPU F, comme dans le sys-
tème standard
• Mise à jour de composants logiciels
Remarques
• Mise à jour du système d'exploitation
des IM
Désinstallation de la li- • Remarques pour la désinstallation de Sous Installer/désinstaller une licence
cence pour STEP 7 Safety Basic V18 (Page 31),
la licence
Démontage Installer/désinstaller une licence pour
• Remarques pour le démontage des STEP 7 Safety Advanced V18 (Page 32),
modules Remplacement de constituants logiciels et
matériels (Page 388)

Glossaire
À l'échelle de la CPU
En relation avec la périphérie F, "à l'échelle de la CPU" signifie toutes les périphéries F
affectées à une CPU F : périphérie F centralisée de cette CPU F, périphérie F pour laquelle la
CPU F est maître DP/contrôleur IO, ainsi que périphérie F affectée dans un shared device. La
périphérie F adressée via la communication esclave I-esclave est affectée à la CPU F de
l'esclave I et non à la CPU F du maître DP/contrôleur IO.
En relation avec la communication CPU-CPU de sécurité, "à l'échelle de la CPU" comprend
toutes les liaisons de communication de sécurité qui sont configurées dans une CPU F.
Dans un système S7-1500HF redondant, les deux CPU F du système S7-1500HF redondant
sont à considérer comme une CPU F.
À l'échelle du réseau
Un réseau est composé d'un ou de plusieurs sous-réseaux. "À l'échelle du réseau" signifie par-
delà les limites des sous-réseaux. Dans PROFIBUS, un réseau inclut tous les abonnés
(IP, couche 3).
Adresse cible F
→ Adresse PROFIsafe
Adresse PROFIsafe
L'adresse PROFIsafe (nom de code conforme à IEC 61784-3-3:2021) sert à protéger les
mécanismes d'adressage standard tels que les adresses IP. L'adresse PROFIsafe est composée
de l'adresse source F et de l'adresse cible F. Chaque → périphérie F a donc deux composantes
d'adresse, l'adresse source F et l'adresse cible F.
L'adresse source F est affectée automatiquement et elle est affichée pour les appareils
DP/périphériques IO normalisés de sécurité et les modules F ET 200SP, les modules F ET
200MP, les modules F ET 200AL, ET 200eco PN et les modules F S7-1200. L'adresse source F
est toujours égale à 1 pour les modules F ET 200S, ET 200eco, ET 200pro, ET 200iSP et les SM
F S7-300. Pour les modules F ET 200SP, les modules F ET 200MP, les modules F ET 200AL et
ET 200eco PN, l'adresse source F correspond au paramètre "Central F-source address" de la
CPU F correspondante.
Vous devez configurer l'adresse cible F dans l'éditeur de matériel et de réseaux. Vous réglez
l'adresse cible F au moyen d'un commutateur sur les modules F ET 200S, ET 200eco, ET
200pro, ET 200iSP et les SM F S7-300. Pour les modules F ET 200SP, les modules F ET 200MP,
les modules F ET 200AL et ET 200eco PN, vous affectez l'adresse PROFIsafe dans l'éditeur de
matériel et de réseaux. L'adresse cible F des modules F S7-1200 est affectée
automatiquement par le système F.

Adresse source F
→ Adresse PROFIsafe
Analyse de discordance
L'analyse de discordance (équivalence / antivalence) est utilisée pour les entrées de sécurité
afin de détecter des erreurs du déroulement temporel de deux signaux ayant la même
fonction. L'analyse de discordance est démarrée lorsque des niveaux différents sont constatés
pour deux signaux d'entrée correspondants (dans le cas du contrôle d'antivalence : niveaux
identiques). Ce contrôle vérifie si la différence (dans le cas du contrôle d'antivalence : la
concordance) a disparu après l'écoulement d'un intervalle de temps paramétrable, appelé →
temps de discordance. Si cela n'est pas le cas, il y a une erreur de discordance. L'analyse de
discordance est réalisée entre les deux signaux d'entrée de l'exploitation 1oo2 (1de2) des
capteurs (→ exploitation des capteurs) dans l'entrée de sécurité.
Appareils DP normalisés de sécurité

Les appareils DP normalisés de sécurité sont des appareils normalisés qui fonctionnent sur
PROFIBUS selon le protocole DP. Ils doivent se comporter conformément à la norme CEI
61784-1:2010 (profils de bus de terrain) et au profil de bus PROFIsafe. Un fichier GSD est
nécessaire pour leur configuration.
Blocs F
On désigne par blocs F tous les blocs de sécurité :
• qui sont créés par l'utilisateur en CONT ou LOG,
• qui sont créés par l'utilisateur comme → DB F,
• qui sont sélectionnés par l'utilisateur dans une bibliothèque globale,
• qui sont ajoutés automatiquement dans le → programme de sécurité (→ SB F, → blocs F
générés automatiquement, → DB global F, → DB de périphérie F, DB d'instance de FB F).
Tous les blocs F sont représentés sur fond jaune dans le navigateur de projet.
Blocs F générés automatiquement

→ Blocs F qui sont générés et, le cas échéant, appelés automatiquement lors de la
compilation du → programme de sécurité pour générer un programme de sécurité
exécutable à partir du programme de sécurité programmé par l'utilisateur.
Blocs système F
→ Blocs système de sécurité qui sont insérés et appelés automatiquement lors de la
compilation du → programme de sécurité pour générer un programme de sécurité
exécutable à partir du programme de sécurité programmé par l'utilisateur.
Catégorie
Catégorie selon ISO 13849-1:2015 ou EN ISO 13849-1:2015
En → mode de sécurité, SIMATIC Safety permet une mise en œuvre jusqu'à la catégorie 4.
Communication servant à l'échange sécurisé de données de sécurité.
Communication standard
Communication servant à l'échange de données non de sécurité.
Configuration matérielle
La configuration matérielle comprend la configuration des CPU et des périphéries standard,
ainsi que la configuration des CPU et des périphéries F.
Configuration matérielle de sécurité

La configuration matérielle de sécurité comprend les paramètres relatifs à la sécurité des CPU
F et des périphéries F.
Coupleur DP/DP
Appareil qui permet de coupler deux sous-réseaux PROFIBUS DP et qui est nécessaire pour
réaliser la communication maître-maître entre des → programmes de sécurité dans des →
CPU F distinctes dans SIMATIC Safety et S7 Distributed Safety.
Coupleur PN/PN
Appareil qui permet de coupler deux réseaux PROFINET IO et qui est nécessaire pour réaliser
la communication contrôleur IO-contrôleur IO entre des → programmes de sécurité dans des
→ CPU F distinctes dans SIMATIC Safety et S7 Distributed Safety.
CPU F
Une CPU F est une unité centrale à fonctionnalité F homologuée pour l'utilisation dans
SIMATIC Safety et dans laquelle peut s'exécuter un → programme de sécurité en plus du →
programme utilisateur standard.
CRC
Contrôle de redondance cyclique CRC → valeur de contrôle CRC
DB de communication F
Blocs de données de sécurité pour
• la communication CPU-CPU de sécurité via des liaisons S7
• la communication avec Flexible F-Link
DB de périphérie F
Pour les CPU F, bloc de données de sécurité pour une → périphérie F dans STEP 7 Safety. Lors
de la configuration dans l'éditeur de matériel et de réseaux, un DB de périphérie F est créé
automatiquement pour chaque périphérie F. Le DB de périphérie F contient des variables que
l'utilisateur peut évaluer ou qu'il peut ou doit écrire dans le programme de sécurité :
• pour réintégrer la périphérie F après des erreurs de communication,
• pour réintégrer la périphérie F après des erreurs de périphérie F/de voie,
• si la périphérie F doit être passivée en fonction d'états particuliers du programme de
sécurité (par exemple, passivation groupée),
• pour reparamétrer des appareils DP/des périphériques IO normalisés de sécurité ou pour
valider la communication HART pour la périphérie F à fonctionnalité correspondante,
• pour déterminer si des valeurs de remplacement ou des valeurs de processus sont
transmises.
DB d'informations sur le groupe d'exécution F

Le DB d'informations sur le groupe d'exécution F fournit des informations essentielles sur le
→ groupe d'exécution F correspondant et sur l'ensemble du → programme de sécurité.
DB F
Blocs de données de sécurité optionnels auxquels il est possible d'accéder en lecture et en
écriture dans l'ensemble du → programme de sécurité (exception : DB pour la communication
entre groupes d'exécution F).
DB global F
(S7-300, S7-400) Bloc de données de sécurité qui contient toutes les données globales du →
programme de sécurité, ainsi que des informations supplémentaires dont le système F a
besoin. Le DB global F est automatiquement inséré et complété lors de la compilation de la
configuration matérielle. L'utilisateur peut évaluer certaines données du → programme de
sécurité au moyen de son nom F_GLOBDB.
DB pour la communication entre groupes d'exécution F

→ DB F pour la communication de sécurité entre groupes d'exécution F d'un programme de
sécurité
Démarrage du système F
Voir chapitre "Remarques relatives au démarrage du système F".
Dépassivation
→ Réintégration
Données de projet
Les données de projet comprennent la → configuration matérielle et le → programme
utilisateur.
Données de projet de sécurité

Les données de projet de sécurité incluent la configuration matérielle de sécurité, ainsi que le
→ programme de sécurité.
Données de projet standard

Les données de projet standard englobent la configuration matérielle standard et → le
programme utilisateur standard.
Erreur de périphérie F
Erreur de périphérie F liée à un module, par exemple erreur de communication ou erreur de
paramétrage
Erreur de voie
Erreur survenant sur une voie, par exemple rupture de fil ou court-circuit.
Esclave I
La fonctionnalité "Esclave I" (esclave DP intelligent) d'une CPU permet d'échanger des
données avec un maître DP et donc de l'utiliser, par exemple, comme unité de prétraitement
intelligente de processus partiels. L'esclave I assumant ici le rôle d'esclave DP est connecté à
un maître DP "de niveau supérieur".
État de la valeur
L'état de la valeur est une information binaire supplémentaire pour une valeur de voie. L'état
de la valeur est inscrit dans la mémoire image des entrées et renseigne sur la validité de la
valeur de voie.
1 : une valeur de processus valide est émise pour la valeur de voie.
0 : une valeur de remplacement est émise pour la valeur de voie.
État de sécurité
Le principe du concept de sécurité dans des → systèmes de sécurité repose sur l'existence
d'un état de sécurité pour toutes les grandeurs du processus. Pour la → périphérie F TOR
fonctionnant conformément à CEI 61508:2010, il s'agit toujours de la valeur "0".
Expert
La réception d'une installation, c'est-à-dire les essais de réception de l'installation en lien avec
la sécurité, est généralement réalisée par un organisme expert indépendant (le TÜV, par
exemple).
Exploitation des capteurs

On distingue deux types d'exploitation des capteurs :
• Exploitation 1oo1 (1de1) : le signal du capteur est lu une fois.
• Exploitation 1oo2 (1de2) : le signal du capteur est lu deux fois par la même → périphérie F
et comparé en interne.
FB F
Blocs fonctionnels de sécurité (avec DB d'instance) dans lesquels l'utilisateur programme le →
programme de sécurité en langage LOG ou CONT.
FC F
Fonctions de sécurité dans lesquelles l'utilisateur programme le → programme de sécurité en
langage LOG ou CONT.
F-CALL
"Bloc d'appel F" pour le → programme de sécurité dans S7 Distributed Safety
Fonction de réaction aux erreurs

→ Fonction de sécurité utilisateur
Fonction de sécurité
Mécanisme de sécurité intégré à la → CPU F et à la → périphérie F, permettant leur mise en
œuvre dans des → systèmes de sécurité.
Selon CEI 61508:2010, fonction mise en œuvre par un dispositif de sécurité afin de maintenir
ou d'amener le système dans un → état de sécurité en présence d'une erreur donnée.
(Fonction de réaction aux erreurs → Fonction de sécurité utilisateur)
Fonction de sécurité utilisateur

La → fonction de sécurité pour le processus est réalisable soit par une fonction de sécurité
utilisateur, soit par une fonction de réaction aux erreurs. L'utilisateur programme uniquement
la fonction de sécurité utilisateur. Si le → système F ne peut plus exécuter la fonction de
sécurité utilisateur proprement dite en cas d'erreur, il exécute la fonction de réaction aux
erreurs, par exemple les sorties correspondantes sont désactivées et la → CPU F passe à l'arrêt
le cas échéant.
Groupe d'exécution F
Le → programme de sécurité est composé d'un ou de deux groupes d'exécution F. Un groupe
d'exécution F est un assemblage logique de plusieurs → blocs F associés qui est formé en
interne par le système F. Un groupe d'exécution F se compose des blocs F suivants :
→ Main Safety Block, OB F (S7-1200, S7-1500), éventuellement → FB F/ → FC F,
éventuellement → DB F, → DB de périphérie F, blocs F des bibliothèques globales, DB
d'instance, → SB F et → blocs F générés automatiquement.
IE/PB-Link
Appareil qui permet de coupler des réseaux PROFINET IO et PROFIBUS DP et qui est nécessaire
entre autres pour réaliser la communication contrôleur IO-esclave I entre des → programmes
de sécurité dans des → CPU F distinctes dans SIMATIC Safety.
L'impression de sécurité constitue la documentation des données de projet relatives à la
sécurité sur laquelle vous vous appuierez lors de la réception de l'installation. Dans ce cas,
vous pouvez aussi utiliser la forme électronique de l'impression de sécurité, par exemple
comme fichier PDF.
Instruction avec versionnage

Instruction pour laquelle une version est affichée dans la colonne "Version" de la Task Card
"Instructions"
Main Safety Block

"Bloc d'entrée F" pour la programmation de sécurité du → programme de sécurité dans
STEP 7 Safety. Le Main Safety Block est un → FB F ou une → FC F que l'utilisateur affecte à
l'OB F appelant (S7-1200, S7-1500) ou au bloc (OB, FC, FB) (S7-300, S7-400) d'un → groupe
d'exécution F.
Le Main Safety Block contient le programme de sécurité et, le cas échéant, des appels à
d'autres → FB F/FC F pour structurer le programme.
Mesure organisationnelles
Pour le système F SIMATIC Safety, il s'agit de mesures à définir par l'exploitant de
l'installation, propres à
• assurer la sécurité de l'installation dans certaines conditions de fonctionnement, p. ex. :
– fonctionnement surveillé avec coupure de sécurité manuelle
– consignes d'exploitation
– instructions régulières
• protéger l'installation contre une utilisation ou un accès non autorisé, p. ex. :
– contrôle d'accès à l'installation ou à la CPU F ou à la PG/au PC
– consignes d'exploitation
– instructions régulières
Mode de sécurité
1. Mode de fonctionnement de la → périphérie F dans lequel la → communication de sécurité
est possible au moyen de → télégrammes de sécurité.
2. Mode de fonctionnement du programme de sécurité. En mode de sécurité du programme
de sécurité, tous les mécanismes de sécurité pour la détection d'erreurs et la réaction aux
erreurs sont activés. Dans ce mode, une modification du programme de sécurité n'est pas
possible en cours de fonctionnement. L'utilisateur peut désactiver le mode de sécurité (→
mode de sécurité désactivé).
Mode de sécurité désactivé

Coupure temporaire du → mode de sécurité aux fins de test, de mise en service, etc.
Une temporisation est démarrée lors de la désactivation du mode de sécurité. La → CPU F
passe à l'arrêt à l'expiration de la temporisation. Le temps pour la temporisation est
paramétrable.
Ce n'est qu'en mode de sécurité désactivé que sont possibles :
• le chargement de modifications du → programme de sécurité dans la → CPU F en cours de
fonctionnement (état Marche)
• des fonctions de test comme le "forçage" ou d'autres accès en écriture aux données du →
programme de sécurité (avec des restrictions)
Lorsque le mode de sécurité est désactivé, la sécurité de l'installation doit être assurée par
d'autres mesures organisationnelles, par exemple par un fonctionnement sous surveillance et
une coupure manuelle de sécurité.
Mode production
Exploitation d'une installation dans l'environnement d'exécution spécifié pour lequel les
exigences de sécurité ont été spécifiées et dans lequel toutes les exigences de sécurité
doivent être respectées.
Contrairement à cela, les exigences de sécurité ne doivent être mises en œuvre que de
manière limitée en environnement de test ou de simulation puisque le risque potentiel y est
moindre (par exemple, absence d'actionneurs physiques qui constitueraient un danger).
Mode standard
Mode de fonctionnement de la → périphérie F dans lequel aucune → communication de
sécurité entre la CPU F et la périphérie F via des → télégrammes de sécurité n'est possible,
mais uniquement une → communication standard.
Modules de périphérie de sécurité

Modules ET 200AL, modules ET 200eco et modules ET 200eco PN pouvant être mis en œuvre
pour le fonctionnement de sécurité (→ mode de sécurité). Ces modules disposent de →
fonctions de sécurité intégrées. Ils se comportent conformément à la norme CEI
61784-1:2010 (profils de bus de terrain) et au profil de bus PROFIsafe.
Modules de sécurité
Modules de sécurité ET 200SP, ET 200S, ET 200pro, ET 200iSP pouvant être mis en œuvre
dans le système de périphérie décentralisée ET 200SP, ET 200S, ET 200pro ou ET 200iSP
Modules de sécurité S7-1500/ET 200MP utilisables dans un S7-1500 en mode centralisé ou
dans le système de périphérie décentralisée ET 200MP
Modules de sécurité S7-1200 utilisables dans un S7-1200 en mode centralisé
Ces modules disposent de → fonctions de sécurité intégrées pour un fonctionnement
sécurisé (→ mode de sécurité). Ils se comportent conformément au profil de bus →
PROFIsafe.
Modules de signaux de sécurité S7-300

Modules de signaux de sécurité de la gamme S7-300 pouvant être mis en œuvre pour le
fonctionnement de sécurité (→ mode de sécurité) dans un S7-300 en mode centralisé ou
dans le système de périphérie décentralisée ET 200M. Les modules de signaux de sécurité
disposent de → fonctions de sécurité intégrées. Ils se comportent conformément au profil de
bus → PROFIsafe.
Modules F
→ Modules de sécurité
OB F
L'OB F appelle le Main Safety Block d'un groupe d'exécution F dans les CPU F S7-1200/1500.
Paramètres i
Paramètres individuels d'→appareils normalisés DP de sécurité ou de → périphériques IO
normalisés de sécurité
Passivation
En cas de passivation dans une → périphérie F avec des entrées, le → système F met à
disposition du programme de sécurité des valeurs de remplacement (0) au lieu des valeurs de
processus disponibles aux entrées de sécurité dans la MIE.
En cas de passivation dans une périphérie F avec des sorties, le système F transmet des
valeurs de remplacement (0) aux sorties de sécurité au lieu des valeurs de sortie mises à
disposition dans la MIS par le programme de sécurité.
Périphérie F
Désignation regroupant les entrées et les sorties de sécurité disponibles dans SIMATIC S7
pour l'intégration, entre autres, dans SIMATIC Safety. Les modules suivants sont disponibles :
• → Module de périphérie de sécurité ET 200eco
• → Module de périphérie de sécurité ET 200eco PN
• → Module de périphérie de sécurité ET 200AL
• → Modules de signaux de sécurité S7-300
• → Modules de sécurité pour S7-1200
• → Modules de sécurité pour ET 200 MP
• → Modules de sécurité pour ET 200SP
• → Modules de sécurité pour ET 200S
• → Modules de sécurité pour ET 200pro
• → Modules de sécurité pour ET 200iSP
• → Appareils DP normalisés de sécurité
• → Périphériques IO normalisés de sécurité

Périphérie F pour laquelle l'unicité de l'adresse PROFIsafe est assurée uniquement par
l'adresse cible F, par exemple modules F ET 200S. Vous affectez généralement l'adresse
PROFIsafe par des commutateurs DIP.

Périphérie F pour laquelle l'unicité de l'adresse PROFIsafe est assurée par combinaison de
l'adresse source F et de l'adresse cible F, par exemple modules F S7-1500/ET 200MP. Vous
affectez généralement l'adresse PROFIsafe avec STEP 7 Safety.
Périphérique I
La fonctionnalité "Périphérique I" ou "I-Device" (périphérique IO intelligent) d'une CPU permet
d'échanger des données avec un contrôleur IO et donc de l'utiliser, par exemple, comme
unité de prétraitement intelligente de processus partiels. Le périphérique I assumant ici le
rôle de périphérique IO est connecté à un contrôleur IO "de niveau supérieur".
Périphériques IO normalisés de sécurité

Les périphériques IO normalisés de sécurité sont des périphériques normalisés qui
fonctionnent sur PROFINET selon le protocole IO. Ils doivent se comporter conformément à la
norme CEI 61784-1:2010 (profils de bus de terrain) et au profil de bus PROFIsafe en mode V2.
Un fichier GSD est nécessaire pour leur configuration.
PL
Performance Level (PL) selon ISO 13849-1:2015 ou selon EN ISO 13849-1:2015
En → mode de sécurité, SIMATIC Safety permet une mise en œuvre jusqu'au niveau de
performance PL e.
PROFIsafe
Profil de bus de sécurité de PROFIBUS DP et PROFINET IO pour la communication entre le
→ programme de sécurité et la → périphérie F dans un → système F. Voir IEC 61784-3-
3:2021 ou PROFIsafe – Profile for Safety Technology on PROFIBUS DP and PROFINET IO; Order
No: 3.192 (V2.6.1).
Programme de sécurité
Programme utilisateur de sécurité
Programme utilisateur
Le programme utilisateur comprend le → programme utilisateur standard et le → programme
de sécurité.
Programme utilisateur standard

programme utilisateur non de sécurité
Protection d'accès
Les → systèmes de sécurité doivent être protégés contre les accès non autorisés dangereux.
La protection d'accès des systèmes F est réalisée par l'attribution d'un mot de passe pour la →
CPU F et d'un mot de passe ou d'une → protection du projet pour le → programme de
sécurité.
Protection du projet
Gestion d'utilisateurs (UMAC, User Management and Access Control) pour créer et gérer des
utilisateurs et des rôles pour les projets. Vous pouvez en outre protéger votre projet et définir
quels utilisateurs peuvent exécuter quelles fonctions. Le droit fonctionnel "Edit safety-related
project data" est disponible pour les données de projet de sécurité.
Protocole de sécurité
→ Télégramme de sécurité
Réintégration
La commutation des valeurs de remplacement (0) aux valeurs du processus (réintégration
d'une → périphérie F) s'effectue automatiquement ou bien après un acquittement utilisateur
dans le DB de périphérie F. Le type de réintégration dépend :
• de la cause à l'origine de la → passivation de la périphérie F/des voies de la périphérie F
• d'un paramétrage dans le → DB de périphérie F ou dans la configuration elle-même (par
exemple, modules F ET 200MP sur une CPU F S7-1500 et modules F S7-1200 sur une CPU
F S7-1200)
Après la réintégration d'une → périphérie F avec des entrées, les valeurs de processus
disponibles aux entrées de sécurité dans la MIE sont à nouveau mises à disposition du →
programme de sécurité. Pour une périphérie F avec des sorties, le système F transmet à
nouveau aux sorties de sécurité les valeurs de sortie fournies dans la MIS par le programme
de sécurité.
RIOforFA-Safety
Remote IO for Factory Automation avec PROFIsafe ; profil pour périphérie F
S7-PLCSIM
Avec S7-PLCSIM, vous pouvez éditer et tester votre programme dans un système
d'automatisation simulé sur votre PG/PC. Comme la simulation est intégralement réalisée sur
votre PG/PC, vous n'avez pas besoin de matériel (CPU, périphérie).

L'éditeur Safety Administration Editor vous aide dans la réalisation des tâches principales
pour votre programme de sécurité.
Shared device
La fonctionnalité "shared device" permet de répartir les sous-modules d'un périphérique IO
Device entre différents contrôleurs IO.
Signature
→ Signature globale F
Signature d'adresse de communication F
La signature d'adresse de communication F se compose des noms et des UUID de
communication F des liaisons de communication avec Flexible F-Link qui sont utilisées dans le
Signature de programme
→ Signature globale F
Signature globale F
La signature globale F caractérise de manière unique un état précis des données de projet de
sécurité. Elle est importante pour l'identification du programme, ainsi que pour la réception
sur site du programme de sécurité, par exemple par des → experts.
Signature globale HW F
La signature globale HW F caractérise de manière unique un état précis de la configuration
matérielle de sécurité. Elle est importante pour documenter le fait que la configuration
matérielle de sécurité a été ou n'a pas été modifiée, par exemple dans le cadre d'une
réception des modifications.
Signature globale SW F
La signature globale SW F caractérise de manière unique un état précis du programme de
sécurité. Elle est importante pour documenter le fait que le programme de sécurité a été ou
n'a pas été modifié, par exemple dans le cadre d'une réception des modifications.
SIL
Niveau de sécurité (Safety Integrity Level) SIL selon CEI 61508:2010. Les mesures prises pour
empêcher des erreurs systématiques ainsi que pour maîtriser ces erreurs systématiques et les
défaillances matérielles aléatoires sont d'autant plus rigoureuses que le niveau de sécurité SIL
est élevé.
En mode de sécurité, SIMATIC Safety permet une mise en œuvre jusqu'au niveau de sécurité
SIL3.
SM F
→ Modules de signaux de sécurité S7-300
Systèmes de sécurité
Les systèmes de sécurité (systèmes F) sont caractérisés en ce qu'ils restent à l'état de sécurité
ou passent immédiatement dans un autre état de sécurité lorsque certaines défaillances se
produisent.
Systèmes F
→ Systèmes de sécurité
Systèmes redondants
Les systèmes redondants sont caractérisés par le fait que les composants d'automatisation
importants y figurent plusieurs fois (en redondance). En cas de défaillance d'un composant
redondant, le contrôle du processus n'est pas interrompu.
Télégramme de sécurité
En → mode de sécurité, les données entre la → CPU F et la → périphérie F – ou entre les CPU
F en cas de communication CPU-CPU de sécurité – sont transmises dans un télégramme de
sécurité.
Temps de cycle F
Le temps de cycle F est le temps qui s'écoule entre deux appels d'un groupe d'exécution F. Il
est surveillé par la CPU F. La CPU F passe à l'état Arrêt dès qu'il dépasse le temps de cycle F
maximal (propriété du groupe d'exécution F).
(S7-1200, S7-1500) : Le groupe d'exécution F comporte en outre une limite d'alerte. Une
entrée est inscrite dans le tampon de diagnostic si le temps de cycle F dépasse cette limite
d'alerte.
Temps de discordance
Temps paramétrable pour I' →analyse de discordance. Si le temps de discordance paramétré
est trop élevé, le temps de détection des erreurs et le → temps de réaction aux erreurs
s'allongent inutilement. Si le temps de discordance paramétré est trop court, la disponibilité
est diminuée de façon inutile, car une erreur de discordance serait détectée en l'absence
d'une erreur réelle.
Temps de réaction aux erreurs

Pour un système F, le temps de réaction maximum aux erreurs correspond à la durée entre
l'apparition d'une erreur quelconque et la réaction de sécurité sur toutes les sorties de
sécurité concernées.
Type de données API (UDT) conforme F

Un type de données API (UDT) conforme F est un type de données API (UDT) dans lequel vous
pouvez utiliser tous les types de données utilisables dans les programmes de sécurité.
Unité Safety
Une unité logicielle contenant le programme de sécurité complet d'une CPU F.
Valeur de contrôle CRC
La validité des valeurs du processus contenues dans le → télégramme de sécurité, l'exactitude
des relations d'adresses définies et les paramètres de sécurité sont validés au moyen d'une
valeur de contrôle CRC contenue dans le télégramme de sécurité.
Index
Arrêt (STOP), 384
attribution d'adresses
= Règles, 70
Attribution d'adresses
=, 418
Règles, 68
A B
ABS, 535
Barrière immatérielle, 442
Accès
Barrières réflex, 442
aux variables du DB de périphérie F, 171
Bascule
Accès à la périphérie F, 155
mise à 0/mise à 1, 407, 422
en cours de fonctionnement, 349
mise à 1/mise à 0, 406, 421
par la mémoire image du processus, 155, 240
Bit d'état OV
restrictions à l'état Marche, 351
interrogation à 0, 583
Accès DB avec indication du chemin complet, 122, 171
interrogation à 1, 582, 584
Accès DB sans indication du chemin complet, 123
Bloc de données, 192
Accès Slice, 120
Bloc de données global
ACK_GL, 486
ouverture, 564
ACK_NEC, 165
Bloc F
ACK_OP, 574
copie, 149
ACK_REI, 166
suppression, 130
ACK_REQ, 170
Blocage du redémarrage
Acquittement
en cas d'interruption de la barrière
de sécurité, 574
immatérielle, 442, 454
Erreur de voie, 55
MUT_P, 454
Acquittement de sécurité, 574, 580
MUTING, 442
Acquittement utilisateur, 183, 188, 442
BO_W, 547
exemple, 187
Boîte vide
système de contrôle-commande, 184, 185
insérer un élément CONT, 394
Activation
insérer un élément LOG, 397
fonctionnalité F, 48
Mode de sécurité, 341
ADD, 518
C
Addition, 518
Adresse cible F, 67, 69 Catégorie, 23
Adresse cible PROFIsafe, 49 Centre de formation, 3
Adresse PROFIsafe Certificat TÜV, 363
affectation, 72, 75 Chargement
attribution, 71, 78 Configuration matérielle, 300
modification, 77 Programme de sécurité, 300
recommandations, 64 programme utilisateur standard, 300
Adresse source F, 50, 69 Chemin complet, accès DB, 122, 171
Adresse source F centralisée, 50 Chronogrammes, 442, 454, 585
Affectation, 403, 418 RCVDP, 585
AND, 566 SENDDP, 585
Appareils de simulation dans le système F, 384 Classe de sécurité, 23
Appareils DP normalisés de sécurité CMP <, 517
configuration, 77 CMP <=, 514
Index
CMP <>, 512 Configuration, 208, 266

CMP ==, 510 limites de la transmission de données, 217, 275
CMP >, 516 Programmation, 214, 270
CMP >=, 513 Comparaison
Communication Différent de, 512
programme utilisateur standard et programme de Égal à, 510
sécurité, 192, 193 Inférieur à, 517
Temps de surveillance, 606, 607 Inférieur ou égal à, 514
Communication contrôleur IO-contrôleur IO de sécurité programmes de sécurité, 331
Configuration, 199, 257 Supérieur à, 516
limites de la transmission de données, 207, 266 Supérieur ou égal à, 513
Programmation, 204, 262 Comparaison hors ligne/en ligne de programmes de
Communication contrôleur IO-esclave I de sécurité, 332
sécurité, 241, 287 Comportement
Communication contrôleur IO-périphérique I de après des erreurs de communication, 175
sécurité après des erreurs de périphérie F / de voie, 177
Configuration, 218, 275, 296 après un démarrage, 173
limites de la transmission de données, 223, 281 Comportement au démarrage
Programmation, 221, 278 MUT_P, 454
Communication CPU-CPU, 43 RCVDP, 585
options de communication de sécurité, 43 RCVS7, 595
vue d'ensemble de la communication de SENDDP, 585
sécurité, 196, 254, 295 SENDS7, 595
Communication CPU-CPU de Composants F, 43
sécurité, 43, 196, 254, 295, 595 Composants logiciels, 25, 388
DB de communication F, 244 Composants matériels, 25
options, 43 Comptage, 503
RCVDP, 585 Comptage et décomptage, 507
restrictions à l'état Marche, 349 Compteurs
SENDDP, 585 Comptage, 503
vérification de la correction, 373 Comptage et décomptage, 507
Communication de sécurité entre groupes d'exécution Décomptage, 505
F, 141 Configuration
Communication de sécurité via des liaisons S7 Appareils DP normalisés de sécurité, 77
Configuration, 241 CPU F, 47
limites de la transmission de données, 248 de composants F, 46
Communication entre groupes d'exécution particularités, 46
F, 134, 137, 141, 144 Périphérie F, 53
restrictions à l'état Marche, 349 Périphériques IO normalisés de sécurité, 77
Temps de surveillance, 607 Shared device, 62
Communication esclave I-esclave de sécurité vue d'ensemble, 43
Configuration, 235 Configuration matérielle, 47
limites de la transmission de données, 240 chargement, 300
Communication esclave I-esclave I de sécurité vérification de la correction, 366
Configuration, 229 Configurations prises en charge, 65
limites de la transmission de données, 228 Constante
Programmation, 226 booléenne, 121
Communication maître-esclave I de sécurité FALSE, 121
Configuration, 224, 281 TRUE, 121
limites de la transmission de données, 228, 286 Contact à fermeture, 400
Programmation, 226, 284 Contact à ouverture, 401
Communication maître-maître de sécurité Contrôle de la configuration, 57

Index
Contrôle de vraisemblance, 193 Décaler à gauche, 572

transfert de données du programme standard au Décomptage, 505
programme de sécurité, 377 Démarrage, 154, 173
Conversion Désactivation
Convertir BOOL en WORD, 547 fonctionnalité F, 48
Convertir valeur, 546 Mode de sécurité, 337, 338
Convertir WORD en BOOL, 550 Désinstallation
données, 547, 550 STEP 7 Safety, 32, 32, 33
Mise à l'échelle au type de données DINT, 555 DIAG
Mise à l'échelle de valeurs, 552 DB de périphérie F, 170
Valeur, 546 ESTOP1 : Coupure d'urgence jusqu'à la catégorie
Conversion de données, 547, 550 1, 429
Conversion du type de données, 120 EV1oo2DI : Exploitation 1oo2 (1de2) avec analyse
CONVERT, 546 de discordance, 467
Convoyeur à l'arrêt, 442 FDBACK : Surveillance du circuit de réaction, 474
Correction MUT_P : Inhibition parallèle, 454
communication CPU-CPU de sécurité, 373 MUTING : Inhibition, 442
Configuration matérielle, 366 RCVS7, 595
Coupleur DP/DP, 208, 266 SENDDP/RCVDP, 585
Coupleur PN/PN, 199, 257 SENDS7, 595
CPU de sécurité, (voir CPU F) SFDOOR : Surveillance de protecteur mobile, 480
CPU F, 43, 105 TWO_H_EN : Surveillance de commande bimanuelle
configuration, 47 avec validation, 437
configuration des droits d'accès, 105 Diagnostic
migration, 36 Guide de la documentation, 392, 392
mise à l'arrêt, 384 système de sécurité, 391
Créer le complément à 2, 531 Diagnostic groupé des modules de signaux de
CTD, 505 sécurité, 56
CTU, 503 DISABLE, 168
CTUD, 507 DIV, 528
Cycle de vie des systèmes d'automatisation de Division, 528
sécurité, 611 Données locales, 122
Droits d'accès
configuration pour la CPU F, 105
D révocation, 105
validité, 100, 105
DB de périphérie F, 115, 164
accès, 162, 171
Nom, 55, 171
E
numéro, 55, 171
Structure de DIAG, 170 Échange de données
DB d'informations sur le groupe d'exécution F, 152 entre programme utilisateur standard et de
DB d'instance, 123, 148 sécurité, 191
DB F, 115 Effacement général, 341
création, 148 Élément CONT
DB global F, 152 insertion, 394
pour la communication entre groupes d'exécution Élément LOG
F, 141 insertion, 397
DB global F, 152, 192, 339 Émission et réception de données via des liaisons
Décalage et rotation S7, 595
Décaler à droite, 569 EN, 117
Décaler à gauche, 572 ENO, 117
Décaler à droite, 569 Environnement logiciel requis, 31, 32, 32

Index
Erreur de communication, 175, 585 Fonctions mathématiques

SENDDP/RCVDP, 585 Addition, 518
Erreur de compilation Créer le complément à 2, 531
signalisation, 299 Division, 528
Erreur de discordance, 442 Multiplication, 525
Erreur de périphérie F, sortie de valeur de Soustraction, 522
remplacement, 161 Valeur absolue, 535
Erreur de voie, 54, 177 Forçage, 336
Acquittement, 55 Programme de sécurité, 342, 342
Erreur de voie F, sortie de valeur de remplacement, 161
Erreurs de périphérie F / de voie, 177
ESTOP1, 429 G
ET, 414, 566
Gestion du programme
État de la valeur, 157, 169
Ouvrir bloc de données global, 564
EV1oo2DI, 467
Repère de saut, 561
Examen du code du programme de sécurité, 361
Retour de saut, 563
Exigences de sécurité, 11, 23
Saut si RLO = 0, 559
Saut si RLO = 1, 557
Getting Started, 42
F
Groupe d'exécution F, 108, 110, 115
F_CRC_Seed, 79 communication de sécurité, 141
F_IO_StructureDescCRC, 78, 79 configuration par défaut, 133, 136
F_Passivation, 79 définition, 134, 137
FB F, 115, 148 modification, 147, 147
FC F, 115, 148 Règles, 131
FDBACK, 474 suppression, 147
Fichiers GSD temps de cycle maximal, 134, 137, 607
configuration, 77
Flexible F-Link, 97, 144, 289
Temps de surveillance F, 607 H
Fonction de réaction aux erreurs, 11, 24
Historique des modifications F, 358
Fonction de sécurité, 24
Homologations, 5
calcul du temps de réaction, 608
exemple, 24
Fonction de sécurité utilisateur, 3, 24
I
Fonctionnalité F, activation/désactivation, 48
Fonctionnement en cours, 349 ID matérielle, 585
Fonctions de sécurité IE/PB-Link, 241, 287
ACK_GL : Acquittement global de toutes les Image
périphéries F d'un groupe d'exécution F, 486 création, 321
ESTOP1 : Coupure d'urgence jusqu'à la catégorie importation, 321
1, 429 Importation d'images, 321
EV1oo2DI : Exploitation 1oo2 (1de2) avec analyse Impression de sécurité, 77, 361
de discordance, 467 Impulsion
FDBACK : Surveillance du circuit de réaction, 474 génération, 488
MUT_P : Inhibition parallèle, 454 Insérer entrée binaire, 399
MUTING : Inhibition, 442 Installation
SFDOOR : Surveillance de protecteur mobile, 480 STEP 7 Safety, 31, 32, 32
TWO_H_EN : Surveillance de commande bimanuelle Installation, réception, 360
avec validation, 437 Instructions
TWO_HAND : Surveillance de commande Interroger le bit d'état OV à 1, 584
bimanuelle, 434 pour le programme de sécurité, 116

Index
vérification pour la réception, 363 réception, 379

Intégralité Modifications non prises en charge, 351
vérification de l'impression, 362 Mot de passe, 339
IPAR_EN, 167 CPU F, 105
IPAR_OK, 170 Programme de sécurité, 100
MOVE, 536
MUL, 525
J Multiplication, 525
MUT_P, 454
JMP, 557
MUTING, 442
JMPN, 559
Structure de DIAG, 442
L N
LABEL, 561
N, 410, 425
Liaison S7
N_TRIG, 413, 427
communication de sécurité, 241
NEG, 531
Liste de contrôle, 611
Niveau de protection de la CPU F, 52
NOT, 402
M
Main Safety Block, 115, 148 O
Marche (RUN), 349
OB F, 55, 115, 136
Mémento, 192
copie, 149
Mémoire de travail requise par le programme de
Opérande
sécurité, 299
interroger le front descendant, 410, 425
Mémoire image du processus, 55, 155, 192
interroger le front montant, 409, 424
Migration
Opération logique sur bits
à partir de S7 Distributed Safety, 33, 244
Affectation, 403, 418
CPU F, 36
Bascule 'mise à 0/mise à 1', 407, 422
impression, 336
Bascule 'mise à 1/mise à 0', 406, 421
Mise à jour du firmware, 388
Contact à fermeture, 400
Mise à jour du système d'exploitation, 388
Contact à ouverture, 401
Mise à l'échelle
ET, 414
valeurs, 552, 555
Insérer entrée binaire, 399
Mise à niveau
Interroger front descendant du RLO, 413, 427
Projets, 37, 38, 39
Interroger front descendant d'un
Mise en route, 42
opérande, 410, 425
Mode de fonctionnement
Interroger front montant du RLO, 411, 426
RCVDP, 585
Interroger front montant d'un opérande, 409, 424
RCVS7, 595
Inverser RLO, 400, 402
SENDDP, 585
Mise à 0 sortie, 403, 418
SENDS7, 595
Mise à 1 sortie, 405, 420
Mode de sécurité
OU, 415
activation, 341
OU EXCLUSIF, 416
désactivation, 337, 338
Opérations logiques sur mots
Mode Fast Commissioning, 351
ET, 566
Mode production, 99
OU, 567
Modification
OU EXCLUSIF, 568
détection, 379
OPN, 564
données du programme de sécurité, 341
OR, 567
du programme de sécurité à l'état Marche, 349, 351

Index
OU, 415, 567 création automatique, 51

OU EXCLUSIF, 416, 568 examen du code, 361
OV, 582, 583, 584 forçage, 336, 342, 342
Instructions, 116
mémoire de travail requise, 299
P Mot de passe, 100
sortie de valeur de remplacement, 161
P, 409, 424
structure, 108, 110
P_TRIG, 411, 426
suppression, 147
Paramètres, 454
test, 341
de sécurité, 47
test fonctionnel, 336
Paramètres de diagnostic, 391
Types de données, 117
Paramètres F, 46
visualisation, 336, 342, 342
PASS_ON, 165
Programme utilisateur standard, chargement, 300
PASS_OUT, 169
Programmer le DB de communication F, 244
Passivation
Projets
par voie, 54
migration à partir de S7 Distributed Safety, 33
Périphérie F, 172
mise à niveau, 37, 38, 39
sortie de valeur de remplacement, 161
protection contre le démarrage, 154
Passivation de la périphérie F, 172
Protection contre le redémarrage, 154
après des erreurs de communication, 175
Protection d'accès, 99, 99
après des erreurs de périphérie F / de voie, 177
À l'échelle de la CPU, 100
après un démarrage, 173
à l'échelle du projet, 102
Passivation groupée, 181
configuration pour le programme de sécurité, 100
Passivation groupée, 181
données de projet de sécurité, 100
Performance Level, 23
par des mesures organisationnelles, 105
Périphérie F, 43
pour la CPU F, 103
adressage, 155
UMAC, 102
configuration, 53
débrochage et enfichage durant le
fonctionnement, 388
Q
Réintégration, 162, 173, 175, 177
Périphériques IO normalisés de sécurité QBAD, 169, 171, 172
configuration, 77 QBAD_I_xx, 169
Plage d'adresses cible F, 49 QBAD_O_xx, 169
Plage d'opérandes
pour le programme de sécurité, 119
PLCSIM, 336, 341 R
Points d'arrêt, 344
R, 403, 418
Procédure d'inhibition
RCVDP, 203, 204, 213, 214, 221, 221, 226, 226, 261, 2
avec 4 détecteurs à inhibition, 442
62, 270, 270, 278, 278, 284, 284, 339, 585
avec barrières réflex, 442
Chronogrammes, 585
PROFIBUS DP, 25
comportement en cas d'erreurs de
PROFINET IO, 25
communication, 585
Programmation
réception de données, 585
contrôles de vraisemblance, 193
Structure de DIAG, 585
passivation groupée, 181
RCVS7, 243, 244, 339, 595
protection contre le démarrage, 154
RD_ARRAY_DI, 540
vue d'ensemble, 108
RD_ARRAY_I, 537
Programme de sécurité, 25
RD_FDB, 544
chargement, 300
Réalisation d'un acquittement utilisateur, 188
cohérence en ligne, 376
Réception, 77
comparaison, 331

Index
de l'installation, 360 Shared device

des modifications de sécurité, 379 configuration, 62
Réception des modifications de sécurité, 379 SHL, 572
recommandations SHR, 569
Adresse PROFIsafe, 64 Signature, 39
Règles Signature du groupe d'exécution F, 152
attribution d'adresses, 68, 70 Signature globale F, 339
pour le test, 341 SIL, 23
Réintégration de la périphérie F, 162, 165, 172 SIMATIC Safety, 3, 23
après des erreurs de communication, 175 composants matériels et logiciels, 25
après des erreurs de périphérie F / de voie, 177 logiciel de configuration et de programmation, 25
après un démarrage du système F, 173 présentation du produit, 23
en cas de passivation groupée, 181 principe des fonctions de sécurité, 24
programmation d'un acquittement Programme de sécurité, 25
utilisateur, 183, 188 Simulation, 336
Remplacement Sortie
Composants logiciels, 388 mise à 0, 403, 418
Repère de saut, 561 mise à 1, 405, 420
Réseau Soustraction, 522
insertion, 394, 397 SR, 406, 421
RET, 563 STEP 7 Safety, 25
Retard à la montée, 493 assistance supplémentaire, 3
Retard à la retombée, 498 connaissances de base requises, 4
Retour de saut, 563 conventions d'écriture, 9
RLO documentation, 5
interroger le front descendant, 413, 427 Service & Support, 3
interroger le front montant, 411, 426 vue d'ensemble de la documentation, 5
inverser, 400, 402 STP, 384
RS, 407, 422 Structure du programme de sécurité, 108, 110
SUB, 522
Suppression
S blocs F, 130
Surveillance
S, 405, 420
Surveillance de commande bimanuelle, 434, 437
S7-PLCSIM, 336, 341
Système de sécurité, (voir SIMATIC Safety)
test avec, 345
Système F
Safety Administration Editor, 80
temps de réaction, 602
Saut
temps de surveillance, 602
si RLO = 0, 559
vérifications, 66
si RLO = 1, 557
SCALE, 552
SCALE_D, 555
T
Sécurité de fonctionnement de l'installation, 11
Sécurité, paramètres, 47 Table de vérité
SENDDP, 203, 204, 213, 214, 221, 221, 226, 226, 261, ET, 415
262, 270, 270, 278, 278, 284, 284, 339, 585 OU, 416
Chronogrammes, 585 OU EXCLUSIF, 417
comportement en cas d'erreurs de Table de visualisation, 343
communication, 585 Tableau F
émission de données, 585 lecture, 537, 540
Structure de DIAG, 585 Taille des blocs F générés automatiquement, 300
SENDS7, 243, 244, 339, 595 Temporisations
SFDOOR, 480 Génération d'impulsion, 488

Index
Retard à la montée, 493 V

Retard à la retombée, 498
V2 MODE, 77
Temps de cycle
Valeur
Groupe d'exécution F, 134, 137
conversion, 546
maximal, 603
copie, 536
temps de surveillance, 605
écriture indirecte dans un DB F, 542
Temps de cycle F, temps de surveillance, 605
lecture indirecte dans un DB F, 544
Temps de cycle maximal, 603, 607
mise à l'échelle, 552
Temps de réaction du système F, 602, 608
mise à l'échelle au type de données DINT, 555
Temps de sécurité du processus, 608
Valeur absolue, 535
Temps de surveillance, 602, 603
Valeur de remplacement, 142, 160
communication entre CPU F, 607
Variable
communication entre CPU F et périphérie F, 606
DB de périphérie F, 164
communication entre esclave I et esclave, 606
visualisation/forçage, 341
Temps de cycle F, 605
Variable de diagnostic, 391
Temps de surveillance F, 50, 56, 603
Vérifications
communication F, 97
par le système F, 66
Test de câblage, 341
Vérifier la version du programme, 377
Test du programme de sécurité, 341
Visualisation, 336
Test fonctionnel du programme de sécurité, 336, 361
Programme de sécurité, 342, 342
Test périodique, 388
TIMEOUT, 603, 607
TOF, 498
W
TON, 493
TP, 488 W_BO, 550
Traitement des options, 57 WR_FDB, 542
Transfert
Copier valeur, 536
Écrire valeur indirectement dans un DB F, 542 X
Lire un tableau F, 537, 540
X, 416
Lire valeur indirectement dans un DB F, 544
XOR, 568
Transfert de données
du programme de sécurité dans le programme
utilisateur standard, 192
Z
du programme utilisateur standard au programme
de sécurité, 193 Zone de transfert, 256
TWO_H_EN, 437
TWO_HAND, 434
Type d'adresse PROFIsafe, 43
Type d'adresse PROFIsafe 1, 49
Type d'adresse PROFIsafe 2, 50
Type de données API
conforme F, 124
Type de données API (UDT) conforme F, 124
Types de données
pour le programme de sécurité, 117
Types de paramètres, 117
U
UMAC, 102
UUID de communication F, 97


Progfailfrfr FR FR

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Progfailfrfr FR FR

Transféré par

Droits d'auteur :

Formats disponibles

SIMATIC Safety - Configuration et programmation

11/2022 Liste de contrôle B

Siemens AG A5E52320330-AM Copyright © Siemens AG 2011 - 2022.

Objet de cette documentation

SIMATIC Safety - Configuration et programmation

Connaissances de base requises

SIMATIC Safety - Configuration et programmation

Domaine de validité de la documentation

Vue d'ensemble de la documentation

SIMATIC Safety - Configuration et programmation

Le présent manuel fait référence à ces documentations lorsque c'est approprié.

documentation Résumé du contenu

SIMATIC Safety - Configuration et programmation

documentation Résumé du contenu

SIMATIC Safety - Configuration et programmation

documentation Résumé du contenu

SIMATIC Safety - Configuration et programmation

SIMATIC Safety - Configuration et programmation

SIMATIC Safety - Configuration et programmation

Remarque importante pour le maintien de la sécurité de fonctionnement de votre installation

Note relative à la sécurité

SIMATIC Safety - Configuration et programmation

Siemens Industry Online Support

SIMATIC Safety - Configuration et programmation

Remarques importantes ........................................................................................................................ 3

SIMATIC Safety - Configuration et programmation

2.14 Particularités lors de la configuration d'appareils DP normalisés de sécurité et de

SIMATIC Safety - Configuration et programmation

5.3 Créer des blocs F en CONT/LOG ........................................................................................ 148

SIMATIC Safety - Configuration et programmation

9.1.2.3 Programmer la communication contrôleur IO-contrôleur IO de sécurité ............................ 204

SIMATIC Safety - Configuration et programmation

9.2.2.4 Communication contrôleur IO-contrôleur IO de sécurité - Limites pour la transmission

SIMATIC Safety - Configuration et programmation

SIMATIC Safety - Configuration et programmation

11.8 Équivalence des programmes en ligne et hors ligne .......................................................... 376

SIMATIC Safety - Configuration et programmation

SIMATIC Safety - Configuration et programmation

13.9.1 CONVERT : Convertir valeur (STEP 7 Safety V18) ............................................................... 546

SIMATIC Safety - Configuration et programmation

B Liste de contrôle ................................................................................................................................ 611

SIMATIC Safety - Configuration et programmation

Système de sécurité SIMATIC Safety

Exigences de sécurité réalisables

SIMATIC Safety - Configuration et programmation

Sécurité fonctionnelle dans SIMATIC Safety

Exemple de fonction de sécurité utilisateur et de fonction de réaction aux erreurs

SIMATIC Safety - Configuration et programmation

1.2 Constituants matériels et logiciels

Composants matériels et logiciels de SIMATIC Safety

Composants matériels pour PROFIBUS DP

SIMATIC Safety - Configuration et programmation

Composants matériels pour PROFINET IO

SIMATIC Safety - Configuration et programmation

Composants matériels pour la configuration centralisée

La configuration de la CPU F et de la périphérie F ainsi que la programmation des blocs F

SIMATIC Safety - Configuration et programmation

TIA Portal Cloud Connector

SIMATIC Safety - Configuration et programmation

SIMATIC Safety - Configuration et programmation

• SafetyAdministration auquel il est possible d'accéder depuis Plc-DeviceItem.

Installations de système d'exploitation pour S7-150xS(P) F ou WinAC RTX F

Lors de l'utilisation d'un PC avec plusieurs installations de système d'exploitation de