Sistemas Guardlogix

Sistemas controladores GuardLogix
Números de catálogo 1756-L61S, 1756-L62S, 1756-L63S, 1768-L43S,

1768-L45S
Manual de referencia de seguridad
Información importante para el usuario
Los equipos de estado sólido tienen características operativas que difieren de las de los equipos
electromecánicos. El documento Safety Guidelines for the Application, Installation and Maintenance of Solid State
Controls (publicación SGI-1.1 disponible en la oficina local de ventas de Rockwell Automation o en línea en
http://www.rockwellautomation.com/literature/) describe algunas diferencias importantes entre los equipos de estado
sólido y los dispositivos electromecánicos de lógica cableada. Debido a esta diferencia, y también a la gran diversidad de
usos de los equipos de estado sólido, todas las personas responsables de aplicar este equipo deben asegurarse de la
idoneidad de cada una de las aplicaciones concebidas para estos equipos.
Bajo ninguna circunstancia Rockwell Automation, Inc. será responsable por daños indirectos o consecuentes, resultantes
del uso o de la aplicación de estos equipos.
Los ejemplos y los diagramas que aparecen en este manual se incluyen únicamente con fines ilustrativos. Debido a las
muchas variables y a los muchos requisitos asociados con cada instalación en particular, Rockwell Automation, Inc. no
puede asumir responsabilidad alguna por el uso real basado en ejemplos y diagramas.
Rockwell Automation, Inc. no asume ninguna responsabilidad de patente con respecto al uso de información, circuitos,
equipos o software descritos en este manual.
Se prohíbe la reproducción total o parcial del contenido de este manual sin la autorización por escrito de Rockwell
Automation, Inc.
Este manual contiene notas de seguridad en cada circunstancia en que se estimen necesarias.
ADVERTENCIA
Identifica información acerca de prácticas o circunstancias que pueden causar una explosión en un ambiente
peligroso, lo que puede ocasionar lesiones personales o la muerte, daños materiales o pérdidas económicas.
IMPORTANTE Identifica información esencial para usar el producto y comprender su funcionamiento.
ATENCIÓN
Identifica información acerca de prácticas o circunstancias que pueden ocasionar lesiones personales o a la
muerte, daños materiales o pérdidas económicas. Los mensajes de atención ayudan a identificar un peligro, a
evitar un peligro, y a reconocer las consecuencias.
PELIGRO DE CHOQUE
Puede haber etiquetas en el exterior o en el interior del equipo (por ejemplo, en un variador o motor) para
advertir sobre la posible presencia de voltaje peligroso.
PELIGRO DE
QUEMADURA
En el equipo o dentro del mismo puede haber etiquetas (por ejemplo, en un variador o motor) a fin de advertir
sobre superficies que pueden alcanzar temperaturas peligrosas.
Rockwell Automation, Allen-Bradley, TechConnect, ControlLogix, GuardLogix, CompactLogix, CompactBlock Guard I/O, ArmorBlock Guard I/O, Guard I/O, ControlFlash, Logix5000, SLC,
RSLogix 5000, RSNetWorx for EtherNet/IP, RSNetWorx for DeviceNet, RSNetWorx for ControlNet, FactoryTalk Security y RSLinx son marcas comerciales de Rockwell Automation, Inc.
Las marcas comerciales que no pertenecen a Rockwell Automation son propiedad de sus respectivas empresas.
Resumen de cambios
La siguiente información resume los cambios hechos a este

manual desde la última publicación.
Para ayudarle a encontrar información nueva y actualizada en esta

versión del manual, hemos incluido barras de cambio, como las
que se muestran a la derecha de este párrafo.
Este manual incluye ahora los controladores 1768 Compact

GuardLogix y los controladores 1756 GuardLogix. Cuando el
término ’GuardLogix’ se usa solo en este manual, se refiere a los
controladores 1756 y 1768 GuardLogix.
Tema Página
Se añadieron el manual del usuario del controlador 1768 Compact 11
GuardLogix así como las instrucciones de instalación, a la lista de
recursos adicionales
Se añadieron los controladores 1768-L43S y 1768-L45S Compact 17
GuardLogix y las fuentes de alimentación eléctrica 1768 a la lista
de componentes del sistema GuardLogix
Se añadieron las tarjetas 1784-CF64 y 1784-CF128 CompactFlash 17
a la lista de componentes del sistema GuardLogix
Se añadió el adaptador 1734-AENT POINT I/O Ethernet a la lista 18
de componentes apropiados para uso con un sistema GuardLogix
Hardware del controlador 1768-L43S y 1768-L45S Compact 27
GuardLogix
Información sobre cumplimiento de la norma EN50156 con 47
entradas SIL 2 1756 ControlLogix
Almacenamiento y carga de un proyecto desde la memoria no 67
volátil
Uso de las instrucciones Add-On de seguridad 91
Datos de probabilidad de fallo a demanda (PFD) y probabilidad de 111 y 112
fallo por hora (PFH) para los controladores 1768-L43S y 1768-L45S
Datos de probabilidad de fallo a demanda (PFD) para intervalos de 112
prueba de calidad de 20 años
Terminología actualizada para distinguir entre la firma de tarea de En todo el
seguridad, la firma de instrucción y las firmas de instrucción de documento
seguridad
3Publicación 1756-RM093F-ES-P – Enero 2010 3

Resumen de cambios
4 Publicación 1756-RM093F-ES-P – Enero 2010

Tabla de contenido
Prefacio
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Acerca de esta publicación . . . . . . . . . . . . . . . . . . . . . . . 9
Quién debe utilizar esta publicación . . . . . . . . . . . . . . . . 9
Comprensión de la terminología . . . . . . . . . . . . . . . . . . 10
Recursos adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Capítulo 1
Concepto de nivel de integridad de Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
seguridad (SIL) Certificación SIL 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Pruebas de verificación de funcionamiento . . . . . . . . . . 14
Arquitectura GuardLogix para aplicaciones SIL 3 . . . . . . 15
Componentes del sistema GuardLogix . . . . . . . . . . . . . . 17
Certificaciones de GuardLogix . . . . . . . . . . . . . . . . . . . 19
Especificaciones PFD y PFH de GuardLogix . . . . . . . . . . 20
Distribución y peso de conformidad con el nivel
de integridad de seguridad (SIL) . . . . . . . . . . . . . . . . . . 21
Tiempo de reacción del sistema. . . . . . . . . . . . . . . . . . . 22
Tiempo de reacción de la tarea de seguridad . . . . . . 22
Período de la tarea de seguridad y temporizador de
control (watchdog) de tarea de seguridad . . . . . . . . . 22
Información de contacto si se produce un fallo en el
dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Capítulo 2
Sistema controlador GuardLogix Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Hardware del controlador 1756 GuardLogix . . . . . . . . . . 25
Controlador primario . . . . . . . . . . . . . . . . . . . . . . . . 26
Homólogo de seguridad. . . . . . . . . . . . . . . . . . . . . . 26
Chasis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Fuentes de alimentación eléctrica . . . . . . . . . . . . . . . 27
Hardware del controlador 1768 Compact GuardLogix . . . 27
Protocolo CIP Safety . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Safety I/O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Puentes de comunicación . . . . . . . . . . . . . . . . . . . . . . . 28
Descripción general de la programación . . . . . . . . . . . . 30
Capítulo 3
CIP Safety I/O para el sistema de Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
control GuardLogix Descripción general . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Funciones de seguridad típicas de los módulos
CIP Safety I/O. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Diagnósticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Datos de estado. . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Indicadores de estado . . . . . . . . . . . . . . . . . . . . . . . 32
Función de retardo a la conexión o
a la desconexión . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Tiempo de reacción . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Consideraciones de seguridad en torno a
los módulos CIP Safety I/O . . . . . . . . . . . . . . . . . . . . . . 33
Publicación 1756-RM093F-ES-P – Enero 2010 5

Tabla de contenido
Propiedad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Firma de configuración de Safety I/O . . . . . . . . . . . . 33
Reemplazo de módulos de E/S . . . . . . . . . . . . . . . . . 34
Capítulo 4
CIP Safety y el número de red de Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
seguridad El sistema de control CIP Safety encaminable . . . . . . . . . 37
Referencia de nodo único . . . . . . . . . . . . . . . . . . . . 38
Número de red de seguridad . . . . . . . . . . . . . . . . . . 38
Consideraciones para la asignación del número
de red de seguridad (SNN) . . . . . . . . . . . . . . . . . . . . . . 40
Número de red de seguridad (SNN) para tags
de seguridad consumidos. . . . . . . . . . . . . . . . . . . . . 40
Número de red de seguridad (SNN)
para módulos tal como vienen de fábrica . . . . . . . . . 40
para módulo de seguridad con un propietario de
configuración diferente . . . . . . . . . . . . . . . . . . . . . . 40
Número de red de seguridad (SNN) al copiar
un proyecto de seguridad. . . . . . . . . . . . . . . . . . . . . 41
Capítulo 5
Características de tags de Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
seguridad, tarea de seguridad y Diferenciar entre estándar y de seguridad . . . . . . . . . . . 43
programas de seguridad Aplicaciones de seguridad SIL 2. . . . . . . . . . . . . . . . . . . 44
Control de seguridad SIL 2 en la tarea de seguridad . 44
Control de seguridad SIL 2 en tareas estándar
(controladores 1756 GuardLogix solamente) . . . . . . . 47
Cumplimiento de la norma EN50156 con entradas de
seguridad SIL 2 de 1756 ControlLogix en
configuraciones de doble canal con controladores
1756 GuardLogix . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Seguridad SIL3 – la tarea de seguridad . . . . . . . . . . . . . . 50
Limitaciones de la tarea de seguridad . . . . . . . . . . . . 51
Detalles de ejecución de la tarea de seguridad . . . . . 51
Programas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . 53
Rutinas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Tags de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Tags estándar en rutinas de seguridad
(asignación de tags) . . . . . . . . . . . . . . . . . . . . . . . . . 55
Capítulo 6
Desarrollo de la aplicación de Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
seguridad Suposiciones sobre el concepto de seguridad. . . . . . . . . 57
Nociones básicas para el desarrollo y prueba
de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Proceso para la puesta en servicio . . . . . . . . . . . . . . . . . 59
Especificación de la función de control. . . . . . . . . . . 59

Tabla de contenido
Crear el proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Probar el programa de aplicación . . . . . . . . . . . . . . . 61
Generar la firma de tarea de seguridad . . . . . . . . . . . 62
Prueba de verificación de proyecto. . . . . . . . . . . . . . 62
Confirmar el proyecto . . . . . . . . . . . . . . . . . . . . . . . 63
Validación de seguridad . . . . . . . . . . . . . . . . . . . . . . 65
Bloquear el controlador GuardLogix . . . . . . . . . . . . . 65
Descarga del programa de aplicación de seguridad . . . . 66
Carga del programa de aplicación de seguridad . . . . . . . 66
Edición en línea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Almacenamiento y carga de un proyecto desde
la memoria no volátil . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Forzar los datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Inhibir un módulo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Edición de la aplicación de seguridad . . . . . . . . . . . . . . 69
Realización de ediciones fuera de línea. . . . . . . . . . . 69
Realización de ediciones en línea . . . . . . . . . . . . . . . 70
Edite el proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Capítulo 7
Monitoreo de estado y manejo de Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
fallos Monitoreo del estado del sistema. . . . . . . . . . . . . . . . . . 73
Datos de CONNECTION_STATUS. . . . . . . . . . . . . . . 73
Condicionamiento de las líneas de entrada y salida . . 74
Estado de conexión de módulo de E/S . . . . . . . . . . . 74
Sistema de desenergizar para disparar. . . . . . . . . . . . 75
Use los datos de estado de conexión para iniciar
un fallo mediante la lógica del programa . . . . . . . . . 75
Instrucciones GSV (obtener valor del sistema)
y SSV (establecer valor del sistema) . . . . . . . . . . . . . 80
Fallos del sistema GuardLogix . . . . . . . . . . . . . . . . . . . . 81
Fallos de controlador no recuperables . . . . . . . . . . . 82
Fallos de seguridad no recuperables . . . . . . . . . . . . . 82
Fallos recuperables . . . . . . . . . . . . . . . . . . . . . . . . . 83
Apéndice A
Instrucciones de seguridad Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Instrucciones de aplicaciones de seguridad . . . . . . . . . . 85
Instrucciones de aplicaciones de seguridad,
formato metálico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Instrucciones de seguridad . . . . . . . . . . . . . . . . . . . . . . 88
Apéndice B
Instrucciones Add-On de Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
seguridad Creación y uso de una instrucción Add-On
de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Crear proyecto de prueba de instrucción Add-On . . . 93
Crear una instrucción Add-On de seguridad . . . . . . . 93

Tabla de contenido
Generar firma de instrucción . . . . . . . . . . . . . . . . . . 93

Descargar y generar firma de instrucción
de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Prueba de calificación de instrucción Add-On SIL 3. . 94
Confirmar el proyecto . . . . . . . . . . . . . . . . . . . . . . . 94
Validar la seguridad de instrucciones Add-On . . . . . . 95
Crear entrada de historial de firmas . . . . . . . . . . . . . 95
Exportar e importar la instrucción Add-On
de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Verificar firmas de instrucción Add-On
de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Probar el programa de aplicación . . . . . . . . . . . . . . . 96
Prueba de verificación de proyecto. . . . . . . . . . . . . . 96
Validar la seguridad del proyecto . . . . . . . . . . . . . . . 96
Apéndice C
Tiempos de reacción Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Tiempo de reacción del sistema. . . . . . . . . . . . . . . . . . . 99
Tiempo de reacción del sistema Logix . . . . . . . . . . . . . . 99
Cadena sencilla de entrada-lógica-salida . . . . . . . . . 100
Cadena lógica que utiliza tags de seguridad
producidos/consumidos . . . . . . . . . . . . . . . . . . . . . 101
Factores que afectan los componentes
del tiempo de reacción del sistema Logix . . . . . . . . 102
Recursos adicionales . . . . . . . . . . . . . . . . . . . . . . . 103
Apéndice D
Listas de verificación para Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
aplicaciones de seguridad Listas de verificación para el sistema controlador
GuardLogix GuardLogix. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Lista de verificación para entradas de seguridad . . . . . . 107
Lista de verificación para salidas de seguridad . . . . . . . 108
Lista de verificación para el desarrollo de
un programa de aplicación de seguridad . . . . . . . . . . . 109
Apéndice E
Datos de probabilidad de fallo a Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
demanda (PFD) y probabilidad de Datos de seguridad del controlador
fallo por hora (PFH) GuardLogix y de Guard I/O . . . . . . . . . . . . . . . . . . . . 111
Valores de probabilidad de fallo a demanda (PFD). . . . 112
Valores de probabilidad de fallo por hora (PFH) . . . . . 112
Índice

Prefacio
Introducción
Tema Página
Acerca de esta publicación 9
Quién debe utilizar esta publicación 9
Comprensión de la terminología 10
Recursos adicionales 11
Acerca de esta publicación Este manual fue concebido para describir el sistema controlador
GuardLogix, que es de un tipo aprobado y está certificado para
uso en aplicaciones de seguridad hasta el nivel SIL 3 según
IEC 61508 e IEC 62061, y aplicaciones de seguridad hasta el nivel
de rendimiento PLe (Categoría 4) según ISO 13849-1.
Esta publicación cubre los sistemas controladores 1756 y 1768

GuardLogix. Cuando el término ’controladores GuardLogix’ se usa
solo en esta publicación, se refiere a los controladores 1756 y 1768
GuardLogix. La información específica de un controlador incluirá
el número de boletín, 1756 ó 1768.
Quién debe utilizar esta Use este manual si usted es responsable del desarrollo, de la
operación o del mantenimiento de un sistema de seguridad
publicación basado en un controlador GuardLogix. Es necesario que lea y
comprenda los conceptos y los requisitos de seguridad
presentados en este manual, antes de operar un sistema de
seguridad basado en un controlador GuardLogix.

Prefacio
Comprensión de la En la tabla siguiente se definen los términos utilizados en este

manual.
terminología
Términos y definiciones
Abreviatura Significado Definición

1oo2 One Out of Two (uno de dos) Identifica la arquitectura del controlador electrónico programable.
CIP Common Industrial Protocol Protocolo de comunicación diseñado para aplicaciones industriales de
(protocolo industrial común) automatización.
CIP Safety Common Industrial Protocol Versión de CIP con clasificación SIL 3
(Protocolo industrial común) –
Certificado de seguridad
DC Diagnostic Coverage (cobertura Relación entre la tasa de fallos detectada y la tasa total de fallos.
de diagnóstico)
EN European Norm. (normativa Estándar oficial europeo
europea)
GSV Get System Value (obtener Una instrucción de lógica de escalera que obtiene información sobre el estado
valor del sistema) del controlador especificado y la pone en un tag de destino.
PC Personal Computer Computadora utilizada para servir de interface y controlar un sistema basado
(computadora personal) en Logix mediante el software de programación RSLogix 5000.
PFD Probability of Failure on Probabilidad media de que un sistema falle al realizar bajo demanda la función
Demand (probabilidad de fallo a para la que está diseñado.
demanda)
PFH Probability of Failure per Hour Probabilidad de un sistema de experimentar un fallo peligroso por hora.
(probabilidad de fallo por hora)
PL Performance Level (nivel de Clasificación de seguridad ISO 13849-1.
rendimiento)
SNN Safety Network Number Número único que identifica una sección de una red de seguridad.
(número de red de seguridad)
SSV Set System Value (definir valor Instrucción de lógica de escalera que define los datos del sistema controlador.
del sistema)
-- Estándar Cualquier objeto, tarea, tag, programa o componente del proyecto que no está
relacionado con la seguridad (por ej., un controlador estándar se refiere de
manera genérica a un controlador ControlLogix o CompactLogix).

Prefacio
Recursos adicionales La siguiente tabla presenta una lista de las publicaciones que
contienen información importante acerca de los sistemas
controladores GuardLogix.
Recurso Descripción
GuardLogix Controller Installation Instructions, publicación Proporciona información acerca de cómo instalar el controlador
1756-IN045 GuardLogix.
GuardLogix Controllers User Manual, publicación 1756-UM020 Configuración y programación del sistema GuardLogix
CompactLogix Controllers Installation Instructions, publicación Proporciona información acerca de cómo instalar los controladores
1768-IN004 Compact GuardLogix
1768 Compact GuardLogix Controllers User Manual, Detalla cómo configurar, programar y operar un sistema 1768
publicación 1768-UM002 CompactLogix y proporciona especificaciones técnicas.
GuardLogix Safety Application Instruction Set Reference Proporciona información acerca del conjunto de instrucciones de
Manual, publicación 1756-RM095 aplicaciones de seguridad GuardLogix.
CompactBlock Guard I/O DeviceNet Safety Module Installation Proporciona información sobre cómo instalar los módulos
Instructions, publicación 1791DS-IN002 CompactBlock Guard I/O DeviceNet Safety
Guard I/O DeviceNet Safety Modules User Manual, publicación Proporciona información sobre cómo usar los módulos Guard I/O
1791DS-UM001 DeviceNet Safety
Guard I/O EtherNet/IP Safety Modules Installation Instructions, Proporciona información sobre cómo instalar los módulos
publicación 1791ES-IN001 CompactBlock Guard I/O EtherNet/IP Safety
Guard I/O EtherNet/IP Safety Modules User Manual, Proporciona información sobre cómo usar los módulos Guard I/O
publicación 1791ES-UM001 EtherNet/IP Safety
Using ControlLogix in SIL2 Applications Safety Reference Describe los requisitos para usar los controladores ControlLogix y la
Manual, publicación 1756-RM001 tarea estándar GuardLogix en aplicaciones de control de seguridad
SIL 2.
Logix5000 General Instruction Set Reference Manual, Proporciona información acerca del conjunto de instrucciones de
publicación 1756-RM003 Logix5000.
Logix Common Procedures Programming Manual, publicación Proporciona información sobre cómo programar los controladores
1756-PM001 Logix5000, incluida la administración de archivos de proyecto,
organización de tags, programación y prueba de rutinas, y manejo de
fallos.
Logix5000 Controllers Add-On Instructions Programming Proporciona información sobre cómo crear y usar instrucciones
Manual, publicación 1756-PM010 Add-On estándar y de seguridad en aplicaciones Logix.
ControlLogix System User Manual, publicación 1756-UM001 Proporciona información sobre cómo usar ControlLogix en
aplicaciones que no son de seguridad.
DeviceNet Modules in Logix5000 Control Systems User Proporciona información sobre cómo usar el módulo 1756-DNB en un
Manual, publicación DNET-UM004 sistema de control Logix5000.
EtherNet/IP Modules in Logix5000 Control Systems User Proporciona información sobre cómo usar el módulo 1756-ENBT en un
Manual, publicación ENET-UM001 sistema de control Logix5000.
ControlNet Modules in Logix5000 Control Systems User Proporciona información sobre cómo usar el módulo 1756-CNB en
Manual, publicación CNET-UM001 sistemas de control Logix5000.
Logix5000 Controllers Execution Time and Memory Use Proporciona información sobre cómo calcular el tiempo de ejecución y
Reference Manual, publicación 1756-RM087 el uso de memoria para las instrucciones.
Logix Import Export Reference Manual, publicación Proporciona información acerca del uso de la utilidad de
1756-RM084 importación/exportación de RSLogix 5000.
Puede ver o descargar publicaciones en

http://literature.rockwellautomation.com. Para pedir copias
impresas de documentos técnicos, comuníquese con el
distribuidor o con el representante de ventas local de Rockwell
Automation.

Prefacio
Notas:

Capítulo 1
Concepto de nivel de integridad de

seguridad (SIL)
Introducción Este capítulo presenta el concepto de nivel de integridad de

seguridad (SIL) y describe cómo el controlador GuardLogix
cumple con los requisitos para la certificación SIL 3.
Tema Página
Certificación SIL 3 13
Pruebas de verificación de funcionamiento 14
Arquitectura GuardLogix para aplicaciones SIL 3 15
Componentes del sistema GuardLogix 17
Certificaciones de GuardLogix 19
Especificaciones PFD y PFH de GuardLogix 20
Distribución y peso de conformidad con el nivel de integridad de 21
seguridad (SIL)
Tiempo de reacción del sistema 22
Período de la tarea de seguridad y temporizador de control 22
(watchdog) de tarea de seguridad
Información de contacto si se produce un fallo en el dispositivo 23
Certificación SIL 3 Los sistemas de controlador 1756 y 1768 GuardLogix cuentan con
aprobación de tipo y están certificados para uso en aplicaciones
de seguridad hasta el nivel SIL 3 según IEC 61508 e IEC 62061, y
aplicaciones de seguridad hasta el nivel de rendimiento PLe
(Categoría 4) según ISO 13849-1. Los requisitos de nivel de
integridad de seguridad (SIL) se basan en los estándares vigentes
al momento de la certificación.
IMPORTANTE Cuando el controlador GuardLogix está en modo de marcha

o de programación, y el usuario no ha validado la
aplicación, el usuario es responsable de mantener las
condiciones de seguridad.
Además, las tareas estándar dentro de los controladores 1756

GuardLogix pueden usarse para aplicaciones estándar o para
aplicaciones de seguridad SIL2, como se describe en el
documento Using ControlLogix in SIL 2 Applications Reference
Manual, publicación 1756-RM001. En cualquier caso, no use SIL2 o
tareas estándar y variables para crear lazos de seguridad de un
nivel superior. La tarea de seguridad es la única tarea certificada
para aplicaciones SIL3.
La tarea estándar en los controladores 1768 Compact GuardLogix

no debe usarse en aplicaciones de seguridad SIL 2.

Capítulo 1 Concepto de nivel de integridad de seguridad (SIL)
El software de programación RSLogix 5000 se requiere para crear

programas para los controladores 1756 y 1768 GuardLogix.
TÜV Rheinland ha aprobado los sistemas controladores

GuardLogix para uso en aplicaciones relacionadas con la
seguridad hasta SIL 3, en las que el estado desenergizado se
considera el estado seguro. Todos los ejemplos relacionados con
E/S que se incluyen en este manual se basan en la consecución de
la desenergización como estado seguro para sistemas típicos de
desactivación de emergencia (ESD) y seguridad de máquinas.
El usuario del sistema es responsable de:

IMPORTANTE
• la configuración, la clasificación SIL y la validación de
cualquier sensor o accionador conectado al sistema
GuardLogix;
• la administración del proyecto y las pruebas de
funcionamiento;
• el control de acceso al sistema de seguridad, incluido el
manejo de contraseñas;
• programar el software de aplicación y las configuraciones de
los dispositivos según la información descrita en este manual
de referencia de seguridad y en el documento GuardLogix
Controllers User Manual, publicación 1756-UM020, o en el
documento 1768 Compact GuardLogix Controllers User
Manual, publicación 1768-UM002.
Al aplicar la seguridad de funcionamiento, restrinja el acceso a

personal calificado y autorizado que cuente con la debida
formación y experiencia. La función de bloqueo de seguridad, con
contraseñas, se proporciona en el software RSLogix 5000.
Para obtener información sobre cómo usar la función de bloqueo

de seguridad, consulte el documento GuardLogix Controllers User
Manual, publicación 1756-UM020 o el documento 1768 Compact
GuardLogix Controllers User Manual, publicación 1768-UM002.
Pruebas de verificación de La norma IEC 61508 estipula que el usuario debe realizar varias
pruebas de verificación de funcionamiento del equipo utilizado en
funcionamiento el sistema. Las pruebas de verificación de funcionamiento se
realizan en momentos definidos por el usuario. Por ejemplo, los
intervalos de la prueba de verificación de funcionamiento pueden
ser una vez al año, una vez cada 15 años o cualquier otro
intervalo adecuado.
Los controladores GuardLogix tienen un intervalo de prueba de

verificación de funcionamiento de hasta 20 años. Otros
componentes del sistema, como módulos Safety I/O, sensores y
accionadores, pueden tener intervalos de prueba de verificación
de funcionamiento más frecuentes. El controlador debe incluirse

Concepto de nivel de integridad de seguridad (SIL) Capítulo 1
en la prueba de verificación de funcionamiento de los otros

componentes del sistema de seguridad.
IMPORTANTE Sus aplicaciones específicas determinan el intervalo de

prueba de la verificación de funcionamiento. No obstante,
esto está principalmente relacionado con los módulos
Safety I/O y con la instrumentación de campo.
Para obtener más información sobre los requisitos de una prueba

de verificación de funcionamiento, vea Prueba de verificación de
proyecto en las página 62 y 63.
Arquitectura GuardLogix La siguiente ilustración muestra una función SIL típica que incluye:
para aplicaciones SIL 3 • la función general de seguridad;
• la parte GuardLogix de la función general de seguridad;
• cómo otros dispositivos (por ejemplo, la HMI) están
conectados, mientras operan fuera de la función.

Función SIL típica
Software de programación HMI

A Ethernet a nivel de Acceso de sólo lectura a los tags de seguridad
toda la planta
Conmutador
Función general de seguridad
Sistema GuardLogix SIL 3
Módulo CIP
Safety I/O
1756-ENBT
Accionador
1756-L6xS
1756-DNB
1756-LSP
Red DeviceNet Sensor

Safety
Módulo CIP
Módulo CIP Safety I/O en red Safety I/O
Ethernet
Accionador
Sensor
CIP Safety
Módulo CIP Safety I/O en

red Ethernet
Accionador
Controlador Compact GuardLogix con módulo
1768-ENBT Sensor
Sistema Compact GuardLogix SIL 3

Componentes del sistema Las tablas proporcionadas en esta sección listan los componentes
GuardLogix con certificación SIL 3 para los sistemas 1756 y 1768,
GuardLogix así como los componentes sin certificación SIL 3 que pueden
usarse con sistemas GuardLogix SIL 3.
Para obtener la lista más actualizada de series y revisiones de

firmware certificadas de controladores GuardLogix y módulos CIP
Safety I/O, visite http://www.rockwellautomation.com/products/
certification/safety/. Las revisiones de firmware están disponibles
en http://support.rockwellautomation.com/ControlFlash/.
Componentes GuardLogix con certificación SIL 3
Documentación
relacionada(1)
Instrucciones Manual del
Tipo de dispositivo N° de cat. Descripción de instalación usuario
1756-L61S Controlador con memoria estándar de 2 MB, memoria
de seguridad de 1 MB
Controlador primario 1756 1756-L62S Controlador con memoria estándar de 4 MB, memoria
(ControlLogix556xS) de seguridad de 1 MB
1756-IN045 1756-UM020
1756-L63S Controlador con memoria estándar de 8 MB, memoria
de seguridad de 3.75 MB
Homólogo de seguridad 1756 1756-LSP Homólogo de seguridad
(ControlLogix55SP)
Controlador 1768 Compact 1768-L43S Controlador con cabida para dos módulos 1768 1768-IN004 1768-UM002
GuardLogix 1768-L45S Controlador con cabida para cuatro módulos 1768
(CompactLogix4xS)
1791DS-IN001
Módulos CIP Safety I/O en
Para obtener la lista más actualizada de series y revisiones de 1791DS-IN002 1791DS-UM001
redes DeviceNet
firmware certificadas, vea el certificado de seguridad en 1732DS-IN001
Módulos CIP Safety I/O en http://www.rockwellautomation.com/products/certification/safety/ 1791ES-IN001 1791ES-UM001
redes EtherNet/IP
(1) Estas publicaciones están disponibles en el sitio web de Rockwell Automation http://literature.rockwellautomation.com.
Componentes adecuados para uso con sistemas de seguridad de controladores 1768 Compact GuardLogix
Documentación relacionada(2)
Tipo de Instrucciones Manual del
dispositivo N° de cat. Descripción Serie(1) Versión(1) de instalación usuario
Fuente de 1768-PA3 Fuente de alimentación eléctrica, CA N/A N/A Ninguno disponible.
alimentación 1768-PB3 Fuente de alimentación eléctrica, CC N/A N/A 1768-IN001
eléctrica
1768-ENBT Módulo puente EtherNet/IP A 3.1.1 1768-IN002 ENET-UM001
Módulos de 1734-AENT Adaptador POINT I/O Ethernet A 3.001 1734-IN590 1734-UM011
comunicación 1734-AENTR Adaptador POINT I/O Ethernet A 3.001 1734-IN040 Ninguno disponible.
1768-CNB Módulo puente ControlNet A 2.1.1 1768-IN006 CNET-UM001
Software de 9324-xxxx Software RSLogix 5000 N/A 18 N/A Consulte la ayuda
programación en línea.
Tarjetas 1784-CF64 Tarjeta CompactFlash de 64 MB N/A N/A N/A N/A
CompactFlash 1784-CF128 Tarjeta CompactFlash de 128 MB N/A N/A N/A N/A
(1) Esta versión o posterior.
(2) Estas publicaciones están disponibles en el sitio web de Rockwell Automation en http://literature.rockwellautomation.com.

Componentes adecuados para uso con sistemas de seguridad de controladores 1756 GuardLogix
Documentación relacionada(4)
Tipo de Instrucciones
Manual del usuario
dispositivo N° de cat. Descripción Serie(2) Versión(2) de instalación
1756-A4, A7, Chasis B N/A 1756-IN080
Chasis
A10, A13, A17
1756-PA72 Fuente de alimentación C N/A
eléctrica, CA
1756-PB72 Fuente de alimentación C N/A
eléctrica, CC
1756-IN596
1756-PA75 Fuente de alimentación B N/A
Fuente de Ninguno disponible.
eléctrica, CA
alimentación
eléctrica 1756-PB75 Fuente de alimentación B N/A
eléctrica, CC
1756-PA75R(1) Fuente de alimentación A N/A 1756-IN573
eléctrica redundante, CA
1756-PB75R Fuente de alimentación A N/A
eléctrica redundante, CC
1756-ENBT Módulo puente EtherNet/IP A 3.6 1756-IN019 ENET-UM001
1756-EN2T A 2.005 1756-IN603
1756-EN2F A 2.005 1756-IN606
Módulos de 1734-AENT Adaptador POINT I/O Ethernet A 3.001 1734-IN590 1734-UM011
comunicación 1756-DNB Módulo puente DeviceNet A 6.2 1756-IN566 DNET-UM004
1756-CN2 Módulo puente ControlNet A 12.1 1756-IN602 CNET-UM001
1756-CN2R Módulo puente ControlNet, A 12.1 1756-IN602 CNET-UM001
medio físico redundante
Software de 9324-xxxx Software RSLogix 5000 N/A 14(3) NA Consulte la ayuda en
programación línea.
Tarjetas 1784-CF64 Tarjeta CompactFlash de N/A N/A N/A N/A
CompactFlash 64 MB
1784-CF128 Tarjeta CompactFlash de N/A N/A N/A N/A
128 MB
(1) Se necesita un adaptador de chasis para fuente de alimentación redundante 1756-PSCA o 1756-PSCAR para uso con las fuentes de alimentación eléctrica
redundantes.
(2) Esta versión o posterior.
(3) El software RSLogix 5000, versión 15, no es compatible con los controladores de seguridad GuardLogix.
(4) Estas publicaciones están disponibles en el sitio web de Rockwell Automation en http://literature.rockwellautomation.com.
Las ranuras del chasis de un sistema SIL 3 que no se utilizan en el

sistema 1753 SIL 3 se pueden ocupar con otros módulos
ControlLogix (1756) certificados según las directivas de bajo
voltaje y de compatibilidad electromagnética (EMC).
Las ranuras de expansión de un bus de sistema SIL 3 que no se

utilizan en el sistema 1768 SIL 3 se pueden ocupar con otros
módulos CompactLogix (1768) certificados según las directivas de
bajo voltaje y de compatibilidad electromagnética (EMC).
Para encontrar los certificados para el ’Control programable –

Familia de productos ControlLogix’ y ’Control programable –
Familia de productos CompactLogix’, visite
http://www.rockwellautomation.com/products/certification/ce/.

Certificaciones de Esta tabla lista las principales certificaciones de GuardLogix. Para

obtener la lista completa de las certificaciones de seguridad
GuardLogix actuales y productos asociados, visite
http://www.rockwellautomation.com/products/certification/safety/
index.html.
ISO 13849-1:2006 (PLe)
IEC 61508 (SIL 3)

ANSI RIA 15.06
Número de catálogo
IEC 61511
IEC62061
NFPA 79
UL 1998
UL 508
1756-L61S,1756-L62S,
X X X X X X X X
1756-L63S
1768-L43S, 1768-L45S X X X X X X X X
La documentación del usuario de GuardLogix normalmente indica

las certificaciones obtenidas para los productos. Si un producto ha
sido certificado, su etiqueta incluye el distintivo correspondiente.
La certificación de un producto aparece en la tabla de
especificaciones del producto, de manera similar al ejemplo
mostrado a continuación.
Certificación Descripción
Seguridad de Certificación de TÜV: capacidad SIL 1 a 3, según IEC 61508 y
funciona- PLe/Cat. 4 según ISO 13849-1
miento(1) Certificación UL: capacidad SIL 3; vea el archivo UL E256621.
c-UL-us Equipo de control industrial en lista de UL y certificado para los
EE.UU. y Canadá. Vea el archivo UL E65584.
En lista de UL para lugares peligrosos Clase I, División 2, Grupos A,

B, C, D, certificado para los EE.UU. y Canadá. Vea el archivo UL
E194810.
CSA Equipo de control de procesos certificado por CSA. Vea el archivo
CSA LR54689C.
Equipo de control de procesos certificado por CSA para lugares

peligrosos Clase I, División 2, Grupos A, B, C, D
FM Equipo aprobado por FM para uso en lugares peligrosos Clase I,
División 2, Grupos A, B, C, D
CE Directiva 2004/108/EC EMC de la Unión Europea, compatible con:
• EN 61000-6-4; Emisiones industriales
• EN 61326-1; Medición/control/laboratorio, requisitos
industriales
• EN 61000-6-2; Inmunidad industrial
• EN61131-2; Controladores programables
(cláusula 8, zonas A y B)
C-Tick Ley australiana de radiocomunicaciones, conforme la normativa
AS/NZS CISPR 11; Emisiones industriales
(1) Cuando se usa con las versiones de software especificadas y como se describe en el documento
GuardLogix Controller Systems Safety Reference Manual, publicación 1756-RM093.

Vaya al vínculo Product Certification en

http://www.rockwellautomation.com/products/certification/ para
obtener información sobre las declaraciones de conformidad,
certificados y otros detalles de certificación.
Especificaciones PFD y Los sistemas relacionados con la seguridad pueden clasificarse en

cuanto a su operación en sistemas que funcionan en modo de
PFH de GuardLogix baja demanda y los que funcionan en modo de alta demanda o
continuo. IEC 61508 cuantifica esta clasificación al establecer que
la frecuencia de demandas de operación del sistema de seguridad
no sea superior a una vez al año en el modo de baja demanda, ni
superior a una vez al año en el modo de alta demanda o continuo.
El valor de nivel de integridad de seguridad (SIL) para un sistema

relacionado con la seguridad de baja demanda está directamente
relacionado con los rangos de orden de magnitud de su
probabilidad media de fallos para realizar satisfactoriamente su
función de seguridad a demanda o, sencillamente, la probabilidad
de fallo a demanda (PFD). El valor SIL de un sistema de seguridad
en modo de alta demanda/continuo está directamente relacionado
con la probabilidad de que ocurra un fallo peligroso por hora
(PFH).
Los valores PFD y PFH están asociados con cada uno de los tres
elementos primarios que conforman un sistema relacionado con la
seguridad (sensores, elementos lógicos y accionadores). Dentro de
los elementos lógicos, también hay elementos de entrada,
procesadores y de salida.
Para obtener los valores PFD y PFH y los intervalos de prueba (de
calidad) para verificación de funcionamiento de los módulos CIP
Safety I/O, consulte el Apéndice E, Datos de probabilidad de fallo
a demanda (PFD) y probabilidad de fallo por hora (PFH).
Ejemplo de PFH
1791DS-IB12
Sensor Controlador GuardLogix
1791DS-IB4XOX4
LAZO 1
Accionador
Accionador
LAZO 2
Sensor
Sensor
1791DS-IB8XOB8

Para determinar el elemento lógico PFH de cada lazo de seguridad

en el sencillo sistema mostrado en el ejemplo de PFH, sume los
valores de PFH de cada componente del lazo. La tabla Ecuaciones
de PFH por lazo de seguridad proporciona un ejemplo
simplificado de cálculos del valor PFH para cada lazo de
seguridad mostrado en la ilustración del ejemplo de PFH.
Ecuaciones de PFH por lazo de seguridad
Para este lazo Sume los valores PFH de estos componentes

PFH total por lazo 1 = 1791DS-IB12 + controlador GuardLogix + 1791DS-IB4XOX4
PFH total por lazo 2 = 1791DS-IB8XOB8 + controlador GuardLogix + 1791DS-IB4XOX4
Al calcular los valores de PFH debe tener en cuenta los requisitos

específicos de su aplicación, incluidos los intervalos de prueba.
Distribución y peso de Se puede suponer conservadoramente que el controlador

GuardLogix y el sistema de E/S contribuyen en un 10% a la
conformidad con el nivel de pérdida de confiabilidad. Es posible que un sistema SIL 3 necesite
integridad de seguridad incorporar varias entradas para sensores críticos y dispositivos de
(SIL) entrada, así como salidas dobles conectadas en serie a
accionadores dobles, dependiendo de las evaluaciones SIL del
sistema relacionado con la seguridad.
Pérdida de confiabilidad
+V
10% del PFD
40% del PFD Sensor

Accionador
Controlador Módulo
Módulo
de de
entrada salida
Sensor Accionador
50% del PFD

Tiempo de reacción del El tiempo de reacción del sistema es la cantidad de tiempo

transcurrido desde la ocurrencia de un evento de seguridad, como
sistema una entrada al sistema, hasta que el sistema establece las salidas
correspondientes a su estado seguro. Los fallos dentro del sistema
también pueden afectar el tiempo de reacción del sistema. El
tiempo de reacción del sistema es la suma de los siguientes
tiempos de reacción:
Tiempo de Tiempo de Tiempo Tiempo de Tiempo
reacción reacción de reacción de reacción de reacción
del sensor la entrada tarea seg. la salida accion.
Cada uno de los tiempos antes mencionados varía debido a

factores como, por ejemplo, el tipo de módulo de E/S y las
instrucciones utilizadas en el programa.
Tiempo de reacción de la tarea de seguridad
El tiempo de reacción de la tarea de seguridad es el mayor retardo

que puede producirse entre el momento en que se presenta
cualquier cambio a la entrada del controlador y el momento en
que la salida procesada queda establecida por el productor de
salida. Es menor o igual que la suma del período de la tarea de
seguridad y el temporizador de control (watchdog) de tarea de
seguridad.
Período de la tarea de seguridad y temporizador de control

(watchdog) de tarea de seguridad
El período de la tarea de seguridad es el intervalo con que se

ejecuta la tarea de seguridad.
El tiempo del temporizador de control (watchdog) de tarea de

seguridad es el mayor tiempo permisible para el procesamiento de
la tarea de seguridad. Si el tiempo de procesamiento de la tarea de
seguridad supera el tiempo del temporizador de control
(watchdog) de tarea de seguridad, se presenta un fallo de
seguridad no recuperable en el controlador y las salidas cambian
automáticamente al estado seguro (desconectado).
Usted define el tiempo del temporizador de control (watchdog) de

tarea de seguridad, el cual debe ser menor o igual que el período
de la tarea de seguridad.
El tiempo del temporizador de control (watchdog) de tarea de

seguridad se establece en la ventana de propiedades de tareas del
software RSLogix 5000. Este valor se puede modificar en línea,
independientemente del modo del controlador, pero no se puede
cambiar cuando el controlador esté en bloqueo de seguridad o
una vez que se haya creado una firma de tarea de seguridad.

Información de contacto si Si experimenta un fallo en algún dispositivo con certificación

SIL 3, póngase en contacto con el distribuidor local de Rockwell
se produce un fallo en el Automation. Mediante este contacto, podrá hacer lo siguiente:
dispositivo
• devolver el dispositivo a Rockwell Automation para que el
fallo quede registrado adecuadamente para el número de
catálogo afectado y se guarde un informe del fallo;
• solicitar un análisis del fallo (si fuera necesario) para intentar

determinar el motivo del fallo.


Capítulo 2
Sistema controlador GuardLogix
Introducción
Tema Página
Hardware del controlador 1756 GuardLogix 25
Hardware del controlador 1768 Compact GuardLogix 27
Protocolo CIP Safety 27
Safety I/O 28
Puentes de comunicación 28
Descripción general de la programación 30
Para consultar una breve lista de los componentes adecuados para

uso en aplicaciones con nivel de integridad de seguridad (SIL 3),
vea la tabla en la página 17. Para obtener información más
detallada y actualizada, visite
http://www.rockwellautomation.com/products/certification/safety/
Al instalar un controlador GuardLogix, siga la información descrita

en el documento GuardLogix Controllers Installation Instructions,
publicación 1756-IN045, o en el documento CompactLogix
Controllers Installation Instructions, publicación 1768-IN004.
Hardware del controlador El controlador 1756 GuardLogix consta de un controlador

primario, número de catálogo 1756-L61S, 1756-L62S o 1756-L63S, y
1756 GuardLogix un homólogo de seguridad, número de catálogo 1756-LSP. Estos
dos módulos trabajan en una arquitectura 1oo2 para crear el
controlador con capacidad SIL 3. Dichos módulos se describen en
las siguientes secciones.
Tanto el controlador primario como el homólogo de seguridad

realizan pruebas diagnósticas de funcionamiento, tanto al
momento del encendido como durante la ejecución, de todos los
componentes del controlador relacionados con la seguridad.
Además, ambos cuentan con indicadores de estado. Para obtener

detalles acerca de la operación de los indicadores de estado,
consulte el documento GuardLogix Controllers User Manual,
publicación 1756-UM020.

Capítulo 2 Sistema controlador GuardLogix
IMPORTANTE Los indicadores de estado no son indicadores confiables de

las funciones de seguridad. Deben utilizarse sólo realizar
hacer diagnósticos generales durante la puesta en servicio
o la resolución de problemas. No intente utilizar los
indicadores de estado para determinar el estado de
operación.
Controlador primario
El controlador primario es el procesador que realiza funciones

estándar y de control de seguridad, y que se comunica con el
homólogo de seguridad para las funciones relacionadas con la
seguridad del sistema de control GuardLogix. El controlador
primario consta de un procesador central, la interface de E/S y la
memoria.
Homólogo de seguridad
Con el fin de cumplir los requisitos de SIL 3, es necesario instalar

un homólogo de seguridad, número de catálogo 1756-LSP, en la
ranura situada inmediatamente a la derecha del controlador
primario. El homólogo de seguridad es un coprocesador que
proporciona redundancia para las funciones relacionadas con la
seguridad del sistema.
El homólogo de seguridad es configurado por el controlador

primario. Sólo es necesaria una simple descarga del programa de
usuario al controlador primario. El modo de operación del
homólogo de seguridad se controla mediante el controlador
primario.
Chasis
El chasis 1756-Axx proporciona las conexiones físicas entre los

módulos y el sistema 1756 GuardLogix. Cualquier fallo, aunque
improbable, sería detectado como fallo por uno o más de los
componentes activos del sistema. Por tanto, el chasis es irrelevante
para el análisis de seguridad.
Fuentes de alimentación eléctrica
Las siguientes fuentes de alimentación eléctrica de ControlLogix

son aptas para utilizarse en aplicaciones SIL 3:

Sistema controlador GuardLogix Capítulo 2
• Fuente de alimentación eléctrica de CA 1756-PA72

• Fuente de alimentación eléctrica de CA 1756-PA75
• Fuente de alimentación eléctrica de CC 1756-PB72
• Fuente de alimentación eléctrica de CC 1756-PB75
• Fuente de alimentación eléctrica de CA 1756-PA75R
(redundante)
• Fuente de alimentación eléctrica de CC 1756-PB75R
(redundante)
• Adaptador de chasis de fuente de alimentación eléctrica
redundante 1756-PSCA o 1756-PSCA2 (necesario para utilizar
con fuentes de alimentación eléctrica redundantes)
No es necesario contar con configuraciones ni cableados

adicionales para la operación SIL 3 de las fuentes de alimentación
eléctrica ControlLogix. Cualquier fallo sería detectado como tal
por uno o más de los componentes activos del sistema
GuardLogix. Por lo tanto, la fuente de alimentación eléctrica es
irrelevante para el análisis de seguridad.
Hardware del controlador Los controladores 1768 Compact GuardLogix combinan a los
controladores primario y homólogo de seguridad en un solo
1768 Compact GuardLogix paquete de hardware de controlador para formar un controlador
con capacidad SIL-3. Los controladores Compact GuardLogix
cuentan con un backplane 1768 y un backplane 1769 para aceptar
módulos de E/S 1769 estándar.
Controlador Máximo de módulos 1768 Máximo de módulos de E/S

(locales) 1769 (locales y remotos)
1768-L43S 2 16
1768-L45S 4 30
El controlador 1768 Compact GuardLogix es alimentado por una

fuente de alimentación eléctrica 1768-PA3 ó 1768-PB3. También se
requiere una terminación de tapa final 1769-ECR.
Protocolo CIP Safety La comunicación relacionada con la seguridad entre controladores

GuardLogix tiene lugar a través de los tags de seguridad
producidos y consumidos. Estos tags de seguridad utilizan el
protocolo CIP Safety, que está diseñado para conservar la
integridad de los datos durante las comunicaciones.
Para obtener más información acerca de los tags de seguridad,

consulte el Capítulo 5, Características de tags de seguridad, tarea
de seguridad y programas de seguridad.

Safety I/O Para obtener información acerca de los módulos CIP Safety I/O
para uso con los controladores GuardLogix, consulte el Capítulo 3.
Puentes de comunicación Los siguientes módulos de interface de comunicación están

disponibles para facilitar la comunicación sobre redes Ethernet/IP,
DeviceNet y ControlNet mediante el protocolo CIP Safety:
Sistema GuardLogix Módulos de comunicación

1756 • Módulo puente 1756-ENBT, 1756-EN2T o 1756-EN2F
EtherNet/IP
• Adaptador 1734-AENT POINT I/O Ethernet
• Módulo puente 1756-DNB DeviceNet
• Módulo puente 1756-CN2 ControlNet
• Módulo puente 1756-CN2R ControlNet redundante
1768 • 1768-ENBT
• Adaptador 1734-AENT POINT I/O Ethernet
• 1768-CNB
• 1768-CNBR
IMPORTANTE Debido al diseño del sistema de control CIP Safety, los

dispositivos de puente de seguridad CIP como los listados
en la tabla no necesitan tener la certificación SIL 3.
Red EtherNet/IP
La comunicación de seguridad de igual a igual entre controladores

GuardLogix es posible a través de la red EtherNet/IP mediante el
uso de módulos puente 1756-ENBT, 1756-EN2T o 1768-ENBT. Un
módulo puente EtherNet/IP permite que el controlador
GuardLogix controle e intercambie datos de seguridad con
módulos CIP Safety I/O en una red EtherNet/IP.
Comunicación de igual a igual mediante módulos 1756-ENBT y la red

EtherNet/IP
Conmuador
EtherNet
Red Red
EtherNet/IP EtherNet/IP
Módulo CIP Safety I/O

1768-ENBT
1756-ENBT
1768-L43S
1756-L62S
1756-DNB
1768-PB3
1769-ECR
1756-LSP
Controlador
Módulo CIP Safety I/O B
Controlador A
Red DeviceNet

Sistema controlador GuardLogix Capítulo 2
SUGERENCIA La comunicación de seguridad de igual a igual entre dos

controladores 1756 GuardLogix en el mismo chasis
también es posible a través del backplane.
Backplane
1756-L62S
1756-L62S
1756-LSP
1756-LSP
Red DeviceNet Safety
El módulo puente 1756-DNB DeviceNet permite que el

controlador 1756 GuardLogix controle e intercambie datos de
seguridad con módulos CIP Safety I/O en una red DeviceNet.
Comunicación DeviceNet mediante un módulo 1756-DNB

1756-DNB
1756-L62S
1756-LSP
Red Módulo CIP Safety I/O

DeviceNet
Red ControlNet
El módulo 1756-CN2 ó 1768-CNB CN2 permiten que el

controlador GuardLogix produzca y consuma tags de seguridad
mediante redes ControlNet a otros procesadores GuardLogix o
redes CIP Safety I/O remotas.
Red
ControlNet
1756-OB16
Controlador
1756-DNB
1768-L43S
1768-CNB
1756-IB16
1769-IA16
1756-CN2
1768-PB3
1769-ECR
Controlador
A B
Módulo CIP Safety I/O Red DeviceNet

Descripción general de la El software de programación para el controlador GuardLogix es el

software RSLogix 5000.
programación
El software RSLogix 5000 se utiliza para definir la ubicación, la
propiedad y la configuración de los controladores y de los
módulos de E/S. El software también se utiliza para crear, probar y
depurar la lógica de la aplicación. Inicialmente, sólo la lógica de
escalera de relés es compatible con la tarea de seguridad
GuardLogix.
Consulte el Apéndice A para obtener información acerca del

conjunto de instrucciones lógicas disponibles para las aplicaciones
de seguridad.
El personal autorizado puede cambiar un programa de aplicación,

pero sólo si utiliza uno de los procesos descritos en Edición de la
aplicación de seguridad en la página 69.

Capítulo 3
CIP Safety I/O para el sistema de control

GuardLogix
Introducción
Tema Página
Descripción general 31
Funciones de seguridad típicas de los módulos CIP Safety I/O 31
Tiempo de reacción 33
Consideraciones de seguridad en torno a los módulos CIP Safety 33
I/O
Descripción general Antes de poner a funcionar un sistema de seguridad GuardLogix

que contenga módulos CIP Safety I/O, usted debe leer,
comprender y seguir la información sobre instalación, operación y
seguridad proporcionada en las publicaciones mencionadas en las
tablas de Componentes GuardLogix con certificación SIL 3 en la
página 17.
Los módulos CIP Safety I/O se pueden conectar a dispositivos de

entrada y salida de seguridad, lo cual permite monitorear y
controlar estos dispositivos mediante el controlador GuardLogix.
Para los datos de seguridad, la comunicación de E/S se realiza
mediante conexiones de seguridad usando el protocolo CIP
Safety; la lógica de seguridad se procesa en el controlador
GuardLogix.
Funciones de seguridad Los módulos CIP Safety I/O tratan lo siguiente como estado
seguro.
típicas de los módulos CIP
Safety I/O • Salidas de seguridad: OFF
• Datos de entrada de seguridad al controlador: OFF
Red CIP Safety
Estado de
seguridad
Datos de
Salida de seguridad, entrada de
desactivada seguridad

Capítulo 3 CIP Safety I/O para el sistema de control GuardLogix
Los módulos CIP Safety I/O deben utilizarse para aplicaciones que
están en el estado seguro cuando la salida de seguridad se
desactiva.
Diagnósticos
Los módulos CIP Safety I/O realizan autodiagnósticos cuando se

conecta la alimentación eléctrica y periódicamente durante la
operación. Si se detecta un fallo de diagnóstico, los datos de
entrada de seguridad (al controlador) y las salidas de seguridad
locales se establecen en su estado seguro (desactivado).
Datos de estado
Además de los datos de entrada y salida de seguridad, los

módulos CIP Safety I/O aceptan datos de estado para monitorear
el buen estado de los circuitos de E/S y del módulo. Consulte la
documentación de su módulo para obtener información sobre las
capacidades del producto especifico.
Indicadores de estado
Los módulos CIP Safety I/O incluyen indicadores de estado. Para

obtener información detallada acerca de la operación de los
indicadores de estado, consulte la documentación del producto
relacionada con el módulo específico.
Función de retardo a la conexión o a la desconexión
Algunos módulos CIP Safety I/O admiten funciones de retardo a la

conexión y a la desconexión para las señales de entrada.
Dependiendo de la aplicación, es posible que deba incluir retardo
a la desconexión, retardo a la conexión o ambos, al calcular el
tiempo de reacción del sistema.
Consulte el Apéndice C para obtener información acerca del

tiempo de reacción del sistema.

CIP Safety I/O para el sistema de control GuardLogix Capítulo 3
Tiempo de reacción El tiempo de reacción de entrada es el tiempo transcurrido desde

que la señal cambia en un terminal de entrada hasta que los datos
se envían al controlador GuardLogix.
El tiempo de reacción de salida es el tiempo transcurrido desde

que se reciben los datos de seguridad del controlador GuardLogix
hasta que el terminal de salida cambia de estado.
Para obtener información acerca de cómo determinar los tiempos

de reacción de entrada y salida, consulte la documentación del
producto relacionada con el módulo específico CIP Safety I/O.
Consulte el Apéndice C para obtener información acerca de cómo

calcular el tiempo de reacción del sistema.
Consideraciones de Debe poner en servicio todos los dispositivos con dirección de

nodo o dirección IP y velocidad de comunicación, si es necesario,
seguridad en torno a los antes de instalarlos en una red de seguridad.
módulos CIP Safety I/O
Propiedad
Cada módulo CIP Safety I/O en un sistema GuardLogix es

propiedad de un controlador GuardLogix. Es posible usar
múltiples controladores GuardLogix y múltiples módulos CIP
Safety I/O sin restricciones en chasis o en redes, según sea
necesario. Cuando un controlador tiene la propiedad de un
módulo de E/S, almacena los datos de configuración del módulo,
tal y como los define el usuario. Esto controla la forma en que
operan los módulos en el sistema.
Desde el punto de vista del control, los módulos de salida de

seguridad sólo pueden ser controlados por un controlador. Cada
módulo de entrada de seguridad también es propiedad de un solo
controlador; sin embargo, los datos de entrada de seguridad
pueden ser compartidos (consumidos) por múltiples controladores
GuardLogix.
Firma de configuración de Safety I/O
La firma de configuración define la configuración del módulo. La

misma se puede leer y monitorear. La firma de configuración se
utiliza para identificar de forma exclusiva una configuración de
módulo. Al usar un controlador GuardLogix, usted no tiene que
monitorear esta firma. El controlador GuardLogix la monitorea en
forma automática.

Reemplazo de módulos de E/S
El reemplazo de dispositivos de seguridad precisa que el

dispositivo de reemplazo se configure adecuadamente y que la
operación del dispositivo de reemplazo sea verificada por el
usuario.
ATENCIÓN
Durante el reemplazo o las pruebas de funcionamiento de
un módulo, la seguridad del sistema no debe recaer en
ninguna parte del módulo afectado.
Hay dos opciones disponibles de módulos de E/S de repuesto en

la ficha Safety del diálogo Controller Properties del software
RSLogix 5000:
• Configure Only When No Safety Signature Exists

• Configure Always
Opciones de reemplazo de Safety I/O

CIP Safety I/O para el sistema de control GuardLogix Capítulo 3
Configure Only When No Safety Signature Exists
Esta opción instruye al controlador GuardLogix para que

configure un módulo de seguridad sólo cuando la tarea de
seguridad no tiene una firma de tarea de seguridad, y si el módulo
de repuesto está tal como viene de fábrica, lo cual significa que no
existe un número de red de seguridad en el módulo de seguridad.
Si la tarea de seguridad tiene una firma de tarea de seguridad, el

controlador GuardLogix sólo configura el módulo CIP Safety I/O
de repuesto si el módulo ya tiene el número correcto de red de
seguridad, la codificación electrónica del módulo es correcta y el
nodo o dirección IP es correcto.
Configure Always
El controlador GuardLogix siempre intenta configurar un módulo

CIP Safety I/O de repuesto si el módulo está tal como viene de
fábrica, lo cual significa que no existe un número de red de
seguridad en el módulo de seguridad de reemplazo, y el número
de nodo y la codificación del modulo de E/S coinciden con la
configuración del controlador.
ATENCIÓN Habilite la función Configure Always sólo si no confía en

todo el sistema de control CIP Safety encaminable para
mantener el comportamiento SIL 3 durante el reemplazo y
las pruebas de funcionamiento de un módulo.
Si utiliza otras partes del sistema de control CIP Safety
para mantener el comportamiento SIL 3, asegúrese de que
la función Configure Always del controlador esté
inhabilitada.
Es su responsabilidad implementar un proceso para
asegurar que se mantenga la función de seguridad
adecuada durante el reemplazo del dispositivo.
ATENCIÓN No coloque ningún módulo tal como viene de fábrica en

ninguna red CIP Safety cuando la función
Configure Always está habilitada, excepto cuando siga el
procedimiento de reemplazo del módulo
descrito en el documento GuardLogix Controllers User
Manual, publicación 1756-UM020, o en el
documento 1768 Compact GuardLogix Controllers User
Manual, publicación 1768-UM002.

Notas:

Capítulo 4
CIP Safety y el número de red de seguridad
Introducción Para comprender los requisitos de seguridad de un sistema de

control CIP Safety, incluido el número de red de seguridad (SNN),
primero hay que entender cómo se encamina la comunicación en
los sistemas de control CIP.
Tema Página
El sistema de control CIP Safety encaminable 37
Consideraciones para la asignación del número de red de 40
seguridad (SNN)
El sistema de control CIP El sistema de control CIP Safety representa un conjunto

interconectado de dispositivos CIP Safety. El sistema encaminable
Safety encaminable representa la totalidad de los posibles encaminamientos erróneos
de los paquetes, desde un originador hasta un receptor, dentro del
sistema de control CIP Safety. El sistema se aísla, de forma que no
existan otras conexiones en el sistema. Por ejemplo, debido a que
el sistema descrito a continuación no puede interconectarse con
otro sistema CIP Safety a través de una mayor conexión principal
Ethernet a nivel de toda la planta, ilustra el alcance de un sistema
CIP Safety encaminable.
Ejemplo de sistema CIP Safety
Encamin./
corta- Conmutador Conmutador
fuegos(1)
1756-ENBT
1756-L62S
1768-ENBT
1768-ENBT
1756-ENBT
1756-OB16
1756-DNB
1768-L43S
1756-DNB
1756-IB16
1756-LSP
1769-ECR
1768-PB3
SmartGuard
CIP Safety I/O
CIP Safety I/O CIP Safety I/O CIP Safety I/O CIP Safety I/O
CIP Safety I/O CIP Safety I/O CIP Safety I/O
(1) El encaminador o el cortafuegos se establecen para limitar el tráfico.

Capítulo 4 CIP Safety y el número de red de seguridad
Referencia de nodo único
El protocolo CIP Safety es un protocolo de seguridad entre nodos

finales. El protocolo CIP Safety permite el encaminamiento de
mensajes CIP Safety desde y hacia dispositivos CIP Safety, a través
de puentes, conmutadores y encaminadores no certificados.
Para evitar que los errores en puentes, conmutadores o

encaminadores no certificados se tornen peligrosos, cada nodo
final dentro de un sistema de control CIP Safety encaminable debe
tener una referencia de nodo único. La referencia de nodo único
es una combinación de un número de red de seguridad (SNN) y la
dirección de nodo correspondiente al nodo.
Número de red de seguridad
El número de red de seguridad (SNN) es asignado por el software

o por el usuario. Cada red CIP Safety que contiene nodos Safety
I/O debe tener por lo menos un número de red de seguridad
(SNN) único. Cada chasis ControlBus que contiene uno o más
dispositivos de seguridad debe tener por lo menos un SNN único.
Los números de red de seguridad asignados a cada subred o red
de seguridad deben ser únicos.
SUGERENCIA Es posible asignar más de un SNN a una subred CIP Safety

o a un chasis ControlBus que contenga más de un
dispositivo de seguridad. Sin embargo, por razones de
simplicidad, recomendamos que cada subred CIP Safety
tenga solamente un SNN único. Recomendamos lo mismo
para cada chasis ControlBus.
Ejemplo de CIP Safety con más de un SNN
Encamind./
cortafuegos Conmutador Conmutador
1756-ENBT
1756-L62S
1768-ENBT
1768-ENBT
1756-DNB
1756-ENBT
1756-OB16
1768-L43S
1756-LSP
1756-DNB
1769-ECR
1756-IB16
1768-PB3
SmartGuard
CIP Safety I/O
SNN_1 SNN_3 SNN_5
CIP Safety I/O CIP Safety I/O CIP Safety I/O CIP Safety I/O
SNN_7
CIP Safety I/O CIP Safety I/O CIP Safety I/O
SNN_2 SNN_4 SNN_6

CIP Safety y el número de red de seguridad Capítulo 4
Cada dispositivo CIP Safety debe configurarse con un SNN. Todo

dispositivo que origine una conexión de seguridad hacia otro
dispositivo de seguridad debe configurarse con el SNN del
dispositivo receptor. Si el sistema CIP Safety está en proceso de
encendido antes de que se realice la prueba de seguridad del
sistema, el dispositivo originador puede utilizarse para definir la
referencia única de nodo en el dispositivo.
El SNN utilizado por el sistema es un número hexadecimal de 6

bytes. El SNN puede establecerse y verse en cualquiera de dos
formatos: basado en tiempo o manual. Cuando se selecciona el
formato basado en tiempo, el SNN representa una fecha y una
hora concretas. Cuando se selecciona el formato manual, el SNN
representa un tipo de red y un valor decimal de 1…9999.
Formatos de SNN
La asignación de un SNN basado en tiempo es automática cuando

se crea un nuevo proyecto de controlador de seguridad
GuardLogix y se añaden nuevos módulos Safety I/O.
La manipulación manual de un SNN es necesaria en las siguientes

situaciones:
• si se utilizan tags de seguridad consumidos;

• si el proyecto consume datos de entrada de seguridad
procedentes de un módulo cuya configuración es propiedad
de otro dispositivo de seguridad;
• si un proyecto de seguridad se copia en una instalación de
hardware distinta, dentro del mismo sistema CIP Safety
encaminable.
IMPORTANTE Si asigna un SNN manualmente, no olvide asegurarse de

que la expansión del sistema no produzca como resultado
una duplicación de las combinaciones de SNN y
direcciones de nodo.

Consideraciones para la La asignación del SNN depende de factores que incluyen la

configuración del controlador o el módulo CIP Safety I/O.
asignación del número de
red de seguridad (SNN)
Número de red de seguridad (SNN) para tags de seguridad
consumidos
Cuando un controlador de seguridad que contiene tags de

seguridad producidos se añade al árbol de configuración de E/S,
es necesario introducir el número de red de seguridad (SNN) del
controlador productor. El SNN puede copiarse del proyecto del
controlador productor y pegarse en el nuevo controlador que se
está añadiendo al árbol de configuración de E/S.
Consulte el documento GuardLogix Controllers User Manual,

publicación 1756-UM020 o el documento 1768 Compact
GuardLogix Controllers User Manual, publicación 1768-UM002,
para obtener información sobre cómo copiar y pegar un SNN.
Número de red de seguridad (SNN) para módulos tal como

vienen de fábrica
Los módulos CIP Safety I/O tal como vienen de fábrica no tienen
un número de red de seguridad (SNN). El SNN se establece
cuando el controlador GuardLogix propietario del módulo envía la
configuración al módulo.
IMPORTANTE Para añadir un módulo CIP Safety I/O a un sistema

GuardLogix configurado (el SNN está presente en el
controlador GuardLogix), es necesario aplica el SNN
correcto al módulo CIP Safety de reemplazo antes de que
se añada a la red CIP Safety.
Número de red de seguridad (SNN) para módulo de seguridad

con un propietario de configuración diferente
Cuando un módulo CIP Safety I/O es propiedad de un controlador

GuardLogix diferente (controlador B), y posteriormente se añade a
otro proyecto GuardLogix (proyecto de controlador A), el software
RSLogix 5000 asigna el número de red de seguridad (SNN) basado
en el proyecto actual. Puesto que el proyecto actual (proyecto del
controlador A) no es el verdadero propietario de la configuración,
es necesario copiar el SNN original (proyecto del controlador B)
dentro de la configuración en el proyecto del controlador A. Esto
puede hacerse fácilmente mediante los comandos estándar de
copiar y pegar. Como resultado, el módulo CIP Safety I/O produce

CIP Safety y el número de red de seguridad Capítulo 4
datos para dos controladores GuardLogix simultáneamente. Es

posible hacer esto con un máximo de 16 controladores.
Consulte el documento GuardLogix Controllers User Manual,

publicación 1756-UM020 o el documento 1768 Compact
GuardLogix Controllers User Manual, publicación 1768-UM002,
para obtener información sobre cómo cambiar, copiar y pegar
números de red de seguridad.
Número de red de seguridad (SNN) al copiar un proyecto de

seguridad
ATENCIÓN Si se copia un proyecto de seguridad para usar en otro

proyecto con hardware diferente o en una ubicación física
diferente, y el nuevo proyecto está dentro del mismo
sistema CIP Safety enrutable, todos los números de red de
seguridad deben cambiarse en el segundo sistema. Los
valores SNN no deben repetirse.
Consulte el documento GuardLogix Controllers User
Manual, publicación 1756-UM020 o el documento 1768
Compact GuardLogix Controllers User Manual, publicación
1768-UM002, para obtener información sobre cómo
cambiar el SNN.

Notas:

Capítulo 5
Características de tags de seguridad, tarea

de seguridad y programas de seguridad
Introducción Este capítulo explica cómo usar los componentes estándar y de

seguridad del sistema GuardLogix.
Tema Página
Diferenciar entre estándar y de seguridad 43
Aplicaciones de seguridad SIL 2 44
Seguridad SIL3 – la tarea de seguridad 50
Programas de seguridad 53
Rutinas de seguridad 53
Tags de seguridad 53
Diferenciar entre estándar Puesto que se trata de un controlador de la serie Logix, en el

sistema de control GuardLogix se pueden utilizar tanto
y de seguridad componentes estándar (no relacionados con la seguridad) como
componentes relacionados con la seguridad.
Usted puede realizar un control de automatización estándar de

tareas estándar dentro de un proyecto GuardLogix. Los
controladores 1756 GuardLogix proporcionan la misma
funcionalidad que otros controladores de la serie 1756
ControlLogix. Los controladores 1768 Compact GuardLogix
proporcionan la misma funcionalidad que otros controladores
1768-L4x CompactLogix. Lo que diferencia a los controladores
1756 y 1768 GuardLogix de los controladores estándar es que
proporcionan una tarea de seguridad con capacidad SIL 3.
Sin embargo, es necesario realizar una distinción lógica y visible

entre la parte estándar y la relacionada con la seguridad de la
aplicación. El software RSLogix 5000 proporciona esta
diferenciación mediante la tarea de seguridad, los programas de
seguridad, las rutinas de seguridad, los tags de seguridad y los
módulos de E/S de seguridad. Usted puede implementar tanto el
nivel SIL 2 como el nivel SIL 3 del control de seguridad con la
tarea de seguridad del controlador GuardLogix.

Capítulo 5 Características de tags de seguridad, tarea de seguridad y programas de seguridad
Aplicaciones de seguridad Puede realizar el control de seguridad SIL 2 usando la tarea de

seguridad del controlador 1756 ó 1768 GuardLogix.
SIL 2
Puesto que los controladores 1756 GuardLogix son parte de la
serie de procesadores ControlLogix, puede realizar el control de
seguridad SIL 2 con un controlador 1756 GuardLogix usando las
tareas estándar o la tarea de seguridad. Esta capacidad ofrece
opciones de control de seguridad únicas y versátiles, ya que la
mayoría de las aplicaciones tiene un porcentaje mayor de
funciones de seguridad SIL 2 que las funciones de seguridad SIL 3.
Control de seguridad SIL 2 en la tarea de seguridad
La tarea de seguridad de las unidades 1756 y 1768 GuardLogix

puede usarse para proporcionar funciones de seguridad SIL 2 y
SIL 3. Si las funciones de seguridad SIL 3 deben ejecutarse
simultáneamente con las funciones de seguridad SIL 2, deberá
cumplir con los requisitos definidos en las secciones Seguridad
SIL3 – la tarea de seguridad, Programas de seguridad y Rutinas de
seguridad de este capítulo, así como los requisitos de SIL 2
listados en esta sección.
Lógica de seguridad SIL 2
Desde la perspectiva de control de seguridad GuardLogix, la

mayor diferencia entre dispositivos con clasificación de seguridad
SIL 2 y SIL 3 es que SIL 2 generalmente tiene un solo canal,
mientras que SIL 3 generalmente tiene dos canales. Al usar E/S
con clasificación de seguridad, que es lo requerido por la tarea de
seguridad, la seguridad SIL 2 puede tener un solo canal, lo cual
reduce la complejidad del sistema.
IMPORTANTE Si se usa una combinación de funciones de seguridad SIL 2

y SIL 3 simultáneamente dentro de la tarea de seguridad,
debe evitar que las señales de entrada SIL 2 controlen
directamente las funciones de seguridad SIL 3. Esto puede
hacerse mediante rutinas o programas de tarea de
seguridad específicos para separar las funciones de
seguridad SIL 2 y SIL 3.
Dentro de la tarea de seguridad, el software RSLogix 5000 incluye

un conjunto de instrucciones de lógica de escalera relacionadas
con la seguridad. Además de estas instrucciones de lógica de
escalera relacionadas con la seguridad, los controladores
GuardLogix cuentan con instrucciones de seguridad con
clasificación SIL 3 especificas en cuanto a la aplicación. Todas
estas instrucciones lógicas pueden usarse en funciones de
seguridad Cat 1…4 y SIL 1…3.

Características de tags de seguridad, tarea de seguridad y programas de seguridad Capítulo 5
Para el nivel de seguridad SIL 2 únicamente, no se requiere una

firma de tarea de seguridad. Sin embargo, si se usa alguna función
de seguridad SIL 3 dentro de la tarea de seguridad, se requerirá
una firma de tarea de seguridad.
Para las aplicaciones SIL 2, se recomienda el bloqueo de

seguridad de la tarea de seguridad una vez terminadas las
pruebas. Bloquear la tarea de seguridad habilita funciones de
seguridad adicionales. También puede usar FactoryTalk Security y
protección de fuente de rutina RSLogix 5000 para limitar el acceso
a la lógica relacionada con la seguridad.
Para obtener más información sobre cómo generar una firma de

tarea de seguridad y cómo realizar el bloqueo de seguridad de la
tarea de seguridad, consulte el documento GuardLogix Controllers
User Manual, publicación 1756-UM020 o el documento Compact
GuardLogix Controllers User Manual, publicación 1768-UM002.
Entradas de seguridad SIL 2
Los módulos de entrada de seguridad CompactBlock Guard I/O

(serie 1791) y ArmorBlock Guard I/O (serie 1732) aceptan
circuitos de entrada de seguridad SIL 2 de un solo canal. Puesto
que estos módulos también están clasificados para operación SIL
3, es posible combinar los circuitos SIL 2 y SIL 3 en el mismo
módulo, siempre que se sigan estas pautas:
Estos dos ejemplos de cableado muestran cómo cablear los

circuitos de seguridad SIL 2 a los módulos de entrada de
seguridad Guard I/O. Estos ejemplos utilizan fuentes de prueba
incorporadas (T0…Tx) que residen en todos los módulos de
entrada de seguridad 1791 y 1732.
Cableado de las entradas
I0 I1 T0 T1
Los módulos Guard I/O agrupan las entradas en parejas para

facilitar las funciones de seguridad Cat 3, Cat 4 y SIL 3. Para usarse
en funciones de seguridad Cat 1, Cat 2 y SIL 2, las entradas de
módulos deben usarse en parejas como se ilustra. Se muestran dos
funciones de seguridad SIL 2 cableadas a I0 y I1 usando las
fuentes de prueba T0 y T1, respectivamente.

Cableado de entradas en parejas
I0 I1 T0 T1
Para las funciones de seguridad Cat 1, Cat 2 y SIL 2, los módulos

de seguridad Guard I/O necesitan configuraciones específicas
dentro del proyecto GuardLogix. En este ejemplo, las entradas 0,
1, 6, 7, 8, 9, 10 y 11 son parte de una función de seguridad CAT 1,
2 o SIL 2. Las entradas 2 y 3, así como las entradas 4 y 5 son parte
de una función de seguridad CAT 3, CAT 4 o SIL 3.
Configuración de entrada
Campo Valor
Type Single
Discrepancy Time N/A
Point Mode Safety Pulse Test
Test Source Establecer valores según la forma como el dispositivo de campo
está cableado físicamente al módulo. Para asegurar que la
fuente de prueba esté correctamente habilitada, abra y fíjese en
los ajustes de la ficha Test Output.
Input Delay Time Entrada de usuario según las características del dispositivo de
campo.
IMPORTANTE Las salidas de prueba de impulso incorporadas (T0…Tx)

generalmente se usan con dispositivos de campo que
tienen contactos mecánicos. Si se usa un dispositivo de
seguridad que tiene salidas electrónicas (entradas de
seguridad de alimentación), éstas deben tener las
clasificaciones de seguridad apropiadas.

IMPORTANTE Si está usando las instrucciones de aplicaciones de

seguridad GuardLogix, asegúrese de configurar sus
módulos de entrada de seguridad como módulos sencillos,
no equivalentes ni complementarios. Estas instrucciones
proporcionan la funcionalidad de doble canal necesaria
para las funciones de seguridad PLd (Cat. 3) o PLe (Cat. 4).
Consulte el documento GuardLogix Safety Application
Instruction Set Reference Manual, publicación
1756-RM095.
Control de seguridad SIL 2 en tareas estándar (controladores

1756 GuardLogix solamente)
Debido a la cantidad y a la calidad de los diagnósticos

incorporados en la serie de controladores 1756 ControlLogix, es
posible realizar funciones de seguridad SIL 2 desde dentro de las
tareas estándar. Esto también es cierto para los controladores 1756
GuardLogix.
Para realizar un control de seguridad SIL 2 dentro de una tarea

estándar GuardLogix, usted debe cumplir los requisitos definidos
en el documento Using ControlLogix in SIL 2 Applications Safety
Reference Manual, publicación 1756-RM001.
IMPORTANTE No puede usar la tarea estándar en un controlador 1768

Compact GuardLogix para aplicaciones de seguridad SIL 2.
Cumplimiento de la norma EN50156 con entradas de

seguridad SIL 2 de 1756 ControlLogix en
configuraciones de doble canal con controladores 1756
GuardLogix
Se requiere una configuración de doble canal para cumplir la

norma en ciertas aplicaciones relacionadas con la seguridad,
incluidas funciones de seguridad relacionadas con quemadores.
Estos ejemplos proporcionan pautas para cumplir con los
requisitos de doble canal SIL 2 de EN50156.
Entradas de doble canal SIL 2 (lado estándar de los controladores

1756 GuardLogix)
Debe implementar una separación clara y fácilmente identificable

entre ambos canales de entrada y cumplir con todos los requisitos

SIL 2 existentes según lo definido en el documento Using

ControlLogix in SIL 2 Applications, publicación 1756-RM001.
Canal A Canal B
Cn0+ Cn0+ +
Transmisor de
voltaje A
Cn0- Cn0- -
+
Transmisor de
voltaje B
-
Datos de entrada SIL 2
Mantenga los datos de entrada

del canal A y del canal B
separados en todo momento.
Este ejemplo ilustra un
método para separar los datos
del canal A y del canal B en
su aplicación. Todo
procesamiento lógico que se
necesite, deberá realizarse
según las pautas de SIL 2 de
ControlLogix.
IMPORTANTE No realice funciones específicas de seguridad dentro de

estas rutinas. La evaluación de seguridad debe manejarse
dentro de la tarea de seguridad 1756 GuardLogix.
Transferencia de datos SIL 2 a la tarea de seguridad
Para transferir datos de seguridad SIL 2 del canal A y del canal B a

la tarea de seguridad GuardLogix, use la función de asignación de
tags de seguridad del software RSLogix 5000. Los nombres de tags
usados aquí son con fines de ejemplo. Implemente y siga las

convenciones de asignación de nombres apropiadas para su

aplicación.
SUGERENCIA Para usar la función de asignación de tags de seguridad,

seleccione Map Safety Tags del menú Logic del software
RSLogix 5000.
Funciones de seguridad dentro de la tarea de seguridad 1756 GuardLogix
Siga estas pautas para usar las funciones de seguridad SIL 2 y SIL 3
dentro de la tarea de seguridad:
IMPORTANTE No debe usar datos SIL 2 para controlar directamente

una salida SIL 3.
• Pueden usarse todas las instrucciones de aplicaciones de

seguridad disponibles.
• Los módulos de entrada de seguridad SIL 3 (por ejemplo los
módulos Guard I/O) pueden usarse con configuraciones de
un solo canal para las funciones de seguridad SIL 2.
• Se recomienda usar la firma de tarea de seguridad y realizar
un bloqueo de seguridad de la aplicación.
Salidas SIL 2
Siga estas pautas para las salidas SIL 2.

• Los módulos de salida Guard I/O usados para salidas de
seguridad SIL 2 deben configurarse para operación de doble
canal.
• Todos los módulos de salida Guard I/O están aprobados
para uso en aplicaciones SIL 2.
– 1732DS-IB8XOBV4
– 1791DS-IB8XOBV4, 1791ES-IB8XOBV4
– 1791DS-IB4XOW4
– 1791DS-IB8XOB8
– 1734-OB8S
IMPORTANTE No se puede usar módulos de salida Flex o 1756 en

aplicaciones EN 50156 SIL 2.

Seguridad SIL3 – la tarea La creación de un proyecto GuardLogix crea automáticamente una

sola tarea de seguridad. La tarea de seguridad tiene estas
de seguridad características adicionales:
• Los controladores GuardLogix son los únicos controladores
que aceptan la tarea de seguridad.
• La tarea de seguridad no se puede eliminar.
• Los controladores GuardLogix admiten una sola tarea de
seguridad.
• Dentro de la tarea de seguridad se pueden secuenciar
múltiples programas de seguridad compuestos por múltiples
rutinas de seguridad.
• No es posible secuenciar ni ejecutar rutinas estándar desde
dentro de la tarea de seguridad.
La tarea de seguridad es una tarea periódica temporizada con

prioridad de tarea y temporizador de control (watchdog)
seleccionables por el usuario.En la mayoría de los casos, es la
prioridad principal del controlador, y el temporizador de control
(watchdog) definido por el usuario debe establecerse para que se
adapte a las fluctuaciones en la ejecución de la tarea de seguridad.

Limitaciones de la tarea de seguridad
Especifique tanto el período de la tarea de seguridad como el

temporizador de control (watchdog) de la tarea de seguridad. El
período de la tarea de seguridad es el período con el que se
ejecuta la tarea de seguridad. El temporizador de control
(watchdog) de la tarea de seguridad es el tiempo máximo
permitido desde el inicio de la ejecución secuenciada de la tarea
de seguridad hasta que la misma se completa.
Si desea obtener más información acerca del temporizador

de control (watchdog) de la tarea de seguridad, consulte el
Apéndice C, Tiempos de reacción.
El período de la tarea de seguridad está limitado a un máximo de

100 ms y no se puede modificar en línea. Asegúrese de que la
tarea de seguridad tenga suficiente tiempo para completarse antes
de volver a activarse. Si la tarea de seguridad se activa sin que la
misma haya terminado de ejecutarse tras la activación anterior,
ocurre una expiración del tiempo de espera del temporizador de
control (watchdog) de tarea de seguridad, que es un fallo de
seguridad no recuperable en el controlador GuardLogix.
Vea Capítulo 7, Monitoreo de estado y manejo de fallos, para

obtener más información.
Detalles de ejecución de la tarea de seguridad
La tarea de seguridad se ejecuta de la misma forma que las tareas

periódicas estándar, con las siguientes excepciones:
• La tarea de seguridad no comienza a ejecutarse sino hasta

que el controlador primario y el homólogo de seguridad
hayan establecido su asociación de control y que el tiempo
coordinado del sistema (CST) se haya sincronizado. No
obstante, las tareas estándar comienzan a ejecutarse tan
pronto como el controlador cambia al modo de marcha.
• Si bien el rango configurable del intervalo solicitado entre

paquetes (RPI) para las entradas de seguridad y para los tags
de seguridad consumidos es 1…100 ms, los tags de entrada
de seguridad y los tags de seguridad consumidos se
actualizan sólo al comienzo de la ejecución de la tarea de
seguridad. Esto significa que, aunque el intervalo solicitado
entre paquetes (RPI) de E/S puede ser más breve que el
período de la tarea de seguridad, los datos no cambian
durante la ejecución de la tarea de seguridad. Los datos se
leen sólo una vez al inicio de la ejecución de la tarea de
seguridad.

• Los valores de entrada de seguridad se congelan al inicio de

la ejecución de la tarea de seguridad. Como resultado, las
instrucciones relacionadas con el temporizador, tales como
TON y TOF, no se actualizan durante una sola ejecución de
la tarea de seguridad. Mantendrán el tiempo exacto de una
ejecución de tarea a otra, pero el tiempo acumulado no
cambiará durante la ejecución de la tarea de seguridad.
ATENCIÓN Este comportamiento difiere de la ejecución de la

tarea Logix estándar, pero es similar al
comportamiento del PLC o SLC.
• En el caso de los tags estándar que están asignados a tags de

seguridad, los valores de tag estándar se copian en la
memoria de seguridad al inicio de la tarea de seguridad y no
cambian durante la ejecución de dicha tarea.
• Los valores de tags de salida de seguridad (de salida y

producidos) se actualizan cuando finaliza la ejecución de la
tarea de seguridad.
• La tarea de seguridad responde a cambios de modo (por

ejemplo, de marcha a programa, o de programa a marcha) a
intervalos temporizados. Como resultado, la tarea de
seguridad puede tardar más de un período de tarea, pero
nunca más de dos, para realizar una transición de modo.
IMPORTANTE Mientras el controlador está en desbloqueo de seguridad y

no hay una firma de tarea de seguridad, éste impide el
acceso simultáneo de escritura a la memoria de seguridad
desde la tarea de seguridad y los comandos de
comunicación. Como resultado, la tarea de seguridad
puede permanecer retenida hasta que se complete la
actualización de comunicación. El tiempo necesario para la
actualización depende del tamaño del tag. Por lo tanto, es
posible que ocurran expiraciones del tiempo de espera de
la conexión de seguridad y/o del temporizador de control
(watchdog) de seguridad. (Por ejemplo, si realiza ediciones
en línea cuando la velocidad de la tarea de seguridad está
fijada en 1 ms, podría ocurrir una expiración del
temporizador de control (watchdog) de seguridad).
Para compensar el tiempo de aplazamiento debido a la
actualización de comunicación, añada 2 ms al tiempo del
temporizador de control (watchdog) de seguridad.
Cuando el controlador está en bloqueo de seguridad o
existe una firma de tarea de seguridad, la situación
descrita en esta nota no puede suceder.

Programas de seguridad Un programa de seguridad tiene todos los atributos de un

programa estándar, con la excepción de que sólo se puede
secuenciar en la tarea de seguridad. Un programa de seguridad
también puede definir tags de seguridad restringidos al programa.
Un programa de seguridad puede ser secuenciado o no
secuenciado.
Un programa de seguridad sólo puede contener componentes de

seguridad. Todas las rutinas de un programa de seguridad son
rutinas de seguridad. Un programa de seguridad no puede
contener rutinas estándar o tags estándar.
Rutinas de seguridad Las rutinas de seguridad tienen todos los atributos de las rutinas
estándar, con la excepción de que sólo pueden existir en los
programas de seguridad. Una rutina de seguridad puede estar
designada como la rutina principal. Otra rutina de seguridad
puede estar designada como la rutina de fallo. En las rutinas de
seguridad sólo se pueden utilizar instrucciones certificadas de
seguridad.
Consulte la lista de instrucciones de seguridad en el Apéndice A.
ATENCIÓN Para preservar el nivel SIL 3, debe asegurarse de que su

lógica de seguridad no intente leer ni escribir tags
estándar.
Tags de seguridad El sistema de control GuardLogix admite el uso de tags estándar y

de seguridad en el mismo proyecto. Sin embargo, el software de
programación diferencia operativamente los tags estándar de los
tags de seguridad.
Los tags de seguridad tienen todos los atributos de los tags

estándar, además de mecanismos para proporcionar integridad de
datos SIL 3.
Tipos de datos válidos para tags de seguridad
• AUX_VALVE_CONTROL • DIVERSE_INPUT • MUTING_FOUR_SENSOR_BIDIR
• BOOL • EIGHT_POS_MODE_SELECTOR • MUTING_TWO_SENSOR_ASYM
• CAM_PROFILE • EMERGENCY_STOP • MUTING_TWO_SENSOR_SYM
• CAMSHAFT_MONITOR • ENABLE_PENDANT • MOTION_INSTRUCTION
• CB_CONTINUOUS_MODE • EXT_ROUTINE_CONTROL • PHASE
• CB_CRANKSHAFT_POS_MONITOR • EXT_ROUTINE_PARAMETERS • PHASE_INSTRUCTION
• CB_INCH_MODE • FBD_BIT_FIELD_DISTRIBUTE • REDUNDANT_INPUT
• CB_SINGLE_STROKE_MODE • FBD_CONVERT • REDUNDANT_OUTPUT
• CONFIGURABLE_ROUT • FBD_COUNTER • SAFETY_MAT
• CONNECTION_STATUS • FBD_LOGICAL • SERIAL_PORT_CONTROL
• CONTROL • FBD_MASK_EQUAL • SFC_ACTION

Tipos de datos válidos para tags de seguridad

• COUNTER • FBD_MASKED_MOVE • SFC_STEP
• DCI_MONITOR • FBD_TIMER • SFC_STOP
• DCI_START • FIVE_POS_MODE_SELECTOR • SINT
• DCI_STOP • INT • STRING
• DCI_STOP_TEST • LIGHT_CURTAIN • THRS_ENHANCED
• DCI_STOP_TEST_LOCK • MAIN_VALVE_CONTROL • TIMER
• DCI_STOP_TEST_MUTE • MANUAL_VALVE_CONTROL • TWO_HAND_RUN_STATION
• DINT ·
IMPORTANTE Los alias entre tags estándar y de seguridad están

prohibidos en las aplicaciones de seguridad.
Los tags clasificados como tags de seguridad se restringen al

controlador o al programa. Los tags de seguridad restringidos al
controlador pueden ser leídos por la lógica estándar o de
seguridad o por otros dispositivos de comunicación, pero sólo
pueden ser escritos por la lógica de seguridad u otro controlador
de seguridad GuardLogix. Sólo las rutinas de seguridad locales
pueden tener acceso a los tags de seguridad restringidos al
programa. Éstas son rutinas que residen dentro del programa de
seguridad.
Los tags asociados con Safety I/O y los datos de seguridad

producidos o consumidos deben ser tags de seguridad restringidos
al controlador.
IMPORTANTE Cualquier tag de seguridad restringido al controlador se

puede leer mediante una rutina estándar, pero la velocidad
de actualización se basa en la ejecución de la tarea de
seguridad. Esto significa que los tags de seguridad se
actualizan a la tasa periódica de la tarea de seguridad, que
es diferente del comportamiento de los tags estándar.

Tags estándar en rutinas de seguridad (asignación de tags)
Los tags estándar restringidos al controlador se pueden asignar a

tags de seguridad, lo que proporciona un mecanismo para
sincronizar las acciones estándar y de seguridad.
ATENCIÓN Cuando utilice datos estándar en una rutina de seguridad,

usted será responsable de proporcionar una forma
confiable de garantizar que los datos se utilicen de manera
apropiada. El uso de datos estándar en un tag de seguridad
no los convierte en datos de seguridad. Usted no debe
controlar directamente una salida de seguridad con datos
de tag estándar.
Este ejemplo ilustra cómo calificar los datos estándar con
datos de seguridad.
Calificación de datos estándar con datos de seguridad
MappedBooleanTag LatchOneShot Node30ComboModule:I.Pt07Data Node30ComboModule:O.Pt03Data

ONS
Node30ComboModule:O.Pt03Data
Calificador de entrada de seguridad para tag asignado

Enclave el circuito para evitar un reinicio automático si la entrada Salida de
estándar (MappedTag) falla en un estado “stuck at 1” (atascado en 1). seguridad
Recursos adicionales
Logix5000 Controllers Design Proporciona información sobre cómo
Considerations Reference Manual, administrar tareas y los efectos de la ejecución
publicación 1756-RM094 de tareas y la temporización en los datos del
usuario.
GuardLogix Controllers User Manual, Contiene información sobre cómo asignar tags.
publicación 1756-UM020
1768 Compact GuardLogix Controllers Contiene información sobre cómo asignar tags.
User Manual, publicación 1768-UM002


Capítulo 6
Desarrollo de la aplicación de seguridad
Introducción
Tema Página
Suposiciones sobre el concepto de seguridad 57
Nociones básicas para el desarrollo y prueba de 57
aplicaciones
Proceso para la puesta en servicio 59
Descarga del programa de aplicación de seguridad 66
Carga del programa de aplicación de seguridad 66
Edición en línea 67
Almacenamiento y carga de un proyecto desde la 67
memoria no volátil
Forzar los datos 68
Inhibir un módulo 68
Edición de la aplicación de seguridad 69
Suposiciones sobre el El concepto de seguridad parte de los siguientes supuestos.

concepto de seguridad • Si usted es responsable de crear, operar y mantener la
aplicación, debe estar debidamente calificado y
especialmente capacitado, y tener experiencia en sistemas
de seguridad.
• Usted aplica la lógica correctamente, lo que significa que los
errores de programación se pueden detectar. Los errores de
programación se pueden detectar mediante la estricta
observancia de las especificaciones y de las reglas de
programación y nomenclatura.
• Usted realiza un análisis crítico de la aplicación y hace uso
de todas las medidas posibles para detectar un fallo.
• Usted confirma todas las descargas de la aplicación mediante
la verificación manual de la firma de tarea de seguridad.
• Antes de la puesta en marcha de un sistema relacionado con
la seguridad, usted realiza una prueba de funcionamiento
completa de todo el sistema.
Nociones básicas para el El programa de aplicación para el sistema SIL 3 deseado debe ser
desarrollado por el integrador de sistemas o por un usuario que
desarrollo y prueba de tenga la debida capacitación y experiencia en aplicaciones de
aplicaciones seguridad. El especialista en desarrollo debe cumplir con buenas
prácticas de diseño.

Capítulo 6 Desarrollo de la aplicación de seguridad
• Use especificaciones de funcionamiento, tales como

diagramas de flujo, diagramas de temporización y diagramas
de secuencia.
• Realice la revisión del programa.
• Realice la validación del programa.

Desarrollo de la aplicación de seguridad Capítulo 6
Proceso para la puesta en El siguiente diagrama de flujo muestra los pasos necesarios para la
puesta en servicio de un sistema GuardLogix. Los ítems en negrita
servicio se explican en las secciones siguientes.
Poner en marcha el sistema
Especificar la función de control
Crear proyecto Crear proyecto

En línea Fuera de línea
Adjuntar al controlador y descargar
Probar el programa de
aplicación
Generar la firma de tarea de seguridad Realizar las modificaciones

necesarias
Prueba de verificación del proyecto
¿Pasó las No Eliminar la firma de tarea

pruebas? de seguridad
Sí
Confirmar el proyecto
Registrar la firma de tarea de

seguridad
Completar las listas de verificación de

seguridad en el Apéndice D
Validación de seguridad (revisión independiente)
¿Es válido No
el proyecto?
Sí
Bloquear el controlador/Fin
Especificación de la función de control
Usted tiene que crear una especificación para la función de

control. Utilice esta especificación para verificar que la lógica del
programa esté orientada correcta y totalmente a satisfacer los

requisitos de funcionamiento y de control de seguridad de la

aplicación. La especificación puede presentarse en diversos
formatos, según la aplicación. No obstante, la especificación debe
ser una descripción detallada que incluya (si corresponde):
• secuencia de operaciones;
• diagramas de flujo y temporización;
• diagramas de secuencias;
• descripción del programa;
• impresión del programa;
• descripciones escritas de los pasos con condiciones de pasos
y accionadores que deben controlarse. Esto incluye:
– definiciones de entrada;
– definiciones de salida;
– referencias y diagramas de cableado de E/S;
– descripción de funcionamiento;
• matriz o tabla de condiciones por pasos, y los accionadores

que deben controlarse, incluidos los diagramas de secuencia
y temporización;
• definición de condiciones marginales; por ejemplo, modos

de operación y de PARO DE EMERGENCIA.
La parte de E/S de la especificación debe contener el análisis de

los circuitos de campo, es decir, el tipo de sensores y
accionadores.
• Sensores (digitales o analógicos)

– Señal en operación estándar (en el caso de sensores
digitales, si éstos están desactivados no se transmiten
señales)
– Determinación de redundancias necesarias para niveles
SIL
– Monitoreo y visualización de discrepancias, incluida su
lógica de diagnóstico
• Accionadores
– Posición y activación en la operación estándar
(normalmente desactivado)
– Reacción y posicionamiento de seguridad, cuando se
conmuta a desactivado o cuando se produce un fallo en
la energía eléctrica
– Monitoreo y visualización de discrepancias, incluida la
lógica de diagnóstico

Crear el proyecto
La lógica y las instrucciones utilizadas en la programación de la

aplicación deben ser:
• fáciles de comprender;
• fáciles de rastrear;
• fáciles de cambiar;
• fáciles de probar.
Toda la lógica debe ser revisada y probada. Mantenga separadas la

lógica relacionada con la seguridad de la lógica estándar.
Etiquetar el programa
El programa de aplicación se identifica claramente mediante uno

de los siguientes datos:
• Nombre
• Fecha
• Revisión
• Cualquier otra identificación del usuario
Probar el programa de aplicación
Este paso consta de cualquier combinación del modo de marcha y

de programa, ediciones en línea o fuera de línea, cargas y
descargas, y pruebas informales necesarias para que la aplicación
funcione debidamente.

Generar la firma de tarea de seguridad
La firma de tarea de seguridad identifica de forma exclusiva cada

proyecto, incluida su lógica, datos y tags. La firma de tarea de
seguridad está compuesta del número de identificación, la fecha y
la hora.
Puede generar la firma de tarea de seguridad, si se cumple con

todas las condiciones siguientes:
• el software RSLogix 5000 está en línea con el controlador;

• el controlador está en modo de programa;
• el controlador está en desbloqueo de seguridad;
• el controlador no tiene forzados de seguridad ni ediciones
de seguridad pendientes en línea;
• el estado de la tarea de seguridad es OK.
Una vez completada la prueba del programa de aplicación, es

necesario generar la firma de tarea de seguridad. El software de
programación carga automáticamente la firma de tarea de
seguridad una vez que ha sido generada.
IMPORTANTE Para verificar la integridad de cada descarga, es necesario

grabar manualmente la firma de tarea de seguridad
después de haberla creado inicialmente, y comprobarla
después de cada descarga, para asegurarse de que
coincida con la original.
Se puede eliminar la firma de tarea de seguridad sólo cuando el

controlador GuardLogix está en desbloqueo de seguridad y, si está
en línea, cuando el interruptor de llave está en la posición REM o
PROG.
Cuando existe una firma de tarea de seguridad, no se pueden

realizar las siguientes acciones dentro de la tarea de seguridad:
• programación o edición en línea o fuera de línea de

componentes de seguridad;
• forzado de E/S de seguridad;
• manipulación de datos (excepto a través de la lógica de
rutina u otro controlador GuardLogix).
Prueba de verificación de proyecto
Para comprobar si el programa de aplicación se apega a las

especificaciones, es necesario generar un conjunto adecuado de
escenarios de prueba que cubran la aplicación. El conjunto de

escenarios de prueba debe archivarse y conservarse como

especificación de prueba.
Es necesario incluir un grupo de pruebas para comprobar la

validez de los cálculos (fórmulas) utilizados en la lógica de la
aplicación. Es aceptable utilizar pruebas de rangos equivalentes.
Éstas son pruebas dentro de los rangos de valores definidos, en
los límites o en rangos de valores inválidos. El número necesario
de escenarios de prueba depende de las fórmulas utilizadas y
debe incluir pares de valores críticos.
También se debe incluir una simulación activa con fuentes

(dispositivos de campo), ya que es la única forma de verificar que
los sensores y accionadores del sistema estén cableados
correctamente. Verifique la operación de las funciones
programadas manipulando manualmente los sensores y los
accionadores.
También debe incluir pruebas para verificar la reacción frente a

fallos de cableado y fallos de comunicación en red.
La verificación del proyecto incluye pruebas de verificación de

funcionamiento necesarias de las rutinas de fallo y los canales de
entrada y salida, con el fin de asegurarse de que el sistema de
seguridad funcione adecuadamente.
Para realizar una prueba de verificación de funcionamiento en el

controlador GuardLogix, es necesario realizar una prueba total de
la aplicación. Debe alternar cada sensor y accionador utilizado en
cada función de seguridad. Desde la perspectiva del controlador,
esto significa alternar el punto de E/S que va al controlador, no
necesariamente los accionadores. Es necesario asegurarse de
probar todas las funciones de desactivación, ya que estas
funciones generalmente no se ejecutan durante la operación
normal. Además, debe tener en cuenta que la prueba de
verificación de funcionamiento sólo es válida para la aplicación
específica que se prueba. Si el controlador se traslada a otra
aplicación, es necesario realizar también la prueba de verificación
de puesta en marcha y de funcionalidad en el controlador, en el
contexto de su nueva aplicación.
Para obtener más información, consulte Pruebas de verificación de

funcionamiento en la página 14.
Es necesario imprimir o ver el proyecto, y compararlo

manualmente con las configuraciones del controlador y de Safety
I/O cargadas, los datos de seguridad y la lógica del programa de
la tarea de seguridad, para asegurarse de que se hayan descargado
los componentes de seguridad adecuados, de que hayan sido

probados y de que hayan sido conservados en el programa de

aplicación de seguridad.
Si el programa de aplicación contiene una instrucción Add-On de

seguridad que ha sido sellada con una firma de instrucción, usted
también debe comparar la firma de la instrucción, la fecha/hora y
la firma de la instrucción de seguridad con los valores registrados
cuando usted selló la instrucción Add-On.
Consulte el Apéndice B, Instrucciones Add-On de seguridad para

obtener información sobre cómo crear y usar instrucciones
Add-On de seguridad en aplicaciones SIL 3.
Los siguientes pasos ilustran un método para confirmar el

proyecto.
1. Guarde el proyecto con el controlador en modo de

programa.
2. Responda Yes cuando aparezca Upload Tag Values.
3. Con el software RSLogix 5000 fuera de línea, guarde el

proyecto con un nombre nuevo como
Offlineprojectname.ACD, donde projectname es el nombre
del proyecto.
Éste es el nuevo archivo de proyecto maestro probado.
4. Cierre el proyecto.
5. Mueva el archivo de proyecto original fuera de este

directorio.
Puede eliminar este archivo o guardarlo en un disco. Se

requiere este paso porque si el software RSLogix 5000
encuentra projectname.ACD en este directorio, lo
correlacionará con el proyecto del controlador y no realizará
una carga.
6. Con el controlador todavía en modo de programa, cargue el

proyecto desde el controlador.
7. Guarde el proyecto guardado como

Onlineprojectname.ACD, donde projectname es el nombre
de su proyecto.
8. Responda Yes cuando aparezca Upload Tag Values.
9. Abra una segunda vez el software RSLogix 5000 y abra el

proyecto llamado Offlineprojectname.ACD.

10. Con el software RSLogix 5000 abierto dos veces compare lo

siguiente:
• todas las propiedades del controlador GuardLogix y los
módulos CIP Safety I/O
• todas las propiedades de la tarea de seguridad, de los
programas de seguridad y de las rutinas de seguridad
• toda la lógica de las rutinas de seguridad
SUGERENCIA El software RSLogix 5000 incorpora una utilidad de

comparación de programas que puede resultar útil para
identificar los componentes de seguridad que han sufrido
cambios, pero no se puede utilizar en lugar de una
comparación manual. (Compare offlineprojectname.acd
con onlineprojectname.acd).
Validación de seguridad
Es posible que se requiera una revisión del sistema de seguridad

por parte de un ente independiente, para que quede aprobada la
operación del sistema. Se requiere una certificación por parte de
un ente independiente, según IEC 61508 SIL 3.
Bloquear el controlador GuardLogix
Es posible aplicar un bloqueo de seguridad al sistema controlador

GuardLogix, con el fin de proteger los componentes de control de
seguridad frente a posibles modificaciones. La función de bloqueo
de seguridad sólo es aplicable a componentes de seguridad como,
por ejemplo, la tarea de seguridad, los programas de seguridad,
las rutinas de seguridad, los tags de seguridad, las instrucciones
Add-On, las E/S de seguridad y la firma de tarea de seguridad. No
obstante, el bloqueo de seguridad por sí solo no satisface los
requisitos de SIL 3.
Ningún aspecto de seguridad se puede modificar mientras el

controlador está en el estado de bloqueo de seguridad. Cuando el
controlador está en bloqueo de seguridad, no se permiten las
siguientes acciones dentro de la tarea de seguridad:
• programación o edición en línea o fuera de línea

• forzado de E/S de seguridad
• manipulación de datos (excepto a través de la lógica de
rutina u otro controlador GuardLogix)
• creación o edición de instrucciones Add-On de seguridad
• generación o eliminación de la firma de tarea de seguridad

El estado predeterminado del controlador es desbloqueo de

seguridad. Es posible poner la aplicación de seguridad en un
estado de bloqueo de seguridad, independientemente de que esté
en línea o fuera de línea, e independientemente de si tiene la
fuente original del programa. No obstante, no debe estar presente
ningún forzado de seguridad ni edición de seguridad pendiente.
El estado de bloqueo o de desbloqueo de seguridad no se puede
modificar cuando el interruptor de llave está en la posición de
MARCHA.
Para contar con una capa adicional de protección, es posible

utilizar contraseñas independientes para el bloqueo o el
desbloqueo de seguridad del controlador. Las contraseñas son
opcionales.
Descarga del programa de Al realizar la descarga es necesario realizar una prueba completa
de aplicación, a no ser que exista una firma de tarea de seguridad.
aplicación de seguridad
IMPORTANTE Para verificar la integridad de cada descarga, es necesario
grabar manualmente la firma de tarea de seguridad
después de haberla creado inicialmente, y comprobarla
después de cada descarga, para asegurarse de que
coincida con el original.
Las descargas a un controlador GuardLogix en bloqueo de

seguridad se permiten sólo si la firma de tarea de seguridad, la
serie de hardware y la versión del sistema operativo del proyecto
fuera de línea coinciden con las contenidas en el controlador
receptor GuardLogix, y si el estado de la tarea de seguridad del
controlador es OK.
IMPORTANTE Si la firma de tarea de seguridad no coincide y el

controlador está en bloqueo de seguridad, es necesario
desbloquear el controlador para la descarga. La descarga al
controlador elimina la firma de tarea de seguridad. Como
resultado, es necesario volver a validar la aplicación.
Carga del programa de Si el controlador GuardLogix contiene una firma de tarea de

seguridad, dicha firma se carga junto con el proyecto. Esto
aplicación de seguridad significa que cualquier cambio en los datos de seguridad fuera de
línea se sobrescriben como resultado de la carga.

Edición en línea Si no hay firma de tarea de seguridad y el controlador está en

desbloqueo de seguridad, es posible realizar ediciones en línea de
las rutinas de seguridad.
SUGERENCIA No se pueden editar instrucciones estándar ni instrucciones

Add-On de seguridad mientras está en línea.
No puede haber ediciones pendientes cuando el controlador está

en bloqueo de seguridad o cuando hay una firma de tarea de
seguridad. Pueden existir ediciones en línea cuando el controlador
está en bloqueo de seguridad. Sin embargo, no se pueden
ensamblar ni cancelar.
SUGERENCIA Las ediciones en línea en las rutinas estándar no se ven

afectadas por el estado de bloqueo o de desbloqueo de
seguridad.
Para obtener más información acerca de cómo realizar ediciones

en el programa de aplicación, consulte la página 69.
Almacenamiento y carga En la versión 18 o posteriores, los controladores GuardLogix

admiten actualizaciones de firmware, y almacenamiento y
de un proyecto desde la recuperación de programas de usuario utilizando una tarjeta
memoria no volátil CompactFlash. En un sistema 1756 GuardLogix, sólo el
controlador primario usa una tarjeta CompactFlash como memoria
no volátil.
Cuando usted almacena un proyecto de aplicación de seguridad

en una tarjeta CompactFlash, Rockwell Automation recomienda
que seleccione Remote Program como el modo de carga, es decir,
el modo en que debería entrar el controlador después de la carga.
Antes de que la máquina pueda ponerse en funcionamiento, se
requiere intervención del operador para arrancar la máquina.
Usted sólo puede iniciar una carga desde memoria no volátil:
• si el tipo de controlador especificado por el proyecto

almacenado en la memoria no volátil coincide con el tipo
del controlador
• si las revisiones mayor y menor del proyecto alojadas en
memoria no volátil coinciden con las revisiones mayor y
menor del controlador
• si su controlador no está en modo de marcha
La carga de un proyecto a un controlador con bloqueo de

seguridad está permitido sólo cuando la firma de tarea de
seguridad del proyecto almacenado en la memoria no volátil
coincide con el proyecto en el controlador. Si las firmas no
coinciden o el controlador tiene bloqueo de seguridad sin una
firma de tarea de seguridad, usted deberá primero desbloquear el

controlador antes de actualizar el controlador mediante la

memoria no volátil.
IMPORTANTE Si usted desbloquea el controlador e inicia una carga desde

la memoria no volátil, el estado de bloqueo de seguridad,
las contraseñas y la firma de tarea de seguridad se
establecerán con los valores contenidos en la memoria no
volátil una vez que la carga se haya completado.
Forzar los datos Todos los datos contenidos en un tag de seguridad de E/S,
producido o consumido, incluido CONNECTION_STATUS, pueden
ser forzados mientras el proyecto está en desbloqueo de seguridad
y no existe una firma de tarea de seguridad. Sin embargo, los
forzados no sólo deben ser inhabilitados sino también
desinstalados en todos los tags de seguridad, para que el proyecto
de seguridad pueda estar en bloqueo de seguridad o para que se
pueda generar una firma de tarea de seguridad. Los tags de
seguridad no se pueden forzar mientras el proyecto esté en
bloqueo de seguridad o cuando exista una firma de tarea de
seguridad.
SUGERENCIA Es posible instalar y desinstalar los forzados en los tags

estándar, independientemente de si el estado es de
bloqueo o desbloqueo de seguridad.
Inhibir un módulo No es posible inhibir o desinhibir módulos Safety I/O o

controladores productores si la aplicación está en bloqueo de
seguridad o si existe una firma de tarea de seguridad.
Siga estos pasos para inhibir un módulo Safety I/O específico.
1. En el software RSLogix 5000, haga clic con el botón derecho

del mouse en el módulo y seleccione Properties.
2. En el diálogo Module Properties, haga clic en la ficha

Connection.
3. Seleccione Inhibit Connection y haga clic en Apply.

El módulo está inhibido siempre que la casilla de

verificación esté seleccionada. Si un módulo de
comunicación está inhibido, todos los módulos en la rama
descendente también estarán inhibidos.
Edición de la aplicación de Las siguientes reglas se aplican al cambio de la aplicación de

seguridad en el software RSLogix 5000.
seguridad
• Sólo personal autorizado y con la debida capacitación puede
realizar ediciones en los programas. Este personal debe
utilizar todos los métodos de supervisión disponibles como,
por ejemplo, protecciones mediante contraseñas para el
software e interruptor de llave para el controlador.
• Cuando el personal debidamente autorizado y capacitado
realiza ediciones en los programas, éste asume la
responsabilidad de la seguridad central mientras se realizan
los cambios. Este personal también debe mantener la
operación segura de la aplicación.
• Cuando usted realiza una edición en línea, debe utilizar un
mecanismo de protección alternativo para mantener la
seguridad del sistema.
• Debe documentar suficientemente todas las ediciones del
programa, incluidas:
– autorización
– análisis de impacto
– ejecución
– información de prueba
– información de revisión
• Si existen ediciones en línea sólo en las rutinas estándar, no
es necesario validar esas ediciones antes de volver a la
operación normal.
• Es necesario asegurarse de que los cambios en la rutina
estándar, con respecto a la temporización y a la asignación
de tags, sean aceptables para su aplicación de seguridad.
• Usted puede editar la parte lógica de su programa, ya sea en
línea o fuera de línea, tal y como se describe en las
siguientes secciones.
Realización de ediciones fuera de línea
Es posible reanudar la operación cuando se realizan ediciones

fuera de línea sólo a elementos del programa estándar y si la firma
de tarea de seguridad coincide después de la descarga.
Cuando las ediciones fuera de línea afectan el programa de

seguridad, es necesario volver a validar toda la aplicación antes de
reanudar la operación.

El diagrama de flujo de la página 70 ilustra el proceso de edición

fuera de línea.
Realización de ediciones en línea
Cuando las ediciones en línea afectan el programa de seguridad,

es necesario volver a validar toda la aplicación antes de reanudar
la operación. El diagrama de flujo de la página 70 ilustra el
proceso de edición en línea.
SUGERENCIA Limite las ediciones en línea a modificaciones menores en

los programas, como cambios de puntos de ajuste o
adiciones, eliminaciones y modificaciones en la lógica.
Las ediciones en línea se ven afectadas por las funciones de

bloqueo de seguridad y de firma de tarea de seguridad del
controlador GuardLogix.
Para obtener más información, consulte Generar la firma de tarea

de seguridad en la página 62 y Bloquear el controlador
GuardLogix en la página 65.
Para obtener información detallada acerca de cómo editar la lógica

de escalera en el software RSLogix 5000 mientras está en línea,
consulte el documento Logix5000 Controllers Quick Start,
publicación 1756-QS001.
Edite el proyecto
Proceso de edición en línea y fuera de línea

Edición fuera de línea Edición en línea
Abrir proyecto Adjuntar al controlador
¿Hay cambios Sí Realizar las modifica-

¿Hay cambios No
de seguridad? de seguridad? ciones deseadas en la
No lógica estándar
Desbloquear el Sí
controlador
Desbloquear el
Realizar las controlador
modificaciones Eliminar la firma de Probar el programa de
deseadas en la lógica aplicación de seguridad Eliminar la firma de aplicación
Realizar las modifica-
Adjuntar al controlador
ciones deseadas en la Realizar las modifica-
y descargar
lógica de seguridad ciones deseadas
Probar el programa de FIN
aplicación Adjuntar al controlador Probar el programa de
y descargar aplicación
Confirmar el proyecto Generar la firma de tarea de

seguridad
Hacer las modificaciones
Prueba de verificación del
proyecto necesarias
¿Pasó las No Eliminar la firma de

pruebas? aplicación de seguridad
Sí
FIN
Registrar la firma de
Validación de seguridad
(revisión independiente)
¿Es válido No
el proyecto?
Sí
Bloquear el controlador/fin
FIN

Notas:

Capítulo 7
Monitoreo de estado y manejo de fallos
Introducción La arquitectura GuardLogix le proporciona muchas formas de

detectar los fallos del sistema y reaccionar ante ellos. La primera
forma en que usted puede manejar los fallos consiste en
asegurarse de haber completado las listas de verificación de sus
aplicaciones (vea Apéndice D).
Tema Página
Monitoreo del estado del sistema 73
Fallos del sistema GuardLogix 81
Monitoreo del estado del Para monitorear el estado del sistema, usted puede ver el estado
de las conexiones de tags de seguridad. También puede
sistema determinar el estado operativo actual al interrogar varios objetos
de dispositivos. Es su responsabilidad determinar qué datos son
los más adecuados para iniciar una secuencia de desactivación.
Datos de CONNECTION_STATUS
El primer miembro de la estructura de tags asociada con los datos

de entrada de seguridad y con los datos de tags de seguridad
producidos/consumidos contiene el estado de la conexión. Este
miembro es un tipo de datos predefinido que se denomina
CONNECTION_STATUS.
73Publicación 1756-RM093F-ES-P – Enero 2010 73

Capítulo 7 Monitoreo de estado y manejo de fallos
El tipo de datos CONNECTION_STATUS contiene los bits de

estado RunMode y ConnectionFaulted. La siguiente tabla describe
las combinaciones de los estados RunMode y ConnectionFaulted.
Estado de la conexión de seguridad
Estado Estado
Operación de conexión de seguridad
RunMode ConnectionFaulted
1 = Marcha 0 = Válido El dispositivo productor está controlando
activamente los datos. El dispositivo productor
está en el modo de marcha.
0 = Inactivo 0 = Válido La conexión está activa y el dispositivo
productor está en estado inactivo. Los datos de
seguridad han sido restablecidos a cero.
0 = Inactivo 1 = Fallo La conexión de seguridad ha fallado. El estado
del dispositivo productor se desconoce. Los
datos de seguridad han sido restablecidos a
cero.
1 1 Estado inválido
ATENCIÓN Las conexiones Safety I/O y las conexiones

producidas/consumidas no se pueden configurar para que
produzcan un fallo en el controlador si se pierde una
conexión y el sistema realiza la transición al estado seguro.
Por tanto, si necesita detectar un fallo en el módulo para
asegurarse de que el sistema mantiene el nivel SIL 3, debe
monitorear los bits de CONNECTION_STATUS de Safety
I/O e iniciar el fallo a través de la lógica del programa.
Condicionamiento de las líneas de entrada y salida
Los módulos de E/S proporcionan capacidades de prueba de

impulsos y monitoreo. Si el módulo detecta un fallo, establece la
entrada o la salida perturbadora en su estado de seguridad e
informa del fallo al controlador. La indicación de fallo se realiza a
través del estado de entrada o salida y se mantiene durante un
período de tiempo configurable después de que el fallo se repare.
IMPORTANTE Usted es responsable de proporcionar la lógica de la

aplicación para enclavar estos fallos de E/S y para
asegurarse de que el sistema se reinicie correctamente.
Estado de conexión de módulo de E/S
La porción del protocolo de seguridad del sistema operativo del

controlador proporciona el estado para cada módulo de E/S en el
sistema de seguridad. Si se detecta un fallo en la conexión de

Monitoreo de estado y manejo de fallos Capítulo 7
entrada, el sistema operativo pone todas las entradas asociadas en

su estado desenergizado (de seguridad) y el estado de la entrada
asociada en fallo. Si se detecta un fallo de conexión de salida, el
sistema operativo establece el estado de la salida asociada en
condición de fallo. El módulo de salida desactiva las salidas.
IMPORTANTE Usted es responsable de proporcionar la lógica de la

aplicación para enclavar estos fallos de E/S y para
asegurarse de que el sistema se reinicie correctamente.
Sistema de desenergizar para disparar
Los controladores GuardLogix son parte de un sistema de

desenergizar para disparar, lo cual significa que cero es el estado
de seguridad. Todas las entradas y salidas se establecen en cero
cuando se detecta un fallo. Como resultado, toda entrada
monitoreada por una de las instrucciones de entradas diversas
(Entradas diversas o Estación de mando a dos manos) debe tener
entradas normalmente cerradas condicionadas por una lógica
similar a la lógica en el renglón 4 del Ejemplo de lógica de
escalera 2 y Ejemplo de lógica de escalera 3 en las páginas 79 y
80. La lógica exacta requerida depende de la aplicación y del
módulo de entrada. Sin embargo, la lógica debe crear un estado
de seguridad de 1 para la entrada normalmente cerrada de las
instrucciones de entradas diversas.
Use los datos de estado de conexión para iniciar un fallo

mediante la lógica del programa
Los siguientes diagramas proporcionan ejemplos de la lógica de

aplicación requerida para enclavar y restablecer fallos de E/S. Los
ejemplos muestran la lógica necesaria para módulos de entrada
solamente, así como módulos combinados de entrada y salida. Los
ejemplos usan una función de los módulos de E/S llamada estado
combinado, la cual presenta el estado de todos los canales de
entrada en una sola variable booleana. Otra variable booleana
representa el estado de todos los canales de salida. Este enfoque
reduce la cantidad de lógica de condicionamiento de E/S
requerida, y fuerza a la lógica a desactivar todos los canales de
entrada o salida del módulo afectado.
Use el Diagrama de flujo de enclavamiento y restablecimiento de

fallo de entrada en la página 77 para determinar qué renglones de
lógica se requieren para diferentes situaciones de la aplicación. El
Ejemplo de lógica de escalera 1 muestra la lógica que sobrescribe
las variables de tags de entrada actuales mientras exista una
condición de fallo. Si se requiere el estado de entrada para la
resolución de problemas mientras que el fallo de entrada está

enclavado, use la lógica mostrada en el Ejemplo de lógica de

escalera 2. Esta lógica usa tags internos que representan las
entradas que se van a usar en la lógica de la aplicación. Mientras
el fallo de entrada esté enclavado, los tags internos se establecen
en su estado de seguridad. Mientras el fallo de entrada no esté
enclavado, los valores de entrada actuales se copian a los tags
internos.
Use el Diagrama de flujo de restablecimiento y enclavamiento de

fallo de salida para determinar qué renglones de la lógica de
aplicación en el Ejemplo de lógica de escalera 3 en la página 80 se
requieren.

Diagrama de flujo de enclavamiento y restablecimiento de fallo de entrada

Inicio
¿Requiere esta
función de seg. la intervención No
del oper. después de un fallo de
entr. de seg.?
Sí
No ¿Se usan las entradas para

controlar las instrucc. de la aplic.
de seguridad?
Sí
Seleccione Manual
¿Puede usarse el Circuit Reset para Sí
Reset para la instruc.
intervención del operador? de aplic. de seguridad.
No
Escriba la lógica p/ enclavar el ¿Se requiere la información de

fallo de entr. (Renglón 0 de ej.) Sí fallo de entrada para propósitos
de diagnóstico?
Escriba la lóg. p/ establecer las entr. en No

el estado de seg. (Renglones 2 y 3 de ej.)
Escriba la lóg. p/ enclavar el
fallo de ent. (Renglón 0 de ej.)
Escriba la lóg. p/ desenclavar el
fallo de entr. (Rengló 1 de ej.)
No ¿Se usa alguna entrada en una

instrucción con entradas diversas?
(DIN o THRS)
Sí
Escriba la lóg. p/ establecer el valor del estdo. de
seg. cuando la entr. entre en fallo (Renglón 4 de ej.)
Efectuado

Ejemplo de lógica de escalera 1

El nodo 30 es un módulo combinado de 8 puntos de entrada y 8 puntos de salida.
El nodo 31 es un módulo de 12 puntos de entrada.
Si el estado de la entrada no es OK, enclave la indicación de entradas en fallo.

Node30:I.InputStatus Node30InputsFaulted
0 / L
Node31:I.CombinedStatus Node31InputsFaulted
/ L
Si se detecta el flanco ascendente de la señal de restablecimiento de fallo y el estado de la entrada es OK, desenclave la
indicación de entradas en fallo.
FaultReset InputFaultResetOneShot Node30:I.InputStatus Node30InputsFaulted
1 ONS U
U
Si las entradas están en fallo, sobrescriba los tags de entrada con los valores de estado de seguridad.
Node30InputsFaulted Node30:I.Pt00Data
2 U
Node30:I.Pt01Data
U
Node30:I.Pt07Data
U
Si las entradas están en fallo, sobrescriba los tags de entrada con los valores de estado de seguridad.
3 U
Node31:I.Pt01Data
U
Node31:I.Pt11Data
U
Si la indicación de entradas en fallo es verdadera, establezca los valores de entradas diversas en su estado de seguridad (1).
4 L
Node30:I.Pt03Data
L


El nodo 31 es un módulo de 12 puntos de entrada.
Si el estado de la entrada no es OK, enclave la indicación de entradas en fallo.

Node30:I.InputStatus Node30InputsFaulted
0 / L
/ L
FaultReset InputFaultResetOneShot Node30:I.InputStatus Node30InputsFaulted
1 ONS U
U
Si las entradas no están en fallo, escriba los valores de tags de entrada a las representaciones internas de las entradas.
Node30InputsFaulted Node30:I.Pt00Data Node30Input00
2 /
Node30:I.Pt01Data Node30Input01
Si las entradas no están en fallo, escriba los valores de tags de entrada a las representaciones internas de las entradas.
Node31InputsFaulted Node31:I.Pt00Data Node31Input00
3 /
Si la indicación de entradas en fallo es verdadera, establezca las representaciones internas de las entradas diversas en su estado
de seguridad (1).
Node30InputsFaulted Node31Input01
4 L
Node31Input03
L

Diagrama de flujo de restablecimiento y enclavamiento de fallo de salida

Inicio
¿Requiere esta función No

de seg. la intervención del oper.
después de un fallo de entr.
de seg.?
Sí
Escriba la lógica p/ enclavar el Sí ¿Se requiere la información de fallo

fallo de entr. (Renglón 0 de ej.) de salida para fines de diagnóstico?
Escriba la lóg. p/ establecer las No

entr. en el estado de seg.
(Renglones 2 de ej.) Escriba la lóg. p/ enclavar el fallo
de ent. (Renglón 0 de ej.)
Escriba la lóg. p/ desenclavar el
fallo de entr. (Rengló 1 de ej.)
Efectuado
Si el estado de la salida no es OK, enclave la indicación de salida en fallo.

Node30:I.OutputStatus Node30OutputsFaulted
0 / L
FaultReset InputFaultResetOneShot Node30:I.OutputStatus Node30OutputsFaulted
1 ONS U
Node30OutputsFaulted RedundantOutputTag.O1 Node30:O.Pt00Data

2 /
RedundantOutputTag.O2 Node30:O.Pt01Data
Instrucciones GSV (obtener valor del sistema) y SSV

(establecer valor del sistema)
Las instrucciones GSV y SSV permiten obtener (GSV) y establecer

(SSV) datos del sistema controlador que están almacenados en
objetos de dispositivos. Cuando se introduce una instrucción GSV

o SSV, el software de programación muestra las clases válidas de

objetos, los nombres de objetos y los nombres de atributos para
cada instrucción. Existen restricciones en cuanto al uso de las
instrucciones GSV y SSV con componentes de seguridad.
IMPORTANTE La tarea de seguridad no puede realizar operaciones GSV o

SSV en atributos estándar.
Los atributos de los objetos de seguridad que puede
escribir la tarea estándar son sólo para fines de
diagnóstico. No afectan la ejecución de la tarea de
seguridad.
GuardLogix Controllers User Manual,
publicación 1756-UM020 Proporciona información sobre qué
atributos de seguridad son accesibles
1768 Compact GuardLogix Controllers mediante las instrucciones GSV y SSV
Logix5000 Controllers General Contiene más información sobre el uso de
Instructions Reference Manual, las instrucciones GSV y SSV.
publicación 1756-RM003
Fallos del sistema Los fallos en el sistema GuardLogix se dividen en estas tres
categorías:
GuardLogix
• fallos de controlador no recuperables
• fallos de seguridad no recuperables
• fallos recuperables
Para obtener información sobre cómo manejar los fallos, consulte

el documento GuardLogix Controllers User Manual, publicación
1756-UM020 o el documento 1768 Compact GuardLogix
Controllers User Manual, publicación 1768-UM002.

Fallos de controlador no recuperables
Si falla el diagnóstico interno del controlador se presenta un fallo

de controlador no recuperable. La asociación se pierde cuando
tiene lugar un fallo de controlador no recuperable, ya sea en el
controlador primario o en el homólogo de seguridad, lo cual hace
que el otro genere un fallo no recuperable por expiración del
temporizador de control (watchdog). La ejecución de la tarea
estándar y de la tarea de seguridad se detienen, y Safety I/O
realiza una transición al estado seguro.
En el caso de la recuperación de un fallo de controlador no

recuperable, es necesario realizar una descarga del programa de
aplicación.
Fallos de seguridad no recuperables
En caso de que se produzca un fallo de seguridad no recuperable,

el controlador registra el fallo en el gestor de fallos restringidos al
controlador y desactiva la tarea de seguridad, incluidas Safety I/O
y la lógica de seguridad.
Para la recuperación de un fallo de seguridad no recuperable, la

memoria de seguridad se reinicializa, ya sea desde la firma de
tarea de seguridad (sucede automáticamente cuando se borra el
fallo) o, si no existe una firma de tarea de seguridad, mediante
una descarga explícita del proyecto de seguridad.
Usted puede anular el fallo de seguridad si borra la entrada del

registro de fallos por medio del gestor de fallos de seguridad
restringido al controlador. Esto permite que las tareas estándar
sigan funcionando.
ATENCIÓN
La anulación del fallo de seguridad no lo borra. Si usted
anula el fallo de seguridad, es su responsabilidad
comprobar que al hacerlo se mantiene el nivel SIL 3.

Fallos recuperables
Los fallos del controlador originados por errores de programación

del usuario en un programa de seguridad activan el controlador
para que procese la lógica contenida en el gestor de fallos del
programa de seguridad del proyecto. El gestor de fallos del
programa de seguridad proporciona a la aplicación la oportunidad
de resolver la condición de fallo y posteriormente realizar la
recuperación.
ATENCIÓN Usted debe presentar una prueba al organismo certificador

de que la recuperación automática de los fallos
recuperables mantiene el SIL 3.
Cuando no existe un gestor de fallos del programa de seguridad o

el fallo no se puede recuperar a través de éste, el controlador
procesa la lógica en el gestor de fallos restringido al controlador,
con lo cual cancela la lógica del programa de seguridad y deja las
conexiones Safety I/O activas, pero en estado inactivo.
IMPORTANTE Cuando la ejecución de la lógica del programa de

seguridad se cancela debido a un fallo recuperable que no
se maneja a través del gestor de fallos del programa de
seguridad, las conexiones Safety I/O se cierran y se
vuelven a abrir, para reinicializar las conexiones de
seguridad.
Si la lógica del usuario se cancela como resultado de un fallo

recuperable que no se recupera, las salidas de seguridad se ponen
en el estado seguro y el productor de los tags consumidos de
seguridad da instrucciones a los consumidores para ponerlos en el
estado seguro.
SUGERENCIA Cuando se utilizan E/S de seguridad para aplicaciones

estándar, las E/S de seguridad reciben instrucciones para
ponerse en estado seguro si la lógica del usuario finaliza
como resultado de un fallo recuperable que no se recupera.
Si se anula un fallo de seguridad recuperable en el gestor de fallos

restringido al controlador, sólo las tareas estándar siguen
funcionando. Si el fallo no se anula, las tareas estándar también se
desactivan.
ATENCIÓN La anulación del fallo de seguridad no lo borra. Si usted

anula el fallo de seguridad, es su responsabilidad probar
que al hacerlo se mantiene el SIL 3.


Apéndice A
Instrucciones de seguridad
Introducción
Tema Página
Instrucciones de aplicaciones de seguridad 85
Instrucciones de aplicaciones de seguridad, 87
formato metálico
Instrucciones de seguridad 88
Para obtener la información más reciente, vea nuestros

certificados de seguridad en
http://www.rockwellautomation.com/products/certification/safety/.
Instrucciones de
aplicaciones de seguridad RSLogix 5000, versión 17 y posteriores; instrucciones de aplicaciones de
seguridad
Mnemónico Nombre Finalidad Certificación
CROUT Salida redundante Controla y monitorea salidas redundantes. • BG
configurable • TÜV
DCS Entrada de doble canal – Monitorea dispositivos de seguridad de doble entrada cuyo propósito • BG
Paro principal es proporcionar una función de paro como, por ejemplo, paro • TÜV
de emergencia, cortina de luz o interruptor de compuerta.
DCST Entrada de doble canal – Monitorea dispositivos de seguridad de doble entrada cuyo propósito • BG
Paro con prueba principal es proporcionar una función de paro como, por ejemplo, paro • TÜV
de emergencia, cortina de luz o interruptor de compuerta. Incluye la
capacidad adicional de iniciar una prueba de funcionamiento del
dispositivo de paro.
DCSTL Entrada de doble canal – Monitorea dispositivos de seguridad de doble entrada cuyo propósito • BG
Paro con prueba y principal es proporcionar una función de paro como, por ejemplo, paro • TÜV
bloqueo de emergencia, cortina de luz o interruptor de compuerta. Incluye la
dispositivo de paro y puede monitorear una señal de retroalimentación
de un dispositivo de seguridad y emitir una petición de bloqueo a un
dispositivo de seguridad.
DCSTM Entrada de doble canal – Monitorea dispositivos de seguridad de doble entrada cuyo propósito TÜV
Paro con prueba y principal es proporcionar una función de paro como, por ejemplo, paro
silenciamiento de emergencia, cortina de luz o interruptor de compuerta. Esto incluye la
dispositivo de paro y la capacidad de silenciar el dispositivo de
seguridad.
DCM Entrada de doble canal – Monitorea dispositivos de seguridad de doble entrada. • BG
Monitoreo • TÜV

Apéndice A Instrucciones de seguridad

DCSRT Entrada de doble canal – Energiza dispositivos de seguridad de entrada doble cuya principal • BG
Inicio función es arrancar una máquina de manera segura, por ejemplo, • TÜV
habilitar estación colgante.
SMAT Tapete de seguridad Indica si el tapete de seguridad está o no está ocupado. TÜV
THRSe Estación de mando a dos Monitorear dos entradas de seguridad diversas: una desde un botón • BG
manos – Características pulsador para la mano derecha y otra desde un botón pulsador para la • TÜV
mejoradas mano izquierda, a fin de controlar una sola salida. Proporciona un
tiempo de discrepancia configurable canal a canal y capacidad mejorada
para saltarse una estación de mando a dos manos.
TSAM Muting asimétrico de Proporciona inhabilitación temporal y automática de la función de TÜV
dos sensores protección de una cortina de luz, mediante dos sensores de muting
dispuestos de forma asimétrica.
TSSM Muting simétrico de dos Proporciona inhabilitación temporal y automática de la función de TÜV
sensores protección de una cortina de luz, mediante dos sensores de muting
dispuestos de forma simétrica.
FSBM Muting bidireccional de Proporciona inhabilitación temporal y automática de la función de TÜV
cuatro sensores protección de una cortina de luz, mediante cuatro sensores dispuestos
secuencialmente antes y después del campo de detección de la cortina
de luz.
RSLogix 5000, versión 14 y posteriores; descripciones de instrucciones de aplicaciones de seguridad

ENPEN Habilitar estación Monitorea dos entradas de seguridad para controlar una sola salida, • TÜV
colgante y tiene un valor de tiempo de espera por entradas incoherentes de 3 s.
ESTOP Paro de emergencia Monitorea dos entradas de seguridad para controlar una sola salida, • TÜV
y tiene un valor de tiempo de espera por entradas incoherentes de
500 ms.
RIN Entrada redundante Monitorea dos entradas de seguridad para controlar una sola salida, • TÜV
y tiene un valor de tiempo de espera por entradas incoherentes de
500 ms.
ROUT Salida redundante Monitorea el estado de una entrada para controlar y monitorear dos • TÜV
salidas.
DIN Entrada diversa Monitorea dos entradas de seguridad diversas para controlar una sola • TÜV
salida, y tiene un valor de tiempo de espera por entradas incoherentes
de 500 ms.
FPMS Selector de modo de 5 Monitorea cinco entradas de seguridad para controlar una de las cinco • TÜV
posiciones salidas que corresponden a la entrada activa.
THRS Estación de mando a Monitorea dos entradas de seguridad diversas: una desde un botón • TÜV
dos manos pulsador para la mano derecha y otra desde un botón pulsador para la
mano izquierda, a fin de controlar una sola salida.
LC Cortina de luz Monitorea dos entradas de seguridad desde una cortina de luz, para • TÜV
controlar una sola salida.

Instrucciones de seguridad Apéndice A
Instrucciones de Estas instrucciones están disponibles en el software RSLogix 5000,

versión 17 y posteriores.
aplicaciones de seguridad,
formato metálico
CBCM Modo continuo de freno Se usa para aplicaciones de prensa de operación continua. • BG
de embrague • TÜV
CBIM Modo de marcha lenta Se usa para aplicaciones de prensa que requieren ajustes de • BG
de freno de embrague deslizamiento menores, tales como configuración de prensa. • TÜV
CBSSM Modo de un solo Se usa en aplicaciones de prensa de un sólo ciclo. • BG
impulso de freno de • TÜV
embrague
CPM Monitor de posición de Se usa para determinar la posición de deslizamiento de la prensa. • BG
cigüeñal • TÜV
CSM Monitor de cigüeñal Monitorea el movimiento en operaciones de arranque, paro y marcha de • BG
un eje de distribución. • TÜV
EPMS Selector de modo de Monitorea ocho entradas de seguridad para controlar una de las ocho • BG
ocho posiciones salidas que corresponden a la entrada activa. • TÜV
AVC Control de válvula Controla una válvula auxiliar que se usa en combinación con una válvula • TÜV
auxiliar principal.
MVC Control de válvula Controla y monitorea una válvula principal. • BG
principal • TÜV
MMVC Control de válvula Se usa para accionar manualmente una válvula durante las operaciones • BG
manual de de mantenimiento. • TÜV
mantenimiento

Instrucciones de seguridad Las rutinas en la tarea de seguridad pueden usar estas

instrucciones de seguridad de lógica de escalera.
Instrucciones de seguridad de lógica de escalera; software RSLogix 5000, versión 14 y posteriores

Tipo Mnemónico Nombre Finalidad
XIC Examinar si está cerrado Habilitar salidas cuando se establece un bit.
XIO Examinar si está abierto Habilitar salidas cuando se borra un bit.
OTE Activación de salida Establecer un bit.
OTL Enclavamiento de salida Establecer un bit (retentivo).
OTU Desenclavamiento de Borrar un bit (retentivo).
Bit salida
ONS Un impulso Activar un evento para que ocurra una vez.
OSR Un impulso en flanco Activar un evento para que ocurra una vez con el flanco ascendente (de
ascendente estado falso a verdadero).
OSF Un impulso en flanco Activar un evento una vez con el flanco descendente (de estado verdadero a
descendente falso).
TON Temporizador de retardo Tiempo durante el cual un temporizador está habilitado
a la conexión
TOF Temporizador de retardo Tiempo durante el cual un temporizador está inhabilitado.
a la desconexión
Tempori- RTO Temporizador retentivo Acumular tiempo
zador activado
CTU Conteo progresivo Conteo progresivo
CTD Conteo regresivo Conteo regresivo
RES Restablecimiento Restablecer un temporizador o un contador.
EQU Igual a Probar si dos valores son iguales.
GEQ Mayor o igual que Probar si un valor es mayor o igual que un segundo valor.
GRT Mayor que Probar si un valor es mayor que un segundo valor.
LEQ Menor o igual que Probar si un valor es menor o igual que un segundo valor.
Compa-
ración LES Menor que Probar si un valor es menor que un segundo valor.
MEQ Comparación Pasar la fuente, comparar los valores a través de una máscara y determinar si
enmascarada para igual son iguales.
NEQ Desigual a Probar si un valor no es igual a un segundo valor.
LIM Prueba de límite Probar si un valor está dentro de un rango determinado.
CLR Borrar Borrar un valor.
Movi- COP (1) Copiar Copiar un valor
miento MOV Mover Copiar un valor
MVM Mover con máscara Copiar una parte específica de un entero
AND Y Realizar la función Y a nivel de bits
NOT NO a nivel de bits Realizar la función NOT a nivel de bits
Lógico OR O a nivel de bits Realizar la función O a nivel de bits
XOR O exclusivo a nivel de Realizar la función O exclusivo a nivel de bits
bits

Instrucciones de seguridad Apéndice A
Instrucciones de seguridad de lógica de escalera; software RSLogix 5000, versión 14 y posteriores

Tipo Mnemónico Nombre Finalidad
JMP Saltar a etiqueta Saltar sobre una sección de lógica que no siempre necesita ser ejecutada
(salta a la instrucción de la etiqueta referenciada).
LBL Etiqueta Etiqueta una instrucción para que pueda ser referenciada por una instrucción
JMP.
JSR Saltar a subrutina Saltar a una rutina separada.
Control RET Retornar Retornar los resultados de una subrutina.
de
SBR Subrutina Pasar datos a una subrutina.
programa
TND Fin temporal Marcar un fin temporal que detiene la ejecución de la rutina.
MCR Restablecimiento de Inhabilita todos los renglones de una sección de lógica.
control maestro
AFI Instrucción siempre falso Inhabilitar un renglón.
NOP Ninguna operación Insertar un indicador de posición en la lógica.
ADD Sumar Sumar dos valores.
SUB Restar Restar dos valores.
MUL Multiplicar Multiplicar dos valores
Matemá- DIV Dividir Dividir dos valores.
ticas/ MOD Módulo Determinar el residuo después de que un valor se divide entre un segundo
Cálculo valor.
SQR Raíz cuadrada Calcular la raíz cuadrada de un valor.
NEG Negar Tomar el signo opuesto de un valor.
ABS Valor absoluto Tomar el valor absoluto de un valor.
GSV (2) Obtener valor del Obtener información de estado del controlador.
sistema
E/S
SSV(2) Establecer valor del Establecer información de estado del controlador.
sistema
(1) La longitud del operando debe ser una constante cuando se utiliza la instrucción COP en una rutina de seguridad. La longitud del origen y del destino deben ser
iguales.
(2) Al usar las instrucciones GSV y SSV, consulte las consideraciones especiales descritas en el documento GuardLogix Controllers User Manual, publicación
1756-UM020.
GuardLogix Safety Application Instruction Set Proporciona más información acerca
Reference Manual, publicación 1756-RM095 de las instrucciones de aplicaciones
de seguridad.
Logix5000 Controllers General Instructions Contiene información detallada sobre
Reference Manual, publicación 1756-RM003 el conjunto de instrucciones Logix.


Apéndice B
Instrucciones Add-On de seguridad
Introducción
Tema Página
Creación y uso de una instrucción Add-On de 91
seguridad
Con el software RSLogix 5000, versión 18 y posteriores, usted

puede crear instrucciones Add-On de seguridad. Las instrucciones
Add-On de seguridad permiten encapsular la lógica de seguridad
usada comúnmente en una sola instrucción, haciéndola modular y
más fácil de reutilizar.
Las instrucciones Add-On de seguridad usan la firma de

instrucción de las instrucciones Add-On de alta integridad y
también una firma de instrucción de seguridad SIL 3 para uso en
funciones asociadas con la seguridad hasta el nivel SIL 3.
Creación y uso de una El diagrama de flujo proporcionado en la página 92 muestra los

pasos requeridos para crear una instrucción Add-On de seguridad
instrucción Add-On de y posteriormente usar dicha instrucción en un programa de
seguridad aplicación de seguridad SIL 3. Los ítems sombreados son pasos
exclusivos de las instrucciones Add-On. Los ítems en negrita se
explican en las páginas siguientes al diagrama de flujo.

Apéndice B Instrucciones Add-On de seguridad
Diagrama de flujo para crear y usar instrucciones Add-On de seguridad

Para usar una instruc. Add-On de seg.
Para crear una instruc. Add-On de seg.
Para modificar una Crear o abrir un proyecto
instruc. Add-On de seg. Crear un proy. de prueba de instruc. Add-On
(fuera de lín.)
Importar una instruc. Add-On de seg.
Crear una instrucción Add-On de seg.
Crear/modificar una aplicación

Generar una firma de instrucción
Descargar
Crear/modifica un prog. prueba
Verificar firmas de instrucción Add-On

Descargar de seguridad
Modificar una instruc.
(Generar firma de
Add-On de seg.
instrucción de seguridad)
Regresar al proyecto No ¿Firma de instrucción
de prueba original válida?
Eliminar firma de
Cambiar al modo de marcha Sí
instrucción
Regresar al proyecto No
Realizar prueba de calificación ¿Firma de instruc. de
Ir fuera de línea de instrucción Add-On SIL3 de prueba original seg. válida?
Sí
Eliminar firma de tarea de No ¿Pasaron
todas las pruebas?
seguridad, si la hay. Probar el programa de aplicación
Sí
Confirmar proyecto Cambiar al modo de programa
Validar la seguridad de la instrucción

Add-On Crear la firma de tarea de seguridad
Crear entrada de historial de firmas

(fuera de línea) Hacer las Confirmar proyecto
modificaciones
necesarias
Registrar firma de instrucción, fecha/hora
y firma de instrucción de seguridad Cambiar al modo de marcha
Eliminar la firma de tarea
de seguridad
Exportar instrucción Add-On de seg. Prueba de verif. de proyecto
No
Instrucción Add-On de seguridad
disponible para su uso ¿Se requieren ¿Pasaron
No
cambios a la instrucción todas las pruebas?
Sí Add-On?
Sí
Registrar la firma de tarea de seguridad
Validar seguridad de proyecto
No ¿Es válido el
proyecto?
Sí
Efectuado

Instrucciones Add-On de seguridad Apéndice B
Crear proyecto de prueba de instrucción Add-On
Usted necesita crear un proyecto de prueba único,

específicamente para crear y probar la instrucción Add-On de
seguridad. Éste debe ser un proyecto separado y dedicado para
minimizar las influencias inesperadas.
Siga las pautas para proyectos descritas en la sección Crear el

proyecto en la página 61.
Crear una instrucción Add-On de seguridad
Para obtener información sobre las pautas para crear instrucciones

Add-On, consulte el documento Logix5000 Controllers Add-On
Instruction Programming Manual, publicación 1756-PM010.
Generar firma de instrucción
La firma de instrucción le permite determinar rápidamente si la

instrucción se ha modificado. Cada instrucción Add-On tiene la
capacidad de tener su propia firma. La firma de instrucción se
requiere cuando se usa una instrucción Add-On en funciones
relacionadas con la seguridad, y puede requerirse para las
industrias reguladas. Úsela cuando su aplicación requiera un
mayor nivel de integridad.
La firma de instrucción consiste en un número de identificación y

un sello de hora que identifican el contenido de la instrucción
Add-On en un momento dado.
Una vez generada, la firma de instrucción sella la instrucción

Add-On, evitando que ésta se edite mientras la firma está
implementada. Esto incluye comentarios de renglón, descripciones
de tag y cualquier documentación de instrucción creada. Cuando
la instrucción está sellada, usted sólo puede realizar las siguientes
acciones:
• copiar la firma de instrucción

• crear o copiar una entrada de historial de firmas
• crear instancias de la instrucción Add-On
• descargar la instrucción
• retirar la firma de instrucción
• imprimir informes

Cuando se ha generado una firma de instrucción, el software

RSLogix 5000 muestra la definición de la instrucción con el icono
de sello.
IMPORTANTE Si va a proteger una instrucción Add-On usando la función

de protección de fuente que está disponible en el software
RSLogix 5000, debe habilitar la protección de fuente antes
de generar la firma de instrucción.
Descargar y generar firma de instrucción de seguridad
Cuando una instrucción Add-On de seguridad se descarga por

primera vez, se genera automáticamente una firma de instrucción
de seguridad SIL 3. La firma de instrucción de seguridad es un
número de identificación que identifica las características de
ejecución de la instrucción Add-On de seguridad.
Prueba de calificación de instrucción Add-On SIL 3
La instrucción Add-On de seguridad SIL 3 debe ejecutarse en una

aplicación separada dedicada para asegurarse de minimizar las
influencias inesperadas. El especialista en desarrollo debe seguir
un plan de prueba bien diseñado y realizar una prueba de unidad
de la instrucción Add-On de seguridad que cubra todas las rutas
de ejecución posibles a través de la lógica, incluidos los rangos
válidos y no válidos de todos los parámetros de entrada.
El desarrollo de todas las instrucciones Add-On de seguridad debe

satisfacer la norma IEC 61508 – ‘Requisitos de prueba de módulo
de software’, que incluye los requisitos detallados para la prueba
de unidad.
Es necesario imprimir o ver el proyecto y comparar manualmente

los ítems cargados, a saber, las configuraciones del controlador y
las E/S de seguridad, los datos de seguridad, las definiciones de la
instrucción Add-On de seguridad y la lógica del programa de la
tarea de seguridad, para asegurarse de que se hayan descargado
los componentes de seguridad adecuados, que hayan sido
probados y que hayan sido conservados en el programa de
aplicación de seguridad.

Vea la sección Confirmar el proyecto en la página 63 para obtener

la descripción de un método de confirmación de un proyecto.
Validar la seguridad de instrucciones Add-On
Es posible que se requiera una revisión de la instrucción Add-On

de seguridad por parte de un ente independiente, para que quede
aprobado el uso de dicha instrucción. Se requiere una validación
por parte de un ente independiente, según IEC 61508 SIL 3.
Crear entrada de historial de firmas
El historial de firmas proporciona un registro para referencia

futura. Una entrada de historial de firmas consta de la firma de la
instrucción, el nombre del usuario, el valor del sello de hora y una
descripción definida por el usuario. Es posible almacenar hasta
seis entradas de historial. Es necesario estar fuera de línea para
crear una entrada de historial de firma.
SUGERENCIA El informe de listado de firmas del software RSLogix 5000

imprime la firma de instrucción, el sello de hora y la firma
de instrucción de seguridad. Para imprimir el informe haga
clic con el botón derecho del mouse en la instrucción
Add-On en el Controller Organizer y seleccione
Print>Signature Listing.
Exportar e importar la instrucción Add-On de seguridad
Cuando vaya a exportar una instrucción Add-On de seguridad,

seleccione la opción que incluye todas las instrucciones Add-On
referenciadas y los tipos definidos por el usuario en el mismo
archivo de exportación. El incluir las instrucciones Add-On
referenciadas facilita la conservación de las firmas.
Al importar las instrucciones Add-On, considere las pautas

siguientes.
• No se puede importar una instrucción Add-On de seguridad

en un proyecto estándar.
• No es posible importar una instrucción Add-On de seguridad
a un proyecto de seguridad que tenga bloqueo de seguridad
o una firma de tarea de seguridad.
• No se puede importar una instrucción Add-On de seguridad
mientras se está en línea.

• Si se importa una instrucción Add-On con una firma de

instrucción en un proyecto donde las instrucciones Add-On
referenciadas o los tipos definidos por el usuario no están
disponibles, quizás sea necesario eliminar la firma.
Verificar firmas de instrucción Add-On de seguridad
Después de descargar el proyecto de aplicación que contiene la

instrucción Add-On de seguridad importada, usted debe comparar
el valor de la firma de instrucción, la fecha y el sello de hora y los
valores de firmas de instrucción de seguridad con los valores
originales registrados antes de exportar la instrucción Add-On de
seguridad. Si coinciden, la instrucción Add-On de seguridad es
válida y usted puede continuar con la validación de su aplicación.
Probar el programa de aplicación
Este paso consta de cualquier combinación de modo de marcha y

de programa, ediciones de programa en línea o fuera de línea,
cargas y descargas, y pruebas informales necesarias para que la
aplicación funcione debidamente.
Prueba de verificación de proyecto
Realice una prueba de ingeniería de la aplicación, incluido el

sistema de seguridad.
Vea Pruebas de verificación de funcionamiento en la página 14 y

Prueba de verificación de proyecto en la página 62 para obtener
más información sobre los requisitos.
Validar la seguridad del proyecto
Es posible que se requiera una revisión del sistema de seguridad

por parte de un ente independiente, para que quede aprobada la
operación del sistema. Se requiere una validación por parte de un
ente independiente, según IEC 61508 SIL 3.

Logix5000 Controllers Add-On Instructions Proporciona información sobre cómo
Programming Manual, publicación planificar, crear, usar, importar y exportar
1756-PM010 las instrucciones Add-On en aplicaciones
RSLogix 5000.
Import/Export Project Components Contiene información detallada sobre la
Programming Manual, publicación importación y exportación
1756-PM019


Apéndice C
Tiempos de reacción
Introducción
Tema Página
Tiempo de reacción del sistema 99
Tiempo de reacción del sistema Logix 99
Tiempo de reacción del Para determinar el tiempo de reacción del sistema de cualquier
cadena de control, debe sumar los tiempos de reacción de todos
sistema los componentes de la cadena de seguridad.
Tiempo de reacción del sistema = Tiempo de reacción del sensor

+ Tiempo de reacción del sistema Logix + Tiempo de reacción del
accionador
Tiempo de reacción del sistema
Tiempo de Tiempo de Tiempo de Tiempo de Tiempo de

reacción del reacción de la reacción tarea reacción de la reacción del
sensor entrada seguridad salida accionador
Tiempo de reacción del sistema Logix
Módulo de Conexión de Lógica Conexión de Módulo de

entrada entrada salida salida
Tiempo de reacción del Las siguientes secciones proporcionan información acerca de

cómo calcular el tiempo de reacción del sistema Logix de una
sistema Logix cadena sencilla de entrada-lógica-salida y para una aplicación más
compleja que utilice tags de seguridad producidos/consumidos en
la cadena lógica.

Apéndice C Tiempos de reacción
Cadena sencilla de entrada-lógica-salida
Tiempo de reacción del sistema Logix de una cadena sencilla de

entrada-lógica-salida
3. Lógica
Módulo de comunicación
Controlador GuardLogix
1. Módulo de 2. Conexión de entrada 4. Conexión de salida 5. Módulo de
entrada de de seguridad de seguridad salida de
seguridad seguridad
Red CIP Safety
El tiempo de reacción del sistema Logix para cualquier cadena

sencilla de entrada-lógica-salida consta de los cinco componentes
siguientes:
1. Tiempo de retardo del módulo de entrada
2. Tiempo de transferencia de datos de entrada a través de la

conexión de entrada
3. Tiempo de procesamiento del controlador (lógica)
4. Tiempo de transferencia de datos de salida a través de la

conexión de salida
5. Tiempo de retardo del módulo de salida
Para ayudar en la determinación del tiempo de reacción de su

lazo de control particular, en la carpeta Tools del CD del software
RSLogix 5000 se incluye una hoja de cálculo en formato Microsoft
Excel.

Tiempos de reacción Apéndice C
Cadena lógica que utiliza tags de seguridad

producidos/consumidos
Tiempo de reacción del sistema Logix de una cadena entrada-controlador A

lógica-controlador B lógica-salida
4. Conex. de seguridad datos prod./consum.
Conmutador
Red Red
EtherNet
EtherNet EtherNet
3. Lógica 5. Lógica
Módulo DeviceNet
Módulo DeviceNet
Módulo EtherNet
Módulo EtherNet
Controlador
Controlador
GuardLogix
1. Módulo de 2. Conexión de entrada GuardLogix 6. Conexión de salida 7. Módulo

entrada de de seguridad de seguridad de salida de
seguridad seguridad
Red CIP Safety Red CIP Safety
El tiempo de reacción del sistema Logix de una cadena

entrada-controlador A lógica-controlador B lógica-salida consta de
los siguientes siete componentes:
1. Tiempo de retardo del módulo de entrada
2. Tiempo de transferencia de datos de entrada a través de la

conexión de entrada
4. Tiempo de transferencia de datos producidos/consumidos a

través de la conexión producida/consumida
6. Tiempo de transferencia de datos de salida a través de la

conexión de salida
7. Tiempo de retardo del módulo de salida
Para ayudar a determinar el tiempo de reacción de su lazo de

control particular, en la carpeta Tools del CD del software
RSLogix 5000 se incluye una hoja de cálculo en formato Microsoft
Excel.

Factores que afectan los componentes del tiempo de reacción

del sistema Logix
Los componentes del tiempo de reacción de Logix descritos en las

secciones anteriores pueden verse influenciados por una serie de
factores.
Factores que afectan el tiempo de reacción del sistema Logix
Estos componentes de tiempo de Son influenciados por los siguientes

reacción factores
Tiempo de retardo del módulo de entrada Configuración de retardo de punto de
entrada
Tipo de módulo de entrada
Tiempo de transferencia de datos de Configuración de módulo de entrada
entrada a través de la conexión de para:(1)
entrada
• intervalo entre paquetes solicitados
(RPI)
• multiplicador de tiempo de espera
• multiplicador de retardo
Cantidad de tráfico de comunicación en
la red
Entorno de compatibilidad
electromagnética (EMC) del sistema
Tiempo de procesamiento del controlador Configuración del período de la tarea de
seguridad
Configuración del temporizador de
control (watchdog) de la tarea de
seguridad
Número y tiempo de ejecución de las
instrucciones en la tarea de seguridad
Toda tarea de mayor prioridad que pueda
impedir la ejecución de la tarea de
seguridad
Tiempo de transferencia de datos de tags Configuración de tag consumido para:(2)
producidos/consumidos a través de la
conexión producida/consumida • intervalo entre paquetes solicitados
(RPI)
la red

Tiempos de reacción Apéndice C
Factores que afectan el tiempo de reacción del sistema Logix
Estos componentes de tiempo de Son influenciados por los siguientes

reacción factores
Tiempo de transferencia de datos de Configuración del período de la tarea de
salida a través de la conexión de salida seguridad
Configuraciones de módulo de salida
para:
la red
Tiempo de retardo del módulo de salida Tipo de módulo de salida
(1) Se puede obtener acceso a estas configuraciones en el software RSLogix 5000 con sólo pulsar el botón
Advanced de la ficha Safety del diálogo Module Properties.
(2) Se puede obtener acceso a estas configuraciones en el software RSLogix 5000 con sólo pulsar el botón
Advanced de la ficha Safety del diálogo Consumed Tag Safety Data.
GuardLogix Controllers User Manual, Contiene información sobre la
publicación 1756-UM020 configuración de límites de tiempos de
retardo y de tiempos de reacción para la
1768 Compact GuardLogix Controllers
conexión de entrada, la tarea de
seguridad y la conexión de salida.
Consulte la documentación de su módulo específico para obtener información sobre
los tiempos de reacción asociados con los módulos CIP Safety I/O.


Apéndice D
Listas de verificación para aplicaciones de

seguridad GuardLogix
Introducción Las listas de verificación de este apéndice son necesarias para

planificar, programar y poner en marcha una aplicación
GuardLogix con certificación SIL 3. Pueden utilizarse como guías
de planificación, así como durante las pruebas de verificación de
funcionamiento. Si se utilizan como guías de planificación, las
listas de verificación se pueden guardar como registro del plan.
Las listas de verificación en las siguientes páginas proporcionan

una muestra de las consideraciones de seguridad y no fueron
concebidas como una lista exhaustiva de puntos a verificar. Su
aplicación de seguridad en particular puede tener requisitos de
seguridad adicionales, para los que hemos contemplado un
espacio en las listas de verificación.
Tema Página
Listas de verificación para el sistema controlador 106
GuardLogix
Lista de verificación para entradas de seguridad 107
Lista de verificación para salidas de seguridad 108
Lista de verificación para el desarrollo de un programa de 109
SUGERENCIA Haga copias de las listas de verificación y guarde estas

páginas para uso futuro.

Apéndice D Listas de verificación para aplicaciones de seguridad GuardLogix
Listas de verificación para el sistema controlador GuardLogix

Lista de verificación para el sistema GuardLogix
Empresa
Ubicación
Definición de la función de seguridad
Completada Comentario
Número Requisitos del sistema
Sí No
1 ¿Está usando sólo los componentes listados en
Componentes GuardLogix con certificación SIL 3 en la página 17 y en el sitio
http://www.rockwellautomation.com/products/certification/safety/, con la
versión de firmware correspondiente?
2 ¿Ha calculado el tiempo de respuesta de seguridad del sistema para cada
cadena de seguridad?
3 ¿El tiempo de respuesta del sistema incluye tanto el tiempo del temporizador de
control del programa (watchdog de software), como la velocidad/período de la
tarea de seguridad?
4 ¿Está el tiempo de respuesta del sistema en la proporción adecuada con
respecto al tiempo de tolerancia del proceso?
5 ¿Se han calculado los valores de probabilidad (PFD/PFH), según la configuración
del sistema?
6 ¿Ha realizado todas las pruebas de verificación de funcionamiento
correspondientes?
7 ¿Ha determinado cómo manejará los fallos su sistema?
8 ¿Tiene cada red del sistema de seguridad un SNN único?
9 ¿Está cada dispositivo CIP Safety configurado con el SNN correcto?
10 ¿Ha generado una firma de tarea de seguridad?
11 ¿Ha cargado y grabado la firma de tarea de seguridad para compararla
posteriormente?
12 ¿Después de una descarga, ha verificado que la firma de tarea seguridad del
controlador coincida con la firma de tarea de seguridad grabada?
13 ¿Ha dispuesto un mecanismo alternativo para preservar la integridad de
seguridad del sistema al realizar ediciones en línea?
14 ¿Ha tenido en cuenta las listas de verificación para utilizar las entradas y salidas
SIL que aparecen en las páginas 107 y 108?

Listas de verificación para aplicaciones de seguridad GuardLogix Apéndice D
Lista de verificación para Para la programación o la puesta en marcha, es posible llenar una
lista de verificación individual para cada canal de entrada SIL de
entradas de seguridad un sistema. Ésta es la única forma de asegurarse de que los
requisitos se implementen total y claramente. Esta lista de
verificación también se puede utilizar como documentación de la
conexión del cableado externo al programa de aplicación.
Lista de verificación para entradas del sistema GuardLogix
Empresa
Ubicación
Canales de entrada SIL
Completada
Número Requisitos del módulo de entrada Comentario
Sí No
1 ¿Ha seguido las instrucciones de instalación y las precauciones de conformidad con los
estándares de seguridad aplicables?
2 ¿Ha realizado pruebas de verificación de funcionamiento en el sistema y en los
módulos?
3 ¿Se ejecutan los diagnósticos de control y las funciones de alarma secuencialmente en
la lógica de la aplicación?
4 ¿Ha cargado y comparado la configuración de cada módulo con la configuración
enviada por la herramienta de configuración?
5 ¿Están los módulos cableados de conformidad con PLe/Cat. 4 según ISO 13849-1?(1)
6 ¿Ha verificado que las especificaciones eléctricas del sensor y de la entrada sean
compatibles?
(1) Para obtener información acerca del cableado de su módulo CIP Safety I/O, consulte en la documentación del producto la sección que trata del módulo específico.

Lista de verificación para Para la programación o la puesta en marcha, es posible llenar una
lista de verificación de requisitos individual para cada canal de
salidas de seguridad salida SIL de un sistema. Ésta es la única forma de asegurarse de
que los requisitos se implementen total y claramente. Esta lista de
verificación también se puede utilizar como documentación de la
conexión del cableado externo al programa de aplicación.
Lista de verificación de salidas para el sistema GuardLogix
Empresa
Ubicación
Canales de salida SIL
Completada
Número Requisitos del módulo de salida Comentario
Sí No
1 ¿Ha seguido las instrucciones de instalación y las precauciones de conformidad
con los estándares de seguridad aplicables?
2 ¿Ha realizado pruebas de verificación de funcionamiento en los módulos?
3 ¿Ha cargado y comparado la configuración de cada módulo con la configuración
enviada por la herramienta de configuración?
4 ¿Ha verificado que las salidas de prueba no se utilizan como salidas de
seguridad?
5 ¿Están los módulos cableados de conformidad con PLe/Cat. 4 según
ISO 13849-1?(1)
6 ¿Ha verificado que las especificaciones eléctricas del accionador y de la salida
son compatibles?
(1) Para obtener información acerca del cableado de su módulo CIP Safety I/O, consulte en la documentación del producto la sección que trata del módulo específico.

Listas de verificación para aplicaciones de seguridad GuardLogix Apéndice D
Lista de verificación para el Utilice la siguiente lista de verificación para ayudar a mantener la
seguridad al crear o modificar un programa de aplicación de
desarrollo de un programa seguridad.
de aplicación de seguridad
Lista de verificación para el desarrollo de un programa de aplicación GuardLogix
Empresa
Ubicación
Definición del proyecto
Completada
Número Requisitos del programa de aplicación Comentario
Sí No
1 ¿Utiliza la versión 14, o la versión 16 o posterior del software RSLogix 5000(1), el
software de programación del sistema GuardLogix?
2 ¿Se siguieron las pautas de programación que aparecen en el Capítulo 6 durante
la creación del programa de aplicación de seguridad?
3 ¿Contiene el programa de aplicación de seguridad sólo lógica de escalera de
relés?
4 ¿Contiene el programa de aplicación de seguridad sólo las instrucciones que
aparecen en el Apéndice A como adecuadas para la programación de una
aplicación de seguridad?
5 ¿Distingue el programa de aplicación de seguridad claramente entre tags de
seguridad y tags estándar?
6 ¿Se utilizan sólo tags de seguridad para las rutinas de seguridad?
7 ¿Ha verificado que las rutinas de seguridad no intentan leer o escribir los tags
estándar?
8 ¿Ha verificado que ningún tag de seguridad está vinculado mediante alias a tags
estándar, y viceversa?
9 ¿Está cada tag de salida de seguridad configurado correctamente y conectado a
un canal de salida física?
10 ¿Ha verificado que todos los tags asignados se hayan condicionado en la lógica
de la aplicación de seguridad?
11 ¿Ha definido los parámetros de proceso monitoreados por las rutinas de fallo?
12 ¿Ha usted sellado alguna instrucción Add-On de seguridad con una firma de
instrucción y registrado la firma de la instrucción de seguridad?
13 ¿Ha revisado el programa un revisor de seguridad independiente (si
corresponde)?
14 ¿Se ha documentado y firmado la revisión?
(1) El software RSLogix 5000, versión 18 o posterior, es compatible con los controladores 1768 Compact GuardLogix.

Notas:

Apéndice E
Datos de probabilidad de fallo a demanda

(PFD) y probabilidad de fallo por hora (PFH)
Introducción
Tema Página
Datos de seguridad del controlador GuardLogix y de Guard I/O 111
Valores de probabilidad de fallo a demanda (PFD) 112
Valores de probabilidad de fallo por hora (PFH) 112
Los siguientes ejemplos muestran los valores de probabilidad de

fallo a demanda (PFD) y probabilidad de fallo por hora (PFH)
para los sistemas GuardLogix 1oo2 SIL 3.
Datos de seguridad del Todos los ejemplos usan los siguientes datos.
controlador GuardLogix y Especificaciones de seguridad del controlador GuardLogix
de Guard I/O Atributo Controladores Controladores 1768
1756 GuardLogix Compact GuardLogix
Tolerancia a fallos de hardware 1 1
Fracción de fallos de seguridad 99.1% 99.0%
Intervalo de prueba de 20 años 20 años
funcionamiento (T1)

Apéndice E Datos de probabilidad de fallo a demanda (PFD) y probabilidad de fallo por hora (PFH)
Valores de probabilidad de PFD calculado por intervalo de prueba de funcionamiento
fallo a demanda (PFD)

PFD calculado
N° de cat. Descripción 2 años 5 años 10 años 20 años
(17,520 (43,800 (87,600 (175,200
horas) horas) horas) horas)
1756-L6xS y Controlador GuardLogix 5.5E-06 1.2E-05
No aplicable
1756-LSP
1768-L43S y Controlador Compact GuardLogix 1.1E-06 2.7E-06 5.7E-06 1.2E-05
1768-L45S
1791DS-IB12 Módulo de entrada de 12 puntos CIP Safety 1.754E-06 4.419E-06 8.962E-06 6.013E-06(1)
1791DS-IB16 Módulo de entrada de 16 puntos CIP Safety 1.70E-06 4.25E-06 8.50E-06 1.70E-05
1791DS-IB8XOB8 Módulo de 8 puntos de entrada y 8 puntos de 1.755E-06 4.421E-06 8.963E-06 6.013E-06(1)
salida CIP Safety
1791DS-IB4XOW4 Módulo de 4 puntos de entrada y 4 puntos de 4.151E-05 1.207E-04 2.978E-04 7.684E-04(1)
salida de relé CIP Safety
1791DS-IB8XOBV4 Módulo de 8 puntos de entrada y 4 puntos de 1.75E-06 4.37E-06 8.74E-06 1.75E-05
1732DS-IB8XOBV4 salida bipolar CIP Safety
1732DS-IB8 Módulo de entrada de 8 puntos CIP Safety 1.70E-06 4.25E-06 8.50E-06 1.70E-05
1791ES-IB16 Módulo de entrada de 16 puntos CIP Safety 1.65E-06 4.14E-06 8.27E-06 1.65E-05
1791ES-IB8XOBV4 Módulo de 8 puntos de entrada y 4 puntos de 1.70E-06 4.26E-06 8.51E-06 1.70E-05
salida bipolar CIP Safety
1734-IB8S Módulo de entrada de 8 puntos CIP Safety 1.17E-06 2.93E-06 5.86E-06 1.17E-05
1734-OB8S Módulo de salida de 8 puntos CIP Safety 1.21E-06 3.03E-06 6.06E-06 1.21E-05
(1) Los datos de probabilidad de fallo a demanda (PFD) de 20 años para este producto
se aplican sólo a productos con código de fecha de fabricación de 2009/01/01
(1º de enero de 2009) o uno posterior. El código de fecha se encuentra en la etiqueta
del producto.
Valores de probabilidad de Los datos a continuación se aplican a intervalos de prueba de

calidad de hasta 20 años.
fallo por hora (PFH)
Cálculos de PFH
N° de cat. Descripción PFH (1/hora)
1756-L6xS y 1756-LSP Controlador GuardLogix 2.0E-10
1768-L43S y 1768-L45S Controlador Compact GuardLogix 2.0E-10
1791DS-IB12 Módulo de entrada de 12 puntos CIP Safety 6.84E-11(1)
1791DS-IB16 Módulo de entrada de 16 puntos CIP Safety 1.94E-10
1791DS-IB8XOB8 Módulo de 8 puntos de entrada y 8 puntos de salida CIP Safety 6.84E-11(1)
1791DS-IB4XOW4 Módulo de 4 puntos de entrada y 4 puntos de salida de relé CIP Safety 4.072E-09(1)
1791DS-IB8XOBV4 Módulo de 8 puntos de entrada y 4 puntos de salida bipolar CIP Safety 2.00E-10
1732DS-IB8XOBV4
1732DS-IB8 Módulo de entrada de 8 puntos CIP Safety 1.94E-10
1791ES-IB16 Módulo de entrada de 16 puntos CIP Safety 1.89E-10
1791ES-IB8XOBV4 Módulo de 8 puntos de entrada y 4 puntos de salida bipolar CIP Safety 1.94E-10
1734-IB8S Módulo de entrada de 8 puntos CIP Safety 1.34E-10
1734-OB8S Módulo de salida de 8 puntos CIP Safety 1.38E-10
(1) Los datos de probabilidad de fallo por hora (PFH) para este producto se aplican sólo a productos con código de fecha de fabricación de 2009/01/01 (1º de enero de
2009) o uno posterior. El código de fecha se encuentra en la etiqueta del producto.

Glosario
Asociación
Para que se establezca una asociación, deben estar presentes el

controlador primario y el homólogo de seguridad; el hardware y
el firmware tienen que ser compatibles.
Cancelar modificaciones
Acción realizada para rechazar cualquier modificación en línea

que no haya sido ensamblada.
Componente de seguridad
Cualquier objeto, tarea, programa, rutina, tag o módulo que esté

marcado como ítem relacionado con la seguridad.
Componente estándar
Todo objeto, tarea, tag, programa, etc., que no está marcado

como ítem relacionado con la seguridad.
Conexión válida
La conexión de seguridad está abierta y activa, y no tiene errores.
Controlador estándar
En este documento, un controlador estándar se refiere en términos

genéricos a un controlador ControlLogix.
Controlador primario
En un controlador con dos procesadores, es el procesador que

realiza la funcionalidad de controlador estándar y que se
comunica con el homólogo de seguridad para realizar las
funciones relacionadas con la seguridad.
Direccionamiento simbólico
Método de direccionamiento que proporciona una interpretación

ASCII del nombre del tag.
E/S de seguridad
Las E/S de seguridad tienen la mayoría de los atributos de las E/S

estándar, con la excepción de que incorporan mecanismos para la
certificación SIL 3, con el fin de asegurar la integridad de los
datos.
Edición pendiente
Cambio en una rutina que se ha realizado en el software RSLogix

5000, pero que aún no se ha comunicado al controlador mediante
la aceptación de la edición.

Glosario
En línea
Situación en la que usted está monitoreando o modificando el

programa en el controlador.
Ensamblado de modificaciones
Se ensamblan modificaciones cuando se han realizado

modificaciones en línea al programa del controlador y se desea
que estas modificaciones sean permanentes, ya que es posible
hacer pruebas, deshacer las pruebas o anular las modificaciones.
Fallo de controlador no recuperable
Fallo que fuerza la cancelación de todo procesamiento y precisa la

desconexión y conexión de la alimentación
al controlador. El programa de usuario no se conserva, y es
necesario volver a descargarlo.
Fallo de seguridad no recuperable
Fallo que, a pesar de que haya sido manejado adecuadamente por

los mecanismos de manejo de fallos proporcionados por el
controlador de seguridad e implementado por el usuario, cancela
todo el procesamiento de la tarea de seguridad y precisa una
acción externa del usuario para reiniciar la tarea de seguridad.
Fallo recuperable
Fallo que, cuando está adecuadamente manejado mediante la

implementación de mecanismos de manejo de fallos
proporcionados por el controlador, no fuerza la cancelación de la
ejecución de la lógica del usuario.
Firma de configuración
Número único que identifica la configuración de un dispositivo. La

firma de configuración está compuesta de un número de
identificación o ID, una fecha y una hora.\
Firma de instrucción
La firma de instrucción está compuesta por un número de

identificación y un sello de fecha/hora que identifica el contenido
de la definición de la instrucción Add-On en un momento dado.
Firma de instrucción de seguridad
La firma de instrucción de seguridad es un número de

identificación que identifica las características de ejecución de la
instrucción Add-On de seguridad. Se utiliza para verificar la
integridad de la instrucción Add-On de seguridad durante las
descargas al controlador.

Glosario
Firma de tarea de seguridad
Se trata de un valor, calculado por firmware, que representa de

forma única la lógica y la configuración del sistema de seguridad.
Se utiliza para verificar la integridad del programa de aplicación
de seguridad durante las descargas al controlador.
Homólogo de seguridad
En un controlador con dos procesadores, es el procesador que

trabaja con el controlador primario para realizar funciones
relacionadas con la seguridad.
Instrucción Add-On
Una instrucción que usted crea como instrucción Add-On para el

conjunto de instrucciones Logix. Una vez definida, una instrucción
Add-On puede usarse como cualquier otra instrucción Logix y
puede utilizarse en varios proyectos. Una instrucción Add-On está
compuesta de parámetros, tags locales, rutina lógica y rutinas de
modo de escán opcionales.
Instrucción Add-On de seguridad
Una instrucción Add-On que puede usar instrucciones de

aplicaciones de seguridad. Además de la firma de instrucción
usada para instrucciones Add-On de gran integridad, las
instrucciones Add-On de seguridad cuentan con una firma de
instrucción de seguridad SIL 3 para uso en funciones relacionadas
con la seguridad.
Instrucciones de aplicaciones de seguridad
Son las instrucciones de seguridad que proporcionan la

funcionalidad relacionada con la seguridad. Han recibido la
certificación SIL 3 para usarse en rutinas de seguridad.
Intervalo solicitado entre paquetes (RPI)
Al comunicarse a través de una red, éste es el período máximo de

tiempo entre las subsiguientes producciones de datos de entrada.
Multiplicador de tiempo de espera
Este valor determina el número de mensajes que se deben perder

antes de declarar un error de conexión.
Identifica de forma única una red entre todas las redes del sistema
de seguridad. El usuario final es responsable de asignar un
número único a cada red de seguridad o subred de seguridad
dentro de un sistema. El número de red de seguridad forma parte
del identificador único de nodo (UNID).

Glosario
Período de la tarea de seguridad
Período en que se ejecuta la tarea de seguridad.
Programa de seguridad
Un programa de seguridad tiene todos los atributos de un

programa estándar, con la excepción de que sólo se puede
secuenciar en una tarea de seguridad. El programa de seguridad
consta de cero o más rutinas de seguridad. No puede contener
rutinas o tags estándar.
Protocolo CIP Safety
Método de comunicación en red diseñado y certificado para el

transporte de datos con gran integridad.
Rutina
Conjunto de instrucciones lógicas en un mismo lenguaje de

programación como, por ejemplo, diagrama de lógica de escalera.
Las rutinas proporcionan código ejecutable para el proyecto de un
controlador. Cada programa tiene una rutina principal. También se
pueden especificar rutinas opcionales.
Rutina de seguridad
Una rutina de seguridad tiene todos los atributos de una rutina

estándar, con la excepción de que sólo es válida en un programa
de seguridad y de que consta de una o más instrucciones
adecuadas para las aplicaciones de seguridad (vea Apéndice A
para obtener una lista de instrucciones de aplicaciones de
seguridad e instrucciones Logix estándar que se pueden utilizar en
la lógica de una rutina de seguridad).
Superposición
Sucede cuando una tarea (periódica o de evento) se activa sin que

la misma haya terminado de ejecutarse tras la activación anterior.
Tags de seguridad
Un tag de seguridad tiene todos los atributos de un tag estándar,

con excepción de que el controlador GuardLogix proporciona
mecanismos para la certificación SIL 3 a fin de asegurar la
integridad de los datos asociados. Pueden estar restringidos al
programa o restringidos al controlador.

Glosario
Tarea
Mecanismo de secuenciamiento para la ejecución de un programa.

Una tarea proporciona la información de secuenciamiento y
priorización para uno o más programas que se ejecutan con base
en un criterio determinado. Una vez que una tarea se activa (se
dispara), todos los programas asignados (secuenciados) a la tarea
se ejecutan en el orden en que aparecen en el organizador del
controlador.
Tarea de seguridad
Una tarea de seguridad tiene todos los atributos de una tarea

estándar, con excepción de que es válida sólo en un controlador
GuardLogix y de que puede secuenciar sólo programas de
seguridad. Sólo puede existir una tarea de seguridad en un
controlador GuardLogix. La tarea de seguridad tiene que ser una
tarea periódica/temporizada.
Tarea periódica
Tarea activada por el sistema operativo a intervalos de tiempo

periódicos. Al expirar el intervalo, la tarea se activa y sus
programas se ejecutan. Los datos y las salidas establecidos por los
programas en la tarea conservan los valores hasta la siguiente
ejecución de la tarea o hasta que otra tarea los modifique. Las
tareas periódicas siempre interrumpen la tarea continua.
Temporizador de control (watchdog) de la tarea de

seguridad
Tiempo máximo permitido desde el inicio de la ejecución de la

tarea de seguridad hasta que la misma se completa. Al excederse
el temporizador de control (watchdog) de la tarea de seguridad se
activa un fallo de seguridad no recuperable.
Tiempo de reacción de la tarea de seguridad
Suma del período de la tarea de seguridad más el tiempo de

espera del temporizador de control (watchdog) de la tarea de
seguridad. Este tiempo representa el retardo en el peor de los
casos, desde el momento en que ocurre cualquier cambio de
entrada presentado al controlador GuardLogix, hasta el momento
en que la salida procesada está disponible para la conexión
productora.
El tiempo transcurrido, en el peor de los casos, desde que se

produce un evento relacionado con la seguridad como entrada al
sistema o como un fallo dentro del sistema, hasta el momento en
que el sistema queda en estado seguro. El tiempo de reacción del
sistema incluye los tiempos de reacción de los sensores y de los
activadores, así como el tiempo de reacción del controlador.

Glosario
Notas:

Índice
Números C
1734-AENT 17, 18 calificación de datos estándar 55
descripción general del hardware 28 CE 19
1734-AENTR 17 certificación de nivel de integridad de
1756-A10 18 seguridad (SIL) 3 9, 13, 94
1756-A13 18 componentes de Logix 17
1756-A17 18 responsabilidades del usuario 14
1756-A4 18 TÜV Rheinland 14
1756-A7 18 certificaciones 19
1756-CN2 chasis
descripción general del hardware 28 descripción general del hardware 26
revisión de firmware 18 números de catálogo 18
1756-CN2R componentes de Logix
revisión de firmware 18 con certificación SIL 3 17
1756-DNB comunicación de igual a igual 28
descripción general del hardware 28 concepto de seguridad
revisión de firmware 18 suposiciones 57
1756-EN2F conformidades y certificaciones de
revisión de firmware 18 seguridad 19
1756-EN2T CONNECTION_STATUS
revisión de firmware 18 tipo de datos 73
1756-ENBT control and information protocol
descripción general del hardware 28 (protocolo de control e
revisión de firmware 18 información)
1756-PA72 18 definición 10
1756-PA75 18 controlador primario
1756-PA75R 18 definición 113
1756-PB72 18 descripción general del hardware 26
1756-PB75 18 CSA 19
1756-PB75R 18 C-Tick 19
1768-CNB 17 c-UL-us 19
descripción general del hardware 28 cumplimiento de la norma EN50156 47
1768-CNBR
descripción general del hardware 28
1768-ENBT 17
D
descripción general del hardware 28 DeviceNet Safety
1768-PA3 17 descripción general de la
1768-PB3 17 comunicación 29
Diagnostic Coverage (cobertura de
diagnóstico)
A definición 10
asignación de tags 55
asociación E
definición 113
edición en línea 67, 70
ediciones fuera de línea 69
B ediciones pendientes 67
bloqueo de seguridad 65 en línea
contraseñas 66 definición 114
operaciones restringidas 65 EN954-1
predeterminado 66 CAT 4 9, 13
estado de conexión 74
EtherNet/IP
descripción general de la
comunicación 28

Índice
F I
fallo identificación del programa 61
información de contacto 23 IEC 61508
fallos certificación de nivel de integridad de
anulación 82 seguridad (SIL) 3 9, 13, 94
fallos de controlador no información de contacto 23
recuperables 82 inhibición de un módulo 68
fallos de seguridad no recuperables 82 instalación de un controlador 25
recuperables 83 instrucción Add-On
fallos de controlador no recuperables certificar 91
82, 114 firma de instrucción 93
fallos de hardware firma de instrucción de seguridad 94
recuperación 82 instrucción SSV (establecer valor del
fallos de seguridad no recuperables sistema) 81
82, 114 instrucciones
reinicio de la tarea de seguridad 82 aplicación de seguridad 85
fallos recuperables 83, 114 seguridad 88
firma de configuración 33 instrucciones de aplicaciones de
firma de instrucción 93 seguridad 85
definición 114 definición 115
firma de instrucción de seguridad 94 instrucciones de formato metálico 87
definición 114 instrucciones de seguridad de lógica
firma de tarea de seguridad de escalera 88
definición 115 instrucciones GSV 80, 81
eliminación 62 intervalo solicitado entre paquetes
generación 62 definición 115
operaciones restringidas 62 ISO 13849-1 9, 13
FM 19
forzado 68
fracción de fallos de seguridad 111 L
fuentes de alimentación eléctrica 18 lista de verificación
con certificación SIL 3 27 desarrollo de programa 109
descripción general del hardware 27 entradas SIL 3 107
función de control salidas SIL 3 108
especificación 59 sistema controlador
funciones de seguridad GuardLogix 30, 106
CIP Safety I/O 31
salida de seguridad 33 M
módulo de interface de
H comunicaciones EtherNet/IP
historial de firmas 95 descripción general del hardware 28
homólogo de seguridad módulo de interface de escáner
configuración 26 DeviceNet
definición 115 descripción general del hardware 28
descripción general del hardware 26 módulo puente ControlNet
lugar 26 descripción general del hardware 28
módulos de comunicación
números de catálogo 18
módulos de E/S
reemplazo 34–35
multiplicador de tiempo de espera
definición 115

Índice
N pruebas de calidad 14
nivel de integridad de seguridad (SIL) vea pruebas de verificación de
distribución y peso de conformidad 21 funcionamiento
ejemplo de función 17 pruebas de verificación de
política 13–23 funcionamiento 14
nivel de rendimiento puentes de comunicación
definición 10 descripción general del hardware 28
nociones básicas para el desarrollo de
aplicaciones 57 R
normativa europea referencia de nodo único
definición 10 definido 38
número de red de seguridad 38 rutina de seguridad 53
asignación manual 38 definición 116
definición 115
módulos tal como vienen de fábrica 40
tags de seguridad consumidos 40 S
software
O cambio del programa de aplicación 69
proceso para la puesta en servicio 59
obtener valor del sistema (GSV)
software de programación 14
definición 10
software RSLogix 5000
cambio del programa de aplicación 69
P proceso para la puesta en servicio 59
pérdida de confiabilidad 21 revisión 17, 18
período de la tarea de seguridad 22 superposición
descripción general 22
limitaciones 51 T
PLe 9, 13
tags
probabilidad de fallo a demanda (PFD)
datos de seguridad
20–21 producidos/consumidos 53
definición 10 Safety I/O 53
probabilidad de fallo por hora (PFH) vea también tags de seguridad
20–21 tags de seguridad 53
proceso para la puesta en servicio 59 tipos de datos válidos 53
programa tags de seguridad consumidos
carga 66 número de red de seguridad 40
ciclo de vida de edición 70 tarea de seguridad
descarga 66 definición 117
edición en línea 70 descripción general 50
edición fuera de línea 69 ejecución 51
lista de verificación 109 tarea periódica
programa de aplicación definición 117
véase programa temporizador de control (watchdog) de
programa de seguridad 53 la tarea de seguridad
propiedad 33 temporizador de control (watchdog) de
protocolo CIP Safety tarea de seguridad 22
definición 116 descripción general 22
descripción general 27 establecimiento a través de
sistema encaminable 37 RSLogix 5000 22
proyecto expiración del tiempo de espera 51
confirmación 63 modificación 22

Índice
terminología U
utilizada a lo largo del manual 10 UL 19
tiempo de reacción utilidad de comparación de
sistema 22 programas 65
tarea de seguridad 22
tiempo de reacción de la tarea de
seguridad 22 V
definición 117 verificación del programa 62
tiempo de reacción del sistema 22
cálculo 99
definición 117
tiempo de reacción del sistema Logix
cálculo 100
tiempo de retardo de salida 33
tolerancia a fallos de hardware 111

Asistencia técnica de Rockwell Automation
Rockwell Automation proporciona información técnica a través de Web para ayudarle a utilizar sus productos.
En http://www.rockwellautomation.com/support/, puede encontrar manuales técnicos, una base de
conocimientos con respuestas a preguntas frecuentes, notas técnicas y de aplicación, ejemplos de códigos y
vínculos a paquetes de servicio de software, además de la función MySupport que puede personalizar para
aprovechar al máximo estas herramientas.
Con el fin de obtener un nivel adicional de asistencia técnica telefónica para la instalación, la configuración y la
resolución de problemas, ofrecemos los programas de asistencia técnica TechConnect. Para obtener más
información, comuníquese con el distribuidor regional o con el representante de Rockwell Automation, o visite
http://www.rockwellautomation.com/support/.
Asistencia para la instalación

Si se presenta cualquier anomalía durante las primeras 24 horas posteriores a la instalación, revise la información
contenida en este manual.
También puede llamar a un número especial de asistencia técnica para obtener ayuda en un primer momento
para la puesta en servicio del producto.
Estados Unidos o Canadá +1-440-646-3434

Fuera de los Estados Utilice el Worldwide Locator en
Unidos o Canadá http://www.rockwellautomation.com/support/americas/phone_en.html o comuníquese con el
representante local de Rockwell Automation.
Devolución de productos nuevos

Rockwell Automation prueba todos los productos para garantizar que funcionan correctamente cuando salen de
las instalaciones de fabricación. No obstante, si su producto no funcionara y necesitara devolverlo, siga estos
procedimientos.
En los Estados Unidos Póngase en contacto con su distribuidor. Deberá proporcionar al distribuidor un número de caso de
asistencia técnica al cliente (llame al número de teléfono anterior para obtener uno) a fin de completar
el proceso de devolución.
Desde fuera de los Comuníquese con el representante regional de Rockwell Automation para obtener información sobre el
Estados Unidos procedimiento de devolución.
Comentarios sobre la documentación

Sus comentarios nos ayudarán a atender mejor sus necesidades de documentación. Si tiene sugerencias sobre
cómo mejorar este documento, llene este formulario, publicación RA-DU002, disponible en
http://www.rockwellautomation.com/literature/.

Sustituye la publicación 1756-RM093E-ES-P – Julio de 2008 Copyright © 2010 Rockwell Automation, Inc. Todos los derechos reservados. Impreso en EE.UU.

Sistemas Guardlogix

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Sistemas Guardlogix

Încărcat de

Drepturi de autor:

Formate disponibile

Sistemas controladores GuardLogix

Números de catálogo 1756-L61S, 1756-L62S, 1756-L63S, 1768-L43S,

IMPORTANTE Identifica información esencial para usar el producto y comprender su funcionamiento.

La siguiente información resume los cambios hechos a este

Para ayudarle a encontrar información nueva y actualizada en esta

Este manual incluye ahora los controladores 1768 Compact

3Publicación 1756-RM093F-ES-P – Enero 2010 3

4 Publicación 1756-RM093F-ES-P – Enero 2010

Publicación 1756-RM093F-ES-P – Enero 2010 5

6 Publicación 1756-RM093F-ES-P – Enero 2010

Publicación 1756-RM093F-ES-P – Enero 2010 7

Generar firma de instrucción . . . . . . . . . . . . . . . . . . 93

8 Publicación 1756-RM093F-ES-P – Enero 2010

Esta publicación cubre los sistemas controladores 1756 y 1768

Publicación 1756-RM093F-ES-P – Enero 2010 9

Comprensión de la En la tabla siguiente se definen los términos utilizados en este

Abreviatura Significado Definición

10 Publicación 1756-RM093F-ES-P – Enero 2010

Puede ver o descargar publicaciones en

Publicación 1756-RM093F-ES-P – Enero 2010 11

12 Publicación 1756-RM093F-ES-P – Enero 2010

Concepto de nivel de integridad de

Introducción Este capítulo presenta el concepto de nivel de integridad de

IMPORTANTE Cuando el controlador GuardLogix está en modo de marcha

Además, las tareas estándar dentro de los controladores 1756

La tarea estándar en los controladores 1768 Compact GuardLogix

Publicación 1756-RM093F-ES-P – Enero 2010 13

El software de programación RSLogix 5000 se requiere para crear

TÜV Rheinland ha aprobado los sistemas controladores

El usuario del sistema es responsable de:

Al aplicar la seguridad de funcionamiento, restrinja el acceso a

Para obtener información sobre cómo usar la función de bloqueo

Los controladores GuardLogix tienen un intervalo de prueba de

14 Publicación 1756-RM093F-ES-P – Enero 2010

en la prueba de verificación de funcionamiento de los otros

IMPORTANTE Sus aplicaciones específicas determinan el intervalo de

Para obtener más información sobre los requisitos de una prueba

Publicación 1756-RM093F-ES-P – Enero 2010 15

Función SIL típica

Software de programación HMI

Función general de seguridad

Sistema GuardLogix SIL 3

Red DeviceNet Sensor

Módulo CIP Safety I/O en

Sistema Compact GuardLogix SIL 3

16 Publicación 1756-RM093F-ES-P – Enero 2010

Para obtener la lista más actualizada de series y revisiones de

Publicación 1756-RM093F-ES-P – Enero 2010 17

Las ranuras del chasis de un sistema SIL 3 que no se utilizan en el

Las ranuras de expansión de un bus de sistema SIL 3 que no se

Para encontrar los certificados para el ’Control programable –

18 Publicación 1756-RM093F-ES-P – Enero 2010

Certificaciones de Esta tabla lista las principales certificaciones de GuardLogix. Para

ISO 13849-1:2006 (PLe)

IEC 61508 (SIL 3)

La documentación del usuario de GuardLogix normalmente indica

En lista de UL para lugares peligrosos Clase I, División 2, Grupos A,

Equipo de control de procesos certificado por CSA para lugares

Publicación 1756-RM093F-ES-P – Enero 2010 19

Vaya al vínculo Product Certification en

Especificaciones PFD y Los sistemas relacionados con la seguridad pueden clasificarse en

El valor de nivel de integridad de seguridad (SIL) para un sistema

Sensor Controlador GuardLogix

20 Publicación 1756-RM093F-ES-P – Enero 2010