Você está na página 1de 104

BECKHOFF AUTOMATION

MANUAL DE FORMAÇÃO DE
TwinSAFE 2.11

por Jorge Andril

01 / 2018

• BRESIMAR AUTOMAÇÃO , S.A. • Departamento de Engenharia ASATEK • www.bresimar.pt


• Quinta do Simão EN109 - Esgueira • Apartado 3080 • 3800-230 Aveiro • PORTUGAL
O agradecimento à BECKHOFF AUTOMATION pelo fornecimento de
documentação técnica e à BRESIMAR AUTOMAÇÃO S.A. pela
disponibilidade de equipamentos para a execução de testes de campo.
A BRESIMAR AUTOMAÇÃO é uma
empresa com sede em Aveiro, Portugal

A Bresimar Automação S.A., é uma empresa familiar Possui uma equipa técnica qualificada, que presta
especializada em Automação Industrial. Fundada em 1982 serviços de assistência pré e pós-venda, que propõe e
foi evoluindo a sua atividade comercial e atualmente aconselha soluções tecnológicas inovadoras.
divide-se em 3 áreas de negócios.
A gestão está focada e orientada para os clientes, pelo
Essas áreas de negócios são as seguintes: que efetua uma seleção muito criteriosa de fornecedores.
A formação é um fator determinante para a qualidade dos
 Comercialização de equipamentos para serviços prestados por todos os colaboradores.
automação industrial através da representação
exclusiva de diversas marcas, mundialmente Espero que estes apontamentos técnicos vos sejam úteis
conceituadas (INSYS-icom , Beckhoff , Siemens nas vossas aplicações de automação industrial!
, Turck , Beijer , entre outras ) .
Obrigado pela vossa atenção.
 Serviços de engenharia de automação e controlo
para processos industriais com desenvolvimento
de software para PLCs e HMIs . Este serviço Saudações
possui a marca registada asaTek . Jorge Andril
j.andril@bresimar.pt
 Produção e desenvolvimento de transmissores e
http://pt.linkedin.com/in/jorgeandril
sensores de temperatura incluindo sistemas sem
fios. Estes equipamentos tem a marca registada
tekOn .
LISTA DE CONTEÚDOS

I- Introdução ao TwinSAFE do TwinCAT 2.11


I-1 – Introdução à Segurança-Máquina 1
I-2 – Diretivas e normas de Segurança-Máquina 5
I-2.1 – Introdução à Diretiva Máquina 5
I-2.2 – Diretiva Máquina 2006/42/CE 5
I-2.3 – Tipo de normas existentes 6
I-2.4 – Análise de risco 8
I-2.5 – Segurança funcional 9
II - Terminais e dispositivos de segurança
II-1 – Terminais de segurança BECKHOFF 13
II-1.1 – Especificações dos terminais de entradas seguras 14
II-1.1.1 – Diagrama de bloco do EL1904 15
II-1.1.2 – Teste de impulsos nas entradas seguras 15
II-1.1.3 – Tabela dos parâmetros do EL1904 (“Safety Parameters”) 16
II-1.1.4 – Exemplo de configuração dos parâmetros do EL1904 16
II-1.1.5 – Diagnostico de estado e erros 17
II-1.1.6 – Objetos de diagnostico (CoE objects) 18
II-1.2 – Especificações dos terminais de saídas seguras 20
II-1.2.1 – Diagrama de bloco do EL2904 20
II-1.2.2 – Teste de impulsos nas saídas seguras 20
II-1.2.3 – Tabela dos parâmetros do EL2904 (“Safety Parameters”) 21
II-1.2.4 – Diagnostico de estado e erros 22
II-1.2.5 – Objetos de diagnóstico (CoE objects) 23
II-1.2.6 – Possíveis causas das mensagens de diagnostico 24
II-1.3 – Especificações dos terminais com controlador lógico TwinSAFE 26
II-1.3.1 – Programação do código lógico de segurança 26
II-1.3.2 – Diagnostico de estado e erros 26
II-1.3.3 – Objetos de diagnóstico (CoE objects) 27
II-2 – Dispositivos de segurança 29
II-2.1 – Comandos de paragem de emergência 29
II-2.2 – Comandos de bimanual 30
II-2.3 – Barreiras óticas de segurança 31
II-2.4 – Scanners laser de segurança 32
II-2.5 – Tapetes e batentes de segurança 33
II-2.6 – Portas e trincos de segurança 34
III - TwinCAT 2.11 – Pogramação controladores TwinSAFE
III-1 – Programação do TwinSAFE no TwinCAT 2.11 35
III-1.1 – Arquitetura base do hardware do kit de formação 35
III-1.2 – Criar projeto de segurança no TwinCAT 2.11 (TwinSAFE) 36
III-1.3 – Criar programa de automatismo no softPLC TwinCAT 2.11 42
III-1.4 – Linkagem do projeto TwinSAFE com o programa softPLC TwinCAT 2.11 43
III-1.5 – Descarregar programa de segurança do TwinSAFE para o EL6900 46
III-2 – Teste e monitorização do projeto completo 48
III-2.1 – Debugging do programa de segurança 48
III-2.2 – Monitorização do programa de segurança 49
IV - Esquemas de segurança com TwinSAFE
IV-1 – Circuito de comando a duas mãos com TwinSAFE (“Two-hand control”) 55
IV-1.1 – BIMANUAL – Cat. 4 e PL=e 55
IV-2 – Circuito com tapetes com TwinSAFE (“Safety mat and bumper”) 56
IV-2.1 – TAPETE DE SEGURANÇA – Cat. 4 e PL=e 56
IV-3 – Circuito de scanners laser com TwinSAFE (“Safety laser scanner”) 57
IV-3.1 – SCANNER LASER – Cat. 3 e PL=e 57
IV-4 – Circuito de barreiras luminosas com TwinSAFE (“Safety ligth curtain”) 58
IV-4.1 – BARREIRA LUMINOSA – Cat. 4 e PL=e 58
IV-4.2 – BARREIRA LUMINOSA (com Muting) – Cat. 4 e PL=e 59
IV-5 – Circuito de portas de segurança com TwinSAFE (Protective door machine) 60
IV-5.1 – PORTA DE SEGURANÇA (1ª variante) – Cat. 3 e PL=d 60
IV-5.2 – PORTA DE SEGURANÇA (2ª variante) – Cat. 4 e PL=e 61
IV-5.3 – PORTA DE SEGURANÇA (com monitorização) – Cat. 4 e PL=e 62
IV-5.4 – PORTA DE SEGURANÇA (com encravamento) – Cat. 4 e PL=e 63
IV-6 – Circuito de paragem de emergência com TwinSAFE (“Emergency Stop”) 65
IV-6.1 – BOTÃO DE EMERGÊNCIA (1ª variante) – Cat. 3 e PL=d 65
IV-6.2 – BOTÃO DE EMERGÊNCIA (2ª variante) – Cat. 3 e PL=d 66
IV-6.3 – BOTÃO DE EMERGÊNCIA (3ª variante) – Cat. 4 e PL=e 67
BECKHOFF AUTOMATION
TwinSAFE V2.11

IV - Esquemas de segurança com TwinSAFE


IV-6.4 – BOTÃO DE EMERGÊNCIA (4ª variante) – Cat. 4 e PL=e 68
IV-6.5 – BOTÃO DE EMERGÊNCIA (5ª variante) – Cat. 4 e PL=e 69
IV-6.6 – BOTÃO DE EMERGÊNCIA (6ª variante) – Cat. 3 e PL=d 70
IV-6.7 – BOTÃO DE EMERGÊNCIA (7ª variante) – Cat. 4 e PL=e 71
Anexo A - Funções Bloco TwinSAFE para TwinCAT 2.11
A-1 – Sistema TwinSAFE 73
A-1.1 – Descrição funcional 73
A-1.2 – Controladores lógicos TwinSAFE (KL6904/EL6900/EL6930) 73
A-1.3 – Grupos TwinSAFE 73
A-1.4 – Diagnostico do sistema TwinSAFE 74
A-1.4.1 – Informação de estado do grupo TwinSAFE 74
A-1.4.2 – Diagnostico das Funções Bloco TwinSAFE 75
A-1.4.3 – Diagnostico das conexões TwinSAFE 75
A-2 – Funções Bloco TwinSAFE 77
A-2.1 – Função Bloco ESTOP 77
A-2.1.1 – Descrição funcional ESTOP 77
A-2.1.2 – Descrição das variáveis de entrada e saída da FB ESTOP 77
A-2.1.3 – Informação do diagnostico e estado da FB ESTOP 78
A-2.2 – Função Bloco TWOHAND 79
A-2.2.1 – Descrição funcional TWOHAND 79
A-2.2.2 – Descrição das variáveis de entrada e saída da FB TWOHAND 79
A-2.2.3 – Informação do diagnostico e estado da FB TWOHAND 80
A-2.3 – Função Bloco EDM 81
A-2.3.1 – Descrição funcional EDM 81
A-2.3.2 – Descrição das variáveis de entrada e saída da FB EDM 81
A-2.3.3 – Informação do diagnostico e estado da FB EDM 82
A-2.4 – Função Bloco MON 83
A-2.4.1 – Descrição funcional MON 83
A-2.4.2 – Descrição das variáveis de entrada e saída da FB MON 84
A-2.4.3 – Informação do diagnostico e estado da FB MON 85
A-2.5 – Função Bloco MUTING 86
A-2.5.1 – Descrição funcional MUTING 86
A-2.5.2 – Descrição das variáveis de entrada e saída da FB MUTING 86
A-2.5.3 – Informação do diagnostico e estado da FB MUTING 87
A-2.5.4 – Exemplos práticos com sensores em MUTING 88
A-2.6 – Funções Bloco DECOUPLER, AND, OR, SR, RS 90
A-2.6.1 – Descrição funcional DECOUPLER, AND, OR, SR, RS 90
A-2.6.2 – Descrição das variáveis de entrada e saída DECOUPLER,AND,OR,SR,RS 91
A-2.6.3 – Informação do diagnostico e estado da FB DECOUPLER,AND,OR,SR,RS 92
A-2.7 – Funções Bloco TON e TOFF 93
A-2.7.1 – Descrição funcional TON e TOFF 93
A-2.7.2 – Descrição das variáveis de entrada e saída TON e TOFF 93
A-2.7.3 – Informação do diagnostico e estado da FB TON e TOFF 94
A-2.8 – Função Bloco OPMODE 95
A-2.8.1 – Descrição funcional OPMODE 95
A-2.8.2 – Descrição das variáveis de entrada e saída OPMODE 95
A-2.8.3 – Informação do diagnostico e estado da FB OPMODE 96
A-2.9 – Função Bloco CONNECTION SHUTDOWN 97 ix
A-2.9.1 – Descrição funcional CONNECTION SHUTDOWN 97
A-2.9.2 – Descrição das variáveis de entrada e saída CONNECTION SHUTDOWN 97
A-2.9.3 – Informação do diagnostico e estado da FB CONNECTION SHUTDOWN 98
BRESIMAR AUTOMAÇÃO Capítulo I

I – Introdução ao TwinSAFE do TwinCAT 2.11


Apresentação do modulo TwinSAFE do TwinCAT 2.11
O módulo TwinSAFE do TwinCAT 2.11 é
o software de programação para os
PLCs de segurança, da marca alemã
BECKHOFF. O TwinSAFE representa a
continuação da filosofia de controle
baseado em PCs, aberta e escalável.

Devido à sua modularidade e


versatilidade os terminais TwinSAFE
encaixam perfeitamente na filosofia, já
existente, dos sistemas de controlo
BECKHOFF. Isto é, podemos incorporar
no mesmo PLC (TwinCAT 2.11 - PLC), responsável pelo automatismo clássico de uma máquina industrial, um modulo
de segurança (TwinSAFE). Assim, não necessitamos de ter no mesmo quadro de controlo dois PLC´s (um para o
automatismo e outro para os dispositivos de segurança homem-máquina). Este modulo TwinSAFE cumpre toda a
Legislação e Normas Europeias, atualmente em vigor.

 I-1 – Introdução à segurança homem-máquina


Quando falamos de Segurança ( Safety Tecnology ) na automação industrial estamos a falar de funções específicas
para máquinas, equipamentos e processos industriais relacionados à proteção de pessoas. Na maioria dos locais há
requisitos legais para a proteção dos operadores de máquinas. Esses regulamentos geralmente são baseados em
padrões nacionais e internacionais (por exemplo a Diretiva Máquina 2006/42/CE), mas podem variar entre regiões
e nações. É da responsabilidade do projetista da automação verificar e desenhar esses sistemas de segurança para
as suas máquinas industriais.

A premissa principal dos sistemas de segurança, para as máquinas industriais, é o controlo das diversas fontes de
energia nelas contidas. Toda essa fonte de energia armazenada em um sistema deve ser tida em conta e
controlada. Isso inclui fontes elétricas, pneumáticas e hidráulicas. Inclui energia potencial armazenada em cargas
suspensas, molas e ar comprimido tal como a energia cinética de partes móveis. Os sistemas de segurança
funcionam interrompendo essas fontes de energia e controlando a energia potencial ou cinética. Os sistemas de
segurança envolvem também uma adequada proteção mecânica, de forma a que os operadores não possam entrar
em contacto com áreas perigosas da máquina enquanto as diversas fontes de energia estão ligadas ou a energia
potencial não está controlada.

[asaTek / J.Andril] 1
BRESIMAR AUTOMAÇÃO Capítulo I

Um sistema de segurança devidamente projetado consiste em elementos mecânicos, elétricos e cada vez mais
elementos com uma componente de software. Todos estes elementos combinam-se para formar uma condição de
trabalho segura para os operadores de máquinas e pessoal de manutenção. As exigências sobre a fiabilidade dos
elementos elétricos e de software são suficientemente fortes para que componentes elétricos e PLC´s comuns sejam
inaceitáveis para uso em sistemas de segurança homem-máquina. Em geral (e isso depende de casos específicos) os
componentes elétricos e de software devem ser projetados de tal forma que qualquer falha de um único
componente não leve a uma perda da função de segurança. Essa falha, uma vez detetada, terá de ser relatada e
deverá impedir o funcionamento da máquina industrial até que ela seja reparada.

Tomemos como exemplo um relé elétrico. Um relé típico não é um componente apropriado para uso em sistemas
elétricos de segurança, pelas seguintes razões:

1. O relé pode falhar, normalmente por colagem do contato, na posição de trabalho. Neste caso perde a
capacidade de eliminar a fonte de energia elétrica quando ocorrer uma emergência que obriga ao corte e
interrupção dessa energia.
2. Nós detetamos a falha de um relé monitorizando um contato normalmente fechado. Dependendo da
construção do relé, a falha pode não ser detetada se o contato normalmente fechado não estiver
mecanicamente ligado a um contato normalmente aberto.

Para interromper de forma fiável uma fonte de energia elétrica, de


maneira a que a falha de um componente não cause uma perda da função
de segurança e seja detetada, normalmente usamos dois relés de contato
guiados mecanicamente. A guia mecânica torna impossível ter ao mesmo
tempo o contato normalmente fechado (NF) e normalmente aberto (NA)
fechados. Se um contato NF colar, deve ser impossível que o contato NA
feche quando a bobina é energizada. Se um contato NA colar, deve ser
impossível que o contato NF feche quando a bobina é desenergizada.
Estes contatos também são conhecidos por: contactos forçados,
contactos ativados positivamente, contactos guiados ou contactos
ligados.

O uso de dois relés ou contatores redundantes resolve o primeiro


problema, de um único ponto de falha. O uso de contatos guiados
mecanicamente resolve o segundo problema de monitorização fiável do
estado do relé. Assim, podemos utilizar uma combinação de dois relés de contatos guiados mecanicamente para a
configuração de relé de segurança, mas obriga a ter um sistema de monitorização externo a verificar o seu correto
funcionamento (módulos de controlo de segurança). Outra opção é usar um relé de segurança, construído para esse
fim, com os dois contatos guiados mecanicamente e a função de monitorização embebidos no mesmo sistema.

[asaTek / J.Andril] 2
BRESIMAR AUTOMAÇÃO Capítulo I

Os PLCs (EK1960) ou os Controladores lógicos da


BECKHOFF (EL6900, EL6910 e EL6930) de
segurança são capazes de fornecer essas
funções de controlo e monitorização. É
importante destacar que os dispositivos de
entrada, tais como botões de paragem de
emergência, interruptores de portas de
proteção, barreiras de segurança fotoelétricas
e tapetes de segurança também são
construídos com componentes elétricos
redundantes e devem ser monitorizados o seu correto funcionamento. Os módulos lógicos de controlo TwinSAFE
EL6900, EL6910 (só TC 3), EL6930 podem monitorizar todos estes componentes, tal como o PLC de segurança
TwinSAFE EK1960 (só é possível a sua programação com TwinCAT 3). Existe também um controlador lógico para as
cartas do tipo KL (KL6904).

Como é de esperar existem requisitos especiais que teremos de cumprir num projeto com um PLC ou controlador
lógico de segurança. Assim, como qualquer outro dispositivo em um sistema de segurança, a falha de qualquer
componente no PLC ou controlador de segurança não deve resultar na perda da sua função de proteção e deve ser
[asaTek / J.Andril] 3
BRESIMAR AUTOMAÇÃO Capítulo I

imediatamente detetada. Isso inclui os componentes elétricos e de software. Os projetos terão de ser certificados
por entidades certificadoras externas e independentes do fabricante, antes de serem colocados no mercado.

O programa de segurança na BECKHOFF é desenvolvido no configurador de hardware System Manager do TwinCAT


2.11 e correrá nos módulos lógicos EL6900, EL6930 e KL6904. Este programa é separado do programa do
automatismo residente no soft PLC clássico.

Os dispositivos de monitorização de segurança (entradas de segurança) estão ligados às cartas EL1904 ou EP1908 e
os dispositivos de acionamento de segurança (saídas de segurança) estão ligados às cartas EL2902 ou EL2904 .
Ambas são certificadas como dispositivos de segurança. A comunicação entre a placa controladora de segurança (ex.
EL6900) e as entradas/saídas seguras (ex. EL1904/EL2904) é feita através da rede EtherCAT IO normal. Isso é
possível porque a comunicação usa um protocolo certificado para segurança designado por FSoE (Fail-safe over
EtherCAT). Devido à enorme flexibilidade do sistema podemos ter, na mesma rede, mais do que um controlador de
segurança.

O protocolo FSoE é compatível com qualquer Master com rede de campo EtherCAT que suporte mensagens e
mapeamentos slave a slave. Cada componente FSoE pode monitorizar o status do canal de comunicação e poderá
reverter para o estado de safe (off) se houver uma perda ou corte da comunicação. O protocolo Fail-Safe over
EtherCAT (FSoE) também é suportado por outras redes de campo tais como PROFIBUS, CANopen ou Ethernet.

[asaTek / J.Andril] 4
BRESIMAR AUTOMAÇÃO Capítulo I

 I-2 – Diretivas e normas da Segurança Homem-Máquina

I-2.1 – Introdução à Diretiva Máquina

A segurança das pessoas é um especto fundamental nas


sociedades modernas e industriais. Todos os dias há milhares de
pessoas que operam máquinas industriais na sua atividade
profissional.
É obrigação das sociedades modernas e desenvolvidas garantir
que todos exerçam as suas funções e atividades de uma forma o
mais segura possível.
Em 2006 a União Europeia elaborou uma Diretiva que define
diversos requisitos obrigatórios e que deverão ser aplicados,
quando da construção de novas máquinas ou em alterações (retrofitting) de máquinas antigas. Essa Diretiva é a
designada 2006/42/CE.

Em Portugal, no que respeita à segurança, foi transposta para a Legislação Portuguesa por Decreto de Lei as
seguintes normas europeias:

 Decreto-Lei nº 50/2005 de 25 de Fevereiro


Transpõe para a ordem jurídica interna a Diretiva nº 89/655/CEE do Conselho de 30 de
Novembro. Foi alterada pela Diretiva nº 95/63/CE do Conselho de 5 de Dezembro e pela Diretiva
nº 2001/45/CE do Parlamento Europeu e do Conselho de 27 de Junho.

Este decreto-lei regula as prescrições mínimas de segurança e de saúde a serem cumpridas pelos
operadores de equipamentos de trabalho.

 Decreto-Lei nº 103/2008 de 24 de Junho


Transpõe para a ordem jurídica interna a Diretiva nº 2006/42/CE, do Parlamento Europeu e do
Conselho de 17 de Maio, relativa às máquinas e que altera a Diretiva nº 95/16/CE, do Parlamento
Europeu e do Conselho de 29 de Junho, relativa à aproximação das legislações dos estados
membros respeitantes aos ascensores.

Este decreto-lei estabelece as regras a que deve obedecer à colocação no mercado e à entrada em
serviço das máquinas e das quase-máquinas.

I-2.2 – Diretiva Máquina 2006/42/CE

A máquina tem uma elevada importância na


industria sendo um dos impulsionadores do
aumento da produtividade no último seculo.

De modo a garantir a segurança de todos aqueles


que diariamente estão em contato permanente com
as máquinas industriais a União Europeia definiu
uma diretiva que estipula determinados requisitos,
para a integração de segurança, quando da sua
conceção e fabrico bem como na sua instalação e
manutenção.
Essa Diretiva surgiu em Maio de 2006 e é a
designada Diretiva Máquina 2006/42/CE.

Esta diretiva teve como objetivo principal a redução do elevado numero de acidentes de trabalho provocados
diretamente pelo mau funcionamento e utilização de máquinas industriais.

[asaTek / J.Andril] 5
BRESIMAR AUTOMAÇÃO Capítulo I

RESUMO DO OBJETIVO DA DIRETIVA MÁQUINA 2006/42/CE

A Diretiva de Máquinas 2006/42/CE que entrou em vigor a partir de 29 de Dezembro de 2009 aplicasse a todas as
máquinas feitas e disponíveis no mercado da Comunidade Europeia além da Suíça e Turquia. Esta nova diretiva
teve como objetivo aumentar a eficácia da anterior, a 98/37/CE, bem como esclarecer eventuais duvidas de
interpretação da norma sem alterar substancialmente as suas especificações. A nova diretiva inclui a aplicação do
risco e todos os critérios essenciais de segurança a serem observados e cumpridos.

Todo o fabricante de máquinas tem que cumprir um conjunto mínimo de requisitos antes de uma máquina poder
ser colocada no mercado. A máquina tem de cumprir os Requisitos de Saúde e Segurança, indicados no Anexo I da
Diretiva, estabelecendo assim um nível mínimo comum de proteção em todo o Espaço Economico Europeu.

Os fabricantes de máquinas ou os seus representantes, autorizados na União europeia, devem assegurar que a
máquina está de acordo com a Diretiva tendo que disponibilizar às autoridades competentes, quando requerido,
um documento técnico. A máquina tem também de possuir uma marcação CE e uma declaração de Conformidade.
Todas as máquinas devem ser utilizadas de acordo com as Instruções de Trabalho do fabricante.

As máquinas antigas, já existentes antes da entrada em vigor da Diretiva Máquina, não necessitam de cumprir os
requisitos exigidos exceto os estipulados nos requisitos de saúde como garantirem segurança na sua operação.
Todavia as modificações efetuadas a essas máquinas podem serem consideradas como sendo o fabrico de uma
nova máquina, mesmo que a máquina seja destinada a utilização interna na empresa. Neste caso é obrigatório a
emissão da declaração de conformidade e efetuar a marcação CE.

I-2.3 – Tipo de normas existentes

Para avaliar os riscos das máquinas e para a conceção dos sistemas de segurança, que protegem o operador dos
riscos de operação das mesmas, os Comités Europeus de Normalização CEN e CENELEC publicaram normas que
definem em termos técnicos os requisitos indicados na diretiva.

Estas normas são publicadas no Jornal Oficial da União Europeia e são harmonizadas. O fabricante de máquinas, ao
aplicar estas normas na certificação das suas máquinas, está em conformidade com a diretiva estipulada.

No que respeita às normas de segurança, a aplicar, a Diretiva Máquina 2006/42/CE define três tipos de Normas:

 NORMAS DO TIPO A
 NORMAS DO TIPO B
 NORMAS DO TIPO C

[asaTek / J.Andril] 6
BRESIMAR AUTOMAÇÃO Capítulo I

NORMAS DO TIPO A

São normas que definem conceitos básicos, princípios para a conceção e aspetos
gerais que podem ser aplicados às máquinas.

Estas normas são:

 EN ISO 12100-1 e -2:2010 (substitui a EN292-1 e EN292-2):


Conceitos básicos, princípios gerais para o projeto.
 EN 61508: Segurança funcional dos dispositivos elétricos,
com sistemas com eletrónica programável.
 EN ISO 14121:2007: Princípios da avaliação de risco.

NORMAS DO TIPO B

São normas em grupo que focam aspetos particulares respeitantes à segurança,


estando dividida em duas categorias.

Categoria B1

Normas sobre alguns aspetos de segurança, como exemplo, distâncias de


segurança, níveis de temperaturas e ruido, princípios ergonómicos das máquinas,
etc

 EN 62061: 2005: Funções de segurança relacionadas com a funcionalidade


elétrica e sistemas de controlo eletrónico
 EN ISO 13849-1:2006 e -2:2003: Segurança de sistemas de controlo.

Categoria B2

Normas que descrevem as características dos dispositivos de segurança como


comandos bimanual, portas de segurança de bloqueio de dispositivos, etc. Estas
normas são as seguintes:

 EN 574:2008: Dispositivos de controlo de duas mãos.


 EN 13580:2006 (substitui a EN 418:1992): Paragem de emergência.
 EN 1088:2008 e ISO 14119: Dispositivos bloqueio com barreiras.
 EN 60204-1:2006: Equipamento elétrico das máquinas.
 EN 60947-5-1:2009: Dispositivos de controlo eletrodomésticos.

NORMAS DO TIPO C

São normas que especificam requisitos de segurança detalhados para


determinadas máquinas ou grupo de máquinas tais como prensas hidráulicas,
máquinas de injeção, etc.

 EN 201:2007: Máquinas para borracha, material plástico e Injeção.


 EN 415-1:2009: Segurança de máquinas de embalagem.
 EN 692:2009: Prensas mecânicas.
 EN 693:2009: Prensas hidráulicas.
 EN 848-1:2010: Segurança de máquinas de trabalho com madeira.

[asaTek / J.Andril] 7
BRESIMAR AUTOMAÇÃO Capítulo I

I-2.4 – Análise de risco

Quando se constrói uma máquina é necessário identificar todos os riscos possíveis a que os utilizadores estão
expostos de modo a torna-la segura na sua utilização.

A identificação e classificação dos riscos permitem avaliar os perigos existentes e quais os tipos de ferimentos
possíveis. As normas EN ISO 12100 e EN 14201 definem a metodologia de analise, avaliação e procedimentos para
a redução desses riscos. Estas normas definem um modelo de analise cíclico que perante a fixação de metas
iniciais permite a analise dos riscos existentes e possíveis soluções para os mesmos. Esta avaliação é efetuada
varias vezes até que as metas definidas estejam satisfeitas. Noutras palavras, quando da analise, se um risco pode
ser reduzido este obrigatoriamente tem de o ser.

O modelo introduzido por estas duas normas, como anteriormente foi dito, pretende reduzir ou eliminar os riscos
existentes através de um processo de analise cíclico e que tem os seguintes passos:

 1º Passo: Eliminação dos riscos na origem através da utilização de princípios de projeto e


conceção intrinsecamente seguros.

 2º Passo: Redução de riscos através da salvaguarda e de sistemas de controlo.

 3º Passo: Prevenção de riscos residuais informando os utilizadores e operadores das máquinas.

[asaTek / J.Andril] 8
BRESIMAR AUTOMAÇÃO Capítulo I

I-2.5 – Segurança Funcional


Na ultima década, deste seculo, têm sido publicadas diversas normas sobre segurança funcional. Algumas dessas
normas são a IEC 61508, IEC 62061, IEC 61511, ISO 13849-1 e IEC 61800-5-2. O conceito de segurança funcional
vem substituir as antigas categorias de comportamento, em caso de falha, que eram definidas na EN 954-1.

A velha NORMA EN 954-1

A antiga norma EN 954-1 de 1996 definia, através de uma tabela de risco, a segurança relacionada com os circuitos
de controlo elétrico. Nesta antiga norma o utilizador avaliava a frequência dos riscos, a gravidade das lesões
inerentes e as possibilidades de fuga no caso de uma ocorrência.

Essa norma identificava as seguintes categorias, em caso de falha:

* CATEGORIA B: nesta categoria os circuitos de controlo são básicos e podem levar a uma perda da função de
segurança devido a uma falha.

* CATEGORIA 1: nesta categoria os circuitos de controlo também podem levar a uma perda da função de
segurança, mas com menos probabilidade do que ocorre na Categoria B.

* CATEGORIA 2: nesta categoria são efetuados testes periódicos, com intervalos adequados, aos circuitos de
controlo. Mesmo assim pode ocorrer falhas nas funções de segurança entre esses testes.

* CATEGORIA 3: nesta categoria os circuitos de controlo asseguram as funções de segurança na presença de


uma única falha. Perante diversas falhas podem ser perdidas as funções de segurança.

* CATEGORIA 4: nesta categoria os circuitos de controlo asseguram as funções de segurança e estão disponíveis
no caso de ocorrerem uma ou mais falhas.

Atualmente a norma EN 954-1 foi substituída pelas normas IEC 62061 e EN ISO 13849-1.

[asaTek / J.Andril] 9
BRESIMAR AUTOMAÇÃO Capítulo I

NORMA IEC 62061

A norma internacional IEC 62061


considera cada função de
segurança em detalhe tendo que
ser elaborados requisitos de
segurança específicos. Nestes
requisitos incluem-se os seguintes
pontos:

Especificação funcional : O que


cada função faz em pormenor.

Especificação de integridade de
segurança : Define a probabilidade
de que o exigido à função será
realizado sob condições especificas.

A especificação de integridade de segurança, considera falhas de hardware e falhas de sistema. As falhas de sistema
são aquelas que estão relacionadas com causas especificas e apenas podem ser evitadas pela remoção das respetivas
causas, geralmente através de uma modificação do desenho. Em geral estas falhas resultam de especificações
incorretas no inicio do projeto.

Na norma IEC 62061 é estabelecido um requisito de integridade de segurança através de um valor que indica a
probabilidade de falhas perigosas por hora para cada função de segurança relacionada. O valor para o Nivel de
Integridade de Segurança SIL é calculado através do nível de segurança de cada componente ou de cada subsistema.

A determinação do SIL (“Safety Integrity Level”) é exemplificada na tabela seguinte :

NORMA EN ISO 13849-1

A norma europeia EN ISO 13849-1 elaborada pelo CEN – Comité Europeu de Normalização sobre égide da ISO define
um nível de desempenho de segurança denominado de PL (“Perfomance Level”) traduzido pela atribuição das letras
A, B, C, D ou E. Tal como a norma EN62061 também estabelece este valor a partir da probabilidade de falhas tendo
em conta 3 variáveis. Essas variáveis são as seguintes:

 MTTF (“Mean Time to Failure”) : Tempo estimado até ocorrer uma falha perigosa e que é estabelecido através
do seguinte quadro :

[asaTek / J.Andril] 10
BRESIMAR AUTOMAÇÃO Capítulo I

 DC ( Diagnostic Coverage ) : É uma medida que indica quantas falhas perigosas o sistema de diagnóstico irá
detetar. É estabelecido através do seguinte quadro:

 CATEGORIA : São as mesmas que estão estabelecidas no anexo 2 da norma EN 945-1 (ver pag.8).

Com as três variáveis anteriores (MTTF, DC e CATEGORIA) é encontrado o nível PL. Na tabela seguinte é
apresentado um método simplificado de determinação desse nível PL conforme a Tabela 7 da norma ISO 13849-1.

Podemos também determinar o PL exigido através de um gráfico de risco como mostra a figura seguinte:

As normas EN 62061 e EN 13849 sobrepõem-se na sua aplicação.

Elas são semelhantes em diversos aspetos, havendo uma relação precisa


entre ambas. A escolha da norma a utilizar depende do fabricante e de
acordo com a tecnologia adotada. No entanto a norma EN 13849 é mais fácil
de se aplicar tanto pela sua abordagem como pela reutilização de conceitos
já conhecidos, na norma anterior EN 954-1.

[asaTek / J.Andril] 11
BRESIMAR AUTOMAÇÃO Capítulo I

[asaTek / J.Andril] 12
BRESIMAR AUTOMAÇÃO Capítulo II

II – Terminais e dispositivos de segurança


Apresentação dos componentes de segurança para o TwinSAFE
O módulo TwinSAFE, no System Manager, do TC2.11 é o software
de programação para os controladores de segurança BECKHOFF.

O modulo de software TwinSAFE só por si não permite construir


um sistema seguro. É necessário ter hardware que agrupe a lógica
residente no software TwinSAFE com os órgãos funcionais
perigosos da máquina industrial, através de equipamentos
seguros.

O hardware necessário é constituído por dois grupos funcionais:

- 1º grupo é constituído por terminais de segurança que são incorporados no hardware do PLC ou controlador
lógico de segurança BECKHOFF (cartas de entradas e saídas digitais seguras).
- 2º grupo é constituído por dispositivos de segurança (bimanual, botão de emergência, barreiras luminosas,
portas de acesso seguro, etc), externos ao PLC ou controlador de segurança, que são instalados fisicamente
na máquina industrial que pretendemos certificar segundo as normas de segurança.

 II-1 – Terminais de segurança BECKHOFF


Os terminais de segurança que a BECKHOFF disponibiliza dividem-se em dois grupos. O grupo dos controladores
lógicos de segurança e o grupo das cartas de entradas e saídas seguras.

[asaTek / J.Andril] 13
BRESIMAR AUTOMAÇÃO Capítulo II

O programa de segurança, na BECKHOFF, é desenvolvido no configurador System Manager do TwinCAT 2.11 e


correrá nos módulos lógicos EL6900, EL6930 E KL6904. Este programa é separado do programa do automatismo
clássico, residente no softPLC TwinCAT PLC.

Os dispositivos de monitorização (entradas de segurança) dos equipamentos de segurança estão ligados


eletricamente às cartas KL1904, EL1904 ou EP1908.

Os dispositivos de acionamento de segurança (saídas de segurança), que irão cortar as energias ou movimentos
perigosos através de relés ou contatores, estão ligados às cartas EL2902 ou EL2904.

Ambos são certificados como dispositivos de segurança. A comunicação entre a placa controladora de segurança
(ex. EL6900) e as entradas/saídas seguras (ex. EL1904/EL2904) é feita através da rede EtherCAT. Isso é possível
porque a comunicação usa um protocolo, certificado para segurança, designado por FSoE (Fail-safe over
EtherCAT). Devido à enorme flexibilidade do sistema podemos ter, na mesma rede, mais do que um controlador
de segurança.

II-1.1 – Especificações dos terminais de entradas seguras (KL/EL/EJ 19xx)

Os terminais (também designadas na gíria técnica


cartas) com entradas digitais para segurança
máquina, disponíveis na BECKHOFF, são os
seguintes:

Barramento KL (K bus)
- KL1904 (4 entradas digitais seguras)

Barramento EL (EtherCAT)
- EL1904 (4 entradas digitais seguras)
- EP1908-002 (8 entradas digitais seguras)

Barramento EJ (EtherCAT)
Nota: Ainda não disponíveis no mercado
- EJ1914 e 18 (4 e 8 entradas digitais seguras)
- EJ1957 (8 entradas/4 saídas digitais seguras)
[asaTek / J.Andril] 14
BRESIMAR AUTOMAÇÃO Capítulo II

Como exemplo, a carta EL1904 (na figura em baixo) possui 4 canais de entradas seguras. A estes 4 canais ligamos
eletricamente equipamentos de segurança. Esses equipamentos de segurança podem ser botões de paragem de
emergência, comando de máquina bimanual, portas de controlo de acesso a zonas perigosas, scanners laser para
zonas perigosas, barreiras luminosas, tapetes de segurança de zona, etc

II-1.1.1 – Diagrama de bloco do EL1904

II-1.1.2 – Teste de impulsos nas entradas seguras


Em cada canal da carta EL1904 podemos efetuar o teste ao circuito elétrico do
equipamento de segurança a que está ligado. Este teste é feito através do gerar
de um trem de impulsos. Estes impulsos permitem detetar falhas nos contatos
do circuito elétrico através de curto-circuitos forçados externamente ou
circuitos cruzados vindos de outras cartas.

O comprimento temporal do impulso é de cerca 350 µs e repete-se 250 vezes


por segundo. A comutação da saída, para este impulso, faz-se de 24 a 0Vdc.
Estes i pulsos sae pelos te i ais Input 1+ … 4+ e de e o entrar as
entradas do respetivo par Input 1- … 4-. Estes trens de impulsos são
independentes e assíncronos (desfasados no tempo). O tempo do ciclo deste
teste nos 4 canais é de cerca 4 ms. Na figura, em baixo nesta pagina, está
representado um diagrama temporal para o trem de impulsos gerado em cada
um dos canais.

Para termos esta função de teste de impulsos em cada um dos canais da carta
EL1904 teremos, no TwinSAFE (EtherCAT), de o figu a o pa et o Sensor test active ativando-o a TRUE.

[asaTek / J.Andril] 15
BRESIMAR AUTOMAÇÃO Capítulo II

II-1.1.3 – Tabela dos parâmetros do EL1904 (“Safety Parameters”)


Nome do Parâmetro Significado Valor
“FS Operating Mode” Endereço FS0E atribuído pelo DIP switch 1 a 65535
“Operating Mode” Modo de Operação das entradas digitais “digital”
[8000:01] de segurança “standstill monitoring 1” ou “2”
“Sensor test Channel 1 Gerar trem de impulsos a sair pelo Input TRUE / FALSE
active” [8001:01] 1+ e a entrar em Input 1-
“Sensor test Channel 2 Gerar trem de impulsos a sair pelo Input TRUE / FALSE
active” [8001:02] 2+ e a entrar em Input 2-
“Sensor test Channel 3 Gerar trem de impulsos a sair pelo Input TRUE / FALSE
active” [8001:03] 3+ e a entrar em Input 3-
“Sensor test Channel 4 Gerar trem de impulsos a sair pelo Input TRUE / FALSE
active” [8001:04] 4+ e a entrar em Input 4-
“Logic Channel 1 and 2” Ativar a combinação lógica entre o canal + “single logic channel 1/2”
[8002:01] 1e2 + ”asynchronous analyses OSSD, …”
(o teste do sensor deve estar OFF)
+ ”any pulse repitition OSSD,…”
(o teste do sensor deve estar OFF)
+ ”short cut channel 1/2, …”
(não dever ser considerada falha)
“Logic Channel 3 and 4” Ativar a combinação lógica entre o canal + “single logic channel 3/4”
[8002:03] 3e4 + ”asynchronous analyses OSSD, …”
(o teste do sensor deve estar OFF)
+ ”any pulse repetition OSSD,…”
(o teste do sensor deve estar OFF)
+ ”short cut channel 3/4, …”
(não dever ser considerada falha)
“Store code” Necessário para o “Restore Mode” 0x0000
“Project CRC” Necessário para o “Restore Mode” 0x0000

II-1.1.4 – Exemplos de configuração dos parâmetros do EL1904


Para cada tipo de equipamento de segurança (bimanual, botão de emergência, barreiras luminosas, etc) temos de
configurar os parâmetros, mostrados na tabela anterior, de maneira diferente. De seguida demonstramos, com
diversos exemplos, essas configurações.

Exemplo 1: Configuração da EL1904 com Barreiras Luminosas (ligth barriers)


Só sensores (barreiras luminosas ou scanners laser de segurança máquina) com autoteste das suas saídas, com um
impulso máximo de 350 µs, é que se podem ligar à carta EL1904 (veja a figura seguinte).

[asaTek / J.Andril] 16
BRESIMAR AUTOMAÇÃO Capítulo II

Parâmetros para as barreiras luminosas ou scanners laser de segurança (“Safety Parametrs”):


A figura seguinte mostra as configurações dos parâmetros para uma barreira luminosa de segurança ligada
eletricamente ao Input 1 e 2 da carta EL1904. Neste exemplo o parâmetro 8002:01 também podia ser configurado
com any pulse repetition OSSD, sensor test deactivated . Os parâmetros 8001:01 e :02 do Input 1 e 2 têm de ter
o teste Sensor test Channel ? active desati ado FALSE).

Exemplo 2: Configuração da EL1904 com tapetes de segurança (switching mats)


Esta carta suporta também tapetes de segurança para zonas de trabalho perigosas.

Parâmetros para os tapetes de segurança (“Safety Parametrs”):


A figura seguinte mostra as configurações dos parâmetros para um tapete para zona de segurança ligada
eletricamente ao Input 1 e 2 da carta EL1904. Neste exemplo, o parâmetro 8002:01 também podia ser configurado
com any pulse repetition OSSD, sensor test deactivated .

II-1.1.5 – Diagnóstico de erros e estado


Todas as cartas possuem no seu frontal um conjunto de 8 LED´s de cor verde ou vermelha. Estes LED´s transmitem
aos operadores de manutenção ou de projeto o estado ou erros de funcionamento da carta.

Os LED´s Diag 1, 2, 3, e 4 servem para diagnosticar erros funcionais da carta EL1904.

[asaTek / J.Andril] 17
BRESIMAR AUTOMAÇÃO Capítulo II

1º LED: “Diag 1” (cor verde) - Indica o estado da interface do TwinSAFE

Codificação do erro (piscar do LED) Significado


LED aceso continuamente Em funcionamento normal :
Sem erros e comunicação do TwinSAFE OK
Piscar rápido, alternando com 1 impulso flash
Erro nos parâmetros S (parâmetro TwinSAFE)
Piscar rápido, alternando com 2 impulso flash
Erro nos parâmetros I (parâmetro Individual)
Piscar rápido, alternando com 3 impulso flash
À espera dos parâmetros S e I.
Piscar rápido, alternando com 4 impulso flash
Parâmetros S, I corretos (espera ordem de controlo)
Piscar rápido, alternando com 5 impulso flash
Erro de watchdog.
Piscar rápido, alternando com 6 impulso flash
Erro de CRC
Piscar rápido, alternando com 7 impulso flash
Erro dado pelo nº de sequencia
Piscar rápido, alternando com 8 impulso flash
Erro de comunicação no protocolo TwinSAFE

2º LED: “Diag 2” (cor vermelha) – Acende a cor vermelha quando deteta a injeção, numa entrada Input, de uma
fonte de alimentação de 24Vdc externa à carta ou existe circuito cruzado. O erro apaga-se quando se elimina a causa.

3º e 4º LED: “Diag 3” e “Diag 4” (cor vermelha) – Se o 3º LED (“Diag 3”) está aceso indica um erro interno que
pode ser lido no 4º LED (“Diag 4”). O tipo de erro deve ser encontrado através do pulsar do LED “Diag 4” (ver tabela
seguinte). A técnica de leitura é feita através de 4 sequências de impulsos luminosos do LED. Cada sequencia é
separada por um espaço temporal curto. Após as 4 sequências há uma paragem longa. A tabela seguinte indica o tipo
de erros conforme o numero de impulsos dentro das 4 sequências.

LED “Diag 3” LED “Diag 4” (deve piscar seguindo 4 sequências de flashing)


Sequência Significado Solução
ON 6-1-1-1 Temperatura máxima interna excedida Verifique a refrigeração do quadro de
comando onde se encontra a carta EL.
7-1-1-1 Temperatura interna inferior à mínima
permitida
2-1-2-1 Tensão alimentação máxima do µC1 Verifique a fonte de alimentação.
excedida
3-1-2-1 Tensão alimentação máxima do µC2
excedida
4-1-2-1 Tensão alimentação do µC1 abaixo do
limite mínimo
5-1-2-1 Tensão alimentação do µC2 abaixo do
limite mínimo
8-1-1-1 Excedido a temperatura diferencial Verifique a instalação e a temperatura
entre os pontos de medição ambiente.

Se surgirem outras sequências significa que existem erros internos no terminal. Esses erros devem forçar a paragem
do funcionamento da carta EL1904.

II-1.1.6 – Objetos de diagnóstico (CoE objects)

Os objetos de diagnóstico servem para internamente verificarmos as possíveis causas de maus funcionamentos da
carta de segurança.

Nunca deveremos alterar esses objetos CoE no editor TwinCAT. Qualquer alteração desses objetos leva
definitivamente a carta de segurança para modo falha (Fail-Stop state).

[asaTek / J.Andril] 18
BRESIMAR AUTOMAÇÃO Capítulo II

Índice FA80hex: Valores internos de temperatura


O objeto CoE FA80hex indica o valor de temperatura interna atualmente na carta EL1904.

Índice Nome Significado Flags Default


FA80:01 “Temperature 1” Medição temperatura 1 RO 0bin
FA80:02 “Temperature 2” Medição temperatura 2 RO 0bin
Default = Valores vindos de fábrica

Índice 800Ehex: Informação de diagnóstico


O objeto CoE 800Ehex mostra mais informação de diagnóstico da carta EL1904.

Índice Nome Significado Flags Default


800E:0 Diagnóstico Os subíndices contem o diagnóstico RO
Detetado uma Fonte de Alimentação
Bit
externa ou circuito cruzado.
0 1bin Erro no Input 1 0bin
800E:0A Erro nos testes dos sensores RO
1 1bin Erro no Input 2 0bin
2 1bin Erro no Input 3 0bin
3 1bin Erro no Input 4 0bin
Erro que ocorre no teste a dois canais (ex.
Bit
canais não coordenados).
800E:0B Erro no par de canais RO
0 1bin Erro na 1ª entrada do par 0bin
1 1bin Erro na 2ª entrada do par 0bin
Erro em tapete de segurança Bit Erro no par de entradas
800E:0C Modo de operação: 1,0 1bin Erro no 1º par de canais RO 0bin
“input pair disagree” 3,2 1bin Erro no 2º par de canais 0bin
Erro nos testes de impulsos com a
utilização de tapetes de segurança (ex.
Bit RO
detetada uma fonte de alimentação
Erro em tapete de segurança externa).
800E:0D Modo de operação:
0 1bin Erro no Input 1 0bin
“external supply”
1 1bin Erro no Input 2 0bin
2 1bin Erro no Input 3 0bin
3 1bin Erro no Input 4 0bin

[asaTek / J.Andril] 19
BRESIMAR AUTOMAÇÃO Capítulo II

II-1.2 – Especificações dos terminais de saídas seguras (KL/EL/EJ 29xx)

Os terminais de saídas digitais para segurança máquina, disponíveis na BECKHOFF, são os seguintes:

Barramento KL (K bus)
- KL2904 (4 saídas digitais seguras)

Barramento EL (EtherCAT)
- EL2901 (contatos potencia 1 canal)
- EL2902 (2 saídas digitais seguras)
- EL2904 (4 saídas digitais seguras)

Barramento EJ (EtherCAT)
Nota : Ainda não disponíveis no mercado
- EJ2914 e 18 (4 e 8 saídas digitais seguras)
- EJ2957 (8 entradas/4 saídas digitais seguras)

Como exemplo, a carta EL2904 (da figura) possui 4 canais de saídas seguras. A estes 4 canais ligamos eletricamente
os equipamentos de corte (alimentados a 24Vdc) das energias perigosas (elétrica, cinética ou potencial). Esses
equipamentos de corte são relés ou contatores de potência, trincos eletromecânicos, servo-drives, etc.

II-1.2.1 – Diagrama de bloco do EL2904

II-1.2.2 – Teste de Impulsos nas saídas seguras

Em cada canal da carta EL2904 podemos efetuar o teste ao circuito elétrico do


equipamento de corte, a que está ligada. Este teste é feito através do gerar de um
trem de impulsos. Estes impulsos permitem detetar falhas nas ligações elétricas
feitas aos relés, contatores ou trincos eletromagnéticos.

O comprimento temporal do impulso está entre 350 µs a 800 µs e repete-se 5 a 7


vezes por segundo. A comutação da saída, para este impulso, faz-se de 24 a 0V e
volta a 24Vdc. Estes impulsos saem em cada Output 1+ … 4+ e de e o surgir
nas entradas do respetivo par Output 1- … 4-. Estes trens de impulsos são
independentes e assíncronos (desfasados no tempo). Na figura apresentada, em
baixo nesta pagina, está representado um diagrama temporal para o trem de
impulsos gerado em cada um dos canais.

[asaTek / J.Andril] 20
BRESIMAR AUTOMAÇÃO Capítulo II

Para termos esta função de teste de impulsos, em cada um dos canais da carta EL2904, teremos no TwinSAFE
(EtherCAT) de configurar o parâmetro “current measurement” e o “testing of outputs active” a TRUE. Não existe
razão funcional termos o parâmetro “current measurement” a TRUE e o “testing of outputs active” a FALSE.

II-1.2.3 – Tabela dos parâmetros do EL2904 (“Safety Parameters”)

Nome do Parâmetro Significado Valor


“Standard outputs active” Podemos colocar uma saída da carta EL2904 a ser comutada TRUE/FALSE
[8000:01] por uma condição residente no PLC standard. A saída é
linkada com um sinal lógico “AND”.
“Current measurement active” A medição de corrente de consumo do rele ou contator está TRUE/FALSE
[8000:02] ativa (faz a medição).
“Testing of outputs active” O teste de impulsos do respetivo canal é ativado. TRUE/FALSE
[8000:03]
“Error acknowledge active” Com o valor TRUE: TRUE/FALSE
[8000:04] Erros na carta EL levam a um RESET nas ligações do TwinSAFE
(erro 14 [0x0E]). Este código de erro é mostrado nos dados de
diagnóstico e mantem-se até reconhecermos o erro, através
da flag “ErrAck”, no grupo do TwinSAFE.
Com o valor FALSE (valor de fábrica):
Erros na carta EL só se pode fazer o RESET através do corte
de energia à carta e reinicia-la de novo.
“Store code” Necessário para o “Restore Mode” 0x0000
“Project CRC” Necessário para o “Restore Mode” 0x0000

NOTA :
Se tivermos os parâmetros “current measurement active” ou o “testing of outputs active” ativo (TRUE) cada um
dos canais Output 1 a 4 geram impulsos de teste. Se há indicação de erro na carta EL, por incompatibilidade funcional
dos equipamentos de corte (relés ou contatores) que utilizamos na aplicação, devemos por os dois parâmetros
anteriores a FALSE. Não existe e não faz qualquer sentido termos os parâmetros “testing of outputs active” a FALSE
com a propriedade “current measurement active” a TRUE.

Ao desligarmos estes dois parâmetros reduzimos a classificação do nível de segurança da máquina industrial em
que está instalado o sistema Beckhoff TwinSAFE.

[asaTek / J.Andril] 21
BRESIMAR AUTOMAÇÃO Capítulo II

Janela dos parâmetros da carta EL2904.

II-1.2.4 – Diagnóstico de estado e erros


Todas as cartas possuem no seu frontal um conjunto de 8 LED´s de cor verde ou vermelha. Estes LED´s transmitem
aos operadores de manutenção ou de projeto o estado ou erros de funcionamento da carta.

Os LED´s Diag 1, 2, 3, e 4 servem para diagnosticar erros funcionais da carta EL2904.

1º LED: “Diag 1” (cor verde) - Indica o estado da interface do TwinSAFE

Codificação do erro (piscar do LED) Significado


LED aceso continuamente Em funcionamento sem erros.

2º LED: “Diag 2” (cor vermelha) - Indica o estado das saídas digitais de segurança da carta EL

Codificação do erro (piscar do LED) Significado


Piscar rápido, alternando com 1 impulso flash Erro na saída 1 (Output 1) Circuito da carga em circuito
Piscar rápido, alternando com 2 impulso flash Erro na saída 2 (Output 2) aberto ou corrente de carga
inferior a 20mA ou superior a
Piscar rápido, alternando com 3 impulso flash Erro na saída 3 (Output 3)
500mA.
Piscar rápido, alternando com 4 impulso flash Erro na saída 4 (Output 4)
Piscar rápido, alternando com 5 impulso flash Nível de tensão baixo
Piscar rápido, alternando com 6 impulso flash Nível de tensão alto
Piscar rápido, alternando com 7 impulso flash Temperatura interna no terminal muito baixa
Piscar rápido, alternando com 8 impulso flash Temperatura interna no terminal muito alta
Piscar rápido, alternando com 9 impulso flash Erro no diferencial de temperatura
Erro no circuito saída (Circuito da carga em aberto,
Piscar rápido, alternando com 10 impulso flash
curto-circuito ou fonte alimentação externa)
Estes erros só podem ser “apagados” após a eliminação do erro, com o corte da energia elétrica à carta.

3º e 4º LED: “Diag 3” e “Diag 4” (cor vermelha) – Se o 3º LED (“Diag 3”) se encontra aceso indica um erro interno.
Este erro força o desligar deste terminal. O tipo de erro deve ser encontrado através do pulsar do LED “Diag 4”. A
técnica de leitura é feita através de 4 sequências de impulsos luminosos do LED. Cada sequencia é separada por um
espaço temporal curto. Após as 4 sequências há uma paragem longa. O tipo de erros é conforme o numero de impulsos
dentro das 4 sequências (igual à tabela da EL1904). Esta contagem deve ser enviada para a Beckhoff quando da
reparação do terminal E2904.
[asaTek / J.Andril] 22
BRESIMAR AUTOMAÇÃO Capítulo II

II-1.2.5 – Objetos de diagnóstico (CoE objects)


Os objetos de diagnóstico servem para internamente verificarmos as possíveis causas de maus funcionamentos da
carta de segurança. Nunca deveremos alterar esses objetos CoE no editor TwinCAT. Qualquer alteração desses
objetos leva definitivamente a carta de segurança para modo falha (Fail-Stop state).

Índice FA80hex: Valores internos de temperatura


O objeto CoE FA80hex indica o valor de temperatura interna atualmente na carta EL2904.

Índice Nome Significado Flags Default


FA80:01 ͞Temperature 1͟ Medição temperatura 1 (lado esquerdo) RO 0bin
FA80:02 ͞Temperature 2͟ Medição temperatura 2 (lado esquerdo) RO 0bin
FA80:02 ͞Temperature Outputs͟ Medição temperatura saídas (lado direito) RO 0bin
Default = Valores vindos de fábrica

Índice 800Ehex: Informação de diagnóstico


O objeto CoE 800Ehex mostra mais informação de diagnóstico da carta EL2904.

Índice Nome Significado Flags Default


800E:0 Diagnóstico Os subindices contem o diagnóstico RO
Detetado uma Fonte de Alimentação externa
Bit
ou circuitos cruzados *
0 1bin Erro no Output 1 0bin
1 1bin Erro no Output 2 0bin
2 1bin Erro no Output 3 0bin
4 1bin Erro no Output 4 0bin
800E:0C Erro nas saídas RO
Circuito aberto ou corrente inferior a 20mA
Bit
ou corrente superior a 500mA**
4 1bin Erro no Output 1 0bin
5 1bin Erro no Output 2 0bin
6 1bin Erro no Output 3 0bin
7 1bin Erro no Output 4 0bin
Bit Tensão (power contacts) fora dos limites RO
Erro na fonte de
800E:0D 0 1bin Tensão muito alta 0bin
alimentação
1 1bin Tensão muito baixa 0bin

[asaTek / J.Andril] 23
BRESIMAR AUTOMAÇÃO Capítulo II

Bit Temperatura fora das especificações RO


0 1bin Temperatura alta no µC1 0bin
1 1bin Temperatura alta no µC2 0bin
Erro de temperatura nos 2 1bin Temperatura alta na carta de saída 0bin
800E:0E microcontroladores da 3 1bin Temperatura baixa no µC1 0bin
carta EL 4 1bin Temperatura baixa no µC2 0bin
5 1bin Temperatura baixa carta saída 0bin
6 1bin Diferencial Temperatura alta (µC´s) 0bin
7 1bin Diferencial Temperatura alta na EL 0bin
*) Esta mensagem de diagnóstico só é i di ada se o teste Current Measurement estiver ativo (FALSE)
**) Esta mensagem de diagnósti o só é i di ada se o teste Current Measurement estiver ativo (TRUE)

II-1.2.6 – Possíveis causas das mensagens de diagnóstico


Diagnóstico Possíveis causas Acão corretiva
Se o pa et o Testing of outputs active e / ou Current measurement active est o
ativos:
Falha no teste de impulsos.
Causa: ligações cruzadas ou a utilização de fontes de Elimine estas duas causas.
alimentação externa à carta.
Falha no teste de impulsos.
Utilização de cabos isolados e
Causa: A utilização de caminhos comuns de cabos
separados, através da utilização de
pode induzir sinais de ruido acoplados pelas
caminho de cabos diferentes.
capacidades parasitas entre cabos.
Escolha um relé ou contator que
Falha na medição de corrente de carga.
tenha um consumo de corrente
Causa: O consumo de corrente pela carga (relé) é
entre 20 a 500 mA.
O LED Diag 2 inferior a 20mA ou superior a 500mA.
pisca 1,2,3,4 ou
I depe de te e te de os pa et o Testing of outputs active e / ou Current
10 impulsos flash
measurement active esta e ativos:
Os níveis da tensão de alimentação ultrapassam os
limites permitidos (24Vdc -15% / + 20%). Elimine o curto-circuito. Verifique a
Causa: A possível causa é a existência de um curto- potencia máxima da Fonte de
circuito na saída do terminal ou a existência uma Alimentação elétrica, se é a
queda brusca de tensão quando da comutação da adequada.
carga (relé ou contator).
Tome medidas em relação ao ruido
Falha EMC (compatibilidade eletromagnética) RF (Radio Frequência).

Substitua a carta EL
Defeito interno na carta EL
Ligue a fonte de alimentação que
alimenta os contatos de potência.
Não há tensão elétrica nos contatos de potência
Faça o Reset do e o PowerOn
(facas existentes no lado esquerdo do terminal EL).
Reset

Ligue a fonte de alimentação que


alimenta os contatos de potência
A tensão nos contatos de potência liga depois de antes ou ao mesmo tempo que o
O LED Diag 2 ligar a alimentação do terminal EL. terminal EL. Faça o Reset do erro
pisca 5 impulsos PowerOn Reset
flash
Coloque o nível de Tensão elétrica
Tensão baixa nos contatos de potência (facas para os valores corretos e faça o
existentes no lado esquerdo do terminal EL). Reset do erro ( PowerOn Reset ).

Tome medidas em relação ao ruido


Falha EMC (compatibilidade eletromagnética)
RF (Radio Frequência).
Substitua a carta EL
Defeito interno na carta EL

[asaTek / J.Andril] 24
BRESIMAR AUTOMAÇÃO Capítulo II

Reduza o nível de Tensão elétrica


Nível de tensão elétrica muito alta nos contatos de para os valores corretos e faça o
potência. Reset do erro ( PowerOn Reset ).

Elimine ou reduza esses picos de


Existência de picos de tensão elétrica nos contatos tensão colocando um filtro RC ou
O LED Diag 2
de potência, provocados pelo acionamento de um díodo de roda livre e
pisca 6 impulsos
cargas indutivas ( contatores de potência). paralelo com a bobine do contator.
flash
Tome medidas em relação ao ruido
Falha EMC (compatibilidade eletromagnética) RF (Radio Frequência).

Substitua a carta EL
Erro interno na carta EL
Cumpra as gamas de temperatura
Temperatura no terminal muito baixa especificadas na documentação.
O LED Diag
Tome medidas em relação ao ruido
pisca 7 impulsos
Falha EMC (compatibilidade eletromagnética) RF (Radio Frequência).
flash
Substitua a carta EL
Defeito interno na carta EL
Cumpra as gamas de temperatura
Temperatura no terminal muito alta especificadas na documentação.
O LED Diag 2
Tome medidas em relação ao ruido
pisca 8 impulsos
Falha EMC (compatibilidade eletromagnética) RF (Radio Frequência).
flash
Substitua a carta EL
Defeito interno na carta EL
Um dos pontos de medição deve
estar em falha. Substitua o
terminal.

Um ponto de medição interno


mostra uma leitura elevada.
Os diferenciais de temperatura muito altos entre os
Aumente a refrigeração do quadro
3 pontos de medição internos.
de comando e/ou verifique a
O LED Diag 2 colocação do terminal cumprindo
pisca 9 impulsos as regras de boas praticas de
flash instalação mecânica, evitando a
sua instalação junto a fontes de
calor.

Tome medidas em relação ao ruido


Falha EMC (compatibilidade eletromagnética) RF (Radio Frequência).

Substitua a carta EL
Defeito interno na carta EL

[asaTek / J.Andril] 25
BRESIMAR AUTOMAÇÃO Capítulo II

II-1.3 – Especificações dos terminais com controlador lógico TwinSAFE (KL/EL/EJ 69xx)

Os terminais, que correm o programa lógico de


segurança TwinSAFE, disponível são os seguintes:

Barramento KL (K bus)
- KL6904

Barramento EL (EtherCAT)
- EL6900
- EL6910 (só com TC3)
- EL6930 (TwinSAFE e PROFIsafe)

Barramento EJ (EtherCAT)
- EJ6910 (só com TC3)

PLC de Segurança EK (EtherCAT)


- EK1960 (só com TC3)

Este terminal EL6900 permite interligar as entradas


EL19xx com as saídas EL29xx seguras seguindo a
lógica de segurança residente no controlador da carta EL6900. Esta carta cumpre as normas IEC 61508:2010 SIL 3,
DIN EN ISO 13849-1:2006 (Cat4, PLe), NRTL, UL508, UL1998 e UL991.

Este controlador lógico de segurança, tal como os terminais de entrada e saídas seguras EL, deverão estar
incorporadas em rede EtherCAT com módulos de cabeceira (Bus Couplers) EKxxxx ou PC embebidos CXxxxx.

II-1.3.1 – Programação do código lógico de segurança

O programa lógico de segurança irá estar residente no controlador EL6900, EL6930 ou KL6904. O programa de
segurança Homem-Máquina não poderá estar residente em um PLC convencional, como o softPLC TwinCAT. Os
procedimentos necessários para construir um programa de segurança TwinSAFE serão explicados detalhadamente
no Capitulo III, deste manual.

II-1.3.2 – Diagnóstico de estado e erros

O terminal lógico de segurança EL6900 possui no seu frontal um conjunto de 8 LED´s de cor verde ou vermelha.
Estes LED´s transmitem aos operadores de manutenção ou de projeto o estado ou erros de funcionamento da
carta.

Os LED´s Diag 1, 2, 3, e 4 servem para diagnosticar erros funcionais da carta EL6900. Os LED´s State 1, 2, 3 e 4
indicam o estado em que se encontra o terminal EL6900.

[asaTek / J.Andril] 26
BRESIMAR AUTOMAÇÃO Capítulo II

- LED´s de INDICAÇÃO DE ERRO

At a és dos LED´s Diag 1 , Diag 2 , Diag 3 e Diag 4 o segui os sa e se existe um erro no controlador
lógico TwinSAFE EL6900 e qual a sua causa.

1º LED: Diag 1 (cor verde) - Indica o estado da interface do TwinSAFE


Codificação do erro (piscar do 1º LED) Significado
LED aceso continuamente (ON) Programa de segurança guardado no controlador.

2º LED: Diag 2 (cor vermelha) - Indica o estado interno do controlador de segurança EL6900 (em preparação).

3º e 4º LED: Diag 3 e Diag 4 (cor vermelha) – Se o 3º LED Diag 3 se e o t a a eso (ON) indica um erro
interno. Este erro força o desligar deste terminal. O tipo de erro deve ser encontrado através do pulsar do LED
Diag 4 ou se estiver desligado (OFF). Ver a tabela seguinte:
4º LED-Codificação erro (com 3º LED=ON) Significado
A piscar Erro no µC1
Desligado (OFF) Erro no µC2

3º e 4º LED: Diag 3 e Diag 4 (cor vermelha) – Se o 3º LED Diag 3 se e o t a desligado OFF i di a o


estado do terminal. Ver a tabela seguinte:
4º LED-Codificação estado (com 3º LED=OFF) Significado
Piscar 1 flash (piscar uniforme) Erro da Função Bloco de grupo do TwinSAFE
Piscar 2 flash (pausa longa entre Impulsos flash) Erro de comunicação de grupo do TwinSAFE
Piscar 3 flash (pausa longa entre impulsos flash) Erro de Função Bloco e comunicação de grupo TwinSAFE
Níveis de tensão de alimentação ou temperatura interna
Aceso do terminal fora da gama permitida. O diagnóstico
detalhado pode ser visto no objeto FA00hex.

- LED´s de INDICAÇÃO DE ESTADO

At a és dos LED´s State 1 , State 2 , State 3 e State 4 o segui os sa e o estado funcional do controlador
lógico TwinSAFE, terminal EL6900.

State 1 State 2 State 3 State 4 Significado


OFF OFF OFF ON Não existe projeto (programa) de segurança TwinSAFE
residente na sua memoria.
OFF OFF ON ON Projeto presente na memoria do terminal
Status da rede EtherCAT em Pre-OP (Pre-Operational)
ON ON ON ON Projeto presente na memoria do terminal
Status da rede EtherCAT em OP (Operational)

II-1.3.3 – Objetos de diagnóstico (CoE objects)

Os objetos de diagnóstico servem para internamente verificarmos as possíveis causas de maus funcionamentos da
carta de segurança.

Nunca deveremos alterar esses objetos CoE no editor TwinCAT. Qualquer alteração desses objetos leva
definitivamente a carta de segurança para modo falha (Fail-Stop state).

[asaTek / J.Andril] 27
BRESIMAR AUTOMAÇÃO Capítulo II

Índice FA80hex: Valores internos de temperatura


O objeto CoE FA80hex indica o valor de temperatura interna atualmente na carta EL6900.

Índice Nome Significado Flags Default


FA80:01 ͞Temperature Primary MC͟ Medição da temperatura 1 RO 0
FA80:02 ͞Temperature Secondary MC͟ Medição da temperatura 2 RO 0
Default = Valores vindos de fábrica

Índice FA00hex: Informação de diagnóstico


O objeto CoE FA00hex mostra mais informação de diagnóstico da carta EL6900.

Índice Nome Significado Flags Default


FA00:0 Diagnóstico Os subindices contem o diagnóstico detalhado RO
Word Erros
0005hex Temperatura máxima excedida
Erro de temperatura
0006hex Temperatura abaixo do limite mínimo
0007hex Diferencial de temperatura excedida
0101hex Tensão máxima no µC 1 excedida
FA00:03 RO 0000hex
0102hex Tensão máxima no µC 2 excedida
Tensão mínima no µC 1 abaixo do
Erro na alimentação 0103hex
limite
Tensão mínima no µC 2 abaixo do
0104hex
limite

[asaTek / J.Andril] 28
BRESIMAR AUTOMAÇÃO Capítulo II

 II-2 – Dispositivos de segurança


Existem no mercado uma vasta gama de dispositivos de comando de segurança máquina. Estes dispositivos são
fornecidos por diversas marcas (Siemens, Schmersal, Banner, Sick, Schneider, etc). A BECKHOFF no seu portfolio de
produtos não possui dispositivos de segurança para venda, somente terminais e PLC´s de segurança.

Da gama variada de dispositivos de segurança destacamos os seguintes:

 Comandos de paragem de emergência ESTOP – Emergency stop


 Comandos de bimanual Two-hand control
 Barreiras óticas de segurança Safety ligth curtain
 Scanners laser de segurança Safety laser scanner
 Tapetes e batentes de segurança máquina Safety switch mat / Safety bumper
 Trincos de porta de segurança Guard locking switching / tumbler͟)
 Portas de proteção de máquinas Protective door machine

Cada um destes dispositivos de segurança tem funcionalidades especificas no cumprimento das normas de
segurança homem-máquina. De seguida iremos abordar, de uma maneira ligeira, as características técnicas de
cada um destes dispositivos.

II-2.1 – Comandos de paragem de e ergê cia ESTOP - Emergency stop


Toda a máquina industrial deverá ter um dispositivo de paragem de emergência (ESTOP). São dispositivos com
acionadores, geralmente na forma de botões tipo cogumelo de cor vermelha, colocados em local visível na
máquina ou próximo dela e sempre ao alcance do operador. Quando acionados, tem a finalidade de parar todo e
qualquer movimento perigoso de órgãos pertencente à máquina.

Devem ser monitorizados por um relé ou PLC de segurança. No caso de utilizarmos controladores de segurança
BECKHOFF, os seus contatos elétricos deverão estar ligados eletricamente a entradas seguras (ex. terminal EL1904)
e vigiados através do programa de segurança TwinSAFE residente em um controlador de segurança (ex. EL6900) ou
PLC de segurança (ex. EK 1960).

Quando são utilizados comandos de bimanual, ligados por fichas rápidas (removíveis), que contenham um botão de
paragem de emergência este não pode ser único. Deve haver um outro dispositivo de paragem de emergência, no painel
de controlo ou no corpo da máquina. É necessário ainda a adoção de medidas para evitar confusão entre os controlos
ativos e inativos.

[asaTek / J.Andril] 29
BRESIMAR AUTOMAÇÃO Capítulo II

Esquema elétrico do Comando de paragem de emergência de segurança


Nestes dispositivos de segurança de emergência (ESTOP) podemos ter duas configurações elétricas. Uma com 2 contatos
Normalmente Fechados (NF) ou um contato NF e outro Normalmente Aberto (NA). Em ambos os casos os contactos são
guiados mecanicamente. Nas ligações aos terminais da BECKHOFF usam-se os dois contatos NF. Com o comando de
paragem de emergência ligado eletricamente a entradas seguras dos terminais de segurança EL1904 e controlado
por um controlador lógico TwinSAFE conseguimos obter a categoria CAT 4/PL=e.

II-2.2 – Comandos de bi a ual Two-hand control


Os comandos de bimanual são constituídos por 2 botões de pressão que pertencem ao mesmo dispositivo de
proteção. Estes 2 botões não podem estar separados e tem de pertencer a mesma caixa de comando. Em geral,
serve para assegurar a ocupação de ambas as mãos em simultâneo do operador da máquina. Assim, ambas as
mãos ficam fora da área perigosa. Este operador é o responsável de dar inicio aos movimentos, dos órgãos da
máquina, considerados perigosos. Deverá manter o comando bimanual ativo durante o tempo que o perigo esteja
presente na máquina.

Os comandos de bimanual são montados, na forma standard, com um comando de paragem de emergência (de
acordo com a norma EN ISSO 13850) e dois botões de pressão. Alem disso existem coberturas de proteção
mecânica, sobre os botões de pressão, as quais protegem contra a manipulação incorreta do bimanual com outras
partes do corpo humano, tais como cotovelos, barriga, ancas, coxas, joelhos, etc.

Esquema elétrico de Comando bimanual de segurança


Nestes dispositivos de segurança de bimanual temos 2 contatos. 1 contato é Normalmente Fechado (NF) e o outro um
contato Normalmente Aberto (NA). Ambos os contactos são guiados mecanicamente. Nas ligações aos terminais da
BECKHOFF usam-se os contatos NF e NA. Com o comando bimanual instalado com os terminais de segurança EL1904
e os controladores lógicos TwinSAFE conseguimos obter a categoria CAT 4/PL=e.

[asaTek / J.Andril] 30
BRESIMAR AUTOMAÇÃO Capítulo II

II-2.3 – Barreiras óticas de segurança Safety ligth urtai )


Quase todas a máquinas industriais possuem órgãos com movimentos ou outro tipo de energia que poderá causar
dados ao operador. Para restringir o acesso a essas zonas, cujos órgãos estão em funcionamento, com energia
cinética, potencial, elétrica ou térmica são usadas barreiras luminosas ou cortinas óticas de segurança. Estas
barreiras tem a função de cortar ou desligar essa energia (cinética, potencia, elétrica ou térmica) dos órgãos
funcionais perigosos, quando violamos a zona perigosa.

Estas barreiras óticas de segurança permitem serem integradas, dentro do conceito de segurança máquina, em
espaços reduzidos. A sua grande aplicação é a proteção a pessoas, mãos ou mesmo dedos em máquinas industriais
como prensas eletromecânicas, hidráulicas, pneumáticas, entre outras aplicações industriais.

Esquema elétrico ou eletrónico das Barreiras óticas de segurança


A parte eletrónica das barreiras luminosas já possui uma categoria de segurança de nível mais alto. Isto obriga que
os sinais elétricos (com informação de segurança) que são transmitidos, ao terminador da BECKHOFF, sejam

testados no controlo eletrónico da barreira luminosa. Este auto-teste (teste de impulsos) das saídas seguras da
barreira é designado por OSSD Output Signal Switching Device . Com as barreiras óticas de segurança, ligadas
eletricamente aos terminais de segurança EL1904 e controladores lógicos TwinSAFE, conseguimos obter a
categoria CAT 4/PL=e.

[asaTek / J.Andril] 31
BRESIMAR AUTOMAÇÃO Capítulo II

II-2.4 – Scanners laser de segura ça Safety laser scanner )


Um scanner laser permite que configuremos zonas ou áreas que pretendemos proteger contra a intrusão de
pessoas. A grande vantagem é poder facilmente e por software desenhar essas áreas mesmo tendo formatos
complexos. Efetivamente protegem operadores de máquina bem como sistemas moveis, para uma determinada
área.

Os scanners laser de segurança são uma solução para proteção de obstáculos em veículos autónomos (AGV´s –
Automated Guided Vechiles o o pa a zo as de trabalho de células robotizadas, entre outras aplicações.

Através do software podemos programar diversos campos com funções de segurança diferentes. Podemos ter
uma área considerada perigosa e logo teremos de a proteger contra a intrusão de pessoas provocando assim a
paragem do movimento perigoso da máquina. Também podemos ter outras zonas de trabalho que serão de aviso
e que não provocam, quando são violadas, a pagarem da mesma máquina.

Esquema elétrico ou eletrónico do Scanner laser de segurança


Com os scanners laser de segurança instalados com os terminais de segurança EL1904 e controladores lógicos
TwinSAFE conseguimos obter, no máximo, a categoria CAT 3/PL=e. Todavia, tal como as barreiras luminosas de

segurança, os sinais elétricos (com informação de segurança) que são transmitidos ao terminador da BECKHOFF
são testados. Este auto-teste (teste de impulsos) das suas saídas é designado, tal como nas barreiras luminosas,
por OSSD Output Signal Switching Device .

[asaTek / J.Andril] 32
BRESIMAR AUTOMAÇÃO Capítulo II

II-2.5 – Tapetes e batentes de segura ça Safety at a d u per )


Os tapetes e batentes de segurança são sensíveis à pressão. São revestidos por um invólucro selado em um
isolante de alta resistência (IP67) para uso em ambientes industriais agressivos. A superfície do topo pode ser
escolhida em alumínio ou PVC o que permite a sua utilização em ambientes adversos tanto mecanicamente,
térmico ou químico.

Existe uma norma própria para os tapetes de segurança que é a norma EN1760-1. Com uma correta instalação
elétrica usando os terminais da BECKHOFF EL1904 e controladores lógicos TwinSAFE podemos obter a categoria de
segurança CAT 4/PL=e.

Esquema elétrico ou eletrónico dos Tapetes ou batentes de segurança


O circuito elétrico dos tapetes ou dos batentes de segurança é constituído por 4 fios elétricos (dois circuitos
redundantes independentes).

A figura em baixo mostra o esquema elétrico de principio dos tapetes ou batentes de segurança (sensor). O tapete
de segurança esta representado por um contato Normalmente Aberto (NA) em paralelo com a bobine do rele K1
(corresponde a uma entrada segura do terminal EL1904).

Quando o tapete de segurança está em funcionamento, sem presença de pessoas a pressiona-lo, é enviado uma
pequena corrente para o sensor (ex. através da entrada Input 1+ da EL1904) que provoca o acionamento do relé
K1 (ex. não há retorno dessa corrente na entrada Input1– da EL1904). Neste caso, sem presença de pessoas em
cima do tapete o contato do sensor está em circuito aberto.

Em caso de alguém pisar o tapete o sensor fecha o contato, o que provoca um curto-circuito, deixando assim de
excitar o relé K1 (ex. há retorno de corrente na entrada Input- da EL1904). Neste caso entramos em modo de
falha. Uma resistência balastro (R), que se encontra em serie no circuito, limita a corrente máxima de curto-
circuito.

Com os tapetes de segurança instalados com os terminais de segurança EL1904 e controladores lógicos TwinSAFE
conseguimos obtemos a categoria CAT 4/PL=e.

Resumo : Em posiç o de proteção o sensor / tapete está a ser pisado p essio ado o ue provoca ter o
contato elétrico fechado. E estado o al o pisado o o tato elét i o est a e to.

[asaTek / J.Andril] 33
BRESIMAR AUTOMAÇÃO Capítulo II

II-2.6 – Portas e trincos de segura ça Protective door machine and tu ler )


A alternativa às barreiras óticas de segurança é a utilização de proteções físicas que limitem o acesso às zonas
perigosas da máquina. No caso de o operador de máquina necessitar de aceder a essas zonas, frequentemente,
temos de colocar essas proteções físicas com movimento de abertura e fecho.

Essas proteções físicas moveis designadas de portas de segurança máquina terão de ser monitorizadas, pelo
controlador lógico de segurança TwinSAFE, através da colocação de fins de curso de segurança. Em algumas
situações de máquinas com energia cinética ou potencial, perigosa para o operador, a porta de segurança só se
deve abrir quando essa energia desaparecer. Nestas situações são colocados trincos eletromecânicos de segurança
que inibem e encravam a abertura da porta, pelo operador, enquanto permanecer o perigo.

Com uma correta instalação elétrica usando os terminais da BECKHOFF EL1904 e controladores lógicos TwinSAFE
podemos obter a categoria de segurança CAT 4/PL=e.

Esquema elétrico funcional de Porta de segurança máquina


Nas figuras seguintes mostramos dois esquemas de principio funcional de uma porta deslizante de acesso a zona
perigosa. Na 1º figura só com dois fins de curso e na 2ª figura com trinco de encravamento de abertura de porta.

Os dois fins de curso irão ser monitorizados por um terminal EL1904 através da ligação de 2 entradas seguras. O
trinco eletromagnético será comandado pela lógica de segurança, residente no controlador lógico TwinSAFE,
através de 1 saída segura da carta EL2904.

[asaTek / J.Andril] 34
BRESIMAR AUTOMAÇÃO Capítulo III

III – TwinCAT 2.11 – Programação dos controladores TwinSAFE

Visão geral da aplicação TwinSAFE no TwinCAT 2.11


O TwinCAT 2.11 tem incorporado no configurador de hardware System Manager dispositivos de segurança homem-
máquina designados por TwinSAFE. Estes dispositivos de segurança baseiam-se nos controladores de segurança da
Beckhoff KL6904, EL6900 e EL6930. Só a partir da versão TwinCat V2.10 Build 1319 é que foi possível correr o
TwinSAFE. Neste caso ter-se-ia de instalar a aplicação TwinSAFE Verifier (TcSAFEVerifier). Nas versões atuais, V2.11
ou superior, não há necessidade de instalar esta aplicação pois já vem integrada no System Manager.

A introdução do TwinCAT 2 no mercado da automação como uma ferramenta de desenvolvimento universal, na área
dos automatismos industriais, criou novas possibilidades para as aplicações na área da segurança homem-máquina.
Assim sendo, um PC Industrial (IPC) padrão pode ser utilizado como um controlador de segurança máquina pela
primeira vez. Isto é devido há existência de um Safety Runtime integrado.

O editor de segurança TwinSAFE integrado no TwinCAT 2.11 permite a elaboração de uma aplicação (programa) de
segurança num ambiente gráfico e independente do hardware (CPU) a utilizar. O programa lógico de segurança é
configurado com ajuda de blocos funcionais de segurança. Esses blocos funcionais são para correr nos terminais
lógicos KL6904, EL6900 e EL6930.

Cada um destes controladores irá conectar-se a cartas de segurança de entradas seguras (KL1904, KL1908, EL1904) e
saídas seguras (KL2904, EL2904). O nº de cartas (conexões), que cada controlador de Safe, é capaz de controlar
depende do modelo (KL6904, EL6900 e EL6930). O KL6904 permite 7 ou 15 (parametrizável pelo KS2000 ou System
Manager). O modelo EL6900 permite 128 conexões e o EL6930 permite 127 conexões TwinSAFE e 1 PROFIsafe.

 III-1 – Programação do TwinSAFE no TwinCAT 2.11 (Segurança Homem-Máquina)

III-1.1 – Arquitetura base do hardware do kit de formação

Nos capítulos seguintes iremos explicar os passos necessários para programar um sistema de segurança homem-
máquina baseada em hardware BECKHOFF.

O kit de formação, usado para a execução deste manual, é constituído pelo seguinte hardware :

Modelo do PLC Sistema Operativo Versão do TwinCAT


CX 9020 Windows CE 7 TC2.11.2254 (NC I)
ou IPC com EtherCAT Windows 7 TC2.11.2254 (NC PTP)
Tipo de modulo Modelo Endereço FSoE (DIP switch)
Modulo lógico de segurança EL6900 1
Modulo de entradas seguras (4 canais) EL1904 2
Modulo de saídas seguras (4 canais) EL2904 8
[asaTek / J.Andril] 35
BRESIMAR AUTOMAÇÃO Capítulo III

III-1.2 – Criar projeto de segurança no TwinCAT 2.11 (TwinSAFE)


Para criar um projeto de segurança homem-máquina terá
de abrir a aplicação informática, do TwinCAT 2.11, System
Manager.

Uma vez aberto o System Manger teremos de construir


uma configuração de hardware na pasta I/O –
Configuration” (coluna do lado esquerdo do configurador).
Manualmente poderá incorporar cada um dos
componentes (controlador, entradas e saídas da BECKHOFF)
de Safety.

A outra solução, mais pratica, obriga a termos todo o


hardware disponível na maquina. Teremos de fazer um
va i e to scan a esse mesmo hardware.

Ligue o seu PC (onde se encontra instalado o editor TwinCAT 2.11), através de um cabo Ethernet/RJ45, ao CX9020
e coloque o endereço IP dentro da mesma gama do CX. De seguida registe a maquina CX9020 no AMS Router do
seu PC. Uma vez registado este PCe CX9020 no seu router
faça a escolha da maquina, que pretende trabalhar, através
do o a do Choose target o System Manager. No
nosso exemplo de formação essa maquina tem o nome de
CX_014F86.

A partir deste momento poderá fazer o varrimento ao


hardware existente no seu equipamento de controlo. O
controlador CX9020 deverá estar, obrigatoriamente, no
estado de CONFIG MODE (icon do TwinCAT com cor azul)
para conseguirmos efetuar esse varrimento ao hardware.

Para iniciar o varrimento clique, com a tecla direita do rato,


na subpasta Devices” da pasta I/O” no o a do Scan”. Deverá fazer este procedimento de t o do CX (no
exemplo CX_014F96). O comando de scan irá detetar todo o hardware existente no seu equipamento (ex. kit de
formação), tanto cartas EL/KL de segurança como cartas EL/KL standard.

Nas figuras seguintes iremos explicar, utilizando um IPC/EtherCAT, o modo de programação de um bloco de

segurança com a Função de Paragem de Emergência (EStop).

[asaTek / J.Andril] 36
BRESIMAR AUTOMAÇÃO Capítulo III

O comando de scan irá detetar todo o hardware existente no seu equipamento (ex. kit de formação), tanto cartas
EL/KL de segurança como cartas EL/KL standard. Nas figuras seguintes temos a representação do IPC/EtherCAT.

No kit de formação é utilizado o controlador logico de segurança EL6900. As entradas seguras estarão ligadas ao
módulo EL1904 (4 entradas seguras) e as saídas seguras ao modulo EL2904 (4 saídas seguras).

De seguida clique, com a tecla direita do rato, na pasta Term 5 (EL6900). Adicione neste campo um novo grupo
logico, que terá a função de segurança, clicando o o a do Append TwinSAFE Group… .

De seguida expanda a pasta T inSAFE Group 1 e selecione o campo T inSAFE Function Block List . Neste
campo clique, com a tecla direita do rato, no comando Append Function Block .

[asaTek / J.Andril] 37
BRESIMAR AUTOMAÇÃO Capítulo III

Atualmente o TwinSAFE, baseado no softPLC TwinCAT 2.11, oferece diversas Funções Bloco de segurança (Safe)
com diversas certificações para segurança homem-maquina. Assim podemos integrar na mesma plataforma de
hardware da automação convencional estes componentes de segurança homem-maquina, não necessitando assim
de um segundo PLC com essa função especifica. Para a descrição detalhada de cada Função Bloco deverá recorrer
ao manual do controlador EL6900.

No exemplo deste manual técnico iremos mostrar a programação de um modulo de segurança para o comando de
Paragem de Emergência que todas as maquinas industriais, com órgãos com movimentação, obrigatoriamente
terão de possuir no seu sistema de controlo. Após clicar, o a te la di eita do ato, a pasta TwinSAFE Function

Block List e te sele io ado o o a do Append Function Block es olha a Fu ç o Blo o Emergency Stop .

Clique na sub-pasta Emergency Stop (FB1) . É a ui ue i e os pa a et iza esta Fu ção Bloco E erge cy Stop .
Clique no icon do comando Input Settings pa a sele io a os a ais e o seu tipo de o ta to NC ou NO .

[asaTek / J.Andril] 38
BRESIMAR AUTOMAÇÃO Capítulo III

No exemplo deste manual no Input 1 , da carta EL1904, estará ligado o o ta to NO Normalmente Aberto e
o Input 2 o o ta to NC Normalmente Fechado . Estes o ta tos efe e -se aos contactos elétricos
existentes no comando de Paragem de Emergência. Sendo assim teremos de parametrizar a Função Bloco EStop ,
o o Single-Channel o Make contact (NO) o EStopIn1 e Break Contact (NC) o EStopIn2 .

Após a parametrização do tipo de contactos elétricos passaremos à linkagem das entradas e saídas na Função
Bloco de segurança EStop. Clique a e t ada EStopIn1 . No pop-up ue su gi sele io e a opç o TwinSAFE
Input . Isto sig ifi a ue i e os utiliza as e t adas digitais segu as existe tes a a ta safe EL1904. Clique de

seguida e New .
Na janela de configuração sele io e o a al da a ta EL 9 4 InputChanne1l e clique OK.

[asaTek / J.Andril] 39
BRESIMAR AUTOMAÇÃO Capítulo III

Após a seleção, bem-sucedida, poderemos ver a respetiva linkagem em uma barra da janela Links . Confirme
clicando o o a do Close

Exe ute o es o p o edi e to pa a a º a al da a ta EL 9 4 EStopIn2 .

Após as parametrizações das entradas da Função Bloco de segurança EStop passaremos à configuração das saídas.
Clique na saída da FB EStop EStopOut… e i si a u a ova linkagem do tipo TwinSAFE Output .

Clique e New .

[asaTek / J.Andril] 40
BRESIMAR AUTOMAÇÃO Capítulo III

Selecione o canal 1 da carta de segurança EL2904 OutputChannel1 .

Clique em OK.

Após executarmos o comando OK surgirá o Term 7 (EL2904) na janela das linkagens. Se pretendermos ter uma
segunda saída redundante à primeira (ex. 2º contator de potencia) podemos utilizar o canal 2 da mesma carta de
saída segura EL 9 4. Utilize o o a do New .

As linkagens su gi o a ja ela Links . Após feitas todas as escolhas feche a janela com o comando Close .

[asaTek / J.Andril] 41
BRESIMAR AUTOMAÇÃO Capítulo III

O quadro final das parametrizações da Função Bloco de segurança EStop Paragem de Emergência deve te
esta configuração.

III-1.3 – Criar programa de automatismo no softPLC TwinCAT 2.11

Após a configuração da Função Bloco EStop no controlador de segurança EL6900, utilizando o configurador de
hardware System Manger , iremos criar um projeto de automação para o softPLC TwinCAT 2.11. No editor de
programa PLC Control iremos criar as ligações logicas entre o automatismo clássico da maquina e os seus órgãos de
segurança maquina. Esses órgãos de segurança poderão ser Comandos de Bimanual, Barreiras de Segurança,
Comandos de Paragem de Emergência, etc.

Crie um projeto novo no editor de programa PLC_Control. No POU MAIN de la e as segui tes variáveis locais:

Estas variáveis serão as entradas e saídas logicas que farão a interface com a Função Bloco de segurança EStop e o
respetivo grupo em que está integrado.

De seguida compile o programa. Caso não haja erros de compilação atribua um nome ao seu projeto (ex.
TC2_TwinSAFE_SampleCode) utilizando o o a do File / Sa e as…. . De seguida faça Save pa a criarmos o
ficheiro com extensão *.tpy do projeto.

[asaTek / J.Andril] 42
BRESIMAR AUTOMAÇÃO Capítulo III

Abra o configurador System Manager anteriormente utilizado na configuração da Função Bloco de segurança

EStop e importe o ficheiro TC2_TwinSAFE_SampleCode.tpy. O importar deste ficheiro deverá ser efetuado na pasta
com a designação PLC – Configuration .

III-1.4 – Linkagem do projeto TwinSAFE com o programa do softPLC TwinCAT 2.11


Uma vez criadas as variáveis de entrada e saída standard, que irão interagir com o modulo lógico de segurança,
teremos de seguida linkar essas variáveis na pasta do controlador de segurança EL6900. Clique no controlador de
segu a ça EL69 e a a a fu ç o lo o de segu a ça Emergency Stop . Clique o ot o Restart… , sele io e a

opç o Standard Input e clique e New .

Iremos escolher uma variável de e t ada vi tual, vi da do p og a a do PLC, o o o e xRestart .

[asaTek / J.Andril] 43
BRESIMAR AUTOMAÇÃO Capítulo III

Após a escolha, a linkagem fi a egistada a ja ela Links . Pode e os te ais ue u a linkagem para o
es o o a do Restart .

De seguida iremos parametrizar o grupo onde se encontra a Função Bloco de segurança EStop. Dentro de um
grupo podemos ter diversas Funções Bloco de segurança. Caso haja algum erro em uma das Funções Bloco de
segurança, no grupo, é assinalado at avés de va i veis de Outputs . Te e os, para reiniciar o funcionamento da
Função Bloco, de reconhecer esse erro ( ERR Ack… ). Esse reconhecimento, como o ordenar do inicio de
funcionamento do grupo de segurança ( RUN/STOP… ) com as respetivas funções bloco de segurança, é feita
at avés de e t adas vi tuais Inputs vi das de va i veis alo adas o p og a a do PLC.

Pa a pa a et iza o TwinSAFE Group1 sele io e essa pasta a a vo e do o t olado EL69 . De seguida


selecione as respetivas variáveis a linkar os Inputs / RUN/STOP… Ordem Ligar/Desligar grupo safe) e ERR
Ack.. Ordem de reconhecer erro) como os Outputs / FB ERR.. (Erro em Função Bloco do grupo e COM

ERR.. Erro de comunicação). Se não linkarmos u a va i vel e t ada RUN/STOP , por defeito, fica no estado
TRUE.

[asaTek / J.Andril] 44
BRESIMAR AUTOMAÇÃO Capítulo III

Clique o o a do Inputs / ERR Ack.. . Na ja ela pop-up ue su ge sele io e o de e t ada Standard Input e

clique e New .

Escolha a variável Standard do p og a a do PLC xErrAck .

Utilizaremos o mesmo procedimento para os Inputs / RUN/STOP… , Outputs / FB Err.. e COM ERR.. .

[asaTek / J.Andril] 45
BRESIMAR AUTOMAÇÃO Capítulo III

III-1.5 – Descarregar programa de segurança TwinSAFE para o controlador EL6900


Após as linkagens efetuadas daremos inicio ao download do programa de segurança para o controlador EL6900.

Para efetuarmos este passo teremos, em primeiro lugar, de clicar no sub-pasta TwinSAFE Logic do controlador
EL6900. Verifique o nº de serie do controlador EL6900 ( ex. 00374630).

De seguida iremos efetuar o download do programa de segurança para o controlador EL6900. Clique, na sub-pasta
TwinSAFE Verifier , o o a do Download .

Na nova janela que aparece preencha os respetivos a pos. User Name: Administrator , Serial No.
(00374630 e Password TwinSAFE).

Após isso clique e OK .

[asaTek / J.Andril] 46
BRESIMAR AUTOMAÇÃO Capítulo III

De seguida deverá ser apresentado u esu o do p ojeto e u a ja ela desig ada Project . Pa a da i i io ao

download clique o ot o Start .

Na ja ela Login es eva só a password.

Para finalizar ative a configuração no System Manager clicando o o a do Activate configuration .

[asaTek / J.Andril] 47
BRESIMAR AUTOMAÇÃO Capítulo III

 III-2 – Teste e monitorização do projeto completo

Nos passos anteriores explicámos os procedimentos necessários para interligar o programa do automatismo
clássico, residente na CPU do softPLC TwinCAT 2.11, aos links do programa de segurança residente no controlador
lógico de segurança TwinSAFE (no nosso exemplo o EL6900).

Uma vez efetuado o projeto o pleto te os de o testa o h o de fa i a e ve ifi a se existe bugs nos
algoritmos existentes. Esse passo designamos de debugging do software de automação e de segurança.

III-2.1 – Debugging do programa de segurança

Após o download do programa de segurança TwinSAFE e do programa do automatismo do softPLC TwinCAT 2.11
deverá ativar a sua configuração e coloca-lo em RUN. Na barra de comandos do editor PLC Control escolha, no
grupo de comandos online, o comando Login.

Após a ordem de Login visualizará no programa MAIN (em modo Monitorização MAIN[Online] ) todas as variáveis
locais , como mostra a figura seguinte:

Poderá notar que a variável xComErr está a TRUE indicando que houve uma falha de comunicação. Todas as
vezes que iniciamos o processo de download do projeto esta flag fica em estado TRUE. Teremos de seguida fazer o
RESET desta flag para dar inicio ao automatismo. Para efetuarmos o RESET deste erro teremos de ativar a
sequencia TRUE  FALSE na flag xErrAck , o ue o espo de e o he e o e o . O e o das o u i ações

xComErr deve desapa e e e o siste a de segu a ça est p o to a i i ia a sua fu ç o.


Apos o RESET do erro através da flag xErrAck o sistema de segurança está pronto a iniciar a sua função.
Se ativarmos a sequencia TRUE  FALSE na flag xRestart faze os o RESTART da fu ç o lo o de segurança

Estop. Esta operação terá de ser feita no reiniciar do programa safe ou após uma ordem de paragem de
emergência. Quando existe uma ordem de Paragem de Emergência a saída EStopOut… , da Função Bloco EStop,
passa ao estado FALSE.

[asaTek / J.Andril] 48
BRESIMAR AUTOMAÇÃO Capítulo III

III-2.2 – Monitorização do programa de segurança

No grupo TwinSAFE Group 1 / TwinSAFE Function Block List / Emergency Stop pe te e te ao o t olado
de segurança EL6900 poderá monitorizar a função bloco de segurança EStop. Clique na sub-pasta Emergency Stop
(FB1) e sele io e o pa et o Online . Após esta pa a et izaç o pode o ito iza e online a função bloco
de segurança EStop.

Podemos visualizar, na função de segurança Estop, o estado lógico de cada uma das entradas e saídas do bloco. A
figura anterior indica o estado da fu ç o Emergency Stop e STOP e com a saída EStopOut... a FALSE (estado
de segurança). Pa a ei i ia os o fu io a e to deve , o p og a a do PLC, olo a a va i vel xRestart a
TRUE.

[asaTek / J.Andril] 49
BRESIMAR AUTOMAÇÃO Capítulo III

Caso seja pressionado o botão de paragem de emergência poderá verificar que o bloco de segurança Estop entra
em modo de segurança Safe e a saída EStopOut é desligada passa ao estado FALSE . Caso esta saída a io asse
contatores ou relés de acionamento de motores elétricos , desligava o seu funcionamento.

Para reiniciar o funcionamento da máquina teremos de acionar o RESTART Restart… do modulo de segurança,
carregando no botão respetivo (variável no PLC xRestart ).

[asaTek / J.Andril] 50
BRESIMAR AUTOMAÇÃO Capítulo IV

IV – Esquemas de segurança com TwinSAFE


Visão geral das configurações dos parâmetros das cartas de entrada e saída de segurança
Quando executamos um projeto de segurança no
TwinSAFE do TwinCAT 2.11 existe uma parte que
são configurações de parâmetros, com o tipo de
sinais elétricos que iremos usar nas cartas de
entradas e saídas de segurança. Estes parâmetros
referem-se por exemplo às cartas EL1904 (de
entradas) e EL2904 (de saída).

A outra parte, também muito importante, é o


desenvolvimento do programa de segurança
usando as funções bloco de segurança que o
TwinSAFE disponibiliza para os diversos dispositivos
de segurança disponíveis no mercado.

Neste capítulo iremos mostrar alguns exemplos de configuração dos parâmetros da carta EL1904 (com 4 entradas
seguras) e EL2904 (com 4 saídas seguras). Estas configurações são apresentadas, nos capítulos seguintes com
exemplos, na tabela com o titulo “PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS”

Configuração exemplo da carta com entradas digitais seguras EL1904:

Ao clicar na pasta “Safe Parameter” do EL1904 no TwinSAFE deverá aparecer na janela central do seu editor as
propriedades desta carta, como mostra a figura seguinte:

O endereço FSoE da carta de entradas de segurança encontra-se na parte superior. Este endereço deve corresponder
ao endereço do DIP-switch que se encontra na carta. Se o DIP-switch tivesse o endereço 2 teríamos de colocar 2 nessa
janela.

Verifiquemos as propriedades 8001 (FS Sensor Test) e 8002 (FS Logic of Input pairs):

Geralmente as entradas são ligadas a diversos equipamentos de segurança que trabalham sempre em pares. Estes
canais terão de providenciar proteção contra curto-circuitos forçados nas entradas e ligações cruzadas vindas de
outras ligações exteriores ou de outros canais. O teste aos curto-circuitos e ligações cruzadas é feita através de geração
de impulsos em cada canal. A carta EL1904 pode gerar os seus próprios impulsos de teste como pode receber impulsos
externos de teste (OSSD) tal como os gerados pelas barreiras luminosas de segurança ou scanners de segurança. As
propriedades 8001 e 8002 permitem selecionar as propriedades para cada tipo de equipamento de segurança.

Existem diversas configurações que explicamos na pagina seguinte.

[asaTek / J.Andril] 51
BRESIMAR AUTOMAÇÃO Capítulo IV

1ª - A primeira é a configuração standard e de defeito como mostra a figura anterior.

A propriedade 8001:01 e 8001:02 está a TRUE. Isto significa que é feito o teste de curto-circuito e de ligações
cruzadas através da geração de impulsos em cada canal.

A propriedade 8002:01 está com “single logic channel ½”. Isto significa que estes dois canais trabalham em conjunto
e em combinação lógica. Irá ser feito o teste para detetar a existência de discrepância temporal entre eles.

Esta configuração é a apropriada para todos os equipamentos de segurança com contatos secos tais como botões
de paragem de emergência, portas de segurança e contactos NF de retorno do relé ou contator de segurança. A
carta para cada contacto seco fornece 24Vdc no polo + e gera um trem de impulsos que espera receber no polo
contrario - do canal. Para haver diferenciação entre cada canal da carta cada um deles gera impulsos desfasados
temporalmente. Isto permite detetar se há troca de cabos entre os canais e se existe curto-circuito dos 24V ou 0V
vindo de outro canal.

2ª – A segunda configuração é quando temos equipamentos de segurança que emitem impulsos de teste externos
OSSD nas suas saídas.

Neste caso o teste de impulsos é feito pelo equipamento de segurança externo, logo a carta EL1904 não precisa
deste teste ativo. Neste caso temos de desligar o teste de impulsos dos canais usados e temos de configurar com a
propriedade de aceitar impulsos externos OSSD. No exemplo da figura anterior temos o canal 1 e 2 com a
propriedade “asynchronous analysis OSSD, sensor test deactivated”. A indicação de sinais assíncronos indica que
esses equipamentos de segurança externa emitem sinais desfasados temporalmente que nunca se sobrepõem. Se
o fizerem é considerado uma falha.

3ª – A terceira configuração serve para alguns dispositivos de segurança que não tem impulsos assíncronos. Neste
caso devem evitar usar estes dispositivos de segurança. Todavia se quiserem, mesmo assim, utiliza-los com a carta
EL deverão configurar a propriedade 8002 do canal ½ ou ¾ como “any pulse repetition OSSD, sensor test
deactivated”. Neste caso permite trabalhar com a carta EL dispositivo de segurança externo com sinais OSSD
simultâneos, não dando assim erro.

4ª – A quarta configuração é chamada de “short cut channel ½ no module fault”. Esta configuração é adequada a
dispositivos de segurança externos como os tapetes de segurança (“safety mats”).

Configuração exemplo da carta com saídas digitais seguras EL2904 :

Ao clicar na pasta “Safe Parameter” do EL2904 no TwinSAFE deverá aparecer na janela central do seu editor as
propriedades desta carta, como mostra a figura seguinte:

[asaTek / J.Andril] 52
BRESIMAR AUTOMAÇÃO Capítulo IV

O endereço FSoE da carta de saídas de segurança encontra-se na parte superior. Este endereço deve corresponder
ao endereço do DIP-switch que se encontra na carta. Se o DIP-switch tivesse o endereço 3 teríamos de colocar 3
nessa janela.

Esta carta de 4 saídas seguras tem 4 parâmetros de configuração e que são os seguintes :

8000: 01 – “Standard outputs active” permite que liguemos uma saída do PLC a uma saída segura e a carta
automaticamente faz um “AND” do valor logico da saída do PLC com o valor de saída segura. Isso permite que o PLC
anule uma saída, desligando-a. Neste caso a lógica de segurança é responsável pela permissão de ligar a saída, mas
o PLC controla a altura do seu acionamento.

Este funcionamento tem vantagens e desvantagens devido aos seguintes pontos:


Em 1º lugar - Esta parametrização torna mais confusa a lógica do seu funcionamento. Podemos obter o mesmo
funcionamento e o mesmo efeito com um bloco “AND” dentro da Função Bloco de segurança.
Em 2º lugar - Se quisermos monitorizar a saída, na lógica de segurança, para nos certificarmos de que liga e desliga
quando o forçamos (através de um circuito de feedback) não conseguimos faze-lo se a lógica de segurança não tem
acesso ao sinal do PLC.

Na minha opinião deve deixar este conjunto em FALSE e não usar este recurso. Fazermos a lógica “AND” toda dentro
da Função Bloco de segurança e não usamos “saídas standard”.

8000: 02 – “Current measurement active” permite detetar falha no circuito de ligação ao relé ou contator de
segurança. Com este recurso ativo, quando a saída está ligada a carta espera receber uma corrente de retorno entre
20mA a 500mA. Caso não receba esta corrente a carta EL entra em falha. Obviamente se o dispositivo que está a
ligar (rele de segurança) não tem esse “consumo” de corrente terá de desativar esta funcionalidade. Na minha
experiencia este recurso é sujeito a algumas falhas e pode dar falsos alarmes. Isto deve-se ao consumo próximo dos
limites e que devido aos picos de consumo leva a ultrapassá-los.

8000: 03 – “Testing of outputs active” permite detetar circuitos cruzados e trocados por canal (saída). O teste é feito
através de um trem de impulsos gerado em cada canal de saída de uma maneira assíncrona. Ao ser assíncrono
garante que os impulsos não se sobrepõem. Os impulsos são todos de comprimentos diferentes variando de 300 a
800 µs. Estes impulsos são suficientemente curtos para não interferirem no funcionamento do relé eletromecânico.
No geral esta propriedade deve estar ativa, exceto nos casos de utilizarmos dispositivos de corte eletrónicos que
não toleram estes impulsos de teste.

8000: 04 – “Error acknowledge active” controla como a carta recupera de um erro detetado na saída. Por defeito
temos de desligar a alimentação à carta e reiniciar o sistema, para recuperar. Se pusermos esta propriedade em
TRUE podemos fazer o RESET, ao erro, através do reconhecimento desse erro no grupo logico TwinSAFE.

[asaTek / J.Andril] 53
BRESIMAR AUTOMAÇÃO Capítulo IV

Configuração das Funções Bloco de segurança nos controladores safe KL6900, EL6900 e EL6930 :

Ao clicar na pasta “TwinSAFE Group 1”/ “TwinSAFE Function Block List”, com a tecla direita, podemos introduzir as

Funções Bloco Safe com que pretendemos construir o programa de segurança homem - maquina.

Para adicionar essas FB Safe clique, com a tecla direita, em cima da pasta “TwinSAFE Function Block List” e selecione
o comando “Append Function Block”. A seguir deverá aparecer uma lista com as Funções Bloco Safe disponíveis para
o controlador que estamos a usar. Na figura seguinte mostramos a lista de Funções Bloco disponíveis para os
controladores safe KL6900 (lista da esquerda) e EL6900/EL6930 (lista da direita).

Na tabela seguinte indicamos as Funções Bloco Safe, que necessitamos aplicar na construção do programa TwinSAFE,
para cada um dos equipamentos de segurança disponíveis nas maquinas industriais.

Função Bloco Safe KL EL Dispositivos de segurança


Emergency Stop Sim Sim Comando Paragem de Emergência (“ESTOP-Emergency Stop”)
Machine Monitoring Sim Sim Tapetes e batentes de segurança (“Safety switch mat and bumper”)
(MON) Barreiras óticas de segurança (“Safety ligth curtain”)
Portas de proteção de maquina (“Protective door machine”)
Scanners laser de segurança (“Safety laser scanner”)
AND ; OR Sim Sim Blocos lógicos AND e OR para o automatismo safe
Decoupler Sim Sim Desacoplamento de sinais digitais safe e standard
Operation Mode Sim Sim Modo seleção de operação
Two hand Não Sim Comando de Bimanual (“Two-hand control”)
EDM Não Sim Feedback do estado dos contactos da saída (“External Device Monitoring”)
Muting Não Sim Barreiras óticas de segurança com zonas mortas (“Muting”)
RS ; SR Não Sim Bloco de memorias biestáveis RS e SR para o automatismo safe
TOF ; TON Não Sim Blocos temporizados ao repouso e à operação para o automatismo safe
Connection Shutdown Não Sim Bloco para descativar ligação safe FSoE
NOTA : No ANEXO A, deste Livro Técnico de Formação, poderá encontrar a descrição pormenorizada das FB Safe
mais importantes (indicadas a amarelo na tabela anterior), entre outras.

[asaTek / J.Andril] 54
BRESIMAR AUTOMAÇÃO Capítulo IV

✓ IV-1 – Circuito com comando a duas mãos com TwinSAFE (“Two-hand control”)

IV-1.1 – BIMANUAL [Function Block TWOHAND] - Categoria 4 e PLe


O comando a duas mãos consiste numa combinação de contactos
normalmente fechados (NF) e normalmente abertos (NA) ligadas a
entradas seguras na carta EL1904. A propriedade de “teste de entradas”
está ativa e os sinais são controlados para uma discrepância máxima de
200ms. Alem disso o acionamento síncrono dos dois botões é ativado com
um tempo de 500ms.

O loop de realimentação do estado dos contatores é feita através de uma


entrada segura em um 2º EL1904. Os contatores K1 e K2 estão ligados
eletricamente em paralelo através de uma única saída segura. A medição
de corrente e o teste da saída por impulso estão ativos neste circuito.

PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS

Carta de Entradas EL1904 (1º e 2º) Configuração


Canal 1 – Ativar teste do sensor Sim
Canal 2 – Ativar teste do sensor Sim (1ª EL1904) ; NU/Sim (2ª EL1904)
Canal 3 – Ativar teste do sensor Sim (1ª EL1904) ; NU/Sim (2ª EL1904)
Canal 4 – Ativar teste do sensor Sim (1ª EL1904) ; NU/Sim (2ª EL1904)
Controlo logico do canal 1 e 2 Single logic channel 1/2
Controlo logico do canal 3 e 4 Single logic channel 3/4
Carta de Saídas EL2904 Configuração
Ativar medição de corrente nas saídas Sim no 1º canal
Ativar teste de impulsos nas saídas Sim no 1º canal
NU = Não usado
BLOCO FUNCIONAL DOS MODULOS DE SEGURANÇA

[asaTek / J.Andril] 55
BRESIMAR AUTOMAÇÃO Capítulo IV

✓ IV.2 – Circuito com tapetes de segurança com TwinSAFE (“Safety mat and bumper”)

IV-2.1 – TAPETE DE SEGURANÇA [Function Block MON] - Categoria 4 e PLe


Os tapetes (mat) ou os pára-choques (bumper) de segurança funcionam de acordo
com o principio do circuito cruzado. Os contatos de superfície dos tapetes ou para-
choques são ligados às entradas seguras do EL1904.A propriedade de “teste de
entradas” está ativa e os sinais são controlados para uma discrepância máxima de
200ms. Sempre que é detetado um circuito cruzado entre sinais (o tapete de
segurança é pisado) um sinal logico “0” é sinalizado na entrada do EL1904. Se o
cruzamento entre sinais não é detetado o sinal logico “1” é sinalizado na entrada.
O loop de realimentação do estado dos contatores é feita através de uma entrada
segura e o teste de entrada está ativo nesta entrada. Os contatores K1 e K2 estão
ligados eletricamente em paralelo através de uma única saída segura. A medição de
corrente e o teste da saída por impulso estão ativos neste circuito.

PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS

Carta de Entradas EL1904 Configuração


Canal 1 – Ativar teste do sensor Sim
Canal 2 – Ativar teste do sensor Sim
Canal 3 – Ativar teste do sensor Sim
Canal 4 – Ativar teste do sensor NU/Sim
Controlo logico do canal 1 e 2 Short cut is no module fault
Controlo logico do canal 3 e 4 Single logic channel 3/4
Carta de Saídas EL2904 Configuração
Ativar medição de corrente nas saídas Sim no 1º canal
Ativar teste de impulsos nas saídas Sim no 1º canal
NU = Não usado
BLOCO FUNCIONAL DOS MODULOS DE SEGURANÇA

[asaTek / J.Andril] 56
BRESIMAR AUTOMAÇÃO Capítulo IV

✓ IV.3 – Circuito de scanners laser de segurança com TwinSAFE (“Safety laser scanner”)

IV-3.1 – SCANNER LASER [Function Block MON] - Categoria 3 e PLe


Os scanners laser usados na segurança máquina possuem dois sinais de controlo
designados por OSSD (Output Signal Switching Device). Estes dois sinais especiais
comutados, por motivo de segurança, estão ligados a duas entradas do EL1904. Nesta
carta não podemos ativar o teste das entradas pois as saídas OSSD realizam os seus
próprios testes através da comutação do sinal. Todavia estes sinais são testados, na
carta EL1904, se existe uma discrepância superior a 200ms (indicação de falha).
O loop de realimentação do estado dos contatores é feita através de uma entrada segura
e o teste de entrada está ativo nesta entrada. Os contatores K1 e K2 estão ligados
eletricamente em paralelo através de uma única saída segura. A medição de corrente
e o teste da saída por impulso estão ativos neste circuito.

PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS

Carta de Entradas EL1904 Configuração


Canal 1 – Ativar teste do sensor Não ativar
Canal 2 – Ativar teste do sensor Não ativar
Canal 3 – Ativar teste do sensor Sim
Canal 4 – Ativar teste do sensor NU/Sim
Controlo logico do canal 1 e 2 OSSD arbitrary types of pulse
Controlo logico do canal 3 e 4 Single logic channel 3/4
Carta de Saídas EL2904 Configuração
Ativar medição de corrente nas saídas Sim no 1º canal
Ativar teste de impulsos nas saídas Sim no 1º canal
NU = Não usado
BLOCO FUNCIONAL DE SEGURANÇA

[asaTek / J.Andril] 57
BRESIMAR AUTOMAÇÃO Capítulo IV

✓ IV.4 – Circuito de barreiras luminosas de segurança TwinSAFE (“Safety ligth curtain”)

IV-4.1 – BARREIRA LUMINOSA [Function Block MON] - Categoria 4 e PLe


As barreiras luminosas usadas na segurança máquina possuem dois sinais de
controlo designados por OSSD (Output Signal Switching Device). Estes dois
sinais especiais comutados, por motivo de segurança, estão ligados a duas
entradas do EL1904. Nesta carta não podemos ativar o teste das entradas pois
as saídas OSSD realizam os seus próprios testes através da comutação do sinal.
Todavia estes sinais são testados, na carta EL1904, se existe uma discrepância
superior a 200ms (indicação de falha).
O loop de realimentação do estado dos contatores é feita através de uma entrada
segura e o teste de entrada está ativa nesta entrada. Os contatores K1 e K2 estão
ligados eletricamente em paralelo através de uma única saída segura. A
medição de corrente e o teste da saída por impulso estão ativos neste circuito.

PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS

Carta de Entradas EL1904 Configuração


Canal 1 – Ativar teste do sensor Não ativar
Canal 2 – Ativar teste do sensor Não ativar
Canal 3 – Ativar teste do sensor Sim
Canal 4 – Ativar teste do sensor NU/Sim
Controlo logico do canal 1 e 2 Asynchronous evaluation OSSD
Controlo logico do canal 3 e 4 Single logic channel 3/4
Carta de Saídas EL2904 Configuração
Ativar medição de corrente nas saídas Sim no 1º canal
Ativar teste de impulsos nas saídas Sim no 1º canal
NU = Não usado
BLOCO FUNCIONAL DE SEGURANÇA

[asaTek / J.Andril] 58
BRESIMAR AUTOMAÇÃO Capítulo IV

IV-4.2 – BARREIRA LUMINOSA (Muting) [Function Block MUTING] - Categoria 4 e PLe


As barreiras luminosas possuem dois sinais de controlo, designados por OSSD, que estão ligados a duas entradas do
EL1904. Nesta carta não podemos ativar o teste das entradas pois as saídas OSSD realizam os seus próprios testes.
Todavia estes sinais são testados, na carta EL1904, se existe uma discrepância superior a 200ms (indicação de falha).
Os sinais do muting e de enable estão também ligados a entradas seguras numa segunda carta EL 1904.O loop de
realimentação do estado dos contatores é feita através de uma entrada segura e o teste de entrada está ativo, nesta
entrada.
Os contatores K1 e K2 estão ligados eletricamente em paralelo através de uma única saída segura. O sinalizador
luminoso de muting também está ligado a uma saída segura. A medição de corrente e o teste da saída por impulso
estão ativos neste circuito.

PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS

Carta de Entradas EL1904 (1ª) Configuração


Canal 1 e 2 – Ativar teste do sensor Não ativar
Canal 3 e 4 – Ativar teste do sensor Sim (3º canal) ; Sim (4º canal)
Controlo logico do canal 1 e 2 Asynchronous evaluation OSSD
Controlo logico do canal 3 e 4 Single logic channel 3/4
Carta de Entradas EL1904 (2ª) Configuração
Canal 1 e 2 – Ativar teste do sensor Sim
Canal 3 e 4 – Ativar teste do sensor Sim
Controlo logico do canal 1 e 2 / 3 e 4 Single logic channel x/x
Carta de Saídas EL2904 Configuração
Ativar medição de corrente nas saídas Sim no 3º canal
Ativar teste de impulsos nas saídas Sim no 3º canal
NU = Não usado
BLOCO FUNCIONAL DE SEGURANÇA

[asaTek / J.Andril] 59
BRESIMAR AUTOMAÇÃO Capítulo IV

✓ IV.5 – Circuito de portas de segurança com TwinSAFE (“Protective door machine”)

IV-5.1 – PORTA DE SEGURANÇA (1ª) [Function Block MON] - Categoria 3 e PLd


As portas de segurança das máquinas usam uma combinação de
contactos normalmente fechados (NF) e normalmente abertos (NA)
ligadas a entradas seguras na carta EL1904. A propriedade de “teste de
entradas” está ativa e os sinais são controlados para uma discrepância
máxima de 200ms. O loop de realimentação do estado dos contatores é
feita através de uma entrada não segura em uma 2º EL1xxx e transferida
para o TwinSAFE via programa no PLC.
Os contatores K1 e K2 estão ligados em paralelo através de uma única
saída segura. A medição de corrente e o teste da saída por impulso estão
ativos neste circuito.

PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS

Carta de Entradas EL1904 Configuração


Canal 1 – Ativar teste do sensor Sim
Canal 2 – Ativar teste do sensor NU/Sim
Canal 3 – Ativar teste do sensor Sim
Canal 4 – Ativar teste do sensor NU/Sim
Controlo logico do canal 1 e 2 Single logic channel 1/2
Controlo logico do canal 3 e 4 Single logic channel 3/4
Carta de Saídas EL2904 Configuração
Ativar medição de corrente nas saídas Sim no 1º canal
Ativar teste de impulsos nas saídas Sim no 1º canal
NU = Não usado
BLOCO FUNCIONAL DE SEGURANÇA

[asaTek / J.Andril] 60
BRESIMAR AUTOMAÇÃO Capítulo IV

IV-5.2 – PORTA DE SEGURANÇA (2ª) [Function Block MON] - Categoria 4 e PLe


As portas de segurança das máquinas usam uma combinação de contactos normalmente fechados (NF) e normalmente
abertos (NA) ligadas a entradas seguras na carta EL1904. A propriedade de “teste de entradas” está ativa e os sinais
são controlados para uma discrepância máxima de 200ms. O loop de realimentação do estado dos contatores é feita
através de uma entrada segura em uma 2º EL1904.
Os contatores K1 e K2 estão ligados em paralelo através de uma única saída segura. A medição de corrente e o teste
da saída por impulso estão ativos neste circuito.

PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS

Carta de Entradas EL1904 (1º e 2º) Configuração


Canal 1 – Ativar teste do sensor Sim ; NU/Sim (2º EL1904)
Canal 2 – Ativar teste do sensor NU/Sim (1º e 2º EL1904)
Canal 3 – Ativar teste do sensor Sim
Canal 4 – Ativar teste do sensor NU/Sim (1º e 2º EL1904)
Controlo logico do canal 1 e 2 Single logic channel 1/2
Controlo logico do canal 3 e 4 Single logic channel 3/4
Carta de Saídas EL2904 Configuração
Ativar medição de corrente nas saídas Sim
Ativar teste de impulsos nas saídas Sim
NU = Não usado
BLOCO FUNCIONAL DE SEGURANÇA

[asaTek / J.Andril] 61
BRESIMAR AUTOMAÇÃO Capítulo IV

IV-5.3 – PORTA DE SEGURANÇA (com monitorização) - Categoria 4 e PLe


As portas de segurança das máquinas usam uma combinação de contactos
normalmente fechados (NF) e abertos (NA) ligadas a entradas seguras. A
propriedade de “teste de entradas” está ativa e os sinais são controlados para uma
discrepância máxima de 200ms. Os fins de curso de indicação de zona S3 e S4
estão ligados a entradas seguras. Estes dois fins de curso indicam quando uma
parte perigosa, de uma máquina, está em uma posição segura e assim poderá ser
aberta a porta de segurança mesmo com a máquina em funcionamento. A
propriedade de “teste de entradas” nestas entradas está desativada devido aos
sensores S3 e S4 serem alimentados a 24Vdc externo.
Os contatores K1 e K2 estão ligados em paralelo através de uma única saída
segura. A medição de corrente e o teste da saída por impulso estão ativos neste
circuito.

PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS

Carta de Entradas EL1904 (1ª) Configuração


Canal 1, 2, 3, 4 – Ativar teste do sensor Sim (1º e 3º canal) ; NU/Sim (2º e 4ª canal)
Controlo logico do canal 1, 2, 3 e 4 Single logic channel x/x
Carta de Entradas EL1904 (2ª) Configuração
Canal 1 e 2 – Ativar teste do sensor Não ativar
Canal 3 e 4 – Ativar teste do sensor Sim (3º canal) ; NU/Sim (4º canal)
Controlo logico do canal 1, 2, 3, e 4 Single logic channel x/x
Carta de Saídas EL2904 Configuração
Ativar medição de corrente nas saídas Sim
Ativar teste de impulsos nas saídas Sim
NU = Não usado

[asaTek / J.Andril] 62
BRESIMAR AUTOMAÇÃO Capítulo IV

BLOCO FUNCIONAL DE SEGURANÇA

IV-5.4 – PORTA DE SEGURANÇA (com encravamento) - Categoria 4 e PLe


A porta de segurança com encravamento eletromagnético tem dois sensores,
S1 de “porta fechada” e S2 “porta fechada e encravada”, ligadas a entradas
seguras na 1º carta EL1904. O teste de discrepância não pode estar ativo
porque não há uma relação funcional dos sensores S1 e S2. O sinal de restart
está ligado a uma entrada segura do 1º EL1904. O loop de realimentação do
estado dos contatores é feito através de uma entrada segura em uma 2º
EL1904. As propriedades de “teste de entradas” de todas as entradas seguras
estão ativas.
Os contatores K1 e K2 estão ligados em paralelo através de uma única saída
segura. A medição de corrente e o teste da saída por impulso estão ativos
neste circuito. O trinco do sistema de encravamento é comutado, via duas
entradas seguras, em que o teste está ativo. A medição de corrente e o teste
da saída por impulso estão ativos neste circuito do 2º EL2904.

[asaTek / J.Andril] 63
BRESIMAR AUTOMAÇÃO Capítulo IV

PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS

Carta de Entradas EL1904 (1ª) Configuração


Canal 1 – Ativar teste do sensor Sim
Canal 2 – Ativar teste do sensor NU/Sim
Canal 3 – Ativar teste do sensor Sim
Canal 4 – Ativar teste do sensor Sim
Controlo logico do canal 1 e 2 Single logic channel 1/2
Controlo logico do canal 3 e 4 Single logic channel 3/4

Carta de Entradas EL1904 (2ª) Configuração


Canal 1 – Ativar teste do sensor Sim
Canal 2 – Ativar teste do sensor Sim
Canal 3 – Ativar teste do sensor NU/Sim
Canal 4 – Ativar teste do sensor Sim
Controlo logico do canal 1 e 2 Single logic channel 1/2
Controlo logico do canal 3 e 4 Single logic channel 3/4

Carta de Saídas EL2904 (1ª) – para K1 e K2 Configuração


Ativar medição de corrente nas saídas Sim
Ativar teste de impulsos nas saídas Sim

Carta de Saídas EL2904 (2ª) – Trinco Configuração


Ativar medição de corrente nas saídas Sim
Ativar teste de impulsos nas saídas Sim

NU = Não usado

BLOCO FUNCIONAL DE SEGURANÇA

[asaTek / J.Andril] 64
BRESIMAR AUTOMAÇÃO Capítulo IV

✓ IV.6 – Circuito de paragem de emergência com TwinSAFE (“ESTOP – Emergency stop”)

IV-6.1 – BOTÃO DE EMERGENCIA (1ª) [Function Block ESTOP] - Categoria 3 e PLd


Os botões de emergência são ligados, via dois contactos normalmente fechados (NF), a duas
entradas seguras na EL1904. A discrepância superior a 200ms, destes dois sinais NF na
EL1904, é monitorizada no seu funcionamento. O loop de realimentação do estado dos
contatores e o botão de restart é feito através de 2 entradas standard não seguras.

Os contatores K1 e K2 estão ligados eletricamente em paralelo através de uma única saída


segura. A medição de corrente e o teste da saída por impulso estão ativos neste circuito.

PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS

Carta de Entradas EL1904 Configuração


Canal 1 – Ativar teste do sensor NU/Sim
Canal 2 – Ativar teste do sensor NU/Sim
Canal 3 – Ativar teste do sensor Sim
Canal 4 – Ativar teste do sensor Sim
Controlo logico do canal 1 e 2 Single logic channel 1/2
Controlo logico do canal 3 e 4 Single logic channel 3/4
Carta de Saídas EL2904 Configuração
Ativar medição de corrente nas saídas Sim
Ativar teste de impulsos nas saídas Sim
NU = Não usado
BLOCO FUNCIONAL DE SEGURANÇA

[asaTek / J.Andril] 65
BRESIMAR AUTOMAÇÃO Capítulo IV

IV-6.2 – BOTÃO DE EMERGENCIA (2ª) [Function Block ESTOP] - Categoria 3 e PLd


Os botões de emergência são ligados, via dois contactos normalmente fechados (NF), a duas entradas seguras do
EL1904. A discrepância superior a 200ms, destes dois sinais NF na EL1904, não é monitorizada. O loop de
realimentação do estado dos contatores e o botão de restart é feito através de 2 entradas standard não seguras.

Os contatores K1 e K2 estão ligados eletricamente em paralelo através de uma única saída segura. A medição de
corrente e o teste da saída por impulso estão ativos neste circuito.

PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS

Carta de Entradas EL1904 Configuração


Canal 1 – Ativar teste do sensor NU/Sim
Canal 2 – Ativar teste do sensor NU/Sim
Canal 3 – Ativar teste do sensor Sim
Canal 4 – Ativar teste do sensor Sim
Controlo logico do canal 1 e 2 Single logic channel 1/2
Controlo logico do canal 3 e 4 Single logic channel 3/4
Carta de Saídas EL2904 Configuração
Ativar medição de corrente nas saídas Sim
Ativar teste de impulsos nas saídas Sim
NU = Não usado
BLOCO FUNCIONAL DE SEGURANÇA

[asaTek / J.Andril] 66
BRESIMAR AUTOMAÇÃO Capítulo IV

IV-6.3 – BOTÃO DE EMERGENCIA (3ª) [Function Block ESTOP] - Categoria 4 e PLe


Os botões de emergência são ligados, via dois contactos normalmente fechados (NF), a duas entradas seguras do
EL1904. A discrepância superior a 200ms, destes dois sinais NF na EL1904, é monitorizada tal como o teste às
ligações às entradas. O loop de realimentação do estado dos contatores e o botão de restart é feito através de 2 entradas
standard, não seguras, do PLC. Existe um bloco EDM que verifica se o sinal de realimentação assume o estado oposto,
da saída do bloco ESTOP, dentro de um tempo ajustado.
Os contatores K1 e K2 estão ligados eletricamente em paralelo através de uma única saída segura. A medição de
corrente e o teste da saída por impulso estão ativos neste circuito.

PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS

Carta de Entradas EL1904 Configuração


Canal 1 – Ativar teste do sensor NU/Sim
Canal 2 – Ativar teste do sensor NU/Sim
Canal 3 – Ativar teste do sensor Sim
Canal 4 – Ativar teste do sensor Sim
Controlo logico do canal 1 e 2 Single logic channel 1/2
Controlo logico do canal 3 e 4 Single logic channel 3/4
Carta de Saídas EL2904 Configuração
Ativar medição de corrente nas saídas Sim
Ativar teste de impulsos nas saídas Sim
NU = Não usado

BLOCO FUNCIONAL DE SEGURANÇA

[asaTek / J.Andril] 67
BRESIMAR AUTOMAÇÃO Capítulo IV

IV-6.4 – BOTÃO DE EMERGENCIA (4ª) [Function Block ESTOP] - Categoria 4 e PLe


Os botões de emergência são ligados, via dois contactos normalmente fechados (NF), a duas entradas seguras do
EL1904. A discrepância superior a 200ms, destes dois sinais NF na EL1904, é monitorizada tal como o teste às
ligações às entradas. O loop de realimentação do estado dos contatores é feito através de 3º canal seguro da 2ª carta
EL1904 e o botão de restart no 1º canal seguro da 1ª carta EL1904.
Os contatores K1 e K2 estão ligados eletricamente em paralelo através de uma única saída segura. A medição de
corrente e o teste da saída por impulso estão ativos neste circuito.

PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS

Carta de Entradas EL1904 (1ª e 2ª) Configuração


Canal 1 – Ativar teste do sensor Sim (1º EL1904) ; NU/Sim (2º EL1904)
Canal 2 – Ativar teste do sensor NU/Sim (1º e 2º EL1904)
Canal 3 – Ativar teste do sensor Sim
Canal 4 – Ativar teste do sensor Sim (1º EL1904) ; NU/Sim (2º EL1904)
Controlo logico do canal 1 e 2 Single logic channel 1/2
Controlo logico do canal 3 e 4 Single logic channel 3/4
Carta de Saídas EL2904 Configuração
Ativar medição de corrente nas saídas Sim
Ativar teste de impulsos nas saídas Sim
NU = Não usado

BLOCO FUNCIONAL DE SEGURANÇA

[asaTek / J.Andril] 68
BRESIMAR AUTOMAÇÃO Capítulo IV

IV-6.5 – BOTÃO DE EMERGENCIA (5ª) [Function Block ESTOP] - Categoria 4 e PLe


Os botões de emergência, são ligados via dois contactos normalmente fechados (NF), a duas entradas seguras do
EL1904. A discrepância superior a 200ms, destes dois sinais NF na EL1904, é monitorizada tal como o teste às
ligações às entradas. O loop de realimentação do estado dos contatores é feito através de 3º canal seguro da 2ª carta
EL1904 e o botão de restart no 1º canal seguro da 1ª carta EL1904.
Os contatores K1 e K2 estão ligados eletricamente em duas saídas seguras. Ambos estão ligados ao ground. A medição
de corrente esta desativada. Os testes da saída por impulso estão ativos neste circuito.

PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS

Carta de Entradas EL1904 (1ª e 2ª) Configuração


Canal 1 – Ativar teste do sensor Sim (1º EL1904) ; NU/Sim (2º EL1904)
Canal 2 – Ativar teste do sensor NU/Sim (1º e 2º EL1904)
Canal 3 – Ativar teste do sensor Sim
Canal 4 – Ativar teste do sensor Sim (1º EL1904) ; NU/Sim (2º EL1904)
Controlo logico do canal 1 e 2 Single logic channel 1/2
Controlo logico do canal 3 e 4 Single logic channel 3/4
Carta de Saídas EL2904 Configuração
Ativar medição de corrente nas saídas Não
Ativar teste de impulsos nas saídas Sim
NU = Não usado

BLOCO FUNCIONAL DE SEGURANÇA

[asaTek / J.Andril] 69
BRESIMAR AUTOMAÇÃO Capítulo IV

IV-6.6 – BOTÃO DE EMERGENCIA (6ª) [Function Block ESTOP] - Categoria 3 e PLd


Os botões de emergência são ligados, via dois contactos normalmente fechados (NF), a duas entradas seguras do
EL1904. A discrepância superior a 200ms, destes dois sinais NF na EL1904, é monitorizada tal como o teste às
ligações às entradas. O loop de realimentação do estado dos contatores é feito através de 3º canal seguro da 2ª carta
EL1904 e o botão de restart no 1º canal seguro da 1ª carta EL1904.
Os contatores K1 e K2 estão ligados eletricamente em duas saídas seguras. Ambos estão ligados ao ground. A medição
de corrente e o teste da saída por impulso estão desativados.

PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS

Carta de Entradas EL1904 (1ª e 2ª) Configuração


Canal 1 – Ativar teste do sensor Sim (1º EL1904) ; NU/Sim (2º EL1904)
Canal 2 – Ativar teste do sensor NU/Sim (1º e 2º EL1904)
Canal 3 – Ativar teste do sensor Sim
Canal 4 – Ativar teste do sensor Sim (1º EL1904) ; NU/Sim (2º EL1904)
Controlo logico do canal 1 e 2 Single logic channel 1/2
Controlo logico do canal 3 e 4 Single logic channel 3/4
Carta de Saídas EL2904 Configuração
Ativar medição de corrente nas saídas Não
Ativar teste de impulsos nas saídas Não
NU = Não usado

BLOCO FUNCIONAL DE SEGURANÇA

[asaTek / J.Andril] 70
BRESIMAR AUTOMAÇÃO Capítulo IV

IV-6.7 – BOTÃO DE EMERGENCIA (7ª) [Function Block ESTOP] - Categoria 4 e PLe


Os botões de emergência são ligados, via dois contactos normalmente fechados (NF), a duas entradas seguras da 1ª
carta EL1904. O loop de realimentação do estado dos contatores é feito através de 3º canal seguro da 2ª carta EL1904
e o botão de restart no 1º canal seguro da 1ª carta EL1904. Os testes dos contatos do botão de emergência são
desativados. A discrepância superior a 200ms, dos sinais NF do botão de emergência, é monitorizada e o teste às
ligações é desativado em ambos canais.
Os contatores K1 e K2 estão ligados eletricamente em paralelo em uma saída segura. A medição de corrente e o teste
da saída por impulso estão ativados.

PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS

Carta de Entradas EL1904 (1ª e 2ª) Configuração


Canal 1 – Ativar teste do sensor Sim (1º EL1904) ; NU (2º EL1904)
Canal 2 – Ativar teste do sensor NU (1º e 2º EL1904)
Canal 3 – Ativar teste do sensor Não ativar (1º EL1904) ; sim (2º EL1904)
Canal 4 – Ativar teste do sensor Não ativar (1º EL1904) ; NU (2º EL)
Controlo logico do canal 1 e 2 Single logic channel 1/2
Controlo logico do canal 3 e 4 Single logic channel 3/4
Carta de Saídas EL2904 Configuração
Ativar medição de corrente nas saídas Sim
Ativar teste de impulsos nas saídas Sim
NU = Não usado

BLOCO FUNCIONAL DE SEGURANÇA

[asaTek / J.Andril] 71
BRESIMAR AUTOMAÇÃO Capítulo IV

[asaTek / J.Andril] 72
BRESIMAR AUTOMAÇÃO Anexo A

Anexo A – Funções Bloco TwinSAFE para TwinCAT v2.11

1. Sistema TwinSAFE
1.1 Descrição funcional
O sistema TwinSAFE na versão TwinCAT 2.11, consiste em cartas de entradas e saídas (EL/KL1904 e EL/ KL2904) e
módulos lógicos safe (KL6904/EL6900/EL6930). Os módulos lógicos TwinSAFE contém Funções Bloco funcionais
safe, que se podem parametrizar e ligar-se uns aos outros formando assim o programa lógico safe, que garante a
função de segurança homem-máquina. Todas estas configurações são realizadas através do TwinCAT System
Manager.

O terminais lógicos e I/O TwinSAFE comunicam entre si através do protocolo Safety over EtherCAT (FSoE)
conforme especificação do consorcio EtherCAT Technology Group (www.ethercat.org).

1.2 Controladores lógicos TwinSAFE (KL6904/EL6900/EL6930)


A configuração de um terminal lógico TwinSAFE consiste em Funções Bloco safe que são colocados em um ou
vários grupos TwinSAFE. Os grupos TwinSAFE podem ser iniciados e parados independentemente uns dos outros.

A ordem de execução das Funções Bloco safe corresponde à ordem mostrada na árvore do hardware no TwinCAT
System Manager. Esta ordem pode ser alterada, no System Manager, via drag & drop. As Funções Bloco safe tem
parâmetros que podem ser configurados e parametrizados pelo programador. As entradas e saídas das Funções
Bloco safe são atribuídas a entradas e saídas de terminais safe do sistema TwinSAFE ou de terminais standard do
automatismo residente no PLC.

Uma conexão em uma Função Bloco safe envolve a atribuição inequívoca a um dispositivo safe (EL/KL1904, EL/
KL2904, KL6904, EL6900 / KL6930 ) pertencente ao seu grupo TwinSAFE. Somente as Funções Bloco safe, que
pertencem a este grupo TwinSAFE, podem ser ligadas a essas entradas e saídas safe. A Função Bloco DECOUPLE
pode ser usada quando necessitamos que outros grupos tenham acesso a essas entradas e saídas.

Um erro de comunicação dentro de um grupo ou de um Função Bloco safe afeta o grupo TwinSAFE completo. O
grupo TwinSAFE dá ordem de paragem a todas as Funções Bloco safe associadas e provoca a alteração do estado
da saída para modo safe ( 0 ).

1.3 Grupos TwinSAFE


A um grupo TwinSAFE atribuímos obrigatoriamente Funções Bloco safe. Essas Funções Bloco têm uma
característica que coloca todas as saídas do grupo em estado seguro (um estado seguro corresponde a desativar a
saída, que corresponde ao estado logico 0 ) quando ocorre um erro de comunicação em uma conexão safe
atribuída, um erro em uma Função Bloco safe (ex. tempo de discrepância excessiva) ou um erro nas saídas safe
designadas.

Um erro de comunicação é exibido na saída (COM ERR) do grupo TwinSAFE e reconhecido através da entrada do
grupo (ERR ACK). Um erro em uma Função Bloco safe é exibido na saída (FB ERR) e reconhecido na mesma entrada
(ERR ACK) do erro de comunicação. Um erro nas saídas safe (apenas KL6904) é exibido na terceira saída (OUT ERR)
e novamente reconhecida na entrada (ERR ACK). Logo que o erro seja reconhecido e já não esteja presente, o
estado seguro das saídas do grupo TwinSAFE é removido. Como o reconhecimento do erro (ERR ACK) não é
automático devemos obrigatoriamente liga-la a uma variável standard (pertencente ao programa do PLC).

Além disso o grupo TwinSAFE possui uma entrada (RUN) com a qual o processamento das Funções Bloco safe, que
se encontram atribuídas, podem ser iniciadas ou interrompidas. Todas as saídas atribuídas pelo grupo TwinSAFE
estão em um estado seguro quando em estado de repouso. Nos controladores safe EL6910 e mais recentes a
entrada RUN deve ser sempre ligada a uma variável standard no programa do PLC.

NOTA: Neste Manual Técnico o termo conexão safe é toda a comunicação, dentro do sistema TwinSAFE, entre o
controlador logico e os terminais de entrada e saída safe. Esta comunicação é sempre feita entre um master (ex. KL6904,
EL6900/6930) e os respetivos slaves (ex. KL/EL1904, KL/EL2904). Esta configuração é feita automaticamente pelo System
Manager. Esta filosofia master-slave necessita que cada terminal possua um único endereço FSoE (por DIP-Switch).

[asaTek / J.Andril] 73
BRESIMAR AUTOMAÇÃO Anexo A

Entradas do grupo TwinSAFE


Nome Tipo de entrada Descrição
RUN FB-Out TRUE :
(BOOL) Standard-In As funções Blocos atribuídas ao grupo TwinSAFE são executadas.
FALSE :
Todas as Funções Bloco atribuídas ao grupo TwinSAFE estão no estado STOP e as saídas ficarão no
estado de safe ( 0 ). Quando não é ligada, à entrada RUN, nenhuma variável o estado de defeito
é TRUE.
ERR ACK FB-Out Todos os erros pendentes nas Funções Bloco e nas conexões safe atribuídas são reconhecidas pela
(BOOL) Standard-In sequencia FALSE-> TRUE->FALSE.

Saídas do grupo TwinSAFE


Nome Tipo de entrada Descrição
FB ERR TSAFE-Out TRUE :
(BOOL) FB-In Existe pelo menos um erro numa Função Bloco safe.
Standard-Out FALSE :
Local-Out Não existem erros na Função Bloco safe.
COM ERR TSAFE-Out TRUE :
(BOOL) FB-In Existe pelo menos um erro nas conexões safe do grupo TwinSAFE.
Standard-Out FALSE :
Local-Out Não existem erros nas conexões safe do grupo TwinSAFE.
OUT ERR TSAFE-Out TRUE :
(BOOL) FB-In Existe pelo menos um erro em uma saída do grupo TwinSAFE.
Standard-Out FALSE :
Local-Out Não existem erros nas saídas do grupo TwinSAFE.
NOTA: usado somente nos controladores lógicos KL6904.

1.4 Diagnostico do sistema TwinSAFE


O estado dos grupos TwinSAFE, FB´s safe e conexões podem ser visualizados no System Manager. Se as opções
Info Data / Map State e Map Diag (não disponível no KL6904), do grupo TwinSAFE, estiverem selecionadas
o estado ( state ) e os dados de diagnostico ( diag ) podem ser copiadas ciclicamente para o automatismo e
linkados a variáveis standard do PLC.

1.4.1 Informação de estado do grupo TwinSAFE

[asaTek / J.Andril] 74
BRESIMAR AUTOMAÇÃO Anexo A

Valor Informação do estado dos controladores KL6904/EL6900


1 RUN -Modo RUN (todas as funções bloco e conexões TwinSAFE estão em funcionamento)
2 STOP -Modo STOP (estado após a inicialização do grupo)
3 SAFE -Modo SAFE (todas as FB e conexões safe do grupo estão OK mas existe uma conexão que não esta operacional)
4 ERROR -Modo ERRO (foi reportado um erro em uma FB ou em uma conexão do TwinSAFE)
5 RESET -Modo RESET (foi feito o reconhecimento do erro com a passagem FALSE=>TRUE na entrada ERR_ACK. O sistema está à
espera que se coloque esta entrada outra vez a FALSE)

1.4.2 Diagnostico das Funções Bloco TwinSAFE ( TwinSAFE Function Block List )
O estado das FB´s TwinSAFE é exibido, em resumo on-line, na sub-pasta Function Block list . Os dados do status

atuais são lidos a partir do controlador logico safe EL6900 / KL6904 através de um refresh manual ( Refresh ).

Se as opções Map State e Map Diag (não disponíveis no KL6904) ,


de cada Função Bloco safe, estiverem selecionadas o estado e os
dados de diagnostico são copiados ciclicamente para a imagem do
processo podendo assim ser ligadas a variáveis standard do programa
do PLC. Para a descrição detalhada recorra à informação da FB safe.

1.4.3 Diagnostico das conexões TwinSAFE ( TwinSAFE Connection List )


O estado das conexões (EL1904/2904) é exibido, em resumo on-line, na sub-pasta Connection List da pasta
TwinSAFE Connection List . Os dados do estado e os bits de diagnostico atuais são lidos a partir do controlador

[asaTek / J.Andril] 75
BRESIMAR AUTOMAÇÃO Anexo A

logico safe EL6900 / KL6904 através de um refresh manual ( Refresh ).

Se as opções Map State e Map Diag (não disponíveis no KL6904) de cada conexão (EL1904/2904) TwinSAFE
estiverem selecionados o estado e os dados de diagnostico, das conexões, são copiados ciclicamente para a
imagem do processo podendo assim ser ligadas a variáveis standard do programa do PLC. Alem dos dados
anteriores podemos adicionar o estado das entradas e saídas safe à imagem do processo através da seleção das
opções Map Inputs e Map Outputs (não disponíveis no KL6904).

Valor Informação de diagnóstico das conexões


xxxx 0001 Comando invalido
xxxx 0010 Comando desconhecido
xxxx 0011 ID da conexão invalida
xxxx 0100 Invalido CRC
xxxx 0101 Tempo de watchdog da conexão ultrapassado
xxxx 0110 Endereço FSoE invalido
xxxx 0111 Dado invalido
xxxx 1000 Comprimento dos parâmetros de comunicação invalido
xxxx 1001 Parâmetros de comunicação invalido
xxxx 1010 Comprimento dos parâmetros do utilizador invalido
xxxx 1011 Parâmetros de utilizador invalido
xxxx 1100 Reset do Master FSoE
xxxx 1101 Detetado erro no modulo slave com a opção Module error is ComError ativo.
xxxx 1110 Detetado erro no modulo EL290x com opção Error acknowledge active ativo.
xxxx 1111 Slave ainda não iniciado ou erro inesperado
xxx1 xxxx Detetado erro em slave FSoE
xx1x xxxx É reportado um FailsafeValue em slave FSoE
x1xx xxxx Em modo StartUp
1xxx xxxx É reportado um FailsafeValue em master FSoE

Valor Informação de estado (status) das conexões


001 (0x64) Em estado de RESET :
O estado de RESET é usado para reinicializar a conexão FSoE após o ligar (power-on) ou após erro de comunicação FSoE.
101 (0x65) Em estado de SESSION :
Durante a transição para ou no estado de SESSION, um ID de sessão é transferida do master FSoE para o slave FSoE, que
por sua vez responde com seu próprio ID de sessão.
102 (0x66) Em estado de CONNECTION :
No estado de CONNECTION um ID de conexão é transferido do master FSoE para o slave FSoE.
103 (0x67) Em estado de PARAMETER :
No estado PARAMETER a comunicação safe e os parâmetros da aplicação específicos do dispositivo são transferidos.
104 (0x68) Em estado de DATA :
No estado DATA os ciclos FSoE são enviados até que ocorra um erro de comunicação ou um nó FSoE esteja parado. .
105 (0x69) Em estado de SHUTDOWN :
A conexão foi desligada porque foi enviado comando de SHUTDOWN de um dos parceiros de comunicação (EL6910).
106 (0x6A) Em estado de SHUTDOWN-DEACTIVE :
A conexão foi desligada via o desativar de uma entrada de um FB (EL6910=

[asaTek / J.Andril] 76
BRESIMAR AUTOMAÇÃO Anexo A

2. Funções Bloco TwinSAFE


2.1 Função Bloco ESTOP
2.1.1 Descrição funcional
Com o FB ESTOP ( Emergency
Stop ) é possível realizar um
circuito de Paragem de
Emergência com o máximo de
oito entradas (EStopIn1-
EStopIn8). Cada uma das oito
entradas pode ser usada como
contato normalmente fechado
NF (aberto 0 , solicita o estado
safe) ou contato normalmente
aberto NA (fechado 1 , solicita o
estado safe). Caso haja uma
entrada que solicite uma
paragem de emergência a
primeira saída (EStopOut) atua
de imediato e a segunda
(EStopDelOut) atua, com um
tempo de atraso configurável, para o estado safe ("0"). Diversas saídas instantâneas (EStopOut) ou temporizadas
(EStopDelOut) podem ser linkadas a várias saídas.

A sequência de sinal 0  1  0 deve ser detetada na entrada de Restart para anular o estado seguro das saídas
( 0 ), ativado anteriormente.

Podemos aplicar um circuito de realimentação, para controlo de estado, a ambas as saídas da FB ESTOP. A saída
EStopOut é realimentada na entrada EDM1 e a saída EStopDelOut é na entrada EDM2, utilizando um circuito
externo de contactos elétricos. As entradas do EDM (External Device Monitoring) são testadas assim que é
reiniciada a FB através do comando Restart ( sequência 0-> 1-> 0). Se as entradas do EDM não tiverem o estado
do sinal "1", a FB ESTOP entra em estado de erro e coloca a saída de erro ( Error ) no estado 1 . O estado de erro
só pode ser anulado após executarmos a sequência 0  1  0 na entrada ERR_ACK, do grupo TwinSAFE
relacionado.

Podemos ter combinações de 2 entradas [EStopIn1/EStopIn2], [EStopIn3/EStopIn4], [EStopIn5/EStopIn6] e


[EStopIn7/EStopIn8]. Neste caso será controlado a discrepância do estado de ambos os sinais, dentro de um
tempo configurado. Se este tempo de discrepância for excedido, para o par de entradas, o FB ESTOP entrará em
estado de erro. Neste estado as saídas passam para o estado safe "0".

Para reconhecer ou não este erro, de discrepância, devemos configura-lo na propriedade Safe Inputs after Disc
Error . Se esta propriedade estiver ativa, as entradas do grupo que provocaram o erro de discrepância terão de
voltar a 0 antes que se possa fazer o Reset.

2.1.2 Descrição das variáveis de entrada e saída da FB ESTOP


Nome Tipo Descrição das ENTRADAS da FB ESTOP
Restart TSAFE-In A sequência de sinal 0-> 1-> 0 deve ser detetada nesta entrada , durante o start (quando o grupo
(BOOL) FB-Out TwinSAFE relacionado é iniciado) ou em um restart (após uma entrada ter solicitado o estado seguro).
Stand-In
EStopIn1 TSAFE-In 1º canal de entrada: A parametrização determina, se a entrada será um contato normalmente fechado
(BOOL) FB-Out NF (estado seguro é 0 , aberto) ou contato normalmente aberto NA (o estado seguro é 1 , fechado).

EStopIn2 TSAFE-In 2º canal de entrada: idêntico ao EStopIn1. Se o tempo de discrepância não for igual a 0, o 1º/2º canal de
(BOOL) FB-Out são considerados o 1º par de entradas. É feita a monitorização de discrepância de dois canais.

EStopIn3 TSAFE-In 3º canal de entrada ou 1º entrada do 2º par de entradas (idêntico ao EstopIn1)


(BOOL) FB-Out

[asaTek / J.Andril] 77
BRESIMAR AUTOMAÇÃO Anexo A

EStopIn4 TSAFE-In 4º canal de entrada ou 2º entrada do 2º par de entradas (idêntico ao EstopIn2)


(BOOL) FB-Out

EStopIn5 TSAFE-In 5º canal de entrada ou 1º entrada do 3º par de entradas (idêntico ao EstopIn1)


(BOOL) FB-Out
EStopIn6 TSAFE-In 6º canal de entrada ou 2º entrada do 3º par de entradas (idêntico ao EstopIn2)
(BOOL) FB-Out
EStopIn7 TSAFE-In 7º canal de entrada ou 1º entrada do 4º par de entradas (idêntico ao EstopIn1)
(BOOL) FB-Out
EStopIn8 TSAFE-In 8º canal de entrada ou 2º entrada do 4º par de entradas (idêntico ao EstopIn2)
(BOOL) FB-Out
EDM1 TSAFE-In EDM1 é o circuito de feedback do sinal da saída direta (EStopOut). Se esta entrada for parametrizada como ativa o
(BOOL) FB-Out estado seguro das saídas só será anulado quando fizermos o Restart e a entrada EDM1 estiver a 1 .
Standard-In
EDM2 TSAFE-In EDM2 é o circuito de feedback do sinal da saída atrasada (EStopDelOut). Se esta entrada for parametrizada como
(BOOL) FB-Out activa o estado seguro das saídas só será anulado quando fizermos o Restart e a entrada EDM2 estiver a 1 .
Standard-In

Nome Tipo Descrição das SAÍDAS da FB ESTOP


Error TSAFE-Out TRUE : A monitorização do tempo de discrepância de um par de entradas ou um dos loops de
(BOOL) FB-In feedback detetou um erro. A anulação do erro deve ser efetuada através da entrada ERR_ACK do
Stand.-Out grupo TwinSAFE associado.
Local-Out FALSE : Não foi detetado qualquer erro.
EStopOut TSAFE-Out 1º canal de saída segura:
(BOOL) FB-In O estado de segurança (safe) corresponde a 0 .
Stand.-Out
Local-Out
EStopDelOut TSAFE-Out 2º canal de saída segura:
(BOOL) FB-In O estado de segurança (safe) corresponde a 0 . Este estado em relação à saída anterior tem um atraso,
Stand.-Out configurado no campo Delay Time .
Local-Out

Informação do tipo de entradas e saídas das FB´s safe


Tipo Descrição
TSAFE-In Tipo dados
Entradas de TwinSAFE dos terminais EL1904/KL1904
Stand.-In Variáveis de entradas standard do PLC (saídas %Q* no PLC)
FB-Out Saídas dos FB do TwinSAFE
TSAFE-Out Saídas de TwinSAFE dos terminais EL2904/KL2904
Stand.-Out Variáveis de saídas standard do PLC (entradas %I* no PLC)
FB-In Entradas dos FB do TwinSAFE
Local-Out Saídas de TwinSAFE do terminal EL6904 (não existem no EL6900)

2.1.3 Informação do diagnóstico e estado da FB ESTOP


Bit Descrição da informação de DIAGNOSTICO da FB ETOP (16 bit) – [Map Diag = TRUE]
0, 1, 2, 3 Tipo
Erro dedados
discrepância nas entradas do grupo 1 (0), grupo 2 (1), grupo 3 (2), grupo 4 (3)
4, 5 Erro na monitorização do EDM 1 (4), EDM2 (5)
8 Erro de discrepância nas entradas do grupo 1 com opção Safe inputs after Disc Error (alem do bit 0)
9 Erro de discrepância nas entradas do grupo 2 com opção Safe inputs after Disc Error (alem do bit 1)
10 Erro de discrepância nas entradas do grupo 3 com opção Safe inputs after Disc Error (alem do bit 2)
11 Erro de discrepância nas entradas do grupo 4 com opção Safe inputs after Disc Error (alem do bit 3)
Bit Descrição da informação de ESTADO (state) da FB ETOP (8 bit) – [Map State = TRUE]
1 Tipo
RUN dados
2 STOP
3 SAFE
4 ERROR
5 RESET
6 START
8 DELAYOUT
NOTA : O controlador KL6904 não possui as propriedades Map State , Map Diag .

[asaTek / J.Andril] 78
BRESIMAR AUTOMAÇÃO Anexo A

2.2 Função Bloco TWOHAND


2.2.1 Descrição funcional
A FB TWOHAND ( Two-Handed
Command ) usado para realizar um
Comando de Bimanual em que
ambos os grupos de entrada
(TwoHand1/ TwoHand2 e
Twohand3/TwoHand4) têm que ser
operados simultaneamente para
mudar o estado da saída
(TwoHandOut). O acionamento
repetido da saída só é possível se
ambos os grupos de entrada
estiverem simultaneamente a nível
logico 0 .

Um grupo de entrada pode ser


configurado como uma entrada de
canal único ( Single-Channel x
Activated ), entrada de dois canais
( Single-Channel Both Activated ) ou
entrada de dois canais com
monitorização de tempo de discrepância ( Two-Channel ). Além disso, pode ser definida uma monitorização de
tempo até 2500 ms entre os dois grupos de entrada. Cada entrada pode ser configurada como contato
normalmente fechado (NF) ou contato normalmente aberto (NA).

Esta FB TWOHAND não está disponível no controlador safe KL6904.

2.2.2 Descrição das variáveis de entrada e saída da FB TWOHAND


Nome Tipo Descrição das ENTRADAS da FB TWOHAND
TwoHand1 TSAFE-In 1º canal de entrada: A parametrização determina se a entrada será um contato normalmente fechado
(BOOL) FB-Out NF (contato aberto 0 , o estado seguro será solicitado) ou contato normalmente aberto NA (contato
fechado 1 , o estado seguro será solicitado).
TwoHand2 TSAFE-In 2º canal de entrada: Idêntico ao Twohand1
(BOOL) FB-Out Se o tempo de discrepância não for igual a 0, o 1º e 2º canal de entradas são considerados como o 1º
par de entradas e é realizada a monitorização do tempo de discrepância entre os dois canais.
TwoHand3 TSAFE-In 3º canal de entrada ou 1º entrada do 2º par de entradas (idêntico ao TwoHand1)
(BOOL) FB-Out
TwoHand4 TSAFE-In 4º canal de entrada ou 2º entrada do 2º par de entradas (idêntico ao TwoHand2)
(BOOL) FB-Out
Nome Tipo Descrição das SAÍDAS da FB TWOHAND
Error (BOOL) TSAFE-Out TRUE : A monitorização do tempo de discrepância, de um par de entradas, detetou um erro. A anulação
FB-In do erro deve ser efetuada através da entrada ERR_ACK do grupo TwinSAFE associado.
Stand.-Out FALSE : Não foi detetado qualquer erro.
TwoHandOut TSAFE-Out Canal de saída segura:
(BOOL) FB-In O estado de segurança (Safe) corresponde a 0 .
Stand.-Out

Informação do tipo de entradas e saídas das FB´s safe


Tipo Descrição
TSAFE-In Tipo dados
Entradas de TwinSAFE dos terminais EL1904/KL1904
Stand.-In Variáveis de entradas standard do PLC (saídas %Q* no PLC)
FB-Out Saídas dos FB do TwinSAFE
TSAFE-Out Saídas de TwinSAFE dos terminais EL2904/KL2904
Stand.-Out Variáveis de saídas standard do PLC (entradas %I* no PLC)
FB-In Entradas dos FB do TwinSAFE

[asaTek / J.Andril] 79
BRESIMAR AUTOMAÇÃO Anexo A

2.2.3 Informação do diagnóstico e estado da FB TWOHAND


Bit Descrição da informação de DIAGNOSTICO da FB TWOHAND (16 bit) – [Map Diag = TRUE]
0 Tipo
Erro dedados
discrepância nas entradas do grupo 1
1 Erro de discrepância nas entradas do grupo 2
2 Erro de discrepância entre os dois grupos de entradas
6 E o de Two-Hand
Um dos dois grupos foi ativado e o sistema espera pela ativação do segundo grupo de entradas.
O erro também é emitido se o segundo grupo de entradas está ativo e o segundo já não se encontra.
Erro de simultaneidade dos grupos de entradas.
8 Erro de discrepância nas entradas do grupo 1 com a opç o Safe inputs after Disc Error selecionada (com o bit 0).
Não existe nos controladores lógicos de safe EL6900/KL6904.
9 Erro de discrepância nas entradas do grupo 2 com a opç o Safe inputs after Disc Error selecionada (com o bit 1).
Não existe nos controladores lógicos de safe EL6900/KL6904.
10 E o de dis ep ia e t e os g upos o opç o Safe inputs after Disc Error o o bit 2).
Não existe nos controladores lógicos de safe EL6900/KL6904.
Bit Descrição da informação de ESTADO (state) da FB TWOHAND (8 bit) – [Map State = TRUE]
1 Tipo
RUN dados
2 STOP
3 SAFE
4 ERROR
5 RESET
6 START
11 1BUTTON
12 2BUTTON
13 RELEASE

Esta FB TWOHAND não está disponível no controlador safe KL6904, mas podemos construir a função de segurança
homem-maquina de Comando Bimanual utilizando outras Funções Bloco safe disponiveis nesse controlador logico.

Na figura seguinte apresentamos o programa com a função de segurança de Comando Bimanual:

[asaTek / J.Andril] 80
BRESIMAR AUTOMAÇÃO Anexo A

2.3 Função Bloco EDM


2.3.1 Descrição funcional
A FB EDM ( External Device
Monitor ) é usado para
monitorizar o sincronismo de
dois sinais ( Mon1 e
Mon2 ). Monitorização pode
ser feita com a comutação
para 0 ( Switch Off
Monitoring ) ou comutação
para 1 ( Switch On
Monitoring ). Por defeito
ambas as funções de
monitorização estão
desativadas (colocadas a 0
ms).

Com opção Switch Off


Monitoring ativa, a FB irá
controlar a passagem da
entrada Mon2 para 0
dentro do tempo configurado,
na respetiva janela (máximo 1000ms), a partir da altura de a entrada Mon1 passou de 0 para 1 .

Com a opção Switch On Monitoring ativa, a FB irá controlar a passagem da entrada Mon2 para 1 dentro do
tempo configurado, na respetiva janela (máximo 1000ms), a partir da altura de a entrada Mon1 passou de 1
para 0 .

Se o tempo de monitorização (diferente de 0 ms) pré definido for excedido a saída Error é colocada em estado
de erro. Após este erro terá de ser feito o Reset, via ERR_ACK , do grupo TwinSAFE em que está integrado.

Esta FB EDM não está disponível no controlador safe KL6904.

2.3.2 Descrição das variáveis de entrada e saída da FB EDM


Nome Tipo Descrição das ENTRADAS da FB EDM
Mon1 TSAFE-In 1º canal de entrada: A entrada pode ser configurada como normalmente fechada (NF) ou como
(BOOL) FB-Out normalmente aberta (NA).
Stand-In
Mon2 TSAFE-In 2º canal de entrada: tem de assumir o valor logico oposto da entrada 1 Mon1 dentro do tempo
(BOOL) FB-Out configurado.
Stand-In
Nome Tipo Descrição das SAÍDAS da FB EDM
Error TSAFE-Out TRUE : O tempo de switch on ou switch off foi ultrapassado. A FB EDM entra em erro.
(BOOL) FB-In FALSE : Não foi detetado qualquer erro.
Stand.-Out

Informação do tipo de entradas e saídas das FB´s safe


Tipo Descrição
TSAFE-In Tipo dados
Entradas de TwinSAFE dos terminais EL1904/KL1904
Stand.-In Variáveis de entradas standard do PLC (saídas %Q* no PLC)
FB-Out Saídas dos FB do TwinSAFE
TSAFE-Out Saídas de TwinSAFE dos terminais EL2904/KL2904
Stand.-Out Variáveis de saídas standard do PLC (entradas %I* no PLC)
FB-In Entradas dos FB do TwinSAFE

[asaTek / J.Andril] 81
BRESIMAR AUTOMAÇÃO Anexo A

2.3.3 Informação do diagnóstico e estado da FB EDM


Bit Descrição da informação de DIAGNOSTICO da FB EDM (16 bit) – [Map Diag = TRUE]
0 Tipo dados
Erro por ultrapassar tempo de switch-off.
1 Erro por ultrapassar tempo de switch-on.

Bit Descrição da informação de ESTADO (state) da FB EDM (8 bit) – [Map State = TRUE]
2 Tipo
STOP dados
3 -
4 ERROR
5 RESET
14 MON_OFF
15 MON_ON

[asaTek / J.Andril] 82
BRESIMAR AUTOMAÇÃO Anexo A

2.4 Função Bloco MON


2.4.1 Descrição funcional
A FB MON ( Machine
Monitoring ) é usado para
monitorizar o funcionamento de
portas de segurança de zonas
perigosas. Também podemos usar
esta FB MON no controlo de
lasers de segurança de zona ou
barreiras de segurança luminosas.
Um circuito de portas de
segurança até 4 entradas
(MonIn(x)) pode ser realizada na
FB MON. Cada uma das 4
entradas pode ser usada como
contato normalmente fechado NF
(contato aberto 0 solicita o
estado de segurança) ou contato
normalmente aberto NA (contato
fechado 1 , solicita o estado de
segurança).

Caso haja uma solicitação, através


de uma entrada, de estado de segurança a primeira saída MonOut é colocado no estado safe 0 de imediato e a
segunda saída MonDelOut é colocada a 0 após um tempo de atraso configurável na janela Delay Time (ms).
Várias saídas imediatas (MonOut) ou atrasadas (MonDelOut) podem ser ligadas na FB MON. Além disso, existem
duas entradas Secure(x)͟, com as quais a solicitação do estado seguro das entradas MonIn(x) podem ser
ignoradas. As entradas Secure(x) também podem ser configuradas como contactos normalmente fechados NF ou
contactos normalmente abertos.

A entrada de reinicialização Restart do FB pode ser ativada. A sequência de sinal 0-> 1-> 0 deve ser detetada na
entrada de Restart , no caso de um reinício ativo do processo antes das saídas terem entrado em estado seguro.
No caso de um reinício inativo, o estado de segurança é anulado uma vez que as entradas MonIn ou Secure
não solicitam mais o estado seguro.

Podemos aplicar um circuito de realimentação, para controlo de estado, a ambas as saídas da FB MON. A saída
MonOut é realimentada na entrada EDM1 e a saída MonDelOut é na entrada EDM2 , utilizando um
circuito externo de contactos elétricos. As entradas do EDM ( External Device Monitoring ) são testadas assim
que é reiniciada a FB através do comando Restart ( sequência 0-> 1-> 0). Se as entradas do EDM não tiverem o
estado do sinal "1", a FB MON entra em estado de erro e coloca a saída de erro ( Error ) em estado 1 . O estado
de erro só pode ser anulado após executarmos a sequência 0-> 1-> 0 na entrada ERR_ACK do grupo TwinSAFE
relacionado.

Podemos ter combinações de 2 entradas [MonInIn1 e MonIn2], [MonIn3 e MonIn4] e [Secure1 e Secure2]. Neste
caso será controlado a discrepância do estado de ambos os sinais dentro de um tempo configurado. Se este tempo
de discrepância for excedido para o par de entradas, o FB ESTOP entrará em estado de erro. Neste estado as saídas
passam para o estado seguro "0".

Para reconhecer ou não este erro, de discrepância, devemos configurar a propriedade Safe Inputs after Disc
Error . Se esta propriedade estiver ativa ambas as entradas do grupo que provocaram o erro de discrepância terão
de voltar a 0 , antes que se possa fazer o Reset.

A FB MON só reporta um erro de EDM se a opção Manual do Restart͟ estiver ativo. Se esta opção do Restart͟
não estiver ativo a FB MON mantem-se em estado safe se o erro EDM continuar presente.

[asaTek / J.Andril] 83
BRESIMAR AUTOMAÇÃO Anexo A

2.4.2 Descrição das variáveis de entrada e saída da FB MON


Nome Tipo Descrição das ENTRADAS da FB MON
Restart TSAFE-In A sequência de sinal 0-> 1-> 0 deve ser detetada nesta entrada de Restart, durante o start (quando o
(BOOL) FB-Out grupo TwinSAFE relacionado é iniciado) ou em um restart (quando uma entrada solicitou o estado
Stand-In seguro) antes do estado seguro das saídas seja removido. Esta entrada não é utilizada se a opção
Manual do Restart estiver desativado. Neste caso tanto o arranque como a saída do estado seguro
da FB é executada automaticamente e desde que nenhuma entrada solicite segurança (estado seguro).
MonIn1 TSAFE-In 1º canal de entrada: A parametrização determina, se a entrada será um contato normalmente fechado
(BOOL) FB-Out NF (contato aberto 0 , o estado seguro será solicitado) ou contato normalmente aberto NA (contato
fechado 1 , o estado seguro será solicitado).
MonIn2 TSAFE-In 2º canal de entrada: Idêntico ao MonIn1
(BOOL) FB-Out Se o tempo de discrepância não for igual a 0, o 1º e 2º canal de entradas são considerados como o 1º par
de entradas e é realizada a monitorização do tempo de discrepância entre os dois canais.
MonIn3 TSAFE-In 3º canal de entrada ou 1º entrada do 2º par de entradas (idêntico ao MonIn1)
(BOOL) FB-Out

MonIn4 TSAFE-In 4º canal de entrada ou 2º entrada do 2º par de entradas (idêntico ao MonIn2)


(BOOL) FB-Out

Secure1 TSAFE-In Se o Secure1 ou o Secure2 estiver parametrizado como ativo a avaliação das entradas MonIn(x) pode ser
(BOOL) FB-Out desligada. Se Secure1 e Secure2 forem parametrizadas como normalmente fechados NF as entradas
MonIn(x) serão ignorados se Secure1 e ou Secure2 for 1 . Se Secure1 e Secure2 forem parametrizadas
como normalmente abertos NA as entradas MonIn(x) serão ignorados se Secure1 e ou Secure2 for 0 .
Se o tempo de discrepância estiver parametrizado as entradas Secure1 e Secure2 são consideradas
como um par de entradas e será monitorizado o tempo de discrepância entre ambos os canais.

Secure2 TSAFE-In Secure2 é o 2º canal do par de entradas que corresponde a entrada Secure1.
(BOOL) FB-Out

EDM1 TSAFE-In EDM1 é o circuito de feedback do sinal da saída direta (MonOut). Se esta entrada for parametrizada como ativa o
(BOOL) FB-Out estado seguro das saídas só será anulado quando fizermos o Restart e a entrada EDM1 estiver a 1 .
Stand-In
EDM2 TSAFE-In EDM2 é o circuito de feedback do sinal da saída atrasada (MonDelOut). Se esta entrada for parametrizada como
(BOOL) FB-Out ativa o estado seguro das saídas só será anulado quando fizermos o Restart e a entrada EDM2 estiver a 1 .
Stand-In
Nome Tipo Descrição das SAÍDAS da FB MON
Error TSAFE-Out TRUE : A monitorização do tempo de discrepância de um par de entradas ou um dos loops de
(BOOL) FB-In feedback detetou um erro. A anulação do erro deve ser efetuada através da entrada ERR_ACK do
Stand.-Out grupo TwinSAFE associado.
Local-Out FALSE : Não foi detetado qualquer erro.

MonOut TSAFE-Out 1º canal de saída segura:


(BOOL) FB-In O estado de segurança (safe) corresponde a 0 .
Stand.-Out
Local-Out

MonDelOut TSAFE-Out 2º canal de saída segura:


(BOOL) FB-In O estado de segurança (safe) corresponde a 0 . Este estado em relação à saída anterior tem um
Stand.-Out atraso configurado no campo Delay Time .
Local-Out

Informação do tipo de entradas e saídas das FB´s safe


Tipo Descrição
TSAFE-In Tipo dados
Entradas de TwinSAFE dos terminais EL1904/KL1904
Stand.-In Variáveis de entradas standard do PLC (saídas %Q* no PLC)
FB-Out Saídas dos FB do TwinSAFE
TSAFE-Out Saídas de TwinSAFE dos terminais EL2904/KL2904
Stand.-Out Variáveis de saídas standard do PLC (entradas %I* no PLC)
FB-In Entradas dos FB do TwinSAFE
Local-Out Saídas de TwinSAFE do terminal EL6904 (não existem no EL6900)

[asaTek / J.Andril] 84
BRESIMAR AUTOMAÇÃO Anexo A

2.4.3 Informação do diagnóstico e estado da FB MON


Bit Descrição da informação de DIAGNOSTICO da FB MON (16 bit) – [Map Diag = TRUE]
0 Tipo
Erro dedados
discrepância nas entradas do grupo 1
1 Erro de discrepância nas entradas do grupo 2
2 Erro de discrepância nas estradas do grupo Secure
4 Erro de monitorização de EDM (EDM1)
5 Erro de monitorização de EDM (EDM2)
8 Erro de discrepância nas entradas do grupo 1 com opção Safe inputs after Disc Error ativada (com o bit 0).
9 Erro de discrepância nas entradas do grupo 2 com opção Safe inputs after Disc Error ativada (com o bit 1).
10 Erro de discrepância nas entradas do grupo secure com opção Safe inputs after Disc Error ativada (com o bit 2).

Bit Descrição da informação de ESTADO (state) da FB MON (8 bit) – [Map State = TRUE]
1 Tipo
RUN dados
2 STOP
3 SAFE
4 ERROR
5 RESET
6 START
7 ERRORDELAY
8 DELAYOUT
9 FUNCTEST

[asaTek / J.Andril] 85
BRESIMAR AUTOMAÇÃO Anexo A

2.5 Função Bloco MUTING


2.5.1 Descrição funcional
A FB MUTING ( Muting Control ) é
usado para realizar a supressão da
função de proteção numa zona pré-
determinada (ex. transportar material
para zona perigosa e protegida). A
saída da função bloco permanece
ativa, apesar da interrupção dos
sensores de segurança conectados ao
sistema safe.

As entradas de Muting1 e ͞2 são


usadas para verificar se elas são
operadas em uma dada sequencia. O
muting pode ser ativado através da
habilitação das respetivas entradas.
Se a entrada é de nível lógico 0 ,
uma interrupção do dispositivo de
proteção resulta no desligar imediato
da saída safe FB. Caso contrário,
apenas se a sequência de muting for
violada. A opção Sequential Inputs
pode ser selecionada para especificar se 2 entradas são controladas em paralelo ou sequencialmente. Um filtro
temporal até 500ms podem ser configurado para as entradas de muting para evitar oscilações (bouncing) dos
sinais de entrada e assim evitar a violação da sequência muting. A duração máxima do processo muting pode ser
monitorizada através do Max. MutingTime .

O processo de muting começa com sinal lógico 1 na entrada 1 de muting e termina com o sinal lógico 0 da
última entrada de muting. O valor pode ser ajustado de um máximo de 10 minutos até 0. O zero corresponde à
desativação da monitorização. Durante este período, a saída MutingActive do bloco estará ativa. O dispositivo
de proteção (AOPD – Active Opto-electronic Protection Device), por exemplo de uma barreira ótica de segurança,
estão conectadas as entradas OSSDIn 1 e 2 . Os sinais de feedback podem ser conectados às entradas EDM.

Na configuração de defeito as entradas estão desabilitadas. As saídas diretas são conectadas através do botão
MuteOut e as saídas atrasadas, com máximo de 30 segundos, são conectadas através do botão MuteDelOut .

Esta FB MUTING não está disponível no controlador safe KL6904.

2.5.2 Descrição das variáveis de entrada e saída da FB MUTING


Nome Tipo Descrição das ENTRADAS da FB MUTING
Enable TSAFE-In O muting pode ser ativado através da entrada Enable. Se a entrada tem o nível logico 0, uma
(BOOL) FB-Out interrupção do dispositivo de proteção resulta no desligar imediato da saída do FB.
Standard-In
MutingIn1 TSAFE-In As entradas de muting são usadas para verificar se elas são operadas em uma dada ordem sequencial.
(BOOL) FB-Out 1º canal de entrada. A parametrização é usada para especificar se a entrada deve ser negada ou é
usada diretamente.
MutingIn2 TSAFE-In 2º canal de entrada: Idêntico ao MutingIn1. Se o tempo de discrepância não for igual a 0, o 1º e 2º
(BOOL) FB-Out canal de entradas são considerados como o 1º par de entradas e é realizada a monitorização do tempo
de discrepância entre os dois canais.
MutingIn3 TSAFE-In 3º canal de entrada ou 1º entrada do 2º grupo de entradas (idêntico ao MutingIn1)
(BOOL) FB-Out
MutingIn4 TSAFE-In 4º canal de entrada ou 2º entrada do 2º grupo de entradas (idêntico ao MutingIn2)
(BOOL) FB-Out
OSSDIn1 TSAFE-In Sinais de dispositivos de segurança do tipo barreiras luminosas safe (AOPD – Active Opto-electronic
(BOOL) FB-Out Protection Device). OSSDIn1 é o 1º canal do par de entradas que corresponde aos sinais OSSD. A
parametrização deve ser usada para especificar se tem o estado logico negado ou não.

[asaTek / J.Andril] 86
BRESIMAR AUTOMAÇÃO Anexo A

OSSDIn2 TSAFE-In OSSDIn2 é o 2º canal do par de entradas que corresponde a entrada OSSDIn1.
(BOOL) FB-Out
EDM1 TSAFE-In EDM1 é o circuito de feedback do sinal da saída direta (MuteOut). Se esta entrada for parametrizada
(BOOL) FB-Out como ativa o estado seguro das saídas só será anulado quando fizermos o Restart e a entrada EDM1
Stand.-Out estiver a 1 .

EDM2 TSAFE-In EDM2 é o circuito de feedback do sinal da saída atrasada (MuteDelOut). Se esta entrada for
(BOOL) FB-Out parametrizada como ativa o estado seguro das saídas só será anulado quando fizermos o Restart e a
Stand.-Out entrada EDM2 estiver a 1 .

Nome Tipo Descrição das SAÍDAS da FB MUTING


Error TSAFE-Out TRUE : A monitorização do tempo de discrepância de um par de entradas detetou um erro. A sequencia
(BOOL) FB-In de muting foi violada ou o tempo de muting foi ultrapassado. A anulação do erro deve ser efetuada
Stand.-Out através da entrada ERR_ACK do grupo TwinSAFE associado.

FALSE : Não foi detetado qualquer erro.


MutingActive TSAFE-Out 1º canal de saída de muting. Indica o decorrer do modo de funcionamento de muting através do nível
(BOOL) FB-In logico 1 .
Stand.-Out
MuteOut TSAFE-Out 1º canal de saída segura: O estado de segurança (safe) corresponde a 0 .
(BOOL) FB-In
Stand.-Out
MuteDelOut TSAFE-Out 2º canal de saída segura: O estado de segurança (safe) corresponde a 0 . Este estado em relação à
(BOOL) FB-In saída anterior tem um atraso configurado no campo Delay Time .
Stand.-Out

Informação do tipo de entradas e saídas das FB´s safe


Tipo Descrição
TSAFE-In Tipo dados
Entradas de TwinSAFE dos terminais EL1904/KL1904
Stand.-In Variáveis de entradas standard do PLC (saídas %Q* no PLC)
FB-Out Saídas dos FB do TwinSAFE
TSAFE-Out Saídas de TwinSAFE dos terminais EL2904/KL2904
Stand.-Out Variáveis de saídas standard do PLC (entradas %I* no PLC)
FB-In Entradas dos FB do TwinSAFE

2.5.3 Informação do diagnóstico e estado da FB MUTING


Bit Descrição da informação de DIAGNOSTICO da FB MUTING (16 bit) – [Map Diag = TRUE]
0 Tipodedados
Erro discrepância nas entradas do grupo 1 de muting.
1 Erro de discrepância no grupo de entradas OSSD
2 Erro de discrepância nas entradas do grupo 2 de muting.
4 Erro de monitorização de EDM1
5 Erro de monitorização de EDM2
6 A sequencia de muting foi violada
7 O tempo máximo de muting foi excedido

8 Erro de discrepância nas entradas do grupo 1 MuteIn1/MuteIn2, ainda não foi feito o Reset (não nos EL6900/EL6904).

9 Erro de discrepância nas entradas do grupo 1 OSSDIn1/OSSDIn2 ainda não foi feito o Reset (não nos EL6900/EL6904).
10 Erro de discrepância nas entradas do grupo 1 MuteIn3/MuteIn4 ainda não foi feito o Reset (não nos EL6900/EL6904).

Bit Descrição da informação de ESTADO (state) da FB MUTING (8 bit) – [Map State = TRUE]
1 Tipo
RUN dados
2 STOP
3 SAFE
4 ERROR
5 RESET
8 DELAYOUT
9… MUTING1 … MUTING9

[asaTek / J.Andril] 87
BRESIMAR AUTOMAÇÃO Anexo A

2.5.4 Exemplos práticos com sensores em MUTING


Exemplo 1 - Configuração de zona Muting com 4 sensores individuais

Teremos de configurar a FB MUTING com a opção Sequential Inputs (4 sensores muting em modo
Single-Channel ).

Diagrama funcional de Muting :

[asaTek / J.Andril] 88
BRESIMAR AUTOMAÇÃO Anexo A

Exemplo 2 - Configuração de zona muting com sensores a dois canais

Neste exemplo a configuração da FB MUTING terá a opção Sequential Inputs desativada e os sensores
de muting serão configurados como Two-Channel com monitorização de tempo de discrepância.

Diagrama funcional de Muting :

[asaTek / J.Andril] 89
BRESIMAR AUTOMAÇÃO Anexo A

2.6 Funções Bloco DECOUPLER, AND, OR, SR, RS


2.6.1 Descrição funcional
Consideramos estas FB´s como funções
lógicas. A FB DECOUPLER pode ser
considerada uma função de “Igual” (o sinal
da saída é igual à respetiva entrada) e serve
para desacoplar ligações que são utilizadas
no programa safe e que queremos que
comunique, o seu estado, com o programa
do PLC e vice-versa. A FB DECOUPLER
possui 8 entradas e 8 saídas interligadas.

Podemos também usar esta FB para


desacoplar sinais de coneções safe de
grupos funcionais diferentes.

FB´s Logicos para TwinSAFE


FB AND Bloco logico “E” (AND).
Permite a definição das
entradas como NA - NF.
Permite o controlo de
pares de entradas com a
fiscalização de tempos de
discrepância.
NOTA 1:
NA (fecha contato-safe)
NF (abre contato-safe)
No contato NA o sinal é
negado antes de afetar o
AND.
NOTA 2: A entrada 1 da FB
“AndIn1” difere das
outras. Só a esta se pode
ligar uma variável
standard do PLC.
NOTA 3: É obrigatório o
uso de duas entradas.
FB OR Bloco logico “OU” (OR).
Permite a definição das
entradas como NA - NF.
Permite o controlo de
pares de entrada com a
fiscalização de tempos de
discrepância.
NOTA 1:
NA (fecha contato-safe)
NF (abre contato-safe)
No contato NA o sinal é
negado antes de afetar o
OR.

[asaTek / J.Andril] 90
BRESIMAR AUTOMAÇÃO Anexo A

FB RS Bloco flip-flop RS
Função bloco de memoria
biestável em que o sinal
de RESET tem prioridade
sobre o sinal de SET.

SET - RESET = OUT


0 - 0 = x
0 - 1 = 0
1 - 0 = 1
1 - 1 = 0

NOTA 1:
x – Estado anterior

FB SR Bloco flip-flop SR
Função bloco de memoria
biestável em que o sinal
de SET tem prioridade
sobre o sinal de RESET.

SET - RESET = OUT


0 - 0 = x
0 - 1 = 0
1 - 0 = 1
1 - 1 = 1

NOTA 1:
x – Estado anterior

Estas FB´s RS e SR não estão disponíveis no controlador safe KL6904.

2.6.2 Descrição das variáveis de entrada e saída da FB´s DECOUPLER, AND, OR, RS, SR
Nome Tipo Descrição das ENTRADAS da FB DECOUPLER
DecIn … TSAFE-In 1º até 8º canal de entrada: A entrada pode ser configurada como normalmente fechada (NF) ou como
(BOOL) FB-Out normalmente aberta (NA).
Nome Tipo Descrição das SAÍDAS da FB DECPOUPLER
DecOut … TSAFE-Out O seguimento do sinal logico da respetiva entrada. Podemos desacoplar entradas de conexões em
(BOOL) FB-In diferentes grupos safe.
Stand.-Out
Local-Out

Nome Tipo Descrição das ENTRADAS da FB AND


AndIn1 TSAFE-In 1º canal de entrada: A entrada pode ser configurada como normalmente fechada (NF) ou como
(BOOL) FB-Out normalmente aberta (NA). A esta entrada pode-se conectar uma variável standard vinda do programa
Standard-In do PLC.
AndIn … TSAFE-In 2º até ao 8º canal de entrada: A entrada pode ser configurada como normalmente fechada (NF) ou como
(BOOL) FB-Out normalmente aberta (NA). Obrigatoriamente terá de se configurar duas entradas.

Nome Tipo Descrição das SAÍDAS da FB AND


AndOut TSAFE-Out O resultado logico do AND.
(BOOL) FB-In
Standard-Out
Local-Out

[asaTek / J.Andril] 91
BRESIMAR AUTOMAÇÃO Anexo A

Nome Tipo Descrição das ENTRADAS da FB OR


OrIn1 TSAFE-In 1º canal de entrada: A entrada pode ser configurada como normalmente fechada (NF) ou como
(BOOL) FB-Out normalmente aberta (NA).

OrIn … TSAFE-In 2º até ao 8º canal de entrada: A entrada pode ser configurada como normalmente fechada (NF) ou como
(BOOL) FB-Out normalmente aberta (NA). Obrigatoriamente terá de se configurar duas entradas.

Nome Tipo Descrição das SAÍDAS da FB OR


OrOut TSAFE-Out O resultado logico do OR.
(BOOL) FB-In
Standard-Out
Local-Out

Nome Tipo Descrição das ENTRADAS da FB RS


Reset TSAFE-In 1º canal de entrada: A entrada pode ser configurada como normalmente fechada (NF) ou como
(BOOL) FB-Out normalmente aberta (NA). O sinal RESET tem prioridade sobre o sinal de SET.

Set TSAFE-In 2º canal de entrada: A entrada pode ser configurada como normalmente fechada (NF) ou como
(BOOL) FB-Out normalmente aberta (NA).

Nome Tipo Descrição das SAÍDAS da FB RS


RsOut TSAFE-Out O resultado logico da memoria biestável RS.
(BOOL) FB-In
Standard-Out

Nome Tipo Descrição das ENTRADAS da FB SR


Set TSAFE-In 1º canal de entrada: A entrada pode ser configurada como normalmente fechada (NF) ou como
(BOOL) FB-Out normalmente aberta (NA). O sinal SET tem prioridade sobre o sinal RESET.

Reset TSAFE-In 2º canal de entrada: A entrada pode ser configurada como normalmente fechada (NF) ou como
(BOOL) FB-Out normalmente aberta (NA).

Nome Tipo Descrição das SAÍDAS da FB SR


SrOut TSAFE-Out O resultado logico da memoria biestável SR.
(BOOL) FB-In
Standard-Out

Informação do tipo de entradas e saídas das FB´s safe


Tipo Descrição
TSAFE-In Tipo dados
Entradas de TwinSAFE dos terminais EL1904/KL1904
Stand.-In Variáveis de entradas standard do PLC (saídas %Q* no PLC)
FB-Out Saídas dos FB do TwinSAFE
TSAFE-Out Saídas de TwinSAFE dos terminais EL2904/KL2904
Stand.-Out Variáveis de saídas standard do PLC (entradas %I* no PLC)
FB-In Entradas dos FB do TwinSAFE
Local-Out Saídas TwinSAFE no KL6904 (não disponível na EL6900)

2.6.3 Informação do diagnóstico e estado da FB´s


Bit Descrição da informação de DIAGNOSTICO dos FB´s (16 bit) – [Map Diag = TRUE]
0… 5 Tipo dados
Sempre a 0.
Bit Descrição da informação de ESTADO (state) dos FB´s (8 bit) – [Map State = TRUE]
0 Tipo
- dados
1 RUN (não existe nas FB´s RS e SR)
2 STOP
3 SAFE (não existe na FB DECOUPLE)
9 SET (não existe nas FB´s DECOUPLE, AND e OR)
- -

[asaTek / J.Andril] 92
BRESIMAR AUTOMAÇÃO Anexo A

2.7 Funções Bloco TON e TOFF


2.7.1 Descrição funcional
Consideramos as seguintes FB´s como funções bloco temporizadas safe.

A FB TON é temporizada a saída ao trabalho após o acionamento da respetiva entrada (só passado x tempo é que
a saída da FB passa a nível logico 1 ). A saída não é ativada, de novo, enquanto o tempo de atraso anterior não
tiver expirado. O máximo tempo de atraso é de 6000 x 100ms (10 minutos).

A FB TOFF é temporizada a saída ao repouso após o acionamento da respetiva entrada (só passado x tempo é que
a saída da FB passa a nível logico 0 ). A saída não é desativada, de novo, enquanto o tempo de atraso anterior não
tiver expirado. O máximo tempo de atraso é de 6000 x 100ms (10 minutos).

FB´s Logicos para TwinSAFE


FB TON Bloco temporizado ao
trabalho.

FB OFF Bloco temporizado ao


repouso.

Estas FB´s TON, TOFF não estão disponíveis no controlador safe KL6904.

[asaTek / J.Andril] 93
BRESIMAR AUTOMAÇÃO Anexo A

2.7.2 Descrição das variáveis de entrada e saída da FB´s TON e TOFF


Nome Tipo Descrição das ENTRADA da FB TON
TonIn1 TSAFE-In Canal de entrada: A entrada pode ser configurada como normalmente fechada (NF) ou como
(BOOL) FB-Out normalmente aberta (NA).
Nome Tipo Descrição das SAÍDA da FB TON
TonOut1 TSAFE-Out Canal de saída. O estado de safe corresponde a nível logico 0 .
(BOOL) FB-In
Stand.-Out

Nome Tipo Descrição das ENTRADA da FB TOFF


TofIn1 TSAFE-In Canal de entrada: A entrada pode ser configurada como normalmente fechada (NF) ou como
(BOOL) FB-Out normalmente aberta (NA).
Standard-In
Nome Tipo Descrição das SAÍDA da FB TOFF
TofOut TSAFE-Out Canal de saída. O estado de safe corresponde a nível logico 0 .
(BOOL) FB-In
Standard-Out

Informação do tipo de entradas e saídas das FB´s safe


Tipo Descrição
TSAFE-In Tipo dados
Entradas de TwinSAFE dos terminais EL1904/KL1904
Stand.-In Variáveis de entradas standard do PLC (saídas %Q* no PLC)
FB-Out Saídas dos FB do TwinSAFE
TSAFE-Out Saídas de TwinSAFE dos terminais EL2904/KL2904
Stand.-Out Variáveis de saídas standard do PLC (entradas %I* no PLC)
FB-In Entradas dos FB do TwinSAFE

2.7.3 Informação do diagnóstico e estado da FB´s


Bit Descrição da informação de DIAGNOSTICO dos FB´s (16 bit) – [Map Diag = TRUE]
… 5 Tipo dados
Sempre a 0.
Bit Descrição da informação de ESTADO (state) dos FB´s (8 bit) – [Map State = TRUE]
0 Tipo
- dados
1 RUN
2 STOP
3 SAFE
9 DELAY_IN (na FB TON) ou DELAY_OUT (na FB FB TOFF)

[asaTek / J.Andril] 94
BRESIMAR AUTOMAÇÃO Anexo A

2.8 Função Bloco OPMODE


2.8.1 Descrição funcional
A FB OPMODE ( Operation Mode )
é usado para criar um seletor de
Modo de Operação. A FB tem 8
entradas e 8 saídas que estão
encadeadas uma a uma. Até 8
modos de operação diferentes
podem ser selecionados.

A FB OPMODE coloca a 1 a
respetiva saída só quando a entrada
estiver a 1 , contudo o estado das
outras saídas mantem-se em estado
safe 0 . As saídas estão em estado
safe se não existem ou existem mais
que uma entrada a 1 .

O estado de safe da saída só pode


ser encerrado durante o inicio e
mudança de modo de operação
usando a sequencia 0  1  0 na entrada Restart . Podemos monitorizar o tempo de discrepância da mudança
do modo de operação.

2.8.2 Descrição das variáveis de entrada e saída da FB OPMODE


Nome Tipo Descrição das ENTRADAS da FB OPMODE
Restart TSAFE-In A sequência de sinal 0-> 1-> 0 deve ser detetada nesta entrada de Restart, durante o start (quando o
(BOOL) FB-Out grupo TwinSAFE relacionado é iniciado) ou em um restart (quando uma entrada solicitou o estado
Stand-In seguro) antes do estado seguro das saídas seja removido. Esta entrada não é utilizada se a opção
Manual do Restart estiver desativado. Neste caso tanto o arranque como a saída do estado seguro
da FB é executada automaticamente e desde que nenhuma entrada solicite segurança (estado seguro).
OpIn1 … TSAFE-In 1º ao 8º canal de entrada. Pelo menos duas entradas devem ser ligadas.
(BOOL) FB-Out

Nome Tipo Descrição das SAÍDAS da FB OPMODE


Error TSAFE-Out TRUE : Detetado erro na monitorização do tempo de discrepância de entradas ou no tempo de
(BOOL) FB-In discrepância de mudança de operação. A anulação do erro deve ser efetuada através da entrada
Stand.-Out ERR_ACK do grupo TwinSAFE associado.
Local-Out FALSE : Não foi detetado qualquer erro.

OpOut … TSAFE-Out 1º ao 8º canal de saída.


(BOOL) FB-In O estado de segurança (safe) corresponde a 0 .
Stand.-Out
Local-Out

Informação do tipo de entradas e saídas das FB´s safe


Tipo Descrição
TSAFE-In Tipo dados
Entradas de TwinSAFE dos terminais EL1904/KL1904
Stand.-In Variáveis de entradas standard do PLC (saídas %Q* no PLC)
FB-Out Saídas dos FB do TwinSAFE
TSAFE-Out Saídas de TwinSAFE dos terminais EL2904/KL2904
Stand.-Out Variáveis de saídas standard do PLC (entradas %I* no PLC)
FB-In Entradas dos FB do TwinSAFE
Local-Out Saídas de TwinSAFE do terminal EL6904 (não existem no EL6900)

[asaTek / J.Andril] 95
BRESIMAR AUTOMAÇÃO Anexo A

2.8.3 Informação do diagnóstico e estado da FB OPMODE


Bit Descrição da informação de DIAGNOSTICO da FB OPMODE (16 bit) – [Map Diag = TRUE]
0 Tipo
Erro nadados
monitorização de discrepâncias
Bit Descrição da informação de ESTADO (state) da FB OPMODE (8 bit) – [Map State = TRUE]
0 Tipo
- dados
1 RUN
2 STOP
3 SAFE
4 ERROR
5 RESET
6 START

[asaTek / J.Andril] 96
BRESIMAR AUTOMAÇÃO Anexo A

2.9 Função Bloco CONNECTION SHUTDOWN


2.9.1 Descrição funcional
A FB COONECTION SHUTDOWN
é usado para desativar
conexões TwinSAFE. Conexões
são as cartas de entrada ou
saída safe que temos instalado
no nosso hardware. Se a
entrada da FB se tornar ativa
a o ex o sele io ada
Connection ID é fe hada. U
comando de shutdown é
enviada para o slave FSoE e o
feedback é enviado para a
saída. A conexão é fechada e a
saída definida é colocada em set
se o slave recebeu o comando
de shutdown. O reset da saída
só é feito quando a conexão
FSoE estiver no estado DATA.

O master FSoE tentará


restabelecer a conexão e o slave
FSoE responderá novamente à
conexão quando a entrada da
FB o esti e ati a .

Esta FB é muito útil em maquinas industriais modulares. Nestas maquinas, muitas vezes, necessitamos intervir em
um modulo (ex. mudança de ferramentas de corte) sem necessidade de parar todo o sistema de segurança
homem-maquina. Outras opções, são o caso de alimentadores (ex. de chapa) de prensas, o sistema de segurança
poderá ser feito e colocado em um grupo safe separado do da prensa.

2.9.2 Descrição das variáveis de entrada e saída da FB CONNECTION SHUTDOWN


Nome Tipo Descrição das ENTRADAS da FB CONNECTION SHUTDOWN
Deactivate1 TSAFE-In 1º canal de entrada: A entrada pode ser configurada como normalmente fechada (NF - safe ) ou
(BOOL) FB-Out como normalmente aberta (NA – safe ).

Deactivate2 TSAFE-In 2º canal de entrada: A entrada pode ser configurada como normalmente fechada (NF - safe ) ou
(BOOL) FB-Out como normalmente aberta (NA – safe ). Se o tempo de discrepância não for zero é controlado a
discrepância dos sinais do grupo constituído pelo 1º e 2º canal.

Nome Tipo Descrição das SAÍDAS da FB CONNECTION SHUTDOWN


Error TSAFE-Out TRUE : A monitorização do tempo de discrepância de entradas. A anulação do erro deve ser efetuada
(BOOL) FB-In através da entrada ERR_ACK do grupo TwinSAFE associado.
Stand.-Out FALSE : Não foi detetado qualquer erro.

Deactivated TSAFE-Out Ccanal de saída.


(BOOL) FB-In O estado de segurança (safe o espo de a .
Stand.-Out

Esta FB não está disponível no controlador safe KL6904.

[asaTek / J.Andril] 97
BRESIMAR AUTOMAÇÃO Anexo A

Informação do tipo de entradas e saídas das FB´s safe


Tipo Descrição
TSAFE-In Tipo dados
Entradas de TwinSAFE dos terminais EL1904/KL1904
Stand.-In Variáveis de entradas standard do PLC (saídas %Q* no PLC)
FB-Out Saídas dos FB do TwinSAFE
TSAFE-Out Saídas de TwinSAFE dos terminais EL2904/KL2904
Stand.-Out Variáveis de saídas standard do PLC (entradas %I* no PLC)
FB-In Entradas dos FB do TwinSAFE

2.9.3 Informação do diagnóstico e estado da FB CONNECTION SHUTDOWN


Bit Descrição da informação de DIAGNOSTICO da FB CONNECTION (16 bit) – [Map Diag = TRUE]
0 Tipo
Erro nadados
monitorização de discrepâncias
Bit Descrição da informação de ESTADO (state) da FB CONNECTION (8 bit) – [Map State = TRUE]
0 Tipo
- dados
1 RUN
2 STOP
3 SAFE
4 ERROR
5 RESET
10 ACTIVE
11 DEACTIVE

[asaTek / J.Andril] 98