Livro de Formação Técnica TwinSAFE 3.1 (01 - 2017) v0.2

BECKHOFF AUTOMATION
MANUAL DE FORMAÇÃO DE
TwinSAFE 3.1
por Jorge Andril
01 / 2017
• BRESIMAR AUTOMAÇÃO , S.A. • Departamento de Engenharia ASATEK • www.bresimar.pt

• Quinta do Simão EN109 - Esgueira • Apartado 3080 • 3800-230 Aveiro • PORTUGAL
O agradecimento à BECKHOFF AUTOMATION pelo fornecimento de
documentação técnica e à BRESIMAR AUTOMAÇÃO S.A. pela
disponibilidade de equipamentos para a execução de testes de campo.
A BRESIMAR AUTOMAÇÃO é uma
empresa com sede em Aveiro, Portugal
A Bresimar Automação S.A., é uma empresa familiar Possui uma equipa técnica qualificada, que presta serviços
especializada em Automação Industrial. Fundada em 1982 de assistência pré e pós-venda, que propõe e aconselha
foi evoluindo a sua atividade comercial e atualmente soluções tecnológicas inovadoras.
divide-se em 3 áreas de negócios.
A gestão está focada e orientada para os clientes, pelo que
Essas áreas de negócios são as seguintes: efetua uma seleção muito criteriosa de fornecedores. A
formação é um fator determinante para a qualidade dos
 Comercialização de equipamentos para serviços prestados por todos os colaboradores.
automação industrial através da representação
exclusiva de diversas marcas, mundialmente Espero que estes apontamentos técnicos vos sejam úteis
conceituadas (INSYS-icom , Beckhoff , Siemens nas vossas aplicações de automação industrial!
, Turck , Beijer , entre outras ) .
Obrigado pela vossa atenção.
 Serviços de engenharia de automação e controlo
para processos industriais com desenvolvimento
de software para PLCs e HMIs . Este serviço Saudações
possui a marca registada asaTek . Jorge Andril
j.andril@bresimar.pt
 Produção e desenvolvimento de transmissores e
http://pt.linkedin.com/in/jorgeandril
sensores de temperatura incluindo sistemas sem
fios. Estes equipamentos tem a marca registada
tekOn .
LISTA DE CONTEÚDOS
I – Introdução ao TwinSAFE do TwinCAT 3.1

I-1 – Introdução à Segurança-Máquina 1
I-2 – Diretivas e normas de Segurança-Máquina 5
I-2.1 – Introdução à Diretiva Máquina 5
I-2.2 – Diretiva Máquina 2006/42/CE 5
I-2.3 – Tipo de normas existentes 6
I-2.4 – Análise de risco 8
I-2.5 – Segurança funcional 9
II – Terminais e dispositivos de segurança

II-1 – Terminais de segurança BECKHOFF 11
II-1.1 – Especificações dos terminais de entradas seguras 14
II-1.1.1 – Diagrama de bloco do EL1904 15
II-1.1.2 – Teste de impulsos nas entradas seguras 15
II-1.1.3 – Tabela dos parâmetros do EL1904 (“Safety Parameters”) 16
II-1.1.4 – Exemplo de configuração dos parâmetros do EL1904 16
II-1.1.5 – Diagnostico de estado e erros 17
II-1.1.6 – Objetos de diagnostico (CoE objects) 18
II-1.2 – Especificações dos terminais de saídas seguras 20
II-1.2.1 – Diagrama de bloco do EL2904 20
II-1.2.2 – Teste de impulsos nas saídas seguras 20
II-1.2.3 – Tabela dos parâmetros do EL2904 (“Safety Parameters”) 21
II-1.2.5 – Objetos de diagnóstico (CoE objects) 23
II-1.2.6 – Possíveis causas das mensagens de diagnostico 24
II-1.3 – Especificações dos terminais com controlador lógico TwinSAFE 25
II-1.3.1 – Programação do código lógico de segurança 20
II-1.3.3 – Objetos de diagnóstico (CoE objects) 27
II-2 – Dispositivos de segurança 29
II-2.1 – Comandos de paragem de emergência 29
II-2.2 – Comandos de bimanual 30
II-2.3 – Barreiras óticas de segurança 31
II-2.4 – Scanners laser de segurança 32
II-2.5 – Tapetes e batentes de segurança 33
II-2.6 – Portas e trincos de segurança 34
III – TwinCAT 3.1 – Programação de modulo SAFETY

III-1 – Programação do TwinCAT 3.1 SAFETY 35
III-1.1 – Arquitetura base do hardware do kit de formação 35
III-1.2 – Criar projeto de segurança no TwinCAT SAFETY 36
III-1.3 – Criar programa de automatismo no TwinCAT PLC 42
III-1.4 – Linkagem dos alias do projeto SAFETY com o programa PLC 43
III-1.5 – Criar programa de segurança do TwinCAT SAFETY 44
III-1.6 – Verificação do programa de segurança TwinCAT SAFETY 49
III-2 – Teste e monitorização do projeto completo 52
III-2.1 – Debugging do programa de segurança 52
III-2.2 – Monitorização do programa de segurança 53
BECKHOFF AUTOMATION
TwinSAFE V3.1
IV - Esquemas de segurança com TwinSAFE

IV-1 – Circuito de comando a duas mãos com TwinSAFE 58
IV-1.1 – BIMANUAL – Cat. 4 e PL=e 58
IV-2 – Circuito com tapetes de segurança com TwinSAFE 59
IV-2.1 – TAPETE DE SEGURANÇA – Cat. 4 e PL=e 59
IV-3 – Circuito de scanners laser de segurança com TwinSAFE 60
IV-3.1 – SCANNER LASER – Cat. 3 e PL=e 60
IV-4 – Circuito de barreiras luminosas de segurança com TwinSAFE 61
IV-4.1 – BARREIRA LUMINOSA – Cat. 4 e PL=e 61
IV-4.2 – BARREIRA LUMINOSA (com Muting) – Cat. 4 e PL=e 62
IV-5 – Circuito de portas de segurança com TwinSAFE 63
IV-5.1 – PORTA DE SEGURANÇA (1ª variante) – Cat. 4 e PL=e 63
IV-5.2 – PORTA DE SEGURANÇA (2ª variante) – Cat. 3 e PL=e 64
IV-5.3 – PORTA DE SEGURANÇA (com monitorização) – Cat. 4 e PL=e 65
IV-5.4 – PORTA DE SEGURANÇA (com encravamento) – Cat. 4 e PL=e 66
IV-6 – Circuito de paragem de emergência com TwinSAFE 68
IV-6.1 – BOTÃO DE EMERGÊNCIA (1ª variante) – Cat. 4 e PL=e 68
IV-6.2 – BOTÃO DE EMERGÊNCIA (2ª variante) – Cat. 3 e PL=d 69
IV-6.6 – BOTÃO DE EMERGÊNCIA (6ª variante) – Cat. 3 e PL=d 73
ix
BRESIMAR AUTOMAÇÃO Capítulo I
I – Introdução ao TwinSAFE do TwinCAT 3.1

Apresentação do modulo TwinSAFE do TwinCAT 3.1
O módulo TwinSAFE do TwinCAT 3 é o
software de programação para os PLCs
de segurança, da marca alemã
BECKHOFF. O TwinSAFE representa a
continuação da filosofia de controle
baseado em PCs, aberta e escalável.
Devido à sua modularidade e

versatilidade os terminais TwinSAFE
encaixam perfeitamente na filosofia, já
existente, dos sistemas de controlo
BECKHOFF. Isto é, podemos incorporar
no mesmo PLC (TwinCAT 3 PLC), responsável pelo automatismo clássico de uma máquina industrial, um modulo de
segurança (TwinSAFE). Assim, não necessitamos de ter no mesmo quadro de controlo dois PLC´s (um para o
automatismo e outro para os dispositivos de segurança-máquina). Este modulo TwinSAFE cumpre toda a Legislação e
Normas Europeias, atualmente em vigor.
 I-1 – Introdução à segurança homem-máquina

Quando falamos de Segurança ( Safety Tecnology ) na automação industrial estamos a falar de funções específicas
para máquinas, equipamentos e processos industriais relacionados à proteção de pessoas. Na maioria dos locais há
requisitos legais para a proteção dos operadores de máquinas. Esses regulamentos geralmente são baseados em
padrões nacionais e internacionais (por exemplo a Diretiva Máquina 2006/42/CE), mas podem variar entre regiões
e nações. É da responsabilidade do projetista da automação verificar e desenhar esses sistemas de segurança para
as suas máquinas industriais.
A premissa principal dos sistemas de segurança, para as máquinas industriais, é o controlo das diversas fontes de
energia nelas contidas. Toda essa fonte de energia armazenada em um sistema deve ser tida em conta e
controlada. Isso inclui fontes elétricas, pneumáticas e hidráulicas. Inclui energia potencial armazenada em cargas
suspensas, molas e ar comprimido tal como a energia cinética de partes móveis. Os sistemas de segurança funcionam
interrompendo essas fontes de energia e controlando a energia potencial ou cinética. Os sistemas de segurança
envolvem também uma adequada proteção mecânica, de forma a que os operadores não possam entrar em contacto
com áreas perigosas da máquina enquanto as diversas fontes de energia estão ligadas ou a energia potencial não está
controlada.
[asaTek / J.Andril] 1
Um sistema de segurança devidamente projetado consiste em elementos mecânicos, elétricos e cada vez mais
elementos com uma componente de software. Todos estes elementos combinam-se para formar uma condição de
trabalho segura para os operadores de máquinas e pessoal de manutenção. As exigências sobre a fiabilidade dos
elementos elétricos e de software são suficientemente fortes para que componentes elétricos e PLC´s comuns sejam
inaceitáveis para uso em sistemas de segurança-máquina. Em geral (e isso depende de casos específicos) os
componentes elétricos e de software devem ser projetados de tal forma que qualquer falha de um único componente
não leve a uma perda da função de segurança. Essa falha, uma vez detetada, terá de ser relatada e deverá impedir o
funcionamento da máquina industrial até que ela seja reparada.
Tomemos como exemplo um relé elétrico. Um relé típico não é um componente apropriado para uso em sistemas
elétricos de segurança, pelas seguintes razões:
1. O relé pode falhar, normalmente por colagem do contato, na posição de trabalho. Neste caso perde a
capacidade de eliminar a fonte de energia elétrica, quando ocorrer uma emergência que obriga ao corte e
interrupção dessa energia.
2. Nós detetamos a falha de um relé monitorizando um contato normalmente fechado. Dependendo da
construção do relé, a falha pode não ser detetada se o contato normalmente fechado não estiver
mecanicamente ligado a um contato normalmente aberto.
Para interromper de forma fiável uma fonte de energia elétrica, de maneira

a que a falha de um componente não cause uma perda da função de
segurança e seja detetada, normalmente usamos dois relés de contato
guiados mecanicamente. A guia mecânica torna impossível ter ao mesmo
tempo o contato normalmente fechado (NF) e normalmente aberto (NA)
fechados. Se um contato NF colar, deve ser impossível que o contato NA
feche quando a bobina é energizada. Se um contato NA colar, deve ser
impossível que o contato NF feche quando a bobina é desenergizada. Estes
contatos também são conhecidos por: contactos forçados, contactos
ativados positivamente, contactos guiados ou contactos ligados.
O uso de dois relés ou contatores redundantes resolve o primeiro problema,

de um único ponto de falha. O uso de contatos guiados mecanicamente
resolve o segundo problema de monitorização fiável do estado do relé.
Assim, podemos utilizar uma combinação de dois relés de contatos guiados
mecanicamente para a configuração de relé de segurança, mas obriga a ter um sistema de monitorização externo a
verificar o seu correto funcionamento (módulos de controlo de segurança). Outra opção é usar um relé de segurança,
construído para esse fim, com os dois contatos guiados mecanicamente e a função de monitorização embebidos no
mesmo sistema.
Os PLCs (EK1960) ou os Controladores lógicos da

BECKHOFF (EL6900, EL6910, EL6930) de
segurança são capazes de fornecer essas funções
de controlo e monitorização. É importante
destacar que os dispositivos de entrada, tais
como botões de paragem de emergência,
interruptores de portas de proteção, barreiras
de segurança fotoelétricas e tapetes de
segurança também são construídos com
componentes elétricos redundantes e devem ser
monitorizados o seu correto funcionamento. Os módulos lógicos de controlo TwinSAFE EL6900, EL6910, EL6930
podem monitorizar todos estes componentes, tal como o PLC de segurança TwinSAFE EK1960. Existe também um
controlador lógico para as cartas do tipo KL (KL6904).
Como é de esperar existem requisitos especiais que teremos de cumprir num projeto com um PLC ou controlador
lógico de segurança. Assim, como qualquer outro dispositivo em um sistema de segurança, a falha de qualquer
componente no PLC ou controlador de segurança não deve resultar na perda da sua função de proteção e deve ser
imediatamente detetada. Isso inclui os componentes elétricos e de software. Os projetos terão de ser certificados por
entidades certificadoras externas e independentes do fabricante, antes de serem colocados no mercado.
O programa de segurança, na Beckhoff, é desenvolvido no editor do TwinCAT 3 pasta SAFETY e correrá nos módulos
lógicos EL6900, EL6910, EL6930 ou no PLC EK1960. Este programa é separado do programa do automatismo residente
no soft PLC clássico.
Os dispositivos de monitorização de segurança (entradas de segurança) estão ligados às cartas EL1904 ou EP1908 e
os dispositivos de acionamento de segurança (saídas de segurança) estão ligados às cartas EL2902 ou EL2904 .
Ambas são certificadas como dispositivos de segurança. A comunicação entre a placa controladora de segurança (ex.
EL6900) e as entradas/saídas seguras (ex. EL1904/EL2904) é feita através da rede EtherCAT IO normal. Isso é possível
porque a comunicação usa um protocolo certificado para segurança designado por FSoE (Fail-safe over
EtherCAT). Devido à enorme flexibilidade do sistema podemos ter, na mesma rede, mais do que um controlador de
segurança.
O protocolo FSoE é compatível com qualquer Master com rede de campo EtherCAT que suporte mensagens e
mapeamentos slave a slave. Cada componente FSoE pode monitorizar o status do canal de comunicação e poderá
reverter para o estado de safe (off) se houver uma perda ou corte da comunicação. O protocolo Fail-safe over
EtherCAT (FSoE) também é suportado por outras redes de campo tais como PROFIBUS, CANopen ou Ethernet.
 I-2 – Diretivas e normas da Segurança Homem-Máquina
I-2.1 – Introdução à Diretiva Máquina
A segurança das pessoas é um especto fundamental nas

sociedades modernas e industriais. Todos os dias há milhares de
pessoas que operam máquinas industriais na sua atividade
profissional.
É obrigação das sociedades modernas e desenvolvidas garantir
que todos exerçam as suas funções e atividades de uma forma o
mais segura possível.
Em 2006 a União Europeia elaborou uma Diretiva que define
diversos requisitos obrigatórios e que deverão ser aplicados,
quando da construção de novas máquinas ou em alterações (retrofitting) de máquinas antigas. Essa Diretiva é a
designada 2006/42/CE.
Em Portugal, no que respeita à segurança, foi transposta para a Legislação Portuguesa por Decreto de Lei as
seguintes normas europeias:
 Decreto-Lei nº 50/2005 de 25 de Fevereiro

Transpõe para a ordem jurídica interna a Diretiva nº 89/655/CEE do Conselho de 30 de Novembro.
Foi alterada pela Diretiva nº 95/63/CE do Conselho de 5 de Dezembro e pela Diretiva nº 2001/45/CE
do Parlamento Europeu e do Conselho de 27 de Junho.
Este decreto-lei regula as prescrições mínimas de segurança e de saúde a serem cumpridas pelos
operadores de equipamentos de trabalho.
 Decreto-Lei nº 103/2008 de 24 de Junho

Transpõe para a ordem jurídica interna a Diretiva nº 2006/42/CE, do Parlamento Europeu e do
Conselho de 17 de Maio, relativa às máquinas e que altera a Diretiva nº 95/16/CE, do Parlamento
Europeu e do Conselho de 29 de Junho, relativa à aproximação das legislações dos estados
membros respeitantes aos ascensores.
Este decreto-lei estabelece as regras a que deve obedecer à colocação no mercado e à entrada em
serviço das máquinas e das quase-máquinas.
I-2.2 – Diretiva Máquina 2006/42/CE
A máquina tem uma elevada importância na

industria sendo um dos impulsionadores do aumento
da produtividade no último seculo.
De modo a garantir a segurança de todos aqueles que

diariamente estão em contato permanente com as
máquinas industriais a União Europeia definiu uma
diretiva que estipula determinados requisitos, para a
integração de segurança, quando da sua conceção e
fabrico bem como na sua instalação e manutenção.
Essa Diretiva surgiu em Maio de 2006 e é a designada
Diretiva Máquina 2006/42/CE.
Esta diretiva teve como objetivo principal a redução

do elevado numero de acidentes de trabalho provocados diretamente pelo mau funcionamento e utilização de
máquinas industriais.
RESUMO DO OBJETIVO DA DIRETIVA MÁQUINA 2006/42/CE
A Diretiva de Máquinas 2006/42/CE que entrou em vigor a partir de 29 de Dezembro de 2009 aplicasse a todas as
máquinas feitas e disponíveis no mercado da Comunidade Europeia além da Suíça e Turquia. Esta nova diretiva teve
como objetivo aumentar a eficácia da anterior, a 98/37/CE, bem como esclarecer eventuais duvidas de interpretação
da norma sem alterar substancialmente as suas especificações. A nova diretiva inclui a aplicação do risco e todos os
critérios essenciais de segurança a serem observados e cumpridos.
Todo o fabricante de máquinas tem que cumprir um conjunto mínimo de requisitos antes de uma máquina poder ser
colocada no mercado. A máquina tem de cumprir os Requisitos de Saúde e Segurança, indicados no Anexo I da
Diretiva, estabelecendo assim um nível mínimo comum de proteção em todo o Espaço Economico Europeu.
Os fabricantes de máquinas ou os seus representantes, autorizados na União europeia, devem assegurar que a
máquina está de acordo com a Diretiva tendo que disponibilizar às autoridades competentes, quando requerido, um
documento técnico. A máquina tem também de possuir uma marcação CE e uma declaração de Conformidade. Todas
as máquinas devem ser utilizadas de acordo com as Instruções de Trabalho do fabricante.
As máquinas antigas, já existentes antes da entrada em vigor da Diretiva Máquina, não necessitam de cumprir os
requisitos exigidos exceto os estipulados nos requisitos de saúde como garantirem segurança na sua operação.
Todavia as modificações efetuadas a essas máquinas podem serem consideradas como sendo o fabrico de uma nova
máquina, mesmo que a máquina seja destinada a utilização interna na empresa. Neste caso é obrigatório a emissão
da declaração de conformidade e efetuar a marcação CE.
I-2.3 – Tipo de normas existentes
Para avaliar os riscos das máquinas e para a conceção dos sistemas de segurança, que protegem o operador dos
riscos de operação das mesmas, os Comités Europeus de Normalização CEN e CENELEC publicaram normas que
definem em termos técnicos os requisitos indicados na diretiva.
Estas normas são publicadas no Jornal Oficial da União Europeia e são harmonizadas. O fabricante de máquinas, ao
aplicar estas normas na certificação das suas máquinas, está em conformidade com a diretiva estipulada.
No que respeita às normas de segurança, a aplicar, a Diretiva Máquina 2006/42/CE define três tipos de Normas:
 NORMAS DO TIPO A
 NORMAS DO TIPO B
 NORMAS DO TIPO C
NORMAS DO TIPO A
São normas que definem conceitos básicos, princípios para a conceção e aspetos
gerais que podem ser aplicados às máquinas.
Estas normas são:
 EN ISO 12100-1 e -2:2010 (substitui a EN292-1 e EN292-2): Conceitos básicos,

princípios gerais para o projeto.
 EN 61508: Segurança funcional dos dispositivos elétricos, sistemas com
eletrónica programável.
 EN ISO 14121:2007: Princípios da avaliação de risco.
NORMAS DO TIPO B
São normas em grupo que focam aspetos particulares respeitantes à segurança,

estando dividida em duas categorias.
Categoria B1
Normas sobre alguns aspetos de segurança, como exemplo, distâncias de

segurança, níveis de temperaturas e ruido, princípios ergonómicos das máquinas,
etc
 EN 62061: 2005: Funções de segurança relacionadas com a funcionalidade

elétrica e sistemas de controlo eletrónico
 EN ISO 13849-1:2006 e -2:2003: Segurança de sistemas de controlo.
Categoria B2
Normas que descrevem as características dos dispositivos de segurança como

comandos bimanual, portas de segurança de bloqueio de dispositivos, etc. Estas
normas são as seguintes:
 EN 574:2008: Dispositivos de controlo de duas mãos.

 EN 13580:2006 (substitui a EN 418:1992): Paragem de emergência.
 EN 1088:2008 e ISO 14119: Dispositivos bloqueio com barreiras.
 EN 60204-1:2006: Equipamento elétrico das máquinas.
 EN 60947-5-1:2009: Dispositivos de controlo eletrodomésticos.
NORMAS DO TIPO C
São normas que especificam requisitos de segurança detalhados para determinadas

máquinas ou grupo de máquinas tais como prensas hidráulicas, máquinas de
injeção, etc.
 EN 201:2007: Máquinas para borracha e material plástico, máquinas de Injeção.

 EN 415-1:2009: Segurança de máquinas de embalagem.
 EN 692:2009: Prensas mecânicas.
 EN 693:2009: Prensas hidráulicas.
 EN 848-1:2010: Segurança de máquinas de trabalho com madeira.
I-2.4 – Analise de risco
Quando se constrói uma máquina é necessário identificar todos os riscos possíveis a que os utilizadores estão
expostos de modo a torna-la segura na sua utilização.
A identificação e classificação dos riscos permitem avaliar os perigos existentes e quais os tipos de ferimentos
possíveis. As normas EN ISO 12100 e EN 14201 definem a metodologia de analise, avaliação e procedimentos para
a redução desses riscos. Estas normas definem um modelo de analise cíclico que perante a fixação de metas iniciais
permite a analise dos riscos existentes e possíveis soluções para os mesmos. Esta avaliação é efetuada varias vezes
até que as metas definidas estejam satisfeitas. Noutras palavras, quando da analise, se um risco pode ser reduzido
este obrigatoriamente tem de o ser.
O modelo introduzido por estas duas normas, como anteriormente foi dito, pretende reduzir ou eliminar os riscos
existentes através de um processo de analise cíclico e que tem os seguintes passos:
 1º Passo: Eliminação dos riscos na origem através da utilização de princípios de projeto e conceção
intrinsecamente seguros.
 2º Passo: Redução de riscos através da salvaguarda e de sistemas de controlo.
 3º Passo: Prevenção de riscos residuais informando os utilizadores e operadores das máquinas.
I-2.5 – Segurança Funcional

Na ultima década, deste seculo, têm sido publicadas diversas normas sobre segurança funcional. Algumas dessas
normas são a IEC 61508, IEC 62061, IEC 61511, ISO 13849-1 e IEC 61800-5-2. O conceito de segurança funcional vem
substituir as antigas categorias de comportamento, em caso de falha, que eram definidas na EN 954-1.
A “velha” NORMA EN 954-1
A antiga norma EN 954-1 de 1996 definia, através de uma tabela de risco, a segurança relacionada com os circuitos
de controlo elétrico. Nesta antiga norma o utilizador avaliava a frequência dos riscos, a gravidade das lesões
inerentes e as possibilidades de fuga no caso de uma ocorrência.
Essa norma identificava as seguintes categorias, em caso de falha:
* CATEGORIA B: nesta categoria os circuitos de controlo são básicos e podem levar a uma perda da função de
segurança devido a uma falha.
* CATEGORIA 1: nesta categoria os circuitos de controlo também podem levar a uma perda da função de
segurança, mas com menos probabilidade do que ocorre na Categoria B.
* CATEGORIA 2: nesta categoria são efetuados testes periódicos, com intervalos adequados, aos circuitos de
controlo. Mesmo assim pode ocorrer falhas nas funções de segurança entre esses testes.
* CATEGORIA 3: nesta categoria os circuitos de controlo asseguram as funções de segurança na presença de uma
única falha. Perante diversas falhas podem ser perdidas as funções de segurança.
* CATEGORIA 4: nesta categoria os circuitos de controlo asseguram as funções de segurança e estão disponíveis
no caso de ocorrerem uma ou mais falhas.
Atualmente a norma EN 954-1 foi substituída pelas normas IEC 62061 e EN ISO 13849-1.
NORMA IEC 62061
A norma internacional IEC 62016

considera cada função de segurança
em detalhe tendo que ser
elaborados requisitos de segurança
específicos. Nestes requisitos
incluem-se os seguintes pontos:
 Especificação funcional : O que

cada função faz em pormenor.
 Especificação de integridade de
segurança : Define a probabilidade
de que o exigido à função será
realizado sob condições especificas.
A especificação de integridade de
segurança, considera falhas de
hardware e falhas de sistema. As falhas de sistema são aquelas que estão relacionadas com causas especificas e
apenas podem ser evitadas pela remoção das respetivas causas, geralmente através de uma modificação do
desenho. Em geral estas falhas resultam de especificações incorretas no inicio do projeto.
Na norma IEC 62061 é estabelecido um requisito de integridade de segurança através de um valor que indica a
probabilidade de falhas perigosas por hora para cada função de segurança relacionada. O valor para o Nivel de
Integridade de Segurança SIL é calculado através do nível de segurança de cada componente ou de cada subsistema.
A determinação do SIL (“Safety Integrity Level”) é exemplificada na tabela seguinte :
NORMA EN ISO 13849-1
A norma europeia EN ISO 13849-1 elaborada pelo CEN – Comité Europeu de Normalização sobre égide da ISO define
um nível de desempenho de segurança denominado de PL (“Perfomance Level”) traduzido pela atribuição das letras
A, B, C, D ou E. Tal como a norma EN62061 também estabelece este valor a partir da probabilidade de falhas tendo
em conta 3 variáveis. Essas variáveis são as seguintes:
 MTTF (“Mean Time to Failure”) : Tempo estimado até ocorrer uma falha perigosa e que é estabelecido através
do seguinte quadro :
 DC (“Diagnostic Coverage”) : É uma medida que indica quantas falhas perigosas o sistema de diagnóstico irá
detetar. É estabelecido através do seguinte quadro:
 CATEGORIA : São as mesmas que estão estabelecidas no anexo 2 da norma EN 945-1 (ver pag.8).
Com as três variáveis anteriores (MTTF, DC e CATEGORIA) é encontrado o nível PL. Na tabela seguinte é apresentado
um método simplificado de determinação desse nível PL conforme a Tabela 7 da norma ISO 13849-1.
Podemos também determinar o PL exigido através de um gráfico de risco como mostra a figura seguinte:
As normas EN 62061 e EN 13849 sobrepõem-se na sua aplicação.
Elas são semelhantes em diversos aspetos, havendo uma relação precisa

entre ambas. A escolha da norma a utilizar depende do fabricante e de acordo
com a tecnologia adotada.
No entanto a norma EN 13849 é mais fácil de se aplicar tanto pela sua

abordagem como pela reutilização de conceitos já conhecidos, na norma
anterior EN 954-1.
BRESIMAR AUTOMAÇÃO Capítulo II
II – Terminais e dispositivos de segurança

Apresentação dos componentes de segurança para o TwinSAFE
O módulo TwinSAFE do TwinCAT 3 é o software de programação
para os PLCs ou controladores de segurança BECKHOFF.
O modulo de software TwinSAFE só por si não permite construir um

sistema seguro. É necessário ter hardware que agrupe a lógica
residente no software TwinSAFE com os órgãos funcionais
perigosos da máquina industrial, através de equipamentos seguros.
O hardware necessário é constituído por dois grupos funcionais:
- 1º grupo é constituído por terminais de segurança que são incorporados no hardware do PLC ou controlador
lógico de segurança BECKHOFF (cartas de entradas e saídas digitais seguras).
- 2º grupo é constituído por dispositivos de segurança (bimanual, botão de emergência, barreiras luminosas,
portas de acesso seguro, etc) , externos ao PLC ou controlador de segurança, que são instalados fisicamente
na máquina industrial que pretendemos certificar segundo as normas de segurança.
 II-1 – Terminais de segurança BECKHOFF

Os terminais de segurança que a BECKHOFF disponibiliza dividem-se em dois grupos. O grupo dos controladores
lógicos de segurança e o grupo das cartas de entradas e saídas seguras.
O programa de segurança, na Beckhoff, é desenvolvido no editor do TwinCAT3 pasta SAFETY e correrá nos módulos
lógicos EL6900, EL6910, EL6930 ou no PLC EK1960. Este programa é separado do programa do automatismo clássico,
residente no softPLC TwinCAT PLC.
Os dispositivos de monitorização (entradas de segurança) dos equipamentos de segurança estão ligados

eletricamente às cartas KL1904, EL1904 ou EP1908.
Os dispositivos de acionamento de segurança (saídas de segurança), que irão cortar as energias ou movimentos
perigosos através de relés ou contatores, estão ligados às cartas EL2902 ou EL2904.
Ambos são certificados como dispositivos de segurança. A comunicação entre a placa controladora de segurança
(ex. EL6900) e as entradas/saídas seguras (ex. EL1904/EL2904) é feita através da rede EtherCAT. Isso é possível
porque a comunicação usa um protocolo, certificado para segurança, designado por FSoE (Fail-safe over
EtherCAT). Devido à enorme flexibilidade do sistema podemos ter, na mesma rede, mais do que um controlador de
segurança.
II-1.1 – Especificações dos terminais de entradas seguras (KL/EL/EJ 19xx)
Os terminais (também designadas na gíria técnica

cartas) com entradas digitais para segurança
máquina, disponíveis na BECKHOFF, são os seguintes:
Barramento KL (K bus)
- KL1904 (4 entradas digitais seguras)
Barramento EL (EtherCAT)
- EL1904 (4 entradas digitais seguras)
- EP1908-002 (8 entradas digitais seguras)
Barramento EJ (EtherCAT)
Nota : Ainda não disponíveis no mercado
- EJ1914 (4 entradas digitais seguras)
Como exemplo, a carta EL1904 (na figura em baixo) possui 4 canais de entradas seguras. A estes 4 canais ligamos
eletricamente equipamentos de segurança. Esses equipamentos de segurança podem ser botões de paragem de
emergência, comando de máquina bimanual, portas de controlo de acesso a zonas perigosas, scanners laser para
zonas perigosas, barreiras luminosas, tapetes de segurança de zona, etc
II-1.1.1 – Diagrama de bloco do EL1904
II-1.1.2 – Teste de impulsos nas entradas seguras

Em cada canal da carta EL1904 podemos efetuar o teste ao circuito elétrico do
equipamento de segurança a que está ligado. Este teste é feito através do gerar
de um trem de impulsos. Estes impulsos permitem detetar falhas nos contatos
do circuito elétrico através de curto-circuitos forçados externamente ou circuitos
cruzados vindos de outras cartas.
O comprimento temporal do impulso é de cerca 350 µs e repete-se 250 vezes por

segundo. A comutação da saída, para este impulso, faz-se de 24 a 0Vdc. Estes
impulsos “saem” pelos terminais Input 1+ … 4+ e deverão “entrar” nas entradas
do respetivo par Input 1- … 4-. Estes trens de impulsos são independentes e
assíncronos (desfasados no tempo). O tempo do ciclo deste teste nos 4 canais é
de cerca 4 ms. Na figura, em baixo nesta pagina, está representado um diagrama
temporal para o trem de impulsos gerado em cada um dos canais.
Para termos esta função de teste de impulsos em cada um dos canais da carta
EL1904 teremos, no TwinSAFE (EtherCAT), de configurar o parâmetro “Sensor
test active” ativando-o a TRUE.
II-1.1.3 – Tabela dos parâmetros do EL1904 (“Safety Parameters”)

Nome Parâmetro Significado Valor
“FS Operating Mode” Endereço FS0E atribuído pelo DIP switch 1 a 65535
“Operating Mode” Modo de Operação das entradas digitais “digital”
[8000:01] de segurança “standstill monitoring 1” ou “2”
“Sensor test Channel 1 Gerar trem de impulsos a sair pelo Input TRUE / FALSE
active” [8001:01] 1+ e a entrar em Input 1-
“Logic Channel 1 and 2” Ativar a combinação lógica entre o canal + “single logic channel 1/2”
[8002:01] 1e2 + ”asynchronous analyses OSSD, …”
(o teste do sensor deve estar OFF)
+ ”any pulse repitition OSSD,…”
+ ”short cut channel 1/2, …”
(não dever ser considerada falha)
“Logic Channel 3 and 4” Ativar a combinação lógica entre o canal + “single logic channel 3/4”
[8002:03] 3e4 + ”asynchronous analyses OSSD, …”
+ ”any pulse repetition OSSD,…”
+ ”short cut channel 3/4, …”
(não dever ser considerada falha)
“Store code” Necessário para o “Restore Mode” 0x0000
“Project CRC” Necessário para o “Restore Mode” 0x0000
II-1.1.4 – Exemplos de configuração dos parâmetros do EL1904

Para cada tipo de equipamento de segurança (bimanual, botão de emergência, barreiras luminosas, etc) temos de
configurar os parâmetros, mostrados na tabela anterior, de maneira diferente. De seguida demonstramos, com
diversos exemplos, essas configurações.
Exemplo 1: Configuração da EL1904 com Barreiras Luminosas (ligth barriers)

Só sensores (barreiras luminosas ou scanners laser de segurança máquina) com autoteste das suas saídas, com um
impulso máximo de 350 µs, é que se podem ligar à carta EL1904 (veja a figura seguinte).
Parâmetros para as barreiras luminosas ou scanners laser de segurança (“Safety Parametrs”):

A figura seguinte mostra as configurações dos parâmetros para uma barreira luminosa de segurança ligada
eletricamente ao Input 1 e 2 da carta EL1904. Neste exemplo o parâmetro 8002:01 também podia ser configurado
com ”any pulse repetition OSSD, sensor test deactivated”. Os parâmetros 8001:01 e :02 do Input 1 e 2 têm de ter
o teste “Sensor test Channel ? active” desativado (FALSE).
Exemplo 2: Configuração da EL1904 com tapetes de segurança (switching mats)

Esta carta suporta também tapetes de segurança para zonas de trabalho perigosas.
Parâmetros para os tapetes de segurança (“Safety Parametrs”):

A figura seguinte mostra as configurações dos parâmetros para um tapete para zona de segurança ligada
eletricamente ao Input 1 e 2 da carta EL1904. Neste exemplo, o parâmetro 8002:01 também podia ser configurado
com ”any pulse repetition OSSD, sensor test deactivated”.
II-1.1.5 – Diagnóstico de erros e estado

Todas as cartas possuem no seu frontal um conjunto de 8 LED´s de cor verde ou vermelha. Estes LED´s transmitem
aos operadores de manutenção ou de projeto o estado ou erros de funcionamento da carta.
Os LED´s Diag 1, 2, 3, e 4 servem para diagnosticar erros funcionais da carta EL1904.
1º LED: “Diag 1” (cor verde) - Indica o estado da interface do TwinSAFE
Codificação do erro (piscar do LED) Significado

LED aceso continuamente Em funcionamento normal :
Sem erros e comunicação do TwinSAFE OK
Piscar rápido, alternando com 1 impulso flash
Erro nos parâmetros S (parâmetro TwinSAFE)
Erro nos parâmetros I (parâmetro Individual)
À espera dos parâmetros S e I.
Parâmetros S, I corretos (espera ordem de controlo)
Erro de watchdog.
Erro de CRC
Erro dado pelo nº de sequencia
Erro de comunicação no protocolo TwinSAFE
2º LED: “Diag 2” (cor vermelha) – Acende a cor vermelha quando deteta a injeção, numa entrada Input, de uma
fonte de alimentação de 24Vdc externa à carta ou existe circuito cruzado. O erro apaga-se quando se elimina a causa.
3º e 4º LED: “Diag 3” e “Diag 4” (cor vermelha) – Se o 3º LED (“Diag 3”) está aceso indica um erro interno que
pode ser lido no 4º LED (“Diag 4”). O tipo de erro deve ser encontrado através do pulsar do LED “Diag 4” (ver tabela
seguinte). A técnica de leitura é feita através de 4 sequências de impulsos luminosos do LED. Cada sequencia é
separada por um espaço temporal curto. Após as 4 sequências há uma paragem longa. A tabela seguinte indica o tipo
de erros conforme o numero de impulsos dentro das 4 sequências.
LED “Diag 3” LED “Diag 4” (deve piscar seguindo 4 sequências de flashing)

Sequencia Significado Solução
ON 6-1-1-1 Temperatura máxima interna excedida Verifique a refrigeração do quadro de
comando onde se encontra a carta EL.
7-1-1-1 Temperatura interna inferior à mínima
permitida
2-1-2-1 Tensão alimentação máxima do µC1 Verifique a fonte de alimentação.
excedida
3-1-2-1 Tensão alimentação máxima do µC2
excedida
4-1-2-1 Tensão alimentação do µC1 abaixo do
limite mínimo
5-1-2-1 Tensão alimentação do µC2 abaixo do
limite mínimo
8-1-1-1 Excedido a temperatura diferencial Verifique a instalação e a temperatura
entre os pontos de medição ambiente.
Se surgirem outras sequências significa que existem erros internos no terminal. Esses erros devem forçar a paragem
do funcionamento da carta EL1904.
II-1.1.6 – Objetos de diagnóstico (CoE objects)
Os objetos de diagnóstico servem para internamente verificarmos as possíveis causas de maus funcionamentos da
carta de segurança.
Nunca deveremos alterar esses objetos CoE no editor TwinCAT. Qualquer alteração desses objetos leva
definitivamente a carta de segurança para modo falha (Fail-Stop state).
Índice FA80hex: Valores internos de temperatura

O objeto CoE FA80hex indica o valor de temperatura interna atualmente na carta EL1904.
Índece Nome Significado Flags Default

FA80:01 “Temperature 1” Medição temperatura 1 RO 0bin
FA80:02 “Temperature 2” Medição temperatura 2 RO 0bin
Default = Valores vindos de fábrica
Índice 800Ehex: Informação de diagnóstico

O objeto CoE 800Ehex mostra mais informação de diagnóstico da carta EL1904.
Índece Nome Significado Flags Default

800E:0 Diagnóstico Os subíndices contem o diagnóstico RO
Detetado uma Fonte de Alimentação
Bit
externa ou circuito cruzado.
0 1bin Erro no Input 1 0bin
800E:0A Erro nos testes dos sensores RO
Erro que ocorre no teste a dois canais (ex.
Bit
canais não coordenados).
800E:0B Erro no par de canais RO
0 1bin Erro na 1ª entrada do par 0bin
1 1bin Erro na 2ª entrada do par 0bin
Erro em tapete de segurança Bit Erro no par de entradas
800E:0C Modo de operação: 1,0 1bin Erro no 1º par de canais RO 0bin
“input pair disagree” 3,2 1bin Erro no 2º par de canais 0bin
Erro nos testes de impulsos com a
utilização de tapetes de segurança (ex.
Bit RO
detetada uma fonte de alimentação
Erro em tapete de segurança externa).
800E:0D Modo de operação:
“external supply”
II-1.2 – Especificações dos terminais de saídas seguras (KL/EL/EJ 29xx)
Os terminais de saídas digitais para segurança máquina, disponíveis na BECKHOFF, são os seguintes:
- KL2904 (4 saídas digitais seguras)
- EL2901 (contatos potencia 1 canal)
- EL2902 (2 saídas digitais seguras)
- EL2904 (4 saídas digitais seguras)
Nota : Ainda não disponíveis no mercado
- EJ2914 (4 saídas digitais seguras)
- EJ2918 (8 saídas digitais seguras)
- EJ2957 (4 ent. / 4 saídas digitais seguras)
Como exemplo, a carta EL2904 (da figura) possui 4 canais de saídas seguras. A estes 4 canais ligamos eletricamente
os equipamentos de corte (alimentados a 24Vdc) das energias perigosas (elétrica, cinética ou potencial). Esses
equipamentos de corte são relés ou contatores de potência, trincos eletromecânicos, servo-drives, etc.
II-1.2.1 – Diagrama de bloco do EL2904
II-1.1.2 – Teste de Impulsos nas saídas seguras
Em cada canal da carta EL2904 podemos efetuar o teste ao circuito elétrico do

equipamento de corte, a que está ligada. Este teste é feito através do gerar de
um trem de impulsos. Estes impulsos permitem detetar falhas nas ligações
elétricas feitas aos relés, contatores ou trincos eletromagnéticos.
O comprimento temporal do impulso está entre 350 µs a 800 µs e repete-se 5

a 7 vezes por segundo. A comutação da saída, para este impulso, faz-se de 24
a 0V e volta a 24Vdc. Estes impulsos “saem” em cada Output 1+ … 4+ e deverão
“surgir” nas entradas do respetivo par Output 1- … 4-. Estes trens de impulsos
são independentes e assíncronos (desfasados no tempo). Na figura
apresentada, em baixo nesta pagina, está representado um diagrama
temporal para o trem de impulsos gerado em cada um dos canais.
Para termos esta função de teste de impulsos, em cada um dos canais da carta EL2904, teremos no TwinSAFE
(EtherCAT) de configurar o parâmetro “current measurement” e o “testing of outputs active” a TRUE. Não existe
razão funcional termos o parâmetro “current measurement” a TRUE e o “testing of outputs active” a FALSE.
II-1.2.3 – Tabela dos parâmetros do EL2904 (“Safety Parameters”)
Nome Parâmetro Significado Valor

“Standard outputs active” Podemos colocar uma saída da carta EL2904 a ser comutada TRUE/FALSE
[8000:01] por uma condição residente no PLC standard. A saída é
linkada com um sinal lógico “AND”.
“Current measurement active” A medição de corrente de consumo do rele ou contator está TRUE/FALSE
[8000:02] ativa (faz a medição).
“Testing of outputs active” O teste de impulsos do respetivo canal é ativado. TRUE/FALSE
[8000:03]
“Error acknowledge active” Com o valor TRUE: TRUE/FALSE
[8000:04] Erros na carta EL levam a um RESET nas ligações do TwinSAFE
(erro 14 [0x0E]). Este código de erro é mostrado nos dados de
diagnóstico e mantem-se até reconhecermos o erro, através
da flag “ErrAck”, no grupo do TwinSAFE.
Com o valor FALSE (valor de fábrica):
Erros na carta EL só se pode fazer o RESET através do corte
de energia à carta e reinicia-la de novo.
“Store code” Necessário para o “Restore Mode” 0x0000
“Project CRC” Necessário para o “Restore Mode” 0x0000
NOTA :
Se tivermos os parâmetros “current measurement active” ou o “testing of outputs active” ativo (TRUE) cada um
dos canais Output 1 a 4 geram impulsos de teste. Se há indicação de erro na carta EL, por incompatibilidade funcional
dos equipamentos de corte (relés ou contatores) que utilizamos na aplicação, devemos por os dois parâmetros
anteriores a FALSE. Não existe e não faz qualquer sentido termos os parâmetros “testing of outputs active” a FALSE
com a propriedade “current measurement active” a TRUE.
Ao desligarmos estes dois parâmetros reduzimos a classificação do nível de segurança da máquina industrial em
que está instalado o sistema Beckhoff TwinSAFE.
Janela dos parâmetros da carta EL2904.
II-1.2.4 – Diagnóstico de estado e erros

Todas as cartas possuem no seu frontal um conjunto de 8 LED´s de cor verde ou vermelha. Estes LED´s transmitem
aos operadores de manutenção ou de projeto o estado ou erros de funcionamento da carta.
Os LED´s Diag 1, 2, 3, e 4 servem para diagnosticar erros funcionais da carta EL2904.

LED aceso continuamente Em funcionamento sem erros.
2º LED: “Diag 2” (cor vermelha) - Indica o estado das saídas digitais de segurança da carta EL

Piscar rápido, alternando com 1 impulso flash Erro na saída 1 (Output 1)
Piscar rápido, alternando com 5 impulso flash Nível de tensão baixo
Piscar rápido, alternando com 6 impulso flash Nível de tensão alto
Piscar rápido, alternando com 7 impulso flash Temperatura interna no terminal muito baixa
Piscar rápido, alternando com 8 impulso flash Temperatura interna no terminal muito alta
Piscar rápido, alternando com 9 impulso flash Erro no diferencial de temperatura
Piscar rápido, alternando com 10 impulso flash Erro no circuito de saída
Estes erros só podem ser “apagados” após a eliminação do erro, com o corte da energia elétrica à carta.
3º e 4º LED: “Diag 3” e “Diag 4” (cor vermelha) – Se o 3º LED (“Diag 3”) se encontra aceso indica um erro interno.
Este erro força o desligar deste terminal. O tipo de erro deve ser encontrado através do pulsar do LED “Diag 4” (ver
tabela seguinte). A técnica de leitura é feita através de 4 sequências de impulsos luminosos do LED. Cada sequencia
é separada por um espaço temporal curto. Após as 4 sequências há uma paragem longa. A tabela seguinte indica o
tipo de erros conforme o numero de impulsos dentro das 4 sequências. Esta contagem deve ser enviada para a
Beckhoff quando da reparação do terminal E2904.

carta de segurança. Nunca deveremos alterar esses objetos CoE no editor TwinCAT. Qualquer alteração desses
objetos leva definitivamente a carta de segurança para modo falha (Fail-Stop state).

Índice Nome Significado Flags Default

FA80:01 “Temperature 1” Medição temperatura 1 (lado esquerdo) RO 0bin
FA80:02 “Temperature 2” Medição temperatura 2 (lado esquerdo) RO 0bin
FA80:02 “Temperature Outputs” Medição temperatura saídas (lado direito) RO 0bin
Índice 800Ehex: Informação de diagnóstico

O objeto CoE 800Ehex mostra mais informação de diagnóstico da carta EL2904.

800E:0 Diagnóstico Os subindices contem o diagnóstico RO
Detetado uma Fonte de Alimentação externa
Bit
ou circuitos cruzados *
0 1bin Erro no Output 1 0bin
800E:0C Erro nas saídas RO
Circuito aberto ou corrente inferior a 20mA ou
Bit
corrente superior a 500mA**
Bit Tensão (power contacts) fora dos limites RO
Erro na fonte de
800E:0D 0 1bin Tensão muito alta 0bin
alimentação
1 1bin Tensão muito baixa 0bin
Bit Temperatura fora das especificações RO

0 1bin Temperatura alta no µC1 0bin
1 1bin Temperatura alta no µC2 0bin
Erro de temperatura nos 2 1bin Temperatura alta na carta de saída 0bin
800E:0E microcontroladores da 3 1bin Temperatura baixa no µC1 0bin
carta EL 4 1bin Temperatura baixa no µC2 0bin
5 1bin Temperatura baixa carta saída 0bin
6 1bin Diferencial Temperatura alta (µC´s) 0bin
7 1bin Diferencial Temperatura alta na EL 0bin
*) Esta mensagem de diagnóstico só é indicada se o teste “Current Measurement” estiver ativo (FALSE)
**) Esta mensagem de diagnóstico só é indicada se o teste “Current Measurement” estiver ativo (TRUE)
II-1.2.6 – Possíveis causas das mensagens de diagnóstico

Diagnóstico Possíveis causas Acão corretiva
Se o parâmetro “Testing of outputs active” e / ou “Current measurement active” estão
ativos:
Falha no teste de impulsos.
Causa: ligações cruzadas ou a utilização de fontes de Elimine estas duas causas.
alimentação externa à carta.
Falha no teste de impulsos.
Utilização de cabos isolados e
Causa: A utilização de caminhos comuns de cabos
separados, através da utilização de
pode induzir sinais de ruido acoplados pelas
caminho de cabos diferentes.
capacidades parasitas entre cabos.
Escolha um relé ou contator que
Falha na medição de corrente de carga.
tenha um consumo de corrente
Causa: O consumo de corrente pela carga (relé) é
entre 20 a 500 mA.
O LED “Diag 2” inferior a 20mA ou superior a 500mA.
pisca 1,2,3,4 ou
Independentemente de os parâmetro “Testing of outputs active” e / ou “Current
10 impulsos flash
measurement active” estarem ativos:
Os níveis da tensão de alimentação ultrapassam os
limites permitidos (24Vdc -15% / + 20%). Elimine o curto-circuito. Verifique a
Causa: A possível causa é a existência de um curto- potencia máxima da Fonte de
circuito na saída do terminal ou a existência uma Alimentação elétrica, se é a
queda brusca de tensão quando da comutação da adequada.
carga (relé ou contator).
Tome medidas em relação ao ruido
Falha EMC (compatibilidade eletromagnética) RF (Radio Frequência).
Substitua a carta EL
Defeito interno na carta EL
Ligue a fonte de alimentação que
alimenta os contatos de potência.
Não há tensão elétrica nos contatos de potência
Faça o Reset do erro (“PowerOn
(facas existentes no lado esquerdo do terminal EL).
Reset”)
Ligue a fonte de alimentação que

alimenta os contatos de potência
A tensão nos contatos de potência liga depois de ligar antes ou ao mesmo tempo que o
O LED “Diag 2” a alimentação do terminal EL. terminal EL. Faça o Reset do erro
pisca 5 impulsos (“PowerOn Reset”)
flash
Coloque o nível de Tensão elétrica
Tensão baixa nos contatos de potência (facas para os valores corretos e faça o
existentes no lado esquerdo do terminal EL). Reset do erro (“PowerOn Reset”).

Falha EMC (compatibilidade eletromagnética)
RF (Radio Frequência).
Reduza o nível de Tensão elétrica

Nível de tensão elétrica muito alta nos contatos de para os valores corretos e faça o
potência. Reset do erro (“PowerOn Reset”).
Elimine ou reduza esses picos de

Existência de picos de tensão elétrica nos contatos de tensão colocando um filtro RC ou
O LED “Diag 2”
potência, provocados pelo acionamento de cargas um díodo de “roda livre” em
pisca 6 impulsos
indutivas ( contatores de potência). paralelo com a bobine do contator.
flash
Erro interno na carta EL
Cumpra as gamas de temperatura
Temperatura no terminal muito baixa especificadas na documentação.
O LED “Diag 2”
pisca 7 impulsos
flash
Cumpra as gamas de temperatura
Temperatura no terminal muito alta especificadas na documentação.
O LED “Diag 2”
pisca 8 impulsos
flash
Um dos pontos de medição deve
estar em falha. Substitua o terminal.
Um ponto de medição interno

mostra uma leitura elevada.
Os diferenciais de temperatura muito altos entre os
Aumente a refrigeração do quadro
3 pontos de medição internos.
de comando e/ou verifique a
O LED “Diag 2” colocação do terminal cumprindo
pisca 9 impulsos as regras de boas praticas de
flash instalação mecânica, evitando a sua
instalação junto a fontes de calor.

II-1.3 – Especificações dos terminais com controlador lógico TwinSAFE (KL/EL/EJ 69xx)
Os terminais, que correm o programa lógico de

segurança TwinSAFE, disponível são os seguintes:
- KL6904
- EL6900
- EL6910 (ainda não disponível)
- EL6910 (TwinSAFE e PROFIsafe)
Nota: Ainda não disponíveis no mercado
- EJ6910
PLC de Segurança EK (EtherCAT)

Nota: Ainda não disponíveis no mercado
- EK1960
Este terminal EL6900 permite interligar as entradas EL19xx com as saídas EL29xx seguras seguindo a lógica de
segurança residente no controlador da carta EL6900. Esta carta cumpre as normas IEC 61508:2010 SIL 3, DIN EN ISO
13849-1:2006 (Cat4, PLe), NRTL, UL508, UL1998 e UL991.
Este controlador lógico de segurança, tal como os terminais de entrada e saídas seguras EL, deverão estar
incorporadas em rede EtherCAT com módulos de cabeceira (Bus Couplers) EKxxxx ou PC embebidos CXxxxx.
II-1.3.1 – Programação do código lógico de segurança
O programa lógico de segurança irá estar residente no controlador EL6900, EL6910 ou EL6930. O programa de
segurança Homem-Máquina não poderá estar residente em um PLC convencional, como o softPLC TwinCAT. Os
procedimentos necessários para construir um programa de segurança TwinSAFE serão explicados detalhadamente
no Capitulo III, deste manual.
II-1.3.2 – Diagnóstico de estado e erros
O terminal lógico de segurança EL6900 possui no seu frontal um conjunto de 8 LED´s de cor verde ou vermelha. Estes
LED´s transmitem aos operadores de manutenção ou de projeto o estado ou erros de funcionamento da carta.
Os LED´s Diag 1, 2, 3, e 4 servem para diagnosticar erros funcionais da carta EL6900. Os LED´s State 1, 2, 3 e 4 indicam
o estado em que se encontra o terminal EL6900.
- LED´s de INDICAÇÃO DE ERRO
Através dos LED´s “Diag 1”, “Diag 2”, “Diag 3” e “Diag 4” conseguimos saber se existe um erro no controlador lógico
TwinSAFE EL6900 e qual a sua causa.
Codificação do erro (piscar do 1º LED) Significado

LED aceso continuamente (ON) Programa de segurança guardado no controlador.
2º LED: “Diag 2” (cor vermelha) - Indica o estado interno do controlador de segurança EL6900 (em preparação).
3º e 4º LED: “Diag 3” e “Diag 4” (cor vermelha) – Se o 3º LED (“Diag 3”) se encontra aceso (ON) indica um erro
interno. Este erro força o desligar deste terminal. O tipo de erro deve ser encontrado através do pulsar do LED “Diag
4” ou se estiver desligado (OFF). Ver a tabela seguinte:
4º LED-Codificação erro (com 3º LED=ON) Significado

A piscar Erro no µC1
Desligado (OFF) Erro no µC2
3º e 4º LED: “Diag 3” e “Diag 4” (cor vermelha) – Se o 3º LED (“Diag 3”) se encontra desligado (OFF) indica o estado
do terminal. Ver a tabela seguinte:
4º LED-Codificação estado (com 3º LED=OFF) Significado

Piscar 1 flash (piscar uniforme) Erro da Função Bloco de grupo do TwinSAFE
Piscar 2 flash (pausa longa entre Impulsos flash) Erro de comunicação de grupo do TwinSAFE
Piscar 3 flash (pausa longa entre impulsos flash) Erro de Função Bloco e comunicação de grupo TwinSAFE
Níveis de tensão de alimentação ou temperatura interna
Aceso do terminal fora da gama permitida. O diagnóstico
detalhado pode ser visto no objeto FA00hex.
- LED´s de INDICAÇÃO DE ESTADO
Através dos LED´s “State 1”, “State 2”, “State 3” e “State 4” conseguimos saber o estado funcional do controlador
lógico TwinSAFE, terminal EL6900.
“State 1” “State 2” “State 3” “State 4” Significado

OFF OFF OFF ON Não existe projeto (programa) de segurança TwinSAFE
residente na sua memoria.
OFF OFF ON ON Projeto presente na memoria do terminal
Status da rede EtherCAT em Pre-OP (Pre-Operational)
ON ON ON ON Projeto presente na memoria do terminal
Status da rede EtherCAT em OP (Operational)
carta de segurança.
Nunca deveremos alterar esses objetos CoE no editor TwinCAT. Qualquer alteração desses objetos leva
definitivamente a carta de segurança para modo falha (Fail-Stop state).


FA80:01 “Temperature Primary MC” Medição da temperatura 1 RO 0
FA80:02 “Temperature Secondary MC” Medição da temperatura 2 RO 0
Índice FA00hex: Informação de diagnóstico

O objeto CoE FA00hex mostra mais informação de diagnóstico da carta EL6900.

FA00:0 Diagnóstico Os subindices contem o diagnóstico detalhado RO
Word Erros
0005hex Temperatura máxima excedida
Erro de temperatura
0006hex Temperatura abaixo do limite mínimo
0007hex Diferencial de temperatura excedida
FA00:03 RO 0000hex
0101hex Tensão máxima no µC 1 excedida
0102hex Tensão máxima no µC 2 excedida
Erro na alimentação
0103hex Tensão mínima no µC 1 abaixo do limite
0104hex Tensão mínima no µC 2 abaixo do limite
 II-2 – Dispositivos de segurança

Existem no mercado uma vasta gama de dispositivos de comando de segurança máquina. Estes dispositivos são
fornecidos por diversas marcas (Siemens, Schmersal, Banner, Sick, Schneider, etc). A BECKHOFF no seu portfolio de
produtos não possui dispositivos de segurança para venda, somente terminais e PLC´s de segurança.
Da gama variada de dispositivos de segurança destacamos os seguintes:
 Comandos de paragem de emergência (“ESTOP – Emergency Stop”)

 Comandos de bimanual ( “Two-hand control”)
 Barreiras óticas de segurança (“Safety ligth curtain”)
 Scanners laser de segurança (“Safety laser scanner”)
 Tapetes e batentes de segurança máquina (“Safety switch mat / Safety bumper”)
 Trincos de porta segurança (“Guard locking switching / tumbler”)
 Portas de proteção de máquinas (“Protective door machine”)
Cada um destes dispositivos de segurança tem funcionalidades especificas no cumprimento das normas de
segurança-máquina. De seguida iremos abordar, de uma maneira ligeira, as características técnicas de cada um
destes dispositivos.
II-2.1 – Comandos de paragem de emergência (“STOP – Emergency Stop”)

Toda a máquina industrial deverá ter um dispositivo de paragem de emergência (ESTOP). São dispositivos com
acionadores, geralmente na forma de botões tipo cogumelo de cor vermelha, colocados em local visível na máquina
ou próximo dela e sempre ao alcance do operador. Quando acionados, tem a finalidade de parar todo e qualquer
movimento perigoso de órgãos pertencente à máquina.
Devem ser monitorizados por um relé ou PLC de segurança. No caso de utilizarmos controladores de segurança
BECKHOFF, os seus contatos elétricos deverão estar ligados eletricamente a entradas seguras (ex. terminal EL1904)
e vigiados através do programa de segurança TwinSAFE residente em um controlador de segurança (ex. EL6900) ou
PLC de segurança (ex. EK 1960).
Quando são utilizados comandos de bimanual, ligados por fichas rápidas (removíveis), que contenham um botão de
paragem de emergência este não pode ser único. Deve haver um outro dispositivo de paragem de emergência, no painel
de controlo ou no corpo da máquina. É necessário ainda a adoção de medidas para evitar confusão entre os controlos
ativos e inativos.
Esquema elétrico do Comando de paragem de emergência de segurança

Nestes dispositivos de segurança de emergência (ESTOP) podemos ter duas configurações elétricas. Uma com 2 contatos
Normalmente Fechados (NF) ou um contato NF e outro Normalmente Aberto (NA). Em ambos os casos os contactos são
guiados mecanicamente. Nas ligações aos terminais da BECKHOFF usam-se os dois contatos NF. Com o comando de
paragem de emergência ligado eletricamente a entradas seguras dos terminais de segurança EL1904 e controlado
por um controlador lógico TwinSAFE conseguimos obter a categoria CAT 4/PL=e.
II-2.2 – Comandos de bimanual (“STOP – Two-hand control”)

Os comandos de bimanual são constituídos por 2 botões de pressão que pertencem ao mesmo dispositivo de
proteção. Estes 2 botões não podem estar separados e tem de pertencer a mesma caixa de comando. Em geral,
serve para assegurar a “ocupação” de ambas as mãos em simultâneo do operador da máquina. Assim, ambas as
mãos ficam fora da área perigosa. Este operador é o responsável de dar inicio aos movimentos, dos órgãos da
máquina, considerados perigosos. Deverá manter o comando bimanual ativo durante o tempo que o perigo esteja
presente na máquina.
Os comandos de bimanual são montados, na forma standard, com um comando de paragem de emergência (de
acordo com a norma EN ISSO 13850) e dois botões de pressão. Alem disso existem coberturas de proteção mecânica,
sobre os botões de pressão, as quais protegem contra a manipulação incorreta do bimanual com outras partes do
corpo humano, tais como cotovelos, barriga, ancas, coxas, joelhos, etc.
Esquema elétrico de Comando bimanual de segurança

Nestes dispositivos de segurança de bimanual temos 2 contatos. 1 contato é Normalmente Fechado (NF) e o outro um
contato Normalmente Aberto (NA). Ambos os contactos são guiados mecanicamente. Nas ligações aos terminais da
BECKHOFF usam-se os contatos NF e NA. Com o comando bimanual instalado com os terminais de segurança EL1904
e os controladores lógicos TwinSAFE conseguimos obter a categoria CAT 4/PL=e.
II-2.3 – Barreiras óticas de segurança (“Safety ligth curtain”)

Quase todas a máquinas industriais possuem órgãos com movimentos ou outro tipo de energia que poderá causar
dados ao operador. Para restringir o acesso a essas zonas, cujos órgãos estão em funcionamento, com energia
cinética, potencial, elétrica ou térmica são usadas barreiras luminosas ou cortinas óticas de segurança. Estas
barreiras tem a função de cortar ou desligar essa energia (cinética, potencia, elétrica ou térmica) dos órgãos
funcionais perigosos, quando violamos a zona perigosa.
Estas barreiras óticas de segurança permitem serem integradas, dentro do conceito de segurança máquina, em
espaços reduzidos. A sua grande aplicação é a proteção a pessoas, mãos ou mesmo dedos em máquinas industriais
como prensas eletromecânicas, hidráulicas, pneumáticas, entre outras aplicações industriais.
Esquema elétrico ou eletrónico das Barreiras óticas de segurança

A parte eletrónica das barreiras luminosas já possui uma categoria de segurança de nível mais alto. Isto obriga que
os sinais elétricos (com informação de segurança) que são transmitidos, ao terminador da BECKHOFF, sejam testados
no controlo eletrónico da barreira luminosa. Este auto-teste (teste de impulsos) das saídas seguras da barreira é
designado por OSSD (“Output Signal Switching Device”) . Com as barreiras óticas de segurança, ligadas eletricamente
aos terminais de segurança EL1904 e controladores lógicos TwinSAFE, conseguimos obter a categoria CAT 4/PL=e.
II-2.4 – Scanners laser de segurança (“Safety laser scanner”)

Um scanner laser permite que configuremos zonas ou áreas que pretendemos proteger contra a intrusão de pessoas.
A grande vantagem é poder facilmente e por software desenhar essas áreas mesmo tendo formatos complexos.
Efetivamente protegem operadores de máquina bem como sistemas moveis, para uma determinada área.
Os scanners laser de segurança são uma solução para proteção de obstáculos em veículos autónomos (AGV´s –
“Automated Guided Vechiles” ) como para zonas de trabalho de células robotizadas, entre outras aplicações.
Através do software podemos programar diversos campos com funções de segurança diferentes. Podemos ter uma
área considerada perigosa e logo teremos de a proteger contra a intrusão de pessoas provocando assim a paragem
do movimento perigoso da máquina. Também podemos ter outras zonas de trabalho que serão de aviso e que não
provocam, quando são violadas, a pagarem da mesma máquina.
Esquema elétrico ou eletrónico do Scanner laser de segurança

Com os scanners laser de segurança instalados com os terminais de segurança EL1904 e controladores lógicos
TwinSAFE conseguimos obter, no máximo, a categoria CAT 3/PL=e. Todavia, tal como as barreiras luminosas de
segurança, os sinais elétricos (com informação de segurança) que são transmitidos ao terminador da BECKHOFF são
testados. Este auto-teste (teste de impulsos) das suas saídas é designado, tal como nas barreiras luminosas, por
OSSD (“Output Signal Switching Device”) .
II-2.5 – Tapetes e batentes de segurança (“Safety mat and bumper”)

Os tapetes e batentes de segurança são sensíveis à pressão. São revestidos por um invólucro selado em um isolante
de alta resistência (IP67) para uso em ambientes industriais agressivos. A superfície do topo pode ser escolhida em
alumínio ou PVC o que permite a sua utilização em ambientes adversos tanto mecanicamente, térmico ou químico.
Existe uma norma própria para os tapetes de segurança que é a norma EN1760-1. Com uma correta instalação
elétrica usando os terminais da BECKHOFF EL1904 e controladores lógicos TwinSAFE podemos obter a categoria de
segurança CAT 4/PL=e.
Esquema elétrico ou eletrónico dos Tapetes ou batentes de segurança

O circuito elétrico dos tapetes ou dos batentes de segurança é constituído por 4 fios elétricos (dois circuitos
redundantes independentes).
A figura em baixo mostra o esquema elétrico de principio dos tapetes ou batentes de segurança (sensor). O tapete
de segurança esta representado por um contato Normalmente Aberto (NA) em paralelo com a bobine do rele K1
(corresponde a uma entrada segura do terminal EL1904).
Quando o tapete de segurança está em funcionamento, sem presença de pessoas a pressiona-lo, é enviado uma
pequena corrente para o sensor (ex. através da entrada Input 1+ da EL1904) que provoca o acionamento do relé K1
(ex. não há retorno dessa corrente na entrada Input1– da EL1904). Neste caso, sem presença de pessoas em cima
do tapete o contato do sensor está em circuito aberto.
Em caso de alguém pisar o tapete o sensor fecha o contato, o que provoca um curto-circuito, deixando assim de
excitar o relé K1 (ex. há retorno de corrente na entrada Input- da EL1904). Neste caso entramos em modo de falha.
Uma resistência balastro (R), que se encontra em serie no circuito, limita a corrente máxima de curto-circuito.
Com os tapetes de segurança instalados com os terminais de segurança EL1904 e controladores lógicos TwinSAFE
conseguimos obtemos a categoria CAT 4/PL=e.
Resumo : Em posição de “proteção” o sensor / tapete está a ser “pisado” (pressionado) o que provoca ter o contato
elétrico fechado. Em estado normal (não “pisado”) o contato elétrico está aberto.
II-2.6 – Portas e trincos de segurança (“Protective door machine and tumbler”)

A alternativa às barreiras óticas de segurança é a utilização de proteções físicas que limitem o acesso às zonas
perigosas da máquina. No caso de o operador de máquina necessitar de aceder a essas zonas, frequentemente,
temos de colocar essas proteções físicas com movimento de abertura e fecho.
Essas proteções físicas moveis designadas de portas de segurança máquina terão de ser monitorizadas, pelo
controlador lógico de segurança TwinSAFE, através da colocação de fins de curso de segurança. Em algumas
situações de máquinas com energia cinética ou potencial, perigosa para o operador, a porta de segurança só se deve
abrir quando essa energia desaparecer. Nestas situações são colocados trincos eletromecânicos de segurança que
inibem e encravam a abertura da porta, pelo operador, enquanto permanecer o perigo.
Com uma correta instalação elétrica usando os terminais da BECKHOFF EL1904 e controladores lógicos TwinSAFE
podemos obter a categoria de segurança CAT 4/PL=e.
Esquema elétrico funcional de Porta de segurança máquina

Nas figuras seguintes mostramos dois esquemas de principio funcional de uma porta deslizante de acesso a zona
perigosa. Na 1º figura só com dois fins de curso e na 2ª figura com trinco de encravamento de abertura de porta.
Os dois fins de curso irão ser monitorizados por um terminal EL1904 através da ligação de 2 entradas seguras. O
trinco eletromagnético será comandado pela lógica de segurança, residente no controlador lógico TwinSAFE, através
de 1 saída segura da carta EL2904.
BRESIMAR AUTOMAÇÃO Capítulo III
III – TwinCAT 3.1 – Programação do modulo SAFETY
Visão geral da aplicação TwinCAT 3.1 - SAFETY

A versão 3 do TwinCAT tem incorporado um editor de programa para dispositivos de segurança homem-máquina,
designada por SAFETY.
A introdução do TwinCAT 3 no mercado da automação como uma ferramenta de desenvolvimento universal, na área
dos automatismos industriais, criou novas possibilidades para as aplicações na área da segurança homem-máquina.
Assim sendo, um PC Industrial (IPC) padrão pode ser utilizado como um controlador de segurança máquina, pela
primeira vez. Isto é devido há existência de um Safety Runtime integrado.
O editor de segurança SAFETY integrado no TwinCAT 3 permite a criação de uma aplicação (programa) de segurança
num ambiente gráfico e independente do hardware a utilizar. O programa lógico de segurança é configurado com
ajuda de blocos funcionais de segurança. Esses blocos funcionais são para correr nos terminais lógicos KL6904, EL6900,
EL6910 e EL6930 ou no controlador lógico EK1960.
 III-1 – Programação do TwinCAT 3.1 SAFETY (Segurança Homem-Máquina)
III-1.1 – Arquitetura base do hardware do kit de formação
Nos capítulos seguintes iremos explicar os passos necessários para programar um sistema de segurança homem-
máquina baseada em hardware BECKHOFF.
O kit de formação, usado para a execução deste manual, é constituído pelo seguinte hardware :
Modelo do PLC Sistema Operativo Versão do TwinCAT

CX 5130 Windows Embedded Standard 7 (32bit) TC3.1.4020.0
Tipo de modulo Modelo Endereço FSoE (DIP switch)

Modulo lógico de segurança EL6900 1
Modulo de entradas seguras (4 canais) EL1904 2
Modulo de saídas seguras (4 canais) EL2904 3
III-1.2 – Criar projeto de segurança no TwinCAT SAFETY
A versão do TwinCAT em que executamos, neste capitulo, o programa

de segurança homem-máquina foi a 3.1.4020.0.
Para criar um projeto de segurança homem-máquina terá de abrir, em

primeiro lugar, o editor de programa TwinCAT 3.1 e criar um novo
projeto.
Uma vez criado esse novo projeto poderá verificar que existe uma
pasta designada por SAFETY, na arvore do seu projeto (coluna do lado
esquerdo do editor).
Ligue o seu PC (onde se encontra instalado o editor TwinCAT 3.1),

através de um cabo Ethernet/RJ45, ao CX5130 e coloque o endereço
IP dentro da mesma gama do CX. De seguida, poderá fazer um
varrimento ao hardware existente no seu equipamento de controlo. O controlador CX5130 deverá estar,
obrigatoriamente, no estado de CONFIG MODE (icon do TwinCAT com cor azul) para conseguirmos efetuar esse
varrimento ao hardware.
Para iniciar o varrimento clique, com a tecla direita do rato, na subpasta “Devices” da pasta I/O no comando “Scan”.
O comando de scan irá detetar todo o hardware existente no seu equipamento (ex. kit de formação), tanto cartas
EL/KL de segurança como cartas EL/KL standard.
De seguida clique, com a tecla direita do rato, na pasta SAFETY. Iremos adicionar um projeto de segurança homem-
máquina clicando no comando “Add New Item…”.
De seguida selecione o template “TwinCAT Default Safety Project”.
Na janela pop-up de dialogo escreva o nome do programador (“Author”) e o nome do projeto (“Internal Project
Name”).
Após concluído o passo anterior clique no botão de comando ”OK”. De seguida poderá verificar, expandindo a pasta
SAFETY, a estrutura de objetos criados para o projeto de segurança “SPLC”.
Clique duas vezes seguidas em “Target System”. Na janela de configuração do controlador de segurança “Target
System” escolha o “EL6900”. De seguida deverá manualmente adicionar o hardware (“Devices”) existente no kit de
formação. Para isso clique no icon esquerdo do “Physical Device:”, como mostra a figura seguinte.
Adicionado o controlador EL6900 deverá confirmar o seu nº de serie e o endereço dado do DIP-switch (colocado no
lado esquerdo da carta). O endereço de segurança FSoE “Safe Address” do software deverá estar sincronizado com
o endereço do hardware (carta EL6900).
Para executar a sincronização entre o endereço FSoE do hardware e o do escrito no software clique no icon, indicado
por uma seta verde virada para cima, junto à janela do “Hardware Address:”. No kit de formação tem o valor de 1.
Todas as cartas de segurança possuem na sua parte lateral esquerda um DIP-switch. Esse DIP-switch atribui ao
equipamento um endereço (por hardware) para a rede de segurança FSoE. Esse endereço (indicado em binário no
DIP-switch) poderá ser de 1 a 65535. O endereço é único, dentro da mesma rede.
De seguida deverá guardar a configuração. Poderá reparar que o nome da pasta TAB da configuração do Target
System (ex. SPLC*) apresenta um asterisco (*) no final. Isso indica que os dados da configuração ainda não se
encontram guardados. Clique, com a tecla direita do rato, em cima do nome da pasta TAB (ex. SPLC*) e escolha o
comando “Save Selected Items”. Deverá reparar que após esta operação o asterisco (*) desaparece do nome do
projeto de segurança (ex. SPLC).
Clique, com a tecla direita do rato, em “Alias Devices” e de seguida escolha o comando “Import Alias-Device(s)”.
Com esta operação iremos colocar manualmente os alias (objetos) referentes às cartas EL de entradas e saídas de
segurança. O objeto “ErrorAcknowledgementr.sds” que se encontra por baixo da pasta “Alias Devices” foi colocado
automaticamente pelo software.
Na janela pop-up que surgir clique no comando “Select All..” e de seguida clique em “OK”.
Quando o sistema importar as configurações das cartas de segurança irá tentar ler os endereços dos DIP-switch
(FSoE) de cada carta. Se anteriormente não sincronizou e salvou a configuração dos endereços FSoE de cada carta
deverá receber mensagens de erro informando que terá de atualizar manualmente esses endereços FSoE, para cada
alias existente.
Após a importação sem falhas poderá visualizar, na pasta “Alias Devices”, os respetivos alias dos módulos de
segurança. Existe um alias referente à carta de entradas seguras EL1904 e outro alias referente à carta de saídas
seguras EL2904.
Clique duas vezes seguidas no alias da carta EL1904 “Term3 (EL1904) – Module 1 (FSOES).sds” e na subpasta TAB
“Linking”. Confirme a consistência entre o código de segurança do hardware com o do software.
Os parâmetros de configuração, da carta de segurança de entradas EL1904, poderão ser visualizados e

parametrizados na subpasta TAB “Safety Parameters”.
Após a configuração e parametrização da carta EL1904 clique, duas vezes seguidas, no alias da carta EL2904 “Term4
(EL2904) – Module 1 (FSOES).sds” e na subpasta TAB “Linking”. Confirme a consistência entre código de segurança
do hardware com o do software. Os parâmetros de configuração, da carta de segurança de saídas EL2904, poderão
ser visualizados e parametrizados na subpasta TAB “Safety Parameters”.
Após a configuração anterior clique com a tecla direita em cima de da pasta “Alias Device” e selecione o comando
“Add multiple standard variables” para criar variáveis para as entradas e saídas standard (não seguras).
Quando surgir a janela pop-up escolha o nº de entradas e saídas standard que pretende usar. No nosso exemplo
colocámos 2 entradas standard (“Standard In Var”) e 2 saídas standard (“Standard Out Var”).
Clique com a tecla direita em cima no nome das variáveis de entrada ou saídas standard, criadas anteriormente.
Escolha o comando “Rename”. Assim poderá renomear as designações atribuídas automaticamente pelo editor de
programa, se assim o desejar.
No nosso caso renomeamos as entradas e saídas standard com os nomes “RunStop.sds”, “EstopRestart.sds” e
“CommErr.sds” como mostra a figura seguinte.
III-1.3 – Criar programa de automatismo no TwinCAT PLC
Após a configuração dos Alias, no editor de programa TwinCAT SAFETY, iremos criar um projeto de automação para
o softPLC TwinCAT 3.1. No mesmo editor de programa teremos de saltar para a pasta PLC.
Clique, com a tecla direita, em cima da pasta com o nome PLC e escolha o comando “Add New Item…”. Escolha o
template “Standard PLC Project” e atribuía um nome a esse projeto (ex. DemoForTwinSAFE).
Concretizado o passo anterior, comece a declarar no POU “Main” as seguintes variáveis locais (VAR).
De seguida compile o programa.
Após a compilação, sem erros, podemos verificar na subpasta “xxxxxxxxx Instance” (ex. DemoForTwinSAFE
Instance”) as instancias criadas para as entradas e saídas standard.
III-1.4 – Linkagem dos alias do projeto do SAFETY com o programa PLC

Uma vez criadas as variáveis de entrada e saída standard que irão interagir com o modulo lógico de segurança
teremos de seguida linkar essas variáveis, na pasta SAFETY do TwinCAT 3.1. Clique, duas vezes seguidas, no
projeto SAFETY (Ex. SPLC Project”) e salte para a subpasta “Alias Devices” onde estão colocadas os alias das
variáveis das entradas e saídas standard e de segurança.
Clique, duas vezes seguidas, no primeiro alias “ErrorAcknowledgement.sds”. Na subpasta TAB “Linking” clique
no botão de comando que se encontra no lado direita da janela “FullName”. Deverá surgir uma janela pop-up
com as variáveis declaradas no programa do PLC.
Deverá efetuar o mesmo procedimento para as linkagens dos restantes alias.
III-1.5 – Criar programa de segurança do TwinCAT SAFETY

Após as linkagens efetuadas daremos inicio à programação dos blocos funcionais de segurança. Para efetuarmos
este passo teremos de clicar, duas vezes seguidas, no alias “TwinSAFEGroup1.sal” que corresponde ao
controlador lógico de segurança. É neste grupo do controlador que iremos colocar as funções bloco do programa
de segurança.
Após clicar duas vezes seguidas em “TwinSAFEGroup1.sal” deverá surgir, numa janela com um fundo branco, a
indicação “Network1”. É para esta janela que iremos arrastar as Funções Bloco de segurança que se encontram
disponíveis na coluna do lado direito “Toolbox”.
No exemplo deste manual iremos programar um modulo de segurança de um “Botão de Paragem de

Emergência”. Este dispositivo de segurança irá provocar a paragem imediata de todos os órgãos elétricos,
pneumáticos ou hidráulicos perigosos.
Iremos arrastar da coluna das ferramentas “Toolbox”, que se encontra no lado direito do editor, a função bloco
de segurança “safeEstop” para janela branca “Network1”.
Clique em cima de uma entrada segura “EStopIn1”, da função bloco de segurança “safeEstop”, com a tecla direita.
Selecione o comando “Properties”.
Após essa operação surgirá, na coluna do lado direito do editor, as respetivas propriedades dessa entrada segura.
Poderá escolher o tipo de contacto elétrico a usar nessa entrada segura (“Normalmente Fechada” NC ou
“Normalmente Aberto” NO) e nomear essa entrada segura em “Assigned Variable Name”.
Efetue o mesmo procedimento para a segunda entrada segura clicando, com a tecla direita, em “EStopIn2”
Volte as propriedades da 1ª entrada de segurança “EStopIn1” e coloque o contato normalmente aberto (NO) na
propriedade “Single-Channel 2”, como mostra a figura seguinte.
Após esta configuração surgirá um símbolo de negação (círculo) no desenho interior da função bloco de
segurança , como pode reparar na figura seguinte.
Deverá também nomear as entradas “Resart” (“EstopResart”) e “EStopOut”(“EstopOut”).
Após a parametrizações das entradas e saídas da função bloco de segurança safeEstop deverá, na janela
“Variable Mapping” (janela colocada na parte inferior), selecionar as portas para cada alias (“Alias Port”).
Deverá estar na subpasta TAB “Variables”. Clique no comando existente na coluna “Alias Port” de cada linha e
escolha a respetiva variável das entradas e saídas do hardware de segurança (EL1904 ou EL2904) ou hardware
do PLC (não seguro).
No Canal 1 da função bloco de segurança Estop (Botão de Paragem de Emergência) coloque a 1ª entrada (Canal
1) da carta de segurança EL1904. De seguida fala “OK”.
Deverá repetir este processo para as restantes linhas correspondentes às entradas e saídas seguras da função
bloco de segurança. O botão de “Restart” é ligado a uma entrada não segura, no PLC.
Após concluída a definições das entradas e saídas em cada alias do bloco de segurança daremos inicio ao
agrupamento das entradas e saídas das variáveis informativas de erros e de estado da função de segurança. Salte
para a subpasta TAB “Group Ports”.
Coloque, se assim o desejar (não é obrigatório), as variáveis atribuídas para esse efeito no programa do PLC. Na
figura seguinte vemos essas variáveis atribuídas na subpasta TAB “Group Ports”.
III-1.6 – Verificação do programa de segurança do TwinCAT SAFETY

Após concretizado os passos do capitulo anterior finalizamos as parametrizações da função bloco de segurança
e o seu programa. De seguida terá se ser feita a verificação do projeto completo de segurança a ser descarregado
para o controlador lógico EL6900.
Clique, duas vezes seguida, na pasta do alias do controlador lógico de segurança EL6900 designado por “Target
System” e anote o seu nº de serie (ex. 756889). Este nº só é encontrado após o scan do hardware.
De seguida, na barra superior de comandos do editor, escolha o grupo “TwinSAFE”. Selecione o comando “Verify
Safety Project” para verificar se o programa de segurança está correto nas suas interligações. O comando “Verify
Complete Safety Project” permite testar e verificar o projeto completo de segurança (software e hardware).
Se o procedimento anterior de verificação foi executado com sucesso e sem erros deverá aparecer uma indicação
de “Verification Process succeedded” no canto esquerdo inferior do editor de programa.
De seguida daremos inicio ao download do programa de segurança para o controlador EL6900. Clique no
comando “Download Safety Project”.
Na janela pop-up que surgir introduza o nº de serie do controlador lógico EL6900 (ex.756889), o username e a
password. Deverá ter em atenção que existe diferença entre letras maiúsculas e minúsculas (case-sensitive). Os
valores de fabrica são para o Username  Administrator e a Password  TwinSAFE
Confirme se todas as partes do projeto de segurança foram descarregados para o controlador EL6900. Deverá
aparecer uma janela com a essa indicação como mostra a figura seguinte.
Verifique, em “Final Verification”, se o código de controlo de erro CRC tem consistência entre o calculado e o
que se encontra no controlador. Se sim, clique em “Next”.
Reintroduza a password e clique em “Finish”.
Após o download bem-sucedido do programa de segurança TwinSAFE será indicado, no canto inferior do editor
de programa TwinCAT 3.1, a frase “Download Process succeeded”.
 III-2 – Teste e monitorização do projeto completo
Nos passos anteriores explicámos os procedimentos necessários para interligar o programa do automatismo
clássico, residente na CPU do softPLC TwinCAT, aos alias do programa de segurança residente no controlador lógico
de segurança TwinSAFE (no nosso exemplo o EL6900).
Uma vez efetuado o projeto completo temos de o testar no “chão de fabrica” e verificar se existem bugs nos
algoritmos existentes. Esse passo designamos de debugging do software de automação e de segurança.
III-2.1 – Debugging do programa de segurança
Após o download do programa de segurança TwinSAFE e do programa do automatismo do softPLC TwinCAT deverá
ativar a sua configuração e coloca-lo em RUN. Na barra de comandos escolha o grupo PLC e faça Login.
Após a ordem de Login visualizará no programa MAIN (em modo Monitorização MAIN[Online] ) todas as variáveis
locais , como mostra a figura seguinte.
Poderá reparar que a variável “bComErr” está a TRUE indicando que houve uma falha na comunicação. Todas as
vezes que iniciamos o processo de download do projeto esta flag fica em estado TRUE. Teremos de seguida fazer o
RESET desta flag para dar inicio ao automatismo. Para efetuarmos o RESET deste erro teremos de colocar a TRUE a
flag “bErrAck” que corresponde ao “reconhecimento do erro”. O erro das comunicações “bComErr” deverá
desaparecer.
Apos o RESET do erro através da flag “bErrAck” a flag de indicação de estado “bRunStop” passará para TRUE e o
programa de segurança começa a correr.
Se colocarmos a TRUE a flag “bEstopRestart” fazemos o RESTART da função bloco de segurança Estop, após ter
havido uma ordem de paragem de emergência.
III-2.2 – Monitorização do programa de segurança
Na grupo TwinSAFE, da barra de comandos do editor de programa, selecione o comando “Show online date” para
monitorizarmos em online o programa de segurança residente no controlador lógico de segurança.
Podemos visualizar, na função bloco de segurança safeEstop, o estado lógico de cada uma das entradas e saídas do
bloco. O estado de monitorização é indicado por traços a cor verde.
Também podemos recorrer, para ver o estado das entradas e saídas do bloco de segurança, à janela “Variable
Mapping” na subpasta TAB “Variables”.
Caso seja pressionado o botão de paragem de emergência poderá verificar que o bloco de segurança safeEstop entra
em modo de segurança e a saída “EStopOut” é desligada (passa ao estado FALSE). Caso esta saída acionasse
contatores ou relés de acionamento de motores elétricos , desligavam o seu funcionamento.
Para reiniciar o funcionamento da máquina teremos de seguida se fazer o RESTART do modulo de segurança
carregando no botão respetivo (ex. EstopRestart).
BRESIMAR AUTOMAÇÃO Capítulo IV
IV – Esquemas de segurança com TwinSAFE

Visão geral das configurações dos parâmetros das cartas de entrada e saída de segurança
Quando executamos um projeto de segurança no
TwinCAT 3 SAFETY existe uma parte que são
configurações de parâmetros, com o tipo de sinais
elétricos que iremos usar nas cartas de entradas e
saídas de segurança. Estes parâmetros referem-se
por exemplo às cartas EL1904 (de entradas) e
EL2904 (de saída).
A outra parte, também muito importante, é o

desenvolvimento do programa de segurança
usando as funções bloco de segurança que o
TwinCAT SAFETY disponibiliza para os diversos
dispositivos de segurança, disponíveis no mercado.
Neste capítulo iremos mostrar alguns exemplos de configuração dos parâmetros da carta EL1904 (com 4 entradas
seguras) e EL2904 (com 4 saídas seguras). Estas configurações são apresentadas, nos capítulos seguintes com
exemplos, na tabela com o titulo “PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS”
Configuração exemplo da carta com entradas digitais seguras EL1904 :
Ao clicar duas vezes na pasta TwinSAFE no alias do EL1904 (ex. Safety In 1) deverá aparecer na janela central do seu
editor as propriedades desta carta, como mostra a figura seguinte:
O endereço FSoE da carta de entradas de segurança encontra-se na parte superior. Este endereço deve corresponder
ao endereço do DIP-switch que se encontra na carta. Se o DIP-switch tivesse o endereço 2 teríamos de colocar 2 nessa
janela.
Verifiquemos as propriedades 8001 (FS Sensor Test) e 8002 (Logic o f Input Pairs):
Geralmente as entradas são ligadas a diversos equipamentos de segurança que trabalham sempre em pares. Estes
canais terão de providenciar proteção contra curto-circuitos forçados nas entradas e ligações cruzadas vindas de
outras ligações exteriores ou de outros canais. O teste aos curto-circuitos e ligações cruzadas é feita através de geração
de impulsos em cada canal. A carta EL1904 pode gerar os seus próprios impulsos de teste como pode receber impulsos
externos de teste (OSSD) tal como os gerados pelas barreiras luminosas de segurança ou scanners de segurança. As
propriedades 8001 e 8002 permitem selecionar as propriedades para cada tipo de equipamento de segurança.
Existem diversas configurações:
1ª - A primeira é a configuração standard e de defeito como mostra a figura anterior.
A propriedade 8001:01 e 8001:02 está a TRUE. Isto significa que é feito o teste de curto-circuito e de ligações
cruzadas através da geração de impulsos em cada canal.
A propriedade 8002:01 está com “single logic channel ½”. Isto significa que estes dois canais trabalham em conjunto
e em combinação lógica. Irá ser feito o teste para detetar a existência de discrepância temporal entre eles.
Esta configuração é a apropriada para todos os equipamentos de segurança com contatos secos tais como botões
de paragem de emergência, portas de segurança e contactos NF de retorno do relé ou contator de segurança. A
carta para cada contacto seco fornece 24Vdc no polo + e gera um trem de impulsos que espera receber no polo
contrario - do canal. Para haver diferenciação entre cada canal da carta cada um deles gera impulsos desfasados
temporalmente. Isto permite detetar se há troca de cabos entre os canais e se existe curto-circuito dos 24V ou 0V
vindo de outro canal.
2ª – A segunda configuração é quando temos equipamentos de segurança que emitem impulsos de teste externos
OSSD nas suas saídas.
Neste caso o teste de impulsos é feito pelo equipamento de segurança externo, logo a carta EL1904 não precisa
deste teste ativo. Neste caso temos de desligar o teste de impulsos dos canais usados e temos de configurar com a
propriedade de aceitar impulsos externos OSSD. No exemplo da figura anterior temos o canal 1 e 2 com a
propriedade “asynchronous analysis OSSD, sensor test deactivated”. A indicação de sinais assíncronos indica que
esses equipamentos de segurança externa emitem sinais desfasados temporalmente que nunca se sobrepõem. Se
o fizerem é considerado uma falha.
3ª – A terceira configuração serve para alguns dispositivos de segurança que não tem impulsos assíncronos. Neste
caso devem evitar usar estes dispositivos de segurança. Todavia se quiserem, mesmo assim, utiliza-los com a carta
EL deverão configurar a propriedade 8002 do canal ½ ou ¾ como “any pulse repetition OSSD, sensor test
deactivated”. Neste caso permite trabalhar com a carta EL dispositivo de segurança externo com sinais OSSD
simultâneos, não dando assim erro.
4ª – A quarta configuração é chamada de “short cut channel ½ no module fault”. Esta configuração é adequada a
dispositivos de segurança externos como os tapetes de segurança (“safety mats”).
Configuração exemplo da carta com saídas digitais seguras EL2904 :
Ao clicar duas vezes na pasta TwinSAFE no alias do EL2904 (ex. Safety Out 1) deverá aparecer na janela central do
seu editor as propriedades desta carta, como mostra a figura seguinte:
O endereço FSoE da carta de saídas de segurança encontra-se na parte superior. Este endereço deve corresponder
ao endereço do DIP-switch que se encontra na carta. Se o DIP-switch tivesse o endereço 3 teríamos de colocar 3
nessa janela.
Esta carta de 4 saídas seguras tem 4 parâmetros de configuração e que são os seguintes :
8000: 01 – “Standard outputs active” permite que liguemos uma saída do PLC a uma saída segura e a carta
automaticamente faz um “AND” do valor logico da saída do PLC com o valor de saída segura. Isso permite que o PLC
anule uma saída, desligando-a. Neste caso a lógica de segurança é responsável pela permissão de ligar a saída, mas
o PLC controla a altura do seu acionamento.
Este funcionamento tem vantagens e desvantagens devido aos seguintes pontos:

Em 1º lugar - Esta parametrização torna mais confusa a lógica do seu funcionamento. Podemos obter o mesmo
funcionamento e o mesmo efeito com um bloco “AND” dentro da Função Bloco de segurança.
Em 2º lugar – Se quisermos monitorizar a saída, na lógica de segurança, para nos certificarmos de que liga e desliga
quando o forçamos (através de um circuito de feedback) não conseguimos faze-lo se a lógica de segurança não tem
acesso ao sinal do PLC.
Na minha opinião deve deixar este conjunto em FALSE e não usar este recurso. Fazermos a lógica “AND” toda dentro
da Função Bloco de segurança e não usamos “saídas standard”.
8000: 02 – “Current measurement active” permite detetar falha no circuito de ligação ao relé ou contator de
segurança. Com este recurso ativo quando a saída está ligada a carta espera receber uma corrente de retorno entre
20mA a 500mA. Caso não receba esta corrente a carta EL entra em falha. Obviamente se o dispositivo que está a
ligar (rele de segurança) não tem esse “consumo” de corrente terá de se desativar esta funcionalidade. Na minha
experiencia este recurso é sujeito a algumas falhas e pode dar falsos alarmes. Isto deve-se ao consumo próximo dos
limites e que devido aos picos de consumo leva a ultrapassá-los.
8000: 03 – “Testing of outputs active” permite detetar circuitos cruzados e trocados por canal (saída). O teste é feito
através de um trem de impulsos gerado em cada canal de saída de uma maneira assíncrona. Ao ser assíncrono
garante que os impulsos não se sobrepõem. Os impulsos são todos de comprimentos diferentes variando de 300 a
800 µs. Estes impulsos são suficientemente curtos para não interferirem no funcionamento do relé eletromecânico.
No geral esta propriedade deve estar ativa exceto nos casos de utilizarmos dispositivos de corte eletrónicos que não
toleram estes impulsos de teste.
8000: 04 – “Error acknowledge active” controla como a carta recupera de um erro detetado na saída. Por defeito
temos de desligar a alimentação à carta e reiniciar o sistema, para recuperar. Se pusermos esta propriedade em
TRUE podemos fazer o RESET, ao erro, através do reconhecimento desse erro no grupo logico TwinSAFE.
 IV-1 – Circuito com comando a duas mãos com TwinSAFE
IV-1.1 – BIMANUAL [Function Block TWOHAND] - Categoria 4 e PL=e

O comando a duas mãos consiste numa combinação de contactos
normalmente fechados (NF) e normalmente abertos (NA) ligadas a
entradas seguras na carta EL1904. A propriedade de “teste de entradas”
está ativa e os sinais são controlados para uma discrepância máxima de
200ms. Alem disso o acionamento síncrono dos dois botões é ativado com
um tempo de 500ms.
O loop de realimentação do estado dos contatores é feita através de uma

entrada segura em um 2º EL1904. Os contatores K1 e K2 estão ligados
eletricamente em paralelo através de uma única saída segura. A medição
de corrente e o teste da saída por impulso estão ativos neste circuito.
PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS
Carta de Entradas EL1904 (1º e 2º) Configuração

Canal 1 – Ativar teste do sensor Sim
Canal 2 – Ativar teste do sensor Sim (1ª EL1904) ; não usado (2ª EL1904)
Controlo logico do canal 1 e 2 Lógica simples
Carta de Saídas EL2904 Configuração
Ativar medição de corrente nas saídas Sim no 1º canal
Ativar teste de impulsos nas saídas Sim no 1º canal
BLOCO FUNCIONAL DOS MODULOS DE SEGURANÇA
 IV.2 – Circuito com tapetes de segurança com TwinSAFE (Safety mat and bumper)
IV-2.1 – TAPETE DE SEGURANÇA [Function Block MON] - Categoria 4 e PL=e

Os tapetes (mat) ou os pára-choques (bumper) de segurança funcionam de acordo
com o principio do circuito cruzado. Os contatos de superfície dos tapetes ou para-
choques são ligados às entradas seguras do EL1904.A propriedade de “teste de
entradas” está ativa e os sinais são controlados para uma discrepância máxima de
200ms. Sempre que é detetado um cruzamento entre sinais (o tapete de segurança é
pisado) um sinal logico “0” é sinalizado na entrada do EL1904. Se o cruzamento
entre sinais não é detetado o sinal logico “1” é sinalizado na entrada.
O loop de realimentação do estado dos contatores é feita através de uma entrada
segura e o teste de entrada está ativo nesta entrada. Os contatores K1 e K2 estão
ligados eletricamente em paralelo através de uma única saída segura. A medição de
corrente e o teste da saída por impulso estão ativos neste circuito.
Carta de Entradas EL1904 Configuração

Canal 4 – Ativar teste do sensor Não usado
Controlo logico do canal 1 e 2 Short cut is no module fault
Ativar medição de corrente nas saídas Sim
Ativar teste de impulsos nas saídas Sim
BLOCO FUNCIONAL DOS MODULOS DE SEGURANÇA
 IV.3 – Circuito de scanners laser de segurança com TwinSAFE (Laser scanner)
IV-3.1 – SCANNER LASER [Function Block MON] - Categoria 3 e PL=e

Os scanners laser usados na segurança máquina possuem dois sinais de controlo
designados por OSSD (Output Signal Switching Device). Estes dois sinais especiais
comutados, por motivo de segurança, estão ligados a duas entradas do EL1904. Nesta
carta não podemos ativar o teste das entradas pois as saídas OSSD realizam os seus
próprios testes através da comutação do sinal. Todavia estes sinais são testados, na
carta EL1904, se existe uma discrepância superior a 200ms (indicação de falha).
O loop de realimentação do estado dos contatores é feita através de uma entrada segura
e o teste de entrada está ativo nesta entrada. Os contatores K1 e K2 estão ligados
eletricamente em paralelo através de uma única saída segura. A medição de corrente
e o teste da saída por impulso estão ativos neste circuito.

Canal 1 – Ativar teste do sensor Não ativar
Controlo logico do canal 1 e 2 OSSD arbitrary types of pulse
Ativar medição de corrente nas saídas Sim no 1º canal
Ativar teste de impulsos nas saídas Sim no 1º canal
BLOCO FUNCIONAL DE SEGURANÇA
 IV.4 – Circuito de barreiras luminosas de segurança com TwinSAFE (Ligth curtain)
IV-4.1 – BARREIRA LUMINOSA [Function Block MON] - Categoria 4 e PL=e

As barreiras luminosas usadas na segurança máquina possuem dois sinais de
controlo designados por OSSD (Output Signal Switching Device). Estes dois
sinais especiais comutados, por motivo de segurança, estão ligados a duas
entradas do EL1904. Nesta carta não podemos ativar o teste das entradas pois
as saídas OSSD realizam os seus próprios testes através da comutação do sinal.
Todavia estes sinais são testados, na carta EL1904, se existe uma discrepância
superior a 200ms (indicação de falha).
O loop de realimentação do estado dos contatores é feita através de uma entrada
segura e o teste de entrada está ativa nesta entrada. Os contatores K1 e K2 estão
ligados eletricamente em paralelo através de uma única saída segura. A
medição de corrente e o teste da saída por impulso estão ativos neste circuito.

Controlo logico do canal 1 e 2 Asynchronous evaluation OSSD
IV-4.2 – BARREIRA LUMINOSA (Muting) [Function Block MUTING] - Categoria 4 e PL=e

As barreiras luminosas possuem dois sinais de controlo, designados por OSSD, que estão ligados a duas entradas do
EL1904. Nesta carta não podemos ativar o teste das entradas pois as saídas OSSD realizam os seus próprios testes.
Todavia estes sinais são testados, na carta EL1904, se existe uma discrepância superior a 200ms (indicação de falha).
Os sinais do muting e de enable estão também ligados a entradas seguras numa segunda carta EL 1904.O loop de
realimentação do estado dos contatores é feita através de uma entrada segura e o teste de entrada está ativo, nesta
entrada.
Os contatores K1 e K2 estão ligados eletricamente em paralelo através de uma única saída segura. O sinalizador
luminoso de muting também está ligado a uma saída segura. A medição de corrente e o teste da saída por impulso
estão ativos neste circuito.
Carta de Entradas EL1904 (1ª) Configuração

Canal 1 e 2 – Ativar teste do sensor Não ativar
Canal 3 e 4 – Ativar teste do sensor Sim (3º canal) ; Sim (4º canal)
Controlo logico do canal 1 e 2 Asynchronous evaluation OSSD
Canal 1 e 2 – Ativar teste do sensor Sim
Canal 3 e 4 – Ativar teste do sensor Sim
Controlo logico do canal 1 e 2 / 3 e 4 Lógica simples
 IV.5 – Circuito de portas de segurança com TwinSAFE (Ligth curtain)
IV-5.1 – PORTA DE SEGURANÇA (1ª) [Function Block MON] - Categoria 3 e PL=d

As portas de segurança das máquinas usam uma combinação de
contactos normalmente fechados (NF) e normalmente abertos (NA)
ligadas a entradas seguras na carta EL1904. A propriedade de “teste de
entradas” está ativa e os sinais são controlados para uma discrepância
máxima de 200ms. O loop de realimentação do estado dos contatores é
feita através de uma entrada não segura em uma 2º EL1xxx e transferida
para o TwinSAFE via programa no PLC.
Os contatores K1 e K2 estão ligados em paralelo através de uma única
saída segura. A medição de corrente e o teste da saída por impulso estão
ativos neste circuito.

IV-5.2 – PORTA DE SEGURANÇA (2ª) [Function Block MON] - Categoria 4 e PL=e

As portas de segurança das máquinas usam uma combinação de contactos normalmente fechados (NF) e normalmente
abertos (NA) ligadas a entradas seguras na carta EL1904. A propriedade de “teste de entradas” está ativa e os sinais
são controlados para uma discrepância máxima de 200ms. O loop de realimentação do estado dos contatores é feita
através de uma entrada segura em uma 2º EL1904.
Os contatores K1 e K2 estão ligados em paralelo através de uma única saída segura. A medição de corrente e o teste
da saída por impulso estão ativos neste circuito.
Carta de Entradas EL1904 (1º e 2º) Configuração

Canal 1 – Ativar teste do sensor Sim ; Não usado (2º EL1904)
Canal 2 – Ativar teste do sensor Não usado (1º e 2º EL1904)
IV-5.3 – PORTA DE SEGURANÇA (com monitorização) - Categoria 4 e PL=e

As portas de segurança das máquinas usam uma combinação de contactos
normalmente fechados (NF) e abertos (NA) ligadas a entradas seguras. A
propriedade de “teste de entradas” está ativa e os sinais são controlados para uma
discrepância máxima de 200ms. Os fins de curso de indicação de zona S3 e S4
estão ligados a entradas seguras. Estes dois fins de curso indicam quando uma
parte perigosa, de uma máquina, está em uma posição segura e assim poderá ser
aberta a porta de segurança mesmo com a máquina em funcionamento. A
propriedade de “teste de entradas” nestas entradas está desativada devido aos
sensores S3 e S4 serem alimentados a 24Vdc externo.
Os contatores K1 e K2 estão ligados em paralelo através de uma única saída
segura. A medição de corrente e o teste da saída por impulso estão ativos neste
circuito.

Canal 1, 2, 3, 4 – Ativar teste do sensor Sim (1º e 3º canal) ; não usado (2º e 4ª canal)
Controlo logico do canal 1, 2, 3 e 4 Lógica simples
Canal 1 e 2 – Ativar teste do sensor Não ativar
Canal 3 e 4 – Ativar teste do sensor Sim (3º canal) ; não usado (4º canal)
Controlo logico do canal 1, 2, 3, e 4 Lógica simples
IV-5.4 – PORTA DE SEGURANÇA (com encravamento) - Categoria 4 e PL=e

A porta de segurança com encravamento eletromagnético tem dois sensores,
S1 de “porta fechada” e S2 “porta fechada e encravada”, ligadOs a entradas
seguras na carta EL1904. O teste de discrepância não pode estar ativo porque
não há uma relação funcional dos sensores S1 e S2. O sinal de restart está
ligado a uma entrada segura do 1º EL1904. O loop de realimentação do estado
dos contatores é feito através de uma entrada segura em uma 2º EL1904. As
propriedades de “teste de entradas” de todas as entradas seguras estão ativas.
Os contatores K1 e K2 estão ligados em paralelo através de uma única saída
segura. A medição de corrente e o teste da saída por impulso estão ativos
neste circuito. O trinco do sistema de encravamento é comutado, via duas
entradas seguras, enquanto o teste está ativo. A medição de corrente e o teste
da saída por impulso estão ativos neste circuito do 2º EL2904.


Carta de Saídas EL2904 (1ª) – para K1 e K2 Configuração

Carta de Saídas EL2904 (2ª) – Trinco Configuração

 IV.6 – Circuito de paragem de emergência com TwinSAFE (ESTOP)
IV-6.1 – BOTÃO DE EMERGENCIA (1ª) [Function Block ESTOP] - Categoria 3 e PL=d

Os botões de emergência são ligados, via dois contactos normalmente fechados (NF), a duas
entradas seguras na EL1904. A discrepância superior a 200ms, destes dois sinais NF na
EL1904, é monitorizada no seu funcionamento. O loop de realimentação do estado dos
contatores e o botão de restart é feito através de 2 entradas standard não seguras.
Os contatores K1 e K2 estão ligados eletricamente em paralelo através de uma única saída

segura. A medição de corrente e o teste da saída por impulso estão ativos neste circuito.


Os botões de emergência são ligados, via dois contactos normalmente fechados (NF), a duas entradas seguras do
EL1904. A discrepância superior a 200ms, destes dois sinais NF na EL1904, não é monitorizada. O loop de
realimentação do estado dos contatores e o botão de restart é feito através de 2 entradas standard não seguras.
Os contatores K1 e K2 estão ligados eletricamente em paralelo através de uma única saída segura. A medição de

IV-6.3 – BOTÃO DE EMERGENCIA (3ª) [Function Block ESTOP] - Categoria 4 e PL=e

EL1904. A discrepância superior a 200ms, destes dois sinais NF na EL1904, é monitorizada tal como o teste às
ligações às entradas. O loop de realimentação do estado dos contatores e o botão de restart é feito através de 2 entradas
standard, não seguras, do PLC. Existe um bloco EDM que verifica se o sinal de realimentação assume o estado oposto,
da saída do bloco ESTOP, dentro de um tempo ajustado.


seguras ligadas a uma 2ª carta EL1904.
Carta de Entradas EL1904 (1ª e 2ª) Configuração

Canal 1 – Ativar teste do sensor Sim (1º EL1904) ; não usado (2º EL1904)

Os botões de emergência, são ligados via dois contactos normalmente fechados (NF), a duas entradas seguras do
ligações às entradas. O loop de realimentação do estado dos contatores e o botão de restart é feita através de 2 entradas
Os contatores K1 e K2 estão ligados eletricamente em duas saídas seguras. Ambos estão ligados ao ground. A medição
de corrente esta desativada. Os testes da saída por impulso estão ativos neste circuito.

Ativar medição de corrente nas saídas Não

Os contatores K1 e K2 estão ligados eletricamente em duas saídas seguras. Ambos estão ligados ao ground. A medição
de corrente e o teste da saída por impulso estão desativados.

Ativar medição de corrente nas saídas Não
Ativar teste de impulsos nas saídas Não

Os botões de emergência são ligados, via dois contactos normalmente fechados (NF), a duas entradas seguras da 1ª
carta EL1904. O loop de realimentação e o botão de restart estão ligados na 2ª carta EL1904. A discrepância superior
a 200ms, dos sinais NF do botão de emergência, é monitorizada e o teste às ligações é desativado em ambos canais.
Os contatores K1 e K2 estão ligados eletricamente em paralelo em uma saída segura. A medição de corrente e o teste
da saída por impulso estão ativados.

Canal 4 – Ativar teste do sensor Não ativar (1º EL1904) ; não usado (2º EL)

Livro de Formação Técnica TwinSAFE 3.1 (01 - 2017) v0.2

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Livro de Formação Técnica TwinSAFE 3.1 (01 - 2017) v0.2

Enviado por

Direitos autorais:

Formatos disponíveis

BECKHOFF AUTOMATION

por Jorge Andril

• BRESIMAR AUTOMAÇÃO , S.A. • Departamento de Engenharia ASATEK • www.bresimar.pt

I – Introdução ao TwinSAFE do TwinCAT 3.1

II – Terminais e dispositivos de segurança

III – TwinCAT 3.1 – Programação de modulo SAFETY

IV - Esquemas de segurança com TwinSAFE

I – Introdução ao TwinSAFE do TwinCAT 3.1

Devido à sua modularidade e

 I-1 – Introdução à segurança homem-máquina

Para interromper de forma fiável uma fonte de energia elétrica, de maneira

O uso de dois relés ou contatores redundantes resolve o primeiro problema,

Os PLCs (EK1960) ou os Controladores lógicos da

 I-2 – Diretivas e normas da Segurança Homem-Máquina

I-2.1 – Introdução à Diretiva Máquina

A segurança das pessoas é um especto fundamental nas

 Decreto-Lei nº 50/2005 de 25 de Fevereiro

 Decreto-Lei nº 103/2008 de 24 de Junho

I-2.2 – Diretiva Máquina 2006/42/CE

A máquina tem uma elevada importância na

De modo a garantir a segurança de todos aqueles que

Esta diretiva teve como objetivo principal a redução

RESUMO DO OBJETIVO DA DIRETIVA MÁQUINA 2006/42/CE

I-2.3 – Tipo de normas existentes

Estas normas são:

 EN ISO 12100-1 e -2:2010 (substitui a EN292-1 e EN292-2): Conceitos básicos,

São normas em grupo que focam aspetos particulares respeitantes à segurança,

Normas sobre alguns aspetos de segurança, como exemplo, distâncias de

 EN 62061: 2005: Funções de segurança relacionadas com a funcionalidade

Normas que descrevem as características dos dispositivos de segurança como

 EN 574:2008: Dispositivos de controlo de duas mãos.

São normas que especificam requisitos de segurança detalhados para determinadas

 EN 201:2007: Máquinas para borracha e material plástico, máquinas de Injeção.

I-2.4 – Analise de risco

 2º Passo: Redução de riscos através da salvaguarda e de sistemas de controlo.

 3º Passo: Prevenção de riscos residuais informando os utilizadores e operadores das máquinas.

I-2.5 – Segurança Funcional

A “velha” NORMA EN 954-1

Essa norma identificava as seguintes categorias, em caso de falha:

NORMA IEC 62061

A norma internacional IEC 62016

 Especificação funcional : O que

A determinação do SIL (“Safety Integrity Level”) é exemplificada na tabela seguinte :

NORMA EN ISO 13849-1

As normas EN 62061 e EN 13849 sobrepõem-se na sua aplicação.

Elas são semelhantes em diversos aspetos, havendo uma relação precisa

No entanto a norma EN 13849 é mais fácil de se aplicar tanto pela sua

II – Terminais e dispositivos de segurança

O modulo de software TwinSAFE só por si não permite construir um

O hardware necessário é constituído por dois grupos funcionais:

 II-1 – Terminais de segurança BECKHOFF

Os dispositivos de monitorização (entradas de segurança) dos equipamentos de segurança estão ligados

II-1.1 – Especificações dos terminais de entradas seguras (KL/EL/EJ 19xx)

Os terminais (também designadas na gíria técnica

II-1.1.1 – Diagrama de bloco do EL1904

II-1.1.2 – Teste de impulsos nas entradas seguras

O comprimento temporal do impulso é de cerca 350 µs e repete-se 250 vezes por

II-1.1.3 – Tabela dos parâmetros do EL1904 (“Safety Parameters”)

II-1.1.4 – Exemplos de configuração dos parâmetros do EL1904

Exemplo 1: Configuração da EL1904 com Barreiras Luminosas (ligth barriers)

Parâmetros para as barreiras luminosas ou scanners laser de segurança (“Safety Parametrs”):

Exemplo 2: Configuração da EL1904 com tapetes de segurança (switching mats)

Parâmetros para os tapetes de segurança (“Safety Parametrs”):