BRESIMAR(asaTek)-Beckhoff-Livro Formação Técnica TwinSAFE 3.1

BECKHOFF AUTOMATION 

MANUAL DE FORMAÇÃO DE 

TwinSAFE 3.1 

por Jorge Andril 

01 / 2017 

• BRESIMAR AUTOMAÇÃO , S.A. • Departamento de Engenharia ASATEK • www.bresimar.pt 

• Quinta do Simão EN109 - Esgueira • Apartado 3080 • 3800-230 Aveiro • PORTUGAL

O agradecimento à BECKHOFF AUTOMATION pelo fornecimento de 

documentação técnica e à BRESIMAR AUTOMAÇÃO S.A. pela 

disponibilidade de equipamentos para a execução de testes de campo.

A BRESIMAR AUTOMAÇÃO é uma 

empresa com sede em Aveiro, Portugal 

A Bresimar Automação S.A., é uma empresa familiar 

especializada em Automação Industrial. Fundada em 1982 

foi evoluindo a sua atividade comercial e atualmente 

divide-se em 3 áreas de negócios. 

Essas áreas de negócios são as seguintes: 

Comercialização de equipamentos para 

automação industrial através da representação 

exclusiva de diversas marcas, mundialmente 

conceituadas (INSYS-icom , Beckhoff , Siemens 

, Turck , Beijer , entre outras ) . 

 

 

Serviços de engenharia de automação e controlo 

para processos industriais com desenvolvimento 

de software para PLCs e HMIs . Este serviço 

possui a marca registada asaTek . 

Produção e desenvolvimento de transmissores e 

sensores de temperatura incluindo sistemas sem 

fios. Estes equipamentos tem a marca registada 

tekOn . 

Possui uma equipa técnica qualificada, que presta serviços 

de assistência pré e pós-venda, que propõe e aconselha 

soluções tecnológicas inovadoras. 

A gestão está focada e orientada para os clientes, pelo que 

efetua uma seleção muito criteriosa de fornecedores. A 

formação é um fator determinante para a qualidade dos 

serviços prestados por todos os colaboradores. 

Espero que estes apontamentos técnicos vos sejam úteis 

nas vossas aplicações de automação industrial! 

Obrigado pela vossa atenção. 

Saudações 

Jorge Andril 

j.andril@bresimar.pt 

http://pt.linkedin.com/in/jorgeandril

LISTA DE CONTEÚDOS 

I – Introdução ao TwinSAFE do TwinCAT 3.1 

I-1 – Introdução à Segurança-Máquina 1 

I-2 – Diretivas e normas de Segurança-Máquina 5 

I-2.1 – Introdução à Diretiva Máquina 5 

I-2.2 – Diretiva Máquina 2006/42/CE 5 

I-2.3 – Tipo de normas existentes 6 

I-2.4 – Análise de risco 8 

I-2.5 – Segurança funcional 9 

II – Terminais e dispositivos de segurança 

II-1 – Terminais de segurança BECKHOFF 11 

II-1.1 – Especificações dos terminais de entradas seguras 14 

II-1.1.1 – Diagrama de bloco do EL1904 15 

II-1.1.2 – Teste de impulsos nas entradas seguras 15 

II-1.1.3 – Tabela dos parâmetros do EL1904 (“Safety Parameters”) 16 

II-1.1.4 – Exemplo de configuração dos parâmetros do EL1904 16 

II-1.1.5 – Diagnostico de estado e erros 17 

II-1.1.6 – Objetos de diagnostico (CoE objects) 18 

II-1.2 – Especificações dos terminais de saídas seguras 20 

II-1.2.1 – Diagrama de bloco do EL2904 20 

II-1.2.2 – Teste de impulsos nas saídas seguras 20 

II-1.2.3 – Tabela dos parâmetros do EL2904 (“Safety Parameters”) 21 


II-1.2.5 – Objetos de diagnóstico (CoE objects) 23 

II-1.2.6 – Possíveis causas das mensagens de diagnostico 24 

II-1.3 – Especificações dos terminais com controlador lógico TwinSAFE 25 

II-1.3.1 – Programação do código lógico de segurança 20 


II-1.3.3 – Objetos de diagnóstico (CoE objects) 27 

II-2 – Dispositivos de segurança 29 

II-2.1 – Comandos de paragem de emergência 29 

II-2.2 – Comandos de bimanual 30 

II-2.3 – Barreiras óticas de segurança 31 

II-2.4 – Scanners laser de segurança 32 

II-2.5 – Tapetes e batentes de segurança 33 

II-2.6 – Portas e trincos de segurança 34 

III – TwinCAT 3.1 – Programação de modulo SAFETY 

III-1 – Programação do TwinCAT 3.1 SAFETY 35 

III-1.1 – Arquitetura base do hardware do kit de formação 35 

III-1.2 – Criar projeto de segurança no TwinCAT SAFETY 36 

III-1.3 – Criar programa de automatismo no TwinCAT PLC 42 

III-1.4 – Linkagem dos alias do projeto SAFETY com o programa PLC 43 

III-1.5 – Criar programa de segurança do TwinCAT SAFETY 44 

III-1.6 – Verificação do programa de segurança TwinCAT SAFETY 49 

III-2 – Teste e monitorização do projeto completo 52 

III-2.1 – Debugging do programa de segurança 52 

III-2.2 – Monitorização do programa de segurança 53

BECKHOFF AUTOMATION 

TwinSAFE V3.1 

IV - Esquemas de segurança com TwinSAFE 

IV-1 – Circuito de comando a duas mãos com TwinSAFE 58 

IV-1.1 – BIMANUAL – Cat. 4 e PL=e 58 

IV-2 – Circuito com tapetes de segurança com TwinSAFE 59 

IV-2.1 – TAPETE DE SEGURANÇA – Cat. 4 e PL=e 59 

IV-3 – Circuito de scanners laser de segurança com TwinSAFE 60 

IV-3.1 – SCANNER LASER – Cat. 3 e PL=e 60 

IV-4 – Circuito de barreiras luminosas de segurança com TwinSAFE 61 

IV-4.1 – BARREIRA LUMINOSA – Cat. 4 e PL=e 61 

IV-4.2 – BARREIRA LUMINOSA (com Muting) – Cat. 4 e PL=e 62 

IV-5 – Circuito de portas de segurança com TwinSAFE 63 

IV-5.1 – PORTA DE SEGURANÇA (1ª variante) – Cat. 4 e PL=e 63 

IV-5.2 – PORTA DE SEGURANÇA (2ª variante) – Cat. 3 e PL=e 64 

IV-5.3 – PORTA DE SEGURANÇA (com monitorização) – Cat. 4 e PL=e 65 

IV-5.4 – PORTA DE SEGURANÇA (com encravamento) – Cat. 4 e PL=e 66 

IV-6 – Circuito de paragem de emergência com TwinSAFE 68 

IV-6.1 – BOTÃO DE EMERGÊNCIA (1ª variante) – Cat. 4 e PL=e 68 

IV-6.2 – BOTÃO DE EMERGÊNCIA (2ª variante) – Cat. 3 e PL=d 69 




IV-6.6 – BOTÃO DE EMERGÊNCIA (6ª variante) – Cat. 3 e PL=d 73 


ix

BRESIMAR AUTOMAÇÃO 

Capítulo I 

I – Introdução ao TwinSAFE do TwinCAT 3.1 

Apresentação do modulo TwinSAFE do TwinCAT 3.1 

O módulo TwinSAFE do TwinCAT 3 é o 

software de programação para os PLCs 

de segurança, da marca alemã 

BECKHOFF. O TwinSAFE representa a 

continuação da filosofia de controle 

baseado em PCs, aberta e escalável. 

Devido à sua modularidade e 

versatilidade os terminais TwinSAFE 

encaixam perfeitamente na filosofia, já 

existente, dos sistemas de controlo 

BECKHOFF. Isto é, podemos incorporar 

no mesmo PLC (TwinCAT 3 PLC), responsável pelo automatismo clássico de uma máquina industrial, um modulo de 

segurança (TwinSAFE). Assim, não necessitamos de ter no mesmo quadro de controlo dois PLC´s (um para o 

automatismo e outro para os dispositivos de segurança-máquina). Este modulo TwinSAFE cumpre toda a Legislação e 

Normas Europeias, atualmente em vigor. 

I-1 – Introdução à segurança homem-máquina 

Quando falamos de Segurança ( Safety Tecnology ) na automação industrial estamos a falar de funções específicas 

para máquinas, equipamentos e processos industriais relacionados à proteção de pessoas. Na maioria dos locais há 

requisitos legais para a proteção dos operadores de máquinas. Esses regulamentos geralmente são baseados em 

padrões nacionais e internacionais (por exemplo a Diretiva Máquina 2006/42/CE), mas podem variar entre regiões 

e nações. É da responsabilidade do projetista da automação verificar e desenhar esses sistemas de segurança para 

as suas máquinas industriais. 

A premissa principal dos sistemas de segurança, para as máquinas industriais, é o controlo das diversas fontes de 

energia nelas contidas. Toda essa fonte de energia armazenada em um sistema deve ser tida em conta e 

controlada. Isso inclui fontes elétricas, pneumáticas e hidráulicas. Inclui energia potencial armazenada em cargas 

suspensas, molas e ar comprimido tal como a energia cinética de partes móveis. Os sistemas de segurança funcionam 

interrompendo essas fontes de energia e controlando a energia potencial ou cinética. Os sistemas de segurança 

envolvem também uma adequada proteção mecânica, de forma a que os operadores não possam entrar em contacto 

com áreas perigosas da máquina enquanto as diversas fontes de energia estão ligadas ou a energia potencial não está 

controlada. 

[asaTek / J.Andril] 1


Capítulo I 

Um sistema de segurança devidamente projetado consiste em elementos mecânicos, elétricos e cada vez mais 

elementos com uma componente de software. Todos estes elementos combinam-se para formar uma condição de 

trabalho segura para os operadores de máquinas e pessoal de manutenção. As exigências sobre a fiabilidade dos 

elementos elétricos e de software são suficientemente fortes para que componentes elétricos e PLC´s comuns sejam 

inaceitáveis para uso em sistemas de segurança-máquina. Em geral (e isso depende de casos específicos) os 

componentes elétricos e de software devem ser projetados de tal forma que qualquer falha de um único componente 

não leve a uma perda da função de segurança. Essa falha, uma vez detetada, terá de ser relatada e deverá impedir o 

funcionamento da máquina industrial até que ela seja reparada. 

Tomemos como exemplo um relé elétrico. Um relé típico não é um componente apropriado para uso em sistemas 

elétricos de segurança, pelas seguintes razões: 

1. O relé pode falhar, normalmente por colagem do contato, na posição de trabalho. Neste caso perde a 

capacidade de eliminar a fonte de energia elétrica, quando ocorrer uma emergência que obriga ao corte e 

interrupção dessa energia. 

2. Nós detetamos a falha de um relé monitorizando um contato normalmente fechado. Dependendo da 

construção do relé, a falha pode não ser detetada se o contato normalmente fechado não estiver 

mecanicamente ligado a um contato normalmente aberto. 

Para interromper de forma fiável uma fonte de energia elétrica, de maneira 

a que a falha de um componente não cause uma perda da função de 

segurança e seja detetada, normalmente usamos dois relés de contato 

guiados mecanicamente. A guia mecânica torna impossível ter ao mesmo 

tempo o contato normalmente fechado (NF) e normalmente aberto (NA) 

fechados. Se um contato NF colar, deve ser impossível que o contato NA 

feche quando a bobina é energizada. Se um contato NA colar, deve ser 

impossível que o contato NF feche quando a bobina é desenergizada. Estes 

contatos também são conhecidos por: contactos forçados, contactos 

ativados positivamente, contactos guiados ou contactos ligados. 

O uso de dois relés ou contatores redundantes resolve o primeiro problema, 

de um único ponto de falha. O uso de contatos guiados mecanicamente 

resolve o segundo problema de monitorização fiável do estado do relé. 

Assim, podemos utilizar uma combinação de dois relés de contatos guiados 

mecanicamente para a configuração de relé de segurança, mas obriga a ter um sistema de monitorização externo a 

verificar o seu correto funcionamento (módulos de controlo de segurança). Outra opção é usar um relé de segurança, 

construído para esse fim, com os dois contatos guiados mecanicamente e a função de monitorização embebidos no 

mesmo sistema. 



Capítulo I 

Os PLCs (EK1960) ou os Controladores lógicos da 

BECKHOFF (EL6900, EL6910, EL6930) de 

segurança são capazes de fornecer essas funções 

de controlo e monitorização. É importante 

destacar que os dispositivos de entrada, tais 

como botões de paragem de emergência, 

interruptores de portas de proteção, barreiras 

de segurança fotoelétricas e tapetes de 

segurança também são construídos com 

componentes elétricos redundantes e devem ser 

monitorizados o seu correto funcionamento. Os módulos lógicos de controlo TwinSAFE EL6900, EL6910, EL6930 

podem monitorizar todos estes componentes, tal como o PLC de segurança TwinSAFE EK1960. Existe também um 

controlador lógico para as cartas do tipo KL (KL6904). 



Capítulo I 

Como é de esperar existem requisitos especiais que teremos de cumprir num projeto com um PLC ou controlador 

lógico de segurança. Assim, como qualquer outro dispositivo em um sistema de segurança, a falha de qualquer 

componente no PLC ou controlador de segurança não deve resultar na perda da sua função de proteção e deve ser 

imediatamente detetada. Isso inclui os componentes elétricos e de software. Os projetos terão de ser certificados por 

entidades certificadoras externas e independentes do fabricante, antes de serem colocados no mercado. 

O programa de segurança, na Beckhoff, é desenvolvido no editor do TwinCAT 3 pasta SAFETY e correrá nos módulos 

lógicos EL6900, EL6910, EL6930 ou no PLC EK1960. Este programa é separado do programa do automatismo residente 

no soft PLC clássico. 

Os dispositivos de monitorização de segurança (entradas de segurança) estão ligados às cartas EL1904 ou EP1908 e 

os dispositivos de acionamento de segurança (saídas de segurança) estão ligados às cartas EL2902 ou EL2904 . 

Ambas são certificadas como dispositivos de segurança. A comunicação entre a placa controladora de segurança (ex. 

EL6900) e as entradas/saídas seguras (ex. EL1904/EL2904) é feita através da rede EtherCAT IO normal. Isso é possível 

porque a comunicação usa um protocolo certificado para segurança designado por FSoE (Fail-safe over 

EtherCAT). Devido à enorme flexibilidade do sistema podemos ter, na mesma rede, mais do que um controlador de 

segurança. 

O protocolo FSoE é compatível com qualquer Master com rede de campo EtherCAT que suporte mensagens e 

mapeamentos slave a slave. Cada componente FSoE pode monitorizar o status do canal de comunicação e poderá 

reverter para o estado de safe (off) se houver uma perda ou corte da comunicação. O protocolo Fail-safe over 

EtherCAT (FSoE) também é suportado por outras redes de campo tais como PROFIBUS, CANopen ou Ethernet. 



Capítulo I 

I-2 – Diretivas e normas da Segurança Homem-Máquina 

I-2.1 – Introdução à Diretiva Máquina 

A segurança das pessoas é um especto fundamental nas 

sociedades modernas e industriais. Todos os dias há milhares de 

pessoas que operam máquinas industriais na sua atividade 

profissional. 

É obrigação das sociedades modernas e desenvolvidas garantir 

que todos exerçam as suas funções e atividades de uma forma o 

mais segura possível. 

Em 2006 a União Europeia elaborou uma Diretiva que define 

diversos requisitos obrigatórios e que deverão ser aplicados, 

quando da construção de novas máquinas ou em alterações (retrofitting) de máquinas antigas. Essa Diretiva é a 

designada 2006/42/CE. 

Em Portugal, no que respeita à segurança, foi transposta para a Legislação Portuguesa por Decreto de Lei as 

seguintes normas europeias: 

Decreto-Lei nº 50/2005 de 25 de Fevereiro 

Transpõe para a ordem jurídica interna a Diretiva nº 89/655/CEE do Conselho de 30 de Novembro. 

Foi alterada pela Diretiva nº 95/63/CE do Conselho de 5 de Dezembro e pela Diretiva nº 2001/45/CE 

do Parlamento Europeu e do Conselho de 27 de Junho. 

Este decreto-lei regula as prescrições mínimas de segurança e de saúde a serem cumpridas pelos 

operadores de equipamentos de trabalho. 

Decreto-Lei nº 103/2008 de 24 de Junho 

Transpõe para a ordem jurídica interna a Diretiva nº 2006/42/CE, do Parlamento Europeu e do 

Conselho de 17 de Maio, relativa às máquinas e que altera a Diretiva nº 95/16/CE, do Parlamento 

Europeu e do Conselho de 29 de Junho, relativa à aproximação das legislações dos estados 

membros respeitantes aos ascensores. 

Este decreto-lei estabelece as regras a que deve obedecer à colocação no mercado e à entrada em 

serviço das máquinas e das quase-máquinas. 

I-2.2 – Diretiva Máquina 2006/42/CE 

A máquina tem uma elevada importância na 

industria sendo um dos impulsionadores do aumento 

da produtividade no último seculo. 

De modo a garantir a segurança de todos aqueles que 

diariamente estão em contato permanente com as 

máquinas industriais a União Europeia definiu uma 

diretiva que estipula determinados requisitos, para a 

integração de segurança, quando da sua conceção e 

fabrico bem como na sua instalação e manutenção. 

Essa Diretiva surgiu em Maio de 2006 e é a designada 

Diretiva Máquina 2006/42/CE. 

Esta diretiva teve como objetivo principal a redução 

do elevado numero de acidentes de trabalho provocados diretamente pelo mau funcionamento e utilização de 

máquinas industriais. 



Capítulo I 

RESUMO DO OBJETIVO DA DIRETIVA MÁQUINA 2006/42/CE 

A Diretiva de Máquinas 2006/42/CE que entrou em vigor a partir de 29 de Dezembro de 2009 aplicasse a todas as 

máquinas feitas e disponíveis no mercado da Comunidade Europeia além da Suíça e Turquia. Esta nova diretiva teve 

como objetivo aumentar a eficácia da anterior, a 98/37/CE, bem como esclarecer eventuais duvidas de interpretação 

da norma sem alterar substancialmente as suas especificações. A nova diretiva inclui a aplicação do risco e todos os 

critérios essenciais de segurança a serem observados e cumpridos. 

Todo o fabricante de máquinas tem que cumprir um conjunto mínimo de requisitos antes de uma máquina poder ser 

colocada no mercado. A máquina tem de cumprir os Requisitos de Saúde e Segurança, indicados no Anexo I da 

Diretiva, estabelecendo assim um nível mínimo comum de proteção em todo o Espaço Economico Europeu. 

Os fabricantes de máquinas ou os seus representantes, autorizados na União europeia, devem assegurar que a 

máquina está de acordo com a Diretiva tendo que disponibilizar às autoridades competentes, quando requerido, um 

documento técnico. A máquina tem também de possuir uma marcação CE e uma declaração de Conformidade. Todas 

as máquinas devem ser utilizadas de acordo com as Instruções de Trabalho do fabricante. 

As máquinas antigas, já existentes antes da entrada em vigor da Diretiva Máquina, não necessitam de cumprir os 

requisitos exigidos exceto os estipulados nos requisitos de saúde como garantirem segurança na sua operação. 

Todavia as modificações efetuadas a essas máquinas podem serem consideradas como sendo o fabrico de uma nova 

máquina, mesmo que a máquina seja destinada a utilização interna na empresa. Neste caso é obrigatório a emissão 

da declaração de conformidade e efetuar a marcação CE. 

I-2.3 – Tipo de normas existentes 

Para avaliar os riscos das máquinas e para a conceção dos sistemas de segurança, que protegem o operador dos 

riscos de operação das mesmas, os Comités Europeus de Normalização CEN e CENELEC publicaram normas que 

definem em termos técnicos os requisitos indicados na diretiva. 

Estas normas são publicadas no Jornal Oficial da União Europeia e são harmonizadas. O fabricante de máquinas, ao 

aplicar estas normas na certificação das suas máquinas, está em conformidade com a diretiva estipulada. 

No que respeita às normas de segurança, a aplicar, a Diretiva Máquina 2006/42/CE define três tipos de Normas: 

NORMAS DO TIPO A 

NORMAS DO TIPO B 

NORMAS DO TIPO C 



Capítulo I 

NORMAS DO TIPO A 

São normas que definem conceitos básicos, princípios para a conceção e aspetos 

gerais que podem ser aplicados às máquinas. 

Estas normas são: 

 

 

 

EN ISO 12100-1 e -2:2010 (substitui a EN292-1 e EN292-2): Conceitos básicos, 

princípios gerais para o projeto. 

EN 61508: Segurança funcional dos dispositivos elétricos, sistemas com 

eletrónica programável. 

EN ISO 14121:2007: Princípios da avaliação de risco. 

NORMAS DO TIPO B 

São normas em grupo que focam aspetos particulares respeitantes à segurança, 

estando dividida em duas categorias. 

Categoria B1 

Normas sobre alguns aspetos de segurança, como exemplo, distâncias de 

segurança, níveis de temperaturas e ruido, princípios ergonómicos das máquinas, 

etc 

 

 

EN 62061: 2005: Funções de segurança relacionadas com a funcionalidade 

elétrica e sistemas de controlo eletrónico 

EN ISO 13849-1:2006 e -2:2003: Segurança de sistemas de controlo. 

Categoria B2 

Normas que descrevem as características dos dispositivos de segurança como 

comandos bimanual, portas de segurança de bloqueio de dispositivos, etc. Estas 

normas são as seguintes: 

EN 574:2008: Dispositivos de controlo de duas mãos. 

EN 13580:2006 (substitui a EN 418:1992): Paragem de emergência. 

EN 1088:2008 e ISO 14119: Dispositivos bloqueio com barreiras. 

EN 60204-1:2006: Equipamento elétrico das máquinas. 

EN 60947-5-1:2009: Dispositivos de controlo eletrodomésticos. 

NORMAS DO TIPO C 

São normas que especificam requisitos de segurança detalhados para determinadas 

máquinas ou grupo de máquinas tais como prensas hidráulicas, máquinas de 

injeção, etc. 

EN 201:2007: Máquinas para borracha e material plástico, máquinas de Injeção. 

EN 415-1:2009: Segurança de máquinas de embalagem. 

EN 692:2009: Prensas mecânicas. 

EN 693:2009: Prensas hidráulicas. 

EN 848-1:2010: Segurança de máquinas de trabalho com madeira. 



Capítulo I 

I-2.4 – Analise de risco 

Quando se constrói uma máquina é necessário identificar todos os riscos possíveis a que os utilizadores estão 

expostos de modo a torna-la segura na sua utilização. 

A identificação e classificação dos riscos permitem avaliar os perigos existentes e quais os tipos de ferimentos 

possíveis. As normas EN ISO 12100 e EN 14201 definem a metodologia de analise, avaliação e procedimentos para 

a redução desses riscos. Estas normas definem um modelo de analise cíclico que perante a fixação de metas iniciais 

permite a analise dos riscos existentes e possíveis soluções para os mesmos. Esta avaliação é efetuada varias vezes 

até que as metas definidas estejam satisfeitas. Noutras palavras, quando da analise, se um risco pode ser reduzido 

este obrigatoriamente tem de o ser. 

O modelo introduzido por estas duas normas, como anteriormente foi dito, pretende reduzir ou eliminar os riscos 

existentes através de um processo de analise cíclico e que tem os seguintes passos: 

1º Passo: Eliminação dos riscos na origem através da utilização de princípios de projeto e conceção 

intrinsecamente seguros. 

2º Passo: Redução de riscos através da salvaguarda e de sistemas de controlo. 

3º Passo: Prevenção de riscos residuais informando os utilizadores e operadores das máquinas. 



Capítulo I 

I-2.5 – Segurança Funcional 

Na ultima década, deste seculo, têm sido publicadas diversas normas sobre segurança funcional. Algumas dessas 

normas são a IEC 61508, IEC 62061, IEC 61511, ISO 13849-1 e IEC 61800-5-2. O conceito de segurança funcional vem 

substituir as antigas categorias de comportamento, em caso de falha, que eram definidas na EN 954-1. 

A “velha” NORMA EN 954-1 

A antiga norma EN 954-1 de 1996 definia, através de uma tabela de risco, a segurança relacionada com os circuitos 

de controlo elétrico. Nesta antiga norma o utilizador avaliava a frequência dos riscos, a gravidade das lesões 

inerentes e as possibilidades de fuga no caso de uma ocorrência. 

Essa norma identificava as seguintes categorias, em caso de falha: 

* CATEGORIA B: nesta categoria os circuitos de controlo são básicos e podem levar a uma perda da função de 

segurança devido a uma falha. 

* CATEGORIA 1: nesta categoria os circuitos de controlo também podem levar a uma perda da função de 

segurança, mas com menos probabilidade do que ocorre na Categoria B. 

* CATEGORIA 2: nesta categoria são efetuados testes periódicos, com intervalos adequados, aos circuitos de 

controlo. Mesmo assim pode ocorrer falhas nas funções de segurança entre esses testes. 

* CATEGORIA 3: nesta categoria os circuitos de controlo asseguram as funções de segurança na presença de uma 

única falha. Perante diversas falhas podem ser perdidas as funções de segurança. 

* CATEGORIA 4: nesta categoria os circuitos de controlo asseguram as funções de segurança e estão disponíveis 

no caso de ocorrerem uma ou mais falhas. 

Atualmente a norma EN 954-1 foi substituída pelas normas IEC 62061 e EN ISO 13849-1. 



Capítulo I 

NORMA IEC 62061 

A norma internacional IEC 62016 

considera cada função de segurança 

em detalhe tendo que ser 

elaborados requisitos de segurança 

específicos. Nestes requisitos 

incluem-se os seguintes pontos: 

Especificação funcional : O que 

cada função faz em pormenor. 

Especificação de integridade de 

segurança : Define a probabilidade 

de que o exigido à função será 

realizado sob condições especificas. 

A especificação de integridade de 

segurança, considera falhas de 

hardware e falhas de sistema. As falhas de sistema são aquelas que estão relacionadas com causas especificas e 

apenas podem ser evitadas pela remoção das respetivas causas, geralmente através de uma modificação do 

desenho. Em geral estas falhas resultam de especificações incorretas no inicio do projeto. 

Na norma IEC 62061 é estabelecido um requisito de integridade de segurança através de um valor que indica a 

probabilidade de falhas perigosas por hora para cada função de segurança relacionada. O valor para o Nivel de 

Integridade de Segurança SIL é calculado através do nível de segurança de cada componente ou de cada subsistema. 

A determinação do SIL (“Safety Integrity Level”) é exemplificada na tabela seguinte : 

NORMA EN ISO 13849-1 

A norma europeia EN ISO 13849-1 elaborada pelo CEN – Comité Europeu de Normalização sobre égide da ISO define 

um nível de desempenho de segurança denominado de PL (“Perfomance Level”) traduzido pela atribuição das letras 

A, B, C, D ou E. Tal como a norma EN62061 também estabelece este valor a partir da probabilidade de falhas tendo 

em conta 3 variáveis. Essas variáveis são as seguintes: 

MTTF (“Mean Time to Failure”) : Tempo estimado até ocorrer uma falha perigosa e que é estabelecido através 

do seguinte quadro : 



Capítulo I 

DC (“Diagnostic Coverage”) : É uma medida que indica quantas falhas perigosas o sistema de diagnóstico irá 

detetar. É estabelecido através do seguinte quadro: 

CATEGORIA : São as mesmas que estão estabelecidas no anexo 2 da norma EN 945-1 (ver pag.8). 

Com as três variáveis anteriores (MTTF, DC e CATEGORIA) é encontrado o nível PL. Na tabela seguinte é apresentado 

um método simplificado de determinação desse nível PL conforme a Tabela 7 da norma ISO 13849-1. 

Podemos também determinar o PL exigido através de um gráfico de risco como mostra a figura seguinte: 

As normas EN 62061 e EN 13849 sobrepõem-se na sua aplicação. 

Elas são semelhantes em diversos aspetos, havendo uma relação precisa 

entre ambas. A escolha da norma a utilizar depende do fabricante e de acordo 

com a tecnologia adotada. 

No entanto a norma EN 13849 é mais fácil de se aplicar tanto pela sua 

abordagem como pela reutilização de conceitos já conhecidos, na norma 

anterior EN 954-1. 



Capítulo I 



Capítulo II 

II – Terminais e dispositivos de segurança 

Apresentação dos componentes de segurança para o TwinSAFE 

O módulo TwinSAFE do TwinCAT 3 é o software de programação 

para os PLCs ou controladores de segurança BECKHOFF. 

O modulo de software TwinSAFE só por si não permite construir um 

sistema seguro. É necessário ter hardware que agrupe a lógica 

residente no software TwinSAFE com os órgãos funcionais 

perigosos da máquina industrial, através de equipamentos seguros. 

O hardware necessário é constituído por dois grupos funcionais: 

- 1º grupo é constituído por terminais de segurança que são incorporados no hardware do PLC ou controlador 

lógico de segurança BECKHOFF (cartas de entradas e saídas digitais seguras). 

- 2º grupo é constituído por dispositivos de segurança (bimanual, botão de emergência, barreiras luminosas, 

portas de acesso seguro, etc) , externos ao PLC ou controlador de segurança, que são instalados fisicamente 

na máquina industrial que pretendemos certificar segundo as normas de segurança. 

II-1 – Terminais de segurança BECKHOFF 

Os terminais de segurança que a BECKHOFF disponibiliza dividem-se em dois grupos. O grupo dos controladores 

lógicos de segurança e o grupo das cartas de entradas e saídas seguras. 



Capítulo II 

O programa de segurança, na Beckhoff, é desenvolvido no editor do TwinCAT3 pasta SAFETY e correrá nos módulos 

lógicos EL6900, EL6910, EL6930 ou no PLC EK1960. Este programa é separado do programa do automatismo clássico, 

residente no softPLC TwinCAT PLC. 

Os dispositivos de monitorização (entradas de segurança) dos equipamentos de segurança estão ligados 

eletricamente às cartas KL1904, EL1904 ou EP1908. 

Os dispositivos de acionamento de segurança (saídas de segurança), que irão cortar as energias ou movimentos 

perigosos através de relés ou contatores, estão ligados às cartas EL2902 ou EL2904. 

Ambos são certificados como dispositivos de segurança. A comunicação entre a placa controladora de segurança 

(ex. EL6900) e as entradas/saídas seguras (ex. EL1904/EL2904) é feita através da rede EtherCAT. Isso é possível 

porque a comunicação usa um protocolo, certificado para segurança, designado por FSoE (Fail-safe over 

EtherCAT). Devido à enorme flexibilidade do sistema podemos ter, na mesma rede, mais do que um controlador de 

segurança. 

II-1.1 – Especificações dos terminais de entradas seguras (KL/EL/EJ 19xx) 

Os terminais (também designadas na gíria técnica 

cartas) com entradas digitais para segurança 

máquina, disponíveis na BECKHOFF, são os seguintes: 

Barramento KL (K bus) 

- KL1904 (4 entradas digitais seguras) 

Barramento EL (EtherCAT) 

- EL1904 (4 entradas digitais seguras) 

- EP1908-002 (8 entradas digitais seguras) 

Barramento EJ (EtherCAT) 

Nota : Ainda não disponíveis no mercado 

- EJ1914 (4 entradas digitais seguras) 





Capítulo II 

Como exemplo, a carta EL1904 (na figura em baixo) possui 4 canais de entradas seguras. A estes 4 canais ligamos 

eletricamente equipamentos de segurança. Esses equipamentos de segurança podem ser botões de paragem de 

emergência, comando de máquina bimanual, portas de controlo de acesso a zonas perigosas, scanners laser para 

zonas perigosas, barreiras luminosas, tapetes de segurança de zona, etc 

II-1.1.1 – Diagrama de bloco do EL1904 

II-1.1.2 – Teste de impulsos nas entradas seguras 

Em cada canal da carta EL1904 podemos efetuar o teste ao circuito elétrico do 

equipamento de segurança a que está ligado. Este teste é feito através do gerar 

de um trem de impulsos. Estes impulsos permitem detetar falhas nos contatos 

do circuito elétrico através de curto-circuitos forçados externamente ou circuitos 

cruzados vindos de outras cartas. 

O comprimento temporal do impulso é de cerca 350 µs e repete-se 250 vezes por 

segundo. A comutação da saída, para este impulso, faz-se de 24 a 0Vdc. Estes 

impulsos “saem” pelos terminais Input 1+ … 4+ e deverão “entrar” nas entradas 

do respetivo par Input 1- … 4-. Estes trens de impulsos são independentes e 

assíncronos (desfasados no tempo). O tempo do ciclo deste teste nos 4 canais é 

de cerca 4 ms. Na figura, em baixo nesta pagina, está representado um diagrama 

temporal para o trem de impulsos gerado em cada um dos canais. 

test active” ativando-o a TRUE. 

Para termos esta função de teste de impulsos em cada um dos canais da carta 

EL1904 teremos, no TwinSAFE (EtherCAT), de configurar o parâmetro “Sensor 



Capítulo II 

II-1.1.3 – Tabela dos parâmetros do EL1904 (“Safety Parameters”) 

Nome Parâmetro Significado Valor 

“FS Operating Mode” Endereço FS0E atribuído pelo DIP switch 1 a 65535 

“Operating Mode” 

[8000:01] 

Modo de Operação das entradas digitais 

de segurança 

“digital” 

“standstill monitoring 1” ou “2” 

“Sensor test Channel 1 Gerar trem de impulsos a sair pelo Input TRUE / FALSE 

active” [8001:01] 

1+ e a entrar em Input 1- 


active” [8001:02] 



active” [8001:03] 



active” [8001:04] 


“Logic Channel 1 and 2” 

[8002:01] 

Ativar a combinação lógica entre o canal 

1 e 2 

+ “single logic channel 1/2” 

+ ”asynchronous analyses OSSD, …” 

(o teste do sensor deve estar OFF) 

+ ”any pulse repitition OSSD,…” 


+ ”short cut channel 1/2, …” 

(não dever ser considerada falha) 

“Logic Channel 3 and 4” 

[8002:03] 

Ativar a combinação lógica entre o canal 

3 e 4 

“Store code” Necessário para o “Restore Mode” 0x0000 

“Project CRC” Necessário para o “Restore Mode” 0x0000 

+ “single logic channel 3/4” 

+ ”asynchronous analyses OSSD, …” 


+ ”any pulse repetition OSSD,…” 


+ ”short cut channel 3/4, …” 

(não dever ser considerada falha) 

II-1.1.4 – Exemplos de configuração dos parâmetros do EL1904 

Para cada tipo de equipamento de segurança (bimanual, botão de emergência, barreiras luminosas, etc) temos de 

configurar os parâmetros, mostrados na tabela anterior, de maneira diferente. De seguida demonstramos, com 

diversos exemplos, essas configurações. 

Exemplo 1: Configuração da EL1904 com Barreiras Luminosas (ligth barriers) 

Só sensores (barreiras luminosas ou scanners laser de segurança máquina) com autoteste das suas saídas, com um 

impulso máximo de 350 µs, é que se podem ligar à carta EL1904 (veja a figura seguinte). 



Capítulo II 

Parâmetros para as barreiras luminosas ou scanners laser de segurança (“Safety Parametrs”): 

A figura seguinte mostra as configurações dos parâmetros para uma barreira luminosa de segurança ligada 

eletricamente ao Input 1 e 2 da carta EL1904. Neste exemplo o parâmetro 8002:01 também podia ser configurado 

com ”any pulse repetition OSSD, sensor test deactivated”. Os parâmetros 8001:01 e :02 do Input 1 e 2 têm de ter 

o teste “Sensor test Channel ? active” desativado (FALSE). 

Exemplo 2: Configuração da EL1904 com tapetes de segurança (switching mats) 

Esta carta suporta também tapetes de segurança para zonas de trabalho perigosas. 

Parâmetros para os tapetes de segurança (“Safety Parametrs”): 

A figura seguinte mostra as configurações dos parâmetros para um tapete para zona de segurança ligada 

eletricamente ao Input 1 e 2 da carta EL1904. Neste exemplo, o parâmetro 8002:01 também podia ser configurado 

com ”any pulse repetition OSSD, sensor test deactivated”. 

II-1.1.5 – Diagnóstico de erros e estado 

Todas as cartas possuem no seu frontal um conjunto de 8 LED´s de cor verde ou vermelha. Estes LED´s transmitem 

aos operadores de manutenção ou de projeto o estado ou erros de funcionamento da carta. 

Os LED´s Diag 1, 2, 3, e 4 servem para diagnosticar erros funcionais da carta EL1904. 



Capítulo II 

1º LED: “Diag 1” (cor verde) - Indica o estado da interface do TwinSAFE 

Codificação do erro (piscar do LED) 

Significado 

LED aceso continuamente Em funcionamento normal : 

Sem erros e comunicação do TwinSAFE OK 

Piscar rápido, alternando com 1 impulso flash 

Erro nos parâmetros S (parâmetro TwinSAFE) 








Erro nos parâmetros I (parâmetro Individual) 

À espera dos parâmetros S e I. 

Parâmetros S, I corretos (espera ordem de controlo) 

Erro de watchdog. 

Erro de CRC 

Erro dado pelo nº de sequencia 

Erro de comunicação no protocolo TwinSAFE 

2º LED: “Diag 2” (cor vermelha) – Acende a cor vermelha quando deteta a injeção, numa entrada Input, de uma 

fonte de alimentação de 24Vdc externa à carta ou existe circuito cruzado. O erro apaga-se quando se elimina a causa. 

3º e 4º LED: “Diag 3” e “Diag 4” (cor vermelha) – Se o 3º LED (“Diag 3”) está aceso indica um erro interno que 

pode ser lido no 4º LED (“Diag 4”). O tipo de erro deve ser encontrado através do pulsar do LED “Diag 4” (ver tabela 

seguinte). A técnica de leitura é feita através de 4 sequências de impulsos luminosos do LED. Cada sequencia é 

separada por um espaço temporal curto. Após as 4 sequências há uma paragem longa. A tabela seguinte indica o tipo 

de erros conforme o numero de impulsos dentro das 4 sequências. 

LED “Diag 3” LED “Diag 4” (deve piscar seguindo 4 sequências de flashing) 

Sequencia Significado Solução 

ON 6-1-1-1 Temperatura máxima interna excedida Verifique a refrigeração do quadro de 

comando onde se encontra a carta EL. 

7-1-1-1 Temperatura interna inferior à mínima 

permitida 

2-1-2-1 Tensão alimentação máxima do µC1 

excedida 

Verifique a fonte de alimentação. 

3-1-2-1 Tensão alimentação máxima do µC2 

excedida 

4-1-2-1 Tensão alimentação do µC1 abaixo do 

limite mínimo 

5-1-2-1 Tensão alimentação do µC2 abaixo do 

limite mínimo 

8-1-1-1 Excedido a temperatura diferencial 

entre os pontos de medição 

Verifique a instalação e a temperatura 

ambiente. 

Se surgirem outras sequências significa que existem erros internos no terminal. Esses erros devem forçar a paragem 

do funcionamento da carta EL1904. 

II-1.1.6 – Objetos de diagnóstico (CoE objects) 

Os objetos de diagnóstico servem para internamente verificarmos as possíveis causas de maus funcionamentos da 

carta de segurança. 

Nunca deveremos alterar esses objetos CoE no editor TwinCAT. Qualquer alteração desses objetos leva 

definitivamente a carta de segurança para modo falha (Fail-Stop state). 



Capítulo II 

Índice FA80hex: Valores internos de temperatura 

O objeto CoE FA80hex indica o valor de temperatura interna atualmente na carta EL1904. 

Índece Nome Significado Flags Default 

FA80:01 “Temperature 1” Medição temperatura 1 RO 0bin 

FA80:02 “Temperature 2” Medição temperatura 2 RO 0bin 

Default = Valores vindos de fábrica 

Índice 800Ehex: Informação de diagnóstico 

O objeto CoE 800Ehex mostra mais informação de diagnóstico da carta EL1904. 

Índece Nome Significado Flags Default 

800E:0 Diagnóstico Os subíndices contem o diagnóstico RO 

Bit 

Detetado uma Fonte de Alimentação 

externa ou circuito cruzado. 

800E:0A Erro nos testes dos sensores 

0 1bin Erro no Input 1 0bin 

RO 




Erro que ocorre no teste a dois canais (ex. 

Bit 

canais não coordenados). 

800E:0B Erro no par de canais 

RO 

0 1bin Erro na 1ª entrada do par 0bin 

1 1bin Erro na 2ª entrada do par 0bin 

Erro em tapete de segurança Bit Erro no par de entradas 

800E:0C Modo de operação: 

1,0 1bin Erro no 1º par de canais RO 0bin 

“input pair disagree” 

3,2 1bin Erro no 2º par de canais 0bin 

Erro nos testes de impulsos com a 

Bit 

utilização de tapetes de segurança (ex. 

detetada uma fonte de alimentação 

RO 

externa). 

800E:0D 

Erro em tapete de segurança 

Modo de operação: 

“external supply” 







Capítulo II 

II-1.2 – Especificações dos terminais de saídas seguras (KL/EL/EJ 29xx) 

Os terminais de saídas digitais para segurança máquina, disponíveis na BECKHOFF, são os seguintes: 


- KL2904 (4 saídas digitais seguras) 


- EL2901 (contatos potencia 1 canal) 

- EL2902 (2 saídas digitais seguras) 

- EL2904 (4 saídas digitais seguras) 


Nota : Ainda não disponíveis no mercado 

- EJ2914 (4 saídas digitais seguras) 

- EJ2918 (8 saídas digitais seguras) 

- EJ2957 (4 ent. / 4 saídas digitais seguras) 

Como exemplo, a carta EL2904 (da figura) possui 4 canais de saídas seguras. A estes 4 canais ligamos eletricamente 

os equipamentos de corte (alimentados a 24Vdc) das energias perigosas (elétrica, cinética ou potencial). Esses 

equipamentos de corte são relés ou contatores de potência, trincos eletromecânicos, servo-drives, etc. 

II-1.2.1 – Diagrama de bloco do EL2904 

II-1.1.2 – Teste de Impulsos nas saídas seguras 

Em cada canal da carta EL2904 podemos efetuar o teste ao circuito elétrico do 

equipamento de corte, a que está ligada. Este teste é feito através do gerar de 

um trem de impulsos. Estes impulsos permitem detetar falhas nas ligações 

elétricas feitas aos relés, contatores ou trincos eletromagnéticos. 

O comprimento temporal do impulso está entre 350 µs a 800 µs e repete-se 5 

a 7 vezes por segundo. A comutação da saída, para este impulso, faz-se de 24 

a 0V e volta a 24Vdc. Estes impulsos “saem” em cada Output 1+ … 4+ e deverão 

“surgir” nas entradas do respetivo par Output 1- … 4-. Estes trens de impulsos 

são independentes e assíncronos (desfasados no tempo). Na figura 

apresentada, em baixo nesta pagina, está representado um diagrama 

temporal para o trem de impulsos gerado em cada um dos canais. 



Capítulo II 

Para termos esta função de teste de impulsos, em cada um dos canais da carta EL2904, teremos no TwinSAFE 

(EtherCAT) de configurar o parâmetro “current measurement” e o “testing of outputs active” a TRUE. Não existe 

razão funcional termos o parâmetro “current measurement” a TRUE e o “testing of outputs active” a FALSE. 

II-1.2.3 – Tabela dos parâmetros do EL2904 (“Safety Parameters”) 

Nome Parâmetro Significado Valor 

“Standard outputs active” Podemos colocar uma saída da carta EL2904 a ser comutada TRUE/FALSE 

[8000:01] 

por uma condição residente no PLC standard. A saída é 

linkada com um sinal lógico “AND”. 

“Current measurement active” A medição de corrente de consumo do rele ou contator está TRUE/FALSE 

[8000:02] 

ativa (faz a medição). 

“Testing of outputs active” 

[8000:03] 

O teste de impulsos do respetivo canal é ativado. 

TRUE/FALSE 

“Error acknowledge active” 

[8000:04] 

Com o valor TRUE: 

Erros na carta EL levam a um RESET nas ligações do TwinSAFE 

(erro 14 [0x0E]). Este código de erro é mostrado nos dados de 

diagnóstico e mantem-se até reconhecermos o erro, através 

da flag “ErrAck”, no grupo do TwinSAFE. 

Com o valor FALSE (valor de fábrica): 

Erros na carta EL só se pode fazer o RESET através do corte 

de energia à carta e reinicia-la de novo. 

TRUE/FALSE 

“Store code” Necessário para o “Restore Mode” 0x0000 

“Project CRC” Necessário para o “Restore Mode” 0x0000 

NOTA : 

Se tivermos os parâmetros “current measurement active” ou o “testing of outputs active” ativo (TRUE) cada um 

dos canais Output 1 a 4 geram impulsos de teste. Se há indicação de erro na carta EL, por incompatibilidade funcional 

dos equipamentos de corte (relés ou contatores) que utilizamos na aplicação, devemos por os dois parâmetros 

anteriores a FALSE. Não existe e não faz qualquer sentido termos os parâmetros “testing of outputs active” a FALSE 

com a propriedade “current measurement active” a TRUE. 

Ao desligarmos estes dois parâmetros reduzimos a classificação do nível de segurança da máquina industrial em 

que está instalado o sistema Beckhoff TwinSAFE. 



Capítulo II 

Janela dos parâmetros da carta EL2904. 

II-1.2.4 – Diagnóstico de estado e erros 

Todas as cartas possuem no seu frontal um conjunto de 8 LED´s de cor verde ou vermelha. Estes LED´s transmitem 

aos operadores de manutenção ou de projeto o estado ou erros de funcionamento da carta. 

Os LED´s Diag 1, 2, 3, e 4 servem para diagnosticar erros funcionais da carta EL2904. 



LED aceso continuamente 

Significado 

Em funcionamento sem erros. 

2º LED: “Diag 2” (cor vermelha) - Indica o estado das saídas digitais de segurança da carta EL 


Significado 

Piscar rápido, alternando com 1 impulso flash Erro na saída 1 (Output 1) 




Piscar rápido, alternando com 5 impulso flash Nível de tensão baixo 

Piscar rápido, alternando com 6 impulso flash Nível de tensão alto 

Piscar rápido, alternando com 7 impulso flash Temperatura interna no terminal muito baixa 

Piscar rápido, alternando com 8 impulso flash Temperatura interna no terminal muito alta 

Piscar rápido, alternando com 9 impulso flash Erro no diferencial de temperatura 

Piscar rápido, alternando com 10 impulso flash Erro no circuito de saída 

Estes erros só podem ser “apagados” após a eliminação do erro, com o corte da energia elétrica à carta. 

3º e 4º LED: “Diag 3” e “Diag 4” (cor vermelha) – Se o 3º LED (“Diag 3”) se encontra aceso indica um erro interno. 

Este erro força o desligar deste terminal. O tipo de erro deve ser encontrado através do pulsar do LED “Diag 4” (ver 

tabela seguinte). A técnica de leitura é feita através de 4 sequências de impulsos luminosos do LED. Cada sequencia 

é separada por um espaço temporal curto. Após as 4 sequências há uma paragem longa. A tabela seguinte indica o 

tipo de erros conforme o numero de impulsos dentro das 4 sequências. Esta contagem deve ser enviada para a 

Beckhoff quando da reparação do terminal E2904. 



Capítulo II 



carta de segurança. Nunca deveremos alterar esses objetos CoE no editor TwinCAT. Qualquer alteração desses 

objetos leva definitivamente a carta de segurança para modo falha (Fail-Stop state). 



Índice Nome Significado Flags Default 

FA80:01 “Temperature 1” Medição temperatura 1 (lado esquerdo) RO 0bin 

FA80:02 “Temperature 2” Medição temperatura 2 (lado esquerdo) RO 0bin 

FA80:02 “Temperature Outputs” Medição temperatura saídas (lado direito) RO 0bin 


Índice 800Ehex: Informação de diagnóstico 

O objeto CoE 800Ehex mostra mais informação de diagnóstico da carta EL2904. 


800E:0 Diagnóstico Os subindices contem o diagnóstico RO 

Bit 

Detetado uma Fonte de Alimentação externa 

ou circuitos cruzados * 

0 1bin Erro no Output 1 0bin 




800E:0C Erro nas saídas 

RO 

Circuito aberto ou corrente inferior a 20mA ou 

Bit 

corrente superior a 500mA** 





800E:0D 

Bit Tensão (power contacts) fora dos limites RO 

Erro na fonte de 

0 1bin Tensão muito alta 0bin 

alimentação 

1 1bin Tensão muito baixa 0bin 



Capítulo II 

800E:0E 

Erro de temperatura nos 

microcontroladores da 

carta EL 

Bit Temperatura fora das especificações RO 

0 1bin Temperatura alta no µC1 0bin 

1 1bin Temperatura alta no µC2 0bin 

2 1bin Temperatura alta na carta de saída 0bin 

3 1bin Temperatura baixa no µC1 0bin 

4 1bin Temperatura baixa no µC2 0bin 

5 1bin Temperatura baixa carta saída 0bin 

6 1bin Diferencial Temperatura alta (µC´s) 0bin 

7 1bin Diferencial Temperatura alta na EL 0bin 

*) Esta mensagem de diagnóstico só é indicada se o teste “Current Measurement” estiver ativo (FALSE) 

**) Esta mensagem de diagnóstico só é indicada se o teste “Current Measurement” estiver ativo (TRUE) 

II-1.2.6 – Possíveis causas das mensagens de diagnóstico 

Diagnóstico Possíveis causas Acão corretiva 

Se o parâmetro “Testing of outputs active” e / ou “Current measurement active” estão 

ativos: 

Falha no teste de impulsos. 

Causa: ligações cruzadas ou a utilização de fontes de Elimine estas duas causas. 

alimentação externa à carta. 

Falha no teste de impulsos. 

Utilização de cabos isolados e 

Causa: A utilização de caminhos comuns de cabos 

separados, através da utilização de 

pode induzir sinais de ruido acoplados pelas 

caminho de cabos diferentes. 

capacidades parasitas entre cabos. 

O LED “Diag 2” 

pisca 1,2,3,4 ou 

10 impulsos flash 

Falha na medição de corrente de carga. 

Causa: O consumo de corrente pela carga (relé) é 

inferior a 20mA ou superior a 500mA. 

Escolha um relé ou contator que 

tenha um consumo de corrente 

entre 20 a 500 mA. 

Independentemente de os parâmetro “Testing of outputs active” e / ou “Current 

measurement active” estarem ativos: 

Os níveis da tensão de alimentação ultrapassam os 

limites permitidos (24Vdc -15% / + 20%). 

Causa: A possível causa é a existência de um curtocircuito 

na saída do terminal ou a existência uma 

queda brusca de tensão quando da comutação da 

carga (relé ou contator). 

Falha EMC (compatibilidade eletromagnética) 

Elimine o curto-circuito. Verifique a 

potencia máxima da Fonte de 

Alimentação elétrica, se é a 

adequada. 

Tome medidas em relação ao ruido 

RF (Radio Frequência). 


pisca 5 impulsos 

flash 

Defeito interno na carta EL 

Não há tensão elétrica nos contatos de potência 

(facas existentes no lado esquerdo do terminal EL). 

A tensão nos contatos de potência liga depois de ligar 

a alimentação do terminal EL. 

Tensão baixa nos contatos de potência (facas 

existentes no lado esquerdo do terminal EL). 



Substitua a carta EL 

Ligue a fonte de alimentação que 

alimenta os contatos de potência. 

Faça o Reset do erro (“PowerOn 

Reset”) 

Ligue a fonte de alimentação que 

alimenta os contatos de potência 

antes ou ao mesmo tempo que o 

terminal EL. Faça o Reset do erro 

(“PowerOn Reset”) 

Coloque o nível de Tensão elétrica 

para os valores corretos e faça o 

Reset do erro (“PowerOn Reset”). 






Nível de tensão elétrica muito alta nos contatos de 

potência. 

Capítulo II 

Reduza o nível de Tensão elétrica 

para os valores corretos e faça o 

Reset do erro (“PowerOn Reset”). 



flash 



flash 



flash 



flash 

Existência de picos de tensão elétrica nos contatos de 

potência, provocados pelo acionamento de cargas 

indutivas ( contatores de potência). 


Erro interno na carta EL 

Temperatura no terminal muito baixa 



Temperatura no terminal muito alta 



Os diferenciais de temperatura muito altos entre os 

3 pontos de medição internos. 



Elimine ou reduza esses picos de 

tensão colocando um filtro RC ou 

um díodo de “roda livre” em 

paralelo com a bobine do contator. 




Cumpra as gamas de temperatura 

especificadas na documentação. 




Cumpra as gamas de temperatura 

especificadas na documentação. 




Um dos pontos de medição deve 

estar em falha. Substitua o terminal. 

Um ponto de medição interno 

mostra uma leitura elevada. 

Aumente a refrigeração do quadro 

de comando e/ou verifique a 

colocação do terminal cumprindo 

as regras de boas praticas de 

instalação mecânica, evitando a sua 

instalação junto a fontes de calor. 






Capítulo II 

II-1.3 – Especificações dos terminais com controlador lógico TwinSAFE (KL/EL/EJ 69xx) 

Os terminais, que correm o programa lógico de 

segurança TwinSAFE, disponível são os seguintes: 


- KL6904 


- EL6900 

- EL6910 (ainda não disponível) 

- EL6910 (TwinSAFE e PROFIsafe) 


Nota: Ainda não disponíveis no mercado 

- EJ6910 

PLC de Segurança EK (EtherCAT) 

Nota: Ainda não disponíveis no mercado 

- EK1960 

Este terminal EL6900 permite interligar as entradas EL19xx com as saídas EL29xx seguras seguindo a lógica de 

segurança residente no controlador da carta EL6900. Esta carta cumpre as normas IEC 61508:2010 SIL 3, DIN EN ISO 

13849-1:2006 (Cat4, PLe), NRTL, UL508, UL1998 e UL991. 

Este controlador lógico de segurança, tal como os terminais de entrada e saídas seguras EL, deverão estar 

incorporadas em rede EtherCAT com módulos de cabeceira (Bus Couplers) EKxxxx ou PC embebidos CXxxxx. 

II-1.3.1 – Programação do código lógico de segurança 

O programa lógico de segurança irá estar residente no controlador EL6900, EL6910 ou EL6930. O programa de 

segurança Homem-Máquina não poderá estar residente em um PLC convencional, como o softPLC TwinCAT. Os 

procedimentos necessários para construir um programa de segurança TwinSAFE serão explicados detalhadamente 

no Capitulo III, deste manual. 

II-1.3.2 – Diagnóstico de estado e erros 

O terminal lógico de segurança EL6900 possui no seu frontal um conjunto de 8 LED´s de cor verde ou vermelha. Estes 

LED´s transmitem aos operadores de manutenção ou de projeto o estado ou erros de funcionamento da carta. 

Os LED´s Diag 1, 2, 3, e 4 servem para diagnosticar erros funcionais da carta EL6900. Os LED´s State 1, 2, 3 e 4 indicam 

o estado em que se encontra o terminal EL6900. 



Capítulo II 

- LED´s de INDICAÇÃO DE ERRO 

Através dos LED´s “Diag 1”, “Diag 2”, “Diag 3” e “Diag 4” conseguimos saber se existe um erro no controlador lógico 

TwinSAFE EL6900 e qual a sua causa. 


Codificação do erro (piscar do 1º LED) 

LED aceso continuamente (ON) 

Significado 

Programa de segurança guardado no controlador. 

2º LED: “Diag 2” (cor vermelha) - Indica o estado interno do controlador de segurança EL6900 (em preparação). 

3º e 4º LED: “Diag 3” e “Diag 4” (cor vermelha) – Se o 3º LED (“Diag 3”) se encontra aceso (ON) indica um erro 

interno. Este erro força o desligar deste terminal. O tipo de erro deve ser encontrado através do pulsar do LED “Diag 

4” ou se estiver desligado (OFF). Ver a tabela seguinte: 

4º LED-Codificação erro (com 3º LED=ON) Significado 

A piscar Erro no µC1 

Desligado (OFF) Erro no µC2 

3º e 4º LED: “Diag 3” e “Diag 4” (cor vermelha) – Se o 3º LED (“Diag 3”) se encontra desligado (OFF) indica o estado 

do terminal. Ver a tabela seguinte: 

4º LED-Codificação estado (com 3º LED=OFF) Significado 

Piscar 1 flash (piscar uniforme) 

Erro da Função Bloco de grupo do TwinSAFE 

Piscar 2 flash (pausa longa entre Impulsos flash) Erro de comunicação de grupo do TwinSAFE 

Piscar 3 flash (pausa longa entre impulsos flash) Erro de Função Bloco e comunicação de grupo TwinSAFE 

Níveis de tensão de alimentação ou temperatura interna 

Aceso 

do terminal fora da gama permitida. O diagnóstico 

detalhado pode ser visto no objeto FA00hex. 

- LED´s de INDICAÇÃO DE ESTADO 

Através dos LED´s “State 1”, “State 2”, “State 3” e “State 4” conseguimos saber o estado funcional do controlador 

lógico TwinSAFE, terminal EL6900. 

“State 1” “State 2” “State 3” “State 4” Significado 

OFF OFF OFF ON Não existe projeto (programa) de segurança TwinSAFE 

residente na sua memoria. 

OFF OFF ON ON Projeto presente na memoria do terminal 

Status da rede EtherCAT em Pre-OP (Pre-Operational) 

ON ON ON ON Projeto presente na memoria do terminal 

Status da rede EtherCAT em OP (Operational) 



carta de segurança. 

Nunca deveremos alterar esses objetos CoE no editor TwinCAT. Qualquer alteração desses objetos leva 

definitivamente a carta de segurança para modo falha (Fail-Stop state). 



Capítulo II 




FA80:01 “Temperature Primary MC” Medição da temperatura 1 RO 0 

FA80:02 “Temperature Secondary MC” Medição da temperatura 2 RO 0 


Índice FA00hex: Informação de diagnóstico 

O objeto CoE FA00hex mostra mais informação de diagnóstico da carta EL6900. 


FA00:0 Diagnóstico Os subindices contem o diagnóstico detalhado RO 

Word Erros 

Erro de temperatura 

0005hex Temperatura máxima excedida 

0006hex Temperatura abaixo do limite mínimo 

FA00:03 

0007hex Diferencial de temperatura excedida 

0101hex Tensão máxima no µC 1 excedida 

RO 0000hex 

Erro na alimentação 

0102hex Tensão máxima no µC 2 excedida 

0103hex Tensão mínima no µC 1 abaixo do limite 

0104hex Tensão mínima no µC 2 abaixo do limite 



Capítulo II 

II-2 – Dispositivos de segurança 

Existem no mercado uma vasta gama de dispositivos de comando de segurança máquina. Estes dispositivos são 

fornecidos por diversas marcas (Siemens, Schmersal, Banner, Sick, Schneider, etc). A BECKHOFF no seu portfolio de 

produtos não possui dispositivos de segurança para venda, somente terminais e PLC´s de segurança. 

Da gama variada de dispositivos de segurança destacamos os seguintes: 

Comandos de paragem de emergência (“ESTOP – Emergency Stop”) 

Comandos de bimanual ( “Two-hand control”) 

Barreiras óticas de segurança (“Safety ligth curtain”) 

Scanners laser de segurança (“Safety laser scanner”) 

Tapetes e batentes de segurança máquina (“Safety switch mat / Safety bumper”) 

Trincos de porta segurança (“Guard locking switching / tumbler”) 

Portas de proteção de máquinas (“Protective door machine”) 

Cada um destes dispositivos de segurança tem funcionalidades especificas no cumprimento das normas de 

segurança-máquina. De seguida iremos abordar, de uma maneira ligeira, as características técnicas de cada um 

destes dispositivos. 

II-2.1 – Comandos de paragem de emergência (“STOP – Emergency Stop”) 

Toda a máquina industrial deverá ter um dispositivo de paragem de emergência (ESTOP). São dispositivos com 

acionadores, geralmente na forma de botões tipo cogumelo de cor vermelha, colocados em local visível na máquina 

ou próximo dela e sempre ao alcance do operador. Quando acionados, tem a finalidade de parar todo e qualquer 

movimento perigoso de órgãos pertencente à máquina. 

Devem ser monitorizados por um relé ou PLC de segurança. No caso de utilizarmos controladores de segurança 

BECKHOFF, os seus contatos elétricos deverão estar ligados eletricamente a entradas seguras (ex. terminal EL1904) 

e vigiados através do programa de segurança TwinSAFE residente em um controlador de segurança (ex. EL6900) ou 

PLC de segurança (ex. EK 1960). 

Quando são utilizados comandos de bimanual, ligados por fichas rápidas (removíveis), que contenham um botão de 

paragem de emergência este não pode ser único. Deve haver um outro dispositivo de paragem de emergência, no painel 

de controlo ou no corpo da máquina. É necessário ainda a adoção de medidas para evitar confusão entre os controlos 

ativos e inativos. 



Capítulo II 

Esquema elétrico do Comando de paragem de emergência de segurança 

Nestes dispositivos de segurança de emergência (ESTOP) podemos ter duas configurações elétricas. Uma com 2 contatos 

Normalmente Fechados (NF) ou um contato NF e outro Normalmente Aberto (NA). Em ambos os casos os contactos são 

guiados mecanicamente. Nas ligações aos terminais da BECKHOFF usam-se os dois contatos NF. Com o comando de 

paragem de emergência ligado eletricamente a entradas seguras dos terminais de segurança EL1904 e controlado 

por um controlador lógico TwinSAFE conseguimos obter a categoria CAT 4/PL=e. 

II-2.2 – Comandos de bimanual (“STOP – Two-hand control”) 

Os comandos de bimanual são constituídos por 2 botões de pressão que pertencem ao mesmo dispositivo de 

proteção. Estes 2 botões não podem estar separados e tem de pertencer a mesma caixa de comando. Em geral, 

serve para assegurar a “ocupação” de ambas as mãos em simultâneo do operador da máquina. Assim, ambas as 

mãos ficam fora da área perigosa. Este operador é o responsável de dar inicio aos movimentos, dos órgãos da 

máquina, considerados perigosos. Deverá manter o comando bimanual ativo durante o tempo que o perigo esteja 

presente na máquina. 

Os comandos de bimanual são montados, na forma standard, com um comando de paragem de emergência (de 

acordo com a norma EN ISSO 13850) e dois botões de pressão. Alem disso existem coberturas de proteção mecânica, 

sobre os botões de pressão, as quais protegem contra a manipulação incorreta do bimanual com outras partes do 

corpo humano, tais como cotovelos, barriga, ancas, coxas, joelhos, etc. 

Esquema elétrico de Comando bimanual de segurança 

Nestes dispositivos de segurança de bimanual temos 2 contatos. 1 contato é Normalmente Fechado (NF) e o outro um 

contato Normalmente Aberto (NA). Ambos os contactos são guiados mecanicamente. Nas ligações aos terminais da 

BECKHOFF usam-se os contatos NF e NA. Com o comando bimanual instalado com os terminais de segurança EL1904 

e os controladores lógicos TwinSAFE conseguimos obter a categoria CAT 4/PL=e. 



Capítulo II 

II-2.3 – Barreiras óticas de segurança (“Safety ligth curtain”) 

Quase todas a máquinas industriais possuem órgãos com movimentos ou outro tipo de energia que poderá causar 

dados ao operador. Para restringir o acesso a essas zonas, cujos órgãos estão em funcionamento, com energia 

cinética, potencial, elétrica ou térmica são usadas barreiras luminosas ou cortinas óticas de segurança. Estas 

barreiras tem a função de cortar ou desligar essa energia (cinética, potencia, elétrica ou térmica) dos órgãos 

funcionais perigosos, quando violamos a zona perigosa. 

Estas barreiras óticas de segurança permitem serem integradas, dentro do conceito de segurança máquina, em 

espaços reduzidos. A sua grande aplicação é a proteção a pessoas, mãos ou mesmo dedos em máquinas industriais 

como prensas eletromecânicas, hidráulicas, pneumáticas, entre outras aplicações industriais. 

Esquema elétrico ou eletrónico das Barreiras óticas de segurança 

A parte eletrónica das barreiras luminosas já possui uma categoria de segurança de nível mais alto. Isto obriga que 

os sinais elétricos (com informação de segurança) que são transmitidos, ao terminador da BECKHOFF, sejam testados 

no controlo eletrónico da barreira luminosa. Este auto-teste (teste de impulsos) das saídas seguras da barreira é 

designado por OSSD (“Output Signal Switching Device”) . Com as barreiras óticas de segurança, ligadas eletricamente 

aos terminais de segurança EL1904 e controladores lógicos TwinSAFE, conseguimos obter a categoria CAT 4/PL=e. 



Capítulo II 

II-2.4 – Scanners laser de segurança (“Safety laser scanner”) 

Um scanner laser permite que configuremos zonas ou áreas que pretendemos proteger contra a intrusão de pessoas. 

A grande vantagem é poder facilmente e por software desenhar essas áreas mesmo tendo formatos complexos. 

Efetivamente protegem operadores de máquina bem como sistemas moveis, para uma determinada área. 

Os scanners laser de segurança são uma solução para proteção de obstáculos em veículos autónomos (AGV´s – 

“Automated Guided Vechiles” ) como para zonas de trabalho de células robotizadas, entre outras aplicações. 

Através do software podemos programar diversos campos com funções de segurança diferentes. Podemos ter uma 

área considerada perigosa e logo teremos de a proteger contra a intrusão de pessoas provocando assim a paragem 

do movimento perigoso da máquina. Também podemos ter outras zonas de trabalho que serão de aviso e que não 

provocam, quando são violadas, a pagarem da mesma máquina. 

Esquema elétrico ou eletrónico do Scanner laser de segurança 

Com os scanners laser de segurança instalados com os terminais de segurança EL1904 e controladores lógicos 

TwinSAFE conseguimos obter, no máximo, a categoria CAT 3/PL=e. Todavia, tal como as barreiras luminosas de 

segurança, os sinais elétricos (com informação de segurança) que são transmitidos ao terminador da BECKHOFF são 

testados. Este auto-teste (teste de impulsos) das suas saídas é designado, tal como nas barreiras luminosas, por 

OSSD (“Output Signal Switching Device”) . 



Capítulo II 

II-2.5 – Tapetes e batentes de segurança (“Safety mat and bumper”) 

Os tapetes e batentes de segurança são sensíveis à pressão. São revestidos por um invólucro selado em um isolante 

de alta resistência (IP67) para uso em ambientes industriais agressivos. A superfície do topo pode ser escolhida em 

alumínio ou PVC o que permite a sua utilização em ambientes adversos tanto mecanicamente, térmico ou químico. 

Existe uma norma própria para os tapetes de segurança que é a norma EN1760-1. Com uma correta instalação 

elétrica usando os terminais da BECKHOFF EL1904 e controladores lógicos TwinSAFE podemos obter a categoria de 

segurança CAT 4/PL=e. 

Esquema elétrico ou eletrónico dos Tapetes ou batentes de segurança 

O circuito elétrico dos tapetes ou dos batentes de segurança é constituído por 4 fios elétricos (dois circuitos 

redundantes independentes). 

A figura em baixo mostra o esquema elétrico de principio dos tapetes ou batentes de segurança (sensor). O tapete 

de segurança esta representado por um contato Normalmente Aberto (NA) em paralelo com a bobine do rele K1 

(corresponde a uma entrada segura do terminal EL1904). 

Quando o tapete de segurança está em funcionamento, sem presença de pessoas a pressiona-lo, é enviado uma 

pequena corrente para o sensor (ex. através da entrada Input 1+ da EL1904) que provoca o acionamento do relé K1 

(ex. não há retorno dessa corrente na entrada Input1– da EL1904). Neste caso, sem presença de pessoas em cima 

do tapete o contato do sensor está em circuito aberto. 

Em caso de alguém pisar o tapete o sensor fecha o contato, o que provoca um curto-circuito, deixando assim de 

excitar o relé K1 (ex. há retorno de corrente na entrada Input- da EL1904). Neste caso entramos em modo de falha. 

Uma resistência balastro (R), que se encontra em serie no circuito, limita a corrente máxima de curto-circuito. 

Com os tapetes de segurança instalados com os terminais de segurança EL1904 e controladores lógicos TwinSAFE 

conseguimos obtemos a categoria CAT 4/PL=e. 

Resumo : Em posição de “proteção” o sensor / tapete está a ser “pisado” (pressionado) o que provoca ter o contato 

elétrico fechado. Em estado normal (não “pisado”) o contato elétrico está aberto. 



Capítulo II 

II-2.6 – Portas e trincos de segurança (“Protective door machine and tumbler”) 

A alternativa às barreiras óticas de segurança é a utilização de proteções físicas que limitem o acesso às zonas 

perigosas da máquina. No caso de o operador de máquina necessitar de aceder a essas zonas, frequentemente, 

temos de colocar essas proteções físicas com movimento de abertura e fecho. 

Essas proteções físicas moveis designadas de portas de segurança máquina terão de ser monitorizadas, pelo 

controlador lógico de segurança TwinSAFE, através da colocação de fins de curso de segurança. Em algumas 

situações de máquinas com energia cinética ou potencial, perigosa para o operador, a porta de segurança só se deve 

abrir quando essa energia desaparecer. Nestas situações são colocados trincos eletromecânicos de segurança que 

inibem e encravam a abertura da porta, pelo operador, enquanto permanecer o perigo. 

Com uma correta instalação elétrica usando os terminais da BECKHOFF EL1904 e controladores lógicos TwinSAFE 

podemos obter a categoria de segurança CAT 4/PL=e. 

Esquema elétrico funcional de Porta de segurança máquina 

Nas figuras seguintes mostramos dois esquemas de principio funcional de uma porta deslizante de acesso a zona 

perigosa. Na 1º figura só com dois fins de curso e na 2ª figura com trinco de encravamento de abertura de porta. 

Os dois fins de curso irão ser monitorizados por um terminal EL1904 através da ligação de 2 entradas seguras. O 

trinco eletromagnético será comandado pela lógica de segurança, residente no controlador lógico TwinSAFE, através 

de 1 saída segura da carta EL2904. 



Capítulo III 

III – TwinCAT 3.1 – Programação do modulo SAFETY 

Visão geral da aplicação TwinCAT 3.1 - SAFETY 

A versão 3 do TwinCAT tem incorporado um editor de programa para dispositivos de segurança homem-máquina, 

designada por SAFETY. 

A introdução do TwinCAT 3 no mercado da automação como uma ferramenta de desenvolvimento universal, na área 

dos automatismos industriais, criou novas possibilidades para as aplicações na área da segurança homem-máquina. 

Assim sendo, um PC Industrial (IPC) padrão pode ser utilizado como um controlador de segurança máquina, pela 

primeira vez. Isto é devido há existência de um Safety Runtime integrado. 

O editor de segurança SAFETY integrado no TwinCAT 3 permite a criação de uma aplicação (programa) de segurança 

num ambiente gráfico e independente do hardware a utilizar. O programa lógico de segurança é configurado com 

ajuda de blocos funcionais de segurança. Esses blocos funcionais são para correr nos terminais lógicos KL6904, EL6900, 

EL6910 e EL6930 ou no controlador lógico EK1960. 

III-1 – Programação do TwinCAT 3.1 SAFETY (Segurança Homem-Máquina) 

III-1.1 – Arquitetura base do hardware do kit de formação 

Nos capítulos seguintes iremos explicar os passos necessários para programar um sistema de segurança homemmáquina 

baseada em hardware BECKHOFF. 

O kit de formação, usado para a execução deste manual, é constituído pelo seguinte hardware : 

Modelo do PLC Sistema Operativo Versão do TwinCAT 

CX 5130 Windows Embedded Standard 7 (32bit) TC3.1.4020.0 

Tipo de modulo Modelo Endereço FSoE (DIP switch) 

Modulo lógico de segurança EL6900 1 

Modulo de entradas seguras (4 canais) EL1904 2 

Modulo de saídas seguras (4 canais) EL2904 3 



Capítulo III 

III-1.2 – Criar projeto de segurança no TwinCAT SAFETY 

A versão do TwinCAT em que executamos, neste capitulo, o programa 

de segurança homem-máquina foi a 3.1.4020.0. 

Para criar um projeto de segurança homem-máquina terá de abrir, em 

primeiro lugar, o editor de programa TwinCAT 3.1 e criar um novo 

projeto. 

Uma vez criado esse novo projeto poderá verificar que existe uma 

pasta designada por SAFETY, na arvore do seu projeto (coluna do lado 

esquerdo do editor). 

Ligue o seu PC (onde se encontra instalado o editor TwinCAT 3.1), 

através de um cabo Ethernet/RJ45, ao CX5130 e coloque o endereço 

IP dentro da mesma gama do CX. De seguida, poderá fazer um 

varrimento ao hardware existente no seu equipamento de controlo. O controlador CX5130 deverá estar, 

obrigatoriamente, no estado de CONFIG MODE (icon do TwinCAT com cor azul) para conseguirmos efetuar esse 

varrimento ao hardware. 

Para iniciar o varrimento clique, com a tecla direita do rato, na subpasta “Devices” da pasta I/O no comando “Scan”. 

O comando de scan irá detetar todo o hardware existente no seu equipamento (ex. kit de formação), tanto cartas 

EL/KL de segurança como cartas EL/KL standard. 

De seguida clique, com a tecla direita do rato, na pasta SAFETY. Iremos adicionar um projeto de segurança homemmáquina 

clicando no comando “Add New Item…”. 



Capítulo III 

De seguida selecione o template “TwinCAT Default Safety Project”. 

Na janela pop-up de dialogo escreva o nome do programador (“Author”) e o nome do projeto (“Internal Project 

Name”). 

Após concluído o passo anterior clique no botão de comando ”OK”. De seguida poderá verificar, expandindo a pasta 

SAFETY, a estrutura de objetos criados para o projeto de segurança “SPLC”. 



Capítulo III 

Clique duas vezes seguidas em “Target System”. Na janela de configuração do controlador de segurança “Target 

System” escolha o “EL6900”. De seguida deverá manualmente adicionar o hardware (“Devices”) existente no kit de 

formação. Para isso clique no icon esquerdo do “Physical Device:”, como mostra a figura seguinte. 

Adicionado o controlador EL6900 deverá confirmar o seu nº de serie e o endereço dado do DIP-switch (colocado no 

lado esquerdo da carta). O endereço de segurança FSoE “Safe Address” do software deverá estar sincronizado com 

o endereço do hardware (carta EL6900). 

Para executar a sincronização entre o endereço FSoE do hardware e o do escrito no software clique no icon, indicado 

por uma seta verde virada para cima, junto à janela do “Hardware Address:”. No kit de formação tem o valor de 1. 



Capítulo III 

Todas as cartas de segurança possuem na sua parte lateral esquerda um DIP-switch. Esse DIP-switch atribui ao 

equipamento um endereço (por hardware) para a rede de segurança FSoE. Esse endereço (indicado em binário no 

DIP-switch) poderá ser de 1 a 65535. O endereço é único, dentro da mesma rede. 

De seguida deverá guardar a configuração. Poderá reparar que o nome da pasta TAB da configuração do Target 

System (ex. SPLC*) apresenta um asterisco (*) no final. Isso indica que os dados da configuração ainda não se 

encontram guardados. Clique, com a tecla direita do rato, em cima do nome da pasta TAB (ex. SPLC*) e escolha o 

comando “Save Selected Items”. Deverá reparar que após esta operação o asterisco (*) desaparece do nome do 

projeto de segurança (ex. SPLC). 

Clique, com a tecla direita do rato, em “Alias Devices” e de seguida escolha o comando “Import Alias-Device(s)”. 

Com esta operação iremos colocar manualmente os alias (objetos) referentes às cartas EL de entradas e saídas de 

segurança. O objeto “ErrorAcknowledgementr.sds” que se encontra por baixo da pasta “Alias Devices” foi colocado 

automaticamente pelo software. 

Na janela pop-up que surgir clique no comando “Select All..” e de seguida clique em “OK”. 

Quando o sistema importar as configurações das cartas de segurança irá tentar ler os endereços dos DIP-switch 

(FSoE) de cada carta. Se anteriormente não sincronizou e salvou a configuração dos endereços FSoE de cada carta 



Capítulo III 

deverá receber mensagens de erro informando que terá de atualizar manualmente esses endereços FSoE, para cada 

alias existente. 

Após a importação sem falhas poderá visualizar, na pasta “Alias Devices”, os respetivos alias dos módulos de 

segurança. Existe um alias referente à carta de entradas seguras EL1904 e outro alias referente à carta de saídas 

seguras EL2904. 

Clique duas vezes seguidas no alias da carta EL1904 “Term3 (EL1904) – Module 1 (FSOES).sds” e na subpasta TAB 

“Linking”. Confirme a consistência entre o código de segurança do hardware com o do software. 

Os parâmetros de configuração, da carta de segurança de entradas EL1904, poderão ser visualizados e 

parametrizados na subpasta TAB “Safety Parameters”. 



Capítulo III 

Após a configuração e parametrização da carta EL1904 clique, duas vezes seguidas, no alias da carta EL2904 “Term4 

(EL2904) – Module 1 (FSOES).sds” e na subpasta TAB “Linking”. Confirme a consistência entre código de segurança 

do hardware com o do software. Os parâmetros de configuração, da carta de segurança de saídas EL2904, poderão 

ser visualizados e parametrizados na subpasta TAB “Safety Parameters”. 

Após a configuração anterior clique com a tecla direita em cima de da pasta “Alias Device” e selecione o comando 

“Add multiple standard variables” para criar variáveis para as entradas e saídas standard (não seguras). 

Quando surgir a janela pop-up escolha o nº de entradas e saídas standard que pretende usar. No nosso exemplo 

colocámos 2 entradas standard (“Standard In Var”) e 2 saídas standard (“Standard Out Var”). 

Clique com a tecla direita em cima no nome das variáveis de entrada ou saídas standard, criadas anteriormente. 

Escolha o comando “Rename”. Assim poderá renomear as designações atribuídas automaticamente pelo editor de 

programa, se assim o desejar. 



Capítulo III 

No nosso caso renomeamos as entradas e saídas standard com os nomes “RunStop.sds”, “EstopRestart.sds” e 

“CommErr.sds” como mostra a figura seguinte. 

III-1.3 – Criar programa de automatismo no TwinCAT PLC 

Após a configuração dos Alias, no editor de programa TwinCAT SAFETY, iremos criar um projeto de automação para 

o softPLC TwinCAT 3.1. No mesmo editor de programa teremos de saltar para a pasta PLC. 

Clique, com a tecla direita, em cima da pasta com o nome PLC e escolha o comando “Add New Item…”. Escolha o 

template “Standard PLC Project” e atribuía um nome a esse projeto (ex. DemoForTwinSAFE). 



Capítulo III 

Concretizado o passo anterior, comece a declarar no POU “Main” as seguintes variáveis locais (VAR). 

De seguida compile o programa. 

Após a compilação, sem erros, podemos verificar na subpasta “xxxxxxxxx Instance” (ex. DemoForTwinSAFE 

Instance”) as instancias criadas para as entradas e saídas standard. 

III-1.4 – Linkagem dos alias do projeto do SAFETY com o programa PLC 

Uma vez criadas as variáveis de entrada e saída standard que irão interagir com o modulo lógico de segurança 

teremos de seguida linkar essas variáveis, na pasta SAFETY do TwinCAT 3.1. Clique, duas vezes seguidas, no 

projeto SAFETY (Ex. SPLC Project”) e salte para a subpasta “Alias Devices” onde estão colocadas os alias das 

variáveis das entradas e saídas standard e de segurança. 



Capítulo III 

Clique, duas vezes seguidas, no primeiro alias “ErrorAcknowledgement.sds”. Na subpasta TAB “Linking” clique 

no botão de comando que se encontra no lado direita da janela “FullName”. Deverá surgir uma janela pop-up 

com as variáveis declaradas no programa do PLC. 

Deverá efetuar o mesmo procedimento para as linkagens dos restantes alias. 

III-1.5 – Criar programa de segurança do TwinCAT SAFETY 

Após as linkagens efetuadas daremos inicio à programação dos blocos funcionais de segurança. Para efetuarmos 

este passo teremos de clicar, duas vezes seguidas, no alias “TwinSAFEGroup1.sal” que corresponde ao 

controlador lógico de segurança. É neste grupo do controlador que iremos colocar as funções bloco do programa 

de segurança. 



Capítulo III 

Após clicar duas vezes seguidas em “TwinSAFEGroup1.sal” deverá surgir, numa janela com um fundo branco, a 

indicação “Network1”. É para esta janela que iremos arrastar as Funções Bloco de segurança que se encontram 

disponíveis na coluna do lado direito “Toolbox”. 

No exemplo deste manual iremos programar um modulo de segurança de um “Botão de Paragem de 

Emergência”. Este dispositivo de segurança irá provocar a paragem imediata de todos os órgãos elétricos, 

pneumáticos ou hidráulicos perigosos. 

Iremos arrastar da coluna das ferramentas “Toolbox”, que se encontra no lado direito do editor, a função bloco 

de segurança “safeEstop” para janela branca “Network1”. 

Clique em cima de uma entrada segura “EStopIn1”, da função bloco de segurança “safeEstop”, com a tecla direita. 

Selecione o comando “Properties”. 



Capítulo III 

Após essa operação surgirá, na coluna do lado direito do editor, as respetivas propriedades dessa entrada segura. 

Poderá escolher o tipo de contacto elétrico a usar nessa entrada segura (“Normalmente Fechada” NC ou 

“Normalmente Aberto” NO) e nomear essa entrada segura em “Assigned Variable Name”. 

Efetue o mesmo procedimento para a segunda entrada segura clicando, com a tecla direita, em “EStopIn2” 



Capítulo III 

Volte as propriedades da 1ª entrada de segurança “EStopIn1” e coloque o contato normalmente aberto (NO) na 

propriedade “Single-Channel 2”, como mostra a figura seguinte. 

Após esta configuração surgirá um símbolo de negação (círculo) no desenho interior da função bloco de 

segurança , como pode reparar na figura seguinte. 

Deverá também nomear as entradas “Resart” (“EstopResart”) e “EStopOut”(“EstopOut”). 

Após a parametrizações das entradas e saídas da função bloco de segurança safeEstop deverá, na janela 

“Variable Mapping” (janela colocada na parte inferior), selecionar as portas para cada alias (“Alias Port”). 



Capítulo III 

Deverá estar na subpasta TAB “Variables”. Clique no comando existente na coluna “Alias Port” de cada linha e 

escolha a respetiva variável das entradas e saídas do hardware de segurança (EL1904 ou EL2904) ou hardware 

do PLC (não seguro). 

No Canal 1 da função bloco de segurança Estop (Botão de Paragem de Emergência) coloque a 1ª entrada (Canal 

1) da carta de segurança EL1904. De seguida fala “OK”. 

Deverá repetir este processo para as restantes linhas correspondentes às entradas e saídas seguras da função 

bloco de segurança. O botão de “Restart” é ligado a uma entrada não segura, no PLC. 

Após concluída a definições das entradas e saídas em cada alias do bloco de segurança daremos inicio ao 

agrupamento das entradas e saídas das variáveis informativas de erros e de estado da função de segurança. Salte 

para a subpasta TAB “Group Ports”. 

Coloque, se assim o desejar (não é obrigatório), as variáveis atribuídas para esse efeito no programa do PLC. Na 

figura seguinte vemos essas variáveis atribuídas na subpasta TAB “Group Ports”. 



Capítulo III 

III-1.6 – Verificação do programa de segurança do TwinCAT SAFETY 

Após concretizado os passos do capitulo anterior finalizamos as parametrizações da função bloco de segurança 

e o seu programa. De seguida terá se ser feita a verificação do projeto completo de segurança a ser descarregado 

para o controlador lógico EL6900. 

Clique, duas vezes seguida, na pasta do alias do controlador lógico de segurança EL6900 designado por “Target 

System” e anote o seu nº de serie (ex. 756889). Este nº só é encontrado após o scan do hardware. 

De seguida, na barra superior de comandos do editor, escolha o grupo “TwinSAFE”. Selecione o comando “Verify 

Safety Project” para verificar se o programa de segurança está correto nas suas interligações. O comando “Verify 

Complete Safety Project” permite testar e verificar o projeto completo de segurança (software e hardware). 

Se o procedimento anterior de verificação foi executado com sucesso e sem erros deverá aparecer uma indicação 

de “Verification Process succeedded” no canto esquerdo inferior do editor de programa. 



Capítulo III 

De seguida daremos inicio ao download do programa de segurança para o controlador EL6900. Clique no 

comando “Download Safety Project”. 

Na janela pop-up que surgir introduza o nº de serie do controlador lógico EL6900 (ex.756889), o username e a 

password. Deverá ter em atenção que existe diferença entre letras maiúsculas e minúsculas (case-sensitive). Os 

valores de fabrica são para o Username Administrator e a Password TwinSAFE 

Confirme se todas as partes do projeto de segurança foram descarregados para o controlador EL6900. Deverá 

aparecer uma janela com a essa indicação como mostra a figura seguinte. 



Capítulo III 

Verifique, em “Final Verification”, se o código de controlo de erro CRC tem consistência entre o calculado e o 

que se encontra no controlador. Se sim, clique em “Next”. 

Reintroduza a password e clique em “Finish”. 

Após o download bem-sucedido do programa de segurança TwinSAFE será indicado, no canto inferior do editor 

de programa TwinCAT 3.1, a frase “Download Process succeeded”. 



Capítulo III 

III-2 – Teste e monitorização do projeto completo 

Nos passos anteriores explicámos os procedimentos necessários para interligar o programa do automatismo 

clássico, residente na CPU do softPLC TwinCAT, aos alias do programa de segurança residente no controlador lógico 

de segurança TwinSAFE (no nosso exemplo o EL6900). 

Uma vez efetuado o projeto completo temos de o testar no “chão de fabrica” e verificar se existem bugs nos 

algoritmos existentes. Esse passo designamos de debugging do software de automação e de segurança. 

III-2.1 – Debugging do programa de segurança 

Após o download do programa de segurança TwinSAFE e do programa do automatismo do softPLC TwinCAT deverá 

ativar a sua configuração e coloca-lo em RUN. Na barra de comandos escolha o grupo PLC e faça Login. 

Após a ordem de Login visualizará no programa MAIN (em modo Monitorização MAIN[Online] ) todas as variáveis 

locais , como mostra a figura seguinte. 

Poderá reparar que a variável “bComErr” está a TRUE indicando que houve uma falha na comunicação. Todas as 

vezes que iniciamos o processo de download do projeto esta flag fica em estado TRUE. Teremos de seguida fazer o 

RESET desta flag para dar inicio ao automatismo. Para efetuarmos o RESET deste erro teremos de colocar a TRUE a 

flag “bErrAck” que corresponde ao “reconhecimento do erro”. O erro das comunicações “bComErr” deverá 

desaparecer. 

Apos o RESET do erro através da flag “bErrAck” a flag de indicação de estado “bRunStop” passará para TRUE e o 

programa de segurança começa a correr. 

Se colocarmos a TRUE a flag “bEstopRestart” fazemos o RESTART da função bloco de segurança Estop, após ter 

havido uma ordem de paragem de emergência. 



Capítulo III 

III-2.2 – Monitorização do programa de segurança 

Na grupo TwinSAFE, da barra de comandos do editor de programa, selecione o comando “Show online date” para 

monitorizarmos em online o programa de segurança residente no controlador lógico de segurança. 

Podemos visualizar, na função bloco de segurança safeEstop, o estado lógico de cada uma das entradas e saídas do 

bloco. O estado de monitorização é indicado por traços a cor verde. 

Também podemos recorrer, para ver o estado das entradas e saídas do bloco de segurança, à janela “Variable 

Mapping” na subpasta TAB “Variables”. 



Capítulo III 

Caso seja pressionado o botão de paragem de emergência poderá verificar que o bloco de segurança safeEstop entra 

em modo de segurança e a saída “EStopOut” é desligada (passa ao estado FALSE). Caso esta saída acionasse 

contatores ou relés de acionamento de motores elétricos , desligavam o seu funcionamento. 

Para reiniciar o funcionamento da máquina teremos de seguida se fazer o RESTART do modulo de segurança 

carregando no botão respetivo (ex. EstopRestart). 



Capítulo IV 

IV – Esquemas de segurança com TwinSAFE 

Visão geral das configurações dos parâmetros das cartas de entrada e saída de segurança 

Quando executamos um projeto de segurança no 

TwinCAT 3 SAFETY existe uma parte que são 

configurações de parâmetros, com o tipo de sinais 

elétricos que iremos usar nas cartas de entradas e 

saídas de segurança. Estes parâmetros referem-se 

por exemplo às cartas EL1904 (de entradas) e 

EL2904 (de saída). 

A outra parte, também muito importante, é o 

desenvolvimento do programa de segurança 

usando as funções bloco de segurança que o 

TwinCAT SAFETY disponibiliza para os diversos 

dispositivos de segurança, disponíveis no mercado. 

Neste capítulo iremos mostrar alguns exemplos de configuração dos parâmetros da carta EL1904 (com 4 entradas 

seguras) e EL2904 (com 4 saídas seguras). Estas configurações são apresentadas, nos capítulos seguintes com 

exemplos, na tabela com o titulo “PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS” 

Configuração exemplo da carta com entradas digitais seguras EL1904 : 

Ao clicar duas vezes na pasta TwinSAFE no alias do EL1904 (ex. Safety In 1) deverá aparecer na janela central do seu 

editor as propriedades desta carta, como mostra a figura seguinte: 

O endereço FSoE da carta de entradas de segurança encontra-se na parte superior. Este endereço deve corresponder 

ao endereço do DIP-switch que se encontra na carta. Se o DIP-switch tivesse o endereço 2 teríamos de colocar 2 nessa 

janela. 

Verifiquemos as propriedades 8001 (FS Sensor Test) e 8002 (Logic o f Input Pairs): 

Geralmente as entradas são ligadas a diversos equipamentos de segurança que trabalham sempre em pares. Estes 

canais terão de providenciar proteção contra curto-circuitos forçados nas entradas e ligações cruzadas vindas de 

outras ligações exteriores ou de outros canais. O teste aos curto-circuitos e ligações cruzadas é feita através de geração 

de impulsos em cada canal. A carta EL1904 pode gerar os seus próprios impulsos de teste como pode receber impulsos 

externos de teste (OSSD) tal como os gerados pelas barreiras luminosas de segurança ou scanners de segurança. As 

propriedades 8001 e 8002 permitem selecionar as propriedades para cada tipo de equipamento de segurança. 



Capítulo IV 

Existem diversas configurações: 

1ª - A primeira é a configuração standard e de defeito como mostra a figura anterior. 

A propriedade 8001:01 e 8001:02 está a TRUE. Isto significa que é feito o teste de curto-circuito e de ligações 

cruzadas através da geração de impulsos em cada canal. 

A propriedade 8002:01 está com “single logic channel ½”. Isto significa que estes dois canais trabalham em conjunto 

e em combinação lógica. Irá ser feito o teste para detetar a existência de discrepância temporal entre eles. 

Esta configuração é a apropriada para todos os equipamentos de segurança com contatos secos tais como botões 

de paragem de emergência, portas de segurança e contactos NF de retorno do relé ou contator de segurança. A 

carta para cada contacto seco fornece 24Vdc no polo + e gera um trem de impulsos que espera receber no polo 

contrario - do canal. Para haver diferenciação entre cada canal da carta cada um deles gera impulsos desfasados 

temporalmente. Isto permite detetar se há troca de cabos entre os canais e se existe curto-circuito dos 24V ou 0V 

vindo de outro canal. 

2ª – A segunda configuração é quando temos equipamentos de segurança que emitem impulsos de teste externos 

OSSD nas suas saídas. 

Neste caso o teste de impulsos é feito pelo equipamento de segurança externo, logo a carta EL1904 não precisa 

deste teste ativo. Neste caso temos de desligar o teste de impulsos dos canais usados e temos de configurar com a 

propriedade de aceitar impulsos externos OSSD. No exemplo da figura anterior temos o canal 1 e 2 com a 

propriedade “asynchronous analysis OSSD, sensor test deactivated”. A indicação de sinais assíncronos indica que 

esses equipamentos de segurança externa emitem sinais desfasados temporalmente que nunca se sobrepõem. Se 

o fizerem é considerado uma falha. 

3ª – A terceira configuração serve para alguns dispositivos de segurança que não tem impulsos assíncronos. Neste 

caso devem evitar usar estes dispositivos de segurança. Todavia se quiserem, mesmo assim, utiliza-los com a carta 

EL deverão configurar a propriedade 8002 do canal ½ ou ¾ como “any pulse repetition OSSD, sensor test 

deactivated”. Neste caso permite trabalhar com a carta EL dispositivo de segurança externo com sinais OSSD 

simultâneos, não dando assim erro. 

4ª – A quarta configuração é chamada de “short cut channel ½ no module fault”. Esta configuração é adequada a 

dispositivos de segurança externos como os tapetes de segurança (“safety mats”). 



Capítulo IV 

Configuração exemplo da carta com saídas digitais seguras EL2904 : 

Ao clicar duas vezes na pasta TwinSAFE no alias do EL2904 (ex. Safety Out 1) deverá aparecer na janela central do 

seu editor as propriedades desta carta, como mostra a figura seguinte: 

O endereço FSoE da carta de saídas de segurança encontra-se na parte superior. Este endereço deve corresponder 

ao endereço do DIP-switch que se encontra na carta. Se o DIP-switch tivesse o endereço 3 teríamos de colocar 3 

nessa janela. 

Esta carta de 4 saídas seguras tem 4 parâmetros de configuração e que são os seguintes : 

8000: 01 – “Standard outputs active” permite que liguemos uma saída do PLC a uma saída segura e a carta 

automaticamente faz um “AND” do valor logico da saída do PLC com o valor de saída segura. Isso permite que o PLC 

anule uma saída, desligando-a. Neste caso a lógica de segurança é responsável pela permissão de ligar a saída, mas 

o PLC controla a altura do seu acionamento. 

Este funcionamento tem vantagens e desvantagens devido aos seguintes pontos: 

Em 1º lugar - Esta parametrização torna mais confusa a lógica do seu funcionamento. Podemos obter o mesmo 

funcionamento e o mesmo efeito com um bloco “AND” dentro da Função Bloco de segurança. 

Em 2º lugar – Se quisermos monitorizar a saída, na lógica de segurança, para nos certificarmos de que liga e desliga 

quando o forçamos (através de um circuito de feedback) não conseguimos faze-lo se a lógica de segurança não tem 

acesso ao sinal do PLC. 

Na minha opinião deve deixar este conjunto em FALSE e não usar este recurso. Fazermos a lógica “AND” toda dentro 

da Função Bloco de segurança e não usamos “saídas standard”. 

8000: 02 – “Current measurement active” permite detetar falha no circuito de ligação ao relé ou contator de 

segurança. Com este recurso ativo quando a saída está ligada a carta espera receber uma corrente de retorno entre 

20mA a 500mA. Caso não receba esta corrente a carta EL entra em falha. Obviamente se o dispositivo que está a 

ligar (rele de segurança) não tem esse “consumo” de corrente terá de se desativar esta funcionalidade. Na minha 

experiencia este recurso é sujeito a algumas falhas e pode dar falsos alarmes. Isto deve-se ao consumo próximo dos 

limites e que devido aos picos de consumo leva a ultrapassá-los. 

8000: 03 – “Testing of outputs active” permite detetar circuitos cruzados e trocados por canal (saída). O teste é feito 

através de um trem de impulsos gerado em cada canal de saída de uma maneira assíncrona. Ao ser assíncrono 

garante que os impulsos não se sobrepõem. Os impulsos são todos de comprimentos diferentes variando de 300 a 

800 µs. Estes impulsos são suficientemente curtos para não interferirem no funcionamento do relé eletromecânico. 

No geral esta propriedade deve estar ativa exceto nos casos de utilizarmos dispositivos de corte eletrónicos que não 

toleram estes impulsos de teste. 

8000: 04 – “Error acknowledge active” controla como a carta recupera de um erro detetado na saída. Por defeito 

temos de desligar a alimentação à carta e reiniciar o sistema, para recuperar. Se pusermos esta propriedade em 

TRUE podemos fazer o RESET, ao erro, através do reconhecimento desse erro no grupo logico TwinSAFE. 



Capítulo IV 

IV-1 – Circuito com comando a duas mãos com TwinSAFE 

IV-1.1 – BIMANUAL [Function Block TWOHAND] - Categoria 4 e PL=e 

O comando a duas mãos consiste numa combinação de contactos 

normalmente fechados (NF) e normalmente abertos (NA) ligadas a 

entradas seguras na carta EL1904. A propriedade de “teste de entradas” 

está ativa e os sinais são controlados para uma discrepância máxima de 

200ms. Alem disso o acionamento síncrono dos dois botões é ativado com 

um tempo de 500ms. 

O loop de realimentação do estado dos contatores é feita através de uma 

entrada segura em um 2º EL1904. Os contatores K1 e K2 estão ligados 

eletricamente em paralelo através de uma única saída segura. A medição 

de corrente e o teste da saída por impulso estão ativos neste circuito. 

PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS 

Carta de Entradas EL1904 (1º e 2º) 

Canal 1 – Ativar teste do sensor 




Controlo logico do canal 1 e 2 


Carta de Saídas EL2904 

Ativar medição de corrente nas saídas 

Ativar teste de impulsos nas saídas 

Configuração 

Sim 

Sim (1ª EL1904) ; não usado (2ª EL1904) 



Lógica simples 



Sim no 1º canal 


BLOCO FUNCIONAL DOS MODULOS DE SEGURANÇA 



Capítulo IV 

IV.2 – Circuito com tapetes de segurança com TwinSAFE (Safety mat and bumper) 

IV-2.1 – TAPETE DE SEGURANÇA [Function Block MON] - Categoria 4 e PL=e 

Os tapetes (mat) ou os pára-choques (bumper) de segurança funcionam de acordo 

com o principio do circuito cruzado. Os contatos de superfície dos tapetes ou parachoques 

são ligados às entradas seguras do EL1904.A propriedade de “teste de 

entradas” está ativa e os sinais são controlados para uma discrepância máxima de 

200ms. Sempre que é detetado um cruzamento entre sinais (o tapete de segurança é 

pisado) um sinal logico “0” é sinalizado na entrada do EL1904. Se o cruzamento 

entre sinais não é detetado o sinal logico “1” é sinalizado na entrada. 

O loop de realimentação do estado dos contatores é feita através de uma entrada 

segura e o teste de entrada está ativo nesta entrada. Os contatores K1 e K2 estão 

ligados eletricamente em paralelo através de uma única saída segura. A medição de 

corrente e o teste da saída por impulso estão ativos neste circuito. 


Carta de Entradas EL1904 











Sim 

Sim 

Sim 

Não usado 

Short cut is no module fault 



Sim 

Sim 

BLOCO FUNCIONAL DOS MODULOS DE SEGURANÇA 



Capítulo IV 

IV.3 – Circuito de scanners laser de segurança com TwinSAFE (Laser scanner) 

IV-3.1 – SCANNER LASER [Function Block MON] - Categoria 3 e PL=e 

Os scanners laser usados na segurança máquina possuem dois sinais de controlo 

designados por OSSD (Output Signal Switching Device). Estes dois sinais especiais 

comutados, por motivo de segurança, estão ligados a duas entradas do EL1904. Nesta 

carta não podemos ativar o teste das entradas pois as saídas OSSD realizam os seus 

próprios testes através da comutação do sinal. Todavia estes sinais são testados, na 

carta EL1904, se existe uma discrepância superior a 200ms (indicação de falha). 

O loop de realimentação do estado dos contatores é feita através de uma entrada segura 

e o teste de entrada está ativo nesta entrada. Os contatores K1 e K2 estão ligados 

eletricamente em paralelo através de uma única saída segura. A medição de corrente 

e o teste da saída por impulso estão ativos neste circuito. 













Não ativar 

Não ativar 

Sim 

Não usado 

OSSD arbitrary types of pulse 





BLOCO FUNCIONAL DE SEGURANÇA 



Capítulo IV 

IV.4 – Circuito de barreiras luminosas de segurança com TwinSAFE (Ligth curtain) 

IV-4.1 – BARREIRA LUMINOSA [Function Block MON] - Categoria 4 e PL=e 

As barreiras luminosas usadas na segurança máquina possuem dois sinais de 

controlo designados por OSSD (Output Signal Switching Device). Estes dois 

sinais especiais comutados, por motivo de segurança, estão ligados a duas 

entradas do EL1904. Nesta carta não podemos ativar o teste das entradas pois 

as saídas OSSD realizam os seus próprios testes através da comutação do sinal. 

Todavia estes sinais são testados, na carta EL1904, se existe uma discrepância 

superior a 200ms (indicação de falha). 

O loop de realimentação do estado dos contatores é feita através de uma entrada 

segura e o teste de entrada está ativa nesta entrada. Os contatores K1 e K2 estão 

ligados eletricamente em paralelo através de uma única saída segura. A 

medição de corrente e o teste da saída por impulso estão ativos neste circuito. 













Não ativar 

Não ativar 

Sim 

Não usado 

Asynchronous evaluation OSSD 



Sim 

Sim 




Capítulo IV 

IV-4.2 – BARREIRA LUMINOSA (Muting) [Function Block MUTING] - Categoria 4 e PL=e 

As barreiras luminosas possuem dois sinais de controlo, designados por OSSD, que estão ligados a duas entradas do 

EL1904. Nesta carta não podemos ativar o teste das entradas pois as saídas OSSD realizam os seus próprios testes. 

Todavia estes sinais são testados, na carta EL1904, se existe uma discrepância superior a 200ms (indicação de falha). 

Os sinais do muting e de enable estão também ligados a entradas seguras numa segunda carta EL 1904.O loop de 

realimentação do estado dos contatores é feita através de uma entrada segura e o teste de entrada está ativo, nesta 

entrada. 

Os contatores K1 e K2 estão ligados eletricamente em paralelo através de uma única saída segura. O sinalizador 

luminoso de muting também está ligado a uma saída segura. A medição de corrente e o teste da saída por impulso 

estão ativos neste circuito. 


Carta de Entradas EL1904 (1ª) 

Canal 1 e 2 – Ativar teste do sensor 







Controlo logico do canal 1 e 2 / 3 e 4 





Não ativar 

Sim (3º canal) ; Sim (4º canal) 

Asynchronous evaluation OSSD 



Sim 

Sim 



Sim 

Sim 




Capítulo IV 

IV.5 – Circuito de portas de segurança com TwinSAFE (Ligth curtain) 

IV-5.1 – PORTA DE SEGURANÇA (1ª) [Function Block MON] - Categoria 3 e PL=d 

As portas de segurança das máquinas usam uma combinação de 

contactos normalmente fechados (NF) e normalmente abertos (NA) 

ligadas a entradas seguras na carta EL1904. A propriedade de “teste de 

entradas” está ativa e os sinais são controlados para uma discrepância 

máxima de 200ms. O loop de realimentação do estado dos contatores é 

feita através de uma entrada não segura em uma 2º EL1xxx e transferida 

para o TwinSAFE via programa no PLC. 

Os contatores K1 e K2 estão ligados em paralelo através de uma única 

saída segura. A medição de corrente e o teste da saída por impulso estão 

ativos neste circuito. 













Sim 

Não usado 

Sim 

Não usado 




Sim 

Sim 




Capítulo IV 

IV-5.2 – PORTA DE SEGURANÇA (2ª) [Function Block MON] - Categoria 4 e PL=e 

As portas de segurança das máquinas usam uma combinação de contactos normalmente fechados (NF) e normalmente 

abertos (NA) ligadas a entradas seguras na carta EL1904. A propriedade de “teste de entradas” está ativa e os sinais 

são controlados para uma discrepância máxima de 200ms. O loop de realimentação do estado dos contatores é feita 

através de uma entrada segura em uma 2º EL1904. 

Os contatores K1 e K2 estão ligados em paralelo através de uma única saída segura. A medição de corrente e o teste 

da saída por impulso estão ativos neste circuito. 


Carta de Entradas EL1904 (1º e 2º) 











Sim ; Não usado (2º EL1904) 

Não usado (1º e 2º EL1904) 

Sim 





Sim 

Sim 




Capítulo IV 

IV-5.3 – PORTA DE SEGURANÇA (com monitorização) - Categoria 4 e PL=e 

As portas de segurança das máquinas usam uma combinação de contactos 

normalmente fechados (NF) e abertos (NA) ligadas a entradas seguras. A 

propriedade de “teste de entradas” está ativa e os sinais são controlados para uma 

discrepância máxima de 200ms. Os fins de curso de indicação de zona S3 e S4 

estão ligados a entradas seguras. Estes dois fins de curso indicam quando uma 

parte perigosa, de uma máquina, está em uma posição segura e assim poderá ser 

aberta a porta de segurança mesmo com a máquina em funcionamento. A 

propriedade de “teste de entradas” nestas entradas está desativada devido aos 

sensores S3 e S4 serem alimentados a 24Vdc externo. 

Os contatores K1 e K2 estão ligados em paralelo através de uma única saída 

segura. A medição de corrente e o teste da saída por impulso estão ativos neste 

circuito. 



Canal 1, 2, 3, 4 – Ativar teste do sensor 

Controlo logico do canal 1, 2, 3 e 4 




Controlo logico do canal 1, 2, 3, e 4 





Sim (1º e 3º canal) ; não usado (2º e 4ª canal) 



Não ativar 

Sim (3º canal) ; não usado (4º canal) 



Sim 

Sim 



Capítulo IV 


IV-5.4 – PORTA DE SEGURANÇA (com encravamento) - Categoria 4 e PL=e 

A porta de segurança com encravamento eletromagnético tem dois sensores, 

S1 de “porta fechada” e S2 “porta fechada e encravada”, ligadOs a entradas 

seguras na carta EL1904. O teste de discrepância não pode estar ativo porque 

não há uma relação funcional dos sensores S1 e S2. O sinal de restart está 

ligado a uma entrada segura do 1º EL1904. O loop de realimentação do estado 

dos contatores é feito através de uma entrada segura em uma 2º EL1904. As 

propriedades de “teste de entradas” de todas as entradas seguras estão ativas. 

Os contatores K1 e K2 estão ligados em paralelo através de uma única saída 

segura. A medição de corrente e o teste da saída por impulso estão ativos 

neste circuito. O trinco do sistema de encravamento é comutado, via duas 

entradas seguras, enquanto o teste está ativo. A medição de corrente e o teste 

da saída por impulso estão ativos neste circuito do 2º EL2904. 



Capítulo IV 
















Carta de Saídas EL2904 (1ª) – para K1 e K2 



Carta de Saídas EL2904 (2ª) – Trinco 




Sim 

Não usado 

Sim 

Sim 




Sim 

Sim 

Não usado 

Sim 




Sim 

Sim 


Sim 

Sim 




Capítulo IV 

IV.6 – Circuito de paragem de emergência com TwinSAFE (ESTOP) 

IV-6.1 – BOTÃO DE EMERGENCIA (1ª) [Function Block ESTOP] - Categoria 3 e PL=d 

Os botões de emergência são ligados, via dois contactos normalmente fechados (NF), a duas 

entradas seguras na EL1904. A discrepância superior a 200ms, destes dois sinais NF na 

EL1904, é monitorizada no seu funcionamento. O loop de realimentação do estado dos 

contatores e o botão de restart é feito através de 2 entradas standard não seguras. 

Os contatores K1 e K2 estão ligados eletricamente em paralelo através de uma única saída 

segura. A medição de corrente e o teste da saída por impulso estão ativos neste circuito. 













Não usado 

Não usado 

Sim 

Sim 




Sim 

Sim 




Capítulo IV 


Os botões de emergência são ligados, via dois contactos normalmente fechados (NF), a duas entradas seguras do 

EL1904. A discrepância superior a 200ms, destes dois sinais NF na EL1904, não é monitorizada. O loop de 

realimentação do estado dos contatores e o botão de restart é feito através de 2 entradas standard não seguras. 

Os contatores K1 e K2 estão ligados eletricamente em paralelo através de uma única saída segura. A medição de 














Não usado 

Não usado 

Sim 

Sim 




Sim 

Sim 




Capítulo IV 

IV-6.3 – BOTÃO DE EMERGENCIA (3ª) [Function Block ESTOP] - Categoria 4 e PL=e 


EL1904. A discrepância superior a 200ms, destes dois sinais NF na EL1904, é monitorizada tal como o teste às 

ligações às entradas. O loop de realimentação do estado dos contatores e o botão de restart é feito através de 2 entradas 

standard, não seguras, do PLC. Existe um bloco EDM que verifica se o sinal de realimentação assume o estado oposto, 

da saída do bloco ESTOP, dentro de um tempo ajustado. 















Não usado 

Não usado 

Sim 

Sim 




Sim 

Sim 




Capítulo IV 





seguras ligadas a uma 2ª carta EL1904. 




Carta de Entradas EL1904 (1ª e 2ª) 











Sim (1º EL1904) ; não usado (2º EL1904) 


Sim 





Sim 

Sim 




Capítulo IV 


Os botões de emergência, são ligados via dois contactos normalmente fechados (NF), a duas entradas seguras do 


ligações às entradas. O loop de realimentação do estado dos contatores e o botão de restart é feita através de 2 entradas 


Os contatores K1 e K2 estão ligados eletricamente em duas saídas seguras. Ambos estão ligados ao ground. A medição 

de corrente esta desativada. Os testes da saída por impulso estão ativos neste circuito. 















Sim 





Não 

Sim 




Capítulo IV 






Os contatores K1 e K2 estão ligados eletricamente em duas saídas seguras. Ambos estão ligados ao ground. A medição 

de corrente e o teste da saída por impulso estão desativados. 















Sim 





Não 

Não 




Capítulo IV 


Os botões de emergência são ligados, via dois contactos normalmente fechados (NF), a duas entradas seguras da 1ª 

carta EL1904. O loop de realimentação e o botão de restart estão ligados na 2ª carta EL1904. A discrepância superior 

a 200ms, dos sinais NF do botão de emergência, é monitorizada e o teste às ligações é desativado em ambos canais. 

Os contatores K1 e K2 estão ligados eletricamente em paralelo em uma saída segura. A medição de corrente e o teste 

da saída por impulso estão ativados. 















Não ativar 

Não ativar (1º EL1904) ; não usado (2º EL) 




Sim 

Sim 




Capítulo IV

BRESIMAR(asaTek)-Beckhoff-Livro Formação Técnica TwinSAFE 3.1

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?