BRESIMAR(asaTek)-Beckhoff-Livro Formação Técnica TwinSAFE 2

BECKHOFF AUTOMATION 

MANUAL DE FORMAÇÃO DE 

TwinSAFE 2.11 

por Jorge Andril 

01 / 2018 

• BRESIMAR AUTOMAÇÃO , S.A. • Departamento de Engenharia ASATEK • www.bresimar.pt 

• Quinta do Simão EN109 - Esgueira • Apartado 3080 • 3800-230 Aveiro • PORTUGAL

O agradecimento à BECKHOFF AUTOMATION pelo fornecimento de 

documentação técnica e à BRESIMAR AUTOMAÇÃO S.A. pela 

disponibilidade de equipamentos para a execução de testes de campo.

A BRESIMAR AUTOMAÇÃO é uma 

empresa com sede em Aveiro, Portugal 

A Bresimar Automação S.A., é uma empresa familiar 

especializada em Automação Industrial. Fundada em 1982 

foi evoluindo a sua atividade comercial e atualmente 

divide-se em 3 áreas de negócios. 

Essas áreas de negócios são as seguintes: 

Comercialização de equipamentos para 

automação industrial através da representação 

exclusiva de diversas marcas, mundialmente 

conceituadas (INSYS-icom , Beckhoff , Siemens 

, Turck , Beijer , entre outras ) . 

 

 

Serviços de engenharia de automação e controlo 

para processos industriais com desenvolvimento 

de software para PLCs e HMIs . Este serviço 

possui a marca registada asaTek . 

Produção e desenvolvimento de transmissores e 

sensores de temperatura incluindo sistemas sem 

fios. Estes equipamentos tem a marca registada 

tekOn . 

Possui uma equipa técnica qualificada, que presta 

serviços de assistência pré e pós-venda, que propõe e 

aconselha soluções tecnológicas inovadoras. 

A gestão está focada e orientada para os clientes, pelo 

que efetua uma seleção muito criteriosa de fornecedores. 

A formação é um fator determinante para a qualidade dos 

serviços prestados por todos os colaboradores. 

Espero que estes apontamentos técnicos vos sejam úteis 

nas vossas aplicações de automação industrial! 

Obrigado pela vossa atenção. 

Saudações 

Jorge Andril 

j.andril@bresimar.pt 

http://pt.linkedin.com/in/jorgeandril

LISTA DE CONTEÚDOS 

I - Introdução ao TwinSAFE do TwinCAT 2.11 

I-1 – Introdução à Segurança-Máquina 1 

I-2 – Diretivas e normas de Segurança-Máquina 5 

I-2.1 – Introdução à Diretiva Máquina 5 

I-2.2 – Diretiva Máquina 2006/42/CE 5 

I-2.3 – Tipo de normas existentes 6 

I-2.4 – Análise de risco 8 

I-2.5 – Segurança funcional 9 

II - Terminais e dispositivos de segurança 

II-1 – Terminais de segurança BECKHOFF 13 

II-1.1 – Especificações dos terminais de entradas seguras 14 

II-1.1.1 – Diagrama de bloco do EL1904 15 

II-1.1.2 – Teste de impulsos nas entradas seguras 15 

II-1.1.3 – Tabela dos parâmetros do EL1904 (“Safety Parameters”) 16 

II-1.1.4 – Exemplo de configuração dos parâmetros do EL1904 16 

II-1.1.5 – Diagnostico de estado e erros 17 

II-1.1.6 – Objetos de diagnostico (CoE objects) 18 

II-1.2 – Especificações dos terminais de saídas seguras 20 

II-1.2.1 – Diagrama de bloco do EL2904 20 

II-1.2.2 – Teste de impulsos nas saídas seguras 20 

II-1.2.3 – Tabela dos parâmetros do EL2904 (“Safety Parameters”) 21 


II-1.2.5 – Objetos de diagnóstico (CoE objects) 23 

II-1.2.6 – Possíveis causas das mensagens de diagnostico 24 

II-1.3 – Especificações dos terminais com controlador lógico TwinSAFE 26 

II-1.3.1 – Programação do código lógico de segurança 26 


II-1.3.3 – Objetos de diagnóstico (CoE objects) 27 

II-2 – Dispositivos de segurança 29 

II-2.1 – Comandos de paragem de emergência 29 

II-2.2 – Comandos de bimanual 30 

II-2.3 – Barreiras óticas de segurança 31 

II-2.4 – Scanners laser de segurança 32 

II-2.5 – Tapetes e batentes de segurança 33 

II-2.6 – Portas e trincos de segurança 34 

III - TwinCAT 2.11 – Pogramação controladores TwinSAFE 

III-1 – Programação do TwinSAFE no TwinCAT 2.11 35 

III-1.1 – Arquitetura base do hardware do kit de formação 35 

III-1.2 – Criar projeto de segurança no TwinCAT 2.11 (TwinSAFE) 36 

III-1.3 – Criar programa de automatismo no softPLC TwinCAT 2.11 42 

III-1.4 – Linkagem do projeto TwinSAFE com o programa softPLC TwinCAT 2.11 43 

III-1.5 – Descarregar programa de segurança do TwinSAFE para o EL6900 46 

III-2 – Teste e monitorização do projeto completo 48 

III-2.1 – Debugging do programa de segurança 48 

III-2.2 – Monitorização do programa de segurança 49 

IV - Esquemas de segurança com TwinSAFE 

IV-1 – Circuito de comando a duas mãos com TwinSAFE (“Two-hand control”) 55 

IV-1.1 – BIMANUAL – Cat. 4 e PL=e 55 

IV-2 – Circuito com tapetes com TwinSAFE (“Safety mat and bumper”) 56 

IV-2.1 – TAPETE DE SEGURANÇA – Cat. 4 e PL=e 56 

IV-3 – Circuito de scanners laser com TwinSAFE (“Safety laser scanner”) 57 

IV-3.1 – SCANNER LASER – Cat. 3 e PL=e 57 

IV-4 – Circuito de barreiras luminosas com TwinSAFE (“Safety ligth curtain”) 58 

IV-4.1 – BARREIRA LUMINOSA – Cat. 4 e PL=e 58 

IV-4.2 – BARREIRA LUMINOSA (com Muting) – Cat. 4 e PL=e 59 

IV-5 – Circuito de portas de segurança com TwinSAFE (Protective door machine) 60 

IV-5.1 – PORTA DE SEGURANÇA (1ª variante) – Cat. 3 e PL=d 60 

IV-5.2 – PORTA DE SEGURANÇA (2ª variante) – Cat. 4 e PL=e 61 

IV-5.3 – PORTA DE SEGURANÇA (com monitorização) – Cat. 4 e PL=e 62 

IV-5.4 – PORTA DE SEGURANÇA (com encravamento) – Cat. 4 e PL=e 63 

IV-6 – Circuito de paragem de emergência com TwinSAFE (“Emergency Stop”) 65 

IV-6.1 – BOTÃO DE EMERGÊNCIA (1ª variante) – Cat. 3 e PL=d 65 


IV-6.3 – BOTÃO DE EMERGÊNCIA (3ª variante) – Cat. 4 e PL=e 67

BECKHOFF AUTOMATION 

TwinSAFE V2.11 

IV - Esquemas de segurança com TwinSAFE 

IV-6.4 – BOTÃO DE EMERGÊNCIA (4ª variante) – Cat. 4 e PL=e 68 




Anexo A - Funções Bloco TwinSAFE para TwinCAT 2.11 

A-1 – Sistema TwinSAFE 73 

A-1.1 – Descrição funcional 73 

A-1.2 – Controladores lógicos TwinSAFE (KL6904/EL6900/EL6930) 73 

A-1.3 – Grupos TwinSAFE 73 

A-1.4 – Diagnostico do sistema TwinSAFE 74 

A-1.4.1 – Informação de estado do grupo TwinSAFE 74 

A-1.4.2 – Diagnostico das Funções Bloco TwinSAFE 75 

A-1.4.3 – Diagnostico das conexões TwinSAFE 75 

A-2 – Funções Bloco TwinSAFE 77 

A-2.1 – Função Bloco ESTOP 77 

A-2.1.1 – Descrição funcional ESTOP 77 

A-2.1.2 – Descrição das variáveis de entrada e saída da FB ESTOP 77 

A-2.1.3 – Informação do diagnostico e estado da FB ESTOP 78 

A-2.2 – Função Bloco TWOHAND 79 

A-2.2.1 – Descrição funcional TWOHAND 79 

A-2.2.2 – Descrição das variáveis de entrada e saída da FB TWOHAND 79 

A-2.2.3 – Informação do diagnostico e estado da FB TWOHAND 80 

A-2.3 – Função Bloco EDM 81 

A-2.3.1 – Descrição funcional EDM 81 

A-2.3.2 – Descrição das variáveis de entrada e saída da FB EDM 81 

A-2.3.3 – Informação do diagnostico e estado da FB EDM 82 

A-2.4 – Função Bloco MON 83 

A-2.4.1 – Descrição funcional MON 83 

A-2.4.2 – Descrição das variáveis de entrada e saída da FB MON 84 

A-2.4.3 – Informação do diagnostico e estado da FB MON 85 

A-2.5 – Função Bloco MUTING 86 

A-2.5.1 – Descrição funcional MUTING 86 

A-2.5.2 – Descrição das variáveis de entrada e saída da FB MUTING 86 

A-2.5.3 – Informação do diagnostico e estado da FB MUTING 87 

A-2.5.4 – Exemplos práticos com sensores em MUTING 88 

A-2.6 – Funções Bloco DECOUPLER, AND, OR, SR, RS 90 

A-2.6.1 – Descrição funcional DECOUPLER, AND, OR, SR, RS 90 

A-2.6.2 – Descrição das variáveis de entrada e saída DECOUPLER,AND,OR,SR,RS 91 

A-2.6.3 – Informação do diagnostico e estado da FB DECOUPLER,AND,OR,SR,RS 92 

A-2.7 – Funções Bloco TON e TOFF 93 

A-2.7.1 – Descrição funcional TON e TOFF 93 

A-2.7.2 – Descrição das variáveis de entrada e saída TON e TOFF 93 

A-2.7.3 – Informação do diagnostico e estado da FB TON e TOFF 94 

A-2.8 – Função Bloco OPMODE 95 

A-2.8.1 – Descrição funcional OPMODE 95 

A-2.8.2 – Descrição das variáveis de entrada e saída OPMODE 95 

A-2.8.3 – Informação do diagnostico e estado da FB OPMODE 96 

A-2.9 – Função Bloco CONNECTION SHUTDOWN 97 

A-2.9.1 – Descrição funcional CONNECTION SHUTDOWN 97 

A-2.9.2 – Descrição das variáveis de entrada e saída CONNECTION SHUTDOWN 97 

A-2.9.3 – Informação do diagnostico e estado da FB CONNECTION SHUTDOWN 98 

ix

BRESIMAR AUTOMAÇÃO 

Capítulo I 

I – Introdução ao TwinSAFE do TwinCAT 2.11 

Apresentação do modulo TwinSAFE do TwinCAT 2.11 

O módulo TwinSAFE do TwinCAT 2.11 é 

o software de programação para os 

PLCs de segurança, da marca alemã 

BECKHOFF. O TwinSAFE representa a 

continuação da filosofia de controle 

baseado em PCs, aberta e escalável. 

Devido à sua modularidade e 

versatilidade os terminais TwinSAFE 

encaixam perfeitamente na filosofia, já 

existente, dos sistemas de controlo 

BECKHOFF. Isto é, podemos incorporar 

no mesmo PLC (TwinCAT 2.11 - PLC), responsável pelo automatismo clássico de uma máquina industrial, um modulo 

de segurança (TwinSAFE). Assim, não necessitamos de ter no mesmo quadro de controlo dois PLC´s (um para o 

automatismo e outro para os dispositivos de segurança homem-máquina). Este modulo TwinSAFE cumpre toda a 

Legislação e Normas Europeias, atualmente em vigor. 

I-1 – Introdução à segurança homem-máquina 

Quando falamos de Segurança ( Safety Tecnology ) na automação industrial estamos a falar de funções específicas 

para máquinas, equipamentos e processos industriais relacionados à proteção de pessoas. Na maioria dos locais há 

requisitos legais para a proteção dos operadores de máquinas. Esses regulamentos geralmente são baseados em 

padrões nacionais e internacionais (por exemplo a Diretiva Máquina 2006/42/CE), mas podem variar entre regiões 

e nações. É da responsabilidade do projetista da automação verificar e desenhar esses sistemas de segurança para 

as suas máquinas industriais. 

A premissa principal dos sistemas de segurança, para as máquinas industriais, é o controlo das diversas fontes de 

energia nelas contidas. Toda essa fonte de energia armazenada em um sistema deve ser tida em conta e 

controlada. Isso inclui fontes elétricas, pneumáticas e hidráulicas. Inclui energia potencial armazenada em cargas 

suspensas, molas e ar comprimido tal como a energia cinética de partes móveis. Os sistemas de segurança 

funcionam interrompendo essas fontes de energia e controlando a energia potencial ou cinética. Os sistemas de 

segurança envolvem também uma adequada proteção mecânica, de forma a que os operadores não possam entrar 

em contacto com áreas perigosas da máquina enquanto as diversas fontes de energia estão ligadas ou a energia 

potencial não está controlada. 

[asaTek / J.Andril] 1


Capítulo I 

Um sistema de segurança devidamente projetado consiste em elementos mecânicos, elétricos e cada vez mais 

elementos com uma componente de software. Todos estes elementos combinam-se para formar uma condição de 

trabalho segura para os operadores de máquinas e pessoal de manutenção. As exigências sobre a fiabilidade dos 

elementos elétricos e de software são suficientemente fortes para que componentes elétricos e PLC´s comuns sejam 

inaceitáveis para uso em sistemas de segurança homem-máquina. Em geral (e isso depende de casos específicos) os 

componentes elétricos e de software devem ser projetados de tal forma que qualquer falha de um único 

componente não leve a uma perda da função de segurança. Essa falha, uma vez detetada, terá de ser relatada e 

deverá impedir o funcionamento da máquina industrial até que ela seja reparada. 

Tomemos como exemplo um relé elétrico. Um relé típico não é um componente apropriado para uso em sistemas 

elétricos de segurança, pelas seguintes razões: 

1. O relé pode falhar, normalmente por colagem do contato, na posição de trabalho. Neste caso perde a 

capacidade de eliminar a fonte de energia elétrica quando ocorrer uma emergência que obriga ao corte e 

interrupção dessa energia. 

2. Nós detetamos a falha de um relé monitorizando um contato normalmente fechado. Dependendo da 

construção do relé, a falha pode não ser detetada se o contato normalmente fechado não estiver 

mecanicamente ligado a um contato normalmente aberto. 

Para interromper de forma fiável uma fonte de energia elétrica, de 

maneira a que a falha de um componente não cause uma perda da função 

de segurança e seja detetada, normalmente usamos dois relés de contato 

guiados mecanicamente. A guia mecânica torna impossível ter ao mesmo 

tempo o contato normalmente fechado (NF) e normalmente aberto (NA) 

fechados. Se um contato NF colar, deve ser impossível que o contato NA 

feche quando a bobina é energizada. Se um contato NA colar, deve ser 

impossível que o contato NF feche quando a bobina é desenergizada. 

Estes contatos também são conhecidos por: contactos forçados, 

contactos ativados positivamente, contactos guiados ou contactos 

ligados. 

O uso de dois relés ou contatores redundantes resolve o primeiro 

problema, de um único ponto de falha. O uso de contatos guiados 

mecanicamente resolve o segundo problema de monitorização fiável do 

estado do relé. Assim, podemos utilizar uma combinação de dois relés de contatos guiados mecanicamente para a 

configuração de relé de segurança, mas obriga a ter um sistema de monitorização externo a verificar o seu correto 

funcionamento (módulos de controlo de segurança). Outra opção é usar um relé de segurança, construído para esse 

fim, com os dois contatos guiados mecanicamente e a função de monitorização embebidos no mesmo sistema. 



Capítulo I 

Os PLCs (EK1960) ou os Controladores lógicos da 

BECKHOFF (EL6900, EL6910 e EL6930) de 

segurança são capazes de fornecer essas 

funções de controlo e monitorização. É 

importante destacar que os dispositivos de 

entrada, tais como botões de paragem de 

emergência, interruptores de portas de 

proteção, barreiras de segurança fotoelétricas 

e tapetes de segurança também são 

construídos com componentes elétricos 

redundantes e devem ser monitorizados o seu correto funcionamento. Os módulos lógicos de controlo TwinSAFE 

EL6900, EL6910 (só TC 3), EL6930 podem monitorizar todos estes componentes, tal como o PLC de segurança 

TwinSAFE EK1960 (só é possível a sua programação com TwinCAT 3). Existe também um controlador lógico para as 

cartas do tipo KL (KL6904). 

Como é de esperar existem requisitos especiais que teremos de cumprir num projeto com um PLC ou controlador 

lógico de segurança. Assim, como qualquer outro dispositivo em um sistema de segurança, a falha de qualquer 

componente no PLC ou controlador de segurança não deve resultar na perda da sua função de proteção e deve ser 



Capítulo I 

imediatamente detetada. Isso inclui os componentes elétricos e de software. Os projetos terão de ser certificados 

por entidades certificadoras externas e independentes do fabricante, antes de serem colocados no mercado. 

O programa de segurança na BECKHOFF é desenvolvido no configurador de hardware System Manager do TwinCAT 

2.11 e correrá nos módulos lógicos EL6900, EL6930 e KL6904. Este programa é separado do programa do 

automatismo residente no soft PLC clássico. 

Os dispositivos de monitorização de segurança (entradas de segurança) estão ligados às cartas EL1904 ou EP1908 e 

os dispositivos de acionamento de segurança (saídas de segurança) estão ligados às cartas EL2902 ou EL2904 . 

Ambas são certificadas como dispositivos de segurança. A comunicação entre a placa controladora de segurança (ex. 

EL6900) e as entradas/saídas seguras (ex. EL1904/EL2904) é feita através da rede EtherCAT IO normal. Isso é 

possível porque a comunicação usa um protocolo certificado para segurança designado por FSoE (Fail-safe over 

EtherCAT). Devido à enorme flexibilidade do sistema podemos ter, na mesma rede, mais do que um controlador de 

segurança. 

O protocolo FSoE é compatível com qualquer Master com rede de campo EtherCAT que suporte mensagens e 

mapeamentos slave a slave. Cada componente FSoE pode monitorizar o status do canal de comunicação e poderá 

reverter para o estado de safe (off) se houver uma perda ou corte da comunicação. O protocolo Fail-Safe over 

EtherCAT (FSoE) também é suportado por outras redes de campo tais como PROFIBUS, CANopen ou Ethernet. 



Capítulo I 

I-2 – Diretivas e normas da Segurança Homem-Máquina 

I-2.1 – Introdução à Diretiva Máquina 

A segurança das pessoas é um especto fundamental nas 

sociedades modernas e industriais. Todos os dias há milhares de 

pessoas que operam máquinas industriais na sua atividade 

profissional. 

É obrigação das sociedades modernas e desenvolvidas garantir 

que todos exerçam as suas funções e atividades de uma forma o 

mais segura possível. 

Em 2006 a União Europeia elaborou uma Diretiva que define 

diversos requisitos obrigatórios e que deverão ser aplicados, 

quando da construção de novas máquinas ou em alterações (retrofitting) de máquinas antigas. Essa Diretiva é a 

designada 2006/42/CE. 

Em Portugal, no que respeita à segurança, foi transposta para a Legislação Portuguesa por Decreto de Lei as 

seguintes normas europeias: 

Decreto-Lei nº 50/2005 de 25 de Fevereiro 

Transpõe para a ordem jurídica interna a Diretiva nº 89/655/CEE do Conselho de 30 de 

Novembro. Foi alterada pela Diretiva nº 95/63/CE do Conselho de 5 de Dezembro e pela Diretiva 

nº 2001/45/CE do Parlamento Europeu e do Conselho de 27 de Junho. 

Este decreto-lei regula as prescrições mínimas de segurança e de saúde a serem cumpridas pelos 

operadores de equipamentos de trabalho. 

Decreto-Lei nº 103/2008 de 24 de Junho 

Transpõe para a ordem jurídica interna a Diretiva nº 2006/42/CE, do Parlamento Europeu e do 

Conselho de 17 de Maio, relativa às máquinas e que altera a Diretiva nº 95/16/CE, do Parlamento 

Europeu e do Conselho de 29 de Junho, relativa à aproximação das legislações dos estados 

membros respeitantes aos ascensores. 

Este decreto-lei estabelece as regras a que deve obedecer à colocação no mercado e à entrada em 

serviço das máquinas e das quase-máquinas. 

I-2.2 – Diretiva Máquina 2006/42/CE 

A máquina tem uma elevada importância na 

industria sendo um dos impulsionadores do 

aumento da produtividade no último seculo. 

De modo a garantir a segurança de todos aqueles 

que diariamente estão em contato permanente com 

as máquinas industriais a União Europeia definiu 

uma diretiva que estipula determinados requisitos, 

para a integração de segurança, quando da sua 

conceção e fabrico bem como na sua instalação e 

manutenção. 

Essa Diretiva surgiu em Maio de 2006 e é a 

designada Diretiva Máquina 2006/42/CE. 

Esta diretiva teve como objetivo principal a redução do elevado numero de acidentes de trabalho provocados 

diretamente pelo mau funcionamento e utilização de máquinas industriais. 



Capítulo I 

RESUMO DO OBJETIVO DA DIRETIVA MÁQUINA 2006/42/CE 

A Diretiva de Máquinas 2006/42/CE que entrou em vigor a partir de 29 de Dezembro de 2009 aplicasse a todas as 

máquinas feitas e disponíveis no mercado da Comunidade Europeia além da Suíça e Turquia. Esta nova diretiva 

teve como objetivo aumentar a eficácia da anterior, a 98/37/CE, bem como esclarecer eventuais duvidas de 

interpretação da norma sem alterar substancialmente as suas especificações. A nova diretiva inclui a aplicação do 

risco e todos os critérios essenciais de segurança a serem observados e cumpridos. 

Todo o fabricante de máquinas tem que cumprir um conjunto mínimo de requisitos antes de uma máquina poder 

ser colocada no mercado. A máquina tem de cumprir os Requisitos de Saúde e Segurança, indicados no Anexo I da 

Diretiva, estabelecendo assim um nível mínimo comum de proteção em todo o Espaço Economico Europeu. 

Os fabricantes de máquinas ou os seus representantes, autorizados na União europeia, devem assegurar que a 

máquina está de acordo com a Diretiva tendo que disponibilizar às autoridades competentes, quando requerido, 

um documento técnico. A máquina tem também de possuir uma marcação CE e uma declaração de Conformidade. 

Todas as máquinas devem ser utilizadas de acordo com as Instruções de Trabalho do fabricante. 

As máquinas antigas, já existentes antes da entrada em vigor da Diretiva Máquina, não necessitam de cumprir os 

requisitos exigidos exceto os estipulados nos requisitos de saúde como garantirem segurança na sua operação. 

Todavia as modificações efetuadas a essas máquinas podem serem consideradas como sendo o fabrico de uma 

nova máquina, mesmo que a máquina seja destinada a utilização interna na empresa. Neste caso é obrigatório a 

emissão da declaração de conformidade e efetuar a marcação CE. 

I-2.3 – Tipo de normas existentes 

Para avaliar os riscos das máquinas e para a conceção dos sistemas de segurança, que protegem o operador dos 

riscos de operação das mesmas, os Comités Europeus de Normalização CEN e CENELEC publicaram normas que 

definem em termos técnicos os requisitos indicados na diretiva. 

Estas normas são publicadas no Jornal Oficial da União Europeia e são harmonizadas. O fabricante de máquinas, ao 

aplicar estas normas na certificação das suas máquinas, está em conformidade com a diretiva estipulada. 

No que respeita às normas de segurança, a aplicar, a Diretiva Máquina 2006/42/CE define três tipos de Normas: 

NORMAS DO TIPO A 

NORMAS DO TIPO B 

NORMAS DO TIPO C 



Capítulo I 

NORMAS DO TIPO A 

São normas que definem conceitos básicos, princípios para a conceção e aspetos 

gerais que podem ser aplicados às máquinas. 

Estas normas são: 

 

 

 

EN ISO 12100-1 e -2:2010 (substitui a EN292-1 e EN292-2): 

Conceitos básicos, princípios gerais para o projeto. 

EN 61508: Segurança funcional dos dispositivos elétricos, 

com sistemas com eletrónica programável. 

EN ISO 14121:2007: Princípios da avaliação de risco. 

NORMAS DO TIPO B 

São normas em grupo que focam aspetos particulares respeitantes à segurança, 

estando dividida em duas categorias. 

Categoria B1 

Normas sobre alguns aspetos de segurança, como exemplo, distâncias de 

segurança, níveis de temperaturas e ruido, princípios ergonómicos das máquinas, 

etc 

 

 

EN 62061: 2005: Funções de segurança relacionadas com a funcionalidade 

elétrica e sistemas de controlo eletrónico 

EN ISO 13849-1:2006 e -2:2003: Segurança de sistemas de controlo. 

Categoria B2 

Normas que descrevem as características dos dispositivos de segurança como 

comandos bimanual, portas de segurança de bloqueio de dispositivos, etc. Estas 

normas são as seguintes: 

 

 

 

 

 

EN 574:2008: Dispositivos de controlo de duas mãos. 

EN 13580:2006 (substitui a EN 418:1992): Paragem de emergência. 

EN 1088:2008 e ISO 14119: Dispositivos bloqueio com barreiras. 

EN 60204-1:2006: Equipamento elétrico das máquinas. 

EN 60947-5-1:2009: Dispositivos de controlo eletrodomésticos. 

NORMAS DO TIPO C 

São normas que especificam requisitos de segurança detalhados para 

determinadas máquinas ou grupo de máquinas tais como prensas hidráulicas, 

máquinas de injeção, etc. 

 

 

 

 

 

EN 201:2007: Máquinas para borracha, material plástico e Injeção. 

EN 415-1:2009: Segurança de máquinas de embalagem. 

EN 692:2009: Prensas mecânicas. 

EN 693:2009: Prensas hidráulicas. 

EN 848-1:2010: Segurança de máquinas de trabalho com madeira. 



Capítulo I 

I-2.4 – Análise de risco 

Quando se constrói uma máquina é necessário identificar todos os riscos possíveis a que os utilizadores estão 

expostos de modo a torna-la segura na sua utilização. 

A identificação e classificação dos riscos permitem avaliar os perigos existentes e quais os tipos de ferimentos 

possíveis. As normas EN ISO 12100 e EN 14201 definem a metodologia de analise, avaliação e procedimentos para 

a redução desses riscos. Estas normas definem um modelo de analise cíclico que perante a fixação de metas 

iniciais permite a analise dos riscos existentes e possíveis soluções para os mesmos. Esta avaliação é efetuada 

varias vezes até que as metas definidas estejam satisfeitas. Noutras palavras, quando da analise, se um risco pode 

ser reduzido este obrigatoriamente tem de o ser. 

O modelo introduzido por estas duas normas, como anteriormente foi dito, pretende reduzir ou eliminar os riscos 

existentes através de um processo de analise cíclico e que tem os seguintes passos: 

1º Passo: Eliminação dos riscos na origem através da utilização de princípios de projeto e 

conceção intrinsecamente seguros. 

2º Passo: Redução de riscos através da salvaguarda e de sistemas de controlo. 

3º Passo: Prevenção de riscos residuais informando os utilizadores e operadores das máquinas. 



Capítulo I 

I-2.5 – Segurança Funcional 

Na ultima década, deste seculo, têm sido publicadas diversas normas sobre segurança funcional. Algumas dessas 

normas são a IEC 61508, IEC 62061, IEC 61511, ISO 13849-1 e IEC 61800-5-2. O conceito de segurança funcional 

vem substituir as antigas categorias de comportamento, em caso de falha, que eram definidas na EN 954-1. 

A velha NORMA EN 954-1 

A antiga norma EN 954-1 de 1996 definia, através de uma tabela de risco, a segurança relacionada com os circuitos 

de controlo elétrico. Nesta antiga norma o utilizador avaliava a frequência dos riscos, a gravidade das lesões 

inerentes e as possibilidades de fuga no caso de uma ocorrência. 

Essa norma identificava as seguintes categorias, em caso de falha: 

* CATEGORIA B: nesta categoria os circuitos de controlo são básicos e podem levar a uma perda da função de 

segurança devido a uma falha. 

* CATEGORIA 1: nesta categoria os circuitos de controlo também podem levar a uma perda da função de 

segurança, mas com menos probabilidade do que ocorre na Categoria B. 

* CATEGORIA 2: nesta categoria são efetuados testes periódicos, com intervalos adequados, aos circuitos de 

controlo. Mesmo assim pode ocorrer falhas nas funções de segurança entre esses testes. 

* CATEGORIA 3: nesta categoria os circuitos de controlo asseguram as funções de segurança na presença de 

uma única falha. Perante diversas falhas podem ser perdidas as funções de segurança. 

* CATEGORIA 4: nesta categoria os circuitos de controlo asseguram as funções de segurança e estão disponíveis 

no caso de ocorrerem uma ou mais falhas. 

Atualmente a norma EN 954-1 foi substituída pelas normas IEC 62061 e EN ISO 13849-1. 



Capítulo I 

NORMA IEC 62061 

A norma internacional IEC 62061 

considera cada função de 

segurança em detalhe tendo que 

ser elaborados requisitos de 

segurança específicos. Nestes 

requisitos incluem-se os seguintes 

pontos: 

Especificação funcional : O que 

cada função faz em pormenor. 

Especificação de integridade de 

segurança : Define a probabilidade 

de que o exigido à função será 

realizado sob condições especificas. 

A especificação de integridade de segurança, considera falhas de hardware e falhas de sistema. As falhas de sistema 

são aquelas que estão relacionadas com causas especificas e apenas podem ser evitadas pela remoção das respetivas 

causas, geralmente através de uma modificação do desenho. Em geral estas falhas resultam de especificações 

incorretas no inicio do projeto. 

Na norma IEC 62061 é estabelecido um requisito de integridade de segurança através de um valor que indica a 

probabilidade de falhas perigosas por hora para cada função de segurança relacionada. O valor para o Nivel de 

Integridade de Segurança SIL é calculado através do nível de segurança de cada componente ou de cada subsistema. 

A determinação do SIL (“Safety Integrity Level”) é exemplificada na tabela seguinte : 

NORMA EN ISO 13849-1 

A norma europeia EN ISO 13849-1 elaborada pelo CEN – Comité Europeu de Normalização sobre égide da ISO define 

um nível de desempenho de segurança denominado de PL (“Perfomance Level”) traduzido pela atribuição das letras 

A, B, C, D ou E. Tal como a norma EN62061 também estabelece este valor a partir da probabilidade de falhas tendo 

em conta 3 variáveis. Essas variáveis são as seguintes: 

MTTF (“Mean Time to Failure”) : Tempo estimado até ocorrer uma falha perigosa e que é estabelecido através 

do seguinte quadro : 



Capítulo I 

DC (Diagnostic Coverage) : É uma medida que indica quantas falhas perigosas o sistema de diagnóstico irá 

detetar. É estabelecido através do seguinte quadro: 

CATEGORIA : São as mesmas que estão estabelecidas no anexo 2 da norma EN 945-1 (ver pag.8). 

Com as três variáveis anteriores (MTTF, DC e CATEGORIA) é encontrado o nível PL. Na tabela seguinte é 

apresentado um método simplificado de determinação desse nível PL conforme a Tabela 7 da norma ISO 13849-1. 

Podemos também determinar o PL exigido através de um gráfico de risco como mostra a figura seguinte: 

As normas EN 62061 e EN 13849 sobrepõem-se na sua aplicação. 

Elas são semelhantes em diversos aspetos, havendo uma relação precisa 

entre ambas. A escolha da norma a utilizar depende do fabricante e de 

acordo com a tecnologia adotada. No entanto a norma EN 13849 é mais fácil 

de se aplicar tanto pela sua abordagem como pela reutilização de conceitos 

já conhecidos, na norma anterior EN 954-1. 



Capítulo I 



Capítulo II 

II – Terminais e dispositivos de segurança 

Apresentação dos componentes de segurança para o TwinSAFE 

O módulo TwinSAFE, no System Manager, do TC2.11 é o software 

de programação para os controladores de segurança BECKHOFF. 

O modulo de software TwinSAFE só por si não permite construir 

um sistema seguro. É necessário ter hardware que agrupe a lógica 

residente no software TwinSAFE com os órgãos funcionais 

perigosos da máquina industrial, através de equipamentos 

seguros. 

O hardware necessário é constituído por dois grupos funcionais: 

- 1º grupo é constituído por terminais de segurança que são incorporados no hardware do PLC ou controlador 

lógico de segurança BECKHOFF (cartas de entradas e saídas digitais seguras). 

- 2º grupo é constituído por dispositivos de segurança (bimanual, botão de emergência, barreiras luminosas, 

portas de acesso seguro, etc), externos ao PLC ou controlador de segurança, que são instalados fisicamente 

na máquina industrial que pretendemos certificar segundo as normas de segurança. 

II-1 – Terminais de segurança BECKHOFF 

Os terminais de segurança que a BECKHOFF disponibiliza dividem-se em dois grupos. O grupo dos controladores 

lógicos de segurança e o grupo das cartas de entradas e saídas seguras. 



Capítulo II 

O programa de segurança, na BECKHOFF, é desenvolvido no configurador System Manager do TwinCAT 2.11 e 

correrá nos módulos lógicos EL6900, EL6930 E KL6904. Este programa é separado do programa do automatismo 

clássico, residente no softPLC TwinCAT PLC. 

Os dispositivos de monitorização (entradas de segurança) dos equipamentos de segurança estão ligados 

eletricamente às cartas KL1904, EL1904 ou EP1908. 

Os dispositivos de acionamento de segurança (saídas de segurança), que irão cortar as energias ou movimentos 

perigosos através de relés ou contatores, estão ligados às cartas EL2902 ou EL2904. 

Ambos são certificados como dispositivos de segurança. A comunicação entre a placa controladora de segurança 

(ex. EL6900) e as entradas/saídas seguras (ex. EL1904/EL2904) é feita através da rede EtherCAT. Isso é possível 

porque a comunicação usa um protocolo, certificado para segurança, designado por FSoE (Fail-safe over 

EtherCAT). Devido à enorme flexibilidade do sistema podemos ter, na mesma rede, mais do que um controlador 

de segurança. 

II-1.1 – Especificações dos terminais de entradas seguras (KL/EL/EJ 19xx) 

Os terminais (também designadas na gíria técnica 

cartas) com entradas digitais para segurança 

máquina, disponíveis na BECKHOFF, são os 

seguintes: 

Barramento KL (K bus) 

- KL1904 (4 entradas digitais seguras) 

Barramento EL (EtherCAT) 

- EL1904 (4 entradas digitais seguras) 

- EP1908-002 (8 entradas digitais seguras) 

Barramento EJ (EtherCAT) 

Nota: Ainda não disponíveis no mercado 

- EJ1914 e 18 (4 e 8 entradas digitais seguras) 

- EJ1957 (8 entradas/4 saídas digitais seguras) 



Capítulo II 

Como exemplo, a carta EL1904 (na figura em baixo) possui 4 canais de entradas seguras. A estes 4 canais ligamos 

eletricamente equipamentos de segurança. Esses equipamentos de segurança podem ser botões de paragem de 

emergência, comando de máquina bimanual, portas de controlo de acesso a zonas perigosas, scanners laser para 

zonas perigosas, barreiras luminosas, tapetes de segurança de zona, etc 

II-1.1.1 – Diagrama de bloco do EL1904 

II-1.1.2 – Teste de impulsos nas entradas seguras 

Em cada canal da carta EL1904 podemos efetuar o teste ao circuito elétrico do 

equipamento de segurança a que está ligado. Este teste é feito através do gerar 

de um trem de impulsos. Estes impulsos permitem detetar falhas nos contatos 

do circuito elétrico através de curto-circuitos forçados externamente ou 

circuitos cruzados vindos de outras cartas. 

O comprimento temporal do impulso é de cerca 350 µs e repete-se 250 vezes 

por segundo. A comutação da saída, para este impulso, faz-se de 24 a 0Vdc. 

Estes ipulsos sae pelos teiais Input 1+ … 4+ e deeo entrar as 

entradas do respetivo par Input 1- … 4-. Estes trens de impulsos são 

independentes e assíncronos (desfasados no tempo). O tempo do ciclo deste 

teste nos 4 canais é de cerca 4 ms. Na figura, em baixo nesta pagina, está 

representado um diagrama temporal para o trem de impulsos gerado em cada 

um dos canais. 

Para termos esta função de teste de impulsos em cada um dos canais da carta 

EL1904 teremos, no TwinSAFE (EtherCAT), de ofigua o paeto Sensor test active ativando-o a TRUE. 



Capítulo II 

II-1.1.3 – Tabela dos parâmetros do EL1904 (“Safety Parameters”) 

Nome do Parâmetro Significado Valor 

“FS Operating Mode” Endereço FS0E atribuído pelo DIP switch 1 a 65535 

“Operating Mode” 

[8000:01] 

Modo de Operação das entradas digitais 

de segurança 

“digital” 

“standstill monitoring 1” ou “2” 

“Sensor test Channel 1 Gerar trem de impulsos a sair pelo Input TRUE / FALSE 

active” [8001:01] 

1+ e a entrar em Input 1- 


active” [8001:02] 



active” [8001:03] 



active” [8001:04] 


“Logic Channel 1 and 2” 

[8002:01] 

Ativar a combinação lógica entre o canal 

1 e 2 

+ “single logic channel 1/2” 

+ ”asynchronous analyses OSSD, …” 

(o teste do sensor deve estar OFF) 

+ ”any pulse repitition OSSD,…” 


+ ”short cut channel 1/2, …” 

(não dever ser considerada falha) 

“Logic Channel 3 and 4” 

[8002:03] 

Ativar a combinação lógica entre o canal 

3 e 4 

“Store code” Necessário para o “Restore Mode” 0x0000 

“Project CRC” Necessário para o “Restore Mode” 0x0000 

+ “single logic channel 3/4” 

+ ”asynchronous analyses OSSD, …” 


+ ”any pulse repetition OSSD,…” 


+ ”short cut channel 3/4, …” 

(não dever ser considerada falha) 

II-1.1.4 – Exemplos de configuração dos parâmetros do EL1904 

Para cada tipo de equipamento de segurança (bimanual, botão de emergência, barreiras luminosas, etc) temos de 

configurar os parâmetros, mostrados na tabela anterior, de maneira diferente. De seguida demonstramos, com 

diversos exemplos, essas configurações. 

Exemplo 1: Configuração da EL1904 com Barreiras Luminosas (ligth barriers) 

Só sensores (barreiras luminosas ou scanners laser de segurança máquina) com autoteste das suas saídas, com um 

impulso máximo de 350 µs, é que se podem ligar à carta EL1904 (veja a figura seguinte). 



Capítulo II 

Parâmetros para as barreiras luminosas ou scanners laser de segurança (“Safety Parametrs”): 

A figura seguinte mostra as configurações dos parâmetros para uma barreira luminosa de segurança ligada 

eletricamente ao Input 1 e 2 da carta EL1904. Neste exemplo o parâmetro 8002:01 também podia ser configurado 

com any pulse repetition OSSD, sensor test deactivated. Os parâmetros 8001:01 e :02 do Input 1 e 2 têm de ter 

o teste Sensor test Channel ? active desatiado FALSE). 

Exemplo 2: Configuração da EL1904 com tapetes de segurança (switching mats) 

Esta carta suporta também tapetes de segurança para zonas de trabalho perigosas. 

Parâmetros para os tapetes de segurança (“Safety Parametrs”): 

A figura seguinte mostra as configurações dos parâmetros para um tapete para zona de segurança ligada 

eletricamente ao Input 1 e 2 da carta EL1904. Neste exemplo, o parâmetro 8002:01 também podia ser configurado 

com any pulse repetition OSSD, sensor test deactivated. 

II-1.1.5 – Diagnóstico de erros e estado 

Todas as cartas possuem no seu frontal um conjunto de 8 LED´s de cor verde ou vermelha. Estes LED´s transmitem 

aos operadores de manutenção ou de projeto o estado ou erros de funcionamento da carta. 

Os LED´s Diag 1, 2, 3, e 4 servem para diagnosticar erros funcionais da carta EL1904. 



Capítulo II 

1º LED: “Diag 1” (cor verde) - Indica o estado da interface do TwinSAFE 

Codificação do erro (piscar do LED) 

Significado 

LED aceso continuamente Em funcionamento normal : 

Sem erros e comunicação do TwinSAFE OK 

Piscar rápido, alternando com 1 impulso flash 

Erro nos parâmetros S (parâmetro TwinSAFE) 








Erro nos parâmetros I (parâmetro Individual) 

À espera dos parâmetros S e I. 

Parâmetros S, I corretos (espera ordem de controlo) 

Erro de watchdog. 

Erro de CRC 

Erro dado pelo nº de sequencia 

Erro de comunicação no protocolo TwinSAFE 

2º LED: “Diag 2” (cor vermelha) – Acende a cor vermelha quando deteta a injeção, numa entrada Input, de uma 

fonte de alimentação de 24Vdc externa à carta ou existe circuito cruzado. O erro apaga-se quando se elimina a causa. 

3º e 4º LED: “Diag 3” e “Diag 4” (cor vermelha) – Se o 3º LED (“Diag 3”) está aceso indica um erro interno que 

pode ser lido no 4º LED (“Diag 4”). O tipo de erro deve ser encontrado através do pulsar do LED “Diag 4” (ver tabela 

seguinte). A técnica de leitura é feita através de 4 sequências de impulsos luminosos do LED. Cada sequencia é 

separada por um espaço temporal curto. Após as 4 sequências há uma paragem longa. A tabela seguinte indica o tipo 

de erros conforme o numero de impulsos dentro das 4 sequências. 

LED “Diag 3” LED “Diag 4” (deve piscar seguindo 4 sequências de flashing) 

Sequência Significado Solução 

ON 6-1-1-1 Temperatura máxima interna excedida Verifique a refrigeração do quadro de 

comando onde se encontra a carta EL. 

7-1-1-1 Temperatura interna inferior à mínima 

permitida 

2-1-2-1 Tensão alimentação máxima do µC1 

excedida 

Verifique a fonte de alimentação. 

3-1-2-1 Tensão alimentação máxima do µC2 

excedida 

4-1-2-1 Tensão alimentação do µC1 abaixo do 

limite mínimo 

5-1-2-1 Tensão alimentação do µC2 abaixo do 

limite mínimo 

8-1-1-1 Excedido a temperatura diferencial 

entre os pontos de medição 

Verifique a instalação e a temperatura 

ambiente. 

Se surgirem outras sequências significa que existem erros internos no terminal. Esses erros devem forçar a paragem 

do funcionamento da carta EL1904. 

II-1.1.6 – Objetos de diagnóstico (CoE objects) 

Os objetos de diagnóstico servem para internamente verificarmos as possíveis causas de maus funcionamentos da 

carta de segurança. 

Nunca deveremos alterar esses objetos CoE no editor TwinCAT. Qualquer alteração desses objetos leva 

definitivamente a carta de segurança para modo falha (Fail-Stop state). 



Capítulo II 

Índice FA80hex: Valores internos de temperatura 

O objeto CoE FA80hex indica o valor de temperatura interna atualmente na carta EL1904. 

Índice Nome Significado Flags Default 

FA80:01 “Temperature 1” Medição temperatura 1 RO 0bin 

FA80:02 “Temperature 2” Medição temperatura 2 RO 0bin 

Default = Valores vindos de fábrica 

Índice 800Ehex: Informação de diagnóstico 

O objeto CoE 800Ehex mostra mais informação de diagnóstico da carta EL1904. 


800E:0 Diagnóstico Os subíndices contem o diagnóstico RO 

Bit 

Detetado uma Fonte de Alimentação 

externa ou circuito cruzado. 

800E:0A Erro nos testes dos sensores 

0 1bin Erro no Input 1 0bin 

RO 




Erro que ocorre no teste a dois canais (ex. 

Bit 

canais não coordenados). 

800E:0B Erro no par de canais 

RO 

0 1bin Erro na 1ª entrada do par 0bin 

1 1bin Erro na 2ª entrada do par 0bin 

Erro em tapete de segurança Bit Erro no par de entradas 

800E:0C Modo de operação: 

1,0 1bin Erro no 1º par de canais RO 0bin 

“input pair disagree” 

3,2 1bin Erro no 2º par de canais 0bin 

Erro nos testes de impulsos com a 

Bit 

utilização de tapetes de segurança (ex. 

detetada uma fonte de alimentação 

RO 

externa). 

800E:0D 

Erro em tapete de segurança 

Modo de operação: 

“external supply” 







Capítulo II 

II-1.2 – Especificações dos terminais de saídas seguras (KL/EL/EJ 29xx) 

Os terminais de saídas digitais para segurança máquina, disponíveis na BECKHOFF, são os seguintes: 


- KL2904 (4 saídas digitais seguras) 


- EL2901 (contatos potencia 1 canal) 

- EL2902 (2 saídas digitais seguras) 

- EL2904 (4 saídas digitais seguras) 


Nota : Ainda não disponíveis no mercado 

- EJ2914 e 18 (4 e 8 saídas digitais seguras) 

- EJ2957 (8 entradas/4 saídas digitais seguras) 

Como exemplo, a carta EL2904 (da figura) possui 4 canais de saídas seguras. A estes 4 canais ligamos eletricamente 

os equipamentos de corte (alimentados a 24Vdc) das energias perigosas (elétrica, cinética ou potencial). Esses 

equipamentos de corte são relés ou contatores de potência, trincos eletromecânicos, servo-drives, etc. 

II-1.2.1 – Diagrama de bloco do EL2904 

II-1.2.2 – Teste de Impulsos nas saídas seguras 

Em cada canal da carta EL2904 podemos efetuar o teste ao circuito elétrico do 

equipamento de corte, a que está ligada. Este teste é feito através do gerar de um 

trem de impulsos. Estes impulsos permitem detetar falhas nas ligações elétricas 

feitas aos relés, contatores ou trincos eletromagnéticos. 

O comprimento temporal do impulso está entre 350 µs a 800 µs e repete-se 5 a 7 

vezes por segundo. A comutação da saída, para este impulso, faz-se de 24 a 0V e 

volta a 24Vdc. Estes impulsos saem em cada Output 1+ … 4+ e deeo surgir 

nas entradas do respetivo par Output 1- … 4-. Estes trens de impulsos são 

independentes e assíncronos (desfasados no tempo). Na figura apresentada, em 

baixo nesta pagina, está representado um diagrama temporal para o trem de 

impulsos gerado em cada um dos canais. 



Capítulo II 

Para termos esta função de teste de impulsos, em cada um dos canais da carta EL2904, teremos no TwinSAFE 

(EtherCAT) de configurar o parâmetro “current measurement” e o “testing of outputs active” a TRUE. Não existe 

razão funcional termos o parâmetro “current measurement” a TRUE e o “testing of outputs active” a FALSE. 

II-1.2.3 – Tabela dos parâmetros do EL2904 (“Safety Parameters”) 

Nome do Parâmetro Significado Valor 

“Standard outputs active” Podemos colocar uma saída da carta EL2904 a ser comutada TRUE/FALSE 

[8000:01] 

por uma condição residente no PLC standard. A saída é 

linkada com um sinal lógico “AND”. 

“Current measurement active” A medição de corrente de consumo do rele ou contator está TRUE/FALSE 

[8000:02] 

ativa (faz a medição). 

“Testing of outputs active” 

[8000:03] 

O teste de impulsos do respetivo canal é ativado. 

TRUE/FALSE 

“Error acknowledge active” 

[8000:04] 

Com o valor TRUE: 

Erros na carta EL levam a um RESET nas ligações do TwinSAFE 

(erro 14 [0x0E]). Este código de erro é mostrado nos dados de 

diagnóstico e mantem-se até reconhecermos o erro, através 

da flag “ErrAck”, no grupo do TwinSAFE. 

Com o valor FALSE (valor de fábrica): 

Erros na carta EL só se pode fazer o RESET através do corte 

de energia à carta e reinicia-la de novo. 

TRUE/FALSE 

“Store code” Necessário para o “Restore Mode” 0x0000 

“Project CRC” Necessário para o “Restore Mode” 0x0000 

NOTA : 

Se tivermos os parâmetros “current measurement active” ou o “testing of outputs active” ativo (TRUE) cada um 

dos canais Output 1 a 4 geram impulsos de teste. Se há indicação de erro na carta EL, por incompatibilidade funcional 

dos equipamentos de corte (relés ou contatores) que utilizamos na aplicação, devemos por os dois parâmetros 

anteriores a FALSE. Não existe e não faz qualquer sentido termos os parâmetros “testing of outputs active” a FALSE 

com a propriedade “current measurement active” a TRUE. 

Ao desligarmos estes dois parâmetros reduzimos a classificação do nível de segurança da máquina industrial em 

que está instalado o sistema Beckhoff TwinSAFE. 



Capítulo II 

Janela dos parâmetros da carta EL2904. 

II-1.2.4 – Diagnóstico de estado e erros 

Todas as cartas possuem no seu frontal um conjunto de 8 LED´s de cor verde ou vermelha. Estes LED´s transmitem 

aos operadores de manutenção ou de projeto o estado ou erros de funcionamento da carta. 

Os LED´s Diag 1, 2, 3, e 4 servem para diagnosticar erros funcionais da carta EL2904. 

1º LED: “Diag 1” (cor verde) - Indica o estado da interface do TwinSAFE 


LED aceso continuamente 

Significado 

Em funcionamento sem erros. 

2º LED: “Diag 2” (cor vermelha) - Indica o estado das saídas digitais de segurança da carta EL 


Significado 

Piscar rápido, alternando com 1 impulso flash Erro na saída 1 (Output 1) Circuito da carga em circuito 

Piscar rápido, alternando com 2 impulso flash Erro na saída 2 (Output 2) aberto ou corrente de carga 

inferior a 20mA ou superior a 

Piscar rápido, alternando com 3 impulso flash Erro na saída 3 (Output 3) 

500mA. 

Piscar rápido, alternando com 4 impulso flash Erro na saída 4 (Output 4) 

Piscar rápido, alternando com 5 impulso flash Nível de tensão baixo 

Piscar rápido, alternando com 6 impulso flash Nível de tensão alto 

Piscar rápido, alternando com 7 impulso flash Temperatura interna no terminal muito baixa 

Piscar rápido, alternando com 8 impulso flash Temperatura interna no terminal muito alta 

Piscar rápido, alternando com 9 impulso flash Erro no diferencial de temperatura 


Erro no circuito saída (Circuito da carga em aberto, 

curto-circuito ou fonte alimentação externa) 

Estes erros só podem ser “apagados” após a eliminação do erro, com o corte da energia elétrica à carta. 

3º e 4º LED: “Diag 3” e “Diag 4” (cor vermelha) – Se o 3º LED (“Diag 3”) se encontra aceso indica um erro interno. 

Este erro força o desligar deste terminal. O tipo de erro deve ser encontrado através do pulsar do LED “Diag 4”. A 

técnica de leitura é feita através de 4 sequências de impulsos luminosos do LED. Cada sequencia é separada por um 

espaço temporal curto. Após as 4 sequências há uma paragem longa. O tipo de erros é conforme o numero de impulsos 

dentro das 4 sequências (igual à tabela da EL1904). Esta contagem deve ser enviada para a Beckhoff quando da 

reparação do terminal E2904. 



Capítulo II 



carta de segurança. Nunca deveremos alterar esses objetos CoE no editor TwinCAT. Qualquer alteração desses 

objetos leva definitivamente a carta de segurança para modo falha (Fail-Stop state). 




FA80:01 Temperature 1 Medição temperatura 1 (lado esquerdo) RO 0bin 

FA80:02 Temperature 2 Medição temperatura 2 (lado esquerdo) RO 0bin 

FA80:02 Temperature Outputs Medição temperatura saídas (lado direito) RO 0bin 


Índice 800Ehex: Informação de diagnóstico 

O objeto CoE 800Ehex mostra mais informação de diagnóstico da carta EL2904. 


800E:0 Diagnóstico Os subindices contem o diagnóstico RO 

Bit 

Detetado uma Fonte de Alimentação externa 

ou circuitos cruzados * 

0 1bin Erro no Output 1 0bin 




800E:0C Erro nas saídas 

RO 

Circuito aberto ou corrente inferior a 20mA 

Bit 

ou corrente superior a 500mA** 





800E:0D 

Bit Tensão (power contacts) fora dos limites RO 

Erro na fonte de 

0 1bin Tensão muito alta 0bin 

alimentação 

1 1bin Tensão muito baixa 0bin 



Capítulo II 

800E:0E 

Erro de temperatura nos 

microcontroladores da 

carta EL 

Bit Temperatura fora das especificações RO 

0 1bin Temperatura alta no µC1 0bin 

1 1bin Temperatura alta no µC2 0bin 

2 1bin Temperatura alta na carta de saída 0bin 

3 1bin Temperatura baixa no µC1 0bin 

4 1bin Temperatura baixa no µC2 0bin 

5 1bin Temperatura baixa carta saída 0bin 

6 1bin Diferencial Temperatura alta (µC´s) 0bin 

7 1bin Diferencial Temperatura alta na EL 0bin 

*) Esta mensagem de diagnóstico só é idiada se o teste Current Measurement estiver ativo (FALSE) 

**) Esta mensagem de diagnóstio só é idiada se o teste Current Measurement estiver ativo (TRUE) 

II-1.2.6 – Possíveis causas das mensagens de diagnóstico 

Diagnóstico Possíveis causas Acão corretiva 

Se o paeto Testing of outputs active e / ou Current measurement active esto 

ativos: 

Falha no teste de impulsos. 

Causa: ligações cruzadas ou a utilização de fontes de Elimine estas duas causas. 

alimentação externa à carta. 

Falha no teste de impulsos. 

Utilização de cabos isolados e 

Causa: A utilização de caminhos comuns de cabos 

separados, através da utilização de 

pode induzir sinais de ruido acoplados pelas 

caminho de cabos diferentes. 

capacidades parasitas entre cabos. 

O LED Diag 2 

pisca 1,2,3,4 ou 

10 impulsos flash 

Falha na medição de corrente de carga. 

Causa: O consumo de corrente pela carga (relé) é 

inferior a 20mA ou superior a 500mA. 

Escolha um relé ou contator que 

tenha um consumo de corrente 

entre 20 a 500 mA. 

Idepedeteete de os paeto Testing of outputs active e / ou Current 

measurement active estae ativos: 

Os níveis da tensão de alimentação ultrapassam os 

limites permitidos (24Vdc -15% / + 20%). 

Causa: A possível causa é a existência de um curtocircuito 

na saída do terminal ou a existência uma 

queda brusca de tensão quando da comutação da 

carga (relé ou contator). 

Falha EMC (compatibilidade eletromagnética) 

Elimine o curto-circuito. Verifique a 

potencia máxima da Fonte de 

Alimentação elétrica, se é a 

adequada. 

Tome medidas em relação ao ruido 

RF (Radio Frequência). 

O LED Diag 2 

pisca 5 impulsos 

flash 

Defeito interno na carta EL 

Não há tensão elétrica nos contatos de potência 

(facas existentes no lado esquerdo do terminal EL). 

A tensão nos contatos de potência liga depois de 

ligar a alimentação do terminal EL. 

Tensão baixa nos contatos de potência (facas 

existentes no lado esquerdo do terminal EL). 



Substitua a carta EL 

Ligue a fonte de alimentação que 

alimenta os contatos de potência. 

Faça o Reset do eo PowerOn 

Reset 

Ligue a fonte de alimentação que 

alimenta os contatos de potência 

antes ou ao mesmo tempo que o 

terminal EL. Faça o Reset do erro 

PowerOn Reset 

Coloque o nível de Tensão elétrica 

para os valores corretos e faça o 

Reset do erro (PowerOn Reset). 






Nível de tensão elétrica muito alta nos contatos de 

potência. 

Capítulo II 

Reduza o nível de Tensão elétrica 

para os valores corretos e faça o 

Reset do erro (PowerOn Reset). 

O LED Diag 2 


flash 

O LED Diag 


flash 

O LED Diag 2 


flash 

O LED Diag 2 


flash 

Existência de picos de tensão elétrica nos contatos 

de potência, provocados pelo acionamento de 

cargas indutivas ( contatores de potência). 


Erro interno na carta EL 

Temperatura no terminal muito baixa 



Temperatura no terminal muito alta 



Os diferenciais de temperatura muito altos entre os 

3 pontos de medição internos. 



Elimine ou reduza esses picos de 

tensão colocando um filtro RC ou 

um díodo de roda livre e 

paralelo com a bobine do contator. 




Cumpra as gamas de temperatura 

especificadas na documentação. 




Cumpra as gamas de temperatura 

especificadas na documentação. 




Um dos pontos de medição deve 

estar em falha. Substitua o 

terminal. 

Um ponto de medição interno 

mostra uma leitura elevada. 

Aumente a refrigeração do quadro 

de comando e/ou verifique a 

colocação do terminal cumprindo 

as regras de boas praticas de 

instalação mecânica, evitando a 

sua instalação junto a fontes de 

calor. 






Capítulo II 

II-1.3 – Especificações dos terminais com controlador lógico TwinSAFE (KL/EL/EJ 69xx) 

Os terminais, que correm o programa lógico de 

segurança TwinSAFE, disponível são os seguintes: 


- KL6904 


- EL6900 

- EL6910 (só com TC3) 

- EL6930 (TwinSAFE e PROFIsafe) 


- EJ6910 (só com TC3) 

PLC de Segurança EK (EtherCAT) 

- EK1960 (só com TC3) 

Este terminal EL6900 permite interligar as entradas 

EL19xx com as saídas EL29xx seguras seguindo a 

lógica de segurança residente no controlador da carta EL6900. Esta carta cumpre as normas IEC 61508:2010 SIL 3, 

DIN EN ISO 13849-1:2006 (Cat4, PLe), NRTL, UL508, UL1998 e UL991. 

Este controlador lógico de segurança, tal como os terminais de entrada e saídas seguras EL, deverão estar 

incorporadas em rede EtherCAT com módulos de cabeceira (Bus Couplers) EKxxxx ou PC embebidos CXxxxx. 

II-1.3.1 – Programação do código lógico de segurança 

O programa lógico de segurança irá estar residente no controlador EL6900, EL6930 ou KL6904. O programa de 

segurança Homem-Máquina não poderá estar residente em um PLC convencional, como o softPLC TwinCAT. Os 

procedimentos necessários para construir um programa de segurança TwinSAFE serão explicados detalhadamente 

no Capitulo III, deste manual. 

II-1.3.2 – Diagnóstico de estado e erros 

O terminal lógico de segurança EL6900 possui no seu frontal um conjunto de 8 LED´s de cor verde ou vermelha. 

Estes LED´s transmitem aos operadores de manutenção ou de projeto o estado ou erros de funcionamento da 

carta. 

Os LED´s Diag 1, 2, 3, e 4 servem para diagnosticar erros funcionais da carta EL6900. Os LED´s State 1, 2, 3 e 4 

indicam o estado em que se encontra o terminal EL6900. 



Capítulo II 

- LED´s de INDICAÇÃO DE ERRO 

Ataés dos LED´s Diag 1, Diag 2, Diag 3 e Diag 4 oseguios sae se existe um erro no controlador 

lógico TwinSAFE EL6900 e qual a sua causa. 

1º LED: Diag 1 (cor verde) - Indica o estado da interface do TwinSAFE 

Codificação do erro (piscar do 1º LED) 

Significado 

LED aceso continuamente (ON) 

Programa de segurança guardado no controlador. 

2º LED: Diag 2 (cor vermelha) - Indica o estado interno do controlador de segurança EL6900 (em preparação). 

3º e 4º LED: Diag 3 e Diag 4 (cor vermelha) – Se o 3º LED Diag 3 se eota aeso (ON) indica um erro 

interno. Este erro força o desligar deste terminal. O tipo de erro deve ser encontrado através do pulsar do LED 

Diag 4 ou se estiver desligado (OFF). Ver a tabela seguinte: 

4º LED-Codificação erro (com 3º LED=ON) Significado 

A piscar Erro no µC1 

Desligado (OFF) Erro no µC2 

3º e 4º LED: Diag 3 e Diag 4 (cor vermelha) – Se o 3º LED Diag 3 se eota desligado OFF idia o 

estado do terminal. Ver a tabela seguinte: 

4º LED-Codificação estado (com 3º LED=OFF) Significado 

Piscar 1 flash (piscar uniforme) 

Erro da Função Bloco de grupo do TwinSAFE 

Piscar 2 flash (pausa longa entre Impulsos flash) Erro de comunicação de grupo do TwinSAFE 

Piscar 3 flash (pausa longa entre impulsos flash) Erro de Função Bloco e comunicação de grupo TwinSAFE 

Níveis de tensão de alimentação ou temperatura interna 

Aceso 

do terminal fora da gama permitida. O diagnóstico 

detalhado pode ser visto no objeto FA00hex. 

- LED´s de INDICAÇÃO DE ESTADO 

Ataés dos LED´s State 1, State 2, State 3 e State 4 oseguios sae o estado funcional do controlador 

lógico TwinSAFE, terminal EL6900. 

State 1 State 2 State 3 State 4 Significado 

OFF OFF OFF ON Não existe projeto (programa) de segurança TwinSAFE 

residente na sua memoria. 

OFF OFF ON ON Projeto presente na memoria do terminal 

Status da rede EtherCAT em Pre-OP (Pre-Operational) 

ON ON ON ON Projeto presente na memoria do terminal 

Status da rede EtherCAT em OP (Operational) 



carta de segurança. 

Nunca deveremos alterar esses objetos CoE no editor TwinCAT. Qualquer alteração desses objetos leva 

definitivamente a carta de segurança para modo falha (Fail-Stop state). 



Capítulo II 




FA80:01 Temperature Primary MC Medição da temperatura 1 RO 0 

FA80:02 Temperature Secondary MC Medição da temperatura 2 RO 0 


Índice FA00hex: Informação de diagnóstico 

O objeto CoE FA00hex mostra mais informação de diagnóstico da carta EL6900. 


FA00:0 Diagnóstico Os subindices contem o diagnóstico detalhado RO 

Word Erros 

Erro de temperatura 

0005hex Temperatura máxima excedida 

0006hex Temperatura abaixo do limite mínimo 

0007hex Diferencial de temperatura excedida 

FA00:03 

0101hex Tensão máxima no µC 1 excedida 

0102hex Tensão máxima no µC 2 excedida 

RO 0000hex 

Erro na alimentação 0103hex 

Tensão mínima no µC 1 abaixo do 

limite 

0104hex 

Tensão mínima no µC 2 abaixo do 

limite 



Capítulo II 

II-2 – Dispositivos de segurança 

Existem no mercado uma vasta gama de dispositivos de comando de segurança máquina. Estes dispositivos são 

fornecidos por diversas marcas (Siemens, Schmersal, Banner, Sick, Schneider, etc). A BECKHOFF no seu portfolio de 

produtos não possui dispositivos de segurança para venda, somente terminais e PLC´s de segurança. 

Da gama variada de dispositivos de segurança destacamos os seguintes: 

Comandos de paragem de emergência ESTOP – Emergency stop 

Comandos de bimanual Two-hand control 

Barreiras óticas de segurança Safety ligth curtain 

Scanners laser de segurança Safety laser scanner 

Tapetes e batentes de segurança máquina Safety switch mat / Safety bumper 

Trincos de porta de segurança Guard locking switching / tumbler) 

Portas de proteção de máquinas Protective door machine 

Cada um destes dispositivos de segurança tem funcionalidades especificas no cumprimento das normas de 

segurança homem-máquina. De seguida iremos abordar, de uma maneira ligeira, as características técnicas de 

cada um destes dispositivos. 

II-2.1 – Comandos de paragem de eergêcia ESTOP - Emergency stop 

Toda a máquina industrial deverá ter um dispositivo de paragem de emergência (ESTOP). São dispositivos com 

acionadores, geralmente na forma de botões tipo cogumelo de cor vermelha, colocados em local visível na 

máquina ou próximo dela e sempre ao alcance do operador. Quando acionados, tem a finalidade de parar todo e 

qualquer movimento perigoso de órgãos pertencente à máquina. 

Devem ser monitorizados por um relé ou PLC de segurança. No caso de utilizarmos controladores de segurança 

BECKHOFF, os seus contatos elétricos deverão estar ligados eletricamente a entradas seguras (ex. terminal EL1904) 

e vigiados através do programa de segurança TwinSAFE residente em um controlador de segurança (ex. EL6900) ou 

PLC de segurança (ex. EK 1960). 

Quando são utilizados comandos de bimanual, ligados por fichas rápidas (removíveis), que contenham um botão de 

paragem de emergência este não pode ser único. Deve haver um outro dispositivo de paragem de emergência, no painel 

de controlo ou no corpo da máquina. É necessário ainda a adoção de medidas para evitar confusão entre os controlos 

ativos e inativos. 



Capítulo II 

Esquema elétrico do Comando de paragem de emergência de segurança 

Nestes dispositivos de segurança de emergência (ESTOP) podemos ter duas configurações elétricas. Uma com 2 contatos 

Normalmente Fechados (NF) ou um contato NF e outro Normalmente Aberto (NA). Em ambos os casos os contactos são 

guiados mecanicamente. Nas ligações aos terminais da BECKHOFF usam-se os dois contatos NF. Com o comando de 

paragem de emergência ligado eletricamente a entradas seguras dos terminais de segurança EL1904 e controlado 

por um controlador lógico TwinSAFE conseguimos obter a categoria CAT 4/PL=e. 

II-2.2 – Comandos de biaual Two-hand control 

Os comandos de bimanual são constituídos por 2 botões de pressão que pertencem ao mesmo dispositivo de 

proteção. Estes 2 botões não podem estar separados e tem de pertencer a mesma caixa de comando. Em geral, 

serve para assegurar a ocupação de ambas as mãos em simultâneo do operador da máquina. Assim, ambas as 

mãos ficam fora da área perigosa. Este operador é o responsável de dar inicio aos movimentos, dos órgãos da 

máquina, considerados perigosos. Deverá manter o comando bimanual ativo durante o tempo que o perigo esteja 

presente na máquina. 

Os comandos de bimanual são montados, na forma standard, com um comando de paragem de emergência (de 

acordo com a norma EN ISSO 13850) e dois botões de pressão. Alem disso existem coberturas de proteção 

mecânica, sobre os botões de pressão, as quais protegem contra a manipulação incorreta do bimanual com outras 

partes do corpo humano, tais como cotovelos, barriga, ancas, coxas, joelhos, etc. 

Esquema elétrico de Comando bimanual de segurança 

Nestes dispositivos de segurança de bimanual temos 2 contatos. 1 contato é Normalmente Fechado (NF) e o outro um 

contato Normalmente Aberto (NA). Ambos os contactos são guiados mecanicamente. Nas ligações aos terminais da 

BECKHOFF usam-se os contatos NF e NA. Com o comando bimanual instalado com os terminais de segurança EL1904 

e os controladores lógicos TwinSAFE conseguimos obter a categoria CAT 4/PL=e. 



Capítulo II 

II-2.3 – Barreiras óticas de segurança Safety ligth urtai) 

Quase todas a máquinas industriais possuem órgãos com movimentos ou outro tipo de energia que poderá causar 

dados ao operador. Para restringir o acesso a essas zonas, cujos órgãos estão em funcionamento, com energia 

cinética, potencial, elétrica ou térmica são usadas barreiras luminosas ou cortinas óticas de segurança. Estas 

barreiras tem a função de cortar ou desligar essa energia (cinética, potencia, elétrica ou térmica) dos órgãos 

funcionais perigosos, quando violamos a zona perigosa. 

Estas barreiras óticas de segurança permitem serem integradas, dentro do conceito de segurança máquina, em 

espaços reduzidos. A sua grande aplicação é a proteção a pessoas, mãos ou mesmo dedos em máquinas industriais 

como prensas eletromecânicas, hidráulicas, pneumáticas, entre outras aplicações industriais. 

Esquema elétrico ou eletrónico das Barreiras óticas de segurança 

A parte eletrónica das barreiras luminosas já possui uma categoria de segurança de nível mais alto. Isto obriga que 

os sinais elétricos (com informação de segurança) que são transmitidos, ao terminador da BECKHOFF, sejam 

testados no controlo eletrónico da barreira luminosa. Este auto-teste (teste de impulsos) das saídas seguras da 

barreira é designado por OSSD Output Signal Switching Device . Com as barreiras óticas de segurança, ligadas 

eletricamente aos terminais de segurança EL1904 e controladores lógicos TwinSAFE, conseguimos obter a 

categoria CAT 4/PL=e. 



Capítulo II 

II-2.4 – Scanners laser de seguraça Safety laser scanner) 

Um scanner laser permite que configuremos zonas ou áreas que pretendemos proteger contra a intrusão de 

pessoas. A grande vantagem é poder facilmente e por software desenhar essas áreas mesmo tendo formatos 

complexos. Efetivamente protegem operadores de máquina bem como sistemas moveis, para uma determinada 

área. 

Os scanners laser de segurança são uma solução para proteção de obstáculos em veículos autónomos (AGV´s – 

Automated Guided Vechiles oo paa zoas de trabalho de células robotizadas, entre outras aplicações. 

Através do software podemos programar diversos campos com funções de segurança diferentes. Podemos ter 

uma área considerada perigosa e logo teremos de a proteger contra a intrusão de pessoas provocando assim a 

paragem do movimento perigoso da máquina. Também podemos ter outras zonas de trabalho que serão de aviso 

e que não provocam, quando são violadas, a pagarem da mesma máquina. 

Esquema elétrico ou eletrónico do Scanner laser de segurança 

Com os scanners laser de segurança instalados com os terminais de segurança EL1904 e controladores lógicos 

TwinSAFE conseguimos obter, no máximo, a categoria CAT 3/PL=e. Todavia, tal como as barreiras luminosas de 

segurança, os sinais elétricos (com informação de segurança) que são transmitidos ao terminador da BECKHOFF 

são testados. Este auto-teste (teste de impulsos) das suas saídas é designado, tal como nas barreiras luminosas, 

por OSSD Output Signal Switching Device . 



Capítulo II 

II-2.5 – Tapetes e batentes de seguraça Safety at ad uper) 

Os tapetes e batentes de segurança são sensíveis à pressão. São revestidos por um invólucro selado em um 

isolante de alta resistência (IP67) para uso em ambientes industriais agressivos. A superfície do topo pode ser 

escolhida em alumínio ou PVC o que permite a sua utilização em ambientes adversos tanto mecanicamente, 

térmico ou químico. 

Existe uma norma própria para os tapetes de segurança que é a norma EN1760-1. Com uma correta instalação 

elétrica usando os terminais da BECKHOFF EL1904 e controladores lógicos TwinSAFE podemos obter a categoria de 

segurança CAT 4/PL=e. 

Esquema elétrico ou eletrónico dos Tapetes ou batentes de segurança 

O circuito elétrico dos tapetes ou dos batentes de segurança é constituído por 4 fios elétricos (dois circuitos 

redundantes independentes). 

A figura em baixo mostra o esquema elétrico de principio dos tapetes ou batentes de segurança (sensor). O tapete 

de segurança esta representado por um contato Normalmente Aberto (NA) em paralelo com a bobine do rele K1 

(corresponde a uma entrada segura do terminal EL1904). 

Quando o tapete de segurança está em funcionamento, sem presença de pessoas a pressiona-lo, é enviado uma 

pequena corrente para o sensor (ex. através da entrada Input 1+ da EL1904) que provoca o acionamento do relé 

K1 (ex. não há retorno dessa corrente na entrada Input1– da EL1904). Neste caso, sem presença de pessoas em 

cima do tapete o contato do sensor está em circuito aberto. 

Em caso de alguém pisar o tapete o sensor fecha o contato, o que provoca um curto-circuito, deixando assim de 

excitar o relé K1 (ex. há retorno de corrente na entrada Input- da EL1904). Neste caso entramos em modo de 

falha. Uma resistência balastro (R), que se encontra em serie no circuito, limita a corrente máxima de curtocircuito. 

Com os tapetes de segurança instalados com os terminais de segurança EL1904 e controladores lógicos TwinSAFE 

conseguimos obtemos a categoria CAT 4/PL=e. 

Resumo : Em posiço de proteção o sensor / tapete está a ser pisado pessioado o ue provoca ter o 

contato elétrico fechado. E estado oal o pisado o otato elétio est aeto. 



Capítulo II 

II-2.6 – Portas e trincos de seguraça Protective door machine and tuler) 

A alternativa às barreiras óticas de segurança é a utilização de proteções físicas que limitem o acesso às zonas 

perigosas da máquina. No caso de o operador de máquina necessitar de aceder a essas zonas, frequentemente, 

temos de colocar essas proteções físicas com movimento de abertura e fecho. 

Essas proteções físicas moveis designadas de portas de segurança máquina terão de ser monitorizadas, pelo 

controlador lógico de segurança TwinSAFE, através da colocação de fins de curso de segurança. Em algumas 

situações de máquinas com energia cinética ou potencial, perigosa para o operador, a porta de segurança só se 

deve abrir quando essa energia desaparecer. Nestas situações são colocados trincos eletromecânicos de segurança 

que inibem e encravam a abertura da porta, pelo operador, enquanto permanecer o perigo. 

Com uma correta instalação elétrica usando os terminais da BECKHOFF EL1904 e controladores lógicos TwinSAFE 

podemos obter a categoria de segurança CAT 4/PL=e. 

Esquema elétrico funcional de Porta de segurança máquina 

Nas figuras seguintes mostramos dois esquemas de principio funcional de uma porta deslizante de acesso a zona 

perigosa. Na 1º figura só com dois fins de curso e na 2ª figura com trinco de encravamento de abertura de porta. 

Os dois fins de curso irão ser monitorizados por um terminal EL1904 através da ligação de 2 entradas seguras. O 

trinco eletromagnético será comandado pela lógica de segurança, residente no controlador lógico TwinSAFE, 

através de 1 saída segura da carta EL2904. 



Capítulo III 

III – TwinCAT 2.11 – Programação dos controladores TwinSAFE 

Visão geral da aplicação TwinSAFE no TwinCAT 2.11 

O TwinCAT 2.11 tem incorporado no configurador de hardware System Manager dispositivos de segurança homemmáquina 

designados por TwinSAFE. Estes dispositivos de segurança baseiam-se nos controladores de segurança da 

Beckhoff KL6904, EL6900 e EL6930. Só a partir da versão TwinCat V2.10 Build 1319 é que foi possível correr o 

TwinSAFE. Neste caso ter-se-ia de instalar a aplicação TwinSAFE Verifier (TcSAFEVerifier). Nas versões atuais, V2.11 

ou superior, não há necessidade de instalar esta aplicação pois já vem integrada no System Manager. 

A introdução do TwinCAT 2 no mercado da automação como uma ferramenta de desenvolvimento universal, na área 

dos automatismos industriais, criou novas possibilidades para as aplicações na área da segurança homem-máquina. 

Assim sendo, um PC Industrial (IPC) padrão pode ser utilizado como um controlador de segurança máquina pela 

primeira vez. Isto é devido há existência de um Safety Runtime integrado. 

O editor de segurança TwinSAFE integrado no TwinCAT 2.11 permite a elaboração de uma aplicação (programa) de 

segurança num ambiente gráfico e independente do hardware (CPU) a utilizar. O programa lógico de segurança é 

configurado com ajuda de blocos funcionais de segurança. Esses blocos funcionais são para correr nos terminais 

lógicos KL6904, EL6900 e EL6930. 

Cada um destes controladores irá conectar-se a cartas de segurança de entradas seguras (KL1904, KL1908, EL1904) e 

saídas seguras (KL2904, EL2904). O nº de cartas (conexões), que cada controlador de Safe, é capaz de controlar 

depende do modelo (KL6904, EL6900 e EL6930). O KL6904 permite 7 ou 15 (parametrizável pelo KS2000 ou System 

Manager). O modelo EL6900 permite 128 conexões e o EL6930 permite 127 conexões TwinSAFE e 1 PROFIsafe. 

III-1 – Programação do TwinSAFE no TwinCAT 2.11 (Segurança Homem-Máquina) 

III-1.1 – Arquitetura base do hardware do kit de formação 

Nos capítulos seguintes iremos explicar os passos necessários para programar um sistema de segurança homemmáquina 

baseada em hardware BECKHOFF. 

O kit de formação, usado para a execução deste manual, é constituído pelo seguinte hardware : 

Modelo do PLC Sistema Operativo Versão do TwinCAT 

CX 9020 Windows CE 7 TC2.11.2254 (NC I) 

ou IPC com EtherCAT Windows 7 TC2.11.2254 (NC PTP) 

Tipo de modulo Modelo Endereço FSoE (DIP switch) 

Modulo lógico de segurança EL6900 1 

Modulo de entradas seguras (4 canais) EL1904 2 

Modulo de saídas seguras (4 canais) EL2904 8 



Capítulo III 

III-1.2 – Criar projeto de segurança no TwinCAT 2.11 (TwinSAFE) 

Para criar um projeto de segurança homem-máquina terá 

de abrir a aplicação informática, do TwinCAT 2.11, System 

Manager. 

Uma vez aberto o System Manger teremos de construir 

uma configuração de hardware na pasta I/O – 

Configuration” (coluna do lado esquerdo do configurador). 

Manualmente poderá incorporar cada um dos 

componentes (controlador, entradas e saídas da BECKHOFF) 

de Safety. 

A outra solução, mais pratica, obriga a termos todo o 

hardware disponível na maquina. Teremos de fazer um 

vaieto scan a esse mesmo hardware. 

Ligue o seu PC (onde se encontra instalado o editor TwinCAT 2.11), através de um cabo Ethernet/RJ45, ao CX9020 

e coloque o endereço IP dentro da mesma gama do CX. De seguida registe a maquina CX9020 no AMS Router do 

seu PC. Uma vez registado este PCe CX9020 no seu router 

faça a escolha da maquina, que pretende trabalhar, através 

do oado Choose target o System Manager. No 

nosso exemplo de formação essa maquina tem o nome de 

CX_014F86. 

A partir deste momento poderá fazer o varrimento ao 

hardware existente no seu equipamento de controlo. O 

controlador CX9020 deverá estar, obrigatoriamente, no 

estado de CONFIG MODE (icon do TwinCAT com cor azul) 

para conseguirmos efetuar esse varrimento ao hardware. 

Para iniciar o varrimento clique, com a tecla direita do rato, 

na subpasta Devices” da pasta I/O” no oado Scan”. Deverá fazer este procedimento deto do CX (no 

exemplo CX_014F96). O comando de scan irá detetar todo o hardware existente no seu equipamento (ex. kit de 

formação), tanto cartas EL/KL de segurança como cartas EL/KL standard. 

Nas figuras seguintes iremos explicar, utilizando um IPC/EtherCAT, o modo de programação de um bloco de 

segurança com a Função de Paragem de Emergência (EStop). 



Capítulo III 

O comando de scan irá detetar todo o hardware existente no seu equipamento (ex. kit de formação), tanto cartas 

EL/KL de segurança como cartas EL/KL standard. Nas figuras seguintes temos a representação do IPC/EtherCAT. 

No kit de formação é utilizado o controlador logico de segurança EL6900. As entradas seguras estarão ligadas ao 

módulo EL1904 (4 entradas seguras) e as saídas seguras ao modulo EL2904 (4 saídas seguras). 

De seguida clique, com a tecla direita do rato, na pasta Term 5 (EL6900). Adicione neste campo um novo grupo 

logico, que terá a função de segurança, clicando o oado Append TwinSAFE Group…. 

De seguida expanda a pasta TinSAFE Group 1 e selecione o campo TinSAFE Function Block List. Neste 

campo clique, com a tecla direita do rato, no comando Append Function Block. 



Capítulo III 

Atualmente o TwinSAFE, baseado no softPLC TwinCAT 2.11, oferece diversas Funções Bloco de segurança (Safe) 

com diversas certificações para segurança homem-maquina. Assim podemos integrar na mesma plataforma de 

hardware da automação convencional estes componentes de segurança homem-maquina, não necessitando assim 

de um segundo PLC com essa função especifica. Para a descrição detalhada de cada Função Bloco deverá recorrer 

ao manual do controlador EL6900. 

No exemplo deste manual técnico iremos mostrar a programação de um modulo de segurança para o comando de 

Paragem de Emergência que todas as maquinas industriais, com órgãos com movimentação, obrigatoriamente 

terão de possuir no seu sistema de controlo. Após clicar, o a tela dieita do ato, a pasta TwinSAFE Function 

Block List e te seleioado o oado Append Function Block esolha a Fuço Bloo Emergency Stop. 

Clique na sub-pasta Emergency Stop (FB1). É aui ue ieos paaetiza esta Fução Bloco Eergecy Stop. 

Clique no icon do comando Input Settings paa seleioa os aais e o seu tipo de otato NC ou NO. 



Capítulo III 

No exemplo deste manual no Input 1, da carta EL1904, estará ligado o otato NO Normalmente Aberto e 

o Input 2 o otato NC Normalmente Fechado. Estes otatos efee-se aos contactos elétricos 

existentes no comando de Paragem de Emergência. Sendo assim teremos de parametrizar a Função Bloco EStop , 

oo Single-Channel o Make contact (NO) o EStopIn1 e Break Contact (NC) o EStopIn2. 

Após a parametrização do tipo de contactos elétricos passaremos à linkagem das entradas e saídas na Função 

Bloco de segurança EStop. Clique a etada EStopIn1. No pop-up ue sugi seleioe a opço TwinSAFE 

Input. Isto sigifia ue ieos utiliza as etadas digitais seguas existetes a ata safe EL1904. Clique de 

seguida e New. 

Na janela de configuração seleioe o aal da ata EL94 InputChanne1l e clique OK. 



Capítulo III 

Após a seleção, bem-sucedida, poderemos ver a respetiva linkagem em uma barra da janela Links. Confirme 

clicando o oado Close 

Exeute o eso poedieto paa a º aal da ata EL94 EStopIn2. 

Após as parametrizações das entradas da Função Bloco de segurança EStop passaremos à configuração das saídas. 

Clique na saída da FB EStop EStopOut… e isia ua ova linkagem do tipo TwinSAFE Output. 

Clique e New. 



Capítulo III 

Selecione o canal 1 da carta de segurança EL2904 OutputChannel1. 

Clique em OK. 

Após executarmos o comando OK surgirá o Term 7 (EL2904) na janela das linkagens. Se pretendermos ter uma 

segunda saída redundante à primeira (ex. 2º contator de potencia) podemos utilizar o canal 2 da mesma carta de 

saída segura EL94. Utilize o oado New. 

As linkagens sugio a jaela Links. Após feitas todas as escolhas feche a janela com o comando Close. 



Capítulo III 

O quadro final das parametrizações da Função Bloco de segurança EStop Paragem de Emergência deve te 

esta configuração. 

III-1.3 – Criar programa de automatismo no softPLC TwinCAT 2.11 

Após a configuração da Função Bloco EStop no controlador de segurança EL6900, utilizando o configurador de 

hardware System Manger , iremos criar um projeto de automação para o softPLC TwinCAT 2.11. No editor de 

programa PLC Control iremos criar as ligações logicas entre o automatismo clássico da maquina e os seus órgãos de 

segurança maquina. Esses órgãos de segurança poderão ser Comandos de Bimanual, Barreiras de Segurança, 

Comandos de Paragem de Emergência, etc. 

Crie um projeto novo no editor de programa PLC_Control. No POU MAIN delae as seguites variáveis locais: 

Estas variáveis serão as entradas e saídas logicas que farão a interface com a Função Bloco de segurança EStop e o 

respetivo grupo em que está integrado. 

De seguida compile o programa. Caso não haja erros de compilação atribua um nome ao seu projeto (ex. 

TC2_TwinSAFE_SampleCode) utilizando o oado File / Sae as….. De seguida faça Save paa criarmos o 

ficheiro com extensão *.tpy do projeto. 



Capítulo III 

Abra o configurador System Manager anteriormente utilizado na configuração da Função Bloco de segurança 

EStop e importe o ficheiro TC2_TwinSAFE_SampleCode.tpy. O importar deste ficheiro deverá ser efetuado na pasta 

com a designação PLC – Configuration. 

III-1.4 – Linkagem do projeto TwinSAFE com o programa do softPLC TwinCAT 2.11 

Uma vez criadas as variáveis de entrada e saída standard, que irão interagir com o modulo lógico de segurança, 

teremos de seguida linkar essas variáveis na pasta do controlador de segurança EL6900. Clique no controlador de 

seguaça EL69 e aa a fuço loo de seguaça Emergency Stop. Clique o oto Restart…, seleioe a 

opço Standard Input e clique e New. 

Iremos escolher uma variável de etada vitual, vida do pogaa do PLC, o o oe xRestart. 



Capítulo III 

Após a escolha, a linkagem fia egistada a jaela Links. Podeeos te ais ue ua linkagem para o 

eso oado Restart. 

De seguida iremos parametrizar o grupo onde se encontra a Função Bloco de segurança EStop. Dentro de um 

grupo podemos ter diversas Funções Bloco de segurança. Caso haja algum erro em uma das Funções Bloco de 

segurança, no grupo, é assinalado atavés de vaiveis de Outputs. Teeos, para reiniciar o funcionamento da 

Função Bloco, de reconhecer esse erro (ERR Ack…). Esse reconhecimento, como o ordenar do inicio de 

funcionamento do grupo de segurança (RUN/STOP…) com as respetivas funções bloco de segurança, é feita 

atavés de etadas vituais Inputs vidas de vaiveis aloadas o pogaa do PLC. 

Paa paaetiza o TwinSAFE Group1 seleioe essa pasta a avoe do otolado EL69. De seguida 

selecione as respetivas variáveis a linkar os Inputs / RUN/STOP… Ordem Ligar/Desligar grupo safe) e ERR 

Ack.. Ordem de reconhecer erro) como os Outputs / FB ERR.. (Erro em Função Bloco do grupo e COM 

ERR.. Erro de comunicação). Se não linkarmos ua vaivel etada RUN/STOP, por defeito, fica no estado 

TRUE. 



Capítulo III 

Clique o oado Inputs / ERR Ack.. . Na jaela pop-up ue suge seleioe o de etada Standard Input e 

clique e New. 

Escolha a variável Standard do pogaa do PLC xErrAck. 

Utilizaremos o mesmo procedimento para os Inputs / RUN/STOP…, Outputs / FB Err.. e COM ERR... 



Capítulo III 

III-1.5 – Descarregar programa de segurança TwinSAFE para o controlador EL6900 

Após as linkagens efetuadas daremos inicio ao download do programa de segurança para o controlador EL6900. 

Para efetuarmos este passo teremos, em primeiro lugar, de clicar no sub-pasta TwinSAFE Logic do controlador 

EL6900. Verifique o nº de serie do controlador EL6900 ( ex. 00374630). 

De seguida iremos efetuar o download do programa de segurança para o controlador EL6900. Clique, na sub-pasta 

TwinSAFE Verifier, o oado Download. 

Na nova janela que aparece preencha os respetivos apos. User Name: Administrator , Serial No. 

(00374630 e Password TwinSAFE). 

Após isso clique e OK. 



Capítulo III 

De seguida deverá ser apresentado u esuo do pojeto e ua jaela desigada Project. Paa da iiio ao 

download clique o oto Start. 

Na jaela Login eseva só a password. 

Para finalizar ative a configuração no System Manager clicando o oado Activate configuration. 



Capítulo III 

III-2 – Teste e monitorização do projeto completo 

Nos passos anteriores explicámos os procedimentos necessários para interligar o programa do automatismo 

clássico, residente na CPU do softPLC TwinCAT 2.11, aos links do programa de segurança residente no controlador 

lógico de segurança TwinSAFE (no nosso exemplo o EL6900). 

Uma vez efetuado o projeto opleto teos de o testa o ho de faia e veifia se existe bugs nos 

algoritmos existentes. Esse passo designamos de debugging do software de automação e de segurança. 

III-2.1 – Debugging do programa de segurança 

Após o download do programa de segurança TwinSAFE e do programa do automatismo do softPLC TwinCAT 2.11 

deverá ativar a sua configuração e coloca-lo em RUN. Na barra de comandos do editor PLC Control escolha, no 

grupo de comandos online, o comando Login. 

Após a ordem de Login visualizará no programa MAIN (em modo Monitorização MAIN[Online] ) todas as variáveis 

locais , como mostra a figura seguinte: 

Poderá notar que a variável xComErr está a TRUE indicando que houve uma falha de comunicação. Todas as 

vezes que iniciamos o processo de download do projeto esta flag fica em estado TRUE. Teremos de seguida fazer o 

RESET desta flag para dar inicio ao automatismo. Para efetuarmos o RESET deste erro teremos de ativar a 

sequencia TRUE FALSE na flag xErrAck, o ue oespode eohee o eo. O eo das ouiações 

xComErr deve desapaee e o sistea de seguaça est poto a iiia a sua fuço. 

Apos o RESET do erro através da flag xErrAck o sistema de segurança está pronto a iniciar a sua função. 

Se ativarmos a sequencia TRUE FALSE na flag xRestart fazeos o RESTART da fuço loo de segurança 

Estop. Esta operação terá de ser feita no reiniciar do programa safe ou após uma ordem de paragem de 

emergência. Quando existe uma ordem de Paragem de Emergência a saída EStopOut…, da Função Bloco EStop, 

passa ao estado FALSE. 



Capítulo III 

III-2.2 – Monitorização do programa de segurança 

No grupo TwinSAFE Group 1 / TwinSAFE Function Block List / Emergency Stop peteete ao otolado 

de segurança EL6900 poderá monitorizar a função bloco de segurança EStop. Clique na sub-pasta Emergency Stop 

(FB1) e seleioe o paeto Online. Após esta paaetizaço pode oitoiza e online a função bloco 

de segurança EStop. 

Podemos visualizar, na função de segurança Estop, o estado lógico de cada uma das entradas e saídas do bloco. A 

figura anterior indica o estado da fuço Emergency Stop e STOP e com a saída EStopOut... a FALSE (estado 

de segurança). Paa eiiiaos o fuioaeto deve, o pogaa do PLC, oloa a vaivel xRestart a 

TRUE. 



Capítulo III 

Caso seja pressionado o botão de paragem de emergência poderá verificar que o bloco de segurança Estop entra 

em modo de segurança Safe e a saída EStopOut é desligada passa ao estado FALSE. Caso esta saída aioasse 

contatores ou relés de acionamento de motores elétricos , desligava o seu funcionamento. 

Para reiniciar o funcionamento da máquina teremos de acionar o RESTART Restart… do modulo de segurança, 

carregando no botão respetivo (variável no PLC xRestart). 



Capítulo IV 

IV – Esquemas de segurança com TwinSAFE 

Visão geral das configurações dos parâmetros das cartas de entrada e saída de segurança 

Quando executamos um projeto de segurança no 

TwinSAFE do TwinCAT 2.11 existe uma parte que 

são configurações de parâmetros, com o tipo de 

sinais elétricos que iremos usar nas cartas de 

entradas e saídas de segurança. Estes parâmetros 

referem-se por exemplo às cartas EL1904 (de 

entradas) e EL2904 (de saída). 

A outra parte, também muito importante, é o 

desenvolvimento do programa de segurança 

usando as funções bloco de segurança que o 

TwinSAFE disponibiliza para os diversos dispositivos 

de segurança disponíveis no mercado. 

Neste capítulo iremos mostrar alguns exemplos de configuração dos parâmetros da carta EL1904 (com 4 entradas 

seguras) e EL2904 (com 4 saídas seguras). Estas configurações são apresentadas, nos capítulos seguintes com 

exemplos, na tabela com o titulo “PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS” 

Configuração exemplo da carta com entradas digitais seguras EL1904: 

Ao clicar na pasta “Safe Parameter” do EL1904 no TwinSAFE deverá aparecer na janela central do seu editor as 

propriedades desta carta, como mostra a figura seguinte: 

O endereço FSoE da carta de entradas de segurança encontra-se na parte superior. Este endereço deve corresponder 

ao endereço do DIP-switch que se encontra na carta. Se o DIP-switch tivesse o endereço 2 teríamos de colocar 2 nessa 

janela. 

Verifiquemos as propriedades 8001 (FS Sensor Test) e 8002 (FS Logic of Input pairs): 

Geralmente as entradas são ligadas a diversos equipamentos de segurança que trabalham sempre em pares. Estes 

canais terão de providenciar proteção contra curto-circuitos forçados nas entradas e ligações cruzadas vindas de 

outras ligações exteriores ou de outros canais. O teste aos curto-circuitos e ligações cruzadas é feita através de geração 

de impulsos em cada canal. A carta EL1904 pode gerar os seus próprios impulsos de teste como pode receber impulsos 

externos de teste (OSSD) tal como os gerados pelas barreiras luminosas de segurança ou scanners de segurança. As 

propriedades 8001 e 8002 permitem selecionar as propriedades para cada tipo de equipamento de segurança. 

Existem diversas configurações que explicamos na pagina seguinte. 



Capítulo IV 

1ª - A primeira é a configuração standard e de defeito como mostra a figura anterior. 

A propriedade 8001:01 e 8001:02 está a TRUE. Isto significa que é feito o teste de curto-circuito e de ligações 

cruzadas através da geração de impulsos em cada canal. 

A propriedade 8002:01 está com “single logic channel ½”. Isto significa que estes dois canais trabalham em conjunto 

e em combinação lógica. Irá ser feito o teste para detetar a existência de discrepância temporal entre eles. 

Esta configuração é a apropriada para todos os equipamentos de segurança com contatos secos tais como botões 

de paragem de emergência, portas de segurança e contactos NF de retorno do relé ou contator de segurança. A 

carta para cada contacto seco fornece 24Vdc no polo + e gera um trem de impulsos que espera receber no polo 

contrario - do canal. Para haver diferenciação entre cada canal da carta cada um deles gera impulsos desfasados 

temporalmente. Isto permite detetar se há troca de cabos entre os canais e se existe curto-circuito dos 24V ou 0V 

vindo de outro canal. 

2ª – A segunda configuração é quando temos equipamentos de segurança que emitem impulsos de teste externos 

OSSD nas suas saídas. 

Neste caso o teste de impulsos é feito pelo equipamento de segurança externo, logo a carta EL1904 não precisa 

deste teste ativo. Neste caso temos de desligar o teste de impulsos dos canais usados e temos de configurar com a 

propriedade de aceitar impulsos externos OSSD. No exemplo da figura anterior temos o canal 1 e 2 com a 

propriedade “asynchronous analysis OSSD, sensor test deactivated”. A indicação de sinais assíncronos indica que 

esses equipamentos de segurança externa emitem sinais desfasados temporalmente que nunca se sobrepõem. Se 

o fizerem é considerado uma falha. 

3ª – A terceira configuração serve para alguns dispositivos de segurança que não tem impulsos assíncronos. Neste 

caso devem evitar usar estes dispositivos de segurança. Todavia se quiserem, mesmo assim, utiliza-los com a carta 

EL deverão configurar a propriedade 8002 do canal ½ ou ¾ como “any pulse repetition OSSD, sensor test 

deactivated”. Neste caso permite trabalhar com a carta EL dispositivo de segurança externo com sinais OSSD 

simultâneos, não dando assim erro. 

4ª – A quarta configuração é chamada de “short cut channel ½ no module fault”. Esta configuração é adequada a 

dispositivos de segurança externos como os tapetes de segurança (“safety mats”). 

Configuração exemplo da carta com saídas digitais seguras EL2904 : 

Ao clicar na pasta “Safe Parameter” do EL2904 no TwinSAFE deverá aparecer na janela central do seu editor as 

propriedades desta carta, como mostra a figura seguinte: 



Capítulo IV 

O endereço FSoE da carta de saídas de segurança encontra-se na parte superior. Este endereço deve corresponder 

ao endereço do DIP-switch que se encontra na carta. Se o DIP-switch tivesse o endereço 3 teríamos de colocar 3 

nessa janela. 

Esta carta de 4 saídas seguras tem 4 parâmetros de configuração e que são os seguintes : 

8000: 01 – “Standard outputs active” permite que liguemos uma saída do PLC a uma saída segura e a carta 

automaticamente faz um “AND” do valor logico da saída do PLC com o valor de saída segura. Isso permite que o PLC 

anule uma saída, desligando-a. Neste caso a lógica de segurança é responsável pela permissão de ligar a saída, mas 

o PLC controla a altura do seu acionamento. 

Este funcionamento tem vantagens e desvantagens devido aos seguintes pontos: 

Em 1º lugar - Esta parametrização torna mais confusa a lógica do seu funcionamento. Podemos obter o mesmo 

funcionamento e o mesmo efeito com um bloco “AND” dentro da Função Bloco de segurança. 

Em 2º lugar - Se quisermos monitorizar a saída, na lógica de segurança, para nos certificarmos de que liga e desliga 

quando o forçamos (através de um circuito de feedback) não conseguimos faze-lo se a lógica de segurança não tem 

acesso ao sinal do PLC. 

Na minha opinião deve deixar este conjunto em FALSE e não usar este recurso. Fazermos a lógica “AND” toda dentro 

da Função Bloco de segurança e não usamos “saídas standard”. 

8000: 02 – “Current measurement active” permite detetar falha no circuito de ligação ao relé ou contator de 

segurança. Com este recurso ativo, quando a saída está ligada a carta espera receber uma corrente de retorno entre 

20mA a 500mA. Caso não receba esta corrente a carta EL entra em falha. Obviamente se o dispositivo que está a 

ligar (rele de segurança) não tem esse “consumo” de corrente terá de desativar esta funcionalidade. Na minha 

experiencia este recurso é sujeito a algumas falhas e pode dar falsos alarmes. Isto deve-se ao consumo próximo dos 

limites e que devido aos picos de consumo leva a ultrapassá-los. 

8000: 03 – “Testing of outputs active” permite detetar circuitos cruzados e trocados por canal (saída). O teste é feito 

através de um trem de impulsos gerado em cada canal de saída de uma maneira assíncrona. Ao ser assíncrono 

garante que os impulsos não se sobrepõem. Os impulsos são todos de comprimentos diferentes variando de 300 a 

800 µs. Estes impulsos são suficientemente curtos para não interferirem no funcionamento do relé eletromecânico. 

No geral esta propriedade deve estar ativa, exceto nos casos de utilizarmos dispositivos de corte eletrónicos que 

não toleram estes impulsos de teste. 

8000: 04 – “Error acknowledge active” controla como a carta recupera de um erro detetado na saída. Por defeito 

temos de desligar a alimentação à carta e reiniciar o sistema, para recuperar. Se pusermos esta propriedade em 

TRUE podemos fazer o RESET, ao erro, através do reconhecimento desse erro no grupo logico TwinSAFE. 



Capítulo IV 

Configuração das Funções Bloco de segurança nos controladores safe KL6900, EL6900 e EL6930 : 

Ao clicar na pasta “TwinSAFE Group 1”/ “TwinSAFE Function Block List”, com a tecla direita, podemos introduzir as 

Funções Bloco Safe com que pretendemos construir o programa de segurança homem - maquina. 

Para adicionar essas FB Safe clique, com a tecla direita, em cima da pasta “TwinSAFE Function Block List” e selecione 

o comando “Append Function Block”. A seguir deverá aparecer uma lista com as Funções Bloco Safe disponíveis para 

o controlador que estamos a usar. Na figura seguinte mostramos a lista de Funções Bloco disponíveis para os 

controladores safe KL6900 (lista da esquerda) e EL6900/EL6930 (lista da direita). 

Na tabela seguinte indicamos as Funções Bloco Safe, que necessitamos aplicar na construção do programa TwinSAFE, 

para cada um dos equipamentos de segurança disponíveis nas maquinas industriais. 

Função Bloco Safe KL EL Dispositivos de segurança 

Emergency Stop Sim Sim Comando Paragem de Emergência (“ESTOP-Emergency Stop”) 

Machine Monitoring 

(MON) 

Sim Sim Tapetes e batentes de segurança (“Safety switch mat and bumper”) 

Barreiras óticas de segurança (“Safety ligth curtain”) 

Portas de proteção de maquina (“Protective door machine”) 

Scanners laser de segurança (“Safety laser scanner”) 

AND ; OR Sim Sim Blocos lógicos AND e OR para o automatismo safe 

Decoupler Sim Sim Desacoplamento de sinais digitais safe e standard 

Operation Mode Sim Sim Modo seleção de operação 

Two hand Não Sim Comando de Bimanual (“Two-hand control”) 

EDM Não Sim Feedback do estado dos contactos da saída (“External Device Monitoring”) 

Muting Não Sim Barreiras óticas de segurança com zonas mortas (“Muting”) 

RS ; SR Não Sim Bloco de memorias biestáveis RS e SR para o automatismo safe 

TOF ; TON Não Sim Blocos temporizados ao repouso e à operação para o automatismo safe 

Connection Shutdown Não Sim Bloco para descativar ligação safe FSoE 

NOTA : No ANEXO A, deste Livro Técnico de Formação, poderá encontrar a descrição pormenorizada das FB Safe 

mais importantes (indicadas a amarelo na tabela anterior), entre outras. 



Capítulo IV 

✓ IV-1 – Circuito com comando a duas mãos com TwinSAFE (“Two-hand control”) 

IV-1.1 – BIMANUAL [Function Block TWOHAND] - Categoria 4 e PLe 

O comando a duas mãos consiste numa combinação de contactos 

normalmente fechados (NF) e normalmente abertos (NA) ligadas a 

entradas seguras na carta EL1904. A propriedade de “teste de entradas” 

está ativa e os sinais são controlados para uma discrepância máxima de 

200ms. Alem disso o acionamento síncrono dos dois botões é ativado com 

um tempo de 500ms. 

O loop de realimentação do estado dos contatores é feita através de uma 

entrada segura em um 2º EL1904. Os contatores K1 e K2 estão ligados 

eletricamente em paralelo através de uma única saída segura. A medição 

de corrente e o teste da saída por impulso estão ativos neste circuito. 

PARÂMETROS DAS ENTRADAS E SAÍDAS SEGURAS 

Carta de Entradas EL1904 (1º e 2º) 

Configuração 

Canal 1 – Ativar teste do sensor 

Sim 


Sim (1ª EL1904) ; NU/Sim (2ª EL1904) 





Controlo logico do canal 1 e 2 Single logic channel 1/2 


Carta de Saídas EL2904 


Ativar medição de corrente nas saídas 

Sim no 1º canal 

Ativar teste de impulsos nas saídas 


NU = Não usado 

BLOCO FUNCIONAL DOS MODULOS DE SEGURANÇA 



Capítulo IV 

✓ IV.2 – Circuito com tapetes de segurança com TwinSAFE (“Safety mat and bumper”) 

IV-2.1 – TAPETE DE SEGURANÇA [Function Block MON] - Categoria 4 e PLe 

Os tapetes (mat) ou os pára-choques (bumper) de segurança funcionam de acordo 

com o principio do circuito cruzado. Os contatos de superfície dos tapetes ou parachoques 

são ligados às entradas seguras do EL1904.A propriedade de “teste de 

entradas” está ativa e os sinais são controlados para uma discrepância máxima de 

200ms. Sempre que é detetado um circuito cruzado entre sinais (o tapete de 

segurança é pisado) um sinal logico “0” é sinalizado na entrada do EL1904. Se o 

cruzamento entre sinais não é detetado o sinal logico “1” é sinalizado na entrada. 

O loop de realimentação do estado dos contatores é feita através de uma entrada 

segura e o teste de entrada está ativo nesta entrada. Os contatores K1 e K2 estão 

ligados eletricamente em paralelo através de uma única saída segura. A medição de 

corrente e o teste da saída por impulso estão ativos neste circuito. 


Carta de Entradas EL1904 



Sim 


Sim 


Sim 


NU/Sim 

Controlo logico do canal 1 e 2 

Short cut is no module fault 









BLOCO FUNCIONAL DOS MODULOS DE SEGURANÇA 



Capítulo IV 

✓ IV.3 – Circuito de scanners laser de segurança com TwinSAFE (“Safety laser scanner”) 

IV-3.1 – SCANNER LASER [Function Block MON] - Categoria 3 e PLe 

Os scanners laser usados na segurança máquina possuem dois sinais de controlo 

designados por OSSD (Output Signal Switching Device). Estes dois sinais especiais 

comutados, por motivo de segurança, estão ligados a duas entradas do EL1904. Nesta 

carta não podemos ativar o teste das entradas pois as saídas OSSD realizam os seus 

próprios testes através da comutação do sinal. Todavia estes sinais são testados, na 

carta EL1904, se existe uma discrepância superior a 200ms (indicação de falha). 

O loop de realimentação do estado dos contatores é feita através de uma entrada segura 

e o teste de entrada está ativo nesta entrada. Os contatores K1 e K2 estão ligados 

eletricamente em paralelo através de uma única saída segura. A medição de corrente 

e o teste da saída por impulso estão ativos neste circuito. 





Não ativar 


Não ativar 


Sim 


NU/Sim 


OSSD arbitrary types of pulse 









BLOCO FUNCIONAL DE SEGURANÇA 



Capítulo IV 

✓ IV.4 – Circuito de barreiras luminosas de segurança TwinSAFE (“Safety ligth curtain”) 

IV-4.1 – BARREIRA LUMINOSA [Function Block MON] - Categoria 4 e PLe 

As barreiras luminosas usadas na segurança máquina possuem dois sinais de 

controlo designados por OSSD (Output Signal Switching Device). Estes dois 

sinais especiais comutados, por motivo de segurança, estão ligados a duas 

entradas do EL1904. Nesta carta não podemos ativar o teste das entradas pois 

as saídas OSSD realizam os seus próprios testes através da comutação do sinal. 

Todavia estes sinais são testados, na carta EL1904, se existe uma discrepância 

superior a 200ms (indicação de falha). 

O loop de realimentação do estado dos contatores é feita através de uma entrada 

segura e o teste de entrada está ativa nesta entrada. Os contatores K1 e K2 estão 

ligados eletricamente em paralelo através de uma única saída segura. A 

medição de corrente e o teste da saída por impulso estão ativos neste circuito. 





Não ativar 


Não ativar 


Sim 


NU/Sim 


Asynchronous evaluation OSSD 












Capítulo IV 

IV-4.2 – BARREIRA LUMINOSA (Muting) [Function Block MUTING] - Categoria 4 e PLe 

As barreiras luminosas possuem dois sinais de controlo, designados por OSSD, que estão ligados a duas entradas do 

EL1904. Nesta carta não podemos ativar o teste das entradas pois as saídas OSSD realizam os seus próprios testes. 

Todavia estes sinais são testados, na carta EL1904, se existe uma discrepância superior a 200ms (indicação de falha). 

Os sinais do muting e de enable estão também ligados a entradas seguras numa segunda carta EL 1904.O loop de 

realimentação do estado dos contatores é feita através de uma entrada segura e o teste de entrada está ativo, nesta 

entrada. 

Os contatores K1 e K2 estão ligados eletricamente em paralelo através de uma única saída segura. O sinalizador 

luminoso de muting também está ligado a uma saída segura. A medição de corrente e o teste da saída por impulso 

estão ativos neste circuito. 


Carta de Entradas EL1904 (1ª) 


Canal 1 e 2 – Ativar teste do sensor 

Não ativar 


Sim (3º canal) ; Sim (4º canal) 


Asynchronous evaluation OSSD 





Sim 


Sim 

Controlo logico do canal 1 e 2 / 3 e 4 

Single logic channel x/x 











Capítulo IV 

✓ IV.5 – Circuito de portas de segurança com TwinSAFE (“Protective door machine”) 

IV-5.1 – PORTA DE SEGURANÇA (1ª) [Function Block MON] - Categoria 3 e PLd 

As portas de segurança das máquinas usam uma combinação de 

contactos normalmente fechados (NF) e normalmente abertos (NA) 

ligadas a entradas seguras na carta EL1904. A propriedade de “teste de 

entradas” está ativa e os sinais são controlados para uma discrepância 

máxima de 200ms. O loop de realimentação do estado dos contatores é 

feita através de uma entrada não segura em uma 2º EL1xxx e transferida 

para o TwinSAFE via programa no PLC. 

Os contatores K1 e K2 estão ligados em paralelo através de uma única 

saída segura. A medição de corrente e o teste da saída por impulso estão 

ativos neste circuito. 





Sim 


NU/Sim 


Sim 


NU/Sim 













Capítulo IV 

IV-5.2 – PORTA DE SEGURANÇA (2ª) [Function Block MON] - Categoria 4 e PLe 

As portas de segurança das máquinas usam uma combinação de contactos normalmente fechados (NF) e normalmente 

abertos (NA) ligadas a entradas seguras na carta EL1904. A propriedade de “teste de entradas” está ativa e os sinais 

são controlados para uma discrepância máxima de 200ms. O loop de realimentação do estado dos contatores é feita 

através de uma entrada segura em uma 2º EL1904. 

Os contatores K1 e K2 estão ligados em paralelo através de uma única saída segura. A medição de corrente e o teste 

da saída por impulso estão ativos neste circuito. 


Carta de Entradas EL1904 (1º e 2º) 



Sim ; NU/Sim (2º EL1904) 


NU/Sim (1º e 2º EL1904) 


Sim 








Sim 


Sim 





Capítulo IV 

IV-5.3 – PORTA DE SEGURANÇA (com monitorização) - Categoria 4 e PLe 

As portas de segurança das máquinas usam uma combinação de contactos 

normalmente fechados (NF) e abertos (NA) ligadas a entradas seguras. A 

propriedade de “teste de entradas” está ativa e os sinais são controlados para uma 

discrepância máxima de 200ms. Os fins de curso de indicação de zona S3 e S4 

estão ligados a entradas seguras. Estes dois fins de curso indicam quando uma 

parte perigosa, de uma máquina, está em uma posição segura e assim poderá ser 

aberta a porta de segurança mesmo com a máquina em funcionamento. A 

propriedade de “teste de entradas” nestas entradas está desativada devido aos 

sensores S3 e S4 serem alimentados a 24Vdc externo. 

Os contatores K1 e K2 estão ligados em paralelo através de uma única saída 

segura. A medição de corrente e o teste da saída por impulso estão ativos neste 

circuito. 



Canal 1, 2, 3, 4 – Ativar teste do sensor 

Controlo logico do canal 1, 2, 3 e 4 




Controlo logico do canal 1, 2, 3, e 4 






Sim (1º e 3º canal) ; NU/Sim (2º e 4ª canal) 



Não ativar 

Sim (3º canal) ; NU/Sim (4º canal) 



Sim 

Sim 



Capítulo IV 


IV-5.4 – PORTA DE SEGURANÇA (com encravamento) - Categoria 4 e PLe 

A porta de segurança com encravamento eletromagnético tem dois sensores, 

S1 de “porta fechada” e S2 “porta fechada e encravada”, ligadas a entradas 

seguras na 1º carta EL1904. O teste de discrepância não pode estar ativo 

porque não há uma relação funcional dos sensores S1 e S2. O sinal de restart 

está ligado a uma entrada segura do 1º EL1904. O loop de realimentação do 

estado dos contatores é feito através de uma entrada segura em uma 2º 

EL1904. As propriedades de “teste de entradas” de todas as entradas seguras 

estão ativas. 

Os contatores K1 e K2 estão ligados em paralelo através de uma única saída 

segura. A medição de corrente e o teste da saída por impulso estão ativos 

neste circuito. O trinco do sistema de encravamento é comutado, via duas 

entradas seguras, em que o teste está ativo. A medição de corrente e o teste 

da saída por impulso estão ativos neste circuito do 2º EL2904. 



Capítulo IV 





Sim 


NU/Sim 


Sim 


Sim 






Sim 


Sim 


NU/Sim 


Sim 



Carta de Saídas EL2904 (1ª) – para K1 e K2 



Carta de Saídas EL2904 (2ª) – Trinco 




Sim 

Sim 


Sim 

Sim 





Capítulo IV 

✓ IV.6 – Circuito de paragem de emergência com TwinSAFE (“ESTOP – Emergency stop”) 

IV-6.1 – BOTÃO DE EMERGENCIA (1ª) [Function Block ESTOP] - Categoria 3 e PLd 

Os botões de emergência são ligados, via dois contactos normalmente fechados (NF), a duas 

entradas seguras na EL1904. A discrepância superior a 200ms, destes dois sinais NF na 

EL1904, é monitorizada no seu funcionamento. O loop de realimentação do estado dos 

contatores e o botão de restart é feito através de 2 entradas standard não seguras. 

Os contatores K1 e K2 estão ligados eletricamente em paralelo através de uma única saída 

segura. A medição de corrente e o teste da saída por impulso estão ativos neste circuito. 





NU/Sim 


NU/Sim 


Sim 


Sim 






Sim 


Sim 





Capítulo IV 


Os botões de emergência são ligados, via dois contactos normalmente fechados (NF), a duas entradas seguras do 

EL1904. A discrepância superior a 200ms, destes dois sinais NF na EL1904, não é monitorizada. O loop de 

realimentação do estado dos contatores e o botão de restart é feito através de 2 entradas standard não seguras. 

Os contatores K1 e K2 estão ligados eletricamente em paralelo através de uma única saída segura. A medição de 






NU/Sim 


NU/Sim 


Sim 


Sim 






Sim 


Sim 





Capítulo IV 

IV-6.3 – BOTÃO DE EMERGENCIA (3ª) [Function Block ESTOP] - Categoria 4 e PLe 


EL1904. A discrepância superior a 200ms, destes dois sinais NF na EL1904, é monitorizada tal como o teste às 

ligações às entradas. O loop de realimentação do estado dos contatores e o botão de restart é feito através de 2 entradas 

standard, não seguras, do PLC. Existe um bloco EDM que verifica se o sinal de realimentação assume o estado oposto, 

da saída do bloco ESTOP, dentro de um tempo ajustado. 







NU/Sim 


NU/Sim 


Sim 


Sim 






Sim 


Sim 





Capítulo IV 




ligações às entradas. O loop de realimentação do estado dos contatores é feito através de 3º canal seguro da 2ª carta 

EL1904 e o botão de restart no 1º canal seguro da 1ª carta EL1904. 




Carta de Entradas EL1904 (1ª e 2ª) 



Sim (1º EL1904) ; NU/Sim (2º EL1904) 




Sim 








Sim 


Sim 





Capítulo IV 


Os botões de emergência, são ligados via dois contactos normalmente fechados (NF), a duas entradas seguras do 




Os contatores K1 e K2 estão ligados eletricamente em duas saídas seguras. Ambos estão ligados ao ground. A medição 

de corrente esta desativada. Os testes da saída por impulso estão ativos neste circuito. 









Sim 








Não 


Sim 





Capítulo IV 






Os contatores K1 e K2 estão ligados eletricamente em duas saídas seguras. Ambos estão ligados ao ground. A medição 

de corrente e o teste da saída por impulso estão desativados. 









Sim 








Não 


Não 





Capítulo IV 


Os botões de emergência são ligados, via dois contactos normalmente fechados (NF), a duas entradas seguras da 1ª 

carta EL1904. O loop de realimentação do estado dos contatores é feito através de 3º canal seguro da 2ª carta EL1904 

e o botão de restart no 1º canal seguro da 1ª carta EL1904. Os testes dos contatos do botão de emergência são 

desativados. A discrepância superior a 200ms, dos sinais NF do botão de emergência, é monitorizada e o teste às 

ligações é desativado em ambos canais. 

Os contatores K1 e K2 estão ligados eletricamente em paralelo em uma saída segura. A medição de corrente e o teste 

da saída por impulso estão ativados. 





Sim (1º EL1904) ; NU (2º EL1904) 


NU (1º e 2º EL1904) 


Não ativar (1º EL1904) ; sim (2º EL1904) 


Não ativar (1º EL1904) ; NU (2º EL) 






Sim 


Sim 





Capítulo IV 



Anexo A 

Anexo A – Funções Bloco TwinSAFE para TwinCAT v2.11 

1. Sistema TwinSAFE 

1.1 Descrição funcional 

O sistema TwinSAFE na versão TwinCAT 2.11, consiste em cartas de entradas e saídas (EL/KL1904 e EL/ KL2904) e 

módulos lógicos safe (KL6904/EL6900/EL6930). Os módulos lógicos TwinSAFE contém Funções Bloco funcionais 

safe, que se podem parametrizar e ligar-se uns aos outros formando assim o programa lógico safe, que garante a 

função de segurança homem-máquina. Todas estas configurações são realizadas através do TwinCAT System 

Manager. 

O terminais lógicos e I/O TwinSAFE comunicam entre si através do protocolo Safety over EtherCAT (FSoE) 

conforme especificação do consorcio EtherCAT Technology Group (www.ethercat.org). 

1.2 Controladores lógicos TwinSAFE (KL6904/EL6900/EL6930) 

A configuração de um terminal lógico TwinSAFE consiste em Funções Bloco safe que são colocados em um ou 

vários grupos TwinSAFE. Os grupos TwinSAFE podem ser iniciados e parados independentemente uns dos outros. 

A ordem de execução das Funções Bloco safe corresponde à ordem mostrada na árvore do hardware no TwinCAT 

System Manager. Esta ordem pode ser alterada, no System Manager, via drag & drop. As Funções Bloco safe tem 

parâmetros que podem ser configurados e parametrizados pelo programador. As entradas e saídas das Funções 

Bloco safe são atribuídas a entradas e saídas de terminais safe do sistema TwinSAFE ou de terminais standard do 

automatismo residente no PLC. 

Uma conexão em uma Função Bloco safe envolve a atribuição inequívoca a um dispositivo safe (EL/KL1904, EL/ 

KL2904, KL6904, EL6900 / KL6930 ) pertencente ao seu grupo TwinSAFE. Somente as Funções Bloco safe, que 

pertencem a este grupo TwinSAFE, podem ser ligadas a essas entradas e saídas safe. A Função Bloco DECOUPLE 

pode ser usada quando necessitamos que outros grupos tenham acesso a essas entradas e saídas. 

Um erro de comunicação dentro de um grupo ou de um Função Bloco safe afeta o grupo TwinSAFE completo. O 

grupo TwinSAFE dá ordem de paragem a todas as Funções Bloco safe associadas e provoca a alteração do estado 

da saída para modo safe (0). 

1.3 Grupos TwinSAFE 

A um grupo TwinSAFE atribuímos obrigatoriamente Funções Bloco safe. Essas Funções Bloco têm uma 

característica que coloca todas as saídas do grupo em estado seguro (um estado seguro corresponde a desativar a 

saída, que corresponde ao estado logico 0) quando ocorre um erro de comunicação em uma conexão safe 

atribuída, um erro em uma Função Bloco safe (ex. tempo de discrepância excessiva) ou um erro nas saídas safe 

designadas. 

Um erro de comunicação é exibido na saída (COM ERR) do grupo TwinSAFE e reconhecido através da entrada do 

grupo (ERR ACK). Um erro em uma Função Bloco safe é exibido na saída (FB ERR) e reconhecido na mesma entrada 

(ERR ACK) do erro de comunicação. Um erro nas saídas safe (apenas KL6904) é exibido na terceira saída (OUT ERR) 

e novamente reconhecida na entrada (ERR ACK). Logo que o erro seja reconhecido e já não esteja presente, o 

estado seguro das saídas do grupo TwinSAFE é removido. Como o reconhecimento do erro (ERR ACK) não é 

automático devemos obrigatoriamente liga-la a uma variável standard (pertencente ao programa do PLC). 

Além disso o grupo TwinSAFE possui uma entrada (RUN) com a qual o processamento das Funções Bloco safe, que 

se encontram atribuídas, podem ser iniciadas ou interrompidas. Todas as saídas atribuídas pelo grupo TwinSAFE 

estão em um estado seguro quando em estado de repouso. Nos controladores safe EL6910 e mais recentes a 

entrada RUN deve ser sempre ligada a uma variável standard no programa do PLC. 

NOTA: Neste Manual Técnico o termo conexão safe é toda a comunicação, dentro do sistema TwinSAFE, entre o 

controlador logico e os terminais de entrada e saída safe. Esta comunicação é sempre feita entre um master (ex. KL6904, 

EL6900/6930) e os respetivos slaves (ex. KL/EL1904, KL/EL2904). Esta configuração é feita automaticamente pelo System 

Manager. Esta filosofia master-slave necessita que cada terminal possua um único endereço FSoE (por DIP-Switch). 



Anexo A 

Entradas do grupo TwinSAFE 

Nome Tipo de entrada Descrição 

RUN FB-Out 

TRUE : 

(BOOL) Standard-In 

As funções Blocos atribuídas ao grupo TwinSAFE são executadas. 

FALSE : 

Todas as Funções Bloco atribuídas ao grupo TwinSAFE estão no estado STOP e as saídas ficarão no 

estado de safe (0). Quando não é ligada, à entrada RUN, nenhuma variável o estado de defeito 

é TRUE. 

ERR ACK 

(BOOL) 

FB-Out 

Standard-In 

Todos os erros pendentes nas Funções Bloco e nas conexões safe atribuídas são reconhecidas pela 

sequencia FALSE-> TRUE->FALSE. 

Saídas do grupo TwinSAFE 

Nome Tipo de entrada Descrição 

FB ERR 

(BOOL) 

COM ERR 

(BOOL) 

OUT ERR 

(BOOL) 

TSAFE-Out 

FB-In 

Standard-Out 

Local-Out 

TSAFE-Out 

FB-In 

Standard-Out 

Local-Out 

TSAFE-Out 

FB-In 

Standard-Out 

Local-Out 

TRUE : 

Existe pelo menos um erro numa Função Bloco safe. 

FALSE : 

Não existem erros na Função Bloco safe. 

TRUE : 

Existe pelo menos um erro nas conexões safe do grupo TwinSAFE. 

FALSE : 

Não existem erros nas conexões safe do grupo TwinSAFE. 

TRUE : 

Existe pelo menos um erro em uma saída do grupo TwinSAFE. 

FALSE : 

Não existem erros nas saídas do grupo TwinSAFE. 

NOTA: usado somente nos controladores lógicos KL6904. 

1.4 Diagnostico do sistema TwinSAFE 

O estado dos grupos TwinSAFE, FB´s safe e conexões podem ser visualizados no System Manager. Se as opções 

Info Data / Map State e Map Diag (não disponível no KL6904), do grupo TwinSAFE, estiverem selecionadas 

o estado (state) e os dados de diagnostico (diag) podem ser copiadas ciclicamente para o automatismo e 

linkados a variáveis standard do PLC. 

1.4.1 Informação de estado do grupo TwinSAFE 



Anexo A 

Valor Informação do estado dos controladores KL6904/EL6900 

1 RUN -Modo RUN (todas as funções bloco e conexões TwinSAFE estão em funcionamento) 

2 STOP -Modo STOP (estado após a inicialização do grupo) 

3 SAFE -Modo SAFE (todas as FB e conexões safe do grupo estão OK mas existe uma conexão que não esta operacional) 

4 ERROR -Modo ERRO (foi reportado um erro em uma FB ou em uma conexão do TwinSAFE) 

5 RESET -Modo RESET (foi feito o reconhecimento do erro com a passagem FALSE=>TRUE na entrada ERR_ACK. O sistema está à 

espera que se coloque esta entrada outra vez a FALSE) 

1.4.2 Diagnostico das Funções Bloco TwinSAFE (TwinSAFE Function Block List) 

O estado das FB´s TwinSAFE é exibido, em resumo on-line, na sub-pasta Function Block list. Os dados do status 

atuais são lidos a partir do controlador logico safe EL6900 / KL6904 através de um refresh manual (Refresh). 

Se as opções Map State e Map Diag (não disponíveis no KL6904) , 

de cada Função Bloco safe, estiverem selecionadas o estado e os 

dados de diagnostico são copiados ciclicamente para a imagem do 

processo podendo assim ser ligadas a variáveis standard do programa 

do PLC. Para a descrição detalhada recorra à informação da FB safe. 

1.4.3 Diagnostico das conexões TwinSAFE (TwinSAFE Connection List) 

O estado das conexões (EL1904/2904) é exibido, em resumo on-line, na sub-pasta Connection Listda pasta 

TwinSAFE Connection List. Os dados do estado e os bits de diagnostico atuais são lidos a partir do controlador 



Anexo A 

logico safe EL6900 / KL6904 através de um refresh manual (Refresh). 

Se as opções Map State e Map Diag (não disponíveis no KL6904) de cada conexão (EL1904/2904) TwinSAFE 

estiverem selecionados o estado e os dados de diagnostico, das conexões, são copiados ciclicamente para a 

imagem do processo podendo assim ser ligadas a variáveis standard do programa do PLC. Alem dos dados 

anteriores podemos adicionar o estado das entradas e saídas safe à imagem do processo através da seleção das 

opções Map Inputs e Map Outputs (não disponíveis no KL6904). 

Valor 

xxxx 0001 

xxxx 0010 

xxxx 0011 

xxxx 0100 

xxxx 0101 

xxxx 0110 

xxxx 0111 

xxxx 1000 

xxxx 1001 

xxxx 1010 

xxxx 1011 

xxxx 1100 

xxxx 1101 

xxxx 1110 

xxxx 1111 

xxx1 xxxx 

xx1x xxxx 

x1xx xxxx 

1xxx xxxx 

Informação de diagnóstico das conexões 

Comando invalido 

Comando desconhecido 

ID da conexão invalida 

Invalido CRC 

Tempo de watchdog da conexão ultrapassado 

Endereço FSoE invalido 

Dado invalido 

Comprimento dos parâmetros de comunicação invalido 

Parâmetros de comunicação invalido 

Comprimento dos parâmetros do utilizador invalido 

Parâmetros de utilizador invalido 

Reset do Master FSoE 

Detetado erro no modulo slave com a opção Module error is ComError ativo. 

Detetado erro no modulo EL290x com opção Error acknowledge active ativo. 

Slave ainda não iniciado ou erro inesperado 

Detetado erro em slave FSoE 

É reportado um FailsafeValue em slave FSoE 

Em modo StartUp 

É reportado um FailsafeValue em master FSoE 

Valor Informação de estado (status) das conexões 

001 (0x64) Em estado de RESET : 

O estado de RESET é usado para reinicializar a conexão FSoE após o ligar (power-on) ou após erro de comunicação FSoE. 

101 (0x65) Em estado de SESSION : 

Durante a transição para ou no estado de SESSION, um ID de sessão é transferida do master FSoE para o slave FSoE, que 

por sua vez responde com seu próprio ID de sessão. 

102 (0x66) Em estado de CONNECTION : 

No estado de CONNECTION um ID de conexão é transferido do master FSoE para o slave FSoE. 

103 (0x67) Em estado de PARAMETER : 

No estado PARAMETER a comunicação safe e os parâmetros da aplicação específicos do dispositivo são transferidos. 

104 (0x68) Em estado de DATA : 

No estado DATA os ciclos FSoE são enviados até que ocorra um erro de comunicação ou um nó FSoE esteja parado. . 

105 (0x69) Em estado de SHUTDOWN : 

A conexão foi desligada porque foi enviado comando de SHUTDOWN de um dos parceiros de comunicação (EL6910). 

106 (0x6A) Em estado de SHUTDOWN-DEACTIVE : 

A conexão foi desligada via o desativar de uma entrada de um FB (EL6910= 



Anexo A 

2. Funções Bloco TwinSAFE 

2.1 Função Bloco ESTOP 

2.1.1 Descrição funcional 

Com o FB ESTOP (Emergency 

Stop) é possível realizar um 

circuito de Paragem de 

Emergência com o máximo de 

oito entradas (EStopIn1- 

EStopIn8). Cada uma das oito 

entradas pode ser usada como 

contato normalmente fechado 

NF (aberto 0, solicita o estado 

safe) ou contato normalmente 

aberto NA (fechado 1, solicita o 

estado safe). Caso haja uma 

entrada que solicite uma 

paragem de emergência a 

primeira saída (EStopOut) atua 

de imediato e a segunda 

(EStopDelOut) atua, com um 

tempo de atraso configurável, para o estado safe ("0"). Diversas saídas instantâneas (EStopOut) ou temporizadas 

(EStopDelOut) podem ser linkadas a várias saídas. 

A sequência de sinal 0 1 0 deve ser detetada na entrada de Restart para anular o estado seguro das saídas 

(0), ativado anteriormente. 

Podemos aplicar um circuito de realimentação, para controlo de estado, a ambas as saídas da FB ESTOP. A saída 

EStopOut é realimentada na entrada EDM1 e a saída EStopDelOut é na entrada EDM2, utilizando um circuito 

externo de contactos elétricos. As entradas do EDM (External Device Monitoring) são testadas assim que é 

reiniciada a FB através do comando Restart ( sequência 0-> 1-> 0). Se as entradas do EDM não tiverem o estado 

do sinal "1", a FB ESTOP entra em estado de erro e coloca a saída de erro (Error) no estado 1. O estado de erro 

só pode ser anulado após executarmos a sequência 0 1 0 na entrada ERR_ACK, do grupo TwinSAFE 

relacionado. 

Podemos ter combinações de 2 entradas [EStopIn1/EStopIn2], [EStopIn3/EStopIn4], [EStopIn5/EStopIn6] e 

[EStopIn7/EStopIn8]. Neste caso será controlado a discrepância do estado de ambos os sinais, dentro de um 

tempo configurado. Se este tempo de discrepância for excedido, para o par de entradas, o FB ESTOP entrará em 

estado de erro. Neste estado as saídas passam para o estado safe "0". 

Para reconhecer ou não este erro, de discrepância, devemos configura-lo na propriedade Safe Inputs after Disc 

Error. Se esta propriedade estiver ativa, as entradas do grupo que provocaram o erro de discrepância terão de 

voltar a 0 antes que se possa fazer o Reset. 

2.1.2 Descrição das variáveis de entrada e saída da FB ESTOP 

Nome Tipo Descrição das ENTRADAS da FB ESTOP 

Restart 

(BOOL) 

EStopIn1 

(BOOL) 

TSAFE-In 

FB-Out 

Stand-In 

TSAFE-In 

FB-Out 

A sequência de sinal 0-> 1-> 0 deve ser detetada nesta entrada , durante o start (quando o grupo 

TwinSAFE relacionado é iniciado) ou em um restart (após uma entrada ter solicitado o estado seguro). 

1º canal de entrada: A parametrização determina, se a entrada será um contato normalmente fechado 

NF (estado seguro é 0, aberto) ou contato normalmente aberto NA (o estado seguro é 1, fechado). 

EStopIn2 

(BOOL) 

EStopIn3 

(BOOL) 

TSAFE-In 

FB-Out 

TSAFE-In 

FB-Out 

2º canal de entrada: idêntico ao EStopIn1. Se o tempo de discrepância não for igual a 0, o 1º/2º canal de 

são considerados o 1º par de entradas. É feita a monitorização de discrepância de dois canais. 

3º canal de entrada ou 1º entrada do 2º par de entradas (idêntico ao EstopIn1) 



Anexo A 

EStopIn4 

(BOOL) 

TSAFE-In 

FB-Out 


EStopIn5 

(BOOL) 

EStopIn6 

(BOOL) 

EStopIn7 

(BOOL) 

EStopIn8 

(BOOL) 

EDM1 

(BOOL) 

EDM2 

(BOOL) 

TSAFE-In 

FB-Out 

TSAFE-In 

FB-Out 

TSAFE-In 

FB-Out 

TSAFE-In 

FB-Out 

TSAFE-In 

FB-Out 

Standard-In 

TSAFE-In 

FB-Out 

Standard-In 





EDM1 é o circuito de feedback do sinal da saída direta (EStopOut). Se esta entrada for parametrizada como ativa o 

estado seguro das saídas só será anulado quando fizermos o Restart e a entrada EDM1 estiver a 1. 

EDM2 é o circuito de feedback do sinal da saída atrasada (EStopDelOut). Se esta entrada for parametrizada como 

activa o estado seguro das saídas só será anulado quando fizermos o Restart e a entrada EDM2 estiver a 1. 

Nome Tipo Descrição das SAÍDAS da FB ESTOP 

Error 

(BOOL) 

EStopOut 

(BOOL) 

EStopDelOut 

(BOOL) 

TSAFE-Out 

FB-In 

Stand.-Out 

Local-Out 

TSAFE-Out 

FB-In 

Stand.-Out 

Local-Out 

TSAFE-Out 

FB-In 

Stand.-Out 

Local-Out 

TRUE : A monitorização do tempo de discrepância de um par de entradas ou um dos loops de 

feedback detetou um erro. A anulação do erro deve ser efetuada através da entrada ERR_ACK do 

grupo TwinSAFE associado. 

FALSE : Não foi detetado qualquer erro. 

1º canal de saída segura: 

O estado de segurança (safe) corresponde a 0. 


O estado de segurança (safe) corresponde a 0. Este estado em relação à saída anterior tem um atraso, 

configurado no campo Delay Time. 

Informação do tipo de entradas e saídas das FB´s safe 

Tipo 

Descrição 

TSAFE-In Tipo Entradas dados de TwinSAFE dos terminais EL1904/KL1904 

Stand.-In 

FB-Out 

TSAFE-Out 

Stand.-Out 

FB-In 

Local-Out 

Variáveis de entradas standard do PLC (saídas %Q* no PLC) 

Saídas dos FB do TwinSAFE 

Saídas de TwinSAFE dos terminais EL2904/KL2904 

Variáveis de saídas standard do PLC (entradas %I* no PLC) 

Entradas dos FB do TwinSAFE 

Saídas de TwinSAFE do terminal EL6904 (não existem no EL6900) 

2.1.3 Informação do diagnóstico e estado da FB ESTOP 

Bit Descrição da informação de DIAGNOSTICO da FB ETOP (16 bit) – [Map Diag = TRUE] 

0, 1, 2, 3 Tipo Erro de dados discrepância nas entradas do grupo 1 (0), grupo 2 (1), grupo 3 (2), grupo 4 (3) 

4, 5 Erro na monitorização do EDM 1 (4), EDM2 (5) 

8 Erro de discrepância nas entradas do grupo 1 com opção Safe inputs after Disc Error (alem do bit 0) 




Bit Descrição da informação de ESTADO (state) da FB ETOP (8 bit) – [Map State = TRUE] 

1 Tipo RUN dados 

2 STOP 

3 SAFE 

4 ERROR 

5 RESET 

6 START 

8 DELAYOUT 

NOTA : O controlador KL6904 não possui as propriedades Map State, Map Diag. 



Anexo A 

2.2 Função Bloco TWOHAND 


A FB TWOHAND (Two-Handed 

Command) usado para realizar um 

Comando de Bimanual em que 

ambos os grupos de entrada 

(TwoHand1/ TwoHand2 e 

Twohand3/TwoHand4) têm que ser 

operados simultaneamente para 

mudar o estado da saída 

(TwoHandOut). O acionamento 

repetido da saída só é possível se 

ambos os grupos de entrada 

estiverem simultaneamente a nível 

logico 0. 

Um grupo de entrada pode ser 

configurado como uma entrada de 

canal único (Single-Channel x 

Activated), entrada de dois canais 

(Single-Channel Both Activated) ou 

entrada de dois canais com 

monitorização de tempo de discrepância (Two-Channel). Além disso, pode ser definida uma monitorização de 

tempo até 2500 ms entre os dois grupos de entrada. Cada entrada pode ser configurada como contato 

normalmente fechado (NF) ou contato normalmente aberto (NA). 

Esta FB TWOHAND não está disponível no controlador safe KL6904. 

2.2.2 Descrição das variáveis de entrada e saída da FB TWOHAND 

Nome Tipo Descrição das ENTRADAS da FB TWOHAND 

TwoHand1 

(BOOL) 

TwoHand2 

(BOOL) 

TSAFE-In 

FB-Out 

TSAFE-In 

FB-Out 

1º canal de entrada: A parametrização determina se a entrada será um contato normalmente fechado 

NF (contato aberto 0, o estado seguro será solicitado) ou contato normalmente aberto NA (contato 

fechado 1, o estado seguro será solicitado). 

2º canal de entrada: Idêntico ao Twohand1 

Se o tempo de discrepância não for igual a 0, o 1º e 2º canal de entradas são considerados como o 1º 

par de entradas e é realizada a monitorização do tempo de discrepância entre os dois canais. 

TwoHand3 TSAFE-In 3º canal de entrada ou 1º entrada do 2º par de entradas (idêntico ao TwoHand1) 

(BOOL) FB-Out 

TwoHand4 TSAFE-In 4º canal de entrada ou 2º entrada do 2º par de entradas (idêntico ao TwoHand2) 

(BOOL) FB-Out 

Nome Tipo Descrição das SAÍDAS da FB TWOHAND 

Error (BOOL) 

TwoHandOut 

(BOOL) 

TSAFE-Out 

FB-In 

Stand.-Out 

TSAFE-Out 

FB-In 

Stand.-Out 

TRUE : A monitorização do tempo de discrepância, de um par de entradas, detetou um erro. A anulação 

do erro deve ser efetuada através da entrada ERR_ACK do grupo TwinSAFE associado. 


Canal de saída segura: 

O estado de segurança (Safe) corresponde a 0. 


Tipo 

Descrição 


Stand.-In 

FB-Out 

TSAFE-Out 

Stand.-Out 

FB-In 








Anexo A 

2.2.3 Informação do diagnóstico e estado da FB TWOHAND 

Bit Descrição da informação de DIAGNOSTICO da FB TWOHAND (16 bit) – [Map Diag = TRUE] 

0 Tipo Erro de dados discrepância nas entradas do grupo 1 

1 Erro de discrepância nas entradas do grupo 2 

2 Erro de discrepância entre os dois grupos de entradas 

6 Eo de Two-Hand 

Um dos dois grupos foi ativado e o sistema espera pela ativação do segundo grupo de entradas. 

O erro também é emitido se o segundo grupo de entradas está ativo e o segundo já não se encontra. 

Erro de simultaneidade dos grupos de entradas. 

8 Erro de discrepância nas entradas do grupo 1 com a opço Safe inputs after Disc Error selecionada (com o bit 0). 

Não existe nos controladores lógicos de safe EL6900/KL6904. 

9 Erro de discrepância nas entradas do grupo 2 com a opço Safe inputs after Disc Error selecionada (com o bit 1). 


10 Eo de disepia ete os gupos o opço Safe inputs after Disc Error o o bit 2). 


Bit Descrição da informação de ESTADO (state) da FB TWOHAND (8 bit) – [Map State = TRUE] 


2 STOP 

3 SAFE 

4 ERROR 

5 RESET 

6 START 

11 1BUTTON 

12 2BUTTON 

13 RELEASE 

Esta FB TWOHAND não está disponível no controlador safe KL6904, mas podemos construir a função de segurança 

homem-maquina de Comando Bimanual utilizando outras Funções Bloco safe disponiveis nesse controlador logico. 

Na figura seguinte apresentamos o programa com a função de segurança de Comando Bimanual: 



Anexo A 

2.3 Função Bloco EDM 


A FB EDM (External Device 

Monitor) é usado para 

monitorizar o sincronismo de 

dois sinais (Mon1 e 

Mon2). Monitorização pode 

ser feita com a comutação 

para 0 (Switch Off 

Monitoring) ou comutação 

para 1 (Switch On 

Monitoring). Por defeito 

ambas as funções de 

monitorização 

estão 

desativadas (colocadas a 0 

ms). 

Com opção Switch Off 

Monitoring ativa, a FB irá 

controlar a passagem da 

entrada Mon2 para 0 

dentro do tempo configurado, 

na respetiva janela (máximo 1000ms), a partir da altura de a entrada Mon1 passou de 0 para 1. 

Com a opção Switch On Monitoring ativa, a FB irá controlar a passagem da entrada Mon2 para 1 dentro do 

tempo configurado, na respetiva janela (máximo 1000ms), a partir da altura de a entrada Mon1 passou de 1 

para 0. 

Se o tempo de monitorização (diferente de 0 ms) pré definido for excedido a saída Error é colocada em estado 

de erro. Após este erro terá de ser feito o Reset, via ERR_ACK, do grupo TwinSAFE em que está integrado. 

Esta FB EDM não está disponível no controlador safe KL6904. 

2.3.2 Descrição das variáveis de entrada e saída da FB EDM 

Nome Tipo Descrição das ENTRADAS da FB EDM 

Mon1 

(BOOL) 

TSAFE-In 

FB-Out 

Stand-In 

1º canal de entrada: A entrada pode ser configurada como normalmente fechada (NF) ou como 

normalmente aberta (NA). 

Mon2 

(BOOL) 

TSAFE-In 

FB-Out 

2º canal de entrada: tem de assumir o valor logico oposto da entrada 1 Mon1 dentro do tempo 

configurado. 

Stand-In 

Nome Tipo Descrição das SAÍDAS da FB EDM 

Error 

(BOOL) 

TSAFE-Out 

FB-In 

Stand.-Out 

TRUE : O tempo de switch on ou switch off foi ultrapassado. A FB EDM entra em erro. 



Tipo 

Descrição 


Stand.-In Variáveis de entradas standard do PLC (saídas %Q* no PLC) 

FB-Out 


TSAFE-Out Saídas de TwinSAFE dos terminais EL2904/KL2904 

Stand.-Out Variáveis de saídas standard do PLC (entradas %I* no PLC) 

FB-In 




Anexo A 

2.3.3 Informação do diagnóstico e estado da FB EDM 

Bit Descrição da informação de DIAGNOSTICO da FB EDM (16 bit) – [Map Diag = TRUE] 

0 Tipo Erro por dados ultrapassar tempo de switch-off. 

1 Erro por ultrapassar tempo de switch-on. 

Bit Descrição da informação de ESTADO (state) da FB EDM (8 bit) – [Map State = TRUE] 

2 Tipo STOP dados 

3 - 

4 ERROR 

5 RESET 

14 MON_OFF 

15 MON_ON 



Anexo A 

2.4 Função Bloco MON 


A FB MON (Machine 

Monitoring) é usado para 

monitorizar o funcionamento de 

portas de segurança de zonas 

perigosas. Também podemos usar 

esta FB MON no controlo de 

lasers de segurança de zona ou 

barreiras de segurança luminosas. 

Um circuito de portas de 

segurança até 4 entradas 

(MonIn(x)) pode ser realizada na 

FB MON. Cada uma das 4 

entradas pode ser usada como 

contato normalmente fechado NF 

(contato aberto 0 solicita o 

estado de segurança) ou contato 

normalmente aberto NA (contato 

fechado 1, solicita o estado de 

segurança). 

Caso haja uma solicitação, através 

de uma entrada, de estado de segurança a primeira saída MonOut é colocado no estado safe 0 de imediato e a 

segunda saída MonDelOut é colocada a 0 após um tempo de atraso configurável na janela Delay Time (ms). 

Várias saídas imediatas (MonOut) ou atrasadas (MonDelOut) podem ser ligadas na FB MON. Além disso, existem 

duas entradas Secure(x), com as quais a solicitação do estado seguro das entradas MonIn(x) podem ser 

ignoradas. As entradas Secure(x) também podem ser configuradas como contactos normalmente fechados NF ou 

contactos normalmente abertos. 

A entrada de reinicialização Restart do FB pode ser ativada. A sequência de sinal 0-> 1-> 0 deve ser detetada na 

entrada de Restart , no caso de um reinício ativo do processo antes das saídas terem entrado em estado seguro. 

No caso de um reinício inativo, o estado de segurança é anulado uma vez que as entradas MonIn ou Secure 

não solicitam mais o estado seguro. 

Podemos aplicar um circuito de realimentação, para controlo de estado, a ambas as saídas da FB MON. A saída 

MonOut é realimentada na entrada EDM1 e a saída MonDelOut é na entrada EDM2, utilizando um 

circuito externo de contactos elétricos. As entradas do EDM (External Device Monitoring) são testadas assim 

que é reiniciada a FB através do comando Restart ( sequência 0-> 1-> 0). Se as entradas do EDM não tiverem o 

estado do sinal "1", a FB MON entra em estado de erro e coloca a saída de erro (Error) em estado 1. O estado 

de erro só pode ser anulado após executarmos a sequência 0-> 1-> 0 na entrada ERR_ACK do grupo TwinSAFE 

relacionado. 

Podemos ter combinações de 2 entradas [MonInIn1 e MonIn2], [MonIn3 e MonIn4] e [Secure1 e Secure2]. Neste 

caso será controlado a discrepância do estado de ambos os sinais dentro de um tempo configurado. Se este tempo 

de discrepância for excedido para o par de entradas, o FB ESTOP entrará em estado de erro. Neste estado as saídas 

passam para o estado seguro "0". 

Para reconhecer ou não este erro, de discrepância, devemos configurar a propriedade Safe Inputs after Disc 

Error. Se esta propriedade estiver ativa ambas as entradas do grupo que provocaram o erro de discrepância terão 

de voltar a 0, antes que se possa fazer o Reset. 

A FB MON só reporta um erro de EDM se a opção Manual do Restart estiver ativo. Se esta opção do Restart 

não estiver ativo a FB MON mantem-se em estado safe se o erro EDM continuar presente. 



Anexo A 

2.4.2 Descrição das variáveis de entrada e saída da FB MON 

Nome Tipo Descrição das ENTRADAS da FB MON 

Restart 

(BOOL) 

MonIn1 

(BOOL) 

MonIn2 

(BOOL) 

MonIn3 

(BOOL) 

TSAFE-In 

FB-Out 

Stand-In 

TSAFE-In 

FB-Out 

TSAFE-In 

FB-Out 

TSAFE-In 

FB-Out 

A sequência de sinal 0-> 1-> 0 deve ser detetada nesta entrada de Restart, durante o start (quando o 

grupo TwinSAFE relacionado é iniciado) ou em um restart (quando uma entrada solicitou o estado 

seguro) antes do estado seguro das saídas seja removido. Esta entrada não é utilizada se a opção 

Manual do Restart estiver desativado. Neste caso tanto o arranque como a saída do estado seguro 

da FB é executada automaticamente e desde que nenhuma entrada solicite segurança (estado seguro). 

1º canal de entrada: A parametrização determina, se a entrada será um contato normalmente fechado 

NF (contato aberto 0, o estado seguro será solicitado) ou contato normalmente aberto NA (contato 

fechado 1, o estado seguro será solicitado). 

2º canal de entrada: Idêntico ao MonIn1 

Se o tempo de discrepância não for igual a 0, o 1º e 2º canal de entradas são considerados como o 1º par 

de entradas e é realizada a monitorização do tempo de discrepância entre os dois canais. 

3º canal de entrada ou 1º entrada do 2º par de entradas (idêntico ao MonIn1) 

MonIn4 

(BOOL) 

Secure1 

(BOOL) 

Secure2 

(BOOL) 

TSAFE-In 

FB-Out 

TSAFE-In 

FB-Out 

TSAFE-In 

FB-Out 

4º canal de entrada ou 2º entrada do 2º par de entradas (idêntico ao MonIn2) 

Se o Secure1 ou o Secure2 estiver parametrizado como ativo a avaliação das entradas MonIn(x) pode ser 

desligada. Se Secure1 e Secure2 forem parametrizadas como normalmente fechados NF as entradas 

MonIn(x) serão ignorados se Secure1 e ou Secure2 for 1. Se Secure1 e Secure2 forem parametrizadas 

como normalmente abertos NA as entradas MonIn(x) serão ignorados se Secure1 e ou Secure2 for 0. 

Se o tempo de discrepância estiver parametrizado as entradas Secure1 e Secure2 são consideradas 

como um par de entradas e será monitorizado o tempo de discrepância entre ambos os canais. 

Secure2 é o 2º canal do par de entradas que corresponde a entrada Secure1. 

EDM1 

(BOOL) 

TSAFE-In 

FB-Out 

Stand-In 

EDM1 é o circuito de feedback do sinal da saída direta (MonOut). Se esta entrada for parametrizada como ativa o 

estado seguro das saídas só será anulado quando fizermos o Restart e a entrada EDM1 estiver a 1. 

EDM2 

(BOOL) 

TSAFE-In 

FB-Out 

EDM2 é o circuito de feedback do sinal da saída atrasada (MonDelOut). Se esta entrada for parametrizada como 

ativa o estado seguro das saídas só será anulado quando fizermos o Restart e a entrada EDM2 estiver a 1. 

Stand-In 

Nome Tipo Descrição das SAÍDAS da FB MON 

Error 

(BOOL) 

TSAFE-Out 

FB-In 

Stand.-Out 

Local-Out 

TRUE : A monitorização do tempo de discrepância de um par de entradas ou um dos loops de 

feedback detetou um erro. A anulação do erro deve ser efetuada através da entrada ERR_ACK do 

grupo TwinSAFE associado. 


MonOut 

(BOOL) 

MonDelOut 

(BOOL) 

TSAFE-Out 

FB-In 

Stand.-Out 

Local-Out 

TSAFE-Out 

FB-In 

Stand.-Out 

Local-Out 




O estado de segurança (safe) corresponde a 0. Este estado em relação à saída anterior tem um 

atraso configurado no campo Delay Time. 


Tipo 

Descrição 



FB-Out 




FB-In 


Local-Out Saídas de TwinSAFE do terminal EL6904 (não existem no EL6900) 



Anexo A 

2.4.3 Informação do diagnóstico e estado da FB MON 

Bit Descrição da informação de DIAGNOSTICO da FB MON (16 bit) – [Map Diag = TRUE] 

0 Tipo Erro de dados discrepância nas entradas do grupo 1 

1 Erro de discrepância nas entradas do grupo 2 

2 Erro de discrepância nas estradas do grupo Secure 

4 Erro de monitorização de EDM (EDM1) 

5 Erro de monitorização de EDM (EDM2) 

8 Erro de discrepância nas entradas do grupo 1 com opção Safe inputs after Disc Error ativada (com o bit 0). 

9 Erro de discrepância nas entradas do grupo 2 com opção Safe inputs after Disc Error ativada (com o bit 1). 

10 Erro de discrepância nas entradas do grupo secure com opção Safe inputs after Disc Error ativada (com o bit 2). 

Bit Descrição da informação de ESTADO (state) da FB MON (8 bit) – [Map State = TRUE] 


2 STOP 

3 SAFE 

4 ERROR 

5 RESET 

6 START 

7 ERRORDELAY 

8 DELAYOUT 

9 FUNCTEST 



Anexo A 

2.5 Função Bloco MUTING 


A FB MUTING (Muting Control) é 

usado para realizar a supressão da 

função de proteção numa zona prédeterminada 

(ex. transportar material 

para zona perigosa e protegida). A 

saída da função bloco permanece 

ativa, apesar da interrupção dos 

sensores de segurança conectados ao 

sistema safe. 

As entradas de Muting1 e 2 são 

usadas para verificar se elas são 

operadas em uma dada sequencia. O 

muting pode ser ativado através da 

habilitação das respetivas entradas. 

Se a entrada é de nível lógico 0, 

uma interrupção do dispositivo de 

proteção resulta no desligar imediato 

da saída safe FB. Caso contrário, 

apenas se a sequência de muting for 

violada. A opção Sequential Inputs 

pode ser selecionada para especificar se 2 entradas são controladas em paralelo ou sequencialmente. Um filtro 

temporal até 500ms podem ser configurado para as entradas de muting para evitar oscilações (bouncing) dos 

sinais de entrada e assim evitar a violação da sequência muting. A duração máxima do processo muting pode ser 

monitorizada através do Max. MutingTime . 

O processo de muting começa com sinal lógico 1 na entrada 1 de muting e termina com o sinal lógico 0 da 

última entrada de muting. O valor pode ser ajustado de um máximo de 10 minutos até 0. O zero corresponde à 

desativação da monitorização. Durante este período, a saída MutingActive do bloco estará ativa. O dispositivo 

de proteção (AOPD – Active Opto-electronic Protection Device), por exemplo de uma barreira ótica de segurança, 

estão conectadas as entradas OSSDIn 1 e 2 . Os sinais de feedback podem ser conectados às entradas EDM. 

Na configuração de defeito as entradas estão desabilitadas. As saídas diretas são conectadas através do botão 

MuteOut e as saídas atrasadas, com máximo de 30 segundos, são conectadas através do botão MuteDelOut. 

Esta FB MUTING não está disponível no controlador safe KL6904. 

2.5.2 Descrição das variáveis de entrada e saída da FB MUTING 

Nome Tipo Descrição das ENTRADAS da FB MUTING 

Enable 

(BOOL) 

MutingIn1 

(BOOL) 

MutingIn2 

(BOOL) 

MutingIn3 

(BOOL) 

MutingIn4 

(BOOL) 

OSSDIn1 

(BOOL) 

TSAFE-In 

FB-Out 

Standard-In 

TSAFE-In 

FB-Out 

TSAFE-In 

FB-Out 

TSAFE-In 

FB-Out 

TSAFE-In 

FB-Out 

TSAFE-In 

FB-Out 

O muting pode ser ativado através da entrada Enable. Se a entrada tem o nível logico 0, uma 

interrupção do dispositivo de proteção resulta no desligar imediato da saída do FB. 

As entradas de muting são usadas para verificar se elas são operadas em uma dada ordem sequencial. 

1º canal de entrada. A parametrização é usada para especificar se a entrada deve ser negada ou é 

usada diretamente. 

2º canal de entrada: Idêntico ao MutingIn1. Se o tempo de discrepância não for igual a 0, o 1º e 2º 

canal de entradas são considerados como o 1º par de entradas e é realizada a monitorização do tempo 

de discrepância entre os dois canais. 

3º canal de entrada ou 1º entrada do 2º grupo de entradas (idêntico ao MutingIn1) 

4º canal de entrada ou 2º entrada do 2º grupo de entradas (idêntico ao MutingIn2) 

Sinais de dispositivos de segurança do tipo barreiras luminosas safe (AOPD – Active Opto-electronic 

Protection Device). OSSDIn1 é o 1º canal do par de entradas que corresponde aos sinais OSSD. A 

parametrização deve ser usada para especificar se tem o estado logico negado ou não. 



Anexo A 

OSSDIn2 

(BOOL) 

EDM1 

(BOOL) 

TSAFE-In 

FB-Out 

TSAFE-In 

FB-Out 

Stand.-Out 

OSSDIn2 é o 2º canal do par de entradas que corresponde a entrada OSSDIn1. 

EDM1 é o circuito de feedback do sinal da saída direta (MuteOut). Se esta entrada for parametrizada 

como ativa o estado seguro das saídas só será anulado quando fizermos o Restart e a entrada EDM1 

estiver a 1. 

EDM2 

(BOOL) 

TSAFE-In 

FB-Out 

Stand.-Out 

EDM2 é o circuito de feedback do sinal da saída atrasada (MuteDelOut). Se esta entrada for 

parametrizada como ativa o estado seguro das saídas só será anulado quando fizermos o Restart e a 

entrada EDM2 estiver a 1. 

Nome Tipo Descrição das SAÍDAS da FB MUTING 

Error 

(BOOL) 

TSAFE-Out 

FB-In 

Stand.-Out 

TRUE : A monitorização do tempo de discrepância de um par de entradas detetou um erro. A sequencia 

de muting foi violada ou o tempo de muting foi ultrapassado. A anulação do erro deve ser efetuada 

através da entrada ERR_ACK do grupo TwinSAFE associado. 


MutingActive 

(BOOL) 

MuteOut 

(BOOL) 

MuteDelOut 

(BOOL) 

TSAFE-Out 

FB-In 

Stand.-Out 

TSAFE-Out 

FB-In 

Stand.-Out 

TSAFE-Out 

FB-In 

Stand.-Out 

1º canal de saída de muting. Indica o decorrer do modo de funcionamento de muting através do nível 

logico 1. 

1º canal de saída segura: O estado de segurança (safe) corresponde a 0. 

2º canal de saída segura: O estado de segurança (safe) corresponde a 0. Este estado em relação à 

saída anterior tem um atraso configurado no campo Delay Time. 


Tipo 

Descrição 


Stand.-In 

FB-Out 

TSAFE-Out 

Stand.-Out 

FB-In 






2.5.3 Informação do diagnóstico e estado da FB MUTING 

Bit Descrição da informação de DIAGNOSTICO da FB MUTING (16 bit) – [Map Diag = TRUE] 

0 Tipo Erro de dados discrepância nas entradas do grupo 1 de muting. 

1 Erro de discrepância no grupo de entradas OSSD 

2 Erro de discrepância nas entradas do grupo 2 de muting. 

4 Erro de monitorização de EDM1 

5 Erro de monitorização de EDM2 

6 A sequencia de muting foi violada 

7 O tempo máximo de muting foi excedido 

8 Erro de discrepância nas entradas do grupo 1 MuteIn1/MuteIn2, ainda não foi feito o Reset (não nos EL6900/EL6904). 

9 Erro de discrepância nas entradas do grupo 1 OSSDIn1/OSSDIn2 ainda não foi feito o Reset (não nos EL6900/EL6904). 

10 Erro de discrepância nas entradas do grupo 1 MuteIn3/MuteIn4 ainda não foi feito o Reset (não nos EL6900/EL6904). 

Bit Descrição da informação de ESTADO (state) da FB MUTING (8 bit) – [Map State = TRUE] 


2 STOP 

3 SAFE 

4 ERROR 

5 RESET 

8 DELAYOUT 

9 … MUTING1 … MUTING9 



Anexo A 

2.5.4 Exemplos práticos com sensores em MUTING 

Exemplo 1 - Configuração de zona Muting com 4 sensores individuais 

Teremos de configurar a FB MUTING com a opção Sequential Inputs (4 sensores muting em modo 

Single-Channel). 

Diagrama funcional de Muting : 



Anexo A 

Exemplo 2 - Configuração de zona muting com sensores a dois canais 

Neste exemplo a configuração da FB MUTING terá a opção Sequential Inputs desativada e os sensores 

de muting serão configurados como Two-Channel com monitorização de tempo de discrepância. 

Diagrama funcional de Muting : 



Anexo A 

2.6 Funções Bloco DECOUPLER, AND, OR, SR, RS 


Consideramos estas FB´s como funções 

lógicas. A FB DECOUPLER pode ser 

considerada uma função de “Igual” (o sinal 

da saída é igual à respetiva entrada) e serve 

para desacoplar ligações que são utilizadas 

no programa safe e que queremos que 

comunique, o seu estado, com o programa 

do PLC e vice-versa. A FB DECOUPLER 

possui 8 entradas e 8 saídas interligadas. 

Podemos também usar esta FB para 

desacoplar sinais de coneções safe de 

grupos funcionais diferentes. 

FB´s Logicos para TwinSAFE 

FB AND Bloco logico “E” (AND). 

Permite a definição das 

entradas como NA - NF. 

Permite o controlo de 

pares de entradas com a 

fiscalização de tempos de 

discrepância. 

NOTA 1: 

NA (fecha contato-safe) 

NF (abre contato-safe) 

No contato NA o sinal é 

negado antes de afetar o 

AND. 

NOTA 2: A entrada 1 da FB 

“AndIn1” difere das 

outras. Só a esta se pode 

ligar uma variável 

standard do PLC. 

NOTA 3: É obrigatório o 

uso de duas entradas. 

FB OR Bloco logico “OU” (OR). 

Permite a definição das 

entradas como NA - NF. 

Permite o controlo de 

pares de entrada com a 

fiscalização de tempos de 

discrepância. 

NOTA 1: 

NA (fecha contato-safe) 

NF (abre contato-safe) 

No contato NA o sinal é 

negado antes de afetar o 

OR. 



Anexo A 

FB RS 

Bloco flip-flop RS 

Função bloco de memoria 

biestável em que o sinal 

de RESET tem prioridade 

sobre o sinal de SET. 

SET - RESET = OUT 

0 - 0 = x 

0 - 1 = 0 

1 - 0 = 1 

1 - 1 = 0 

NOTA 1: 

x – Estado anterior 

FB SR 

Bloco flip-flop SR 

Função bloco de memoria 

biestável em que o sinal 

de SET tem prioridade 

sobre o sinal de RESET. 

SET - RESET = OUT 

0 - 0 = x 

0 - 1 = 0 

1 - 0 = 1 

1 - 1 = 1 

NOTA 1: 

x – Estado anterior 

Estas FB´s RS e SR não estão disponíveis no controlador safe KL6904. 

2.6.2 Descrição das variáveis de entrada e saída da FB´s DECOUPLER, AND, OR, RS, SR 

Nome Tipo Descrição das ENTRADAS da FB DECOUPLER 

DecIn … TSAFE-In 

1º até 8º canal de entrada: A entrada pode ser configurada como normalmente fechada (NF) ou como 

(BOOL) FB-Out 


Nome Tipo Descrição das SAÍDAS da FB DECPOUPLER 

DecOut … 

(BOOL) 

TSAFE-Out 

FB-In 

Stand.-Out 

Local-Out 

O seguimento do sinal logico da respetiva entrada. Podemos desacoplar entradas de conexões em 

diferentes grupos safe. 

Nome Tipo Descrição das ENTRADAS da FB AND 

AndIn1 

(BOOL) 

AndIn … 

(BOOL) 

TSAFE-In 

FB-Out 

Standard-In 

TSAFE-In 

FB-Out 


normalmente aberta (NA). A esta entrada pode-se conectar uma variável standard vinda do programa 

do PLC. 

2º até ao 8º canal de entrada: A entrada pode ser configurada como normalmente fechada (NF) ou como 

normalmente aberta (NA). Obrigatoriamente terá de se configurar duas entradas. 

Nome Tipo Descrição das SAÍDAS da FB AND 

AndOut 

(BOOL) 

TSAFE-Out 

FB-In 

Standard-Out 

Local-Out 

O resultado logico do AND. 



Anexo A 

Nome Tipo Descrição das ENTRADAS da FB OR 

OrIn1 

(BOOL) 

OrIn … 

(BOOL) 

TSAFE-In 

FB-Out 

TSAFE-In 

FB-Out 



2º até ao 8º canal de entrada: A entrada pode ser configurada como normalmente fechada (NF) ou como 

normalmente aberta (NA). Obrigatoriamente terá de se configurar duas entradas. 

Nome Tipo Descrição das SAÍDAS da FB OR 

OrOut 

(BOOL) 

TSAFE-Out 

FB-In 

Standard-Out 

Local-Out 

O resultado logico do OR. 

Nome Tipo Descrição das ENTRADAS da FB RS 

Reset 

(BOOL) 

Set 

(BOOL) 

TSAFE-In 

FB-Out 

TSAFE-In 

FB-Out 


normalmente aberta (NA). O sinal RESET tem prioridade sobre o sinal de SET. 



Nome Tipo Descrição das SAÍDAS da FB RS 

RsOut 

(BOOL) 

TSAFE-Out 

FB-In 

Standard-Out 

O resultado logico da memoria biestável RS. 

Nome Tipo Descrição das ENTRADAS da FB SR 

Set 

(BOOL) 

Reset 

(BOOL) 

TSAFE-In 

FB-Out 

TSAFE-In 

FB-Out 


normalmente aberta (NA). O sinal SET tem prioridade sobre o sinal RESET. 



Nome Tipo Descrição das SAÍDAS da FB SR 

SrOut 

(BOOL) 

TSAFE-Out 

FB-In 

Standard-Out 

O resultado logico da memoria biestável SR. 


Tipo 

Descrição 


Stand.-In 

FB-Out 

TSAFE-Out 

Stand.-Out 

FB-In 

Local-Out 






Saídas TwinSAFE no KL6904 (não disponível na EL6900) 

2.6.3 Informação do diagnóstico e estado da FB´s 

Bit Descrição da informação de DIAGNOSTICO dos FB´s (16 bit) – [Map Diag = TRUE] 

0 … 5 Tipo Sempre dados a 0. 

Bit Descrição da informação de ESTADO (state) dos FB´s (8 bit) – [Map State = TRUE] 

0 Tipo - dados 

1 RUN (não existe nas FB´s RS e SR) 

2 STOP 

3 SAFE (não existe na FB DECOUPLE) 

9 SET (não existe nas FB´s DECOUPLE, AND e OR) 

- - 



Anexo A 

2.7 Funções Bloco TON e TOFF 


Consideramos as seguintes FB´s como funções bloco temporizadas safe. 

A FB TON é temporizada a saída ao trabalho após o acionamento da respetiva entrada (só passado x tempo é que 

a saída da FB passa a nível logico 1). A saída não é ativada, de novo, enquanto o tempo de atraso anterior não 

tiver expirado. O máximo tempo de atraso é de 6000 x 100ms (10 minutos). 

A FB TOFF é temporizada a saída ao repouso após o acionamento da respetiva entrada (só passado x tempo é que 

a saída da FB passa a nível logico 0). A saída não é desativada, de novo, enquanto o tempo de atraso anterior não 

tiver expirado. O máximo tempo de atraso é de 6000 x 100ms (10 minutos). 

FB´s Logicos para TwinSAFE 

FB TON Bloco temporizado ao 

trabalho. 

FB OFF Bloco temporizado ao 

repouso. 

Estas FB´s TON, TOFF não estão disponíveis no controlador safe KL6904. 



Anexo A 

2.7.2 Descrição das variáveis de entrada e saída da FB´s TON e TOFF 

Nome Tipo Descrição das ENTRADA da FB TON 

TonIn1 TSAFE-In 

Canal de entrada: A entrada pode ser configurada como normalmente fechada (NF) ou como 

(BOOL) FB-Out 


Nome Tipo Descrição das SAÍDA da FB TON 

TonOut1 

(BOOL) 

TSAFE-Out 

FB-In 

Stand.-Out 

Canal de saída. O estado de safe corresponde a nível logico 0. 

Nome Tipo Descrição das ENTRADA da FB TOFF 

TofIn1 

(BOOL) 

TSAFE-In 

FB-Out 

Standard-In 

Canal de entrada: A entrada pode ser configurada como normalmente fechada (NF) ou como 


Nome Tipo Descrição das SAÍDA da FB TOFF 

TofOut 

(BOOL) 

TSAFE-Out 

FB-In 

Standard-Out 

Canal de saída. O estado de safe corresponde a nível logico 0. 


Tipo 

Descrição 


Stand.-In 

FB-Out 

TSAFE-Out 

Stand.-Out 

FB-In 






2.7.3 Informação do diagnóstico e estado da FB´s 

Bit Descrição da informação de DIAGNOSTICO dos FB´s (16 bit) – [Map Diag = TRUE] 

… 5 Tipo Sempre dados a 0. 

Bit Descrição da informação de ESTADO (state) dos FB´s (8 bit) – [Map State = TRUE] 


1 RUN 

2 STOP 

3 SAFE 

9 DELAY_IN (na FB TON) ou DELAY_OUT (na FB FB TOFF) 



Anexo A 

2.8 Função Bloco OPMODE 


A FB OPMODE (Operation Mode) 

é usado para criar um seletor de 

Modo de Operação. A FB tem 8 

entradas e 8 saídas que estão 

encadeadas uma a uma. Até 8 

modos de operação diferentes 

podem ser selecionados. 

A FB OPMODE coloca a 1 a 

respetiva saída só quando a entrada 

estiver a 1, contudo o estado das 

outras saídas mantem-se em estado 

safe 0. As saídas estão em estado 

safe se não existem ou existem mais 

que uma entrada a 1. 

O estado de safe da saída só pode 

ser encerrado durante o inicio e 

mudança de modo de operação 

usando a sequencia 0 1 0 na entrada Restart. Podemos monitorizar o tempo de discrepância da mudança 

do modo de operação. 

2.8.2 Descrição das variáveis de entrada e saída da FB OPMODE 

Nome Tipo Descrição das ENTRADAS da FB OPMODE 

Restart 

(BOOL) 

OpIn1 … 

(BOOL) 

TSAFE-In 

FB-Out 

Stand-In 

TSAFE-In 

FB-Out 

A sequência de sinal 0-> 1-> 0 deve ser detetada nesta entrada de Restart, durante o start (quando o 

grupo TwinSAFE relacionado é iniciado) ou em um restart (quando uma entrada solicitou o estado 

seguro) antes do estado seguro das saídas seja removido. Esta entrada não é utilizada se a opção 

Manual do Restart estiver desativado. Neste caso tanto o arranque como a saída do estado seguro 

da FB é executada automaticamente e desde que nenhuma entrada solicite segurança (estado seguro). 

1º ao 8º canal de entrada. Pelo menos duas entradas devem ser ligadas. 

Nome Tipo Descrição das SAÍDAS da FB OPMODE 

Error 

(BOOL) 

TSAFE-Out 

FB-In 

Stand.-Out 

Local-Out 

TRUE : Detetado erro na monitorização do tempo de discrepância de entradas ou no tempo de 

discrepância de mudança de operação. A anulação do erro deve ser efetuada através da entrada 

ERR_ACK do grupo TwinSAFE associado. 


OpOut … 

(BOOL) 

TSAFE-Out 

FB-In 

Stand.-Out 

Local-Out 

1º ao 8º canal de saída. 



Tipo 

Descrição 



FB-Out 




FB-In 


Local-Out Saídas de TwinSAFE do terminal EL6904 (não existem no EL6900) 



Anexo A 

2.8.3 Informação do diagnóstico e estado da FB OPMODE 

Bit Descrição da informação de DIAGNOSTICO da FB OPMODE (16 bit) – [Map Diag = TRUE] 

0 Tipo Erro na dados monitorização de discrepâncias 

Bit Descrição da informação de ESTADO (state) da FB OPMODE (8 bit) – [Map State = TRUE] 


1 RUN 

2 STOP 

3 SAFE 

4 ERROR 

5 RESET 

6 START 



Anexo A 

2.9 Função Bloco CONNECTION SHUTDOWN 


A FB COONECTION SHUTDOWN 

é usado para desativar 

conexões TwinSAFE. Conexões 

são as cartas de entrada ou 

saída safe que temos instalado 

no nosso hardware. Se a 

entrada da FB se tornar ativa 

a oexo seleioada 

Connection ID é fehada. U 

comando de shutdown é 

enviada para o slave FSoE e o 

feedback é enviado para a 

saída. A conexão é fechada e a 

saída definida é colocada em set 

se o slave recebeu o comando 

de shutdown. O reset da saída 

só é feito quando a conexão 

FSoE estiver no estado DATA. 

O master FSoE tentará 

restabelecer a conexão e o slave 

FSoE responderá novamente à 

conexão quando a entrada da 

FB o estie atia . 

Esta FB é muito útil em maquinas industriais modulares. Nestas maquinas, muitas vezes, necessitamos intervir em 

um modulo (ex. mudança de ferramentas de corte) sem necessidade de parar todo o sistema de segurança 

homem-maquina. Outras opções, são o caso de alimentadores (ex. de chapa) de prensas, o sistema de segurança 

poderá ser feito e colocado em um grupo safe separado do da prensa. 

2.9.2 Descrição das variáveis de entrada e saída da FB CONNECTION SHUTDOWN 

Nome Tipo Descrição das ENTRADAS da FB CONNECTION SHUTDOWN 

Deactivate1 

(BOOL) 

TSAFE-In 

FB-Out 

1º canal de entrada: A entrada pode ser configurada como normalmente fechada (NF - safe ) ou 

como normalmente aberta (NA – safe ). 

Deactivate2 

(BOOL) 

TSAFE-In 

FB-Out 

2º canal de entrada: A entrada pode ser configurada como normalmente fechada (NF - safe ) ou 

como normalmente aberta (NA – safe ). Se o tempo de discrepância não for zero é controlado a 

discrepância dos sinais do grupo constituído pelo 1º e 2º canal. 

Nome Tipo Descrição das SAÍDAS da FB CONNECTION SHUTDOWN 

Error 

(BOOL) 

TSAFE-Out 

FB-In 

Stand.-Out 

TRUE : A monitorização do tempo de discrepância de entradas. A anulação do erro deve ser efetuada 

através da entrada ERR_ACK do grupo TwinSAFE associado. 


Deactivated 

(BOOL) 

TSAFE-Out 

FB-In 

Stand.-Out 

Ccanal de saída. 

O estado de segurança (safe oespode a . 

Esta FB não está disponível no controlador safe KL6904. 



Anexo A 


Tipo 

Descrição 



FB-Out 




FB-In 


2.9.3 Informação do diagnóstico e estado da FB CONNECTION SHUTDOWN 

Bit Descrição da informação de DIAGNOSTICO da FB CONNECTION (16 bit) – [Map Diag = TRUE] 

0 Tipo Erro na dados monitorização de discrepâncias 

Bit Descrição da informação de ESTADO (state) da FB CONNECTION (8 bit) – [Map State = TRUE] 


1 RUN 

2 STOP 

3 SAFE 

4 ERROR 

5 RESET 

10 ACTIVE 

11 DEACTIVE

BRESIMAR(asaTek)-Beckhoff-Livro Formação Técnica TwinSAFE 2

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?