Progfailitit It It

SIMATIC Safety - Progettazione e programmazione
Avvertenze importanti
Presentazione del prodotto 1
2
SIMATIC Progettazione
Safety Administration
Editor 3
Software industriale
SIMATIC Safety - Progettazione e 4
Protezione di accesso
programmazione
Programmazione 5
Manuale di programmazione e d'uso
Accesso alla periferia F 6

Realizzazione di una
conferma utente 7
Scambio di dati tra
programma utente
standard e programma di 8
sicurezza
Comunicazione di sicurezza 9
Compilazione e messa in
servizio del programma di 10
sicurezza
Collaudo dell'impianto 11
Funzionamento e
manutenzione 12
Istruzioni STEP 7 Safety V18 13

Tempi di controllo e di
reazione A
11/2022 Lista di controllo B

A5E52320364-AM
Avvertenze di legge
Concetto di segnaletica di avvertimento
Questo manuale contiene delle norme di sicurezza che devono essere rispettate per salvaguardare l'incolumità
personale e per evitare danni materiali. Le indicazioni da rispettare per garantire la sicurezza personale sono
evidenziate da un simbolo a forma di triangolo mentre quelle per evitare danni materiali non sono precedute dal
triangolo. Gli avvisi di pericolo sono rappresentati come segue e segnalano in ordine descrescente i diversi livelli di
rischio.
PERICOLO
questo simbolo indica che la mancata osservanza delle opportune misure di sicurezza provoca la morte o gravi
lesioni fisiche.
AVVERTENZA
il simbolo indica che la mancata osservanza delle relative misure di sicurezza può causare la morte o gravi lesioni
fisiche.
CAUTELA
indica che la mancata osservanza delle relative misure di sicurezza può causare lesioni fisiche non gravi.
ATTENZIONE
indica che la mancata osservanza delle relative misure di sicurezza può causare danni materiali.
Nel caso in cui ci siano più livelli di rischio l'avviso di pericolo segnala sempre quello più elevato. Se in un avviso di
pericolo si richiama l'attenzione con il triangolo sul rischio di lesioni alle persone, può anche essere
contemporaneamente segnalato il rischio di possibili danni materiali.
Personale qualificato
Il prodotto/sistema oggetto di questa documentazione può essere adoperato solo da personale qualificato per il
rispettivo compito assegnato nel rispetto della documentazione relativa al compito, specialmente delle avvertenze
di sicurezza e delle precauzioni in essa contenute. Il personale qualificato, in virtù della sua formazione ed
esperienza, è in grado di riconoscere i rischi legati all'impiego di questi prodotti/sistemi e di evitare possibili
pericoli.
Uso conforme alle prescrizioni di prodotti Siemens
Si prega di tener presente quanto segue:
AVVERTENZA
I prodotti Siemens devono essere utilizzati solo per i casi d’impiego previsti nel catalogo e nella rispettiva
documentazione tecnica. Qualora vengano impiegati prodotti o componenti di terzi, questi devono essere
consigliati oppure approvati da Siemens. Il funzionamento corretto e sicuro dei prodotti presuppone un trasporto,
un magazzinaggio, un’installazione, un montaggio, una messa in servizio, un utilizzo e una manutenzione
appropriati e a regola d’arte. Devono essere rispettate le condizioni ambientali consentite. Devono essere
osservate le avvertenze contenute nella rispettiva documentazione.
Marchio di prodotto
Tutti i nomi di prodotto contrassegnati con ® sono marchi registrati della Siemens AG. Gli altri nomi di prodotto
citati in questo manuale possono essere dei marchi il cui utilizzo da parte di terzi per i propri scopi può violare i
diritti dei proprietari.
Esclusione di responsabilità
Abbiamo controllato che il contenuto di questa documentazione corrisponda all'hardware e al software descritti.
Non potendo comunque escludere eventuali differenze, non possiamo garantire una concordanza perfetta. Il
contenuto di questa documentazione viene tuttavia verificato periodicamente e le eventuali correzioni o modifiche
vengono inserite nelle successive edizioni.
Siemens AG A5E52320364-AM Copyright © Siemens AG 2011 - 2022.

Digital Industries Ⓟ 11/2022 Con riserva di modifiche Tutti i diritti riservati
Postfach 48 48
90026 NÜRNBERG
GERMANIA
Scopo della documentazione

Le informazioni di questa documentazione consentono di progettare (Pagina 41) e
programmare (Pagina 104) sistemi fail-safe SIMATIC Safety. Inoltre si ottengono informazioni
sul collaudo (Pagina 355) di un sistema F SIMATIC Safety.
Nota
Il manuale di programmazione e d'uso "SIMATIC Safety - Progettazione e programmazione"
nella sua versione attuale (event. comprese le informazioni sul prodotto contenute nel
manuale) è la fonte autorevole per tutte le informazioni sulla sicurezza funzionale relative alla
progettazione e alla programmazione. Ciò vale anche in caso di discrepanze tra il presente
manuale e altre documentazioni sulla sicurezza funzionale relative alla progettazione e alla
programmazione di SIMATIC Safety.
È necessario osservare tutte le avvertenze riportate nel manuale di programmazione e d'uso
"SIMATIC Safety - Progettazione e programmazione".
Nota
Denominazione di versione per STEP 7 Safety Advanced V18 e STEP 7 Safety Basic V18
I programmi STEP 7 Safety Advanced V18 e STEP 7 Safety Basic V18 forniti hanno la
denominazione di versione V18.0.1.0.
Per questo motivo, la denominazione di versione, ad. es. sul display e sulla stampa di
sicurezza, viene rappresentata come V18 SP1.
Nozioni di base necessarie

Per la comprensione di questa documentazione si presuppongono conoscenze generali nel
campo della tecnica di automazione. Inoltre solo richieste conoscenze di base nei seguenti
settori:
• Sistemi di automazione fail-safe
• Sistemi di automazione
– S7-300
– S7-400
– S7-1200
– S7-1500
– S7-1500H
– Software Controller S7-1500
– SIMATIC Drive Controller
– WinAC RTX F

Manuale di programmazione e d'uso, 11/2022, A5E52320364-AM 3
• Sistemi di periferia decentrata connessi a

– PROFIBUS DP
– PROFINET IO
• Totally Integrated Automation Portal, in particolare:
– Configurazione dell'hardware con l'editor hardware e di rete.
– Programmazione nei linguaggi KOP e FUP con l'editor di programma.
– Comunicazione tra le CPU
Campo di validità della documentazione

La presente documentazione è valida per STEP 7 Safety Advanced V18 e STEP 7 Safety Basic
V18.
STEP 7 Safety Advanced V18 e STEP 7 Safety Basic V18 vengono utilizzati per la progettazione
e la programmazione del sistema fail-safe SIMATIC Safety.
In questo contesto, si considera anche l'integrazione delle seguenti periferie fail-safe in
SIMATIC Safety:
• moduli fail-safe S7-1500/ET 200MP
• moduli fail-safe ET 200SP
• moduli fail-safe ET 200S
• moduli di periferia fail-safe ET 200eco
• moduli di periferia fail-safe ET 200eco PN
• moduli di periferia fail-safe ET 200AL
• moduli fail-safe ET 200pro
• moduli fail-safe ET 200iSP
• unità di ingressi/uscite fail-safe S7-300
• moduli fail-safe per S7-1200
• slave DP standard fail-safe
• device IO standard fail-safe
Approvazioni
Il sistema F SIMATIC Safety è certificato per l'impiego nel funzionamento di sicurezza fino a:
• Classe di sicurezza (Safety Integrity Level) SIL3 secondo IEC 61508:2010
• Performance Level (PL) e categoria 4 secondo ISO 13849-1:2015 o secondo
EN ISO 13849-1:2015
Classificazione nel panorama informativo

Per utilizzare STEP 7 Safety , a seconda del caso applicativo è necessaria la documentazione
riportata di seguito.

4 Manuale di programmazione e d'uso, 11/2022, A5E52320364-AM
Nella presente documentazione si fa riferimento ai punti idonei di queste documentazioni.
Documentazione Sintesi dei contenuti rilevanti

per il sistema F SIMATIC Safety In base alla F-CPU impiegata, sono necessarie le seguenti documentazioni:
• Per le F-CPU S7-1200/1500 le Informazioni sul prodotto
(http://support.automation.siemens.com/WW/view/it/109478599)
descrivono tutte le differenze dalle CPU standard corrispondenti.
• Per ciascuna F-CPU S7-300/400 impiegabile, esistono specifiche
Informazioni sul prodotto. Le Informazioni sul prodotto descrivono le
differenze dalle rispettive CPU standard.
• I Manuali del prodotto
(http://support.automation.siemens.com/WW/view/it/67295862/133300)
descrivono le CPU S7-1500.
• Le Istruzioni operative "S7-300, CPU 31xC e CPU 31x: Configurazione"
descrivono il montaggio e il cablaggio di sistemi S7-300.
• Il Manuale del prodotto "CPU 31xC e CPU 31x, dati tecnici"
(http://support.automation.siemens.com/WW/view/it/12996906) descrive
le CPU 315-2 DP e PN/DP, la CPU 317-2 DP e PN/DP e la CPU 319-3 PN/DP.
• Il Manuale di installazione "Sistema di automazione S7-400,
Configurazione"
(http://support.automation.siemens.com/WW/view/it/1117849) descrive il
montaggio e il cablaggio di sistemi S7-400.
• Il Manuale di consultazione "Sistema di automazione S7-400, dati CPU"
la CPU 414-3 PN/DP, la CPU 416-2 e la CPU 416-3 PN/DP.
• Il manuale "ET 200S, modulo di interfaccia CPU IM 151-7"
la CPU IM 151-7.
• Il manuale "ET 200S, modulo di interfaccia CPU IM 151-8 PN/DP"
(http://support.automation.siemens.com/WW/view/en/47409312) descrive
la CPU IM 151-8 PN/DP.
• Il manuale "ET 200pro, modulo di interfaccia CPU IM 154-8"
(http://support.automation.siemens.com/WW/view/en/24363739) descrive
la CPU IM 154-8.
• Il manuale "Windows Automation Center RTX WinAC RTX (F) 2010
(http://support.automation.siemens.com/WW/view/en/43715176)" descrive
WinAC RTX 2010 e WinAC RTX F 2010.
• Il manuale "S7-1500 Software Controller CPU 1505SP, CPU 1507S
(http://support.automation.siemens.com/WW/view/it/109249299)" descrive
il SIMATIC S7-1500 Software Controller CPU 1505SP e CPU 1507S.
Manuale di sistema "Manuale di sicurezza descrive le F-CPU S7-1200 e i moduli fail-safe S7-1200 (inoltre, configurazione,
funzionale S7-1200 cablaggio e dati tecnici)
(http://support.automation.siemens.com/
WW/view/it/104547552)"


Il Manuale di sistema "Manuale di sistema descrivono l'hardware di sistemi S7-1500 e i moduli fail-safe S7-
S7-1500/ET200MP 1500/ET 200MP (inoltre, configurazione, cablaggio e dati tecnici)
WW/view/it/59191792)" e i Manuali del
prodotto
(https://support.industry.siemens.com/cs/
ww/it/ps/14141/man) dei rispettivi moduli
fail-safe S7-1500/ET 200MP
Manuale di sistema "Sistema ridondante descrive l'hardware di sistemi S7-1500R/H (inoltre, configurazione, cablaggio e
S7-1500R/H dati tecnici)
ww/it/view/109754833)"
Manuale di sistema "SIMATIC Drive descrive l'hardware dei SIMATIC Drive Controller (la configurazione, il
Controller cablaggio e i dati tecnici, ecc.)
ww/it/view/109766665)" e manuale del
prodotto "SIMATIC Drive Controller
ww/it/view/109766666)"
Manuale di guida alle funzioni "SIMATIC descrive il funzionamento di S7-PLCSIM Advanced
S7-1500 S7-PLCSIM Advanced
ww/en/view/109798879)"
Il Manuale di sistema "Sistema di periferia descrivono l'hardware dei moduli fail-safe ET 200SP (inoltre, configurazione,
decentrata ET 200SP cablaggio e dati tecnici)
WW/view/it/58649293)" e i Manuali del
prodotto
ww/it/ps/14059/man) dei rispettivi moduli
fail-safe ET 200SP
Manuale "Apparecchiatura di periferia descrive l'hardware dei moduli di periferia fail-safe ET 200eco (inoltre,
decentrata ET 200eco, modulo di periferia configurazione, cablaggio e dati tecnici)
fail-safe
WW/view/en/19033850)"
Manuale del prodotto "ET 200eco PN F-DI descrive l'hardware dei moduli di periferia fail-safe ET 200eco PN (inoltre,
8 x 24 VDC, 4xM12 / F-DQ 3 x 24 VDC/2.0A configurazione, cablaggio e dati tecnici)
PM, 3xM12
ww/it/view/109765611)"
Manuale di sistema "Manuale di sistema ET descrive l'hardware del modulo di periferia fail-safe ET 200AL (la
200AL configurazione, il cablaggio, i dati tecnici, ecc.)
ww/it/view/89254965)" e Manuale del
prodotto "Modulo di periferia digitale F-DI
4+F-DQ 2x24VDC/2A, 4xM12"
Istruzioni operative "Sistema di periferia descrive l'hardware dei moduli fail-safe ET 200S (inoltre, configurazione,
decentrata ET 200S, moduli fail-safe cablaggio e dati tecnici)
WW/view/en/27235629)"
Manuale "Sistema di automazione S7-300, descrive l'hardware delle unità di ingressi/uscite fail-safe nell'S7-300 (inoltre,
Sistema di periferia decentrata ET 200M, configurazione, cablaggio e dati tecnici)
Unità di ingressi/uscite fail-safe
WW/view/it/19026151)"


Istruzioni operative "Sistema di periferia descrive l'hardware dei moduli fail-safe ET 200pro (inoltre, configurazione,
decentrata ET 200pro, moduli di periferia cablaggio e dati tecnici)
fail-safe
WW/view/en/22098524)"
Istruzioni operative "Sistema di periferia descrive l'hardware dei moduli fail-safe ET 200iSP (inoltre, configurazione,
decentrata ET 200iSP - Moduli fail-safe cablaggio e dati tecnici)
WW/view/en/47357221)"
Guida a STEP 7 • descrive come utilizzare gli strumenti standard in STEP 7
• contiene informazioni per la configurazione e la parametrizzazione
dell'hardware
• contiene la descrizione dei linguaggi di programmazione FUP e KOP.
L'intera documentazione SIMATIC S7 è disponibile su DVD. Per ulteriori informazioni vedere in

Internet (http://www.automation.siemens.com/mcms/industrial-automation-systems-
simatic/en/manual-overview/manual-collection/Pages/Default.aspx).
Guida alla consultazione

La presente documentazione descrive l'utilizzo di STEP 7 Safety. Si compone di parti
didattiche e parti di consultazione (descrizione delle istruzioni per il programma di sicurezza).
La documentazione comprende i seguenti argomenti:
• Progettazione di SIMATIC Safety
• Protezione di accesso per SIMATIC Safety
• Programmazione del programma di sicurezza (programma utente orientato alla sicurezza)
• Comunicazione di sicurezza
• Istruzioni per il programma di sicurezza
• Supporto durante il collaudo dell'impianto
• Funzionamento e manutenzione di SIMATIC Safety
• Tempi di controllo e di reazione
Convenzioni
Valgono le seguenti convenzioni:
• Nella presente documentazione i termini "tecnica di sicurezza" e "tecnica F" vengono
utilizzati come sinonimi. Lo stesso vale per i termini "fail-safe" e "F".
• I "Sistemi F" includono i sistemi ridondanti S7-1500HF. Le particolarità e le limitazioni dei
sistemi H sono descritte nel Manuale di sistema "Sistema ridondante S7-1500R/H
(https://support.industry.siemens.com/cs/ww/it/view/109754833)" e valgono anche per i
sistemi ridondanti S7-1500HF.
• "STEP 7 Safety V18" indica sia "STEP 7 Safety Advanced V18" che "STEP 7
Safety Basic V18".

• "(S7-300)" significa che la rispettiva sezione è valida solo per F-CPU S7-300. F-CPU S7-300
includono anche le F-CPU ET 200S ed ET 200pro (IM F-CPU).
• "(S7-400)" significa che la rispettiva sezione è valida solo per F-CPU S7-400 e per WinAC
RTX F.
• "(S7-1200)" significa che la rispettiva sezione è valida solo per F-CPU S7-1200.
• "(S7-1500)" significa che la rispettiva sezione è valida solo per F-CPU S7-1500. Le F-CPU
S7-1500 includono anche le HF-CPU S7-1500, le F-CPU ET 200SP, la CPU 151xpro F-2 PN, il
Software Controller S7-1500 F e il SIMATIC Drive Controller. In caso di eccezioni, queste
sono indicate.
Sono possibili combinazioni di campi di validità.
Il termine Programma di sicurezza si riferisce alla parte fail-safe del programma utente e
viene utilizzato al posto del "programma utente fail-safe", "programma F", ecc. Per
differenziare, la parte non basate sulla sicurezza del programma utente viene definita
"programma utente standard".
La configurazione hardware comprende la progettazione di CPU standard e periferie
standard nonché la progettazione di F-CPU e periferie F.
La configurazione hardware rilevante per la sicurezza comprende i parametri rilevanti per
la sicurezza delle F-CPU e delle periferie F.
I Dati di progetto rilevanti per la sicurezza comprendono la configurazione hardware
rilevante per la sicurezza e il programma di sicurezza.
Nota
Le avvertenze sono contrassegnate da un numero univoco alla fine del testo. In questo modo
è possibile rinviare facilmente ad altri documenti, ad esempio per avere una panoramica dei
requisiti di sicurezza dell'impianto.
Ulteriore supporto
Per tutte le domande sull'utilizzo dei prodotti descritti nel manuale che non trovano risposta
nella documentazione, rivolgersi al proprio partner di riferimento Siemens nelle
rappresentanze e filiali competenti.
Il partner di riferimento è reperibile in Internet
(http://www.siemens.com/automation/partner).
La Guida alla consultazione della documentazione tecnica per i singoli prodotti e sistemi
SIMATIC si trova in Internet (http://www.siemens.com/simatic-tech-doku-portal).
Il catalogo e il sistema per le ordinazioni online sono disponibili in Internet
(www.siemens.com/industrymall).
Centro di formazione
Per facilitare l'approccio al sistema di automazione S7, vengono offerti appositi corsi. Si prega
di rivolgersi al Training Center della propria regione o al Training Center di Norimberga.
Per ulteriori informazioni vedere in Internet (http://www.sitrain.com).

Technical Support
È possibile contattare il Technical Support per tutti i prodotti di Industry Automation
utilizzando il modulo web Support Request (http://www.siemens.com/automation/support-
request).
Ulteriori informazioni sul Technical Support sono disponibili in Internet
(http://www.siemens.com/automation/service).
Nota importante per il mantenimento della sicurezza di funzionamento dell'impianto
Nota
Gli impianti con caratteristiche di sicurezza sono soggetti a particolari requisiti di sicurezza di
funzionamento che il gestore deve rispettare. Anche il fornitore terzo è tenuto a rispettare
particolari misure per il controllo del prodotto. Informiamo pertanto in forma di
comunicazioni personali sugli sviluppi e sulle proprietà dei prodotti, che sono o possono
essere importanti per il funzionamento di impianti sotto gli aspetti della sicurezza.
Per tenersi sempre aggiornati a questo riguardo e potere apportare eventuali modifiche al
proprio impianto è necessario un abbonamento per ricevere le corrispondenti comunicazioni.
Contattare per questo l'Industry Online Support. Accedere ai link seguenti e cliccare di volta in
volta a destra nella pagina su "E-mail in caso di aggiornamento":
• SIMATIC S7-300/S7-300F
(https://support.industry.siemens.com/cs/products?pnid=13751&lc=it-WW)
• SIMATIC S7-400/S7-400H/S7-400F/FH
(https://support.industry.siemens.com/cs/products?pnid=13828&lc=fr-WW)
• SIMATIC S7-1500/SIMATIC S7-1500F/SIMATIC S7-1500HF
• SIMATIC S7-1200/SIMATIC S7-1200F
• Software Controller (https://support.industry.siemens.com/cs/products?pnid=13911&lc=it-
WW)
• Periferia decentrata (https://support.industry.siemens.com/cs/products?pnid=14029&lc=it-
WW)
• STEP 7 (TIA Portal) (https://support.industry.siemens.com/cs/products?pnid=14340&lc=it-
WW)
Avvertenze di sicurezza
Siemens commercializza prodotti e soluzioni dotati di funzioni di Industrial Security che
contribuiscono al funzionamento sicuro di impianti, soluzioni, macchine e reti.
Al fine di proteggere impianti, sistemi, macchine e reti da minacce cibernetiche, è necessario
implementare - e mantenere continuamente - un concetto di Industrial Security globale ed
all’avanguardia. I prodotti e le soluzioni Siemens costituiscono soltanto una componente di
questo concetto.

È responsabilità dei clienti prevenire accessi non autorizzati ai propri impianti, sistemi,
macchine e reti. Tali sistemi, macchine e componenti dovrebbero essere connessi
unicamente a una rete aziendale o a Internet se e nella misura in cui detta connessione sia
necessaria e solo quando siano attive appropriate misure di sicurezza (ad es. impiego di
firewall e segmentazione della rete).
Per ulteriori informazioni relative a misure di Industrial Security implementabili potete visitare
il sito (https://www.siemens.com/industrialsecurity).
I prodotti e le soluzioni Siemens vengono costantemente perfezionati per incrementarne la
sicurezza. Siemens raccomanda espressamente che gli aggiornamenti dei prodotti siano
effettuati non appena disponibili e che siano utilizzate le versioni più aggiornate. L’utilizzo di
versioni di prodotti non più supportate ed il mancato aggiornamento degli stessi incrementa
il rischio di attacchi cibernetici.
Per essere informati sugli aggiornamenti dei prodotti, potete iscrivervi a Siemens Industrial
Security RSS Feed al sito (https://www.siemens.com/cert).
Siemens Industry Online Support

Sui seguenti argomenti possono essere reperite facilmente e rapidamente informazioni
attuali:
• Product Support
Tutte le informazioni e un notevole know-how sul prodotto specifico, dati tecnici, FAQ,
certificati, download e manuali.
• Esempi di applicazione
Applicazioni ed esempi per la soluzione di compiti di automazione - inoltre blocchi
funzionali, informazioni sulla performance e video.
• Servizi
Informazioni sui servizi industriali, assistenza tecnica, pezzi di ricambio e offerte
didattiche.
• Forum
Per risposte e soluzioni sulla tecnica di automazione.
• mySupport
Il campo di lavoro personale nel Siemens Industry Online Support per notifiche, richieste
di supporto e documenti configurabili.
Siemens Industry Online Support vi offre queste informazioni in Internet
(http://www.siemens.com/automation/service&support).
Industry Mall
L'Industry Mall è il catalogo prodotti e il sistema di ordinazione della Siemens AG per le
soluzioni di automazione e azionamento sulla base di Totally Integrated Automation (TIA) e
Totally Integrated Power (TIP).
I cataloghi su tutti i prodotti della tecnica di automazione e azionamento si trovano in
Internet (https://mall.industry.siemens.com).

Indice del contenuto
Avvertenze importanti ........................................................................................................................... 3

1 Presentazione del prodotto ................................................................................................................. 21
1.1 Panoramica........................................................................................................................ 21
1.2 Componenti hardware e software ...................................................................................... 23
1.3 Installazione/disinstallazione della licenza di STEP 7 Safety Basic V18 .................................. 29
1.4 Installazione/disinstallazione della licenza di STEP 7 Safety Advanced V18 ........................... 29
1.5 Installazione/disinstallazione del STEP 7 Safety Powerpack .................................................. 30
1.6 Migrazione di progetti da S7 Distributed Safety V5.4 SP5 a STEP 7 Safety Advanced ............ 30
1.7 Migrazione dei programmi PLC in una F-CPU S7-1500 ......................................................... 34
1.8 Aggiornamento dei progetti a STEP 7 Safety V18 ................................................................ 35
1.8.1 Aggiornamento dei progetti di STEP 7 Safety da V14 SP1 a V18 .......................................... 35
1.8.2 Aggiornamento di STEP 7 Safety V13 SP1/SP2 a V18 ........................................................... 36
1.8.3 Aggiornamento di progetti di STEP 7 Safety precedenti a V13 SP1....................................... 37
1.9 Primi passi ......................................................................................................................... 40
2 Progettazione ...................................................................................................................................... 41
2.1 Panoramica della progettazione ......................................................................................... 41
2.2 Particolarità della progettazione di un sistema F ................................................................. 44
2.3 Progettazione della F-CPU .................................................................................................. 45
2.4 Progettazione della periferia F ............................................................................................ 50
2.5 Controllo di configurazione (ampliamenti futuri) per la periferia F ...................................... 54
2.5.1 Esempio ............................................................................................................................ 56
2.6 Progettazione di Shared Device .......................................................................................... 59
2.7 Progettazione del sincronismo di clock (S7-1500) ............................................................... 60
2.8 Raccomandazione per l'assegnazione degli indirizzi PROFIsafe ............................................ 61
2.9 Configurazioni supportate dal sistema F SIMATIC Safety ..................................................... 62
2.10 Indirizzi PROFIsafe della periferia F del tipo di indirizzo PROFIsafe 1 ..................................... 64
2.11 Indirizzi PROFIsafe della periferia F del tipo di indirizzo PROFIsafe 2 ..................................... 66
2.12 Impostazione dell'indirizzo di destinazione F della periferia F mediante DIL-switch .............. 67
2.13 Assegnazione dell'indirizzo PROFIsafe della periferia F con SIMATIC Safety .......................... 68
2.13.1 Identificazione di moduli F ................................................................................................. 70
2.13.2 Assegnazione dell'indirizzo PROFIsafe ................................................................................. 72
2.13.3 Assegnazione di un indirizzo PROFIsafe al modulo F di uno Shared Device
multiprogetto .................................................................................................................... 73
2.13.4 Modifica dell'indirizzo PROFIsafe ........................................................................................ 74

2.14 Particolarità durante la progettazione di slave DP standard fail-safe e di device IO

standard fail-safe ............................................................................................................... 74
3 Safety Administration Editor ............................................................................................................... 77
3.1 Richiamo del Safety Administration Editor .......................................................................... 79
3.2 Area "General" ................................................................................................................... 80
3.3 Area "F-runtime group" ...................................................................................................... 82
3.3.1 Area "F-runtime group" ...................................................................................................... 82
3.3.2 Pre/postelaborazione (S7-1200, S7-1500) .......................................................................... 83
3.4 Area "F-blocks" ................................................................................................................... 85
3.5 Area "F-compliant PLC data types" (S7-1200, S7-1500) ....................................................... 86
3.6 Area "Web server F-admins" (S7-1200, S7-1500) ................................................................ 87
3.7 Area "Settings" ................................................................................................................... 87
3.8 Area "Flexible F-Link" (S7-1200, S7-1500) .......................................................................... 93
4 Protezione di accesso .......................................................................................................................... 95
4.1 Panoramica della protezione di accesso .............................................................................. 95
4.2 Protezione di accesso per i dati di progetto rilevanti per la sicurezza ................................... 96
4.2.1 Protezione di accesso in tutta la CPU per i dati di progetto rilevanti per la sicurezza ............. 96
4.2.2 Protezione di accesso a livello del progetto per i dati di progetto rilevanti per la
sicurezza ........................................................................................................................... 98
4.3 Protezione di accesso per la F-CPU ...................................................................................... 99
4.4 Protezione dell'accesso tramite misure organizzative ........................................................ 101
5 Programmazione ............................................................................................................................... 104
5.1 Panoramica della programmazione .................................................................................. 104
5.1.1 Struttura del programma di sicurezza (S7-300, S7-400) .................................................... 104
5.1.2 Struttura del programma di sicurezza (S7-1200, S7-1500) ................................................ 106
5.1.3 Programma di sicurezza nella Software Unit (Safety Unit) (S7-1500) ................................. 109
5.1.4 Blocchi fail-safe................................................................................................................ 110
5.1.5 Limitazioni dei linguaggi di programmazione FUP/KOP ..................................................... 112
5.1.6 Tipi di dati PLC conformi a F (UDT) (S7-1200, S7-1500) .................................................... 120
5.1.6.1 Raggruppamento in strutture delle variabili PLC per gli ingressi e le uscite della
periferia F (S7-1200, S7-1500) ......................................................................................... 121
5.1.6.2 Esempio di variabili PLC strutturate per gli ingressi e le uscite della periferia F (S7-1200,
S7-1500) ......................................................................................................................... 122
5.1.7 Modifica delle variabili PLC con un editor esterno ............................................................. 126
5.1.8 Utilizzo di Multiuser Engineering ...................................................................................... 126
5.1.9 Eliminazione del programma di sicurezza ......................................................................... 126
5.2 Definizione dei gruppi di esecuzione F.............................................................................. 128
5.2.1 Regole per i gruppi di esecuzione F del programma di sicurezza ........................................ 128
5.2.2 Procedura per la definizione di un gruppo di esecuzione F (S7-300, S7-400) ..................... 130
5.2.3 Procedura per la definizione di un gruppo di esecuzione F (S7-1200, S7-1500) ................. 133
5.2.4 Comunicazione del gruppo di esecuzione F (S7-300, S7-400) ........................................... 138
5.2.5 Comunicazione del gruppo di esecuzione F (S7-1200, S7-1500) ....................................... 141
5.2.6 Eliminazione del gruppo di esecuzione F .......................................................................... 144
5.2.7 Modica del gruppo di esecuzione F (S7-300, S7-400)........................................................ 144

5.2.8 Modifica del gruppo di esecuzione F (S7-1200, S7-1500).................................................. 144

5.3 Creazione di blocchi F in FUP/KOP..................................................................................... 145
5.3.1 Creazione dei blocchi F .................................................................................................... 145
5.3.2 Protezione del know-how................................................................................................. 146
5.3.3 Riutilizzo dei blocchi F ...................................................................................................... 147
5.4 Interfaccia di comunicazione verso il programma di sicurezza ........................................... 149
5.4.1 DB globale F (S7-300, S7-400) ......................................................................................... 149
5.4.2 DB informativo del gruppo di esecuzione F (S7-1200, S7-1500) ........................................ 149
5.5 Programmazione protezione avviamento ......................................................................... 151
6 Accesso alla periferia F ...................................................................................................................... 152
6.1 Indirizzamento della periferia F ........................................................................................ 152
6.2 Stato del valore (S7-1200, S7-1500)................................................................................. 154
6.3 Valori di processo o sostitutivi .......................................................................................... 157
6.4 DB di periferia F ............................................................................................................... 159
6.4.1 Nome e numero dei DB di periferia F ................................................................................ 160
6.4.2 Variabili del DB di periferia F............................................................................................. 160
6.4.2.1 PASS_ON ......................................................................................................................... 161
6.4.2.2 ACK_NEC ......................................................................................................................... 162
6.4.2.3 ACK_REI ........................................................................................................................... 162
6.4.2.4 IPAR_EN ........................................................................................................................... 163
6.4.2.5 DISABLE ........................................................................................................................... 164
6.4.2.6 QBAD/PASS_OUT/DISABLED/QBAD_I_xx/QBAD_O_xx e stato del valore .............................. 165
6.4.2.7 ACK_REQ ......................................................................................................................... 166
6.4.2.8 IPAR_OK .......................................................................................................................... 166
6.4.2.9 DIAG ................................................................................................................................ 166
6.4.3 Accesso alle variabili del DB di periferia F .......................................................................... 167
6.5 Passivazione e reintegrazione della periferia F .................................................................. 168
6.5.1 Dopo l'avviamento del sistema F ...................................................................................... 169
6.5.2 Dopo errori di comunicazione .......................................................................................... 171
6.5.3 Dopo un errore della periferia F/errore di canale ............................................................... 173
6.5.4 Passivazione di gruppo ..................................................................................................... 177
7 Realizzazione di una conferma utente .............................................................................................. 179
7.1 Realizzazione di una conferma utente nel programma di sicurezza della F-CPU di un
master DP o di un IO Controller ........................................................................................ 179
7.2 Realizzazione di una conferma utente nel programma di sicurezza della F-CPU di un I-
slave o di un I-Device ....................................................................................................... 184
8 Scambio di dati tra programma utente standard e programma di sicurezza .................................... 187
8.1 Trasferimento dei dati dal programma di sicurezza al programma utente standard ............ 188
8.2 Trasferimento dei dati dal programma utente standard al programma di sicurezza ............ 189
9 Comunicazione di sicurezza ............................................................................................................... 192
9.1 Progettazione e programmazione della comunicazione (S7-300, S7-400) ......................... 192
9.1.1 Panoramica della comunicazione ..................................................................................... 192
9.1.2 Comunicazione di sicurezza tra IO Controller e IO Controller ............................................. 195
9.1.2.1 Progettazione della comunicazione di sicurezza IO Controller-IO Controller ....................... 195

9.1.2.2 Comunicazione di sicurezza IO Controller-IO Controller tramite SENDDP e RCVDP .............. 199
9.1.2.3 Programmazione della comunicazione di sicurezza tra IO Controller e IO Controller .......... 200
9.1.2.4 Comunicazione di sicurezza IO Controller-IO Controller - Limiti per la trasmissione di
dati ................................................................................................................................. 203
9.1.3 Comunicazione di sicurezza master-master ...................................................................... 203
9.1.3.1 Progettazione della comunicazione di sicurezza master-master ......................................... 203
9.1.3.2 Comunicazione di sicurezza tra master e master tramite SENDDP e RCVDP ........................ 208
9.1.3.3 Programmazione della comunicazione di sicurezza master-master .................................... 209
9.1.3.4 Comunicazione di sicurezza master-master - Limiti per la trasmissione di dati ................... 212
9.1.4 Comunicazione di sicurezza tra IO Controller e I-Device .................................................... 212
9.1.4.1 Progettazione della comunicazione di sicurezza IO Controller-I-Device .............................. 212
9.1.4.2 Comunicazione IO Controller-I-Device tramite SENDDP e RCVDP ....................................... 215
9.1.4.3 Programmazione della comunicazione di sicurezza IO Controller-I-Device ......................... 215
9.1.4.4 Comunicazione di sicurezza IO Controller-I-Device - Limiti per la trasmissione di dati ......... 217
9.1.5 Comunicazione di sicurezza master-I-slave ....................................................................... 218
9.1.5.1 Progettazione della comunicazione di sicurezza master-I-slave.......................................... 218
9.1.5.2 Comunicazione di sicurezza master-I-slave o I-slave-I-slave tramite SENDDP e RCVDP ........ 220
9.1.5.3 Programmazione della comunicazione di sicurezza master-I-slave o I-slave-I-slave ............. 220
9.1.5.4 Comunicazione di sicurezza master-I-slave o I-slave-I-slave - Limiti per la trasmissione di
dati ................................................................................................................................. 222
9.1.6 Comunicazione di sicurezza I-slave-I-slave ........................................................................ 223
9.1.6.1 Progettazione della comunicazione di sicurezza I-slave-I-slave .......................................... 223
9.1.6.2 Comunicazione di sicurezza I-slave-I-slave tramite SENDDP e RCVDP ................................. 228
9.1.6.3 Programmazione della comunicazione di sicurezza I-slave-I-slave...................................... 228
9.1.6.4 Comunicazione di sicurezza I-slave-I-slave - Limiti per la trasmissione di dati ..................... 228
9.1.7 Comunicazione di sicurezza I-slave-slave .......................................................................... 229
9.1.7.1 Progettazione della comunicazione di sicurezza I-slave-slave ............................................ 229
9.1.7.2 Comunicazione di sicurezza I-slave-slave - accesso alla periferia F ..................................... 234
9.1.7.3 Comunicazione di sicurezza I-slave-slave - Limiti per la trasmissione di dati ....................... 234
9.1.8 Comunicazione di sicurezza IO Controller-I-slave .............................................................. 234
9.1.9 Comunicazione di sicurezza tramite collegamenti S7 ........................................................ 235
9.1.9.1 Progettazione della comunicazione di sicurezza tramite collegamenti S7 .......................... 235
9.1.9.2 Comunicazione tramite SENDS7, RCVS7 e DB di comunicazione F ..................................... 237
9.1.9.3 Programmazione della comunicazione di sicurezza tramite collegamenti S7...................... 238
9.1.9.4 Comunicazione di sicurezza tramite collegamenti S7 - Limiti per la trasmissione di dati ..... 241
9.1.10 Comunicazione di sicurezza con altri sistemi S7 F ............................................................. 242
9.1.10.1 Introduzione .................................................................................................................... 242
9.1.10.2 Comunicazione a S7 Distributed Safety tramite PN/PN Coupler (comunicazione
IO Controller-IO Controller) .............................................................................................. 242
9.1.10.3 Comunicazione con S7 Distributed Safety tramite DP/DP Coupler (comunicazione
master-master) ................................................................................................................ 243
9.1.10.4 Comunicazione con S7 Distributed Safety tramite collegamenti S7 ................................... 244
9.1.10.5 Comunicazione con S7 F/FH Systems tramite collegamenti S7 .......................................... 246
9.2 Progettazione e programmazione della comunicazione (S7-1200, S7-1500) ..................... 248
9.2.2 Comunicazione di sicurezza tra IO Controller e IO Controller ............................................. 250
9.2.2.1 Progettazione della comunicazione di sicurezza IO Controller-IO Controller ....................... 250
9.2.2.2 Comunicazione di sicurezza IO Controller-IO Controller tramite SENDDP e RCVDP .............. 254
9.2.2.3 Programmazione della comunicazione di sicurezza tra IO Controller e IO Controller .......... 255
9.2.2.4 Comunicazione di sicurezza IO Controller-IO Controller - Limiti per la trasmissione di
dati ................................................................................................................................. 259
9.2.3 Comunicazione di sicurezza master-master ...................................................................... 259

9.2.3.1 Progettazione della comunicazione di sicurezza master-master ......................................... 259

9.2.3.2 Comunicazione di sicurezza tra master e master tramite SENDDP e RCVDP ........................ 263
9.2.3.3 Programmazione della comunicazione di sicurezza master-master .................................... 264
9.2.3.4 Comunicazione di sicurezza master-master - Limiti per la trasmissione di dati ................... 268
9.2.4 Comunicazione di sicurezza tra IO Controller e I-Device .................................................... 268
9.2.4.2 Comunicazione IO Controller-I-Device tramite SENDDP e RCVDP........................................ 271
9.2.4.4 Comunicazione di sicurezza IO Controller-I-Device - Limiti per la trasmissione di dati ......... 274
9.2.5 Comunicazione di sicurezza master-I-slave ....................................................................... 274
9.2.5.1 Progettazione della comunicazione di sicurezza master-I-slave.......................................... 274
9.2.5.2 Comunicazione di sicurezza master-I-slave tramite SENDDP e RCVDP................................. 277
9.2.5.3 Programmazione della comunicazione di sicurezza master-I-slave ..................................... 277
9.2.5.4 Comunicazione di sicurezza master-I-slave - Limiti per la trasmissione di dati .................... 279
9.2.6 Comunicazione di sicurezza IO Controller-I-slave .............................................................. 280
9.2.6.1 Comunicazione di sicurezza IO Controller-I-slave .............................................................. 280
9.2.7 Comunicazione di sicurezza con il sistema F S7, S7 Distributed Safety ............................... 281
9.2.7.1 Introduzione .................................................................................................................... 281
IO Controller-IO Controller) .............................................................................................. 281
master-master) ................................................................................................................ 282
9.3 Progettazione e programmazione della comunicazione con Flexible F-Link (S7-1200,
S7-1500) ......................................................................................................................... 283
9.3.1 Flexible F-Link .................................................................................................................. 283
9.3.2 DB di comunicazione F (S7-1200, S7-1500) ...................................................................... 287
9.4 Progettazione e programmazione tra F-CPU S7-300/400 e S7-1200/1500.......................... 289
9.5 Progettazione e programmazione della comunicazione in diversi progetti ......................... 290
9.5.1 Comunicazione di sicurezza IO Controller-I-Device in più progetti ..................................... 290
10 Compilazione e messa in servizio del programma di sicurezza ......................................................... 293
10.1 Compilazione del programma di sicurezza ........................................................................ 293
10.2 Memoria di lavoro richiesta del programma di sicurezza (S7-300, S7-400) ........................ 294
10.3 Caricamento dei dati di progetto ...................................................................................... 295
10.3.1 Caricamento dei dati di progetto in una F-CPU S7-300/400 ............................................... 299
10.3.1.1 Caricamento dei dati di progetto in una F-CPU S7-300/400 con Memory Card (SIMATIC
Micro Memory Card o Flash-Card) inserita ........................................................................ 299
10.3.1.2 Caricamento dei dati di progetto in una F-CPU S7-400 senza Flash Card inserita ................ 299
10.3.1.3 Caricamento dei dati di progetto in un WinAC RTX F ......................................................... 300
10.3.1.4 Caricamento di singoli blocchi F in una F-CPU S7-300/400 ................................................ 300
10.3.1.5 Caricamento dei dati di progetto su una Memory Card e inserimento della Memory
Card o del supporto dati ................................................................................................... 301
10.3.2 Caricamento dei dati di progetto in una F-CPU S7-1200 .................................................... 303
10.3.2.1 Caricamento dei dati di progetto in una F-CPU S7-1200 senza scheda di programma
inserita ............................................................................................................................ 303
10.3.2.2 Caricamento dei dati di progetto in una F-CPU S7-1200 con scheda di programma
inserita ............................................................................................................................ 304

10.3.2.3 Inserimento della scheda di trasferimento in una F-CPU S7-1200 ...................................... 306
10.3.2.4 Caricamento dei dati di progetto di una F-CPU S7-1200 dalla memoria di caricamento
interna a una SIMATIC Memory Card vuota ....................................................................... 308
10.3.2.5 Aggiornamento dei dati di progetto di una F-CPU S7-1200 con una scheda di
trasferimento .................................................................................................................. 309
10.3.2.6 Caricamento dei dati di progetto su una SIMATIC Memory Card e inserimento della
SIMATIC Memory Card ..................................................................................................... 309
10.3.3 Caricamento dei dati di progetto in una F-CPU S7-1500 .................................................... 310
10.3.3.1 Caricamento dei dati di progetto in una F-CPU S7-1500 .................................................... 310
10.3.3.2 Caricamento dei dati di progetto in un sistema ridondante S7-1500HF ............................. 310
10.3.3.3 Caricamento dei dati di progetto in un Software Controller S7-1500 F .............................. 311
SIMATIC Memory Card o del supporto dati ........................................................................ 313
10.3.4 Ripristino del programma di sicurezza salvato di una F-CPU .............................................. 315
10.3.5 Particolarità per la creazione e l'importazione di immagini di un Software Controller S7-
1500 F............................................................................................................................. 316
10.3.6 Caricamento dei dati di progetto (compresi quelli rilevanti per la sicurezza) da una F-
CPU in un PG/PC (S7-1500)............................................................................................... 317
10.3.7 Caricamento dei dati di progetto (compresi quelli rilevanti per la sicurezza) da una
scheda di memoria in un PG/PC (S7-1500) ........................................................................ 318
10.3.8 Caricamento della stazione PC tramite il file di configurazione .......................................... 319
10.3.8.1 Creazione del file di configurazione .................................................................................. 320
10.3.8.2 Importazione del file di configurazione............................................................................. 321
10.4 Identificazione del programma......................................................................................... 325
10.5 Confronto dei programmi di sicurezza .............................................................................. 326
10.6 Creazione della stampa di sicurezza.................................................................................. 329
10.7 Test del programma di sicurezza ...................................................................................... 331
10.7.1 Panoramica del test del programma di sicurezza ............................................................... 331
10.7.2 Funzionamento di sicurezza disattivato ............................................................................ 332
10.7.2.1 Configurazione del limite temporale per il funzionamento di sicurezza disattivato (S7-
1200, S7-1500) ............................................................................................................... 332
10.7.2.2 disattivazione del funzionamento di sicurezza .................................................................. 333
10.7.3 Test del programma di sicurezza ...................................................................................... 337
10.7.4 Test del programma di sicurezza con S7-PLCSIM ............................................................... 340
10.7.5 Modica del programma di sicurezza in RUN (S7-300, S7-400) ........................................... 344
10.7.6 Modica del programma di sicurezza in RUN (S7-1200, S7-1500) ....................................... 347
10.8 Cronologia delle modifiche F............................................................................................ 354
11 Collaudo dell'impianto ....................................................................................................................... 355
11.1 Panoramica del collaudo dell'impianto ............................................................................. 355
11.2 Correttezza del programma di sicurezza, compresa la configurazione hardware (testo
incluso) ........................................................................................................................... 356
11.3 Completezza della stampa di sicurezza ............................................................................. 357
11.4 Corrispondenza degli elementi della biblioteca di sistema utilizzati nel programma di
sicurezza con l'Allegato 1 del report del certificato TÜV ..................................................... 358
11.5 Corrispondenza dei blocchi F con protezione del know-how utilizzati nel programma di
sicurezza con la relativa documentazione di sicurezza ...................................................... 359

11.6 Completezza e correttezza della configurazione hardware ................................................ 360

11.7 Correttezza e completezza della progettazione della comunicazione ................................. 367
11.8 Identità del programma online e offline ........................................................................... 369
11.9 Altre proprietà ................................................................................................................. 370
11.10 Collaudo delle modifiche.................................................................................................. 372
12 Funzionamento e manutenzione....................................................................................................... 377
12.1 Note sull'avviamento del sistema F ................................................................................... 377
12.2 Avvertenze per il funzionamento di sicurezza del programma di sicurezza......................... 377
12.3 Sostituzione di componenti hardware e software ............................................................. 381
12.4 Guida alla consultazione della diagnostica (S7-300, S7-400) ............................................. 384
12.5 Guida alla consultazione della diagnostica (S7-1500)........................................................ 385
12.6 Guida alla consultazione della diagnostica (S7-1200)........................................................ 385
13 Istruzioni STEP 7 Safety V18 .............................................................................................................. 386
13.1 Informazioni generali ....................................................................................................... 387
13.1.1 KOP ................................................................................................................................. 387
13.1.1.1 Nuovo segmento (STEP 7 Safety V18) .............................................................................. 387
13.1.1.2 Box vuoto (STEP 7 Safety V18) ......................................................................................... 387
13.1.1.3 Apertura della diramazione (STEP 7 Safety V18) ............................................................... 388
13.1.1.4 Chiusura della diramazione (STEP 7 Safety V18) ............................................................... 389
13.1.2 FUP ................................................................................................................................. 390
13.1.2.1 Nuovo segmento (STEP 7 Safety V18) .............................................................................. 390
13.1.2.2 Box vuoto (STEP 7 Safety V18) ......................................................................................... 390
13.1.2.3 Apertura della diramazione (STEP 7 Safety V18) ............................................................... 391
13.1.2.4 Inserimento di un ingresso binario (STEP 7 Safety V18)..................................................... 392
13.1.2.5 Inversione di RLO (STEP 7 Safety V18) .............................................................................. 392
13.2 Combinazioni logiche di bit .............................................................................................. 393
13.2.1 KOP ................................................................................................................................. 393
13.2.1.1 ---| |---: Contatto normalmente aperto (STEP 7 Safety V18)................................................ 393
13.2.1.2 ---| / |---: Contatto normalmente chiuso (STEP 7 Safety V18) .............................................. 394
13.2.1.3 --|NOT|--: Inversione di RLO (STEP 7 Safety V18) ............................................................... 395
13.2.1.4 ---( )---: Assegnazione (STEP 7 Safety V18) ........................................................................ 396
13.2.1.5 ---( R )---: Reset dell'uscita (STEP 7 Safety V18) .................................................................. 396
13.2.1.6 ---( S )---: Impostazione dell'uscita (STEP 7 Safety V18) ...................................................... 398
13.2.1.7 SR: Impostazione/reset flip-flop (STEP 7 Safety V18) ......................................................... 399
13.2.1.8 RS: Reset/impostazione flip-flop (STEP 7 Safety V18) ......................................................... 400
13.2.1.9 --|P|--: Interrogazione del fronte di salita del segnale di un operando (STEP 7 Safety
V18) ................................................................................................................................ 402
13.2.1.10 --|N|--: Interrogazione del fronte di discesa del segnale di un operando (STEP 7 Safety
V18) ................................................................................................................................ 403
13.2.1.11 P_TRIG: Interrogazione del fronte di salita del segnale del RLO (STEP 7 Safety V18) ........... 404
13.2.1.12 N_TRIG: Interrogazione del fronte di discesa del segnale del RLO (STEP 7 Safety V18) ........ 406
13.2.2 FUP ................................................................................................................................. 407
13.2.2.1 Combinazione logica AND (STEP 7 Safety V18) ................................................................. 407
13.2.2.2 Combinazione logica OR (STEP 7 Safety V18).................................................................... 408
13.2.2.3 X: Combinazione logica OR ESCLUSIVO (STEP 7 Safety V18) .............................................. 409

13.2.2.4 =: Assegnazione (STEP 7 Safety V18) ................................................................................ 411

13.2.2.5 R: Reset dell'uscita (STEP 7 Safety V18) ............................................................................. 412
13.2.2.6 S: Impostazione dell'uscita (STEP 7 Safety V18) ................................................................ 413
13.2.2.7 SR: Impostazione/reset flip-flop (STEP 7 Safety V18) ......................................................... 414
13.2.2.8 RS: Reset/impostazione flip-flop (STEP 7 Safety V18) ......................................................... 415
13.2.2.9 P: Interrogazione del fronte di salita del segnale di un operando (STEP 7 Safety V18) ........ 417
13.2.2.10 N: Interrogazione del fronte di discesa del segnale di un operando (STEP 7 Safety V18) .... 418
13.2.2.11 P_TRIG: Interrogazione del fronte di salita del segnale del RLO (STEP 7 Safety V18) ........... 419
13.2.2.12 N_TRIG: Interrogazione del fronte di discesa del segnale del RLO (STEP 7 Safety V18)........ 420
13.3 Funzioni di sicurezza ........................................................................................................ 422
13.3.1 ESTOP1: ARRESTO DI EMERGENZA/OFF di emergenza fino alla categoria di arresto 1
(STEP 7 Safety V18) ......................................................................................................... 422
13.3.2 TWO_HAND: Controllo a due mani (STEP 7 Safety Advanced V18) (S7-300, S7-400) .......... 427
13.3.3 TWO_H_EN: Controllo a due mani con abilitazione (STEP 7 Safety V18)............................. 430
13.3.4 MUTING: Muting (STEP 7 Safety Advanced V18) (S7-300, S7-400) .................................... 435
13.3.5 MUT_P: Muting parallelo (STEP 7 Safety V18) ................................................................... 447
13.3.6 EV1oo2DI: Valutazione 1oo2 (2v2) con analisi di discrepanza (STEP 7 Safety V18) ............ 459
13.3.7 FDBACK: Monitoraggio feedback (STEP 7 Safety V18) ....................................................... 467
13.3.8 SFDOOR: Sorveglianza del riparo di protezione (STEP 7 Safety V18) .................................. 473
13.3.9 ACK_GL: Conferma globale di tutte le periferie F di un gruppo di esecuzione F (STEP 7
Safety V18)...................................................................................................................... 479
13.4 Temporizzatori ................................................................................................................ 481
13.4.1 TP: Generazione dell'impulso (STEP 7 Safety V18) ............................................................. 481
13.4.2 TON: Generazione del ritardo all'inserzione (STEP 7 Safety V18)........................................ 486
13.4.3 TOF: Generazione del ritardo alla disinserzione (STEP 7 Safety V18) .................................. 491
13.5 Contatori ......................................................................................................................... 496
13.5.1 CTU: Conteggio in avanti (STEP 7 Safety V18) ................................................................... 496
13.5.2 CTD: Conteggio all'indietro (STEP 7 Safety V18) ................................................................ 498
13.5.3 CTUD: Conteggio in avanti e all'indietro (STEP 7 Safety V18) ............................................. 500
13.6 Operazioni di confronto ................................................................................................... 503
13.6.1 CMP ==: Uguale (STEP 7 Safety V18) ................................................................................ 503
13.6.2 CMP <>: Diverso (STEP 7 Safety V18) ................................................................................ 504
13.6.3 CMP >=: Maggiore o uguale (STEP 7 Safety V18) .............................................................. 506
13.6.4 CMP <=: Minore o uguale (STEP 7 Safety V18) .................................................................. 507
13.6.5 CMP >: Maggiore (STEP 7 Safety V18)............................................................................... 508
13.6.6 CMP <: Minore (STEP 7 Safety V18) .................................................................................. 509
13.7 Funzioni matematiche ..................................................................................................... 511
13.7.1 ADD: Somma (STEP 7 Safety V18) .................................................................................... 511
13.7.2 SUB: Sottrazione (STEP 7 Safety V18) ............................................................................... 514
13.7.3 MUL: Moltiplicazione (STEP 7 Safety V18)......................................................................... 517
13.7.4 DIV: Divisione (STEP 7 Safety V18).................................................................................... 519
13.7.5 NEG: Creazione del complemento a due (STEP 7 Safety V18) ............................................ 523
13.7.6 ABS: Generazione del valore assoluto (STEP 7 Safety V18) (S7-1200, S7-1500) ................. 526
13.8 Operazioni di trasferimento ............................................................................................. 527
13.8.1 MOVE: Copia del valore (STEP 7 Safety V18) ..................................................................... 527
13.8.2 RD_ARRAY_I: Lettura del valore dall'array F INT (STEP 7 Safety V18) (S7-1500) .................. 529
13.8.3 RD_ARRAY_DI: Lettura del valore dall'array F DINT (STEP 7 Safety V18) (S7-1500) ............. 531
13.8.4 WR_FDB: Scrittura indiretta del valore in un F-DB (STEP 7 Safety Advanced V18) (S7-
300, S7-400) ................................................................................................................... 534

13.8.5 RD_FDB: Lettura indiretta del valore da un F-DB (STEP 7 Safety Advanced V18) (S7-300,
S7-400) ........................................................................................................................... 536
13.9 Operazioni di conversione ................................................................................................ 538
13.9.1 CONVERT: Conversione del valore (STEP 7 Safety V18)...................................................... 538
13.9.2 BO_W: Conversione di 16 dati di tipo BOOL in un dato di tipo WORD (STEP 7 Safety
V18) ................................................................................................................................ 539
13.9.3 W_BO: Conversione del tipo di dati WORD in 16 dati di tipo BOOL (STEP 7 Safety V18) ...... 542
13.9.4 SCALE: Scala del valore (STEP 7 Safety V18) ...................................................................... 545
13.9.5 SCALE_D: Scala del valore nel tipo di dati DINT (STEP 7 Safety V18) (S7-1200, S7-1500) .... 547
13.10 Controllo del programma ................................................................................................. 550
13.10.1 JMP: Salto se RLO = 1 (STEP 7 Safety V18) ........................................................................ 550
13.10.2 JMPN: Salto se RLO = 0 (STEP 7 Safety V18) ...................................................................... 552
13.10.3 LABEL: Etichetta di salto (STEP 7 Safety V18) .................................................................... 554
13.10.4 RET: Salto all'indietro (STEP 7 Safety V18) ......................................................................... 555
13.10.5 OPN: Apertura del blocco dati globale (STEP 7 Safety Advanced V18) (S7-300, S7-400) ..... 557
13.11 Combinazioni logiche a parola ......................................................................................... 559
13.11.1 AND: Combinazione logica AND (STEP 7 Safety V18) ........................................................ 559
13.11.2 OR: Combinazione logica OR (STEP 7 Safety V18) ............................................................. 560
13.11.3 XOR: Combinazione logica OR ESCLUSIVO (STEP 7 Safety V18) ......................................... 561
13.12 Spostamento e rotazione ................................................................................................. 562
13.12.1 SHR: Spostamento verso destra (STEP 7 Safety V18) ......................................................... 562
13.12.2 SHL: Spostamento verso sinistra (STEP 7 Safety V18) ........................................................ 565
13.13 Utilizzo operativo ............................................................................................................. 567
13.13.1 ACK_OP: Conferma fail-safe (STEP 7 Safety V18)............................................................... 567
13.14 Ulteriori istruzioni ............................................................................................................ 576
13.14.1 KOP ................................................................................................................................. 576
13.14.1.1 ---| |--- OV: Interrogazione bit di stato OV (STEP 7 Safety Advanced V18) (S7-300, S7-
400) ................................................................................................................................ 576
13.14.1.2 ---| / |--- OV: Interrogazione se bit di stato OV è negato (STEP 7 Safety Advanced V18)
(S7-300, S7-400) ............................................................................................................. 577
13.14.2 FUP ................................................................................................................................. 578
13.14.2.1 OV: Interrogazione bit di stato OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)........... 578
13.15 Comunicazione ................................................................................................................ 579
13.15.1 PROFIBUS/PROFINET ......................................................................................................... 579
13.15.1.1 SENDDP e RCVDP: Invio e ricezione di dati tramite PROFIBUS DP/PROFINET IO (STEP 7
Safety V18) ...................................................................................................................... 579
13.15.2 Comunicazione S7 ........................................................................................................... 588
13.15.2.1 SENDS7 e RCVS7: Comunicazione tramite collegamenti S7 (STEP 7 Safety Advanced
V18) (S7-300, S7-400) ..................................................................................................... 588
A Tempi di controllo e di reazione ........................................................................................................ 596
A.1 Progettazione dei tempi di controllo ................................................................................. 597
A.1.1 Tempo di controllo minimo del tempo di ciclo del gruppo di esecuzione F......................... 599
A.1.2 Tempo di controllo minimo della comunicazione di sicurezza tra F-CPU e periferia F.......... 599
A.1.3 Tempo di controllo minimo della comunicazione di sicurezza CPU-CPU ............................. 601
A.1.4 Tempo di controllo della comunicazione di sicurezza tra gruppi di esecuzione F ................ 601
A.2 Tempi di reazione delle funzioni di sicurezza .................................................................... 602
B Lista di controllo ................................................................................................................................ 605

Glossario ............................................................................................................................................ 611

Indice analitico .................................................................................................................................. 626

Presentazione del prodotto 1
1.1 Panoramica
Sistema fail-safe SIMATIC Safety

Per l'implementazione di concetti di sicurezza per la protezione delle macchine e delle
persone (ad es. dispositivi di arresto di emergenza durante il funzionamento delle macchine
di lavorazione) e nell'industria di processo (ad es. per l'esecuzione di funzioni di protezione
per i dispositivi MSR e i bruciatori) è disponibile il sistema fail-safe SIMATIC Safety.
AVVERTENZA
Il sistema F SIMATIC Safety serve al comando di processi che mediante disinserzione

passano immediatamente in uno stato di sicurezza. Questo vale soprattutto per i sistemi
ridondanti S7-1500HF.
SIMATIC Safety può essere utilizzato solo per il comando di processi la cui disinserzione
immediata non comporti rischi né per le persone né per l'ambiente.
Durante la realizzazione di applicazioni di sicurezza, inclusa la creazione di dati di progetto
rilevanti per la sicurezza, devono essere osservate le norme e le direttive rilevanti per la
rispettiva applicazione. In particolare, è necessario attenersi alle norme che descrivono il
processo di creazione del software (ad es. IEC 61508-3 o ISO 13849-1). (S062)
Requisiti di sicurezza raggiungibili

I sistemi F SIMATIC Safety possono soddisfare i seguenti requisiti di sicurezza:
• Classe di sicurezza (Safety Integrity Level) SIL3 secondo IEC 61508:2010
• Performance Level (PL) e categoria 4 secondo ISO 13849-1:2015 o EN ISO 13849-1:2015

Presentazione del prodotto
1.1 Panoramica
Sicurezza funzionale in SIMATIC Safety

La sicurezza funzionale viene realizzata principalmente nel software. Il sistema F SIMATIC
Safety porta l'impianto in uno stato di sicurezza in caso di evento pericoloso e lo mantiene in
tale stato. I meccanismi di sicurezza sono contenuti principalmente nei seguenti componenti:
• nel programma utente di sicurezza (programma di sicurezza) nella CPU con funzionalità F
(F-CPU)
• negli ingressi e uscite fail-safe (periferia F).
La periferia F garantisce l'elaborazione sicura delle informazioni del campo (sensori: ad es.
pulsanti di arresto di emergenza, barriere fotoelettriche; attuatori: ad es. comando motore).
Dispone di tutti i componenti hardware e software necessari per assicurare un'elaborazione
sicura in base alla classe di sicurezza richiesta. L'utente programma solo la funzione di
sicurezza utente. La sicurezza funzionale del processo può essere fornita da una funzione di
sicurezza utente o da una funzione di reazione all'errore. Il sistema F verifica ciclicamente
l'integrità del programma di sicurezza e dei dati rilevanti per la sicurezza. Questa verifica
viene generalmente eseguita ogni volta che i dati di sicurezza lasciano un gruppo di
esecuzione F attraverso la comunicazione di sicurezza o l'accesso alla periferia F. Se la verifica
rileva un errore, il sistema F esegue la funzione di reazione all'errore che disattiva le uscite
associate e, se necessario, porta in STOP la F-CPU.
Nota
Se la F-CPU va in STOP a causa della funzione di reazione all'errore, ciò comporta lo STOP
della CPU principale e della CPU di backup in un sistema S7-1500HF ridondante.
Esempio per la funzione di sicurezza utente e la funzione di reazione all'errore

Il sistema F deve aprire un valvola in caso di sovrapressione (funzione di sicurezza utente). In
caso di errore pericoloso nella F-CPU, tutte le uscite vengono disattivate (funzione di reazione
all'errore), con conseguente apertura della valvola e commutazione degli altri attuatori nello
stato di sicurezza. Con un sistema F intatto, verrebbe aperta solo la valvola.

1.2 Componenti hardware e software
Componenti hardware e software di SIMATIC Safety

Il seguente schema di principio mostra una panoramica dei componenti hardware e software,
necessari per la configurazione e il funzionamento di un sistema F SIMATIC Safety.
Componenti hardware per PROFIBUS DP

Nei sistemi F SIMATIC Safety su PROFIBUS DP è possibile impiegare i seguenti componenti fail-
safe:
• F-CPU con interfaccia DP, ad es. CPU 1516F-3 PN/DP
• SIMATIC Drive Controller, ad es. CPU 1504D TF
• Ingressi/uscite fail-safe (periferia F), ad es.:
– unità di ingressi/uscite fail-safe S7-300 in ET 200M
– moduli fail-safe S7-1500/ET 200MP
– moduli fail-safe ET 200SP
– moduli fail-safe ET 200S
– moduli fail-safe ET 200pro
– moduli fail-safe ET 200iSP
– moduli di periferia fail-safe ET 200eco (S7-300, S7-400)
– slave DP standard fail-safe (griglia ottica, Laser Scanner ecc.)
È possibile ampliare la configurazione con periferia standard.

In un sistema F SIMATIC Safety su PROFIBUS DP possono essere impiegati i seguenti CP/CM

per il collegamento della periferia F decentrata:
• CP 443-5 Extended
• CM 1243-5
• CM 1542-5
• CP 1542-5
• SP CM DP
Componenti hardware per PROFINET IO

Nei sistemi F SIMATIC Safety su PROFINET IO è possibile impiegare i seguenti componenti
fail-safe:
• F-CPU con interfaccia PN, ad es. CPU 1214FC DC/DC/DC
• SIMATIC Drive Controller, ad es. CPU 1504D TF
• Ingressi/uscite fail-safe (periferia F), ad es.:
– unità di ingressi/uscite fail-safe S7-300 in ET 200M
– moduli fail-safe S7-1500/ET 200MP
– moduli fail-safe ET 200SP
– moduli fail-safe ET 200S
– moduli fail-safe ET 200pro
– moduli di periferia fail-safe ET 200eco PN
– moduli di periferia fail-safe ET 200AL
– device IO standard fail-safe (griglia ottica, Laser Scanner ecc.)
In un sistema F SIMATIC Safety su PROFINET IO possono essere impiegati i seguenti CP/CM per
il collegamento della periferia F decentrata:
• CP 443-1
• CP 443-1 Advanced-IT
• CM 1542-1
Componenti hardware per la configurazione centrale

Nei sistemi F SIMATIC Safety è possibile impiegare in modo centrale su una F-CPU (non
HF-CPU) i seguenti componenti fail-safe:
• Unità di ingressi/uscite fail-safe S7-300
• moduli fail-safe per S7-1200
• moduli fail-safe S7-1500
• moduli fail-safe ET 200pro (impiegabili anche con CPU 1516proF-2)

STEP 7 Safety
La presente documentazione descrive STEP 7 Safety Advanced V18 e STEP 7 Safety Basic V18.
STEP 7 Safety è il software di progettazione e di programmazione per il sistema F SIMATIC
Safety. STEP 7 Safety fornisce:
• il supporto per la progettazione della periferia F nell'editor hardware e di rete del TIA
Portal
• il supporto per la creazione del programma di sicurezza in KOP e FUP e per l'integrazione
delle funzioni di rilevamento degli errori nel programma di sicurezza
• Istruzioni per la programmazione del programma di sicurezza in KOP e FUP, note dal
programma utente standard
• Istruzioni per la programmazione del programma di sicurezza in KOP e FUP con funzioni di
sicurezza specifiche.
Inoltre STEP 7 Safety offre funzioni per il confronto di programmi di sicurezza e per
supportare durante il collaudo dell'impianto.
AVVERTENZA
La progettazione della F-CPU e della periferia F e la programmazione dei blocchi F devono

essere eseguite in TIA Portal come descritto nella presente documentazione. Si devono
osservare tutti gli aspetti descritti nel capitolo Collaudo dell'impianto (Pagina 355) per
garantire un funzionamento sicuro con il sistema SIMATIC SAFETY. Non sono ammesse altre
procedure. (S056)
Pacchetti opzionali
Oltre a STEP 7 Safety è possibile impiegare i pacchetti opzionali con la periferia F e le F-CPU e
le istruzioni per la programmazione del programma di sicurezza con funzioni di sicurezza
speciali all'interno del sistema F SIMATIC Safety. Ad esempio SINUMERIK o Failsafe HMI
Mobile Panel.
L'installazione, la parametrizzazione e la programmazione e ciò che deve essere osservato
durante il collaudo del sistema sono descritti nella documentazione dei rispettivi pacchetti
opzionali.
Osservare anche le note riportate in "Configurazioni supportate dal sistema F SIMATIC Safety
(Pagina 62)".
TIA Portal Cloud Connector
AVVERTENZA
L'utilizzo del TIA Portal Cloud Connector è previsto per gli interventi di engineering con TIA
Portal. Gli accessi online nel funzionamento produttivo (ad es. SCADA) non sono pertanto
consentiti. Questo vale in particolare anche per i programmi di sicurezza. (S068)

Openness
Openness (https://support.industry.siemens.com/cs/ww/it/view/109798533) nell'ambito di
STEP 7 Safety è supportato dalle funzioni elencate di seguito. L'impiego di Openness nel
funzionamento produttivo non è consentito.
Nell'ambito di STEP 7 Safety è supportato quanto segue:
• inserimento/eliminazione di F-CPU e periferia F
• copia/eliminazione di F-CPU e periferia F da copie master
• compilazione hardware
• compilazione software (incl. programma di sicurezza)
• gestione della protezione dell'accesso ai dati di progetto rilevanti per la sicurezza (nei
progetti TIA non protetti dalla "protezione di progetto")
• lettura/progettazione di parametri fail-safe della F-CPU
• lettura/progettazione di parametri fail-safe periferie F
• lettura/progettazione di parametri individuali di moduli fail-safe ET 200SP
• lettura, dichiarazione o eliminazione di variabili fail-safe nella tabella delle variabili PLC
• aggiornamento del progetto alle ultime versioni di blocchi F
• caricamento coerente delle stazioni
• esportazione e importazione di blocchi F e tipi di dati PLC conformi a F (UDT)
• confronto di hardware e software
• supporto di Version Control Interface (VCI)
• lettura del PLC Online Fingerprint per il programma di sicurezza
Quanto segue non è supportato:
• caricamento nel dispositivo
AVVERTENZA
Se si utilizzano Openness o altri tool per TIA Portal in combinazione con dati di progetto
rilevanti per la sicurezza, si deve garantire l'integrità dei dati (ad es. nell'ambito del
salvataggio o del trasferimento tramite applicazioni per la "Gestione del codice sorgente"). In
caso di collegamento di tool esterni devono essere soddisfatti i requisiti per i tool di
supporto offline (tool software offline) secondo IEC61508-3. STEP 7 Safety non consente di
determinare né offline né online se è stata violata l'integrità dei dati di progetto rilevanti per
la sicurezza. Al termine del processo eseguire un controllo della correttezza dei dati di
progetto rilevanti per la sicurezza come descritto nel capitolo Collaudo dell'impianto
(Pagina 355). (S070)
I programmi Openness possono essere integrati in TIA Portal anche come Add-In. È inoltre
possibile integrare i cosiddetti workflow Add-In, che vengono richiamati automaticamente
prima della compilazione del programma di sicurezza. Per maggiori informazioni vedere
"Ampliamento del workflow" nella Guida standard.
Se un workflow Add-In viene integrato, questo viene visualizzato a scopo di documentazione
nella stampa di sicurezza.

Openness Service
L'interfaccia Openness (Siemens.Engineering.dll) è stata ampliata con i seguenti servizi:
• GlobalSettings (vedere il campo del nome Siemens.Engineering.Safety) che mette
a disposizione le seguenti azioni:
– SafetyModificationsPossible(bool safetyModificationsPossible)
– UsernameForFChangeHistory(string userName)
– bool SafetyModificationsPossible()
– string UsernameForFChangeHistory()
• SafetySignatureProvider che mette a disposizione le seguenti azioni e proprietà:
– SafetySignatureComposition Signatures
– UInt64 SafetySignature.Value
– SafetySignatureType SafetySignature.Type
• SafetyAdministration con le seguenti azioni e proprietà nel campo del nome
Siemens.Engineering.Safety.
– bool IsSafetyOfflineProgramPasswordSet
– void SetSafetyOfflineProgramPassword(SecureString newPassword)
– void RevokeSafetyOfflineProgramPassword(SecureString
currentPassword)
– bool IsLoggedOnToSafetyOfflineProgram
– void LoginToSafetyOfflineProgram(SecureString currentPassword)
– void LogoffFromSafetyOfflineProgram()
• SafetyAdministration, a cui è possibile accedere dal Plc DeviceItem.
Il servizio SafetyAdministration offre le seguenti proprietà nel campo del nome
Siemens.Engineering.Safety. Queste due proprietà contengono altre proprietà elencate
nella descrizione.
– RuntimegroupComposition RuntimeGroups { get; }
– SafetySettings Settings { get; }
• SafetyPrintout con la seguente azione nel campo del nome
Siemens.Engineering.Safety:
– bool Print(SafetyPrintoutFilePrinter filePrinter, FileInfo
fullOutputPath, SafetyPrintoutOption documentationOption,
string documentLayout);
Per ulteriori informazioni consultare il Manuale di sistema "SIMATIC TIA Portal Openness:
automazione del progetto (https://support.industry.siemens.com/cs/ww/it/view/109798533)"
nel capitolo "Openness specifico per F".

Ambienti virtuali
AVVERTENZA
Impiego di ambienti virtuali nel sistema di engineering
Osservare che un hypervisor o il software client di un hypervisor non possono eseguire
funzioni per la riproduzione delle sequenze di telegrammi registrate con risposta temporale
corretta in una rete con F-CPU e periferie F reali.
Assicurarsi che questa condizione venga rispettata ad esempio durante l'utilizzo delle
seguenti funzioni:
• Reset di stati acquisiti (snapshot) delle macchine virtuali (VM)
• Arresto e riattivazione delle VM (Suspend & Resume)
• Riproduzione dei processi registrati (Replay) nelle VM
• Spostamento della VM nel funzionamento produttivo tra gli host (ad es. Fault Tolerance
(FT))
• Gemelli digitali delle VM nell'ambiente virtuale
In caso di dubbio disattivare queste funzioni nelle impostazioni (console di amministrazione
di hypervisor). (S067)
Installazioni del sistema di funzionamento in S7-150xS(P) F o WinAC RTX F
AVVERTENZA
Se si utilizza un PC sul quale sono installate più versioni di sistema operativo Windows o
Linux (ad es. tramite il Boot Manager), sul PC interessato possono essere installati solo una
S7-150xS(P) F o un WinAC RTX F. (S095)
Programma di sicurezza
Il programma di sicurezza viene creato nell'editor dei programmi. Gli FB e FC fail-safe
vengono programmati nel linguaggio di programmazione FUP o KOP con le istruzioni di
STEP 7 Safety e vengono creati dei DB fail-safe.
Durante la compilazione del programma di sicurezza vengono eseguiti automaticamente i
controlli di sicurezza e integrati blocchi fail-safe aggiuntivi per il riconoscimento e la reazione
agli errori. In questo modo si assicura che i guasti e gli errori vengano riconosciuti e che si
attivino le reazioni corrispondenti che mantengono o portano il sistema F in uno stato sicuro.
Nella F-CPU oltre al programma di sicurezza può essere eseguito anche un programma utente
standard. La coesistenza tra programma standard e programma di sicurezza in una F-CPU è
possibile perché viene rilevata l'influenza indesiderata dei dati relativi alla sicurezza del
programma di sicurezza da parte del programma utente standard.
Uno scambio di dati tra il programma di sicurezza e il programma utente standard nella F-CPU
è possibile tramite merker, dati di un DB standard e accesso al sinottico degli ingressi e delle
uscite.

1.3 Installazione/disinstallazione della licenza di STEP 7 Safety Basic V18
Se si utilizzano le Software Unit o le Safety Unit (Pagina 109), osservare le eventuali

limitazioni/particolarità.
Vedere anche
Trasferimento dei dati dal programma di sicurezza al programma utente standard
(Pagina 188)
1.3 Installazione/disinstallazione della licenza di STEP 7 Safety Basic

V18
Dopo l'installazione della licenza di STEP 7 Safety Basic V18 l'utente può disporre del
repertorio di funzioni di STEP 7 Safety Basic V18.
Requisiti software di STEP 7 Safety Basic V18

Sul PG/PC deve essere installato almeno il seguente pacchetto software:
• SIMATIC STEP 7 Basic V18
Installazione della licenza di STEP 7 Safety Basic V18

1. Avviare Automation License Manager sul PG/PC in cui è installato il pacchetto software
"SIMATIC STEP 7 Basic V18" o "SIMATIC STEP 7 Advanced V18".
2. Installare la licenza di STEP 7 Safety Basic V18 come indicato nella Guida di Automation
License Manager.
Disinstallazione della licenza di STEP 7 Safety Basic V18

Per disinstallare la licenza di STEP 7 Safety Basic V18 procedere come indicato nella Guida di
Automation License Manager.
1.4 Installazione/disinstallazione della licenza di STEP 7 Safety

Advanced V18
Dopo l'installazione della licenza di STEP 7 Safety Advanced V18 l'utente può disporre del
repertorio di funzioni di STEP 7 Safety Basic V18.
Requisiti software di STEP 7 Safety Advanced V18

• SIMATIC STEP 7 Professional V18

1.5 Installazione/disinstallazione del STEP 7 Safety Powerpack
Installazione della licenza di STEP 7 Safety Advanced V18

"SIMATIC STEP 7 Professional V18".
2. Installare la licenza di STEP 7 Safety Advanced V18 come indicato nella Guida di Automation
License Manager.
Disinstallazione della licenza di STEP 7 Safety Advanced V18

Per disinstallare la licenza di STEP 7 Safety Advanced V18 procedere come indicato nella
Guida di Automation License Manager.
1.5 Installazione/disinstallazione del STEP 7 Safety Powerpack

Dopo l'installazione del STEP 7 Safety Powerpack l'utente può disporre del repertorio di
funzioni di STEP 7 Safety Advanced V18.
Requisiti software per STEP 7 Safety Powerpack

• SIMATIC STEP 7 Professional V18
Installazione di STEP 7 Safety Powerpack

"SIMATIC STEP 7 Professional V18".
2. Installare la licenza contenuta nel STEP 7 Safety Powerpack come descritto nella Guida
all'Automation License Manager.
Disinstallazione di STEP 7 Safety Powerpack

Per disinstallare la licenza contenuta nel STEP 7 Safety Powerpack, procedere come descritto
nella Guida all'Automation License Manager.
1.6 Migrazione di progetti da S7 Distributed Safety V5.4 SP5 a STEP 7

Safety Advanced
Introduzione
In STEP 7 Safety Advanced è possibile continuare a utilizzare progetti con programmi di
sicurezza creati con S7 Distributed Safety V5.4 SP5.

1.6 Migrazione di progetti da S7 Distributed Safety V5.4 SP5 a STEP 7 Safety Advanced
Requisiti
È necessario installare STEP 7 Safety Advanced, S7 Distributed Safety V5.4 SP5 e il F-
Configuration-Pack sul computer con cui si esegue la migrazione. È supportato F-
Configuration-Pack V5.4 SP5 fino a V5.5 SP13.
Per questo è necessario aver compilato i progetto in S7 Distributed Safety V5.4 SP5 e con
il F-Configuration-Pack.
Prima della migrazione

Prima della migrazione, eliminare tutti i blocchi F non utilizzati dal programma di sicurezza
nel progetto S7 Distributed Safety V5.4 SP5.
Procedura come in STEP 7 Professional

Per migrare i progetti da S7 Distributed Safety V5.4 SP5 a STEP 7 Safety Advanced, procedere
come per i progetti standard. Dopo la migrazione, utilizzare la firma collettiva F per verificare
se il progetto è stato migrato senza modifiche.
Nota
Se nel programma di sicurezza da migrare si utilizzano blocchi F con protezione del know-
how, rimuovere la protezione del know-how prima della migrazione.
Dopo la migrazione, è possibile fornire nuovamente ai blocchi F la protezione del know-how.
Il procedimento per la migrazione è descritto nella Guida a STEP 7 Professional, in

"Migrazione". Di seguito sono riportate solo le particolarità per STEP 7 Safety Advanced .
Nota
Si raccomanda di attivare l'opzione "Include hardware configuration" nella finestra "Migrating
project".
Versioni hardware precedenti

Le versioni precedenti di hardware F non sono event. supportate da STEP 7 Safety Advanced.
Se nei progetti S7 Distributed Safety sono state utilizzate e progettate versioni di F-CPU e
periferia F non approvate per STEP 7 Safety Advanced, è necessario aggiornare questo
hardware alla nuova versione in S7 Distributed Safety V5.4 SP5 e al F-Configuration-Pack
adatto. Successivamente è possibile la migrazione in STEP 7 Safety Advanced . Le
informazioni sul prodotto e l'elenco dell'hardware approvato sono disponibili in Internet
(https://support.industry.siemens.com/cs/ww/en/view/54110120).

Particolarità per la comunicazione di sicurezza CPU-CPU tramite collegamenti S7

Le particolarità di progetti migrati con comunicazione di sicurezza CPU-CPU tramite
collegamenti S7 sono descritte in Comunicazione di sicurezza tramite collegamenti S7
(Pagina 235). Osservare anche Comunicazione con S7 Distributed Safety tramite collegamenti
S7 (Pagina 244).
Particolarità per le istruzioni ESTOP1 o FDBACK

Le informazioni sulle particolarità per l'impiego delle istruzioni ESTOP1 o FDBACK si trovano
nella sezione "Versioni delle istruzioni" in ESTOP1: ARRESTO DI EMERGENZA/OFF di
emergenza fino alla categoria di arresto 1 (STEP 7 Safety V18) (Pagina 422) e FDBACK:
Monitoraggio feedback (STEP 7 Safety V18) (Pagina 467).
Dopo la migrazione
Dopo la migrazione, si ottiene un progetto completo con un programma di sicurezza che ha
mantenuto la struttura del programma S7 Distributed Safety e la firma collettiva F . I blocchi F
della biblioteca F S7 Distributed Safety (V1) vengono convertiti in istruzioni fornite da STEP 7
Safety Advanced.
Il progetto migrato non deve essere rimosso di nuovo e può essere caricato senza modifiche
nella F-CPU, purché non sia stato modificato o compilato dopo la migrazione.
Nota
Stampa di sicurezza
Non è possibile creare una stampa di sicurezza per un progetto migrato in STEP 7 Safety
Advanced. La stampa del progetto creato con S7 Distributed Safety V5.4 SP5 e i relativi
documenti di collaudo sono ancora validi perché è stata mantenuta la firma collettiva F.
Compilazione della configurazione hardware migrata

Se dopo la migrazione e la successiva compilazione della configurazione hardware viene
visualizzato un messaggio di errore che indica che l'indirizzo di origine F non corrisponde al
parametro "Central F-source address" della F-CPU, modificare il parametro "Central F-source
address".
Gli indirizzi di origine F di tutte le periferie F assegnate alla F-CPU vengono riassegnati.
Se, dopo la migrazione di un SM 326; DI 24 x DC 24V (6ES7 326-1BK01-0AB0 e 6ES7 326-
1BK02-0AB0) e la successiva compilazione della configurazione hardware, viene visualizzato il
messaggio di errore "F_IParam_ID_1: Value outside the permissible range", eliminare l'F-SM e
reinserirlo.
In entrambi i casi è successivamente necessaria una compilazione del programma di
sicurezza.

Compilazione del programma di sicurezza migrato

Compilando il progetto migrato con STEP 7 Safety Advanced , la struttura del programma
precedente (con F-CALL) viene trasferita nella nuova struttura del programma di STEP 7
Safety Advanced (con blocco Main Safety). Ciò modifica la firma collettiva F e il programma di
sicurezza deve essere convalidato e, se necessario, collaudato di nuovo.
(S7-300, S7-400) È necessario richiamare il blocco Main Safety secondo la F-CALL da qualsiasi
blocco del programma utente standard. Si raccomanda un richiamo da un OB 3x.
Nota
Alla prima compilazione del programma di sicurezza migrato, il richiamo della F-CALL viene
sostituito automaticamente con il richiamo del blocco Main Safety, se il blocco che eseguire il
richiamo della F-CALL è stato creato con il linguaggio di programmazione KOP, FUP o AWL.
Nota
Modifica della versione del sistema Safety
Prima della prima compilazione con STEP 7 Safety Advanced è necessario modificare la
versione del sistema Safety ad una versione diversa da 1.0 nel Safety Administration Editor
nel campo "Settings". Si raccomanda di utilizzare l'ultima versione disponibile.
Nota
Utilizzo della versione più recente delle istruzioni
Se si vuole estendere il programma di sicurezza migrato, si raccomanda di aggiornare la
versione delle istruzioni utilizzate con l'ultima versione disponibile prima della prima
compilazione con STEP 7 Safety Advanced. Osservare le avvertenze sulle versione della
rispettiva istruzione:
Nota
Osservare che la compilazione del programma di sicurezza migrato comporta un'estensione
del tempo di esecuzione del/dei gruppi di esecuzione F e un aumento della memoria di lavoro
richiesta dal programma di sicurezza (vedere anche File Excel per il calcolo dei tempi di
reazione (https://support.industry.siemens.com/cs/ww/it/view/109783831)).
Vedere anche
Esempio applicativo "Migrazione di un programma di sicurezza in TIA Portal"
(https://support.industry.siemens.com/cs/ww/it/view/109475826)

1.7 Migrazione dei programmi PLC in una F-CPU S7-1500
1.7 Migrazione dei programmi PLC in una F-CPU S7-1500

Per effettuare la migrazione da una F-CPU S7-300/400 ad una F-CPU S7-1500, procedere
come per la migrazione da una CPU S7-300/400 standard ad una CPU S7-1500 standard.
Dopo la migrazione osservare quanto segue:
• Azioni non automatizzabili
– Creazione di un gruppo di esecuzione F e assegnazione del blocco Main Safety.
– La configurazione hardware, inclusa la periferia della F-CPU di partenza, non viene
trasmessa automaticamente a una F-CPU della serie S7-1500. La configurazione
hardware della nuova CPU va definita manualmente dopo la migrazione.
Vedere, all'interno del capitolo "Progettazione della F-CPU (Pagina 45)", le sezioni
"Definizione dell'area indirizzi di destinazione F per la periferia F del tipo di indirizzo
PROFIsafe 1" e "Definizione dell'area indirizzi di destinazione F per la periferia F del tipo
di indirizzo PROFIsafe 2". In caso contrario gli indirizzi di destinazione F potrebbero
essere riassegnati all'interno della configurazione.
– In caso di utilizzo di una periferia F con versione PROFIsafe Protocol = Expanded
Protocol (XP) (ad es. moduli F S7-1500/ET 200MP), tenere presente che l'area indirizzi
delle F-CPU S7-1200/1500 richiede un byte in più rispetto a quella delle F-CPU
S7-300/400.
– Sostituzione dell'istruzione OV con l'attivazione dell'uscita ENO nelle funzioni
matematiche (Pagina 511).
– Sostituzione dell'istruzione RD_FDB con le istruzioni RD_ARRAY_I (Pagina 529) e
RD_ARRAY_DI (Pagina 531).
– Sostituzione della comunicazione del gruppo di esecuzione F con la comunicazione
tramite Flexible F-Link (Pagina 141).
• Istruzioni non supportate:
– MUTING
– TWO_HAND
– WR_FDB
– OPN
– SENDS7
– RCVS7
• Tipi di dati non supportati
– DWORD

1.8 Aggiornamento dei progetti a STEP 7 Safety V18
• Programmazione modificata del programma di sicurezza

– Sostituzione di F_GLOBDB.RLO0/1 con FALSE/TRUE (Pagina 112).
– Sostituzione dei valori leggibili di F_GLOBDB con il DB informativo del gruppo di
esecuzione F. Per ulteriori informazioni consultare DB globale F (S7-300, S7-400)
(Pagina 149) e DB informativo del gruppo di esecuzione F (S7-1200, S7-1500)
(Pagina 149).
– Sostituzione della variabile QBAD_I_xx o QBAD_O_xx con lo stato del valore. Per
ulteriori informazioni consultare Stato del valore (S7-1200, S7-1500) (Pagina 154) e DB
di periferia F (Pagina 159).
• Nuova convenzione dei nomi per l'assegnazione del nome ai DB della periferia F
• Comportamento modificato delle variabili QBAD e PASS_OUT (Pagina 165) nella periferia F
con profilo "RIOforFA-Safety".
Compilare il programma di sicurezza e risolvere gli errori di compilazione eventualmente
visualizzati.
Nota
Dopo la migrazione della F-CPU è necessario un nuovo collaudo.
Vedere anche
Programmazione (Pagina 104)
1.8.1 Aggiornamento dei progetti di STEP 7 Safety da V14 SP1 a V18

Se si vuole continuare a lavorare ad un progetto di STEP 7 Safety con versione V14 SP1 o
superiore, lo si deve aggiornare a STEP 7 Safety V18.
Eseguire l'aggiornamento in STEP 7 come di consueto. Dopo l'aggiornamento alla versione
V18 è necessario compilare il programma di sicurezza.
Se un progetto con versione <= V17 è stato aggiornato alla V18 e compilato, la firma
collettiva F rimane la stessa, ma nel confronto delle versioni tra il programma online e offline
viene rilevata una modifica. In tal caso procedere come indicato nel capitolo "Identità del
programma online e offline (Pagina 369)".
Osservare che le cronologie delle modifiche esistenti non vengono aggiornate. Con
l'aggiornamento vengono cancellate tutte le voci preesistenti. Se necessario, stampare il
protocollo delle modifiche prima di eseguire l'aggiornamento.

1.8.2 Aggiornamento di STEP 7 Safety V13 SP1/SP2 a V18

Se si desidera continuare a lavorare ad un progetto di STEP 7 Safety V13 SP1, lo si deve
aggiornare a STEP 7 Safety V18.
Eseguire l'aggiornamento in STEP 7 come di consueto. Dopo l'aggiornamento alla versione
V18 è necessario compilare il programma di sicurezza.
(S7-300/400): Dopo la compilazione, il programma di sicurezza è coerente e la firma
collettiva F del programma di sicurezza aggiornato corrisponde alla firma collettiva F del
programma di sicurezza della versione V13 SP1. Un collaudo delle modifiche non è
necessario.
(S7-1200/1500): Dopo la compilazione, il programma di sicurezza è coerente e la firma
collettiva F del programma di sicurezza aggiornato viene modificata in base al sistema. La
nuova firma collettiva F del programma di sicurezza aggiornato a STEP 7 Safety V18
sostituisce la firma collettiva F precedente del programma di sicurezza creato con STEP 7
Safety V13 SP1.
Una panoramica di tutte le modifiche dipendenti dal sistema è contenuta in "Common
data/Protocols/FConvert Log+nome CPU+data e ora". Inoltre, a seconda del sistema in STEP 7
Safety V18, le versioni non più supportate delle istruzioni vengono sostituite
automaticamente con nuove versioni identiche dal punto di vista funzionale. La panoramica
mette a confronto le firme precedenti di STEP 7 Safety V13 SP1 con le nuove firme di STEP 7
Safety V18 e mostra le versioni delle istruzioni modificate automaticamente. Stampare la
panoramica e allegare la stampa ai documenti di collaudo o alla documentazione della
macchina. Un collaudo delle modifiche non è necessario, poiché la "firma collettiva F creata
con STEP 7 Safety V13 SP1" contenuta nella panoramica coincide con la firma collettiva F
riportata nei documenti di collaudo esistenti.
Osservare che le cronologie delle modifiche esistenti non vengono aggiornate. Con
l'aggiornamento vengono cancellate tutte le voci preesistenti. Se necessario, stampare il
protocollo delle modifiche prima di eseguire l'aggiornamento.
Particolarità relative alla conferma utente e alla reintegrazione della periferia F dopo errori di
periferia F/errori di canale e PASS_ON = 1 (S7-1200, S7-1500)
Quanto segue si applica alle seguenti periferie F:
• unità di ingressi/uscite fail-safe S7-300
• moduli fail-safe ET 200pro
• moduli fail-safe ET 200iSP
Durante la progettazione "Behavior after channel fault" = "Passivate channel" con la variabile
ACK_NEC (DB della periferia F) = 1 tenere in considerazione in comportamento modificato
durante la conferma utente e la reintegrazione. Il comportamento è stato adeguato a quello
della progettazione "Behavior after channel fault" = "Passivate the entire module":
A partire da STEP 7 Safety V14 la conferma da parte dell'utente di un errore di periferia F /
errore di canale risolto è possibile anche quando la variabile PASS_ON (DB della periferia F) è
= 1. Una reintegrazione (messa a disposizione dei valori di processo) ha luogo non appena la
variabile PASS_ON è = 0.

Fino a STEP 7 Safety V13 SP1 la conferma utente di un errore di periferia F / errore di canale
risolto non era possibile finché la variabile PASS_ON (DB della periferia F) era = 1. In questa
versione la conferma utente era consentita solo quando la variabile PASS_ON era = 0. La
reintegrazione (messa a disposizione dei valori di processo) avveniva subito dopo la conferma
utente.
Particolarità dell'impiego dei profili di istruzioni

Se si utilizza un profilo di istruzioni nel progetto creato con STEP 7 Safety V13 SP1, cancellare
il profilo di istruzioni prima dell'aggiornamento a STEP 7 Safety V18. Annotare le impostazioni
prima di procedere alla cancellazione. Dopo l'aggiornamento creare, se necessario, un nuovo
profilo di istruzioni ed inserirvi eventualmente le impostazioni annotate. Osservare che
alcune versioni delle istruzioni non sono più supportate in STEP 7 Safety V18. Ulteriori
informazioni sulle versioni delle istruzioni supportate sono contenute nelle descrizioni delle
singole istruzioni.
1.8.3 Aggiornamento di progetti di STEP 7 Safety precedenti a V13 SP1

Per aggiornare un progetto precedente a STEP 7 Safety V13 SP1 a STEP 7 Safety V18, occorre
prima aggiornare il progetto mediante un passo intermedio alla STEP 7 Safety V13 SP1, come
nel programma standard.
Dopo l'aggiornamento a STEP 7 Safety V13 SP1 la firma del programma di sicurezza non
cambia. Pertanto un collaudo delle modifiche non è necessario.
Eseguire l'aggiornamento con la procedura usuale per STEP 7 Professional.

In caso di aggiornamento di un progetto creato con STEP 7 Safety Advanced V11, prestare
attenzione all'avvertenza seguente:
Nota
Prima di utilizzare un progetto aggiornato da STEP 7 Safety Advanced V11 sono necessari
alcuni adattamenti:
In STEP 7 Safety Advanced V11 era presente un'avvertenza sul prodotto relativa
all'impostazione dei parametri "Discrepancy behavior" e "Reintegration after discrepancy
error" per le unità di ingressi/uscite digitali fail-safe 4F-DI/3F-DO DC24V/2A
(6ES7138-4FC01-0AB0, 6ES7138-4FC00-0AB0). In alcune combinazioni questi parametri
venivano visualizzati in modo errato.
A causa delle istruzioni operative contenute nell'avvertenza sul prodotto, l'impostazione dei
parametri interessati mediante un'apposita tabella di conversione provocava una
visualizzazione errata nella stampa di sicurezza e nella configurazione hardware, ma
consentiva un'azione corretta sull'unità F. Inoltre sono state apportate delle correzioni alla
stampa di sicurezza al fine di documentare il comportamento effettivo delle unità F.
Per annullare queste operazioni procedere nel modo seguente:
1. Compilare il progetto aggiornato con STEP 7 Safety Advanced V13 SP1. Per ogni unità F i cui
parametri sono stati corretti in STEP 7 Safety Advanced V11 viene visualizzato un messaggio
di errore: "The CRC (F_Par_CRC) of the module (xxx) and the calculated value (yyy) do not
match."
2. Modificare la parametrizzazione di ciascuna unità F per la quale viene visualizzato questo
messaggio di errore in base alle correzioni riportate nella stampa di sicurezza.
3. Eseguire questa operazione per ciascuna F-CPU e successivamente compilare il programma
di sicurezza.
4. Se dopo la compilazione la firma collettiva F coincide con la firma collettiva F riportata sulla
stampa di sicurezza, le correzioni sono state inserite in modo completo e corretto.

Utilizzo di CP
Alle periferie F utilizzate a valle di un CP443-5 Extended, CP443-1 o CP 443-1 Advanced-IT,
l'indirizzo di destinazione F univoco non viene assegnato in modo automatico.
Se un progetto comprende delle periferie F di questo tipo, durante la compilazione
dell'hardware in STEP 7 Safety Advanced V13 SP1 il sistema segnala le periferie F interessate
all'utente. Assegnare un nuovo indirizzo di destinazione F univoco alle periferie F segnalate.
Per ulteriori informazioni consultare Indirizzi PROFIsafe della periferia F del tipo di indirizzo
PROFIsafe 1 (Pagina 64), Indirizzi PROFIsafe della periferia F del tipo di indirizzo PROFIsafe 2
(Pagina 66) e Particolarità durante la progettazione di slave DP standard fail-safe e di device
IO standard fail-safe (Pagina 74).
Con questa modifica viene modificata anche la firma collettiva F del programma di sicurezza.
L'assenza di modifiche alla firma collettiva F-SW dimostra che anche il programma di
sicurezza è rimasto invariato. Una firma collettiva F-HW modificata indica che è stata
modificata la configurazione hardware rilevante per la sicurezza. Ora è possibile verificare se
la modifica è dovuta esclusivamente agli indirizzi di destinazione F modificati:
• In ciascuna delle periferie F modificate la firma parametri F (senza indirizzo) è invariata.
• Nell'editor di confronto del programma di sicurezza, dopo l'impostazione del filtro
"Compare only F-blocks relevant for certification" vengono elencati solo i DB della
periferia F interessati.
Nomi modificati dei DB di periferia F

Nelle versioni precedenti a STEP 7 Safety V13 SP1 era possibile modificare il nome dei DB di
periferia F. Durante l'aggiornamento, questa modifica comporta la modifica della firma
collettiva F.
Se non si desidera che la firma collettiva F venga modificata durante l'aggiornamento,
procedere come descritto di seguito:
1. Rinominare in STEP 7 Safety V13 i DB di periferia F modificati assegnando loro nuovamente
il nome originale.
2. Compilare il programma di sicurezza.
La firma collettiva F si modifica.
3. Eseguire un confronto offline-offline tra il programma aggiornato e il programma compilato
al passo 2.
4. Creare una stampa di confronto (Pagina 326) (elettronica/cartacea).
La stampa di confronto consente di documentare il fatto che sono stati modificati
esclusivamente i nomi dei DB di periferia F.
5. Aggiornare il programma di sicurezza a STEP 7 Safety V13 SP1. Dopo l'aggiornamento, la
firma collettiva F del programma di sicurezza è la stessa del passo 2.

1.9 Primi passi
1.9 Primi passi
Introduzione a SIMATIC Safety

Come introduzione a SIMATIC Safety sono disponibili tre documentazioni Getting Started.
La documentazione Getting Started è una guida che descrive passo per passo la creazione di
un progetto con SIMATIC Safety. Essa consente di apprendere velocemente come utilizzare la
gamma di funzionalità di SIMATIC Safety.
Contenuti
La documentazione Getting Started descrive la creazione di un progetto completo che viene
ampliato con ogni capitolo. Partendo dalla progettazione, viene programmata una
disinserzione di sicurezza, vengono apportate modifiche alla programmazione e viene
effettuato il collaudo dell'impianto.
Oltre alle istruzioni passo passo, la documentazione Getting Started offre anche brevi
informazioni generali per ogni tema che illustrano le funzioni utilizzate e le rispettive
correlazioni.
Destinatari
La documentazione Getting Started si rivolge a principianti, ma è adatta anche a utenti che
provengono da S7 Distributed Safety.
Download
Nell'Industry Online Support sono disponibili tre documentazioni Getting Started in formato
PDF che possono essere scaricate gratuitamente:
• STEP 7 Safety Advanced V11 con F-CPU S7-300/400
(http://support.automation.siemens.com/WW/view/en/49972838)
• STEP 7 Safety Basic V13 SP1 con F-CPU S7-1200
(http://support.automation.siemens.com/WW/view/en/34612486/133300) (parte
integrante del manuale "S7-1200 - Sicurezza funzionale")
• STEP 7 Safety Advanced V13 con F-CPU S7-1500

Progettazione 2
2.1 Panoramica della progettazione
Introduzione
In linea generale, un sistema F SIMATIC Safety viene progettato come un sistema di
automazione standard S7-300, S7-400, S7-1200, S7-1500 o ET 200MP, ET 200SP, ET 200AL,
ET 200S, ET 200iSP, ET 200eco, ET 200eco PN o ET 200pro in STEP 7.
Pertanto, qui sono descritte solo le differenze principali tra la progettazione di un sistema F
SIMATIC Safety e la progettazione standard.
In questa documentazione si distingue tra 2 gruppi di periferie F:
Periferia F del tipo di indirizzo PROFIsafe 1

Periferia F nella quale l'univocità dell'indirizzo PROFIsafe può essere garantita solo
dall'indirizzo di destinazione F, come ad es. i moduli F ET 200S. In genere l'indirizzo PROFIsafe
viene assegnato mediante DIL-switch.

Periferia F nella quale l'univocità dell'indirizzo PROFIsafe può essere garantita mediante la
combinazione di indirizzo di origine F e indirizzo di destinazione F, come ad es. i moduli F
S7-1500/ET 200MP. In genere l'indirizzo PROFIsafe viene assegnato con STEP 7 Safety.
Quali componenti F possono essere progettati con STEP 7 Safety ?

Nella tabella seguente sono riportate le F-CPU che possono essere progettate con
STEP 7 Safety Basic e quelle progettabili con STEP 7 Safety Advanced:
F-CPU STEP 7 Safety Basic STEP 7 Safety Advanced

S7-300 — x
S7-400 — x
S7-1200 x x
S7-1500(H) — x
SIMATIC Drive Controller — x
WinAC RTX F — x
Software Controller S7-1500 F — x

Progettazione
Nella tabella seguente sono riportate le periferie F che possono essere progettate con
STEP 7 Safety Basic e quelle progettabili con STEP 7 Safety Advanced, oltre ai tipi di indirizzi
PROFIsafe supportati:
Periferia F STEP 7 Safety Basic STEP 7 Safety Advanced Tipo di indirizzo

PROFIsafe
F-SM S7-300 x** x** 1
Moduli F ET 200S x x 1
Moduli F ET 200pro x x 1
Moduli F ET 200iSP x x 1
Moduli di periferia F ET 200eco DP — con F-CPU S7-300/400 1
(solo PROFIsafe V1-Mode)
Moduli di periferia F ET 200eco PN x x 2
Moduli F S7-1200 x x 2
(installati centralmente sulle F-CPU
S7-1200)
Moduli F ET 200SP x x 2
Moduli F S7-1500/ET 200MP x x 2
Moduli F ET 200AL x x 2
Slave DP standard fail-safe x x *
Device IO standard fail-safe x x *
* Il tipo di indirizzo PROFIsafe corretto degli slave DP standard/device IO standard è riportato nella rispettiva
documentazione. In caso di dubbi utilizzare il tipo di indirizzo PROFIsafe 1.
** Gli F-SM che supportano solo PROFIsafe V1-Mode possono essere utilizzati solo nelle F-CPU S7-300/400.

Progettazione
Esempio: Sistema F configurato in STEP 7 Professional

Nella figura seguente è rappresentato un sistema F configurato. Come nel programma
standard, i componenti fail-safe possono essere selezionati nella Task Card "Hardware
Catalog" e posizionati nell'area di lavoro della vista di rete o della vista dispositivi. I
componenti F sono visualizzati in giallo.
Ulteriori informazioni
Informazioni dettagliate sulla periferia F sono contenute nei manuali sulla rispettiva periferia
F.

Progettazione
2.2 Particolarità della progettazione di un sistema F
Quali opzioni della comunicazione di sicurezza è possibile progettare?

Le seguenti opzioni della comunicazione di sicurezza devono essere progettate nell'editor
hardware e di rete (vedere Progettazione e programmazione della comunicazione (S7-300,
S7-400) (Pagina 192) o Progettazione e programmazione della comunicazione (S7-1200,
S7-1500) (Pagina 248)):
• Comunicazione con Flexible F-Link (Pagina 283)
• Comunicazione di sicurezza master-master
• Comunicazione di sicurezza master-master con S7 Distributed Safety
• Comunicazione di sicurezza master-I-slave
• Comunicazione di sicurezza I-slave-I-slave
• Comunicazione di sicurezza I-slave-slave
• Comunicazione di sicurezza IO Controller-IO Controller
• Comunicazione di sicurezza IO Controller-IO Controller con S7 Distributed Safety
• Comunicazione di sicurezza IO Controller-I-Device
• Comunicazione di sicurezza IO Controller-I-slave
• Comunicazione di sicurezza tramite collegamenti S7
• Comunicazione di sicurezza tramite collegamenti S7 con S7 Distributed Safety o il
sistema F S7
2.2 Particolarità della progettazione di un sistema F
Progettazione simile a quella del sistema standard

Un sistema F SIMATIC Safety viene progettato nello stesso modo di un sistema S7 standard.
Questo significa che l'hardware viene configurato e parametrizzato nell'editor hardware e di
rete come configurazione centralizzata (F-CPU ed eventuale periferia F ad es. CPU 1516F-3
PN/DP e moduli F S7-1500/ET 200MP) e/o come configurazione decentrata (F-CPU, F-SM in
ET 200M, moduli F ET 200MP, ET 200SP, ET 200AL, ET 200S, ET 200pro, ET 200iSP,
ET 200eco, ET 200eco PN, slave DP standard fail-safe e/o device IO standard fail-safe).
Parametri F speciali
Per la funzionalità F sono disponibili dei parametri F speciali che possono essere controllati e
impostati nelle "proprietà" dei componenti fail-safe (F-CPU e periferia F). I parametri F sono
contrassegnati in giallo.
I parametri F sono descritti in "Progettazione della F-CPU (Pagina 45)" e in "Progettazione della
periferia F (Pagina 50)".

Progettazione
2.3 Progettazione della F-CPU
Compilazione della configurazione hardware

È necessario compilare la configurazione hardware del sistema F SIMATIC Safety (menu di
scelta rapida "Compile > Hardware"). La programmazione del programma di sicurezza richiede
unicamente una F-CPU progettata con funzionalità F attivata.
Nota
La progettazione della configurazione hardware consente possibili incoerenze che possono
anche essere salvate. Una verifica completa della coerenza della configurazione hardware e
dei possibili dati di collegamento ha luogo solo durante la compilazione. Eseguire
regolarmente il comando "Edit > Compile".
Modifica dei parametri rilevanti per la sicurezza
Nota
Se si modifica un parametro rilevante per la sicurezza (evidenziato in giallo) di una periferia F
o di una F-CPU, è necessario compilare e caricare la configurazione hardware modificata e il
Compilazione del programma di sicurezza (Pagina 293) (menu di scelta rapida "Compile >
Hardware and software (only changes)"). Questo vale anche per le modifiche alla periferia F
che non viene utilizzata nel programma di sicurezza. Ciò non riguarda la periferia F nel
funzionamento standard.
Introduzione
In linea di massima la F-CPU si progetta come un sistema di automazione standard.
Le F-CPU sono sempre configurabili in STEP 7 , indipendentemente dal fatto che sia installata
una licenza per STEP 7 Safety. Se non è installata una licenza per STEP 7 Safety, la F-CPU è
utilizzabile solo come CPU standard.
Con la licenza di STEP 7 Safety installata è possibile attivare o disattivare la funzionalità F per
la F-CPU.
Per utilizzare la periferia F nel funzionamento di sicurezza o la comunicazione di sicurezza, la
funzionalità F della F-CPU deve essere attiva.
Per impostazione predefinita, quando la licenza di STEP 7 Safety è installata la funzionalità F è
attivata.

Progettazione
Attivazione / disattivazione della funzionalità F

Per modificare l'impostazione della funzionalità F procedere nel modo seguente:
1. Selezionare la F-CPU nella vista dispositivi o nella vista di rete e aprire la scheda "Properties"
nella finestra di ispezione.
2. Nella navigazione dell'area selezionare "Fail safe".
3. Attivare/disattivare la funzionalità F con il pulsante corrispondente.
4. Se si desidera disattivare la funzionalità F, confermare la finestra di dialogo "Disable
F-activation" con "Yes".
Disattivazione della funzionalità F nel programma di sicurezza esistente

Se si desidera disattivare la funzionalità F per la F-CPU perché la si vuole utilizzare come CPU
standard anche se è presente un programma di sicurezza, osservare quanto segue:
• È necessaria la password per il programma di sicurezza, se assegnata.
• Il Safety Administration Editor (Pagina 77) viene eliminato dalla navigazione di progetto.
• Gli F-OB vengono eliminati. (S7-1200, S7-1500)
• Tutti i blocchi F vengono eliminati.
• La periferia F non può più essere utilizzata nel funzionamento di sicurezza con questa
F-CPU.
Progettazione dei parametri F della F-CPU

Nella scheda "Properties" della F-CPU possono essere modificati i seguenti parametri e
acquisite le seguenti impostazioni:
• l'area indirizzi di destinazione F
– Low limit for F-destination addresses
– High limit for F-destination addresses
• il tempo di controllo F predefinito per la periferia F centrale o decentrata della F-CPU
(Nel caso delle HF-CPU, solo il tempo di controllo F predefinito per la periferia F
decentrata.)
Nota
In caso di modifica del tempo di controllo F per la periferia F centrale o decentrata della
F-CPU, dopo la nuova compilazione il programma di sicurezza risulta modificato e
potrebbe richiedere un nuovo collaudo.

Progettazione
Definizione dell'area indirizzi di destinazione F per la periferia F del tipo di indirizzo PROFIsafe 1
I parametri "Low limit for F-destination addresses" e "High limit for F-destination addresses"
consentono di definire un'area per la F-CPU, in cui alle nuove periferie F viene assegnato
automaticamente un indirizzo di destinazione F del tipo di indirizzo PROFIsafe 1 (Pagina 64)
dopo il collegamento. Anche un indirizzo di destinazione F non ancora compreso nell'area
indirizzi di destinazione F viene nuovamente assegnato quando alla F-CPU viene assegnato un
nuovo slave DP/device IO o in caso di attivazione dell'attivazione F della F-CPU o di modifica
dell'indirizzo logico dell'unità F.
L'indirizzo di destinazione F viene assegnato in ordine crescente a partire da "Low limit for
F-destination addresses". Se nell'area indirizzi di destinazione F non è disponibile un indirizzo
di destinazione F libero, viene assegnato il primo indirizzo di destinazione F libero al di fuori
dell'area indirizzi di destinazione F e durante la compilazione viene emesso un avviso.
L'indirizzo di destinazione F massimo consentito per i moduli F ET 200S, ET 200eco,
ET 200pro, ET 200iSP e gli F-SM S7-300 è 1022.
Gli indirizzi di destinazione F del tipo di indirizzo PROFIsafe 1 devono essere univoci in tutta la
rete e in tutta la CPU.
Selezionando diverse aree indirizzi di destinazione F per diverse F-CPU, è possibile definire più
aree per l'assegnazione automatica dell'indirizzo di destinazione F. Ciò può essere utile se in
una rete sono presenti più F-CPU. Gli indirizzi possono essere modificati anche manualmente
in un secondo momento. (vedere anche Raccomandazione per l'assegnazione degli indirizzi
PROFIsafe (Pagina 61))
Esempio:
L'area degli indirizzi di destinazione F è stata parametrizzata nel modo seguente:
• Low limit for F-destination addresses = 100
• High limit for F-destination addresses = 199
All'inserimento della prima periferia F del tipo di indirizzo PROFIsafe 1, viene assegnato
l'indirizzo di destinazione F 100. Se viene collegata una periferia F aggiuntiva del tipo di
indirizzo PROFIsafe 1, viene assegnato l'indirizzo di destinazione F 101.
Nota
I parametri "Low limit for F-destination addresses" e "High limit for F-destination addresses"
non influiscono sulle seguenti periferie F:
• SM 326; DI 8 x NAMUR (dal numero di articolo 6ES7326-1RF00-0AB0)
• SM 326; DO 10 x DC 24V/2A (numero di articolo 6ES7326-2BF01-0AB0)
• SM 336; AI 6 x 13 bit (numero di articolo 6ES7336-1HE00-0AB0)

Progettazione
Definizione dell'area indirizzi di destinazione F per la periferia F del tipo di indirizzo PROFIsafe 2
L'indirizzo di destinazione F della periferia F del tipo di indirizzo PROFIsafe 2 (Pagina 66) viene
assegnato automaticamente a ciascuna F-CPU in ordine decrescente a partire da 65534. Il
limite inferiore è rappresentato dal valore parametrizzato con il parametro "High limit for
F-destination addresses" (per la periferia F del tipo di indirizzo PROFIsafe 1) + 1.
Quando viene raggiunto il valore parametrizzato con il parametro "High limit for F-destination
addresses" durante la compilazione viene emesso un avviso. (Vedere anche Raccomandazione
per l'assegnazione degli indirizzi PROFIsafe (Pagina 61))
Definizione dell'indirizzo di origine F della periferia F del tipo di indirizzo PROFIsafe 2

Con il parametro "Central F-source address" si definisce l'indirizzo di origine F della periferia F
del tipo di indirizzo PROFIsafe 2 (Pagina 66) assegnato alla F-CPU. L'indirizzo di origine F deve
essere univoco in tutta la rete. (vedere anche Raccomandazione per l'assegnazione degli
indirizzi PROFIsafe (Pagina 61))
Nota
In caso di modifica del parametro "Central F-source address", dopo la nuova compilazione il
programma di sicurezza risulta modificato e potrebbe richiedere un nuovo collaudo, poiché in
questo modo vengono modificati a posteriori gli indirizzi di origine F di tutta la periferia F del
tipo di indirizzo 2.
Parametro "Default F-monitoring time"

Per monitorare la comunicazione tra la F-CPU e la periferia F viene progettato il "tempo di
controllo F predefinito".
Il tempo di controllo F può essere impostato con i seguenti parametri:
• "Default F-monitoring time for central F-I/O"
• "Default F-monitoring time for F-I/O of this interface"
Il tempo di controllo F predefinito per la periferia F centrale agisce sulla periferia F
centrale, ovvero posizionata accanto alla F-CPU. Questo parametro può essere impostato
nelle proprietà della F-CPU (selezionare la F-CPU, quindi "Properties > Fail safe > F-
parameters").
Il tempo di controllo F predefinito per la periferia F dell'interfaccia agisce sulla periferia F
assegnata all'interfaccia della F-CPU (PROFIBUS o PROFINET). Il parametro può essere
modificato nelle proprietà della rispettiva interfaccia (selezionare l'interfaccia nella scheda
"Device view", quindi "F-parameters").
Le molteplici possibilità di impostazione consentono di adattare in modo flessibile il tempo di
controllo F alle condizioni del sistema F, ad es. tenendo conto dei diversi cicli di bus.

Progettazione
Inoltre, all'interno delle proprietà della periferia F il tempo di controllo F può essere
modificato separatamente per le singole periferie F (vedere Progettazione della periferia F
(Pagina 50) o Particolarità durante la progettazione di slave DP standard fail-safe e di device
IO standard fail-safe (Pagina 74)).
Nota
F-CPU, dopo la nuova compilazione il programma di sicurezza risulta modificato e potrebbe
richiedere un nuovo collaudo.
Nota
Il valore preimpostato per il "default F-monitoring time for central IO" in un sistema HF
ammonta a 2300 ms ed è progettato per un anello MRP. Per una topologia lineare è possibile
ridurre il "default F-monitoring time for central IO" approssimativamente del fattore 2. Il
valore esatto può essere determinato come specificato nel capitolo "Tempi di controllo e di
reazione (Pagina 596)". Lo si può impostare nelle proprietà della F-CPU (selezionare la F-CPU,
quindi attivare "Properties > Fail safe > F-parameters> PROFINET interface [X1]").
AVVERTENZA
L'acquisizione dello stato del segnale da trasmettere e la sua trasmissione al ricevente sono
garantite (in modalità fail-safe) solo se lo stato del segnale rimane attivo per un tempo pari
almeno al tempo di controllo parametrizzato. (S018)
Per maggiori informazioni vedere Tempi di controllo e di reazione (Pagina 596).
Creazione automatica del programma di sicurezza

Il programma di sicurezza di una F-CPU consiste in uno o due gruppi di esecuzione F
contenenti i blocchi F (vedere anche Definizione dei gruppi di esecuzione F (Pagina 128)).
All'inserimento della F-CPU (con la funzionalità F attivata) nell'area di lavoro della vista
dispositivi o della vista di rete, viene creato automaticamente un programma di sicurezza con
un gruppo di esecuzione F.
L'utente può definire in STEP 7 Safety che all'inserimento della F-CPU (con funzionalità F
attivata) non venga creato un gruppo di esecuzione F.
Procedere nel modo seguente:
1. Selezionare il comando di menu "Options > Settings".
2. Selezionare l'area "STEP 7 Safety".
3. Se non è già stata disattivata, disattivare la creazione automatica di un gruppo di
esecuzione F deselezionando l'opzione "Generate default fail-safe program".
Questa modifica non influisce su un programma di sicurezza eventualmente esistente, ma
definisce solo se dovrà essere creato automaticamente un gruppo di esecuzione F per le
nuove F-CPU inserite successivamente.

Progettazione
2.4 Progettazione della periferia F
Progettazione del livello di protezione della F-CPU
AVVERTENZA
(S7-300, S7-400) Nel funzionamento produttivo, in caso di modifiche del programma utente
standard non deve essere attiva l'autorizzazione di accesso tramite la password della CPU,
perché in questo caso è possibile modificare anche il programma di sicurezza. Per escludere
questa possibilità è necessario progettare il livello di protezione "Write protection for fail-
safe blocks" e una password per la F-CPU. Se solo una persona è autorizzata a modificare il
programma utente standard e il programma di sicurezza, deve essere progettato il livello di
protezione "Write protection" o "Read/write protection" in modo da consentire solo un
accesso limitato o negare l'accesso all'intero programma utente (programma standard e
programma di sicurezza) alle altre persone. (S001)
AVVERTENZA
(S7-1200, S7-1500) Nel funzionamento produttivo si devono proteggere con una password
i dati di progetto rilevanti per la sicurezza. Progettare almeno il livello di protezione "Full
access (no protection)" e assegnare una password in "Full access with fail-safe (no
protection)". Questo livello di protezione consente l'accesso completo solo ai dati di
progetto standard, ma non ai blocchi F.
Se si sceglie un livello di protezione più alto, ad es. per proteggere i dati di progetto
standard, è necessario assegnare una password aggiuntiva per "Full access (no protection)".
Assegnare password differenti per i singoli livelli di protezione. (S041)
Per la progettazione del livello di protezione procedere come nelle CPU standard.
Per informazioni sulla password della F-CPU vedere Protezione di accesso (Pagina 95).
Osservare in modo particolare le avvertenze in Protezione di accesso per la F-CPU (Pagina 99).
Introduzione
I moduli F S7-1500/ET 200MP, ET 200SP, ET 200AL, ET 200S, ET 200eco (S7-300, S7-400),
ET 200eco PN, ET 200pro, ET 200iSP, gli F-SM S7-300 e i moduli F S7-1200 vengono
progettati in STEP 7 come di consueto.
Dopo aver inserito la periferia F nell'area di lavoro della vista dispositivi o di rete, è possibile
accedere alle finestre di progettazione selezionando la rispettiva periferia F e la scheda
"Properties".
Nota
In caso di modifica della parametrizzazione, dopo la nuova compilazione il programma di
sicurezza risulta modificato e potrebbe richiedere un nuovo collaudo.

Progettazione
I moduli F ET 200SP possono essere utilizzato solo in modo decentrato con:

• IM 155-6 PN ST dalla versione firmware V1.1
• IM 155-6 PN HF
• IM 155-6 PN/2 HF dalla versione firmware V4.2
• IM 155-6 PN/3 HF dalla versione firmware V4.2
• IM 155-6 MF HF
• IM 155-6 PN HS
• IM 155-6 DP HF
• IM 155-6 PN R1
Le informazioni che indicano se il funzionamento con R1 è supportato per un modulo F
ET 200SP sono disponibili in Internet.
I moduli F S7-1500/ET 200MP possono essere impiegati in modo decentrato con i seguenti
dispositivi:
• IM 155-5 PN BA dalla versione firmware V4.3
• IM 155-5 PN ST dalla versione firmware V3.0
• IM 155-5 PN HF dalla versione firmware V2.0
• IM 155-5 DP ST dalla versione firmware V3.0
I moduli F S7-1500/ET 200MP possono essere impiegati centralmente nelle F-CPU S7-1500 a
partire dal firmware V1.7 e in modo decentrato a partire dal firmware V1.5.
(S7-1200) Si raccomanda di limitare a 12 il numero di periferie F utilizzate centralmente e in
modo decentrato in una F-CPU S7-1200. In base alla quantità di dati di progetto, il numero
massimo di periferie F può anche essere inferiore.
AVVERTENZA
In caso di modifiche che potrebbero modificare l'assegnazione degli indirizzi di

ingresso/uscita e il cablaggio è necessario eseguire un test del cablaggio (Pagina 337).
Alcuni esempi di questo tipo di modifiche sono:
• Aggiunta di periferie F
• Modifica dell'indirizzo iniziale di periferie F
• Modifica della posizione del posto connettore di periferie F
• Modifica
– del telaio di montaggio
– dell'indirizzo dello slave / del device
– della sottorete PROFIBUS DP/PROFINET IO
– dell'indirizzo IP
– del nome del dispositivo
(S071)

Progettazione
Passivazione canale per canale dopo errori di canale

È possibile progettare la reazione della periferia F a errori di canale quali ad es. cortocircuito,
sovraccarico, errori di discrepanza, rottura conduttore, se la periferia F supporta questo
parametro (ad es. nei moduli F ET 200S o ET 200pro). Progettare la reazione nelle proprietà
della rispettiva periferia F (parametro "Behavior after channel fault"). Definire se quando si
verifica un errore di canale debba essere sottoposta a passivazione l'intera periferia F o solo
il/i canale/i con errore.
Nota
(S7-300, S7-400) Tenere presente che la passivazione canale per canale richiede un tempo di
esecuzione più lungo del gruppo di esecuzione F rispetto alla passivazione dell'intera
periferia F (vedere anche File excel per il calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831)).
Parametro "Channel failure aknowledge" (S7-1200, S7-1500)

Nelle periferie F che supportano il parametro di canale "Channel failure aknowledge" (ad es. i
moduli F S7-1500/ET 200MP, i moduli F S7-1200 e i moduli F ET 200AL), tale parametro
sostituisce la funzione della variabile ACK_NEC del DB di periferia F.
Quando la periferia F individua un errore di periferia F, viene eseguita la passivazione di tutti i
canali della periferia F interessata. Quando vengono rilevati degli errori di canale, se è
progettato "Passivate channel" viene eseguita la passivazione dei canali interessati, se è
progettato "Passivate the entire module" la passivazione di tutti i canali della periferia F
interessata. Dopo l'eliminazione dell'errore di periferia F / dell'errore di canale, la periferia F / il
canale interessato viene reintegrata/o in base al parametro "Channel failure aknowledge":
• automaticamente
• manualmente
In caso di passivazione canale per canale, il parametro "Channel failure aknowledge" può
essere impostato singolarmente se per il parametro "Reintegration after channel fault" è stata
parametrizzata l'opzione "Adjustable".
AVVERTENZA
La parametrizzazione "Channel failure acknowledge = Automatic" è consentita solo se è

tecnicamente possibile una reintegrazione automatica sicura per il processo interessato.
(S045)
Nota
Per impostazione predefinita, durante la creazione del modulo F il parametro "Channel failure
aknowledge" è impostato su "Manually".

Progettazione
Blocco organizzativo/immagine di processo (S7-1200, S7-1500)

Quando la periferia F si trova nel funzionamento standard, il blocco organizzativo /
l'immagine di processo può essere selezionato/a come nella periferia standard.
Quando la periferia F si trova nel funzionamento di sicurezza non è possibile effettuare la
selezione. L'immagine di processo viene sempre aggiornata automaticamente all'inizio o alla
fine del gruppo di esecuzione F (vedere il capitolo Struttura del programma di sicurezza
(S7-1200, S7-1500) (Pagina 106)).
Diversamente da quanto accade per le periferie F senza sincronismo di clock, per le periferie F
con sincronismo di clock deve essere selezionata un'immagine di processo parziale, ad es.
TPA 1 (vedere "Progettazione del sincronismo di clock (S7-1500) (Pagina 60)").
Modifica del nome e del numero dei DB di periferia F

Per ulteriori informazioni consultare il capitolo DB di periferia F (Pagina 159).
Modifica personalizzata del tempo di controllo F della periferia F

Il tempo di controllo F può essere personalizzato nelle proprietà della periferia F alla voce
"F-parameters". Questa operazione può rendersi necessaria per evitare che i controlli si
attivino in assenza di errori, quando la periferia F necessita di un tempo di controllo F più
lungo o quando non è possibile assegnare un tempo di controllo F di default. Attivare la
casella di opzione corrispondente e assegnare un tempo di controllo F.
Nota
F-CPU, dopo la nuova compilazione il programma di sicurezza risulta modificato e potrebbe
richiedere un nuovo collaudo.
AVVERTENZA
Per maggiori informazioni vedere Tempi di controllo e di reazione (Pagina 596).

Progettazione
2.5 Controllo di configurazione (ampliamenti futuri) per la periferia F
Diagnostica cumulativa delle unità di ingressi/uscite S7-300 fail-safe

Quando si attiva una canale nelle proprietà dell'unità di ingressi/uscite fail-safe,
contemporaneamente viene disattivata anche la diagnostica cumulativa per il canale
interessato.
Eccezione per le F-CPU S7-300/400:
Nelle unità di ingressi/uscite fail-safe S7-300
• SM 326; DO 10 x DC 24V/2A (numero di articolo 6ES7326-2BF01-0AB0) e
• SM 336; AI 6 x 13Bit (numero di articolo 6ES7336-1HE00-0AB0)
il controllo delle segnalazioni di diagnostica (ad es. rottura conduttore, cortocircuito)
dell'F-SM della F-CPU viene attivato e disattivato con il parametro "Group diagnostics".
Disattivare la diagnostica cumulativa nei canali di ingresso o di uscita non utilizzati.
AVVERTENZA
(S7-300, S7-400) Nel caso delle seguenti unità di ingressi/uscite fail-safe S7-300 (F-SM) con
funzionamento di sicurezza attivo, la "Group diagnostics" deve essere attivata in tutti i canali
collegati.
• SM 326; DI 8 x NAMUR (numero di articolo 6ES7326-1RF00-0AB0 e
6ES7326-1RF01-0AB0)
• SM 336; AI 6 x 13 Bit (numero di articolo 6ES7336-1HE00-0AB0)
Verificare che la diagnostica cumulativa di questi F-SM sia effettivamente disattivata solo per
i canali di ingresso e uscita non utilizzati. (S003)
Gli allarmi di diagnostica possono essere abilitati in via opzionale.
La descrizione dettagliata dei parametri è contenuta nella Guida alle proprietà della
periferia F interessata e nel rispettivo manuale della periferia F.

Per il controllo di configurazione (ampliamenti futuri) della periferia F procedere come nel
caso della periferia standard. Ulteriori informazioni sono reperibili nella Guida a STEP 7 in
"Controllo di configurazione (ampliamenti futuri)".
Nella sezione seguente sono riportate delle indicazioni aggiuntive specifiche per la periferia F.

Progettazione
Requisiti
• I requisiti elencati nella Guida a STEP 7 in "Controllo di configurazione (ampliamenti
futuri)" sono soddisfatti.
• La procedura descritta nella Guida a STEP 7 in "Controllo di configurazione (ampliamenti
futuri)" è stata eseguita. Trattare la periferia F come una periferia standard.
• Come versione del sistema Safety deve essere impostata la versione V2.1 o superiore.
• La periferia F per la quale si utilizza il controllo di configurazione (ampliamenti futuri) si
trova
– in posizione decentrata su una F-CPU S7-300/400/1200/1500
– in posizione centrale su una F-CPU S7-1500
Gli indirizzi PROFIsafe delle periferie F sono impostati e/o assegnati.
Nota
L'assegnazione degli indirizzi PROFIsafe (Pagina 68) è possibile solo se è effettivamente
installata la configurazione massima.
Procedura
(S7-1200, S7-1500) Disattivare la periferia F non presente nella rispettiva variante (opzione)
impostando la variabile DISABLE (Pagina 164) nel DB di periferia F (Pagina 159)
corrispondente su "1". In questo modo si evita che il LED di errore della F-CPU inizi a
lampeggiare e che vengano visualizzate le voci di diagnostica del programma di sicurezza che
si riferiscono a questa periferia F. La variabile DISABLED (Pagina 165) del rispettivo DB di
periferia F consente di determinare se un modulo F è disattivato.
(S7-300, S7-400) Non occorre alcun intervento per impedire il lampeggio del LED di errore
della F-CPU. Le voci di diagnostica non possono essere soppresse.
AVVERTENZA
Quando si utilizza il controllo di configurazione, la configurazione effettiva si discosta dalla

configurazione massima progettata. Contrassegnare con un set di dati di comando le
periferie F non disponibili nella variante attuale (opzione stazione) come "not available".
Se una periferia F contrassegnata come "not available" è eventualmente presente nella
configurazione reale, occorre assicurare che vengano forniti valori sostitutivi (0) nel
programma di sicurezza e che vengano emessi sulle uscite per questa periferia F. A questo
scopo impostare la variabile DISABLE (S7-1200/1500) o PASS_ON (S7-300/400) nel relativo
DB di periferia F su "1". (S077)

Progettazione
2.5.1 Esempio
Introduzione
L'esempio seguente mostra come
• selezionare/riconoscere una opzione della stazione in modo sicuro
• disattivare le periferie F non presenti in una opzione della stazione (S7-1200/1500)
• predisporre il programma di sicurezza per diverse opzioni della stazione
Selezione/riconoscimento sicuro dell'opzione della stazione

La selezione/il riconoscimento sicuro di una opzione della stazione viene eseguito con gli
ingressi di una periferia F cablati in modo fisso su M/L+.
Ad es. con 2 ingressi di una periferia F possono essere selezionate fino a 4 opzioni della
stazione.
Opzione OptionSelection_Bit_0 OptionSelection_Bit_1

E 0 0
B 0 1
C 1 0
D 1 1
Osservare che durante il riconoscimento dell'opzione della stazione in determinate situazioni,

ad es. all'avviamento del sistema F o in caso di errori di periferia F / errori di canale, per gli
ingressi della periferia F vengono utilizzati dei valori sostitutivi (0).
In tali situazioni l'opzione della stazione disponibile non può essere riconosciuta. Analizzare
pertanto anche lo stato del valore degli ingressi e acquisire l'opzione della stazione una sola
volta dopo l'avviamento del sistema F.
Per il riconoscimento una tantum dell'opzione della stazione, definire un dato locale statico,
ad es. OptionSelectionRuns, con il valore di default "TRUE".

Progettazione
Procedere allo stesso modo per le opzioni C e D.

Dopo avere effettuato una volta il riconoscimento, resettare il dato locale statico per il
riconoscimento una tantum dell'opzione della stazione:
Nota
Se si effettua la selezione / il riconoscimento di un'opzione della stazione solo nel programma
utente standard, l'"opzione della stazione" è disponibile solo come dato standard non
protetto.
Accertarsi che questo non possa causare degli stati pericolosi.
Osservare il capitolo "Scambio di dati tra programma utente standard e programma di
sicurezza (Pagina 187)".

Progettazione
Disattivazione delle periferie F non presenti in un'opzione della stazione

Se una o più periferie F non sono presenti in una opzione della stazione, è possibile evitare
che il LED di errore della F-CPU lampeggi disattivando le periferie F interessate.
Inoltre vengono soppresse le voci di diagnostica del programma di sicurezza che si riferiscono
a tali periferie F.
Nota
Tutte le periferie F "opzionali" dovrebbero restare disattivate finché il riconoscimento
dell'opzione della stazione (durante l'avviamento del sistema F) non è concluso
(OptionSelectionRuns = TRUE).
Predisposizione del programma di sicurezza per diverse opzioni della stazione

Nell'esempio seguente i segnali di arresto di emergenza di diverse parti dell'impianto o
macchine sono raggruppati in un segnale di arresto di emergenza cumulativo.
Nell'opzione della stazione A non sono presenti le macchine I e III e la rispettiva periferia F
con il segnale di arresto di emergenza per le macchine I e III.
Nell'opzione della stazione B non è presente la macchina II e la rispettiva periferia F con il
segnale di arresto di emergenza per la macchina II.
Nel programma di sicurezza vengono utilizzati dei valori sostitutivi (0) al posto dei segnali di
arresto di emergenza delle macchine non disponibili.

Progettazione
2.6 Progettazione di Shared Device
Per evitare che l'arresto di emergenza cumulativo venga attivato nelle opzioni della stazione
in cui alcune macchine / alcuni segnali di arresto di emergenza non sono disponibili, è
possibile sopprimere la valutazione del segnale di arresto di emergenza delle macchine non
presenti tenendo conto dell'opzione della stazione attuale.
2.6 Progettazione di Shared Device

Gli Shared Device vengono progettati come i dispositivi standard. La progettazione è descritta
nella Guida a STEP 7 in "Configurazione Shared Device".
Vengono supportati solo gli Shared Device multiprogetto. Gli Shared Device interni al
progetto non vengono supportati.
Indirizzi di destinazione F
Per l'assegnazione degli indirizzi di destinazione F vedere il capitolo "Raccomandazione per
l'assegnazione degli indirizzi PROFIsafe (Pagina 61)".
Vedere anche
Assegnazione di un indirizzo PROFIsafe al modulo F di uno Shared Device multiprogetto
(Pagina 73)

Progettazione
2.7 Progettazione del sincronismo di clock (S7-1500)
2.7 Progettazione del sincronismo di clock (S7-1500)

Per progettare il sincronismo di clock nelle periferie F che supportano tale funzione, ad es. il
sottomodulo "Profisafe Telgr 902" dell'azionamento SINAMICS S120 CU310-2 PN V5.1,
procedere come per i sistemi standard. La progettazione è descritta nella Guida a STEP 7 in
"Progettazione del sincronismo di clock".
Osservare quanto segue:
• Diversamente da quanto accade nelle periferie F senza sincronismo di clock, per le
periferie F con sincronismo di clock deve essere selezionata un'immagine di processo
parziale, ad es. TPA 1.
Questa immagine di processo parziale può contenere esclusivamente periferie F con
sincronismo di clock e non deve contenere periferie standard.
• L'OB di allarme di sincronismo di clock deve essere prima creato come F-OB definendo un
gruppo di esecuzione F (vedere Procedura per la definizione di un gruppo di esecuzione F
(S7-1200, S7-1500) (Pagina 133)). Non è possibile inserire un F-OB con classe di evento
"Synchronous Cycle" direttamente durante la progettazione del sincronismo di clock.
Requisiti
F-CPU S7-1500 con firmware V2.0 o superiore che supportano la funzione IRT.
Collegamento della periferia F con sincronismo di clock all'OB di allarme di sincronismo di clock
Alla periferia F con sincronismo di clock si accede tramite l'immagine di processo parziale
selezionata, proprio come nel caso di una periferia standard con sincronismo di clock.
Diversamente a quanto accade nella periferia standard con sincronismo di clock, l'immagine
di processo parziale viene sempre aggiornata automaticamente dal sistema F all'inizio o alla
fine dell'F-OB (vedere Struttura del programma di sicurezza (S7-1200, S7-1500)
(Pagina 106)).
Non è necessario richiamare le istruzioni SYNC_PI e SYNC_PO nell'F-OB.
Nota
Nella periferia F con sincronismo di clock non viene verificato (fail-safe) se tutti i dati di
ingresso delle periferie F assegnate all'immagine di processo parziale sono coerenti all'inizio
del blocco Main Safety, né se tutti i dati di uscita vengono trasmessi alle periferie F in modo
coerente, ovvero in ordine logico e cronologico. La coerenza viene verificata solo all'interno di
una periferia F.
La coerenza in tutta la periferia F con sincronismo di clock dell'immagine di processo parziale
dipende anche dal numero di periferie F con sincronismo di clock e dalle dimensioni del
programma di sicurezza nell'OB di allarme di sincronismo di clock.
Se sono richiesti determinati requisiti di coerenza, la coerenza dei dati di ingresso e di uscita
deve essere verificata manualmente, ad es. trasmettendo e valutando anche data e ora dei
dati di ingresso e di uscita delle periferie F con sincronismo di clock.

Progettazione
2.8 Raccomandazione per l'assegnazione degli indirizzi PROFIsafe
2.8 Raccomandazione per l'assegnazione degli indirizzi PROFIsafe

Prima di collegare la periferia F, definire per ogni F-CPU un'area indirizzi per gli indirizzi di
destinazione F della periferia F del tipo di indirizzo PROFIsafe 1 (Pagina 64); l'area indirizzi non
deve sovrapporsi all'area indirizzi di altre F-CPU in tutta la rete e in tutta la CPU (sistema).
Definire l'area della periferia F con il tipo di indirizzo PROFIsafe 1 con i parametri "Low limit for
F-destination addresses" e "High limit for F-destination addresses" (vedere anche il capitolo
Progettazione della F-CPU (Pagina 45)).
In un sistema ridondante S7-1500HF, le due F-CPU del sistema ridondante S7-1500HF
vengono considerate come un'unica F-CPU per quanto riguarda gli indirizzi PROFIsafe.
Pertanto, il sistema imposta i parametri ""Low/high limit for F-destination addresses" e
"Central F-source address" in modo identico per le due F-CPU.
Gli indirizzi di destinazione F della periferia F del tipo di indirizzo PROFIsafe 2 (Pagina 66) non
devono sovrapporsi alle aree indirizzi delle periferie F del tipo di indirizzo PROFIsafe 1. Le aree
degli indirizzi di destinazione F della periferia F del tipo di indirizzo PROFIsafe 2 possono
sovrapporsi se gli indirizzi di origine F sono diversi. Questo accade nelle configurazioni
supportate (Pagina 62) se il parametro "Central F-source address" viene impostato in modo
differente per ciascuna F-CPU.
Assegnare indirizzi di destinazione F relativamente bassi alle periferie F del tipo di indirizzo
PROFIsafe 1 e relativamente alti alle periferie F del tipo di indirizzo PROFIsafe 2.
Figura 2-1 Assegnazione degli indirizzi per la periferia F del tipo di indirizzo PROFIsafe 1 e 2
Nella stampa di sicurezza (Pagina 357) sono elencate le seguenti informazioni per ogni
F-CPU:
• Parametro "Central F-source address" (indirizzo di origine F della periferia F del tipo di
indirizzo PROFIsafe 2)
• Area degli indirizzi di destinazione F effettivamente utilizzata della periferia F assegnata
del tipo di indirizzo PROFIsafe 1
• Area degli indirizzi di destinazione F effettivamente utilizzata della periferia F assegnata
del tipo di indirizzo PROFIsafe 2

Progettazione
2.9 Configurazioni supportate dal sistema F SIMATIC Safety
La periferia F progettata mediante comunicazione I-slave-slave è riportata nell'area degli

indirizzi di destinazione F dell'I-slave nella stampa di sicurezza.
Le periferie F progettate in uno Shared Device sono elencate nell'area degli indirizzi di
destinazione F della F-CPU nella stampa di sicurezza.
Configurazioni supportate
La periferia F (vedere Panoramica della progettazione (Pagina 41)) è supportata nelle
configurazioni seguenti:
configurazione centralizzata (anche I-slave):
• La periferia F si trova sul telaio di montaggio della F-CPU associata.
• La periferia F si trova su un telaio di montaggio di ampliamento collegato al telaio di
montaggio della F-CPU associata.
configurazione decentrata (su un'interfaccia DP/PN integrata della CPU o su un CP/CM):
• PROFIBUS DP (anche a valle di un IE/PB Link)
– La periferia F si trova su uno slave DP.
– La periferia F si trova su uno slave DP e viene raggiunta mediante la comunicazione I-
slave-slave. Il master DP assegnato (l'IO Controller assegnato dell'IE/PB Link) può essere
una CPU standard o una F-CPU.
• PROFINET IO
– La periferia F si trova su un IO Device.
– La periferia F si trova in uno Shared Device multiprogetto. Gli Shared Device interni al
progetto non appartengono alle configurazioni supportate.
In un sistema ridondante S7-1500HF l'unica configurazione supportata è:
configurazione decentrata (su una interfaccia PN integrata della HF-CPU)
• PROFINET IO
– La periferia F si trova in un IO-Device associato ai sistemi IO di entrambe le F-CPU.
Ulteriori informazioni sugli IO Device per la ridondanza R1, S1 e S2 sono disponibili nel
Manuale di guida alle funzioni PROFINET
(https://support.industry.siemens.com/cs/ww/it/view/49948856) al capitolo "PROFINET
con sistema ridondante S7-1500R/H".
Per le periferie F non elencate in "Panoramica della progettazione (Pagina 41)" consultare la
relativa documentazione per verificare se sono supportate dal sistema F SIMATIC Safety. In
caso di dubbi, trattare la periferia F come una periferia appartenente ad una configurazione
non supportata.

Progettazione
Controlli del sistema F SIMATIC Safety

Per le configurazioni supportate il sistema F verifica:
• se il parametro del modo di funzionamento PROFIsafe (F_Par_Version) è impostato su
V2-Mode nell'ambiente PROFINET IO**.
• se gli indirizzi di destinazione F sono univoci in tutta la CPU.
L'univocità a livello di rete dell'indirizzo PROFIsafe deve essere verificata dall'utente.
• se l'indirizzo di origine F della periferia F del tipo di indirizzo PROFIsafe 2 corrisponde al
parametro "Central F-source address" della F-CPU.
AVVERTENZA
Se si progettano delle configurazioni che non fanno parte delle configurazioni supportate
osservare quanto segue:
• Accertarsi che la periferia F di questa configurazione compaia nella stampa di sicurezza e
che sia stato creato un apposito DB di periferia F. In caso contrario la periferia F non
potrà essere utilizzata in questa configurazione. (Rivolgersi al Customer Support.)
• Controllare per la periferia F nell'ambiente PROFINET IO** la correttezza del parametro
del modo di funzionamento PROFIsafe (F_Par_Version) utilizzando la stampa di sicurezza.
Nell'ambiente PROFINET IO va impostato V2-Mode. La periferia F che supporta solo V1-
Mode non può essere utilizzata in ambiente PROFINET IO.
• Verificare l'assegnazione univoca in tutta la CPU*/**** e in tutta la rete*** dell'indirizzo
PROFIsafe:
– Controllare la correttezza degli indirizzi PROFIsafe in base alla stampa di sicurezza.
– Controllare in base alla stampa di sicurezza se l'indirizzo di origine F della periferia F
del tipo di indirizzo PROFIsafe 2 coincide con il parametro "Central F-source address"
della F-CPU.
– Per la periferia F del tipo di indirizzo PROFIsafe 1 o se l'indirizzo di origine F non è
correttamente impostabile per il parametro "Central F-source address" della F-CPU, si
deve assicurare l'univocità dell'indirizzo PROFIsafe solo con l'assegnazione di un
indirizzo di destinazione F univoco.
In una configurazione non supportata, l'univocità dell'indirizzo di destinazione F deve
essere controllata singolarmente utilizzando la stampa di sicurezza. (Vedere Completezza
e correttezza della configurazione hardware (Pagina 360)) (S050)
* "in tutta la CPU" significa tutta la periferia F assegnata a una F-CPU: periferia F centrale di
questa F-CPU e periferia F per la quale la F-CPU è master DP/IO Controller e periferia F
assegnata in uno Shared Device. La periferia F indirizzata tramite comunicazione I-slave-slave,
è assegnata alla F-CPU dell'I-slave e non alla F-CPU del master DP/IO Controller.
** La periferia F si trova nell'"ambiente PROFINET IO" se almeno una parte della
comunicazione di sicurezza con la F-CPU avviene via PROFINET IO. Se la periferia F è collegata
mediante comunicazione I-slave-slave, va tenuto in considerazione il percorso di
comunicazione con il master DP/IO Controller.
*** Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete. Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite
PROFIBUS DP. In PROFINET IO una rete comprende tutti i nodi raggiungibili tramite
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP (IP,
Layer 3).

Progettazione
2.10 Indirizzi PROFIsafe della periferia F del tipo di indirizzo
PROFIsafe 1
**** Nei sistemi S7-1500HF ridondanti le due F-CPU del sistema S7-1500HF ridondante
devono essere considerate come una unica F-CPU per quando riguarda gli indirizzi PROFIsafe.
Pertanto, il sistema imposta "Central F-source address" in modo identico per le due F-CPU.
Nota
Informazioni aggiuntive sull'assegnazione univoca degli indirizzi PROFIsafe per tutta la CPU e
tutta la rete sono contenute nelle FAQ
(https://support.industry.siemens.com/cs/ww/it/view/109740240).

PROFIsafe 1
Indirizzo di destinazione F
L'univocità dell'indirizzo PROFIsafe è garantita solo dall'indirizzo di destinazione F. L'indirizzo
di origine F non può essere visualizzato e non influisce sull'univocità dell'indirizzo PROFIsafe.
Pertanto l'indirizzo di destinazione F deve essere univoco in tutta la CPU (vedere le regole per
l'assegnazione dell'indirizzo riportate di seguito).
Per prevenire errori di parametrizzazione, durante l'inserimento della periferia F nell'area di
lavoro della vista dispositivi o nella vista di rete viene assegnato automaticamente un
indirizzo di destinazione F univoco in tutta la CPU se vengono progettate solo configurazioni
supportate (Pagina 62).
Per assegnare l'indirizzo di destinazione F in modo univoco anche a livello di rete quando una
rete comprende diversi sistemi master DP e sistemi PROFINET IO, nei sistemi F SIMATIC Safety
i parametri "Low limit for F-destination addresses" e "High limit for F-destination addresses"
devono essere impostati in modo mirato nelle proprietà della F-CPU prima di inserire la
periferia F (vedere il paragrafo Raccomandazioni per l'assegnazione degli indirizzi"), in modo
che le aree degli indirizzi di destinazione F non si sovrappongano.
In caso di modifica dell'indirizzo di destinazione F di una periferia F, viene verificata
automaticamente l'univocità dell'indirizzo di destinazione F in tutta la CPU per la
configurazione supportata. L'univocità a livello di rete dell'indirizzo di destinazione F in
genere deve essere verificata dall'utente.

Progettazione
PROFIsafe 1
Per i moduli F ET 200S, ET 200eco (PROFIBUS), ET 200pro, ET 200iSP e gli F-SM S7-300 vale
quanto segue:
L'indirizzo di destinazione F deve essere impostato sulla periferia F mediante DIL-switch prima
di montare la periferia F. Possono essere assegnati al massimo 1022 indirizzi di destinazione F
differenti.
Nota
(S7-300, S7-400) Nelle seguenti unità di ingressi/uscite fail-safe S7-300 l'indirizzo di
destinazione F è l'indirizzo iniziale dell'F-SM diviso 8:
• SM 336; AI 6 x 13 Bit (numero di articolo 6ES7336-1HE00-0AB0)
Nella panoramica dispositivi della Vista dispositivi è possibile visualizzare le colonne "F-source
address" e "F-destination address". Gli indirizzi visualizzati in queste colonne hanno scopo
puramente informativo. Durante il collaudo dell'impianto gli indirizzi di destinazione F
devono essere controllati nella stampa di sicurezza.
Regole per l'assegnazione dell'indirizzo
AVVERTENZA
Alla periferia F del tipo di indirizzo PROFIsafe 1 viene assegnato un indirizzo univoco tramite
il suo indirizzo di destinazione F (ad es. con la posizione del selettore indirizzi).
L'indirizzo di destinazione F (e quindi anche la posizione del selettore indirizzi) della
periferia F deve essere univoco in tutta la rete* e in tutta la CPU**/*** (nell'intero sistema)
per l'intera periferia F. Va considerata qui anche la periferia F del tipo di indirizzo PROFIsafe
2. (S051)
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
Layer 3).
** "in tutta la CPU" significa tutta la periferia F assegnata a una F-CPU: periferia F centrale di
*** Nei sistemi S7-1500HF ridondanti le due F-CPU del sistema S7-1500HF ridondante

Progettazione
PROFIsafe 2
Osservare anche Raccomandazione per l'assegnazione degli indirizzi PROFIsafe (Pagina 61).
Nota
Vedere anche
Completezza della stampa di sicurezza (Pagina 357)

PROFIsafe 2
Indirizzo di origine F e indirizzo di destinazione F

L'univocità dell'indirizzo PROFIsafe è garantita dalla combinazione di indirizzo di origine F e
indirizzo di destinazione F.
L'indirizzo PROFIsafe deve essere univoco in tutta la rete e in tutta la CPU. Questo risultato
viene raggiunto se sono soddisfatte le condizioni seguenti:
• L'indirizzo di origine F (parametro "Central F-source address" della F-CPU + univoco in tutta
la rete. Tenere presente questa particolarità anche in caso di modifiche.
• L'indirizzo di destinazione F del modulo F è univoco in tutta la CPU.
L'indirizzo di origine F si definisce con il parametro "Central F-source address" nella F-CPU. Se
vengono progettate solo configurazioni supportate (Pagina 62) questo parametro viene
acquisito automaticamente come indirizzo di origine F e l'indirizzo di destinazione F viene
assegnato in modo univoco in tutta la CPU (in genere un numero in ordine decrescente a
partire da 65534).
In caso di modifica dell'indirizzo di destinazione F, viene verificata automaticamente
l'univocità dell'indirizzo di destinazione F in tutta la CPU per la configurazione supportata.
L'indirizzo di origine F e l'indirizzo di destinazione F devono essere assegnati alla periferia F
prima della messa in servizio della periferia F. Per ulteriori informazioni vedere Assegnazione
dell'indirizzo PROFIsafe della periferia F con SIMATIC Safety (Pagina 68).
Nella panoramica dispositivi della Vista dispositivi è possibile visualizzare le colonne "F-source
address" e "F-destination address". Gli indirizzi visualizzati in queste colonne hanno scopo
puramente informativo. Durante il collaudo dell'impianto gli indirizzi di origine F e gli indirizzi
di destinazione F devono essere controllati nella stampa di sicurezza.

Progettazione
2.12 Impostazione dell'indirizzo di destinazione F della periferia F mediante DIL-switch
Regole per l'assegnazione dell'indirizzo
AVVERTENZA
Alla periferia F del tipo di indirizzo PROFIsafe 2 viene assegnato un indirizzo univoco
combinando l'indirizzo di origine F (parametro "Central F-source address" della F-CPU
assegnata) e l'indirizzo di destinazione F.
La combinazione dell'indirizzo di origine F e dell'indirizzo di destinazione F di ciascuna
periferia F deve essere univoca in tutta le rete* e in tutta la CPU**/*** (nell'intero sistema).
Inoltre l'indirizzo di destinazione F non deve essere occupato dalla periferia F del tipo di
indirizzo PROFIsafe 1.
Per assicurare l'univocità delle configurazioni supportate (Pagina 62) anche oltre la F-CPU, il
parametro "Central F-source address" di tutte le F-CPU deve essere univoco in tutta la rete*.
A questo scopo sono necessarie delle impostazioni differenti del parametro "Central F-
source address" delle F-CPU. (S052)
Layer 3).
** "in tutta la CPU" significa tutta la periferia F assegnata a una F-CPU: periferia F centrale di
Osservare anche Raccomandazione per l'assegnazione degli indirizzi PROFIsafe (Pagina 61).
Nota
Vedere anche
Completezza della stampa di sicurezza (Pagina 357)
2.12 Impostazione dell'indirizzo di destinazione F della periferia F

mediante DIL-switch
Informazioni sull'impostazione dell'indirizzo di destinazione F della periferia F mediante DIL-
switch sono contenute nella documentazione della rispettiva periferia F.

Progettazione
2.13 Assegnazione dell'indirizzo PROFIsafe della periferia F con SIMATIC Safety
2.13 Assegnazione dell'indirizzo PROFIsafe della periferia F con

SIMATIC Safety
Introduzione
L'indirizzo PROFIsafe (Pagina 66), composto dall'indirizzo di origine F e dall'indirizzo di
destinazione F per
• moduli fail-safe ET 200SP,
• moduli fail-safe S7-1500/ET 200MP,
• moduli di periferia fail-safe ET 200AL,
• moduli di periferia fail-safe ET 200eco PN
si assegna direttamente da STEP 7 Safety.
Nel caso dei moduli F S7-1200 l'indirizzo PROFIsafe viene assegnato in modo automatico
durante il caricamento della configurazione hardware.
Tutti questi sistemi di periferia F non dispongono di un interruttore DIL con cui impostare
l'indirizzo di destinazione F univoco per ciascun modulo.
Nei seguenti casi i moduli fail-safe ET 200SP, i moduli fail-safe S7-1500/ET 200MP e i moduli
di periferia fail-safe ET 200AL e ET 200eco PN richiedono una nuova assegnazione:
• Inserimento a posteriori di un modulo F durante la prima messa in servizio (non per
ET 200eco PN)
• Modifica intenzionale dell'indirizzo di destinazione F
• Modifica del parametro "Central F-source address" della relativa F-CPU (modifica l'indirizzo
di origine F).
• Sostituzione dell'elemento di codifica
• Messa in servizio della macchina di serie
Non è necessario eseguire una nuova assegnazione per i moduli fail-safe ET 200SP e i moduli
fail-safe S7-1500/ET 200MP nei casi seguenti:
• RETE OFF/RETE ON
• Sostituzione di un modulo F (in caso di riparazione) senza PG/PC
• Sostituzione della BaseUnit (acquisizione dell'elemento di codifica con indirizzo di
origine F e indirizzo di destinazione F assegnato nella nuova BaseUnit)
• Sostituzione di una BaseUnit senza elemento di codifica
• Modifiche alla configurazione in caso di inserimento di una nuova BaseUnit davanti al
modulo F
• Riparazione/sostituzione del modulo di interfaccia

Progettazione
Non è necessario eseguire una nuova assegnazione per i moduli di periferia fail-safe
ET 200eco PN ed ET 200AL nei casi seguenti:
• RETE OFF/RETE ON
• Sostituzione del modulo compatto (acquisizione dell'elemento di codifica con indirizzo di
origine F assegnato nel nuovo modulo compatto)
Procedura generale
Nota
Assegnazione dell'indirizzo PROFIsafe per i moduli F S7-1200
Il procedimento per l'identificazione e l'assegnazione degli indirizzi PROFIsafe descritto di
seguito non è necessario per i moduli F S7-1200.
Tenere presente che in un sistema S7-1200 non deve essere presente alcun modulo F
aggiuntivo non configurato.
1. Parametrizzare l'indirizzo di destinazione F (Pagina 66) e l'indirizzo di origine F (Pagina 66)

nella configurazione hardware in STEP 7 Safety.
2. Identificare i moduli F ET 200SP, i moduli S7-1500/ET 200MP e i moduli di periferia fail-safe
ET 200AL o i modulo di periferia ET 200eco PN a cui si vuole assegnare l'indirizzo PROFIsafe.
3. Assegnare l'indirizzo PROFIsafe alle periferie F.
Assegnazione dell'indirizzo PROFIsafe alle periferie F mediante un sistema ridondante S7-1500HF

Selezionare nella finestra di dialogo "Assign PROFIsafe-address" alla voce "Select HF-CPU of
HF-System" la HF-CPU del sistema ridondante S7-1500HF da utilizzare per l'assegnazione
dell'indirizzo PROFIsafe.
La tabella seguente mostra, sulla base dello stato del sistema, quale HF-CPU del sistema
ridondante S7-1500HF può essere utilizzata per assegnare l'indirizzo PROFIsafe.
Stato del sistema/ruolo F-CPU Primary Backup

RUN-Redundant x x
RUN-Solo x -
STOP x -
x: Assegnazione possibile, -: Assegnazione non possibile

Progettazione
Nota
Utilizzo dei Device R1
L'indirizzo PROFIsafe per le periferie F può essere assegnato in un Device R1 solo mediante il
modulo d'interfaccia sinistro del Device R1. Pertanto nella finestra di dialogo "Assign
PROFIsafe address" viene sempre visualizzato il modulo di interfaccia posto a sinistra. Per
potere assegnare l'indirizzo PROFIsafe è necessario che il modulo d'interfaccia sinistro venga
alimentato in tensione.
Se le due HF-CPU del sistema ridondante S7-1500HF si trovano in due sottoreti separate, il PG
e la HF-CPU da utilizzare per l'assegnazione dell'indirizzo PROFIsafe devono trovarsi nella
stessa sottorete.
2.13.1 Identificazione di moduli F
Requisiti
Devono essere soddisfatti i seguenti requisiti:
• La F-CPU e i moduli F sono configurati.
• In caso di impiego di un ET 200SP Open Controller deve essere caricata la configurazione
hardware dell'ET 200SP Open Controller e del Software Controller fail-safe.
• La F-CPU e i moduli F sono raggiungibili online.

Progettazione
AVVERTENZA
Assicurarsi che la configurazione hardware attuale sia stata caricata nella F-CPU prima
dell'identificazione. Facendo clic sul pulsante "Identification" e successivamente su "Assign
PROFIsafe address" si conferma la correttezza fail-safe degli indirizzi PROFIsafe per le
periferie F.
Pertanto occorre procedere attentamente in caso di conferma delle periferie F mediante
lampeggio LED oppure tramite il numero di serie della F-CPU con periferie F centrali o il
numero di serie del modulo di interfaccia con periferie F.
L'assegnazione degli indirizzi PROFIsafe con il numero di serie del modulo di interfaccia è
consentita solo se l'assegnazione deve essere eseguita per tutte le periferie F di una
stazione. È quindi necessario leggere e annotare il numero di serie direttamente dalla
F-CPU* o dal modulo di interfaccia**. Non è possibile leggere da memoria il numero di serie
dalla vista Online e di diagnostica di TIA Portal.
Per le periferie F del sistema di periferia decentrata ET 200AL vale una regola speciale. Per
queste periferie F è consentita unicamente l'identificazione mediante lampeggio e deve
essere sempre selezionata una sola periferia F per l'assegnazione dell'indirizzo PROFIsafe.
* Per l'ET 200SP Open Controller, si deve leggere e annotare il numero di serie dal menu
"Overview > CPU" sul display del Software Controller S7-1500 fail-safe.
** Per il dispositivo R1 si deve leggere e annotare il numero di serie del modulo di
interfaccia sinistro. (S046)
Procedura
Per l'identificazione dei moduli F procedere nel modo seguente:
1. Stabilire un collegamento online con la F-CPU a cui sono assegnati i moduli F.
2. Nella vista di rete selezionare:
– la F-CPU con i moduli F,
– il modulo di interfaccia con i moduli F,
a cui si vogliono assegnare gli indirizzi PROFIsafe.
In alternativa è possibile selezionare anche un solo modulo F.
3. Selezionare dal menu di scelta rapida "Assign PROFIsafe address".
Nota
Se si integra un modulo fail-safe ET 200AL in una configurazione del sistema di periferia
decentrata ET 200SP (configurazione mista ET 200AL/ET 200SP con ET-Connection) si deve
aprire la finestra di dialogo "Assign PROFIsafe address" nella vista dispositivi dell'ET 200SP
separatamente per ciascun modulo fail-safe ET 200AL.

Progettazione
4. Selezionare in "Assign PROFIsafe address by" il metodo per l'identificazione del modulo F.
– "Identification by LED flashing"
Questa è l'impostazione predefinita. Durante l'identificazione lampeggiano i LED DIAG
e STATUS dei moduli F da identificare.
– "Identification by serial number"
Se non si ha una vista diretta dei moduli F, è possibile identificare i moduli F tramite il
numero di serie annotato della F-CPU o del modulo di interfaccia.
Nota
Il numero di serie visualizzato può essere integrato con la cifra di un anno rispetto al
numero di serie stampato sulla F-CPU o sul modulo di interfaccia. I numeri di serie
tuttavia sono identici.
5. Durante l'identificazione tramite LED lampeggiante, selezionare nella colonna "Assign" i

moduli F a cui si vuole assegnare l'indirizzo PROFIsafe.
Se nella colonna "Assign" si seleziona la F-CPU, vengono selezionati tutti i moduli F della
stazione.
6. Fare clic sul pulsante "Identification". Accertarsi che nei LED DIAG e STATUS dei moduli F a
cui si vuole assegnare l'indirizzo PROFIsafe lampeggi la luce verde. Se l'identificazione
avviene tramite il numero di serie, confrontare il numero di serie visualizzato con il numero
di serie annotato della F-CPU con moduli F centrali o del modulo di interfaccia con moduli F.
Per particolari moduli F e varianti di configurazione tenere conto del seguente
comportamento:
– Se sono stati configurati più moduli F di quelli reali, viene visualizzata una finestra di
dialogo. Immettere nella finestra di dialogo il numero di moduli F effettivamente
presenti e confermare la finestra di dialogo.
– Se sono stati configurati meno moduli F di quelli realmente disponibili, viene
visualizzata una differenza online-offline e non è possibile assegnare l'indirizzo
PROFIsafe.
2.13.2 Assegnazione dell'indirizzo PROFIsafe
Requisiti
L'identificazione dei moduli F è riuscita.

Progettazione
Procedura
Per l'assegnazione dell'indirizzo PROFIsafe, procedere nel modo seguente:
1. Selezionare tutti i moduli F ai quali si vuole assegnare l'indirizzo di origine F e gli indirizzi di
destinazione F nella colonna "Confirm".
2. Con il pulsante "Assign PROFIsafe address" assegnare l'indirizzo PROFIsafe ai moduli F.
Eventualmente è necessario inserire la password della F-CPU.
Per assegnare l'indirizzo PROFIsafe si deve confermare la finestra di dialogo "Confirm
PROFIsafe address assignement" entro 60 secondi.
2.13.3 Assegnazione di un indirizzo PROFIsafe al modulo F di uno Shared Device

multiprogetto
Introduzione
L'assegnazione dell'indirizzo PROFIsafe di un modulo F di uno Shared Device multiprogetto
può essere effettuata solo dal progetto in cui si trova l'IO Controller (F-CPU) a cui è assegnato
il modulo F.
Di conseguenza la finestra di dialogo "Assign PROFIsafe address" consente di selezionare per
l'assegnazione dell'indirizzo PROFIsafe solo i moduli F associati a un IO Controller (F-CPU) del
progetto.
Requisiti
Devono essere soddisfatti i seguenti requisiti:
• Tutti i requisiti specificati nei capitoli "Identificazione di moduli F (Pagina 70)" e
"Assegnazione dell'indirizzo PROFIsafe (Pagina 72)".
• È stata caricata la configurazione hardware di tutti gli IO Controller (F-CPU) a cui è stato
assegnato un modulo F dello Shared Device.
• Tutti gli IO Controller (F-CPU) a cui è stato assegnato un modulo F dello Shared Device e lo
Shared Device devono trovarsi nella stessa sottorete.
Procedura
Per identificare i moduli F e assegnare l'indirizzo PROFIsafe, procedere come indicato nei
capitoli "Identificazione di moduli F (Pagina 70)" e "Assegnazione dell'indirizzo PROFIsafe
(Pagina 72)".
Se i moduli F di uno Shared Device multiprogetto sono assegnati a più IO Controller (F-CPU)
in diversi progetti, assegnarne l'indirizzo uno dopo l'altro dai diversi progetti.
Vedere anche
Progettazione di Shared Device (Pagina 59)

Progettazione
2.14 Particolarità durante la progettazione di slave DP standard
fail-safe e di device IO standard fail-safe
2.13.4 Modifica dell'indirizzo PROFIsafe
Modifica dell'indirizzo PROFIsafe
Nota
Osservare che anche dopo una modifica dell'indirizzo PROFIsafe di una periferia F deve essere
eseguito un Collaudo (Pagina 360) compreso un Controllo della modifica (Pagina 372) per
Stampa di sicurezza (Pagina 329).
1. Modificare l'indirizzo PROFIsafe (indirizzo di destinazione F, indirizzo di origine F) nella

configurazione hardware.
2. Compilare la configurazione hardware.
3. Caricare la configurazione hardware nella F-CPU.
4. Selezionare dal menu di scelta rapida "Assign PROFIsafe address".
5. Descrivere come descritto in Identificazione di moduli F (Pagina 70) e Assegnazione
dell'indirizzo PROFIsafe (Pagina 72).

Requisiti
Il requisito per l'impiego di slave DP standard fail-safe per SIMATIC Safety è che questi slave
standard siano su PROFIBUS DP e che supportino il profilo di bus PROFIsafe. In caso di impiego
di una F-CPU S7-1200/1500 devono supportare il profilo di bus PROFIsafe nel V2-MODE.
Gli slave DP standard fail-safe che devono essere impiegati in configurazioni miste su
PROFIBUS DP e PROFINET IO dopo IE/PB Link, devono supportare il profilo di bus PROFIsafe nel
V2-MODE.
Il requisito per l'impiego di device IO standard fail-safe per SIMATIC Safety, è che questi slave
standard siano su PROFINET IO e che supportino il profilo di bus PROFIsafe nel V2-MODE.
Progettazione con file GSD

La base per la progettazione di slave DP standard/device IO standard fail-safe è - come nel
programma standard - la specifica del dispositivo nel file GSD (file master del dispositivo).
In un file GSD sono contenute tutte le proprietà di uno slave DP standard/device IO standard.
Per slave DP standard/device IO standard fail-safe, alcune parti sono protette da CRC.
I file GSD vengono forniti dal produttore dei dispositivi.

Progettazione
Protezione della struttura dei dati del dispositivo nel file GSD
Sono supportati solo file GSD che soddisfano la protezione richiesta a partire dalla PROFIsafe
Specification V2.0 con un CRC memorizzato in questo file ("Valore di riferimento" per
F_IO_StructureDescCRC).
Durante l'inserimento della periferia F nella configurazione hardware e la compilazione della
configurazione hardware, viene controllata la struttura dei dati descritta nel file GSD. Se viene
rilevato un errore durante queste operazioni, è necessario verificare se il file GSD fornito dal
produttore del dispositivo contiene il valore di riferimento per F_IO_StructureDescCRC.
Assegnazione e impostazione dell'indirizzo PROFIsafe
AVVERTENZA
Verificare nella documentazione dello slave DP standard fail-safe/IO device standard fail-safe
qual è il tipo di indirizzo PROFIsafe valido. In assenza di indicazioni utilizzare il tipo di
indirizzo PROFIsafe 1. Per la progettazione procedere come descritto in Indirizzi PROFIsafe
della periferia F del tipo di indirizzo PROFIsafe 1 (Pagina 64) o Indirizzi PROFIsafe della
periferia F del tipo di indirizzo PROFIsafe 2 (Pagina 66).
Impostare l'indirizzo di origine F per gli slave DP standard fail-safe / gli IO device standard
fail-safe secondo le indicazioni del produttore. Se l'indirizzo di origine F deve coincidere con
il parametro "Central F-source address" della F-CPU (tipo di indirizzo PROFIsafe 2),
quest'ultimo è reperibile nella scheda "Proprietà" della F-CPU. In questo caso controllare
nella stampa di sicurezza se il valore della F-CPU per il parametro "Central F-source address"
coincide con il valore dell'indirizzo di origine F dello slave DP standard fail-safe /
dell'IO device standard fail-safe. (S053)
Procedura per la progettazione con file GSD

Importare i file GSD nel progetto (vedere Guida a STEP 7 "File GSD").
1. Selezionare lo slave DP standard/il device IO standard fail-safe nella task card "Catalogo
hardware" e collegarlo nella vista di rete alla sottorete corrispondente.
2. Selezionare lo slave DP standard/device IO standard fail-safe e inserire i moduli F necessari,
se non ancora avvenuto automaticamente.
3. Selezionare il modulo F interessato e aprire nella finestra di ispezione la scheda "Properties".
Per gli slave DP standard/device IO standard fail-safe (rispetto ad altre periferie F) è attivato il
parametro "Manual assignment of F-monitoring time". In questo modo, il valore specificato
nel file GSD per il tempo di controllo F viene utilizzato come valore predefinito durante
l'inserimento. Entrambi i valori (ora e tipo di assegnazione) possono essere successivamente
modificati manualmente.

Progettazione
Parametri F "F_CRC_Seed" e "F_Passivation" per device IO standard fail-safe

I parametri F "F_CRC_Seed" e "F_Passivation" influenzano il comportamento di un device IO
standard fail-safe. La combinazione dei parametri F non può essere impostata, ma viene
definita selezionando un modulo F corrispondente. In base alla F-CPU impiegata S7-300/400
o S7-1200/1500 si possono impiegare fino a tre varianti di moduli F.
Varianti di F_CRC_Seed F_Passivation Comportamento del device IO standard fail- Impiegabile nella
modulo F safe F-CPU
1 Parametro non Parametro non Il device IO standard funziona con il Basic S7-300/400/1200/
disponibile disponibile Protocol (BP) di PROFIsafe. 1500*
Il profilo "RIOforFA-Safety" non è supportato.
2 CRC-Seed24/32 Device/moduli Il device IO standard funziona con l'Expanded S7-1200/1500
Protocol (XP) di PROFIsafe.
Il profilo "RIOforFA-Safety" non è supportato.
3 CRC-Seed24/32 Channel Il device IO standard funziona con l'Expanded S7-1200/1500
Protocol (XP) di PROFIsafe.
Il profilo "RIOforFA-Safety" è supportato.
* Utilizzare la variante di modulo F 1 con le F-CPU S7-1200/1500 solo se non è disponibile né la variante di modulo F 2 né la
variante 3.
La descrizione dei parametri si trova nella Guida agli slave standard DP e ai device IO standard
fail-safe:

Safety Administration Editor 3
Panoramica
Il Safety Administration Editor fornisce un supporto grazie a:
• visualizzazione dello stato del funzionamento di sicurezza
• disattivazione del funzionamento di sicurezza
• (S7-1200, S7-1500) visualizzazione e modifica dello stato Fast Commissioning
• visualizzazione dello stato del programma di sicurezza
• visualizzazione della firma collettiva F
• (S7-1200, S7-1500) visualizzazione della firma collettiva F-SW
• (S7-1200, S7-1500) visualizzazione della firma collettiva F-HW
• (S7-1200, S7-1500) firma dell'indirizzo di comunicazione F
• creazione/organizzazione dei gruppi di esecuzione F
• visualizzazione delle informazioni sui blocchi F
• visualizzazione delle informazioni sui tipi di dati PLC conformi a F (UDT)
• definizione/modifica della protezione di accesso
• informazioni per utenti con autorizzazione admin F
• definizione/modifica delle impostazioni per il programma di sicurezza, ad es. attivazione
della cronologia delle modifiche F
• (S7-1200, S7-1500) creazione/visualizzazione/eliminazione delle comunicazioni F tramite
Flexible F-Link

Safety Administration Editor
Il Safety Administration Editor si suddivide nelle seguenti aree:

• General
In "General" viene visualizzato:
– stato del funzionamento di sicurezza
– stato Fast Commissioning
– stato del programma di sicurezza
– Firme F
Per ulteriori informazioni sull'area "General" consultare "Area "General" (Pagina 80)".
• F-runtime group
In "F-runtime group" si definiscono i blocchi e le proprietà di un gruppo di esecuzione F.
Per informazioni sui gruppi di esecuzione F consultare "Area "F-runtime group"
(Pagina 82)".
• F-blocks
In "F-blocks" si ottengono informazioni sui blocchi fail-safe utilizzati nel programma di
sicurezza e sulle relative proprietà. Per ulteriori informazioni sull'area "F-blocks" consultare
"Area "F-blocks" (Pagina 85)".

3.1 Richiamo del Safety Administration Editor
• Tipi di dati PLC conformi a F

In "F-compliant PLC data types" si ottengono informazioni sui tipi di dati PLC conformi a F
creati (UDT). Inoltre si ottengono anche informazioni se nel programma di sicurezza viene
utilizzato un tipo di dati PLC conforme a F (UDT). Per ulteriori informazioni sull'area "F-
compliant PLC data types" consultare "Area "F-compliant PLC data types" (S7-1200,
S7-1500) (Pagina 86)".
• Access protection
In "Access protection" è possibile configurare, modificare o annullare la password per il
programma di sicurezza. In alternativa si può impostare una protezione dell'accesso ai dati
di progetto rilevanti per la sicurezza tramite la protezione del progetto. Per il
funzionamento produttivo è indispensabile una protezione di accesso. Per ulteriori
informazioni sulla protezione di accesso consultare "Protezione di accesso in tutta la CPU
per i dati di progetto rilevanti per la sicurezza (Pagina 96)"
• Web server F-Admins
In "Web server F-Admins" si ottengono informazioni sugli utenti con l'attributo "F-Admin"
per il web server della F-CPU. Per ulteriori informazioni sull'area "Web server F-Admins"
consultare "Area "Web server F-admins" (S7-1200, S7-1500) (Pagina 87)".
• Settings
In "Settings" si impostano i parametri per il programma di sicurezza. Per informazioni sulle
impostazioni sul programma di sicurezza consultare "Area "Settings" (Pagina 87)".
• Flexible F-Link
L'area "Flexible F-Link" visualizza tabelle con informazioni sulle comunicazioni F progettate
tramite Flexible F-Link e consente di creare le comunicazioni F. Per informazioni
consultare "Area "Flexible F-Link" (S7-1200, S7-1500) (Pagina 93)".
Vedere anche
Struttura del programma di sicurezza (S7-1200, S7-1500) (Pagina 106)
Struttura del programma di sicurezza (S7-300, S7-400) (Pagina 104)
Definizione dei gruppi di esecuzione F (Pagina 128)
3.1 Richiamo del Safety Administration Editor
Requisiti
Il Safety Administration Editor è visibile come riga nella navigazione del progetto, se nel
progetto è stata progetta una CPU come F-CPU, ovvero l'opzione "F-capability activated" deve
essere selezionata (nelle proprietà della F-CPU).

3.2 Area "General"
Procedura
Per richiamare il Safety Administration Editors procedere nel modo seguente:
1. Aprire la cartella della propria F-CPU nella navigazione del progetto.
2. Fare doppio clic su "Safety Administration" o selezionare il menu di scelta rapida
corrispondente del Safety Administration Editor tramite il tasto destro del mouse.
Risultato
Nell'area di lavoro si apre il Safety Administration Editor per la F-CPU.
3.2 Area "General"
"Safety mode status"

In "Safety mode status" viene visualizzato lo stato attuale del funzionamento di sicurezza. Il
requisito è un collegamento online esistente con la F-CPU selezionata.
Sono possibili i seguenti stati:
• "Safety mode is activated"
• "The safety mode is not activated"
• "F-CPU is in STOP"
• "No active F-CPU available"
• "F-runtime group was not called"
• "The safety program is not called"
• "(No online connection)"
"Disable safety mode"

Nel caso di collegamento online esistente e funzionamento di sicurezza attivato, è possibile
disattivare il funzionamento di sicurezza della F-CPU selezionata con il pulsante "Disable
safety mode". Il funzionamento di sicurezza può essere disattivato solo per l'intero
programma di sicurezza, non per i singoli gruppi di esecuzione F.
Per ulteriori informazioni vedere il capitolo "disattivazione del funzionamento di sicurezza
(Pagina 333)".
"Fast Commissioning Status"

Per utilizzare la modalità Fast Commissioning, assicurarsi che nell'area "Impostazioni"
(Pagina 87) sia attiva l'opzione "Safety mode can be disabled" e che il programma di sicurezza
sia stato compilato in modo coerente. La modalità Fast Commissioning può essere eseguita
con "Fast Compile" (impostazione predefinita) o con "Consistent Compile". Per ulteriori
informazioni vedere il capitolo "Modica del programma di sicurezza in RUN (S7-1200,
S7-1500) (Pagina 347)".

3.2 Area "General"
"Safety program status"

In "Safety program status" viene visualizzato lo stato attuale del programma online e offline.
Sono possibili i seguenti stati:
• Consistent
(Viene indicato se non è stata assegnata la password. Questa informazione viene omessa
se si utilizza la protezione del progetto).
• Inconsistent
• Modified
• Modalità Fast Commissioning attiva
(Se la modalità Fast Commissioning è stata attivata con "Fast Compile" e se è stata
apportata una modifica al programma)
Se non ha potuto essere creato un collegamento al programma online, viene visualizzato il
messaggio "(no online connection)".
"F-signatures"
In caso di collegamento online mancante

In "F-signatures" vengono visualizzate più firme. Ciascuna firma è composta da diverse parti
dei dati di progetto fail-safe.
• Firma collettiva F: Questa firma si modifica ad ogni modifica dei dati di progetto fail-safe.
Contiene le firme descritte di seguito.
• Firma collettiva F-SW (S7-1200/1500): Questa firma si modifica in caso di modifiche al
programma di sicurezza.
• Firma collettiva F-HW (S7-1200/1500): Questa firma si modifica in caso di modifiche alla
configurazione HW fail-safe.
• Firma dell'indirizzo di comunicazione F (S7-1200/1500): Questa firma si modifica in caso
di modifiche al nome o dell'UUID di comunicazione F dei collegamenti di comunicazione
con Flexible F-Link.
Nella colonna "Time stamp" per la firma collettiva F viene visualizzato il momento dell'ultima
compilazione.

3.3 Area "F-runtime group"
In caso di collegamento online esistente

In caso di collegamento online esistente, in "Program signature" viene visualizzato quanto
segue:
• lo stato del programma di sicurezza
Stat Significato
o
Le firme collettive F online e offline corrispondono
Le firme collettive F online e offline non corrispondono
— Impossibile rilevare lo stato del programma di sicurezza.
• le firme collettive F online e offline

• In caso di corrispondenza delle firme collettive F: Informazioni sulla corrispondenza tra le
versioni dei blocchi F online e offline
Stato Confronto Dichiarazione

delle versioni
Irrilevante Le firme collettive F online e offline non corrispondono.
Le firme collettive F online e offline corrispondono, ma vengono

utilizzate versioni diverse di blocchi F online rispetto a quelle offline.
Le firme collettive F online e offline corrispondono, vengono
utilizzate versioni identiche di blocchi F online e offline.
Irrilevante — Impossibile rilevare le versioni di sistema Safety.
Per ulteriori informazioni sulla coerenza del programma di sicurezza online consultare
Identità del programma online e offline (Pagina 369).
Vedere anche
Identificazione del programma (Pagina 325)
3.3.1 Area "F-runtime group"

Un programma di sicurezza è costituito da uno o due gruppi di esecuzione F.
Per informazioni generali sui gruppi di esecuzione F consultare "Struttura del programma di
sicurezza (S7-300, S7-400) (Pagina 104)" o "Struttura del programma di sicurezza (S7-1200,
S7-1500) (Pagina 106)".
Per informazioni sulla creazione di gruppi di esecuzione F consultare Definizione dei gruppi di
esecuzione F (Pagina 128)

(S7-1200, S7-1500) "Generate global F-I/O status block"

È possibile creare un blocco standard (FB) con il nome "RTGx_GLOB_FIO_STATUS" che valuta
se i valori sostitutivi vengono emessi al posto dei valori di processo per almeno una periferia F
o per almeno un canale di una periferia F di un gruppo di esecuzione F x. Il risultato della
valutazione è disponibile sull'uscita "QSTATUS". Le periferie F che sono state disattivate con la
variabile DISABLE nel DB della periferia F non vengono prese in considerazione
L'uscita "RIOforFA_VALUE_STATUS" corrisponde all'uscita "QSTATUS", ma tiene conto solo
delle periferie F con il profilo "RIOforFA-Safety".
Per la generazione di questo FB standard utilizzare il pulsante "Generate global F-I/O status
block". È possibile creare l'FB standard solo se il programma di sicurezza è compilato. L'FB
standard può essere richiamato in qualsiasi punto del programma utente standard.
Nota
Quando si aggiungono o eliminano periferie F è necessario generare di nuovo
"RTGx_GLOB_FIO_STATUS".
Vedere anche
Valori di processo o sostitutivi (Pagina 157)
3.3.2 Pre/postelaborazione (S7-1200, S7-1500)

Con la pre/postelaborazione, è possibile richiamare blocchi standard (FC) immediatamente
prima o dopo un gruppo di esecuzione F, ad es. per il trasferimento dei dati durante la
comunicazione fail-safe tramite Flexible F-Link (Pagina 283).
Requisiti
• Utilizzabili solo FC standard.
• Nell'interfaccia del blocco di un FC standard sono temporaneamente ammessi solo dati
locali e constati.
• (S7-1500) Se il gruppo di esecuzione F si trova in una Safety Unit e le FC devono essere
utilizzate all'esterno della Safety Unit, si devono pubblicare le FC e collegarne la rispettiva
Software Unit alla Safety Unit tramite una Relation.

Procedura
1. Creare gli FC standard per la pre/postelaborazione.
2. Assegnare gli FC standard nel Safety Administration Editor in "Pre/Post processing of the F-
runtime group".
Nota
Se si cancella un FC assegnato o lo si sovrascrive con una copia, la sua selezione come
modulo di pre/postelaborazione viene automaticamente resettata.
Effetti sul programma di sicurezza

• Al tempo di esecuzione del gruppo di esecuzione F si aggiunge il tempo di esecuzione
degli FC standard per la pre/postelaborazione (influenza su TRTG_CURR e TRTG_LONG nel
DB del gruppo di esecuzione F).
• Poiché la pre/postelaborazione non modifica la funzionalità del programma di sicurezza, la
firma collettiva F rimane invariata dopo la compilazione.
Comportamento di caricamento
I richiami degli FC standard selezionati vengono collocati nell'F-OB prima o dopo il richiamo
del blocco Main Safety.
Questo significa che per un successivo download è necessario lo stato di funzionamento
STOP.
Le modifiche del contenuto dei FC standard selezionati possono essere effettuate in RUN.
Fanno eccezione le modifiche dei nomi e dei numeri di blocco, che comportano anche la
compilazione del programma di sicurezza.
Se un blocco di pre/postelaborazione viene caricato singolarmente dalla F-CPU, non si collega
automaticamente al gruppo di esecuzione F nel Safety Administration Editor.
Se invece viene eseguito un caricamento coerente dalla F-CPU al PG/PC, anche le impostazioni
di pre e postelaborazione vengono aggiornate in base alla CPU online.

3.4 Area "F-blocks"
3.4 Area "F-blocks"
Panoramica
L'area "F-blocks" è supportata durante la:
• visualizzazione dei blocchi F utilizzati nel programma di sicurezza
• visualizzazione dei blocchi F utilizzati nei gruppi di esecuzione F
• visualizzazione di ulteriori informazioni sui blocchi F
I blocchi F sono visualizzati in modo gerarchico, come nella cartella "Program blocks".
Una descrizione dei blocchi F si trova in "Creazione di blocchi F in FUP/KOP (Pagina 145)".
Informazioni visualizzate
Le seguenti informazioni vengono visualizzate nella modalità offline:
• I blocchi F visualizzati sono stati compilati e utilizzati
• Funzione dei blocchi F nel programma di sicurezza
• Firma del blocco
• Firma di gruppo
• Data e ora della modifica dei blocchi F
Le seguenti informazioni vengono visualizzate nella modalità online:
• Stato (se il blocco online e offline hanno la stessa data e ora)
• Funzione del blocco F nel programma di sicurezza
• Firma del blocco offline
• Firma di gruppo offline
• Firma del blocco online
• Firma di gruppo online
Nota
In singoli casi, durante il confronto offline-online possono verificarsi diversi stati di confronto
tra editor di confronto e visualizzazione di stato nel Safety Administration Editor. Il risultato
del confronto nell'editor di confronto è decisivo, poiché solo qui i blocchi F confluiscono nel
confronto in termini di contenuto.
Nota
Le firme del gruppo vengono definite in base a quelle dei blocchi F contenuti nel gruppo
stesso e in sottogruppi. Vengono presi in considerazione solo i blocchi F utilizzati nel
programma di sicurezza. Vengono visualizzate solo le firme di gruppo fino al 6° livello della
gerarchia.

3.5 Area "F-compliant PLC data types" (S7-1200, S7-1500)
Funzione di filtro
Con la funzione di filtro, è possibile scegliere se visualizzare tutti i blocchi F di un determinato

gruppo di esecuzione F o dell'intero programma di sicurezza.
• Selezionare "All F-blocks" dalla casella di riepilogo per visualizzare tutti i blocchi F.
• Selezionare un gruppo di esecuzione F dalla casella di riepilogo per visualizzare tutti i
blocchi F di questo gruppo di esecuzione F.
3.5 Area "F-compliant PLC data types" (S7-1200, S7-1500)
Panoramica
Nell'area "F-compliant PLC data types" si ottengono informazioni sui tipi di dati PLC definiti
dall'utente come conformi a F (UDT).
I tipi di dati PLC conformi a F (UDT) possono essere eliminati tramite il menu di scelta rapida.
Per una descrizione dei tipi di dati PLC conformi a F (UDT) consultare "Tipi di dati PLC
conformi a F (UDT) (S7-1200, S7-1500) (Pagina 120)".
Informazioni visualizzate
Le seguenti informazioni sui tipi di dati PLC conformi a F (UDT) vengono visualizzate in
modalità offline:
• Come viene utilizzato il tipo di dati PLC conforme a F nel programma di sicurezza?
• Data e ora dell'ultima modifica.
Le seguenti informazioni sui tipi di dati PLC conformi a F (UDT) vengono visualizzate in
modalità online:
• Stato (se i tipi di dati PLC conformi a F (UDT) online e offline hanno la stessa data e ora)
I tipi di dati PLC conformi a F (UDT) sono visualizzati in modo gerarchico, come nella cartella
"PLC data types".
Fare doppio clic per aprire il tipo di dati PLC conforme a F (UDT) e modificarlo.
Per descrizione dei simboli nella colonna "Status" vedere "Confronto dei programmi di
sicurezza (Pagina 326)".
Nota
In singoli casi, durante il confronto offline-online può verificarsi uno stato di confronto
diverso tra editor di confronto e visualizzazione di stato nel Safety Administration Editor. Il
risultato del confronto nell'editor di confronto è decisivo, poiché solo qui i tipi di dati PLC
conformi a F (UDT) confluiscono nel confronto in termini di contenuto.

3.6 Area "Web server F-admins" (S7-1200, S7-1500)
3.6 Area "Web server F-admins" (S7-1200, S7-1500)

Il diritto "F-admin" è necessario per eseguire un ripristino di una copia di backup (Pagina 315)
tramite il web server della F-CPU. Il diritto "F-admin" si assegna nella configurazione HW della
F-CPU nella gestione utenti del web server.
In questa area, per le F-CPU che supportano il diritto "F-admin" si ottengono informazioni su
quali utenti dispongono di questo diritto online oppure offline. In questo modo è possibile
riconoscere se una modifica del diritto "F-admin" ha effetto sulla F-CPU. Per rendere effettiva
una modifica del diritto "F-admin", è necessario caricare la progettazione nella F-CPU.
Vedere anche
Completezza e correttezza della configurazione hardware (Pagina 360)
3.7 Area "Settings"
"Assignment of block numbers generated by the safety system"

I campi numerici qui parametrizzati sono utilizzati dal sistema F per i nuovi blocchi F creati
automaticamente.
A questo punto è possibile scegliere se i campi numerici sono gestiti dal sistema F o se viene
utilizzato un campo fisso specificato dall'utente.
• "F-system managed"
I campi numerici sono gestiti automaticamente dal sistema F, a seconda della F-CPU
utilizzata. Il sistema F seleziona un campo numerico libero. Vengono visualizzati i campi
iniziali e finali dei campi numerici.
• "Fixed range"
È possibile selezionare i campi iniziali e finali dei campi numerici dal campo libero. Il
campo libero dipende dalla F-CPU utilizzata.
Una selezione non valida del campo numerico viene visualizzata da un messaggio di
errore.
Durante la progettazione, viene controllato solo se il limite inferiore impostato è inferiore
o uguale al limite superiore e se rientra nel campo libero della F-CPU. Solo durante la
compilazione viene verificato se il campo impostato è sufficientemente grande. È
necessario garantire un campo di una dimensione sufficiente. Se il campo disponibile non
è sufficiente, si verifica un errore di compilazione. Non vengono generati tutti i blocchi e il
programma di sicurezza non può essere eseguito.
Le modifiche diventano valide solo dopo la compilazione. Durante la compilazione i blocchi F
creati automaticamente vengono eventualmente spostati nella nuova area. Fanno eccezione i
DB di periferia F. Questi contengono sempre i numeri originali che possono eventualmente
essere modificati nelle proprietà della periferia F.

3.7 Area "Settings"
"Safety system version"

Con questo parametro si imposta la versione del sistema Safety (compresa la versione dei
blocchi di sistema F e dei blocchi F generati automaticamente, vedere Panoramica della
programmazione (Pagina 104)).
Sono disponibili più versioni:
Versi S7-300/400 S7-1200 S7-1500 Funzione

one3
1.6 — x x Queste versioni sono funzionalmente identiche.
2.0 x x1 x2 In base alla versione impostata possono tuttavia verificarsi diversi tempi
di esecuzione del/dei gruppi di esecuzione F (vedere file Excel per il
calcolo del tempo di reazione in Internet
(https://support.industry.siemens.com/cs/ww/it/view/109783831))
2.1 — x1 x2 Supporta inoltre le variabili "DISABLE" e "DISABLED" nel DB di periferia F
2.2 — x1 x2 Supporta la comunicazione di sicurezza CPU-CPU e la comunicazione dei
gruppi di esecuzione F con il Flexible F-Link.
2.3 — x1 x2 Questa versione è funzionalmente identica alla versione 2.2.
2.4 — x1, 4 x2 Supporta inoltre:
• HF-CPU
• Modalità Fast Commissioning con "Fast Compile"
• Runtime for the deactivated safety mode
2.5 — — x5 Supporta inoltre:
• Modalità Fast Commissioning con "Consistent Compile"
1 supportato a partire dal firmware V4.2

3 Dopo la migrazione di progetti, creati con S7 Distributed Safety V5.4 SP5, è impostata automaticamente la versione 1.0
per identificare i progetti migrati non ancora compilati con STEP 7 Safety Advanced.
4 La modalità Fast Commissioning con "Fast Compile" viene supportata a partire dal firmware V4.5.
5 La modalità Fast Commissioning con "Consistent Compile" viene supportata a partire dal firmware V3.0. Per i Software
Controller F S7-1500, questa è disponibile solo per gli IPC rilasciati a partire dal firmware V30.0.
Normalmente in questo parametro non è necessario eseguire impostazioni.
Durante la creazione di una nuova F-CPU con STEP 7 Safety è automaticamente preimpostata
la versione più recente disponibile per la F-CPU creata.
"Local data used in safety program" (S7-300, S7-400)

Con questo parametro si imposta il numero di dati locali temporanei in byte disponibili per la
gerarchia di richiamo sotto il blocco Main Safety.
L'impostazione vale per tutti i gruppi di esecuzione F di un programma di sicurezza. Per
ulteriori informazioni sui gruppi di esecuzione F consultare "Struttura del programma di
sicurezza (S7-1200, S7-1500) (Pagina 106)" o "Struttura del programma di sicurezza (S7-300,
S7-400) (Pagina 104)".

3.7 Area "Settings"
Il numero minimo da impostare è determinato dalla richiesta di dati locali dei blocchi F,
integrato automaticamente durante la compilazione del programma di sicurezza:
Per questo motivo è necessario mettere a disposizione almeno 440 byte. In base alla richiesta
di dati locali dei blocchi F creati con FUP o KOP, la richiesta di dati locali integrati
automaticamente può essere più elevata.
Per questo motivo mettere a disposizione la quantità di dati locali massima possibile. Se non
sono disponibili dati locali sufficienti (da > 440 byte) per i blocchi F integrati
automaticamente, il programma di sicurezza viene compilato comunque.
Al posto dei dati locali, vengono utilizzati i dati contenuti negli F-DB integrati
automaticamente. Tuttavia, questo aumenta il tempo di esecuzione del gruppo/dei gruppi di
esecuzione F. Se i blocchi F integrati automaticamente richiedono più dati locali di quelli
progettati, si riceve un'avvertenza.
AVVERTENZA
Il calcolo del tempo di esecuzione massimo del gruppo di esecuzione F con il file Excel per il
calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831) in questo caso non è più
corretto, in quanto il calcolo si basa sulla disponibilità di una quantità sufficiente di dati
locali F.
In questo caso, per il calcolo dei tempi di reazione massimi in caso di errore e con qualsiasi
tempo di esecuzione del sistema standard con il suddetto file Excel per il tempo di
esecuzione massimo del gruppo di esecuzione F si deve utilizzare il valore progettato per il
tempo di ciclo massimo del gruppo di esecuzione F (tempo di controllo F). (S004)
Il numero massimo impostabile dipende da quanto segue:

• dai dati locali richiesti dal blocco Main Safety e dal programma utente standard
sovraordinato. Per questo motivo, è necessario richiamare i blocchi Main Safety
direttamente negli OB (preferibilmente negli OB di allarme di schedulazione orologio) e
non dichiarare alcun dato locale aggiuntivo in questi OB di allarme di schedulazione
orologio.
• dalla dimensione massima dei dati locali della F-CPU utilizzata (vedere i dati tecnici nelle
informazioni sul prodotto della F-CPU utilizzata). Per le F-CPU S7-400 è possibile
progettare dati locali per ogni classe di priorità. Pertanto, assegnare un campo di dati
locali il più grande possibile per le classi di priorità in cui viene richiamato il programma di
sicurezza (i blocchi Main Safety) (ad es. OB 35).

3.7 Area "Settings"
Il numero massimo possibile di dati locali dipende dalla richiesta di dati locali del blocco
Main Safety e del programma utente standard sovraordinato (S7-300, S7-400):
Caso 1: Richiamo del blocco Main Safety direttamente dagli OB
Impostare il parametro "Local data used in safety program" sulla dimensione massima dei dati
locali della F-CPU utilizzata meno la richiesta di dati locali del blocco Main Safety (per 2 gruppi
di esecuzione F del blocco Main Safety con maggiore richiesta di dati locali) meno la richiesta
di dati locali dell'OBx che esegue il richiamo (per 2 gruppi di esecuzione F dell'OBx con la
richiesta di dati locali maggiori).
Osservazione: Se non sono stati dichiarati dati locali temporanei nei blocchi Main Safety e
nell'OBx di richiamo, la richiesta di dati locali dei blocchi Main Safety è di 6 byte e la richiesta
di dati locali dell'OBx di richiamo è di 26 byte. Se necessario, è possibile rilevare dalla struttura
del programma la richiesta di dati locali dai blocchi Main Safety e dagli OBx di richiamo.
Selezionare la F-CPU utilizzata e successivamente "Tools > Call structure" nella navigazione del
progetto. Nella tabella è riportata la richiesta di dati locali nel percorso o per i singoli blocchi
(vedere anche la guida a STEP 7).

3.7 Area "Settings"
Caso 2: Richiamo del blocco Main Safety non direttamente dagli OB
Impostare il parametro "Local data used in safety program" sul valore rilevato per il caso 1,
meno la richiesta di dati locali del programma utente standard A (per i gruppi di esecuzione 2
F del programma utente standard A con la maggiore richiesta di dati locali).
Osservazione: La richiesta dei dati locali del programma utente standard A sono riportati
nella struttura del programma.
Selezionare la F-CPU utilizzata e successivamente "Tools > Call structure" nella navigazione del
progetto. Nella tabella è riportata la richiesta di dati locali nel percorso o per i singoli blocchi
(vedere anche la guida a STEP 7).
"Advanced settings"
"Safety mode can be disabled"

Questa opzione consente di impedire la disattivazione del funzionamento di sicurezza di un
In "Runtime for the deactivated safety mode" impostare il tempo dopo il quale la F-CPU passa
in STOP dopo la disattivazione del funzionamento di sicurezza.
È necessario ricompilare il programma di sicurezza dopo aver modificato l'opzione e caricarlo
nella F-CPU affinché la modifica diventi efficacia. Questo modifica la firma collettiva F e la
firma collettiva F-SW del programma di sicurezza.
Assicurarsi che l'opzione sia disattivata nel funzionamento produttivo, per escludere una
disattivazione involontaria del funzionamento di sicurezza.
"Enable F-change history"

L'opzione "Enable F-change history" consente di attivare il protocollo di modifiche al
programma di sicurezza. Per ulteriori informazioni vedere il capitolo "Cronologia delle
modifiche F (Pagina 354)".

3.7 Area "Settings"
"Enable consistent upload from the F-CPU" (S7-1500)

Questa opzione consente di caricare i dati di progetto caricati (incl. i dati di progetto rilevanti
per la sicurezza) in modo coerente dalla F-CPU al PG/PC.
L'opzione è attivabile se la F-CPU e il firmware della F-CPU supporta il caricamento dei dati di
progetto (incl. dati di progetto rilevanti per la sicurezza).
Sono supportate F-CPU S7-1500 a partire dal firmware V2.1. Software Controller S7-1500 F
non sono supportati.
Ad ogni modifica di questa opzione è necessario caricare i dati di progetto sulla F-CPU.
Osservare che l'attivazione di questa opzione prolunga il caricamento dei dati di progetto
rilevanti per la sicurezza nella F-CPU.
"Enable variable F-communication IDs" (S7-1200, S7-1500)

Se si attiva questa opzione, è possibile fornire l'ingresso DP_DP_ID delle istruzioni SENDDP o
RCVDP con valori variabili da un DB globale F.
AVVERTENZA
Il valore per il rispettivo ID di comunicazione F (ingresso DP_DP_ID; tipo di dati: INT) può
essere selezionato liberamente**, ma deve essere univoco in tutta la rete* e in tutta la
CPU**** in qualsiasi momento e per tutti i collegamenti di comunicazione orientati alla
sicurezza. L'univocità deve essere verificata nella stampa del programma di sicurezza
durante il collaudo del programma di sicurezza.
Al richiamo dell'istruzione, agli ingressi DP_DP_ID e LADDR devono essere assegnati dei
valori costanti***. Nel programma di sicurezza non sono consentiti accessi in scrittura
diretti a DP_DP_ID e LADDR nei rispettivi DB di istanza! (S016)
Layer 3).
** S7-1200/1500: A partire dalla versione V3.0 delle istruzioni SENDDP e RCVDP, in presenza
di un ID di comunicazione F "0" sull'ingresso DP_DP_ID non viene stabilita alcuna
comunicazione.
*** S7-1200/1500: A partire dalla versione V3.0 delle istruzioni SENDDP e RCVDP all'ingresso
DP_DP_ID possono essere assegnati anche valori variabili di un F-DB globale. Anche in questo
caso durante il collaudo del programma di sicurezza va verificato che l'univocità sia garantita
in qualsiasi momento controllando conseguentemente l'algoritmo per la formazione del
valore variabile. Se all'avviamento del programma di sicurezza non è possibile garantire un ID
di comunicazione F univoco perché quest'ultimo viene definito solo dopo l'avviamento del
programma di sicurezza, assicurarsi che il valore sull'ingresso DP_DP_ID in questa fase sia "0".
devono essere considerate come una unica F-CPU per quando riguarda il DP_DP_ID.

3.8 Area "Flexible F-Link" (S7-1200, S7-1500)
"System generated objects" (S7-1200, S7-1500)

"Create F-I/O DB without prefix."
Se si attiva questa opzione, i nomi dei DB di periferia F (Pagina 160) vengono creati senza
prefisso.
"Clean up"
Il pulsante "Clean up" è previsto a scopi di service e di supporto e pulisce il risultato della
compilazione fail-safe.

Nell'area "Flexible F-Link" è possibile creare nuove comunicazioni F, ottenere informazioni
sulle comunicazioni F esistenti ed eliminare le comunicazioni F.
Requisiti
• F-CPU S7-1500 a partire dal firmware V2.0
• Versione di sistema Safety a partire da V2.2
Informazioni sulle comunicazioni F create

Nell'area "Flexible F-Link" si ottengono informazioni in forma tabellare sulle comunicazioni F
progettate:
• Nome delle variabili univoco in tutta la CPU della comunicazione F.
• Tipo di dati PLC conforme a F (UDT) per dati di trasmissione/ricezione
• Direzione della comunicazione F: Trasmissione/ricezione
• Tempo di controllo F della comunicazione F
• UUID di comunicazione F
• Variabile dei dati di trasmissione
• Variabile per i dati di ricezione

Creazione della comunicazione F

1. Fare clic con il mouse in una riga vuota della tabella su "<Add new>"
2. Assegnare un nome per il collegamento di comunicazione.
3. Selezionare un tipo di dati PLC conforme a F (UDT) per il collegamento di comunicazione.
Se per il collegamento di comunicazione non è ancora stato creato nessun tipo di dati PLC
conformi a F (UDT) o se ne vuole creare uno nuovo, creare un nuovo tipo di dati PLC
conforme a F (UDT) (Pagina 120) con una struttura qualsiasi. Osservare che la dimensione
può essere fino a 100 byte.
4. Selezionare la direzione del collegamento di comunicazione ("Trasmissione" o "Ricezione").
5. Selezionare il tempo di controllo F del collegamento di comunicazione (Pagina 597).
Nella colonna "F-communication UUID" viene visualizzato l'UUID della comunicazione F
tramite Flexible F-Link. L'UUID di comunicazione F garantisce una sufficiente unicità dell'ID di
comunicazione relativo alla sicurezza anche oltre i limiti della rete.
Nella colonna "Send data tag" viene visualizzata la nuova variabile creata per i dati di
trasmissione del DB di comunicazione F (Pagina 287).
Nella colonna "Receive data tag" viene visualizzata la nuova variabile creata per i dati di
ricezione del DB di comunicazione F (Pagina 287).
Il nuovo DB di comunicazione F creato per questa comunicazione F si trova in "Program
blocks\System blocks\STEP 7 Safety\F-communication DBs".
Eliminazione della comunicazione F

1. Selezionare l'intera riga e confermare nel menu di scelta rapida "Delete". È possibile
eliminare simultaneamente anche più comunicazioni F.
Copia della comunicazione F

1. Selezionare l'intera riga e confermare nel menu di scelta rapida "Copy". È possibile copiare
simultaneamente anche più comunicazioni F.
2. Con la voce di menu "Paste" è possibile inferire un qualsiasi numero di volte le comunicazioni
F copiate nella tabella. Gli UUID per la rispettiva comunicazione F viene mantenuto durante
la copia. Generare eventualmente di nuovo gli UUID.
Generazione di nuovi UUID di comunicazione F

1. Selezionare l'intera riga e confermare nel menu di scelta rapida "Generate UUID". È possibile
generare simultaneamente anche più UUID.
Vedere anche
Flexible F-Link (Pagina 283)
Comunicazione del gruppo di esecuzione F (S7-1200, S7-1500) (Pagina 141)

Protezione di accesso 4
Protezione di accesso per il funzionamento produttivo
Per il funzionamento produttivo è indispensabile una protezione di accesso al sistema F
SIMATIC Safety.
Per scopi di test, messa in servizio ecc., all'inizio non è necessaria nessuna protezione di
accesso. Ciò significa che è possibile eseguire tutte le azioni offline e online senza protezione
di accesso, ovvero senza richiedere una password.
AVVERTENZA
L'accesso al sistema F SIMATIC Safety senza protezione di accesso è previsto a scopo di test,
per la messa in servizio, ecc. se l'impianto non si trova nel funzionamento produttivo. Senza
protezione dell'accesso, la sicurezza dell'impianto deve essere assicurata con altre misure
organizzative (Pagina 611).
Configurare e attivare la protezione di accesso prima di passare al funzionamento
produttivo. (S005)
4.1 Panoramica della protezione di accesso
Introduzione
È possibile controllare l'accesso al sistema F SIMATIC Safety con la protezione di accesso ai
dati di progetto rilevanti per la sicurezza e alla password per la F-CPU.
Protezione di accesso per i dati di progetto rilevanti per la sicurezza

La protezione di accesso per i dati di progetto rilevanti per la sicurezza (Pagina 96) è
disponibile in due versioni:
• Assegnazione di una password per i dati di progetto rilevanti per la sicurezza (in modo
specifico per la F-CPU) nel Safety Administration Editor
• Configurazione di una protezione del progetto per tutti i dati di progetto rilevanti per la
sicurezza nel progetto TIA
Protezione di accesso per la F-CPU

La protezione di accesso (Pagina 99) è specifica per la F-CPU. Assegnare quindi una password
per la F-CPU nella progettazione della F-CPU. Questa password serve anche per identificare la
F-CPU e pertanto deve essere univoca in tutta la rete.

4.2 Protezione di accesso per i dati di progetto rilevanti per la sicurezza
4.2 Protezione di accesso per i dati di progetto rilevanti per la

sicurezza
La protezione di accesso ai dati di progetto rilevanti per la sicurezza è efficace per tutte le
operazioni in cui i dati di progetto rilevanti per la sicurezza possono essere modificati offline,
ad es:
• durante la modifica del programma di sicurezza
• durante la modifica e l'eliminazione di gruppi di esecuzione F
• durante la modifica di parametri rilevanti per la sicurezza della periferia F
• durante la compilazione
Le modifiche dei DB standard a cui si accede in lettura o scrittura dal programma di sicurezza
richiedono la ricompilazione del programma stesso. Questi DB standard non sono soggetti a
protezione di accesso per i dati di progetto rilevanti per la sicurezza.
4.2.1 Protezione di accesso in tutta la CPU per i dati di progetto rilevanti per la
sicurezza
Configurazione della protezione di accesso in tutta la CPU per i dati di progetto rilevanti per la
sicurezza
Per impostare una protezione di accesso in tutta la CPU per i dati di progetto rilevanti per la
sicurezza, assegnare una password per il programma di sicurezza. Procedere nel modo
seguente:
2. Selezionare "Safety Administration" e successivamente nel menu di scelta rapida "Go to
protection".
In alternativa fare doppio clic su "Safety Administration". Si apre il Safety Administration
Editor della F-CPU. Nella navigazione dell'area selezionare "Access protection".
3. Selezionare in "Offline safety program protection" il pulsante "Setup" e inserire nella finestra
successiva la password (max. 30 caratteri) per il programma di sicurezza nei campi "New
password" e "Confirm password".
4. Confermare l'immissione della password con "OK".
È stata configurata la protezione di accesso in tutta la CPU per i dati di progetto rilevanti per la
sicurezza ed è stata ottenuta l'autorizzazione di accesso per i dati di progetto rilevanti per la
sicurezza.
Nota
Per ottimizzare la protezione di accesso, utilizzare password diverse per la F-CPU e per il

Modifica della password per i dati di progetto rilevanti per la sicurezza

È possibile eseguire una modifica della password per i dati di progetto rilevanti per la
sicurezza, solo se si dispone dell'autorizzazione di accesso. Anche questa operazione si
effettua nell'area "Access protection" (tramite il pulsante "Change") e si svolge come di
consueto in Windows, inserendo la vecchia password e digitando due volte la nuova
password.
Eliminazione della protezione di accesso in tutta la CPU per i dati di progetto rilevanti per la
sicurezza
Per eliminare una protezione di accesso in tutta la CPU per i dati di progetto rilevanti per la
sicurezza, eliminare la password per il programma di sicurezza. Procedere nel modo
seguente:
protection".
Editor della F-CPU.
3. Nella navigazione dell'area selezionare "Access protection".
4. Fare clic sul pulsante "Change".
5. Inserire la password per il programma di sicurezza in "Old password".
6. Fare clic su "Revoke" e successivamente su "OK".
Ottenere l'autorizzazione di accesso accedendo al programma di sicurezza

Accedere al programma di sicurezza nel modo seguente:
protection".
Editor della F-CPU.
3. Nella navigazione dell'area selezionare "Access protection".
4. Inserire la password per il programma di sicurezza nel campo di immissione "Password".
5. Selezionare il pulsante "Login".
Validità dell'autorizzazione di accesso per i dati di progetto rilevanti per la sicurezza

Se l'autorizzazione di accesso per i dati di progetto rilevanti per la sicurezza è stata ottenuta
inserendo la password, questa rimane valida fino alla chiusura del progetto. Se si esce da TIA
Portal, il progetto ancora aperto si chiude automaticamente e l'autorizzazione di accesso
concessa viene revocata.

Annullamento dell'autorizzazione di accesso mediante logoff

L'autorizzazione di accesso per i dati di progetto rilevanti per la sicurezza può essere annullata
nel modo seguente:
• Nell'area "Access protection" nel Safety Administration Editor con il pulsante "Log off".
• Nel menu di scelta rapida per Safety Administration Editor tramite il tasto destro del
mouse.
• Nel menu di scelta rapida del simbolo del lucchetto nella riga del Safety Administration
Editor.
Questo fa sì che la password per il programma di sicurezza venga richiesta nuovamente
all'azione successiva in cui è necessario inserire una password.
Visualizzazione della validità dell'autorizzazione di accesso

Nella navigazione del progetto, la validità dell'autorizzazione di accesso viene visualizzata nel
modo seguente:
• L'autorizzazione di accesso è valida se il simbolo del lucchetto nella riga del Safety
Administration Editor è visualizzato aperto.
• L'autorizzazione di accesso non è presente se il simbolo del lucchetto è chiuso.
• Se non è rappresentato nessun simbolo del lucchetto, non è stata assegnata nessuna
password.
4.2.2 Protezione di accesso a livello del progetto per i dati di progetto rilevanti
per la sicurezza
In alternativa alla protezione dell'accesso in tutta la CPU per i dati di progetto rilevanti per la
sicurezza con una password nel Safety Administration Editor, è disponibile una protezione del
progetto per il progetto TIA.
Assegnare quindi il diritto di accesso alla funzione "Edit safety-related project data" per utenti
che possono modificare dati di progetto rilevanti per la sicurezza. A tal fine, procedere come
di consueto per i diritti di accesso alla funzione. Per ulteriori informazioni consultare la guida
a STEP 7 in "Gestisci utenti e ruoli".
Nota
Quando si attiva la protezione di accesso a livello del progetto, le password esistenti per i dati
di progetto rilevanti per la sicurezza vengono cancellate per tutte le F-CPU.
Gli utenti che necessitano del diritto di accesso alla funzione "Edit safety-related project data"
possono necessitare di altri diritti di accesso alla funzione, ad es:
• "Modify PLC program", per modificare il programma di sicurezza
• "Downloading to PLC", per caricare i dati di progetto rilevanti per la sicurezza nella F-CPU
• "Modify hardware configuration", per eseguire modifiche della configurazione hardware
rilevante per la sicurezza

4.3 Protezione di accesso per la F-CPU

La protezione di accesso per la F-CPU è efficace per tutte le operazioni in cui i dati di progetto
rilevanti per la sicurezza possono essere modificati online, ad es:
• durane il caricamento del programma di sicurezza nella F-CPU
• (S7-300, S7-400) durante il caricamento della configurazione hardware nella F-CPU, anche
in caso di modifiche alla periferia F non utilizzata nel programma di sicurezza
• (S7-1200, S7-1500) durante il caricamento della configurazione hardware nella F-CPU che
contiene modifiche rilevanti per la sicurezza
• durante l'assegnazione dell'indirizzo PROFIsafe
• durante il caricamento o l'eliminazione dei blocchi F utilizzati nel programma di sicurezza
• durante la disattivazione del funzionamento di sicurezza o del reset del tempo di
esecuzione residuo (l'immissione è sempre richiesta, anche se l'autorizzazione di accesso
per la F-CPU è ancora valida).
• durante l'importazione del backup della F-CPU
Eccezione per le F-CPU S7-1200/1500: Se non si modifica il programma di sicurezza o la
password della F-CPU, la password della F-CPU non viene richiesta.
Configurazione della protezione di accesso per la F-CPU

Per configurare la protezione di accesso per la F-CPU, assegnare una password per la F-CPU
nella progettazione della F-CPU.
È possibile accedervi direttamente facendo clic sul link "Go to the "Protection" area of the
F-CPU" nel Safety Administration Editor, nell'area "Access protection". A tal fine procedere
come descritto nella guida a STEP 7 in "Parametrizzazione dei livelli di accesso".
AVVERTENZA

AVVERTENZA
protection)". Questo livello di protezione concede l'accesso completo solo al programma
utente standard, ma non ai blocchi F.
Se si sceglie un livello di protezione più alto, ad es. per proteggere il programma utente
Mediante il caricamento (Pagina 295) della configurazione hardware sulla F-CPU, si attiva la
protezione di accesso.
AVVERTENZA
Se più F-CPU sono accessibili dallo stesso PG/PC tramite una rete (ad es. Industrial
Ethernet), occorre adottare le seguenti misure aggiuntive per assicurarsi che i dati di
progetto rilevanti per la sicurezza vengano caricati nella F-CPU corretta:
Utilizzare password specifiche per le F-CPU, ad es. una password univoca per le F-CPU con
allegato il rispettivo indirizzo Ethernet.
• Il primo caricamento della configurazione hardware per l'attivazione della protezione di
accesso di una F-CPU deve avvenire tramite un collegamento punto a punto (come nel
caso della prima assegnazione di un indirizzo MPI a una F-CPU).
• Prima di caricare in una F-CPU i dati di progetto rilevanti per la sicurezza è necessario
annullare l'eventuale autorizzazione di accesso a un'altra F-CPU.
• L'ultimo caricamento dei dati di progetto rilevanti per la sicurezza prima del passaggio al
funzionamento produttivo deve essere effettuato con la protezione di accesso attivata.
(S021)
AVVERTENZA
In caso di impiego di tool per l'automazione o il comando (via TIA Portal o server Web) in
grado di aggirare la protezione di accesso della F-CPU (ad es. memorizzazione o immissione
automatica di una password CPU per il livello di protezione "Full access with fail-safe (no
protection)" o di una password del server Web), la protezione contro la modifica accidentale
dei dati di progetto rilevanti per la sicurezza potrebbe non essere più garantita. (S078)
Modifica della password per la F-CPU

Affinché la nuova password diventi valida dopo la modifica della password della F-CPU, è
necessario caricare la progettazione modificata nella F-CPU. Per questa operazione di
caricamento è eventualmente necessario inserire la "vecchia" password della F-CPU. Per
questa operazione la F-CPU deve essere in STOP.

4.4 Protezione dell'accesso tramite misure organizzative
Eliminazione della protezione di accesso per la F-CPU

Pe eliminare la protezione di accesso per la F-CPU, eliminare la password per la F-CPU. A tal
fine, procedere come indicato nello standard.
Ottenere l'autorizzazione di accesso per la F-CPU

L'autorizzazione di accesso per la F-CPU si ottiene inserendo la password per la F-CPU - a
seconda del livello di protezione configurato - prima di un'azione che richiede una password.
Validità dell'autorizzazione di accesso per la F-CPU

Un'autorizzazione di accesso per la F-CPU è valida fino alla chiusura del progetto in TIA Portal
o all'annullamento dell'autorizzazione di accesso.
Annullamento dell'autorizzazione di accesso per la F-CPU

L'autorizzazione di accesso si annulla con la voce di menu "Online > Delete access rights".
AVVERTENZA
La validità dell'autorizzazione di accesso non è limitata nel tempo.

Dopo avere ottenuto l'autorizzazione di accesso alla F-CPU, è necessario annullarla prima di
uscire dal PG/PC o adottare altre misure organizzative (Pagina 611). (S006)

Per impedire che un programma di sicurezza possa essere sostituito senza autorizzazione
mediante la sostituzione di un supporto di memoria (ad es. Flash-Card, SIMATIC Micro
Memory Card o disco rigido in WinAC RTX F o Software Controller S7-1500 F), osservare
l'avvertenza seguente:
AVVERTENZA
L'accesso alla F-CPU deve essere riservato, tramite misure organizzative (Pagina 611), solo
alle persone autorizzate a inserire supporti dati rimovibili. (S079)

Per evitare che un WinAC RTX F o un Software Controller S7-1500 F venga disinstallato o
installato per errore, osservare l'avvertenza seguente:
AVVERTENZA
L'accesso ad un WinAC RTX F o ad un Software Controller S7-1500 F deve essere riservato,

tramite misure organizzative (Pagina 611), solo a persone autorizzate all'installazione, alla
disinstallazione e alla riparazione di un WinAC RTX F o di un Software Controller S7-1500 F
(ad es. tramite i diritti di amministratore di Windows (ADMIN)). (S075)
In un Software Controller S7-1500 F con una stazione PC fino alla versione V2.1, la funzione
"Delete Configuration" viene visualizzata sul pannello della stazione PC solo se nella F-CPU
non è configurata una protezione di accesso (nessuna protezione).
Nelle stazioni PC a partire dalla versione V2.2, il sistema verifica se l'utente Windows attuale
fa parte del gruppo di utenti Windows "Failsafe Operators". Se l'utente Windows che ha
effettuato il login è un membro del gruppo, egli è autorizzato ad eseguire la funzione "Delete
Configuration" anche con la password F impostata. Se l'utente Windows che ha effettuato il
login non è un membro del gruppo, la stazione PC si comporta come le stazioni fino alla
versione V2.1.
Si raccomanda pertanto di configurare la protezione di accesso F solo dopo la messa in
servizio.
Per evitare in una F-CPU S7-1500 il ripristino accidentale dei dati di progetto rilevanti per la
sicurezza, la formattazione della F-CPU e l'eliminazione delle cartelle di programma tramite il
display, osservare l'avvertenza seguente:
AVVERTENZA
La password del display deve essere comunicata solo a persone autorizzate ad eseguire il
ripristino dei dati di progetto rilevanti per la sicurezza, la formattazione della F-CPU e
l'eliminazione delle cartelle del programma. Se non è impostata nessuna password per il
display, si deve proteggere il display contro l'uso non autorizzato mediante misure
organizzative (Pagina 611). (S063)

Per evitare il ripristino accidentale dei dati di progetto rilevanti per la sicurezza del
programma di sicurezza con il server web nelle F-CPU S7-1200/1500, osservare l'avvertenza
seguente:
AVVERTENZA
L'autorizzazione "F-Admin" sul server Web senza protezione con password (utente
"Everybody") è prevista a scopo di test, per la messa in servizio, ecc. Questo significa che può
essere utilizzata solo quando l'impianto non si trova nel funzionamento produttivo. In
questo caso la sicurezza dell'impianto deve essere assicurata con altre misure organizzative
(Pagina 611).
È necessario rimuovere l'autorizzazione "F-Admin" dell'utente "Everybody" prima di passare
al funzionamento produttivo.
La password utente del server Web con l'autorizzazione "F-Admin" deve essere accessibile
solo a persone autorizzate. Dopo il caricamento della configurazione hardware, controllare
se sulla F-CPU solo gli utenti autorizzati del server Web possiedono l'autorizzazione "F-
Admin". A tal fine utilizzare la modalità online del Safety Administration Editor.
Il salvataggio del file di login e della password del server Web nel browser è consentito solo
se sono state adottate altre misure organizzative (Pagina 611) che impediscono l'utilizzo da
parte di persone non autorizzate.
Se si utilizza il meccanismo dei ticket, è necessario impostare i ticket con lo stesso livello di
limitazione della password dell'utente del server Web che ha il diritto "F Admin". (S064)

Programmazione 5
5.1 Panoramica della programmazione
Introduzione
Un programma di sicurezza è costituito da blocchi F creati con il linguaggio di
programmazione FUP o KOP e da blocchi F aggiunti automaticamente. In questo modo nel
programma di sicurezza creato dall'utente vengono inserite automaticamente delle misure di
controllo e di riconoscimento degli errori e vengono eseguite delle verifiche aggiuntive
rilevanti per la sicurezza. Inoltre, l'utente ha la possibilità di inserire nel programma di
sicurezza delle speciali funzioni di sicurezza predefinite sotto forma di istruzioni.
Di seguito sono descritti i seguenti elementi:
• la struttura del programma di sicurezza
• i blocchi fail-safe
• le differenze tra la programmazione di programmi di sicurezza con FUP/KOP e la
programmazione di programmi utente standard
5.1.1 Struttura del programma di sicurezza (S7-300, S7-400)
Rappresentazione della struttura del programma

La struttura di un programma di sicurezza è costituita da uno o due gruppi di esecuzione F.
Ciascun gruppo di esecuzione F contiene:
• blocchi F creati dall'utente con FUP o KOP oppure acquisti dalla biblioteca di progetto o
dalle biblioteche globali
• blocchi F integrati automaticamente (blocchi di sistema F, F-SB, blocchi F generati
automaticamente e DB di periferia F)

Programmazione
La figura seguente mostra la struttura schematica di un programma di sicurezza o di un

gruppo di esecuzione F di una F-CPU S7-300/400.

Programmazione
Blocco Main Safety

Il blocco Main Safety è il primo blocco F del programma di sicurezza che viene programmato
dall'utente. Durante la compilazione vengono inseriti dei richiami aggiuntivi invisibili dei
blocchi di sistema F.
Il blocco Main Safety deve essere assegnato ad un gruppo di esecuzione F (Pagina 128).
In una F-CPU S7-300/400 il blocco Main Safety viene richiamato da qualsiasi blocco del
programma utente standard. Si raccomanda un richiamo da un OB 3x.
Gruppi di esecuzione F
Per una maggiore facilità d'uso, un programma di sicurezza è costituito da uno o due "gruppi
di esecuzione F". Un gruppo di esecuzione F è un costrutto logico costituito da diversi
blocchi F correlati che viene formato internamente dal sistema F.
Un gruppo di esecuzione F è costituito da:
• un blocco Main Safety (F-FB/F-FC, assegnato all'OB (o FB/FC) di richiamo)
• eventuali altri F-FB/F-FC programmati con FUP/KOP e richiamati dal blocco Main Safety
• eventualmente uno o più F-DB
• DB di periferia F
• blocchi F acquisiti dalla biblioteca di progetto oppure dalle biblioteche globali
• blocchi di sistema F, F-SB
• blocchi F generati automaticamente
Suddivisione del programma di sicurezza in due gruppi di esecuzione F

Il programma di sicurezza può essere suddiviso in due gruppi di esecuzione F. Eseguendo
parti del programma di sicurezza (un gruppo di esecuzione F) in un livello esecutivo più
rapido si ottengono circuiti di sicurezza più veloci con tempi di reazione più brevi.
5.1.2 Struttura del programma di sicurezza (S7-1200, S7-1500)
Rappresentazione della struttura del programma

La struttura di un programma di sicurezza è costituita da uno o due gruppi di esecuzione F.

Programmazione
Ciascun gruppo di esecuzione F contiene:

• blocchi F creati dall'utente con FUP o KOP oppure acquisti dalla biblioteca di progetto o
• blocchi F inseriti automaticamente (blocchi di sistema F, F-SB, blocchi F generati
automaticamente, DB informativo del gruppo di esecuzione F e DB di periferia F)
La figura seguente mostra la struttura schematica di un programma di sicurezza o di un
gruppo di esecuzione F di una F-CPU S7-1200/1500.

Programmazione
Blocco Main Safety

Il blocco Main Safety è il primo blocco F del programma di sicurezza che viene programmato
dall'utente.
Il blocco Main Safety deve essere assegnato ad un gruppo di esecuzione F (Pagina 128).
In una F-CPU S7-1200/1500 il blocco Main Safety viene richiamato con l'F-OB assegnato al
gruppo di esecuzione F.
Gruppi di esecuzione F
Per una maggiore facilità d'uso, un programma di sicurezza è costituito da uno o due "gruppi
di esecuzione F". Un gruppo di esecuzione F è un costrutto logico costituito da diversi
blocchi F correlati che viene formato internamente dal sistema F.
Un gruppo di esecuzione F è costituito da:
• un F-OB che richiama il blocco Main Safety
• un blocco Main Safety (F-FB/F-FC, assegnato all'F-OB)
• eventuali altri F-FB/F-FC programmati con FUP/KOP e richiamati dal blocco Main Safety
• eventualmente uno o più F-DB
• DB di periferia F
• DB informativo del gruppo di esecuzione F
• blocchi F acquisiti dalla biblioteca di progetto oppure dalle biblioteche globali
• blocchi di sistema F, F-SB
• blocchi F generati automaticamente
• eventualmente un blocco di pre e/o postelaborazione (vedere Pre/postelaborazione
(S7-1200, S7-1500) (Pagina 83))
Pre/postelaborazione di un gruppo di esecuzione F

È possibile richiamare i blocchi del programma utente standard (FC) immediatamente prima o
dopo un gruppo di esecuzione F. Ad es. per il trasferimento dei dati durante la comunicazione
fail-safe tramite Flexible F-Link (vedere Pre/postelaborazione (S7-1200, S7-1500)
(Pagina 83)).
Suddivisione del programma di sicurezza in due gruppi di esecuzione F

Il programma di sicurezza può essere suddiviso in due gruppi di esecuzione F. Eseguendo
parti del programma di sicurezza (un gruppo di esecuzione F) in un livello esecutivo più
rapido si ottengono circuiti di sicurezza più veloci con tempi di reazione più brevi.

Programmazione
Vedere anche
DB informativo del gruppo di esecuzione F (S7-1200, S7-1500) (Pagina 149)
5.1.3 Programma di sicurezza nella Software Unit (Safety Unit) (S7-1500)
Introduzione
Per usufruire dei vantaggi delle Software Unit (ad es. la compilazione e il caricamento
indipendente) anche per il programma di sicurezza, si possono impiegare le Safety Unit.
In questo modo i blocchi del programma di sicurezza si trovano solo nella Software Unit e non
possono più essere creati nella cartella "Program blocks" direttamente sotto la F-CPU.
La decisione di utilizzare la Safety Unit deve essere adottata prima di creare la F-CPU. Dopo la
creazione della F-CPU, la decisione non è più modificabile per quella F-CPU specifica.
Requisiti
• F-CPU S7-1500 con FW V2.6 o superiore
• In "Options/Settings/STEP 7 Safety" è selezionata l'opzione "Manage fail-safe in 'Software
Units' environment".
• Viene creata una nuova F-CPU.
Programma di sicurezza nella Safety Unit

Dopo la creazione di una nuova F-CPU il programma di sicurezza si trova nella Safety Unit.

Programmazione
Per lo scambio dei dati tra il programma di sicurezza e il programma utente standard
utilizzare un blocco dati di trasferimento (Pagina 187) creato come DB standard globale nella
Safety Unit.
Informazioni sulle Software Unit sono disponibili nella Guida di STEP 7 in "Utilizzo di Software
Units".
Particolarità
• La Safety Unit non può essere inserita in una biblioteca.
• I blocchi di sistema della Safety Unit non possono essere pubblicati.
5.1.4 Blocchi fail-safe
Blocchi F di un gruppo di esecuzione F

La seguente tabella mostra i blocchi F utilizzati in un gruppo di esecuzione F:
Blocco F Funzione F-CPU F-CPU

S7-300/400 S7-1200/
1500
Blocco L'accesso alla programmazione del programma di sicurezza avviene tramite il X X
Main Safety blocco Main Safety.
Nelle F-CPU S7-300/400 il blocco Main Safety è un F-FC oppure un F-FB (con
DB di istanza) che viene richiamato tramite un blocco standard
(raccomandazione: OB 35) dal programma utente standard.
Nelle F-CPU S7-1200/1500 il blocco Main Safety è un F-FC oppure un F-FB (con
DB di istanza) che viene richiamato dall'F-OB.
F-FB/F-FC Sia nel blocco Main Safety sia negli altri F-FB e F-FC è possibile: X X
• programmare il programma di sicurezza con le istruzioni disponibili in FUP
o KOP per il blocchi F
• richiamare altri F-FB/F-FC per la strutturazione del programma di sicurezza
• inserire blocchi F acquisiti dalla biblioteca di progetto oppure dalle
biblioteche globali
F-DB Blocchi dati fail-safe utilizzabili opzionalmente, accessibili in lettura e scrittura X X
all'interno dell'intero programma di sicurezza.
DB di periferia F Durante la configurazione della periferia F viene creato automaticamente un X X
DB specifico per ogni periferia F. Alle variabili del DB di periferia F si può o si
deve accedere in combinazione con gli accessi alla periferia F.
DB globale F Il DB globale F è un blocco dati fail-safe che contiene tutti i dati globali del X —
programma di sicurezza e informazioni aggiuntive necessarie per il sistema F.
DB informativo Durante la creazione di un gruppo di esecuzione F viene creato un DB — X
del gruppo di informativo del gruppo di esecuzione F.
esecuzione F Il DB informativo del gruppo di esecuzione F fornisce informazioni sul gruppo
di esecuzione F e sull'intero programma di sicurezza.

Programmazione
Nota
I blocchi di sistema F della cartella "System blocks" non possono essere inseriti in un blocco
Main Safety/F-FB/F-FC.
Istruzioni per il programma di sicurezza

La task card "Instructions" contiene, a seconda della F-CPU utilizzata, le istruzioni che possono
essere utilizzate per la programmazione del programma di sicurezza.
Sono presenti le istruzioni già note del programma utente standard, come ad es.
combinazioni logiche a bit, funzioni matematiche, funzioni per il controllo del programma e
combinazioni logiche a parole.
Inoltre sono disponibili istruzioni per le funzioni di sicurezza, ad es. controllo a due mani,
analisi di discrepanza, muting, ARRESTO DI EMERGENZA/OFF di emergenza, sorveglianza del
riparo di protezione, sorveglianza del circuito di retroazione e istruzioni per la comunicazione
di sicurezza tra le F-CPU.
Per la descrizione dettagliata delle istruzioni per il programma di sicurezza vedere Panoramica
delle istruzioni (Pagina 386).
Utilizzo delle versioni delle istruzioni

Come le istruzioni del programma utente standard, anche le istruzioni del programma di
sicurezza possono avere diverse versioni.
Ulteriori informazioni sulle versioni delle istruzioni sono contenute nella Guida a STEP 7 in
"Nozioni di base sulle versioni delle istruzioni".

Programmazione
Ulteriori informazioni sulle differenze tra le singole versioni delle istruzioni per il programma
di sicurezza sono riportate nei capitoli dedicati alle rispettive istruzioni.
Nota
Osservare le indicazioni seguenti:
• Se la versione di una istruzione utilizzata nel programma di sicurezza viene sostituita nella
task card "Instructions" con una versione non perfettamente identica dal punto di vista
funzionale, dopo la nuova compilazione del programma di sicurezza il funzionamento del
programma di sicurezza potrebbe essere modificato. Oltre alla firma del blocco F che
utilizza l'istruzione si modificano anche la firma collettiva F e la firma collettiva F-SW del
programma di sicurezza. Potrebbe essere necessario un collaudo delle modifiche
(Pagina 372).
• (S7-300/400) Quando all'interno del programma di sicurezza viene utilizzato un blocco F
con know-how protetto che utilizza una istruzione con una versione differente da quella
impostata nella task card "Instructions", se l'interfaccia delle versioni delle istruzioni è
identica, durante la compilazione del programma di sicurezza senza immissione della
password la versione viene adattata a quella impostata nella task card "Instructions". Se le
versioni delle istruzioni non sono identiche dal punto di vista funzionale, potrebbe
modificarsi la funzione del blocco F con know-how protetto e si modifica sempre la sua
firma.
5.1.5 Limitazioni dei linguaggi di programmazione FUP/KOP
Linguaggi di programmazione FUP e KOP

Il programma utente nella F-CPU in genere è composto da un programma utente standard e
da un programma di sicurezza.
Il programma utente standard viene creato con dei linguaggi di programmazione standard,
ad es. SCL, AWL, KOP o FUP.
Il programma di sicurezza può essere creato con KOP o FUP con alcune limitazioni relative alle
istruzioni, ai tipi di dati utilizzabili e alle aree degli operandi. Osservare anche le avvertenze
relative alle limitazioni delle singole istruzioni.

Programmazione
Istruzioni supportate
Le istruzioni disponibili dipendono dalla F-CPU utilizzata. Le istruzioni supportate sono
elencate nella descrizione delle istruzioni (a partire da Istruzioni STEP 7 Safety V18
(Pagina 386)).
Nota
Un collegamento dell'ingresso di abilitazione EN o dell'uscita di abilitazione ENO non è
possibile.
Eccezione:
(S7-1200, S7-1500) Con le seguenti istruzioni è possibile programmare un riconoscimento di
overflow collegando l'uscita di abilitazione ENO:
• ADD: Somma (STEP 7 Safety V18) (Pagina 511)
• SUB: Sottrazione (STEP 7 Safety V18) (Pagina 514)
• MUL: Moltiplicazione (STEP 7 Safety V18) (Pagina 517)
• DIV: Divisione (STEP 7 Safety V18) (Pagina 519)
• NEG: Creazione del complemento a due (STEP 7 Safety V18) (Pagina 523)
• ABS: Generazione del valore assoluto (STEP 7 Safety V18) (S7-1200, S7-1500)
(Pagina 526)
• CONVERT: Conversione del valore (STEP 7 Safety V18) (Pagina 538)
Dati e tipi di parametri supportati

Sono supportati solo i seguenti tipi di dati:
• BOOL
• INT
• WORD
• DINT
• DWORD (S7-300, S7-400)
• TIME

Programmazione
• ARRAY, ARRAY[*] in caso di utilizzo delle istruzioni RD_ARRAY_I: Lettura del valore
dall'array F INT (STEP 7 Safety V18) (S7-1500) (Pagina 529) e RD_ARRAY_DI: Lettura del
valore dall'array F DINT (STEP 7 Safety V18) (S7-1500) (Pagina 531).
Limitazioni:
– ARRAY solo nei DB globali F
– Limiti dell'ARRAY: da 0 a max. 10000
– ARRAY[*] solo come parametro di transito (InOut) negli F-FC e negli F-FB
– ARRAY of UDT non è consentito
– ARRAY of Bool non è consentito
– ARRAY of Word non è consentito
– ARRAY of Time non è consentito
• Tipo di dati PLC conforme a F (UDT) (S7-1200, S7-1500)
Nota
Se il risultato di una istruzione non rientra nel campo consentito per il tipo di dati, la F-CPU
può passare in STOP. Nel buffer di diagnostica della F-CPU viene registrata la causa
dell'evento di diagnostica.
Pertanto, fare attenzione già in fase di creazione del programma a non superare i limiti
ammessi per l'area per il tipo di dati configurato e scegliere un tipo di dati adatto oppure
utilizzare l'uscita ENO.
Vedere la descrizione delle singole istruzioni.
Dati e tipi di parametri non ammessi

Non sono ammessi i seguenti tipi:
• tutti i tipi non elencati nella sezione "Dati e tipi di parametri supportati" (ad es. BYTE, REAL)
• i tipi di dati complessi (ad es. STRING, ARRAY (S7-300, S7-400, S7-1200), STRUCT, il tipo di
dati PLC (UDT) (S7-300, S7-400))
• i tipi di parametri (ad es. BLOCK_FB, BLOCK_DB, ANY)

Programmazione
Aree operandi supportate

La memoria di sistema di una F-CPU è suddivisa nelle stesse aree operandi di una CPU
standard. Nel programma di sicurezza è possibile accedere alle aree operandi riportate nella
tabella seguente.
Tabella 5- 1 Aree operandi supportate
Area operandi Descrizione

Immagine di processo degli ingressi
• della periferia F È possibile accedere ai canali di ingresso della periferia F solo in
lettura.
Di conseguenza, il trasferimento ai parametri di transito (IN_OUT) di
un F-FB o di un F-FC non è consentito.
L'immagine di processo degli ingressi della periferia F viene aggiornata
prima dell'inizio del blocco Main Safety.
• della periferia standard È possibile accedere ai canali di ingresso della periferia standard solo in
lettura.
Inoltre è richiesto un controllo di plausibilità specifico del processo.
Per l'ora di aggiornamento dell'immagine di processo degli ingressi
della periferia standard, consultare la Guida a STEP 7.
Immagine di processo delle uscite
• della periferia F È possibile accedere ai canali di uscita della periferia F solo in scrittura.
I valori per le uscite della periferia F vengono calcolati nel programma
di sicurezza e salvati nell'immagine di processo delle uscite.
L'immagine di processo delle uscite della periferia F viene aggiornata
dopo l'esecuzione del blocco Main Safety.
• della periferia standard È possibile accedere ai canali di uscita della periferia standard solo in
scrittura.
Se necessario, anche i valori per le uscite della periferia standard
vengono calcolati nel programma di sicurezza e salvati nell'immagine
di processo delle uscite.
Per l'ora di aggiornamento dell'immagine di processo delle uscite della
periferia standard, consultare la Guida a STEP 7.
Merker Questa area serve per lo scambio di dati con il programma utente
standard.
In caso di accesso in lettura è necessario anche un controllo di
plausibilità specifico del processo.
Nel programma di sicurezza è possibile accedere a un merker in
scrittura o in lettura.
Osservare che l'utilizzo dei merker è consentito solo per
l'accoppiamento tra programma utente standard e programma di
sicurezza; i merker non possono essere utilizzati come memoria
intermedia per i dati F.

Programmazione
Area operandi Descrizione

Blocchi dati
• F-DB I blocchi dati salvano informazioni per il programma. Possono essere
definiti come blocchi dati globali in modo da essere accessibili a tutti
gli F-FB/F-FC/blocchi Main Safety oppure essere assegnati ad un
F-FB/blocco Main Safety specifico (DB di istanza). È possibile accedere
ad una variabile di un DB globale solo da un gruppo di esecuzione F e a
un DB di istanza solo dal gruppo di esecuzione F nel quale viene
richiamato il relativo F-FB/la relativa istruzione.
• DB Questa area serve per lo scambio di dati con il programma utente
standard.
In caso di accesso in lettura è necessario anche un controllo di
plausibilità specifico del processo.
Nel programma di sicurezza è possibile accedere alla variabile di un DB
in scrittura o in lettura.
Osservare che l'utilizzo delle variabili di un DB è consentito solo per
l'accoppiamento tra programma utente standard e programma di
sicurezza; i DB non possono essere utilizzati come memoria intermedia
per i dati F.
Dati locali temporanei Quest'area di memoria registra i dati temporanei di un blocco (F) per
tutta la durata della sua elaborazione. Lo stack dei dati locali, inoltre,
mette a disposizione spazio di memoria per il trasferimento dei
parametri dei blocchi e per il salvataggio dei risultati intermedi.
Conversione del tipo di dati

Come nel programma utente standard, anche nel programma di sicurezza sono disponibili
due opzioni per la conversione del tipo di dati:
• Conversione implicita
La conversione implicita viene effettuata come nel programma utente standard con le
seguenti limitazioni: La lunghezza dei bit del tipo di dati sorgente deve coincidere con
quella del tipo di dati di destinazione.
• Conversione esplicita
Un'istruzione di conversione esplicita (Pagina 538) viene utilizzata prima dell'esecuzione
dell'istruzione vera e propria.
Accessi Slice
Gli accessi Slice non sono ammessi nel programma di sicurezza.

Programmazione
Aree operandi non ammesse

Non è ammesso l'accesso con unità non riportate nella tabella precedente, e non è possibile
accedere alle aree operandi non elencate nella tabella, in particolare a:
• Blocchi dati aggiunti automaticamente
Eccezione: determinate variabili del DB di periferia F (Pagina 159) e del DB globale F
(S7-300, S7-400) (Pagina 149) o DB informativo del gruppo di esecuzione F (S7-1200,
S7-1500) (Pagina 149)
• Area di periferia: ingressi
• Area di periferia: uscite
Costanti booleane "0" o "FALSE" e "1" o "TRUE" (S7-300, S7-400)

Nelle F-CPU S7-300/400 all'interno del DB globale F sono disponibili le costanti booleane "0" o
"FALSE" e "1" o "TRUE" come "variabili" "RLO0" e "RLO1". A queste costanti si accede con un
accesso DB completamente qualificato ("F_GLOBDB".RLO0 oppure "F_GLOBDB".RLO1).
Costanti booleane "0" o "FALSE" e "1" o "TRUE" (S7-1200, S7-1500)

Nelle F-CPU S7-1200/1500 sono disponibili le costanti booleane "0" o "FALSE" e "1" o "TRUE"
per l'assegnazione dei parametri durante il richiamo dei blocchi. Queste costanti possono
essere inserite nei rispettivi ingressi dei blocchi direttamente in FUP o KOP.
Esempio FUP:
Esempio KOP:

Programmazione
In alternativa esiste ancora la possibilità di creare "1" o "TRUE" anche in una variabile con
l'ausilio dell'istruzione "Assignment (Pagina 396)".
A questo scopo, lasciare scollegato l'ingresso dell'istruzione "Assignment" in FUP. In KOP
interconnettere l'ingresso direttamente con la sbarra di alimentazione.
Una variabile con "0" o "FALSE" si ottiene con l'inversione successiva con l'istruzione "Invert
RLO (Pagina 392)".
Esempio FUP:
Esempio KOP:
Area operandi dei dati locali temporanei: Particolarità
Nota
Se si utilizza l'area operandi dei dati locali temporanei, tenere presente che il primo accesso a
un dato locale in un blocco Main safety/F-FB/F-FC deve sempre essere un accesso in scrittura
che inizializza il dato locale.
Accertarsi che l'inizializzazione del dato locale temporaneo avvenga prima della prima
istruzione JMP, JMPN o RET.
L'inizializzazione di un "bit di dati locali" deve essere effettuata con l'istruzione di
assegnazione ("=") (FUP) o ("--( )") (KOP). Assegnare al bit di dati locali lo stato di segnale "0" o
"1" come costante booleana.
Non è possibile inizializzare i bit di dati locali con le istruzioni flip-flop (SR, RS), Imposta uscita
(S) o Resetta uscita (R).
In caso di mancata osservanza la F-CPU può passare in STOP. La causa dell'evento di
diagnostica viene inserita nel buffer di diagnostica della F-CPU.
"Accesso al DB completamente qualificato"

L'accesso alle variabili di un blocco dati in un F-FB/F-FC avviene come "accesso al DB
completamente qualificato". Questo vale anche per il primo accesso alle variabili di un blocco
dati dopo un'etichetta di salto.
Nelle F-CPU S7-300/400 deve essere eseguito come "accesso al DB completamente
qualificato" solo il primo accesso. In alternativa è possibile utilizzare l'istruzione "OPN".

Programmazione
Esempio di "accesso al DB completamente qualificato":

Assegnare un nome all'F-DB, ad es. "F_Data_1". Utilizzare il nome assegnato nella
dichiarazione dell'F-DB (invece degli indirizzi assoluti).
Figura 5-1 Esempio con accesso completamente qualificato
Esempio di "accesso al DB non completamente qualificato" (S7-300, S7-400):
Figura 5-2 Esempio senza accesso completamente qualificato
Accesso ai DB di istanza
È possibile accedere in modo completamente qualificato anche ai DB di istanza degli F-FB,
ad es. per la trasmissione dei parametri dei blocchi. Gli accessi ai dati locali statici in istanze
singole/multiistanze di altri F-FB non sono consentiti.
(S7-300, S7-400) Osservare che l'accesso ai DB di istanza degli F-FB che non vengono
richiamati nel programma di sicurezza possono provocare lo STOP della F-CPU.
Per le F-CPU S7-1200/1500 osservare l'avvertenza seguente:
AVVERTENZA
Se si programmano accessi globali ai DB di istanza degli F-FB, è necessario fare in modo che
nel programma di sicurezza venga richiamato l'F-FB corrispondente. (S096)

Programmazione
5.1.6 Tipi di dati PLC conformi a F (UDT) (S7-1200, S7-1500)
Introduzione
I tipi di dati PLC conformi a F (UDT) vengono dichiarati e utilizzati come i tipi di dati PLC
standard (UDT). I tipi di dati PLC conformi a F (UDT) possono essere utilizzati sia nel
programma di sicurezza sia nel programma utente standard.
Le differenze rispetto ai tipi di dati PLC standard (UDT) sono descritte in questo capitolo.
Informazioni sull'utilizzo e sulla dichiarazione dei tipi di dati PLC standard (UDT) sono
contenute nella Guida a STEP 7 in "Dichiarazione dei tipi di dati PLC".
Dichiarazione dei tipi di dati PLC conformi a F (UDT)

I tipi di dati PLC conformi a F (UDT) vengono dichiarati come i tipi di dati PLC standard (UDT).
Nei tipi di dati PLC conformi a F (UDT) è possibile utilizzare tutti i tipi di dati (Pagina 112)
utilizzabili anche nei programmi di sicurezza. Eccezione: ARRAY.
Per la dichiarazione procedere nel modo seguente:
1. Nella navigazione del progetto, nella cartella "PLC Data Types" fare clic sul comando di menu
"Add new PLC data type".
2. Per creare un tipo di dati PLC conforme a F (UDT), attivare nella finestra di dialogo "Add new
data type" l'opzione "Create F-compliant PLC data type".
3. Procedere come descritto nella Guida a STEP 7 in "Programmazione della struttura dei tipi di
dati PLC".
I valori predefiniti dei tipi di dati PLC conformi a F (UDT) vengono definiti durante la
dichiarazione.
Utilizzo dei tipi di dati PLC conformi a F (UDT)

I tipi di dati PLC conformi a F (UDT) vengono utilizzati come i tipi di dati PLC standard (UDT).
Profondità di annidamento dei tipi di dati PLC conformi a F

Diversamente da quanto accade per i tipi di dati PLC standard (profondità di annidamento =
8), nel caso dei tipi di dati PLC conformi a F la profondità di annidamento massima è limitata.
La profondità di annidamento dipende dalla sequenza di richiamo del blocco nel quale è
dichiarata una variabile del tipo di dati PLC conforme a F. Ogni livello di richiamo degli F-FC o
degli F-FB di multiistanza riduce la profondità di annidamento massima dei tipi di dati PLC
conformi a F utilizzati. Negli F-FB di multiistanza il blocco che effettua il richiamo conta come
un livello aggiuntivo.
Se in un blocco dati F globale viene dichiarata una variabile di un tipo di dati PLC conforme a
F, la profondità di annidamento massima di quest'ultimo è =7.

Programmazione
Esempio 1
Il blocco Main Safety (livello 1) richiama un F-FB come multiistanza (livello 2), il quale a sua
volta richiama un F-FC (livello 3) nel quale è dichiarata una variabile del tipo di un tipo di dati
PLC conforme a F annidato. In questo modo è disponibile una profondità di annidamento
massima di 5 per il tipo di dati PLC conforme a F utilizzato dalla variabile.
Esempio 2
Il blocco Main Safety richiama un F-FB come istanza singola (livello 1), il quale a sua volta
richiama un F-FC (livello 2) nel quale è dichiarata una variabile del tipo di un tipo di dati PLC
conforme a F annidato. In questo modo è disponibile una profondità di annidamento
massima di 6 per il tipo di dati PLC conforme a F utilizzato dalla variabile.
Modifiche dei tipi di dati PLC conformi a F (UDT)

Per la modifica dei tipi di dati PLC conformi a F (UDT) è richiesta la password del programma
di sicurezza, Indipendentemente dal fatto che il tipo di dati PLC conforme a F (UDT) venga
utilizzato in un blocco F, in un blocco standard o non venga utilizzato in nessun blocco.
Vedere anche
Area "F-compliant PLC data types" (S7-1200, S7-1500) (Pagina 86)
5.1.6.1 Raggruppamento in strutture delle variabili PLC per gli ingressi e le uscite della
periferia F (S7-1200, S7-1500)
Le variabili PLC per gli ingressi e le uscite della periferia F possono essere raggruppate in
strutture (variabili PLC strutturate) come quelle degli ingressi e delle uscite della periferia
standard.
A questo scopo si utilizzano i tipo di dati PLC conformi a F (UDT).
Regole
Tenere presente che durante la creazione delle variabili PLC strutturate degli ingressi e delle
uscite della periferia F occorre osservare, oltre alle regole standard, anche le regole seguenti:
• In una variabile PLC strutturata non possono essere raggruppati contemporaneamente
ingressi e uscite di periferia standard e periferia F.
• In una variabile PLC strutturata possono essere raggruppati esclusivamente ingressi e
uscite di canali realmente esistenti (valore del canale e stato del valore).
Vedere anche Indirizzamento della periferia F (Pagina 152)
• In una variabile PLC strutturata possono essere raggruppati esclusivamente ingressi e
uscite di canali (valore del canale e stato del valore) attivati nella configurazione
hardware.

Programmazione
• In una variabile PLC strutturata possono essere raggruppati esclusivamente ingressi di

canali (valore del canale e stato del valore) i quali, quando è impostato "1oo2 sensor
evaluation", mettono a disposizione il risultato di "1oo2 sensor evaluation"
• Raggruppare in una variabile PLC strutturata tutti gli ingressi e le uscite di una periferia F.
In caso di suddivisione in più variabili PLC strutturate, queste possono iniziare solo con
multipli di 16 bit. Ciò vale anche per i tipi di dati PLC conformi a F (UDT) annidati. Vedere
le regole standard.
In caso di mancata osservanza la F-CPU può passare in STOP. Nel buffer di diagnostica
della F-CPU viene registrata la causa dell'evento di diagnostica.
• Una variabile PLC strutturata in cui sono raggruppate le uscite di una periferia F non deve
sovrapporsi ad altre variabili PLC.
In caso di mancata osservanza la F-CPU può passare in STOP. Nel buffer di diagnostica
della F-CPU viene registrata la causa dell'evento di diagnostica.
Nota
Per rispettare queste regole è necessario dichiarare il tipo di dati PLC conforme a F utilizzato
per la variabile PLC strutturata
Nella scheda "IO tags" nella progettazione di una periferia F è possibile vedere quali indirizzi
sono occupati da una variabile PLC strutturata.
5.1.6.2 Esempio di variabili PLC strutturate per gli ingressi e le uscite della periferia F
(S7-1200, S7-1500)
Introduzione
L'esempio seguente illustra, sulla base del modulo F 4 F-DI/3 F-DO DC24V/2A con valutazione
1oo2, in che modo utilizzare le variabili PLC strutturate per l'accesso alla periferia F.

Programmazione
Struttura dei canali del modulo F 4 F-DI/3 F-DO DC24V/2A

La tabella seguente mostra la struttura dei canali e l'assegnazione indirizzi del modulo F 4
F-DI/3 F-DO DC24V/2A con valutazione 1oo2. È possibile accedere solo a canali realmente
esistenti e attivati (indirizzi da I15.0 a I15.3 e da I16.0 a I16.3). In questi canali è disponibile il
risultato della valutazione 1oo2 generato internamente dal modulo F.
Tabella 5- 2 Struttura dei canali e indirizzi dei valori dei canali degli ingressi con valutazione 1oo2
Canale Indirizzo
Canale DI 0 valore del canale I15.0
— I15.4
— I15.5
— I15.6
— I15.7
Tabella 5- 3 Struttura dei canali e indirizzi dello stato del valore degli ingressi con valutazione 1oo2
Canale Indirizzo
Canale DI 0 stato del valore I16.0
— I16.4
— I16.5
— I16.6
— I16.7
Tabella 5- 4 Struttura dei canali e indirizzi dello stato del valore delle uscite
Canale Indirizzo
Canale DO 0 stato del valore I17.0

Programmazione
Tabella 5- 5 Struttura dei canali e indirizzi dei valori dei canali delle uscite
Canale Indirizzo
Canale DO 0 valore del canale Q15.0
Creazione di tipi di dati PLC conformi a F (UDT)

Creare ad es. due tipi di dati PLC conformi a F (UDT) per l'accesso a tutti i canali.
La figura seguente mostra un tipo di dati PLC conforme a F (UDT) per l'accesso ai valori dei
canali e allo stato del valore degli ingressi con valutazione 1oo2:
La figura seguente mostra il tipo di dati PLC conforme a F (UDT) per l'accesso ai valori dei
canali e allo stato del valore delle uscite:

Programmazione
Utilizzo dei tipi di dati PLC conformi a F (UDT)

I due tipi di dati PLC conformi a F (UDT) appena creati possono essere utilizzati in un F-FC
(ad es. "Motore") come illustrato nella figura seguente:
Creazione di variabili PLC strutturate per il modulo F 4 F-DI/3 F-DO DC24V/2A

Creare delle variabili PLC strutturate per il modulo F 4 F-DI/3 F-DO DC24V/2A:
Richiamo dell'F-FC
Trasferire le variabili PLC strutturate create al richiamo dell'F-FC (ad es. "Motore"):

Programmazione
Vedere anche
Indirizzamento della periferia F (Pagina 152)
Stato del valore (S7-1200, S7-1500) (Pagina 154)
5.1.7 Modifica delle variabili PLC con un editor esterno

Per modificare le variabili PLC con un editor esterno procedere come nel programma
standard. Per ulteriori informazioni consultare la Guida a STEP 7 in "Modifica delle variabili
PLC con editor esterni".
Osservare la nota seguente:
Nota
Dopo l'importazione di una tabella delle variabili che contiene le variabili utilizzate nel
programma di sicurezza, la firma collettiva F del programma di sicurezza viene resettata.
Per generare una nuova firma collettiva F è necessario compilare nuovamente i dati di
progetto. A tale scopo, dopo la configurazione della protezione di accesso per il programma
di sicurezza, è richiesta un'autorizzazione di accesso valida per il programma di sicurezza.
Di conseguenza, se si desidera modificare le variabili PLC con un editor esterno, si consiglia di
salvare le variabili PLC utilizzate nel programma di sicurezza in una tabella delle variabili
separata.
5.1.8 Utilizzo di Multiuser Engineering

Per utilizzare Multiuser Engineering procedere come descritto nella Guida a STEP 7 in "Utilizzo
del Multiuser Engineering".
5.1.9 Eliminazione del programma di sicurezza
Eliminazione di singoli blocchi F

Per eliminare un blocco F procedere come in STEP 7.
Eliminazione di un gruppo di esecuzione F

Vedere Eliminazione del gruppo di esecuzione F (Pagina 144)
(S7-300, S7-400) Eliminare tutti i richiami utilizzati per richiamare il programma di sicurezza
(Main_Safety).

Programmazione
Eliminare l'intero programma di sicurezza delle F-CPU S7-300/400 con la Memory Card (SIMATIC
Micro Memory Card o Flash Card) inserita
Per eliminare un programma di sicurezza completo procedere nel modo seguente:
1. Eliminare tutti i blocchi F (contrassegnati con il simbolo giallo) nella navigazione del
progetto.
2. Eliminare tutti i richiami utilizzati per richiamare il programma di sicurezza (Main_Safety).
3. Selezionare la F-CPU nell'editor hardware e di rete e disattivare l'opzione "F-capability
activated" nelle proprietà della F-CPU.
4. Compilare i dati di progetto della F-CPU.
Ora il progetto offline non contiene più alcun programma di sicurezza.
5. Per eliminare un programma di sicurezza sulla Memory Card (SIMATIC Micro Memory Card o
Flash Card) inserire la Memory Card (SIMATIC Micro Memory Card o Flash Card) nel PG/PC o
in un prommer USB SIMATIC.
6. Nella barra dei menu selezionare il comando "Project > Card Reader/USB memory > Show
Card Reader/USB memory".
7. Aprire la cartella "SIMATIC Card Reader" e cancellare la Memory Card.
8. Inserire la Memory Card nella F-CPU.
9. Eseguire la cancellazione totale della F-CPU (il lampeggio del LED di STOP richiede una
cancellazione totale).
Successivamente è possibile caricare il programma utente standard offline nella F-CPU.
Eliminazione del programma di sicurezza completo delle F-CPU S7-400 senza Flash Card inserita
progetto.
2. Eliminare tutti i richiami utilizzati per richiamare il programma di sicurezza (Main_Safety).
5. Eseguire la cancellazione totale della F-CPU (nella task card "Online tools" della F-CPU).

Programmazione
5.2 Definizione dei gruppi di esecuzione F
Eliminazione del programma di sicurezza completo delle F-CPU S7-1200/1500

progetto.
5.2.1 Regole per i gruppi di esecuzione F del programma di sicurezza
Regole
Prestare attenzione ai punti seguenti:
• È possibile accedere ai canali (valori dei canali e stato del valore) di una periferia F solo da
un unico gruppo di esecuzione F.
• È possibile accedere alle variabili dei DB di periferia F di una periferia F solo da un unico
gruppo di esecuzione F, ovvero quello dal quale si accede anche ai canali o allo stato del
valore della periferia F interessata (se l'accesso è disponibile).
• Gli F-FB possono essere utilizzati in più gruppi di esecuzione F, ma devono essere
richiamati con DB di istanza differenti.
• È possibile accedere ai DB di istanza degli F-FB solo dal gruppo di esecuzione F nel quale
viene richiamato il relativo F-FB.
• È possibile accedere alla variabile di un DB globale F (ad eccezione del DB globale F) solo
da un unico gruppo di esecuzione F (ma un DB globale F può essere utilizzato in più gruppi
di esecuzione F).
• (S7-300, S7-400) Un DB per la comunicazione con il gruppo di esecuzione F può accedere
al gruppo di esecuzione F per il quale sono stati configurati i DB in lettura e in scrittura, il
gruppo di esecuzione F "ricevente" può accedere all'F-DB solo in lettura.
• (S7-300, S7-400) È possibile accedere a un DB di comunicazione solo da un unico gruppo
di esecuzione F.

Programmazione
• (S7-1200, S7-1500) Il blocco Main Safety non può essere richiamato dall'utente. Questo
blocco viene richiamato automaticamente dall'F-OB associato.
Nota
Il know-how degli F-OB è protetto dal sistema F. Di conseguenza l'informazione iniziale
degli F-OB non può essere valutata.
• (S7-1200, S7-1500) L'F-OB deve essere configurato con una priorità più alta rispetto a tutti
gli altri OB.
Nota
Il tempo di ciclo/tempo di esecuzione di un F-OB può prolungarsi a causa del carico di
comunicazione, dell'elaborazione di allarmi con priorità superiore e dell'esecuzione di
funzioni di test e messa in servizio. In un sistema ridondante S7- 1500HF questo dipende
anche dallo stato attuale del sistema.
• (S7-300, S7-400) Il blocco Main Safety può essere richiamato una sola volta da un blocco
standard. Un richiamo multiplo può causare lo STOP della F-CPU.
• (S7-300, S7-400) Per un utilizzo ottimale dei dati locali temporanei, il gruppo di
esecuzione F (il blocco Main Safety) deve essere richiamato direttamente in un OB
(possibilmente l'OB di allarme di schedulazione orologio); nell'OB di allarme di
schedulazione orologio non devono essere dichiarati dati locali temporanei aggiuntivi.
• (S7-300, S7-400) All'interno di un OB di allarme di schedulazione orologio, il gruppo di
esecuzione F dovrebbe essere eseguito prima del programma utente standard, ovvero
dovrebbe trovarsi all'inizio dell'OB, in modo da essere richiamato a intervalli fissi,
indipendentemente dalla durata di elaborazione del programma utente standard.
Di conseguenza, l'OB di allarme di schedulazione orologio non deve essere interrotto da
allarmi con priorità più alta.
• È possibile accedere all'immagine di processo degli ingressi e delle uscite della periferia
standard, ai merker e alle variabili dei DB del programma utente standard da più gruppi di
esecuzione F in lettura oppure in scrittura. (Vedere anche Scambio di dati tra programma
utente standard e programma di sicurezza (Pagina 187))
• Gli F-FC in genere possono essere richiamati in diversi gruppi di esecuzione F.
Nota
Per migliorare le prestazioni, programmare le parti di programma non necessarie per la
funzione di sicurezza nel programma utente standard.
Durante la suddivisione tra programma utente standard e programma di sicurezza, tenere
presente che il programma utente standard è più facile da modificare e da caricare nella
F-CPU. Le modifiche del programma utente standard in genere non richiedono un collaudo.

Programmazione
5.2.2 Procedura per la definizione di un gruppo di esecuzione F (S7-300, S7-400)
Requisiti
• Nel progetto è presente una F-CPU S7-300/400.
• Nella scheda "Properties" della F-CPU è selezionata la casella di opzione "F-capability
activated" (impostazione predefinita).
Gruppo di esecuzione F creato per impostazione predefinita

Dopo l'inserimento di una F-CPU, STEP 7 Safety inserisce per impostazione predefinita i
blocchi F per un gruppo di esecuzione F nella navigazione del progetto. Aprendo la cartella
"Program blocks" è possibile vedere i blocchi (F) del gruppo di esecuzione F (CYC_INT5 [OB
35], Main_Safety [FB1] e Main_Safety_DB [DB1]) nella navigazione del progetto.
Di seguito viene spiegato come modificare le impostazioni / i parametri del gruppo di

esecuzione F creato per impostazione predefinita e come aggiungere un altro gruppo di
esecuzione F.

Programmazione
Procedura di definizione del gruppo di esecuzione F

Per definire un gruppo di esecuzione F procedere nel seguente modo:
1. Aprire il Safety Administration Editor facendo doppio clic nella navigazione del progetto.
2. Nella navigazione dell'area selezionare "F-runtime group".
Risultato: Viene visualizzata l'area di lavoro per la definizione dei gruppi di esecuzione F
con le impostazioni (predefinite) del gruppo di esecuzione F 1.
3. Definire il blocco in cui verrà richiamato il blocco Main Safety.

Per impostazione predefinita viene proposto l'OB di allarme di schedulazione orologio OB
35. Gli OB di allarme di schedulazione orologio offrono il vantaggio di interrompere a
intervalli di tempo fissi l'elaborazione ciclica del programma nell'OB 1 del programma
utente standard. Questo significa che in un OB di allarme di schedulazione orologio il
programma di sicurezza viene richiamato ed eseguito a intervalli fissi.
In questo campo di immissione possono essere selezionati solo blocchi creati con i
linguaggi di programmazione KOP, FUP o AWL. Quando si seleziona un blocco, il richiamo
viene inserito automaticamente nel blocco selezionato ed eventualmente eliminato dal
blocco selezionato in precedenza.
Se si desidera richiamare il blocco Main Safety in un blocco creato con un linguaggio di
programmazione differente, il richiamo deve essere programmato manualmente
all'interno del blocco. In tal caso il campo di immissione è disattivato e non è possibile
modificare il richiamo nel Safety Administration Editor, ma solo nel blocco di richiamo.
4. Assegnare al gruppo di esecuzione F il blocco Main Safety desiderato. Se il blocco Main
Safety è un FB, è necessario assegnare anche un DB di istanza.
Per impostazione predefinita vengono proposti Main_Safety [FB1] e Main_Safety_DB
[DB1].

Programmazione
5. La F-CPU controlla il tempo di ciclo F del gruppo di esecuzione F. Impostare per "Maximum
cycle time of the F-runtime group" il tempo massimo che può trascorrere tra due richiami del
AVVERTENZA
Viene controllato il valore massimo dell'intervallo di richiamo del gruppo di esecuzione F.

Viene cioè controllato se il richiamo viene eseguito con una frequenza corretta, non però
se viene eseguito troppo spesso o ad es. con sincronismo di clock. Pertanto i tempi fail-
safe devono essere realizzati con le istruzioni TP, TON o TOF (Pagina 481) della task card
"Instructions" e non mediante contatori (richiami OB). (S007)
AVVERTENZA
Il tempo di reazione della funzione di sicurezza dipende anche dal tempo di ciclo dell'F-
OB, dal tempo di esecuzione del gruppo di esecuzione F e, in caso di utilizzo di una
periferia F decentrata, dalla parametrizzazione PROFINET/PROFIBUS.
Di conseguenza anche la progettazione/parametrizzazione del sistema standard influisce
sul tempo di reazione della funzione di sicurezza.
Esempi:
• Aumentando la priorità d un OB standard rispetto alla priorità di un F-OB, il tempo di
ciclo dell'F-OB o il tempo di esecuzione del gruppo di esecuzione F può prolungarsi a
causa della priorità più alta assegnata all'elaborazione dell'OB standard. Osservare che
durante la creazione di oggetti tecnologici vengono eventualmente creati
automaticamente degli OB con una priorità molto alta.
• La modifica dell'intervallo di trasmissione di PROFINET modifica anche il tempo di
ciclo di un F-OB con classe evento "Synchronous cycle".
Osservare che la progettazione/parametrizzazione del sistema standard non è soggetta
alla protezione di accesso per il programma di sicurezza e non comporta una modifica
della firma collettiva F.
Se non si prendono misure organizzative per impedire la modifica della
progettazione/parametrizzazione del sistema standard con ripercussioni sul tempo di
reazione, durante il calcolo del tempo di reazione massimo di una funzione di sicurezza è
necessario ricorrere ai tempi di controllo (vedere Progettazione dei tempi di controllo
(Pagina 597)).
I tempi di controllo sono protetti contro le modifiche dalla protezione di accesso del
programma di sicurezza e vengono acquisiti dalla firma collettiva F nonché dalla firma
collettiva F-SW.
Durante il calcolo con l'ausilio del file Excel per il calcolo dei tempi di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831) va considerato come
valore per il tempo di reazione massimo il valore indicato alla voce "Any standard system
runtimes". (S085)
6. Se le variabili di un gruppo di esecuzione F devono essere rese disponibili per la valutazione

di un altro gruppo di esecuzione F del programma di sicurezza, assegnare un DB per la
comunicazione mediante gruppi di esecuzione F. Selezionare un F-DB per "DB for F-runtime
group communication". (Vedere anche Comunicazione del gruppo di esecuzione F (S7-300,
S7-400) (Pagina 138))

Programmazione
7. Se si desidera creare un secondo gruppo di esecuzione F, fare clic sul pulsante "Add new F-
runtime group".
8. Assegnare un F-FB o un F-FC ad un blocco di richiamo come blocco Main Safety. Se non è già
presente, l'F-FB o l'F-FC viene creato automaticamente nella navigazione del progetto.
9. Se il blocco Main Safety è un F-FB, assegnare un DB di istanza al blocco Main Safety. Il DB di
istanza viene creato automaticamente nella navigazione del progetto.
10.Proseguire con i passi da 3 a 5 sopra descritti per completare la creazione del 2° gruppo di
esecuzione F.
5.2.3 Procedura per la definizione di un gruppo di esecuzione F (S7-1200,

S7-1500)
Requisiti
• Nel progetto è presente una F-CPU S7-1200/1500 .
• Nella scheda "Properties" della F-CPU è selezionata la casella di opzione "F-capability
activated" (impostazione predefinita).
Gruppo di esecuzione F creato per impostazione predefinita

Dopo l'inserimento di una F-CPU, STEP 7 Safety inserisce per impostazione predefinita i
blocchi F per un gruppo di esecuzione F nella navigazione del progetto. Aprendo la cartella
"Program blocks" è possibile vedere i blocchi (F) del gruppo di esecuzione F (FOB_RTG1
[OB123], Main_Safety_RTG1 [FB1] e Main_Safety_RTG1_DB [DB1]) nella navigazione del
progetto.
Di seguito viene spiegato come modificare le impostazioni / i parametri del gruppo di

esecuzione F creato per impostazione predefinita e come aggiungere un altro gruppo di
esecuzione F.

Programmazione
Procedura di definizione del gruppo di esecuzione F

Per definire un gruppo di esecuzione F procedere nel seguente modo:
1. Aprire il Safety Administration Editor facendo doppio clic nella navigazione del progetto.
2. Nella navigazione dell'area selezionare "F-runtime group".
Risultato: Viene visualizzata l'area di lavoro per la definizione dei gruppi di esecuzione F
con le impostazioni (predefinite) del gruppo di esecuzione F 1.
3. In "F-OB" assegnare un nome all'F-OB.

Programmazione
4. In caso di creazione di un nuovo gruppo di esecuzione F, definire la classe di evento dell'F-

OB.
Per un F-OB è possibile scegliere tra le classi di evento "Program cycle", "Cyclic interrupt" o
"Synchronous cycle".
L'F-OB del gruppo di esecuzione F predefinito ha la classe di evento "Cyclic interrupt". Per
modificare la classe di evento dell'F-OB di un gruppo di esecuzione F già esistente, è
necessario eliminare il gruppo di esecuzione F e crearne uno nuovo.
Nota
Si consiglia di creare l'F-OB con la classe di evento "Cyclic interrupt". In questo modo il
programma di sicurezza verrà richiamato a intervalli fissi.
Gli F-OB con la classe di evento "Synchronous cycle" sono da utilizzare in combinazione
con le periferie F che supportano il sincronismo di clock, ad es. il sottomodulo "Profisafe
Telgr 902" dell'azionamento SINAMICS S120 CU310-2 PN V5.1.
L'uso degli F-OB con la classe di evento "Program cycle" è sconsigliato poiché possiedono
la priorità più bassa (priorità "1") (vedere di seguito).
Nota
Osservare il numero massimo consentito di OB (inclusi gli F-OB) con classe di evento
"Synchronous cycle" (vedere i dati tecnici riportati nei Manuali del prodotto delle CPU
S7-1500).
5. In caso di necessità è possibile modificare manualmente il numero di F-OB proposto dal

sistema. Osservare in questo caso i campi numerici ammessi per le rispettive classi di evento.
6. Parametrizzare tempo di ciclo, spostamento di fase e priorità per gli F-OB con classe di
evento "Cyclic interrupt".
Parametrizzare la priorità per gli F-OB con classe di evento "Synchronous cycle".
– Selezionare un tempo di ciclo inferiore al "maximum cycle time of the F-runtime group"
e inferiore al "warn cycle time of the F-runtime group".
– Selezionare uno spostamento di fase inferiore al tempo di ciclo.
– Se possibile, configurare una priorità superiore a quella degli altri OB.
Nota
Impostando una priorità elevata per l'F-OB si riduce al minimo la possibilità che il
programma utente standard possa influire sul tempo di esecuzione del programma di
sicurezza e sul tempo di reazione delle funzioni di sicurezza (Pagina 597).
Nota
Per gli F-OB con classe di evento "Synchronous cycle" dopo la definizione del gruppo di
esecuzione F e il collegamento della periferia F con sincronismo di clock all'OB di allarme
di sincronizzazione di clock devono essere parametrizzati anche il ciclo di applicazione
(ms) ed eventualmente il tempo di ritardo (ms). Questi parametri sono disponibili nella
finestra di dialogo "Properties" dell'OB di allarme di sincronismo di clock nel gruppo
"Isochronous mode". Procedere come descritto nella Guida a STEP 7 in "Parametrizzazione
di OB di allarme di sincronismo di clock".

Programmazione
7. Assegnare il blocco Main Safety da richiamare all'F-OB. Se il blocco Main Safety è un FB, è
necessario assegnare anche un DB di istanza.
Per impostazione predefinita il sistema propone Main_Safety_RTG1 [FB1] e
Main_Safety_RTG1_DB [DB1].
8. La F-CPU controlla il tempo di ciclo F del gruppo di esecuzione F. A tale scopo sono
disponibili due parametri:
– Se viene superato il "warn cycle time of the F-runtime group" viene scritta una richiesta
di manutenzione nel buffer di diagnostica della F-CPU e viene attivato il LED MAINT
della F-CPU. Questo parametro può essere utilizzato ad es. per verificare se il tempo di
ciclo può superare un determinato valore senza provocare il passaggio in STOP della
F-CPU.
Nota
In caso di passaggio da STOP a RUN della F-CPU, la richiesta di manutenzione viene
contrassegnata come evento in uscita. In un sistema HF è necessario commutare in
STOP entrambe le HF-CPU e il sistema ridondante S7-1500HF prima del riavvio delle
HF-CPU.
In alternativa, la richiesta di manutenzione può essere contrassegnata come evento in
uscita con l'istruzione standard "ACK_FCT_WARN". A questo scopo richiamare
l'istruzione "ACK_FCT_WARN" con fronte di salita nel parametro di ingresso
"ACK_WARN" all'interno del programma utente standard.
Un nuovo superamento della soglia di avviso viene segnalato solo dopo una nuova
commutazione STOP/RUN della F-CPU.

Programmazione
– Se viene superato il "maximum cycle time of F-runtime group", la F-CPU passa in STOP.
Impostare per "maximum cycle time of the F-runtime group" il tempo massimo che può
trascorrere tra due richiami del gruppo di esecuzione F (max. 20000000 µs).
AVVERTENZA
Viene controllato il valore massimo dell'intervallo di richiamo del gruppo di

esecuzione F. Viene cioè controllato se il richiamo viene eseguito con una frequenza
corretta, non però se viene eseguito troppo spesso o ad es. con sincronismo di clock.
Pertanto i tempi fail-safe devono essere realizzati con le istruzioni TP, TON o TOF
(Pagina 481) della task card "Instructions" e non mediante contatori (richiami OB).
(S007)
AVVERTENZA
Il tempo di reazione della funzione di sicurezza dipende anche dal tempo di ciclo
dell'F-OB, dal tempo di esecuzione del gruppo di esecuzione F e, in caso di utilizzo di
una periferia F decentrata, dalla parametrizzazione PROFINET/PROFIBUS.
Di conseguenza anche la progettazione/parametrizzazione del sistema standard
influisce sul tempo di reazione della funzione di sicurezza.
Esempi:
• Aumentando la priorità d un OB standard rispetto alla priorità di un F-OB, il tempo
di ciclo dell'F-OB o il tempo di esecuzione del gruppo di esecuzione F può
prolungarsi a causa della priorità più alta assegnata all'elaborazione dell'OB
standard. Osservare che durante la creazione di oggetti tecnologici vengono
eventualmente creati automaticamente degli OB con una priorità molto alta.
• La modifica dell'intervallo di trasmissione di PROFINET modifica anche il tempo di
ciclo di un F-OB con classe evento "Synchronous cycle".
Osservare che la progettazione/parametrizzazione del sistema standard non è
soggetta alla protezione di accesso per il programma di sicurezza e non comporta una
modifica della firma collettiva F.
reazione, durante il calcolo del tempo di reazione massimo di una funzione di
sicurezza è necessario ricorrere ai tempi di controllo (vedere Progettazione dei tempi
di controllo (Pagina 597)).
collettiva F-SW.
(https://support.industry.siemens.com/cs/ww/it/view/109783831) va considerato
come valore per il tempo di reazione massimo il valore indicato alla voce "Any
standard system runtimes". (S085)
Il "warn cycle time of the F-runtime group" deve essere parametrizzato inferiore o uguale
al "maximum cycle time of F-runtime group".
9. Se necessario, in "F-runtime group information DB" è possibile modificare il nome proposto
dal sistema per il DB informativo del gruppo di esecuzione F (Pagina 149).

Programmazione
10.In caso di necessità è possibile selezionare i blocchi del programma standard (FC) per la pre
e postelaborazione di un gruppo di esecuzione F (vedere Pre/postelaborazione (S7-1200,
S7-1500) (Pagina 83))
11.Se si desidera creare un secondo gruppo di esecuzione F, fare clic sul pulsante "Add new
F-runtime group". Proseguire con i passi da 3 a 10 sopra descritti.
5.2.4 Comunicazione del gruppo di esecuzione F (S7-300, S7-400)
Comunicazione di sicurezza tra gruppi di esecuzione F

Tra i gruppi di esecuzione F di un programma di sicurezza può essere realizzata una
comunicazione di sicurezza. Ciò significa che è possibile leggere le variabili fail-safe messe a
disposizione da un gruppo di esecuzione F in un F-DB in un altro gruppo di esecuzione F.
Nota
Un DB per la comunicazione del gruppo di esecuzione F può accedere al gruppo di
esecuzione F per il quale sono stati configurati gli F-DB in lettura e in scrittura; il gruppo di
esecuzione F "ricevente" può accedere all'F-DB solo in lettura.
Suggerimento: Per migliorare le prestazioni, strutturare il programma di sicurezza in modo

che tra i gruppi di esecuzione F venga scambiato il numero minore possibile di variabili.
Procedura di definizione del DB per la comunicazione del gruppo di esecuzione F

Il DB per la comunicazione del gruppo di esecuzione F viene definito nell'area di lavoro
"F-runtime group". Procedere nel modo seguente:
1. Nel Safety Administration Editor fare clic su "F-runtime group".
2. Selezionare un F-DB esistente o inserirne uno nuovo nel campo "DB for F-runtime group
communication".
3. Assegnare un nome all'F-DB.
Attualità delle variabili durante la lettura da un altro gruppo di esecuzione F
Nota
L'attualità delle variabili lette corrisponde a quella presente alla conclusione dell'elaborazione
del gruppo di esecuzione F che fornisce le variabili prima dell'inizio del gruppo di esecuzione F
che esegue l'accesso in lettura.
In caso di modifiche multiple delle variabili rese disponibili durante il tempo di esecuzione del
relativo gruppo di esecuzione F, il gruppo di esecuzione F che esegue l'accesso in lettura
acquisisce solo l'ultima modifica (vedere la figura seguente).

Programmazione
Assegnazione di valori sostitutivi

Dopo l'avviamento del sistema F, al gruppo di esecuzione F che accede in lettura alle variabili
del DB per la comunicazione con il gruppo di esecuzione F di un altro gruppo di esecuzione F
(ad es. il gruppo di esecuzione F 2) vengono messi a disposizione dei valori sostitutivi. Come
valori sostitutivi vengono utilizzati i valori impostati come valori iniziali nel DB per la
comunicazione con il gruppo di esecuzione F del gruppo di esecuzione F 1.
Al primo richiamo, il gruppo di esecuzione F 2 legge i valori sostitutivi. Se tra i due richiami
del gruppo di esecuzione F 2 è stata completata l'elaborazione del gruppo di esecuzione F 1,
al secondo richiamo il gruppo di esecuzione F 2 legge le variabili attuali. Se l'elaborazione del
gruppo di esecuzione F 1 non è ancora stata completata, il gruppo di esecuzione F 2 continua
a leggere i valori sostitutivi fino al termine dell'elaborazione del gruppo di esecuzione F 1.
Il comportamento è illustrato nelle due figure seguenti.
Lettura delle variabili di un gruppo di esecuzione F 1 con un ciclo OB più lungo e una
priorità più bassa del gruppo di esecuzione F 2
① Avviamento del sistema F

Tempo di ciclo dell'OB (F) nel quale viene richiamato il gruppo di esecuzione F.
Tempo di esecuzione del gruppo di esecuzione F
... Variabile del gruppo di esecuzione F 1 scritta nel DB per la comunicazione con il
gruppo di esecuzione F 1
...Variabile del gruppo di esecuzione F 2 letta nel DB per la comunicazione con il gruppo
di esecuzione F 1
Valore iniziale nel DB per la comunicazione con il gruppo di esecuzione F

Programmazione
Lettura delle variabili di un gruppo di esecuzione F 1 con un ciclo OB più breve e una
priorità più alta del gruppo di esecuzione F 2
① Avviamento del sistema F

Tempo di ciclo dell'OB (F) nel quale viene richiamato il gruppo di esecuzione F.
Tempo di esecuzione del gruppo di esecuzione F
... Variabile del gruppo di esecuzione F 1 scritta nel DB per la comunicazione con il
gruppo di esecuzione F 1
... Variabile del gruppo di esecuzione F 2 letta nel DB per la comunicazione con il gruppo
di esecuzione F 1
Valore iniziale nel DB per la comunicazione con il gruppo di esecuzione F
Il gruppo di esecuzione F che mette a disposizione le variabili non viene elaborato
Nota
Se il gruppo di esecuzione F il cui DB per la comunicazione con il gruppo di esecuzione F
viene utilizzato per la lettura delle variabili non viene elaborato (il blocco Main Safety del
gruppo di esecuzione F non viene richiamato), la F-CPU passa in STOP. Nel buffer di
diagnostica della F-CPU viene registrato uno dei seguenti eventi di diagnostica:
• Errore nel programma di sicurezza: Superamento del tempo di ciclo
• Numero del blocco Main Safety interessato (del gruppo di esecuzione F che non viene
elaborato)
• Tempo di ciclo attuale in ms: "0"

Programmazione
5.2.5 Comunicazione del gruppo di esecuzione F (S7-1200, S7-1500)
Introduzione
La comunicazione del gruppo di esecuzione F viene realizzata con Flexible F-Link.
Flexible F-Link fornisce un array F codificato per i dati di trasmissione del gruppo di
esecuzione F. L'array F codificato viene trasmesso all'altro gruppo di esecuzione F insieme alle
istruzioni standard, ad es. UMOVE_BLK.
Requisiti
Comunicazione del gruppo di esecuzione F
Per trasmettere in modalità fail-safe i dati di un gruppo di esecuzione F ad un altro gruppo di

esecuzione F, procedere nel modo seguente:
1. Definire un tipo di dati PLC conforme a F (UDT) non annidato per la comunicazione del
gruppo di esecuzione F. Le dimensioni non devono superare i 100 byte.
2. Creare due comunicazioni F per la comunicazione del gruppo di esecuzione F nell'area
"Flexible F-Link" del Safety Administration Editor. Rispettivamente una comunicazione F per
il lato di trasmissione e una per il lato di ricezione.
3. Parametrizzare lo stesso tempo di controllo F e lo stesso UUID di comunicazione F per
ciascun rapporto di comunicazione del gruppo di esecuzione F.
Ulteriori informazioni sul calcolo del tempo di controllo F sono contenute in Tempi di
controllo e di reazione (Pagina 596).
Ad es.:

Programmazione
4. Sul lato di trasmissione (ad es. RTG1), fornire i dati del DB di comunicazione F (Pagina 287)
per la direzione di invio con i dati da trasmettere.
Ad es.:
5. Sul lato di ricezione (ad es. RTG2) leggere i dati ricevuti dal DB di comunicazione F
(Pagina 287) per la direzione di ricezione.
Ad es.:
6. Richiamare l''istruzione "UMOVE_BLK" nel gruppo di esecuzione F per i dati di trasmissione

(ad es. RTG1) nell'FC per la postelaborazione (Pagina 83).
7. Interconnettere l'istruzione "UMOVE_BLK" per i dati da trasmettere nel modo seguente:
"Send" è il DB di comunicazione F (Pagina 287) del gruppo di esecuzione F che trasmette i

dati.
"Receive" è il DB di comunicazione F (Pagina 287) del gruppo di esecuzione F che riceve i
dati.
8. Richiamare l''istruzione "UMOVE_BLK" nel gruppo di esecuzione F per la conferma (ad es.
RTG2) nell'FC per la postelaborazione (Pagina 93).
9. Interconnettere l'istruzione "UMOVE_BLK" per il collegamento di conferma nel modo
seguente:
"Receive" è il DB di comunicazione F (Pagina 287) del gruppo di esecuzione F che invia il

telegramma di conferma.
"Send" è il DB di comunicazione F (Pagina 287) del gruppo di esecuzione F che riceve il
telegramma di conferma.

Programmazione
10.Compilare il programma utente.

11.Caricare il programma utente nella F-CPU.
AVVERTENZA
Durante il collaudo, verificare con la stampa di sicurezza se gli offset di tutti gli elementi dei
tipi di dati PLC conformi a F (UDT) all'interno del programma di sicurezza per i dati di
trasmissione e di ricezione coincidono. A questo scopo, nella stampa di sicurezza sono
elencati tutti i membri e gli indirizzi suddivisi per UDT. (S088)
AVVERTENZA
Quando viene creata una nuova comunicazione con Flexible F-Link nel Safety
Administration Editor, il sistema fornisce un "F-communication UUID" (UUID di
comunicazione F) univoco per la comunicazione. Quando le comunicazioni vengono copiate
nel Safety Administration Editor all'interno della tabella di parametrizzazione oppure in
un'altra F-CPU, gli UUID di comunicazione F non vengono ricreati e di conseguenza non
sono più univoci. Se si utilizza una copia per parametrizzare un nuovo rapporto di
comunicazione è necessario assicurarne l'univocità. Selezionare gli UUID interessati e
generarne di nuovi con il menu di scelta rapida "Generate UUID". L'univocità deve essere
controllata nella stampa di sicurezza. (S087)
AVVERTENZA
Attualità delle variabili durante la lettura da un altro gruppo di esecuzione F

In questo caso (fatta eccezione per i percorsi di memorizzazione dei valori scritti e letti e dei
valori iniziali) vale quanto descritto nel capitolo "Comunicazione del gruppo di esecuzione F
(S7-300, S7-400) (Pagina 138)".

Programmazione
5.2.6 Eliminazione del gruppo di esecuzione F
Eliminazione del gruppo di esecuzione F

Per eliminare un gruppo di esecuzione F, procedere nel modo seguente:
1. Fare clic sul gruppo di esecuzione F da eliminare nella navigazione dell'area del Safety
Administration Editor.
2. Selezionare il pulsante "Delete F-runtime group" nell'area di lavoro.
3. Confermare la finestra di dialogo con "Yes".
4. Eseguire una compilazione del programma di sicurezza (Pagina 293) (voce di menu "Edit >
Compile") in modo che le modifiche diventino efficaci.
L'assegnazione dei blocchi F ad un gruppo di esecuzione F (al blocco di richiamo del blocco
Main Safety) è eliminata. I blocchi F restano tuttavia presenti.
5.2.7 Modica del gruppo di esecuzione F (S7-300, S7-400)
Modifica del gruppo di esecuzione F

Per ciascun gruppo di esecuzione F del programma di sicurezza è possibile modificare quanto
segue nella relativa area di lavoro "Gruppo di esecuzione":
• Definizione di un altro blocco come blocco di richiamo del blocco Main Safety.
• Definizione di un altro F-FB/F-FC come blocco Main Safety.
• Inserimento di un altro o di un nuovo I-DB per il blocco Main Safety.
• Modifica del valore per il tempo di ciclo max. del gruppo di esecuzione F.
• Definizione di un altro F-DB come blocco dati per la comunicazione dei gruppi di
esecuzione F.
5.2.8 Modifica del gruppo di esecuzione F (S7-1200, S7-1500)
Modifica del gruppo di esecuzione F

Per ciascun gruppo di esecuzione F del programma di sicurezza è possibile modificare quanto
segue nella relativa area di lavoro "Gruppo di esecuzione":
• Modifica del nome, numero, tempo di ciclo, spostamento di fase e priorità dell'F-OB.
• Definizione di un altro F-FB/F-FC come blocco Main Safety.
• Inserimento di un altro o di un nuovo I-DB per il blocco Main Safety.
• Modifica del valore per il tempo di ciclo max. e della soglia di avviso del tempo di ciclo del
• Assegnazione di un altro nome per il DB informativo del gruppo di esecuzione F.
• Definizione di un FC per la preelaborazione e la postelaborazione.

Programmazione
5.3 Creazione di blocchi F in FUP/KOP
5.3.1 Creazione dei blocchi F
Introduzione
Per creare F-FB, F-FC e F-DB per il programma di sicurezza, procedere in linea di principio
come nel programma standard. Di seguito vengono rappresentate solo le differenze rispetto
al programma standard.
Creazione di F-FB, F-FC e F-DB

I blocchi F possono essere creati allo stesso modo dei blocchi standard. Procedere nel
seguente modo:
1. Nella navigazione del progetto della F-CPU o della Safety Unit, in "Program blocks" fare
doppio clic su "Add new block".
2. Definire nella finestra di dialogo evidenziata il tipo, il nome e la lingua e impostare il segno
di spunta per "Create Fblock". (Se non si imposta il segno di spunta, viene creato un blocco
standard)
3. Dopo la conferma della finestra di dialogo viene aperto il blocco F nell'editor dei programmi.
Osservare
Osservare le seguenti avvertenze importanti:
Nota
• Nell'interfaccia del blocco Main Safety non si devono dichiarare parametri del blocco,
poiché non possono essere forniti.
• (S7-1200, S7-1500) È possibile modificare i valori iniziali nei DB di istanza.
• La funzione "Apply actual values" non è supportata.
• Non è possibile accedere a dati locali statici in istanze singole o multiple di altri F-FB.
• Le uscite di F-FC devono sempre essere inizializzate.
In caso contrario, la F-CPU potrebbe andare in STOP. La causa dell'evento di diagnostica
viene inserita nel buffer di diagnostica della F-CPU.
• (S7-300, S7-400) Se si desidera assegnare un operando dell'area dati (blocco dati) a un
parametro formale di un F-FC come parametro attuale, è necessario utilizzare un accesso
DB completamente qualificato.
• Un blocco può avere solo accesso in lettura ai suoi ingressi e in scrittura alle sue uscite.
Utilizzare un solo passaggio se si vuole accedere al blocco in lettura e scrittura.
• Per una maggiore chiarezza, assegnare nomi significativi ai blocchi F creati.

Programmazione
Copia/inserimento di blocchi F
È possibile copiare F-FB, F-FC e F-DB allo stesso modo dei blocchi del programma utente
standard.
(S7-1200, S7-1500) Non è consentito copiare un F-OB.
Eccezioni:
• Non è possibile copiare i blocchi dalla cartella "Program blocks > System blocks".
• I blocchi F non possono essere copiati dalla Safety Unit in una Standard Unit, né dalla
Safety Unit nella cartella "Program blocks" della F-CPU o viceversa.
Vedere anche
Modifica del gruppo di esecuzione F (S7-1200, S7-1500) (Pagina 144)
5.3.2 Protezione del know-how

Per la protezione del know-how dei blocchi F, proteggere come descritto nella guida a STEP 7
in "Protezione di blocchi".
Requisiti
Per la protezione del know-how dei blocchi F per le F-CPU S7-1200/1500, osservare quanto
segue:
• Un blocco F del quale si vuole proteggere il know-how deve essere richiamato nel
• Prima di poter configurare la protezione del know-how per un blocco F, il programma di
sicurezza deve essere coerente. Compilare (Pagina 293) di conseguenza il programma di
sicurezza.
Nota
Per i blocchi F con protezione del know-how, nella stampa di sicurezza non viene emesso
alcun codice sorgente. Pertanto, creare la stampa di sicurezza (ad es. per eseguire una
revisione del codice o per il collaudo del blocco F) prima di configurare la protezione del
know-how.
Nota
Se si desidera modificare il codice del programma e/o l'interfaccia del blocco di un blocco F
con protezione del know-how, si raccomanda di non aprire il blocco F inserendo la password,
ma di rimuovere completamente la protezione del know-how e di configurarla nuovamente
dopo la compilazione.

Programmazione
Nota
(S7-1200, S7-1500) Se un blocco F con protezione del know-how o i blocchi F richiamati da
esso vengono rinominati, la firma del blocco F con protezione del know-how non cambia fino
a quando non si inserisce la password quando si apre o si rimuove la protezione del know-
how.
Nota
Se si utilizzano blocchi F con protezione del know-how, durante la compilazione del
programma di sicurezza possono essere visualizzati avvisi e messaggi di errore, la cui causa
può risiedere nei blocchi F con protezione del know-how. Gli avvisi e i messaggi di errore
contengono le rispettive indicazioni. Esempio: In un blocco F con protezione del know-how, si
accede in lettura a una variabile del programma utente standard, a cui si accede in scrittura in
un altro blocco F (con protezione del know-how).
Per le F-CPU S7-1200/1500, ulteriori informazioni sono disponibili nella stampa di sicurezza
nella sezione "Know-how protected F-blocks in the safety program".
Vedere anche
Riutilizzo dei blocchi F (Pagina 147)
5.3.3 Riutilizzo dei blocchi F
Introduzione
I blocchi F già testati e, se necessario, approvati, possono essere riutilizzati in altri programmi
di sicurezza senza doverli testare e approvare nuovamente.
Configurando la protezione del know-how, è possibile proteggere il contenuto del blocco F. È
possibile impostare questa protezione solo dopo il collaudo del blocco F, in modo che la
stampa di sicurezza contenga completamente questo blocco F.
È possibile memorizzare i blocchi F come copie master o tipi nelle biblioteche globali o nella
biblioteca del progetto, proprio come i blocchi standard.
Per ulteriori informazioni consultare la Guida a STEP 7 in "Utilizzo delle biblioteche".

Programmazione
Creare la documentazione di sicurezza per il blocco F da riutilizzare

Creare una documentazione di sicurezza con le seguenti informazioni per i blocchi F che si
vogliono riutilizzare.
F-CPU S7-300/400
• Firma e firma del valore iniziale del blocco F con protezione del know-how
• Versioni di tutte le istruzioni KOP/FUP utilizzate
• Firme e firme del valore iniziale di tutti gli F-FB e F-FC richiamati
• Firme di tutti gli F-DB ai quali accede il blocco F da riutilizzare.
F-CPU S7-1200/1500
• Firma del blocco F con protezione del know-how
• Versione del sistema Safety durante la configurazione della protezione del know-how
• Firme di tutti gli F-FB e F-FC richiamati
La documentazione di sicurezza deve includere anche una descrizione della funzionalità del
blocco F, soprattutto se è dotato di protezione del know-how.
È possibile ottenere le informazioni necessarie creando una stampa di sicurezza del
programma di sicurezza in cui è stato originariamente creato, testato e collaudato il blocco F
da riutilizzare.
Questa stampa di sicurezza può anche servire direttamente come documentazione di
sicurezza per il blocco F da riutilizzare.
Controlli per l'utilizzo del blocco F da riutilizzare

In caso di riutilizzo del blocco F garantire quanto segue:
• La firma e la firma del valore iniziale (S7-300/400) del blocco F sono invariate.
• (S7-1200, S7-1500) La funzione del sistema Safety documentato è impostata.
• Vengono impostate le versioni documentate (o funzionalmente identiche) delle istruzioni
KOP/FUP versionate. Per informazioni sulle versioni delle istruzioni consultare la
descrizione delle istruzioni.
• (S7-1200, S7-1500) Si utilizzano i blocchi F richiamati e cui si è acceduto con le firme
documentate.
• (S7-300, S7-400) Si utilizzano i blocchi F richiamati con le firme documentate e le firme
del valore iniziale.
Se i conflitti di versione non possono essere eliminati a causa di altre dipendenze, contattare
il produttore del blocco F con know-how protetto per ottenere una versione collaudata
compatibile.

Programmazione
5.4 Interfaccia di comunicazione verso il programma di sicurezza
Vedere anche
Corrispondenza dei blocchi F con protezione del know-how utilizzati nel programma di
sicurezza con la relativa documentazione di sicurezza (Pagina 359)
5.4.1 DB globale F (S7-300, S7-400)
Funzione
Il DB globale F è un blocco dati fail-safe che contiene tutti i dati globali del programma di
sicurezza e informazioni aggiuntive necessarie per il sistema F. Il DB globale F viene inserito
automaticamente durante la compilazione della configurazione hardware.
È possibile utilizzare il suo nome F_GLOBDB per valutare alcuni dati del programma di
sicurezza nel programma utente standard.
Lettura del DB globale F nel programma utente standard

Nel programma utente standard o in un sistema di servizio e supervisione è possibile leggere
nel DB globale F:
• modo di funzionamento modo di sicurezza/modo di sicurezza disattivato (variabile)
"MODE")
• l'informazione di errore "Error occurred when executing safety program" (variabile
"ERROR")
• la firma collettiva F (variabile "F_PROG_SIG")
• la data di generazione del programma di sicurezza (variabile "F_PROG_DAT", tipi di dati
DATE_AND_TIME)
Si accede a queste variabili in modo completamente qualificato (ad es. "F_GLOBDB".MODE).
5.4.2 DB informativo del gruppo di esecuzione F (S7-1200, S7-1500)
Introduzione
Il DB informativo del gruppo di esecuzione F mette a disposizione informazioni centrali sul
rispettivo gruppo di esecuzione F e sull'intero programma di sicurezza.
Il DB informativo del gruppo di esecuzione F viene creato automaticamente durante la
creazione di un gruppo di esecuzione F. Viene assegnato un simbolo per il DB informativo del
gruppo di esecuzione F, ad es. "RTG1SysInfo". È possibile modificare il nome nel Safety
Non è possibile accedere alle informazioni nel parametro "F_SYSINFO" dal programma di
sicurezza.

Programmazione
Informazioni nel DB informativo del gruppo di esecuzione F

Il DB informativo del gruppo di esecuzione F mette a disposizione le seguenti informazioni:
Nome Tipo di dati per per l'elaborazione Descrizione

l'elaborazione nel programma
nel utente standard
programma di
sicurezza
MODE BOOL x x 1 = funzionamento di sicurezza
disattivato
MODE_REMAINING_TIM TIME x x Tempo di esecuzione residuo nel
E funzionamento di sicurezza fino a
quando la F-CPU va in STOP *
F_SYSINFO
MODE BOOL — x 1 = funzionamento di sicurezza
disattivato
TCYC_CURR DINT — x Tempo di ciclo attuale del gruppo di
esecuzione F in ms
TCYC_LONG DINT — x Tempo di ciclo più lungo del gruppo di
esecuzione F in ms
TRTG_CURR DINT — x Tempo di esecuzione attuale del gruppo
di esecuzione F in ms
TRTG_LONG DINT — x Tempo di esecuzione più lungo del
gruppo di esecuzione F in ms
T1RTG_CURR DINT — x Non viene supportato da STEP 7 Safety
V18.
T1RTG_LONG DINT — x Non viene supportato da STEP 7 Safety
V18.
F_PROG_SIG DWORD — x Firma collettiva F del programma di
sicurezza
F_PROG_DAT DTL — x Data di generazione del programma di
sicurezza
F_RTG_SIG DWORD — x Firma dei gruppi di esecuzione F
F_RTG_DAT DTL — x Data di generazione del gruppo di
esecuzione F
VERS_S7SAF DWORD — x Identificazione versione di STEP 7 Safety
*Se la F-CPU va in STOP dopo la scadenza del tempo di esecuzione del funzionamento di sicurezza disattivato, viene
visualizzato il tempo di esecuzione residuo nell'ultimo ciclo.
Si accede ai contenuti del DB informativo del gruppo di esecuzione F con un indirizzo

completamente qualificato. Sia collettivamente tramite il tipo di dati PLC (UDT) F_SYSINFO
fornito dal sistema F, ad e. "RTG1SysInfo.F_SYSINFO", sia su informazioni individuali, ad es.
"RTG1SysInfo.F_SYSINFO.MODE".
Vedere anche
Identificazione del programma (Pagina 325)

Programmazione
5.5 Programmazione protezione avviamento
5.5 Programmazione protezione avviamento
Introduzione
AVVERTENZA
STOP ad es. tramite comando del PG/PC, selettore dei modi operativi, funzione di
comunicazione o istruzione "STP"
L'attivazione di uno stato di STOP ad es. tramite comando del PG/PC, selettore dei modi
operativi, funzione di comunicazione o istruzione "STP" e il mantenimento di uno stato di
STOP non sono orientati alla sicurezza. Lo stato di STOP può facilmente essere annullato
(anche accidentalmente) ad es. tramite un comando del PG/PC.
In caso di commutazione STOP/RUN di una F-CPU, il programma utente standard viene
avviato come di consueto. All'avviamento del programma di sicurezza, generalmente tutti i
contenuti DB degli F-DB vengono ripristinati ai valori iniziali contenuti nella memoria di
caricamento. Questo comporta la perdita delle informazioni di errore memorizzate. Il
sistema F esegue una reintegrazione automatica della periferia F.
Se il processo non lo consente, nel programma di sicurezza deve essere programmata una
protezione contro il (ri)avviamento: L'emissione dei valori di processo deve essere bloccata
fino alla conferma utente (vedere "Realizzazione di una conferma utente"). Questa conferma
utente può avvenire solo se l'emissione dei valori di processo è possibile senza pericolo e gli
errori sono stati eliminati. (S031)
Esempio per la realizzazione di una protezione contro il (ri)avviamento

Il requisito per realizzare una protezione contro il (ri)avviamento è che venga riconosciuto un
avviamento. Per il riconoscimento di un avviamento, dichiarare in un F-DB una variabile del
tipo di dati BOOL con il valore iniziale "TRUE".
Bloccare l'emissione dei valori di processo se questa variabile ha il valore "1", ad es.
passivando la periferia F tramite la variabile PASS_ON nel DB di periferia F.
Se i valori di processo possono essere emessi senza pericolo e gli errori sono stati eliminati,
resettare questa variabile mediante una conferma utente.
Vedere anche
Realizzazione di una conferma utente nel programma di sicurezza della F-CPU di un master DP
o di un IO Controller (Pagina 179)
Realizzazione di una conferma utente nel programma di sicurezza della F-CPU di un I-slave o
di un I-Device (Pagina 184)
DB di periferia F (Pagina 159)

Accesso alla periferia F 6
I seguenti capitoli contengono una descrizione generale per gli accessi alla periferia F.
I seguenti capitoli sono validi solo in modo limitato per i moduli tecnologici (ad es. F-TM
Count 1x1Vpp sin/cos HF). Per informazioni più dettagliate, consultare i rispettivi Manuali del
prodotto.
6.1 Indirizzamento della periferia F
Panoramica
Di seguito viene descritto come indirizzare le periferie F nel programma di sicurezza e quali
regole è necessario rispettare.
Indirizzamento tramite l'immagine di processo

La periferia F (ad es. moduli fail-safe S7-1500/ET 200MP) può essere indirizzata come la
periferia standard tramite l'immagine di processo (IPI e IPU).
La lettura diretta (con l'identificativo di accesso alla periferia ":P") degli ingressi o la scrittura
delle uscite non è possibile nel programma di sicurezza
Aggiornamento dell'immagine di processo

L'immagine di processo degli ingressi delle periferia F viene aggiornata all'inizio del gruppo di
esecuzione F. L'immagine di processo delle uscire della periferia F viene aggiornata alla fine
del gruppo di esecuzione F (vedere Struttura del programma di sicurezza (S7-300, S7-400)
(Pagina 104) o Struttura del programma di sicurezza (S7-1200, S7-1500) (Pagina 106)).
Ulteriori informazioni per l'aggiornamento dell'immagina di processo sono disponibili nella
Nota in Trasferimento dei dati dal programma di sicurezza al programma utente standard
(Pagina 188).
La comunicazione tra la F-CPU (immagine di processo) e la periferia F necessaria per
l'aggiornamento dell'immagine di processo viene eseguita tramite un protocollo di sicurezza
specifica secondo PROFIsafe.

Accesso alla periferia F
6.1 Indirizzamento della periferia F
Regole
• È possibile indirizzare un canale (valore del canale e stato del valore) di una periferia F solo
in un gruppo di esecuzione F. Con il primo indirizzamento programmato, si definisce il
gruppo di esecuzione F assegnato.
• È possibile indirizzare un canale (valore del canale e stato del valore) di una periferia F solo
con l'unità che corrisponde al tipo di dati del canale.
Esempio: Ai canali di ingresso del tipo di dati BOOL è possibile accedere solo all'unità
"Ingresso (bit)" (Ix.y). Non è possibile accedere a 16 canali di ingresso consecutivi del tipo
di dati BOOL tramite l'unità "Parola di ingresso" (IWx).
• I canali analogici devono essere sempre immessi nella tabella delle variabili con il tipo di
dati INT o DINT. I tipi di dati WORD, DWORD o TIME non sono consentiti.
• Indirizzare solo gli ingressi e le uscite che fanno riferimento a un canale realmente
esistente (valore del canale e stato del valore) (ad es., per un F-DO 10xDC24V con
indirizzo iniziale 10, solo le uscite Q10.0 ... Q11.1 per i valori del canale e gli ingressi I10.0
... I11.1 per lo stato del valore). Osservare inoltre che, a causa del protocollo di sicurezza
specifico, la periferia F occupa nell'immagine di processo un'area più ampia di quella
necessaria per i canali realmente presenti sulla periferia F (valori dei canali e stato dei
valori). Per quanto riguarda l'area dell'immagine di processo in cui sono memorizzati i
canali (valori dei canali e stato dei valori) (struttura dei canali), vedere i manuali
corrispondenti delle periferia F.
• Con alcune periferie F (ad es. i moduli fail-safe ET 200SP o i moduli fail-safe S7-1500/
ET 200MP), i canali possono essere disattivati. Indirizzare solo i canali (valore del canale e
stato del valore) che sono attivati nella configurazione hardware. Se si indirizzano canali
che sono disattivati nella configurazione hardware, è possibile che venga emesso un
avviso durante la compilazione del programma di sicurezza.
• Con alcune periferie F (ad es. i moduli fail-safe ET 200SP o i moduli fail-safe S7-1500/
ET 200MP), è possibile impostare una "1oo2 (2v2) sensor evaluation". In questo caso, due
canali vengono combinati in una coppia di canali e il risultato della "1oo2 (2v2) sensor
evaluation" viene solitamente reso disponibile all'indirizzo del canale con il numero di
canale con valore inferiore (vedere i manuali corrispondenti della periferia F). Indirizzare
solo questo canale (valore del canale e stato del valore) della coppia di canali. Se si
indirizza un altro canale, viene eventualmente emesso un avviso durante la compilazione
del programma di sicurezza.
AVVERTENZA
Se tra la F-CPU (S7-300/400) e la periferia F viene utilizzato un altro componente che copia il
telegramma di sicurezza conforme a PROFIsafe dalla F-CPU (S7-300/400) nella periferia F
tramite il programma utente, ad ogni modifica della funzione di copia programmata
dall'utente devono essere testate tutte le funzioni di sicurezza interessate dalla funzione di
copia. (S049)
Vedere anche
Comunicazione di sicurezza I-slave-slave - accesso alla periferia F (Pagina 234)
Stato del valore (S7-1200, S7-1500) (Pagina 154)

6.2 Stato del valore (S7-1200, S7-1500)
Proprietà
Lo stato del valore è una informazione di stato binaria aggiuntiva al valore del canale di una
periferia F. Lo stato del valore viene inserito nell'immagine di processo degli ingressi (IPI).
Lo stato del valore è supportato dai modulo fail-safe S7-1500/ET 200MP, ET 200SP, ET 200AL,
ET 200eco PN, ET 200S, ET 200iSP, ET 200pro, S7-1200 o F-SM S7-300, dai device IO
standard fail-safe nonché dagli salve DP standard fail-safe, che supportano il profilo
"RIOforFA-Safety". Per informazioni sullo stato del valore consultare la documentazione della
rispettiva periferia F.
Si raccomanda di aggiungere "_VS" al nome del valore del canale per lo stato del valore, ad es.
"TagIn_1_VS".
Lo stato del valore fornisce informazioni sulla validità del rispettivo valore del canale:
• 1: Per il canale viene emesso un valore di processo valido.
• 0: Per il canale viene emesso un valore sostitutivo.
Al valore del canale e allo stato del valore di una periferia F è possibile accedere solo dallo
stesso gruppo di esecuzione F.
Posizione dei bit di stato del valore nella IPI per la periferia F con ingressi digitali
I bit di stato del valore seguono direttamente i valori del canale nella IPI.
Tabella 6- 1 Esempio: Assegnazione indirizzi nella IPI per la periferia F con 16 ingressi digitali
Byte nella F-CPU Bit occupati nella F-CPU per ciascuna periferia F:
7 6 5 4 3 2 1 0
x+0 DI7 DI6 DI5 DI4 DI3 DI2 DI1 DI0
x+1 DI15 DI14 DI13 DI12 DI11 DI10 DI9 DI8
x+2 Stato del Stato del Stato del Stato del Stato del Stato del Stato del Stato del
valore DI7 valore DI6 valore DI5 valore DI4 valore DI3 valore DI2 valore DI1 valore DI0
x+3 Stato del Stato del Stato del Stato del Stato del Stato del Stato del Stato del
valore DI15 valore DI14 valore DI13 valore DI12 valore DI11 valore DI10 valore DI9 valore DI8
x = indirizzo iniziale del modulo
La posizione dei valori del canale nella IPI si trova nel Manuale del prodotto della rispettiva
periferia F.

Posizione dei bit di stato del valore nella IPI per la periferie F con uscite digitali
I bit di stato del valore vengono rappresentati nella IPI con la stessa struttura dei valori del
canale nell'IPU
Tabella 6- 2 Esempio: Assegnazione indirizzi nella IPU per la periferia F con 4 canali di uscita digitali
7 6 5 4 3 2 1 0
x+0 — — — — DQ3 DQ2 DQ1 DQ0
Tabella 6- 3 Esempio: Assegnazione indirizzi nella IPI per la periferie F con 4 canali di uscita digitali
7 6 5 4 3 2 1 0
x+0 — — — — Stato del Stato del Stato del Stato del
valore DQ3 valore DQ2 valore DQ1 valore DQ0
La posizione dei valori del canale nella IPU si trova nel Manuale del prodotto della rispettiva
periferia F.
Posizione dei bit di stato del valore nella IPI per la periferia F con uscite digitali e ingressi digitali
I bit di stato del valore seguono direttamente i valori del canale nella IPI nella seguente
sequenza:
• Bit di stato del valore per gli ingressi digitali
• Bit di stato del valore per le uscite digitali
Tabella 6- 4 Esempio: Assegnazione indirizzi nella IPU per la periferia F con 2 canali di ingresso digitali e 1 canale di uscita
digitale
Byte nella F-CPU Bit occupato nella F-CPU per ciascuna periferia F:
7 6 5 4 3 2 1 0
x+0 — — — — — — — DQ0

Tabella 6- 5 Esempio: Assegnazione indirizzi nella IPI per la periferia F con 2 canali di ingresso digitali e 1 canale di uscita
digitale
7 6 5 4 3 2 1 0
x+0 — — — — — — DI1 DI0
x+1 — — — — — — Stato del Stato del
valore DI1 valore DI0
x+2 — — — — — — — Stato del
valore DQ0
La posizione dei valori del canale nella IPI e IPU si trova nel Manuale del prodotto della
rispettiva periferia F.
Posizione dei bit di stato del valore nella IPI per la periferia F con ingressi digitali
I bit di stato del valore seguono direttamente i valori del canale nella IPI.
Tabella 6- 6 Esempio: Assegnazione indirizzi nella IPI per la periferia F con 6 canali di ingresso analogici (tipo di dati INT)
Byte nella F-CPU Byte/bit occupati nella F-CPU per ciascuna periferia F:
7 6 5 4 3 2 1 0
x+0 Valore del canale AI0
... ...
x + 10 Valore del canale AI5
x + 12 — — Stato del Stato del Stato del Stato del Stato del Stato del
valore AI5 valore AI4 valore AI3 valore AI2 valore AI1 valore AI0
La posizione dei valori del canale nella IPI si trova nel Manuale del prodotto della rispettiva
periferia F.
Posizione dei bit di stato del valore nella IPI per la periferia F con uscite analogiche
I bit di stato del valore vengono rappresentati nella IPI.
Tabella 6- 7 Esempio: Assegnazione indirizzi nella IPU per la periferia F con 6 canali di uscita analogici (tipo di dati INT)
Byte nella F-CPU Byte occupati nella F-CPU per ciascuna periferia F:
7 6 5 4 3 2 1 0
x+0 Valore del canale AO0
... ...
x + 10 Valore del canale AO5

6.3 Valori di processo o sostitutivi
Tabella 6- 8 Esempio: Assegnazione indirizzi nella IPI per la periferia F con 6 canali di uscita analogici (tipo di dati INT)
7 6 5 4 3 2 1 0
x+0 — — Stato del Stato del Stato del Stato del Stato del Stato del
valore AO5 valore AO4 valore AO3 valore AO2 valore AO1 valore AO0
La posizione dei valori del canale nella IPU si trova nel Manuale del prodotto della rispettiva
periferia F.
Come vengono utilizzati i valori sostitutivi?

La funzione di sicurezza implica che, durante la passivazione dell'intera periferia F o dei
singoli canali di una periferia F, vengano utilizzati valori sostitutivi (0) al posto dei valori di
processo nei seguenti casi. Questo vale sia per i canali digitali (tipo di dati BOOL) sia per i
canali analogici (tipo di dati INT o DINT):
• all'avviamento del sistema F
• in caso di errori nella comunicazione di sicurezza (errore di comunicazione) tra F-CPU e
periferia F tramite il protocollo di sicurezza secondo PROFIsafe
• in caso di errori della periferia F/dei canali (ad es. rottura conduttore, cortocircuito, errore
di discrepanza)
• non appena si attiva una passivazione della periferia F nel DB di periferia F (vedere sotto)
con PASS_ON = 1
• non appena si disattiva la periferia F nel DB di periferia F (vedere sotto) con DISABLE = 1
Emissione del valore sostitutivo per la periferia F/i canali di una periferia F
Nel caso di una periferia F con ingressi, i valori sostitutivi (0) vengono forniti dal sistema F
nella IPI per il programma di sicurezza durante la passivazione anziché i valori di processo
presenti sugli ingressi fail-safe.
L'overflow e underflow di un canale di SM 336; AI 6 x 13Bit o di
SM 336; F-AI 6 x 0/4 ... 20 mA HART viene riconosciuto dal sistema F come errore di periferia
F/errore di canale. Nella IPI per il programma di sicurezza, al posto di 7FFFH (per overflow) o
8000H (per underflow) viene messo a disposizione il valore sostitutivo 0.

Se si vogliono elaborare valori sostitutivi diversi da "0" in una periferia F con ingressi per
canali analogici del tipo di dati INT o DINT nel programma di sicurezza, è possibile
assegnare valori sostitutivi individuali per QBAD = 1 e stato del valore = 0 o
QBAD_I_xx/QBAD_O_xx = 1 (istruzioni JMP/JMPN, LABEL e MOVE). Le spiegazioni sul
comportamento sono descritte in QBAD/PASS_OUT/DISABLED/QBAD_I_xx/QBAD_O_xx e stato
del valore (Pagina 165).
AVVERTENZA
In una periferia F con canali di ingresso digitali (tipo di dati BOOL), indipendentemente dallo
stato del valore o del QBAD/QBAD_I_xx, nel programma di sicurezza deve essere elaborato
sempre il valore messo a disposizione nella IPI. (S009)
Nel caso di una periferia F con uscite, in caso di passivazione il sistema F emette valori
sostitutivi (0) sulle uscite fail-safe invece dei valori di uscita forniti dal programma di sicurezza
nell'IPU
Stato della rispettiva IPI/IPU Periferia F con profilo Periferia F senza profilo Periferia F con F-CPU
con ... "RIOforFA-Safety" con F-CPU "RIOforFA-Safety" con F-CPU S7-300/400
S7-1200/1500 S7-1200/1500
Avviamento del sistema F IPI/IPU viene sovrascritta dal sistema F con valori sostitutivi (0).
Errori di comunicazione
Errori di periferia F La IPI viene sovrascritta dal IPI/IPU viene sovrascritta dal sistema F con valori sostitutivi
Errori del canale durante la sistema F con valori (0).
progettazione, passivazione sostitutivi (0). Nella IPU
dell'intera periferia F vengono mantenuti i valori
formati nel programma di
Errori di canale durante la sicurezza. per i canali interessati vale: IPI/IPU viene sovrascritta dal
progettazione passivazione sistema F con valori sostitutivi (0).
canale per canale
finché la passivazione della IPI/IPU viene sovrascritta dal sistema F con valori sostitutivi (0).
periferia F è attivata nel DB di
periferia F con PASS_ON = 1
finché la periferia F è IPI/IPU viene sovrascritta dal sistema F con valori sostitutivi -
disattivata nel DB di (0).
periferia F con DISABLE = 1
Reintegrazione di una periferia F/di canali di una periferia F

La commutazione dai valori sostitutivi (0) a quelli di processo (reintegrazione di una
periferia F) può essere automatica o avvenire dopo la conferma utente nel DB di periferia F.
Il tipo di reintegrazione dipende:
• dalla causa della passivazione della periferia F/dei canali della periferia F
• in caso di periferia F senza il parametro del canale "Channel failure acknowledge", dal
valore della variabile ACK_NEC del rispettivo DB di periferia F (Pagina 159).
• in caso di periferia F con il parametro del canale "Channel failure acknowledge" (ad es.
moduli F S7-1500/ET 200MP/moduli F S7-1200), dal valore di questo parametro del
canale.

6.4 DB di periferia F
In caso di slave DP standard/device IO standard fail-safe secondo il profilo "RIOforFA-Safety",

osservare la relativa documentazione.
Nota
Osservare che in caso di errori del canale nella periferia F nella progettazione corrispondente
nell'editor hardware e di rete viene eseguita una passivazione canale per canale. Per i canali
interessati vengono successivamente emessi i valori sostitutivi (0).
Nel caso di reintegrazione dopo gli errori dei canali, tutti i canali i cui errori sono stati
eliminati vengono reintegrati, mentre i canali errati rimangono passivati.
Vedere anche
Progettazione della periferia F (Pagina 50)
Introduzione
Per ciascuna periferia F (nel funzionamento di sicurezza), durante la configurazione della
periferia F nell'editor hardware e di rete viene creato automaticamente un DB di periferia F. Il
DB di periferia F contiene variabili che possono o devono essere valutate o descritte nel
programma di sicurezza. Non è ammessa una modifica dei valori iniziali delle variabili,
direttamente nel DB di periferia F. Quando si elimina una periferia F, viene eliminato anche il
rispettivo DB di periferia F.
Accesso ad un DB di periferia F
Si accede alle variabili del DB di periferia F:
• per la reintegrazione della periferia F dopo errori di comunicazione/di periferia F/di canale
• se si vuole passivare la periferia F in base a determinati stati del programma di sicurezza
(ad es. passivazione del gruppo)
• se si vuole disattivare la periferia F (ad es. nel controllo di configurazione)
• per la riparametrizzazione di slave DP standard/device IO standard fail-safe
• se si vuole valutare se vengono emessi valori sostitutivi o di processo

6.4.1 Nome e numero dei DB di periferia F

Il nome del DB di periferia F viene formato da:
• prefisso fisso "F"
• indirizzo iniziale della periferia F e il nome inserito nell'editor hardware e di rete nelle
proprietà della periferia F o nella panoramica del dispositivo (max. i primi 24 caratteri)
Esempio: F00004_F-DI24xDC24V_1
Il numero viene assegnato all'interno del campo numerico definito nel Safety Administration
Editor nell'"area "Settings" (Pagina 87)".
Opzione "Create F-I/O DB without prefix" (S7-1200, S7-1500)

Se nel Safety Administration Editor nell'"area "Settings" (Pagina 87)" si attiva l'opzione "Create
F-I/O DB without prefix", il nome viene formato solo da:
• il nome inserito nell'editor hardware e di rete nelle proprietà della periferia F o nella
panoramica del dispositivo (max. 117 caratteri)
Esempio: F-DI24xDC24V_1
Modifica del nome e del numero del DB di periferia F

Il nome viene cambiato modificando il nome inserito nell'editor hardware e di rete nelle
proprietà della periferia F o nella panoramica del dispositivo.
Il numero viene modificato nella scheda "Settings"/"F-parameters" della relativa periferia F.
6.4.2 Variabili del DB di periferia F

La tabella seguente mostra le variabili di un DB di periferia F:
Variabile Tipo di dati Funzione Valore

iniziale
Variabili che PASS_ON BOOL 1=attivazione della passivazione 0
si ACK_NEC BOOL 1=Conferma per la reintegrazione 1
possono/devo necessaria in caso di errori della periferia
no descrivere F/del canale
ACK_REI BOOL 1=Conferma per la reintegrazione 0
IPAR_EN BOOL Variabile per la riparametrizzazione di slave 0
DP standard/device IO standard fail-safe o
in SM 336; F-AI 6 x 0/4 ... 20 mA HART per
l'abilitazione della comunicazione HART
DISABLE* BOOL 1=disattivazione della periferia F 0
Variabili, che PASS_OUT BOOL Uscita di passivazione 1
possono QBAD BOOL 1=vengono emessi valori sostitutivi 1
essere
valutate ACK_REQ BOOL 1=Richiesta di conferma per la 0
reintegrazione

Variabile Tipo di dati Funzione Valore

iniziale
IPAR_OK BOOL Variabile per la riparametrizzazione di slave 0
DP standard/device IO standard fail-safe o
in SM 336; F-AI 6 x 0/4 ... 20 mA HART per
l'abilitazione della comunicazione HART
DIAG BYTE Informazioni di service non fail-safe 0
DISABLED* BOOL 1=la periferia F è disattivata 0
QBAD_I_xx BOOL 1=i valori sostitutivi vengono emessi sul 1
canale di ingresso xx (S7-300/400)
QBAD_O_xx BOOL 1=i valori sostitutivi vengono emessi sul 1
canale di uscita xx (S7-300/400)
* dalla versione di sistema Safety V2.1 per S7-1200/1500
Differenze nella valutazione per le F-CPU S7-1200/1500 e S7-300/400

La tabella seguente descrive le differenze relative alla valutazione delle variabili del DB di
periferia F o allo stato dei valori a seconda della periferia F e della F-CPU utilizzate.
Variabile nel DB di Periferia F con Periferia F senza profilo Periferia F con F-CPU S7-
periferia F o nello profilo "RIOforFA- "RIOforFA-Safety" con F- 300/400
stato del valore Safety" con F-CPU CPU S7-1200/1500
S7-1200/1500
ACK_NEC —2 x x
QBAD3 x x x
PASS_OUT3 x x x
QBAD_I_xx1 — — x
QBAD_O_xx1 — — x
Wertstatus1 x x —
1 QBAD_I_xx e QBAD_O_xx indicano la validità del valore del canale, canale per canale, e
corrispondono quindi allo stato di valore invertito nell'S7-1200/1500. Per gli slave DP standard fail-
safe e i device IO standard fail-safe senza profilo "RIOforFA-Safety", lo stato dei valori o QBAD_I_xx
e QBAD_O_xx non sono disponibili.
2 Nelle periferie F che supportano il parametro di canale "Channel failure aknowledge" (ad es.
moduli F S7-1500/ET 200MP o moduli F S7-1200), tale parametro sostituisce la funzione della
variabile ACK_NEC del DB della periferia F.
3 Per le spiegazioni sul comportamento vedere il capitolo
"QBAD/PASS_OUT/DISABLED/QBAD_I_xx/QBAD_O_xx e stato del valore"
6.4.2.1 PASS_ON
Con la variabile PASS_ON è possibile attivare una passivazione di una periferia F, ad es. in
base a determinati stati nel programma di sicurezza.
È possibile passivare solo l'intera periferia F tramite la variabile PASS_ON nel DB di periferia F;
la passivazione canale per canale non è possibile.
Finché PASS_ON = 1, viene eseguita una passivazione della rispettiva periferia F.

6.4.2.2 ACK_NEC
Quando la periferia F individua un errore di periferia F viene eseguita la passivazione della
periferia F interessata. Se vengono rilevati errori del canale, con la passivazione progettata
canale per canale viene eseguita una passivazione dei canali interessati, con la passivazione
dell'intera periferia F viene eseguita una passivazione di tutti i canali della periferia F
interessata. Dopo l'eliminazione dell'errore di periferia F/del canale viene eseguita la
reintegrazione della periferia F interessata in base a ACK_NEC:
• Con ACK_NEC = 0 è possibile parametrizzare una reintegrazione automatica.
• Con ACK_NEC = 1 è possibile parametrizzare una reintegrazione attraverso una conferma
utente.
AVVERTENZA
La parametrizzazione della variabile ACK_NEC = 0 è consentita solo se per motivi legati alla
tecnica di sicurezza è ammessa una reintegrazione automatica per il processo interessato.
(S010)
Nota
Il valore iniziale per ACK_NEC dopo la generazione del DB di periferia F è 1. Se non è
necessaria una reintegrazione automatica, non è necessario descrivere ACK_NEC.
Vedere anche
Dopo un errore della periferia F/errore di canale (Pagina 173)
6.4.2.3 ACK_REI
Se il sistema F rileva un errore di comunicazione o un errore della periferia F per una
periferia F, la periferia F interessata viene passivata. Se vengono rilevati errori del canale, con
la passivazione progettata canale per canale viene eseguita una passivazione dei canali
interessati, con la passivazione dell'intera periferia F viene eseguita una passivazione di tutti i
canali della periferia F interessata. Per una reintegrazione della periferia F/dei canali della
periferia F dopo l'eliminazione degli errori, è necessaria una conferma utente con fronte di
salita sulle variabili ACK_REI del DB di periferia F:
• dopo errori di comunicazione sempre
• dopo errori di periferia F/di canale solo con parametrizzazione "Channel failure
acknowledge = Manual" o ACK_NEC = 1
Nel caso di reintegrazione dopo gli errori dei canali, tutti i canali i cui errori sono stati
eliminati vengono reintegrati.
Una conferma è possibile solo se la variabile è ACK_REQ = 1.

Nel programma di sicurezza è necessario prevedere una conferma utente tramite la variabile
ACK_REI per ciascuna periferia F.
AVVERTENZA
Per la conferma utente occorre interconnettere la variabile ACK_REI del DB della periferia F
con un segnale generato da un comando manuale. Non è consentita una interconnessione
con un segnale generato automaticamente. (S011)
Nota
In alternativa, dopo errori di comunicazione/di periferia F o di canale, è possibile eseguire una
reintegrazione della periferia F tramite l'istruzione "ACK_GL" (ACK_GL: Conferma globale di
tutte le periferie F di un gruppo di esecuzione F (STEP 7 Safety V18) (Pagina 479)).
6.4.2.4 IPAR_EN
La variabile IPAR_EN corrisponde alla variabile iPar_EN_C nel profilo di bus PROFIsafe, dalla
specifica PROFIsafe V1.20.
Slave DP standard/device IO standard fail-safe
Per l'impostazione/il reset di questa variabile in caso di riparametrizzazione di slave DP
standard/device IO standard fail-safe, consultare la specifica PROFIsafe a partire dalla V1.20 o
la documentazione dello slave DP standard/device IO standard fail-safe.
Osservare che IPAR_EN = 1 non attiva la passivazione della periferia F interessata.
Se si vuole passivare con IPAR_EN = 1, è necessario impostare anche la variabile PASS_ON = 1.
Comunicazione HART con SM 336; F-AI 6 x 0/4 ... 20 mA HART
Se durante la parametrizzazione "HART_Tor" = "switchable" si imposta la variabile IPAR_EN su
"1", la comunicazione HART è abilitata per il SM 336; F-AI 6 x 0/4 ... 20 mA HART, con "0" è
bloccata. L'F-SM conferma la comunicazione HART abilitata o bloccata con le variabili
IPAR_OK = 1 o 0.
Abilitare la comunicazione HART solo se l'impianto si trova in uno stato in cui è possibile una
eventuale riparametrizzazione di una rispettiva apparecchiatura da campo HART senza alcun
pericolo.
Se si vuole valutare lo stato "HART communication enabled" nel programma di sicurezza, per
programmare, ad es., gli interblocchi, è necessario formare questa informazione come
illustrato nell'esempio seguente. Solo in questo modo è possibile garantire che, anche se si
verificano errori di comunicazione durante l'abilitazione della comunicazione HART tramite
IPAR_EN = 1, le informazioni siano correttamente disponibili. In questa valutazione,
modificare lo stato delle variabili IPAR_EN solo se non è presente una passivazione a causa di
un errore di comunicazione o di un errore di periferia F/del canale.

Esempio per l'abilitazione della comunicazione HART
Per ulteriori informazioni per la comunicazione HART con SM 336; F-AI 6 x 0/4 ... 20 mA HART
consultare il manuale Sistema di automazione S7-300, Sistema di periferia decentrata ET
200M, Unità di ingressi/uscite fail-safe
(http://support.automation.siemens.com/WW/view/it/19026151) e nella Guida all'unità F.
6.4.2.5 DISABLE
La variabile DISABLE consente di disattivare una periferia F.
Finché DISABLE = 1, viene eseguita una passivazione della rispettiva periferia F.
Nel buffer di diagnostica della F-CPU non vengono più inserite voci di diagnostica del
programma di sicurezza (ad es. a causa di errori di comunicazione) per questa periferia F.
Le voci di diagnostica già presente vengono contrassegnate come in uscita.

6.4.2.6 QBAD/PASS_OUT/DISABLED/QBAD_I_xx/QBAD_O_xx e stato del valore

La seguente tabella descrive il comportamenti dei valori del canale e delle variabili QBAD,
PASS_OUT, DISABLED, QBAD_I_xx/QBAD_O_xx e dello stato del valore in funzione della
periferia F e della F-CPU impiegata.
Emissione del valore Periferia F con profilo Periferia F senza profilo Periferia F con F-CPU
sostitutivo verso... "RIOforFA-Safety" con "RIOforFA-Safety" con S7-300/400
F-CPU S7-1200/1500 F-CPU S7-1200/1500
Avviamento del sistema F QBAD e PASS_OUT = 1 QBAD e PASS_OUT = 1
Errori di comunicazione DISABLED invariato per tutti i canali vale:
per tutti i canali vale: Valore del canale = valore
Errori di periferia F Valore del canale = valore sostitutivo (0) sostitutivo (0)
Stato del valore = 0* QBAD_I_xx e QBAD_O_xx = 1*
Errori del canale
durante la progettazione
passivazione dell'intera
periferia F
Errori di canale durante la QBAD, PASS_OUT e QBAD e PASS_OUT = 1 QBAD e PASS_OUT = 1

progettazione passivazione DISABLED invariato DISABLED invariato per i canali interessati vale:
canale per canale per i canali interessati vale: per i canali interessati Valore del canale = valore
Valore del canale = valore vale: sostitutivo (0)
sostitutivo (0) Valore del canale = valore QBAD_I_xx e QBAD_O_xx = 1*
Stato del valore = 0 sostitutivo (0)
Stato del valore = 0*
finché la passivazione della QBAD = 1, PASS_OUT e DISABLED invariato QBAD = 1, PASS_OUT invariato
periferia F è attivata nel DB di per tutti i canali vale: per tutti i canali vale:
periferia F PASS_ON = 1
Valore del canale = valore sostitutivo (0) Valore del canale = valore
Stato del valore = 0* sostitutivo (0)
QBAD_I_xx e QBAD_O_xx = 1*
finché la periferia F è QBAD, PASS_OUT e DISABLED = 1 -
disattivata nel DB di periferia F per tutti i canali vale:
con DISABLE = 1
Valore del canale = valore sostitutivo (0)
Stato del valore = 0*
* per gli slave DP standard fail-safe e i device IO standard fail-safe senza profilo "RIOforFA-Safety", lo stato dei valori o
QBAD_I_xx e QBAD_O_xx non sono disponibili.

6.4.2.7 ACK_REQ
Se il sistema F rileva un errore di comunicazione o un errore di periferia F/di canale per una
periferia F, viene eseguita una passivazione della periferia F interessata o dei singoli canali
della periferia F. Con ACK_REQ = 1 viene segnalato che per una reintegrazione della periferia
F/dei canali interessati della periferia F è necessaria una conferma utente.
Il sistema imposta ACK_REQ = 1, non appena l'errore è eliminato ed è possibile una conferma
utente. In caso di passivazione canale per canale, il sistema F importa ACK_REQ = 1 non
appena è eliminato un errore del canale. Per questo errore è possibile una conferma utente.
Dopo l'avvenuta conferma il sistema F resetta ACK_REQ a 0.
Nota
Per la periferia F con uscite, dopo gli errori di periferia F/del canale, una conferma è event.
possibile solo nel campo dei minuti dopo l'eliminazione dell'errore, a causa delle attivazioni
del segnale di test necessarie (vedere Manuali della periferia F).
6.4.2.8 IPAR_OK
La variabile IPAR_OK corrisponde alla variabile iPar_OK_S nel profilo di bus PROFIsafe, dalla
specifica PROFIsafe V1.20.
Slave DP standard/device IO standard fail-safe
Per la valutazione di questa variabile in caso di riparametrizzazione di slave DP
standard/device IO standard fail-safe, consultare la specifica PROFIsafe a partire dalla V1.20 o
la documentazione dello slave DP standard/device IO standard fail-safe.
Per la comunicazione HART con SM 336; F-AI 6 x 0/4 ... 20 mA HART vedere il capitolo
IPAR_EN (Pagina 163).
6.4.2.9 DIAG
Ai fini dell'assistenza, tramite la variabile DIAG viene messa a disposizione una informazione
non fail-safe (1 byte) sugli errori che si sono verificati. Questa informazione può essere letta
con i sistemi di servizio e supervisione o eventualmente valutata nel programma utente
standard. I bit DIAG restano salvati fino a quando nella variabile ACK_REI si esegue una
conferma o fino a quando viene eseguita una reintegrazione automatica.

Configurazione di DIAG
N. bit Assegnazione Cause di errore possibili Rimedi

Bit 0 Rilevato timeout dalla Il collegamento • Controllare il collegamento
periferia F PROFIBUS/PROFINET tra F-CPU
PROFIBUS/PROFINET e accertarsi che non
e periferia F è disturbato.
siano presenti fonti di disturbo esterne.
Il valore per il tempo di
collegamento F della • Controllare la parametrizzazione della
periferia F impostato è troppo periferia F. Eventualmente impostare un
basso. valore più alto per il tempo di controllo.
La periferia F contiene dati di Ricompilare la configurazione hardware e
parametrizzazione non validi
caricarla nella F-CPU. Ricompilare il
oppure programma di sicurezza.
• Controllare il buffer di diagnostica della
periferia F.
• Disinserire e reinserire la tensione nella
periferia F.
errore interno della periferia F Sostituire la periferia F
oppure
errore interno della F-CPU. Sostituire la F-CPU
Bit 1 La periferia F ha rilevato un vedere i Manuali della vedere i Manuali della periferia F
errore di periferia F/del periferia F
canale1
Bit 2 La periferia ha rilevato un vedere la descrizione per il vedere la descrizione per il bit 0
errore CRC/di numero di bit 0
sequenza
Bit 3 Riserva — —
Bit 4 Il sistema F ha rilevato un vedere la descrizione per il vedere la descrizione per il bit 0
timeout bit 0
errore di numero di bit 0
sequenza2
errore CRC bit 0
Bit 7 Errori di indirizzamento3 — Rivolgersi al Service & Support
1 Non per la periferia F che supporta il profilo "RIOforFA-Safety".
2 solo per le F-CPU S7-300/400
3 solo per le F-CPU S7-1200/1500
6.4.3 Accesso alle variabili del DB di periferia F
Regole per l'accesso a variabili del DB di periferia F

Alle variabili del DB di periferia F di una periferia F è possibile accedere solo da un gruppo di
esecuzione F da cui si accede anche ai canali di questa periferia F (se l'accesso è disponibile).

6.5 Passivazione e reintegrazione della periferia F

Alle variabili del DB di periferia F è possibile accedere tramite un "accesso DB completamente
qualificato" (ovvero indicando il nome del DB di periferia F e il nome delle variabili).
Esempio per l'analisi della variabile QBAD
Vedere anche
DB di periferia F (Pagina 159)
Panoramica
Di seguito si trovano informazioni sulla passivazione e la reintegrazione della periferia F.
Immagine relative agli andamenti del segnale

Gli andamenti del segnale riportati di seguito rappresentano andamenti del segnale tipici per
il comportamento descritto.
Gli andamenti effettivi del segnale, e in particolare, la posizione relativa del cambiamento di
stato dei singoli segnali, possono discostarsi dagli andamenti del segnale rappresentati
nell'ambito delle "imprecisioni" note durante l'elaborazione del programma ciclico, in base a
quanto segue:
• alla periferia F impiegata
• alla F-CPU impiegata
• al tempo di ciclo dell'(F-)OB nel quale viene richiamato il relativo gruppo di esecuzione F e
• al Target Rotation Time del PROFIBUS DP o il tempo di aggiornamento di PROFINET IO
Nota
Gli andamenti del segnale rappresentati si riferiscono allo stato dei segnali all'interno del
programma di sicurezza programmato dall'utente.

6.5.1 Dopo l'avviamento del sistema F
Comportamento dopo un avviamento
Emissione del valore Periferia F con profilo Periferia F senza profilo Ogni periferia F con F-CPU
sostitutivo dopo "RIOforFA-Safety" con F-CPU "RIOforFA-Safety" con F-CPU S7-300/400
l'avviamento del sistema F S7-1200/1500 S7-1200/1500
Durante l'avviamento viene QBAD e PASS_OUT = 1 QBAD e PASS_OUT = 1
eseguita la passivazione per tutti i canali vale: per tutti i canali vale:
dell'intera periferia F.
Stato del valore = 0* sostitutivo (0)
QBAD_I_xx e QBAD_O_xx =
1*
Reintegrazione della periferia F

La reintegrazione della periferia F, ovvero la fornitura dei valori di processo nella IPI o
l'emissione dei valori di processo forniti nella IPU sulle uscite fail-safe, viene eseguita
automaticamente, indipendentemente dall'impostazione nella variabile ACK_NEC o nella
progettazione "Channel failure acknowledge", al più presto a partire dal 2° ciclo del gruppo di
esecuzione dopo l'avviamento del sistema F.
Se durante l'avviamento del sistema F è presente un errore di comunicazione F/di periferia
F/del canale, consultare i capitolo Dopo errori di comunicazione (Pagina 171) e Dopo un
errore della periferia F/errore di canale (Pagina 173) per ulteriori informazioni.
Per gli slave DP standard/device IO standard fail-safe con il profilo "RIOforFA-Safety",
consultare la documentazione relativa allo slave DP standard/device IO standard fail-safe.
A seconda della periferia F utilizzata e del tempo di ciclo del gruppo di esecuzione F e del
PROFIBUS DP/PROFINET IO, la reintegrazione può avvenire solo dopo alcuni cicli del gruppo di
esecuzione F.
Se la creazione della comunicazione tra la F-CPU e la periferia F richiede un tempo superiore
al tempo di controllo F impostato nelle proprietà della periferia F, non avviene nessuna
reintegrazione automatica.

Andamento del segnale durante la passivazione e la reintegrazione della periferia F dopo

l'avviamento del sistema F
Esempio di una periferia F con ingressi:
① Avviamento del sistema F/della passivazione

② Reintegrazione automatica (ad es. 3° ciclo)
AVVERTENZA
Durante la commutazione STOP/RUN di una F-CPU, il programma utente standard si avvia

come di consueto. Durante l'avviamento del programma di sicurezza, tutti gli F-DB vengono
inizializzati con i valori della memoria di caricamento, come in un avvio a freddo. Questo
comporta la perdita delle informazioni di errore memorizzate.
Il sistema F esegue una reintegrazione automatica della periferia F, come descritto sopra.
L'avviamento del programma di sicurezza con i valori della memoria di caricamento può
essere attivato anche da un errore di gestione o da un errore interno. Se il processo non lo
consente, nel programma di sicurezza deve essere programmata una protezione contro il
(ri)avviamento: L'emissione dei valori di processo deve essere bloccata fino alla conferma
utente (vedere "Realizzazione di una conferma utente"). Questa conferma utente può
avvenire solo se l'emissione dei valori di processo è possibile senza pericolo e gli errori sono
stati eliminati. (S008)

6.5.2 Dopo errori di comunicazione
Comportamento dopo errori di comunicazione
sostitutivo dopo errori di "RIOforFA-Safety" con F-CPU "RIOforFA-Safety" con F-CPU S7-300/400
comunicazione S7-1200/1500 S7-1200/1500
Se viene rilevato un errore di QBAD e PASS_OUT = 1 QBAD e PASS_OUT = 1
comunicazione tra la F-CPU e per tutti i canali vale: per tutti i canali vale:
la periferia F, viene eseguita
la passivazione di tutti i Valore del canale = valore sostitutivo (0) Valore del canale = valore
canali della periferia F Stato del valore = 0* sostitutivo (0)
interessata. QBAD_I_xx e QBAD_O_xx =
1*

La reintegrazione della periferia F interessata, ovvero la preparazione dei valori di processo
nella IPI e l'emissione dei valori di processo preparati nella IPU sulle uscite fail-safe, ha luogo
solo se:
• non è più presente alcun errore di comunicazione e il sistema F ha impostato la variabile
ACK_REQ = 1
• è avvenuta una conferma utente con un fronte di salita:
– sulla variabile ACK_REI del DB di periferia F (Pagina 162) o
– sull'ingresso ACK_REI_GLOB dell'istruzione "ACK_GL" (ACK_GL: Conferma globale di
tutte le periferie F di un gruppo di esecuzione F (STEP 7 Safety V18) (Pagina 479))

Andamento del segnale in caso di passivazione e reintegrazione della periferia F dopo errori di
comunicazione
① Errori di comunicazione/passivazione
② Nessun errore di comunicazione presente
③ Reintegrazione
Vedere anche
Realizzazione di una conferma utente nel programma di sicurezza della F-CPU di un master DP
o di un IO Controller (Pagina 179)

6.5.3 Dopo un errore della periferia F/errore di canale
Comportamento dopo errori della periferia F
sostitutivo dopo errori della "RIOforFA-Safety" con F-CPU "RIOforFA-Safety" con F-CPU S7-300/400
periferia F S7-1200/1500 S7-1200/1500
Se il sistema F rileva un QBAD e PASS_OUT = 1 QBAD e PASS_OUT = 1
errore della periferia F, viene per tutti i canali vale: per tutti i canali vale:
eseguita la passivazione di
tutti i canali della periferia F Valore del canale = valore sostitutivo (0) Valore del canale = valore
interessata. Stato del valore = 0* sostitutivo (0)
QBAD_I_xx e QBAD_O_xx =
1*
* negli slave DP standard fail-safe e nei device IO standard fail-safe senza profilo "RIOforFA-Safety" stato del valore o
QBAD_I_xx e QBAD_O_xx non sono disponibili
Comportamento dopo errori di canale
sostitutivo dopo errori di "RIOforFA-Safety" con F-CPU "RIOforFA-Safety" con F-CPU S7-300/400
canale S7-1200/1500 S7-1200/1500
se è progettata la QBAD e PASS_OUT = 1 QBAD e PASS_OUT = 1
passivazione dell'intera per tutti i canali vale: per tutti i canali vale:
periferia F:
Se il sistema F rileva un sostitutivo (0)
errore di canale, viene Stato del valore = 0*
eseguita la passivazione di QBAD_I_xx e QBAD_O_xx =
tutti i canali della periferia F 1*
interessata.
se è progettata la QBAD e PASS_OUT invariati QBAD e PASS_OUT = 1 QBAD e PASS_OUT = 1
passivazione canale per per i canali interessati vale: per i canali interessati vale: per i canali interessati vale:
canale:
Valore del canale = valore Valore del canale = valore Valore del canale = valore
se il sistema F rileva un sostitutivo (0) sostitutivo (0) sostitutivo (0)
errore di canale, viene
eseguita la passivazione di Stato del valore = 0 Stato del valore = 0* QBAD_I_xx e QBAD_O_xx =
tutti i canali interessati della 1*
periferia F interessata.


La reintegrazione della periferia F interessata o dei canali della periferia F interessati, ovvero
la preparazione dei valori di processo nella IPI e l'emissione dei valori di processo preparati
nella IPU sulle uscite fail-safe, ha luogo solo se:
• non è più presente alcun errore della periferia F o errore di canale.
Se è stata progettata la passivazione canale per canale della periferia F, dopo l'eliminazione
degli errori dei canali interessati questi ultimi vengono reintegrati, mentre i canali difettosi
restano passivati.
La reintegrazione dipende dalla configurazione della variabile ACK_NEC o del parametro
"Channel failure acknowledge" (progettazione dei moduli F S7-1500/ET 200MP e dei moduli F
S7-1200)
• Se ACK_NEC = 0 o se è progettato "Channel failure acknowledge = Automatic" viene
eseguita una reintegrazione automatica non appena il sistema F rileva che l'errore è
stato eliminato. In una periferia F dotata di ingressi la reintegrazione è immediata. In una
periferia F provvista di uscite o di ingressi e uscite, a seconda della periferia F utilizzata la
reintegrazione può richiedere alcuni minuti al termine delle necessarie attivazioni del
segnale di test che consentono alla periferia F di riconoscere che l'errore è stato eliminato.
• Con ACK_NEC = 1 o se è progettato "Channel failure acknowledge = Manual" la
reintegrazione richiede una conferma utente con un fronte di salita nella variabile ACK_REI
del DB di periferia F oppure sull'ingresso ACK_REI_GLOB dell'istruzione "ACK_GL". La
conferma è possibile non appena il sistema F rileva che l'errore è stato eliminato e che la
variabile ACK_REQ è = 1.
Per gli slave DP standard fail-safe con il profilo "RIOforFA-Safety", consultare la
documentazione relativa ai device IO standard.
AVVERTENZA
Dopo una caduta di tensione della periferia F di durata inferiore al tempo di controllo F
impostato per la periferia F, può verificarsi una reintegrazione automatica
indipendentemente dall'impostazione delle variabili ACK_NEC e dalla progettazione
"Channel failure acknowledge", come descritto per l'impostazione ACK_NEC =0 e la
progettazione "Channel failure acknowledge = Automatic".
Se in questo caso non è consentita una reintegrazione automatica per il processo
interessato, è necessario programmare una protezione contro l'avviamento mediante
l'analisi delle variabili QBAD, QBAD_I_xx e QBAD_O_xx o dello stato del valore o di
PASS_OUT.
In caso di caduta di tensione della periferia F di durata superiore al tempo di controllo F
impostato per la periferia F, il sistema F riconosce un errore di comunicazione. (S012)

Andamento del segnale in caso di passivazione e reintegrazione della periferia F dopo un errore
della periferia F/errore di canale con ACK_NEC = 0 o progettazione del parametro "Channel
failure acknowledge = Automatic" per la passivazione dell'intera periferia F dopo un errore di
canale
① Errore di periferia F / di canale

Passivazione
② Errore di periferia F / di canale eliminato
Reintegrazione automatica
della periferia F/errore di canale con ACK_NEC = 1 o progettazione del parametro "Channel
failure acknowledge = Manual" per la passivazione dell'intera periferia F dopo un errore di canale
Per l'andamento del segnale in caso di passivazione e reintegrazione della periferia F dopo un
errore della periferia F/errore di canale con ACK_NEC = 1 o progettazione del parametro
"Channel failure acknowledge = Manual" (valore iniziale) vedere Dopo errori di
comunicazione (Pagina 171).

di canale con ACK_NEC = 1 o progettazione del parametro "Channel failure acknowledge =
Manual" per la passivazione canale per canale
① Errore di canale del canale 0/passivazione del canale 0 ④ Reintegrazione canale 0

② Errore di canale del canale 1/passivazione del canale 1 ⑤ Errore di canale del canale 1 eliminato
③ Errore di canale del canale 0 eliminato ⑥ Reintegrazione canale 1

6.5.4 Passivazione di gruppo
Programmazione di una passivazione di gruppo

Durante la passivazione di una periferia F o di un canale di una periferia F tramite il sistema F,
è possibile attivare la passivazione di altre periferie F utilizzando le variabili
PASS_OUT/PASS_ON per attivare una passivazione di gruppo delle periferie F collegate.
Una passivazione di gruppo tramite PASS_OUT/PASS_ON può servire ad es. per forzare la
reintegrazione simultanea di tutta la periferia F dopo l'avviamento del sistema F.
Per la passivazione di gruppo, tutte le variabili PASS_OUT delle periferie F del gruppo devono
essere collegate con OR e il risultato di tutte le variabili PASS_ON delle periferie F deve essere
assegnato a questo gruppo.
Durante l'utilizzo dei valori sostitutivi (0), a causa della passivazione di gruppo tramite
PASS_ON = 1, la variabile QBAD delle periferie F del gruppo interessato è = 1.
Nota
Fare attenzione al differente comportamento di PASS_OUT nelle periferie F con/senza profilo
"RIOforFA-Safety" (vedere la tabella nel capitolo
QBAD/PASS_OUT/DISABLED/QBAD_I_xx/QBAD_O_xx e stato del valore (Pagina 165)).
Esempio di passivazione del gruppo


La reintegrazione di una periferia F passivata tramite passivazione di gruppo avviene in
modo automatico se ha luogo una reintegrazione (automatica o tramite conferma utente)
della periferia F che ha attivato la passivazione di gruppo (PASS_OUT = 0).
Andamento del segnale in caso di passivazione di gruppo dopo un errore di comunicazione

Esempio per due periferie F con ingressi:
① Errore di comunicazione nella periferia F A

Passivazione della periferia F A
② Passivazione della periferia F B
③ Errore di comunicazione nella periferia F A eliminato e confermato
④ Reintegrazione periferia F A e B

Realizzazione di una conferma utente 7
7.1 Realizzazione di una conferma utente nel programma di
sicurezza della F-CPU di un master DP o di un IO Controller
Opzioni per la conferma utente

In base al risultato dell'analisi del rischio esistono le seguenti opzioni per la conferma utente:
• con un tasto di conferma collegato ad una periferia F dotata di ingressi.
• con un sistema di servizio e supervisione.
• con un tasto di conferma collegato ad una periferia standard dotata di ingressi.
• mediante altri meccanismi per la lettura della conferma utente.
Conferma dell'utente tramite tasto di conferma
Nota
Se la conferma utente viene realizzata tramite un tasto di conferma e si verifica un errore di
comunicazione/errore della periferia F/errore di canale nella periferia F alla quale è collegato il
tasto di conferma, non è più possibile confermare la reintegrazione della periferia F.
Questo "blocco" può essere eliminato solo con una commutazione STOP/RUN della F-CPU. In
un sistema ridondante S7-1500HF è necessario commutare in STOP entrambe le HF-CPU e il
sistema ridondante S7-1500HF prima del riavvio delle HF-CPU.
Pertanto si consiglia di configurare per la conferma della reintegrazione di una periferia F alla
quale è collegato un tasto di conferma anche la conferma tramite un sistema di servizio e
supervisione.
Se l'analisi del rischio lo consente, la conferma utente può avvenire tramite un tasto di
conferma collegato ad una periferia standard con ingressi oppure tramite altri meccanismi di
lettura della conferma.
Conferma utente tramite un sistema di servizio e supervisione

Per la conferma utente tramite un sistema di servizio e supervisione è necessaria l'istruzione
ACK_OP: Conferma fail-safe (STEP 7 Safety V18) (Pagina 567).

Realizzazione di una conferma utente
7.1 Realizzazione di una conferma utente nel programma di sicurezza della F-CPU di un master DP o di un IO
Controller
Procedura per la programmazione della conferma utente tramite un sistema di servizio e

supervisione (S7-300, S7-400)
1. Selezionare l'istruzione "ACK_OP" nella task card "Instructions" e inserirla nel programma di
sicurezza. Sull'uscita OUT di ACK_OP è disponibile il segnale di conferma per la valutazione
delle conferme utente.
2. Configurare nel sistema di servizio e supervisione un campo per l'immissione manuale del
"valore di conferma" "6" (1ª operazione di conferma) e del "valore di conferma" "9"
(2ª operazione di conferma)
oppure
assegnare il tasto funzione 1 per trasmettere una volta il "valore di conferma" "6"
(1ª operazione di conferma) e il tasto funzione 2 per trasmettere una volta il "valore di
conferma" "9" (2ª operazione di conferma). Assegnare al campo o ai tasti funzione il
passaggio IN (nell'area dati dell'istruzione ACK_OP).
3. Opzione: Valutare l'uscita Q nel DB di istanza di ACK_OP nel sistema di servizio e
supervisione per definire la finestra temporale all'interno della quale deve essere eseguita la
2ª operazione di conferma o visualizzare la conclusione della 1ª operazione di conferma.
Per eseguire una conferma utente solo da un PG/PC utilizzando la tabella di controllo
(controllo/comando della variabile) senza disattivare il funzionamento di sicurezza, è
necessario trasmettere un operando (parola merker o DBW di un DB del programma utente
standard) al passaggio IN durante il richiamo di ACK_OP. In questo modo i "valori di
conferma" "6" e "9" possono essere trasmessi al PG/PC attivando una sola volta la parola
merker o la DBW di un DB. La parola merker e la DBW di un DB non possono essere
sovrascritte dal programma.
Nota
Se si interconnette il passaggio IN con una parola merker o la DBW di un DB, nel passaggio IN
va utilizzata una parola merker o la DBW di un DB del programma utente standard, che siano
specifiche per ogni istanza dell'istruzione ACK_OP.
AVVERTENZA
Le due operazioni di conferma non possono essere attivate con un unico comando
manuale, ad es. inserendo automaticamente le operazioni di conferma e le condizioni
temporali in un programma e attivandole con un unico tasto funzione!
L'attivazione separata delle due operazioni di conferma impedisce anche l'attivazione errata
di una conferma tramite il sistema di servizio e supervisione non fail-safe. (S013)

7.1 Realizzazione di una conferma utente nel programma di sicurezza della F-CPU di un master DP o di un IO Controller
AVVERTENZA
In presenza di sistemi di servizio e supervisione e di F-CPU interconnessi in rete che

utilizzano l'istruzione ACK_OP per la conferma fail-safe, occorre accertarsi prima
dell'esecuzione delle due operazioni di conferma che venga interrogata effettivamente la
F-CPU desiderata.
• Memorizzare in ogni F-CPU in un DB del programma utente standard una denominazione
univoca in tutta la rete* per la F-CPU.
• Configurare un campo nel sistema di servizio e supervisione da utilizzare per leggere la
denominazione della F-CPU online nel DB prima dell'esecuzione delle due operazioni di
conferma.
• Opzione:
Configurare un ulteriore campo nel sistema di servizio e supervisione nel quale
memorizzare in modo permanente la denominazione della F-CPU. Quindi si può stabilire
con un semplice confronto tra la denominazione della F-CPU letta online e la
denominazione salvata in modo permanente, se la comunicazione avviene con la F-CPU
desiderata. (S014)
sottorete.
Nota
La progettazione del sistema di servizio e supervisione non influisce sulla firma collettiva F.
Procedura per la programmazione della conferma utente tramite un sistema di servizio e

supervisione (S7-1200, S7-1500)
1. Selezionare l'istruzione "ACK_OP" nella task card "Instructions" e inserirla nel programma di
sicurezza. Sull'uscita OUT di ACK_OP è disponibile il segnale di conferma per la valutazione
delle conferme utente.
2. Assegnare all'ingresso ACK_ID un identificativo compreso tra 9 e 30000 per la conferma.
3. Assegnare una parola merker o la DBW di un DB del programma utente standard al
passaggio IN.
Nota
È necessario assegnare al passaggio IN una parola merker o una DBW di un DB del
programma utente standard, che sia specifica per ogni istanza dell'istruzione ACK_OP.
4. Configurare nel sistema di servizio e supervisione un campo per l'immissione manuale del
"valore di conferma" "6" (1ª operazione di conferma) e l'"identificativo" parametrizzato
sull'ingresso ACK_ID (2ª operazione di conferma)
oppure

7.1 Realizzazione di una conferma utente nel programma di sicurezza della F-CPU di un master DP o di un IO
Controller
assegnare il tasto funzione 1 per trasmettere una volta il "valore di conferma" "6"
(1ª operazione di conferma) e il tasto funzione 2 per trasmettere una volta l'"Identificativo"
(2ª operazione di conferma) all'ingesso ACK_ID.
Al campo o ai tasti funzione deve essere assegnata/o la parola merker o la DBW di un DB
del programma utente standard assegnata al passaggio IN.
5. Opzione: Valutare l'uscita Q nel DB di istanza di ACK_OP nel sistema di servizio e
supervisione per definire la finestra temporale all'interno della quale deve essere eseguita la
2ª operazione di conferma o visualizzare la conclusione della 1ª operazione di conferma.
AVVERTENZA
AVVERTENZA

F-CPU desiderata.
Alternativa 1:
• Il valore del rispettivo identificativo della conferma (ingresso ACK_ID; tipo di dati: INT) è
liberamente selezionabile nel campo tra 9 e 30000, però in tutta la rete per tutte le
istanze dell'istruzione ACK_OP deve essere univoco.
Al richiamo dell'istruzione, all'ingresso ACK_ID devono essere assegnati dei valori
costanti. Accessi diretti nel relativo DB di istanza nel programma di sicurezza non sono
consentiti né in lettura né in scrittura!
Alternativa 2:
conferma.
• Opzione:
desiderata. (S047)

7.1 Realizzazione di una conferma utente nel programma di sicurezza della F-CPU di un master DP o di un IO Controller
sottorete.
Nota
L'assegnazione del passaggio IN dell'istruzione ACK_OP e la progettazione del sistema di
servizio e supervisione non influenzano la firma collettiva F, la firma collettiva F-SW o la firma
del blocco che richiama l'istruzione ACK_OP.
Di conseguenza, la modifica dell'assegnazione del passaggio IN o della progettazione del
sistema di servizio e supervisione non provoca la modifica della firma collettiva F/firma
collettiva F-SW/firma del blocco di richiamo.
Esempio di procedimento per la programmazione della conferma utente per la reintegrazione di

una periferia F
1. Opzione: Impostare su "0" la variabile ACK_NEC nel rispettivo DB di periferia F (Pagina 162)
per configurare la reintegrazione automatica (senza conferma utente) dopo un errore di
periferia F / errore di canale.
AVVERTENZA
La parametrizzazione della variabile ACK_NEC = 0 è consentita solo se per motivi legati

alla tecnica di sicurezza è ammessa una reintegrazione automatica per il processo
interessato. (S010)
2. Opzione: Analizzare le variabili QBAD e QBAD_I_xx/QBAD_O_xx (S7-300/400) o lo stato del

valore (S7-1200, S7-1500) o DIAG nel rispettivo DB di periferia F in modo da attivare un
indicatore luminoso in caso di errore e/o generare nel proprio programma utente, mediante
l'analisi delle variabili sopra indicate o dello stato del valore, dei messaggi di errore da inviare
al sistema di servizio e supervisione per l'analisi prima dell'esecuzione del processo di
conferma. In alternativa è possibile valutare il buffer di diagnostica della F-CPU.
3. Opzione: Analizzare la variabile ACK_REQ nel rispettivo DB di periferia F ad es. nel
programma utente standard oppure nel sistema di servizio e supervisione per verificare o
visualizzare se è necessaria una conferma utente.
4. Assegnare alla variabile ACK_REI nel rispettivo DB di periferia F oppure nell'ingresso
ACK_REI_GLOB dell'istruzione ACK_GL l'ingresso del tasto di conferma o l'uscita OUT
dell'istruzione ACK_OP (vedere sopra).

7.2 Realizzazione di una conferma utente nel programma di sicurezza della F-CPU di un I-slave o di un I-Device
7.2 Realizzazione di una conferma utente nel programma di

sicurezza della F-CPU di un I-slave o di un I-Device
Opzioni per la conferma utente

La conferma utente può essere realizzata con:
• un sistema di servizio e supervisione che consente di accedere alla F-CPU dell'I-
slave/I-Device
• un tasto di conferma collegato ad una periferia F dotata di ingressi assegnata alla F-CPU
dell'I-slave/I-Device
• un tasto di conferma collegato ad una periferia F dotata di ingressi assegnata alla F-CPU
del master DP/dell'IO Controller
Nella figura seguente sono riportati degli esempi delle 3 opzioni disponibili.
1. Conferma dell'utente tramite un sistema di servizio e supervisione che consente di accedere

alla F-CPU dell'I-slave/I-Device
Per la conferma utente tramite un sistema di servizio e supervisione che consente di accedere
alla F-CPU dell'I-slave/I-Device è necessaria l'istruzione ACK_OP: Conferma fail-safe (STEP 7
Safety V18) (Pagina 567).
Procedura di programmazione
Procedere come descritto in "Realizzazione di una conferma utente nel programma di
sicurezza della F-CPU di un master DP o di un IO Controller (Pagina 179)" alla voce "Procedura
di programmazione ...".
Dal sistema di servizio e supervisione accedere direttamente al DB di istanza di ACK_OP nell'I-
slave/I-Device.

2. Conferma utente tramite un tasto di conferma collegato ad una periferia F dotata di ingressi
assegnata alla F-CPU dell'I-slave/I-Device
Nota
Se si verifica un errore di comunicazione/errore di periferia F/errore di canale nella periferia F
alla quale è collegato il tasto di conferma, non è più possibile confermare la reintegrazione
della periferia F.
Questo "blocco" può essere eliminato solo con una commutazione STOP/RUN della F-CPU
dell'I-slave/I-Device.
Pertanto, per la conferma per la reintegrazione di una periferia F alla quale è collegato un
tasto di conferma, si consiglia di configurare anche una conferma tramite un sistema di
servizio e supervisione che consenta di accedere alla F-CPU dell'I-slave/I-Device (vedere il
punto 1.).
3. Conferma dell'utente tramite un tasto di conferma collegato ad una periferia F dotata di

ingressi assegnata alla F-CPU del master DP/dell'IO Controller
Se si desidera utilizzare il tasto di conferma assegnato alla F-CPU del master DP/IO Controller
anche per la conferma utente nel programma di sicurezza della F-CPU di un I-slave/I-Device, è
necessario trasmettere il segnale di conferma dal programma di sicurezza nella F-CPU del
master DP/IO Controller al programma di sicurezza nella F-CPU dell'I-slave/I-Device tramite la
comunicazione di sicurezza master-I-slave/IO Controller-I-Device.
1. Inserire l'istruzione SENDDP (Pagina 579) nel programma di sicurezza della F-CPU del master
DP/IO Controller.
2. Inserire l'istruzione RCVDP (Pagina 579) nel programma di sicurezza della F-CPU dell'I-
slave/I-Device.
3. Assegnare un ingresso SD_BO_xx di SENDDP ad un ingresso del tasto di conferma.

4. Successivamente sull'uscita RD_BO_xx di RCVDP è disponibile il segnale di conferma per la

valutazione delle conferme utente.
Il segnale di conferma può essere letto nelle parti di programma successive con un
accesso completamente qualificato direttamente nel relativo DB di istanza (ad es.
"RCVDP_DB".RD_BO_02).
5. Impostare l'ingresso corrispondente SUBBO_xx di RCVDP su FALSE (valore sostitutivo 0) in
modo che dopo l'avviamento del sistema F di trasmissione e di ricezione o in caso di errore
della comunicazione di sicurezza non venga accidentalmente attivata la conferma utente
prima che la comunicazione venga stabilita per la prima volta.
Nota
Se si verifica un errore di comunicazione/errore di periferia F/errore di canale nella
periferia F alla quale è collegato il tasto di conferma, non è più possibile confermare la
reintegrazione della periferia F.
del master DP/IO Controller.
Pertanto si consiglia di configurare per la conferma della reintegrazione di una periferia F
alla quale è collegato un tasto di conferma anche la conferma tramite un sistema di
servizio e supervisione che consente di accedere alla F-CPU del master DP/IO Controller.
In caso di errore della comunicazione di sicurezza master-I-slave/IO Controller-I-Device non
è più possibile trasmettere il segnale di conferma e di conseguenza non è possibile
nemmeno la conferma della reintegrazione della comunicazione di sicurezza.
dell'I-slave/I-Device.
Pertanto si consiglia di configurare per la conferma della reintegrazione della
comunicazione di sicurezza per la trasmissione del segnale di conferma anche la conferma
tramite un sistema di servizio e supervisione che consente di accedere alla F-CPU dell'I-
slave/I-Device (vedere il punto 1.).

Scambio di dati tra programma utente standard e
programma di sicurezza 8
Esiste la possibilità di trasferire i dati dal programma di sicurezza al programma utente
standard e viceversa. A questo scopo si possono utilizzare le variabili dei DB, gli F-DB e i
merker:
Dal programma utente standard Dal programma di sicurezza

in lettura in scrittura in lettura in scrittura
Variabile di un DB consentito consentito in lettura oppure in scrittura a una variabile del
DB
Variabile di un consentito non consentito consentito consentito
F-DB
Merker consentito consentito in lettura oppure in scrittura a un merker
Inoltre è possibile accedere all'immagine di processo della periferia standard e della

periferia F:
Dal programma utente standard Dal programma di sicurezza

in lettura in scrittura in lettura in scrittura
Immagine di processo IPI consentito consentito consentito non consentito
periferia standard IPU consentito consentito non consentito consentito
Immagine di processo IPI consentito non consentito consentito non consentito
periferia F IPU consentito non consentito non consentito consentito
Se si utilizzano le Software Unit o le Safety Unit, osservare le eventuali

limitazioni/particolarità.
Disaccoppiamento del programma di sicurezza dal programma utente standard

Per lo scambio di dati tra programma utente standard e programma di sicurezza si consiglia di
definire dei blocchi dati speciali (blocchi dati di trasferimento) in cui salvare i dati da
scambiare. Questo consente di disaccoppiare i blocchi del programma utente standard e del
programma di sicurezza. Finché questi blocchi dati non vengono modificati, le modifiche nel
programma utente standard non si ripercuotono sul programma di sicurezza (e viceversa).

Scambio di dati tra programma utente standard e programma di sicurezza
8.1 Trasferimento dei dati dal programma di sicurezza al programma utente standard
8.1 Trasferimento dei dati dal programma di sicurezza al programma

utente standard
Lettura dei dati del programma di sicurezza nel programma utente standard
Il programma utente standard può leggere tutti i dati del programma di sicurezza, ad es.
tramite un accesso simbolico (completamente qualificato) ai seguenti elementi:
• i DB di istanza degli F-FB ("nome del DB di istanza".Signal_x)
• gli F-DB (ad es. "nome dell'F_DB".Signal_1)
• l'immagine di processo degli ingressi e delle uscite della periferia F (ad es.
"pulsante_di_arresto_di_emergenza_1" (E 5.0))
Nota
Valido per le F-CPU S7-300/400
L'immagine di processo degli ingressi della periferia F non viene aggiornata solo all'inizio
del gruppo di esecuzione F, ma anche dal sistema operativo standard.
L'ora di aggiornamento del sistema operativo standard è riportata nella Guida a STEP 7 in
"Immagine di processo degli ingressi e delle uscite". Per le F-CPU che supportano le
immagini di processo parziali, osservare anche l'ora di aggiornamento in caso di utilizzo
delle immagini di processo parziali. Di conseguenza, quando si accede all'immagine di
processo degli ingressi della periferia F nel programma utente standard possono essere
visualizzati valori diversi da quelli del programma di sicurezza. Le differenze tra i valori
possono essere dovute:
• a un'ora di aggiornamento diversa
• all'utilizzo di valori sostitutivi nel programma di sicurezza
Per fare in modo che il programma utente standard fornisca gli stessi valori del
programma di sicurezza, accedere all'immagine di processo degli ingressi dal programma
utente standard solo dopo l'elaborazione di un gruppo di esecuzione F. In questo caso è
possibile analizzare nel programma utente standard anche la variabile QBAD o QBAD_I_xx
nel relativo DB della periferia F per verificare se l'immagine di processo degli ingressi
riceve dei valori sostitutivi (0) oppure dei valori di processo. Se si utilizzano immagini di
processo parziali, assicurarsi inoltre che tra l'elaborazione di un gruppo di esecuzione F e
l'analisi dell'immagine di processo degli ingressi nel programma utente standard
l'immagine di processo non venga aggiornata dal sistema operativo standard o
dall'istruzione UPDAT_PI.
Nota
Valido per le F-CPU S7-1200/1500
L'immagine di processo degli ingressi della periferia F viene aggiornata prima
dell'elaborazione del blocco Main Safety.
Quando si trasferiscono i dati dal programma di sicurezza al programma utente standard, non
viene verificata l'integrità del programma di sicurezza e dei dati rilevanti per la sicurezza
(vedere anche il capitolo "Presentazione del prodotto (Pagina 21)").

8.2 Trasferimento dei dati dal programma utente standard al programma di sicurezza
Scrittura dei dati dal programma di sicurezza nel programma utente standard
Esiste inoltre la possibilità di scrivere i dati del programma di sicurezza nel programma utente
standard direttamente all'interno del programma di sicurezza (vedere anche la tabella delle
aree operandi supportate in: Limitazioni dei linguaggi di programmazione FUP/KOP
(Pagina 112)).
Questo vale anche per le informazioni del Service non sicure (ad es. le uscite DIAG delle
istruzioni fail-safe).
Osservare la tabella contenuta nel capitolo "Scambio di dati tra programma utente standard e
programma di sicurezza (Pagina 187)".
Durante la scrittura in una variabile del tipo di dati ARRAY l'indice può essere una costante
oppure una variabile.
8.2 Trasferimento dei dati dal programma utente standard al

programma di sicurezza
Nel programma di sicurezza possono essere elaborati solo dati fail-safe o segnali fail-safe
della periferia F e altri programmi di sicurezza (in altre F-CPU), poiché le variabili del
programma standard non sono protette.
Se è necessario elaborare comunque delle variabili del programma utente standard nel
programma di sicurezza, è possibile analizzare i merker del programma utente standard, le
variabili di un DB standard o l'immagine di processo degli ingressi (IPI) della periferia standard
nel programma di sicurezza (vedere anche la tabella delle aree operandi supportate in:
Limitazioni dei linguaggi di programmazione FUP/KOP (Pagina 112)).
Osservare la tabella contenuta nel capitolo "Scambio di dati tra programma utente standard e
programma di sicurezza (Pagina 187)".
Durante la lettura di una variabile del tipo di dati ARRAY l'indice deve essere una costante. Le
variabili non possono essere utilizzate come indici.

Tenere presente che le modifiche strutturali dei DB standard utilizzati nel programma di
sicurezza causano incoerenze del programma di sicurezza e quindi possono essere eseguite
solo se si dispone delle autorizzazioni necessarie per l'accesso ai dati di progetto rilevanti per
la sicurezza. In questo caso dopo la compilazione la firma collettiva F corrisponde di nuovo
alla firma originaria. Per evitare questo effetto, utilizzare i "blocchi dati di trasferimento" tra il
programma utente standard e il programma di sicurezza.
AVVERTENZA
Poiché queste variabili non vengono generate in modo sicuro, è necessario assicurarsi,
mediante controlli di plausibilità aggiuntivi specifici del processo nel programma di
sicurezza, che non possano verificarsi degli stati pericolosi. Se si utilizza un merker, una
variabile di un DB standard o un ingresso della periferia standard nei due gruppi di
esecuzione F, il controllo di plausibilità deve essere eseguito separatamente in ogni gruppo
di esecuzione F. (S015)
Per facilitare il controllo, durante la creazione della documentazione di sicurezza (Pagina 329)
tutte le variabili PLC del programma utente standard valutate nel programma di sicurezza
vengono stampate.
Le variabili PLC del programma utente standard che vengono valutate nei blocchi F con
protezione del know-how non vengono acquisite nella documentazione di sicurezza. Il
controllo di plausibilità deve essere eseguito dall'utente che crea i blocchi F con know-how
protetto.
Esempi: Programmazione dei controlli di plausibilità

• Controllare le variabili del programma utente standard con l'ausilio delle istruzioni per il
confronto (Pagina 503) del superamento in positivo o in negativo di un limite
superiore/inferiore ammesso. Il risultato del confronto può essere utilizzato per
influenzare la funzione di sicurezza.
• Utilizzare le variabili del programma utente standard, ad es. per consentire la disinserzione
di un motore ma impedirne l'inserzione in combinazione con le istruzioni ---( S )---:
Impostazione dell'uscita (STEP 7 Safety V18) (Pagina 398), ---( R )---: Reset dell'uscita
(STEP 7 Safety V18) (Pagina 396) oppure SR: Impostazione/reset flip-flop (STEP 7
Safety V18) (Pagina 399).
• Per i processi di inserzione, collegare le variabili del programma utente standard ad es.
mediante l'istruzione AND con le condizioni di inserzione che si ricavano dalle variabili
fail-safe.
In caso di elaborazione delle variabili del programma utente standard nel programma di
sicurezza, tenere presente che non in tutti i casi è possibile verificare facilmente la plausibilità
delle variabili.

Lettura delle variabili del programma utente standard che possono modificarsi durante il tempo
di esecuzione di un gruppo di esecuzione F
Per leggere nel programma di sicurezza le variabili del programma utente standard (merker,
variabili di un DB standard o IPI della periferia standard) che durante il tempo di esecuzione
del gruppo di esecuzione F in cui avviene la lettura possono essere modificate dal programma
utente standard o da un sistema di servizio e supervisione - ad es. perché il programma
utente standard viene elaborato in seguito ad un allarme di schedulazione orologio di priorità
superiore - è necessario utilizzare dei merker appositi o delle variabili di un DB standard
specifiche. Nel caso delle F-CPU S7-1200/1500 si raccomanda di utilizzare gli FC standard per
la preelaborazione (Pagina 83).
(S7-300/400) I merker e le variabili del DB standard devono essere sovrascritti con le variabili
del programma utente standard immediatamente prima del richiamo del gruppo di
esecuzione F.
In seguito nel programma di sicurezza si potrà accedere solo a questi merker o a queste
variabili del DB standard.
Si noti inoltre che i merker di clock definiti nella progettazione della F-CPU all'interno della
scheda "Properties" possono subire modifiche durante il tempo di esecuzione del gruppo di
esecuzione F perché vengono eseguiti in modo asincrono rispetto al ciclo della F-CPU.
Nota

Comunicazione di sicurezza 9
9.1 Progettazione e programmazione della comunicazione (S7-300,
S7-400)
9.1.1 Panoramica della comunicazione
Introduzione
Di seguito è riportata una panoramica delle opzioni di comunicazione di sicurezza nei
sistemi F SIMATIC Safety.
Opzioni della comunicazione di sicurezza
Comunicazione di sicurezza Tramite sottorete Hardware aggiuntivo

necessario
Comunicazione I-slave-slave PROFIBUS DP —
Comunicazione di sicurezza CPU-CPU:
Comunicazione IO Controller- PROFINET IO PN/PN Coupler
IO Controller
Comunicazione master-master PROFIBUS DP DP/DP Coupler
Comunicazione IO Controller-I-Device PROFINET IO —
Comunicazione master-I-slave PROFIBUS DP —
Comunicazione I-slave-I-slave PROFIBUS DP —
Comunicazione IO Controller-I-slave PROFINET IO e PROFIBUS DP IE/PB Link
Comunicazione di sicurezza tramite Industrial Ethernet —
collegamenti S7
IO Controller con S7 Distributed Safety
Comunicazione master-master con S7 PROFIBUS DP DP/DP Coupler
Distributed Safety
Comunicazione di sicurezza tramite Industrial Ethernet —
collegamenti S7 con S7 Distributed
Safety o il sistema F S7

Comunicazione di sicurezza
9.1 Progettazione e programmazione della comunicazione (S7-300, S7-400)
Panoramica della comunicazione sicura tramite PROFIBUS DP

La figura seguente mostra una panoramica delle 4 opzioni di comunicazione sicura tramite
PROFIBUS DP nei sistemi F SIMATIC Safety con le F-CPU S7-300/400.
① Comunicazione di sicurezza master-master

② Comunicazione di sicurezza master-I-slave
③ Comunicazione di sicurezza I-slave-I-slave
④ Comunicazione di sicurezza I-slave-slave
Panoramica della comunicazione di sicurezza tramite PROFINET IO

La figura seguente mostra una panoramica delle 4 opzioni di comunicazione di sicurezza
tramite PROFINET IO nei sistemi F SIMATIC Safety con le F-CPU S7-300/400. Utilizzando un
IE/PB Link è possibile garantire una comunicazione sicura tra gli I-slave assegnati.
① Comunicazione di sicurezza IO Controller-IO Controller

② Comunicazione di sicurezza IO Controller-I-Device
③ Comunicazione di sicurezza tra IO Controller e I-slave
④ Comunicazione di sicurezza I-slave-I-slave con un IO Controller

Comunicazione di sicurezza CPU-CPU tramite PROFIBUS DP o PROFINET IO

Nella comunicazione sicura CPU-CPU viene trasmessa in modo sicuro una quantità fissa di dati
fail-safe del tipo di dati INT o BOOL ai programmi di sicurezza delle F-CPU dei master
DP/I-slave o degli IO Controller/I-Device.
I dati vengono trasmessi mediante le istruzioni SENDDP per la trasmissione e RCVDP per la
ricezione. I dati vengono salvati nelle aree di trasferimento progettate dei dispositivi. Un'area
di trasferimento è costituita da un'area degli indirizzi di ingresso e da un'area degli indirizzi di
uscita.
Comunicazione di sicurezza I-slave-slave tramite PROFIBUS DP

La comunicazione di sicurezza I-slave-slave con la periferia F di uno slave DP è possibile se
quest'ultimo supporta la comunicazione di sicurezza I-slave-slave, ad es. tutti i moduli F
ET 200SP con IM 155-6 DP HF, firmware > V3.1, tutti i moduli F ET 200S con IM 151-1 HF,
tutte le unità di ingressi/uscite S7-300 fail-safe con IM 153-2, a partire dal numero di
articolo 6ES7153-2BA01-0XB0, firmware: > V4.0.0.
La comunicazione sicura tra il programma di sicurezza della F-CPU di un I-slave e la periferia F
di uno slave DP avviene – come nello standard - tramite uno scambio dati diretto. L'accesso ai
canali della periferia F all'interno del programma di sicurezza della F-CPU dell'I-slave avviene
tramite l'immagine di processo.
Comunicazione di sicurezza CPU-CPU tramite Industrial Ethernet

La comunicazione di sicurezza CPU-CPU tramite Industrial Ethernet viene realizzata mediante
dei collegamenti S7, da e per:
• F-CPU S7-300 tramite l'interfaccia PROFINET integrata
• F-CPU S7-400 tramite l'interfaccia PROFINET integrata oppure un CP 443-1 o CP 443-1
Advanced-IT
Nella comunicazione orientata alla sicurezza tramite collegamenti S7 viene trasmessa in
modo sicuro una quantità fissa di dati fail-safe del tipo di dati BOOL, INT, WORD, DINT,
DWORD o TIME ai programmi di sicurezza delle F-CPU collegate mediante il collegamento S7.
Il trasferimento dei dati viene realizzato tramite le istruzioni SENDS7 per la trasmissione e
RCVS7 per la ricezione. I dati vengono scambiati tramite un F-DB ("DB di comunicazione F")
sul lato di trasmissione e sul lato di ricezione.
Comunicazione di sicurezza CPU-CPU con S7 Distributed Safety o con il sistema F

È possibile realizzare la comunicazione di sicurezza tra le F-CPU di SIMATIC Safety e le F-CPU
di S7 Distributed Safety o del sistema F S7.

9.1.2 Comunicazione di sicurezza tra IO Controller e IO Controller
9.1.2.1 Progettazione della comunicazione di sicurezza IO Controller-IO Controller
Introduzione
La comunicazione di sicurezza tra i programmi di sicurezza delle F-CPU degli IO Controller
viene realizzata mediante un PN/PN Coupler installato tra le due F-CPU.
Per le CPU 416F-2 DP senza interfaccia PROFINET integrata utilizzare un CP 443-1 o un CP
443-1 Advanced-IT.
Nota
Disattivare il parametro "Data validity display DIA" nelle proprietà del PN/PN Coupler
nell'editor hardware e di rete. Ciò corrisponde alle impostazioni predefinite In caso contrario
la comunicazione di sicurezza IO Controller-IO Controller non è possibile.
Progettazione delle aree di trasferimento

Per ogni collegamento di comunicazione orientato alla sicurezza tra due F-CPU, nel
PN/PN Coupler deve essere progettata un'area di trasferimento per i dati di uscita e un'area di
trasferimento per i dati di ingresso nell'editor hardware e di rete. Nell'immagine seguente,
entrambe le F-CPU devono potere trasmettere e ricevere dati (comunicazione bidirezionale).
Per ciascuno dei due collegamenti di comunicazione devono essere progettate un'area di
trasferimento per i dati di uscita e un'area di trasferimento per i dati di ingresso nel PN/PN
Coupler.

Regole per la definizione delle aree di trasferimento

Per la trasmissione dei dati, l'area di trasferimento per i dati di uscita e l'area di trasferimento
per i dati di ingresso devono avere lo stesso indirizzo iniziale. Per l'area di trasferimento dei
dati di uscita sono richiesti 12 byte (coerenti); per l'area di trasferimento dei dati di ingresso
sono richiesti 6 byte (coerenti).
Per la ricezione dei dati, l'area di trasferimento per i dati di ingresso e l'area di trasferimento
per i dati di uscita devono avere lo stesso indirizzo iniziale. Per l'area di trasferimento dei dati
di ingresso sono richiesti 12 byte (coerenti); per l'area di trasferimento dei dati di uscita sono
richiesti 6 byte (coerenti).
Procedura di progettazione
La procedura per la progettazione della comunicazione di sicurezza IO-Controller-
IO-Controller è identica a quella standard.
1. Inserire nel progetto due F-CPU dalla task card "Catalogo hardware".
2. Passare alla vista di rete dell'editor hardware e di rete.
3. Nella task card "Catalogo hardware" alla voce "Ulteriori apparecchiature da
campo\PROFINET IO\Gateway\Siemens AG\PN/PN Coupler" selezionare un PN/PN Coupler X1
e un PN/PN Coupler X2 e inserirli nella vista di rete dell'editor hardware e di rete.
4. Collegare l'interfaccia PN della F-CPU 1 con l'interfaccia PN del PN/PN Coupler X1 e
l'interfaccia PN della F-CPU 2 con l'interfaccia PN del PN/PN Coupler X2.
5. Per i collegamenti di comunicazione bidirezionali, ovvero se ogni F-CPU deve sia trasmettere
che ricevere i dati, aprire la vista dispositivi del PN/PN Coupler X1. Selezionare nella task card
"Hardware catalog", con il filtro attivato, i seguenti moduli alla voce "IN/OUT" e inserirli nella
scheda "Device overview":
– un modulo "IN/OUT 6 byte / 12 byte" e
– un modulo "IN/OUT 12 byte / 6 byte"

6. Assegnare gli indirizzi al di fuori dell'immagine di processo nelle proprietà dei moduli come
descritto di seguito:
Per il modulo "IN/OUT 6 byte / 12 byte" per la trasmissione dei dati ad es.:
– Indirizzi di ingresso: Indirizzo iniziale 518
– Indirizzi di uscita: Indirizzo iniziale 518
Per il modulo "IN/OUT 12 byte / 6 byte" per la ricezione dei dati ad es.:
Nota
Accertarsi che gli indirizzi iniziali delle aree indirizzi per i dati di ingresso e di uscita siano
identici.
Suggerimento: Annotare i rispettivi indirizzi iniziali della aree di trasferimento. Gli indirizzi
saranno necessari per la programmazione dei blocchi SENDDP e RCVDP (ingresso LADDR).

7. Selezionare nella vista dispositivi del PN/PN Coupler X2 i seguenti moduli alla voce "IN/OUT" e
inserirli nella scheda "Device overview":
Per il modulo "IN/OUT 12 byte / 6 byte" per la ricezione dei dati ad es.:
Per il modulo "IN/OUT 6 byte / 12 byte" per la trasmissione dei dati ad es.:

9.1.2.2 Comunicazione di sicurezza IO Controller-IO Controller tramite SENDDP e RCVDP
Comunicazione tramite le istruzioni SENDDP e RCVDP
La comunicazione di sicurezza tra le F-CPU degli IO Controller viene realizzata con l'ausilio
delle istruzioni SENDDP per la trasmissione e RCVDP per la ricezione. Queste istruzioni
consentono di trasmettere in modo sicuro un numero fisso di dati fail-safe del tipo di dati INT
o BOOL.
Queste istruzioni si trovano nella task card "Instructions" in "Communication". L'istruzione
RCVDP deve essere richiamata all'inizio del blocco Main Safety. L'istruzione SENDDP deve
essere richiamata alla fine del blocco Main Safety.
Tenere presente che i segnali di trasmissione vengono inviati solo dopo il richiamo
dell'istruzione SENDDP al termine dell'elaborazione del rispettivo gruppo di esecuzione F.
Per la descrizione dettagliata delle istruzioni SENDDP e RCVDP vedere SENDDP e RCVDP: Invio
e ricezione di dati tramite PROFIBUS DP/PROFINET IO (STEP 7 Safety V18) (Pagina 579).

9.1.2.3 Programmazione della comunicazione di sicurezza tra IO Controller e IO Controller
Requisiti per la programmazione

Devono essere state progettate le aree di trasferimento per i dati di ingresso e di uscita del
PN/PN Coupler.
La comunicazione di sicurezza IO Controller-IO Controller viene programmata nel modo
seguente:
1. Nel programma di sicurezza dal quale devono essere inviati i dati, richiamare
l'istruzione SENDDP (Pagina 579) per la trasmissione alla fine del blocco Main Safety.
2. Nel programma di sicurezza nel quale devono essere ricevuti i dati, richiamare
l'istruzione RCVDP (Pagina 579) per la ricezione all'inizio del blocco Main Safety.
3. Assegnare ai rispettivi ingressi LADDR gli indirizzi iniziali delle aree di trasferimento per i dati
di ingresso e di uscita del PN/PN Coupler progettati nell'editor hardware e di rete.
Questa assegnazione deve essere effettuata per ogni collegamento di comunicazione di
ciascuna delle F-CPU collegate.

4. Assegnare il valore per il rispettivo ID di comunicazione F agli ingressi DP_DP_ID. In questo

modo si definisce il rapporto di comunicazione tra l'istruzione SENDDP di una F-CPU e
l'istruzione RCVDP dell'altra F-CPU: Le istruzioni correlate ricevono lo stesso valore per
DP_DP_ID.
Nell'immagine seguente è riportato un esempio di definizione dell'ID di comunicazione F
sulle uscite delle istruzioni SENDDP e RCVDP per 5 rapporti di comunicazione di sicurezza
IO Controller-IO Controller.
AVVERTENZA
essere selezionato liberamente, ma deve essere univoco in tutta la rete* e in tutta la CPU
in qualsiasi momento e per tutti i collegamenti di comunicazione orientati alla sicurezza.
L'univocità deve essere verificata nella stampa del programma di sicurezza durante il
collaudo del programma di sicurezza.
valori costanti. Nel programma di sicurezza non sono consentiti accessi in scrittura diretti
a DP_DP_ID e LADDR nei rispettivi DB di istanza! (S016)

Layer 3).
5. Fornire i segnali di trasmissione agli ingressi SD_BO_xx e SD_I_xx di SENDDP. Per ridurre i
segnali intermedi durante il trasferimento dei parametri dei blocchi, in alternativa è possibile
scrivere, prima del richiamo di SENDDP, il valore direttamente nel DB di istanza di SENDDP
tramite un accesso completamente qualificato (ad es. "Name SENDDP_1".SD_BO_02).
6. Assegnare alle uscite RD_BO_xx e RD_I_xx di RCVDP i segnali da elaborare in altre parti di
programma oppure leggere nelle parti di programma utilizzate per l'elaborazione successiva
i segnali ricevuti direttamente nel DB di istanza corrispondente tramite un accesso
completamente qualificato (ad es. "Name RCVDP_1".RD_BO_02).
7. Assegnare agli ingressi SUBBO_xx e SUBI_xx di RCVDP i valori sostitutivi che devono essere
emessi al posto dei valori di processo di RCVDP dopo l'avviamento del sistema F di
trasmissione e di ricezione o in caso di errore della comunicazione di sicurezza fino a quando
la comunicazione non viene stabilita per la prima volta.
– Preimpostazione di valori sostitutivi constanti:
Per i dati del tipo di dati INT è possibile inserire dei valori sostitutivi costanti
direttamente come costante nell'ingresso SUBI_xx (valore iniziale = "0"). Se si desidera
assegnare ai dati del tipo di dati BOOL un valore sostitutivo costante "TRUE", assegnare
all'ingresso SUBBO_xx (valore iniziale = "FALSE") la variabile "F_GOBDB".VKE1.
– Preimpostazione di valori sostitutivi variabili:
Per impostare dei valori sostitutivi variabili, definire una variabile calcolata con il
programma di sicurezza nell'F-DB e assegnare questa variabile in modo completamente
qualificato all'ingresso SUBI_xx o SUBBO_xx.
AVVERTENZA
Osservare: La logica di programma per il calcolo dei valori sostitutivi variabili può
essere inserita solo dopo i richiami RCVDP, poiché non è consentita alcuna logica di
programma prima dei richiami RCVDP. Pertanto nel primo ciclo dopo l'avviamento del
sistema F sono attivi i valori iniziali dei valori sostitutivi in tutte le istruzioni RCVDP.
Assegnare pertanto a queste variabili dei valori iniziali idonei. (S017)
8. Parametrizzare gli ingressi TIMEOUT delle istruzioni RCVDP e SENDDP con il tempo di
controllo desiderato.
AVVERTENZA
L'acquisizione dello stato del segnale da trasmettere e la sua trasmissione al ricevente

sono garantite (in modalità fail-safe) solo se lo stato del segnale rimane attivo per un
tempo pari almeno al tempo di controllo parametrizzato. (S018)
Ulteriori informazioni sul calcolo dei tempi di controllo sono contenute in Tempi di

9. Opzione: Valutare l'uscita ACK_REQ dell'istruzione RCVDP ad es. nel programma utente
standard oppure nel sistema di servizio e supervisione per verificare o visualizzare se è
necessaria una conferma utente.
10.Assegnare il segnale per la conferma della reintegrazione all'ingresso ACK_REI dell'istruzione
RCVDP.
11.Opzione: Valutare l'uscita SUBS_ON dell'istruzione RCVDP o SENDDP per verificare se
l'istruzione RCVDP emette i valori sostitutivi parametrizzati sugli ingressi SUBBO_xx e
SUBI_xx.
12.Opzione: Valutare l'uscita ERROR dell'istruzione RCVDP o SENDDP ad es. nel programma
utente standard oppure nel sistema di servizio e supervisione per verificare o visualizzare se
si è verificato un errore di comunicazione.
13.Opzione: Valutare l'uscita SENDMODE dell'istruzione RCVDP per verificare se nella F-CPU con
la relativa istruzione SENDDP il funzionamento di sicurezza è disattivato (Pagina 333).
9.1.2.4 Comunicazione di sicurezza IO Controller-IO Controller - Limiti per la trasmissione

di dati
Nota
Se la quantità di dati da trasmettere supera la capacità delle relative istruzioni
SENDDP/RCVDP, è possibile utilizzare un secondo (o terzo) richiamo SENDDP/RCVDP.
Progettare a questo scopo un ulteriore collegamento di comunicazione tramite il PN/PN
Coupler. La possibilità di eseguire questa operazione con lo stesso PN/PN Coupler dipende dai
limiti di capacità del PN/PN Coupler stesso.
9.1.3 Comunicazione di sicurezza master-master
9.1.3.1 Progettazione della comunicazione di sicurezza master-master
Introduzione
La comunicazione di sicurezza tra i programmi di sicurezza delle F-CPU dei master DP viene
realizzata mediante un DP/DP Coupler.
Nota
Commutare l'indicazione di validità dei dati "DIA" del DIL-switch del DP/DP Coupler su "OFF". In
caso contrario la comunicazione di sicurezza CPU-CPU non è possibile.


Per ogni collegamento di comunicazione di sicurezza tra due F-CPU, nel DP/DP Coupler deve
essere progettata un'area di trasferimento per i dati di uscita e un'area di trasferimento per i
dati di ingresso nell'editor hardware e di rete. Nell'immagine seguente, entrambe le F-CPU
devono potere trasmettere e ricevere dati (comunicazione bidirezionale). Per ciascuno dei
due collegamenti di comunicazione devono essere progettate un'area di trasferimento per i
dati di uscita e un'area di trasferimento per i dati di ingresso nel DP/DP Coupler.

Per la trasmissione dei dati, l'area di trasferimento per i dati di ingresso e l'area di
trasferimento per i dati di uscita devono avere lo stesso indirizzo iniziale. Per l'area di
trasferimento dei dati di ingresso sono richiesti 6 byte (coerenti); per l'area di trasferimento
dei dati di uscita sono richiesti 12 byte (coerenti).
Per la ricezione dei dati, l'area di trasferimento per i dati di ingresso e l'area di trasferimento
per i dati di uscita devono avere lo stesso indirizzo iniziale. Per l'area di trasferimento dei dati
di ingresso sono richiesti 12 byte (coerenti); per l'area di trasferimento dei dati di uscita sono
richiesti 6 byte (coerenti).
La procedura per la progettazione della comunicazione di sicurezza tra master e master è
identica a quella standard.

3. Nella task card "Hardware catalog" alla voce "Other field

devices\PROFIBUS DP\Gateway\Siemens AG\DP/DP Coupler" selezionare un DP/DP Coupler e
inserirlo nella vista di rete dell'editor hardware e di rete.
4. Inserire un secondo DP/DP Coupler.
5. Collegare l'interfaccia DP della F-CPU 1 con l'interfaccia DP di un DP/DP Coupler e l'interfaccia
DP della F-CPU 2 con l'interfaccia DP di un altro DP/DP Coupler.
6. Nelle proprietà del DP/DP Coupler della vista dispositivi viene assegnato automaticamente un
indirizzo PROFIBUS libero. Questo indirizzo deve essere impostato sul DP/DP Coupler del PLC
1 con il DIL-switch del dispositivo oppure nella progettazione del DP/DP Coupler (vedere il
manuale DP/DP Coupler (http://support.automation.siemens.com/WW/view/it/1179382)).
che ricevere i dati, aprire la vista dispositivi del DP/DP Coupler per PLC1. Selezionare nella
task card "Hardware catalog", con il filtro attivato, i seguenti moduli e inserirli nella scheda
"Device overview":
– un modulo "6 byte I/12 byte O coerente" e
– un modulo "12 byte I/6 byte O coerente"

Modulo "6 byte I/12 byte O coerente" per la trasmissione dei dati, ad es.:
Modulo "12 byte I/6 byte O coerente" per la ricezione dei dati, ad es.:
Nota
Accertarsi che gli indirizzi iniziali delle aree indirizzi per i dati di ingresso e di uscita
siano identici.
Suggerimento: Annotare i rispettivi indirizzi iniziali della aree di trasferimento. Gli
indirizzi saranno necessari per la programmazione dei blocchi SENDDP e RCVDP
(ingresso LADDR).

9. Selezionare nella vista dispositivi del DP/DP Coupler PLC2, all'interno della task card
"Hardware catalog", con il filtro attivato, i seguenti moduli e inserirli nella scheda "Device
overview":
10.Assegnare gli indirizzi al di fuori dell'immagine di processo nelle proprietà dei moduli come
Modulo "12 byte I/6 byte O coerente" per la ricezione dei dati, ad es.:
Modulo "6 byte I/12 byte O coerente" per la trasmissione dei dati, ad es.:
– Indirizzi di ingresso: indirizzo iniziale 560
– Indirizzi di uscita: indirizzo iniziale 560

9.1.3.2 Comunicazione di sicurezza tra master e master tramite SENDDP e RCVDP
La comunicazione sicura tra le F-CPU degli master DP viene realizzata con l'ausilio delle
istruzioni SENDDP per la trasmissione e RCVDP per la ricezione. Queste istruzioni consentono
di trasmettere in modo sicuro un numero fisso di dati fail-safe del tipo di dati INT o BOOL.

9.1.3.3 Programmazione della comunicazione di sicurezza master-master

Le aree di trasferimento per i dati di ingresso e di uscita per DP/DP Coupler devono essere
progettate.
La comunicazione di sicurezza master-master si programma nel modo seguente:
3. Assegnare gli indirizzi iniziali delle aree di trasferimento per i dati di uscita e di ingresso del
DP/DP Coupler nell'editor hardware e di rete ai rispettivi ingressi LADDR.


DP_DP_ID.
La figura seguente mostra un esempio di definizione degli ID di comunicazione F sugli
ingressi delle istruzioni SENDDP e RCVDP per 5 relazioni di comunicazione di sicurezza
master-master.
AVVERTENZA
essere selezionato liberamente, ma deve essere univoco in tutta la rete* e in tutta la CPU
valori costanti. Nel programma di sicurezza non sono consentiti accessi in scrittura diretti
a DP_DP_ID e LADDR nei rispettivi DB di istanza! (S016)

Layer 3).
5. Fornire i segnali di trasmissione agli ingressi SD_BO_xx e SD_I_xx di SENDDP. Per ridurre i
segnali intermedi durante il trasferimento dei parametri dei blocchi, in alternativa è possibile
scrivere, prima del richiamo di SENDDP, il valore direttamente nel DB di istanza di SENDDP
tramite un accesso completamente qualificato (ad es. "Name SENDDP_1".SD_BO_02).
6. Fornire alle uscite RD_BO_xx e RD_I_xx di RCVDP i segnali che si desidera elaborare
ulteriormente in altre parti del programma o leggere i segnali ricevuti direttamente nel
relativo DB di istanza (ad es. "Nome RCVDP_1".RD_BO_02) nelle parti del programma di
ulteriore elaborazione con un accesso completamente qualificato.
7. Assegnare agli ingressi SUBBO_xx e SUBI_xx di RCVDP i valori sostitutivi che devono essere
emessi al posto dei valori di processo di RCVDP dopo l'avviamento del sistema F di
trasmissione e di ricezione o in caso di errore della comunicazione di sicurezza fino a quando
la comunicazione non viene stabilita per la prima volta.
Per i dati del tipo INT, è possibile inserire valori sostitutivi costanti direttamente come
costanti nell'ingresso SUBI_xx (valore iniziale = "0") Se per i dati del tipo di dati BOOL si
vuole preimpostare un valore sostitutivo costante, inserire nell'ingresso SUBBO_xx
(valore iniziale = "FALSE") la variabile "F_GLOBDB".VKE1.
qualificato all'ingresso SUBI_xx o SUBBO_xx.
AVVERTENZA
AVVERTENZA


9. Opzione: Valutare l'uscita ACK_REQ dell'istruzione RCVDP, ad es. nel programma utente
standard o nel sistema di servizio e supervisione, per verificare o visualizzare se è richiesta
una conferma utente.
10.Fornire all'ingresso ACK_REI dell'istruzione RCVDP il segnale di conferma per la
reintegrazione.
l'istruzione RCVDP emette i valori sostitutivi parametrizzati sugli ingressi SUBBO_xx e
SUBI_xx.
12.Opzione: Valutare l'uscita ERROR dell'istruzione RCVDP o SENDDP, ad es. nel programma
utente standard o nel sistema di servizio e supervisione, per chiedere o indicare se si è
verificato un errore di comunicazione.
9.1.3.4 Comunicazione di sicurezza master-master - Limiti per la trasmissione di dati
Nota
SENDDP/RCVDP, è possibile utilizzare un secondo (o terzo) richiamo SENDDP/RCVDP. A tale
scopo progettare un altro collegamento di comunicazione tramite DP/DP Coupler. In base al
limite di capacità dell'DP/DP Coupler, questo è possibile con uno o con lo stesso DP/DP
Coupler.
9.1.4 Comunicazione di sicurezza tra IO Controller e I-Device
9.1.4.1 Progettazione della comunicazione di sicurezza IO Controller-I-Device
Introduzione
La comunicazione di sicurezza tra il programma di sicurezza della F-CPU di un IO Controller e
il/i programma/i di sicurezza della F-CPU di uno o più I-Device avviene, come nel programma
standard, via PROFINET IO, tramite i collegamenti IO Controller-I-Device (F-CD).
Per la comunicazione IO Controller-I-Device non è richiesto alcun hardware supplementare.
La F-CPU che deve essere impiegata come I-Device, deve supportare il modo di
funzionamento "IO-Device".


Per ciascun collegamento di comunicazione di sicurezza tra due F-CPU è necessario
progettare le aree di trasferimento nell'editor hardware e di rete. Nell'immagine seguente,
Durante la creazione, l'area di trasferimento riceve una denominazione che identifica la

denominazione della comunicazione. Ad es. "F-CD_PLC_2-PLC_1_1" per il primo collegamento
F-CD tra IO Controller F-CPU 1 e I-Device F-CPU 2.
Gli indirizzi iniziali delle aree di trasferimento nei programmi di sicurezza vengono assegnati
all'ingresso LADDR delle istruzioni SENDDP e RCVDP.
La procedura per la progettazione di una comunicazione di sicurezza IO Controller-I-Device è
identica a quella prevista per la progettazione del programma standard.
2. Attivare il modo di funzionamento "IO Device" per la F-CPU 2 nelle proprietà della relativa
interfaccia PN e assegnare questa interfaccia PN a un'interfaccia PN della F-CPU 1.
3. Selezionare l'interfaccia PROFINET della F-CPU 2. Nelle "Transfer areas" è possibile creare un
collegamento F-CD (tipo "F-CD") per l'invio all'IO Controller (←). Il collegamento F-CD viene
contrassegnato in giallo nella tabella e le aree di indirizzi occupate fuori dall'immagine di
processo nell'I-Device e nell'IO Controller vengono visualizzate.
Inoltre, per ciascun collegamento F-CD viene creato automaticamente un collegamento di
conferma. (Vedere nei dettagli dell'area di trasferimento).

4. Creare un altro collegamento F-CD per la ricezione dell'IO Controller.

5. Fare clic sulla freccia nell'area di trasferimento appena creata per modificare la direzione di
trasmissione a ricezione dall'IO Controller (→).

9.1.4.2 Comunicazione IO Controller-I-Device tramite SENDDP e RCVDP
La comunicazione di sicurezza tra F-CPU dell'IO Controller e un I-Device viene eseguita con le
istruzioni SENDDP per l'invio di e RCVDP per la ricezione. Queste istruzioni consentono di
trasmettere in modo sicuro un numero fisso di dati fail-safe del tipo di dati INT o BOOL.
9.1.4.3 Programmazione della comunicazione di sicurezza IO Controller-I-Device

Le aree di trasferimento devono essere progettate.
Per la programmazione della comunicazione di sicurezza IO Controller-I-Device procedere
esattamente come per la programmazione della comunicazione di sicurezza IO Controller-
IO Controller (vedere Programmazione della comunicazione di sicurezza tra IO Controller e
IO Controller (Pagina 200)).

L'assegnazione degli indirizzi iniziali dell'area di trasferimento all'ingresso LADDR delle

istruzioni SENDDP/RCVDP può essere rilevata dalla seguente tabella:
Istruzione Indirizzo iniziale LADDR

dalla riga dalla colonna
SENDDP nell'IO Controller → Indirizzo nell'IO Controller
RCVDP nell'IO Controller ← Indirizzo nell'IO Controller
SENDDP nell'I-Device ← Indirizzo nell'IO Device
RCVDP nell'I-Device → Indirizzo nell'IO Device

ingressi delle istruzioni SENDDP e RCVDP per 4 relazioni di comunicazione IO Controller-
I-Device.
AVVERTENZA
essere selezionato liberamente, ma deve essere univoco in tutta la rete* e in tutta la CPU in
qualsiasi momento e per tutti i collegamenti di comunicazione orientati alla sicurezza.
valori costanti. Nel programma di sicurezza non sono consentiti accessi in scrittura diretti a
DP_DP_ID e LADDR nei rispettivi DB di istanza! (S016)

Layer 3).
AVVERTENZA
Ulteriori informazioni sul calcolo dei tempi di controllo sono contenute in Tempi di controllo e
di reazione (Pagina 596).
9.1.4.4 Comunicazione di sicurezza IO Controller-I-Device - Limiti per la trasmissione di

dati
Limiti per la trasmissione dati

Se la quantità di dati da trasmettere è superiore alla capacità delle istruzioni SENDDP/RCVDP
appartenenti l'una all'altra, è possibile utilizzare istruzioni SENDDP/RCVDP aggiuntive.
Progettare a tal fine altre aree di trasferimento. Osservare il limite massimo di 1440 byte di
dati di ingresso o 1440 byte di dati di uscita per la trasmissione tra un I-Device e un
IO Controller.
La tabella seguente mostra la quantità di dati di uscita e di ingresso occupati nei collegamenti
di comunicazione di sicurezza:
Comunicazione Collegamento di Dati di ingresso e uscita occupati

di sicurezza comunicazione
nell'IO Controller nell'I-Device
Dati di Dati di Dati di Dati di
uscita ingresso uscita ingresso
IO Controller- Trasmissione: 6 byte 12 byte 12 byte 6 byte
I-Device I-Device 1 a
IO Controller
Ricezione: 12 byte 6 byte 6 byte 12 byte
I-Device 1 da
IO Controller
Per il limite massimo di 1440 byte di dati di ingresso o 1440 byte di dati di uscita per il
trasferimento tra un I-Device e un IO Controller, tenere conto di tutti gli altri collegamenti di
comunicazione standard e di sicurezza previsti (aree di trasferimento del tipo: F-CD e CD).
Inoltre, i dati vengono utilizzati per scopi interni, in modo che il limite massimo possa essere
raggiunto prima.
In caso di superamento del limite si ottiene un messaggio di errore corrispondente.

9.1.5 Comunicazione di sicurezza master-I-slave
9.1.5.1 Progettazione della comunicazione di sicurezza master-I-slave
Introduzione
La comunicazione di sicurezza tra il programma di sicurezza della F-CPU di un master DP e il/i
programma/i di sicurezza della F-CPU di uno o più I-slave avviene - come nel programma
standard - tramite collegamenti master-I-slave (F-MS).
Per la comunicazione master-I-slave non è necessario un DP/DP Coupler.


denominazione della comunicazione. Ad es. "F-MS_PLC_2-PLC_1_1" per il primo collegamento
F-MS tra master DP F-CPU 1 e I-slave F-CPU 2.
La procedura per la progettazione di una comunicazione di sicurezza master-I-slave è identica
a quella prevista per la progettazione del programma standard.


2. Attivare il modo di funzionamento "Slave DP" (I-slave) per la F-CPU 2 nelle proprietà della
relativa interfaccia DP e assegnare questa interfaccia DP a una interfaccia DP della F-CPU 1.
3. Selezionare l'interfaccia PROFIBUS della F-CPU 2. Nelle "Transfer areas" creare un
collegamento F-MS (tipo "F-MS") per l'invio al master DP (←). Il collegamento F-MS è
contrassegnato in giallo nella tabella e le aree di trasferimento occupate al di fuori
dell'immagine di processo nell'I-slave e nel master DP vengono visualizzate.
Inoltre, per ciascun collegamento F-MS viene creato automaticamente un collegamento di
conferma. (Vedere in "Dettagli dell'area di trasferimento").
4. Creare un ulteriore collegamento F-MS per la ricezione del master DP.
trasmissione a ricezione dal master DP (→).

9.1.5.2 Comunicazione di sicurezza master-I-slave o I-slave-I-slave tramite SENDDP e

RCVDP
La comunicazione relativa alla sicurezza tra la F-CPU del master DP e un I-slave o tra le F-CPU
di più I-slave avviene tramite le istruzioni SENDDP per l'invio e RCVDP per la ricezione. Queste
istruzioni consentono di trasmettere in modo sicuro un numero fisso di dati fail-safe del tipo
di dati INT o BOOL.
9.1.5.3 Programmazione della comunicazione di sicurezza master-I-slave o I-slave-I-slave
Requisiti
Per la programmazione della comunicazione di sicurezza master-I-slave o I-slave-I-slave,
procedere come per la programmazione della comunicazione sicurezza master-master
(vedere Programmazione della comunicazione di sicurezza master-master (Pagina 209)).



SENDDP nel master DP → Indirizzo del master
RCVDP nel master DP ← Indirizzo del master
SENDDP nell'I-slave ← Indirizzo slave
RCVDP nell'I-slave → Indirizzo slave

ingressi delle istruzioni SENDDP e RCVDP per quattro relazioni di comunicazione sicura
master-I-slave e due I-slave-I-slave.

AVVERTENZA
essere selezionato liberamente, ma deve essere univoco in tutta la rete* e in tutta la CPU in
qualsiasi momento e per tutti i collegamenti di comunicazione orientati alla sicurezza.
valori costanti. Nel programma di sicurezza non sono consentiti accessi in scrittura diretti a
DP_DP_ID e LADDR nei rispettivi DB di istanza! (S016)
Layer 3).
AVVERTENZA
9.1.5.4 Comunicazione di sicurezza master-I-slave o I-slave-I-slave - Limiti per la

trasmissione di dati

Progettare a tal fine altre aree di trasferimento. Osservare il limite massimo di 244 byte di dati
di ingresso o 244 byte di dati di uscita per la trasmissione tra un I-slave e un master DP.


di sicurezza comunicazione Master DP I-slave 1 I-slave 2
Dati di Dati di Dati di Dati di Dati di Dati di
uscita ingresso uscita ingresso uscita ingresso
Master-I-slave Trasmissione: 6 byte 12 byte 12 byte 6 byte — —
I-slave 1 al master
DP
Ricezione: 12 byte 6 byte 6 byte 12 byte — —
I-slave 1 dal
master DP
I-slave-I-slave Trasmissione: — 18 byte 12 byte 6 byte 6 byte 12 byte
I-slave 1 all'I-slave
2
Ricezione: — 18 byte 6 byte 12 byte 12 byte 6 byte
I-slave 1 dall'I-
slave 2
trasferimento tra un I-slave e un master DP, tenere conto di tutti gli altri collegamenti di
comunicazione standard e di sicurezza previsti (aree di trasferimento del tipo: F-MS, F-DX,
F-DX-Mod., MS, DX). Se si supera il limite massimo di 244 byte di dati di ingresso o di
244 byte di dati di uscita, viene visualizzato un messaggio di errore corrispondente.
9.1.6 Comunicazione di sicurezza I-slave-I-slave
9.1.6.1 Progettazione della comunicazione di sicurezza I-slave-I-slave
Introduzione
La comunicazione di sicurezza tra i programmi di sicurezza delle F-CPU di I-slave avviene -
come nel programma standard - tramite lo scambio di dati diretto (F-DX).
Per la comunicazione I-slave-I-slave non è richiesto alcun hardware supplementare.
La comunicazione I-slave-I-slave è anche possibile:
• se il master DP assegnato è una CPU standard che supporta lo scambio dati diretto
• se al posto di un master DP, un IO Controller è interconnesso in rete tramite IE/PB Link con
gli I-slave


Per ogni collegamento di comunicazione di sicurezza tra due I-slave è necessario progettare le
aree di trasferimento nell'editor hardware e di rete. Nella seguente immagine ciascuno dei
due I-slave deve potere inviare e ricevere dati (comunicazione bidirezionale).

denominazione della comunicazione. Ad es. "F-DX_PLC_2-PLC_1_1" per il primo collegamento
F-DX tra F-CPU 1 e F-CPU 2.
La procedura per la progettazione di una comunicazione di sicurezza I-slave-I-slave è identica
a quella prevista per la progettazione del programma standard. Procedere quindi nel modo
seguente:
1. Inserire nel progetto tre F-CPU dalla task card "Catalogo hardware".
2. Attivare il modo di funzionamento "DP slaves" (I-slave) per la F-CPU 2 e F-CPU 3 nelle
proprietà delle interfacce DP e assegnare queste interfacce DP ad un'interfaccia DP della
F-CPU 1.
3. Selezionare l'interfaccia DP delle F-CPU 3 nella vista di rete.
4. Selezionare la scheda "I/O communication".

5. Trascinare la F-CPU 2 nella vista di rete tramite drag & drop nella scheda "I/O
communication", nella colonna "Partner 2".
In questo modo si crea una riga con il modo di funzionamento "Direct data exchange" per
l'invio all'I-slave (F-CPU 2) (→).
6. Fare clic nella nuova riga creata (→).

7. Creare in "Transfer areas" (tabella "Direct data exchange") un collegamento F-DX (tipo
"F-DX") per la trasmissione all'I-slave (F-CPU 2) (→). Il collegamento F-DX è contrassegnato in
giallo nella tabella e le aree di trasferimento occupate al di fuori dell'immagine di processo
negli I-slave (PLC_2 e PLC_3) vengono visualizzate.
Inoltre, nella scheda "I/O communication" (←) viene creata automaticamente una riga con
il modo di funzionamento "Direct data exchange" per la ricezione dall'I-slave (F-CPU 2) e
nella relativa tabella "Direct data exchange" viene creato automaticamente un
collegamenti di conferma (→, area di trasferimento x_Ack).
Nella tabella "I-slave communication" di entrambi gli I-slave, viene creata rispettivamente
un'area di trasferimento (tipo F-MS) alla CPU master.
La progettazione per l'invio alla F-CPU 2 è così conclusa.

8. Selezionare nella scheda "I/O communication" la riga creata automaticamente con il modo di
funzionamento "Direct data exchange" per la ricezione dall'I-slave (F-CPU 2) (←).
9. Creare in "Transfer areas" (tabella "Direct data exchange") un ulteriore collegamento F-DX
per la ricezione dall'I-slave (F-CPU 3).
Anche qui, nella tabella "Direct data exchange" viene creato un collegamento di conferma
(→, area di trasferimento x_Ack) e nella tabella "I-slave communication" di entrambi gli I-
slave 2 aree di trasferimento (tipo F-MS) alla CPU master.
La progettazione per la ricezione di F-CPU 2 è così conclusa.
Modificare le aree grigie di indirizzi locali delle aree di trasferimento

Per modificare l'area grigia di indirizzi locali dell'area di trasferimento "Transfer area x", è
necessario modificare l'indirizzo iniziale dell'area di indirizzi del collegamento di conferma
corrispondente "Transfer area x_Ack".
1. Selezionare in "I/O communication" la riga con la freccia che mostra nella stessa direzione
della freccia dell'area di trasferimento "Transfer area x" nella tabella "Direct data exchange".
2. Successivamente selezionare nella tabella "Direct data exchange" la riga con la "Transfer area
x_Ack".
3. Modificare l'indirizzo iniziale dell'area di indirizzi.

9.1.6.2 Comunicazione di sicurezza I-slave-I-slave tramite SENDDP e RCVDP
Riferimenti
Per la descrizione della comunicazione tramite SENDDP e RCVDP per la comunicazione di
sicurezza I-slave-I-slave consultare SENDDP e RCVDP: Invio e ricezione di dati tramite
PROFIBUS DP/PROFINET IO (STEP 7 Safety V18) (Pagina 579).
9.1.6.3 Programmazione della comunicazione di sicurezza I-slave-I-slave
Riferimenti
Per la descrizione della programmazione della comunicazione di sicurezza I-slave-I-slave
vedere Programmazione della comunicazione di sicurezza master-I-slave o I-slave-I-slave
(Pagina 220).

SENDDP nel 1º I-slave → Indirizzo nel <1° I-slave>
(nell'es. colonna "Address in
PLC_2")
RCVDP nel 1° I-slave ← Indirizzo nel <1° I-slave>
PLC_2")
SENDDP nel 2° I-slave ← Indirizzo nel <2° I-slave>
PLC_3")
RCVDP nel 2° I-slave → Indirizzo nel <2° I-slave>
PLC_3")
9.1.6.4 Comunicazione di sicurezza I-slave-I-slave - Limiti per la trasmissione di dati

Per la descrizione dei limiti per la trasmissione dei dati per la comunicazione di sicurezza I-
slave-I-slave consultare Comunicazione di sicurezza master-I-slave o I-slave-I-slave - Limiti per
la trasmissione di dati (Pagina 222).

9.1.7 Comunicazione di sicurezza I-slave-slave
9.1.7.1 Progettazione della comunicazione di sicurezza I-slave-slave
Introduzione
La comunicazione di sicurezza tra il programma di sicurezza della F-CPU di un I-slave e la
periferia F in uno slave DP avviene – come nel programma standard – tramite lo scambio dati
diretto (F-DX-Mod).
Per la comunicazione I-slave-slave non è necessario hardware aggiuntivo.
La comunicazione I-slave-slave è possibile anche:
• se il master DP assegnato è una CPU standard, se la CPU standard supporta lo scambio dati
diretto
• se al posto di un master DP, un IO Controller è interconnesso in rete tramite IE/PB Link con
gli I-slave
Per ciascuna periferia F, durante la configurazione di una periferia F nell'editor hardware e di
rete viene creato automaticamente un DB di periferia F, necessario per l'accesso alla
periferia F tramite la comunicazione di sicurezza I-slave-slave. Il DB di periferia F viene
dapprima creato nel programma di sicurezza del master DB, se questo è una F-CPU con
attivazione F. Solo durante la configurazione del collegamento modulo F-DX-Mod, il DB di
periferia F viene creato nel programma di sicurezza dell'I-slave e cancellato nel programma di
sicurezza del master DP.
L'accesso nel programma di sicurezza della F-CPU dell'I-slave ai canali della periferia F avviene
tramite l'immagine di processo, come descritto in Comunicazione di sicurezza I-slave-slave -
accesso alla periferia F (Pagina 234).
Limitazioni
Nota
La comunicazione di sicurezza I-slave-slave con la periferia F di uno slave DP è possibile se
quest'ultimo supporta la comunicazione di sicurezza I-slave-slave, ad es. tutti i moduli F
ET 200SP con IM 155-6 DP HF, firmware > V3.1, tutti i moduli F ET 200S con IM 151-1 HF,
tutte le unità di ingressi/uscite S7-300 fail-safe con IM 153-2, a partire dal numero di
articolo 6ES7153-2BA01-0XB0, firmware: > V4.0.0.

Nota
Per la comunicazione di sicurezza I-slave-slave, assicurarsi che la CPU del master DP si sia
avviata prima della F-CPU dell'I-slave.
In caso contrario, a seconda del tempo di controllo F impostato per la periferia F, il sistema F
può rilevare un errore nella comunicazione di sicurezza (errore di comunicazione) tra la F-CPU
e la periferia F assegnata allo I-slave. Vale a dire, dopo un avviamento del sistema F, la
reintegrazione della periferia F non avviene automaticamente, ma solo dopo una conferma
utente con un fronte di salita sulla variabile ACK_REI della periferia F-DB (vedere anche Dopo
errori di comunicazione (Pagina 171) e Dopo l'avviamento del sistema F (Pagina 169).)

Per ciascun collegamento di comunicazione di sicurezza tra I-slave e slave è necessario
progettare le aree di trasferimento nell'editor hardware e di rete.
denominazione della comunicazione. Ad es. "F-DX-Mod_PLC_2-PLC_1_1" per il primo
collegamento F-DX-Mod tra F-CPU 1 e F-CPU 2.

Procedura per la progettazione utilizzando l'esempio di un ET 200S con moduli F nello slave
La procedura per la progettazione di una comunicazione di sicurezza I-slave-slave è identica a
quella prevista per la progettazione del programma standard.
2. Inserire uno slave DP adatto, ad es. IM 151-1 HF, numero di articolo 6ES7151-1BA0... dalla
task card "Catalogo hardware" nella vista di rete dell'editor hardware e di rete.
3. Inserire nella vista dispositivi di ET 200S un Power Module, un modulo 4/8 F-DI e un modulo
4 F-DO.
4. Attivare il modo di funzionamento "DP slave" (I-slave) per la F-CPU 2 nelle proprietà
dell'interfacce DP e assegnarlo alla F-CPU 1.
5. Assegnare l'interfaccia DP dell'IM 151-1 HF al master DP (F-CPU 1).
6. Selezionare l'interfaccia DP delle F-CPU 2 (I-slave) nella vista di rete.
7. Selezionare la scheda "I/O communication".
8. Trascinare l'ET 200S nella vista di rete tramite drag & drop nella scheda "I/O communication",
nella colonna "Partner 2".
9. Fare clic nella nuova riga creata (←).

10.Creare un collegamento F-DX-Mod (tipo "F-DX-Mod") in "Transfer areas". Il collegamento

F-DX-Mod viene contrassegnato in giallo nella tabella. Vengono visualizzati gli indirizzi per il
"partner module" 4/8 F-DI nell'I-slave (PLC_2). In caso di necessità, gli indirizzi possono
essere modificati direttamente nella tabella.
La progettazione per il modulo 4/8 F-DI è così conclusa.
11.Creare un altro collegamento F-DX-Mod in "Transfer areas".
12.Modificare l'unità partner con il modulo 4 F-DO, direttamente nella tabella "Transfer areas" o
nei dettagli dell'area di trasferimento 2, se il modulo 4 F-DO non è già stato selezionato.
La progettazione per il modulo 4 F-DO è così conclusa.

Per ciascun collegamento F-DX-Mod, nella tabella "I-slave communication" dell'I-slave viene
creata automaticamente un'area di trasferimento (tipo F-MS) alla CPU master:
Modifica della progettazione della comunicazione I-slave-slave
AVVERTENZA
Se per una periferia F è stata aggiunta o eliminata una comunicazione slave-I-slave, è

necessario compilare e caricare sia la configurazione hardware del master DP sia la
configurazione hardware dell'I-slave.
La firma collettiva F nella F-CPU dell'I-slave e la firma collettiva F nella F-CPU del master DP
vengono impostate su "0" (se è presente un programma di sicurezza). In questo caso è
necessario compilare nuovamente il/i programma/i di sicurezza. (S019)

9.1.7.2 Comunicazione di sicurezza I-slave-slave - accesso alla periferia F
Accesso tramite l'immagine di processo

In caso di comunicazione di sicurezza I-slave-slave, nel programma di sicurezza della F-CPU
dell'I-slave, è possibile accedere alla periferia F tramite l'immagine di processo (IPI o IPU).
Corrisponde all'accesso della periferia F alla periferia F, assegnata direttamente ad un I-slave o
a un master DP. Nell'I-slave si accede alla periferia F con l'indirizzo assegnato in "Transfer
areas" (tabella "Direct data exchange") per il collegamento F-DX-Mod.
Ignorare l'area degli operandi visualizzata. Accedere alla periferia F con gli ingressi tramite la
IPI e alla periferia F con le uscite tramite IPU.
Per informazioni sull'accesso della periferia vedere in Accesso alla periferia F (Pagina 152).
9.1.7.3 Comunicazione di sicurezza I-slave-slave - Limiti per la trasmissione di dati

Osservare il limite massimo di 244 byte di dati di ingresso o 244 byte di dati di uscita per la
trasmissione tra un I-slave e un master DP.
In base all'esempio di un 4/8 F-DI e un 4 F-DO ET 200S, la tabella seguente mostra quanti dati
di uscita e di ingresso di un collegamento di comunicazione di sicurezza sono occupati:
Comunicazione Collegamento di comunicazione Dati di ingresso e uscita occupati*

di sicurezza
tra I-slave e master DP
Dati di uscita Dati di ingresso
nell'I-slave nell'I-slave
I-slave-slave Comunicazione I-slave-slave con 4 byte 6 byte
4/8 F-DI
Comunicazione I-slave-slave con 5 byte 5 byte
4 F-DO
* Esempio per 4/8 F-DI e 4 F-DO ET 200S
Per il limite massimo di 244 byte di dati di ingresso o 244 byte di dati di uscita per la
trasmissione tra un I-slave e un maser DP, tenere conto di tutti gli altri collegamenti di
comunicazione standard e di sicurezza progettati (collegamenti F-MS, F-DX, F-DX-Mod., MS e
DX). Se si supera il limite massimo di 244 byte di dati di ingresso o di 244 byte di dati di
uscita, viene visualizzato un messaggio di errore corrispondente.
9.1.8 Comunicazione di sicurezza IO Controller-I-slave
Introduzione
il/i programma/i di sicurezza della F-CPU di uno o più I-slave avviene - come nel programma

IE/PB Link
Per la comunicazione di sicurezza IO Controller-I-slave è assolutamente necessario l'IE/PB Link.
Ciascuna delle due F-CPU è collegata all'IE/PB Link tramite l'interfaccia PROFIBUS DP o
PROFINET.
Nota
Durante la progettazione dei tempo di controllo specifici per F e durante il calcolo del tempo
di reazione massimo del sistema F è necessario tenere conto dell'impiego di un IE/PB Link
(vedere anche Tempi di controllo e di reazione (Pagina 596)).
Osservare che il file excel per il calcolo dei tempi di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831) per F-CPU S7-300/400 non
supporta tutte le configurazioni possibili.
Riferimenti
Inoltre valgono le informazioni per la comunicazione master-I-slave riportate in
Comunicazione di sicurezza master-I-slave (Pagina 218).
9.1.9 Comunicazione di sicurezza tramite collegamenti S7
9.1.9.1 Progettazione della comunicazione di sicurezza tramite collegamenti S7
Introduzione
La comunicazione di sicurezza tra i programmi di sicurezza di F-CPU tramite collegamenti S7
avviene – come nel programma standard – tramite i collegamenti S7 configurati, che si
creano nella vista di rete dell'editor hardware e di rete.
Limitazioni
Nota
In SIMATIC Safety i collegamenti S7 sono generalmente ammessi solo tramite Industrial
Ethernet.
La comunicazione di sicurezza tramite collegamenti S7 è possibile da e verso:
• F-CPU S7-300 tramite l'interfaccia PROFINET integrata
• F-CPU S7-400 tramite l'interfaccia PROFINET integrata o un CP 443-1 o CP 443-1
Advanced-IT

Creazione di collegamenti S7
Per ciascun collegamento di comunicazione tra due F-CPU è necessario creare un
collegamento S7 nella vista di rete dell'editor hardware e di rete.
Per ciascun punto finale di un collegamento, dal punto di vista del punto finale (della F-CPU)
viene assegnato automaticamente un ID locale e un ID partner. Entrambi gli ID possono
event. essere modificati nella scheda "Connections". L'ID locale si assegna all'ingresso "ID"
delle istruzioni SENDS7 e RCVS7 nei programmi di sicurezza.
Procedura per la progettazione dei collegamenti S7

I collegamenti S7 per la comunicazione di sicurezza CPU-CPU si progettano esattamente come
di consueto in STEP 7 Professional (vedere Guida a STEP 7 Professional "Collegamenti S7").

9.1.9.2 Comunicazione tramite SENDS7, RCVS7 e DB di comunicazione F
Comunicazione tramite le istruzioni SENDS7 e RCVS7
Le istruzioni SENDS7 e RCVS7 si utilizzato per la trasmissione e la ricezione fail-safe di dati

tramite collegamenti S7.
Con queste istruzioni è possibile trasmettere in modo fail-safe un numero di dati fail-safe
definito dall'utente del tipo di dati BOOL, INT, WORD, DINT, DWORD e TIME. I dati fail-safe
vengono memorizzati negli F-DB (DB di comunicazione F) creati dall'utente.
RCVS7 deve essere richiamata all'inizio del blocco Main Safety. L'istruzione SENDS7 deve
Tenere presente che i segnali di trasmissione vengono inviati al più presto dopo il richiamo
dell'istruzione SENDS7 al termine dell'elaborazione del rispettivo gruppo di esecuzione F.
Per la descrizione dettagliata delle istruzioni SENDS7 e RCVS7 vedere SENDS7 e RCVS7:
Comunicazione tramite collegamenti S7 (STEP 7 Safety Advanced V18) (S7-300, S7-400)
(Pagina 588).
DB di comunicazione F
Per ogni collegamento di comunicazione, i dati di trasmissione vengono memorizzati in un
F-DB (DBx di comunicazione F) e i dati di ricezione in un F-DB (DBy di comunicazione F).
I numeri di DB di comunicazione F vengono parametrizzati nelle istruzioni SENDS7 o RCVS7.

9.1.9.3 Programmazione della comunicazione di sicurezza tramite collegamenti S7
Introduzione
Di seguito viene descritta la programmazione della comunicazione di sicurezza CPU-CPU
tramite i collegamenti S7. Nei programmi di sicurezza delle F-CPU interessate è necessario
configurare quanto segue:
• Creazione di F-DB (DB di comunicazione F) nei quali vengono memorizzati i dati di
trasmissione/ricezione per la comunicazione.
• Richiamo e parametrizzazione di istruzioni per la comunicazione dalla task card
"Instructions" nel programma di sicurezza.

I collegamenti S7 tra le F-CPU interessate nella vista di rete nella scheda "Connections"
dell'editori hardware e di rete devono essere progettati.
Creazione e modifica del DB di comunicazione F

I DB di comunicazione F sono F-DB che si creano e modificano esattamente come altri F-DB
nella navigazione del progetto. I numeri di DB di comunicazione F vengono parametrizzati
nelle istruzioni SENDS7 o RCVS7.
Nota
La lunghezza della struttura del DB di comunicazione F del lato di ricezione deve
corrispondere alla lunghezza della struttura del relativo DB di comunicazione F sul lato di
trasmissione.
Se i DB di comunicazione F non corrispondono, la F-CPU passa in STOP. Nel buffer di
diagnostica della F-CPU viene inserito un evento di diagnostica.
Pertanto si raccomanda il seguente procedimento:
1. Creare un DB di comunicazione F nella navigazione del progetto nella o sotto la cartella
"Program blocks" della F-CPU del lato di trasmissione.
2. Definire la struttura del DB di comunicazione in base ai dati da trasmettere.
3. Copiare questo DB di comunicazione F nella navigazione del progetto nella o sotto la cartella
"Program blocks" della F-CPU del lato di ricezione e modificare eventualmente il nome.

Ulteriori requisiti dei DB di comunicazione F

I DB di comunicazione F devono soddisfare anche le seguenti proprietà:
• Non devono essere DB di istanza.
• La lunghezza deve essere di max. 100 byte.
• Nei DB di comunicazione F devono essere dichiarati solo i tipi di dati BOOL, INT, WORD,
DINT, DWORD e TIME.
• I tipi di dati devono essere disposti in blocchi e nella sequenza BOOL, tipi di dati con
lunghezza di bit 16 (INT, WORD) e tipi di dati con lunghezza di bit 32 (DINT, DWORD e
TIME). All'interno dei blocchi di dati a 16 e 32 bit, la sequenza dei tipi di dati è indifferente.
• Non è consentito dichiarare più di 128 dati del tipo di dati BOOL.
• Il numero di dati del tipo di dati BOOL deve sempre corrispondere a multipli interi di 16
(limite di parola). Eventualmente è necessario aggiungere i dati di riserva.
Se le proprietà menzionate non sono soddisfatte, STEP 7 Safety Advanced emette un
messaggio di errore durante la compilazione.
Assegnazione di valori sostitutivi

I valori sostitutivi vengono messi a disposizione dal lato di ricezione:
• durante la prima creazione del collegamento tra il partner di comunicazione dopo
l'avviamento dei sistemi F.
• se si è verificato un errore di comunicazione.
Come valori sostitutivi vengono messi a disposizione i valori impostati nel DB di
comunicazione F del lato del ricevente come valori iniziali.
La comunicazione di sicurezza tramite collegamenti S7 si programma nel modo seguente:
1. Fornire le variabili nel DB di comunicazione F del lato del trasmettitore con i segnali di
trasmissione mediante un accesso completamente qualificato (ad esempio, "Nome DB di
comunicazione F".Nome variabile).
2. Leggere le variabili nel DB di comunicazione F del lato ricevente (segnali di ricezione) che si
desidera elaborare ulteriormente in altre parti del programma con un accesso
completamente qualificato (ad esempio "Nome DB di comunicazione F".Nome variabile).
3. Nel programma di sicurezza dal quale devono essere inviti i dati, richiamare l'Istruzione
SENDS7 per inviare alla fine del blocco Main Safety.
4. Nel programma di sicurezza nel quale devono essere ricevuti i dati, richiamare l'istruzione
RCVS7 per ricevere all'inizio del blocco Main Safety.
5. Assegnare ai rispettivi ingressi SEND_DB di SENDS7 e RCV_DB di RCVS7 i rispettivi numeri di
DB di comunicazione F.
6. Assegnare all'ingresso ID di SENDS7 l'ID del collegamento S7 (tipo di dati: WORD), progettato
nella vista di rete, nella scheda "Connections" dal lato della F-CPU.

7. Assegnare all'ingresso ID di RCVS7 l'ID del collegamento S7 (tipo di dati: WORD), progettato
nella vista di rete, nella scheda "Connections".
8. Assegnare agli ingressi R_ID di SENDS7 e RCVS7 un numero dispari (tipo di dati: DWORD). In
questo modo si definisce l'appartenenza di una istruzione SENDS7 ad una istruzione RCVS7.
Le istruzioni correlate ricevono lo stesso valore per R_ID.
AVVERTENZA
Il valore per il rispettivo ID di comunicazione F (ingresso R_ID; tipo di dati: DWORD) può
essere selezionato liberamente, ma deve essere dispari e univoco in tutta la rete* e in
tutta la CPU per tutti i collegamenti di comunicazione orientati alla sicurezza. Il valore
R_ID + 1 viene assegnato internamente e non deve essere utilizzato.
Al richiamo dell'istruzione, agli ingressi ID e R_ID devono essere assegnati dei valori
costanti. Nel programma di sicurezza non sono consentiti accessi diretti né in lettura né
in scrittura nei rispettivi DB di istanza! (S020)
Layer 3).
9. Parametrizzare gli ingressi TIMEOUT delle istruzioni SENDS7 e RCVS7 con il tempo di
AVVERTENZA


10.Sull'ingresso EN_SEND dell'istruzione SENDS7 è possibile disattivare temporaneamente la

comunicazione tra le F-CPU per ridurre il carico del bus, impostando 0 nell'ingresso EN_SEND
(valore iniziale = "TRUE"). In questo modo non vengono più inviati dati di trasmissione al DB
di comunicazione F della rispettiva istruzione RCVS7 e il ricevente RCVS7 mette a
disposizione i valori sostitutivi (valori iniziali nel relativo DB di comunicazione F) per questo
periodo. Se la comunicazione era già creata tra i partner del collegamento, viene
riconosciuto un errore di comunicazione.
11.Opzione: Valutare l'uscita ACK_REQ di RCVS7, ad es. nel programma utente standard oppure
nel sistema di servizio e supervisione per verificare o visualizzare se è necessaria una
conferma utente.
12.Assegnare il segnale per la conferma della reintegrazione all'ingresso ACK_REI di RCVS7.
13.Opzione: Valutare l'uscita SUBS_ON di RCVS7 o di SENDS7 per interrogare se l'istruzione
RCVS7 emette i valori sostitutivi assegnati nel DB di comunicazione F come valori iniziali.
14.Opzione: Valutare l'uscita ERROR di RCVS7 o di SENDS7 ad es. nel programma utente
standard o sul sistema di servizio e supervisione, per interrogare o visualizzare se si è
15.Opzione: Valutare l'uscita SENDMODE di RCVS7 per interrogare se la F-CPU con la relativa
istruzione SENDS7 è in funzionamento di sicurezza disattivato (Pagina 333).
Particolarità con progetti migrati

Se è stato migrato un progetto da S7 Distributed Safety V5.4 SP5 a STEP 7 Safety Advanced,
nel quale è programmata la comunicazione di sicurezza tramite collegamenti S7, è necessario
• Non eliminare DB di istanza migrati alle istruzioni SENDS7 o RCVS7 nella navigazione del
progetto, nella cartella "STEP 7 Safety" in "Program blocks > System blocks".
In caso contrario possono verificarsi errori di comunicazione nei collegamenti di
comunicazione interessati.
Un DB di istanza migrato alle istruzioni SENDS7 o RCVS7 è stato cancellato, se lo "User-
defined ID" non è uguale a "FRCVS7CL" o "FSNDS7CL" dopo la compilazione del programma di
sicurezza nel nuovo DB di istanza creato.
Lo "User-defined ID" di un bocco si trova nella relative proprietà, nell'area "Information".
9.1.9.4 Comunicazione di sicurezza tramite collegamenti S7 - Limiti per la trasmissione di

dati
Nota
Se la quantità di dati da trasmettere è superiore alla lunghezza consentita per il DB di
comunicazione F (100 byte), è possibile creare un altro DB di comunicazione F da trasmettere
alle istruzioni aggiuntiveSENDS7/RCVS7 con un R_ID modificato.

Osservare che per ogni richiamo dell'istruzione SENDS7 o RCVS7 vengono richiamate
internamente le istruzioni USEND e URCV, che occupano risorse di collegamento della F-CPU.
Questo influenza il numero massimo possibile di collegamenti di comunicazione (vedere i
manuali delle F-CPU).
Per ulteriori informazioni sul limiti della trasmissione di dati nei collegamenti S7 delle singole
F-CPU vedere in Internet (http://support.automation.siemens.com/WW/view/en/38549114).
9.1.10 Comunicazione di sicurezza con altri sistemi S7 F
9.1.10.1 Introduzione
La comunicazione di sicurezza da F-CPU in SIMATIC Safety a F-CPU in sistemi F S7 Distributed
Safety è possibile tramite un PN/PN Coupler o DP/DP Coupler, che si impiega tra le due F-CPU
come comunicazione IO Controller-IO Controller o comunicazione master-master oppure
tramite collegamenti S7 configurati.
La comunicazione di sicurezza da F-CPU in SIMATIC Safety a F-CPU nei sistemi F S7 F/FH
Systems è possibile tramite collegamenti S7 configurati.

IO Controller-IO Controller)
La comunicazione funziona tra istruzioni SENDDP/RCVDP per quanto riguarda STEP 7
Safety Advanced e blocchi applicativi F F_SENDDP/F_RCVDP per quanto riguarda
S7 Distributed Safety:

Procedura relativa a S7 Distributed Safety

Relativamente a S7 Distributed Safety procedere come descritto nel manuale "S7 Distributed
Safety - Configuring and Programming
(http://support.automation.siemens.com/WW/view/en/22099875)" nel capitolo "Safety-
Related IO Controller-IO Controller Communication".
Procedura relativa a STEP 7 Safety Advanced

Relativamente a STEP 7 Safety Advanced procedere come descritto in Comunicazione di
sicurezza tra IO Controller e IO Controller (Pagina 195).

master-master)
La comunicazione funziona tra istruzioni SENDDP/RCVDP per quanto riguarda STEP 7
Safety Advanced e blocchi applicativi F F_SENDDP/F_RCVDP per quanto riguarda

(http://support.automation.siemens.com/WW/view/en/22099875)" nel capitolo
"Safety-Related Master-Master Communication".

sicurezza master-master (Pagina 203).

9.1.10.4 Comunicazione con S7 Distributed Safety tramite collegamenti S7

La comunicazione funziona tra istruzioni SENDS7/RCVS7 per quanto riguarda STEP 7
Safety Advanced e blocchi applicativi F F_SENDS7/F_RCVS7 per quanto riguarda

Relativamente a S7 Distributed Safety procedere come descritto nel manuale S7 Distributed
(http://support.automation.siemens.com/WW/view/en/22099875) nel capitolo "Safety-Related
Communication via S7 Connections".
Poiché la comunicazione di sicurezza con partner non specificati tramite collegamenti S7 non
è possibile in S7 Distributed Safety, è necessario creare dapprima in S7 Distributed Safety una
stazione SIMATIC "virtuale", nella quale si progetta una F-CPU come sostituto per la F-CPU in
STEP 7 Safety Advanced con il rispettivo indirizzo IP.
Successivamente inserire un collegamento S7 con questa F-CPU nella tabella dei
collegamenti. Sia la risorsa del collegamento locale, sia la risorsa del collegamento del partner
(hex) sono assegnate in modo fisso. Queste risorse devono essere successivamente
impostate nel rispettivo collegamento S7 non specificato, creato in STEP 7 Professional.
Inoltre, nel programma utente standard, per tutti i collegamenti di comunicazione con questa
F-CPU è necessario trasmettere l'ID di comunicazione F, assegnato nell'ingresso R_ID dei
relativi blocchi applicativi F F_SENDS7 o F_RCVS7, direttamente prima del richiamo del
F-CALL, anche nella variabile CRC_IMP, nel DB di istanza dell'F_SENDS7 o F_RCVS7.

Esempio di programma:

sicurezza tramite collegamenti S7 (Pagina 235).
Per la F-CPU in S7 Distributed Safety è necessario creare e specificare un collegamento S7 non
specificato. Per informazioni a riguardo, consultare la guida a STEP 7 in "Creazione di un
collegamento non specificato" o "Specificazione del collegamento non specificato".
Per questo collegamento è necessario impostare la risorsa di collegamento locale e la risorsa
di collegamento partner (hex), assegnate in modo fisso tramite il relativo collegamento S7
creato in S7 Distributed Safety.
Se la risorsa del collegamento locale (hex) è già occupata da un collegamento esistente, è
necessario modificare la risorsa del collegamento (hex) per questo collegamento.
Se i DB di istanza delle istruzioni SENDS7 o RCVS7,, tramite le quali si vuole comunicare con
S7 Distributed Safety, sono stati migrati da S7 Distributed Safety, devono essere eliminati
nella navigazione del progetto nella cartella "STEP 7 Safety" in "Program blocks > System
blocks", contrariamente al quanto specificato nel capitolo Programmazione della
comunicazione di sicurezza tramite collegamenti S7 (Pagina 238), sezione "Particolarità con
progetti migrati".

9.1.10.5 Comunicazione con S7 F/FH Systems tramite collegamenti S7

La comunicazione funziona tra le istruzioni SENDS7/RCVS7 per quanto riguarda STEP 7
Safety Advanced e i blocchi F F_SDS_BO/F_RDS_BO per quanto riguarda S7 F Systems.
Possono essere scambiati max. 32 dati del tipo di dati BOOL.
Procedura relativa a S7 F Systems

Relativamente a S7 F Systems procedere come descritto nel manuale "S7 F/FH Systems -
Configuring and Programming
(http://support.automation.siemens.com/WW/view/en/16537972)" nel capitolo "Safety-
related communication between F-CPU".
Poiché la comunicazione di sicurezza con partner non specificati tramite collegamenti S7 non
è possibile in S7 F/FH Systems, è necessario creare dapprima in S7 F/FH Systems una stazione
SIMATIC "virtuale" nella quale si progetta una F-CPU come sostituto per la F-CPU in STEP 7
Safety Advanced con il relativo indirizzo IP.
Successivamente inserire un collegamento S7 con questa F-CPU nella tabella dei
collegamenti. Sia la risorsa del collegamento locale, sia la risorsa del collegamento del partner
(hex) sono assegnate in modo fisso. Queste risorse devono essere successivamente
impostate nel rispettivo collegamento S7 non specificato creato con STEP 7 Safety Advanced.
Inoltre, nel programma S7 (all'interno dell'area riservata ad altre applicazioni del CFC) si deve
inserire una funzione nella quale è possibile trasmettere, per tutti i collegamenti di
comunicazione con questa F-CPU, l'ID di comunicazione F, assegnato all'ingresso R_ID dei
relativi richiami dei blocchi F F_SDS_BO o F_RDS_BO, anche nella variabile CRC_IMP nel DB di
istanza dell'F_SDS_BO o F_RDS_BO. Il numero del DB di istanza è riportato nelle proprietà
degli oggetti del blocco in CFC. Attribuire un nome significativo al DB di istanza. Se viene
eseguita una compressione in CFC, verificare se i numeri del DB di istanza sono stati
modificati.

Esempio di programma:
In seguito importare la funzione in CFC come tipo di blocco e inserirla in uno schema del
programma utente standard. Durante la sequenza di esecuzione, accertarsi che il gruppo di
esecuzione standard corrispondente venga elaborato prima del gruppo di esecuzione F.

Relativamente a STEP 7 Safety Advanced procedere come descritto in "Safety-related
communication via S7 connections (Pagina 235)".
Particolarità: In STEP 7 Safety Advanced il DB di comunicazione F deve contenere
esattamente 32 dati del tipo di dati BOOL.
Per la F-CPU in S7 F/FH Systems deve essere creato e specificato un collegamento S7 non
specificato. Per informazioni a riguardo, consultare la Guida di STEP 7 in "Creazione di un
collegamento non specificato" o "Specificazione del collegamento non specificato".
Per questo collegamento è necessario impostare la risorsa di collegamento locale e la risorsa
di collegamento partner (hex), assegnate in modo fisso tramite il relativo collegamento S7
creato in S7 F/FH Systems.
Se la risorsa del collegamento locale (hex) è già occupata da un collegamento esistente, è
necessario modificare la risorsa del collegamento (hex) per questo collegamento.

9.2 Progettazione e programmazione della comunicazione (S7-1200,

S7-1500)
Introduzione
Di seguito è riportata una panoramica delle opzioni di comunicazione di sicurezza nei
sistemi F SIMATIC Safety.

necessario
Comunicazione IO Controller-IO Controller PROFINET IO PN/PN Coupler
Comunicazione IO Controller-I-slave PROFINET IO e PROFIBUS DP IE/PB Link
Comunicazione IO Controller-IO Controller con PROFINET IO PN/PN Coupler
S7 Distributed Safety
Comunicazione master-master con S7 PROFIBUS DP DP/DP Coupler
Distributed Safety
Nota
Le opzioni della comunicazione di sicurezza dipendono dalle F-CPU utilizzate.
Nota
La comunicazione di sicurezza con le F-CPU S7-1200 è consentita solo a partire dalla versione
firmware V4.1.2.

Panoramica della comunicazione di sicurezza tramite PROFIBUS DP

La figura seguente mostra una panoramica delle opzioni di comunicazione di sicurezza
tramite PROFIBUS DP nei sistemi F SIMATIC Safety con le F-CPU S7-1200/1500.
① Comunicazione di sicurezza master-master

② Comunicazione di sicurezza master-I-slave
Panoramica della comunicazione di sicurezza tramite PROFINET IO

La figura seguente mostra una panoramica delle opzioni di comunicazione di sicurezza
tramite PROFINET IO nei sistemi F SIMATIC Safety con le F-CPU S7-1200/1500.
① Comunicazione di sicurezza IO Controller-IO Controller

② Comunicazione di sicurezza IO Controller-I-Device
③ Comunicazione di sicurezza tra IO Controller e I-slave

Comunicazione di sicurezza CPU-CPU tramite PROFIBUS DP o PROFINET IO

Nella comunicazione di sicurezza CPU-CPU viene trasmessa in modalità fail-safe una quantità
fissa di dati di tipo BOOL o INT (in alternativa DINT) ai programmi di sicurezza delle F-CPU dei
master DP/I-slave o degli IO Controller/I-Device.
Il trasferimento dei dati viene realizzato utilizzando le istruzioni SENDDP per la trasmissione e
RCVDP per la ricezione. I dati vengono salvati nelle aree di trasferimento progettate dei
dispositivi. L'identificativo hardware (identificativo HW) definisce le aree di trasferimento
progettate.
Comunicazione di sicurezza CPU-CPU con S7 Distributed Safety

È possibile realizzare la comunicazione di sicurezza tra le F-CPU di SIMATIC Safety e le F-CPU
di S7 Distributed Safety.
9.2.2 Comunicazione di sicurezza tra IO Controller e IO Controller
9.2.2.1 Progettazione della comunicazione di sicurezza IO Controller-IO Controller
Introduzione
La comunicazione di sicurezza tra i programmi di sicurezza delle F-CPU degli IO Controller
viene realizzata mediante un PN/PN Coupler installato tra le due F-CPU.
Nota
Disattivare il parametro "Data validity display DIA" nelle proprietà del PN/PN Coupler
nell'editor hardware e di rete. Ciò corrisponde alle impostazioni predefinite In caso contrario
la comunicazione di sicurezza IO Controller-IO Controller non è possibile.


Per ogni collegamento di comunicazione orientato alla sicurezza tra due F-CPU, nel
PN/PN Coupler devono essere progettate rispettivamente un'area di trasferimento per i dati di
uscita e un'area di trasferimento per i dati di ingresso nell'editor hardware e di rete.
Nell'immagine seguente, entrambe le F-CPU devono potere trasmettere e ricevere dati
(comunicazione bidirezionale).

Trasmissione dei dati:
Per l'area di trasferimento dei dati di uscita sono richiesti 12 byte (coerenti); per l'area di
trasferimento dei dati di ingresso sono richiesti 6 byte (coerenti).
Ricezione dei dati:
Per l'area di trasferimento dei dati di ingresso sono richiesti 12 byte (coerenti); per l'area di
trasferimento dei dati di uscita sono richiesti 6 byte (coerenti).
Nota
PN/PN Coupler numero di articolo 6ES7158-3AD10-0XA0
Per la progettazione delle aree di trasferimento dei dati di ingresso e di uscita procedere come
descritto nel manuale "Collegamenti al bus SIMATIC PN/PN Coupler
(https://support.industry.siemens.com/cs/ww/it/view/44319532)" all'interno del capitolo
"Progettazione del PN/PN Coupler con STEP 7 TIA Portal".

La procedura per la progettazione della comunicazione di sicurezza IO-Controller-
IO-Controller è identica a quella standard.
3. Nella task card "Catalogo hardware" alla voce "Ulteriori apparecchiature da
campo\PROFINET IO\Gateway\Siemens AG\PN/PN Coupler" selezionare un PN/PN Coupler X1
e un PN/PN Coupler X2 e inserirli nella vista di rete dell'editor hardware e di rete.
4. Collegare l'interfaccia PN della F-CPU 1 con l'interfaccia PN del PN/PN Coupler X1 e
l'interfaccia PN della F-CPU 2 con l'interfaccia PN del PN/PN Coupler X2.

che ricevere i dati, aprire la vista dispositivi del PN/PN Coupler X1. Selezionare nella task card
"Hardware catalog", con il filtro attivato, i seguenti moduli alla voce "IN/OUT" e inserirli nella
scheda "Device overview":
Nota
L'assegnazione delle aree di trasferimento avviene tramite l'identificativo hardware
assegnato automaticamente ai moduli e ai dispositivi. L'identificativo hardware è
necessario per la programmazione dei blocchi SENDDP e RCVDP (ingresso LADDR). Per
ogni identificativo HW dell'area di trasferimento viene creata una costante di sistema nella
rispettiva F-CPU. Queste costanti di sistema possono essere assegnate in modo simbolico
ai blocchi SENDDP e RCVDP.
6. Selezionare nella vista dispositivi del PN/PN Coupler X2 i seguenti moduli alla voce "IN/OUT" e
inserirli nella scheda "Device overview":

9.2.2.2 Comunicazione di sicurezza IO Controller-IO Controller tramite SENDDP e RCVDP
La comunicazione di sicurezza tra le F-CPU degli IO Controller viene realizzata con l'ausilio
delle istruzioni SENDDP per la trasmissione e RCVDP per la ricezione. Queste istruzioni
consentono di trasmettere in modo sicuro un numero fisso di dati fail-safe del tipo BOOL o
INT (in alternativa DINT).
Le istruzioni RCVDP e SENDDP possono essere richiamate anche in F-FB/F-FC separati che
devono essere richiamati all'inizio o alla fine del blocco Main Safety.

9.2.2.3 Programmazione della comunicazione di sicurezza tra IO Controller e IO Controller

Devono essere state progettate le aree di trasferimento per i dati di ingresso e di uscita del
PN/PN Coupler.
La comunicazione di sicurezza IO Controller-IO Controller viene programmata nel modo
seguente:
3. Assegnare ai rispettivi ingressi LADDR gli identificativi HW (costante di sistema nella tabella
delle variabili standard) delle aree di trasferimento per i dati di ingresso e di uscita del PN/PN
Coupler progettate nell'editor hardware e di rete.


DP_DP_ID.
Nell'immagine seguente è riportato un esempio di definizione dell'ID di comunicazione F
sulle uscite delle istruzioni SENDDP e RCVDP per 5 rapporti di comunicazione di sicurezza
IO Controller-IO Controller.
AVVERTENZA

Layer 3).
** S7-1200/1500: A partire dalla versione V3.0 delle istruzioni SENDDP e RCVDP, in
presenza di un ID di comunicazione F "0" sull'ingresso DP_DP_ID non viene stabilita alcuna
comunicazione.
*** S7-1200/1500: A partire dalla versione V3.0 delle istruzioni SENDDP e RCVDP
all'ingresso DP_DP_ID possono essere assegnati anche valori variabili di un F-DB globale.
Anche in questo caso durante il collaudo del programma di sicurezza va verificato che
l'univocità sia garantita in qualsiasi momento controllando conseguentemente l'algoritmo
per la formazione del valore variabile. Se all'avviamento del programma di sicurezza non è
possibile garantire un ID di comunicazione F univoco perché quest'ultimo viene definito
solo dopo l'avviamento del programma di sicurezza, assicurarsi che il valore sull'ingresso
DP_DP_ID in questa fase sia "0".
5. Fornire i segnali di trasmissione agli ingressi SD_BO_xx e SD_I_xx (o in alternativa SD_DI_00)
di SENDDP. Per ridurre i segnali intermedi durante il trasferimento dei parametri dei blocchi,
in alternativa è possibile scrivere, prima del richiamo di SENDDP, il valore direttamente nel
DB di istanza di SENDDP tramite un accesso completamente qualificato (ad es. "Nome
SENDDP_1".SD_BO_02).
6. Assegnare alle uscite RD_BO_xx e RD_I_xx (o in alternativa RD_DI_00) di RCVDP i segnali da
elaborare in altre parti di programma oppure leggere nelle parti di programma utilizzate per
l'elaborazione successiva i segnali ricevuti direttamente nel DB di istanza corrispondente
tramite un accesso completamente qualificato (ad es. "Name RCVDP_1".RD_BO_02).
7. Se si vuole trasmettere il dato dell'ingresso SD_DI_00 invece dei dati degli ingressi SD_I_00 e
SD_I_01, assegnare il valore TRUE all'ingresso DINTMODE (valore iniziale = "FALSE") di
SENDDP.

8. Assegnare agli ingressi SUBBO_xx e SUBI_xx o in alternativa SUBDI_00 di RCVDP i valori

sostitutivi che devono essere emessi al posto dei valori di processo di RCVDP dopo
l'avviamento del sistema F di trasmissione e di ricezione o in caso di errore della
comunicazione di sicurezza fino a quando la comunicazione non viene stabilita per la prima
volta.
Per i dati del tipo di dati INT/DINT è possibile inserire dei valori sostitutivi costanti
direttamente come costante nell'ingresso SUBI_xx o in alternativa SUBDI_00 (valore
iniziale = "0"). Se si desidera assegnare ai dati del tipo di dati BOOL un valore sostitutivo
costante "TRUE", assegnare all'ingresso SUBBO_xx (valore iniziale = "FALSE") il valore
TRUE.
qualificato all'ingresso SUBBO_xx o SUBI_xx o in alternativa SUBDI_00.
AVVERTENZA
AVVERTENZA

10.Opzione: Valutare l'uscita ACK_REQ dell'istruzione RCVDP ad es. nel programma utente
standard oppure nel sistema di servizio e supervisione per verificare o visualizzare se è
necessaria una conferma utente.
11.Assegnare il segnale per la conferma della reintegrazione all'ingresso ACK_REI dell'istruzione
RCVDP.
l'istruzione RCVDP emette i valori sostitutivi parametrizzati per gli ingressi SUBBO_xx e
SUBI_xx o in alternativa SUBDI_00.

13.Opzione: Valutare l'uscita ERROR dell'istruzione RCVDP o SENDDP ad es. nel programma
utente standard oppure nel sistema di servizio e supervisione per verificare o visualizzare se
si è verificato un errore di comunicazione.
9.2.2.4 Comunicazione di sicurezza IO Controller-IO Controller - Limiti per la trasmissione

di dati
Nota
SENDDP/RCVDP, è possibile utilizzare un secondo (o terzo) richiamo SENDDP/RCVDP.
Progettare a questo scopo un ulteriore collegamento di comunicazione tramite il PN/PN
Coupler. La possibilità di eseguire questa operazione con lo stesso PN/PN Coupler dipende dai
limiti di capacità del PN/PN Coupler stesso.
9.2.3 Comunicazione di sicurezza master-master
9.2.3.1 Progettazione della comunicazione di sicurezza master-master
Introduzione
La comunicazione di sicurezza tra i programmi di sicurezza delle F-CPU dei master DP viene
realizzata mediante un DP/DP Coupler.
Nota
Commutare l'indicazione di validità dei dati "DIA" del DIL-switch del DP/DP Coupler su "OFF". In
caso contrario la comunicazione di sicurezza CPU-CPU non è possibile.


Per ogni collegamento di comunicazione di sicurezza tra due F-CPU, nel DP/DP Coupler deve
essere progettata un'area di trasferimento per i dati di uscita e un'area di trasferimento per i
dati di ingresso nell'editor hardware e di rete. Nell'immagine seguente, entrambe le F-CPU
devono potere trasmettere e ricevere dati (comunicazione bidirezionale).

Trasmissione dei dati:
Per l'area di trasferimento dei dati di uscita sono richiesti 12 byte (coerenti); per l'area di
trasferimento dei dati di ingresso sono richiesti 6 byte (coerenti).
Ricezione dei dati:
Per l'area di trasferimento dei dati di ingresso sono richiesti 12 byte (coerenti); per l'area di
trasferimento dei dati di uscita sono richiesti 6 byte (coerenti).
La procedura per la progettazione della comunicazione di sicurezza tra master e master è
identica a quella standard.
3. Nella task card "Hardware catalog" alla voce "Other field
devices\PROFIBUS DP\Gateway\Siemens AG\DP/DP Coupler" selezionare un DP/DP Coupler e
inserirlo nella vista di rete dell'editor hardware e di rete.

4. Inserire un secondo DP/DP Coupler.

5. Collegare l'interfaccia DP della F-CPU 1 con l'interfaccia DP di un DP/DP Coupler e l'interfaccia
DP della F-CPU 2 con l'interfaccia DP di un altro DP/DP Coupler.
6. Nelle proprietà del DP/DP Coupler della vista dispositivi viene assegnato automaticamente un
indirizzo PROFIBUS libero. Questo indirizzo deve essere impostato sul DP/DP Coupler con il
DIL-switch del dispositivo oppure nella progettazione del DP/DP Coupler (vedere il manuale
DP/DP Coupler (http://support.automation.siemens.com/WW/view/it/1179382)).

che ricevere i dati, aprire la vista dispositivi del DP/DP Coupler PLC1. Selezionare nella task
card "Hardware catalog", con il filtro attivato, i seguenti moduli e inserirli nella scheda
"Device overview" del DP/DP Coupler:
Nota
L'assegnazione delle aree di trasferimento avviene tramite l'identificativo hardware
assegnato automaticamente ai moduli e ai dispositivi. L'identificativo hardware è
necessario per la programmazione dei blocchi SENDDP e RCVDP (ingresso LADDR). Per
ogni identificativo HW dell'area di trasferimento viene creata una costante di sistema nella
rispettiva F-CPU. Queste costanti di sistema possono essere assegnate in modo simbolico
ai blocchi SENDDP e RCVDP.
8. Selezionare nella vista dispositivi del DP/DP Coupler PLC2, all'interno della task card
"Hardware catalog", con il filtro attivato, i seguenti moduli e inserirli nella scheda "Device
overview":

9.2.3.2 Comunicazione di sicurezza tra master e master tramite SENDDP e RCVDP
La comunicazione di sicurezza tra le F-CPU degli master DP viene realizzata con l'ausilio delle
istruzioni SENDDP per la trasmissione e RCVDP per la ricezione. Queste istruzioni consentono
di trasmettere in modo sicuro un numero fisso di dati fail-safe del tipo BOOL o INT (in
alternativa DINT).

9.2.3.3 Programmazione della comunicazione di sicurezza master-master

Le aree di indirizzi per i dati di ingresso e di uscita del DP/DP Coupler devono essere
progettate.
La comunicazione di sicurezza master-master si programma nel modo seguente:
l'istruzione SENDDP (Pagina 579) per la trasmissione alla fine del blocco Main Safety o un
F-FC/F-FB separato.
l'istruzione RCVDP (Pagina 579) per la ricezione all'inizio del blocco Main Safety o in un
F-FC/F-FB separato.
3. Assegnare gli identificativi HW (costante della tabella delle variabili) per i dati di uscita e di
ingresso del DP/DP Coupler progettati nell'editor hardware e di rete ai rispettivi ingressi
LADDR.


DP_DP_ID.
ingressi delle istruzioni SENDDP e RCVDP per 5 relazioni di comunicazione di sicurezza
master-master.
AVVERTENZA
CPU in qualsiasi momento e per tutti i collegamenti di comunicazione orientati alla

Layer 3).
** S7-1200/1500: A partire dalla versione V3.0 delle istruzioni SENDDP e RCVDP, in
presenza di un ID di comunicazione F "0" sull'ingresso DP_DP_ID non viene stabilita alcuna
comunicazione.
*** S7-1200/1500: A partire dalla versione V3.0 delle istruzioni SENDDP e RCVDP
all'ingresso DP_DP_ID possono essere assegnati anche valori variabili di un F-DB globale.
Anche in questo caso durante il collaudo del programma di sicurezza va verificato che
l'univocità sia garantita in qualsiasi momento controllando conseguentemente l'algoritmo
per la formazione del valore variabile. Se all'avviamento del programma di sicurezza non è
possibile garantire un ID di comunicazione F univoco perché quest'ultimo viene definito
solo dopo l'avviamento del programma di sicurezza, assicurarsi che il valore sull'ingresso
DP_DP_ID in questa fase sia "0".
5. Fornire i segnali di trasmissione agli ingressi SD_BO_xx e SD_I_xx (o in alternativa SD_DI_00)
di SENDDP. Per ridurre i segnali intermedi durante il trasferimento dei parametri dei blocchi,
in alternativa è possibile scrivere, prima del richiamo di SENDDP, il valore direttamente nel
DB di istanza di SENDDP tramite un accesso completamente qualificato (ad es. "Nome
SENDDP_1".SD_BO_02).
6. Assegnare alle uscite RD_BO_xx e RD_I_xx (o in alternativa RD_DI_00) di RCVDP i segnali da
elaborare in altre parti di programma oppure leggere nelle parti di programma utilizzate per
l'elaborazione successiva i segnali ricevuti direttamente nel DB di istanza corrispondente
tramite un accesso completamente qualificato (ad es. "Nome RCVDP_1".RD_BO_02).
7. Se si vuole trasmettere il dato dell'ingresso SD_DI_00 invece dei dati degli ingressi SD_I_00 e
SD_I_01, assegnare il valore TRUE all'ingresso DINTMODE (valore iniziale = "FALSE") di
SENDDP.

8. Assegnare agli ingressi SUBBO_xx e SUBI_xx o in alternativa SUBDI_00 di RCVDP i valori

sostitutivi che devono essere emessi al posto dei valori di processo di RCVDP dopo
l'avviamento del sistema F di trasmissione e di ricezione o in caso di errore della
comunicazione di sicurezza fino a quando la comunicazione non viene stabilita per la prima
volta.
Per i dati del tipo di dati INT/DINT è possibile inserire dei valori sostitutivi costanti
direttamente come costante nell'ingresso SUBI_xx o in alternativa SUBDI_00 (valore
iniziale = "0"). Se si desidera preimpostare un valore sostitutivo costante "TRUE" per i
dati di tipo BOOL, assegnare all'ingresso SUBBO_xx (valore iniziale = "FALSE") il valore
TRUE.
qualificato all'ingresso SUBBO_xx o SUBI_xx o in alternativa SUBDI_00.
AVVERTENZA
AVVERTENZA

10.Opzione: Valutare l'uscita ACK_REQ dell'istruzione RCVDP, ad es. nel programma utente
standard o nel sistema di servizio e supervisione, per verificare o visualizzare se è richiesta
una conferma utente.
11.Fornire all'ingresso ACK_REI dell'istruzione RCVDP il segnale di conferma per la
reintegrazione.
l'istruzione RCVDP emette i valori sostitutivi parametrizzati per gli ingressi SUBBO_xx e
SUBI_xx o in alternativa SUBDI_00.

13.Opzione: Valutare l'uscita ERROR dell'istruzione RCVDP o SENDDP, ad es. nel programma
utente standard o nel sistema di servizio e supervisione, per chiedere o indicare se si è
9.2.3.4 Comunicazione di sicurezza master-master - Limiti per la trasmissione di dati
Nota
SENDDP/RCVDP, è possibile utilizzare un secondo (o terzo) richiamo SENDDP/RCVDP. A tale
scopo progettare un altro collegamento di comunicazione tramite DP/DP Coupler. In base al
limite di capacità dell'DP/DP Coupler, questo è possibile con uno o con lo stesso DP/DP
Coupler.
9.2.4 Comunicazione di sicurezza tra IO Controller e I-Device
Introduzione
Per la comunicazione IO Controller-I-Device non è richiesto alcun hardware supplementare.



denominazione della comunicazione. Ad es. "F-CD_PLC_2-PLC_1_1" per il primo collegamento
F-CD tra IO Controller F-CPU 1 e I-Device F-CPU 2.
Durante la creazione di un'area di trasferimento, nella F-CPU dell'IO Controller e nella F-CPU
dell'I-Device viene creata una costante di sistema con lo stesso nome dell'area di
trasferimento. La costante di sistema contiene l'identificativo HW dell'area di trasferimento
dal punto di vista della rispettiva F-CPU.
Gli identificativi HW (costanti di sistema della tabella delle variabili standard) delle aree di
trasferimento nei programmi di sicurezza vengono assegnati simbolicamente all'ingresso
LADDR delle istruzioni SENDDP e RCVDP.
La procedura per la progettazione di una comunicazione di sicurezza IO Controller-I-Device è
identica a quella prevista per la progettazione del programma standard.
2. Attivare il modo di funzionamento "IO Device" per la F-CPU 2 nelle proprietà della relativa
interfaccia PN e assegnare questa interfaccia PN a un'interfaccia PN della F-CPU 1.
3. Selezionare l'interfaccia PROFINET della F-CPU 2. In "Transfer areas" è possibile creare un
collegamento F-CD (tipo "F-CD") per la ricezione dall'IO Controller (→). Il collegamento F-CD
viene contrassegnato in giallo nella tabella e le aree di indirizzi occupate nell'I-Device e
nell'IO Controller vengono visualizzate.
Inoltre, per ciascun collegamento F-CD viene creato automaticamente un collegamento di
conferma. (Vedere nei dettagli dell'area di trasferimento).

4. Creare un altro collegamento F-CD per l'invio all'IO Controller.

trasmissione a invio all'IO Controller (←).

9.2.4.2 Comunicazione IO Controller-I-Device tramite SENDDP e RCVDP
La comunicazione di sicurezza tra F-CPU dell'IO Controller e un I-Device viene eseguita con le
istruzioni SENDDP per l'invio di e RCVDP per la ricezione. Queste istruzioni consentono di
trasmettere in modalità fail-safe un numero fisso di dati del tipo BOOL o INT (in alternativa
DINT).

Per la programmazione della comunicazione di sicurezza IO Controller-I-Device procedere
esattamente come per la programmazione della comunicazione di sicurezza IO Controller-
IO Controller (vedere Programmazione della comunicazione di sicurezza tra IO Controller e
IO Controller (Pagina 255)).

L'assegnazione degli identificativi HW (costanti di sistema nella tabella delle variabili

standard) delle aree di trasferimento all'ingresso LADDR delle istruzioni SENDDP/RCVDP può
essere rilevata dalla seguente tabella:
Istruzione Identificativo HW
SENDDP nell'IO Controller Identificativo HW della rispettiva area di
trasferimento nell'IO Controller
RCVDP nell'IO Controller Identificativo HW della rispettiva area di
trasferimento nell'IO Controller
SENDDP nell'I-Device Identificativo HW dell'area di trasferimento
nell'I-Device
RCVDP nell'I-Device Identificativo HW dell'area di trasferimento
nell'I-Device

ingressi delle istruzioni SENDDP e RCVDP per 4 relazioni di comunicazione IO Controller-
I-Device.

AVVERTENZA
Layer 3).
comunicazione.
AVVERTENZA

9.2.4.4 Comunicazione di sicurezza IO Controller-I-Device - Limiti per la trasmissione di

dati

Progettare a tal fine altre aree di trasferimento. Osservare il limite massimo di 1440 byte di
dati di ingresso o 1440 byte di dati di uscita per la trasmissione tra un I-Device e un
IO Controller.

di sicurezza comunicazione
nell'IO Controller nell'I-Device
Dati di Dati di Dati di Dati di
uscita ingresso uscita ingresso
IO Controller- Trasmissione: 6 byte 12 byte 12 byte 6 byte
I-Device I-Device 1 a
IO Controller
I-Device 1 da
IO Controller
trasferimento tra un I-Device e un IO Controller, tenere conto di tutti gli altri collegamenti di
comunicazione standard e di sicurezza previsti (aree di trasferimento del tipo: F-CD e CD).
Inoltre, i dati vengono utilizzati per scopi interni, in modo che il limite massimo possa essere
raggiunto prima.
In caso di superamento del limite si ottiene un messaggio di errore corrispondente.
9.2.5 Comunicazione di sicurezza master-I-slave
9.2.5.1 Progettazione della comunicazione di sicurezza master-I-slave
Introduzione
La comunicazione di sicurezza tra il programma di sicurezza della F-CPU di un master DP e il/i
programma/i di sicurezza della F-CPU di uno o più I-slave avviene - come nel programma
Per la comunicazione master-I-slave non è necessario un DP/DP Coupler.



denominazione della comunicazione. Ad es. "F-MS_PLC_2-PLC_1_1" per il primo collegamento
F-MS tra master DP F-CPU 1 e I-slave F-CPU 2.
Durante la creazione di un'area di trasferimento, nella F-CPU del master DP e nella F-CPU
dell'I-slave viene creata una costante di sistema con lo stesso nome dell'area di trasferimento.
La costante di sistema contiene l'identificativo HW dell'area di trasferimento dal punto di vista
della rispettiva F-CPU.
Gli identificativi HW (costanti di sistema della tabella delle variabili standard) delle aree di
trasferimento nei programmi di sicurezza vengono assegnati simbolicamente all'ingresso
LADDR delle istruzioni SENDDP e RCVDP.
La procedura per la progettazione di una comunicazione di sicurezza master-I-slave è identica
a quella prevista per la progettazione del programma standard.
2. Se la F-CPU che deve fungere da master DP (F-CPU 1) non dispone di un'interfaccia
PROFIBUS DP integrata, inserire ad es. un CM PROFIBUS.
3. Inserire nella vista dispositivi della F-CPU da utilizzare come I-slave (F-CPU 2) un modulo DP
CM o un modulo DP CP adatto.
4. Se necessario, attivare per il modulo DP CM/CP il modo di funzionamento "DP Slave" (I-slave).
5. Assegnare l'interfaccia DP del CM/CP a un'interfaccia DP della F-CPU 1.

6. Selezionare l'interfaccia PROFIBUS della F-CPU 2 o del CM. Nelle "Transfer areas" creare un
collegamento F-MS (tipo "F-MS") per l'invio al master DP (←). Il collegamento F-MS è
contrassegnato in giallo nella tabella e le aree di trasferimento occupate nell'I-slave e nel
master DP vengono visualizzate.
Inoltre, per ciascun collegamento F-MS viene creato automaticamente un collegamento di
conferma. (Vedere in "Dettagli dell'area di trasferimento").
7. Creare un ulteriore collegamento F-MS per la ricezione del master DP.
trasmissione a ricezione dal master DP (→).

9.2.5.2 Comunicazione di sicurezza master-I-slave tramite SENDDP e RCVDP
La comunicazione di sicurezza tra la F-CPU del master DP e un I-slave avviene tramite le

istruzioni SENDDP per l'invio e RCVDP per la ricezione. Queste istruzioni consentono di
trasmettere in modo sicuro un numero fisso di dati fail-safe del tipo BOOL o INT (in
alternativa DINT).
9.2.5.3 Programmazione della comunicazione di sicurezza master-I-slave
Requisiti
Per la programmazione della comunicazione di sicurezza master-I-slave, procedere come per
la programmazione della comunicazione di sicurezza master-master (vedere Comunicazione
di sicurezza master-master (Pagina 259)).

L'assegnazione degli identificativi HW delle aree di trasferimento all'ingresso LADDR delle

Istruzione Identificativo HW
SENDDP nel master DP Identificativo HW della rispettiva area di
trasferimento nel master DP
RCVDP nel master DP Identificativo HW della rispettiva area di
trasferimento nel master DP
SENDDP nell'I-slave Identificativo HW dell'area di trasferimento nell'I-
slave
RCVDP nell'I-slave Identificativo HW dell'area di trasferimento nell'I-
slave
Nell'immagine seguente è riportato un esempio di definizione dell'ID di comunicazione F sugli

ingressi delle istruzioni SENDDP e RCVDP per quattro rapporti di comunicazione di sicurezza
master-I-slave.

AVVERTENZA
essere selezionato liberamente**, ma deve essere univoco in tutta la rete* e in tutta la CPU
Layer 3).
comunicazione.
AVVERTENZA
9.2.5.4 Comunicazione di sicurezza master-I-slave - Limiti per la trasmissione di dati

Progettare a tal fine altre aree di trasferimento. Osservare il limite massimo di 244 byte di dati
di ingresso o 244 byte di dati di uscita per la trasmissione tra un I-slave e un master DP.


di sicurezza comunicazione Master DP I-slave
Dati di uscita Dati di Dati di Dati di

ingresso uscita ingresso
Master-I-slave Trasmissione: 6 byte 12 byte 12 byte 6 byte
I-slave 1 al master
DP
I-slave 1 dal master
DP
trasferimento tra un I-slave e un master DP, tenere conto di tutti gli altri collegamenti di
comunicazione standard e di sicurezza previsti (aree di trasferimento del tipo: F-MS e MS). Se
si supera il limite massimo di 244 byte di dati di ingresso o di 244 byte di dati di uscita, viene
visualizzato un messaggio di errore corrispondente.
9.2.6 Comunicazione di sicurezza IO Controller-I-slave
9.2.6.1 Comunicazione di sicurezza IO Controller-I-slave
Introduzione
il/i programma/i di sicurezza della F-CPU di uno o più I-slave avviene - come nel programma
IE/PB Link
Per la comunicazione di sicurezza IO Controller-I-slave è assolutamente necessario l'IE/PB Link.
Ciascuna delle due F-CPU è collegata all'IE/PB Link tramite l'interfaccia PROFIBUS DP o
PROFINET.
Nota
Durante la progettazione dei tempo di controllo specifici per F e durante il calcolo del tempo
di reazione massimo del sistema F è necessario tenere conto dell'impiego di un IE/PB Link
(vedere anche Tempi di controllo e di reazione (Pagina 596)).
Osservare che il file excel per il calcolo dei tempi di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831) per F-CPU S7-300/400 non
supporta tutte le configurazioni possibili.

Riferimenti
Inoltre valgono le informazioni per la comunicazione master-I-slave riportate in
Comunicazione di sicurezza master-I-slave (Pagina 274).
9.2.7 Comunicazione di sicurezza con il sistema F S7, S7 Distributed Safety
9.2.7.1 Introduzione
La comunicazione di sicurezza da F-CPU in SIMATIC Safety a F-CPU in sistemi F S7 Distributed
Safety è possibile tramite un PN/PN Coupler o DP/DP Coupler, che si impiega tra le due F-CPU
come comunicazione IO Controller-IO Controller o comunicazione master-master.

IO Controller-IO Controller)
La comunicazione funziona tra istruzioni SENDDP/RCVDP per quanto riguarda STEP 7 Safety e
blocchi applicativi F F_SENDDP/F_RCVDP per quanto riguarda S7 Distributed Safety:

(http://support.automation.siemens.com/WW/view/it/22099875)" nel capitolo "Safety-Related
IO Controller-IO Controller Communication".
Procedura relativa a STEP 7 Safety

Relativamente a STEP 7 Safety procedere come descritto in Comunicazione di sicurezza tra
IO Controller e IO Controller (Pagina 250).


master-master)
La comunicazione funziona tra istruzioni SENDDP/RCVDP per quanto riguarda STEP 7 Safety e
blocchi applicativi F F_SENDDP/F_RCVDP per quanto riguarda S7 Distributed Safety:

(http://support.automation.siemens.com/WW/view/it/22099875)" nel capitolo "Safety-Related
Master-Master Communication".
Procedura relativa a STEP 7 Safety

Relativamente a STEP 7 Safety procedere come descritto in Comunicazione di sicurezza
master-master (Pagina 259).

9.3 Progettazione e programmazione della comunicazione con Flexible F-Link (S7-1200, S7-1500)
9.3 Progettazione e programmazione della comunicazione con

Flexible F-Link (S7-1200, S7-1500)
9.3.1 Flexible F-Link
Introduzione
Per le F-CPU S7-1200 e S7-1500 è disponibile la comunicazione fail-safe CPU-CPU "Flexible
F-Link". I dati fail-safe vengono scambiati tra le F-CPU semplicemente come ARRAY fail-safe
attraverso meccanismi di comunicazione standard.
Flexible F-Link offre una serie di vantaggi per lo scambio di dati fail-safe:
• Raggruppamento dei dati fail-safe da inviare in tipi di dati PLC conformi a F (UDT)
(I tipi di dati PLC conformi a F (UDT) annidati non sono supportati.)
• Fino a 100 byte di dati fail-safe per singolo UDT
• Facilità di parametrizzazione e generazione automatica dei DB di comunicazione fail-safe
• Trasmissione dei dati fail-safe con blocchi di comunicazione standard anche oltre i limiti
della rete
• Comunicazione del gruppo di esecuzione F (Pagina 93) nelle F-CPU 1200/1500
• UUID di comunicazione F integrati nel sistema, univoci e universali
• Firma dell'indirizzo di comunicazione F separata per un facile riconoscimento delle
modifiche degli UUID di comunicazione F
Requisiti

Principio della comunicazione tramite Flexible F-Link
Sul lato del trasmettitore procedere nel modo seguente:

1. Creare un tipo di dati PLC conforme a F (UDT) per i dati da trasmettere. Le dimensioni non
devono superare i 100 byte.
2. Creare nel Safety Administration Editor (Pagina 93) una comunicazione di sicurezza con
direzione "Send".
Per la comunicazione di sicurezza viene creato un nuovo DB di comunicazione F
(Pagina 287) in "Program blocks\System blocks\STEP 7 Safety\F-communication DBs".
3. Impostare il tempo di controllo F (Pagina 602) per la comunicazione di sicurezza.
4. Nel programma di sicurezza, fornire le variabili per i dati di trasmissione (SEND_DATA) nel
DB di comunicazione F (Pagina 287) della comunicazione di sicurezza.
5. Creare i blocchi standard in cui gli array fail-safe creati automaticamente nel DB di
comunicazione F vengono inviati con i dati di trasmissione e ricevuti con i dati di conferma.
Per una sequenza di elaborazione corretta dei valori di processo è disponibile l'F-OB
Pre/postelaborazione (Pagina 83). Quando si utilizzano le istruzioni di comunicazione,
assicurarsi che, durante la valutazione, gli array fail-safe disponibili siano coerenti e che
venga rispettato il tempo di controllo F (Pagina 602). Osservare la nota riportata di seguito.
Sul lato del ricevente procedere nel modo seguente:
1. Creare un tipo di dati PLC conforme a F (UDT) con la stessa struttura del lato di trasmissione.
A tale scopo copiare ad es. il tipo di dati PLC conforme a F (UDT) del lato di trasmissione o
utilizzare la biblioteca di progetto o la biblioteca globale.
2. Creare nel Safety Administration Editor (Pagina 93) una comunicazione di sicurezza con
direzione "Receive".
Per la comunicazione di sicurezza viene creato un nuovo DB di comunicazione F in
"Program blocks\System blocks\STEP 7 Safety\F-communication DBs".
3. Copiare l'UUID di comunicazione F della comunicazione di sicurezza dal lato di trasmissione.
4. Impostare lo stesso tempo di controllo F del lato di trasmissione.

5. Nel programma di sicurezza, valutare le variabili per i dati di ricezione (RCV_DATA) nel DB di
comunicazione F (Pagina 287).
6. Creare i blocchi standard in cui gli array fail-safe creati automaticamente nel DB di
comunicazione F vengono ricevuti con i dati di ricezione e inviati con i dati di conferma. Per
una sequenza di elaborazione corretta dei valori di processo è disponibile l'F-OB
Pre/postelaborazione (Pagina 93). Quando si utilizzano le istruzioni di comunicazione,
assicurarsi che, durante la valutazione, gli array fail-safe disponibili siano coerenti e che
venga rispettato il tempo di controllo F (Pagina 602). Osservare la nota riportata di seguito.
Nota
In caso di utilizzo di protocolli di comunicazione non deterministici (ad es. TCP/IP) osservare
anche i seguenti punti:
• Un aumento del carico di comunicazione può ridurre la disponibilità dell'applicazione
(esecuzione del tempo di controllo F del collegamento di comunicazione F). Ciò vale in
particolare per l'utilizzo parallelo di OPC UA e Secure Open User Communication (OUC).
• Gli overflow del buffer di comunicazione possono influenzare negativamente la
disponibilità dell'applicazione e dovrebbero essere evitati.
Altre informazioni utili sono contenute nell'esempio applicativo seguente: "Progettazione
della comunicazione Flexible F-Link
(https://support.industry.siemens.com/cs/ww/it/view/109768964)".
Nota
Durante la simulazione con S7-PLCSIM non viene attivato il timer che genera un messaggio di
errore allo scadere dell'intervallo in caso di interruzione della comunicazione con le periferie
reali (ad es. commutando una CPU in STOP). Pertanto in questo caso non viene generato
alcun messaggio di errore. Questo viene visualizzato appena il collegamento viene
ripristinato. La trasmissione e la ricezione dei valori attuali riprendono dopo la conferma
utente.
AVVERTENZA
AVVERTENZA
Se durante la comunicazione tra CPU e CPU orientata alla sicurezza vengono inviati dei dati
con una F-CPU simulata con S7-PLCSIM, non è possibile assumere che questi dati siano stati
generati in modo sicuro. In questo caso è necessario anche garantire la sicurezza delle parti
dell'impianto influenzate dai dati inviati adottando misure organizzative (Pagina 611)
oppure facendo in modo che la F-CPU che riceve i dati emetta dei valori sostitutivi sicuri al
posto dei dati ricevuti tramite l'analisi di SENDMODE*.
*SENDMODE è disponibile come variabile nel DB di comunicazione F.
(S086)

AVVERTENZA
AVVERTENZA
Vedere anche
Comunicazione del gruppo di esecuzione F (S7-1200, S7-1500) (Pagina 141)

9.3.2 DB di comunicazione F (S7-1200, S7-1500)
DB di comunicazione F per la trasmissione

La seguente tabella mostra l'interfaccia del DB di comunicazione F per il collegamento di
comunicazione con la direzione "Trasmissione":
Sezione Nome Tipo di dati Valore iniziale Spiegazione

Input SEND_DATA Tipo di dati PLC Come nel tipo di dati Dati utili da trasmettere.
conforme a F (UDT) PLC conforme a F
(UDT).
ACK_RCV_ARRAY Array[0..n] of byte Ciascun elemento con Array con dati grezzi ricevuti.
16#0
Output ERROR Bool false Segnala errori di comunicazione
attualmente presenti o non
ancora confermati dal ricevente
(non nella fase iniziale di
avviamento).
1=errore di comunicazione
ACTIVATE_FV Bool true Comunicazione passiva, in fase di
avviamento (ad es. ricevente non
avviato), oppure l'HOST invia
ACTIVATE_FV. DEVICE invia il bit
di stato: FV_ACTVATED, ma
nessun valore 0.
1=I valori fail-safe vengono
utilizzati dalla comunicazione
DIAG Byte 16#0 Bit di errore (timeout o errore CRC
ancora presente, o comunicazione
non ancora depassivata dopo
l'errore)
Bit 3: Richiesta di conferma attiva
sul ricevente
Bit 4: Timeout riconosciuto
Bit 6: Errore CRC riconosciuto
SEND_ARRAY Array[0..n] of byte Ciascun elemento con Array con dati grezzi da
16#0 trasmettere
ACK_RCV_LENGTH UInt 0 Informazioni sulla lunghezza per
ACK_RCV_ARRAY in byte
SEND_LENGTH UInt 0 Informazioni sulla lunghezza per
SEND_ARRAY in byte
InOut — — — —
Static — — — —

DB di comunicazione F per la ricezione

La seguente tabella mostra l'interfaccia del DB di comunicazione F per il collegamento di
comunicazione con la direzione "Ricezione":

Input PASS_ON Bool false In questo modo è possibile
passivare i dati di uscita (uscita dei
valori di passivazione)
1=attivazione della passivazione
ACK_REI Bool false Reintegrazione (alla richiesta di
reintegrazione) tramite fronte di
salita
1=Conferma per la reintegrazione
RCV_ARRAY Array[0..n] of byte Ciascun elemento con Array con i dati grezzi ricevuti
16#0
Output RCV_DATA Tipo di dati PLC Come nel tipo di dati Dati di uscita (PASS_VALUES o dati
conforme a F (UDT) PLC conforme a F ricevuti).
(UDT).
ERROR Bool false Segnala errori di comunicazione
attualmente presenti o non
ancora confermati (non nella fase
iniziale di avviamento).
1=errore di comunicazione
PASS_OUT Bool true Con PASS_OUT=1 vengono emessi
i PASS_VALUES
Ad esempio: ERROR, PASS_ON,
nell'avviamento iniziale (ad es.
trasmettitore non avviato),
oppure è presente ACK_REQ
(errore non confermare)
ACK_REQ Bool false Richiesta di reintegrazione
(comunicazione di nuovo stabile
dopo l'errore, ma i valori
sostitutivi vengono ancora
emessi)
1=Richiesta di conferma per la
reintegrazione
SENDMODE Bool false Sulla F-CPU che trasmette è attivo
il MOD_MODE o la comunicazione
con PLCSIM Advanced
1=F-CPU con un trasmettitore nel
funzionamento di sicurezza
disattivato o su una CPU simulata

9.4 Progettazione e programmazione tra F-CPU S7-300/400 e
S7-1200/1500

DIAG Byte 16#0 Bit di errore (timeout o errore
CRC)
Bit 0: Timeout riconosciuta dal
trasmettitore
Bit 1: Errore di comunicazione
attualmente presente nel
trasmettitore
Bit 2: Errore CRC riconosciuto dal
trasmettitore
Bit 4: Timeout riconosciuto dal
ricevente
Bit 6: Errore CRC riconosciuto dal
ricevente
ACK_SEND_ARRAY Array[0..n] of byte Ciascun elemento con Array con dati grezzi da
16#0 trasmettere.
RCV_LENGTH UInt 0 Informazioni sulla lunghezza per
RCV_ARRAY in byte
ACK_SEND_LENGTH UInt 0 Informazioni sulla lunghezza per
ACK_SEND_ARRAY in byte
InOut — — — —
Static PASS_VALUES Tipo di dati PLC Come nel tipo di dati Valori di passivazione o sostitutivi
conforme a F (UDT) PLC conforme a F
(UDT) o nel DB di
periferia.
9.4 Progettazione e programmazione tra F-CPU S7-300/400 e

S7-1200/1500
Introduzione
Qui si ottiene una panoramica sulle possibilità della comunicazione di sicurezza tra F-CPU
S7-300/400 e F-CPU S7-1200/1500 nei sistemi F SIMATIC Safety.

9.5 Progettazione e programmazione della comunicazione in diversi progetti

necessario
IO Controller
Comunicazione IO Controller-I-slave PROFINET IO e IE/PB Link
PROFIBUS DP
Procedura principale per la progettazione e la programmazione

Configurare e programmare la comunicazione di sicurezza tra le F-CPU S7-300/400 e F-CPU
S7-1200/1500 come descritto in Progettazione e programmazione della comunicazione
(S7-300, S7-400) (Pagina 192) e Progettazione e programmazione della comunicazione
(S7-1200, S7-1500) (Pagina 248) per il proprio caso applicativo.
Per la programmazione di una F-CPU S7-300/400 utilizzare gli indirizzi iniziali delle aree di
trasferimento. Per la programmazione di una F-CPU S7-1200/1500 utilizzare gli identificativi
HW delle aree di trasferimento.
9.5 Progettazione e programmazione della comunicazione in diversi

progetti
9.5.1 Comunicazione di sicurezza IO Controller-I-Device in più progetti
Introduzione
Di seguito sono descritte particolarità, se l'IO Controller e l'I-Device si trovano in progetti
diversi.

Requisiti
• L'IO Controller è una F-CPU S7-1200/1500 che supporta la funzionalità IO Controller.
• L'I-Device è una F-CPU S7-300/400/1200/1500 che supporta la funzionalità I-Device.
• Il progetto nel quale si trova l'I-Device, deve essere creato con S7 Distributed Safety V5.4,
STEP 7 Safety V13 o uno nuovo.
Progettazione
1. Progettare la comunicazione di comunicazione nel progetto con l'I-Device, come descritto in
"Progettazione della comunicazione di sicurezza IO Controller-I-Device (Pagina 212)"
(S7-300/S7-400) o "Progettazione della comunicazione di sicurezza IO Controller-I-Device
(Pagina 268)" (S7-1200/S7-1500). In questo caso la F-CPU 1 (IO Controller) è solo un
segnaposto per la F-CPU nel progetto dell'IO Controller.
Nota
Durante la creazione con STEP 7 Safety < V14 SP1 evitare un cambio successivo delle aree
di trasferimento da CD F-CD.
Durante la creazione con S7 Distributed Safety V5.4 creare le aree di trasferimento
dell'applicazione del tipo di indirizzo "Uscita" e "Ingresso" direttamente in successione.
2. Esportare l'I-Device come file GSD. A tal fine procedere come descritto nella Guida a STEP 7
in "Progettazione di un I-Device".
3. Importare il file GSD nel progetto con l'IO Controller. A tal fine procedere come descritto
nella Guida a STEP 7 in "Installazione del file GSD".
4. Inserire l'I-Device dalla task card "Catalogo hardware" nel progetto con l'IO Controller.
5. Assegnare all'I-Device la F-CPU dell'IO Controller.

Per la programmazione della comunicazione di sicurezza IO Controller-I-Device per una F-CPU
S7-300/400, procedere come descritto in "Comunicazione IO Controller-I-Device tramite
SENDDP e RCVDP (Pagina 215)" e "Programmazione della comunicazione di sicurezza
IO Controller-I-Device (Pagina 215)". Per la programmazione di una F-CPU S7-300/400
utilizzare gli indirizzi iniziali delle aree di trasferimento.
Per la programmazione della comunicazione di sicurezza IO Controller-I-Device per una F-CPU
S7-1200/1500, procedere come descritto in "Comunicazione IO Controller-I-Device tramite
SENDDP e RCVDP (Pagina 271)" e "Programmazione della comunicazione di sicurezza
IO Controller-I-Device (Pagina 271)". Per la programmazione di una F-CPU S7-1200/1500
utilizzare gli identificativi HW delle aree di trasferimento.

Compilazione e messa in servizio del programma
di sicurezza 10
10.1 Compilazione del programma di sicurezza
Per ottenere un programma di sicurezza coerente procedere nel seguente modo:
1. Selezionare la cartella "Program blocks" o la cartella della Safety Unit o di un livello superiore.
2. Avviare la compilazione.
A tale scopo, si procede essenzialmente come per la compilazione di un programma
utente standard. Esistono diverse possibilità di primo approccio a STEP 7. Per le nozioni di
base per la compilazione dei programmi utente consultare la Guida a STEP 7.
Nota
Osservare che dopo una modifica rilevante per la sicurezza della configurazione hardware, è
necessario ricompilare e ricaricare non solo la configurazione hardware, ma anche il
programma di sicurezza. Questo vale anche per le modifiche della periferia F non utilizzata
nel programma di sicurezza.
Nota
Per le F-CPU S7-300/400 vale:
Se si desidera compilare un blocco F con protezione del know-how dopo una modifica, è
necessario rimuovere la protezione del know-how per questo blocco F prima di compilarlo.
Messaggio di errori di compilazione

È possibile riconoscere se la compilazione è stata eseguita correttamente dalla segnalazione
nella finestra di ispezione alla voce "Info > Compile", vengono emessi messaggi di errori o
avvisi.
Il procedimento dell'eliminazione degli errori è descritto nella Guida a STEP 7 in "Eliminazione
dell'errore di compilazione".

Compilazione e messa in servizio del programma di sicurezza
10.2 Memoria di lavoro richiesta del programma di sicurezza (S7-300, S7-400)
10.2 Memoria di lavoro richiesta del programma di sicurezza (S7-300,

S7-400)
Stima
È possibile stimare approssimativamente la memoria di lavoro richiesta del programma di
sicurezza nel modo seguente:
Memoria di lavoro richiesta per il programma di sicurezza
32 kbyte per blocchi di sicurezza F

+ 4,4 kbyte per la comunicazione di sicurezza tra i gruppi di esecuzione F
+ 4,5 x memoria di lavoro richiesta di tutti i blocchi F-FB/F-FC/Main Safety
+ 4,5 x memoria di lavoro richiesta di tutte le istruzioni utilizzate, rappresentate nella task
card "Instructions" con il simbolo del blocco .
(tranne SENDDP, RCVDP, SENDS7 e RCVS7)
+ Memoria di lavoro richiesta delle istruzioni utilizzate SENDDP e RCVDP (rispettivamente
4,3 kbyte)
+ Memoria di lavoro richiesta delle istruzioni utilizzate SENDS7 e RCVS7 (rispettivamente
8,5 kbyte)
Memoria di lavoro richiesta per dati
5 x memoria di lavoro richiesta di tutti gli F-DB (inclusi DB di comunicazione F, ma senza DB

per la comunicazione del gruppo di esecuzione F) e I-DB per il blocco Main Safety/F-FB
+ 24 x memoria di lavoro richiesta di tutti i DB per la comunicazione dei gruppi di
esecuzione F
+ 2,3 x memoria di lavoro necessaria di tutti gli I-DB per le istruzioni (tranne SENDDP,
RCVDP, SENDS7 e RCVS7)
+ Memoria di lavoro richiesta di tutti gli I-DB delle istruzioni SENDDP (0,2 kbyte), RCVDP
(0,3 kbyte), SENDS7 (0,6 kbyte) e RCVS7 (1,0 kbyte)
+ 0,7 kbyte pro F-FC
+ 0,7 kbyte per ciascuna periferia F (inoltre per DB di periferia F)
+ 4,5 kbyte
Dimensione dei blocchi F generati automaticamente

Non utilizzare completamente la dimensione massima di un blocco F, poiché i blocchi F
generati automaticamente sono più grandi e la dimensione massima possibile della F-CPU
potrebbe essere superata. Il superamento della dimensione dei blocchi comporta un
messaggio di errore corrispondente con informazioni sui blocchi F troppo grandi. I blocco
devono essere event. divisi.

10.3 Caricamento dei dati di progetto
Introduzione
Dopo avere compilato correttamente il programma di sicurezza, è possibile caricare il
programma di sicurezza insieme al programma utente standard nella F-CPU.
(S7-1500) Se il programma di sicurezza si trova in una Safety Unit è possibile caricare la
Safety Unit nella F-CPU in modo indipendente.
Per caricare un programma di sicurezza si procede sostanzialmente nello stesso modo in cui si
carica un programma utente standard, attraverso diverse opzioni di accesso in STEP 7:
• Nella finestra di dialogo "Load preview" si immettono i dati (ad es. password della F-CPU) e
si impostano i requisiti necessari per il caricamento (ad es. che la F-CPU passi in STOP
prima del caricamento).
• Nella finestra di dialogo "Load results" vengono visualizzati i risultati dopo il caricamento.
Di seguito vengono illustrate le possibilità di caricamento del programma di sicurezza. Per
informazioni di base sul caricamento consultare la Guida a STEP 7.
Regole per il caricamento dei dati di progetto in una F-CPU
AVVERTENZA
Se più F-CPU sono accessibili dallo stesso PG/PC tramite una rete (ad es. Industrial
Ethernet), occorre adottare le seguenti misure aggiuntive per assicurarsi che i dati di
progetto rilevanti per la sicurezza vengano caricati nella F-CPU corretta:
Utilizzare password specifiche per le F-CPU, ad es. una password univoca per le F-CPU con
allegato il rispettivo indirizzo Ethernet.
• Il primo caricamento della configurazione hardware per l'attivazione della protezione di
accesso di una F-CPU deve avvenire tramite un collegamento punto a punto (come nel
caso della prima assegnazione di un indirizzo MPI a una F-CPU).
• Prima di caricare in una F-CPU i dati di progetto rilevanti per la sicurezza è necessario
annullare l'eventuale autorizzazione di accesso a un'altra F-CPU.
• L'ultimo caricamento dei dati di progetto rilevanti per la sicurezza prima del passaggio al
funzionamento produttivo deve essere effettuato con la protezione di accesso attivata.
(S021)
Nota
È possibile caricare un programma di sicurezza coerente solo nello stato di funzionamento
STOP.

Nota
Se STEP 7 Safety rileva un programma di sicurezza non coerente durante l'avviamento della
F-CPU, l'avviamento della F-CPU viene impedito, a condizione che la F-CPU supporti questo
rilevamento. (Vedere le informazioni sul prodotto per la rispettiva F-CPU S7-300/400.) Per le
F-CPU S7-1200/1500 è sempre supportato. Nel buffer di diagnostica della F-CPU viene inserito
un evento di diagnostica corrispondente.
Se la F-CPU non supporta questo rilevamento, l'esecuzione di un programma di sicurezza non
coerente nel funzionamento di sicurezza attivata può comportare l'arresto della F-CPU.
La causa dell'evento di diagnostica viene inserita nel buffer di diagnostica della F-CPU.
Quando si carica il programma di sicurezza, assicurarsi che l'azione "Consistent download" sia
impostata per la selezione "Safety program" nella finestra di dialogo "Load preview".
Il caricamento non coerente è possibile solo con il funzionamento di sicurezza disattivato.
Richiesta di password prima del caricamento in una F-CPU

Se è stata assegnato un livello di protezione per la F-CPU (Pagina 99) (nelle proprietà della
F-CPU nella scheda "Protection") viene richiesta la password corrispondente nella finestra di
dialogo "Load preview". Senza inserimento della password sono possibili solo azioni
consentite senza password. Non appena le condizioni per il caricamento sono soddisfatte, il
pulsante "Load" viene attivato.

Finestra di dialogo "Load preview"

La finestra di dialogo "Load preview" di una F-CPU contiene anche l'area "Safety program".
Eseguire la seguente selezione:

• Per caricare in modo coerente un programma di sicurezza, selezionare sotto la
destinazione "Safety program" l'azione "Consistent download".
• (S7-300, S7-400) Per caricare in modo selettivo singoli blocchi F (Pagina 300), selezionare
sotto la destinazione "Safety program" l'azione "Download selection" e selezionare i
blocchi F desiderati sottostanti. Eventualmente viene richiesto di disattivare il
funzionamento di sicurezza in "Disable safety mode". Questa impostazione è adatta solo
per il test online di singoli blocchi F.
• (S7-300, S7-400) Per caricare il programma di sicurezza, selezionare sotto la destinazione
"Safety program" l'azione "Consistent download" e sotto la destinazione "Standard
software" l'azione "Download selection" e selezionare solo i blocchi standard sottostanti,
che richiamano il blocco Main Safety.
• (S7-300, S7-400) Per caricare il programma di sicurezza, ad es. perché non si conosce la
password della F-CPU, selezionare sotto la destinazione "Safety program" l'azione "No
action".
Per le F-CPU S7-1200/1500, come azione nella finestra di dialogo "Load preview" è possibile
solo il valore "Consistent download". Questa finestra di dialogo non consente di modificare la
selezione delle parti di programma da caricare. La selezione viene effettuata
automaticamente all'avvio del caricamento in base alla selezione nella navigazione del
progetto.

Finestra di dialogo "Load results"

Dopo il caricamento nella F-CPU viene aperta la finestra di dialogo "Load results". Questa
finestra di dialogo visualizza lo stato e le operazioni necessarie al termine del caricamento.
Controllare se nella finestra di dialogo "Load results" compare il messaggio "Downloading of

safety program completed without error.". In caso contrario, ripetere il caricamento.

10.3.1 Caricamento dei dati di progetto in una F-CPU S7-300/400
10.3.1.1 Caricamento dei dati di progetto in una F-CPU S7-300/400 con Memory Card
(SIMATIC Micro Memory Card o Flash-Card) inserita
Se si caricano i dati di progetto in una F-CPU S7-300/400 con Memory Card (SIMATIC Micro
Memory Card con S7-300 o Flash-Card con S7-400) inserita, osservare la seguente
avvertenza:
AVVERTENZA
Se il test di funzionamento del programma di sicurezza non viene eseguito nella F-CPU di
destinazione, durante il caricamento dei dati di progetto rilevanti per la sicurezza nella
F-CPU con un PG/PC ci si deve attenere alla procedura seguente per garantire che la F-CPU
non contenga dati di progetto rilevanti per la sicurezza "obsoleti":
• Caricare nella F-CPU i dati di progetto rilevanti per la sicurezza.
• Eseguire una identificazione del programma (ossia controllare se le firme collettive F
online e offline coincidono).
• Eseguire una cancellazione totale della F-CPU con il selettore dei modi operativi o con il
PG/PC. Dopo la cancellazione della memoria di lavoro, i dati del progetto vengono
nuovamente trasferiti dalla memoria di caricamento (Memory Card, SIMATIC Micro
Memory Card nella F-CPU S7-300, Flash Card nella F-CPU S7-400) nella memoria di
lavoro. (S022)
10.3.1.2 Caricamento dei dati di progetto in una F-CPU S7-400 senza Flash Card inserita
Se si caricano i dati di progetto in una F-CPU S7-400 senza Flash Card inserita, osservare la
seguente avvertenza:
AVVERTENZA
• Eseguire una cancellazione totale della F-CPU con il selettore dei modi operativi o con il
PG/PC.
online e offline coincidono). (S023)

10.3.1.3 Caricamento dei dati di progetto in un WinAC RTX F

Se si caricano i dati di progetto in un WinAC RTX F, osservare la seguente avvertenza:
AVVERTENZA
Per accertare che nel WinAC RTX F non siano presenti dati di progetto rilevanti per la
sicurezza "obsoleti", durante il caricamento dei dati di progetto rilevanti per la sicurezza nel
WinAC RTX F con un PG/PC è necessario attenersi alla procedura seguente:
1. Eseguire una cancellazione totale del WinAC RTX F (vedere il manuale Windows
Automation Center RTX WinAC RTX (F) 2010
(http://support.automation.siemens.com/WW/view/en/43715176)).
2. Caricare i dati di progetto nel WinAC RTX F.
Se il test di funzionamento del programma di sicurezza non avviene nel WinAC RTX
F di destinazione, è necessario eseguire anche i punti 3. e 4.:
3. Eseguire una identificazione del programma. Ovvero verificare che le firme collettive F
online e offline coincidono.
4. Eseguire l'avviamento del sistema F.
Durante l'identificazione del programma online e l'avviamento del sistema F non chiudere il
WinAC RTX F (ad es. tramite RETE OFF/RETE ON o riavvio). (S024)
10.3.1.4 Caricamento di singoli blocchi F in una F-CPU S7-300/400
Caricamento di singoli blocchi F nel funzionamento di sicurezza disattivato

È possibile caricare contemporaneamente blocchi F e blocchi standard nella F-CPU attraverso
la navigazione del progetto. Tuttavia, non appena i blocchi F devono essere caricati, viene
verificato se la F-CPU si trova nel funzionamento di sicurezza STOP o disattivato. In caso
contrario, è possibile passare al funzionamento di sicurezza disattivata o impostare la F-CPU
su STOP.
Se si desidera caricare singoli blocchi F nella F-CPU, ad es. per testare le modifiche, assicurarsi
di non avere selezionato la cartella "Program blocks" o la F-CPU nella navigazione del
progetto, ma solo i blocchi da caricare.
Solo in questo modo viene richiesto nella finestra di dialogo "Load preview" di disattivare il
funzionamento di sicurezza, dopo che l'opzione "Consistent download" è stata cambiata in
"Download selection" e l'opzione "Stop modules" in "No action".
Se non se ne tiene conto, i blocchi vengono caricati senza disattivare il funzionamento di
sicurezza, il che può causare lo STOP della F-CPU.
In alternativa, il funzionamento di sicurezza può essere disattivato esplicitamente nel Safety
Administration Editor anche prima del caricamento.
Osservare che dopo avere caricato i singoli blocchi F, non è garantito che un programma di
sicurezza coerente sia stato caricato nella F-CPU. Per un programma di sicurezza coerente,
caricare sempre l'intero programma di sicurezza nella F-CPU.

Regole per il caricamento di singoli blocchi F

Per il caricamento di singoli blocchi F valgono le seguenti regole:
• Il caricamento è possibile solo con il funzionamento di sicurezza disattivato o con la F-CPU
in STOP.
• I blocchi F possono essere caricati solo in una F-CPU, nella quale è già stato caricato un
Ne consegue che quando si carica il programma di sicurezza per la prima volta e dopo aver
modificato la password del programma di sicurezza, è possibile caricare solo l'intero
Nota
Se si caricano solo singoli blocchi F, i blocchi in cui vengono richiamati i blocchi di sicurezza
principali (ad es., OB di allarme schedulazione orologio 35) non vengono caricati. Selezionare
l'opzione "Selection" e successivamente i blocchi necessari nella finestra di dialogo
dell'anteprima in "Standard software".
Nota
Il caricamento dei singoli blocchi F è adatto solo per il test dei blocchi F. Prima di passare al
funzionamento produttivo, è necessario caricare in modo coerente il programma di sicurezza
nella F-CPU.
10.3.1.5 Caricamento dei dati di progetto su una Memory Card e inserimento della Memory
Card o del supporto dati
Per il caricamento dei dati di progetto di una F-CPU su una Memory Card (Flash-Card con
S7-400, SIMATIC Micro Memory Card con S7-300), procedere come nel programma standard.
Osservare inoltre la seguente avvertenza:
AVVERTENZA
Se il test di funzionamento del programma di sicurezza non viene eseguito nella CPU di
destinazione, ci si deve accertare che dopo il caricamento dei dati di progetto rilevanti per la
sicurezza sulla Memory Card siano presenti sulla Memory Card i dati di progetto rilevanti per
la sicurezza corretti.
Osservare il seguente procedimento:
1. Caricare i dati di progetto sulla Memory Card.
2. Eseguire una identificazione del programma (Pagina 325).
3. Contrassegnare la Memory Card in modo univoco (ad es. con la firma collettiva F). (S043)

Per inserire una Memory Card (Flash Card con S7-400 o SIMATIC Micro Memory Card con
S7-300) o un supporto dati con WinAC RTX F con dati di progetto di una F-CPU osservare la
AVVERTENZA
destinazione, ci si deve accertare, mediante l'identificazione del programma online o altre
misure idonee (ad es. verificando l'identificativo della Memory Card o del supporto dati
rimovibile), che sulla Memory Card inserita o sul supporto dati rimovibile siano presenti i
dati di progetto rilevanti per la sicurezza corretti. (S025)
Per l'inserimento di una Memory Card (Flash Card con S7-400 o SIMATIC Micro Memory Card
con S7-300) in una F-CPU S7-300/400, osservare la seguente avvertenza:
AVVERTENZA
destinazione, durante l'inserimento della Memory Card ci si deve attenere alla procedura
seguente per assicurare che la F-CPU non contenga dati di progetto rilevanti per la sicurezza
"obsoleti":
• Scollegare la tensione dalla F-CPU e nelle F-CPU con batteria tampone (ad es. la CPU
416F-2) rimuovere la batteria, se presente. (Per assicurarsi che la F-CPU sia priva di
tensione, controllare il tempo di bufferizzazione dell'alimentazione utilizzata oppure, se
questo non è noto, estrarre la F-CPU).
• Estrarre dalla F-CPU la Memory Card con i dati di progetto rilevanti per la sicurezza
obsoleti.
• Inserire nella F-CPU la Memory Card con i nuovi dati di progetto rilevanti per la sicurezza.
• Riattivare la F-CPU e nelle F-CPU con batteria tampone (ad es. la CPU 416F-2) reinserire
l'eventuale batteria precedentemente rimossa.
(S026)

10.3.2 Caricamento dei dati di progetto in una F-CPU S7-1200
10.3.2.1 Caricamento dei dati di progetto in una F-CPU S7-1200 senza scheda di programma
inserita
Se si caricano i dati di progetto in una F-CPU S7-1200 senza scheda di programma inserita,
osservare la seguente avvertenza:
AVVERTENZA

10.3.2.2 Caricamento dei dati di progetto in una F-CPU S7-1200 con scheda di programma
inserita
Se si caricano i dati di progetto in una F-CPU S7-1200 con scheda di programma inserita, è
necessario osservare le seguenti avvertenze:
AVVERTENZA
Se si inserisce una scheda di programma in una F-CPU S7-1200, per accertarsi che la
memoria di caricamento interna della F-CPU non contenga dati di progetto rilevanti per la
sicurezza "obsoleti", ci si deve attenere alla procedura seguente:
1. Controllare se con lo slot vuoto, il LED STOP/RUN (arancione) e il LED di manutenzione
lampeggiano all'avviamento per 3 secondi.
In tal caso la memoria di caricamento interna della F-CPU è già stata cancellata (ad es. se la
F-CPU è già stata utilizzata con una scheda di programma come memoria di caricamento
esterna) ed è possibile saltare il passo 3.
2. Inserire la scheda di programma nella F-CPU.
Se la F-CPU si trova nello stato di funzionamento RUN, passa in STOP. Il LED di
manutenzione sulla F-CPU lampeggia per segnalare che è necessario analizzare la scheda
di programma e/o cancellare la memoria di caricamento interna.
3. Avviare la cancellazione dalla memoria di caricamento interna in uno dei seguenti modi:
– Disinserire e reinserire la F-CPU.
– Commutare la F-CPU da STOP a RUN.
– Eseguire la funzione "Cancellazione totale" (MRES).
Dopo il riavvio e la cancellazione della memoria di caricamento interna il LED STOP/RUN
(arancione) e il LED di manutenzione devono lampeggiare. In questo caso la memoria
di caricamento interna della F-CPU è stata cancellata e non contiene dati di progetto
rilevanti per la sicurezza "obsoleti".
4. Avviare l'analisi della scheda di programma in uno dei seguenti modi:
La CPU esegue un riavvio e analizza la scheda di programma.
In seguito la F-CPU passa allo stato di funzionamento di avviamento (RUN o STOP)
configurato per la F-CPU. (S061)

Nel caso di una F-CPU S7-1200 con SIMATIC Memory Card non inserita e memoria di
caricamento interna cancellata, i LED di stato hanno lo stato descritto nella tabella seguente.
Descrizione STOP/RUN ERROR rosso MAINT arancione

arancione/verde
Memoria di Lampeggio (arancione) Off Lampeggio
caricamento interna (per 3 secondi durante (per 3 secondi durante
cancellata e nessuna l'avviamento) l'avviamento)
SIMATIC Memory Card
inserita.
AVVERTENZA
Se i blocchi F vengono caricati in una F-CPU S7-1200 con scheda di programma inserita
(memoria di caricamento esterna) utilizzando un PG/PC, è necessario verificare che i dati
vengano effettivamente trasferiti nella memoria di caricamento esterna. A tale scopo
adottare le misure seguenti:
• Verificare che il supporto di memoria sia inserito correttamente.
• Inserire una scheda di programma con una capacità di memoria differente da quella della
memoria di caricamento interna. Controllare nella navigazione del progetto sotto "Online
& Diagnostica> Diagnostica > Memoria" se la capacità di memoria visualizzata della
memoria di caricamento coincide con quella della scheda di programma. (S058)
AVVERTENZA

10.3.2.3 Inserimento della scheda di trasferimento in una F-CPU S7-1200

Se si inserisce una scheda di trasferimento in una F-CPU S7-1200, osservare la seguente
avvertenza:
AVVERTENZA
Se si copiano dati di progetto rilevanti per la sicurezza in una F-CPU S7-1200 mediante una
scheda di trasferimento, per accertarsi che la memoria di caricamento interna non contenga
dati di progetto rilevanti per la sicurezza "obsoleti" ci si deve attenere alla procedura
seguente:
1. Controllare se con lo slot vuoto, il LED STOP/RUN (arancione) e il LED di manutenzione
lampeggiano all'avviamento per 3 secondi.
In tal caso la memoria di caricamento interna della F-CPU è già stata cancellata ed è
possibile saltare il passo 3.
2. Inserire la scheda di trasferimento nella F-CPU.
manutenzione sulla F-CPU lampeggia per segnalare che è necessario analizzare la scheda
di trasferimento e/o cancellare la memoria di caricamento interna.
3. Avviare la cancellazione dalla memoria di caricamento interna in uno dei seguenti modi:
Dopo il riavvio e la cancellazione della memoria di caricamento interna il LED STOP/RUN
(arancione) e il LED di manutenzione devono lampeggiare. In questo caso la memoria
di caricamento interna della F-CPU è stata cancellata e non contiene dati di progetto
rilevanti per la sicurezza "obsoleti".
4. Avviare l'analisi della scheda di trasferimento in uno dei seguenti modi (trasferimento dalla
scheda di trasferimento nella memoria di caricamento interna):
Dopo il riavvio e l'analisi della SIMATIC Memory Card, la F-CPU copia i dati di progetto
nella memoria di caricamento interna della F-CPU. Al termine del processo di copia il LED
di manutenzione sulla F-CPU lampeggia per segnalare che la scheda di trasferimento può
essere rimossa.
5. Estrarre la scheda di trasferimento dalla F-CPU.
6. Avviare l'analisi dalla memoria di caricamento interna in uno dei seguenti modi:

Nel caso di una F-CPU S7-1200 con SIMATIC Memory Card non inserita e memoria di
caricamento interna cancellata, i LED di stato hanno lo stato descritto nella tabella seguente.
Descrizione STOP/RUN ERROR rosso MAINT arancione

arancione/verde
Memoria di Lampeggio (arancione) Off Lampeggio
caricamento interna (per 3 secondi durante (per 3 secondi durante
cancellata e nessuna l'avviamento) l'avviamento)
SIMATIC Memory Card
inserita.

10.3.2.4 Caricamento dei dati di progetto di una F-CPU S7-1200 dalla memoria di
caricamento interna a una SIMATIC Memory Card vuota
Se si desidera caricare i dati di progetto dalla memoria di caricamento interna di una F-CPU
S7-1200 su una SIMATIC Memory Card vuota, è necessario osservare la seguente avvertenza:
AVVERTENZA
Per garantire che durante l'inserimento di una SIMATIC Memory Card vuota in una F-CPU
S7-1200 i dati di progetto rilevanti per la sicurezza vengano caricati dalla memoria di
caricamento interna della F-CPU nella SIMATIC Memory Card e che successivamente la
memoria di caricamento interna della F-CPU venga cancellata, attenersi alla procedura
seguente:
1. Assicurarsi che la SIMATIC Memory Card sia vuota, ad es. verificando in Windows Explorer
se la cartella "SIMATIC.S7S" e il file "S7_JOB.S7S" sono stati cancellati.
2. Inserire la SIMATIC Memory Card vuota nella F-CPU.
manutenzione sulla F-CPU lampeggia per segnalare che il programma può essere copiato
dalla memoria di caricamento interna nella SIMATIC Memory Card e che successivamente
la memoria di caricamento interna verrà cancellata.
3. Avviare la copia dalla memoria di caricamento interna nella SIMATIC Memory Card e la
successiva cancellazione della memoria di caricamento interna in uno dei seguenti modi:
Dopo il riavvio e la copia dei dati di progetto dalla memoria di caricamento interna nella
SIMATIC Memory Card e la successiva cancellazione della memoria di caricamento
interna, il LED STOP/RUN (arancione) e il LED di manutenzione devono lampeggiare.
In questo caso la memoria di caricamento interna della F-CPU è stata cancellata e non
contiene più dati di progetto rilevanti per la sicurezza. La SIMATIC Memory Card ora è
una scheda di programma.
4. Avviare l'analisi della scheda di programma in uno dei seguenti modi:
La F-CPU esegue un riavvio e analizza la scheda di programma.
Nota
Osservare anche l'impostazione "Disable copying from internal load memory to external load
memory" nella configurazione HW della F-CPU.

10.3.2.5 Aggiornamento dei dati di progetto di una F-CPU S7-1200 con una scheda di
trasferimento
Se si vogliono aggiornare i dati di progetto di una F-CPU S7-1200 con una scheda di
trasferimento, osservare la seguente avvertenza:
AVVERTENZA
Se si esegue un aggiornamento dei dati di progetto rilevanti per la sicurezza in una F-CPU
S7-1200 mediante una scheda di trasferimento, successivamente è necessario eseguire
un'identificazione del programma per verificare se il trasferimento nella memoria di
caricamento interna è avvenuto correttamente. (S060)
SIMATIC Memory Card
Durante il caricamento dei dati di progetto di una F-CPU su una SIMATIC Memory Card,
procedere come nello standard. Osservare inoltre la seguente avvertenza:
AVVERTENZA
Per inserire una SIMATIC Memory Card con dati di progetto di una F-CPU osservare la
AVVERTENZA

10.3.3 Caricamento dei dati di progetto in una F-CPU S7-1500
10.3.3.1 Caricamento dei dati di progetto in una F-CPU S7-1500

Se si caricano i dati di progetto in una F-CPU S7-1500, osservare la seguente avvertenza:
AVVERTENZA
10.3.3.2 Caricamento dei dati di progetto in un sistema ridondante S7-1500HF

Nel caso di un sistema S7-1500HF ridondante, un programma di sicurezza coerente può
essere caricato solo con il sistema ridondante S7-1500HF in STOP.
Per procedere è necessario osservare una delle avvertenze seguenti:
• Caricamento del sistema ridondante S7-1500HF in STOP.
AVVERTENZA
Se il test di funzionamento del programma di sicurezza non viene eseguito nel sistema di
destinazione ridondante S7-1500HF, durante il caricamento dei dati di progetto rilevanti
per la sicurezza nelle HF-CPU con un PG/PC ci si deve attenere alla procedura seguente
per garantire che le HF-CPU non contengano dati di progetto rilevanti per la sicurezza
"obsoleti":
1. Commutare entrambe le HF-CPU nello stato di funzionamento STOP.
2. Se nel programma di sicurezza precedente non è stata programmata alcuna protezione
contro il (ri)avviamento, (Programmazione protezione avviamento (Pagina 151)), è
necessario formattare la SIMATIC Memory Card o eliminare il programma, ad es. tramite
il display, in entrambe le HF-CPU.
3. Caricare i dati di progetto rilevanti per la sicurezza in una delle due HF-CPU.
4. Commutare la HF-CPU nella quale sono stati caricati i dati di progetto rilevanti per la
sicurezza nello stato di funzionamento RUN.
5. Commutare la seconda HF-CPU nello stato di funzionamento RUN.
6. Non appena viene raggiunto lo stato di funzionamento RUN ridondante, eseguire una
identificazione del programma in una delle due HF-CPU (verificando che le firme
collettive F online e offline coincidono).
Se nel nuovo programma di sicurezza è stata programmata una protezione contro il
(ri)avviamento, questa può essere confermata solo al termine della corretta
identificazione del programma. (S090)

• Caricamento del sistema ridondante S7-1500HF con tempo di STOP ridotto.
AVVERTENZA
Se il test di funzionamento del programma di sicurezza non viene eseguito nel sistema di
destinazione ridondante S7-1500HF, durante il caricamento dei dati di progetto rilevanti
per la sicurezza nelle HF-CPU con un PG/PC ci si deve attenere alla procedura seguente
per garantire che le HF-CPU non contengano dati di progetto rilevanti per la sicurezza
"obsoleti":
1. Commutare una delle due HF-CPU nello stato di funzionamento STOP.
2. Se nel programma di sicurezza precedente non è stata programmata alcuna protezione
contro il (ri)avviamento, (Programmazione protezione avviamento (Pagina 151)),
formattare la SIMATIC Memory Card o eliminare il programma, ad es. tramite il display,
della HF-CPU appena commutata nello stato di funzionamento STOP.
3. Caricare i dati di progetto rilevanti per la sicurezza nella HF-CPU che si trova nello stato
di funzionamento STOP (nella CPU di backup con il comando del menu di scelta rapida
"Download to backup CPU").
4. Commutare la HF-CPU che si trova ancora nello stato di funzionamento RUN nello stato
di funzionamento STOP.
5. Se nel programma di sicurezza precedente non è stata programmata la protezione dal
(ri)avviamento, è necessario formattare la SIMATIC Memory Card o eliminare il
programma, ad es. dal display, nella HF-CPU appena commutata in STOP.
6. Commutare in RUN la HF-CPU con i dati di progetto rilevanti per la sicurezza che sono
stati caricati.
7. Commutare la seconda HF-CPU nello stato di funzionamento RUN.
8. Non appena viene raggiunto lo stato di funzionamento RUN ridondante, eseguire una
identificazione del programma in una delle due HF-CPU (verificando che le firme
collettive F online e offline coincidono).
Se nel nuovo programma di sicurezza è stata programmata una protezione contro il
(ri)avviamento, questa può essere confermata solo al termine della corretta
identificazione del programma. (S091)
10.3.3.3 Caricamento dei dati di progetto in un Software Controller S7-1500 F

Quando si caricano i dati di progetto in un Software Controller S7-1500 F, è necessario
osservare le seguenti avvertenze:
AVVERTENZA

Il seguente avviso è valido per un Software Controller F S7-1500 con firmware ≤ V21.9.x su
IPC 627E, IPC 647E, IPC 677E o IPC 847E:
AVVERTENZA
Dopo il download del programma di sicurezza è necessario eseguire un RETE OFF/ON prima
di procedere all'identificazione del programma per il collaudo. (S097)
AVVERTENZA
Per motivi di sicurezza, la password dei Software Controller S7-1500 F viene salvata, oltre
che nella memoria di caricamento, anche in una memoria separata.
Diversamente dalla memoria di caricamento, questa memoria separata non viene mai
cancellata. Dopo l'eliminazione dei dati di progetto dal Software Controller S7-1500 F e un
avviamento, le password precedenti sono quindi nuovamente attive.
• Nei seguenti scenari di caricamento della stazione PC, i dati di progetto del Software
Controller S7-1500 F vengono eliminati:
– Caricamento di una stazione PC con assegnazione delle interfacce modificata.
– Caricamento di una stazione PC con percorso di salvataggio modificato dei dati
ritentivi.
• Si consiglia di configurare la protezione di accesso F solo dopo la messa in servizio. In
caso di modifica dell'assegnazione delle interfacce della stazione PC o del percorso di
salvataggio dei dati ritentivi, durante il successivo caricamento del Software Controller
S7-1500 F non sarà necessario inserire la password F.
• Si consiglia di rimuovere la protezione di accesso F per i Software Controller S7-1500 F
non più utilizzati. Nel caso in cui questi Software Controller S7-1500 F vengano
riutilizzati successivamente e non si ricordi la password F, sarà necessario procedere alla
disinstallazione/installazione/riparazione o all'importazione di una immagine per
rimuovere la password. (S076)
Vedere anche
Caricamento dei dati di progetto (Pagina 295)
Software Controller (http://support.automation.siemens.com/WW/view/it/109249299)

SIMATIC Memory Card o del supporto dati
Durante il caricamento dei dati di progetto di una (H)F-CPU su una SIMATIC Memory Card,
procedere come nel programma standard. Osservare inoltre la seguente avvertenza:
AVVERTENZA
Quando si inserisce una SIMATIC Memory Card o un supporto dati Software Controller
S7-1500 F con i dati di progetto di una (H)F-CPU, osservare la seguente avvertenza:
AVVERTENZA

Inserimento di SIMATIC Memory Card in un sistema ridondante S7-1500HF
AVVERTENZA
Durante l'inserimento di due nuove SIMATIC Memory Card con nuovi dati di progetto
rilevanti per la sicurezza per un sistema ridondante S7-1500HF procedere nel modo
seguente:
2. Sostituire le SIMATIC Memory Card di entrambe le HF-CPU con
– due SIMATIC Memory Card, ciascuna con nuovi dati di progetto rilevanti per la
sicurezza oppure
– una SIMATIC Memory Card contenente i nuovi dati di progetto rilevanti per la
sicurezza e una SIMATIC Memory Card vuota
Procedura per garantire che i dati di progetto rilevanti per la sicurezza siano corretti basata
sull'identificazione del programma online:
1. Verificare su entrambe le HF-CPU in stato di funzionamento STOP, ad es. tramite il display,
se la SIMATIC Memory Card contiene i dati di progetto rilevanti per la sicurezza corretti e se
la seconda SIMATIC Memory Card è vuota.
2. Se la verifica ha un esito positivo, commutare le HF-CPU nello stato di funzionamento RUN.
Se i nuovi dati di progetto rilevanti per la sicurezza sono presenti solo in una SIMATIC
Memory Card, commutare nello stato di funzionamento RUN prima la HF-CPU con i nuovi
dati di progetto rilevanti per la sicurezza e poi la HF-CPU con la SIMATIC Memory Card
vuota.
Procedura per garantire che i dati di progetto rilevanti per la sicurezza siano corretti basata
sull'identificazione univoca delle SIMATIC Memory Card:
1. Portare le F-CPU in RUN. Se i nuovi dati di progetto rilevanti per la sicurezza sono presenti
solo in una SIMATIC Memory Card, commutare nello stato di funzionamento RUN prima la
HF-CPU con i nuovi dati di progetto rilevanti per la sicurezza e poi la HF-CPU con la SIMATIC
Memory Card vuota. (S092)

AVVERTENZA
Durante l'inserimento di una nuova SIMATIC Memory Card con nuovi dati di progetto
rilevanti per la sicurezza per un sistema ridondante S7-1500HF procedere nel modo
seguente:
2. Estrarre la SIMATIC Memory Card da una delle due HF-CPU.
3. Formattare la SIMATIC Memory Card o eliminare il programma, ad es. tramite display, sulla
HF-CPU nella quale l'estrazione della scheda non è ancora avvenuta.
4. Inserire nella HF-CPU senza SIMATIC Memory Card la SIMATIC Memory Card con i nuovi dati
di progetto rilevanti per la sicurezza.
5. Se non è possibile garantire con altre misure idonee (ad es. mediante l’identificazione
univoca della SIMATIC Memory Card) che la SIMATIC Memory Card contenga i dati di
progetto rilevanti per la sicurezza corretti, è necessario eseguire una identificazione del
programma sulla HF-CPU con i nuovi dati di progetto rilevanti per la sicurezza.
6. Commutare in RUN la HF-CPU nella quale sono stati caricati i nuovi dati di progetto rilevanti
per la sicurezza.
7. Commutare la seconda HF-CPU nello stato di funzionamento RUN. (S093)
10.3.4 Ripristino del programma di sicurezza salvato di una F-CPU

È possibile eseguire il backup di una F-CPU come di una CPU standard e quindi ripristinarla.
Per ulteriori informazioni consultare la Guida a STEP 7 in "Creazione della copia di backup di
una CPU S7". Il backup di una F-CPU S7-400 può essere eseguito solo con una scheda Flash
inserita.
Durante il ripristino del software e della configurazione hardware di una F-CPU osservare le
seguenti avvertenze:
AVVERTENZA
Dopo il ripristino di una copia di backup di una F-CPU deve essere eseguita l'identificazione
del programma.
In un sistema S7-1500HF ridondante l'identificazione del programma deve essere eseguita
nello stato di funzionamento RUN ridondante. (S055)
Nota
Si raccomanda di utilizzare la firma collettiva F contenuta nel nome del file di backup per
l'identificazione del programma. In questo caso non è possibile modificare il nome della firma
collettiva F.

AVVERTENZA
(S7-1200/1500) Se più F-CPU con server Web attivato sono raggiungibili dallo stesso PG/PC,
occorre adottare allora delle misure aggiuntive per assicurare che il programma di sicurezza
venga ripristinato nella F-CPU corretta.
Utilizzare la password specifica della CPU per l'autorizzazione "F-Admin" nel server Web.
Scegliere ad es. per ciascuna F-CPU una password univoca contenente l'indirizzo IP (ad es.
password_192.168.0.8). (S065)
Nota
Durante il ripristino è eventualmente necessario inserire la password precedente per la F-CPU.
10.3.5 Particolarità per la creazione e l'importazione di immagini di un Software

Controller S7-1500 F
Creazione di una immagine
AVVERTENZA
Durante la creazione di una immagine con dati di progetto rilevanti per la sicurezza
osservare i seguenti punti:
• L'accesso al Software Controller S7-1500 F deve essere riservato, tramite misure
organizzative (Pagina 611), solo a persone autorizzate a creare le immagini.
• Prima di creare l'immagine, si deve verificare tramite l'identificazione del programma se i
dati di progetto rilevanti per la sicurezza presenti nel Software Controller S7-1500 F sono
corretti.
• Immagini con i dati di progetto rilevanti per la sicurezza devono essere create su un
supporto dati vuoto (cancellato o formattato) oppure una immagine eventualmente
presente deve essere eliminata in modo esplicito.
• Dopo la creazione dell'immagine rimuovere il supporto dati che la contiene.
• Contrassegnare il supporto dati in modo univoco (ad es. con la firma collettiva F). (S073)
ATTENZIONE
Se i dati di progetto rilevanti per la sicurezza contenuti nell'immagine sono diversi dai dati di
progetto rilevanti per la sicurezza contenuti nel S7-1500 Software Controller F, il
programma di sicurezza importato non si avvia. In questo caso si devono ricaricare i dati di
progetto nella F-CPU. Ad es. con TIA Portal. Pertanto, è necessario mantenere sempre
aggiornati i backup delle immagini.
Così come è possibile eseguire un programma di sicurezza da un'altra scheda CFast, è anche
possibile eseguire l'immagine creata da un altro dispositivo o da un altro supporto dati.

Importazione di una immagine
AVVERTENZA
Durante l'importazione di una immagine con dati di progetto rilevanti per la sicurezza
osservare i seguenti punti:
• L'accesso al Software Controller S7-1500 F deve essere riservato, tramite misure
organizzative (Pagina 611), solo a persone autorizzate a importare le immagini.
• Occorre prevedere una protezione di accesso (ad es. tramite i diritti di amministratore di
Windows (ADMIN)) per l'importazione di una immagine via LAN, mediante accesso
remoto o altri tipi di accesso equivalenti. Assicurarsi però che solo persone autorizzate
vengano configurate come utenti.
• Per garantire che l'immagine venga scritta nel Software Controller S7-1500 F corretto,
accertarsi che durante l'importazione dell'immagine via LAN sia raggiungibile solo un
Software Controller S7-1500 F. Ad es. rimuovendo i collegamenti fisici e le possibilità di
routing con altri Software Controller S7-1500 F.
• Assicurarsi che l'immagine contenga i dati di progetto rilevanti per la sicurezza corretti,
ad es. identificando in modo univoco il supporto dati.
• Dopo l'importazione nel Software Controller S7-1500 F eliminare l'immagine e le
eventuali copie.
• Dopo l'importazione dell'immagine verificare tramite l'identificazione del programma, ad
es. tramite il display, se il Software Controller S7-1500 F contiene i dati di progetto
rilevanti per la sicurezza corretti. (S074)
10.3.6 Caricamento dei dati di progetto (compresi quelli rilevanti per la sicurezza)
da una F-CPU in un PG/PC (S7-1500)
La funzione "Upload from device (software)" o "Upload device as new station (hardware and
software)" è possibile per le F-CPU S7-1500 solo se nel Safety Administration Editor è attivata
l'opzione "Enable consistent upload from the F-CPU" per la F-CPU e successivamente i dati di
progetto sono stati caricato sulla F-CPU.
Per caricare i dati di progetto (compresi quelli rilevanti per la sicurezza) in un PG/PC procedere
come nel programma standard.
Se più F-CPU sono raggiungibili dallo stesso PG/PC tramite un rete (ad es. Industrial Ethernet),
occorre assicurarsi che i dati di progetto vengano caricati nella F-CPU corretta. Ad es. con
"Online & diagnostics" > "Online accesses " > "Flash LED".

Dopo il caricamento dal dispositivo, è possibile procedere come con un progetto creato
offline.
AVVERTENZA
Se si esegue un collaudo con i dati di progetto caricati nel PG/PC o si vogliono modificare i
dati di progetto rilevanti per la sicurezza, prima del caricamento occorre assicurarsi che il
programma di sicurezza sia eseguibile.
Questa condizione è soddisfatta se, prima del caricamento, la F-CPU si trova nello stato di
funzionamento RUN e il funzionamento di sicurezza è attivo, oppure è possibile commutare
la F-CPU in RUN. Se la F-CPU rimane in STOP non si deve eseguire il collaudo o apportare
modifiche con i dati di progetto rilevanti per la sicurezza caricati.
Se si effettua il caricamento di una scheda di memoria, questa deve essere stata
precedentemente inserita in una CPU S7-1500 adatta. In questo caso si applicano le stesse
condizioni previste per il caricamento da una F-CPU. (S080)
I singoli blocchi F possono essere caricati in un PG/PC indipendentemente dall'opzione

"Enable consistent upload from the F-CPU".
I singoli blocchi con protezione del know-how non possono essere caricati nel PG-PC.
A partire da STEP 7 Safety V18 è possibile caricare i dati di progetto da una scheda di memoria
come nuova stazione (hardware e software) e come dispositivo (software).
Vedere anche
Area "Settings" (Pagina 87)
Caricamento dei dati di progetto (compresi quelli rilevanti per la sicurezza) da una scheda di
memoria in un PG/PC (S7-1500) (Pagina 318)
10.3.7 Caricamento dei dati di progetto (compresi quelli rilevanti per la sicurezza)
da una scheda di memoria in un PG/PC (S7-1500)
La funzione "Upload from device (software)" o "Upload device as new station (hardware and
software)" è utilizzabile per le F-CPU S7-1500 solo se è stata attivata nel Safety
Administration Editor l'opzione "Enable consistent upload from the F-CPU" per la F-CPU e se i
dati di progetto sono stati in seguito caricati nella F-CPU.
Per caricare i dati di progetto (compresi quelli rilevanti per la sicurezza) in un PG/PC procedere
come nel programma standard.

Dopo il caricamento dalla scheda di memoria si può procedere come per i progetti creati
offline.
AVVERTENZA
Se si esegue un collaudo con i dati di progetto caricati nel PG/PC o si vogliono modificare i
dati di progetto rilevanti per la sicurezza, prima del caricamento occorre assicurarsi che il
programma di sicurezza sia eseguibile.
Questa condizione è soddisfatta se, prima del caricamento, la F-CPU si trova nello stato di
funzionamento RUN e il funzionamento di sicurezza è attivo, oppure è possibile commutare
la F-CPU in RUN. Se la F-CPU rimane in STOP non si deve eseguire il collaudo o apportare
modifiche con i dati di progetto rilevanti per la sicurezza caricati.
Se si effettua il caricamento di una scheda di memoria, questa deve essere stata
precedentemente inserita in una CPU S7-1500 adatta. In questo caso si applicano le stesse
condizioni previste per il caricamento da una F-CPU. (S080)
Vedere anche
Area "Settings" (Pagina 87)
10.3.8 Caricamento della stazione PC tramite il file di configurazione

È possibile salvare la configurazione impianto del sistema PC in un file di configurazione,
trasportarlo e caricarlo in un sistema di destinazione. L'intera configurazione della stazione PC
viene salvata dal TIA Portal in un file di configurazione con estensione *.psc.
Il salvataggio e il caricamento del file di configurazione viene supportato da:
• STEP 7 Safety V15
• Software Controller S7-1500 F V2.5
Esempio
Un esempio dettagliato è disponibile in Internet

Parametri di identificazione
I parametri di identificazione comprendono:
• Nome file
• Informazioni nel progetto e nella stazione che vengono memorizzate dal TIA Portal nel file
psc nelle metainformazioni.
Ad es.:
– Versione del progetto
– Sigla impianto
– Commento della stazione
Salvare i parametri di identificazione eventualmente in un file che si memorizza nel sistema di
destinazione.
Per valutare e controllare questi parametri di identificazione tramite script, è necessario
memorizzare queste informazioni direttamente nello script o, se necessario, salvare i
parametri di identificazione in un file separato memorizzato sul sistema di destinazione,
10.3.8.1 Creazione del file di configurazione

1. Creare nel TIA Portal un file di configurazione con "Project > Memory Card file > New > PC
system configuration file (.psc)".
Il file di configurazione viene creato nella navigazione del progetto in "Card Reader/USB
memory".
2. Controllare nel Safety Administration Editor tramite la firma collettiva F che si stia
selezionando il progetto/la stazione corretti.
3. Trascinare con il mouse la stazione PC selezionata sul file di configurazione.
Questa operazione carica la stazione PC nel file di configurazione.
AVVERTENZA
Invece dell'identificazione del programma online è possibile utilizzare anche una

denominazione univoca del file di configurazione *.psc (PC Station Configuration) per
garantire che il file di configurazione contenga i dati di progetto rilevanti per la sicurezza
corretti.
Inoltre, per la creazione di un file di configurazione va osservato quanto segue:
Quando si crea un file di configurazione con i dati di progetto rilevanti per la sicurezza non si
deve sovrascrivere un file eventualmente già esistente. Il file deve essere creato ex novo.
Inoltre, i file di configurazione con dati di progetto rilevanti per la sicurezza errati devono
essere eliminati dalla gestione dati.
L'accesso al file di configurazione (*.psc) deve essere riservato, tramite misure organizzative
(Pagina 611), solo alle persone autorizzate all'importazione e alla modifica del file di
configurazione. (S081)

10.3.8.2 Importazione del file di configurazione

Sono disponibili le seguenti opzioni per l'importazione del file di configurazione:
• Tramite il menu del PC Station Panel (Importa file di configurazione)
• Tramite uno script
Importazione tramite il menu del PC Station Panel
Requisiti
Se si desidera avviare l'importazione del file di configurazione tramite il menu del PC Station
Panel di un S7-150xS(P) F, l'utente esecutore deve appartenere al gruppo di utenti Windows
"Failsafe Operators".
Procedura
AVVERTENZA
Se l'importazione è stata eseguita correttamente viene emessa una risposta positiva. In

assenza di una risposta positiva, si deve presupporre che l'importazione non sia riuscita e
che i dati di progetto rilevanti per la sicurezza obsoleti siano ancora presenti.
Durante l'importazione di un file di configurazione di una stazione PC contenente dati di
progetto rilevanti per la sicurezza tramite il menu del Panel osservare quanto segue:
• Accertarsi di avere selezionato il file di configurazione desiderato verificando il nome
univoco del file.
• Per garantire che il file venga importato nel Software Controller S7-1500 F corretto,
accertarsi che durante l'importazione del file di configurazione via LAN venga raggiunto il
Software Controller S7-1500 F corretto. A questo scopo adottare una delle misure
seguenti:
– Rimuovere i collegamenti fisici e le possibilità di routing con altri Software Controller
S7-1500 F.
– Utilizzare nomi univoci per i PC e assegnare login utente univoci o utilizzare altri
metodi di identificazione. (S084)

Importazione tramite script
AVVERTENZA
Utilizzando i parametri di identificazione impostati, controllare nello script se l'importazione

del file di configurazione è consentita per il rispettivo sistema di destinazione (ad es.
mediante l'analisi del nome della F-CPU, del nome del progetto o della sigla impianto).
Inoltre può essere necessaria o utile anche una verifica della rispettiva istanza del sistema di
destinazione, ovvero una verifica diversitaria dell'indirizzo e/o una verifica della versione del
file di configurazione, ad es. considerando solo le versioni più recenti o escludendo
determinate versioni (blacklist). Queste informazioni devono essere prima salvate nel
sistema di destinazione.
Esempio di verifica dell'ammissibilità delle rispettive versioni:
• Lo script analizza le informazioni relative alla versione e ad es. consente solo l'utilizzo dei
file di configurazione con la versione più recente.
Il costruttore della macchina deve assicurarsi che lo script sia protetto contro la
manipolazione (modifica non autorizzata del contenuto o del nome).
Se il costruttore della macchina si limita a mettere a disposizione i file di configurazione,
deve adottare delle misure tecniche (verifiche avanzate dello script) e formare gli operatori
della macchina per assicurare che non venga importato un file di configurazione errato.
(S082)
Lo script controlla:
• Uguaglianza dell'identificativo macchina
• Identificazione versione più grande di quella attuale. In questo caso, la nuova versione
viene scritta nel file txt.
• Numero di istanza

Nell'immagine seguente è riportata una rappresentazione sistematica del controllo del file di
configurazione nello script utilizzando i parametri di identificazione memorizzati in un file
separato (in viola nell'immagine seguente):

AVVERTENZA
Per stabilire se i dati di progetto rilevanti per la sicurezza sono stati importati correttamente
tramite lo script è necessario analizzare il rispettivo valore di ritorno (0x51A3). Se il valore di
ritorno corrispondente non viene restituito dal comando di script PCSystem_Control,
l'importazione non è riuscita e i dati di progetto rilevanti per la sicurezza obsoleti potrebbero
essere ancora presenti.
Per accertarsi che il valore di ritorno non provenga dall'ultima importazione, prima di
procedere con l'importazione del valore di ritorno è necessario resettarlo a 0x3FF
(immettere "PCSystem_Control /ImportConfig" senza un nome di file), quindi verificare se il
valore di ritorno è stato resettato a 0x3FF (inserire "PCSystem_Control /GetStatus
/ImportConfig" e in seguito "echo %errorlevel%". Questa istruzione deve restituire il valore di
ritorno 0x3FF).
Se l'importazione viene avviata da un server, deve avvenire anche una risposta indicante il
valore di ritorno positivo.
Al fine di garantirne la tracciabilità si consiglia di salvare l'importazione in un file di
protocollo.
In caso di importazione manuale del file di configurazione tramite la riga di comando di
Windows (mediante il comando di script) è necessario:
• Resettare e verificare il valore di ritorno a 0x3FF prima dell'importazione (vedere la
spiegazione precedente).
– Eseguire l'importazione.
– Analizzare il valore di ritorno (immettere "PCSystem_Control /GetStatus
/ImportConfig" e in seguito "echo %errorlevel%". Questa istruzione deve restituire il
valore di ritorno 0x51A3).
• Eseguire l'importazione.
– Eseguire una identificazione manuale del programma ad es. dal display della F-CPU.
(S083)
Nota
Il valore di ritorno positivo quando si importa un file di configurazione tramite script è
"0x51A3" per un Software Controller S7-1500 F, a differenza del S7-1500 Software Controller
in cui è "0x0000".
Quando si importa il file tramite script, l'autorizzazione deve essere trasferita allo script. Ciò
significa che l'utente esecutore non ha bisogno di un'autorizzazione superiore, poiché lo
script che gli è stato fornito dal costruttore della macchina contiene le autorizzazioni
necessarie (gruppo di utenti "Failsafe Operators").
L'assegnazione dei diritti tramite script avviene assegnando il servizio Windows al gruppo di
utenti corrispondente. Questa installazione iniziale deve essere eseguita preventivamente
dall'amministratore di Windows su ciascun computer con S7-150xS(P) F. Il servizio Windows
può essere chiamato dall'utente che lo esegue e il servizio Windows esegue lo script.

10.4 Identificazione del programma
10.4 Identificazione del programma

Con l'identificazione del programma si stabilisce se i dati di progetto rilevanti per la sicurezza
caricati nella F-CPU sono corretti. A tal fine, confrontare le firme collettive F e l'assegnazione
del diritto "F-Admin" online con un valore atteso. Il valore atteso può essere, ad es., la firma
collettiva F offline dal Safety Administration Editor o dalla stampa di sicurezza. Controllare
l'assegnazione del diritto "F-Admin" nel Safety Administration Editor.
Adottare misure organizzative per assicurarsi che non vengano caricati dati di progetto
rilevanti per la sicurezza da altri TIA Portal (in un altro PG/PC) mentre è in corso
l'identificazione del programma.
Con Safety Administration Editor

Per l'identificazione del programma con il Safety Administration Editor, procedere nel modo
seguente:
1. Aprire il Safety Administration Editor della F-CPU da controllare.
2. Eseguire un collegamento online con la F-CPU da controllare.
3. Configurare la firma complessiva F visualizzata online con il valore atteso nell'area "General".
4. Controllare se il programma offline e il programma online sono coerenti (Pagina 369).
5. Controllare se nella colonna "Status" e "Version comparison" viene visualizzato il simbolo
verde.
6. Controllare nell'area "Web server F-admins" se gli utenti autorizzati offline e online hanno il
diritto di "F-Admin".
Con HMI
Per una identificazione del programma con HMI, procedere nel modo seguente:
1. Leggere la firma collettiva F del programma di sicurezza dalla variabile F_PROG_SIG del
F-global DB (Pagina 149) (S7-300, S7-400) o dalla variabile F_SYSINFO.F_PROG_SIG del
F-runtime group information DB (Pagina 149) (S7-1200, S7-1500).
2. Confrontare il valore della variabile F_PROG_SIG con il valore atteso.

10.5 Confronto dei programmi di sicurezza
Con il display di una F-CPU S7-1500

Per una identificazione del programma con il display di una F-CPU, procedere nel modo
seguente:
1. Navigare nel menu del display a "Overview > Fail-safe".
2. Confrontare la firma collettiva F visualizzata con il valore atteso.
Con il server Web di una F-CPU S7-1200/1500

Per una identificazione del programma con il server web di una F-CPU S7-1200/1500,
procedere nel modo seguente:
1. Leggere la firma collettiva F dalla pagina iniziale del server web.
2. Confrontare la firma collettiva F visualizzata con il valore atteso.
Vedere anche
Safety Administration Editor (Pagina 77)
Confronto dei programmi di sicurezza come nel programma standard

I programmi di sicurezza possono essere confrontati con l'editor di confronto in STEP 7
offline-online oppure offline-offline. Il procedimento corrisponde a quello dei programmi
utente standard. Per eseguire il confronto dei programmi di sicurezza, viene confrontato
anche il contenuto dei blocchi F. In questo modo il confronto offline-offline può essere
utilizzato anche per un collaudo di una modifica (Pagina 372). Per attivare il confronto,
attivare il criterio di confronto "Safety" e disattivare tutti gli altri criteri di confronto.
Nota
L'editor di confronto non può essere utilizzato per il riconoscimento delle modifiche offline-
online nel programma di sicurezza/nella progettazione della periferia F durante il collaudo
delle modifiche. Per questa operazione è adatto solo il confronto offline-offline. Per il
collaudo delle modifiche procedere come descritto in Collaudo delle modifiche (Pagina 372).

Risultato del confronto tra programmi di sicurezza

La rappresentazione del risultato del confronto è identica a quella di STEP 7.
Facendo clic sul lato sinistro dell'editor di confronto nella cartella "Program blocks" è possibile
visualizzare la firma collettiva F del programma di sicurezza sotto la voce "Comparison result".
Inoltre viene indicato se il programma di sicurezza è coerente.
Facendo clic su un blocco F è possibile visualizzare, oltre alle informazioni standard, le

rispettive firme e firme di interfaccia.
Nota
Se durante il confronto offline-online il collegamento con la F-CPU viene interrotto, il risultato
del confronto non è corretto.

Opzioni di filtro durante il confronto

La configurazione di filtri nell'editor di confronto consente di limitare il risultato del confronto
ai seguenti gruppi di blocchi:
• Compare only F-blocks
• Compare only F-blocks relevant for certification
• Compare only standard blocks
Inoltre sono disponibili le due opzioni di filtraggio "Show only objects with differences" e
"Show identical and different objects" di STEP 7 .
Per il confronto dei programmi di sicurezza sono rilevanti anche i blocchi F nella cartella
"System blocks".
Criteri di confronto
Accertarsi che in sia attivato solo il criterio di confronto "Safety".
Assegnazione delle modifiche visualizzate

Indipendentemente dal fatto che sia stato eseguito un confronto online-online o un
confronto offline-offline, la causa delle modifiche visualizzate dei blocchi F generati
automaticamente può risiedere nelle modifiche seguenti:
• Modifica del tempo di ciclo massimo del gruppo di esecuzione F e soglia di avviso del
tempo di ciclo F del gruppo di esecuzione F
• (S7-1200/1500) Timeout del funzionamento di sicurezza disattivato
• Modifica dei parametri F della F-CPU
• Versione del sistema Safety modificata o modifica nella configurazione hardware
(S7-1200/1500: visualizzata come modifica del blocco "F_SystemInfo_DB").
• (S7-1200/1500) Modifiche della struttura dei gruppo di blocchi F. Queste modifiche sono
visualizzate come modifiche del blocco "F_SystemInfo_DB".
• (S7-300/400) Modifica della comunicazione del gruppo di esecuzione F, ad es. modifica
del numero di un DB per la comunicazione del gruppi di esecuzione F
• Modifica del blocco Main Safety o degli F-FB, F-FC, F-DB
• Modifica della configurazione hardware della periferia F attivata nel programma di
sicurezza
Può accadere che un blocco venga visualizzato come modificato ma che il confronto
dettagliato del contenuto del blocco non evidenzi alcuna modifica. Non si tratta di un
problema di visualizzazione; significa che esistono delle modifiche, ad es. degli indirizzi nella
tabella delle variabili, che hanno effetto su questo blocco. In caso di dubbi controllare il
blocco.

10.6 Creazione della stampa di sicurezza
Documentazione del risultato del confronto

Il risultato del confronto può essere stampato con "Project > Print" nella barra dei menu o con
il simbolo "Stampa" nella barra degli strumenti oppure salvato in un file PDF. Selezionare
"Print objects/area" "All" e "Properties" "All".
Dopo la stampa accertarsi che tutte le pagine siano complete. Le stampe incomplete (ad es.
righe mancanti, difetti di stampa dovuti alla mancanza di inchiostro) non possono essere
utilizzate per il collaudo delle modifiche.

Tutti i dati importanti del progetto (configurazione hardware della F-CPU e della periferia F,
programma di sicurezza) possono essere documentati nella stampa di sicurezza. Come
risultato si ottiene una stampa di sicurezza utilizzabile, oltre che come documentazione,
anche come base per la verifica della correttezza dei singoli componenti dell'impianto. La
correttezza è un requisito per il collaudo dell'impianto.
La firma collettiva F nel piè di pagina delle pagine stampate garantisce che la stampa sia
assegnata in modo univoco a un programma di sicurezza.
Stampa di sicurezza
La stampa di sicurezza è la documentazione dei dati di progetto rilevanti per la sicurezza, che
forniscono un supporto durante il collaudo dell'impianto. La "stampa di sicurezza" può essere
utilizzata anche in formato digitale, ad es. come file PDF.
Procedura per la creazione di una stampa di sicurezza

Per creare una stampa di sicurezza procedere nel modo seguente:
1. Selezionare nella navigazione del progetto il Safety Administration Editor della F-CPU per la
quale si vuole creare una stampa di sicurezza.
2. Selezionare "Print" nel menu di scelta rapida, "Project > Print" nella barra dei menu oppure il
simbolo di stampa nella barra degli strumenti.
Viene visualizzata una finestra di dialogo che consente di configurare il layout della
stampa e specificare cosa dovrà essere stampato (tutto/sottoinsieme).
3. Sotto "Document information" selezionare uno dei formati ISO, ad es.
"DocuInfo_ISO_A4_Portait".
4. Attivare l'opzione "All" se nella stampa dovranno essere riportati i blocchi F e i tipi di dati PLC
conformi a F. Questo è necessario ad esempio quando deve essere documentato il codice di
programma per il collaudo (vedere Collaudo dell'impianto (Pagina 355)). Attivare l'opzione
"Compact" se non si desidera stampare il codice sorgente.
5. Attivare il pulsante "Print".
Come risultato si otterrà la stampa di sicurezza per la F-CPU.
Dopo la stampa accertarsi che tutte le pagine siano complete. Le stampe incomplete (ad es.
righe mancanti, difetti di stampa dovuti alla mancanza di inchiostro) non possono essere
utilizzate per il collaudo.

Contenuti della stampa in sintesi

Di seguito sono riepilogati i contenuti riportati nella stampa:
• Informazioni generali relative all'identificazione del programma, firme, protezione di
accesso, impostazioni del programma di sicurezza (dall'area di lavoro ""Settings"" del
Safety Amministrazione Editor), ad es. versione del sistema Safety.
• Elementi della biblioteca di sistema utilizzati nel programma di sicurezza (dalla task card
"Instructions") con le relative versioni
• Informazioni sui gruppi di esecuzione F (ad es. soglia di avviso tempo di ciclo gruppo di
esecuzione F, tempo di ciclo max. del gruppo di esecuzione F)
• Elenco dei blocchi F nella cartella "Program blocks" (ad es. nome, funzione, gruppo di
esecuzione F associato, firma)
• (S7-1200, S7-1500) Elenco dei blocchi F con know-how protetto utilizzati nel programma
di sicurezza (ad es. nome, firma, versione del sistema Safety utilizzata, versioni delle
istruzioni utilizzate e blocchi F richiamati).
• (S7-1200, S7-1500) Elenco dei tipi di dati PLC conformi a F (UDT), se presenti nel
• Dati del programma utente standard valutati nel programma di sicurezza
• Parametri dei blocchi della comunicazione di sicurezza CPU-CPU
• (S7-300, S7-400) Indirizzi assoluti e nomi delle variabili del DB globale F al quale è
possibile accedere dal programma utente standard
• Informazioni sulla F-CPU utilizzata (ad es. versione firmware, indirizzo di origine F)
Informazioni sulla periferia F utilizzata (ad es. versione firmware, parametri generali e
specifici)
• Informazioni sulla stampa (data di stampa, numero di pagine)
Contenuto del piè di pagina della stampa

Il piè di pagina della stampa permette di verificare:
• se i dati di progetto rilevanti per la sicurezza stampati sono coerenti e se tutte le pagine
della stampa si riferiscono allo stesso programma di sicurezza e alla stessa versione (la
stessa firma collettiva F nel piè di pagina di ciascuna pagina indica che la stampa è
associata al programma di sicurezza con questa firma collettiva F)
Il piè di pagina viene inserito anche nel codice sorgente dei blocchi F solo se durante la
stampa del programma di sicurezza è stata attivata l'opzione "All".
Se i blocchi F vengono stampati in altri modi, il piè di pagina non è presente e non è possibile
determinare se nella stampa è riportato lo stato attuale del programma di sicurezza.
Stampa di un progetto migrato

È possibile stampare una stampa di sicurezza di un progetto migrato da S7 Distributed Safety
V5.4 SP5 solo se il progetto è stato compilato con STEP 7 Safety Advanced e quindi è stata
acquisita la nuova struttura di programma dei programmi di sicurezza (blocco Main Safety). In
caso contrario la stampa non è possibile e viene emesso un corrispondente messaggio di
errore.
Si consiglia di creare una stampa di sicurezza del progetto in S7 Distributed Safety V5.4 SP5
prima della migrazione.

10.7 Test del programma di sicurezza
10.7.1 Panoramica del test del programma di sicurezza
Test funzionale completo oppure test delle modifiche

Dopo la creazione di un programma di sicurezza occorre eseguire un test funzionale completo
in base al compito di automazione da svolgere.
Se sono state apportate delle modifiche ad un programma di sicurezza già completamente
testato, è sufficiente testare le modifiche e verificare l'assenza di effetti di retroazione sulle
parti non modificate del programma di sicurezza.
Supervisione
Le funzioni di test in lettura (ad es. controllo delle variabili del programma di sicurezza) sono
disponibili per i programmi di sicurezza come nel programma standard.
Comando
Le funzioni di test in scrittura (ad es. comando delle variabili del programma di sicurezza)
sono disponibili solo in modo limitato per i programmi di sicurezza e solo quando il
funzionamento di sicurezza è disattivato.
Simulazione tramite S7-PLCSIM

È possibile testare il programma di sicurezza con S7-PLCSIM. S7-PLCSIM può essere utilizzato
come nei programmi utente standard.
Per avviare la simulazione eseguire il comando di menu "Online > Simulation > Start" in
S7-PLCSIM.
Regole per il test

• Il forzamento degli ingressi e delle uscite della periferia F non è consentito.
• Il comando delle uscite della periferia F in combinazione con la funzione "Enabling F-I/O
output" non è consentito.
• L'impostazione dei punti di arresto nel programma utente standard causa errori nel
programma di sicurezza (vedere anche Test del programma di sicurezza (Pagina 337)).
• Le modifiche della progettazione della periferia F o della comunicazione di sicurezza CPU-
CPU possono essere testate solo dopo il salvataggio e il caricamento della configurazione
hardware e la compilazione e il caricamento nella F-CPU.
Vedere anche
disattivazione del funzionamento di sicurezza (Pagina 333)

10.7.2 Funzionamento di sicurezza disattivato

Dopo un passaggio da STOP a RUN, il programma di sicurezza nella F-CPU viene sempre
eseguito nel funzionamento di sicurezza, ovvero con tutte le misure di controllo degli errori
attivate. In questo stato non è possibile una modifica del programma di sicurezza durante
l'esercizio (RUN). Per comandare ad es. le variabili del programma di sicurezza in RUN è
necessario disattivare il funzionamento di sicurezza del programma di sicurezza. Il
funzionamento di sicurezza resta disattivato fino alla successiva commutazione STOP/RUN
della F-CPU.
A partire dalla versione V2.4 del sistema Safety, nelle F-CPU S7-1200/1500 è configurato un
limite temporale per il funzionamento di sicurezza disattivato.
Trascorso il limite temporale configurato, la F-CPU o il sistema ridondante S7-1500HF passa
automaticamente in STOP. Nel buffer di diagnostica della F-CPU viene registrata la causa
dell'evento di diagnostica.
Per prevenire uno STOP imprevisto della F-CPU; al termine della limitazione temporale
procedere nel modo seguente:
• Terminare il funzionamento di sicurezza disattivato con una commutazione STOP/RUN
mirata.
• Resettare il tempo di esecuzione residuo. Il reset può essere utilizzato senza limitazioni.
10.7.2.1 Configurazione del limite temporale per il funzionamento di sicurezza disattivato

(S7-1200, S7-1500)
Introduzione
La durata del limite temporale è configurabile.
Requisiti
• Nel Safety Administration Editor è attivata l'opzione "Safety mode can be disabled"
• Per il sistema Safety è impostata la versione V2.4 o superiore.
Procedura di configurazione del tempo di esecuzione

Per configurare il limite temporale procedere nel modo seguente:
1. Aprire il Safety Administration Editor della F-CPU.
2. Aprire l'area "Settings (Pagina 87)" nella navigazione dell'area.
3. Configurare il limite temporale per il funzionamento di sicurezza in "Runtime for the
deactivated safety mode". Il tempo preimpostato è di 4 ore. È possibile configurare un limite
massimo di 8 ore e minimo di 1 minuto.
Nota
Il valore del tempo configurato non viene considerato nella firma collettiva F.

10.7.2.2 disattivazione del funzionamento di sicurezza
Requisiti
• Nel Safety Administration Editor è attivata l'opzione "Safety mode can be disabled"
• Il progetto è stato caricato nella F-CPU.
• La F-CPU è in RUN.
• Il programma di sicurezza si trova nel funzionamento di sicurezza.

Regole per la disattivazione del funzionamento di sicurezza
AVVERTENZA
Poiché quando il funzionamento di sicurezza è disattivato è possibile apportare modifiche al

programma di sicurezza in RUN, osservare quanto segue:
• La disattivazione del funzionamento di sicurezza è riservata a test, messa in servizio.
Durante la disattivazione del funzionamento di sicurezza si deve garantire la sicurezza
dell'impianto tramite misure organizzative (Pagina 611).
Dopo il test o la messa in servizio il funzionamento di sicurezza deve essere riattivato. A
questo scopo eseguire una commutazione STOP/RUN della F-CPU.
In un sistema S7-1500HF ridondante occorre portare in STOP entrambe le HF-CPU o il
sistema S7-1500HF ridondante prima di riavviare le HF-CPU.
• La disattivazione del funzionamento di sicurezza deve essere segnalata.
A tal fine è disponibile la variabile MODE nel DB globale F ("F_GLOBDB".MODE) per le
F-CPU S7-300/400 o nel DB informativo del gruppo di esecuzione F (ad es.
RTG1SysInfo.F_SYSINFO.MODE) per le F-CPU S7-1200/1500, la quale può essere
analizzata per la lettura del modo di funzionamento (1 = funzionamento di sicurezza
disattivato). In questo modo la disattivazione del funzionamento di sicurezza non viene
visualizzata solo nella finestra di dialogo per la disattivazione del funzionamento di
sicurezza sul PG/PC, ma tramite l'analisi delle variabili sopra indicate l'informazione
"Disabled safety mode" può essere visualizzata anche tramite una indicatore luminoso
comandato dal programma utente standard o un messaggio inviato ad un sistema di
servizio e supervisione.
• La disattivazione del funzionamento di sicurezza deve essere documentabile. Un
protocollo è necessario, se possibile con registrazione ed eventuale archiviazione dei
messaggi inviati al sistema di servizio e supervisione, in caso di necessità anche con altre
misure organizzative. Inoltre si consiglia di visualizzare la disattivazione del
funzionamento di sicurezza sul sistema di servizio e supervisione.
• Il funzionamento di sicurezza viene disattivato in tutta la F-CPU. Per la comunicazione tra
CPU e CPU orientata alla sicurezza osservare quanto segue: Se la F-CPU che invia i dati si
trova in uno stato in cui il funzionamento di sicurezza è disattivato, non è possibile
accertare se i dati inviati da questa F-CPU vengono generati in modo sicuro. In questo
caso è necessario anche garantire la sicurezza delle parti dell'impianto influenzate dai
dati inviati con delle misure organizzative oppure fare in modo che la F-CPU che riceve i
dati emetta dei valori sostitutivi sicuri al posto dei dati ricevuti tramite l'analisi di
SENDMODE*.
* SENDMODE è disponibile come uscita delle istruzioni RCVDP e RCVS7 oppure, in caso di
comunicazione tramite Flexible F-Link, come variabile nel DB di comunicazione F.
(S027)
Procedura di disattivazione del funzionamento di sicurezza

Per disattivare il funzionamento di sicurezza procedere nel modo seguente:
1. Aprire il Safety Administration Editor della F-CPU interessata.
2. Aprire l'area "General (Pagina 80)" nella navigazione dell'area.

3. Fare clic sul pulsante "Disable safety mode".

4. Se è configurata la protezione di accesso per la F-CPU, inserire la password della F-CPU.
5. Per accertarsi che venga disattivato il funzionamento di sicurezza della F-CPU desiderata,
controllare la firma collettiva F nella successiva finestra di dialogo.
Se è configurata la protezione di accesso per la F-CPU, questo controllo può essere ignorato
poiché la F-CPU corretta è già stata identificata mediante la password univoca della F-CPU.
6. Confermare la disattivazione.
In seguito il funzionamento di sicurezza è disattivato.
Il tempo di esecuzione residuo fino al passaggio in STOP di una F-CPU S7-1200/1500 inizia
subito dopo la disattivazione del funzionamento di sicurezza. Il tempo di esecuzione residuo
viene visualizzato nel Safety Administration Editor nell'area "General (Pagina 80)" nella
modalità online. Inoltre, nelle F-CPU S7-1500 a partire dal firmware V2.9 il tempo di
esecuzione residuo viene visualizzato nel server web.
Reset del tempo di esecuzione residuo fino al passaggio in STOP della F-CPU
Per prevenire lo scadere del tempo di esecuzione residuo e il conseguente passaggio in STOP
della F-CPU, è possibile resettare il tempo di esecuzione residuo nel Safety Administration
Editor. In questo modo il tempo di esecuzione residuo viene resettato al valore configurato e
viene riavviato subito dopo.
1. Aprire il Safety Administration Editor della F-CPU interessata.
2. Aprire l'area "General (Pagina 80)" nella navigazione dell'area.
3. Fare clic sul pulsante "Reset remaining time".
4. Se è configurata la protezione di accesso per la F-CPU, inserire la password della F-CPU.
5. Controllare nella finestra di dialogo successiva i dati relativi alla firma collettiva F.
6. Confermare il reset del tempo di esecuzione residuo.
Nota
Il tempo di esecuzione residuo viene visualizzato anche nel DB del gruppo di esecuzione F
(Pagina 149) del rispettivo gruppo di esecuzione F nella variabile MODE_REMAINING_TIME.
In presenza di due gruppi di esecuzione F, in caso di ora di aggiornamento diversa si possono
visualizzare valori differenti.
Allo scadere del tempo di esecuzione residuo non viene visualizzato il valore "0" ma il tempo
di esecuzione residuo dell'ultimo ciclo.

Attivazione del funzionamento di sicurezza
Nota
Per attivare il funzionamento di sicurezza è necessario eseguire una commutazione STOP/RUN
della F-CPU.
In un sistema S7-1500HF ridondante occorre portare in STOP entrambe le HF-CPU o il sistema
S7-1500HF ridondante prima di riavviare le HF-CPU.
Una commutazione STOP/RUN della F-CPU attiva sempre il funzionamento di sicurezza, anche
se il programma di sicurezza è stato modificato o non è coerente.
Se il programma di sicurezza è stato modificato ma non ancora compilato e caricato, la F-CPU
può passare nuovamente in STOP.
Valutazione del funzionamento di sicurezza/funzionamento di sicurezza disattivato

Per valutare il modo funzionamento di sicurezza/funzionamento di sicurezza disattivato nel
programma di sicurezza, è possibile valutare la variabile "MODE" nel DB globale F
(Pagina 149) nelle F-CPU S7-300/400 oppure il DB informativo del gruppo di esecuzione F
nelle F-CPU S7-1200/1500 (1 = funzionamento di sicurezza disattivato). A questa variabile si
accede in modo completamente qualificato (ad es."F_GLOBDB".MODE oppure
RTG1SysInfo.MODE).
Questo consente ad es. di passivare la periferia F quando il funzionamento di sicurezza del
programma di sicurezza è disattivato. A questo scopo assegnare la variabile "MODE" nel DB
globale F o nel DB informativo del gruppo di esecuzione F a tutte le variabili "PASS_ON" nel DB
della periferia F che si desidera passivare.
AVVERTENZA
Quando il programma di sicurezza si trova in uno stato in cui il funzionamento di sicurezza è

disattivato, anche l'analisi della variabile "MODE" nel DB globale F o nel DB informativo del
gruppo di esecuzione F avviene con funzionamento di sicurezza disattivato.
Anche se nello stato con funzionamento di sicurezza disattivato la periferia F viene passivata
tramite l'analisi della variabile "MODE", durante il periodo di disattivazione del
funzionamento di sicurezza si deve garantire la sicurezza dell'impianto tramite misure
organizzative (Pagina 611). (S028)
Vedere anche
Configurazione del limite temporale per il funzionamento di sicurezza disattivato (S7-1200,
S7-1500) (Pagina 332)

10.7.3 Test del programma di sicurezza
Introduzione
Il controllo delle variabili del programma di sicurezza è sempre possibile.
Il comando delle variabili del programma di sicurezza è possibile solo con il funzionamento di
sicurezza disattivato, poiché è necessario disattivare alcune misure di controllo degli errori del
È possibile comandare le seguenti variabili del programma di sicurezza:
• Ingressi e uscite della periferia F (valori dei canali e stato del valore (S7-1200, S7-1500))
• Variabili nei DB globali F (tranne i DB per la comunicazione del gruppi di esecuzione F)
• Variabili nei DB di istanza degli F-FB
• Variabili nei DB della periferia F (per le variabili ammesse vedere DB della periferia F
(Pagina 159))
Procedura per la supervisione delle variabili del programma di sicurezza

Controllare le variabili desiderate del programma di sicurezza da una tabella di controllo
aperta o dall'editor dei programmi (stato del programma).
1. Procedere come nel programma standard. Per ulteriori informazioni consultare la Guida a
STEP 7 in "Test del programma utente".
Procedura per il comando delle variabili del programma di sicurezza

Comandare le variabili desiderate del programma di sicurezza da una tabella di controllo
aperta:
1. Per il comando disattivare il funzionamento di sicurezza (Pagina 333) nella finestra di
dialogo visualizzata automaticamente.
2. Concludere gli ordini di comando esistenti al termine del test e prima di attivare il
funzionamento di sicurezza.
Il comando dei valori degli F-DB viene eseguito solo online nella F-CPU. Se il valore deve
essere modificato anche offline, è necessario modificare il valore iniziale offline e compilare il

Per il comando delle variabili della periferia F, procedere nel modo seguente:
1. Creare una riga separata per ogni valore del canale e stato del valore (S7-1200, S7-1500) da
comandare. Il valore di comando deve corrispondere al valore del canale o allo stato del
valore.
2. Come punto di trigger impostare "Start of scan cycle" oppure "End of scan cycle" e
"permanent" o "once".
Indipendentemente dal punto di trigger impostato, gli ordini di comando sugli ingressi
(IPI) della periferia F vengono attivati sempre prima dell'elaborazione del blocco Main
Safety e gli ordini di comando sulle uscite (IPU) della periferia F sempre dopo
l'elaborazione del blocco Main Safety.
3. (S7-300, S7-400) Se è necessario comandare più di 5 ingressi/uscite, creare una nuova
tabella di controllo.
Nota
Il comando della periferia F è possibile solo nello stato RUN della F-CPU.
La periferia F progettata di cui non è stato utilizzato né un valore del canale o uno stato del
valore (S7-1200, S7-1500) né una variabile del DB di periferia F corrispondente nel
programma di sicurezza non può essere comandata. Di conseguenza, utilizzare sempre
almeno una variabile del rispettivo DB di periferia F oppure almeno un valore del canale o
stato del valore (S7-1200, S7-1500) della periferia F da comandare nel programma di
sicurezza.
Negli ingressi (IPI) gli ordini di comando hanno la priorità rispetto alla generazione del valore
sostitutivo, nelle uscite (IPU) la generazione del valore sostitutivo ha la priorità rispetto agli
ordini di comando. Nelle uscite (canali) non attivate nelle proprietà della periferia F gli ordini
di comando hanno effetto solo sull'IPU ma non sulla periferia F.
Nota
Per le F-CPU S7-1200/1500 vale:
Per evitare combinazioni non valide di valore del canale e stato del valore:
• durante il comando di un valore del canale su un valore <> valore sostitutivo 0, il sistema F
imposta automaticamente lo stato del valore su 1
• durante il comando uno stato del valore su 0, per il valore del canale corrispondente viene
automaticamente generato il valore sostitutivo 0

AVVERTENZA
Quando il funzionamento di sicurezza è disattivato, gli ordini di comando permanenti

devono essere resettati in modo mirato nella tabella di controllo.
Osservare che gli ordini di comando permanenti che non vengono resettati in modo corretto
possono rimanere attivi sullo sfondo anche dopo una commutazione STOP/RUN della F-CPU.
Tuttavia, poiché dopo una commutazione STOP/RUN la F-CPU si trova di nuovo nel
funzionamento di sicurezza, questi ordini non sono più attivi e non vengono più visualizzati
nella tabella di controllo.
Essi si riattivano non appena il funzionamento di sicurezza viene nuovamente disattivato.
Eseguire una cancellazione totale della F-CPU per evitare che degli ordini di comando
permanenti rimangano attivi sullo sfondo nella F-CPU. (S029)
Test del cablaggio con la tabella di controllo

Per eseguire il test del cablaggio di un ingresso, modificare un segnale di ingresso e verificare
se il nuovo valore viene ricevuto dal IPI.
Per eseguire il test del cablaggio di una uscita, modificare l'uscita con il comando e controllare
se viene attivato l'attuatore desiderato.
Per eseguire il test del cablaggio è necessario che nella F-CPU sia in esecuzione un
programma di sicurezza in cui viene utilizzato almeno un valore del canale o stato del valore
(S7-1200, S7-1500) della periferia F da controllare o da comandare oppure una variabile del
rispettivo DB della periferia F.
Nella periferia F, utilizzabile anche come periferia standard (ad es. unità di ingressi/uscite fail-
safe S7-300), il test del cablaggio delle uscite può essere eseguito anche con il comando in
STOP, utilizzando la periferia F come periferia standard anziché nel funzionamento di
sicurezza.
Regole aggiuntive per il test (S7-300/400/1500)

L'impostazione dei punti di arresto nel programma utente standard causa errori nel
programma di sicurezza:
• esecuzione del controllo del tempo di ciclo F
• errore di comunicazione con la periferia F
(S7-1500) Al termine del tempo di controllo F progettato, i moduli fail-safe passano nello
stato sicuro.
• errore nella comunicazione sicura CPU-CPU
• errore interno della CPU
Se si vogliono utilizzare comunque i punti di arresto, prima è necessario disattivare il
funzionamento di sicurezza. Questo causa i seguenti errori:
• errore di comunicazione con la periferia F
• errore nella comunicazione sicura CPU-CPU

Differenza tra le F-CPU S7-1500 e le F-CPU S7-300/400:

• Se viene attivato e raggiunto un punto di arresto, la F-CPU passa immediatamente in STOP
dopo l'arresto.
• Se si vuole tornare in RUN dopo l'arresto per continuare a testare il programma utente
standard è possibile simularlo con S7-PLCSIM.
Per scopi di test, messa in servizio ecc., all'inizio non è necessaria nessuna protezione di
accesso. Ciò significa che è possibile eseguire tutte le azioni offline e online senza protezione
di accesso, ovvero senza richiedere una password.
Vedere anche
Modica del programma di sicurezza in RUN (S7-300, S7-400) (Pagina 344)
Caricamento dei dati di progetto (Pagina 295)
10.7.4 Test del programma di sicurezza con S7-PLCSIM

S7-PLCSIM consente di testare il programma di sicurezza insieme al programma utente
standard su una CPU simulata senza necessità di hardware. Osservare l'avvertenza S030 nel
capitolo "Avvertenze per il funzionamento di sicurezza del programma di sicurezza
(Pagina 377)".
S7-PLCSIM può essere utilizzato per i sistemi F SIMATIC Safety come per i sistemi S7 standard.
Tuttavia, occorre prestare attenzione alle seguenti particolarità.
Modo Funzionamento di sicurezza/funzionamento di sicurezza disattivato

Per rilevare già in fase di test del programma di sicurezza in S7-PLCSIM se la F-CPU va in STOP
ad es. perché i risultati delle istruzioni non rientrano nel campo ammesso per il tipo di dati, si
consiglia di testare il programma di sicurezza nel funzionamento di sicurezza.
Le seguenti simulazioni possono essere eseguite anche in S7-PLCSIM come su una F-CPU reale
solo con il funzionamento di sicurezza disattivato:
• Comando delle variabili degli F-DB e dei DB di periferia F.
(S7-1200, S7-1500) Per evitare un comando accidentale delle variabili negli F-DB e nei DB di
periferia F nel funzionamento di sicurezza, si raccomanda di non attivare il pulsante
"Activate/deactivate modification of non-inputs" in S7-PLCSIM.
Durante la simulazione con S7-PLCSIM il controllo del tempo di ciclo massimo del gruppo di
esecuzione F e della soglia di avviso del tempo di ciclo del gruppo di esecuzione F (S7-1200,
S7-1500) è disattivato.
Differenze tra F-CPU simulata e reale

Si noti che S7-PLCSIM non si comporta interamente come una F-CPU reale fin nei minimi
dettagli. In particolare non riesce a riprodurre esattamente il comportamento all'avviamento
di una periferia F.

Simulazione degli ingressi della periferia F

Simulazione degli ingressi (valori dei canali) in S7-PLCSIM:
Gli ingressi (valori dei canali) della periferia F possono essere simulati in S7-PLCSIM come
ingressi (valori dei canali) della periferia standard. Tuttavia, occorre prestare attenzione alle
seguenti indicazioni/limitazioni:
Al passaggio dallo stato di funzionamento "STOP" a "RUN" nella F-CPU in S7-PLCSIM, tutti gli
ingressi (valori dei canali) della periferia F nell'immagine di processo degli ingressi (IPI)
vengono inizializzati con 0.
Gli ingressi (valori dei canali) possono essere simulati a partire dal 2° ciclo e sono quindi
disponibili nella IPI.
Simulazione degli ingressi (valori dei canali) in S7-PLCSIM:

(S7-1200, S7-1500) Simulando gli ingressi (lo stato del valore) della periferia F è possibile
simulare gli errori entranti e uscenti della periferia F/dei canali. Tuttavia, occorre prestare
attenzione alle seguenti indicazioni/limitazioni:
• Per simulare il comportamento della periferia F in modo realistico va tenuto in
considerazione l'accoppiamento tra valore del canale e stato del valore nella periferia F
reale. La combinazione stato del valore = 0 e valore del canale <> valore sostitutivo (0)
non è valida e può portare ad un comportamento diverso della simulazione rispetto a
quello della F-CPU reale!
• Al passaggio dallo stato di funzionamento "STOP" a "RUN" nella F-CPU in S7-PLCSIM, tutti
gli ingressi (stato del valore) della periferia F nell'immagine di processo degli ingressi (IPI)
vengono inizializzati con 1. Pertanto è possibile iniziare immediatamente la simulazione di
ingressi (valori dei canali) anche senza simulazione degli ingressi (stato del valore).
• La simulazione degli ingressi (stato del valore) in S7-PLCSIM non influisce sulle variabili
QBAD e PASS_OUT nel DB di periferia F. Si noti che nel caso di una periferia F reale, QBAD
e PASS_OUT possono diventare = 1 appena lo stato del valore diventa 0 per almeno un
canale della periferia F (vedere Variabili del DB di periferia F:
PASS_OUT/QBAD/QBAD_I_xx/QBAD_O_xx e stato del valore (Pagina 165)).
• Per una periferia F con la progettazione "Behavior after channel fault" = "Passivation of the
complete F-I/O", utilizzare la variabile PASS_ON nel DB di periferia F per la simulazione
della passivazione dell'intera periferia F in caso di errori di periferia F/errori di canale. Se
durante la simulazione vengono passivati solo singoli ingressi (valore del canale incl. stato
del valore), la simulazione non si comporta come la F-CPU reale.
• La variabile PASS_ON nel DB di periferia F può essere utilizzata per simulare la
passivazione dell'intera periferia F in caso di errori di periferia F/errori di canale anche nella
periferia F in cui non è disponibile lo stato del valore.
• Per la simulazione di un errore di periferia F/errore di canale dell'SM 336; AI 6 x 13bit
oppure dell'SM 336; F-AI 6 x 0/4...20 mA HART con progettazione "Behavior after channel
fault" = "Passivate channel" è necessario simulare gli ingressi (valori dei canali) con 7FFFH
(per l'overflow) o su 8000H (per l'underflow).
• Per la periferia fail-safe F che non supporta il profilo "RIOforFA-Safety", dopo che lo stato
del valore è passato da 0 a 1 o dopo che il valore del canale è passato da 7FFFH/8000H a
diverso da 7FFFH/8000H (vedere sopra) con la variabile ACK_NEC del DB di periferia F
impostata = 1, come in una periferia F reale, per la reintegrazione è necessario eseguire
una conferma utente con un fronte positivo nella variabile ACK_REI del DB di periferia F. In
tutti gli altri casi la reintegrazione potrebbe automaticamente discostarsi dalla periferia F
reale.

Ora di aggiornamento
Tenere presente che lo stato degli ingressi (valori dei canali o stato del valore
(S7-1200/1500)) rilevato nella tabella SIM in S7-PLCSIM corrisponde allo stato elaborato nel
programma di sicurezza solo se non è in corso una passivazione della periferia F interessata.
Durante la passivazione della periferia F il programma di sicurezza utilizza i valori sostitutivi
(valore del canale e stato del valore (S7-1200/1500) =0).
Comunicazione CPU-CPU con le istruzioni SENDDP/RCVDP

Per le istruzioni SENDDP/RCVDP (S7-300/400) e le istruzioni SENDDP/RCVDP con versione <
3.0 (S7-1200/1500) vale:
La comunicazione tra F-CPU con le istruzioni SENDDP e RCVDP non può essere simulata in
S7-PLCSIM. Tuttavia, le istruzioni SENDDP e RCVDP possono essere utilizzate insieme a
S7-PLCSIM. Durante la simulazione in S7-PLCSIM l'istruzione RCVDP emette i valori sostitutivi
presenti sugli ingressi SUBBO_xx e SUBI_xx ((S7-1200/1500) o in alternativa SUBDI_00). Ciò
viene segnalato dalle istruzioni SENDDP e RCVDP sull'uscita SUBS_ON con 1.
Per le istruzioni SENDDP/RCVDP con versione >= 3.0 (S7-1200/1500) vale:
Durante la simulazione con S7-PLCSIM è possibile simulare i dati di ricezione e l'informazione
"funzionamento di sicurezza disattivato" (RCVDP) oppure l'informazione "emissione del valore
sostitutivo" (SENDDP) nell'area di trasferimento corrispondente degli ingressi. Attenersi alle
avvertenze seguenti:
• I valori simulati vengono attivati solo quando il bit SIMULATION nella relativa parola di
comando della simulazione (vedere la tabella seguente) viene impostato la prima volta
dopo l'avviamento del sistema F. Prima dell'impostazione del bit SIMULATION, l'istruzione
RCVDP emette i valori sostitutivi presenti sugli ingressi SUBBO_xx e SUBI_xx (o in
alternativa SUBDI_00).
• L'impostazione del bit SEND_MODE nella parola di comando della simulazione causa
l'attivazione dell'uscita SENDMODE nell'istruzione RCVDP.
• L'impostazione del bit STATUS_SUBS nella parola di comando della simulazione causa
l'attivazione dell'uscita SUBS_ON nell'istruzione SENDDP.
• I bit riservati nella parola di comando della simulazione devono essere sempre 0.
• In caso di commutazione STOP/RUN di S7-PLCSIM, gli ultimi valori simulati nell'area di
trasferimento degli ingressi vengono mantenuti.
L'indirizzo iniziale delle aree di trasferimento configurate per i dati di uscita e di ingresso è
contenuto nella rispettiva progettazione (vedere anche "Progettazione e programmazione
della comunicazione (S7-1200, S7-1500) (Pagina 248)“).

Tabella 10- 1 Struttura dell'area di trasferimento rilevante per gli ingressi e della parola di comando della simulazione
(istruzione RCVDP)
Byte Significato Osservazioni

0 RD_BO_15 … RD_BO_08
1 RD_BO_07 … RD_BO_00
DINTMODE=0:
2 RD_I_00 Word RD_I_00, MSB1) first
3
4 RD_I_01 Word RD_I_01, MSB1) first
5
In alternativa DINTMODE=1:
2 RD_DI_00 High Word di RD_DI_00, MSB1) first
3
4 Low Word di RD_DI_00 XOR 0x8000, MSB1) first
5
6 Parola di comando della Bit 0…6: riservati

simulazione (High Byte) Bit 7: SIMULATION: attivazione della simulazione di RCVDP
7 Parola di comando della Bit 0: SEND_MODE: impostazione dell'uscita SENDMODE
simulazione (Low Byte) Bit 1…7: riservati
8 ... 11 riservati
1) MSB: most significant bit
Tabella 10- 2 Struttura dell'area di trasferimento rilevante per gli ingressi e della parola di comando della simulazione
(istruzione SENDDP)
Byte Significato Osservazioni

0 Parola di comando della Bit 0: STATUS_SUBS: impostazione dell'uscita SUBS_ON
simulazione (High Byte) Bit 1…6: riservati
Bit 7: SIMULATION: attivazione della simulazione di SENDDP
1 Parola di comando della Bit 0…7: riservati
simulazione (Low Byte)
2 ... 5 riservati
(S7-300, S7-400) Comunicazione CPU-CPU con le istruzioni SENDS7/RCVS7

La comunicazione tra F-CPU con le istruzioni SENDS7 e RCVS7 non può essere simulata in
S7-PLCSIM. Tuttavia, le istruzioni SENDS7 e RCVS7 possono essere utilizzate insieme a
S7-PLCSIM.
Durante la simulazione in S7-PLCSIM l'istruzione RCVS7 emette i valori iniziali configurati nel
DB di comunicazione come valori sostitutivi. Ciò viene segnalato dalle istruzioni SENDS7 e
RCVS7 sull'uscita SUBS_ON con 1.

Comunicazione CPU-CPU con Flexible F-Link

In caso di simulazione di una comunicazione tra F-CPU con Flexible F-Link, attenersi
all'avvertenza seguente.
AVVERTENZA
Se durante la comunicazione tra CPU e CPU orientata alla sicurezza vengono inviati dei dati
con una F-CPU simulata con S7-PLCSIM, non è possibile assumere che questi dati siano stati
generati in modo sicuro. In questo caso è necessario anche garantire la sicurezza delle parti
dell'impianto influenzate dai dati inviati adottando misure organizzative (Pagina 611)
oppure facendo in modo che la F-CPU che riceve i dati emetta dei valori sostitutivi sicuri al
posto dei dati ricevuti tramite l'analisi di SENDMODE*.
*SENDMODE è disponibile come variabile nel DB di comunicazione F.
(S086)
Programma di sicurezza non coerente (S7-1200, S7-1500)

Se la CPU va in STOP in S7-PLCSIM con la voce di diagnostica "Safety program: inconsistent",
la F-CPU in S7-PLCSIM non è ancora inizializzata in modo corretto. Eseguire una cancellazione
totale della F-CPU in S7-PLCSIM e ricaricare il programma nella CPU in S7-PLCSIM.
10.7.5 Modica del programma di sicurezza in RUN (S7-300, S7-400)
Introduzione
Le modifiche dei blocchi F vengono eseguite nell'editor dei programmi come nel sistema
standard. Il caricamento dei blocchi F modificati in RUN sulla F-CPU va effettuato con il
funzionamento di sicurezza disattivato (Pagina 333).
Nota
Se non si vogliono eseguire modifiche del programma di sicurezza durante l'esercizio, vedere
Creazione di blocchi F in FUP/KOP (Pagina 145).

Procedura per la modifica del programma di sicurezza in RUN

Per modificare il programma di sicurezza procedere nel modo seguente:
1. Modificare il blocco Main Safety/F-FB e il relativo DB di istanza, F-FC o F-DB nell'editor dei
programmi.
2. Caricare i blocchi F modificati nella F-CPU (per la procedura vedere Caricamento dei dati di
progetto (Pagina 295)). L'intero programma viene compilato automaticamente.
3. Se è attivo il funzionamento di sicurezza, nella finestra di dialogo "Load preview" l'utente
viene sollecitato a disattivarlo e a inserire la password del programma di sicurezza.
Nota
Durante il caricamento con il funzionamento di sicurezza disattivato, è possibile caricare
solo blocchi fail-safe creati dall'utente (blocchi Main Safety, F-FB, F-FC, F-DB) o blocchi
standard e i relativi DB di istanza. Se vengono caricati blocchi F generati automaticamente
(F-SB o blocchi F generati automaticamente e i relativi DB di istanza, DB globali F), la
F-CPU può andare in STOP o attivare il funzionamento di sicurezza.
Pertanto, selezionare sempre solo singoli blocchi F durante il caricamento con il
funzionamento di sicurezza disattivato.
Sequenza di caricamento delle modifiche

In caso di modifica del programma di sicurezza in RUN con il funzionamento di sicurezza
disattivato, è possibile ad es. che le modifiche del programma modifichino lo stato degli
attuatori.
Al termine della modifica, caricare prima il programma di sicurezza e solo successivamente la
funzione del programma utente standard controllata dal programma di sicurezza.
Limitazioni della comunicazione di sicurezza CPU-CPU

Non è possibile configurare una nuova comunicazione di sicurezza CPU-CPU durante
l'esercizio (RUN) con delle nuove istruzioni SENDDP/RCVDP, SENDS7/RCVS7.
Per configurare una nuova comunicazione di sicurezza CPU-CPU, dopo avere inserito una
nuova istruzione SENDDP, SENDS7, RCVDP o RCVS7, è necessario caricare il relativo
programma di sicurezza in modo coerente nello stato di funzionamento STOP nella F-CPU.
Limitazioni della comunicazione del gruppo di esecuzione F

Non è possibile apportare modifiche alla comunicazione di sicurezza tra i gruppi di
esecuzione F durante l'esercizio (RUN). Questo significa che i DB per la comunicazione dei
gruppi di esecuzione F non possono essere assegnati ad un gruppo di esecuzione F, eliminati
o modificati.
Dopo le modifiche della comunicazione dei gruppo di esecuzione F il programma di sicurezza
deve sempre essere caricato nella F-CPU in modo coerente nello stato di funzionamento
STOP.

Limitazioni di accesso alla periferia F

Se durante l'esercizio (RUN) si inserisce un accesso alla periferia F in una periferia F della
quale non è ancora stato utilizzato alcun valore del canale o alcuna variabile del relativo DB di
periferia F nel programma di sicurezza, l'accesso alla periferia F viene attivato solo quando il
programma di sicurezza viene caricato in modo coerente nella F-CPU.
Modifica del programma utente standard

Le modifiche del programma utente standard possono essere caricate nella F-CPU nello stato
di funzionamento RUN indipendentemente dal fatto che il funzionamento di sicurezza sia
attivo o meno.
AVVERTENZA
Procedura di acquisizione delle modifiche nel programma di sicurezza

Se si caricano singoli blocchi F nella F-CPU durante l'esercizio (RUN), i blocchi di sistema F
(F-SB) e i blocchi F generati automaticamente non vengono aggiornati né caricati,
compromettendo la coerenza del programma di sicurezza nella F-CPU. Per acquisire le
modifiche nel programma di sicurezza procedere nel modo seguente:
1. Caricare il programma di sicurezza in modo coerente nella F-CPU ed eseguire una
commutazione STOP/RUN della F-CPU per attivare il funzionamento di sicurezza (per la
procedura vedere Caricamento dei dati di progetto (Pagina 295)).
2. Eseguire le operazioni descritte in Collaudo delle modifiche (Pagina 372).

10.7.6 Modica del programma di sicurezza in RUN (S7-1200, S7-1500)
Introduzione
Le modifiche dei blocchi F vengono eseguite nell'editor dei programmi come nel sistema
standard. Il caricamento nella F-CPU dei blocchi F modificati in RUN va effettuato nella
modalità Fast Commissioning con il funzionamento di sicurezza disattivato (Pagina 333).
La modalità Fast Commissioning distingue tra "Fast Compile" (impostazione predefinita) e
"Consistent Compile".
La modalità Fast Commissioning con "Fast Compile" può essere utilizzata per piccole
modifiche software al programma di sicurezza, ad es. a scopo di test e messa in servizio. Esso
assicura una compilazione rapida, poiché vengono compilati esclusivamente i blocchi F creati
dall'utente.
La modalità Fast Commissioning con "Consistent Compile" può essere invece utilizzata, ad es.,
al termine della messa in servizio, per compilare il programma di sicurezza e in seguito
caricarlo nella F-CPU mantenendone la coerenza. In questo modo si rinuncia al vantaggio
della compilazione rapida, ma dopo il caricamento nella F-CPU si ha la possibilità di riattivare
immediatamente il funzionamento di sicurezza con una breve commutazione STOP-RUN della
F-CPU.
Nota
Quando è attiva la modalità Fast Commissioning non commutare la F-CPU in STOP con "Fast
Compile". Altrimenti la F-CPU non si riavvia perché contiene un programma di sicurezza
incoerente.
Rimedio:
• Caricare un programma di sicurezza coerente nella F-CPU e successivamente eseguire una
commutazione STOP-RUN. Il funzionamento di sicurezza disattivato viene terminato.
• Se la F-CPU supporta "Consistent Compile" selezionare il pulsante "Consistent Compile" e
caricare il programma di sicurezza nella F-CPU in modo coerente. Dopodiché è possibile
eseguire una commutazione STOP-RUN.
Nota
La modalità Fast Commissioning con "Fast Compile" in S7-PLCSIM si comporta in modo
diverso che in una F-CPU reale.
Una S7-PLCSIM si riavvia dopo uno STOP.

Requisiti
Per potere attivare e utilizzare la modalità Fast Commissioning devono essere soddisfatti i
seguenti requisiti:
• La modalità Fast Commissioning con "Fast Compile" può essere utilizzata a partire dalla
versione V2.4 del sistema Safety. È disponibile per le F-CPU S7-1200 a partire dal firmware
V4.5 e per le F-CPU S7-1500 a partire dal firmware V2.0.
• La modalità Fast Commissioning con "Consistent Compile" può essere utilizzata a partire
dalla versione V2.5 del sistema Safety. È disponibile solo per le F-CPU S7-1500 a partire dal
firmware V3.0. Per i Software Controller S7-1500 F è disponibile dalla versione V2.5 del
sistema Safety solo per gli IPC rilasciati a partire dal firmware V30.0.
Nota
Software Controller S7-1500 F
Gli IPC rilasciati sono elencati nella tabella delle Informazioni sul prodotto delle F-CPU
Se si utilizzano IPC non rilasciati, si verifica un errore oppure l'F Software Controller si
riavvia. Il download deve essere quindi ripetuto in STOP.
• L'opzione "Safety mode can be disabled" nell'area "Settings" del Safety Administration
Editor deve essere attiva.
• Il programma di sicurezza offline deve essere coerente e identico al programma di
sicurezza online.
Attivazione della modalità Fast Commissioning

La modalità Fast Commissioning può essere attivata facendo clic sul pulsante "Enable Fast
Commissioning" nell'area "General" del Safety Administration Editor.
"Fast Compile" è selezionato come impostazione predefinita.
Appena la modalità Fast Commissioning è attiva con "Fast Compile", il comportamento
durante la compilazione delle modifiche (menu di scelta rapida "Compile > > Software
(changes only)" e "Compile > Hardware and Software (only changes)") si trasforma nel
comportamento durante la compilazione delle modifiche nella modalità Fast Commissioning
con "Fast Compile".

Appena si passa all'impostazione "Consistent Compile" è possibile compilare anche il

programma di sicurezza in modo coerente e caricarlo nella F-CPU durante il funzionamento
RUN.
Nota
Dopo l'attivazione della modalità Fast Commissioning, nel Safety Amministrazione Editor tutti
i campi ad eccezione del campo "General" sono disabilitati. Gli accessi in scrittura nel Safety
Amministrazione Editor non sono consentiti, nemmeno mediante Openess. Un accesso in
lettura è sempre possibile.
Quando è attiva la modalità Fast Commissioning con "Fast Compile", nel Safety
Administration Editor viene visualizzata come stato del programma di sicurezza
l'informazione "Fast Commissioning Mode is enabled".
Nella modalità Fast Commissioning con "Fast Compile" non viene calcolata alcuna firma. In
questa modalità non è quindi possibile fare alcuna dichiarazione sullo stato del programma di
sicurezza e dei blocchi F riguardo al confronto offline-online. In questo caso lo stato dei
confronti tra le firme viene rappresentato con l'icona.
Caricamento delle modifiche nella modalità Fast Commissioning

Per caricare nella F-CPU in RUN le modifiche del programma di sicurezza nella modalità Fast
Commissioning devono essere soddisfatte le seguenti 3 condizioni:
• Il funzionamento di sicurezza è disattivato.
• La modalità Fast Commissioning è attivata.
Se almeno una di queste 3 condizioni non è soddisfatta, la finestra di dialogo "Load" avvisa
l'utente che il caricamento in RUN non è possibile.
Nota
In caso di interruzione del collegamento tra il PG/PC e la F-CPU durante il caricamento in RUN,
il caricamento nella F-CPU non può essere portato a termine correttamente. Anche le
informazioni relative al programma di sicurezza visualizzate sul display e nel server web della
F-CPU non sono più aggiornate.
In questo caso non è più possibile eseguire un caricamento in RUN anche se i requisiti per la
modalità Fast Commissioning sono soddisfatti.
Rimedio: Commutare la F-CPU in STOP e caricare un programma di sicurezza coerente nella
F-CPU.

Nota
Se l'utilizzo della memoria di lavoro della F-CPU è > 80 %, è probabile che si verifichi un
arresto durante il caricamento in RUN con "Consistent Compile" e che il caricamento nella
F-CPU non venga eseguito correttamente. In tal caso anche le informazioni relative al
programma di sicurezza visualizzate sul display e nel server web della F-CPU non sono più
aggiornate.
Non è quindi più possibile eseguire un caricamento in RUN nonostante i requisiti per la
modalità Fast Commissioning siano soddisfatti.
Rimedio: Commutare la F-CPU in STOP e caricare un programma di sicurezza coerente nella
F-CPU.
Modifiche supportate nella modalità Fast Commissioning

Quando la modalità Fast Commissioning è attiva, la modifica del programma di sicurezza è
soggetta a limitazioni. Di seguito è riportata una panoramica delle modifiche supportate.
• Modifiche di F-FB/F-FC/F-DB. Per le eccezioni, vedere "Changes not supported".
• Modifiche dei tipi di dati PLC conformi a F. Per le eccezioni, vedere "Changes not
supported".
• Modifiche del programma utente standard che influiscono sul programma di sicurezza, ad
esempio DB utilizzati sia nel programma utente standard sia nel programma di sicurezza.
• Creazione e utilizzo dei blocchi F. Per le eccezioni, vedere "Changes not supported".
Modifiche non supportate nella modalità Fast Commissioning con "Fast Compile"
Quando è attiva la modalità Fast Commissioning con "Fast Compile", la modifica del
programma di sicurezza è soggetta a limitazioni. Di seguito è riportata una panoramica delle
modifiche non supportate.
Tipo di modifica Reazione del sistema

Tutte le modifiche della configurazione hardware. Durane il caricamento nella F-CPU è
necessario uno STOP.
Modifiche in un F-FB/F-FC:
• Inserimento di un nuovo richiamo di una istruzione con Errori di compilazione
elaborazione temporizzata (ad es. TON, TOF, TP, MUT_P…)
o di una istruzione ACK_OP/ACK_GL. (È possibile
modificare la riparametrizzazione dei valori temporali nei
richiami esistenti.)
• Inserimento di un nuovo richiamo di una istruzione

SENDDP/RCVDP.
• Inserimento di un nuovo accesso a una periferia F (accesso

a una variabile del DB della periferia F o all'immagine di
processo) finora non utilizzato nel gruppo di esecuzione F.


• Inserimento di un nuovo accesso a una comunicazione con
Flexible F-Link (accesso a una variabile del DB di
comunicazione F) che finora non veniva utilizzata nel
Eliminazione in un F-FB/F-FC:
• Eliminazione di un richiamo di una istruzione con Errori di compilazione se vengono
eliminate anche le istanze
elaborazione temporizzata (ad es. TON, TOF, TP, MUT_P…)
o di una istruzione ACK_OP/ACK_GL.
• Eliminazione del richiamo di una istruzione Errori di compilazione

SENDDP/RCVDP.
• Eliminazione dell'ultimo accesso a una periferia F (accesso

a una variabile del DB di periferia F o all'immagine di
processo) affinché questa non venga più utilizzata nel
• Eliminazione dell'ultimo accesso a una comunicazione con

Flexible F-Link (accesso a una variabile del DB di
comunicazione F) in modo che questa non venga più
utilizzata nel gruppo di esecuzione F.
Eliminazione di un F-FB o di un F-FC se questo è stato Errori di compilazione
richiamato prima dell'attivazione della modalità Fast
Commissioning. L'eliminazione di un richiamo è sempre
possibile.
Eliminazione di un F-DB se la variabile dell'F-DB è già stata Errori di compilazione
utilizzata prima dell'attivazione della modalità Fast
Commissioning.
Eliminazione di un DB standard se le variabili del DB sono già Errori di compilazione
state utilizzate in lettura prima dell'attivazione della modalità
Fast Commissioning.
Eliminazione di una variabile dal programma utente standard Errori di compilazione
se questa è già stata utilizzata in lettura prima dell'attivazione
della modalità Fast Commissioning.
Modifiche strutturali di tipi di dati PLC conformi a F referenziati Errori di compilazione
in una comunicazione Flexible F-Link.
Creazione dei tipi di biblioteche di blocchi Errori di compilazione
Inserimento/eliminazione di:
• F-OB Errori di compilazione
• Comunicazioni Flexible F-Link Blocco nel Safety Administration

Editor
• Gruppi di esecuzione F (modifiche incluse)
• Collegamenti F-CD/F-MS (incluse modifiche)

Inserimento di un F-FB/F-FC (ad es. da una biblioteca o da Errori di compilazione
un'altra F-CPU) con accesso globale a un F-DB.
Modifica della versione delle istruzioni nella task card Errori di compilazione
"Instructions"
Creazione e modifica di profili di istruzioni
Caricamento di un programma di sicurezza compilato nella Blocco tramite caricamento della
modalità Fast Commissioning dalla F-CPU nel PG/PC. stazione dal dispositivo


Modifiche nell'area "Settings" del Safety Administration Editor. Blocco nel Safety Administration
Modifiche della password per il programma di sicurezza. Editor
Modifica del nome dell'F-OB Errore durante il download

Tutte le modifiche con Openness. (Campo del nome Vengono rifiutate con una exception.
SafetyAdministration)
Nota
Se sono presenti modifiche contrassegnate con "Compiling errors" la compilazione del
programma di sicurezza nella modalità Fast Commissioning viene interrotta. Nella finestra di
ispezione sotto "Info > Compile" viene visualizzata un'avvertenza aggiuntiva nella quale è
indicato il blocco F in cui si trova la modifica non supportata.
Nota
Compare la tabella "Unsupported changes in Fast Commissioning mode with Fast Compile"
che funge da guida. La regola generale è la seguente: se durante la compilazione si verificano
degli errori che si riferiscono a blocchi non programmati dall'utente, si tratta di una modifica
non supportata. In questo caso, annullare le modifiche apportate in precedenza o uscire dalla
modalità Fast Commissioning e compilare l'intero programma di sicurezza.
Nota
Quando è attiva la modalità Fast Commissioning con "Fast Compile", il protocollo della
cronologia delle modifiche F è incompleto e non comprende le voci seguenti:
• Firma collettiva F
• Data e ora della compilazione
• Blocchi F compilati con firma e data e ora
Modifiche non supportate nella modalità Fast Commissioning con "Consistent Compile"
La modifica del programma di sicurezza è soggetta a limitazioni anche quando è attiva la
modalità Fast Commissioning con "Consistent Compile". Si possono comunque apportare
molte più modifiche al programma di sicurezza che con il "Fast Compile". Di seguito è
riportata una panoramica delle modifiche non supportate.
Nota
Osservare che le modifiche qui indicate non devono essere già presenti quando viene attivata
la modalità Fast Commissioning con "Consistent Compile". A riguardo assicurarsi che il
programma di sicurezza offline sia coerente e identico al programma di sicurezza online. Se
non lo è, la F-CPU potrebbe entrare in STOP.


Tutte le modifiche della configurazione hardware. Durane il caricamento nella F-CPU è
necessario uno STOP.
Inserimento/eliminazione di:
• Comunicazioni Flexible F-Link Blocco nel Safety Administration
Editor
• Gruppi di esecuzione F (modifiche incluse)
Modifiche nell'area "Settings" del Safety Administration Editor.
Modifiche della password per il programma di sicurezza.
Modifica del nome dell'F-OB La CPU passa in STOP
Tutte le modifiche con Openness. (Campo del nome Vengono rifiutate con una exception.
SafetyAdministration)
Inserimento di un nuovo richiamo di una istruzione ACK_GL. Possibile, ma segue una passivazione
di tutte le periferie F. La
reintegrazione è possibile solo con
una commutazione STOP-RUN.
Inserimento di un nuovo accesso a una periferia F (accesso a Possibile, ma segue una passivazione
una variabile del DB della periferia F o all'immagine di della periferia F interessata. La
processo) finora non utilizzato nel gruppo di esecuzione F. reintegrazione è possibile solo con
Eliminazione del richiamo di una istruzione ACK_GL. Possibile, ma segue una passivazione
di tutte le periferie F. La
reintegrazione è possibile solo con
Eliminazione dell'ultimo accesso a una periferia F (accesso a Possibile, ma viene inserita una voce
una variabile del DB di periferia F o all'immagine di processo) nel buffer di diagnostica per un
affinché questa non venga più utilizzata nel gruppo di "Profisafe communication error".
esecuzione F.
Conclusione della modalità Fast Commissioning

Per terminare la modalità Fast Commissioning con "Fast Compile" e tornare nel
funzionamento di sicurezza procedere nel seguente modo:
1. Fare clic sul pulsante "Deactivate Fast Commissioning".
2. Compilare il programma di sicurezza con Software (rebuild all).
3. Caricare il programma di sicurezza nella F-CPU. Durante l'operazione la F-CPU viene
commutata in STOP.
In un sistema ridondante S7-1500HF è necessario selezionare la voce "Stop R/H system"
nella finestra di dialogo "Load preview".
In seguito il programma di sicurezza online è di nuovo coerente e dopo l'attivazione del
funzionamento di sicurezza la F-CPU può essere riportata in RUN.
Per terminare la modalità Fast Commissioning con "Consistent Compile" e tornare nel
funzionamento di sicurezza procedere nel seguente modo:
1. Fare clic sul pulsante "Deactivate Fast Commissioning".
2. Eseguire una commutazione STOP-RUN per riattivare il funzionamento di sicurezza.

10.8 Cronologia delle modifiche F
10.8 Cronologia delle modifiche F

L'opzione "Enable F-change history" nel Safety Administration Editor consente di attivare il
protocollo delle modifiche al programma di sicurezza. La cronologia delle modifiche F si
comporta come la cronologia delle modifiche del programma standard.
Nella navigazione di progetto viene creata una cronologia delle modifiche F per ciascuna
F-CPU sotto " Common data/logs".
Nella cronologia delle modifiche F vengono protocollati i seguenti dati:
• Firma collettiva F
• Nome utente
• Data e ora della compilazione
• del download del programma di sicurezza con data e ora
• Blocchi F compilati con firma e data e ora
La cronologia delle modifiche F di ciascuna F-CPU può contenere al massimo 5000 voci. Se
vengono superate le 5000 voci viene creata una nuova cronologia delle modifiche F
denominata "F-change history <Nome CPU> YYYY-MM-DD hh:mm:ss".
Dopo un upgrade del progetto, nella cronologia delle modifiche F del progetto la funzione
"Go to" non è più supportata per le voci create con una versione precedente a STEP 7
Safety V15.1.
ATTENZIONE
Il collegamento tra la F-CPU e la rispettiva cronologia delle modifiche F viene realizzata

tramite il nome della cronologia delle modifiche F.
Non rinominare la F-CPU e la cronologia delle modifiche F. Se si modifica il nome della F-
CPU o della cronologia delle modifiche F, viene creata una nuova cronologia delle modifiche
F con il nome attuale della F-CPU.
Nota
La cronologia delle modifiche F non può essere utilizzata per il riconoscimento delle
modifiche nel programma di sicurezza/nella progettazione della periferia F durante il collaudo
delle modifiche.
Per il collaudo delle modifiche procedere come descritto in Collaudo delle modifiche
(Pagina 372).
Nota
Si consiglia di attivare la cronologia delle modifiche F prima del passaggio al funzionamento
produttivo.

Collaudo dell'impianto 11
11.1 Panoramica del collaudo dell'impianto
Introduzione
Durante il collaudo dell'impianto devono essere rispettate tutte le norme e le direttive
pertinenti (ad es. PROFINET Installation Guidelines). Questo vale anche per gli impianti "senza
obbligo di collaudo". Durante il collaudo vanno osservati i requisiti riportati nel report di
certificazione (http://support.automation.siemens.com/WW/view/it/49368678/134200).
Il collaudo di un sistema F viene solitamente eseguito da un esperto indipendente.
L'indipendenza dell'esperto deve essere attestata nel Safety Plan e dipende dal PL/SIL
richiesto.
Attenersi alle avvertenze contenute in questo manuale.
AVVERTENZA
La progettazione della F-CPU e della periferia F e la programmazione dei blocchi F devono

essere eseguite in TIA Portal come descritto nella presente documentazione. Si devono
osservare tutti gli aspetti descritti nel capitolo Collaudo dell'impianto (Pagina 355) per
garantire un funzionamento sicuro con il sistema SIMATIC SAFETY. Non sono ammesse altre
procedure. (S056)
Documentazione della corretta implementazione dei dati di progetto rilevanti per la sicurezza
Per potere eseguire il collaudo di un impianto, occorre verificare e documentare la correttezza
dei singoli componenti. Per documentare le caratteristiche dei componenti deve essere creata
una stampa di sicurezza.
Devono essere documentate le seguenti caratteristiche:
• Correttezza del programma di sicurezza, compresa la configurazione hardware (testo
incluso) (Pagina 356)
• Completezza della stampa di sicurezza (Pagina 357)
• Corrispondenza degli elementi della biblioteca di sistema utilizzati nel programma di
sicurezza con l'Allegato 1 del report del certificato TÜV (Pagina 358)
• Corrispondenza dei blocchi F con protezione del know-how utilizzati nel programma di
sicurezza con la relativa documentazione di sicurezza (Pagina 359)
• Completezza e correttezza della configurazione hardware (Pagina 360)
• Correttezza e completezza della progettazione della comunicazione (Pagina 367)
• Identità del programma online e offline (Pagina 369)
• Altre caratteristiche (Pagina 370), quali versioni software, utilizza dei dati del programma
utente standard

Collaudo dell'impianto
11.2 Correttezza del programma di sicurezza, compresa la configurazione hardware (testo incluso)
Dopo il collaudo archiviare tutti i documenti rilevanti e i dati di progetto in modo che siano
disponibili per un confronto in caso di collaudi successivi delle modifiche.
Stampa di sicurezza
La stampa di sicurezza (Pagina 329) è la documentazione del progetto necessaria per il
collaudo dell'impianto.
11.2 Correttezza del programma di sicurezza, compresa la

configurazione hardware (testo incluso)
Oltre alla verifica della correttezza tramite test durante la messa in servizio, il software
richiede il rispetto di alcune misure specifiche già in fase di configurazione. A tale riguardo
osservare l'avvertenza S062 nel capitolo "Panoramica (Pagina 21)".
Verifica/test funzionale
I programma di sicurezza e la relativa configurazione hardware devono essere testati
(Pagina 331) già in fase di configurazione. Questo test delle specifiche delle funzioni di
sicurezza deve essere eseguito e documentato prima del collaudo dell'impianto.
Per potere eseguire una revisione del codice del programma di sicurezza e documentare il
codice di programma collaudato, viene stampato, come parte della stampa di sicurezza
(Pagina 329), il codice sorgente di tutti i blocchi F se è stata selezionata l'opzione "All".
Se si desidera effettuare un test funzionale dopo un caricamento, è necessario eseguire una
identificazione del programma. Per ulteriori informazioni consultare "Caricamento dei dati di
progetto (Pagina 295)".
Il programma di sicurezza può essere utilizzato nel funzionamento produttivo solo quando il
suo corretto funzionamento è stato accertato eseguendo tutte le operazioni descritte nel
capitolo "Panoramica del collaudo dell'impianto (Pagina 355)". Se si utilizza il controllo di
configurazione (ampliamenti futuri), il corretto funzionamento del programma di sicurezza
deve essere verificato per tutte le possibili opzioni della stazione con appositi test funzionali. I
protocolli dei test devono essere archiviati insieme alla stampa di sicurezza e ai documenti di
collaudo.
Gli intervalli temporali, ad es. i tempi di controllo (Pagina 596) e di ritardo, possono essere
verificati solo in modo limitato con i test funzionali (Pagina 295). Pertanto, controllare gli
intervalli temporali in modo mirato per verificare se sono adeguati, ad es. utilizzando la
stampa di sicurezza.
Alcuni di questi intervalli temporali sono riportati nella stampa di sicurezza, ad es. il tempo di
controllo F (per la comunicazione tra F-CPU e periferia F) e il tempo di controllo della
comunicazione sicura CPU-CPU (TIMEOUT). Per individuare i tempi di controllo conformi ai
requisiti normativi, in Internet
(https://support.industry.siemens.com/cs/ww/it/view/109783831) è disponibile un file excel
per il calcolo del tempo di reazione. Questi intervalli vanno tenuti in considerazione insieme
alle condizioni pratiche dell'applicazione. Tenere presente che i tempi di controllo influiscono
sui tempi di reazione delle funzioni di sicurezza.

11.3 Completezza della stampa di sicurezza
Coerenza del programma di sicurezza

Controllare nel paragrafo "General information" della stampa di sicurezza se il programma di
sicurezza è stato riconosciuto come "coerente".
Nelle F-CPU S7-300/400 questa condizione viene soddisfatta solo se sono identiche anche le
firme seguenti:
• Firma collettiva F (sezione "General information", "Collective F-Signature")
• "Firma dei blocchi F con attributo F" (sezione "General information", "Current compilation")
La coerenza del programma di sicurezza è necessaria per il collaudo. Se le firme non sono
identiche, è possibile ripristinare la coerenza compilando nuovamente il programma di
sicurezza e creando una nuova stampa di sicurezza.
11.3 Completezza della stampa di sicurezza
Introduzione
Quando è disponibile una versione dei dati di progetto rilevanti per la sicurezza pronta per il
collaudo, devono essere eseguiti e documentati dei controlli aggiuntivi della stampa di
sicurezza per accertarne la completezza e l'appartenenza al programma di sicurezza da
sottoporre al collaudo.
Procedura di creazione della stampa di sicurezza

Per creare la stampa di sicurezza procedere come descritto in Creazione della stampa di
sicurezza (Pagina 329).
Utilizzare l'opzione "All" per stampare anche il codice sorgente dei blocchi F.
Verifica della completezza della stampa

Se si desidera utilizzare una stampa esistente ma non si è sicuri della sua completezza, è
necessario verificare se nel piè di pagina di tutte le pagine della stampa è presente la stessa
firma collettiva F. La firma certifica che tutte le pagine appartengono allo stesso progetto.
Nella sezione "Supplementary information“ è riportato il numero delle pagine della stampa di
sicurezza. Questo consente di verificare che tutte le pagine della stampa di sicurezza siano
state stampate. Le stampe incomplete (ad es. a causa di difetti di stampa dovuti alla
mancanza di inchiostro) non possono essere utilizzate per il collaudo.
Se la stampa di sicurezza è stata creata con l'opzione "All" viene stampato anche il codice
sorgente di tutti i blocchi F. Sulla stampa del codice sorgente è presente anche un piè di
pagina che consente di abbinare facilmente il codice sorgente alla rispettiva stampa di
sicurezza.
La voce "Number of pages in the safety summary" non include le pagine in cui viene emesso il
codice sorgente dei blocchi F.

11.4 Corrispondenza degli elementi della biblioteca di sistema utilizzati nel programma di sicurezza con
l'Allegato 1 del report del certificato TÜV
Appartenenza al programma di sicurezza

Controllare nella sezione "General information" della stampa di sicurezza se la firma
collettiva F corrisponde, online e offline, alla firma collettiva F del programma di sicurezza da
collaudare nell'area di lavoro del Safety Administration Editor in "General". In caso di
discrepanze, la stampa e il programma di sicurezza non sono associati.
11.4 Corrispondenza degli elementi della biblioteca di sistema

utilizzati nel programma di sicurezza con l'Allegato 1 del report
del certificato TÜV
Introduzione
STEP 7 Safety contiene le istruzioni KOP/FUP per la programmazione del programma di
sicurezza e i blocchi di sistema F necessari per la creazione di un programma di sicurezza
eseguibile creati e testati da SIEMENS e certificati TÜV. I blocchi di sistema F utilizzati
automaticamente dal sistema F vengono definiti in base alla versione impostata del sistema
Safety (vedere il capitolo Area "Settings" (Pagina 87)).
Per verificare se le istruzioni KOP/FUP e i blocchi di sistema F utilizzati coincidono con
l'Allegato 1 del report del certificato TÜV e con le versioni previste dall'utente, questi elementi
sono elencati nella stampa di sicurezza.
Procedura
Scaricare l'Allegato 1 aggiornato del report del certificato TÜV "SIMATIC Safety" da Internet
(http://support.automation.siemens.com/WW/view/it/49368678/134200).
Per il controllo procedere nel modo seguente:
AVVERTENZA
• (S7-1200, S7-1500) La stampa di sicurezza elenca nella sezione "System library elements
used in safety program" versioni delle istruzioni KOP/FUP con versione che devono
coincidere con le versioni riportate nell'Allegato 1 del report per il certificato TÜV.
• (S7-300, S7-400) La stampa di sicurezza elenca nella sezione "System library elements
used in safety program" versioni, firme e firme del valore iniziale di istruzioni KOP/FUP
con versione e blocchi del sistema F che devono coincidere con le versioni, firme e firme
del valore iniziale riportate nell'Allegato 1 del report per il certificato TÜV.
• Le versioni elencate nella stampa di sicurezza delle istruzioni KOP/FUP con versione
devono soddisfare i requisiti di sicurezza dell'applicazione da realizzare.
Fare attenzione alle possibili differenze tra le funzionalità delle versioni descritte nel
capitolo della rispettiva istruzione.
• Nella stampa di sicurezza sotto "Safety program settings" viene indicata la "Safety system
version". Questa deve coincidere con le versioni riportate nell'Allegato 1 del report per il
certificato TÜV. (S054)

11.5 Corrispondenza dei blocchi F con protezione del know-how utilizzati nel programma di sicurezza con la relativa docum
In caso di differenze ricontrollare se sono disponibili le versioni corrette.

(S7-300/400) È possibile che si verifichino delle differenze anche se all'interno del
programma di sicurezza sono presenti blocchi F/istruzioni non utilizzati/e.
11.5 Corrispondenza dei blocchi F con protezione del know-how

utilizzati nel programma di sicurezza con la relativa
documentazione di sicurezza
Se per la programmazione del programma di sicurezza vengono utilizzati blocchi F con know-
how protetto (ad es. biblioteche), il relativo codice sorgente non viene stampato nella stampa
di sicurezza.
Pertanto è necessario eseguire un collaudo del blocco F già in fase di creazione del blocco F
con protezione del know-how e rendere disponibili le seguenti informazioni:
F-CPU S7-300/400
• Firma e firma del valore iniziale del blocco F con protezione del know-how
• Firme e firme del valore iniziale di tutti i blocchi F richiamati
Durante il collaudo dell'impianto, eseguire i controlli seguenti con l'ausilio della stampa di
sicurezza:
• La firma e la firma del valore iniziale di ciascun blocco F con know-how protetto elencate
nella sezione "F-blocks in the safety program" della stampa di sicurezza devono coincidere
con la firma e la firma del valore iniziale documentate dall'utente che ha creato i blocchi.
• Le versioni delle istruzioni KOP/FUP utilizzate elencate nella sezione "System library
elements used in safety program" della stampa di sicurezza devono coincidere con le
versioni di ciascun blocco F con protezione del know-how documentate dall'utente che ha
creato i blocchi o essere identiche dal punto di vista funzionale.
• Le firme e le firme del valore iniziale dei blocchi F richiamati in ciascuno dei blocchi F con
know-how protetto elencate nella sezione "F-blocks in the safety program" della stampa di
sicurezza devono coincidere con le firme e le firme del valore iniziale (dei blocchi F
richiamati) documentate dall'utente che ha creato i blocchi.
In caso di differenze impostare le versioni documentate (o identiche dal punto di vista
funzionale) e utilizzare i blocchi F con le firme e le firme del valore iniziale documentate. Se i
conflitti di versione non possono essere eliminati a causa di altre dipendenze, contattare il
produttore del blocco F con know-how protetto per ottenere una versione collaudata
compatibile.

11.6 Completezza e correttezza della configurazione hardware
F-CPU S7-1200/1500
• Firma del blocco F con protezione del know-how
• Versione del sistema Safety impostata durante la configurazione della protezione del
know-how
• Firme di tutti gli F-FB/F-FC richiamati nel blocco F con know-how protetto.
• Firme di tutti gli F-DB ai quali accede il blocco F con know-how protetto.
Durante il collaudo dell'impianto, eseguire i controlli seguenti con l'ausilio della stampa di
sicurezza:
• La firma di ciascun blocco F con know-how protetto indicata nella sezione "Know-how
protected F-blocks in the safety program" della stampa di sicurezza deve coincidere con la
firma documentata dall'utente che ha creato i blocchi.
• La versione del sistema Safety di ciascun blocco F con know-how protetto indicata nella
sezione "Know-how protected F-blocks in the safety program" della stampa di sicurezza
deve coincidere con una delle versioni elencate nell'Allegato 1 del report del certificato
TÜV.
• Le versioni delle istruzioni KOP/FUP utilizzate in ciascun blocco F con know-how protetto
elencate nella sezione "Know-how protected F-blocks in the safety program" della stampa
di sicurezza devono coincidere con le versioni documentate dall'utente che ha creato i
blocchi o essere identiche dal punto di vista funzionale.
• Le firme dei blocchi F richiamati in ciascuno dei blocchi F con know-how protetto elencate
nella sezione "Know-how protected F-blocks in the safety program" della stampa di
sicurezza devono coincidere con le firme (dei blocchi F richiamati) documentate
dall'utente che ha creato i blocchi.
In caso di differenze impostare le versioni documentate (o identiche dal punto di vista
funzionale) e utilizzare i blocchi F con le firme documentate. Se i conflitti di versione non
possono essere eliminati a causa di altre dipendenze, contattare il produttore del blocco F con
know-how protetto per ottenere una versione collaudata compatibile.
Introduzione
La configurazione hardware è una parte essenziale del progetto da collaudare. Durante la
progettazione dell'hardware, sono state effettuate impostazioni che possono influenzare la
sicurezza dei segnali. È necessario utilizzare la stampa di sicurezza per documentare queste
impostazioni e dimostrare di avere soddisfatto i requisiti di sicurezza dell'applicazione.

A tale scopo è disponibile la sezione "Hardware configuration of F-I/O" nella stampa di

sicurezza. Questa sezione è composta da più tabelle:
• una tabella con informazioni sulla F-CPU e sulle aree degli indirizzi di destinazione utilizzati
e "Central F-source address" della F-CPU
• Tabelle riassuntive con la periferia F utilizzata
• una tabella per ogni periferia F con informazioni sulla periferia F e tutti i parametri della
periferia F con i valori progettati
Poiché anche l'amministrazione degli utenti del server web fa parte della configurazione
hardware, è necessario verificare l'assegnazione del diritto "F-admin". L'assegnazione del
diritto "F-admin" può essere controllata solo nel Safety Administration Editor nell'area "Web
server F-admins".
Nota
Osservare che la periferia F indirizzata tramite la comunicazione di sicurezza I-slave-slave si
trovano nella stampa di sicurezza della F-CPU dell'I-slave e non in quella della F-CPU del
master DP assegnato.
Nella stampa di sicurezza della F-CPU del master DP, nella tabella panoramica si trova
un'avvertenza per questa periferia F che indica che non è assegnata a questa F-CPU.
Nota
In caso di impiego di Shared Devices:
Osservare che la periferia F indirizzate in uno Shared Device si trovano nella stampa di
sicurezza della F-CPU dell'IO Controller a cui sono assegnate.
Nella stampa di sicurezza delle F-CPU degli altri IO Controller, tra i quali è suddiviso lo Shared
Device, nella tabella panoramica di questa periferia F si trova un'avvertenza che indica che
non è assegnata a questa F-CPU.
Procedura per il controllo della completezza della configurazione hardware

Controllare che tutta la periferia F configurata sia inclusa nella stampa di sicurezza.
Assicurarsi inoltre che non vi sia alcuna periferia F che non sia stata configurata come
appartenente a questa F-CPU
Nota
Se si utilizza il controllo di configurazione (ampliamenti futuri), la stampa di sicurezza deve
contenere tutta la periferia F della configurazione massima. I seguenti controlli devono essere
eseguiti per tutta la periferia F della configurazione massima.

Procedura per controllare la correttezza della configurazione hardware tramite la stampa di

sicurezza
Per controllare la correttezza della configurazione hardware, procedere nel modo seguente:
1. Controllare nella sezione "Hardware configuration of F-I/O" l'univocità degli indirizzi
PROFIsafe.
Osservare a riguardo il capitolo Indirizzi PROFIsafe della periferia F del tipo di indirizzo
PROFIsafe 1 (Pagina 64) o Indirizzi PROFIsafe della periferia F del tipo di indirizzo PROFIsafe
2 (Pagina 66), Particolarità durante la progettazione di slave DP standard fail-safe e di
device IO standard fail-safe (Pagina 74) e Raccomandazione per l'assegnazione degli
indirizzi PROFIsafe (Pagina 61).
– Controllare se i parametri "Central F-source address" delle singole F-CPU differiscono a
livello di rete. Le F-CPU a cui sono assegnate solo periferie F del tipo di indirizzo
PROFIsafe 1 non devono essere considerate in questo controllo.
– Per la periferia F del tipo di indirizzo PROFIsafe 1, controllare che gli indirizzi di
destinazione F siano conformi alla seguente avvertenza:
AVVERTENZA
tramite il suo indirizzo di destinazione F (ad es. con la posizione del selettore
indirizzi).
L'indirizzo di destinazione F (e quindi anche la posizione del selettore indirizzi) della
periferia F deve essere univoco in tutta la rete* e in tutta la CPU**/*** (nell'intero
sistema) per l'intera periferia F. Va considerata qui anche la periferia F del tipo di
indirizzo PROFIsafe 2. (S051)
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP
(IP, Layer 3).
** "in tutta la CPU" significa tutta la periferia F assegnata a una F-CPU: periferia F
centrale di questa F-CPU e periferia F per la quale la F-CPU è master DP/IO Controller e
periferia F assegnata in uno Shared Device. La periferia F indirizzata tramite
comunicazione I-slave-slave, è assegnata alla F-CPU dell'I-slave e non alla F-CPU del
master DP/IO Controller.
devono essere considerate come una unica F-CPU per quando riguarda gli indirizzi
PROFIsafe. Pertanto, il sistema imposta "Central F-source address" in modo identico per
le due F-CPU.
Nota
Informazioni aggiuntive sull'assegnazione univoca degli indirizzi PROFIsafe per tutta la
CPU e tutta la rete sono contenute nelle FAQ

– Per la periferia F del tipo di indirizzo PROFIsafe 2, controllare che gli indirizzi di
destinazione F siano conformi alla seguente avvertenza:
AVVERTENZA
combinando l'indirizzo di origine F (parametro "Central F-source address" della F-CPU
assegnata) e l'indirizzo di destinazione F.
La combinazione dell'indirizzo di origine F e dell'indirizzo di destinazione F di ciascuna
periferia F deve essere univoca in tutta le rete* e in tutta la CPU**/*** (nell'intero
sistema). Inoltre l'indirizzo di destinazione F non deve essere occupato dalla
periferia F del tipo di indirizzo PROFIsafe 1.
Per assicurare l'univocità delle configurazioni supportate (Pagina 62) anche oltre la
F-CPU, il parametro "Central F-source address" di tutte le F-CPU deve essere univoco in
tutta la rete*. A questo scopo sono necessarie delle impostazioni differenti del
parametro "Central F-source address" delle F-CPU. (S052)
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP
(IP, Layer 3).
** "in tutta la CPU" significa tutta la periferia F assegnata a una F-CPU: periferia F
centrale di questa F-CPU e periferia F per la quale la F-CPU è master DP/IO Controller e
periferia F assegnata in uno Shared Device. La periferia F indirizzata tramite
comunicazione I-slave-slave, è assegnata alla F-CPU dell'I-slave e non alla F-CPU del
master DP/IO Controller.
PROFIsafe. Pertanto, il sistema imposta "Central F-source address" in modo identico per
le due F-CPU.
Nota

– In caso di slave DP standard fail-safe/device IO standard fail-safe, controllare che gli

indirizzi PROFIsafe siano conformi alla seguente avvertenza:
AVVERTENZA
Verificare nella documentazione dello slave DP standard fail-safe/IO device standard

fail-safe qual è il tipo di indirizzo PROFIsafe valido. In assenza di indicazioni utilizzare il
tipo di indirizzo PROFIsafe 1. Per la progettazione procedere come descritto in Indirizzi
PROFIsafe della periferia F del tipo di indirizzo PROFIsafe 1 (Pagina 64) o Indirizzi
PROFIsafe della periferia F del tipo di indirizzo PROFIsafe 2 (Pagina 66).
Impostare l'indirizzo di origine F per gli slave DP standard fail-safe / gli IO device
standard fail-safe secondo le indicazioni del produttore. Se l'indirizzo di origine F deve
coincidere con il parametro "Central F-source address" della F-CPU (tipo di indirizzo
PROFIsafe 2), quest'ultimo è reperibile nella scheda "Proprietà" della F-CPU. In questo
caso controllare nella stampa di sicurezza se il valore della F-CPU per il parametro
"Central F-source address" coincide con il valore dell'indirizzo di origine F dello slave
DP standard fail-safe / dell'IO device standard fail-safe. (S053)
2. Controllare i parametri rilevanti per la sicurezza (compreso il tempo di controllo F o

F_WD_Time) di tutta la periferia F progettata.
Questi parametri si trovano nella sezione "Hardware configuration of F-I/O" nelle tabelle
dettagliate della periferia F.
La tabella è composta da due parti:
– Il lato sinistro contiene i parametri che si riferiscono alla periferia F ("Module data").
– Il lato destro contiene i parametri dei singoli canali ("Channel parameters").
Questi parametri devono essere impostati in base ai requisiti di sicurezza dell'applicazione.
In caso di utilizzo di slave DP standard/device IO standard fail-safe, osservare la
documentazione corrispondente per ulteriori parametri (tecnologici) rilevanti per la
sicurezza.
Nota
Le periferie F che, ad eccezione degli indirizzi PROFIsafe, devono ottenere gli stessi
parametri rilevanti per la sicurezza, possono essere copiate durante la progettazione Con
essi, ad eccezione degli indirizzi PROFIsafe, non è più necessario controllare singolarmente
tutti i parametri rilevanti per la sicurezza. È sufficiente un confronto della "F-parameter
signature (without addresses)" nella sezione"Hardware configuration of F-I/O" nella tabella
panoramica. Vale anche per gli slave DP standard/device IO standard fail-safe senza
parametri i. Per gli slave DP standard/device IO standard con parametri i, la "F-parameter
signature (without addresses)" potrebbe non corrispondere, anche se tutti i parametri
rilevanti per la sicurezza, ad eccezione degli indirizzi PROFIsafe, corrispondono. In questo
caso non è necessario confrontare tutti i parametri rilevanti pe la sicurezza.
Eccezione:
Per le periferie F che non supportano il profilo "RIOforFA-Safety", è necessario confrontare
il parametro "Behavior after channel fault" oltre alla "F-parameter signature (without
addresses)", se disponibile.

3. Verificare se i numeri di articolo della periferia F nella stampa di sicurezza corrispondono ai

numeri di articolo della periferia F effettivamente presente nel sistema. Se i numeri di
articolo sono diversi, la periferia F esistente deve essere compatibile con la periferia F
elencata nella stampa di sicurezza.
4. Per le configurazioni non supportate osservare il capitolo Configurazioni supportate dal
sistema F SIMATIC Safety (Pagina 62).
AVVERTENZA
Se si progettano delle configurazioni che non fanno parte delle configurazioni supportate
• Accertarsi che la periferia F di questa configurazione compaia nella stampa di
sicurezza e che sia stato creato un apposito DB di periferia F. In caso contrario la
periferia F non potrà essere utilizzata in questa configurazione. (Rivolgersi al
Customer Support.)
• Controllare per la periferia F nell'ambiente PROFINET IO** la correttezza del
parametro del modo di funzionamento PROFIsafe (F_Par_Version) utilizzando la
stampa di sicurezza. Nell'ambiente PROFINET IO va impostato V2-Mode. La periferia F
che supporta solo V1-Mode non può essere utilizzata in ambiente PROFINET IO.
• Verificare l'assegnazione univoca in tutta la CPU*/**** e in tutta la rete***
dell'indirizzo PROFIsafe:
– Controllare la correttezza degli indirizzi PROFIsafe in base alla stampa di sicurezza.
– Controllare in base alla stampa di sicurezza se l'indirizzo di origine F della
periferia F del tipo di indirizzo PROFIsafe 2 coincide con il parametro "Central F-
source address" della F-CPU.
– Per la periferia F del tipo di indirizzo PROFIsafe 1 o se l'indirizzo di origine F non è
correttamente impostabile per il parametro "Central F-source address" della F-CPU,
si deve assicurare l'univocità dell'indirizzo PROFIsafe solo con l'assegnazione di un
indirizzo di destinazione F univoco.
In una configurazione non supportata, l'univocità dell'indirizzo di destinazione F deve
essere controllata singolarmente per ciascuna periferia F utilizzando la stampa di
sicurezza.
(S050)
* "in tutta la CPU" significa tutta la periferia F assegnata a una F-CPU: periferia F centrale di
assegnata in uno Shared Device. La periferia F indirizzata tramite comunicazione I-slave-
slave, è assegnata alla F-CPU dell'I-slave e non alla F-CPU del master DP/IO Controller.
** La periferia F si trova nell'"ambiente PROFINET IO" se almeno una parte della
comunicazione di sicurezza con la F-CPU avviene via PROFINET IO. Se la periferia F è
collegata mediante comunicazione I-slave-slave, va tenuto in considerazione il percorso di
comunicazione con il master DP/IO Controller.
*** Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
Layer 3).

PROFIsafe. Pertanto, il sistema imposta "Central F-source address" in modo identico per le
due F-CPU.
Nota
5. Verificare nel Safety Administration Editor o nella stampa standard dei dati di progetto che
solo le persone autorizzate abbiamo il diritto "F-admin".
AVVERTENZA
L'autorizzazione "F-Admin" sul server Web senza protezione con password (utente
"Everybody") è prevista a scopo di test, per la messa in servizio, ecc. Questo significa che
può essere utilizzata solo quando l'impianto non si trova nel funzionamento produttivo.
In questo caso la sicurezza dell'impianto deve essere assicurata con altre misure
organizzative (Pagina 611).
È necessario rimuovere l'autorizzazione "F-Admin" dell'utente "Everybody" prima di
passare al funzionamento produttivo.
La password utente del server Web con l'autorizzazione "F-Admin" deve essere accessibile
solo a persone autorizzate. Dopo il caricamento della configurazione hardware,
controllare se sulla F-CPU solo gli utenti autorizzati del server Web possiedono
l'autorizzazione "F- Admin". A tal fine utilizzare la modalità online del Safety
Il salvataggio del file di login e della password del server Web nel browser è consentito
solo se sono state adottate altre misure organizzative (Pagina 611) che impediscono
l'utilizzo da parte di persone non autorizzate.
Se si utilizza il meccanismo dei ticket, è necessario impostare i ticket con lo stesso livello
di limitazione della password dell'utente del server Web che ha il diritto "F Admin".
(S064)
Vedere anche
Area "Web server F-admins" (S7-1200, S7-1500) (Pagina 87)

11.7 Correttezza e completezza della progettazione della comunicazione
11.7 Correttezza e completezza della progettazione della

comunicazione
Introduzione
La comunicazione di sicurezza si basa sui meccanismi della comunicazione standard di
STEP 7.
Per rilevare gli errori che la comunicazione standard non rivela, i collegamenti di
comunicazione di sicurezza tra le F-CPU sono ulteriormente protetti. Per questa protezione
sono necessari ulteriori parametri, che devono essere documentati e verificati in fase di
collaudo.
A tale scopo, la stampa di sicurezza contiene le sezioni "Block parameters for safety-related
CPU-CPU-communication" e "Overview of communication via Flexible F-Link". La sezione
"Block parameters for safety-related CPU-CPU-communication" contiene fino a due tabelle
(per la comunicazione tramite PROFIBUS DP o PROFINET IO e per la comunicazione tramite
collegamenti S7). La sezione "Overview of communication via Flexible F-Link" contiene una
tabella con la panoramica delle progettazioni dei collegamenti e per i tipi di dati PLC (UDT)
conformi a F, una tabella "Communication via Flexible F-Link for UDT".
Non tutte le comunicazioni di sicurezza sono disponibili per tutte le F-CPU. Per ulteriori
informazioni vedere il capitolo "Comunicazione di sicurezza (Pagina 192)".
Nota
Le affermazioni fatte in questo capitolo sulla comunicazione tramite Flexible F-Link si
applicano anche quando questa comunicazione viene utilizzata tra gruppi di esecuzione F.
Procedura per la controllo della correttezza della progettazione di comunicazione
Per la comunicazione di sicurezza con le istruzioni SENDS7/RCVS7 osservare il seguente

avviso:
AVVERTENZA
essere selezionato liberamente, ma deve essere dispari e univoco in tutta la rete* e in tutta
la CPU per tutti i collegamenti di comunicazione orientati alla sicurezza. Il valore R_ID + 1
viene assegnato internamente e non deve essere utilizzato.
Al richiamo dell'istruzione, agli ingressi ID e R_ID devono essere assegnati dei valori costanti.
Nel programma di sicurezza non sono consentiti accessi diretti né in lettura né in scrittura
nei rispettivi DB di istanza! (S020)
Layer 3).

11.7 Correttezza e completezza della progettazione della comunicazione
Per la comunicazione di sicurezza con le istruzioni SENDDP/RCVDP osservare il seguente

avviso:
AVVERTENZA
Layer 3).
comunicazione.
Per la comunicazione tramite Flexible F-Link osservare i seguenti avvisi:
AVVERTENZA

11.8 Identità del programma online e offline
AVVERTENZA
11.8 Identità del programma online e offline

Dopo aver controllato tutte le proprietà del programma di sicurezza offline, è necessario
assicurarsi che il programma di sicurezza sia identico anche sulla F-CPU su cui deve essere
eseguito.
AVVERTENZA
In un sistema S7-1500HF ridondante l'identificazione del programma offline-online deve

essere eseguita nello stato di funzionamento RUN ridondante. È sufficiente eseguire il test
per una sola HF-CPU S7-1500. (S098)
1. Eseguire un collegamento online con la F-CPU. Se più F-CPU sono raggiungibili dallo stesso
PG/PC tramite un rete (ad es. Industrial Ethernet), occorre adottare le seguenti misure
aggiuntive per assicurarsi che i dati di progetto vengano caricati nella F-CPU corretta. Ad es.
con "Online & diagnostics" > "Online accesses " > "Flash LED".
2. Aprire il Safety Administration Editor.
3. Verificare che le firme collettive F online e offline corrispondano alla firma collettiva F della
stampa di sicurezza.
4. Controllare solo nell'area "General" in "Safety program status", se i programmi di sicurezza
sono online e offline.
Utilizzare la visualizzazione "Status" e "Version comparison" per verificare la situazione ed
eseguire eventualmente la misura proposta:
Stato Confronto delle Dichiarazione Provvedimento

versioni
Irrilevante I programmi di sicurezza sono • Assicurarsi di essere
diversi.
collegati alla F-CPU
desiderata.
• Caricare il programma di
sicurezza nella F-CPU.
I programmi di sicurezza sono Il programma di sicurezza
uguali, ma vengono usate deve essere caricato nella
diverse versioni di blocchi F. F-CPU, affinché le versioni
attuali diventino operative.
I programmi di sicurezza sono nessuno
uguali.

11.9 Altre proprietà
Osservare che solo confrontando le modifiche si può ottenere l'informazione certa se i

programmi di sicurezza sono uguali. La visualizzazione tramite le firme serve solo a rilevare
rapidamente le modifiche.
Introduzione
Inoltre, è necessario controllare alcune proprietà che sono rilevanti anche per il collaudo del
progetto.
Controllo di plausibilità per il trasferimento dei dati dal programma standard al programma di
sicurezza
Verificare se è stato programmato un controllo di plausibilità per tutti i dati trasferiti dal
programma utente standard al programma di sicurezza. A tal fine, nella sezione "Data from
the standard user program" vengono elencate tutte le variabili del programma utente
standard, che si leggono nel programma di sicurezza. Le variabili del programma utente
standard che si scrivono nel programma di sicurezza non sono elencate qui, poiché non ne è
richiesto un controllo di plausibilità. Osservare a riguardo l'avvertenza S015 nel capitolo
"Trasferimento dei dati dal programma utente standard al programma di sicurezza
(Pagina 189)".
Richiamo multiplo di un F-FB o di una istruzione con la stessa istanza (istanza singola o multipla)
Verificare di avere utilizzato una istanza distinta per ciascun richiamo di un F-FB o di una
istruzione.
Generalmente i richiami multipli con la stessa istanza non sono funzionali e richiedono
particolare attenzione:
Ad esempio, se si trasmette esplicitamente un operando (ad es. come costante) nel 1º
richiamo dell'istanza ma il 2º richiamo non contiene una trasmissione esplicita (che renda
valido il valore iniziale), si deve verificare quale valore è valido per l'operando nel 2º richiamo.
A riguardo vanno considerate anche le operazioni di avviamento, gli OB con priorità superiore
o altri elementi analoghi nei quali può trovarsi il 1º richiamo.
Controllo della versione del programma

Verificare che la versione di STEP 7 Safety con cui è stata creata la stampa (nel piè di pagina
della stampa) sia almeno la versione con cui è stato compilato il programma di sicurezza.
L'ultima versione si trova nella sezione "General information" della stampa di sicurezza in
"Used versions". Entrambe le versioni devono essere elencate nell'Allegato 1 del report del
certificato TÜV.

Possibilità di disattivazione del funzionamento di sicurezza

Verificare che il funzionamento di sicurezza non possa essere disattivato. Questa
informazione si trova nella sezione "General information" in "Safety program settings". Con
questa impostazione si garantisce che il funzionamento del programma di sicurezza non
possa essere disattivato inavvertitamente. Osservare a riguardo l'avvertenza S027 nel capitolo
"disattivazione del funzionamento di sicurezza (Pagina 333)".
Versione di sistema Safety con una HF-CPU S7-1500

Verificare se la versione del sistema Safety è V2.4 o superiore quando si utilizza una HF-CPU
S7-1500.
Questa informazione si trova nella sezione "General information" in "Safety program settings".
Verificare nella sezione "General information" in "Access protection" se l'impostazione per la
protezione di accesso. Osservare a questo proposito la seguente avvertenza.
In caso contrario, il progetto non deve essere accettato perché il programma di sicurezza
della F-CPU non è protetto da accessi non autorizzati
AVVERTENZA
AVVERTENZA
protection)". Questo livello di protezione concede l'accesso completo solo al programma
utente standard, ma non ai blocchi F.
Se si sceglie un livello di protezione più alto, ad es. per proteggere il programma utente

11.10 Collaudo delle modifiche
Introduzione
In linea di principio, si può eseguire la procedura per il collaudo di modifiche esattamente
come per il primo collaudo dell'impianto (vedere Panoramica del collaudo dell'impianto
(Pagina 355)).
È necessario controllare l'insieme dei dati di progetto rilevanti per la sicurezza (programma di
sicurezza e configurazione hardware rilevante per la sicurezza) per verificare eventuali
modifiche e determinare i dati di progetto rilevanti per la sicurezza da convalidare e
collaudare come parte di un'analisi degli effetti.
AVVERTENZA
In caso di un collaudo della modifica, è necessario verificare se le modifiche previste sono

state eseguite in modo corretto e completo.
È inoltre necessario verificare che non siano state apportate modifiche indesiderate in
un'altra posizione (ad es. inserimento di periferia F o istruzioni aggiuntive). (S072)
Per evitare di dovere collaudare nuovamente l'intero sistema in caso di piccole modifiche,
STEP 7 Safety aiuta a identificare le parti del programma di sicurezza che sono state
modificate.
Per il collaudo di modifiche procedere nel modo seguente:
1. Localizzare le modifiche nei dati di progetto rilevanti per la sicurezza:
– blocchi F modificati o aggiunti di recente
– istruzioni e blocchi di sistema F modificati o aggiunti di recente
– parametri rilevanti per la sicurezza o periferia F aggiunta di recente
– struttura della configurazione hardware di sicurezza (ad es. posizioni degli slot o
indirizzi iniziali delle periferie F).
– comunicazione di sicurezza modificata tramite Flexible F-Link
2. Da queste modifiche, determinare i dati di progetto rilevanti per la sicurezza interessati
(analisi degli effetti). Può trattarsi anche di dati di progetto rilevanti per la sicurezza che non
sono stati modificati.
3. Successivamente eseguire la convalida e il collaudo dei dati di progetto rilevanti per la
sicurezza interessati dalle modifiche.
Nota
Non è possibile un collaudo delle modifiche dopo la migrazione CPU.

AVVERTENZA
In caso di modifiche che potrebbero modificare l'assegnazione degli indirizzi di

ingresso/uscita e il cablaggio è necessario eseguire un test del cablaggio (Pagina 337).
Alcuni esempi di questo tipo di modifiche sono:
• Aggiunta di periferie F
• Modifica dell'indirizzo iniziale di periferie F
• Modifica della posizione del posto connettore di periferie F
• Modifica
– del telaio di montaggio
– dell'indirizzo dello slave / del device
– della sottorete PROFIBUS DP/PROFINET IO
– dell'indirizzo IP
– del nome del dispositivo
(S071)
Localizzazione delle modifiche nei dati di progetto rilevanti per la sicurezza:

Per potere localizzare modifiche rilevanti, sono necessari due progetti TIA:
• Progetto di riferimento: Questo progetto contiene i dati di progetto già collaudati
inizialmente. Questi dati costituiscono il punto di partenza per il confronto seguente.
• Progetto da collaudare: Questo progetto contiene i dati attuali del progetto rilevanti per la
sicurezza. È il risultato del progetto di riferimento e delle modifiche apportate.
Per potere localizzare le modifiche, è necessario confrontare i dati di progetto rilevanti per la
sicurezza del progetto di riferimento con quelli del progetto da collaudare.
La firma collettiva F consente un accesso rapido in caso si verifichino modifiche rilevanti. In
caso di modifiche, le modifiche rilevanti sono nei dati di progetto relativi alla sicurezza.
(S7-1200, S7-1500) Ora è possibile utilizzare la firma collettiva F-SW, la firma collettiva F-HW
e la firma dell'indirizzo di comunicazione F per stabilire se le modifiche sono contenute nel
programma di sicurezza (firma collettiva F-SW modificata) e/o nella configurazione hardware
rilevante per la sicurezza (firma complessiva F-HW) e/o nei dati di comunicazione (con
Flexible F-Link, firma dell'indirizzo di comunicazione F).
Localizzazione di modifiche nel programma di sicurezza

(S7-1200, S7-1500) Un modo rapido per individuare le modifiche del programma di sicurezza
consiste nel confrontare la firma collettiva F-SW dei dati di progetto rilevanti per la sicurezza
nel progetto di riferimento con la firma collettiva F-SW dei dati di progetto rilevanti per la
sicurezza nel progetto da collaudare. In caso di differenze, nel programma di sicurezza
esistono modifiche che devono essere convalidate ed event. collaudate.

Per localizzare le modifiche del programma di sicurezza, eseguire un confronto offline-online

tra il programma di sicurezza del progetto da collaudare e il programma di sicurezza del
progetto di riferimento (vedere Confronto dei programmi di sicurezza (Pagina 326)).
Utilizzare l'impostazione del filtro "Compare only F-blocks relevant for certification" In questo
modo, si limita l'emissione del confronto sui blocchi F rilevanti.
AVVERTENZA
Assicurarsi che il criterio di confronto "Safety" sia attivato, in modo che i criteri rilevanti per il
collaudo di una modifica siano presi in considerazione nel confronto. (S069)
Disattivando i restanti criteri di confronto, è possibile ignorare le differenze irrilevanti per il

collaudo delle modifiche (ad es., data e ora).
Dallo stato del confronto si può riconoscere quali blocchi F sono stati modificati.
(S7-1200, S7-1500) In alternativa al confronto offline-offline, è possibile localizzare le
modifiche del programma di sicurezza confrontando le firme di gruppo A tal fine, utilizzare le
stampe di sicurezza del progetto di riferimento e del progetto da collaudare. I gruppi con
firme invariate indicano che non sono stati modificati i blocchi F nei gruppi stessi o nei gruppi
subordinati. Per i gruppi con firma di gruppo modificata, è possibile localizzare i blocchi F
modificati in base alla firma del blocco modificata. Osservare che l'assegnazione dei blocchi F
nei gruppi non viene rilevata dalla firma complessiva F.
Localizzare le modifiche della configurazione hardware rilevante per la sicurezza

(S7-1200, S7-1500) Un modo rapido per individuare le modifiche della configurazione
hardware rilevante per la sicurezza consiste nel confrontare la firma collettiva F-HW dei dati di
progetto rilevanti per la sicurezza nel progetto di riferimento con la firma collettiva F-HW dei
dati di progetto rilevanti per la sicurezza nel progetto da collaudare. In caso di differenze,
esistono modifiche nella configurazione hardware rilevante per la sicurezza che devono
essere convalidate ed eventualmente collaudate.
(S7-1200, S7-1500) Se la firma collettiva di F-HW è stata modificata e tutta la periferia F sono
rimaste invariate, ciò indica che i parametri rilevanti per la sicurezza della F-CPU sono stati
modificati o che qualcosa è stato modificato nella struttura della configurazione hardware
rilevante per la sicurezza, ad es: le posizioni degli slot.
Per la localizzazione delle modifiche rilevanti per la sicurezza nella configurazione hardware,
sono disponibili due possibilità:
• Localizzazione mediante confronto offline-offline
• Localizzazione del confronto di due stampe di sicurezza
La procedura è descritta di seguito.

Localizzazione mediante confronto offline-offline

Per un confronto, il progetto di riferimento e il progetto da collaudare devono essere coerenti
e compilati. Per l'esecuzione del confronto vedere Confronto dei programmi di sicurezza
(Pagina 326).
1. Navigare nel risultato del confronto fino alla cartella "F-system blocks > STEP 7 Safety > F-I/O
DBs". Tutti i blocchi di dati elencati in questa cartella sono DB di periferia F e ciascuno di essi
è assegnato a una periferia F.
– Se i DB delle periferia F sono uguali nel risultato del confronto, anche la configurazione
rilevante per la sicurezza della periferia F assegnata non è stata modificata. I parametri
standard potrebbero essere cambiati.
– Se i DB delle periferia F sono diversi nel risultato del confronto, anche la configurazione
rilevante per la sicurezza della periferia F assegnata è stata modificata.
– Se i DB della periferia F sono contrassegnati come "non disponibili" nel risultato del
confronto, è possibile che le relative periferie F siano state eliminate o aggiunte o che il
nome o gli indirizzi iniziali delle periferie F siano stati modificati. In questo caso,
l'assegnazione di un DB di periferia F a una determinata periferia F è riportata nella
stampa di sicurezza in "Hardware configuration of F-I/O".
2. Se si riscontrano periferie F che sono state modificate, è possibile controllare i parametri
modificati nella stampa di sicurezza come descritto di seguito.
Localizzazione del confronto di due stampe di sicurezza

Un confronto in base a due stampe di sicurezza si effettua nel modo seguente:
1. Confrontare nella sezione "Hardware configuration of the F-I/O" gli indirizzi iniziali (indirizzi
I/O), il parametro "Behavior after channel fault" e lo slot delle periferie F.
2. Nella sezione "Hardware configuration of F-I/O" della tabella panoramica delle periferie F
utilizzate, confrontare i CRC dei parametri delle periferie F con quelli della stampa di
sicurezza della F-CPU corrispondente del progetto di riferimento.
– Se la "Parameter signature (w/o addresses)" è diversa per una periferia F, si verifica una
modifica dei parametri rilevanti per la sicurezza della periferia F.
In questo caso, verificare i parametri di sicurezza della periferia F e l'univocità degli
indirizzi PROFIsafe nella relativa tabella dettagliata.
– Se la "Parameter signature (w/o addresses)" è identica, sono stati modificati solo gli
indirizzi PROFIsafe.
In questo caso è sufficiente verificare l'univocità degli indirizzi PROFIsafe.
Per il controllo procedere come descritto nei capitolo "Completezza e correttezza della
configurazione hardware (Pagina 360)".

(S7-1200, S7-1500) Rilevamento di modifiche nella comunicazione con Flexible F-Link

Un modo rapido per individuare le modifiche nella progettazione della comunicazione con
Flexible F-Link consiste nel confrontare la firma dell'indirizzo di comunicazione F dei dati di
progetto rilevanti per la sicurezza nel progetto di riferimento con la firma dell'indirizzo di
comunicazione F dei dati di progetto rilevanti per la sicurezza nel progetto da collaudare. Se
questi valori sono diversi, esistono modifiche nella progettazione della comunicazione (solo
UUID) con Flexible F-Link che devono essere convalidate ed eventualmente collaudate. Altri
parametri di comunicazione, come il timeout o la direzione di trasmissione, sono coperti dalla
firma collettiva F-SW (vedere "Detection of changes in the safety program" sopra).
Per localizzare le modifiche nella progettazione di comunicazione con Flexible F-Link,
confrontare la tabella "Overview of communications via Flexible F-Link" del progetto di
riferimento con quella del progetto da collaudare nella rispettiva stampa di sicurezza.
Vedere anche
Accesso alle variabili del DB di periferia F (Pagina 167)

Funzionamento e manutenzione 12
12.1 Note sull'avviamento del sistema F
Con la F-CPU nello stato di funzionamento "AVVIAMENTO" il programma utente standard si
avvia come sempre.
Nel programma di sicurezza, generalmente tutti i contenuti degli F-DB vengono ripristinati ai
valori iniziali contenuti nella memoria di caricamento.
La reintegrazione automatica della periferia F (Pagina 168) viene effettuata a partire dal 2º
ciclo del gruppo di esecuzione F.
Nota
Il ripristino degli F-DB ai valori iniziali contenuti nella memoria di caricamento ha inoltre le
seguenti conseguenze:
• vengono resettate le eventuali informazioni di errore memorizzate.
• vengono resettati i merker di fronte nelle istruzioni o negli F-FB con analisi del fronte
(ad es. nell'istruzione TON), affinché un fronte di segnale positivo venga rilevato
immediatamente, in caso di interrogazione del fronte di segnale positivo, per un segnale
che ha lo stato "TRUE" già nel 1° ciclo di un gruppo di esecuzione F.
12.2 Avvertenze per il funzionamento di sicurezza del programma di

sicurezza
Introduzione
Osservare le seguenti avvertenze per il funzionamento di sicurezza del programma di
sicurezza.

Funzionamento e manutenzione
12.2 Avvertenze per il funzionamento di sicurezza del programma di sicurezza
Impiego di dispositivi di simulazione/programmi di simulazione
AVVERTENZA
Impiego di dispositivi di simulazione/programmi di simulazione negli impianti
Se si utilizzano dispositivi di simulazione/programmi di simulazione che generano
telegrammi di sicurezza, ad es. conformi a PROFIsafe, e li mettono a disposizione del
sistema F SIMATIC Safety tramite il sistema di bus (ad es. PROFIBUS DP o PROFINET IO), si
deve garantire la sicurezza dell'impianto con delle misure organizzative (Pagina 611).
Osservare che ad es. un analizzatore di protocolli non deve eseguire alcuna funzione per la
riproduzione delle sequenze di telegrammi registrate con risposta temporale corretta.
• S7-PLCSIM versione < 15.1 o S7-PLCSIM Advanced versione < 2.0 SP1 e sistema
Safety versione < V2.2
Se per la simulazione dei programmi di sicurezza si utilizza S7-PLCSIM (Pagina 331), le
misure sopra indicate non sono necessarie, poiché S7-PLCSIM non è in grado di stabilire
un collegamento online con un componente reale.
• S7-PLCSIM versione ≥ 15.1 o S7-PLCSIM Advanced versione ≥ 2.0 SP1 o sistema
Safety versione ≥ V2.2
È necessario garantire la sicurezza dell'impianto mediante misure organizzative.
Anche il caricamento dei dati di progetto rilevanti per la sicurezza con versione del
sistema Safety V2.2 o superiore su un S7-PLCSIM è consentito solo a partire da S7-PLCSIM
V15.1 o a partire da S7-PLCSIM Advanced V2.0 SP1.
(S030)
Nota
Con un S7-PLCSIM inferiore a V15.1 o S7-PLCSIM Advanced inferiore a V2.0 SP1 e una
versione di sistema Safety V2.2 e superiore, il programma di sicurezza passa in STOP. Nel
buffer di diagnostica della F-CPU viene registrata la causa dell'evento di diagnostica.

Portare la F-CPU nello stato di funzionamento STOP
AVVERTENZA
STOP ad es. tramite comando del PG/PC, selettore dei modi operativi, funzione di
comunicazione o istruzione "STP"
L'attivazione di uno stato di STOP ad es. tramite comando del PG/PC, selettore dei modi
operativi, funzione di comunicazione o istruzione "STP" e il mantenimento di uno stato di
STOP non sono orientati alla sicurezza. Lo stato di STOP può facilmente essere annullato
(anche accidentalmente) ad es. tramite un comando del PG/PC.
In caso di commutazione STOP/RUN di una F-CPU, il programma utente standard viene
avviato come di consueto. All'avviamento del programma di sicurezza, generalmente tutti i
contenuti DB degli F-DB vengono ripristinati ai valori iniziali contenuti nella memoria di
caricamento. Questo comporta la perdita delle informazioni di errore memorizzate. Il
sistema F esegue una reintegrazione automatica della periferia F.
Se il processo non lo consente, nel programma di sicurezza deve essere programmata una
protezione contro il (ri)avviamento: L'emissione dei valori di processo deve essere bloccata
fino alla conferma utente (vedere "Realizzazione di una conferma utente"). Questa conferma
utente può avvenire solo se l'emissione dei valori di processo è possibile senza pericolo e gli
errori sono stati eliminati (vedere Programmazione protezione avviamento (Pagina 151)).
(S031)

Errore CRC in caso di accesso della periferia F o di comunicazione sicura
Nota
Errore CRC in caso di accesso della periferia F o di comunicazione sicura
Osservare che, a causa di un errore CRC, viene richiesta una conferma manuale più di una
volta nell'arco di 100 ore e ciò si verifica di frequente, è necessario verificare se sono state
rispettate le direttive di configurazione della tecnologia di rete utilizzata.
Gli errori CRC si riconoscono per le seguenti situazioni:
• In caso di accesso della periferia F, la variabile ACK_REQ del DB della periferia è impostata
e la variabile DIAG del DB della periferia indica errori CRC con bit 2 o bit 6.
• In caso di comunicazione di sicurezza con le istruzioni SENDDP/RCVDP, l'uscita ACK_REQ
dell'istruzione RCVDP è impostata e l'uscita DIAG dell'istruzione SENDDP/RCVDP indica gli
errori CRC con il bit 6.
• In caso di comunicazione di sicurezza con le istruzioni SENDS7/RCVS7, l'uscita ACK_REQ
dell'istruzione RCVS7 è impostata e l'uscita DIAG dell'istruzione SENDS7/RCVS7 indica gli
errori CRC con il bit 6.
• Quando si comunica con Flexible F-Link, la variabile ACK_REQ del DB di comunicazione F
per la ricezione è impostata e la variabile DIAG del DB di comunicazione F per la
trasmissione/ricezione indica l'errore CRC con il bit 6.
oppure
• Nel buffer di diagnostica della F-CPU viene registrato un errore CRC.
I valori della probabilità di errore
(https://support.industry.siemens.com/cs/ww/en/view/109481784) (PFDavg/PFH) per la
comunicazione di sicurezza non si applicano più in questo caso.
Per informazioni sulle direttive di configurazione per PROFINET e PROFIBUS vedere in:
• PROFIBUS Installation Guidelines (www.profibus.com/PBInstallationGuide)
• PROFIBUS Interconnection Technology
(http://www.profibus.com/nc/downloads/downloads/profibus-interconnection-
technology/display/)
• PROFINET Installation Guidelines (www.profibus.com/PNInstallationGuide)
• PROFINET Cabling and Interconnection Technology
(http://www.profibus.com/nc/downloads/downloads/profinet-cabling-and-
interconnection-technology/display/)
• PROFIsafe Environment Requirments (www.profibus.com/PROFIsafeRequirements)
Se dalla verifica risulta che le direttive di configurazione di PROFINET e PROFIBUS sono state
rispettate, contattare il Customer Support.

12.3 Sostituzione di componenti hardware e software
Introduzione
Procedere come nel programma standard. Osservare inoltre le seguenti sezioni.
Sostituzione di componenti software

Quando si sostituiscono i componenti software sul PG/PC, ad es. con una nuova versione di
STEP 7, è necessario osservare le avvertenze relative alla compatibilità verso l'alto e verso il
basso contenute nella documentazione e nei file Leggimi di questi prodotti (ad es. STEP 7
Safety).
In caso di sostituzione di STEP 7 Safety controllare se la versione di STEP 7 Safety è elencata
nell'Allegato 1 del report sul certificato TÜV.
Sostituzione di componenti hardware

La sostituzione dei componenti hardware per SIMATIC Safety (F-CPU, periferia F, batterie,
ecc.) avviene come per i sistemi di automazione standard.
Se si sostituisce una periferia F con un'altra periferia F che ha un numero di articolo più
recente e occupa più indirizzi I/O, la nuova e più ampia area di indirizzi I/O può essere già
occupata da un'altra periferia F.
Ad es., se si sostituisce un modulo F F-DI 8x24VDC HF con numero di articolo
6ES7136-6BA00-0CA0 con un modulo F 6ES7136-6BA01-0CA0. In seguito alla sostituzione
l'indirizzo finale degli indirizzi di ingresso e di uscita aumenta di 1 byte. In questo caso STEP 7
assegna al modulo F una nuova area di indirizzi I/O libera. La variabile corrispondente della
tabella delle variabili dovrà quindi essere adattata manualmente ai nuovi indirizzi I/O.
Sostituzione di una HF-CPU in un sistema ridondante S7-1500 HF

Osservare la seguente avvertenza durante la sostituzione di una HF-CPU di un sistema
ridondante S7-1500HF:
AVVERTENZA
Se si sostituisce una F-CPU in un sistema ridondante S7-1500HF (ad es. in seguito a

un'anomalia della CPU, un guasto, ecc.), si deve mettere in servizio la F-CPU sostitutiva con
la SIMATIC Memory Card della F-CPU precedente o con una SIMATIC Memory Card vuota. In
questo modo si garantisce che, dopo un SYNCUP riuscito della F-CPU sostitutiva, venga
eseguito solo il programma di sicurezza precedente. (S094)

Sostituzione di Software Controller S7-1500 F
AVVERTENZA
Dopo la sostituzione della CPU (ad es. nuovo PC con supporto dati del vecchio PC), la
sostituzione del supporto dati (ad es. sostituzione del supporto dati con programma di
sicurezza 1 con un supporto dati con programma di sicurezza 2) o un aggiornamento UEFI,
controllare sul display se viene visualizzata la firma collettiva F completa corretta oppure
eseguire una identificazione del programma. (S066)
Estrazione e inserimento della periferia F durante il funzionamento

Se per la periferia standard è possibile l'estrazione e l'inserimento durante il funzionamento, è
possibile anche per la periferia F. Osservare tuttavia che la sostituzione di una periferia F
durante il funzionamento provoca un errore di comunicazione nella F-CPU.
L'errore di comunicazione deve essere confermato nel programma di sicurezza nelle variabili
ACK_REI del DB di periferia F (Pagina 159) o in alternativa tramite l'istruzione "ACK_GL
(Pagina 479)". Senza conferma la periferia F resta passivata.
Aggiornamento del firmware CPU

Controllo dell'ammissibilità F del sistema operativo CPU: Quando si utilizza un nuovo sistema
operativo della CPU (aggiornamento del firmware), è necessario verificare che il sistema
operativo della CPU utilizzato sia approvato per l'utilizzo in un sistema F.
Nell'allegato del certificato è indicato a partire da quale versione del sistema operativo della
CPU è garantita l'idoneità F. È necessario osservare sia queste informazioni sia le eventuali
avvertenze del nuovo sistema operativo della CPU.
Aggiornamento del firmware per il moduli di interfaccia

Quando si utilizza un nuovo sistema operativo per un modulo d'interfaccia, ad es. IM 151-1
HIGH FEATURE ET 200S (aggiornamento del firmware), è necessario osservare quanto segue:
Se durante l'aggiornamento del firmware è stata selezionata l'opzione "Attivazione del
firmware dopo l'aggiornamento" (vedere la Guida a STEP 7 "Online & Diagnostica"), l'IM viene
automaticamente resettato dopo un processo di caricamento riuscito e quindi funziona con il
nuovo sistema operativo. Osservare che l'aggiornamento del firmware per i moduli di
interfaccia causa un errore di comunicazione nella F-CPU durante il funzionamento.
L'errore di comunicazione deve essere confermato nel programma di sicurezza nelle variabili
ACK_REI dei DB di periferia F (Pagina 159) o in alternativa tramite l'istruzione "ACK_GL
(Pagina 479)". Senza conferma la periferia F resta passivata.
Manutenzione preventiva (test periodico)

Il test periodico per componenti elettronici complessi implica solitamente la sostituzione con
componenti nuovi.

Valori PFDavg, valori PFH per F-CPU S7-300/400 e periferia F

L'elenco dei valori di probabilità di guasto (valori PFDavg, valori PFH) per i componenti
utilizzabili in SIMATIC Safety si trova Internet
Valori PFDavg, valori PFH per F-CPU S7-1200/1500

Qui di seguito sono riportati i valori della probabilità di errore (valori PFDavg, PFH) delle F-CPU
S7-1200/1500 considerato una service life di 20 anni e un tempo di riparazione di 100 ore:
Modo di funzionamento con tasso di richiesta basso Modo di funzionamento con tasso di richiesta alto o
low demand mode continuo
secondo IEC 61508:2010: high demand/continuous mode
PFDavg = Average probability of dangerous failure on secondo IEC 61508:2010:

demand PFH = Average frequency of a dangerous failure [h-1]
< 2E-05 < 1E-09 fino a un'altitudine di impiego di 3 000 m:
< 2E-09 per un'altitudine di impiego da 3 000 a 5 000 m
Ulteriori informazioni sulle condizioni di utilizzo delle F-CPU si trovano nelle PI delle F-CPU
(https://support.industry.siemens.com/cs/ww/it/view/109478599) e nelle PI dei valori PFDavg,
valori PFH (https://support.industry.siemens.com/cs/ww/it/view/109481784).
Valori PFDavg, valori PFH per la comunicazione i sicurezza

Di seguito si trovano valori per la probabilità di guasto (valori PFDavg, valori PFH) per la
comunicazione di sicurezza:
Modo di funzionamento con tasso di richiesta basso Modo di funzionamento con tasso di richiesta alto o
low demand mode continuo
secondo IEC 61508:2010: high demand/continuous mode
PFDavg = Average probability of dangerous failure on secondo IEC 61508:2010:

demand PFH = Average frequency of a dangerous failure [h-1]
< 1E-05* < 1E-09*
* Avvertenza F-CPU S7-300/400:

Il valore PFH si applica nell'ipotesi che un massimo di 100 periferie F siano coinvolte in una
funzione di sicurezza. Se si utilizzano più di 100 periferie F, è necessario aggiungere altri
4E-12 per ogni periferia F per questa funzione di sicurezza..
Il valore PFDavg vale per una service life di 20 anni e presuppone che un massimo di 25
periferie F siano coinvolte in una funzione di sicurezza. Se si utilizzano più di 25 periferie F, è
necessario aggiungere altri 3,5E-7 per ogni periferia F per questa funzione di sicurezza.

12.4 Guida alla consultazione della diagnostica (S7-300, S7-400)
12.4 Guida alla consultazione della diagnostica (S7-300, S7-400)
Introduzione
Qui si trova una raccolta delle opzioni di diagnostica che possono essere valutate per il
sistema F. La maggior parte delle opzioni di diagnostica non sono diverse da quelle dei
sistemi di automazione standard. La sequenza dei passi è una raccomandazione.
Sequenza di passi per l'analisi delle possibilità di diagnostica

La tabella seguente mostra i passi per valutare le possibilità di diagnostica.
Passo Procedura Descrizione vedere...

1 Valutazione dei LED sull'hardware (F-CPU, periferia F): Manuali della F-CPU e della
periferia F
• LED BUSF della F-CPU: lampeggia in caso di un errore di comunicazione
su PROFIBUS DP/PROFINET IO;
accesso, se OB 85 e OB 121 sono programmati, in caso di un errore del

programma (ad es. DB di istanza non caricato)
• LED STOP della F-CPU: accesso se la F-CPU è nello stato di funzionamento
STOP
• LED di errore della periferia F: ad es. LED SF (LED errore cumulativo)
acceso se si è verificato un errore qualsiasi nella periferia F specifica
2 Valutazione del buffer di diagnostica delle unità: Guida a STEP 7 e manuali della
La lettura del buffer di diagnostica di una unità (F-CPU, periferia F, CP) nella F-CPU e della periferia F
vista online e di diagnostica nel gruppo "Buffer di diagnostica" della cartella
"Online & Diagnostica".
3 Analisi delle stack della F-CPU: Guida a STEP 7
se la F-CPU si trova nello stato di funzionamento STOP, leggere in
successione:
• Stack del blocco: controllare se lo STOP della F-CPU è stato attivato da un
blocco F del programma di sicurezza
• Stack di interruzione
• Stack dei dati locali

12.5 Guida alla consultazione della diagnostica (S7-1500)
Passo Procedura Descrizione vedere...

4 Valutare le variabili di diagnostica del DB della periferia F tramite Accesso alla periferia F
funzioni di test e messa in servizio, tramite un sistema di servizio e (Pagina 152)
supervisione o nel programma utente standard:
valutare la variabile DIAG nel DB di periferia F
5 Valutare gli ingressi di diagnostica del DB di istanza delle istruzioni Istruzioni
tramite funzioni di test e messa in servizio, tramite un sistema di
servizio e supervisione o nel programma utente standard:
• Per MUTING, EV1oo2DI, TWO_H_EN, MUT_P, ESTOP1, FDBACK, SFDOOR
valutare nel DB di istanza assegnato:
– Uscita DIAG
• Per SENDDP o RCVDP valutare nel DB di istanza assegnato:
– Uscita RET_DPRD/RET_DPWR
– Uscita DIAG
• Per SENDS7 o RCVS7 valutare nel DB di istanza assegnato:
– Uscita STAT_RCV
– Uscita STAT_SND
– Uscita DIAG
Suggerimento per RET_DPRD/RET_DPWR

Le informazioni di diagnostica delle uscite RET_DPRD/RET_DPWR delle istruzioni SENDDP o
RCVDP corrispondono alle informazioni di diagnostica del valore di ritorno RETVAL delle
istruzioni "DPRD_DAT" o "DPWR_DAT". La descrizione si trova nella guida a STEP 7 per le
istruzioni "DPRD_DAT" e "DPWR_DAT".
Suggerimento per STAT_RCV e STAT_SND

L'informazione di diagnostica dell'uscita STAT_RCV delle istruzioni SENDS7 o RCVS7
corrisponde all'informazione di diagnostica dell'uscita STATUS dell'istruzione "URCV".
L'informazione di diagnostica dell'uscita STAT_SND delle istruzioni SENDS7 o RCVS7
corrisponde all'informazione di diagnostica dell'uscita STATUS dell'istruzione "USEND". La
descrizione si trova nella guida a STEP 7 per l'istruzione "UCRV" o "USEND".

Per informazioni dettagliate sulla di una F-CPU S7-1500 consultare il manuale di guida alle
funzioni Diagnostica (http://support.automation.siemens.com/WW/view/it/59192926).

Per informazioni dettagliate sulla diagnostica di una F-CPU S7-1200 consultare Manuale sulla
sicurezza funzionale S7-1200
(http://support.automation.siemens.com/WW/view/it/104547552).

Istruzioni STEP 7 Safety V18 13
Panoramica delle istruzioni per il programma di sicurezza
Per la programmazione di un blocco F, nella task card "Instructions" si trovano tutte le
istruzioni che si possono utilizzare per programmare un blocco F in KOP o FUP con la F-CPU
progettata.
Oltre alle istruzioni già note per la programmazione di un dispositivo standard, sono
disponibili funzioni di sicurezza speciali, ad es. per il controllo a due mani, l'analisi delle
discrepanze, il muting, l'ARRESTO DI EMERGENZA/OFF di emergenza, la sorveglianza del
riparo di protezione circuito di retroazione, nonché istruzioni per la comunicazione di
sicurezza CPU-CPU.
Osservare
Nota
Un collegamento dell'ingresso di abilitazione EN o dell'uscita di abilitazione ENO non è
possibile.
Eccezione:
(S7-1200, S7-1500) Con le seguenti istruzioni è possibile programmare un riconoscimento di
overflow collegando l'uscita di abilitazione ENO:
• ADD: Somma (STEP 7 Safety V18) (Pagina 511)
• SUB: Sottrazione (STEP 7 Safety V18) (Pagina 514)
• MUL: Moltiplicazione (STEP 7 Safety V18) (Pagina 517)
• DIV: Divisione (STEP 7 Safety V18) (Pagina 519)
• NEG: Creazione del complemento a due (STEP 7 Safety V18) (Pagina 523)
• ABS: Generazione del valore assoluto (STEP 7 Safety V18) (S7-1200, S7-1500)
(Pagina 526)
• CONVERT: Conversione del valore (STEP 7 Safety V18) (Pagina 538)

Istruzioni STEP 7 Safety V18
13.1 Informazioni generali
13.1.1 KOP
13.1.1.1 Nuovo segmento (STEP 7 Safety V18)
Requisiti
Un blocco F è aperto.
Procedura
Per inserire una nuova rete procedere nel modo seguente:
1. Selezionare la rete dopo la quale intende inserire una nuova rete.
2. Selezionare "New network" dal menu di scelta rapida.
Nota
Se si inserisce un elemento nell'ultima rete ancora vuota del blocco F in un programma KOP,
viene automaticamente creata una nuova rete vuota sotto l'elemento.
Risultato
Nel blocco F viene inserita una nuova rete vuota.
13.1.1.2 Box vuoto (STEP 7 Safety V18)
Requisiti
È presente una rete
Procedura
Per inserire un'istruzione KOP in una rete con un box vuoto procedere nel modo seguente:
1. Aprire la task card "Instructions".
2. Navigare a "Basic instructions > General > Empty box".
3. Trascinare l'elemento "Empty box" mediante drag & drop nel punto desiderato all'interno
della rete.

4. Spostare il puntatore del mouse sul triangolo giallo nell'angolo in alto a destra del box vuoto.
Si apre una casella di riepilogo.
5. Selezionare l'istruzione desiderata nella casella di riepilogo.
Se l'istruzione è un blocco funzionale (FB) interno al sistema, si apre la finestra di dialogo "Call
options". Questa finestra di dialogo consente di creare per il blocco funzionale di un blocco
dati di istanza come istanza singola o multiistanza, nel quale vengono salvati i dati
dell'istruzione inserita. Una volta generato, il nuovo blocco dati di istanza si trova nella
cartella "Program resources" della navigazione del progetto, alla voce "Program blocks >
System blocks". Se si è selezionato "multi-instance", si trova nell'interfaccia del blocco, nella
sezione "Static".
Risultato
Il box vuoto viene modificato per l'istruzione corrispondente. Per i parametri vengono inseriti
i segnaposto e vengono inseriti dei segnaposto.
13.1.1.3 Apertura della diramazione (STEP 7 Safety V18)
Descrizione
Se si desidera programmare dei collegamenti paralleli con il linguaggio di programmazione
Schema di contatto (KOP), utilizzare rami. I rami vengono inseriti nel montante principale. È
possibile inserire più contatti nel ramo e creare così un collegamento parallelo di
collegamenti in serie. In questo modo si possono programmare schemi a contatti complessi.
Requisiti
• È presente una rete
• La rete deve contenere elementi.
Procedura
Per inserire un nuovo ramo in una rete procedere nel modo seguente:
2. Navigare a "Basic instructions > General > Open branch".
3. Trascinare l'elemento mediante drag & drop nel punto desiderato all'interno della rete.
4. Se si desidera impostare il nuovo ramo direttamente sulla sbarra di corrente, trascinare
l'elemento su di essa.

Esempio
La figura seguente mostra un esempio di utilizzo dei rami:
13.1.1.4 Chiusura della diramazione (STEP 7 Safety V18)
Descrizione
I rami devono essere richiusi in punti adeguati. Se necessario i rami vengono disposti in modo
tale da evitare sovrapposizioni incrociate.
Requisiti
È presente un ramo.
Procedura
Per chiudere un ramo aperto procedere nel modo seguente:
1. Selezionare il ramo aperto.
2. Premere e tenere premuto il tasto sinistro del mouse.
Spostando il puntatore del mouse viene visualizzata una linea tratteggiata.
3. Trascinare la linea tratteggiata su un punto adeguato nella rete. I collegamenti ammessi
vengono visualizzati con linee verdi.
4. Rilasciare il tasto sinistro del mouse.
Esempio

13.1.2 FUP
13.1.2.1 Nuovo segmento (STEP 7 Safety V18)
Requisiti
Un blocco F è aperto.
Procedura
Per inserire una nuova rete procedere nel modo seguente:
1. Selezionare la rete dopo la quale intende inserire una nuova rete.
2. Selezionare "New network" dal menu di scelta rapida.
Nota
Se si inserisce un elemento nell'ultima rete ancora vuota del blocco F in un programma FUP,
viene automaticamente creata una nuova rete vuota sotto l'elemento.
Risultato
Nel blocco F viene inserita una nuova rete vuota.
13.1.2.2 Box vuoto (STEP 7 Safety V18)
Requisiti
Procedura
Per inserire un elemento FUP in una rete con un box vuoto procedere nel modo seguente:
2. Navigare a "Basic instructions > General > Empty box".
3. Trascinare l'elemento "Empty box" mediante drag & drop nel punto desiderato all'interno
della rete.
4. Spostare il puntatore del mouse sul triangolo giallo nell'angolo in alto a destra del box vuoto.
Si apre una casella di riepilogo.
5. Selezionare nella casella di riepilogo l'elemento FUP desiderato.

Se l'istruzione è un blocco funzionale (FB) interno al sistema, si apre la finestra di dialogo "Call
options". Questa finestra di dialogo consente di creare per il blocco funzionale di un blocco
dati di istanza come istanza singola o multiistanza, nel quale vengono salvati i dati
dell'istruzione inserita. Una volta generato, il nuovo blocco dati di istanza si trova nella
cartella "Program resources" della navigazione del progetto, alla voce "Program blocks >
System blocks". Se si è selezionato "multi-instance", si trova nell'interfaccia del blocco, nella
sezione "Static".
Risultato
Il box vuoto viene modificato per l'istruzione corrispondente. Per i parametri vengono inseriti
i segnaposto e vengono inseriti dei segnaposto.
13.1.2.3 Apertura della diramazione (STEP 7 Safety V18)
Descrizione
Per programmare i collegamenti in parallelo con il linguaggio di programmazione Schema
funzionale (FUP), utilizzare le diramazioni che si inseriscono tra i box. In un ramo è possibile
inserire ulteriori box e programmare quindi schemi funzionali complessi.
Requisiti
Procedura
Per inserire un nuovo ramo in una rete procedere nel modo seguente:
2. Nella tavolozza navigare su "Basic instructions > General > Branch".
3. Trascinare l'elemento mediante drag & drop nel punto desiderato di una linea di
collegamento tra due box.
Esempio

13.1.2.4 Inserimento di un ingresso binario (STEP 7 Safety V18)
Descrizione
Con l'istruzione "Insert binary input" è possibile ampliare con un ingresso binario il box di una
delle seguenti istruzioni:
• "AND logic operation"
• "OR logic operation"
• "EXCLUSIVE OR logic operation"
Ampliando il box di un'istruzione è possibile interrogare lo stato di segnale di diversi
operandi.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Parametri Dichiarazione Tipo di dati Descrizione

<Operando> Input BOOL L'operando indica il bit di cui viene interrogato lo stato di
segnale.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Il box dell'istruzione "AND logic operation" è stato ampliato con un ulteriore ingresso binario
nel quale viene interrogato lo stato di segnale dell'operando "TagIn_3". L'uscita "TagOut"
viene impostata se gli operandi "TagIn_1", "TagIn_2" e "TagIn_3" forniscono lo stato di segnale
"1".
Vedere anche
Combinazione logica AND (STEP 7 Safety V18) (Pagina 407)
Combinazione logica OR (STEP 7 Safety V18) (Pagina 408)
X: Combinazione logica OR ESCLUSIVO (STEP 7 Safety V18) (Pagina 409)
13.1.2.5 Inversione di RLO (STEP 7 Safety V18)
Descrizione
L'istruzione "Invert RLO" consente di invertire il risultato logico combinatorio (RLO).

13.2 Combinazioni logiche di bit
Esempio
L'uscita "TagOut" viene impostata se sono soddisfatte le seguenti condizioni:

• Gli ingressi "TagIn_1" e/o "TagIn_2" forniscono lo stato di segnale "0".
• Gli ingressi "TagIn_3" e/o "TagIn_4" forniscono lo stato di segnale "0", oppure l'ingresso
"TagIn_5" fornisce lo stato di segnale "1".
13.2.1 KOP
13.2.1.1 ---| |---: Contatto normalmente aperto (STEP 7 Safety V18)
Descrizione
L'attivazione di un contatto normalmente aperto dipende dallo stato di segnale del
corrispondente operando. Se l'operando ha lo stato di segnale "1", il contatto normalmente
aperto viene chiuso. La corrente passa dalla sbarra di corrente sinistra nella sbarra di corrente
destra attraverso il contatto normalmente aperto e lo stato di segnale nell'uscita
dell'istruzione viene impostato a "1".
Se l'operando ha lo stato di segnale "0", il contatto normalmente aperto non viene attivato. Il
flusso di corrente verso la sbarra di corrente destra viene interrotto e lo stato di segnale
nell'uscita dell'istruzione viene resettato a "0".
Nei collegamenti in serie vengono collegati bit per bit due o più contatti normalmente aperti
con l'operazione AND. Nei collegamenti in serie la corrente passa se tutti i contatti sono
chiusi.
Nei collegamenti in parallelo i contatti normalmente aperti vengono combinati tramite OR.
Nei collegamenti in parallelo la corrente passa se uno dei contatti è chiuso.

Parametri

<Operando> Input BOOL Operando di cui viene interrogato lo stato di segnale.
Esempio
L'operando "TagOut" viene impostato se è soddisfatta una delle seguenti condizioni:

• Gli operandi "TagIn_1" e "TagIn_2" forniscono lo stato di segnale "1".
• Lo stato di segnale dell'operando "TagIn_3" è "1".
13.2.1.2 ---| / |---: Contatto normalmente chiuso (STEP 7 Safety V18)
Descrizione
L'attivazione di un contatto normalmente chiuso dipende dallo stato di segnale del
corrispondente operando. Se l'operando ha lo stato di segnale "1", il contatto normalmente
chiuso viene aperto e lo stato di segnale sull'uscita dell'istruzione viene resettato su "0".
Se l'operando ha lo stato di segnale "0", il contatto normalmente chiuso non viene attivato e
lo stato di segnale sull'uscita dell'istruzione viene impostato su "1".
Nei collegamenti in serie vengono collegati bit per bit due o più contatti normalmente chiusi
con l'operazione AND. Nei collegamenti in serie la corrente passa se tutti i contatti sono
chiusi.
Nei collegamenti in parallelo i contatti normalmente chiusi vengono combinati tramite OR.
Nei collegamenti in parallelo la corrente passa se uno dei contatti è chiuso.
Parametri

<Operando> Input BOOL Operando di cui viene interrogato lo stato di segnale.

Esempio

13.2.1.3 --|NOT|--: Inversione di RLO (STEP 7 Safety V18)
Descrizione
L'istruzione "Invert RLO" consente di invertire lo stato di segnale del risultato logico
combinatorio (RLO). Se l'ingresso dell'istruzione ha lo stato di segnale "1", l'uscita ha lo stato
di segnale "0". Se lo stato di segnale nell'ingresso dell'istruzione è "0", l'uscita ha lo stato di
segnale "1".
Esempio
L'operando "TagOut" viene resettato se viene soddisfatta una delle seguenti condizioni:
• L'operando "TagIn_1" fornisce lo stato di segnale "1".
• Lo stato di segnale degli operandi "TagIn_2" e "TagIn_3" è "1".

13.2.1.4 ---( )---: Assegnazione (STEP 7 Safety V18)
Descrizione
L'istruzione "Assignment" consente di impostare il bit di uno specifico operando. Se il risultato
logico combinatorio (RLO) nell'ingresso della bobina è "1", l'operando indicato viene
impostato sullo stato di segnale "1". Se nell'ingresso della bobina lo stato di segnale è "0", il
bit dell'operando indicato viene resettato a "0".
Questa istruzione non influisce sull'RLO. L'RLO nell'ingresso della bobina viene trasferito
direttamente nell'uscita.
L'istruzione "Assignment" può essere inserita in qualsiasi punto della rete.
Parametri

<Operando> Output BOOL Operando al quale viene assegnato l'RLO.
Esempio

13.2.1.5 ---( R )---: Reset dell'uscita (STEP 7 Safety V18)
Descrizione
L'istruzione "Reset output" consente di resettare a "0" lo stato di segnale di un operando
specifico.
Se la bobina riceve corrente (RLO "1"), l'operando specificato viene impostato a "0". Se il
risultato logico combinatorio nell'ingresso della bobina è "0" (nessun flusso di segnale nella
bobina), lo stato di segnale dell'operando indicato resta invariato.

direttamente nell'uscita della bobina.
Nota
Se si desidera utilizzare un parametro formale di un F-FC per l'operando dell'istruzione, esso
deve essere dichiarato come parametro di transito.
Nota
Se per l'operando dell'istruzione viene utilizzata l'area operandi "Local data (temp)", il bit di
dati locali utilizzato deve essere prima inizializzato.
Nota
Non è possibile utilizzare le aree operandi "Process image of the inputs", "Process image of
the outputs" della periferia standard, "Standard DB" e "Bit memory" per l'operando
dell'istruzione.
Parametri

<Operando> Output BOOL Operando che viene resettato se RLO = "1".
Esempio
L'operando "TagOut" viene resettato se viene soddisfatta una delle seguenti condizioni:
• Gli operandi "TagIn_1" e "TagIn_2" forniscono lo stato di segnale "1"

13.2.1.6 ---( S )---: Impostazione dell'uscita (STEP 7 Safety V18)
Descrizione
L'istruzione "Set output" consente di impostare a "1" lo stato di segnale di un operando
specifico.
Se la bobina riceve corrente (RLO "1"), l'operando specificato viene impostato a "1". Se il
risultato logico combinatorio nell'ingresso della bobina è "0" (nessun flusso di segnale nella
bobina), lo stato di segnale dell'operando indicato resta invariato.
direttamente nell'uscita della bobina.
Nota
L'istruzione non viene eseguita se viene utilizzata sull'uscita di una periferia F passivata
(ad es. all'avviamento del sistema F). Se possibile accedere alle uscite della periferia F solo
con l'istruzione "Assignment".
L'uscita di una periferia F è passivata se nel relativo DB di periferia F è impostato QBAD o
QBAD_O_xx = 1 oppure uno stato del valore = 0 .
Nota
Nota
Nota
dell'istruzione.
Parametri

<Operando> Output BOOL Operando che viene impostato se l'RLO = "1".

Esempio

13.2.1.7 SR: Impostazione/reset flip-flop (STEP 7 Safety V18)
Descrizione
L'istruzione "Set/reset flip-flop" consente di impostare o resettare il bit di un operando
specifico in funzione dello stato di segnale negli ingressi S e R1. Se lo stato di segnale
nell'ingresso S è "1" e nell'ingresso R1 è "0", l'operando specificato viene impostato a "1". Se lo
stato di segnale nell'ingresso S è "0" e nell'ingresso R1 è "1", l'operando specificato viene
resettato a "0".
L'ingresso R1 prevale sull'ingresso S. Con uno stato di segnale "1" in entrambi gli ingressi S e
R1 lo stato di segnale dell'operando indicato viene resettato a "0".
Se lo stato di segnale di entrambi gli ingressi S e R1 è "0" l'istruzione non viene eseguita. In
questo caso lo stato di segnale dell'operando resta invariato.
Lo stato di segnale attuale dell'operando viene trasferito nell'uscita Q, dove può essere letto.
Nota
Nota
Non è possibile utilizzare le aree operandi "Process image", "Standard DB" e "Bit memory" per
l'operando dell'istruzione.

Parametri

S Input BOOL Abilitazione dell'impostazione
R1 Input BOOL Abilitazione del reset
<Operando> Output BOOL Operando che viene impostato o resettato.
Q Output BOOL Stato di segnale dell'operando
Esempio
Gli operandi ""F_DB_1".TagSR" e "TagOut" vengono impostati se sono soddisfatte le seguenti

condizioni:
• L'operando "TagIn_2" ha lo stato di segnale "0".
Gli operandi ""F_DB_1".TagSR" e "TagOut" vengono resettati se è soddisfatta una delle
seguenti condizioni:
• L'operando "TagIn_1" ha lo stato di segnale "0" e l'operando "TagIn_2" lo stato di segnale
"1".
• Gli operandi "TagIn_1" e "TagIn_2" forniscono entrambi lo stato di segnale "1".
13.2.1.8 RS: Reset/impostazione flip-flop (STEP 7 Safety V18)
Descrizione
L'istruzione "Reset/set flip-flop" consente di resettare o impostare il bit di un operando
specifico in funzione dello stato di segnale negli ingressi R e S1. Se lo stato di segnale
nell'ingresso R è "1" e nell'ingresso S1 è "0", l'operando specificato viene resettato a "0". Se lo
stato di segnale nell'ingresso R è "0" e nell'ingresso S1 è "1", l'operando specificato viene
impostato a "1".
L'ingresso S1 prevale sull'ingresso R. Con uno stato di segnale "1" in entrambi gli ingressi R e
S1 lo stato di segnale dell'operando indicato viene impostato a "1".
Se lo stato di segnale di entrambi gli ingressi R e S1 è "0" l'istruzione non viene eseguita. In

Nota
Nota
Parametri

R Input BOOL Abilitazione del reset
S1 Input BOOL Abilitazione dell'impostazione
<Operando> Output BOOL Operando che viene resettato o impostato.
Esempio
Gli operandi ""F_DB_1".TagRS" e "TagOut" vengono resettati se sono soddisfatte le seguenti

condizioni:
Gli operandi ""F_DB_1".TagRS" e "TagOut" vengono impostati se sono soddisfatte le seguenti
condizioni:
"1".

13.2.1.9 --|P|--: Interrogazione del fronte di salita del segnale di un operando

(STEP 7 Safety V18)
Descrizione
L'istruzione "Scan operand for positive signal edge" consente di rilevare se nello stato di
segnale di un operando specifico (<Operando1>) è presente un passaggio da "0" a "1".
L'istruzione confronta lo stato di segnale attuale dell'<Operando1> con quello
dell'interrogazione precedente memorizzato nell'<Operando2>. Se l'istruzione rileva un
passaggio da "0" a "1" nel risultato logico combinatorio, è presente un fronte di salita positivo.
Se viene rilevato un fronte di salita, l'uscita dell'istruzione ha lo stato di segnale "1". In tutti gli
altri casi lo stato di segnale sull'uscita dell'istruzione è "0".
L'operando da interrogare (<Operando1>) va indicato nell'apposito segnaposto sopra
l'istruzione. Il merker del fronte (<Operando2>) va indicato nell'apposito segnaposto sotto
l'istruzione.
Nota
L'indirizzo del merker del fronte non può essere utilizzato più di una volta nel programma
poiché in questo caso il merker del fronte viene sovrascritto. Questo influenza l'analisi del
fronte, compromettendo l'univocità del risultato.
Nota
Se si desidera utilizzare un parametro formale di un F-FC per il merker del fronte
<Operando2> dell'istruzione, esso deve essere dichiarato come parametro di transito.
Nota
il merker del fronte <Operando2> dell'istruzione.
Se per il merker del fronte <Operando2> dell'istruzione viene utilizzata l'area operandi "Local
data (temp)", il bit di dati locali utilizzato deve essere prima inizializzato.
Parametri

<Operando1> Input BOOL Segnale da interrogare
<Operando2> InOut BOOL Merker del fronte nel quale viene salvato lo stato di
segnale dell'interrogazione precedente.

Esempio
L'operando "TagOut" viene impostato se vengono soddisfatte le seguenti condizioni:

• Nell'ingresso "TagIn_1" è presente un fronte di salita. Lo stato di segnale
dell'interrogazione precedente viene salvato nel merker del fronte ""F_DB_1".Tag_M".
13.2.1.10 --|N|--: Interrogazione del fronte di discesa del segnale di un operando

(STEP 7 Safety V18)
Descrizione
L'istruzione "Scan operand for negative signal edge" consente di rilevare se nello stato di
segnale di un operando specifico si è verificata una commutazione da "1" a "0". L'istruzione
confronta lo stato di segnale attuale dell'<Operando1> con quello dell'interrogazione
precedente memorizzato nell'<Operando2>. Se l'istruzione rileva un passaggio da "1" a "0" nel
risultato logico combinatorio, è presente un fronte di discesa negativo.
Se viene rilevato un fronte di discesa, l'uscita dell'istruzione ha lo stato di segnale "1". In tutti
gli altri casi lo stato di segnale sull'uscita dell'istruzione è "0".
l'istruzione.
Nota
Nota

Nota
Parametri

Esempio
L'operando "TagOut" viene impostato se vengono soddisfatte le seguenti condizioni:

• Nell'operando "TagIn_1" è presente un fronte di discesa. Lo stato di segnale
dell'interrogazione precedente viene salvato nel merker del fronte ""F_DB_1".Tag_M".
13.2.1.11 P_TRIG: Interrogazione del fronte di salita del segnale del RLO (STEP 7 Safety V18)
Descrizione
L'istruzione "Scan RLO for positive signal edge" consente di interrogare una commutazione da
"0" a "1" nello stato di segnale del risultato logico combinatorio. L'istruzione confronta lo stato
di segnale attuale del risultato logico combinatorio (RLO) con quello dell'interrogazione
precedente memorizzato nel merker del fronte (<Operando>). Se l'istruzione rileva un
passaggio da "0" a "1" nell'RLO, è presente un fronte di salita positivo.

Nota
Nota
Se si desidera utilizzare un parametro formale di un F-FC per il merker del fronte <Operando>
dell'istruzione, esso deve essere dichiarato come parametro di transito.
Nota
il merker del fronte <Operando> dell'istruzione.
Se per il merker del fronte <Operando> dell'istruzione viene utilizzata l'area operandi "Local
Parametri

CLK Input BOOL RLO attuale
<Operando> InOut BOOL Merker del fronte nel quale viene salvato l'RLO
dell'interrogazione precedente.
Q Output BOOL Risultato dell'analisi del fronte
Esempio
Nel merker del fronte ""F_DB_1".Tag_M" viene salvato l'RLO della combinazione logica di bit
precedente. Se viene rilevato un cambio da "0" a "1" nello stato di segnale dell'RLO viene
eseguito il salto all'etichetta CAS1.

13.2.1.12 N_TRIG: Interrogazione del fronte di discesa del segnale del RLO
(STEP 7 Safety V18)
Descrizione
L'istruzione "Scan RLO for negative signal edge" consente di interrogare una commutazione
da "1" a "0" nello stato di segnale del risultato logico combinatorio (RLO). L'istruzione
confronta lo stato di segnale attuale del risultato logico combinatorio con quello
dell'interrogazione precedente memorizzato nel merker del fronte (<Operando>). Se
l'istruzione rileva un passaggio da "1" a "0" nell'RLO è presente un fronte di discesa negativo.
Nota
Nota
Nota
Parametri


Esempio
predecente. Se viene rilevato un cambio da "1" a "0" nello stato di segnale dell'RLO viene
13.2.2 FUP
13.2.2.1 Combinazione logica AND (STEP 7 Safety V18)
Descrizione
È possibile utilizzare l'istruzione "AND logic operation" per interrogare gli stati di segnale di
due o più operandi specificati analizzandoli poi secondo la tabella di verità AND.
Se lo stato di segnale di tutti gli operandi è "1", la condizione è soddisfatta e l'istruzione
fornisce il risultato "1". Se lo stato di segnale di un operando è "0", la condizione non è
soddisfatta e l'istruzione genera il risultato "0".
Se l'istruzione "AND logic operation" è la prima all'interno di una stringa logica, essa
memorizza il risultato della sua interrogazione dello stato di segnale nel bit RLO.
Qualsiasi istruzione "AND logic operation" che non sia la prima di una stringa logica combina
il risultato della propria interrogazione dello stato di segnale con il valore salvato nel bit RLO.
Questa combinazione viene eseguita secondo la tabella di verità AND.
Parametri

<Operando> Input BOOL L'operando indica il bit di cui viene interrogato lo stato di segnale.

Esempio
L'uscita "TagOut" viene impostata se lo stato di segnale degli operandi "TagIn_1" e "TagIn_2" è
"1".
Tabella di verità AND

La seguente tabella mostra i risultati della combinazione logica di due operandi tramite AND:
Stato del segnale del primo Stato del segnale del secondo Risultato logico
operando operando combinatorio
1 1 1
0 1 0
1 0 0
0 0 0
Vedere anche
Inserimento di un ingresso binario (STEP 7 Safety V18) (Pagina 392)
13.2.2.2 Combinazione logica OR (STEP 7 Safety V18)
Descrizione
È possibile utilizzare l'istruzione "OR logic operation" per interrogare gli stati del segnale di
due o più operandi specificati analizzandoli poi secondo la tabella di verità OR.
Se lo stato di segnale di almeno uno degli operandi è "1", la condizione è soddisfatta e
l'istruzione fornisce il risultato "1". Se lo stato di segnale di tutti gli operandi è "0", la
condizione non è soddisfatta e l'istruzione genera il risultato "0".
Se l'istruzione "OR logic operation" è la prima all'interno di una stringa logica, essa memorizza
il risultato della sua interrogazione dello stato di segnale nel bit RLO.
Qualsiasi istruzione "OR logic operation" che non sia la prima di una stringa logica combina il
risultato della propria interrogazione dello stato di segnale con il valore salvato nel bit RLO.
Questa combinazione viene eseguita secondo la tabella di verità OR.

Parametri

<Operando> Input BOOL L'operando indica il bit di cui viene interrogato lo stato di
segnale.
Esempio
L'uscita "TagOut" viene impostata se lo stato di segnale degli operandi "TagIn_1" o "TagIn_2" è
"1".
Tabella di verità OR
La seguente tabella mostra i risultati della combinazione logica di due operandi tramite OR:
1 0 1
0 1 1
1 1 1
0 0 0
Vedere anche
13.2.2.3 X: Combinazione logica OR ESCLUSIVO (STEP 7 Safety V18)
Descrizione
L'istruzione "EXCLUSIVE OR logic operation" può essere utilizzata per rilevare il risultato di
un'interrogazione dello stato del segnale secondo la tabella di verità OR ESCLUSIVO.
In un'istruzione "EXCLUSIVE OR logic operation" lo stato di segnale è "1" se lo stato di segnale
di uno dei due operandi specificati è "1". Nel caso di un'interrogazione di più di due operandi,
il risultato logico combinatorio condiviso è "1" se un numero dispari di operandi interrogati dà
come risultato dell'interrogazione "1".

Parametri

<Operando> Input BOOL L'operando indica il bit di cui viene interrogato lo stato
di segnale.
Esempio
L'uscita "TagOut" viene impostata se lo stato di segnale di uno dei due operandi "TagIn_1" e
"TagIn_2" è "1". Se entrambi gli operandi forniscono lo stato di segnale "1" o "0", l'uscita
"TagOut" viene resettata.
Tabella di verità OR ESCLUSIVO

La seguente tabella mostra i risultati della combinazione logica di due operandi tramite OR
ESCUSIVO:
1 0 1
0 1 1
1 1 0
0 0 0
La seguente tabella mostra i risultati della combinazione logica di tre operandi tramite OR
ESCLUSIVO:
Stato del segnale del Stato del segnale del Stato del segnale Risultato logico
primo operando secondo operando del terzo operando combinatorio
1 0 0 1
0 1 1 0
0 1 0 1
1 0 1 0
0 0 1 1
1 1 0 0
1 1 1 1
0 0 0 0
Vedere anche

13.2.2.4 =: Assegnazione (STEP 7 Safety V18)
Descrizione
L'istruzione "Assignment" consente di impostare il bit di uno specifico operando. Se il risultato
logico combinatorio (RLO) nell'ingresso del box ha lo stato di segnale "1" o l'ingresso del box
non è collegato per le F-CPU S7-1200/1500, l'operando specificato viene impostato allo stato
di segnale "1". Se nell'ingresso del box lo stato di segnale è "0", il bit dell'operando specificato
viene resettato a "0".
Questa istruzione non influisce sull'RLO. L'RLO nell'ingresso del box viene assegnato
direttamente all'operando situato sopra al box di assegnazione.
L'istruzione "Assignment" può essere collocata in qualunque punto della stringa logica.
Parametri

<Operando> Output BOOL Operando al quale viene assegnato l'RLO.
Esempio
L'operando "TagOut" nell'uscita dell'istruzione "Assignment" viene impostato se è soddisfatta

una delle seguenti condizioni:
• Gli ingressi "TagIn_1" e "TagIn_2" hanno lo stato di segnale "1".
• Lo stato di segnale dell'ingresso "TagIn_3" è "0".

13.2.2.5 R: Reset dell'uscita (STEP 7 Safety V18)
Descrizione
L'istruzione "Reset output" consente di resettare a "0" lo stato di segnale di un operando
specifico.
Se l'ingresso del box ha lo stato di segnale "1" o non collegato (nelle F-CPU S7-1200/1500),
l'operando specificato viene resettato a "0". Se il risultato logico combinatorio nell'ingresso
del box è "0", lo stato di segnale dell'operando indicato resta invariato.
Questa istruzione non influisce sull'RLO. L'RLO nell'ingresso del box viene trasferito
direttamente all'uscita del box.
Nota
Nota
Nota
dell'istruzione.
Parametri

<Operando> Output BOOL Operando che viene resettato quando RLO = "1".
Esempio
L'operando "TagOut" viene resettato se è soddisfatta una delle seguenti condizioni:


13.2.2.6 S: Impostazione dell'uscita (STEP 7 Safety V18)
Descrizione
L'istruzione "Set output" consente di impostare a "1" lo stato di segnale di un operando
specifico.
Se l'ingresso del box ha lo stato di segnale "1" o l'ingresso del box non è collegato (nelle
F-CPU S7-1200/1500), l'operando specificato viene impostato su "1". Se il risultato logico
combinatorio nell'ingresso del box è "0", lo stato di segnale dell'operando indicato resta
invariato.
Questa istruzione non influisce sull'RLO. L'RLO nell'ingresso del box viene trasferito
direttamente all'uscita del box.
Nota
L'istruzione non viene eseguita se viene utilizzata sull'uscita di una periferia F passivata (ad
es. all'avviamento del sistema F). Se possibile accedere alle uscite della periferia F solo con
l'istruzione "Assignment".
L'uscita di una periferia F è passivata se nel relativo DB di periferia F è impostato QBAD o
QBAD_O_xx = 1 oppure uno stato del valore = 0 .
Nota
Nota
Nota
dell'istruzione.
Parametri

<Operando> Output BOOL Operando impostato con RLO = "1".

Esempio

13.2.2.7 SR: Impostazione/reset flip-flop (STEP 7 Safety V18)
Descrizione
L'istruzione "Set/reset flip-flop" consente di impostare o resettare il bit di un operando
specifico in funzione dello stato di segnale negli ingressi S e R1. Se lo stato di segnale
nell'ingresso S è "1" e nell'ingresso R1 è "0", l'operando specificato viene impostato a "1". Se lo
stato di segnale nell'ingresso S è "0" e nell'ingresso R1 è "1", l'operando specificato viene
resettato a "0".
L'ingresso R1 prevale sull'ingresso S. Con uno stato di segnale "1" in entrambi gli ingressi S e
R1 lo stato di segnale dell'operando indicato viene resettato a "0".
Se lo stato di segnale di entrambi gli ingressi S e R1 è "0" l'istruzione non viene eseguita. In
Nota
Nota
Se per i merker del fronte dell'istruzione viene utilizzata l'area operandi "Local data (temp)", il
bit di dati locali utilizzato deve essere prima inizializzato.

Parametri

S Input BOOL Abilitazione dell'impostazione
R1 Input BOOL Abilitazione del reset
<Operando> Output BOOL Operando che viene impostato o resettato.
Esempio
Gli operandi ""F_DB_1".TagSR" e "TagOut" vengono impostati se sono soddisfatte le seguenti

condizioni:
Gli operandi ""F_DB_1".TagSR" e "TagOut" vengono resettati se è soddisfatta una delle
seguenti condizioni:
"1".
• Gli operandi "TagIn_1" e "TagIn_2" forniscono entrambi lo stato di segnale "1".
13.2.2.8 RS: Reset/impostazione flip-flop (STEP 7 Safety V18)
Descrizione
L'istruzione "Reset/set flip-flop" consente di resettare o impostare il bit di un operando
specifico in funzione dello stato di segnale negli ingressi R e S1. Se lo stato di segnale
nell'ingresso R è "1" e nell'ingresso S1 è "0", l'operando specificato viene resettato a "0". Se lo
stato di segnale nell'ingresso R è "0" e nell'ingresso S1 è "1", l'operando specificato viene
impostato a "1".
L'ingresso S1 prevale sull'ingresso R. Con uno stato di segnale "1" in entrambi gli ingressi R e
S1 lo stato di segnale dell'operando indicato viene impostato a "1".
Se lo stato di segnale di entrambi gli ingressi R e S1 è "0" l'istruzione non viene eseguita. In

Nota
Nota
Se per i merker del fronte dell'istruzione viene utilizzata l'area operandi "Local data (temp)", il
bit di dati locali utilizzato deve essere prima inizializzato.
Parametri

R Input BOOL Abilitazione del reset
S1 Input BOOL Abilitazione dell'impostazione
<Operando> Output BOOL Operando che viene resettato o impostato.
Esempio
Gli operandi ""F_DB_1".TagRS" e "TagOut" vengono resettati se sono soddisfatte le seguenti

condizioni:
Gli operandi ""F_DB_1".TagRS" e "TagOut" vengono impostati se sono soddisfatte le seguenti
condizioni:
"1".

13.2.2.9 P: Interrogazione del fronte di salita del segnale di un operando

(STEP 7 Safety V18)
Descrizione
L'istruzione "Scan operand for positive signal edge" consente di rilevare se nello stato di
segnale di un operando specifico (<Operando1>) è presente un passaggio da "0" a "1".
L'istruzione confronta lo stato di segnale attuale dell'<Operando1> con quello
dell'interrogazione precedente memorizzato nell'<Operando2>. Se l'istruzione rileva un
passaggio da "0" a "1" nel risultato logico combinatorio, è presente un fronte di salita positivo.
l'istruzione.
Nota
Nota
Nota
Parametri


Esempio
"TagOut" viene impostato se sono soddisfatte le seguenti condizioni:

• Nell'ingresso "TagIn_1" è presente un fronte di salita.
13.2.2.10 N: Interrogazione del fronte di discesa del segnale di un operando

(STEP 7 Safety V18)
Descrizione
L'istruzione "Scan operand for negative signal edge" consente di rilevare se nello stato di
segnale di un operando specifico si è verificata una commutazione da "1" a "0". L'istruzione
confronta lo stato di segnale attuale dell'<Operando1> con quello dell'interrogazione
precedente memorizzato nell'<Operando2>. Se l'istruzione rileva un passaggio da "1" a "0" nel
risultato logico combinatorio, è presente un fronte di discesa negativo.
l'istruzione.
Nota
Nota
Nota

Parametri

Esempio

• Nell'ingresso "TagIn_1" è presente un fronte di discesa.
13.2.2.11 P_TRIG: Interrogazione del fronte di salita del segnale del RLO (STEP 7 Safety V18)
Descrizione
L'istruzione "Scan RLO for positive signal edge" consente di interrogare una commutazione da
"0" a "1" nello stato di segnale del risultato logico combinatorio. L'istruzione confronta lo stato
di segnale attuale del risultato logico combinatorio con quello dell'interrogazione precedente
memorizzato nel merker del fronte (<Operando>). Se l'istruzione rileva un passaggio da "0" a
"1" nell'RLO, è presente un fronte di salita positivo.
Nota
Nota

Nota
Parametri

Esempio
precedente. Se viene rilevato un cambio da "0" a "1" nello stato di segnale dell'RLO viene
13.2.2.12 N_TRIG: Interrogazione del fronte di discesa del segnale del RLO
(STEP 7 Safety V18)
Descrizione
L'istruzione "Scan RLO for negative signal edge" consente di interrogare una commutazione
da "1" a "0" nello stato di segnale del risultato logico combinatorio (RLO). L'istruzione
confronta lo stato di segnale attuale del risultato logico combinatorio con quello
dell'interrogazione precedente memorizzato nel merker del fronte (<Operando>). Se
l'istruzione rileva un passaggio da "1" a "0" nell'RLO è presente un fronte di discesa negativo.

Nota
Nota
Nota
Parametri

Esempio
predecente. Se viene rilevato un cambio da "1" a "0" nello stato di segnale dell'RLO viene

13.3 Funzioni di sicurezza
13.3.1 ESTOP1: ARRESTO DI EMERGENZA/OFF di emergenza fino alla categoria di

arresto 1 (STEP 7 Safety V18)
Descrizione
Questa istruzione supporta la realizzazione di un ARRESTO DI EMERGENZA/OFF di emergenza
con conferma per le categorie di arresto 0 e 1 per soddisfare i requisiti delle norme IEC 60204
o IEC 61800-5-2. Per soddisfare pienamente i requisiti della norma pertinente, può essere
tuttavia necessario adottare ulteriori misure specificate nella norma.
Il segnale di abilitazione Q viene resettato a 0 quando l'ingresso E_STOP passa allo stato di
segnale 0 (categoria di arresto 0). Il segnale di abilitazione Q_DELAY viene resettato a 0 dopo
il tempo di ritardo impostato sull'ingresso TIME_DEL (categoria di arresto 1).
Il segnale di abilitazione Q viene nuovamente impostato su 1 quando l'ingresso E_STOP passa
allo stato di segnale 1 e ha luogo una conferma. La conferma dell'abilitazione avviene in base
alla parametrizzazione dell'ingresso ACK_NEC:
• Con ACK_NEC = 0 la conferma è automatica.
• Con ACK_NEC = 1 per confermare l'abilitazione deve essere utilizzato un fronte di salita
sull'ingresso ACK.
L'uscita ACK_REQ segnala che per la conferma è necessaria una conferma utente sull'ingresso
ACK. L'istruzione imposta l'uscita ACK_REQ su 1 quando l'ingresso E_STOP è = 1.
Dopo la conferma l'istruzione ACK_REQ viene resettata a 0.
A ogni richiamo dell'istruzione "Emergency STOP/emergency OFF up to stop category 1" deve
essere assegnata un'area di dati nella quale vengono salvati i dati dell'istruzione. Inoltre,
durante l'inserimento dell'istruzione, nel programma viene aperta automaticamente la
finestra di dialogo "Call options", nella quale è possibile inserire un blocco dati (istanza
singola) (ad es. ESTOP1_DB_1) o una multiistanza (ad es. ESTOP1_Instance_1) per l'istruzione
"Emergency STOP/emergency OFF up to stop category 1". Dopo la creazione, il nuovo blocco
dati si trova nella navigazione del progetto, nella cartella "STEP 7 Safety" in "Program blocks >
System blocks" o la multiistanza come variabile locale nella sezione "Static" dell'interfaccia del
blocco. Per ulteriori informazioni a riguardo consultare la Guida di STEP 7.
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione (indipendentemente dallo stato di segnale sull'ingresso
di abilitazione "EN") viene sempre eseguita.
AVVERTENZA
La parametrizzazione della variabile ACK_NEK = 0 è ammessa solo se un riavviamento

automatico del processo interessato è stato escluso con altre misure. (S033)

AVVERTENZA
Per la definizione dei tempi di reazione in caso di utilizzo di una istruzione con elaborazione
temporale occorre considerare i seguenti fattori di indeterminatezza temporale:
• la nota indeterminatezza temporale indicata del programma utente standard, dovuta
all'elaborazione ciclica
• l'indeterminatezza temporale dovuta all'istante di aggiornamento della base oraria
utilizzata all'istante di aggiornamento della base oraria utilizzata nell'istruzione (vedere la
figura della sezione "Indeterminatezza temporale dovuta all'istante di aggiornamento
della base oraria utilizzata nell'istruzione")
• la tolleranza del controllo interno dei tempi nella F-CPU
– con valori temporali fino a 200 ms max. 4 ms
– con valori temporali a partire da 200 ms max. 2 % del valore temporale
(parametrizzato)
• la tolleranza del controllo interno dei tempi nella HF-CPU S7-1500
(parametrizzato)
L'intervallo tra due istanti di richiamo di una istruzione con elaborazione temporale va scelto
in modo che, anche considerando la possibile indeterminatezza temporale, vengano
raggiunti i tempi di reazione richiesti. (S034)
Osservazione: In presenza di due canali conformemente alla Categoria 3,4 secondo ISO
13849-1:2015 o EN ISO 13849-1:2015 il controllo delle discrepanze tra i due contatti
normalmente chiusi dell'ARRESTO DI EMERGENZA/OFF di emergenza deve essere eseguito già
dalla periferia F. A questo scopo occorre progettare la periferia F (valutazione degli encoder: 2
canali, equivalenti) e collegare il risultato della valutazione con l'ingresso E_STOP. Per non
influenzare il tempo di reazione con il tempo di discrepanza, durante la progettazione è
necessario parametrizzare "Supply value 0" per il comportamento di discrepanza.
Parametri

E_STOP Input BOOL ARRESTO DI EMERGENZA/OFF di emergenza
ACK_NEC Input BOOL 1=Conferma necessaria
ACK Input BOOL 1=Conferma
TIME_DEL Input TIME Tempo di ritardo
Q Output BOOL 1=Abilitazione
Q_DELAY Output BOOL Abilitazione ritardata alla disinserzione
ACK_REQ Output BOOL 1=Conferma necessaria
DIAG Output BYTE Informazioni di service non fail-safe

Versioni delle istruzioni

Sono disponibili più versioni di questa istruzione:

one
1.0 x — — La versione 1.0 presuppone che il blocco F_TOF con il numero FB 186 sia
presente nella cartella "Program blocks / System blocks / STEP 7 Safety"
della navigazione del progetto.
Durante la migrazione di progetti creati con S7 Distributed Safety V5.4
SP5, viene utilizzata automaticamente la versione 1.0 dell'istruzione. Se
si vuole compilare per la prima volta un programma di sicurezza migrato
con STEP 7 Safety Advanced, si raccomanda di aggiornare prima la
versione delle istruzioni all'ultima versione disponibile. In questo modo si
evitano conflitti di numero.
1.1 x — -— Queste versioni sono identiche alla versione 1.0 dal punto di vista
1.2 x — o funzionale, ma non richiedono che il blocco F_TOF abbia un numero
specifico.
1.3 x o o
1.4 x o o
1.5 x x x
1.6 x x x Il comportamento del tempo di ritardo TIME_DEL nelle F-CPU S7-
1200/1500 è stato adeguato a quello delle F-CPU S7-300/400: In caso di
commutazione dell'ingresso ESTOP (0 -> 1 (incl. conferma) -> 0) durante
il tempo di ritardo, quest'ultimo viene riavviato.
o Questa versione non è più supportata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
Comportamento all'avviamento
Dopo l'avviamento del sistema F, con ACK_NEC = 1, deve essere utilizzato un fronte di salita
sull'ingresso ACK per confermare l'istruzione.
Uscita DIAG
Ai fini dell'assistenza, sull'uscita DIAG viene messa a disposizione un'informazione non
fail-safe sugli errori che si sono verificati. Questa informazione può essere letta con i sistemi
di servizio e supervisione o eventualmente valutata nel programma utente standard. I bit
DIAG 4 e 5 restano memorizzati fino alla conferma sull'ingresso ACK.


Bit 0 Impostazione del tempo di Tempo di ritardo impostato < Impostare un tempo di
ritardo TIM_DEL errato 0 ritardo > 0
Bit 4 Conferma impossibile, Pulsante di ARRESTO DI Rimuovere l'interblocco del
ARRESTO DI EMERGENZA/OFF EMERGENZA/OFF di pulsante di ARRESTO DI
di emergenza ancora attivo emergenza bloccato EMERGENZA/OFF di
emergenza
Errore di periferia F, errore di Per il rimedio vedere la
canale o errore di sezione "Configurazione di
comunicazione oppure DIAG", bit 0 - 6 in DIAG
passivazione tramite (Pagina 166)
PASS_ON della periferia F del
pulsante di ARRESTO DI
EMERGENZA/OFF di
emergenza
Pulsante di ARRESTO DI Controllare il pulsante di
EMERGENZA/OFF di ARRESTO DI EMERGENZA/OFF
emergenza difettoso di emergenza
Errore di cablaggio Controllare il cablaggio del
pulsante di ARRESTO DI
EMERGENZA/OFF di
emergenza
Bit 5 In mancanza dell'abilitazione: Tasto di conferma difettoso Controllare il tasto di
l'ingresso ACK ha conferma
permanentemente lo stato di Errore di cablaggio Controllare il cablaggio del
segnale 1 tasto di conferma
Bit 6 Conferma necessaria — —
(= stato di ACK_REQ)
Bit 7 Stato uscita Q — —

Imprecisioni temporali che si verificano all'istante di aggiornamento della base oraria utilizzata
nell'istruzione
① L'istante di richiamo dell'istruzione al primo richiamo nel ciclo n+1 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ1 rispetto al ciclo n, ad es. perché parti del programma di sicurezza
del gruppo di esecuzione F vengono saltate prima dell'istante di richiamo dell'istruzione nel
ciclo n+1. Durante l'aggiornamento del tempo l'istruzione prende in considerazione il tempo
Tbases_1 anziché il tempo T1 effettivamente trascorso dal richiamo nel ciclo n.
② L'istruzione viene richiamata una seconda volta nel ciclo n+1. Tuttavia non viene eseguito un
nuovo aggiornamento del tempo (con Δ2).
③ L'istante di richiamo dell'istruzione al richiamo nel ciclo n+2 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ3 rispetto al ciclo n, ad es. perché il gruppo di esecuzione F è stato
interrotto prima dell'istante di richiamo dell'istruzione nel ciclo n+2 da un allarme con priorità
superiore. Invece del tempo T3 effettivamente trascorso dal richiamo nel ciclo n, l'istruzione ha
preso in considerazione i tempi Tbase_1 e Tbase_2. Ciò avverrebbe anche se non fosse stato
effettuato alcun richiamo nel ciclo n+1.

Esempio
13.3.2 TWO_HAND: Controllo a due mani (STEP 7 Safety Advanced V18) (S7-300,
S7-400)
Descrizione
Questa istruzione supporta la realizzazione di un controllo a due mani per soddisfare i
requisiti della norma ISO 13851. Per soddisfare pienamente i requisiti della norma, può
essere tuttavia necessario adottare ulteriori misure specificate nella norma stessa.
Nota
Questa istruzione è disponibile solo per F-CPU S7-300 e S7-400. Per F-CPU S7-1200/1500 è
disponibile l'istruzione "Two-hand monitoring with enable". L'applicazione "Two-hand
monitoring with enable" sostituisce l'istruzione "Two-hand monitoring" in modo
funzionalmente compatibile.
Se i pulsanti IN1 e IN2 vengono azionati entro il tempo di discrepanza ammesso DISCTIME ≤
500 ms (IN1/IN2 = 1) (azionamento sincrono), il segnale di abilitazione Q viene impostato su
1. Se la differenza di tempo tra l'azionamento del pulsante IN1 e quella del pulsante IN2 è
superiore a DISCTIME, i pulsanti devono essere rilasciati e premuti nuovamente.
Q viene reimpostato a 0 non appena un pulsante viene rilasciato (IN1/IN2 = 0). Il segnale di
abilitazione Q può quindi essere nuovamente impostato su 1 solo quando anche l'altro
pulsante è stato rilasciato e quando entrambi i pulsanti vengono nuovamente premuti entro il
tempo di discrepanza. Il segnale di abilitazione Q non può mai essere impostato su 1 se il
tempo di discrepanza è impostato su valori < 0 o > 500 ms.

A ogni richiamo dell'istruzione "Two-hand monitoring" deve essere assegnata un'area di dati
nel quale vengono salvati i dati dell'istruzione. Inoltre, durante l'inserimento dell'istruzione,
nel programma viene aperta automaticamente la finestra di dialogo "Call options", nella quale
è possibile inserire un blocco dati (istanza singola) (ad es. TWO_HAND_DB_1) o una
multiistanza (ad es. TWO_HAND_Instance_1) per l'istruzione "Two-hand monitoring". Dopo la
creazione, il nuovo blocco dati si trova nella navigazione del progetto, nella cartella "STEP 7
Safety" in "Program blocks > System blocks" o la multiistanza come variabile locale nella
sezione "Static" dell'interfaccia del blocco. Per ulteriori informazioni a riguardo consultare la
Guida di STEP 7.
Osservazione: Nell'istruzione più essere valutato un solo segnale per ogni pulsante. Il
controllo di discrepanza del contatto normalmente chiuso e del contatto normalmente aperto
del pulsante IN1 e IN2 viene eseguito durante la progettazione corrispondente (valutazione
dell'encoder: 1oo2 evaluation, antivalente) direttamente attraverso la periferia F con ingressi.
Il contatto normalmente aperto deve essere cablato in modo da fornire il segnale utile
(vedere il manuale delle periferie F utilizzate). Per non influenzare il tempo di reazione con il
tempo di discrepanza, durante la progettazione è necessario parametrizzare "Supply value 0"
per il comportamento di discrepanza. Se viene riconosciuta una discrepanza, per il pulsante
viene inserito il valore sostitutivo 0 nell'immagine di processo degli ingressi (IPI) e nel
rispettivo DB di periferia F viene impostato QBAD o QBAD_I_xx = 1. (Vedere anche Accesso
alla periferia F (Pagina 152))
AVVERTENZA
(parametrizzato)
(parametrizzato)

Parametri

IN1 Input BOOL Pulsante 1
DISCTIME Input TIME Tempo di discrepanza (0 ... 500 ms)
nell'istruzione

Esempio
13.3.3 TWO_H_EN: Controllo a due mani con abilitazione (STEP 7 Safety V18)
Descrizione
Questa istruzione supporta la realizzazione di un controllo a due mani con abilitazione per
soddisfare i requisiti della norma ISO 13851. Per soddisfare pienamente i requisiti della
norma, può essere tuttavia necessario adottare ulteriori misure specificate nella norma
stessa.
Se i pulsanti IN1 e IN2 vengono azionati entro il tempo di discrepanza ammesso DISCTIME ≤
500 ms (IN1/IN2 = 1) (azionamento sincrono), con l'abilitazione esistente ENABLE = 1 il
segnale di abilitazione Q viene impostato su 1. Se la differenza di tempo tra l'azionamento del
pulsante IN1 e quella del pulsante IN2 è superiore a DISCTIME, i pulsanti devono essere
rilasciati e premuti nuovamente.
Q viene reimpostato 0 non appena un pulsante viene rilasciato (IN1/IN 2 = 0) o l'abilitazione
diventa ENABLE = 0. Il segnale di abilitazione Q può quindi essere nuovamente impostato su
1 solo quando anche l'altro pulsante è stato rilasciato e quando entrambi i pulsanti vengono
nuovamente premuti entro il tempo di discrepanza, in caso di abilitazione esistente ENABLE =
1.
A ogni richiamo dell'istruzione "Two-hand monitoring with enable" deve essere assegnata
un'area di dati nella quale vengono salvati i dati dell'istruzione. Inoltre, durante l'inserimento
dell'istruzione, nel programma viene aperta automaticamente la finestra di dialogo "Call
options", nella quale è possibile inserire un blocco dati (istanza singola) (ad es.
TWO_H_EN_DB_1) o una multiistanza (ad es. TWO_H_EN_Instance_1) per l'istruzione "Two-
hand monitoring with enable". Dopo la creazione, il nuovo blocco dati si trova nella
navigazione del progetto, nella cartella "STEP 7 Safety" in "Program blocks > System blocks" o
la multiistanza come variabile locale nella sezione "Static" dell'interfaccia del blocco. Per
ulteriori informazioni a riguardo consultare la Guida di STEP 7.


Osservazione: Nell'istruzione più essere valutato un solo segnale per ogni pulsante. Il
controllo di discrepanza del contatto normalmente chiuso e del contatto normalmente aperto
del pulsante IN1 e IN2 viene eseguito durante la progettazione corrispondente (valutazione
dell'encoder: 1oo2 evaluation, antivalente) direttamente attraverso la periferia F con ingressi.
Il contatto normalmente aperto deve essere cablato in modo da fornire il segnale utile
(vedere il manuale delle periferie F utilizzate). Per non influenzare il tempo di reazione con il
tempo di discrepanza, durante la progettazione è necessario: parametrizzare "Supply value 0"
per il comportamento di discrepanza.
Se viene riconosciuta una discrepanza, per il pulsante viene inserito il valore sostitutivo 0
nell'immagine di processo degli ingressi (IPI) e nel rispettivo DB di periferia F viene impostato
QBAD o QBAD_I_xx = 1 o lo stato del valore = 0.
AVVERTENZA
(parametrizzato)
(parametrizzato)

Parametri

ENABLE Input BOOL Ingresso di abilitazione
DISCTIME Input TIME Tempo di discrepanza (0 ... 500 ms)
Per l'impiego produttivo, selezionare il tempo di
discrepanza > 0 ms.


one
1.0 x — — Durante la migrazione di progetti creati con S7 Distributed Safety V5.4
SP5, viene utilizzata automaticamente la versione 1.0 dell'istruzione.
Se si vuole compilare per la prima volta un programma di sicurezza
migrato con STEP 7 Safety Advanced, si raccomanda di aggiornare prima
la versione delle istruzioni all'ultima versione disponibile.
1.1 x — o Queste versioni sono funzionalmente identiche alla versione 1.0.
1.2 x o o
1.3 x x x
Uscita DIAG
di servizio e supervisione o eventualmente valutata nel programma utente standard. I bit
DIAG da 0 a 5 restano salvati fino a quando la causa di errore è confermata.


Bit 0 Tempo di discrepanza errato Tempo di discrepanza < 0 o > 500 Impostazione del tempo di
DISCTIME impostato ms impostato discrepanza nell'area da 0 a 500 ms
Bit 1 Tempo di discrepanza scaduto Tempo di discrepanza impostato Impostare eventualmente un tempo
troppo basso di discrepanza più alto
Il pulsante non è stato premuto Rilasciare il pulsante e premerlo
entro il tempo di discrepanza entro il tempo di discrepanza
Errore di cablaggio Controllo del cablaggio del pulsante
Pulsante difettoso Controllo del pulsante
I pulsanti sono collegati a diverse Per il rimedio vedere la sezione
periferie F e l'errore della "Configurazione di DIAG", bit 0 - 6 in
periferia F, l'errore del canale o DIAG (Pagina 166)
l'errore di comunicazione o la
passivazione sono collegati tramite
PASS_ON a una periferia F
Bit 4 Sequenza di azionamento errata Un pulsante non è stato rilasciato Rilasciare il pulsante e premerlo
entro il tempo di discrepanza
Pulsante difettoso Controllo del pulsante
Bit 5 L'abilitazione di ENABLE non è Abilitazione ENABLE = 0 Impostare l'abilitazione ENABLE = 1,
disponibile rilasciare il pulsante e premerlo
entro il tempo di discrepanza

nell'istruzione

Esempio
13.3.4 MUTING: Muting (STEP 7 Safety Advanced V18) (S7-300, S7-400)
Descrizione
Questa istruzione implementa il muting parallelo con due o quattro sensori di muting.
Nota
Questa istruzione è disponibile solo per F-CPU S7-300 e S7-400. Per F-CPU S7-1200/1500 è
disponibile l'istruzione "Parallel muting (Pagina 447)". L'istruzione "Parallel muting" sostituisce
l'istruzione "Muting" in modo funzionalmente compatibile.
Il muting è una soppressione conforme alle norme della funzione protettiva delle barriere
ottiche. La funzione di muting delle barriere ottiche può essere utilizzata per introdurre merci
o oggetti nella zona pericolosa monitorata dalla barriera ottica senza arrestare la macchina.
Per utilizzare la funzione di muting, devono essere presenti almeno due sensori di muting
cablati in modo indipendente. Due o quattro sensori di muting e la corretta integrazione nel
processo di produzione devono garantire che nessuna persona entri nella zona pericolosa
mentre la barriera ottica è bypassata.
A ogni richiamo dell'istruzione "Muting" deve essere assegnata un'area di dati nella quale
vengono salvati i dati dell'istruzione. Inoltre, durante l'inserimento dell'istruzione, nel
programma viene aperta automaticamente la finestra di dialogo "Call options", nella quale è
possibile inserire un blocco dati (istanza singola) (ad es. MUTING_DB_1) o una multiistanza

(ad es. MUTING_Instance_1) per l'istruzione "Muting". Dopo la creazione, il nuovo blocco dati
si trova nella navigazione del progetto, nella cartella "STEP 7 Safety" in "Program blocks >
AVVERTENZA
(parametrizzato)
(parametrizzato)

Parametri

MS_11 Input BOOL Sensore di muting 1 coppia di sensori 1
STOP Input BOOL 1=Dispositivo di trasporto fermo
FREE Input BOOL 1=Barriera ottica non interrotta
QBAD_MUT Input BOOL Segnale QBAD della periferia F o segnale
QBAD_O_xx del canale della lampada di muting
DISCTIM1 Input TIME Tempo di discrepanza coppia di sensori 1 (0 ... 3 s)
TIME_MAX Input TIME Tempo massimo di muting (0 ... 10 min)
ACK Input BOOL Conferma del blocco riavviamento
Q Output BOOL 1=Abilitazione, non off
MUTING Output BOOL Visualizzare muting attivo
ACK_REQ Output BOOL Conferma necessaria
FAULT Output BOOL Errore cumulativo
Sequenza schematica di un processo di muting senza errori con 4 sensori di muting

(MS_11, MS_12, MS_21, MS_22)

• Quando i due sensori di muting MS_11 e MS_12 all'interno di DISCTIM1 vengono attivati
dal prodotto (assumere lo stato di segnale = 1), l'istruzione avvia la funzione MUTING. Il
segnale di abilitazione Q rimane 1 anche se l'ingresso FREE = 0 (barriera ottica interrotta
dal prodotto). L'uscita MUTING per il controllo della lampada di muting diventa 1.
Nota
La lampada di muting può essere controllata tramite l'ingresso QBAD_MUT. A tal fine,
cablare la lampada di muting a una uscita con controllo rottura conduttore di una
periferia F e fornire all'ingresso QBAD_MUT il segnale QBAD della rispettiva periferia F o il
segnale QBAD_O_xx del rispettivo canale. Se QBAD_MUT = 1, il muting viene concluso
dall'istruzione. Se non è necessario un controllo della lampada di muting, non è necessario
fornire l'ingresso QBAD_MUT.
Sono adatte solo periferie F che riconoscono per tempo una rottura conduttore dopo
l'attivazione del processo di muting (vedere il manuale della periferia F specifica).
• Finché entrambi i sensori di muting MS_11 e MS_12 sono ancora attivi, la funzione
MUTING mantiene l'istruzione Q = 1 e MUTING = 1 (in modo che il prodotto possa passare
attraverso la barriera ottica senza che la macchina si fermi).

• I due sensori di muting MS_21 e MS_22 devono essere attivati (all'interno di DISCTIM2)
prima che i sensori di muting MS_11 e MS_12 diventino inattivi (assumere lo stato di
segnale 0). L'istruzione mantiene quindi la funzione MUTING. (Q = 1, MUTING = 1).
• Solo quando uno dei due sensori di muting MS_21 e MS_22 diventa inattivo (il prodotto
abilita i sensori), la funzione MUTING viene terminata (Q = 1, MUTING = 0). La funzione
MUTING può essere attiva al massimo per il tempo parametrizzato sull'ingresso
TIME_MAX.
Nota
La funzione MUTING si avvia anche quando il prodotto supera la barriera ottica in
direzione opposta, attivando i sensori di muting in sequenza inversa rispetto al prodotto.

Diagrammi temporali per un processo di muting senza errori con 4 sensori di muting
Sequenza schematica di un processo di muting con barriere ottiche a riflessione

Se le barriere ottiche a riflessione sono utilizzate come sensori di muting, sono generalmente
disposte trasversalmente.
Poiché in questa configurazione vengono generalmente utilizzate solo due barriere ottiche
come sensori di muting, vengono collegati solo MS_11 e MS_12.
La sequenza è analoga a quella descritta per il processo di muting con 4 sensori di muting.
Non viene effettuato il passo 3. Nella descrizione del passo 4, sostituire MS_21 e MS_22 con
MS_11 e MS_12.

Blocco di riavviamento in caso di interruzione della barriera ottica (quando MUTING non è
attivo), in caso di errori e all'avviamento del sistema F
Il segnale di abilitazione Q non può essere impostato su 1 o diventa 0 se:
• la barriera ottica viene interrotta (ad es. da una persona o dal trasporto del materiale)
anche se la funzione MUTING non è attiva
• interviene il controllo della lampada di muting sull'ingresso QBAD_MUT
• la coppia di sensori 1 (MS_11 e MS_12) o la coppia di sensori 2 (MS_21 e MS_22) non è
attivata o disattivata entro il tempo di discrepanza DISCTIM1 o DISCTIM2
• la funzione MUTING è attiva per un tempo superiore al tempo massimo di muting
TIME_MAX
• i tempi di discrepanza DISCTIM1 o DISCTIM2 sono stati impostati su valori < 0 o > 3 s
• il tempo massimo di muting TIME_MAX è stato impostato su un valore < 0 o > 10 min.
In questi casi, l'uscita FAULT (errore cumulativo) è impostata su 1 (blocco di riavviamento). Se
la funzione di MUTING è stata avviata, viene terminata e l'uscita MUTING diventa 0.
AVVERTENZA
Se all'avviamento del sistema F viene rilevata immediatamente una combinazione valida di

sensori di muting (ad es. perché i sensori di muting sono collegati agli ingressi di una
periferia standard che fornisce immediatamente i valori di processo dopo l'avviamento del
sistema F), la funzione MUTING viene avviata immediatamente e l'uscita MUTING e il
segnale di abilitazione Q diventano 1. L'uscita FAULT (errore cumulativo) non viene
impostata su 1 (nessun blocco di riavviamento!). (S035)
Conferma da parte dell'utente del blocco di riavviamento

Il segnale di abilitazione Q diventa di nuovo 1, se
• la barriera ottica non è più interrotta
• event. errori sono eliminati (vedere uscita DIAG)
e
• sull'ingresso ACK si verifica una conferma da parte dell'utente con un fronte di salita
(vedere anche Realizzazione di una conferma utente (Pagina 179)).
L'uscita FAULT viene impostata su 0. L'uscita ACK_REQ = 1 segnala che è necessaria una
conferma da parte dell'utente sull'ingresso ACK per annullare il blocco di riavviamento.
L'istruzione imposta ACK-REQ = 1 non appena la barriera ottica non è più interrotta o gli errori
sono stati eliminati. Dopo l'avvenuta conferma, ACK_REQ viene resettato a 0 dall'istruzione.
Nota
Dopo gli errori di discrepanza e dopo il superamento del tempo massimo di muting, ACK_REQ
viene immediatamente impostato su 1. Non appena si verifica una conferma da parte
dell'utente sull'ingresso ACK, i tempi di discrepanza DISCTIM1 o DISCTIM2 e il tempo massimo
di muting TIME_MAX vengono reimpostati.

Diagrammi temporali in caso di errore di discrepanza sulla coppia di sensori 1 o di interruzione

della barriera ottica (se MUTING non è attivo)
① La coppia di sensori 1 (MS_11 e MS_12) non viene attivata entro il tempo di

discrepanza DISCTIM1.
② La barriera ottica viene interrotta anche se la funzione MUTING non è attiva.
③ Conferma

Comportamento in caso di dispositivo di trasporto fermo

Se con il dispositivo di trasporto fermo il controllo deve essere disattivato
• per il rispetto del tempo di discrepanza DISCTIM1 o DISCTIM2 oppure
• per il rispetto del tempo massimo di muting TIME_MAX,
è necessario impostare nell'ingresso STOP un segnale "1", finché il dispositivo di trasporto è
fermo. Non appena il dispositivo di trasporto riprende a funzionare (STOP = 0), i tempi di
discrepanza DISCTIM1 o DISCTIM2 e il tempo massimo di muting TIME_MAX vengono
reimpostati.
AVVERTENZA
Con STOP = 1 il controllo della discrepanza viene disattivato. Se durante questo tempo
entrambi gli ingressi MSx1/MSx2 di una coppia di sensori assumono lo stato di segnale 1 a
causa di un errore non rilevato, ad es. perché entrambi i sensori di muting si guastano dopo
1, l'errore non viene rilevato e la funzione MUTING può essere avviata involontariamente.
(S036)
Uscita DIAG
Ai fini dell'assistenza, sull'uscita DIAG viene messa a disposizione un'informazione non fail-
safe sugli errori che si sono verificati. Questa informazione può essere letta con i sistemi di
servizio e supervisione o eventualmente valutata nel programma utente standard. I bit DIAG
restano memorizzati fino alla conferma sull'ingresso ACK.

Bit 0 Errore di discrepanza o tempo di Disturbi nel processo di produzione Eliminazione di disturbi nel processo di
discrepanza errato DISCTIM 1 produzione
impostato per la coppia di sensori 1 Sensore difettoso Controllo dei sensori
Errore di cablaggio Controllo del cablaggio dei sensori
I sensori sono collegati a diverse Per il rimedio vedere la sezione
periferie F e l'errore della "Configurazione di DIAG", bit 0 - 6 in
periferia F, l'errore del canale o DIAG (Pagina 166)
l'errore di comunicazione o la
passivazione sono collegati tramite
PASS_ON a una periferia F
Tempo di discrepanza impostato Impostare eventualmente un tempo di
troppo basso discrepanza più alto
Tempo di discrepanza < 0 s o > 3 s Impostazione del tempo di discrepanza
impostato nel campo da 0 s a 3 s
Bit 1 Errore di discrepanza o tempo di Come bit 0 Come bit 0
discrepanza errato DISCTIM 2
impostato per la coppia di sensori 2
Bit 2 Tempo massimo di muting Disturbi nel processo di produzione Eliminazione di disturbi nel processo di
superato o tempo di muting errato produzione
TIME_MAX impostato Tempo massimo di muting Se necessario, impostare un tempo di
impostato troppo basso muting massimo più elevato.


Tempo di muting < 0 s o > 10 min Impostazione del tempo di muting nel
impostato campo da 0 s a 10 min
Bit 3 Barriera ottica interrotta e muting Barriera ottica difettosa Controllo della barriera ottica
non attivo Errore di cablaggio Controllo del cablaggio della barriera
ottica (ingresso FREE)
Errore di periferia F, errore di Per il rimedio vedere la sezione
canale o errore di comunicazione "Configurazione di DIAG", bit 0 - 6 in
oppure passivazione tramite DIAG (Pagina 166)
PASS_ON della periferia F della
barriera ottica
(Ingresso FREE)
Vedere altri bit DIAG
Bit 4 Lampada di muting guasta o non Lampada di muting difettosa Sostituzione di una lampada di muting
controllabile Errore di cablaggio Controllo del cablaggio della lampada
di muting
Errore di periferia F, errore di Per il rimedio vedere la sezione
canale o errore di comunicazione "Configurazione di DIAG", bit 0 - 6 in
oppure passivazione tramite DIAG (Pagina 166)
PASS_ON della periferia F della
lampada di muting

nell'istruzione

Esempio

13.3.5 MUT_P: Muting parallelo (STEP 7 Safety V18)
Descrizione
Questa istruzione implementa il muting parallelo con due o quattro sensori di muting.
Il muting è una soppressione conforme alle norme della funzione protettiva delle barriere
ottiche. La funzione di muting delle barriere ottiche può essere utilizzata per introdurre merci
o oggetti nella zona pericolosa monitorata dalla barriera ottica senza arrestare la macchina.
Per utilizzare la funzione di muting, devono essere presenti almeno due sensori di muting
cablati in modo indipendente. Due o quattro sensori di muting e la corretta integrazione nel
processo di produzione devono garantire che nessuna persona entri nella zona pericolosa
mentre la barriera ottica è bypassata.
A ogni richiamo dell'istruzione "Parallel muting" deve essere assegnata un'area di dati nella
quale vengono salvati i dati dell'istruzione. Inoltre, durante l'inserimento dell'istruzione, nel
possibile inserire un blocco dati (istanza singola) (ad es. MUT_P_DB_1) o una multiistanza (ad
es. MUT_P_Instance_1) per l'istruzione "Parallel muting". Dopo la creazione, il nuovo blocco
dati si trova nella navigazione del progetto, nella cartella "STEP 7 Safety" in "Program blocks >
AVVERTENZA
(parametrizzato)
(parametrizzato)

Parametri

MS_11 Input BOOL Sensore di muting 11
STOP Input BOOL 1=Dispositivo di trasporto fermo
FREE Input BOOL 1=Barriera ottica non interrotta
ENABLE Input BOOL 1=Abilitazione MUTING
QBAD_MUT Input BOOL Segnale QBAD dalla periferia F o segnale
QBAD_O_xx/stato di valore invertito dal canale della
lampada di muting.
ACK Input BOOL Conferma del blocco riavviamento
TIME_MAX Input TIME Tempo massimo muting (0…10 min)
Q Output BOOL 1=Abilitazione, non off
MUTING Output BOOL Visualizzare muting attivo
ACK_REQ Output BOOL Conferma necessaria
FAULT Output BOOL Errore cumulativo
DIAG Output WORD Informazioni di service non fail-safe


one
1.0 x* — — Durante la migrazione di progetti creati con S7 Distributed Safety V5.4
1.1 x* — — Queste versioni sono funzionalmente identiche alla versione 1.0.
1.2 x* — o L'uscita DIAG può ora essere collegata correttamente con operandi del
1.3 x* o o tipo WORD.
1.4 x x x

* S7-300/400: In presenza di un blocco di riavviamento (uscita FAULT = 1) e di ENABLE = 1, l'uscita ACK_REQ viene
impostata su 1 anche se almeno un sensore di muting non è attivato. Per ulteriori informazioni, utilizzare i bit 5 e 6 di
DIAG.

Sequenza schematica di un processo di muting senza errori con 4 sensori di muting

(MS_11, MS_12, MS_21, MS_22)

• Quando i due sensori di muting MS_11 e MS_12 all'interno di DISCTIM1 vengono attivati
dal prodotto (assumere lo stato di segnale = 1) e MUTING è abilitato tramite l'ingresso
ENABLE = 1, l'istruzione avvia la funzione MUTING. Il segnale di abilitazione Q rimane 1
anche se l'ingresso FREE = 0 (barriera ottica interrotta dal prodotto). L'uscita MUTING per il
controllo della lampada di muting diventa 1.
Nota
La lampada di muting può essere controllata tramite l'ingresso QBAD_MUT. A tal fine,
cablare la lampada di muting a una uscita con controllo rottura conduttore di una
periferia F e fornire all'ingresso QBAD_MUT il segnale QBAD della rispettiva periferia F o il
segnale QBAD_O_xx/con lo stato del valore inverso del rispettivo canale. Se QBAD_MUT =
1, il muting viene concluso dall'istruzione. Se non è necessario un controllo della lampada
di muting, non è necessario fornire l'ingresso QBAD_MUT.
Sono adatte solo periferie F che riconoscono per tempo una rottura conduttore dopo
l'attivazione del processo di muting (vedere il manuale della periferia F specifica).
• Finché entrambi i sensori di muting MS_11 e MS_12 sono ancora attivi, la funzione
MUTING mantiene l'istruzione Q = 1 e MUTING = 1 (in modo che il prodotto possa passare
attraverso la barriera ottica senza che la macchina si fermi). Uno dei due sensori di muting
MS_11 o MS_12 può diventare inattivo (assumere lo stato di segnale 0) per un breve
periodo (t < DISCTIM1).

• I due sensori di muting MS_21 e MS_22 devono essere attivati (all'interno di DISCTIM2)
prima che i due sensori di muting MS_11 e MS_12 diventino inattivi (assumere lo stato di
segnale 0). L'istruzione mantiene quindi la funzione MUTING. (Q = 1, MUTING = 1).
Solo quando entrambi i sensori di muting MS_21 e MS_22 diventa inattivo (il prodotto abilita
i sensori), la funzione MUTING viene terminata (Q = 1, MUTING = 0). La funzione MUTING
può essere attiva al massimo per il tempo parametrizzato sull'ingresso TIME_MAX.
Nota
La funzione MUTING si avvia anche quando il prodotto supera la barriera ottica in direzione
opposta, attivando i sensori di muting in sequenza inversa rispetto al prodotto.

Diagrammi temporali per un processo di muting senza errori con 4 sensori di muting
Sequenza schematica di un processo di muting con barriere ottiche a riflessione

Se le barriere ottiche a riflessione sono utilizzate come sensori di muting, sono generalmente
disposte trasversalmente.
Poiché in questa configurazione vengono generalmente utilizzate solo due barriere ottiche
come sensori di muting, vengono collegati solo MS_11 e MS_12.
La sequenza è analoga a quella descritta per il processo di muting con 4 sensori di muting.
Non viene effettuato il passo 3. Nella descrizione del passo 4, sostituire MS_21 e MS_22 con
MS_11 e MS_12.

Blocco di riavviamento in caso di interruzione della barriera ottica (MUTING non attivo) e in caso
di errori e all'avviamento del sistema F
Il segnale di abilitazione Q non può essere impostato su 1 o diventa 0 se:
• la barriera ottica viene interrotta (ad es. da una persona o dal trasporto del materiale)
anche se la funzione MUTING non è attiva
• la barriera ottica è/viene interrotta e interviene il controllo della lampada di muting
sull'ingresso QBAD_MUT
• la barriera ottica è/viene interrotta e la funzione MUTING non è abilitata tramite l'ingresso
ENABLE = 1
• la coppia di sensori 1 (MS_11 e MS_12) o la coppia di sensori 2 (MS_21 e MS_22) non è
attivata o disattivata entro il tempo di discrepanza DISCTIM1 o DISCTIM2
• la funzione MUTING è attiva per un tempo superiore al tempo massimo di muting
TIME_MAX
• i tempi di discrepanza DISCTIM1 o DISCTIM2 sono stati impostati su valori < 0 o > 3 s
• il tempo massimo di muting TIME_MAX è stato impostato su un valore < 0 o > 10 min
• è presente un avviamento del sistema F (indipendentemente dal fatto che la barriera
ottica sia interrotta o meno, poiché la periferia F è passivata dopo l'avviamento del
sistema F e quindi nell'ingresso FREE è inizialmente impostato a 0)
In questi casi, l'uscita FAULT (errore cumulativo) è impostata su 1 (blocco di riavviamento). Se
la funzione di MUTING è stata avviata, viene terminata e l'uscita MUTING diventa 0.
Conferma da parte dell'utente del blocco di riavviamento (nessun sensore muting attivato o
ENABLE = 0)
• la barriera ottica non è più interrotta
e
• sull'ingresso ACK si verifica una conferma da parte dell'utente con un fronte di salita
(vedere anche Realizzazione di una conferma utente (Pagina 179)).
L'uscita FAULT viene impostata su 0. L'uscita ACK_REQ = 1 (e bit DIAG 6) segnala che è
necessaria una conferma da parte dell'utente sull'ingresso ACK per annullare il blocco di
riavviamento. L'istruzione imposta ACK_REQ = 1 non appena la barriera ottica non è più
interrotta o gli errori sono stati eliminati. Dopo l'avvenuta conferma, ACK_REQ viene resettato
a 0 dall'istruzione.

Conferma da parte dell'utente del blocco di riavviamento (almeno un sensore muting attivato o
ENABLE = 1)
• Il processo di MOVIMENTO LIBERO avviene fino a quando non viene rilevata una
combinazione valida dei sensori di muting
L'uscita FAULT viene impostata su 0. Se necessario, la funzione MUTING viene riavviata e
l'uscita MUTING diventa 1 se viene rilevata una combinazione valida di sensori di muting.
L'uscita ACK_REQ = 1 (e il bit DIAG 5) segnala con ENABLE = 1 che è necessario il MOVIMENTO
LIBERO per eliminare il guasto e annullare il blocco di riavviamento. Dopo il MOVIMENTO
LIBERO riuscito, ACK_REQ viene resettato a 0 dall'istruzione.
Nota
Dopo aver superato il tempo massimo di muting, il tempo massimo di muting TIME_MAX
viene impostato di nuovo non appena si riavvia la funzione MUTING.
Movimento libero
Se non è possibile eliminare immediatamente un guasto, l'area di muting può essere attivata
con la funzione MOVIMENTO LIBERO. In questo caso il segnale di abilitazione Q e l'uscita
MUTING sono temporaneamente = 1. Il movimento libero è possibile se
• è ENABLE = 1
• è attivato almeno un sensore di muting
• entro 4 s, si verifica due volte una conforma utente con fronte di salita sull'ingresso ACK e
la seconda conferma utente sull'ingresso ACK rimane sullo stato di segnale 1 (il pulsante di
conferma resta premuto)
AVVERTENZA
Il processo di movimento libero deve essere sorvegliato. Deve essere possibile interrompere
una situazione pericolosa in qualsiasi momento rilasciando il pulsante di conferma. Il
pulsante di conferma deve trovarsi in una posizione che permetta all'operatore di controllare
l'intera zona pericolosa. (S037)

Diagrammi temporali in caso di errore di discrepanza sulla coppia di sensori 1 o di interruzione

della barriera ottica (MUTING non è attivo)
① La coppia di sensori 1 (MS_11 e MS_22) non viene attivata entro il tempo di

discrepanza DISCTIM1.
② La barriera ottica viene interrotta nonostante non vi sia un'abilitazione (ENABLE=0)
③ Movimento libero
④ Conferma
Comportamento in caso di dispositivo di trasporto fermo

Se con il dispositivo di trasporto fermo il controllo deve essere disattivato
• per il rispetto del tempo di discrepanza DISCTIM1 o DISCTIM2 oppure
• per il rispetto del tempo massimo di muting TIME_MAX,
è necessario impostare nell'ingresso STOP un segnale "1", finché il dispositivo di trasporto è
fermo. Non appena il dispositivo di trasporto riprende a funzionare (STOP = 0), i tempi di
discrepanza DISCTIM1 o DISCTIM2 e il tempo massimo di muting TIME_MAX vengono
reimpostati.
AVVERTENZA
Con STOP = 1 o ENABLE = 0 il controllo della discrepanza viene disattivato. Se durante

questo tempo entrambi gli ingressi MSx1/MSx2 di una coppia di sensori assumono lo stato
di segnale 1 a causa di un errore non rilevato, ad es. perché entrambi i sensori di muting si
guastano dopo 1, l'errore non viene rilevato e la funzione MUTING (con ENABLE = 1) può
essere avviata involontariamente. (S038)

Uscita DIAG
servizio e supervisione o eventualmente valutata nel programma utente standard. I bit DIAG 0
- 6 restano memorizzati fino alla conferma sull'ingresso ACK.

Bit 0 Errore di discrepanza o tempo di Disturbi nel processo di produzione Eliminazione di disturbi nel
discrepanza errato DISCTIM 1 processo di produzione
impostato per la coppia di sensori 1 Sensore difettoso Controllo dei sensori
Errore di cablaggio Controllo del cablaggio dei sensori
I sensori sono collegati a diverse Per il rimedio vedere la sezione
periferie F e l'errore della periferia F, "Configurazione di DIAG", bit 0 - 6
l'errore del canale o l'errore di in DIAG (Pagina 166)
comunicazione o la passivazione
sono collegati tramite PASS_ON a
una periferia F
Tempo di discrepanza impostato Impostare eventualmente un
troppo basso tempo di discrepanza più alto
Tempo di discrepanza < 0 s o > 3 s Impostazione del tempo di
impostato discrepanza nel campo da 0 s a 3 s
Bit 1 Errore di discrepanza o tempo di Come bit 0 Come bit 0
discrepanza errato DISCTIM 2
impostato per la coppia di sensori 2
Bit 2 Tempo massimo di muting superato Disturbi nel processo di produzione Eliminazione di disturbi nel
o tempo di muting errato TIME_MAX processo di produzione
impostato Tempo massimo di muting Se necessario, impostare un tempo
impostato troppo basso di muting massimo più elevato.
Tempo di muting < 0 s o > 10 min Impostazione del tempo di muting
impostato nel campo da 0 s a 10 min
Bit 3 Barriera ottica interrotta e muting ENABLE = 0 Impostare ENABLE = 1
non attivo Barriera ottica difettosa Controllo della barriera ottica
Errore di cablaggio Controllo del cablaggio della
barriera ottica (ingresso FREE)
Errore di periferia, errore di canale o Per il rimedio vedere la sezione
errore di comunicazione oppure "Configurazione di DIAG", bit 0 - 6
passivazione tramite PASS_ON della in DIAG (Pagina 166)
periferia F della barriera ottica
(Ingresso FREE)
Avviamento del sistema F Movimento libero, vedere bit DIAG
5
Vedere altri bit DIAG
Bit 4 Lampada di muting guasta o non Lampada di muting difettosa Sostituzione di una lampada di
controllabile muting
Errore di cablaggio Controllo del cablaggio della
lampada di muting
Errore di periferia F, errore di canale Per il rimedio vedere la sezione
o errore di comunicazione oppure "Configurazione di DIAG", bit 0 - 6
periferia F della lampada di muting


Bit 5 Movimento libero necessario Vedere altri bit DIAG Due fronti positivi su ACK entro 4 s
e mantenere premuto il pulsante di
conferma fino a quando
ACK_REQ = 0
Bit 8 Stato uscita MUTING — —
Bit 9 Movimento libero attivo — —
...
nell'istruzione

Esempio

13.3.6 EV1oo2DI: Valutazione 1oo2 (2v2) con analisi di discrepanza

(STEP 7 Safety V18)
Descrizione
Questa istruzione realizza una valutazione 1oo2 (2v2) di due encoder a due singoli canali
combinati con un'analisi di discrepanza.
L'uscita Q viene impostata su 1 se gli stati dei segnali dei due ingressi IN1 e IN2 sono uguali a
1 e se non viene memorizzato l'errore di discrepanza DISC_FLT. Se lo stato di segnale di uno o
di entrambi gli ingressi è 0, l'uscita Q viene impostata a 0.
Non appena gli stati dei segnali dei due ingressi IN1 e IN2 sono diversi, viene avviato il tempo
di discrepanza DISCTIME. Se gli stati dei segnali dei due ingressi sono diversi anche dopo il
tempo di discrepanza, viene rilevato un errore di discrepanza e DISC_FLT viene impostato su 1
(blocco di riavviamento).
Se non viene più rilevata una discrepanza tra gli ingressi IN1 e IN2, l'errore di discrepanza
viene confermato a seconda della parametrizzazione di ACK_NEC:
• Con ACK_NEC = 1, è possibile confermare l'errore di discrepanza solo con un fronte di
salita sull'ingresso ACK.
L'uscita ACK_REQ = 1 segnala che è necessaria una conferma da parte dell'utente sull'ingresso
ACK per confermare l'errore di discrepanza (annullando il blocco di riavviamento). L'istruzione
imposta ACK_REQ = 1 non appena non viene più rilevata alcuna discrepanza. Dopo che è
stata effettuata una conferma o se gli stati dei segnali dei due ingressi IN1 e IN2 diventano
nuovamente discrepanti prima di una conferma, l'istruzione ACK_REQ si resetta a 0.
L'uscita Q non può mai essere impostato su 1 se il tempo di discrepanza è impostato su valori
< 0 o > 60 s. In questo caso, anche l'uscita DISC_FLT viene impostata su 1 (blocco di
riavviamento). L'intervallo di richiamo del programma di sicurezza (ad es. OB 35) deve essere
inferiore al tempo di discrepanza impostato.
A ogni richiamo dell'istruzione "1oo2 evaluation with discrepancy analysis" deve essere
assegnata un’area dati nella quale memorizzare i dati dell'istruzione. Inoltre, durante
l'inserimento dell'istruzione, nel programma viene aperta automaticamente la finestra di
dialogo "Call options", nella quale è possibile inserire un blocco dati (istanza singola) (ad es.
EV1oo2DI_DB_1) o una multiistanza (ad es. EV1oo2DI_Instance_1) per l'istruzione "1oo2
evaluation with discrepancy analysis". Dopo la creazione, il nuovo blocco dati si trova nella
navigazione del progetto, nella cartella "STEP 7 Safety" in "Program blocks > System blocks" o
la multiistanza come variabile locale nella sezione "Static" dell'interfaccia del blocco. Per
ulteriori informazioni a riguardo consultare la Guida di STEP 7.
AVVERTENZA
La parametrizzazione della variabile ACK_NEC = 0 è ammessa solo se un riavviamento


AVVERTENZA
(parametrizzato)
(parametrizzato)
Parametri

IN1 Input BOOL Encoder 1
IN2 Input BOOL Encoder 2
DISCTIME Input TIME Tempo di discrepanza (0 ... 60 s)
ACK_NEC Input BOOL 1 = Conferma necessaria per errore di discrepanza
ACK Input BOOL Conferma dell'errore di discrepanza
Q Output BOOL Uscita
ACK_REQ Output BOOL 1 = Conferma necessaria
DISC_FLT Output BOOL 1 = Errore di discrepanza



one
1.2 x o o
1.3 x x x

Controllo degli ingressi IN1 e IN2.

I due ingressi IN1 e IN2 devono essere controllati in modo tale che il loro stato di sicurezza sia
0.

Esempio con segnale QBAD o QBAD_I_xx

Nel caso di segnali antivalenti, è necessario creare una combinazione OR per l'ingresso (IN1 o
IN2), a cui si assegna il segnale dell'encoder con lo stato di sicurezza 1, con il segnale QBAD
della rispettiva periferia F o il segnale QBAD_I_xx del rispettivo canale (per le F-CPU
S7-300/400) e negare il risultato. Ciò significa che lo stato di segnale 0 è presente
sull'ingresso IN1 o IN2 quando vengono emessi i valori sostitutivi.

Esempio con stato del valore

Nel caso di segnali antivalenti, è necessario negare l'ingresso (IN1 o IN2) a cui si assegna il
segnale dell'encoder con lo stato di sicurezza 1 e collegarlo con lo stato di valore del rispettivo
canale. Ciò significa che lo stato di segnale 0 è presente sull'ingresso IN1 o IN2 quando
vengono emessi i valori sostitutivi.

Diagramma temporale EV1oo2DI

Con parametrizzazione ACK_NEC = 1:
Nota
Se gli encoder sugli ingressi IN1 e IN2 sono assegnati a periferie F diverse, dopo l'avviamento
del sistema F può verificarsi un'emissione del valore sostitutivo di lunghezza diversa, a causa
di un diverso comportamento di avviamento delle periferie F. Se gli stati dei segnali dei due
ingressi IN1 e IN2 sono discrepanti anche dopo che è trascorso il tempo di discrepanza
DISCTIME, dopo l'avviamento del sistema F viene rilevato un errore di discrepanza.
Con ACK_NEC = 1 per confermare l'errore di discrepanza deve essere utilizzato un fronte di
Uscita DIAG
restano memorizzati fino alla conferma sull'ingresso ACK.


Bit 0 Errore di discrepanza o tempo di Sensore difettoso Controllo dei sensori
discrepanza errato impostato Errore di cablaggio Controllo del cablaggio dei
(= stato di DISC_FLT) sensori
Gli encoder sono collegati a diverse Per il rimedio vedere la sezione
periferie F e l'errore della periferia F, "Configurazione di DIAG", bit 0 - 6
l'errore del canale o l'errore di in DIAG (Pagina 166)
comunicazione o la passivazione
tramite PASS_ON su una periferia F
Tempo di discrepanza impostato Impostare eventualmente un
troppo basso tempo di discrepanza più alto
Tempo di discrepanza < 0 s o > 60 s Impostazione del tempo di
impostato discrepanza nel campo da 0 s a
60 s
Bit 1 con errore di discrepanza: L'ultimo — —
cambio di stato di segnale è avvenuto
sull'ingresso IN1
Bit 2 con errore di discrepanza: L'ultimo — —
cambio di stato di segnale è avvenuto
sull'ingresso IN2
Bit 5 con errore di discrepanza: l'ingresso Tasto di conferma difettoso Sostituzione del pulsante di
ACK ha permanentemente lo stato di conferma
segnale 1 Errore di cablaggio Controllo del cablaggio del
pulsante di conferma
Bit 7 Stato dell'uscita Q — —

nell'istruzione

Esempio
13.3.7 FDBACK: Monitoraggio feedback (STEP 7 Safety V18)
Descrizione
Questa istruzione realizza un monitoraggio del feedback.
A questo scopo viene controllato se lo stato di segnale dell'uscita Q corrisponde allo stato di
segnale invertito dell'ingresso di rilettura FEEDBACK.
L'uscita Q viene impostata su 1 non appena l'ingresso ON è = 1. Il requisito per questo è che
l'ingresso di rilettura FEEDBACK sia = 1 e che non sia memorizzato nessun errore di rilettura.
L'uscita Q viene resettata a 0 non appena l'ingresso ON è = 0 o quando viene riconosciuto un
errore di rilettura.
Un errore di rilettura ERROR = 1 viene riconosciuto se lo stato di segnale invertito dell'ingresso
di rilettura FEEDBACK (verso l'uscita Q) non segue lo stato di segnale dell'uscita Q entro il
tempo di rilettura massimo tollerabile FDB_TIME. L'errore di rilettura viene memorizzato.
Se dopo un errore di rilettura tra l'ingresso di rilettura FEEDBACK e l'uscita Q viene rilevata
una discrepanza, la conferma dell'errore di rilettura avviene in base alla parametrizzazione di
ACK_NEC:
• Con ACK_NEC = 1 per confermare l'errore di rilettura deve essere utilizzato un fronte di
L'uscita ACK_REQ = 1 segnala che per la conferma dell'errore di rilettura è necessaria una
conferma utente sull'ingresso ACK. Dopo la conferma l'istruzione ACK_REQ viene resettata a
0.

Per evitare che durante la passivazione della periferia F attivata dall'uscita Q venga rilevato un
errore di rilettura e accertare che non sia necessaria alcuna conferma, assegnare all'ingresso
QBAD_FIO il segnale QBAD della relativa periferia F oppure il segnale QBAD_O_xx / lo stato
del valore invertito del canale corrispondente.
A ogni richiamo dell'istruzione "Feedback monitoring" deve essere assegnata un'area di dati
nel quale vengono salvati i dati dell'istruzione. Inoltre, durante l'inserimento dell'istruzione,
nel programma viene aperta automaticamente la finestra di dialogo "Call options", nella quale
è possibile inserire un blocco dati (istanza singola) (ad es. FDBACK_DB_1) o una multiistanza
(ad es. FDBACK_Instance_1) per l'istruzione "Feedback monitoring". Dopo la creazione, il
nuovo blocco dati si trova nella navigazione del progetto, nella cartella "STEP 7 Safety" in
"Program blocks > System blocks" o la multiistanza come variabile locale nella sezione "Static"
dell'interfaccia del blocco. Per ulteriori informazioni a riguardo consultare la Guida di STEP 7.
AVVERTENZA

AVVERTENZA
(parametrizzato)
(parametrizzato)

Parametri

ON Input BOOL 1=Attivazione dell'uscita
FEEDBACK Input BOOL Ingresso di rilettura
QBAD_FIO Input BOOL Segnale QBAD della periferia F oppure segnale
QBAD_O_xx / stato del valore invertito del canale
dell'uscita Q
ACK Input BOOL Conferma
FDB_TIME Input TIME Tempo di rilettura
Q Output BOOL Uscita
ERROR Output BOOL Errore di rilettura
ACK_REQ Output BOOL Richiesta di conferma


one
1.0 x — — La versione 1.0 presuppone che il blocco F_TOF con il numero FB 186 sia
presente nella cartella "Program blocks / System blocks / STEP 7 Safety"
della navigazione del progetto.
Durante la migrazione di progetti creati con S7 Distributed Safety V5.4
SP5, viene utilizzata automaticamente la versione 1.0 dell'istruzione. Se
si vuole compilare per la prima volta un programma di sicurezza migrato
con STEP 7 Safety Advanced, si raccomanda di aggiornare prima la
versione delle istruzioni all'ultima versione disponibile. In questo modo si
evitano conflitti di numero.
1.1 x — — Queste versioni sono identiche alla versione 1.0 dal punto di vista
1.2 x — o funzionale, ma non richiedono che il blocco F_TOF abbia un numero
specifico.
1.3 x o o
1.4 x o o
1.5 x x x

Esempio di interconnessione
① verso l'ingresso FEEDBACK dell'istruzione

② dall'uscita Q dell'istruzione
Uscita DIAG
0, 2 e 5 restano memorizzati fino alla conferma sull'ingresso ACK.

Bit 0 Errore di rilettura o impostazione di Tempo di rilettura impostato < 0 Impostare un tempo di rilettura > 0
un tempo di rilettura errato Tempo di rilettura impostato troppo Impostare un tempo di rilettura più
(= stato di ERROR) basso alto se necessario
Errore di cablaggio Controllare il cablaggio
dell'attuatore e del contatto di
feedback
Attuatore o contatto di feedback Controllare l'attuatore e il contatto
difettoso di feedback
Errore di periferia o errore di canale Controllare la periferia
dell'ingresso di rilettura
Bit 1 Passivazione della periferia F / del Errore di periferia F, errore di canale Per il rimedio vedere la sezione
canale attivata/o dall'uscita Q (= stato o errore di comunicazione oppure "Configurazione di DIAG", bit 0 - 6
di QBAD_FIO) passivazione tramite PASS_ON della in DIAG (Pagina 166)
periferia F
Bit 2 Dopo un errore di rilettura: l'ingresso Errore di periferia o errore di canale Controllare la periferia
di rilettura ha sempre lo stato di dell'ingresso di rilettura
segnale 0 Contatto di feedback difettoso Controllare il contatto di feedback
Errore di periferia F, errore di canale Per il rimedio vedere la sezione
periferia F dell'ingresso di rilettura


Bit 5 In caso di errore di rilettura: l'ingresso Tasto di conferma difettoso Controllare il tasto di conferma
ACK ha permanentemente lo stato di Errore di cablaggio Controllare il cablaggio del tasto di
segnale 1 conferma
nell'istruzione

Esempio
L'esempio seguente mostra il funzionamento dell'istruzione nelle F-CPU S7-300/400:

13.3.8 SFDOOR: Sorveglianza del riparo di protezione (STEP 7 Safety V18)
Descrizione
Questa istruzione realizza la sorveglianza del riparo di protezione.
Il segnale di abilitazione Q viene resettato a 0 quando uno dei due ingressi IN1 o IN2 passa
allo stato di segnale 0 (apertura del riparo di protezione). Il segnale di abilitazione può essere
nuovamente impostato su 1 solo se:
• prima della chiusura del riparo entrambi gli ingressi IN1 e IN2 hanno assunto lo stato di
segnale 0 (apertura completa del riparo di protezione)
• successivamente entrambi gli ingressi IN1 e IN2 passano allo stato di segnale 1 (chiusura
del riparo di protezione)
• ha luogo una conferma
La conferma dell'abilitazione avviene in base alla parametrizzazione dell'ingresso ACK_NEC:
• Con ACK_NEC = 1 per confermare l'abilitazione deve essere utilizzato un fronte di salita
sull'ingresso ACK.
L'uscita ACK_REQ = 1 segnala che per la conferma è necessaria una conferma utente
sull'ingresso ACK. L'istruzione imposta ACK_REQ = 1 non appena il riparo viene chiuso. Dopo
la conferma l'istruzione ACK_REQ viene resettata a 0.

Per fare in modo che l'istruzione riconosca se gli ingressi IN1 e IN2 sono impostati su 0 solo a
causa della passivazione della periferia F corrispondente, occorre assegnare agli ingressi
QBAD_IN1 o QBAD_IN2 il segnale QBAD della relativa periferia F oppure il segnale QBAD_I_xx
/ lo stato del valore invertito dei canali associati. In questo modo si evita anche di dover aprire
completamente il riparo di protezione prima della conferma in caso di passivazione della
periferia F.
A ogni richiamo dell'istruzione "Safety door monitoring" deve essere assegnata un'area di dati
nella quale memorizzare i dati dell'istruzione. Inoltre, durante l'inserimento dell'istruzione, nel
possibile inserire un blocco dati (istanza singola) (ad es. SFDOOR_DB_1) o una multiistanza
(ad es. SFDOOR_Instance_1) per l'istruzione "Safety door monitoring". Dopo la creazione, il
AVVERTENZA

Parametri

IN1 Input BOOL Ingresso 1
IN2 Input BOOL Ingresso 2
QBAD_IN1 Input BOOL Segnale QBAD della periferia F oppure segnale
QBAD_I_xx / stato del valore invertito del canale
dell'ingresso IN1
QBAD_IN2 Input BOOL Segnale QBAD della periferia F oppure segnale
QBAD_I_xx / stato del valore invertito del canale
dell'ingresso IN2
OPEN_NEC Input BOOL 1=Apertura necessaria all'avviamento
ACK Input BOOL Conferma
Q Output BOOL 1=Abilitazione, riparo di protezione chiuso
ACK_REQ Output BOOL Richiesta di conferma



one
1.2 x o o
1.3 x x x


Esempio di interconnessione
Interconnettere il contatto normalmente chiuso dell'interruttore di posizione 1 del riparo di
protezione sull'ingresso IN1 e il contatto normalmente aperto dell'interruttore di posizione 2
sull'ingresso IN2. L'interruttore di posizione 1 deve essere montato in modo da essere
obbligatoriamente azionato quando il riparo di protezione è aperto. L'interruttore di posizione
2 deve essere montato in modo da essere azionato quando il riparo di protezione è chiuso.

Dopo l'avviamento del sistema F il segnale di abilitazione Q viene resettato a 0. La conferma
dell'abilitazione avviene in base alla parametrizzazione degli ingressi OPEN_NEC e ACK_NEC:
• Con OPEN_NEC = 0 ha luogo una conferma automatica indipendentemente da ACK_NEC
non appena entrambi gli ingressi IN1 e IN2 assumono per la prima volta lo stato di segnale
1 dopo la reintegrazione della relativa periferia F (chiusura del riparo di protezione)
• Con OPEN_NEC = 1 oppure se almeno uno degli ingressi IN1 e IN2 ha ancora lo stato di
segnale 0 dopo la reintegrazione della relativa periferia F, la conferma automatica viene
eseguita in funzione di ACK_NEC oppure è necessario eseguire l'abilitazione confermando
un fronte di salita sull'ingresso ACK. Prima della conferma entrambi gli ingressi IN1 e IN2
devono avere assunto lo stato di segnale 0 (apertura completa del riparo di protezione) e
successivamente lo stato di segnale 1 (chiusura del riparo di protezione).
AVVERTENZA
La parametrizzazione della variabile OPEN_NEC = 0 è ammessa solo se un riavviamento

Uscita DIAG
di servizio e supervisione o eventualmente valutata nel programma utente standard.

Bit 1 Stato del segnale 0 di entrambi gli Il riparo di protezione non è stato Aprire completamente il riparo di
ingressi IN1 e IN2 assente aperto completamente con protezione
OPEN_NEC = 1 dopo l'avviamento
del sistema F
Riparo di protezione non Aprire completamente il riparo di
completamente aperto protezione
Errore di cablaggio Controllare il cablaggio degli
interruttori di posizione
Interruttore di posizione difettoso Controllare l'interruttore di
posizione
Interruttore di posizione regolato in Correggere la regolazione
modo errato dell'interruttore di posizione
Bit 2 Stato del segnale 1 di entrambi gli Il riparo di protezione non è chiuso Chiudere il riparo di protezione
ingressi IN1 e IN2 assente Errore di cablaggio Controllare il cablaggio degli
interruttori di posizione
Interruttore di posizione difettoso Controllare l'interruttore di
posizione
Interruttore di posizione regolato in Correggere la regolazione
modo errato dell'interruttore di posizione


Bit 3 QBAD_IN1 e/o QBAD_IN2 = 1 Errore di periferia F, errore di canale Per il rimedio vedere la sezione
periferia F/del canale di IN1 e/o IN2
Bit 5 In mancanza dell'abilitazione: Tasto di conferma difettoso Controllare il tasto di conferma
l'ingresso ACK ha permanentemente Errore di cablaggio Controllare il cablaggio del tasto di
lo stato di segnale 1 conferma
Esempio

13.3.9 ACK_GL: Conferma globale di tutte le periferie F di un gruppo di

esecuzione F (STEP 7 Safety V18)
Descrizione
Questa istruzione genera una conferma per la reintegrazione simultanea di tutta la periferia F
/ i canali della periferia F di un gruppo di esecuzione F dopo errori di comunicazione o errori di
periferia F/di canale.
Per la reintegrazione è necessaria una conferma utente (Pagina 179) con un fronte di salita
sull'ingresso ACK_GLOB. La conferma è analoga alla conferma utente tramite la variabile
ACK_REI del DB di periferia F (Pagina 162), ma agisce simultaneamente su tutta la periferia F
del gruppo di esecuzione F nel quale viene richiamata l'istruzione.
Utilizzando l'istruzione ACK_GL non è necessario configurare una conferma utente separata
tramite la variabile ACK_REI del DB di periferia F per ogni periferia F del gruppo di
esecuzione F.

A ogni richiamo dell'istruzione "Global acknowledgment of all F-I/Os of a runtime group" deve
essere assegnata un'area di dati nella quale memorizzare i dati dell'istruzione. Inoltre, durante
l'inserimento dell'istruzione, nel programma viene aperta automaticamente la finestra di
dialogo "Call options", nella quale è possibile inserire un blocco dati (istanza singola) (ad es.
ACK_GL_DB_1) o una multiistanza (ad es. ACK_GL_Instance_1) per l'istruzione "Global
acknowledgment of all F-I/Os of a runtime group". Dopo la creazione, il nuovo blocco dati si
trova nella navigazione del progetto, nella cartella "STEP 7 Safety" in "Program blocks >
Nota
La conferma tramite l'istruzione ACK_GL è possibile solo se la variabile ACK_REI del DB di
periferia F è = 0. Allo stesso modo, la conferma tramite la variabile ACK_REI del DB di
periferia F è possibile solo se l'ingresso ACK_GLOB dell'istruzione è = 0.
L'istruzione può essere richiamata una sola volta per ogni gruppo di esecuzione F.
Parametri

ACK_GLOB Input BOOL 1=Conferma per la reintegrazione


one
1.2 x o o
1.3 x x x

13.4 Temporizzatori
Esempio
13.4 Temporizzatori
13.4.1 TP: Generazione dell'impulso (STEP 7 Safety V18)
Descrizione
Con l'istruzione "Generate pulse" si imposta l'uscita Q per una durata programmata.
L'istruzione si avvia se il risultato logico combinatorio (RLO) nell'ingresso IN passa da "0" a "1"
(fronte di salita del segnale). Con l'avvio dell'istruzione il tempo programmato PT inizia a
decorrere. L'uscita Q viene impostata per la durata PT indipendentemente dall'andamento
successivo del segnale di ingresso. Nemmeno il rilevamento di un nuovo fronte di salita del
segnale influenza lo stato di segnale sull'uscita Q durante la decorrenza della durata PT.
Nell'uscita ET è possibile interrogare il valore temporale attuale. Il valore temporale inizia da
T#0s e termina quando viene raggiunta la durata PT. Se la durata PT è stata raggiunta e lo
stato di segnale dell'ingresso IN è "0", l'uscita ET viene resettata.

13.4 Temporizzatori
A ogni richiamo dell'istruzione "Generate pulse" deve essere assegnata un'area di dati nella
quale memorizzare i dati dell'istruzione. Inoltre, durante l'inserimento dell'istruzione, nel
possibile inserire un blocco dati (istanza singola) (ad es. F_IEC_Timer_DB_1) o una
multiistanza (ad es. F_IEC_Timer_Instance_1) per l'istruzione "Generate pulse". Dopo la
creazione, il nuovo blocco dati si trova nella navigazione del progetto nella cartella
"STEP 7 Safety" in "Program blocks > System blocks" o la multiistanza come variabile locale
nella sezione "Static" dell'interfaccia del blocco. Per ulteriori informazioni a riguardo
consultare la Guida a STEP 7.
AVVERTENZA
(parametrizzato)
(parametrizzato)
In caso di avviamento del sistema F, il sistema operativo resetta le istanze dell'istruzione

"Generate pulse".
Nota
La funzionalità di questa istruzione si discosta da quella dell'istruzione standard
corrispondente TP per i seguenti elementi:
• Se l'istruzione viene richiamata durante il tempo in esecuzione con PT = 0 ms, le uscite Q e
ET vengono resettate.
• Se l'istruzione viene richiamata con PT < 0 ms, le uscite Q e ET vengono resettate.
Per riavviare l'impulso quando PT è di nuovo > 0 è necessario un nuovo fronte di salita del
segnale sull'ingresso IN.

13.4 Temporizzatori
Parametri

IN Input BOOL Ingresso di avvio
PT Input TIME Durata dell'impulso, deve essere positivo.
Q Output BOOL Uscita dell'impulso
ET Output TIME Valore temporale attuale


one
1.2 x o o
1.3 x o o
1.4 x x x

13.4 Temporizzatori
Diagramma degli impulsi

La figura seguente rappresenta il diagramma degli impulsi dell'istruzione "Generate pulse":

13.4 Temporizzatori
nell'istruzione
Esempio

13.4 Temporizzatori
Quando lo stato di segnale dell'operando "TagIn_1" passa da "0" a "1", l'istruzione "Generate
pulse" viene eseguita e la durata parametrizzata sull'ingresso PT (100 ms) decorre
indipendentemente dall'andamento successivo dell'operando "TagIn_1".
Finché la durata è attiva l'operando "TagOut" sull'uscita Q ha lo stato di segnale "1".
L'operando ""F_DB_1".Tag_ET" contiene il valore temporale attuale.
13.4.2 TON: Generazione del ritardo all'inserzione (STEP 7 Safety V18)
Descrizione
Con l'istruzione "Generate on-delay" si ritarda l'impostazione dell'uscita Q della durata PT
programmata. L'istruzione si avvia se il risultato logico combinatorio (RLO) sull'ingresso IN
passa da "0" a "1" (fronte di salita del segnale). Con l'avvio dell'istruzione il tempo
programmato PT inizia a decorrere. Al termine del tempo PT l'uscita Q restituisce lo stato di
segnale "1". L'uscita Q resta impostata finché l'ingresso di avvio ha ancora valore "1". Se lo
stato di segnale nell'ingresso di avvio cambia da "1" a "0", l'uscita Q viene resettata. La
funzione temporale viene riavviata se viene rilevato un nuovo fronte di salita del segnale
nell'ingresso di avvio.
T#0s e termina quando viene raggiunta la durata PT. Non appena lo stato di segnale
nell'ingresso IN commuta su "0", l'uscita ET viene resettata.

13.4 Temporizzatori
A ogni richiamo dell'istruzione "Generate on-delay" deve essere assegnata un'area di dati nella
quale memorizzare i dati dell'istruzione. Inoltre, durante l'inserimento dell'istruzione, nel
multiistanza (ad es. F_IEC_Timer_Instance_1) per l'istruzione "Generate on-delay". Dopo la
AVVERTENZA
(parametrizzato)
(parametrizzato)

"Generate on-delay".
Nota
La funzionalità di questa istruzione si discosta da quella dell'istruzione standard TON
corrispondente per i seguenti elementi:
• Se l'istruzione viene richiamata durante il tempo in esecuzione con PT = 0 ms, l'uscita ET
viene resettata.
Per riavviare il ritardo all'inserzione quando PT è di nuovo > 0 è necessario un nuovo fronte di
salita del segnale sull'ingresso IN.

13.4 Temporizzatori
Parametri

PT Input TIME Durata del ritardo all'inserzione, deve essere positiva
Q Output BOOL Uscita impostata dopo la scadenza del tempo PT.


one
1.2 x o o
1.3 x o o
1.4 x x x

13.4 Temporizzatori

La figura seguente rappresenta il diagramma degli impulsi dell'istruzione "Generate on-delay":

13.4 Temporizzatori
nell'istruzione

13.4 Temporizzatori
Esempio
Se lo stato di segnale dell'operando "TagIn_1" passa da "0" a "1" viene eseguita l'istruzione
"Generate on-delay" e inizia a decorrere il tempo (1 s) parametrizzato sull'ingresso PT.
L'operando "TagOut" sull'uscita Q assume lo stato di segnale "1" quando il tempo è trascorso e
resta impostato finché l'operando "TagIn_1" è "1". L'operando ""F_DB_1".Tag_ET" contiene il
valore temporale attuale.
13.4.3 TOF: Generazione del ritardo alla disinserzione (STEP 7 Safety V18)
Descrizione
Con l'istruzione "Generate off-delay" si ritarda il reset dell'uscita Q della durata PT
programmata. L'uscita Q viene impostata se il risultato logico combinatorio (RLO)
sull'ingresso IN passa da "0" a "1" (fronte di salita del segnale). Quando lo stato di segnale
sull'ingresso IN torna a "0", il tempo programmato PT inizia a decorrere. L'uscita Q rimane
impostata finché è in corso PT. Una volta decorsa la durata PT l'uscita Q viene resettata. Se lo
stato di segnale nell'ingresso IN commuta su "1" prima che sia trascorsa la durata PT, il tempo
viene resettato. Lo stato di segnale nell'uscita Q resta impostato su "1".
T#0s e termina quando viene raggiunta la durata PT. Dopo che è trascorso il tempo PT, l'uscita
ET resta impostata sul valore attuale finché l'ingresso IN non passa nuovamente a "1". Se
l'ingresso IN passa a "1" prima che sia trascorso il tempo PT, l'uscita ET viene resettata al
valore T#0s.

13.4 Temporizzatori
A ogni richiamo dell'istruzione "Generate off-delay" deve essere assegnata un'area di dati
multiistanza (ad es. F_IEC_Timer_Instance_1) per l'istruzione "Generate off-delay". Dopo la
AVVERTENZA
(parametrizzato)
(parametrizzato)

"Generate off-delay".
Nota
La funzionalità di questa istruzione si discosta da quella dell'istruzione standard TOF
corrispondente per i seguenti elementi:
• Se l'istruzione viene richiamata durante il tempo in esecuzione con PT = 0 ms, le uscite Q e
ET vengono resettate.
Per riavviare il ritardo alla disinserzione quando PT è di nuovo > 0 è necessario un nuovo
fronte di discesa del segnale sull'ingresso IN.

13.4 Temporizzatori
Parametri

PT Input TIME Durata del ritardo alla disinserzione, deve essere positiva.
Q Output BOOL Uscita che viene resettata dopo che è trascorso il tempo
PT.


one
1.2 x o o
1.3 x o o
1.4 x x x

13.4 Temporizzatori

La figura seguente rappresenta il diagramma degli impulsi dell'istruzione "Generate
off-delay":

13.4 Temporizzatori
nell'istruzione

13.5 Contatori
Esempio
Se lo stato di segnale dell'operando "TagIn_1" passa da "0" a "1", lo stato di segnale

dell'operando "TagOut" sull'uscita Q viene impostato su "1".
Se lo stato di segnale dell'operando "TagIn_1" ritorna a "0", inizia il tempo parametrizzato
sull'ingresso PT (200 ms).
Quando il tempo è trascorso, l'operando "TagOut" sull'uscita Q viene nuovamente impostato
su "0". L'operando ""F_DB_1".Tag_ET" contiene il valore temporale attuale.
13.5 Contatori
13.5.1 CTU: Conteggio in avanti (STEP 7 Safety V18)
Descrizione
L'istruzione "Count up" consente di incrementare il valore sull'uscita CV. Quando lo stato di
segnale dell'uscita CU commuta da "0" a "1" (fronte di salita del segnale), l'istruzione viene
eseguita e il valore di conteggio attuale nell'uscita CV viene incrementato di uno. Il valore di
conteggio viene incrementato ogni volta che viene rilevato un fronte di salita del segnale
finché non raggiunge il valore limite superiore del tipo di dati indicato nell'uscita CV. Una
volta raggiunto il valore limite superiore, lo stato di segnale nell'ingresso CU non influisce più
sull'istruzione.
Sull'uscita Q è possibile leggere lo stato del contatore. Lo stato di segnale sull'uscita Q è
determinato dal parametro PV. Se il valore di conteggio attuale è maggiore o uguale al valore
del parametro PV, l'uscita Q viene impostata sullo stato di segnale "1". In tutti gli altri casi lo
stato di segnale nell'uscita Q è "0".

13.5 Contatori
Il valore sull'uscita CV viene resettato a zero se lo stato di segnale nell'ingresso R passa a "1".
Finché nell'ingresso R è presente lo stato di segnale "1", lo stato di segnale nell'ingresso CU
non influisce sull'istruzione.
A ogni richiamo dell'istruzione "Count up" deve essere assegnata un'area di dati nella quale
memorizzare i dati dell'istruzione. Inoltre, durante l'inserimento dell'istruzione, nel
possibile inserire un blocco dati (istanza singola) (ad es. F_IEC_Counter_DB_1) o una
multiistanza (ad es. F_IEC_Counter_Instance_1) per l'istruzione "Count up". Dopo la creazione,
il nuovo blocco dati si trova nella navigazione del progetto nella cartella "STEP 7 Safety" in
dell'interfaccia del blocco. Per ulteriori informazioni a riguardo consultare la Guida a STEP 7.
"Count up".
Parametri

CU Input BOOL Ingresso di conteggio
R Input BOOL Ingresso di reset
PV Input INT Valore con il quale viene impostata l'uscita Q
Q Output BOOL Stato del contatore
CV Output INT Valore di conteggio attuale


one
1.2 x o o
1.3 x x x

13.5 Contatori
Esempio
Se lo stato di segnale nell'ingresso "CU" passa da "0" a "1" viene eseguita l'istruzione "Count
up" e il valore di conteggio attuale dell'uscita"CV" viene incrementato di uno. Con ogni
ulteriore fronte di salita del segnale, il valore di conteggio viene incrementato fino al
raggiungimento del valore limite superiore del tipo di dati indicato (32767).
Il valore nel parametro PV viene applicato come limite per la determinazione dell'operando
"TagOut" sull'uscita Q. L'uscita "Q" restituisce lo stato di segnale "1" finché il valore di
conteggio attuale è maggiore o uguale al valore dell'ingresso "PV". In tutti gli altri casi l'uscita
"Q" ha lo stato di segnale "0".
13.5.2 CTD: Conteggio all'indietro (STEP 7 Safety V18)
Descrizione
L'istruzione "Count down" consente di decrementare il valore nell'uscita CV. Quando lo stato
di segnale nell'ingresso CD commuta da "0" a "1" (fronte di salita del segnale) l'istruzione
viene eseguita e il valore di conteggio attuale nell'uscita CV viene decrementato di uno. Il
valore di conteggio viene decrementato a ogni rilevamento di un fronte di salita del segnale
finché non raggiunge il valore limite inferiore del tipo di dati indicato. Una volta raggiunto il
valore limite inferiore, lo stato di segnale nell'ingresso CD non influisce più sull'istruzione.
Sull'uscita Q è possibile leggere lo stato del contatore. Se il valore di conteggio attuale è
minore o uguale a zero, l'uscita Q viene impostata sullo stato di segnale "1". In tutti gli altri
casi lo stato di segnale nell'uscita Q è "0".
Quando lo stato di segnale nell'ingresso LD commuta a "1" il valore nell'uscita CV viene
impostato sul valore del parametro PV. Finché nell'ingresso LD è presente lo stato di segnale
"1" lo stato di segnale nell'ingresso CD non influisce sull'istruzione.

13.5 Contatori
A ogni richiamo dell'istruzione "Count down" deve essere assegnata un'area di dati nella quale
multiistanza (ad es. F_IEC_Counter_Instance_1) per l'istruzione "Count down". Dopo la
"Count down".
Parametri

CD Input BOOL Ingresso di conteggio
LD Input BOOL Ingresso di caricamento
PV Input INT Valore sul quale viene impostata l'uscita CV se LD = 1.
Q Output BOOL Stato del contatore


one
1.2 x o o
1.3 x x x

13.5 Contatori
Esempio
Se lo stato di segnale sull'ingresso "CD" passa da "0" a "1" viene eseguita l'istruzione "Count
down" e il valore sull'uscita "CV" viene decrementato di una unità. Con ogni ulteriore fronte di
salita del segnale, il valore di conteggio viene decrementato fino al raggiungimento del
valore limite inferiore del tipo di dati indicato (-32768).
L'uscita "Q" ha lo stato di segnale "1" finché il valore di conteggio attuale è minore o uguale a
zero. In tutti gli altri casi l'uscita "Q" ha lo stato di segnale "0".
13.5.3 CTUD: Conteggio in avanti e all'indietro (STEP 7 Safety V18)
Descrizione
L'istruzione "Count up and down" consente di incrementare e decrementare il valore di
conteggio dell'uscita CV. Se lo stato di segnale nell'ingresso CU passa da "0" a "1" (fronte di
salita del segnale), il valore di conteggio attuale nell'uscita CV viene incrementato di uno.
Quando lo stato di segnale dell'ingresso CD commuta da "0" a "1" (fronte di salita del
segnale), il valore di conteggio dell'uscita CV viene decrementato di uno. Se in un ciclo di
programma è presente un fronte di salita del segnale negli ingressi CU e CD il valore di
conteggio attuale nell'uscita CV rimane invariato.
Il valore di conteggio può essere incrementato finché non raggiunge il valore limite superiore
del tipo di dati indicato nell'uscita CV. Una volta raggiunto il valore limite superiore, il valore
di conteggio non viene più incrementato in caso di fronte di salita del segnale. Una volta
raggiunto il valore limite inferiore del tipo di dati indicato, il valore di conteggio non viene più
decrementato.
Se lo stato di segnale nell'ingresso LD commuta a "1", il valore di conteggio nell'uscita CV
viene impostato sul valore del parametro PV. Finché nell'ingresso LD è presente lo stato di
segnale "1" lo stato di segnale negli ingressi CU e CD non influisce sull'istruzione.

13.5 Contatori
Il valore di conteggio viene impostato a 0 se lo stato di segnale nell'ingresso R passa a "1".

Finché nell'ingresso R è presente lo stato di segnale "1", l'andamento dello stato di segnale
negli ingressi CU, CD e LD non influisce sull'istruzione "Count up and down".
Sull'uscita QU è possibile rilevare lo stato del contatore in avanti. Se il valore di conteggio
attuale è maggiore o uguale al valore del parametro PV, l'uscita QU fornisce lo stato di
segnale "1". In tutti gli altri casi lo stato di segnale nell'uscita QU è "0".
Sull'uscita QD è possibile rilevare lo stato del contatore all'indietro. Se il valore di conteggio
attuale è minore o uguale a zero, l'uscita QD fornisce lo stato di segnale "1". In tutti gli altri
casi lo stato di segnale nell'uscita QD è "0".
A ogni richiamo dell'istruzione "Count up and down" deve essere assegnata un'area di dati
multiistanza (ad es. F_IEC_Counter_Instance_1) per l'istruzione "Count up and down". Dopo la
"Count up and down".
Parametri

CU Input BOOL Ingresso di conteggio in avanti
CD Input BOOL Ingresso di conteggio all'indietro
R Input BOOL Ingresso di reset
LD Input BOOL Ingresso di caricamento
PV Input INT Valore sul quale viene impostata l'uscita QU / l'uscita CV
se LD = 1
QU Output BOOL Stato del contatore in avanti
QD Output BOOL Stato del contatore all'indietro

13.5 Contatori


one
1.2 x o o
1.3 x x x

Esempio

13.6 Operazioni di confronto
Se lo stato di segnale sull'ingresso "CU" o sull'ingresso "CD" passa da "0" a "1" (fronte di salita
del segnale) viene eseguita l'istruzione "Count up and down". Se sull'ingresso "CU" è presente
un fronte di salita del segnale, il valore di conteggio attuale nell'uscita "CV" viene
incrementato di uno. Se sull'ingresso "CD" è presente un fronte di salita del segnale, il valore
di conteggio attuale nell'uscita "CV" viene decrementato di uno. Se si verifica un fronte di
salita del segnale nell'ingresso CU il valore di conteggio viene incrementato finché non
raggiunge il valore limite superiore di 32767. In presenza di un fronte di salita del segnale
nell'ingresso CD il valore di conteggio viene decrementato finché non raggiunge il valore
limite inferiore di -32768.
L'uscita "QU" ha lo stato di segnale "1" finché il valore di conteggio attuale è maggiore o
uguale al valore dell'ingresso "PV". In tutti gli altri casi l'uscita "QU" ha lo stato di segnale "0".
L'uscita "QD" ha lo stato di segnale "1" finché il valore di conteggio attuale è minore o uguale
a zero. In tutti gli altri casi l'uscita "QD" ha lo stato di segnale "0".
13.6.1 CMP ==: Uguale (STEP 7 Safety V18)
Descrizione
L'istruzione "Equal" consente di verificare se il primo valore di confronto (IN1 o <Operando1>)
è uguale al secondo valore di confronto (IN2 o <Operando2>).
Se la condizione del confronto è soddisfatta l'istruzione fornisce il risultato logico
combinatorio (RLO) "1". Se la condizione del confronto non è soddisfatta l'istruzione fornisce
l'RLO "0".
Per KOP vale:
L'RLO dell'istruzione viene combinato con l'RLO dell'intero montante nel modo seguente:
• Con AND se l'istruzione di confronto è collegata in serie.
• Con OR se l'istruzione di confronto è collegata in parallelo.
Il primo valore di confronto (<Operando1>) va indicato nel segnaposto dell'operando sopra
l'istruzione. Il secondo valore di confronto (<Operando2>) va indicato nel segnaposto
dell'operando sotto l'istruzione.

Parametri

FUP: IN1 Input INT, DINT, TIME, Primo valore di confronto
KOP: <Operando1> WORD, (S7-300/400)
DWORD
FUP: IN2 Input INT, DINT, TIME, Secondo valore di confronto
KOP: <Operando2> WORD, (S7-300/400)
DWORD
Nella casella di riepilogo "<???>" del box dell'istruzione è possibile selezionare il tipo di dati
dell'istruzione.
Esempio

• "Tag_In1" fornisce lo stato di segnale "1".
• La condizione dell'istruzione di confronto è soddisfatta ("Tag_Value1" = "Tag_Value2").
13.6.2 CMP <>: Diverso (STEP 7 Safety V18)
Descrizione
L'istruzione "Not equal" consente di verificare se il primo valore di confronto (IN1 o
<Operando1>) è diverso dal secondo valore di confronto (IN2 o <Operando2>).
l'RLO "0".

Per KOP vale:

Parametri

FUP: IN1 Input INT, DINT, TIME, Primo valore di confronto
KOP: <Operando1> WORD, (S7-
300/400) DWORD
FUP: IN2 Input INT, DINT, TIME, Secondo valore di confronto
KOP: <Operando2> WORD, (S7-
300/400) DWORD
dell'istruzione.
Esempio

• "Tag_In1"" fornisce lo stato di segnale "1".
• La condizione dell'istruzione di confronto è soddisfatta ("Tag_Value1" <> "Tag_Value2").

13.6.3 CMP >=: Maggiore o uguale (STEP 7 Safety V18)
Descrizione
L'istruzione "Greater or equal" consente di verificare se il primo valore di confronto (IN1 o
<Operando1>) è maggiore o uguale al secondo valore di confronto (IN2 o <Operando2>). I
valori di confronto devono avere entrambi lo stesso tipo di dati.
l'RLO "0".
Per KOP vale:
Parametri

FUP: IN1 Input INT, DINT, TIME Primo valore di confronto
KOP: <Operando1>
FUP: IN2 Input INT, DINT, TIME Secondo valore di confronto
KOP: <Operando2>
dell'istruzione.
Esempio


• La condizione dell'istruzione di confronto è soddisfatta ("Tag_Value1" >= "Tag_Value2").
13.6.4 CMP <=: Minore o uguale (STEP 7 Safety V18)
Descrizione
L'istruzione "Less or equal" consente di verificare se il primo valore di confronto (IN1 o
<Operando1>) è minore o uguale al secondo valore di confronto (IN2 o <Operando2>). I
valori di confronto devono avere entrambi lo stesso tipo di dati.
l'RLO "0".
Per KOP vale:
Parametri

KOP: <Operando1>
KOP: <Operando2>
dell'istruzione.

Esempio

• La condizione dell'istruzione di confronto è soddisfatta ("Tag_Value1" <= "Tag_Value2").
13.6.5 CMP >: Maggiore (STEP 7 Safety V18)
Descrizione
L'istruzione "Greater than" consente di verificare se il primo valore di confronto (IN1 o
<Operando1>) è maggiore del secondo valore di confronto (IN2 o <Operando2>). I valori di
confronto devono avere entrambi lo stesso tipo di dati.
l'RLO "0".
Per KOP vale:

Parametri

KOP: <Operando1>
KOP: <Operando2>
dell'istruzione.
Esempio

• La condizione dell'istruzione di confronto è soddisfatta ("Tag_Value1" > "Tag_Value2").
13.6.6 CMP <: Minore (STEP 7 Safety V18)
Descrizione
L'istruzione "Less than" consente di verificare se il primo valore di confronto (IN1 o
<Operando1>) è minore del secondo valore di confronto (IN2 o <Operando2>). I valori di
confronto devono avere entrambi lo stesso tipo di dati.
l'RLO "0".

Per KOP vale:

Parametri

KOP: <Operando1>
KOP: <Operando2>
dell'istruzione.
Esempio

• La condizione dell'istruzione di confronto è soddisfatta ("Tag_Value1" < "Tag_Value2").

13.7 Funzioni matematiche
13.7.1 ADD: Somma (STEP 7 Safety V18)
Descrizione
L'istruzione "Add" consente di sommare il valore dell'ingresso IN1 con quello dell'ingresso IN2
e di leggere la somma nell'uscita OUT (OUT = IN1 + IN2).
Il collegamento dell'ingresso di abilitazione "EN" o (S7-300, S7-400) dell'uscita di abilitazione
"ENO" non è possibile. In questo modo, l'istruzione viene sempre eseguita,
indipendentemente dallo stato di segnale sull'ingresso di abilitazione "EN".
Nota
Se il risultato dell'istruzione non rientra nel campo consentito per il tipo di dati, la F-CPU può
passare in STOP. La causa dell'evento di diagnostica viene inserita nel buffer di diagnostica
della F-CPU.
Pertanto, durante la creazione del programma, fare attenzione a rispettare l'area consentita
per il tipo di dati!
(S7-1200, S7-1500) È possibile evitare lo STOP della F-CPU collegando l'uscita di abilitazione
ENO e programmando così un riconoscimento di overflow.
Tenere presente quanto segue:
• Se il risultato dell’istruzione non rientra nel campo consentito per il tipo di dati, l’uscita di
abilitazione ENO fornisce lo stato di segnale "0".
• Il risultato dell’istruzione si comporta quindi come nella rispettiva istruzione in un blocco
standard.
• Il tempo di esecuzione dell'istruzione viene prolungato (vedere anche File Excel per il
• La memoria richiesta del programma di sicurezza aumenta.
(S7-300, S7-400) È possibile evitare uno STOP della F-CPU inserendo nella seguente rete
un'istruzione "Get status bit OV" e programmando di conseguenza un riconoscimento di
overflow.
standard.
• La rete con l'istruzione "Get status bit OV" non deve contenere etichette di salto.
• Se non si inserisce alcuna istruzione "Get status bit OV", viene emesso un avviso.

Parametri

ENO Output BOOL (S7-1200, S7-1500)
Uscita di abilitazione
IN1 Input INT, DINT Primo addendo
IN2 Input INT, DINT Secondo addendo
OUT Output INT, DINT Totale
Nella casella di riepilogo "<???>" del box dell'istruzione selezionare il tipo di dati
dell'istruzione.
Esempio di F-CPU S7-300/400

L'istruzione "Add" viene sempre eseguita, indipendentemente dallo stato di segnale

sull'ingresso di abilitazione EN.
Il valore dell'operando "Tag_Value1" viene sommato a quello dell'operando "Tag_Value2". Il
risultato della somma viene salvato nell'operando ""F_DB_1".Tag_Result".

In caso di necessità è anche possibile salvare lo stato di segnale dell'uscita di abilitazione ENO
in un (F-)DB e valutare centralmente per tutti i gruppi/un gruppo di istruzioni se si sono
verificati degli overflow.
Se durante l'esecuzione dell'istruzione "Add" si verifica un overflow, il bit di stato OV viene
impostato a "1". Dopo l'interrogazione del bit di stato OV, nella rete 2 viene eseguita
l'istruzione "Set output" (S) e viene impostato l'operando "TagOut".

L'istruzione "Add" viene sempre eseguita, indipendentemente dallo stato di segnale

Il valore dell'operando "#Tag_Value1" viene sommato a quello dell'operando "#Tag_Value2". Il
Se durante l'esecuzione dell'istruzione "Add" non si verifica alcun overflow, l'uscita di
abilitazione ENO fornisce lo stato di segnale "1" e viene impostato l'operando "#TagOut".
In caso di necessità è anche possibile salvare lo stato di segnale dell'uscita di abilitazione ENO
in un (F-)DB e valutare centralmente per tutti i gruppi/un gruppo di istruzioni se si sono
verificati degli overflow.
Vedere anche
---| |--- OV: Interrogazione bit di stato OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)
(Pagina 576)
---| / |--- OV: Interrogazione se bit di stato OV è negato (STEP 7 Safety Advanced V18) (S7-300,
S7-400) (Pagina 577)

13.7.2 SUB: Sottrazione (STEP 7 Safety V18)
Descrizione
L'istruzione "Subtract" consente di sottrarre il valore dell'ingresso IN2 da quello dell'ingresso
IN1 e di leggere la differenza nell'uscita OUT (OUT = IN1 – IN2).
Nota
della F-CPU.
standard.
overflow.
standard.

Parametri

IN1 Input INT, DINT Minuendo
IN2 Input INT, DINT Sottraendo
OUT Output INT, DINT Differenza
dell'istruzione.

L'istruzione "Subtract" viene sempre eseguita, indipendentemente dallo stato di segnale

Il valore dell'operando "Tag_Value2" viene sottratto da quello dell'operando "Tag_Value1". Il
risultato della sottrazione viene salvato nell'operando ""F_DB_1".Tag_Result".

Se durante l'esecuzione dell'istruzione "Subtract" si verifica un overflow, il bit di stato OV

viene impostato a "1". Dopo l'interrogazione del bit di stato OV, nella rete 2 viene eseguita

L'istruzione "Subtract" viene sempre eseguita, indipendentemente dallo stato di segnale

Il valore dell'operando "#Tag_Value2" viene sottratto da quello dell'operando "#Tag_Value1".
Il risultato della sottrazione viene salvato nell'operando ""F_DB_1".Tag_Result".
Se durante l'esecuzione dell'istruzione "Subtract" non si verifica alcun overflow, l'uscita di
Vedere anche
(Pagina 576)
S7-400) (Pagina 577)

13.7.3 MUL: Moltiplicazione (STEP 7 Safety V18)
Descrizione
L'istruzione "Multiply" consente di moltiplicare il valore dell'ingresso IN1 per quello
dell'ingresso IN2 e di leggere il prodotto nell'uscita OUT (OUT = IN1 × IN2).
Nota
della F-CPU.
standard.
overflow.
standard.

Parametri

IN1 Input INT, DINT Moltiplicatore
IN2 Input INT, DINT Moltiplicando
OUT Output INT, DINT Prodotto
dell'istruzione.

L'istruzione "Multiply" viene sempre eseguita, indipendentemente dallo stato di segnale

Il valore dell'operando "Tag_Value1" viene moltiplicato per quello dell'operando "Tag_Value2".
Il risultato della moltiplicazione viene salvato nell'operando ""F_DB_1".Tag_Result".

Se durante l'esecuzione dell'istruzione "Multiply" si verifica un overflow, il bit di stato OV viene


L'istruzione "Multiply" viene sempre eseguita, indipendentemente dallo stato di segnale

Il valore dell'operando "#Tag_Value1" viene moltiplicato per quello dell'operando
"#Tag_Value2". Il risultato della moltiplicazione viene salvato nell'operando
""F_DB_1".Tag_Result".
Se durante l'esecuzione dell'istruzione "Multiply" non si verifica alcun overflow, l'uscita di
Vedere anche
(Pagina 576)
S7-400) (Pagina 577)
13.7.4 DIV: Divisione (STEP 7 Safety V18)
Descrizione
L'istruzione "Divide" consente di dividere il valore dell'ingresso IN1 con quello dell'ingresso
IN2 e di leggere il quoziente nell'uscita OUT (OUT = IN1 / IN2).


Nota
della F-CPU.
standard.
overflow.
standard.
Nota
S7-300/400, S7-1200/1500 (uscita di abilitazione ENO collegata):
Se il divisore (ingresso IN2) di un'istruzione DIV è = 0, il quoziente del divisore (risultato del
divisore sull'uscita OUT) è = 0. Il risultato si comporta come nella rispettiva istruzione in un
blocco standard. La F-CPU non commuta in STOP.
S7-1200/1500 (uscita di abilitazione ENO non è collegata):
Se il divisore (ingresso IN2) di un'istruzione DIV è = 0, la F-CPU passa in STOP. Nel buffer di
diagnostica della F-CPU viene registrata la causa dell'evento di diagnostica. Si raccomanda di
evitare un divisore (ingresso IN2) = 0 già al momento della creazione del programma.

Parametri

IN1 Input INT, DINT Dividendo
IN2 Input INT, DINT Divisore
OUT Output INT, DINT Quoziente
dell'istruzione.

L'istruzione "Divide" viene sempre eseguita, indipendentemente dallo stato di segnale

Il valore dell'operando "Tag_Value1" viene diviso per quello dell'operando "Tag_Value2". Il
risultato della divisione viene salvato nell'operando ""F_DB_1".Tag_Result".

Se durante l'esecuzione dell'istruzione "Divide" si verifica un overflow, il bit di stato OV viene


L'istruzione "Divide" viene sempre eseguita, indipendentemente dallo stato di segnale

Il valore dell'operando "#Tag_Value1" viene diviso per quello dell'operando "#Tag_Value2". Il
risultato della divisione viene salvato nell'operando ""F_DB_1".Tag_Result".
Se durante l'esecuzione dell'istruzione "Divide" non si verifica alcun overflow, l'uscita di
Vedere anche
(Pagina 576)
S7-400) (Pagina 577)

13.7.5 NEG: Creazione del complemento a due (STEP 7 Safety V18)
Descrizione
L'istruzione "Create twos complement" consente di modificare il segno davanti al valore
nell'ingresso IN e di leggere il risultato nell'uscita OUT. Se ad es. nell'ingresso IN si trova un
valore positivo, nell'uscita OUT viene emesso l'equivalente negativo di questo valore.
Nota
della F-CPU.
standard.
overflow.
standard.

Parametri

IN Input INT, DINT Valore di ingresso
OUT Output INT, DINT Complemento a due del valore di ingresso
dell'istruzione.

L'istruzione "Create twos complement" viene sempre eseguita, indipendentemente dallo stato
di segnale sull'ingresso di abilitazione EN.
Il segno dell'operando "TagIn_Value" viene modificato e il risultato viene salvato
nell'operando ""F_DB_1".TagOut_Value".

Se durante l'esecuzione dell'istruzione "Create twos complement" si verifica un overflow, il bit

di stato OV viene impostato a "1". Dopo l'interrogazione del bit di stato OV, nella rete 2 viene
eseguita l'istruzione "Set output" (S) e viene impostato l'operando "TagOut".

L'istruzione "Create twos complement" viene sempre eseguita, indipendentemente dallo stato
di segnale sull'ingresso di abilitazione EN.
Il segno dell'operando "#TagIn_Value" viene modificato e il risultato viene salvato
nell'operando ""F_DB_1".TagOut_Value".
Se durante l'esecuzione dell'istruzione "Create twos complement" non si verifica alcun
overflow, l'uscita di abilitazione ENO fornisce lo stato di segnale "1" e viene impostato
l'operando "TagOut".
Vedere anche
(Pagina 576)
S7-400) (Pagina 577)

13.7.6 ABS: Generazione del valore assoluto (STEP 7 Safety V18)

(S7-1200, S7-1500)
Descrizione
Con l'istruzione "Form absolute value" si calcola la grandezza assoluta del valore indicato
nell'ingresso IN. Il risultato dell'istruzione viene emesso nell'uscita OUT, nella quale può
essere letto.
Nota
della F-CPU.
È possibile evitare lo STOP della F-CPU collegando l'uscita di abilitazione ENO e
programmando così un riconoscimento di overflow.
standard.
Parametri

IN Input INT, DINT Valore di ingresso
OUT Output INT, DINT Valore assoluto del valore di ingresso
dell'istruzione.

13.8 Operazioni di trasferimento
Esempio
L'istruzione "Form absolute value" viene sempre eseguita, indipendentemente dallo stato di
segnale sull'ingresso di abilitazione EN.
Il valore assoluto del valore nell'operando "TagIn_Value" viene calcolato e il risultato viene
salvato nell'operando ""F_DB_1".TagOut_Value".
Se durante l'esecuzione dell'istruzione "Form absolute value" non si verifica alcun overflow,
l'uscita di abilitazione ENO fornisce lo stato di segnale "1" e viene impostato l'operando
"#TagOut".
13.8.1 MOVE: Copia del valore (STEP 7 Safety V18)
Descrizione
L'istruzione "Move value" consente di trasferire il contenuto dell'operando dell'ingresso IN
nell'operando dell'uscita OUT1.
Nell'ingresso IN e nell'uscita OUT1 possono essere indicati solo operandi con la stessa
larghezza di operando e la stessa struttura di dati.
possibile. In questo modo, l'istruzione viene sempre eseguita (indipendentemente dallo stato
di segnale sull'ingresso di abilitazione "EN").

(S7-1200, S7-1500) Allo stato di base il box dell'istruzione contiene una uscita (OUT1). Il
numero delle uscite è ampliabile. Le uscite inserite vengono numerate in ordine crescente nel
box. Con l'esecuzione il contenuto dell'operando nell'ingresso IN viene trasferito a tutte le
uscite disponibili. Se vengono trasferiti operandi con tipi di dati PLC conformi a F (UDT), non è
possibile espandere il box delle istruzioni.
Parametri

IN Input INT, DINT, WORD, (S7-300/400) DWORD, Valore sorgente
TIME, tipo di dati PLC conforme a F (UDT)
OUT1 Output INT, DINT, WORD, (S7-300/400) DWORD, Indirizzo di destinazione
TIME, tipo di dati PLC conforme a F (UDT)
Esempio
L'istruzione viene sempre eseguita, indipendentemente dallo stato di segnale sull'ingresso di

abilitazione "EN". L'istruzione copia i contenuti dell'operando "TagIn_Value" nell'operando
""F_DB_1".TagOut_Value".

13.8.2 RD_ARRAY_I: Lettura del valore dall'array F INT (STEP 7 Safety V18)
(S7-1500)
Descrizione
L'istruzione "Read value from INT F-array" consente di leggere un elemento dell'array
sull'ingresso ARRAY, a cui fa riferimento l'indice sull'ingresso INDEX, e di scrivere il relativo
valore sull'uscita OUT. Se durante l'esecuzione si verifica un errore nell'accesso all'array,
questo viene indicato sull'uscita ERROR.
L'array deve essere creato in un DB globale F e può contenere solo una dimensione. Gli
elementi dell'array devono appartenere al tipo di dati INT. Rispetto allo standard, per i limiti
array vale quanto segue:
• Il valore limite inferiore deve essere 0.
• Il valore limite superiore può essere max. 10000.
Parametri

ARRAY Input VARIANT Array dal quale viene letto
INDEX Input DINT Elemento nell'array che viene
letto. L'indicazione può essere
una costante o una variabile.
OUT Output INT Valore che viene emesso e letto.
ERROR Output BOOL Informazione di errore:
Il parametro ERROR viene
impostato se si verifica un
errore durante l'elaborazione
dell'istruzione.
Parametro ARRAY
Oltre al collegamento diretto con un array all'interno di un DB globale fail-safe, questo
ingresso può essere collegato anche con un parametro INOUT del tipo di dati ARRAY[*] of
INT. Ciò consente di disaccoppiare la logica dei dati da quella del programma, ad es. per
creare una funzione di biblioteca senza un collegamento a un blocco dati dedicato.

Parametro ERROR
La seguente tabella mostra il significato dei valori del parametro ERROR:
Valore Descrizione
FALSE Nessun errore
TRUE Il valore nel parametro INDEX si trova al di fuori dei valori limite dell'ARRAY.

È disponibile una sola versione di questa istruzione:

one
1.0 — — x1
Comportamento in caso di errori

Se il valore sull'ingresso INDEX non rientra nei limiti dell'array, viene impostata l'uscita ERROR
= 1 e il valore dell'array dell'elemento con indice = 0 viene emesso sull'uscita OUT,
indipendentemente dal valore trasmesso all'ingresso INDEX.
Pertanto, impostare il valore dell'elemento con indice = 0 come valore sostitutivo fail-safe.
Esempio

La tabella seguente mostra il funzionamento dell'istruzione in base a valori di operandi

concreti:
Parametri Operando Valore

ARRAY "Global_DB".Array L'operando "Global_DB".Array è un ARRAY del tipo di dati Array[0..10] of
INT
INDEX #Tag_Index 2
OUT #TagOut_Value Valore dell'elemento sulla posizione Array[2]
ERROR #TagError_Value False
L'istruzione "Read value from INT F-array" viene sempre eseguita, indipendentemente dallo
stato di segnale sull'ingresso di abilitazione "EN".
Il contenuto del 2º elemento dell'operando "Global_DB.Array" viene emesso sull'uscita
"#TagOut_Value".
13.8.3 RD_ARRAY_DI: Lettura del valore dall'array F DINT (STEP 7 Safety V18)
(S7-1500)
Descrizione
L'istruzione "Read value from DINT F-array" consente di leggere un elemento dell'array
sull'ingresso ARRAY, a cui fa riferimento l'indice sull'ingresso INDEX, e di scrivere il relativo
valore sull'uscita OUT. Se durante l'esecuzione si verifica un errore nell'accesso all'array,
questo viene indicato sull'uscita ERROR.
L'array deve essere creato in un DB globale F e può contenere solo una dimensione. Gli
elementi dell'array devono appartenere al tipo di dati DINT. Rispetto allo standard, per i limiti
array vale quanto segue:
• Il valore limite inferiore deve essere 0.
• Il valore limite superiore può essere max. 10000.

Parametri

ARRAY Input VARIANT Array dal quale viene letto
INDEX Input DINT Elemento nell'array che viene
letto. L'indicazione può essere
una costante o una variabile.
OUT Output DINT Valore che viene emesso e letto.
ERROR Output BOOL Informazione di errore:
Il parametro ERROR viene
impostato se si verifica un
errore durante l'elaborazione
dell'istruzione.
Parametro ARRAY
Oltre al collegamento diretto con un array al DINT di un DB globale fail-safe, questo ingresso
può essere collegato anche con un parametro INOUT del tipo di dati ARRAY[*] of DINT. Ciò
consente di disaccoppiare la logica dei dati da quella del programma, ad es. per creare una
funzione di biblioteca senza un collegamento a un blocco dati dedicato.
Parametro ERROR
La seguente tabella mostra il significato dei valori del parametro ERROR:
Valore Descrizione
FALSE Nessun errore
TRUE Il valore nel parametro INDEX si trova al di fuori dei valori limite dell'ARRAY.


one
1.0 — — x1

Comportamento in caso di errori

Se il valore sull'ingresso INDEX non rientra nei limiti dell'array, viene impostata l'uscita ERROR
= 1 e il valore dell'array dell'elemento con indice = 0 viene emesso sull'uscita OUT,
indipendentemente dal valore trasmesso all'ingresso INDEX.
Pertanto, impostare il valore dell'elemento con indice = 0 come valore sostitutivo fail-safe.
Esempio

concreti:

ARRAY "Global_DB".Array L'operando "Global_DB".Array è un ARRAY del tipo di dati Array[0..10] of
DINT
INDEX #Tag_Index 2
OUT #TagOut_Value Valore dell'elemento sulla posizione Array[2]
ERROR #TagError_Value False
L'istruzione "Read value from DINT F-array" viene sempre eseguita, indipendentemente dallo
stato di segnale sull'ingresso di abilitazione "EN".
Il contenuto del 2º elemento dell'operando "Global_DB.Array" viene emesso sull'uscita
"#TagOut_Value".

13.8.4 WR_FDB: Scrittura indiretta del valore in un F-DB

(STEP 7 Safety Advanced V18) (S7-300, S7-400)
Descrizione
Questa istruzione scrive il valore indicato nell'ingresso IN nella variabile indirizzata tramite
INI_ADDR e OFFSET in un F-DB.
L'indirizzo delle variabili indirizzate con INI_ADDR e OFFSET deve trovarsi nell'area di indirizzi
definita tramite gli indirizzi INI_ADDR e END_ADDR.
Verificare se questa condizione viene soddisfatta quando la F-CPU va in STOP a causa
dell'evento di diagnostica con l'ID evento 75E2.
L'ingresso INI_ADDR viene utilizzato per trasferire l'indirizzo iniziale dell'area in un F-DB in cui
deve essere scritto il valore sull'ingresso IN. Il relativo offset viene trasmesso all'area tramite
l'ingresso OFFSET.
Gli indirizzi trasmessi nell'ingresso INI_ADDR o END_ADDR devono riferirsi a una variabile del
tipo di dati selezionato in un F-DB. Tra gli indirizzi INI_ADDR e END_ADDR sono consentite
solo variabili del tipo di dati selezionato. L'indirizzo INI_ADDR deve essere minore dell'indirizzo
END_ADDR.
Gli indirizzi INI_ADDR e END_ADDR devono essere trasmessi, come rappresentato nel
seguente esempio, in modo completamente qualificato come "DBx".DBWy oppure nella
rappresentazione simbolica corrispondente. Altre forme di trasmissione non sono ammesse.
Parametri

IN Input INT, DINT Valore che viene scritto nell'F-DB
INI_ADDR Input POINTER Indirizzo iniziale dell'area in un F-DB
END_ADDR Input POINTER Indirizzo finale dell'area in un F-DB
OFFSET Input INT Offset
dell'istruzione.

Esempi di parametrizzazione di INI_ADDR, END_ADDR e OFFS
Nome Tipo di dati Valore iniziale Commento

Static
VAR_BOOL10 BOOL false
VAR_TIME10 TIME T#0MS
VAR_INT10 INT 0 <- INI_ADDR = "F-DB_1".VAR_INT10 Esempio 1
VAR_INT11 INT 0
VAR_INT12 INT 0
VAR INT13 INT 0 <- OFFSET = 3
VAR_INT14 INT 0
VAR INT15 INT 0 <- END ADDR = "F-DB 1".VAR INT15
VAR INT20 INT 0 <- INI ADDR = "F-DB 1".VAR INT20 Esempio 2
VAR_INT21 INT 0
VAR_INT22 INT 0
VAR INT23 INT 0 <- END ADDR = "F-DB 1".VAR INT23
VAR_INT30 INT 0 <- INI_ADDR = "F-DB_1".VAR_INT30 Esempio 3
VAR INT31 INT 0 <- OFFSET = 1
VAR_INT32 INT 0
VAR_INT33 INT 0
VAR INT34 INT 0 <- END ADDR = "F-DB".VAR INT34
VAR DINT10 DINT 0 <- INI ADDR = "F-DB 1".VAR DINT10 Esempio 4
VAR_DINT11 DINT 0
VAR DINT12 DINT 0 <- OFFSET = 2
VAR DINT13 DINT 0 <- END ADDR = "F-DB 1".VAR DINT13

Esempio
13.8.5 RD_FDB: Lettura indiretta del valore da un F-DB

Descrizione
Questa istruzione legge la variabile indirizzata con INI_ADDR e OFFSET in un F-DB e la rende
disponibile sull'uscita OUT.
L'indirizzo delle variabili indirizzate con INI_ADDR e OFFSET deve trovarsi nell'area di indirizzi
definita tramite gli indirizzi INI_ADDR e END_ADDR.
Verificare se questa condizione viene soddisfatta quando la F-CPU va in STOP a causa
dell'evento di diagnostica con l'ID evento 75E2.
Tramite l'ingresso INI_ADDR l'indirizzo iniziale dell'area viene trasmesso all'F-DB nel quale
verrà letta la variabile. Il relativo offset viene trasmesso all'area tramite l'ingresso OFFSET.
Gli indirizzi trasmessi nell'ingresso INI_ADDR o END_ADDR devono riferirsi a una variabile del
tipo di dati selezionato in un F-DB. Tra gli indirizzi INI_ADDR e END_ADDR sono consentite
solo variabili del tipo di dati selezionato. L'indirizzo INI_ADDR deve essere minore dell'indirizzo
END_ADDR.
Gli indirizzi INI_ADDR e END_ADDR devono essere trasmessi in modo completamente
qualificato come "DBx".DBWy oppure nella rappresentazione simbolica corrispondente. Altre
forme di trasmissione non sono ammesse. Degli esempi di parametrizzazione di INI_ADDR,
END_ADDR e OFFSET sono contenuti in WR_FDB: Scrittura indiretta del valore in un F-DB
(STEP 7 Safety Advanced V18) (S7-300, S7-400) (Pagina 534).


Parametri

INI_ADDR Input POINTER Indirizzo iniziale dell'area in un F-DB
END_ADDR Input POINTER Indirizzo finale dell'area in un F-DB
OFFSET Input INT Offset
OUT Output INT, DINT Valore letto dall'F-DB
dell'istruzione.
Esempio

13.9 Operazioni di conversione
13.9.1 CONVERT: Conversione del valore (STEP 7 Safety V18)
Descrizione
L'istruzione "Convert value" legge il contenuto del parametro IN e lo converte in funzione dei
tipi di dati selezionati nel box dell'istruzione. Il valore convertito viene emesso sull'uscita OUT.
L'ingresso di abilitazione "EN" non può essere attivato. In questo modo, l'istruzione
(indipendentemente dallo stato di segnale sull'ingresso di abilitazione "EN") viene sempre
eseguita. L'attivazione dell'uscita di abilitazione "ENO" è possibile e necessaria solo in caso di
conversione del tipo di dati "DINT" nel tipo di dati "INT".
Nota
Durante la conversione del tipo di dati "DINT" nel tipo di dati "INT" è necessario attivare l'uscita
di abilitazione ENO e programmare così un riconoscimento di overflow.
• Se il valore sull'ingresso si trova al di fuori dell'area INT, ENO restituisce il valore 0.
standard.
Parametri

ENO Output BOOL Uscita di abilitazione
IN Input INT, DINT Valore da convertire.
OUT Output INT, DINT Risultato della conversione
Nelle caselle di riepilogo "<???>" del box dell'istruzione è possibile selezionare i tipi di dati
dell'istruzione. Sono supportate le conversioni "da INT a DINT" e "da DINT a INT".

Esempio
L'esempio seguente mostra il funzionamento dell'istruzione "Convert value "DINT to INT""
nelle F-CPU S7-1200/1500:

abilitazione EN.
Il valore dell'operando "TagIn_Value" viene convertito in un numero intero (16 bit) e il
risultato viene salvato nell'operando ""F_DB_1".TagOut_Value".
Se durante l'esecuzione dell'istruzione "Convert value "DINT to INT"" non si verifica alcun
overflow, l'uscita di abilitazione ENO fornisce lo stato di segnale "1" e viene impostato
l'operando TagOut.
È anche possibile salvare lo stato di segnale dell'uscita di abilitazione ENO in un (F-)DB e
utilizzare il riconoscimento di overflow per accertare per tutti i gruppi / un gruppo di istruzioni
se si sono verificati degli overflow.
13.9.2 BO_W: Conversione di 16 dati di tipo BOOL in un dato di tipo WORD

(STEP 7 Safety V18)
Descrizione
Questa istruzione converte i 16 valori degli ingressi da IN0 a IN15 del tipo di dati BOOL in un
valore del tipo di dati WORD e lo rende disponibile sull'uscita OUT. La conversione viene
effettuata nel modo seguente: l'i-esimo bit del valore WORD viene impostato su 0 (o 1) se il
valore sull'ingresso INi = 0 (o 1).

Parametri

IN0 Input BOOL Bit 0 del valore WORD
... ...
OUT Output WORD Valore WORD è composto da IN0 fino a IN15


one
1.1 o — o Queste versioni sono funzionalmente identiche alla versione 1.0.
1.2 x — o
1.3 x o o
1.4 x x x
2.0 x x1 x2


Esempio


concreti:

IN0 TagValue_0 FALSE
... ...
IN14 TagValue_14 TRUE
IN15 TagValue_15 TRUE
OUT "F_DB_1".Result W#16#C000
I valori degli operandi da "TagValue_0" a "TagValue_15" vengono raggruppati in un valore di

tipo WORD e assegnati all'operando ""F_DB_1".TagResult".
13.9.3 W_BO: Conversione del tipo di dati WORD in 16 dati di tipo BOOL
(STEP 7 Safety V18)
Descrizione
Questa istruzione converte il valore sull'ingresso IN del tipo di dati WORD in 16 valori del tipo
di dati BOOL e li rende disponibili sulle uscite da OUT0 a OUT15. La conversione viene
effettuata nel modo seguente: L'uscita OUTi viene impostata su 0 (o 1) se l'i-esimo bit del
valore WORD è 0 (o 1).
Parametri

IN Input WORD Valore WORD
OUT0 Output BOOL Bit 0 del valore WORD
... ...



one
1.2 x — o
1.3 x o o
1.4 x x x
2.0 x x1 x2


Esempio


concreti:

IN "F_DB_1".TagValue W#16#C000
OUT0 TagOUT_0 FALSE
OUT1 TagOUT_1 FALSE
... ...
OUT13 TagOUT_13 FALSE
OUT14 TagOUT_14 TRUE
OUT15 TagOUT_15 TRUE
Il valore dell'operando ""F_DB_1".TagValue" del tipo di dati WORD viene convertito in 16 valori
"TagOUT_0" - "TagOUT_15" del tipo di dati BOOL.
13.9.4 SCALE: Scala del valore (STEP 7 Safety V18)
Descrizione
Questa istruzione scala il valore sull'ingresso IN in unità fisiche tra il valore limite inferiore
sull'ingresso LO_LIM e il valore limite superiore sull'ingresso HI_LIM. Si presume che il valore
sull'ingresso IN sia compreso tra 0 e 27648. Il risultato della scala viene reso disponibile
sull'uscita OUT.
L'istruzione opera con la seguente equazione:
OUT = [ IN × (HI_LIM – LO_LIM) ] / 27648 + LO_LIM
Finché il valore sull'ingresso IN è superiore a 27648, l'uscita OUT viene collegata a HI_LIM e
OUT_HI viene impostato su 1.
Finché il valore sull'ingresso IN è inferiore a 0, l'uscita OUT viene collegata a LO_LIM e
OUT_LO viene impostato su 1.
Per invertire la scala è necessario parametrizzare LO_LIM > HI_LIM. Con la scala invertita il
valore di uscita sull'uscita OUT diminuisce mentre il valore di impostazione sull'ingresso IN
aumenta.
A ogni richiamo dell'istruzione "Scale" deve essere assegnata un'area di dati nella quale
possibile inserire un blocco dati (istanza singola) (ad es. SCALE_DB_1) o una multiistanza
(ad es. SCALE_Instance_1) per l'istruzione "Scale". Dopo la creazione, il nuovo blocco dati si
trova nella navigazione del progetto, nella cartella "STEP 7 Safety" in "Program blocks >

Parametri

IN Input INT Valore di impostazione che deve essere scalato in
unità fisiche
HI_LIM Input INT Limite superiore del campo di valori di OUT
LO_LIM Input INT Limite inferiore del campo di valori di OUT
OUT Output INT Risultato della scala
OUT_HI Output BOOL 1 = valore di impostazione > 27648: OUT = HI_LIM
OUT_LO Output BOOL 1 = valore di impostazione < 0: OUT = LO_LIM


one
1.2 x x x
Comportamento in caso di overflow o underflow dei valori analogici ed emissione del valore
sostitutivo
Nota
Se come valori di impostazione vengono utilizzati gli ingressi dell'IPI di un SM
336; AI 6 x 13Bit o SM 336; F-AI 6 x 0/4 ... 20 mA HART, occorre tenere presente che
l'overflow e l'underflow di un canale dell'F-SM viene riconosciuto dal sistema F come errore di
periferia F/errore di canale. Nella IPI per il programma di sicurezza, al posto di 7FFFH (per
overflow) o 8000H (per underflow) viene messo a disposizione il valore sostitutivo 0.
Se devono essere emessi altri valori sostitutivi, è necessario valutare il segnale QBAD della
rispettiva periferia F o il segnale QBAD_I_xx / lo stato del valore del rispettivo canale.
Se il valore nell'IPI dell'F-SM si trova nel campo di sovracomando o di sottocomando, ma è >
27648 o < 0, è possibile attivare l'emissione di un valore sostitutivo personalizzato anche
valutando le uscite OUT_HI o OUT_LO.

Esempio
Se l'operando "TagIn_Value" è = 20000 il risultato per ""F_DB_1".TagOut_Value" è 361.
13.9.5 SCALE_D: Scala del valore nel tipo di dati DINT (STEP 7 Safety V18)
(S7-1200, S7-1500)
Descrizione
Questa istruzione scala il valore sull'ingresso IN in unità fisiche tra il valore limite inferiore
sull'ingresso LO_LIM e il valore limite superiore sull'ingresso HI_LIM. Si presume che il valore
sull'ingresso IN sia compreso tra 0 e 27648. Il risultato della scala viene reso disponibile
sull'uscita OUT.
L'istruzione opera con la seguente equazione:
OUT = [ IN × (HI_LIM – LO_LIM) ] / 27648 + LO_LIM
Finché il valore sull'ingresso IN è superiore a 27648, l'uscita OUT viene collegata a HI_LIM e
OUT_HI viene impostato su 1.
Finché il valore sull'ingresso IN è inferiore a 0, l'uscita OUT viene collegata a LO_LIM e
OUT_LO viene impostato su 1.
Per invertire la scala è necessario parametrizzare LO_LIM > HI_LIM. Con la scala invertita il
valore di uscita sull'uscita OUT diminuisce mentre il valore di impostazione sull'ingresso IN
aumenta.

A ogni richiamo dell'istruzione "Scale to data type DINT" deve essere assegnata un'area di dati
possibile inserire un blocco dati (istanza singola) (ad es. SCALE_D_DB_1) o una multiistanza
(ad es. SCALE_D_Instance_1) per l'istruzione "Scale to data type DINT". Dopo la creazione, il
Parametri

IN Input INT Valore di impostazione che deve essere scalato in
unità fisiche
HI_LIM Input DINT Limite superiore del campo di valori di OUT
LO_LIM Input DINT Limite inferiore del campo di valori di OUT
OUT Output DINT Risultato della scala
OUT_HI Output BOOL 1 = valore di impostazione > 27648: OUT = HI_LIM
OUT_LO Output BOOL 1 = valore di impostazione < 0: OUT = LO_LIM


one
2.0 — x1 x2

Comportamento in caso di overflow o underflow dei valori analogici ed emissione del valore
sostitutivo
Nota
Se come valori di impostazione vengono utilizzati gli ingressi dell'IPI di un SM
336; AI 6 x 13Bit o SM 336; F-AI 6 x 0/4 ... 20 mA HART, occorre tenere presente che
l'overflow e l'underflow di un canale dell'F-SM viene riconosciuto dal sistema F come errore di
periferia F/errore di canale. Nella IPI per il programma di sicurezza, al posto di 7FFFH (per
overflow) o 8000H (per underflow) viene messo a disposizione il valore sostitutivo 0.
Se devono essere emessi altri valori sostitutivi, è necessario valutare il segnale QBAD della
rispettiva periferia F o il segnale QBAD_I_xx / lo stato del valore del rispettivo canale.
Se il valore nell'IPI dell'F-SM si trova nel campo di sovracomando o di sottocomando, ma è >
27648 o < 0, è possibile attivare l'emissione di un valore sostitutivo personalizzato anche
valutando le uscite OUT_HI o OUT_LO.
Esempio
Se l'operando "TagIn_Value" è = 20000 il risultato per ""F_DB_1".TagOut_Value" è 72337.

13.10 Controllo del programma
13.10.1 JMP: Salto se RLO = 1 (STEP 7 Safety V18)
Descrizione
L'istruzione "Jump if RLO = 1" consente di interrompere l'elaborazione lineare del programma
e di proseguire in un'altra rete. La rete di destinazione deve essere identificata da un'etichetta
di salto (Pagina 554) (LABEL). Il nome dell'etichetta di salto è indicata nel segnaposto sopra
l'istruzione.
L'etichetta indicata deve essere contenuta nello stesso blocco in cui viene eseguita
l'istruzione. La sua denominazione può essere assegnata una volta sola nel blocco.
Se il risultato logico combinatorio (RLO) nell'ingresso dell'istruzione è "1" o se l'ingresso non è
collegato, viene eseguito il salto alla rete contrassegnata con l'etichetta di salto specificata. Il
salto può essere effettuato verso reti con numero superiore o inferiore.
Se il risultato logico combinatorio (RLO) nell'ingresso dell'istruzione è "0", l'elaborazione del
programma prosegue nella rete successiva.
Nota
(S7-1200, S7-1500)
Se la destinazione di salto (etichetta di salto) di un'istruzione "JMP" o "JMPN" si trova al di
sopra della relativa istruzione "JMP" o "JMPN" (salto all'indietro), tra la destinazione e
l'istruzione non possono essere inserite altre istruzioni per il controllo del programma (JMP,
JMPN, RET, etichetta di salto).
Eccezione: Un'istruzione "JMP" o "JMPN" può essere inserita se anche la rispettiva
destinazione di salto si trova sotto la relativa istruzione "JMP" o "JMPN" (salto in avanti).
In caso di mancata osservanza possono verificarsi errori di compilazione o la F-CPU può
andare in STOP.
Nota
Tra un'istruzione JMP o JMPN e la relativa destinazione di salto (etichetta di salto) non
possono essere inserite istruzioni SENDDP o SENDS7.

Esempio
Se l'operando "TagIn_1" ha lo stato di segnale "1" viene eseguita l'istruzione "Jump if RLO = 1".
L'elaborazione lineare del programma viene interrotta e prosegue nella rete 3 identificata
dall'etichetta di salto CAS1. Se l'ingresso "TagIn_3" ha lo stato di segnale "1" l'uscita
"TagOut_3" viene resettata.

13.10.2 JMPN: Salto se RLO = 0 (STEP 7 Safety V18)
Descrizione
L'istruzione "Jump if RLO = 0" consente di interrompere l'elaborazione lineare del programma
e di proseguire in un'altra rete se il risultato logico combinatorio nell'ingresso dell'istruzione è
"0". La rete di destinazione deve essere identificata da un'etichetta di salto (Pagina 554)
(LABEL). Il nome dell'etichetta di salto è indicata nel segnaposto sopra l'istruzione.
L'etichetta indicata deve essere contenuta nello stesso blocco in cui viene eseguita
l'istruzione. La sua denominazione può essere assegnata una volta sola nel blocco.
Se il risultato logico combinatorio (RLO) nell'ingresso dell'istruzione è "0" viene eseguito il
salto alla rete identificata dall'etichetta specificata. Il salto può essere effettuato verso reti con
numero superiore o inferiore.
Se il risultato logico combinatorio (RLO) nell'ingresso dell'istruzione è "1", l'elaborazione del
programma prosegue nella rete successiva.
Nota
(S7-1200, S7-1500)
Se la destinazione di salto (etichetta di salto) di un'istruzione "JMP" o "JMPN" si trova al di
sopra della relativa istruzione "JMP" o "JMPN" (salto all'indietro), tra la destinazione e
l'istruzione non possono essere inserite altre istruzioni per il controllo del programma (JMP,
JMPN, RET, etichetta di salto).
Eccezione: Un'istruzione "JMP" o "JMPN" può essere inserita se anche la rispettiva
destinazione di salto si trova sotto la relativa istruzione "JMP" o "JMPN" (salto in avanti).
In caso di mancata osservanza possono verificarsi errori di compilazione o la F-CPU può
andare in STOP.
Nota
Tra un'istruzione JMP o JMPN e la relativa destinazione di salto (etichetta di salto) non
possono essere inserite istruzioni SENDDP o SENDS7.

Esempio

13.10.3 LABEL: Etichetta di salto (STEP 7 Safety V18)
Descrizione
L'etichetta di salto consente di identificare una rete di destinazione nella quale continuare
l'elaborazione del programma dopo un salto.
L'etichetta di salto e l'istruzione nella quale l'etichetta è indicata come destinazione di salto
devono trovarsi nello stesso blocco. La denominazione di un'etichetta di salto può essere
assegnata una volta sola all'interno del blocco.
Si può inserire una sola etichetta per rete. Ogni etichetta di salto può essere raggiunta da
diverse posizioni.
Esempio

Vedere anche
JMP: Salto se RLO = 1 (STEP 7 Safety V18) (Pagina 550)
JMPN: Salto se RLO = 0 (STEP 7 Safety V18) (Pagina 552)
RET: Salto all'indietro (STEP 7 Safety V18) (Pagina 555)
13.10.4 RET: Salto all'indietro (STEP 7 Safety V18)
Descrizione
L'istruzione "Return" consente di concludere l'esecuzione di un blocco.
Se il risultato logico combinatorio (RLO) nell'ingresso dell'istruzione "Return" è "1" o l'ingresso
del box in FUP è disattivato (nelle F-CPU S7-1200/1500), l'elaborazione del programma nel
blocco attualmente richiamato viene interrotta e prosegue nel blocco richiamante (ad es. nel
blocco Main Safety) dopo la funzione di richiamo. Se l'RLO nell'ingresso dell'istruzione
"Return" è "0", l'istruzione non viene eseguita. L'elaborazione del programma prosegue nella
rete successiva del blocco richiamato.

L'influsso sullo stato della funzione di richiamo (ENO) è irrilevante, poiché l'uscita di
abilitazione "ENO" non può essere attivata.
Nota
(S7-300, S7-400) Nel blocco Main Safety l'istruzione RET non può essere programmata.
Esempio
Se l'operando "TagIn" ha lo stato di segnale "1" viene eseguita l'istruzione "Return".

L'elaborazione del programma viene interrotta nel blocco richiamato e prosegue in quello
richiamante.
Vedere anche
JMP: Salto se RLO = 1 (STEP 7 Safety V18) (Pagina 550)
JMPN: Salto se RLO = 0 (STEP 7 Safety V18) (Pagina 552)
LABEL: Etichetta di salto (STEP 7 Safety V18) (Pagina 554)

13.10.5 OPN: Apertura del blocco dati globale (STEP 7 Safety Advanced V18)
(S7-300, S7-400)
Descrizione
L'istruzione "Open global data block" consente di aprire un blocco dati (DB). Il numero del
blocco dati viene trasferito nel registro DB. I successivi comandi del DB accedono ai rispettivi
blocchi in funzione del contenuto del registro.
Nota
In caso di utilizzo dell'istruzione "Open global data block", tenere presente che dopo il
richiamo di F-FB/F-FC e degli "accessi DB completamente qualificati" è possibile modificare il
contenuto del registro DB; di conseguenza non è più assicurato che l'ultimo blocco dati
globale aperto dall'utente con "Open global data block" sia ancora aperto.
Per prevenire errori durante l'accesso ai dati del registro DB, utilizzare il metodo seguente per
indirizzare i dati:
• Utilizzare l'indirizzamento simbolico.
• Utilizzare esclusivamente accessi DB completamente qualificati.
Se si decide di utilizzare comunque l'operazione "Open global data block", dopo il richiamo di
F-FB/F-FC e di "accessi DB completamente qualificati" è necessario procedere al ripristino del
registro DB con un nuovo richiamo di "Open global data block" per evitare un comportamento
errato.
Parametri

<blocco dati> Input BLOCK_DB Blocco dati che viene aperto

Il primo accesso ai dati di un blocco dati in un F-FB/F-FC deve avvenire come "accesso DB
completamente qualificato" oppure deve essere eseguita prima l'istruzione "Open global data
block". Questo vale anche per il primo accesso ai dati di un blocco dati dopo un'etichetta di
salto.
Un esempio di "accesso DB completamente qualificato" e "accesso DB non completamente
qualificato" è illustrato in Limitazioni dei linguaggi di programmazione FUP/KOP (Pagina 112).

Accesso ai DB di istanza
È possibile accedere in modo completamente qualificato anche ai DB di istanza degli F-FB,
ad es. per la trasmissione dei parametri dei blocchi. Gli accessi ai dati locali statici in istanze
singole/multiistanze di altri F-FB non sono consentiti.
Tenere presente che l'accesso ai DB di istanza degli F-FB che non vengono richiamati nel
programma di sicurezza possono provocare lo STOP della F-CPU.
Esempio
Nella rete 1 viene richiamato il blocco dati "Motor_DB". Il numero del blocco dati viene
trasferito nel registro DB. Nella rete 2 viene interrogato l'operando "DBX0.0". Lo stato di
segnale dell'operando "DBX0.0" viene assegnato all'operando "Tag_Output".

13.11 Combinazioni logiche a parola
13.11.1 AND: Combinazione logica AND (STEP 7 Safety V18)
Descrizione
L'istruzione "AND logic operation" consente di combinare bit per bit tramite AND il valore
dell'ingresso IN1 con quello dell'ingresso IN2 e di leggere il risultato nell'uscita OUT.
Durante l'elaborazione dell'istruzione il bit 0 del valore nell'ingresso IN1 viene combinato
tramite AND con il bit 0 del valore nell'ingresso IN2. Il risultato viene memorizzato nel bit 0
dell'uscita OUT. La stessa combinazione logica viene eseguita per tutti gli ulteriori bit dei
valori indicati.
Un bit del risultato ha lo stato di segnale "1" solo se entrambi i bit da combinare forniscono lo
stato di segnale "1". Se uno dei due bit da combinare ha lo stato di segnale "0", il
corrispondente bit del risultato viene resettato.
Parametri

IN1 Input WORD Primo valore della combinazione logica
IN2 Input WORD Secondo valore della combinazione logica
OUT Output WORD Risultato dell'istruzione
Esempio

IN1 "Tag_Value1" = 01010101 01010101

IN2 "Tag_Value2" = 00000000 00001111
OUT "F_DB_1"."Tag_Result" = 00000000 00000101

abilitazione "EN". Il valore dell'operando "Tag_Value1" viene combinato con il valore
dell'operando "Tag_Value2" tramite AND. Il risultato viene formato bit per bit ed emesso
nell'operando ""F_DB_1".Tag_Result".
13.11.2 OR: Combinazione logica OR (STEP 7 Safety V18)
Descrizione
L'istruzione "OR logic operation" consente di combinare bit per bit tramite OR il valore
dell'ingresso IN1 con quello dell'ingresso IN2 e di leggere il risultato nell'uscita OUT.
tramite OR con il bit 0 del valore nell'ingresso IN2. Il risultato viene memorizzato nel bit 0
dell'uscita OUT. La stessa combinazione logica viene eseguita per tutti i bit delle variabili
indicate.
Un bit del risultato ha lo stato di segnale "1" se almeno uno dei due bit da combinare fornisce
lo stato di segnale "1". Se entrambi i bit da combinare hanno lo stato di segnale "0", il
Parametri


Esempio
IN1 "Tag_Value1" = 01010101 01010101

IN2 "Tag_Value2" = 00000000 00001111

dell'operando "Tag_Value2" tramite OR. Il risultato viene formato bit per bit ed emesso
nell'operando ""F_DB_1".Tag_Result".
13.11.3 XOR: Combinazione logica OR ESCLUSIVO (STEP 7 Safety V18)
Descrizione
L'istruzione "EXCLUSIVE OR logic operation" consente di combinare bit per bit tramite OR
ESCLUSIVO il valore dell'ingresso IN1 con quello dell'ingresso IN2 e di leggere il risultato
nell'uscita OUT.
tramite OR ESCLUSIVO con il bit 0 del valore nell'ingresso IN2. Il risultato viene memorizzato
nel bit 0 dell'uscita OUT. La stessa combinazione logica viene eseguita per tutti gli ulteriori bit
del valore indicato.
Un bit del risultato ha lo stato di segnale "1" se uno dei due bit da combinare fornisce lo stato
di segnale "1". Se entrambi i bit da combinare hanno lo stato di segnale "1" o "0", il

13.12 Spostamento e rotazione
Parametri

Esempio
IN1 "Tag_Value1" = 01010101 01010101

IN2 "Tag_Value2" = 00000000 00001111

dell'operando "Tag_Value2" tramite OR ESCLUSIVO. Il risultato viene formato bit per bit ed
emesso nell'operando ""F_DB_1".Tag_Result".
13.12.1 SHR: Spostamento verso destra (STEP 7 Safety V18)
Descrizione
Con l'istruzione "Shift right" si sposta bit per bit verso destra il contenuto dell'operando
nell'ingresso IN e si legge il risultato sull'uscita OUT. Con l'ingresso N si definisce il numero
delle posizioni dei bit di cui si sposta il valore specificato.

Se il valore dell'ingresso N è "0", il valore nell'ingresso IN viene copiato invariato nell'operando

dell'uscita OUT.
Se il valore nell'ingresso N è maggiore del numero delle posizioni dei bit disponibili, il valore
dell'operando nell'ingresso IN viene spostato verso destra di tante posizioni di bit quante ne
sono disponibili.
Le posizioni dei bit che si liberano con lo spostamento nel campo sinistro dell'operando
vengono occupate da zeri.
La seguente figura mostra come il contenuto di un operando con tipo di dati WORD viene
spostato verso destra di 6 posizioni di bit:

Nota
S7-300/400:
L'ingresso N valuta solo il byte Low.
S7-1200/1500:
Se il valore sull'ingresso N è < 0, l'uscita OUT viene impostata su 0.
Parametri

IN Input WORD Valore che viene spostato
N Input INT Numero delle posizioni di bit di cui viene spostato il
valore



one
1.2 x — o
1.3 x o o
1.4 x x x
2.0 x x1 x2

Esempio


concreti:

IN "F_DB_1".TagIn_Value 0011 1111 1010 1111
N Tag_Number 3
OUT "F_DB_1".TagOut_Value 0000 0111 1111 0101

abilitazione "EN". Il contenuto dell'operando ""F_DB_1".TagIn_Value" viene spostato di tre
posizioni di bit verso destra. Il risultato viene emesso sull'uscita ""F_DB_1".TagOut_Value".
13.12.2 SHL: Spostamento verso sinistra (STEP 7 Safety V18)
Descrizione
Con l'istruzione "Shift left" si sposta bit per bit verso sinistra il contenuto dell'operando
nell'ingresso IN e si legge il risultato nell'uscita OUT. Con l'ingresso N si definisce il numero
delle posizioni dei bit di cui si sposta il valore specificato.
Se il valore dell'ingresso N è "0", il valore nell'ingresso IN viene copiato invariato nell'operando
dell'uscita OUT.
Se il valore nell'ingresso N è maggiore del numero delle posizioni dei bit disponibili, il valore
dell'operando nell'ingresso IN viene spostato verso sinistra di tante posizioni di bit quante ne
sono disponibili.
Le posizioni dei bit che si liberano con lo spostamento nel campo destro dell'operando
vengono occupate da zeri.
La figura seguente mostra come il contenuto di un operando con tipo di dati WORD viene
spostato di 6 posizioni di bit verso sinistra:


Nota
S7-300/400:
L'ingresso N valuta solo il byte Low.
S7-1200/1500:
Se il valore sull'ingresso N è < 0, l'uscita OUT viene impostata su 0.
Parametri

IN Input WORD Valore che viene spostato
N Input INT Numero delle posizioni di bit di cui viene spostato il
valore


one
1.2 x — o
1.3 x o o
1.4 x x x
2.0 x x1 x2


13.13 Utilizzo operativo
Esempio

concreti:

IN "F_DB_1".TagIn_Value 0011 1111 1010 1111
N Tag_Number 4
OUT "F_DB_1".TagOut_Value 1111 1010 1111 0000

abilitazione "EN". Il contenuto dell'operando ""F_DB_1".TagIn_Value" viene spostato di quattro
posizioni di bit verso sinistra. Il risultato viene emesso sull'uscita ""F_DB_1".TagOut_Value".
13.13.1 ACK_OP: Conferma fail-safe (STEP 7 Safety V18)
Descrizione (S7-300, S7-400)

Questa istruzione permette di eseguire una conferma fail-safe da un sistema di servizio e
supervisione. Questo consente ad es. di gestire la reintegrazione della periferia F dal sistema
di servizio e supervisione. Una conferma avviene in due fasi:
• Commutazione del passaggio IN per esattamente un ciclo sul valore 6
• Commutazione del passaggio IN per esattamente un ciclo sul valore 9 entro un minuto
L'istruzione valuta se in seguito ad una commutazione del passaggio IN sul valore 6, dopo
minimo 1 secondo o massimo un minuto, ha luogo una commutazione sul valore 9.
Successivamente l'uscita OUT (uscita di conferma) viene impostata su 1 per la durata di un
ciclo.

Se viene inserito un valore non valido o se la commutazione sul valore 9 non avviene entro
un minuto e avviene prima che sia trascorso un secondo, il passaggio IN viene resettato a 0 e
le due operazioni sopra descritte devono essere eseguite nuovamente.
Durante l'intervallo nel quale ha luogo la commutazione da 6 a 9, l'uscita Q viene impostata
su 1. Altrimenti Q ha il valore 0.
A ogni richiamo dell'istruzione "Fail-safe aknowledgment" deve essere assegnata un'area di
dati nella quale memorizzare i dati dell'istruzione. Inoltre, durante l'inserimento
ACK_OP_DB_1) o una multiistanza (ad es. ACK_OP_Instance_1) per l'istruzione "Fail-safe
aknowledgment". Dopo la creazione, il nuovo blocco dati si trova nella navigazione del
progetto, nella cartella "STEP 7 Safety" in "Program blocks > System blocks" o la multiistanza
come variabile locale nella sezione "Static" dell'interfaccia del blocco. Per ulteriori
informazioni a riguardo consultare la Guida di STEP 7.
Nota
Per ogni richiamo di ACK_OP deve essere utilizzata un'area di dati separata. Ciascun richiamo
può essere elaborato una sola volta in un ciclo del gruppo di esecuzione F.
In caso di mancata osservanza, il comportamento illustrato in "Descrizione" non è più
garantito.

AVVERTENZA

AVVERTENZA

F-CPU desiderata.
conferma.
• Opzione:
desiderata. (S014)
sottorete.
Nota
L'uscita Q può essere letta con i sistemi di servizio e supervisione o eventualmente valutata
nel programma utente standard.
È possibile assegnare al passaggio IN una parola merker o una DBW di un DB del programma
utente standard, che sia specifica per ogni richiamo dell'istruzione ACK_OP.
Nota
La progettazione del sistema di servizio e supervisione non influisce sulla firma collettiva F.

AVVERTENZA
(parametrizzato)
(parametrizzato)
Descrizione (S7-1200, S7-1500)

Questa istruzione permette di eseguire una conferma fail-safe da un sistema di servizio e
supervisione. Questo consente ad es. di gestire la reintegrazione della periferia F dal sistema
di servizio e supervisione. Una conferma avviene in due fasi:
• Commutazione del passaggio IN per esattamente un ciclo sul valore 6
• Commutazione del passaggio IN per esattamente un ciclo su valore dell'ingresso ACK_ID
entro un minuto
L'istruzione valuta se in seguito ad una commutazione del passaggio IN sul valore 6, dopo
minimo 1 secondo o massimo un minuto, ha luogo una commutazione sul valore
dell'ingresso ACK_ID. Successivamente l'uscita OUT (uscita di conferma) viene impostata su 1
per la durata di un ciclo.
Se viene inserito un valore non valido o se la commutazione sul valore dell'ingresso ACK_ID
non avviene entro un minuto e avviene prima che sia trascorso un secondo, il passaggio IN
viene resettato a 0 e le due operazioni sopra descritte devono essere eseguite nuovamente.
Durante l'intervallo nel quale ha luogo la commutazione da 6 al valore dell'ingresso ACK_ID,
l'uscita Q viene impostata su 1. Altrimenti Q ha il valore 0.

A ogni richiamo dell'istruzione "Fail-safe aknowledgment" deve essere assegnata un'area di

dati nella quale memorizzare i dati dell'istruzione. Inoltre, durante l'inserimento
ACK_OP_DB_1) o una multiistanza (ad es. ACK_OP_Instance_1) per l'istruzione "Fail-safe
aknowledgment". Dopo la creazione, il nuovo blocco dati si trova nella navigazione del
progetto, nella cartella "STEP 7 Safety" in "Program blocks > System blocks" o la multiistanza
come variabile locale nella sezione "Static" dell'interfaccia del blocco. Per ulteriori
informazioni a riguardo consultare la Guida di STEP 7.
Nota
Per ogni richiamo di ACK_OP deve essere utilizzata un'area di dati separata. Ciascun richiamo
può essere elaborato una sola volta in un ciclo del gruppo di esecuzione F.
In caso di mancata osservanza, il comportamento illustrato in "Descrizione" non è più
garantito.

AVVERTENZA

AVVERTENZA

F-CPU desiderata.
Alternativa 1:
• Il valore del rispettivo identificativo della conferma (ingresso ACK_ID; tipo di dati: INT) è
liberamente selezionabile nel campo tra 9 e 30000, però in tutta la rete per tutte le
istanze dell'istruzione ACK_OP deve essere univoco.
Al richiamo dell'istruzione, all'ingresso ACK_ID devono essere assegnati dei valori
costanti. Accessi diretti nel relativo DB di istanza nel programma di sicurezza non sono
consentiti né in lettura né in scrittura!
Alternativa 2:
conferma.
• Opzione:
desiderata. (S047)
sottorete.
Nota
L'uscita Q può essere letta con i sistemi di servizio e supervisione o eventualmente valutata
nel programma utente standard.
È necessario assegnare al passaggio IN una parola merker o una DBW di un DB del
programma utente standard, che sia specifica per ogni richiamo dell'istruzione ACK_OP.
Nota
L'assegnazione del passaggio IN dell'istruzione ACK_OP e la progettazione del sistema di
servizio e supervisione non influenzano la firma collettiva F, la firma collettiva F-SW o la firma
del blocco che richiama l'istruzione ACK_OP.
Di conseguenza, la modifica dell'assegnazione del passaggio IN o della progettazione del
sistema di servizio e supervisione non provoca la modifica della firma collettiva F/firma
collettiva F-SW/firma del blocco di richiamo.

AVVERTENZA
(parametrizzato)
(parametrizzato)
Parametri (S7-300, S7-400)


IN InOut INT Grandezza di ingresso dal sistema di servizio e
supervisione
OUT Output BOOL Uscita di conferma
Q Output BOOL Stato del tempo
Parametri (S7-1200, S7-1500)


ACK_ID Input INT Identificativo della conferma (9…30000)
IN InOut INT Grandezza di ingresso dal sistema di servizio e
supervisione
OUT Output BOOL Uscita di conferma
Q Output BOOL Stato del tempo



one
1.1 x — o Queste versioni sono funzionalmente identiche alla versione 1.0 delle
1.2 x o o F-CPU S7-300/400.
1.3 x x x Nelle F-CPU S7-1200/1500 deve essere tenuto in considerazione anche
l'ingresso ACK_ID.

nell'istruzione
Esempio
Un esempio di applicazione dell'istruzione è contenuto in Realizzazione di una conferma
utente nel programma di sicurezza della F-CPU di un master DP o di un IO Controller
(Pagina 179).
Vedere anche

13.14 Ulteriori istruzioni
13.14.1 KOP
13.14.1.1 ---| |--- OV: Interrogazione bit di stato OV (STEP 7 Safety Advanced V18)
(S7-300, S7-400)
Descrizione
L'istruzione "Get status bit OV" consente di riconoscere se nell'ultima istruzione aritmetica
elaborata si è verificato un overflow del campo numerico.
L'istruzione "Get status bit OV" funziona come un contatto normalmente aperto. Se
l'interrogazione è soddisfatta, l'istruzione ha lo stato di segnale "1". Se l'interrogazione non è
soddisfatta, l'istruzione restituisce lo stato di segnale "0".
La valutazione "Get status bit OV" deve essere inserita nella rete che segue l'istruzione che
influenza l'OV. Questa rete non deve contenere etichette di salto.
Nota
L'utilizzo dell'istruzione "Get status bit OV" prolunga il tempo di esecuzione dell'istruzione che
influenza l'OV (vedere anche File excel per il calcolo del tempo di reazione
Esempio

L'istruzione "Add" viene sempre eseguita (indipendentemente dallo stato di segnale

sull'ingresso di abilitazione EN).
impostato su "1". Dopo l'interrogazione del bit di stato OV, nella rete 2 viene eseguita
13.14.1.2 ---| / |--- OV: Interrogazione se bit di stato OV è negato (STEP 7 Safety Advanced
V18) (S7-300, S7-400)
Descrizione
L'istruzione "Get negated status bit OV" consente di riconoscere se nell'ultima istruzione
aritmetica elaborata si è verificato un overflow del campo numerico. Questa istruzione è
disponibile solo in KOP.
L'istruzione "Get negated status bit OV" funziona come un contatto normalmente chiuso. Se
l'interrogazione è soddisfatta, l'istruzione ha lo stato di segnale "0". Se l'interrogazione non è
soddisfatta, l'istruzione restituisce lo stato di segnale "1".
La valutazione "Get negated status bit OV" deve essere inserita nella rete che segue
l'istruzione che influenza l'OV. Questa rete non deve contenere etichette di salto.
Nota
L'utilizzo dell'istruzione "Get negated status bit OV" prolunga il tempo di esecuzione
dell'istruzione che influenza l'OV (vedere anche File excel per il calcolo del tempo di reazione
Esempio

L'istruzione "Add" viene sempre eseguita (indipendentemente dallo stato di segnale

sull'ingresso di abilitazione EN).
Se durante l'esecuzione dell'istruzione "Add" non si verifica alcun overflow, il bit di stato OV
viene resettato a "0". Dopo l'interrogazione del bit di stato OV, nella rete 2 viene eseguita
13.14.2 FUP
13.14.2.1 OV: Interrogazione bit di stato OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)
Descrizione
L'istruzione "Get status bit OV" consente di riconoscere se nell'ultima istruzione aritmetica
elaborata si è verificato un overflow del campo numerico.
La valutazione "Get status bit OV" deve essere inserita nella rete che segue l'istruzione che
influenza l'OV. Questa rete non deve contenere etichette di salto.
Se l'interrogazione è soddisfatta, l'istruzione ha lo stato di segnale "1". Se l'interrogazione non
è soddisfatta, l'istruzione restituisce lo stato di segnale "0".
L'interrogazione del bit di stato OV a "0" può essere programmata con l'istruzione "Invert
RLO".
Nota
L'utilizzo dell'istruzione "Get status bit OV" prolunga il tempo di esecuzione dell'istruzione che
influenza l'OV (vedere anche File excel per il calcolo del tempo di reazione

13.15 Comunicazione
Esempio

impostato su "1". Dopo l'interrogazione del bit di stato OV, nella rete 2 viene eseguita
13.15 Comunicazione
13.15.1 PROFIBUS/PROFINET
13.15.1.1 SENDDP e RCVDP: Invio e ricezione di dati tramite PROFIBUS DP/PROFINET IO

(STEP 7 Safety V18)
Introduzione
Le istruzioni SENDDP e RCVDP si utilizzano per la trasmissione e la ricezione fail-safe di dati
tramite:
• Comunicazione di sicurezza master-master
• Comunicazione di sicurezza master-master con S7 Distributed Safety
• Comunicazione di sicurezza master-I-slave
• Comunicazione di sicurezza I-slave-I-slave
• Comunicazione di sicurezza IO Controller-IO Controller
• Comunicazione di sicurezza IO Controller-IO Controller con S7 Distributed Safety
• Comunicazione di sicurezza IO Controller-I-Device
• Comunicazione di sicurezza tra IO Controller e I-slave

13.15 Comunicazione
Descrizione
L'istruzione SENDDP invia 16 dati del tipo BOOL e 2 dati di tipo INT o in alternativa un dato di
tipo DINT (S7-1200, S7-1500) in modalità fail-safe ad un'altra F-CPU tramite PROFIBUS
DP/PROFINET IO. Lì i dati possono essere ricevuti dall'istruzione RCVDP corrispondente.
A ogni richiamo dell'istruzione deve essere assegnata un'area di dati nella quale memorizzare
i dati dell'istruzione. A questo scopo durante l'inserimento dell'istruzione nel programma
viene aperta automaticamente la finestra di dialogo "Call options", nella quale è possibile
inserire un blocco dati (istanza singola) (ad es. RCVDP_DB_1) per l'istruzione. Dopo la
creazione, il nuovo blocco dati si trova nella navigazione del progetto nella cartella "STEP 7
Safety" in "Program blocks > System blocks". Per ulteriori informazioni a riguardo consultare la
Guida di STEP 7.
Nell'istruzione SENDDP i dati da inviare (ad es. le uscite di altri blocchi F/istruzioni) vengono
creati sugli ingressi SD_BO_xx e SD_I_xx o in alternativa SD_DI_00.
Nell'istruzione RCVDP i dati ricevuti si trovano sulle uscite RD_BO_xx e RD_I_xx o in alternativa
RD_DI_00 per l'elaborazione successiva da parte di altri blocchi F/istruzioni.
(S7-1200, S7-1500) Nell'ingresso DINTMODE dell'istruzione SENDDP va indicato se devono
essere inviati i dati degli ingressi SD_I_00 e SD_I_01 o in alternativa il dato dell'ingresso
SD_DI_00.
L'uscita SENDMODE mette a disposizione il modo di funzionamento della F-CPU con
l'istruzione SENDDP. Se la F-CPU con l'istruzione SENDDP è in funzionamento di sicurezza
disattivato, l'uscita SENDMODE è = 1.
La comunicazione tra le F-CPU viene eseguita sullo sfondo tramite un protocollo di sicurezza
specifico. A tale scopo, il rapporto di comunicazione tra l'istruzione SENDDP di una F-CPU e
una istruzione RCVDP di un'altra F-CPU deve essere definito impostando un ID di
comunicazione F sugli ingressi DP_DP_ID delle istruzioni SENDDP e RCVDP. Le istruzioni
SENDDP e RCVDP correlate ricevono lo stesso valore per DP_DP_ID.
AVVERTENZA
Layer 3).

13.15 Comunicazione
comunicazione.
Nota
All'interno di un programma di sicurezza, è necessario parametrizzare un indirizzo iniziale
(S7-300/400) o un identificativo HW (S7-1200/1500) differente per ogni richiamo delle
istruzioni SENDDP e RCVDP sull'ingresso LADDR.
Per ogni richiamo delle istruzioni SENDDP e RCVDP deve essere utilizzato un DB di istanza
separato. Queste istruzioni non possono essere dichiarate e richiamate come multiistanze.
(S7-300/400) Gli ingressi RCVDP e RCVS7 non devono contenere combinazioni logiche
preesistenti (ad es. l'istruzione "AND logic operation").
Agli ingressi dell'istruzione RCVDP non devono essere assegnate, tramite accessi DB
completamente qualificati, le uscite di una istruzione RCVDP o RCVS7 richiamata in una rete
precedente.
(S7-1200/1500) Con DINTMODE = 0 non è possibile valutare l'uscita RD_DI_00, con
DINTMODE = 1 non è possibile valutare le uscite RD_I_xx dell'istruzione RCVDP.
(S7-1200/1500) Alle uscite delle istruzioni SENDDP e RCVDP non possono essere assegnate le
variabili del programma utente standard. Eccezione: Uscite RET_DPRD, RET_DPWR e DIAG.
Nel programma di sicurezza non sono ammessi accessi completamente qualificati a DP_DP_ID
e LADDR.
Non è ammesso utilizzare per l'uscita di una istruzione RCVDP un parametro attuale già
utilizzato per un ingresso della stessa istruzione o di un'altra istruzione RCVDP o RCVS7.
Nota
Tra una istruzione JMP o JMPN e la relativa destinazione di salto (etichetta di salto) non
devono essere inserite istruzioni SENDDP/RCVDP.
Non si deve inserire una istruzione RET prima di una istruzione SENDDP.

13.15 Comunicazione
Parametri SENDDP
La seguente tabella contiene un riepilogo dei parametri dell'istruzione SENDDP:

SD_BO_00 Input BOOL Dato di trasmissione BOOL 00
... ...
SD_BO_15 Input BOOL Dato di trasmissione BOOL 15
SD_I_00 Input INT Dato di trasmissione INT 00
SD_I_01 Input INT Dato di trasmissione INT 01
SD_DI_00 Input DINT (S7-1200, S7-1500)
(nascosto)
Dato di trasmissione DINT 00
DINTMODE Input DINT (S7-1200, S7-1500)
(nascosto)
Vengono inviati 0=SD_I_00 e SD_I_01
Viene inviato 1=SD_DI_00
DP_DP_ID Input INT ID di comunicazione F tra SENDDP e RCVDP
TIMEOUT Input TIME Tempo di controllo in ms per la comunicazione di sicurezza
(vedere anche Tempi di controllo e di reazione (Pagina 596))
LADDR Input INT (S7-300, Indirizzo iniziale (S7-300, S7-400) o identificativo HW (S7-1200,
S7-400) S7-1500) dell'area di indirizzi/area di trasferimento:
HW_SUBMOD • del DP/DP Coupler nella comunicazione di sicurezza tra master
ULE (S7-1200,
e master
S7-1500)
• nella comunicazione di sicurezza master-I-slave
• nella comunicazione di sicurezza I-slave-I-slave
• del PN/PN Coupler nella comunicazione di sicurezza
IO Controller-IO Controller
• nella comunicazione di sicurezza IO Controller-I-Device
• nella comunicazione di sicurezza IO Controller-I-slave
ERROR Output BOOL 1=errore di comunicazione
SUBS_ON Output BOOL 1=RCVDP emette i valori sostitutivi
RET_DPRD Output WORD Codice di errore non fail-safe RET_VAL dell'istruzione DPRD_DAT (I
codici di errore sono descritti nella Guida all'istruzione DPRD_DAT
("Extended instructions > Distributed I/O > Other").)
RET_DPWR Output WORD Codice di errore non fail-safe RET_VAL dell'istruzione DPWR_DAT (I
codici di errore sono descritti nella Guida all'istruzione DPWR_DAT
Parametri RCVDP:
La seguente tabella contiene un riepilogo dei parametri dell'istruzione RCVDP:

ACK_REI Input BOOL 1=Conferma per la reintegrazione dei dati di trasmissione dopo un
errore di comunicazione
SUBBO_00 Input BOOL Valore sostitutivo per il dato di ricezione BOOL 00

13.15 Comunicazione

... ...
SUBBO_15 Input BOOL Valore sostitutivo per il dato di ricezione BOOL 15
SUBI_00 Input INT Valore sostitutivo per il dato di ricezione INT 00
SUBI_01 Input INT Valore sostitutivo per il dato di ricezione INT 01
SUBDI_00 Input DINT (S7-1200, S7-1500)
(nascosto)
Valore sostitutivo per il dato di ricezione DINT 00
DP_DP_ID Input INT ID di comunicazione F tra SENDDP e RCVDP
LADDR Input INT (S7-300, Indirizzo iniziale (S7-300, S7-400) o identificativo HW (S7-1200,
S7-400) S7-1500) dell'area di indirizzi/area di trasferimento:
HW_SUBMOD • del DP/DP Coupler nella comunicazione di sicurezza tra master
ULE (S7-1200,
e master
S7-1500)
• nella comunicazione di sicurezza master-I-slave
• nella comunicazione di sicurezza I-slave-I-slave
• del PN/PN Coupler nella comunicazione di sicurezza
IO Controller-IO Controller
• nella comunicazione di sicurezza IO Controller-I-Device
• nella comunicazione di sicurezza IO Controller-I-slave
SUBS_ON Output BOOL 1=vengono emessi valori sostitutivi
ACK_REQ Output BOOL 1=Conferma per la reintegrazione dei dati di trasmissione
necessaria
SENDMODE Output BOOL 1=F-CPU con l'istruzione SENDDP nel funzionamento di sicurezza
disattivato
RD_BO_00 Output BOOL Dato di ricezione BOOL 00
... ...
RD_BO_15 Output BOOL Dato di ricezione BOOL 15
RD_I_00 Output INT Dato di ricezione INT 00
RD_I_01 Output INT Dato di ricezione INT 01
RD_DI_00 Output DINT (S7-1200, S7-1500)
(nascosto)
Dato di ricezione DINT 00
RET_DPRD Output WORD Codice di errore non fail-safe RET_VAL dell'istruzione DPRD_DAT (I
codici di errore sono descritti nella Guida all'istruzione DPRD_DAT
RET_DPWR Output WORD Codice di errore non fail-safe RET_VAL dell'istruzione DPWR_DAT (I
codici di errore sono descritti nella Guida all'istruzione DPWR_DAT

13.15 Comunicazione

Sono disponibili più versioni di queste istruzioni:

one
1.2 x — o
1.4 x — x
1.3 x — o S7-300/400: Queste versioni sono funzionalmente identiche alla
1.5 x x x versione 1.0.
2.0 x x1 x2 S7-1200/1500: In alternativa, invece di 2 dati di tipo INT può essere
trasmesso/ricevuto un dato di tipo DINT. Fatta eccezione per questa
particolarità, le versioni sono funzionalmente identiche alla versione 1.0.
3.0 x x1 x2 S7-300/400: Questa versione è funzionalmente identica alla versione
2.0.
S7-1200/1500:
• All'ingresso DP_DP_ID possono essere associate anche le variabili di
un DB globale F. Con DP_DP_ID = 0 non viene stabilita alcuna
comunicazione.
• supporta il byte di stato dei dati del PN/PN Coupler a partire dal
firmware V4.0
• supporta la simulazione della comunicazione nella modalità S7-
PLCSIM
Fatta eccezione per questa particolarità, le versioni sono funzionalmente
identiche alla versione 2.0.

Posizionamento
L'istruzione RCVDP deve essere inserita all'inizio del blocco Main Safety oppure (nelle F-CPU
S7-1200/1500) in un F-FB/F-FC richiamato direttamente all'inizio del blocco Main Safety. Nel
blocco Main Safety non sono ammesse altre istruzioni prima dell'istruzione RCVDP, negli
F-FB/F-FC né prima né dopo.
L'istruzione SENDDP deve essere inserita alla fine del blocco Main Safety oppure (nelle F-CPU
S7-1200/1500) in un F-FB/F-FC richiamato direttamente alla fine del blocco Main Safety. Nel
blocco Main Safety non sono ammesse altre istruzioni dopo l'istruzione SENDDP, negli
F-FB/F-FC né prima né dopo.

13.15 Comunicazione
Dopo l'avviamento del sistema F di trasmissione e di ricezione, è necessario stabilire per la
prima volta la comunicazione tra i partner del collegamento (istruzioni SENDDP e RCVDP). Il
ricevente (istruzione RCVDP) in questo intervallo emette i valori sostitutivi presenti sugli
ingressi SUBBO_xx e SUBI_xx o in alternativa SUBDI_00.
Le istruzioni SENDDP e RCVDP segnalano l'evento sull'uscita SUBS_ON con 1. L'uscita
SENDMODE è preimpostata su 0 e non viene aggiornata finché l'uscita SUBS_ON è = 1.
A partire dalla versione V3.0 delle istruzioni SENDDP o RCVDP, la comunicazione viene
stabilita solo se DP_DP_ID <> 0.
Comportamento in caso di errori di comunicazione

Se si verifica un errore di comunicazione, ad es. a causa di un errore del valore di controllo
(CRC), oppure al termine del tempo di controllo TIMEOUT, o nelle F-CPU S7-1200/1500 a
partire dalla versione V3.0 in caso di commutazione di DP_DP_ID su 0 una volta stabilita la
comunicazione, le uscite ERROR e SUBS_ON vengono impostate su 1. In seguito il ricevente
(istruzione RCVDP) emette i valori sostitutivi parametrizzati sugli ingressi SUBBO_xx e SUBI_xx
o in alternativa SUBDI_00. Finché l'uscita SUBS_ON è = 1, l'uscita SENDMODE non viene
aggiornata.
I dati di trasmissione presenti sugli ingressi SD_BO_xx e SD_I_xx o in alternativa SD_DI_00
dell'istruzione SENDDP vengono nuovamente emessi solo quando non viene rilevato più
alcun errore di comunicazione (ACK_REQ = 1) e l'ingresso ACK_REI dell'istruzione RCVDP è
stato confermato (Pagina 179) con un fronte di salita.
Errori di comunicazione si verificano anche in caso di modifica dei valori di DP_DP_ID variabili
se dopo che è stata stabilita la comunicazione i valori dei DP_DP_ID dei SENDDP e RCVDP sono
temporaneamente diversi.
AVVERTENZA
Per la conferma utente occorre collegare l'ingresso ACK_REI con un segnale generato da un
comando manuale.
Non è consentita una interconnessione con un segnale generato automaticamente.* (S040)
* Se si utilizzano ID di comunicazione F variabili è possibile cambiare il partner di

comunicazione delle istruzioni SENDDP e RCVDP durante l'esercizio. Gli errori di
comunicazione conseguenti possono essere confermati con un segnale generato
automaticamente sull'ingresso ACK_REI solo alle seguenti condizioni:
• A causa dello stato del processo, il programma di sicurezza con l'istruzione RCVDP genera
in modo sicuro il segnale "Cambio di partner di comunicazione in corso".
• Il segnale "Cambio del partner di comunicazione in corso" viene generato solo se non sono
presenti errori di comunicazione.
• Quando è presente il segnale "Cambio del partner di comunicazione in corso", l'istruzione
RCVDP non esegue alcuna valutazione dei valori di processo ricevuti.

13.15 Comunicazione
• La conferma automatica viene eseguita solo quando è presente il segnale "Cambio del
partner di comunicazione in corso".
• Dal punto di vista della sicurezza, la reintegrazione automatica del processo interessato è
consentita.
Osservare che l'uscita ERROR (1 = errore di comunicazione) in caso di errore di comunicazione
viene impostata la prima volta solo quando la comunicazione tra i partner del collegamento
(istruzioni SENDDP e RCVDP) è già stata stabilita almeno una volta. Se non è possibile stabilire
la comunicazione dopo l'avviamento del sistema F che trasmette o riceve i dati, controllare la
progettazione della comunicazione di sicurezza CPU-CPU, la parametrizzazione delle istruzioni
SENDDP e RCVDP e il collegamento del bus. Informazioni sulle possibili cause di errore
possono essere reperite anche con la valutazione delle uscite DIAG, RET_DPRD o RETDP_WR.
In generale, valutare sempre RET_DPRD e RETDP_WR, poiché l'informazione sull'errore
potrebbe essere contenuta in una sola delle due uscite.
Diagrammi temporali SENDDP/RCVDP

13.15 Comunicazione
Uscita DIAG
Ai fini dell'assistenza, sull'uscita DIAG delle due istruzioni SENDDP e RCVDP viene inoltre
messa a disposizione una informazione non fail-safe sul tipo degli errori di comunicazione
che si sono verificati.
Questa informazione può essere letta con i sistemi di servizio e supervisione o eventualmente
valutata nel programma utente standard. I bit DIAG restano memorizzati fino alla conferma
sull'ingresso ACK_REI dell'istruzione RCVDP.
Configurazione di DIAG dell'istruzione SENDDP/RCVDP

Bit 3 DP_DP_ID non ammesso Il DP_DP_ID è 0. Controllare i DP_DP_ID di SENDDP e RCVDP.
Bit 4 Timeout riconosciuto da Il programma utente standard Verificare se il programma utente standard
SENDDP/RCVDP sovrascrive le aree di trasferimento accede in scrittura alle aree di trasferimento di
di SENDDP e RCVDP. SENDDP e RCVDP. Considerare anche agli
accessi indiretti.
I DP_DP_ID di SENDDP e RCVDP sono Controllare i DP_DP_ID di SENDDP e RCVDP.
diversi.
Negli ID di comunicazione F sono Eseguire la conferma sull'ingresso ACK_REI
stati modificati i valori sull'ingresso quando i DP_DP_ID di SENDDP e RCVDP
DP_DP_ID. coincidono nuovamente.
Il collegamento di bus con la F-CPU Controllare il collegamento di bus e accertarsi
partner è guasto. che non siano presenti fonti di disturbo
esterne.
Il tempo di controllo della F-CPU e Controllare il tempo di controllo TIMEOUT
della F-CPU partner è stato parametrizzato per SENDDP e RCVDP in
impostato troppo basso. entrambe le F-CPU. Eventualmente impostare
un valore più alto. Ricompilare il programma
di sicurezza.
La progettazione del DP/DP Coupler Controllare la progettazione del DP/DP
o del PN/PN Coupler non è valida. Coupler o del PN/PN Coupler.
Indicazione di validità dei dati "DIA" Commutare l'indicazione di validità dei dati
del DP/DP Coupler su "ON". "DIA" del DIL-switch del DP/DP Coupler su
"OFF".
Parametro "Data validity display DIA" Disattivare il parametro "Data validity display
del PN/PN Coupler attivato. DIA" nelle proprietà del PN/PN Coupler.
Parametro "Activate data status" del Disattivare il parametro "Activate data status"
PN/PN Coupler (dalla versione V4.0) nelle proprietà del PN/PN Coupler (dalla
attivato. versione V4.0).
oppure
S7-1200/1500: Utilizzare la versione V3.0
delle istruzioni SENDDP e RCVDP.
Errore interno del DP/DP Coupler o Sostituire il DP/DP Coupler o il PN/PN Coupler
del PN/PN Coupler
STOP o errore interno del CP Commutare il CP in RUN. Controllare il buffer
di diagnostica del CP.
Sostituire il CP se necessario.

13.15 Comunicazione

STOP o errore interno della F-CPU / Commutare le F-CPU in RUN. Controllare il
della F-CPU partner buffer di diagnostica delle F-CPU.
Sostituire le F-CPU se necessario.
Bit 5 Errore di numero di vedere la descrizione per il bit 4 vedere la descrizione per il bit 4
sequenza riconosciuto da
SENDDP/RCVDP
Bit 6 Errore CRC riconosciuto da vedere la descrizione per il bit 4 vedere la descrizione per il bit 4
SENDDP/RCVDP I DP_DP_ID di SENDDP e RCVDP sono Controllare i DP_DP_ID di SENDDP e RCVDP
diversi
Vedere anche
Comunicazione a S7 Distributed Safety tramite PN/PN Coupler (comunicazione IO Controller-
IO Controller) (Pagina 242)
Comunicazione con S7 Distributed Safety tramite DP/DP Coupler (comunicazione master-
master) (Pagina 243)
Progettazione e programmazione della comunicazione (S7-300, S7-400) (Pagina 192)
Comunicazione di sicurezza tra IO Controller e IO Controller (Pagina 195)
Comunicazione di sicurezza master-master (Pagina 203)
Comunicazione di sicurezza tra IO Controller e I-Device (Pagina 212)
Comunicazione di sicurezza master-I-slave (Pagina 218)
Comunicazione di sicurezza IO Controller-I-slave (Pagina 234)
13.15.2 Comunicazione S7
13.15.2.1 SENDS7 e RCVS7: Comunicazione tramite collegamenti S7

Introduzione
Le istruzioni SENDS7 e RCVS7 si utilizzato per la trasmissione e la ricezione sicura di dati
tramite collegamenti S7.
Nota
In STEP 7 Safety Advanced i collegamenti S7 sono generalmente ammessi solo tramite
Industrial Ethernet.
La comunicazione di sicurezza tramite collegamenti S7 è possibile da e verso F-CPU con
interfaccia PROFINET e F-CPU S7-400 con CP con funzionalità PROFINET. Vedere anche
Comunicazione di sicurezza tramite collegamenti S7 (Pagina 235).

13.15 Comunicazione
Descrizione
L'istruzione SENDS7 invia i dati di trasmissione presenti in un DB di comunicazione F in
modalità fail-safe tramite un collegamento S7 al DB di comunicazione F dell'istruzione RCVS7
corrispondente di un'altra F-CPU.
A ogni richiamo dell'istruzione deve essere assegnata un'area di dati nella quale memorizzare
i dati dell'istruzione. A questo scopo durante l'inserimento dell'istruzione nel programma
viene aperta automaticamente la finestra di dialogo "Call options", nella quale è possibile
inserire un blocco dati (istanza singola) (ad es. SENDS7_DB_1) oppure una multiistanza
(ad es. SENDS7_Instance_1) per l'istruzione. Dopo la creazione, il nuovo blocco dati si trova
nella navigazione del progetto, nella cartella "STEP 7 Safety" in "Program blocks > System
blocks" o la multiistanza come variabile locale nella sezione "Static" dell'interfaccia del blocco.
Per ulteriori informazioni a riguardo consultare la Guida di STEP 7.
Per informazioni sul DB di comunicazione F vedere "Programmazione della comunicazione di
sicurezza tramite collegamenti S7 (Pagina 238)".
Un DB di comunicazione F è un F-DB per la comunicazione di sicurezza CPU-CPU con proprietà
speciali. I numeri del DB di comunicazione F devono essere specificati negli ingressi SEND_DB
e RCV_DB delle istruzioni SENDS7 e RCVS7.
L'uscita SENDMODE dell'istruzione RCVS7 mette a disposizione il modo di funzionamento
della F-CPU con l'istruzione SENDS7. Se la F-CPU con l'istruzione SENDS7 è in funzionamento
di sicurezza disattivato, l'uscita è SENDMODE = 1.
Sull'ingresso EN_SEND dell'istruzione SENDS7 è possibile disattivare temporaneamente la
comunicazione tra le F-CPU per ridurre il carico del bus, impostando "0" nell'ingresso
EN_SEND (preimpostazione = "1"). In questo modo non vengono più inviati dati di
trasmissione al DB di comunicazione F della rispettiva istruzione RCVS7 e il ricevente mette a
disposizione i valori sostitutivi (valori iniziali nel relativo DB di comunicazione F) per questo
intervallo. Se la comunicazione era già creata tra i partner del collegamento, viene
riconosciuto un errore di comunicazione.
Nell'ingresso ID dell'istruzione SENDS7 devono essere specificati gli ID locali del collegamento
S7 dal punto di vista della F-CPU (riportati nella tabella dei collegamenti della vita dir rete)
(vedere anche Progettazione (Pagina 41)).

13.15 Comunicazione
La comunicazione tra le F-CPU viene eseguita sullo sfondo tramite un protocollo di sicurezza
specifico. A tale scopo, il rapporto di comunicazione tra l'istruzione SENDS7 di una F-CPU e
un'istruzione RCVS7 di un'altra F-CPU deve essere definito impostando un numero dispari per
l'ingresso R_ID (delle istruzioni SENDS7 e RCVS7). Le istruzioni SENDS7 e RCVS7 correlate
ricevono lo stesso valore per l'R_ID.
AVVERTENZA
essere selezionato liberamente, ma deve essere dispari e univoco in tutta la rete* e in tutta
la CPU per tutti i collegamenti di comunicazione orientati alla sicurezza. Il valore R_ID + 1
viene assegnato internamente e non deve essere utilizzato.
Al richiamo dell'istruzione, agli ingressi ID e R_ID devono essere assegnati dei valori costanti.
Nel programma di sicurezza non sono consentiti accessi diretti né in lettura né in scrittura
nei rispettivi DB di istanza! (S020)
Layer 3).
Nota
Nel programma di sicurezza deve essere utilizzato un DB di istanza separato per ogni richiamo
delle istruzioni SENDS7 e RCVS7. Queste istruzioni non possono essere dichiarate e
richiamate come multiistanze.
Agli ingressi dell'istruzione RCVS7 non devono essere assegnate, tramite accessi DB
completamente qualificati, le uscite di un'istruzione RCVS7 o RCVDP richiamata in una rete
precedente.
Non è ammesso utilizzare per l'uscita di un'istruzione RCVS7 un parametro attuale già
utilizzato per un ingresso della stessa istruzione o di un'altra istruzione RCVS7 o RCVDP.
In caso di mancata osservanza la F-CPU può passare in STOP. Nel buffer di diagnostica della
F-CPU viene inserito un evento di diagnostica.
Nota
Tra un'istruzione JMP o JMPN e la relativa rete di destinazione dell'istruzione JMP o JMPN non
deve essere programmata alcuna istruzione SENDS7/RCVS7.
Prima di un'istruzione SENDS7 non deve essere programmata alcuna istruzione RET.

13.15 Comunicazione
Parametri SENDS7
La tabella seguente elenca i parametri dell'istruzione SENDS7:

SEND_DB Input BLOCK_DB Numero del DB di comunicazione F
EN_SEND Input BOOL 1=abilitazione della trasmissione
ID Input WORD ID locale del collegamento S7
R_ID Input DWORD Valore univoco in tutta la rete per un ID di comunicazione F tra
un'istruzione SENDS7 e un'istruzione RCVS7
SUBS_ON Output BOOL 1= il ricevente emette valori sostitutivi
STAT_RCV Output WORD Parametri di stato non fail-safe STATUS dell'istruzione URCV (I
codici di errore sono descritti nella Guida all'istruzione URCV
("Communication > S7 Communication"))
STAT_SND Output WORD Parametri di stato non fail-safe STATUS dell'istruzione USEND (I
codici di errore sono descritti nella Guida all'istruzione USEND
Parametri RCVS7
La tabella seguente elenca i parametri dell'istruzione RCVS7:

ACK_REI Input BOOL Conferma per la reintegrazione dei dati di trasmissione dopo
un errore di comunicazione
RCV_DB Input BLOCK_DB Numero del DB di comunicazione F
ID Input WORD ID locale del collegamento S7
R_ID Input DWORD Valore univoco in tutta la rete per un ID di comunicazione F tra
un'istruzione SENDS7 e un'istruzione RCVS7
SUBS_ON Output BOOL 1=vengono emessi valori sostitutivi
ACK_REQ Output BOOL 1=Conferma per la reintegrazione dei dati di trasmissione
necessaria
SENDMODE Output BOOL 1=F-CPU con l'istruzione SENDS7 nel funzionamento di
sicurezza disattivato
STAT_RCV Output WORD Parametro di stato non fail-safe STATUS dell'istruzione URCV (I
codici di errore sono descritti nella Guida all'istruzione URCV
STAT_SND Output WORD Parametri di stato non fail-safe STATUS dell'istruzione USEND (I
codici di errore sono descritti nella Guida all'istruzione USEND

13.15 Comunicazione

Sono disponibili più versioni di queste istruzioni:
Version S7-300/400 S7-1500 Funzione

e
1.0 x —
1.1 x — Questa versione è funzionalmente identica alla versione 1.0.

Tuttavia, essa supporta anche versioni più recenti delle istruzioni richiamate
internamente.
Dopo la migrazione di progetti creati con S7 Distributed Safety V5.4 SP5, è impostata
automaticamente la versione 1.1 dell'istruzione.
Se si vuole compilare per la prima volta un programma di sicurezza migrato con STEP 7
Safety Advanced, si raccomanda di aggiornare prima la versione delle istruzioni
all'ultima versione disponibile.
1.2 x — Questa versione è funzionalmente identica alla versione 1.0/1.1.
Tuttavia, essa supporta anche versioni più recenti delle istruzioni richiamate
internamente.
Durante la creazione di una nuova F-CPU con STEP 7 Safety Advanced è impostata
automaticamente la versione più recente disponibile per la F-CPU creata.
Posizionamento
L'istruzione RCVS7 deve essere inserita all'inizio del blocco Main Safety. Nel blocco Main
Safety non devono esserci altre istruzioni precedenti.
L'istruzione SENDS7 deve essere inserita alla fine del blocco Main Safety. Nel blocco Main
Safety non devono esserci altre istruzioni successive.
Dopo l'avviamento del sistema F di trasmissione e di ricezione, è necessario stabilire per la
prima volta la comunicazione tra i partner del collegamento (istruzioni SENDS7 e RCVS7). Il
ricevente (istruzione RCVS7) mette a disposizione i valori sostitutivi (valori iniziali nel relativo
DB di comunicazione F) per questo intervallo.
Le istruzioni SENDS7 e RCVS7 segnalano l'evento sull'uscita SUBS_ON con 1. L'uscita
SENDMODE (istruzione RCVS7) è preimpostata su 0 e non viene aggiornata finché l'uscita
SUBS_ON è = 1.

13.15 Comunicazione
Comportamento in caso di errori di comunicazione

Se si verifica un errore di comunicazione, ad es. a causa di un errore del valore di controllo
(CRC), oppure al termine del tempo di controllo TIMEOUT, vengono impostate le uscite ERROR
e SUBS_ON = 1. Il ricevente (istruzione RCVS7) mette a disposizione i valori sostitutivi (valori
iniziali nel relativo DB di comunicazione F). Finché l'uscita SUBS_ON = 1, l'uscita SENDMODE
non viene aggiornata.
I dati di trasmissione presenti nel DB di comunicazione F (istruzione SENDS7) vengono
nuovamente emessi solo quando non viene rilevato più alcun errore di comunicazione
(ACK_REQ = 1) e l'ingresso ACK_REI dell'istruzione RCVS7 è stato confermato (Pagina 179)
con un fronte di salita.
AVVERTENZA
Per la conferma utente occorre collegare l'ingresso ACK_REI con un segnale generato da un
comando manuale.
Non è consentita una interconnessione con un segnale generato automaticamente. (S040)
Tenere presente che l'uscita ERROR (1 = errore di comunicazione) in caso di errore di

comunicazione viene impostata la prima volta solo quando la comunicazione tra i partner del
collegamento (istruzioni SENDS7 e RCVS7) è già stata stabilita almeno una volta. Se non è
possibile stabilire la comunicazione dopo l'avviamento del sistema F che trasmette o riceve i
dati, controllare la progettazione della comunicazione di sicurezza CPU-CPU, la
parametrizzazione delle istruzioni SENDS7 e RCVS7 e il collegamento del bus. Informazioni
sulle possibili cause di errore possono essere reperite anche con la valutazione delle uscite
STAT_RCV o STAT_SND.
In generale, valutare sempre STAT_RCV e STAT_SND, poiché l'informazione sull'errore
potrebbe essere contenuta in una sola delle due uscite.
Se sull'uscita DIAG è impostato uno dei bit DIAG, controllare inoltre se la lunghezza e la
struttura dei DB di comunicazione F corrispondente sul lato di trasmissione e sul lato di
ricezione coincidono.

13.15 Comunicazione
Diagrammi temporali di SENDS7 e RCVS7
Uscita DIAG
safe sul tipo degli errori di comunicazione che si sono verificati. Questa informazione può
essere letta con i sistemi di servizio e supervisione o eventualmente valutata nel programma
utente standard. I bit DIAG restano memorizzati fino alla conferma sull'ingresso ACK_REI della
rispettiva istruzione RCVS7.

13.15 Comunicazione
N. bit Assegnazione SENDS7 e RCVS7 Cause di errore possibili Rimedi

Bit 4 Timeout riconosciuto da SENDS7 Il collegamento di bus con la F-CPU Controllare il collegamento di bus e
e RCVS7 partner è guasto accertarsi che non siano presenti fonti
di disturbo esterne.
Il tempo di controllo della F-CPU e Controllare il tempo di controllo
della F-CPU partner è troppo basso parametrizzato TIMEOUT in SENDS7 e
RCVS7 in entrambe le F-CPU. Se
necessario impostare dei valori più alti.
Compilare nuovamente il programma
di sicurezza
STOP o errore interno dei CP • Commutare i CP in RUN
• Controllare il buffer di diagnostica
dei CP
• Se necessario sostituire i CP
STOP o errore interno della F-CPU / • Commutare le F-CPU in RUN
della F-CPU partner
• Controllare il buffer di diagnostica
delle F-CPU
• Se necessario sostituire le F-CPU
La comunicazione è stata interrotta Ripristinare la comunicazione nel
con EN_SEND = 0. rispettivo SENDS7 con EN_SEND = 1
Il collegamento S7 è stato Compilare nuovamente i programmi di
modificato, ad es. è stato modificato sicurezza e ricaricarli nelle F-CPU
l'indirizzo IP del CP
Bit 5 Errore di numero di sequenza vedere la descrizione per il bit 4 vedere la descrizione per il bit 4
riconosciuto da SENDS7 e RCVS7
Bit 6 Errore CRC riconosciuto da vedere la descrizione per il bit 4 vedere la descrizione per il bit 4
SENDS7 e RCVS7
Bit 7 RCVS7: Progettazione della comunicazione Controllare la progettazione della
Impossibile stabilire la di sicurezza CPU-CPU errata, comunicazione di sicurezza CPU-CPU,
comunicazione parametrizzazione delle istruzioni parametrizzazione delle istruzioni
SENDS7 e RCVS7 errata SENDS7 e RCVS7
vedere anche la descrizione per il bit vedere anche la descrizione per il bit 4
4
SENDS7: — —
Riserva

Tempi di controllo e di reazione A
Introduzione
La descrizione seguente spiega:
• quali tempi di controllo specifici per F è necessario progettare
• quali sono le regole da rispettare per la definizione dei tempi di controllo
• dove devono essere inseriti i tempi di controllo specifici per F
• quali regole devono essere rispettate per il tempo di reazione massimo di una funzione di
sicurezza
Strumenti di supporto per i calcoli

In Internet (https://support.industry.siemens.com/cs/ww/it/view/109783831) è disponibile un
file Excel che consente di calcolare approssimativamente i tempi di esecuzione dei gruppi di
esecuzione F, i tempi di controllo minimi specifici F e i tempi di reazione massimi del
sistema F.
I calcoli dei tempi di controllo e dei tempi di reazione per la parte standard in SIMATIC Safety
sono identici a quelli dei sistemi di automazione standard S7-300, S7-400, S7-1200 e
S7-1500 e non sono trattati in questo manuale. La relativa descrizione si trova nei manuali
hardware delle CPU. Per il sistema ridondante S7-1500HF vedere anche il Manuale di sistema
"Sistema ridondante S7-1500R/H
(https://support.industry.siemens.com/cs/ww/it/view/109754833)".

Tempi di controllo e di reazione
A.1 Progettazione dei tempi di controllo
Tempi di controllo da progettare

Devono essere progettati i seguenti tempi di controllo:
Controllo... Impostazione... Parametri vedere

del tempo di ciclo F o della soglia di nel Safety Administration Editor: Tempo di ciclo max. • Procedura per la
avviso del tempo di ciclo F dei del gruppo di
• Finestra di dialogo per la definizione di un
gruppi di esecuzione F che esecuzione F
contengono il programma di definizione di un gruppo di gruppo di
sicurezza esecuzione F esecuzione F
(S7-300, S7-400)
(Pagina 130)
• Procedura per la
definizione di un
gruppo di
esecuzione F
(S7-1200, S7-1500)
(Pagina 133)
della comunicazione di sicurezza Nell'editor hardware e di rete: Tempo di controllo F • Progettazione della
tra F-CPU e periferia F tramite F_WD_TIME
• centralmente durante la F-CPU (Pagina 45)
PROFIsafe (tempo di controllo
PROFIsafe) progettazione della F-CPU; • Progettazione della
proprietà della F-CPU; oppure periferia F
• durante la progettazione della (Pagina 50)
periferia F; proprietà della • Particolarità durante
periferia F la progettazione di
slave DP standard
fail-safe e di device
IO standard fail-safe
(Pagina 74)
della comunicazione di sicurezza Ingresso "TIMEOUT" delle istruzioni: TIMEOUT • Comunicazione
CPU-CPU
• SENDDP; RCVDP; SENDS7; (Pagina 579)
RCVS7
(S7-1200, S7-1500) nel Safety Administration Editor: Tempo di controllo F • Area "Flexible F-Link"
Comunicazione con Flexible F-Link della comunicazione
• Area "Flexible F-Link" (S7-1200, S7-1500)
F
(Pagina 93)
• Comunicazione del
gruppo di
esecuzione F
(S7-1200, S7-1500)
(Pagina 141)
• Progettazione e
programmazione
della comunicazione
con Flexible F-Link
(S7-1200, S7-1500)
(Pagina 283)

(S7-300, S7-400) Il tempo di controllo della comunicazione di sicurezza tra i gruppi di

esecuzione F non deve essere progettato.
Regole per la progettazione dei tempi di controllo

Durante la progettazione dei tempi di controllo vanno considerate sia la disponibilità che la
sicurezza del sistema F:
• Disponibilità: per evitare che i controlli del tempo si attivino in assenza di errori si devono
selezionare tempi di controllo sufficientemente alti.
• Sicurezza: per evitare che venga superato il tempo di sicurezza del processo si devono
selezionare tempi di controllo sufficientemente bassi.
AVVERTENZA
Procedura generale per la progettazione dei tempi di controllo

Per progettare i tempi di controllo procedere nel modo seguente:
1. Progettare il sistema standard.
Le informazioni necessarie sono contenute nei relativi manuali hardware e nella Guida a
STEP 7.
2. Progettare i tempi di controllo specifici del sistema F tenendo conto della disponibilità. Per il
calcolo approssimativo del tempo di controllo minimo utilizzare il file Excel per il calcolo del
tempo di reazione (https://support.industry.siemens.com/cs/ww/it/view/109783831).
Nota
Per evitare l'attivazione dei controlli temporali nei modi di funzionamento e negli stati di
sistema specifici del sistema ridondante S7-1500HF in assenza di errori, occorre impostare
tempi di controllo minimi più alti per il sistema ridondante S7-1500HF. Il file Excel per il
calcolo del tempo di reazione tiene conto di questa particolarità.
3. Calcolare il tempo di reazione massimo con l'ausilio del file Excel per il calcolo del tempo di
reazione e controllare che il tempo di sicurezza del processo non venga superato. Se
necessario ridurre i tempi di controllo specifici del sistema F.
Vedere anche
Sistema ridondante S7-1500R/H

A.1.1 Tempo di controllo minimo del tempo di ciclo del gruppo di esecuzione F
Parametro "Tempo di ciclo massimo del gruppo di esecuzione F"

Il tempo di controllo del tempo di ciclo del gruppo di esecuzione F viene progettato nel Safety
Amministrazione Editor all'interno dell'area di lavoro per la definizione del gruppo di
esecuzione F (Pagina 128).
Per evitare che il controllo del tempo di ciclo del gruppo di esecuzione F si attivi in assenza di
errori e che la F-CPU passi in STOP, il tempo di ciclo massimo del gruppo di esecuzione F deve
essere sufficientemente alto.
Per calcolare il tempo di controllo minimo del tempo di ciclo del gruppo di esecuzione F
utilizzare il file Excel per il calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831). Osservare anche ai
commenti contenuti nel file Excel.
Inoltre, per il dimensionamento delle F-CPU S7-1200/1500 è possibile utilizzare le variabili
TCYC_CURR (Pagina 149) e TCYC_LONG (Pagina 149) per calcolare il tempo di ciclo attuale e
quello più lungo del gruppo di esecuzione F dall'ultimo passaggio STOP-RUN.
A.1.2 Tempo di controllo minimo della comunicazione di sicurezza tra F-CPU e

periferia F
Parametro "Tempo di controllo F"

Il tempo di controllo della comunicazione di sicurezza tra F-CPU e periferia F può essere
progettato in due modi:
• centralmente nell'editor hardware e di rete durante la parametrizzazione della F-CPU
(Pagina 45); nelle proprietà della F-CPU oppure
• durante la parametrizzazione della periferia F (Pagina 50) nell'editor hardware e di rete;
nelle proprietà della periferia F
Nota
Tenere presente che, se si utilizza un sistema ridondante S7-1500HF e un IO Device che non
supporta la ridondanza di sistema S2, in caso di guasto della CPU primaria la comunicazione
PROFINET con il Device viene interrotta e nelle periferie F del Device interessato si verifica un
errore di comunicazione che richiede una reintegrazione delle periferie F (vedere il capitolo
"Dopo errori di comunicazione (Pagina 171)").
Negli IO Device con ridondanza di sistema S2, se si verifica un guasto nella CPU principale, il
sistema ridondante S7-1500HF commuta alla CPU di backup senza interruzioni. Durante la
commutazione dalla CPU principale a quella di backup, le uscite fail-safe restano attive.

"Tempo di controllo F" = tempo di controllo PROFIsafe TPSTO

Per evitare che il controllo si attivi in assenza di errori deve essere impostato un tempo di
controllo PROFIsafe TPSTO sufficientemente alto.
Per calcolare il tempo di controllo minimo della comunicazione di sicurezza tra F-CPU e
periferia F, utilizzare il file Excel per il calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831) disponibile per SIMATIC
Safety.
Osservare anche ai commenti contenuti nel file Excel.
Controllo per determinare se il tempo di controllo PROFIsafe progettato è troppo basso
Nota
Durante la messa in servizio del sistema F è possibile controllare con il funzionamento di
sicurezza attivo se il tempo di controllo PROFIsafe progettato è troppo basso.
La verifica del tempo di controllo PROFIsafe può servire anche per accertare che il tempo di
controllo progettato superi il tempo di controllo minimo di un intervallo sufficientemente
ampio. Questo consente di prevenire eventuali errori del tempo di controllo sporadici.
Procedura:
1. Collegare una periferia F che successivamente non verrà utilizzata durante il funzionamento
dell'impianto.
2. Parametrizzare per questa periferia F un tempo di controllo minore di quello della periferia F
dell'impianto.
3. Se la periferia F aggiuntiva ha un guasto e la diagnostica segnala "Tempo di controllo del
telegramma di sicurezza superato", il tempo di controllo PROFIsafe minimo possibile non è
stato raggiunto.
4. Aumentare il tempo di controllo della periferia F aggiuntiva fino a quando l'errore non si
verifica più. Il tempo di controllo così ottenuto corrisponde approssimativamente al tempo
di controllo minimo consentito.
Condizioni:
La periferia F da collegare aggiuntivamente deve avere le seguenti proprietà in comune con
la periferia F di cui si vuole verificare il tempo di controllo PROFIsafe:
• deve essere installata sullo stesso telaio di montaggio
• deve essere un nodo della stessa sottorete
Suggerimento:
Negli impianti che verranno modificati/ampliati dopo la messa in servizio e durante l'esercizio
può essere utile lasciare la periferia F aggiuntiva inserita permanentemente. In caso di
modifica della temporizzazione, la periferia F aggiuntiva emette tempestivamente un avviso
che consente di evitare l'arreso del processo da parte della periferia F.
In un sistema ridondante S7-1500HF la verifica volta a determinare se il tempo di controllo
PROFIsafe progettato è troppo basso dovrebbe essere eseguita in tutti i modi di
funzionamento e in tutti gli stati del sistema, poiché i tempi di reazione dipendono anche dal
rispettivo modo di funzionamento e stato del sistema.

A.1.3 Tempo di controllo minimo della comunicazione di sicurezza CPU-CPU
Ingresso TIMEOUT in SENDDP e RCVDP oppure SENDS7 e RCVS7/ tempo di controllo F per la
comunicazione tramite Flexible F-Link
Il controllo del tempo ha luogo nelle istruzioni SENDDP e RCVDP (Pagina 579) oppure
SENDS7 e RCVS7 (Pagina 588) dei partner di comunicazione. Il controllo del tempo deve
essere parametrizzato con un tempo di controllo identico nelle due istruzioni sull'ingresso
TIMEOUT.
Per evitare che il controllo si attivi in assenza di errori deve essere impostato un tempo di
controllo TIMEOUT sufficientemente alto.
Per la comunicazione tramite Flexible F-Link, quando si crea una comunicazione di sicurezza
(Pagina 93) si deve impostare il tempo di controllo F per la comunicazione di sicurezza.
Per calcolare il valore minimo di TIMEOUT e del tempo di controllo F, utilizzare il file Excel per
il calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831) disponibile per SIMATIC
Safety.
Osservare anche ai commenti contenuti nel file Excel.
A.1.4 Tempo di controllo della comunicazione di sicurezza tra gruppi di

esecuzione F
Tempo di controllo della comunicazione di sicurezza tra gruppi di esecuzione F (S7-300, S7-400)
Il tempo di controllo della comunicazione di sicurezza tra gruppi di esecuzione F con Flexible
F-Link viene calcolato automaticamente utilizzando i valori del "Maximum cycle time of the
F-runtime group" (area di lavoro per la definizione del gruppo di esecuzione F (Pagina 128)
nel Safety Amministrazione Editor).
Tempo di controllo = (tempo di ciclo max. del 1° gruppo di esecuzione F) + (tempo di ciclo
max. del 2° gruppo di esecuzione F)
Tempo di controllo della comunicazione di sicurezza tra gruppi di esecuzione F

(S7-1200, S7-1500)
Il tempo di controllo della comunicazione di sicurezza tra gruppi di esecuzione F può essere
calcolato utilizzando i valori del "Maximum cycle time of the F-runtime group" (area per la
definizione del gruppo di esecuzione F (Pagina 128) nel Safety Amministrazione Editor)
commutando il programma utente standard per la comunicazione dei gruppo di esecuzione F
nel modo di pre/postelaborazione (Pagina 83).
Tempo di controllo = (tempo di ciclo max. del 1° gruppo di esecuzione F) + (tempo di ciclo
max. del 2° gruppo di esecuzione F)

A.2 Tempi di reazione delle funzioni di sicurezza
Definizione del tempo di reazione

Il tempo di reazione è il tempo che intercorre dal riconoscimento di un segnale d'ingresso alla
variazione di un segnale di uscita ad esso correlato
Variabilità
Il tempo di reazione effettivo è compreso tra un tempo di reazione minimo e un tempo di
reazione massimo. Per la progettazione dell'impianto, calcolare sempre il tempo di reazione
massimo.
Osservare i commenti in File excel per il calcolo del tempo di reazione
Nota
In un sistema ridondante S7-1500HF, lo stato attuale di funzionamento e del sistema influisce
sul tempo di reazione effettivo.
Regola per il tempo di reazione massimo di una funzione di sicurezza

Il tempo di reazione massimo di una funzione di sicurezza deve essere inferiore al tempo di
sicurezza del processo.
Definizione del tempo di sicurezza di un processo

Il tempo di sicurezza di un processo è l'intervallo che intercorre tra il verificarsi di un errore,
entro il quale il processo può essere lasciato "incustodito" senza provocare danni fatali per gli
operatori o per l'ambiente, e il momento della conclusione della reazione.
Entro il tempo di sicurezza del processo, il sistema F che controlla il processo può comandare
in qualsiasi modo, ovvero anche in modo sbagliato o non comandare per niente. Il tempo di
sicurezza di un processo varia in funzione del tipo di processo e deve essere definito in modo
personalizzato.
Procedura per il calcolo dei tempi di reazione

Per il calcolo del tempo di reazione massimo di una funzione di sicurezza è disponibile il File
excel per il calcolo del tempo di reazione
Utilizzando il file Excel, calcolare approssimativamente il tempo di reazione massimo della
funzione di sicurezza e controllare che il tempo di sicurezza del processo non venga superato.

Eventualmente è necessario ridurre i tempi di controllo specifici del sistema F (vedere Tempo
di controllo minimo della comunicazione di sicurezza tra F-CPU e periferia F (Pagina 599)).
AVVERTENZA
Quando si utilizza una comunicazione Flexible F-Link, il file excel per il calcolo del tempo di
reazione o del timeout può essere utilizzato solo nel rispetto delle seguenti prescrizioni
relative alle istruzioni standard per la trasmissione coerente dei dati:
Comunicazione tra CPU e CPU (Pagina 283)
L'istruzione standard per la trasmissione e la conferma coerente dei dati deve essere
richiamata durante l'elaborazione successiva del gruppo di esecuzione F (Pagina 83). Nelle
istruzioni standard per la ricezione e la conferma coerente dei dati occorre specificare se il
collegamento di comunicazione standard è deterministico o non deterministico. In caso di
collegamento deterministico (ad es. DPRD_DAT / DPWR_DAT), l'istruzione standard deve
essere richiamata durante la pre-elaborazione del gruppo di esecuzione F (Pagina 83). In
caso di collegamento non deterministico (ad es. collegamento S7, collegamenti TCP),
l'istruzione standard deve essere richiamata in un OB di schedulazione orologio. Questo OB
d schedulazione orologio deve essere richiamato a intervalli più brevi del gruppo di
esecuzione F. Si consiglia un rapporto di 1:5.
Comunicazione del gruppo di esecuzione F (Pagina 141)
L'istruzione standard UMOVE_BLK per la trasmissione dei dati da inviare deve essere
richiamata durante l'elaborazione successiva del gruppo di esecuzione F che invia i dati.
L'istruzione standard UMOVE_BLK per la trasmissione della conferma da inviare deve essere
richiamata durante l'elaborazione successiva del gruppo di esecuzione F che riceve i dati.
(S089)

AVVERTENZA
Il tempo di reazione della funzione di sicurezza dipende anche dal tempo di ciclo dell'F-OB,
dal tempo di esecuzione del gruppo di esecuzione F e, in caso di utilizzo di una periferia F
decentrata, dalla parametrizzazione PROFINET/PROFIBUS.
Di conseguenza anche la progettazione/parametrizzazione del sistema standard influisce sul
tempo di reazione della funzione di sicurezza.
Esempi:
• Aumentando la priorità d un OB standard rispetto alla priorità di un F-OB, il tempo di ciclo
dell'F-OB o il tempo di esecuzione del gruppo di esecuzione F può prolungarsi a causa
della priorità più alta assegnata all'elaborazione dell'OB standard. Osservare che durante
la creazione di oggetti tecnologici vengono eventualmente creati automaticamente degli
OB con una priorità molto alta.
• La modifica dell'intervallo di trasmissione di PROFINET modifica anche il tempo di ciclo di
un F-OB con classe evento "Synchronous cycle".
Osservare che la progettazione/parametrizzazione del sistema standard non è soggetta alla
protezione di accesso per il programma di sicurezza e non comporta una modifica della
firma collettiva F.
reazione, durante il calcolo del tempo di reazione massimo di una funzione di sicurezza è
necessario ricorrere ai tempi di controllo (vedere Progettazione dei tempi di controllo
(Pagina 597)).
collettiva F-SW.
(https://support.industry.siemens.com/cs/ww/it/view/109783831) va considerato come
valore per il tempo di reazione massimo il valore indicato alla voce "Any standard system
runtimes". (S085)

Lista di controllo B
Ciclo di vita dei sistemi di automazione fail-safe
La seguente tabella riassume le attività del ciclo di vita di un sistema fail-safe SIMATIC Safety
sotto forma di lista di controllo, insieme ai requisiti e alle regole da rispettare.
Lista di controllo
Legenda:
• I riferimenti ai capitoli senza informazioni aggiuntive fanno riferimento alla presente
documentazione.
• "Manuale F-SM" si riferisce al manuale Sistema di automazione S7-300 Apparecchiatura di
periferia decentrata ET 200M Unità di ingressi/uscite fail-safe
(http://support.automation.siemens.com/WW/view/it/19026151).
• "Manuale F Module" si riferisce al manuale ET 200S Distributed I/O System - Fail-Safe
Modules (http://support.automation.siemens.com/WW/view/en/27235629).
• "Manuale ET 200eco" si riferisce al manuale Unità di periferia decentrata ET 200eco -
Modulo di periferia fail-safe
(http://support.automation.siemens.com/WW/view/en/19033850).
• "Manuale ET 200eco PN" si riferisce al manuale del prodotto ET 200eco PN F-DI 8 x 24
VDC, 4xM12 / F-DQ 3 x 24 VDC/2.0A PM, 3xM12.
• "Manuale ET 200pro" si riferisce al manuale Periferia decentrata ET 200pro - Moduli
fail-safe (http://support.automation.siemens.com/WW/view/en/22098524).
• "Manuale ET 200iSP" si riferisce al manuale Distributed I/O ET 200iSP Distributed
I/O Device - Fail-safe Modules
• "Manuale ET 200SP" si riferisce al manuale Manuale di sistema ET 200SP
• "Manuale ET 200AL" si riferisce al manuale Manuale di sistema ET 200AL
• "Manuale ET 200MP" si riferisce al manuale Manuale di sistema S7-1500/ET 200MP
• "Manuale S7-1500R/H" si riferisce al manuale Manuale di sistema S7-1500R/H
• "Manuale SIMATIC Drive Controller" si riferisce al Manuale di sistema SIMATIC Drive
Controller (https://support.industry.siemens.com/cs/ww/it/view/109766665)

Lista di controllo
• "Manuale ET 200SP Module" si riferisce al Manuale del prodotto dei moduli F del sistema
di periferia decentrata ET 200SP
(https://support.industry.siemens.com/cs/ww/it/ps/14059/man)
• "Manuale ET 200MP Module" si riferisce al Manuale del prodotto dei moduli F del sistema
di periferia decentrata ET 200MP
(https://support.industry.siemens.com/cs/ww/it/ps/14141/man)
• "Manuale ET 200AL Module" si riferisce al Manuale del prodotto dei moduli F del sistema
di periferia decentrata ET 200AL
Fase Osservare Vedere... Check

Pianificazione
Requisito: È presente in funzione del processo —
"Safety requirements
specification" per
l'applicazione prevista
Specifica dell'architettura in funzione del processo —
del sistema
Assegnazione delle in funzione del processo in Presentazione del prodotto (Pagina 21)
funzioni e delle funzioni
parziali relative ai
componenti del sistema
Selezione di sensori e Requisiti relativi agli attuatori Manuale F-SM, cap. 6.5;
attuatori Manuale F-Module, cap. 4.5;
Manuale ET 200eco, cap. 5.5;
Manuale ET 200eco PN, cap. 5.2;
Manuale ET 200pro, cap. 4.4
Manuale ET 200iSP, cap. 4.5
Manuale ET 200SP, cap. 6.2.2
Manuale ET 200MP, cap. 6.2.2
Determinazione delle IEC 61508:2010 —
proprietà di sicurezza
necessarie dei singoli
componenti
Progettazione
Installazione della licenza Requisiti per l'installazione in Installazione/disinstallazione della
licenza di STEP 7 Safety Basic V18
(Pagina 29) o
Installazione/disinstallazione della licenza
di STEP 7 Safety Advanced V18
(Pagina 29)

Lista di controllo

Selezione dei componenti Descrizioni per la configurazione in Presentazione del prodotto (Pagina 21);
S7 Manuale F-SM, cap. 3;
Manuale F-Module, cap. 3;
Manuale ET 200eco, cap. 3;
Manuale ET 200eco PN, cap. 4;
Manuale ET 200pro, cap. 2
Manuale ET 200iSP, cap. 3
Manuale ET 200SP, cap. 4
Manuale ET 200AL, cap. 3
Manuale ET 200MP, cap. 4
Manuale S7-1500R/H, cap. 4
Manuale SIMATIC Drive Controller, cap. 4
Configurazione • Descrizione dei sistemi F in Progettazione (Pagina 41);
dell'hardware Allegato 1 del report di certificazione
• Verificare i componenti HW utilizzati
rispetto all'Allegato 1 del report di
certificazione.
Progettazione della F-CPU • Livello di protezione "Write protection in Progettazione della F-CPU (Pagina 45);
for fail-safe blocks" (S7-300, S7-400) Manuale S7-300 standard;
• Livello di protezione almeno "Full Manuale S7-400 standard;
access" (SIMATIC S7-1200, S7-1500) Manuale S7-1200 standard;
Manuale S7-1500 standard;
• Password
in Tempi di controllo e di reazione
• Funzionalità F attivata (Pagina 596)
• Definizione/impostazione di parametri
specifici per F
• Definire l'ora di richiamo del gruppo di
esecuzione F in cui il programma di
sicurezza deve essere elaborato
secondo i requisiti e le disposizioni di
sicurezza – come nello standard
Progettazione della • Impostazioni per il funzionamento di in Progettazione della periferia F
periferia F (Pagina 50) o Particolarità durante la
sicurezza
progettazione di slave DP standard
• Impostazione del tipo di passivazione fail-safe e di device IO standard fail-safe
(Pagina 74)
• Progettazione dei tempi di controllo
in Tempi di controllo e di reazione
• Definizione della valutazione (Pagina 596);
dell'encoder Manuale F-SM, cap. 3, 9, 10;
• Definizione del comportamento di Manuale F-Module, cap. 2.4, 7;
diagnostica Manuale ET 200eco, cap. 3, 8;
• Altri parametri F Manuale ET 200eco PN, cap. 6;
• Assegnazione del nome Manuale ET 200pro, cap. 2.4, 8;
• Indirizzo PROFIsafe univoco Manuale ET 200iSP, cap. 2.4, 7, 8
Manuale ET 200SP Module, cap. 4
Manuale ET 200MP Module, cap. 4
Manuale ET 200AL Module, cap. 4

Lista di controllo

Programmazione
Progettazione del • Osservanza delle avvertenze e delle in Panoramica della programmazione
programma, definizione (Pagina 104), Struttura del programma di
note per la programmazione
della struttura del sicurezza (S7-300, S7-400) (Pagina 104),
programma Struttura del programma di sicurezza
(S7-1200, S7-1500) (Pagina 106);
Programmazione protezione avviamento
(Pagina 151);
Creazione dei gruppi di • Assegnazione F-FB/F-FC come blocco in Definizione dei gruppi di esecuzione F
esecuzione F (Pagina 128)
Main Safety al blocco da richiamare
(S7-300, S7-400) o F-OB (S7-1200, S7- in Tempi di controllo e di reazione
(Pagina 596)
1500)
• Impostazione del tempo massimo di
ciclo del gruppo di esecuzione F
secondo i requisiti (in base al processo
e alle disposizioni di sicurezza)
• Creazione di DB per la comunicazione
dei gruppo di esecuzione F
• (S7-300, S7-400) Richiamo dei blocchi
Main Safety direttamente negli OB (ad
es. OB 35), FB o FC
• (S7-1200, S7-1500) Richiamo dei
blocchi Main Safety dall'F-OB
Creazione/inserimento dei • Creazione, modifica e salvataggio di in Creazione di blocchi F in FUP/KOP
blocchi F (Pagina 145)
F-FB, F-FC, F-DB secondo i requisiti
della struttura del programma in Indirizzamento della periferia F
(Pagina 152)
• Descrizione: in Realizzazione di una conferma utente
– Accesso della periferia F (Pagina 179)
– Passivazione e reintegrazione della in Riutilizzo dei blocchi F (Pagina 147)
periferia F in Progettazione e programmazione della
– Inserimenti dei blocchi F acquisiti comunicazione (S7-300, S7-400)
(Pagina 192) e Progettazione e
programmazione della comunicazione
– Comunicazione di sicurezza CPU- (S7-1200, S7-1500) (Pagina 248)
CPU in Scambio di dati tra programma utente
– Comunicazione con il programma standard e programma di sicurezza
utente standard (Pagina 187)
Compilazione del — in Compilazione del programma di

programma di sicurezza. sicurezza (Pagina 293)
Implementazione del Controllare se il blocco Main Safety viene in Definizione dei gruppi di esecuzione F
richiamo del programma richiamato direttamente negli OB (ad es. (Pagina 128)
di sicurezza (S7-300, S7- OB 35), FB o FC.
400)

Lista di controllo

Installazione
Configurazione hardware Descrizione del in Panoramica della progettazione
(Pagina 41), Particolarità della
• montaggio progettazione di un sistema F
• cablaggio (Pagina 44);
Manuale F-SM, cap. 5, 6;
Manuale F-Module, cap. 3, 4;
Manuale ET 200eco, cap. 3, 4;
Manuale ET 200eco PN, cap. 4, 5;
Manuale ET 200pro, cap. 2, 3;
Manuale ET 200iSP, cap. 3, 4;
Manuale ET 200SP, cap. 5, 6
Manuale ET 200AL, cap. 4, 5
Manuale ET 200MP, cap. 5, 6
Manuale S7-1500R/H, cap. 5, 6
Manuale SIMATIC Drive Controller, cap. 5,
6
Messa in servizio, test
Inserzione Descrizione della messa in servizio uguale Manuale S7-300 standard;
allo standard Manuale S7-400 standard;
Manuale S7-1500 Software Controller
standard;
Manuale WinAC RTX F
Manuale S7-1500R/H
Manuale SIMATIC Drive Controller
Caricamento del Descrizione in Caricamento dei dati di progetto
programma di sicurezza e (Pagina 295)
del programma utente • Caricamento
in Confronto dei programmi di sicurezza
standard • Identificazione del programma (Pagina 326)
• Confronto di programmi di sicurezza
Test del programma di • Descrizione della disattivazione del in Caricamento dei dati di progetto
sicurezza (Pagina 295); Test del programma di
funzionamento di sicurezza
sicurezza (Pagina 337); disattivazione del
• Procedura per la modifica dei dati del funzionamento di sicurezza (Pagina 333)
programma di sicurezza
Modifiche del programma Descrizione in Modica del programma di sicurezza in
di sicurezza RUN (S7-300, S7-400) (Pagina 344),
• Disattivazione del funzionamento di Modica del programma di sicurezza in
sicurezza RUN (S7-1200, S7-1500) (Pagina 347),
• Modifica del programma di sicurezza disattivazione del funzionamento di
sicurezza (Pagina 333), Eliminazione del
programma di sicurezza (Pagina 126)

Lista di controllo

Controllo dei parametri Descrizione della progettazione in Creazione della stampa di sicurezza
rilevanti per la sicurezza (Pagina 329);
Manuale F-SM, cap. 4, 9, 10;
Manuale F-Module, cap. 2.4, 7;
Manuale ET 200eco, cap. 3, 8;
Manuale ET 200eco, cap. 6;
Manuale ET 200pro, cap. 2.4, 8;
Manuale ET 200iSP, cap. 2.4, 7, 8
Manuale ET 200SP Module, cap. 4
Manuale ET 200MP Module, cap. 4
Manuale ET 200AL Module, cap. 4
Collaudo • Descrizione e avvertenze per il in Collaudo dell'impianto (Pagina 355)
collaudo
• Esecuzione delle stampe
Funzionamento, manutenzione
Informazioni generali sul Avvertenze per il funzionamento in Avvertenze per il funzionamento di
funzionamento sicurezza del programma di sicurezza
(Pagina 377)
Protezione di accesso — in Protezione di accesso (Pagina 95)
Diagnostica Reazione ad errori ed eventi in Guida alla consultazione della
diagnostica (S7-300, S7-400)
(Pagina 384), Guida alla consultazione
della diagnostica (S7-1200) (Pagina 385),
Guida alla consultazione della diagnostica
(S7-1500) (Pagina 385)
Sostituzione dei Descrizione in Sostituzione di componenti hardware e

componenti hardware e software (Pagina 381); Indirizzamento
software • Sostituzione di unità della periferia F (Pagina 152);
• Aggiornamento del sistema operativo Guida a STEP 7
della F-CPU – come nello standard
• Aggiornamento di componenti SW
Note
• Aggiornamento del sistema operativo
di IM
Disinstallazione della • Avvertenze per la disinstallazione della in Installazione/disinstallazione della
licenza, licenza di STEP 7 Safety Basic V18
licenza
Smontaggio (Pagina 29), Installazione/disinstallazione
• Avvertenza per lo smontaggio delle della licenza di STEP 7 Safety Advanced
unità V18 (Pagina 29), Sostituzione di
componenti hardware e software
(Pagina 381)

Glossario
Analisi di discrepanza
L'analisi di discrepanza tra equivalenza/antivalenza viene effettuata sugli ingressi fail-safe per
rilevare gli errori in base all'andamento nel tempo di due segnali con la stessa funzionalità.
L'analisi di discrepanza viene avviata se vengono rilevati livelli diversi in due segnali di
ingresso correlati (durante il controllo di antivalenza: lo stesso livello). Viene verificato se, al
termine di un intervallo di tempo parametrizzabile, il cosiddetto → tempo di discrepanza, la
differenza (durante il controllo di antivalenza: la corrispondenza) non è più presente. In caso
contrario viene rilevato un errore di discrepanza. L'analisi di discrepanza viene effettuata tra i
due segnali di ingresso della valutazione 1oo2 degli encoder (→ valutazione encoder)
nell'ingresso fail-safe.
Avviamento del sistema F

Vedere il capitolo "Note sull'avviamento del sistema F".
Blocchi di sistema F
Blocchi di sistema fail-safe che vengono inseriti automaticamente e richiamati durante la
compilazione del → programma di sicurezza per generare un programma di sicurezza
eseguibile dal programma di sicurezza programmato dall'utente.
Blocchi F
Come blocchi F vengono definiti tutti i blocchi fail-safe:
• che vengono creati dall'utente in KOP o FUP
• che vengono creati dall'utente come → F-DB
• che vengono selezionati dall'utente da una biblioteca globale
• che vengono completati automaticamente nel → programma di sicurezza (→ F-SB, →
blocchi F generati automaticamente, → DB globale F; → DB di periferia F; DB di istanza di
F-FB)
Tutti i blocchi F vengono rappresentati in giallo nella navigazione del progetto.
Blocchi F generati automaticamente

→ Blocchi F che vengono generati automaticamente e, se necessario, richiamati durante la
compilazione del → programma di sicurezza per generare un programma di sicurezza
eseguibile dal programma di sicurezza programmato dall'utente.

Glossario
Blocco Main Safety

"Introductory F-block" per la programmazione fail-safe del → programma di sicurezza in
STEP 7 Safety. Il blocco Main Safety è un → F-FB o → F-FC che viene assegnato dall'utente
all'F-OB (S7-1200, S7-1500) o al blocco (OB, FC, FB) (S7-300, S7-400) di un → gruppo di
esecuzione F.
Il blocco Main Safety contiene il programma di sicurezza o i richiami di altri → F-FB/F-FC per la
strutturazione del programma.
Categoria
Categoria secondo ISO 13849-1:2015 o EN ISO 13849-1:2015
SIMATIC Safety può essere utilizzato nel → funzionamento di sicurezza fino alla categoria 4.
Comunicazione rivolta allo scambio di dati fail-safe.
Comunicazione standard
Comunicazione che consente lo scambio di dati non orientati alla sicurezza
Configurazione hardware
La configurazione hardware comprende la progettazione di CPU standard e periferie standard
nonché la progettazione di F-CPU e periferie F.
Configurazione hardware rilevate per la sicurezza

La configurazione hardware rilevante per la sicurezza comprende i parametri rilevanti per la
sicurezza delle F-CPU e delle periferie F.
CRC
Cyclic Redundancy Check → Valore di prova CRC
Dati di progetto
I dati di progetto comprendono → la configurazione hardware e il → programma utente.
Dati di progetto rilevanti per la sicurezza

I dati di progetto rilevanti per la sicurezza comprendono la configurazione hardware rilevante
per la sicurezza nonché il → programma di sicurezza.

Glossario
Dati di progetto standard

I dati di progetto standard includono la configurazione hardware standard e il → programma
utente standard.
DB di comunicazione F
Blocchi dati fail-safe per la
• comunicazione di sicurezza CPU-CPU tramite collegamenti S7
• comunicazione con Flexible F-Link
DB di periferia F
Blocco dati fail-safe nelle F-CPU per una → periferia F in STEP 7 Safety. Per ciascuna
periferia F, durante la configurazione nell'editor hardware e di rete viene creato
automaticamente un DB di periferia F. Il DB di periferia F contiene variabili che l'utente può o
deve valutare o descrivere nel programma di sicurezza:
• per la reintegrazione della periferia F dopo gli errori di comunicazione
• per la reintegrazione della periferia F dopo gli errori della periferia F/del canale
• se la periferia F deve essere passivata in base a determinati stati del programma di
sicurezza (ad es. passivazione del gruppo)
• per la riparametrizzazione di slave standard DP/device IO standard fail-safe o per
l'abilitazione della comunicazione HART per periferia F con funzionalità corrispondenti
• per valutare se vengono emessi valori sostitutivi o di processo
DB globale F
(S7-300, S7-400) blocco dati fail-safe che contiene dati globali del → programma di sicurezza
e informazioni aggiuntive necessarie per il sistema F. Il DB globale F viene inserito
automaticamente ed esteso durante la compilazione della configurazione hardware. Tramite
il suo nome F_GLOBDB, l'utente può valutare determinati dati del → programma di sicurezza.
DB informativo del gruppo di esecuzione F

Il DB informativo del gruppo di esecuzione F mette a disposizione informazioni centrali sul
rispettivo → gruppo di esecuzione F e sull'intero → programma di sicurezza.
DB per la comunicazione mediante gruppi di esecuzione F

→ F-DB per la comunicazione di sicurezza tra i gruppi di esecuzione F di un programma di
sicurezza.
Depassivazione
→ Reintegrazione

Glossario
Device IO standard fail-safe

I device IO standard fail-safe sono device standard che vengono utilizzati in PROFINET con il
protocollo IO. Devono comportarsi secondo IEC 61784-1:2010 (profili bus di campo) e il
profilo di bus PROFIsafe in V2-MODE. Per la loro progettazione si utilizza un file GSD.
DP/DP Coupler
Dispositivo per l'accoppiamento di due sottoreti PROFIBUS DP, necessario per la
comunicazione master-master tra → programmi di sicurezza in diverse → F-CPU di SIMATIC
Safety e S7 Distributed Safety.
Errore di periferia F
Errori riferiti al modulo o all'unità nella periferia F, ad es. errore di comunicazione o errore di
parametrizzazione
Errori di canale
Errore che riguarda un canale, ad es. rottura conduttore o cortocircuito.
Esperto
Il collaudo di un impianto, ovvero il test di collaudo del sistema in relazione alla sicurezza,
viene solitamente eseguito da un esperto indipendente (ad es. del TÜV).
F-CALL
"Blocco di richiamo F" per il → programma di sicurezza in S7 Distributed Safety.
F-CPU
Una F-CPU è una unità centrale fail-safe, omologata inoltre per l'impiego in SIMATIC Safety e
nella quale è possibile eseguire un → programma di sicurezza oltre al → programma utente
standard.
F-DB
Blocchi dati fail-safe utilizzabili opzionalmente, accessibili in lettura e scrittura all'interno
dell'intero → programma di sicurezza (eccezione: DB per la comunicazione mediante gruppi
di esecuzione F).
F-FB
Blocchi funzionali fail-safe (con DB di istanza), nei quali l'utente programma il → programma
di sicurezza in FUP o KOP.

Glossario
F-FC
FC fail-safe nei quali l'utente programma il → programma di sicurezza in FUP o KOP.
Firma
→ Firma collettiva F
Firma collettiva F-HW

La firma collettiva F-HW contrassegna in modo univoco un determinato stato della
configurazione HW rilevante per la sicurezza. È importante documentare la modifica/non
modifica della configurazione HW rilevante per la sicurezza, ad es. nell'ambito di un collaudo
delle modifiche.
Firma collettiva F-SW

La firma collettiva F-SW contrassegna in modo univoco un determinato stato del programma
di sicurezza. È importate per documentare la modifica/non modifica del programma di
sicurezza, ad es. nell'ambito di un collaudo delle modifiche.
Firma collettiva F
La firma collettiva F contrassegna in modo univoco un determinato stato dei dati di progetto
rilevanti per la sicurezza. È importante per l'identificazione del programma nonché la
certificazione in loco del programma di sicurezza, ad es. tramite → consulenza tecnica.
Firma del programma

→ Firma collettiva F
Firma dell'indirizzo di comunicazione F

La firma dell'indirizzo di comunicazione F è composta dal nome e dagli UUID di
comunicazione F dei collegamenti di comunicazione con Flexible F-Link che viene utilizzato
nel programma di sicurezza.
F-OB
L'F-OB richiama il blocco Main Safety di un gruppo di esecuzione F nelle F-CPU S7-1200/1500.
F-SM
→ unità di ingressi/uscite fail-safe S7-300

Glossario
Funzionamento di sicurezza
1. Modo di funzionamento della → periferia F che consente la → comunicazione di sicurezza
mediante → telegrammi di sicurezza.
2. Modo di funzionamento del programma di sicurezza. Nel funzionamento di sicurezza del
programma di sicurezza tutti i meccanismi di sicurezza per il rilevamento degli errori e la
reazione agli errori sono attivati. In questo stato non è possibile una modifica del
programma di sicurezza durante l'esercizio. Il funzionamento di sicurezza può essere
disattivato dall'utente (→ funzionamento di sicurezza disattivato).
Funzionamento di sicurezza disattivato

Disinserzione temporanea del → funzionamento di sicurezza per scopi di test, messa in
servizio, ecc.
Con la disattivazione del funzionamento di sicurezza viene avviato un timer. Alla scadenza del
timer la → F-CPU passa in STOP. Il tempo per il timer è parametrizzabile.
È possibile solo nel funzionamento di sicurezza disattivato:
• Caricamento di modifiche del → programma di sicurezza nella F-CPU durante l'esercizio
(RUN)
• Funzioni di test come il "Controllo" o altri accessi in scrittura ai dati del → programma di
sicurezza (con limitazioni)
Durante il funzionamento di sicurezza disattivato, la sicurezza dell'impianto deve essere
garantita da altre misure organizzative, ad es. il funzionamento con supervisione e la
disinserzione di sicurezza manuale.
Funzionamento produttivo
Funzionamento di un impianto nell'ambiente di esecuzione predefinito per il quale sono stati
specificati i requisiti di sicurezza e nel quale tutti i requisiti di sicurezza devono essere
rispettati.
Al contrario, i requisiti di sicurezza in un ambiente di test o di simulazione possono essere
implementati solo in misura limitata, poiché il potenziale di pericolo non è completamente
presente (ad es. non sono presenti attuatori fisici da cui può derivare un pericolo).
Funzionamento standard
Modo di funzionamento della → periferia F che non consente la → comunicazione di
sicurezza tra F-CPU attraverso → telegrammi di sicurezza bensì solo la → comunicazione
standard.
Funzione di reazione all'errore

→ Funzione di sicurezza utente

Glossario
Funzione di sicurezza
Meccanismo integrato nella → F-CPU e nella → periferia F, che consente l'impiego nei →
sistemi fail-safe.
Secondo IEC 61508:2010 si tratta di una funzione implementata da un sistema di sicurezza
per mantenere o portare il sistema in uno → stato sicuro in caso si verificassero determinati
errori. (Funzione di reazione all'errore → Funzione di sicurezza utente)
Funzioni di sicurezza utente

La → funzione di sicurezza per il processo può essere fornita da una funzione di sicurezza
utente o da una funzione di reazione all'errore. L'utente programma solo la funzione di
sicurezza utente. In caso di errore, se il → sistema F non è più in grado di eseguire la funzione
di sicurezza utente, viene eseguita la funzione di reazione all'errore: ad es. le relative uscite
vengono disattivate e la → F-CPU passa eventualmente in STOP.
Gruppo di esecuzione F
Il → programma di sicurezza è costituito da uno o due gruppi di esecuzione F. Un gruppo di
esecuzione F è un costrutto logico costituito da diversi → blocchi F correlati, che viene
formato internamente dal sistema F. Un gruppo di esecuzione F è costituito dai seguenti
blocchi F:
→ Blocco Main Safety, F-OB (S7-1200, S7-1500), event. → F-FB/ → F-FC, event. → F-DB, → OB
di periferia F, blocchi F della biblioteca globale, DB di istanza, → F-SB e → blocchi F generati
automaticamente.
I-Device
La funzionalità "I-Device" (IO Device intelligente) di una CPU consente di scambiare dati con
un IO Controller, utilizzando così la CPU ad es. come unità di preelaborazione intelligente di
processi parziali. In questo caso l'I-Device ha il ruolo di un IO Device ed è quindi collegato a un
IO Controller "sovraordinato".
IE/PB Link
Dispositivo per l'accoppiamento di sistemi PROFINET IO e PROFIBUS DP, necessario inoltre per
la comunicazione IO Controller e I-slave tra → programmi di sicurezza in diverse → F-CPU di
SIMATIC Safety.

Glossario
In tutta la CPU
Nel contesto della periferia F, con "in tutta la CPU" si intende tutta la periferia F assegnata a
una F-CPU: periferia F centrale di questa F-CPU e periferia F per la quale la F-CPU è master
DP/IO Controller e periferia F assegnata in uno Shared Device. La periferia F indirizzata tramite
comunicazione I-slave-slave, è assegnata alla F-CPU dell'I-slave e non alla F-CPU del master
DP/IO Controller.
Nel contesto della comunicazione tra CPU e CPU di sicurezza, "in tutta la CPU" comprende tutti
i collegamenti di comunicazione di sicurezza progettati in una F-CPU.
Nel caso di un sistema ridondante S7-1500HF, entrambe le F-CPU del sistema ridondante
S7-1500HF devono essere considerate come una F-CPU.
In tutta la rete
Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di sottorete.
Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite PROFIBUS DP. Con
PROFINET IO una rete comprende tutti i nodi accessibili da RT_Class_1/2/32
(Ethernet/WLAN/Bluetooth, Layer 2) ed event. RT_Class_UDP (IP, Layer 3).
Indirizzo di destinazione F
→ Indirizzo PROFIsafe
Indirizzo di origine F
→ Indirizzo PROFIsafe
Indirizzo PROFIsafe
L'indirizzo PROFIsafe (code name secondo IEC 61784-3-3:2021) serve a mettere in sicurezza i
meccanismi di indirizzamento standard, ad es. gli indirizzi IP. L'indirizzo PROFIsafe è composto
dall'indirizzo di origine F e dall'indirizzo di destinazione F. Ogni → periferia F ha pertanto due
parti di indirizzo, l'indirizzo di origine F e l'indirizzo di destinazione F.
L'indirizzo di origine F viene assegnato automaticamente e visualizzato per slave DP
standard/device IO standard fail-safe e moduli F ET 200SP, moduli F ET 200MP, moduli F
ET 200AL, ET 200eco PN e moduli F S7-1200. L'indirizzo di origine F è sempre 1 nei moduli F
ET 200S, ET 200eco, ET 200pro, ET 200iSP e SM F S7-300. Nei moduli F ET 200SP, moduli F
ET 200MP, moduli F ET 200AL ed ET 200eco PN l'indirizzo di origine F corrisponde al
parametro "Central F-source address" della F-CPU.
L'indirizzo di destinazione F deve essere progettato nell'editor hardware e di rete. Nei
moduli F ET 200S, ET 200eco, ET 200pro, ET 200iSP e SM F S7-300 impostare l'indirizzo di
destinazione F per ciascun interruttore. Nei moduli F ET 200SP, moduli F ET 200MP, moduli F
ET 200AL ed ET 200eco PN assegnare l'indirizzo PROFIsafe nell'editor hardware e di rete. Nei
moduli F S7-1200 l'indirizzo di destinazione F viene assegnato automaticamente dal
sistema F.

Glossario
I-slave
La funzionalità "I-slave" (slave DP intelligente) di una CPU consente di scambiare dati con un
master DP, utilizzando così la CPU ad es. come unità di preelaborazione intelligente di
processi parziali. In questo caso l'I-slave ha il ruolo di uno slave DP ed è collegato a un master
DP di livello superiore.
Istruzione con versione

Istruzione per la quale viene visualizzata una versione nella task card "Istruzioni" nella colonna
"Versione"
Misure organizzative
Nel caso del sistema F SIMATIC Safety si tratta di misure opportune che il gestore
dell'impianto deve definire:
• per garantire la sicurezza dell'impianto in particolari situazioni operative, ad es.:
– funzionamento monitorato e disinserzione di sicurezza manuale
– Istruzioni operative
– istruzioni periodiche
• per proteggere l'impianto dall'utilizzo o dall'accesso non autorizzato, ad es.:
– controllo dell'accesso all'impianto, alla F-CPU o al PG/PC
– Istruzioni operative
– istruzioni periodiche
Moduli di periferia fail-safe

Moduli ET 200AL, moduli ET 200eco e moduli ET 200eco PN, che possono essere utilizzati per
il funzionamento fail-safe (→ funzionamento di sicurezza). Questi moduli dispongono di →
funzioni di sicurezza integrate. Si comportano secondo IEC 61784-1:2010 (profili bus di
campo) e il profilo di bus PROFIsafe.
Moduli F
→ Moduli fail-safe

Glossario
Moduli fail-safe
Moduli fail-safe ET 200SP, ET 200S, ET 200pro, ET 200iSP che possono essere impiegati nel
sistema di periferia decentrata ET 200SP, ET 200S, ET 200pro o ET 200iSP.
Moduli fail-safe S7-1500/ET 200MP che possono essere impiegati centralmente in un S7-1500
o nel sistema di periferia decentrata ET 200MP.
Moduli fail-safe S7-1200 che possono essere impiegati centralmente in un S7-1200.
Questi moduli sono dotati di → funzioni di sicurezza integrate per il funzionamento orientato
alla sicurezza (→ funzionamento di sicurezza). Si comportano secondo il profilo di bus →
PROFIsafe.
Parametri i
Parametri individuali di → slave DP standard fail-safe o → device IO standard fail-safe
Passivazione
Nel caso di una periferia → F con ingressi, i valori sostitutivi (0) vengono forniti dal →
sistema F nella IPI per il programma di sicurezza durante la passivazione anziché i valori di
processo presenti sugli ingressi fail-safe.
Nel caso di una periferia F con uscite, in caso di passivazione il sistema F trasferisce nelle
uscite fail-safe dei valori sostitutivi (0) anziché i valori di uscita forniti dal programma di
sicurezza nella IPU.
Periferia F
Denominazione comune per ingressi e uscite fail-safe disponibili in SIMATIC S7 per
l'integrazione, tra l'altro, in SIMATIC Safety. Sono disponibili:
• → modulo di periferia fail-safe ET 200eco
• → modulo di periferia fail-safe ET 200eco PN
• → modulo di periferia fail-safe ET 200AL
• → unità di ingressi/uscite fail-safe S7-300
• → moduli fail-safe per S7-1200
• → moduli fail-safe per ET 200MP
• → moduli fail-safe per ET 200SP
• → moduli fail-safe per ET 200S
• → moduli fail-safe per ET 200pro
• → moduli fail-safe per ET 200iSP
• → slave DP standard fail-safe
• → device IO standard fail-safe

Glossario

Periferia F nella quale l'univocità dell'indirizzo PROFIsafe può essere garantita solo
dall'indirizzo di destinazione F, come ad es. i moduli F ET 200S. In genere l'indirizzo PROFIsafe
viene assegnato mediante DIL-switch.

Periferia F nella quale l'univocità dell'indirizzo PROFIsafe può essere garantita mediante la
combinazione di indirizzo di origine F e indirizzo di destinazione F, come ad es. i moduli F
S7-1500/ET 200MP. In genere l'indirizzo PROFIsafe viene assegnato con STEP 7 Safety.
PL
Performance Level (PL) secondo ISO 13849-1:2015 o secondo EN ISO 13849-1:2015
SIMATIC Safety può essere utilizzato nel → funzionamento di sicurezza fino AL Performance
Level (PL).
PN/PN Coupler
Dispositivo per l'accoppiamento di due sistemi PROFINET IO, necessario per la comunicazione
IO Controller-IO Controller tra → programmi di sicurezza in diverse → F-CPU di SIMATIC Safety
e S7 Distributed Safety.
PROFIsafe
Profilo di bus fail-safe di PROFIBUS DP e PROFINET IO per la comunicazione tra → programma
di sicurezza e → periferia F in un → sistema F. Vedere IEC 61784-3-3:2021 e PROFIsafe –
Profile for Safety Technology on PROFIBUS DP and PROFINET IO; Order No: 3.192 (V2.6.1).
Programma di sicurezza
Programma utente orientato alla sicurezza
Programma utente
Il programma utente comprende il → programma utente standard e il → programma di
sicurezza.
Programma utente standard

Programma utente non orientato alla sicurezza

Glossario
Protezione del progetto

Una gestione utente (UMAC - User Management and Access Control) per creare e gestire
progetti utente e ruoli. Permette inoltre di proteggere il progetto e di definire gli utenti e le
funzioni che sono autorizzati a eseguire. Per i dati di progetto rilevanti per la sicurezza è
disponibile il diritto di accesso alla funzione "Edit safety-related project data".
→ I sistemi fail-safe devono essere protetti da accessi pericolosi non autorizzati. La protezione
dell'accesso ai sistemi F si realizza assegnando una password per la → F-CPU e una password
o una → protezione del progetto per il → programma di sicurezza.
Protocollo di sicurezza
→ Telegramma di sicurezza
Reintegrazione
La commutazione dai valori sostitutivi (0) a quelli di processo (reintegrazione di una →
periferia F) può essere automatica o avvenire dopo la conferma utente nel DB di periferia F. Il
tipo di reintegrazione dipende:
• causa per la → passivazione della periferia F/dei canali della periferia F
• una parametrizzazione in → DB di periferia F nella progettazione stessa (ad es. moduli F
ET 200MP su una F-CPU S7-1500 e moduli F S7-1200 su una F-CPU S7-1200)
Nella → periferia F con ingressi dopo una reintegrazione vengono messi nuovamente a
disposizione del programma di sicurezza i valori di processo presenti negli ingressi fail-safe
nell'IPI Nella periferia F con uscite il sistema F trasferisce nuovamente alle uscite fail-safe i
valori di uscita messi a disposizione nel programma di sicurezza nell'IPU
RIOforFA-Safety
Remote IO for Factory Automation con PROFIsafe; profilo per la periferia F
S7-PLCSIM
S7-PLCSIM consente di modificare e testare il programma su un sistema di automazione
simulato esistente sul PG/PC. Poiché la simulazione viene realizzata completamente sul PC/PG,
non è necessario un hardware (CPU, periferia).

Il Safety Administration Editor fornisce un supporto durante i compiti principali del
Safety Unit
Software Unit che contiene l'intero programma di sicurezza di una F-CPU.

Glossario
Shared Device
La funzionalità "Shared Device" consente di suddividere i sottomoduli di un IO Device tra
diversi IO Controller.
SIL
Livello di sicurezza (Safety Integrity Level) SIL secondo IEC 61508:2010. Più alto è il Safety
Integrity Level tanto più severe sono le misure per evitare e controllare gli errori sistematici e i
guasti casuali hardware.
Nel funzionamento di sicurezza con SIMATIC Safety è possibile l'utilizzo fino alla classe di
sicurezza SIL3.
Sistemi F
→ Sistemi fail-safe
Sistemi fail-safe
I sistemi fail-safe (sistemi F) sono caratterizzati dalla capacità di rimanere nello stato sicuro o
di commutare direttamente a un altro stato sicuro quando si verificano determinati guasti.
Sistemi ridondanti
I sistemi ridondanti sono caratterizzati dal fatto che importanti componenti di automazione
sono presenti più volte (sono ridondanti). In caso di guasto di uno dei componenti ridondanti
il controllo del processo viene mantenuto attivo.
Slave DP standard fail-safe

Gli slave DP standard fail-safe sono slave standard che vengono utilizzati nel PROFIBUS con il
protocollo DP. Devono comportarsi secondo IEC 61784-1:2010 (profili bus di campo) e il
profilo di bus PROFIsafe. Per la loro progettazione si utilizza un file GSD.
Stampa di sicurezza
La stampa di sicurezza è la documentazione dei dati di progetto rilevanti per la sicurezza, che
forniscono un supporto durante il collaudo dell'impianto. La stampa di sicurezza può essere
utilizzata anche in formato digitale, ad es. come file PDF.
Stato del valore

Lo stato del valore è un'informazione di stato binaria aggiuntiva al valore del canale. Lo stato
del valore viene registrato nell'immagine di processo degli ingressi e fornisce informazioni
sulla validità del valore del canale.
1: Per il valore del canale viene emesso un valore di processo valido.
0: Per il valore del canale viene emesso un valore sostitutivo.

Glossario
Stato di sicurezza
La base dei concetto di sicurezza nei → sistemi fail-safe è l'esistenza di uno stato sicuro per
tutte le grandezze di processo. Nella → periferia F digitale utilizzata secondo IEC 61508:2010,
è sempre il valore "0".
Telegramma di sicurezza
Nel → funzionamento di sicurezza vengono trasmessi dai tra la → F-CPU e → la periferia F o
nella comunicazione di sicurezza CPU-CPU, tra le F-CPU in un telegramma di sicurezza.
Tempo di ciclo F
Il tempo di ciclo F è il tempo che decorre tra i due richiami di un gruppo di esecuzione F.
Viene controllato dalla F-CPU. Non appena supera il tempo massimo del ciclo F (proprietà del
gruppo di esecuzione F), la F-CPU passa allo stato di funzionamento STOP.
(S7-1200, S7-1500): Inoltre il gruppo di esecuzione F dispone di una soglia di avviso. Se il
tempo di ciclo F supera questa soglia di avviso, viene scritta una voce nel buffer di
diagnostica.
Tempo di discrepanza
Tempo parametrizzabile per → l'analisi di discrepanza. Impostando un tempo di discrepanza
troppo elevato, aumentano inutilmente il tempo per il rilevamento dell'errore e il → tempo di
reazione all'errore. Se si imposta un valore troppo basso, la disponibilità si riduce inutilmente
perché, senza un errore effettivo, verrà individuato un errore di discrepanza.
Tempo di reazione all'errore

In un sistema F il tempo massimo di reazione all'errore è il tempo che trascorre dal momento
in cui si verifica un errore qualsiasi fino al momento in cui tutte le uscite fail-safe interessate
hanno una reazione di sicurezza.
Tipo di dati PLC conforme a F (UDT)

Un tipo di dati PLC conforme F (UDT) è un tipo di dati PLC (UDT) nel quale è possibile
utilizzare tutti i tipi di dati utilizzabili anche dei programma di sicurezza.
Unità di ingressi/uscite fail-safe S7-300

Unità di ingressi/uscite fail-safe della serie di unità S7-300, che possono essere utilizzate
centralmente per il funzionamento orientato alla sicurezza (→ funzionamento di sicurezza) in
una S7-300 o nel sistema di periferia decentrata ET 200M. Le unità di ingressi/uscite fail-safe
sono dotate di → funzioni di sicurezza integrate. Si comportano secondo il profilo di bus →
PROFIsafe.

Glossario
Valore di prova CRC

La validità dei valori di processo contenuti → nel telegramma di sicurezza, la correttezza delle
relazioni tra gli indirizzi assegnati e i parametri rilevanti per la sicurezza vengono verificati con
un valore di prova CRC contenuto nel telegramma di sicurezza.
Valutazione encoder
La valutazione encoder può essere di due tipi:
• Valutazione 1oo1: il segnale dell'encoder viene letto una volta
• Valutazione 1oo2: il segnale dell'encoder viene letto due volte dalla stessa → periferia F e
confrontato internamente

Indice analitico
Validità, 96, 101
Avviamento, 151, 169
=
=, 411
B
Barriera ottica, 435
A Barriere ottiche a riflessione, 435
Bit di stato OV
ABS, 526
interrogazione, 576, 578
Accessi Slice, 116
interrogazione se negato, 577
Accesso
Blocco dati, 188
alle variabili del DB di periferia F, 167
Blocco dati globale
Accesso al DB completamente qualificato, 118, 167
Apertura, 557
Accesso al DB, completamente qualificato, 118, 167
Blocco di riavviamento
Accesso al DB, non completamente qualificato, 119
in caso di interruzione della barriera ottica, 435, 447
Accesso alla periferia F, 152
MUT_P, 447
durante l'esercizio, 344
MUTING, 435
Limitazioni in RUN, 346
Blocco F
tramite l'immagine di processo, 152, 234
copia, 146
ACK_GL, 479
elimina, 126
ACK_NEC, 162
Blocco Main Safety, 110, 145
ACK_OP, 567
BO_W, 539
ACK_REI, 162
Box vuoto
ACK_REQ, 166
Inserimento di un elemento FUP, 390
ADD, 511
Inserimento di un elemento KOP, 387
Aggiornamento
Progetti, 35, 36, 37
Aggiornamento del sistema operativo, 381
C
Aggiornamento firmware, 381
Ampliamenti futuri, 54 Cancellazione totale, 337
AND, 407, 559, 559 Caricamento
Approvazioni, 4 Configurazione hardware, 295
Area di trasferimento, 250 Programma di sicurezza, 295
Area indirizzo di destinazione F, 47 Programma utente standard, 295
Area operandi Caricamento del programma utente standard, 295
per il programma di sicurezza, 115 Categoria, 21
Array F Centro di formazione, 3
Lettura, 529, 531 Certificato TÜV, 358
Assegnazione, 396, 411 Ciclo di vita dei sistemi di automazione fail-safe, 605
Assegnazione dell'indirizzo Classe di sicurezza, 21
Regole, 65, 67 CMP <, 509
Attivazione CMP <=, 507
Funzionalità F, 46 CMP <>, 504
Funzionamento di sicurezza, 336 CMP ==, 503
Attivazione / disattivazione della funzionalità F, 46 CMP >, 508
Autorizzazione di accesso CMP >=, 506
annullamento, 101 Collaudo, 74
configurazione per la F-CPU, 101 dell'impianto, 355

Indice analitico
di modifiche rilevanti per la sicurezza, 372 Comunicazione del gruppo di esecuzione

Collaudo di modifiche rilevanti per la sicurezza, 372 F, 131, 134, 138, 141
Collaudo di un impianto, 355 Limitazioni in RUN, 344
Collegamento S7 Tempo di controllo, 601
Comunicazione di sicurezza, 235 Comunicazione di sicurezza IO Controller-I-
Comando, 331 slave, 234, 280
Programma di sicurezza, 337, 337 Comunicazione di sicurezza I-slave-I-slave
Combinazione logica di bit Limiti della trasmissione di dati, 222
AND, 407 Progettazione, 223
Assegnazione, 396, 411 Programmazione, 220
Contatto normalmente aperto, 393 Comunicazione di sicurezza I-slave-slave
Contatto normalmente chiuso, 394 Limiti della trasmissione di dati, 234
Impostazione dell'uscita, 398, 413 Progettazione, 229
Impostazione/reset flipflop, 399, 414 Comunicazione di sicurezza master-I-slave
Inserisci ingresso binario, 392 Limiti della trasmissione di dati, 222, 279
Interrogazione del fronte di discesa del segnale del Progettazione, 218, 274
RLO, 406, 420 Programmazione, 220, 277
Interrogazione del fronte di discesa del segnale di Comunicazione di sicurezza master-master
un operando, 403, 418 Limiti della trasmissione di dati, 212, 268
Interrogazione del fronte di salita del segnale del Progettazione, 203, 259
RLO, 404, 419 Programmazione, 209, 264
Interrogazione del fronte di salita del segnale di un Comunicazione di sicurezza tra CPU e
operando, 402, 417 CPU, 41, 192, 248, 289, 588
Inversione di RLO, 392, 395 DB di comunicazione F, 238
OR, 408 Limitazioni in RUN, 344
OR ESCLUSIVO, 409 Possibilità, 41
Reset dell'uscita, 396, 412 RCVDP, 579
Reset/impostazione flipflop, 400, 415 SENDDP, 579
Combinazioni logiche a parola verifica della correttezza, 367
AND, 559 Comunicazione di sicurezza tra gruppi di esecuzione
OR, 560 F, 138
OR ESCLUSIVO, 561 Comunicazione di sicurezza tra IO Controller e I-Device
Completezza Limiti della trasmissione di dati, 217, 274
Controllo della stampa, 357 Progettazione, 212, 268, 290
Componenti F, 41 Programmazione, 215, 271
Componenti hardware, 23 Comunicazione di sicurezza tra IO Controller e IO
Componenti software, 23, 381 Controller
Comportamento Limiti della trasmissione di dati, 203, 259
dopo errori della periferia F/di canale, 173 Progettazione, 195, 250
dopo errori di comunicazione, 171 Programmazione, 200, 255
dopo l'avviamento, 169 Comunicazione di sicurezza tramite collegamenti S7
Comportamento all'avviamento Limiti della trasmissione di dati, 241
MUT_P, 447 Progettazione, 235
RCVDP, 579 Comunicazione tra CPU e CPU, 41
RCVS7, 588 Orientata alla sicurezza, opzioni della, 41
SENDDP, 579 Panoramica della comunicazione di
SENDS7, 588 sicurezza, 192, 248, 289
Comunicazione Conferma
Programma utente standard e programma di Errori di canale, 52
sicurezza, 188, 189 fail-safe, 567
Tempo di controllo, 600, 601 Conferma fail-safe, 567, 573
Conferma utente, 179, 184, 435

Indice analitico
Esempio, 183 D
Sistema di servizio e supervisione, 180, 181
Dati locali, 118
Configurazione hardware, 45
DB di istanza, 119, 145
caricamento, 295
DB di periferia F, 110, 160
verifica della correttezza, 360
Accesso a, 159, 167
Configurazioni supportate, 62
Configurazione di DIAG, 166
Confronto
Nome, 53, 167
Programmi di sicurezza, 326
Numero, 53, 167
Confronto offline-offline di programmi di sicurezza, 327
DB globale F, 149, 188, 334
Contatto normalmente aperto, 393
DB informativo del gruppo di esecuzione F, 149
Contatto normalmente chiuso, 394
Device IO standard fail-safe
Conteggio
progettazione, 74
all'indietro, 498
DIAG
in avanti, 496
DB di periferia F, 166
In avanti e all'indietro, 500
ESTOP1: OFF di emergenza fino alla categoria di
Conteggio all'indietro, 498
arresto 1, 422
Conteggio in avanti, 496
EV1oo2DI: Valutazione 1oo2 (2v2) con analisi di
Conteggio in avanti e all'indietro, 500
discrepanza, 459
Controlli
FDBACK: Monitoraggio feedback, 467
tramite il sistema F, 63
MUT_P: Muting parallelo, 447
Controllo del programma
MUTING: Muting, 435
Apertura del blocco dati globale, 557
RCVS7, 588
Etichetta di salto, 554
SENDDP/RCVDP, 579
Salto all'indietro, 555
SENDS7, 588
Salto se RLO = 0, 552
SFDOOR: Sorveglianza del riparo di protezione, 473
Salto se RLO = 1, 550
TWO_H_EN: Controllo a due mani con
Controllo della versione del programma, 370
abilitazione, 430
Controllo di configurazione, 54
Diagnostica
Controllo di plausibilità, 189
Guida alla consultazione, 385, 385
Trasferimento dei dati tra programma standard e
sistema fail-safe, 384
programma di sicurezza, 370
Diagnostica cumulativa delle unità di ingressi/uscite fail-
Conversione
safe, 54
Dati, 539, 542
Diagrammi temporali, 435, 447, 579
Valore, 538
RCVDP, 579
Conversione dei dati, 539, 542
SENDDP, 579
Conversione del tipo di dati, 116
Dimensione dei blocchi F generati
CONVERT, 538
automaticamente, 294
Correttezza
DISABLE, 164
comunicazione di sicurezza CPU-CPU, 367
Disattivazione
Configurazione hardware, 360
Funzionalità F, 46
Costante
Funzionamento di sicurezza, 332, 333
booleana, 117
Disinstallazione
FALSE, 117
STEP 7 Safety, 29, 30, 30
TRUE, 117
Dispositivi di simulazione nel sistema F, 377
CPU con funzionalità F, (Vedere F-CPU)
Dispositivo di trasporto, fermo, 435
Crea complemento a due, 523
DIV, 519
Cronologia delle modifiche F, 354
Divisione, 519
CTD, 498
DP/DP Coupler, 203, 259
CTU, 496
durante il funzionamento, 344
CTUD, 500

Indice analitico
E reset/impostazione, 400, 415

F-OB, 53, 110, 133
Elemento FUP
copia, 146
inserimento, 390
Funzionamento
Elemento KOP
RCVDP, 579
inserimento, 387
RCVS7, 588
Eliminazione
SENDDP, 579
Blocchi F, 126
SENDS7, 588
EN, 113
Funzionamento di sicurezza
ENO, 113
Attivazione, 336
Errore canale F, emissione del valore sostitutivo, 157
disattivazione, 332, 333
Errore di comunicazione, 171, 579
Funzionamento produttivo, 95
SENDDP/RCVDP, 579
Funzione di reazione all'errore, 9, 22
Errore di discrepanza, 435
Funzione di sicurezza, 22
Errore di periferia F / di canale, 173
Calcolo del tempo di reazione, 602
Errore di periferia F, emissione del valore
Esempio, 22
sostitutivo, 157
Funzioni di sicurezza
Errori di canale, 52, 173
ACK_GL: Conferma globale di tutta la periferia F di
Conferma, 52
un gruppo di esecuzione F, 479
Errori di compilazione
ESTOP1: OFF di emergenza fino alla categoria di
Messaggio, 293
arresto 1, 422
ESTOP1, 422
EV1oo2DI: Valutazione 1oo2 (2v2) con analisi di
Etichetta di salto, 554
discrepanza, 459
EV1oo2DI, 459
FDBACK: Monitoraggio feedback, 467
MUT_P: Muting parallelo, 447
MUTING: Muting, 435
F
SFDOOR: Sorveglianza del riparo di protezione, 473
F_CRC_Seed, 76 TWO_H_EN: Controllo a due mani con
F_IO_StructureDescCRC, 75, 76 abilitazione, 430
F_Passivation, 76 TWO_HAND: Controllo a due mani, 427
F-CPU, 41, 101 Funzioni di sicurezza utente, 3, 22
Configurazione dell'autorizzazione di accesso, 101 Funzioni matematiche
migrazione, 34 Crea complemento a due, 523
passaggio in STOP, 377 Divisione, 519
progettazione, 45 Generazione del valore assoluto, 526
F-DB, 110 Moltiplicazione, 517
creazione, 145 Somma, 511
DB globale F, 149 Sottrazione, 514
per la comunicazione del gruppo di esecuzione
F, 138
FDBACK, 467 G
F-FB, 110, 145
Generazione del valore assoluto, 526
F-FC, 110, 145
Getting Started, 40
File GSD
Gruppo di esecuzione F, 104, 106, 110
Progettazione, 74
Comunicazione di sicurezza, 138
Firma, 37
definizione, 131, 134
Firma collettiva F, 334
elimina, 144
Firma dei gruppi di esecuzione F, 149
Impostazione predefinita, 130, 133
Flexible F-Link, 93, 141, 283
modifica, 144, 144
Tempo di controllo F, 601
Regole, 128
Flipflop
Tempo di ciclo massimo, 131, 134, 601
Impostazione/reset, 399, 414

Indice analitico
I Modifica
collaudo, 372
Identificativo HW, 579
Dati del programma di sicurezza, 337
IE/PB Link, 234, 280
del programma di sicurezza in RUN, 344, 347
Immagine
riconoscimento, 372
creazione, 316
modifiche non supportate, 347
importazione, 316
Moltiplicazione, 517
Immagine di processo, 53, 152, 188
MOVE, 527
Importazione di immagini, 316
MUL, 517
Impulso
MUT_P, 447
generazione, 481
MUTING, 435
Indirizzo di destinazione F, 64, 66
Indirizzo di destinazione PROFIsafe, 47
Indirizzo di origine F, 48, 66
Indirizzo di origine F centrale, 48
N
Indirizzo PROFIsafe
assegnazione, 68, 69, 72, 75 N, 403, 418
modifica, 74 N_TRIG, 406, 420
Raccomandazioni, 61 NEG, 523
Inserisci ingresso binario, 392 NOT, 395
Installazione
STEP 7 Safety, 29, 30, 30
Invio e ricezione di dati tramite collegamenti S7, 588 O
IPAR_EN, 163
Operando
IPAR_OK, 166
interrogazione del fronte di discesa del
Istruzioni
segnale, 403, 418
controllo per il collaudo, 358
interrogazione del fronte di salita del
Interrogazione bit di stato OV, 578
segnale, 402, 417
per il programma di sicurezza, 111
Operazioni di confronto
Diverso, 504
Maggiore, 508
J
Maggiore o uguale, 506
JMP, 550 Minore, 509
JMPN, 552 Minore o uguale, 507
Uguale, 503
Operazioni di conversione
L Conversione da BOOL a WORD, 539
Conversione da WORD a BOOL, 542
LABEL, 554
Conversione del valore, 538
Lista di controllo, 605
Scala dei valori, 545
Livello di protezione della F-CPU, 50
Scala dei valori nel tipo di dati DINT, 547
Operazioni di trasferimento
Copia del valore, 527
M
Lettura dell'array F, 529, 531
Memoria di lavoro richiesta del programma di Lettura indiretta del valore da un F-DB, 536
sicurezza, 294 Scrivi indirettamente valore in un F-DB, 534
Merker, 188 OPN, 557
Migrazione OR, 408, 560, 560
da S7 Distributed Safety, 30, 238 OR ESCLUSIVO, 409, 561
F-CPU, 34 OV, 576, 577, 578
Stampa, 330
Modalità Fast Commissioning, 347

Indice analitico
P comando, 331, 337, 337

confronto, 326
P, 402, 417
creazione automatica, 49
P_TRIG, 404, 419
elimina, 144
Parametri, 447
Emissione del valore sostitutivo, 157
rilevanti per la sicurezza, 45
Istruzioni, 111
Parametri di diagnostica, 384
Memoria di lavoro richiesta, 294
Parametri F, 44
Password, 96
Parametri rilevanti per la sicurezza, 45
Revisione del codice, 356
PASS_ON, 161
Struttura, 104, 106
PASS_OUT, 165
supervisione, 331, 337, 337
Passivazione
Test, 337
canale per canale, 52
Test funzionale, 331
Emissione del valore sostitutivo, 157
Tipi di dati, 113
Periferia F, 168
Programmazione
Passivazione della periferia F, 168
Controlli di plausibilità, 189
dopo errori della periferia F/di canale, 173
Panoramica, 104
dopo errori di comunicazione, 171
Passivazione di gruppo, 177
dopo l'avviamento, 169
Protezione avviamento, 151
Programmazione di DB di comunicazione F, 238
Protezione avviamento, 151
Password, 334
Protezione contro il riavviamento, 151
F-CPU, 101
Protezione di accesso, 95, 95
Programma di sicurezza, 96
a livello del progetto, 98
Performance Level, 21
configurazione per il programma di sicurezza, 96
Periferia F, 41
dati di progetto rilevanti per la sicurezza, 96
Estrazione e inserimento durante l'esercizio, 381
In tutta la CPU, 96
indirizzamento, 152
per la F-CPU, 99
progettazione, 50
tramite misure organizzative, 101
Reintegrazione, 158, 169, 171, 173
UMAC, 98
PLCSIM, 331, 337
Punti di arresto, 339
PN/PN Coupler, 195, 250
Primi passi, 40
Processo di muting
Q
con 4 sensori muting, 435
con barriere ottiche a riflessione, 435 QBAD, 165, 167, 168
PROFIBUS DP, 23 QBAD_I_xx, 165
PROFINET IO, 23 QBAD_O_xx, 165
Progettazione
device IO standard fail-safe, 74
di componenti F, 44 R
F-CPU, 45
R, 396, 412
Panoramica, 41
Raccomandazioni
Particolarità, 44
Indirizzo PROFIsafe, 61
Periferia F, 50
RCVDP, 199, 200, 208, 209, 215, 215, 220, 220, 254, 2
Shared Device, 59
55, 263, 264, 271, 271, 277, 277, 334, 579
slave DP standard fail-safe, 74
Comportamento in caso di errori di
Progetti
comunicazione, 579
aggiornamento, 35, 36, 37
migrazione da S7 Distributed Safety, 30
Diagrammi temporali, 579
Programma di sicurezza, 23
Ricezione di dati, 579
caricamento, 295
RCVS7, 237, 238, 334, 588
Coerenza online, 369

Indice analitico
RD_ARRAY_I, 529, 531 Invio di dati, 579

RD_FDB, 536 SENDS7, 237, 238, 334, 588
Realizzazione di una conferma utente, 184 SFDOOR, 473
Regole Shared Device
Assegnazione dell'indirizzo, 65, 67 progettazione, 59
per il test, 337 SHL, 565
Reintegrazione della periferia F, 158, 162, 168 SHR, 562
dopo errori della periferia F/di canale, 173 Sicurezza di funzionamento dell'impianto, 9
dopo errori di comunicazione, 171 SIL, 21
dopo l'avviamento del sistema F, 169 SIMATIC Safety, 3, 21
in caso di passivazione di gruppo, 177 Componenti hardware e software, 23
Programmazione di una conferma utente, 179, 184 Presentazione del prodotto, 21
Requisiti di sicurezza, 9, 21 Principio delle funzioni di sicurezza, 22
Requisiti software, 29, 29, 30 Programma di sicurezza, 23
RET, 555 Software di progettazione e di programmazione, 23
Rete Simulazione, 331
inserimento, 387, 390 Sistema F
Revisione del codice del programma di sicurezza, 356 Controlli, 63
Ritardo alla disinserzione, 491 Tempo di controllo, 596
Ritardo all'inserzione, 486 Tempo di reazione, 596
RLO Sistema fail-safe, (Vedere SIMATIC Safety)
interrogazione del fronte di discesa del Slave DP standard fail-safe
segnale, 406, 420 progettazione, 74
interrogazione del fronte di salita del Somma, 511
segnale, 404, 419 Sorveglianza
inverti, 392, 395 Controllo a due mani, 427, 430
RS, 400, 415 Sostituzione
RUN, 344 Componenti software, 381
Sottrazione, 514
Spostamento e rotazione
S Spostamento verso destra, 562
Spostamento verso sinistra, 565
S, 398, 413
Spostamento verso destra, 562
S7-PLCSIM, 331, 337
Spostamento verso sinistra, 565
Test con, 340
SR, 399, 414
Safety Administration Editor, 77
Stampa di sicurezza, 74, 356
Salto
Stato del valore, 154, 165
Se RLO = 0, 552
STEP 7 Safety, 23
Se RLO = 1, 550
Convenzioni di scrittura, 7
Salto all'indietro, 555
Documentazione, 4
Scala
Nozioni di base, necessarie, 3
Valori, 545, 547
Panorama informativo, 4
SCALE, 545
Service & Support, 3
SCALE_D, 547
ulteriore supporto, 3
Scambio di dati
STOP, 377
tra programma utente standard e programma di
STP, 377
sicurezza, 187
Struttura del programma di sicurezza, 104, 106
SENDDP, 199, 200, 208, 209, 215, 215, 220, 220, 254,
SUB, 514
255, 263, 264, 271, 271, 277, 277, 334, 579
Supervisione, 331
Comportamento in caso di errori di
Programma di sicurezza, 337, 337
comunicazione, 579
Diagrammi temporali, 579

Indice analitico
T U
Tabella di controllo, 339 UMAC, 98
Tabella di verità Uscita
AND, 408 impostazione, 398, 413
OR, 409 Reset, 396, 412
OR ESCLUSIVO, 410 UUID di comunicazione F, 93
Tempo di ciclo
Gruppo di esecuzione F, 131, 134
massimo, 597 V
Tempo di controllo del, 599
V2-MODE, 74
Tempo di ciclo F, tempo di controllo, 599
Valore
Tempo di ciclo massimo, 597, 601
Conversione, 538
Tempo di controllo, 596, 597
copia, 527
Comunicazione tra F-CPU e periferia F, 600
lettura indiretta da un F-DB, 536
Comunicazione tra I-slave e I-slave, 600
scala, 545
Comunicazione tra le F-CPU, 601
scala nel tipo di dati DINT, 547
Tempo di ciclo F, 599
scrivi indirettamente in un F-DB, 534
Tempo di controllo F, 48, 53, 597
Valore sostitutivo, 139, 157
Comunicazione F, 93
Variabile
Tempo di reazione del sistema F, 596, 602
DB di periferia F, 160
Tempo di sicurezza del processo, 602
supervisione/comando, 337
Temporizzatori
Variabile di diagnostica, 384
Generazione del ritardo alla disinserzione, 491
Generazione del ritardo all'inserzione, 486
Generazione dell'impulso, 481
W
Test del cablaggio, 337
Test del programma di sicurezza, 337 W_BO, 542
Test funzionale del programma di sicurezza, 331, 356 WR_FDB, 534
Test periodico, 381
TIMEOUT, 597, 601
Tipi di dati X
per il programma di sicurezza, 113
X, 409
Tipi di parametri, 113
XOR, 561
Tipo di dati PLC
conforme a F, 120
Tipo di dati PLC conforme a F (UDT), 120
Tipo di indirizzo PROFIsafe, 41
Tipo di indirizzo PROFIsafe 1, 47
Tipo di indirizzo PROFIsafe 2, 48
TOF, 491
TON, 486
TP, 481
Trasferimento dei dati
dal programma di sicurezza al programma utente
standard, 188
dal programma utente standard al programma di
sicurezza, 189
TWO_H_EN, 430
TWO_HAND, 427


Progfailitit It It

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Progfailitit It It

Caricato da

Copyright:

Formati disponibili

SIMATIC Safety - Progettazione e programmazione

Presentazione del prodotto 1

Accesso alla periferia F 6

Istruzioni STEP 7 Safety V18 13

11/2022 Lista di controllo B

Siemens AG A5E52320364-AM Copyright © Siemens AG 2011 - 2022.

Scopo della documentazione

Nozioni di base necessarie

SIMATIC Safety - Progettazione e programmazione

• Sistemi di periferia decentrata connessi a

Campo di validità della documentazione

Classificazione nel panorama informativo

SIMATIC Safety - Progettazione e programmazione

Nella presente documentazione si fa riferimento ai punti idonei di queste documentazioni.

Documentazione Sintesi dei contenuti rilevanti

SIMATIC Safety - Progettazione e programmazione

Documentazione Sintesi dei contenuti rilevanti

SIMATIC Safety - Progettazione e programmazione

Documentazione Sintesi dei contenuti rilevanti

L'intera documentazione SIMATIC S7 è disponibile su DVD. Per ulteriori informazioni vedere in

Guida alla consultazione

SIMATIC Safety - Progettazione e programmazione

SIMATIC Safety - Progettazione e programmazione

Nota importante per il mantenimento della sicurezza di funzionamento dell'impianto

SIMATIC Safety - Progettazione e programmazione

Siemens Industry Online Support

SIMATIC Safety - Progettazione e programmazione

Avvertenze importanti ........................................................................................................................... 3

SIMATIC Safety - Progettazione e programmazione

2.14 Particolarità durante la progettazione di slave DP standard fail-safe e di device IO

SIMATIC Safety - Progettazione e programmazione

5.2.8 Modifica del gruppo di esecuzione F (S7-1200, S7-1500).................................................. 144

SIMATIC Safety - Progettazione e programmazione

SIMATIC Safety - Progettazione e programmazione

9.2.3.1 Progettazione della comunicazione di sicurezza master-master ......................................... 259

SIMATIC Safety - Progettazione e programmazione

SIMATIC Safety - Progettazione e programmazione

11.6 Completezza e correttezza della configurazione hardware ................................................ 360

SIMATIC Safety - Progettazione e programmazione

13.2.2.4 =: Assegnazione (STEP 7 Safety V18) ................................................................................ 411

SIMATIC Safety - Progettazione e programmazione

SIMATIC Safety - Progettazione e programmazione

Glossario ............................................................................................................................................ 611

SIMATIC Safety - Progettazione e programmazione

Sistema fail-safe SIMATIC Safety

Il sistema F SIMATIC Safety serve al comando di processi che mediante disinserzione

Requisiti di sicurezza raggiungibili

SIMATIC Safety - Progettazione e programmazione

Sicurezza funzionale in SIMATIC Safety

Esempio per la funzione di sicurezza utente e la funzione di reazione all'errore

SIMATIC Safety - Progettazione e programmazione

1.2 Componenti hardware e software

Componenti hardware e software di SIMATIC Safety

Componenti hardware per PROFIBUS DP

SIMATIC Safety - Progettazione e programmazione

In un sistema F SIMATIC Safety su PROFIBUS DP possono essere impiegati i seguenti CP/CM

Componenti hardware per PROFINET IO

Componenti hardware per la configurazione centrale

SIMATIC Safety - Progettazione e programmazione

La progettazione della F-CPU e della periferia F e la programmazione dei blocchi F devono

TIA Portal Cloud Connector

SIMATIC Safety - Progettazione e programmazione

SIMATIC Safety - Progettazione e programmazione

SIMATIC Safety - Progettazione e programmazione