Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Progfailitit It It
Progfailitit It It
Avvertenze importanti
2
SIMATIC Progettazione
Safety Administration
Editor 3
Software industriale
SIMATIC Safety - Progettazione e 4
Protezione di accesso
programmazione
Programmazione 5
Manuale di programmazione e d'uso
Comunicazione di sicurezza 9
Compilazione e messa in
servizio del programma di 10
sicurezza
Collaudo dell'impianto 11
Funzionamento e
manutenzione 12
PERICOLO
questo simbolo indica che la mancata osservanza delle opportune misure di sicurezza provoca la morte o gravi
lesioni fisiche.
AVVERTENZA
il simbolo indica che la mancata osservanza delle relative misure di sicurezza può causare la morte o gravi lesioni
fisiche.
CAUTELA
indica che la mancata osservanza delle relative misure di sicurezza può causare lesioni fisiche non gravi.
ATTENZIONE
indica che la mancata osservanza delle relative misure di sicurezza può causare danni materiali.
Nel caso in cui ci siano più livelli di rischio l'avviso di pericolo segnala sempre quello più elevato. Se in un avviso di
pericolo si richiama l'attenzione con il triangolo sul rischio di lesioni alle persone, può anche essere
contemporaneamente segnalato il rischio di possibili danni materiali.
Personale qualificato
Il prodotto/sistema oggetto di questa documentazione può essere adoperato solo da personale qualificato per il
rispettivo compito assegnato nel rispetto della documentazione relativa al compito, specialmente delle avvertenze
di sicurezza e delle precauzioni in essa contenute. Il personale qualificato, in virtù della sua formazione ed
esperienza, è in grado di riconoscere i rischi legati all'impiego di questi prodotti/sistemi e di evitare possibili
pericoli.
Uso conforme alle prescrizioni di prodotti Siemens
Si prega di tener presente quanto segue:
AVVERTENZA
I prodotti Siemens devono essere utilizzati solo per i casi d’impiego previsti nel catalogo e nella rispettiva
documentazione tecnica. Qualora vengano impiegati prodotti o componenti di terzi, questi devono essere
consigliati oppure approvati da Siemens. Il funzionamento corretto e sicuro dei prodotti presuppone un trasporto,
un magazzinaggio, un’installazione, un montaggio, una messa in servizio, un utilizzo e una manutenzione
appropriati e a regola d’arte. Devono essere rispettate le condizioni ambientali consentite. Devono essere
osservate le avvertenze contenute nella rispettiva documentazione.
Marchio di prodotto
Tutti i nomi di prodotto contrassegnati con ® sono marchi registrati della Siemens AG. Gli altri nomi di prodotto
citati in questo manuale possono essere dei marchi il cui utilizzo da parte di terzi per i propri scopi può violare i
diritti dei proprietari.
Esclusione di responsabilità
Abbiamo controllato che il contenuto di questa documentazione corrisponda all'hardware e al software descritti.
Non potendo comunque escludere eventuali differenze, non possiamo garantire una concordanza perfetta. Il
contenuto di questa documentazione viene tuttavia verificato periodicamente e le eventuali correzioni o modifiche
vengono inserite nelle successive edizioni.
Nota
Il manuale di programmazione e d'uso "SIMATIC Safety - Progettazione e programmazione"
nella sua versione attuale (event. comprese le informazioni sul prodotto contenute nel
manuale) è la fonte autorevole per tutte le informazioni sulla sicurezza funzionale relative alla
progettazione e alla programmazione. Ciò vale anche in caso di discrepanze tra il presente
manuale e altre documentazioni sulla sicurezza funzionale relative alla progettazione e alla
programmazione di SIMATIC Safety.
È necessario osservare tutte le avvertenze riportate nel manuale di programmazione e d'uso
"SIMATIC Safety - Progettazione e programmazione".
Nota
Denominazione di versione per STEP 7 Safety Advanced V18 e STEP 7 Safety Basic V18
I programmi STEP 7 Safety Advanced V18 e STEP 7 Safety Basic V18 forniti hanno la
denominazione di versione V18.0.1.0.
Per questo motivo, la denominazione di versione, ad. es. sul display e sulla stampa di
sicurezza, viene rappresentata come V18 SP1.
Approvazioni
Il sistema F SIMATIC Safety è certificato per l'impiego nel funzionamento di sicurezza fino a:
• Classe di sicurezza (Safety Integrity Level) SIL3 secondo IEC 61508:2010
• Performance Level (PL) e categoria 4 secondo ISO 13849-1:2015 o secondo
EN ISO 13849-1:2015
Convenzioni
Valgono le seguenti convenzioni:
• Nella presente documentazione i termini "tecnica di sicurezza" e "tecnica F" vengono
utilizzati come sinonimi. Lo stesso vale per i termini "fail-safe" e "F".
• I "Sistemi F" includono i sistemi ridondanti S7-1500HF. Le particolarità e le limitazioni dei
sistemi H sono descritte nel Manuale di sistema "Sistema ridondante S7-1500R/H
(https://support.industry.siemens.com/cs/ww/it/view/109754833)" e valgono anche per i
sistemi ridondanti S7-1500HF.
• "STEP 7 Safety V18" indica sia "STEP 7 Safety Advanced V18" che "STEP 7
Safety Basic V18".
• "(S7-300)" significa che la rispettiva sezione è valida solo per F-CPU S7-300. F-CPU S7-300
includono anche le F-CPU ET 200S ed ET 200pro (IM F-CPU).
• "(S7-400)" significa che la rispettiva sezione è valida solo per F-CPU S7-400 e per WinAC
RTX F.
• "(S7-1200)" significa che la rispettiva sezione è valida solo per F-CPU S7-1200.
• "(S7-1500)" significa che la rispettiva sezione è valida solo per F-CPU S7-1500. Le F-CPU
S7-1500 includono anche le HF-CPU S7-1500, le F-CPU ET 200SP, la CPU 151xpro F-2 PN, il
Software Controller S7-1500 F e il SIMATIC Drive Controller. In caso di eccezioni, queste
sono indicate.
Sono possibili combinazioni di campi di validità.
Il termine Programma di sicurezza si riferisce alla parte fail-safe del programma utente e
viene utilizzato al posto del "programma utente fail-safe", "programma F", ecc. Per
differenziare, la parte non basate sulla sicurezza del programma utente viene definita
"programma utente standard".
La configurazione hardware comprende la progettazione di CPU standard e periferie
standard nonché la progettazione di F-CPU e periferie F.
La configurazione hardware rilevante per la sicurezza comprende i parametri rilevanti per
la sicurezza delle F-CPU e delle periferie F.
I Dati di progetto rilevanti per la sicurezza comprendono la configurazione hardware
rilevante per la sicurezza e il programma di sicurezza.
Nota
Le avvertenze sono contrassegnate da un numero univoco alla fine del testo. In questo modo
è possibile rinviare facilmente ad altri documenti, ad esempio per avere una panoramica dei
requisiti di sicurezza dell'impianto.
Ulteriore supporto
Per tutte le domande sull'utilizzo dei prodotti descritti nel manuale che non trovano risposta
nella documentazione, rivolgersi al proprio partner di riferimento Siemens nelle
rappresentanze e filiali competenti.
Il partner di riferimento è reperibile in Internet
(http://www.siemens.com/automation/partner).
La Guida alla consultazione della documentazione tecnica per i singoli prodotti e sistemi
SIMATIC si trova in Internet (http://www.siemens.com/simatic-tech-doku-portal).
Il catalogo e il sistema per le ordinazioni online sono disponibili in Internet
(www.siemens.com/industrymall).
Centro di formazione
Per facilitare l'approccio al sistema di automazione S7, vengono offerti appositi corsi. Si prega
di rivolgersi al Training Center della propria regione o al Training Center di Norimberga.
Per ulteriori informazioni vedere in Internet (http://www.sitrain.com).
Technical Support
È possibile contattare il Technical Support per tutti i prodotti di Industry Automation
utilizzando il modulo web Support Request (http://www.siemens.com/automation/support-
request).
Ulteriori informazioni sul Technical Support sono disponibili in Internet
(http://www.siemens.com/automation/service).
Nota
Gli impianti con caratteristiche di sicurezza sono soggetti a particolari requisiti di sicurezza di
funzionamento che il gestore deve rispettare. Anche il fornitore terzo è tenuto a rispettare
particolari misure per il controllo del prodotto. Informiamo pertanto in forma di
comunicazioni personali sugli sviluppi e sulle proprietà dei prodotti, che sono o possono
essere importanti per il funzionamento di impianti sotto gli aspetti della sicurezza.
Per tenersi sempre aggiornati a questo riguardo e potere apportare eventuali modifiche al
proprio impianto è necessario un abbonamento per ricevere le corrispondenti comunicazioni.
Contattare per questo l'Industry Online Support. Accedere ai link seguenti e cliccare di volta in
volta a destra nella pagina su "E-mail in caso di aggiornamento":
• SIMATIC S7-300/S7-300F
(https://support.industry.siemens.com/cs/products?pnid=13751&lc=it-WW)
• SIMATIC S7-400/S7-400H/S7-400F/FH
(https://support.industry.siemens.com/cs/products?pnid=13828&lc=fr-WW)
• SIMATIC S7-1500/SIMATIC S7-1500F/SIMATIC S7-1500HF
(https://support.industry.siemens.com/cs/products?pnid=13716&lc=it-WW)
• SIMATIC S7-1200/SIMATIC S7-1200F
(https://support.industry.siemens.com/cs/products?pnid=13683&lc=it-WW)
• Software Controller (https://support.industry.siemens.com/cs/products?pnid=13911&lc=it-
WW)
• Periferia decentrata (https://support.industry.siemens.com/cs/products?pnid=14029&lc=it-
WW)
• STEP 7 (TIA Portal) (https://support.industry.siemens.com/cs/products?pnid=14340&lc=it-
WW)
Avvertenze di sicurezza
Siemens commercializza prodotti e soluzioni dotati di funzioni di Industrial Security che
contribuiscono al funzionamento sicuro di impianti, soluzioni, macchine e reti.
Al fine di proteggere impianti, sistemi, macchine e reti da minacce cibernetiche, è necessario
implementare - e mantenere continuamente - un concetto di Industrial Security globale ed
all’avanguardia. I prodotti e le soluzioni Siemens costituiscono soltanto una componente di
questo concetto.
È responsabilità dei clienti prevenire accessi non autorizzati ai propri impianti, sistemi,
macchine e reti. Tali sistemi, macchine e componenti dovrebbero essere connessi
unicamente a una rete aziendale o a Internet se e nella misura in cui detta connessione sia
necessaria e solo quando siano attive appropriate misure di sicurezza (ad es. impiego di
firewall e segmentazione della rete).
Per ulteriori informazioni relative a misure di Industrial Security implementabili potete visitare
il sito (https://www.siemens.com/industrialsecurity).
I prodotti e le soluzioni Siemens vengono costantemente perfezionati per incrementarne la
sicurezza. Siemens raccomanda espressamente che gli aggiornamenti dei prodotti siano
effettuati non appena disponibili e che siano utilizzate le versioni più aggiornate. L’utilizzo di
versioni di prodotti non più supportate ed il mancato aggiornamento degli stessi incrementa
il rischio di attacchi cibernetici.
Per essere informati sugli aggiornamenti dei prodotti, potete iscrivervi a Siemens Industrial
Security RSS Feed al sito (https://www.siemens.com/cert).
Industry Mall
L'Industry Mall è il catalogo prodotti e il sistema di ordinazione della Siemens AG per le
soluzioni di automazione e azionamento sulla base di Totally Integrated Automation (TIA) e
Totally Integrated Power (TIP).
I cataloghi su tutti i prodotti della tecnica di automazione e azionamento si trovano in
Internet (https://mall.industry.siemens.com).
9.1.2.2 Comunicazione di sicurezza IO Controller-IO Controller tramite SENDDP e RCVDP .............. 199
9.1.2.3 Programmazione della comunicazione di sicurezza tra IO Controller e IO Controller .......... 200
9.1.2.4 Comunicazione di sicurezza IO Controller-IO Controller - Limiti per la trasmissione di
dati ................................................................................................................................. 203
9.1.3 Comunicazione di sicurezza master-master ...................................................................... 203
9.1.3.1 Progettazione della comunicazione di sicurezza master-master ......................................... 203
9.1.3.2 Comunicazione di sicurezza tra master e master tramite SENDDP e RCVDP ........................ 208
9.1.3.3 Programmazione della comunicazione di sicurezza master-master .................................... 209
9.1.3.4 Comunicazione di sicurezza master-master - Limiti per la trasmissione di dati ................... 212
9.1.4 Comunicazione di sicurezza tra IO Controller e I-Device .................................................... 212
9.1.4.1 Progettazione della comunicazione di sicurezza IO Controller-I-Device .............................. 212
9.1.4.2 Comunicazione IO Controller-I-Device tramite SENDDP e RCVDP ....................................... 215
9.1.4.3 Programmazione della comunicazione di sicurezza IO Controller-I-Device ......................... 215
9.1.4.4 Comunicazione di sicurezza IO Controller-I-Device - Limiti per la trasmissione di dati ......... 217
9.1.5 Comunicazione di sicurezza master-I-slave ....................................................................... 218
9.1.5.1 Progettazione della comunicazione di sicurezza master-I-slave.......................................... 218
9.1.5.2 Comunicazione di sicurezza master-I-slave o I-slave-I-slave tramite SENDDP e RCVDP ........ 220
9.1.5.3 Programmazione della comunicazione di sicurezza master-I-slave o I-slave-I-slave ............. 220
9.1.5.4 Comunicazione di sicurezza master-I-slave o I-slave-I-slave - Limiti per la trasmissione di
dati ................................................................................................................................. 222
9.1.6 Comunicazione di sicurezza I-slave-I-slave ........................................................................ 223
9.1.6.1 Progettazione della comunicazione di sicurezza I-slave-I-slave .......................................... 223
9.1.6.2 Comunicazione di sicurezza I-slave-I-slave tramite SENDDP e RCVDP ................................. 228
9.1.6.3 Programmazione della comunicazione di sicurezza I-slave-I-slave...................................... 228
9.1.6.4 Comunicazione di sicurezza I-slave-I-slave - Limiti per la trasmissione di dati ..................... 228
9.1.7 Comunicazione di sicurezza I-slave-slave .......................................................................... 229
9.1.7.1 Progettazione della comunicazione di sicurezza I-slave-slave ............................................ 229
9.1.7.2 Comunicazione di sicurezza I-slave-slave - accesso alla periferia F ..................................... 234
9.1.7.3 Comunicazione di sicurezza I-slave-slave - Limiti per la trasmissione di dati ....................... 234
9.1.8 Comunicazione di sicurezza IO Controller-I-slave .............................................................. 234
9.1.9 Comunicazione di sicurezza tramite collegamenti S7 ........................................................ 235
9.1.9.1 Progettazione della comunicazione di sicurezza tramite collegamenti S7 .......................... 235
9.1.9.2 Comunicazione tramite SENDS7, RCVS7 e DB di comunicazione F ..................................... 237
9.1.9.3 Programmazione della comunicazione di sicurezza tramite collegamenti S7...................... 238
9.1.9.4 Comunicazione di sicurezza tramite collegamenti S7 - Limiti per la trasmissione di dati ..... 241
9.1.10 Comunicazione di sicurezza con altri sistemi S7 F ............................................................. 242
9.1.10.1 Introduzione .................................................................................................................... 242
9.1.10.2 Comunicazione a S7 Distributed Safety tramite PN/PN Coupler (comunicazione
IO Controller-IO Controller) .............................................................................................. 242
9.1.10.3 Comunicazione con S7 Distributed Safety tramite DP/DP Coupler (comunicazione
master-master) ................................................................................................................ 243
9.1.10.4 Comunicazione con S7 Distributed Safety tramite collegamenti S7 ................................... 244
9.1.10.5 Comunicazione con S7 F/FH Systems tramite collegamenti S7 .......................................... 246
9.2 Progettazione e programmazione della comunicazione (S7-1200, S7-1500) ..................... 248
9.2.1 Panoramica della comunicazione ..................................................................................... 248
9.2.2 Comunicazione di sicurezza tra IO Controller e IO Controller ............................................. 250
9.2.2.1 Progettazione della comunicazione di sicurezza IO Controller-IO Controller ....................... 250
9.2.2.2 Comunicazione di sicurezza IO Controller-IO Controller tramite SENDDP e RCVDP .............. 254
9.2.2.3 Programmazione della comunicazione di sicurezza tra IO Controller e IO Controller .......... 255
9.2.2.4 Comunicazione di sicurezza IO Controller-IO Controller - Limiti per la trasmissione di
dati ................................................................................................................................. 259
9.2.3 Comunicazione di sicurezza master-master ...................................................................... 259
10.3.2.3 Inserimento della scheda di trasferimento in una F-CPU S7-1200 ...................................... 306
10.3.2.4 Caricamento dei dati di progetto di una F-CPU S7-1200 dalla memoria di caricamento
interna a una SIMATIC Memory Card vuota ....................................................................... 308
10.3.2.5 Aggiornamento dei dati di progetto di una F-CPU S7-1200 con una scheda di
trasferimento .................................................................................................................. 309
10.3.2.6 Caricamento dei dati di progetto su una SIMATIC Memory Card e inserimento della
SIMATIC Memory Card ..................................................................................................... 309
10.3.3 Caricamento dei dati di progetto in una F-CPU S7-1500 .................................................... 310
10.3.3.1 Caricamento dei dati di progetto in una F-CPU S7-1500 .................................................... 310
10.3.3.2 Caricamento dei dati di progetto in un sistema ridondante S7-1500HF ............................. 310
10.3.3.3 Caricamento dei dati di progetto in un Software Controller S7-1500 F .............................. 311
10.3.3.4 Caricamento dei dati di progetto su una SIMATIC Memory Card e inserimento della
SIMATIC Memory Card o del supporto dati ........................................................................ 313
10.3.4 Ripristino del programma di sicurezza salvato di una F-CPU .............................................. 315
10.3.5 Particolarità per la creazione e l'importazione di immagini di un Software Controller S7-
1500 F............................................................................................................................. 316
10.3.6 Caricamento dei dati di progetto (compresi quelli rilevanti per la sicurezza) da una F-
CPU in un PG/PC (S7-1500)............................................................................................... 317
10.3.7 Caricamento dei dati di progetto (compresi quelli rilevanti per la sicurezza) da una
scheda di memoria in un PG/PC (S7-1500) ........................................................................ 318
10.3.8 Caricamento della stazione PC tramite il file di configurazione .......................................... 319
10.3.8.1 Creazione del file di configurazione .................................................................................. 320
10.3.8.2 Importazione del file di configurazione............................................................................. 321
10.4 Identificazione del programma......................................................................................... 325
10.5 Confronto dei programmi di sicurezza .............................................................................. 326
10.6 Creazione della stampa di sicurezza.................................................................................. 329
10.7 Test del programma di sicurezza ...................................................................................... 331
10.7.1 Panoramica del test del programma di sicurezza ............................................................... 331
10.7.2 Funzionamento di sicurezza disattivato ............................................................................ 332
10.7.2.1 Configurazione del limite temporale per il funzionamento di sicurezza disattivato (S7-
1200, S7-1500) ............................................................................................................... 332
10.7.2.2 disattivazione del funzionamento di sicurezza .................................................................. 333
10.7.3 Test del programma di sicurezza ...................................................................................... 337
10.7.4 Test del programma di sicurezza con S7-PLCSIM ............................................................... 340
10.7.5 Modica del programma di sicurezza in RUN (S7-300, S7-400) ........................................... 344
10.7.6 Modica del programma di sicurezza in RUN (S7-1200, S7-1500) ....................................... 347
10.8 Cronologia delle modifiche F............................................................................................ 354
11 Collaudo dell'impianto ....................................................................................................................... 355
11.1 Panoramica del collaudo dell'impianto ............................................................................. 355
11.2 Correttezza del programma di sicurezza, compresa la configurazione hardware (testo
incluso) ........................................................................................................................... 356
11.3 Completezza della stampa di sicurezza ............................................................................. 357
11.4 Corrispondenza degli elementi della biblioteca di sistema utilizzati nel programma di
sicurezza con l'Allegato 1 del report del certificato TÜV ..................................................... 358
11.5 Corrispondenza dei blocchi F con protezione del know-how utilizzati nel programma di
sicurezza con la relativa documentazione di sicurezza ...................................................... 359
13.8.5 RD_FDB: Lettura indiretta del valore da un F-DB (STEP 7 Safety Advanced V18) (S7-300,
S7-400) ........................................................................................................................... 536
13.9 Operazioni di conversione ................................................................................................ 538
13.9.1 CONVERT: Conversione del valore (STEP 7 Safety V18)...................................................... 538
13.9.2 BO_W: Conversione di 16 dati di tipo BOOL in un dato di tipo WORD (STEP 7 Safety
V18) ................................................................................................................................ 539
13.9.3 W_BO: Conversione del tipo di dati WORD in 16 dati di tipo BOOL (STEP 7 Safety V18) ...... 542
13.9.4 SCALE: Scala del valore (STEP 7 Safety V18) ...................................................................... 545
13.9.5 SCALE_D: Scala del valore nel tipo di dati DINT (STEP 7 Safety V18) (S7-1200, S7-1500) .... 547
13.10 Controllo del programma ................................................................................................. 550
13.10.1 JMP: Salto se RLO = 1 (STEP 7 Safety V18) ........................................................................ 550
13.10.2 JMPN: Salto se RLO = 0 (STEP 7 Safety V18) ...................................................................... 552
13.10.3 LABEL: Etichetta di salto (STEP 7 Safety V18) .................................................................... 554
13.10.4 RET: Salto all'indietro (STEP 7 Safety V18) ......................................................................... 555
13.10.5 OPN: Apertura del blocco dati globale (STEP 7 Safety Advanced V18) (S7-300, S7-400) ..... 557
13.11 Combinazioni logiche a parola ......................................................................................... 559
13.11.1 AND: Combinazione logica AND (STEP 7 Safety V18) ........................................................ 559
13.11.2 OR: Combinazione logica OR (STEP 7 Safety V18) ............................................................. 560
13.11.3 XOR: Combinazione logica OR ESCLUSIVO (STEP 7 Safety V18) ......................................... 561
13.12 Spostamento e rotazione ................................................................................................. 562
13.12.1 SHR: Spostamento verso destra (STEP 7 Safety V18) ......................................................... 562
13.12.2 SHL: Spostamento verso sinistra (STEP 7 Safety V18) ........................................................ 565
13.13 Utilizzo operativo ............................................................................................................. 567
13.13.1 ACK_OP: Conferma fail-safe (STEP 7 Safety V18)............................................................... 567
13.14 Ulteriori istruzioni ............................................................................................................ 576
13.14.1 KOP ................................................................................................................................. 576
13.14.1.1 ---| |--- OV: Interrogazione bit di stato OV (STEP 7 Safety Advanced V18) (S7-300, S7-
400) ................................................................................................................................ 576
13.14.1.2 ---| / |--- OV: Interrogazione se bit di stato OV è negato (STEP 7 Safety Advanced V18)
(S7-300, S7-400) ............................................................................................................. 577
13.14.2 FUP ................................................................................................................................. 578
13.14.2.1 OV: Interrogazione bit di stato OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)........... 578
13.15 Comunicazione ................................................................................................................ 579
13.15.1 PROFIBUS/PROFINET ......................................................................................................... 579
13.15.1.1 SENDDP e RCVDP: Invio e ricezione di dati tramite PROFIBUS DP/PROFINET IO (STEP 7
Safety V18) ...................................................................................................................... 579
13.15.2 Comunicazione S7 ........................................................................................................... 588
13.15.2.1 SENDS7 e RCVS7: Comunicazione tramite collegamenti S7 (STEP 7 Safety Advanced
V18) (S7-300, S7-400) ..................................................................................................... 588
A Tempi di controllo e di reazione ........................................................................................................ 596
A.1 Progettazione dei tempi di controllo ................................................................................. 597
A.1.1 Tempo di controllo minimo del tempo di ciclo del gruppo di esecuzione F......................... 599
A.1.2 Tempo di controllo minimo della comunicazione di sicurezza tra F-CPU e periferia F.......... 599
A.1.3 Tempo di controllo minimo della comunicazione di sicurezza CPU-CPU ............................. 601
A.1.4 Tempo di controllo della comunicazione di sicurezza tra gruppi di esecuzione F ................ 601
A.2 Tempi di reazione delle funzioni di sicurezza .................................................................... 602
B Lista di controllo ................................................................................................................................ 605
AVVERTENZA
Nota
Se la F-CPU va in STOP a causa della funzione di reazione all'errore, ciò comporta lo STOP
della CPU principale e della CPU di backup in un sistema S7-1500HF ridondante.
STEP 7 Safety
La presente documentazione descrive STEP 7 Safety Advanced V18 e STEP 7 Safety Basic V18.
STEP 7 Safety è il software di progettazione e di programmazione per il sistema F SIMATIC
Safety. STEP 7 Safety fornisce:
• il supporto per la progettazione della periferia F nell'editor hardware e di rete del TIA
Portal
• il supporto per la creazione del programma di sicurezza in KOP e FUP e per l'integrazione
delle funzioni di rilevamento degli errori nel programma di sicurezza
• Istruzioni per la programmazione del programma di sicurezza in KOP e FUP, note dal
programma utente standard
• Istruzioni per la programmazione del programma di sicurezza in KOP e FUP con funzioni di
sicurezza specifiche.
Inoltre STEP 7 Safety offre funzioni per il confronto di programmi di sicurezza e per
supportare durante il collaudo dell'impianto.
AVVERTENZA
Pacchetti opzionali
Oltre a STEP 7 Safety è possibile impiegare i pacchetti opzionali con la periferia F e le F-CPU e
le istruzioni per la programmazione del programma di sicurezza con funzioni di sicurezza
speciali all'interno del sistema F SIMATIC Safety. Ad esempio SINUMERIK o Failsafe HMI
Mobile Panel.
L'installazione, la parametrizzazione e la programmazione e ciò che deve essere osservato
durante il collaudo del sistema sono descritti nella documentazione dei rispettivi pacchetti
opzionali.
Osservare anche le note riportate in "Configurazioni supportate dal sistema F SIMATIC Safety
(Pagina 62)".
AVVERTENZA
L'utilizzo del TIA Portal Cloud Connector è previsto per gli interventi di engineering con TIA
Portal. Gli accessi online nel funzionamento produttivo (ad es. SCADA) non sono pertanto
consentiti. Questo vale in particolare anche per i programmi di sicurezza. (S068)
Openness
Openness (https://support.industry.siemens.com/cs/ww/it/view/109798533) nell'ambito di
STEP 7 Safety è supportato dalle funzioni elencate di seguito. L'impiego di Openness nel
funzionamento produttivo non è consentito.
Nell'ambito di STEP 7 Safety è supportato quanto segue:
• inserimento/eliminazione di F-CPU e periferia F
• copia/eliminazione di F-CPU e periferia F da copie master
• compilazione hardware
• compilazione software (incl. programma di sicurezza)
• gestione della protezione dell'accesso ai dati di progetto rilevanti per la sicurezza (nei
progetti TIA non protetti dalla "protezione di progetto")
• lettura/progettazione di parametri fail-safe della F-CPU
• lettura/progettazione di parametri fail-safe periferie F
• lettura/progettazione di parametri individuali di moduli fail-safe ET 200SP
• lettura, dichiarazione o eliminazione di variabili fail-safe nella tabella delle variabili PLC
• aggiornamento del progetto alle ultime versioni di blocchi F
• caricamento coerente delle stazioni
• esportazione e importazione di blocchi F e tipi di dati PLC conformi a F (UDT)
• confronto di hardware e software
• supporto di Version Control Interface (VCI)
• lettura del PLC Online Fingerprint per il programma di sicurezza
Quanto segue non è supportato:
• caricamento nel dispositivo
AVVERTENZA
Se si utilizzano Openness o altri tool per TIA Portal in combinazione con dati di progetto
rilevanti per la sicurezza, si deve garantire l'integrità dei dati (ad es. nell'ambito del
salvataggio o del trasferimento tramite applicazioni per la "Gestione del codice sorgente"). In
caso di collegamento di tool esterni devono essere soddisfatti i requisiti per i tool di
supporto offline (tool software offline) secondo IEC61508-3. STEP 7 Safety non consente di
determinare né offline né online se è stata violata l'integrità dei dati di progetto rilevanti per
la sicurezza. Al termine del processo eseguire un controllo della correttezza dei dati di
progetto rilevanti per la sicurezza come descritto nel capitolo Collaudo dell'impianto
(Pagina 355). (S070)
I programmi Openness possono essere integrati in TIA Portal anche come Add-In. È inoltre
possibile integrare i cosiddetti workflow Add-In, che vengono richiamati automaticamente
prima della compilazione del programma di sicurezza. Per maggiori informazioni vedere
"Ampliamento del workflow" nella Guida standard.
Se un workflow Add-In viene integrato, questo viene visualizzato a scopo di documentazione
nella stampa di sicurezza.
Openness Service
L'interfaccia Openness (Siemens.Engineering.dll) è stata ampliata con i seguenti servizi:
• GlobalSettings (vedere il campo del nome Siemens.Engineering.Safety) che mette
a disposizione le seguenti azioni:
– SafetyModificationsPossible(bool safetyModificationsPossible)
– UsernameForFChangeHistory(string userName)
– bool SafetyModificationsPossible()
– string UsernameForFChangeHistory()
• SafetySignatureProvider che mette a disposizione le seguenti azioni e proprietà:
– SafetySignatureComposition Signatures
– UInt64 SafetySignature.Value
– SafetySignatureType SafetySignature.Type
• SafetyAdministration con le seguenti azioni e proprietà nel campo del nome
Siemens.Engineering.Safety.
– bool IsSafetyOfflineProgramPasswordSet
– void SetSafetyOfflineProgramPassword(SecureString newPassword)
– void RevokeSafetyOfflineProgramPassword(SecureString
currentPassword)
– bool IsLoggedOnToSafetyOfflineProgram
– void LoginToSafetyOfflineProgram(SecureString currentPassword)
– void LogoffFromSafetyOfflineProgram()
• SafetyAdministration, a cui è possibile accedere dal Plc DeviceItem.
Il servizio SafetyAdministration offre le seguenti proprietà nel campo del nome
Siemens.Engineering.Safety. Queste due proprietà contengono altre proprietà elencate
nella descrizione.
– RuntimegroupComposition RuntimeGroups { get; }
– SafetySettings Settings { get; }
• SafetyPrintout con la seguente azione nel campo del nome
Siemens.Engineering.Safety:
– bool Print(SafetyPrintoutFilePrinter filePrinter, FileInfo
fullOutputPath, SafetyPrintoutOption documentationOption,
string documentLayout);
Per ulteriori informazioni consultare il Manuale di sistema "SIMATIC TIA Portal Openness:
automazione del progetto (https://support.industry.siemens.com/cs/ww/it/view/109798533)"
nel capitolo "Openness specifico per F".
Ambienti virtuali
AVVERTENZA
Impiego di ambienti virtuali nel sistema di engineering
Osservare che un hypervisor o il software client di un hypervisor non possono eseguire
funzioni per la riproduzione delle sequenze di telegrammi registrate con risposta temporale
corretta in una rete con F-CPU e periferie F reali.
Assicurarsi che questa condizione venga rispettata ad esempio durante l'utilizzo delle
seguenti funzioni:
• Reset di stati acquisiti (snapshot) delle macchine virtuali (VM)
• Arresto e riattivazione delle VM (Suspend & Resume)
• Riproduzione dei processi registrati (Replay) nelle VM
• Spostamento della VM nel funzionamento produttivo tra gli host (ad es. Fault Tolerance
(FT))
• Gemelli digitali delle VM nell'ambiente virtuale
In caso di dubbio disattivare queste funzioni nelle impostazioni (console di amministrazione
di hypervisor). (S067)
AVVERTENZA
Se si utilizza un PC sul quale sono installate più versioni di sistema operativo Windows o
Linux (ad es. tramite il Boot Manager), sul PC interessato possono essere installati solo una
S7-150xS(P) F o un WinAC RTX F. (S095)
Programma di sicurezza
Il programma di sicurezza viene creato nell'editor dei programmi. Gli FB e FC fail-safe
vengono programmati nel linguaggio di programmazione FUP o KOP con le istruzioni di
STEP 7 Safety e vengono creati dei DB fail-safe.
Durante la compilazione del programma di sicurezza vengono eseguiti automaticamente i
controlli di sicurezza e integrati blocchi fail-safe aggiuntivi per il riconoscimento e la reazione
agli errori. In questo modo si assicura che i guasti e gli errori vengano riconosciuti e che si
attivino le reazioni corrispondenti che mantengono o portano il sistema F in uno stato sicuro.
Nella F-CPU oltre al programma di sicurezza può essere eseguito anche un programma utente
standard. La coesistenza tra programma standard e programma di sicurezza in una F-CPU è
possibile perché viene rilevata l'influenza indesiderata dei dati relativi alla sicurezza del
programma di sicurezza da parte del programma utente standard.
Uno scambio di dati tra il programma di sicurezza e il programma utente standard nella F-CPU
è possibile tramite merker, dati di un DB standard e accesso al sinottico degli ingressi e delle
uscite.
Vedere anche
Trasferimento dei dati dal programma di sicurezza al programma utente standard
(Pagina 188)
Introduzione
In STEP 7 Safety Advanced è possibile continuare a utilizzare progetti con programmi di
sicurezza creati con S7 Distributed Safety V5.4 SP5.
Requisiti
È necessario installare STEP 7 Safety Advanced, S7 Distributed Safety V5.4 SP5 e il F-
Configuration-Pack sul computer con cui si esegue la migrazione. È supportato F-
Configuration-Pack V5.4 SP5 fino a V5.5 SP13.
Per questo è necessario aver compilato i progetto in S7 Distributed Safety V5.4 SP5 e con
il F-Configuration-Pack.
Nota
Se nel programma di sicurezza da migrare si utilizzano blocchi F con protezione del know-
how, rimuovere la protezione del know-how prima della migrazione.
Dopo la migrazione, è possibile fornire nuovamente ai blocchi F la protezione del know-how.
Nota
Si raccomanda di attivare l'opzione "Include hardware configuration" nella finestra "Migrating
project".
Dopo la migrazione
Dopo la migrazione, si ottiene un progetto completo con un programma di sicurezza che ha
mantenuto la struttura del programma S7 Distributed Safety e la firma collettiva F . I blocchi F
della biblioteca F S7 Distributed Safety (V1) vengono convertiti in istruzioni fornite da STEP 7
Safety Advanced.
Il progetto migrato non deve essere rimosso di nuovo e può essere caricato senza modifiche
nella F-CPU, purché non sia stato modificato o compilato dopo la migrazione.
Nota
Stampa di sicurezza
Non è possibile creare una stampa di sicurezza per un progetto migrato in STEP 7 Safety
Advanced. La stampa del progetto creato con S7 Distributed Safety V5.4 SP5 e i relativi
documenti di collaudo sono ancora validi perché è stata mantenuta la firma collettiva F.
Nota
Alla prima compilazione del programma di sicurezza migrato, il richiamo della F-CALL viene
sostituito automaticamente con il richiamo del blocco Main Safety, se il blocco che eseguire il
richiamo della F-CALL è stato creato con il linguaggio di programmazione KOP, FUP o AWL.
Nota
Modifica della versione del sistema Safety
Prima della prima compilazione con STEP 7 Safety Advanced è necessario modificare la
versione del sistema Safety ad una versione diversa da 1.0 nel Safety Administration Editor
nel campo "Settings". Si raccomanda di utilizzare l'ultima versione disponibile.
Nota
Utilizzo della versione più recente delle istruzioni
Se si vuole estendere il programma di sicurezza migrato, si raccomanda di aggiornare la
versione delle istruzioni utilizzate con l'ultima versione disponibile prima della prima
compilazione con STEP 7 Safety Advanced. Osservare le avvertenze sulle versione della
rispettiva istruzione:
Nota
Osservare che la compilazione del programma di sicurezza migrato comporta un'estensione
del tempo di esecuzione del/dei gruppi di esecuzione F e un aumento della memoria di lavoro
richiesta dal programma di sicurezza (vedere anche File Excel per il calcolo dei tempi di
reazione (https://support.industry.siemens.com/cs/ww/it/view/109783831)).
Vedere anche
Esempio applicativo "Migrazione di un programma di sicurezza in TIA Portal"
(https://support.industry.siemens.com/cs/ww/it/view/109475826)
Nota
Dopo la migrazione della F-CPU è necessario un nuovo collaudo.
Vedere anche
Programmazione (Pagina 104)
Particolarità relative alla conferma utente e alla reintegrazione della periferia F dopo errori di
periferia F/errori di canale e PASS_ON = 1 (S7-1200, S7-1500)
Quanto segue si applica alle seguenti periferie F:
• unità di ingressi/uscite fail-safe S7-300
• moduli fail-safe ET 200SP
• moduli fail-safe ET 200S
• moduli fail-safe ET 200pro
• moduli fail-safe ET 200iSP
Durante la progettazione "Behavior after channel fault" = "Passivate channel" con la variabile
ACK_NEC (DB della periferia F) = 1 tenere in considerazione in comportamento modificato
durante la conferma utente e la reintegrazione. Il comportamento è stato adeguato a quello
della progettazione "Behavior after channel fault" = "Passivate the entire module":
A partire da STEP 7 Safety V14 la conferma da parte dell'utente di un errore di periferia F /
errore di canale risolto è possibile anche quando la variabile PASS_ON (DB della periferia F) è
= 1. Una reintegrazione (messa a disposizione dei valori di processo) ha luogo non appena la
variabile PASS_ON è = 0.
Fino a STEP 7 Safety V13 SP1 la conferma utente di un errore di periferia F / errore di canale
risolto non era possibile finché la variabile PASS_ON (DB della periferia F) era = 1. In questa
versione la conferma utente era consentita solo quando la variabile PASS_ON era = 0. La
reintegrazione (messa a disposizione dei valori di processo) avveniva subito dopo la conferma
utente.
In caso di aggiornamento di un progetto creato con STEP 7 Safety Advanced V11, prestare
attenzione all'avvertenza seguente:
Nota
Prima di utilizzare un progetto aggiornato da STEP 7 Safety Advanced V11 sono necessari
alcuni adattamenti:
In STEP 7 Safety Advanced V11 era presente un'avvertenza sul prodotto relativa
all'impostazione dei parametri "Discrepancy behavior" e "Reintegration after discrepancy
error" per le unità di ingressi/uscite digitali fail-safe 4F-DI/3F-DO DC24V/2A
(6ES7138-4FC01-0AB0, 6ES7138-4FC00-0AB0). In alcune combinazioni questi parametri
venivano visualizzati in modo errato.
A causa delle istruzioni operative contenute nell'avvertenza sul prodotto, l'impostazione dei
parametri interessati mediante un'apposita tabella di conversione provocava una
visualizzazione errata nella stampa di sicurezza e nella configurazione hardware, ma
consentiva un'azione corretta sull'unità F. Inoltre sono state apportate delle correzioni alla
stampa di sicurezza al fine di documentare il comportamento effettivo delle unità F.
Per annullare queste operazioni procedere nel modo seguente:
1. Compilare il progetto aggiornato con STEP 7 Safety Advanced V13 SP1. Per ogni unità F i cui
parametri sono stati corretti in STEP 7 Safety Advanced V11 viene visualizzato un messaggio
di errore: "The CRC (F_Par_CRC) of the module (xxx) and the calculated value (yyy) do not
match."
2. Modificare la parametrizzazione di ciascuna unità F per la quale viene visualizzato questo
messaggio di errore in base alle correzioni riportate nella stampa di sicurezza.
3. Eseguire questa operazione per ciascuna F-CPU e successivamente compilare il programma
di sicurezza.
4. Se dopo la compilazione la firma collettiva F coincide con la firma collettiva F riportata sulla
stampa di sicurezza, le correzioni sono state inserite in modo completo e corretto.
Utilizzo di CP
Alle periferie F utilizzate a valle di un CP443-5 Extended, CP443-1 o CP 443-1 Advanced-IT,
l'indirizzo di destinazione F univoco non viene assegnato in modo automatico.
Se un progetto comprende delle periferie F di questo tipo, durante la compilazione
dell'hardware in STEP 7 Safety Advanced V13 SP1 il sistema segnala le periferie F interessate
all'utente. Assegnare un nuovo indirizzo di destinazione F univoco alle periferie F segnalate.
Per ulteriori informazioni consultare Indirizzi PROFIsafe della periferia F del tipo di indirizzo
PROFIsafe 1 (Pagina 64), Indirizzi PROFIsafe della periferia F del tipo di indirizzo PROFIsafe 2
(Pagina 66) e Particolarità durante la progettazione di slave DP standard fail-safe e di device
IO standard fail-safe (Pagina 74).
Con questa modifica viene modificata anche la firma collettiva F del programma di sicurezza.
L'assenza di modifiche alla firma collettiva F-SW dimostra che anche il programma di
sicurezza è rimasto invariato. Una firma collettiva F-HW modificata indica che è stata
modificata la configurazione hardware rilevante per la sicurezza. Ora è possibile verificare se
la modifica è dovuta esclusivamente agli indirizzi di destinazione F modificati:
• In ciascuna delle periferie F modificate la firma parametri F (senza indirizzo) è invariata.
• Nell'editor di confronto del programma di sicurezza, dopo l'impostazione del filtro
"Compare only F-blocks relevant for certification" vengono elencati solo i DB della
periferia F interessati.
Contenuti
La documentazione Getting Started descrive la creazione di un progetto completo che viene
ampliato con ogni capitolo. Partendo dalla progettazione, viene programmata una
disinserzione di sicurezza, vengono apportate modifiche alla programmazione e viene
effettuato il collaudo dell'impianto.
Oltre alle istruzioni passo passo, la documentazione Getting Started offre anche brevi
informazioni generali per ogni tema che illustrano le funzioni utilizzate e le rispettive
correlazioni.
Destinatari
La documentazione Getting Started si rivolge a principianti, ma è adatta anche a utenti che
provengono da S7 Distributed Safety.
Download
Nell'Industry Online Support sono disponibili tre documentazioni Getting Started in formato
PDF che possono essere scaricate gratuitamente:
• STEP 7 Safety Advanced V11 con F-CPU S7-300/400
(http://support.automation.siemens.com/WW/view/en/49972838)
• STEP 7 Safety Basic V13 SP1 con F-CPU S7-1200
(http://support.automation.siemens.com/WW/view/en/34612486/133300) (parte
integrante del manuale "S7-1200 - Sicurezza funzionale")
• STEP 7 Safety Advanced V13 con F-CPU S7-1500
(http://support.automation.siemens.com/WW/view/en/101177693)
Introduzione
In linea generale, un sistema F SIMATIC Safety viene progettato come un sistema di
automazione standard S7-300, S7-400, S7-1200, S7-1500 o ET 200MP, ET 200SP, ET 200AL,
ET 200S, ET 200iSP, ET 200eco, ET 200eco PN o ET 200pro in STEP 7.
Pertanto, qui sono descritte solo le differenze principali tra la progettazione di un sistema F
SIMATIC Safety e la progettazione standard.
In questa documentazione si distingue tra 2 gruppi di periferie F:
Nella tabella seguente sono riportate le periferie F che possono essere progettate con
STEP 7 Safety Basic e quelle progettabili con STEP 7 Safety Advanced, oltre ai tipi di indirizzi
PROFIsafe supportati:
* Il tipo di indirizzo PROFIsafe corretto degli slave DP standard/device IO standard è riportato nella rispettiva
documentazione. In caso di dubbi utilizzare il tipo di indirizzo PROFIsafe 1.
** Gli F-SM che supportano solo PROFIsafe V1-Mode possono essere utilizzati solo nelle F-CPU S7-300/400.
Ulteriori informazioni
Informazioni dettagliate sulla periferia F sono contenute nei manuali sulla rispettiva periferia
F.
Parametri F speciali
Per la funzionalità F sono disponibili dei parametri F speciali che possono essere controllati e
impostati nelle "proprietà" dei componenti fail-safe (F-CPU e periferia F). I parametri F sono
contrassegnati in giallo.
I parametri F sono descritti in "Progettazione della F-CPU (Pagina 45)" e in "Progettazione della
periferia F (Pagina 50)".
Nota
La progettazione della configurazione hardware consente possibili incoerenze che possono
anche essere salvate. Una verifica completa della coerenza della configurazione hardware e
dei possibili dati di collegamento ha luogo solo durante la compilazione. Eseguire
regolarmente il comando "Edit > Compile".
Nota
Se si modifica un parametro rilevante per la sicurezza (evidenziato in giallo) di una periferia F
o di una F-CPU, è necessario compilare e caricare la configurazione hardware modificata e il
Compilazione del programma di sicurezza (Pagina 293) (menu di scelta rapida "Compile >
Hardware and software (only changes)"). Questo vale anche per le modifiche alla periferia F
che non viene utilizzata nel programma di sicurezza. Ciò non riguarda la periferia F nel
funzionamento standard.
Introduzione
In linea di massima la F-CPU si progetta come un sistema di automazione standard.
Le F-CPU sono sempre configurabili in STEP 7 , indipendentemente dal fatto che sia installata
una licenza per STEP 7 Safety. Se non è installata una licenza per STEP 7 Safety, la F-CPU è
utilizzabile solo come CPU standard.
Con la licenza di STEP 7 Safety installata è possibile attivare o disattivare la funzionalità F per
la F-CPU.
Per utilizzare la periferia F nel funzionamento di sicurezza o la comunicazione di sicurezza, la
funzionalità F della F-CPU deve essere attiva.
Per impostazione predefinita, quando la licenza di STEP 7 Safety è installata la funzionalità F è
attivata.
Nota
In caso di modifica del tempo di controllo F per la periferia F centrale o decentrata della
F-CPU, dopo la nuova compilazione il programma di sicurezza risulta modificato e
potrebbe richiedere un nuovo collaudo.
Definizione dell'area indirizzi di destinazione F per la periferia F del tipo di indirizzo PROFIsafe 1
I parametri "Low limit for F-destination addresses" e "High limit for F-destination addresses"
consentono di definire un'area per la F-CPU, in cui alle nuove periferie F viene assegnato
automaticamente un indirizzo di destinazione F del tipo di indirizzo PROFIsafe 1 (Pagina 64)
dopo il collegamento. Anche un indirizzo di destinazione F non ancora compreso nell'area
indirizzi di destinazione F viene nuovamente assegnato quando alla F-CPU viene assegnato un
nuovo slave DP/device IO o in caso di attivazione dell'attivazione F della F-CPU o di modifica
dell'indirizzo logico dell'unità F.
L'indirizzo di destinazione F viene assegnato in ordine crescente a partire da "Low limit for
F-destination addresses". Se nell'area indirizzi di destinazione F non è disponibile un indirizzo
di destinazione F libero, viene assegnato il primo indirizzo di destinazione F libero al di fuori
dell'area indirizzi di destinazione F e durante la compilazione viene emesso un avviso.
L'indirizzo di destinazione F massimo consentito per i moduli F ET 200S, ET 200eco,
ET 200pro, ET 200iSP e gli F-SM S7-300 è 1022.
Gli indirizzi di destinazione F del tipo di indirizzo PROFIsafe 1 devono essere univoci in tutta la
rete e in tutta la CPU.
Selezionando diverse aree indirizzi di destinazione F per diverse F-CPU, è possibile definire più
aree per l'assegnazione automatica dell'indirizzo di destinazione F. Ciò può essere utile se in
una rete sono presenti più F-CPU. Gli indirizzi possono essere modificati anche manualmente
in un secondo momento. (vedere anche Raccomandazione per l'assegnazione degli indirizzi
PROFIsafe (Pagina 61))
Esempio:
L'area degli indirizzi di destinazione F è stata parametrizzata nel modo seguente:
• Low limit for F-destination addresses = 100
• High limit for F-destination addresses = 199
All'inserimento della prima periferia F del tipo di indirizzo PROFIsafe 1, viene assegnato
l'indirizzo di destinazione F 100. Se viene collegata una periferia F aggiuntiva del tipo di
indirizzo PROFIsafe 1, viene assegnato l'indirizzo di destinazione F 101.
Nota
I parametri "Low limit for F-destination addresses" e "High limit for F-destination addresses"
non influiscono sulle seguenti periferie F:
• SM 326; DI 8 x NAMUR (dal numero di articolo 6ES7326-1RF00-0AB0)
• SM 326; DO 10 x DC 24V/2A (numero di articolo 6ES7326-2BF01-0AB0)
• SM 336; AI 6 x 13 bit (numero di articolo 6ES7336-1HE00-0AB0)
Definizione dell'area indirizzi di destinazione F per la periferia F del tipo di indirizzo PROFIsafe 2
L'indirizzo di destinazione F della periferia F del tipo di indirizzo PROFIsafe 2 (Pagina 66) viene
assegnato automaticamente a ciascuna F-CPU in ordine decrescente a partire da 65534. Il
limite inferiore è rappresentato dal valore parametrizzato con il parametro "High limit for
F-destination addresses" (per la periferia F del tipo di indirizzo PROFIsafe 1) + 1.
Quando viene raggiunto il valore parametrizzato con il parametro "High limit for F-destination
addresses" durante la compilazione viene emesso un avviso. (Vedere anche Raccomandazione
per l'assegnazione degli indirizzi PROFIsafe (Pagina 61))
Nota
In caso di modifica del parametro "Central F-source address", dopo la nuova compilazione il
programma di sicurezza risulta modificato e potrebbe richiedere un nuovo collaudo, poiché in
questo modo vengono modificati a posteriori gli indirizzi di origine F di tutta la periferia F del
tipo di indirizzo 2.
Inoltre, all'interno delle proprietà della periferia F il tempo di controllo F può essere
modificato separatamente per le singole periferie F (vedere Progettazione della periferia F
(Pagina 50) o Particolarità durante la progettazione di slave DP standard fail-safe e di device
IO standard fail-safe (Pagina 74)).
Nota
In caso di modifica del tempo di controllo F per la periferia F centrale o decentrata della
F-CPU, dopo la nuova compilazione il programma di sicurezza risulta modificato e potrebbe
richiedere un nuovo collaudo.
Nota
Il valore preimpostato per il "default F-monitoring time for central IO" in un sistema HF
ammonta a 2300 ms ed è progettato per un anello MRP. Per una topologia lineare è possibile
ridurre il "default F-monitoring time for central IO" approssimativamente del fattore 2. Il
valore esatto può essere determinato come specificato nel capitolo "Tempi di controllo e di
reazione (Pagina 596)". Lo si può impostare nelle proprietà della F-CPU (selezionare la F-CPU,
quindi attivare "Properties > Fail safe > F-parameters> PROFINET interface [X1]").
AVVERTENZA
L'acquisizione dello stato del segnale da trasmettere e la sua trasmissione al ricevente sono
garantite (in modalità fail-safe) solo se lo stato del segnale rimane attivo per un tempo pari
almeno al tempo di controllo parametrizzato. (S018)
AVVERTENZA
(S7-300, S7-400) Nel funzionamento produttivo, in caso di modifiche del programma utente
standard non deve essere attiva l'autorizzazione di accesso tramite la password della CPU,
perché in questo caso è possibile modificare anche il programma di sicurezza. Per escludere
questa possibilità è necessario progettare il livello di protezione "Write protection for fail-
safe blocks" e una password per la F-CPU. Se solo una persona è autorizzata a modificare il
programma utente standard e il programma di sicurezza, deve essere progettato il livello di
protezione "Write protection" o "Read/write protection" in modo da consentire solo un
accesso limitato o negare l'accesso all'intero programma utente (programma standard e
programma di sicurezza) alle altre persone. (S001)
AVVERTENZA
(S7-1200, S7-1500) Nel funzionamento produttivo si devono proteggere con una password
i dati di progetto rilevanti per la sicurezza. Progettare almeno il livello di protezione "Full
access (no protection)" e assegnare una password in "Full access with fail-safe (no
protection)". Questo livello di protezione consente l'accesso completo solo ai dati di
progetto standard, ma non ai blocchi F.
Se si sceglie un livello di protezione più alto, ad es. per proteggere i dati di progetto
standard, è necessario assegnare una password aggiuntiva per "Full access (no protection)".
Assegnare password differenti per i singoli livelli di protezione. (S041)
Per la progettazione del livello di protezione procedere come nelle CPU standard.
Per informazioni sulla password della F-CPU vedere Protezione di accesso (Pagina 95).
Osservare in modo particolare le avvertenze in Protezione di accesso per la F-CPU (Pagina 99).
Introduzione
I moduli F S7-1500/ET 200MP, ET 200SP, ET 200AL, ET 200S, ET 200eco (S7-300, S7-400),
ET 200eco PN, ET 200pro, ET 200iSP, gli F-SM S7-300 e i moduli F S7-1200 vengono
progettati in STEP 7 come di consueto.
Dopo aver inserito la periferia F nell'area di lavoro della vista dispositivi o di rete, è possibile
accedere alle finestre di progettazione selezionando la rispettiva periferia F e la scheda
"Properties".
Nota
In caso di modifica della parametrizzazione, dopo la nuova compilazione il programma di
sicurezza risulta modificato e potrebbe richiedere un nuovo collaudo.
AVVERTENZA
Nota
(S7-300, S7-400) Tenere presente che la passivazione canale per canale richiede un tempo di
esecuzione più lungo del gruppo di esecuzione F rispetto alla passivazione dell'intera
periferia F (vedere anche File excel per il calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831)).
AVVERTENZA
Nota
Per impostazione predefinita, durante la creazione del modulo F il parametro "Channel failure
aknowledge" è impostato su "Manually".
Nota
In caso di modifica del tempo di controllo F per la periferia F centrale o decentrata della
F-CPU, dopo la nuova compilazione il programma di sicurezza risulta modificato e potrebbe
richiedere un nuovo collaudo.
AVVERTENZA
L'acquisizione dello stato del segnale da trasmettere e la sua trasmissione al ricevente sono
garantite (in modalità fail-safe) solo se lo stato del segnale rimane attivo per un tempo pari
almeno al tempo di controllo parametrizzato. (S018)
AVVERTENZA
(S7-300, S7-400) Nel caso delle seguenti unità di ingressi/uscite fail-safe S7-300 (F-SM) con
funzionamento di sicurezza attivo, la "Group diagnostics" deve essere attivata in tutti i canali
collegati.
• SM 326; DI 8 x NAMUR (numero di articolo 6ES7326-1RF00-0AB0 e
6ES7326-1RF01-0AB0)
• SM 326; DO 10 x DC 24V/2A (numero di articolo 6ES7326-2BF01-0AB0)
• SM 336; AI 6 x 13 Bit (numero di articolo 6ES7336-1HE00-0AB0)
Verificare che la diagnostica cumulativa di questi F-SM sia effettivamente disattivata solo per
i canali di ingresso e uscita non utilizzati. (S003)
Ulteriori informazioni
La descrizione dettagliata dei parametri è contenuta nella Guida alle proprietà della
periferia F interessata e nel rispettivo manuale della periferia F.
Requisiti
• I requisiti elencati nella Guida a STEP 7 in "Controllo di configurazione (ampliamenti
futuri)" sono soddisfatti.
• La procedura descritta nella Guida a STEP 7 in "Controllo di configurazione (ampliamenti
futuri)" è stata eseguita. Trattare la periferia F come una periferia standard.
• Come versione del sistema Safety deve essere impostata la versione V2.1 o superiore.
• La periferia F per la quale si utilizza il controllo di configurazione (ampliamenti futuri) si
trova
– in posizione decentrata su una F-CPU S7-300/400/1200/1500
– in posizione centrale su una F-CPU S7-1500
Gli indirizzi PROFIsafe delle periferie F sono impostati e/o assegnati.
Nota
L'assegnazione degli indirizzi PROFIsafe (Pagina 68) è possibile solo se è effettivamente
installata la configurazione massima.
Procedura
(S7-1200, S7-1500) Disattivare la periferia F non presente nella rispettiva variante (opzione)
impostando la variabile DISABLE (Pagina 164) nel DB di periferia F (Pagina 159)
corrispondente su "1". In questo modo si evita che il LED di errore della F-CPU inizi a
lampeggiare e che vengano visualizzate le voci di diagnostica del programma di sicurezza che
si riferiscono a questa periferia F. La variabile DISABLED (Pagina 165) del rispettivo DB di
periferia F consente di determinare se un modulo F è disattivato.
(S7-300, S7-400) Non occorre alcun intervento per impedire il lampeggio del LED di errore
della F-CPU. Le voci di diagnostica non possono essere soppresse.
AVVERTENZA
2.5.1 Esempio
Introduzione
L'esempio seguente mostra come
• selezionare/riconoscere una opzione della stazione in modo sicuro
• disattivare le periferie F non presenti in una opzione della stazione (S7-1200/1500)
• predisporre il programma di sicurezza per diverse opzioni della stazione
Nota
Se si effettua la selezione / il riconoscimento di un'opzione della stazione solo nel programma
utente standard, l'"opzione della stazione" è disponibile solo come dato standard non
protetto.
Accertarsi che questo non possa causare degli stati pericolosi.
Osservare il capitolo "Scambio di dati tra programma utente standard e programma di
sicurezza (Pagina 187)".
Nota
Tutte le periferie F "opzionali" dovrebbero restare disattivate finché il riconoscimento
dell'opzione della stazione (durante l'avviamento del sistema F) non è concluso
(OptionSelectionRuns = TRUE).
Per evitare che l'arresto di emergenza cumulativo venga attivato nelle opzioni della stazione
in cui alcune macchine / alcuni segnali di arresto di emergenza non sono disponibili, è
possibile sopprimere la valutazione del segnale di arresto di emergenza delle macchine non
presenti tenendo conto dell'opzione della stazione attuale.
Indirizzi di destinazione F
Per l'assegnazione degli indirizzi di destinazione F vedere il capitolo "Raccomandazione per
l'assegnazione degli indirizzi PROFIsafe (Pagina 61)".
Vedere anche
Assegnazione di un indirizzo PROFIsafe al modulo F di uno Shared Device multiprogetto
(Pagina 73)
Requisiti
F-CPU S7-1500 con firmware V2.0 o superiore che supportano la funzione IRT.
Collegamento della periferia F con sincronismo di clock all'OB di allarme di sincronismo di clock
Alla periferia F con sincronismo di clock si accede tramite l'immagine di processo parziale
selezionata, proprio come nel caso di una periferia standard con sincronismo di clock.
Diversamente a quanto accade nella periferia standard con sincronismo di clock, l'immagine
di processo parziale viene sempre aggiornata automaticamente dal sistema F all'inizio o alla
fine dell'F-OB (vedere Struttura del programma di sicurezza (S7-1200, S7-1500)
(Pagina 106)).
Non è necessario richiamare le istruzioni SYNC_PI e SYNC_PO nell'F-OB.
Nota
Nella periferia F con sincronismo di clock non viene verificato (fail-safe) se tutti i dati di
ingresso delle periferie F assegnate all'immagine di processo parziale sono coerenti all'inizio
del blocco Main Safety, né se tutti i dati di uscita vengono trasmessi alle periferie F in modo
coerente, ovvero in ordine logico e cronologico. La coerenza viene verificata solo all'interno di
una periferia F.
La coerenza in tutta la periferia F con sincronismo di clock dell'immagine di processo parziale
dipende anche dal numero di periferie F con sincronismo di clock e dalle dimensioni del
programma di sicurezza nell'OB di allarme di sincronismo di clock.
Se sono richiesti determinati requisiti di coerenza, la coerenza dei dati di ingresso e di uscita
deve essere verificata manualmente, ad es. trasmettendo e valutando anche data e ora dei
dati di ingresso e di uscita delle periferie F con sincronismo di clock.
Figura 2-1 Assegnazione degli indirizzi per la periferia F del tipo di indirizzo PROFIsafe 1 e 2
Nella stampa di sicurezza (Pagina 357) sono elencate le seguenti informazioni per ogni
F-CPU:
• Parametro "Central F-source address" (indirizzo di origine F della periferia F del tipo di
indirizzo PROFIsafe 2)
• Area degli indirizzi di destinazione F effettivamente utilizzata della periferia F assegnata
del tipo di indirizzo PROFIsafe 1
• Area degli indirizzi di destinazione F effettivamente utilizzata della periferia F assegnata
del tipo di indirizzo PROFIsafe 2
Configurazioni supportate
La periferia F (vedere Panoramica della progettazione (Pagina 41)) è supportata nelle
configurazioni seguenti:
configurazione centralizzata (anche I-slave):
• La periferia F si trova sul telaio di montaggio della F-CPU associata.
• La periferia F si trova su un telaio di montaggio di ampliamento collegato al telaio di
montaggio della F-CPU associata.
configurazione decentrata (su un'interfaccia DP/PN integrata della CPU o su un CP/CM):
• PROFIBUS DP (anche a valle di un IE/PB Link)
– La periferia F si trova su uno slave DP.
– La periferia F si trova su uno slave DP e viene raggiunta mediante la comunicazione I-
slave-slave. Il master DP assegnato (l'IO Controller assegnato dell'IE/PB Link) può essere
una CPU standard o una F-CPU.
• PROFINET IO
– La periferia F si trova su un IO Device.
– La periferia F si trova in uno Shared Device multiprogetto. Gli Shared Device interni al
progetto non appartengono alle configurazioni supportate.
In un sistema ridondante S7-1500HF l'unica configurazione supportata è:
configurazione decentrata (su una interfaccia PN integrata della HF-CPU)
• PROFINET IO
– La periferia F si trova in un IO-Device associato ai sistemi IO di entrambe le F-CPU.
Ulteriori informazioni sugli IO Device per la ridondanza R1, S1 e S2 sono disponibili nel
Manuale di guida alle funzioni PROFINET
(https://support.industry.siemens.com/cs/ww/it/view/49948856) al capitolo "PROFINET
con sistema ridondante S7-1500R/H".
Per le periferie F non elencate in "Panoramica della progettazione (Pagina 41)" consultare la
relativa documentazione per verificare se sono supportate dal sistema F SIMATIC Safety. In
caso di dubbi, trattare la periferia F come una periferia appartenente ad una configurazione
non supportata.
AVVERTENZA
Se si progettano delle configurazioni che non fanno parte delle configurazioni supportate
osservare quanto segue:
• Accertarsi che la periferia F di questa configurazione compaia nella stampa di sicurezza e
che sia stato creato un apposito DB di periferia F. In caso contrario la periferia F non
potrà essere utilizzata in questa configurazione. (Rivolgersi al Customer Support.)
• Controllare per la periferia F nell'ambiente PROFINET IO** la correttezza del parametro
del modo di funzionamento PROFIsafe (F_Par_Version) utilizzando la stampa di sicurezza.
Nell'ambiente PROFINET IO va impostato V2-Mode. La periferia F che supporta solo V1-
Mode non può essere utilizzata in ambiente PROFINET IO.
• Verificare l'assegnazione univoca in tutta la CPU*/**** e in tutta la rete*** dell'indirizzo
PROFIsafe:
– Controllare la correttezza degli indirizzi PROFIsafe in base alla stampa di sicurezza.
– Controllare in base alla stampa di sicurezza se l'indirizzo di origine F della periferia F
del tipo di indirizzo PROFIsafe 2 coincide con il parametro "Central F-source address"
della F-CPU.
– Per la periferia F del tipo di indirizzo PROFIsafe 1 o se l'indirizzo di origine F non è
correttamente impostabile per il parametro "Central F-source address" della F-CPU, si
deve assicurare l'univocità dell'indirizzo PROFIsafe solo con l'assegnazione di un
indirizzo di destinazione F univoco.
In una configurazione non supportata, l'univocità dell'indirizzo di destinazione F deve
essere controllata singolarmente utilizzando la stampa di sicurezza. (Vedere Completezza
e correttezza della configurazione hardware (Pagina 360)) (S050)
* "in tutta la CPU" significa tutta la periferia F assegnata a una F-CPU: periferia F centrale di
questa F-CPU e periferia F per la quale la F-CPU è master DP/IO Controller e periferia F
assegnata in uno Shared Device. La periferia F indirizzata tramite comunicazione I-slave-slave,
è assegnata alla F-CPU dell'I-slave e non alla F-CPU del master DP/IO Controller.
** La periferia F si trova nell'"ambiente PROFINET IO" se almeno una parte della
comunicazione di sicurezza con la F-CPU avviene via PROFINET IO. Se la periferia F è collegata
mediante comunicazione I-slave-slave, va tenuto in considerazione il percorso di
comunicazione con il master DP/IO Controller.
*** Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete. Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite
PROFIBUS DP. In PROFINET IO una rete comprende tutti i nodi raggiungibili tramite
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP (IP,
Layer 3).
**** Nei sistemi S7-1500HF ridondanti le due F-CPU del sistema S7-1500HF ridondante
devono essere considerate come una unica F-CPU per quando riguarda gli indirizzi PROFIsafe.
Pertanto, il sistema imposta "Central F-source address" in modo identico per le due F-CPU.
Nota
Informazioni aggiuntive sull'assegnazione univoca degli indirizzi PROFIsafe per tutta la CPU e
tutta la rete sono contenute nelle FAQ
(https://support.industry.siemens.com/cs/ww/it/view/109740240).
Indirizzo di destinazione F
L'univocità dell'indirizzo PROFIsafe è garantita solo dall'indirizzo di destinazione F. L'indirizzo
di origine F non può essere visualizzato e non influisce sull'univocità dell'indirizzo PROFIsafe.
Pertanto l'indirizzo di destinazione F deve essere univoco in tutta la CPU (vedere le regole per
l'assegnazione dell'indirizzo riportate di seguito).
Per prevenire errori di parametrizzazione, durante l'inserimento della periferia F nell'area di
lavoro della vista dispositivi o nella vista di rete viene assegnato automaticamente un
indirizzo di destinazione F univoco in tutta la CPU se vengono progettate solo configurazioni
supportate (Pagina 62).
Per assegnare l'indirizzo di destinazione F in modo univoco anche a livello di rete quando una
rete comprende diversi sistemi master DP e sistemi PROFINET IO, nei sistemi F SIMATIC Safety
i parametri "Low limit for F-destination addresses" e "High limit for F-destination addresses"
devono essere impostati in modo mirato nelle proprietà della F-CPU prima di inserire la
periferia F (vedere il paragrafo Raccomandazioni per l'assegnazione degli indirizzi"), in modo
che le aree degli indirizzi di destinazione F non si sovrappongano.
In caso di modifica dell'indirizzo di destinazione F di una periferia F, viene verificata
automaticamente l'univocità dell'indirizzo di destinazione F in tutta la CPU per la
configurazione supportata. L'univocità a livello di rete dell'indirizzo di destinazione F in
genere deve essere verificata dall'utente.
Per i moduli F ET 200S, ET 200eco (PROFIBUS), ET 200pro, ET 200iSP e gli F-SM S7-300 vale
quanto segue:
L'indirizzo di destinazione F deve essere impostato sulla periferia F mediante DIL-switch prima
di montare la periferia F. Possono essere assegnati al massimo 1022 indirizzi di destinazione F
differenti.
Nota
(S7-300, S7-400) Nelle seguenti unità di ingressi/uscite fail-safe S7-300 l'indirizzo di
destinazione F è l'indirizzo iniziale dell'F-SM diviso 8:
• SM 326; DI 8 x NAMUR (dal numero di articolo 6ES7326-1RF00-0AB0)
• SM 326; DO 10 x DC 24V/2A (numero di articolo 6ES7326-2BF01-0AB0)
• SM 336; AI 6 x 13 Bit (numero di articolo 6ES7336-1HE00-0AB0)
Nella panoramica dispositivi della Vista dispositivi è possibile visualizzare le colonne "F-source
address" e "F-destination address". Gli indirizzi visualizzati in queste colonne hanno scopo
puramente informativo. Durante il collaudo dell'impianto gli indirizzi di destinazione F
devono essere controllati nella stampa di sicurezza.
AVVERTENZA
Alla periferia F del tipo di indirizzo PROFIsafe 1 viene assegnato un indirizzo univoco tramite
il suo indirizzo di destinazione F (ad es. con la posizione del selettore indirizzi).
L'indirizzo di destinazione F (e quindi anche la posizione del selettore indirizzi) della
periferia F deve essere univoco in tutta la rete* e in tutta la CPU**/*** (nell'intero sistema)
per l'intera periferia F. Va considerata qui anche la periferia F del tipo di indirizzo PROFIsafe
2. (S051)
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete. Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite
PROFIBUS DP. In PROFINET IO una rete comprende tutti i nodi raggiungibili tramite
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP (IP,
Layer 3).
** "in tutta la CPU" significa tutta la periferia F assegnata a una F-CPU: periferia F centrale di
questa F-CPU e periferia F per la quale la F-CPU è master DP/IO Controller e periferia F
assegnata in uno Shared Device. La periferia F indirizzata tramite comunicazione I-slave-slave,
è assegnata alla F-CPU dell'I-slave e non alla F-CPU del master DP/IO Controller.
*** Nei sistemi S7-1500HF ridondanti le due F-CPU del sistema S7-1500HF ridondante
devono essere considerate come una unica F-CPU per quando riguarda gli indirizzi PROFIsafe.
Pertanto, il sistema imposta "Central F-source address" in modo identico per le due F-CPU.
Osservare anche Raccomandazione per l'assegnazione degli indirizzi PROFIsafe (Pagina 61).
Nota
Informazioni aggiuntive sull'assegnazione univoca degli indirizzi PROFIsafe per tutta la CPU e
tutta la rete sono contenute nelle FAQ
(https://support.industry.siemens.com/cs/ww/it/view/109740240).
Vedere anche
Completezza della stampa di sicurezza (Pagina 357)
AVVERTENZA
Alla periferia F del tipo di indirizzo PROFIsafe 2 viene assegnato un indirizzo univoco
combinando l'indirizzo di origine F (parametro "Central F-source address" della F-CPU
assegnata) e l'indirizzo di destinazione F.
La combinazione dell'indirizzo di origine F e dell'indirizzo di destinazione F di ciascuna
periferia F deve essere univoca in tutta le rete* e in tutta la CPU**/*** (nell'intero sistema).
Inoltre l'indirizzo di destinazione F non deve essere occupato dalla periferia F del tipo di
indirizzo PROFIsafe 1.
Per assicurare l'univocità delle configurazioni supportate (Pagina 62) anche oltre la F-CPU, il
parametro "Central F-source address" di tutte le F-CPU deve essere univoco in tutta la rete*.
A questo scopo sono necessarie delle impostazioni differenti del parametro "Central F-
source address" delle F-CPU. (S052)
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete. Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite
PROFIBUS DP. In PROFINET IO una rete comprende tutti i nodi raggiungibili tramite
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP (IP,
Layer 3).
** "in tutta la CPU" significa tutta la periferia F assegnata a una F-CPU: periferia F centrale di
questa F-CPU e periferia F per la quale la F-CPU è master DP/IO Controller e periferia F
assegnata in uno Shared Device. La periferia F indirizzata tramite comunicazione I-slave-slave,
è assegnata alla F-CPU dell'I-slave e non alla F-CPU del master DP/IO Controller.
*** Nei sistemi S7-1500HF ridondanti le due F-CPU del sistema S7-1500HF ridondante
devono essere considerate come una unica F-CPU per quando riguarda gli indirizzi PROFIsafe.
Pertanto, il sistema imposta "Central F-source address" in modo identico per le due F-CPU.
Osservare anche Raccomandazione per l'assegnazione degli indirizzi PROFIsafe (Pagina 61).
Nota
Informazioni aggiuntive sull'assegnazione univoca degli indirizzi PROFIsafe per tutta la CPU e
tutta la rete sono contenute nelle FAQ
(https://support.industry.siemens.com/cs/ww/it/view/109740240).
Vedere anche
Completezza della stampa di sicurezza (Pagina 357)
Introduzione
L'indirizzo PROFIsafe (Pagina 66), composto dall'indirizzo di origine F e dall'indirizzo di
destinazione F per
• moduli fail-safe ET 200SP,
• moduli fail-safe S7-1500/ET 200MP,
• moduli di periferia fail-safe ET 200AL,
• moduli di periferia fail-safe ET 200eco PN
si assegna direttamente da STEP 7 Safety.
Nel caso dei moduli F S7-1200 l'indirizzo PROFIsafe viene assegnato in modo automatico
durante il caricamento della configurazione hardware.
Tutti questi sistemi di periferia F non dispongono di un interruttore DIL con cui impostare
l'indirizzo di destinazione F univoco per ciascun modulo.
Nei seguenti casi i moduli fail-safe ET 200SP, i moduli fail-safe S7-1500/ET 200MP e i moduli
di periferia fail-safe ET 200AL e ET 200eco PN richiedono una nuova assegnazione:
• Inserimento a posteriori di un modulo F durante la prima messa in servizio (non per
ET 200eco PN)
• Modifica intenzionale dell'indirizzo di destinazione F
• Modifica del parametro "Central F-source address" della relativa F-CPU (modifica l'indirizzo
di origine F).
• Sostituzione dell'elemento di codifica
• Messa in servizio della macchina di serie
Non è necessario eseguire una nuova assegnazione per i moduli fail-safe ET 200SP e i moduli
fail-safe S7-1500/ET 200MP nei casi seguenti:
• RETE OFF/RETE ON
• Sostituzione di un modulo F (in caso di riparazione) senza PG/PC
• Sostituzione della BaseUnit (acquisizione dell'elemento di codifica con indirizzo di
origine F e indirizzo di destinazione F assegnato nella nuova BaseUnit)
• Sostituzione di una BaseUnit senza elemento di codifica
• Modifiche alla configurazione in caso di inserimento di una nuova BaseUnit davanti al
modulo F
• Riparazione/sostituzione del modulo di interfaccia
Non è necessario eseguire una nuova assegnazione per i moduli di periferia fail-safe
ET 200eco PN ed ET 200AL nei casi seguenti:
• RETE OFF/RETE ON
• Sostituzione del modulo compatto (acquisizione dell'elemento di codifica con indirizzo di
origine F assegnato nel nuovo modulo compatto)
Procedura generale
Nota
Assegnazione dell'indirizzo PROFIsafe per i moduli F S7-1200
Il procedimento per l'identificazione e l'assegnazione degli indirizzi PROFIsafe descritto di
seguito non è necessario per i moduli F S7-1200.
Tenere presente che in un sistema S7-1200 non deve essere presente alcun modulo F
aggiuntivo non configurato.
Nota
Utilizzo dei Device R1
L'indirizzo PROFIsafe per le periferie F può essere assegnato in un Device R1 solo mediante il
modulo d'interfaccia sinistro del Device R1. Pertanto nella finestra di dialogo "Assign
PROFIsafe address" viene sempre visualizzato il modulo di interfaccia posto a sinistra. Per
potere assegnare l'indirizzo PROFIsafe è necessario che il modulo d'interfaccia sinistro venga
alimentato in tensione.
Se le due HF-CPU del sistema ridondante S7-1500HF si trovano in due sottoreti separate, il PG
e la HF-CPU da utilizzare per l'assegnazione dell'indirizzo PROFIsafe devono trovarsi nella
stessa sottorete.
Requisiti
Devono essere soddisfatti i seguenti requisiti:
• La F-CPU e i moduli F sono configurati.
• In caso di impiego di un ET 200SP Open Controller deve essere caricata la configurazione
hardware dell'ET 200SP Open Controller e del Software Controller fail-safe.
• La F-CPU e i moduli F sono raggiungibili online.
AVVERTENZA
Assicurarsi che la configurazione hardware attuale sia stata caricata nella F-CPU prima
dell'identificazione. Facendo clic sul pulsante "Identification" e successivamente su "Assign
PROFIsafe address" si conferma la correttezza fail-safe degli indirizzi PROFIsafe per le
periferie F.
Pertanto occorre procedere attentamente in caso di conferma delle periferie F mediante
lampeggio LED oppure tramite il numero di serie della F-CPU con periferie F centrali o il
numero di serie del modulo di interfaccia con periferie F.
L'assegnazione degli indirizzi PROFIsafe con il numero di serie del modulo di interfaccia è
consentita solo se l'assegnazione deve essere eseguita per tutte le periferie F di una
stazione. È quindi necessario leggere e annotare il numero di serie direttamente dalla
F-CPU* o dal modulo di interfaccia**. Non è possibile leggere da memoria il numero di serie
dalla vista Online e di diagnostica di TIA Portal.
Per le periferie F del sistema di periferia decentrata ET 200AL vale una regola speciale. Per
queste periferie F è consentita unicamente l'identificazione mediante lampeggio e deve
essere sempre selezionata una sola periferia F per l'assegnazione dell'indirizzo PROFIsafe.
* Per l'ET 200SP Open Controller, si deve leggere e annotare il numero di serie dal menu
"Overview > CPU" sul display del Software Controller S7-1500 fail-safe.
** Per il dispositivo R1 si deve leggere e annotare il numero di serie del modulo di
interfaccia sinistro. (S046)
Procedura
Per l'identificazione dei moduli F procedere nel modo seguente:
1. Stabilire un collegamento online con la F-CPU a cui sono assegnati i moduli F.
2. Nella vista di rete selezionare:
– la F-CPU con i moduli F,
– il modulo di interfaccia con i moduli F,
a cui si vogliono assegnare gli indirizzi PROFIsafe.
In alternativa è possibile selezionare anche un solo modulo F.
3. Selezionare dal menu di scelta rapida "Assign PROFIsafe address".
Nota
Se si integra un modulo fail-safe ET 200AL in una configurazione del sistema di periferia
decentrata ET 200SP (configurazione mista ET 200AL/ET 200SP con ET-Connection) si deve
aprire la finestra di dialogo "Assign PROFIsafe address" nella vista dispositivi dell'ET 200SP
separatamente per ciascun modulo fail-safe ET 200AL.
4. Selezionare in "Assign PROFIsafe address by" il metodo per l'identificazione del modulo F.
– "Identification by LED flashing"
Questa è l'impostazione predefinita. Durante l'identificazione lampeggiano i LED DIAG
e STATUS dei moduli F da identificare.
– "Identification by serial number"
Se non si ha una vista diretta dei moduli F, è possibile identificare i moduli F tramite il
numero di serie annotato della F-CPU o del modulo di interfaccia.
Nota
Il numero di serie visualizzato può essere integrato con la cifra di un anno rispetto al
numero di serie stampato sulla F-CPU o sul modulo di interfaccia. I numeri di serie
tuttavia sono identici.
Requisiti
L'identificazione dei moduli F è riuscita.
Procedura
Per l'assegnazione dell'indirizzo PROFIsafe, procedere nel modo seguente:
1. Selezionare tutti i moduli F ai quali si vuole assegnare l'indirizzo di origine F e gli indirizzi di
destinazione F nella colonna "Confirm".
2. Con il pulsante "Assign PROFIsafe address" assegnare l'indirizzo PROFIsafe ai moduli F.
Eventualmente è necessario inserire la password della F-CPU.
Per assegnare l'indirizzo PROFIsafe si deve confermare la finestra di dialogo "Confirm
PROFIsafe address assignement" entro 60 secondi.
Introduzione
L'assegnazione dell'indirizzo PROFIsafe di un modulo F di uno Shared Device multiprogetto
può essere effettuata solo dal progetto in cui si trova l'IO Controller (F-CPU) a cui è assegnato
il modulo F.
Di conseguenza la finestra di dialogo "Assign PROFIsafe address" consente di selezionare per
l'assegnazione dell'indirizzo PROFIsafe solo i moduli F associati a un IO Controller (F-CPU) del
progetto.
Requisiti
Devono essere soddisfatti i seguenti requisiti:
• Tutti i requisiti specificati nei capitoli "Identificazione di moduli F (Pagina 70)" e
"Assegnazione dell'indirizzo PROFIsafe (Pagina 72)".
• È stata caricata la configurazione hardware di tutti gli IO Controller (F-CPU) a cui è stato
assegnato un modulo F dello Shared Device.
• Tutti gli IO Controller (F-CPU) a cui è stato assegnato un modulo F dello Shared Device e lo
Shared Device devono trovarsi nella stessa sottorete.
Procedura
Per identificare i moduli F e assegnare l'indirizzo PROFIsafe, procedere come indicato nei
capitoli "Identificazione di moduli F (Pagina 70)" e "Assegnazione dell'indirizzo PROFIsafe
(Pagina 72)".
Se i moduli F di uno Shared Device multiprogetto sono assegnati a più IO Controller (F-CPU)
in diversi progetti, assegnarne l'indirizzo uno dopo l'altro dai diversi progetti.
Vedere anche
Progettazione di Shared Device (Pagina 59)
Nota
Osservare che anche dopo una modifica dell'indirizzo PROFIsafe di una periferia F deve essere
eseguito un Collaudo (Pagina 360) compreso un Controllo della modifica (Pagina 372) per
Stampa di sicurezza (Pagina 329).
Requisiti
Il requisito per l'impiego di slave DP standard fail-safe per SIMATIC Safety è che questi slave
standard siano su PROFIBUS DP e che supportino il profilo di bus PROFIsafe. In caso di impiego
di una F-CPU S7-1200/1500 devono supportare il profilo di bus PROFIsafe nel V2-MODE.
Gli slave DP standard fail-safe che devono essere impiegati in configurazioni miste su
PROFIBUS DP e PROFINET IO dopo IE/PB Link, devono supportare il profilo di bus PROFIsafe nel
V2-MODE.
Il requisito per l'impiego di device IO standard fail-safe per SIMATIC Safety, è che questi slave
standard siano su PROFINET IO e che supportino il profilo di bus PROFIsafe nel V2-MODE.
Protezione della struttura dei dati del dispositivo nel file GSD
Sono supportati solo file GSD che soddisfano la protezione richiesta a partire dalla PROFIsafe
Specification V2.0 con un CRC memorizzato in questo file ("Valore di riferimento" per
F_IO_StructureDescCRC).
Durante l'inserimento della periferia F nella configurazione hardware e la compilazione della
configurazione hardware, viene controllata la struttura dei dati descritta nel file GSD. Se viene
rilevato un errore durante queste operazioni, è necessario verificare se il file GSD fornito dal
produttore del dispositivo contiene il valore di riferimento per F_IO_StructureDescCRC.
AVVERTENZA
Verificare nella documentazione dello slave DP standard fail-safe/IO device standard fail-safe
qual è il tipo di indirizzo PROFIsafe valido. In assenza di indicazioni utilizzare il tipo di
indirizzo PROFIsafe 1. Per la progettazione procedere come descritto in Indirizzi PROFIsafe
della periferia F del tipo di indirizzo PROFIsafe 1 (Pagina 64) o Indirizzi PROFIsafe della
periferia F del tipo di indirizzo PROFIsafe 2 (Pagina 66).
Impostare l'indirizzo di origine F per gli slave DP standard fail-safe / gli IO device standard
fail-safe secondo le indicazioni del produttore. Se l'indirizzo di origine F deve coincidere con
il parametro "Central F-source address" della F-CPU (tipo di indirizzo PROFIsafe 2),
quest'ultimo è reperibile nella scheda "Proprietà" della F-CPU. In questo caso controllare
nella stampa di sicurezza se il valore della F-CPU per il parametro "Central F-source address"
coincide con il valore dell'indirizzo di origine F dello slave DP standard fail-safe /
dell'IO device standard fail-safe. (S053)
Varianti di F_CRC_Seed F_Passivation Comportamento del device IO standard fail- Impiegabile nella
modulo F safe F-CPU
1 Parametro non Parametro non Il device IO standard funziona con il Basic S7-300/400/1200/
disponibile disponibile Protocol (BP) di PROFIsafe. 1500*
Il profilo "RIOforFA-Safety" non è supportato.
2 CRC-Seed24/32 Device/moduli Il device IO standard funziona con l'Expanded S7-1200/1500
Protocol (XP) di PROFIsafe.
Il profilo "RIOforFA-Safety" non è supportato.
3 CRC-Seed24/32 Channel Il device IO standard funziona con l'Expanded S7-1200/1500
Protocol (XP) di PROFIsafe.
Il profilo "RIOforFA-Safety" è supportato.
* Utilizzare la variante di modulo F 1 con le F-CPU S7-1200/1500 solo se non è disponibile né la variante di modulo F 2 né la
variante 3.
Ulteriori informazioni
La descrizione dei parametri si trova nella Guida agli slave standard DP e ai device IO standard
fail-safe:
Vedere anche
Struttura del programma di sicurezza (S7-1200, S7-1500) (Pagina 106)
Struttura del programma di sicurezza (S7-300, S7-400) (Pagina 104)
Definizione dei gruppi di esecuzione F (Pagina 128)
Requisiti
Il Safety Administration Editor è visibile come riga nella navigazione del progetto, se nel
progetto è stata progetta una CPU come F-CPU, ovvero l'opzione "F-capability activated" deve
essere selezionata (nelle proprietà della F-CPU).
Procedura
Per richiamare il Safety Administration Editors procedere nel modo seguente:
1. Aprire la cartella della propria F-CPU nella navigazione del progetto.
2. Fare doppio clic su "Safety Administration" o selezionare il menu di scelta rapida
corrispondente del Safety Administration Editor tramite il tasto destro del mouse.
Risultato
Nell'area di lavoro si apre il Safety Administration Editor per la F-CPU.
"F-signatures"
Stat Significato
o
Le firme collettive F online e offline corrispondono
Per ulteriori informazioni sulla coerenza del programma di sicurezza online consultare
Identità del programma online e offline (Pagina 369).
Vedere anche
Identificazione del programma (Pagina 325)
Nota
Quando si aggiungono o eliminano periferie F è necessario generare di nuovo
"RTGx_GLOB_FIO_STATUS".
Vedere anche
Valori di processo o sostitutivi (Pagina 157)
Requisiti
• Utilizzabili solo FC standard.
• Nell'interfaccia del blocco di un FC standard sono temporaneamente ammessi solo dati
locali e constati.
• (S7-1500) Se il gruppo di esecuzione F si trova in una Safety Unit e le FC devono essere
utilizzate all'esterno della Safety Unit, si devono pubblicare le FC e collegarne la rispettiva
Software Unit alla Safety Unit tramite una Relation.
Procedura
1. Creare gli FC standard per la pre/postelaborazione.
2. Assegnare gli FC standard nel Safety Administration Editor in "Pre/Post processing of the F-
runtime group".
Nota
Se si cancella un FC assegnato o lo si sovrascrive con una copia, la sua selezione come
modulo di pre/postelaborazione viene automaticamente resettata.
Comportamento di caricamento
I richiami degli FC standard selezionati vengono collocati nell'F-OB prima o dopo il richiamo
del blocco Main Safety.
Questo significa che per un successivo download è necessario lo stato di funzionamento
STOP.
Le modifiche del contenuto dei FC standard selezionati possono essere effettuate in RUN.
Fanno eccezione le modifiche dei nomi e dei numeri di blocco, che comportano anche la
compilazione del programma di sicurezza.
Se un blocco di pre/postelaborazione viene caricato singolarmente dalla F-CPU, non si collega
automaticamente al gruppo di esecuzione F nel Safety Administration Editor.
Se invece viene eseguito un caricamento coerente dalla F-CPU al PG/PC, anche le impostazioni
di pre e postelaborazione vengono aggiornate in base alla CPU online.
Panoramica
L'area "F-blocks" è supportata durante la:
• visualizzazione dei blocchi F utilizzati nel programma di sicurezza
• visualizzazione dei blocchi F utilizzati nei gruppi di esecuzione F
• visualizzazione di ulteriori informazioni sui blocchi F
I blocchi F sono visualizzati in modo gerarchico, come nella cartella "Program blocks".
Una descrizione dei blocchi F si trova in "Creazione di blocchi F in FUP/KOP (Pagina 145)".
Informazioni visualizzate
Le seguenti informazioni vengono visualizzate nella modalità offline:
• I blocchi F visualizzati sono stati compilati e utilizzati
• Funzione dei blocchi F nel programma di sicurezza
• Firma del blocco
• Firma di gruppo
• Data e ora della modifica dei blocchi F
Le seguenti informazioni vengono visualizzate nella modalità online:
• Stato (se il blocco online e offline hanno la stessa data e ora)
• Funzione del blocco F nel programma di sicurezza
• Firma del blocco offline
• Firma di gruppo offline
• Firma del blocco online
• Firma di gruppo online
Nota
In singoli casi, durante il confronto offline-online possono verificarsi diversi stati di confronto
tra editor di confronto e visualizzazione di stato nel Safety Administration Editor. Il risultato
del confronto nell'editor di confronto è decisivo, poiché solo qui i blocchi F confluiscono nel
confronto in termini di contenuto.
Nota
Le firme del gruppo vengono definite in base a quelle dei blocchi F contenuti nel gruppo
stesso e in sottogruppi. Vengono presi in considerazione solo i blocchi F utilizzati nel
programma di sicurezza. Vengono visualizzate solo le firme di gruppo fino al 6° livello della
gerarchia.
Funzione di filtro
Panoramica
Nell'area "F-compliant PLC data types" si ottengono informazioni sui tipi di dati PLC definiti
dall'utente come conformi a F (UDT).
I tipi di dati PLC conformi a F (UDT) possono essere eliminati tramite il menu di scelta rapida.
Per una descrizione dei tipi di dati PLC conformi a F (UDT) consultare "Tipi di dati PLC
conformi a F (UDT) (S7-1200, S7-1500) (Pagina 120)".
Informazioni visualizzate
Le seguenti informazioni sui tipi di dati PLC conformi a F (UDT) vengono visualizzate in
modalità offline:
• Come viene utilizzato il tipo di dati PLC conforme a F nel programma di sicurezza?
• Data e ora dell'ultima modifica.
Le seguenti informazioni sui tipi di dati PLC conformi a F (UDT) vengono visualizzate in
modalità online:
• Stato (se i tipi di dati PLC conformi a F (UDT) online e offline hanno la stessa data e ora)
I tipi di dati PLC conformi a F (UDT) sono visualizzati in modo gerarchico, come nella cartella
"PLC data types".
Fare doppio clic per aprire il tipo di dati PLC conforme a F (UDT) e modificarlo.
Per descrizione dei simboli nella colonna "Status" vedere "Confronto dei programmi di
sicurezza (Pagina 326)".
Nota
In singoli casi, durante il confronto offline-online può verificarsi uno stato di confronto
diverso tra editor di confronto e visualizzazione di stato nel Safety Administration Editor. Il
risultato del confronto nell'editor di confronto è decisivo, poiché solo qui i tipi di dati PLC
conformi a F (UDT) confluiscono nel confronto in termini di contenuto.
Vedere anche
Completezza e correttezza della configurazione hardware (Pagina 360)
Il numero minimo da impostare è determinato dalla richiesta di dati locali dei blocchi F,
integrato automaticamente durante la compilazione del programma di sicurezza:
Per questo motivo è necessario mettere a disposizione almeno 440 byte. In base alla richiesta
di dati locali dei blocchi F creati con FUP o KOP, la richiesta di dati locali integrati
automaticamente può essere più elevata.
Per questo motivo mettere a disposizione la quantità di dati locali massima possibile. Se non
sono disponibili dati locali sufficienti (da > 440 byte) per i blocchi F integrati
automaticamente, il programma di sicurezza viene compilato comunque.
Al posto dei dati locali, vengono utilizzati i dati contenuti negli F-DB integrati
automaticamente. Tuttavia, questo aumenta il tempo di esecuzione del gruppo/dei gruppi di
esecuzione F. Se i blocchi F integrati automaticamente richiedono più dati locali di quelli
progettati, si riceve un'avvertenza.
AVVERTENZA
Il calcolo del tempo di esecuzione massimo del gruppo di esecuzione F con il file Excel per il
calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831) in questo caso non è più
corretto, in quanto il calcolo si basa sulla disponibilità di una quantità sufficiente di dati
locali F.
In questo caso, per il calcolo dei tempi di reazione massimi in caso di errore e con qualsiasi
tempo di esecuzione del sistema standard con il suddetto file Excel per il tempo di
esecuzione massimo del gruppo di esecuzione F si deve utilizzare il valore progettato per il
tempo di ciclo massimo del gruppo di esecuzione F (tempo di controllo F). (S004)
Il numero massimo possibile di dati locali dipende dalla richiesta di dati locali del blocco
Main Safety e del programma utente standard sovraordinato (S7-300, S7-400):
Impostare il parametro "Local data used in safety program" sulla dimensione massima dei dati
locali della F-CPU utilizzata meno la richiesta di dati locali del blocco Main Safety (per 2 gruppi
di esecuzione F del blocco Main Safety con maggiore richiesta di dati locali) meno la richiesta
di dati locali dell'OBx che esegue il richiamo (per 2 gruppi di esecuzione F dell'OBx con la
richiesta di dati locali maggiori).
Osservazione: Se non sono stati dichiarati dati locali temporanei nei blocchi Main Safety e
nell'OBx di richiamo, la richiesta di dati locali dei blocchi Main Safety è di 6 byte e la richiesta
di dati locali dell'OBx di richiamo è di 26 byte. Se necessario, è possibile rilevare dalla struttura
del programma la richiesta di dati locali dai blocchi Main Safety e dagli OBx di richiamo.
Selezionare la F-CPU utilizzata e successivamente "Tools > Call structure" nella navigazione del
progetto. Nella tabella è riportata la richiesta di dati locali nel percorso o per i singoli blocchi
(vedere anche la guida a STEP 7).
Impostare il parametro "Local data used in safety program" sul valore rilevato per il caso 1,
meno la richiesta di dati locali del programma utente standard A (per i gruppi di esecuzione 2
F del programma utente standard A con la maggiore richiesta di dati locali).
Osservazione: La richiesta dei dati locali del programma utente standard A sono riportati
nella struttura del programma.
Selezionare la F-CPU utilizzata e successivamente "Tools > Call structure" nella navigazione del
progetto. Nella tabella è riportata la richiesta di dati locali nel percorso o per i singoli blocchi
(vedere anche la guida a STEP 7).
"Advanced settings"
AVVERTENZA
Il valore per il rispettivo ID di comunicazione F (ingresso DP_DP_ID; tipo di dati: INT) può
essere selezionato liberamente**, ma deve essere univoco in tutta la rete* e in tutta la
CPU**** in qualsiasi momento e per tutti i collegamenti di comunicazione orientati alla
sicurezza. L'univocità deve essere verificata nella stampa del programma di sicurezza
durante il collaudo del programma di sicurezza.
Al richiamo dell'istruzione, agli ingressi DP_DP_ID e LADDR devono essere assegnati dei
valori costanti***. Nel programma di sicurezza non sono consentiti accessi in scrittura
diretti a DP_DP_ID e LADDR nei rispettivi DB di istanza! (S016)
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete. Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite
PROFIBUS DP. In PROFINET IO una rete comprende tutti i nodi raggiungibili tramite
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP (IP,
Layer 3).
** S7-1200/1500: A partire dalla versione V3.0 delle istruzioni SENDDP e RCVDP, in presenza
di un ID di comunicazione F "0" sull'ingresso DP_DP_ID non viene stabilita alcuna
comunicazione.
*** S7-1200/1500: A partire dalla versione V3.0 delle istruzioni SENDDP e RCVDP all'ingresso
DP_DP_ID possono essere assegnati anche valori variabili di un F-DB globale. Anche in questo
caso durante il collaudo del programma di sicurezza va verificato che l'univocità sia garantita
in qualsiasi momento controllando conseguentemente l'algoritmo per la formazione del
valore variabile. Se all'avviamento del programma di sicurezza non è possibile garantire un ID
di comunicazione F univoco perché quest'ultimo viene definito solo dopo l'avviamento del
programma di sicurezza, assicurarsi che il valore sull'ingresso DP_DP_ID in questa fase sia "0".
**** Nei sistemi S7-1500HF ridondanti le due F-CPU del sistema S7-1500HF ridondante
devono essere considerate come una unica F-CPU per quando riguarda il DP_DP_ID.
Requisiti
• F-CPU S7-1500 a partire dal firmware V2.0
• F-CPU S7-1200 a partire dal firmware V4.2
• Versione di sistema Safety a partire da V2.2
Vedere anche
Flexible F-Link (Pagina 283)
Comunicazione del gruppo di esecuzione F (S7-1200, S7-1500) (Pagina 141)
AVVERTENZA
L'accesso al sistema F SIMATIC Safety senza protezione di accesso è previsto a scopo di test,
per la messa in servizio, ecc. se l'impianto non si trova nel funzionamento produttivo. Senza
protezione dell'accesso, la sicurezza dell'impianto deve essere assicurata con altre misure
organizzative (Pagina 611).
Configurare e attivare la protezione di accesso prima di passare al funzionamento
produttivo. (S005)
Introduzione
È possibile controllare l'accesso al sistema F SIMATIC Safety con la protezione di accesso ai
dati di progetto rilevanti per la sicurezza e alla password per la F-CPU.
4.2.1 Protezione di accesso in tutta la CPU per i dati di progetto rilevanti per la
sicurezza
Configurazione della protezione di accesso in tutta la CPU per i dati di progetto rilevanti per la
sicurezza
Per impostare una protezione di accesso in tutta la CPU per i dati di progetto rilevanti per la
sicurezza, assegnare una password per il programma di sicurezza. Procedere nel modo
seguente:
1. Aprire la cartella della propria F-CPU nella navigazione del progetto.
2. Selezionare "Safety Administration" e successivamente nel menu di scelta rapida "Go to
protection".
In alternativa fare doppio clic su "Safety Administration". Si apre il Safety Administration
Editor della F-CPU. Nella navigazione dell'area selezionare "Access protection".
3. Selezionare in "Offline safety program protection" il pulsante "Setup" e inserire nella finestra
successiva la password (max. 30 caratteri) per il programma di sicurezza nei campi "New
password" e "Confirm password".
4. Confermare l'immissione della password con "OK".
È stata configurata la protezione di accesso in tutta la CPU per i dati di progetto rilevanti per la
sicurezza ed è stata ottenuta l'autorizzazione di accesso per i dati di progetto rilevanti per la
sicurezza.
Nota
Per ottimizzare la protezione di accesso, utilizzare password diverse per la F-CPU e per il
programma di sicurezza.
Eliminazione della protezione di accesso in tutta la CPU per i dati di progetto rilevanti per la
sicurezza
Per eliminare una protezione di accesso in tutta la CPU per i dati di progetto rilevanti per la
sicurezza, eliminare la password per il programma di sicurezza. Procedere nel modo
seguente:
1. Aprire la cartella della propria F-CPU nella navigazione del progetto.
2. Selezionare "Safety Administration" e successivamente nel menu di scelta rapida "Go to
protection".
In alternativa fare doppio clic su "Safety Administration". Si apre il Safety Administration
Editor della F-CPU.
3. Nella navigazione dell'area selezionare "Access protection".
4. Fare clic sul pulsante "Change".
5. Inserire la password per il programma di sicurezza in "Old password".
6. Fare clic su "Revoke" e successivamente su "OK".
4.2.2 Protezione di accesso a livello del progetto per i dati di progetto rilevanti
per la sicurezza
In alternativa alla protezione dell'accesso in tutta la CPU per i dati di progetto rilevanti per la
sicurezza con una password nel Safety Administration Editor, è disponibile una protezione del
progetto per il progetto TIA.
Assegnare quindi il diritto di accesso alla funzione "Edit safety-related project data" per utenti
che possono modificare dati di progetto rilevanti per la sicurezza. A tal fine, procedere come
di consueto per i diritti di accesso alla funzione. Per ulteriori informazioni consultare la guida
a STEP 7 in "Gestisci utenti e ruoli".
Nota
Quando si attiva la protezione di accesso a livello del progetto, le password esistenti per i dati
di progetto rilevanti per la sicurezza vengono cancellate per tutte le F-CPU.
Gli utenti che necessitano del diritto di accesso alla funzione "Edit safety-related project data"
possono necessitare di altri diritti di accesso alla funzione, ad es:
• "Modify PLC program", per modificare il programma di sicurezza
• "Downloading to PLC", per caricare i dati di progetto rilevanti per la sicurezza nella F-CPU
• "Modify hardware configuration", per eseguire modifiche della configurazione hardware
rilevante per la sicurezza
AVVERTENZA
(S7-300, S7-400) Nel funzionamento produttivo, in caso di modifiche del programma utente
standard non deve essere attiva l'autorizzazione di accesso tramite la password della CPU,
perché in questo caso è possibile modificare anche il programma di sicurezza. Per escludere
questa possibilità è necessario progettare il livello di protezione "Write protection for fail-
safe blocks" e una password per la F-CPU. Se solo una persona è autorizzata a modificare il
programma utente standard e il programma di sicurezza, deve essere progettato il livello di
protezione "Write protection" o "Read/write protection" in modo da consentire solo un
accesso limitato o negare l'accesso all'intero programma utente (programma standard e
programma di sicurezza) alle altre persone. (S001)
AVVERTENZA
(S7-1200, S7-1500) Nel funzionamento produttivo si devono proteggere con una password
i dati di progetto rilevanti per la sicurezza. Progettare almeno il livello di protezione "Full
access (no protection)" e assegnare una password in "Full access with fail-safe (no
protection)". Questo livello di protezione concede l'accesso completo solo al programma
utente standard, ma non ai blocchi F.
Se si sceglie un livello di protezione più alto, ad es. per proteggere il programma utente
standard, è necessario assegnare una password aggiuntiva per "Full access (no protection)".
Assegnare password differenti per i singoli livelli di protezione. (S041)
Mediante il caricamento (Pagina 295) della configurazione hardware sulla F-CPU, si attiva la
protezione di accesso.
AVVERTENZA
Se più F-CPU sono accessibili dallo stesso PG/PC tramite una rete (ad es. Industrial
Ethernet), occorre adottare le seguenti misure aggiuntive per assicurarsi che i dati di
progetto rilevanti per la sicurezza vengano caricati nella F-CPU corretta:
Utilizzare password specifiche per le F-CPU, ad es. una password univoca per le F-CPU con
allegato il rispettivo indirizzo Ethernet.
Osservare quanto segue:
• Il primo caricamento della configurazione hardware per l'attivazione della protezione di
accesso di una F-CPU deve avvenire tramite un collegamento punto a punto (come nel
caso della prima assegnazione di un indirizzo MPI a una F-CPU).
• Prima di caricare in una F-CPU i dati di progetto rilevanti per la sicurezza è necessario
annullare l'eventuale autorizzazione di accesso a un'altra F-CPU.
• L'ultimo caricamento dei dati di progetto rilevanti per la sicurezza prima del passaggio al
funzionamento produttivo deve essere effettuato con la protezione di accesso attivata.
(S021)
AVVERTENZA
In caso di impiego di tool per l'automazione o il comando (via TIA Portal o server Web) in
grado di aggirare la protezione di accesso della F-CPU (ad es. memorizzazione o immissione
automatica di una password CPU per il livello di protezione "Full access with fail-safe (no
protection)" o di una password del server Web), la protezione contro la modifica accidentale
dei dati di progetto rilevanti per la sicurezza potrebbe non essere più garantita. (S078)
AVVERTENZA
AVVERTENZA
L'accesso alla F-CPU deve essere riservato, tramite misure organizzative (Pagina 611), solo
alle persone autorizzate a inserire supporti dati rimovibili. (S079)
Per evitare che un WinAC RTX F o un Software Controller S7-1500 F venga disinstallato o
installato per errore, osservare l'avvertenza seguente:
AVVERTENZA
In un Software Controller S7-1500 F con una stazione PC fino alla versione V2.1, la funzione
"Delete Configuration" viene visualizzata sul pannello della stazione PC solo se nella F-CPU
non è configurata una protezione di accesso (nessuna protezione).
Nelle stazioni PC a partire dalla versione V2.2, il sistema verifica se l'utente Windows attuale
fa parte del gruppo di utenti Windows "Failsafe Operators". Se l'utente Windows che ha
effettuato il login è un membro del gruppo, egli è autorizzato ad eseguire la funzione "Delete
Configuration" anche con la password F impostata. Se l'utente Windows che ha effettuato il
login non è un membro del gruppo, la stazione PC si comporta come le stazioni fino alla
versione V2.1.
Si raccomanda pertanto di configurare la protezione di accesso F solo dopo la messa in
servizio.
Per evitare in una F-CPU S7-1500 il ripristino accidentale dei dati di progetto rilevanti per la
sicurezza, la formattazione della F-CPU e l'eliminazione delle cartelle di programma tramite il
display, osservare l'avvertenza seguente:
AVVERTENZA
La password del display deve essere comunicata solo a persone autorizzate ad eseguire il
ripristino dei dati di progetto rilevanti per la sicurezza, la formattazione della F-CPU e
l'eliminazione delle cartelle del programma. Se non è impostata nessuna password per il
display, si deve proteggere il display contro l'uso non autorizzato mediante misure
organizzative (Pagina 611). (S063)
Per evitare il ripristino accidentale dei dati di progetto rilevanti per la sicurezza del
programma di sicurezza con il server web nelle F-CPU S7-1200/1500, osservare l'avvertenza
seguente:
AVVERTENZA
L'autorizzazione "F-Admin" sul server Web senza protezione con password (utente
"Everybody") è prevista a scopo di test, per la messa in servizio, ecc. Questo significa che può
essere utilizzata solo quando l'impianto non si trova nel funzionamento produttivo. In
questo caso la sicurezza dell'impianto deve essere assicurata con altre misure organizzative
(Pagina 611).
È necessario rimuovere l'autorizzazione "F-Admin" dell'utente "Everybody" prima di passare
al funzionamento produttivo.
La password utente del server Web con l'autorizzazione "F-Admin" deve essere accessibile
solo a persone autorizzate. Dopo il caricamento della configurazione hardware, controllare
se sulla F-CPU solo gli utenti autorizzati del server Web possiedono l'autorizzazione "F-
Admin". A tal fine utilizzare la modalità online del Safety Administration Editor.
Il salvataggio del file di login e della password del server Web nel browser è consentito solo
se sono state adottate altre misure organizzative (Pagina 611) che impediscono l'utilizzo da
parte di persone non autorizzate.
Se si utilizza il meccanismo dei ticket, è necessario impostare i ticket con lo stesso livello di
limitazione della password dell'utente del server Web che ha il diritto "F Admin". (S064)
Introduzione
Un programma di sicurezza è costituito da blocchi F creati con il linguaggio di
programmazione FUP o KOP e da blocchi F aggiunti automaticamente. In questo modo nel
programma di sicurezza creato dall'utente vengono inserite automaticamente delle misure di
controllo e di riconoscimento degli errori e vengono eseguite delle verifiche aggiuntive
rilevanti per la sicurezza. Inoltre, l'utente ha la possibilità di inserire nel programma di
sicurezza delle speciali funzioni di sicurezza predefinite sotto forma di istruzioni.
Di seguito sono descritti i seguenti elementi:
• la struttura del programma di sicurezza
• i blocchi fail-safe
• le differenze tra la programmazione di programmi di sicurezza con FUP/KOP e la
programmazione di programmi utente standard
Gruppi di esecuzione F
Per una maggiore facilità d'uso, un programma di sicurezza è costituito da uno o due "gruppi
di esecuzione F". Un gruppo di esecuzione F è un costrutto logico costituito da diversi
blocchi F correlati che viene formato internamente dal sistema F.
Un gruppo di esecuzione F è costituito da:
• un blocco Main Safety (F-FB/F-FC, assegnato all'OB (o FB/FC) di richiamo)
• eventuali altri F-FB/F-FC programmati con FUP/KOP e richiamati dal blocco Main Safety
• eventualmente uno o più F-DB
• DB di periferia F
• blocchi F acquisiti dalla biblioteca di progetto oppure dalle biblioteche globali
• blocchi di sistema F, F-SB
• blocchi F generati automaticamente
Gruppi di esecuzione F
Per una maggiore facilità d'uso, un programma di sicurezza è costituito da uno o due "gruppi
di esecuzione F". Un gruppo di esecuzione F è un costrutto logico costituito da diversi
blocchi F correlati che viene formato internamente dal sistema F.
Un gruppo di esecuzione F è costituito da:
• un F-OB che richiama il blocco Main Safety
• un blocco Main Safety (F-FB/F-FC, assegnato all'F-OB)
• eventuali altri F-FB/F-FC programmati con FUP/KOP e richiamati dal blocco Main Safety
• eventualmente uno o più F-DB
• DB di periferia F
• DB informativo del gruppo di esecuzione F
• blocchi F acquisiti dalla biblioteca di progetto oppure dalle biblioteche globali
• blocchi di sistema F, F-SB
• blocchi F generati automaticamente
• eventualmente un blocco di pre e/o postelaborazione (vedere Pre/postelaborazione
(S7-1200, S7-1500) (Pagina 83))
Vedere anche
DB informativo del gruppo di esecuzione F (S7-1200, S7-1500) (Pagina 149)
Introduzione
Per usufruire dei vantaggi delle Software Unit (ad es. la compilazione e il caricamento
indipendente) anche per il programma di sicurezza, si possono impiegare le Safety Unit.
In questo modo i blocchi del programma di sicurezza si trovano solo nella Software Unit e non
possono più essere creati nella cartella "Program blocks" direttamente sotto la F-CPU.
La decisione di utilizzare la Safety Unit deve essere adottata prima di creare la F-CPU. Dopo la
creazione della F-CPU, la decisione non è più modificabile per quella F-CPU specifica.
Requisiti
• F-CPU S7-1500 con FW V2.6 o superiore
• In "Options/Settings/STEP 7 Safety" è selezionata l'opzione "Manage fail-safe in 'Software
Units' environment".
• Viene creata una nuova F-CPU.
Per lo scambio dei dati tra il programma di sicurezza e il programma utente standard
utilizzare un blocco dati di trasferimento (Pagina 187) creato come DB standard globale nella
Safety Unit.
Informazioni sulle Software Unit sono disponibili nella Guida di STEP 7 in "Utilizzo di Software
Units".
Particolarità
• La Safety Unit non può essere inserita in una biblioteca.
• I blocchi di sistema della Safety Unit non possono essere pubblicati.
Nota
I blocchi di sistema F della cartella "System blocks" non possono essere inseriti in un blocco
Main Safety/F-FB/F-FC.
Ulteriori informazioni
Per la descrizione dettagliata delle istruzioni per il programma di sicurezza vedere Panoramica
delle istruzioni (Pagina 386).
Ulteriori informazioni sulle differenze tra le singole versioni delle istruzioni per il programma
di sicurezza sono riportate nei capitoli dedicati alle rispettive istruzioni.
Nota
Osservare le indicazioni seguenti:
• Se la versione di una istruzione utilizzata nel programma di sicurezza viene sostituita nella
task card "Instructions" con una versione non perfettamente identica dal punto di vista
funzionale, dopo la nuova compilazione del programma di sicurezza il funzionamento del
programma di sicurezza potrebbe essere modificato. Oltre alla firma del blocco F che
utilizza l'istruzione si modificano anche la firma collettiva F e la firma collettiva F-SW del
programma di sicurezza. Potrebbe essere necessario un collaudo delle modifiche
(Pagina 372).
• (S7-300/400) Quando all'interno del programma di sicurezza viene utilizzato un blocco F
con know-how protetto che utilizza una istruzione con una versione differente da quella
impostata nella task card "Instructions", se l'interfaccia delle versioni delle istruzioni è
identica, durante la compilazione del programma di sicurezza senza immissione della
password la versione viene adattata a quella impostata nella task card "Instructions". Se le
versioni delle istruzioni non sono identiche dal punto di vista funzionale, potrebbe
modificarsi la funzione del blocco F con know-how protetto e si modifica sempre la sua
firma.
Istruzioni supportate
Le istruzioni disponibili dipendono dalla F-CPU utilizzata. Le istruzioni supportate sono
elencate nella descrizione delle istruzioni (a partire da Istruzioni STEP 7 Safety V18
(Pagina 386)).
Nota
Un collegamento dell'ingresso di abilitazione EN o dell'uscita di abilitazione ENO non è
possibile.
Eccezione:
(S7-1200, S7-1500) Con le seguenti istruzioni è possibile programmare un riconoscimento di
overflow collegando l'uscita di abilitazione ENO:
• ADD: Somma (STEP 7 Safety V18) (Pagina 511)
• SUB: Sottrazione (STEP 7 Safety V18) (Pagina 514)
• MUL: Moltiplicazione (STEP 7 Safety V18) (Pagina 517)
• DIV: Divisione (STEP 7 Safety V18) (Pagina 519)
• NEG: Creazione del complemento a due (STEP 7 Safety V18) (Pagina 523)
• ABS: Generazione del valore assoluto (STEP 7 Safety V18) (S7-1200, S7-1500)
(Pagina 526)
• CONVERT: Conversione del valore (STEP 7 Safety V18) (Pagina 538)
• ARRAY, ARRAY[*] in caso di utilizzo delle istruzioni RD_ARRAY_I: Lettura del valore
dall'array F INT (STEP 7 Safety V18) (S7-1500) (Pagina 529) e RD_ARRAY_DI: Lettura del
valore dall'array F DINT (STEP 7 Safety V18) (S7-1500) (Pagina 531).
Limitazioni:
– ARRAY solo nei DB globali F
– Limiti dell'ARRAY: da 0 a max. 10000
– ARRAY[*] solo come parametro di transito (InOut) negli F-FC e negli F-FB
– ARRAY of UDT non è consentito
– ARRAY of Bool non è consentito
– ARRAY of Word non è consentito
– ARRAY of Time non è consentito
• Tipo di dati PLC conforme a F (UDT) (S7-1200, S7-1500)
Nota
Se il risultato di una istruzione non rientra nel campo consentito per il tipo di dati, la F-CPU
può passare in STOP. Nel buffer di diagnostica della F-CPU viene registrata la causa
dell'evento di diagnostica.
Pertanto, fare attenzione già in fase di creazione del programma a non superare i limiti
ammessi per l'area per il tipo di dati configurato e scegliere un tipo di dati adatto oppure
utilizzare l'uscita ENO.
Vedere la descrizione delle singole istruzioni.
Accessi Slice
Gli accessi Slice non sono ammessi nel programma di sicurezza.
Esempio KOP:
In alternativa esiste ancora la possibilità di creare "1" o "TRUE" anche in una variabile con
l'ausilio dell'istruzione "Assignment (Pagina 396)".
A questo scopo, lasciare scollegato l'ingresso dell'istruzione "Assignment" in FUP. In KOP
interconnettere l'ingresso direttamente con la sbarra di alimentazione.
Una variabile con "0" o "FALSE" si ottiene con l'inversione successiva con l'istruzione "Invert
RLO (Pagina 392)".
Esempio FUP:
Esempio KOP:
Nota
Se si utilizza l'area operandi dei dati locali temporanei, tenere presente che il primo accesso a
un dato locale in un blocco Main safety/F-FB/F-FC deve sempre essere un accesso in scrittura
che inizializza il dato locale.
Accertarsi che l'inizializzazione del dato locale temporaneo avvenga prima della prima
istruzione JMP, JMPN o RET.
L'inizializzazione di un "bit di dati locali" deve essere effettuata con l'istruzione di
assegnazione ("=") (FUP) o ("--( )") (KOP). Assegnare al bit di dati locali lo stato di segnale "0" o
"1" come costante booleana.
Non è possibile inizializzare i bit di dati locali con le istruzioni flip-flop (SR, RS), Imposta uscita
(S) o Resetta uscita (R).
In caso di mancata osservanza la F-CPU può passare in STOP. La causa dell'evento di
diagnostica viene inserita nel buffer di diagnostica della F-CPU.
Accesso ai DB di istanza
È possibile accedere in modo completamente qualificato anche ai DB di istanza degli F-FB,
ad es. per la trasmissione dei parametri dei blocchi. Gli accessi ai dati locali statici in istanze
singole/multiistanze di altri F-FB non sono consentiti.
(S7-300, S7-400) Osservare che l'accesso ai DB di istanza degli F-FB che non vengono
richiamati nel programma di sicurezza possono provocare lo STOP della F-CPU.
Per le F-CPU S7-1200/1500 osservare l'avvertenza seguente:
AVVERTENZA
Se si programmano accessi globali ai DB di istanza degli F-FB, è necessario fare in modo che
nel programma di sicurezza venga richiamato l'F-FB corrispondente. (S096)
Introduzione
I tipi di dati PLC conformi a F (UDT) vengono dichiarati e utilizzati come i tipi di dati PLC
standard (UDT). I tipi di dati PLC conformi a F (UDT) possono essere utilizzati sia nel
programma di sicurezza sia nel programma utente standard.
Le differenze rispetto ai tipi di dati PLC standard (UDT) sono descritte in questo capitolo.
Informazioni sull'utilizzo e sulla dichiarazione dei tipi di dati PLC standard (UDT) sono
contenute nella Guida a STEP 7 in "Dichiarazione dei tipi di dati PLC".
Esempio 1
Il blocco Main Safety (livello 1) richiama un F-FB come multiistanza (livello 2), il quale a sua
volta richiama un F-FC (livello 3) nel quale è dichiarata una variabile del tipo di un tipo di dati
PLC conforme a F annidato. In questo modo è disponibile una profondità di annidamento
massima di 5 per il tipo di dati PLC conforme a F utilizzato dalla variabile.
Esempio 2
Il blocco Main Safety richiama un F-FB come istanza singola (livello 1), il quale a sua volta
richiama un F-FC (livello 2) nel quale è dichiarata una variabile del tipo di un tipo di dati PLC
conforme a F annidato. In questo modo è disponibile una profondità di annidamento
massima di 6 per il tipo di dati PLC conforme a F utilizzato dalla variabile.
Vedere anche
Area "F-compliant PLC data types" (S7-1200, S7-1500) (Pagina 86)
5.1.6.1 Raggruppamento in strutture delle variabili PLC per gli ingressi e le uscite della
periferia F (S7-1200, S7-1500)
Le variabili PLC per gli ingressi e le uscite della periferia F possono essere raggruppate in
strutture (variabili PLC strutturate) come quelle degli ingressi e delle uscite della periferia
standard.
A questo scopo si utilizzano i tipo di dati PLC conformi a F (UDT).
Regole
Tenere presente che durante la creazione delle variabili PLC strutturate degli ingressi e delle
uscite della periferia F occorre osservare, oltre alle regole standard, anche le regole seguenti:
• In una variabile PLC strutturata non possono essere raggruppati contemporaneamente
ingressi e uscite di periferia standard e periferia F.
• In una variabile PLC strutturata possono essere raggruppati esclusivamente ingressi e
uscite di canali realmente esistenti (valore del canale e stato del valore).
Vedere anche Indirizzamento della periferia F (Pagina 152)
• In una variabile PLC strutturata possono essere raggruppati esclusivamente ingressi e
uscite di canali (valore del canale e stato del valore) attivati nella configurazione
hardware.
Vedere anche Indirizzamento della periferia F (Pagina 152)
Nota
Per rispettare queste regole è necessario dichiarare il tipo di dati PLC conforme a F utilizzato
per la variabile PLC strutturata
Nella scheda "IO tags" nella progettazione di una periferia F è possibile vedere quali indirizzi
sono occupati da una variabile PLC strutturata.
5.1.6.2 Esempio di variabili PLC strutturate per gli ingressi e le uscite della periferia F
(S7-1200, S7-1500)
Introduzione
L'esempio seguente illustra, sulla base del modulo F 4 F-DI/3 F-DO DC24V/2A con valutazione
1oo2, in che modo utilizzare le variabili PLC strutturate per l'accesso alla periferia F.
Tabella 5- 2 Struttura dei canali e indirizzi dei valori dei canali degli ingressi con valutazione 1oo2
Canale Indirizzo
Canale DI 0 valore del canale I15.0
Canale DI 1 valore del canale I15.1
Canale DI 2 valore del canale I15.2
Canale DI 3 valore del canale I15.3
— I15.4
— I15.5
— I15.6
— I15.7
Tabella 5- 3 Struttura dei canali e indirizzi dello stato del valore degli ingressi con valutazione 1oo2
Canale Indirizzo
Canale DI 0 stato del valore I16.0
Canale DI 1 stato del valore I16.1
Canale DI 2 stato del valore I16.2
Canale DI 3 stato del valore I16.3
— I16.4
— I16.5
— I16.6
— I16.7
Tabella 5- 4 Struttura dei canali e indirizzi dello stato del valore delle uscite
Canale Indirizzo
Canale DO 0 stato del valore I17.0
Canale DO 1 stato del valore I17.1
Canale DO 2 stato del valore I17.2
Canale DO 3 stato del valore I17.3
Tabella 5- 5 Struttura dei canali e indirizzi dei valori dei canali delle uscite
Canale Indirizzo
Canale DO 0 valore del canale Q15.0
Canale DO 1 valore del canale Q15.1
Canale DO 2 valore del canale Q15.2
Canale DO 3 valore del canale Q15.3
La figura seguente mostra il tipo di dati PLC conforme a F (UDT) per l'accesso ai valori dei
canali e allo stato del valore delle uscite:
Richiamo dell'F-FC
Trasferire le variabili PLC strutturate create al richiamo dell'F-FC (ad es. "Motore"):
Vedere anche
Indirizzamento della periferia F (Pagina 152)
Stato del valore (S7-1200, S7-1500) (Pagina 154)
Nota
Dopo l'importazione di una tabella delle variabili che contiene le variabili utilizzate nel
programma di sicurezza, la firma collettiva F del programma di sicurezza viene resettata.
Per generare una nuova firma collettiva F è necessario compilare nuovamente i dati di
progetto. A tale scopo, dopo la configurazione della protezione di accesso per il programma
di sicurezza, è richiesta un'autorizzazione di accesso valida per il programma di sicurezza.
Di conseguenza, se si desidera modificare le variabili PLC con un editor esterno, si consiglia di
salvare le variabili PLC utilizzate nel programma di sicurezza in una tabella delle variabili
separata.
Eliminare l'intero programma di sicurezza delle F-CPU S7-300/400 con la Memory Card (SIMATIC
Micro Memory Card o Flash Card) inserita
Per eliminare un programma di sicurezza completo procedere nel modo seguente:
1. Eliminare tutti i blocchi F (contrassegnati con il simbolo giallo) nella navigazione del
progetto.
2. Eliminare tutti i richiami utilizzati per richiamare il programma di sicurezza (Main_Safety).
3. Selezionare la F-CPU nell'editor hardware e di rete e disattivare l'opzione "F-capability
activated" nelle proprietà della F-CPU.
4. Compilare i dati di progetto della F-CPU.
Ora il progetto offline non contiene più alcun programma di sicurezza.
5. Per eliminare un programma di sicurezza sulla Memory Card (SIMATIC Micro Memory Card o
Flash Card) inserire la Memory Card (SIMATIC Micro Memory Card o Flash Card) nel PG/PC o
in un prommer USB SIMATIC.
6. Nella barra dei menu selezionare il comando "Project > Card Reader/USB memory > Show
Card Reader/USB memory".
7. Aprire la cartella "SIMATIC Card Reader" e cancellare la Memory Card.
8. Inserire la Memory Card nella F-CPU.
9. Eseguire la cancellazione totale della F-CPU (il lampeggio del LED di STOP richiede una
cancellazione totale).
Successivamente è possibile caricare il programma utente standard offline nella F-CPU.
Eliminazione del programma di sicurezza completo delle F-CPU S7-400 senza Flash Card inserita
Per eliminare un programma di sicurezza completo procedere nel modo seguente:
1. Eliminare tutti i blocchi F (contrassegnati con il simbolo giallo) nella navigazione del
progetto.
2. Eliminare tutti i richiami utilizzati per richiamare il programma di sicurezza (Main_Safety).
3. Selezionare la F-CPU nell'editor hardware e di rete e disattivare l'opzione "F-capability
activated" nelle proprietà della F-CPU.
4. Compilare i dati di progetto della F-CPU.
Ora il progetto offline non contiene più alcun programma di sicurezza.
5. Eseguire la cancellazione totale della F-CPU (nella task card "Online tools" della F-CPU).
Successivamente è possibile caricare il programma utente standard offline nella F-CPU.
Regole
Prestare attenzione ai punti seguenti:
• È possibile accedere ai canali (valori dei canali e stato del valore) di una periferia F solo da
un unico gruppo di esecuzione F.
• È possibile accedere alle variabili dei DB di periferia F di una periferia F solo da un unico
gruppo di esecuzione F, ovvero quello dal quale si accede anche ai canali o allo stato del
valore della periferia F interessata (se l'accesso è disponibile).
• Gli F-FB possono essere utilizzati in più gruppi di esecuzione F, ma devono essere
richiamati con DB di istanza differenti.
• È possibile accedere ai DB di istanza degli F-FB solo dal gruppo di esecuzione F nel quale
viene richiamato il relativo F-FB.
• È possibile accedere alla variabile di un DB globale F (ad eccezione del DB globale F) solo
da un unico gruppo di esecuzione F (ma un DB globale F può essere utilizzato in più gruppi
di esecuzione F).
• (S7-300, S7-400) Un DB per la comunicazione con il gruppo di esecuzione F può accedere
al gruppo di esecuzione F per il quale sono stati configurati i DB in lettura e in scrittura, il
gruppo di esecuzione F "ricevente" può accedere all'F-DB solo in lettura.
• (S7-300, S7-400) È possibile accedere a un DB di comunicazione solo da un unico gruppo
di esecuzione F.
• (S7-1200, S7-1500) Il blocco Main Safety non può essere richiamato dall'utente. Questo
blocco viene richiamato automaticamente dall'F-OB associato.
Nota
Il know-how degli F-OB è protetto dal sistema F. Di conseguenza l'informazione iniziale
degli F-OB non può essere valutata.
• (S7-1200, S7-1500) L'F-OB deve essere configurato con una priorità più alta rispetto a tutti
gli altri OB.
Nota
Il tempo di ciclo/tempo di esecuzione di un F-OB può prolungarsi a causa del carico di
comunicazione, dell'elaborazione di allarmi con priorità superiore e dell'esecuzione di
funzioni di test e messa in servizio. In un sistema ridondante S7- 1500HF questo dipende
anche dallo stato attuale del sistema.
• (S7-300, S7-400) Il blocco Main Safety può essere richiamato una sola volta da un blocco
standard. Un richiamo multiplo può causare lo STOP della F-CPU.
• (S7-300, S7-400) Per un utilizzo ottimale dei dati locali temporanei, il gruppo di
esecuzione F (il blocco Main Safety) deve essere richiamato direttamente in un OB
(possibilmente l'OB di allarme di schedulazione orologio); nell'OB di allarme di
schedulazione orologio non devono essere dichiarati dati locali temporanei aggiuntivi.
• (S7-300, S7-400) All'interno di un OB di allarme di schedulazione orologio, il gruppo di
esecuzione F dovrebbe essere eseguito prima del programma utente standard, ovvero
dovrebbe trovarsi all'inizio dell'OB, in modo da essere richiamato a intervalli fissi,
indipendentemente dalla durata di elaborazione del programma utente standard.
Di conseguenza, l'OB di allarme di schedulazione orologio non deve essere interrotto da
allarmi con priorità più alta.
• È possibile accedere all'immagine di processo degli ingressi e delle uscite della periferia
standard, ai merker e alle variabili dei DB del programma utente standard da più gruppi di
esecuzione F in lettura oppure in scrittura. (Vedere anche Scambio di dati tra programma
utente standard e programma di sicurezza (Pagina 187))
• Gli F-FC in genere possono essere richiamati in diversi gruppi di esecuzione F.
Nota
Per migliorare le prestazioni, programmare le parti di programma non necessarie per la
funzione di sicurezza nel programma utente standard.
Durante la suddivisione tra programma utente standard e programma di sicurezza, tenere
presente che il programma utente standard è più facile da modificare e da caricare nella
F-CPU. Le modifiche del programma utente standard in genere non richiedono un collaudo.
Requisiti
• Nel progetto è presente una F-CPU S7-300/400.
• Nella scheda "Properties" della F-CPU è selezionata la casella di opzione "F-capability
activated" (impostazione predefinita).
5. La F-CPU controlla il tempo di ciclo F del gruppo di esecuzione F. Impostare per "Maximum
cycle time of the F-runtime group" il tempo massimo che può trascorrere tra due richiami del
gruppo di esecuzione F.
AVVERTENZA
AVVERTENZA
Il tempo di reazione della funzione di sicurezza dipende anche dal tempo di ciclo dell'F-
OB, dal tempo di esecuzione del gruppo di esecuzione F e, in caso di utilizzo di una
periferia F decentrata, dalla parametrizzazione PROFINET/PROFIBUS.
Di conseguenza anche la progettazione/parametrizzazione del sistema standard influisce
sul tempo di reazione della funzione di sicurezza.
Esempi:
• Aumentando la priorità d un OB standard rispetto alla priorità di un F-OB, il tempo di
ciclo dell'F-OB o il tempo di esecuzione del gruppo di esecuzione F può prolungarsi a
causa della priorità più alta assegnata all'elaborazione dell'OB standard. Osservare che
durante la creazione di oggetti tecnologici vengono eventualmente creati
automaticamente degli OB con una priorità molto alta.
• La modifica dell'intervallo di trasmissione di PROFINET modifica anche il tempo di
ciclo di un F-OB con classe evento "Synchronous cycle".
Osservare che la progettazione/parametrizzazione del sistema standard non è soggetta
alla protezione di accesso per il programma di sicurezza e non comporta una modifica
della firma collettiva F.
Se non si prendono misure organizzative per impedire la modifica della
progettazione/parametrizzazione del sistema standard con ripercussioni sul tempo di
reazione, durante il calcolo del tempo di reazione massimo di una funzione di sicurezza è
necessario ricorrere ai tempi di controllo (vedere Progettazione dei tempi di controllo
(Pagina 597)).
I tempi di controllo sono protetti contro le modifiche dalla protezione di accesso del
programma di sicurezza e vengono acquisiti dalla firma collettiva F nonché dalla firma
collettiva F-SW.
Durante il calcolo con l'ausilio del file Excel per il calcolo dei tempi di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831) va considerato come
valore per il tempo di reazione massimo il valore indicato alla voce "Any standard system
runtimes". (S085)
7. Se si desidera creare un secondo gruppo di esecuzione F, fare clic sul pulsante "Add new F-
runtime group".
8. Assegnare un F-FB o un F-FC ad un blocco di richiamo come blocco Main Safety. Se non è già
presente, l'F-FB o l'F-FC viene creato automaticamente nella navigazione del progetto.
9. Se il blocco Main Safety è un F-FB, assegnare un DB di istanza al blocco Main Safety. Il DB di
istanza viene creato automaticamente nella navigazione del progetto.
10.Proseguire con i passi da 3 a 5 sopra descritti per completare la creazione del 2° gruppo di
esecuzione F.
Requisiti
• Nel progetto è presente una F-CPU S7-1200/1500 .
• Nella scheda "Properties" della F-CPU è selezionata la casella di opzione "F-capability
activated" (impostazione predefinita).
Nota
Si consiglia di creare l'F-OB con la classe di evento "Cyclic interrupt". In questo modo il
programma di sicurezza verrà richiamato a intervalli fissi.
Gli F-OB con la classe di evento "Synchronous cycle" sono da utilizzare in combinazione
con le periferie F che supportano il sincronismo di clock, ad es. il sottomodulo "Profisafe
Telgr 902" dell'azionamento SINAMICS S120 CU310-2 PN V5.1.
L'uso degli F-OB con la classe di evento "Program cycle" è sconsigliato poiché possiedono
la priorità più bassa (priorità "1") (vedere di seguito).
Nota
Osservare il numero massimo consentito di OB (inclusi gli F-OB) con classe di evento
"Synchronous cycle" (vedere i dati tecnici riportati nei Manuali del prodotto delle CPU
S7-1500).
Nota
Impostando una priorità elevata per l'F-OB si riduce al minimo la possibilità che il
programma utente standard possa influire sul tempo di esecuzione del programma di
sicurezza e sul tempo di reazione delle funzioni di sicurezza (Pagina 597).
Nota
Per gli F-OB con classe di evento "Synchronous cycle" dopo la definizione del gruppo di
esecuzione F e il collegamento della periferia F con sincronismo di clock all'OB di allarme
di sincronizzazione di clock devono essere parametrizzati anche il ciclo di applicazione
(ms) ed eventualmente il tempo di ritardo (ms). Questi parametri sono disponibili nella
finestra di dialogo "Properties" dell'OB di allarme di sincronismo di clock nel gruppo
"Isochronous mode". Procedere come descritto nella Guida a STEP 7 in "Parametrizzazione
di OB di allarme di sincronismo di clock".
7. Assegnare il blocco Main Safety da richiamare all'F-OB. Se il blocco Main Safety è un FB, è
necessario assegnare anche un DB di istanza.
Per impostazione predefinita il sistema propone Main_Safety_RTG1 [FB1] e
Main_Safety_RTG1_DB [DB1].
8. La F-CPU controlla il tempo di ciclo F del gruppo di esecuzione F. A tale scopo sono
disponibili due parametri:
– Se viene superato il "warn cycle time of the F-runtime group" viene scritta una richiesta
di manutenzione nel buffer di diagnostica della F-CPU e viene attivato il LED MAINT
della F-CPU. Questo parametro può essere utilizzato ad es. per verificare se il tempo di
ciclo può superare un determinato valore senza provocare il passaggio in STOP della
F-CPU.
Nota
In caso di passaggio da STOP a RUN della F-CPU, la richiesta di manutenzione viene
contrassegnata come evento in uscita. In un sistema HF è necessario commutare in
STOP entrambe le HF-CPU e il sistema ridondante S7-1500HF prima del riavvio delle
HF-CPU.
In alternativa, la richiesta di manutenzione può essere contrassegnata come evento in
uscita con l'istruzione standard "ACK_FCT_WARN". A questo scopo richiamare
l'istruzione "ACK_FCT_WARN" con fronte di salita nel parametro di ingresso
"ACK_WARN" all'interno del programma utente standard.
Un nuovo superamento della soglia di avviso viene segnalato solo dopo una nuova
commutazione STOP/RUN della F-CPU.
– Se viene superato il "maximum cycle time of F-runtime group", la F-CPU passa in STOP.
Impostare per "maximum cycle time of the F-runtime group" il tempo massimo che può
trascorrere tra due richiami del gruppo di esecuzione F (max. 20000000 µs).
AVVERTENZA
AVVERTENZA
Il tempo di reazione della funzione di sicurezza dipende anche dal tempo di ciclo
dell'F-OB, dal tempo di esecuzione del gruppo di esecuzione F e, in caso di utilizzo di
una periferia F decentrata, dalla parametrizzazione PROFINET/PROFIBUS.
Di conseguenza anche la progettazione/parametrizzazione del sistema standard
influisce sul tempo di reazione della funzione di sicurezza.
Esempi:
• Aumentando la priorità d un OB standard rispetto alla priorità di un F-OB, il tempo
di ciclo dell'F-OB o il tempo di esecuzione del gruppo di esecuzione F può
prolungarsi a causa della priorità più alta assegnata all'elaborazione dell'OB
standard. Osservare che durante la creazione di oggetti tecnologici vengono
eventualmente creati automaticamente degli OB con una priorità molto alta.
• La modifica dell'intervallo di trasmissione di PROFINET modifica anche il tempo di
ciclo di un F-OB con classe evento "Synchronous cycle".
Osservare che la progettazione/parametrizzazione del sistema standard non è
soggetta alla protezione di accesso per il programma di sicurezza e non comporta una
modifica della firma collettiva F.
Se non si prendono misure organizzative per impedire la modifica della
progettazione/parametrizzazione del sistema standard con ripercussioni sul tempo di
reazione, durante il calcolo del tempo di reazione massimo di una funzione di
sicurezza è necessario ricorrere ai tempi di controllo (vedere Progettazione dei tempi
di controllo (Pagina 597)).
I tempi di controllo sono protetti contro le modifiche dalla protezione di accesso del
programma di sicurezza e vengono acquisiti dalla firma collettiva F nonché dalla firma
collettiva F-SW.
Durante il calcolo con l'ausilio del file Excel per il calcolo dei tempi di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831) va considerato
come valore per il tempo di reazione massimo il valore indicato alla voce "Any
standard system runtimes". (S085)
Il "warn cycle time of the F-runtime group" deve essere parametrizzato inferiore o uguale
al "maximum cycle time of F-runtime group".
9. Se necessario, in "F-runtime group information DB" è possibile modificare il nome proposto
dal sistema per il DB informativo del gruppo di esecuzione F (Pagina 149).
10.In caso di necessità è possibile selezionare i blocchi del programma standard (FC) per la pre
e postelaborazione di un gruppo di esecuzione F (vedere Pre/postelaborazione (S7-1200,
S7-1500) (Pagina 83))
11.Se si desidera creare un secondo gruppo di esecuzione F, fare clic sul pulsante "Add new
F-runtime group". Proseguire con i passi da 3 a 10 sopra descritti.
Nota
Un DB per la comunicazione del gruppo di esecuzione F può accedere al gruppo di
esecuzione F per il quale sono stati configurati gli F-DB in lettura e in scrittura; il gruppo di
esecuzione F "ricevente" può accedere all'F-DB solo in lettura.
Nota
L'attualità delle variabili lette corrisponde a quella presente alla conclusione dell'elaborazione
del gruppo di esecuzione F che fornisce le variabili prima dell'inizio del gruppo di esecuzione F
che esegue l'accesso in lettura.
In caso di modifiche multiple delle variabili rese disponibili durante il tempo di esecuzione del
relativo gruppo di esecuzione F, il gruppo di esecuzione F che esegue l'accesso in lettura
acquisisce solo l'ultima modifica (vedere la figura seguente).
... Variabile del gruppo di esecuzione F 1 scritta nel DB per la comunicazione con il
gruppo di esecuzione F 1
...Variabile del gruppo di esecuzione F 2 letta nel DB per la comunicazione con il gruppo
di esecuzione F 1
Valore iniziale nel DB per la comunicazione con il gruppo di esecuzione F
Lettura delle variabili di un gruppo di esecuzione F 1 con un ciclo OB più breve e una
priorità più alta del gruppo di esecuzione F 2
... Variabile del gruppo di esecuzione F 1 scritta nel DB per la comunicazione con il
gruppo di esecuzione F 1
... Variabile del gruppo di esecuzione F 2 letta nel DB per la comunicazione con il gruppo
di esecuzione F 1
Valore iniziale nel DB per la comunicazione con il gruppo di esecuzione F
Nota
Se il gruppo di esecuzione F il cui DB per la comunicazione con il gruppo di esecuzione F
viene utilizzato per la lettura delle variabili non viene elaborato (il blocco Main Safety del
gruppo di esecuzione F non viene richiamato), la F-CPU passa in STOP. Nel buffer di
diagnostica della F-CPU viene registrato uno dei seguenti eventi di diagnostica:
• Errore nel programma di sicurezza: Superamento del tempo di ciclo
• Numero del blocco Main Safety interessato (del gruppo di esecuzione F che non viene
elaborato)
• Tempo di ciclo attuale in ms: "0"
Introduzione
La comunicazione del gruppo di esecuzione F viene realizzata con Flexible F-Link.
Flexible F-Link fornisce un array F codificato per i dati di trasmissione del gruppo di
esecuzione F. L'array F codificato viene trasmesso all'altro gruppo di esecuzione F insieme alle
istruzioni standard, ad es. UMOVE_BLK.
Requisiti
• F-CPU S7-1500 a partire dal firmware V2.0
• F-CPU S7-1200 a partire dal firmware V4.2
• Versione di sistema Safety a partire da V2.2
4. Sul lato di trasmissione (ad es. RTG1), fornire i dati del DB di comunicazione F (Pagina 287)
per la direzione di invio con i dati da trasmettere.
Ad es.:
5. Sul lato di ricezione (ad es. RTG2) leggere i dati ricevuti dal DB di comunicazione F
(Pagina 287) per la direzione di ricezione.
Ad es.:
AVVERTENZA
Durante il collaudo, verificare con la stampa di sicurezza se gli offset di tutti gli elementi dei
tipi di dati PLC conformi a F (UDT) all'interno del programma di sicurezza per i dati di
trasmissione e di ricezione coincidono. A questo scopo, nella stampa di sicurezza sono
elencati tutti i membri e gli indirizzi suddivisi per UDT. (S088)
AVVERTENZA
Quando viene creata una nuova comunicazione con Flexible F-Link nel Safety
Administration Editor, il sistema fornisce un "F-communication UUID" (UUID di
comunicazione F) univoco per la comunicazione. Quando le comunicazioni vengono copiate
nel Safety Administration Editor all'interno della tabella di parametrizzazione oppure in
un'altra F-CPU, gli UUID di comunicazione F non vengono ricreati e di conseguenza non
sono più univoci. Se si utilizza una copia per parametrizzare un nuovo rapporto di
comunicazione è necessario assicurarne l'univocità. Selezionare gli UUID interessati e
generarne di nuovi con il menu di scelta rapida "Generate UUID". L'univocità deve essere
controllata nella stampa di sicurezza. (S087)
AVVERTENZA
L'acquisizione dello stato del segnale da trasmettere e la sua trasmissione al ricevente sono
garantite (in modalità fail-safe) solo se lo stato del segnale rimane attivo per un tempo pari
almeno al tempo di controllo parametrizzato. (S018)
Introduzione
Per creare F-FB, F-FC e F-DB per il programma di sicurezza, procedere in linea di principio
come nel programma standard. Di seguito vengono rappresentate solo le differenze rispetto
al programma standard.
Osservare
Osservare le seguenti avvertenze importanti:
Nota
• Nell'interfaccia del blocco Main Safety non si devono dichiarare parametri del blocco,
poiché non possono essere forniti.
• (S7-1200, S7-1500) È possibile modificare i valori iniziali nei DB di istanza.
• La funzione "Apply actual values" non è supportata.
• Non è possibile accedere a dati locali statici in istanze singole o multiple di altri F-FB.
• Le uscite di F-FC devono sempre essere inizializzate.
In caso contrario, la F-CPU potrebbe andare in STOP. La causa dell'evento di diagnostica
viene inserita nel buffer di diagnostica della F-CPU.
• (S7-300, S7-400) Se si desidera assegnare un operando dell'area dati (blocco dati) a un
parametro formale di un F-FC come parametro attuale, è necessario utilizzare un accesso
DB completamente qualificato.
• Un blocco può avere solo accesso in lettura ai suoi ingressi e in scrittura alle sue uscite.
Utilizzare un solo passaggio se si vuole accedere al blocco in lettura e scrittura.
• Per una maggiore chiarezza, assegnare nomi significativi ai blocchi F creati.
Copia/inserimento di blocchi F
È possibile copiare F-FB, F-FC e F-DB allo stesso modo dei blocchi del programma utente
standard.
(S7-1200, S7-1500) Non è consentito copiare un F-OB.
Eccezioni:
• Non è possibile copiare i blocchi dalla cartella "Program blocks > System blocks".
• I blocchi F non possono essere copiati dalla Safety Unit in una Standard Unit, né dalla
Safety Unit nella cartella "Program blocks" della F-CPU o viceversa.
Vedere anche
Modifica del gruppo di esecuzione F (S7-1200, S7-1500) (Pagina 144)
Requisiti
Per la protezione del know-how dei blocchi F per le F-CPU S7-1200/1500, osservare quanto
segue:
• Un blocco F del quale si vuole proteggere il know-how deve essere richiamato nel
programma di sicurezza.
• Prima di poter configurare la protezione del know-how per un blocco F, il programma di
sicurezza deve essere coerente. Compilare (Pagina 293) di conseguenza il programma di
sicurezza.
Nota
Per i blocchi F con protezione del know-how, nella stampa di sicurezza non viene emesso
alcun codice sorgente. Pertanto, creare la stampa di sicurezza (ad es. per eseguire una
revisione del codice o per il collaudo del blocco F) prima di configurare la protezione del
know-how.
Nota
Se si desidera modificare il codice del programma e/o l'interfaccia del blocco di un blocco F
con protezione del know-how, si raccomanda di non aprire il blocco F inserendo la password,
ma di rimuovere completamente la protezione del know-how e di configurarla nuovamente
dopo la compilazione.
Nota
(S7-1200, S7-1500) Se un blocco F con protezione del know-how o i blocchi F richiamati da
esso vengono rinominati, la firma del blocco F con protezione del know-how non cambia fino
a quando non si inserisce la password quando si apre o si rimuove la protezione del know-
how.
Nota
Se si utilizzano blocchi F con protezione del know-how, durante la compilazione del
programma di sicurezza possono essere visualizzati avvisi e messaggi di errore, la cui causa
può risiedere nei blocchi F con protezione del know-how. Gli avvisi e i messaggi di errore
contengono le rispettive indicazioni. Esempio: In un blocco F con protezione del know-how, si
accede in lettura a una variabile del programma utente standard, a cui si accede in scrittura in
un altro blocco F (con protezione del know-how).
Per le F-CPU S7-1200/1500, ulteriori informazioni sono disponibili nella stampa di sicurezza
nella sezione "Know-how protected F-blocks in the safety program".
Vedere anche
Riutilizzo dei blocchi F (Pagina 147)
Introduzione
I blocchi F già testati e, se necessario, approvati, possono essere riutilizzati in altri programmi
di sicurezza senza doverli testare e approvare nuovamente.
Configurando la protezione del know-how, è possibile proteggere il contenuto del blocco F. È
possibile impostare questa protezione solo dopo il collaudo del blocco F, in modo che la
stampa di sicurezza contenga completamente questo blocco F.
È possibile memorizzare i blocchi F come copie master o tipi nelle biblioteche globali o nella
biblioteca del progetto, proprio come i blocchi standard.
Per ulteriori informazioni consultare la Guida a STEP 7 in "Utilizzo delle biblioteche".
F-CPU S7-300/400
• Firma e firma del valore iniziale del blocco F con protezione del know-how
• Versioni di tutte le istruzioni KOP/FUP utilizzate
• Firme e firme del valore iniziale di tutti gli F-FB e F-FC richiamati
• Firme di tutti gli F-DB ai quali accede il blocco F da riutilizzare.
F-CPU S7-1200/1500
• Firma del blocco F con protezione del know-how
• Versione del sistema Safety durante la configurazione della protezione del know-how
• Versioni di tutte le istruzioni KOP/FUP utilizzate
• Firme di tutti gli F-FB e F-FC richiamati
• Firme di tutti gli F-DB ai quali accede il blocco F da riutilizzare.
La documentazione di sicurezza deve includere anche una descrizione della funzionalità del
blocco F, soprattutto se è dotato di protezione del know-how.
È possibile ottenere le informazioni necessarie creando una stampa di sicurezza del
programma di sicurezza in cui è stato originariamente creato, testato e collaudato il blocco F
da riutilizzare.
Questa stampa di sicurezza può anche servire direttamente come documentazione di
sicurezza per il blocco F da riutilizzare.
Vedere anche
Corrispondenza dei blocchi F con protezione del know-how utilizzati nel programma di
sicurezza con la relativa documentazione di sicurezza (Pagina 359)
Funzione
Il DB globale F è un blocco dati fail-safe che contiene tutti i dati globali del programma di
sicurezza e informazioni aggiuntive necessarie per il sistema F. Il DB globale F viene inserito
automaticamente durante la compilazione della configurazione hardware.
È possibile utilizzare il suo nome F_GLOBDB per valutare alcuni dati del programma di
sicurezza nel programma utente standard.
Introduzione
Il DB informativo del gruppo di esecuzione F mette a disposizione informazioni centrali sul
rispettivo gruppo di esecuzione F e sull'intero programma di sicurezza.
Il DB informativo del gruppo di esecuzione F viene creato automaticamente durante la
creazione di un gruppo di esecuzione F. Viene assegnato un simbolo per il DB informativo del
gruppo di esecuzione F, ad es. "RTG1SysInfo". È possibile modificare il nome nel Safety
Administration Editor.
Non è possibile accedere alle informazioni nel parametro "F_SYSINFO" dal programma di
sicurezza.
*Se la F-CPU va in STOP dopo la scadenza del tempo di esecuzione del funzionamento di sicurezza disattivato, viene
visualizzato il tempo di esecuzione residuo nell'ultimo ciclo.
Vedere anche
Identificazione del programma (Pagina 325)
Introduzione
AVVERTENZA
STOP ad es. tramite comando del PG/PC, selettore dei modi operativi, funzione di
comunicazione o istruzione "STP"
L'attivazione di uno stato di STOP ad es. tramite comando del PG/PC, selettore dei modi
operativi, funzione di comunicazione o istruzione "STP" e il mantenimento di uno stato di
STOP non sono orientati alla sicurezza. Lo stato di STOP può facilmente essere annullato
(anche accidentalmente) ad es. tramite un comando del PG/PC.
In caso di commutazione STOP/RUN di una F-CPU, il programma utente standard viene
avviato come di consueto. All'avviamento del programma di sicurezza, generalmente tutti i
contenuti DB degli F-DB vengono ripristinati ai valori iniziali contenuti nella memoria di
caricamento. Questo comporta la perdita delle informazioni di errore memorizzate. Il
sistema F esegue una reintegrazione automatica della periferia F.
Se il processo non lo consente, nel programma di sicurezza deve essere programmata una
protezione contro il (ri)avviamento: L'emissione dei valori di processo deve essere bloccata
fino alla conferma utente (vedere "Realizzazione di una conferma utente"). Questa conferma
utente può avvenire solo se l'emissione dei valori di processo è possibile senza pericolo e gli
errori sono stati eliminati. (S031)
Vedere anche
Realizzazione di una conferma utente nel programma di sicurezza della F-CPU di un master DP
o di un IO Controller (Pagina 179)
Realizzazione di una conferma utente nel programma di sicurezza della F-CPU di un I-slave o
di un I-Device (Pagina 184)
DB di periferia F (Pagina 159)
Panoramica
Di seguito viene descritto come indirizzare le periferie F nel programma di sicurezza e quali
regole è necessario rispettare.
Regole
• È possibile indirizzare un canale (valore del canale e stato del valore) di una periferia F solo
in un gruppo di esecuzione F. Con il primo indirizzamento programmato, si definisce il
gruppo di esecuzione F assegnato.
• È possibile indirizzare un canale (valore del canale e stato del valore) di una periferia F solo
con l'unità che corrisponde al tipo di dati del canale.
Esempio: Ai canali di ingresso del tipo di dati BOOL è possibile accedere solo all'unità
"Ingresso (bit)" (Ix.y). Non è possibile accedere a 16 canali di ingresso consecutivi del tipo
di dati BOOL tramite l'unità "Parola di ingresso" (IWx).
• I canali analogici devono essere sempre immessi nella tabella delle variabili con il tipo di
dati INT o DINT. I tipi di dati WORD, DWORD o TIME non sono consentiti.
• Indirizzare solo gli ingressi e le uscite che fanno riferimento a un canale realmente
esistente (valore del canale e stato del valore) (ad es., per un F-DO 10xDC24V con
indirizzo iniziale 10, solo le uscite Q10.0 ... Q11.1 per i valori del canale e gli ingressi I10.0
... I11.1 per lo stato del valore). Osservare inoltre che, a causa del protocollo di sicurezza
specifico, la periferia F occupa nell'immagine di processo un'area più ampia di quella
necessaria per i canali realmente presenti sulla periferia F (valori dei canali e stato dei
valori). Per quanto riguarda l'area dell'immagine di processo in cui sono memorizzati i
canali (valori dei canali e stato dei valori) (struttura dei canali), vedere i manuali
corrispondenti delle periferia F.
• Con alcune periferie F (ad es. i moduli fail-safe ET 200SP o i moduli fail-safe S7-1500/
ET 200MP), i canali possono essere disattivati. Indirizzare solo i canali (valore del canale e
stato del valore) che sono attivati nella configurazione hardware. Se si indirizzano canali
che sono disattivati nella configurazione hardware, è possibile che venga emesso un
avviso durante la compilazione del programma di sicurezza.
• Con alcune periferie F (ad es. i moduli fail-safe ET 200SP o i moduli fail-safe S7-1500/
ET 200MP), è possibile impostare una "1oo2 (2v2) sensor evaluation". In questo caso, due
canali vengono combinati in una coppia di canali e il risultato della "1oo2 (2v2) sensor
evaluation" viene solitamente reso disponibile all'indirizzo del canale con il numero di
canale con valore inferiore (vedere i manuali corrispondenti della periferia F). Indirizzare
solo questo canale (valore del canale e stato del valore) della coppia di canali. Se si
indirizza un altro canale, viene eventualmente emesso un avviso durante la compilazione
del programma di sicurezza.
AVVERTENZA
Se tra la F-CPU (S7-300/400) e la periferia F viene utilizzato un altro componente che copia il
telegramma di sicurezza conforme a PROFIsafe dalla F-CPU (S7-300/400) nella periferia F
tramite il programma utente, ad ogni modifica della funzione di copia programmata
dall'utente devono essere testate tutte le funzioni di sicurezza interessate dalla funzione di
copia. (S049)
Vedere anche
Comunicazione di sicurezza I-slave-slave - accesso alla periferia F (Pagina 234)
Stato del valore (S7-1200, S7-1500) (Pagina 154)
Proprietà
Lo stato del valore è una informazione di stato binaria aggiuntiva al valore del canale di una
periferia F. Lo stato del valore viene inserito nell'immagine di processo degli ingressi (IPI).
Lo stato del valore è supportato dai modulo fail-safe S7-1500/ET 200MP, ET 200SP, ET 200AL,
ET 200eco PN, ET 200S, ET 200iSP, ET 200pro, S7-1200 o F-SM S7-300, dai device IO
standard fail-safe nonché dagli salve DP standard fail-safe, che supportano il profilo
"RIOforFA-Safety". Per informazioni sullo stato del valore consultare la documentazione della
rispettiva periferia F.
Si raccomanda di aggiungere "_VS" al nome del valore del canale per lo stato del valore, ad es.
"TagIn_1_VS".
Lo stato del valore fornisce informazioni sulla validità del rispettivo valore del canale:
• 1: Per il canale viene emesso un valore di processo valido.
• 0: Per il canale viene emesso un valore sostitutivo.
Al valore del canale e allo stato del valore di una periferia F è possibile accedere solo dallo
stesso gruppo di esecuzione F.
Posizione dei bit di stato del valore nella IPI per la periferia F con ingressi digitali
I bit di stato del valore seguono direttamente i valori del canale nella IPI.
Tabella 6- 1 Esempio: Assegnazione indirizzi nella IPI per la periferia F con 16 ingressi digitali
Byte nella F-CPU Bit occupati nella F-CPU per ciascuna periferia F:
7 6 5 4 3 2 1 0
x+0 DI7 DI6 DI5 DI4 DI3 DI2 DI1 DI0
x+1 DI15 DI14 DI13 DI12 DI11 DI10 DI9 DI8
x+2 Stato del Stato del Stato del Stato del Stato del Stato del Stato del Stato del
valore DI7 valore DI6 valore DI5 valore DI4 valore DI3 valore DI2 valore DI1 valore DI0
x+3 Stato del Stato del Stato del Stato del Stato del Stato del Stato del Stato del
valore DI15 valore DI14 valore DI13 valore DI12 valore DI11 valore DI10 valore DI9 valore DI8
La posizione dei valori del canale nella IPI si trova nel Manuale del prodotto della rispettiva
periferia F.
Posizione dei bit di stato del valore nella IPI per la periferie F con uscite digitali
I bit di stato del valore vengono rappresentati nella IPI con la stessa struttura dei valori del
canale nell'IPU
Tabella 6- 2 Esempio: Assegnazione indirizzi nella IPU per la periferia F con 4 canali di uscita digitali
Byte nella F-CPU Bit occupati nella F-CPU per ciascuna periferia F:
7 6 5 4 3 2 1 0
x+0 — — — — DQ3 DQ2 DQ1 DQ0
Tabella 6- 3 Esempio: Assegnazione indirizzi nella IPI per la periferie F con 4 canali di uscita digitali
Byte nella F-CPU Bit occupati nella F-CPU per ciascuna periferia F:
7 6 5 4 3 2 1 0
x+0 — — — — Stato del Stato del Stato del Stato del
valore DQ3 valore DQ2 valore DQ1 valore DQ0
La posizione dei valori del canale nella IPU si trova nel Manuale del prodotto della rispettiva
periferia F.
Posizione dei bit di stato del valore nella IPI per la periferia F con uscite digitali e ingressi digitali
I bit di stato del valore seguono direttamente i valori del canale nella IPI nella seguente
sequenza:
• Bit di stato del valore per gli ingressi digitali
• Bit di stato del valore per le uscite digitali
Tabella 6- 4 Esempio: Assegnazione indirizzi nella IPU per la periferia F con 2 canali di ingresso digitali e 1 canale di uscita
digitale
Byte nella F-CPU Bit occupato nella F-CPU per ciascuna periferia F:
7 6 5 4 3 2 1 0
x+0 — — — — — — — DQ0
Tabella 6- 5 Esempio: Assegnazione indirizzi nella IPI per la periferia F con 2 canali di ingresso digitali e 1 canale di uscita
digitale
Byte nella F-CPU Bit occupati nella F-CPU per ciascuna periferia F:
7 6 5 4 3 2 1 0
x+0 — — — — — — DI1 DI0
x+1 — — — — — — Stato del Stato del
valore DI1 valore DI0
x+2 — — — — — — — Stato del
valore DQ0
La posizione dei valori del canale nella IPI e IPU si trova nel Manuale del prodotto della
rispettiva periferia F.
Posizione dei bit di stato del valore nella IPI per la periferia F con ingressi digitali
I bit di stato del valore seguono direttamente i valori del canale nella IPI.
Tabella 6- 6 Esempio: Assegnazione indirizzi nella IPI per la periferia F con 6 canali di ingresso analogici (tipo di dati INT)
Byte nella F-CPU Byte/bit occupati nella F-CPU per ciascuna periferia F:
7 6 5 4 3 2 1 0
x+0 Valore del canale AI0
... ...
x + 10 Valore del canale AI5
x + 12 — — Stato del Stato del Stato del Stato del Stato del Stato del
valore AI5 valore AI4 valore AI3 valore AI2 valore AI1 valore AI0
La posizione dei valori del canale nella IPI si trova nel Manuale del prodotto della rispettiva
periferia F.
Posizione dei bit di stato del valore nella IPI per la periferia F con uscite analogiche
I bit di stato del valore vengono rappresentati nella IPI.
Tabella 6- 7 Esempio: Assegnazione indirizzi nella IPU per la periferia F con 6 canali di uscita analogici (tipo di dati INT)
Byte nella F-CPU Byte occupati nella F-CPU per ciascuna periferia F:
7 6 5 4 3 2 1 0
x+0 Valore del canale AO0
... ...
x + 10 Valore del canale AO5
Tabella 6- 8 Esempio: Assegnazione indirizzi nella IPI per la periferia F con 6 canali di uscita analogici (tipo di dati INT)
Byte nella F-CPU Bit occupati nella F-CPU per ciascuna periferia F:
7 6 5 4 3 2 1 0
x+0 — — Stato del Stato del Stato del Stato del Stato del Stato del
valore AO5 valore AO4 valore AO3 valore AO2 valore AO1 valore AO0
La posizione dei valori del canale nella IPU si trova nel Manuale del prodotto della rispettiva
periferia F.
Emissione del valore sostitutivo per la periferia F/i canali di una periferia F
Nel caso di una periferia F con ingressi, i valori sostitutivi (0) vengono forniti dal sistema F
nella IPI per il programma di sicurezza durante la passivazione anziché i valori di processo
presenti sugli ingressi fail-safe.
L'overflow e underflow di un canale di SM 336; AI 6 x 13Bit o di
SM 336; F-AI 6 x 0/4 ... 20 mA HART viene riconosciuto dal sistema F come errore di periferia
F/errore di canale. Nella IPI per il programma di sicurezza, al posto di 7FFFH (per overflow) o
8000H (per underflow) viene messo a disposizione il valore sostitutivo 0.
Se si vogliono elaborare valori sostitutivi diversi da "0" in una periferia F con ingressi per
canali analogici del tipo di dati INT o DINT nel programma di sicurezza, è possibile
assegnare valori sostitutivi individuali per QBAD = 1 e stato del valore = 0 o
QBAD_I_xx/QBAD_O_xx = 1 (istruzioni JMP/JMPN, LABEL e MOVE). Le spiegazioni sul
comportamento sono descritte in QBAD/PASS_OUT/DISABLED/QBAD_I_xx/QBAD_O_xx e stato
del valore (Pagina 165).
AVVERTENZA
In una periferia F con canali di ingresso digitali (tipo di dati BOOL), indipendentemente dallo
stato del valore o del QBAD/QBAD_I_xx, nel programma di sicurezza deve essere elaborato
sempre il valore messo a disposizione nella IPI. (S009)
Nel caso di una periferia F con uscite, in caso di passivazione il sistema F emette valori
sostitutivi (0) sulle uscite fail-safe invece dei valori di uscita forniti dal programma di sicurezza
nell'IPU
Stato della rispettiva IPI/IPU Periferia F con profilo Periferia F senza profilo Periferia F con F-CPU
con ... "RIOforFA-Safety" con F-CPU "RIOforFA-Safety" con F-CPU S7-300/400
S7-1200/1500 S7-1200/1500
Avviamento del sistema F IPI/IPU viene sovrascritta dal sistema F con valori sostitutivi (0).
Errori di comunicazione
Errori di periferia F La IPI viene sovrascritta dal IPI/IPU viene sovrascritta dal sistema F con valori sostitutivi
Errori del canale durante la sistema F con valori (0).
progettazione, passivazione sostitutivi (0). Nella IPU
dell'intera periferia F vengono mantenuti i valori
formati nel programma di
Errori di canale durante la sicurezza. per i canali interessati vale: IPI/IPU viene sovrascritta dal
progettazione passivazione sistema F con valori sostitutivi (0).
canale per canale
finché la passivazione della IPI/IPU viene sovrascritta dal sistema F con valori sostitutivi (0).
periferia F è attivata nel DB di
periferia F con PASS_ON = 1
finché la periferia F è IPI/IPU viene sovrascritta dal sistema F con valori sostitutivi -
disattivata nel DB di (0).
periferia F con DISABLE = 1
Nota
Osservare che in caso di errori del canale nella periferia F nella progettazione corrispondente
nell'editor hardware e di rete viene eseguita una passivazione canale per canale. Per i canali
interessati vengono successivamente emessi i valori sostitutivi (0).
Nel caso di reintegrazione dopo gli errori dei canali, tutti i canali i cui errori sono stati
eliminati vengono reintegrati, mentre i canali errati rimangono passivati.
Vedere anche
Progettazione della periferia F (Pagina 50)
6.4 DB di periferia F
Introduzione
Per ciascuna periferia F (nel funzionamento di sicurezza), durante la configurazione della
periferia F nell'editor hardware e di rete viene creato automaticamente un DB di periferia F. Il
DB di periferia F contiene variabili che possono o devono essere valutate o descritte nel
programma di sicurezza. Non è ammessa una modifica dei valori iniziali delle variabili,
direttamente nel DB di periferia F. Quando si elimina una periferia F, viene eliminato anche il
rispettivo DB di periferia F.
Accesso ad un DB di periferia F
Si accede alle variabili del DB di periferia F:
• per la reintegrazione della periferia F dopo errori di comunicazione/di periferia F/di canale
• se si vuole passivare la periferia F in base a determinati stati del programma di sicurezza
(ad es. passivazione del gruppo)
• se si vuole disattivare la periferia F (ad es. nel controllo di configurazione)
• per la riparametrizzazione di slave DP standard/device IO standard fail-safe
• se si vuole valutare se vengono emessi valori sostitutivi o di processo
Variabile nel DB di Periferia F con Periferia F senza profilo Periferia F con F-CPU S7-
periferia F o nello profilo "RIOforFA- "RIOforFA-Safety" con F- 300/400
stato del valore Safety" con F-CPU CPU S7-1200/1500
S7-1200/1500
ACK_NEC —2 x x
QBAD3 x x x
PASS_OUT3 x x x
QBAD_I_xx1 — — x
QBAD_O_xx1 — — x
Wertstatus1 x x —
1 QBAD_I_xx e QBAD_O_xx indicano la validità del valore del canale, canale per canale, e
corrispondono quindi allo stato di valore invertito nell'S7-1200/1500. Per gli slave DP standard fail-
safe e i device IO standard fail-safe senza profilo "RIOforFA-Safety", lo stato dei valori o QBAD_I_xx
e QBAD_O_xx non sono disponibili.
2 Nelle periferie F che supportano il parametro di canale "Channel failure aknowledge" (ad es.
moduli F S7-1500/ET 200MP o moduli F S7-1200), tale parametro sostituisce la funzione della
variabile ACK_NEC del DB della periferia F.
3 Per le spiegazioni sul comportamento vedere il capitolo
"QBAD/PASS_OUT/DISABLED/QBAD_I_xx/QBAD_O_xx e stato del valore"
6.4.2.1 PASS_ON
Con la variabile PASS_ON è possibile attivare una passivazione di una periferia F, ad es. in
base a determinati stati nel programma di sicurezza.
È possibile passivare solo l'intera periferia F tramite la variabile PASS_ON nel DB di periferia F;
la passivazione canale per canale non è possibile.
Finché PASS_ON = 1, viene eseguita una passivazione della rispettiva periferia F.
6.4.2.2 ACK_NEC
Quando la periferia F individua un errore di periferia F viene eseguita la passivazione della
periferia F interessata. Se vengono rilevati errori del canale, con la passivazione progettata
canale per canale viene eseguita una passivazione dei canali interessati, con la passivazione
dell'intera periferia F viene eseguita una passivazione di tutti i canali della periferia F
interessata. Dopo l'eliminazione dell'errore di periferia F/del canale viene eseguita la
reintegrazione della periferia F interessata in base a ACK_NEC:
• Con ACK_NEC = 0 è possibile parametrizzare una reintegrazione automatica.
• Con ACK_NEC = 1 è possibile parametrizzare una reintegrazione attraverso una conferma
utente.
AVVERTENZA
La parametrizzazione della variabile ACK_NEC = 0 è consentita solo se per motivi legati alla
tecnica di sicurezza è ammessa una reintegrazione automatica per il processo interessato.
(S010)
Nota
Il valore iniziale per ACK_NEC dopo la generazione del DB di periferia F è 1. Se non è
necessaria una reintegrazione automatica, non è necessario descrivere ACK_NEC.
Vedere anche
Dopo un errore della periferia F/errore di canale (Pagina 173)
6.4.2.3 ACK_REI
Se il sistema F rileva un errore di comunicazione o un errore della periferia F per una
periferia F, la periferia F interessata viene passivata. Se vengono rilevati errori del canale, con
la passivazione progettata canale per canale viene eseguita una passivazione dei canali
interessati, con la passivazione dell'intera periferia F viene eseguita una passivazione di tutti i
canali della periferia F interessata. Per una reintegrazione della periferia F/dei canali della
periferia F dopo l'eliminazione degli errori, è necessaria una conferma utente con fronte di
salita sulle variabili ACK_REI del DB di periferia F:
• dopo errori di comunicazione sempre
• dopo errori di periferia F/di canale solo con parametrizzazione "Channel failure
acknowledge = Manual" o ACK_NEC = 1
Nel caso di reintegrazione dopo gli errori dei canali, tutti i canali i cui errori sono stati
eliminati vengono reintegrati.
Una conferma è possibile solo se la variabile è ACK_REQ = 1.
Nel programma di sicurezza è necessario prevedere una conferma utente tramite la variabile
ACK_REI per ciascuna periferia F.
AVVERTENZA
Per la conferma utente occorre interconnettere la variabile ACK_REI del DB della periferia F
con un segnale generato da un comando manuale. Non è consentita una interconnessione
con un segnale generato automaticamente. (S011)
Nota
In alternativa, dopo errori di comunicazione/di periferia F o di canale, è possibile eseguire una
reintegrazione della periferia F tramite l'istruzione "ACK_GL" (ACK_GL: Conferma globale di
tutte le periferie F di un gruppo di esecuzione F (STEP 7 Safety V18) (Pagina 479)).
6.4.2.4 IPAR_EN
La variabile IPAR_EN corrisponde alla variabile iPar_EN_C nel profilo di bus PROFIsafe, dalla
specifica PROFIsafe V1.20.
Slave DP standard/device IO standard fail-safe
Per l'impostazione/il reset di questa variabile in caso di riparametrizzazione di slave DP
standard/device IO standard fail-safe, consultare la specifica PROFIsafe a partire dalla V1.20 o
la documentazione dello slave DP standard/device IO standard fail-safe.
Osservare che IPAR_EN = 1 non attiva la passivazione della periferia F interessata.
Se si vuole passivare con IPAR_EN = 1, è necessario impostare anche la variabile PASS_ON = 1.
Comunicazione HART con SM 336; F-AI 6 x 0/4 ... 20 mA HART
Se durante la parametrizzazione "HART_Tor" = "switchable" si imposta la variabile IPAR_EN su
"1", la comunicazione HART è abilitata per il SM 336; F-AI 6 x 0/4 ... 20 mA HART, con "0" è
bloccata. L'F-SM conferma la comunicazione HART abilitata o bloccata con le variabili
IPAR_OK = 1 o 0.
Abilitare la comunicazione HART solo se l'impianto si trova in uno stato in cui è possibile una
eventuale riparametrizzazione di una rispettiva apparecchiatura da campo HART senza alcun
pericolo.
Se si vuole valutare lo stato "HART communication enabled" nel programma di sicurezza, per
programmare, ad es., gli interblocchi, è necessario formare questa informazione come
illustrato nell'esempio seguente. Solo in questo modo è possibile garantire che, anche se si
verificano errori di comunicazione durante l'abilitazione della comunicazione HART tramite
IPAR_EN = 1, le informazioni siano correttamente disponibili. In questa valutazione,
modificare lo stato delle variabili IPAR_EN solo se non è presente una passivazione a causa di
un errore di comunicazione o di un errore di periferia F/del canale.
Per ulteriori informazioni per la comunicazione HART con SM 336; F-AI 6 x 0/4 ... 20 mA HART
consultare il manuale Sistema di automazione S7-300, Sistema di periferia decentrata ET
200M, Unità di ingressi/uscite fail-safe
(http://support.automation.siemens.com/WW/view/it/19026151) e nella Guida all'unità F.
6.4.2.5 DISABLE
La variabile DISABLE consente di disattivare una periferia F.
Finché DISABLE = 1, viene eseguita una passivazione della rispettiva periferia F.
Nel buffer di diagnostica della F-CPU non vengono più inserite voci di diagnostica del
programma di sicurezza (ad es. a causa di errori di comunicazione) per questa periferia F.
Le voci di diagnostica già presente vengono contrassegnate come in uscita.
Emissione del valore Periferia F con profilo Periferia F senza profilo Periferia F con F-CPU
sostitutivo verso... "RIOforFA-Safety" con "RIOforFA-Safety" con S7-300/400
F-CPU S7-1200/1500 F-CPU S7-1200/1500
Avviamento del sistema F QBAD e PASS_OUT = 1 QBAD e PASS_OUT = 1
Errori di comunicazione DISABLED invariato per tutti i canali vale:
per tutti i canali vale: Valore del canale = valore
Errori di periferia F Valore del canale = valore sostitutivo (0) sostitutivo (0)
Stato del valore = 0* QBAD_I_xx e QBAD_O_xx = 1*
Errori del canale
durante la progettazione
passivazione dell'intera
periferia F
* per gli slave DP standard fail-safe e i device IO standard fail-safe senza profilo "RIOforFA-Safety", lo stato dei valori o
QBAD_I_xx e QBAD_O_xx non sono disponibili.
6.4.2.7 ACK_REQ
Se il sistema F rileva un errore di comunicazione o un errore di periferia F/di canale per una
periferia F, viene eseguita una passivazione della periferia F interessata o dei singoli canali
della periferia F. Con ACK_REQ = 1 viene segnalato che per una reintegrazione della periferia
F/dei canali interessati della periferia F è necessaria una conferma utente.
Il sistema imposta ACK_REQ = 1, non appena l'errore è eliminato ed è possibile una conferma
utente. In caso di passivazione canale per canale, il sistema F importa ACK_REQ = 1 non
appena è eliminato un errore del canale. Per questo errore è possibile una conferma utente.
Dopo l'avvenuta conferma il sistema F resetta ACK_REQ a 0.
Nota
Per la periferia F con uscite, dopo gli errori di periferia F/del canale, una conferma è event.
possibile solo nel campo dei minuti dopo l'eliminazione dell'errore, a causa delle attivazioni
del segnale di test necessarie (vedere Manuali della periferia F).
6.4.2.8 IPAR_OK
La variabile IPAR_OK corrisponde alla variabile iPar_OK_S nel profilo di bus PROFIsafe, dalla
specifica PROFIsafe V1.20.
Slave DP standard/device IO standard fail-safe
Per la valutazione di questa variabile in caso di riparametrizzazione di slave DP
standard/device IO standard fail-safe, consultare la specifica PROFIsafe a partire dalla V1.20 o
la documentazione dello slave DP standard/device IO standard fail-safe.
Per la comunicazione HART con SM 336; F-AI 6 x 0/4 ... 20 mA HART vedere il capitolo
IPAR_EN (Pagina 163).
6.4.2.9 DIAG
Ai fini dell'assistenza, tramite la variabile DIAG viene messa a disposizione una informazione
non fail-safe (1 byte) sugli errori che si sono verificati. Questa informazione può essere letta
con i sistemi di servizio e supervisione o eventualmente valutata nel programma utente
standard. I bit DIAG restano salvati fino a quando nella variabile ACK_REI si esegue una
conferma o fino a quando viene eseguita una reintegrazione automatica.
Configurazione di DIAG
Vedere anche
DB di periferia F (Pagina 159)
Panoramica
Di seguito si trovano informazioni sulla passivazione e la reintegrazione della periferia F.
Nota
Gli andamenti del segnale rappresentati si riferiscono allo stato dei segnali all'interno del
programma di sicurezza programmato dall'utente.
Emissione del valore Periferia F con profilo Periferia F senza profilo Ogni periferia F con F-CPU
sostitutivo dopo "RIOforFA-Safety" con F-CPU "RIOforFA-Safety" con F-CPU S7-300/400
l'avviamento del sistema F S7-1200/1500 S7-1200/1500
Durante l'avviamento viene QBAD e PASS_OUT = 1 QBAD e PASS_OUT = 1
eseguita la passivazione per tutti i canali vale: per tutti i canali vale:
dell'intera periferia F.
Valore del canale = valore sostitutivo (0) Valore del canale = valore
Stato del valore = 0* sostitutivo (0)
QBAD_I_xx e QBAD_O_xx =
1*
* per gli slave DP standard fail-safe e i device IO standard fail-safe senza profilo "RIOforFA-Safety", lo stato dei valori o
QBAD_I_xx e QBAD_O_xx non sono disponibili.
AVVERTENZA
Emissione del valore Periferia F con profilo Periferia F senza profilo Ogni periferia F con F-CPU
sostitutivo dopo errori di "RIOforFA-Safety" con F-CPU "RIOforFA-Safety" con F-CPU S7-300/400
comunicazione S7-1200/1500 S7-1200/1500
Se viene rilevato un errore di QBAD e PASS_OUT = 1 QBAD e PASS_OUT = 1
comunicazione tra la F-CPU e per tutti i canali vale: per tutti i canali vale:
la periferia F, viene eseguita
la passivazione di tutti i Valore del canale = valore sostitutivo (0) Valore del canale = valore
canali della periferia F Stato del valore = 0* sostitutivo (0)
interessata. QBAD_I_xx e QBAD_O_xx =
1*
* per gli slave DP standard fail-safe e i device IO standard fail-safe senza profilo "RIOforFA-Safety", lo stato dei valori o
QBAD_I_xx e QBAD_O_xx non sono disponibili.
Andamento del segnale in caso di passivazione e reintegrazione della periferia F dopo errori di
comunicazione
Esempio di una periferia F con ingressi:
① Errori di comunicazione/passivazione
② Nessun errore di comunicazione presente
③ Reintegrazione
Vedere anche
Realizzazione di una conferma utente nel programma di sicurezza della F-CPU di un master DP
o di un IO Controller (Pagina 179)
Realizzazione di una conferma utente nel programma di sicurezza della F-CPU di un I-slave o
di un I-Device (Pagina 184)
Emissione del valore Periferia F con profilo Periferia F senza profilo Ogni periferia F con F-CPU
sostitutivo dopo errori della "RIOforFA-Safety" con F-CPU "RIOforFA-Safety" con F-CPU S7-300/400
periferia F S7-1200/1500 S7-1200/1500
Se il sistema F rileva un QBAD e PASS_OUT = 1 QBAD e PASS_OUT = 1
errore della periferia F, viene per tutti i canali vale: per tutti i canali vale:
eseguita la passivazione di
tutti i canali della periferia F Valore del canale = valore sostitutivo (0) Valore del canale = valore
interessata. Stato del valore = 0* sostitutivo (0)
QBAD_I_xx e QBAD_O_xx =
1*
* negli slave DP standard fail-safe e nei device IO standard fail-safe senza profilo "RIOforFA-Safety" stato del valore o
QBAD_I_xx e QBAD_O_xx non sono disponibili
Emissione del valore Periferia F con profilo Periferia F senza profilo Ogni periferia F con F-CPU
sostitutivo dopo errori di "RIOforFA-Safety" con F-CPU "RIOforFA-Safety" con F-CPU S7-300/400
canale S7-1200/1500 S7-1200/1500
se è progettata la QBAD e PASS_OUT = 1 QBAD e PASS_OUT = 1
passivazione dell'intera per tutti i canali vale: per tutti i canali vale:
periferia F:
Valore del canale = valore sostitutivo (0) Valore del canale = valore
Se il sistema F rileva un sostitutivo (0)
errore di canale, viene Stato del valore = 0*
eseguita la passivazione di QBAD_I_xx e QBAD_O_xx =
tutti i canali della periferia F 1*
interessata.
se è progettata la QBAD e PASS_OUT invariati QBAD e PASS_OUT = 1 QBAD e PASS_OUT = 1
passivazione canale per per i canali interessati vale: per i canali interessati vale: per i canali interessati vale:
canale:
Valore del canale = valore Valore del canale = valore Valore del canale = valore
se il sistema F rileva un sostitutivo (0) sostitutivo (0) sostitutivo (0)
errore di canale, viene
eseguita la passivazione di Stato del valore = 0 Stato del valore = 0* QBAD_I_xx e QBAD_O_xx =
tutti i canali interessati della 1*
periferia F interessata.
* per gli slave DP standard fail-safe e i device IO standard fail-safe senza profilo "RIOforFA-Safety", lo stato dei valori o
QBAD_I_xx e QBAD_O_xx non sono disponibili.
AVVERTENZA
Dopo una caduta di tensione della periferia F di durata inferiore al tempo di controllo F
impostato per la periferia F, può verificarsi una reintegrazione automatica
indipendentemente dall'impostazione delle variabili ACK_NEC e dalla progettazione
"Channel failure acknowledge", come descritto per l'impostazione ACK_NEC =0 e la
progettazione "Channel failure acknowledge = Automatic".
Se in questo caso non è consentita una reintegrazione automatica per il processo
interessato, è necessario programmare una protezione contro l'avviamento mediante
l'analisi delle variabili QBAD, QBAD_I_xx e QBAD_O_xx o dello stato del valore o di
PASS_OUT.
In caso di caduta di tensione della periferia F di durata superiore al tempo di controllo F
impostato per la periferia F, il sistema F riconosce un errore di comunicazione. (S012)
Andamento del segnale in caso di passivazione e reintegrazione della periferia F dopo un errore
della periferia F/errore di canale con ACK_NEC = 0 o progettazione del parametro "Channel
failure acknowledge = Automatic" per la passivazione dell'intera periferia F dopo un errore di
canale
Esempio di una periferia F con ingressi:
Andamento del segnale in caso di passivazione e reintegrazione della periferia F dopo un errore
della periferia F/errore di canale con ACK_NEC = 1 o progettazione del parametro "Channel
failure acknowledge = Manual" per la passivazione dell'intera periferia F dopo un errore di canale
Per l'andamento del segnale in caso di passivazione e reintegrazione della periferia F dopo un
errore della periferia F/errore di canale con ACK_NEC = 1 o progettazione del parametro
"Channel failure acknowledge = Manual" (valore iniziale) vedere Dopo errori di
comunicazione (Pagina 171).
Andamento del segnale in caso di passivazione e reintegrazione della periferia F dopo un errore
di canale con ACK_NEC = 1 o progettazione del parametro "Channel failure acknowledge =
Manual" per la passivazione canale per canale
Esempio di una periferia F con ingressi:
Nota
Fare attenzione al differente comportamento di PASS_OUT nelle periferie F con/senza profilo
"RIOforFA-Safety" (vedere la tabella nel capitolo
QBAD/PASS_OUT/DISABLED/QBAD_I_xx/QBAD_O_xx e stato del valore (Pagina 165)).
Nota
Se la conferma utente viene realizzata tramite un tasto di conferma e si verifica un errore di
comunicazione/errore della periferia F/errore di canale nella periferia F alla quale è collegato il
tasto di conferma, non è più possibile confermare la reintegrazione della periferia F.
Questo "blocco" può essere eliminato solo con una commutazione STOP/RUN della F-CPU. In
un sistema ridondante S7-1500HF è necessario commutare in STOP entrambe le HF-CPU e il
sistema ridondante S7-1500HF prima del riavvio delle HF-CPU.
Pertanto si consiglia di configurare per la conferma della reintegrazione di una periferia F alla
quale è collegato un tasto di conferma anche la conferma tramite un sistema di servizio e
supervisione.
Se l'analisi del rischio lo consente, la conferma utente può avvenire tramite un tasto di
conferma collegato ad una periferia standard con ingressi oppure tramite altri meccanismi di
lettura della conferma.
Nota
Se si interconnette il passaggio IN con una parola merker o la DBW di un DB, nel passaggio IN
va utilizzata una parola merker o la DBW di un DB del programma utente standard, che siano
specifiche per ogni istanza dell'istruzione ACK_OP.
AVVERTENZA
Le due operazioni di conferma non possono essere attivate con un unico comando
manuale, ad es. inserendo automaticamente le operazioni di conferma e le condizioni
temporali in un programma e attivandole con un unico tasto funzione!
L'attivazione separata delle due operazioni di conferma impedisce anche l'attivazione errata
di una conferma tramite il sistema di servizio e supervisione non fail-safe. (S013)
AVVERTENZA
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete.
Nota
La progettazione del sistema di servizio e supervisione non influisce sulla firma collettiva F.
Nota
È necessario assegnare al passaggio IN una parola merker o una DBW di un DB del
programma utente standard, che sia specifica per ogni istanza dell'istruzione ACK_OP.
4. Configurare nel sistema di servizio e supervisione un campo per l'immissione manuale del
"valore di conferma" "6" (1ª operazione di conferma) e l'"identificativo" parametrizzato
sull'ingresso ACK_ID (2ª operazione di conferma)
oppure
assegnare il tasto funzione 1 per trasmettere una volta il "valore di conferma" "6"
(1ª operazione di conferma) e il tasto funzione 2 per trasmettere una volta l'"Identificativo"
(2ª operazione di conferma) all'ingesso ACK_ID.
Al campo o ai tasti funzione deve essere assegnata/o la parola merker o la DBW di un DB
del programma utente standard assegnata al passaggio IN.
5. Opzione: Valutare l'uscita Q nel DB di istanza di ACK_OP nel sistema di servizio e
supervisione per definire la finestra temporale all'interno della quale deve essere eseguita la
2ª operazione di conferma o visualizzare la conclusione della 1ª operazione di conferma.
AVVERTENZA
Le due operazioni di conferma non possono essere attivate con un unico comando
manuale, ad es. inserendo automaticamente le operazioni di conferma e le condizioni
temporali in un programma e attivandole con un unico tasto funzione!
L'attivazione separata delle due operazioni di conferma impedisce anche l'attivazione errata
di una conferma tramite il sistema di servizio e supervisione non fail-safe. (S013)
AVVERTENZA
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete.
Nota
L'assegnazione del passaggio IN dell'istruzione ACK_OP e la progettazione del sistema di
servizio e supervisione non influenzano la firma collettiva F, la firma collettiva F-SW o la firma
del blocco che richiama l'istruzione ACK_OP.
Di conseguenza, la modifica dell'assegnazione del passaggio IN o della progettazione del
sistema di servizio e supervisione non provoca la modifica della firma collettiva F/firma
collettiva F-SW/firma del blocco di richiamo.
AVVERTENZA
2. Conferma utente tramite un tasto di conferma collegato ad una periferia F dotata di ingressi
assegnata alla F-CPU dell'I-slave/I-Device
Nota
Se si verifica un errore di comunicazione/errore di periferia F/errore di canale nella periferia F
alla quale è collegato il tasto di conferma, non è più possibile confermare la reintegrazione
della periferia F.
Questo "blocco" può essere eliminato solo con una commutazione STOP/RUN della F-CPU
dell'I-slave/I-Device.
Pertanto, per la conferma per la reintegrazione di una periferia F alla quale è collegato un
tasto di conferma, si consiglia di configurare anche una conferma tramite un sistema di
servizio e supervisione che consenta di accedere alla F-CPU dell'I-slave/I-Device (vedere il
punto 1.).
Nota
Se si verifica un errore di comunicazione/errore di periferia F/errore di canale nella
periferia F alla quale è collegato il tasto di conferma, non è più possibile confermare la
reintegrazione della periferia F.
Questo "blocco" può essere eliminato solo con una commutazione STOP/RUN della F-CPU
del master DP/IO Controller.
Pertanto si consiglia di configurare per la conferma della reintegrazione di una periferia F
alla quale è collegato un tasto di conferma anche la conferma tramite un sistema di
servizio e supervisione che consente di accedere alla F-CPU del master DP/IO Controller.
In caso di errore della comunicazione di sicurezza master-I-slave/IO Controller-I-Device non
è più possibile trasmettere il segnale di conferma e di conseguenza non è possibile
nemmeno la conferma della reintegrazione della comunicazione di sicurezza.
Questo "blocco" può essere eliminato solo con una commutazione STOP/RUN della F-CPU
dell'I-slave/I-Device.
Pertanto si consiglia di configurare per la conferma della reintegrazione della
comunicazione di sicurezza per la trasmissione del segnale di conferma anche la conferma
tramite un sistema di servizio e supervisione che consente di accedere alla F-CPU dell'I-
slave/I-Device (vedere il punto 1.).
Lettura dei dati del programma di sicurezza nel programma utente standard
Il programma utente standard può leggere tutti i dati del programma di sicurezza, ad es.
tramite un accesso simbolico (completamente qualificato) ai seguenti elementi:
• i DB di istanza degli F-FB ("nome del DB di istanza".Signal_x)
• gli F-DB (ad es. "nome dell'F_DB".Signal_1)
• l'immagine di processo degli ingressi e delle uscite della periferia F (ad es.
"pulsante_di_arresto_di_emergenza_1" (E 5.0))
Nota
Valido per le F-CPU S7-300/400
L'immagine di processo degli ingressi della periferia F non viene aggiornata solo all'inizio
del gruppo di esecuzione F, ma anche dal sistema operativo standard.
L'ora di aggiornamento del sistema operativo standard è riportata nella Guida a STEP 7 in
"Immagine di processo degli ingressi e delle uscite". Per le F-CPU che supportano le
immagini di processo parziali, osservare anche l'ora di aggiornamento in caso di utilizzo
delle immagini di processo parziali. Di conseguenza, quando si accede all'immagine di
processo degli ingressi della periferia F nel programma utente standard possono essere
visualizzati valori diversi da quelli del programma di sicurezza. Le differenze tra i valori
possono essere dovute:
• a un'ora di aggiornamento diversa
• all'utilizzo di valori sostitutivi nel programma di sicurezza
Per fare in modo che il programma utente standard fornisca gli stessi valori del
programma di sicurezza, accedere all'immagine di processo degli ingressi dal programma
utente standard solo dopo l'elaborazione di un gruppo di esecuzione F. In questo caso è
possibile analizzare nel programma utente standard anche la variabile QBAD o QBAD_I_xx
nel relativo DB della periferia F per verificare se l'immagine di processo degli ingressi
riceve dei valori sostitutivi (0) oppure dei valori di processo. Se si utilizzano immagini di
processo parziali, assicurarsi inoltre che tra l'elaborazione di un gruppo di esecuzione F e
l'analisi dell'immagine di processo degli ingressi nel programma utente standard
l'immagine di processo non venga aggiornata dal sistema operativo standard o
dall'istruzione UPDAT_PI.
Nota
Valido per le F-CPU S7-1200/1500
L'immagine di processo degli ingressi della periferia F viene aggiornata prima
dell'elaborazione del blocco Main Safety.
Quando si trasferiscono i dati dal programma di sicurezza al programma utente standard, non
viene verificata l'integrità del programma di sicurezza e dei dati rilevanti per la sicurezza
(vedere anche il capitolo "Presentazione del prodotto (Pagina 21)").
Scrittura dei dati dal programma di sicurezza nel programma utente standard
Esiste inoltre la possibilità di scrivere i dati del programma di sicurezza nel programma utente
standard direttamente all'interno del programma di sicurezza (vedere anche la tabella delle
aree operandi supportate in: Limitazioni dei linguaggi di programmazione FUP/KOP
(Pagina 112)).
Questo vale anche per le informazioni del Service non sicure (ad es. le uscite DIAG delle
istruzioni fail-safe).
Osservare la tabella contenuta nel capitolo "Scambio di dati tra programma utente standard e
programma di sicurezza (Pagina 187)".
Durante la scrittura in una variabile del tipo di dati ARRAY l'indice può essere una costante
oppure una variabile.
Nel programma di sicurezza possono essere elaborati solo dati fail-safe o segnali fail-safe
della periferia F e altri programmi di sicurezza (in altre F-CPU), poiché le variabili del
programma standard non sono protette.
Se è necessario elaborare comunque delle variabili del programma utente standard nel
programma di sicurezza, è possibile analizzare i merker del programma utente standard, le
variabili di un DB standard o l'immagine di processo degli ingressi (IPI) della periferia standard
nel programma di sicurezza (vedere anche la tabella delle aree operandi supportate in:
Limitazioni dei linguaggi di programmazione FUP/KOP (Pagina 112)).
Osservare la tabella contenuta nel capitolo "Scambio di dati tra programma utente standard e
programma di sicurezza (Pagina 187)".
Durante la lettura di una variabile del tipo di dati ARRAY l'indice deve essere una costante. Le
variabili non possono essere utilizzate come indici.
Tenere presente che le modifiche strutturali dei DB standard utilizzati nel programma di
sicurezza causano incoerenze del programma di sicurezza e quindi possono essere eseguite
solo se si dispone delle autorizzazioni necessarie per l'accesso ai dati di progetto rilevanti per
la sicurezza. In questo caso dopo la compilazione la firma collettiva F corrisponde di nuovo
alla firma originaria. Per evitare questo effetto, utilizzare i "blocchi dati di trasferimento" tra il
programma utente standard e il programma di sicurezza.
AVVERTENZA
Poiché queste variabili non vengono generate in modo sicuro, è necessario assicurarsi,
mediante controlli di plausibilità aggiuntivi specifici del processo nel programma di
sicurezza, che non possano verificarsi degli stati pericolosi. Se si utilizza un merker, una
variabile di un DB standard o un ingresso della periferia standard nei due gruppi di
esecuzione F, il controllo di plausibilità deve essere eseguito separatamente in ogni gruppo
di esecuzione F. (S015)
Per facilitare il controllo, durante la creazione della documentazione di sicurezza (Pagina 329)
tutte le variabili PLC del programma utente standard valutate nel programma di sicurezza
vengono stampate.
Le variabili PLC del programma utente standard che vengono valutate nei blocchi F con
protezione del know-how non vengono acquisite nella documentazione di sicurezza. Il
controllo di plausibilità deve essere eseguito dall'utente che crea i blocchi F con know-how
protetto.
Lettura delle variabili del programma utente standard che possono modificarsi durante il tempo
di esecuzione di un gruppo di esecuzione F
Per leggere nel programma di sicurezza le variabili del programma utente standard (merker,
variabili di un DB standard o IPI della periferia standard) che durante il tempo di esecuzione
del gruppo di esecuzione F in cui avviene la lettura possono essere modificate dal programma
utente standard o da un sistema di servizio e supervisione - ad es. perché il programma
utente standard viene elaborato in seguito ad un allarme di schedulazione orologio di priorità
superiore - è necessario utilizzare dei merker appositi o delle variabili di un DB standard
specifiche. Nel caso delle F-CPU S7-1200/1500 si raccomanda di utilizzare gli FC standard per
la preelaborazione (Pagina 83).
(S7-300/400) I merker e le variabili del DB standard devono essere sovrascritti con le variabili
del programma utente standard immediatamente prima del richiamo del gruppo di
esecuzione F.
In seguito nel programma di sicurezza si potrà accedere solo a questi merker o a queste
variabili del DB standard.
Si noti inoltre che i merker di clock definiti nella progettazione della F-CPU all'interno della
scheda "Properties" possono subire modifiche durante il tempo di esecuzione del gruppo di
esecuzione F perché vengono eseguiti in modo asincrono rispetto al ciclo della F-CPU.
Nota
In caso di mancata osservanza la F-CPU può passare in STOP. La causa dell'evento di
diagnostica viene inserita nel buffer di diagnostica della F-CPU.
Introduzione
Di seguito è riportata una panoramica delle opzioni di comunicazione di sicurezza nei
sistemi F SIMATIC Safety.
Introduzione
La comunicazione di sicurezza tra i programmi di sicurezza delle F-CPU degli IO Controller
viene realizzata mediante un PN/PN Coupler installato tra le due F-CPU.
Per le CPU 416F-2 DP senza interfaccia PROFINET integrata utilizzare un CP 443-1 o un CP
443-1 Advanced-IT.
Nota
Disattivare il parametro "Data validity display DIA" nelle proprietà del PN/PN Coupler
nell'editor hardware e di rete. Ciò corrisponde alle impostazioni predefinite In caso contrario
la comunicazione di sicurezza IO Controller-IO Controller non è possibile.
Procedura di progettazione
La procedura per la progettazione della comunicazione di sicurezza IO-Controller-
IO-Controller è identica a quella standard.
Procedere nel modo seguente:
1. Inserire nel progetto due F-CPU dalla task card "Catalogo hardware".
2. Passare alla vista di rete dell'editor hardware e di rete.
3. Nella task card "Catalogo hardware" alla voce "Ulteriori apparecchiature da
campo\PROFINET IO\Gateway\Siemens AG\PN/PN Coupler" selezionare un PN/PN Coupler X1
e un PN/PN Coupler X2 e inserirli nella vista di rete dell'editor hardware e di rete.
4. Collegare l'interfaccia PN della F-CPU 1 con l'interfaccia PN del PN/PN Coupler X1 e
l'interfaccia PN della F-CPU 2 con l'interfaccia PN del PN/PN Coupler X2.
5. Per i collegamenti di comunicazione bidirezionali, ovvero se ogni F-CPU deve sia trasmettere
che ricevere i dati, aprire la vista dispositivi del PN/PN Coupler X1. Selezionare nella task card
"Hardware catalog", con il filtro attivato, i seguenti moduli alla voce "IN/OUT" e inserirli nella
scheda "Device overview":
– un modulo "IN/OUT 6 byte / 12 byte" e
– un modulo "IN/OUT 12 byte / 6 byte"
6. Assegnare gli indirizzi al di fuori dell'immagine di processo nelle proprietà dei moduli come
descritto di seguito:
Per il modulo "IN/OUT 6 byte / 12 byte" per la trasmissione dei dati ad es.:
– Indirizzi di ingresso: Indirizzo iniziale 518
– Indirizzi di uscita: Indirizzo iniziale 518
Per il modulo "IN/OUT 12 byte / 6 byte" per la ricezione dei dati ad es.:
– Indirizzi di ingresso: Indirizzo iniziale 530
– Indirizzi di uscita: Indirizzo iniziale 530
Nota
Accertarsi che gli indirizzi iniziali delle aree indirizzi per i dati di ingresso e di uscita siano
identici.
Suggerimento: Annotare i rispettivi indirizzi iniziali della aree di trasferimento. Gli indirizzi
saranno necessari per la programmazione dei blocchi SENDDP e RCVDP (ingresso LADDR).
7. Selezionare nella vista dispositivi del PN/PN Coupler X2 i seguenti moduli alla voce "IN/OUT" e
inserirli nella scheda "Device overview":
– un modulo "IN/OUT 12 byte / 6 byte" e
– un modulo "IN/OUT 6 byte / 12 byte"
8. Assegnare gli indirizzi al di fuori dell'immagine di processo nelle proprietà dei moduli come
descritto di seguito:
Per il modulo "IN/OUT 12 byte / 6 byte" per la ricezione dei dati ad es.:
– Indirizzi di ingresso: Indirizzo iniziale 516
– Indirizzi di uscita: Indirizzo iniziale 516
Per il modulo "IN/OUT 6 byte / 12 byte" per la trasmissione dei dati ad es.:
– Indirizzi di ingresso: Indirizzo iniziale 528
– Indirizzi di uscita: Indirizzo iniziale 528
La comunicazione di sicurezza tra le F-CPU degli IO Controller viene realizzata con l'ausilio
delle istruzioni SENDDP per la trasmissione e RCVDP per la ricezione. Queste istruzioni
consentono di trasmettere in modo sicuro un numero fisso di dati fail-safe del tipo di dati INT
o BOOL.
Queste istruzioni si trovano nella task card "Instructions" in "Communication". L'istruzione
RCVDP deve essere richiamata all'inizio del blocco Main Safety. L'istruzione SENDDP deve
essere richiamata alla fine del blocco Main Safety.
Tenere presente che i segnali di trasmissione vengono inviati solo dopo il richiamo
dell'istruzione SENDDP al termine dell'elaborazione del rispettivo gruppo di esecuzione F.
Per la descrizione dettagliata delle istruzioni SENDDP e RCVDP vedere SENDDP e RCVDP: Invio
e ricezione di dati tramite PROFIBUS DP/PROFINET IO (STEP 7 Safety V18) (Pagina 579).
Procedura di programmazione
La comunicazione di sicurezza IO Controller-IO Controller viene programmata nel modo
seguente:
1. Nel programma di sicurezza dal quale devono essere inviati i dati, richiamare
l'istruzione SENDDP (Pagina 579) per la trasmissione alla fine del blocco Main Safety.
2. Nel programma di sicurezza nel quale devono essere ricevuti i dati, richiamare
l'istruzione RCVDP (Pagina 579) per la ricezione all'inizio del blocco Main Safety.
3. Assegnare ai rispettivi ingressi LADDR gli indirizzi iniziali delle aree di trasferimento per i dati
di ingresso e di uscita del PN/PN Coupler progettati nell'editor hardware e di rete.
Questa assegnazione deve essere effettuata per ogni collegamento di comunicazione di
ciascuna delle F-CPU collegate.
AVVERTENZA
Il valore per il rispettivo ID di comunicazione F (ingresso DP_DP_ID; tipo di dati: INT) può
essere selezionato liberamente, ma deve essere univoco in tutta la rete* e in tutta la CPU
in qualsiasi momento e per tutti i collegamenti di comunicazione orientati alla sicurezza.
L'univocità deve essere verificata nella stampa del programma di sicurezza durante il
collaudo del programma di sicurezza.
Al richiamo dell'istruzione, agli ingressi DP_DP_ID e LADDR devono essere assegnati dei
valori costanti. Nel programma di sicurezza non sono consentiti accessi in scrittura diretti
a DP_DP_ID e LADDR nei rispettivi DB di istanza! (S016)
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete. Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite
PROFIBUS DP. In PROFINET IO una rete comprende tutti i nodi raggiungibili tramite
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP (IP,
Layer 3).
5. Fornire i segnali di trasmissione agli ingressi SD_BO_xx e SD_I_xx di SENDDP. Per ridurre i
segnali intermedi durante il trasferimento dei parametri dei blocchi, in alternativa è possibile
scrivere, prima del richiamo di SENDDP, il valore direttamente nel DB di istanza di SENDDP
tramite un accesso completamente qualificato (ad es. "Name SENDDP_1".SD_BO_02).
6. Assegnare alle uscite RD_BO_xx e RD_I_xx di RCVDP i segnali da elaborare in altre parti di
programma oppure leggere nelle parti di programma utilizzate per l'elaborazione successiva
i segnali ricevuti direttamente nel DB di istanza corrispondente tramite un accesso
completamente qualificato (ad es. "Name RCVDP_1".RD_BO_02).
7. Assegnare agli ingressi SUBBO_xx e SUBI_xx di RCVDP i valori sostitutivi che devono essere
emessi al posto dei valori di processo di RCVDP dopo l'avviamento del sistema F di
trasmissione e di ricezione o in caso di errore della comunicazione di sicurezza fino a quando
la comunicazione non viene stabilita per la prima volta.
– Preimpostazione di valori sostitutivi constanti:
Per i dati del tipo di dati INT è possibile inserire dei valori sostitutivi costanti
direttamente come costante nell'ingresso SUBI_xx (valore iniziale = "0"). Se si desidera
assegnare ai dati del tipo di dati BOOL un valore sostitutivo costante "TRUE", assegnare
all'ingresso SUBBO_xx (valore iniziale = "FALSE") la variabile "F_GOBDB".VKE1.
– Preimpostazione di valori sostitutivi variabili:
Per impostare dei valori sostitutivi variabili, definire una variabile calcolata con il
programma di sicurezza nell'F-DB e assegnare questa variabile in modo completamente
qualificato all'ingresso SUBI_xx o SUBBO_xx.
AVVERTENZA
Osservare: La logica di programma per il calcolo dei valori sostitutivi variabili può
essere inserita solo dopo i richiami RCVDP, poiché non è consentita alcuna logica di
programma prima dei richiami RCVDP. Pertanto nel primo ciclo dopo l'avviamento del
sistema F sono attivi i valori iniziali dei valori sostitutivi in tutte le istruzioni RCVDP.
Assegnare pertanto a queste variabili dei valori iniziali idonei. (S017)
8. Parametrizzare gli ingressi TIMEOUT delle istruzioni RCVDP e SENDDP con il tempo di
controllo desiderato.
AVVERTENZA
Ulteriori informazioni sul calcolo dei tempi di controllo sono contenute in Tempi di
controllo e di reazione (Pagina 596).
9. Opzione: Valutare l'uscita ACK_REQ dell'istruzione RCVDP ad es. nel programma utente
standard oppure nel sistema di servizio e supervisione per verificare o visualizzare se è
necessaria una conferma utente.
10.Assegnare il segnale per la conferma della reintegrazione all'ingresso ACK_REI dell'istruzione
RCVDP.
11.Opzione: Valutare l'uscita SUBS_ON dell'istruzione RCVDP o SENDDP per verificare se
l'istruzione RCVDP emette i valori sostitutivi parametrizzati sugli ingressi SUBBO_xx e
SUBI_xx.
12.Opzione: Valutare l'uscita ERROR dell'istruzione RCVDP o SENDDP ad es. nel programma
utente standard oppure nel sistema di servizio e supervisione per verificare o visualizzare se
si è verificato un errore di comunicazione.
13.Opzione: Valutare l'uscita SENDMODE dell'istruzione RCVDP per verificare se nella F-CPU con
la relativa istruzione SENDDP il funzionamento di sicurezza è disattivato (Pagina 333).
Nota
Se la quantità di dati da trasmettere supera la capacità delle relative istruzioni
SENDDP/RCVDP, è possibile utilizzare un secondo (o terzo) richiamo SENDDP/RCVDP.
Progettare a questo scopo un ulteriore collegamento di comunicazione tramite il PN/PN
Coupler. La possibilità di eseguire questa operazione con lo stesso PN/PN Coupler dipende dai
limiti di capacità del PN/PN Coupler stesso.
Introduzione
La comunicazione di sicurezza tra i programmi di sicurezza delle F-CPU dei master DP viene
realizzata mediante un DP/DP Coupler.
Nota
Commutare l'indicazione di validità dei dati "DIA" del DIL-switch del DP/DP Coupler su "OFF". In
caso contrario la comunicazione di sicurezza CPU-CPU non è possibile.
Procedura di progettazione
La procedura per la progettazione della comunicazione di sicurezza tra master e master è
identica a quella standard.
Procedere nel modo seguente:
1. Inserire nel progetto due F-CPU dalla task card "Catalogo hardware".
2. Passare alla vista di rete dell'editor hardware e di rete.
6. Nelle proprietà del DP/DP Coupler della vista dispositivi viene assegnato automaticamente un
indirizzo PROFIBUS libero. Questo indirizzo deve essere impostato sul DP/DP Coupler del PLC
1 con il DIL-switch del dispositivo oppure nella progettazione del DP/DP Coupler (vedere il
manuale DP/DP Coupler (http://support.automation.siemens.com/WW/view/it/1179382)).
7. Per i collegamenti di comunicazione bidirezionali, ovvero se ogni F-CPU deve sia trasmettere
che ricevere i dati, aprire la vista dispositivi del DP/DP Coupler per PLC1. Selezionare nella
task card "Hardware catalog", con il filtro attivato, i seguenti moduli e inserirli nella scheda
"Device overview":
– un modulo "6 byte I/12 byte O coerente" e
– un modulo "12 byte I/6 byte O coerente"
8. Assegnare gli indirizzi al di fuori dell'immagine di processo nelle proprietà dei moduli come
descritto di seguito:
Modulo "6 byte I/12 byte O coerente" per la trasmissione dei dati, ad es.:
– Indirizzi di ingresso: Indirizzo iniziale 530
– Indirizzi di uscita: Indirizzo iniziale 530
Modulo "12 byte I/6 byte O coerente" per la ricezione dei dati, ad es.:
– Indirizzi di ingresso: Indirizzo iniziale 542
– Indirizzi di uscita: Indirizzo iniziale 542
Nota
Accertarsi che gli indirizzi iniziali delle aree indirizzi per i dati di ingresso e di uscita
siano identici.
Suggerimento: Annotare i rispettivi indirizzi iniziali della aree di trasferimento. Gli
indirizzi saranno necessari per la programmazione dei blocchi SENDDP e RCVDP
(ingresso LADDR).
9. Selezionare nella vista dispositivi del DP/DP Coupler PLC2, all'interno della task card
"Hardware catalog", con il filtro attivato, i seguenti moduli e inserirli nella scheda "Device
overview":
– un modulo "12 byte I/6 byte O coerente" e
– un modulo "6 byte I/12 byte O coerente"
10.Assegnare gli indirizzi al di fuori dell'immagine di processo nelle proprietà dei moduli come
descritto di seguito:
Modulo "12 byte I/6 byte O coerente" per la ricezione dei dati, ad es.:
– Indirizzi di ingresso: Indirizzo iniziale 548
– Indirizzi di uscita: Indirizzo iniziale 548
Modulo "6 byte I/12 byte O coerente" per la trasmissione dei dati, ad es.:
– Indirizzi di ingresso: indirizzo iniziale 560
– Indirizzi di uscita: indirizzo iniziale 560
La comunicazione sicura tra le F-CPU degli master DP viene realizzata con l'ausilio delle
istruzioni SENDDP per la trasmissione e RCVDP per la ricezione. Queste istruzioni consentono
di trasmettere in modo sicuro un numero fisso di dati fail-safe del tipo di dati INT o BOOL.
Queste istruzioni si trovano nella task card "Instructions" in "Communication". L'istruzione
RCVDP deve essere richiamata all'inizio del blocco Main Safety. L'istruzione SENDDP deve
essere richiamata alla fine del blocco Main Safety.
Tenere presente che i segnali di trasmissione vengono inviati solo dopo il richiamo
dell'istruzione SENDDP al termine dell'elaborazione del rispettivo gruppo di esecuzione F.
Per la descrizione dettagliata delle istruzioni SENDDP e RCVDP vedere SENDDP e RCVDP: Invio
e ricezione di dati tramite PROFIBUS DP/PROFINET IO (STEP 7 Safety V18) (Pagina 579).
Procedura di programmazione
La comunicazione di sicurezza master-master si programma nel modo seguente:
1. Nel programma di sicurezza dal quale devono essere inviati i dati, richiamare
l'istruzione SENDDP (Pagina 579) per la trasmissione alla fine del blocco Main Safety.
2. Nel programma di sicurezza nel quale devono essere ricevuti i dati, richiamare
l'istruzione RCVDP (Pagina 579) per la ricezione all'inizio del blocco Main Safety.
3. Assegnare gli indirizzi iniziali delle aree di trasferimento per i dati di uscita e di ingresso del
DP/DP Coupler nell'editor hardware e di rete ai rispettivi ingressi LADDR.
Questa assegnazione deve essere effettuata per ogni collegamento di comunicazione di
ciascuna delle F-CPU collegate.
AVVERTENZA
Il valore per il rispettivo ID di comunicazione F (ingresso DP_DP_ID; tipo di dati: INT) può
essere selezionato liberamente, ma deve essere univoco in tutta la rete* e in tutta la CPU
in qualsiasi momento e per tutti i collegamenti di comunicazione orientati alla sicurezza.
L'univocità deve essere verificata nella stampa del programma di sicurezza durante il
collaudo del programma di sicurezza.
Al richiamo dell'istruzione, agli ingressi DP_DP_ID e LADDR devono essere assegnati dei
valori costanti. Nel programma di sicurezza non sono consentiti accessi in scrittura diretti
a DP_DP_ID e LADDR nei rispettivi DB di istanza! (S016)
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete. Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite
PROFIBUS DP. In PROFINET IO una rete comprende tutti i nodi raggiungibili tramite
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP (IP,
Layer 3).
5. Fornire i segnali di trasmissione agli ingressi SD_BO_xx e SD_I_xx di SENDDP. Per ridurre i
segnali intermedi durante il trasferimento dei parametri dei blocchi, in alternativa è possibile
scrivere, prima del richiamo di SENDDP, il valore direttamente nel DB di istanza di SENDDP
tramite un accesso completamente qualificato (ad es. "Name SENDDP_1".SD_BO_02).
6. Fornire alle uscite RD_BO_xx e RD_I_xx di RCVDP i segnali che si desidera elaborare
ulteriormente in altre parti del programma o leggere i segnali ricevuti direttamente nel
relativo DB di istanza (ad es. "Nome RCVDP_1".RD_BO_02) nelle parti del programma di
ulteriore elaborazione con un accesso completamente qualificato.
7. Assegnare agli ingressi SUBBO_xx e SUBI_xx di RCVDP i valori sostitutivi che devono essere
emessi al posto dei valori di processo di RCVDP dopo l'avviamento del sistema F di
trasmissione e di ricezione o in caso di errore della comunicazione di sicurezza fino a quando
la comunicazione non viene stabilita per la prima volta.
– Preimpostazione di valori sostitutivi constanti:
Per i dati del tipo INT, è possibile inserire valori sostitutivi costanti direttamente come
costanti nell'ingresso SUBI_xx (valore iniziale = "0") Se per i dati del tipo di dati BOOL si
vuole preimpostare un valore sostitutivo costante, inserire nell'ingresso SUBBO_xx
(valore iniziale = "FALSE") la variabile "F_GLOBDB".VKE1.
– Preimpostazione di valori sostitutivi variabili:
Per impostare dei valori sostitutivi variabili, definire una variabile calcolata con il
programma di sicurezza nell'F-DB e assegnare questa variabile in modo completamente
qualificato all'ingresso SUBI_xx o SUBBO_xx.
AVVERTENZA
Osservare: La logica di programma per il calcolo dei valori sostitutivi variabili può
essere inserita solo dopo i richiami RCVDP, poiché non è consentita alcuna logica di
programma prima dei richiami RCVDP. Pertanto nel primo ciclo dopo l'avviamento del
sistema F sono attivi i valori iniziali dei valori sostitutivi in tutte le istruzioni RCVDP.
Assegnare pertanto a queste variabili dei valori iniziali idonei. (S017)
8. Parametrizzare gli ingressi TIMEOUT delle istruzioni RCVDP e SENDDP con il tempo di
controllo desiderato.
AVVERTENZA
Ulteriori informazioni sul calcolo dei tempi di controllo sono contenute in Tempi di
controllo e di reazione (Pagina 596).
9. Opzione: Valutare l'uscita ACK_REQ dell'istruzione RCVDP, ad es. nel programma utente
standard o nel sistema di servizio e supervisione, per verificare o visualizzare se è richiesta
una conferma utente.
10.Fornire all'ingresso ACK_REI dell'istruzione RCVDP il segnale di conferma per la
reintegrazione.
11.Opzione: Valutare l'uscita SUBS_ON dell'istruzione RCVDP o SENDDP per verificare se
l'istruzione RCVDP emette i valori sostitutivi parametrizzati sugli ingressi SUBBO_xx e
SUBI_xx.
12.Opzione: Valutare l'uscita ERROR dell'istruzione RCVDP o SENDDP, ad es. nel programma
utente standard o nel sistema di servizio e supervisione, per chiedere o indicare se si è
verificato un errore di comunicazione.
13.Opzione: Valutare l'uscita SENDMODE dell'istruzione RCVDP per verificare se nella F-CPU con
la relativa istruzione SENDDP il funzionamento di sicurezza è disattivato (Pagina 333).
Nota
Se la quantità di dati da trasmettere supera la capacità delle relative istruzioni
SENDDP/RCVDP, è possibile utilizzare un secondo (o terzo) richiamo SENDDP/RCVDP. A tale
scopo progettare un altro collegamento di comunicazione tramite DP/DP Coupler. In base al
limite di capacità dell'DP/DP Coupler, questo è possibile con uno o con lo stesso DP/DP
Coupler.
Introduzione
La comunicazione di sicurezza tra il programma di sicurezza della F-CPU di un IO Controller e
il/i programma/i di sicurezza della F-CPU di uno o più I-Device avviene, come nel programma
standard, via PROFINET IO, tramite i collegamenti IO Controller-I-Device (F-CD).
Per la comunicazione IO Controller-I-Device non è richiesto alcun hardware supplementare.
La F-CPU che deve essere impiegata come I-Device, deve supportare il modo di
funzionamento "IO-Device".
Procedura di progettazione
La procedura per la progettazione di una comunicazione di sicurezza IO Controller-I-Device è
identica a quella prevista per la progettazione del programma standard.
Procedere nel modo seguente:
1. Inserire nel progetto due F-CPU dalla task card "Catalogo hardware".
2. Attivare il modo di funzionamento "IO Device" per la F-CPU 2 nelle proprietà della relativa
interfaccia PN e assegnare questa interfaccia PN a un'interfaccia PN della F-CPU 1.
3. Selezionare l'interfaccia PROFINET della F-CPU 2. Nelle "Transfer areas" è possibile creare un
collegamento F-CD (tipo "F-CD") per l'invio all'IO Controller (←). Il collegamento F-CD viene
contrassegnato in giallo nella tabella e le aree di indirizzi occupate fuori dall'immagine di
processo nell'I-Device e nell'IO Controller vengono visualizzate.
Inoltre, per ciascun collegamento F-CD viene creato automaticamente un collegamento di
conferma. (Vedere nei dettagli dell'area di trasferimento).
La comunicazione di sicurezza tra F-CPU dell'IO Controller e un I-Device viene eseguita con le
istruzioni SENDDP per l'invio di e RCVDP per la ricezione. Queste istruzioni consentono di
trasmettere in modo sicuro un numero fisso di dati fail-safe del tipo di dati INT o BOOL.
Queste istruzioni si trovano nella task card "Instructions" in "Communication". L'istruzione
RCVDP deve essere richiamata all'inizio del blocco Main Safety. L'istruzione SENDDP deve
essere richiamata alla fine del blocco Main Safety.
Tenere presente che i segnali di trasmissione vengono inviati solo dopo il richiamo
dell'istruzione SENDDP al termine dell'elaborazione del rispettivo gruppo di esecuzione F.
Per la descrizione dettagliata delle istruzioni SENDDP e RCVDP vedere SENDDP e RCVDP: Invio
e ricezione di dati tramite PROFIBUS DP/PROFINET IO (STEP 7 Safety V18) (Pagina 579).
Procedura di programmazione
Per la programmazione della comunicazione di sicurezza IO Controller-I-Device procedere
esattamente come per la programmazione della comunicazione di sicurezza IO Controller-
IO Controller (vedere Programmazione della comunicazione di sicurezza tra IO Controller e
IO Controller (Pagina 200)).
AVVERTENZA
Il valore per il rispettivo ID di comunicazione F (ingresso DP_DP_ID; tipo di dati: INT) può
essere selezionato liberamente, ma deve essere univoco in tutta la rete* e in tutta la CPU in
qualsiasi momento e per tutti i collegamenti di comunicazione orientati alla sicurezza.
L'univocità deve essere verificata nella stampa del programma di sicurezza durante il
collaudo del programma di sicurezza.
Al richiamo dell'istruzione, agli ingressi DP_DP_ID e LADDR devono essere assegnati dei
valori costanti. Nel programma di sicurezza non sono consentiti accessi in scrittura diretti a
DP_DP_ID e LADDR nei rispettivi DB di istanza! (S016)
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete. Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite
PROFIBUS DP. In PROFINET IO una rete comprende tutti i nodi raggiungibili tramite
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP (IP,
Layer 3).
AVVERTENZA
L'acquisizione dello stato del segnale da trasmettere e la sua trasmissione al ricevente sono
garantite (in modalità fail-safe) solo se lo stato del segnale rimane attivo per un tempo pari
almeno al tempo di controllo parametrizzato. (S018)
Ulteriori informazioni sul calcolo dei tempi di controllo sono contenute in Tempi di controllo e
di reazione (Pagina 596).
Per il limite massimo di 1440 byte di dati di ingresso o 1440 byte di dati di uscita per il
trasferimento tra un I-Device e un IO Controller, tenere conto di tutti gli altri collegamenti di
comunicazione standard e di sicurezza previsti (aree di trasferimento del tipo: F-CD e CD).
Inoltre, i dati vengono utilizzati per scopi interni, in modo che il limite massimo possa essere
raggiunto prima.
In caso di superamento del limite si ottiene un messaggio di errore corrispondente.
Introduzione
La comunicazione di sicurezza tra il programma di sicurezza della F-CPU di un master DP e il/i
programma/i di sicurezza della F-CPU di uno o più I-slave avviene - come nel programma
standard - tramite collegamenti master-I-slave (F-MS).
Per la comunicazione master-I-slave non è necessario un DP/DP Coupler.
Procedura di progettazione
La procedura per la progettazione di una comunicazione di sicurezza master-I-slave è identica
a quella prevista per la progettazione del programma standard.
La comunicazione relativa alla sicurezza tra la F-CPU del master DP e un I-slave o tra le F-CPU
di più I-slave avviene tramite le istruzioni SENDDP per l'invio e RCVDP per la ricezione. Queste
istruzioni consentono di trasmettere in modo sicuro un numero fisso di dati fail-safe del tipo
di dati INT o BOOL.
Queste istruzioni si trovano nella task card "Instructions" in "Communication". L'istruzione
RCVDP deve essere richiamata all'inizio del blocco Main Safety. L'istruzione SENDDP deve
essere richiamata alla fine del blocco Main Safety.
Tenere presente che i segnali di trasmissione vengono inviati solo dopo il richiamo
dell'istruzione SENDDP al termine dell'elaborazione del rispettivo gruppo di esecuzione F.
Per la descrizione dettagliata delle istruzioni SENDDP e RCVDP vedere SENDDP e RCVDP: Invio
e ricezione di dati tramite PROFIBUS DP/PROFINET IO (STEP 7 Safety V18) (Pagina 579).
Requisiti
Le aree di trasferimento devono essere progettate.
Procedura di programmazione
Per la programmazione della comunicazione di sicurezza master-I-slave o I-slave-I-slave,
procedere come per la programmazione della comunicazione sicurezza master-master
(vedere Programmazione della comunicazione di sicurezza master-master (Pagina 209)).
AVVERTENZA
Il valore per il rispettivo ID di comunicazione F (ingresso DP_DP_ID; tipo di dati: INT) può
essere selezionato liberamente, ma deve essere univoco in tutta la rete* e in tutta la CPU in
qualsiasi momento e per tutti i collegamenti di comunicazione orientati alla sicurezza.
L'univocità deve essere verificata nella stampa del programma di sicurezza durante il
collaudo del programma di sicurezza.
Al richiamo dell'istruzione, agli ingressi DP_DP_ID e LADDR devono essere assegnati dei
valori costanti. Nel programma di sicurezza non sono consentiti accessi in scrittura diretti a
DP_DP_ID e LADDR nei rispettivi DB di istanza! (S016)
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete. Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite
PROFIBUS DP. In PROFINET IO una rete comprende tutti i nodi raggiungibili tramite
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP (IP,
Layer 3).
AVVERTENZA
L'acquisizione dello stato del segnale da trasmettere e la sua trasmissione al ricevente sono
garantite (in modalità fail-safe) solo se lo stato del segnale rimane attivo per un tempo pari
almeno al tempo di controllo parametrizzato. (S018)
Ulteriori informazioni sul calcolo dei tempi di controllo sono contenute in Tempi di controllo e
di reazione (Pagina 596).
La tabella seguente mostra la quantità di dati di uscita e di ingresso occupati nei collegamenti
di comunicazione di sicurezza:
Per il limite massimo di 244 byte di dati di ingresso o 244 byte di dati di uscita per il
trasferimento tra un I-slave e un master DP, tenere conto di tutti gli altri collegamenti di
comunicazione standard e di sicurezza previsti (aree di trasferimento del tipo: F-MS, F-DX,
F-DX-Mod., MS, DX). Se si supera il limite massimo di 244 byte di dati di ingresso o di
244 byte di dati di uscita, viene visualizzato un messaggio di errore corrispondente.
Introduzione
La comunicazione di sicurezza tra i programmi di sicurezza delle F-CPU di I-slave avviene -
come nel programma standard - tramite lo scambio di dati diretto (F-DX).
Per la comunicazione I-slave-I-slave non è richiesto alcun hardware supplementare.
La comunicazione I-slave-I-slave è anche possibile:
• se il master DP assegnato è una CPU standard che supporta lo scambio dati diretto
• se al posto di un master DP, un IO Controller è interconnesso in rete tramite IE/PB Link con
gli I-slave
Procedura di progettazione
La procedura per la progettazione di una comunicazione di sicurezza I-slave-I-slave è identica
a quella prevista per la progettazione del programma standard. Procedere quindi nel modo
seguente:
1. Inserire nel progetto tre F-CPU dalla task card "Catalogo hardware".
2. Attivare il modo di funzionamento "DP slaves" (I-slave) per la F-CPU 2 e F-CPU 3 nelle
proprietà delle interfacce DP e assegnare queste interfacce DP ad un'interfaccia DP della
F-CPU 1.
3. Selezionare l'interfaccia DP delle F-CPU 3 nella vista di rete.
4. Selezionare la scheda "I/O communication".
5. Trascinare la F-CPU 2 nella vista di rete tramite drag & drop nella scheda "I/O
communication", nella colonna "Partner 2".
In questo modo si crea una riga con il modo di funzionamento "Direct data exchange" per
l'invio all'I-slave (F-CPU 2) (→).
7. Creare in "Transfer areas" (tabella "Direct data exchange") un collegamento F-DX (tipo
"F-DX") per la trasmissione all'I-slave (F-CPU 2) (→). Il collegamento F-DX è contrassegnato in
giallo nella tabella e le aree di trasferimento occupate al di fuori dell'immagine di processo
negli I-slave (PLC_2 e PLC_3) vengono visualizzate.
Inoltre, nella scheda "I/O communication" (←) viene creata automaticamente una riga con
il modo di funzionamento "Direct data exchange" per la ricezione dall'I-slave (F-CPU 2) e
nella relativa tabella "Direct data exchange" viene creato automaticamente un
collegamenti di conferma (→, area di trasferimento x_Ack).
Nella tabella "I-slave communication" di entrambi gli I-slave, viene creata rispettivamente
un'area di trasferimento (tipo F-MS) alla CPU master.
La progettazione per l'invio alla F-CPU 2 è così conclusa.
8. Selezionare nella scheda "I/O communication" la riga creata automaticamente con il modo di
funzionamento "Direct data exchange" per la ricezione dall'I-slave (F-CPU 2) (←).
9. Creare in "Transfer areas" (tabella "Direct data exchange") un ulteriore collegamento F-DX
per la ricezione dall'I-slave (F-CPU 3).
Anche qui, nella tabella "Direct data exchange" viene creato un collegamento di conferma
(→, area di trasferimento x_Ack) e nella tabella "I-slave communication" di entrambi gli I-
slave 2 aree di trasferimento (tipo F-MS) alla CPU master.
La progettazione per la ricezione di F-CPU 2 è così conclusa.
Riferimenti
Per la descrizione della comunicazione tramite SENDDP e RCVDP per la comunicazione di
sicurezza I-slave-I-slave consultare SENDDP e RCVDP: Invio e ricezione di dati tramite
PROFIBUS DP/PROFINET IO (STEP 7 Safety V18) (Pagina 579).
Riferimenti
Per la descrizione della programmazione della comunicazione di sicurezza I-slave-I-slave
vedere Programmazione della comunicazione di sicurezza master-I-slave o I-slave-I-slave
(Pagina 220).
L'assegnazione degli indirizzi iniziali dell'area di trasferimento all'ingresso LADDR delle
istruzioni SENDDP/RCVDP può essere rilevata dalla seguente tabella:
Introduzione
La comunicazione di sicurezza tra il programma di sicurezza della F-CPU di un I-slave e la
periferia F in uno slave DP avviene – come nel programma standard – tramite lo scambio dati
diretto (F-DX-Mod).
Per la comunicazione I-slave-slave non è necessario hardware aggiuntivo.
La comunicazione I-slave-slave è possibile anche:
• se il master DP assegnato è una CPU standard, se la CPU standard supporta lo scambio dati
diretto
• se al posto di un master DP, un IO Controller è interconnesso in rete tramite IE/PB Link con
gli I-slave
Per ciascuna periferia F, durante la configurazione di una periferia F nell'editor hardware e di
rete viene creato automaticamente un DB di periferia F, necessario per l'accesso alla
periferia F tramite la comunicazione di sicurezza I-slave-slave. Il DB di periferia F viene
dapprima creato nel programma di sicurezza del master DB, se questo è una F-CPU con
attivazione F. Solo durante la configurazione del collegamento modulo F-DX-Mod, il DB di
periferia F viene creato nel programma di sicurezza dell'I-slave e cancellato nel programma di
sicurezza del master DP.
L'accesso nel programma di sicurezza della F-CPU dell'I-slave ai canali della periferia F avviene
tramite l'immagine di processo, come descritto in Comunicazione di sicurezza I-slave-slave -
accesso alla periferia F (Pagina 234).
Limitazioni
Nota
La comunicazione di sicurezza I-slave-slave con la periferia F di uno slave DP è possibile se
quest'ultimo supporta la comunicazione di sicurezza I-slave-slave, ad es. tutti i moduli F
ET 200SP con IM 155-6 DP HF, firmware > V3.1, tutti i moduli F ET 200S con IM 151-1 HF,
tutte le unità di ingressi/uscite S7-300 fail-safe con IM 153-2, a partire dal numero di
articolo 6ES7153-2BA01-0XB0, firmware: > V4.0.0.
Nota
Per la comunicazione di sicurezza I-slave-slave, assicurarsi che la CPU del master DP si sia
avviata prima della F-CPU dell'I-slave.
In caso contrario, a seconda del tempo di controllo F impostato per la periferia F, il sistema F
può rilevare un errore nella comunicazione di sicurezza (errore di comunicazione) tra la F-CPU
e la periferia F assegnata allo I-slave. Vale a dire, dopo un avviamento del sistema F, la
reintegrazione della periferia F non avviene automaticamente, ma solo dopo una conferma
utente con un fronte di salita sulla variabile ACK_REI della periferia F-DB (vedere anche Dopo
errori di comunicazione (Pagina 171) e Dopo l'avviamento del sistema F (Pagina 169).)
Procedura per la progettazione utilizzando l'esempio di un ET 200S con moduli F nello slave
La procedura per la progettazione di una comunicazione di sicurezza I-slave-slave è identica a
quella prevista per la progettazione del programma standard.
Procedere nel modo seguente:
1. Inserire nel progetto due F-CPU dalla task card "Catalogo hardware".
2. Inserire uno slave DP adatto, ad es. IM 151-1 HF, numero di articolo 6ES7151-1BA0... dalla
task card "Catalogo hardware" nella vista di rete dell'editor hardware e di rete.
3. Inserire nella vista dispositivi di ET 200S un Power Module, un modulo 4/8 F-DI e un modulo
4 F-DO.
4. Attivare il modo di funzionamento "DP slave" (I-slave) per la F-CPU 2 nelle proprietà
dell'interfacce DP e assegnarlo alla F-CPU 1.
5. Assegnare l'interfaccia DP dell'IM 151-1 HF al master DP (F-CPU 1).
6. Selezionare l'interfaccia DP delle F-CPU 2 (I-slave) nella vista di rete.
7. Selezionare la scheda "I/O communication".
8. Trascinare l'ET 200S nella vista di rete tramite drag & drop nella scheda "I/O communication",
nella colonna "Partner 2".
Per ciascun collegamento F-DX-Mod, nella tabella "I-slave communication" dell'I-slave viene
creata automaticamente un'area di trasferimento (tipo F-MS) alla CPU master:
AVVERTENZA
Per il limite massimo di 244 byte di dati di ingresso o 244 byte di dati di uscita per la
trasmissione tra un I-slave e un maser DP, tenere conto di tutti gli altri collegamenti di
comunicazione standard e di sicurezza progettati (collegamenti F-MS, F-DX, F-DX-Mod., MS e
DX). Se si supera il limite massimo di 244 byte di dati di ingresso o di 244 byte di dati di
uscita, viene visualizzato un messaggio di errore corrispondente.
Introduzione
La comunicazione di sicurezza tra il programma di sicurezza della F-CPU di un IO Controller e
il/i programma/i di sicurezza della F-CPU di uno o più I-slave avviene - come nel programma
standard - tramite collegamenti master-I-slave (F-MS).
IE/PB Link
Per la comunicazione di sicurezza IO Controller-I-slave è assolutamente necessario l'IE/PB Link.
Ciascuna delle due F-CPU è collegata all'IE/PB Link tramite l'interfaccia PROFIBUS DP o
PROFINET.
Nota
Durante la progettazione dei tempo di controllo specifici per F e durante il calcolo del tempo
di reazione massimo del sistema F è necessario tenere conto dell'impiego di un IE/PB Link
(vedere anche Tempi di controllo e di reazione (Pagina 596)).
Osservare che il file excel per il calcolo dei tempi di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831) per F-CPU S7-300/400 non
supporta tutte le configurazioni possibili.
Riferimenti
Inoltre valgono le informazioni per la comunicazione master-I-slave riportate in
Comunicazione di sicurezza master-I-slave (Pagina 218).
Introduzione
La comunicazione di sicurezza tra i programmi di sicurezza di F-CPU tramite collegamenti S7
avviene – come nel programma standard – tramite i collegamenti S7 configurati, che si
creano nella vista di rete dell'editor hardware e di rete.
Limitazioni
Nota
In SIMATIC Safety i collegamenti S7 sono generalmente ammessi solo tramite Industrial
Ethernet.
La comunicazione di sicurezza tramite collegamenti S7 è possibile da e verso:
• F-CPU S7-300 tramite l'interfaccia PROFINET integrata
• F-CPU S7-400 tramite l'interfaccia PROFINET integrata o un CP 443-1 o CP 443-1
Advanced-IT
Creazione di collegamenti S7
Per ciascun collegamento di comunicazione tra due F-CPU è necessario creare un
collegamento S7 nella vista di rete dell'editor hardware e di rete.
Per ciascun punto finale di un collegamento, dal punto di vista del punto finale (della F-CPU)
viene assegnato automaticamente un ID locale e un ID partner. Entrambi gli ID possono
event. essere modificati nella scheda "Connections". L'ID locale si assegna all'ingresso "ID"
delle istruzioni SENDS7 e RCVS7 nei programmi di sicurezza.
DB di comunicazione F
Per ogni collegamento di comunicazione, i dati di trasmissione vengono memorizzati in un
F-DB (DBx di comunicazione F) e i dati di ricezione in un F-DB (DBy di comunicazione F).
I numeri di DB di comunicazione F vengono parametrizzati nelle istruzioni SENDS7 o RCVS7.
Introduzione
Di seguito viene descritta la programmazione della comunicazione di sicurezza CPU-CPU
tramite i collegamenti S7. Nei programmi di sicurezza delle F-CPU interessate è necessario
configurare quanto segue:
• Creazione di F-DB (DB di comunicazione F) nei quali vengono memorizzati i dati di
trasmissione/ricezione per la comunicazione.
• Richiamo e parametrizzazione di istruzioni per la comunicazione dalla task card
"Instructions" nel programma di sicurezza.
Nota
La lunghezza della struttura del DB di comunicazione F del lato di ricezione deve
corrispondere alla lunghezza della struttura del relativo DB di comunicazione F sul lato di
trasmissione.
Se i DB di comunicazione F non corrispondono, la F-CPU passa in STOP. Nel buffer di
diagnostica della F-CPU viene inserito un evento di diagnostica.
Pertanto si raccomanda il seguente procedimento:
1. Creare un DB di comunicazione F nella navigazione del progetto nella o sotto la cartella
"Program blocks" della F-CPU del lato di trasmissione.
2. Definire la struttura del DB di comunicazione in base ai dati da trasmettere.
3. Copiare questo DB di comunicazione F nella navigazione del progetto nella o sotto la cartella
"Program blocks" della F-CPU del lato di ricezione e modificare eventualmente il nome.
Procedura di programmazione
La comunicazione di sicurezza tramite collegamenti S7 si programma nel modo seguente:
1. Fornire le variabili nel DB di comunicazione F del lato del trasmettitore con i segnali di
trasmissione mediante un accesso completamente qualificato (ad esempio, "Nome DB di
comunicazione F".Nome variabile).
2. Leggere le variabili nel DB di comunicazione F del lato ricevente (segnali di ricezione) che si
desidera elaborare ulteriormente in altre parti del programma con un accesso
completamente qualificato (ad esempio "Nome DB di comunicazione F".Nome variabile).
3. Nel programma di sicurezza dal quale devono essere inviti i dati, richiamare l'Istruzione
SENDS7 per inviare alla fine del blocco Main Safety.
4. Nel programma di sicurezza nel quale devono essere ricevuti i dati, richiamare l'istruzione
RCVS7 per ricevere all'inizio del blocco Main Safety.
5. Assegnare ai rispettivi ingressi SEND_DB di SENDS7 e RCV_DB di RCVS7 i rispettivi numeri di
DB di comunicazione F.
6. Assegnare all'ingresso ID di SENDS7 l'ID del collegamento S7 (tipo di dati: WORD), progettato
nella vista di rete, nella scheda "Connections" dal lato della F-CPU.
7. Assegnare all'ingresso ID di RCVS7 l'ID del collegamento S7 (tipo di dati: WORD), progettato
nella vista di rete, nella scheda "Connections".
8. Assegnare agli ingressi R_ID di SENDS7 e RCVS7 un numero dispari (tipo di dati: DWORD). In
questo modo si definisce l'appartenenza di una istruzione SENDS7 ad una istruzione RCVS7.
Le istruzioni correlate ricevono lo stesso valore per R_ID.
AVVERTENZA
Il valore per il rispettivo ID di comunicazione F (ingresso R_ID; tipo di dati: DWORD) può
essere selezionato liberamente, ma deve essere dispari e univoco in tutta la rete* e in
tutta la CPU per tutti i collegamenti di comunicazione orientati alla sicurezza. Il valore
R_ID + 1 viene assegnato internamente e non deve essere utilizzato.
Al richiamo dell'istruzione, agli ingressi ID e R_ID devono essere assegnati dei valori
costanti. Nel programma di sicurezza non sono consentiti accessi diretti né in lettura né
in scrittura nei rispettivi DB di istanza! (S020)
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete. Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite
PROFIBUS DP. In PROFINET IO una rete comprende tutti i nodi raggiungibili tramite
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP (IP,
Layer 3).
9. Parametrizzare gli ingressi TIMEOUT delle istruzioni SENDS7 e RCVS7 con il tempo di
controllo desiderato.
AVVERTENZA
Ulteriori informazioni sul calcolo dei tempi di controllo sono contenute in Tempi di
controllo e di reazione (Pagina 596).
Nota
Se la quantità di dati da trasmettere è superiore alla lunghezza consentita per il DB di
comunicazione F (100 byte), è possibile creare un altro DB di comunicazione F da trasmettere
alle istruzioni aggiuntiveSENDS7/RCVS7 con un R_ID modificato.
Osservare che per ogni richiamo dell'istruzione SENDS7 o RCVS7 vengono richiamate
internamente le istruzioni USEND e URCV, che occupano risorse di collegamento della F-CPU.
Questo influenza il numero massimo possibile di collegamenti di comunicazione (vedere i
manuali delle F-CPU).
Per ulteriori informazioni sul limiti della trasmissione di dati nei collegamenti S7 delle singole
F-CPU vedere in Internet (http://support.automation.siemens.com/WW/view/en/38549114).
9.1.10.1 Introduzione
La comunicazione di sicurezza da F-CPU in SIMATIC Safety a F-CPU in sistemi F S7 Distributed
Safety è possibile tramite un PN/PN Coupler o DP/DP Coupler, che si impiega tra le due F-CPU
come comunicazione IO Controller-IO Controller o comunicazione master-master oppure
tramite collegamenti S7 configurati.
La comunicazione di sicurezza da F-CPU in SIMATIC Safety a F-CPU nei sistemi F S7 F/FH
Systems è possibile tramite collegamenti S7 configurati.
Esempio di programma:
Esempio di programma:
In seguito importare la funzione in CFC come tipo di blocco e inserirla in uno schema del
programma utente standard. Durante la sequenza di esecuzione, accertarsi che il gruppo di
esecuzione standard corrispondente venga elaborato prima del gruppo di esecuzione F.
Introduzione
Di seguito è riportata una panoramica delle opzioni di comunicazione di sicurezza nei
sistemi F SIMATIC Safety.
Nota
Le opzioni della comunicazione di sicurezza dipendono dalle F-CPU utilizzate.
Nota
La comunicazione di sicurezza con le F-CPU S7-1200 è consentita solo a partire dalla versione
firmware V4.1.2.
Introduzione
La comunicazione di sicurezza tra i programmi di sicurezza delle F-CPU degli IO Controller
viene realizzata mediante un PN/PN Coupler installato tra le due F-CPU.
Nota
Disattivare il parametro "Data validity display DIA" nelle proprietà del PN/PN Coupler
nell'editor hardware e di rete. Ciò corrisponde alle impostazioni predefinite In caso contrario
la comunicazione di sicurezza IO Controller-IO Controller non è possibile.
Nota
PN/PN Coupler numero di articolo 6ES7158-3AD10-0XA0
Per la progettazione delle aree di trasferimento dei dati di ingresso e di uscita procedere come
descritto nel manuale "Collegamenti al bus SIMATIC PN/PN Coupler
(https://support.industry.siemens.com/cs/ww/it/view/44319532)" all'interno del capitolo
"Progettazione del PN/PN Coupler con STEP 7 TIA Portal".
Procedura di progettazione
La procedura per la progettazione della comunicazione di sicurezza IO-Controller-
IO-Controller è identica a quella standard.
Procedere nel modo seguente:
1. Inserire nel progetto due F-CPU dalla task card "Catalogo hardware".
2. Passare alla vista di rete dell'editor hardware e di rete.
3. Nella task card "Catalogo hardware" alla voce "Ulteriori apparecchiature da
campo\PROFINET IO\Gateway\Siemens AG\PN/PN Coupler" selezionare un PN/PN Coupler X1
e un PN/PN Coupler X2 e inserirli nella vista di rete dell'editor hardware e di rete.
4. Collegare l'interfaccia PN della F-CPU 1 con l'interfaccia PN del PN/PN Coupler X1 e
l'interfaccia PN della F-CPU 2 con l'interfaccia PN del PN/PN Coupler X2.
5. Per i collegamenti di comunicazione bidirezionali, ovvero se ogni F-CPU deve sia trasmettere
che ricevere i dati, aprire la vista dispositivi del PN/PN Coupler X1. Selezionare nella task card
"Hardware catalog", con il filtro attivato, i seguenti moduli alla voce "IN/OUT" e inserirli nella
scheda "Device overview":
– un modulo "IN/OUT 6 byte / 12 byte" e
– un modulo "IN/OUT 12 byte / 6 byte"
Nota
L'assegnazione delle aree di trasferimento avviene tramite l'identificativo hardware
assegnato automaticamente ai moduli e ai dispositivi. L'identificativo hardware è
necessario per la programmazione dei blocchi SENDDP e RCVDP (ingresso LADDR). Per
ogni identificativo HW dell'area di trasferimento viene creata una costante di sistema nella
rispettiva F-CPU. Queste costanti di sistema possono essere assegnate in modo simbolico
ai blocchi SENDDP e RCVDP.
6. Selezionare nella vista dispositivi del PN/PN Coupler X2 i seguenti moduli alla voce "IN/OUT" e
inserirli nella scheda "Device overview":
– un modulo "IN/OUT 12 byte / 6 byte" e
– un modulo "IN/OUT 6 byte / 12 byte"
La comunicazione di sicurezza tra le F-CPU degli IO Controller viene realizzata con l'ausilio
delle istruzioni SENDDP per la trasmissione e RCVDP per la ricezione. Queste istruzioni
consentono di trasmettere in modo sicuro un numero fisso di dati fail-safe del tipo BOOL o
INT (in alternativa DINT).
Queste istruzioni si trovano nella task card "Instructions" in "Communication". L'istruzione
RCVDP deve essere richiamata all'inizio del blocco Main Safety. L'istruzione SENDDP deve
essere richiamata alla fine del blocco Main Safety.
Le istruzioni RCVDP e SENDDP possono essere richiamate anche in F-FB/F-FC separati che
devono essere richiamati all'inizio o alla fine del blocco Main Safety.
Tenere presente che i segnali di trasmissione vengono inviati solo dopo il richiamo
dell'istruzione SENDDP al termine dell'elaborazione del rispettivo gruppo di esecuzione F.
Per la descrizione dettagliata delle istruzioni SENDDP e RCVDP vedere SENDDP e RCVDP: Invio
e ricezione di dati tramite PROFIBUS DP/PROFINET IO (STEP 7 Safety V18) (Pagina 579).
Procedura di programmazione
La comunicazione di sicurezza IO Controller-IO Controller viene programmata nel modo
seguente:
1. Nel programma di sicurezza dal quale devono essere inviati i dati, richiamare
l'istruzione SENDDP (Pagina 579) per la trasmissione alla fine del blocco Main Safety.
2. Nel programma di sicurezza nel quale devono essere ricevuti i dati, richiamare
l'istruzione RCVDP (Pagina 579) per la ricezione all'inizio del blocco Main Safety.
3. Assegnare ai rispettivi ingressi LADDR gli identificativi HW (costante di sistema nella tabella
delle variabili standard) delle aree di trasferimento per i dati di ingresso e di uscita del PN/PN
Coupler progettate nell'editor hardware e di rete.
Questa assegnazione deve essere effettuata per ogni collegamento di comunicazione di
ciascuna delle F-CPU collegate.
AVVERTENZA
Il valore per il rispettivo ID di comunicazione F (ingresso DP_DP_ID; tipo di dati: INT) può
essere selezionato liberamente**, ma deve essere univoco in tutta la rete* e in tutta la
CPU**** in qualsiasi momento e per tutti i collegamenti di comunicazione orientati alla
sicurezza. L'univocità deve essere verificata nella stampa del programma di sicurezza
durante il collaudo del programma di sicurezza.
Al richiamo dell'istruzione, agli ingressi DP_DP_ID e LADDR devono essere assegnati dei
valori costanti***. Nel programma di sicurezza non sono consentiti accessi in scrittura
diretti a DP_DP_ID e LADDR nei rispettivi DB di istanza! (S016)
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete. Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite
PROFIBUS DP. In PROFINET IO una rete comprende tutti i nodi raggiungibili tramite
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP (IP,
Layer 3).
** S7-1200/1500: A partire dalla versione V3.0 delle istruzioni SENDDP e RCVDP, in
presenza di un ID di comunicazione F "0" sull'ingresso DP_DP_ID non viene stabilita alcuna
comunicazione.
*** S7-1200/1500: A partire dalla versione V3.0 delle istruzioni SENDDP e RCVDP
all'ingresso DP_DP_ID possono essere assegnati anche valori variabili di un F-DB globale.
Anche in questo caso durante il collaudo del programma di sicurezza va verificato che
l'univocità sia garantita in qualsiasi momento controllando conseguentemente l'algoritmo
per la formazione del valore variabile. Se all'avviamento del programma di sicurezza non è
possibile garantire un ID di comunicazione F univoco perché quest'ultimo viene definito
solo dopo l'avviamento del programma di sicurezza, assicurarsi che il valore sull'ingresso
DP_DP_ID in questa fase sia "0".
**** Nei sistemi S7-1500HF ridondanti le due F-CPU del sistema S7-1500HF ridondante
devono essere considerate come una unica F-CPU per quando riguarda il DP_DP_ID.
5. Fornire i segnali di trasmissione agli ingressi SD_BO_xx e SD_I_xx (o in alternativa SD_DI_00)
di SENDDP. Per ridurre i segnali intermedi durante il trasferimento dei parametri dei blocchi,
in alternativa è possibile scrivere, prima del richiamo di SENDDP, il valore direttamente nel
DB di istanza di SENDDP tramite un accesso completamente qualificato (ad es. "Nome
SENDDP_1".SD_BO_02).
6. Assegnare alle uscite RD_BO_xx e RD_I_xx (o in alternativa RD_DI_00) di RCVDP i segnali da
elaborare in altre parti di programma oppure leggere nelle parti di programma utilizzate per
l'elaborazione successiva i segnali ricevuti direttamente nel DB di istanza corrispondente
tramite un accesso completamente qualificato (ad es. "Name RCVDP_1".RD_BO_02).
7. Se si vuole trasmettere il dato dell'ingresso SD_DI_00 invece dei dati degli ingressi SD_I_00 e
SD_I_01, assegnare il valore TRUE all'ingresso DINTMODE (valore iniziale = "FALSE") di
SENDDP.
AVVERTENZA
Osservare: La logica di programma per il calcolo dei valori sostitutivi variabili può
essere inserita solo dopo i richiami RCVDP, poiché non è consentita alcuna logica di
programma prima dei richiami RCVDP. Pertanto nel primo ciclo dopo l'avviamento del
sistema F sono attivi i valori iniziali dei valori sostitutivi in tutte le istruzioni RCVDP.
Assegnare pertanto a queste variabili dei valori iniziali idonei. (S017)
9. Parametrizzare gli ingressi TIMEOUT delle istruzioni RCVDP e SENDDP con il tempo di
controllo desiderato.
AVVERTENZA
Ulteriori informazioni sul calcolo dei tempi di controllo sono contenute in Tempi di
controllo e di reazione (Pagina 596).
10.Opzione: Valutare l'uscita ACK_REQ dell'istruzione RCVDP ad es. nel programma utente
standard oppure nel sistema di servizio e supervisione per verificare o visualizzare se è
necessaria una conferma utente.
11.Assegnare il segnale per la conferma della reintegrazione all'ingresso ACK_REI dell'istruzione
RCVDP.
12.Opzione: Valutare l'uscita SUBS_ON dell'istruzione RCVDP o SENDDP per verificare se
l'istruzione RCVDP emette i valori sostitutivi parametrizzati per gli ingressi SUBBO_xx e
SUBI_xx o in alternativa SUBDI_00.
13.Opzione: Valutare l'uscita ERROR dell'istruzione RCVDP o SENDDP ad es. nel programma
utente standard oppure nel sistema di servizio e supervisione per verificare o visualizzare se
si è verificato un errore di comunicazione.
14.Opzione: Valutare l'uscita SENDMODE dell'istruzione RCVDP per verificare se nella F-CPU con
la relativa istruzione SENDDP il funzionamento di sicurezza è disattivato (Pagina 333).
Nota
Se la quantità di dati da trasmettere supera la capacità delle relative istruzioni
SENDDP/RCVDP, è possibile utilizzare un secondo (o terzo) richiamo SENDDP/RCVDP.
Progettare a questo scopo un ulteriore collegamento di comunicazione tramite il PN/PN
Coupler. La possibilità di eseguire questa operazione con lo stesso PN/PN Coupler dipende dai
limiti di capacità del PN/PN Coupler stesso.
Introduzione
La comunicazione di sicurezza tra i programmi di sicurezza delle F-CPU dei master DP viene
realizzata mediante un DP/DP Coupler.
Nota
Commutare l'indicazione di validità dei dati "DIA" del DIL-switch del DP/DP Coupler su "OFF". In
caso contrario la comunicazione di sicurezza CPU-CPU non è possibile.
Procedura di progettazione
La procedura per la progettazione della comunicazione di sicurezza tra master e master è
identica a quella standard.
Procedere nel modo seguente:
1. Inserire nel progetto due F-CPU dalla task card "Catalogo hardware".
2. Passare alla vista di rete dell'editor hardware e di rete.
3. Nella task card "Hardware catalog" alla voce "Other field
devices\PROFIBUS DP\Gateway\Siemens AG\DP/DP Coupler" selezionare un DP/DP Coupler e
inserirlo nella vista di rete dell'editor hardware e di rete.
6. Nelle proprietà del DP/DP Coupler della vista dispositivi viene assegnato automaticamente un
indirizzo PROFIBUS libero. Questo indirizzo deve essere impostato sul DP/DP Coupler con il
DIL-switch del dispositivo oppure nella progettazione del DP/DP Coupler (vedere il manuale
DP/DP Coupler (http://support.automation.siemens.com/WW/view/it/1179382)).
7. Per i collegamenti di comunicazione bidirezionali, ovvero se ogni F-CPU deve sia trasmettere
che ricevere i dati, aprire la vista dispositivi del DP/DP Coupler PLC1. Selezionare nella task
card "Hardware catalog", con il filtro attivato, i seguenti moduli e inserirli nella scheda
"Device overview" del DP/DP Coupler:
– un modulo "6 byte I/12 byte O coerente" e
– un modulo "12 byte I/6 byte O coerente"
Nota
L'assegnazione delle aree di trasferimento avviene tramite l'identificativo hardware
assegnato automaticamente ai moduli e ai dispositivi. L'identificativo hardware è
necessario per la programmazione dei blocchi SENDDP e RCVDP (ingresso LADDR). Per
ogni identificativo HW dell'area di trasferimento viene creata una costante di sistema nella
rispettiva F-CPU. Queste costanti di sistema possono essere assegnate in modo simbolico
ai blocchi SENDDP e RCVDP.
8. Selezionare nella vista dispositivi del DP/DP Coupler PLC2, all'interno della task card
"Hardware catalog", con il filtro attivato, i seguenti moduli e inserirli nella scheda "Device
overview":
– un modulo "12 byte I/6 byte O coerente" e
– un modulo "6 byte I/12 byte O coerente"
La comunicazione di sicurezza tra le F-CPU degli master DP viene realizzata con l'ausilio delle
istruzioni SENDDP per la trasmissione e RCVDP per la ricezione. Queste istruzioni consentono
di trasmettere in modo sicuro un numero fisso di dati fail-safe del tipo BOOL o INT (in
alternativa DINT).
Queste istruzioni si trovano nella task card "Instructions" in "Communication". L'istruzione
RCVDP deve essere richiamata all'inizio del blocco Main Safety. L'istruzione SENDDP deve
essere richiamata alla fine del blocco Main Safety.
Le istruzioni RCVDP e SENDDP possono essere richiamate anche in F-FB/F-FC separati che
devono essere richiamati all'inizio o alla fine del blocco Main Safety.
Tenere presente che i segnali di trasmissione vengono inviati solo dopo il richiamo
dell'istruzione SENDDP al termine dell'elaborazione del rispettivo gruppo di esecuzione F.
Per la descrizione dettagliata delle istruzioni SENDDP e RCVDP vedere SENDDP e RCVDP: Invio
e ricezione di dati tramite PROFIBUS DP/PROFINET IO (STEP 7 Safety V18) (Pagina 579).
Procedura di programmazione
La comunicazione di sicurezza master-master si programma nel modo seguente:
1. Nel programma di sicurezza dal quale devono essere inviati i dati, richiamare
l'istruzione SENDDP (Pagina 579) per la trasmissione alla fine del blocco Main Safety o un
F-FC/F-FB separato.
2. Nel programma di sicurezza nel quale devono essere ricevuti i dati, richiamare
l'istruzione RCVDP (Pagina 579) per la ricezione all'inizio del blocco Main Safety o in un
F-FC/F-FB separato.
3. Assegnare gli identificativi HW (costante della tabella delle variabili) per i dati di uscita e di
ingresso del DP/DP Coupler progettati nell'editor hardware e di rete ai rispettivi ingressi
LADDR.
Questa assegnazione deve essere effettuata per ogni collegamento di comunicazione di
ciascuna delle F-CPU collegate.
AVVERTENZA
Il valore per il rispettivo ID di comunicazione F (ingresso DP_DP_ID; tipo di dati: INT) può
essere selezionato liberamente**, ma deve essere univoco in tutta la rete* e in tutta la
CPU in qualsiasi momento e per tutti i collegamenti di comunicazione orientati alla
sicurezza. L'univocità deve essere verificata nella stampa del programma di sicurezza
durante il collaudo del programma di sicurezza.
Al richiamo dell'istruzione, agli ingressi DP_DP_ID e LADDR devono essere assegnati dei
valori costanti***. Nel programma di sicurezza non sono consentiti accessi in scrittura
diretti a DP_DP_ID e LADDR nei rispettivi DB di istanza! (S016)
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete. Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite
PROFIBUS DP. In PROFINET IO una rete comprende tutti i nodi raggiungibili tramite
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP (IP,
Layer 3).
** S7-1200/1500: A partire dalla versione V3.0 delle istruzioni SENDDP e RCVDP, in
presenza di un ID di comunicazione F "0" sull'ingresso DP_DP_ID non viene stabilita alcuna
comunicazione.
*** S7-1200/1500: A partire dalla versione V3.0 delle istruzioni SENDDP e RCVDP
all'ingresso DP_DP_ID possono essere assegnati anche valori variabili di un F-DB globale.
Anche in questo caso durante il collaudo del programma di sicurezza va verificato che
l'univocità sia garantita in qualsiasi momento controllando conseguentemente l'algoritmo
per la formazione del valore variabile. Se all'avviamento del programma di sicurezza non è
possibile garantire un ID di comunicazione F univoco perché quest'ultimo viene definito
solo dopo l'avviamento del programma di sicurezza, assicurarsi che il valore sull'ingresso
DP_DP_ID in questa fase sia "0".
5. Fornire i segnali di trasmissione agli ingressi SD_BO_xx e SD_I_xx (o in alternativa SD_DI_00)
di SENDDP. Per ridurre i segnali intermedi durante il trasferimento dei parametri dei blocchi,
in alternativa è possibile scrivere, prima del richiamo di SENDDP, il valore direttamente nel
DB di istanza di SENDDP tramite un accesso completamente qualificato (ad es. "Nome
SENDDP_1".SD_BO_02).
6. Assegnare alle uscite RD_BO_xx e RD_I_xx (o in alternativa RD_DI_00) di RCVDP i segnali da
elaborare in altre parti di programma oppure leggere nelle parti di programma utilizzate per
l'elaborazione successiva i segnali ricevuti direttamente nel DB di istanza corrispondente
tramite un accesso completamente qualificato (ad es. "Nome RCVDP_1".RD_BO_02).
7. Se si vuole trasmettere il dato dell'ingresso SD_DI_00 invece dei dati degli ingressi SD_I_00 e
SD_I_01, assegnare il valore TRUE all'ingresso DINTMODE (valore iniziale = "FALSE") di
SENDDP.
AVVERTENZA
Osservare: La logica di programma per il calcolo dei valori sostitutivi variabili può
essere inserita solo dopo i richiami RCVDP, poiché non è consentita alcuna logica di
programma prima dei richiami RCVDP. Pertanto nel primo ciclo dopo l'avviamento del
sistema F sono attivi i valori iniziali dei valori sostitutivi in tutte le istruzioni RCVDP.
Assegnare pertanto a queste variabili dei valori iniziali idonei. (S017)
9. Parametrizzare gli ingressi TIMEOUT delle istruzioni RCVDP e SENDDP con il tempo di
controllo desiderato.
AVVERTENZA
Ulteriori informazioni sul calcolo dei tempi di controllo sono contenute in Tempi di
controllo e di reazione (Pagina 596).
10.Opzione: Valutare l'uscita ACK_REQ dell'istruzione RCVDP, ad es. nel programma utente
standard o nel sistema di servizio e supervisione, per verificare o visualizzare se è richiesta
una conferma utente.
11.Fornire all'ingresso ACK_REI dell'istruzione RCVDP il segnale di conferma per la
reintegrazione.
12.Opzione: Valutare l'uscita SUBS_ON dell'istruzione RCVDP o SENDDP per verificare se
l'istruzione RCVDP emette i valori sostitutivi parametrizzati per gli ingressi SUBBO_xx e
SUBI_xx o in alternativa SUBDI_00.
13.Opzione: Valutare l'uscita ERROR dell'istruzione RCVDP o SENDDP, ad es. nel programma
utente standard o nel sistema di servizio e supervisione, per chiedere o indicare se si è
verificato un errore di comunicazione.
14.Opzione: Valutare l'uscita SENDMODE dell'istruzione RCVDP per verificare se nella F-CPU con
la relativa istruzione SENDDP il funzionamento di sicurezza è disattivato (Pagina 333).
Nota
Se la quantità di dati da trasmettere supera la capacità delle relative istruzioni
SENDDP/RCVDP, è possibile utilizzare un secondo (o terzo) richiamo SENDDP/RCVDP. A tale
scopo progettare un altro collegamento di comunicazione tramite DP/DP Coupler. In base al
limite di capacità dell'DP/DP Coupler, questo è possibile con uno o con lo stesso DP/DP
Coupler.
Introduzione
La comunicazione di sicurezza tra il programma di sicurezza della F-CPU di un IO Controller e
il/i programma/i di sicurezza della F-CPU di uno o più I-Device avviene, come nel programma
standard, via PROFINET IO, tramite i collegamenti IO Controller-I-Device (F-CD).
Per la comunicazione IO Controller-I-Device non è richiesto alcun hardware supplementare.
Procedura di progettazione
La procedura per la progettazione di una comunicazione di sicurezza IO Controller-I-Device è
identica a quella prevista per la progettazione del programma standard.
Procedere nel modo seguente:
1. Inserire nel progetto due F-CPU dalla task card "Catalogo hardware".
2. Attivare il modo di funzionamento "IO Device" per la F-CPU 2 nelle proprietà della relativa
interfaccia PN e assegnare questa interfaccia PN a un'interfaccia PN della F-CPU 1.
3. Selezionare l'interfaccia PROFINET della F-CPU 2. In "Transfer areas" è possibile creare un
collegamento F-CD (tipo "F-CD") per la ricezione dall'IO Controller (→). Il collegamento F-CD
viene contrassegnato in giallo nella tabella e le aree di indirizzi occupate nell'I-Device e
nell'IO Controller vengono visualizzate.
Inoltre, per ciascun collegamento F-CD viene creato automaticamente un collegamento di
conferma. (Vedere nei dettagli dell'area di trasferimento).
La comunicazione di sicurezza tra F-CPU dell'IO Controller e un I-Device viene eseguita con le
istruzioni SENDDP per l'invio di e RCVDP per la ricezione. Queste istruzioni consentono di
trasmettere in modalità fail-safe un numero fisso di dati del tipo BOOL o INT (in alternativa
DINT).
Queste istruzioni si trovano nella task card "Instructions" in "Communication". L'istruzione
RCVDP deve essere richiamata all'inizio del blocco Main Safety. L'istruzione SENDDP deve
essere richiamata alla fine del blocco Main Safety.
Le istruzioni RCVDP e SENDDP possono essere richiamate anche in F-FB/F-FC separati che
devono essere richiamati all'inizio o alla fine del blocco Main Safety.
Tenere presente che i segnali di trasmissione vengono inviati solo dopo il richiamo
dell'istruzione SENDDP al termine dell'elaborazione del rispettivo gruppo di esecuzione F.
Per la descrizione dettagliata delle istruzioni SENDDP e RCVDP vedere SENDDP e RCVDP: Invio
e ricezione di dati tramite PROFIBUS DP/PROFINET IO (STEP 7 Safety V18) (Pagina 579).
Procedura di programmazione
Per la programmazione della comunicazione di sicurezza IO Controller-I-Device procedere
esattamente come per la programmazione della comunicazione di sicurezza IO Controller-
IO Controller (vedere Programmazione della comunicazione di sicurezza tra IO Controller e
IO Controller (Pagina 255)).
Istruzione Identificativo HW
SENDDP nell'IO Controller Identificativo HW della rispettiva area di
trasferimento nell'IO Controller
RCVDP nell'IO Controller Identificativo HW della rispettiva area di
trasferimento nell'IO Controller
SENDDP nell'I-Device Identificativo HW dell'area di trasferimento
nell'I-Device
RCVDP nell'I-Device Identificativo HW dell'area di trasferimento
nell'I-Device
AVVERTENZA
Il valore per il rispettivo ID di comunicazione F (ingresso DP_DP_ID; tipo di dati: INT) può
essere selezionato liberamente**, ma deve essere univoco in tutta la rete* e in tutta la
CPU**** in qualsiasi momento e per tutti i collegamenti di comunicazione orientati alla
sicurezza. L'univocità deve essere verificata nella stampa del programma di sicurezza
durante il collaudo del programma di sicurezza.
Al richiamo dell'istruzione, agli ingressi DP_DP_ID e LADDR devono essere assegnati dei
valori costanti***. Nel programma di sicurezza non sono consentiti accessi in scrittura
diretti a DP_DP_ID e LADDR nei rispettivi DB di istanza! (S016)
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete. Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite
PROFIBUS DP. In PROFINET IO una rete comprende tutti i nodi raggiungibili tramite
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP (IP,
Layer 3).
** S7-1200/1500: A partire dalla versione V3.0 delle istruzioni SENDDP e RCVDP, in presenza
di un ID di comunicazione F "0" sull'ingresso DP_DP_ID non viene stabilita alcuna
comunicazione.
*** S7-1200/1500: A partire dalla versione V3.0 delle istruzioni SENDDP e RCVDP all'ingresso
DP_DP_ID possono essere assegnati anche valori variabili di un F-DB globale. Anche in questo
caso durante il collaudo del programma di sicurezza va verificato che l'univocità sia garantita
in qualsiasi momento controllando conseguentemente l'algoritmo per la formazione del
valore variabile. Se all'avviamento del programma di sicurezza non è possibile garantire un ID
di comunicazione F univoco perché quest'ultimo viene definito solo dopo l'avviamento del
programma di sicurezza, assicurarsi che il valore sull'ingresso DP_DP_ID in questa fase sia "0".
**** Nei sistemi S7-1500HF ridondanti le due F-CPU del sistema S7-1500HF ridondante
devono essere considerate come una unica F-CPU per quando riguarda il DP_DP_ID.
AVVERTENZA
L'acquisizione dello stato del segnale da trasmettere e la sua trasmissione al ricevente sono
garantite (in modalità fail-safe) solo se lo stato del segnale rimane attivo per un tempo pari
almeno al tempo di controllo parametrizzato. (S018)
Ulteriori informazioni sul calcolo dei tempi di controllo sono contenute in Tempi di controllo e
di reazione (Pagina 596).
Per il limite massimo di 1440 byte di dati di ingresso o 1440 byte di dati di uscita per il
trasferimento tra un I-Device e un IO Controller, tenere conto di tutti gli altri collegamenti di
comunicazione standard e di sicurezza previsti (aree di trasferimento del tipo: F-CD e CD).
Inoltre, i dati vengono utilizzati per scopi interni, in modo che il limite massimo possa essere
raggiunto prima.
In caso di superamento del limite si ottiene un messaggio di errore corrispondente.
Introduzione
La comunicazione di sicurezza tra il programma di sicurezza della F-CPU di un master DP e il/i
programma/i di sicurezza della F-CPU di uno o più I-slave avviene - come nel programma
standard - tramite collegamenti master-I-slave (F-MS).
Per la comunicazione master-I-slave non è necessario un DP/DP Coupler.
Procedura di progettazione
La procedura per la progettazione di una comunicazione di sicurezza master-I-slave è identica
a quella prevista per la progettazione del programma standard.
Procedere nel modo seguente:
1. Inserire nel progetto due F-CPU dalla task card "Catalogo hardware".
2. Se la F-CPU che deve fungere da master DP (F-CPU 1) non dispone di un'interfaccia
PROFIBUS DP integrata, inserire ad es. un CM PROFIBUS.
3. Inserire nella vista dispositivi della F-CPU da utilizzare come I-slave (F-CPU 2) un modulo DP
CM o un modulo DP CP adatto.
4. Se necessario, attivare per il modulo DP CM/CP il modo di funzionamento "DP Slave" (I-slave).
5. Assegnare l'interfaccia DP del CM/CP a un'interfaccia DP della F-CPU 1.
6. Selezionare l'interfaccia PROFIBUS della F-CPU 2 o del CM. Nelle "Transfer areas" creare un
collegamento F-MS (tipo "F-MS") per l'invio al master DP (←). Il collegamento F-MS è
contrassegnato in giallo nella tabella e le aree di trasferimento occupate nell'I-slave e nel
master DP vengono visualizzate.
Inoltre, per ciascun collegamento F-MS viene creato automaticamente un collegamento di
conferma. (Vedere in "Dettagli dell'area di trasferimento").
7. Creare un ulteriore collegamento F-MS per la ricezione del master DP.
8. Fare clic sulla freccia nell'area di trasferimento appena creata per modificare la direzione di
trasmissione a ricezione dal master DP (→).
Requisiti
Le aree di trasferimento devono essere progettate.
Procedura di programmazione
Per la programmazione della comunicazione di sicurezza master-I-slave, procedere come per
la programmazione della comunicazione di sicurezza master-master (vedere Comunicazione
di sicurezza master-master (Pagina 259)).
Istruzione Identificativo HW
SENDDP nel master DP Identificativo HW della rispettiva area di
trasferimento nel master DP
RCVDP nel master DP Identificativo HW della rispettiva area di
trasferimento nel master DP
SENDDP nell'I-slave Identificativo HW dell'area di trasferimento nell'I-
slave
RCVDP nell'I-slave Identificativo HW dell'area di trasferimento nell'I-
slave
AVVERTENZA
Il valore per il rispettivo ID di comunicazione F (ingresso DP_DP_ID; tipo di dati: INT) può
essere selezionato liberamente**, ma deve essere univoco in tutta la rete* e in tutta la CPU
in qualsiasi momento e per tutti i collegamenti di comunicazione orientati alla sicurezza.
L'univocità deve essere verificata nella stampa del programma di sicurezza durante il
collaudo del programma di sicurezza.
Al richiamo dell'istruzione, agli ingressi DP_DP_ID e LADDR devono essere assegnati dei
valori costanti***. Nel programma di sicurezza non sono consentiti accessi in scrittura
diretti a DP_DP_ID e LADDR nei rispettivi DB di istanza! (S016)
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete. Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite
PROFIBUS DP. In PROFINET IO una rete comprende tutti i nodi raggiungibili tramite
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP (IP,
Layer 3).
** S7-1200/1500: A partire dalla versione V3.0 delle istruzioni SENDDP e RCVDP, in presenza
di un ID di comunicazione F "0" sull'ingresso DP_DP_ID non viene stabilita alcuna
comunicazione.
*** S7-1200/1500: A partire dalla versione V3.0 delle istruzioni SENDDP e RCVDP all'ingresso
DP_DP_ID possono essere assegnati anche valori variabili di un F-DB globale. Anche in questo
caso durante il collaudo del programma di sicurezza va verificato che l'univocità sia garantita
in qualsiasi momento controllando conseguentemente l'algoritmo per la formazione del
valore variabile. Se all'avviamento del programma di sicurezza non è possibile garantire un ID
di comunicazione F univoco perché quest'ultimo viene definito solo dopo l'avviamento del
programma di sicurezza, assicurarsi che il valore sull'ingresso DP_DP_ID in questa fase sia "0".
AVVERTENZA
L'acquisizione dello stato del segnale da trasmettere e la sua trasmissione al ricevente sono
garantite (in modalità fail-safe) solo se lo stato del segnale rimane attivo per un tempo pari
almeno al tempo di controllo parametrizzato. (S018)
Ulteriori informazioni sul calcolo dei tempi di controllo sono contenute in Tempi di controllo e
di reazione (Pagina 596).
La tabella seguente mostra la quantità di dati di uscita e di ingresso occupati nei collegamenti
di comunicazione di sicurezza:
Per il limite massimo di 244 byte di dati di ingresso o 244 byte di dati di uscita per il
trasferimento tra un I-slave e un master DP, tenere conto di tutti gli altri collegamenti di
comunicazione standard e di sicurezza previsti (aree di trasferimento del tipo: F-MS e MS). Se
si supera il limite massimo di 244 byte di dati di ingresso o di 244 byte di dati di uscita, viene
visualizzato un messaggio di errore corrispondente.
Introduzione
La comunicazione di sicurezza tra il programma di sicurezza della F-CPU di un IO Controller e
il/i programma/i di sicurezza della F-CPU di uno o più I-slave avviene - come nel programma
standard - tramite collegamenti master-I-slave (F-MS).
IE/PB Link
Per la comunicazione di sicurezza IO Controller-I-slave è assolutamente necessario l'IE/PB Link.
Ciascuna delle due F-CPU è collegata all'IE/PB Link tramite l'interfaccia PROFIBUS DP o
PROFINET.
Nota
Durante la progettazione dei tempo di controllo specifici per F e durante il calcolo del tempo
di reazione massimo del sistema F è necessario tenere conto dell'impiego di un IE/PB Link
(vedere anche Tempi di controllo e di reazione (Pagina 596)).
Osservare che il file excel per il calcolo dei tempi di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831) per F-CPU S7-300/400 non
supporta tutte le configurazioni possibili.
Riferimenti
Inoltre valgono le informazioni per la comunicazione master-I-slave riportate in
Comunicazione di sicurezza master-I-slave (Pagina 274).
9.2.7.1 Introduzione
La comunicazione di sicurezza da F-CPU in SIMATIC Safety a F-CPU in sistemi F S7 Distributed
Safety è possibile tramite un PN/PN Coupler o DP/DP Coupler, che si impiega tra le due F-CPU
come comunicazione IO Controller-IO Controller o comunicazione master-master.
Introduzione
Per le F-CPU S7-1200 e S7-1500 è disponibile la comunicazione fail-safe CPU-CPU "Flexible
F-Link". I dati fail-safe vengono scambiati tra le F-CPU semplicemente come ARRAY fail-safe
attraverso meccanismi di comunicazione standard.
Flexible F-Link offre una serie di vantaggi per lo scambio di dati fail-safe:
• Raggruppamento dei dati fail-safe da inviare in tipi di dati PLC conformi a F (UDT)
(I tipi di dati PLC conformi a F (UDT) annidati non sono supportati.)
• Fino a 100 byte di dati fail-safe per singolo UDT
• Facilità di parametrizzazione e generazione automatica dei DB di comunicazione fail-safe
• Trasmissione dei dati fail-safe con blocchi di comunicazione standard anche oltre i limiti
della rete
• Comunicazione del gruppo di esecuzione F (Pagina 93) nelle F-CPU 1200/1500
• UUID di comunicazione F integrati nel sistema, univoci e universali
• Firma dell'indirizzo di comunicazione F separata per un facile riconoscimento delle
modifiche degli UUID di comunicazione F
Requisiti
• F-CPU S7-1500 a partire dal firmware V2.0
• F-CPU S7-1200 a partire dal firmware V4.2
• Versione di sistema Safety a partire da V2.2
5. Nel programma di sicurezza, valutare le variabili per i dati di ricezione (RCV_DATA) nel DB di
comunicazione F (Pagina 287).
6. Creare i blocchi standard in cui gli array fail-safe creati automaticamente nel DB di
comunicazione F vengono ricevuti con i dati di ricezione e inviati con i dati di conferma. Per
una sequenza di elaborazione corretta dei valori di processo è disponibile l'F-OB
Pre/postelaborazione (Pagina 93). Quando si utilizzano le istruzioni di comunicazione,
assicurarsi che, durante la valutazione, gli array fail-safe disponibili siano coerenti e che
venga rispettato il tempo di controllo F (Pagina 602). Osservare la nota riportata di seguito.
Nota
In caso di utilizzo di protocolli di comunicazione non deterministici (ad es. TCP/IP) osservare
anche i seguenti punti:
• Un aumento del carico di comunicazione può ridurre la disponibilità dell'applicazione
(esecuzione del tempo di controllo F del collegamento di comunicazione F). Ciò vale in
particolare per l'utilizzo parallelo di OPC UA e Secure Open User Communication (OUC).
• Gli overflow del buffer di comunicazione possono influenzare negativamente la
disponibilità dell'applicazione e dovrebbero essere evitati.
Altre informazioni utili sono contenute nell'esempio applicativo seguente: "Progettazione
della comunicazione Flexible F-Link
(https://support.industry.siemens.com/cs/ww/it/view/109768964)".
Nota
Durante la simulazione con S7-PLCSIM non viene attivato il timer che genera un messaggio di
errore allo scadere dell'intervallo in caso di interruzione della comunicazione con le periferie
reali (ad es. commutando una CPU in STOP). Pertanto in questo caso non viene generato
alcun messaggio di errore. Questo viene visualizzato appena il collegamento viene
ripristinato. La trasmissione e la ricezione dei valori attuali riprendono dopo la conferma
utente.
AVVERTENZA
L'acquisizione dello stato del segnale da trasmettere e la sua trasmissione al ricevente sono
garantite (in modalità fail-safe) solo se lo stato del segnale rimane attivo per un tempo pari
almeno al tempo di controllo parametrizzato. (S018)
AVVERTENZA
Se durante la comunicazione tra CPU e CPU orientata alla sicurezza vengono inviati dei dati
con una F-CPU simulata con S7-PLCSIM, non è possibile assumere che questi dati siano stati
generati in modo sicuro. In questo caso è necessario anche garantire la sicurezza delle parti
dell'impianto influenzate dai dati inviati adottando misure organizzative (Pagina 611)
oppure facendo in modo che la F-CPU che riceve i dati emetta dei valori sostitutivi sicuri al
posto dei dati ricevuti tramite l'analisi di SENDMODE*.
*SENDMODE è disponibile come variabile nel DB di comunicazione F.
(S086)
AVVERTENZA
Quando viene creata una nuova comunicazione con Flexible F-Link nel Safety
Administration Editor, il sistema fornisce un "F-communication UUID" (UUID di
comunicazione F) univoco per la comunicazione. Quando le comunicazioni vengono copiate
nel Safety Administration Editor all'interno della tabella di parametrizzazione oppure in
un'altra F-CPU, gli UUID di comunicazione F non vengono ricreati e di conseguenza non
sono più univoci. Se si utilizza una copia per parametrizzare un nuovo rapporto di
comunicazione è necessario assicurarne l'univocità. Selezionare gli UUID interessati e
generarne di nuovi con il menu di scelta rapida "Generate UUID". L'univocità deve essere
controllata nella stampa di sicurezza. (S087)
AVVERTENZA
Durante il collaudo, verificare con la stampa di sicurezza se gli offset di tutti gli elementi dei
tipi di dati PLC conformi a F (UDT) all'interno del programma di sicurezza per i dati di
trasmissione e di ricezione coincidono. A questo scopo, nella stampa di sicurezza sono
elencati tutti i membri e gli indirizzi suddivisi per UDT. (S088)
Vedere anche
Comunicazione del gruppo di esecuzione F (S7-1200, S7-1500) (Pagina 141)
Introduzione
Qui si ottiene una panoramica sulle possibilità della comunicazione di sicurezza tra F-CPU
S7-300/400 e F-CPU S7-1200/1500 nei sistemi F SIMATIC Safety.
Introduzione
La comunicazione di sicurezza tra il programma di sicurezza della F-CPU di un IO Controller e
il/i programma/i di sicurezza della F-CPU di uno o più I-Device avviene, come nel programma
standard, via PROFINET IO, tramite i collegamenti IO Controller-I-Device (F-CD).
Di seguito sono descritte particolarità, se l'IO Controller e l'I-Device si trovano in progetti
diversi.
Requisiti
• L'IO Controller è una F-CPU S7-1200/1500 che supporta la funzionalità IO Controller.
• L'I-Device è una F-CPU S7-300/400/1200/1500 che supporta la funzionalità I-Device.
• Il progetto nel quale si trova l'I-Device, deve essere creato con S7 Distributed Safety V5.4,
STEP 7 Safety V13 o uno nuovo.
Progettazione
1. Progettare la comunicazione di comunicazione nel progetto con l'I-Device, come descritto in
"Progettazione della comunicazione di sicurezza IO Controller-I-Device (Pagina 212)"
(S7-300/S7-400) o "Progettazione della comunicazione di sicurezza IO Controller-I-Device
(Pagina 268)" (S7-1200/S7-1500). In questo caso la F-CPU 1 (IO Controller) è solo un
segnaposto per la F-CPU nel progetto dell'IO Controller.
Nota
Durante la creazione con STEP 7 Safety < V14 SP1 evitare un cambio successivo delle aree
di trasferimento da CD F-CD.
Durante la creazione con S7 Distributed Safety V5.4 creare le aree di trasferimento
dell'applicazione del tipo di indirizzo "Uscita" e "Ingresso" direttamente in successione.
2. Esportare l'I-Device come file GSD. A tal fine procedere come descritto nella Guida a STEP 7
in "Progettazione di un I-Device".
3. Importare il file GSD nel progetto con l'IO Controller. A tal fine procedere come descritto
nella Guida a STEP 7 in "Installazione del file GSD".
4. Inserire l'I-Device dalla task card "Catalogo hardware" nel progetto con l'IO Controller.
5. Assegnare all'I-Device la F-CPU dell'IO Controller.
Procedura di programmazione
Per la programmazione della comunicazione di sicurezza IO Controller-I-Device per una F-CPU
S7-300/400, procedere come descritto in "Comunicazione IO Controller-I-Device tramite
SENDDP e RCVDP (Pagina 215)" e "Programmazione della comunicazione di sicurezza
IO Controller-I-Device (Pagina 215)". Per la programmazione di una F-CPU S7-300/400
utilizzare gli indirizzi iniziali delle aree di trasferimento.
Per la programmazione della comunicazione di sicurezza IO Controller-I-Device per una F-CPU
S7-1200/1500, procedere come descritto in "Comunicazione IO Controller-I-Device tramite
SENDDP e RCVDP (Pagina 271)" e "Programmazione della comunicazione di sicurezza
IO Controller-I-Device (Pagina 271)". Per la programmazione di una F-CPU S7-1200/1500
utilizzare gli identificativi HW delle aree di trasferimento.
Nota
Osservare che dopo una modifica rilevante per la sicurezza della configurazione hardware, è
necessario ricompilare e ricaricare non solo la configurazione hardware, ma anche il
programma di sicurezza. Questo vale anche per le modifiche della periferia F non utilizzata
nel programma di sicurezza.
Nota
Per le F-CPU S7-300/400 vale:
Se si desidera compilare un blocco F con protezione del know-how dopo una modifica, è
necessario rimuovere la protezione del know-how per questo blocco F prima di compilarlo.
Stima
È possibile stimare approssimativamente la memoria di lavoro richiesta del programma di
sicurezza nel modo seguente:
Introduzione
Dopo avere compilato correttamente il programma di sicurezza, è possibile caricare il
programma di sicurezza insieme al programma utente standard nella F-CPU.
(S7-1500) Se il programma di sicurezza si trova in una Safety Unit è possibile caricare la
Safety Unit nella F-CPU in modo indipendente.
Per caricare un programma di sicurezza si procede sostanzialmente nello stesso modo in cui si
carica un programma utente standard, attraverso diverse opzioni di accesso in STEP 7:
• Nella finestra di dialogo "Load preview" si immettono i dati (ad es. password della F-CPU) e
si impostano i requisiti necessari per il caricamento (ad es. che la F-CPU passi in STOP
prima del caricamento).
• Nella finestra di dialogo "Load results" vengono visualizzati i risultati dopo il caricamento.
Di seguito vengono illustrate le possibilità di caricamento del programma di sicurezza. Per
informazioni di base sul caricamento consultare la Guida a STEP 7.
AVVERTENZA
Se più F-CPU sono accessibili dallo stesso PG/PC tramite una rete (ad es. Industrial
Ethernet), occorre adottare le seguenti misure aggiuntive per assicurarsi che i dati di
progetto rilevanti per la sicurezza vengano caricati nella F-CPU corretta:
Utilizzare password specifiche per le F-CPU, ad es. una password univoca per le F-CPU con
allegato il rispettivo indirizzo Ethernet.
Osservare quanto segue:
• Il primo caricamento della configurazione hardware per l'attivazione della protezione di
accesso di una F-CPU deve avvenire tramite un collegamento punto a punto (come nel
caso della prima assegnazione di un indirizzo MPI a una F-CPU).
• Prima di caricare in una F-CPU i dati di progetto rilevanti per la sicurezza è necessario
annullare l'eventuale autorizzazione di accesso a un'altra F-CPU.
• L'ultimo caricamento dei dati di progetto rilevanti per la sicurezza prima del passaggio al
funzionamento produttivo deve essere effettuato con la protezione di accesso attivata.
(S021)
Nota
È possibile caricare un programma di sicurezza coerente solo nello stato di funzionamento
STOP.
Nota
Se STEP 7 Safety rileva un programma di sicurezza non coerente durante l'avviamento della
F-CPU, l'avviamento della F-CPU viene impedito, a condizione che la F-CPU supporti questo
rilevamento. (Vedere le informazioni sul prodotto per la rispettiva F-CPU S7-300/400.) Per le
F-CPU S7-1200/1500 è sempre supportato. Nel buffer di diagnostica della F-CPU viene inserito
un evento di diagnostica corrispondente.
Se la F-CPU non supporta questo rilevamento, l'esecuzione di un programma di sicurezza non
coerente nel funzionamento di sicurezza attivata può comportare l'arresto della F-CPU.
La causa dell'evento di diagnostica viene inserita nel buffer di diagnostica della F-CPU.
Quando si carica il programma di sicurezza, assicurarsi che l'azione "Consistent download" sia
impostata per la selezione "Safety program" nella finestra di dialogo "Load preview".
Il caricamento non coerente è possibile solo con il funzionamento di sicurezza disattivato.
10.3.1.1 Caricamento dei dati di progetto in una F-CPU S7-300/400 con Memory Card
(SIMATIC Micro Memory Card o Flash-Card) inserita
Se si caricano i dati di progetto in una F-CPU S7-300/400 con Memory Card (SIMATIC Micro
Memory Card con S7-300 o Flash-Card con S7-400) inserita, osservare la seguente
avvertenza:
AVVERTENZA
Se il test di funzionamento del programma di sicurezza non viene eseguito nella F-CPU di
destinazione, durante il caricamento dei dati di progetto rilevanti per la sicurezza nella
F-CPU con un PG/PC ci si deve attenere alla procedura seguente per garantire che la F-CPU
non contenga dati di progetto rilevanti per la sicurezza "obsoleti":
• Caricare nella F-CPU i dati di progetto rilevanti per la sicurezza.
• Eseguire una identificazione del programma (ossia controllare se le firme collettive F
online e offline coincidono).
• Eseguire una cancellazione totale della F-CPU con il selettore dei modi operativi o con il
PG/PC. Dopo la cancellazione della memoria di lavoro, i dati del progetto vengono
nuovamente trasferiti dalla memoria di caricamento (Memory Card, SIMATIC Micro
Memory Card nella F-CPU S7-300, Flash Card nella F-CPU S7-400) nella memoria di
lavoro. (S022)
10.3.1.2 Caricamento dei dati di progetto in una F-CPU S7-400 senza Flash Card inserita
Se si caricano i dati di progetto in una F-CPU S7-400 senza Flash Card inserita, osservare la
seguente avvertenza:
AVVERTENZA
Se il test di funzionamento del programma di sicurezza non viene eseguito nella F-CPU di
destinazione, durante il caricamento dei dati di progetto rilevanti per la sicurezza nella
F-CPU con un PG/PC ci si deve attenere alla procedura seguente per garantire che la F-CPU
non contenga dati di progetto rilevanti per la sicurezza "obsoleti":
• Eseguire una cancellazione totale della F-CPU con il selettore dei modi operativi o con il
PG/PC.
• Caricare nella F-CPU i dati di progetto rilevanti per la sicurezza.
• Eseguire una identificazione del programma (ossia controllare se le firme collettive F
online e offline coincidono). (S023)
AVVERTENZA
Per accertare che nel WinAC RTX F non siano presenti dati di progetto rilevanti per la
sicurezza "obsoleti", durante il caricamento dei dati di progetto rilevanti per la sicurezza nel
WinAC RTX F con un PG/PC è necessario attenersi alla procedura seguente:
1. Eseguire una cancellazione totale del WinAC RTX F (vedere il manuale Windows
Automation Center RTX WinAC RTX (F) 2010
(http://support.automation.siemens.com/WW/view/en/43715176)).
2. Caricare i dati di progetto nel WinAC RTX F.
Se il test di funzionamento del programma di sicurezza non avviene nel WinAC RTX
F di destinazione, è necessario eseguire anche i punti 3. e 4.:
3. Eseguire una identificazione del programma. Ovvero verificare che le firme collettive F
online e offline coincidono.
4. Eseguire l'avviamento del sistema F.
Durante l'identificazione del programma online e l'avviamento del sistema F non chiudere il
WinAC RTX F (ad es. tramite RETE OFF/RETE ON o riavvio). (S024)
Nota
Se si caricano solo singoli blocchi F, i blocchi in cui vengono richiamati i blocchi di sicurezza
principali (ad es., OB di allarme schedulazione orologio 35) non vengono caricati. Selezionare
l'opzione "Selection" e successivamente i blocchi necessari nella finestra di dialogo
dell'anteprima in "Standard software".
Nota
Il caricamento dei singoli blocchi F è adatto solo per il test dei blocchi F. Prima di passare al
funzionamento produttivo, è necessario caricare in modo coerente il programma di sicurezza
nella F-CPU.
10.3.1.5 Caricamento dei dati di progetto su una Memory Card e inserimento della Memory
Card o del supporto dati
Per il caricamento dei dati di progetto di una F-CPU su una Memory Card (Flash-Card con
S7-400, SIMATIC Micro Memory Card con S7-300), procedere come nel programma standard.
Osservare inoltre la seguente avvertenza:
AVVERTENZA
Se il test di funzionamento del programma di sicurezza non viene eseguito nella CPU di
destinazione, ci si deve accertare che dopo il caricamento dei dati di progetto rilevanti per la
sicurezza sulla Memory Card siano presenti sulla Memory Card i dati di progetto rilevanti per
la sicurezza corretti.
Osservare il seguente procedimento:
1. Caricare i dati di progetto sulla Memory Card.
2. Eseguire una identificazione del programma (Pagina 325).
3. Contrassegnare la Memory Card in modo univoco (ad es. con la firma collettiva F). (S043)
Per inserire una Memory Card (Flash Card con S7-400 o SIMATIC Micro Memory Card con
S7-300) o un supporto dati con WinAC RTX F con dati di progetto di una F-CPU osservare la
seguente avvertenza:
AVVERTENZA
Se il test di funzionamento del programma di sicurezza non viene eseguito nella F-CPU di
destinazione, ci si deve accertare, mediante l'identificazione del programma online o altre
misure idonee (ad es. verificando l'identificativo della Memory Card o del supporto dati
rimovibile), che sulla Memory Card inserita o sul supporto dati rimovibile siano presenti i
dati di progetto rilevanti per la sicurezza corretti. (S025)
Per l'inserimento di una Memory Card (Flash Card con S7-400 o SIMATIC Micro Memory Card
con S7-300) in una F-CPU S7-300/400, osservare la seguente avvertenza:
AVVERTENZA
Se il test di funzionamento del programma di sicurezza non viene eseguito nella F-CPU di
destinazione, durante l'inserimento della Memory Card ci si deve attenere alla procedura
seguente per assicurare che la F-CPU non contenga dati di progetto rilevanti per la sicurezza
"obsoleti":
• Scollegare la tensione dalla F-CPU e nelle F-CPU con batteria tampone (ad es. la CPU
416F-2) rimuovere la batteria, se presente. (Per assicurarsi che la F-CPU sia priva di
tensione, controllare il tempo di bufferizzazione dell'alimentazione utilizzata oppure, se
questo non è noto, estrarre la F-CPU).
• Estrarre dalla F-CPU la Memory Card con i dati di progetto rilevanti per la sicurezza
obsoleti.
• Inserire nella F-CPU la Memory Card con i nuovi dati di progetto rilevanti per la sicurezza.
• Riattivare la F-CPU e nelle F-CPU con batteria tampone (ad es. la CPU 416F-2) reinserire
l'eventuale batteria precedentemente rimossa.
(S026)
10.3.2.1 Caricamento dei dati di progetto in una F-CPU S7-1200 senza scheda di programma
inserita
Se si caricano i dati di progetto in una F-CPU S7-1200 senza scheda di programma inserita,
osservare la seguente avvertenza:
AVVERTENZA
Se il test di funzionamento del programma di sicurezza non viene eseguito nella F-CPU di
destinazione, durante il caricamento dei dati di progetto rilevanti per la sicurezza nella
F-CPU con un PG/PC ci si deve attenere alla procedura seguente per garantire che la F-CPU
non contenga dati di progetto rilevanti per la sicurezza "obsoleti":
• Caricare nella F-CPU i dati di progetto rilevanti per la sicurezza.
• Eseguire una identificazione del programma (ossia controllare se le firme collettive F
online e offline coincidono). (S042)
10.3.2.2 Caricamento dei dati di progetto in una F-CPU S7-1200 con scheda di programma
inserita
Se si caricano i dati di progetto in una F-CPU S7-1200 con scheda di programma inserita, è
necessario osservare le seguenti avvertenze:
AVVERTENZA
Se si inserisce una scheda di programma in una F-CPU S7-1200, per accertarsi che la
memoria di caricamento interna della F-CPU non contenga dati di progetto rilevanti per la
sicurezza "obsoleti", ci si deve attenere alla procedura seguente:
1. Controllare se con lo slot vuoto, il LED STOP/RUN (arancione) e il LED di manutenzione
lampeggiano all'avviamento per 3 secondi.
In tal caso la memoria di caricamento interna della F-CPU è già stata cancellata (ad es. se la
F-CPU è già stata utilizzata con una scheda di programma come memoria di caricamento
esterna) ed è possibile saltare il passo 3.
2. Inserire la scheda di programma nella F-CPU.
Se la F-CPU si trova nello stato di funzionamento RUN, passa in STOP. Il LED di
manutenzione sulla F-CPU lampeggia per segnalare che è necessario analizzare la scheda
di programma e/o cancellare la memoria di caricamento interna.
3. Avviare la cancellazione dalla memoria di caricamento interna in uno dei seguenti modi:
– Disinserire e reinserire la F-CPU.
– Commutare la F-CPU da STOP a RUN.
– Eseguire la funzione "Cancellazione totale" (MRES).
Dopo il riavvio e la cancellazione della memoria di caricamento interna il LED STOP/RUN
(arancione) e il LED di manutenzione devono lampeggiare. In questo caso la memoria
di caricamento interna della F-CPU è stata cancellata e non contiene dati di progetto
rilevanti per la sicurezza "obsoleti".
4. Avviare l'analisi della scheda di programma in uno dei seguenti modi:
– Disinserire e reinserire la F-CPU.
– Commutare la F-CPU da STOP a RUN.
– Eseguire la funzione "Cancellazione totale" (MRES).
La CPU esegue un riavvio e analizza la scheda di programma.
In seguito la F-CPU passa allo stato di funzionamento di avviamento (RUN o STOP)
configurato per la F-CPU. (S061)
Nel caso di una F-CPU S7-1200 con SIMATIC Memory Card non inserita e memoria di
caricamento interna cancellata, i LED di stato hanno lo stato descritto nella tabella seguente.
AVVERTENZA
Se i blocchi F vengono caricati in una F-CPU S7-1200 con scheda di programma inserita
(memoria di caricamento esterna) utilizzando un PG/PC, è necessario verificare che i dati
vengano effettivamente trasferiti nella memoria di caricamento esterna. A tale scopo
adottare le misure seguenti:
• Verificare che il supporto di memoria sia inserito correttamente.
• Inserire una scheda di programma con una capacità di memoria differente da quella della
memoria di caricamento interna. Controllare nella navigazione del progetto sotto "Online
& Diagnostica> Diagnostica > Memoria" se la capacità di memoria visualizzata della
memoria di caricamento coincide con quella della scheda di programma. (S058)
AVVERTENZA
Se il test di funzionamento del programma di sicurezza non viene eseguito nella F-CPU di
destinazione, durante il caricamento dei dati di progetto rilevanti per la sicurezza nella
F-CPU con un PG/PC ci si deve attenere alla procedura seguente per garantire che la F-CPU
non contenga dati di progetto rilevanti per la sicurezza "obsoleti":
• Caricare nella F-CPU i dati di progetto rilevanti per la sicurezza.
• Eseguire una identificazione del programma (ossia controllare se le firme collettive F
online e offline coincidono). (S042)
AVVERTENZA
Se si copiano dati di progetto rilevanti per la sicurezza in una F-CPU S7-1200 mediante una
scheda di trasferimento, per accertarsi che la memoria di caricamento interna non contenga
dati di progetto rilevanti per la sicurezza "obsoleti" ci si deve attenere alla procedura
seguente:
1. Controllare se con lo slot vuoto, il LED STOP/RUN (arancione) e il LED di manutenzione
lampeggiano all'avviamento per 3 secondi.
In tal caso la memoria di caricamento interna della F-CPU è già stata cancellata ed è
possibile saltare il passo 3.
2. Inserire la scheda di trasferimento nella F-CPU.
Se la F-CPU si trova nello stato di funzionamento RUN, passa in STOP. Il LED di
manutenzione sulla F-CPU lampeggia per segnalare che è necessario analizzare la scheda
di trasferimento e/o cancellare la memoria di caricamento interna.
3. Avviare la cancellazione dalla memoria di caricamento interna in uno dei seguenti modi:
– Disinserire e reinserire la F-CPU.
– Commutare la F-CPU da STOP a RUN.
– Eseguire la funzione "Cancellazione totale" (MRES).
Dopo il riavvio e la cancellazione della memoria di caricamento interna il LED STOP/RUN
(arancione) e il LED di manutenzione devono lampeggiare. In questo caso la memoria
di caricamento interna della F-CPU è stata cancellata e non contiene dati di progetto
rilevanti per la sicurezza "obsoleti".
4. Avviare l'analisi della scheda di trasferimento in uno dei seguenti modi (trasferimento dalla
scheda di trasferimento nella memoria di caricamento interna):
– Disinserire e reinserire la F-CPU.
– Commutare la F-CPU da STOP a RUN.
– Eseguire la funzione "Cancellazione totale" (MRES).
Dopo il riavvio e l'analisi della SIMATIC Memory Card, la F-CPU copia i dati di progetto
nella memoria di caricamento interna della F-CPU. Al termine del processo di copia il LED
di manutenzione sulla F-CPU lampeggia per segnalare che la scheda di trasferimento può
essere rimossa.
5. Estrarre la scheda di trasferimento dalla F-CPU.
6. Avviare l'analisi dalla memoria di caricamento interna in uno dei seguenti modi:
– Disinserire e reinserire la F-CPU.
– Commutare la F-CPU da STOP a RUN.
– Eseguire la funzione "Cancellazione totale" (MRES).
In seguito la F-CPU passa allo stato di funzionamento di avviamento (RUN o STOP)
configurato per la F-CPU. (S059)
Nel caso di una F-CPU S7-1200 con SIMATIC Memory Card non inserita e memoria di
caricamento interna cancellata, i LED di stato hanno lo stato descritto nella tabella seguente.
10.3.2.4 Caricamento dei dati di progetto di una F-CPU S7-1200 dalla memoria di
caricamento interna a una SIMATIC Memory Card vuota
Se si desidera caricare i dati di progetto dalla memoria di caricamento interna di una F-CPU
S7-1200 su una SIMATIC Memory Card vuota, è necessario osservare la seguente avvertenza:
AVVERTENZA
Per garantire che durante l'inserimento di una SIMATIC Memory Card vuota in una F-CPU
S7-1200 i dati di progetto rilevanti per la sicurezza vengano caricati dalla memoria di
caricamento interna della F-CPU nella SIMATIC Memory Card e che successivamente la
memoria di caricamento interna della F-CPU venga cancellata, attenersi alla procedura
seguente:
1. Assicurarsi che la SIMATIC Memory Card sia vuota, ad es. verificando in Windows Explorer
se la cartella "SIMATIC.S7S" e il file "S7_JOB.S7S" sono stati cancellati.
2. Inserire la SIMATIC Memory Card vuota nella F-CPU.
Se la F-CPU si trova nello stato di funzionamento RUN, passa in STOP. Il LED di
manutenzione sulla F-CPU lampeggia per segnalare che il programma può essere copiato
dalla memoria di caricamento interna nella SIMATIC Memory Card e che successivamente
la memoria di caricamento interna verrà cancellata.
3. Avviare la copia dalla memoria di caricamento interna nella SIMATIC Memory Card e la
successiva cancellazione della memoria di caricamento interna in uno dei seguenti modi:
– Disinserire e reinserire la F-CPU.
– Commutare la F-CPU da STOP a RUN.
– Eseguire la funzione "Cancellazione totale" (MRES).
Dopo il riavvio e la copia dei dati di progetto dalla memoria di caricamento interna nella
SIMATIC Memory Card e la successiva cancellazione della memoria di caricamento
interna, il LED STOP/RUN (arancione) e il LED di manutenzione devono lampeggiare.
In questo caso la memoria di caricamento interna della F-CPU è stata cancellata e non
contiene più dati di progetto rilevanti per la sicurezza. La SIMATIC Memory Card ora è
una scheda di programma.
4. Avviare l'analisi della scheda di programma in uno dei seguenti modi:
– Disinserire e reinserire la F-CPU.
– Commutare la F-CPU da STOP a RUN.
– Eseguire la funzione "Cancellazione totale" (MRES).
La F-CPU esegue un riavvio e analizza la scheda di programma.
In seguito la F-CPU passa allo stato di funzionamento di avviamento (RUN o STOP)
configurato per la F-CPU. (S057)
Nota
Osservare anche l'impostazione "Disable copying from internal load memory to external load
memory" nella configurazione HW della F-CPU.
10.3.2.5 Aggiornamento dei dati di progetto di una F-CPU S7-1200 con una scheda di
trasferimento
Se si vogliono aggiornare i dati di progetto di una F-CPU S7-1200 con una scheda di
trasferimento, osservare la seguente avvertenza:
AVVERTENZA
Se si esegue un aggiornamento dei dati di progetto rilevanti per la sicurezza in una F-CPU
S7-1200 mediante una scheda di trasferimento, successivamente è necessario eseguire
un'identificazione del programma per verificare se il trasferimento nella memoria di
caricamento interna è avvenuto correttamente. (S060)
10.3.2.6 Caricamento dei dati di progetto su una SIMATIC Memory Card e inserimento della
SIMATIC Memory Card
Durante il caricamento dei dati di progetto di una F-CPU su una SIMATIC Memory Card,
procedere come nello standard. Osservare inoltre la seguente avvertenza:
AVVERTENZA
Se il test di funzionamento del programma di sicurezza non viene eseguito nella CPU di
destinazione, ci si deve accertare che dopo il caricamento dei dati di progetto rilevanti per la
sicurezza sulla Memory Card siano presenti sulla Memory Card i dati di progetto rilevanti per
la sicurezza corretti.
Osservare il seguente procedimento:
1. Caricare i dati di progetto sulla Memory Card.
2. Eseguire una identificazione del programma (Pagina 325).
3. Contrassegnare la Memory Card in modo univoco (ad es. con la firma collettiva F). (S043)
Per inserire una SIMATIC Memory Card con dati di progetto di una F-CPU osservare la
seguente avvertenza:
AVVERTENZA
Se il test di funzionamento del programma di sicurezza non viene eseguito nella F-CPU di
destinazione, ci si deve accertare, mediante l'identificazione del programma online o altre
misure idonee (ad es. verificando l'identificativo della Memory Card o del supporto dati
rimovibile), che sulla Memory Card inserita o sul supporto dati rimovibile siano presenti i
dati di progetto rilevanti per la sicurezza corretti. (S025)
AVVERTENZA
Se il test di funzionamento del programma di sicurezza non viene eseguito nella F-CPU di
destinazione, durante il caricamento dei dati di progetto rilevanti per la sicurezza nella
F-CPU con un PG/PC ci si deve attenere alla procedura seguente per garantire che la F-CPU
non contenga dati di progetto rilevanti per la sicurezza "obsoleti":
• Caricare nella F-CPU i dati di progetto rilevanti per la sicurezza.
• Eseguire una identificazione del programma (ossia controllare se le firme collettive F
online e offline coincidono). (S042)
AVVERTENZA
Se il test di funzionamento del programma di sicurezza non viene eseguito nel sistema di
destinazione ridondante S7-1500HF, durante il caricamento dei dati di progetto rilevanti
per la sicurezza nelle HF-CPU con un PG/PC ci si deve attenere alla procedura seguente
per garantire che le HF-CPU non contengano dati di progetto rilevanti per la sicurezza
"obsoleti":
1. Commutare entrambe le HF-CPU nello stato di funzionamento STOP.
2. Se nel programma di sicurezza precedente non è stata programmata alcuna protezione
contro il (ri)avviamento, (Programmazione protezione avviamento (Pagina 151)), è
necessario formattare la SIMATIC Memory Card o eliminare il programma, ad es. tramite
il display, in entrambe le HF-CPU.
3. Caricare i dati di progetto rilevanti per la sicurezza in una delle due HF-CPU.
4. Commutare la HF-CPU nella quale sono stati caricati i dati di progetto rilevanti per la
sicurezza nello stato di funzionamento RUN.
5. Commutare la seconda HF-CPU nello stato di funzionamento RUN.
6. Non appena viene raggiunto lo stato di funzionamento RUN ridondante, eseguire una
identificazione del programma in una delle due HF-CPU (verificando che le firme
collettive F online e offline coincidono).
Se nel nuovo programma di sicurezza è stata programmata una protezione contro il
(ri)avviamento, questa può essere confermata solo al termine della corretta
identificazione del programma. (S090)
AVVERTENZA
Se il test di funzionamento del programma di sicurezza non viene eseguito nel sistema di
destinazione ridondante S7-1500HF, durante il caricamento dei dati di progetto rilevanti
per la sicurezza nelle HF-CPU con un PG/PC ci si deve attenere alla procedura seguente
per garantire che le HF-CPU non contengano dati di progetto rilevanti per la sicurezza
"obsoleti":
1. Commutare una delle due HF-CPU nello stato di funzionamento STOP.
2. Se nel programma di sicurezza precedente non è stata programmata alcuna protezione
contro il (ri)avviamento, (Programmazione protezione avviamento (Pagina 151)),
formattare la SIMATIC Memory Card o eliminare il programma, ad es. tramite il display,
della HF-CPU appena commutata nello stato di funzionamento STOP.
3. Caricare i dati di progetto rilevanti per la sicurezza nella HF-CPU che si trova nello stato
di funzionamento STOP (nella CPU di backup con il comando del menu di scelta rapida
"Download to backup CPU").
4. Commutare la HF-CPU che si trova ancora nello stato di funzionamento RUN nello stato
di funzionamento STOP.
5. Se nel programma di sicurezza precedente non è stata programmata la protezione dal
(ri)avviamento, è necessario formattare la SIMATIC Memory Card o eliminare il
programma, ad es. dal display, nella HF-CPU appena commutata in STOP.
6. Commutare in RUN la HF-CPU con i dati di progetto rilevanti per la sicurezza che sono
stati caricati.
7. Commutare la seconda HF-CPU nello stato di funzionamento RUN.
8. Non appena viene raggiunto lo stato di funzionamento RUN ridondante, eseguire una
identificazione del programma in una delle due HF-CPU (verificando che le firme
collettive F online e offline coincidono).
Se nel nuovo programma di sicurezza è stata programmata una protezione contro il
(ri)avviamento, questa può essere confermata solo al termine della corretta
identificazione del programma. (S091)
AVVERTENZA
Se il test di funzionamento del programma di sicurezza non viene eseguito nella F-CPU di
destinazione, durante il caricamento dei dati di progetto rilevanti per la sicurezza nella
F-CPU con un PG/PC ci si deve attenere alla procedura seguente per garantire che la F-CPU
non contenga dati di progetto rilevanti per la sicurezza "obsoleti":
• Caricare nella F-CPU i dati di progetto rilevanti per la sicurezza.
• Eseguire una identificazione del programma (ossia controllare se le firme collettive F
online e offline coincidono). (S042)
Il seguente avviso è valido per un Software Controller F S7-1500 con firmware ≤ V21.9.x su
IPC 627E, IPC 647E, IPC 677E o IPC 847E:
AVVERTENZA
Dopo il download del programma di sicurezza è necessario eseguire un RETE OFF/ON prima
di procedere all'identificazione del programma per il collaudo. (S097)
AVVERTENZA
Per motivi di sicurezza, la password dei Software Controller S7-1500 F viene salvata, oltre
che nella memoria di caricamento, anche in una memoria separata.
Diversamente dalla memoria di caricamento, questa memoria separata non viene mai
cancellata. Dopo l'eliminazione dei dati di progetto dal Software Controller S7-1500 F e un
avviamento, le password precedenti sono quindi nuovamente attive.
Osservare quanto segue:
• Nei seguenti scenari di caricamento della stazione PC, i dati di progetto del Software
Controller S7-1500 F vengono eliminati:
– Caricamento di una stazione PC con assegnazione delle interfacce modificata.
– Caricamento di una stazione PC con percorso di salvataggio modificato dei dati
ritentivi.
• Si consiglia di configurare la protezione di accesso F solo dopo la messa in servizio. In
caso di modifica dell'assegnazione delle interfacce della stazione PC o del percorso di
salvataggio dei dati ritentivi, durante il successivo caricamento del Software Controller
S7-1500 F non sarà necessario inserire la password F.
• Si consiglia di rimuovere la protezione di accesso F per i Software Controller S7-1500 F
non più utilizzati. Nel caso in cui questi Software Controller S7-1500 F vengano
riutilizzati successivamente e non si ricordi la password F, sarà necessario procedere alla
disinstallazione/installazione/riparazione o all'importazione di una immagine per
rimuovere la password. (S076)
Vedere anche
Caricamento dei dati di progetto (Pagina 295)
Software Controller (http://support.automation.siemens.com/WW/view/it/109249299)
10.3.3.4 Caricamento dei dati di progetto su una SIMATIC Memory Card e inserimento della
SIMATIC Memory Card o del supporto dati
Durante il caricamento dei dati di progetto di una (H)F-CPU su una SIMATIC Memory Card,
procedere come nel programma standard. Osservare inoltre la seguente avvertenza:
AVVERTENZA
Se il test di funzionamento del programma di sicurezza non viene eseguito nella CPU di
destinazione, ci si deve accertare che dopo il caricamento dei dati di progetto rilevanti per la
sicurezza sulla Memory Card siano presenti sulla Memory Card i dati di progetto rilevanti per
la sicurezza corretti.
Osservare il seguente procedimento:
1. Caricare i dati di progetto sulla Memory Card.
2. Eseguire una identificazione del programma (Pagina 325).
3. Contrassegnare la Memory Card in modo univoco (ad es. con la firma collettiva F). (S043)
Quando si inserisce una SIMATIC Memory Card o un supporto dati Software Controller
S7-1500 F con i dati di progetto di una (H)F-CPU, osservare la seguente avvertenza:
AVVERTENZA
Se il test di funzionamento del programma di sicurezza non viene eseguito nella F-CPU di
destinazione, ci si deve accertare, mediante l'identificazione del programma online o altre
misure idonee (ad es. verificando l'identificativo della Memory Card o del supporto dati
rimovibile), che sulla Memory Card inserita o sul supporto dati rimovibile siano presenti i
dati di progetto rilevanti per la sicurezza corretti. (S025)
AVVERTENZA
Durante l'inserimento di due nuove SIMATIC Memory Card con nuovi dati di progetto
rilevanti per la sicurezza per un sistema ridondante S7-1500HF procedere nel modo
seguente:
1. Commutare entrambe le HF-CPU nello stato di funzionamento STOP.
2. Sostituire le SIMATIC Memory Card di entrambe le HF-CPU con
– due SIMATIC Memory Card, ciascuna con nuovi dati di progetto rilevanti per la
sicurezza oppure
– una SIMATIC Memory Card contenente i nuovi dati di progetto rilevanti per la
sicurezza e una SIMATIC Memory Card vuota
Procedura per garantire che i dati di progetto rilevanti per la sicurezza siano corretti basata
sull'identificazione del programma online:
1. Verificare su entrambe le HF-CPU in stato di funzionamento STOP, ad es. tramite il display,
se la SIMATIC Memory Card contiene i dati di progetto rilevanti per la sicurezza corretti e se
la seconda SIMATIC Memory Card è vuota.
2. Se la verifica ha un esito positivo, commutare le HF-CPU nello stato di funzionamento RUN.
Se i nuovi dati di progetto rilevanti per la sicurezza sono presenti solo in una SIMATIC
Memory Card, commutare nello stato di funzionamento RUN prima la HF-CPU con i nuovi
dati di progetto rilevanti per la sicurezza e poi la HF-CPU con la SIMATIC Memory Card
vuota.
Procedura per garantire che i dati di progetto rilevanti per la sicurezza siano corretti basata
sull'identificazione univoca delle SIMATIC Memory Card:
1. Portare le F-CPU in RUN. Se i nuovi dati di progetto rilevanti per la sicurezza sono presenti
solo in una SIMATIC Memory Card, commutare nello stato di funzionamento RUN prima la
HF-CPU con i nuovi dati di progetto rilevanti per la sicurezza e poi la HF-CPU con la SIMATIC
Memory Card vuota. (S092)
AVVERTENZA
Durante l'inserimento di una nuova SIMATIC Memory Card con nuovi dati di progetto
rilevanti per la sicurezza per un sistema ridondante S7-1500HF procedere nel modo
seguente:
1. Commutare entrambe le HF-CPU nello stato di funzionamento STOP.
2. Estrarre la SIMATIC Memory Card da una delle due HF-CPU.
3. Formattare la SIMATIC Memory Card o eliminare il programma, ad es. tramite display, sulla
HF-CPU nella quale l'estrazione della scheda non è ancora avvenuta.
4. Inserire nella HF-CPU senza SIMATIC Memory Card la SIMATIC Memory Card con i nuovi dati
di progetto rilevanti per la sicurezza.
5. Se non è possibile garantire con altre misure idonee (ad es. mediante l’identificazione
univoca della SIMATIC Memory Card) che la SIMATIC Memory Card contenga i dati di
progetto rilevanti per la sicurezza corretti, è necessario eseguire una identificazione del
programma sulla HF-CPU con i nuovi dati di progetto rilevanti per la sicurezza.
6. Commutare in RUN la HF-CPU nella quale sono stati caricati i nuovi dati di progetto rilevanti
per la sicurezza.
7. Commutare la seconda HF-CPU nello stato di funzionamento RUN. (S093)
AVVERTENZA
Dopo il ripristino di una copia di backup di una F-CPU deve essere eseguita l'identificazione
del programma.
In un sistema S7-1500HF ridondante l'identificazione del programma deve essere eseguita
nello stato di funzionamento RUN ridondante. (S055)
Nota
Si raccomanda di utilizzare la firma collettiva F contenuta nel nome del file di backup per
l'identificazione del programma. In questo caso non è possibile modificare il nome della firma
collettiva F.
AVVERTENZA
(S7-1200/1500) Se più F-CPU con server Web attivato sono raggiungibili dallo stesso PG/PC,
occorre adottare allora delle misure aggiuntive per assicurare che il programma di sicurezza
venga ripristinato nella F-CPU corretta.
Utilizzare la password specifica della CPU per l'autorizzazione "F-Admin" nel server Web.
Scegliere ad es. per ciascuna F-CPU una password univoca contenente l'indirizzo IP (ad es.
password_192.168.0.8). (S065)
Nota
Durante il ripristino è eventualmente necessario inserire la password precedente per la F-CPU.
AVVERTENZA
Durante la creazione di una immagine con dati di progetto rilevanti per la sicurezza
osservare i seguenti punti:
• L'accesso al Software Controller S7-1500 F deve essere riservato, tramite misure
organizzative (Pagina 611), solo a persone autorizzate a creare le immagini.
• Prima di creare l'immagine, si deve verificare tramite l'identificazione del programma se i
dati di progetto rilevanti per la sicurezza presenti nel Software Controller S7-1500 F sono
corretti.
• Immagini con i dati di progetto rilevanti per la sicurezza devono essere create su un
supporto dati vuoto (cancellato o formattato) oppure una immagine eventualmente
presente deve essere eliminata in modo esplicito.
• Dopo la creazione dell'immagine rimuovere il supporto dati che la contiene.
• Contrassegnare il supporto dati in modo univoco (ad es. con la firma collettiva F). (S073)
ATTENZIONE
Se i dati di progetto rilevanti per la sicurezza contenuti nell'immagine sono diversi dai dati di
progetto rilevanti per la sicurezza contenuti nel S7-1500 Software Controller F, il
programma di sicurezza importato non si avvia. In questo caso si devono ricaricare i dati di
progetto nella F-CPU. Ad es. con TIA Portal. Pertanto, è necessario mantenere sempre
aggiornati i backup delle immagini.
Così come è possibile eseguire un programma di sicurezza da un'altra scheda CFast, è anche
possibile eseguire l'immagine creata da un altro dispositivo o da un altro supporto dati.
AVVERTENZA
Durante l'importazione di una immagine con dati di progetto rilevanti per la sicurezza
osservare i seguenti punti:
• L'accesso al Software Controller S7-1500 F deve essere riservato, tramite misure
organizzative (Pagina 611), solo a persone autorizzate a importare le immagini.
• Occorre prevedere una protezione di accesso (ad es. tramite i diritti di amministratore di
Windows (ADMIN)) per l'importazione di una immagine via LAN, mediante accesso
remoto o altri tipi di accesso equivalenti. Assicurarsi però che solo persone autorizzate
vengano configurate come utenti.
• Per garantire che l'immagine venga scritta nel Software Controller S7-1500 F corretto,
accertarsi che durante l'importazione dell'immagine via LAN sia raggiungibile solo un
Software Controller S7-1500 F. Ad es. rimuovendo i collegamenti fisici e le possibilità di
routing con altri Software Controller S7-1500 F.
• Assicurarsi che l'immagine contenga i dati di progetto rilevanti per la sicurezza corretti,
ad es. identificando in modo univoco il supporto dati.
• Dopo l'importazione nel Software Controller S7-1500 F eliminare l'immagine e le
eventuali copie.
• Dopo l'importazione dell'immagine verificare tramite l'identificazione del programma, ad
es. tramite il display, se il Software Controller S7-1500 F contiene i dati di progetto
rilevanti per la sicurezza corretti. (S074)
10.3.6 Caricamento dei dati di progetto (compresi quelli rilevanti per la sicurezza)
da una F-CPU in un PG/PC (S7-1500)
La funzione "Upload from device (software)" o "Upload device as new station (hardware and
software)" è possibile per le F-CPU S7-1500 solo se nel Safety Administration Editor è attivata
l'opzione "Enable consistent upload from the F-CPU" per la F-CPU e successivamente i dati di
progetto sono stati caricato sulla F-CPU.
Per caricare i dati di progetto (compresi quelli rilevanti per la sicurezza) in un PG/PC procedere
come nel programma standard.
Se più F-CPU sono raggiungibili dallo stesso PG/PC tramite un rete (ad es. Industrial Ethernet),
occorre assicurarsi che i dati di progetto vengano caricati nella F-CPU corretta. Ad es. con
"Online & diagnostics" > "Online accesses " > "Flash LED".
Dopo il caricamento dal dispositivo, è possibile procedere come con un progetto creato
offline.
AVVERTENZA
Se si esegue un collaudo con i dati di progetto caricati nel PG/PC o si vogliono modificare i
dati di progetto rilevanti per la sicurezza, prima del caricamento occorre assicurarsi che il
programma di sicurezza sia eseguibile.
Questa condizione è soddisfatta se, prima del caricamento, la F-CPU si trova nello stato di
funzionamento RUN e il funzionamento di sicurezza è attivo, oppure è possibile commutare
la F-CPU in RUN. Se la F-CPU rimane in STOP non si deve eseguire il collaudo o apportare
modifiche con i dati di progetto rilevanti per la sicurezza caricati.
Se si effettua il caricamento di una scheda di memoria, questa deve essere stata
precedentemente inserita in una CPU S7-1500 adatta. In questo caso si applicano le stesse
condizioni previste per il caricamento da una F-CPU. (S080)
Vedere anche
Area "Settings" (Pagina 87)
Caricamento dei dati di progetto (compresi quelli rilevanti per la sicurezza) da una scheda di
memoria in un PG/PC (S7-1500) (Pagina 318)
10.3.7 Caricamento dei dati di progetto (compresi quelli rilevanti per la sicurezza)
da una scheda di memoria in un PG/PC (S7-1500)
La funzione "Upload from device (software)" o "Upload device as new station (hardware and
software)" è utilizzabile per le F-CPU S7-1500 solo se è stata attivata nel Safety
Administration Editor l'opzione "Enable consistent upload from the F-CPU" per la F-CPU e se i
dati di progetto sono stati in seguito caricati nella F-CPU.
Per caricare i dati di progetto (compresi quelli rilevanti per la sicurezza) in un PG/PC procedere
come nel programma standard.
Dopo il caricamento dalla scheda di memoria si può procedere come per i progetti creati
offline.
AVVERTENZA
Se si esegue un collaudo con i dati di progetto caricati nel PG/PC o si vogliono modificare i
dati di progetto rilevanti per la sicurezza, prima del caricamento occorre assicurarsi che il
programma di sicurezza sia eseguibile.
Questa condizione è soddisfatta se, prima del caricamento, la F-CPU si trova nello stato di
funzionamento RUN e il funzionamento di sicurezza è attivo, oppure è possibile commutare
la F-CPU in RUN. Se la F-CPU rimane in STOP non si deve eseguire il collaudo o apportare
modifiche con i dati di progetto rilevanti per la sicurezza caricati.
Se si effettua il caricamento di una scheda di memoria, questa deve essere stata
precedentemente inserita in una CPU S7-1500 adatta. In questo caso si applicano le stesse
condizioni previste per il caricamento da una F-CPU. (S080)
Vedere anche
Area "Settings" (Pagina 87)
Esempio
Un esempio dettagliato è disponibile in Internet
(https://support.industry.siemens.com/cs/ww/it/view/109759142).
Parametri di identificazione
I parametri di identificazione comprendono:
• Nome file
• Informazioni nel progetto e nella stazione che vengono memorizzate dal TIA Portal nel file
psc nelle metainformazioni.
Ad es.:
– Versione del progetto
– Sigla impianto
– Commento della stazione
Salvare i parametri di identificazione eventualmente in un file che si memorizza nel sistema di
destinazione.
Per valutare e controllare questi parametri di identificazione tramite script, è necessario
memorizzare queste informazioni direttamente nello script o, se necessario, salvare i
parametri di identificazione in un file separato memorizzato sul sistema di destinazione,
AVVERTENZA
Requisiti
Se si desidera avviare l'importazione del file di configurazione tramite il menu del PC Station
Panel di un S7-150xS(P) F, l'utente esecutore deve appartenere al gruppo di utenti Windows
"Failsafe Operators".
Procedura
AVVERTENZA
AVVERTENZA
Lo script controlla:
• Uguaglianza dell'identificativo macchina
• Identificazione versione più grande di quella attuale. In questo caso, la nuova versione
viene scritta nel file txt.
• Numero di istanza
Nell'immagine seguente è riportata una rappresentazione sistematica del controllo del file di
configurazione nello script utilizzando i parametri di identificazione memorizzati in un file
separato (in viola nell'immagine seguente):
AVVERTENZA
Per stabilire se i dati di progetto rilevanti per la sicurezza sono stati importati correttamente
tramite lo script è necessario analizzare il rispettivo valore di ritorno (0x51A3). Se il valore di
ritorno corrispondente non viene restituito dal comando di script PCSystem_Control,
l'importazione non è riuscita e i dati di progetto rilevanti per la sicurezza obsoleti potrebbero
essere ancora presenti.
Per accertarsi che il valore di ritorno non provenga dall'ultima importazione, prima di
procedere con l'importazione del valore di ritorno è necessario resettarlo a 0x3FF
(immettere "PCSystem_Control /ImportConfig" senza un nome di file), quindi verificare se il
valore di ritorno è stato resettato a 0x3FF (inserire "PCSystem_Control /GetStatus
/ImportConfig" e in seguito "echo %errorlevel%". Questa istruzione deve restituire il valore di
ritorno 0x3FF).
Se l'importazione viene avviata da un server, deve avvenire anche una risposta indicante il
valore di ritorno positivo.
Al fine di garantirne la tracciabilità si consiglia di salvare l'importazione in un file di
protocollo.
In caso di importazione manuale del file di configurazione tramite la riga di comando di
Windows (mediante il comando di script) è necessario:
• Resettare e verificare il valore di ritorno a 0x3FF prima dell'importazione (vedere la
spiegazione precedente).
– Eseguire l'importazione.
– Analizzare il valore di ritorno (immettere "PCSystem_Control /GetStatus
/ImportConfig" e in seguito "echo %errorlevel%". Questa istruzione deve restituire il
valore di ritorno 0x51A3).
• Eseguire l'importazione.
– Eseguire una identificazione manuale del programma ad es. dal display della F-CPU.
(S083)
Nota
Il valore di ritorno positivo quando si importa un file di configurazione tramite script è
"0x51A3" per un Software Controller S7-1500 F, a differenza del S7-1500 Software Controller
in cui è "0x0000".
Quando si importa il file tramite script, l'autorizzazione deve essere trasferita allo script. Ciò
significa che l'utente esecutore non ha bisogno di un'autorizzazione superiore, poiché lo
script che gli è stato fornito dal costruttore della macchina contiene le autorizzazioni
necessarie (gruppo di utenti "Failsafe Operators").
L'assegnazione dei diritti tramite script avviene assegnando il servizio Windows al gruppo di
utenti corrispondente. Questa installazione iniziale deve essere eseguita preventivamente
dall'amministratore di Windows su ciascun computer con S7-150xS(P) F. Il servizio Windows
può essere chiamato dall'utente che lo esegue e il servizio Windows esegue lo script.
6. Controllare nell'area "Web server F-admins" se gli utenti autorizzati offline e online hanno il
diritto di "F-Admin".
Con HMI
Per una identificazione del programma con HMI, procedere nel modo seguente:
1. Leggere la firma collettiva F del programma di sicurezza dalla variabile F_PROG_SIG del
F-global DB (Pagina 149) (S7-300, S7-400) o dalla variabile F_SYSINFO.F_PROG_SIG del
F-runtime group information DB (Pagina 149) (S7-1200, S7-1500).
2. Confrontare il valore della variabile F_PROG_SIG con il valore atteso.
Vedere anche
Safety Administration Editor (Pagina 77)
Nota
L'editor di confronto non può essere utilizzato per il riconoscimento delle modifiche offline-
online nel programma di sicurezza/nella progettazione della periferia F durante il collaudo
delle modifiche. Per questa operazione è adatto solo il confronto offline-offline. Per il
collaudo delle modifiche procedere come descritto in Collaudo delle modifiche (Pagina 372).
Nota
Se durante il confronto offline-online il collegamento con la F-CPU viene interrotto, il risultato
del confronto non è corretto.
Criteri di confronto
Accertarsi che in sia attivato solo il criterio di confronto "Safety".
Stampa di sicurezza
La stampa di sicurezza è la documentazione dei dati di progetto rilevanti per la sicurezza, che
forniscono un supporto durante il collaudo dell'impianto. La "stampa di sicurezza" può essere
utilizzata anche in formato digitale, ad es. come file PDF.
Supervisione
Le funzioni di test in lettura (ad es. controllo delle variabili del programma di sicurezza) sono
disponibili per i programmi di sicurezza come nel programma standard.
Comando
Le funzioni di test in scrittura (ad es. comando delle variabili del programma di sicurezza)
sono disponibili solo in modo limitato per i programmi di sicurezza e solo quando il
funzionamento di sicurezza è disattivato.
Vedere anche
disattivazione del funzionamento di sicurezza (Pagina 333)
Introduzione
La durata del limite temporale è configurabile.
Requisiti
• Nel Safety Administration Editor è attivata l'opzione "Safety mode can be disabled"
• Per il sistema Safety è impostata la versione V2.4 o superiore.
Nota
Il valore del tempo configurato non viene considerato nella firma collettiva F.
Requisiti
• Nel Safety Administration Editor è attivata l'opzione "Safety mode can be disabled"
• Il progetto è stato caricato nella F-CPU.
• La F-CPU è in RUN.
• Il programma di sicurezza si trova nel funzionamento di sicurezza.
AVVERTENZA
Reset del tempo di esecuzione residuo fino al passaggio in STOP della F-CPU
Per prevenire lo scadere del tempo di esecuzione residuo e il conseguente passaggio in STOP
della F-CPU, è possibile resettare il tempo di esecuzione residuo nel Safety Administration
Editor. In questo modo il tempo di esecuzione residuo viene resettato al valore configurato e
viene riavviato subito dopo.
Procedere nel modo seguente:
1. Aprire il Safety Administration Editor della F-CPU interessata.
2. Aprire l'area "General (Pagina 80)" nella navigazione dell'area.
3. Fare clic sul pulsante "Reset remaining time".
4. Se è configurata la protezione di accesso per la F-CPU, inserire la password della F-CPU.
5. Controllare nella finestra di dialogo successiva i dati relativi alla firma collettiva F.
6. Confermare il reset del tempo di esecuzione residuo.
Nota
Il tempo di esecuzione residuo viene visualizzato anche nel DB del gruppo di esecuzione F
(Pagina 149) del rispettivo gruppo di esecuzione F nella variabile MODE_REMAINING_TIME.
In presenza di due gruppi di esecuzione F, in caso di ora di aggiornamento diversa si possono
visualizzare valori differenti.
Allo scadere del tempo di esecuzione residuo non viene visualizzato il valore "0" ma il tempo
di esecuzione residuo dell'ultimo ciclo.
Nota
Per attivare il funzionamento di sicurezza è necessario eseguire una commutazione STOP/RUN
della F-CPU.
In un sistema S7-1500HF ridondante occorre portare in STOP entrambe le HF-CPU o il sistema
S7-1500HF ridondante prima di riavviare le HF-CPU.
Una commutazione STOP/RUN della F-CPU attiva sempre il funzionamento di sicurezza, anche
se il programma di sicurezza è stato modificato o non è coerente.
Se il programma di sicurezza è stato modificato ma non ancora compilato e caricato, la F-CPU
può passare nuovamente in STOP.
AVVERTENZA
Vedere anche
Configurazione del limite temporale per il funzionamento di sicurezza disattivato (S7-1200,
S7-1500) (Pagina 332)
Introduzione
Il controllo delle variabili del programma di sicurezza è sempre possibile.
Il comando delle variabili del programma di sicurezza è possibile solo con il funzionamento di
sicurezza disattivato, poiché è necessario disattivare alcune misure di controllo degli errori del
programma di sicurezza.
È possibile comandare le seguenti variabili del programma di sicurezza:
• Ingressi e uscite della periferia F (valori dei canali e stato del valore (S7-1200, S7-1500))
• Variabili nei DB globali F (tranne i DB per la comunicazione del gruppi di esecuzione F)
• Variabili nei DB di istanza degli F-FB
• Variabili nei DB della periferia F (per le variabili ammesse vedere DB della periferia F
(Pagina 159))
Per il comando delle variabili della periferia F, procedere nel modo seguente:
1. Creare una riga separata per ogni valore del canale e stato del valore (S7-1200, S7-1500) da
comandare. Il valore di comando deve corrispondere al valore del canale o allo stato del
valore.
2. Come punto di trigger impostare "Start of scan cycle" oppure "End of scan cycle" e
"permanent" o "once".
Indipendentemente dal punto di trigger impostato, gli ordini di comando sugli ingressi
(IPI) della periferia F vengono attivati sempre prima dell'elaborazione del blocco Main
Safety e gli ordini di comando sulle uscite (IPU) della periferia F sempre dopo
l'elaborazione del blocco Main Safety.
3. (S7-300, S7-400) Se è necessario comandare più di 5 ingressi/uscite, creare una nuova
tabella di controllo.
Nota
Il comando della periferia F è possibile solo nello stato RUN della F-CPU.
La periferia F progettata di cui non è stato utilizzato né un valore del canale o uno stato del
valore (S7-1200, S7-1500) né una variabile del DB di periferia F corrispondente nel
programma di sicurezza non può essere comandata. Di conseguenza, utilizzare sempre
almeno una variabile del rispettivo DB di periferia F oppure almeno un valore del canale o
stato del valore (S7-1200, S7-1500) della periferia F da comandare nel programma di
sicurezza.
Negli ingressi (IPI) gli ordini di comando hanno la priorità rispetto alla generazione del valore
sostitutivo, nelle uscite (IPU) la generazione del valore sostitutivo ha la priorità rispetto agli
ordini di comando. Nelle uscite (canali) non attivate nelle proprietà della periferia F gli ordini
di comando hanno effetto solo sull'IPU ma non sulla periferia F.
Nota
Per le F-CPU S7-1200/1500 vale:
Per evitare combinazioni non valide di valore del canale e stato del valore:
• durante il comando di un valore del canale su un valore <> valore sostitutivo 0, il sistema F
imposta automaticamente lo stato del valore su 1
• durante il comando uno stato del valore su 0, per il valore del canale corrispondente viene
automaticamente generato il valore sostitutivo 0
AVVERTENZA
Vedere anche
Modica del programma di sicurezza in RUN (S7-300, S7-400) (Pagina 344)
Caricamento dei dati di progetto (Pagina 295)
Ora di aggiornamento
Tenere presente che lo stato degli ingressi (valori dei canali o stato del valore
(S7-1200/1500)) rilevato nella tabella SIM in S7-PLCSIM corrisponde allo stato elaborato nel
programma di sicurezza solo se non è in corso una passivazione della periferia F interessata.
Durante la passivazione della periferia F il programma di sicurezza utilizza i valori sostitutivi
(valore del canale e stato del valore (S7-1200/1500) =0).
Tabella 10- 1 Struttura dell'area di trasferimento rilevante per gli ingressi e della parola di comando della simulazione
(istruzione RCVDP)
Tabella 10- 2 Struttura dell'area di trasferimento rilevante per gli ingressi e della parola di comando della simulazione
(istruzione SENDDP)
AVVERTENZA
Se durante la comunicazione tra CPU e CPU orientata alla sicurezza vengono inviati dei dati
con una F-CPU simulata con S7-PLCSIM, non è possibile assumere che questi dati siano stati
generati in modo sicuro. In questo caso è necessario anche garantire la sicurezza delle parti
dell'impianto influenzate dai dati inviati adottando misure organizzative (Pagina 611)
oppure facendo in modo che la F-CPU che riceve i dati emetta dei valori sostitutivi sicuri al
posto dei dati ricevuti tramite l'analisi di SENDMODE*.
*SENDMODE è disponibile come variabile nel DB di comunicazione F.
(S086)
Introduzione
Le modifiche dei blocchi F vengono eseguite nell'editor dei programmi come nel sistema
standard. Il caricamento dei blocchi F modificati in RUN sulla F-CPU va effettuato con il
funzionamento di sicurezza disattivato (Pagina 333).
Nota
Se non si vogliono eseguire modifiche del programma di sicurezza durante l'esercizio, vedere
Creazione di blocchi F in FUP/KOP (Pagina 145).
Nota
Durante il caricamento con il funzionamento di sicurezza disattivato, è possibile caricare
solo blocchi fail-safe creati dall'utente (blocchi Main Safety, F-FB, F-FC, F-DB) o blocchi
standard e i relativi DB di istanza. Se vengono caricati blocchi F generati automaticamente
(F-SB o blocchi F generati automaticamente e i relativi DB di istanza, DB globali F), la
F-CPU può andare in STOP o attivare il funzionamento di sicurezza.
Pertanto, selezionare sempre solo singoli blocchi F durante il caricamento con il
funzionamento di sicurezza disattivato.
AVVERTENZA
(S7-300, S7-400) Nel funzionamento produttivo, in caso di modifiche del programma utente
standard non deve essere attiva l'autorizzazione di accesso tramite la password della CPU,
perché in questo caso è possibile modificare anche il programma di sicurezza. Per escludere
questa possibilità è necessario progettare il livello di protezione "Write protection for fail-
safe blocks" e una password per la F-CPU. Se solo una persona è autorizzata a modificare il
programma utente standard e il programma di sicurezza, deve essere progettato il livello di
protezione "Write protection" o "Read/write protection" in modo da consentire solo un
accesso limitato o negare l'accesso all'intero programma utente (programma standard e
programma di sicurezza) alle altre persone. (S001)
Introduzione
Le modifiche dei blocchi F vengono eseguite nell'editor dei programmi come nel sistema
standard. Il caricamento nella F-CPU dei blocchi F modificati in RUN va effettuato nella
modalità Fast Commissioning con il funzionamento di sicurezza disattivato (Pagina 333).
La modalità Fast Commissioning distingue tra "Fast Compile" (impostazione predefinita) e
"Consistent Compile".
La modalità Fast Commissioning con "Fast Compile" può essere utilizzata per piccole
modifiche software al programma di sicurezza, ad es. a scopo di test e messa in servizio. Esso
assicura una compilazione rapida, poiché vengono compilati esclusivamente i blocchi F creati
dall'utente.
La modalità Fast Commissioning con "Consistent Compile" può essere invece utilizzata, ad es.,
al termine della messa in servizio, per compilare il programma di sicurezza e in seguito
caricarlo nella F-CPU mantenendone la coerenza. In questo modo si rinuncia al vantaggio
della compilazione rapida, ma dopo il caricamento nella F-CPU si ha la possibilità di riattivare
immediatamente il funzionamento di sicurezza con una breve commutazione STOP-RUN della
F-CPU.
Nota
Quando è attiva la modalità Fast Commissioning non commutare la F-CPU in STOP con "Fast
Compile". Altrimenti la F-CPU non si riavvia perché contiene un programma di sicurezza
incoerente.
Rimedio:
• Caricare un programma di sicurezza coerente nella F-CPU e successivamente eseguire una
commutazione STOP-RUN. Il funzionamento di sicurezza disattivato viene terminato.
• Se la F-CPU supporta "Consistent Compile" selezionare il pulsante "Consistent Compile" e
caricare il programma di sicurezza nella F-CPU in modo coerente. Dopodiché è possibile
eseguire una commutazione STOP-RUN.
Nota
La modalità Fast Commissioning con "Fast Compile" in S7-PLCSIM si comporta in modo
diverso che in una F-CPU reale.
Una S7-PLCSIM si riavvia dopo uno STOP.
Requisiti
Per potere attivare e utilizzare la modalità Fast Commissioning devono essere soddisfatti i
seguenti requisiti:
• La modalità Fast Commissioning con "Fast Compile" può essere utilizzata a partire dalla
versione V2.4 del sistema Safety. È disponibile per le F-CPU S7-1200 a partire dal firmware
V4.5 e per le F-CPU S7-1500 a partire dal firmware V2.0.
• La modalità Fast Commissioning con "Consistent Compile" può essere utilizzata a partire
dalla versione V2.5 del sistema Safety. È disponibile solo per le F-CPU S7-1500 a partire dal
firmware V3.0. Per i Software Controller S7-1500 F è disponibile dalla versione V2.5 del
sistema Safety solo per gli IPC rilasciati a partire dal firmware V30.0.
Nota
Software Controller S7-1500 F
Gli IPC rilasciati sono elencati nella tabella delle Informazioni sul prodotto delle F-CPU
(https://support.industry.siemens.com/cs/ww/it/view/109478599).
Se si utilizzano IPC non rilasciati, si verifica un errore oppure l'F Software Controller si
riavvia. Il download deve essere quindi ripetuto in STOP.
• L'opzione "Safety mode can be disabled" nell'area "Settings" del Safety Administration
Editor deve essere attiva.
• Il programma di sicurezza offline deve essere coerente e identico al programma di
sicurezza online.
• La F-CPU è in RUN.
Nota
Dopo l'attivazione della modalità Fast Commissioning, nel Safety Amministrazione Editor tutti
i campi ad eccezione del campo "General" sono disabilitati. Gli accessi in scrittura nel Safety
Amministrazione Editor non sono consentiti, nemmeno mediante Openess. Un accesso in
lettura è sempre possibile.
Quando è attiva la modalità Fast Commissioning con "Fast Compile", nel Safety
Administration Editor viene visualizzata come stato del programma di sicurezza
l'informazione "Fast Commissioning Mode is enabled".
Nella modalità Fast Commissioning con "Fast Compile" non viene calcolata alcuna firma. In
questa modalità non è quindi possibile fare alcuna dichiarazione sullo stato del programma di
sicurezza e dei blocchi F riguardo al confronto offline-online. In questo caso lo stato dei
confronti tra le firme viene rappresentato con l'icona.
Nota
In caso di interruzione del collegamento tra il PG/PC e la F-CPU durante il caricamento in RUN,
il caricamento nella F-CPU non può essere portato a termine correttamente. Anche le
informazioni relative al programma di sicurezza visualizzate sul display e nel server web della
F-CPU non sono più aggiornate.
In questo caso non è più possibile eseguire un caricamento in RUN anche se i requisiti per la
modalità Fast Commissioning sono soddisfatti.
Rimedio: Commutare la F-CPU in STOP e caricare un programma di sicurezza coerente nella
F-CPU.
Nota
Se l'utilizzo della memoria di lavoro della F-CPU è > 80 %, è probabile che si verifichi un
arresto durante il caricamento in RUN con "Consistent Compile" e che il caricamento nella
F-CPU non venga eseguito correttamente. In tal caso anche le informazioni relative al
programma di sicurezza visualizzate sul display e nel server web della F-CPU non sono più
aggiornate.
Non è quindi più possibile eseguire un caricamento in RUN nonostante i requisiti per la
modalità Fast Commissioning siano soddisfatti.
Rimedio: Commutare la F-CPU in STOP e caricare un programma di sicurezza coerente nella
F-CPU.
Modifiche non supportate nella modalità Fast Commissioning con "Fast Compile"
Quando è attiva la modalità Fast Commissioning con "Fast Compile", la modifica del
programma di sicurezza è soggetta a limitazioni. Di seguito è riportata una panoramica delle
modifiche non supportate.
Nota
Se sono presenti modifiche contrassegnate con "Compiling errors" la compilazione del
programma di sicurezza nella modalità Fast Commissioning viene interrotta. Nella finestra di
ispezione sotto "Info > Compile" viene visualizzata un'avvertenza aggiuntiva nella quale è
indicato il blocco F in cui si trova la modifica non supportata.
Nota
Compare la tabella "Unsupported changes in Fast Commissioning mode with Fast Compile"
che funge da guida. La regola generale è la seguente: se durante la compilazione si verificano
degli errori che si riferiscono a blocchi non programmati dall'utente, si tratta di una modifica
non supportata. In questo caso, annullare le modifiche apportate in precedenza o uscire dalla
modalità Fast Commissioning e compilare l'intero programma di sicurezza.
Nota
Quando è attiva la modalità Fast Commissioning con "Fast Compile", il protocollo della
cronologia delle modifiche F è incompleto e non comprende le voci seguenti:
• Firma collettiva F
• Data e ora della compilazione
• Blocchi F compilati con firma e data e ora
Modifiche non supportate nella modalità Fast Commissioning con "Consistent Compile"
La modifica del programma di sicurezza è soggetta a limitazioni anche quando è attiva la
modalità Fast Commissioning con "Consistent Compile". Si possono comunque apportare
molte più modifiche al programma di sicurezza che con il "Fast Compile". Di seguito è
riportata una panoramica delle modifiche non supportate.
Nota
Osservare che le modifiche qui indicate non devono essere già presenti quando viene attivata
la modalità Fast Commissioning con "Consistent Compile". A riguardo assicurarsi che il
programma di sicurezza offline sia coerente e identico al programma di sicurezza online. Se
non lo è, la F-CPU potrebbe entrare in STOP.
ATTENZIONE
Nota
La cronologia delle modifiche F non può essere utilizzata per il riconoscimento delle
modifiche nel programma di sicurezza/nella progettazione della periferia F durante il collaudo
delle modifiche.
Per il collaudo delle modifiche procedere come descritto in Collaudo delle modifiche
(Pagina 372).
Nota
Si consiglia di attivare la cronologia delle modifiche F prima del passaggio al funzionamento
produttivo.
Introduzione
Durante il collaudo dell'impianto devono essere rispettate tutte le norme e le direttive
pertinenti (ad es. PROFINET Installation Guidelines). Questo vale anche per gli impianti "senza
obbligo di collaudo". Durante il collaudo vanno osservati i requisiti riportati nel report di
certificazione (http://support.automation.siemens.com/WW/view/it/49368678/134200).
Il collaudo di un sistema F viene solitamente eseguito da un esperto indipendente.
L'indipendenza dell'esperto deve essere attestata nel Safety Plan e dipende dal PL/SIL
richiesto.
Attenersi alle avvertenze contenute in questo manuale.
AVVERTENZA
Documentazione della corretta implementazione dei dati di progetto rilevanti per la sicurezza
Per potere eseguire il collaudo di un impianto, occorre verificare e documentare la correttezza
dei singoli componenti. Per documentare le caratteristiche dei componenti deve essere creata
una stampa di sicurezza.
Devono essere documentate le seguenti caratteristiche:
• Correttezza del programma di sicurezza, compresa la configurazione hardware (testo
incluso) (Pagina 356)
• Completezza della stampa di sicurezza (Pagina 357)
• Corrispondenza degli elementi della biblioteca di sistema utilizzati nel programma di
sicurezza con l'Allegato 1 del report del certificato TÜV (Pagina 358)
• Corrispondenza dei blocchi F con protezione del know-how utilizzati nel programma di
sicurezza con la relativa documentazione di sicurezza (Pagina 359)
• Completezza e correttezza della configurazione hardware (Pagina 360)
• Correttezza e completezza della progettazione della comunicazione (Pagina 367)
• Identità del programma online e offline (Pagina 369)
• Altre caratteristiche (Pagina 370), quali versioni software, utilizza dei dati del programma
utente standard
Dopo il collaudo archiviare tutti i documenti rilevanti e i dati di progetto in modo che siano
disponibili per un confronto in caso di collaudi successivi delle modifiche.
Stampa di sicurezza
La stampa di sicurezza (Pagina 329) è la documentazione del progetto necessaria per il
collaudo dell'impianto.
Verifica/test funzionale
I programma di sicurezza e la relativa configurazione hardware devono essere testati
(Pagina 331) già in fase di configurazione. Questo test delle specifiche delle funzioni di
sicurezza deve essere eseguito e documentato prima del collaudo dell'impianto.
Per potere eseguire una revisione del codice del programma di sicurezza e documentare il
codice di programma collaudato, viene stampato, come parte della stampa di sicurezza
(Pagina 329), il codice sorgente di tutti i blocchi F se è stata selezionata l'opzione "All".
Se si desidera effettuare un test funzionale dopo un caricamento, è necessario eseguire una
identificazione del programma. Per ulteriori informazioni consultare "Caricamento dei dati di
progetto (Pagina 295)".
Il programma di sicurezza può essere utilizzato nel funzionamento produttivo solo quando il
suo corretto funzionamento è stato accertato eseguendo tutte le operazioni descritte nel
capitolo "Panoramica del collaudo dell'impianto (Pagina 355)". Se si utilizza il controllo di
configurazione (ampliamenti futuri), il corretto funzionamento del programma di sicurezza
deve essere verificato per tutte le possibili opzioni della stazione con appositi test funzionali. I
protocolli dei test devono essere archiviati insieme alla stampa di sicurezza e ai documenti di
collaudo.
Gli intervalli temporali, ad es. i tempi di controllo (Pagina 596) e di ritardo, possono essere
verificati solo in modo limitato con i test funzionali (Pagina 295). Pertanto, controllare gli
intervalli temporali in modo mirato per verificare se sono adeguati, ad es. utilizzando la
stampa di sicurezza.
Alcuni di questi intervalli temporali sono riportati nella stampa di sicurezza, ad es. il tempo di
controllo F (per la comunicazione tra F-CPU e periferia F) e il tempo di controllo della
comunicazione sicura CPU-CPU (TIMEOUT). Per individuare i tempi di controllo conformi ai
requisiti normativi, in Internet
(https://support.industry.siemens.com/cs/ww/it/view/109783831) è disponibile un file excel
per il calcolo del tempo di reazione. Questi intervalli vanno tenuti in considerazione insieme
alle condizioni pratiche dell'applicazione. Tenere presente che i tempi di controllo influiscono
sui tempi di reazione delle funzioni di sicurezza.
Introduzione
Quando è disponibile una versione dei dati di progetto rilevanti per la sicurezza pronta per il
collaudo, devono essere eseguiti e documentati dei controlli aggiuntivi della stampa di
sicurezza per accertarne la completezza e l'appartenenza al programma di sicurezza da
sottoporre al collaudo.
Introduzione
STEP 7 Safety contiene le istruzioni KOP/FUP per la programmazione del programma di
sicurezza e i blocchi di sistema F necessari per la creazione di un programma di sicurezza
eseguibile creati e testati da SIEMENS e certificati TÜV. I blocchi di sistema F utilizzati
automaticamente dal sistema F vengono definiti in base alla versione impostata del sistema
Safety (vedere il capitolo Area "Settings" (Pagina 87)).
Per verificare se le istruzioni KOP/FUP e i blocchi di sistema F utilizzati coincidono con
l'Allegato 1 del report del certificato TÜV e con le versioni previste dall'utente, questi elementi
sono elencati nella stampa di sicurezza.
Procedura
Scaricare l'Allegato 1 aggiornato del report del certificato TÜV "SIMATIC Safety" da Internet
(http://support.automation.siemens.com/WW/view/it/49368678/134200).
Per il controllo procedere nel modo seguente:
AVVERTENZA
• (S7-1200, S7-1500) La stampa di sicurezza elenca nella sezione "System library elements
used in safety program" versioni delle istruzioni KOP/FUP con versione che devono
coincidere con le versioni riportate nell'Allegato 1 del report per il certificato TÜV.
• (S7-300, S7-400) La stampa di sicurezza elenca nella sezione "System library elements
used in safety program" versioni, firme e firme del valore iniziale di istruzioni KOP/FUP
con versione e blocchi del sistema F che devono coincidere con le versioni, firme e firme
del valore iniziale riportate nell'Allegato 1 del report per il certificato TÜV.
• Le versioni elencate nella stampa di sicurezza delle istruzioni KOP/FUP con versione
devono soddisfare i requisiti di sicurezza dell'applicazione da realizzare.
Fare attenzione alle possibili differenze tra le funzionalità delle versioni descritte nel
capitolo della rispettiva istruzione.
• Nella stampa di sicurezza sotto "Safety program settings" viene indicata la "Safety system
version". Questa deve coincidere con le versioni riportate nell'Allegato 1 del report per il
certificato TÜV. (S054)
F-CPU S7-300/400
• Firma e firma del valore iniziale del blocco F con protezione del know-how
• Versioni di tutte le istruzioni KOP/FUP utilizzate
• Firme e firme del valore iniziale di tutti i blocchi F richiamati
• Firme di tutti gli F-DB ai quali accede il blocco F da riutilizzare.
Durante il collaudo dell'impianto, eseguire i controlli seguenti con l'ausilio della stampa di
sicurezza:
• La firma e la firma del valore iniziale di ciascun blocco F con know-how protetto elencate
nella sezione "F-blocks in the safety program" della stampa di sicurezza devono coincidere
con la firma e la firma del valore iniziale documentate dall'utente che ha creato i blocchi.
• Le versioni delle istruzioni KOP/FUP utilizzate elencate nella sezione "System library
elements used in safety program" della stampa di sicurezza devono coincidere con le
versioni di ciascun blocco F con protezione del know-how documentate dall'utente che ha
creato i blocchi o essere identiche dal punto di vista funzionale.
• Le firme e le firme del valore iniziale dei blocchi F richiamati in ciascuno dei blocchi F con
know-how protetto elencate nella sezione "F-blocks in the safety program" della stampa di
sicurezza devono coincidere con le firme e le firme del valore iniziale (dei blocchi F
richiamati) documentate dall'utente che ha creato i blocchi.
In caso di differenze impostare le versioni documentate (o identiche dal punto di vista
funzionale) e utilizzare i blocchi F con le firme e le firme del valore iniziale documentate. Se i
conflitti di versione non possono essere eliminati a causa di altre dipendenze, contattare il
produttore del blocco F con know-how protetto per ottenere una versione collaudata
compatibile.
F-CPU S7-1200/1500
• Firma del blocco F con protezione del know-how
• Versione del sistema Safety impostata durante la configurazione della protezione del
know-how
• Versioni di tutte le istruzioni KOP/FUP utilizzate
• Firme di tutti gli F-FB/F-FC richiamati nel blocco F con know-how protetto.
• Firme di tutti gli F-DB ai quali accede il blocco F con know-how protetto.
Durante il collaudo dell'impianto, eseguire i controlli seguenti con l'ausilio della stampa di
sicurezza:
• La firma di ciascun blocco F con know-how protetto indicata nella sezione "Know-how
protected F-blocks in the safety program" della stampa di sicurezza deve coincidere con la
firma documentata dall'utente che ha creato i blocchi.
• La versione del sistema Safety di ciascun blocco F con know-how protetto indicata nella
sezione "Know-how protected F-blocks in the safety program" della stampa di sicurezza
deve coincidere con una delle versioni elencate nell'Allegato 1 del report del certificato
TÜV.
• Le versioni delle istruzioni KOP/FUP utilizzate in ciascun blocco F con know-how protetto
elencate nella sezione "Know-how protected F-blocks in the safety program" della stampa
di sicurezza devono coincidere con le versioni documentate dall'utente che ha creato i
blocchi o essere identiche dal punto di vista funzionale.
• Le firme dei blocchi F richiamati in ciascuno dei blocchi F con know-how protetto elencate
nella sezione "Know-how protected F-blocks in the safety program" della stampa di
sicurezza devono coincidere con le firme (dei blocchi F richiamati) documentate
dall'utente che ha creato i blocchi.
In caso di differenze impostare le versioni documentate (o identiche dal punto di vista
funzionale) e utilizzare i blocchi F con le firme documentate. Se i conflitti di versione non
possono essere eliminati a causa di altre dipendenze, contattare il produttore del blocco F con
know-how protetto per ottenere una versione collaudata compatibile.
Introduzione
La configurazione hardware è una parte essenziale del progetto da collaudare. Durante la
progettazione dell'hardware, sono state effettuate impostazioni che possono influenzare la
sicurezza dei segnali. È necessario utilizzare la stampa di sicurezza per documentare queste
impostazioni e dimostrare di avere soddisfatto i requisiti di sicurezza dell'applicazione.
Nota
Osservare che la periferia F indirizzata tramite la comunicazione di sicurezza I-slave-slave si
trovano nella stampa di sicurezza della F-CPU dell'I-slave e non in quella della F-CPU del
master DP assegnato.
Nella stampa di sicurezza della F-CPU del master DP, nella tabella panoramica si trova
un'avvertenza per questa periferia F che indica che non è assegnata a questa F-CPU.
Nota
In caso di impiego di Shared Devices:
Osservare che la periferia F indirizzate in uno Shared Device si trovano nella stampa di
sicurezza della F-CPU dell'IO Controller a cui sono assegnate.
Nella stampa di sicurezza delle F-CPU degli altri IO Controller, tra i quali è suddiviso lo Shared
Device, nella tabella panoramica di questa periferia F si trova un'avvertenza che indica che
non è assegnata a questa F-CPU.
Nota
Se si utilizza il controllo di configurazione (ampliamenti futuri), la stampa di sicurezza deve
contenere tutta la periferia F della configurazione massima. I seguenti controlli devono essere
eseguiti per tutta la periferia F della configurazione massima.
AVVERTENZA
Alla periferia F del tipo di indirizzo PROFIsafe 1 viene assegnato un indirizzo univoco
tramite il suo indirizzo di destinazione F (ad es. con la posizione del selettore
indirizzi).
L'indirizzo di destinazione F (e quindi anche la posizione del selettore indirizzi) della
periferia F deve essere univoco in tutta la rete* e in tutta la CPU**/*** (nell'intero
sistema) per l'intera periferia F. Va considerata qui anche la periferia F del tipo di
indirizzo PROFIsafe 2. (S051)
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete. Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite
PROFIBUS DP. In PROFINET IO una rete comprende tutti i nodi raggiungibili tramite
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP
(IP, Layer 3).
** "in tutta la CPU" significa tutta la periferia F assegnata a una F-CPU: periferia F
centrale di questa F-CPU e periferia F per la quale la F-CPU è master DP/IO Controller e
periferia F assegnata in uno Shared Device. La periferia F indirizzata tramite
comunicazione I-slave-slave, è assegnata alla F-CPU dell'I-slave e non alla F-CPU del
master DP/IO Controller.
*** Nei sistemi S7-1500HF ridondanti le due F-CPU del sistema S7-1500HF ridondante
devono essere considerate come una unica F-CPU per quando riguarda gli indirizzi
PROFIsafe. Pertanto, il sistema imposta "Central F-source address" in modo identico per
le due F-CPU.
Nota
Informazioni aggiuntive sull'assegnazione univoca degli indirizzi PROFIsafe per tutta la
CPU e tutta la rete sono contenute nelle FAQ
(https://support.industry.siemens.com/cs/ww/it/view/109740240).
– Per la periferia F del tipo di indirizzo PROFIsafe 2, controllare che gli indirizzi di
destinazione F siano conformi alla seguente avvertenza:
AVVERTENZA
Alla periferia F del tipo di indirizzo PROFIsafe 2 viene assegnato un indirizzo univoco
combinando l'indirizzo di origine F (parametro "Central F-source address" della F-CPU
assegnata) e l'indirizzo di destinazione F.
La combinazione dell'indirizzo di origine F e dell'indirizzo di destinazione F di ciascuna
periferia F deve essere univoca in tutta le rete* e in tutta la CPU**/*** (nell'intero
sistema). Inoltre l'indirizzo di destinazione F non deve essere occupato dalla
periferia F del tipo di indirizzo PROFIsafe 1.
Per assicurare l'univocità delle configurazioni supportate (Pagina 62) anche oltre la
F-CPU, il parametro "Central F-source address" di tutte le F-CPU deve essere univoco in
tutta la rete*. A questo scopo sono necessarie delle impostazioni differenti del
parametro "Central F-source address" delle F-CPU. (S052)
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete. Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite
PROFIBUS DP. In PROFINET IO una rete comprende tutti i nodi raggiungibili tramite
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP
(IP, Layer 3).
** "in tutta la CPU" significa tutta la periferia F assegnata a una F-CPU: periferia F
centrale di questa F-CPU e periferia F per la quale la F-CPU è master DP/IO Controller e
periferia F assegnata in uno Shared Device. La periferia F indirizzata tramite
comunicazione I-slave-slave, è assegnata alla F-CPU dell'I-slave e non alla F-CPU del
master DP/IO Controller.
*** Nei sistemi S7-1500HF ridondanti le due F-CPU del sistema S7-1500HF ridondante
devono essere considerate come una unica F-CPU per quando riguarda gli indirizzi
PROFIsafe. Pertanto, il sistema imposta "Central F-source address" in modo identico per
le due F-CPU.
Nota
Informazioni aggiuntive sull'assegnazione univoca degli indirizzi PROFIsafe per tutta la
CPU e tutta la rete sono contenute nelle FAQ
(https://support.industry.siemens.com/cs/ww/it/view/109740240).
AVVERTENZA
Nota
Le periferie F che, ad eccezione degli indirizzi PROFIsafe, devono ottenere gli stessi
parametri rilevanti per la sicurezza, possono essere copiate durante la progettazione Con
essi, ad eccezione degli indirizzi PROFIsafe, non è più necessario controllare singolarmente
tutti i parametri rilevanti per la sicurezza. È sufficiente un confronto della "F-parameter
signature (without addresses)" nella sezione"Hardware configuration of F-I/O" nella tabella
panoramica. Vale anche per gli slave DP standard/device IO standard fail-safe senza
parametri i. Per gli slave DP standard/device IO standard con parametri i, la "F-parameter
signature (without addresses)" potrebbe non corrispondere, anche se tutti i parametri
rilevanti per la sicurezza, ad eccezione degli indirizzi PROFIsafe, corrispondono. In questo
caso non è necessario confrontare tutti i parametri rilevanti pe la sicurezza.
Eccezione:
Per le periferie F che non supportano il profilo "RIOforFA-Safety", è necessario confrontare
il parametro "Behavior after channel fault" oltre alla "F-parameter signature (without
addresses)", se disponibile.
AVVERTENZA
Se si progettano delle configurazioni che non fanno parte delle configurazioni supportate
osservare quanto segue:
• Accertarsi che la periferia F di questa configurazione compaia nella stampa di
sicurezza e che sia stato creato un apposito DB di periferia F. In caso contrario la
periferia F non potrà essere utilizzata in questa configurazione. (Rivolgersi al
Customer Support.)
• Controllare per la periferia F nell'ambiente PROFINET IO** la correttezza del
parametro del modo di funzionamento PROFIsafe (F_Par_Version) utilizzando la
stampa di sicurezza. Nell'ambiente PROFINET IO va impostato V2-Mode. La periferia F
che supporta solo V1-Mode non può essere utilizzata in ambiente PROFINET IO.
• Verificare l'assegnazione univoca in tutta la CPU*/**** e in tutta la rete***
dell'indirizzo PROFIsafe:
– Controllare la correttezza degli indirizzi PROFIsafe in base alla stampa di sicurezza.
– Controllare in base alla stampa di sicurezza se l'indirizzo di origine F della
periferia F del tipo di indirizzo PROFIsafe 2 coincide con il parametro "Central F-
source address" della F-CPU.
– Per la periferia F del tipo di indirizzo PROFIsafe 1 o se l'indirizzo di origine F non è
correttamente impostabile per il parametro "Central F-source address" della F-CPU,
si deve assicurare l'univocità dell'indirizzo PROFIsafe solo con l'assegnazione di un
indirizzo di destinazione F univoco.
In una configurazione non supportata, l'univocità dell'indirizzo di destinazione F deve
essere controllata singolarmente per ciascuna periferia F utilizzando la stampa di
sicurezza.
(S050)
* "in tutta la CPU" significa tutta la periferia F assegnata a una F-CPU: periferia F centrale di
questa F-CPU e periferia F per la quale la F-CPU è master DP/IO Controller e periferia F
assegnata in uno Shared Device. La periferia F indirizzata tramite comunicazione I-slave-
slave, è assegnata alla F-CPU dell'I-slave e non alla F-CPU del master DP/IO Controller.
** La periferia F si trova nell'"ambiente PROFINET IO" se almeno una parte della
comunicazione di sicurezza con la F-CPU avviene via PROFINET IO. Se la periferia F è
collegata mediante comunicazione I-slave-slave, va tenuto in considerazione il percorso di
comunicazione con il master DP/IO Controller.
*** Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete. Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite
PROFIBUS DP. In PROFINET IO una rete comprende tutti i nodi raggiungibili tramite
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP (IP,
Layer 3).
**** Nei sistemi S7-1500HF ridondanti le due F-CPU del sistema S7-1500HF ridondante
devono essere considerate come una unica F-CPU per quando riguarda gli indirizzi
PROFIsafe. Pertanto, il sistema imposta "Central F-source address" in modo identico per le
due F-CPU.
Nota
Informazioni aggiuntive sull'assegnazione univoca degli indirizzi PROFIsafe per tutta la
CPU e tutta la rete sono contenute nelle FAQ
(https://support.industry.siemens.com/cs/ww/it/view/109740240).
5. Verificare nel Safety Administration Editor o nella stampa standard dei dati di progetto che
solo le persone autorizzate abbiamo il diritto "F-admin".
AVVERTENZA
L'autorizzazione "F-Admin" sul server Web senza protezione con password (utente
"Everybody") è prevista a scopo di test, per la messa in servizio, ecc. Questo significa che
può essere utilizzata solo quando l'impianto non si trova nel funzionamento produttivo.
In questo caso la sicurezza dell'impianto deve essere assicurata con altre misure
organizzative (Pagina 611).
È necessario rimuovere l'autorizzazione "F-Admin" dell'utente "Everybody" prima di
passare al funzionamento produttivo.
La password utente del server Web con l'autorizzazione "F-Admin" deve essere accessibile
solo a persone autorizzate. Dopo il caricamento della configurazione hardware,
controllare se sulla F-CPU solo gli utenti autorizzati del server Web possiedono
l'autorizzazione "F- Admin". A tal fine utilizzare la modalità online del Safety
Administration Editor.
Il salvataggio del file di login e della password del server Web nel browser è consentito
solo se sono state adottate altre misure organizzative (Pagina 611) che impediscono
l'utilizzo da parte di persone non autorizzate.
Se si utilizza il meccanismo dei ticket, è necessario impostare i ticket con lo stesso livello
di limitazione della password dell'utente del server Web che ha il diritto "F Admin".
(S064)
Vedere anche
Area "Web server F-admins" (S7-1200, S7-1500) (Pagina 87)
Introduzione
La comunicazione di sicurezza si basa sui meccanismi della comunicazione standard di
STEP 7.
Per rilevare gli errori che la comunicazione standard non rivela, i collegamenti di
comunicazione di sicurezza tra le F-CPU sono ulteriormente protetti. Per questa protezione
sono necessari ulteriori parametri, che devono essere documentati e verificati in fase di
collaudo.
A tale scopo, la stampa di sicurezza contiene le sezioni "Block parameters for safety-related
CPU-CPU-communication" e "Overview of communication via Flexible F-Link". La sezione
"Block parameters for safety-related CPU-CPU-communication" contiene fino a due tabelle
(per la comunicazione tramite PROFIBUS DP o PROFINET IO e per la comunicazione tramite
collegamenti S7). La sezione "Overview of communication via Flexible F-Link" contiene una
tabella con la panoramica delle progettazioni dei collegamenti e per i tipi di dati PLC (UDT)
conformi a F, una tabella "Communication via Flexible F-Link for UDT".
Non tutte le comunicazioni di sicurezza sono disponibili per tutte le F-CPU. Per ulteriori
informazioni vedere il capitolo "Comunicazione di sicurezza (Pagina 192)".
Nota
Le affermazioni fatte in questo capitolo sulla comunicazione tramite Flexible F-Link si
applicano anche quando questa comunicazione viene utilizzata tra gruppi di esecuzione F.
AVVERTENZA
Il valore per il rispettivo ID di comunicazione F (ingresso R_ID; tipo di dati: DWORD) può
essere selezionato liberamente, ma deve essere dispari e univoco in tutta la rete* e in tutta
la CPU per tutti i collegamenti di comunicazione orientati alla sicurezza. Il valore R_ID + 1
viene assegnato internamente e non deve essere utilizzato.
Al richiamo dell'istruzione, agli ingressi ID e R_ID devono essere assegnati dei valori costanti.
Nel programma di sicurezza non sono consentiti accessi diretti né in lettura né in scrittura
nei rispettivi DB di istanza! (S020)
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete. Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite
PROFIBUS DP. In PROFINET IO una rete comprende tutti i nodi raggiungibili tramite
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP (IP,
Layer 3).
AVVERTENZA
Il valore per il rispettivo ID di comunicazione F (ingresso DP_DP_ID; tipo di dati: INT) può
essere selezionato liberamente**, ma deve essere univoco in tutta la rete* e in tutta la
CPU**** in qualsiasi momento e per tutti i collegamenti di comunicazione orientati alla
sicurezza. L'univocità deve essere verificata nella stampa del programma di sicurezza
durante il collaudo del programma di sicurezza.
Al richiamo dell'istruzione, agli ingressi DP_DP_ID e LADDR devono essere assegnati dei
valori costanti***. Nel programma di sicurezza non sono consentiti accessi in scrittura
diretti a DP_DP_ID e LADDR nei rispettivi DB di istanza! (S016)
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete. Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite
PROFIBUS DP. In PROFINET IO una rete comprende tutti i nodi raggiungibili tramite
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP (IP,
Layer 3).
** S7-1200/1500: A partire dalla versione V3.0 delle istruzioni SENDDP e RCVDP, in presenza
di un ID di comunicazione F "0" sull'ingresso DP_DP_ID non viene stabilita alcuna
comunicazione.
*** S7-1200/1500: A partire dalla versione V3.0 delle istruzioni SENDDP e RCVDP all'ingresso
DP_DP_ID possono essere assegnati anche valori variabili di un F-DB globale. Anche in questo
caso durante il collaudo del programma di sicurezza va verificato che l'univocità sia garantita
in qualsiasi momento controllando conseguentemente l'algoritmo per la formazione del
valore variabile. Se all'avviamento del programma di sicurezza non è possibile garantire un ID
di comunicazione F univoco perché quest'ultimo viene definito solo dopo l'avviamento del
programma di sicurezza, assicurarsi che il valore sull'ingresso DP_DP_ID in questa fase sia "0".
**** Nei sistemi S7-1500HF ridondanti le due F-CPU del sistema S7-1500HF ridondante
devono essere considerate come una unica F-CPU per quando riguarda il DP_DP_ID.
AVVERTENZA
Quando viene creata una nuova comunicazione con Flexible F-Link nel Safety
Administration Editor, il sistema fornisce un "F-communication UUID" (UUID di
comunicazione F) univoco per la comunicazione. Quando le comunicazioni vengono copiate
nel Safety Administration Editor all'interno della tabella di parametrizzazione oppure in
un'altra F-CPU, gli UUID di comunicazione F non vengono ricreati e di conseguenza non
sono più univoci. Se si utilizza una copia per parametrizzare un nuovo rapporto di
comunicazione è necessario assicurarne l'univocità. Selezionare gli UUID interessati e
generarne di nuovi con il menu di scelta rapida "Generate UUID". L'univocità deve essere
controllata nella stampa di sicurezza. (S087)
AVVERTENZA
Durante il collaudo, verificare con la stampa di sicurezza se gli offset di tutti gli elementi dei
tipi di dati PLC conformi a F (UDT) all'interno del programma di sicurezza per i dati di
trasmissione e di ricezione coincidono. A questo scopo, nella stampa di sicurezza sono
elencati tutti i membri e gli indirizzi suddivisi per UDT. (S088)
AVVERTENZA
1. Eseguire un collegamento online con la F-CPU. Se più F-CPU sono raggiungibili dallo stesso
PG/PC tramite un rete (ad es. Industrial Ethernet), occorre adottare le seguenti misure
aggiuntive per assicurarsi che i dati di progetto vengano caricati nella F-CPU corretta. Ad es.
con "Online & diagnostics" > "Online accesses " > "Flash LED".
2. Aprire il Safety Administration Editor.
3. Verificare che le firme collettive F online e offline corrispondano alla firma collettiva F della
stampa di sicurezza.
4. Controllare solo nell'area "General" in "Safety program status", se i programmi di sicurezza
sono online e offline.
Utilizzare la visualizzazione "Status" e "Version comparison" per verificare la situazione ed
eseguire eventualmente la misura proposta:
Introduzione
Inoltre, è necessario controllare alcune proprietà che sono rilevanti anche per il collaudo del
progetto.
Controllo di plausibilità per il trasferimento dei dati dal programma standard al programma di
sicurezza
Verificare se è stato programmato un controllo di plausibilità per tutti i dati trasferiti dal
programma utente standard al programma di sicurezza. A tal fine, nella sezione "Data from
the standard user program" vengono elencate tutte le variabili del programma utente
standard, che si leggono nel programma di sicurezza. Le variabili del programma utente
standard che si scrivono nel programma di sicurezza non sono elencate qui, poiché non ne è
richiesto un controllo di plausibilità. Osservare a riguardo l'avvertenza S015 nel capitolo
"Trasferimento dei dati dal programma utente standard al programma di sicurezza
(Pagina 189)".
Richiamo multiplo di un F-FB o di una istruzione con la stessa istanza (istanza singola o multipla)
Verificare di avere utilizzato una istanza distinta per ciascun richiamo di un F-FB o di una
istruzione.
Generalmente i richiami multipli con la stessa istanza non sono funzionali e richiedono
particolare attenzione:
Ad esempio, se si trasmette esplicitamente un operando (ad es. come costante) nel 1º
richiamo dell'istanza ma il 2º richiamo non contiene una trasmissione esplicita (che renda
valido il valore iniziale), si deve verificare quale valore è valido per l'operando nel 2º richiamo.
A riguardo vanno considerate anche le operazioni di avviamento, gli OB con priorità superiore
o altri elementi analoghi nei quali può trovarsi il 1º richiamo.
Protezione di accesso
Verificare nella sezione "General information" in "Access protection" se l'impostazione per la
protezione di accesso. Osservare a questo proposito la seguente avvertenza.
In caso contrario, il progetto non deve essere accettato perché il programma di sicurezza
della F-CPU non è protetto da accessi non autorizzati
AVVERTENZA
(S7-300, S7-400) Nel funzionamento produttivo, in caso di modifiche del programma utente
standard non deve essere attiva l'autorizzazione di accesso tramite la password della CPU,
perché in questo caso è possibile modificare anche il programma di sicurezza. Per escludere
questa possibilità è necessario progettare il livello di protezione "Write protection for fail-
safe blocks" e una password per la F-CPU. Se solo una persona è autorizzata a modificare il
programma utente standard e il programma di sicurezza, deve essere progettato il livello di
protezione "Write protection" o "Read/write protection" in modo da consentire solo un
accesso limitato o negare l'accesso all'intero programma utente (programma standard e
programma di sicurezza) alle altre persone. (S001)
AVVERTENZA
(S7-1200, S7-1500) Nel funzionamento produttivo si devono proteggere con una password
i dati di progetto rilevanti per la sicurezza. Progettare almeno il livello di protezione "Full
access (no protection)" e assegnare una password in "Full access with fail-safe (no
protection)". Questo livello di protezione concede l'accesso completo solo al programma
utente standard, ma non ai blocchi F.
Se si sceglie un livello di protezione più alto, ad es. per proteggere il programma utente
standard, è necessario assegnare una password aggiuntiva per "Full access (no protection)".
Assegnare password differenti per i singoli livelli di protezione. (S041)
Introduzione
In linea di principio, si può eseguire la procedura per il collaudo di modifiche esattamente
come per il primo collaudo dell'impianto (vedere Panoramica del collaudo dell'impianto
(Pagina 355)).
È necessario controllare l'insieme dei dati di progetto rilevanti per la sicurezza (programma di
sicurezza e configurazione hardware rilevante per la sicurezza) per verificare eventuali
modifiche e determinare i dati di progetto rilevanti per la sicurezza da convalidare e
collaudare come parte di un'analisi degli effetti.
AVVERTENZA
Per evitare di dovere collaudare nuovamente l'intero sistema in caso di piccole modifiche,
STEP 7 Safety aiuta a identificare le parti del programma di sicurezza che sono state
modificate.
Per il collaudo di modifiche procedere nel modo seguente:
1. Localizzare le modifiche nei dati di progetto rilevanti per la sicurezza:
– blocchi F modificati o aggiunti di recente
– istruzioni e blocchi di sistema F modificati o aggiunti di recente
– parametri rilevanti per la sicurezza o periferia F aggiunta di recente
– struttura della configurazione hardware di sicurezza (ad es. posizioni degli slot o
indirizzi iniziali delle periferie F).
– comunicazione di sicurezza modificata tramite Flexible F-Link
2. Da queste modifiche, determinare i dati di progetto rilevanti per la sicurezza interessati
(analisi degli effetti). Può trattarsi anche di dati di progetto rilevanti per la sicurezza che non
sono stati modificati.
3. Successivamente eseguire la convalida e il collaudo dei dati di progetto rilevanti per la
sicurezza interessati dalle modifiche.
Nota
Non è possibile un collaudo delle modifiche dopo la migrazione CPU.
AVVERTENZA
AVVERTENZA
Assicurarsi che il criterio di confronto "Safety" sia attivato, in modo che i criteri rilevanti per il
collaudo di una modifica siano presi in considerazione nel confronto. (S069)
Per la localizzazione delle modifiche rilevanti per la sicurezza nella configurazione hardware,
sono disponibili due possibilità:
• Localizzazione mediante confronto offline-offline
• Localizzazione del confronto di due stampe di sicurezza
La procedura è descritta di seguito.
Vedere anche
Accesso alle variabili del DB di periferia F (Pagina 167)
Nota
Il ripristino degli F-DB ai valori iniziali contenuti nella memoria di caricamento ha inoltre le
seguenti conseguenze:
• vengono resettate le eventuali informazioni di errore memorizzate.
• vengono resettati i merker di fronte nelle istruzioni o negli F-FB con analisi del fronte
(ad es. nell'istruzione TON), affinché un fronte di segnale positivo venga rilevato
immediatamente, in caso di interrogazione del fronte di segnale positivo, per un segnale
che ha lo stato "TRUE" già nel 1° ciclo di un gruppo di esecuzione F.
Introduzione
Osservare le seguenti avvertenze per il funzionamento di sicurezza del programma di
sicurezza.
AVVERTENZA
Impiego di dispositivi di simulazione/programmi di simulazione negli impianti
Se si utilizzano dispositivi di simulazione/programmi di simulazione che generano
telegrammi di sicurezza, ad es. conformi a PROFIsafe, e li mettono a disposizione del
sistema F SIMATIC Safety tramite il sistema di bus (ad es. PROFIBUS DP o PROFINET IO), si
deve garantire la sicurezza dell'impianto con delle misure organizzative (Pagina 611).
Osservare che ad es. un analizzatore di protocolli non deve eseguire alcuna funzione per la
riproduzione delle sequenze di telegrammi registrate con risposta temporale corretta.
• S7-PLCSIM versione < 15.1 o S7-PLCSIM Advanced versione < 2.0 SP1 e sistema
Safety versione < V2.2
Se per la simulazione dei programmi di sicurezza si utilizza S7-PLCSIM (Pagina 331), le
misure sopra indicate non sono necessarie, poiché S7-PLCSIM non è in grado di stabilire
un collegamento online con un componente reale.
• S7-PLCSIM versione ≥ 15.1 o S7-PLCSIM Advanced versione ≥ 2.0 SP1 o sistema
Safety versione ≥ V2.2
È necessario garantire la sicurezza dell'impianto mediante misure organizzative.
Anche il caricamento dei dati di progetto rilevanti per la sicurezza con versione del
sistema Safety V2.2 o superiore su un S7-PLCSIM è consentito solo a partire da S7-PLCSIM
V15.1 o a partire da S7-PLCSIM Advanced V2.0 SP1.
(S030)
Nota
Con un S7-PLCSIM inferiore a V15.1 o S7-PLCSIM Advanced inferiore a V2.0 SP1 e una
versione di sistema Safety V2.2 e superiore, il programma di sicurezza passa in STOP. Nel
buffer di diagnostica della F-CPU viene registrata la causa dell'evento di diagnostica.
AVVERTENZA
STOP ad es. tramite comando del PG/PC, selettore dei modi operativi, funzione di
comunicazione o istruzione "STP"
L'attivazione di uno stato di STOP ad es. tramite comando del PG/PC, selettore dei modi
operativi, funzione di comunicazione o istruzione "STP" e il mantenimento di uno stato di
STOP non sono orientati alla sicurezza. Lo stato di STOP può facilmente essere annullato
(anche accidentalmente) ad es. tramite un comando del PG/PC.
In caso di commutazione STOP/RUN di una F-CPU, il programma utente standard viene
avviato come di consueto. All'avviamento del programma di sicurezza, generalmente tutti i
contenuti DB degli F-DB vengono ripristinati ai valori iniziali contenuti nella memoria di
caricamento. Questo comporta la perdita delle informazioni di errore memorizzate. Il
sistema F esegue una reintegrazione automatica della periferia F.
Se il processo non lo consente, nel programma di sicurezza deve essere programmata una
protezione contro il (ri)avviamento: L'emissione dei valori di processo deve essere bloccata
fino alla conferma utente (vedere "Realizzazione di una conferma utente"). Questa conferma
utente può avvenire solo se l'emissione dei valori di processo è possibile senza pericolo e gli
errori sono stati eliminati (vedere Programmazione protezione avviamento (Pagina 151)).
(S031)
Nota
Errore CRC in caso di accesso della periferia F o di comunicazione sicura
Osservare che, a causa di un errore CRC, viene richiesta una conferma manuale più di una
volta nell'arco di 100 ore e ciò si verifica di frequente, è necessario verificare se sono state
rispettate le direttive di configurazione della tecnologia di rete utilizzata.
Gli errori CRC si riconoscono per le seguenti situazioni:
• In caso di accesso della periferia F, la variabile ACK_REQ del DB della periferia è impostata
e la variabile DIAG del DB della periferia indica errori CRC con bit 2 o bit 6.
• In caso di comunicazione di sicurezza con le istruzioni SENDDP/RCVDP, l'uscita ACK_REQ
dell'istruzione RCVDP è impostata e l'uscita DIAG dell'istruzione SENDDP/RCVDP indica gli
errori CRC con il bit 6.
• In caso di comunicazione di sicurezza con le istruzioni SENDS7/RCVS7, l'uscita ACK_REQ
dell'istruzione RCVS7 è impostata e l'uscita DIAG dell'istruzione SENDS7/RCVS7 indica gli
errori CRC con il bit 6.
• Quando si comunica con Flexible F-Link, la variabile ACK_REQ del DB di comunicazione F
per la ricezione è impostata e la variabile DIAG del DB di comunicazione F per la
trasmissione/ricezione indica l'errore CRC con il bit 6.
oppure
• Nel buffer di diagnostica della F-CPU viene registrato un errore CRC.
I valori della probabilità di errore
(https://support.industry.siemens.com/cs/ww/en/view/109481784) (PFDavg/PFH) per la
comunicazione di sicurezza non si applicano più in questo caso.
Per informazioni sulle direttive di configurazione per PROFINET e PROFIBUS vedere in:
• PROFIBUS Installation Guidelines (www.profibus.com/PBInstallationGuide)
• PROFIBUS Interconnection Technology
(http://www.profibus.com/nc/downloads/downloads/profibus-interconnection-
technology/display/)
• PROFINET Installation Guidelines (www.profibus.com/PNInstallationGuide)
• PROFINET Cabling and Interconnection Technology
(http://www.profibus.com/nc/downloads/downloads/profinet-cabling-and-
interconnection-technology/display/)
• PROFIsafe Environment Requirments (www.profibus.com/PROFIsafeRequirements)
Se dalla verifica risulta che le direttive di configurazione di PROFINET e PROFIBUS sono state
rispettate, contattare il Customer Support.
Introduzione
Procedere come nel programma standard. Osservare inoltre le seguenti sezioni.
AVVERTENZA
AVVERTENZA
Dopo la sostituzione della CPU (ad es. nuovo PC con supporto dati del vecchio PC), la
sostituzione del supporto dati (ad es. sostituzione del supporto dati con programma di
sicurezza 1 con un supporto dati con programma di sicurezza 2) o un aggiornamento UEFI,
controllare sul display se viene visualizzata la firma collettiva F completa corretta oppure
eseguire una identificazione del programma. (S066)
Modo di funzionamento con tasso di richiesta basso Modo di funzionamento con tasso di richiesta alto o
low demand mode continuo
Ulteriori informazioni sulle condizioni di utilizzo delle F-CPU si trovano nelle PI delle F-CPU
(https://support.industry.siemens.com/cs/ww/it/view/109478599) e nelle PI dei valori PFDavg,
valori PFH (https://support.industry.siemens.com/cs/ww/it/view/109481784).
Modo di funzionamento con tasso di richiesta basso Modo di funzionamento con tasso di richiesta alto o
low demand mode continuo
Introduzione
Qui si trova una raccolta delle opzioni di diagnostica che possono essere valutate per il
sistema F. La maggior parte delle opzioni di diagnostica non sono diverse da quelle dei
sistemi di automazione standard. La sequenza dei passi è una raccomandazione.
Osservare
Nota
Un collegamento dell'ingresso di abilitazione EN o dell'uscita di abilitazione ENO non è
possibile.
Eccezione:
(S7-1200, S7-1500) Con le seguenti istruzioni è possibile programmare un riconoscimento di
overflow collegando l'uscita di abilitazione ENO:
• ADD: Somma (STEP 7 Safety V18) (Pagina 511)
• SUB: Sottrazione (STEP 7 Safety V18) (Pagina 514)
• MUL: Moltiplicazione (STEP 7 Safety V18) (Pagina 517)
• DIV: Divisione (STEP 7 Safety V18) (Pagina 519)
• NEG: Creazione del complemento a due (STEP 7 Safety V18) (Pagina 523)
• ABS: Generazione del valore assoluto (STEP 7 Safety V18) (S7-1200, S7-1500)
(Pagina 526)
• CONVERT: Conversione del valore (STEP 7 Safety V18) (Pagina 538)
13.1.1 KOP
Requisiti
Un blocco F è aperto.
Procedura
Per inserire una nuova rete procedere nel modo seguente:
1. Selezionare la rete dopo la quale intende inserire una nuova rete.
2. Selezionare "New network" dal menu di scelta rapida.
Nota
Se si inserisce un elemento nell'ultima rete ancora vuota del blocco F in un programma KOP,
viene automaticamente creata una nuova rete vuota sotto l'elemento.
Risultato
Nel blocco F viene inserita una nuova rete vuota.
Requisiti
È presente una rete
Procedura
Per inserire un'istruzione KOP in una rete con un box vuoto procedere nel modo seguente:
1. Aprire la task card "Instructions".
2. Navigare a "Basic instructions > General > Empty box".
3. Trascinare l'elemento "Empty box" mediante drag & drop nel punto desiderato all'interno
della rete.
4. Spostare il puntatore del mouse sul triangolo giallo nell'angolo in alto a destra del box vuoto.
Si apre una casella di riepilogo.
5. Selezionare l'istruzione desiderata nella casella di riepilogo.
Se l'istruzione è un blocco funzionale (FB) interno al sistema, si apre la finestra di dialogo "Call
options". Questa finestra di dialogo consente di creare per il blocco funzionale di un blocco
dati di istanza come istanza singola o multiistanza, nel quale vengono salvati i dati
dell'istruzione inserita. Una volta generato, il nuovo blocco dati di istanza si trova nella
cartella "Program resources" della navigazione del progetto, alla voce "Program blocks >
System blocks". Se si è selezionato "multi-instance", si trova nell'interfaccia del blocco, nella
sezione "Static".
Risultato
Il box vuoto viene modificato per l'istruzione corrispondente. Per i parametri vengono inseriti
i segnaposto e vengono inseriti dei segnaposto.
Descrizione
Se si desidera programmare dei collegamenti paralleli con il linguaggio di programmazione
Schema di contatto (KOP), utilizzare rami. I rami vengono inseriti nel montante principale. È
possibile inserire più contatti nel ramo e creare così un collegamento parallelo di
collegamenti in serie. In questo modo si possono programmare schemi a contatti complessi.
Requisiti
• È presente una rete
• La rete deve contenere elementi.
Procedura
Per inserire un nuovo ramo in una rete procedere nel modo seguente:
1. Aprire la task card "Instructions".
2. Navigare a "Basic instructions > General > Open branch".
3. Trascinare l'elemento mediante drag & drop nel punto desiderato all'interno della rete.
4. Se si desidera impostare il nuovo ramo direttamente sulla sbarra di corrente, trascinare
l'elemento su di essa.
Esempio
La figura seguente mostra un esempio di utilizzo dei rami:
Descrizione
I rami devono essere richiusi in punti adeguati. Se necessario i rami vengono disposti in modo
tale da evitare sovrapposizioni incrociate.
Requisiti
È presente un ramo.
Procedura
Per chiudere un ramo aperto procedere nel modo seguente:
1. Selezionare il ramo aperto.
2. Premere e tenere premuto il tasto sinistro del mouse.
Spostando il puntatore del mouse viene visualizzata una linea tratteggiata.
3. Trascinare la linea tratteggiata su un punto adeguato nella rete. I collegamenti ammessi
vengono visualizzati con linee verdi.
4. Rilasciare il tasto sinistro del mouse.
Esempio
La figura seguente mostra un esempio di utilizzo dei rami:
13.1.2 FUP
Requisiti
Un blocco F è aperto.
Procedura
Per inserire una nuova rete procedere nel modo seguente:
1. Selezionare la rete dopo la quale intende inserire una nuova rete.
2. Selezionare "New network" dal menu di scelta rapida.
Nota
Se si inserisce un elemento nell'ultima rete ancora vuota del blocco F in un programma FUP,
viene automaticamente creata una nuova rete vuota sotto l'elemento.
Risultato
Nel blocco F viene inserita una nuova rete vuota.
Requisiti
È presente una rete
Procedura
Per inserire un elemento FUP in una rete con un box vuoto procedere nel modo seguente:
1. Aprire la task card "Instructions".
2. Navigare a "Basic instructions > General > Empty box".
3. Trascinare l'elemento "Empty box" mediante drag & drop nel punto desiderato all'interno
della rete.
4. Spostare il puntatore del mouse sul triangolo giallo nell'angolo in alto a destra del box vuoto.
Si apre una casella di riepilogo.
5. Selezionare nella casella di riepilogo l'elemento FUP desiderato.
Se l'istruzione è un blocco funzionale (FB) interno al sistema, si apre la finestra di dialogo "Call
options". Questa finestra di dialogo consente di creare per il blocco funzionale di un blocco
dati di istanza come istanza singola o multiistanza, nel quale vengono salvati i dati
dell'istruzione inserita. Una volta generato, il nuovo blocco dati di istanza si trova nella
cartella "Program resources" della navigazione del progetto, alla voce "Program blocks >
System blocks". Se si è selezionato "multi-instance", si trova nell'interfaccia del blocco, nella
sezione "Static".
Risultato
Il box vuoto viene modificato per l'istruzione corrispondente. Per i parametri vengono inseriti
i segnaposto e vengono inseriti dei segnaposto.
Descrizione
Per programmare i collegamenti in parallelo con il linguaggio di programmazione Schema
funzionale (FUP), utilizzare le diramazioni che si inseriscono tra i box. In un ramo è possibile
inserire ulteriori box e programmare quindi schemi funzionali complessi.
Requisiti
È presente una rete
Procedura
Per inserire un nuovo ramo in una rete procedere nel modo seguente:
1. Aprire la task card "Instructions".
2. Nella tavolozza navigare su "Basic instructions > General > Branch".
3. Trascinare l'elemento mediante drag & drop nel punto desiderato di una linea di
collegamento tra due box.
Esempio
La figura seguente mostra un esempio di utilizzo dei rami:
Descrizione
Con l'istruzione "Insert binary input" è possibile ampliare con un ingresso binario il box di una
delle seguenti istruzioni:
• "AND logic operation"
• "OR logic operation"
• "EXCLUSIVE OR logic operation"
Ampliando il box di un'istruzione è possibile interrogare lo stato di segnale di diversi
operandi.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Il box dell'istruzione "AND logic operation" è stato ampliato con un ulteriore ingresso binario
nel quale viene interrogato lo stato di segnale dell'operando "TagIn_3". L'uscita "TagOut"
viene impostata se gli operandi "TagIn_1", "TagIn_2" e "TagIn_3" forniscono lo stato di segnale
"1".
Vedere anche
Combinazione logica AND (STEP 7 Safety V18) (Pagina 407)
Combinazione logica OR (STEP 7 Safety V18) (Pagina 408)
X: Combinazione logica OR ESCLUSIVO (STEP 7 Safety V18) (Pagina 409)
Descrizione
L'istruzione "Invert RLO" consente di invertire il risultato logico combinatorio (RLO).
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
13.2.1 KOP
Descrizione
L'attivazione di un contatto normalmente aperto dipende dallo stato di segnale del
corrispondente operando. Se l'operando ha lo stato di segnale "1", il contatto normalmente
aperto viene chiuso. La corrente passa dalla sbarra di corrente sinistra nella sbarra di corrente
destra attraverso il contatto normalmente aperto e lo stato di segnale nell'uscita
dell'istruzione viene impostato a "1".
Se l'operando ha lo stato di segnale "0", il contatto normalmente aperto non viene attivato. Il
flusso di corrente verso la sbarra di corrente destra viene interrotto e lo stato di segnale
nell'uscita dell'istruzione viene resettato a "0".
Nei collegamenti in serie vengono collegati bit per bit due o più contatti normalmente aperti
con l'operazione AND. Nei collegamenti in serie la corrente passa se tutti i contatti sono
chiusi.
Nei collegamenti in parallelo i contatti normalmente aperti vengono combinati tramite OR.
Nei collegamenti in parallelo la corrente passa se uno dei contatti è chiuso.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'attivazione di un contatto normalmente chiuso dipende dallo stato di segnale del
corrispondente operando. Se l'operando ha lo stato di segnale "1", il contatto normalmente
chiuso viene aperto e lo stato di segnale sull'uscita dell'istruzione viene resettato su "0".
Se l'operando ha lo stato di segnale "0", il contatto normalmente chiuso non viene attivato e
lo stato di segnale sull'uscita dell'istruzione viene impostato su "1".
Nei collegamenti in serie vengono collegati bit per bit due o più contatti normalmente chiusi
con l'operazione AND. Nei collegamenti in serie la corrente passa se tutti i contatti sono
chiusi.
Nei collegamenti in parallelo i contatti normalmente chiusi vengono combinati tramite OR.
Nei collegamenti in parallelo la corrente passa se uno dei contatti è chiuso.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "Invert RLO" consente di invertire lo stato di segnale del risultato logico
combinatorio (RLO). Se l'ingresso dell'istruzione ha lo stato di segnale "1", l'uscita ha lo stato
di segnale "0". Se lo stato di segnale nell'ingresso dell'istruzione è "0", l'uscita ha lo stato di
segnale "1".
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
L'operando "TagOut" viene resettato se viene soddisfatta una delle seguenti condizioni:
• L'operando "TagIn_1" fornisce lo stato di segnale "1".
• Lo stato di segnale degli operandi "TagIn_2" e "TagIn_3" è "1".
Descrizione
L'istruzione "Assignment" consente di impostare il bit di uno specifico operando. Se il risultato
logico combinatorio (RLO) nell'ingresso della bobina è "1", l'operando indicato viene
impostato sullo stato di segnale "1". Se nell'ingresso della bobina lo stato di segnale è "0", il
bit dell'operando indicato viene resettato a "0".
Questa istruzione non influisce sull'RLO. L'RLO nell'ingresso della bobina viene trasferito
direttamente nell'uscita.
L'istruzione "Assignment" può essere inserita in qualsiasi punto della rete.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "Reset output" consente di resettare a "0" lo stato di segnale di un operando
specifico.
Se la bobina riceve corrente (RLO "1"), l'operando specificato viene impostato a "0". Se il
risultato logico combinatorio nell'ingresso della bobina è "0" (nessun flusso di segnale nella
bobina), lo stato di segnale dell'operando indicato resta invariato.
Questa istruzione non influisce sull'RLO. L'RLO nell'ingresso della bobina viene trasferito
direttamente nell'uscita della bobina.
Nota
Se si desidera utilizzare un parametro formale di un F-FC per l'operando dell'istruzione, esso
deve essere dichiarato come parametro di transito.
Nota
Se per l'operando dell'istruzione viene utilizzata l'area operandi "Local data (temp)", il bit di
dati locali utilizzato deve essere prima inizializzato.
Nota
Non è possibile utilizzare le aree operandi "Process image of the inputs", "Process image of
the outputs" della periferia standard, "Standard DB" e "Bit memory" per l'operando
dell'istruzione.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
L'operando "TagOut" viene resettato se viene soddisfatta una delle seguenti condizioni:
• Gli operandi "TagIn_1" e "TagIn_2" forniscono lo stato di segnale "1"
• Lo stato di segnale dell'operando "TagIn_3" è "0".
Descrizione
L'istruzione "Set output" consente di impostare a "1" lo stato di segnale di un operando
specifico.
Se la bobina riceve corrente (RLO "1"), l'operando specificato viene impostato a "1". Se il
risultato logico combinatorio nell'ingresso della bobina è "0" (nessun flusso di segnale nella
bobina), lo stato di segnale dell'operando indicato resta invariato.
Questa istruzione non influisce sull'RLO. L'RLO nell'ingresso della bobina viene trasferito
direttamente nell'uscita della bobina.
Nota
L'istruzione non viene eseguita se viene utilizzata sull'uscita di una periferia F passivata
(ad es. all'avviamento del sistema F). Se possibile accedere alle uscite della periferia F solo
con l'istruzione "Assignment".
L'uscita di una periferia F è passivata se nel relativo DB di periferia F è impostato QBAD o
QBAD_O_xx = 1 oppure uno stato del valore = 0 .
Nota
Se si desidera utilizzare un parametro formale di un F-FC per l'operando dell'istruzione, esso
deve essere dichiarato come parametro di transito.
Nota
Se per l'operando dell'istruzione viene utilizzata l'area operandi "Local data (temp)", il bit di
dati locali utilizzato deve essere prima inizializzato.
Nota
Non è possibile utilizzare le aree operandi "Process image of the inputs", "Process image of
the outputs" della periferia standard, "Standard DB" e "Bit memory" per l'operando
dell'istruzione.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "Set/reset flip-flop" consente di impostare o resettare il bit di un operando
specifico in funzione dello stato di segnale negli ingressi S e R1. Se lo stato di segnale
nell'ingresso S è "1" e nell'ingresso R1 è "0", l'operando specificato viene impostato a "1". Se lo
stato di segnale nell'ingresso S è "0" e nell'ingresso R1 è "1", l'operando specificato viene
resettato a "0".
L'ingresso R1 prevale sull'ingresso S. Con uno stato di segnale "1" in entrambi gli ingressi S e
R1 lo stato di segnale dell'operando indicato viene resettato a "0".
Se lo stato di segnale di entrambi gli ingressi S e R1 è "0" l'istruzione non viene eseguita. In
questo caso lo stato di segnale dell'operando resta invariato.
Lo stato di segnale attuale dell'operando viene trasferito nell'uscita Q, dove può essere letto.
Nota
Se si desidera utilizzare un parametro formale di un F-FC per l'operando dell'istruzione, esso
deve essere dichiarato come parametro di transito.
Nota
Non è possibile utilizzare le aree operandi "Process image", "Standard DB" e "Bit memory" per
l'operando dell'istruzione.
Se per l'operando dell'istruzione viene utilizzata l'area operandi "Local data (temp)", il bit di
dati locali utilizzato deve essere prima inizializzato.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "Reset/set flip-flop" consente di resettare o impostare il bit di un operando
specifico in funzione dello stato di segnale negli ingressi R e S1. Se lo stato di segnale
nell'ingresso R è "1" e nell'ingresso S1 è "0", l'operando specificato viene resettato a "0". Se lo
stato di segnale nell'ingresso R è "0" e nell'ingresso S1 è "1", l'operando specificato viene
impostato a "1".
L'ingresso S1 prevale sull'ingresso R. Con uno stato di segnale "1" in entrambi gli ingressi R e
S1 lo stato di segnale dell'operando indicato viene impostato a "1".
Se lo stato di segnale di entrambi gli ingressi R e S1 è "0" l'istruzione non viene eseguita. In
questo caso lo stato di segnale dell'operando resta invariato.
Lo stato di segnale attuale dell'operando viene trasferito nell'uscita Q, dove può essere letto.
Nota
Se si desidera utilizzare un parametro formale di un F-FC per l'operando dell'istruzione, esso
deve essere dichiarato come parametro di transito.
Nota
Non è possibile utilizzare le aree operandi "Process image", "Standard DB" e "Bit memory" per
l'operando dell'istruzione.
Se per l'operando dell'istruzione viene utilizzata l'area operandi "Local data (temp)", il bit di
dati locali utilizzato deve essere prima inizializzato.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "Scan operand for positive signal edge" consente di rilevare se nello stato di
segnale di un operando specifico (<Operando1>) è presente un passaggio da "0" a "1".
L'istruzione confronta lo stato di segnale attuale dell'<Operando1> con quello
dell'interrogazione precedente memorizzato nell'<Operando2>. Se l'istruzione rileva un
passaggio da "0" a "1" nel risultato logico combinatorio, è presente un fronte di salita positivo.
Se viene rilevato un fronte di salita, l'uscita dell'istruzione ha lo stato di segnale "1". In tutti gli
altri casi lo stato di segnale sull'uscita dell'istruzione è "0".
L'operando da interrogare (<Operando1>) va indicato nell'apposito segnaposto sopra
l'istruzione. Il merker del fronte (<Operando2>) va indicato nell'apposito segnaposto sotto
l'istruzione.
Nota
L'indirizzo del merker del fronte non può essere utilizzato più di una volta nel programma
poiché in questo caso il merker del fronte viene sovrascritto. Questo influenza l'analisi del
fronte, compromettendo l'univocità del risultato.
Nota
Se si desidera utilizzare un parametro formale di un F-FC per il merker del fronte
<Operando2> dell'istruzione, esso deve essere dichiarato come parametro di transito.
Nota
Non è possibile utilizzare le aree operandi "Process image", "Standard DB" e "Bit memory" per
il merker del fronte <Operando2> dell'istruzione.
Se per il merker del fronte <Operando2> dell'istruzione viene utilizzata l'area operandi "Local
data (temp)", il bit di dati locali utilizzato deve essere prima inizializzato.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "Scan operand for negative signal edge" consente di rilevare se nello stato di
segnale di un operando specifico si è verificata una commutazione da "1" a "0". L'istruzione
confronta lo stato di segnale attuale dell'<Operando1> con quello dell'interrogazione
precedente memorizzato nell'<Operando2>. Se l'istruzione rileva un passaggio da "1" a "0" nel
risultato logico combinatorio, è presente un fronte di discesa negativo.
Se viene rilevato un fronte di discesa, l'uscita dell'istruzione ha lo stato di segnale "1". In tutti
gli altri casi lo stato di segnale sull'uscita dell'istruzione è "0".
L'operando da interrogare (<Operando1>) va indicato nell'apposito segnaposto sopra
l'istruzione. Il merker del fronte (<Operando2>) va indicato nell'apposito segnaposto sotto
l'istruzione.
Nota
L'indirizzo del merker del fronte non può essere utilizzato più di una volta nel programma
poiché in questo caso il merker del fronte viene sovrascritto. Questo influenza l'analisi del
fronte, compromettendo l'univocità del risultato.
Nota
Se si desidera utilizzare un parametro formale di un F-FC per il merker del fronte
<Operando2> dell'istruzione, esso deve essere dichiarato come parametro di transito.
Nota
Non è possibile utilizzare le aree operandi "Process image", "Standard DB" e "Bit memory" per
il merker del fronte <Operando2> dell'istruzione.
Se per il merker del fronte <Operando2> dell'istruzione viene utilizzata l'area operandi "Local
data (temp)", il bit di dati locali utilizzato deve essere prima inizializzato.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
13.2.1.11 P_TRIG: Interrogazione del fronte di salita del segnale del RLO (STEP 7 Safety V18)
Descrizione
L'istruzione "Scan RLO for positive signal edge" consente di interrogare una commutazione da
"0" a "1" nello stato di segnale del risultato logico combinatorio. L'istruzione confronta lo stato
di segnale attuale del risultato logico combinatorio (RLO) con quello dell'interrogazione
precedente memorizzato nel merker del fronte (<Operando>). Se l'istruzione rileva un
passaggio da "0" a "1" nell'RLO, è presente un fronte di salita positivo.
Se viene rilevato un fronte di salita, l'uscita dell'istruzione ha lo stato di segnale "1". In tutti gli
altri casi lo stato di segnale sull'uscita dell'istruzione è "0".
Nota
L'indirizzo del merker del fronte non può essere utilizzato più di una volta nel programma
poiché in questo caso il merker del fronte viene sovrascritto. Questo influenza l'analisi del
fronte, compromettendo l'univocità del risultato.
Nota
Se si desidera utilizzare un parametro formale di un F-FC per il merker del fronte <Operando>
dell'istruzione, esso deve essere dichiarato come parametro di transito.
Nota
Non è possibile utilizzare le aree operandi "Process image", "Standard DB" e "Bit memory" per
il merker del fronte <Operando> dell'istruzione.
Se per il merker del fronte <Operando> dell'istruzione viene utilizzata l'area operandi "Local
data (temp)", il bit di dati locali utilizzato deve essere prima inizializzato.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Nel merker del fronte ""F_DB_1".Tag_M" viene salvato l'RLO della combinazione logica di bit
precedente. Se viene rilevato un cambio da "0" a "1" nello stato di segnale dell'RLO viene
eseguito il salto all'etichetta CAS1.
13.2.1.12 N_TRIG: Interrogazione del fronte di discesa del segnale del RLO
(STEP 7 Safety V18)
Descrizione
L'istruzione "Scan RLO for negative signal edge" consente di interrogare una commutazione
da "1" a "0" nello stato di segnale del risultato logico combinatorio (RLO). L'istruzione
confronta lo stato di segnale attuale del risultato logico combinatorio con quello
dell'interrogazione precedente memorizzato nel merker del fronte (<Operando>). Se
l'istruzione rileva un passaggio da "1" a "0" nell'RLO è presente un fronte di discesa negativo.
Se viene rilevato un fronte di discesa, l'uscita dell'istruzione ha lo stato di segnale "1". In tutti
gli altri casi lo stato di segnale sull'uscita dell'istruzione è "0".
Nota
L'indirizzo del merker del fronte non può essere utilizzato più di una volta nel programma
poiché in questo caso il merker del fronte viene sovrascritto. Questo influenza l'analisi del
fronte, compromettendo l'univocità del risultato.
Nota
Se si desidera utilizzare un parametro formale di un F-FC per il merker del fronte <Operando>
dell'istruzione, esso deve essere dichiarato come parametro di transito.
Nota
Non è possibile utilizzare le aree operandi "Process image", "Standard DB" e "Bit memory" per
il merker del fronte <Operando> dell'istruzione.
Se per il merker del fronte <Operando> dell'istruzione viene utilizzata l'area operandi "Local
data (temp)", il bit di dati locali utilizzato deve essere prima inizializzato.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Nel merker del fronte ""F_DB_1".Tag_M" viene salvato l'RLO della combinazione logica di bit
predecente. Se viene rilevato un cambio da "1" a "0" nello stato di segnale dell'RLO viene
eseguito il salto all'etichetta CAS1.
13.2.2 FUP
Descrizione
È possibile utilizzare l'istruzione "AND logic operation" per interrogare gli stati di segnale di
due o più operandi specificati analizzandoli poi secondo la tabella di verità AND.
Se lo stato di segnale di tutti gli operandi è "1", la condizione è soddisfatta e l'istruzione
fornisce il risultato "1". Se lo stato di segnale di un operando è "0", la condizione non è
soddisfatta e l'istruzione genera il risultato "0".
Se l'istruzione "AND logic operation" è la prima all'interno di una stringa logica, essa
memorizza il risultato della sua interrogazione dello stato di segnale nel bit RLO.
Qualsiasi istruzione "AND logic operation" che non sia la prima di una stringa logica combina
il risultato della propria interrogazione dello stato di segnale con il valore salvato nel bit RLO.
Questa combinazione viene eseguita secondo la tabella di verità AND.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
L'uscita "TagOut" viene impostata se lo stato di segnale degli operandi "TagIn_1" e "TagIn_2" è
"1".
Stato del segnale del primo Stato del segnale del secondo Risultato logico
operando operando combinatorio
1 1 1
0 1 0
1 0 0
0 0 0
Vedere anche
Inserimento di un ingresso binario (STEP 7 Safety V18) (Pagina 392)
Descrizione
È possibile utilizzare l'istruzione "OR logic operation" per interrogare gli stati del segnale di
due o più operandi specificati analizzandoli poi secondo la tabella di verità OR.
Se lo stato di segnale di almeno uno degli operandi è "1", la condizione è soddisfatta e
l'istruzione fornisce il risultato "1". Se lo stato di segnale di tutti gli operandi è "0", la
condizione non è soddisfatta e l'istruzione genera il risultato "0".
Se l'istruzione "OR logic operation" è la prima all'interno di una stringa logica, essa memorizza
il risultato della sua interrogazione dello stato di segnale nel bit RLO.
Qualsiasi istruzione "OR logic operation" che non sia la prima di una stringa logica combina il
risultato della propria interrogazione dello stato di segnale con il valore salvato nel bit RLO.
Questa combinazione viene eseguita secondo la tabella di verità OR.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
L'uscita "TagOut" viene impostata se lo stato di segnale degli operandi "TagIn_1" o "TagIn_2" è
"1".
Tabella di verità OR
La seguente tabella mostra i risultati della combinazione logica di due operandi tramite OR:
Stato del segnale del primo Stato del segnale del secondo Risultato logico
operando operando combinatorio
1 0 1
0 1 1
1 1 1
0 0 0
Vedere anche
Inserimento di un ingresso binario (STEP 7 Safety V18) (Pagina 392)
Descrizione
L'istruzione "EXCLUSIVE OR logic operation" può essere utilizzata per rilevare il risultato di
un'interrogazione dello stato del segnale secondo la tabella di verità OR ESCLUSIVO.
In un'istruzione "EXCLUSIVE OR logic operation" lo stato di segnale è "1" se lo stato di segnale
di uno dei due operandi specificati è "1". Nel caso di un'interrogazione di più di due operandi,
il risultato logico combinatorio condiviso è "1" se un numero dispari di operandi interrogati dà
come risultato dell'interrogazione "1".
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
L'uscita "TagOut" viene impostata se lo stato di segnale di uno dei due operandi "TagIn_1" e
"TagIn_2" è "1". Se entrambi gli operandi forniscono lo stato di segnale "1" o "0", l'uscita
"TagOut" viene resettata.
Stato del segnale del primo Stato del segnale del secondo Risultato logico
operando operando combinatorio
1 0 1
0 1 1
1 1 0
0 0 0
La seguente tabella mostra i risultati della combinazione logica di tre operandi tramite OR
ESCLUSIVO:
Stato del segnale del Stato del segnale del Stato del segnale Risultato logico
primo operando secondo operando del terzo operando combinatorio
1 0 0 1
0 1 1 0
0 1 0 1
1 0 1 0
0 0 1 1
1 1 0 0
1 1 1 1
0 0 0 0
Vedere anche
Inserimento di un ingresso binario (STEP 7 Safety V18) (Pagina 392)
Descrizione
L'istruzione "Assignment" consente di impostare il bit di uno specifico operando. Se il risultato
logico combinatorio (RLO) nell'ingresso del box ha lo stato di segnale "1" o l'ingresso del box
non è collegato per le F-CPU S7-1200/1500, l'operando specificato viene impostato allo stato
di segnale "1". Se nell'ingresso del box lo stato di segnale è "0", il bit dell'operando specificato
viene resettato a "0".
Questa istruzione non influisce sull'RLO. L'RLO nell'ingresso del box viene assegnato
direttamente all'operando situato sopra al box di assegnazione.
L'istruzione "Assignment" può essere collocata in qualunque punto della stringa logica.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "Reset output" consente di resettare a "0" lo stato di segnale di un operando
specifico.
Se l'ingresso del box ha lo stato di segnale "1" o non collegato (nelle F-CPU S7-1200/1500),
l'operando specificato viene resettato a "0". Se il risultato logico combinatorio nell'ingresso
del box è "0", lo stato di segnale dell'operando indicato resta invariato.
Questa istruzione non influisce sull'RLO. L'RLO nell'ingresso del box viene trasferito
direttamente all'uscita del box.
Nota
Se si desidera utilizzare un parametro formale di un F-FC per l'operando dell'istruzione, esso
deve essere dichiarato come parametro di transito.
Nota
Se per l'operando dell'istruzione viene utilizzata l'area operandi "Local data (temp)", il bit di
dati locali utilizzato deve essere prima inizializzato.
Nota
Non è possibile utilizzare le aree operandi "Process image of the inputs", "Process image of
the outputs" della periferia standard, "Standard DB" e "Bit memory" per l'operando
dell'istruzione.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "Set output" consente di impostare a "1" lo stato di segnale di un operando
specifico.
Se l'ingresso del box ha lo stato di segnale "1" o l'ingresso del box non è collegato (nelle
F-CPU S7-1200/1500), l'operando specificato viene impostato su "1". Se il risultato logico
combinatorio nell'ingresso del box è "0", lo stato di segnale dell'operando indicato resta
invariato.
Questa istruzione non influisce sull'RLO. L'RLO nell'ingresso del box viene trasferito
direttamente all'uscita del box.
Nota
L'istruzione non viene eseguita se viene utilizzata sull'uscita di una periferia F passivata (ad
es. all'avviamento del sistema F). Se possibile accedere alle uscite della periferia F solo con
l'istruzione "Assignment".
L'uscita di una periferia F è passivata se nel relativo DB di periferia F è impostato QBAD o
QBAD_O_xx = 1 oppure uno stato del valore = 0 .
Nota
Se si desidera utilizzare un parametro formale di un F-FC per l'operando dell'istruzione, esso
deve essere dichiarato come parametro di transito.
Nota
Se per l'operando dell'istruzione viene utilizzata l'area operandi "Local data (temp)", il bit di
dati locali utilizzato deve essere prima inizializzato.
Nota
Non è possibile utilizzare le aree operandi "Process image of the inputs", "Process image of
the outputs" della periferia standard, "Standard DB" e "Bit memory" per l'operando
dell'istruzione.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "Set/reset flip-flop" consente di impostare o resettare il bit di un operando
specifico in funzione dello stato di segnale negli ingressi S e R1. Se lo stato di segnale
nell'ingresso S è "1" e nell'ingresso R1 è "0", l'operando specificato viene impostato a "1". Se lo
stato di segnale nell'ingresso S è "0" e nell'ingresso R1 è "1", l'operando specificato viene
resettato a "0".
L'ingresso R1 prevale sull'ingresso S. Con uno stato di segnale "1" in entrambi gli ingressi S e
R1 lo stato di segnale dell'operando indicato viene resettato a "0".
Se lo stato di segnale di entrambi gli ingressi S e R1 è "0" l'istruzione non viene eseguita. In
questo caso lo stato di segnale dell'operando resta invariato.
Lo stato di segnale attuale dell'operando viene trasferito nell'uscita Q, dove può essere letto.
Nota
Se si desidera utilizzare un parametro formale di un F-FC per l'operando dell'istruzione, esso
deve essere dichiarato come parametro di transito.
Nota
Non è possibile utilizzare le aree operandi "Process image", "Standard DB" e "Bit memory" per
l'operando dell'istruzione.
Se per i merker del fronte dell'istruzione viene utilizzata l'area operandi "Local data (temp)", il
bit di dati locali utilizzato deve essere prima inizializzato.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "Reset/set flip-flop" consente di resettare o impostare il bit di un operando
specifico in funzione dello stato di segnale negli ingressi R e S1. Se lo stato di segnale
nell'ingresso R è "1" e nell'ingresso S1 è "0", l'operando specificato viene resettato a "0". Se lo
stato di segnale nell'ingresso R è "0" e nell'ingresso S1 è "1", l'operando specificato viene
impostato a "1".
L'ingresso S1 prevale sull'ingresso R. Con uno stato di segnale "1" in entrambi gli ingressi R e
S1 lo stato di segnale dell'operando indicato viene impostato a "1".
Se lo stato di segnale di entrambi gli ingressi R e S1 è "0" l'istruzione non viene eseguita. In
questo caso lo stato di segnale dell'operando resta invariato.
Lo stato di segnale attuale dell'operando viene trasferito nell'uscita Q, dove può essere letto.
Nota
Se si desidera utilizzare un parametro formale di un F-FC per l'operando dell'istruzione, esso
deve essere dichiarato come parametro di transito.
Nota
Non è possibile utilizzare le aree operandi "Process image", "Standard DB" e "Bit memory" per
l'operando dell'istruzione.
Se per i merker del fronte dell'istruzione viene utilizzata l'area operandi "Local data (temp)", il
bit di dati locali utilizzato deve essere prima inizializzato.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "Scan operand for positive signal edge" consente di rilevare se nello stato di
segnale di un operando specifico (<Operando1>) è presente un passaggio da "0" a "1".
L'istruzione confronta lo stato di segnale attuale dell'<Operando1> con quello
dell'interrogazione precedente memorizzato nell'<Operando2>. Se l'istruzione rileva un
passaggio da "0" a "1" nel risultato logico combinatorio, è presente un fronte di salita positivo.
Se viene rilevato un fronte di salita, l'uscita dell'istruzione ha lo stato di segnale "1". In tutti gli
altri casi lo stato di segnale sull'uscita dell'istruzione è "0".
L'operando da interrogare (<Operando1>) va indicato nell'apposito segnaposto sopra
l'istruzione. Il merker del fronte (<Operando2>) va indicato nell'apposito segnaposto sotto
l'istruzione.
Nota
L'indirizzo del merker del fronte non può essere utilizzato più di una volta nel programma
poiché in questo caso il merker del fronte viene sovrascritto. Questo influenza l'analisi del
fronte, compromettendo l'univocità del risultato.
Nota
Se si desidera utilizzare un parametro formale di un F-FC per il merker del fronte
<Operando2> dell'istruzione, esso deve essere dichiarato come parametro di transito.
Nota
Non è possibile utilizzare le aree operandi "Process image", "Standard DB" e "Bit memory" per
il merker del fronte <Operando2> dell'istruzione.
Se per il merker del fronte <Operando2> dell'istruzione viene utilizzata l'area operandi "Local
data (temp)", il bit di dati locali utilizzato deve essere prima inizializzato.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "Scan operand for negative signal edge" consente di rilevare se nello stato di
segnale di un operando specifico si è verificata una commutazione da "1" a "0". L'istruzione
confronta lo stato di segnale attuale dell'<Operando1> con quello dell'interrogazione
precedente memorizzato nell'<Operando2>. Se l'istruzione rileva un passaggio da "1" a "0" nel
risultato logico combinatorio, è presente un fronte di discesa negativo.
Se viene rilevato un fronte di discesa, l'uscita dell'istruzione ha lo stato di segnale "1". In tutti
gli altri casi lo stato di segnale sull'uscita dell'istruzione è "0".
L'operando da interrogare (<Operando1>) va indicato nell'apposito segnaposto sopra
l'istruzione. Il merker del fronte (<Operando2>) va indicato nell'apposito segnaposto sotto
l'istruzione.
Nota
L'indirizzo del merker del fronte non può essere utilizzato più di una volta nel programma
poiché in questo caso il merker del fronte viene sovrascritto. Questo influenza l'analisi del
fronte, compromettendo l'univocità del risultato.
Nota
Se si desidera utilizzare un parametro formale di un F-FC per il merker del fronte
<Operando2> dell'istruzione, esso deve essere dichiarato come parametro di transito.
Nota
Non è possibile utilizzare le aree operandi "Process image", "Standard DB" e "Bit memory" per
il merker del fronte <Operando2> dell'istruzione.
Se per il merker del fronte <Operando2> dell'istruzione viene utilizzata l'area operandi "Local
data (temp)", il bit di dati locali utilizzato deve essere prima inizializzato.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
13.2.2.11 P_TRIG: Interrogazione del fronte di salita del segnale del RLO (STEP 7 Safety V18)
Descrizione
L'istruzione "Scan RLO for positive signal edge" consente di interrogare una commutazione da
"0" a "1" nello stato di segnale del risultato logico combinatorio. L'istruzione confronta lo stato
di segnale attuale del risultato logico combinatorio con quello dell'interrogazione precedente
memorizzato nel merker del fronte (<Operando>). Se l'istruzione rileva un passaggio da "0" a
"1" nell'RLO, è presente un fronte di salita positivo.
Se viene rilevato un fronte di salita, l'uscita dell'istruzione ha lo stato di segnale "1". In tutti gli
altri casi lo stato di segnale sull'uscita dell'istruzione è "0".
Nota
L'indirizzo del merker del fronte non può essere utilizzato più di una volta nel programma
poiché in questo caso il merker del fronte viene sovrascritto. Questo influenza l'analisi del
fronte, compromettendo l'univocità del risultato.
Nota
Se si desidera utilizzare un parametro formale di un F-FC per il merker del fronte <Operando>
dell'istruzione, esso deve essere dichiarato come parametro di transito.
Nota
Non è possibile utilizzare le aree operandi "Process image", "Standard DB" e "Bit memory" per
il merker del fronte <Operando> dell'istruzione.
Se per il merker del fronte <Operando> dell'istruzione viene utilizzata l'area operandi "Local
data (temp)", il bit di dati locali utilizzato deve essere prima inizializzato.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Nel merker del fronte ""F_DB_1".Tag_M" viene salvato l'RLO della combinazione logica di bit
precedente. Se viene rilevato un cambio da "0" a "1" nello stato di segnale dell'RLO viene
eseguito il salto all'etichetta CAS1.
13.2.2.12 N_TRIG: Interrogazione del fronte di discesa del segnale del RLO
(STEP 7 Safety V18)
Descrizione
L'istruzione "Scan RLO for negative signal edge" consente di interrogare una commutazione
da "1" a "0" nello stato di segnale del risultato logico combinatorio (RLO). L'istruzione
confronta lo stato di segnale attuale del risultato logico combinatorio con quello
dell'interrogazione precedente memorizzato nel merker del fronte (<Operando>). Se
l'istruzione rileva un passaggio da "1" a "0" nell'RLO è presente un fronte di discesa negativo.
Se viene rilevato un fronte di discesa, l'uscita dell'istruzione ha lo stato di segnale "1". In tutti
gli altri casi lo stato di segnale sull'uscita dell'istruzione è "0".
Nota
L'indirizzo del merker del fronte non può essere utilizzato più di una volta nel programma
poiché in questo caso il merker del fronte viene sovrascritto. Questo influenza l'analisi del
fronte, compromettendo l'univocità del risultato.
Nota
Se si desidera utilizzare un parametro formale di un F-FC per il merker del fronte <Operando>
dell'istruzione, esso deve essere dichiarato come parametro di transito.
Nota
Non è possibile utilizzare le aree operandi "Process image", "Standard DB" e "Bit memory" per
il merker del fronte <Operando> dell'istruzione.
Se per il merker del fronte <Operando> dell'istruzione viene utilizzata l'area operandi "Local
data (temp)", il bit di dati locali utilizzato deve essere prima inizializzato.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Nel merker del fronte ""F_DB_1".Tag_M" viene salvato l'RLO della combinazione logica di bit
predecente. Se viene rilevato un cambio da "1" a "0" nello stato di segnale dell'RLO viene
eseguito il salto all'etichetta CAS1.
Descrizione
Questa istruzione supporta la realizzazione di un ARRESTO DI EMERGENZA/OFF di emergenza
con conferma per le categorie di arresto 0 e 1 per soddisfare i requisiti delle norme IEC 60204
o IEC 61800-5-2. Per soddisfare pienamente i requisiti della norma pertinente, può essere
tuttavia necessario adottare ulteriori misure specificate nella norma.
Il segnale di abilitazione Q viene resettato a 0 quando l'ingresso E_STOP passa allo stato di
segnale 0 (categoria di arresto 0). Il segnale di abilitazione Q_DELAY viene resettato a 0 dopo
il tempo di ritardo impostato sull'ingresso TIME_DEL (categoria di arresto 1).
Il segnale di abilitazione Q viene nuovamente impostato su 1 quando l'ingresso E_STOP passa
allo stato di segnale 1 e ha luogo una conferma. La conferma dell'abilitazione avviene in base
alla parametrizzazione dell'ingresso ACK_NEC:
• Con ACK_NEC = 0 la conferma è automatica.
• Con ACK_NEC = 1 per confermare l'abilitazione deve essere utilizzato un fronte di salita
sull'ingresso ACK.
L'uscita ACK_REQ segnala che per la conferma è necessaria una conferma utente sull'ingresso
ACK. L'istruzione imposta l'uscita ACK_REQ su 1 quando l'ingresso E_STOP è = 1.
Dopo la conferma l'istruzione ACK_REQ viene resettata a 0.
A ogni richiamo dell'istruzione "Emergency STOP/emergency OFF up to stop category 1" deve
essere assegnata un'area di dati nella quale vengono salvati i dati dell'istruzione. Inoltre,
durante l'inserimento dell'istruzione, nel programma viene aperta automaticamente la
finestra di dialogo "Call options", nella quale è possibile inserire un blocco dati (istanza
singola) (ad es. ESTOP1_DB_1) o una multiistanza (ad es. ESTOP1_Instance_1) per l'istruzione
"Emergency STOP/emergency OFF up to stop category 1". Dopo la creazione, il nuovo blocco
dati si trova nella navigazione del progetto, nella cartella "STEP 7 Safety" in "Program blocks >
System blocks" o la multiistanza come variabile locale nella sezione "Static" dell'interfaccia del
blocco. Per ulteriori informazioni a riguardo consultare la Guida di STEP 7.
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione (indipendentemente dallo stato di segnale sull'ingresso
di abilitazione "EN") viene sempre eseguita.
AVVERTENZA
AVVERTENZA
Per la definizione dei tempi di reazione in caso di utilizzo di una istruzione con elaborazione
temporale occorre considerare i seguenti fattori di indeterminatezza temporale:
• la nota indeterminatezza temporale indicata del programma utente standard, dovuta
all'elaborazione ciclica
• l'indeterminatezza temporale dovuta all'istante di aggiornamento della base oraria
utilizzata all'istante di aggiornamento della base oraria utilizzata nell'istruzione (vedere la
figura della sezione "Indeterminatezza temporale dovuta all'istante di aggiornamento
della base oraria utilizzata nell'istruzione")
• la tolleranza del controllo interno dei tempi nella F-CPU
– con valori temporali fino a 200 ms max. 4 ms
– con valori temporali a partire da 200 ms max. 2 % del valore temporale
(parametrizzato)
• la tolleranza del controllo interno dei tempi nella HF-CPU S7-1500
– con valori temporali fino a 500 ms max. 10 ms
– con valori temporali a partire da 500 ms max. 2 % del valore temporale
(parametrizzato)
L'intervallo tra due istanti di richiamo di una istruzione con elaborazione temporale va scelto
in modo che, anche considerando la possibile indeterminatezza temporale, vengano
raggiunti i tempi di reazione richiesti. (S034)
Osservazione: In presenza di due canali conformemente alla Categoria 3,4 secondo ISO
13849-1:2015 o EN ISO 13849-1:2015 il controllo delle discrepanze tra i due contatti
normalmente chiusi dell'ARRESTO DI EMERGENZA/OFF di emergenza deve essere eseguito già
dalla periferia F. A questo scopo occorre progettare la periferia F (valutazione degli encoder: 2
canali, equivalenti) e collegare il risultato della valutazione con l'ingresso E_STOP. Per non
influenzare il tempo di reazione con il tempo di discrepanza, durante la progettazione è
necessario parametrizzare "Supply value 0" per il comportamento di discrepanza.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Durante la creazione di una nuova F-CPU con STEP 7 Safety è automaticamente preimpostata
la versione più recente disponibile per la F-CPU creata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
Comportamento all'avviamento
Dopo l'avviamento del sistema F, con ACK_NEC = 1, deve essere utilizzato un fronte di salita
sull'ingresso ACK per confermare l'istruzione.
Uscita DIAG
Ai fini dell'assistenza, sull'uscita DIAG viene messa a disposizione un'informazione non
fail-safe sugli errori che si sono verificati. Questa informazione può essere letta con i sistemi
di servizio e supervisione o eventualmente valutata nel programma utente standard. I bit
DIAG 4 e 5 restano memorizzati fino alla conferma sull'ingresso ACK.
Configurazione di DIAG
Imprecisioni temporali che si verificano all'istante di aggiornamento della base oraria utilizzata
nell'istruzione
① L'istante di richiamo dell'istruzione al primo richiamo nel ciclo n+1 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ1 rispetto al ciclo n, ad es. perché parti del programma di sicurezza
del gruppo di esecuzione F vengono saltate prima dell'istante di richiamo dell'istruzione nel
ciclo n+1. Durante l'aggiornamento del tempo l'istruzione prende in considerazione il tempo
Tbases_1 anziché il tempo T1 effettivamente trascorso dal richiamo nel ciclo n.
② L'istruzione viene richiamata una seconda volta nel ciclo n+1. Tuttavia non viene eseguito un
nuovo aggiornamento del tempo (con Δ2).
③ L'istante di richiamo dell'istruzione al richiamo nel ciclo n+2 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ3 rispetto al ciclo n, ad es. perché il gruppo di esecuzione F è stato
interrotto prima dell'istante di richiamo dell'istruzione nel ciclo n+2 da un allarme con priorità
superiore. Invece del tempo T3 effettivamente trascorso dal richiamo nel ciclo n, l'istruzione ha
preso in considerazione i tempi Tbase_1 e Tbase_2. Ciò avverrebbe anche se non fosse stato
effettuato alcun richiamo nel ciclo n+1.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
13.3.2 TWO_HAND: Controllo a due mani (STEP 7 Safety Advanced V18) (S7-300,
S7-400)
Descrizione
Questa istruzione supporta la realizzazione di un controllo a due mani per soddisfare i
requisiti della norma ISO 13851. Per soddisfare pienamente i requisiti della norma, può
essere tuttavia necessario adottare ulteriori misure specificate nella norma stessa.
Nota
Questa istruzione è disponibile solo per F-CPU S7-300 e S7-400. Per F-CPU S7-1200/1500 è
disponibile l'istruzione "Two-hand monitoring with enable". L'applicazione "Two-hand
monitoring with enable" sostituisce l'istruzione "Two-hand monitoring" in modo
funzionalmente compatibile.
Se i pulsanti IN1 e IN2 vengono azionati entro il tempo di discrepanza ammesso DISCTIME ≤
500 ms (IN1/IN2 = 1) (azionamento sincrono), il segnale di abilitazione Q viene impostato su
1. Se la differenza di tempo tra l'azionamento del pulsante IN1 e quella del pulsante IN2 è
superiore a DISCTIME, i pulsanti devono essere rilasciati e premuti nuovamente.
Q viene reimpostato a 0 non appena un pulsante viene rilasciato (IN1/IN2 = 0). Il segnale di
abilitazione Q può quindi essere nuovamente impostato su 1 solo quando anche l'altro
pulsante è stato rilasciato e quando entrambi i pulsanti vengono nuovamente premuti entro il
tempo di discrepanza. Il segnale di abilitazione Q non può mai essere impostato su 1 se il
tempo di discrepanza è impostato su valori < 0 o > 500 ms.
A ogni richiamo dell'istruzione "Two-hand monitoring" deve essere assegnata un'area di dati
nel quale vengono salvati i dati dell'istruzione. Inoltre, durante l'inserimento dell'istruzione,
nel programma viene aperta automaticamente la finestra di dialogo "Call options", nella quale
è possibile inserire un blocco dati (istanza singola) (ad es. TWO_HAND_DB_1) o una
multiistanza (ad es. TWO_HAND_Instance_1) per l'istruzione "Two-hand monitoring". Dopo la
creazione, il nuovo blocco dati si trova nella navigazione del progetto, nella cartella "STEP 7
Safety" in "Program blocks > System blocks" o la multiistanza come variabile locale nella
sezione "Static" dell'interfaccia del blocco. Per ulteriori informazioni a riguardo consultare la
Guida di STEP 7.
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione (indipendentemente dallo stato di segnale sull'ingresso
di abilitazione "EN") viene sempre eseguita.
Osservazione: Nell'istruzione più essere valutato un solo segnale per ogni pulsante. Il
controllo di discrepanza del contatto normalmente chiuso e del contatto normalmente aperto
del pulsante IN1 e IN2 viene eseguito durante la progettazione corrispondente (valutazione
dell'encoder: 1oo2 evaluation, antivalente) direttamente attraverso la periferia F con ingressi.
Il contatto normalmente aperto deve essere cablato in modo da fornire il segnale utile
(vedere il manuale delle periferie F utilizzate). Per non influenzare il tempo di reazione con il
tempo di discrepanza, durante la progettazione è necessario parametrizzare "Supply value 0"
per il comportamento di discrepanza. Se viene riconosciuta una discrepanza, per il pulsante
viene inserito il valore sostitutivo 0 nell'immagine di processo degli ingressi (IPI) e nel
rispettivo DB di periferia F viene impostato QBAD o QBAD_I_xx = 1. (Vedere anche Accesso
alla periferia F (Pagina 152))
AVVERTENZA
Per la definizione dei tempi di reazione in caso di utilizzo di una istruzione con elaborazione
temporale occorre considerare i seguenti fattori di indeterminatezza temporale:
• la nota indeterminatezza temporale indicata del programma utente standard, dovuta
all'elaborazione ciclica
• l'indeterminatezza temporale dovuta all'istante di aggiornamento della base oraria
utilizzata all'istante di aggiornamento della base oraria utilizzata nell'istruzione (vedere la
figura della sezione "Indeterminatezza temporale dovuta all'istante di aggiornamento
della base oraria utilizzata nell'istruzione")
• la tolleranza del controllo interno dei tempi nella F-CPU
– con valori temporali fino a 200 ms max. 4 ms
– con valori temporali a partire da 200 ms max. 2 % del valore temporale
(parametrizzato)
• la tolleranza del controllo interno dei tempi nella HF-CPU S7-1500
– con valori temporali fino a 500 ms max. 10 ms
– con valori temporali a partire da 500 ms max. 2 % del valore temporale
(parametrizzato)
L'intervallo tra due istanti di richiamo di una istruzione con elaborazione temporale va scelto
in modo che, anche considerando la possibile indeterminatezza temporale, vengano
raggiunti i tempi di reazione richiesti. (S034)
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Imprecisioni temporali che si verificano all'istante di aggiornamento della base oraria utilizzata
nell'istruzione
① L'istante di richiamo dell'istruzione al primo richiamo nel ciclo n+1 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ1 rispetto al ciclo n, ad es. perché parti del programma di sicurezza
del gruppo di esecuzione F vengono saltate prima dell'istante di richiamo dell'istruzione nel
ciclo n+1. Durante l'aggiornamento del tempo l'istruzione prende in considerazione il tempo
Tbases_1 anziché il tempo T1 effettivamente trascorso dal richiamo nel ciclo n.
② L'istruzione viene richiamata una seconda volta nel ciclo n+1. Tuttavia non viene eseguito un
nuovo aggiornamento del tempo (con Δ2).
③ L'istante di richiamo dell'istruzione al richiamo nel ciclo n+2 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ3 rispetto al ciclo n, ad es. perché il gruppo di esecuzione F è stato
interrotto prima dell'istante di richiamo dell'istruzione nel ciclo n+2 da un allarme con priorità
superiore. Invece del tempo T3 effettivamente trascorso dal richiamo nel ciclo n, l'istruzione ha
preso in considerazione i tempi Tbase_1 e Tbase_2. Ciò avverrebbe anche se non fosse stato
effettuato alcun richiamo nel ciclo n+1.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
13.3.3 TWO_H_EN: Controllo a due mani con abilitazione (STEP 7 Safety V18)
Descrizione
Questa istruzione supporta la realizzazione di un controllo a due mani con abilitazione per
soddisfare i requisiti della norma ISO 13851. Per soddisfare pienamente i requisiti della
norma, può essere tuttavia necessario adottare ulteriori misure specificate nella norma
stessa.
Se i pulsanti IN1 e IN2 vengono azionati entro il tempo di discrepanza ammesso DISCTIME ≤
500 ms (IN1/IN2 = 1) (azionamento sincrono), con l'abilitazione esistente ENABLE = 1 il
segnale di abilitazione Q viene impostato su 1. Se la differenza di tempo tra l'azionamento del
pulsante IN1 e quella del pulsante IN2 è superiore a DISCTIME, i pulsanti devono essere
rilasciati e premuti nuovamente.
Q viene reimpostato 0 non appena un pulsante viene rilasciato (IN1/IN 2 = 0) o l'abilitazione
diventa ENABLE = 0. Il segnale di abilitazione Q può quindi essere nuovamente impostato su
1 solo quando anche l'altro pulsante è stato rilasciato e quando entrambi i pulsanti vengono
nuovamente premuti entro il tempo di discrepanza, in caso di abilitazione esistente ENABLE =
1.
A ogni richiamo dell'istruzione "Two-hand monitoring with enable" deve essere assegnata
un'area di dati nella quale vengono salvati i dati dell'istruzione. Inoltre, durante l'inserimento
dell'istruzione, nel programma viene aperta automaticamente la finestra di dialogo "Call
options", nella quale è possibile inserire un blocco dati (istanza singola) (ad es.
TWO_H_EN_DB_1) o una multiistanza (ad es. TWO_H_EN_Instance_1) per l'istruzione "Two-
hand monitoring with enable". Dopo la creazione, il nuovo blocco dati si trova nella
navigazione del progetto, nella cartella "STEP 7 Safety" in "Program blocks > System blocks" o
la multiistanza come variabile locale nella sezione "Static" dell'interfaccia del blocco. Per
ulteriori informazioni a riguardo consultare la Guida di STEP 7.
AVVERTENZA
Per la definizione dei tempi di reazione in caso di utilizzo di una istruzione con elaborazione
temporale occorre considerare i seguenti fattori di indeterminatezza temporale:
• la nota indeterminatezza temporale indicata del programma utente standard, dovuta
all'elaborazione ciclica
• l'indeterminatezza temporale dovuta all'istante di aggiornamento della base oraria
utilizzata all'istante di aggiornamento della base oraria utilizzata nell'istruzione (vedere la
figura della sezione "Indeterminatezza temporale dovuta all'istante di aggiornamento
della base oraria utilizzata nell'istruzione")
• la tolleranza del controllo interno dei tempi nella F-CPU
– con valori temporali fino a 200 ms max. 4 ms
– con valori temporali a partire da 200 ms max. 2 % del valore temporale
(parametrizzato)
• la tolleranza del controllo interno dei tempi nella HF-CPU S7-1500
– con valori temporali fino a 500 ms max. 10 ms
– con valori temporali a partire da 500 ms max. 2 % del valore temporale
(parametrizzato)
L'intervallo tra due istanti di richiamo di una istruzione con elaborazione temporale va scelto
in modo che, anche considerando la possibile indeterminatezza temporale, vengano
raggiunti i tempi di reazione richiesti. (S034)
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Durante la creazione di una nuova F-CPU con STEP 7 Safety è automaticamente preimpostata
la versione più recente disponibile per la F-CPU creata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
Uscita DIAG
Ai fini dell'assistenza, sull'uscita DIAG viene messa a disposizione un'informazione non
fail-safe sugli errori che si sono verificati. Questa informazione può essere letta con i sistemi
di servizio e supervisione o eventualmente valutata nel programma utente standard. I bit
DIAG da 0 a 5 restano salvati fino a quando la causa di errore è confermata.
Configurazione di DIAG
Imprecisioni temporali che si verificano all'istante di aggiornamento della base oraria utilizzata
nell'istruzione
① L'istante di richiamo dell'istruzione al primo richiamo nel ciclo n+1 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ1 rispetto al ciclo n, ad es. perché parti del programma di sicurezza
del gruppo di esecuzione F vengono saltate prima dell'istante di richiamo dell'istruzione nel
ciclo n+1. Durante l'aggiornamento del tempo l'istruzione prende in considerazione il tempo
Tbases_1 anziché il tempo T1 effettivamente trascorso dal richiamo nel ciclo n.
② L'istruzione viene richiamata una seconda volta nel ciclo n+1. Tuttavia non viene eseguito un
nuovo aggiornamento del tempo (con Δ2).
③ L'istante di richiamo dell'istruzione al richiamo nel ciclo n+2 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ3 rispetto al ciclo n, ad es. perché il gruppo di esecuzione F è stato
interrotto prima dell'istante di richiamo dell'istruzione nel ciclo n+2 da un allarme con priorità
superiore. Invece del tempo T3 effettivamente trascorso dal richiamo nel ciclo n, l'istruzione ha
preso in considerazione i tempi Tbase_1 e Tbase_2. Ciò avverrebbe anche se non fosse stato
effettuato alcun richiamo nel ciclo n+1.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
Questa istruzione implementa il muting parallelo con due o quattro sensori di muting.
Nota
Questa istruzione è disponibile solo per F-CPU S7-300 e S7-400. Per F-CPU S7-1200/1500 è
disponibile l'istruzione "Parallel muting (Pagina 447)". L'istruzione "Parallel muting" sostituisce
l'istruzione "Muting" in modo funzionalmente compatibile.
Il muting è una soppressione conforme alle norme della funzione protettiva delle barriere
ottiche. La funzione di muting delle barriere ottiche può essere utilizzata per introdurre merci
o oggetti nella zona pericolosa monitorata dalla barriera ottica senza arrestare la macchina.
Per utilizzare la funzione di muting, devono essere presenti almeno due sensori di muting
cablati in modo indipendente. Due o quattro sensori di muting e la corretta integrazione nel
processo di produzione devono garantire che nessuna persona entri nella zona pericolosa
mentre la barriera ottica è bypassata.
A ogni richiamo dell'istruzione "Muting" deve essere assegnata un'area di dati nella quale
vengono salvati i dati dell'istruzione. Inoltre, durante l'inserimento dell'istruzione, nel
programma viene aperta automaticamente la finestra di dialogo "Call options", nella quale è
possibile inserire un blocco dati (istanza singola) (ad es. MUTING_DB_1) o una multiistanza
(ad es. MUTING_Instance_1) per l'istruzione "Muting". Dopo la creazione, il nuovo blocco dati
si trova nella navigazione del progetto, nella cartella "STEP 7 Safety" in "Program blocks >
System blocks" o la multiistanza come variabile locale nella sezione "Static" dell'interfaccia del
blocco. Per ulteriori informazioni a riguardo consultare la Guida di STEP 7.
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione (indipendentemente dallo stato di segnale sull'ingresso
di abilitazione "EN") viene sempre eseguita.
AVVERTENZA
Per la definizione dei tempi di reazione in caso di utilizzo di una istruzione con elaborazione
temporale occorre considerare i seguenti fattori di indeterminatezza temporale:
• la nota indeterminatezza temporale indicata del programma utente standard, dovuta
all'elaborazione ciclica
• l'indeterminatezza temporale dovuta all'istante di aggiornamento della base oraria
utilizzata all'istante di aggiornamento della base oraria utilizzata nell'istruzione (vedere la
figura della sezione "Indeterminatezza temporale dovuta all'istante di aggiornamento
della base oraria utilizzata nell'istruzione")
• la tolleranza del controllo interno dei tempi nella F-CPU
– con valori temporali fino a 200 ms max. 4 ms
– con valori temporali a partire da 200 ms max. 2 % del valore temporale
(parametrizzato)
• la tolleranza del controllo interno dei tempi nella HF-CPU S7-1500
– con valori temporali fino a 500 ms max. 10 ms
– con valori temporali a partire da 500 ms max. 2 % del valore temporale
(parametrizzato)
L'intervallo tra due istanti di richiamo di una istruzione con elaborazione temporale va scelto
in modo che, anche considerando la possibile indeterminatezza temporale, vengano
raggiunti i tempi di reazione richiesti. (S034)
Parametri
La seguente tabella mostra i parametri dell'istruzione:
• Quando i due sensori di muting MS_11 e MS_12 all'interno di DISCTIM1 vengono attivati
dal prodotto (assumere lo stato di segnale = 1), l'istruzione avvia la funzione MUTING. Il
segnale di abilitazione Q rimane 1 anche se l'ingresso FREE = 0 (barriera ottica interrotta
dal prodotto). L'uscita MUTING per il controllo della lampada di muting diventa 1.
Nota
La lampada di muting può essere controllata tramite l'ingresso QBAD_MUT. A tal fine,
cablare la lampada di muting a una uscita con controllo rottura conduttore di una
periferia F e fornire all'ingresso QBAD_MUT il segnale QBAD della rispettiva periferia F o il
segnale QBAD_O_xx del rispettivo canale. Se QBAD_MUT = 1, il muting viene concluso
dall'istruzione. Se non è necessario un controllo della lampada di muting, non è necessario
fornire l'ingresso QBAD_MUT.
Sono adatte solo periferie F che riconoscono per tempo una rottura conduttore dopo
l'attivazione del processo di muting (vedere il manuale della periferia F specifica).
• Finché entrambi i sensori di muting MS_11 e MS_12 sono ancora attivi, la funzione
MUTING mantiene l'istruzione Q = 1 e MUTING = 1 (in modo che il prodotto possa passare
attraverso la barriera ottica senza che la macchina si fermi).
• I due sensori di muting MS_21 e MS_22 devono essere attivati (all'interno di DISCTIM2)
prima che i sensori di muting MS_11 e MS_12 diventino inattivi (assumere lo stato di
segnale 0). L'istruzione mantiene quindi la funzione MUTING. (Q = 1, MUTING = 1).
• Solo quando uno dei due sensori di muting MS_21 e MS_22 diventa inattivo (il prodotto
abilita i sensori), la funzione MUTING viene terminata (Q = 1, MUTING = 0). La funzione
MUTING può essere attiva al massimo per il tempo parametrizzato sull'ingresso
TIME_MAX.
Nota
La funzione MUTING si avvia anche quando il prodotto supera la barriera ottica in
direzione opposta, attivando i sensori di muting in sequenza inversa rispetto al prodotto.
Diagrammi temporali per un processo di muting senza errori con 4 sensori di muting
Blocco di riavviamento in caso di interruzione della barriera ottica (quando MUTING non è
attivo), in caso di errori e all'avviamento del sistema F
Il segnale di abilitazione Q non può essere impostato su 1 o diventa 0 se:
• la barriera ottica viene interrotta (ad es. da una persona o dal trasporto del materiale)
anche se la funzione MUTING non è attiva
• interviene il controllo della lampada di muting sull'ingresso QBAD_MUT
• la coppia di sensori 1 (MS_11 e MS_12) o la coppia di sensori 2 (MS_21 e MS_22) non è
attivata o disattivata entro il tempo di discrepanza DISCTIM1 o DISCTIM2
• la funzione MUTING è attiva per un tempo superiore al tempo massimo di muting
TIME_MAX
• i tempi di discrepanza DISCTIM1 o DISCTIM2 sono stati impostati su valori < 0 o > 3 s
• il tempo massimo di muting TIME_MAX è stato impostato su un valore < 0 o > 10 min.
In questi casi, l'uscita FAULT (errore cumulativo) è impostata su 1 (blocco di riavviamento). Se
la funzione di MUTING è stata avviata, viene terminata e l'uscita MUTING diventa 0.
AVVERTENZA
Nota
Dopo gli errori di discrepanza e dopo il superamento del tempo massimo di muting, ACK_REQ
viene immediatamente impostato su 1. Non appena si verifica una conferma da parte
dell'utente sull'ingresso ACK, i tempi di discrepanza DISCTIM1 o DISCTIM2 e il tempo massimo
di muting TIME_MAX vengono reimpostati.
AVVERTENZA
Con STOP = 1 il controllo della discrepanza viene disattivato. Se durante questo tempo
entrambi gli ingressi MSx1/MSx2 di una coppia di sensori assumono lo stato di segnale 1 a
causa di un errore non rilevato, ad es. perché entrambi i sensori di muting si guastano dopo
1, l'errore non viene rilevato e la funzione MUTING può essere avviata involontariamente.
(S036)
Uscita DIAG
Ai fini dell'assistenza, sull'uscita DIAG viene messa a disposizione un'informazione non fail-
safe sugli errori che si sono verificati. Questa informazione può essere letta con i sistemi di
servizio e supervisione o eventualmente valutata nel programma utente standard. I bit DIAG
restano memorizzati fino alla conferma sull'ingresso ACK.
Configurazione di DIAG
Imprecisioni temporali che si verificano all'istante di aggiornamento della base oraria utilizzata
nell'istruzione
① L'istante di richiamo dell'istruzione al primo richiamo nel ciclo n+1 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ1 rispetto al ciclo n, ad es. perché parti del programma di sicurezza
del gruppo di esecuzione F vengono saltate prima dell'istante di richiamo dell'istruzione nel
ciclo n+1. Durante l'aggiornamento del tempo l'istruzione prende in considerazione il tempo
Tbases_1 anziché il tempo T1 effettivamente trascorso dal richiamo nel ciclo n.
② L'istruzione viene richiamata una seconda volta nel ciclo n+1. Tuttavia non viene eseguito un
nuovo aggiornamento del tempo (con Δ2).
③ L'istante di richiamo dell'istruzione al richiamo nel ciclo n+2 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ3 rispetto al ciclo n, ad es. perché il gruppo di esecuzione F è stato
interrotto prima dell'istante di richiamo dell'istruzione nel ciclo n+2 da un allarme con priorità
superiore. Invece del tempo T3 effettivamente trascorso dal richiamo nel ciclo n, l'istruzione ha
preso in considerazione i tempi Tbase_1 e Tbase_2. Ciò avverrebbe anche se non fosse stato
effettuato alcun richiamo nel ciclo n+1.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
Questa istruzione implementa il muting parallelo con due o quattro sensori di muting.
Il muting è una soppressione conforme alle norme della funzione protettiva delle barriere
ottiche. La funzione di muting delle barriere ottiche può essere utilizzata per introdurre merci
o oggetti nella zona pericolosa monitorata dalla barriera ottica senza arrestare la macchina.
Per utilizzare la funzione di muting, devono essere presenti almeno due sensori di muting
cablati in modo indipendente. Due o quattro sensori di muting e la corretta integrazione nel
processo di produzione devono garantire che nessuna persona entri nella zona pericolosa
mentre la barriera ottica è bypassata.
A ogni richiamo dell'istruzione "Parallel muting" deve essere assegnata un'area di dati nella
quale vengono salvati i dati dell'istruzione. Inoltre, durante l'inserimento dell'istruzione, nel
programma viene aperta automaticamente la finestra di dialogo "Call options", nella quale è
possibile inserire un blocco dati (istanza singola) (ad es. MUT_P_DB_1) o una multiistanza (ad
es. MUT_P_Instance_1) per l'istruzione "Parallel muting". Dopo la creazione, il nuovo blocco
dati si trova nella navigazione del progetto, nella cartella "STEP 7 Safety" in "Program blocks >
System blocks" o la multiistanza come variabile locale nella sezione "Static" dell'interfaccia del
blocco. Per ulteriori informazioni a riguardo consultare la Guida di STEP 7.
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione (indipendentemente dallo stato di segnale sull'ingresso
di abilitazione "EN") viene sempre eseguita.
AVVERTENZA
Per la definizione dei tempi di reazione in caso di utilizzo di una istruzione con elaborazione
temporale occorre considerare i seguenti fattori di indeterminatezza temporale:
• la nota indeterminatezza temporale indicata del programma utente standard, dovuta
all'elaborazione ciclica
• l'indeterminatezza temporale dovuta all'istante di aggiornamento della base oraria
utilizzata all'istante di aggiornamento della base oraria utilizzata nell'istruzione (vedere la
figura della sezione "Indeterminatezza temporale dovuta all'istante di aggiornamento
della base oraria utilizzata nell'istruzione")
• la tolleranza del controllo interno dei tempi nella F-CPU
– con valori temporali fino a 200 ms max. 4 ms
– con valori temporali a partire da 200 ms max. 2 % del valore temporale
(parametrizzato)
• la tolleranza del controllo interno dei tempi nella HF-CPU S7-1500
– con valori temporali fino a 500 ms max. 10 ms
– con valori temporali a partire da 500 ms max. 2 % del valore temporale
(parametrizzato)
L'intervallo tra due istanti di richiamo di una istruzione con elaborazione temporale va scelto
in modo che, anche considerando la possibile indeterminatezza temporale, vengano
raggiunti i tempi di reazione richiesti. (S034)
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Durante la creazione di una nuova F-CPU con STEP 7 Safety è automaticamente preimpostata
la versione più recente disponibile per la F-CPU creata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
• Quando i due sensori di muting MS_11 e MS_12 all'interno di DISCTIM1 vengono attivati
dal prodotto (assumere lo stato di segnale = 1) e MUTING è abilitato tramite l'ingresso
ENABLE = 1, l'istruzione avvia la funzione MUTING. Il segnale di abilitazione Q rimane 1
anche se l'ingresso FREE = 0 (barriera ottica interrotta dal prodotto). L'uscita MUTING per il
controllo della lampada di muting diventa 1.
Nota
La lampada di muting può essere controllata tramite l'ingresso QBAD_MUT. A tal fine,
cablare la lampada di muting a una uscita con controllo rottura conduttore di una
periferia F e fornire all'ingresso QBAD_MUT il segnale QBAD della rispettiva periferia F o il
segnale QBAD_O_xx/con lo stato del valore inverso del rispettivo canale. Se QBAD_MUT =
1, il muting viene concluso dall'istruzione. Se non è necessario un controllo della lampada
di muting, non è necessario fornire l'ingresso QBAD_MUT.
Sono adatte solo periferie F che riconoscono per tempo una rottura conduttore dopo
l'attivazione del processo di muting (vedere il manuale della periferia F specifica).
• Finché entrambi i sensori di muting MS_11 e MS_12 sono ancora attivi, la funzione
MUTING mantiene l'istruzione Q = 1 e MUTING = 1 (in modo che il prodotto possa passare
attraverso la barriera ottica senza che la macchina si fermi). Uno dei due sensori di muting
MS_11 o MS_12 può diventare inattivo (assumere lo stato di segnale 0) per un breve
periodo (t < DISCTIM1).
• I due sensori di muting MS_21 e MS_22 devono essere attivati (all'interno di DISCTIM2)
prima che i due sensori di muting MS_11 e MS_12 diventino inattivi (assumere lo stato di
segnale 0). L'istruzione mantiene quindi la funzione MUTING. (Q = 1, MUTING = 1).
Solo quando entrambi i sensori di muting MS_21 e MS_22 diventa inattivo (il prodotto abilita
i sensori), la funzione MUTING viene terminata (Q = 1, MUTING = 0). La funzione MUTING
può essere attiva al massimo per il tempo parametrizzato sull'ingresso TIME_MAX.
Nota
La funzione MUTING si avvia anche quando il prodotto supera la barriera ottica in direzione
opposta, attivando i sensori di muting in sequenza inversa rispetto al prodotto.
Diagrammi temporali per un processo di muting senza errori con 4 sensori di muting
Blocco di riavviamento in caso di interruzione della barriera ottica (MUTING non attivo) e in caso
di errori e all'avviamento del sistema F
Il segnale di abilitazione Q non può essere impostato su 1 o diventa 0 se:
• la barriera ottica viene interrotta (ad es. da una persona o dal trasporto del materiale)
anche se la funzione MUTING non è attiva
• la barriera ottica è/viene interrotta e interviene il controllo della lampada di muting
sull'ingresso QBAD_MUT
• la barriera ottica è/viene interrotta e la funzione MUTING non è abilitata tramite l'ingresso
ENABLE = 1
• la coppia di sensori 1 (MS_11 e MS_12) o la coppia di sensori 2 (MS_21 e MS_22) non è
attivata o disattivata entro il tempo di discrepanza DISCTIM1 o DISCTIM2
• la funzione MUTING è attiva per un tempo superiore al tempo massimo di muting
TIME_MAX
• i tempi di discrepanza DISCTIM1 o DISCTIM2 sono stati impostati su valori < 0 o > 3 s
• il tempo massimo di muting TIME_MAX è stato impostato su un valore < 0 o > 10 min
• è presente un avviamento del sistema F (indipendentemente dal fatto che la barriera
ottica sia interrotta o meno, poiché la periferia F è passivata dopo l'avviamento del
sistema F e quindi nell'ingresso FREE è inizialmente impostato a 0)
In questi casi, l'uscita FAULT (errore cumulativo) è impostata su 1 (blocco di riavviamento). Se
la funzione di MUTING è stata avviata, viene terminata e l'uscita MUTING diventa 0.
Conferma da parte dell'utente del blocco di riavviamento (nessun sensore muting attivato o
ENABLE = 0)
Il segnale di abilitazione Q diventa di nuovo 1, se
• la barriera ottica non è più interrotta
• event. errori sono eliminati (vedere uscita DIAG)
e
• sull'ingresso ACK si verifica una conferma da parte dell'utente con un fronte di salita
(vedere anche Realizzazione di una conferma utente (Pagina 179)).
L'uscita FAULT viene impostata su 0. L'uscita ACK_REQ = 1 (e bit DIAG 6) segnala che è
necessaria una conferma da parte dell'utente sull'ingresso ACK per annullare il blocco di
riavviamento. L'istruzione imposta ACK_REQ = 1 non appena la barriera ottica non è più
interrotta o gli errori sono stati eliminati. Dopo l'avvenuta conferma, ACK_REQ viene resettato
a 0 dall'istruzione.
Conferma da parte dell'utente del blocco di riavviamento (almeno un sensore muting attivato o
ENABLE = 1)
Il segnale di abilitazione Q diventa di nuovo 1, se
• event. errori sono eliminati (vedere uscita DIAG)
• Il processo di MOVIMENTO LIBERO avviene fino a quando non viene rilevata una
combinazione valida dei sensori di muting
L'uscita FAULT viene impostata su 0. Se necessario, la funzione MUTING viene riavviata e
l'uscita MUTING diventa 1 se viene rilevata una combinazione valida di sensori di muting.
L'uscita ACK_REQ = 1 (e il bit DIAG 5) segnala con ENABLE = 1 che è necessario il MOVIMENTO
LIBERO per eliminare il guasto e annullare il blocco di riavviamento. Dopo il MOVIMENTO
LIBERO riuscito, ACK_REQ viene resettato a 0 dall'istruzione.
Nota
Dopo aver superato il tempo massimo di muting, il tempo massimo di muting TIME_MAX
viene impostato di nuovo non appena si riavvia la funzione MUTING.
Movimento libero
Se non è possibile eliminare immediatamente un guasto, l'area di muting può essere attivata
con la funzione MOVIMENTO LIBERO. In questo caso il segnale di abilitazione Q e l'uscita
MUTING sono temporaneamente = 1. Il movimento libero è possibile se
• è ENABLE = 1
• è attivato almeno un sensore di muting
• entro 4 s, si verifica due volte una conforma utente con fronte di salita sull'ingresso ACK e
la seconda conferma utente sull'ingresso ACK rimane sullo stato di segnale 1 (il pulsante di
conferma resta premuto)
AVVERTENZA
Il processo di movimento libero deve essere sorvegliato. Deve essere possibile interrompere
una situazione pericolosa in qualsiasi momento rilasciando il pulsante di conferma. Il
pulsante di conferma deve trovarsi in una posizione che permetta all'operatore di controllare
l'intera zona pericolosa. (S037)
AVVERTENZA
Uscita DIAG
Ai fini dell'assistenza, sull'uscita DIAG viene messa a disposizione un'informazione non fail-
safe sugli errori che si sono verificati. Questa informazione può essere letta con i sistemi di
servizio e supervisione o eventualmente valutata nel programma utente standard. I bit DIAG 0
- 6 restano memorizzati fino alla conferma sull'ingresso ACK.
Configurazione di DIAG
Imprecisioni temporali che si verificano all'istante di aggiornamento della base oraria utilizzata
nell'istruzione
① L'istante di richiamo dell'istruzione al primo richiamo nel ciclo n+1 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ1 rispetto al ciclo n, ad es. perché parti del programma di sicurezza
del gruppo di esecuzione F vengono saltate prima dell'istante di richiamo dell'istruzione nel
ciclo n+1. Durante l'aggiornamento del tempo l'istruzione prende in considerazione il tempo
Tbases_1 anziché il tempo T1 effettivamente trascorso dal richiamo nel ciclo n.
② L'istruzione viene richiamata una seconda volta nel ciclo n+1. Tuttavia non viene eseguito un
nuovo aggiornamento del tempo (con Δ2).
③ L'istante di richiamo dell'istruzione al richiamo nel ciclo n+2 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ3 rispetto al ciclo n, ad es. perché il gruppo di esecuzione F è stato
interrotto prima dell'istante di richiamo dell'istruzione nel ciclo n+2 da un allarme con priorità
superiore. Invece del tempo T3 effettivamente trascorso dal richiamo nel ciclo n, l'istruzione ha
preso in considerazione i tempi Tbase_1 e Tbase_2. Ciò avverrebbe anche se non fosse stato
effettuato alcun richiamo nel ciclo n+1.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
Questa istruzione realizza una valutazione 1oo2 (2v2) di due encoder a due singoli canali
combinati con un'analisi di discrepanza.
L'uscita Q viene impostata su 1 se gli stati dei segnali dei due ingressi IN1 e IN2 sono uguali a
1 e se non viene memorizzato l'errore di discrepanza DISC_FLT. Se lo stato di segnale di uno o
di entrambi gli ingressi è 0, l'uscita Q viene impostata a 0.
Non appena gli stati dei segnali dei due ingressi IN1 e IN2 sono diversi, viene avviato il tempo
di discrepanza DISCTIME. Se gli stati dei segnali dei due ingressi sono diversi anche dopo il
tempo di discrepanza, viene rilevato un errore di discrepanza e DISC_FLT viene impostato su 1
(blocco di riavviamento).
Se non viene più rilevata una discrepanza tra gli ingressi IN1 e IN2, l'errore di discrepanza
viene confermato a seconda della parametrizzazione di ACK_NEC:
• Con ACK_NEC = 0 la conferma è automatica.
• Con ACK_NEC = 1, è possibile confermare l'errore di discrepanza solo con un fronte di
salita sull'ingresso ACK.
L'uscita ACK_REQ = 1 segnala che è necessaria una conferma da parte dell'utente sull'ingresso
ACK per confermare l'errore di discrepanza (annullando il blocco di riavviamento). L'istruzione
imposta ACK_REQ = 1 non appena non viene più rilevata alcuna discrepanza. Dopo che è
stata effettuata una conferma o se gli stati dei segnali dei due ingressi IN1 e IN2 diventano
nuovamente discrepanti prima di una conferma, l'istruzione ACK_REQ si resetta a 0.
L'uscita Q non può mai essere impostato su 1 se il tempo di discrepanza è impostato su valori
< 0 o > 60 s. In questo caso, anche l'uscita DISC_FLT viene impostata su 1 (blocco di
riavviamento). L'intervallo di richiamo del programma di sicurezza (ad es. OB 35) deve essere
inferiore al tempo di discrepanza impostato.
A ogni richiamo dell'istruzione "1oo2 evaluation with discrepancy analysis" deve essere
assegnata un’area dati nella quale memorizzare i dati dell'istruzione. Inoltre, durante
l'inserimento dell'istruzione, nel programma viene aperta automaticamente la finestra di
dialogo "Call options", nella quale è possibile inserire un blocco dati (istanza singola) (ad es.
EV1oo2DI_DB_1) o una multiistanza (ad es. EV1oo2DI_Instance_1) per l'istruzione "1oo2
evaluation with discrepancy analysis". Dopo la creazione, il nuovo blocco dati si trova nella
navigazione del progetto, nella cartella "STEP 7 Safety" in "Program blocks > System blocks" o
la multiistanza come variabile locale nella sezione "Static" dell'interfaccia del blocco. Per
ulteriori informazioni a riguardo consultare la Guida di STEP 7.
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione (indipendentemente dallo stato di segnale sull'ingresso
di abilitazione "EN") viene sempre eseguita.
AVVERTENZA
AVVERTENZA
Per la definizione dei tempi di reazione in caso di utilizzo di una istruzione con elaborazione
temporale occorre considerare i seguenti fattori di indeterminatezza temporale:
• la nota indeterminatezza temporale indicata del programma utente standard, dovuta
all'elaborazione ciclica
• l'indeterminatezza temporale dovuta all'istante di aggiornamento della base oraria
utilizzata all'istante di aggiornamento della base oraria utilizzata nell'istruzione (vedere la
figura della sezione "Indeterminatezza temporale dovuta all'istante di aggiornamento
della base oraria utilizzata nell'istruzione")
• la tolleranza del controllo interno dei tempi nella F-CPU
– con valori temporali fino a 200 ms max. 4 ms
– con valori temporali a partire da 200 ms max. 2 % del valore temporale
(parametrizzato)
• la tolleranza del controllo interno dei tempi nella HF-CPU S7-1500
– con valori temporali fino a 500 ms max. 10 ms
– con valori temporali a partire da 500 ms max. 2 % del valore temporale
(parametrizzato)
L'intervallo tra due istanti di richiamo di una istruzione con elaborazione temporale va scelto
in modo che, anche considerando la possibile indeterminatezza temporale, vengano
raggiunti i tempi di reazione richiesti. (S034)
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Comportamento all'avviamento
Nota
Se gli encoder sugli ingressi IN1 e IN2 sono assegnati a periferie F diverse, dopo l'avviamento
del sistema F può verificarsi un'emissione del valore sostitutivo di lunghezza diversa, a causa
di un diverso comportamento di avviamento delle periferie F. Se gli stati dei segnali dei due
ingressi IN1 e IN2 sono discrepanti anche dopo che è trascorso il tempo di discrepanza
DISCTIME, dopo l'avviamento del sistema F viene rilevato un errore di discrepanza.
Con ACK_NEC = 1 per confermare l'errore di discrepanza deve essere utilizzato un fronte di
salita sull'ingresso ACK.
Uscita DIAG
Ai fini dell'assistenza, sull'uscita DIAG viene messa a disposizione un'informazione non fail-
safe sugli errori che si sono verificati. Questa informazione può essere letta con i sistemi di
servizio e supervisione o eventualmente valutata nel programma utente standard. I bit DIAG
restano memorizzati fino alla conferma sull'ingresso ACK.
Configurazione di DIAG
Imprecisioni temporali che si verificano all'istante di aggiornamento della base oraria utilizzata
nell'istruzione
① L'istante di richiamo dell'istruzione al primo richiamo nel ciclo n+1 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ1 rispetto al ciclo n, ad es. perché parti del programma di sicurezza
del gruppo di esecuzione F vengono saltate prima dell'istante di richiamo dell'istruzione nel
ciclo n+1. Durante l'aggiornamento del tempo l'istruzione prende in considerazione il tempo
Tbases_1 anziché il tempo T1 effettivamente trascorso dal richiamo nel ciclo n.
② L'istruzione viene richiamata una seconda volta nel ciclo n+1. Tuttavia non viene eseguito un
nuovo aggiornamento del tempo (con Δ2).
③ L'istante di richiamo dell'istruzione al richiamo nel ciclo n+2 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ3 rispetto al ciclo n, ad es. perché il gruppo di esecuzione F è stato
interrotto prima dell'istante di richiamo dell'istruzione nel ciclo n+2 da un allarme con priorità
superiore. Invece del tempo T3 effettivamente trascorso dal richiamo nel ciclo n, l'istruzione ha
preso in considerazione i tempi Tbase_1 e Tbase_2. Ciò avverrebbe anche se non fosse stato
effettuato alcun richiamo nel ciclo n+1.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
Questa istruzione realizza un monitoraggio del feedback.
A questo scopo viene controllato se lo stato di segnale dell'uscita Q corrisponde allo stato di
segnale invertito dell'ingresso di rilettura FEEDBACK.
L'uscita Q viene impostata su 1 non appena l'ingresso ON è = 1. Il requisito per questo è che
l'ingresso di rilettura FEEDBACK sia = 1 e che non sia memorizzato nessun errore di rilettura.
L'uscita Q viene resettata a 0 non appena l'ingresso ON è = 0 o quando viene riconosciuto un
errore di rilettura.
Un errore di rilettura ERROR = 1 viene riconosciuto se lo stato di segnale invertito dell'ingresso
di rilettura FEEDBACK (verso l'uscita Q) non segue lo stato di segnale dell'uscita Q entro il
tempo di rilettura massimo tollerabile FDB_TIME. L'errore di rilettura viene memorizzato.
Se dopo un errore di rilettura tra l'ingresso di rilettura FEEDBACK e l'uscita Q viene rilevata
una discrepanza, la conferma dell'errore di rilettura avviene in base alla parametrizzazione di
ACK_NEC:
• Con ACK_NEC = 0 la conferma è automatica.
• Con ACK_NEC = 1 per confermare l'errore di rilettura deve essere utilizzato un fronte di
salita sull'ingresso ACK.
L'uscita ACK_REQ = 1 segnala che per la conferma dell'errore di rilettura è necessaria una
conferma utente sull'ingresso ACK. Dopo la conferma l'istruzione ACK_REQ viene resettata a
0.
Per evitare che durante la passivazione della periferia F attivata dall'uscita Q venga rilevato un
errore di rilettura e accertare che non sia necessaria alcuna conferma, assegnare all'ingresso
QBAD_FIO il segnale QBAD della relativa periferia F oppure il segnale QBAD_O_xx / lo stato
del valore invertito del canale corrispondente.
A ogni richiamo dell'istruzione "Feedback monitoring" deve essere assegnata un'area di dati
nel quale vengono salvati i dati dell'istruzione. Inoltre, durante l'inserimento dell'istruzione,
nel programma viene aperta automaticamente la finestra di dialogo "Call options", nella quale
è possibile inserire un blocco dati (istanza singola) (ad es. FDBACK_DB_1) o una multiistanza
(ad es. FDBACK_Instance_1) per l'istruzione "Feedback monitoring". Dopo la creazione, il
nuovo blocco dati si trova nella navigazione del progetto, nella cartella "STEP 7 Safety" in
"Program blocks > System blocks" o la multiistanza come variabile locale nella sezione "Static"
dell'interfaccia del blocco. Per ulteriori informazioni a riguardo consultare la Guida di STEP 7.
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione (indipendentemente dallo stato di segnale sull'ingresso
di abilitazione "EN") viene sempre eseguita.
AVVERTENZA
AVVERTENZA
Per la definizione dei tempi di reazione in caso di utilizzo di una istruzione con elaborazione
temporale occorre considerare i seguenti fattori di indeterminatezza temporale:
• la nota indeterminatezza temporale indicata del programma utente standard, dovuta
all'elaborazione ciclica
• l'indeterminatezza temporale dovuta all'istante di aggiornamento della base oraria
utilizzata all'istante di aggiornamento della base oraria utilizzata nell'istruzione (vedere la
figura della sezione "Indeterminatezza temporale dovuta all'istante di aggiornamento
della base oraria utilizzata nell'istruzione")
• la tolleranza del controllo interno dei tempi nella F-CPU
– con valori temporali fino a 200 ms max. 4 ms
– con valori temporali a partire da 200 ms max. 2 % del valore temporale
(parametrizzato)
• la tolleranza del controllo interno dei tempi nella HF-CPU S7-1500
– con valori temporali fino a 500 ms max. 10 ms
– con valori temporali a partire da 500 ms max. 2 % del valore temporale
(parametrizzato)
L'intervallo tra due istanti di richiamo di una istruzione con elaborazione temporale va scelto
in modo che, anche considerando la possibile indeterminatezza temporale, vengano
raggiunti i tempi di reazione richiesti. (S034)
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Durante la creazione di una nuova F-CPU con STEP 7 Safety è automaticamente preimpostata
la versione più recente disponibile per la F-CPU creata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
Esempio di interconnessione
Uscita DIAG
Ai fini dell'assistenza, sull'uscita DIAG viene messa a disposizione un'informazione non fail-
safe sugli errori che si sono verificati. Questa informazione può essere letta con i sistemi di
servizio e supervisione o eventualmente valutata nel programma utente standard. I bit DIAG
0, 2 e 5 restano memorizzati fino alla conferma sull'ingresso ACK.
Configurazione di DIAG
Imprecisioni temporali che si verificano all'istante di aggiornamento della base oraria utilizzata
nell'istruzione
① L'istante di richiamo dell'istruzione al primo richiamo nel ciclo n+1 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ1 rispetto al ciclo n, ad es. perché parti del programma di sicurezza
del gruppo di esecuzione F vengono saltate prima dell'istante di richiamo dell'istruzione nel
ciclo n+1. Durante l'aggiornamento del tempo l'istruzione prende in considerazione il tempo
Tbases_1 anziché il tempo T1 effettivamente trascorso dal richiamo nel ciclo n.
② L'istruzione viene richiamata una seconda volta nel ciclo n+1. Tuttavia non viene eseguito un
nuovo aggiornamento del tempo (con Δ2).
③ L'istante di richiamo dell'istruzione al richiamo nel ciclo n+2 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ3 rispetto al ciclo n, ad es. perché il gruppo di esecuzione F è stato
interrotto prima dell'istante di richiamo dell'istruzione nel ciclo n+2 da un allarme con priorità
superiore. Invece del tempo T3 effettivamente trascorso dal richiamo nel ciclo n, l'istruzione ha
preso in considerazione i tempi Tbase_1 e Tbase_2. Ciò avverrebbe anche se non fosse stato
effettuato alcun richiamo nel ciclo n+1.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione nelle F-CPU S7-300/400:
Descrizione
Questa istruzione realizza la sorveglianza del riparo di protezione.
Il segnale di abilitazione Q viene resettato a 0 quando uno dei due ingressi IN1 o IN2 passa
allo stato di segnale 0 (apertura del riparo di protezione). Il segnale di abilitazione può essere
nuovamente impostato su 1 solo se:
• prima della chiusura del riparo entrambi gli ingressi IN1 e IN2 hanno assunto lo stato di
segnale 0 (apertura completa del riparo di protezione)
• successivamente entrambi gli ingressi IN1 e IN2 passano allo stato di segnale 1 (chiusura
del riparo di protezione)
• ha luogo una conferma
La conferma dell'abilitazione avviene in base alla parametrizzazione dell'ingresso ACK_NEC:
• Con ACK_NEC = 0 la conferma è automatica.
• Con ACK_NEC = 1 per confermare l'abilitazione deve essere utilizzato un fronte di salita
sull'ingresso ACK.
L'uscita ACK_REQ = 1 segnala che per la conferma è necessaria una conferma utente
sull'ingresso ACK. L'istruzione imposta ACK_REQ = 1 non appena il riparo viene chiuso. Dopo
la conferma l'istruzione ACK_REQ viene resettata a 0.
Per fare in modo che l'istruzione riconosca se gli ingressi IN1 e IN2 sono impostati su 0 solo a
causa della passivazione della periferia F corrispondente, occorre assegnare agli ingressi
QBAD_IN1 o QBAD_IN2 il segnale QBAD della relativa periferia F oppure il segnale QBAD_I_xx
/ lo stato del valore invertito dei canali associati. In questo modo si evita anche di dover aprire
completamente il riparo di protezione prima della conferma in caso di passivazione della
periferia F.
A ogni richiamo dell'istruzione "Safety door monitoring" deve essere assegnata un'area di dati
nella quale memorizzare i dati dell'istruzione. Inoltre, durante l'inserimento dell'istruzione, nel
programma viene aperta automaticamente la finestra di dialogo "Call options", nella quale è
possibile inserire un blocco dati (istanza singola) (ad es. SFDOOR_DB_1) o una multiistanza
(ad es. SFDOOR_Instance_1) per l'istruzione "Safety door monitoring". Dopo la creazione, il
nuovo blocco dati si trova nella navigazione del progetto, nella cartella "STEP 7 Safety" in
"Program blocks > System blocks" o la multiistanza come variabile locale nella sezione "Static"
dell'interfaccia del blocco. Per ulteriori informazioni a riguardo consultare la Guida di STEP 7.
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione (indipendentemente dallo stato di segnale sull'ingresso
di abilitazione "EN") viene sempre eseguita.
AVVERTENZA
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio di interconnessione
Interconnettere il contatto normalmente chiuso dell'interruttore di posizione 1 del riparo di
protezione sull'ingresso IN1 e il contatto normalmente aperto dell'interruttore di posizione 2
sull'ingresso IN2. L'interruttore di posizione 1 deve essere montato in modo da essere
obbligatoriamente azionato quando il riparo di protezione è aperto. L'interruttore di posizione
2 deve essere montato in modo da essere azionato quando il riparo di protezione è chiuso.
Comportamento all'avviamento
Dopo l'avviamento del sistema F il segnale di abilitazione Q viene resettato a 0. La conferma
dell'abilitazione avviene in base alla parametrizzazione degli ingressi OPEN_NEC e ACK_NEC:
• Con OPEN_NEC = 0 ha luogo una conferma automatica indipendentemente da ACK_NEC
non appena entrambi gli ingressi IN1 e IN2 assumono per la prima volta lo stato di segnale
1 dopo la reintegrazione della relativa periferia F (chiusura del riparo di protezione)
• Con OPEN_NEC = 1 oppure se almeno uno degli ingressi IN1 e IN2 ha ancora lo stato di
segnale 0 dopo la reintegrazione della relativa periferia F, la conferma automatica viene
eseguita in funzione di ACK_NEC oppure è necessario eseguire l'abilitazione confermando
un fronte di salita sull'ingresso ACK. Prima della conferma entrambi gli ingressi IN1 e IN2
devono avere assunto lo stato di segnale 0 (apertura completa del riparo di protezione) e
successivamente lo stato di segnale 1 (chiusura del riparo di protezione).
AVVERTENZA
Uscita DIAG
Ai fini dell'assistenza, sull'uscita DIAG viene messa a disposizione un'informazione non
fail-safe sugli errori che si sono verificati. Questa informazione può essere letta con i sistemi
di servizio e supervisione o eventualmente valutata nel programma utente standard.
Configurazione di DIAG
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione nelle F-CPU S7-300/400:
Descrizione
Questa istruzione genera una conferma per la reintegrazione simultanea di tutta la periferia F
/ i canali della periferia F di un gruppo di esecuzione F dopo errori di comunicazione o errori di
periferia F/di canale.
Per la reintegrazione è necessaria una conferma utente (Pagina 179) con un fronte di salita
sull'ingresso ACK_GLOB. La conferma è analoga alla conferma utente tramite la variabile
ACK_REI del DB di periferia F (Pagina 162), ma agisce simultaneamente su tutta la periferia F
del gruppo di esecuzione F nel quale viene richiamata l'istruzione.
Utilizzando l'istruzione ACK_GL non è necessario configurare una conferma utente separata
tramite la variabile ACK_REI del DB di periferia F per ogni periferia F del gruppo di
esecuzione F.
A ogni richiamo dell'istruzione "Global acknowledgment of all F-I/Os of a runtime group" deve
essere assegnata un'area di dati nella quale memorizzare i dati dell'istruzione. Inoltre, durante
l'inserimento dell'istruzione, nel programma viene aperta automaticamente la finestra di
dialogo "Call options", nella quale è possibile inserire un blocco dati (istanza singola) (ad es.
ACK_GL_DB_1) o una multiistanza (ad es. ACK_GL_Instance_1) per l'istruzione "Global
acknowledgment of all F-I/Os of a runtime group". Dopo la creazione, il nuovo blocco dati si
trova nella navigazione del progetto, nella cartella "STEP 7 Safety" in "Program blocks >
System blocks" o la multiistanza come variabile locale nella sezione "Static" dell'interfaccia del
blocco. Per ulteriori informazioni a riguardo consultare la Guida di STEP 7.
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione (indipendentemente dallo stato di segnale sull'ingresso
di abilitazione "EN") viene sempre eseguita.
Nota
La conferma tramite l'istruzione ACK_GL è possibile solo se la variabile ACK_REI del DB di
periferia F è = 0. Allo stesso modo, la conferma tramite la variabile ACK_REI del DB di
periferia F è possibile solo se l'ingresso ACK_GLOB dell'istruzione è = 0.
L'istruzione può essere richiamata una sola volta per ogni gruppo di esecuzione F.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Durante la creazione di una nuova F-CPU con STEP 7 Safety è automaticamente preimpostata
la versione più recente disponibile per la F-CPU creata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
13.4 Temporizzatori
Descrizione
Con l'istruzione "Generate pulse" si imposta l'uscita Q per una durata programmata.
L'istruzione si avvia se il risultato logico combinatorio (RLO) nell'ingresso IN passa da "0" a "1"
(fronte di salita del segnale). Con l'avvio dell'istruzione il tempo programmato PT inizia a
decorrere. L'uscita Q viene impostata per la durata PT indipendentemente dall'andamento
successivo del segnale di ingresso. Nemmeno il rilevamento di un nuovo fronte di salita del
segnale influenza lo stato di segnale sull'uscita Q durante la decorrenza della durata PT.
Nell'uscita ET è possibile interrogare il valore temporale attuale. Il valore temporale inizia da
T#0s e termina quando viene raggiunta la durata PT. Se la durata PT è stata raggiunta e lo
stato di segnale dell'ingresso IN è "0", l'uscita ET viene resettata.
A ogni richiamo dell'istruzione "Generate pulse" deve essere assegnata un'area di dati nella
quale memorizzare i dati dell'istruzione. Inoltre, durante l'inserimento dell'istruzione, nel
programma viene aperta automaticamente la finestra di dialogo "Call options", nella quale è
possibile inserire un blocco dati (istanza singola) (ad es. F_IEC_Timer_DB_1) o una
multiistanza (ad es. F_IEC_Timer_Instance_1) per l'istruzione "Generate pulse". Dopo la
creazione, il nuovo blocco dati si trova nella navigazione del progetto nella cartella
"STEP 7 Safety" in "Program blocks > System blocks" o la multiistanza come variabile locale
nella sezione "Static" dell'interfaccia del blocco. Per ulteriori informazioni a riguardo
consultare la Guida a STEP 7.
AVVERTENZA
Per la definizione dei tempi di reazione in caso di utilizzo di una istruzione con elaborazione
temporale occorre considerare i seguenti fattori di indeterminatezza temporale:
• la nota indeterminatezza temporale indicata del programma utente standard, dovuta
all'elaborazione ciclica
• l'indeterminatezza temporale dovuta all'istante di aggiornamento della base oraria
utilizzata all'istante di aggiornamento della base oraria utilizzata nell'istruzione (vedere la
figura della sezione "Indeterminatezza temporale dovuta all'istante di aggiornamento
della base oraria utilizzata nell'istruzione")
• la tolleranza del controllo interno dei tempi nella F-CPU
– con valori temporali fino a 200 ms max. 4 ms
– con valori temporali a partire da 200 ms max. 2 % del valore temporale
(parametrizzato)
• la tolleranza del controllo interno dei tempi nella HF-CPU S7-1500
– con valori temporali fino a 500 ms max. 10 ms
– con valori temporali a partire da 500 ms max. 2 % del valore temporale
(parametrizzato)
L'intervallo tra due istanti di richiamo di una istruzione con elaborazione temporale va scelto
in modo che, anche considerando la possibile indeterminatezza temporale, vengano
raggiunti i tempi di reazione richiesti. (S034)
Nota
La funzionalità di questa istruzione si discosta da quella dell'istruzione standard
corrispondente TP per i seguenti elementi:
• Se l'istruzione viene richiamata durante il tempo in esecuzione con PT = 0 ms, le uscite Q e
ET vengono resettate.
• Se l'istruzione viene richiamata con PT < 0 ms, le uscite Q e ET vengono resettate.
Per riavviare l'impulso quando PT è di nuovo > 0 è necessario un nuovo fronte di salita del
segnale sull'ingresso IN.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Durante la creazione di una nuova F-CPU con STEP 7 Safety è automaticamente preimpostata
la versione più recente disponibile per la F-CPU creata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
Imprecisioni temporali che si verificano all'istante di aggiornamento della base oraria utilizzata
nell'istruzione
① L'istante di richiamo dell'istruzione al primo richiamo nel ciclo n+1 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ1 rispetto al ciclo n, ad es. perché parti del programma di sicurezza
del gruppo di esecuzione F vengono saltate prima dell'istante di richiamo dell'istruzione nel
ciclo n+1. Durante l'aggiornamento del tempo l'istruzione prende in considerazione il tempo
Tbases_1 anziché il tempo T1 effettivamente trascorso dal richiamo nel ciclo n.
② L'istruzione viene richiamata una seconda volta nel ciclo n+1. Tuttavia non viene eseguito un
nuovo aggiornamento del tempo (con Δ2).
③ L'istante di richiamo dell'istruzione al richiamo nel ciclo n+2 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ3 rispetto al ciclo n, ad es. perché il gruppo di esecuzione F è stato
interrotto prima dell'istante di richiamo dell'istruzione nel ciclo n+2 da un allarme con priorità
superiore. Invece del tempo T3 effettivamente trascorso dal richiamo nel ciclo n, l'istruzione ha
preso in considerazione i tempi Tbase_1 e Tbase_2. Ciò avverrebbe anche se non fosse stato
effettuato alcun richiamo nel ciclo n+1.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Quando lo stato di segnale dell'operando "TagIn_1" passa da "0" a "1", l'istruzione "Generate
pulse" viene eseguita e la durata parametrizzata sull'ingresso PT (100 ms) decorre
indipendentemente dall'andamento successivo dell'operando "TagIn_1".
Finché la durata è attiva l'operando "TagOut" sull'uscita Q ha lo stato di segnale "1".
L'operando ""F_DB_1".Tag_ET" contiene il valore temporale attuale.
Descrizione
Con l'istruzione "Generate on-delay" si ritarda l'impostazione dell'uscita Q della durata PT
programmata. L'istruzione si avvia se il risultato logico combinatorio (RLO) sull'ingresso IN
passa da "0" a "1" (fronte di salita del segnale). Con l'avvio dell'istruzione il tempo
programmato PT inizia a decorrere. Al termine del tempo PT l'uscita Q restituisce lo stato di
segnale "1". L'uscita Q resta impostata finché l'ingresso di avvio ha ancora valore "1". Se lo
stato di segnale nell'ingresso di avvio cambia da "1" a "0", l'uscita Q viene resettata. La
funzione temporale viene riavviata se viene rilevato un nuovo fronte di salita del segnale
nell'ingresso di avvio.
Nell'uscita ET è possibile interrogare il valore temporale attuale. Il valore temporale inizia da
T#0s e termina quando viene raggiunta la durata PT. Non appena lo stato di segnale
nell'ingresso IN commuta su "0", l'uscita ET viene resettata.
A ogni richiamo dell'istruzione "Generate on-delay" deve essere assegnata un'area di dati nella
quale memorizzare i dati dell'istruzione. Inoltre, durante l'inserimento dell'istruzione, nel
programma viene aperta automaticamente la finestra di dialogo "Call options", nella quale è
possibile inserire un blocco dati (istanza singola) (ad es. F_IEC_Timer_DB_1) o una
multiistanza (ad es. F_IEC_Timer_Instance_1) per l'istruzione "Generate on-delay". Dopo la
creazione, il nuovo blocco dati si trova nella navigazione del progetto nella cartella
"STEP 7 Safety" in "Program blocks > System blocks" o la multiistanza come variabile locale
nella sezione "Static" dell'interfaccia del blocco. Per ulteriori informazioni a riguardo
consultare la Guida a STEP 7.
AVVERTENZA
Per la definizione dei tempi di reazione in caso di utilizzo di una istruzione con elaborazione
temporale occorre considerare i seguenti fattori di indeterminatezza temporale:
• la nota indeterminatezza temporale indicata del programma utente standard, dovuta
all'elaborazione ciclica
• l'indeterminatezza temporale dovuta all'istante di aggiornamento della base oraria
utilizzata all'istante di aggiornamento della base oraria utilizzata nell'istruzione (vedere la
figura della sezione "Indeterminatezza temporale dovuta all'istante di aggiornamento
della base oraria utilizzata nell'istruzione")
• la tolleranza del controllo interno dei tempi nella F-CPU
– con valori temporali fino a 200 ms max. 4 ms
– con valori temporali a partire da 200 ms max. 2 % del valore temporale
(parametrizzato)
• la tolleranza del controllo interno dei tempi nella HF-CPU S7-1500
– con valori temporali fino a 500 ms max. 10 ms
– con valori temporali a partire da 500 ms max. 2 % del valore temporale
(parametrizzato)
L'intervallo tra due istanti di richiamo di una istruzione con elaborazione temporale va scelto
in modo che, anche considerando la possibile indeterminatezza temporale, vengano
raggiunti i tempi di reazione richiesti. (S034)
Nota
La funzionalità di questa istruzione si discosta da quella dell'istruzione standard TON
corrispondente per i seguenti elementi:
• Se l'istruzione viene richiamata durante il tempo in esecuzione con PT = 0 ms, l'uscita ET
viene resettata.
• Se l'istruzione viene richiamata con PT < 0 ms, le uscite Q e ET vengono resettate.
Per riavviare il ritardo all'inserzione quando PT è di nuovo > 0 è necessario un nuovo fronte di
salita del segnale sull'ingresso IN.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Durante la creazione di una nuova F-CPU con STEP 7 Safety è automaticamente preimpostata
la versione più recente disponibile per la F-CPU creata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
Imprecisioni temporali che si verificano all'istante di aggiornamento della base oraria utilizzata
nell'istruzione
① L'istante di richiamo dell'istruzione al primo richiamo nel ciclo n+1 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ1 rispetto al ciclo n, ad es. perché parti del programma di sicurezza
del gruppo di esecuzione F vengono saltate prima dell'istante di richiamo dell'istruzione nel
ciclo n+1. Durante l'aggiornamento del tempo l'istruzione prende in considerazione il tempo
Tbases_1 anziché il tempo T1 effettivamente trascorso dal richiamo nel ciclo n.
② L'istruzione viene richiamata una seconda volta nel ciclo n+1. Tuttavia non viene eseguito un
nuovo aggiornamento del tempo (con Δ2).
③ L'istante di richiamo dell'istruzione al richiamo nel ciclo n+2 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ3 rispetto al ciclo n, ad es. perché il gruppo di esecuzione F è stato
interrotto prima dell'istante di richiamo dell'istruzione nel ciclo n+2 da un allarme con priorità
superiore. Invece del tempo T3 effettivamente trascorso dal richiamo nel ciclo n, l'istruzione ha
preso in considerazione i tempi Tbase_1 e Tbase_2. Ciò avverrebbe anche se non fosse stato
effettuato alcun richiamo nel ciclo n+1.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Se lo stato di segnale dell'operando "TagIn_1" passa da "0" a "1" viene eseguita l'istruzione
"Generate on-delay" e inizia a decorrere il tempo (1 s) parametrizzato sull'ingresso PT.
L'operando "TagOut" sull'uscita Q assume lo stato di segnale "1" quando il tempo è trascorso e
resta impostato finché l'operando "TagIn_1" è "1". L'operando ""F_DB_1".Tag_ET" contiene il
valore temporale attuale.
13.4.3 TOF: Generazione del ritardo alla disinserzione (STEP 7 Safety V18)
Descrizione
Con l'istruzione "Generate off-delay" si ritarda il reset dell'uscita Q della durata PT
programmata. L'uscita Q viene impostata se il risultato logico combinatorio (RLO)
sull'ingresso IN passa da "0" a "1" (fronte di salita del segnale). Quando lo stato di segnale
sull'ingresso IN torna a "0", il tempo programmato PT inizia a decorrere. L'uscita Q rimane
impostata finché è in corso PT. Una volta decorsa la durata PT l'uscita Q viene resettata. Se lo
stato di segnale nell'ingresso IN commuta su "1" prima che sia trascorsa la durata PT, il tempo
viene resettato. Lo stato di segnale nell'uscita Q resta impostato su "1".
Nell'uscita ET è possibile interrogare il valore temporale attuale. Il valore temporale inizia da
T#0s e termina quando viene raggiunta la durata PT. Dopo che è trascorso il tempo PT, l'uscita
ET resta impostata sul valore attuale finché l'ingresso IN non passa nuovamente a "1". Se
l'ingresso IN passa a "1" prima che sia trascorso il tempo PT, l'uscita ET viene resettata al
valore T#0s.
A ogni richiamo dell'istruzione "Generate off-delay" deve essere assegnata un'area di dati
nella quale memorizzare i dati dell'istruzione. Inoltre, durante l'inserimento dell'istruzione, nel
programma viene aperta automaticamente la finestra di dialogo "Call options", nella quale è
possibile inserire un blocco dati (istanza singola) (ad es. F_IEC_Timer_DB_1) o una
multiistanza (ad es. F_IEC_Timer_Instance_1) per l'istruzione "Generate off-delay". Dopo la
creazione, il nuovo blocco dati si trova nella navigazione del progetto nella cartella
"STEP 7 Safety" in "Program blocks > System blocks" o la multiistanza come variabile locale
nella sezione "Static" dell'interfaccia del blocco. Per ulteriori informazioni a riguardo
consultare la Guida a STEP 7.
AVVERTENZA
Per la definizione dei tempi di reazione in caso di utilizzo di una istruzione con elaborazione
temporale occorre considerare i seguenti fattori di indeterminatezza temporale:
• la nota indeterminatezza temporale indicata del programma utente standard, dovuta
all'elaborazione ciclica
• l'indeterminatezza temporale dovuta all'istante di aggiornamento della base oraria
utilizzata all'istante di aggiornamento della base oraria utilizzata nell'istruzione (vedere la
figura della sezione "Indeterminatezza temporale dovuta all'istante di aggiornamento
della base oraria utilizzata nell'istruzione")
• la tolleranza del controllo interno dei tempi nella F-CPU
– con valori temporali fino a 200 ms max. 4 ms
– con valori temporali a partire da 200 ms max. 2 % del valore temporale
(parametrizzato)
• la tolleranza del controllo interno dei tempi nella HF-CPU S7-1500
– con valori temporali fino a 500 ms max. 10 ms
– con valori temporali a partire da 500 ms max. 2 % del valore temporale
(parametrizzato)
L'intervallo tra due istanti di richiamo di una istruzione con elaborazione temporale va scelto
in modo che, anche considerando la possibile indeterminatezza temporale, vengano
raggiunti i tempi di reazione richiesti. (S034)
Nota
La funzionalità di questa istruzione si discosta da quella dell'istruzione standard TOF
corrispondente per i seguenti elementi:
• Se l'istruzione viene richiamata durante il tempo in esecuzione con PT = 0 ms, le uscite Q e
ET vengono resettate.
• Se l'istruzione viene richiamata con PT < 0 ms, le uscite Q e ET vengono resettate.
Per riavviare il ritardo alla disinserzione quando PT è di nuovo > 0 è necessario un nuovo
fronte di discesa del segnale sull'ingresso IN.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Durante la creazione di una nuova F-CPU con STEP 7 Safety è automaticamente preimpostata
la versione più recente disponibile per la F-CPU creata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
Imprecisioni temporali che si verificano all'istante di aggiornamento della base oraria utilizzata
nell'istruzione
① L'istante di richiamo dell'istruzione al primo richiamo nel ciclo n+1 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ1 rispetto al ciclo n, ad es. perché parti del programma di sicurezza
del gruppo di esecuzione F vengono saltate prima dell'istante di richiamo dell'istruzione nel
ciclo n+1. Durante l'aggiornamento del tempo l'istruzione prende in considerazione il tempo
Tbases_1 anziché il tempo T1 effettivamente trascorso dal richiamo nel ciclo n.
② L'istruzione viene richiamata una seconda volta nel ciclo n+1. Tuttavia non viene eseguito un
nuovo aggiornamento del tempo (con Δ2).
③ L'istante di richiamo dell'istruzione al richiamo nel ciclo n+2 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ3 rispetto al ciclo n, ad es. perché il gruppo di esecuzione F è stato
interrotto prima dell'istante di richiamo dell'istruzione nel ciclo n+2 da un allarme con priorità
superiore. Invece del tempo T3 effettivamente trascorso dal richiamo nel ciclo n, l'istruzione ha
preso in considerazione i tempi Tbase_1 e Tbase_2. Ciò avverrebbe anche se non fosse stato
effettuato alcun richiamo nel ciclo n+1.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
13.5 Contatori
Descrizione
L'istruzione "Count up" consente di incrementare il valore sull'uscita CV. Quando lo stato di
segnale dell'uscita CU commuta da "0" a "1" (fronte di salita del segnale), l'istruzione viene
eseguita e il valore di conteggio attuale nell'uscita CV viene incrementato di uno. Il valore di
conteggio viene incrementato ogni volta che viene rilevato un fronte di salita del segnale
finché non raggiunge il valore limite superiore del tipo di dati indicato nell'uscita CV. Una
volta raggiunto il valore limite superiore, lo stato di segnale nell'ingresso CU non influisce più
sull'istruzione.
Sull'uscita Q è possibile leggere lo stato del contatore. Lo stato di segnale sull'uscita Q è
determinato dal parametro PV. Se il valore di conteggio attuale è maggiore o uguale al valore
del parametro PV, l'uscita Q viene impostata sullo stato di segnale "1". In tutti gli altri casi lo
stato di segnale nell'uscita Q è "0".
Il valore sull'uscita CV viene resettato a zero se lo stato di segnale nell'ingresso R passa a "1".
Finché nell'ingresso R è presente lo stato di segnale "1", lo stato di segnale nell'ingresso CU
non influisce sull'istruzione.
A ogni richiamo dell'istruzione "Count up" deve essere assegnata un'area di dati nella quale
memorizzare i dati dell'istruzione. Inoltre, durante l'inserimento dell'istruzione, nel
programma viene aperta automaticamente la finestra di dialogo "Call options", nella quale è
possibile inserire un blocco dati (istanza singola) (ad es. F_IEC_Counter_DB_1) o una
multiistanza (ad es. F_IEC_Counter_Instance_1) per l'istruzione "Count up". Dopo la creazione,
il nuovo blocco dati si trova nella navigazione del progetto nella cartella "STEP 7 Safety" in
"Program blocks > System blocks" o la multiistanza come variabile locale nella sezione "Static"
dell'interfaccia del blocco. Per ulteriori informazioni a riguardo consultare la Guida a STEP 7.
In caso di avviamento del sistema F, il sistema operativo resetta le istanze dell'istruzione
"Count up".
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Durante la creazione di una nuova F-CPU con STEP 7 Safety è automaticamente preimpostata
la versione più recente disponibile per la F-CPU creata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Se lo stato di segnale nell'ingresso "CU" passa da "0" a "1" viene eseguita l'istruzione "Count
up" e il valore di conteggio attuale dell'uscita"CV" viene incrementato di uno. Con ogni
ulteriore fronte di salita del segnale, il valore di conteggio viene incrementato fino al
raggiungimento del valore limite superiore del tipo di dati indicato (32767).
Il valore nel parametro PV viene applicato come limite per la determinazione dell'operando
"TagOut" sull'uscita Q. L'uscita "Q" restituisce lo stato di segnale "1" finché il valore di
conteggio attuale è maggiore o uguale al valore dell'ingresso "PV". In tutti gli altri casi l'uscita
"Q" ha lo stato di segnale "0".
Descrizione
L'istruzione "Count down" consente di decrementare il valore nell'uscita CV. Quando lo stato
di segnale nell'ingresso CD commuta da "0" a "1" (fronte di salita del segnale) l'istruzione
viene eseguita e il valore di conteggio attuale nell'uscita CV viene decrementato di uno. Il
valore di conteggio viene decrementato a ogni rilevamento di un fronte di salita del segnale
finché non raggiunge il valore limite inferiore del tipo di dati indicato. Una volta raggiunto il
valore limite inferiore, lo stato di segnale nell'ingresso CD non influisce più sull'istruzione.
Sull'uscita Q è possibile leggere lo stato del contatore. Se il valore di conteggio attuale è
minore o uguale a zero, l'uscita Q viene impostata sullo stato di segnale "1". In tutti gli altri
casi lo stato di segnale nell'uscita Q è "0".
Quando lo stato di segnale nell'ingresso LD commuta a "1" il valore nell'uscita CV viene
impostato sul valore del parametro PV. Finché nell'ingresso LD è presente lo stato di segnale
"1" lo stato di segnale nell'ingresso CD non influisce sull'istruzione.
A ogni richiamo dell'istruzione "Count down" deve essere assegnata un'area di dati nella quale
memorizzare i dati dell'istruzione. Inoltre, durante l'inserimento dell'istruzione, nel
programma viene aperta automaticamente la finestra di dialogo "Call options", nella quale è
possibile inserire un blocco dati (istanza singola) (ad es. F_IEC_Counter_DB_1) o una
multiistanza (ad es. F_IEC_Counter_Instance_1) per l'istruzione "Count down". Dopo la
creazione, il nuovo blocco dati si trova nella navigazione del progetto nella cartella
"STEP 7 Safety" in "Program blocks > System blocks" o la multiistanza come variabile locale
nella sezione "Static" dell'interfaccia del blocco. Per ulteriori informazioni a riguardo
consultare la Guida a STEP 7.
In caso di avviamento del sistema F, il sistema operativo resetta le istanze dell'istruzione
"Count down".
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Durante la creazione di una nuova F-CPU con STEP 7 Safety è automaticamente preimpostata
la versione più recente disponibile per la F-CPU creata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Se lo stato di segnale sull'ingresso "CD" passa da "0" a "1" viene eseguita l'istruzione "Count
down" e il valore sull'uscita "CV" viene decrementato di una unità. Con ogni ulteriore fronte di
salita del segnale, il valore di conteggio viene decrementato fino al raggiungimento del
valore limite inferiore del tipo di dati indicato (-32768).
L'uscita "Q" ha lo stato di segnale "1" finché il valore di conteggio attuale è minore o uguale a
zero. In tutti gli altri casi l'uscita "Q" ha lo stato di segnale "0".
Descrizione
L'istruzione "Count up and down" consente di incrementare e decrementare il valore di
conteggio dell'uscita CV. Se lo stato di segnale nell'ingresso CU passa da "0" a "1" (fronte di
salita del segnale), il valore di conteggio attuale nell'uscita CV viene incrementato di uno.
Quando lo stato di segnale dell'ingresso CD commuta da "0" a "1" (fronte di salita del
segnale), il valore di conteggio dell'uscita CV viene decrementato di uno. Se in un ciclo di
programma è presente un fronte di salita del segnale negli ingressi CU e CD il valore di
conteggio attuale nell'uscita CV rimane invariato.
Il valore di conteggio può essere incrementato finché non raggiunge il valore limite superiore
del tipo di dati indicato nell'uscita CV. Una volta raggiunto il valore limite superiore, il valore
di conteggio non viene più incrementato in caso di fronte di salita del segnale. Una volta
raggiunto il valore limite inferiore del tipo di dati indicato, il valore di conteggio non viene più
decrementato.
Se lo stato di segnale nell'ingresso LD commuta a "1", il valore di conteggio nell'uscita CV
viene impostato sul valore del parametro PV. Finché nell'ingresso LD è presente lo stato di
segnale "1" lo stato di segnale negli ingressi CU e CD non influisce sull'istruzione.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Se lo stato di segnale sull'ingresso "CU" o sull'ingresso "CD" passa da "0" a "1" (fronte di salita
del segnale) viene eseguita l'istruzione "Count up and down". Se sull'ingresso "CU" è presente
un fronte di salita del segnale, il valore di conteggio attuale nell'uscita "CV" viene
incrementato di uno. Se sull'ingresso "CD" è presente un fronte di salita del segnale, il valore
di conteggio attuale nell'uscita "CV" viene decrementato di uno. Se si verifica un fronte di
salita del segnale nell'ingresso CU il valore di conteggio viene incrementato finché non
raggiunge il valore limite superiore di 32767. In presenza di un fronte di salita del segnale
nell'ingresso CD il valore di conteggio viene decrementato finché non raggiunge il valore
limite inferiore di -32768.
L'uscita "QU" ha lo stato di segnale "1" finché il valore di conteggio attuale è maggiore o
uguale al valore dell'ingresso "PV". In tutti gli altri casi l'uscita "QU" ha lo stato di segnale "0".
L'uscita "QD" ha lo stato di segnale "1" finché il valore di conteggio attuale è minore o uguale
a zero. In tutti gli altri casi l'uscita "QD" ha lo stato di segnale "0".
Descrizione
L'istruzione "Equal" consente di verificare se il primo valore di confronto (IN1 o <Operando1>)
è uguale al secondo valore di confronto (IN2 o <Operando2>).
Se la condizione del confronto è soddisfatta l'istruzione fornisce il risultato logico
combinatorio (RLO) "1". Se la condizione del confronto non è soddisfatta l'istruzione fornisce
l'RLO "0".
Per KOP vale:
L'RLO dell'istruzione viene combinato con l'RLO dell'intero montante nel modo seguente:
• Con AND se l'istruzione di confronto è collegata in serie.
• Con OR se l'istruzione di confronto è collegata in parallelo.
Il primo valore di confronto (<Operando1>) va indicato nel segnaposto dell'operando sopra
l'istruzione. Il secondo valore di confronto (<Operando2>) va indicato nel segnaposto
dell'operando sotto l'istruzione.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Nella casella di riepilogo "<???>" del box dell'istruzione è possibile selezionare il tipo di dati
dell'istruzione.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "Not equal" consente di verificare se il primo valore di confronto (IN1 o
<Operando1>) è diverso dal secondo valore di confronto (IN2 o <Operando2>).
Se la condizione del confronto è soddisfatta l'istruzione fornisce il risultato logico
combinatorio (RLO) "1". Se la condizione del confronto non è soddisfatta l'istruzione fornisce
l'RLO "0".
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Nella casella di riepilogo "<???>" del box dell'istruzione è possibile selezionare il tipo di dati
dell'istruzione.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "Greater or equal" consente di verificare se il primo valore di confronto (IN1 o
<Operando1>) è maggiore o uguale al secondo valore di confronto (IN2 o <Operando2>). I
valori di confronto devono avere entrambi lo stesso tipo di dati.
Se la condizione del confronto è soddisfatta l'istruzione fornisce il risultato logico
combinatorio (RLO) "1". Se la condizione del confronto non è soddisfatta l'istruzione fornisce
l'RLO "0".
Per KOP vale:
L'RLO dell'istruzione viene combinato con l'RLO dell'intero montante nel modo seguente:
• Con AND se l'istruzione di confronto è collegata in serie.
• Con OR se l'istruzione di confronto è collegata in parallelo.
Il primo valore di confronto (<Operando1>) va indicato nel segnaposto dell'operando sopra
l'istruzione. Il secondo valore di confronto (<Operando2>) va indicato nel segnaposto
dell'operando sotto l'istruzione.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Nella casella di riepilogo "<???>" del box dell'istruzione è possibile selezionare il tipo di dati
dell'istruzione.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "Less or equal" consente di verificare se il primo valore di confronto (IN1 o
<Operando1>) è minore o uguale al secondo valore di confronto (IN2 o <Operando2>). I
valori di confronto devono avere entrambi lo stesso tipo di dati.
Se la condizione del confronto è soddisfatta l'istruzione fornisce il risultato logico
combinatorio (RLO) "1". Se la condizione del confronto non è soddisfatta l'istruzione fornisce
l'RLO "0".
Per KOP vale:
L'RLO dell'istruzione viene combinato con l'RLO dell'intero montante nel modo seguente:
• Con AND se l'istruzione di confronto è collegata in serie.
• Con OR se l'istruzione di confronto è collegata in parallelo.
Il primo valore di confronto (<Operando1>) va indicato nel segnaposto dell'operando sopra
l'istruzione. Il secondo valore di confronto (<Operando2>) va indicato nel segnaposto
dell'operando sotto l'istruzione.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Nella casella di riepilogo "<???>" del box dell'istruzione è possibile selezionare il tipo di dati
dell'istruzione.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "Greater than" consente di verificare se il primo valore di confronto (IN1 o
<Operando1>) è maggiore del secondo valore di confronto (IN2 o <Operando2>). I valori di
confronto devono avere entrambi lo stesso tipo di dati.
Se la condizione del confronto è soddisfatta l'istruzione fornisce il risultato logico
combinatorio (RLO) "1". Se la condizione del confronto non è soddisfatta l'istruzione fornisce
l'RLO "0".
Per KOP vale:
L'RLO dell'istruzione viene combinato con l'RLO dell'intero montante nel modo seguente:
• Con AND se l'istruzione di confronto è collegata in serie.
• Con OR se l'istruzione di confronto è collegata in parallelo.
Il primo valore di confronto (<Operando1>) va indicato nel segnaposto dell'operando sopra
l'istruzione. Il secondo valore di confronto (<Operando2>) va indicato nel segnaposto
dell'operando sotto l'istruzione.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Nella casella di riepilogo "<???>" del box dell'istruzione è possibile selezionare il tipo di dati
dell'istruzione.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "Less than" consente di verificare se il primo valore di confronto (IN1 o
<Operando1>) è minore del secondo valore di confronto (IN2 o <Operando2>). I valori di
confronto devono avere entrambi lo stesso tipo di dati.
Se la condizione del confronto è soddisfatta l'istruzione fornisce il risultato logico
combinatorio (RLO) "1". Se la condizione del confronto non è soddisfatta l'istruzione fornisce
l'RLO "0".
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Nella casella di riepilogo "<???>" del box dell'istruzione è possibile selezionare il tipo di dati
dell'istruzione.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "Add" consente di sommare il valore dell'ingresso IN1 con quello dell'ingresso IN2
e di leggere la somma nell'uscita OUT (OUT = IN1 + IN2).
Il collegamento dell'ingresso di abilitazione "EN" o (S7-300, S7-400) dell'uscita di abilitazione
"ENO" non è possibile. In questo modo, l'istruzione viene sempre eseguita,
indipendentemente dallo stato di segnale sull'ingresso di abilitazione "EN".
Nota
Se il risultato dell'istruzione non rientra nel campo consentito per il tipo di dati, la F-CPU può
passare in STOP. La causa dell'evento di diagnostica viene inserita nel buffer di diagnostica
della F-CPU.
Pertanto, durante la creazione del programma, fare attenzione a rispettare l'area consentita
per il tipo di dati!
(S7-1200, S7-1500) È possibile evitare lo STOP della F-CPU collegando l'uscita di abilitazione
ENO e programmando così un riconoscimento di overflow.
Tenere presente quanto segue:
• Se il risultato dell’istruzione non rientra nel campo consentito per il tipo di dati, l’uscita di
abilitazione ENO fornisce lo stato di segnale "0".
• Il risultato dell’istruzione si comporta quindi come nella rispettiva istruzione in un blocco
standard.
• Il tempo di esecuzione dell'istruzione viene prolungato (vedere anche File Excel per il
calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831)).
• La memoria richiesta del programma di sicurezza aumenta.
(S7-300, S7-400) È possibile evitare uno STOP della F-CPU inserendo nella seguente rete
un'istruzione "Get status bit OV" e programmando di conseguenza un riconoscimento di
overflow.
Tenere presente quanto segue:
• Il risultato dell’istruzione si comporta quindi come nella rispettiva istruzione in un blocco
standard.
• La rete con l'istruzione "Get status bit OV" non deve contenere etichette di salto.
• Il tempo di esecuzione dell'istruzione viene prolungato (vedere anche File Excel per il
calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831)).
• Se non si inserisce alcuna istruzione "Get status bit OV", viene emesso un avviso.
• La memoria richiesta del programma di sicurezza aumenta.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Nella casella di riepilogo "<???>" del box dell'istruzione selezionare il tipo di dati
dell'istruzione.
In caso di necessità è anche possibile salvare lo stato di segnale dell'uscita di abilitazione ENO
in un (F-)DB e valutare centralmente per tutti i gruppi/un gruppo di istruzioni se si sono
verificati degli overflow.
Se durante l'esecuzione dell'istruzione "Add" si verifica un overflow, il bit di stato OV viene
impostato a "1". Dopo l'interrogazione del bit di stato OV, nella rete 2 viene eseguita
l'istruzione "Set output" (S) e viene impostato l'operando "TagOut".
Vedere anche
---| |--- OV: Interrogazione bit di stato OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)
(Pagina 576)
---| / |--- OV: Interrogazione se bit di stato OV è negato (STEP 7 Safety Advanced V18) (S7-300,
S7-400) (Pagina 577)
Descrizione
L'istruzione "Subtract" consente di sottrarre il valore dell'ingresso IN2 da quello dell'ingresso
IN1 e di leggere la differenza nell'uscita OUT (OUT = IN1 – IN2).
Il collegamento dell'ingresso di abilitazione "EN" o (S7-300, S7-400) dell'uscita di abilitazione
"ENO" non è possibile. In questo modo, l'istruzione viene sempre eseguita,
indipendentemente dallo stato di segnale sull'ingresso di abilitazione "EN".
Nota
Se il risultato dell'istruzione non rientra nel campo consentito per il tipo di dati, la F-CPU può
passare in STOP. La causa dell'evento di diagnostica viene inserita nel buffer di diagnostica
della F-CPU.
Pertanto, durante la creazione del programma, fare attenzione a rispettare l'area consentita
per il tipo di dati!
(S7-1200, S7-1500) È possibile evitare lo STOP della F-CPU collegando l'uscita di abilitazione
ENO e programmando così un riconoscimento di overflow.
Tenere presente quanto segue:
• Se il risultato dell’istruzione non rientra nel campo consentito per il tipo di dati, l’uscita di
abilitazione ENO fornisce lo stato di segnale "0".
• Il risultato dell’istruzione si comporta quindi come nella rispettiva istruzione in un blocco
standard.
• Il tempo di esecuzione dell'istruzione viene prolungato (vedere anche File Excel per il
calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831)).
• La memoria richiesta del programma di sicurezza aumenta.
(S7-300, S7-400) È possibile evitare uno STOP della F-CPU inserendo nella seguente rete
un'istruzione "Get status bit OV" e programmando di conseguenza un riconoscimento di
overflow.
Tenere presente quanto segue:
• Il risultato dell’istruzione si comporta quindi come nella rispettiva istruzione in un blocco
standard.
• La rete con l'istruzione "Get status bit OV" non deve contenere etichette di salto.
• Il tempo di esecuzione dell'istruzione viene prolungato (vedere anche File Excel per il
calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831)).
• Se non si inserisce alcuna istruzione "Get status bit OV", viene emesso un avviso.
• La memoria richiesta del programma di sicurezza aumenta.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Nella casella di riepilogo "<???>" del box dell'istruzione selezionare il tipo di dati
dell'istruzione.
Vedere anche
---| |--- OV: Interrogazione bit di stato OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)
(Pagina 576)
---| / |--- OV: Interrogazione se bit di stato OV è negato (STEP 7 Safety Advanced V18) (S7-300,
S7-400) (Pagina 577)
Descrizione
L'istruzione "Multiply" consente di moltiplicare il valore dell'ingresso IN1 per quello
dell'ingresso IN2 e di leggere il prodotto nell'uscita OUT (OUT = IN1 × IN2).
Il collegamento dell'ingresso di abilitazione "EN" o (S7-300, S7-400) dell'uscita di abilitazione
"ENO" non è possibile. In questo modo, l'istruzione viene sempre eseguita,
indipendentemente dallo stato di segnale sull'ingresso di abilitazione "EN".
Nota
Se il risultato dell'istruzione non rientra nel campo consentito per il tipo di dati, la F-CPU può
passare in STOP. La causa dell'evento di diagnostica viene inserita nel buffer di diagnostica
della F-CPU.
Pertanto, durante la creazione del programma, fare attenzione a rispettare l'area consentita
per il tipo di dati!
(S7-1200, S7-1500) È possibile evitare lo STOP della F-CPU collegando l'uscita di abilitazione
ENO e programmando così un riconoscimento di overflow.
Tenere presente quanto segue:
• Se il risultato dell’istruzione non rientra nel campo consentito per il tipo di dati, l’uscita di
abilitazione ENO fornisce lo stato di segnale "0".
• Il risultato dell’istruzione si comporta quindi come nella rispettiva istruzione in un blocco
standard.
• Il tempo di esecuzione dell'istruzione viene prolungato (vedere anche File Excel per il
calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831)).
• La memoria richiesta del programma di sicurezza aumenta.
(S7-300, S7-400) È possibile evitare uno STOP della F-CPU inserendo nella seguente rete
un'istruzione "Get status bit OV" e programmando di conseguenza un riconoscimento di
overflow.
Tenere presente quanto segue:
• Il risultato dell’istruzione si comporta quindi come nella rispettiva istruzione in un blocco
standard.
• La rete con l'istruzione "Get status bit OV" non deve contenere etichette di salto.
• Il tempo di esecuzione dell'istruzione viene prolungato (vedere anche File Excel per il
calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831)).
• Se non si inserisce alcuna istruzione "Get status bit OV", viene emesso un avviso.
• La memoria richiesta del programma di sicurezza aumenta.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Nella casella di riepilogo "<???>" del box dell'istruzione selezionare il tipo di dati
dell'istruzione.
Vedere anche
---| |--- OV: Interrogazione bit di stato OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)
(Pagina 576)
---| / |--- OV: Interrogazione se bit di stato OV è negato (STEP 7 Safety Advanced V18) (S7-300,
S7-400) (Pagina 577)
Descrizione
L'istruzione "Divide" consente di dividere il valore dell'ingresso IN1 con quello dell'ingresso
IN2 e di leggere il quoziente nell'uscita OUT (OUT = IN1 / IN2).
Nota
Se il risultato dell'istruzione non rientra nel campo consentito per il tipo di dati, la F-CPU può
passare in STOP. La causa dell'evento di diagnostica viene inserita nel buffer di diagnostica
della F-CPU.
Pertanto, durante la creazione del programma, fare attenzione a rispettare l'area consentita
per il tipo di dati!
(S7-1200, S7-1500) È possibile evitare lo STOP della F-CPU collegando l'uscita di abilitazione
ENO e programmando così un riconoscimento di overflow.
Tenere presente quanto segue:
• Se il risultato dell’istruzione non rientra nel campo consentito per il tipo di dati, l’uscita di
abilitazione ENO fornisce lo stato di segnale "0".
• Il risultato dell’istruzione si comporta quindi come nella rispettiva istruzione in un blocco
standard.
• Il tempo di esecuzione dell'istruzione viene prolungato (vedere anche File Excel per il
calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831)).
• La memoria richiesta del programma di sicurezza aumenta.
(S7-300, S7-400) È possibile evitare uno STOP della F-CPU inserendo nella seguente rete
un'istruzione "Get status bit OV" e programmando di conseguenza un riconoscimento di
overflow.
Tenere presente quanto segue:
• Il risultato dell’istruzione si comporta quindi come nella rispettiva istruzione in un blocco
standard.
• La rete con l'istruzione "Get status bit OV" non deve contenere etichette di salto.
• Il tempo di esecuzione dell'istruzione viene prolungato (vedere anche File Excel per il
calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831)).
• Se non si inserisce alcuna istruzione "Get status bit OV", viene emesso un avviso.
• La memoria richiesta del programma di sicurezza aumenta.
Nota
S7-300/400, S7-1200/1500 (uscita di abilitazione ENO collegata):
Se il divisore (ingresso IN2) di un'istruzione DIV è = 0, il quoziente del divisore (risultato del
divisore sull'uscita OUT) è = 0. Il risultato si comporta come nella rispettiva istruzione in un
blocco standard. La F-CPU non commuta in STOP.
S7-1200/1500 (uscita di abilitazione ENO non è collegata):
Se il divisore (ingresso IN2) di un'istruzione DIV è = 0, la F-CPU passa in STOP. Nel buffer di
diagnostica della F-CPU viene registrata la causa dell'evento di diagnostica. Si raccomanda di
evitare un divisore (ingresso IN2) = 0 già al momento della creazione del programma.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Nella casella di riepilogo "<???>" del box dell'istruzione selezionare il tipo di dati
dell'istruzione.
Vedere anche
---| |--- OV: Interrogazione bit di stato OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)
(Pagina 576)
---| / |--- OV: Interrogazione se bit di stato OV è negato (STEP 7 Safety Advanced V18) (S7-300,
S7-400) (Pagina 577)
Descrizione
L'istruzione "Create twos complement" consente di modificare il segno davanti al valore
nell'ingresso IN e di leggere il risultato nell'uscita OUT. Se ad es. nell'ingresso IN si trova un
valore positivo, nell'uscita OUT viene emesso l'equivalente negativo di questo valore.
Il collegamento dell'ingresso di abilitazione "EN" o (S7-300, S7-400) dell'uscita di abilitazione
"ENO" non è possibile. In questo modo, l'istruzione viene sempre eseguita,
indipendentemente dallo stato di segnale sull'ingresso di abilitazione "EN".
Nota
Se il risultato dell'istruzione non rientra nel campo consentito per il tipo di dati, la F-CPU può
passare in STOP. La causa dell'evento di diagnostica viene inserita nel buffer di diagnostica
della F-CPU.
Pertanto, durante la creazione del programma, fare attenzione a rispettare l'area consentita
per il tipo di dati!
(S7-1200, S7-1500) È possibile evitare lo STOP della F-CPU collegando l'uscita di abilitazione
ENO e programmando così un riconoscimento di overflow.
Tenere presente quanto segue:
• Se il risultato dell’istruzione non rientra nel campo consentito per il tipo di dati, l’uscita di
abilitazione ENO fornisce lo stato di segnale "0".
• Il risultato dell’istruzione si comporta quindi come nella rispettiva istruzione in un blocco
standard.
• Il tempo di esecuzione dell'istruzione viene prolungato (vedere anche File Excel per il
calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831)).
• La memoria richiesta del programma di sicurezza aumenta.
(S7-300, S7-400) È possibile evitare uno STOP della F-CPU inserendo nella seguente rete
un'istruzione "Get status bit OV" e programmando di conseguenza un riconoscimento di
overflow.
Tenere presente quanto segue:
• Il risultato dell’istruzione si comporta quindi come nella rispettiva istruzione in un blocco
standard.
• La rete con l'istruzione "Get status bit OV" non deve contenere etichette di salto.
• Il tempo di esecuzione dell'istruzione viene prolungato (vedere anche File Excel per il
calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831)).
• Se non si inserisce alcuna istruzione "Get status bit OV", viene emesso un avviso.
• La memoria richiesta del programma di sicurezza aumenta.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Nella casella di riepilogo "<???>" del box dell'istruzione selezionare il tipo di dati
dell'istruzione.
L'istruzione "Create twos complement" viene sempre eseguita, indipendentemente dallo stato
di segnale sull'ingresso di abilitazione EN.
Il segno dell'operando "TagIn_Value" viene modificato e il risultato viene salvato
nell'operando ""F_DB_1".TagOut_Value".
L'istruzione "Create twos complement" viene sempre eseguita, indipendentemente dallo stato
di segnale sull'ingresso di abilitazione EN.
Il segno dell'operando "#TagIn_Value" viene modificato e il risultato viene salvato
nell'operando ""F_DB_1".TagOut_Value".
Se durante l'esecuzione dell'istruzione "Create twos complement" non si verifica alcun
overflow, l'uscita di abilitazione ENO fornisce lo stato di segnale "1" e viene impostato
l'operando "TagOut".
Vedere anche
---| |--- OV: Interrogazione bit di stato OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)
(Pagina 576)
---| / |--- OV: Interrogazione se bit di stato OV è negato (STEP 7 Safety Advanced V18) (S7-300,
S7-400) (Pagina 577)
Descrizione
Con l'istruzione "Form absolute value" si calcola la grandezza assoluta del valore indicato
nell'ingresso IN. Il risultato dell'istruzione viene emesso nell'uscita OUT, nella quale può
essere letto.
Il collegamento dell'ingresso di abilitazione "EN" o (S7-300, S7-400) dell'uscita di abilitazione
"ENO" non è possibile. In questo modo, l'istruzione viene sempre eseguita,
indipendentemente dallo stato di segnale sull'ingresso di abilitazione "EN".
Nota
Se il risultato dell'istruzione non rientra nel campo consentito per il tipo di dati, la F-CPU può
passare in STOP. La causa dell'evento di diagnostica viene inserita nel buffer di diagnostica
della F-CPU.
Pertanto, durante la creazione del programma, fare attenzione a rispettare l'area consentita
per il tipo di dati!
È possibile evitare lo STOP della F-CPU collegando l'uscita di abilitazione ENO e
programmando così un riconoscimento di overflow.
Tenere presente quanto segue:
• Se il risultato dell’istruzione non rientra nel campo consentito per il tipo di dati, l’uscita di
abilitazione ENO fornisce lo stato di segnale "0".
• Il risultato dell’istruzione si comporta quindi come nella rispettiva istruzione in un blocco
standard.
• Il tempo di esecuzione dell'istruzione viene prolungato (vedere anche File Excel per il
calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831)).
• La memoria richiesta del programma di sicurezza aumenta.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Nella casella di riepilogo "<???>" del box dell'istruzione selezionare il tipo di dati
dell'istruzione.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
L'istruzione "Form absolute value" viene sempre eseguita, indipendentemente dallo stato di
segnale sull'ingresso di abilitazione EN.
Il valore assoluto del valore nell'operando "TagIn_Value" viene calcolato e il risultato viene
salvato nell'operando ""F_DB_1".TagOut_Value".
Se durante l'esecuzione dell'istruzione "Form absolute value" non si verifica alcun overflow,
l'uscita di abilitazione ENO fornisce lo stato di segnale "1" e viene impostato l'operando
"#TagOut".
Descrizione
L'istruzione "Move value" consente di trasferire il contenuto dell'operando dell'ingresso IN
nell'operando dell'uscita OUT1.
Nell'ingresso IN e nell'uscita OUT1 possono essere indicati solo operandi con la stessa
larghezza di operando e la stessa struttura di dati.
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione viene sempre eseguita (indipendentemente dallo stato
di segnale sull'ingresso di abilitazione "EN").
(S7-1200, S7-1500) Allo stato di base il box dell'istruzione contiene una uscita (OUT1). Il
numero delle uscite è ampliabile. Le uscite inserite vengono numerate in ordine crescente nel
box. Con l'esecuzione il contenuto dell'operando nell'ingresso IN viene trasferito a tutte le
uscite disponibili. Se vengono trasferiti operandi con tipi di dati PLC conformi a F (UDT), non è
possibile espandere il box delle istruzioni.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
13.8.2 RD_ARRAY_I: Lettura del valore dall'array F INT (STEP 7 Safety V18)
(S7-1500)
Descrizione
L'istruzione "Read value from INT F-array" consente di leggere un elemento dell'array
sull'ingresso ARRAY, a cui fa riferimento l'indice sull'ingresso INDEX, e di scrivere il relativo
valore sull'uscita OUT. Se durante l'esecuzione si verifica un errore nell'accesso all'array,
questo viene indicato sull'uscita ERROR.
L'array deve essere creato in un DB globale F e può contenere solo una dimensione. Gli
elementi dell'array devono appartenere al tipo di dati INT. Rispetto allo standard, per i limiti
array vale quanto segue:
• Il valore limite inferiore deve essere 0.
• Il valore limite superiore può essere max. 10000.
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione (indipendentemente dallo stato di segnale sull'ingresso
di abilitazione "EN") viene sempre eseguita.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Parametro ARRAY
Oltre al collegamento diretto con un array all'interno di un DB globale fail-safe, questo
ingresso può essere collegato anche con un parametro INOUT del tipo di dati ARRAY[*] of
INT. Ciò consente di disaccoppiare la logica dei dati da quella del programma, ad es. per
creare una funzione di biblioteca senza un collegamento a un blocco dati dedicato.
Parametro ERROR
La seguente tabella mostra il significato dei valori del parametro ERROR:
Valore Descrizione
FALSE Nessun errore
TRUE Il valore nel parametro INDEX si trova al di fuori dei valori limite dell'ARRAY.
Durante la creazione di una nuova F-CPU con STEP 7 Safety è automaticamente preimpostata
la versione più recente disponibile per la F-CPU creata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
L'istruzione "Read value from INT F-array" viene sempre eseguita, indipendentemente dallo
stato di segnale sull'ingresso di abilitazione "EN".
Il contenuto del 2º elemento dell'operando "Global_DB.Array" viene emesso sull'uscita
"#TagOut_Value".
13.8.3 RD_ARRAY_DI: Lettura del valore dall'array F DINT (STEP 7 Safety V18)
(S7-1500)
Descrizione
L'istruzione "Read value from DINT F-array" consente di leggere un elemento dell'array
sull'ingresso ARRAY, a cui fa riferimento l'indice sull'ingresso INDEX, e di scrivere il relativo
valore sull'uscita OUT. Se durante l'esecuzione si verifica un errore nell'accesso all'array,
questo viene indicato sull'uscita ERROR.
L'array deve essere creato in un DB globale F e può contenere solo una dimensione. Gli
elementi dell'array devono appartenere al tipo di dati DINT. Rispetto allo standard, per i limiti
array vale quanto segue:
• Il valore limite inferiore deve essere 0.
• Il valore limite superiore può essere max. 10000.
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione (indipendentemente dallo stato di segnale sull'ingresso
di abilitazione "EN") viene sempre eseguita.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Parametro ARRAY
Oltre al collegamento diretto con un array al DINT di un DB globale fail-safe, questo ingresso
può essere collegato anche con un parametro INOUT del tipo di dati ARRAY[*] of DINT. Ciò
consente di disaccoppiare la logica dei dati da quella del programma, ad es. per creare una
funzione di biblioteca senza un collegamento a un blocco dati dedicato.
Parametro ERROR
La seguente tabella mostra il significato dei valori del parametro ERROR:
Valore Descrizione
FALSE Nessun errore
TRUE Il valore nel parametro INDEX si trova al di fuori dei valori limite dell'ARRAY.
Durante la creazione di una nuova F-CPU con STEP 7 Safety è automaticamente preimpostata
la versione più recente disponibile per la F-CPU creata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
L'istruzione "Read value from DINT F-array" viene sempre eseguita, indipendentemente dallo
stato di segnale sull'ingresso di abilitazione "EN".
Il contenuto del 2º elemento dell'operando "Global_DB.Array" viene emesso sull'uscita
"#TagOut_Value".
Descrizione
Questa istruzione scrive il valore indicato nell'ingresso IN nella variabile indirizzata tramite
INI_ADDR e OFFSET in un F-DB.
L'indirizzo delle variabili indirizzate con INI_ADDR e OFFSET deve trovarsi nell'area di indirizzi
definita tramite gli indirizzi INI_ADDR e END_ADDR.
Verificare se questa condizione viene soddisfatta quando la F-CPU va in STOP a causa
dell'evento di diagnostica con l'ID evento 75E2.
L'ingresso INI_ADDR viene utilizzato per trasferire l'indirizzo iniziale dell'area in un F-DB in cui
deve essere scritto il valore sull'ingresso IN. Il relativo offset viene trasmesso all'area tramite
l'ingresso OFFSET.
Gli indirizzi trasmessi nell'ingresso INI_ADDR o END_ADDR devono riferirsi a una variabile del
tipo di dati selezionato in un F-DB. Tra gli indirizzi INI_ADDR e END_ADDR sono consentite
solo variabili del tipo di dati selezionato. L'indirizzo INI_ADDR deve essere minore dell'indirizzo
END_ADDR.
Gli indirizzi INI_ADDR e END_ADDR devono essere trasmessi, come rappresentato nel
seguente esempio, in modo completamente qualificato come "DBx".DBWy oppure nella
rappresentazione simbolica corrispondente. Altre forme di trasmissione non sono ammesse.
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione viene sempre eseguita (indipendentemente dallo stato
di segnale sull'ingresso di abilitazione "EN").
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Nella casella di riepilogo "<???>" del box dell'istruzione è possibile selezionare il tipo di dati
dell'istruzione.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
Questa istruzione legge la variabile indirizzata con INI_ADDR e OFFSET in un F-DB e la rende
disponibile sull'uscita OUT.
L'indirizzo delle variabili indirizzate con INI_ADDR e OFFSET deve trovarsi nell'area di indirizzi
definita tramite gli indirizzi INI_ADDR e END_ADDR.
Verificare se questa condizione viene soddisfatta quando la F-CPU va in STOP a causa
dell'evento di diagnostica con l'ID evento 75E2.
Tramite l'ingresso INI_ADDR l'indirizzo iniziale dell'area viene trasmesso all'F-DB nel quale
verrà letta la variabile. Il relativo offset viene trasmesso all'area tramite l'ingresso OFFSET.
Gli indirizzi trasmessi nell'ingresso INI_ADDR o END_ADDR devono riferirsi a una variabile del
tipo di dati selezionato in un F-DB. Tra gli indirizzi INI_ADDR e END_ADDR sono consentite
solo variabili del tipo di dati selezionato. L'indirizzo INI_ADDR deve essere minore dell'indirizzo
END_ADDR.
Gli indirizzi INI_ADDR e END_ADDR devono essere trasmessi in modo completamente
qualificato come "DBx".DBWy oppure nella rappresentazione simbolica corrispondente. Altre
forme di trasmissione non sono ammesse. Degli esempi di parametrizzazione di INI_ADDR,
END_ADDR e OFFSET sono contenuti in WR_FDB: Scrittura indiretta del valore in un F-DB
(STEP 7 Safety Advanced V18) (S7-300, S7-400) (Pagina 534).
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Nella casella di riepilogo "<???>" del box dell'istruzione è possibile selezionare il tipo di dati
dell'istruzione.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "Convert value" legge il contenuto del parametro IN e lo converte in funzione dei
tipi di dati selezionati nel box dell'istruzione. Il valore convertito viene emesso sull'uscita OUT.
L'ingresso di abilitazione "EN" non può essere attivato. In questo modo, l'istruzione
(indipendentemente dallo stato di segnale sull'ingresso di abilitazione "EN") viene sempre
eseguita. L'attivazione dell'uscita di abilitazione "ENO" è possibile e necessaria solo in caso di
conversione del tipo di dati "DINT" nel tipo di dati "INT".
Nota
Durante la conversione del tipo di dati "DINT" nel tipo di dati "INT" è necessario attivare l'uscita
di abilitazione ENO e programmare così un riconoscimento di overflow.
Tenere presente quanto segue:
• Se il valore sull'ingresso si trova al di fuori dell'area INT, ENO restituisce il valore 0.
• Il risultato dell’istruzione si comporta quindi come nella rispettiva istruzione in un blocco
standard.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Nelle caselle di riepilogo "<???>" del box dell'istruzione è possibile selezionare i tipi di dati
dell'istruzione. Sono supportate le conversioni "da INT a DINT" e "da DINT a INT".
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione "Convert value "DINT to INT""
nelle F-CPU S7-1200/1500:
Descrizione
Questa istruzione converte i 16 valori degli ingressi da IN0 a IN15 del tipo di dati BOOL in un
valore del tipo di dati WORD e lo rende disponibile sull'uscita OUT. La conversione viene
effettuata nel modo seguente: l'i-esimo bit del valore WORD viene impostato su 0 (o 1) se il
valore sull'ingresso INi = 0 (o 1).
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione viene sempre eseguita (indipendentemente dallo stato
di segnale sull'ingresso di abilitazione "EN").
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Durante la creazione di una nuova F-CPU con STEP 7 Safety è automaticamente preimpostata
la versione più recente disponibile per la F-CPU creata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
13.9.3 W_BO: Conversione del tipo di dati WORD in 16 dati di tipo BOOL
(STEP 7 Safety V18)
Descrizione
Questa istruzione converte il valore sull'ingresso IN del tipo di dati WORD in 16 valori del tipo
di dati BOOL e li rende disponibili sulle uscite da OUT0 a OUT15. La conversione viene
effettuata nel modo seguente: L'uscita OUTi viene impostata su 0 (o 1) se l'i-esimo bit del
valore WORD è 0 (o 1).
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione viene sempre eseguita (indipendentemente dallo stato
di segnale sull'ingresso di abilitazione "EN").
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Durante la creazione di una nuova F-CPU con STEP 7 Safety è automaticamente preimpostata
la versione più recente disponibile per la F-CPU creata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Il valore dell'operando ""F_DB_1".TagValue" del tipo di dati WORD viene convertito in 16 valori
"TagOUT_0" - "TagOUT_15" del tipo di dati BOOL.
Descrizione
Questa istruzione scala il valore sull'ingresso IN in unità fisiche tra il valore limite inferiore
sull'ingresso LO_LIM e il valore limite superiore sull'ingresso HI_LIM. Si presume che il valore
sull'ingresso IN sia compreso tra 0 e 27648. Il risultato della scala viene reso disponibile
sull'uscita OUT.
L'istruzione opera con la seguente equazione:
OUT = [ IN × (HI_LIM – LO_LIM) ] / 27648 + LO_LIM
Finché il valore sull'ingresso IN è superiore a 27648, l'uscita OUT viene collegata a HI_LIM e
OUT_HI viene impostato su 1.
Finché il valore sull'ingresso IN è inferiore a 0, l'uscita OUT viene collegata a LO_LIM e
OUT_LO viene impostato su 1.
Per invertire la scala è necessario parametrizzare LO_LIM > HI_LIM. Con la scala invertita il
valore di uscita sull'uscita OUT diminuisce mentre il valore di impostazione sull'ingresso IN
aumenta.
A ogni richiamo dell'istruzione "Scale" deve essere assegnata un'area di dati nella quale
memorizzare i dati dell'istruzione. Inoltre, durante l'inserimento dell'istruzione, nel
programma viene aperta automaticamente la finestra di dialogo "Call options", nella quale è
possibile inserire un blocco dati (istanza singola) (ad es. SCALE_DB_1) o una multiistanza
(ad es. SCALE_Instance_1) per l'istruzione "Scale". Dopo la creazione, il nuovo blocco dati si
trova nella navigazione del progetto, nella cartella "STEP 7 Safety" in "Program blocks >
System blocks" o la multiistanza come variabile locale nella sezione "Static" dell'interfaccia del
blocco. Per ulteriori informazioni a riguardo consultare la Guida di STEP 7.
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione viene sempre eseguita (indipendentemente dallo stato
di segnale sull'ingresso di abilitazione "EN").
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Durante la creazione di una nuova F-CPU con STEP 7 Safety è automaticamente preimpostata
la versione più recente disponibile per la F-CPU creata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
Comportamento in caso di overflow o underflow dei valori analogici ed emissione del valore
sostitutivo
Nota
Se come valori di impostazione vengono utilizzati gli ingressi dell'IPI di un SM
336; AI 6 x 13Bit o SM 336; F-AI 6 x 0/4 ... 20 mA HART, occorre tenere presente che
l'overflow e l'underflow di un canale dell'F-SM viene riconosciuto dal sistema F come errore di
periferia F/errore di canale. Nella IPI per il programma di sicurezza, al posto di 7FFFH (per
overflow) o 8000H (per underflow) viene messo a disposizione il valore sostitutivo 0.
Se devono essere emessi altri valori sostitutivi, è necessario valutare il segnale QBAD della
rispettiva periferia F o il segnale QBAD_I_xx / lo stato del valore del rispettivo canale.
Se il valore nell'IPI dell'F-SM si trova nel campo di sovracomando o di sottocomando, ma è >
27648 o < 0, è possibile attivare l'emissione di un valore sostitutivo personalizzato anche
valutando le uscite OUT_HI o OUT_LO.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
13.9.5 SCALE_D: Scala del valore nel tipo di dati DINT (STEP 7 Safety V18)
(S7-1200, S7-1500)
Descrizione
Questa istruzione scala il valore sull'ingresso IN in unità fisiche tra il valore limite inferiore
sull'ingresso LO_LIM e il valore limite superiore sull'ingresso HI_LIM. Si presume che il valore
sull'ingresso IN sia compreso tra 0 e 27648. Il risultato della scala viene reso disponibile
sull'uscita OUT.
L'istruzione opera con la seguente equazione:
OUT = [ IN × (HI_LIM – LO_LIM) ] / 27648 + LO_LIM
Finché il valore sull'ingresso IN è superiore a 27648, l'uscita OUT viene collegata a HI_LIM e
OUT_HI viene impostato su 1.
Finché il valore sull'ingresso IN è inferiore a 0, l'uscita OUT viene collegata a LO_LIM e
OUT_LO viene impostato su 1.
Per invertire la scala è necessario parametrizzare LO_LIM > HI_LIM. Con la scala invertita il
valore di uscita sull'uscita OUT diminuisce mentre il valore di impostazione sull'ingresso IN
aumenta.
A ogni richiamo dell'istruzione "Scale to data type DINT" deve essere assegnata un'area di dati
nella quale memorizzare i dati dell'istruzione. Inoltre, durante l'inserimento dell'istruzione, nel
programma viene aperta automaticamente la finestra di dialogo "Call options", nella quale è
possibile inserire un blocco dati (istanza singola) (ad es. SCALE_D_DB_1) o una multiistanza
(ad es. SCALE_D_Instance_1) per l'istruzione "Scale to data type DINT". Dopo la creazione, il
nuovo blocco dati si trova nella navigazione del progetto, nella cartella "STEP 7 Safety" in
"Program blocks > System blocks" o la multiistanza come variabile locale nella sezione "Static"
dell'interfaccia del blocco. Per ulteriori informazioni a riguardo consultare la Guida di STEP 7.
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione viene sempre eseguita (indipendentemente dallo stato
di segnale sull'ingresso di abilitazione "EN").
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Durante la creazione di una nuova F-CPU con STEP 7 Safety è automaticamente preimpostata
la versione più recente disponibile per la F-CPU creata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
Comportamento in caso di overflow o underflow dei valori analogici ed emissione del valore
sostitutivo
Nota
Se come valori di impostazione vengono utilizzati gli ingressi dell'IPI di un SM
336; AI 6 x 13Bit o SM 336; F-AI 6 x 0/4 ... 20 mA HART, occorre tenere presente che
l'overflow e l'underflow di un canale dell'F-SM viene riconosciuto dal sistema F come errore di
periferia F/errore di canale. Nella IPI per il programma di sicurezza, al posto di 7FFFH (per
overflow) o 8000H (per underflow) viene messo a disposizione il valore sostitutivo 0.
Se devono essere emessi altri valori sostitutivi, è necessario valutare il segnale QBAD della
rispettiva periferia F o il segnale QBAD_I_xx / lo stato del valore del rispettivo canale.
Se il valore nell'IPI dell'F-SM si trova nel campo di sovracomando o di sottocomando, ma è >
27648 o < 0, è possibile attivare l'emissione di un valore sostitutivo personalizzato anche
valutando le uscite OUT_HI o OUT_LO.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "Jump if RLO = 1" consente di interrompere l'elaborazione lineare del programma
e di proseguire in un'altra rete. La rete di destinazione deve essere identificata da un'etichetta
di salto (Pagina 554) (LABEL). Il nome dell'etichetta di salto è indicata nel segnaposto sopra
l'istruzione.
L'etichetta indicata deve essere contenuta nello stesso blocco in cui viene eseguita
l'istruzione. La sua denominazione può essere assegnata una volta sola nel blocco.
Se il risultato logico combinatorio (RLO) nell'ingresso dell'istruzione è "1" o se l'ingresso non è
collegato, viene eseguito il salto alla rete contrassegnata con l'etichetta di salto specificata. Il
salto può essere effettuato verso reti con numero superiore o inferiore.
Se il risultato logico combinatorio (RLO) nell'ingresso dell'istruzione è "0", l'elaborazione del
programma prosegue nella rete successiva.
Nota
(S7-1200, S7-1500)
Se la destinazione di salto (etichetta di salto) di un'istruzione "JMP" o "JMPN" si trova al di
sopra della relativa istruzione "JMP" o "JMPN" (salto all'indietro), tra la destinazione e
l'istruzione non possono essere inserite altre istruzioni per il controllo del programma (JMP,
JMPN, RET, etichetta di salto).
Eccezione: Un'istruzione "JMP" o "JMPN" può essere inserita se anche la rispettiva
destinazione di salto si trova sotto la relativa istruzione "JMP" o "JMPN" (salto in avanti).
In caso di mancata osservanza possono verificarsi errori di compilazione o la F-CPU può
andare in STOP.
Nota
Tra un'istruzione JMP o JMPN e la relativa destinazione di salto (etichetta di salto) non
possono essere inserite istruzioni SENDDP o SENDS7.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Se l'operando "TagIn_1" ha lo stato di segnale "1" viene eseguita l'istruzione "Jump if RLO = 1".
L'elaborazione lineare del programma viene interrotta e prosegue nella rete 3 identificata
dall'etichetta di salto CAS1. Se l'ingresso "TagIn_3" ha lo stato di segnale "1" l'uscita
"TagOut_3" viene resettata.
Descrizione
L'istruzione "Jump if RLO = 0" consente di interrompere l'elaborazione lineare del programma
e di proseguire in un'altra rete se il risultato logico combinatorio nell'ingresso dell'istruzione è
"0". La rete di destinazione deve essere identificata da un'etichetta di salto (Pagina 554)
(LABEL). Il nome dell'etichetta di salto è indicata nel segnaposto sopra l'istruzione.
L'etichetta indicata deve essere contenuta nello stesso blocco in cui viene eseguita
l'istruzione. La sua denominazione può essere assegnata una volta sola nel blocco.
Se il risultato logico combinatorio (RLO) nell'ingresso dell'istruzione è "0" viene eseguito il
salto alla rete identificata dall'etichetta specificata. Il salto può essere effettuato verso reti con
numero superiore o inferiore.
Se il risultato logico combinatorio (RLO) nell'ingresso dell'istruzione è "1", l'elaborazione del
programma prosegue nella rete successiva.
Nota
(S7-1200, S7-1500)
Se la destinazione di salto (etichetta di salto) di un'istruzione "JMP" o "JMPN" si trova al di
sopra della relativa istruzione "JMP" o "JMPN" (salto all'indietro), tra la destinazione e
l'istruzione non possono essere inserite altre istruzioni per il controllo del programma (JMP,
JMPN, RET, etichetta di salto).
Eccezione: Un'istruzione "JMP" o "JMPN" può essere inserita se anche la rispettiva
destinazione di salto si trova sotto la relativa istruzione "JMP" o "JMPN" (salto in avanti).
In caso di mancata osservanza possono verificarsi errori di compilazione o la F-CPU può
andare in STOP.
Nota
Tra un'istruzione JMP o JMPN e la relativa destinazione di salto (etichetta di salto) non
possono essere inserite istruzioni SENDDP o SENDS7.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Se l'operando "TagIn_1" ha lo stato di segnale "0" viene eseguita l'istruzione "Jump if RLO = 0".
L'elaborazione lineare del programma viene interrotta e prosegue nella rete 3 identificata
dall'etichetta di salto CAS1. Se l'ingresso "TagIn_3" ha lo stato di segnale "1" l'uscita
"TagOut_3" viene resettata.
Descrizione
L'etichetta di salto consente di identificare una rete di destinazione nella quale continuare
l'elaborazione del programma dopo un salto.
L'etichetta di salto e l'istruzione nella quale l'etichetta è indicata come destinazione di salto
devono trovarsi nello stesso blocco. La denominazione di un'etichetta di salto può essere
assegnata una volta sola all'interno del blocco.
Si può inserire una sola etichetta per rete. Ogni etichetta di salto può essere raggiunta da
diverse posizioni.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Se l'operando "TagIn_1" ha lo stato di segnale "1" viene eseguita l'istruzione "Jump if RLO = 1".
L'elaborazione lineare del programma viene interrotta e prosegue nella rete 3 identificata
dall'etichetta di salto CAS1. Se l'ingresso "TagIn_3" ha lo stato di segnale "1" l'uscita
"TagOut_3" viene resettata.
Vedere anche
JMP: Salto se RLO = 1 (STEP 7 Safety V18) (Pagina 550)
JMPN: Salto se RLO = 0 (STEP 7 Safety V18) (Pagina 552)
RET: Salto all'indietro (STEP 7 Safety V18) (Pagina 555)
Descrizione
L'istruzione "Return" consente di concludere l'esecuzione di un blocco.
Se il risultato logico combinatorio (RLO) nell'ingresso dell'istruzione "Return" è "1" o l'ingresso
del box in FUP è disattivato (nelle F-CPU S7-1200/1500), l'elaborazione del programma nel
blocco attualmente richiamato viene interrotta e prosegue nel blocco richiamante (ad es. nel
blocco Main Safety) dopo la funzione di richiamo. Se l'RLO nell'ingresso dell'istruzione
"Return" è "0", l'istruzione non viene eseguita. L'elaborazione del programma prosegue nella
rete successiva del blocco richiamato.
L'influsso sullo stato della funzione di richiamo (ENO) è irrilevante, poiché l'uscita di
abilitazione "ENO" non può essere attivata.
Nota
(S7-300, S7-400) Nel blocco Main Safety l'istruzione RET non può essere programmata.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Vedere anche
JMP: Salto se RLO = 1 (STEP 7 Safety V18) (Pagina 550)
JMPN: Salto se RLO = 0 (STEP 7 Safety V18) (Pagina 552)
LABEL: Etichetta di salto (STEP 7 Safety V18) (Pagina 554)
13.10.5 OPN: Apertura del blocco dati globale (STEP 7 Safety Advanced V18)
(S7-300, S7-400)
Descrizione
L'istruzione "Open global data block" consente di aprire un blocco dati (DB). Il numero del
blocco dati viene trasferito nel registro DB. I successivi comandi del DB accedono ai rispettivi
blocchi in funzione del contenuto del registro.
Nota
In caso di utilizzo dell'istruzione "Open global data block", tenere presente che dopo il
richiamo di F-FB/F-FC e degli "accessi DB completamente qualificati" è possibile modificare il
contenuto del registro DB; di conseguenza non è più assicurato che l'ultimo blocco dati
globale aperto dall'utente con "Open global data block" sia ancora aperto.
Per prevenire errori durante l'accesso ai dati del registro DB, utilizzare il metodo seguente per
indirizzare i dati:
• Utilizzare l'indirizzamento simbolico.
• Utilizzare esclusivamente accessi DB completamente qualificati.
Se si decide di utilizzare comunque l'operazione "Open global data block", dopo il richiamo di
F-FB/F-FC e di "accessi DB completamente qualificati" è necessario procedere al ripristino del
registro DB con un nuovo richiamo di "Open global data block" per evitare un comportamento
errato.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Accesso ai DB di istanza
È possibile accedere in modo completamente qualificato anche ai DB di istanza degli F-FB,
ad es. per la trasmissione dei parametri dei blocchi. Gli accessi ai dati locali statici in istanze
singole/multiistanze di altri F-FB non sono consentiti.
Tenere presente che l'accesso ai DB di istanza degli F-FB che non vengono richiamati nel
programma di sicurezza possono provocare lo STOP della F-CPU.
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Nella rete 1 viene richiamato il blocco dati "Motor_DB". Il numero del blocco dati viene
trasferito nel registro DB. Nella rete 2 viene interrogato l'operando "DBX0.0". Lo stato di
segnale dell'operando "DBX0.0" viene assegnato all'operando "Tag_Output".
Descrizione
L'istruzione "AND logic operation" consente di combinare bit per bit tramite AND il valore
dell'ingresso IN1 con quello dell'ingresso IN2 e di leggere il risultato nell'uscita OUT.
Durante l'elaborazione dell'istruzione il bit 0 del valore nell'ingresso IN1 viene combinato
tramite AND con il bit 0 del valore nell'ingresso IN2. Il risultato viene memorizzato nel bit 0
dell'uscita OUT. La stessa combinazione logica viene eseguita per tutti gli ulteriori bit dei
valori indicati.
Un bit del risultato ha lo stato di segnale "1" solo se entrambi i bit da combinare forniscono lo
stato di segnale "1". Se uno dei due bit da combinare ha lo stato di segnale "0", il
corrispondente bit del risultato viene resettato.
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione viene sempre eseguita (indipendentemente dallo stato
di segnale sull'ingresso di abilitazione "EN").
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "OR logic operation" consente di combinare bit per bit tramite OR il valore
dell'ingresso IN1 con quello dell'ingresso IN2 e di leggere il risultato nell'uscita OUT.
Durante l'elaborazione dell'istruzione il bit 0 del valore nell'ingresso IN1 viene combinato
tramite OR con il bit 0 del valore nell'ingresso IN2. Il risultato viene memorizzato nel bit 0
dell'uscita OUT. La stessa combinazione logica viene eseguita per tutti i bit delle variabili
indicate.
Un bit del risultato ha lo stato di segnale "1" se almeno uno dei due bit da combinare fornisce
lo stato di segnale "1". Se entrambi i bit da combinare hanno lo stato di segnale "0", il
corrispondente bit del risultato viene resettato.
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione viene sempre eseguita (indipendentemente dallo stato
di segnale sull'ingresso di abilitazione "EN").
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
L'istruzione "EXCLUSIVE OR logic operation" consente di combinare bit per bit tramite OR
ESCLUSIVO il valore dell'ingresso IN1 con quello dell'ingresso IN2 e di leggere il risultato
nell'uscita OUT.
Durante l'elaborazione dell'istruzione il bit 0 del valore nell'ingresso IN1 viene combinato
tramite OR ESCLUSIVO con il bit 0 del valore nell'ingresso IN2. Il risultato viene memorizzato
nel bit 0 dell'uscita OUT. La stessa combinazione logica viene eseguita per tutti gli ulteriori bit
del valore indicato.
Un bit del risultato ha lo stato di segnale "1" se uno dei due bit da combinare fornisce lo stato
di segnale "1". Se entrambi i bit da combinare hanno lo stato di segnale "1" o "0", il
corrispondente bit del risultato viene resettato.
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione viene sempre eseguita (indipendentemente dallo stato
di segnale sull'ingresso di abilitazione "EN").
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
Con l'istruzione "Shift right" si sposta bit per bit verso destra il contenuto dell'operando
nell'ingresso IN e si legge il risultato sull'uscita OUT. Con l'ingresso N si definisce il numero
delle posizioni dei bit di cui si sposta il valore specificato.
Nota
S7-300/400:
L'ingresso N valuta solo il byte Low.
S7-1200/1500:
Se il valore sull'ingresso N è < 0, l'uscita OUT viene impostata su 0.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Durante la creazione di una nuova F-CPU con STEP 7 Safety è automaticamente preimpostata
la versione più recente disponibile per la F-CPU creata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Descrizione
Con l'istruzione "Shift left" si sposta bit per bit verso sinistra il contenuto dell'operando
nell'ingresso IN e si legge il risultato nell'uscita OUT. Con l'ingresso N si definisce il numero
delle posizioni dei bit di cui si sposta il valore specificato.
Se il valore dell'ingresso N è "0", il valore nell'ingresso IN viene copiato invariato nell'operando
dell'uscita OUT.
Se il valore nell'ingresso N è maggiore del numero delle posizioni dei bit disponibili, il valore
dell'operando nell'ingresso IN viene spostato verso sinistra di tante posizioni di bit quante ne
sono disponibili.
Le posizioni dei bit che si liberano con lo spostamento nel campo destro dell'operando
vengono occupate da zeri.
La figura seguente mostra come il contenuto di un operando con tipo di dati WORD viene
spostato di 6 posizioni di bit verso sinistra:
Nota
S7-300/400:
L'ingresso N valuta solo il byte Low.
S7-1200/1500:
Se il valore sull'ingresso N è < 0, l'uscita OUT viene impostata su 0.
Parametri
La seguente tabella mostra i parametri dell'istruzione:
Durante la creazione di una nuova F-CPU con STEP 7 Safety è automaticamente preimpostata
la versione più recente disponibile per la F-CPU creata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
Se viene inserito un valore non valido o se la commutazione sul valore 9 non avviene entro
un minuto e avviene prima che sia trascorso un secondo, il passaggio IN viene resettato a 0 e
le due operazioni sopra descritte devono essere eseguite nuovamente.
Durante l'intervallo nel quale ha luogo la commutazione da 6 a 9, l'uscita Q viene impostata
su 1. Altrimenti Q ha il valore 0.
A ogni richiamo dell'istruzione "Fail-safe aknowledgment" deve essere assegnata un'area di
dati nella quale memorizzare i dati dell'istruzione. Inoltre, durante l'inserimento
dell'istruzione, nel programma viene aperta automaticamente la finestra di dialogo "Call
options", nella quale è possibile inserire un blocco dati (istanza singola) (ad es.
ACK_OP_DB_1) o una multiistanza (ad es. ACK_OP_Instance_1) per l'istruzione "Fail-safe
aknowledgment". Dopo la creazione, il nuovo blocco dati si trova nella navigazione del
progetto, nella cartella "STEP 7 Safety" in "Program blocks > System blocks" o la multiistanza
come variabile locale nella sezione "Static" dell'interfaccia del blocco. Per ulteriori
informazioni a riguardo consultare la Guida di STEP 7.
Nota
Per ogni richiamo di ACK_OP deve essere utilizzata un'area di dati separata. Ciascun richiamo
può essere elaborato una sola volta in un ciclo del gruppo di esecuzione F.
In caso di mancata osservanza, il comportamento illustrato in "Descrizione" non è più
garantito.
AVVERTENZA
Le due operazioni di conferma non possono essere attivate con un unico comando
manuale, ad es. inserendo automaticamente le operazioni di conferma e le condizioni
temporali in un programma e attivandole con un unico tasto funzione!
L'attivazione separata delle due operazioni di conferma impedisce anche l'attivazione errata
di una conferma tramite il sistema di servizio e supervisione non fail-safe. (S013)
AVVERTENZA
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete.
Nota
L'uscita Q può essere letta con i sistemi di servizio e supervisione o eventualmente valutata
nel programma utente standard.
È possibile assegnare al passaggio IN una parola merker o una DBW di un DB del programma
utente standard, che sia specifica per ogni richiamo dell'istruzione ACK_OP.
Nota
La progettazione del sistema di servizio e supervisione non influisce sulla firma collettiva F.
AVVERTENZA
Per la definizione dei tempi di reazione in caso di utilizzo di una istruzione con elaborazione
temporale occorre considerare i seguenti fattori di indeterminatezza temporale:
• la nota indeterminatezza temporale indicata del programma utente standard, dovuta
all'elaborazione ciclica
• l'indeterminatezza temporale dovuta all'istante di aggiornamento della base oraria
utilizzata all'istante di aggiornamento della base oraria utilizzata nell'istruzione (vedere la
figura della sezione "Indeterminatezza temporale dovuta all'istante di aggiornamento
della base oraria utilizzata nell'istruzione")
• la tolleranza del controllo interno dei tempi nella F-CPU
– con valori temporali fino a 200 ms max. 4 ms
– con valori temporali a partire da 200 ms max. 2 % del valore temporale
(parametrizzato)
• la tolleranza del controllo interno dei tempi nella HF-CPU S7-1500
– con valori temporali fino a 500 ms max. 10 ms
– con valori temporali a partire da 500 ms max. 2 % del valore temporale
(parametrizzato)
L'intervallo tra due istanti di richiamo di una istruzione con elaborazione temporale va scelto
in modo che, anche considerando la possibile indeterminatezza temporale, vengano
raggiunti i tempi di reazione richiesti. (S034)
Nota
Per ogni richiamo di ACK_OP deve essere utilizzata un'area di dati separata. Ciascun richiamo
può essere elaborato una sola volta in un ciclo del gruppo di esecuzione F.
In caso di mancata osservanza, il comportamento illustrato in "Descrizione" non è più
garantito.
AVVERTENZA
Le due operazioni di conferma non possono essere attivate con un unico comando
manuale, ad es. inserendo automaticamente le operazioni di conferma e le condizioni
temporali in un programma e attivandole con un unico tasto funzione!
L'attivazione separata delle due operazioni di conferma impedisce anche l'attivazione errata
di una conferma tramite il sistema di servizio e supervisione non fail-safe. (S013)
AVVERTENZA
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete.
Nota
L'uscita Q può essere letta con i sistemi di servizio e supervisione o eventualmente valutata
nel programma utente standard.
È necessario assegnare al passaggio IN una parola merker o una DBW di un DB del
programma utente standard, che sia specifica per ogni richiamo dell'istruzione ACK_OP.
Nota
L'assegnazione del passaggio IN dell'istruzione ACK_OP e la progettazione del sistema di
servizio e supervisione non influenzano la firma collettiva F, la firma collettiva F-SW o la firma
del blocco che richiama l'istruzione ACK_OP.
Di conseguenza, la modifica dell'assegnazione del passaggio IN o della progettazione del
sistema di servizio e supervisione non provoca la modifica della firma collettiva F/firma
collettiva F-SW/firma del blocco di richiamo.
AVVERTENZA
Per la definizione dei tempi di reazione in caso di utilizzo di una istruzione con elaborazione
temporale occorre considerare i seguenti fattori di indeterminatezza temporale:
• la nota indeterminatezza temporale indicata del programma utente standard, dovuta
all'elaborazione ciclica
• l'indeterminatezza temporale dovuta all'istante di aggiornamento della base oraria
utilizzata all'istante di aggiornamento della base oraria utilizzata nell'istruzione (vedere la
figura della sezione "Indeterminatezza temporale dovuta all'istante di aggiornamento
della base oraria utilizzata nell'istruzione")
• la tolleranza del controllo interno dei tempi nella F-CPU
– con valori temporali fino a 200 ms max. 4 ms
– con valori temporali a partire da 200 ms max. 2 % del valore temporale
(parametrizzato)
• la tolleranza del controllo interno dei tempi nella HF-CPU S7-1500
– con valori temporali fino a 500 ms max. 10 ms
– con valori temporali a partire da 500 ms max. 2 % del valore temporale
(parametrizzato)
L'intervallo tra due istanti di richiamo di una istruzione con elaborazione temporale va scelto
in modo che, anche considerando la possibile indeterminatezza temporale, vengano
raggiunti i tempi di reazione richiesti. (S034)
Durante la creazione di una nuova F-CPU con STEP 7 Safety è automaticamente preimpostata
la versione più recente disponibile per la F-CPU creata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
Imprecisioni temporali che si verificano all'istante di aggiornamento della base oraria utilizzata
nell'istruzione
① L'istante di richiamo dell'istruzione al primo richiamo nel ciclo n+1 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ1 rispetto al ciclo n, ad es. perché parti del programma di sicurezza
del gruppo di esecuzione F vengono saltate prima dell'istante di richiamo dell'istruzione nel
ciclo n+1. Durante l'aggiornamento del tempo l'istruzione prende in considerazione il tempo
Tbases_1 anziché il tempo T1 effettivamente trascorso dal richiamo nel ciclo n.
② L'istruzione viene richiamata una seconda volta nel ciclo n+1. Tuttavia non viene eseguito un
nuovo aggiornamento del tempo (con Δ2).
③ L'istante di richiamo dell'istruzione al richiamo nel ciclo n+2 riferito all'inizio del gruppo di
esecuzione F è anticipato di Δ3 rispetto al ciclo n, ad es. perché il gruppo di esecuzione F è stato
interrotto prima dell'istante di richiamo dell'istruzione nel ciclo n+2 da un allarme con priorità
superiore. Invece del tempo T3 effettivamente trascorso dal richiamo nel ciclo n, l'istruzione ha
preso in considerazione i tempi Tbase_1 e Tbase_2. Ciò avverrebbe anche se non fosse stato
effettuato alcun richiamo nel ciclo n+1.
Esempio
Un esempio di applicazione dell'istruzione è contenuto in Realizzazione di una conferma
utente nel programma di sicurezza della F-CPU di un master DP o di un IO Controller
(Pagina 179).
Vedere anche
Realizzazione di una conferma utente nel programma di sicurezza della F-CPU di un I-slave o
di un I-Device (Pagina 184)
13.14.1 KOP
13.14.1.1 ---| |--- OV: Interrogazione bit di stato OV (STEP 7 Safety Advanced V18)
(S7-300, S7-400)
Descrizione
L'istruzione "Get status bit OV" consente di riconoscere se nell'ultima istruzione aritmetica
elaborata si è verificato un overflow del campo numerico.
L'istruzione "Get status bit OV" funziona come un contatto normalmente aperto. Se
l'interrogazione è soddisfatta, l'istruzione ha lo stato di segnale "1". Se l'interrogazione non è
soddisfatta, l'istruzione restituisce lo stato di segnale "0".
La valutazione "Get status bit OV" deve essere inserita nella rete che segue l'istruzione che
influenza l'OV. Questa rete non deve contenere etichette di salto.
Nota
L'utilizzo dell'istruzione "Get status bit OV" prolunga il tempo di esecuzione dell'istruzione che
influenza l'OV (vedere anche File excel per il calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831)).
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
13.14.1.2 ---| / |--- OV: Interrogazione se bit di stato OV è negato (STEP 7 Safety Advanced
V18) (S7-300, S7-400)
Descrizione
L'istruzione "Get negated status bit OV" consente di riconoscere se nell'ultima istruzione
aritmetica elaborata si è verificato un overflow del campo numerico. Questa istruzione è
disponibile solo in KOP.
L'istruzione "Get negated status bit OV" funziona come un contatto normalmente chiuso. Se
l'interrogazione è soddisfatta, l'istruzione ha lo stato di segnale "0". Se l'interrogazione non è
soddisfatta, l'istruzione restituisce lo stato di segnale "1".
La valutazione "Get negated status bit OV" deve essere inserita nella rete che segue
l'istruzione che influenza l'OV. Questa rete non deve contenere etichette di salto.
Nota
L'utilizzo dell'istruzione "Get negated status bit OV" prolunga il tempo di esecuzione
dell'istruzione che influenza l'OV (vedere anche File excel per il calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831)).
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
13.14.2 FUP
13.14.2.1 OV: Interrogazione bit di stato OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)
Descrizione
L'istruzione "Get status bit OV" consente di riconoscere se nell'ultima istruzione aritmetica
elaborata si è verificato un overflow del campo numerico.
La valutazione "Get status bit OV" deve essere inserita nella rete che segue l'istruzione che
influenza l'OV. Questa rete non deve contenere etichette di salto.
Se l'interrogazione è soddisfatta, l'istruzione ha lo stato di segnale "1". Se l'interrogazione non
è soddisfatta, l'istruzione restituisce lo stato di segnale "0".
L'interrogazione del bit di stato OV a "0" può essere programmata con l'istruzione "Invert
RLO".
Nota
L'utilizzo dell'istruzione "Get status bit OV" prolunga il tempo di esecuzione dell'istruzione che
influenza l'OV (vedere anche File excel per il calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831)).
Esempio
L'esempio seguente mostra il funzionamento dell'istruzione:
13.15 Comunicazione
13.15.1 PROFIBUS/PROFINET
Introduzione
Le istruzioni SENDDP e RCVDP si utilizzano per la trasmissione e la ricezione fail-safe di dati
tramite:
• Comunicazione di sicurezza master-master
• Comunicazione di sicurezza master-master con S7 Distributed Safety
• Comunicazione di sicurezza master-I-slave
• Comunicazione di sicurezza I-slave-I-slave
• Comunicazione di sicurezza IO Controller-IO Controller
• Comunicazione di sicurezza IO Controller-IO Controller con S7 Distributed Safety
• Comunicazione di sicurezza IO Controller-I-Device
• Comunicazione di sicurezza tra IO Controller e I-slave
Descrizione
L'istruzione SENDDP invia 16 dati del tipo BOOL e 2 dati di tipo INT o in alternativa un dato di
tipo DINT (S7-1200, S7-1500) in modalità fail-safe ad un'altra F-CPU tramite PROFIBUS
DP/PROFINET IO. Lì i dati possono essere ricevuti dall'istruzione RCVDP corrispondente.
A ogni richiamo dell'istruzione deve essere assegnata un'area di dati nella quale memorizzare
i dati dell'istruzione. A questo scopo durante l'inserimento dell'istruzione nel programma
viene aperta automaticamente la finestra di dialogo "Call options", nella quale è possibile
inserire un blocco dati (istanza singola) (ad es. RCVDP_DB_1) per l'istruzione. Dopo la
creazione, il nuovo blocco dati si trova nella navigazione del progetto nella cartella "STEP 7
Safety" in "Program blocks > System blocks". Per ulteriori informazioni a riguardo consultare la
Guida di STEP 7.
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione viene sempre eseguita (indipendentemente dallo stato
di segnale sull'ingresso di abilitazione "EN").
Nell'istruzione SENDDP i dati da inviare (ad es. le uscite di altri blocchi F/istruzioni) vengono
creati sugli ingressi SD_BO_xx e SD_I_xx o in alternativa SD_DI_00.
Nell'istruzione RCVDP i dati ricevuti si trovano sulle uscite RD_BO_xx e RD_I_xx o in alternativa
RD_DI_00 per l'elaborazione successiva da parte di altri blocchi F/istruzioni.
(S7-1200, S7-1500) Nell'ingresso DINTMODE dell'istruzione SENDDP va indicato se devono
essere inviati i dati degli ingressi SD_I_00 e SD_I_01 o in alternativa il dato dell'ingresso
SD_DI_00.
L'uscita SENDMODE mette a disposizione il modo di funzionamento della F-CPU con
l'istruzione SENDDP. Se la F-CPU con l'istruzione SENDDP è in funzionamento di sicurezza
disattivato, l'uscita SENDMODE è = 1.
La comunicazione tra le F-CPU viene eseguita sullo sfondo tramite un protocollo di sicurezza
specifico. A tale scopo, il rapporto di comunicazione tra l'istruzione SENDDP di una F-CPU e
una istruzione RCVDP di un'altra F-CPU deve essere definito impostando un ID di
comunicazione F sugli ingressi DP_DP_ID delle istruzioni SENDDP e RCVDP. Le istruzioni
SENDDP e RCVDP correlate ricevono lo stesso valore per DP_DP_ID.
AVVERTENZA
Il valore per il rispettivo ID di comunicazione F (ingresso DP_DP_ID; tipo di dati: INT) può
essere selezionato liberamente**, ma deve essere univoco in tutta la rete* e in tutta la
CPU**** in qualsiasi momento e per tutti i collegamenti di comunicazione orientati alla
sicurezza. L'univocità deve essere verificata nella stampa del programma di sicurezza
durante il collaudo del programma di sicurezza.
Al richiamo dell'istruzione, agli ingressi DP_DP_ID e LADDR devono essere assegnati dei
valori costanti***. Nel programma di sicurezza non sono consentiti accessi in scrittura
diretti a DP_DP_ID e LADDR nei rispettivi DB di istanza! (S016)
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete. Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite
PROFIBUS DP. In PROFINET IO una rete comprende tutti i nodi raggiungibili tramite
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP (IP,
Layer 3).
** S7-1200/1500: A partire dalla versione V3.0 delle istruzioni SENDDP e RCVDP, in presenza
di un ID di comunicazione F "0" sull'ingresso DP_DP_ID non viene stabilita alcuna
comunicazione.
*** S7-1200/1500: A partire dalla versione V3.0 delle istruzioni SENDDP e RCVDP all'ingresso
DP_DP_ID possono essere assegnati anche valori variabili di un F-DB globale. Anche in questo
caso durante il collaudo del programma di sicurezza va verificato che l'univocità sia garantita
in qualsiasi momento controllando conseguentemente l'algoritmo per la formazione del
valore variabile. Se all'avviamento del programma di sicurezza non è possibile garantire un ID
di comunicazione F univoco perché quest'ultimo viene definito solo dopo l'avviamento del
programma di sicurezza, assicurarsi che il valore sull'ingresso DP_DP_ID in questa fase sia "0".
**** Nei sistemi S7-1500HF ridondanti le due F-CPU del sistema S7-1500HF ridondante
devono essere considerate come una unica F-CPU per quando riguarda il DP_DP_ID.
Nota
All'interno di un programma di sicurezza, è necessario parametrizzare un indirizzo iniziale
(S7-300/400) o un identificativo HW (S7-1200/1500) differente per ogni richiamo delle
istruzioni SENDDP e RCVDP sull'ingresso LADDR.
Per ogni richiamo delle istruzioni SENDDP e RCVDP deve essere utilizzato un DB di istanza
separato. Queste istruzioni non possono essere dichiarate e richiamate come multiistanze.
(S7-300/400) Gli ingressi RCVDP e RCVS7 non devono contenere combinazioni logiche
preesistenti (ad es. l'istruzione "AND logic operation").
Agli ingressi dell'istruzione RCVDP non devono essere assegnate, tramite accessi DB
completamente qualificati, le uscite di una istruzione RCVDP o RCVS7 richiamata in una rete
precedente.
(S7-1200/1500) Con DINTMODE = 0 non è possibile valutare l'uscita RD_DI_00, con
DINTMODE = 1 non è possibile valutare le uscite RD_I_xx dell'istruzione RCVDP.
(S7-1200/1500) Alle uscite delle istruzioni SENDDP e RCVDP non possono essere assegnate le
variabili del programma utente standard. Eccezione: Uscite RET_DPRD, RET_DPWR e DIAG.
Nel programma di sicurezza non sono ammessi accessi completamente qualificati a DP_DP_ID
e LADDR.
Non è ammesso utilizzare per l'uscita di una istruzione RCVDP un parametro attuale già
utilizzato per un ingresso della stessa istruzione o di un'altra istruzione RCVDP o RCVS7.
In caso di mancata osservanza la F-CPU può passare in STOP. La causa dell'evento di
diagnostica viene inserita nel buffer di diagnostica della F-CPU.
Nota
Tra una istruzione JMP o JMPN e la relativa destinazione di salto (etichetta di salto) non
devono essere inserite istruzioni SENDDP/RCVDP.
Non si deve inserire una istruzione RET prima di una istruzione SENDDP.
Parametri SENDDP
La seguente tabella contiene un riepilogo dei parametri dell'istruzione SENDDP:
Parametri RCVDP:
La seguente tabella contiene un riepilogo dei parametri dell'istruzione RCVDP:
Durante la creazione di una nuova F-CPU con STEP 7 Safety è automaticamente preimpostata
la versione più recente disponibile per la F-CPU creata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
Posizionamento
L'istruzione RCVDP deve essere inserita all'inizio del blocco Main Safety oppure (nelle F-CPU
S7-1200/1500) in un F-FB/F-FC richiamato direttamente all'inizio del blocco Main Safety. Nel
blocco Main Safety non sono ammesse altre istruzioni prima dell'istruzione RCVDP, negli
F-FB/F-FC né prima né dopo.
L'istruzione SENDDP deve essere inserita alla fine del blocco Main Safety oppure (nelle F-CPU
S7-1200/1500) in un F-FB/F-FC richiamato direttamente alla fine del blocco Main Safety. Nel
blocco Main Safety non sono ammesse altre istruzioni dopo l'istruzione SENDDP, negli
F-FB/F-FC né prima né dopo.
Comportamento all'avviamento
Dopo l'avviamento del sistema F di trasmissione e di ricezione, è necessario stabilire per la
prima volta la comunicazione tra i partner del collegamento (istruzioni SENDDP e RCVDP). Il
ricevente (istruzione RCVDP) in questo intervallo emette i valori sostitutivi presenti sugli
ingressi SUBBO_xx e SUBI_xx o in alternativa SUBDI_00.
Le istruzioni SENDDP e RCVDP segnalano l'evento sull'uscita SUBS_ON con 1. L'uscita
SENDMODE è preimpostata su 0 e non viene aggiornata finché l'uscita SUBS_ON è = 1.
A partire dalla versione V3.0 delle istruzioni SENDDP o RCVDP, la comunicazione viene
stabilita solo se DP_DP_ID <> 0.
AVVERTENZA
Per la conferma utente occorre collegare l'ingresso ACK_REI con un segnale generato da un
comando manuale.
Non è consentita una interconnessione con un segnale generato automaticamente.* (S040)
• La conferma automatica viene eseguita solo quando è presente il segnale "Cambio del
partner di comunicazione in corso".
• Dal punto di vista della sicurezza, la reintegrazione automatica del processo interessato è
consentita.
Osservare che l'uscita ERROR (1 = errore di comunicazione) in caso di errore di comunicazione
viene impostata la prima volta solo quando la comunicazione tra i partner del collegamento
(istruzioni SENDDP e RCVDP) è già stata stabilita almeno una volta. Se non è possibile stabilire
la comunicazione dopo l'avviamento del sistema F che trasmette o riceve i dati, controllare la
progettazione della comunicazione di sicurezza CPU-CPU, la parametrizzazione delle istruzioni
SENDDP e RCVDP e il collegamento del bus. Informazioni sulle possibili cause di errore
possono essere reperite anche con la valutazione delle uscite DIAG, RET_DPRD o RETDP_WR.
In generale, valutare sempre RET_DPRD e RETDP_WR, poiché l'informazione sull'errore
potrebbe essere contenuta in una sola delle due uscite.
Uscita DIAG
Ai fini dell'assistenza, sull'uscita DIAG delle due istruzioni SENDDP e RCVDP viene inoltre
messa a disposizione una informazione non fail-safe sul tipo degli errori di comunicazione
che si sono verificati.
Questa informazione può essere letta con i sistemi di servizio e supervisione o eventualmente
valutata nel programma utente standard. I bit DIAG restano memorizzati fino alla conferma
sull'ingresso ACK_REI dell'istruzione RCVDP.
Vedere anche
Comunicazione a S7 Distributed Safety tramite PN/PN Coupler (comunicazione IO Controller-
IO Controller) (Pagina 242)
Comunicazione con S7 Distributed Safety tramite DP/DP Coupler (comunicazione master-
master) (Pagina 243)
Progettazione e programmazione della comunicazione (S7-300, S7-400) (Pagina 192)
Comunicazione di sicurezza tra IO Controller e IO Controller (Pagina 195)
Comunicazione di sicurezza master-master (Pagina 203)
Comunicazione di sicurezza tra IO Controller e I-Device (Pagina 212)
Comunicazione di sicurezza master-I-slave (Pagina 218)
Comunicazione di sicurezza IO Controller-I-slave (Pagina 234)
13.15.2 Comunicazione S7
Introduzione
Le istruzioni SENDS7 e RCVS7 si utilizzato per la trasmissione e la ricezione sicura di dati
tramite collegamenti S7.
Nota
In STEP 7 Safety Advanced i collegamenti S7 sono generalmente ammessi solo tramite
Industrial Ethernet.
La comunicazione di sicurezza tramite collegamenti S7 è possibile da e verso F-CPU con
interfaccia PROFINET e F-CPU S7-400 con CP con funzionalità PROFINET. Vedere anche
Comunicazione di sicurezza tramite collegamenti S7 (Pagina 235).
Descrizione
L'istruzione SENDS7 invia i dati di trasmissione presenti in un DB di comunicazione F in
modalità fail-safe tramite un collegamento S7 al DB di comunicazione F dell'istruzione RCVS7
corrispondente di un'altra F-CPU.
A ogni richiamo dell'istruzione deve essere assegnata un'area di dati nella quale memorizzare
i dati dell'istruzione. A questo scopo durante l'inserimento dell'istruzione nel programma
viene aperta automaticamente la finestra di dialogo "Call options", nella quale è possibile
inserire un blocco dati (istanza singola) (ad es. SENDS7_DB_1) oppure una multiistanza
(ad es. SENDS7_Instance_1) per l'istruzione. Dopo la creazione, il nuovo blocco dati si trova
nella navigazione del progetto, nella cartella "STEP 7 Safety" in "Program blocks > System
blocks" o la multiistanza come variabile locale nella sezione "Static" dell'interfaccia del blocco.
Per ulteriori informazioni a riguardo consultare la Guida di STEP 7.
Il collegamento dell'ingresso di abilitazione "EN" o dell'uscita di abilitazione "ENO" non è
possibile. In questo modo, l'istruzione viene sempre eseguita (indipendentemente dallo stato
di segnale sull'ingresso di abilitazione "EN").
Per informazioni sul DB di comunicazione F vedere "Programmazione della comunicazione di
sicurezza tramite collegamenti S7 (Pagina 238)".
Un DB di comunicazione F è un F-DB per la comunicazione di sicurezza CPU-CPU con proprietà
speciali. I numeri del DB di comunicazione F devono essere specificati negli ingressi SEND_DB
e RCV_DB delle istruzioni SENDS7 e RCVS7.
L'uscita SENDMODE dell'istruzione RCVS7 mette a disposizione il modo di funzionamento
della F-CPU con l'istruzione SENDS7. Se la F-CPU con l'istruzione SENDS7 è in funzionamento
di sicurezza disattivato, l'uscita è SENDMODE = 1.
Sull'ingresso EN_SEND dell'istruzione SENDS7 è possibile disattivare temporaneamente la
comunicazione tra le F-CPU per ridurre il carico del bus, impostando "0" nell'ingresso
EN_SEND (preimpostazione = "1"). In questo modo non vengono più inviati dati di
trasmissione al DB di comunicazione F della rispettiva istruzione RCVS7 e il ricevente mette a
disposizione i valori sostitutivi (valori iniziali nel relativo DB di comunicazione F) per questo
intervallo. Se la comunicazione era già creata tra i partner del collegamento, viene
riconosciuto un errore di comunicazione.
Nell'ingresso ID dell'istruzione SENDS7 devono essere specificati gli ID locali del collegamento
S7 dal punto di vista della F-CPU (riportati nella tabella dei collegamenti della vita dir rete)
(vedere anche Progettazione (Pagina 41)).
La comunicazione tra le F-CPU viene eseguita sullo sfondo tramite un protocollo di sicurezza
specifico. A tale scopo, il rapporto di comunicazione tra l'istruzione SENDS7 di una F-CPU e
un'istruzione RCVS7 di un'altra F-CPU deve essere definito impostando un numero dispari per
l'ingresso R_ID (delle istruzioni SENDS7 e RCVS7). Le istruzioni SENDS7 e RCVS7 correlate
ricevono lo stesso valore per l'R_ID.
AVVERTENZA
Il valore per il rispettivo ID di comunicazione F (ingresso R_ID; tipo di dati: DWORD) può
essere selezionato liberamente, ma deve essere dispari e univoco in tutta la rete* e in tutta
la CPU per tutti i collegamenti di comunicazione orientati alla sicurezza. Il valore R_ID + 1
viene assegnato internamente e non deve essere utilizzato.
Al richiamo dell'istruzione, agli ingressi ID e R_ID devono essere assegnati dei valori costanti.
Nel programma di sicurezza non sono consentiti accessi diretti né in lettura né in scrittura
nei rispettivi DB di istanza! (S020)
* Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di
sottorete. Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite
PROFIBUS DP. In PROFINET IO una rete comprende tutti i nodi raggiungibili tramite
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) ed eventualmente RT_Class_UDP (IP,
Layer 3).
Nota
Nel programma di sicurezza deve essere utilizzato un DB di istanza separato per ogni richiamo
delle istruzioni SENDS7 e RCVS7. Queste istruzioni non possono essere dichiarate e
richiamate come multiistanze.
Agli ingressi dell'istruzione RCVS7 non devono essere assegnate, tramite accessi DB
completamente qualificati, le uscite di un'istruzione RCVS7 o RCVDP richiamata in una rete
precedente.
Non è ammesso utilizzare per l'uscita di un'istruzione RCVS7 un parametro attuale già
utilizzato per un ingresso della stessa istruzione o di un'altra istruzione RCVS7 o RCVDP.
In caso di mancata osservanza la F-CPU può passare in STOP. Nel buffer di diagnostica della
F-CPU viene inserito un evento di diagnostica.
Nota
Tra un'istruzione JMP o JMPN e la relativa rete di destinazione dell'istruzione JMP o JMPN non
deve essere programmata alcuna istruzione SENDS7/RCVS7.
Prima di un'istruzione SENDS7 non deve essere programmata alcuna istruzione RET.
Parametri SENDS7
La tabella seguente elenca i parametri dell'istruzione SENDS7:
Parametri RCVS7
La tabella seguente elenca i parametri dell'istruzione RCVS7:
Durante la creazione di una nuova F-CPU con STEP 7 Safety Advanced è impostata
automaticamente la versione più recente disponibile per la F-CPU creata.
Ulteriori informazioni sull'utilizzo delle versioni delle istruzioni sono disponibili nella Guida a
STEP 7 in "Utilizzo delle versioni delle istruzioni".
Posizionamento
L'istruzione RCVS7 deve essere inserita all'inizio del blocco Main Safety. Nel blocco Main
Safety non devono esserci altre istruzioni precedenti.
L'istruzione SENDS7 deve essere inserita alla fine del blocco Main Safety. Nel blocco Main
Safety non devono esserci altre istruzioni successive.
Comportamento all'avviamento
Dopo l'avviamento del sistema F di trasmissione e di ricezione, è necessario stabilire per la
prima volta la comunicazione tra i partner del collegamento (istruzioni SENDS7 e RCVS7). Il
ricevente (istruzione RCVS7) mette a disposizione i valori sostitutivi (valori iniziali nel relativo
DB di comunicazione F) per questo intervallo.
Le istruzioni SENDS7 e RCVS7 segnalano l'evento sull'uscita SUBS_ON con 1. L'uscita
SENDMODE (istruzione RCVS7) è preimpostata su 0 e non viene aggiornata finché l'uscita
SUBS_ON è = 1.
AVVERTENZA
Per la conferma utente occorre collegare l'ingresso ACK_REI con un segnale generato da un
comando manuale.
Non è consentita una interconnessione con un segnale generato automaticamente. (S040)
Uscita DIAG
Ai fini dell'assistenza, sull'uscita DIAG viene messa a disposizione un'informazione non fail-
safe sul tipo degli errori di comunicazione che si sono verificati. Questa informazione può
essere letta con i sistemi di servizio e supervisione o eventualmente valutata nel programma
utente standard. I bit DIAG restano memorizzati fino alla conferma sull'ingresso ACK_REI della
rispettiva istruzione RCVS7.
Configurazione di DIAG
Ulteriori informazioni
I calcoli dei tempi di controllo e dei tempi di reazione per la parte standard in SIMATIC Safety
sono identici a quelli dei sistemi di automazione standard S7-300, S7-400, S7-1200 e
S7-1500 e non sono trattati in questo manuale. La relativa descrizione si trova nei manuali
hardware delle CPU. Per il sistema ridondante S7-1500HF vedere anche il Manuale di sistema
"Sistema ridondante S7-1500R/H
(https://support.industry.siemens.com/cs/ww/it/view/109754833)".
AVVERTENZA
L'acquisizione dello stato del segnale da trasmettere e la sua trasmissione al ricevente sono
garantite (in modalità fail-safe) solo se lo stato del segnale rimane attivo per un tempo pari
almeno al tempo di controllo parametrizzato. (S018)
Nota
Per evitare l'attivazione dei controlli temporali nei modi di funzionamento e negli stati di
sistema specifici del sistema ridondante S7-1500HF in assenza di errori, occorre impostare
tempi di controllo minimi più alti per il sistema ridondante S7-1500HF. Il file Excel per il
calcolo del tempo di reazione tiene conto di questa particolarità.
3. Calcolare il tempo di reazione massimo con l'ausilio del file Excel per il calcolo del tempo di
reazione e controllare che il tempo di sicurezza del processo non venga superato. Se
necessario ridurre i tempi di controllo specifici del sistema F.
Vedere anche
Sistema ridondante S7-1500R/H
(https://support.industry.siemens.com/cs/ww/it/view/109754833)
A.1.1 Tempo di controllo minimo del tempo di ciclo del gruppo di esecuzione F
Nota
Tenere presente che, se si utilizza un sistema ridondante S7-1500HF e un IO Device che non
supporta la ridondanza di sistema S2, in caso di guasto della CPU primaria la comunicazione
PROFINET con il Device viene interrotta e nelle periferie F del Device interessato si verifica un
errore di comunicazione che richiede una reintegrazione delle periferie F (vedere il capitolo
"Dopo errori di comunicazione (Pagina 171)").
Negli IO Device con ridondanza di sistema S2, se si verifica un guasto nella CPU principale, il
sistema ridondante S7-1500HF commuta alla CPU di backup senza interruzioni. Durante la
commutazione dalla CPU principale a quella di backup, le uscite fail-safe restano attive.
Nota
Durante la messa in servizio del sistema F è possibile controllare con il funzionamento di
sicurezza attivo se il tempo di controllo PROFIsafe progettato è troppo basso.
La verifica del tempo di controllo PROFIsafe può servire anche per accertare che il tempo di
controllo progettato superi il tempo di controllo minimo di un intervallo sufficientemente
ampio. Questo consente di prevenire eventuali errori del tempo di controllo sporadici.
Procedura:
1. Collegare una periferia F che successivamente non verrà utilizzata durante il funzionamento
dell'impianto.
2. Parametrizzare per questa periferia F un tempo di controllo minore di quello della periferia F
dell'impianto.
3. Se la periferia F aggiuntiva ha un guasto e la diagnostica segnala "Tempo di controllo del
telegramma di sicurezza superato", il tempo di controllo PROFIsafe minimo possibile non è
stato raggiunto.
4. Aumentare il tempo di controllo della periferia F aggiuntiva fino a quando l'errore non si
verifica più. Il tempo di controllo così ottenuto corrisponde approssimativamente al tempo
di controllo minimo consentito.
Condizioni:
La periferia F da collegare aggiuntivamente deve avere le seguenti proprietà in comune con
la periferia F di cui si vuole verificare il tempo di controllo PROFIsafe:
• deve essere installata sullo stesso telaio di montaggio
• deve essere un nodo della stessa sottorete
Suggerimento:
Negli impianti che verranno modificati/ampliati dopo la messa in servizio e durante l'esercizio
può essere utile lasciare la periferia F aggiuntiva inserita permanentemente. In caso di
modifica della temporizzazione, la periferia F aggiuntiva emette tempestivamente un avviso
che consente di evitare l'arreso del processo da parte della periferia F.
In un sistema ridondante S7-1500HF la verifica volta a determinare se il tempo di controllo
PROFIsafe progettato è troppo basso dovrebbe essere eseguita in tutti i modi di
funzionamento e in tutti gli stati del sistema, poiché i tempi di reazione dipendono anche dal
rispettivo modo di funzionamento e stato del sistema.
Ingresso TIMEOUT in SENDDP e RCVDP oppure SENDS7 e RCVS7/ tempo di controllo F per la
comunicazione tramite Flexible F-Link
Il controllo del tempo ha luogo nelle istruzioni SENDDP e RCVDP (Pagina 579) oppure
SENDS7 e RCVS7 (Pagina 588) dei partner di comunicazione. Il controllo del tempo deve
essere parametrizzato con un tempo di controllo identico nelle due istruzioni sull'ingresso
TIMEOUT.
Per evitare che il controllo si attivi in assenza di errori deve essere impostato un tempo di
controllo TIMEOUT sufficientemente alto.
Per la comunicazione tramite Flexible F-Link, quando si crea una comunicazione di sicurezza
(Pagina 93) si deve impostare il tempo di controllo F per la comunicazione di sicurezza.
Per calcolare il valore minimo di TIMEOUT e del tempo di controllo F, utilizzare il file Excel per
il calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831) disponibile per SIMATIC
Safety.
Osservare anche ai commenti contenuti nel file Excel.
Tempo di controllo della comunicazione di sicurezza tra gruppi di esecuzione F (S7-300, S7-400)
Il tempo di controllo della comunicazione di sicurezza tra gruppi di esecuzione F con Flexible
F-Link viene calcolato automaticamente utilizzando i valori del "Maximum cycle time of the
F-runtime group" (area di lavoro per la definizione del gruppo di esecuzione F (Pagina 128)
nel Safety Amministrazione Editor).
Tempo di controllo = (tempo di ciclo max. del 1° gruppo di esecuzione F) + (tempo di ciclo
max. del 2° gruppo di esecuzione F)
Variabilità
Il tempo di reazione effettivo è compreso tra un tempo di reazione minimo e un tempo di
reazione massimo. Per la progettazione dell'impianto, calcolare sempre il tempo di reazione
massimo.
Osservare i commenti in File excel per il calcolo del tempo di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831).
Nota
In un sistema ridondante S7-1500HF, lo stato attuale di funzionamento e del sistema influisce
sul tempo di reazione effettivo.
Eventualmente è necessario ridurre i tempi di controllo specifici del sistema F (vedere Tempo
di controllo minimo della comunicazione di sicurezza tra F-CPU e periferia F (Pagina 599)).
AVVERTENZA
Quando si utilizza una comunicazione Flexible F-Link, il file excel per il calcolo del tempo di
reazione o del timeout può essere utilizzato solo nel rispetto delle seguenti prescrizioni
relative alle istruzioni standard per la trasmissione coerente dei dati:
Comunicazione tra CPU e CPU (Pagina 283)
L'istruzione standard per la trasmissione e la conferma coerente dei dati deve essere
richiamata durante l'elaborazione successiva del gruppo di esecuzione F (Pagina 83). Nelle
istruzioni standard per la ricezione e la conferma coerente dei dati occorre specificare se il
collegamento di comunicazione standard è deterministico o non deterministico. In caso di
collegamento deterministico (ad es. DPRD_DAT / DPWR_DAT), l'istruzione standard deve
essere richiamata durante la pre-elaborazione del gruppo di esecuzione F (Pagina 83). In
caso di collegamento non deterministico (ad es. collegamento S7, collegamenti TCP),
l'istruzione standard deve essere richiamata in un OB di schedulazione orologio. Questo OB
d schedulazione orologio deve essere richiamato a intervalli più brevi del gruppo di
esecuzione F. Si consiglia un rapporto di 1:5.
Comunicazione del gruppo di esecuzione F (Pagina 141)
L'istruzione standard UMOVE_BLK per la trasmissione dei dati da inviare deve essere
richiamata durante l'elaborazione successiva del gruppo di esecuzione F che invia i dati.
L'istruzione standard UMOVE_BLK per la trasmissione della conferma da inviare deve essere
richiamata durante l'elaborazione successiva del gruppo di esecuzione F che riceve i dati.
(S089)
AVVERTENZA
Il tempo di reazione della funzione di sicurezza dipende anche dal tempo di ciclo dell'F-OB,
dal tempo di esecuzione del gruppo di esecuzione F e, in caso di utilizzo di una periferia F
decentrata, dalla parametrizzazione PROFINET/PROFIBUS.
Di conseguenza anche la progettazione/parametrizzazione del sistema standard influisce sul
tempo di reazione della funzione di sicurezza.
Esempi:
• Aumentando la priorità d un OB standard rispetto alla priorità di un F-OB, il tempo di ciclo
dell'F-OB o il tempo di esecuzione del gruppo di esecuzione F può prolungarsi a causa
della priorità più alta assegnata all'elaborazione dell'OB standard. Osservare che durante
la creazione di oggetti tecnologici vengono eventualmente creati automaticamente degli
OB con una priorità molto alta.
• La modifica dell'intervallo di trasmissione di PROFINET modifica anche il tempo di ciclo di
un F-OB con classe evento "Synchronous cycle".
Osservare che la progettazione/parametrizzazione del sistema standard non è soggetta alla
protezione di accesso per il programma di sicurezza e non comporta una modifica della
firma collettiva F.
Se non si prendono misure organizzative per impedire la modifica della
progettazione/parametrizzazione del sistema standard con ripercussioni sul tempo di
reazione, durante il calcolo del tempo di reazione massimo di una funzione di sicurezza è
necessario ricorrere ai tempi di controllo (vedere Progettazione dei tempi di controllo
(Pagina 597)).
I tempi di controllo sono protetti contro le modifiche dalla protezione di accesso del
programma di sicurezza e vengono acquisiti dalla firma collettiva F nonché dalla firma
collettiva F-SW.
Durante il calcolo con l'ausilio del file Excel per il calcolo dei tempi di reazione
(https://support.industry.siemens.com/cs/ww/it/view/109783831) va considerato come
valore per il tempo di reazione massimo il valore indicato alla voce "Any standard system
runtimes". (S085)
Lista di controllo
Legenda:
• I riferimenti ai capitoli senza informazioni aggiuntive fanno riferimento alla presente
documentazione.
• "Manuale F-SM" si riferisce al manuale Sistema di automazione S7-300 Apparecchiatura di
periferia decentrata ET 200M Unità di ingressi/uscite fail-safe
(http://support.automation.siemens.com/WW/view/it/19026151).
• "Manuale F Module" si riferisce al manuale ET 200S Distributed I/O System - Fail-Safe
Modules (http://support.automation.siemens.com/WW/view/en/27235629).
• "Manuale ET 200eco" si riferisce al manuale Unità di periferia decentrata ET 200eco -
Modulo di periferia fail-safe
(http://support.automation.siemens.com/WW/view/en/19033850).
• "Manuale ET 200eco PN" si riferisce al manuale del prodotto ET 200eco PN F-DI 8 x 24
VDC, 4xM12 / F-DQ 3 x 24 VDC/2.0A PM, 3xM12.
(https://support.industry.siemens.com/cs/ww/it/view/109765611)
• "Manuale ET 200pro" si riferisce al manuale Periferia decentrata ET 200pro - Moduli
fail-safe (http://support.automation.siemens.com/WW/view/en/22098524).
• "Manuale ET 200iSP" si riferisce al manuale Distributed I/O ET 200iSP Distributed
I/O Device - Fail-safe Modules
(http://support.automation.siemens.com/WW/view/en/47357221)
• "Manuale ET 200SP" si riferisce al manuale Manuale di sistema ET 200SP
(http://support.automation.siemens.com/WW/view/it/58649293)
• "Manuale ET 200AL" si riferisce al manuale Manuale di sistema ET 200AL
(https://support.industry.siemens.com/cs/ww/it/view/89254965)
• "Manuale ET 200MP" si riferisce al manuale Manuale di sistema S7-1500/ET 200MP
(http://support.automation.siemens.com/WW/view/it/59191792)
• "Manuale S7-1500R/H" si riferisce al manuale Manuale di sistema S7-1500R/H
(https://support.industry.siemens.com/cs/ww/it/view/109754833)
• "Manuale SIMATIC Drive Controller" si riferisce al Manuale di sistema SIMATIC Drive
Controller (https://support.industry.siemens.com/cs/ww/it/view/109766665)
• "Manuale ET 200SP Module" si riferisce al Manuale del prodotto dei moduli F del sistema
di periferia decentrata ET 200SP
(https://support.industry.siemens.com/cs/ww/it/ps/14059/man)
• "Manuale ET 200MP Module" si riferisce al Manuale del prodotto dei moduli F del sistema
di periferia decentrata ET 200MP
(https://support.industry.siemens.com/cs/ww/it/ps/14141/man)
• "Manuale ET 200AL Module" si riferisce al Manuale del prodotto dei moduli F del sistema
di periferia decentrata ET 200AL
(https://support.industry.siemens.com/cs/ww/it/view/109798489)
Analisi di discrepanza
L'analisi di discrepanza tra equivalenza/antivalenza viene effettuata sugli ingressi fail-safe per
rilevare gli errori in base all'andamento nel tempo di due segnali con la stessa funzionalità.
L'analisi di discrepanza viene avviata se vengono rilevati livelli diversi in due segnali di
ingresso correlati (durante il controllo di antivalenza: lo stesso livello). Viene verificato se, al
termine di un intervallo di tempo parametrizzabile, il cosiddetto → tempo di discrepanza, la
differenza (durante il controllo di antivalenza: la corrispondenza) non è più presente. In caso
contrario viene rilevato un errore di discrepanza. L'analisi di discrepanza viene effettuata tra i
due segnali di ingresso della valutazione 1oo2 degli encoder (→ valutazione encoder)
nell'ingresso fail-safe.
Blocchi di sistema F
Blocchi di sistema fail-safe che vengono inseriti automaticamente e richiamati durante la
compilazione del → programma di sicurezza per generare un programma di sicurezza
eseguibile dal programma di sicurezza programmato dall'utente.
Blocchi F
Come blocchi F vengono definiti tutti i blocchi fail-safe:
• che vengono creati dall'utente in KOP o FUP
• che vengono creati dall'utente come → F-DB
• che vengono selezionati dall'utente da una biblioteca globale
• che vengono completati automaticamente nel → programma di sicurezza (→ F-SB, →
blocchi F generati automaticamente, → DB globale F; → DB di periferia F; DB di istanza di
F-FB)
Tutti i blocchi F vengono rappresentati in giallo nella navigazione del progetto.
Categoria
Categoria secondo ISO 13849-1:2015 o EN ISO 13849-1:2015
SIMATIC Safety può essere utilizzato nel → funzionamento di sicurezza fino alla categoria 4.
Comunicazione di sicurezza
Comunicazione rivolta allo scambio di dati fail-safe.
Comunicazione standard
Comunicazione che consente lo scambio di dati non orientati alla sicurezza
Configurazione hardware
La configurazione hardware comprende la progettazione di CPU standard e periferie standard
nonché la progettazione di F-CPU e periferie F.
CRC
Cyclic Redundancy Check → Valore di prova CRC
Dati di progetto
I dati di progetto comprendono → la configurazione hardware e il → programma utente.
DB di comunicazione F
Blocchi dati fail-safe per la
• comunicazione di sicurezza CPU-CPU tramite collegamenti S7
• comunicazione con Flexible F-Link
DB di periferia F
Blocco dati fail-safe nelle F-CPU per una → periferia F in STEP 7 Safety. Per ciascuna
periferia F, durante la configurazione nell'editor hardware e di rete viene creato
automaticamente un DB di periferia F. Il DB di periferia F contiene variabili che l'utente può o
deve valutare o descrivere nel programma di sicurezza:
• per la reintegrazione della periferia F dopo gli errori di comunicazione
• per la reintegrazione della periferia F dopo gli errori della periferia F/del canale
• se la periferia F deve essere passivata in base a determinati stati del programma di
sicurezza (ad es. passivazione del gruppo)
• per la riparametrizzazione di slave standard DP/device IO standard fail-safe o per
l'abilitazione della comunicazione HART per periferia F con funzionalità corrispondenti
• per valutare se vengono emessi valori sostitutivi o di processo
DB globale F
(S7-300, S7-400) blocco dati fail-safe che contiene dati globali del → programma di sicurezza
e informazioni aggiuntive necessarie per il sistema F. Il DB globale F viene inserito
automaticamente ed esteso durante la compilazione della configurazione hardware. Tramite
il suo nome F_GLOBDB, l'utente può valutare determinati dati del → programma di sicurezza.
Depassivazione
→ Reintegrazione
DP/DP Coupler
Dispositivo per l'accoppiamento di due sottoreti PROFIBUS DP, necessario per la
comunicazione master-master tra → programmi di sicurezza in diverse → F-CPU di SIMATIC
Safety e S7 Distributed Safety.
Errore di periferia F
Errori riferiti al modulo o all'unità nella periferia F, ad es. errore di comunicazione o errore di
parametrizzazione
Errori di canale
Errore che riguarda un canale, ad es. rottura conduttore o cortocircuito.
Esperto
Il collaudo di un impianto, ovvero il test di collaudo del sistema in relazione alla sicurezza,
viene solitamente eseguito da un esperto indipendente (ad es. del TÜV).
F-CALL
"Blocco di richiamo F" per il → programma di sicurezza in S7 Distributed Safety.
F-CPU
Una F-CPU è una unità centrale fail-safe, omologata inoltre per l'impiego in SIMATIC Safety e
nella quale è possibile eseguire un → programma di sicurezza oltre al → programma utente
standard.
F-DB
Blocchi dati fail-safe utilizzabili opzionalmente, accessibili in lettura e scrittura all'interno
dell'intero → programma di sicurezza (eccezione: DB per la comunicazione mediante gruppi
di esecuzione F).
F-FB
Blocchi funzionali fail-safe (con DB di istanza), nei quali l'utente programma il → programma
di sicurezza in FUP o KOP.
F-FC
FC fail-safe nei quali l'utente programma il → programma di sicurezza in FUP o KOP.
Firma
→ Firma collettiva F
Firma collettiva F
La firma collettiva F contrassegna in modo univoco un determinato stato dei dati di progetto
rilevanti per la sicurezza. È importante per l'identificazione del programma nonché la
certificazione in loco del programma di sicurezza, ad es. tramite → consulenza tecnica.
F-OB
L'F-OB richiama il blocco Main Safety di un gruppo di esecuzione F nelle F-CPU S7-1200/1500.
F-SM
→ unità di ingressi/uscite fail-safe S7-300
Funzionamento di sicurezza
1. Modo di funzionamento della → periferia F che consente la → comunicazione di sicurezza
mediante → telegrammi di sicurezza.
2. Modo di funzionamento del programma di sicurezza. Nel funzionamento di sicurezza del
programma di sicurezza tutti i meccanismi di sicurezza per il rilevamento degli errori e la
reazione agli errori sono attivati. In questo stato non è possibile una modifica del
programma di sicurezza durante l'esercizio. Il funzionamento di sicurezza può essere
disattivato dall'utente (→ funzionamento di sicurezza disattivato).
Funzionamento produttivo
Funzionamento di un impianto nell'ambiente di esecuzione predefinito per il quale sono stati
specificati i requisiti di sicurezza e nel quale tutti i requisiti di sicurezza devono essere
rispettati.
Al contrario, i requisiti di sicurezza in un ambiente di test o di simulazione possono essere
implementati solo in misura limitata, poiché il potenziale di pericolo non è completamente
presente (ad es. non sono presenti attuatori fisici da cui può derivare un pericolo).
Funzionamento standard
Modo di funzionamento della → periferia F che non consente la → comunicazione di
sicurezza tra F-CPU attraverso → telegrammi di sicurezza bensì solo la → comunicazione
standard.
Funzione di sicurezza
Meccanismo integrato nella → F-CPU e nella → periferia F, che consente l'impiego nei →
sistemi fail-safe.
Secondo IEC 61508:2010 si tratta di una funzione implementata da un sistema di sicurezza
per mantenere o portare il sistema in uno → stato sicuro in caso si verificassero determinati
errori. (Funzione di reazione all'errore → Funzione di sicurezza utente)
Gruppo di esecuzione F
Il → programma di sicurezza è costituito da uno o due gruppi di esecuzione F. Un gruppo di
esecuzione F è un costrutto logico costituito da diversi → blocchi F correlati, che viene
formato internamente dal sistema F. Un gruppo di esecuzione F è costituito dai seguenti
blocchi F:
→ Blocco Main Safety, F-OB (S7-1200, S7-1500), event. → F-FB/ → F-FC, event. → F-DB, → OB
di periferia F, blocchi F della biblioteca globale, DB di istanza, → F-SB e → blocchi F generati
automaticamente.
I-Device
La funzionalità "I-Device" (IO Device intelligente) di una CPU consente di scambiare dati con
un IO Controller, utilizzando così la CPU ad es. come unità di preelaborazione intelligente di
processi parziali. In questo caso l'I-Device ha il ruolo di un IO Device ed è quindi collegato a un
IO Controller "sovraordinato".
IE/PB Link
Dispositivo per l'accoppiamento di sistemi PROFINET IO e PROFIBUS DP, necessario inoltre per
la comunicazione IO Controller e I-slave tra → programmi di sicurezza in diverse → F-CPU di
SIMATIC Safety.
In tutta la CPU
Nel contesto della periferia F, con "in tutta la CPU" si intende tutta la periferia F assegnata a
una F-CPU: periferia F centrale di questa F-CPU e periferia F per la quale la F-CPU è master
DP/IO Controller e periferia F assegnata in uno Shared Device. La periferia F indirizzata tramite
comunicazione I-slave-slave, è assegnata alla F-CPU dell'I-slave e non alla F-CPU del master
DP/IO Controller.
Nel contesto della comunicazione tra CPU e CPU di sicurezza, "in tutta la CPU" comprende tutti
i collegamenti di comunicazione di sicurezza progettati in una F-CPU.
Nel caso di un sistema ridondante S7-1500HF, entrambe le F-CPU del sistema ridondante
S7-1500HF devono essere considerate come una F-CPU.
In tutta la rete
Una rete è costituita da una o più sottoreti. "In tutta la rete" significa oltre i limiti di sottorete.
Nel caso di PROFIBUS, una rete comprende tutti i nodi raggiungibili tramite PROFIBUS DP. Con
PROFINET IO una rete comprende tutti i nodi accessibili da RT_Class_1/2/32
(Ethernet/WLAN/Bluetooth, Layer 2) ed event. RT_Class_UDP (IP, Layer 3).
Indirizzo di destinazione F
→ Indirizzo PROFIsafe
Indirizzo di origine F
→ Indirizzo PROFIsafe
Indirizzo PROFIsafe
L'indirizzo PROFIsafe (code name secondo IEC 61784-3-3:2021) serve a mettere in sicurezza i
meccanismi di indirizzamento standard, ad es. gli indirizzi IP. L'indirizzo PROFIsafe è composto
dall'indirizzo di origine F e dall'indirizzo di destinazione F. Ogni → periferia F ha pertanto due
parti di indirizzo, l'indirizzo di origine F e l'indirizzo di destinazione F.
L'indirizzo di origine F viene assegnato automaticamente e visualizzato per slave DP
standard/device IO standard fail-safe e moduli F ET 200SP, moduli F ET 200MP, moduli F
ET 200AL, ET 200eco PN e moduli F S7-1200. L'indirizzo di origine F è sempre 1 nei moduli F
ET 200S, ET 200eco, ET 200pro, ET 200iSP e SM F S7-300. Nei moduli F ET 200SP, moduli F
ET 200MP, moduli F ET 200AL ed ET 200eco PN l'indirizzo di origine F corrisponde al
parametro "Central F-source address" della F-CPU.
L'indirizzo di destinazione F deve essere progettato nell'editor hardware e di rete. Nei
moduli F ET 200S, ET 200eco, ET 200pro, ET 200iSP e SM F S7-300 impostare l'indirizzo di
destinazione F per ciascun interruttore. Nei moduli F ET 200SP, moduli F ET 200MP, moduli F
ET 200AL ed ET 200eco PN assegnare l'indirizzo PROFIsafe nell'editor hardware e di rete. Nei
moduli F S7-1200 l'indirizzo di destinazione F viene assegnato automaticamente dal
sistema F.
I-slave
La funzionalità "I-slave" (slave DP intelligente) di una CPU consente di scambiare dati con un
master DP, utilizzando così la CPU ad es. come unità di preelaborazione intelligente di
processi parziali. In questo caso l'I-slave ha il ruolo di uno slave DP ed è collegato a un master
DP di livello superiore.
Misure organizzative
Nel caso del sistema F SIMATIC Safety si tratta di misure opportune che il gestore
dell'impianto deve definire:
• per garantire la sicurezza dell'impianto in particolari situazioni operative, ad es.:
– funzionamento monitorato e disinserzione di sicurezza manuale
– Istruzioni operative
– istruzioni periodiche
• per proteggere l'impianto dall'utilizzo o dall'accesso non autorizzato, ad es.:
– controllo dell'accesso all'impianto, alla F-CPU o al PG/PC
– Istruzioni operative
– istruzioni periodiche
Moduli F
→ Moduli fail-safe
Moduli fail-safe
Moduli fail-safe ET 200SP, ET 200S, ET 200pro, ET 200iSP che possono essere impiegati nel
sistema di periferia decentrata ET 200SP, ET 200S, ET 200pro o ET 200iSP.
Moduli fail-safe S7-1500/ET 200MP che possono essere impiegati centralmente in un S7-1500
o nel sistema di periferia decentrata ET 200MP.
Moduli fail-safe S7-1200 che possono essere impiegati centralmente in un S7-1200.
Questi moduli sono dotati di → funzioni di sicurezza integrate per il funzionamento orientato
alla sicurezza (→ funzionamento di sicurezza). Si comportano secondo il profilo di bus →
PROFIsafe.
Parametri i
Parametri individuali di → slave DP standard fail-safe o → device IO standard fail-safe
Passivazione
Nel caso di una periferia → F con ingressi, i valori sostitutivi (0) vengono forniti dal →
sistema F nella IPI per il programma di sicurezza durante la passivazione anziché i valori di
processo presenti sugli ingressi fail-safe.
Nel caso di una periferia F con uscite, in caso di passivazione il sistema F trasferisce nelle
uscite fail-safe dei valori sostitutivi (0) anziché i valori di uscita forniti dal programma di
sicurezza nella IPU.
Periferia F
Denominazione comune per ingressi e uscite fail-safe disponibili in SIMATIC S7 per
l'integrazione, tra l'altro, in SIMATIC Safety. Sono disponibili:
• → modulo di periferia fail-safe ET 200eco
• → modulo di periferia fail-safe ET 200eco PN
• → modulo di periferia fail-safe ET 200AL
• → unità di ingressi/uscite fail-safe S7-300
• → moduli fail-safe per S7-1200
• → moduli fail-safe per ET 200MP
• → moduli fail-safe per ET 200SP
• → moduli fail-safe per ET 200S
• → moduli fail-safe per ET 200pro
• → moduli fail-safe per ET 200iSP
• → slave DP standard fail-safe
• → device IO standard fail-safe
PL
Performance Level (PL) secondo ISO 13849-1:2015 o secondo EN ISO 13849-1:2015
SIMATIC Safety può essere utilizzato nel → funzionamento di sicurezza fino AL Performance
Level (PL).
PN/PN Coupler
Dispositivo per l'accoppiamento di due sistemi PROFINET IO, necessario per la comunicazione
IO Controller-IO Controller tra → programmi di sicurezza in diverse → F-CPU di SIMATIC Safety
e S7 Distributed Safety.
PROFIsafe
Profilo di bus fail-safe di PROFIBUS DP e PROFINET IO per la comunicazione tra → programma
di sicurezza e → periferia F in un → sistema F. Vedere IEC 61784-3-3:2021 e PROFIsafe –
Profile for Safety Technology on PROFIBUS DP and PROFINET IO; Order No: 3.192 (V2.6.1).
Programma di sicurezza
Programma utente orientato alla sicurezza
Programma utente
Il programma utente comprende il → programma utente standard e il → programma di
sicurezza.
Protezione di accesso
→ I sistemi fail-safe devono essere protetti da accessi pericolosi non autorizzati. La protezione
dell'accesso ai sistemi F si realizza assegnando una password per la → F-CPU e una password
o una → protezione del progetto per il → programma di sicurezza.
Protocollo di sicurezza
→ Telegramma di sicurezza
Reintegrazione
La commutazione dai valori sostitutivi (0) a quelli di processo (reintegrazione di una →
periferia F) può essere automatica o avvenire dopo la conferma utente nel DB di periferia F. Il
tipo di reintegrazione dipende:
• causa per la → passivazione della periferia F/dei canali della periferia F
• una parametrizzazione in → DB di periferia F nella progettazione stessa (ad es. moduli F
ET 200MP su una F-CPU S7-1500 e moduli F S7-1200 su una F-CPU S7-1200)
Nella → periferia F con ingressi dopo una reintegrazione vengono messi nuovamente a
disposizione del programma di sicurezza i valori di processo presenti negli ingressi fail-safe
nell'IPI Nella periferia F con uscite il sistema F trasferisce nuovamente alle uscite fail-safe i
valori di uscita messi a disposizione nel programma di sicurezza nell'IPU
RIOforFA-Safety
Remote IO for Factory Automation con PROFIsafe; profilo per la periferia F
S7-PLCSIM
S7-PLCSIM consente di modificare e testare il programma su un sistema di automazione
simulato esistente sul PG/PC. Poiché la simulazione viene realizzata completamente sul PC/PG,
non è necessario un hardware (CPU, periferia).
Safety Unit
Software Unit che contiene l'intero programma di sicurezza di una F-CPU.
Shared Device
La funzionalità "Shared Device" consente di suddividere i sottomoduli di un IO Device tra
diversi IO Controller.
SIL
Livello di sicurezza (Safety Integrity Level) SIL secondo IEC 61508:2010. Più alto è il Safety
Integrity Level tanto più severe sono le misure per evitare e controllare gli errori sistematici e i
guasti casuali hardware.
Nel funzionamento di sicurezza con SIMATIC Safety è possibile l'utilizzo fino alla classe di
sicurezza SIL3.
Sistemi F
→ Sistemi fail-safe
Sistemi fail-safe
I sistemi fail-safe (sistemi F) sono caratterizzati dalla capacità di rimanere nello stato sicuro o
di commutare direttamente a un altro stato sicuro quando si verificano determinati guasti.
Sistemi ridondanti
I sistemi ridondanti sono caratterizzati dal fatto che importanti componenti di automazione
sono presenti più volte (sono ridondanti). In caso di guasto di uno dei componenti ridondanti
il controllo del processo viene mantenuto attivo.
Stampa di sicurezza
La stampa di sicurezza è la documentazione dei dati di progetto rilevanti per la sicurezza, che
forniscono un supporto durante il collaudo dell'impianto. La stampa di sicurezza può essere
utilizzata anche in formato digitale, ad es. come file PDF.
Stato di sicurezza
La base dei concetto di sicurezza nei → sistemi fail-safe è l'esistenza di uno stato sicuro per
tutte le grandezze di processo. Nella → periferia F digitale utilizzata secondo IEC 61508:2010,
è sempre il valore "0".
Telegramma di sicurezza
Nel → funzionamento di sicurezza vengono trasmessi dai tra la → F-CPU e → la periferia F o
nella comunicazione di sicurezza CPU-CPU, tra le F-CPU in un telegramma di sicurezza.
Tempo di ciclo F
Il tempo di ciclo F è il tempo che decorre tra i due richiami di un gruppo di esecuzione F.
Viene controllato dalla F-CPU. Non appena supera il tempo massimo del ciclo F (proprietà del
gruppo di esecuzione F), la F-CPU passa allo stato di funzionamento STOP.
(S7-1200, S7-1500): Inoltre il gruppo di esecuzione F dispone di una soglia di avviso. Se il
tempo di ciclo F supera questa soglia di avviso, viene scritta una voce nel buffer di
diagnostica.
Tempo di discrepanza
Tempo parametrizzabile per → l'analisi di discrepanza. Impostando un tempo di discrepanza
troppo elevato, aumentano inutilmente il tempo per il rilevamento dell'errore e il → tempo di
reazione all'errore. Se si imposta un valore troppo basso, la disponibilità si riduce inutilmente
perché, senza un errore effettivo, verrà individuato un errore di discrepanza.
Valutazione encoder
La valutazione encoder può essere di due tipi:
• Valutazione 1oo1: il segnale dell'encoder viene letto una volta
• Valutazione 1oo2: il segnale dell'encoder viene letto due volte dalla stessa → periferia F e
confrontato internamente
Esempio, 183 D
Sistema di servizio e supervisione, 180, 181
Dati locali, 118
Configurazione hardware, 45
DB di istanza, 119, 145
caricamento, 295
DB di periferia F, 110, 160
verifica della correttezza, 360
Accesso a, 159, 167
Configurazioni supportate, 62
Configurazione di DIAG, 166
Confronto
Nome, 53, 167
Programmi di sicurezza, 326
Numero, 53, 167
Confronto offline-offline di programmi di sicurezza, 327
DB globale F, 149, 188, 334
Contatto normalmente aperto, 393
DB informativo del gruppo di esecuzione F, 149
Contatto normalmente chiuso, 394
Device IO standard fail-safe
Conteggio
progettazione, 74
all'indietro, 498
DIAG
in avanti, 496
DB di periferia F, 166
In avanti e all'indietro, 500
ESTOP1: OFF di emergenza fino alla categoria di
Conteggio all'indietro, 498
arresto 1, 422
Conteggio in avanti, 496
EV1oo2DI: Valutazione 1oo2 (2v2) con analisi di
Conteggio in avanti e all'indietro, 500
discrepanza, 459
Controlli
FDBACK: Monitoraggio feedback, 467
tramite il sistema F, 63
MUT_P: Muting parallelo, 447
Controllo del programma
MUTING: Muting, 435
Apertura del blocco dati globale, 557
RCVS7, 588
Etichetta di salto, 554
SENDDP/RCVDP, 579
Salto all'indietro, 555
SENDS7, 588
Salto se RLO = 0, 552
SFDOOR: Sorveglianza del riparo di protezione, 473
Salto se RLO = 1, 550
TWO_H_EN: Controllo a due mani con
Controllo della versione del programma, 370
abilitazione, 430
Controllo di configurazione, 54
Diagnostica
Controllo di plausibilità, 189
Guida alla consultazione, 385, 385
Trasferimento dei dati tra programma standard e
sistema fail-safe, 384
programma di sicurezza, 370
Diagnostica cumulativa delle unità di ingressi/uscite fail-
Conversione
safe, 54
Dati, 539, 542
Diagrammi temporali, 435, 447, 579
Valore, 538
RCVDP, 579
Conversione dei dati, 539, 542
SENDDP, 579
Conversione del tipo di dati, 116
Dimensione dei blocchi F generati
CONVERT, 538
automaticamente, 294
Correttezza
DISABLE, 164
comunicazione di sicurezza CPU-CPU, 367
Disattivazione
Configurazione hardware, 360
Funzionalità F, 46
Costante
Funzionamento di sicurezza, 332, 333
booleana, 117
Disinstallazione
FALSE, 117
STEP 7 Safety, 29, 30, 30
TRUE, 117
Dispositivi di simulazione nel sistema F, 377
CPU con funzionalità F, (Vedere F-CPU)
Dispositivo di trasporto, fermo, 435
Crea complemento a due, 523
DIV, 519
Cronologia delle modifiche F, 354
Divisione, 519
CTD, 498
DP/DP Coupler, 203, 259
CTU, 496
durante il funzionamento, 344
CTUD, 500
I Modifica
collaudo, 372
Identificativo HW, 579
Dati del programma di sicurezza, 337
IE/PB Link, 234, 280
del programma di sicurezza in RUN, 344, 347
Immagine
riconoscimento, 372
creazione, 316
modifiche non supportate, 347
importazione, 316
Moltiplicazione, 517
Immagine di processo, 53, 152, 188
MOVE, 527
Importazione di immagini, 316
MUL, 517
Impulso
MUT_P, 447
generazione, 481
MUTING, 435
Indirizzo di destinazione F, 64, 66
Configurazione di DIAG, 435
Indirizzo di destinazione PROFIsafe, 47
Indirizzo di origine F, 48, 66
Indirizzo di origine F centrale, 48
N
Indirizzo PROFIsafe
assegnazione, 68, 69, 72, 75 N, 403, 418
modifica, 74 N_TRIG, 406, 420
Raccomandazioni, 61 NEG, 523
Inserisci ingresso binario, 392 NOT, 395
Installazione
STEP 7 Safety, 29, 30, 30
Invio e ricezione di dati tramite collegamenti S7, 588 O
IPAR_EN, 163
Operando
IPAR_OK, 166
interrogazione del fronte di discesa del
Istruzioni
segnale, 403, 418
controllo per il collaudo, 358
interrogazione del fronte di salita del
Interrogazione bit di stato OV, 578
segnale, 402, 417
per il programma di sicurezza, 111
Operazioni di confronto
Diverso, 504
Maggiore, 508
J
Maggiore o uguale, 506
JMP, 550 Minore, 509
JMPN, 552 Minore o uguale, 507
Uguale, 503
Operazioni di conversione
L Conversione da BOOL a WORD, 539
Conversione da WORD a BOOL, 542
LABEL, 554
Conversione del valore, 538
Lista di controllo, 605
Scala dei valori, 545
Livello di protezione della F-CPU, 50
Scala dei valori nel tipo di dati DINT, 547
Operazioni di trasferimento
Copia del valore, 527
M
Lettura dell'array F, 529, 531
Memoria di lavoro richiesta del programma di Lettura indiretta del valore da un F-DB, 536
sicurezza, 294 Scrivi indirettamente valore in un F-DB, 534
Merker, 188 OPN, 557
Migrazione OR, 408, 560, 560
da S7 Distributed Safety, 30, 238 OR ESCLUSIVO, 409, 561
F-CPU, 34 OV, 576, 577, 578
Stampa, 330
Modalità Fast Commissioning, 347
T U
Tabella di controllo, 339 UMAC, 98
Tabella di verità Uscita
AND, 408 impostazione, 398, 413
OR, 409 Reset, 396, 412
OR ESCLUSIVO, 410 UUID di comunicazione F, 93
Tempo di ciclo
Gruppo di esecuzione F, 131, 134
massimo, 597 V
Tempo di controllo del, 599
V2-MODE, 74
Tempo di ciclo F, tempo di controllo, 599
Valore
Tempo di ciclo massimo, 597, 601
Conversione, 538
Tempo di controllo, 596, 597
copia, 527
Comunicazione tra F-CPU e periferia F, 600
lettura indiretta da un F-DB, 536
Comunicazione tra I-slave e I-slave, 600
scala, 545
Comunicazione tra le F-CPU, 601
scala nel tipo di dati DINT, 547
Tempo di ciclo F, 599
scrivi indirettamente in un F-DB, 534
Tempo di controllo F, 48, 53, 597
Valore sostitutivo, 139, 157
Comunicazione F, 93
Variabile
Tempo di reazione del sistema F, 596, 602
DB di periferia F, 160
Tempo di sicurezza del processo, 602
supervisione/comando, 337
Temporizzatori
Variabile di diagnostica, 384
Generazione del ritardo alla disinserzione, 491
Generazione del ritardo all'inserzione, 486
Generazione dell'impulso, 481
W
Test del cablaggio, 337
Test del programma di sicurezza, 337 W_BO, 542
Test funzionale del programma di sicurezza, 331, 356 WR_FDB, 534
Test periodico, 381
TIMEOUT, 597, 601
Tipi di dati X
per il programma di sicurezza, 113
X, 409
Tipi di parametri, 113
XOR, 561
Tipo di dati PLC
conforme a F, 120
Tipo di dati PLC conforme a F (UDT), 120
Tipo di indirizzo PROFIsafe, 41
Tipo di indirizzo PROFIsafe 1, 47
Tipo di indirizzo PROFIsafe 2, 48
TOF, 491
TON, 486
TP, 481
Trasferimento dei dati
dal programma di sicurezza al programma utente
standard, 188
dal programma utente standard al programma di
sicurezza, 189
TWO_H_EN, 430
TWO_HAND, 427