Progfailleses Es Es

Manual de programación y de manejo
SIMATIC
Software industrial
SIMATIC Safety - Configuración y programación
Edición 11/2022 siemens.com

Descripción general del
producto
1
Configuración
2
SIMATIC Safety Administration Editor

3
Software industrial
SIMATIC Safety - Configuración y Protección de acceso
4
programación
Programación
5
Manual de programación y manejo
Acceso a la periferia F
6
Implementación de un acuse
de usuario
7
Intercambio de datos entre
programa de usuario
estándar y programa de 8
seguridad
Comunicación orientada a la
seguridad
9
Compilación y puesta en
marcha del programa de 10
seguridad
Recepción/aceptación de la
instalación
11
Operación y mantenimiento
12
Instrucciones de STEP 7
Safety V18
13
Tiempos de vigilancia y
tiempos de reacción
A
11/2022
A5E52320350-AM Continua en página siguiente
Continuación
Lista de control
B
Software industrial
SIMATIC Safety - Configuración y
programación
Manual de programación y manejo

Notas jurídicas
Filosofía en la señalización de advertencias y peligros
Este manual contiene las informaciones necesarias para la seguridad personal así como para la prevención de
daños materiales. Las informaciones para su seguridad personal están resaltadas con un triángulo de advertencia;
las informaciones para evitar únicamente daños materiales no llevan dicho triángulo. De acuerdo al grado de
peligro las consignas se representan, de mayor a menor peligro, como sigue.
PELIGRO
Significa que si no se adoptan las medidas preventivas adecuadas se producirá la muerte o bien lesiones
corporales graves.
ADVERTENCIA
Significa que si no se adoptan las medidas preventivas adecuadas puede producirse la muerte o bien lesiones
corporales graves.
PRECAUCIóN
Significa que si no se adoptan las medidas preventivas adecuadas pueden producirse lesiones corporales.
ATENCIóN
Significa que si no se adoptan las medidas preventivas adecuadas pueden producirse daños materiales.
Si se dan varios niveles de peligro se usa siempre la consigna de seguridad más estricta en cada caso. Si en una
consigna de seguridad con triángulo de advertencia de alarma de posibles daños personales, la misma consigna
puede contener también una advertencia sobre posibles daños materiales.
Personal cualificado
El producto/sistema tratado en esta documentación sólo deberá ser manejado o manipulado por personal
cualificado para la tarea encomendada y observando lo indicado en la documentación correspondiente a la
misma, particularmente las consignas de seguridad y advertencias en ella incluidas. Debido a su formación y
experiencia, el personal cualificado está en condiciones de reconocer riesgos resultantes del manejo o
manipulación de dichos productos/sistemas y de evitar posibles peligros.
Uso previsto de los productos de Siemens
Considere lo siguiente:
ADVERTENCIA
Los productos de Siemens sólo deberán usarse para los casos de aplicación previstos en el catálogo y la
documentación técnica asociada. De usarse productos y componentes de terceros, éstos deberán haber sido
recomendados u homologados por Siemens. El funcionamiento correcto y seguro de los productos exige que su
transporte, almacenamiento, instalación, montaje, manejo y mantenimiento hayan sido realizados de forma
correcta. Es preciso respetar las condiciones ambientales permitidas. También deberán seguirse las indicaciones y
advertencias que figuran en la documentación asociada.
Marcas registradas
Todos los nombres marcados con ® son marcas registradas de Siemens AG. Los restantes nombres y designaciones
contenidos en el presente documento pueden ser marcas registradas cuya utilización por terceros para sus propios
fines puede violar los derechos de sus titulares.
Exención de responsabilidad
Hemos comprobado la concordancia del contenido de esta publicación con el hardware y el software descritos. Sin
embargo, como es imposible excluir desviaciones, no podemos hacernos responsable de la plena concordancia. El
contenido de esta publicación se revisa periódicamente; si es necesario, las posibles correcciones se incluyen en la
siguiente edición.
Siemens AG A5E52320350-AM Copyright © Siemens AG 2011 - 2022.

Digital Industries Ⓟ 08/2023 Sujeto a cambios sin previo aviso Reservados todos los derechos
Postfach 48 48
90026 NÜRNBERG
ALEMANIA
Notas importantes
Finalidad de la documentación
La información de esta documentación le permitirá configurar (Página 42) y programar
(Página 104) sistemas de seguridad SIMATIC Safety. Además le proporcionará información
para la recepción/aceptación (Página 357) de un sistema F SIMATIC Safety.
NOTA
El manual de programación y de manejo "SIMATIC Safety - Configuración y programación" en
su versión actual (incluida, en su caso, la información de producto del manual) es la fuente
de referencia para toda la información sobre seguridad funcional relativa a la configuración y
programación. Esto se aplica también en caso de discrepancias entre este manual y otra
documentación de seguridad funcional relativa a la configuración y programación de SIMATIC
Safety.
Deben tenerse en cuenta todas las advertencias del manual de programación y de manejo
"SIMATIC Safety - Configuración y programación)".
NOTA
Nombre de la versión STEP 7 Safety Advanced V18 y STEP 7 Safety Basic V18
Los productos STEP 7 Safety Advanced V18 y STEP 7 Safety Basic V18 suministrados tienen el
número de versión V18.0.1.0.
Por ello, el número de versión indicado es el V18 SP1, p. ej., en el display y en el impreso de
seguridad.
Conocimientos básicos necesarios

Para comprender esta documentación manual se requieren conocimientos generales en el
área de la automatización. Además se necesitan conocimientos básicos de las siguientes
áreas:
• Sistemas de automatización de seguridad
• Sistemas de automatización
– S7-300
– S7-400
– S7-1200
– S7-1500
– S7-1500H
– S7-1500 Software Controller
– SIMATIC Drive Controller
– WinAC RTX F

Manual de programación y manejo, 11/2022, A5E52320350-AM 5
Notas importantes
• Sistemas de periferia descentralizada conectados a

– PROFIBUS DP
– PROFINET IO
• Totally Integrated Automation Portal, en especial:
– Configuración hardware con el editor de hardware y redes
– Programación en los lenguajes de programación KOP y FUP con el editor de programas.
– Comunicación entre CPU
Ámbito de validez de la documentación

Esta documentación es válida para STEP 7 Safety Advanced V18 y STEP 7 Safety Basic V18.
STEP 7 Safety Advanced V18 y STEP 7 Safety Basic V18 sirven para configurar y programar el
sistema de seguridad SIMATIC Safety.
En este contexto, se aborda también la integración de la siguiente periferia de seguridad en
SIMATIC Safety:
• Módulos de seguridad S7-1500/ET 200MP
• Módulos de seguridad ET 200SP
• Módulos de seguridad ET 200S
• Módulos de periferia de seguridad ET 200eco
• Módulos de periferia de seguridad ET 200eco PN
• Módulos de periferia de seguridad ET 200AL
• Módulos de seguridad ET 200pro
• Módulos de seguridad ET 200iSP
• Módulos de señales de seguridad S7-300
• Módulos de seguridad S7-1200
• DP slaves normalizados de seguridad
• IO devices normalizados de seguridad
Homologaciones
El sistema F SIMATIC Safety está certificado adicionalmente para su uso en el modo seguro
hasta:
• Clase de seguridad (Safety Integrity Level) SIL3 según IEC 61508:2010
• Performance Level (PL) e y categoría 4 según ISO 13849-1:2015 o según EN ISO
13849-1:2015
Catalogación en el conjunto de la documentación

Según el caso de aplicación, para trabajar con STEP 7 Safety se necesita la documentación
adicional que se indica a continuación.

6 Manual de programación y manejo, 11/2022, A5E52320350-AM
Notas importantes
En el presente documento se remite a los puntos necesarios de dicha documentación.

Documentación Contenidos relevantes en síntesis
Para el sistema F SIMATIC Safety Dependiendo de la CPU F utilizada se necesita la siguiente documentación:
• Una información de producto
(http://support.automation.siemens.com/WW/view/es/109478599) que des
cribe todas las diferencias entre las CPU F S7-1200/1500 y las correspondien
tes CPU estándar.
• Toda CPU F S7-300/400 apta cuenta con su propia información de producto.
La información de producto describe las diferencias respecto a las CPU es
tándar correspondientes.
• Los Manuales de producto
(http://support.automation.siemens.com/WW/view/es/67295862/133300)
describen las CPU S7-1500.
• Las instrucciones de servicio "S7-300, CPU 31xC y CPU 31x: Configuración e
instalación"
(http://support.automation.siemens.com/WW/view/es/12996906) describen
el montaje y el cableado de los sistemas S7-300.
• El manual de producto "CPU 31xC y CPU 31x, Datos técnicos"
(http://support.automation.siemens.com/WW/view/es/12996906) describe
las CPU 315-2 DP y PN/DP, la CPU 317-2 DP y PN/DP y la CPU 319-3 PN/DP.
• El manual de instalación "Sistema de automatización S7-400, Configuración
e instalación"
(http://support.automation.siemens.com/WW/view/es/1117849) describe el
montaje y el cableado de los sistemas S7-400.
• El manual de referencia "Sistema de automatización S7-400, Datos de las
CPUs" (http://support.automation.siemens.com/WW/view/es/23904550) des
cribe la CPU 414-3 PN/DP, la CPU 416-2 y la CPU 416-3 PN/DP.
• El manual "ET 200S, Módulo de interfaz IM 151-7 CPU"
(http://support.automation.siemens.com/WW/view/es/12714722) describe la
CPU IM 151-7.
• El manual "ET 200S, Módulo de interfaz IM 151-8 PN/DP CPU"
(http://support.automation.siemens.com/WW/view/en/47409312) describe
la CPU IM 151-8 PN/DP.
• El manual "ET 200pro, Módulo de interfaz IM 154-8 CPU"
(http://support.automation.siemens.com/WW/view/en/24363739) describe
la CPU IM 154-8.
• El manual "Windows Automation Center RTX WinAC RTX (F) 2010
(http://support.automation.siemens.com/WW/view/en/43715176)" describe
WinAC RTX 2010 y WinAC RTX F 2010.
• El manual "Controlador por software S7-1500 CPU 1505SP, CPU 1507S
(http://support.automation.siemens.com/WW/view/es/109249299)" describe
el controlador por software SIMATIC S7-1500 CPU 1505SP y CPU 1507S.
El manual de sistema "Manual de seguridad describe las CPU F S7-1200 y los módulos de seguridad S7-1200 (configuración,
funcional S7-1200 cableado, datos técnicos, etc.)
(http://support.automation.siemens.
com/WW/view/es/104547552)"

Notas importantes

El manual de sistema "Manual de sistema describen el hardware de los sistemas S7-1500 y de los módulos de seguridad
S7-1500/ET200MP S7-1500/ET 200MP (configuración, cableado, datos técnicos, etc.)
com/WW/view/es/59191792)" y los manua
les de producto
(https://support.industry.siemens.
com/cs/ww/es/ps/14141/man) de los distin
tos módulos de seguridad
S7-1500/ET 200MP
El manual de sistema "Sistema redundante describe el hardware de los sistemas S7-1500R/H (configuración, cableado, da
S7-1500R/H tos técnicos, etc.)
com/cs/ww/es/view/109754833)"
El manual de producto "SIMATIC Drive Con describen el hardware de los SIMATIC Drive Controller (configuración, cableado,
troller datos técnicos, etc.)
com/cs/ww/es/view/109766665)" y el ma
nual de producto "SIMATIC Drive Controller
El manual de funciones "SIMATIC S7-1500 describe el manejo de S7-PLCSIM Advanced
S7-PLCSIM Advanced
com/cs/ww/en/view/109798879)"
El manual de sistema "Sistema de periferia describen el hardware de los módulos de seguridad ET 200SP (configuración,
descentralizada ET 200SP cableado, datos técnicos, etc.)
com/WW/view/es/58649293)" y los manua
les de producto
com/cs/ww/es/ps/14059/man) de los distin
tos módulos de seguridad ET 200SP
El manual "Unidad de periferia descentrali describe el hardware de los módulos de periferia de seguridad ET 200eco (confi
zada ET 200eco, módulo de periferia de se guración, cableado, datos técnicos, etc.)
guridad
com/WW/view/en/19033850)"
El manual de producto "ET 200eco PN F-DI 8 describe el hardware de los módulos de periferia de seguridad ET 200eco PN
x 24 VDC, 4xM12 / F-DQ 3 x 24 VDC/2.0A (configuración, cableado, datos técnicos, etc.)
PM, 3xM12
El manual de sistema "Manual de sistema ET describen el hardware del módulo de periferia de seguridad ET 200AL (configu
200AL ración, cableado, datos técnicos, etc.)
com/cs/ww/es/view/89254965)" y el manual
de producto "Módulo de periferia digital F-
DI 4+F-DQ 2x24VDC/2A, 4xM12"

Notas importantes

Las instrucciones de servicio "Sistema de pe describen el hardware de los módulos de seguridad ET 200S (configuración, ca
riferia descentralizada ET 200S, módulos de bleado, datos técnicos, etc.)
seguridad
El manual "Sistema de automatización describe el hardware de los módulos de señales de seguridad del S7-300 (confi
S7-300, sistema de periferia descentralizada guración, cableado, datos técnicos, etc.)
ET 200M, módulos de señales de seguridad
com/WW/view/es/19026151)"
Las instrucciones de servicio "Sistema de pe describen el hardware de los módulos de seguridad ET 200pro (configuración,
riferia descentralizada ET 200pro, módulos cableado, datos técnicos, etc.)
de periferia de seguridad
Las instrucciones de servicio "Sistema de pe describen el hardware de los módulos de seguridad ET 200iSP (configuración,
riferia descentralizada ET 200iSP: Módulos cableado, datos técnicos, etc.)
de seguridad
La Ayuda de STEP 7 • describe el manejo de las herramientas estándar de STEP 7
• contiene información para configurar y parametrizar hardware
• contiene la descripción de los lenguajes de programación FUP y KOP
Toda la documentación de SIMATIC S7está disponible en DVD. Más información en Internet

(http://www.automation.siemens.com/mcms/industrial-automation-systems-
simatic/en/manual-overview/manual-collection/Pages/Default.aspx).
Guía de orientación
El presente documento describe el manejo de STEP 7 Safety. Contiene capítulos
introductorios y capítulos para consulta (descripción de las instrucciones para el programa de
seguridad).
La documentación aborda los siguientes temas:
• Configuración de SIMATIC Safety
• Protección de acceso para SIMATIC Safety
• Programación del programa de seguridad (programa de usuario orientado a la seguridad)
• Comunicación orientada a la seguridad
• Instrucciones para el programa de seguridad
• Asistencia para la recepción/aceptación de la instalación
• Operación y mantenimiento de SIMATIC Safety
• Tiempos de vigilancia y tiempos de reacción

Notas importantes
Convenciones
Se aplican las siguientes convenciones:
• En la presente documentación, los términos "funciones de seguridad" y "sistemas F" se
utilizan como sinónimos. Lo mismo sucede con los términos "de seguridad" y "F".
• Los "sistemas F" incluyen los sistemas redundantes S7-1500HF. Las particularidades y
limitaciones de los sistemas H se describen en el manual de sistema "Sistema redundante
S7-1500R/H (https://support.industry.siemens.com/cs/ww/es/view/109754833)" y se
aplican también a los sistemas redundantes S7-1500HF.
• "STEP 7 Safety V18" alude por igual a "STEP 7 Safety Advanced V18" y a
"STEP 7 Safety Basic V18".
• "(S7-300)" significa que el apartado en cuestión solo es aplicable a las CPU F S7-300. La
denominación "CPU F S7-300" incluye también las CPU F ET 200S y ET 200pro (CPU F IM).
• "(S7-400)" significa que el apartado en cuestión solo es aplicable a las CPU F S7-400 y a
WinAC RTX F.
• "(S7-1200)" significa que el apartado en cuestión solo es aplicable a las CPU F S7-1200.
• "(S7-1500)" significa que el apartado en cuestión solo es aplicable a las CPU F S7-1500. La
denominación "CPU F S7-1500" incluye también las CPU HF S7-1500, las CPU F ET 200SP,
la CPU 151xpro F-2 PN, el S7-1500 F Software Controller y el SIMATIC Drive Controller. Las
excepciones, si las hay, se indican oportunamente.
Es posible combinar varios ámbitos de validez.
El término programa de seguridad hace referencia a la parte de seguridad del programa de
usuario y se utiliza en lugar de las denominaciones "programa de usuario de seguridad",
"programa F" y similares. Para facilitar la distinción, la parte no orientada a la seguridad se
denomina "programa de usuario estándar".
La configuración hardware abarca la configuración de CPU estándar y periferias estándar,
así como la configuración de CPU F y periferias F.
La configuración hardware relativa a la seguridad abarca los parámetros relativos a la
seguridad de las CPU F y las periferias F.
Los datos del proyecto relativos a la seguridad abarcan la configuración hardware relativa
a la seguridad y el programa de seguridad.
NOTA
Las advertencias se marcan en cada caso con un número único al final del texto. Esto permite
remitir a ellas fácilmente en otros documentos, p. ej., para obtener una vista general de los
requisitos de seguridad de la instalación.
Soporte adicional
Si tiene preguntas relacionadas con el uso de los productos descritos en el manual cuya
respuesta no encuentra aquí, póngase en contacto con su interlocutor de Siemens en la
sucursal o la oficina de ventas más próxima.
Podrá localizar a su persona de contacto más próxima en Internet
(http://www.siemens.com/automation/partner).
Encontrará una guía de la documentación técnica disponible para los distintos productos y
sistemas SIMATIC en Internet (http://www.siemens.com/simatic-tech-doku-portal).

Notas importantes
Encontrará el catálogo online y el sistema de pedidos online en Internet

(www.siemens.com/industrymall).
Centro de formación
Para facilitar a nuestros clientes la introducción a los sistemas de automatización S7,
ofrecemos varios cursos. Diríjase a su centro de formación regional o a la central de
formación de Núremberg (Alemania).
Más información en Internet (http://www.sitrain.com).
Asistencia técnica (Technical Support)

Para ponerse en contacto con el servicio de asistencia técnica (Technical Support) para todos
los productos de Industry Automation, utilice el formulario web
(http://www.siemens.com/automation/support-request) para Support Request (solicitud de
soporte).
Encontrará más información sobre nuestro Technical Support en Internet
(http://www.siemens.com/automation/service).

Notas importantes
Nota importante para preservar la seguridad de operación de la instalación
NOTA
Las instalaciones con funciones orientadas a la seguridad están sujetas a exigencias
especiales de seguridad que debe cumplir el operador de la instalación. También el proveedor
está obligado a aplicar medidas especiales en relación con la observación del producto. Por
esta razón, le mantendremos informado sobre los desarrollos y características del producto
que son o pueden ser importantes para la operación de instalaciones desde el punto de vista
de la seguridad.
Para mantenerse siempre al día al respecto y poder hacer las modificaciones que sean
necesarias en su instalación, deberá suscribirse al newsletter correspondiente.
Inicie sesión en el Industry Online Support. Siga los enlaces siguientes y, en cada página,
haga clic en "Correo electrónico con actualización":
• SIMATIC S7-300/S7-300F
(https://support.industry.siemens.com/cs/products?pnid=13751&lc=es-WW)
• SIMATIC S7-400/S7-400H/S7-400F/FH
• SIMATIC S7-1500/SIMATIC S7-1500F/SIMATIC S7-1500HF
• SIMATIC S7-1200/SIMATIC S7-1200F
• Software Controller
• Periferia descentralizada
• STEP 7 (TIA Portal) (https://support.industry.siemens.com/cs/products?pnid=14340&lc=es-
WW)
Información de seguridad
Siemens ofrece productos y soluciones con funciones de seguridad industrial con el objetivo
de hacer más seguro el funcionamiento de instalaciones, sistemas, máquinas y redes.
Para proteger las instalaciones, los sistemas, las máquinas y las redes contra de amenazas
cibernéticas, es necesario implementar (y mantener continuamente) un concepto de
seguridad industrial integral que esté conforme al estado del arte. Los productos y las
soluciones de Siemens constituyen una parte de este concepto.
Los clientes son responsables de impedir el acceso no autorizado a sus instalaciones,
sistemas, máquinas y redes. Dichos sistemas, máquinas y componentes solo deben estar
conectados a la red corporativa o a Internet cuando y en la medida que sea necesario y
siempre que se hayan tomado las medidas de protección adecuadas (p. ej. cortafuegos y
segmentación de la red).
Para obtener información adicional sobre las medidas de seguridad industrial que podrían ser
implementadas, por favor visite (https://www.siemens.com/industrialsecurity).

Notas importantes
Los productos y las soluciones de Siemens están sometidos a un desarrollo constante con el
fin de hacerlos más seguros. Siemens recomienda expresamente realizar actualizaciones en
cuanto estén disponibles y utilizar únicamente las últimas versiones de los productos. El uso
de versiones de los productos anteriores o que ya no sean soportadas y la falta de aplicación
de las nuevas actualizaciones, puede aumentar el riesgo de amenazas cibernéticas.
Para mantenerse informado de las actualizaciones de productos, recomendamos que se
suscriba al Siemens Industrial Security RSS Feed en (https://www.siemens.com/cert).
Siemens Industry Online Support

Encontrará información actualizada de forma rápida y sencilla acerca de los siguientes temas:
• Product Support
Toda la información y amplio know-how en torno al producto de su interés, datos
técnicos, preguntas frecuentes, certificados, descargas y manuales.
• Ejemplos de aplicación
Herramientas y ejemplos para la solución de sus tareas de automatización, además de
bloques de función, información sobre rendimiento y vídeos
• Servicios
Información sobre Industry Services, Field Services, Technical Support, repuestos y oferta
de formación.
• Foros
Para respuestas y soluciones en torno a la automatización.
• mySupport
Su área de trabajo personal en SIEMENS Industry Online Support para mensajes primados,
solicitud de consultas al soporte técnico y documentación configurable.
Encontrará esta información disponible en Siemens Industry Online Support en Internet
(http://www.siemens.com/automation/service&support).
Industry Mall
Industry Mall es el sistema de catálogos y pedidos de SIEMENS AG para soluciones de
automatización y accionamientos sobre la base de la Totally Integrated Automation (TIA) y
Totally Integrated Power (TIP).
Encontrará el catálogo para todos los productos de automatización y accionamientos en Inter
net (https://mall.industry.siemens.com).

Índice
1 Descripción general del producto....................................................................................................... 24

1.1 Descripción general.......................................................................................................... 24
1.2 Componentes de hardware y software.............................................................................. 25
1.3 Instalación/desinstalación de la licencia para STEP 7 Safety Basic V18................................. 31
1.4 Instalación/desinstalación de la licencia para STEP 7 Safety Advanced V18......................... 31
1.5 Instalación/desinstalación de STEP 7 Safety Powerpack...................................................... 32
1.6 Migración de proyectos de S7 Distributed Safety V5.4 SP5 a STEP 7 Safety Advanced......... 32
1.7 Migración de programas de PLC a una CPU F S7-1500 ....................................................... 36
1.8 Actualización de proyectos a STEP 7 Safety V18................................................................. 37
1.8.1 Actualización de proyectos de STEP 7 Safety V14 SP1 o superior a V18............................... 37
1.8.2 Actualización de proyectos de STEP 7 Safety V13 SP1/SP2 a V18........................................ 37
1.8.3 Actualización de proyectos de STEP 7 Safety antes de V13 SP1........................................... 38
1.9 Primeros pasos.................................................................................................................. 40
2 Configuración..................................................................................................................................... 42
2.1 Descripción general de la configuración............................................................................ 42
2.2 Particularidades de la configuración del sistema F.............................................................. 45
2.3 Configuración de la CPU F................................................................................................. 46
2.4 Configuración de la periferia F.......................................................................................... 51
2.5 Control de configuración (configuración futura) para periferia F........................................ 55
2.5.1 Ejemplo............................................................................................................................ 56
2.6 Configuración de Shared Devices...................................................................................... 59
2.7 Configuración del modo isócrono (S7-1500)..................................................................... 60
2.8 Recomendación para la asignación de las direcciones PROFIsafe........................................ 61
2.9 Configuraciones soportadas por el sistema F SIMATIC Safety.............................................. 62
2.10 Direcciones PROFIsafe para periferia F de dirección PROFIsafe tipo 1.................................. 65
2.11 Direcciones PROFIsafe para periferia F de dirección PROFIsafe tipo 2.................................. 67
2.12 Ajustar la dirección de destino F de la periferia F con interruptor DIP.................................. 69
2.13 Asignación de la dirección PROFIsafe de la periferia F con SIMATIC Safety.......................... 69
2.13.1 Identificación de módulos F.............................................................................................. 72
2.13.2 Asignación de la dirección PROFIsafe................................................................................. 73
2.13.3 Asignación de la dirección PROFIsafe a un módulo F en un Shared Device para varios .... 74
proyectos
2.13.4 Modificación de la dirección PROFIsafe.............................................................................. 75

Índice
2.14 Particularidades de la configuración de DP slaves normalizados de seguridad y IO devi .... 75

ces normalizados de seguridad
3 Safety Administration Editor.............................................................................................................. 78

3.1 Llamada del Safety Administration Editor.......................................................................... 80
3.2 Área "General".................................................................................................................. 81
3.3 Área "F-runtime group (Grupo de ejecución F)".................................................................. 83
3.3.1 Área "F-runtime group (Grupo de ejecución F)".................................................................. 83
3.3.2 Preprocesamiento/postprocesamiento (S7-1200, S7-1500)................................................ 84
3.4 Área "F-blocks (Bloques F)"................................................................................................ 85
3.5 Área "F-compliant PLC data types (Tipos de datos PLC conformes con F)" (S7-1200, .... 86
S7-1500)
3.6 Área "Web server F-Admins (Admin F de servidor web)" (S7-1200, S7-1500)...................... 87
3.7 Área "Settings (Configuración)"......................................................................................... 87
3.8 Área "Flexible F-Link" (S7-1200, S7-1500).......................................................................... 93
4 Protección de acceso.......................................................................................................................... 95
4.1 Descripción general de la protección de acceso................................................................. 95
4.2 Protección de acceso a los datos del proyecto relativos a la seguridad................................ 96
4.2.1 Protección de acceso a los datos del proyecto relativos la seguridad en toda la CPU............ 96
4.2.2 Protección de acceso a los datos del proyecto relativos a la seguridad en todo el pro .... 98
yecto
4.3 Protección de acceso para la CPU F.................................................................................... 99
4.4 Protección de acceso mediante medidas organizativas....................................................... 102
5 Programación...................................................................................................................................... 104
5.1 Descripción general de la programación............................................................................ 104
5.1.1 Estructura del programa de seguridad (S7-300, S7-400).................................................... 104
5.1.2 Estructura del programa de seguridad (S7-1200, S7-1500)................................................ 106
5.1.3 Programa de seguridad en Software Unit (Safety Unit) (S7-1500) ..................................... 109
5.1.4 Bloques de seguridad........................................................................................................ 110
5.1.5 Limitaciones en los lenguajes de programación FUP/KOP................................................... 112
5.1.6 Tipos de datos PLC conformes con F (UDT) (S7-1200, S7-1500)......................................... 118
5.1.6.1 Agrupación en estructuras de variables PLC para entradas y salidas de la periferia F .... 120
(S7-1200, S7-1500)
5.1.6.2 Ejemplo de variables PLC estructuradas para entradas y salidas de la periferia F .... 121
(S7-1200, S7-1500)
5.1.7 Editar variables PLC con editores externos......................................................................... 124
5.1.8 Uso de Multiuser Engineering........................................................................................... 124
5.1.9 Borrado del programa de seguridad................................................................................... 124
5.2 Definir grupos de ejecución F............................................................................................ 126
5.2.1 Reglas para los grupos de ejecución F del programa de seguridad...................................... 126
5.2.2 Procedimiento para definir un grupo de ejecución F (S7-300, S7-400)............................... 127
5.2.3 Procedimiento para definir un grupo de ejecución F (S7-1200, S7-1500)........................... 131
5.2.4 Comunicación entre grupos de ejecución F (S7-300, S7-400)............................................. 136

Índice
5.2.5 Comunicación entre grupos de ejecución F (S7-1200, S7-1500)......................................... 139

5.2.6 Borrar grupos de ejecución F............................................................................................. 141
5.2.7 Modificación del grupo de ejecución F (S7-300, S7-400).................................................... 142
5.2.8 Modificación del grupo de ejecución F (S7-1200, S7-1500)................................................ 142
5.3 Creación de bloques F en FUP/KOP.................................................................................... 142
5.3.1 Creación de bloques F....................................................................................................... 142
5.3.2 Protección de know-how................................................................................................... 144
5.3.3 Reutilización de bloques F................................................................................................. 145
5.4 Interfaz de información del programa de seguridad........................................................... 146
5.4.1 DB global F (S7-300, S7-400)............................................................................................ 146
5.4.2 DB de información del grupo de ejecución F (S7-1200, S7-1500)....................................... 147
5.5 Programación de la protección de arranque....................................................................... 149
6 Acceso a la periferia F......................................................................................................................... 150

6.1 Direccionamiento de la periferia F..................................................................................... 150
6.2 Información de calidad (S7-1200, S7-1500)....................................................................... 152
6.3 Valores de proceso o valores sustitutivos........................................................................... 155
6.4 DB de periferia F............................................................................................................... 157
6.4.1 Nombre y número del DB de periferia F............................................................................. 157
6.4.2 Variables del DB de periferia F........................................................................................... 158
6.4.2.1 PASS_ON.......................................................................................................................... 159
6.4.2.2 ACK_NEC.......................................................................................................................... 160
6.4.2.3 ACK_REI............................................................................................................................ 160
6.4.2.4 IPAR_EN............................................................................................................................ 161
6.4.2.5 DISABLE............................................................................................................................ 162
6.4.2.6 QBAD/PASS_OUT/DISABLED/QBAD_I_xx/QBAD_O_xx e información de calidad.................... 163
6.4.2.7 ACK_REQ.......................................................................................................................... 164
6.4.2.8 IPAR_OK........................................................................................................................... 164
6.4.2.9 DIAG................................................................................................................................. 164
6.4.3 Acceso a variables del DB de periferia F............................................................................. 165
6.5 Pasivación y reintegración de la periferia F........................................................................ 166
6.5.1 Después de arrancar el sistema F....................................................................................... 167
6.5.2 Después de errores de comunicación................................................................................. 169
6.5.3 Después de fallos de periferia F/canal................................................................................ 171
6.5.4 Pasivación agrupada......................................................................................................... 175
7 Implementación de un acuse de usuario............................................................................................ 177

7.1 Implementación de un acuse de usuario en el programa de seguridad de la CPU F de .... 177
un maestro DP o IO controller
7.2 Implementación de un acuse de usuario en el programa de seguridad de la CPU F de .... 181
un I-slave o un I-device
8 Intercambio de datos entre programa de usuario estándar y programa de seguridad..................... 185

8.1 Transferencia de datos del programa de seguridad al programa de usuario estándar.......... 185
8.2 Transferencia de datos del programa de usuario estándar al programa de seguridad.......... 187
9 Comunicación orientada a la seguridad............................................................................................. 189

Índice
9.1 Configuración y programación de la comunicación (S7-300, S7-400)................................. 189

9.1.1 Descripción general de la comunicación............................................................................ 189
9.1.2 Comunicación IO controller-IO controller orientada a la seguridad..................................... 192
9.1.2.2 Comunicación IO controller-IO controller orientada a la seguridad mediante SENDDP y .... 197
RCVDP
9.1.2.3 Programación de la comunicación IO controller-IO controller orientada a la seguridad....... 197
9.1.2.4 Comunicación IO controller-IO controller orientada a la seguridad, límites de la transfe.... 201
rencia de datos
9.1.3 Comunicación maestro-maestro orientada a la seguridad.................................................. 201
9.1.3.2 Comunicación maestro-maestro orientada a la seguridad mediante SENDDP y RCVDP........ 206
9.1.3.3 Programación de la comunicación maestro-maestro orientada a la seguridad..................... 206
9.1.3.4 Comunicación maestro-maestro orientada a la seguridad, límites de la transferencia de .... 210
datos
9.1.4 Comunicación IO controller-I-device orientada a la seguridad............................................ 210
9.1.4.2 Comunicación IO controller-I-device orientada a la seguridad mediante SENDDP y .... 213
RCVDP
9.1.4.3 Programación de la comunicación IO controller-I-device orientada a la seguridad............... 213
9.1.4.4 Comunicación IO controller-I-device orientada a la seguridad, límites de la transferen .... 215
cia de datos
9.1.5 Comunicación maestro-I-slave orientada a la seguridad..................................................... 216
9.1.5.2 Comunicación maestro-I-slave o I-slave-I-slave orientada a la seguridad mediante .... 219
SENDDP y RCVDP
9.1.5.3 Programación de la comunicación maestro-I-slave o I-slave-I-slave orientada a la segu .... 219
ridad
9.1.5.4 Comunicación maestro-I-slave o I-slave-I-slave orientada a la seguridad, límites de la .... 222
transferencia de datos
9.1.6 Comunicación I-slave-I-slave orientada a la seguridad........................................................ 223
9.1.6.2 Comunicación I-slave-I-slave orientada a la seguridad mediante SENDDP y RCVDP.............. 227
9.1.6.3 Programación de la comunicación I-slave-I-slave orientada a la seguridad.......................... 228
9.1.6.4 Comunicación I-slave-I-slave orientada a la seguridad, límites de la transferencia de da .... 228
tos
9.1.7 Comunicación I-slave-slave orientada a la seguridad.......................................................... 229
9.1.7.1 Configuración de la comunicación I-slave-slave orientada a la seguridad............................ 229
9.1.7.2 Comunicación I-slave-slave orientada a la seguridad, acceso a la periferia F....................... 234
9.1.7.3 Comunicación I-slave-slave orientada a la seguridad, límites de la transferencia de da .... 234
tos
9.1.8 Comunicación IO controller-I-slave orientada a la seguridad............................................... 235
9.1.9 Comunicación orientada a la seguridad mediante conexiones S7....................................... 236
9.1.9.2 Comunicación mediante SENDS7, RCVS7 y DB de comunicación F...................................... 238
9.1.9.3 Programación de la comunicación orientada a la seguridad mediante conexiones S7......... 239
9.1.9.4 Comunicación orientada a la seguridad mediante conexiones S7, límites de la transfe .... 243
rencia de datos
9.1.10 Comunicación orientada a la seguridad con otros sistemas F S7......................................... 243
9.1.10.2 Comunicación con S7 Distributed Safety mediante acoplador PN/PN (comunicación IO .... 244
controller-IO controller)
9.1.10.3 Comunicación con S7 Distributed Safety mediante acoplador DP/DP (comunicación .... 245
maestro-maestro)
9.1.10.4 Comunicación con S7 Distributed Safety mediante conexiones S7..................................... 246
9.1.10.5 Comunicación con S7 F/FH Systems mediante conexiones S7............................................ 248
9.2 Configuración y programación de la comunicación (S7-1200, S7-1500)............................. 249
9.2.2 Comunicación IO controller-IO controller orientada a la seguridad..................................... 252
9.2.2.2 Comunicación IO controller-IO controller orientada a la seguridad mediante SENDDP y .... 256
RCVDP

Índice
9.2.2.3 Programación de la comunicación IO controller-IO controller orientada a la seguridad....... 256

9.2.2.4 Comunicación IO controller-IO controller orientada a la seguridad, límites de la transfe.... 261
rencia de datos
9.2.3 Comunicación maestro-maestro orientada a la seguridad.................................................. 261
9.2.3.2 Comunicación maestro-maestro orientada a la seguridad mediante SENDDP y RCVDP........ 265
9.2.3.3 Programación de la comunicación maestro-maestro orientada a la seguridad..................... 265
9.2.3.4 Comunicación maestro-maestro orientada a la seguridad, límites de la transferencia de .... 269
datos
9.2.4 Comunicación IO controller-I-device orientada a la seguridad............................................ 270
9.2.4.2 Comunicación IO controller-I-device orientada a la seguridad mediante SENDDP y .... 273
RCVDP
9.2.4.4 Comunicación IO controller-I-device orientada a la seguridad, límites de la transferen .... 276
cia de datos
9.2.5 Comunicación maestro-I-slave orientada a la seguridad..................................................... 277
9.2.5.1 Configuración de la comunicación maestro-I-slave orientada a la seguridad....................... 277
9.2.5.2 Comunicación maestro-I-slave orientada a la seguridad mediante SENDDP y RCVDP........... 279
9.2.5.3 Programación de la comunicación maestro-I-slave orientada a la seguridad....................... 279
9.2.5.4 Comunicación maestro-I-slave orientada a la seguridad, límites de la transferencia de .... 282
datos
9.2.6 Comunicación IO controller-I-slave orientada a la seguridad............................................... 283
9.2.6.1 Comunicación IO controller-I-slave orientada a la seguridad............................................... 283
9.2.7 Comunicación orientada a la seguridad con el sistema F S7 "S7 Distributed Safety"............ 283
9.2.7.2 Comunicación con S7 Distributed Safety mediante acoplador PN/PN (comunicación IO .... 284
controller-IO controller)
9.2.7.3 Comunicación con S7 Distributed Safety mediante acoplador DP/DP (comunicación .... 285
maestro-maestro)
9.3 Configuración y programación de la comunicación con Flexible F-Link (S7-1200, .... 285
S7-1500)
9.3.1 Flexible F-Link................................................................................................................... 285
9.3.2 DB de comunicación F (S7-1200, S7-1500)........................................................................ 289
9.4 Configuración y programación de la comunicación entre CPU F S7-300/400 y .... 291
S7-1200/1500
9.5 Configuración y programación de la comunicación en varios proyectos.............................. 292
9.5.1 Comunicación IO controller-I-device orientada a la seguridad en varios proyectos.............. 292
9.5.1.1 Configuración de la comunicación IO controller-I-device orientada a la seguridad.............. 292
10 Compilación y puesta en marcha del programa de seguridad........................................................... 294

10.1 Compilación del programa de seguridad............................................................................ 294
10.2 Memoria de trabajo necesaria para el programa de seguridad (S7-300, S7-400)................. 295
10.3 Carga de datos del proyecto.............................................................................................. 296
10.3.1 Carga de datos del proyecto en una CPU F S7-300/400...................................................... 300
10.3.1.1 Carga de datos del proyecto en una CPU F S7-300/400 con Memory Card (SIMATIC Mi .... 300
cro Memory Card o tarjeta Flash) insertada
10.3.1.2 Carga de datos del proyecto en una CPU F S7-400 sin tarjeta Flash insertada...................... 300
10.3.1.3 Carga de datos del proyecto en un WinAC RTX F................................................................ 301
10.3.1.4 Carga de bloques F individuales en una CPU F S7-300/400................................................. 301

Índice
10.3.1.5 Carga de datos del proyecto en una Memory Card o enchufe de una Memory Card o un .... 302
medio de almacenamiento extraíble
10.3.2 Carga de datos del proyecto en una CPU F S7-1200........................................................... 304
10.3.2.1 Carga de datos del proyecto en una CPU F S7-1200 sin tarjeta de programa insertada........ 304
10.3.2.2 Carga de datos del proyecto en una CPU F S7-1200 con tarjeta de programa insertada....... 305
10.3.2.3 Inserción de una tarjeta de transferencia en una CPU F S7-1200........................................ 307
10.3.2.4 Carga de datos del proyecto de la memoria de carga interna de una CPU F S7-1200 a .... 309
una SIMATIC Memory Card vacía
10.3.2.5 Actualización de datos del proyecto de una CPU F S7-1200 con una tarjeta de transfe .... 310
rencia
10.3.2.6 Carga de datos del proyecto en una SIMATIC Memory Card y enchufe de una SIMATIC .... 310
Memory Card
10.3.3 Carga de datos del proyecto en una CPU F S7-1500........................................................... 311
10.3.3.1 Carga de datos del proyecto en una CPU F S7-1500........................................................... 311
10.3.3.2 Carga de datos del proyecto en un sistema redundante S7-1500HF................................... 312
10.3.3.3 Carga de datos del proyecto en un S7-1500 F Software Controller..................................... 313
10.3.3.4 Carga de datos del proyecto en una SIMATIC Memory Card y enchufe de una SIMATIC .... 315
Memory Card o un medio de almacenamiento extraíble
10.3.4 Restauración de la copia de seguridad del programa de seguridad de una CPU F ................ 317
10.3.5 Particularidades de la creación y carga de imágenes de un S7-1500 F Software Contro .... 318
ller
10.3.6 Carga de datos del proyecto (incl. datos del proyecto relativos a la seguridad) de una .... 319
CPU F a una programadora/un PC (S7-1500)
10.3.7 Carga de datos del proyecto (incl. datos del proyecto relativos a la seguridad) de una .... 320
tarjeta de memoria a una programadora/un PC (S7-1500)
10.3.8 Carga de una estación PC mediante el archivo de configuración......................................... 321
10.3.8.1 Creación de un archivo de configuración........................................................................... 322
10.3.8.2 Carga de un archivo de configuración................................................................................ 322
10.4 Identificación del programa.............................................................................................. 328
10.5 Comparación de programas de seguridad.......................................................................... 329
10.6 Creación del impreso de seguridad.................................................................................... 332
10.7 Prueba del programa de seguridad.................................................................................... 334
10.7.1 Descripción general de la prueba del programa de seguridad............................................. 334
10.7.2 Modo seguro desactivado................................................................................................. 335
10.7.2.1 Configuración de la limitación temporal del modo seguro desactivado (S7-1200, .... 335
S7-1500)
10.7.2.2 Desactivación del modo seguro......................................................................................... 336
10.7.3 Prueba del programa de seguridad.................................................................................... 339
10.7.4 Prueba del programa de seguridad con S7-PLCSIM............................................................. 343
10.7.5 Modificación del programa de seguridad en RUN (S7-300, S7-400).................................... 347
10.7.6 Modificación del programa de seguridad en RUN (S7-1200, S7-1500)................................ 349
10.8 Historial de modificaciones F............................................................................................. 355
11 Recepción/aceptación de la instalación.............................................................................................. 357

11.1 Descripción general de la recepción/aceptación de la instalación........................................ 357
11.2 Corrección del programa de seguridad y de la configuración hardware (incluida la .... 358
prueba)
11.3 Integridad del impreso de seguridad................................................................................. 359

Índice
11.4 Coincidencia de los elementos de la librería del sistema utilizados en el programa de .... 360
seguridad con el Annex 1 del informe del certificado TÜV
11.5 Concordancia de los bloques F con protección de know-how utilizados en el programa .... 361
de seguridad con el impreso de seguridad
11.6 Integridad y corrección de la configuración hardware........................................................ 363
11.7 Corrección e integridad de la configuración de la comunicación......................................... 369
11.8 Identidad del programa online y offline............................................................................. 372
11.9 Otras propiedades............................................................................................................. 373
11.10 Recepción/aceptación de las modificaciones...................................................................... 375
12 Operación y mantenimiento............................................................................................................... 380

12.1 Indicaciones para el arranque del sistema F....................................................................... 380
12.2 Indicaciones para el modo seguro del programa de seguridad............................................ 380
12.3 Sustitución de componentes de software y hardware........................................................ 384
12.4 Guía para el diagnóstico (S7-300, S7-400)......................................................................... 387
12.5 Guía para el diagnóstico (S7-1500)................................................................................... 388
12.6 Guía para el diagnóstico (S7-1200)................................................................................... 388
13 Instrucciones de STEP 7 Safety V18.................................................................................................... 389

13.1 General............................................................................................................................ 390
13.1.1 KOP.................................................................................................................................. 390
13.1.1.1 Nuevo segmento (STEP 7 Safety V18)................................................................................ 390
13.1.1.2 Cuadro vacío (STEP 7 Safety V18)...................................................................................... 390
13.1.1.3 Abrir rama (STEP 7 Safety V18).......................................................................................... 391
13.1.1.4 Cerrar rama (STEP 7 Safety V18)........................................................................................ 392
13.1.2 FUP.................................................................................................................................. 393
13.1.2.1 Nuevo segmento (STEP 7 Safety V18)................................................................................ 393
13.1.2.2 Cuadro vacío (STEP 7 Safety V18)...................................................................................... 393
13.1.2.3 Abrir rama (STEP 7 Safety V18).......................................................................................... 394
13.1.2.4 Insertar entrada binaria (STEP 7 Safety V18)...................................................................... 395
13.1.2.5 Invertir RLO (STEP 7 Safety V18)........................................................................................ 395
13.2 Operaciones lógicas con bits............................................................................................. 396
13.2.1 KOP.................................................................................................................................. 396
13.2.1.1 ---| |---: Contacto normalmente abierto (STEP 7 Safety V18)............................................... 396
13.2.1.2 ---| / |---: Contacto normalmente cerrado (STEP 7 Safety V18)............................................. 397
13.2.1.3 --|NOT|--: Invertir RLO (STEP 7 Safety V18)......................................................................... 398
13.2.1.4 ---( )---: Asignación (STEP 7 Safety V18)............................................................................. 398
13.2.1.5 ---( R )---: Desactivar salida (STEP 7 Safety V18).................................................................. 399
13.2.1.6 ---( S )---: Activar salida (STEP 7 Safety V18)....................................................................... 400
13.2.1.7 SR: Flipflop de activación/desactivación (STEP 7 Safety V18).............................................. 401
13.2.1.8 RS: Flipflop de desactivación/activación (STEP 7 Safety V18).............................................. 403
13.2.1.9 --|P|--: Consultar flanco de señal ascendente de un operando (STEP 7 Safety V18).............. 404
13.2.1.10 --|N|--: Consultar flanco de señal descendente de un operando (STEP 7 Safety V18)........... 405
13.2.1.11 P_TRIG: Consultar flanco de señal ascendente del RLO (STEP 7 Safety V18)........................ 407
13.2.1.12 N_TRIG: Consultar flanco de señal descendente del RLO (STEP 7 Safety V18)...................... 408
13.2.2 FUP.................................................................................................................................. 409

Índice
13.2.2.1 Operación lógica Y (STEP 7 Safety V18)............................................................................. 409

13.2.2.2 Operación lógica O (STEP 7 Safety V18)............................................................................. 410
13.2.2.3 X: Operación lógica O EXCLUSIVA (STEP 7 Safety V18)....................................................... 411
13.2.2.4 =: Asignación (STEP 7 Safety V18)..................................................................................... 413
13.2.2.5 R: Desactivar salida (STEP 7 Safety V18)............................................................................. 413
13.2.2.6 S: Activar salida (STEP 7 Safety V18).................................................................................. 415
13.2.2.7 SR: Flipflop de activación/desactivación (STEP 7 Safety V18).............................................. 416
13.2.2.8 RS: Flipflop de desactivación/activación (STEP 7 Safety V18).............................................. 417
13.2.2.9 P: Consultar flanco de señal ascendente de un operando (STEP 7 Safety V18).................... 418
13.2.2.10 N: Consultar flanco de señal descendente de un operando (STEP 7 Safety V18).................. 420
13.2.2.11 P_TRIG: Consultar flanco de señal ascendente del RLO (STEP 7 Safety V18)........................ 421
13.2.2.12 N_TRIG: Consultar flanco de señal descendente del RLO (STEP 7 Safety V18)...................... 422
13.3 Funciones de seguridad.................................................................................................... 423
13.3.1 ESTOP1: Parada de emergencia/desconexión de emergencia hasta la categoría de para .... 423
da 1 (STEP 7 Safety V18)
13.3.2 TWO_HAND: Vigilancia de mando a dos manos (STEP 7 Safety Advanced V18) (S7-300, .... 429
S7-400)
13.3.3 TWO_H_EN: Vigilancia de mando a dos manos con habilitación (STEP 7 Safety V18)........... 432
13.3.4 MUTING: Muting (STEP 7 Safety Advanced V18) (S7-300, S7-400)..................................... 436
13.3.5 MUT_P: Muting paralelo (STEP 7 Safety V18)..................................................................... 446
13.3.6 EV1oo2DI: Evaluación 1oo2 con análisis de discrepancia (STEP 7 Safety V18)..................... 458
13.3.7 FDBACK: Vigilancia del circuito de realimentación (STEP 7 Safety V18)............................... 466
13.3.8 SFDOOR: Vigilancia de puerta de protección (STEP 7 Safety V18)....................................... 472
13.3.9 ACK_GL: Acuse general de toda la periferia F de un grupo de ejecución F (STEP 7 Sa .... 477
fety V18)
13.4 Temporizadores................................................................................................................ 479
13.4.1 TP: Impulso (STEP 7 Safety V18)........................................................................................ 479
13.4.2 TON: Retardo al conectar (STEP 7 Safety V18).................................................................... 484
13.4.3 TOF: Retardo al desconectar (STEP 7 Safety V18)............................................................... 489
13.5 Contadores....................................................................................................................... 494
13.5.1 CTU: Contador ascendente (STEP 7 Safety V18)................................................................. 494
13.5.2 CTD: Contador descendente (STEP 7 Safety V18)............................................................... 496
13.5.3 CTUD: Contador ascendente - descendente (STEP 7 Safety V18)......................................... 498
13.6 Comparadores.................................................................................................................. 500
13.6.1 CMP ==: Igual (STEP 7 Safety V18)..................................................................................... 500
13.6.2 CMP <>: Diferente (STEP 7 Safety V18).............................................................................. 501
13.6.3 CMP >=: Mayor o igual (STEP 7 Safety V18)....................................................................... 502
13.6.4 CMP <=: Menor o igual (STEP 7 Safety V18)....................................................................... 503
13.6.5 CMP >: Mayor que (STEP 7 Safety V18).............................................................................. 504
13.6.6 CMP <: Menor que (STEP 7 Safety V18).............................................................................. 505
13.7 Funciones matemáticas.................................................................................................... 507
13.7.1 ADD: Sumar (STEP 7 Safety V18)....................................................................................... 507
13.7.2 SUB: Restar (STEP 7 Safety V18)........................................................................................ 510
13.7.3 MUL: Multiplicar (STEP 7 Safety V18)................................................................................. 512
13.7.4 DIV: Dividir (STEP 7 Safety V18)......................................................................................... 515
13.7.5 NEG: Generar complemento a dos (STEP 7 Safety V18)...................................................... 518
13.7.6 ABS: Calcular valor absoluto (STEP 7 Safety V18) (S7-1200, S7-1500)................................ 521
13.8 Mover............................................................................................................................... 523
13.8.1 MOVE: Copiar valor (STEP 7 Safety V18)............................................................................ 523
13.8.2 RD_ARRAY_I: Leer valor de array F INT (STEP 7 Safety V18) (S7-1500)................................ 524

Índice
13.8.3 RD_ARRAY_DI: Leer valor de array F DINT (STEP 7 Safety V18) (S7-1500)............................ 526
13.8.4 WR_FDB: Escribir valor indirectamente en un DB F (STEP 7 Safety Advanced V18) .... 529
(S7-300, S7-400)
13.8.5 RD_FDB: Leer valor indirectamente en un DB F (STEP 7 Safety Advanced V18) (S7-300, .... 531
S7-400)
13.9 Conversión....................................................................................................................... 532
13.9.1 CONVERT: Convertir valor (STEP 7 Safety V18)................................................................... 532
13.9.2 BO_W: Convertir 16 datos del tipo BOOL a un dato del tipo WORD (STEP 7 Safety V18)....... 534
13.9.3 W_BO: Convertir dato del tipo WORD a 16 datos del tipo BOOL (STEP 7 Safety V18)............ 536
13.9.4 SCALE: Escalar valor (STEP 7 Safety V18)........................................................................... 539
13.9.5 SCALE_D: Escalar valor al tipo de datos DINT (STEP 7 Safety V18) (S7-1200, S7-1500)........ 541
13.10 Control del programa........................................................................................................ 543
13.10.1 JMP: Saltar si RLO = 1 (STEP 7 Safety V18)......................................................................... 543
13.10.2 JMPN: Saltar si RLO = 0 (STEP 7 Safety V18)....................................................................... 545
13.10.3 LABEL: Etiqueta (STEP 7 Safety V18).................................................................................. 547
13.10.4 RET: Salir (STEP 7 Safety V18)............................................................................................ 548
13.10.5 OPN: Abrir bloque de datos global (STEP 7 Safety Advanced V18) (S7-300, S7-400)........... 549
13.11 Operaciones lógicas con palabras...................................................................................... 551
13.11.1 AND: Operación lógica Y (STEP 7 Safety V18)..................................................................... 551
13.11.2 OR: Operación lógica O (STEP 7 Safety V18)...................................................................... 552
13.11.3 XOR: Operación lógica O EXCLUSIVA (STEP 7 Safety V18)................................................... 553
13.12 Desplazamiento y rotación................................................................................................ 555
13.12.1 SHR: Desplazar a la derecha (STEP 7 Safety V18)................................................................ 555
13.12.2 SHL: Desplazar a la izquierda (STEP 7 Safety V18).............................................................. 557
13.13 Manejo............................................................................................................................. 559
13.13.1 ACK_OP: Acuse seguro (STEP 7 Safety V18)....................................................................... 559
13.14 Otras instrucciones........................................................................................................... 567
13.14.1 KOP.................................................................................................................................. 567
13.14.1.1 ---| |--- OV: Consultar bit de estado OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)...... 567
13.14.1.2 ---| / |--- OV: Consultar bit de estado OV negado (STEP 7 Safety Advanced V18) (S7-300,.... 568
S7-400)
13.14.2 FUP.................................................................................................................................. 569
13.14.2.1 OV: Consultar bit de estado OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)................ 569
13.15 Comunicación................................................................................................................... 570
13.15.1 PROFIBUS/PROFINET.......................................................................................................... 570
13.15.1.1 SENDDP y RCVDP: Transmitir y recibir datos vía PROFIBUS DP/PROFINET IO (STEP 7 Sa .... 570
fety V18)
13.15.2 Comunicación S7.............................................................................................................. 579
13.15.2.1 SENDS7 y RCVS7: Comunicación a través de conexiones S7 (STEP 7 Safety Advanced .... 579
V18) (S7-300, S7-400)
A Tiempos de vigilancia y tiempos de reacción..................................................................................... 586

A.1 Configuración de los tiempos de vigilancia........................................................................ 586
A.1.1 Tiempo mínimo de vigilancia del tiempo de ciclo del grupo de ejecución F......................... 588
A.1.2 Tiempo mínimo de vigilancia de la comunicación orientada a la seguridad entre CPU F .... 589
y periferia F
A.1.3 Tiempo mínimo de vigilancia de la comunicación CPU-CPU orientada a la seguridad........... 590

Índice
A.1.4 Tiempo de vigilancia de la comunicación orientada a la seguridad entre grupos de eje .... 591
cución F
A.2 Tiempos de reacción de funciones de seguridad................................................................ 591
B Lista de control................................................................................................................................... 595
Índice alfabético................................................................................................................................. 601

Descripción general del producto 1
1.1 Descripción general
Sistema de seguridad SIMATIC Safety

Para implementar conceptos de seguridad en el ámbito de la protección de máquinas y
personas (p. ej., para dispositivos de parada de emergencia en la operación de máquinas de
mecanizado y procesamiento) y en la industria de procesos (p. ej., para ejecutar funciones de
protección para dispositivos de protección para medición, control y regulación y para
quemadores), puede usarse el sistema de seguridad SIMATIC Safety.
ADVERTENCIA
El sistema F SIMATIC Safety sirve para controlar procesos que alcanzan inmediatamente un
estado seguro mediante desconexión. Esto se aplica especialmente a sistemas redundantes
S7-1500HF.
Solo está permitido utilizar SIMATIC Safety para controlar procesos en los que una
desconexión inmediata no entraña ningún peligro para las personas ni el medio ambiente.
Para implementar aplicaciones de seguridad, incluida la creación de datos del proyecto
relativos a la seguridad, deben tenerse en cuenta las normas y directivas relevantes para la
aplicación, especialmente las normas en las que se describe el proceso de creación de
software (p. ej., IEC 61508-3 o bien ISO 13849-1).(S062)
Requisitos de seguridad alcanzables

Los sistemas F SIMATIC Safety pueden satisfacer los siguientes requisitos de seguridad:
• Clase de seguridad (Safety Integrity Level) SIL3 según IEC 61508:2010
• Performance Level (PL) e y categoría 4 según ISO 13849-1:2015 o EN ISO 13849-1:2015
Seguridad funcional en SIMATIC Safety

La seguridad funcional se implementa principalmente en el software. En caso de un evento
peligroso, el sistema F SIMATIC Safety pasa la instalación a un estado seguro y la mantiene en
dicho estado. Los mecanismos de seguridad están incluidos principalmente en los siguientes
componentes:
• en el programa de usuario orientado a la seguridad (programa de seguridad) de la CPU de
seguridad (CPU F)
• en las entradas y salidas de seguridad (periferia F).
La periferia F garantiza el procesamiento seguro de la información de campo (sensores: p. ej.,
pulsador de parada de emergencia, barreras fotoeléctricas; actuadores, p. ej., control del
motor). Dispone de todos los componentes de hardware y software necesarios para el

Descripción general del producto
1.2 Componentes de hardware y software
procesamiento seguro, de acuerdo con la clase de seguridad requerida. El usuario solo

programa la función de seguridad del usuario. La seguridad funcional para el proceso puede
ser realizada por una función de seguridad del usuario o por una función de reacción a
errores. El sistema F comprueba de manera cíclica la integridad del programa de seguridad y
de los datos relativos a la seguridad. Por lo general, esta comprobación se hace cada vez que
los datos orientados a la seguridad salen de un grupo de ejecución F mediante comunicación
orientada a la seguridad o acceso a la periferia F. Si durante la comprobación se detecta un
error, el sistema F ejecuta la función de reacción a errores, que desactiva las salidas
correspondientes y, si es necesario, pone la CPU F en STOP.
NOTA
Si la CPU F pasa a STOP debido a la función de reacción a errores, en un sistema redundante
S7-1500HF, esto da lugar a un STOP de la CPU primaria y la CPU de reserva.
Ejemplo de función de seguridad del usuario y función de reacción a errores

En caso de sobrepresión, el sistema F debe abrir una válvula (función de seguridad del
usuario). En caso de un fallo peligroso de la CPU F, se desactivan todas las salidas (función de
reacción a errores), de modo que la válvula se abre y los demás actuadores pasan también al
estado seguro. En un sistema F intacto, solo se abriría la válvula.
Componentes de hardware y software de SIMATIC Safety

El siguiente esquema de principio muestra los componentes de hardware y software
necesarios para la configuración, instalación y operación de un sistema F SIMATIC Safety.
6LVWHPDGHDXWRPDWL]DFLµQ
&38)FRQSURJUDPDGHVHJXULGDG
3URJUDPDGRUD (QWUDGDVVDOLGDVGH
VHJXULGDG
67(36DIHW\ 'DGRHOFDVRVLVWHPDGHSHULIHULDGHVFHQWUDOL]DGD
+HUUDPLHQWDGHFRQILJXUDFLµQ
+HUUDPLHQWDGHSURJUDPDFLµQ (QWUDGDVVDOLGDVGH
VHJXULGDG
'DGRHOFDVRRWURVVLVWHPDVGHSHULIHULD
352),1(7,2 GHVFHQWUDOL]DGD,2GHYLFHVQRUPDOL]DGRV
GHVHJXULGDG
'DGRHOFDVRRWURVVLVWHPDVGHSHULIHULD
352),%86'3 GHVFHQWUDOL]DGD'3VODYHVQRUPDOL]DGRV
GHVHJXULGDG

Componentes de hardware para PROFIBUS DP

En los sistemas F SIMATIC Safety pueden utilizarse los siguientes componentes de seguridad
en PROFIBUS DP:
• CPU F con interfaz DP, p. ej., CPU 1516F‑3 PN/DP
• SIMATIC Drive Controller, p. ej., CPU 1504D TF
• Entradas/salidas de seguridad (periferia F), p. ej.:
– Módulos de señales de seguridad S7-300 en ET 200M
– Módulos de seguridad S7-1500/ET 200MP
– Módulos de seguridad ET 200SP
– Módulos de seguridad ET 200S
– Módulos de seguridad ET 200pro
– Módulos de seguridad ET 200iSP
– Módulos de periferia de seguridad ET 200eco (S7-300, S7-400)
– DP slaves normalizados de seguridad (rejilla fotoeléctrica, escáner láser, etc.)
Tiene la posibilidad de ampliar la configuración con periferia estándar.
En un sistema F SIMATIC Safety pueden conectarse a PROFIBUS DP los siguientes CP/CM para
integrar periferia F descentralizada:
• CP 443‑5 Extended
• CM 1243-5
• CM 1542-5
• CP 1542-5
• SP CM DP
Componentes de hardware para PROFINET IO

En los sistemas F SIMATIC Safety pueden conectarse a PROFINET IO los siguientes
componentes de seguridad:
• CPU F con interfaz PN, p. ej., CPU 1214FC DC/DC/DC
• SIMATIC Drive Controller, p. ej., CPU 1504D TF
• Entradas/salidas de seguridad (periferia F), p. ej.:
– Módulos de señales de seguridad S7-300 en ET 200M
– Módulos de seguridad S7-1500/ET 200MP
– Módulos de seguridad ET 200SP
– Módulos de seguridad ET 200S
– Módulos de seguridad ET 200pro
– Módulos de periferia de seguridad ET 200eco PN
– Módulos de periferia de seguridad ET 200AL
– IO devices normalizados de seguridad (rejilla fotoeléctrica, escáner láser, etc.)
En un sistema F SIMATIC Safety pueden conectarse a PROFINET IO los siguientes CP/CM para
integrar periferia F descentralizada:
• CP 443‑1
• CP 443‑1 Advanced‑IT
• CM 1542-1

Componentes de hardware para la configuración centralizada

En los sistemas F SIMATIC Safety pueden conectarse a una CPU F (no CPU HF) de manera
centralizada los siguientes componentes de seguridad:
• Módulos de seguridad ET 200pro (también pueden utilizarse con CPU 1516proF-2)
STEP 7 Safety
En la presente documentación se describen STEP 7 Safety Advanced V18 y STEP 7 Safety
Basic V18. STEP 7 Safety es el software de configuración y programación para el sistema F
SIMATIC Safety. Con STEP 7 Safety se incluye lo siguiente:
• Soporte para configurar la periferia F en el editor de hardware y redes de TIA Portal
• Soporte para crear el programa de seguridad en KOP y FUP y para integrar funciones de
detección de errores en el programa de seguridad
• Instrucciones para programar el programa de seguridad en KOP y FUP, ya conocidas del
programa de usuario estándar
• Instrucciones para programar el programa de seguridad en KOP y FUP con funciones de
seguridad especiales.
Además, STEP 7 Safety ofrece funciones para comparar programas de seguridad y para
asistencia en la recepción/aceptación de la instalación.
ADVERTENCIA
La configuración de la CPU F y la periferia F, así como la programación de bloques F debe

efectuarse en el TIA Portal tal y como se describe en la presente documentación. Para
garantizar un funcionamiento seguro con el sistema SIMATIC Safety, deben tenerse en
cuenta todos los aspectos descritos en el capítulo Recepción/aceptación de la instalación
(Página 357). No se admiten otros procedimientos. (S056)
Paquetes opcionales
Además de STEP 7 Safety, dentro del sistema F SIMATIC Safety pueden utilizarse paquetes
opcionales con periferia F y CPU F e instrucciones para programar el programa de seguridad
con funciones de seguridad especiales. Por ejemplo, SINUMERIK o Failsafe HMI Mobile Panels.
En la documentación de los distintos paquetes opcionales encontrará la información
necesaria para la instalación, parametrización y programación y todo lo relacionado con la
recepción/aceptación.
Preste atención también a las indicaciones que figuran en "Configuraciones soportadas por el
sistema F SIMATIC Safety (Página 62)".

TIA Portal Cloud Connector
ADVERTENCIA
El uso del TIA Portal Cloud Connector solo está previsto para trabajos de ingeniería con el TIA
Portal. Por lo tanto, no están permitidos los accesos online en modo productivo (p. ej.,
SCADA). Esto se aplica especialmente a los programas de seguridad. (S068)
Openness
En el contexto de STEP 7 Safety se puede emplearOpenness
(https://support.industry.siemens.com/cs/ww/es/view/109798533) con las funciones que se
indican a continuación. No está permitido el uso de Openness en modo productivo.
En el contexto de STEP 7 Safety son posibles las siguientes acciones:
• Enchufar/borrar CPU F y periferia F
• Copiar/borrar CPU F y periferia F de plantillas maestras
• Compilar hardware
• Compilar software (incluido el programa de seguridad)
• Manejar la protección de acceso para los datos del proyecto relativos a la seguridad (en el
caso de proyectos TIA no amparados por la protección del proyecto)
• Leer y configurar parámetros de seguridad de la CPU F
• Leer y configurar parámetros de seguridad de las periferias F
• Leer y configurar parámetros individuales de módulos de seguridad ET 200SP
• Leer, declarar o borrar variables de seguridad en la tabla de variables PLC
• Actualizar el proyecto con las versiones de tipo más recientes de los bloques F
• Carga coherente de la estación
• Exportar e importar bloques F y tipos de datos PLC conformes con F (UDT)
• Comparar hardware y software
• Soporte de Version Control Interface (VCI)
• Lectura de la huella digital online del PLC para el programa de seguridad
Funciones no soportadas:
• Cargar en dispositivo
ADVERTENCIA
Al utilizar Openness u otras herramientas para manejar el TIA Portal en relación con los datos
del proyecto relativos a la seguridad, debe garantizarse su integridad (p. ej., en el contexto
del almacenamiento o transferencia con aplicaciones para "Source Code
Management"). En caso de conectar herramientas externas, deben tenerse en cuenta los
requisitos para las herramientas de soporte offline (herramientas de software offline) según
IEC 61508-3. STEP 7 Safety no puede detectar una violación de la integridad de los datos del
proyecto relativos a la seguridad, ya sea offline u online. Es preciso realizar una
comprobación final de la corrección de los datos del proyecto relativos a la seguridad con
ajuste al capítulo Recepción/aceptación de la instalación (Página 357). (S070)

Los programas Openness también pueden integrarse en TIA Portal como complementos
(Add-Ins). También es posible integrar los denominados Workflow Add-Ins, que se llaman
automáticamente antes de compilar un programa de seguridad. Ver al respecto el apartado
"Ampliación de flujos de trabajo" de la Ayuda del programa estándar.
Si se ha integrado un Workflow Add-In de este tipo, se indicará en el impreso de seguridad
con fines de documentación.
Servicios de Openness
La interfaz Openness (Siemens.Engineering.dll) se ha ampliado con los siguientes servicios:
• GlobalSettings (ver el espacio de nombres Siemens.Engineering.Safety), donde se
puede acceder a las siguientes acciones:
– SafetyModificationsPossible(bool safetyModificationsPossible)
– UsernameForFChangeHistory(string userName)
– bool SafetyModificationsPossible()
– string UsernameForFChangeHistory()
• SafetySignatureProvider, donde se puede acceder a las siguientes acciones y
propiedades:
– SafetySignatureComposition Signatures
– UInt64 SafetySignature.Value
– SafetySignatureType SafetySignature.Type
• SafetyAdministration con las siguientes acciones y propiedades en el espacio de
nombres Siemens.Engineering.Safety.
– bool IsSafetyOfflineProgramPasswordSet
– void SetSafetyOfflineProgramPassword(SecureString newPassword)
– void RevokeSafetyOfflineProgramPassword(SecureString
currentPassword)
– bool IsLoggedOnToSafetyOfflineProgram
– void LoginToSafetyOfflineProgram(SecureString currentPassword)
– void LogoffFromSafetyOfflineProgram()
• SafetyAdministration, adonde se puede acceder desde el Plc-DeviceItem.
El servicio SafetyAdministration ofrece las siguientes propiedades en el espacio de
nombres Siemens.Engineering.Safety. Estas dos propiedades contienen a su vez otras
propiedades que se indican en la descripción.
– RuntimegroupComposition RuntimeGroups { get; }
– SafetySettings Settings { get; }
• SafetyPrintout con la siguiente acción en el espacio de nombres
Siemens.Engineering.Safety:
– bool Print(SafetyPrintoutFilePrinter filePrinter, FileInfo
fullOutputPath, SafetyPrintoutOption documentationOption,
string documentLayout);
Encontrará más información en el manual de sistema "SIMATIC TIA Portal Openness: Creación
automatizada de proyectos
(https://support.industry.siemens.com/cs/ww/es/view/109798533)", en el capítulo "Openness
F".

Entornos virtuales
ADVERTENCIA
Uso de entornos virtuales en el sistema de ingeniería
Tener en cuenta que un hipervisor o un software cliente de un hipervisor no puede ejecutar
ninguna función para reproducir secuencias de telegrama registradas con un
comportamiento correcto en el tiempo en una red con una CPU F reales y periferias F.
Asegurarse de que esto se cumple, por ejemplo, cuando se utilicen las siguientes funciones:
• Restablecer estados registrados (instantáneas) de las máquinas virtuales (VM)
• Suspender y reanudar las VM (Suspend & Resume)
• Reproducir las secuencias registradas (Replay) en las VM
• Mover las VM entre hosts en modo productivo (p. ej., Fault Tolerance (FT))
• Gemelos digitales de VM en el entorno virtual
En caso de duda, desactivar estas funciones en los ajustes (consola de administración del
hipervisor). (S067)
Instalaciones del sistema operativo en S7-150xS(P) F o WinAC RTX F
ADVERTENCIA
Si se utiliza un PC con varias instalaciones del sistema operativo Windows o Linux (p. ej.,
mediante el administrador de arranque), en dicho PC solo puede estar instalado un
S7-150xS(P) F o un WinAC RTX F. (S095)
Programa de seguridad
Para crear un programa de seguridad se utiliza el editor de programas. También se
programan FB y FC de seguridad en el lenguaje de programación FUP o KOP con las
instrucciones de STEP 7 Safety y se crean DB de seguridad.
Al compilar el programa de seguridad se realizan comprobaciones automáticas de seguridad y
se integran bloques adicionales de seguridad para la detección y reacción a errores. De este
modo se garantiza que se detecten los errores y se ejecuten las reacciones correspondientes
para mantener el sistema F en estado seguro o pasarlo a un estado seguro.
Además del programa de seguridad, en la CPU F puede ejecutarse un programa de usuario
estándar. La coexistencia del programa estándar y el programa de seguridad en una CPU F es
posible porque los datos orientados a la seguridad del programa de seguridad están
protegidos de posibles interferencias no deseadas del programa de usuario estándar.
El intercambio de datos entre el programa de seguridad y el programa de usuario estándar en
la CPU F puede realizarse mediante marcas, datos de un DB estándar y accesos a la memoria
imagen de proceso de las entradas y las salidas.
En caso de emplear Software Units o una Safety Unit (Página 109), tenga en cuenta las
limitaciones o particularidades que puedan existir.

1.4 Instalación/desinstalación de la licencia para STEP 7 Safety Advanced V18
Consulte
también
Transferencia de datos del programa de seguridad al programa de usuario estándar (Página
185)
1.3 Instalación/desinstalación de la licencia para STEP 7 Safety Basic

V18
Tras instalar la licencia para STEP 7 Safety Basic V18 está disponible la funcionalidad de STEP
7 Safety Basic V18.
Requisitos de software para STEP 7 Safety Basic V18

En la programadora/el PC debe estar instalado por lo menos el siguiente paquete de software:
• SIMATIC STEP 7 Basic V18
Instalación de la licencia para STEP 7 Safety Basic V18

1. Inicie el Automation License Manager en la programadora/el PC donde esté instalado el
paquete de software "SIMATIC STEP 7 Basic V18" o"SIMATIC STEP 7 Advanced V18".
2. Instale la licencia para STEP 7 Safety Basic V18 del modo descrito en la Ayuda del
Automation License Manager.
Desinstalación de la licencia para STEP 7 Safety Basic V18

Para desinstalar la licencia para STEP 7 Safety Basic V18, siga las instrucciones de la Ayuda del
1.4 Instalación/desinstalación de la licencia para STEP 7 Safety

Advanced V18
Tras instalar la licencia para STEP 7 Safety Advanced V18 está disponible la funcionalidad de
STEP 7 Safety Advanced V18.
Requisitos de software para STEP 7 Safety Advanced V18

• SIMATIC STEP 7 Professional V18
Instalación de la licencia para STEP 7 Safety Advanced V18

paquete de software "SIMATIC STEP 7 Professional V18".
2. Instale la licencia para STEP 7 Safety Advanced V18 del modo descrito en la Ayuda del

1.6 Migración de proyectos de S7 Distributed Safety V5.4 SP5 a STEP 7 Safety Advanced
Desinstalación de la licencia para STEP 7 Safety Advanced V18

Para desinstalar la licencia para STEP 7 Safety Advanced V18, siga las instrucciones de la
Ayuda del Automation License Manager.
1.5 Instalación/desinstalación de STEP 7 Safety Powerpack

Tras instalar STEP 7 Safety Powerpack queda disponible la funcionalidad de STEP 7 Safety
Advanced V18.
Requisitos de software para STEP 7 Safety Powerpack

• SIMATIC STEP 7 Professional V18
Instalación de STEP 7 Safety Powerpack

paquete de software "SIMATIC STEP 7 Professional V18".
2. Instale la licencia incluida en el STEP 7 Safety Powerpack del modo descrito en la Ayuda
del Automation License Manager.
Desinstalación de STEP 7 Safety Powerpack

Para desinstalar la licencia incluida en el STEP 7 Safety Powerpack, siga las instrucciones de la
Ayuda del Automation License Manager.
1.6 Migración de proyectos de S7 Distributed Safety V5.4 SP5 a STEP

7 Safety Advanced
Introducción
En STEP 7 Safety Advanced se pueden seguir utilizando proyectos con programas de
seguridad creados con S7 Distributed Safety V5.4 SP5.
Requisitos
El equipo en el que se realiza la migración debe contener una instalación de STEP 7 Safety
Advanced, S7 Distributed Safety V5.4 SP5 y el F-Configuration-Pack con el que se creó el
proyecto. Se soporta F-Configuration-Pack V5.4 SP5 a V5.5 SP13.
Para ello deben haberse compilado los proyectos en S7 Distributed Safety V5.4 SP5 y con
el F-Configuration-Pack.

Antes de la migración
Antes de la migración, borre de su proyecto de S7 Distributed Safety V5.4 SP5 todos los
bloques F que el programa de seguridad no utilice.
Procedimiento como en STEP 7 Professional

Para migrar proyectos de S7 Distributed Safety V5.4 SP5 a STEP 7 Safety Advanced, siga el
mismo método que para los proyectos estándar. Tras la migración, compruebe, por medio de
la firma colectiva F, si se ha migrado el proyecto sin modificaciones.
NOTA
Si en el programa de seguridad que se va a migrar se utilizan bloques F con protección de
know-how, retire la protección de know-how antes de la migración.
Tras la migración podrá volver a activar la protección de know-how para los bloques F.
El procedimiento de migración se describe en la Ayuda de STEP 7 Professional, en el apartado

"Migración". A continuación se mencionan solo las particularidades para STEP 7 Safety
Advanced.
NOTA
Recomendamos activar la opción "Incluir configuración hardware" de la ventana "Migrar
proyecto".
Versiones anteriores del hardware

Es posible que STEP 7 Safety Advanced no soporte las versiones anteriores del hardware F.
Si se utilizan y se han configurado, en proyectos S7 Distributed Safety, versiones de CPU F y
periferia F no autorizadas en STEP 7 Safety Advanced, debe actualizarse este hardware a la
última versión en S7 Distributed Safety V5.4 SP5 y el F-Configuration-Pack adecuado. Tras
ello se podrá migrar a STEP 7 Safety Advanced. Encontrará una información de producto con
una lista del hardware autorizado en Internet
(https://support.industry.siemens.com/cs/ww/en/view/109481784).
Particularidades en caso de comunicación CPU-CPU orientada a la seguridad a través de

conexiones S7
Las particularidades de los proyectos migrados con comunicación CPU-CPU orientada a la
seguridad a través de conexiones S7 se describen en Comunicación orientada a la seguridad
mediante conexiones S7 (Página 236). Tenga en cuenta también Comunicación con S7
Distributed Safety mediante conexiones S7 (Página 246).
Particularidades de las instrucciones ESTOP1 o FDBACK

Encontrará información sobre las particularidades en caso de emplear las instrucciones
ESTOP1 o FDBACK en el apartado "Versiones de las instrucciones" en ESTOP1: Parada de
emergencia/desconexión de emergencia hasta la categoría de parada 1 (STEP 7 Safety

V18) (Página 423) y FDBACK: Vigilancia del circuito de realimentación (STEP 7 Safety
V18) (Página 466).
Después de la migración
Después de la migración se obtiene un proyecto completo con un programa de seguridad que
conserva la estructura del programa de S7 Distributed Safety y la firma colectiva F. Los
bloques F de la librería F S7 Distributed Safety (V1) se han convertido en instrucciones
proporcionadas por STEP 7 Safety Advanced.
El proyecto migrado no necesita una nueva recepción/aceptación y puede cargarse en la CPU
F sin cambios, en el supuesto de que no se haya editado ni compilado tras la migración.
NOTA
Impreso de seguridad
No es posible crear un impreso de seguridad en STEP 7 Safety Advanced para un proyecto
migrado. El impreso de seguridad del proyecto que se creó con S7 Distributed Safety V5.4
SP5 y la documentación de recepción/aceptación mantienen su validez porque se ha
conservado la firma colectiva F.
Compilación de la configuración hardware migrada

Si, tras la migración y posterior compilación de la configuración hardware, aparece un
mensaje de error que indica que la dirección de origen F no coincide con el parámetro
"Central F-source address" (dirección de origen F central) de la CPU F, modifique el parámetro
"Central F-source address" (dirección de origen F central).
Se reasignarán las direcciones de origen F de todas las periferias F asignadas a la CPU F.
Si, después de la migración de un SM 326; DI 24 × DC 24V (6ES7 326-1BK01-0AB0 y 6ES7
326-1BK02-0AB0) y la posterior compilación de la configuración hardware aparece el
mensaje de error "F_IParam_ID_1: Value out of permitted range (valor fuera del rango
admisible)", borre el SM F y vuelva a enchufarlo.
En ambos casos debe compilarse a continuación el programa de seguridad.
Compilación del programa de seguridad migrado

Al compilar el proyecto migrado con STEP 7 Safety Advanced, se transfiere la anterior
estructura del programa (con F-CALL) a la nueva estructura del programa de STEP 7 Safety
Advanced (con bloque Main-Safety). Con ello se modifica la firma colectiva F y se necesita
una nueva validación y, en su caso, una nueva recepción/aceptación del programa de
seguridad.

(S7-300, S7-400) El bloque Main-Safety debe llamarse conforme a la F-CALL desde cualquier
bloque del programa de usuario estándar. Recomendamos realizar la llamada desde un OB
3x.
NOTA
Al compilar por primera vez el programa de seguridad migrado, la llamada del F-CALL se
sustituye automáticamente por una llamada del bloque Main-Safety si el bloque invocante
del F-CALL se ha creado en el lenguaje de programación KOP, FUP o AWL.
NOTA
Cambio de la Safety System Version
Antes de compilar por primera vez con STEP 7 Safety Advanced, debe cambiarse la Safety
System Version a una versión distinta a 1.0 en el Safety Administration Editor, área "Settings"
(Ajustes). Recomendamos utilizar la versión más reciente disponible.
NOTA
Uso de la versión más reciente de las instrucciones
Si se desea ampliar el programa de seguridad migrado, recomendamos cambiar la versión de
las instrucciones utilizadas a la versión más reciente disponible antes de compilar por primera
vez con STEP 7 Safety Advanced. Tenga en cuenta en cada caso las indicaciones relativas a la
instrucción que corresponda.
NOTA
Tenga en cuenta que la compilación del programa de seguridad migrado conlleva una
prolongación del tiempo de ejecución del grupo o grupos de ejecución F y un mayor
consumo de memoria por parte del programa de seguridad (ver también el archivo Excel para
calcular el tiempo de reacción
(https://support.industry.siemens.com/cs/ww/es/view/109783831)).
Consulte
también
Ejemplo de aplicación "Migración de un programa de seguridad a TIA Portal"
(https://support.industry.siemens.com/cs/ww/es/view/109475826)

1.7 Migración de programas de PLC a una CPU F S7-1500
1.7 Migración de programas de PLC a una CPU F S7-1500

Para migrar una CPU F S7-300/400 a una CPU F S7-1500, debe seguirse el mismo
procedimiento que para migrar una CPU estándar S7-300/400 a una CPU estándar S7-1500.
Aspectos que tener en cuenta después de la migración:
• Acciones no automatizables
– Creación de un grupo de ejecución F y asignación de un bloque Main-Safety.
– La configuración hardware, incluida la periferia de la CPU F de base, no se transfiere
automáticamente a una CPU F S7-1500. Tras la migración, la configuración hardware
de la nueva CPU debe efectuarse manualmente.
Consulte también los apartados "Definición del área de direcciones de destino F para
periferia F de dirección PROFIsafe tipo 1" y "Definición del área de direcciones de
destino F para periferia F de dirección PROFIsafe tipo 2" del capítulo "Configuración de
la CPU F (Página 46)". De lo contrario, las direcciones de destino F pueden reasignarse
en la configuración.
– Si utiliza periferia F con PROFIsafe Protocol Version = Expanded Protocol (XP) (p. ej.,
módulos F S7-1500/ET 200MP), tenga en cuenta que en las CPU F S7-1200/1500 se
necesita un byte adicional en el área de direcciones que en las CPU F S7-300/400.
– Sustitución de la instrucción OV por interconexión de la salida ENO en las funciones
matemáticas (Página 507).
– Sustitución de la instrucción RD_FDB por las instrucciones RD_ARRAY_I (Página 524) y
RD_ARRAY_DI (Página 526).
– Sustitución de la comunicación entre grupos de ejecución F por la comunicación
mediante Flexible F-Link (Página 139).
• Instrucciones no soportadas:
– MUTING
– TWO_HAND
– WR_FDB
– OPN
– SENDS7
– RCVS7
• Tipos de datos no soportados
– DWORD
• Programación modificada del programa de seguridad
– Sustitución del F_GLOBDB.VKE0/1 por FALSE/TRUE (Página 112).
– Sustitución de los valores que se leen en el F_GLOBDB por el DB de información del
grupo de ejecución F. Encontrará más información en DB global F (S7-300,
S7-400) (Página 146) y DB de información del grupo de ejecución F (S7-1200,
S7-1500) (Página 147).
– Sustitución de la variable QBAD_I_xx o QBAD_O_xx por la información de calidad.
Encontrará más información en Información de calidad (S7-1200, S7-1500) (Página
152) y DB de periferia F (Página 157).
• Nueva convención de nombres para los nombres de DB de periferia F
• Comportamiento modificado de las variables QBAD y PASS_OUT (Página 163) en periferia
F con perfil "RIOforFA-Safety".

1.8 Actualización de proyectos a STEP 7 Safety V18
Compile el programa de seguridad y corrija los errores de compilación que se le indiquen.
NOTA
Tras migrar la CPU F es necesaria una nueva recepción/aceptación.
Consulte
también
Programación (Página 104)
1.8.1 Actualización de proyectos de STEP 7 Safety V14 SP1 o superior a V18

Si desea seguir trabajando con un proyecto de STEP 7 Safety V14 SP1 o superior, deberá
actualizar el proyecto a STEP 7 Safety V18.
Para la actualización, siga el procedimiento habitual en STEP 7. Tras actualizar a V18, deberá
compilar el programa de seguridad.
Tras actualizar un proyecto <=V17 a V18 y compilarlo, la firma colectiva F no cambia, pero en
la comparación de versiones entre el programa online y offline se indica una diferencia. En
este caso, siga las instrucciones del capítulo "Identidad del programa online y offline (Página
372)".
Tenga en cuenta que los historiales de modificaciones ya existentes no se actualizan. Tras
actualizar, se borran todas las entradas anteriores. Si es necesario, imprima el informe de
cambios antes de proceder a la actualización.
1.8.2 Actualización de proyectos de STEP 7 Safety V13 SP1/SP2 a V18

Si desea seguir trabajando con un proyecto de STEP 7 Safety V13 SP1, deberá actualizar el
proyecto a STEP 7 Safety V18.
Para la actualización, siga el procedimiento habitual en STEP 7. Tras actualizar a V18, deberá
compilar el programa de seguridad.
(S7-300/400): Tras compilarse, el programa de seguridad será coherente y la firma colectiva F
del programa de seguridad actualizado coincidirá con la firma colectiva F del programa de
seguridad de V13 SP1. No es necesario realizar una recepción/aceptación de cambios.
(S7-1200/1500): Tras compilarse, el programa de seguridad será coherente y la firma
colectiva F del programa de seguridad actualizado se habrá modificado por motivos
inherentes al sistema. La nueva firma colectiva F del programa de seguridad con STEP 7
Safety V18 sustituye a la firma colectiva F anterior del programa de seguridad con STEP 7
Safety V13 SP1.
Encontrará un resumen de todos los cambios por motivos inherentes al sistema en "Common
Data/Logs/F-Convert Log (Datos comunes/Registros/F-Convert Log) + nombre de la CPU + sello
de tiempo". Entre otras cosas, en STEP 7 Safety V18, las versiones ya no soportadas de las
instrucciones se sustituyen automáticamente, por motivos inherentes al sistema, por
versiones nuevas de idéntica funcionalidad. En la descripción general encontrará una
comparación entre las firmas anteriores con STEP 7 Safety V13 SP1 y las nuevas firmas con
STEP 7 Safety V18, así como las versiones de instrucciones que se convierten
automáticamente. Imprima este resumen y guárdelo con el impreso de recepción/aceptación
o la documentación de la máquina. No es necesario realizar una recepción/aceptación de las
modificaciones, ya que la "Collective F-Signature with STEP 7 Safety V13 SP1" (Firma colectiva

F con STEP 7 Safety V13 SP1) incluida en el resumen coincide con la firma colectiva F del
anterior impreso de recepción/aceptación.
Tenga en cuenta que los historiales de modificaciones ya existentes no se actualizan. Tras
actualizar, se borran todas las entradas anteriores. Si es necesario, imprima el informe de
cambios antes de proceder a la actualización.
Particularidades del acuse de usuario y la reintegración de la periferia F después de fallos de

periferia F o de canal y PASS_ON = 1 (S7-1200, S7-1500)
Lo siguiente se aplica a las siguientes periferias F:
• Módulos de seguridad ET 200pro
• Módulos de seguridad ET 200iSP
Al configurar "Behavior after channel fault (Comportamiento tras fallo de canal)" = "Passivate
channel (Pasivación del canal)" y la variable ACK_NEC (DB de periferia F) = 1, tenga en cuenta
el comportamiento modificado para el acuse de usuario y la reintegración. Ahora este
comportamiento es igual que con el ajuste "Behavior after channel fault (Comportamiento
tras fallo de canal)" = "Passivate the entire module (Pasivar todo el módulo)":
Con STEP 7 Safety V14 y superiores, el acuse de usuario para un fallo de periferia F o de canal
subsanado es posible aunque la variable PASS_ON (DB de periferia F) sea = 1. La
reintegración (suministro de los valores de proceso) se producirá en cuanto la variable
PASS_ON sea = 0.
Hasta STEP 7 Safety V13 SP1, el acuse de usuario para un fallo de periferia F o de canal no era
posible mientras la variable PASS_ON (DB de periferia F) fuera = 1. Solo era posible el acuse
de usuario una vez que la variable PASS_ON fuera = 0. La reintegración (suministro de los
valores de proceso) se producía inmediatamente después del acuse de usuario.
Particularidades en caso de utilizar perfiles de instrucciones

Si desea utilizar un perfil de instrucción en su proyecto de STEP 7 Safety V13 SP1, borre el
perfil de instrucción antes de la actualización a STEP 7 Safety V18. Tome nota de los ajustes
antes de proceder al borrado. Tras la actualización, si lo desea, podrá crear un nuevo perfil de
instrucción y aplicarle los ajustes anotados. Tenga en cuenta que algunas versiones de las
instrucciones ya no se soportan en STEP 7 Safety V18. Encontrará más información sobre las
versiones soportadas de las instrucciones en la descripción de las distintas instrucciones.
1.8.3 Actualización de proyectos de STEP 7 Safety antes de V13 SP1

Si desea actualizar de un proyecto anterior a STEP 7 Safety V13 SP1 a STEP 7 Safety V18,
deberá actualizar el proyecto a STEP 7 Safety V13 SP1 en un paso intermedio, al igual que en
la versión estándar.
Tras la actualización del programa de seguridad a STEP 7 Safety V13 SP1, la firma del
programa de seguridad no cambia. Por eso no es necesaria la recepción/aceptación de
cambios.
Para la actualización, siga el procedimiento habitual en STEP 7 Professional.

Al actualizar un proyecto creado con STEP 7 Safety Advanced V11, tenga en cuenta lo
siguiente:
NOTA
Antes de continuar trabajando con un proyecto actualizado por STEP 7 Safety Advanced V11,
deben realizarse algunos cambios:
Para STEP 7 Safety Advanced V11 existía una advertencia del producto para el ajuste de los
parámetros "Discrepancy behavior (Comportamiento en discrepancia)" y "Reintegration after
discrepancy error (Reintegración tras error de discrepancia)" para los módulos de
entradas/salidas digitales 4F-DI/3F-DO DC24V/2A (6ES7138-4FC01-0AB0,
6ES7138-4FC00-0AB0). En determinadas combinaciones, estos parámetros podían mostrarse
de forma incorrecta.
Siguiendo las instrucciones de esta advertencia del producto y para que los parámetros en
cuestión funcionaran correctamente en el módulo F, debían ajustarse conforme a una tabla
de conversión con lo que aparecían incorrectos en el impreso de seguridad y en la
configuración hardware. Además era necesario corregir el impreso de seguridad para
documentar el comportamiento real de los módulos F.
Para deshacer estas acciones, haga lo siguiente:
1. Compile el proyecto actualizado con STEP 7 Safety Advanced V13 SP1. Para cada módulo F
cuyos parámetros haya corregido en STEP 7 Safety Advanced V11, aparece un mensaje de
error: "The CRC (F_Par_CRC) of the module (xxx) does not match the calculated value (yyy)
(El CRC (F_Par_CRC) del módulo (xxx) no coincide con el valor calculado (yyy))."
2. Para cada módulo F para el que se emita este mensaje de error, modifique la
parametrización con base en las correcciones efectuadas en el impreso de seguridad.
3. Haga lo mismo para cada CPU F y, finalmente, compile el programa de seguridad.
4. Si, tras la compilación, la firma colectiva F coincide con la firma colectiva F del impreso de
seguridad, se han realizado adecuadamente todas las correcciones.
Uso de CP
Para periferias F que se operan aguas abajo de un CP443-5 Extended, CP443-1 o CP 443-1
Advanced-IT, no se asignaba automáticamente una dirección de destino F unívoca.
Si, en un proyecto con periferias F de este tipo, se compila el hardware en STEP 7 Safety
Advanced V13 SP1, se notifica este hecho para las periferias F afectadas. En el caso de las
periferias F indicadas, el usuario debe volver a asignar las direcciones de destino F de manera
unívoca. Encontrará más información en Direcciones PROFIsafe para periferia F de dirección
PROFIsafe tipo 1 (Página 65), Direcciones PROFIsafe para periferia F de dirección PROFIsafe
tipo 2 (Página 67) y Particularidades de la configuración de DP slaves normalizados de
seguridad y IO devices normalizados de seguridad (Página 75).

1.9 Primeros pasos
Este cambio modifica a su vez la firma colectiva F del programa de seguridad. Dado que la
firma colectiva SW F no ha cambiado, queda documentado que el programa de seguridad no
ha sufrido modificaciones. La modificación de la firma colectiva HW F indica que la
configuración hardware relativa a la seguridad ha sufrido modificaciones. Ahora podrá
certificar que la única causa de esto ha sido el cambio de las direcciones de destino F:
• En todas las periferias F modificadas, la firma de parámetros F (sin dirección) permanece
idéntica.
• En el editor de comparación del programa de seguridad, si está activado el filtro "Compare
only F-blocks relevant for certification (Comparar solo los bloques F relevantes para la
recepción/aceptación)", se muestran solo los DB de periferia F.
Nombres modificados de DB de periferia F

Antes de STEP 7 Safety V13 SP1 era posible modificar el nombre de un DB de periferia F. Este
cambio modifica la firma colectiva F durante la actualización.
Si no desea que se modifique la firma colectiva F al actualizar, haga lo siguiente:
1. Restablezca los nombres originales modificados de los DB de periferia F en STEP 7 Safety
V13.
2. Compile el programa de seguridad.
La firma colectiva F cambiará.
3. Realice una comparación offline-offline entre el programa actualizado y el programa
compilado en el paso 2.
4. Cree un impreso de comparación (Página 329) (en soporte electrónico o en papel).
Con este impreso de comparación podrá certificar que únicamente ha modificado los
nombres de los DB de periferia F.
5. Actualice el programa de seguridad a STEP 7 Safety V13 SP1. Tras la actualización, el
programa de seguridad tendrá la firma colectiva F del paso 2.
1.9 Primeros pasos
Iniciación a SIMATIC Safety

Para la iniciación a SIMATIC Safety existen tres documentaciones Getting Started (primeros
pasos).
La documentación Getting Started (primeros pasos) es una introducción que describe paso
por paso cómo crear un proyecto con SIMATIC Safety. Le permitirá familiarizarse rápidamente
con las funciones de SIMATIC Safety.
Contenidos
La documentación Getting Started (primeros pasos) describe cómo crear un proyecto
homogéneo, el cual se va ampliando en cada capítulo. Empezando por la configuración, se
programa una desconexión de seguridad, se modifica el programa y se lleva a cabo la
recepción/aceptación de la instalación.
Además de las instrucciones paso a paso, la documentación Getting Started (primeros pasos)
proporciona información básica para cada nuevo tema, con el fin de explicar más a fondo las
funciones utilizadas e ilustrar las relaciones entre ellas.

1.9 Primeros pasos
Grupo objetivo
La documentación Getting Started (primeros pasos) va dirigida a principiantes, pero también
es útil para usuarios de S7 Distributed Safety.
Descarga
En el Industry Online Support están disponibles tres documentaciones Getting Started
(primeros pasos) en formato PDF que pueden descargarse gratuitamente:
• STEP 7 Safety Advanced V11 con CPU F S7-300/400
(http://support.automation.siemens.com/WW/view/en/49972838)
• STEP 7 Safety Basic V13 SP1 con CPU F S7-1200
(http://support.automation.siemens.com/WW/view/en/34612486/133300) (parte del
manual "S7-1200: Manual de seguridad funcional")
• STEP 7 Safety Advanced V13 con CPU F S7-1500
(http://support.automation.siemens.com/WW/view/en/101177693)

Configuración 2
2.1 Descripción general de la configuración
Introducción
Los sistemas F SIMATIC Safety se configuran básicamente del mismo modo que los sistemas
de automatización estándar S7-300, S7-400, S7-1200, S7-1500 o ET 200MP, ET 200SP, ET
200AL, ET 200S, ET 200iSP, ET 200eco, ET 200eco PN o ET 200pro en STEP 7.
Por ello aquí solo se recogen las diferencias esenciales entre la configuración de un sistema F
SIMATIC Safety y la configuración estándar.
En esta documentación se distinguen dos grupos de periferia F:
Periferia F de dirección PROFIsafe tipo 1

Periferia F en la que la univocidad de la dirección PROFIsafe solo puede asegurarse mediante
la dirección de destino F, p. ej., los módulos F ET 200S. La dirección PROFIsafe se asigna
normalmente mediante interruptores DIL.
Periferia F de dirección PROFIsafe tipo 2

Periferia F en la que la univocidad de la dirección PROFIsafe puede asegurarse combinando la
dirección de origen F y la dirección de destino F, p. ej., los módulos F S7-1500/ET 200MP. La
dirección PROFIsafe se asigna normalmente mediante STEP 7 Safety.
¿Qué componentes F pueden configurarse con STEP 7 Safety?

La tabla siguiente muestra qué CPU F pueden configurarse con STEP 7 Safety Basic y cuáles
con STEP 7 Safety Advanced:
CPU F STEP 7 Safety Basic STEP 7 Safety Advanced

S7-300 — x
S7-400 — x
S7-1200 x x
S7-1500(H) — x
SIMATIC Drive Controller — x
WinAC RTX F — x
S7-1500 F Software Controller — x

Configuración
La tabla siguiente indica qué periferias F pueden configurarse con STEP 7 Safety Basic y
cuáles con STEP 7 Safety Advanced, así como el tipo de dirección PROFIsafe que soportan:
Periferia F STEP 7 Safety Basic STEP 7 Safety Advanced Tipo de dirección
PROFIsafe
SM F S7-300 x** x** 1
Módulos F ET 200S x x 1
Módulos F ET 200pro x x 1
Módulos F ET 200iSP x x 1
Módulos de periferia F ET 200eco — con CPU F S7-300/400 1
DP (solo modo V1 de PROFIsafe)
Módulos de periferia F ET 200eco x x 2
PN
Módulos F S7-1200 x x 2
(conectados de modo centralizado a
CPU F S7-1200)
Módulos F ET 200SP x x 2
Módulos F S7-1500/ET 200MP x x 2
Módulos F ET 200AL x x 2
DP slaves normalizados de seguri x x *
dad
IO devices normalizados de seguri x x *
dad
* Para saber a qué tipo de dirección PROFIsafe pertenece cada DP slave normalizado o IO device normalizado, consulte la do
cumentación correspondiente. En caso de duda, asuma que se trata de la dirección PROFIsafe tipo 1.
** Los SM F que solo soportan el modo V1 de PROFIsafe solo pueden utilizarse con CPU F S7-300/400.

Configuración
Ejemplo: Sistema F configurado en STEP 7 Professional

La figura siguiente muestra un sistema F configurado. Los componentes de seguridad se
seleccionan, como en el programa estándar, en la Task Card "Hardware catalog (Catálogo de
hardware)" y se colocan en el área de trabajo de la vista de redes o de dispositivos. Los
componentes F aparecen en amarillo.
Más información
Encontrará información detallada sobre la periferia F en los correspondientes manuales de la
periferia F.
¿Qué opciones de la comunicación orientada a la seguridad pueden configurarse?

Para las siguientes opciones de la comunicación orientada a la seguridad, la configuración
debe realizarse en el editor de hardware y redes (ver Configuración y programación de la
comunicación (S7-300, S7-400) (Página 189) o Configuración y programación de la
comunicación (S7-1200, S7-1500) (Página 249)):
• Comunicación con Flexible F-Link (Página 285)
• Comunicación orientada a la seguridad maestro-maestro

Configuración
2.2 Particularidades de la configuración del sistema F
• Comunicación orientada a la seguridad maestro-maestro con S7 Distributed Safety

• Comunicación orientada a la seguridad maestro-I-slave
• Comunicación I-slave-I-slave orientada a la seguridad
• Comunicación I-slave-slave orientada a la seguridad
• Comunicación IO controller-IO controller orientada a la seguridad
• Comunicación IO controller-IO controller orientada a la seguridad con S7 Distributed
Safety
• Comunicación IO controller-I-device orientada a la seguridad
• Comunicación IO controller-I-slave orientada a la seguridad
• Comunicación orientada a la seguridad mediante conexiones S7
• Comunicación orientada a la seguridad mediante conexiones S7 con S7 Distributed Safety
o S7 F Systems
2.2 Particularidades de la configuración del sistema F
Configuración como en el programa estándar

Los sistemas F SIMATIC Safety se configuran igual que un sistema S7 estándar. Es decir, el
hardware se configura y parametriza en el editor de hardware y redes en configuración
centralizada (CPU F y, en su caso, periferia F, p. ej., CPU 1516F-3 PN/DP y módulos F
S7-1500/ET 200MP) o en configuración descentralizada (CPU F, SM F en ET 200M, módulos F
ET 200MP, ET 200SP, ET 200AL, ET 200S, ET 200pro, ET 200iSP, ET 200eco, ET 200eco PN, DP
slaves normalizados de seguridad o IO devices normalizados de seguridad).
Parámetros F especiales
Para la funcionalidad F existen parámetros F especiales que pueden comprobarse y ajustarse
en las "Properties (Propiedades)" de los componentes de seguridad (CPU F y periferia F). Los
parámetros F están marcados en amarillo.
Los parámetros F se explican en "Configuración de la CPU F (Página 46)" y "Configuración de
la periferia F (Página 51)".
Compilación de la configuración hardware

La configuración hardware del sistema F SIMATIC Safety debe compilarse (menú contextual
"Compile (Compilar) > Hardware"). El único requisito previo para programar el programa de
seguridad es una CPU F configurada con funcionalidad de seguridad activada.
NOTA
Al configurar y guardar la configuración hardware se permiten incoherencias. La coherencia
de la configuración hardware y los posibles datos de conexión solo se comprueba durante la
compilación. Por ello, ejecute periódicamente "Edit (Edición) > Compile (Compilar)".

Configuración
2.3 Configuración de la CPU F
Modificación de parámetros relativos a la seguridad
NOTA
Si se modifica un parámetro relativo a la seguridad (marcado en amarillo) para una periferia F
o una CPU F, debe cargarse la configuración hardware modificada y el Compilación del
programa de seguridad (Página 294) (menú contextual "Compile (Compilar) > Hardware and
software (only changes) (Hardware y software (solo cambios)"). Esto se aplica también a las
modificaciones de la periferia F que no se utiliza en el programa de seguridad. Esto no afecta
a la periferia F en modo estándar.
Introducción
La CPU F se configura básicamente del mismo modo que el sistema de automatización
estándar.
Las CPU F siempre pueden configurarse en STEP 7, tanto si hay una licencia de STEP 7 Safety
instalada como si no. Si no está instalada la licencia para STEP 7 Safety, la CPU F solo puede
utilizarse como CPU estándar.
Si está instalada la licencia para STEP 7 Safety, se puede activar o desactivar la funcionalidad
de seguridad para la CPU F.
Si desea utilizar la periferia F en modo seguro o la comunicación orientada a la seguridad, la
funcionalidad de seguridad de la CPU F debe estar activada.
De modo predeterminado, la funcionalidad de seguridad está activada si está instalada la
licencia de STEP 7 Safety.
Activar/desactivar la funcionalidad de seguridad

Si desea cambiar el ajuste de la funcionalidad de seguridad, haga lo siguiente:
1. Seleccione la CPU F en la vista de dispositivos o redes y, en la ventana de inspección, elija
la pestaña "Properties (Propiedades)".
2. En la navegación local, elija "Fail-safe (Seguridad positiva)".
3. Active o desactive la funcionalidad de seguridad con el botón correspondiente.
4. Si desea desactivar la funcionalidad de seguridad, confirme con "Yes (Sí)" el cuadro de
diálogo "Disable F-activation (Deshabilitar activación de F)".

Configuración
Desactivar la funcionalidad de seguridad con programa de seguridad existente

Si se desactiva la funcionalidad de seguridad para una CPU F porque se desea utilizar la CPU F
como CPU estándar, a pesar de que existe un programa de seguridad, debe tenerse en cuenta
lo siguiente:
• Necesitará la contraseña para el programa de seguridad, si está asignada.
• El Safety Administration Editor (Página 78) desaparecerá del árbol del proyecto.
• Se eliminarán los OB F. (S7-1200, S7-1500)
• Se eliminarán todos los bloques F.
• Con esa CPU F ya no se podrá utilizar la periferia F en modo seguro.
Configuración de los parámetros F de la CPU F

En la pestaña "Properties (Propiedades)" de la CPU F puede modificar los siguientes
parámetros o aceptar las opciones predeterminadas:
• La dirección de destino F
– Límite inferior para direcciones de destino F
– Límite superior para direcciones de destino F
• El tiempo de vigilancia F predeterminado para periferia F centralizada o descentralizada en
la CPU F
(En el caso de las CPU HF, solo el tiempo de vigilancia F predeterminado para periferia F
descentralizada).
NOTA
Si se modifica el tiempo de vigilancia F para periferia F descentralizada en la CPU F, el
programa de seguridad se modificará tras volver a compilarlo, y por ello puede ser
necesaria una nueva recepción/aceptación.
Definición del área de direcciones de destino F para periferia F de dirección PROFIsafe tipo 1
Los parámetros "Low limit for F-destination addresses (Límite inferior para direcciones de
destino F)" y "High limit for F-destination addresses (Límite superior para direcciones de
destino F)" permiten delimitar el área de esta CPU F en la que se asignará automáticamente la
dirección de destino F de la nueva periferia F con el dirección PROFIsafe tipo 1 (Página 65)
que se enchufe. Cuando se asigna de nuevo un DP slave o IO device a la CPU F, se habilita la
activación F de la CPU F o se cambia la dirección lógica de este módulo F, también se asignará
nuevamente la dirección de destino F si todavía no está en el área de direcciones de destino
F.
La dirección de destino F se asigna en sentido ascendente a partir del "Low limit for
F-destination addresses (Límite inferior para direcciones de destino F)". Si no queda ninguna
dirección de destino F libre en el área de direcciones de destino F, se asignará la primera
dirección de destino F libre fuera del área de direcciones de destino F y se mostrará un
mensaje durante la compilación.
La dirección de destino F máxima posible para módulos F ET 200S, ET 200eco, ET 200pro, ET
200iSP y SM F S7-300 es 1022.
Las direcciones de destino F para periferia F dirección PROFIsafe tipo 1 deben ser únicas en
toda la red y en toda la CPU.

Configuración
Seleccionando áreas de direcciones de destino F diferentes para las distintas CPU F, pueden
definirse diferentes áreas de direcciones de destino F para la asignación automática de la
dirección de destino F. Esto es recomendable cuando se operan varias CPU F en una misma
red. Las direcciones se pueden modificar manualmente en otro momento (ver también
Recomendación para la asignación de las direcciones PROFIsafe (Página 61))
Ejemplo:
Se ha parametrizado el área de las direcciones de destino F de la siguiente manera:
• Límite inferior para direcciones de destino F = 100
• Límite superior para direcciones de destino F = 199
Al enchufar la primera periferia F de dirección PROFIsafe tipo 1, se le asigna la dirección de
destino F 100. Al enchufar otra periferia F de dirección PROFIsafe tipo 1, se le asigna la
dirección de destino F 101.
NOTA
Los parámetros "Low limit for F-destination addresses (Límite inferior para direcciones de
destino F)" y "High limit for F-destination addresses (Límite superior para direcciones de
destino F)" no afectan a la siguiente periferia F:
• SM 326; DI 8 × NAMUR (a partir de la referencia 6ES7326-1RF00-0AB0)
• SM 326; DO 10 × DC 24V/2A (referencia 6ES7326-2BF01-0AB0)
• SM 336; AI 6 × 13 Bit (referencia 6ES7336-1HE00-0AB0)
Definición del área de direcciones de destino F para periferia F de dirección PROFIsafe tipo 2
La dirección de destino F de la periferia F de dirección PROFIsafe tipo 2 (Página 67) se asigna
automáticamente para cada CPU F en sentido descendente a partir de 65534. El límite
inferior es el valor parametrizado con "High limit for F-destination addresses (Límite superior
para direcciones de destino F)" (para periferia F con dirección PROFIsafe tipo 1) + 1.
Si se alcanza el valor parametrizado con el parámetro "High limit for F-destination addresses
(Límite superior para direcciones de destino F)", se muestra un mensaje durante la
compilación (ver también Recomendación para la asignación de las direcciones PROFIsafe
(Página 61))
Definir la dirección de origen F para periferia F de dirección PROFIsafe tipo 2

Con el parámetro "Central F-source address (Dirección de origen F central)" se define la
dirección de origen F para la periferia F de dirección PROFIsafe tipo 2 (Página 67) asignada a
esta CPU F. La dirección de origen F debe ser única en toda la red (ver también
Recomendación para la asignación de las direcciones PROFIsafe (Página 61))
NOTA
Si se modifica el parámetro "Central F-source address (Dirección de origen F central)", el
programa de seguridad cambiará tras volver a compilarlo, y por ello puede ser necesaria una
nueva recepción/aceptación, ya que las direcciones de origen F de todas las periferias F de
dirección tipo 2 se modifican posteriormente.

Configuración
Parámetro "Default F-monitoring time (Tiempo de vigilancia F predeterminado)"

Para la vigilancia de la comunicación entre la CPU F y la periferia F, debe configurarse el
"Default F-monitoring time (Tiempo de vigilancia F predeterminado)".
El tiempo de vigilancia F puede configurarse mediante los siguientes parámetros:
• "Default F-monitoring time for central F-I/O (Tiempo de vigilancia F predeterminado para
periferia F central)"
• "Default F-monitoring time for F-I/O of this interface (Tiempo de vigilancia F
predeterminado para periferia F de esta interfaz)"
El tiempo de vigilancia F predeterminado para la periferia F central afecta a la periferia F
en configuración centralizada, es decir, situada junto a la CPU F. Este parámetro se ajusta en
las propiedades de la CPU F (seleccionar la CPU F y luego "Properties (Propiedades) > Fail-safe
> F-parameter (Parámetros F)").
El tiempo de vigilancia F predeterminado para la periferia F de esta interfaz afecta a la
periferia F asignada a esta interfaz de la CPU F (PROFIBUS o PROFINET). Este parámetro se
modifica en las propiedades de la interfaz correspondiente (seleccionar la interfaz en la
pestaña "Device overview (Vista general de dispositivos)" y luego "F-parameters (Parámetros
F)").
Las distintas posibilidades de configuración permiten adaptar el tiempo de vigilancia F de
manera variable a las condiciones del sistema F en cuestión, p. ej., para tener en cuenta los
distintos ciclos de bus.
Además, en las propiedades de la periferia F puede modificarse el tiempo de vigilancia F de
modo individual para cada periferia F (ver Configuración de la periferia F (Página 51) o
Particularidades de la configuración de DP slaves normalizados de seguridad y IO devices
normalizados de seguridad (Página 75)).
NOTA
programa de seguridad se modificará tras volver a compilarlo, y por ello puede ser necesaria
una nueva recepción/aceptación.
NOTA
El valor predeterminado de "Default F-monitoring time for F-I/O (Tiempo de vigilancia F
predeterminado para la periferia F)" en un sistema HF es de 2300 ms y está dimensionado
para un anillo MRP. Para una topología en línea, puede reducirse el "Default F-monitoring
time for F-I/O (Tiempo de vigilancia F predeterminado para la periferia F)" aproximadamente
en un factor 2. El tamaño exacto puede determinarse del modo descrito en el capítulo
"Tiempos de vigilancia y tiempos de reacción (Página 586)". Este valor puede ajustarse en las
propiedades de la CPU F (seleccionar la CPU F y luego "Properties (Propiedades) > Fail-safe >
F-parameter (Parámetros F) > PROFINET interface [X1] (Interfaz PROFINET [X1])").
ADVERTENCIA
El estado lógico a enviar solo se captura y se envía (con seguridad) al receptor si está
presente durante al menos el tiempo de vigilancia parametrizado.(S018)
Encontrará más información en Tiempos de vigilancia y tiempos de reacción (Página 586).

Configuración
Creación automática del programa de seguridad

El programa de seguridad de una CPU F está formado por uno o dos grupos de ejecución F
que contienen los bloques F (ver también Definir grupos de ejecución F (Página 126)). Al
insertar la CPU F (con funcionalidad de seguridad activada) en el área de trabajo de la vista de
dispositivos o la vista de redes, se crea automáticamente un programa de seguridad con un
grupo de ejecución F.
En STEP 7 Safety se puede configurar que al insertar la CPU F (con funcionalidad de seguridad
activada), no se cree ningún grupo de ejecución F.
Para ello, haga lo siguiente:
1. Elija el comando "Options (Opciones) > Settings (Configuración)".
2. Elija el área "STEP 7 Safety".
3. Desactive, si no lo ha hecho todavía, la creación automática de un grupo de ejecución F.
Para ello, desactive la opción "Generate default fail-safe program (Crear programa de
seguridad de forma predeterminada)".
Este cambio no afecta al programa de seguridad (si lo hay), sino que solo define si se creará
automáticamente un grupo de ejecución F para cada CPU F que se inserte a partir de ese
momento.
Configuración del nivel de protección de la CPU F
ADVERTENCIA
(S7-300, S7-400) En el modo productivo, no debe existir permiso de acceso mediante la

contraseña de CPU en caso de haber modificado el programa de usuario estándar, pues en
tal caso también es posible modificar el programa de seguridad. Para que esto no ocurra,
debe configurarse el nivel de protección "Write protection for fail-safe blocks (Protección
contra escritura para bloques de seguridad)" y una contraseña para la CPU F. Si solo hay una
persona autorizada para modificar el programa de usuario estándar y el programa de
seguridad, deberá estar configurado el nivel de protección "Write protection (Protección
contra escritura)" o "Write/Read protection (Protección contra escritura/lectura)" para impedir
el acceso de otras personas al programa de usuario completo (programa estándar y
programa de seguridad) o permitirles solo un acceso limitado a él. (S001)
ADVERTENCIA
(S7-1200, S7-1500) En modo productivo, los datos del proyecto relativos a la seguridad
deben protegerse con una contraseña. Para ello debe configurarse por lo menos el nivel de
protección "Full access (no protection) (Acceso completo (sin protección))" y asignar una
contraseña en "Full access incl. fail-safe (no protection) (Acceso total incl. seguridad positiva
(sin protección))". Con este nivel de protección solo es posible el acceso completo a los datos
del proyecto estándar, pero no a los bloques F.
Si se elige un nivel de protección mayor, p. ej., para proteger datos del proyecto estándar,
debe asignar una contraseña adicional para la opción "Full access (no protection) (Acceso
completo (sin protección))".
Asignar contraseñas diferentes a los distintos niveles de protección. (S041)

Configuración
2.4 Configuración de la periferia F
Para configurar el nivel de protección, siga el mismo procedimiento que para las CPU
estándar.
Encontrará información sobre la contraseña para la CPU F en Protección de acceso (Página
95). Tenga en cuenta especialmente las advertencias en Protección de acceso para la CPU F
(Página 99).
Introducción
Los módulos F S7-1500/ET 200MP, ET 200SP, ET 200AL, ET 200S, ET 200eco (S7-300,
S7-400), ET 200eco PN, ET 200pro, ET 200iSP, los SM F S7-300 y los módulos F S7-1200 se
configuran del modo habitual en STEP 7.
Tras insertar la periferia F en el área de trabajo de la Vista de dispositivos o redes, podrá
acceder a los cuadros de diálogo de configuración seleccionando la correspondiente periferia
F y la pestaña "Properties (Propiedades)".
NOTA
Si se modifica la parametrización, el programa de seguridad cambiará tras volver a
compilarlo, y por ello puede ser necesaria una nueva recepción/aceptación.
Los módulos F ET 200SP pueden utilizarse en configuración descentralizada con:

• IM 155-6 PN ST con firmware V1.1 o superior
• IM 155-6 PN HF
• IM 155-6 PN/2 HF con firmware V4.2 o superior
• IM 155-6 PN/3 HF con firmware V4.2 o superior
• IM 155-6 MF HF
• IM 155-6 PN HS
• IM 155-6 DP HF
• IM 155-6 PN R1
Para saber si un determinado módulo F ET 200SP admite el funcionamiento con R1,
consulte Internet. (https://support.industry.siemens.com/cs/ww/es/view/73021864)
Los módulos F S7-1500/ET 200MP pueden utilizarse en configuración descentralizada con:
• IM 155-5 PN BA con firmware V4.3 o superior
• IM 155-5 PN ST con firmware V3.0 o superior
• IM 155-5 PN HF con firmware V2.0 o superior
• IM 155-5 DP ST con firmware V3.0 o superior
Los módulos F S7-1500/ET 200MP pueden utilizarse en configuración centralizada con CPU F
S7-1500 con firmware V1.7 o superior y en configuración descentralizada con firmware V1.5
o superior.

Configuración
(S7-1200) Recomendamos limitar a 12 el total de componentes de periferia F utilizados en

configuración centralizada y descentralizada en una CPU F S7-1200. En función del tamaño
de los datos del proyecto, el número máximo de componentes de la periferia F puede ser
menor.
ADVERTENCIA
Si se hacen modificaciones en las que puede cambiar la asignación de direcciones de

entrada/salida y el cableado, es preciso realizar una prueba del cableado (Página 339).
Algunos ejemplos de dichas modificaciones son:
• Agregar periferias F
• Modificar la dirección inicial de periferias F
• Modificar la posición de slot de periferias F
• Modificar
– el rack
– la dirección del slave/device
– la subred PROFIBUS DP/PROFINET
– la dirección IP
– del nombre del device
(S071)
Pasivación por canales tras fallos de canal

El comportamiento de la periferia F tras fallos de canal, p. ej., cortocircuito, sobrecarga,
errores de discrepancia o rotura de hilo, se puede configurar a condición de que la periferia F
admita dicho parámetro (p. ej., para módulos F ET 200S o ET 200pro). El comportamiento se
configura en las propiedades de la correspondiente periferia F (parámetro "Behavior after
channel fault (Comportamiento tras fallos de canal)"). Con este parámetro se define si, en
caso de fallos de canal, se pasivará toda la periferia F o solo el canal o canales donde hayan
ocurrido los fallos:
NOTA
(S7-300, S7-400) Tenga en cuenta que la pasivación por canal conlleva un tiempo de
ejecución más largo del grupo o grupos de ejecución F en comparación con la pasivación de
toda la periferia F (ver también el archivo Excel para calcular el tiempo de reacción
Parámetro "Channel failure acknowledge (Acuse de fallos de canal)" (S7-1200, S7-1500)

En el caso de las periferias F que soportan el parámetro de canal "Channel failure
acknowledge (Acuse de fallo de canal)" (p. ej., los módulos F S7-1500/ET 200MP, los módulos
F S7-1200 y los módulos F ET 200AL), este parámetro asume la función de la variable
ACK_NEC del DB de periferia F.

Configuración
Si la periferia F detecta un fallo de la periferia F, se pasivarán todos los canales de dicha

periferia F. Si se detectan fallos de canal y está configurada la opción "Passivate channel
(Pasivar canal)", se pasivarán los canales afectados, y si está configurada la opción "Passivate
entire module (Pasivar todo el módulo)", se pasivarán todos los canales de la periferia F
afectada. Tras subsanarse el fallo de periferia F o canal, se reintegrarán la periferia F afectada
o el canal afectado, dependiendo del parámetro "Channel failure acknowledge (Acuse de fallo
de canal)":
• Automatic (automático)
• Manual (manual)
Con la pasivación por canal, el parámetro "Channel failure acknowledge (Acuse de fallo de
canal)" puede ajustarse de manera individual para cada canal si se ha parametrizado la opción
"Can be set (Ajustable)" en el parámetro "Reintegration after channel fault (Reintegración tras
fallo de canal)".
ADVERTENCIA
La parametrización "Channel failure acknowledge Automatic (Acuse de fallo de canal =

Automático)" solo está permitida si, desde el punto de vista de la seguridad, se admite una
reintegración automática para el proceso en cuestión. (S045)
NOTA
De modo predeterminado, el parámetro "Channel failure acknowledge (Acuse de fallo de
canal)" está ajustado a "Manual" al crear el módulo F.
Bloque de organización/memoria imagen de proceso (S7-1200, S7-1500)

Si se utiliza periferia F en modo estándar, puede elegirse el bloque de organización/la
memoria imagen de proceso del mismo modo que con la periferia estándar.
Si se utiliza la periferia F en modo seguro, no es posible elegir. La memoria imagen de
proceso se actualiza siempre automáticamente al principio o al final del grupo de ejecución F
(ver capítulo Estructura del programa de seguridad (S7-1200, S7-1500) (Página 106)).
A diferencia de la periferia F en modo no isócrono, para la periferia F en modo isócrono debe
seleccionarse una memoria imagen parcial de proceso, p. ej., MIPP 1 (ver "Configuración del
modo isócrono (S7-1500) (Página 60)").
Modificar el nombre y el número del DB de periferia F

Encontrará más información en el capítulo DB de periferia F (Página 157).
Modificar el tiempo de vigilancia F individualmente en la periferia F

En las propiedades de la periferia F puede modificarse el tiempo de vigilancia F de modo
individual en "F-parameters (Parámetros F)". Esto puede ser necesario para que las vigilancias
de tiempo no respondan en ausencia de fallo, si la periferia F necesita un tiempo de vigilancia

Configuración
F más largo o si no es posible la asignación de un tiempo de vigilancia F predeterminado. Para

ello, active la correspondiente casilla de verificación y especifique un tiempo de vigilancia F.
NOTA
programa de seguridad se modificará tras volver a compilarlo, y por ello puede ser necesaria
una nueva recepción/aceptación.
ADVERTENCIA
Encontrará más información en Tiempos de vigilancia y tiempos de reacción (Página 586).
Diagnóstico agrupado de módulos de señales de seguridad S7-300

Si se desactiva un canal en las propiedades del módulo de señales de seguridad, al mismo
tiempo se desactiva el diagnóstico agrupado para ese canal.
Excepción para CPU F S7-300/400:
Para los siguientes módulos de señales de seguridad S7-300
• SM 326; DI 8 x NAMUR (a partir de la referencia 6ES7326‑1RF00‑0AB0)
• SM 326; DO 10 x DC 24V/2A (referencia 6ES7326‑2BF01‑0AB0) y
• SM 336; AI 6 x 13Bit (referencia 6ES7336‑1HE00‑0AB0),
el parámetro "Group diagnostics (Diagnóstico agrupado)" permite activar y desactivar la
vigilancia de avisos de diagnóstico específicos de canal (p. ej., rotura de hilo, cortocircuito) de
los SM F a la CPU F. En los canales de entrada o salida no utilizados, debe desactivarse el
diagnóstico agrupado.
ADVERTENCIA
(S7-300, S7-400) En los siguientes módulos de señales de seguridad S7-300 (SM F) con
modo seguro activado, el "diagnóstico agrupado" debe estar activado en todos los canales
conectados.
• SM 326; DI 8 x NAMUR (referencia 6ES7326‑1RF00‑0AB0 y 6ES7326-1RF01-0AB0)
• SM 326; DO 10 x DC 24V/2A (referencia 6ES7326‑2BF01‑0AB0)
• SM 336; AI 6 x 13 Bit (referencia 6ES7336‑1HE00‑0AB0)
Compruebe si, en estos SM F, el diagnóstico agrupado está desactivado realmente solo en
los canales de entrada y salida no utilizados. (S003)
Las alarmas de diagnóstico pueden habilitarse opcionalmente.

Configuración
2.5 Control de configuración (configuración futura) para periferia F
Más información
Encontrará una descripción detallada de los parámetros en la ayuda para las propiedades de
la periferia F en cuestión y en el correspondiente manual de la periferia F.

Para el control de configuración (configuración futura) con periferia F, siga el mismo
procedimiento que con la periferia estándar. Encontrará información detallada buscando
"Configuration control (Option handling) (Control de configuración (configuración futura))"
en la Ayuda de STEP 7.
A continuación se describen los aspectos que también deben tenerse en cuenta con la
periferia F.
Requisitos
• Se cumplen los requisitos mencionados en "Configuration control (Option handling)
(Control de configuración (configuración futura))" en la Ayuda de STEP 7.
• Se ha llevado a cabo el procedimiento descrito en "Configuration control (Option
handling) (Control de configuración (configuración futura))" en la Ayuda de STEP 7.
Proceda con la periferia F del mismo modo que con la periferia estándar.
• La Safety System Version es V2.1 o superior.
• La periferia F para la que se utiliza el Control de configuración (configuración futura) está
conectada
– en configuración descentralizada a una CPU F S7-300/400/1200/1500
– en configuración centralizada a una CPU F S7-1500
Las direcciones PROFIsafe de las periferias F están ajustadas o asignadas.
NOTA
La asignación de las direcciones PROFIsafe (Página 69) solo es posible con una
configuración máxima realmente existente.
Procedimiento
(S7-1200, S7-1500) Desactive la periferia F no existente en la variante (opción) en cuestión
poniendo a "1" la variable DISABLE (Página 162) en el DB de periferia F (Página 157)
correspondiente. De este modo se evita el parpadeo de los LED de error de la CPU F y las
entradas de diagnóstico del programa de seguridad relativas a la periferia F en cuestión. Con
la variable DISABLED (Página 163) del DB de periferia F correspondiente se puede evaluar si
un módulo F está desactivado.
(S7-300, S7-400) Para impedir el parpadeo de los LED de error de la CPU F, no hay que tener
en cuenta nada más. Las entradas de diagnóstico no se pueden inhibir.

Configuración
ADVERTENCIA
En caso de utilizar el control de configuración, su configuración real diferirá de la

configuración máxima configurada. En la variante actual (opción de estación), las periferias F
se marcan como "not available (no disponible)" mediante un juego de datos de control.
Si no obstante, en determinadas circunstancias, hay una periferia F marcada como "not
available (no disponible)" en la configuración real, debe garantizarse que se proporcionan
valores sustitutivos (0) para esta periferia F en el programa de seguridad o que estos se
escriben en las salidas. Esto se consigue estableciendo la variable DISABLE (S7-1200/1500) o
bien PASS_ON (S7-300/400) en "1" en el DB de periferia F correspondiente. (S077)
2.5.1 Ejemplo
Introducción
El siguiente ejemplo muestra cómo
• seleccionar o detectar con seguridad una opción de estación
• desactivar periferias F no existentes en una opción de estación (S7-1200/1500)
• preparar el programa de seguridad para distintas opciones de estación
Selección o detección segura de la opción de estación

La selección o detección segura de una opción de estación se realiza con entradas de una
periferia F cableadas de manera fija a M/L+.
Por ej., con 2 entradas de una periferia F puede seleccionar hasta 4 opciones de estación.
Opción OptionSelection_Bit_0 OptionSelection_Bit_1

A 0 0
B 0 1
C 1 0
D 1 1
Al detectar la opción de estación, tenga en cuenta que, para las entradas de la periferia F, en
algunas situaciones, p. ej., en caso de arranque del sistema F o fallos de periferia F o de canal,
es necesario utilizar valores sustitutivos (0).
En estas situaciones no se puede distinguir la opción de estación existente. Por ello, evalúe
adicionalmente la información de calidad de las entradas y aplique la opción de estación una
sola vez tras el arranque del sistema F.

Configuración
Para la detección la opción de estación una sola vez, defina un dato local estático, p. ej.,
OptionSelectionRuns, con el valor predeterminado "TRUE".
Haga lo mismo para las opciones C y D.

Una vez detectada una opción de estación, restablezca el dato local estático para poder
detectar la opción de estación una sola vez:
NOTA
Si se realiza la selección o detección de una opción de estación solo en el programa de
usuario estándar, la "opción de estación" solo estará disponible en forma de dato estándar,
sin protección.
Asegúrese de que esto no pueda dar lugar a situaciones peligrosas.
Consulte el capítulo "Intercambio de datos entre programa de usuario estándar y programa
de seguridad (Página 185)".

Configuración
Desactivación de periferias F no existentes en una opción de estación

Si en una opción de estación no existen una o varias periferias F, puede impedirse el
parpadeo de los LED de error de la CPU F desactivando dichas periferias F.
Además se inhiben las entradas de diagnóstico del programa de seguridad relativas a las
periferias F en cuestión.
NOTA
Mientras la detección de la opción de estación (durante el arranque del sistema F) no haya
finalizado (OptionSelectionRuns = TRUE), deben desactivarse todas las periferias F
"opcionales".
Preparar el programa de seguridad para distintas opciones de estación

En el siguiente ejemplo se reúnen las señales de parada de emergencia de distintos grupos de
la instalación o máquinas en una señal de parada de emergencia agrupada.
En el caso de la opción de estación A, no están presentes las máquinas I y III ni la
correspondiente periferia F con la señal de parada de emergencia para las máquinas I y III.
En el caso de la opción de estación B, no están presentes la máquina II ni la correspondiente
periferia F con la señal de parada de emergencia para la máquina II.
Por ello, en el programa de seguridad se utilizan valores sustitutivos (0) para las señales de
parada de emergencia de las distintas máquinas no existentes.
Para prevenir que la parada de emergencia agrupada emita señales de parada de emergencia
por la ausencia de máquinas con determinadas opciones de estación, se puede inhibir la

Configuración
2.6 Configuración de Shared Devices
evaluación de la señal de parada de emergencia de las máquinas no existentes en función de

la opción de estación existente.
2.6 Configuración de Shared Devices

Para configurar Shared Devices, siga el mismo procedimiento que en el programa estándar.
La configuración se describe en la Ayuda de STEP 7, en el apartado Configure Shared Devices
(Configurar Shared Devices).
Solo se soportan Shared Devices para varios proyectos. No se soportan los Shared Devices
internos del proyecto.
Direcciones de destino F
Para la asignación de las direcciones de destino F, consulte el capítulo "Recomendación para
la asignación de las direcciones PROFIsafe (Página 61)".

Configuración
2.7 Configuración del modo isócrono (S7-1500)
Consulte
también
Asignación de la dirección PROFIsafe a un módulo F en un Shared Device para varios
proyectos (Página 74)
2.7 Configuración del modo isócrono (S7-1500)

Para configurar el modo isócrono en las periferias F que lo soportan, p. ej., el submódulo
"Profisafe Telgr 902" del accionamiento SINAMICS S120 CU310-2 PN V5.1, siga el mismo
procedimiento que en el programa estándar. La configuración se describe en la Ayuda de
STEP 7, en el apartado "Configurar modo isócrono".
Tenga en cuenta lo siguiente:
• A diferencia de la periferia F en modo no isócrono, para la periferia F en modo isócrono
debe seleccionarse una memoria imagen parcial de proceso, p. ej., MIPP 1.
Esta memoria imagen parcial del proceso solo debe contener periferias F que se utilicen en
modo isócrono, y no periferias estándar.
• El OB de alarma de sincronismo que debe asignarse deberá crearse previamente como OB
F definiendo un grupo de ejecución F (ver Procedimiento para definir un grupo de
ejecución F (S7-1200, S7-1500) (Página 131)). No posible agregar un OB F con la clase de
evento "Synchronous Cycle" directamente al configurar el modo isócrono.
Requisitos
CPU F S7-1500 con firmware V2.0 o superior que soporten IRT.
Conexión de periferia F operada en modo isócrono al OB de alarma de sincronismo

Para acceder a la periferia F operada en modo isócrono debe utilizarse la memoria imagen
parcial del proceso seleccionada, al igual que en el caso de la periferia estándar operada en
modo isócrono.
A diferencia de lo que sucede con la periferia estándar operada en modo isócrono, la
actualización de la memoria imagen parcial del proceso la realiza automáticamente el sistema
F al inicio o al final del OB F (ver Estructura del programa de seguridad (S7-1200,
S7-1500) (Página 106)).

Configuración
2.8 Recomendación para la asignación de las direcciones PROFIsafe
En el OB F no es necesario llamar las instrucciones SYNC_PI y SYNC_PO.
NOTA
En el caso de la periferia F operada en modo isócrono, no se garantiza (de modo seguro) que
todos los datos de entrada de las periferias F asignadas a la memoria imagen parcial del
proceso estén disponibles de modo coherente al principio del bloque Main-Safety ni que
todos los datos de salida se transfieran a las periferias F de modo coherente, es decir, con
coherencia lógica y temporal. La coherencia solo se garantiza dentro de una misma periferia
F.
La coherencia de todas las periferias F operadas en modo isócrono de la memoria imagen
parcial del proceso depende, entre otras cosas, del número de periferias F operadas en modo
isócrono y del tamaño del programa de seguridad en el OB de alarma de sincronismo.
Si existen requisitos de coherencia al respecto, el usuario deberá comprobar por sí mismo la
coherencia de los datos de entrada y salida, p. ej., transfiriendo y evaluando adicionalmente
sellos de tiempo en los datos de entrada y salida de las periferias F operadas en modo
isócrono.
2.8 Recomendación para la asignación de las direcciones PROFIsafe

Antes de enchufar la periferia F, defina para cada CPU F un área de direcciones para las
direcciones de destino F de la periferia F de dirección PROFIsafe tipo 1 (Página 65) que no se
solape en toda la red ni en toda la CPU (es decir, en todo el sistema) con ningún área de
direcciones de otras CPU F. Para definir el área para la periferia F de dirección PROFIsafe tipo
1, utilice los parámetros "Low limit for F-destination addresses (Límite inferior para
direcciones de destino F)" y "High limit for F-destination addresses (Límite superior para
direcciones de destino F)" (ver también capítulo Configuración de la CPU F (Página 46)).
En el caso de un sistema redundante S7-1500HF, las dos CPU F del sistema redundante
S7-1500HF deben considerarse una sola CPU F en lo que respecta a las direcciones PROFIsafe.
Por ello, el sistema ajustará de modo idéntico los "límites inferior/superior para direcciones de
destino F" y la "dirección de origen F central" para las dos CPU F.
Las direcciones de destino F de la periferia F de dirección PROFIsafe tipo 2 (Página 67) no
deben solaparse con ningún área de direcciones de periferia F de dirección PROFIsafe tipo 1.
Las áreas de direcciones de destino F de la periferia F de dirección PROFIsafe tipo 2 pueden
solaparse si las direcciones de origen F no coinciden. En las configuraciones soportadas
(Página 62), esto se cumple si se elige el parámetro "Central F-source address (Dirección de
origen F central)" diferente para cada CPU F.

Configuración
2.9 Configuraciones soportadas por el sistema F SIMATIC Safety
Asigne a la periferia F de dirección PROFIsafe tipo 1 direcciones de destino F lo más bajas

posible, y a la periferia F de dirección PROFIsafe tipo 2, lo más altas posible.

&38
&38
&38
3HULIHULD)GHGLUHFFLµQ
352),VDIHWLSR
&38
3HULIHULD)GHGLUHFFLµQ
352),VDIHWLSR
&38
&38

Figura 2-1 Asignación de direcciones para periferia F con dirección PROFIsafe tipos 1 y 2
En el impreso de seguridad (Página 359) de cada CPU F encontrará la siguiente información al
respecto:
• Parámetro "Central F-source address (Dirección de origen F central)" (dirección de origen F
para periferia F de dirección PROFIsafe tipo 2)
• Área efectivamente utilizada de las direcciones de destino F de la periferia F asignada de
dirección PROFIsafe tipo 1
• Área efectivamente utilizada de las direcciones de destino F de la periferia F asignada de
dirección PROFIsafe tipo 2
La periferia F configurada mediante comunicación I-slave-slave se contempla en la sección de
direcciones de destino F del I-slave del impreso de seguridad.
La periferia F configurada en un Shared Device se contempla en la sección de direcciones de
destino F de la CPU F a la que está asignada dicha periferia F en el impreso de seguridad.
Configuraciones soportadas
Las siguientes configuraciones de la periferia F (ver Descripción general de la configuración
(Página 42)) se soportan siempre:
Configuración centralizada (también I-slave):
• La periferia F está en el mismo rack que la correspondiente CPU F.
• La periferia F está en un rack de ampliación del rack de la CPU F correspondiente.

Configuración
Configuración descentralizada (conectada a la interfaz DP/PN integrada de la CPU o a CP/CM):

• PROFIBUS DP (también aguas abajo de un IE/PB-Link)
– La periferia F está conectada a un DP slave.
– La periferia F está conectada a un DP slave y se accede a ella mediante comunicación
I-slave-slave. El maestro DP asignado (el IO controller asignado del IE/PB-Link) puede
ser una CPU estándar o una CPU F.
• PROFINET IO
– La periferia F está conectada a un IO device.
– La periferia F está en un Shared Device para varios proyectos. Los Shared Devices
internos del proyecto no forman parte de las configuraciones soportadas.
Para un sistema redundante S7-1500HF, solo se considera soportada:
Configuración descentralizada (conectada a la interfaz PN integrada de la CPU HF)
• PROFINET IO
– La periferia F está en un IO device asignado a los sistemas IO de las dos CPU F.
Encontrará más información sobre IO devices para redundancia R1, S1 y S2 en el Ma
nual de funciones PROFINET
(https://support.industry.siemens.com/cs/ww/es/view/49948856), en el capítulo
"PROFINET con el sistema redundante S7-1500R/H".
En el caso de la periferia F no incluida en "Descripción general de la configuración (Página
42)", consulte la documentación correspondiente para saber si es compatible con el sistema F
SIMATIC Safety. En caso de duda, trate dicha periferia F como no perteneciente a una
configuración soportada.

Configuración
Comprobaciones efectuadas por el sistema F SIMATIC Safety

Para las configuraciones soportadas, el sistema F comprueba lo siguiente:
• Si el parámetro Modo de operación PROFIsafe (F_Par_Version) en el entorno PROFINET IO
está ajustado al "V2 mode"**.
• Si las direcciones de destino F asignadas son únicas en toda la CPU.
La univocidad de la dirección PROFIsafe en toda la red debe garantizarla el propio usuario.
• En el caso de la periferia F de dirección PROFIsafe tipo 2, si la dirección de origen F
coincide con el parámetro "Central F-source address (Dirección de origen F central)" de la
CPU F.
ADVERTENCIA
Al crear configuraciones que no pertenezcan a las configuraciones soportadas, debe tenerse

en cuenta lo siguiente:
• Asegurarse de que la periferia F de esta configuración figura en el impreso de seguridad y
de que se ha creado un DB de periferia F para ella. De lo contrario, no se podrá utilizar la
periferia F en esta configuración. (Dirigirse al servicio de atención al cliente).
• En el entorno PROFINET IO**, se debe comprobar para la periferia F si el parámetro Modo
de operación PROFIsafe (F_Par_Version) es correcto con ayuda del impreso de seguridad.
En el entorno PROFINET IO debe estar ajustado el "V2 mode". En el entorno PROFINET IO
no está permitido utilizar una periferia F que solo soporte el "V1 mode".
• Debe garantizarse una asignación única de la dirección PROFIsafe en toda la CPU*/**** y
en toda la red***:
– Asegurarse de que las direcciones PROFIsafe son correctas con ayuda del impreso de
seguridad.
– Si se utiliza periferia F con dirección PROFIsafe tipo 2, asegurarse con ayuda del
impreso de seguridad de que la dirección de origen F coincida con el parámetro
"Central F-source address (Dirección de origen F central)" de la CPU F.
– Para la periferia F con dirección PROFIsafe tipo 1 o si la dirección de origen F no se
puede ajustar de modo que coincida con el parámetro "Central F-source address
(Dirección de origen F central)" de la CPU F, la univocidad de la dirección PROFIsafe
debe garantizarse únicamente mediante la asignación unívoca de la dirección de
destino F.
La univocidad de la dirección de destino F debe comprobarse en una configuración no
soportada para cada periferia F individualmente con ayuda del impreso de seguridad. (Ver
Integridad y corrección de la configuración hardware (Página 363)) (S050)
* "En toda la CPU" significa: toda la periferia F asignada a una CPU F: la periferia F centralizada
de esta CPU F, la periferia F para la que la CPU F actúa como maestro DP/IO controller y la
periferia F asignada en un Shared Device. La periferia F a la que se accede a través de
comunicación I-slave-slave está asignada a la CPU F del I-slave y no a la CPU F del maestro
DP/IO controller.
** La periferia F está en el "entorno de PROFINET IO" si al menos una parte de la
comunicación orientada a la seguridad con la CPU F tiene lugar a través de PROFINET IO. Si la
periferia F está conectada a través de comunicación I-slave-slave, además deberá tenerse en
cuenta la vía de comunicación hacia el maestro DP/IO controller.
*** Una red se compone de una o varias subredes. "En toda la red" significa más allá de los
límites de la subred. En PROFIBUS, una red abarca todos los dispositivos accesibles a través de

Configuración
2.10 Direcciones PROFIsafe para periferia F de dirección PROFIsafe tipo 1
PROFIBUS DP. En PROFINET IO, una red abarca todos los dispositivos accesibles a través de
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) y, en su caso, RT_Class_UDP (IP, Layer 3).
**** En un sistema redundante S7-1500HF, ambas CPU F del sistema redundante S7-1500HF
deben considerarse una sola CPU F por lo que respecta a las direcciones PROFIsafe. Por ello, el
sistema ajustará de modo idéntico la "dirección de origen F central" para las dos CPU F.
NOTA
Encontrará indicaciones complementarias sobre la asignación unívoca de direcciones
PROFIsafe en toda la CPU y en toda la red en estas FAQ
(https://support.industry.siemens.com/cs/ww/es/view/109740240).
2.10 Direcciones PROFIsafe para periferia F de dirección PROFIsafe

tipo 1
Dirección de destino F
La univocidad de la dirección PROFIsafe solo puede garantizarse mediante la dirección de
destino F. La dirección de origen F no se muestra y no influye en la univocidad de la dirección
PROFIsafe.
Por ello, la dirección de destino F debe ser única en toda la red y en toda la CPU (ver las reglas
siguientes para la asignación de direcciones).
Para prevenir una parametrización errónea, al ubicar la periferia F en el área de trabajo de la
vista de dispositivos o redes, la dirección de destino F se asigna automática y unívocamente
para toda la CPU, a condición de que solo se configuren configuraciones (Página 62)
soportadas.
Para que la asignación de la dirección de destino F sea unívoca en toda la red aunque se
operen varios sistemas maestros DP y sistemas PROFINET IO, en los sistemas F SIMATIC
Safety, antes de ubicar la periferia F, los parámetros "Low limit for F-destination addresses
(Límite inferior para direcciones de destino F)" y "High limit for F-destination addresses
(Límite superior para direcciones de destino F)" deben ajustarse correctamente en las
propiedades de la CPU F (ver el apartado "Recomendaciones para la asignación de
direcciones") de manera que las áreas de direcciones de destino F no se solapen.
Si se modifica la dirección de destino F de una periferia F, para las configuraciones soportadas
se comprobará automáticamente la univocidad de la dirección de destino F en toda la CPU.
De modo general, la univocidad de la dirección de destino F en toda la red debe garantizarla
el propio usuario.

Configuración
Para los módulos F ET 200S, ET 200eco (PROFIBUS), ET 200pro, ET 200iSP y SM F S7-300, se

aplica lo siguiente:
la dirección de destino F debe ajustarse en la periferia F mediante interruptores DIL antes de
montar la periferia F. Pueden asignarse como máximo 1022 direcciones de destino F
distintas.
NOTA
(S7-300, S7-400) En el caso de los siguientes módulos de señales de seguridad S7-300, la
dirección de destino F es la dirección inicial del SM F dividida entre 8:
• SM 326; DI 8 x NAMUR (a partir de la referencia 6ES7326‑1RF00‑0AB0)
• SM 326; DO 10 x DC 24V/2A (referencia 6ES7326‑2BF01‑0AB0)
• SM 336; AI 6 x 13 Bit (referencia 6ES7336‑1HE00‑0AB0)
En la vista de dispositivos y en la vista de redes se pueden mostrar las columnas "F-source

address (Dirección de origen F)" y "F-destination address (Dirección de destino F)". Las
direcciones que se muestran en estas columnas solo tienen un carácter informativo. Al
realizar la recepción/aceptación de la instalación, deberá comprobar las direcciones de
destino F en el impreso de seguridad.
Reglas de asignación de direcciones
ADVERTENCIA
La periferia F con dirección PROFIsafe tipo 1 se direcciona de forma unívoca mediante su

dirección de destino F (p. ej., por las posiciones del interruptor de dirección).
La dirección de destino F (y, por lo tanto, también las posiciones del interruptor de dirección)
de la periferia F debe ser única en toda la red* y en toda la CPU**/*** (en todo el sistema)
para toda la periferia F. A este respecto también hay que tener en cuenta la periferia F con
dirección PROFIsafe tipo 2. (S051)
* Una red consta de una o varias subredes. "En toda la red" significa más allá de los límites de
la subred. En PROFIBUS, una red abarca todos los dispositivos accesibles a través de PROFIBUS
DP. En PROFINET IO, una red abarca todos los dispositivos accesibles a través de
** "En toda la CPU" significa: toda la periferia F asignada a una CPU F: la periferia F
centralizada de esta CPU F, la periferia F para la que la CPU F actúa como maestro DP/IO
controller y la periferia F asignada en un Shared Device. La periferia F a la que se accede a
través de comunicación I-slave-slave está asignada a la CPU F del I-slave y no a la CPU F del
maestro DP/IO controller.
*** En un sistema redundante S7-1500HF, ambas CPU F del sistema redundante S7-1500HF

Configuración
Tenga en cuenta también Recomendación para la asignación de las direcciones PROFIsafe

(Página 61).
NOTA
Consulte
también
Integridad del impreso de seguridad (Página 359)
2.11 Direcciones PROFIsafe para periferia F de dirección PROFIsafe

tipo 2
Dirección de origen F y dirección de destino F

La univocidad de la dirección PROFIsafe solo puede asegurarse combinando la dirección de
origen F y la dirección de destino F.
La dirección PROFIsafe debe ser única en toda la red y en toda la CPU. Para ello deben
cumplirse dos condiciones:
• La dirección de origen F (parámetro "Central F-source address (Dirección de origen F
central)") de la CPU F es única en toda la red. Téngalo en cuenta también al realizar
cambios.
• La dirección de destino F del módulo F es única en toda la CPU.
La dirección de origen F se define en la CPU F con el parámetro "Central F-source address
(Dirección de origen F central)". Si solamente se configuran configuraciones soportadas
(Página 62), este parámetro se aplicará automáticamente como dirección de origen F y la
dirección de destino F se asignará de manera unívoca para toda la CPU (normalmente desde
la 65534 hacia abajo).
Si se cambia la dirección de destino F, para las configuraciones soportadas se comprobará
automáticamente la univocidad de la dirección de destino F en toda la CPU.
La dirección de origen F y la dirección de destino F deben asignarse a la periferia F antes de
poner en marcha la periferia F. Encontrará más información al respecto en Asignación de la
dirección PROFIsafe de la periferia F con SIMATIC Safety (Página 69).
En la vista de dispositivos y en la vista de redes se pueden mostrar las columnas "F-source
address (Dirección de origen F)" y "F-destination address (Dirección de destino F)". Las
direcciones que se muestran en estas columnas solo tienen un carácter informativo. Al
realizar la recepción/aceptación de la instalación, deberá comprobar las direcciones de origen
F y las direcciones de destino F en el impreso de seguridad.

Configuración
Reglas de asignación de direcciones
ADVERTENCIA
La periferia F con dirección PROFIsafe tipo 2 se direcciona de manera unívoca mediante la

combinación de dirección de origen F (parámetro "Central F-source address (Dirección de
origen F central)" de la CPU F asignada) y dirección de destino F.
La combinación de dirección de origen F y dirección de destino F de cada periferia F debe ser
única en toda la red* y en toda la CPU**/*** (en todo el sistema). Además, la dirección de
destino F no debe estar ocupada por una periferia F con dirección PROFIsafe tipo 1.
Cuando se utilizan configuraciones soportadas (Página 62), la univocidad en toda la CPU F
queda garantizada si el parámetro "Central F-source address (Dirección de origen F central)"
de todas las CPU F es único en toda la red. Esto se consigue con distintos ajustes del
parámetro "Central F-source address (Dirección de origen F central)" de las CPU F. (S052)
*** En un sistema redundante S7-1500HF, ambas CPU F del sistema redundante S7-1500HF
Tenga en cuenta también Recomendación para la asignación de las direcciones PROFIsafe
(Página 61).
NOTA
Consulte
también
Integridad del impreso de seguridad (Página 359)

Configuración
2.13 Asignación de la dirección PROFIsafe de la periferia F con SIMATIC Safety
2.12 Ajustar la dirección de destino F de la periferia F con interruptor

DIP
Encontrará información sobre el modo de ajustar la dirección de destino F para periferia F con
interruptores DIP en la documentación de la periferia F correspondiente.
2.13 Asignación de la dirección PROFIsafe de la periferia F con

SIMATIC Safety
Introducción
La dirección PROFIsafe (Página 67), compuesta por la dirección de origen F y la dirección de
destino F, se asigna a los
• Módulos de seguridad S7-1500/ET 200MP
• Módulos de periferia de seguridad ET 200AL
• Módulos de periferia de seguridad ET 200eco PN
directamente desde STEP 7 Safety.
En el caso de los módulos F S7-1200, la dirección PROFIsafe se asigna automáticamente al
cargar la configuración hardware.
Esta periferia F no tiene interruptores DIL para ajustar la dirección de destino F unívoca para
cada módulo.
En los siguientes casos, es necesario repetir la asignación para los módulos de seguridad ET
200SP, los módulos de seguridad S7-1500/ET 200MP, los módulos de periferia de seguridad
ET 200AL y los módulos de periferia de seguridad ET 200eco PN:
• Al enchufar un módulo F posteriormente, durante la primera puesta en marcha (no para
ET 200eco PN)
• Al cambiar intencionadamente la dirección de destino F
• Al cambiar el parámetro "Central F-source address (Dirección de origen F centralizada)" de
la correspondiente CPU F (cambia la dirección de origen F).
• Al sustituir el elemento codificador
• Al poner en marcha una máquina de serie
En los siguientes casos, no es necesario repetir la asignación para los módulos de seguridad
ET 200SP y los módulos de seguridad S7-1500/ET 200MP:
• En caso de apagado/encendido (POWER OFF/POWER ON)
• Al sustituir un módulo F (para su reparación) sin programadora/PC
• Al sustituir la BaseUnit (utilizando en la nueva BaseUnit el elemento codificador con la
dirección de origen F y la dirección de destino F asignadas)
• Al sustituir una BaseUnit sin elemento codificador
• Al modificar la configuración enchufando una nueva BaseUnit aguas arriba de un módulo
F
• Al reparar o sustituir el módulo de interfaz

Configuración
En los siguientes casos, no es necesario repetir la asignación para los módulos de periferia de
seguridad ET 200eco PN y ET 200AL:
• En caso de apagado/encendido (POWER OFF/POWER ON)
• Al sustituir el equipo compacto (utilizando en el nuevo equipo compacto el elemento
codificador con la dirección de origen F y la dirección de destino F asignadas)
Procedimiento básico
NOTA
Asignación de la dirección PROFIsafe para módulos F S7-1200
El procedimiento que se describe a continuación para identificar y asignar direcciones
PROFIsafe no es necesario para los módulos F S7-1200.
Tenga en cuenta que en un S7-1200 no se permiten módulos F adicionales sin configurar.
1. Parametrice la dirección de destino F (Página 67) y la dirección de origen F (Página 67) en

la configuración hardware en STEP 7 Safety.
2. Identifique los módulos F ET 200SP, S7-1500/ET 200MP, los módulos de periferia de
seguridad ET 200AL o los módulos de periferia de seguridad ET 200eco PN a los que desee
asignar la dirección PROFIsafe.
3. Asigne la dirección PROFIsafe a las periferias F.
Asignación de la dirección PROFIsafe a periferias F mediante un sistema redundante S7-1500HF

En el cuadro de diálogo "Assign PROFIsafe address (Asignar dirección PROFIsafe)", en "Select
F-CPU of HF-System (Seleccionar la CPU F del sistema HF)", seleccione la CPU HF del sistema
redundante S7-1500HF mediante la que desee asignar la dirección PROFIsafe.

Configuración
La tabla siguiente muestra para cada estado del sistema, a través de qué CPU HF del sistema
redundante S7-1500HF puede asignarse la dirección PROFIsafe.
Estado del sistema/rol de la CPU Primary (primaria) Backup (reserva)

F
RUN-Redundant x x
RUN-Solo x -
STOP x -
x: se puede asignar, -: no se puede asignar
NOTA
Uso de R1-devices
La dirección PROFIsafe solo se puede asignar a periferias F en un R1-device a través del
módulo de interfaz izquierdo del R1-device. Por ello, en el cuadro de diálogo "Assign
PROFIsafe address (Asignar dirección PROFIsafe)" siempre se muestra el módulo de interfaz
izquierdo. Para poder asignar la dirección PROFIsafe, el módulo de interfaz izquierdo debe
estar conectado a la alimentación.
Si las dos CPU HF del sistema redundante S7-1500HF están en dos subredes diferentes, la
programadora y la CPU HF a través de las cuales se asignará la dirección PROFIsafe deben
encontrarse en la misma subred.

Configuración
2.13.1 Identificación de módulos F
Requisitos
Deben cumplirse los siguientes requisitos:
• La CPU F y los módulos F están configurados.
• En caso de utilizar un ET 200SP Open Controller, debe estar cargada la configuración
hardware del ET 200SP Open Controller y del Software Controller de seguridad.
• Se puede acceder online a la CPU F y los módulos F.
ADVERTENCIA
Es preciso asegurarse de haber cargado la configuración hardware actual en la CPU F antes

de la identificación. Haciendo clic en el botón "Identification (Identificación)" y, a
continuación, en "Assign PROFIsafe address (Asignar dirección PROFIsafe)", se confirma que
las direcciones PROFIsafe para las periferias F son correctas desde el punto de vista de la
seguridad.
Por ello, hay que proceder con cautela al confirmar las periferias F mediante el parpadeo de
LED o el número de serie de la CPU F con periferias F centralizadas o el número de serie del
módulo de interfaz con periferias F.
La asignación de las direcciones PROFIsafe con el número de serie del módulo de interfaz
solo está permitida si la asignación debe realizarse para todas las periferias F de una
estación. Para ello, el número de serie se debe leer y anotar directamente en la CPU F* o el
módulo de interfaz**. No está permitido leer el número de serie a través de la vista Online y
diagnóstico del TIA Portal.
Para las periferias F del sistema de periferia descentralizada ET 200AL se aplica una regla
especial. Para estas periferias F solo se admite la identificación mediante parpadeo y solo
puede seleccionarse exactamente una periferia F para asignar la dirección PROFIsafe.
* En un ET 200SP Open Controller debe leerse en el display el número de serie del Software
Controller S7-1500 de seguridad, en el menú "Overview (Vista general) > CPU)" y anotarse.
** En un R1-device debe leerse y anotarse el número de serie del módulo de interfaz
izquierdo. (S046)
Procedimiento
Para identificar los módulos F, haga lo siguiente:
1. Establezca una conexión online con la CPU F a la que estén asignados los módulos F.
2. En la vista de redes, seleccione
– la CPU F con módulos F,
– el módulo de interfaz con módulos F
a los que desea asignar direcciones PROFIsafe.
También puede seleccionar un solo módulo F.

Configuración
3. En el menú contextual, seleccione "Assign PROFIsafe address (Asignar dirección

PROFIsafe)".
NOTA
Para integrar un módulo ET 200AL de seguridad en una configuración del sistema de
periferia descentralizada ET 200SP (configuración mixta ET 200AL/ET 200SP con ET
Connection), abra el cuadro de diálogo "Assign PROFIsafe address (Asignar dirección
PROFIsafe)" en la vista de dispositivos del ET 200SP por separado para cada módulo ET
200AL.
4. En "Assign PROFIsafe address through (Asignar dirección PROFIsafe mediante)", elija el

método para identificar los módulos F.
– "Identification by LED flashing (Identificación mediante parpadeo de LED)"
Este es el ajuste predeterminado. Durante la identificación parpadean los LED DIAG y
STATUS de los módulos F que se desean identificar.
– "Identification by serial number (Identificación mediante número de serie)"
Si no tiene contacto visual directo con los módulos F, tiene la posibilidad de
identificarlos con el número de serie anotado de la CPU F o del módulo de interfaz.
NOTA
Además del número de serie impreso en la CPU F o en el módulo de interfaz, el número
de serie mostrado puede incluir el año. Aún así, los números de serie son idénticos.
5. Para la identificación mediante parpadeo de LED, seleccione en la columna "Assign

(Asignar)" todos los módulos F a los que desea asignar la dirección PROFIsafe.
Si selecciona la CPU F o el módulo de interfaz en la columna "Assign (Asignar)", se
seleccionarán todos los módulos F de la estación.
6. Haga clic en el botón "Identification (Identificación)". Compruebe si parpadean en verde
los LED DIAG y STATUS de los módulos F cuya dirección PROFIsafe desea asignar. Para la
identificación mediante el número de serie, compare el número de serie mostrado con el
número de serie anotado de la CPU F con módulos de interfaz F centralizados o del
módulo de interfaz con módulos F.
Para determinados módulos F y variantes de configuración, debe tenerse en cuenta el
siguiente comportamiento:
– Si se han configurado más módulos F de los que existen realmente, aparecerá un
cuadro de diálogo. En ese cuadro de diálogo, introduzca el número de módulos F
realmente existentes y confirme el cuadro de diálogo.
– Si ha configurado menos módulos F de los que existen realmente, se mostrará una
diferencia online-offline y no podrá asignar la dirección PROFIsafe.
2.13.2 Asignación de la dirección PROFIsafe
Requisitos
Los módulos F se han identificado correctamente.

Configuración
Procedimiento
Para asignar la dirección PROFIsafe, haga lo siguiente:
1. En la columna "Confirm (Confirmar)", seleccione todos los módulos F a los que desea
asignar la dirección de origen F y las direcciones de destino F.
2. Asigne la dirección PROFIsafe a los módulos F con el botón "Assign PROFIsafe address
(Asignar dirección PROFIsafe)". Si es necesario, introduzca la contraseña de la CPU F.
Para asignar la dirección PROFIsafe, deberá confirmar el cuadro de diálogo "Confirm
PROFIsafe-address assignment (Confirmar asignación de dirección PROFIsafe)" en un plazo
máximo de 60 segundos.
2.13.3 Asignación de la dirección PROFIsafe a un módulo F en un Shared Device

para varios proyectos
Introducción
La dirección PROFIsafe para un módulo F de un Shared Device para varios proyectos debe
asignarse siempre desde el proyecto en el que está el IO controller (CPU F) al que está
asignado el módulo F.
Por ello, en el cuadro de diálogo "Assign PROFIsafe address (Asignar dirección PROFIsafe)"
solo pueden seleccionarse para asignar la dirección PROFIsafe los módulos F asignados a un
IO controller (CPU F) de dicho proyecto.
Requisitos
Deben cumplirse los siguientes requisitos:
• Todos los requisitos de los capítulos "Identificación de módulos F (Página 72)" y
"Asignación de la dirección PROFIsafe (Página 73)".
• Está cargada la configuración hardware de todos los IO controller (CPU F) a los que se ha
asignado un módulo F del Shared Device.
• Todos los IO controller (CPU F) a los que se ha asignado un módulo F del Shared Device y
el Shared Device deben encontrarse en la misma subred.
Procedimiento
Para identificar los módulos F y asignar la dirección PROFIsafe, proceda de acuerdo a lo
descrito en los capítulos "Identificación de módulos F (Página 72)" y "Asignación de la
dirección PROFIsafe (Página 73)".
Si los módulos F de un Shared Device para varios proyectos están asignados a varios IO
controller (CPU F) de distintos proyectos, realice la asignación consecutivamente desde los
distintos proyectos.

Configuración
2.14 Particularidades de la configuración de DP slaves normalizados de seguridad y IO devices normalizados de
seguridad
Consulte
también
Configuración de Shared Devices (Página 59)
2.13.4 Modificación de la dirección PROFIsafe
Modificación de la dirección PROFIsafe
NOTA
No olvide que, tras modificar la dirección PROFIsafe de una periferia F, también debe
realizarse una recepción/aceptación (Página 363), incluido el control de la modificación
(Página 375) utilizando el impreso de seguridad (Página 332).
1. Modifique la dirección PROFIsafe (dirección de destino F, dirección de origen F) en la

configuración hardware.
2. Compile la configuración hardware.
3. Cargue la configuración hardware en la CPU F.
4. En el menú contextual, seleccione "Assign PROFIsafe address (Asignar dirección
PROFIsafe)".
5. Proceda de acuerdo a lo descrito en Identificación de módulos F (Página 72) y Asignación
de la dirección PROFIsafe (Página 73).
2.14 Particularidades de la configuración de DP slaves normalizados

de seguridad y IO devices normalizados de seguridad
Requisitos
Para poder utilizar DP slaves normalizados de seguridad con SIMATIC Safety, es necesario que
dichos slaves normalizados estén conectados a PROFIBUS DP y soporten el perfil de bus
PROFIsafe. Si se utiliza una CPU F S7-1200/1500, deberán soportar el perfil de bus PROFIsafe
en MODO V2.
Los DP slaves normalizados de seguridad que se utilizan en configuraciones mixtas con
PROFIBUS DP y PROFINET IO aguas abajo del IE/PB-Link deben soportar el perfil de bus
PROFIsafe en V2 MODE.
Para poder utilizar IO devices normalizados de seguridad para SIMATIC Safety, es necesario
que dichos dispositivos normalizados estén conectados a PROFINET IO y soporten el perfil de
bus PROFIsafe en V2 MODE.
Configuración con archivos GSD

La base para configurar los DP slaves normalizados o IO devices normalizados de seguridad
es, al igual que en el programa estándar, la especificación del dispositivo en el archivo GSD
(archivo de datos del dispositivo).

Configuración
seguridad
En un archivo GSD se guardan todas las propiedades de un DP slave normalizado o un IO

device normalizado. En el caso de los DP slaves normalizados o IO devices normalizados de
seguridad, algunas partes están protegidas por CRC.
Los archivos GSD son proporcionados por los fabricantes de los dispositivos.
Protección de la estructura de datos del dispositivo en archivos GSD

Solo se soportan los archivos GSD que cumplen la protección exigida por la PROFIsafe
Specification V2.0 con un CRC almacenado en ese archivo ("Setpoint (Consigna) " para
F_IO_StructureDescCRC).
Al insertar la periferia F en la configuración hardware y al compilar la configuración hardware,
se comprueba la estructura de datos descrita en el archivo GSD. Si, al hacerlo, se detecta un
error, debe comprobarse si el archivo GSD proporcionado por el fabricante del dispositivo
contiene la consigna para F_IO_StructureDescCRC.
Asignación y ajuste de la dirección PROFIsafe
ADVERTENCIA
Consultar la documentación del DP slave normalizado de seguridad/IO device normalizado de

seguridad para averiguar qué tipo de dirección PROFIsafe es válida para él. Si no se
encuentra información, debe presuponerse que se trata de la dirección PROFIsafe tipo 1.
Para la configuración, proceder tal y como se describe en Direcciones PROFIsafe para
periferia F de dirección PROFIsafe tipo 1 (Página 65) o Direcciones PROFIsafe para periferia F
de dirección PROFIsafe tipo 2 (Página 67).
Para DP slaves normalizados de seguridad/IO devices normalizados de seguridad, es preciso
ajustar la dirección de origen F según las indicaciones del fabricante. Si la dirección de origen
F debe coincidir con el parámetro "Central F-source address (Dirección de origen F central)"
de la CPU F (dirección PROFIsafe tipo 2), este último está en la pestaña "Properties
(Propiedades)" de la CPU F. Comprobar en este caso con ayuda del impreso de seguridad que
el valor de la CPU F para el parámetro "Central F-source address (Dirección de origen F
central)" coincide con el valor de la dirección de origen F del DP slave normalizado de
seguridad/IO device normalizado de seguridad. (S053)
Procedimiento para la configuración con archivos GSD

Importe los archivos GSD a su proyecto (ver Ayuda de STEP 7, "Archivos GSD").
1. Seleccione el DP slave normalizado/IO device normalizado de seguridad en la Task Card
"Hardware catalog (Catálogo de hardware)" y conéctelo a la subred correspondiente en la
vista de redes.
2. Seleccione el DP slave normalizado/IO device normalizado de seguridad e inserte los
módulos F necesarios, si no se han insertado ya automáticamente.
3. Seleccione el módulo F en cuestión y abra la pestaña "Properties (Propiedades)" en la
ventana de inspección.
A diferencia de otros componentes de la periferia F, los DP slaves normalizados/IO devices
normalizados de seguridad tienen activado el parámetro "Manual assignment of F-monitoring
time (Asignación manual del tiempo de vigilancia F)". Por ello, al enchufarlos se utiliza el valor

Configuración
seguridad
especificado en el archivo GSD como valor predeterminado para el tiempo de vigilancia F. Los
dos valores (tiempo y tipo de asignación) se pueden modificar manualmente en otro
momento.
Parámetros F "F_CRC_Seed" y "F_Passivation" para IO devices normalizados de seguridad

Los parámetros F "F_CRC_Seed" y "F_Passivation" afectan al comportamiento de los IO devices
normalizados de seguridad. La combinación de estos parámetros F no se puede ajustar, sino
que se define seleccionando el correspondiente módulo F. En función de la CPU F S7-300/400
o S7-1200/1500 que se utilice, pueden usarse hasta tres variantes de módulos F.
Variante de F_CRC_Seed F_Passivation Comportamiento del IO device normalizado de Se puede utilizar
módulo F seguridad con la CPU F
1 Parámetro no Parámetro no exis El IO device normalizado funciona con el Basic S7-300/400/1200/1
existente tente Protocol (BP) de PROFIsafe. 500*
No se soporta el perfil "RIOforFA-Safety".
2 CRC-Seed24/32 Device/Module El IO device normalizado funciona con el Expan S7-1200/1500
ded Protocol (XP) de PROFIsafe.
No se soporta el perfil "RIOforFA-Safety".
3 CRC-Seed24/32 Channel El IO device normalizado funciona con el Expan S7-1200/1500
ded Protocol (XP) de PROFIsafe.
Se soporta el perfil "RIOforFA-Safety".
* Para las CPU F S7-1200/1500, utilice la variante F 1 del módulo solo si no existen las variantes F 2 y 3.
Más información
Encontrará una descripción de los parámetros en la ayuda para los DP slaves normalizados y
IO devices normalizados de seguridad.

Safety Administration Editor 3
Descripción general
El Safety Administration Editor le asiste en lo siguiente:
• Mostrar el estado del modo seguro
• Desactivación del modo seguro
• (S7-1200, S7-1500) Mostrar y cambiar el estado de Fast Commissioning
• Mostrar el estado del programa de seguridad
• Mostrar la firma colectiva F
• (S7-1200, S7-1500) Mostrar la firma colectiva SW F
• (S7-1200, S7-1500) Mostrar la firma colectiva HW F
• (S7-1200, S7-1500) Firma de la dirección de comunicación F
• Crear y organizar grupos de ejecución F
• Mostrar información sobre los bloques F
• Mostrar información sobre tipos de datos PLC conformes con F (UDT)
• Establecer y cambiar la protección de acceso
• Información para usuarios con permiso Admin F
• Establecer y modificar ajustes para el programa de seguridad, p. ej., activar el historial de
modificaciones F
• (S7-1200, S7-1500) Crear, mostrar y eliminar comunicaciones F mediante Flexible F-Link

Safety Administration Editor
El Safety Administration Editor se divide en las siguientes áreas:

• General
En "General" se muestra lo siguiente:
– Estado del modo seguro
– Estado del Fast Commissioning
– Estado del programa de seguridad
– Firmas F
Encontrará más información sobre el área "General" en "Área "General" (Página 81)".
• F-runtime group (Grupo de ejecución F)
En "F-runtime group (Grupo de ejecución F)" se definen los bloques y las propiedades de
un grupo de ejecución F.
Encontrará más información sobre los grupos de ejecución F en "Área "F-runtime group
(Grupo de ejecución F)" (Página 83)".
• F-blocks (Bloques F)
En "F-blocks (Bloques F)" encontrará información sobre los bloques F utilizados en el
programa de seguridad y sus propiedades. Encontrará más información sobre el área
"F-blocks (Bloques F)" en "Área "F-blocks (Bloques F)" (Página 85)".

3.1 Llamada del Safety Administration Editor
• F-compliant PLC data types (Tipos de datos PLC conformes con F)

En "F-compliant PLC data types (Tipos de datos PLC conformes con F)" encontrará
información sobre los tipos de datos PLC conformes con F (UDT) creados. También puede
averiguar si se utiliza un tipo de datos PLC conforme con F (UDT) en el programa de
seguridad. Encontrará más información sobre el área "F-compliant PLC data types (Tipos
de datos PLC conformes con F)" en "Área "F-compliant PLC data types (Tipos de datos PLC
conformes con F)" (S7-1200, S7-1500) (Página 86)".
• Access protection (Protección de acceso)
En "Access protection (Protección de acceso)" puede definir, modificar o anular la
contraseña para el programa de seguridad. También puede configurar la protección de
acceso para datos del proyecto relativos a la seguridad mediante la protección del
proyecto. Para el modo productivo se requiere obligatoriamente una protección de acceso.
Encontrará más información sobre la protección de acceso en "Protección de acceso a los
datos del proyecto relativos la seguridad en toda la CPU (Página 96)".
• Web server F-Admins (Admins F del servidor web)
En "Web server F-Admins (Admins F del servidor web)" encontrará información sobre los
usuarios con el atributo "F-Admin (Admin F)" para el servidor web de la CPU F. Encontrará
más información sobre el área "Web server F-Admins (Admins F del servidor web)" en
"Área "Web server F-Admins (Admin F de servidor web)" (S7-1200, S7-1500) (Página 87)".
• Settings (Ajustes)
En "Settings (Ajustes)" se ajustan los parámetros para el programa de seguridad.
Encontrará más información sobre los ajustes del programa de seguridad en "Área
"Settings (Configuración)" (Página 87)".
• Flexible F-Link
En el área "Flexible F-Link " encontrará información en formato de tabla sobre las
comunicaciones F mediante Flexible F-Link configuradas y podrá crear comunicaciones F.
Encontrará información en "Área "Flexible F-Link" (S7-1200, S7-1500) (Página 93)".
Consulte
también
Estructura del programa de seguridad (S7-1200, S7-1500) (Página 106)
Estructura del programa de seguridad (S7-300, S7-400) (Página 104)
Definir grupos de ejecución F (Página 126)
3.1 Llamada del Safety Administration Editor
Requisitos
El Safety Administration Editor aparece en el árbol del proyecto si en el proyecto actual se ha
configurado una CPU como CPU F, es decir, si se ha activado la opción "F-capability activated
(Funcionalidad F activada)" (en las propiedades de la CPU F).

3.2 Área "General"
Procedimiento
Para abrir el Safety Administration Editor, haga lo siguiente:
1. Abra la carpeta de la CPU F en el árbol del proyecto.
2. Haga doble clic en "Safety Administration (Administración Safety)" o elija el
correspondiente menú contextual del Safety Administration Editor con el botón derecho
del ratón.
Resultado
En el área de trabajo aparecerá el Safety Administration Editor de su CPU F.
3.2 Área "General"
"Safety mode status (Estado del modo seguro)"

En "Safety mode status (Estado del modo seguro)" se muestra el estado actual del modo
seguro. El requisito es que exista una conexión online con la CPU F seleccionada.
Son posibles los estados siguientes:
• "The safety mode is activated (El modo seguro está activado)"
• "The safety mode is not activated (El modo seguro no está activado)."
• "F-CPU is in STOP (La CPU F está en STOP)"
• "No active F-CPU available (No hay ninguna CPU F activa)"
• "F-runtime group not called (No se ha llamado el grupo de ejecución F)"
• "The safety program is not called (No se llama el programa de seguridad)"
• "(No online connection) ((No hay conexión online))"
"Disable safety mode (Desactivar el modo seguro)"

Si hay una conexión online en curso y el modo seguro está activado, puede desactivar el
modo seguro de la CPU F seleccionada con el botón "Disable safety mode (Desactivar el modo
seguro)". El modo seguro solo se puede desactivar para todo el programa de seguridad y no
para grupos de ejecución F individuales.
Encontrará más información en el capítulo "Desactivación del modo seguro (Página 336)".
"Fast Commissioning status (Estado del Fast Commissioning)"

Para usar el modo Fast Commissioning, la opción "Safety mode can be disabled (El modo
seguro se puede desactivar)" del área "Settings (Ajustes)" (Página 87) debe estar activada y se
debe haber compilado el programa de seguridad de forma coherente. El modo Fast
Commissioning puede ejecutarse con "Fast Compile (Compilación rápida)" (opción
predeterminada) o con "Consistent Compile (Compilación coherente)". Encontrará más
información en el capítulo "Modificación del programa de seguridad en RUN (S7-1200,
S7-1500) (Página 349)".

3.2 Área "General"
"Safety program status (Estado del programa de seguridad)"

En "Safety program status (Estado del programa de seguridad)" se muestra el estado actual
del programa online y offline.
Son posibles los estados siguientes:
• Consistent (Coherente)
(Con información, si no se ha asignado una contraseña. Esta información no existe si se
utiliza la protección del proyecto).
• Inconsistent (Incoherente)
• Modificado
• Modo Fast Commissioning activo
(Si se ha activado el modo Fast Commissioning con "Fast Compile (Compilación rápida)" y
se ha modificado el programa)
Si no se ha podido establecer una conexión con el programa online, se emite la indicación
"(No online connection) ((No hay conexión online))".
"F-signatures (Firmas F)"
Si no existe conexión online

En "F-signatures (Firmas F)" se muestran varias firmas. Cada firma se crea a partir de
diferentes partes de los datos del proyecto de seguridad.
• Collective F-signature (Firma colectiva F): Esta firma cambia cada vez que se modifican los
datos del proyecto de seguridad. Incluye las firmas que se describen a continuación.
• Collective F-SW-Signature (Firma colectiva SW F) (S7-1200/1500): Esta firma cambia
cuando se modifica el programa de seguridad.
• Collective F-HW-Signature (Firma colectiva HW F) (S7-1200/1500): Esta firma cambia
cuando se modifica la configuración HW de seguridad.
• F-Communication Address Signature (Firma de la dirección de comunicación F)
(S7-1200/1500): Esta firma cambia cuando se modifica el nombre o el UUID de
comunicación F de las conexiones de comunicación con Flexible F-Link.
En la columna "Time stamp (Sello de tiempo)" se muestra el momento de la última
compilación para la firma colectiva F.
Si existe conexión online
Si existe conexión online, en "Code signature (Firma de programa)" se muestra lo siguiente:
• El estado del programa de seguridad
Esta Significado
do
Las firmas colectivas F online y offline coinciden
Las firmas colectivas F online y offline no coinciden
— No se ha podido determinar el estado del programa de seguridad.
• Las firmas colectivas F online y offline

3.3 Área "F-runtime group (Grupo de ejecución F)"
• En caso de coincidencia de las firmas colectivas F: información acerca de si las versiones

de los bloques F online y offline coinciden
Estado Comparación Resultado

de versiones
No relevante Las firmas colectivas F online y offline no coinciden.
Las firmas colectivas F online y offline coinciden, pero en modo onli
ne se utilizan versiones de los bloques F diferentes de las que se utili
zan offline
Las firmas colectivas F online y offline coinciden, y tanto online como
offline se utilizan versiones idénticas de los bloques F.
No relevante — No se han podido determinar las Safety System Versions.
Encontrará más información sobre la coherencia del programa de seguridad online en

Identidad del programa online y offline (Página 372).
Consulte
también
Identificación del programa (Página 328)
3.3.1 Área "F-runtime group (Grupo de ejecución F)"

Un programa de seguridad se compone de uno o dos grupos de ejecución F.
Encontrará información general sobre los grupos de ejecución F en "Estructura del programa
de seguridad (S7-1200, S7-1500) (Página 106)" o "Estructura del programa de seguridad
(S7-300, S7-400) (Página 104)".
Encontrará información sobre cómo crear grupos de ejecución F en Definir grupos de
ejecución F (Página 126).
(S7-1200, S7-1500) "Generate global F-I/O status block (Crear bloque de estado global de
periferia F)"
Puede crear un bloque estándar (FB) con el nombre "RTGx_GLOB_FIO_STATUS" que evalúe si
se están emitiendo valores sustitutivos en lugar de los valores de proceso para al menos una
periferia F o al menos un canal de una periferia F de un grupo de ejecución F. Encontrará el
resultado de la evaluación en la salida "QSTATUS". Esto no afecta a las periferias F que se
hayan desactivado con la variable DISABLE en el DB de periferia F.
La salida "RIOforFA_VALUE_STATUS" coincide con la salida "QSTATUS", pero solo tiene en
cuenta las periferias F con el perfil "RIOforFA-Safety".
Para generar este FB estándar, utilice el botón "Generate global F-I/O status block (Crear
bloque de estado global de la periferia F)". Solo se puede crear el FB estándar si el programa
de seguridad está compilado. El FB estándar se puede llamar desde cualquier punto del
programa de usuario estándar.
NOTA
En caso de agregar o eliminar periferia F, se debe volver a crear el "RTGx_GLOB_FIO_STATUS".

Consulte
también
Valores de proceso o valores sustitutivos (Página 155)
3.3.2 Preprocesamiento/postprocesamiento (S7-1200, S7-1500)

Con el preprocesamiento/postprocesamiento tiene la posibilidad de llamar bloques estándar
(FC) justo antes o después de un grupo de ejecución F, p. ej., para transferir datos en la
comunicación orientada a la seguridad mediante Flexible F-Link (Página 285).
Requisitos
• Solo se pueden utilizar FC estándar.
• En la interfaz de un FC estándar solo se admiten datos locales temporales y constantes.
• (S7-1500) Si el grupo de ejecución F está en una Safety Unit y se deben utilizar los FC
fuera de la Safety Unit, estos FC deben estar publicados y su Software Unit debe estar
conectada con la Safety Unit mediante una relación.
Procedimiento
1. Cree FC estándar para el preprocesamiento/postprocesamiento.
2. Asigne los FC estándar en el Safety Administration Editor en "Pre/Post processing of the
F-runtime group (Preprocesamiento/postprocesamiento del grupo de ejecución F)".
NOTA
Si se borra un FC asignado o se sobrescribe con una copia, se anulará automáticamente su
selección como bloque de preprocesamiento/postprocesamiento.
Efectos en el programa de seguridad

• Al tiempo de ejecución del grupo de ejecución F se le sumará el tiempo de ejecución de
los FC estándar para preprocesamiento/postprocesamiento (afecta a TRTG_CURR y
TRTG_LONG en el DB de información del grupo de ejecución F).
• Dado que el preprocesamiento/postprocesamiento no altera la funcionalidad del programa
de seguridad, la firma colectiva F no cambiará después de compilar.
Comportamiento de carga
Al compilar, las llamadas de los FC estándar seleccionados se colocan antes o después del
bloque Main-Safety en el OB F, según el caso.
Por ello, se necesitará el estado operativo STOP para una posterior descarga.

3.4 Área "F-blocks (Bloques F)"
El contenido de los FC estándar se puede modificar en RUN.

La excepción son los cambios de nombres y números de bloques, que requieren la
compilación del programa de seguridad.
Si se carga un bloque individual de preprocesamiento/postprocesamiento desde la CPU F, este
no se conectará automáticamente con el grupo de ejecución F en el Safety Administration
Editor.
En cambio, si se realiza una carga coherente desde la CPU F a la programadora/el PC, se
actualizarán también los ajustes de preprocesamiento/postprocesamiento conforme a la CPU
online.
3.4 Área "F-blocks (Bloques F)"
El área "F-blocks (Bloques F)" le asiste en las siguientes tareas:
• Mostrar los bloques F utilizados en el programa de seguridad.
• Mostrar los bloques F utilizados en los grupos de ejecución F.
• Mostrar información adicional sobre los bloques F.
En tal caso, los bloques F se muestran jerárquicamente como en la carpeta "Program blocks
(Bloques de programa)".
Encontrará una descripción de los bloques F en "Creación de bloques F en FUP/KOP (Página
142)".
Información que se muestra

En modo offline se muestra la siguiente información:
• Si se han compilado y utilizado los bloques F que se muestran
• Función de los bloques F en el programa de seguridad
• Firma del bloque
• Firma del grupo
• Sello de tiempo de la modificación de los bloques F
En modo online se muestra la siguiente información:
• Estado (si el bloque tiene el mismo sello de tiempo online y offline)
• Función del bloque F en el programa de seguridad
• Firma del bloque offline
• Firma del grupo offline
• Firma del bloque online
• Firma del grupo online
NOTA
Durante la comparación offline-online, en casos aislados pueden diferir los estados de
comparación en el Editor de comparación y en la indicación de estados en el Safety
Administration Editor. El resultado determinante es el del editor de comparación, ya que solo
aquí se analiza el contenido de los bloques F a efectos de comparación.

3.5 Área "F-compliant PLC data types (Tipos de datos PLC conformes con F)" (S7-1200, S7-1500)
NOTA
Las firmas de grupo se forman a partir de las firmas de los bloques F contenidos en los grupos
y subgrupos. Solo se tienen en cuenta los bloques F utilizados en el programa de seguridad.
Solo se muestran las firmas de grupo hasta el 6.º nivel de la jerarquía.
Función de filtro
La función de filtro permite elegir si se deben mostrar todos los bloques F de un determinado
grupo de ejecución F o de todo el programa de seguridad.
• Para ver todos los bloques F, elija "All F-blocks (Todos los bloques F)" en la lista
desplegable.
• Para ver todos los bloques F de un grupo de ejecución F, elija un grupo de ejecución F de
la lista desplegable.
3.5 Área "F-compliant PLC data types (Tipos de datos PLC conformes
con F)" (S7-1200, S7-1500)
En el área "F-compliant PLC data types (Tipos de datos PLC conformes con F)" encontrará
información sobre los tipos de datos PLC conformes con F (UDT) que haya definido.
Puede eliminar tipos de datos PLC conformes con F (UDT) mediante el menú contextual.
Encontrará una descripción de los tipos de datos PLC conformes con F (UDT) en "Tipos de
datos PLC conformes con F (UDT) (S7-1200, S7-1500) (Página 118)".
Información que se muestra

En modo offline se muestra la siguiente información sobre los tipos de datos PLC conformes
con F (UDT):
• ¿El tipo de datos PLC conforme con F (UDT) se utiliza en el programa de seguridad?
• Sello de tiempo de la última modificación.
En modo online se muestra la siguiente información sobre los tipos de datos PLC conformes
con F (UDT):
• Estado (si los tipos de datos PLC conformes con F (UDT) online y offline tienen el mismo
sello de tiempo)
En ese caso, los tipos de datos PLC conformes con F (UDT) se muestran jerárquicamente
como en la carpeta "PLC data types (Tipos de datos PLC)".
Para editar un tipo de datos PLC conforme con F (UDT), haga doble clic en él.

3.7 Área "Settings (Configuración)"
Encontrará la descripción de los símbolos de la columna "Status (Estado)" en "Comparación de

programas de seguridad (Página 329)".
NOTA
Durante la comparación offline-online, en casos aislados puede diferir el estado de
comparación entre el Editor de comparación y la indicación de estados en el Safety
Administration Editor. El resultado determinante es el del editor de comparación, ya que solo
en este caso se analiza el contenido de los tipos de datos PLC conformes con F (UDT) a
efectos de comparación.
3.6 Área "Web server F-Admins (Admin F de servidor web)" (S7-1200,

S7-1500)
Para restaurar una copia de seguridad (Página 317) mediante el servidor web de la CPU F se
necesita el derecho "F-Admin (Admin F)". El derecho "F-Admin (Admin F)" se asigna en la
configuración HW de la CPU F, en la administración de usuarios del servidor web.
En esta área puede averiguar qué usuarios poseen el derecho "F-Admin (Admin F)" online u
offline para las CPU F que soportan este derecho. Así podrá saber si una modificación del
derecho "F-Admin (Admin F)" es efectiva en la CPU F. Para que una modificación del derecho
"F-Admin (Admin F)" sea efectiva, se debe cargar la configuración en la CPU F.
Consulte
también
Integridad y corrección de la configuración hardware (Página 363)
"Assignment of block numbers generated by the safety system (Rangos numéricos de los
bloques de sistema F generados)"
El sistema F utilizará los rangos numéricos parametrizados aquí para nuevos bloques F
creados automáticamente.
Aquí puede elegir si los rangos numéricos serán administrados por el sistema F o se utilizará
un rango fijo especificado por el usuario.
• "F-system managed (Administrado por el sistema F)"
Los rangos numéricos son administrados automáticamente por el sistema F, en función de
la CPU F utilizada. El sistema F elige un rango numérico libre. Se muestran los rangos
iniciales y finales de los rangos numéricos.
• "Fixed range (Rango fijo)"
El usuario puede elegir los rangos iniciales y finales de los rangos numéricos dentro del
rango libre. El rango libre depende de la CPU F utilizada.
Si se elige un rango numérico incorrecto, se emite un mensaje de error.
Durante la configuración, solo se comprueba si el límite inferior ajustado es menor o igual
que el límite superior y está dentro del rango libre de la CPU F. Solo en el momento de la
compilación se comprueba si el rango ajustado es suficiente. Debe asegurarse de que el
rango sea suficientemente grande. Si el rango disponible no es suficiente, se producirá un

error de compilación. No se generarán todos los bloques y el programa de seguridad no se

podrá ejecutar.
Las modificaciones no serán válidas hasta la próxima compilación. Durante la compilación, los
bloques F creados automáticamente, si los hay, se desplazan al nuevo rango. La excepción
son los DB de periferia F. Estos conservan siempre su número original, que puede cambiarse,
si se desea, en las propiedades de la periferia F.
"Safety system version"

Este parámetro especifica la Safety System Version (incluida la versión de los bloques de
sistema F y los bloques F generados automáticamente, ver Descripción general de la
programación (Página 104)).
Hay varias versiones disponibles:
Ver S7-300/400 S7-1200 S7-1500 Funcionamiento
sión3
1.6 — x x Estas versiones son funcionalmente idénticas.
Sin embargo, dependiendo de la versión ajustada, los tiempos de ejecu
2.0 x x1 x2
ción de los grupos de ejecución F pueden variar (ver el archivo Excel para
calcular el tiempo de reacción en Internet
(https://support.industry.siemens.com/cs/ww/es/view/109783831))
2.1 — x1 x2 Soporta adicionalmente las variables "DISABLE" y "DISABLED" en el DB de
periferia F
2.2 — x1 x2 Soporta la comunicación CPU-CPU orientada a la seguridad y la comunica
ción entre grupos de ejecución F con Flexible F-Link.
2.3 — x1 x2 Esta versión es funcionalmente idéntica a la versión 2.2.
2.4 — x1, 4 x2 Soporta adicionalmente:
• CPU HF
• Modo Fast Commissioning con "Fast Compile (Compilación rápida)"
• Runtime for the deactivated safety mode (Tiempo de ejecución para el
modo seguro desactivado)
2.5 — — x5 Soporta adicionalmente:
• Modo Fast Commissioning con "Consistent Compile (Compilación
coherente)"
1 Soportado con firmware V4.2 o superior
3 Tras migrar proyectos creados con
4 El modo Fast Commissioning con "Fast Compile (Compilación rápida)" se soporta a partir del firmware V4.5.
5 El modo Fast Commissioning con "Consistent Compile (Compilación rápida)" se soporta a partir del firmware V3.0 o supe
rior. En el caso de S7-1500 F Software Controller, solo está disponible para IPC aprobados con firmware V30.0 o superior.
En casos normales, no es necesario ajustar este parámetro.

Al crear una nueva CPU F con STEP 7 Safety se utiliza automáticamente la versión más alta
disponible para la CPU F creada.
"Local data used in safety program (Ajustes de datos locales)" (S7-300, S7-400)
Con este parámetro se define el número de datos locales temporales en bytes que está
disponible para la jerarquía de llamada que está por debajo del bloque Main-Safety.

Este ajuste se aplica a todos los grupos de ejecución F de un programa de seguridad.

Encontrará más información sobre los grupos de ejecución F en "Estructura del programa de
seguridad (S7-300, S7-400) (Página 104)" o "Estructura del programa de seguridad (S7-1200,
S7-1500) (Página 106)".
El número mínimo ajustable se determina en función del uso de datos locales de los bloques
F agregados automáticamente al compilar el programa de seguridad:
Por ello debe haber disponibles como mínimo 440 bytes. Sin embargo, la demanda de datos
locales para los bloques F agregados automáticamente también puede ser mayor,
dependiendo de la demanda de datos locales de los bloques F creados en FUP o KOP por el
usuario.
Por ello, procure que haya el máximo posible de datos locales disponibles. Si no hay
suficientes datos locales disponibles para los bloques F agregados automáticamente (a partir
de >440 bytes), el programa de seguridad se compilará pese a ello.
En ese caso, en lugar de los datos locales, se utilizarán datos de los DB F agregados
automáticamente. Sin embargo, esto hará aumentar el tiempo de ejecución del grupo o
grupos de ejecución F. Si los bloques F agregados automáticamente necesitan más datos
locales de los que están configurados, aparecerá un mensaje.
ADVERTENCIA
El cálculo del tiempo máximo de ejecución del grupo de ejecución F mediante el archivo
Excel para calcular el tiempo de reacción
(https://support.industry.siemens.com/cs/ww/es/view/109783831) ya no es correcto en este
caso porque para el cálculo se presupone que hay suficientes datos locales F.
En este caso, al calcular mediante el archivo Excel arriba mencionado los tiempos máximos
de reacción en caso de error y con tiempos de ejecución cualesquiera del sistema estándar,
se debe utilizar para el tiempo máximo de ejecución del grupo de ejecución F el valor
configurado para el tiempo máximo de ciclo del grupo de ejecución F (tiempo de vigilancia
F). (S004)
El número máximo ajustable depende:

• de la demanda de datos locales del bloque Main-Safety y del programa de usuario
estándar superior. Por este motivo, el bloque Main-Safety debe llamarse directamente en
OB (a ser posible, OB de alarma cíclica) y en estos OB de alarma cíclica no deben
declararse datos locales adicionales.
• del tamaño máximo de los datos locales de la CPU F utilizada (ver Datos técnicos en la
información de producto de la CPU F utilizada). Para la CPU F S7-400 pueden configurarse
datos locales para cada clase de prioridad. Por ello, asigne un área lo mayor posible de
datos locales para las clases de prioridad en las que se llama el programa de seguridad (los
bloques Main-Safety) (p. ej., OB 35).

Número máximo posible de datos locales dependiendo de la demanda de datos locales del
bloque Main-Safety y del programa de usuario estándar superior (S7-300, S7-400):
Caso 1: bloque Main-Safety llamado directamente desde OB

3URJUDPDGHXVXDULR
HVW£QGDU 3URJUDPDGHVHJXULGDG
*UXSRGHHMHFXFLµQ)[
%ORTXH
2%[ 0DLQ6DIHW\
Ajuste el parámetro "Local data for safety program (Datos locales para el programa de
seguridad)" al tamaño máximo de los datos locales de la CPU F menos la demanda de datos
locales del bloque Main-Safety (para 2 grupos de ejecución F del bloque Main-Safety con la
máxima demanda de datos locales) menos la demanda de datos locales del OBx invocante
(para 2 grupos de ejecución F del OBx con el máximo uso de datos locales).
Observación: Si en los bloques Main-Safety y en los propios OBx invocantes no se han
declarado datos locales temporales, la demanda de datos locales de los bloques Main-Safety
es de 6 bytes y la demanda de datos locales de los OBx invocantes es de 26 bytes. En caso
necesario, puede deducir la demanda de datos locales de los bloques Main-Safety y los OBx
invocantes de la estructura del programa.
En el árbol del proyecto, seleccione la CPU F utilizada y, a continuación, "Tools (Herramientas)
> Call tree (Estructura de llamadas)". En la tabla aparece la demanda de datos locales en la
ruta o para los distintos bloques (ver también la Ayuda de STEP 7).

Caso 2: bloque Main-Safety no llamado directamente desde OB

3URJUDPDGHXVXDULRHVW£QGDU 3URJUDPDGHVHJXULGDG
3URJUDPDGH
XVXDULRHVW£QGDU$
*UXSRGHHMHFXFLµQ)[
)%)&
%ORTXH
0DLQ6DIHW\
2%[ 3URJUDPDGH
XVXDULRHVW£QGDU%
)%)&
Ajuste el parámetro "Local data used in safety program (Ajustes de datos locales)" al valor
calculado para el caso 1 menos la demanda de datos locales del programa de usuario
estándar A (para 2 grupos de ejecución F del programa de usuario estándar A con la máxima
demanda de datos locales).
Observación: Puede deducir la demanda de datos locales del programa de usuario estándar A
de la estructura del programa.
En el árbol del proyecto, seleccione la CPU F utilizada y, a continuación, "Tools (Herramientas)
> Call tree (Estructura de llamadas)". En la tabla aparece la demanda de datos locales en la
ruta o para los distintos bloques (ver también la Ayuda de STEP 7).
"Advanced settings (Ajustes avanzados)"
"Safety mode can be disabled (El modo seguro se puede desactivar)"

Con esta opción puede impedir la desactivación del modo seguro de un programa de
seguridad.
En "Runtime for the deactivated safety mode (Tiempo de ejecución para el modo seguro
desactivado)" se establece el tiempo tras el cual la CPU F pasará a STOP al desactivarse el
modo seguro.
Tras modificar la opción, deberá volver a compilar el programa de seguridad y cargarlo en la
CPU F para que la modificación sea efectiva. Al hacerlo, se modificarán la firma colectiva F y la
firma colectiva SW F del programa de seguridad.
Para impedir la desactivación involuntaria del modo seguro, asegúrese de que la opción esté
desactivada durante el modo productivo.
"Activation of F-change history (Activación del historial de modificaciones F)"
Con la opción "Activation of F-change history (Activación del historial de modificaciones F)" se
activa el registro de las modificaciones del programa de seguridad. Encontrará más
información en el capítulo "Historial de modificaciones F (Página 355)".
"Enable consistent upload from the F-CPU (Habilitar carga coherente desde la CPU F)"
(S7-1500)
Esta opción permite cargar los datos del proyecto cargados (incluidos los datos del proyecto
relativos a la seguridad) desde la CPU F a la programadora/el PC de manera coherente.

Esta opción solo puede activarse si la CPU F y el firmware de la CPU F soportan la carga de
datos del proyecto (incluidos los datos del proyecto relativos a la seguridad).
Se soportan las CPU F S7-1500 con firmware V2.1 o superior. No se soportan los S7-1500 F
Software Controller.
Cada vez que se modifique esta opción deberán cargarse los datos del proyecto en la CPU F.
Tenga en cuenta que al activar esta opción se alarga el tiempo necesario para la carga de los
datos del proyecto relativos a la seguridad en la CPU F.
"Enable variable F-communication IDs (Habilitar ID de comunicación F variables)"
(S7-1200, S7-1500)
Si se activa esta opción, se pueden enviar valores variables de un DB F global a la entrada
DP_DP_ID de las instrucciones SENDDP o RCVDP.
ADVERTENCIA
El valor del correspondiente ID de comunicación F (entrada DP_DP_ID; tipo de datos: INT) se

puede elegir libremente**, pero debe ser único en toda la red* y en toda la CPU**** en
todo momento para todas las conexiones de comunicación orientadas a la seguridad. La
univocidad debe comprobarse en el impreso del programa de seguridad durante la
recepción/aceptación del programa de seguridad.
Se deben proporcionar valores constantes*** a las entradas DP_DP_ID y LADDR al llamar la
instrucción. En el programa de seguridad no están permitidos los accesos de escritura
directos a DP_DP_ID y LADDR del DB de instancia correspondiente. (S016)
** S7-1200/1500: A partir de la versión V3.0 de las instrucciones SENDDP o RCVDP, no se
establece la comunicación con un ID de comunicación F "0" en la entrada DP_DP_ID.
*** S7-1200/1500: A partir de la versión V3.0 de las instrucciones SENDDP o RCVDP, también
se pueden proporcionar valores variables de un DB F global a la entrada DP_DP_ID. También
en este caso hay que comprobar en la recepción/aceptación del programa de seguridad que la
univocidad esté garantizada en todo momento, comprobando para ello el algoritmo de
cálculo del valor variable en consecuencia. Si no se puede garantizar un ID de comunicación F
unívoco al arrancar el programa de seguridad, porque este solo se establece una vez
arrancado el programa de seguridad, debe garantizarse que el valor en la entrada DP_DP_ID
sea "0" en esta fase.
**** En un sistema redundante S7-1500HF ambas CPU F del sistema redundante S7-1500HF
deben considerarse una única CPU F por lo que respecta a la DP_DP_ID.
"System generated objects (Objetos generados por el sistema)" (S7-1200, S7-1500)

"Create F-I/O DB without prefix (Crear DB de periferia F sin prefijo)"
Si se activa esta opción, los nombres de los DB de periferia F (Página 157) se crearán sin
prefijo.
"Clean up (Limpiar)"
El botón "Clean up (Limpiar)", previsto para fines de servicio y soporte, borra el resultado de la
compilación de seguridad.

3.8 Área "Flexible F-Link" (S7-1200, S7-1500)

En el área "Flexible F-Link" puede crear nuevas comunicaciones F, ver información sobre las
comunicaciones F existentes y eliminar comunicaciones F.
Requisitos
• CPU F S7-1500 con firmware V2.0 o superior
• Safety System Version V2.2 o superior
Información sobre las comunicaciones F creadas

En el área "Flexible F-Link" encontrará información en formato de tabla sobre las
comunicaciones F configuradas:
• Nombre de la comunicación F, único en toda la CPU
• Tipo de datos PLC conforme con F (UDT) para datos de envío y recepción
• Dirección de la comunicación F: Envío/recepción
• Tiempo de vigilancia F de la comunicación F
• UUID de comunicación F
• Variable para datos de envío
• Variable para datos de recepción
Crear la comunicación F
1. Haga clic con el ratón en "<Add new> (<Agregar nueva>)" en una fila vacía de la tabla
2. Asigne un nombre a la conexión de comunicación.
3. Elija un tipo de datos PLC conforme con F (UDT) para la conexión de comunicación.
Si todavía no ha creado ningún tipo de datos PLC conforme con F (UDT) para la conexión
de comunicación o desea crear uno nuevo, cree un nuevo tipo de datos PLC conforme con
F (UDT) (Página 118) con cualquier estructura. Tenga en cuenta que el tamaño puede ser
de hasta 100 bytes.
4. Elija la dirección de la conexión de comunicación ("Send (Envío)" o "Receive (Recepción)").
5. Elija el tiempo de vigilancia F de la conexión de comunicación (Página 586).
En la columna "F-communication UUID (UUID de comunicación F)" aparecerá el UUID de la
comunicación F mediante Flexible F-Link. El UUID de comunicación F garantiza en gran
medida la univocidad del ID de comunicación orientada a la seguridad, incluso más allá de los
límites de la red.
En la columna "Send data tag (Variable para datos de envío)" se muestra la variable que acaba
de crearse para los datos de envío del DB de comunicación F (Página 289).
En la columna "Receive data tag (Variable para datos de recepción)" se muestra la variable
que acaba de crearse para los datos de recepción del DB de comunicación F (Página 289).
Encontrará el nuevo DB de comunicación F para esta comunicación F en "Program
blocks\System blocks\STEP 7 Safety\F-communication DBs (Bloques de programa\Bloques de
sistema\STEP 7 Safety\DB de comunicación F)".

Eliminar la comunicación F
1. Seleccione toda la fila y elija "Delete (Eliminar)" en el menú contextual. También puede
eliminar varias comunicaciones F a la vez.
Copiar la comunicación F
1. Seleccione toda la fila y elija "Copy (Copiar)" en el menú contextual. También puede copiar
varias comunicaciones F a la vez.
2. Con el comando de menú "Paste (Pegar)" puede insertar comunicaciones F en la tabla
tantas veces como desee. Los UUID de cada una de las comunicaciones F se conservan tras
la copia. Si es necesario, se pueden volver a generar los UUID.
Generar nuevos UUID de comunicación F

1. Seleccione toda la fila y elija "Generate UUID (Generar UUID)" en el menú contextual.
También puede generar varios UUID a la vez.
Consulte
también
Flexible F-Link (Página 285)
Comunicación entre grupos de ejecución F (S7-1200, S7-1500) (Página 139)

Protección de acceso 4
Protección de acceso necesaria para el modo productivo
Para el modo productivo se requiere obligatoriamente una protección de acceso al sistema F
SIMATIC Safety.
Para fines de prueba, puesta en marcha y similares, en principio no es necesaria la protección
de acceso. Es decir, todas las acciones offline y online se pueden realizar sin protección de
acceso, o sea, sin necesidad de introducir una contraseña.
ADVERTENCIA
El acceso al sistema F SIMATIC Safety sin protección de acceso está previsto con fines de
prueba, puesta en marcha, etc., cuando la instalación no está en modo productivo. Sin
protección de acceso, se debe garantizar la seguridad de la instalación tomando otras
medidas organizativas (Página %getreference).
Antes de pasar al modo productivo debe haberse configurado y activado la protección
de acceso. (S005)
4.1 Descripción general de la protección de acceso
Introducción
El acceso al sistema F SIMATIC Safety puede regularse con la protección de acceso para los
datos del proyecto relativos a la seguridad y la contraseña para la CPU F.
Protección de acceso a los datos del proyecto relativos a la seguridad

Existen dos variantes de la protección de acceso para los datos del proyecto relativos a la
seguridad (Página 96):
• Asignación de una contraseña para los datos del proyecto relativos a la seguridad (de
modo específico para cada CPU F) en el Safety Administration Editor
• Establecimiento de una protección del proyecto para todos los datos del proyecto relativos
a la seguridad en el proyecto TIA
Protección de acceso para la CPU F

La protección de acceso (Página 99) es específica para cada CPU F. Para ello, asigne una
contraseña para la CPU F en la configuración de la CPU F. Esta contraseña también servirá
para identificar la CPU F y, por ello, debe ser única en toda la red.

Protección de acceso
4.2 Protección de acceso a los datos del proyecto relativos a la seguridad
4.2 Protección de acceso a los datos del proyecto relativos a la

seguridad
La protección de acceso a los datos del proyecto relativos a la seguridad afecta a todas las
operaciones en las que pueden modificarse los datos del proyecto offline relativos a la
seguridad, p. ej.:
• modificar el programa de seguridad
• modificar y eliminar grupos de ejecución F
• modificar parámetros de periferia F relativos la seguridad
• compilar
Las modificaciones de DB estándar a los que se accede en lectura o escritura desde el
programa de seguridad requieren una nueva compilación del programa de seguridad. Estos
DB estándar no están cubiertos por la protección de acceso para los datos del proyecto
relativos a la seguridad.
4.2.1 Protección de acceso a los datos del proyecto relativos la seguridad en toda
la CPU
Establecer la protección de acceso a los datos del proyecto relativos a la seguridad en toda la
CPU
Para establecer en toda la CPU la protección de acceso a los datos del proyecto relativos a la
seguridad, asigne una contraseña para el programa de seguridad. Para ello, haga lo siguiente:
2. Seleccione "Safety Administration" y elija "Go to protection (Ir a la protección de acceso)"
en el menú contextual.
Otra posibilidad es hacer doble clic en "Safety Administration". Se abrirá el Safety
Administration Editor de la CPU F. En la navegación local, seleccione "Access protection
(Protección de acceso)".
3. En "Offline safety program protection (Protección del programa de seguridad offline)",
elija el botón "Setup (Establecer)" y, en el cuadro de diálogo que aparece a continuación,
introduzca la contraseña (máx. 30 caracteres) para el programa de seguridad en los
campos "New password (Nueva contraseña)" y "Confirm password (Confirmar
contraseña)".
4. Confirme la asignación de la contraseña con "OK".
Ha establecido la protección de acceso a los datos del proyecto relativos a la seguridad en
toda la CPU y ha obtenido el permiso de acceso a los datos del proyecto relativos a la
seguridad.
NOTA
Para optimizar la protección de acceso, utilice contraseñas diferentes para la CPU F y para el
programa de seguridad.

Modificación de la contraseña para los datos del proyecto relativos a la seguridad

La contraseña para los datos del proyecto relativos a la seguridad se puede modificar si se
dispone del permiso de acceso. También se puede modificar en el área "Access protection
(Protección de acceso)" (con el botón "Change (Cambiar)") y se lleva a cabo del modo habitual
en Windows, introduciendo una vez la contraseña anterior y dos veces la nueva.
Eliminar la protección de acceso a los datos del proyecto relativos a la seguridad en toda la CPU
Para eliminar la protección de acceso a los datos del proyecto relativos a la seguridad en toda
la CPU, elimine la contraseña para el programa de seguridad. Para ello, haga lo siguiente:
Administration Editor de la CPU F.
3. En la navegación local, seleccione "Access protection (Protección de acceso)".
4. Haga clic en el botón "Change (Cambiar)".
5. En "Old password (Contraseña antigua)", introduzca la contraseña del programa de
seguridad.
6. Haga clic en "Delete (Eliminar)" y a continuación en "OK (Aceptar)".
Obtener permiso de acceso iniciando sesión en el programa de seguridad

Inicie sesión en el programa de seguridad de la siguiente manera:
Administration Editor de la CPU F.
3. En la navegación local, seleccione "Access protection (Protección de acceso)".
4. En el campo de entrada "Password (Contraseña)", introduzca la contraseña del programa
de seguridad.
5. Seleccione el botón "Login (Iniciar sesión)".
Validez del permiso de acceso a los datos del proyecto relativos a la seguridad
Si se ha obtenido el permiso de acceso a los datos del proyecto relativos a la seguridad
introduciendo la contraseña, el permiso se conservará hasta que se cierre el proyecto. Al
cerrar el TIA Portal, los proyectos todavía abiertos se cierran automáticamente y se retiran los
permisos de acceso concedidos.

Retirar el permiso de acceso al cerrar sesión

Puede retirar el permiso de acceso a los datos del proyecto relativos a la seguridad de las
siguientes maneras:
• En el área "Access protection (Protección de acceso)" del Safety Administration Editor, con
el botón "Log off (Cerrar sesión)".
• Con el botón derecho del ratón en el menú contextual del Safety Administration Editor.
• En el menú contextual del símbolo de candado en el renglón del Safety Administration
Editor.
De este modo, se volverá a solicitar la contraseña del programa de seguridad en la próxima
acción que requiera introducir la contraseña.
Indicación de la validez del permiso de acceso

La validez del permiso de acceso se indica en el árbol del proyecto de la siguiente manera:
• El permiso de acceso es válido si el símbolo de candado del renglón del Safety
Administration Editor está abierto.
• Si el símbolo de candado está cerrado, no se dispone de permiso de acceso.
• Si no hay ningún símbolo de candado, no se ha asignado ninguna contraseña.
4.2.2 Protección de acceso a los datos del proyecto relativos a la seguridad en

todo el proyecto
Además de la protección de acceso a los datos del proyecto relativos a la seguridad en toda la
CPU con una contraseña en el Safety Administration Editor, también puede utilizarse la
protección de todo el proyecto TIA.
Para ello, asigne el derecho de función "Edit safety-related project data (Editar datos del
proyecto relativos a la seguridad)" a los usuarios con permiso para editar datos del proyecto
relativos a la seguridad. Siga el procedimiento habitual para derechos de función. Encontrará
más información en la Ayuda de STEP 7, apartado "Administrar usuarios y roles".
NOTA
Al activar la protección de acceso en todo el proyecto, se borran las contraseñas para datos
del proyecto relativos a la seguridad que puedan existir en cualquier CPU F.
Los usuarios que necesiten el derecho de función "Edit safety-related project data (Editar
datos del proyecto relativos a la seguridad)" pueden necesitar también otros derechos de
función, p. ej.:
• "Edit PLC programm (Editar programa PLC)" para modificar el programa de seguridad
• "Load in PLC (Cargar en PLC)" para cargar los datos del proyecto relativos a la seguridad en
la CPU F
• "Edit hardware configuration (Editar la configuración hardware)" para realizar cambios en
la configuración hardware relativa a la seguridad

4.3 Protección de acceso para la CPU F

La protección de acceso para la CPU F afecta a todas las operaciones en las que pueden
modificarse los datos del proyecto online relativos a la seguridad, p. ej.:
• cargar el programa de seguridad en la CPU F
• (S7-300, S7-400) cargar la configuración hardware en la CPU F, incluso en caso de
modificaciones de periferia F que no se utilice en el programa de seguridad
• (S7-1200, S7-1500) cargar en la CPU F una configuración hardware con modificaciones
relativas a la seguridad
• asignar la dirección PROFIsafe
• cargar o eliminar bloques F utilizados en el programa de seguridad
• desactivar el modo seguro o restablecer el tiempo de ejecución restante (debe introducirse
siempre, aunque el permiso de acceso para la CPU F todavía esté en vigor).
• al transferir una copia de seguridad de la CPU F
Excepción para CPU F S7-1200/1500: Si no se modifica el programa de seguridad ni la
contraseña para la CPU F, no se solicita contraseña para la CPU F.
Establecer la protección de acceso para la CPU F

Para establecer la protección de acceso para la CPU F, asigne una contraseña para la CPU F en
la configuración de la CPU F.
Puede acceder directamente desde el Safety Administration Editor, área "Access protection
(Protección de acceso)", haciendo en el enlace "Go to the "Protection" area of the F-CPU (Ir al
área "Protección" de la CPU F)". Para ello, siga las instrucciones de la Ayuda de STEP 7,
apartado "Parametrización de niveles de acceso".
ADVERTENCIA

tal caso también es posible modificar el programa de seguridad. Para que esto no ocurra,
debe configurarse el nivel de protección "Write protection for fail-safe blocks (Protección
programa de seguridad) o permitirles solo un acceso limitado a él.(S001)

ADVERTENCIA
(sin protección))". Con este nivel de protección solo es posible un acceso completo a los
datos del programa de usuario estándar, pero no a los bloques F.
Si se elige un nivel de protección mayor, para proteger, p. ej., el programa de usuario
estándar, debe asignarse una contraseña adicional para la opción "Full access (no protection)
(Acceso completo (sin protección))".
Al cargar (Página 296) la configuración hardware en la CPU F se activa la protección de

acceso.
ADVERTENCIA
Si es posible acceder a varias CPU F a través de una red (p. ej., Industrial Ethernet) desde la
misma programadora/el mismo PC, debe garantizarse con las siguientes medidas
adicionales que los datos del proyecto relativos a la seguridad se carguen en la CPU F
correcta:
Utilice contraseñas específicas para CPU F, p. ej., una contraseña única para las CPU F con su
correspondiente dirección Ethernet.
• La carga inicial de la configuración hardware para activar la protección de acceso de una
CPU F debe realizarse a través de una conexión punto a punto (de forma análoga a la
asignación inicial de una dirección MPI a una CPU F).
• Antes de cargar los datos del proyecto relativos a la seguridad en una CPU F, debe
anularse un permiso de acceso ya existente para otra CPU F.
• La carga final de los datos del proyecto relativos a la seguridad antes de pasar al modo
productivo debe realizarse con la protección de acceso activada. (S021)
ADVERTENCIA
En caso de utilizar herramientas para la automatización o el manejo (del TIA Portal o el

servidor web) que permiten eludir la protección de acceso de la CPU F (p. ej.,
almacenamiento o entrada automática de una contraseña CPU para el nivel de protección
"Full access incl. fail-safe (no protection) (Acceso total incl. seguridad positiva (sin
protección))" o bien contraseña del servidor web), los datos del proyecto relativos a la
seguridad podrían dejar de estar protegidos contra modificaciones no intencionadas. (S078)

Modificación de la contraseña para la CPU F

Para que la nueva contraseña sea válida tras modificar la contraseña de la CPU F, debe
cargarse la configuración modificada en la CPU F. Para esta carga puede ser necesario
introducir la contraseña "antigua" de la CPU F. La CPU F debe encontrarse en STOP.
Eliminar la protección de acceso para la CPU F

Para eliminar la protección de acceso a la CPU F, elimine la contraseña para la CPU F. Siga el
mismo procedimiento que en el programa estándar.
Obtener permiso de acceso para la CPU F

Según el nivel de protección configurado, antes de realizar una acción que requiera
contraseña deberá obtener el permiso de acceso para la CPU F introduciendo la contraseña de
la CPU F.
Validez del permiso de acceso para la CPU F

Un permiso de acceso para la CPU F es válido hasta que se cierra el proyecto en TIA Portal o se
retira el permiso de acceso.
Retirada del permiso de acceso para la CPU F

El permiso de acceso se retira mediante el comando de menú "Online > Delete access rights
(Borrar derechos de acceso)".
ADVERTENCIA
La validez del permiso de acceso no está limitada en el tiempo.

Una vez obtenido el permiso de acceso para la CPU F, este deberá anularse antes de
abandonar la programadora/el PC o deberán adoptarse otras medidas organizativas (Página
%getreference). (S006)

4.4 Protección de acceso mediante medidas organizativas

Para impedir la sustitución no autorizada de un programa de seguridad cambiando los medios
de almacenamiento extraíbles (p. ej., tarjeta flash, SIMATIC Micro Memory Card o disco duro
en el caso de WinAC RTX F o S7-1500 F Software Controller), tenga en cuenta la siguiente
advertencia:
ADVERTENCIA
Deben tomarse medidas organizativas (Página %getreference) para restringir el acceso a la

CPU F a aquellas personas autorizadas para enchufar medios de almacenamiento extraíbles.
(S079)
Para impedir la desinstalación e instalación no previstas de un WinAC RTX F o un S7-1500 F

Software Controller, tenga en cuenta la siguiente advertencia:
ADVERTENCIA
Deben tomarse medidas organizativas (Página %getreference) para restringir el acceso a un

WinAC RTX o a un Software Controller S7-1500 F a aquellas personas autorizadas para
desinstalar e instalar o reparar un WinAC RTX F o un Software Controller S7-1500 F (p. ej.,
con derechos de administrador de Windows (ADMIN)). (S075)
En un S7-1500 F Software Controller con una estación PC hasta la versión V2.1, la función
"Delete Configuration" solo estará disponible en el panel de la estación PC si en la CPU F no se
ha configurado ninguna protección de acceso (sin protección).
En una estación PC a partir de la versión V2.2 se comprueba si el usuario actual de Windows
es miembro del grupo de usuarios de Windows "Failsafe Operators". Si el usuario registrado
de Windows es miembro del grupo, puede ejecutar la función "Delete Configuration" incluso
si se ha establecido la contraseña F. Si el usuario de Windows que ha iniciado sesión no es
miembro del grupo, la estación PC se comportará como hasta la versión V2.1.
Por ello se recomienda configurar la protección de acceso F después de la puesta en marcha.
Para impedir la restauración no prevista de datos del proyecto relativos a la seguridad, el
formateo de la CPU F o el borrado de carpetas de programa desde el display de una CPU F
S7-1500, tenga en cuenta la siguiente advertencia:
ADVERTENCIA
La contraseña para el display de la CPU F solo puede darse a conocer a aquellas personas que
dispongan de autorización para restaurar datos del proyecto relativos a la seguridad,
formatear la CPU F y borrar carpetas de programas. Si no se ha establecido una contraseña
para el display, este debe protegerse contra el manejo no autorizado mediante medidas
organizativas (Página %getreference). (S063)

Para impedir la restauración no prevista de los datos del proyecto relativos a la seguridad del
programa de seguridad con el servidor web en una CPU F S7-1200/1500, tenga en cuenta la
siguiente advertencia:
ADVERTENCIA
La autorización "F-Admin (Admin F)" en el servidor web sin protección por contraseña
(usuario "Everybody (Cualquiera)") solo está prevista con fines de prueba, puesta en marcha,
etc. Es decir, solo cuando la instalación no está en modo productivo. En este caso, se debe
garantizar la seguridad de la instalación tomando otras medidas organizativas (Página
%getreference).
Antes de pasar al modo productivo debe eliminarse el derecho "F-Admin (Admin F)" del
usuario "Everybody (Cualquiera)".
La contraseña de usuario del servidor web con el derecho "F-Admin (Admin F)" solo debe ser
accesible para personas autorizadas. Tras cargar la configuración hardware, se debe
comprobar si en la CPU F solo poseen el derecho "F-Admin (Admin F)" los usuarios
autorizados del servidor web. Utilizar para ello el modo online del Safety Administration
Editor.
Solo está permitido guardar el archivo de inicio de sesión, así como la contraseña del
servidor web en el navegador si otras medidas organizativas (Página %getreference) impiden
su uso por personas no autorizadas.
Si utiliza el mecanismo de ticket, los tickets deben tratarse de manera tan restrictiva como la
contraseña de usuario del servidor web con el derecho "F-Admin (Admin F)". (S064)

Programación 5
5.1 Descripción general de la programación
Introducción
Un programa de seguridad está compuesto por bloques F que se crean en el lenguaje de
programación FUP o KOP y bloques F que se agregan automáticamente. De este modo, el
programa de seguridad creado por el usuario se completa automáticamente con medidas de
detección y subsanación de errores y se realizan comprobaciones adicionales de factores
relativos a la seguridad. Además tiene la posibilidad de incluir en su programa de seguridad
funciones de seguridad ya programadas en forma de instrucciones.
A continuación se ofrece una vista general de:
• la estructura del programa de seguridad
• los bloques de seguridad
• las diferencias entre la programación del programa de seguridad con FUP/KOP y la
programación de programas de usuario estándar
5.1.1 Estructura del programa de seguridad (S7-300, S7-400)
Exposición de la estructura del programa

La estructura de un programa de seguridad está formada por uno o dos grupos de ejecución
F.
Cada grupo de ejecución F contiene:
• bloques F creados por el usuario en FUP o KOP o insertados desde la librería del proyecto o
desde librerías globales
• bloques F que se agregan automáticamente (bloques de sistema F (SB F), bloques F
generados automáticamente y DB de periferia F)

Programación
La figura siguiente ilustra de manera esquemática la estructura de un programa de seguridad

o un grupo de ejecución F para una CPU F S7-300/400.
1SPHSBNBEFVTVBSJP 5BTL$BSE
FTU¡OEBS (SVQPEFFKFDVDJ³O'FOFMQSPHSBNBEFTFHVSJEBE *OTUSVDUJPOT *OTUSVDDJPOFT
#MPRVF.BJO4BGFUZ 4#' *OTUSVDDJPOFT
#MPRVFT'
-FDUVSBEFMBT HFOFSBEPT 3$7%1
FOUSBEBTEFMB BVUPN¡UJDB 3$74
QFSJGFSJB'FOMB NFOUF PQDJPOBM $PNVOJDBDJ³O
NFNPSJB
QFK JNBHFOEF
0# QSPDFTPEFMBT
FOUSBEBT
''#''$
YZ (FOFSBM
&EJDJ³OEFMPT 0QFSBDJPOFTM³HJDBTDPOCJUT
CMPRVFT' 'VODJPOFTEFTFHVSJEBE
DSFBEPTP 5FNQPSJ[BEPSFT
JOTFSUBEPTQPSFM $POUBEPSFT
$PNQBSBEPSFT
VTVBSJP
'VODJPOFTNBUFN¡UJDBT
%FTQMB[BS
$POWFSTJ³O
$POUSPMEFMQSPHSBNB
'%#YZ 0QFSBDJPOFTM³HJDBTDPO
QBMBCSBT
&EJDJ³OEFMPT %FTQMB[BNJFOUPZSPUBDJ³O
CMPRVFT' .BOFKP
BHSFHBEPT 0USBTJOTUSVDDJPOFT
BVUPN¡UJDB
NFOUF NFEJEBT %#EFQFSJGFSJB
EFDPOUSPMEF 'YZ
FSSPSFT
4&/%%1
4&/%4
$PNVOJDBDJ³O
&TDSJUVSBEFMB PQDJPOBM
NFNPSJB 4#'
JNBHFOEF
QSPDFTPEFMBT #MPRVFT'
TBMJEBTFOMBT HFOFSBEPT
TBMJEBTEFMB BVUPN¡UJDB
QFSJGFSJB' NFOUF
-MBNBEBQPSFMVTVBSJP &TDSJUVSB MFDUVSB

-MBNBEBBVUPN¡UJDB %FTEFMB5BTL$BSE*OTUSVDUJPOT *OTUSVDDJPOFT
Bloque Main-Safety
El bloque Main-Safety es el primer bloque F del programa de seguridad, que debe programar
el propio usuario. Al compilar, se le agregan llamadas ocultas adicionales de bloques de
sistema F.
El bloque Main-Safety se debe asignar a un grupo de ejecución F (Página 126).

Programación
El bloque Main-Safety se llama en una CPU F S7-300/400 desde un bloque cualquiera del
programa de usuario estándar. Recomendamos realizar la llamada desde un OB 3x.
)%)_)&)
2% )%_)& ))%_))&
%ORTXH0DLQ6DIHW\
Grupos de ejecución F
Para facilitar el manejo, un programa de seguridad está formado por uno o dos "grupos de
ejecución F". Un grupo de ejecución F es una estructura lógica que el sistema F crea
internamente a partir de varios bloques F relacionados entre sí.
Un grupo de ejecución F está compuesto por:
• un bloque Main-Safety (FB F/FC F que se asigna al OB (o, en su caso, FB/FC) invocante)
• en su caso, otros FB F/FC F que se programan en FUP/KOP y se llaman desde el bloque
Main-Safety
• en su caso, uno o varios DB F
• DB de periferia F
• bloques F de la librería del proyecto o de librerías globales
• bloques de sistema F (SB F)
• bloques F generados automáticamente
Estructuración del programa de seguridad en dos grupos de ejecución F

Puede dividir su programa de seguridad en dos grupos de ejecución F. Ejecutando partes del
programa de seguridad (es decir, un grupo de ejecución F) en un nivel de ejecución más
rápido, se obtienen circuitos de seguridad más rápidos con tiempos de reacción más breves.
5.1.2 Estructura del programa de seguridad (S7-1200, S7-1500)
Exposición de la estructura del programa

La estructura de un programa de seguridad está formada por uno o dos grupos de ejecución
F.
Cada grupo de ejecución F contiene:
• bloques F creados por el usuario en FUP o KOP o insertados desde la librería del proyecto o
desde librerías globales
• bloques F agregados automáticamente (bloques de sistema F (SB F), bloques F generados
automáticamente, DB de información de grupo de ejecución F y DB de periferia F)

Programación
La figura siguiente muestra de manera esquemática la estructura de un programa de

seguridad o un grupo de ejecución F para una CPU F S7-1200/1500.
5BTL$BSE
1SPHSBNBEFVTVBSJPFTU¡OEBS (SVQPEFFKFDVDJ³O'FOFMQSPHSBNBEFTFHVSJEBE *OTUSVDUJPOT *OTUSVDDJPOFT
'$ 3$7%1 *OTUSVDDJPOFT

4#'
1SFQSPDFTB '0# PQDJPOBM
NJFOUP #MPRVFT'
PQDJPOBM HFOFSBEPT $PNVOJDBDJ³O
-FDUVSBEFMBT BVUPN¡UJDB
FOUSBEBTEFMB NFOUF
QFSJGFSJB'FOMB ''#''$
NFNPSJB YZ
JNBHFOEF
QSPDFTPEFMBT (FOFSBM
FOUSBEBT #MPRVF.BJO4BGFUZ 0QFSBDJPOFTM³HJDBTDPOCJUT
'VODJPOFTEFTFHVSJEBE
5FNQPSJ[BEPSFT
&EJDJ³OEFMPT $POUBEPSFT
&EJDJ³OEFMPT CMPRVFT' $PNQBSBEPSFT
DSFBEPTP 'VODJPOFTNBUFN¡UJDBT
CMPRVFT' %FTQMB[BS
BHSFHBEPT JOTFSUBEPTQPSFM
'%#YZ $POWFSTJ³O
BVUPN¡UJDB VTVBSJP
$POUSPMEFMQSPHSBNB
NFOUF NFEJEBT 0QFSBDJPOFTM³HJDBTDPO
EFDPOUSPMEF QBMBCSBT
FSSPSFT %FTQMB[BNJFOUPZSPUBDJ³O
.BOFKP
%#EFQFSJGFSJB
'YZ
&TDSJUVSBEFMB
NFNPSJB
4&/%%1
JNBHFOEF
QSPDFTPEFMBT
PQDJPOBM $PNVOJDBDJ³O
TBMJEBTFOMBT
TBMJEBTEFMB
QFSJGFSJB' 4#'
#MPRVFT'
'$ %#EF
HFOFSBEPT
BVUPN¡UJDB JOGPSNBDJ³O
1PTUQSPDFT EFHSVQPEF
NFOUF
BNJFOUP FKFDVDJ³O'
PQDJPOBM
-MBNBEBQPSFMVTVBSJP &TDSJUVSB MFDUVSB

-MBNBEBBVUPN¡UJDB %FTEFMB5BTL$BSE*OTUSVDUJPOT *OTUSVDDJPOFT
Bloque Main-Safety
El bloque Main-Safety es el primer bloque F del programa de seguridad, que debe programar
el propio usuario.
El bloque Main-Safety se debe asignar a un grupo de ejecución F (Página 126).

Programación
El bloque Main-Safety se llama en una CPU F S7-1200/1500 desde el OB F asignado al grupo

de ejecución F.
))%_))&
)2% ))%_))&
0DLQ6DIHW\%ORFN
Grupos de ejecución F
Para facilitar el manejo, un programa de seguridad está formado por uno o dos "grupos de
ejecución F". Un grupo de ejecución F es una estructura lógica que el sistema F crea
internamente a partir de varios bloques F relacionados entre sí.
Un grupo de ejecución F está compuesto por:
• un OB F que llama el bloque Main-Safety
• un bloque Main-Safety (FB F/FC F que se asigna al OB F)
• en su caso, otros FB F/FC F que se programan en FUP/KOP y se llaman desde el bloque
Main-Safety
• en su caso, uno o varios DB F
• DB de periferia F
• DB de información del grupo de ejecución F
• bloques F de la librería del proyecto o de librerías globales
• bloques de sistema F (SB F)
• bloques F generados automáticamente
• en su caso, un bloque de preprocesamiento o postprocesamiento (ver
Preprocesamiento/postprocesamiento (S7-1200, S7-1500) (Página 84))
Preprocesamiento/postprocesamiento de un grupo de ejecución F

Los bloques del programa de usuario estándar (FC) se pueden llamar inmediatamente antes o
después de un grupo de ejecución F. P. ej., para transferir datos en la comunicación orientada
a la seguridad mediante Flexible F-Link. (ver Preprocesamiento/postprocesamiento (S7-1200,
S7-1500) (Página 84))
Estructuración del programa de seguridad en dos grupos de ejecución F

Puede dividir su programa de seguridad en dos grupos de ejecución F. Ejecutando partes del
programa de seguridad (es decir, un grupo de ejecución F) en un nivel de ejecución más
rápido, se obtienen circuitos de seguridad más rápidos con tiempos de reacción más breves.

Programación
Consulte
también
DB de información del grupo de ejecución F (S7-1200, S7-1500) (Página 147)
5.1.3 Programa de seguridad en Software Unit (Safety Unit) (S7-1500)
Introducción
Si en el programa de seguridad desea beneficiarse de las ventajas de las Software Units, p. ej.,
la compilación y la carga independientes, puede utilizar Safety Units.
En ese caso, los bloques del programa de seguridad estarán solo en la Safety Unit y no se
podrán crear directamente debajo de la CPU F en la carpeta "Program blocks (Bloques de
programa)".
Si desea usar la Safety Unit, debe decidirlo antes de crear la CPU F. Una vez creada una CPU F,
la decisión no se puede modificar.
Requisitos
• CPU F S7-1500 con FW V2.6 o superior
• En "Options (Opciones) > Settings (Configuración) > STEP 7 Safety" está activada la casilla
de verificación "Manage fail-safe in 'Software Units' environment (Administrar el programa
de seguridad en el entorno 'Safety Units')".
• Se vuelve a crear la CPU F.
Programa de seguridad en la Safety Unit

Tras volver a crear una CPU F, el programa de seguridad estará en la Safety Unit.

Programación
Para intercambiar datos entre el programa de seguridad y el programa de usuario estándar,

utilice un bloque de datos de transferencia (Página 185) creado como DB estándar global en
la Safety Unit.
Encontrará información sobre las Software Units en la Ayuda de STEP 7, apartado "Uso de
Software Units".
Particularidades
• La Safety Unit no se puede guardar en una librería.
• Los bloques de sistema de la Safety Unit no se pueden publicar.
5.1.4 Bloques de seguridad
Bloques F de un grupo de ejecución F

La tabla siguiente muestra los bloques F que se utilizan en un grupo de ejecución F:
Bloque F Funcionamiento CPU F CPU F
S7-300/400 S7-1200/1
500
Bloque El primer paso para la programación del programa de seguridad es el bloque X X
Main-Safety Main-Safety.
En las CPU F S7-300/400, el bloque Main-Safety es un FC F o FB F (con DB de
instancia) que se llama desde un bloque estándar (recomendado: OB 35) del
programa de usuario estándar.
En las CPU F S7-1200/1500, el bloque Main-Safety es un FC F o FB F (con DB de
instancia) que se llama desde el OB F.
FB F/FC F Tanto en el bloque Main-Safety como en otros FB F y FC F se puede: X X
• programar el programa de seguridad con las instrucciones disponibles en
FUP o KOP para bloques F
• llamar otros FB F/FC F creados para estructurar el programa de seguridad
• insertar bloques F desde la librería del proyecto o desde una librería global
DB F Bloques de datos de seguridad, de uso opcional, a los que se puede acceder en X X
lectura y en escritura desde cualquier punto del programa de seguridad.
DB de periferia F Durante la configuración de la periferia F, se genera automáticamente un DB de X X
periferia F para cada periferia F. A las variables de los DB de periferia F, se puede
o debe acceder a la periferia F mediante accesos a periferia F.
DB global F El DB global F es un bloque de datos de seguridad que contiene todos los datos X —
globales del programa de seguridad e información adicional necesaria para el
sistema F.
DB de informa Al crear un grupo de ejecución F se crea también un DB de información del gru — X
ción del grupo de po de ejecución F.
ejecución F El DB de información del grupo de ejecución F proporciona información sobre el
grupo de ejecución F y todo el programa de seguridad.
NOTA
No está permitido insertar bloques de sistema F de la carpeta "System blocks (Bloques de
sistema)" en un bloque Main-Safety/FB F/FC F.

Programación
Instrucciones para el programa de seguridad

En la Task Card "Instructions (Instrucciones)" encontrará instrucciones útiles para programar
el programa de seguridad, distintas para cada CPU F.
Encontrará instrucciones que ya conoce del programa de usuario estándar, p. ej., operaciones
lógicas con bits, funciones matemáticas, funciones para controlar el programa y operaciones
lógicas con palabras.
También hay instrucciones con funciones de seguridad, p. ej., para vigilancia de mando a dos
manos, análisis de discrepancias, muting, parada de emergencia/desconexión de emergencia,
vigilancia de puerta de protección, vigilancia del circuito de realimentación e instrucciones
para la comunicación orientada a la seguridad entre CPU F.
Más información
Encontrará la descripción detallada de las instrucciones para el programa de seguridad en el
Descripción general de las instrucciones (Página 389).
Uso de versiones de las instrucciones

Al igual que sucede con las instrucciones para el programa de usuario estándar, para el
programa de seguridad también pueden existir distintas versiones.
Encontrará más información sobre las versiones de las instrucciones en la Ayuda de STEP 7,
apartado "Principios básicos de las versiones de instrucciones".
Encontrará más información sobre las diferencias entre las distintas versiones de las
instrucciones para el programa de seguridad en el capítulo correspondiente a cada
instrucción.
NOTA
• Si, en la Task Card "Instructions (Instrucciones)", se cambia la versión de una instrucción
utilizada en el programa de seguridad por otra con distinta funcionalidad, es posible que,
tras volver a compilar el programa de seguridad, cambie la funcionalidad del programa de
seguridad. Además de la firma del bloque F que utiliza la instrucción, se modificarán
también la firma colectiva F y la firma colectiva SW F del programa de seguridad. Es
posible que deba realizar una recepción/aceptación de las modificaciones (Página 375).
• (S7-300/400) Si su programa de seguridad contiene un bloque F con protección de know-
how que utiliza una instrucción de una versión distinta a la ajustada en la Task Card
"Instructions (Instrucciones)", al compilar el programa de seguridad, este bloque pasará a
la versión ajustada en la Task Card "Instructions (Instrucciones)" sin necesidad de
introducir la contraseña para el bloque F con protección de know-how, si la interfaz de las
versiones de la instrucción es idéntica. Si las versiones de la instrucción no son
funcionalmente idénticas, es posible que cambie la funcionalidad del bloque F con
protección de know-how, y en cualquier caso lo hará su firma.

Programación
5.1.5 Limitaciones en los lenguajes de programación FUP/KOP
Lenguajes de programación FUP y KOP

Normalmente, el programa de usuario de la CPU F está compuesto por un programa de
usuario estándar y un programa de seguridad.
El programa de usuario estándar se crea en los lenguajes de programación estándar, p. ej.,
SCL, AWL, KOP o FUP.
Para el programa de seguridad pueden emplearse KOP o FUP con ciertas limitaciones en lo
que respecta a las instrucciones, así como a los tipos de datos y áreas de operandos
utilizables. Consulte también la información sobre las limitaciones de las distintas
instrucciones.
Instrucciones soportadas
Las instrucciones disponibles dependen de la CPU F utilizada. Encontrará las instrucciones
soportadas en la descripción de las instrucciones (a partir de Instrucciones de STEP 7 Safety
V18 (Página 389)).
NOTA
No es posible interconectar la entrada de habilitación EN ni la salida de habilitación ENO.
Excepción:
(S7-1200, S7-1500) En las siguientes instrucciones puede programarse una detección de
rebase por exceso mediante interconexión de la salida de habilitación ENO:
• ADD: Sumar (STEP 7 Safety V18) (Página 507)
• SUB: Restar (STEP 7 Safety V18) (Página 510)
• MUL: Multiplicar (STEP 7 Safety V18) (Página 512)
• DIV: Dividir (STEP 7 Safety V18) (Página 515)
• NEG: Generar complemento a dos (STEP 7 Safety V18) (Página 518)
• ABS: Calcular valor absoluto (STEP 7 Safety V18) (S7-1200, S7-1500) (Página 521)
• CONVERT: Convertir valor (STEP 7 Safety V18) (Página 532)
Tipos de datos y parámetros soportados

Solo se soportan los siguientes tipos de datos:
• BOOL
• INT
• WORD
• DINT
• DWORD (S7-300, S7-400)
• TIME

Programación
• ARRAY, ARRAY[*] al utilizar las instrucciones RD_ARRAY_I: Leer valor de array F INT (STEP 7
Safety V18) (S7-1500) (Página 524) y RD_ARRAY_DI: Leer valor de array F DINT (STEP 7
Safety V18) (S7-1500) (Página 526).
Limitaciones:
– ARRAY solo en DB global F
– Límites de ARRAY: de 0 a máx. 10000
– ARRAY[*] solo como parámetro de entrada/salida (InOut) en FC F y FB F
– ARRAY of UDT no está permitido
– ARRAY of Bool no está permitido
– ARRAY of Word no está permitido
– ARRAY of Time no está permitido
• Tipo de datos PLC conforme con F (UDT) (S7-1200, S7-1500)
NOTA
Si el resultado de una instrucción está fuera del rango admisible para el tipo de datos, la CPU
F puede pasar a STOP. En el búfer de diagnóstico de la CPU F, se introduce la causa del evento
de diagnóstico.
Por ello, ya durante la creación del programa, asegúrese de no sobrepasar el rango admisible
para el tipo de datos en cuestión, elija un tipo de datos adecuado o utilice la salida ENO.
Consulte la descripción de las distintas instrucciones.
Tipos de datos y parámetros no permitidos

No están permitidos los siguientes tipos:
• Ninguno de los tipos no mencionados en el apartado "Tipos de datos y parámetros
soportados" (p. ej., BYTE, REAL)
• Los tipos de datos compuestos (p. ej., STRING, ARRAY (S7-300, S7-400, S7-1200), STRUCT,
tipo de datos PLC (UDT) (S7-300, S7-400))
• Tipos de parámetros (p. ej., BLOCK_FB, BLOCK_DB, ANY)
Áreas de operandos soportadas

La memoria de sistema de una CPU F tiene las mismas áreas de operandos que una CPU
estándar. En el programa de seguridad se puede acceder a las áreas de operandos
mencionadas en la tabla siguiente.
Tabla 5-1 Áreas de operandos soportadas

Área de operandos Descripción
Memoria imagen de proceso de las entradas
• de la periferia F El acceso a los canales de entrada de la periferia F solo es posible en
modo de lectura.
Por eso no es posible la transferencia a los parámetros de entrada y sali
da (IN_OUT) de un FB F o un FC F.
La memoria imagen de proceso de las entradas de la periferia F se ac
tualiza antes del inicio del bloque Main-Safety.

Programación

• de la periferia estándar El acceso a los canales de entrada de la periferia estándar solo es posible
en modo de lectura.
Además se necesita un control de plausibilidad específico del proceso.
Puede consultar los momentos de actualización de la memoria imagen
de proceso de las entradas de la periferia estándar en la Ayuda de STEP
7.
Memoria imagen de proceso de las salidas
• de la periferia F El acceso a los canales de salida de la periferia F solo es posible en modo
de escritura.
En el programa de seguridad se calculan los valores de las salidas de la
periferia F y se guardan en la memoria imagen de proceso de las salidas.
La memoria imagen de proceso de las salidas de la periferia F se actuali
za después de ejecutar el bloque Main-Safety.
• de la periferia estándar El acceso a los canales de salida de la periferia estándar solo es posible
en modo de escritura.
En su caso, en el programa de seguridad se calculan también los valores
de las salidas de la periferia estándar y se guardan en la memoria ima
gen de proceso de las salidas.
Puede consultar los momentos de actualización de la memoria imagen
de proceso de las salidas de la periferia estándar en la Ayuda de STEP 7.
Marcas Esta área se usa para intercambiar datos con el programa de usuario es
tándar.
Para el acceso en modo de escritura, se necesita además un control de
plausibilidad específico del proceso.
En el programa de seguridad no es posible acceder a las marcas en mo
do de escritura ni en modo de lectura.
Tenga en cuenta que las marcas solo están previstas para el acopla
miento entre el programa de usuario estándar y el programa de seguri
dad, y no está permitido usarlas como memoria intermedia para datos
F.
Bloques de datos
• DB F Los bloques de datos almacenan información para el programa. Pueden
definirse como bloques de datos globales para que todos los FB F/FC
F/bloques Main-Safety puedan acceder a ellos, o asignarse a un determi
nado FB F/bloque Main-Safety (DB de instancia). Solo es posible acceder
a una variable de un DB global desde un grupo de ejecución F, o acce
der a un DB de instancia desde el grupo de ejecución F en el que se lla
ma el correspondiente FB F/o la correspondiente instrucción.
• DB Esta área se usa para intercambiar datos con el programa de usuario es
tándar.
Para el acceso en modo de escritura, se necesita además un control de
plausibilidad específico del proceso.
En el programa de seguridad no es posible acceder a una variable de un
DB en modo de escritura ni en modo de lectura.

Programación

Tenga en cuenta que las variables de un DB solo están previstas para el
acoplamiento entre el programa de usuario estándar y el programa de
seguridad, y no está permitido usar DB como memoria intermedia para
datos F.
Datos locales temporales Esta área de memoria aloja las variables temporales de un bloque (F)
durante la ejecución de dicho bloque (F). La pila de datos locales tam
bién proporciona memoria para transferir parámetros del bloque y para
guardar resultados temporales.
Conversión de tipos de datos

Al igual que en el programa de usuario estándar, en el programa de seguridad existen dos
posibilidades de conversión de tipos de datos:
• Conversión implícita
Al igual que en el programa de usuario estándar, la conversión implícita tiene las
siguientes limitaciones: la longitud de bit del tipo de datos de origen debe coincidir con la
longitud de bit del tipo de datos de destino.
• Conversión explícita
Las instrucciones de conversión (Página 532) explícitas se utilizan antes de ejecutar la
instrucción propiamente dicha.
Accesos slice
En el programa de seguridad no son posibles los accesos slice (accesos a porciones).
Áreas de operandos no permitidas

No está permitido el acceso a través de unidades no incluidas en la tabla anterior ni el acceso
a áreas de operandos no mencionadas, en especial:
• Bloques de datos agregados automáticamente
Excepción: determinadas variables del DB de periferia F (Página 157) y del DB global F
(S7-300, S7-400) (Página 146) o el DB de información del grupo de ejecución F (S7-1200,
S7-1500) (Página 147)
• Área de periferia: entradas
• Área de periferia: salidas
Constantes booleanas "0" o "FALSE" y "1" o "TRUE" (S7-300, S7-400)

Para las CPU F S7-300/400 están disponibles las constantes booleanas "0" o "FALSE" y "1" o
"TRUE" en forma de las "variables" "RLO0" y "RLO1" en el DB global F. Se accede a ellas
mediante un acceso DB completo ("F_GLOBDB".VKE0 o "F_GLOBDB".VKE1).

Programación
Constantes booleanas "0" o "FALSE" y "1" o "TRUE" (S7-1200, S7-1500)

En las CPU F S7-1200/1500 se dispone de las constantes booleanas "0" o "FALSE" y "1" o
"TRUE" para asignar valores a parámetros en llamadas de bloque. Puede introducirlas
directamente en FUP o KOP en las respectivas entradas del bloque.
Ejemplo con FUP:
Ejemplo con KOP:
Otra posibilidad es, como hasta ahora, generar "1" o "TRUE" también en una variable con
ayuda de la instrucción "Assignment (Asignación) (Página 398)".
Para ello, en FUP debe dejarse sin conectar la entrada del cuadro de la instrucción
"Assignment (Asignación)". En KOP debe interconectarse la entrada directamente con la barra
de alimentación.
Puede obtener una variable con "0" o "FALSE" mediante una inversión posterior con la
instrucción "Invert RLO (Invertir RLO) (Página 395)".
Ejemplo con FUP:
Ejemplo con KOP:

Programación
Área de operandos de datos locales temporales: Particularidades
NOTA
Al utilizar el área de operandos de datos locales temporales, tenga en cuenta que el primer
acceso a un dato local en un bloque Main-Safety/FB F/FC F debe ser siempre un acceso de
escritura con el que se inicializa el dato local.
Asegúrese de que el dato local temporal se inicialice antes de la primera instrucción JMP,
JMPN o RET.
La inicialización de un "bit de datos locales" debe realizarse con la instrucción Assignment
(Asignación) ("=") (FUP) o ("‑‑( )") (KOP). Asigne al bit de datos locales el estado lógico "0" o
"1" como constante booleana.
Con las instrucciones Flipflop (SR, RS), Set output (Activar salida) (S) o Reset output
(Desactivar salida) (R) no se pueden inicializar bits de datos locales.
Si se omite esta regla, la CPU F puede pasar a STOP. En el búfer de diagnóstico de la CPU F se
introduce la causa del evento de diagnóstico.
"Fully qualified DB access (Acceso completo al DB)"

A las variables de un bloque de datos de un FB F/FC F se accede mediante un "acceso
completo al DB". Esto se aplica también al primer acceso a variables de un bloque de datos
después de una etiqueta de salto.
En el caso de las CPU F S7-300/400, solo el primer acceso debe realizarse como "acceso
completo al DB". Otra posibilidad es utilizar la instrucción "OPN".
Ejemplo de "acceso completo al DB".

Asigne un nombre al DB F, p. ej., "F_Data_1". En lugar de la dirección absoluta, utilice el
nombre asignado en la declaración del DB F.
Figura 5-1 Ejemplo con acceso completo

Programación
Ejemplo de "acceso no completo al DB" (S7-300, S7-400):
Figura 5-2 Ejemplo sin acceso completo
Acceso a DB de instancia
También se puede realizar un acceso completo a los DB de instancia de FB F, p. ej., para la
transferir parámetros del bloque. No es posible acceder a datos locales estáticos en instancias
individuales o multiinstancias de otros FB F.
(S7-300, S7-400) Tenga en cuenta que el acceso a DB de instancia de FB F que no se llaman
desde el programa de seguridad puede provocar un STOP de la CPU F.
Para las CPU F S7-1200/1500, tenga en cuenta la siguiente advertencia:
ADVERTENCIA
Si se programan accesos globales a DB de instancia de FB F, se debe garantizar que se llame

el FB F correspondiente en el programa de seguridad. (S096)
5.1.6 Tipos de datos PLC conformes con F (UDT) (S7-1200, S7-1500)
Introducción
Los tipos de datos PLC conformes con F (UDT) se declaran y utilizan igual que los tipos de
datos PLC estándar (UDT). Los tipos de datos PLC conformes con F (UDT) pueden emplearse
en el programa de seguridad y en el programa de usuario estándar.
En este capítulo se describen las diferencias respecto a los tipos de datos PLC estándar (UDT).
Encontrará más información sobre el uso y la declaración de tipos de datos PLC estándar
(UDT) en la Ayuda de STEP 7, apartado "Declaración de tipos de datos PLC".
Declaración de tipos de datos PLC conformes con F (UDT)

Los tipos de datos PLC conformes con F (UDT) se declaran igual que los tipos de datos PLC
(UDT).

Programación
En los tipos de datos PLC conformes con F (UDT) pueden emplearse todos los tipos de datos
(Página 112) que pueden utilizarse también en los programas de seguridad. Excepción:
ARRAY.
Para la declaración, haga lo siguiente:
1. Haga clic en el árbol del proyecto, en la carpeta "PLC data types (Tipos de datos PLC)", en
"Add new data type (Agregar nuevo tipo de datos)".
2. Para crear un tipo de datos PLC conforme con F (UDT), active la opción "Create F-compliant
PLC data type (Crear tipo de datos PLC conforme con F)" en el cuadro de diálogo "Add new
data type (Agregar nuevo tipo de datos)".
3. Para ello, siga las instrucciones de la Ayuda de STEP 7, apartado "Programación de la
estructura de tipos de datos PLC".
Los valores predeterminados para los tipos de datos PLC conformes con F (UDT) se definen en
la declaración.
Uso de los tipos de datos PLC conformes con F (UDT)

Los tipos de datos PLC conformes con F se utilizan igual que los tipos de datos PLC estándar
(UDT).
Profundidad de anidamiento de los tipos de datos PLC conformes con F

En los tipos de datos PLC conformes con F, la máxima profundidad de anidamiento es menor
que en el caso de los tipos de datos PLC (máxima profundidad de anidamiento = 8). Existe
una dependencia respecto a la cadena de llamadas del bloque en el que está declarada una
variable del tipo de datos PLC conforme con F anidado. Cada nivel de llamada de FC F o FB F
multiinstancia reduce la máxima profundidad de anidamiento del tipo de datos PLC conforme
con F. En los FB F multiinstancia, el invocante cuenta como un nivel adicional.
Si en un bloque de datos F global se declara una variable de un tipo de datos PLC conforme
con F anidado, su máxima profundidad de anidamiento será 7.
Ejemplo 1
El bloque Main-Safety (nivel 1) llama un FB F como multiinstancia (nivel 2), y este, a su vez,
llama un FC F (nivel 3) en el que está declarada una variable de un tipo de datos PLC
conforme con F anidado. En este caso, la máxima profundidad de anidamiento para el tipo de
datos PLC conforme con F utilizado por la variable será 5.
Ejemplo 2
El bloque Main-Safety llama un FB F como instancia individual (nivel 1), y este, a su vez, llama
un FC F (nivel 2) en el que está declarada una variable de un tipo de datos PLC conforme con
F anidado. En este caso, la máxima profundidad de anidamiento para el tipo de datos PLC
conforme con F utilizado por la variable será 6.
Modificaciones de tipos de datos PLC conformes con F (UDT)

Para modificar tipos de datos PLC conformes con F (UDT) se necesita la contraseña del
programa de seguridad. Esto se aplica por igual si se utiliza el tipo de datos PLC conforme con
F (UDT) en un bloque F, en un bloque estándar o en ninguna parte.

Programación
Consulte
también
Área "F-compliant PLC data types (Tipos de datos PLC conformes con F)" (S7-1200, S7-1500)
(Página %getreference)
5.1.6.1 Agrupación en estructuras de variables PLC para entradas y salidas de la periferia F

(S7-1200, S7-1500)
La agrupación en estructuras de variables PLC para entradas y salidas de la periferia F

(variables PLC estructuradas) se realiza igual que en el caso de las entradas y salidas de la
periferia estándar.
Utilice para ello tipos de datos PLC conformes con F (UDT).
Reglas
Al crear variables PLC estructuradas para entradas y salidas de periferia F, deben tenerse en
cuenta las siguientes reglas además de las reglas estándar:
• En una variable PLC estructurada no se deben agrupar al mismo tiempo entradas y salidas
de periferia estándar y periferia F.
• En una variable PLC estructurada solo deben agruparse entradas y salidas de canales
realmente existentes (valor del canal e información de calidad).
Ver también Direccionamiento de la periferia F (Página 150)
• En una variable PLC estructurada solo deben agruparse entradas y salidas de canales (valor
del canal e información de calidad) activados en la configuración hardware.
• En una variable PLC estructurada solo deben agruparse entradas de canales (valor de canal
e información de calidad) que, si está ajustada la "1oo2 evaluation (Evaluación 1oo2)" de
los sensores, proporcionen el resultado de la "1oo2 evaluation (Evaluación 1oo2)"
• En una variable PLC estructurada deben agruparse todas las entradas y salidas de una
periferia F. Si se distribuyen entre varias variables PLC estructuradas, deberán empezar
siempre por múltiplos de 16 bits. Esto también es válido para tipos de datos PLC
conformes con F (UDT) anidados. Ver reglas en el programa estándar.
Si se omite esta regla, la CPU F puede pasar a STOP. En el búfer de diagnóstico de la CPU F
se registra la causa del evento de diagnóstico.
• Una variable PLC estructurada que agrupa salidas de una periferia F no debe solaparse con
otra variable PLC.
Si se omite esta regla, la CPU F puede pasar a STOP. En el búfer de diagnóstico de la CPU F,
se introduce la causa del evento de diagnóstico.
NOTA
Para cumplir estas reglas es necesario declarar debidamente el tipo de datos PLC conforme
con F que se utilizará para la variable PLC estructurada
En la pestaña "IO tags (Variables IO)" de la configuración de una periferia F puede consultar
las direcciones que ocupa una variable PLC estructurada.

Programación
5.1.6.2 Ejemplo de variables PLC estructuradas para entradas y salidas de la periferia F

(S7-1200, S7-1500)
Introducción
Este ejemplo muestra cómo utilizar variables PLC estructuradas para acceder a la periferia F
en el caso del módulo F 4 F-DI/3 F-DO DC24V/2A con evaluación 1oo2.
Estructura de canales del módulo F 4 F-DI/3 F-DO DC24V/2A

La tabla siguiente muestra la estructura de canales y la asignación de direcciones del módulo
F 4 F-DI/3 F-DO DC24V/2A con evaluación 1oo2. Debe accederse únicamente a canales
realmente existentes y activados (direcciones I15.0 a I15.3 e I16.0 a I16.3). En esos canales
se obtiene el resultado de la evaluación 1oo2 calculado internamente en el módulo F.
Tabla 5-2 Estructura de canales y direcciones de los valores de canal de las entradas con evaluación
1oo2 (2 de 2)
Canal Dirección
Canal DI 0 Valor del canal I15.0
— I15.4
— I15.5
— I15.6
— I15.7
Tabla 5-3 Estructura de canales y direcciones de la información de calidad de las entradas con evalua
ción 1oo2
Canal Dirección
Canal DI 0 Información de calidad I16.0
— I16.4
— I16.5
— I16.6
— I16.7

Programación
Tabla 5-4 Estructura de canales y direcciones de la información de calidad de las salidas

Canal Dirección
Canal DO 0 Información de calidad I17.0
Tabla 5-5 Estructura de canales y direcciones de los valores de canal de las salidas
Canal Dirección
Canal DO 0 Valor del canal Q15.0
Crear tipos de datos PLC conformes con F (UDT)

Para acceder a todos los canales, cree, p. ej., dos tipos de datos PLC conformes con F (UDT).
La siguiente figura muestra un tipo de datos PLC conforme con F (UDT) para acceder a los
valores de canal y la información de calidad de las entradas con evaluación 1oo2:
La siguiente figura muestra el tipo de datos PLC conforme con F (UDT) para acceder a los
valores de canal y la información de calidad de las salidas:

Programación
Uso de los tipos de datos PLC conformes con F (UDT)

Los dos tipos de datos PLC conformes con F (UDT) creados pueden utilizarse en un FC F como
muestra la figura siguiente (p. ej., "Motor"):
Crear una variable PLC estructurada para el módulo F 4 F-DI/3 F-DO DC24V/2A
Cree variables PLC estructuradas para el módulo F 4 F-DI/3 F-DO DC24V/2A
Llamada del FC F
Transfiera las variables PLC estructuradas que ha creado al llamar el FC F (p. ej., "Motor"):

Programación
Consulte
también
Direccionamiento de la periferia F (Página 150)
Información de calidad (S7-1200, S7-1500) (Página 152)
5.1.7 Editar variables PLC con editores externos

Para editar variables PLC con editores externos, siga el mismo procedimiento que en el
programa estándar. Encontrará más información en la Ayuda de STEP 7, apartado "Edición de
variables PLC con editores externos".
NOTA
Tras importar una tabla de variables que contenga variables que se utilicen en el programa de
seguridad, se restablece la firma colectiva F del programa de seguridad.
Para que vuelva a generarse la firma colectiva F, deberá volver a compilar los datos del
proyecto. En ese caso, si está establecida la protección de acceso para el programa de
seguridad, necesitará un permiso de acceso válido para el programa de seguridad.
Por ello, si desea editar variables PLC con editores externos, le recomendamos guardar en una
tabla de variables propia las variables PLC que vaya a utilizar en el programa de seguridad.
5.1.8 Uso de Multiuser Engineering

Si desea utilizar Multiuser Engineering, siga las instrucciones de la Ayuda de STEP 7, apartado
"Uso de Multiuser Engineering".
5.1.9 Borrado del programa de seguridad
Borrado de bloques F individuales

Para borrar un bloque F, siga el procedimiento habitual en STEP 7.
Borrado de un grupo de ejecución F

Ver Borrar grupos de ejecución F (Página 141)
(S7-300, S7-400) Elimine todas las llamadas que haya usado para llamar el programa de
seguridad (Main_Safety).
Borrado del programa de seguridad completo para CPU F S7-300/400 con Memory Card (SIMATIC
Micro Memory Card o tarjeta Flash) insertada
Para borrar un programa de seguridad completo, haga lo siguiente:
1. Borre todos los bloques F (marcados con un símbolo amarillo) del árbol del proyecto.
2. Elimine todas las llamadas que haya usado para llamar el programa de seguridad
(Main_Safety).

Programación
3. En el editor de hardware y redes, seleccione la CPU F y desactive la opción "F-capability

activated (Funcionalidad F activada)" en las propiedades de la CPU F.
4. Compile los datos del proyecto de la CPU F.
Ahora el proyecto offline ya no contiene ningún programa de seguridad.
5. Para borrar el programa de seguridad de la Memory Card (SIMATIC Micro Memory Card o
tarjeta Flash), inserte la Memory Card (SIMATIC Micro Memory Card o tarjeta Flash) en la
programadora/el PC o en un Prommer USB SIMATIC.
6. En la barra de menús, elija el comando "Project (Proyecto) > Card Reader/USB Memory
(Card Reader/memoria USB) > View Card Reader/USB Memory > (Mostrar Card
Reader/memoria USB)".
7. Abra la carpeta "SIMATIC Card Reader" y borre la Memory Card.
8. Inserte la Memory Card en la CPU F.
9. Realice un borrado total de la CPU F (el parpadeo del LED STOP exige el borrado total).
Tras ello podrá cargar el programa de usuario estándar offline en la CPU F.
Borrado del programa de seguridad completo para CPU F S7-400 sin tarjeta Flash insertada
2. Elimine todas las llamadas que haya usado para llamar el programa de seguridad
(Main_Safety).
5. Realice un borrado total de la CPU F (en la Task Card "Online Tools (Herramientas online)"
de la CPU F).
Borrado del programa de seguridad completo para CPU F S7-1200/1500


Programación
5.2 Definir grupos de ejecución F
5.2.1 Reglas para los grupos de ejecución F del programa de seguridad
Reglas
Tenga en cuenta los siguientes puntos:
• Solo está permitido acceder a los canales (valores de canal e información de calidad) de
una periferia F desde un único grupo de ejecución F.
• Solo está permitido acceder a variables del DB de periferia F de una periferia F desde un
grupo de ejecución F, que debe ser el mismo grupo de ejecución F desde el que se accede
también a los canales y a la información de calidad de esa periferia F (si hay acceso).
• Los FB F pueden emplearse en varios grupos de ejecución F, pero deben llamarse con
diferentes DB de instancia.
• Solo está permitido acceder a los DB de instancia de FB F desde el grupo de ejecución F en
el que se llama el correspondiente FB F.
• Solo está permitido acceder a una variable de un DB global F (excepto el DB F global)
desde un grupo de ejecución F (sin embargo, puede usarse un mismo DB global F en
varios grupos de ejecución F).
• (S7-300, S7-400) El grupo de ejecución F para el que se ha creado el DB está autorizado a
acceder a un DB para la comunicación entre grupos de ejecución F en modo de lectura y
de escritura, mientras que el grupo de ejecución F "receptor" solo está autorizado a leer
ese DB F.
• (S7-300, S7-400) Solo está permitido acceder a un DB de comunicación F desde un grupo
de ejecución F.
• (S7-1200, S7-1500) No está permitido llamar directamente el bloque Main-Safety. Lo
llamará automáticamente el OB F asignado.
NOTA
Los OB F tienen protección de know-how por el sistema F. Por ello no es posible evaluar la
información de arranque de los OB F.
• (S7-1200, S7-1500) El OB F debe crearse con la máxima prioridad de todos los OB.
NOTA
El tiempo de ciclo o tiempo de ejecución de un OB F puede prolongarse, entre otras cosas,
a causa de la carga por comunicación, el procesamiento de alarmas de mayor prioridad o
funciones de test y puesta en marcha. En el caso de los sistemas redundantes S7- 1500HF,
depende también del estado actual del sistema.
• (S7-300, S7-400) No está permitido llamar el bloque Main-Safety más de una vez desde un
bloque estándar. Si se realizan varias llamadas, la CPU F puede pasar a STOP.
• (S7-300, S7-400) Para aprovechar al máximo los datos locales temporales, debe llamarse
el grupo de ejecución F (el bloque Main-Safety) directamente en un OB (a ser posible, un
OB de alarma cíclica), y en dicho OB de alarma cíclica no deben declararse otros datos
locales temporales.

Programación
• (S7-300, S7-400) En un OB de alarma cíclica conviene ejecutar el grupo de ejecución F

antes del programa de usuario estándar, y por lo tanto el grupo de ejecución F debe estar
en primera posición en el OB para que se llame siempre a intervalos fijos,
independientemente del tiempo de ejecución del programa de usuario estándar.
Por ello también debe evitarse que el OB de alarma cíclica sea interrumpido por alarmas de
mayor prioridad.
• Está permitido acceder, ya sea en modo de lectura o de escritura, a la memoria imagen de
proceso de las entradas y salidas de periferia estándar, a las marcas y a las variables de DB
del programa de usuario estándar desde varios grupos de ejecución F (ver también
Intercambio de datos entre programa de usuario estándar y programa de seguridad
(Página 185)).
• De modo general, los FC F pueden llamarse en varios grupos de ejecución F.
NOTA
Para mejorar el rendimiento, llame en el programa de usuario estándar las partes del
programa que no sean necesarias para la función de seguridad.
Al repartir tareas entre el programa de usuario estándar y el programa de seguridad, tenga en
cuenta que el programa de usuario estándar resulta más fácil de modificar y de cargar en la
CPU F. Normalmente, las modificaciones del programa de usuario estándar no requieren
5.2.2 Procedimiento para definir un grupo de ejecución F (S7-300, S7-400)
Requisitos
• Se ha insertado una CPU F S7-300/400 en el proyecto.
• En la pestaña "Properties (Propiedades)" de la CPU F está activada la casilla de verificación
"F-capability activated (Funcionalidad F activada)" (ajuste predeterminado).

Programación
Grupo de ejecución F creado por defecto

Cuando se agrega una CPU F, STEP 7 Safety inserta por defecto bloques F para un grupo de
ejecución F en el árbol del proyecto. Si abre la carpeta "Program blocks (Bloques de
programa)", verá los bloques (F) del grupo de ejecución F (CYC_INT5 [OB 35], Main_Safety
[FB1] y Main_Safety_DB [DB1]) en el árbol del proyecto.
A continuación se describe cómo modificar los ajustes/parámetros del grupo de ejecución F

creado por defecto o agregar otro grupo de ejecución F.

Programación
Procedimiento para definir grupos de ejecución F

Para definir un grupo de ejecución F, haga lo siguiente:
1. Abra el Safety Administration Editor haciendo doble clic en el árbol del proyecto.
2. En la navegación local, seleccione "F-runtime group (Grupo de ejecución F)".
Resultado: Se abrirá el área de trabajo para definir un grupo de ejecución F con los ajustes
(predeterminados) para el grupo de ejecución F 1.
3. Defina el bloque en el que debe llamarse el bloque Main-Safety.

De modo predeterminado, se propone el OB de alarma cíclica OB 35. Los OB de alarma
cíclica tienen la ventaja de que interrumpen el procesamiento cíclico del programa en el
OB 1 del programa de usuario estándar a intervalos de tiempo fijos. Por lo tanto, puede
usarse un OB de alarma cíclica para llamar y ejecutar el programa de seguridad a
intervalos de tiempo fijos.
En este campo de entrada solo pueden seleccionarse bloques creados en los lenguajes de
programación KOP, FUP o AWL. Si seleccionar un bloque aquí, la llamada se insertará
automáticamente en el bloque seleccionado y, si es necesario, se eliminará de un bloque
seleccionado previamente.
Si desea llamar el bloque Main-Safety en un bloque creado en otro lenguaje de
programación, deberá programar esta llamada allí. En ese caso, el campo de entrada
aparecerá atenuado y no se podrá modificar la llamada en el Safety Administration Editor,
sino solo en el bloque invocante.
4. Asigne el grupo de ejecución F al bloque Main-Safety deseado. Si el bloque Main-Safety es
un FB, deberá asignarle además un DB de instancia.
De modo predeterminado, se proponen el Main_Safety [FB1] y el Main_Safety_DB [DB1].

Programación
5. La CPU F vigila el tiempo de ciclo F del grupo de ejecución F. Para el "Maximum cycle time
of the F-runtime group (Tiempo máximo de ciclo del grupo de ejecución F)", elija el
máximo tiempo que pueda transcurrir entre dos llamadas del grupo de ejecución F.
ADVERTENCIA
Se vigila el valor máximo del intervalo de llamada del grupo de ejecución F. Es decir, se
vigila si la llamada se ejecuta con la frecuencia suficiente, pero no si se ejecuta con
demasiada frecuencia o en modo isócrono, por ejemplo. Por ello, los tiempos de
seguridad deben implementarse mediante las instrucciones TP, TON o TOF (Página 479)
de la Task Card "Instructions (Instrucciones)" y no mediante contadores (llamadas de
OB). (S007)
ADVERTENCIA
El tiempo de reacción de la función de seguridad depende, entre otros aspectos, del

tiempo de ciclo del OB F, del tiempo de ejecución del grupo de ejecución F y, en caso de
utilizar periferia F descentralizada, de la parametrización de PROFINET/PROFIBUS.
De este modo, la configuración/parametrización del sistema estándar influye también en
el tiempo de reacción de la función de seguridad.
Ejemplos:
– El aumento de la prioridad de un OB estándar respecto de la prioridad de un OB F
puede prolongar el tiempo de ciclo del OB F y, con ello, el tiempo de ejecución del
grupo de ejecución F debido a la mayor prioridad de ejecución del OB estándar. Tener
en cuenta que, al crear objetos tecnológicos, pueden crearse automáticamente OB
con una prioridad muy alta.
– La modificación del tiempo de ciclo de emisión de PROFINET modifica el tiempo de
ciclo de un OB F con clase de evento "Synchronous cycle (Ciclo síncrono)".
Tener en cuenta que la configuración/parametrización del sistema estándar no está
cubierta por la protección de acceso del programa de seguridad y no conlleva un cambio
de la "Collective F-signature" (Firma colectiva F).
Si no se impide, mediante la toma de medidas organizativas, que se hagan cambios en la
configuración/parametrización del sistema estándar que influyan en el tiempo de
reacción, deberán utilizarse por principio los tiempos de vigilancia (ver Configuración de
los tiempos de vigilancia (Página 586)) para calcular el tiempo máximo de reacción de
una función de seguridad.
Los tiempos de vigilancia están protegidos contra modificaciones con la protección de
acceso del programa de seguridad y están cubiertos por la "Collective F-signature "Firma
colectiva F" y la "Collective F-SW-signature (Firma colectiva SW F).
En caso de utilizar el archivo Excel para calcular el tiempo de reacción
(https://support.industry.siemens.com/cs/ww/es/view/109783831), debe tomarse como
valor para el tiempo máximo de reacción el valor especificado para "cualquier tiempo de
ejecución del sistema estándar". (S085)

Programación
6. Si un grupo de ejecución F debe proporcionar variables para la evaluación en otro grupo

de ejecución F del programa de seguridad, asigne un DB para la comunicación entre
grupos de ejecución F. Seleccione un DB F para "DB for F-runtime group communication
(DB para la comunicación entre grupos de ejecución F)". (Ver también Comunicación entre
grupos de ejecución F (S7-300, S7-400) (Página 136))
7. Si desea crear un segundo grupo de ejecución F, presione el botón "Add new F-runtime
group (Agregar grupo de ejecución F)".
8. Asigne un FB F o FC F como bloque Main-Safety a un bloque invocante. Este FB F o FC F se
creará automáticamente en el árbol del proyecto si no existe todavía.
9. Si el bloque Main-Safety es un FB F, asigne un DB de instancia al bloque Main-Safety. El DB
de instancia se creará automáticamente en el árbol del proyecto.
10. Siga los pasos 3 a 5 mencionados anteriormente para finalizar el segundo grupo de
ejecución F.
5.2.3 Procedimiento para definir un grupo de ejecución F (S7-1200, S7-1500)
Requisitos
• Se ha insertado una CPU F S7-1200/1500 en el proyecto.
• En la pestaña "Properties (Propiedades)" de la CPU F está activada la casilla de verificación
"F-capability activated (Funcionalidad F activada)" (ajuste predeterminado).
Grupo de ejecución F creado por defecto

Cuando se agrega una CPU F, STEP 7 Safety inserta por defecto bloques F para un grupo de
ejecución F en el árbol del proyecto. Al abrir la carpeta "Program blocks (Bloques de
programa)", verá los bloques (F) del grupo de ejecución F (FOB_RTG1 [OB123],
Main_Safety_RTG1 [FB1] y Main_Safety_RTG1_DB [DB1]) en el árbol del proyecto.
A continuación se describe cómo modificar los ajustes/parámetros del grupo de ejecución F

creado por defecto o agregar otro grupo de ejecución F.

Programación
Procedimiento para definir grupos de ejecución F

Para definir un grupo de ejecución F, haga lo siguiente:
1. Abra el Safety Administration Editor haciendo doble clic en el árbol del proyecto.
2. En la navegación local, seleccione "F-runtime group (Grupo de ejecución F)".
Resultado: Se abrirá el área de trabajo para definir un grupo de ejecución F con los ajustes
(predeterminados) para el grupo de ejecución F 1.
3. Asigne un nombre al OB F en "F-OB (OB F)".

4. Al crear un nuevo grupo de ejecución F, defina la clase de evento del OB F.
Para un OB F puede elegir entre las clases de evento "Program cycle", "Cyclic interrupt" o
"Synchronous cycle".
En el caso del grupo de ejecución F creado por defecto, el OB F tiene la clase de evento
"Cyclic interrupt". Para cambiar la clase de evento del OB F de un grupo de ejecución F ya
creado, debe eliminar el grupo de ejecución F y volver a crearlo.
NOTA
Le recomendamos crear el OB F con la clase de evento "Cyclic interrupt". De este modo se
llamará el programa de seguridad a intervalos de tiempo fijos.
Los OB F con la clase de evento "Synchronous cycle" solo son recomendables en el caso de
las periferias F que soporten el modo isócrono. p. ej., el submódulo "Profisafe Telgr 902"
del accionamiento SINAMICS S120 CU310-2 PN V5.1.
No se recomienda usar OB F con la clase de evento "Program cycle", ya que tienen la clase
de prioridad más baja, la "1" (ver abajo).

Programación
NOTA
Respete el número máximo admisible de OB (incluidos los OB F) con clase de evento
"Synchronous cycle" (ver los datos técnicos en los manuales de producto de las CPU
S7-1500).
5. En caso necesario, puede modificar manualmente el número del OB F propuesto por el

sistema. Al hacerlo, tenga en cuenta los rangos numéricos admisibles para cada clase de
evento.
6. Para los OB F con la clase de evento "Cyclic interrupt" debe parametrizarse el tiempo de
ciclo, el desfase y la prioridad.
Para los OB F con la clase de evento "Synchronous cycle" debe parametrizarse la prioridad.
– Elija un tiempo de ciclo menor que el "Maximum cycle time of the F-runtime group
(Tiempo máximo de ciclo del grupo de ejecución F)" y menor que el "Warn cycle time of
the F-runtime group (Límite de advertencia de tiempo de ciclo del grupo de ejecución
F)".
– Elija un desfase menor que el tiempo de ciclo.
– A ser posible, elija una prioridad mayor que la del resto de los OB.
NOTA
Una alta prioridad del OB F permite evitar que el tiempo de ejecución y el tiempo de
reacción de las funciones de seguridad (Página 586) dependan en exceso del programa de
usuario estándar.
NOTA
Para los OB F con la clase de evento "Synchronous cycle", tras definir el grupo de ejecución
F y conectar la periferia F isócrona al OB de alarma de sincronismo, debe parametrizarse el
ciclo de aplicación (ms) y, si es necesario, un tiempo de retardo (ms). Encontrará estos
parámetros en el cuadro de diálogo "Properties (Propiedades)" del OB de alarma de
sincronismo en el grupo "Isochronous mode (Modo isócrono)". Para ello, siga las
instrucciones de la Ayuda de STEP 7, apartado "Parametrizar OB de alarma de
sincronismo".
7. Asigne al OB F el bloque Main-Safety invocante. Si el bloque Main-Safety es un FB, deberá

asignarle además un DB de instancia.
Por defecto, se proponen Main_Safety_RTG1 [FB1] y Main_Safety_RTG1_DB [DB1].

Programación
8. La CPU F vigila el tiempo de ciclo F del grupo de ejecución F. Para ello se dispone de dos
parámetros:
– Si se rebasa el "Warn cycle time of the F-runtime group (Límite de advertencia del
tiempo de ciclo del grupo de ejecución F)", se registra una solicitud de mantenimiento
en el búfer de diagnóstico de la CPU F y se controla el LED MAINT de la CPU F. Este
parámetro puede emplearse, p. ej., para comprobar si el tiempo de ciclo rebasa un
valor necesario sin que la CPU F pase a STOP.
NOTA
La solicitud de mantenimiento se marca como evento saliente mediante una transición
STOP/RUN de la CPU F. Para ello, en un sistema HF, deben pasarse ambas CPU HF o el
sistema redundante S7-1500HF a STOP antes de volver a arrancar las CPU HF.
Otra posibilidad es marcar la solicitud de mantenimiento como saliente con la
instrucción estándar "ACK_FCT_WARN". Para ello, llame la instrucción
"ACK_FCT_WARN" con flanco ascendente en el parámetro de entrada "ACK_WARN" en
el programa de usuario estándar.
Si se produce otro rebase del límite de advertencia, no se notificará hasta la próxima
transición STOP/RUN de la CPU F.
– Si se rebasa el "Maximum cycle time of the F-runtime group (Tiempo máximo de ciclo
del grupo de ejecución F)", la CPU F pasa a STOP. Para el "Maximum cycle time of the
F-runtime group (Tiempo máximo de ciclo del grupo de ejecución F)", elija el máximo
tiempo que pueda transcurrir entre dos llamadas de este grupo de ejecución F (como
máximo 20000000 µs).
ADVERTENCIA
Se vigila el valor máximo del intervalo de llamada del grupo de ejecución F. Es decir,
se vigila si la llamada se ejecuta con la frecuencia suficiente, pero no si se ejecuta con
demasiada frecuencia o en modo isócrono, por ejemplo. Por ello, los tiempos de
seguridad deben implementarse mediante las instrucciones TP, TON o TOF (Página
479) de la Task Card "Instructions (Instrucciones)" y no mediante contadores (llamadas
de OB). (S007)

Programación
ADVERTENCIA
El tiempo de reacción de la función de seguridad depende, entre otros aspectos, del

tiempo de ciclo del OB F, del tiempo de ejecución del grupo de ejecución F y, en caso
de utilizar periferia F descentralizada, de la parametrización de PROFINET/PROFIBUS.
De este modo, la configuración/parametrización del sistema estándar influye también
en el tiempo de reacción de la función de seguridad.
Ejemplos:
– El aumento de la prioridad de un OB estándar respecto de la prioridad de un OB F
puede prolongar el tiempo de ciclo del OB F y, con ello, el tiempo de ejecución del
grupo de ejecución F debido a la mayor prioridad de ejecución del OB estándar.
Tener en cuenta que, al crear objetos tecnológicos, pueden crearse
automáticamente OB con una prioridad muy alta.
– La modificación del tiempo de ciclo de emisión de PROFINET modifica el tiempo de
ciclo de un OB F con clase de evento "Synchronous cycle".
Tener en cuenta que la configuración/parametrización del sistema estándar no está
cubierta por la protección de acceso del programa de seguridad y no conlleva un
cambio de la "Collective F-signature" (Firma colectiva F).
Si no se impide, mediante la toma de medidas organizativas, que se hagan cambios en
la configuración/parametrización del sistema estándar que influyan en el tiempo de
reacción, deberán utilizarse por principio los tiempos de vigilancia (ver Configuración
de los tiempos de vigilancia (Página 586)) para calcular el tiempo máximo de reacción
de una función de seguridad.
acceso del programa de seguridad y están cubiertos por la firma colectiva F y la firma
colectiva SW F.
(https://support.industry.siemens.com/cs/ww/es/view/109783831), debe tomarse
como valor para el tiempo máximo de reacción el valor especificado para "cualquier
tiempo de ejecución del sistema estándar". (S085)
El "Warn cycle time of the F-runtime group (Límite de advertencia del tiempo de ciclo del
grupo de ejecución F)" debe parametrizarse a un valor menor o igual que el "Maximum
cycle time of the F-runtime group (Tiempo máximo de ciclo del grupo de ejecución F)".
9. En caso necesario, puede cambiar el nombre propuesto por el sistema para el DB de
información del grupo de ejecución F (Página 147) en la opción "F-runtime group
information DB (DB de información del grupo de ejecución F)".
10. Si es necesario, puede seleccionar bloques del programa estándar (FC) para el
preprocesamiento o postprocesamiento de un grupo de ejecución F (ver
Preprocesamiento/postprocesamiento (S7-1200, S7-1500) (Página 84))
11. Si desea crear un segundo grupo de ejecución F, presione el botón "Add new F-runtime
group (Agregar grupo de ejecución F)". Siga los pasos 3 a 10 mencionados anteriormente.

Programación
5.2.4 Comunicación entre grupos de ejecución F (S7-300, S7-400)
Comunicación orientada a la seguridad entre grupos de ejecución F

Entre los dos grupos de ejecución F de un programa de seguridad es posible la comunicación
orientada a la seguridad. Es decir: las variables de seguridad proporcionadas en un DB F de un
grupo de ejecución F pueden leerse en otro grupo de ejecución F.
NOTA
El grupo de ejecución F para el que se ha configurado el DB F está autorizado a acceder a un
DB para comunicación entre grupos de ejecución F en modo de lectura y de escritura,
mientras que el grupo de ejecución F "receptor" solo está autorizado a leer ese DB F.
Sugerencia: Para mejorar el rendimiento, estructure el programa de seguridad de manera

que se intercambie el menor número posible de variables entre los grupos de ejecución F.
Procedimiento para definir un DB para comunicación entre grupos de ejecución F

El DB para la comunicación entre grupos de ejecución F se define en el área de trabajo
"F-runtime group (Grupo de ejecución F)". Para ello, haga lo siguiente:
1. Haga clic en el Safety Administration Editor en "F-runtime group (Grupo de ejecución F)".
2. En el campo "DB for F-runtime group communication (DB para comunicación entre grupos
de ejecución F)", seleccione un DB F existente o asigne uno nuevo.
3. Asigne un nombre al DB F.
Actualidad de las variables al ser leídas desde otro grupo de ejecución F
NOTA
La actualidad de las variables leídas es la que tenían al finalizar la última ejecución del grupo
de ejecución F que proporciona las variables, antes del inicio del grupo de ejecución F que las
leerá.
Si se realizan varias modificaciones de las variables proporcionadas en el tiempo de ejecución

del grupo de ejecución F que las proporciona, el grupo de ejecución F que las lee solo tendrá
en consideración la última modificación (ver la figura siguiente).
Asignación de valores sustitutivos
Tras el arranque del sistema F, se proporcionan valores sustitutivos al grupo de ejecución F
que accede en modo de lectura a las variables del DB para comunicación entre grupos de
ejecución F de otro grupo de ejecución F (p. ej., el grupo de ejecución F 2). Los valores
sustitutivos proporcionados son los valores especificados como valores iniciales en el DB para
comunicación entre grupos de ejecución F del grupo de ejecución F 1.
El grupo de ejecución F 2 leerá los valores sustitutivos en su primera llamada. En la segunda
llamada, el grupo de ejecución F 2 leerá las variables actuales si el grupo de ejecución F 1 se
ha ejecutado completamente entre las dos llamadas del grupo de ejecución F 2. Si el grupo
de ejecución F 1 no se ha ejecutado por completo, el grupo de ejecución F 2 seguirá leyendo
los valores sustitutivos hasta que el grupo de ejecución F 1 se haya ejecutado por completo.
Este comportamiento se ilustra mediante un ejemplo en las dos figuras siguientes.

Programación
Lectura de variables del grupo de ejecución F 1 cuando este tiene un ciclo de OB más
largo y una prioridad menor que el grupo de ejecución F 2
1
)$/* [ [ [

[ [ [ [ [ [ [ [

)$/*

① Arranque del sistema F

Tiempo de ciclo de OB (F) en el que se llama el grupo de ejecución F.
Tiempo de ejecución del grupo de ejecución F
... Variable del grupo de ejecución F 1, escrita en el DB para comunicación entre grupos
de ejecución F del grupo de ejecución F 1
...Variable del grupo de ejecución F 2, leída en el DB para comunicación entre grupos de
ejecución F del grupo de ejecución F 1
Valor inicial en el DB para comunicación entre grupos de ejecución F

Programación
Lectura de variables del grupo de ejecución F 1 cuando este tiene un ciclo OB más corto
y una prioridad mayor que el grupo de ejecución F 2
1
[ [ [ [ [ [ [ [

)$/*
[ [ [
)$/*

① Arranque del sistema F

Tiempo de ciclo de OB (F) en el que se llama el grupo de ejecución F.
Tiempo de ejecución del grupo de ejecución F
... Variable del grupo de ejecución F 1, escrita en el DB para comunicación entre grupos
de ejecución F del grupo de ejecución F 1
... Variable del grupo de ejecución F 2, leída en el DB para comunicación entre grupos de
ejecución F del grupo de ejecución F 1
Valor inicial en el DB para comunicación entre grupos de ejecución F
El grupo de ejecución F que proporciona las variables no se ejecuta
NOTA
Si no se ejecuta el grupo de ejecución F de cuyo DB para comunicación entre grupos de
ejecución F deben leerse las variables (no se llama el bloque Main-Safety del grupo de
ejecución F), la CPU F pasa a STOP. En ese caso, en el búfer de diagnóstico de la CPU F se
registra uno de los siguientes eventos de diagnóstico:
• Error en el programa de seguridad: tiempo de ciclo excedido
• Número del bloque Main-Safety afectado (del grupo de ejecución F que no se ejecuta)
• tiempo de ciclo actual en ms: "0"

Programación
5.2.5 Comunicación entre grupos de ejecución F (S7-1200, S7-1500)
Introducción
Con ayuda de Flexible F-Link se implementa una comunicación entre grupos de ejecución F.
Con Flexible F-Link se proporciona un array F codificado para los datos de envío del grupo de
ejecución F. El array F codificado se transfiere al otro grupo de ejecución F con instrucciones
estándar, p. ej., UMOVE_BLK.
Requisitos
Comunicación entre grupos de ejecución F
*UXSRGHHMHFXFLµQ)57* )& *UXSRGHHMHFXFLµQ)57*

3RVWSURFHVDPLHQWR
/LEUHU¯D 802 /LEUHU¯D

6(1'B 9(B%/. 5&9B
$55$< )& $55$<
7LSRGHGDWRV 3RVWSURFHVDPLHQWR 7LSRGHGDWRV
3/& 3/&
FRQIRUPHFRQ '%GH '%GH FRQIRUPHFRQ
$&.B5&9B $&.B
FRPXQLFD 802 FRPXQLFD
) 8'7 FLµQ)
$55$< 6(1'B
FLµQ)
) 8'7
9(B%/. $55$<
/DGRGHHQY¯R /DGRGHUHFHSFLµQ
Si desea enviar datos de seguridad de un grupo de ejecución F a otro, haga lo siguiente:

1. Cree un tipo de datos PLC conforme con F (UDT) no anidado para la comunicación entre
grupos de ejecución F. Puede tener un tamaño de hasta 100 bytes.
2. Cree dos comunicaciones F para una comunicación entre grupos de ejecución F en el área
"Flexible F-Link" del Safety Administration Editor. Una comunicación F para el lado de
transmisión y otra para el lado de recepción.
3. Parametrice el mismo tiempo de vigilancia F y el mismo UUID de comunicación F para
cada relación de comunicación entre grupos de ejecución F.
Encontrará información para calcular el tiempo de vigilancia F en Tiempos de vigilancia y
tiempos de reacción (Página 586).
Por ej.:

Programación
4. En el lado de envío (p. ej., RTG1), proporcione los datos que deben enviarse a los datos del
DB de comunicación F (Página 289) para el sentido de envío.
Por ej.:
5. En el lado de recepción (p. ej., RTG2), lea los datos de recepción del DB de comunicación F
(Página 289) para el sentido de recepción.
Por ej.:
6. En el grupo de ejecución F para los datos de envío (p. ej., RTG1), llame la instrucción
"UMOVE_BLK" en el FC para el postprocesamiento (Página 84).
7. Para interconectar una instrucción "UMOVE_BLK" para los datos que deben enviarse, haga
lo siguiente:
"Send (Enviar)" es el DB de comunicación F (Página 289) del grupo de ejecución F que

envía los datos.
"Receive (Recibir)" es el DB de comunicación F (Página 289) del grupo de ejecución F que
recibe los datos.
8. En el grupo de ejecución F para el acuse (p. ej., RTG2), llame la instrucción "UMOVE_BLK"
en el FC para el postprocesamiento (Página 93).
9. Para interconectar una instrucción "UMOVE_BLK" para la conexión de acuse, haga lo
siguiente:
"Receive (Recibir)" es el DB de comunicación F (Página 289) del grupo de ejecución F que

envía el telegrama de acuse.
"Send (Enviar)" es el DB de comunicación F (Página 289) del grupo de ejecución F que
recibe el telegrama de acuse.
10. Compile el programa de usuario.
11. Cargue el programa de usuario en la CPU F.

Programación
ADVERTENCIA
Durante la recepción/aceptación, se debe comprobar con ayuda del impreso de seguridad

que los offsets de todos los elementos de los tipos de datos PLC conformes con F (UDT)
coincidan dentro del telegrama de seguridad para los datos de envío y recepción. Para ello,
en el impreso de seguridad se detallan todos los miembros y direcciones de cada
UDT. (S088)
ADVERTENCIA
Al crear una nueva comunicación con Flexible F-Link en el Safety Administration Editor, se
proporciona un UUID de comunicación F unívoco para la comunicación del sistema. Al copiar
comunicaciones en el Safety Administration Editor dentro de la tabla de parametrización o
también al copiarlas a otra CPU F, los UUID de comunicación F no se crean de nuevo, por lo
que ya no son unívocos. Si se utiliza la copia para parametrizar una nueva relación de
comunicación, el propio usuario debe asegurarse de que sean unívocos. Para ello, se deben
seleccionar los UUID afectados y generarlos de nuevo desde el menú contextual "Generate
UUID (Generar UUID)". La univocidad debe comprobarse durante la recepción/aceptación en
el impreso de seguridad. (S087)
ADVERTENCIA
Solo entonces se garantiza (con seguridad) que se captura el estado lógico que se debe
transmitir y que este se transmite al receptor si está presente durante al menos el tiempo de
vigilancia parametrizado. (S018)
Actualidad de las variables al ser leídas desde otro grupo de ejecución F

Para ello se aplican de manera similar (a excepción de las ubicaciones de los valores escritos,
leídos o iniciales) todas las indicaciones del capítulo "Comunicación entre grupos de ejecución
F (S7-300, S7-400) (Página 136)".
5.2.6 Borrar grupos de ejecución F
Borrar grupo de ejecución F

Para borrar un grupo de ejecución F, haga lo siguiente:
1. En la navegación local del Safety Administration Editor, haga clic en el grupo de ejecución
F que desee borrar.
2. En el área de trabajo, seleccione el botón "Delete F-runtime group (Borrar grupo de
ejecución F)".
3. Confirme el cuadro de diálogo con "Yes (Sí)".
4. Haga una compilación del programa de seguridad (Página 294) (opción de menú "Edit
(Edición) > Compile (Compilar)") para que los cambios sean efectivos.

Programación
5.3 Creación de bloques F en FUP/KOP
Se anulará la asignación de los bloques F a un grupo de ejecución F (al bloque invocante del
bloque Main-Safety). Sin embargo, los bloques F seguirán existiendo.
5.2.7 Modificación del grupo de ejecución F (S7-300, S7-400)
Modificación del grupo de ejecución F

En el área de trabajo "F-runtime group (Grupo de ejecución F)" puede realizar los siguientes
cambios para cada grupo de ejecución F del programa de seguridad:
• Elegir otro bloque como bloque invocante del bloque Main-Safety.
• Elegir otro FB F/FC F como bloque Main-Safety.
• Introducir otro I-DB (o uno nuevo) para el bloque Main-Safety.
• Modificar el valor del máximo tiempo de ciclo del grupo de ejecución F.
• Elegir otro DB F como bloque de datos para la comunicación entre grupos de ejecución F.
5.2.8 Modificación del grupo de ejecución F (S7-1200, S7-1500)
Modificación del grupo de ejecución F

En el área de trabajo "F-runtime group (Grupo de ejecución F)" puede realizar los siguientes
cambios para cada grupo de ejecución F del programa de seguridad:
• Modificar el nombre, el número, el tiempo de ciclo, el desfase y la prioridad del OB F.
• Elegir otro FB F/FC F como bloque Main-Safety.
• Introducir otro I-DB (o uno nuevo) para el bloque Main-Safety.
• Modificar el valor del máximo tiempo de ciclo y el límite de advertencia del grupo de
ejecución F.
• Asignar otro nombre al DB de información del grupo de ejecución F.
• Elegir un FC para el preprocesamiento y el postprocesamiento.
5.3.1 Creación de bloques F
Introducción
Para crear FB F, FC F y DB F para el programa de seguridad, en principio debe seguirse el
mismo procedimiento que con el programa estándar. A continuación se describen
únicamente las diferencias respecto al programa estándar.

Programación
Creación de FB F, FC F y DB F
Los bloques F se crean del mismo modo que los bloques estándar. Haga lo siguiente:
1. Haga doble clic en el árbol del proyecto de la CPU F o de la Safety Unit en el apartado
"Program blocks (Bloques de programa)" y luego en "Add new block (Agregar nuevo
bloque)".
2. En el cuadro de diálogo que se abrirá, defina el tipo, el nombre y el idioma y active la
casilla de verificación "Create F-block (Crear bloque F)". (Si no se activa la casilla de
verificación, se creará un bloque estándar).
3. Tras confirmar el cuadro de diálogo, se abrirá el bloque F en el editor de programas.
A tener en cuenta
Tenga en cuenta las siguientes indicaciones importantes:
NOTA
• No deben declararse parámetros en la interfaz del bloque Main-Safety, ya que no es
posible asignarles valores.
• (S7-1200, S7-1500) Los valores iniciales de los DB de instancia pueden editarse.
• La función "Apply actual values (Aplicar valores actuales)" no se soporta.
• No está permitido acceder a datos locales estáticos en instancias individuales o
multiinstancias de otros FB F.
• Las salidas del FC F deben inicializarse siempre.
Si se omite esta regla, la CPU F puede pasar a STOP. En el búfer de diagnóstico de la CPU F
se introduce la causa del evento de diagnóstico.
• (S7-300, S7-400) Para asignar un operando del área de datos (bloque de datos) como
parámetro actual a un parámetro formal de un FC F, debe usarse un acceso completo al
DB.
• Un bloque solo está autorizado a acceder a sus entradas en modo de lectura y a sus salidas
en modo de escritura.
Si desea acceder en modo de lectura y de escritura, utilice una entrada/salida.
• Para mayor claridad, asigne nombres significativos a los bloques F que cree.
Copia e inserción de bloques F

Puede copiar FB F, FC F y DB F del mismo modo que los bloques del programa de usuario
estándar.
(S7-1200, S7-1500) No está permitido copiar un OB F.
Excepciones:
• Los bloques de la carpeta "Program blocks (Bloques de programa) > System blocks >
(Bloques de sistema)" no se pueden copiar.
• No se pueden copiar bloques F de la Safety Unit a una Standard Unit ni entre la Safety Unit
y la carpeta "Program blocks (Bloques de programa)" de la CPU F.

Programación
Consulte
también
Modificación del grupo de ejecución F (S7-1200, S7-1500) (Página 142)
5.3.2 Protección de know-how

Para establecer la protección de know-how, siga las instrucciones de la Ayuda de STEP 7,
apartado "Proteger bloques".
Requisitos
En lo relativo a la protección de know-how de bloques F para CPU F S7-1200/1500, tenga en
cuenta lo siguiente:
• Un bloque F al que se desea aplicar la protección de know-how debe llamarse en el
• Para que se pueda establecer la protección de know-how para un bloque F, el programa
de seguridad debe ser coherente. Para ello, compile (Página 294) el programa de
seguridad.
NOTA
El código fuente de los bloques F con protección de know-how no se publica en el impreso de
seguridad. Por ello, cree el impreso de seguridad (p. ej., para revisar el código o para la
recepción/aceptación del bloque F) antes de establecer la protección de know-how.
NOTA
Si desea editar el código del programa o la interfaz de un bloque F con protección de know-
how, desaconsejamos abrir el bloque F introduciendo la contraseña, sino eliminar por
completo la protección de know-how y volver a establecerla después de compilar.
NOTA
(S7-1200, S7-1500) Si se cambia el nombre de un bloque F con protección de know-how o de
bloques F llamados por él, la firma del bloque F con protección de know-how no cambiará
hasta que se introduzca la contraseña al abrir o eliminar la protección de know-how.
NOTA
Si se utilizan bloques F con protección de know-how, al compilar el programa de seguridad
pueden aparecer advertencias y mensajes de error originados por los bloques F con
protección de know-how. Las advertencias y mensajes de error contienen indicaciones al
respecto. Ejemplo: En un bloque F con protección de know-how, se accede en modo de
lectura a una variable del programa de usuario estándar a la cual se accede en modo de
escritura en otro bloque F (con protección de know-how).
En el caso de las CPU F S7-1200/1500 encontrará información adicional en el impreso de
seguridad, apartado "Know-how protected F-blocks in the safety program (Bloques F con
protección de know-how en el programa de seguridad)".

Programación
Consulte
también
Reutilización de bloques F (Página 145)
5.3.3 Reutilización de bloques F
Introducción
Los bloques F ya probados o ya sometidos a recepción/aceptación pueden reutilizarse en
otros programas de seguridad sin necesidad de repetir la prueba ni la recepción/aceptación.
El contenido del bloque F puede protegerse mediante la protección de know-how. Esta
protección no puede establecerse hasta que se haya realizado la recepción/aceptación del
bloque F, a fin de que el impreso de seguridad contenga el bloque F completo.
Los bloques F pueden almacenarse como plantillas o tipos en librerías globales o en la librería
del proyecto, del mismo modo que los bloques estándar.
Encontrará más información en la Ayuda de STEP 7, apartado "Utilizar librerías".
Creación de una documentación de seguridad para el bloque F que se va a reutilizar

Para los bloques F que desee reutilizar, deberá crear una documentación de seguridad con la
siguiente información.
CPU F S7-300/400
• Firma y firma de valor inicial del bloque F con protección de know-how
• Versiones de todas las instrucciones KOP/FUP versionadas empleadas
• Firmas y firmas de valores iniciales de todos los FB F y FC F llamados
• Firmas de todos los DB F a los que acceda el bloque F que deba reutilizarse.
CPU F S7-1200/1500
• Firma del bloque F con protección de know-how
• Safety System Version al establecer la protección de know-how
• Firmas de todos los FB F y FC F llamados
La documentación de seguridad también debe contener una descripción del modo de
funcionamiento del bloque F si este tiene protección de know-how.
Obtendrá la información necesaria creando un impreso de seguridad del programa de
seguridad en el que creó originalmente el bloque F que desea reutilizar y para el que realizó
una prueba y una recepción/aceptación.
Este impreso de seguridad también puede emplearse directamente como documentación de
seguridad para el bloque F que va a reutilizarse.
Comprobaciones para el uso del bloque F que va a reutilizarse

Al reutilizar el bloque F, compruebe lo siguiente:
• La firma y la firma del valor inicial (S7-300/400) del bloque F no han cambiado.
• (S7-1200, S7-1500) Está ajustada la Safety System Version documentada.

Programación
5.4 Interfaz de información del programa de seguridad
• Están ajustadas las instrucciones documentadas (o funcionalmente idénticas) de las

instrucciones KOP/FUP versionadas. Encontrará información sobre las versiones de las
instrucciones en la descripción de las instrucciones.
• (S7-1200, S7-1500) Se utilizan los bloques F llamados y a los que se accede, con las firmas
documentadas.
• (S7-300, S7-400) Se utilizan los bloques F llamados con las firmas y firmas de valores
iniciales documentadas.
Si no es posible eliminar los conflictos de versiones por otras dependencias, póngase en
contacto con el autor del bloque F con protección de know-how para obtener una versión
compatible y aceptada.
Consulte
también
Concordancia de los bloques F con protección de know-how utilizados en el programa de
seguridad con el impreso de seguridad (Página 361)
5.4.1 DB global F (S7-300, S7-400)
Funcionamiento
El DB global F es un bloque de datos de seguridad que contiene todos los datos globales del
programa de seguridad e información adicional necesaria para el sistema F. El DB global F se
inserta automáticamente al compilar la configuración hardware.
Puede evaluar determinados datos del programa de seguridad en el programa de usuario
estándar mediante su nombre F_GLOBDB.
Lectura del DB global F en el programa de usuario estándar

En el programa de usuario estándar o en un sistema de manejo y visualización, el DB global F
permite leer:
• el modo de operación Modo seguro/modo seguro desactivado (variable "MODE")
• la información de error "An error occured while running the safety programm (Se ha
producido un error al ejecutar el programa de seguridad)" (variable "ERROR")
• la firma colectiva F (variable "F_PROG_SIG")
• la fecha de generación del programa de seguridad (variable "F_PROG_DAT", tipo de datos
DATE_AND_TIME)
A las variables se accede con acceso completo (p. ej., "F_GLOBDB".MODE).

Programación
5.4.2 DB de información del grupo de ejecución F (S7-1200, S7-1500)
Introducción
El DB de información del grupo de ejecución F proporciona información centralizada sobre el
correspondiente grupo de ejecución F y el programa de seguridad completo.
El DB de información del grupo de ejecución F se crea automáticamente al crear un grupo de
ejecución F. Se asigna un símbolo al DB de información del grupo de ejecución F, p. ej.,
"RTG1SysInfo". Si lo desea, puede modificar el nombre en el Safety Administration Editor.
No está permitido acceder a la información del parámetro "F_SYSINFO" desde el programa de
seguridad.
Información del DB de información del grupo de ejecución F

El DB de información del grupo de ejecución F proporciona la siguiente información:
Nombre Tipo de datos para el procesa para el procesa Descripción
miento en el miento en el progra
programa de ma de usuario es
seguridad tándar
MODE BOOL x x 1 = modo seguro desactivado
MODE_REMAINING_TIME TIME x x Tiempo de ejecución restante con modo
seguro desactivado hasta que la CPU F pa
se a STOP *
F_SYSINFO
MODE BOOL — x 1 = modo seguro desactivado
TCYC_CURR DINT — x Tiempo de ciclo actual del grupo de ejecu
ción F en ms
TCYC_LONG DINT — x Tiempo máximo de ciclo del grupo de eje
cución F en ms
TRTG_CURR DINT — x Tiempo de ejecución actual del grupo de
ejecución F en ms
TRTG_LONG DINT — x Tiempo máximo de ejecución del grupo
de ejecución F en ms
T1RTG_CURR DINT — x No se soporta en STEP 7 Safety V18.
T1RTG_LONG DINT — x No se soporta en STEP 7 Safety V18.
F_PROG_SIG DWORD — x Firma colectiva F del programa de seguri
dad
F_PROG_DAT DTL — x Fecha de generación del programa de se
guridad
F_RTG_SIG DWORD — x Firma del grupo de ejecución F
F_RTG_DAT DTL — x Fecha de generación del grupo de ejecu
ción F
VERS_S7SAF DWORD — x ID de la versión de STEP 7 Safety
* Si la CPU F pasa a STOP al finalizar el tiempo para el modo seguro desactivado, se mostrará el tiempo restante del último ci
clo.
Se accede al contenido del DB de información del grupo de ejecución F con direccionamiento

completo. Ya sea de modo agrupado mediante el tipo de datos PLC (UDT) proporcionado por

Programación
el sistema F F_SYSINFO, p. ej., "RTG1SysInfo.F_SYSINFO" o accediendo a información

individual, p. ej., "RTG1SysInfo.F_SYSINFO.MODE".
Consulte
también
Identificación del programa (Página 328)

Programación
5.5 Programación de la protección de arranque
5.5 Programación de la protección de arranque
Introducción
ADVERTENCIA
STOP, p. ej., mediante la programadora/PC, selector de modo, función de comunicación
o instrucción "STP"
El inicio de un estado STOP, p. ej., mediante programadora/PC, selector de modo, función de
comunicación o instrucción "STP", así como el mantenimiento de un estado STOP no está
orientado a la seguridad. Este estado STOP se puede anular muy fácilmente (también
accidentalmente), p. ej., mediante programadora /PC.
En la transición STOP/RUN de una CPU F, el programa de usuario estándar arranca del modo
habitual. Durante el arranque del programa de seguridad se restablecen por lo general todos
los contenidos de los DB F a sus valores de arranque de la memoria de carga. De este modo
se pierde cualquier información de error guardada. El sistema F ejecuta una reintegración
automática de la periferia F.
Si el proceso no lo permite, es necesario programar una protección contra (re)arranque en el
programa de seguridad: La salida de valores de proceso debe bloquearse hasta que tenga
lugar un reconocimiento o acuse de recibo por el usuario (ver "Implementación de un acuse
de usuario"). Este acuse o reconocimiento del usuario solo se puede llevar a cabo si la salida
de los valores de proceso es posible sin peligro y si se han subsanado los errores. (S031)
Ejemplo de implementación de una protección de arranque o rearranque

El requisito para implementar una protección de arranque o rearranque es la detección del
arranque. Para detectar el arranque, declare en un DB F una variable del tipo de datos BOOL
con el valor inicial "TRUE".
Bloquee la salida de valores de proceso si esta variable tiene el valor "1", p. ej., pasivando la
periferia F mediante la variable PASS_ON en el DB de periferia F.
Si la salida de los valores de proceso es posible sin peligro y se han subsanado los errores,
restablezca esta variable mediante un acuse o reconocimiento del usuario.
Consulte
también
Implementación de un acuse de usuario en el programa de seguridad de la CPU F de un
maestro DP o IO controller (Página 177)
Implementación de un acuse de usuario en el programa de seguridad de la CPU F de un I-
slave o un I-device (Página 181)
DB de periferia F (Página 157)

Acceso a la periferia F 6
Los capítulos siguientes ofrecen una descripción general de los accesos a la periferia F.
Los siguientes capítulos no son totalmente válidos para los módulos tecnológicos (p. ej., F-TM
Count 1x1Vpp sin/cos HF). Encontrará información más precisa en los respectivos manuales
de producto.
6.1 Direccionamiento de la periferia F
A continuación se describe cómo direccionar la periferia F en el programa de seguridad y las
normas que deben seguirse al hacerlo.
Direccionamiento mediante la memoria imagen de proceso

La periferia F (p. ej., los módulos de seguridad S7-1500/ET 200MP) se direcciona mediante la
memoria imagen de proceso (MIPE y MIPS), como en el caso de la periferia estándar.
En el programa de seguridad no es posible realizar de manera directa (con el identificador de
acceso a periferia ":P") la lectura de entradas ni la escritura en salidas.
Actualización de la memoria imagen de proceso

La memoria imagen de proceso de las entradas de la periferia F se actualiza al inicio del grupo
de ejecución F. La memoria imagen de proceso de las salidas de la periferia F se actualiza al
final del grupo de ejecución F (ver Estructura del programa de seguridad (S7-300,
S7-400) (Página 104) o Estructura del programa de seguridad (S7-1200, S7-1500) (Página
106)). Encontrará más información sobre la actualización de la memoria imagen de proceso
en la nota bajo Transferencia de datos del programa de seguridad al programa de usuario
estándar (Página 185).
La comunicación entre la CPU F (memoria imagen de proceso) y la periferia F, necesaria para
actualizar la memoria imagen de proceso, se establece mediante un protocolo de seguridad
específico conforme con PROFIsafe.
Reglas
• Solo está permitido direccionar un canal (valor del canal e información de calidad) de una
periferia F en un grupo de ejecución F. Al programar el primer direccionamiento, se define
el grupo de ejecución F asignado.

6.1 Direccionamiento de la periferia F
• Solo está permitido direccionar un canal (valor del canal e información de calidad) de una
periferia F con la unidad que corresponde al tipo de datos del canal.
Ejemplo: Solo está permitido acceder a canales de entrada del tipo de datos BOOL
mediante la unidad "Input (bit) (Entrada (bit))" (Ix.y). No es posible acceder a 16 canales
de entrada consecutivos del tipo de datos BOOL a mediante la unidad "Palabra de entrada"
(IWx).
• Los canales analógicos deben registrarse siempre en la tabla de variables con el tipo de
datos INT o DINT. Los tipos de datos WORD, DWORD y TIME no están permitidos.
• Direccione solo entradas y salidas referidas a un canal realmente existente (valor del canal
e información de calidad) (p. ej., en el caso de una F-DO 10xDC24V con dirección inicial
10, solo las salidas Q10.0 a Q11.1 para los valores de canal y las entradas I10.0 a I11.1
para la información de calidad). Tenga en cuenta también que, debido al protocolo
específico de seguridad, la periferia F ocupa en la memoria imagen de proceso un área
mayor que la realmente necesaria en la periferia F (valores de canal e información de
calidad). El área de la memoria imagen de proceso en la que se almacenan los canales
(valores de canal e información de calidad), es decir, la estructura de canales, puede
consultarse en los correspondientes manuales de la periferia F.
• En determinadas periferias F (p. ej., módulos de seguridad ET 200SP o módulos de
seguridad S7-1500/ET 200MP) pueden desactivarse canales. Direccione solo canales (valor
de canal e información de calidad) que estén activados en la configuración hardware. Si se
direccionan canales que están desactivados en la configuración hardware, es posible que
se emita una advertencia al compilar el programa de seguridad.
• En determinadas periferias F (p. ej., módulos de seguridad ET 200SP o módulos de
seguridad S7-1500/ET 200MP) puede ajustarse una "1oo2 evaluation (Evaluación 1oo2)".
En ese caso, se agrupan dos canales en un par de canales y el resultado de la "1oo2
evaluation (Evaluación 1oo2)" de los sensores se proporciona normalmente en la dirección
del canal con el número menos significativo (ver los correspondientes manuales de la
periferia F). Direccione solo ese canal (valor del canal e información de calidad) del par. Si
se direcciona el otro canal, es posible que se emita una advertencia al compilar el
ADVERTENCIA
Si entre la CPU F (S7-300/400) y la periferia F se utiliza adicionalmente un componente que

copia el telegrama de seguridad según PROFIsafe entre la CPU F (S7-300/400) y la periferia F
mediante el programa de usuario, es preciso comprobar todas las funciones de seguridad
afectadas por la función de copia cada vez que se modifique la función de copia programada
por el usuario. (S049)
Consulte
también
Comunicación I-slave-slave orientada a la seguridad, acceso a la periferia F (Página 234)
Información de calidad (S7-1200, S7-1500) (Página 152)

6.2 Información de calidad (S7-1200, S7-1500)
Características
La información de calidad es una información adicional binaria que acompaña a un valor de
canal de una periferia F. La información de calidad se registra en la memoria imagen de
proceso de las entradas (MIPE).
La información de calidad es soportada por los módulos de seguridad S7-1500/ET 200MP, ET
200SP, ET 200AL, ET 200eco PN, ET 200S, ET 200iSP, ET 200pro, S7-1200 o los SM F S7-300,
IO devices normalizados de seguridad y DP slaves normalizados de seguridad que soporten el
perfil "RIOforFA-Safety". Encontrará información sobre la información de calidad en la
documentación de la periferia F correspondiente.
Le recomendamos agregar "_IC" al nombre del valor de canal para la información de calidad,
p. ej., "TagIn_1_IC".
La información de calidad permite conocer la validez del correspondiente valor de canal:
• 1: Se emite un valor de proceso válido para el canal.
• 0: Se emite un valor sustitutivo para el canal.
Solo está permitido acceder al valor de canal y a la información de calidad de una periferia F
desde el mismo grupo de ejecución F.
Ubicación de los bits de información de calidad en la MIPE para periferia F con entradas digitales
Los bits de información de calidad están justo a continuación de los valores de canal en la
MIPE.
Tabla 6-1 Ejemplo: Asignación de direcciones en la MIPE para periferia F con 16 canales de entradas digitales
Byte en la CPU F Bits ocupados en la CPU F por periferia F:
7 6 5 4 3 2 1 0
x+0 DI7 DI6 DI5 DI4 DI3 DI2 DI1 DI0
x+1 DI15 DI14 DI13 DI12 DI11 DI10 DI9 DI8
x+2 Información Información Información Información Información Información Información Información
de calidad de calidad de calidad de calidad de calidad de calidad de calidad de calidad
DI7 DI6 DI5 DI4 DI3 DI2 DI1 DI0
x+3 Información Información Información Información Información Información Información Información
de calidad de calidad de calidad de calidad de calidad de calidad de calidad de calidad
DI15 DI14 DI13 DI12 DI11 DI10 DI9 DI8
x = dirección inicial del módulo
Puede consultar la ubicación de los valores de canal en la MIPE en el manual de producto de

la correspondiente periferia F.

Ubicación de los bits de información de calidad en la MIPE para periferia F con salidas digitales
Los bits de información de calidad se representan en la MIPE con la misma estructura que los
valores de canal en la MIPS.
Tabla 6-2 Ejemplo: Asignación de direcciones en la MIPS para periferia F con 4 canales de salidas digitales
7 6 5 4 3 2 1 0
x+0 — — — — DQ3 DQ2 DQ1 DQ0
Tabla 6-3 Ejemplo: Asignación de direcciones en la MIPE para periferia F con 4 canales de salidas digitales
7 6 5 4 3 2 1 0
x+0 — — — — Información Información Información Información
de calidad de calidad de calidad de calidad
DQ3 DQ2 DQ1 DQ0
Puede consultar la ubicación de los valores de canal en la MIPS en el manual de producto de

Ubicación de los bits de información de calidad en la MIPE para periferia F con salidas digitales y
entradas digitales
MIPE en el siguiente orden:
• Bits de información de calidad para las entradas digitales
• Bits de información de calidad para las salidas digitales
Tabla 6-4 Ejemplo: Asignación de direcciones en la MIPS para periferia F con 2 canales de entradas digitales y 1 canal de sali
da digital
Byte en la CPU F Bit ocupado en la CPU F por periferia F:
7 6 5 4 3 2 1 0
x+0 — — — — — — — DQ0
Tabla 6-5 Ejemplo: Asignación de direcciones en la MIPE para periferia F con 2 canales de entradas digitales y 1 canal de sali
da digital
7 6 5 4 3 2 1 0
x+0 — — — — — — DI1 DI0
x+1 — — — — — — Información Información
de calidad de calidad
DI1 DI0
x+2 — — — — — — — Información
de calidad
DQ0

Puede consultar la ubicación de los valores de canal en la MIPE y en la MIPS en el manual de

producto de la correspondiente periferia F.
Ubicación de los bits de información de calidad en la MIPE para periferia F con entradas
analógicas
MIPE.
Tabla 6-6 Ejemplo: Asignación de direcciones en la MIPE para periferia F con 6 canales de entradas analógicas (tipo de datos
INT)
Byte en la CPU F Bytes/bits ocupados en la CPU F por periferia F:
7 6 5 4 3 2 1 0
x+0 Valor de canal AI0
... ...
x + 10 Valor de canal AI5
x + 12 — — Información Información Información Información Información Información
de calidad de calidad de calidad de calidad de calidad de calidad
AI5 AI4 AI3 AI2 AI1 AI0
Puede consultar la ubicación de los valores de canal en la MIPE en el manual de producto de

Ubicación de los bits de información de calidad en la MIPE para periferia F con salidas analógicas
Los bits de información de calidad se representan en la MIPE.
Tabla 6-7 Ejemplo: Asignación de direcciones en la MIPS para periferia F con 6 canales de salidas analógicas (tipo de datos
INT)
Byte en la CPU F Bytes ocupados en la CPU F por periferia F:
7 6 5 4 3 2 1 0
x+0 Valor de canal AO0
... ...
x + 10 Valor de canal AO5
Tabla 6-8 Ejemplo: Asignación de direcciones en la MIPE para periferia F con 6 canales de salidas analógicas (tipo de datos
INT)
7 6 5 4 3 2 1 0
x+0 — — Información Información Información Información Información Información
de calidad de calidad de calidad de calidad de calidad de calidad
AO5 AO4 AO3 AO2 AO1 AO0
Puede consultar la ubicación de los valores de canal en la MIPS en el manual de producto de


6.3 Valores de proceso o valores sustitutivos
¿Cuándo se utilizan los valores sustitutivos?

La función de seguridad hace que, en caso de pasivar toda la periferia F o canales individuales
de una periferia F, en los siguientes supuestos se utilicen valores sustitutivos (0) en lugar de
los valores de proceso. Esto se aplica tanto a los canales digitales (tipo de datos BOOL) como
a los analógicos (tipo de datos INT o DINT):
• Al arrancar el sistema F
• En caso de errores en la comunicación orientada a la seguridad (errores de comunicación)
entre la CPU F y la periferia F a través del protocolo de seguridad conforme con PROFIsafe
• En caso de fallos de periferia F/de canal (p. ej., rotura de hilo, cortocircuito, error de
discrepancia)
• Mientras esté activa una pasivación de la periferia F en el DB de periferia F (ver abajo) con
PASS_ON = 1
• Mientras esté desactivada la periferia F en el DB de periferia F (ver abajo) con DISABLE = 1
Salida de valores sustitutivos para la periferia F/los canales de una periferia F

En una periferia F con entradas, en caso de pasivación, el sistema F proporciona al
programa de seguridad valores sustitutivos (0) en la MIPE en lugar de los valores de proceso
presentes en las entradas de seguridad.
El sistema F detecta los rebases por exceso o defecto de un canal SM 336; AI 6 x 13Bit o del
SM 336; F‑AI 6 x 0/4 ... 20 mA HART como fallos de periferia F o de canal. En la MIPE del
programa de seguridad, en lugar de 7FFFH (para rebase por exceso) o 8000H (para rebase por
defecto), se emite el valor sustitutivo 0.
Si, en el caso de una periferia F con entradas para canales analógicos del tipo de datos INT
o DINT, se desea seguir procesando valores sustitutivos distintos de "0" en el programa de
seguridad, se pueden asignar valores sustitutivos individuales (instrucciones JMP/JMPN,
LABEL y MOVE) con QBAD = 1 e información de calidad = 0 QBAD_I_xx/QBAD_O_xx = 1.
Encontrará información sobre el comportamiento correspondiente en
QBAD/PASS_OUT/DISABLED/QBAD_I_xx/QBAD_O_xx e información de calidad (Página 163).
ADVERTENCIA
En una periferia F con canales de entrada digitales (tipo de datos BOOL) debe procesarse
siempre el valor proporcionado en la MIPE en el programa de seguridad,
independientemente de la información de calidad o de QBAD/QBAD_I_xx. (S009)
En una periferia F con salidas, en caso de pasivación, el sistema F emite por las salidas de
seguridad valores sustitutivos (0) en lugar de los valores de salida proporcionados por el
programa de seguridad en la MIPS.
Estado de la MIPE/MIPS co Periferia F con perfil Periferia F sin perfil Periferia F con CPU F
rrespondiente después de... "RIOforFA-Safety" con CPU F "RIOforFA-Safety" con CPU F S7-300/400
S7-1200/1500 S7-1200/1500
Arranque del sistema F El sistema F sobrescribe la MIPE/MIPS con valores sustitutivos (0).
Errores de comunicación
Fallos de periferia F El sistema F sobrescribe la El sistema F sobrescribe la MIPE/MIPS con valores sustitutivos

Estado de la MIPE/MIPS co Periferia F con perfil Periferia F sin perfil Periferia F con CPU F
rrespondiente después de... "RIOforFA-Safety" con CPU F "RIOforFA-Safety" con CPU F S7-300/400
S7-1200/1500 S7-1200/1500
Fallos de canal en caso de con MIPE con valores sustitutivos (0).
figurar la pasivación de toda la (0). En la MIPS se mantienen
periferia F los valores formados en el pro
grama de seguridad.
Fallos de canal en caso de con para los canales afectados se aplica: el sistema F sobrescribe
figurar la pasivación canal por la MIPE/MIPS con valores sustitutivos (0).
canal
Mientras esté activada la pasi El sistema F sobrescribe la MIPE/MIPS con valores sustitutivos (0).
vación de la periferia F en el
DB de periferia F con PASS_ON
=1
Mientras esté desactivada la El sistema F sobrescribe la MIPE/MIPS con valores sustitutivos -
periferia F en el DB de periferia (0).
F con DISABLE = 1
Reintegración de una periferia F o de canales de una periferia F

El cambio de valores sustitutivos (0) a valores de proceso (reintegración de una periferia F)
se produce automáticamente o solo después de un acuse del usuario en el DB de periferia
F. El tipo de reintegración depende:
• de la causa de la pasivación de la periferia F o de los canales de la periferia F
• en el caso de la periferia F sin el parámetro de canal "Channel failure acknowledge (Acuse
de fallo de canal)", del valor de la variable ACK_NEC del correspondiente DB de periferia F
(Página 157).
• en el caso de la periferia F sin el parámetro de canal "Channel failure acknowledge (Acuse
de fallo de canal)" (p. ej., módulos F S7-1500/ET 200MP/módulos F S7-1200), del valor de
este parámetro de canal.
En el caso de los DP slaves normalizados/IO devices normalizados de seguridad según el perfil
"RIOforFA-Safety", consulte la documentación correspondiente.
NOTA
Tenga en cuenta que, en caso de fallos de canal en la periferia F, se llevará a cabo una
pasivación canal por canal si así se ha configurado en el editor de hardware y redes. Se
emitirán valores sustitutivos (0) para los canales afectados.
Al realizar la reintegración tras fallos de canal, se reintegrarán todos los canales cuyos errores
se hayan subsanado y los canales con errores se mantendrán pasivados.
Consulte
también
Configuración de la periferia F (Página 51)

6.4 DB de periferia F
Introducción
Durante la configuración, (en modo seguro) se crea automáticamente un DB de periferia F
para cada periferia F en el editor de hardware y redes. El DB de periferia F contiene variables
que el usuario puede o debe evaluar o escribir en el programa de seguridad: No está
permitido modificar los valores iniciales directamente en el DB de periferia F. Al borrar una
periferia F, se borra también el DB de periferia F asociado a ella.
Acceso a un DB de periferia F
Se accede a variables del DB de periferia F:
• para reintegrar la periferia F tras errores de comunicación, fallos de periferia F o de canal
• para pasivar la periferia F en función de determinados estados del programa de seguridad
(p. ej., pasivación agrupada)
• para desactivar la periferia F (p. ej., para el control de configuración)
• para reparametrizar DP slaves normalizados o IO devices normalizados
• para evaluar si se están emitiendo valores sustitutivos o valores de proceso
6.4.1 Nombre y número del DB de periferia F

El nombre del DB de periferia F se forma con:
• el prefijo fijo "F"
• la dirección inicial de la periferia F y el nombre especificado en las propiedades de la
periferia F o en la vista general de dispositivos en el editor de hardware y redes (como
máx. los 24 primeros caracteres)
Ejemplo: F00004_F-DI24xDC24V_1
El número se asigna dentro del rango numérico definido en el "área "Settings (Ajustes)
(Página 87)" del Safety Administration Editor.
Opción "Create F-I/O DB without prefix (Crear DB de periferia F sin prefijo)" (S7-1200, S7-1500)
Si se activa la opción "Create F-I/O DB without prefix (Crear DB de periferia F sin prefijo)" en el
"área "Settings (Ajustes)" (Página 87)" del Safety Administration Editor, el nombre se formará
solo con:
• el nombre especificado en las propiedades de la periferia F o en la vista general de
dispositivos en el editor de hardware y redes (como máx. 117 caracteres)
Ejemplo: F-DI24xDC24V_1
Modificar el nombre y el número del DB de periferia F

Para modificar el nombre, cambie el nombre especificado en las propiedades de la periferia F
o en la vista general de dispositivos en el editor de hardware y redes.
Puede modificar el nombre en la pestaña "Properties (Propiedades)"/"F parameters
(Parámetros F)" de la periferia F en cuestión.

6.4.2 Variables del DB de periferia F

La tabla siguiente muestra las variables de un DB de periferia F:
Variable Tipo de da Funcionamiento Valor de

tos arranque
Variables que PASS_ON BOOL 1 = activar pasivación 0
pueden o
ACK_NEC BOOL 1 = acuse obligatorio para la reintegración 1
deben
en caso de fallo de periferia F o canal
escribirse
ACK_REI BOOL 1 = acuse para la reintegración 0
IPAR_EN BOOL Variable para reparametrizar DP slaves nor 0
malizados/IO devices normalizados de segu
ridad o para habilitar la comunicación HART
para el SM 336; F‑AI 6 x 0/4 ... 20 mA HART
DISABLE* BOOL 1 = desactivar periferia F 0
Variables PASS_OUT BOOL Salida de pasivación 1
evaluables
QBAD BOOL 1 = se emiten valores sustitutivos 1
ACK_REQ BOOL 1 = solicitud de acuse para la reintegración 0
IPAR_OK BOOL Variable para reparametrizar DP slaves nor 0
malizados/IO devices normalizados de segu
ridad o para habilitar la comunicación HART
para el SM 336; F‑AI 6 x 0/4 ... 20 mA HART
DIAG BYTE Información de servicio no relacionada con 0
la seguridad
DISABLED* BOOL 1 = la periferia F está desactivada 0
QBAD_I_xx BOOL 1 = se emiten valores sustitutivos por el ca 1
nal de entrada xx (S7-300/400)
QBAD_O_xx BOOL 1 = se emiten valores sustitutivos por el ca 1
nal de salida xx (S7-300/400)
* Safety System Version V2.1 o superior para S7-1200/1500

Diferencias en la evaluación en las CPU F S7-1200/1500 y S7-300/400

En la siguiente tabla se muestran las diferencias en lo que respecta a la evaluación de
variables del DB de periferia F o de la información de calidad en función de la periferia F y la
CPU F utilizadas.
Variable en el DB de Periferia F con per Periferia F sin perfil Periferia F con CPU F
periferia F o informa fil "RIOforFA-Safety" con CPU F S7-300/400
ción de calidad "RIOforFA-Safety" S7-1200/1500
con CPU F
S7-1200/1500
ACK_NEC —2 x x
QBAD3 x x x
PASS_OUT3 x x x
QBAD_I_xx1 — — x
QBAD_O_xx1 — — x
Wertstatus1 x x —
1 QBAD_I_xx y QBAD_O_xx indican la validez del valor de cada canal y equivalen así a la información de
calidad invertida en el caso del S7-1200/1500. En el caso de los DP slaves normalizados de seguridad
y los IO devices normalizados de seguridad sin perfil "RIOforFA-Safety", no están disponibles la infor
mación de calidad ni QBAD_I_xx y QBAD_O_xx.
2 En el caso de las periferias F que soportan el parámetro de canal "Channel failure acknowledge
(Acuse de fallo de canal)" (p. ej., los módulos F S7-1500/ET 200MP o los módulos F S7-1200), este pa
rámetro asume la función de la variable ACK_NEC del DB de periferia F.
3 Encontrará una descripción de este comportamiento en el capítulo
"QBAD/PASS_OUT/DISABLED/QBAD_I_xx/QBAD_O_xx e información de calidad"
6.4.2.1 PASS_ON
Con la variable PASS_ON puede activar la pasivación de una periferia F, p. ej., en función de
determinados estados en el programa de seguridad.
Con la variable PASS_ON en el DB de periferia F, solo es posible pasivar toda la periferia F, y
no pasivar canal por canal.
Mientras está ajustado PASS_ON = 1, se pasiva la periferia F correspondiente.

6.4.2.2 ACK_NEC
Si la periferia F detecta un error de periferia F, se pasivará la periferia F en cuestión. Si se

detectan fallos de canal y está configurada la pasivación canal por canal, se pasivan los
canales afectados, y si está configurada la pasivación de toda la periferia F, se pasivan todos
los canales de la periferia F afectada. Tras subsanarse el fallo de periferia F o canal, se
reintegra la periferia F afectada en función de ACK_NEC:
• Con ACK_NEC = 0 se parametriza una reintegración automática.
• Con ACK_NEC = 1 se parametriza una reintegración mediante un acuse del usuario.
ADVERTENCIA
La parametrización de la variable ACK_NEC = 0 solo está permitida si, desde el punto de vista
de la seguridad, se permite una reintegración automática para el proceso en cuestión.
(S010)
NOTA
El valor inicial de ACK_NEC tras crear el DB de periferia F es 1. Si no se necesita una
reintegración automática, no es necesario escribir ACK_NEC.
Consulte
también
Después de fallos de periferia F/canal (Página 171)
6.4.2.3 ACK_REI
Si el sistema F detecta un error de comunicación de una periferia F o un fallo de periferia F, se

pasivará la periferia F en cuestión. Si se detectan fallos de canal y está configurada la
pasivación canal por canal, se pasivan los canales afectados, y si está configurada la
pasivación de toda la periferia F, se pasivan todos los canales de la periferia F afectada. Para la
reintegración de la periferia F o de los canales de la periferia F tras subsanar los errores, se
necesita un acuse de usuario con flanco positivo en la variable ACK_REI del DB de periferia F:
• Siempre después de errores de comunicación
• Después de fallos de periferia F o de canal, solo si está parametrizado "Channel failure
acknowledge = Manual (Acuse de fallo de canal = Manual)" o ACK_NEC = 1
Al realizar la reintegración tras fallos de canal, se reintegran todos los canales cuyos fallos se
hayan subsanado.
El acuse solo es posible con la variable ACK_REQ = 1.
En el programa de seguridad debe preverse un acuse de usuario para cada periferia F
mediante la variable ACK_REI.
ADVERTENCIA
Para el acuse de usuario debe interconectarse la variable ACK_REI del DB de periferia F con
una señal generada por intervención del operador. No se admite una interconexión con una
señal generada automáticamente. (S011)

NOTA
Otra posibilidad es reintegrar la periferia F después del error de comunicación o después del
fallo de periferia F o canal mediante la instrucción "ACK_GL" (ACK_GL: Acuse general de toda
la periferia F de un grupo de ejecución F (STEP 7 Safety V18) (Página 477)).
6.4.2.4 IPAR_EN
La variable IPAR_EN corresponde a la variable iPar_EN_C del perfil de bus PROFIsafe con
especificación PROFIsafe V1.20 o superior.
DP slaves normalizados/IO devices normalizados de seguridad
Para saber cuándo debe establecer o restablecer esta variable en caso de reparametrizar DP
slaves normalizados/IO devices normalizados de seguridad, consulte la especificación
PROFIsafe V1.20 o superior o la documentación del DP slave normalizado/IO device
normalizado.
Tenga en cuenta que con IPAR_EN = 1 no se pasiva la periferia F afectada.
Si se debe pasivar con IPAR_EN = 1, debe establecerse además la variable PASS_ON = 1.
Comunicación HART con SM 336; F‑AI 6 x 0/4 ... 20 mA HART
Si, en caso de parametrización de "HART_Tor" = "switchable (conmutable)," se establece la
variable IPAR_EN en "1", se habilita la comunicación HART para el
SM 336; F‑AI 6 x 0/4 ... 20 mA HART, y con "0" se bloquea. El SM F reconoce la comunicación
HART habilitada o bloqueada con la variable IPAR_OK = 1 o "0".
Habilite la comunicación HART solo si la instalación está en un estado que permite
reparametrizar el correspondiente aparato de campo HART de forma segura.
Si desea evaluar el estado "HART Communication enabled (Comunicación HART habilitada)"
en su programa de seguridad para, p. ej., programar enclavamientos, debe configurar esta
información como se muestra en el ejemplo siguiente. Solo de este modo se garantiza que la
información esté disponible de forma correcta incluso en el caso de que se produzcan errores
de comunicación durante la habilitación de la comunicación HART mediante IPAR_EN = 1.
Cambie el estado de la variable IPAR_EN en esta evaluación únicamente si no existe ninguna
pasivación debida a un error de comunicación o un fallo de periferia F o de canal.

Ejemplo de habilitación de la comunicación HART
Encontrará más información sobre la comunicación HART con el

SM 336; F‑AI 6 x 0/4 ... 20 mA HART en el manual Sistema de automatización S7-300, sistema
de periferia descentralizada ET 200M, módulos de señales de seguridad
(http://support.automation.siemens.com/WW/view/es/19026151) y en la Ayuda del módulo F.
6.4.2.5 DISABLE
Con la variable DISABLE se desactiva una periferia F.

Mientras DISABLE = 1, se pasiva la periferia F correspondiente.
No se registran más entradas de diagnóstico del programa de seguridad para esa periferia F
(p. ej., por errores de comunicación) en el búfer de diagnóstico de la CPU F.
Las entradas de diagnóstico ya existentes se marcan como salientes.

6.4.2.6 QBAD/PASS_OUT/DISABLED/QBAD_I_xx/QBAD_O_xx e información de calidad
En la siguiente tabla se describe el comportamiento de los valores de canales, las variables

QBAD, PASS_OUT, DISABLED, QBAD_I_xx/QBAD_O_xx y la información de calidad en función
de la periferia F y la CPU F utilizadas.
Salida de valores sustitutivos Periferia F con perfil Periferia F sin perfil Periferia F con CPU F
después de... "RIOforFA-Safety" con CPU F "RIOforFA-Safety" con S7-300/400
S7-1200/1500 CPU F S7-1200/1500
Arranque del sistema F QBAD y PASS_OUT = 1 QBAD y PASS_OUT = 1
DISABLED sin cambios aplicable a todos los canales:
Errores de comunicación
aplicable a todos los canales: Valor de canal = valor sustitutivo
Valor de canal = valor sustitutivo (0) (0)
Fallos de periferia F Información de calidad = 0* QBAD_I_xx y QBAD_O_xx = 1*
Fallos de canal
al configurar la pasivación de to
da la periferia F
Fallos de canal en caso de confi QBAD, PASS_OUT y QBAD y PASS_OUT = 1 QBAD y PASS_OUT = 1
gurar la pasivación canal por ca DISABLED sin cambios DISABLED sin cambios para los canales afectados se
nal para los canales afectados se para los canales afectados aplica:
aplica: se aplica: Valor de canal = valor sustitutivo
Valor de canal = valor sustitu Valor de canal = valor sus (0)
tivo (0) titutivo (0) QBAD_I_xx y QBAD_O_xx = 1*
Información de calidad = 0 Información de calidad =
0*
Mientras está activada la pasiva QBAD = 1, PASS_OUT y DISABLED sin cambios QBAD = 1, PASS_OUT sin
ción de la periferia F en el DB de aplicable a todos los canales: cambios
periferia F con PASS_ON = 1 Valor de canal = valor sustitutivo (0) aplicable a todos los canales:
Información de calidad = 0* Valor de canal = valor sustitutivo
(0)
QBAD_I_xx y QBAD_O_xx = 1*
Mientras esté desactivada la pe QBAD, PASS_OUT y DISABLED = 1 -
riferia F en el DB de periferia F aplicable a todos los canales:
con DISABLE = 1 Valor de canal = valor sustitutivo (0)
Información de calidad = 0*
* en el caso de los DP slaves normalizados de seguridad y los IO devices normalizados de seguridad sin perfil
"RIOforFA-Safety", no están disponibles la información de calidad ni QBAD_I_xx y QBAD_O_xx

6.4.2.7 ACK_REQ
Si el sistema F detecta un error de comunicación de una periferia F o un fallo de periferia F o

canal, se pasiva la periferia F o canales individuales de la periferia F en cuestión. Con
ACK_REQ = 1 se señaliza que para la reintegración de la periferia F o los canales de la periferia
F afectados se necesita un acuse de usuario.
El sistema F establece ACK_REQ = 1 en cuanto el error está subsanado y es posible el acuse de
usuario. En caso de pasivación canal por canal, el sistema F establece ACK_REQ = 1 en cuanto
se haya subsanado un fallo de canal. Para este error es posible un acuse de usuario. Una vez
realizado el acuse, el sistema F restablece ACK_REQ a 0.
NOTA
Para periferias F con salidas, después de un fallo de periferia F/canal, puede que solo sea
posible un acuse del orden de minutos tras subsanar el fallo debido a la necesidad de aplicar
señales de test (ver los manuales de la periferia F).
6.4.2.8 IPAR_OK
La variable IPAR_OK corresponde a la variable iPar_OK_S del perfil de bus PROFIsafe con
especificación PROFIsafe V1.20 o superior.
DP slaves normalizados/IO devices normalizados de seguridad
Para saber cómo evaluar esta variable en caso de reparametrizar DP slaves normalizados/IO
devices normalizados de seguridad, consulte la especificación PROFIsafe V1.20 o superior o la
documentación del DP slave normalizado/IO device normalizado.
Para la comunicación HART con SM 336; F‑AI 6 x 0/4 ... 20 mA HART, ver capítulo
IPAR_EN (Página 161).
6.4.2.9 DIAG
A través de la variable DIAG se proporciona información no relacionada con la seguridad

(1 byte) sobre los errores ocurridos con fines de servicio. Dicha información puede leerse con
sistemas de manejo y visualización o también puede evaluarse en el programa de usuario
estándar, si es preciso. Los bits DIAG se guardan hasta que se lleva a cabo un acuse en la
variable ACK_REI o hasta que se produce una reintegración automática.
Estructura de DIAG
N.º de bit Asignación Posibles causas de error Soluciones

Bit 0 Timeout detectado por la peri La conexión • Compruebe la conexión PROFIBUS/PROFINET y
feria F PROFIBUS/PROFINET entre la asegúrese de que no haya fuentes perturbado
CPU F y la periferia F falla. ras externas.
Se ha ajustado un valor dema
siado corto para el tiempo de
vigilancia F de la periferia F.
La periferia F recibe datos de
parametrización no válidos


Bit 0 Timeout detectado por la peri o bien • Compruebe la parametrización de la periferia
feria F F. Si es necesario, ajuste un valor más alto pa
ra el tiempo de vigilancia. Vuelva a compilar la
configuración hardware y cárguela en la CPU
F. Vuelva a compilar el programa de seguri
dad.
• Compruebe el búfer de diagnóstico de la peri
feria F.
• Desconecte y vuelva a conectar la tensión de
la periferia F.
Fallo interno de la periferia F Sustituir la periferia F
o bien
Fallo interno de la CPU F Sustituir la CPU F
Bit 1 Fallo de periferia F/canal de Ver los manuales de la periferia Ver los manuales de la periferia F
tectado por la periferia F1 F
Bit 2 Error de CRC/número de se Ver la descripción para el bit 0 Ver la descripción para el bit 0
cuencia detectado por la peri
feria F
Bit 3 Reservado — —
Bit 4 Timeout detectado por el sis Ver la descripción para el bit 0 Ver la descripción para el bit 0
tema F
Bit 5 Error de número de secuencia Ver la descripción para el bit 0 Ver la descripción para el bit 0
detectado por el sistema F2
Bit 6 Error de CRC detectado por el Ver la descripción para el bit 0 Ver la descripción para el bit 0
sistema F
Bit 7 Error de direccionamiento3 — Contacte con Service & Support
1 No para la periferia F que soporta el perfil "RIOforFA-Safety".
2 Solo para CPU F S7-300/400
3 Solo para CPU F S7-1200/1500
6.4.3 Acceso a variables del DB de periferia F
Regla para el acceso a variables del DB de periferia F

Solo está permitido acceder a variables del DB de periferia F de una periferia F desde el mismo
grupo de ejecución F desde el que se accede también a los canales de esa periferia F (si hay
acceso).

Puede acceder a las variables del DB de periferia F mediante un "acceso completo al DB"
(es decir, indicando el nombre del DB de periferia F y el nombre de la variable).

6.5 Pasivación y reintegración de la periferia F
Ejemplo de evaluación de la variable QBAD
Consulte
también
DB de periferia F (Página 157)
A continuación encontrará información sobre la pasivación y reintegración de la periferia F.
Figuras de la evolución de señales

La evolución de las señales que se muestra a continuación representa la evolución de las
señales típicas para el comportamiento descrito.
La evolución real de las señales y, en particular, la posición de los cambios de estado de
señales individuales pueden diferir de la evolución de señales representada debido a las
imprecisiones conocidas en la ejecución cíclica del programa, en función de:
• la periferia F utilizada
• la CPU F utilizada
• el tiempo de ciclo del OB (F) en el que se llama el grupo de ejecución F correspondiente y
• el Target Rotation Time del PROFIBUS DP o el tiempo de actualización de PROFINET IO
NOTA
Las evoluciones de señales representadas se refieren al estado de las señales en el programa
de seguridad programado por el usuario.

6.5.1 Después de arrancar el sistema F
Comportamiento después de un arranque
Salida de valores sustitutivos Periferia F con perfil Periferia F sin perfil Toda periferia F con CPU F
tras arrancar el sistema F "RIOforFA-Safety" con CPU F "RIOforFA-Safety" con CPU F S7-300/400
S7-1200/1500 S7-1200/1500
Durante el arranque se pasiva QBAD y PASS_OUT = 1 QBAD y PASS_OUT = 1
toda la periferia F. aplicable a todos los canales: aplicable a todos los canales:
Valor de canal = valor sustitutivo (0) Valor de canal = valor sustituti
Información de calidad = 0* vo (0)
"RIOforFA-Safety", no están disponibles la información de calidad o QBAD_I_xx y QBAD_O_xx
Reintegración de la periferia F
La reintegración de la periferia F, es decir, el suministro de valores de proceso en la MIPE o la
salida de los valores de proceso disponibles en la MIPS por las salidas de seguridad, se realiza
automáticamente no antes del segundo ciclo del grupo de ejecución F tras el arranque del
sistema, independientemente del ajuste de la variable ACK_NEC o de la configuración
"Channel failure acknowledge (Acuse de fallo de canal)".
Si durante el arranque del sistema F se produce un error de comunicación F, un fallo de
periferia F o de canal, encontrará más información en los capítulos Después de errores de
comunicación (Página 169) y Después de fallos de periferia F/canal (Página 171).
Para los DP slaves normalizados/IO devices normalizados de seguridad con perfil
"RIOforFA-Safety", consulte la documentación del correspondiente esclavo DP normalizado/IO
device normalizado de seguridad.
Dependiendo de la periferia F utilizada, del tiempo de ciclo del grupo de ejecución F y del
PROFIBUS DP/PROFINET IO, la reintegración puede no producirse hasta después de algunos
ciclos del grupo de ejecución F.
Si la comunicación entre la CPU F y la periferia F tarda más tiempo en establecerse que el
tiempo de vigilancia F configurado en las propiedades de la periferia F, la reintegración
automática no tiene lugar.

Evolución de señales en la pasivación y reintegración de la periferia F tras el arranque del

sistema F
Ejemplo de periferia F con entradas:

9DORUHVVXVWLWXWLYRV
9DORUHVGHSURFHVR
9DORUHVGHFDQDO
0,3(
4%$'
4%$'B,B[[
6HHPLWHQYDORUHV
VXVWLWXWLYRV
6HHPLWHQYDORUHV
VXVWLWXWLYRV
,QIRUPDFLµQGH
FDOLGDG 0,3(
3$66B287
6DOLGDGHSDVLYDFLµQ
DFWLYDGD
$&.B5(4
$&.B5(,
3ULPHU |FLFOR HUFLFOR |FLFOR |FLFOR

FLFOR
① Arranque del sistema F/pasivación

② Reintegración automática (p. ej., 3.er ciclo)
ADVERTENCIA
habitual. Al arrancar el programa de seguridad, todos los DB F se inicializan con los valores
de la memoria de carga, como en un arranque en frío. De este modo se pierde cualquier
información de error guardada.
El sistema F ejecuta una reintegración automática de la periferia F, tal y como se describe
arriba.
El arranque del programa de seguridad con los valores de la memoria de carga también
puede dispararse por un error de manejo o un fallo interno. Si el proceso no lo permite, es
necesario programar una protección contra (re)arranque en el programa de seguridad: La
salida de valores de proceso debe bloquearse hasta que tenga lugar un reconocimiento o
acuse de recibo por el usuario (ver "Implementación de un acuse de usuario"). Este acuse o
reconocimiento del usuario solo se puede llevar a cabo si la salida de los valores de proceso
es posible sin peligro y si se han subsanado los errores. (S008)

6.5.2 Después de errores de comunicación
Comportamiento después de errores de comunicación
Salida de valores sustituti Periferia F con perfil Periferia F sin perfil Toda periferia F con CPU F
vos después de errores de "RIOforFA-Safety" con CPU F "RIOforFA-Safety" con CPU F S7-300/400
comunicación S7-1200/1500 S7-1200/1500
Si se detecta un error de co QBAD y PASS_OUT = 1 QBAD y PASS_OUT = 1
municación entre la CPU F y la aplicable a todos los canales: aplicable a todos los canales:
periferia F, se pasivan todos Valor de canal = valor sustitutivo (0) Valor de canal = valor sustituti
los canales de dicha periferia Información de calidad = 0* vo (0)
F. QBAD_I_xx y QBAD_O_xx = 1*
La reintegración de la periferia F afectada, es decir, el suministro de valores de proceso en la
MIPE o la salida de los valores de proceso disponibles en la MIPS por las salidas de seguridad,
no tiene lugar hasta que:
• deja de haber errores de comunicación y el sistema F ha establecido la variable
ACK_REQ = 1
• se ha llevado a cabo un acuse de usuario con un flanco positivo:
– en la variable ACK_REI del DB de periferia F (Página 160) o
– en la entrada ACK_REI_GLOB de la instrucción "ACK_GL" (ACK_GL: Acuse general de
toda la periferia F de un grupo de ejecución F (STEP 7 Safety V18) (Página 477))

Evolución de señales en caso de pasivación y reintegración de la periferia F después de errores

de comunicación

9DORUHVGHFDQDO 9DORUHVVXVWLWXWLYRV
0,3(
9DORUHVGH 9DORUHVGH
SURFHVR SURFHVR
4%$' 6HHPLWHQYDORUHVVXVWLWXWLYRV
4%$'B,B[[
,QIRUPDFLµQGH
6HHPLWHQYDORUHVVXVWLWXWLYRV
FDOLGDG 0,3(
6DOLGDGHSDVLYDFLµQDFWLYDGD
3$66B287
6ROLFLWXGGH
$&.B5(4 DFXVH
$FXVHGHXVXDULR
$&.B5(,
%LW',$*DFWLYDGR
%LW',$*[
① Errores de comunicación/pasivación
② Ya no hay errores de comunicación
③ Reintegración
Consulte
también
Implementación de un acuse de usuario en el programa de seguridad de la CPU F de un
maestro DP o IO controller (Página 177)

6.5.3 Después de fallos de periferia F/canal
Comportamiento después de fallos de periferia F
vos después de fallos de pe "RIOforFA-Safety" con CPU F "RIOforFA-Safety" con CPU F S7-300/400
riferia F S7-1200/1500 S7-1200/1500
Si el sistema F detecta un fallo QBAD y PASS_OUT = 1 QBAD y PASS_OUT = 1
de periferia F, se pasivan todos aplicable a todos los canales: aplicable a todos los canales:
los canales de dicha periferia Valor de canal = valor sustitutivo (0) Valor de canal = valor sustituti
F. Información de calidad = 0* vo (0)
Behavior after channel fault (Comportamiento tras fallo de canal)
vos tras fallos de canal "RIOforFA-Safety" con CPU F "RIOforFA-Safety" con CPU F S7-300/400
S7-1200/1500 S7-1200/1500
Si está configurada la pasiva QBAD y PASS_OUT = 1 QBAD y PASS_OUT = 1
ción de toda la periferia F: aplicable a todos los canales: aplicable a todos los canales:
Si el sistema F detecta un fallo Valor de canal = valor sustitutivo (0) Valor de canal = valor sustituti
de canal, se pasivan todos los Información de calidad = 0* vo (0)
canales de la periferia F afec QBAD_I_xx y QBAD_O_xx = 1*
tada.
Si se ha configurado la pasiva QBAD y PASS_OUT sin QBAD y PASS_OUT = 1 QBAD y PASS_OUT = 1
ción canal por canal: cambios para los canales afectados se para los canales afectados se
Si el sistema F detecta un fallo para los canales afectados se aplica: aplica:
de canal, se pasivan todos los aplica: Valor de canal = valor sustituti Valor de canal = valor sustituti
canales afectados de la perife Valor de canal = valor sustituti vo (0) vo (0)
ria F afectada. vo (0) Información de calidad = 0* QBAD_I_xx y QBAD_O_xx = 1*
Información de calidad = 0
"RIOforFA-Safety", no están disponibles la información de calidad o QBAD_I_xx y QBAD_O_xx
La reintegración de la periferia F afectada o de los canales afectados, es decir, el suministro
de valores de proceso en la MIPE o la salida de los valores de proceso disponibles en la MIPS
por las salidas de seguridad, no tiene lugar hasta que:
• deja de haber fallos de periferia F o de canal.
Si se ha configurado la pasivación canal por canal para la periferia F, los canales afectados en
los que se haya subsanado el fallo se reintegrarán, y los que sigan con fallos continuarán
pasivados.

La reintegración tiene lugar en función del ajuste de las variables ACK_NEC o del parámetro
"Channel failure acknowledge (acuse de fallo de canal)" (configuración de módulos F
S7-1500/ET 200MP y módulos F S7-1200)
• Con ACK_NEC = 0 o la configuración "Channel failure acknowledge = Automatic (Acuse de
fallo de canal = automático)", se produce una reintegración automática en cuanto el
sistema F detecta que se ha subsanado el fallo. En el caso de una periferia F con entradas,
la reintegración tiene lugar de inmediato. En el caso de una periferia F con salidas o con
entradas y salidas, dependiendo de la periferia F utilizada, es posible que la reintegración
no tenga lugar hasta unos minutos después de la aplicación necesaria de señales de
prueba que la periferia F necesita para detectar que se ha subsanado el error.
• Con ACK_NEC = 1 o la configuración "Channel failure acknowledge = Manual (Acuse de
fallo de canal = manual)", la reintegración no tiene lugar hasta que el acuse del usuario
con un flanco positivo en la variable ACK_REI del DB de periferia F o en la entrada
ACK_REI_GLOB de la instrucción "ACK_GL". El acuse no es posible hasta que el sistema F
detecta que se ha subsanado el error y ha establecido la variable ACK_REQ = 1.
Para los IO devices normalizados de seguridad con perfil "RIOforFA-Safety", consulte la
documentación del correspondiente IO device normalizado de seguridad.
ADVERTENCIA
Tras un corte de alimentación de la periferia F que dure menos que el tiempo de

vigilancia F ajustado para la periferia F, puede producirse una reintegración automática
independientemente del ajuste de la variable ACK_NEC o de la configuración "Channel
failure acknowledge (Acuse de fallo de canal)", tal como se describe con el ajuste
ACK_NEC = 0 o la configuración "Channel failure acknowledge = Automatic (Acuse de
fallo de canal = Automático)".
Si la reintegración automática no está permitida en este caso para el proceso en cuestión,
deberá programarse una protección de arranque evaluando las variables QBAD o
QBAD_I_xx y QBAD_O_xx o la información de calidad o PASS_OUT.
En caso de un corte de alimentación de la periferia F que dure más que el tiempo de
vigilancia F ajustado para la periferia F, el sistema F detecta un error de comunicación.
(S012)

Evolución de señales en caso de pasivación y reintegración de la periferia F después de fallos de

periferia F/canal con ACK_NEC = 0 o configuración "Channel failure acknowledge = Automatic
(Acuse de fallo de canal = Automático)" en caso de pasivación de toda la periferia F después de
fallos de canal

9DORUHVGHFDQDO 9DORUHVVXVWLWXWLYRV
0,3(
9DORUHVGHSURFHVR 9DORUHVGHSURFHVR
6HHPLWHQYDORUHV
4%$'B,B[[ VXVWLWXWLYRV
,QIRUPDFLµQGH 6HHPLWHQYDORUHV
FDOLGDG 0,3( VXVWLWXWLYRV
$FXVHSDUDUHLQWHJUDFLµQQRQHFHVDULR
$&.B1(&
$&.B5(4
$&.B5(,
%LW',$*DFWLYDGR
%LW',$* QRFRQSHUILO
5,2IRU)$6DIHW\
① Fallo de periferia F/canal

Pasivación
② Fallo de periferia F/canal subsanado
Reintegración automática

periferia F/canal con ACK_NEC = 1 o configuración "Channel failure acknowledge = Manual
(Acuse de fallo de canal = Manual)" en caso de pasivación de toda la periferia F después de fallos
de canal
Para la evolución de las señales en caso de pasivación y reintegración de la periferia F
después de fallos de periferia F/canal con ACK_NEC = 1 o configuración "Channel failure
acknowledge = Manual (Acuse de fallo de canal = Manual)" K (valor de arranque), ver
Después de errores de comunicación (Página 169).


canal con ACK_NEC = 1 o configuración "Channel failure acknowledge = Manual (Acuse de fallo
de canal = Manual)" en caso de pasivación canal por canal

9DORUGHFDQDO
&DQDO 9DORUVXVWLWXWLYR
0,3( 9DORUGH 9DORUGHSURFHVR
SURFHVR
9DORUGHFDQDO
9DORUVXVWLWXWLYR
&DQDO
0,3( 9DORUGHSURFHVR 9DORUGH
SURFHVR
9DORUVXVWLWXWLYRHPLWLGRSDUDFDQDO
4%$'B,B
9DORUVXVWLWXWLYRHPLWLGRSDUDFDQDO
4%$'B,B
,QIRUPDFLµQGH
FDOLGDG&DQDO 9DORUVXVWLWXWLYRHPLWLGRSDUDFDQDO
0,3(
,QIRUPDFLµQGH
FDOLGDG&DQDO 9DORUVXVWLWXWLYRHPLWLGRSDUDFDQDO
0,3(
$&.B1(&
$FXVHSDUDUHLQWHJUDFLµQQHFHVDULR
6ROLFLWXGGHDFXVH
&DQDO &DQDO
$&.B5(4
$FXVHGHXVXDULR&DQDO $FXVHGHXVXDULR&DQDO
$&.B5(,
%LW',$*DFWLYDGR
%LW',$* QRFRQSHUILO5,2IRU)$6DIHW\
① Fallo del canal 0/pasivación del canal 0 ④ Reintegración del canal 0

② Fallo del canal 1/pasivación del canal 1 ⑤ Fallo del canal 1 subsanado
③ Fallo del canal 0 subsanado ⑥ Reintegración del canal 1

6.5.4 Pasivación agrupada
Programación de la pasivación agrupada

En caso de pasivación de una periferia F o un canal de una periferia F por el sistema F, puede
activarse la pasivación de otras periferias F pasivando en grupo las periferias F relacionadas
entre sí con ayuda de las variables PASS_OUT/PASS_ON.
La pasivación agrupada mediante PASS_OUT/PASS_ON puede emplearse, p. ej., para forzar la
reintegración simultánea de todas las periferias F tras el arranque del sistema F.
Para la pasivación agrupada, es preciso combinar con la operación lógica O todas las variables
PASS_OUT de las periferias F del grupo en cuestión y asignar el resultado a todas las variables
PASS_ON de las periferias F del grupo en cuestión.
Mientras se aplican los valores sustitutivos (0) a causa de la pasivación agrupada mediante
PASS_ON = 1, la variable QBAD de las periferias F del grupo es = 1.
NOTA
Tenga en cuenta el comportamiento diferente de PASS_OUT con las periferias F con o sin el
perfil "RIOforFA-Safety" (ver tabla en el capítulo
QBAD/PASS_OUT/DISABLED/QBAD_I_xx/QBAD_O_xx e información de calidad (Página 163)).
Ejemplo de pasivación agrupada

La reintegración de la periferia F pasivada en grupo tiene lugar automáticamente si para la
periferia F que ha disparado la pasivación agrupada la reintegración es (automática o
mediante acuse del usuario) (PASS_OUT = 0) .
Evolución de señales en caso de pasivación agrupada después de un error de comunicación

Ejemplo con dos periferias F con entradas:

3HULIHULD)$
3DVLYDFLµQDFWLYDGD
3$66B21
6HHPLWHQYDORUHVVXVWLWXWLYRV
4%$'
6DOLGDGHSDVLYDFLµQDFWLYDGD
3$66B287
3HULIHULD)%
3DVLYDFLµQDFWLYDGD
3$66B21
6HHPLWHQYDORUHV
4%$' VXVWLWXWLYRV
3$66B287
3HULIHULD)$
9DORUGHFDQDO 9DORUHVVXVWLWXWLYRV
0,3( 9DORUHVGHSURFHVR 9DORUHVGHSURFHVR
3HULIHULD)%
9DORUGHFDQDO 9DORUHVVXVWLWXWLYRV
0,3( 9DORUHVGHSURFHVR 9DORUHVGHSURFHVR
&LFORQ Q &LFORP P
① Error de comunicación en la periferia F A

Pasivación de la periferia F A
② Pasivación de la periferia F B
③ Error de comunicación en periferia F A subsanado y acusado
④ Reintegración de la periferia F A y B

Implementación de un acuse de usuario 7
7.1 Implementación de un acuse de usuario en el programa de
seguridad de la CPU F de un maestro DP o IO controller
Posibilidades para el acuse de usuario

En función del resultado del análisis de riesgos, existen las siguientes modalidades de acuse
de usuario:
• Con un pulsador de enterado conectado a una periferia F con entradas.
• Con un sistema de manejo y visualización.
• Con un pulsador de enterado conectado a una periferia estándar con entradas.
• Con cualquier otro mecanismo que permita leer el acuse del usuario.
Acuse de usuario mediante el pulsador de enterado
NOTA
Si se implementa el acuse de usuario mediante un pulsador de enterado, en caso de error de
comunicación, fallo de periferia F o de canal en la periferia F a la que está conectado el
pulsador de enterado, ya no será posible el acuse para la reintegración de dicha periferia F.
Este "bloqueo" solo podrá sortearse mediante una transición STOP/RUN de la CPU F. Para ello,
en un sistema redundante S7-1500HF, deben conmutarse ambas CPU HF o el sistema
redundante S7-1500HF a STOP antes de volver a arrancar las CPU HF.
Por ello, en los casos en que el acuse para la reintegración de la periferia F se realiza a
mediante un pulsador de enterado conectado a dicha periferia F, se recomienda configurar
además un acuse desde un sistema de manejo y visualización.
El acuse del usuario puede realizarse mediante un pulsador de enterado conectado a una
periferia estándar con entradas o cualquier otro mecanismo que permita leer el acuse del
usuario, siempre que el análisis de riesgos lo permita.
Acuse del usuario desde un sistema de manejo y visualización

Para implementar un acuse de usuario desde un sistema de manejo y visualización, se
necesita la instrucción ACK_OP: Acuse seguro (STEP 7 Safety V18) (Página 559).

Implementación de un acuse de usuario
7.1 Implementación de un acuse de usuario en el programa de seguridad de la CPU F de un maestro DP o IO
controller
Procedimiento para la programación del acuse de usuario desde un sistema de manejo y

visualización (S7-300, S7-400)
1. Elija la instrucción "ACK_OP" en la Task Card "Instructions (Instrucciones)" e insértela en su
programa de seguridad. En la salida OUT de ACK_OP está disponible la señal de acuse para
evaluar los acuses de usuario.
2. Configure en su sistema de manejo y visualización un campo para la introducción manual
del "valor de acuse" "6" (primer paso de acuse) y del "valor de acuse" "9" (segundo paso de
acuse)
o bien
asigne una tecla de función 1 para la transferencia única del "valor de acuse" "6" (primer
paso de acuse) y una tecla de función 2 para la transferencia única del "valor de acuse" "9"
(segundo paso de acuse). Asigne la entrada/salida IN al campo o a las teclas de función (en
el área de datos de la instrucción ACK_OP).
3. Opcionalmente: Evalúe la salida Q en su sistema de manejo y visualización en el DB de
instancia de ACK_OP para mostrar la ventana de tiempo dentro de la cual debe realizarse
el segundo paso de acuse o para mostrar que el primer paso de acuse ya se ha llevado a
cabo.
Si desea realizar un acuse de usuario solo desde una programadora/un PC en la tabla de
observación (Observar/forzar variable) sin tener que desactivar el modo seguro, deberá
transferir un operando (palabra de marcas o DBW de un DB del programa de usuario
estándar) a través de la entrada/salida IN al llamar ACK_OP. De ese modo podrá transferir los
"valores de acuse" "6" o "9" en la programadora/el PC forzando una vez la palabra de marcas o
la DBW de un DB. No está permitido que el programa escriba la palabra de marcas o DBW de
un DB.
NOTA
Si se interconecta la entrada/salida IN con una palabra de marcas o DBW de un DB, se deberá
utilizar una palabra de marcas o DBW de un DB del programa de usuario propia para cada
instancia de la instrucción ACK_OP.
ADVERTENCIA
Los dos pasos de acuse no deben ser disparados por una única acción, p. ej., programando
los pasos de acuse junto con las condiciones de tiempo en un programa y disparándolos con
una única tecla de función.
Los dos pasos de acuse separados impiden también el disparo erróneo de un acuse por el
sistema de manejo y visualización no seguro. (S013)

controller
ADVERTENCIA
Si se dispone de sistemas de manejo y visualización y CPU F interconectados entre sí que

utilizan la instrucción ACK_OP para el acuse seguro, antes de ejecutar ambos pasos de acuse
debe asegurarse de que realmente se acceda a la CPU F prevista.
• Introducir un nombre único en toda la red* para la CPU F en un DB del programa de
usuario estándar en cada CPU F.
• Crear en el sistema de manejo y visualización un campo en el que se pueda leer online el
nombre de la CPU F en el DB antes de ejecutar los dos pasos de acuse.
• Opcionalmente:
Crear en el sistema de manejo y visualización un campo en el que además esté guardado
permanentemente el nombre de la CPU F. A continuación puede determinarse si se ha
llamado la CPU F prevista simplemente comparando el nombre de la CPU F leído online
con el nombre guardado permanentemente. (S014)
la subred.
NOTA
La configuración del sistema de manejo y visualización no afecta a la firma colectiva F.
Procedimiento para programar el acuse de usuario desde un sistema de manejo y visualización

(S7-1200, S7-1500)
1. Elija la instrucción "ACK_OP" en la Task Card "Instructions (Instrucciones)" e insértela en su
programa de seguridad. En la salida OUT de ACK_OP está disponible la señal de acuse para
evaluar los acuses de usuario.
2. Asigne a la entrada ACK_ID una identificación entre 9 y 30000 para el acuse.
3. Asigne a la entrada/salida IN una palabra de marcas o DBW de un DB del programa de
usuario estándar.
NOTA
Para cada instancia de la instrucción ACK_OP debe proporcionarse una palabra de marcas
o DBW de un DB del programa de usuario estándar propia a la entrada/salida IN.
4. Configure en su sistema de manejo y visualización un campo para la introducción manual

del "valor de acuse" "6" (primer paso de acuse) y de la "identificación" parametrizada en la
entrada ACK_ID (segundo paso de acuse)
o bien
asigne una tecla de función 1 para la transferencia única del "valor de acuse" "6" (primer
paso de acuse) y una tecla de función 2 para la transferencia única de la "identificación"
parametrizada en la entrada ACK_ID (segundo paso de acuse).
Asigne al campo o a las teclas de función la palabra de marcas o DBW de un DB de un
programa de usuario estándar asignada a la entrada/salida IN.

controller
5. Opcionalmente: Evalúe la salida Q en su sistema de manejo y visualización en el DB de

instancia de ACK_OP para mostrar la ventana de tiempo dentro de la cual debe realizarse
el segundo paso de acuse para mostrar que el primer paso de acuse ya se ha llevado a
cabo.
ADVERTENCIA
ADVERTENCIA

Alternativa 1:
• El valor del respectivo identificador del acuse (entrada ACK_ID; tipo de datos: INT) puede
elegirse libremente en un rango de 9...30000, pero debe ser único en toda la red* para
todas las instancias de la instrucción ACK_OP.
Se deben proporcionar valores constantes a la entrada ACK_ID al llamar la instrucción. No
están permitidos los accesos directos de lectura y escritura a la variable ACK_ID del DB de
instancia correspondiente desde el programa de seguridad.
Alternativa 2:
• Opcionalmente:
permanentemente el nombre de la CPU F. A continuación, puede determinarse si se ha
la subred.
NOTA
El suministro de la entrada/salida IN de la instrucción ACK_OP y la configuración del sistema
de manejo y visualización no afectan a la firma colectiva F, a la firma colectiva SW F ni a la
firma del bloque que llama la instrucción ACK_OP.
Por ello, las modificaciones en el suministro de la entrada/salida IN o en la configuración del
sistema de manejo y visualización no modifican la firma colectiva F/firma colectiva SW F/firma
del bloque invocante.

7.2 Implementación de un acuse de usuario en el programa de seguridad de la CPU F de un I-slave o un I-device
Ejemplo de procedimiento para programar la reintegración de una periferia F

1. Opcionalmente: Ajuste la variable ACK_NEC a "0" en el correspondiente DB de periferia F
(Página 160) si después de un fallo de periferia F/canal debe realizarse una reintegración
automática (sin acuse de usuario).
ADVERTENCIA
La parametrización de la variable ACK_NEC = 0 solo está permitida si, desde el punto de

vista de la seguridad, se admite una reintegración automática para el proceso en
cuestión. (S010)
2. Opcionalmente: Evalúe las variables QBAD o QBAD_I_xx/QBAD_O_xx (S7-300/400) o la

información de calidad (S7-1200, S7-1500) o DIAG en el correspondiente DB de periferia F
para controlar, por ejemplo, una lámpara de señalización en caso de fallo, o bien evalúe
las variables mencionadas o la información de calidad para generar en su programa de
usuario estándar mensajes de error para el sistema de manejo y visualización que puedan
evaluarse antes de ejecutar la operación de acuse. Otra posibilidad es evaluar el búfer de
diagnóstico de la CPU F.
3. Opcionalmente: Evalúe la variable ACK_REQ en el correspondiente DB de periferia F, p. ej.,
en el programa de usuario estándar o en el sistema de manejo y visualización, para
consultar o indicar si se necesita un acuse de usuario.
4. En el DB de periferia F o en la entrada ACK_REI_GLOB de la instrucción ACK_GL, asigne a la
variable ACK_REI la entrada del pulsador de enterado o la salida OUT de la instrucción
ACK_OP (ver arriba).
7.2 Implementación de un acuse de usuario en el programa de

seguridad de la CPU F de un I-slave o un I-device
Posibilidades para el acuse de usuario

Puede implementar un acuse de usuario mediante:
• un sistema de manejo y visualización que permita acceder a la CPU F del I-slave/I-device
• un pulsador de enterado conectado a una periferia F con entradas que esté asignada a la
CPU F del I-slave/I-device
• un pulsador de enterado conectado a una periferia F con entradas que esté asignada a la
CPU F del maestro DP/IO controller

La siguiente figura muestra un ejemplo de las 3 posibilidades.
(VWDFLµQ6FRQ&38)31'3 352),1(7,2
,2FRQWUROOHU
)',
3DUD&RPXQLFDFLµQ,2FRQWUROOHU,GH (76FRQ
YLFHRULHQWDGDDODVHJXULGDGSDUDVH³DO ,031'3
GHDFXVH &38) ,GHYLFH
)',

(70

6LVWHPDGHPDQHMR\YLVXDOL]DFLµQ
1. Acuse de usuario desde un sistema de manejo y visualización que permita acceder a la CPU F
del I-slave/I-device
Para implementar un acuse de usuario desde un sistema de manejo y visualización que
permita acceder a la CPU F del I-slave/I-device, se necesita la instrucción ACK_OP: Acuse
seguro (STEP 7 Safety V18) (Página 559).
Procedimiento para la programación
Haga lo que se describe en "Implementación de un acuse de usuario en el programa de
seguridad de la CPU F de un maestro DP o IO controller (Página 177)" en el apartado
"Procedimiento para la programación..."
Tras ello podrá acceder directamente al DB de instancia de ACK_OP en el I-slave/I-device
desde el sistema de manejo y visualización.

2. Acuse de usuario mediante un pulsador de enterado conectado a una periferia F con entradas
que esté asignada a la CPU F del I-slave/I-device
NOTA
En caso de error de comunicación, fallo de periferia F o de canal en la periferia F a la que está
conectado el pulsador de enterado, no será posible el acuse para la reintegración de dicha
periferia F.
Este "bloqueo" solo podrá sortearse mediante una transición STOP/RUN de la CPU F del
I-slave/I-device.
Por ello, en los casos en que el acuse para la reintegración de la periferia F se efectúe
mediante un pulsador de enterado conectado a dicha periferia F, se recomienda configurar
además un acuse desde un sistema de manejo y visualización que permita acceder a la CPU F
del I-slave/I-device (ver el punto 1).
3. Acuse de usuario mediante un pulsador de enterado conectado a una periferia F con entradas
que esté asignada a la CPU F del maestro DP/IO controller
Si el pulsador de enterado que está asignado a la CPU F del maestro DP/IO controller debe
utilizarse también para el acuse de usuario en el programa de seguridad de la CPU F de un
I-slave/I-device, debe transmitirse la señal de acuse mediante una comunicación
maestro-I-slave/IO controller/I-device orientada a la seguridad entre el programa de seguridad
de la CPU F del maestro DP/IO controller y el programa de seguridad de la CPU F del
I-slave/I-device.
1. Introduzca la instrucción SENDDP (Página 570) en el programa de seguridad de la CPU F
del maestro DP/IO controller.
2. Introduzca la instrucción RCVDP (Página 570) en el programa de seguridad de la CPU F del
I-slave/I-device.
3. Transfiera la entrada del pulsador de enterado a una entrada SD_BO_xx de SENDDP.
4. Así, en la correspondiente salida RD_BO_xx de RCVDP estará disponible la señal de acuse
para evaluar los acuses de usuario.
Luego, durante la posterior ejecución del programa, podrá leer la señal de acuse con un
acceso completo directamente en el correspondiente DB de instancia (p. ej.,
"RCVDP_DB".RD_BO_02).

5. Transfiera FALSE (valor sustitutivo 0) a la correspondiente entrada SUBBO_xx de RCVDP

para evitar que, después de un arranque del sistema F emisor y receptor o en caso de error
de la comunicación orientada a la seguridad, se dispare un acuse de usuario involuntario
antes de que se establezca la comunicación por primera vez.
NOTA
En caso de error de comunicación, fallo de periferia F o de canal en la periferia F a la que
está conectado el pulsador de enterado, tampoco será posible el acuse para la
reintegración de dicha periferia F.
Por ello, en los casos en que el acuse para la reintegración de la periferia F se efectúa
mediante un pulsador de enterado conectado a dicha periferia F, se recomienda
configurar además un acuse desde un sistema de manejo y visualización que permita
acceder a la CPU F del maestro DP/IO controller.
En caso de error de la comunicación maestro-I-slave/IO controller-I-device orientada a la
seguridad, ya no es posible transmitir la señal de acuse y, por lo tanto, tampoco el acuse
para reintegrar la comunicación orientada a la seguridad.
I-slave/I-device.
Por tanto, para el acuse de la reintegración de la comunicación orientada a la seguridad
para transmitir la señal de acuse, se recomienda configurar además un acuse desde un
sistema de manejo y visualización que permita acceder a la CPU F del I-slave/I-device (ver
el punto 1).

Intercambio de datos entre programa de usuario
estándar y programa de seguridad 8
Tiene la posibilidad de intercambiar datos entre el programa de seguridad y el programa de
usuario estándar. Para ello puede utilizar variables de DB o DB F y marcas:
Desde el programa de usuario estándar Desde el programa de seguridad
en modo de lectura en modo de escritura en modo de lectura en modo de escritura
Variable del DB admisible admisible en modo de lectura o de escritura a una variable
del DB
Variable del DB F admisible no admisible admisible admisible
Marca admisible admisible en modo de lectura o de escritura a una marca
Además tiene la posibilidad de acceder a la memoria imagen de proceso de la periferia

estándar o F:
Desde el programa de usuario estándar Desde el programa de seguridad
en modo de lectura en modo de escritu en modo de lec en modo de escri
ra tura tura
Memoria imagen de pro MIPE admisible admisible admisible no admisible
ceso Periferia estándar
MIPS admisible admisible no admisible admisible
Memoria imagen de pro MIPE admisible no admisible admisible no admisible
ceso Periferia F
MIPS admisible no admisible no admisible admisible
En caso de emplear Software Units o una Safety Unit, tenga en cuenta las limitaciones o
particularidades que puedan existir.
Desacoplamiento del programa de seguridad del programa de usuario estándar

Para intercambiar datos entre el programa de usuario estándar y el programa de seguridad,
recomendamos definir bloques de datos específicos (bloques de datos de transferencia) en
los que se guardarán los datos que deben intercambiarse. Esto permite desacoplar los
bloques del programa de usuario estándar de los del programa de seguridad. Mientras no se
modifiquen estos bloques de datos, las modificaciones del programa de usuario estándar no
afectarán al programa de seguridad (ni a la inversa).
8.1 Transferencia de datos del programa de seguridad al programa

de usuario estándar
Leer datos del programa de seguridad en el programa de usuario estándar

El programa de usuario estándar puede leer todos los datos del programa de seguridad, p. ej.,
mediante accesos simbólicos (completos):
• Los DB de instancia de los FB F ("nombre_del_DB_de_instancia".señal_x)
• DB F (p. ej., "nombre_del_DB_F".señal_1)

8.1 Transferencia de datos del programa de seguridad al programa de usuario estándar
• La memoria imagen de proceso de las entradas y salidas de la periferia F (p. ej., "Pulsador
de parada de emergencia_1" (I 5.0))
NOTA
Válido para CPU F S7-300/400
La memoria imagen de proceso de las entradas de la periferia F no solo es actualizada al
inicio del grupo de ejecución F, sino también por el sistema operativo estándar.
Los momentos de actualización por el sistema operativo estándar pueden consultarse en
la Ayuda de STEP 7, apartado "Memoria imagen de proceso de las entradas y de las
salidas". En el caso de las CPU F que soportan memorias imagen parciales del proceso,
tenga en cuenta también, si es necesario, los momentos de actualización si utiliza
memorias imagen parciales de proceso. Por ello, al acceder a la memoria imagen de
proceso de las entradas de la periferia F en el programa de usuario estándar, puede
obtener valores distintos a los obtenidos en el programa de seguridad. La diferencia entre
los valores puede deberse a:
– momentos de actualización distintos
– uso de valores sustitutivos en el programa de seguridad
Por ello, para obtener los mismos valores en el programa de usuario estándar que en el
programa de seguridad, no debe accederse a la memoria imagen de proceso de las
entradas hasta que se haya ejecutado un grupo de ejecución F. En ese caso, puede evaluar
la variable QBAD o QBAD_I_xx también en el correspondiente DB de periferia F del
programa de usuario estándar, para saber si la memoria imagen de proceso de las
entradas recibe valores sustitutivos (0) o valores de proceso. Si utiliza memorias imagen
parciales del proceso, asegúrese además de que la memoria imagen de proceso no sea
actualizada por el sistema operativo estándar o por la instrucción UPDAT_PI entre la
ejecución de un grupo de ejecución F y la evaluación de la memoria imagen de proceso de
las entradas en el programa de usuario estándar.
NOTA
Válido para CPU F S7-1200/1500
La memoria imagen de proceso de las entradas de la periferia F se actualiza antes de
ejecutar el bloque Main-Safety.
Durante la transferencia de datos del programa de seguridad al programa de usuario

estándar, no se comprueba la integridad del programa de seguridad y de los datos relativos a
la seguridad (ver también el capítulo "Descripción general del producto (Página 24)").
Escribir datos del programa de seguridad en el programa de usuario estándar

También es posible escribir datos del programa de seguridad en el programa de usuario
estándar directamente desde el programa de usuario estándar (ver también la tabla de las
áreas de operandos soportadas en: Limitaciones en los lenguajes de programación
FUP/KOP (Página 112)).
Esto se aplica también a la información de servicio no relacionada con la seguridad (p. ej., las
salidas DIAG de las instrucciones de seguridad).
Tenga en cuenta la tabla del capítulo "Intercambio de datos entre programa de usuario
estándar y programa de seguridad (Página 185)".

8.2 Transferencia de datos del programa de usuario estándar al programa de seguridad
Al escribir en una variable del tipo de datos ARRAY, el índice puede ser una constante o una
variable.
8.2 Transferencia de datos del programa de usuario estándar al

programa de seguridad
En el programa de seguridad solo deben procesarse datos de seguridad o señales de

seguridad de la periferia F y otros programas de seguridad (de otras CPU F), ya que las
variables del programa estándar no están protegidas.
Si, pese a ello, es necesario procesar variables del programa de usuario estándar en el
programa de seguridad, puede usar para ello marcas del programa de usuario estándar,
variables de un DB estándar o la memoria imagen de proceso de las entradas (MIPE) de la
periferia estándar en el programa de seguridad (ver también la tabla de las áreas de
operandos soportadas en: Limitaciones en los lenguajes de programación FUP/KOP (Página
112)).
Tenga en cuenta la tabla del capítulo "Intercambio de datos entre programa de usuario
estándar y programa de seguridad (Página 185)".
Al leer una variable del tipo de datos ARRAY, el índice debe ser una constante. No está
permitido usar variables como índice.
Tenga en cuenta que los cambios estructurales de los DB estándar que se utilizan en el
programa de seguridad dan lugar a incoherencias en el programa de seguridad, y por lo tanto
solo pueden ejecutarse si se cuenta con permiso de acceso a los datos del proyecto relativos a
la seguridad. En ese caso, la firma colectiva F volverá a ser la original después de compilar.
Para prevenir esto, utilice "bloques de datos de transferencia" entre el programa de usuario
estándar y el programa de seguridad.
ADVERTENCIA
Como estas variables no se generan de forma segura, debe asegurarse en el programa de

seguridad que no puedan producirse estados peligrosos programando controles adicionales
de plausibilidad específicos del proceso. Si se utiliza una marca, una variable de un DB
estándar o una entrada de la periferia en ambos grupos de ejecución F, es preciso realizar el
control de plausibilidad por separado en cada grupo de ejecución F. (S015)
Para facilitar el control, al crear la documentación de seguridad (Página 332), se imprimen

todas las variables PLC del programa de usuario estándar que se evalúan en el programa de
seguridad
Las variables PLC del programa de usuario estándar que se evalúan en bloques F con
protección de know-how no se incluyen en la documentación de seguridad. El control de
plausibilidad debe proporcionarlo el propio autor de los bloques F con protección de know-
how.

8.2 Transferencia de datos del programa de usuario estándar al programa de seguridad
Ejemplos: Programación de controles de plausibilidad

• Compruebe las variables del programa de usuario estándar con ayuda de instrucciones de
comparación (Página 500) para saber si rebasan por exceso/defecto un límite superior o
inferior permitido. Luego podrá usar el resultado de la comparación para influir en la
función de seguridad.
• Puede utilizar las variables del programa de usuario estándar, p. ej., con ayuda de las
instrucciones ---( S )---: Activar salida (STEP 7 Safety V18) (Página 400), ---( R )---:
Desactivar salida (STEP 7 Safety V18) (Página 399) o SR: Flipflop de
activación/desactivación (STEP 7 Safety V18) (Página 401) para desconectar un motor,
pero nunca para conectarlo.
• Para los procesos de conexión, combine variables del programa de usuario estándar con
condiciones de conexión derivadas de variables de seguridad, p. ej., con ayuda de la
operación lógica Y.
Si va a procesar variables del programa de usuario estándar en el programa de seguridad,
tenga en cuenta que el control de plausibilidad de las mismas no siempre resulta fácil.
Lectura de variables del programa de usuario estándar que pueden cambiar durante el tiempo
de ejecución de un grupo de ejecución F
Para leer en el programa de seguridad variables del programa de usuario estándar (marcas,
variables de un DB estándar o MIPE de periferia estándar) que pueden ser modificadas por el
programa de usuario estándar o por un sistema de manejo y visualización durante el tiempo
de ejecución del grupo de ejecución F en el que son leídas (p. ej., porque el programa de
usuario estándar es procesado por una alarma cíclica de mayor prioridad), deben utilizarse
para ello marcas o variables específicas de un DB estándar. Recomendamos utilizar FC
estándar para el preprocesamiento (Página 84) en las CPU F S7-1200/1500.
(S7-300/400) Estas marcas o variables de un DB estándar deben escribirse con las variables
del programa de usuario estándar justo antes de la llamada del grupo de ejecución F.
Tras ello, en el programa de seguridad deberá accederse únicamente a estas marcas o
variables de un DB estándar.
Tenga en cuenta también que las marcas de ciclo que se definieron en la configuración de la
CPU F en la pestaña "Properties (Propiedades)" pueden cambiar durante el tiempo de
ejecución del grupo de ejecución F, ya que las marcas de reloj se procesan de manera
asíncrona respecto al ciclo de la CPU F.
NOTA

Comunicación orientada a la seguridad 9
9.1 Configuración y programación de la comunicación (S7-300,
S7-400)
9.1.1 Descripción general de la comunicación
Introducción
Aquí encontrará una descripción general de las posibilidades de la comunicación orientada a
la seguridad en sistemas F SIMATIC Safety.
Posibilidades de la comunicación orientada a la seguridad
Comunicación orientada a la seguridad A través de una subred Hardware adicional

necesario
Comunicación I-slave-slave PROFIBUS DP —
Comunicación CPU-CPU orientada a la seguridad:
Comunicación IO controller-IO controller PROFINET IO Acoplador PN/PN
Comunicación maestro-maestro PROFIBUS DP Acoplador DP/DP
Comunicación IO controller-I device PROFINET IO —
Comunicación maestro-I-slave PROFIBUS DP —
Comunicación I-slave-I-slave PROFIBUS DP —
Comunicación IO controller-I-slave PROFINET IO y PROFIBUS DP IE/PB-Link
Comunicación orientada a la seguridad Industrial Ethernet —
mediante conexiones S7
con S7 Distributed Safety
Comunicación maestro-maestro con S7 PROFIBUS DP Acoplador DP/DP
Distributed Safety
Comunicación orientada a la seguridad Industrial Ethernet —
con S7 Distributed Safety o S7 F Systems
mediante conexiones S7

Comunicación orientada a la seguridad
9.1 Configuración y programación de la comunicación (S7-300, S7-400)
Descripción general de la comunicación orientada a la seguridad mediante PROFIBUS DP

La figura siguiente muestra una vista general de las 4 posibilidades de la comunicación
orientada a la seguridad a través de PROFIBUS DP en sistemas F SIMATIC Safety con CPU F
S7-300/400.
$FRSODGRU'3'3
0DHVWUR'3 0DHVWUR'3

6XEUHG 6XEUHG
352),%86 352),%86
,VODYH ,VODYH ,VODYH

'3VODYHFRQPµGXORV)
① Comunicación maestro-maestro orientada a la seguridad

② Comunicación maestro-I-slave orientada a la seguridad
③ Comunicación I-slave-I-slave orientada a la seguridad
④ Comunicación I-slave-slave orientada a la seguridad

Descripción general de la comunicación orientada a la seguridad mediante PROFINET IO

La figura siguiente muestra una vista general de las 4 posibilidades de la comunicación
orientada a la seguridad mediante PROFINET IO en sistemas F SIMATIC Safety con CPU F
S7-300/400. Si se utiliza un IE/PB-Link, es posible la comunicación orientada a la seguridad
entre I-slaves asignados.
$FRSODGRU3131
,(3%/LQN
,2FRQWUROOHU ,2FRQWUROOHU ,VODYH

352),1(7,2 352),1(7,2 6XEUHG
352),%86
,GHYLFH ,GHYLFH ,GHYLFH ,VODYH
① Comunicación IO controller-IO controller orientada a la seguridad

② Comunicación IO controller-I-device orientada a la seguridad
③ Comunicación IO controller-I-slave orientada a la seguridad
④ Comunicación I-slave-I-slave orientada a la seguridad utilizando un IO controller
Comunicación CPU-CPU orientada a la seguridad mediante PROFIBUS DP o PROFINET IO

En la comunicación CPU-CPU orientada a la seguridad se transfiere un número fijo de datos
de seguridad del tipo de datos INT o BOOL de manera segura entre los programas de
seguridad de las CPU F de maestros DP/I-slaves o IO controller/I-devices.
Los datos se transfieren mediante las instrucciones SENDDP de envío y RCVDP de recepción.
Los datos se guardan en áreas de transferencias configuradas de los dispositivos. Un área de
transferencia está compuesta por un área de direcciones de entrada y otra de salida.
Comunicación I-slave-slave orientada a la seguridad mediante PROFIBUS DP

La comunicación I-slave-slave orientada a la seguridad se puede establecer con la periferia F
en un DP slave que soporte la comunicación I-slave-slave orientada a la seguridad, p. ej., con
todos los módulos F ET 200SP con IM 155-6 DP HF, firmware >V3.1, con todos los módulos F
ET 200S con IM 151-1 HF, con todos los módulos de señales de seguridad S7-300 con IM
153-2, a partir de la referencia 6ES7153‑2BA01‑0XB0, firmware >V4.0.0.
La comunicación orientada a la seguridad entre el programa de seguridad de la CPU F de un
I-slave y la periferia F de un DP slave se lleva a cabo, como en el programa estándar, mediante
el intercambio directo de datos. El acceso del I-slave a los canales de la periferia F en el
programa de seguridad de la CPU F tiene lugar mediante la memoria imagen de proceso.

Comunicación CPU-CPU orientada a la seguridad mediante Industrial Ethernet

La comunicación CPU-CPU orientada a la seguridad mediante Industrial Ethernet es posible a
través de conexiones S7, desde y hasta:
• CPU F S7-300 mediante la interfaz PROFINET integrada
• CPU F S7-400 mediante la interfaz PROFINET integrada o un CP 443-1 o CP 443-1
Advanced-IT
En el caso de la comunicación orientada a la seguridad a través de conexiones S7, se
transfiere un número de datos de seguridad definido por el usuario de los tipos BOOL, INT,
WORD, DINT, DWORD o TIME de manera segura entre los programas de seguridad de las CPU
F conectadas a través de la conexión S7.
Los datos se transfieren con las instrucciones SENDS7 de envío y RCVS7 de recepción. Los
datos se intercambian mediante un DB F ("DB de comunicación F") en el lado emisor y otro en
el lado receptor.
Comunicación CPU-CPU orientada a la seguridad con S7 Distributed Safety o F Systems

La comunicación orientada a la seguridad es posible entre CPU F en SIMATIC Safety y CPU F
en S7 Distributed Safety o S7 F Systems.
9.1.2 Comunicación IO controller-IO controller orientada a la seguridad

9.1.2.1 Configuración de la comunicación IO controller-IO controller orientada a la

seguridad
Introducción
La comunicación orientada a la seguridad entre programas de seguridad de las CPU F de IO
controllers se lleva a cabo mediante un acoplador PN/PN situado entre las dos CPU F.
Para las CPU 416F‑2 DP sin interfaz PROFINET integrada, utilice un CP 443-1 o un CP 443-1
Advanced-IT.
NOTA
En el editor de hardware y redes, desactive el parámetro "Data validity display DIA (Indicador
de validez de datos DIA)" en las propiedades del acoplador PN/PN. Este es el ajuste
predeterminado. De lo contrario, no es posible la comunicación IO controller-IO controller
orientada a la seguridad.
Configuración de áreas de transferencia

Para cada conexión de la comunicación orientada a la seguridad entre dos CPU F, debe
configurarse en el editor de hardware y redes un área de transferencia para los datos de
salida y un área de transferencia para los datos de entrada en el acoplador PN/PN. En la figura
siguiente, cada una de las dos CPU F debe poder enviar y recibir datos (comunicación
bidireccional). Para cada una de las dos conexiones de comunicación debe configurarse un
área de transferencia para los datos de salida y un área de transferencia para los datos de
entrada en el acoplador PN/PN.
,2FRQWUROOHU ,2FRQWUROOHU
(GLWRUGHKDUGZDUH\ (GLWRUGHKDUGZDUH\
)&38 UHGHV UHGHV
)&38
3URJUDPDGHVHJXULGDG 3URJUDPDGHVHJXULGDG
'LU6 'LU(
/RQJE\WHV /RQJE\WHV
6(1''3/$''5 5&9'3/$''5
'LU( 'LU6
/RQJE\WHV /RQJE\WHV
'LU( 'LU6
/RQJE\WHV /RQJE\WHV
5&9'3/$''5 6(1''3/$''5
'LU6 'LU(
/RQJE\WHV /RQJE\WHV
; ;
$FRSODGRU3131

Reglas para definir las áreas de transferencia

Para los datos que se deben enviar, el área de transferencia para los datos de salida y el área
de transferencia para los datos de entrada deben empezar con la misma dirección inicial. Para
el área de transferencia de los datos de salida se necesitan 12 bytes (coherentes) y para el
área de transferencia de los datos de entrada se necesitan 6 bytes (coherentes).
Para los datos que se deben recibir, el área de transferencia para los datos de entrada y el
área de transferencia para los datos de salida deben comenzar con la misma dirección inicial.
Para el área de transferencia de los datos de entrada se necesitan 12 bytes (coherentes) y
para el área de transferencia de los datos de salida se necesitan 6 bytes (coherentes).
Procedimiento para la configuración

El procedimiento para la configuración de una comunicación IO controller-IO controller
orientada a la seguridad es idéntico al de la configuración en el programa estándar.
Para ello proceda como sigue:
1. Inserte dos CPU F en el proyecto desde la Task Card "Hardware catalog (Catálogo de
hardware)".
2. Pase a la vista de redes del editor de hardware y redes.
3. En la Task Card "Hardware catalog (Catálogo de hardware)", apartado "Other field
devices\PROFINET IO\Gateway\Siemens AG\PN/PN Coupler (Otros dispositivos de
campo\PROFINET IO\Pasarela\Siemens AG\Acoplador PN/PN"), elija un acoplador PN/PN X1
y un acoplador PN/PN X2 e insértelos en la vista de redes del editor de hardware y redes.
4. Conecte la interfaz PN de la CPU F 1 con la interfaz PN del acoplador PN/PN X1 y la interfaz
PN de la CPU F 2 con la interfaz PN del acoplador PN/PN X2.
5. Para conexiones de comunicación bidireccionales, es decir, en las que cada CPU F debe
enviar y recibir datos, cambie a la vista de dispositivos del acoplador PN/PN X1. En la Task
Card "Hardware catalog (Catálogo de hardware)", con el filtro activado, seleccione los
siguientes módulos en "IN/OUT" e insértelos en la pestaña "Device overview (Vista general
de dispositivos)":
– un módulo "IN/OUT 6 bytes / 12 bytes" y
– un módulo "IN/OUT 12 bytes / 6 bytes"

6. En las propiedades de los módulos, asigne las direcciones fuera de la memoria imagen de
proceso de la siguiente manera:
Para el módulo "IN/OUT 6 bytes / 12 bytes" para enviar datos, p. ej.:
– direcciones de entrada: dirección inicial 518
– direcciones de salida: dirección inicial 518
Para el módulo "IN/OUT 12 bytes / 6 bytes" para recibir datos, p. ej.:
NOTA
Asegúrese de asignar direcciones iniciales idénticas a las áreas de direcciones de los datos
de entrada y los datos de salida.
Sugerencia: Anote las respectivas direcciones iniciales de las áreas de transferencia. Las
necesitará para programar los bloques SENDDP y RCVDP (entrada LADDR).
7. En la vista de dispositivos del acoplador PN/PN X2, en "IN/OUT", elija los siguientes
módulos e insértelos en la pestaña "Device overview (Vista general de dispositivos)":

Para el módulo "IN/OUT 12 bytes / 6 bytes" para recibir datos, p. ej.:
Para el módulo "IN/OUT 6 bytes / 12 bytes" para enviar datos, p. ej.:

9.1.2.2 Comunicación IO controller-IO controller orientada a la seguridad mediante

SENDDP y RCVDP
Comunicación mediante las instrucciones SENDDP y RCVDP
)&38 )&38
6(1''3 5&9'3
5&9'3 6(1''3
RULHQWDGRDODVHJXULGDG
$FRSODGRU3131 352),1(7,2
La comunicación orientada a la seguridad entre las CPU F de los IO controller se establece con
ayuda de las instrucciones SENDDP para el envío y RCVDP para la recepción. Con ellas se
puede transferir de manera segura un número fijo de datos de seguridad de los tipos INT o
BOOL.
Encontrará estas instrucciones en la Task Card "Instructions (Instrucciones)", en el apartado
"Comunicación". La instrucción RCVDP se debe llamar al principio del bloque Main-Safety. La
instrucción SENDDP se debe llamar al final del bloque Main-Safety.
Tenga en cuenta que las señales de envío solo se envían después de la llamada de la
instrucción SENDDP al final del procesamiento del correspondiente grupo de ejecución F.
Encontrará la descripción detallada de las instrucciones SENDDP y RCVDP en SENDDP y RCVDP:
Transmitir y recibir datos vía PROFIBUS DP/PROFINET IO (STEP 7 Safety V18) (Página 570).
9.1.2.3 Programación de la comunicación IO controller-IO controller orientada a la

seguridad
Requisitos para la programación

Las áreas de transferencia de los datos de entrada y salida para el acoplador PN/PN deben
estar configuradas.

La comunicación IO controller-IO controller orientada a la seguridad se programa de la
siguiente manera:
1. En el programa de seguridad desde el que deben enviarse datos, llame la
instrucción SENDDP (Página 570) de envío al final del bloque Main-Safety.
2. En el programa de seguridad en el que deben recibirse datos, llame la
instrucción RCVDP (Página 570) de recepción al principio del bloque Main-Safety.

3. Asigne a las respectivas entradas LADDR las direcciones iniciales de las áreas de
transferencia para los datos de entrada y salida del acoplador PN/PN que ha configurado
en el editor de hardware y redes.
Esta asignación debe realizarse para cada conexión de comunicación en todas las CPU F
implicadas.

4. Asigne a las entradas DP_DP_ID el valor del ID de comunicación F correspondiente. De este

modo se define la relación de comunicación de la instrucción SENDDP en una CPU F
respecto a la instrucción RCVDP en la otra CPU F: Las instrucciones asociadas entre sí
reciben el mismo valor de DP_DP_ID.
La siguiente figura muestra un ejemplo de definición de los ID de comunicación F en las
entradas de las instrucciones SENDDP y RCVDP para 5 relaciones de comunicación IO
controller-IO controller orientadas a la seguridad.
)&38 )&38
6(1''3'3B'3B,' 5&9'3'3B'3B,'
$FRSODGRU3131
5&9'3'3B'3B,' 6(1''3'3B'3B,'
6(1''3'3B'3B,' 5&9'3'3B'3B,'
5&9'3'3B'3B,'
$FRSODGRU3131
,2FRQWUROOHU
)&38
$FRSODGRU3131
3URJUDPDGHVHJXULGDG
5&9'3'3B'3B,'
6(1''3'3B'3B,'
6(1''3'3B'3B,'
ADVERTENCIA
El valor del correspondiente ID de comunicación F (entrada DP_DP_ID; tipo de datos: INT)

se puede elegir libremente, pero debe ser único en toda la red* y en toda la CPU en todo
momento para todas las conexiones de la comunicación orientada a la seguridad. La
Se deben proporcionar valores constantes a las entradas DP_DP_ID y LADDR al llamar la

* Una red consta de una o varias subredes. "En toda la red" significa más allá de los límites
de la subred. En PROFIBUS, una red abarca todos los dispositivos accesibles a través de
RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) y, en su caso, RT_Class_UDP (IP, Layer
3).
5. Proporcione las señales de envío a las entradas SD_BO_xx y SD_I_xx de SENDDP. Para
reducir el número de señales intermedias al transferir parámetros de bloque, también
tiene la posibilidad de escribir el valor directamente en el DB de instancia de SENDDP antes
llamar SENDDP mediante un acceso completo (p. ej., "Name SENDDP_1".SD_BO_02).
6. Proporcione a las salidas RD_BO_xx y RD_I_xx de RCVDP las señales que desea seguir
procesando en otras partes del programa o léalas desde estas directamente con un acceso
completo al DB de instancia correspondiente (p. ej., "Name RCVDP_1".RD_BO_02).
7. Proporcione a las entradas SUBBO_xx y SUBI_xx de RCVDP los valores sustitutivos que
deberá emitir RCVDP en lugar de los valores de proceso antes de establecer la
comunicación por primera vez después de arrancar el sistema F emisor y receptor o en
caso de error de la comunicación orientada a la seguridad .
– Especificación de valores sustitutivos constantes:
Para los datos del tipo INT, puede introducir los valores sustitutivos constantes
directamente como constantes en la entrada SUBI_xx (valor inicial = "0"). Si desea
especificar un valor sustitutivo constante "TRUE" para datos del tipo BOOL, proporcione
a la entrada SUBBO_xx (valor inicial = "FALSE") la variable "F_GOBDB".VKE1.
– Especificación de valores sustitutivos variables:
Si desea especificar valores sustitutivos variables, defina en un DB F una variable
calculada por el programa de seguridad y especifique el acceso completo a dicha
variable en la entrada SUBI_xx o SUBBO_xx.
ADVERTENCIA
Tener en cuenta lo siguiente: La lógica del programa para calcular valores sustitutivos
variables solo se puede insertar después de las llamadas RCVDP, dado que no está
permitido programar lógica antes de las llamadas RCVDP. Por ello, en el primer ciclo
tras un arranque del sistema F, los valores de arranque de los valores sustitutivos son
efectivos en todas las instrucciones RCVDP. Asignar por ello valores de arranque
apropiados para estas variables. (S017)
8. Parametrice las entradas TIMEOUT de las instrucciones RCVDP y SENDDP con el tiempo de
vigilancia deseado.
ADVERTENCIA
transmitir y que este se transmite al receptor si está presente durante al menos el tiempo
de vigilancia parametrizado. (S018)
Encontrará información para calcular los tiempos de vigilancia en Tiempos de vigilancia y

9. Opcionalmente: Evalúe la salida ACK_REQ de la instrucción RCVDP, p. ej., en el programa
de usuario estándar o en el sistema de manejo y visualización, a fin de consultar o mostrar
si se necesita acuse de usuario.

10. Proporcione a la entrada ACK_REI de la instrucción RCVDP la señal para el acuse de la

reintegración.
11. Opcionalmente: Evalúe la salida SUBS_ON de la instrucción RCVDP o SENDDP para
consultar si la instrucción RCVDP emite los valores sustitutivos parametrizados en las
entradas SUBBO_xx y SUBI_xx.
12. Opcionalmente: Evalúe la salida ERROR de la instrucción RCVDP o SENDDP, p. ej., en el
programa de usuario estándar o en el sistema de manejo y visualización, para consultar o
mostrar si se producido un error de comunicación.
13. Opcionalmente: Evalúe la salida SENDMODE de la instrucción RCVDP para consultar si la
CPU F con la correspondiente instrucción SENDDP está con el modo seguro desactivado
(Página 336).
9.1.2.4 Comunicación IO controller-IO controller orientada a la seguridad, límites de la

NOTA
Si la cantidad de datos que deben transferirse supera la capacidad de las instrucciones
SENDDP/RCVDP asociadas entre sí, puede emplearse una segunda (o tercera) llamada
SENDDP/RCVDP. Para ello, configure otra conexión de comunicación mediante el acoplador
PN/PN. Para ello puede emplear un solo acoplador PN/PN si el límite de capacidad del
acoplador PN/PN lo permite.

9.1.3 Comunicación maestro-maestro orientada a la seguridad
9.1.3.1 Configuración de la comunicación maestro-maestro orientada a la seguridad
Introducción
La comunicación orientada a la seguridad entre programas de seguridad de las CPU F de
maestros DP se establece mediante un acoplador DP/DP.
NOTA
En el interruptor DIL del acoplador DP/DP, cambie el indicador de validez de datos "DIA" en
"OFF". De lo contrario, no es posible la comunicación CPU-CPU orientada a la seguridad.

salida y un área de transferencia para los datos de entrada en el acoplador DP/DP. En la figura
bidireccional). Para cada una de las dos conexiones de comunicación debe configurarse en el
acoplador DP/DP un área de transferencia para los datos de salida y un área de transferencia
para los datos de entrada.
0DHVWUR'3 0DHVWUR'3
)&38 (GLWRUGHKDUGZDUH\ (GLWRUGHKDUGZDUH\ )&38

UHGHV UHGHV
'LU6 'LU(
/RQJE\WHV /RQJE\WHV
6(1''3/$''5 5&9'3/$''5
'LU( 'LU6
/RQJE\WHV /RQJE\WHV
'LU( 'LU6
/RQJE\WHV /RQJE\WHV
5&9'3/$''5 6(1''3/$''5
'LU6 'LU(
/RQJE\WHV /RQJE\WHV
$FRSODGRU'3'3

Para los datos que se deben enviar, el área de transferencia para los datos de entrada y el
área de transferencia para los datos de salida deben empezar con la misma dirección inicial.
Para el área de transferencia de datos de los entrada se necesitan 6 bytes (coherentes) y para
el área de transferencia de los datos de salida se necesitan 12 bytes (coherentes).

Para los datos que se deben recibir, el área de transferencia para los datos de entrada y el
área de transferencia para los datos de salida deben comenzar con la misma dirección inicial.

El procedimiento para configurar una comunicación maestro-maestro orientada a la
seguridad es idéntico al de la configuración en el programa estándar.
hardware)".
2. Cambie a la vista de redes del editor de hardware y redes.
3. En la Task Card "Hardware catalog (Catálogo de hardware)", área "Other field
devices\PROFIBUS DP\Gateways\Siemens AG\DP/DP Coupler (Otros dispositivos de
campo\PROFIBUS DP\Pasarela\Siemens AG\Acoplador DP/DP"), elija un acoplador DP/DP e
insértelo en la vista de redes del editor de hardware y redes.
4. Inserte un segundo acoplador DP/DP.
5. Conecte una interfaz DP de la CPU F 1 con la interfaz DP de un acoplador DP/DP y una
interfaz DP de la CPU F 2 con la interfaz DP del otro acoplador DP/DP.
6. En la vista de dispositivos se asigna automáticamente una dirección PROFIBUS libre en las

propiedades del acoplador DP/DP. Ajuste esta dirección en el acoplador DP/DP del PLC 1, ya
sea mediante los interruptores DIL del dispositivo o en la configuración del acoplador
DP/DP (ver manual del acoplador DP/DP
(http://support.automation.siemens.com/WW/view/es/1179382)).
7. Para las conexiones de comunicación bidireccionales, es decir, en las que cada CPU F debe
enviar y recibir datos, cambie a la vista de dispositivos del acoplador DP/DP para PLC1. En
la Task Card "Hardware catalog (Catálogo de hardware)", con el filtro activado, seleccione
los siguientes módulos e insértelos en la pestaña "Device overview (Vista general de
dispositivos)":
– un módulo "6 bytes E/12 bytes S coherentes" y
– un módulo "12 bytes E/6 bytes S coherentes"

Para el módulo "6 bytes E/12 bytes S coherentes", para enviar datos, p. ej.:
Para el módulo "12 bytes E/6 bytes S coherentes", para recibir datos, p. ej.:
NOTA
Asegúrese de asignar direcciones iniciales idénticas a las áreas de direcciones de los
datos de salida y entrada.
Sugerencia: Anote las respectivas direcciones iniciales de las áreas de transferencia.
Las necesitará para programar los bloques SENDDP y RCVDP (entrada LADDR).
9. En la vista de dispositivos del acoplador DP/DP PLC2 de la Task Card "Hardware catalog
(Catálogo de hardware)", con el filtro activado, selecciones los siguientes módulos e
insértelos en la pestaña "Device overview (Vista general de dispositivos)":
– un módulo "12 Bytes E/6 Bytes S coherentes" y

Para el módulo "12 bytes E/6 bytes S coherentes", para recibir datos, p. ej.:
Para el módulo "6 bytes E/12 bytes S coherentes", para enviar datos, p. ej.:

9.1.3.2 Comunicación maestro-maestro orientada a la seguridad mediante SENDDP y

RCVDP
0DHVWUR'3 0DHVWUR'3
)&38 )&38
6(1''3 5&9'3
5&9'3 6(1''3
$FRSODGRU'3'3 352),%86'3
La comunicación orientada a la seguridad entre las CPU F de los maestros DP se establece con
puede transferir de manera segura un número fijo de datos de seguridad de los tipos INT o
BOOL.
9.1.3.3 Programación de la comunicación maestro-maestro orientada a la seguridad

Las áreas de transferencia para datos de entrada y salida para el acoplador DP/DP deben estar
configuradas.

La comunicación maestro-maestro orientada a la seguridad se programa de la siguiente
manera:

3. Asigne a las respectivas entradas LADDR las direcciones iniciales de las áreas de
transferencia para datos de entrada y salida del acoplador DP/DP que ha configurado en el
editor de hardware y redes.
implicadas.


entradas de las instrucciones SENDDP y RCVDP para 5 relaciones de comunicación
maestro-maestro orientada a la seguridad.
0DHVWUR'3 0DHVWUR'3
)&38 )&38
6(1''3'3B'3B,' 5&9'3'3B'3B,'
$FRSODGRU'3'3
5&9'3'3B'3B,' 6(1''3'3B'3B,'
6(1''3'3B'3B,' 5&9'3'3B'3B,'
5&9'3'3B'3B,'
$FRSODGRU'3'3
0DHVWUR'3
)&38
$FRSODGRU'3'3
3URJUDPDGHVHJXULGDG
5&9'3'3B'3B,'
6(1''3'3B'3B,'
6(1''3'3B'3B,'
ADVERTENCIA

se puede elegir libremente, pero debe ser único en toda la red* y en toda la CPU en todo

3).
5. Proporcione las señales de envío a las entradas SD_BO_xx y SD_I_xx de SENDDP. Para
reducir el número de señales intermedias al transferir parámetros de bloque, también
tiene la posibilidad de escribir el valor directamente en el DB de instancia de SENDDP antes
llamar SENDDP mediante un acceso completo (p. ej., "Name SENDDP_1".SD_BO_02).
6. Proporcione a las salidas RD_BO_xx y RD_I_xx de RCVDP las señales que desea seguir
procesando en otras partes del programa o léalas desde estas directamente con un acceso
completo al DB de instancia correspondiente (p. ej., "nombre RCVDP_1".RD_BO_02).
7. Proporcione a las entradas SUBBO_xx y SUBI_xx de RCVDP los valores sustitutivos que
deberá emitir RCVDP en lugar de los valores de proceso antes de establecer la
comunicación por primera vez después de arrancar el sistema F emisor y receptor o en
caso de error de la comunicación orientada a la seguridad .
Para los datos del tipo INT, puede introducir los valores sustitutivos constantes
directamente como constantes en la entrada SUBI_xx (valor inicial = "0"). Si desea
especificar un valor sustitutivo constante para datos del tipo BOOL, proporcione a la
entrada SUBBO_xx (valor inicial = "FALSE") la variable "F_GLOBDB".VKE1.
calculada por el programa de seguridad y especifique el acceso completo a dicha
variable en la entrada SUBI_xx o SUBBO_xx.
ADVERTENCIA
vigilancia deseado.
ADVERTENCIA

de usuario estándar o en el sistema de manejo y visualización, para consultar o mostrar si
se necesita un acuse de usuario.


reintegración.
entradas SUBBO_xx y SUBI_xx.
mostrar si se ha producido un error de comunicación.
(Página 336).
9.1.3.4 Comunicación maestro-maestro orientada a la seguridad, límites de la

NOTA
DP/DP. Para ello puede emplearse un solo acoplador DP/DP si el límite de capacidad del
acoplador DP/DP lo permite.

9.1.4 Comunicación IO controller-I-device orientada a la seguridad
9.1.4.1 Configuración de la comunicación IO controller-I-device orientada a la seguridad
Introducción
IO controller y el/los programa(s) de seguridad de la(s) CPU F de uno o varios I-devices se
establece mediante conexiones IO controller-I-device (CD F), del mismo modo que en el
programa estándar mediante PROFINET IO.
Para la comunicación IO controller-I-device no se necesita hardware adicional.
La CPU F que se debe utilizar como I-device debe soportar el modo de operación "IO device".

Para cada conexión de la comunicación orientada a la seguridad entre dos CPU F deben
configurarse áreas de transferencia en el editor de hardware y redes. En la figura siguiente,
cada una de las dos CPU F debe poder enviar y recibir datos (comunicación bidireccional).
,2FRQWUROOHU ,GHYLFH
)&38 (GLWRUGHKDUGZDUH\ )&38
UHGHV
3URJUDPDGHVHJXULGDG 'LUHFFLµQLQLFLDOHQ 3URJUDPDGHVHJXULGDG

,2FRQWUROOHU
4
6(1''3/$''5 5&9'3/$''5
,GHYLFH
,
,GHYLFH
4
5&9'3/$''5 6(1''3/$''5
,2FRQWUROOHU
,
Al crear un área de transferencia, se le asigna un nombre que identifica la relación de

comunicación. P. ej.: "CD_F_PLC_2-PLC_1_1" para la primera conexión CD F entre el IO
controller CPU F 1 y el I-device CPU F 2.
Asigne las direcciones iniciales de las áreas de transferencia en los programas de seguridad a
la entrada LADDR de las instrucciones SENDDP y RCVDP.

El procedimiento para configurar una comunicación IO controller-I-device orientada a la
hardware)".
2. Active el modo de operación "IO device" para la CPU F 2 en las propiedades de la interfaz
PN y asigne esa interfaz PN a una interfaz PN de la CPU F 1.

3. Seleccione la interfaz PROFINET de la CPU F 2. En "Transfer areas (Áreas de transferencia)",

cree una conexión CD F (tipo "F-CD (CD F) ") para el envío al IO controller (←). La conexión
CD F está marcada en amarillo en la tabla y se muestran las áreas de direcciones asignadas
fuera de la memoria imagen de proceso en el I-device y en el IO controller.
Además se crea automáticamente una conexión de acuse para cada conexión CD F.
(Encontrará detalles sobre el área de transferencia más abajo).
4. Cree otra conexión CD F para la recepción desde el IO controller.
5. En el área de transferencia que acaba de crear, haga clic en la flecha para cambiar el
sentido de la transferencia a recepción desde el controlador IO (→).

9.1.4.2 Comunicación IO controller-I-device orientada a la seguridad mediante SENDDP y

RCVDP
)&38 )&38
6(1''3 5&9'3
5&9'3 6(1''3
352),1(7,2
La comunicación orientada a la seguridad entre la CPU F del IO controller y un I-device se
establece con ayuda de las instrucciones SENDDP para el envío y RCVDP para la recepción.
Con ellas se puede transferir de manera segura un número fijo de datos de seguridad de los
tipos INT o BOOL.
9.1.4.3 Programación de la comunicación IO controller-I-device orientada a la seguridad

Las áreas de transferencia deben estar configuradas.

Para programar la comunicación IO controller-I-device orientada a la seguridad, siga el mismo
procedimiento que para programar la comunicación IO controller-IO controller (ver
Programación de la comunicación IO controller-IO controller orientada a la seguridad (Página
197)).

Puede consultar la correspondencia entre las direcciones iniciales de las áreas de

transferencia y la entrada LADDR de las instrucciones SENDDP/RCVDP en la tabla siguiente:
Instrucción Dirección inicial LADDR

de la fila de la columna
SENDDP en el IO controller → Dirección en el IO controller
RCVDP en el IO controller ← Dirección en el IO controller
SENDDP en el I-device ← Dirección en el IO device
RCVDP en el I-device → Dirección en el IO device
controller-I-device orientadas a la seguridad.
)&38 )&38
6(1''3'3B'3B,' 5&9'3'3B'3B,'
5&9'3'3B'3B,' 6(1''3'3B'3B,'
6(1''3'3B'3B,'
,GHYLFH
5&9'3'3B'3B,'
)&38
3URJUDPDGHVHJXULGDG
5&9'3'3B'3B,'
6(1''3'3B'3B,'
ADVERTENCIA

puede elegir libremente, pero debe ser único en toda la red* y en toda la CPU en todo

ADVERTENCIA

9.1.4.4 Comunicación IO controller-I-device orientada a la seguridad, límites de la

Límites de la transferencia de datos

Si la cantidad de datos que debe transferirse supera la capacidad de las instrucciones
SENDDP/RCVDP asociadas entre sí, pueden usarse instrucciones SENDDP/RCVDP adicionales.
Para ello, configure otras áreas de transferencia. Al hacerlo, tenga en cuenta el límite máximo
de 1440 bytes de datos de entrada y 1440 bytes de datos de salida para la transferencia entre
un I-device y un controlador IO.
La tabla siguiente muestra cuántos datos de salida y datos de entrada se ocupan en las
conexiones de la comunicación orientada a la seguridad:
Comunicación Conexión de comunica Datos de entrada y datos de salida ocupados

orientada a la se ción en el IO controller en el I-device
guridad
Datos de sa Datos de en Datos de sa Datos de en
lida trada lida trada
IO controller-I-de Envío: 6 bytes 12 bytes 12 bytes 6 bytes
vice I-device 1 a IO controller
Recepción: 12 bytes 6 bytes 6 bytes 12 bytes
I-device 1 de IO contro
ller
Al calcular el límite máximo de 1440 bytes de datos de entrada y 1440 bytes de datos de
salida para la transferencia entre un I-device y un controlador IO, tenga en cuenta todas las
demás conexiones de la comunicación orientada a la seguridad y estándar configuradas
(áreas de transferencia del tipo: CD F y CD). Además también se ocupan datos para fines
internos, por lo que es posible que se alcance el límite máximo antes de lo esperado.
Si se rebasa el límite, se emite un mensaje de error.

9.1.5 Comunicación maestro-I-slave orientada a la seguridad
9.1.5.1 Configuración de la comunicación maestro-I-slave orientada a la seguridad
Introducción
maestro DP y el/los programa(s) de seguridad de la(s) CPU-F de uno o varios I-slaves se realiza
mediante conexiones maestro-I-slave (F-MS), del mismo modo que en el programa estándar.
Para la comunicación maestro-I-slave no se necesita acoplador DP/DP.

0DHVWUR'3 ,VODYH
UHGHV
'LUHFFLµQPDHVWUR4
6(1''3/$''5 5&9'3/$''5
'LUHFFLµQVODYH
'LUHFFLµQVODYH4
5&9'3/$''5 6(1''3/$''5
'LUHFFLµQPDHVWUR,

comunicación. P. ej.: "MS_F_PLC_2-PLC_1_1" para la primera conexión MS F entre el maestro
DP CPU F 1 y el I-Slave CPU F 2.

El procedimiento para configurar una comunicación maestro-I-slave orientada a la seguridad
es idéntico al de la configuración en el programa estándar.
hardware)".
2. Active el modo de operación "DP-Slave" (I-slave) para la CPU F 2 en las propiedades de la
interfaz DP y asigne esa interfaz DP a una interfaz DP de la CPU F 1.

3. Seleccione la interfaz PROFIBUS de la CPU F 2. En "Transfer areas (Áreas de transferencia)",

cree una conexión MS F (tipo "F-MS (MS F)") para el envío al maestro DP (←). La conexión
MS F está marcada en amarillo en la tabla y se muestran las áreas de transferencia
asignadas fuera de la memoria imagen de proceso en el I-slave y en el maestro DP.
Además se crea automáticamente una conexión de acuse para cada conexión MS F. (Ver
"Transfer area details (Detalles del área de transferencia)").
4. Cree otra conexión MS F para la recepción del maestro DP.
sentido de la transferencia a recepción del maestro DP (→).

9.1.5.2 Comunicación maestro-I-slave o I-slave-I-slave orientada a la seguridad mediante

SENDDP y RCVDP
0DHVWUR'3,VODYH ,VODYH
)&38 )&38
6(1''3 5&9'3
5&9'3 6(1''3
352),%86'3
La comunicación orientada a la seguridad entre la CPU F del maestro DP y un I-slave o entre
las CPU F de varios I-slaves se establece con ayuda de las instrucciones SENDDP para el envío
y RCVDP para la recepción. Con ellas se puede transferir de manera segura un número fijo de
datos de seguridad de los tipos INT o BOOL.
9.1.5.3 Programación de la comunicación maestro-I-slave o I-slave-I-slave orientada a la

seguridad
Requisitos

Para programar la comunicación maestro-I-slave o I-slave-I-slave orientada a la seguridad, siga
el mismo procedimiento que para programar la comunicación maestro-maestro orientada a la
seguridad (ver Programación de la comunicación maestro-maestro orientada a la seguridad
(Página 206)).



SENDDP en el maestro DP → Dirección del maestro
RCVDP en el maestro DP ← Dirección del maestro
SENDDP en el I-slave ← Dirección del slave
RCVDP en el I-slave → Dirección del slave


entradas de las instrucciones SENDDP y RCVDP para cuatro relaciones de comunicación
maestro-I-slave y dos I-slave-I-slave orientadas a la seguridad.
0DHVWUR'3 ,VODYH
)&38 )&38
6(1''3'3B'3B,' 5&9'3'3B'3B,'
5&9'3'3B'3B,' 6(1''3'3B'3B,'
6(1''3'3B'3B,' 5&9'3'3B'3B,'
5&9'3'3B'3B,' 6(1''3'3B'3B,'
,VODYH
)&38
3URJUDPDGHVHJXULGDG
5&9'3'3B'3B,'
6(1''3'3B'3B,'
5&9'3'3B'3B,'
&RPXQLFDFLµQPDHVWUR,VODYH
&RPXQLFDFLµQ,VODYH,VODYH 6(1''3'3B'3B,'
ADVERTENCIA

puede elegir libremente, pero debe ser único en toda la red* y en toda la CPU en todo

ADVERTENCIA

9.1.5.4 Comunicación maestro-I-slave o I-slave-I-slave orientada a la seguridad, límites de

la transferencia de datos

un I-slave y un maestro DP.
Comunicación Conexión de co Datos de entrada y datos de salida ocupados
orientada a la municación Maestro DP I-slave 1 I-slave 2
seguridad
Datos de sa Datos de en Datos de sa Datos de Datos de sali Datos de en
lida trada lida entrada da trada
Maestro-I-slave Envío: 6 bytes 12 bytes 12 bytes 6 bytes — —
I-slave 1 a maestro
DP
Recepción: 12 bytes 6 bytes 6 bytes 12 bytes — —
I-slave 1 de maes
tro DP
I-slave-I-slave Envío: — 18 bytes 12 bytes 6 bytes 6 bytes 12 bytes
I-slave 1 a I-slave 2
Recepción: — 18 bytes 6 bytes 12 bytes 12 bytes 6 bytes
I-slave 1 de
I-slave 2
Para el límite máximo de 244 bytes de datos de entrada y 244 bytes de datos de salida para la
transferencia entre un I-slave y un maestro DP, tenga en cuenta todas las demás conexiones
de la comunicación orientada a la seguridad y estándar configuradas (áreas de transferencia
del tipo: MS F, DX F, Mód DX F, MS, DX). Si se rebasa el límite máximo de 244 bytes de datos
de entrada y 244 bytes de datos de salida, aparecerá un mensaje de error.

9.1.6 Comunicación I-slave-I-slave orientada a la seguridad
9.1.6.1 Configuración de la comunicación I-slave-I-slave orientada a la seguridad
Introducción
La comunicación orientada a la seguridad entre los programas de seguridad de las CPU F de
I-slaves se establece, como en el programa estándar, mediante el intercambio directo de
datos (DX F).
Para la comunicación I-slave-I-slave no se necesita hardware adicional.
La comunicación I-slave-I-slave también es posible:
• si el maestro DP asignado es una CPU estándar que soporta el intercambio directo de datos
• si, en lugar de un maestro DP, está interconectado con los I-slaves un IO controller
mediante IE/PB-Link

Para cada conexión de la comunicación orientada a la seguridad entre dos I-slaves deben
cada uno de los dos I-slaves debe poder enviar y recibir datos (comunicación bidireccional).
,VODYH ,VODYH
)&38 (GLWRUGHKDUGZDUH\ (GLWRUGHKDUGZDUH\ )&38
UHGHV UHGHV
'LUHFFLµQGH
'LUHFFLµQGHVDOLGD HQWUDGD
4 ,
6(1''3/$''5 5&9'3/$''5
'LUHFFLµQGH
HQWUDGD 'LUHFFLµQGHVDOLGD
, 4
5&9'3/$''5 6(1''3/$''5

comunicación. P. ej.: "DX_F_PLC_2-PLC_1_1" para la primera conexión DX F entre la CPU F 1 y
la CPU F 2.



El procedimiento para configurar una comunicación I-slave-I-slave orientada a la seguridad es
idéntico al de la configuración en el programa estándar. Por lo tanto, haga lo siguiente:
1. Inserte tres CPU F en el proyecto desde la Task Card "Hardware catalog (Catálogo de
hardware)".
2. Active el modo de operación "DP-Slaves" (I-slave) para la CPU F 2 y la CPU F 3 en las
propiedades de sus interfaces DP y asigne esas interfaces DP a una interfaz DP de la CPU F
1.
3. Seleccione la interfaz DP de la CPU F 3 en la vista de redes.
4. Seleccione la pestaña "I/O communication (Comunicación E/S)".
5. En la vista de redes, arrastre la CPU F 2 a la pestaña "I/O communication (Comunicación
E/S)", columna "Partner 2 (Interlocutor 2)".
Al hacerlo, se creará una fila con el modo de operación "Direct data exchange
(Comunicación directa)" para el envío al I-slave (CPU F 2) (→).
6. Haga clic en la fila recién creada (→).

7. En "Transfer areas (Áreas de transferencia)" (tabla "Direct data exchange (Comunicación
directa)"), cree una conexión DX F (tipo "F-DX (DX F)") para el envío al I-slave (CPU F 2)
(→). La conexión DX F está marcada en amarillo en la tabla y se muestran las áreas de
transferencia asignadas fuera de la memoria imagen de proceso en los I-slaves (PLC_2 y
PLC_3).
Además, en la pestaña "I/O communication (Comunicación E/S)" se crea automáticamente
una fila con el modo de operación "Direct data exchange (Comunicación directa)" para la
recepción del I-slave (CPU F 2) (←) y en la correspondiente tabla "Direct data exchange
(Comunicación directa)" se crea automáticamente una conexión de acuse (→, área de
transferencia x_Ack).
En la tabla "I-Slave Communication (Comunicación I-slave)" de cada uno de los dos I-slaves
se crea un área de transferencia (tipo MS F) hacia la CPU maestra.

Con esto concluye la configuración para el envío a la CPU F 2.
8. En la pestaña "I/O communication (Comunicación E/S)", elija la fila creada

automáticamente con el modo de operación "Direct data exchange (Comunicación
directa)" para la recepción del I-slave (CPU F 2) (←).
9. En "Transfer areas (Áreas de transferencia)" (tabla "Direct data exchange (Comunicación
directa)"), cree otra conexión DX F para la recepción del I-slave (CPU F 3).
En este caso también se crean automáticamente una conexión de acuse en la tabla "Direct
data exchange (Comunicación directa)" (→, área de transferencia x_Ack) y 2 áreas de
transferencia hacia la CPU maestra en la tabla "I-Slave communication (Comunicación
I-slave)" de cada uno de los dos I-slaves (tipo MS F).

Con esto concluye la configuración para la recepción de la CPU F 2.
Modificación de las áreas de direcciones locales atenuadas de las áreas de transferencia

Para modificar el área de direcciones local atenuada del área de transferencia "Área de
transferencia x", debe modificarse la dirección inicial del área de direcciones de la
correspondiente conexión de acuse "Área de transferencia x_Ack".
1. En "I/O communication (Comunicación E/S)", elija la fila con la flecha que señala en la
misma dirección que la flecha del área de transferencia "Área de transferencia x" de la
tabla "Direct data exchange (Comunicación directa)".
2. A continuación, seleccione la fila con "Área de transferencia x_Ack" en la tabla "Direct data
exchange (Comunicación directa)".
3. Modifique allí la dirección inicial del área de direcciones.
9.1.6.2 Comunicación I-slave-I-slave orientada a la seguridad mediante SENDDP y RCVDP
Referencia
Encontrará la descripción de la comunicación a través de SENDDP y RCVDP para la
comunicación I-slave-I-slave orientada a la seguridad en SENDDP y RCVDP: Transmitir y recibir
datos vía PROFIBUS DP/PROFINET IO (STEP 7 Safety V18) (Página 570).

9.1.6.3 Programación de la comunicación I-slave-I-slave orientada a la seguridad
Referencia
Encontrará la descripción de la programación de la comunicación I-slave-I-slave orientada a la
seguridad en Programación de la comunicación maestro-I-slave o I-slave-I-slave orientada a la
seguridad (Página 219).

SENDDP en el primer I-slave → Dirección en el <primer I-slave>
(en el ej., columna "Dirección en
el PLC_2")
RCVDP en el primer I-slave ← Dirección en el <primer I-slave>
el PLC_2")
SENDDP en el segundo I-slave ← Dirección en el <segundo I-sla
ve>
el PLC_3")
RCVDP en el segundo I-slave → Dirección en el <segundo I-sla
ve>
el PLC_3")
9.1.6.4 Comunicación I-slave-I-slave orientada a la seguridad, límites de la transferencia

de datos

Encontrará la descripción de los límites para la transferencia de datos para la comunicación
I-slave-I-slave orientada a la seguridad en Comunicación maestro-I-slave o I-slave-I-slave
orientada a la seguridad, límites de la transferencia de datos (Página 222).

9.1.7 Comunicación I-slave-slave orientada a la seguridad
9.1.7.1 Configuración de la comunicación I-slave-slave orientada a la seguridad
Introducción
I-slave y la periferia F en un DP slave se establece, como en el programa estándar, mediante el
intercambio directo de datos (Mód DX (F)).
Para la comunicación I-slave-slave no se necesita hardware adicional.
La comunicación I-slave-slave también es posible:
• si el maestro DP asignado es una CPU estándar, a condición de que la CPU estándar
soporte el intercambio directo de datos
• si, en lugar de un maestro DP, está interconectado con los I-slaves un IO controller
mediante IE/PB-Link
Al configurar una periferia F, para cada periferia F se crea automáticamente en el editor de
hardware y redes un DB de periferia F que permitirá el acceso a la periferia F mediante la
comunicación I-slave-slave orientada a la seguridad. El DB de periferia F se crea en primer
lugar en el programa de seguridad del maestro DP si este es una CPU F con activación F. El DB
de periferia F no se crea en el programa de seguridad del I-slave y se borra en el programa de
seguridad del maestro DP hasta que se configura la conexión Mód DX F.
El I-slave accede a los canales de la periferia F en el programa de seguridad de la CPU F
mediante la memoria imagen de proceso, como se describe en Comunicación I-slave-slave
orientada a la seguridad, acceso a la periferia F (Página 234).
Limitaciones
NOTA
La comunicación I-slave-slave orientada a la seguridad se puede establecer con la periferia F
en un DP slave que soporte la comunicación I-slave-slave orientada a la seguridad, p. ej., con
todos los módulos F ET 200SP con IM 155-6 DP HF, firmware >V3.1, con todos los módulos F
ET 200S con IM 151-1 HF, con todos los módulos de señales de seguridad S7-300 con IM
153-2, a partir de la referencia 6ES7153‑2BA01‑0XB0, firmware >V4.0.0.
NOTA
Para la comunicación I-slave-slave orientada a la seguridad, asegúrese de que la CPU del
maestro DP haya arrancado antes que la CPU F del I-slave.
De lo contrario, dependiendo del tiempo de vigilancia F ajustado para la periferia F, el sistema
F puede detectar un error en la comunicación orientada a la seguridad (error de
comunicación) entre la CPU F y la periferia F asignada al I-slave. Es decir, tras un arranque del
sistema F, la periferia F no se reintegra automáticamente, sino solo después de un acuse de
usuario con flanco positivo en la variable ACK_REI del DB de periferia F (ver también Después
de errores de comunicación (Página 169) y Después de arrancar el sistema F (Página 167)).


Para cada conexión de la comunicación orientada a la seguridad entre un I-slave y un slave
deben configurarse áreas de transferencia en el editor de hardware y redes.
comunicación. P. ej.: "DX_F-Mod_PLC_2-PLC_1_1" para la primera conexión Mód DX F entre
CPU F 1 y CPU F 2.
,VODYH 6ODYH
(GLWRUGHKDUGZDUH\ ,0 30 )', )'2 30 $UUDQFDGRUHVGH
0µGXORGHFLHUUH
)&38 UHGHV +,*+)($785( ' PRWRU
3URJUDPD 0,3( 'LUHFFLµQ

GHVHJXUL GHHQWUDGD
GDG (
'LUHFFLµQ
GHHQWUDGD
0,36 6
Procedimiento para la configuración en el caso de una ET 200S con módulos F en el slave

El procedimiento para configurar una comunicación I-slave-slave orientada a la seguridad es
idéntico al de la configuración en el programa estándar.
hardware)".
2. Inserte un DP slave adecuado, p. ej., IM 151‑1 HF, referencia 6ES7151‑1BA0... de la Task
Card "Hardware catalog (Catálogo de hardware)" en la vista de redes del editor de
hardware y redes.
3. Inserte un Power Module, un módulo 4/8 F-DI y un módulo 4 F-DO en la vista de
dispositivos de la ET 200S.
4. Active el modo de operación "DP-Slave" (I-slave) para la CPU F 2 en las propiedades de la
interfaz DP y asigne dicha interfaz a la CPU F 1.
5. Asigne la interfaz DP del IM 151‑1 HF al maestro DP (CPU F 1).
6. Seleccione la interfaz DP de la CPU F 2 (I-slave) en la vista de redes.
7. Seleccione la pestaña "I/O communication (Comunicación E/S)".

8. En la vista de redes, arrastre la ET 200S a la pestaña "I/O communication (Comunicación

E/S)", columna "Partner 2 (Interlocutor 2)".
9. Haga clic en la fila recién creada (←).

10. En "Transfer areas (Áreas de transferencia)", cree una conexión Mód DX F (tipo "Mód DX
F"). La conexión Mód DX F está marcada en amarillo en la tabla. Se muestran las
direcciones del "Partner module (Módulo interlocutor)" 4/8 F-DI en el I-slave (PLC_2). Si es
necesario, puede modificar las direcciones directamente en la tabla.
Con esto concluye la configuración para el módulo 4/8 F-DI.
11. Cree otra conexión Mód DX F en "Transfer areas (Áreas de transferencia)".

12. Cambie el módulo interlocutor al módulo 4 F-DO, ya sea directamente en la tabla "Transfer
areas (Áreas de transferencia)" o en los datos del área de transferencia 2, si no se ha
seleccionado todavía el módulo 4 F-DO.
Con esto concluye la configuración para el módulo 4 F-DO.

En la tabla "I-Slave communication (Comunicación I-slave)" del I-slave se crea

automáticamente un área de transferencia (tipo MS F) hacia la CPU maestra para cada
conexión Mód DX F.
Modificación de la configuración de la comunicación I-slave-slave
ADVERTENCIA
Si se ha agregado o borrado una comunicación I-slave-slave para una periferia F, es preciso

compilar y cargar tanto la configuración hardware del maestro DP como la configuración
hardware del I-slave.
La "Collective F-signature (Firma colectiva F)" en la CPU F del I-slave y la "Collective
F-signature (Firma colectiva F)" en la CPU F del maestro DP (si también existe allí un
programa de seguridad) están ajustadas "0". El o los programas de seguridad se deben
compilar de nuevo. (S019)

9.1.7.2 Comunicación I-slave-slave orientada a la seguridad, acceso a la periferia F
Acceso mediante la memoria imagen de proceso

En la comunicación I-slave-slave orientada a la seguridad se accede desde el programa de
seguridad de la CPU F del I-slave a la periferia F mediante la memoria imagen de proceso
(MIPE o MIPS). Esto corresponde al acceso de periferia F a la periferia F asignada directamente
a un I-slave o maestro DP. En el I-slave se accede a la periferia F con las direcciones
especificadas en "Transfer areas (Áreas de transferencia)" (tabla "Direct data exchange
(Comunicación directa)") para la conexión Mód DX F.
Al hacerlo, ignore el área de operandos que se muestra. Acceda a la periferia F con entradas a
través de la MIPE y a la periferia F con salidas a través de la MIPS.
Encontrará información sobre el acceso a la periferia en Acceso a la periferia F (Página 150).
9.1.7.3 Comunicación I-slave-slave orientada a la seguridad, límites de la transferencia de

datos

Tenga en cuenta el límite máximo de 244 bytes de datos de entrada y 244 bytes de datos de
salida para la transferencia entre un I-slave y un maestro DP.
La tabla siguiente muestra cuántos datos de salida y datos de entrada se ocupan en una
conexión de la comunicación orientada a la seguridad en el caso de una ET 200S 4/8 F-DI y un
4 F-DO:
Comunicación Conexión de comunicación Datos de entrada y datos de salida ocupa

orientada a la se dos*
guridad entre I-slave y maestro DP
Datos de salida en Datos de entrada en
el I-slave el I-slave
I-slave-slave Comunicación I-slave-slave con 4 bytes 6 bytes
4/8 F-DI
Comunicación I-slave-slave con 5 bytes 5 bytes
4 F-DO
* Ejemplo de ET 200S 4/8 F-DI y 4 F-DO
Con el límite máximo de 244 bytes de datos de entrada y 244 bytes de datos de salida para la
de la comunicación orientada a la seguridad y estándar configuradas (enlaces MS F, DX F,
Mód DX F, MS y DX). Si se rebasa el límite máximo de 244 bytes de datos de entrada y
244 bytes de datos de salida, aparecerá un mensaje de error.

9.1.8 Comunicación IO controller-I-slave orientada a la seguridad
Introducción
IO controller y el/los programa(s) de seguridad de la(s) CPU F de uno o varios I-slaves se
establece mediante conexiones maestro-I-slave (MS F), del mismo modo que en el programa
estándar.
IE/PB‑Link
Para la comunicación IO controller-I-slave orientada a la seguridad, el IE/PB-Link es
estrictamente obligatorio. Cada una de las dos CPU F está conectada al IE/PB-Link mediante su
interfaz PROFIBUS DP o PROFINET.
NOTA
El uso de un IE/PB-Link debe tenerse en cuenta al configurar los tiempos de vigilancia F
específicos y al calcular el máximo tiempo de reacción de su sistema F (ver también Tiempos
de vigilancia y tiempos de reacción (Página 586)).
Tenga en cuenta que el archivo Excel para calcular los tiempos de reacción
(https://support.industry.siemens.com/cs/ww/es/view/109783831) para CPU F S7-300/400 no
soporta todas las configuraciones teóricamente posibles.
Referencia
Por lo demás, puede aplicarse, con los cambios necesarios, la información sobre la
comunicación maestro-I-slave orientada a la seguridad que figura en Comunicación
maestro-I-slave orientada a la seguridad (Página 216).

9.1.9 Comunicación orientada a la seguridad mediante conexiones S7
9.1.9.1 Configuración de la comunicación orientada a la seguridad mediante conexiones

S7
Introducción
La comunicación orientada a la seguridad entre los programas de seguridad de CPU F
mediante conexiones S7 se establece, del mismo modo que en el programa estándar,
mediante conexiones S7 configuradas que se crean en la vista de redes del editor de
hardware y redes.
Limitaciones
NOTA
En SIMATIC Safety, de manera general, solo están permitidas las conexiones S7 mediante
Industrial Ethernet.
La comunicación orientada a la seguridad mediante conexiones S7 es posible desde y hasta:
• CPU F S7-300 mediante la interfaz PROFINET integrada
• CPU F S7-400 mediante la interfaz PROFINET integrada o un CP 443-1 o CP 443-1
Advanced-IT
Creación de conexiones S7
Para cada conexión de comunicación entre dos CPU F debe crearse una conexión S7 en la
vista de redes del editor de hardware y redes.

Para cada punto final de una conexión se especifica automáticamente un ID local y un ID de

interlocutor desde el punto de vista del punto final (de la CPU F). Si lo desea, puede modificar
los dos ID en la pestaña "Connections (Conexiones)". El ID local se asigna a la entrada "ID" de
las instrucciones SENDS7 y RCVS7 en los programas de seguridad.
Procedimiento para configurar las conexiones S7

Las conexiones S7 para la comunicación CPU-CPU orientada a la seguridad se configuran del
modo habitual en STEP 7 Professional (ver la Ayuda de STEP 7 Professional, "Conexiones S7").
9.1.9.2 Comunicación mediante SENDS7, RCVS7 y DB de comunicación F
Comunicación mediante las instrucciones SENDS7 y RCVS7.
&38)SHM&38)31'3 &38)SHM&38)'3 &3

$GYDQFHG,7
6(1'6 5&96
'%FRP) '%FRP)
'DWRVGHHQY¯R 'DWRVGHUHFHSFLµQ
5&96 6(1'6
'%FRP) '%FRP)
'DWRVGHUHFHSFLµQ 'DWRVGHHQY¯R
,QGXVWULDO(WKHUQHW
Las instrucciones SENDS7 y RCVS7 se utilizar para el envío y la recepción seguras de datos
mediante conexiones S7.

Estas instrucciones permiten transferir de manera segura un número de datos de seguridad

definido por el usuario de los tipos BOOL, INT, WORD, DINT, DWORD y TIME. Los datos de
seguridad se guardan en DB F (DB de comunicación F) creado por el usuario.
"Comunicación". La instrucción RCVS7 se debe llamar al principio del bloque Main-Safety. La
instrucción SENDS7 se debe llamar al final del bloque Main-Safety.
Tenga en cuenta que las señales de envío no se envían hasta después de llamar la instrucción
SENDS7 al final del procesamiento del correspondiente grupo de ejecución F.
Encontrará la descripción detallada de las instrucciones SENDS7 y RCVS7 en SENDS7 y RCVS7:
Comunicación a través de conexiones S7 (STEP 7 Safety Advanced V18) (S7-300,
S7-400) (Página 579).
DB de comunicación F
De cada conexión de comunicación se guardan los datos de envío en un DB F (DBx de
comunicación F) y los datos de recepción en un DB F (DBy de comunicación F).
Los números de los DB de comunicación F se parametrizan en las instrucciones SENDS7 o
RCVS7.
9.1.9.3 Programación de la comunicación orientada a la seguridad mediante conexiones

S7
Introducción
A continuación se describe la programación de la comunicación CPU-CPU orientada a la
seguridad mediante conexiones S7. En los programas de seguridad de las CPU F implicadas
puede hacer lo siguiente:
• Crear DB F (DB de comunicación F) para guardar los datos de envío/de recepción para la
comunicación.
• Llamar y parametrizar en el programa de seguridad instrucciones de la Task Card
"Instructions (Instrucciones)" para la comunicación.

Las conexiones S7 entre las CPU F implicadas deben estar configuradas en la vista de redes en
la pestaña "Connections (Conexiones)" del editor de hardware y redes.

Creación y edición de los DB de comunicación F

Los DB de comunicación F son DB F que se crean y editan en el árbol del proyecto igual que
cualquier otro DB F. Los números de los DB de comunicación F se parametrizan en las
instrucciones SENDS7 o RCVS7.
NOTA
La longitud y la estructura del DB de comunicación F del lado receptor deben coincidir con la
longitud y la estructura del DB de comunicación F correspondiente del lado emisor.
Si los DB de comunicación F no coinciden entre sí, la CPU F puede pasar a STOP. En el búfer
de diagnóstico de la CPU F se introduce un evento de diagnóstico.
Por ello recomendamos el siguiente procedimiento:
1. Cree un DB de comunicación F en el árbol del proyecto dentro o debajo de la carpeta
"Program blocks (Bloques de programa)" de la CPU F del lado emisor.
2. Cree la estructura del DB de comunicación F de acuerdo con los datos que deben
transferirse.
3. Copie este DB de comunicación F al árbol del proyecto dentro o debajo de la carpeta
"Program blocks (Bloques de programa)" de la CPU F del lado receptor y, si es necesario,
cambie el nombre.
Otros requisitos para los DB de comunicación F

Los DB de comunicación F deben cumplir además las siguientes condiciones:
• No deben ser DB de instancia.
• Su longitud no debe exceder los 100 bytes.
• En los DB de comunicación F solo deben declararse los tipos de datos BOOL, INT, WORD,
DINT, DWORD y TIME.
• Los tipos de datos deben disponerse en bloques y en el siguiente orden: BOOL, tipos de
datos de 16 bits de longitud (INT, WORD) y tipos de datos de 32 bits de longitud (DINT,
DWORD y TIME). En los bloques de datos de 16 bits y 32 bits, los tipos de datos pueden
estar en cualquier orden.
• No deben declararse más de 128 datos del tipo BOOL.
• El número de datos del tipo BOOL debe ser siempre múltiplo entero de 16 (límite de
palabra). Si es necesario, deben agregarse datos de reserva.
Si no se cumplen las propiedades mencionadas, STEP 7 Safety Advanced emitirá un mensaje
de error al compilar.
Asignación de valores sustitutivos

El lado receptor proporciona valores sustitutivos:
• cuando se establece por primera vez la conexión entre los interlocutores de comunicación
tras el arranque de los sistemas F.
• cuando se produce un error de comunicación.
Los valores sustitutivos proporcionados son los valores especificados como valores iniciales
en el DB de comunicación F del lado receptor.


Para programar la comunicación orientada a la seguridad mediante conexiones S7, haga lo
siguiente:
1. Proporcione las señales de envío a las variables del DB de comunicación F del lado emisor
mediante un acceso completo (p. ej., "nombre del DB de comunicación F".nombre de la
variable).
2. Lea mediante un acceso completo (p. ej., "nombre del DB de comunicación F".nombre de
la variable) las variables del DB de comunicación F del lado receptor (señales recibidas)
que desee procesar en otras partes del programa.
3. En el programa de seguridad desde el que deben enviarse datos, llame la instrucción
SENDS7 de envío al final del bloque Main-Safety.
4. En el programa de seguridad en el que deben recibirse datos, llame la instrucción RCVS7
de recepción al principio del bloque Main-Safety.
5. Asigne los números de DB de comunicación F correspondientes a las correspondientes
entradas SEND_DB de SENDS7 y RCV_DB de RCVS7.
6. Asigne a la entrada ID de SENDS7 el ID de la conexión S7 local desde el punto de vista de
la CPU F configurado en la vista de redes en la pestaña "Connections (Conexiones)" (tipo
de datos: WORD).
7. Asigne a la entrada ID de RCVS7 el ID de la conexión S7 local configurado en la vista de
redes en la pestaña "Connections (Conexiones)" (tipo de datos: WORD).
8. Asigne a las entradas R_ID de SENDS7 y RCVS7 un número impar (tipo de datos: DWORD).
De este modo se establece el vínculo entre una instrucción SENDS7 y una instrucción
RCVS7. Las instrucciones vinculadas reciben el mismo valor para R_ID.
&38)31'3 &38)'3
6(1'6 6(1'B'% 5&96 5&9B'%

,' : ,' :
5B,' ': 5B,' ':
5&96 5&9B'% 6(1'6 6(1'B'%

,' : ,' :
5B,' ':% 5B,' ':%
ADVERTENCIA
El valor del correspondiente ID de comunicación F (entrada R_ID; tipo de datos: DWORD)

se puede elegir libremente, pero debe ser impar y único en toda la red* y en toda la CPU
para todas las conexiones de comunicación orientadas a la seguridad. El valor R_ID + 1 se
asigna internamente y no se puede utilizar.
Se deben proporcionar valores constantes a las entradas ID y R_ID al llamar la instrucción.
El programa de seguridad no admite accesos directos de lectura ni de escritura al DB de
instancia asociado. (S020)

3).
9. Parametrice las entradas TIMEOUT de las instrucciones SENDS7 y RCVS7 con el tiempo de
vigilancia deseado.
ADVERTENCIA

10. En la entrada EN_SEND de la instrucción SENDS7, puede desconectarse temporalmente la
comunicación entre las CPU F para reducir la carga del bus proporcionando el valor 0 a la
entrada EN_SEND (valor inicial = "TRUE"). En tal caso, ya no podrán enviarse más datos de
envío al DB de comunicación F de la respectiva instrucción RCVS7 y, durante este tiempo,
el receptor RCVS7 proporcionará los valores sustitutivos (valores iniciales en su DB de
comunicación F). Si ya se había establecido la comunicación entre los interlocutores, se
detecta un error de comunicación.
11. Opcionalmente: Evalúe la salida ACK_REQ de RCVS7, p. ej., en el programa de usuario
estándar o en el sistema de manejo y visualización, para consultar o mostrar si se necesita
un acuse de usuario.
12. Proporcione a la entrada ACK_REI de RCVS7 la señal para el acuse de reintegración.
13. Opcionalmente: Evalúe la salida SUBS_ON de RCVS7 o de SENDS7 para consultar si la

instrucción RCVS7 emite los valores sustitutivos especificados como valores iniciales en el
DB de comunicación F.
14. Opcionalmente: Evalúe la salida ERROR de RCVS7 o de SENDS7, p. ej., en el programa de
usuario estándar o en el sistema de manejo y visualización, para consultar o mostrar si se
ha producido un error de comunicación.
15. Opcionalmente: Evalúe la salida SENDMODE de RCVS7 para consultar si la CPU F con la
correspondiente instrucción SENDS7 está con el modo seguro desactivado (Página 336).
Particularidades de los proyectos migrados

Si se ha migrado un proyecto de S7 Distributed Safety V5.4 SP5 a STEP 7 Safety Advanced y
en el proyecto se ha programado comunicación orientada a la seguridad mediante
conexiones S7, debe tenerse en cuenta lo siguiente:
• No borre DB de instancia migrados de las instrucciones SENDS7 o RCVS7 en la carpeta
"STEP 7 Safety" del árbol del proyecto, en "Program blocks (Bloques de programa) >
System blocks (Bloques de sistema)".
De lo contrario pueden producirse errores de comunicación en las conexiones de
comunicación implicadas.

Un DB de instancia migrado de las instrucciones SENDS7 o RCVS7 se habrá borrado si el "ID

personalizado" difiere de "FRCVS7CL" o "FSNDS7CL" en el nuevo DB de instancia tras compilar
el programa de seguridad.
Encontrará los "ID personalizados" de un bloque en el área "Información" de sus propiedades.
9.1.9.4 Comunicación orientada a la seguridad mediante conexiones S7, límites de la

NOTA
Si el volumen de datos que debe transferirse supera la longitud admisible para el DB de
comunicación F (100 bytes), puede crear otro DB de comunicación F y transferirlo a
instrucciones SENDS7/RCVS7 adicionales con el R_ID modificado.
Tenga en cuenta que con cada llamada de la instrucción SENDS7 o RCVS7 se llaman a su vez
internamente las instrucciones USEND y URCV, que consumen recursos de conexión en la CPU
F. Esto repercute en el número máximo posible de conexiones de comunicación (ver los
manuales de las CPU F).
Encontrará más información sobre los límites de la transferencia de datos con conexiones S7
de las distintas CPU F en Internet
(http://support.automation.siemens.com/WW/view/en/38549114).
9.1.10 Comunicación orientada a la seguridad con otros sistemas F S7
9.1.10.1 Introducción
La comunicación orientada a la seguridad entre CPU F en SIMATIC Safety y CPU F en sistemas

F S7 Distributed Safety es posible en forma de comunicación IO controller-IO controller o
maestro-maestro, o bien mediante conexiones S7 configuradas, y requiere el uso de un
acoplador PN/PN o un acoplador DP/DP situado entre las dos CPU F.
F S7 F/FH Systems es posible mediante conexiones S7 configuradas.

9.1.10.2 Comunicación con S7 Distributed Safety mediante acoplador PN/PN (comunicación

IO controller-IO controller)
La comunicación se establece entre instrucciones SENDDP/RCVDP en el lado de STEP 7

Safety Advanced y bloques de aplicación F F_SENDDP/F_RCVDP en el lado de S7 Distributed
Safety:
)&38 )&38
67(36DIHW\$GYDQFHG 6'LVWULEXWHG6DIHW\
6(1''3 )B5&9'3
5&9'3 )B6(1''3
$FRSODGRU3131 352),1(7,2
Procedimiento en el lado de S7 Distributed Safety

En el lado de S7 Distributed Safety, siga el procedimiento descrito en el manual "S7 Distribu
ted Safety - Configuring and Programming
(http://support.automation.siemens.com/WW/view/en/22099875)", capítulo "Safety-Related
IO Controller-IO Controller Communication".
Procedimiento en el lado de STEP 7 Safety Advanced

En el lado de STEP 7 Safety Advanced, siga los pasos descritos en Comunicación IO
controller-IO controller orientada a la seguridad (Página 192).

9.1.10.3 Comunicación con S7 Distributed Safety mediante acoplador DP/DP (comunicación

maestro-maestro)
La comunicación se establece entre instrucciones SENDDP/RCVDP en el lado de STEP 7

Safety Advanced y bloques de aplicación F F_SENDDP/F_RCVDP en el lado de S7 Distributed
Safety:
0DHVWUR'3 0DHVWUR'3
)&38 )&38
6(1''3 )B5&9'3
5&9'3 )B6(1''3
$FRSODGRU'3'3 352),%86'3

Master-Master Communication".

En el lado de STEP 7 Safety Advanced, siga los pasos descritos en Comunicación maestro-
maestro orientada a la seguridad (Página 201).

9.1.10.4 Comunicación con S7 Distributed Safety mediante conexiones S7
La comunicación se establece entre instrucciones SENDS7/RCVS7 en el lado de STEP 7

Safety Advanced y bloques de aplicación F F_SENDS7/F_RCVS7 en el lado de S7 Distributed
Safety:
&38)SHM&38)31'3 &38)SHM&38)'3 &3

$GYDQFHG,7
5&96 )B6(1'6
'%FRP)'DWRV '%FRP)'DWRV
GHUHFHSFLµQ GHHQY¯R
6(1'6 )B5&96
'%FRP)'DWRVGH '%FRP)'DWRV
HQY¯R GHUHFHSFLµQ
,QGXVWULDO(WKHUQHW

En el lado de S7 Distributed Safety, siga el procedimiento descrito en el manual S7 Distributed
Safety - Configuring and Programming
(http://support.automation.siemens.com/WW/view/en/22099875), capítulo "Safety-Related
Communication via S7 Connections".
Dado que en S7 Distributed Safety no es posible la comunicación orientada a la seguridad
mediante conexiones S7 con interlocutores no especificados, en primer lugar se debe crear
en S7 Distributed Safety una estación SIMATIC "virtual" y configurar en ella una CPU F que
represente la CPU F de STEP 7 Safety Advanced con su dirección IP.
A continuación, inserte una conexión S7 con esa CPU F en la tabla de conexiones. Al hacerlo
se especificarán valores fijos para el recurso de conexión local y del interlocutor (hex). Estos
valores deben ajustarse después en la correspondiente conexión S7 no especificada, que
debe crearse en STEP 7 Professional.
Además, para todas las conexiones de comunicación con esa CPU F, en el programa de
usuario estándar, justo antes de la llamada del F-CALL, debe transferirse adicionalmente a la
variable CRC_IMP en el DB de instancia de F_SENDS7 o F_RCVS7, el ID de comunicación F que
se ha asignado en la entrada R_ID de las correspondientes llamadas de los bloques de
aplicación F F_SENDS7 o F_RCVS7.

Ejemplo de programa:
6HJPHQWRFRPXQLFDFLµQFRQ67(36DIHW\$GYDQFHG5B,'!&5&B,03
029(
)B5&96B
(1 287 '%&5&B,03
': ,1 (12
029(
)B6(1'6B
(1 287 '%&5&B,03
': ,1 (12

En el lado de STEP 7 Safety Advanced, siga los pasos descritos en Comunicación orientada a la
seguridad mediante conexiones S7 (Página 236).
Debe crearse y especificarse en S7 Distributed Safety una conexión S7 no especificada con la
CPU F. Encontrará información al respecto en la Ayuda de STEP 7 en "Crear conexión no
especificada" o "Especificar conexión no especificada".
Para esta conexión debe ajustar el recurso de conexión local y el del interlocutor (hex)
especificados de forma fija por la conexión S7 que ha creado en S7 Distributed Safety.
Si el recurso de conexión local (hex) ya está ocupado por una conexión existente, modifique
el recurso de conexión (hex) correspondiente a esta.
Si los DB de instancia de las instrucciones SENDS7 o RCVS7, con los que desea establecer la
comunicación con S7 Distributed Safety se han migrado de S7 Distributed Safety, deberá
borrarlos del árbol del proyecto, carpeta "STEP 7 Safety", opción Program blocks (Bloques de
programa) > System blocks (Bloques de sistema), a diferencia de lo indicado en el capítulo
Programación de la comunicación orientada a la seguridad mediante conexiones S7 (Página
239), apartado "Particularidades de los proyectos migrados".

9.1.10.5 Comunicación con S7 F/FH Systems mediante conexiones S7
La comunicación se establece entre instrucciones SENDS7/RCVS7 en el lado de STEP 7

Safety Advanced y bloques F F_SDS_BO/F_RDS_BO en el lado de S7 F Systems.
Pueden intercambiarse como máximo 32 datos del tipo de datos BOOL.
&38)SHM&38)31'3 &38)SHM&38+ &3
67(36DIHW\$GYDQFHG 6)6\VWHPV
5&96 )B6'6B%2
'%FRP)'DWRV
GHUHFHSFLµQ
6(1'6 )B5'6B%2
'%FRP)
'DWRVGHHQY¯R
,QGXVWULDO(WKHUQHW
Procedimiento en el lado de S7 F Systems

En el lado de S7 F Systems , siga el procedimiento descrito en el manual "S7 F/FH Systems -
Configuring and Programming
CPU-to-CPU Communication".
Dado que en S7 F/FH Systems no es posible la comunicación orientada a la seguridad
mediante conexiones S7 con interlocutores no especificados, en primer lugar se debe crear
en S7 F/FH Systems una estación SIMATIC "virtual" y configurar en ella una CPU F que
represente la CPU F de STEP 7 Safety Advanced con su dirección IP.
A continuación, inserte una conexión S7 con esa CPU F en la tabla de conexiones. Al hacerlo
se especificarán valores fijos para el recurso de conexión local y del interlocutor (hex). Estos
valores deben ajustarse después en la correspondiente conexión S7 no especificada, que
debe crearse en STEP 7 Safety Advanced.
Además, para todas las conexiones de comunicación con esa CPU F, en el programa S7 (en el
área reservada en CFC para otras aplicaciones), debe insertarse una función en la que se
transfiera adicionalmente a la variable CRC_IMP en el DB de instancia de F_SDS_BO o
F_RDS_BO, el ID de comunicación F que se ha asignado en la entrada R_ID de las
correspondientes llamadas de los bloques de aplicación F F_SDS_BO o F_RDS_BO. El número
del DB de instancia figura en las propiedades de objeto del bloque en CFC. Asigne nombres
significativos a estos DB de instancia. Si ejecuta una compresión en CFC, deberá comprobar si
han cambiado los números de esos DB de instancia.

Ejemplo de programa:
029(
)B5'6B%2B
(1 287 '%&5&B,03
': ,1 (12
029(
)B6'6B%2B
(1 287 '%&5&B,03
': ,1 (12
A continuación, deberá importar la función a CFC como tipo de bloque e insertarla en un

esquema de su programa de usuario estándar. En la secuencia de ejecución, asegúrese de
que el grupo de ejecución estándar correspondiente se procese antes que el grupo de
ejecución F.

En el lado de STEP 7 Safety Advanced, siga los pasos descritos en "Safety-Related
Communication via S7 Connections (Página 236)".
Particularidad: El DB de comunicación F se debe crear en STEP 7 Safety Advanced con
exactamente 32 datos del tipo de datos BOOL.
En S7 F/FH Systems se debe crear y especificar una conexión S7 no especificada con la CPU F.
Encontrará información al respecto en la Ayuda de STEP 7 en "Crear conexión no especificada"
o "Especificar conexión no especificada".
Para esta conexión se debe ajustar el recurso de la conexión local y el del interlocutor (hex)
especificados de forma fija por la conexión S7 que se ha creado en S7 F Systems.
Si el recurso de conexión local (hex) ya está ocupado por una conexión existente, modifique
el recurso de conexión (hex) correspondiente a esta.
9.2 Configuración y programación de la comunicación (S7-1200,

S7-1500)
Introducción
la seguridad en sistemas F SIMATIC Safety.

Comunicación orientada a la seguridad A través de una subred Hardware adicional nece

sario
Comunicación IO controller-I-slave PROFINET IO y PROFIBUS DP IE/PB-Link
Comunicación IO controller-IO controller con S7 PROFINET IO Acoplador PN/PN
Distributed Safety
Comunicación maestro-maestro con S7 PROFIBUS DP Acoplador DP/DP
Distributed Safety
NOTA
Las posibilidades de la comunicación orientada a la seguridad dependen de las CPU F
utilizadas.
NOTA
La comunicación orientada a la seguridad con CPU F S7-1200 solo se admite con firmware
V4.1.2 o superior.
Descripción general de la comunicación orientada a la seguridad mediante PROFIBUS DP

En la figura siguiente encontrará una vista general de las posibilidades de la comunicación
orientada a la seguridad mediante PROFIBUS DP en sistemas F SIMATIC Safety con CPU F
S7-1200/1500.
0DHVWUR'3 $FRSODGRU'3'3
0DHVWUR'3

6XEUHG 6XEUHG
352),%86 352),%86
,VODYH
,VODYH ,VODYH
① Comunicación maestro-maestro orientada a la seguridad

② Comunicación maestro-I-slave orientada a la seguridad
Figura

Descripción general de la comunicación orientada a la seguridad mediante PROFINET IO

En la figura siguiente encontrará una vista general de las posibilidades de la comunicación de
seguridad mediante PROFINET IO en sistemas F SIMATIC Safety con CPU F S7-1200/1500.
,2FRQWUROOHU $FRSODGRU3131 ,VODYH
,2FRQWUROOHU ,(3%/LQN

352),1(7,2 352),1(7,2 6XEUHG352),%86
,GHYLFH
,GHYLFH
,GHYLFH
① Comunicación IO controller-IO controller orientada a la seguridad

② Comunicación IO controller-I-device orientada a la seguridad
③ Comunicación IO controller-I-slave orientada a la seguridad
Comunicación CPU-CPU orientada a la seguridad mediante PROFIBUS DP o PROFINET IO

En la comunicación CPU-CPU orientada a la seguridad se transfiere un número fijo de datos
del tipo BOOL o INT (alternativamente, DINT) de manera segura entre los programas de
seguridad de las CPU F de maestros DP/I-slaves o IO controllers/I-devices.
La transferencia de datos se realiza mediante las instrucciones SENDDP de envío y RCVDP de
recepción. Los datos se guardan en áreas de transferencias configuradas de los dispositivos.
El identificador de hardware (identificador HW) define las áreas de transferencia
configuradas.
Comunicación CPU-CPU orientada a la seguridad con S7 Distributed Safety

Es posible la comunicación orientada a la seguridad entre CPU F en SIMATIC Safety y CPU F en
S7 Distributed Safety.

9.2.2 Comunicación IO controller-IO controller orientada a la seguridad
9.2.2.1 Configuración de la comunicación IO controller-IO controller orientada a la

seguridad
Introducción
La comunicación orientada a la seguridad entre programas de seguridad de las CPU F de IO
controllers se lleva a cabo mediante un acoplador PN/PN situado entre las dos CPU F.
NOTA
En el editor de hardware y redes, desactive el parámetro "Data validity display DIA (Indicador
de validez de datos DIA)" en las propiedades del acoplador PN/PN. Este es el ajuste
predeterminado. De lo contrario, no es posible la comunicación IO controller-IO controller

configurarse un área de transferencia para los datos de salida y otra área de transferencia
para los datos de entrada en el acoplador PN/PN en el editor de hardware y redes. En la figura
bidireccional).
)&38 UHGHV UHGHV
)&38
3URJUDPDGHVHJXULGDG ,'+: ,'+: 3URJUDPDGHVHJXULGDG

/RQJE\WHV /RQJE\WHV
6(1''3/$''5 5&9'3/$''5
/RQJE\WHV /RQJE\WHV
/RQJE\WHV /RQJE\WHV
5&9'3/$''5 6(1''3/$''5
/RQJE\WHV /RQJE\WHV
,'+: ,'+:

; ;
$FRSODGRU3131

Datos que deben enviarse:
Para el área de transferencia de los datos de salida se necesitan 12 bytes (coherentes) y para
el área de transferencia de los datos de entrada se necesitan 6 bytes (coherentes).

Datos que deben recibirse:

NOTA
Acoplador PN/PN, referencia 6ES7158-3AD10-0XA0
Para configurar las áreas de transferencia para los datos de salida y entrada, siga el
procedimiento descrito en el manual "Acoplamientos de bus SIMATIC Acoplador PN/PN
(https://support.industry.siemens.com/cs/ww/es/view/44319532)", capítulo "Configuración
del acoplador PN/PN con STEP 7 TIA Portal".

El procedimiento para la configuración de una comunicación IO controller-IO controller
orientada a la seguridad es idéntico al de la configuración en el programa estándar.
hardware)".
2. Pase a la vista de redes del editor de hardware y redes.
3. En la Task Card "Hardware catalog (Catálogo de hardware)", apartado "Other field
devices\PROFINET IO\Gateway\Siemens AG\PN/PN Coupler (Otros dispositivos de
campo\PROFINET IO\Pasarela\Siemens AG\Acoplador PN/PN"), elija un acoplador PN/PN X1
y un acoplador PN/PN X2 e insértelos en la vista de redes del editor de hardware y redes.
4. Conecte la interfaz PN de la CPU F 1 con la interfaz PN del acoplador PN/PN X1 y la interfaz
PN de la CPU F 2 con la interfaz PN del acoplador PN/PN X2.

5. Para conexiones de comunicación bidireccionales, es decir, en las que cada CPU F debe
enviar y recibir datos, cambie a la vista de dispositivos del acoplador PN/PN X1. En la Task
Card "Hardware catalog (Catálogo de hardware)", con el filtro activado, seleccione los
siguientes módulos en "IN/OUT" e insértelos en la pestaña "Device overview (Vista general
de dispositivos)":
NOTA
La asignación de las áreas de transferencia se establece mediante el identificador de
hardware, que se asigna automáticamente a los módulos y dispositivos. Necesitará el
identificador HW para programar los bloques SENDDP y RCVDP (entrada LADDR). Para cada
identificador HW del área de transferencia se crea una constante del sistema en la
correspondiente CPU F. Estas constantes del sistema pueden asignarse simbólicamente a
los bloques SENDDP y RCVDP.
6. En la vista de dispositivos del acoplador PN/PN X2, en "IN/OUT", elija los siguientes
módulos e insértelos en la pestaña "Device overview (Vista general de dispositivos)":

9.2.2.2 Comunicación IO controller-IO controller orientada a la seguridad mediante

SENDDP y RCVDP
)&38 )&38
6(1''3 5&9'3
5&9'3 6(1''3
$FRSODGRU3131 352),1(7,2
La comunicación orientada a la seguridad entre las CPU F de los IO controller se establece con
puede transferir de manera segura un número fijo de datos de seguridad de los tipos BOOL o
INT (alternativamente DINT).
Las instrucciones RCVDP y SENDDP también pueden llamarse en FB F/FC F independientes,
que deberán llamarse al inicio y al final del bloque Main-Safety, respectivamente.
9.2.2.3 Programación de la comunicación IO controller-IO controller orientada a la

seguridad

Las áreas de transferencia de los datos de entrada y salida para el acoplador PN/PN deben
estar configuradas.


La comunicación IO controller-IO controller orientada a la seguridad se programa de la
siguiente manera:
3. Asigne a las respectivas entradas LADDR los identificadores HW (constante del sistema en
la tabla de variables estándar) de las áreas de transferencia para datos de entrada y de
salida del acoplador PN/PN que ha configurado en el editor de hardware y redes.
implicadas.


controller-IO controller orientadas a la seguridad.
)&38 )&38
6(1''3'3B'3B,' 5&9'3'3B'3B,'
$FRSODGRU3131
5&9'3'3B'3B,' 6(1''3'3B'3B,'
6(1''3'3B'3B,' 5&9'3'3B'3B,'
5&9'3'3B'3B,'
$FRSODGRU3131
,2FRQWUROOHU
)&38
$FRSODGRU3131
3URJUDPDGHVHJXULGDG
5&9'3'3B'3B,'
6(1''3'3B'3B,'
6(1''3'3B'3B,'
ADVERTENCIA

se puede elegir libremente**, pero debe ser único en toda la red* y en toda la CPU****
en todo momento para todas las conexiones de comunicación orientadas a la seguridad.
La univocidad debe comprobarse en el impreso del programa de seguridad durante la
Se deben proporcionar valores constantes*** a las entradas DP_DP_ID y LADDR al llamar
la instrucción. En el programa de seguridad no están permitidos los accesos de escritura

3).
*** S7-1200/1500: A partir de la versión V3.0 de las instrucciones SENDDP o RCVDP,
también se pueden proporcionar valores variables de un DB F global a la entrada
DP_DP_ID. También en este caso hay que comprobar en la recepción/aceptación del
programa de seguridad que la univocidad esté garantizada en todo momento,
comprobando para ello el algoritmo de cálculo del valor variable en consecuencia. Si no se
puede garantizar un ID de comunicación F unívoco al arrancar el programa de seguridad,
porque este solo se establece una vez arrancado el programa de seguridad, debe
garantizarse que el valor en la entrada DP_DP_ID sea "0" en esta fase.
**** En un sistema redundante S7-1500HF ambas CPU F del sistema redundante
S7-1500HF deben considerarse una única CPU F por lo que respecta a la DP_DP_ID.
5. Proporcione las señales de envío a las entradas SD_BO_xx y SD_I_xx (alternativamente
SD_DI_00) de SENDDP. Para reducir el número de señales intermedias en la transferencia
de parámetros de bloque, también tiene la posibilidad de escribir el valor directamente en
el DB de instancia de SENDDP antes de llamar SENDDP mediante un acceso completo
(p. ej., "nombre SENDDP_1".SD_BO_02).
6. Proporcione a las salidas RD_BO_xx y RD_I_xx (alternativamente RD_DI_00) de RCVDP las
señales que desea seguir procesando en otras partes del programa o léalas en estas
directamente con un acceso completo en el DB de instancia correspondiente (p. ej., "Name
RCVDP_1".RD_BO_02).
7. Si, en lugar de los datos de las entradas SD_I_00 y SD_I_01, desea enviar el dato de la
entrada SD_DI_00, proporcione TRUE a la entrada DINTMODE (valor inicial = "FALSE") de
SENDDP.

8. Proporcione a las entradas SUBBO_xx y SUBI_xx o, alternativamente, SUBDI_00 de RCVDP

los valores sustitutivos que emitirá RCVDP en lugar de los valores de proceso antes de
establecer la comunicación por primera vez después de un arranque del sistema F emisor y
receptor o en caso de error de la comunicación orientada a la seguridad.
Para los datos del tipo INT/DINT, puede introducir valores sustitutivos constantes
directamente como constantes en la entrada SUBI_xx o, alternativamente, SUBDI_00
(valor inicial = "0"). Si desea especificar un valor sustitutivo constante "TRUE" para datos
del tipo BOOL, proporcione TRUE a la entrada SUBBO_xx (valor inicial = "FALSE").
calculada por el programa de seguridad e indique dicha variable con un acceso
completo en la entrada SUBBO_xx o SUBI_xx o, alternativamente, SUBDI_00.
ADVERTENCIA
vigilancia deseado.
ADVERTENCIA

de usuario estándar o en el sistema de manejo y visualización, a fin de consultar o mostrar
si se necesita acuse de usuario.
reintegración.
entradas SUBBO_xx y SUBI_xx o, alternativamente, SUBDI_00.
mostrar si se producido un error de comunicación.
(Página 336).

9.2.2.4 Comunicación IO controller-IO controller orientada a la seguridad, límites de la

NOTA
PN/PN. Para ello puede emplear un solo acoplador PN/PN si el límite de capacidad del
acoplador PN/PN lo permite.

9.2.3 Comunicación maestro-maestro orientada a la seguridad
9.2.3.1 Configuración de la comunicación maestro-maestro orientada a la seguridad
Introducción
La comunicación orientada a la seguridad entre programas de seguridad de las CPU F de
maestros DP se establece mediante un acoplador DP/DP.
NOTA
En el interruptor DIL del acoplador DP/DP, cambie el indicador de validez de datos "DIA" en
"OFF". De lo contrario, no es posible la comunicación CPU-CPU orientada a la seguridad.

salida y un área de transferencia para los datos de entrada en el acoplador DP/DP. En la figura
bidireccional).
0DHVWUR'3 0DHVWUR'3
)&38 UHGHV UHGHV
)&38
3URJUDPDGHVHJXULGDG ,'+: ,'+: 3URJUDPDGHVHJXULGDG

/RQJE\WHV /RQJE\WHV
6(1''3/$''5 5&9'3/$''5
/RQJE\WHV /RQJE\WHV
/RQJE\WHV /RQJE\WHV
5&9'3/$''5 6(1''3/$''5
/RQJE\WHV /RQJE\WHV
,'+: ,'+:

; ;
$FRSODGRU'3'3

Datos que deben enviarse:
Para el área de transferencia de los datos de salida se necesitan 12 bytes (coherentes) y para
el área de transferencia de los datos de entrada se necesitan 6 bytes (coherentes).
Datos que deben recibirse:


El procedimiento para configurar una comunicación maestro-maestro orientada a la
hardware)".
2. Cambie a la vista de redes del editor de hardware y redes.
3. En la Task Card "Hardware catalog (Catálogo de hardware)", área "Other field
devices\PROFIBUS DP\Gateways\Siemens AG\DP/DP Coupler (Otros dispositivos de
campo\PROFIBUS DP\Pasarela\Siemens AG\Acoplador DP/DP"), elija un acoplador DP/DP e
insértelo en la vista de redes del editor de hardware y redes.
4. Inserte un segundo acoplador DP/DP.
5. Conecte una interfaz DP de la CPU F 1 con la interfaz DP de un acoplador DP/DP y una
interfaz DP de la CPU F 2 con la interfaz DP del otro acoplador DP/DP.
6. En la vista de dispositivos se asigna automáticamente una dirección PROFIBUS libre en las

propiedades del acoplador DP/DP. Ajuste esta dirección en el acoplador DP/DP, ya sea
mediante interruptores DIL del dispositivo o en la configuración del acoplador DP/DP (ver
manual del acoplador DP/DP
(http://support.automation.siemens.com/WW/view/es/1179382))

7. Para las conexiones de comunicación bidireccionales, es decir, en las que cada CPU F debe
enviar y recibir datos, cambie a la vista de dispositivos del acoplador DP/DP PLC1. En la
Task Card "Hardware catalog (Catálogo de hardware)", con el filtro activado, seleccione los
siguientes módulos e insértelos en la pestaña "Device overview (Vista general de
dispositivos)" del acoplador DP/DP:
– un módulo "6 bytes E/12 bytes S coherentes" y
NOTA
La asignación de las áreas de transferencia se establece mediante el identificador de
hardware, que se asigna automáticamente a los módulos y dispositivos. Necesitará el
identificador HW para programar los bloques SENDDP y RCVDP (entrada LADDR). Para cada
identificador HW del área de transferencia se crea una constante del sistema en la
correspondiente CPU F. Estas constantes del sistema pueden asignarse simbólicamente a
los bloques SENDDP y RCVDP.
8. En la vista de dispositivos del acoplador DP/DP PLC2 de la Task Card "Hardware catalog
(Catálogo de hardware)", con el filtro activado, selecciones los siguientes módulos e
insértelos en la pestaña "Device overview (Vista general de dispositivos)":
– un módulo "12 Bytes E/6 Bytes S coherentes" y

9.2.3.2 Comunicación maestro-maestro orientada a la seguridad mediante SENDDP y

RCVDP
0DHVWUR'3 0DHVWUR'3
)&38 )&38
6(1''3 5&9'3
5&9'3 6(1''3
$FRSODGRU'3'3 352),%86'3
La comunicación orientada a la seguridad entre las CPU F de los maestros DP se establece con
puede transferir de manera segura un número fijo de datos de seguridad de los tipos BOOL o
INT (alternativamente DINT).
9.2.3.3 Programación de la comunicación maestro-maestro orientada a la seguridad

Las áreas de direcciones para datos de entrada y salida para el acoplador DP/DP deben estar
configuradas.


La comunicación maestro-maestro orientada a la seguridad se programa de la siguiente
manera:
instrucción SENDDP (Página 570) de envío al final del bloque Main-Safety o un FC F/FB F
independiente.
instrucción RCVDP (Página 570) de recepción al principio del bloque Main-Safety o un FC
F/FB F independiente.
3. Asigne a las respectivas entradas LADDR los identificadores HW (constante en la tabla de
variables) para datos de entrada y salida del acoplador DP/DP que ha configurado en el
editor de hardware y redes.
implicadas.


entradas de las instrucciones SENDDP y RCVDP para 5 relaciones de comunicación
maestro-maestro orientada a la seguridad.
0DHVWUR'3 0DHVWUR'3
)&38 )&38
6(1''3'3B'3B,' 5&9'3'3B'3B,'
$FRSODGRU'3'3
5&9'3'3B'3B,' 6(1''3'3B'3B,'
6(1''3'3B'3B,' 5&9'3'3B'3B,'
5&9'3'3B'3B,'
$FRSODGRU'3'3
0DHVWUR'3
)&38
$FRSODGRU'3'3
3URJUDPDGHVHJXULGDG
5&9'3'3B'3B,'
6(1''3'3B'3B,'
6(1''3'3B'3B,'
ADVERTENCIA
El valor para el respectivo ID de comunicación F (entrada DP_DP_ID; tipo de datos: INT) se

puede elegir libremente**, pero debe ser único en toda la red* y en toda la CPU en todo
momento para todas las conexiones de comunicación orientadas a la seguridad. La
Se deben proporcionar valores constantes*** a las entradas DP_DP_ID y LADDR al llamar
la instrucción. En el programa de seguridad no están permitidos los accesos de escritura

3).
*** S7-1200/1500: A partir de la versión V3.0 de las instrucciones SENDDP o RCVDP,
también se pueden proporcionar valores variables de un DB F global a la entrada
DP_DP_ID. También en este caso hay que comprobar en la recepción/aceptación del
programa de seguridad que la univocidad esté garantizada en todo momento,
comprobando para ello el algoritmo de cálculo del valor variable en consecuencia. Si no se
puede garantizar un ID de comunicación F unívoco al arrancar el programa de seguridad,
porque este solo se establece una vez arrancado el programa de seguridad, debe
garantizarse que el valor en la entrada DP_DP_ID sea "0" en esta fase.
5. Proporcione las señales de envío a las entradas SD_BO_xx y SD_I_xx (alternativamente
SD_DI_00) de SENDDP. Para reducir el número de señales intermedias en la transferencia
de parámetros de bloque, también tiene la posibilidad de escribir el valor directamente en
el DB de instancia de SENDDP antes de llamar SENDDP mediante un acceso completo
(p. ej., "nombre SENDDP_1".SD_BO_02).
6. Proporcione a las salidas RD_BO_xx y RD_I_xx (alternativamente RD_DI_00) de RCVDP las
señales que desea seguir procesando en otras partes del programa o léalas en ellas
directamente con un acceso completo en el DB de instancia correspondiente (p. ej.,
"nombre RCVDP_1".RD_BO_02).
7. Si, en lugar de los datos de las entradas SD_I_00 y SD_I_01, desea enviar el dato de la
entrada SD_DI_00, proporcione TRUE a la entrada DINTMODE (valor inicial = "FALSE") de
SENDDP.
8. Proporcione a las entradas SUBBO_xx y SUBI_xx o, alternativamente, SUBDI_00 de RCVDP
los valores sustitutivos que emitirá RCVDP en lugar de los valores de proceso antes de
establecer la comunicación por primera vez después de un arranque del sistema F emisor y
receptor o en caso de error de la comunicación orientada a la seguridad.
Para los datos del tipo INT/DINT, puede introducir valores sustitutivos constantes
directamente como constantes en la entrada SUBI_xx o, alternativamente, SUBDI_00
(valor inicial = "0"). Si desea especificar un valor sustitutivo constante "TRUE" para datos
del tipo BOOL, proporcione TRUE a la entrada SUBBO_xx (valor inicial = "FALSE").
calculada por el programa de seguridad e indique dicha variable con un acceso
completo en la entrada SUBBO_xx o SUBI_xx o, alternativamente, SUBDI_00.
ADVERTENCIA

vigilancia deseado.
ADVERTENCIA

de usuario estándar o en el sistema de manejo y visualización, para consultar o mostrar si
se necesita un acuse de usuario.
reintegración.
entradas SUBBO_xx y SUBI_xx o, alternativamente, SUBDI_00.
mostrar si se ha producido un error de comunicación.
(Página 336).
9.2.3.4 Comunicación maestro-maestro orientada a la seguridad, límites de la

NOTA
DP/DP. Para ello puede emplearse un solo acoplador DP/DP si el límite de capacidad del
acoplador DP/DP lo permite.

9.2.4 Comunicación IO controller-I-device orientada a la seguridad
Introducción
Para la comunicación IO controller-I-device no se necesita hardware adicional.

UHGHV
&'B)B3/&BB3/&BB
6(1''3/$''5 5&9'3/$''5
)&'B3/&BB3/&BB
5&9'3/$''5 6(1''3/$''5

comunicación. P. ej.: "CD_F_PLC_2-PLC_1_1" para la primera conexión CD F entre el IO
controller CPU F 1 y el I-device CPU F 2.
Al crear un área de transferencia se crea a su vez una constante del sistema con el nombre del
área de transferencia tanto en la CPU F del IO controller como en la CPU F del I-device. La
constante del sistema contiene el identificador HW del área de transferencia desde el punto
de vista de la CPU F en cuestión.
Asigne simbólicamente los identificadores HW (constante del sistema de la tabla de variables
estándar) de las áreas de transferencia en los programas de seguridad a la entrada LADDR de
las instrucciones SENDDP y RCVDP.

El procedimiento para configurar una comunicación IO controller-I-device orientada a la


hardware)".
2. Active el modo de operación "IO device" para la CPU F 2 en las propiedades de la interfaz
PN y asigne esa interfaz PN a una interfaz PN de la CPU F 1.
3. Seleccione la interfaz PROFINET de la CPU F 2. En "Transfer areas (Áreas de transferencia)",
cree una conexión CD F (tipo "CD F") para la recepción del controlador IO (→). La conexión
CD F está marcada en amarillo en la tabla y se muestran las áreas de direcciones asignadas
en el I-device y en el IO controller.
Además se crea automáticamente una conexión de acuse para cada conexión CD F.
(Encontrará detalles sobre el área de transferencia más abajo).
4. Cree otra conexión CD F para el envío al IO controller.
sentido de la transferencia a envío al controlador IO (←).

9.2.4.2 Comunicación IO controller-I-device orientada a la seguridad mediante SENDDP y

RCVDP
)&38 )&38
6(1''3 5&9'3
5&9'3 6(1''3
352),1(7,2
La comunicación orientada a la seguridad entre la CPU F del IO controller y un I-device se
Con ellas se puede transferir un número fijo de datos de los tipos BOOL o INT
(alternativamente DINT).


Para programar la comunicación IO controller-I-device orientada a la seguridad, siga el mismo
procedimiento que para programar la comunicación IO controller-IO controller (ver
Programación de la comunicación IO controller-IO controller orientada a la seguridad (Página
256)).

Puede consultar la correspondencia de los identificadores HW (constantes del sistema en la

tabla de variables estándar) de las áreas de transferencia y la entrada LADDR de las
instrucciones SENDDP/RCVDP en la tabla siguiente:
Instrucción Identificador HW
SENDDP en el IO controller Identificador HW de la correspondiente área de
transferencia en el IO controller
RCVDP en el IO controller Identificador HW de la correspondiente área de
transferencia en el IO controller
SENDDP en el I-device Identificador HW del área de transferencia en el I-de
vice
RCVDP en el I-device Identificador HW del área de transferencia en el I-de
vice


controller-I-device orientadas a la seguridad.
)&38 )&38
6(1''3'3B'3B,' 5&9'3'3B'3B,'
5&9'3'3B'3B,' 6(1''3'3B'3B,'
6(1''3'3B'3B,'
,GHYLFH
5&9'3'3B'3B,'
)&38
3URJUDPDGHVHJXULGDG
5&9'3'3B'3B,'
6(1''3'3B'3B,'
ADVERTENCIA


ADVERTENCIA

9.2.4.4 Comunicación IO controller-I-device orientada a la seguridad, límites de la


un I-device y un controlador IO.
Comunicación Conexión de comunica Datos de entrada y datos de salida ocupados

orientada a la se ción en el IO controller en el I-device
guridad
Datos de sa Datos de en Datos de sa Datos de en
lida trada lida trada
IO controller-I-de Envío: 6 bytes 12 bytes 12 bytes 6 bytes
vice I-device 1 a IO controller
I-device 1 de IO contro
ller
Al calcular el límite máximo de 1440 bytes de datos de entrada y 1440 bytes de datos de
salida para la transferencia entre un I-device y un controlador IO, tenga en cuenta todas las
demás conexiones de la comunicación orientada a la seguridad y estándar configuradas
(áreas de transferencia del tipo: CD F y CD). Además también se ocupan datos para fines
internos, por lo que es posible que se alcance el límite máximo antes de lo esperado.
Si se rebasa el límite, se emite un mensaje de error.

9.2.5 Comunicación maestro-I-slave orientada a la seguridad
9.2.5.1 Configuración de la comunicación maestro-I-slave orientada a la seguridad
Introducción
maestro DP y el/los programa(s) de seguridad de la(s) CPU-F de uno o varios I-slaves se realiza
mediante conexiones maestro-I-slave (F-MS), del mismo modo que en el programa estándar.
Para la comunicación maestro-I-slave no se necesita acoplador DP/DP.

0DHVWUR'3 ,VODYH
UHGHV
06B)B3/&B3/&BB
6(1''3/$''5 5&9'3/$''5
06B)B3/&B3/&BB
5&9'3/$''5 6(1''3/$''5

comunicación. P. ej.: "MS_F_PLC_2-PLC_1_1" para la primera conexión MS F entre el maestro
DP CPU F 1 y el I-Slave CPU F 2.
Al crear un área de transferencia se crea a su vez una constante del sistema con el nombre del
área de transferencia tanto en la CPU F del maestro DP como en la CPU F del I-slave. La
constante del sistema contiene el identificador HW del área de transferencia desde el punto
de vista de la CPU F en cuestión.
Asigne simbólicamente los identificadores HW (constante del sistema de la tabla de variables
estándar) de las áreas de transferencia en los programas de seguridad a la entrada LADDR de
las instrucciones SENDDP y RCVDP.

El procedimiento para configurar una comunicación maestro-I-slave orientada a la seguridad
es idéntico al de la configuración en el programa estándar.


hardware)".
2. Si la CPU F que debe operarse como maestro DP (CPU F 1) no dispone de interfaz
PROFIBUS DP incorporada, inserte, p. ej., un CM PROFIBUS.
3. Inserte un módulo CM DP o un módulo CP DP adecuado en la vista de dispositivos de la
CPU F que debe utilizarse como I-slave (CPU F 2).
4. En caso necesario, active en las propiedades el modo de operación "DP-Slave" (I-slave)
para el módulo CM/CP DP.
5. Asigne la interfaz DP del CM/CP a una interfaz DP de la CPU F 1.
6. Seleccione la interfaz PROFIBUS de la CPU F 2 o del CM. En "Transfer areas (Áreas de
transferencia)", cree una conexión MS F (tipo "F-MS (MS F)") para el envío al maestro DP
(←). La conexión MS F está marcada en amarillo en la tabla y se muestran las áreas de
transferencia asignadas en el I-slave y en el maestro DP.
Además se crea automáticamente una conexión de acuse para cada conexión MS F. (Ver
"Transfer area details (Detalles del área de transferencia)").
7. Cree otra conexión MS F para la recepción del maestro DP.
sentido de la transferencia a recepción del maestro DP (→).

9.2.5.2 Comunicación maestro-I-slave orientada a la seguridad mediante SENDDP y RCVDP
0DHVWUR'3 ,VODYH
)&38 )&38
6(1''3 5&9'3
5&9'3 6(1''3
352),%86'3
La comunicación orientada a la seguridad entre la CPU F del maestro DP y un I-slave se
Con ellas se puede transferir de manera segura un número fijo de datos de seguridad de los
tipos BOOL o INT (alternativamente DINT).
9.2.5.3 Programación de la comunicación maestro-I-slave orientada a la seguridad
Requisitos

Para la programación de la comunicación maestro-I-slave orientada a la seguridad, siga el
mismo procedimiento que para la programación de la comunicación maestro-maestro
orientada a la seguridad (ver Comunicación maestro-maestro orientada a la seguridad (Página
261)).

Puede consultar la correspondencia entre los identificadores HW de las áreas de transferencia

y la entrada LADDR de las instrucciones SENDDP/RCVDP en la tabla siguiente:
Instrucción Identificador HW
SENDDP en el maestro DP Identificador HW de la correspondiente área de
transferencia en el maestro DP
RCVDP en el maestro DP Identificador HW de la correspondiente área de
transferencia en el maestro DP
SENDDP en el I-slave Identificador HW del área de transferencia en el I-sla
ve
RCVDP en el I-slave Identificador HW del área de transferencia en el I-sla
ve


entradas de las instrucciones SENDDP y RCVDP para cuatro relaciones de comunicación
maestro-I-slave orientadas a la seguridad.
0DHVWUR'3 ,VODYH
)&38 )&38
6(1''3'3B'3B,' 5&9'3'3B'3B,'
5&9'3'3B'3B,' 6(1''3'3B'3B,'
6(1''3'3B'3B,'
5&9'3'3B'3B,'
,VODYH
)&38
3URJUDPDGHVHJXULGDG
5&9'3'3B'3B,'
&RPXQLFDFLµQPDHVWUR,VODYH 6(1''3'3B'3B,'
ADVERTENCIA
El valor para el respectivo ID de comunicación F (entrada DP_DP_ID; tipo de datos: INT) se

puede elegir libremente**, pero debe ser único en toda la red* y en toda la CPU en todo
momento para todas las conexiones de comunicación orientadas a la seguridad. La


ADVERTENCIA

9.2.5.4 Comunicación maestro-I-slave orientada a la seguridad, límites de la transferencia

de datos

un I-slave y un maestro DP.
Comunicación Conexión de comu Datos de entrada y datos de salida ocupados

orientada a la se nicación Maestro DP I-slave
guridad
Datos de sali Datos de en Datos de sali Datos de en

da trada da trada
Maestro-I-slave Envío: 6 bytes 12 bytes 12 bytes 6 bytes
I-slave 1 a maestro
DP
I-slave 1 de maestro
DP
Para el límite máximo de 244 bytes de datos de entrada y 244 bytes de datos de salida para la
de la comunicación orientada a la seguridad y estándar configuradas (áreas de transferencia
del tipo: MS F y MS). Si se rebasa el límite máximo de 244 bytes de datos de entrada y
244 bytes de datos de salida, aparecerá un mensaje de error.

9.2.6 Comunicación IO controller-I-slave orientada a la seguridad
9.2.6.1 Comunicación IO controller-I-slave orientada a la seguridad
Introducción
IO controller y el/los programa(s) de seguridad de la(s) CPU F de uno o varios I-slaves se
establece mediante conexiones maestro-I-slave (MS F), del mismo modo que en el programa
estándar.
IE/PB‑Link
Para la comunicación IO controller-I-slave orientada a la seguridad, el IE/PB-Link es
estrictamente obligatorio. Cada una de las dos CPU F está conectada al IE/PB-Link mediante su
interfaz PROFIBUS DP o PROFINET.
NOTA
El uso de un IE/PB-Link debe tenerse en cuenta al configurar los tiempos de vigilancia F
específicos y al calcular el máximo tiempo de reacción de su sistema F (ver también Tiempos
de vigilancia y tiempos de reacción (Página 586)).
Tenga en cuenta que el archivo Excel para calcular los tiempos de reacción
(https://support.industry.siemens.com/cs/ww/es/view/109783831) para CPU F S7-300/400 no
soporta todas las configuraciones teóricamente posibles.
Referencia
Por lo demás, puede aplicarse, con los cambios necesarios, la información sobre la
comunicación maestro-I-slave orientada a la seguridad que figura en Comunicación
maestro-I-slave orientada a la seguridad (Página 277).
9.2.7 Comunicación orientada a la seguridad con el sistema F S7 "S7 Distributed

Safety"
9.2.7.1 Introducción

F S7 Distributed Safety es posible en forma de comunicación IO controller-IO controller o
maestro-maestro, y requiere el uso de un acoplador PN/PN o un acoplador DP/DP situado
entre las dos CPU F.

9.2.7.2 Comunicación con S7 Distributed Safety mediante acoplador PN/PN (comunicación

IO controller-IO controller)
La comunicación se establece entre instrucciones SENDDP/RCVDP en el lado de STEP 7 Safety

y bloques de aplicación F F_SENDDP/F_RCVDP en el lado de S7 Distributed Safety:
)&38 )&38
6(1''3 )B5&9'3
5&9'3 )B6(1''3
$FRSODGRU3131 352),1(7,2

(http://support.automation.siemens.com/WW/view/es/22099875)", capítulo "Safety-Related IO
Controller-IO Controller Communication".
Procedimiento en el lado de STEP 7 Safety

En el lado de STEP 7 Safety, siga los pasos descritos en Comunicación IO controller-IO
controller orientada a la seguridad (Página 252).

9.3 Configuración y programación de la comunicación con Flexible F-Link (S7-1200, S7-1500)
9.2.7.3 Comunicación con S7 Distributed Safety mediante acoplador DP/DP (comunicación

maestro-maestro)
La comunicación se establece entre instrucciones SENDDP/RCVDP en el lado de STEP 7 Safety

y bloques de aplicación F F_SENDDP/F_RCVDP en el lado de S7 Distributed Safety:
0DHVWUR'3 0DHVWUR'3
)&38 )&38
6(1''3 )B5&9'3
5&9'3 )B6(1''3
$FRSODGRU'3'3 352),%86'3

(http://support.automation.siemens.com/WW/view/es/22099875)", capítulo "Safety-Related
Master-Master Communication".
Procedimiento en el lado de STEP 7 Safety

En el lado de STEP 7 Safety, siga los pasos descritos en Comunicación maestro-maestro
orientada a la seguridad (Página 261).
9.3 Configuración y programación de la comunicación con Flexible F-

Link (S7-1200, S7-1500)
9.3.1 Flexible F-Link
Introducción
Para las CPU F S7-1200 y S7-1500 está disponible la comunicación CPU-CPU de seguridad
"Flexible F-Link". Esta permite intercambiar fácilmente entre CPU F datos de seguridad en
forma de arrays de seguridad con mecanismos de comunicación estándar.

Flexible F-Link ofrece una serie de ventajas para intercambiar datos de seguridad:
• Resumen de los datos de seguridad que deben transferirse en tipos de datos PLC
conformes con F (UDT)
(No se soportan los tipos de datos PLC conformes con F (UDT) anidados).
• Hasta 100 bytes de datos de seguridad por UDT
• Parametrización sencilla y generación automática de DB de comunicación de seguridad
• Transferencia de datos de seguridad con bloques de comunicación estándar incluso más
allá de los límites de la red
• Comunicación entre grupos de ejecución F (Página 93) para CPU F 1200/1500
• UUID de comunicación F integrado en el sistema y suficientemente unívoco en todo el
mundo
• Firma de la dirección de comunicación F independiente para la detección fácil de cambios
en el UUID de comunicación F
Requisitos
Principio de la comunicación mediante Flexible F-Link
3URJUDPDGHVHJXULGDG )& )& 3URJUDPDGHVHJXULGDG

3RVWSURFHVDPLHQWR 3UHSURFHVDPLHQWR
)&38 )&38
86(1' 85&9
/LEUHU¯D 76(1' 75&9 /LEUHU¯D
6(1'B 5&9B$5
$55$< 5$<
7LSRGHGDWRV 7LSRGHGDWRV
3/& 3/&
FRQIRUPHFRQ '%GH 85&9 86(1' $&.B '%GH FRQIRUPHFRQ
$&.B5&9B
FRPXQLFD 6(1'B FRPXQLFD
) 8'7 $55$< 75&9 76(1' $55$< ) 8'7
FLµQ) FLµQ)

)& )&
3UHSURFHVDPLHQWR 3RVWSURFHVDPLHQWR
/DGRGHHQY¯R /DGRGHUHFHSFLµQ
Haga lo siguiente en el lado emisor:

1. Cree un tipo de datos PLC conforme con F (UDT) para los datos que deben enviarse. Puede
tener un tamaño de hasta 100 bytes.
2. Cree una comunicación orientada a la seguridad en sentido de "Envío" en el Safety
Administration Editor (Página 93).
Para la comunicación orientada a la seguridad se creará un nuevo DB de comunicación F
(Página 289) en "Program blocks\System blocks\STEP 7 Safety\F-communication DBs
(Bloques de programa\Bloques de sistema\STEP 7 Safety\DB de comunicación F)".
3. Ajuste el F-monitoring time (Tiempo de vigilancia F) (Página 591) para la comunicación

4. En el programa de seguridad, proporcione las variables para los datos de envío

(SEND_DATA) en el DB de comunicación F (Página 289) de la comunicación orientada a la
seguridad.
5. Cree bloques estándar en los que los arrays de seguridad creados automáticamente en el
DB de comunicación F se emitan con los datos de envío y se reciban con los datos de
acuse. Para el procesamiento correcto en el tiempo de los valores de proceso se dispone
del OB F Pre/Post processing (Preprocesamiento/postprocesamiento) (Página 84). Al
utilizar las instrucciones de comunicación, asegúrese de que los arrays de seguridad estén
presentes de manera coherente en el momento de la evaluación y se respete el tiempo de
vigilancia F (Página 591). Tenga en cuenta la nota que figura más abajo.
Haga lo siguiente en el lado receptor:
1. Cree un tipo de datos PLC conforme con F (UDT) con la misma estructura que en el lado de
envío.
Para ello, p. ej., puede copiar el tipo de datos PLC conforme con F (UDT) del lado de envío
o utilizar la librería del proyecto o la librería global.
2. Cree una comunicación orientada a la seguridad en sentido de "Recepción" en el Safety
Administration Editor (Página 93).
Para la comunicación orientada a la seguridad se creará un nuevo DB de comunicación F
en "Program blocks\System blocks\STEP 7 Safety\F-communication DBs (Bloques de
programa\Bloques de sistema\STEP 7 Safety\DB de comunicación F)".
3. Copie el UUID de comunicación F de la comunicación orientada a la seguridad del lado
emisor.
4. Ajuste el mismo tiempo de vigilancia F que en el lado de envío.
5. En el programa de seguridad, evalúe las variables para los datos de recepción (RCV_DATA)
en el DB de comunicación F (Página 289).
6. Cree bloques estándar en los que los arrays de seguridad creados automáticamente en el
DB de comunicación F se reciban con los datos de recepción y se envíen con los datos de
acuse. Para el procesamiento correcto en el tiempo de los valores de proceso se dispone
del OB F Pre/Post processing (Preprocesamiento/postprocesamiento) (Página 93). Al
utilizar las instrucciones de comunicación, asegúrese de que los arrays de seguridad estén
presentes de manera coherente en el momento de la evaluación y se respete el tiempo de
vigilancia F (Página 591). Tenga en cuenta la nota que figura más abajo.
NOTA
Si utiliza protocolos de comunicación no deterministas (p. ej., TCP/IP), tenga en cuenta, entre
otras cosas, los siguientes aspectos:
• La disponibilidad de su aplicación puede verse siempre perjudicada en caso de aumentar
la carga por comunicación (expiración del tiempo de vigilancia F de la conexión de
comunicación F). Esto es especialmente importante en caso de utilizar paralelamente OPC
UA y Secure Open User Communication (OUC).
• Los desbordamientos de los búferes de comunicación pueden afectar negativamente a la
disponibilidad de la aplicación, y por ello deben evitarse.
Encontrará más información útil en el siguiente ejemplo de aplicación: "Configuración de
la comunicación mediante Flexible F-Link
(https://support.industry.siemens.com/cs/ww/es/view/109768964)"

NOTA
En la simulación mediante S7-PLCSIM, no se activa el temporizador que genera un mensaje
de error cuando se interrumpe la comunicación con periferias reales (p. ej., al poner una CPU
en STOP) una vez transcurrido el tiempo. Por ello, no aparece ningún mensaje de error en
este caso. El mensaje aparece cuando se restablece la conexión. Tras el reconocimiento por el
operador, se vuelven a emitir y recibir los valores actuales.
ADVERTENCIA
ADVERTENCIA
Si en la comunicación CPU-CPU orientada a la seguridad con Flexible F-Link se envían datos

desde una CPU F simulada con S7-PLCSIM, ya no se podrá presuponer que se formen de
manera segura. En ese caso, se deberá garantizar asimismo la seguridad de las partes de la
instalación afectadas por los datos enviados mediante medidas organizativas (Página
%getreference) o emitir valores sustitutivos seguros en la CPU F que recibe los datos
evaluando SENDMODE* en vez de los datos recibidos.
* SENDMODE está disponible como variable en el DB de comunicación F.
(S086)
ADVERTENCIA
ADVERTENCIA

UDT. (S088)

Consulte
también
Comunicación entre grupos de ejecución F (S7-1200, S7-1500) (Página 139)
9.3.2 DB de comunicación F (S7-1200, S7-1500)
DB de comunicación F para el envío

La tabla siguiente muestra la interfaz del DB de comunicación F para la conexión de
comunicación en sentido de "Envío":
Sección Nombre Tipo de datos Valor de arranque Explicación
Input SEND_DATA Tipo de datos PLC con Como en el tipo de da Datos útiles que deben enviarse.
forme con F (UDT) tos PLC conforme con F
(UDT).
ACK_RCV_ARRAY Array[0..n] of Byte Cualquier elemento con Array con los datos sin formato re
16#0 cibidos.
Output ERROR Bool false Señaliza errores de comunicación
presentes en ese momento o toda
vía no acusados en el receptor (no
en el arranque inicial).
1 = error de comunicación
ACTIVATE_FV Bool true Comunicación pasivada, en el
arranque inicial (p. ej., receptor no
iniciado) o HOST envía
ACTIVATE_FV. DEVICE envía bit de
estado: FV_ACTVATED, pero nin
gún valor 0.
1 = la comunicación emplea valo
res de seguridad.
DIAG Byte 16#0 Bits de error (timeout o error CRC
presente en ese momento, o comu
nicación todavía no despasivada
tras error)
Bit 3: Solicitud de acuse activa en el
receptor
Bit 4: Timeout detectado
Bit 6: Error CRC detectado
SEND_ARRAY Array[0..n] of Byte Cualquier elemento con Array con los datos sin formato que
16#0 deben enviarse
ACK_RCV_LENGTH UInt 0 Información de longitud de
ACK_RCV_ARRAY en bytes
SEND_LENGTH UInt 0 Información de longitud de
SEND_ARRAY en bytes
InOut — — — —
Static — — — —

DB de comunicación F para la recepción

La tabla siguiente muestra la interfaz del DB de comunicación F para la conexión de
comunicación en sentido de "Recepción":
Input PASS_ON Bool false Permite pasivar los datos de salida
(salida de los valores de pasivación)
1 = activar pasivación
ACK_REI Bool false Reintegración (en caso de solicitud
de reintegración) mediante flanco
ascendente
1 = acuse para la reintegración
RCV_ARRAY Array[0..n] of Byte Cualquier elemento con Array con los datos sin formato re
16#0 cibidos
Output RCV_DATA Tipo de datos PLC con Como en el tipo de da Datos de salida (PASS_VALUES o
forme con F (UDT) tos PLC conforme con F datos de recepción).
(UDT).
ERROR Bool false Señaliza errores de comunicación
presentes en ese momento o toda
vía no acusados (no en el arranque
inicial).
1 = error de comunicación
PASS_OUT Bool true Con PASS_OUT = 1, se emiten los
PASS_VALUES.
Opciones posibles: ERROR,
PASS_ON, en el arranque inicial
(p. ej., emisor no iniciado) o
ACK_REQ presente (error no acusa
do)
ACK_REQ Bool false Solicitud de reintegración (comuni
cación nuevamente estable tras
error, pero aún se emiten valores
sustitutivos)
1 = solicitud de acuse para la rein
tegración
SENDMODE Bool false En la CPU F emisora, está activo
MOD_MODE o hay comunicación
con PLCSIM Advanced.
1 = CPU F con un emisor con modo
seguro desactivado o en una CPU
simulada
DIAG Byte 16#0 Bits de error (timeout o error CRC)
Bit 0: Timeout detectado por el
emisor
Bit 1: Error de comunicación pre
sente en el emisor
Bit 2: Error CRC detectado por el
emisor
Bit 4: Timeout detectado por el re
ceptor
Bit 6: Error CRC detectado por el re
ceptor

9.4 Configuración y programación de la comunicación entre CPU F S7-300/400 y S7-1200/1500

Output ACK_SEND_ARRAY Array[0..n] of Byte Cualquier elemento con Array con los datos sin formato que
16#0 deben enviarse.
RCV_LENGTH UInt 0 Información de longitud de
RCV_ARRAY en bytes
ACK_SEND_LENGTH UInt 0 Información de longitud de
ACK_SEND_ARRAY en bytes
InOut — — — —
Static PASS_VALUES Tipo de datos PLC con Como en el tipo de da Valores de pasivación o sustitutivos
forme con F (UDT) tos PLC conforme con F
(UDT) o en el DB de pe
riferia
9.4 Configuración y programación de la comunicación entre CPU F

S7-300/400 y S7-1200/1500
Introducción
la seguridad entre CPU F S7-300/400 y CPU F S7-1200/1500 en sistemas F SIMATIC Safety.
Comunicación orientada a la seguridad A través de una subred Hardware adicional necesario

Comunicación IO controller-I-slave PROFINET IO y PROFIBUS IE/PB-Link
DP
Procedimiento básico de configuración y programación

Configure y programe la comunicación orientada a la seguridad entre CPU F S7-300/400 y
CPU F S7-1200/1500 de forma análoga a como se describe en Configuración y programación
de la comunicación (S7-300, S7-400) (Página 189) y Configuración y programación de la
comunicación (S7-1200, S7-1500) (Página 249) para el caso de aplicación.
Para programar una CPU F S7-300/400, emplee las direcciones iniciales de las áreas de
transferencia. Para programar una CPU F S7-1200/1500, emplee los identificadores HW de las
áreas de transferencia.

9.5 Configuración y programación de la comunicación en varios proyectos
9.5 Configuración y programación de la comunicación en varios

proyectos
9.5.1 Comunicación IO controller-I-device orientada a la seguridad en varios

proyectos
Introducción
A continuación, se describen particularidades cuando el IO controller y el I-device están en
proyectos distintos.
Requisitos
• El IO controller es una CPU F S7-1200/1500 que soporta la funcionalidad de IO controller.
• El I-device es una CPU F S7-300/400/1200/1500 que soporta la funcionalidad de I-device.
• El proyecto en el que está el I-device debe haberse creado con S7 Distributed Safety V5.4,
STEP 7 Safety V13 o superior.
Configuración
1. En el proyecto, configure la comunicación orientada a la seguridad con el I-device como se
describe en "Configuración de la comunicación IO controller-I-device orientada a la
seguridad (Página 211)" (S7-300/S7-400) o "Configuración de la comunicación IO
controller-I-device orientada a la seguridad (Página 271)" (S7-1200/S7-1500). La CPU F 1
(IO controller) es simplemente un comodín para la CPU F en el proyecto del IO controller.
NOTA
Durante la creación con STEP 7 Safety <V14 SP1, evite un cambio posterior de las áreas de
transferencia de CD a CD F.
Durante la creación con S7 Distributed Safety V5.4, cree las áreas de transferencia de
aplicación del tipo de dirección "Output (Salida)" e "Input (Entrada)" directamente una tras
otra.
2. Exporte el I-device como archivo GSD. Para ello, siga las instrucciones de la Ayuda de STEP
7, apartado "Configuración de I-device".
3. Importe el archivo GSD en el proyecto con el IO controller. Para ello, siga las instrucciones
de la Ayuda de STEP 7, apartado "Instalación de archivo GSD".
4. Inserte el I-device en el proyecto con el IO controller desde la Task Card "Hardware catalog
(Catálogo de hardware)".
5. Asigne al I-device la CPU F del IO controller.

9.5 Configuración y programación de la comunicación en varios proyectos
3UR\HFWR 3UR\HFWR
&38) &38)FRPR )&' &38)
,2FRQWUROOHU FRPRG¯Q ,GHYLFH
,2GHYLFH
)&' QRUPDOL]DGR
,GHYLFH $UFKLYR*6'
,2GHYLFH $UFKLYR*6'
)&'
QRUPDOL]DGR
,GHYLFH
3UR\HFWR

&38)FRPR )&' &38)
FRPRG¯Q ,GHYLFH

Para programar la comunicación IO controller-I-device orientada a la seguridad para una CPU
F S7-300/400, proceda de forma análoga a como se describe en "Comunicación IO
controller-I-device orientada a la seguridad mediante SENDDP y RCVDP (Página 213)" y
"Programación de la comunicación IO controller-I-device orientada a la seguridad (Página
213)". Para programar una CPU F S7-300/400, emplee las direcciones iniciales de las áreas de
transferencia.
Para programar la comunicación IO controller-I-device orientada a la seguridad para una CPU
F S7-1200/1500, proceda de forma análoga a como se describe en "Comunicación IO
controller-I-device orientada a la seguridad mediante SENDDP y RCVDP (Página 273)" y
"Programación de la comunicación IO controller-I-device orientada a la seguridad (Página
273)". Para programar una CPU F S7-1200/1500, emplee los identificadores HW de las áreas
de transferencia.

10
Compilación y puesta en marcha del programa de
seguridad
10.1 Compilación del programa de seguridad

Para obtener un programa de seguridad coherente, haga lo siguiente:
1. Seleccione la carpeta "Program blocks (Bloques de programa)" o la carpeta de la Safety
Unit, o bien un nivel superior.
2. Inicie la compilación.
Para ello, proceda básicamente igual que al compilar un programa de usuario estándar.
Para ello, existen diferentes posibilidades de ajuste en STEP 7. Encontrará una descripción
de los principios básicos de la compilación de programas de usuario en la Ayuda de STEP
7.
NOTA
Tenga en cuenta que, tras una modificación relativa a la seguridad de la configuración
hardware, no solamente debe compilarse y cargarse esta, sino también el programa de
seguridad. Esto se aplica también a las modificaciones en periferia F que no se utilice en el
NOTA
Para las CPU F S7-300/400, se aplica lo siguiente:
Si desea compilar un bloque F con protección de know-how tras una modificación, deberá
eliminar la protección de know-how de dicho bloque F antes de la compilación.
Mensaje de errores de compilación

En el mensaje que aparece en la ventana de inspección, en "Info (Información) > Compile
(Compilar)", puede comprobar si la compilación se ha realizado correctamente, ya que se
emiten mensajes de error o advertencias.
Encontrará más información sobre cómo proceder para solucionar errores de compilación en
la Ayuda de STEP 7, apartado "Solucionar errores de compilación".

Compilación y puesta en marcha del programa de seguridad
10.2 Memoria de trabajo necesaria para el programa de seguridad (S7-300, S7-400)
10.2 Memoria de trabajo necesaria para el programa de seguridad

(S7-300, S7-400)
Estimación
La memoria de trabajo necesaria para el programa de seguridad se estima de la manera
siguiente:
Memoria de trabajo necesaria para el programa de seguridad
32 kbytes para bloques de sistema F

+ 4,4 kbytes para la comunicación orientada a la seguridad entre grupos de ejecución F
+ 4,5 veces la memoria de trabajo necesaria para todos los FB F/FC F/bloques Main-Safety
+ 4,5 veces la memoria de trabajo necesaria para todas las instrucciones utilizadas que
aparecen en la Task Card "Instructions (Instrucciones)" con el símbolo de bloque
(excepto SENDDP, RCVDP, SENDS7 y RCVS7).
+ Memoria de trabajo necesaria para las instrucciones utilizadas SENDDP y RCVDP (4,3
kbytes cada una)
+ Memoria de trabajo necesaria para las instrucciones utilizadas SENDS7 y RCVS7 (8,5
kbytes cada una)
Memoria de trabajo necesaria para datos
5 veces la memoria de trabajo necesaria para todos los DB F (incluidos los DB de

comunicación F, pero sin DB para comunicación entre grupos de ejecución F) e I-DB para
bloque Main-Safety/FB F
+ 24 veces la memoria de trabajo necesaria para todos los DB para comunicación entre
grupos de ejecución F
+ 2,3 veces la memoria de trabajo necesaria para todos los I-DB para instrucciones
(excepto SENDDP, RCVDP, SENDS7 y RCVS7)
+ Memoria de trabajo necesaria para todos los I-DB de las instrucciones SENDDP (0,2
kbytes), RCVDP (0,3 kbytes), SENDS7 (0,6 kbytes) y RCVS7 (1,0 kbyte)
+ 0,7 kbytes por FC F
+ 0,7 kbytes por periferia F (entre otros, para DB de periferia F)
+ 4,5 kbytes
Tamaño de los bloques F generados automáticamente

No use por completo el tamaño máximo de un bloque F, ya que los bloques F generados
automáticamente son mayores y, en consecuencia, podría rebasarse por exceso el tamaño
máximo posible en la CPU F. El rebase del tamaño de bloque provoca un mensaje de error
correspondiente con indicaciones sobre qué bloques F tienen un tamaño excesivo. Dado el
caso, deberán dividirse.

10.3 Carga de datos del proyecto
Introducción
Una vez que haya compilado correctamente el programa de seguridad, podrá cargarlo en la
CPU F junto con el programa de usuario estándar.
(S7-1500) Si el programa de seguridad está en una Safety Unit, dicha Safety Unit puede
cargarse en la CPU F de manera independiente.
Para cargar un programa de seguridad, proceda básicamente igual que al cargar un programa
de usuario estándar; se ofrecen diferentes posibilidades de acceso en STEP 7:
• En el cuadro de diálogo "Load preview (Vista preliminar Carga)", se introducen datos
(p. ej., contraseña de la CPU F) y se configuran requisitos necesarios para la carga (p. ej.,
que la CPU F pase a STOP antes de cargar).
• En el cuadro de diálogo "Load results (Resultados Carga)", se muestran los resultados tras
la carga.
A continuación, se muestran las posibilidades para cargar el programa de seguridad.
Encontrará información general sobre la carga en la Ayuda de STEP 7.

Reglas para cargar los datos del proyecto en una CPU F
ADVERTENCIA
misma programadora/el mismo PC, debe garantizarse con las siguientes medidas
adicionales que los datos del proyecto relativos a la seguridad se carguen en la CPU F
correcta:
Utilice contraseñas específicas para CPU F, p. ej., una contraseña única para las CPU F con su
correspondiente dirección Ethernet.
Tener en cuenta lo siguiente:
• La carga inicial de la configuración hardware para activar la protección de acceso de una
CPU F debe realizarse a través de una conexión punto a punto (de forma análoga a la
asignación inicial de una dirección MPI a una CPU F).
• Antes de cargar los datos del proyecto relativos a la seguridad en una CPU F, debe
anularse un permiso de acceso ya existente para otra CPU F.
• La carga final de los datos del proyecto relativos a la seguridad antes de pasar al modo
productivo debe realizarse con la protección de acceso activada. (S021)
NOTA
Solamente es posible cargar un programa de seguridad coherente en el estado operativo
STOP.
NOTA
Si STEP 7 Safety detecta un programa de seguridad incoherente durante el arranque de la
CPU F, se impide dicho arranque siempre que la CPU F soporte esa detección (ver información
de producto de la CPU F S7-300/400 respectiva; las CPU F S7-1200/1500 siempre la
soportan). En el búfer de diagnóstico de la CPU F se introduce un evento de diagnóstico
correspondiente:
Si la CPU F no soporta esa detección, la ejecución de un programa de seguridad incoherente
con el modo seguro activado puede provocar un STOP de la CPU.
En el búfer de diagnóstico de la CPU F se introduce la causa del evento de diagnóstico.
Al cargar el programa de seguridad, asegúrese de que el cuadro de diálogo "Load preview

(Vista preliminar Carga)" tenga ajustada la acción "Consistent download (Carga coherente)"
para la opción "Safety program (Programa de seguridad)".
La carga incoherente solamente es posible con el modo seguro desactivado.
Solicitud de contraseña antes de cargar en una CPU F

Si ha asignado un nivel de protección para la CPU F (Página 99) (en las propiedades de la CPU
F, en la pestaña "Protection (Protección)"), se solicita la contraseña correspondiente en el
cuadro de diálogo "Load preview (Vista preliminar Carga)". Si no se introduce ninguna
contraseña, solamente podrán realizarse las acciones que estén permitidas sin contraseña.
Una vez que se cumplan las condiciones para la carga, se activará el botón "Load (Cargar)".

Cuadro de diálogo "Load preview (Vista preliminar Carga)"

En el cuadro de diálogo "Load preview (Vista preliminar Carga)", si se trata de una CPU F,
aparecerá además el área "Safety program (Programa de seguridad)".
Elija lo siguiente:
• Para cargar un programa de seguridad de forma coherente, en el destino "Safety program
(Programa de seguridad)", seleccione la acción "Consistent download (Carga coherente)".
• (S7-300, S7-400) Para cargar bloques F individuales de forma selectiva (Página 301), en el
destino "Safety program (Programa de seguridad)", elija la acción "Download selection
(Cargar selección)" y seleccione debajo los bloques F deseados. En caso necesario, se le
pedirá que desactive el modo seguro en "Disable safety mode (Desactivar el modo
seguro)". Este ajuste solo es adecuado para la prueba online de bloques F individuales.
• (S7-300, S7-400) Para cargar solamente el programa de seguridad, en el destino "Safety
program (Programa de seguridad)", elija la acción "Consistent download (Carga
coherente)", y en el destino "Standard software (Software estándar)", elija la acción
"Download selection (Cargar selección)" y seleccione debajo únicamente los bloques
estándar que llamen el bloque Main-Safety.
• (S7-300, S7-400) Para no cargar ningún programa de seguridad, p. ej., porque desconoce
la contraseña de la CPU F, en el destino "Safety program (Programa de seguridad)", elija la
acción "No action (Ninguna acción)".
Para las CPU F S7-1200/1500, como acción en el cuadro de diálogo "Load preview (Vista
preliminar Carga)", solamente es posible el valor "Consistent download (Carga coherente)". En
este cuadro de diálogo, no es posible modificar la selección de las partes de programa que
van a cargarse. La selección se produce de forma automática a partir de la selección
efectuada en el árbol del proyecto al iniciar la carga.

Cuadro de diálogo "Load results (Resultados Carga)"

Tras la carga en la CPU F, se abre el cuadro de diálogo "Load results (Resultados Carga)". Este
cuadro de diálogo muestra el estado y las acciones necesarias tras la carga.
Compruebe si, en el cuadro de diálogo "Load results (Resultados Carga)", aparece el mensaje
"Download process for safety program completed without errors (El proceso de carga para el
programa de seguridad ha finalizado sin errores).". De no ser así, repita la carga.

10.3.1 Carga de datos del proyecto en una CPU F S7-300/400
10.3.1.1 Carga de datos del proyecto en una CPU F S7-300/400 con Memory Card (SIMATIC
Micro Memory Card o tarjeta Flash) insertada
Si se cargan datos del proyecto en una CPU F S7-300/400 con Memory Card (SIMATIC Micro
Memory Card en el caso del S7-300 o tarjeta Flash en el caso del S7-400) insertada, debe
tenerse en cuenta la siguiente advertencia:
ADVERTENCIA
Si la prueba de funcionamiento del programa de seguridad no se realiza en la CPU F de

destino, debe seguirse el siguiente procedimiento al cargar los datos del proyecto relativos a
la seguridad en la CPU F con una programadora/un PC para asegurarse de que no haya
datos del proyecto relativos a la seguridad "antiguos" en la CPU F:
• Cargar los datos del proyecto relativos a la seguridad en la CPU F.
• Realizar una identificación del programa (es decir, comprobar si las firmas colectivas F
coinciden online y offline).
• Realizar un borrado total de la CPU F mediante el selector de modo o mediante una
programadora/un PC. Tras borrar la memoria de trabajo, los datos del proyecto se
transfieren de nuevo desde la memoria de carga (Memory Card, SIMATIC Micro Memory
Card en las CPU F S7-300, tarjeta Flash en las CPU F S7-400) a la memoria de trabajo.
(S022)
10.3.1.2 Carga de datos del proyecto en una CPU F S7-400 sin tarjeta Flash insertada
Si se cargan datos del proyecto en una CPU F S7-400 sin tarjeta Flash insertada, debe tenerse
en cuenta la siguiente advertencia:
ADVERTENCIA

• Realizar un borrado total de la CPU F mediante el selector de modo o mediante una
programadora/un PC.
• Ejecutar una identificación del programa (es decir, comprobar si las "Collective
F-signatures (Firmas colectivas F)" coinciden online y offline). (S023)

10.3.1.3 Carga de datos del proyecto en un WinAC RTX F
Si se cargan datos del proyecto en un WinAC RTX F, debe tenerse en cuenta la siguiente
advertencia:
ADVERTENCIA
Para asegurarse de que no haya datos del proyecto relativos a la seguridad "antiguos" en el
WinAC RTX F, debe seguirse el siguiente procedimiento al cargar los datos del proyecto
relativos a la seguridad en el WinAC RTX F con una programadora/un PC:
1. Realizar un borrado total del WinAC RTX F (ver el manual de Windows Automation Center
RTX WinAC RTX (F) 2010
(http://support.automation.siemens.com/WW/view/en/43715176)).
2. Cargar los datos del proyecto relativos a la seguridad en el WinAC RTX F.
Si la prueba de funcionamiento del programa de seguridad no se realiza en el WinAC
RTX F de destino, deben cumplirse además los puntos 3 y 4:
3. Ejecutar una identificación del programa. Es decir, comprobar si las firmas colectivas F
coinciden online y offline.
4. Ejecutar el arranque del sistema F.
Entre la identificación online del programa y el arranque del sistema F, no se debe reiniciar el
WinAC RTX F (p. ej., mediante POWER OFF/POWER ON o arranque). (S024)
10.3.1.4 Carga de bloques F individuales en una CPU F S7-300/400
Carga de bloques F individuales con el modo seguro desactivado

Es posible cargar al mismo tiempo bloques F y bloques estándar en la CPU F desde el árbol del
proyecto. No obstante, en cuanto se deben cargar bloques F, se comprueba si la CPU F está
en STOP o con el modo seguro desactivado. Si no es el caso, se ofrece la posibilidad de
cambiar al modo seguro desactivado o de conmutar la CPU F a STOP.
Para cargar bloques F individuales en la CPU F, p. ej., con el fin de probar modificaciones,
preste atención a no seleccionar la carpeta "Program blocks (Bloques de programa)" o la CPU
F en el árbol del proyecto, sino solamente los bloques que vaya a cargar.
Solo así, se le pedirá que desactive el modo seguro en el cuadro de diálogo "Load preview
(Vista preliminar Carga)" una vez que se hayan cambiado la opción "Consistent download
(Carga coherente)" a "Download selection (Cargar selección)" y la opción "Stop modules
(Parar módulos)" a "No action (Ninguna acción)".
Si no lo tiene en cuenta, se cargarán los bloques sin que se desactive el modo seguro, lo que
puede provocar un STOP de la CPU F.
Como alternativa, puede desactivar el modo seguro de manera explícita en el Safety
Administration Editor antes de la carga.
Tenga en cuenta que, después de cargar bloques F individuales, no se garantiza que se haya
cargado un programa de seguridad coherente en la CPU F. Para contar con un programa de
seguridad coherente, cargue siempre el programa de seguridad completo en la CPU F.

Reglas para cargar bloques F individuales

Para cargar bloques F individuales, se aplican las siguientes reglas:
• La carga solamente es posible con el modo seguro desactivado o en STOP de la CPU F.
• Solo está permitido cargar bloques F en una CPU F que ya tenga cargado un programa de
seguridad.
En consecuencia, al cargar el programa de seguridad por primera vez y tras modificar la
contraseña para el programa de seguridad, solo es posible cargar el programa de seguridad
completo.
NOTA
Si solo se cargan bloques F individuales, no se cargarán los bloques desde los que se llaman
los bloques Main-Safety (p. ej., OB de alarma cíclica 35). Para ello, elija la opción "Selection
(Selección)" en el cuadro de diálogo de la vista preliminar, en "Standard software (Software
estándar)", y seleccione los bloques necesarios.
NOTA
La carga de bloques F individuales solo es adecuada para probar los bloques F. Antes de pasar
al modo productivo, deberá cargar el programa de seguridad de forma coherente en la CPU F.
10.3.1.5 Carga de datos del proyecto en una Memory Card o enchufe de una Memory Card o
un medio de almacenamiento extraíble
Para cargar datos del proyecto de una CPU F en una Memory Card (tarjeta Flash en el caso del
S7-400, SIMATIC Micro Memory Card en el caso del S7-300), proceda del mismo modo que en
el programa estándar. Además, debe tenerse en cuenta la siguiente advertencia:
ADVERTENCIA
Si la prueba de funcionamiento del programa de seguridad no se hace en la CPU F de

destino, debe garantizarse que, después de cargar los datos del proyecto relativos a la
seguridad en la Memory Card, se encuentren los datos del proyecto relativos a la seguridad
correctos en la Memory Card.
Procedimiento a seguir:
1. Cargar los datos del proyecto en la Memory Card.
2. Ejecutar una identificación del programa (Página 328).
3. Identificar la Memory Card de manera unívoca (p. ej., con la firma colectiva F). (S043)

Al insertar una Memory Card (tarjeta Flash en el caso del S7-400 o SIMATIC Micro Memory
Card en el caso del S7-300) o un medio de almacenamiento extraíble en WinAC RTX F con
datos del proyecto de una CPU F, debe tenerse en cuenta la siguiente advertencia:
ADVERTENCIA

destino, debe garantizarse que la Memory Card insertada o el medio de almacenamiento
extraíble contengan los datos del proyecto relativos la seguridad adecuados, ya sea mediante
la identificación online del programa o con otras medidas apropiadas (p. ej., comprobando el
identificador de la Memory Card o el medio de almacenamiento extraíble). (S025)
Al insertar una Memory Card (tarjeta Flash en el caso del S7-400 o SIMATIC Micro Memory
Card en el caso del S7-300) en una CPU F S7-300/400, debe tenerse en cuenta la siguiente
advertencia:
ADVERTENCIA

destino, es necesario seguir el siguiente procedimiento al insertar la Memory Card para
asegurarse de que no haya datos del proyecto relativos a la seguridad "antiguos" en la CPU F:
• Desconectar la tensión de la CPU F y retirar la batería de las CPU F con respaldo por
batería (p. ej., en la CPU 416F‑2), si disponen de ella. (Para asegurarse de que la CPU F
está sin tensión, tener en cuenta el tiempo de respaldo de la fuente de alimentación
utilizada o, si se desconoce, desenchufar la CPU F).
• Retirar la Memory Card de la CPU F con los datos del proyecto relativos a la seguridad.
• Insertar la Memory Card con los nuevos datos del proyecto relativos a la seguridad en la
CPU F.
• Conectar de nuevo la CPU F y volver a colocar la batería si se ha retirado (p. ej., en la CPU
416F‑2).
(S026)

10.3.2 Carga de datos del proyecto en una CPU F S7-1200
10.3.2.1 Carga de datos del proyecto en una CPU F S7-1200 sin tarjeta de programa
insertada
Si se cargan datos del proyecto en una CPU F S7-1200 sin tarjeta de programa insertada, debe
tenerse en cuenta la siguiente advertencia:
ADVERTENCIA


10.3.2.2 Carga de datos del proyecto en una CPU F S7-1200 con tarjeta de programa
insertada
Si se cargan datos del proyecto en una CPU F S7-1200 con tarjeta de programa insertada,
deben tenerse en cuenta las siguientes advertencias:
ADVERTENCIA
Para asegurarse de que no haya datos del proyecto relativos a la seguridad "antiguos" en la
memoria de carga interna de la CPU F al insertar una tarjeta de programa en una CPU F
S7-1200, debe seguirse el siguiente procedimiento:
1. Comprobar si, con la ranura para tarjetas vacía, el LED STOP/RUN (naranja) y el LED
de mantenimiento parpadean durante 3 segundos al arrancar.
Si este es el caso, significa que ya se ha borrado la memoria de carga interna de la CPU F
(p. ej., si la CPU F se ha operado hasta ese momento con la tarjeta de programa como
memoria de carga externa) y puede saltarse el paso 3.
2. Insertar la tarjeta de programa en la CPU F.
Si la CPU F está en estado operativo RUN, pasa a STOP. El LED de mantenimiento de la
CPU F parpadea para indicar que la tarjeta de programa se está evaluando o que la
memoria de carga interna debe borrarse.
3. Iniciar el borrado de la memoria de carga interna mediante uno de los siguientes
métodos:
– Desconectar y volver a conectar la CPU F.
– Conmutar la CPU F de STOP a RUN.
– Ejecutar la función "Memory reset (Borrado total)" (MRES).
Tras el rearranque de la CPU F y el borrado la memoria de carga interna, deben
parpadear el LED STOP/RUN (naranja) y el LED de mantenimiento. En este caso, la
memoria de carga interna de la CPU F está borrada y no contiene datos del proyecto
relativos a la seguridad "antiguos".
4. Iniciar la evaluación de la tarjeta de programa mediante uno de los siguientes métodos:
La CPU efectúa un rearranque y evalúa la tarjeta de programa.
A continuación, la CPU F pasa al estado operativo para el arranque (RUN o STOP)
configurado para la CPU F. (S061)

Para una CPU F S7-1200 sin SIMATIC Memory Card insertada y con la memoria de carga
interna borrada, los LED de estado tienen el estado descrito en la tabla siguiente.
Descripción STOP/RUN naranja/ver ERROR rojo MAINT naranja

de
Memoria de carga inter Parpadeo (naranja) Apagado Parpadeo
na borrada y ninguna (durante 3 segundos en (durante 3 segundos en
SIMATIC Memory Card el arranque) el arranque)
insertada.
ADVERTENCIA
Si se cargan bloques F mediante una programadora/un PC en una CPU F S7-1200 con una
tarjeta de programa insertada (memoria de carga externa), debe garantizarse que la
transferencia se haga a la memoria de carga externa. Esto se puede lograr con las medidas
siguientes:
• Comprobar si la tarjeta de programa está insertada correctamente.
• Enchufar una tarjeta de programa cuya capacidad de memoria difiera de la capacidad de
memoria de la memoria de carga interna. En el árbol del proyecto, comprobar en "Online
& diagnostics (Online y diagnóstico) > Diagnostics (Diagnóstico) > Memory (Memoria)" si
la capacidad de memoria de la memoria de carga que se indica coincide con la capacidad
de memoria de la tarjeta de programa. (S058)
ADVERTENCIA


10.3.2.3 Inserción de una tarjeta de transferencia en una CPU F S7-1200
Si se inserta una tarjeta de transferencia en una CPU F S7-1200, debe tenerse en cuenta la
ADVERTENCIA
Para asegurarse de que no haya datos del proyecto relativos a la seguridad "antiguos" en la
memoria de carga interna al copiar los datos del proyecto relativos a la seguridad a una CPU
F S7-1200 con ayuda de una tarjeta de transferencia, debe seguirse el siguiente
procedimiento:
1. Comprobar si, con la ranura para tarjetas vacía, el LED STOP/RUN (naranja) y el LED
de mantenimiento parpadean durante 3 segundos al arrancar.
Si este es el caso, significa que ya se ha borrado la memoria de carga interna de la CPU F y
puede saltarse el paso 3.
2. Insertar la tarjeta de transferencia en la CPU F.
CPU F parpadea para mostrar que la tarjeta de transferencia se está evaluando o que la
memoria de carga interna debe borrarse.
3. Iniciar el borrado de la memoria de carga interna mediante uno de los siguientes
métodos:
Tras el rearranque de la CPU F y el borrado la memoria de carga interna, deben
parpadear el LED STOP/RUN (naranja) y el LED de mantenimiento. En este caso, la
memoria de carga interna de la CPU F está borrada y no contiene datos del proyecto
relativos a la seguridad "antiguos".
4. Iniciar la evaluación de la tarjeta de transferencia (transferencia desde la tarjeta de
transferencia a la memoria de carga interna) mediante uno de los siguientes métodos:
Tras el rearranque y la evaluación de la SIMATIC Memory Card, la CPU F copia los datos
del proyecto a la memoria de carga interna de la CPU F. Una vez finalizado el proceso de
copia, el LED de mantenimiento de la CPU F parpadea para indicar que la tarjeta de
transferencia puede retirarse.
5. Retirar la tarjeta de transferencia de la CPU F.
6. Iniciar la evaluación de la memoria de carga interna mediante uno de los siguientes
métodos:

Para una CPU F S7-1200 sin SIMATIC Memory Card insertada y con la memoria de carga
interna borrada, los LED de estado tienen el estado descrito en la tabla siguiente.
Descripción STOP/RUN naranja/ver ERROR rojo MAINT naranja

de
Memoria de carga inter Parpadeo (naranja) Apagado Parpadeo
na borrada y ninguna (durante 3 segundos en (durante 3 segundos en
SIMATIC Memory Card el arranque) el arranque)
insertada.

10.3.2.4 Carga de datos del proyecto de la memoria de carga interna de una CPU F S7-1200
a una SIMATIC Memory Card vacía
Si desea cargar datos del proyecto de la memoria de carga interna de una CPU F S7-1200 a
una SIMATIC Memory Card vacía, debe tener en cuenta la siguiente advertencia:
ADVERTENCIA
Para que cuando se inserte una SIMATIC Memory Card vacía en una CPU F S7-1200 los datos
del proyecto relativos a la seguridad se carguen desde la memoria de carga interna de la CPU
F a la SIMATIC Memory Card y se borre la memoria de carga interna de la CPU F, debe seguir
el siguiente procedimiento:
1. Asegurarse de que se trata de una SIMATIC Memory Card vacía, p. ej., comprobando con
el explorador de Windows que se han borrado la carpeta "SIMATIC.S7S" y el archivo
"S7_JOB.S7S".
2. Insertar la SIMATIC Memory Card vacía en la CPU F.
CPU F parpadea para indicar que el programa se puede copiar desde la memoria de carga
interna a la SIMATIC Memory Card y que, a continuación, se borrará la memoria de carga
interna.
3. Iniciar la copia de la memoria de carga interna a la SIMATIC Memory Card y el posterior
borrado de la memoria de carga interna mediante uno de los siguientes métodos:
Tras el rearranque de la CPU y la copia de los datos del proyecto de la memoria de carga
interna a la SIMATIC Memory Card y el borrado posterior de la memoria de carga interna,
deben parpadear el LED STOP/RUN (naranja) y el LED de mantenimiento. En este
caso, la memoria de carga interna de la CPU F está borrada y ya no contiene datos del
proyecto relativos a la seguridad. La SIMATIC Memory Card es ahora una tarjeta de
programa.
4. Iniciar la evaluación de la tarjeta de programa mediante uno de los siguientes métodos:
La CPU F ejecuta un rearranque y evalúa la tarjeta de programa.
NOTA
Tenga en cuenta también el ajuste "Disable copying from internal load memory to external
load memory (Desactivar la copia de la memoria de carga interna a la memoria de carga
externa)" en la configuración HW de la CPU F.

10.3.2.5 Actualización de datos del proyecto de una CPU F S7-1200 con una tarjeta de
transferencia
Si desea actualizar los datos del proyecto de una CPU F S7-1200 con una tarjeta de
transferencia, debe tener en cuenta la siguiente advertencia:
ADVERTENCIA
Si, en una CPU F S7-1200, se actualizan los datos del proyecto relativos a la seguridad con
ayuda de una tarjeta de transferencia, debe garantizarse, mediante una posterior
identificación del programa, de que la transferencia a la memoria de carga interna se haya
efectuado correctamente. (S060)
10.3.2.6 Carga de datos del proyecto en una SIMATIC Memory Card y enchufe de una
SIMATIC Memory Card
Para cargar datos del proyecto de una CPU F a una SIMATIC Memory Card, proceda del mismo
modo que en el programa estándar. Además, debe tenerse en cuenta la siguiente
advertencia:
ADVERTENCIA

Al insertar una SIMATIC Memory Card con datos del proyecto de una CPU F, debe tenerse en
cuenta la siguiente advertencia:
ADVERTENCIA


10.3.3 Carga de datos del proyecto en una CPU F S7-1500
10.3.3.1 Carga de datos del proyecto en una CPU F S7-1500
Si se cargan datos del proyecto en una CPU F S7-1500, debe tenerse en cuenta la siguiente
advertencia:
ADVERTENCIA


10.3.3.2 Carga de datos del proyecto en un sistema redundante S7-1500HF
En un sistema redundante S7-1500HF solamente se puede cargar un programa de seguridad

coherente con el sistema redundante S7-1500HF en STOP.
Para ello, debe tenerse en cuenta una de las siguientes advertencias:
• Carga del sistema redundante S7-1500HF en STOP.
ADVERTENCIA
Si la prueba de funcionamiento del programa de seguridad no se hace en el sistema de

destino S7-1500HF redundante, debe seguirse el siguiente procedimiento para cargar los
datos del proyecto relativos a la seguridad en las CPU HF con una programadora/un PC
para asegurarse de que no haya datos del proyecto relativos a la seguridad "antiguos" en
las CPU HF:
1. Pasar ambas CPU HF al estado operativo STOP.
2. Si no se ha programado una protección de (re)arranque en el programa de seguridad
anterior (Programación de la protección de arranque (Página 149)), es necesario
formatear la SIMATIC Memory Card o borrar el programa, p. ej., mediante el display,
en ambas CPU HF.
3. Cargar los datos del proyecto relativos la seguridad en una de las dos CPU HF.
4. Pasar al estado operativo RUN la CPU HF en la que se han cargado los nuevos datos del
proyecto relativos a la seguridad.
5. Pasar la segunda CPU HF al estado operativo RUN.
6. En cuanto se haya alcanzado el estado operativo RUN-Redundant, deberá ejecutarse
una identificación del programa en una de las dos CPU HF (es decir, comprobar si las
"Collective F-signatures (Firmas colectivas F)" coinciden online y offline).
Si se ha programado una protección de (re)arranque en el nuevo programa de
seguridad, solo está permitido acusarla después de que la identificación del programa
haya finalizado correctamente. (S090)

• Carga del sistema redundante S7-1500HF con tiempo de STOP reducido.
ADVERTENCIA
Si la prueba de funcionamiento del programa de seguridad no se hace en el sistema de

destino S7-1500HF redundante, debe seguirse el siguiente procedimiento para cargar los
datos del proyecto relativos a la seguridad en las CPU HF con una programadora/un PC
para asegurarse de que no haya datos del proyecto relativos a la seguridad "antiguos" en
las CPU HF:
1. Pasar una de las dos CPU HF al estado operativo STOP.
actual (Programación de la protección de arranque (Página 149)), se debe formatear
la SIMATIC Memory Card o borrar el programa, p. ej., mediante el display, en la CPU
HF que está en estado operativo STOP.
3. Cargar los datos del proyecto relativos a la seguridad en la CPU HF que está en estado
operativo STOP (en la CPU de reserva con el comando del menú contextual "Load in
backup-CPU (Cargar en la CPU de reserva)").
4. Pasar al estado operativo STOP la CPU HF que aún está en estado operativo RUN.
actual, se debe formatear la SIMATIC Memory Card o borrar el programa, p. ej.,
mediante el display, en la CPU HF que se acaba de pasar al estado operativo STOP.
6. Pasar al estado operativo RUN la CPU HF con los datos del proyecto relativos a la
seguridad que se acaban de cargar.
7. Pasar la segunda CPU HF al estado operativo RUN.
8. En cuanto se haya alcanzado el estado operativo RUN-Redundant, deberá ejecutarse
una identificación del programa en una de las dos CPU HF (es decir, comprobar si las
"Collective F-signatures (Firmas colectivas F)" coinciden online y offline).
Si se ha programado una protección de (re)arranque en el nuevo programa de
seguridad, solo está permitido acusarla después de que la identificación del programa
haya finalizado correctamente. (S091)
10.3.3.3 Carga de datos del proyecto en un S7-1500 F Software Controller
Si se cargan datos del proyecto en un S7-1500 F Software Controller, deben tenerse en

cuenta las siguientes advertencias:
ADVERTENCIA


Para un S7-1500 F Software Controller con firmware ≤V21.9.x en un IPC 627E, IPC 647E, IPC
677E o IPC 847E, debe tenerse en cuenta la siguiente advertencia:
ADVERTENCIA
Si se descarga el programa de seguridad, a continuación es necesaria una POWER

OFF/POWER ON (desconexión y conexión) antes de identificar el programa para su
recepción/aceptación. (S097)
ADVERTENCIA
Por motivos de seguridad, en los Software Controller S7-1500 F la contraseña se guarda en

una memoria independiente, además de en la memoria de carga.
A diferencia de la memoria de carga, esta memoria independiente no se borra. Con ello, tras
borrar el Software Controller S7-1500 F y realizar un rearranque, las contraseñas actuales
seguirían activas.
Por este motivo, es preciso tener en cuenta lo siguiente:
• El S7-1500 F Software Controller se borra en los siguientes supuestos de carga de la
estación PC:
– Carga de una estación PC con asignación de interfaces modificada.
– Carga de una estación PC con ubicación de los datos remanentes modificada.
• Se recomienda configurar la protección de acceso F después de la puesta en marcha. Si
todavía debe cambiarse la asignación de interfaces de la estación PC o la ubicación de los
datos remanentes, no es necesario que introduzca la contraseña F cuando realice la carga
necesaria posterior del Software Controller S7-1500 F.
• Se recomienda eliminar la protección de acceso F en un S7-1500 F Software Controller
que ya no se utilice. Si, cuando se utilice el S7-1500 F Software Controller, ya no se
recuerda la contraseña F, solo se podrá eliminar la contraseña F mediante una
desinstalación/instalación/reparación o importación de una imagen. (S076)
Consulte
también
Carga de datos del proyecto (Página 296)
Software Controller (http://support.automation.siemens.com/WW/view/es/109249299)

10.3.3.4 Carga de datos del proyecto en una SIMATIC Memory Card y enchufe de una
SIMATIC Memory Card o un medio de almacenamiento extraíble
Para cargar datos del proyecto de una CPU (H)F en una SIMATIC Memory Card, proceda del
mismo modo que en el programa estándar. Además, debe tenerse en cuenta la siguiente
advertencia:
ADVERTENCIA

Al insertar una SIMATIC Memory Card o un medio de almacenamiento extraíble en el S7-1500

F Software Controller con datos del proyecto de una CPU (H)F, debe tenerse en cuenta la
ADVERTENCIA


Enchufe de SIMATIC Memory Cards en un sistema redundante S7-1500HF
ADVERTENCIA
Al insertar dos SIMATIC Memory Cards nuevas con nuevos datos del proyecto relativos a la
seguridad para un sistema redundante S7-1500HF, haga lo siguiente:
2. Sustituya las SIMATIC Memory Cards de ambas CPU HF por:
– dos SIMATIC Memory Cards, cada una de ellas con los nuevos datos del proyecto
relativos a la seguridad, o bien
– una SIMATIC Memory Card con los nuevos datos del proyecto relativos a la seguridad y
una SIMATIC Memory Card vacía
Procedimiento para garantizar que los datos del proyecto relativos a la seguridad son
correctos mediante la identificación online del programa:
1. Comprobar en ambas CPU HF en estado operativo STOP, p. ej., con el display, si en la
SIMATIC Memory Card están los datos del proyecto relativos a la seguridad correctos o si
la segunda SIMATIC Memory Card está vacía.
2. Si el resultado de la comprobación es correcto, pasar las CPU HF al estado operativo RUN.
Si los nuevos datos del proyecto relativos a la seguridad están solo en una SIMATIC
Memory Card, se debe pasar primero al estado operativo RUN la CPU HF que tenga los
nuevos datos del proyecto relativos a la seguridad y, después, la CPU HF con la SIMATIC
Memory Card vacía.
Procedimiento para garantizar que se dispone de los datos del proyecto relativos a la
seguridad correctos mediante la identificación unívoca de las SIMATIC Memory Cards:
1. Pasar la CPU HF a RUN. Si los nuevos datos del proyecto relativos a la seguridad solo están
en una SIMATIC Memory Card, se pasará primero al estado operativo RUN la CPU HF que
tenga los nuevos datos del proyecto relativos a la seguridad y, solo después, la CPU HF
con la SIMATIC Memory Card vacía. (S092)

ADVERTENCIA
Al insertar una nueva SIMATIC Memory Card con nuevos datos del proyecto relativos a la
seguridad para un sistema redundante S7-1500HF, haga lo siguiente:
2. Retirar la SIMATIC Memory Card de una de las dos CPU HF.
3. Formatear la SIMATIC Memory Card o borrar el programa, p. ej., con el display, en la CPU
HF de la que no se haya retirado la tarjeta.
4. Insertar la SIMATIC Memory Card con los nuevos datos del proyecto relativos a la
seguridad en la CPU HF sin SIMATIC Memory Card.
5. Si no se puede garantizar que en la SIMATIC Memory Card estén los datos del proyecto
relativos a la seguridad correctos con otras medidas apropiadas (p. ej., mediante la
identificación unívoca de la SIMATIC Memory Card), se debe realizar una identificación
del programa en la CPU HF que tenga los nuevos datos del proyecto relativos a la
seguridad.
6. Pasar a RUN la CPU HF en la que estén los nuevos datos del proyecto relativos la
seguridad.
7. Pasar la segunda CPU HF al estado operativo RUN. (S093)
10.3.4 Restauración de la copia de seguridad del programa de seguridad de una

CPU F
Es posible crear una copia de seguridad de una CPU F y restaurarla del mismo modo que con
una CPU estándar. Encontrará más información sobre la copia de seguridad de una CPU en la
Ayuda de STEP 7, apartado "Creación de una copia de seguridad de una CPU S7". Solo es
posible crear una copia de seguridad de una CPU F S7-400 con la tarjeta Flash insertada.
Para restaurar el software y la configuración hardware de una CPU F, tenga en cuenta las
siguientes advertencias:
ADVERTENCIA
Tras restaurar una copia de seguridad de una CPU F, es preciso realizar una identificación del
programa.
En un sistema redundante S7-1500HF, la identificación del programa debe realizarse en el
estado operativo RUN-Redundant. (S055)
NOTA
Para la identificación del programa, se recomienda utilizar la firma colectiva F incluida en el
nombre del archivo de copia de seguridad. En tal caso, no está permitido modificar la firma
colectiva F en el nombre.

ADVERTENCIA
(S7-1200/1500) Si es posible acceder a varias CPU F con el servidor web activado desde la
misma programadora/el mismo PC, debe garantizarse con medidas adicionales que el
programa de seguridad se restaure en la CPU F correcta.
Utilizar las contraseñas específicas de la CPU para el derecho "F-Admin (Admin F)" en el
servidor web. Seleccionar, p. ej., una contraseña idéntica con dirección IP añadida (p. ej.,
Contraseña_192.168.0.8) para cada CPU F. (S065)
NOTA
Durante la restauración, puede ser necesario introducir la contraseña anterior de la CPU F.
10.3.5 Particularidades de la creación y carga de imágenes de un S7-1500 F

Software Controller
Creación de una imagen
ADVERTENCIA
Al crear una imagen con datos del proyecto relativos a la seguridad, deben observarse los
siguientes puntos:
• Restringir el acceso a un S7-1500 F Software Controller a aquellas personas autorizadas
para crear imágenes tomando medidas organizativas (Página %getreference).
• Antes de crear la imagen, debe asegurarse, mediante la identificación del programa, de
que en el S7-1500 F Software Controller se encuentren los datos del proyecto relativos a
la seguridad correctos.
• Las imágenes con datos del proyecto relativos a la seguridad deben crearse en un soporte
de datos vacío (borrado o formateado) o bien borrar una imagen existente de manera
explícita.
• Tras crear la imagen, retirar el soporte de datos que contiene la imagen.
• Marcar el soporte de datos de manera unívoca (p. ej., con la "Collective F-signature (Firma
colectiva F)"). (S073)
ATENCIóN
Si los datos del proyecto relativos a la seguridad difieren en la imagen y en el S7-1500 F

Software Controller, no arrancará el programa de seguridad cargado. En tal caso, deberá
volver a cargar los datos del proyecto en la CPU F; p. ej., con el TIA Portal. Por este motivo,
las copias de seguridad de imágenes deben mantenerse siempre actualizadas.
Igual que puede permitir que otra tarjeta CFast arranque un programa de seguridad, también
puede hacer que se cargue y se ejecute una imagen creada por otro dispositivo u otro
soporte de datos.

Carga de una imagen
ADVERTENCIA
Al cargar una imagen con datos del proyecto relativos la seguridad, deben observarse los
siguientes puntos:
• Restringir el acceso a un S7-1500 F Software Controller a aquellas personas autorizadas
para importar imágenes tomando medidas organizativas (Página %getreference).
• Al cargar una imagen vía LAN, acceso remoto o accesos equiparables, se debe garantizar
la protección de acceso (p. ej., con derechos de administrador de Windows (ADMIN)). No
obstante, debe asegurarse de que solo las personas autorizadas pueden configurarse
como usuarios.
• Para que la imagen se escriba en el S7-1500 F Software Controller correcto, al importar
una imagen vía LAN, deberá garantizarse que solo esté accesible un S7-1500 F Software
Controller. Por ejemplo, eliminando conexiones físicas y posibilidades de enrutamiento a
otros S7-1500 F Software Controller.
• Asegurarse de que en la imagen se encuentren los datos del proyecto relativos a la
seguridad correctos, p. ej., mediante la identificación unívoca del soporte de datos.
• Eliminar la imagen después de importarla al S7-1500 F Software Controller, así como sus
copias.
• Después de importar la imagen, deberá garantizarse mediante una identificación del
programa, p. ej., con el display, de que en el S7-1500 F Software Controller se
encuentren los datos del proyecto relativos a la seguridad correctos. (S074)
10.3.6 Carga de datos del proyecto (incl. datos del proyecto relativos a la
seguridad) de una CPU F a una programadora/un PC (S7-1500)
La función "Upload from device (software) (Cargar de dispositivo (software))" o "Upload
device as a new station (hardware and software) (Carga del dispositivo como estación nueva
(hardware y software))" solo es posible para CPU F S7-1500 si en el Safety Administration
Editor se ha activado la opción "Enable consistent upload from the F-CPU (Permitir carga
coherente de la CPU F)" para la CPU F y tras ello se han cargado los datos del proyecto en la
CPU F.
Para cargar los datos del proyecto (incl. datos del proyecto relativos a la seguridad) en una
programadora/un PC, proceda del mismo modo que en el programa estándar.
programadora/el PC, debe garantizarse que los datos del proyecto se carguen desde la CPU F
correcta. p. ej., con "Online & diagnostics (Online y diagnóstico)" > "Online access (Accesos
online)" > "LED flashes (Prueba de parpadeo de LED)".

Una vez realizada correctamente la carga desde el dispositivo, puede continuar como con un
proyecto creado offline.
ADVERTENCIA
Para realizar una recepción/aceptación con los datos del proyecto cargados en la
programadora/el PC o modificar los datos del proyecto relativos a la seguridad, deberá
garantizarse que el programa de seguridad sea ejecutable antes de la carga.
Esto se cumple al cargar desde una CPU F si la CPU F está en estado operativo RUN y con el
modo seguro activado o puede ponerse en RUN antes de la carga. Si la CPU F permanece en
STOP, no está permitido hacer modificaciones o la recepción/aceptación con los datos del
proyecto relativos a la seguridad cargados.
Al cargar desde una Memory Card, esta debe haber estado previamente en una CPU S7-1500
adecuada. En este contexto se aplican las mismas condiciones que al cargar desde una CPU
F. (S080)
Es posible cargar bloques F individuales en una programadora/un PC independientemente de

la opción "Enable consistent upload from the F-CPU (Permitir carga coherente de la CPU F)".
No está permitido cargar bloques F individuales con protección de know-how en una
programadora/un PC.
Con STEP 7 Safety V18 o superior, está permitido cargar datos del proyecto de una tarjeta de
memoria como estación nueva (hardware y software) y dispositivo (software).
Consulte
también
Área "Settings (Configuración)" (Página %getreference)
Carga de datos del proyecto (incl. datos del proyecto relativos a la seguridad) de una tarjeta
de memoria a una programadora/un PC (S7-1500) (Página 320)
10.3.7 Carga de datos del proyecto (incl. datos del proyecto relativos a la
seguridad) de una tarjeta de memoria a una programadora/un PC (S7-1500)
La función "Upload from device (software) (Cargar de dispositivo (software))" o "Upload
device as a new station (hardware and software) (Carga del dispositivo como estación nueva
(hardware y software))" solo es posible con CPU F S7-1500 si en el Safety Administration
Editor se ha activado la opción "Enable consistent upload from the F-CPU (Permitir carga
coherente de la CPU F)" para la CPU F y tras ello se han cargado los datos del proyecto en la
tarjeta de memoria.
Para cargar los datos del proyecto (incl. datos del proyecto relativos a la seguridad) en una
programadora/un PC, proceda del mismo modo que en el programa estándar.

Una vez efectuada correctamente la carga de la tarjeta de memoria, puede continuar como
con un proyecto creado offline.
ADVERTENCIA
Para realizar una recepción/aceptación con los datos del proyecto cargados en la
programadora/el PC o modificar los datos del proyecto relativos a la seguridad, deberá
garantizarse que el programa de seguridad sea ejecutable antes de la carga.
Esto se cumple al cargar desde una CPU F si la CPU F está en estado operativo RUN y con el
modo seguro activado o puede ponerse en RUN antes de la carga. Si la CPU F permanece en
STOP, no está permitido hacer modificaciones o la recepción/aceptación con los datos del
proyecto relativos a la seguridad cargados.
Al cargar desde una Memory Card, esta debe haber estado previamente en una CPU S7-1500
adecuada. En este contexto se aplican las mismas condiciones que al cargar desde una CPU
F. (S080)
Consulte
también
Área "Settings (Configuración)" (Página %getreference)
10.3.8 Carga de una estación PC mediante el archivo de configuración

La configuración de la instalación del sistema de PC se puede guardar y transportar en un
archivo de configuración y cargar en un sistema de destino. Al hacerlo, desde el TIA Portal se
guarda toda la configuración de la estación PC en un archivo de configuración con la
extensión *.psc.
Se soportan el almacenamiento y la carga del archivo de configuración a partir de:
• STEP 7 Safety V15
• S7-1500 F Software Controller V2.5
Ejemplo
Encontrará un ejemplo detallado en Internet
Parámetros de identificación
Los parámetros de identificación incluyen:
• Nombre de archivo
• Información del proyecto y de la estación que se guarda en los metadatos del archivo psc
desde el TIA Portal.
Por ej.:
– Versión del proyecto
– ID de la instalación
– Comentario de la estación
Si es necesario, guarde los parámetros de identificación en un archivo y guárdelo en el
sistema de destino.

Para evaluar y comprobar dichos parámetros de identificación mediante un script, es preciso

guardar esta información directamente en el script o guardar los parámetros de identificación
en un archivo aparte que se guardará en el sistema de destino.
10.3.8.1 Creación de un archivo de configuración
1. Cree un nuevo archivo de configuración en el TIA Portal con "Project (Proyecto) > Memory
Card file (Archivo Memory Card) > New (Nuevo) > PC system configuration file (.psc)
(Archivo de configuración del sistema PC (.psc))".
El archivo de configuración se crea en el árbol del proyecto, en "Card Reader/USB memory
(Card Reader/memoria USB)".
2. En el Safety Administration Editor, compruebe con la firma colectiva F si ha seleccionado
el proyecto o la estación correctos.
3. Con el ratón, arrastre la estación PC seleccionada hasta el archivo de configuración.
De este modo, se cargará la estación PC en el archivo de configuración.
ADVERTENCIA
En lugar de utilizar una identificación online del programa, se puede garantizar que los datos
del proyecto relativos a la seguridad correctos se encuentren en el archivo de configuración
mediante un nombre único del archivo de configuración *.psc (PC Station Configuration).
Además, debe observarse lo siguiente al crear un archivo de configuración:
El archivo de configuración con los datos del proyecto relativos a la seguridad no debe
crearse con un archivo existente. Se debe crear un archivo nuevo.
Además, los archivos de configuración con datos del proyecto relativos a la seguridad
incorrectos deben eliminarse de la gestión de datos.
Restringir el acceso al archivo de configuración (*.psc) a aquellas personas autorizadas para
importar y modificar el archivo de configuración tomando medidas organizativas (Página
%getreference). (S081)
10.3.8.2 Carga de un archivo de configuración
Existen las siguientes posibilidades para cargar el archivo de configuración:

• Mediante el menú del PC Station Panel (importación del archivo de configuración)
• Mediante un script
Requisitos
El usuario que inicia la importación del archivo de configuración con el menú del PC Station
Panel de un S7-150xS(P) F debe pertenecer al grupo de usuarios de Windows "Failsafe
Operators".

Procedimiento
ADVERTENCIA
Si el proceso de importación ha finalizado con éxito, se obtiene una respuesta positiva. Si no

se obtiene ninguna respuesta positiva, debe presuponerse que el proceso de importación ha
fallado y que los datos del proyecto relativos a la seguridad antiguos siguen estando
presentes.
Al importar el archivo de configuración de una estación PC con datos del proyecto relativos a
la seguridad a través del menú del Panel, debe observarse lo siguiente:
• Comprobar mediante el nombre unívoco del archivo de configuración, que se ha
seleccionado el archivo de configuración deseado.
• Para que la importación se lleve a cabo en el S7-1500 F Software Controller correcto,
debe garantizarse que se está accediendo al S7-1500 F Software Controller correcto al
importar un archivo de configuración vía LAN. Esto se consigue con una de las siguientes
medidas:
– Eliminando conexiones físicas y posibilidades de enrutamiento al resto de los S7-1500
F Software Controller.
– Utilizando nombres de equipo y credenciales de usuario unívocos o empleando otras
opciones de identificación. (S084)

ADVERTENCIA
A partir de los parámetros de identificación definidos, se debe comprobar en el script si está

permitido importar el archivo de configuración al sistema de destino correspondiente (p. ej.,
evaluando el nombre de la CPU F, el nombre del proyecto o mediante el ID de la instalación).
Además, también puede ser necesario o resultar útil comprobar la respectiva instancia del
sistema de destino, es decir, comprobar su direccionamiento o la versión del archivo de
configuración, p. ej., solo las últimas versiones o excluir determinadas versiones (lista
negra). Esta información debe guardarse previamente en el sistema de destino.
Ejemplo para comprobar si la versión en cuestión está permitida:
• El script evalúa la información relativa a la versión y admite, p. ej., solo archivos de
configuración de una versión superior.
El fabricante de maquinaria debe asegurarse de que el script esté protegido contra
manipulación (cambio no autorizado del contenido o nombre).
Si el fabricante de maquinaria solo pone a disposición los archivos de configuración, deberá
asegurarse de que no se cargue un archivo de configuración erróneo durante la importación
tomando medidas técnicas (comprobaciones avanzadas en el script) y formar debidamente a
los operadores de la máquina. (S082)
El script comprueba lo siguiente:

• Coincidencia de la identificación de la máquina
• Identificación de la versión superior a la actual En caso afirmativo, se escribe la nueva
versión en el archivo txt.
• Número de instancia

En la figura siguiente, encontrará una representación sistemática de la comprobación del

archivo de configuración en el script con ayuda de los parámetros de identificación guardados
en un archivo aparte (en violeta en la figura siguiente):
&HQWUDOHµOLFDGHWLSRRIIVKRUH
$UFKLYRGH (OVFULSWFRPSUXHED ,'W[WFRQWLHQH
FRQILJXUDFLµQ ,GHQWLILFDFLµQ ,GHQWLILFDFLµQGHODP£TXLQD
3URMHFWB GHODP£TXLQD SHM2II6;
2II6; ,GHQWLILFDFLµQGHOD 9HUVLµQSHM9
B9B1RB
YHUVLµQ 1¼PHURGHLQVWDQFLD
$)'SVF
1¼PHURGHLQVWDQFLD SHM
GHODP£TXLQD SHM2II6;
3URMHFWB ,GHQWLILFDFLµQGHOD 9HUVLµQSHM9
2II6; YHUVLµQ 1¼PHURGHLQVWDQFLD
B9B1RB
$)'SVF
GHODP£TXLQD SHM2II6;
3URMHFWB ,GHQWLILFDFLµQGHOD 9HUVLµQSHM9
2II6; YHUVLµQ 1¼PHURGHLQVWDQFLD
B9B1RB
$)'SVF

ADVERTENCIA
Para saber si los datos del proyecto relativos a la seguridad se han importado correctamente
mediante el script, es necesario evaluar el correspondiente valor de retorno (0x51A3). Si el
comando de script PCSystem_Control no devuelve el correspondiente valor de retorno,
significa que ha fallado la importación y que los datos del proyecto relativos a la seguridad
antiguos pueden seguir estando presentes.
Para asegurarse de que el valor de retorno no proceda de la última importación, antes de
importar deberá restablecerse el valor de retorno a 0x3FF (escribir "PCSystem_Control
/ImportConfig" sin nombre de archivo) y, seguidamente, comprobarse si el valor de retorno
se ha restablecido a 0x3FF (escribir "PCSystem_Control /GetStatus /ImportConfig" y, a
continuación, "echo %errorlevel%". Esta instrucción debe devolver el valor de retorno 0x3FF).
Si la operación de importación ha sido iniciada por un servidor, deberá recibirse también una
respuesta de valor de retorno positivo.
Para fines de trazabilidad le recomendamos documentar la operación de importación en un
archivo de registro.
Si el archivo de configuración se importa manualmente desde la línea de comandos de
Windows (mediante un comando de script), existen dos posibilidades:
• Antes de importar, restablecer el valor de retorno a 0x3FF y comprobarlo (ver arriba).
– Ejecutar la importación.
– Evaluar el valor de retorno (escribir "PCSystem_Control /GetStatus /ImportConfig" y, a
continuación, "echo %errorlevel%". Esta instrucción debe devolver el valor de retorno
0x51A3).
• Ejecutar la importación.
– Ejecutar la identificación manual del programa, p. ej., desde el display de la CPU F.
(S083)
NOTA
Cuando se importa un archivo de configuración mediante de un script, el valor de retorno
positivo en el caso de un S7-1500 F Software Controller es "0x51A3", al contrario que con el
S7-1500 Software Controller, pues en ese caso es "0x0000".
Al importar el archivo mediante un script, debe trasladarse el permiso al script. Esto significa
que el usuario que realiza la acción no necesita un permiso superior, ya que el script que le ha
proporcionado el fabricante de maquinaria contiene los permisos necesarios (grupo de
usuarios "Failsafe Operators").
La asignación de los derechos mediante script se efectúa asignando el servicio de Windows al
grupo de usuarios correspondiente. El administrador de Windows debe encargarse
previamente de esta instalación inicial en cada equipo con S7-150xS(P) F. El usuario que
realiza la acción puede llamar el servicio de Windows para que este ejecute el script.

10.4 Identificación del programa
10.4 Identificación del programa

La identificación del programa permite comprobar si se cargaron los datos del proyecto
relativos a la seguridad correctos en la CPU F. Para ello, se comparan online las firmas
colectivas F y la asignación del derecho "F-Admin (Admin F)" con un valor esperado. Dicho
valor esperado puede ser, p. ej., la firma colectiva F offline del Safety Administration Editor o
del impreso de seguridad. La asignación del derecho "F-Admin" se comprueba en el Safety
Administration Editor.
Tome medidas organizativas para que, durante la identificación del programa, no se carguen
los datos del proyecto relativos a la seguridad de ningún otro TIA Portal (en una
programadora/un PC independiente).
Con el Safety Administration Editor

Para identificar el programa con el Safety Administration Editor, haga lo siguiente:
1. Abra el Safety Administration Editor de la CPU F que desee comprobar.
2. Conéctese online con la CPU F que vaya a comprobar.
3. En el área "General", compare la firma colectiva F mostrada online con el valor esperado.
4. Compruebe si el programa offline y el programa online son coherentes (Página 372).
5. Compruebe si, en las columnas "Status (Estado)" y "Version comparison (Comparación de
versiones)", aparece el símbolo verde.
6. En el área "Web server F-Admins (Admins F de servidor web)", compruebe si solamente

usuarios autorizados cuentan con el derecho "F-Admin (Admin F)" offline y online.
Con HMI
Para identificar el programa con HMI, haga lo siguiente:
1. Lea la firma colectiva F del programa de seguridad en la variable F_PROG_SIG del DB
global F (Página 146) (S7-300, S7-400) o en la variable F_SYSINFO.F_PROG_SIG del DB de
información del grupo de ejecución F (Página 147) (S7-1200, S7-1500).
2. Compare el valor de la variable F_PROG_SIG con el valor esperado.

10.5 Comparación de programas de seguridad
Con el display de una CPU F S7-1500

Para identificar el programa con el display de una CPU F, haga lo siguiente:
1. En el menú del display, vaya a "Overview (Vista general) > Fail-safe".
2. Compare la firma colectiva F mostrada con el valor esperado.
Con el servidor web de una CPU F S7-1200/1500

Para identificar el programa con el servidor web de una CPU F S7-1200/1500, haga lo
siguiente:
1. Lea la firma colectiva F en la página de inicio del servidor web.
2. Compare la firma colectiva F mostrada con el valor esperado.
Consulte
también
Safety Administration Editor (Página 78)
Comparación de programas de seguridad como en el programa estándar

Existe la posibilidad de comparar programas de seguridad offline-online u offline-offline
mediante el editor de comparación de STEP 7. El procedimiento es el mismo que para los
programas de usuario estándar. Al comparar programas de seguridad se compara también el
contenido de los bloques F. De este modo, la comparación offline-offline se puede utilizar
también para una recepción/aceptación de modificaciones (Página 375). Para activar dicha
comparación, debe activarse el criterio de comparación "Safety" y desactivarse los demás
criterios de comparación.
NOTA
No está permitido utilizar el editor de comparación para localizar modificaciones offline-
online en el programa de seguridad/en la configuración de la periferia F para la
recepción/aceptación de las modificaciones. Para ello, solamente es adecuada la comparación
offline-offline. Para la recepción/aceptación de las modificaciones, proceda como se describe
en Recepción/aceptación de las modificaciones (Página 375).

Resultado de la comparación de programas de seguridad

El resultado de la comparación se representa del mismo modo que en STEP 7.
Si se hace clic en la carpeta "Program blocks (Bloques de programa)" en el lado izquierdo del
editor de comparación, en "Comparison result (Resultado de la comparación)" aparece la
firma colectiva F del programa de seguridad. Asimismo, se informa sobre si el programa de
seguridad es coherente.
Si se hace clic en un bloque F, además de la información estándar, se muestran las firmas y

las firmas de interfaz correspondientes.
NOTA
Si se interrumpe la conexión con la CPU F durante la comparación offline-online, el resultado
de la comparación no es correcto.

Opciones de filtrado durante la comparación

El uso de filtros en el editor de comparación permite limitar el resultado de la comparación a
los siguientes grupos de bloques:
• Compare only F-blocks (Comparar solo bloques F)
• Compare only F-blocks relevant for certification (Comparar solo bloques F relevantes para
la recepción/aceptación)
• Compare only standard blocks (Comparar solo bloques estándar)
Aparte, se ofrecen las opciones de filtro "Show only different objects (Mostrar solo objetos
diferentes)" y "Show identical and different objects (Mostrar objetos idénticos y diferentes)"
de STEP 7.
Para comparar programas de seguridad, también son relevantes los bloques F de la carpeta
"System blocks (Bloques de sistema)".
Criterios de comparación
Asegúrese de que en solamente esté activado el criterio de comparación "Safety".
Asignación de las modificaciones mostradas

Independientemente de si se ha efectuado una comparación offline-online u offline-offline,
las siguientes modificaciones pueden ser la causa de las modificaciones mostradas en bloques
F generados automáticamente:
• Modificación del tiempo máximo de ciclo del grupo de ejecución F y límite de advertencia
del tiempo de ciclo F del grupo de ejecución F
• (S7-1200/1500) Timeout para el modo seguro desactivado
• Modificación de los parámetros F de la CPU F
• Safety System Version modificada o modificación de la configuración hardware
(S7-1200/1500: esto se indica como modificación del bloque "F_SystemInfo_DB").
• (S7-1200/1500) Modificaciones de la estructura en grupos de los bloques F. Esto se indica
como modificación del bloque "F_SystemInfo_DB".
• (S7-300/400) Modificación de la comunicación de grupos de ejecución F, p. ej.,
modificación del número de un DB para la comunicación de grupos de ejecución F
• Modificación del bloque Main-Safety, F-FB, F-FC, F-DB
• Modificación de la configuración hardware de la periferia F direccionada en el programa
de seguridad
Puede suceder que un bloque se muestre como modificado, pero que, en la comparación
detallada del contenido del bloque, no se indique ninguna modificación. No se trata de un
problema de visualización, sino que significa que las modificaciones, p. ej., de direcciones en
la tabla de variables afectan a este bloque. En caso de duda, compruebe este bloque.
Documentación del resultado de la comparación

El resultado de la comparación se imprime haciendo clic en "Project (Proyecto) > Print
(Imprimir)" en la barra de menús o pulsando el símbolo "Print (Imprimir)" de la barra de
herramientas, o también se puede crear un archivo PDF. Elija "Print objects/area (Imprimir
objetos/área)" > "All (Todos)" y "Properties (Propiedades)" > "All (Todos)".

10.6 Creación del impreso de seguridad
Tras imprimirlo, compruebe que se hayan impreso todas las páginas. No está permitido
emplear impresos incompletos (p. ej., líneas cortadas, escasez de tóner en la impresora) para
una recepción/aceptación de modificaciones.

Se pueden documentar todos los datos importantes del proyecto (configuración hardware de
la CPU F y de la periferia F, programa de seguridad) en el impreso de seguridad. Como
resultado, se obtiene un impreso de seguridad que sirve de base, junto con la documentación
general, para comprobar la corrección de los distintos componentes de la instalación. La
corrección es un requisito necesario para la recepción/aceptación de la instalación.
La firma colectiva F en el pie de página de la documentación garantiza la asignación única del
impreso a un programa de seguridad.
El impreso de seguridad es la documentación de los datos del proyecto relativos a la
seguridad que sirve de ayuda para la recepción/aceptación de la instalación. El "impreso de
seguridad" puede utilizarse también en soporte electrónico, p. ej., en formato PDF.
Procedimiento para crear un impreso de seguridad

Para crear un impreso de seguridad, haga lo siguiente:
1. En el árbol del proyecto, seleccione el Safety Administration Editor de la CPU F cuyo
impreso de seguridad desee crear.
2. Elija "Print (Imprimir)" en el menú contextual, "Project (Proyecto) > Print (Imprimir)" en la
barra de menús o el símbolo de impresora de la barra de herramientas.
En el cuadro de diálogo que aparece, entre otras acciones, puede configurar el diseño del
impreso y definir el alcance que deba tener el impreso (todo/una parte).
3. En "Document information (Información del documento)", elija uno de los formatos ISO,
p. ej., "DocuInfo_ISO_A4_Portait".
4. Active la opción "All (Todo)" si en el impreso deben figurar los bloques F y los tipos de
datos PLC conformes con F. Esto es necesario, por ejemplo, para documentar el código del
programa para la recepción/aceptación (ver Recepción/aceptación de la instalación (Página
357)). Active la opción "Compact (Compacto)" para no imprimir el código fuente.
5. Active el botón "Print (Imprimir)".
Como resultado, se obtiene el impreso de seguridad para la CPU F.
Tras imprimirlo, compruebe que se hayan impreso todas las páginas. No está permitido
emplear impresos incompletos (p. ej., líneas cortadas, escasez de tóner en la impresora) para
una recepción/aceptación.

Vista general del contenido del impreso

A continuación, encontrará un resumen de los temas que se tienen en cuenta en el impreso:
• Información general sobre la identificación del programa, firmas, versiones de software,
protección de acceso, ajustes del programa de seguridad (en el área de trabajo "Settings
(Ajustes)" del Safety Administration Editor), p. ej., Safety System Version.
• Elementos de la librería del sistema utilizados en el programa de seguridad (en la Task
Card "Instrucciones") con sus versiones
• Información sobre los grupos de ejecución F (p. ej., límite de advertencia del tiempo de
ciclo del grupo de ejecución F, tiempo máx. de ciclo del grupo de ejecución F)
• Lista de los bloques F de la carpeta "Bloques de programa" (p. ej., nombre, función, grupo
de ejecución F correspondiente, firma)
• (S7-1200, S7-1500) Lista de los bloques F con protección de know-how utilizados en el
programa de seguridad (p. ej., nombre, firma, Safety System Version empleada,
instrucciones versionadas empleadas o bloques F llamados).
• (S7-1200, S7-1500) Lista de los tipos de datos PLC conformes con F (UDT) si existen en el
• Datos del programa de usuario estándar que se evalúan en el programa de seguridad
• Parámetros del bloque de la comunicación CPU-CPU orientada a la seguridad
• (S7-300, S7-400) Direcciones absolutas y nombres de las variables del DB global F a las
que puede accederse desde el programa de usuario estándar
• Información sobre la CPU F utilizada (p. ej., versión de firmware, dirección de origen F) e
información sobre la periferia F utilizada (p. ej., versión de firmware, parámetros
generales y específicos)
• Información sobre el impreso (fecha de impresión, número de páginas)
Contenido del pie de página de los impresos

El pie de página del impreso permite saber:
• Si los datos del proyecto relativos a la seguridad impresos son coherentes y si todas las
páginas del impreso pertenecen al mismo programa de seguridad y tienen la misma
versión (si la firma colectiva F es la misma en cada pie de página, significa que el impreso
pertenece al programa de seguridad con esta firma colectiva F).
El pie de página solamente se agrega al código fuente de los bloques F si se selecciona la
opción "All (Todo)" al imprimir el programa de seguridad.
Si los bloques F se imprimen de otro modo, faltará el pie de página y ya no se podrá saber si
el impreso del bloque pertenece a la versión actual del programa de seguridad.
Impresión del proyecto migrado

Solamente puede imprimirse un impreso de seguridad de un proyecto migrado desde S7
Distributed Safety V5.4 SP5 si se ha compilado con STEP 7 Safety Advanced y, por lo tanto, se
ha adoptado la nueva estructura de los programas de seguridad (bloque Main-Safety). De lo
contrario, no se puede imprimir y se obtiene el mensaje de error correspondiente.
Se recomienda crear un impreso de seguridad para el proyecto en S7 Distributed Safety V5.4
SP5 antes de la migración.

10.7 Prueba del programa de seguridad
10.7.1 Descripción general de la prueba del programa de seguridad
Prueba de funcionamiento completa o prueba de las modificaciones

Después de crear un programa de seguridad, debe realizarse una prueba de funcionamiento
completa acorde con la tarea de automatización.
Tras introducir cambios en un programa de seguridad para el que ya se haya hecho una
prueba de funcionamiento completa, bastará con comprobar los cambios y que estas no
afecten a las partes no modificadas del programa de seguridad.
Observación
Las funciones de prueba con acceso de lectura (p. ej., observar variables del programa de
seguridad) están disponibles para los programas de seguridad del mismo modo que para el
programa estándar.
Forzado
Las funciones de prueba con acceso de escritura (p. ej., forzado de variables del programa de
seguridad) están disponibles para los programas de seguridad solamente de forma limitada y
con el modo seguro desactivado.
Simulación con S7-PLCSIM

El programa de seguridad se puede probar con S7-PLCSIM. S7-PLCSIM se utiliza del mismo
modo que para los programas de usuario estándar.
La simulación con S7-PLCSIM se inicia con la opción de menú "Online > Simulación > Iniciar".
Reglas para la prueba

• No es posible forzar permanentemente entradas de periferia F ni salidas de periferia F.
• No es posible forzar salidas de periferia F en el contexto de la función "Desbloquear salidas
de periferia F".
• Si se establecen puntos de parada en el programa de usuario estándar, esto provocará
errores en el programa de seguridad (ver también Prueba del programa de seguridad
(Página 339)).
• Los cambios en la configuración de la periferia F o de la comunicación CPU-CPU orientada
a la seguridad solamente pueden comprobarse después de guardar y cargar la
configuración hardware y compilarla y cargarla en la CPU F.

Consulte
también
Desactivación del modo seguro (Página 336)
10.7.2 Modo seguro desactivado

Tras una transición STOP/RUN, el programa de seguridad se ejecuta en la CPU F siempre en
modo seguro, es decir, todas las medidas de control de errores están activadas. En este
estado, no es posible modificar el programa de seguridad durante el funcionamiento
(RUN). P. ej., para poder forzar variables del programa de seguridad en RUN, debe
desactivarse el modo seguro del programa de seguridad. El modo seguro permanece
desactivado hasta la siguiente transición STOP/RUN de la CPU F.
A partir de la Safety System Version V2.4, el modo seguro desactivado está limitado en el
tiempo para las CPU F S7-1200/1500.
Una vez transcurrido el tiempo límite, la CPU F o el sistema redundante S7-1500HF pasa a
STOP de forma automática. En el búfer de diagnóstico de la CPU F se registra la causa del
evento de diagnóstico.
Para prevenir un STOP de la CPU F no programado una vez transcurrido el límite de tiempo,
haga lo siguiente:
• Finalice el modo seguro desactivado con una transición STOP/RUN específica.
• Restablezca el tiempo de ejecución restante. Esta acción puede repetirse tantas veces
como se desee.
10.7.2.1 Configuración de la limitación temporal del modo seguro desactivado (S7-1200,

S7-1500)
Introducción
La duración de la limitación temporal se puede configurar.
Requisitos
• En el Safety Administration Editor está activada la opción "Safety mode can be disabled (El
modo seguro se puede desactivar)".
• Como Safety System Version, está ajustada como mínimo la V2.4.

Procedimiento para configurar el tiempo de ejecución

Para configurar la limitación temporal, haga lo siguiente:
1. Abra el Safety Administration Editor de la CPU F.
2. En la navegación local, abra "Settings (Ajustes) (Página 87)".
3. En "Runtime for the deactivated safety mode (Tiempo de ejecución para el modo seguro
desactivado)", configure el límite de tiempo del modo seguro. El tiempo predeterminado
es de 4 horas. Es posible configurar el límite de tiempo a un máximo de 8 horas y a un
mínimo de 1 minuto.
NOTA
El tiempo configurado no se considera en la firma colectiva F.
10.7.2.2 Desactivación del modo seguro
Requisitos
• En el Safety Administration Editor está activada la opción "Safety mode can be disabled (El
modo seguro se puede desactivar)".
• El proyecto está cargado en la CPU F.
• La CPU F está en RUN.
• El programa de seguridad se ejecuta en modo seguro.

Reglas para desactivar el modo seguro
ADVERTENCIA
Dado que es posible realizar cambios en el programa de seguridad en RUN con el modo
seguro desactivado, debe tenerse en cuenta lo siguiente:
• La desactivación del modo seguro está previsto para fines de prueba, puesta en marcha,
etc. Cuando el modo seguro está desactivado, se debe garantizar la seguridad de la
instalación tomando medidas organizativas (Página %getreference).
Tras realizar la prueba o la puesta en marcha es necesario volver a activar el modo
seguro. Ejecute para ello una transición STOP/RUN de la CPU F.
En un sistema redundante S7-1500HF, es necesario pasar cada una de las CPU HF o el
sistema redundante S7-1500HF a STOP antes de volver a arrancar las CPU HF.
• La desactivación del modo seguro debe señalizarse.
Para ello, se dispone de la variable MODE en el DB global F ("F_GLOBDB".MODE) en las
CPU F S7-300/400 y, en las CPU F S7-1200/1500, en el DB de información del grupo de
ejecución F (p. ej., RTG1SysInfo.F_SYSINFO.MODE). Esta variable se puede evaluar para
leer el modo de operación (1 = modo seguro desactivado). De este modo, el modo seguro
desactivado no solo se indica en la programadora/el PC, en el cuadro de diálogo para
desactivar el modo seguro, sino que evaluando esta variable también se puede señalizar
la información "modo seguro desactivado" mediante una lámpara de señalización
controlada por el programa de usuario estándar o mediante un aviso a un sistema de
manejo y visualización.
• La desactivación del modo seguro debe ser demostrable. Debe documentarse, si es
posible mediante registro y, en su caso, archivado de avisos al sistema de manejo y
visualización, y si es necesario, mediante medidas organizativas. Además, se recomienda
señalizar la desactivación del modo seguro en el sistema de manejo y visualización.
• El modo seguro se desactiva solo en una CPU F. No obstante, en la comunicación
CPU-CPU orientada a la seguridad, debe tenerse en cuenta lo siguiente: si la CPU F que
envía los datos tiene el modo seguro desactivado, ya no se podrá presuponer que los
datos enviados por dicha CPU F se formen de forma segura. En ese caso, se debe
garantizar asimismo la seguridad de las partes de la instalación afectadas por los datos
enviados mediante medidas organizativas o emitir valores sustitutivos seguros en la CPU
F que recibe los datos evaluando SENDMODE* en lugar de los datos recibidos.
* SENDMODE está disponible como salida de las instrucciones RCVDP o RCVS7 o bien, en una
comunicación mediante Flexible F-Link, como variable en el DB de comunicación F.
(S027)
Procedimiento para desactivar el modo seguro

Para desactivar el modo seguro, haga lo siguiente:
1. Abra el Safety Administration Editor de la CPU F correspondiente.
2. En la navegación local, abra el área "General (Página 81)".
3. Pulse el botón "Disable safety mode (Desactivar el modo seguro)".
4. Si la protección de acceso a la CPU F está configurada, introduzca la contraseña de la CPU
F.

5. Asegúrese de desactivar el modo seguro de la CPU F deseada comprobando la firma

colectiva F en el cuadro de diálogo que aparece a continuación.
Si la protección de acceso está configurada para la CPU F, puede omitirse dicha
comprobación, puesto que ya se ha identificado la CPU F correcta con la contraseña única
para la CPU F.
6. Confirme la desactivación.
El modo seguro queda desactivado.
El tiempo de ejecución restante hasta que una CPU F S7-1200/1500 pasa a STOP empieza a
contar inmediatamente después de desactivar el modo seguro. El tiempo de ejecución
restante se indica en el modo online en el área "General (Página 81)" del Safety
Administration Editor. Además, a partir del firmware V2.9, el tiempo de ejecución restante se
indica en el servidor web de una CPU F S7-1500.
Restablecimiento del tiempo de ejecución restante hasta que la CPU F pasa a STOP
Para impedir que siga contando el tiempo de ejecución restante y, por lo tanto, la CPU F pase
a STOP, se puede restablecer el tiempo de ejecución restante en el Safety Administration
Editor. Con ello, se restablece el valor configurado para el tiempo de ejecución restante, que
empieza a contar de nuevo inmediatamente después.
1. Abra el Safety Administration Editor de la CPU F correspondiente.
2. En la navegación local, abra el área "General (Página 81)".
3. Pulse el botón "Reset remaining runtime (Restablecer tiempo de ejecución restante)".
4. Si la protección de acceso a la CPU F está configurada, introduzca la contraseña de la CPU
F.
5. Compruebe la información sobre la firma colectiva F en el cuadro de diálogo que aparece
a continuación.
6. Confirme el restablecimiento del tiempo de ejecución restante.
NOTA
El tiempo de ejecución restante también se indica en el DB de información del grupo de
ejecución F (Página 147) del respectivo grupo, en la variable MODE_REMAINING_TIME.
Si existen dos grupos de ejecución F (debido a diferentes momentos de actualización),
pueden mostrarse valores distintos.
Una vez transcurrido el tiempo de ejecución restante, no se indica el valor "0", sino el tiempo
de ejecución restante del último ciclo.

Activación del modo seguro
NOTA
Para activar el modo seguro, es necesario realizar una transición STOP/RUN de la CPU F.
En un sistema redundante S7-1500HF, es necesario pasar cada una de las CPU HF o el sistema
redundante S7-1500HF a STOP antes de volver a arrancar las CPU HF.
Una transición STOP/RUN de la CPU F activa siempre el modo seguro, incluso si el programa
de seguridad ha cambiado o no es coherente.
Si se ha modificado el programa de seguridad, pero todavía no se ha vuelto a compilar y
cargar, la CPU F puede volver a pasar a STOP.
Evaluación del modo de operación Modo seguro/Modo seguro desactivado

Para evaluar el modo de operación Modo seguro/Modo seguro desactivado en el programa de
seguridad, evalúe la variable "MODE" en el DB global F (Página 146) en el caso de las CPU F
S7-300/400, o bien el DB de información del grupo de ejecución F en el caso de las CPU F
S7-1200/1500 (1 = modo seguro desactivado). Para el acceso, indique la dirección completa
de esta variable (p. ej., "F_GLOBDB".MODE o RTG1SysInfo.MODE).
Esto permite, p. ej., pasivar la periferia F si el programa de seguridad está con el modo seguro
desactivado. Para ello, asigne la variable "MODE" del DB global F o del DB de información del
grupo de ejecución F a todas las variables "PASS_ON" de los DB de periferia F que desee
pasivar.
ADVERTENCIA
Si el programa de seguridad tiene el modo seguro desactivado, la evaluación de la variable

"MODE" en el DB global F o en el DB de información del grupo de ejecución F también tiene
lugar con el modo seguro desactivado.
Aunque se pasive la periferia F con el modo seguro desactivado evaluando la variable
"MODE", la seguridad de la instalación debe garantizarse tomando medidas organizativas
(Página %getreference) estando el modo seguro desactivado. (S028)
Consulte
también
Configuración de la limitación temporal del modo seguro desactivado (S7-1200, S7-1500)
(Página 335)
10.7.3 Prueba del programa de seguridad
Introducción
Las variables del programa de seguridad se pueden observar en cualquier momento.
Las variables del programa de seguridad solo se pueden forzar con el modo seguro
desactivado, ya que para ello deben estar desactivadas algunas medidas de control de errores
del programa de seguridad.

Se pueden forzar las siguientes variables del programa de seguridad:

• Entradas y salidas de la periferia F (valores de canal e información de calidad (S7-1200,
S7-1500))
• Variables de DB globales F (excepto DB para comunicación entre grupos de ejecución F)
• Variables de DB de instancia de F-FB
• Variables de DB de periferia F (para las variables permitidas, ver DB de periferia F (Página
157))
Procedimiento para observar variables del programa de seguridad

Observe las variables deseadas del programa de seguridad en una tabla de observación
abierta o en el editor de programas (estado del programa).
1. Proceda como en el programa estándar. Para más información, consulte la Ayuda de
STEP 7, apartado "Probar el programa de usuario".
Procedimiento para forzar variables del programa de seguridad

Fuerce las variables deseadas del programa de seguridad desde una tabla de observación
abierta:
1. Para el forzado, desactive el modo seguro (Página 336) en el cuadro de diálogo que
aparece automáticamente.
2. Finalice las peticiones de forzado existentes una vez terminada la prueba, antes de activar
el modo seguro.
Los valores de DB F solo se fuerzan en modo online en la CPU F. Si el valor también se debe
modificar offline, debe hacerse posteriormente, editando el valor de arranque offline y
compilando el programa de seguridad.

Para forzar variables de periferia F, haga lo siguiente:

1. Cree una fila propia para cada valor de canal e información de calidad que quiera forzar
(S7-1200, S7-1500). El valor de forzado debe corresponderse con el valor del canal o la
información de calidad.
2. Como punto de disparo, ajuste "Start of cycle (Inicio del ciclo)" o "End of cycle (Fin del
ciclo)" y "Permanent (Permanente)" o "Once (Una vez)".
Independientemente del punto de disparo ajustado, las peticiones de forzado de entradas
(MIPE) de la periferia F siempre son efectivas antes de procesar el bloque Main-Safety,
mientras que las peticiones de forzado de salidas (MIPS) de la periferia F siempre son
efectivas después de procesar el bloque Main-Safety.
3. (S7-300, S7-400) Cree otra tabla de observación si desea forzar más de 5 entradas/salidas.
NOTA
La periferia F solo se puede forzar con la CPU F en RUN.
No es posible forzar una periferia F configurada de la que no se haya utilizado un valor de
canal o información de calidad (S7-1200, S7-1500) o una variable del DB de periferia F
correspondiente en el programa de seguridad. Por lo tanto, en el programa de seguridad,
utilice siempre al menos una variable del DB de periferia F correspondiente o al menos un
valor de canal o información de calidad (S7-1200, S7-1500) de la periferia F que desee forzar.
En las entradas (MIPE), las peticiones de forzado tienen prioridad sobre la salida de valores
sustitutivos; en cambio, en las salidas (MIPS), la salida de valores sustitutivos tiene prioridad
sobre las peticiones de forzado. En las salidas (canales) que no están activadas en las
propiedades de la periferia F, las peticiones de forzado solamente afectan a la MIPS, no a la
periferia F.
NOTA
Para las CPU F S7-1200/1500, se aplica lo siguiente:
Para evitar combinaciones no válidas de valor de canal e información de calidad:
• cuando se fuerza un valor de canal a un valor <> valor sustitutivo 0, el sistema F establece
automáticamente en 1 la información de calidad respectiva,
• cuando se fuerza a 0 una información de calidad para el valor de canal correspondiente,
se emite automáticamente el valor sustitutivo 0.
ADVERTENCIA
Las peticiones de forzado con disparador "permanente" deben restablecerse de manera

específica en la tabla de observación con el modo seguro desactivado.
Tener en cuenta que las peticiones de forzado con disparador "permanente" que no se hayan
restablecido correctamente, aún pueden estar activas en segundo plano tras una transición
STOP/RUN de la CPU F.
Puesto que la CPU F pasa de nuevo al modo seguro tras una transición STOP/RUN, estas ya no
son efectivas y dejan de mostrarse en la tabla de observación.
Sin embargo, vuelven a ser efectivas en cuanto se desactiva de nuevo el modo seguro.
Con un borrado total de la CPU F se garantiza que no haya ninguna petición de forzado con
disparo "permanente" activa en la CPU F en segundo plano. (S029)

Prueba del cableado mediante tabla de observación

El cableado de una entrada se puede comprobar modificando una señal de entrada y
comprobando si el nuevo valor llega a la MIPE.
El cableado de una salida se puede comprobar modificando la salida y comprobando si el
actuador deseado responde.
Para la prueba del cableado, tenga en cuenta que en la CPU F debe ejecutarse un programa
de seguridad en el que se haya utilizado al menos un valor de canal o una información de
calidad (S7-1200, S7-1500) de la periferia F que se va a observar o forzar, o bien una variable
del DB de periferia F correspondiente.
Para la periferia F que también puede emplearse como periferia estándar (p. ej., módulos de
señales de seguridad S7-300), la prueba del cableado de las salidas también puede efectuarse
mediante forzado en el estado STOP utilizando la periferia F como periferia estándar en lugar
de en modo seguro.
Reglas adicionales para la prueba (S7-300/400/1500)

Si se establecen puntos de parada en el programa de usuario estándar, esto provocará errores
en el programa de seguridad:
• Expiración del tiempo de vigilancia del ciclo F
• Error en la comunicación con la periferia F
(S7-1500) Los módulos de seguridad pasan a un estado seguro una vez transcurrido el
tiempo de vigilancia F configurado.
• Error en la comunicación CPU-CPU orientada a la seguridad
• Error interno de CPU
Si, a pesar de ello, desea utilizar puntos de parada para la prueba, deberá desactivar antes el
modo seguro. Esto provoca los siguientes errores:
• Error en la comunicación con la periferia F
• Error en la comunicación CPU-CPU orientada a la seguridad
Diferencia entre las CPU F S7-1500 y las CPU F S7-300/400:
• Si hay un punto de parada activado y se alcanza, la CPU F pasa a STOP inmediatamente
después de la parada.
• Si, tras la parada, se desea volver a pasar a RUN para seguir probando el programa de
usuario estándar, esto puede simularse con S7-PLCSIM.
Para fines de prueba, puesta en marcha y similares, en principio no es necesaria la protección
de acceso. Es decir, todas las acciones offline y online se pueden realizar sin protección de
acceso, o sea, sin necesidad de introducir una contraseña.
Consulte
también
Modificación del programa de seguridad en RUN (S7-300, S7-400) (Página 347)
Carga de datos del proyecto (Página 296)

10.7.4 Prueba del programa de seguridad con S7-PLCSIM

S7-PLCSIM permite probar el programa de seguridad junto con el programa de usuario
estándar en una CPU simulada, sin necesidad de emplear hardware. Tenga en cuenta también
la advertencia S030 que figura en el capítulo "Indicaciones para el modo seguro del programa
de seguridad (Página 380)".
S7-PLCSIM se utiliza del mismo modo para sistemas F SIMATIC Safety que para sistemas S7
estándar. No obstante, tenga en cuenta las siguientes particularidades.
Modo de operación Modo seguro/Modo seguro desactivado

Para determinar ya durante la fase de prueba del programa de seguridad en S7-PLCSIM, si la
CPU F pasará a STOP porque, p. ej., los resultados de las instrucciones quedan fuera del rango
admisible del tipo de datos, se recomienda probar el programa de seguridad en modo seguro.
Igual que sucede en una CPU F real, las siguientes simulaciones solo se pueden ejecutar en
S7-PLCSIM con el modo seguro desactivado:
• Forzado de variables en DB F y DB de periferia F.
(S7-1200, S7-1500) Para impedir que se fuercen variables involuntariamente en DB F y DB de
periferia F en modo seguro, se recomienda no activar el botón "Activate/deactivate
modification of non-inputs (Activar/desactivar modificación de no entradas)" en S7-PLCSIM.
Durante la simulación con S7-PLCSIM, está desactivada la vigilancia del tiempo máximo de
ciclo del grupo de ejecución F y del límite de advertencia del tiempo de ciclo F del grupo de
ejecución F (S7-1200, S7-1500).
Diferencias entre CPU F simulada y real

Tenga en cuenta que S7-PLCSIM no se comporta totalmente como una CPU F real hasta el
último detalle. En particular, el comportamiento en arranque de una periferia F puede no se
reproducir con precisión.
Simulación de entradas de la periferia F
Simulación de entradas (valores de canal) en S7-PLCSIM:

Las entradas (valores de canal) de la periferia F se simulan en S7-PLCSIM como las entradas
(valores de canal) de la periferia estándar. No obstante, tenga en cuenta las siguientes
indicaciones/limitaciones:
En la transición del estado operativo "STOP" a "RUN" de la CPU F en S7-PLCSIM, todas las
entradas (valores de canal) de la periferia F se establecen en 0 en la memoria imagen de
proceso de las entradas (MIPE).
Las entradas (valores de canal) pueden simularse a partir del segundo ciclo y, en tal caso,
quedan disponibles en la MIPE.

Simulación de entradas (información de calidad) en S7-PLCSIM:

(S7-1200, S7-1500) La simulación de entradas (información de calidad) de la periferia F
permite simular fallos de periferia F y de canal entrantes y salientes. No obstante, tenga en
cuenta las siguientes indicaciones/limitaciones:
• Para simular el comportamiento de la periferia F de manera realista, deberá tener en
cuenta el acoplamiento entre valor de canal e información de calidad en la periferia F real.
La combinación de información de calidad = 0 y valor de canal <> valor sustitutivo (0) no
es válida y puede hacer que la simulación no se comporte como la CPU F real.
• En la transición del estado operativo "STOP" a "RUN" de la CPU F en S7-PLCSIM, todas las
entradas (información de calidad) de la periferia F se establecen en 1 en la memoria
imagen de proceso de las entradas (MIPE). De este modo, puede empezar a simular
entradas (valores de canal) de inmediato, incluso sin simulación de entradas (información
de calidad).
• La simulación de entradas (información de calidad) en S7-PLCSIM no influye en las
variables QBAD ni PASS_OUT del DB de periferia F. Tenga en cuenta que, en la periferia F
real, QBAD y PASS_OUT pueden tomar el valor 1 en cuanto la información de calidad de al
menos un canal de la periferia F sea 0 (ver variables del DB de periferia F:
PASS_OUT/QBAD/QBAD_I_xx/QBAD_O_xx e información de calidad (Página 163)).
• En una periferia F con configuración "Behavior after channel fault (Comportamiento tras
fallo de canal)" = "Passivate the entire F-IO (Pasivar toda la periferia F)", para simular la
pasivación de toda la periferia F en caso de fallos de periferia F o de canal, utilice la
variable PASS_ON en el DB de periferia F. Si, durante la simulación, solamente se pasivan
entradas concretas (valor de canal e información de calidad), la simulación no se
comportará como la CPU F real.
• En una periferia F que no disponga de información de calidad, para simular la pasivación
de toda la periferia F en caso de fallos de periferia F o de canal, también se puede utilizar
la variable PASS_ON en el DB de periferia F.
• Para simular un fallo de periferia F o de canal del SM 336; AI 6 x 13 bits o del SM 336; F-AI
6 x 0/4...20 mA HART con la configuración "Behavior after channel fault (Comportamiento
tras fallo de canal)" = "Passivate channel (Pasivar el canal)", deben simularse las entradas
(valores de canal) con 7FFFH (en caso de rebase por exceso) u 8000H (en caso de rebase
por defecto).
• En el caso de la periferia F que no admite el perfil "RIOforFA-Safety", después de un
cambio de la información de calidad de 0 a 1 o del valor de canal de 7FFFH/8000H a otro
valor distinto de 7FFFH/8000H (ver arriba), si se ajusta la variable ACK_NEC del DB de
periferia F a 1 como en una periferia F real, para la reintegración se requerirá un acuse de
usuario con un flanco ascendente en la variable ACK_REI del DB de periferia F. En los
demás casos, la reintegración se producirá de forma automática, posiblemente con
diferencias respecto a la periferia F real.
Tiempos de actualización
Tenga en cuenta que el estado de las entradas (valores de canal o información de calidad
(S7-1200/1500)) que se observa en la tabla SIM en S7-PLCSIM solamente se corresponde con
el estado que se procesa en el programa de seguridad si la respectiva periferia F no está
pasivada.
Si la periferia F está pasivada, el programa de seguridad operará con valores sustitutivos
(valor de canal e información de calidad (S7-1200/1500) = 0).

Comunicación CPU-CPU con instrucciones SENDDP/RCVDP

Para las instrucciones SENDDP/RCVDP (S7-300/400) y las instrucciones SENDDP/RCVDP con
versión <3.0 (S7-1200/1500), se aplica lo siguiente:
En S7-PLCSIM no se puede simular una comunicación entre CPU F con las instrucciones
SENDDP y RCVDP. No obstante, pueden utilizarse las instrucciones SENDDP y RCVDP junto con
S7-PLCSIM. Durante la simulación en S7-PLCSIM, la instrucción RCVDP emite los valores
sustitutivos presentes en las entradas SUBBO_xx y SUBI_xx ((S7-1200/1500) opcionalmente
SUBDI_00). Las instrucciones SENDDP y RCVDP lo indican con 1 en la salida SUBS_ON.
Para las instrucciones SENDDP/RCVDP de una versión >=3.0 (S7-1200/1500), se aplica lo
siguiente:
Durante la simulación con S7-PLCSIM, es posible simular los datos de recepción y la
información "Modo seguro desactivado" (RCVDP) o la información "Emisión de valores
sustitutivos" (SENDDP) en el área de transferencia de entradas. Tenga en cuenta las siguientes
indicaciones:
• Los valores simulados solamente se activan cuando se activa por primera vez el bit
SIMULATION en la palabra de control de simulación correspondiente (ver tabla siguiente)
tras el arranque del sistema F. Antes de activar el bit SIMULATION, la instrucción RCVDP
emite los valores sustitutivos presentes en las entradas SUBBO_xx y SUBI_yy
(opcionalmente SUBDI_00).
• Al activar el bit SEND_MODE en la palabra de control de simulación, se activa la salida
SENDMODE con la instrucción RCVDP.
• Al activar el bit STATUS_SUBS en la palabra de control de simulación, se activa la salida
SUBS_ON con la instrucción SENDDP.
• Los bits reservados en la palabra de control de simulación deben ser siempre 0.
• En una transición STOP/RUN de S7-PLCSIM, se conservan los últimos valores simulados en
el área de transferencia de entradas.
Las direcciones iniciales de las áreas de transferencia configuradas para los datos de entrada y
salida figuran en la configuración respectiva (ver también "Configuración y programación de
la comunicación (S7-1200, S7-1500) (Página 249)").
Tabla 10-1 Estructura del área de transferencia relevante para entradas y la palabra de control de simulación (instrucción
RCVDP)
Byte Significado Observación
0 RD_BO_15 … RD_BO_08
1 RD_BO_07 … RD_BO_00
DINTMODE = 0:
2 RD_I_00 Word RD_I_00, MSB1) first
3
4 RD_I_01 Word RD_I_01, MSB1) first
5
Opcionalmente DINTMODE = 1:
2 RD_DI_00 High Word RD_DI_00, MSB1) first
3
4 Low Word RD_DI_00 XOR 0x8000, MSB1) first
5
1) MSB: most significant bit (bit más significativo)

6 Palabra de control de simulación Bit 0…6: Reservado

(High Byte) Bit 7: SIMULATION: activar simulación RCVDP
7 Palabra de control de simulación Bit 0: SEND_MODE: activar salida SENDMODE
(Low Byte) Bit 1…7: reservado
8 … 11 Reservado
1) MSB: most significant bit (bit más significativo)
Tabla 10-2 Estructura del área de transferencia relevante para entradas y la palabra de control de simulación (instrucción
SENDDP)
Byte Significado Observación
0 Palabra de control de simulación Bit 0: STATUS_SUBS: activar salida SUBS_ON
(High Byte) Bit 1…6: reservado
Bit 7: SIMULATION: activar simulación SENDDP
1 Palabra de control de simulación Bit 0…7: reservado
(Low Byte)
2…5 reservado
(S7-300, S7-400) Comunicación CPU-CPU con instrucciones SENDS7/RCVS7

En S7-PLCSIM no es posible simular una comunicación entre CPU F con las instrucciones
SENDS7 y RCVS7. No obstante, pueden utilizarse las instrucciones SENDS7 y RCVS7 junto con
S7-PLCSIM.
Durante la simulación en S7-PLCSIM, la instrucción RCVS7 emite como valores sustitutivos los
valores iniciales especificados en el DB de comunicación. Las instrucciones SENDS7 y RCVS7 lo
indican con 1 en la salida SUBS_ON.
Comunicación CPU-CPU con Flexible F-Link

Si se simula una comunicación entre CPU F con Flexible F-Link, tenga en cuenta la siguiente
advertencia.
ADVERTENCIA
Si en la comunicación CPU-CPU orientada a la seguridad con Flexible F-Link se envían datos

desde una CPU F simulada con S7-PLCSIM, ya no se podrá presuponer que se formen de
manera segura. En ese caso, se deberá garantizar asimismo la seguridad de las partes de la
instalación afectadas por los datos enviados mediante medidas organizativas (Página
%getreference) o emitir valores sustitutivos seguros en la CPU F que recibe los datos
evaluando SENDMODE* en vez de los datos recibidos.
* SENDMODE está disponible como variable en el DB de comunicación F.
(S086)

Programa de seguridad incoherente (S7-1200, S7-1500)

Si la CPU pasa a STOP en S7-PLCSIM con la entrada de diagnóstico "Safety program:
inconsistent (Programa de seguridad: incoherente)", la CPU F todavía no está inicializada
correctamente en S7-PLCSIM. Realice un borrado total de la CPU F en S7-PLCSIM y vuelva a
cargar el programa en la CPU en S7-PLCSIM.
10.7.5 Modificación del programa de seguridad en RUN (S7-300, S7-400)
Introducción
Los bloques F se modifican offline en el editor de programas, al igual que en el programa
estándar. La carga de bloques F modificados en RUN en la CPU F se efectúa con el modo
seguro desactivado (Página 336).
NOTA
Si no desea realizar cambios en el programa de seguridad durante el funcionamiento, ver
Creación de bloques F en FUP/KOP (Página 142).
Procedimiento para modificar el programa de seguridad en RUN

Para modificar el programa de seguridad, haga lo siguiente:
1. Modifique el bloque Main-Safety/FB F y su correspondiente DB de instancia, FC F o DB F en
el editor de programas.
2. Cargue los bloques F modificados en la CPU F (para el procedimiento, ver Carga de datos
del proyecto (Página 296)). Con ello, se compila automáticamente el programa completo.
3. Si el modo seguro está activo, se le pedirá que lo desactive e introduzca la contraseña del
programa de seguridad en el cuadro de diálogo "Load preview (Vista preliminar Carga)".
NOTA
Al cargar con el modo seguro desactivado, solamente está permitido cargar bloques de
seguridad creados por el propio usuario (bloques Main-Safety, FB F, FC F, DB F), o bien
bloques estándar y los DB de instancia correspondientes. Si se cargan bloques F agregados
automáticamente (SB F o bloques F generados automáticamente y los DB de instancia y
DB global F correspondientes), la CPU F puede pasar a STOP o activarse el modo seguro.
Por ello, al cargar con el modo seguro desactivado, seleccione únicamente bloques F
individuales.
Secuencia de carga de modificaciones

Si se efectúan modificaciones en el programa de seguridad en RUN con el modo seguro
desactivado, puede ocurrir que, p. ej., cambie el estado de los actuadores por cambios en el
programa.
Tras realizar modificaciones, cargue primero el programa de seguridad y después la función
del programa de usuario estándar vigilada por el programa de seguridad.

Limitaciones en la comunicación CPU-CPU orientada a la seguridad

Durante el funcionamiento (RUN), no es posible establecer una nueva comunicación CPU-CPU
orientada a la seguridad con instrucciones SENDDP/RCVDP, SENDS7/RCVS7 nuevas.
Para establecer una nueva comunicación CPU-CPU orientada a la seguridad, tras insertar una
instrucción SENDDP, SENDS7, RCVDP o RCVS7 nueva, deberá cargarse el programa de
seguridad en cuestión de forma coherente en la CPU F en estado operativo STOP.
Limitaciones en la comunicación entre grupos de ejecución F

Durante el funcionamiento (RUN), no es posible modificar la comunicación orientada a la
seguridad entre grupos de ejecución F. Es decir, no está permitido asignar, borrar ni modificar
ningún DB para la comunicación entre grupos de ejecución F dentro de un grupo de
ejecución F.
Tras cualquier modificación en la comunicación entre grupos de ejecución F, debe cargarse
siempre el programa de seguridad de forma coherente en la CPU F en estado operativo STOP.
Limitaciones en accesos a la periferia F

Si, durante el funcionamiento (RUN), se inserta un acceso a una periferia F en la que todavía
no se haya utilizado ningún valor de canal o ninguna variable del DB de periferia F respectivo
en el programa de seguridad, el acceso a la periferia F solamente tendrá efecto si el programa
de seguridad se carga de forma coherente en la CPU F.
Modificación del programa de usuario estándar

Las modificaciones del programa de usuario estándar pueden cargarse en la CPU F en estado
operativo RUN con independencia de si el modo seguro está activo o inactivo.
ADVERTENCIA

tal caso también es posible modificar el programa de seguridad. Para que esto no ocurra, es
preciso configurar el nivel de protección "Write protection for fail-safe blocks (Protección
seguridad, debería estar configurado el nivel de protección "Write protection (Protección
Procedimiento para aplicar modificaciones en el programa de seguridad

Si se cargan bloques F individuales en la CPU F durante el funcionamiento (RUN), los bloques
de sistema F (SB F) y los bloques F generados automáticamente no se actualizan ni se cargan,

con lo que se obtiene un programa de seguridad incoherente en la CPU F. Para aplicar las
modificaciones en el programa de seguridad, haga lo siguiente:
1. Cargue el programa de seguridad de forma coherente en la CPU F y realice una transición
STOP/RUN de la CPU F para activar el modo seguro (para el procedimiento, ver Carga de
datos del proyecto (Página 296)).
2. Siga los pasos descritos en Recepción/aceptación de las modificaciones (Página 375).
10.7.6 Modificación del programa de seguridad en RUN (S7-1200, S7-1500)
Introducción
Los bloques F se modifican offline en el editor de programas, al igual que en el programa
estándar. Los bloques F modificados en RUN en la CPU F se cargan con el modo Fast
Commissioning con el modo seguro desactivado (Página 336).
El modo Fast Commissioning distingue entre "Fast Compile" (ajuste predeterminado) y
"Consistent Compile".
El modo Fast Commissioning con "Fast Compile" puede utilizarse para modificaciones de
software menores en el programa de seguridad, p. ej., con fines de prueba y puesta en
marcha. Permite una compilación rápida, ya que en este caso solo se compilan los bloques F
creados por el usuario.
En cambio, el modo Fast Commissioning con "Consistent Compile" puede emplearse, p. ej., al
final de la puesta en marcha para compilar el programa de seguridad de forma coherente y
así cargarlo en la CPU F también de forma coherente. Si bien implica renunciar a la ventaja de
la compilación rápida, permite, una vez realizada la carga en la CPU F, volver a activar el
modo seguro de inmediato, con una breve transición STOP-RUN de la CPU F.
NOTA
No pase la CPU F en STOP en el modo Fast Commissioning con "Fast Compile". De lo
contrario, la CPU F no volverá a arrancar porque contendrá un programa de seguridad
incoherente.
Solución:
• Cargue un programa de seguridad coherente en la CPU F y, a continuación, efectúe una
transición STOP-RUN. Con ello, finalizará el modo seguro desactivado.
• Si la CPU F soporta "Consistent Compile", elija "Consistent Compile" y cargue el programa
de seguridad de forma coherente en la CPU F. Tras ello, se podrá efectuar una transición
STOP-RUN.
NOTA
El modo Fast Commissioning con "Fast Compile" se comporta de manera diferente en
combinación con S7-PLCSIM que con una CPU F real.
S7-PLCSIM vuelve a arrancar tras un STOP.

Requisitos
Para poder activar y utilizar el modo Fast Commissioning, deben cumplirse los siguientes
requisitos:
• El modo Fast Commissioning con "Fast Compile" se utiliza con la Safety System Version
V2.4 o superior. Está disponible para CPU F S7-1200 con firmware V4.5 o superior y para
CPU F S7-1500 con firmware V2.0 o superior.
• El modo Fast Commissioning con "Consistent Compile" se utiliza con la Safety System
Version V2.5 o superior. Está disponible exclusivamente para CPU F S7-1500 con firmware
V3.0 o superior. En el caso de S7-1500 F Software Controller, con la Safety System Version
V2.5 o superior, solo está disponible para IPC aprobados con firmware V30.0 o superior.
NOTA
S7-1500 F Software Controller
Los IPC autorizados pueden consultarse en la tabla que figura en la Información de
producto de las CPU F (https://support.industry.siemens.com/cs/ww/es/view/109478599).
Si se utilizan IPC no aprobados, se produce un error o rearranque del F Software
Controller. A continuación, debe repetirse la descarga en STOP.
• La opción "Safety mode can be disabled (El modo seguro se puede desactivar)" debe estar
activada en el área "Settings (Ajustes)" del Safety Administration Editor.
• El programa de seguridad offline debe ser coherente e idéntico al programa de seguridad
online.
Activación del modo Fast Commissioning

El modo Fast Commissioning se activa haciendo clic en el botón "Activate Fast Commissioning
(Activar Fast Commissioning)" del área "General" del Safety Administration Editor.
Al hacerlo, estará seleccionado "Fast Compile" como ajuste predeterminado.
En cuanto está activo el modo Fast Commissioning con "Fast Compile", el comportamiento al
compilar modificaciones (menú contextual "Compile (Compilar) > Software (only changes)
(Software (solo cambios))" y "Compile (Compilar) > Hardware and software (only changes)
(Hardware y software (solo cambios))") pasa a ser el comportamiento al compilar
modificaciones en el modo Fast Commissioning con "Fast Compile".

Tan pronto como se cambie al ajuste "Consistent Compile", se podrá compilar el programa de
seguridad también de forma coherente y cargarlo en la CPU F en RUN.
NOTA
Una vez activado el modo Fast Commissioning, todas las áreas del Safety Administration
Editor excepto "General" aparecen atenuadas. En el Safety Administration Editor tampoco
están permitidos los accesos de escritura mediante Openness. Sigue siendo posible el acceso
de lectura.
Mientras está activado el modo Fast Commissioning con "Fast Compile", se muestra la
información "Fast Commissioning mode is activated (El modo Fast Commissioning está
activado)" en el Safety Administration Editor como estado del programa de seguridad.
En el modo Fast Commissioning con "Fast Compile", no se calculan firmas. Por lo tanto, en
este modo no se pueden emitir conclusiones sobre el estado del programa de seguridad y de
los bloques F con respecto a la comparación offline-online. En este caso, el estado de las
comparaciones de firmas se representa con el símbolo .
Carga de modificaciones en el modo Fast Commissioning

Para cargar modificaciones del programa de seguridad en la CPU F en RUN en el modo Fast
Commissioning, deben cumplirse las 3 condiciones siguientes:
• El modo seguro está desactivado.
• Fast Commissioning está activado.
Si no se cumple al menos una de estas 3 condiciones, el cuadro de diálogo "Load (Cargar)"
informa de que no es posible cargar en RUN.
NOTA
Si, durante la carga en RUN, se interrumpe la conexión entre la programadora/el PC y la CPU
F, no podrá finalizarse correctamente la carga en la CPU F. Además, la información
visualizada en el display y en el servidor web de la CPU F relativa al programa de seguridad ya
no es actual.
En este caso, ya no se podrá cargar en RUN aunque se cumplan todos los requisitos para el
modo Fast Commissioning.
Solución: pasar la CPU F a STOP y cargar un programa de seguridad coherente en la CPU F.
NOTA
Si la utilización de la memoria de trabajo de la CPU F es >80 %, puede suceder que, durante la

carga en RUN con "Consistent Compile", se produzca una interrupción y no se finalice
correctamente la carga en la CPU F. Además, la información visualizada en el display y en el
servidor web de la CPU F relativa al programa de seguridad ya no es actual.
Ya no se podrá cargar en RUN aunque se cumplan todos los requisitos para el modo Fast
Commissioning.
Solución: pasar la CPU F a STOP y cargar un programa de seguridad coherente en la CPU F.

Modificaciones soportadas en el modo Fast Commissioning

Mientras está activado el modo Fast Commissioning, no es posible modificar libremente el
programa de seguridad. A continuación, encontrará un resumen de las modificaciones
soportadas.
• Modificaciones de FB F/FC F/DB F. Para las excepciones, ver "Modificaciones no
soportadas".
• Modificaciones de tipos de datos PLC conformes con F. Para las excepciones, ver
"Modificaciones no soportadas".
• Modificaciones del programa de usuario estándar que influyen en el programa de
seguridad, por ejemplo, DB que se utilizan tanto en el programa de usuario estándar como
en el programa de seguridad.
• Creación y uso de bloques F. Para las excepciones, ver "Modificaciones no soportadas".
Modificaciones no soportadas en el modo Fast Commissioning con "Fast Compile"

Mientras está activado el modo Fast Commissioning con "Fast Compile", no es posible
modificar libremente el programa de seguridad. A continuación, encontrará un resumen de
las modificaciones no soportadas.
Tipo de modificación Reacción del sistema

Toda modificación en la configuración hardware. Durante la carga en la CPU F, se re
quiere un STOP.
Modificación en un FB F/FC F:
• Inserción de una nueva llamada de una instrucción de tem Error de compilación
porización (p. ej., TON, TOF, TP, MUT_P...) o de una instruc
ción ACK_OP/ACK_GL (es posible reparametrizar valores de
tiempo en llamadas existentes).
• Inserción de una nueva llamada de una instrucción
SENDDP/RCVDP.
• Inserción de un nuevo acceso a una periferia F (acceso a
una variable del DB de periferia F o a la memoria imagen de
proceso) que todavía no se ha utilizado en el grupo de eje
cución F.
• Inserción de un nuevo acceso a una comunicación con Flexi
ble F-Link (acceso a una variable del DB de comunicación F)
que todavía no se ha utilizado en el grupo de ejecución F.
Borrado en un FB F/FC F:
• Borrado de una llamada de una instrucción de temporiza Error de compilación si también se bo
ción (p. ej., TON, TOF, TP, MUT_P...) o de una instrucción rran las instancias
ACK_OP/ACK_GL.
• Borrado de una llamada de una instrucción SENDDP/RCVDP. Error de compilación
• Borrado del último acceso a una periferia F (acceso a una va
riable del DB de periferia F o a la memoria imagen de proce
so) de modo que ya no se utilice en el grupo de ejecución F.
• Borrado del último acceso a una comunicación con Flexible
F-Link (acceso a una variable del DB de comunicación F) de
modo que ya no se utilice en el grupo de ejecución F.


Borrado de un FB F o FC F si ya se ha llamado antes de activar el Error de compilación
modo Fast Commissioning. No obstante, es posible borrar una
llamada.
Borrado de un DB F si ya se han utilizado variables de este DB F Error de compilación
antes de activar el modo Fast Commissioning.
Borrado de un DB estándar si ya se han utilizado en lectura va Error de compilación
riables de este DB antes de activar el modo Fast Commissioning.
Borrado de una variable del programa de usuario estándar si ya Error de compilación
se ha utilizado en lectura antes de activar el modo Fast Commis
sioning.
Modificaciones en la estructura de tipos de datos PLC confor Error de compilación
mes con F a los que se hace referencia en una comunicación
Flexible F-Link.
Creación de tipos de la librería de bloques Error de compilación
Adición/borrado de:
• OB F Error de compilación
• Comunicaciones Flexible F-Link Bloqueo en el Safety Administration
Editor
• Grupos de ejecución F (incl. modificaciones)
• Conexiones CD F/MS F (incl. modificaciones)
Inserción de un FB F/FC F (p. ej., desde una librería u otra CPU F) Error de compilación
con acceso global a un DB F.
Cambio de la versión de las instrucciones en la Task Card Error de compilación
"Instructions (Instrucciones)".
Creación y modificación de perfiles de instrucciones
Carga de un programa de seguridad compilado en el modo Fast Bloqueo mediante carga de la estación
Commissioning desde la CPU F a la programadora/PC. desde el dispositivo
Modificaciones en el área "Settings (Ajustes)" del Safety Bloqueo en el Safety Administration
Administration Editor. Editor
Modificaciones de la contraseña para el programa de seguridad.
Cambio de nombre del OB F Error al descargar
Todas las modificaciones con Openness (espacio de nombres Se rechazan con una excepción.
SafetyAdministration).
NOTA
En el caso de las modificaciones marcadas con "Error de compilación", la compilación del
programa de seguridad se cancela en el modo Fast Commissioning. Aparece una indicación
adicional en la ventana de inspección, en "Info (Información) > Compile (Compilar)", que
informa sobre el bloque F en el que está la modificación no soportada.

NOTA
La tabla "Modificaciones no soportadas en el modo Fast Commissioning con Fast Compile" se
proporciona como ayuda. Por lo general, si al compilar se obtienen errores que hacen
referencia a bloques que no ha programado el propio usuario, significa que se ha efectuado
una modificación no soportada. En tal caso, deshacer las modificaciones realizadas o finalizar
el modo Fast Commissioning y compilar el programa de seguridad completo.
NOTA
El registro en el historial de modificaciones F está incompleto en el modo Fast Commissioning
con "Fast Compile" activado; no se tienen en cuenta las siguientes entradas:
• Firma colectiva F
• Sello de tiempo de compilación
• Bloques F compilados con firma y sello de tiempo
Modificaciones no soportadas en el modo Fast Commissioning con "Consistent Compile"

En el modo Fast Commissioning con "Consistent Compile", tampoco es posible modificar
libremente el programa de seguridad. Sin embargo, en comparación con "Fast Compile", se
permiten muchas más modificaciones en el programa de seguridad. A continuación,
encontrará un resumen de las modificaciones no soportadas.
NOTA
Tenga en cuenta que las modificaciones aquí mencionadas no deben haberse producido ya al
activar el modo Fast Commissioning con "Consistent Compile". En este sentido, asegúrese de
que el programa de seguridad offline sea coherente e idéntico al programa de seguridad
online. Si no lo tiene en cuenta, puede producirse un STOP de la CPU F.

Toda modificación en la configuración hardware. Durante la carga en la CPU F, se re
quiere un STOP.
Adición/borrado de:
• Comunicaciones Flexible F-Link Bloqueo en el Safety Administration
Editor
• Grupos de ejecución F (incl. modificaciones)
Modificaciones en el área "Settings (Ajustes)" del Safety
Administration Editor.
Modificaciones de la contraseña para el programa de seguridad.
Cambio de nombre del OB F La CPU pasa a STOP.
Todas las modificaciones con Openness (espacio de nombres Se rechazan con una excepción.
SafetyAdministration).
Inserción de una nueva llamada de una instrucción ACK_GL. Posible, pero después se pasivan todas
las periferias F. Solamente es posible
una reintegración con una transición
STOP-RUN.

10.8 Historial de modificaciones F

Inserción de un nuevo acceso a una periferia F (acceso a una Posible, pero después se pasiva la peri
variable del DB de periferia F o a la memoria imagen de proce feria F afectada. Solamente es posible
so) que todavía no se ha utilizado en el grupo de ejecución F. una reintegración con una transición
STOP-RUN.
Borrado de una llamada de una instrucción ACK_GL. Posible, pero después se pasivan todas
las periferias F. Solamente es posible
una reintegración con una transición
STOP-RUN.
Borrado del último acceso a una periferia F (acceso a una varia Posible, pero se genera una entrada en
ble del DB de periferia F o a la memoria imagen de proceso) de el búfer de diagnóstico con un
modo que ya no se utilice en el grupo de ejecución F. "PROFIsafe communications error
(Error de comunicación PROFIsafe)".
Finalización del modo Fast Commissioning

Para finalizar el modo Fast Commissioning con "Fast Compile" y volver a acceder al modo
seguro, haga lo siguiente:
1. Haga clic en el botón "Deactivate Fast Commissioning (Desactivar Fast Commissioning)".
2. Compile el programa de seguridad con Software (full compilation) (Software (compilar
todo)).
3. Cargue el programa de seguridad en la CPU F. Al hacerlo, la CPU F pasa a STOP.
En un sistema redundante S7-1500HF, en el cuadro de diálogo "Load preview (Vista
preliminar Carga)", deberá elegir "Stop R/H system (Parar sistema R/H)".
A continuación, el programa de seguridad online vuelve a ser coherente, y la CPU F puede
pasar a RUN con el modo seguro activado.
Para finalizar el modo Fast Commissioning con "Consistent Compile" y volver a acceder al
modo seguro, haga lo siguiente:
1. Haga clic en el botón "Deactivate Fast Commissioning (Desactivar Fast Commissioning)".
2. Efectúe una transición STOP-RUN para volver a activar el modo seguro.

Con la opción "Activation of F-change history (Activación del historial de modificaciones F)"
en el Safety Administration Editor, se activa el registro de modificaciones del programa de
seguridad. El historial de modificaciones F se comporta como el historial de modificaciones
del programa estándar.
En el árbol del proyecto, en "Common Data/Logs (Datos/registros comunes)", se crea un
historial de modificaciones F para cada CPU F.
En dicho historial de modificaciones F, se registra lo siguiente:
• Firma colectiva F
• Nombre de usuario
• Sello de tiempo de compilación
• Descarga del programa de seguridad con sello de tiempo
• Bloques F compilados con firma y sello de tiempo

El historial de modificaciones F puede contener como máximo 5000 entradas por CPU F. Si se
superan las 5000 entradas, se crea un nuevo historial de modificaciones F con el esquema de
nomenclatura "F-change history <Nombre de la CPU> YYYY-MM-DD hh:mm:ss".
Tras actualizar el proyecto, ya no se soporta la función "Go to (Ir a)" en el historial de
modificaciones F del proyecto para las entradas creadas antes de STEP 7 Safety V15.1.
ATENCIóN
El vínculo entre la CPU F y su historial de modificaciones F se establece con el nombre del

historial de modificaciones F.
Por lo tanto, no cambie el nombre de la CPU F ni del historial de modificaciones F. Si se
cambia el nombre de la CPU F o del historial de modificaciones F, se inicia un nuevo historial
de modificaciones F con el nombre actual de la CPU F.
NOTA
El historial de modificaciones F no debe utilizarse para localizar modificaciones en el
programa de seguridad/en la configuración de la periferia F durante la recepción/aceptación
de las modificaciones.
Para la recepción/aceptación de las modificaciones, proceda como se describe en
Recepción/aceptación de las modificaciones (Página 375).
NOTA
Se recomienda activar el historial de modificaciones F antes de pasar al modo productivo.

11
Recepción/aceptación de la instalación
11.1 Descripción general de la recepción/aceptación de la instalación
Introducción
Durante la recepción/aceptación de la instalación, deben cumplirse todas las normas y
directivas pertinentes de la aplicación (p. ej., PROFINET Installation Guidelines). Esto también
se aplica a instalaciones no "sujetas a recepción/aceptación". Durante la recepción/aceptación,
deben tenerse en cuenta las normas del informe del certificado
(http://support.automation.siemens.com/WW/view/es/49368678/134200).
La recepción/aceptación de un sistema F se encomienda habitualmente a un perito
independiente. La independencia exigida al perito debe definirse en el Safety Plan y depende
del PL/SIL requerido.
Tenga en cuenta todas las advertencias de este manual.
ADVERTENCIA
La configuración de la CPU F y la periferia F, así como la programación de bloques F debe

efectuarse en el TIA Portal tal y como se describe en la presente documentación. Para
garantizar un funcionamiento seguro con el sistema SIMATIC Safety, deben tenerse en
cuenta todos los aspectos descritos en el capítulo Recepción/aceptación de la instalación
(Página 357). No se admiten otros procedimientos. (S056)
Prueba de la implementación correcta de los datos del proyecto relativos a la seguridad

Para poder llevar a cabo la recepción/aceptación de una instalación, se debe determinar y
documentar la corrección de los distintos componentes. Para documentar las propiedades de
los componentes, debe crearse un impreso de seguridad.
Es necesario demostrar las siguientes propiedades:
• Corrección del programa de seguridad y de la configuración hardware (incluida la prueba)
(Página 358)
• Integridad del impreso de seguridad (Página 359)
• Coincidencia de los elementos de la librería del sistema utilizados en el programa de
seguridad con el Annex 1 del informe del certificado TÜV (Página 360)
• Concordancia de los bloques F con protección de know-how utilizados en el programa de
seguridad con el impreso de seguridad (Página 361)
• Integridad y corrección de la configuración hardware (Página 363)
• Corrección e integridad de la configuración de la comunicación (Página 369)

11.2 Corrección del programa de seguridad y de la configuración hardware (incluida la prueba)
• Identidad del programa online y offline (Página 372)

• Otras propiedades (Página 373), como versiones de software o uso de datos del programa
de usuario estándar
Tras la recepción/aceptación, deben archivarse todos los documentos relevantes y también
los datos del proyecto para que el proyecto aceptado esté disponible para una comparación
en una fase posterior de recepción/aceptación de cambios.
El impreso de seguridad (Página 332) es la documentación del proyecto necesaria para una
recepción/aceptación de la instalación.
11.2 Corrección del programa de seguridad y de la configuración

hardware (incluida la prueba)
La corrección del software no puede garantizarse mediante pruebas en el momento de la
puesta en marcha, sino que se requiere el cumplimiento de diferentes medidas ya durante el
proceso de creación. Ver al respecto también la advertencia S062 en el capítulo "Descripción
general (Página 24)".
Verificación/prueba de funcionamiento
El programa de seguridad y la configuración hardware respectiva deben probarse (Página
334) ya durante su creación. Las pruebas deben realizarse de acuerdo con la especificación de
las funciones de seguridad y deben documentarse antes de la recepción/aceptación de la
instalación.
Para poder revisar el código del programa de seguridad y documentar el código del programa
aceptado, como parte del impreso de seguridad (Página 332) se incluye el código fuente de
todos los bloques F, siempre que se haya seleccionado la opción "All (Todos)" al imprimirlo.
Si desea ejecutar una prueba de funcionamiento tras una carga, deberá realizar una
identificación del programa. Encontrará más información en "Carga de datos del proyecto
(Página 296)".
Solo cuando se garantice el correcto funcionamiento del programa de seguridad cumpliendo
todos los pasos del capítulo "Descripción general de la recepción/aceptación de la instalación
(Página 357)", podrá utilizarse en modo productivo. En caso de utilizar la opción de control de
configuración (configuración futura), deberá garantizarse el correcto funcionamiento del
programa de seguridad para todas las opciones de estación posibles mediante las pruebas de
funcionamiento correspondientes. Los informes de las pruebas deben archivarse junto con el
impreso de seguridad y la documentación de recepción/aceptación.
Los diferentes tiempos, p. ej., los tiempos de vigilancia (Página 586) y de retardo, solo
pueden verificarse de forma limitada con pruebas de funcionamiento (Página 296). Por ello,
deberá realizarse una prueba selectiva del dimensionamiento correcto de estos tiempos,
p. ej., sirviéndose del impreso de seguridad.
Algunos de estos tiempos se mencionan específicamente en el impreso de seguridad, p. ej., el
tiempo de vigilancia F (para la comunicación entre la CPU F y la periferia F) y el tiempo de
vigilancia de la comunicación CPU-CPU orientada a la seguridad (TIMEOUT). Para establecer
los tiempos de vigilancia calculados en condiciones normativas, se ofrece el archivo Excel
para calcular el tiempo de reacción en Internet
(https://support.industry.siemens.com/cs/ww/es/view/109783831). Estos tiempos deben
tenerse en cuenta junto con las condiciones de la aplicación determinadas en la práctica.

11.3 Integridad del impreso de seguridad
Tenga en cuenta que estos tiempos de vigilancia influyen en los tiempos de reacción de las
funciones de seguridad.
Coherencia del programa de seguridad

Compruebe, en el apartado "General information (Información general)" del impreso de
seguridad, si se ha verificado que el programa de seguridad es "coherente".
En las CPU F S7-300/400, esto solamente se cumple si, además, las siguientes firmas son
idénticas:
• Firma colectiva F (área "General information (Información general)", "Collective
F-Signature (Firma colectiva F)")
• "Signature of F-blocks with F-attribute (Firma de bloques F con atributo F)" (área "General
information (Información general)", "Current compilation (Compilación actual)")
La coherencia del programa de seguridad es necesaria para la recepción/aceptación. Si las
firmas no son idénticas, es posible establecer dicha coherencia volviendo a compilar el
programa de seguridad y creando de nuevo el impreso de seguridad.
11.3 Integridad del impreso de seguridad
Introducción
Una vez que los datos del proyecto relativos a la seguridad estén listos para su
recepción/aceptación, deberá realizar pruebas adicionales del impreso de seguridad y
documentarlas para demostrar que el impreso de seguridad está completo y pertenece al
programa de seguridad pendiente de recepción/aceptación.
Procedimiento para crear el impreso de seguridad

Para crear el impreso de seguridad, proceda como se describe en Creación del impreso de
seguridad (Página 332).
Al hacerlo, utilice la opción "All (Todo)" para incluir el código fuente de los bloques F.
Comprobación de la integridad del impreso

Si desea utilizar un impreso existente y desconoce si está completo, deberá comprobar si el
pie de página contiene la misma firma colectiva F en todas las páginas del impreso. De este
modo, se demuestra que todas las páginas incluidas pertenecen al mismo proyecto.
En el apartado "Supplementary information (Información complementaria)", encontrará,
entre otros, el número de páginas del impreso de seguridad. Esto le permite acreditar que se
incluyen todas las páginas del impreso de seguridad. No está permitido emplear impresos
incompletos (p. ej., escasez de tóner en la impresora) para una recepción/aceptación.
Si ha creado el impreso de seguridad con la opción "All (Todo)", también se incluye el código
fuente de todos los bloques F. Al imprimir dicho código fuente, se añade el pie de página para
poder atribuir con facilidad el código fuente a un impreso de seguridad.
El dato "Número de páginas del impreso de seguridad" no incluye las páginas en las que se
muestra el código fuente de los bloques F.

11.4 Coincidencia de los elementos de la librería del sistema utilizados en el programa de seguridad con el An
nex 1 del informe del certificado TÜV
Pertenencia al programa de seguridad

En el apartado "General information (Información general)" del impreso de seguridad,
compruebe si la firma colectiva F coincide online y offline con la firma colectiva F del
programa de seguridad pendiente de recepción/aceptación en el área de trabajo del Safety
Administration Editor, en "General". Si no coinciden, el impreso y el programa de seguridad
no concuerdan.
11.4 Coincidencia de los elementos de la librería del sistema

utilizados en el programa de seguridad con el Annex 1 del
informe del certificado TÜV
Introducción
STEP 7 Safety contiene instrucciones KOP/FUP para programar el programa de seguridad y,
además, bloques de sistema F para crear un programa de seguridad ejecutable, todos creados
y probados por SIEMENS y certificados por el TÜV. El sistema F define automáticamente los
bloques de sistema F utilizados según la Safety System Version ajustada (ver capítulo Área
"Settings (Configuración)" (Página 87)).
Para poder comprobar si las instrucciones KOP/FUP versionadas y los bloques de sistema F que
se utilizan coinciden con el Annex 1 del informe del certificado TÜV y con las versiones
proporcionadas por el usuario, se enumeran en el impreso de seguridad.
Procedimiento
Para la prueba, descargue el Annex 1 actual del informe del certificado TÜV "SIMATIC Safety"
en Internet (http://support.automation.siemens.com/WW/view/es/49368678/134200).

11.5 Concordancia de los bloques F con protección de know-how utilizados en el programa de seguridad con el
impreso de seguridad
Para la prueba, haga lo siguiente:
ADVERTENCIA
• (S7-1200, S7-1500) Las versiones de las instrucciones KOP/FUP versionadas que se

enumeran en el apartado "System library elements used in safety program (Elementos de
la librería del sistema utilizados en el programa de seguridad)" del impreso de seguridad
deben coincidir con las versiones del Annex 1 del informe del certificado TÜV.
• (S7-300, S7-400) Las versiones, las firmas y las firmas de valor inicial de las instrucciones
KOP/FUP versionadas y bloques de sistema F que se enumeran en el apartado "System
library elements used in safety program (Elementos de la librería del sistema utilizados en
el programa de seguridad)" del impreso de seguridad deben coincidir con las versiones,
las firmas y las firmas de valor inicial del Annex 1 del informe del certificado TÜV.
• Las versiones de las instrucciones KOP/FUP versionadas que figuran en el impreso de
seguridad deben cumplir los requisitos de seguridad de su aplicación.
Tener en cuenta las posibles diferencias de funcionalidad de las distintas versiones en el
capítulo correspondiente a la instrucción en cuestión.
• (S7-1200, S7-1500) La Safety System Version que se enumera en el apartado "System
program settings (Ajustes del programa de seguridad)" del impreso de seguridad debe
coincidir con las versiones que figuran en el Annex 1 del informe del certificado TÜV.
(S054)
Si existen diferencias, vuelva a comprobar si cuenta con las versiones correctas.

(S7-300/400) También pueden existir diferencias si hay bloques F/instrucciones sin utilizar en
el programa de seguridad.
11.5 Concordancia de los bloques F con protección de know-how

utilizados en el programa de seguridad con el impreso de
seguridad
Si se utilizan bloques F con protección de know-how (p. ej., de librerías) para programar el
programa de seguridad, no se imprimirá código fuente para ellos en el impreso de seguridad.
Por lo tanto, el autor del bloque F con protección de know-how ya debe efectuar la
recepción/aceptación del bloque F y proporcionar la siguiente información:
CPU F S7-300/400
• Firma y firma de valor inicial del bloque F con protección de know-how
• Firmas y firmas de valor inicial de todos los bloques F llamados

11.5 Concordancia de los bloques F con protección de know-how utilizados en el programa de seguridad con el
impreso de seguridad
Durante la recepción/aceptación de la instalación, deben efectuarse las siguientes pruebas

con ayuda del impreso de seguridad:
• La firma y la firma de valor inicial de cada bloque F con protección de know-how que
figuran en el apartado "F-blocks in safety program (Bloques F en el programa de
seguridad)" del impreso de seguridad deben coincidir con la firma y la firma de valor inicial
documentadas por el autor.
• Las versiones de las instrucciones KOP/FUP versionadas que figuran en el apartado "System
library elements used in safety program (Elementos de la librería del sistema utilizados en
el programa de seguridad)" del impreso de seguridad deben coincidir con las versiones de
cada bloque F con protección de know-how documentadas por el autor o bien ser
idénticas a ellas a nivel funcional.
• Las firmas y las firmas de valor inicial de los bloques F llamados en cada bloque F con
protección de know-how que figuran en el apartado "F-blocks in safety program (Bloques
F en el programa de seguridad)" del impreso de seguridad deben coincidir con las firmas y
las firmas de valor inicial (de los bloques F llamados) documentadas por el autor.
Si existen diferencias, ajuste las versiones documentadas (o idénticas a nivel funcional) y
utilice los bloques F con las firmas y las firmas de valor inicial documentadas. Si no es posible
eliminar los conflictos de versiones por otras dependencias, póngase en contacto con el autor
del bloque F con protección de know-how para obtener una versión compatible y aceptada.
CPU F S7-1200/1500
• Firma del bloque F con protección de know-how
• Safety System Version ajustada al establecer la protección de know-how
• Firmas de todos los FB F/FC F llamados en el bloque F con protección de know-how.
• Firmas de todos los DB F a los que acceda el bloque F con protección de know-how.
Durante la recepción/aceptación de la instalación, deben efectuarse las siguientes pruebas
con ayuda del impreso de seguridad:
• La firma de cada bloque F con protección de know-how que figura en el apartado "Know-
how protected F-blocks in the safety program (Bloques F con protección de know-how en
el programa de seguridad)" del impreso de seguridad debe coincidir con la firma
documentada por el autor.
• La Safety System Version de cada bloque F con protección de know-how que figura en el
apartado "Know-how protected F-blocks in the safety program (Bloques F con protección
de know-how en el programa de seguridad)" del impreso de seguridad debe coincidir con
una de las versiones del Annex 1 del informe del certificado TÜV.
• Las versiones de las instrucciones KOP/FUP versionadas de cada bloque F con protección
de know-how que figuran en el apartado "Know-how protected F-blocks in the safety
program (Bloques F con protección de know-how en el programa de seguridad)" del
impreso de seguridad deben coincidir con las versiones documentadas por el autor o bien
ser idénticas a ellas a nivel funcional.
• Las firmas de los bloques F llamados en cada bloque F con protección de know-how que
figuran en el apartado "Know-how protected F-blocks in the safety program (Bloques F
con protección de know-how en el programa de seguridad)" del impreso de seguridad
deben coincidir con las firmas (de los bloques F llamados) documentadas por el autor.
Si existen diferencias, ajuste las versiones documentadas (o idénticas a nivel funcional) y
utilice los bloques F con las firmas documentadas. Si no es posible eliminar los conflictos de

11.6 Integridad y corrección de la configuración hardware
versiones por otras dependencias, póngase en contacto con el autor del bloque F con
protección de know-how para obtener una versión compatible y aceptada.
Introducción
La configuración hardware es un componente esencial del proyecto pendiente de
recepción/aceptación. Al configurar el hardware, se realizan ajustes que pueden influir en la
seguridad de las señales. Es obligatorio documentar dichos ajustes en el impreso de
seguridad para demostrar el cumplimiento de los requisitos de seguridad de la aplicación.
Para ello, se dispone del apartado "Hardware configuration of F-I/O (Configuración hardware
de la periferia F)" en el impreso de seguridad. Este apartado consta de varias tablas:
• Una tabla con información sobre la CPU F, las áreas de las direcciones de destino F
utilizadas y la "Central F-source address (Dirección de origen F central)" de la CPU F
• Tablas de resumen de la periferia F utilizada
• Una tabla por cada periferia F, con información sobre la periferia F y todos sus parámetros
y valores configurados
Puesto que la administración de usuarios del servidor web también forma parte de la
configuración hardware, debe comprobarse la asignación del derecho "F-Admin (Admin F)".
La asignación del derecho "F-Admin (Admin F)" solamente puede comprobarse en el Safety
Administration Editor, en el área "Web server F-Admins (Admins F del servidor web)".
NOTA
Tenga en cuenta que la periferia F direccionada a través de la comunicación I-slave-slave
orientada a la seguridad figura en el impreso de seguridad de la CPU F del I-slave y no en la de
la CPU F del maestro DP asignado.
Para esta periferia F, el impreso de seguridad de la CPU F del maestro DP contiene una nota
en la tabla que indica que no está asignada a esta CPU F.
NOTA
Si se utilizan Shared Devices:
Tenga en cuenta que la periferia F direccionada en un Shared Device figura en el impreso de
seguridad de la CPU F del IO controller al que está asignada.
Para esta periferia F, el impreso de seguridad de las CPU F de los demás IO controller que
comparten el Shared Device contiene una nota en la tabla, que indica que no está asignada a
esta CPU F.

Procedimiento para comprobar la integridad de la configuración hardware

Compruebe si el impreso de seguridad contiene toda la periferia F configurada. Asegúrese de
que no se incluya ninguna periferia F que no esté configurada como perteneciente a esta CPU
F.
NOTA
Si se utiliza la opción de control de configuración (configuración futura), el impreso de
seguridad debe contener todas las periferias F de la configuración máxima. Para todas las
periferias F de la configuración máxima, deben realizarse las siguientes comprobaciones.
Procedimiento para comprobar la corrección de la configuración hardware a partir del impreso

de seguridad
Para comprobar la corrección de la configuración hardware, haga lo siguiente:
1. En el apartado "Hardware configuration of F-I/O (Configuración hardware de la periferia
F)", compruebe la univocidad de las direcciones PROFIsafe.
Para ello, tenga en cuenta los capítulos Direcciones PROFIsafe para periferia F de dirección
PROFIsafe tipo 1 (Página 65) o Direcciones PROFIsafe para periferia F de dirección
PROFIsafe tipo 2 (Página 67), Particularidades de la configuración de DP slaves
normalizados de seguridad y IO devices normalizados de seguridad (Página 75) y
Recomendación para la asignación de las direcciones PROFIsafe (Página 61).
– Compruebe si los parámetros "Central F-source address (Dirección de origen F central)"
de las distintas CPU F difieren en toda la red. En esta comprobación, no es necesario
tener en cuenta las CPU F que tengan asignada exclusivamente periferia F de dirección
PROFIsafe tipo 1.
– Para la periferia F con dirección PROFIsafe tipo 1, compruebe si las direcciones de
destino F cumplen la siguiente advertencia:
ADVERTENCIA
La periferia F con dirección PROFIsafe tipo 1 se direcciona de forma unívoca mediante

su dirección de destino F (p. ej., por las posiciones del interruptor de dirección).
La dirección de destino F (y, por lo tanto, también las posiciones del interruptor de
dirección) de la periferia F debe ser única en toda la red* y en toda la CPU**/*** (en
todo el sistema) para toda la periferia F. A este respecto también hay que tener en
cuenta la periferia F con dirección PROFIsafe tipo 2. (S051)
* Una red consta de una o varias subredes. "En toda la red" significa más allá de los
límites de la subred. En PROFIBUS, una red abarca todos los dispositivos accesibles a
través de PROFIBUS DP. En PROFINET IO, una red abarca todos los dispositivos
accesibles a través de RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) y, en su caso,
RT_Class_UDP (IP, Layer 3).
controller y la periferia F asignada en un Shared Device. La periferia F a la que se
accede a través de comunicación I-slave-slave está asignada a la CPU F del I-slave y no a
la CPU F del maestro DP/IO controller.
*** En un sistema redundante S7-1500HF, ambas CPU F del sistema redundante
S7-1500HF deben considerarse una sola CPU F por lo que respecta a las direcciones

PROFIsafe. Por ello, el sistema ajustará de modo idéntico la "dirección de origen F

central" para las dos CPU F.
NOTA
– Para la periferia F con dirección PROFIsafe tipo 2, compruebe si las direcciones de

destino F cumplen la siguiente advertencia:
ADVERTENCIA
La periferia F con dirección PROFIsafe tipo 2 se direcciona de manera unívoca

mediante la combinación de dirección de origen F (parámetro "Central F-source
address (Dirección de origen F central)" de la CPU F asignada) y dirección de destino
F.
La combinación de dirección de origen F y dirección de destino F de cada periferia F
debe ser única en toda la red* y en toda la CPU**/*** (en todo el sistema). Además,
la dirección de destino F no debe estar ocupada por una periferia F con dirección
PROFIsafe tipo 1.
Cuando se utilizan configuraciones soportadas (Página 62), la univocidad en toda la
CPU F queda garantizada si el parámetro "Central F-source address (Dirección de
origen F central)" de todas las CPU F es único en toda la red. Esto se consigue con
distintos ajustes del parámetro "Central F-source address (Dirección de origen F
central)" de las CPU F. (S052)
* Una red consta de una o varias subredes. "En toda la red" significa más allá de los
límites de la subred. En PROFIBUS, una red abarca todos los dispositivos accesibles a
través de PROFIBUS DP. En PROFINET IO, una red abarca todos los dispositivos
accesibles a través de RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) y, en su caso,
RT_Class_UDP (IP, Layer 3).
controller y la periferia F asignada en un Shared Device. La periferia F a la que se
accede a través de comunicación I-slave-slave está asignada a la CPU F del I-slave y no a
la CPU F del maestro DP/IO controller.
*** En un sistema redundante S7-1500HF, ambas CPU F del sistema redundante
PROFIsafe. Por ello, el sistema ajustará de modo idéntico la "dirección de origen F
central" para las dos CPU F.
NOTA

– Para los DP slaves normalizados de seguridad/IO devices normalizados de seguridad,

compruebe si las direcciones PROFIsafe cumplen la siguiente advertencia:
ADVERTENCIA
Consultar la documentación del DP slave normalizado de seguridad/IO device

normalizado de seguridad para averiguar qué tipo de dirección PROFIsafe es válida
para él. Si no se encuentra información, debe presuponerse que se trata de la
dirección PROFIsafe tipo 1. Para la configuración, proceder tal y como se describe en
Direcciones PROFIsafe para periferia F de dirección PROFIsafe tipo 1 (Página 65) o
Direcciones PROFIsafe para periferia F de dirección PROFIsafe tipo 2 (Página 67).
Para DP slaves normalizados de seguridad/IO devices normalizados de seguridad, es
preciso ajustar la dirección de origen F según las indicaciones del fabricante. Si la
dirección de origen F debe coincidir con el parámetro "Central F-source address
(Dirección de origen F central)" de la CPU F (dirección PROFIsafe tipo 2), este último
está en la pestaña "Properties (Propiedades)" de la CPU F. Comprobar en este caso con
ayuda del impreso de seguridad que el valor de la CPU F para el parámetro "Central
F-source address (Dirección de origen F central)" coincide con el valor de la dirección
de origen F del DP slave normalizado de seguridad/IO device normalizado de
seguridad. (S053)
2. Compruebe los parámetros relativos la seguridad (incluido el tiempo de vigilancia F o

F_WD_Time) de toda la periferia F configurada.
Estos parámetros figuran en el apartado "Hardware configuration of F-I/O (Configuración
hardware de la periferia F)", en las tablas detalladas de la periferia F.
La tabla se compone de dos partes:
– El lado izquierdo contiene los parámetros que se refieren a la propia periferia F
("Module data (Datos de módulo)").
– El lado derecho contiene los parámetros de los distintos canales ("Channel parameters
(Parámetros de canal)").
Estos parámetros deben ajustarse del modo prescrito en los requisitos de seguridad de la
aplicación.

Si se utilizan DP slaves normalizados/IO devices normalizados de seguridad, tenga en

cuenta la documentación correspondiente para los parámetros (tecnológicos) relativos a
la seguridad que pueda haber.
NOTA
Las periferias F que deben obtener los mismos parámetros relativos a la seguridad
(excepto las direcciones PROFIsafe) pueden copiarse en la configuración. En este caso,
excepto para las direcciones PROFIsafe, ya no es necesario comprobar todos los
parámetros relativos a la seguridad uno a uno. Basta con comparar la "F-parameter
signature (without addresses) (Firma de parámetros F (sin direcciones))" en el apartado
"Hardware configuration of F-I/O (Configuración hardware de la periferia F)" de la tabla de
resumen. Esto también es aplicable para DP slaves normalizados/IO devices normalizados
de seguridad sin parámetros i. En cuanto a los DP slaves normalizados/IO devices
normalizados con parámetros i, puede que la "F-parameter signature (without addresses)
(Firma de parámetros F (sin direcciones))" no coincida aunque sí coincidan todos los
parámetros relativos a la seguridad, excepto las direcciones PROFIsafe. En tal caso, deben
compararse todos los parámetros relativos a la seguridad.
Excepción:
En las periferias F que no soportan el perfil "RIOforFA-Safety", además de la "F-parameter
signature (without addresses) (Firma de parámetros F (sin direcciones))", debe
compararse el parámetro "Behavior after channel fault (Comportamiento tras fallo de
canal)", si existe.
3. Compruebe si las referencias de la periferia F en el impreso de seguridad coinciden con las

referencias de la periferia F realmente existente en la instalación. Si las referencias
difieren, debe haber compatibilidad de repuestos entre la periferia F existente y la periferia
F que figura en el impreso de seguridad.

4. Para las configuraciones no soportadas, tenga en cuenta el capítulo Configuraciones

soportadas por el sistema F SIMATIC Safety (Página 62).
ADVERTENCIA
Al crear configuraciones que no pertenezcan a las configuraciones soportadas, debe

tenerse en cuenta lo siguiente:
– Asegurarse de que la periferia F de esta configuración figura en el impreso de
seguridad y de que se ha creado un DB de periferia F para ella. De lo contrario, no se
podrá utilizar la periferia F en esta configuración. (Dirigirse al servicio de atención al
cliente).
– En el entorno PROFINET IO**, se debe comprobar para la periferia F si el parámetro
Modo de operación PROFIsafe (F_Par_Version) es correcto con ayuda del impreso de
seguridad. En el entorno PROFINET IO debe estar ajustado el "V2 mode". En el entorno
PROFINET IO no está permitido utilizar una periferia F que solo soporte el "V1 mode".
– Debe garantizarse una asignación única de la dirección PROFIsafe en toda la
CPU*/**** y en toda la red***:
– Asegurarse de que las direcciones PROFIsafe son correctas con ayuda del impreso
de seguridad.
– Si se utiliza periferia F con dirección PROFIsafe tipo 2, asegurarse con ayuda del
impreso de seguridad de que la dirección de origen F coincida con el parámetro
"Central F-source address (Dirección de origen F central)" de la CPU F.
– Para la periferia F con dirección PROFIsafe tipo 1 o si la dirección de origen F no se
puede ajustar de modo que coincida con el parámetro "Central F-source address
(Dirección de origen F central)" de la CPU F, la univocidad de la dirección PROFIsafe
debe garantizarse únicamente mediante la asignación unívoca de la dirección de
destino F.
La univocidad de la dirección de destino F debe comprobarse en una configuración no
soportada para cada periferia F individualmente con ayuda del impreso de seguridad.
(S050)
* "En toda la CPU" significa: toda la periferia F asignada a una CPU F: la periferia F
** La periferia F está en el "entorno de PROFINET IO" si al menos una parte de la
comunicación orientada a la seguridad con la CPU F se establece mediante PROFINET IO. Si
la periferia F está conectada a través de comunicación I-slave-slave, además deberá
tenerse en cuenta la vía de comunicación hacia el maestro DP/IO controller.
*** Una red se compone de una o varias subredes. "En toda la red" significa más allá de
los límites de la subred. En PROFIBUS, una red abarca todos los dispositivos accesibles a
través de PROFIBUS DP. En PROFINET IO, una red abarca todos los dispositivos accesibles a
través de RT_Class_1/2/3 (Ethernet/WLAN/Bluetooth, Layer 2) y, en su caso, RT_Class_UDP
(IP, Layer 3).
**** En un sistema redundante S7-1500HF, ambas CPU F del sistema redundante

11.7 Corrección e integridad de la configuración de la comunicación
PROFIsafe. Por ello, el sistema ajustará de modo idéntico la "dirección de origen F central"
para las dos CPU F.
NOTA
5. En el Safety Administration Editor o en el impreso estándar de los datos del proyecto,

compruebe que solamente se haya concedido el derecho "F-Admin (Admin F)" a personas
autorizadas.
ADVERTENCIA
La autorización "F-Admin (Admin F)" en el servidor web sin protección por contraseña
(usuario "Everybody (Cualquiera)") solo está prevista con fines de prueba, puesta en
marcha, etc. Es decir, solo cuando la instalación no está en modo productivo. En este
caso, se debe garantizar la seguridad de la instalación tomando otras medidas
organizativas (Página %getreference).
Antes de pasar al modo productivo debe eliminarse el derecho "F-Admin (Admin F)" del
usuario "Everybody (Cualquiera)".
La contraseña de usuario del servidor web con el derecho "F-Admin (Admin F)" solo debe
ser accesible para personas autorizadas. Tras cargar la configuración hardware, se debe
comprobar si en la CPU F solo poseen el derecho "F-Admin (Admin F)" los usuarios
autorizados del servidor web. Utilizar para ello el modo online del Safety Administration
Editor.
Solo está permitido guardar el archivo de inicio de sesión, así como la contraseña del
servidor web en el navegador si otras medidas organizativas (Página %getreference)
impiden su uso por personas no autorizadas.
Si utiliza el mecanismo de ticket, los tickets deben tratarse de manera tan restrictiva como
la contraseña de usuario del servidor web con el derecho "F-Admin (Admin F)". (S064)
Consulte
también
Área "Web server F-Admins (Admin F de servidor web)" (S7-1200, S7-1500) (Página
%getreference)
Introducción
La comunicación orientada a la seguridad se basa en los mecanismos de la comunicación
estándar de STEP 7.
Para poder detectar errores no cubiertos por la comunicación estándar, las conexiones de
comunicación orientada a la seguridad entre CPU F cuentan con una protección adicional.
Para dicha protección, se necesitan otros parámetros, que deben documentarse y
comprobarse durante la recepción/aceptación.

Para tal fin, el impreso de seguridad incluye los apartados "Block parameters for safety-related
CPU-CPU communication (Parámetros de bloque para comunicación CPU-CPU orientada a la
seguridad)" y "Communications via Flexible F-Link Overview (Vista general de las
comunicaciones mediante Flexible F-Link)". En el apartado "Block parameters for safety-
related CPU-CPU communication (Parámetros de bloque para comunicación CPU-CPU
orientada a la seguridad)", aparecen hasta dos tablas (para la comunicación mediante
PROFIBUS DP o PROFINET IO y para la comunicación mediante conexiones S7). En el apartado
"Communications via Flexible F-Link Overview (Vista general de las comunicaciones mediante
Flexible F-Link)", aparece una tabla de las conexiones configuradas, así como una tabla
"Communications via Flexible F-Link for UDT (Comunicaciones mediante Flexible F-Link para
UDT)" para cada tipo de datos PLC conforme con F (UDT) utilizado.
No todas las comunicaciones orientadas a la seguridad están disponibles para todas las CPU F.
Encontrará más información en el capítulo "Comunicación orientada a la seguridad (Página
189)".
NOTA
La información aportada en este capítulo sobre la comunicación mediante Flexible F-Link
también es válida si dicha comunicación tiene lugar entre grupos de ejecución F.
Procedimiento para comprobar la corrección de la configuración de la comunicación
Para la comunicación orientada a la seguridad con las instrucciones SENDS7/RCVS7,

tenga en cuenta la siguiente advertencia:
ADVERTENCIA
El valor del correspondiente ID de comunicación F (entrada R_ID; tipo de datos: DWORD) se

puede elegir libremente, pero debe ser impar y único en toda la red* y en toda la CPU para
todas las conexiones de comunicación orientadas a la seguridad. El valor R_ID + 1 se asigna
internamente y no se puede utilizar.
Se deben proporcionar valores constantes a las entradas ID y R_ID al llamar la instrucción. El
programa de seguridad no admite accesos directos de lectura ni de escritura al DB de

Para la comunicación orientada a la seguridad con las instrucciones SENDDP/RCVDP,

tenga en cuenta la siguiente advertencia:
ADVERTENCIA

Para la comunicación mediante Flexible F-Link, tenga en cuenta las siguientes
advertencias:
ADVERTENCIA

11.8 Identidad del programa online y offline
ADVERTENCIA

UDT. (S088)
11.8 Identidad del programa online y offline

Una vez comprobadas todas las propiedades del programa de seguridad offline, debe
garantizarse que el programa de seguridad que va a ejecutarse en la CPU F sea idéntico.
ADVERTENCIA
En un sistema redundante S7-1500HF, la identidad del programa online y offline se debe

comprobar en el estado operativo RUN-Redundant. Es suficiente realizar la comprobación
solo para una CPU HF S7-1500. (S098)
1. Conéctese online con la CPU F. Si es posible acceder a varias CPU F a través de una red
(p. ej., Industrial Ethernet) desde la programadora/el PC, debe garantizarse que la
conexión se haya establecido con la CPU F deseada, p. ej., con "Online & diagnostics
(Online y diagnóstico)" > "Online access (Accesos online)" > "LED flashes (Prueba de
parpadeo de LED)".
2. Abra el Safety Administration Editor.
3. Compruebe si las firmas colectivas F coinciden online y offline con la firma colectiva F del
impreso de seguridad.
4. Ahora, en el área "General", en "Safety program status (Estado del programa de
seguridad)", compruebe si los programas de seguridad online y offline son coherentes.
A partir de los indicadores "Status (Estado)" y "Version comparison (Comparación de
versiones)", compruebe cuál es la situación y, dado el caso, tome la medida propuesta:
Estado Comparación de Resultado Medida

versiones
No relevante Los programas de seguridad son – Asegúrese de que la cone
diferentes. xión se haya establecido
con la CPU F deseada.
– Cargue el programa de se
guridad en la CPU F.
Los programas de seguridad son El programa de seguridad debe
idénticos, pero la versión de los cargarse en la CPU F para que
bloques F es diferente. las versiones actuales tengan
efecto.
Los programas de seguridad son Ninguna
iguales.

11.9 Otras propiedades
Tenga en cuenta que solamente obtendrá información fiable sobre si los programas de
seguridad son idénticos comparando las modificaciones. La indicación sobre las firmas solo
sirve para detectar modificaciones rápidamente.
Introducción
Asimismo, deben comprobarse algunas propiedades que también son importantes para la
recepción/aceptación del proyecto.
Control de plausibilidad para transferir datos del programa estándar al programa de seguridad
Compruebe si se ha programado un control de plausibilidad para todos los datos transferidos
desde el programa de usuario estándar al programa de seguridad. Para ello, en el apartado
"Data from standard user program (Datos del programa de usuario estándar)", se enumeran
todas las variables del programa de usuario estándar que se leen en el programa de
seguridad. Las variables del programa de usuario estándar que se escriben en el programa de
seguridad no aparecen en esta lista, puesto que no requieren control de plausibilidad. A este
respecto, tenga en cuenta la advertencia S015 en el capítulo "Transferencia de datos del
programa de usuario estándar al programa de seguridad (Página 187)".
Llamada múltiple de un FB F o de una instrucción con la misma instancia (instancia individual o

multiinstancia)
Compruebe si se ha utilizado una instancia propia para cada llamada de un FB F o de una
instrucción.
Las llamadas múltiples con la misma instancia suelen considerarse no convenientes y exigen
especial atención:
Si, p. ej., en la primera llamada de la instancia se transfiere un operando explícitamente
(p. ej., en forma de constante) y en la segunda llamada no existe ninguna transferencia
explícita (de modo que el valor inicial sea válido), deberá cerciorarse de qué valor es válido en
la segunda llamada para este operando. Al hacerlo, tenga en cuenta también los procesos de
arranque, OB de prioridad más alta o elementos similares que puedan contener la primera
llamada.
Comprobación de la versión del programa

Compruebe si la versión de STEP 7 Safety con la que se ha creado el impreso (en el pie de
página del impreso) es al menos la versión con la que se ha compilado el programa de
seguridad. Encontrará esta versión en el apartado "General information (Información
general)" del impreso de seguridad, en "Used versions (Versiones utilizadas)". Ambas
versiones deben figurar en el Annex 1 del informe para el certificado TÜV.

Posibilidad de desactivar el modo seguro

Compruebe que no exista la posibilidad de desactivar el modo seguro. Encontrará esta
información en el apartado "General information (Información general)", en "Safety program
settings (Ajustes del programa de seguridad)". Con este ajuste, se habrá garantizado que no
sea posible desactivar el modo seguro del programa de seguridad, ni siquiera
involuntariamente. A este respecto, tenga en cuenta la advertencia S027 en el capítulo
"Desactivación del modo seguro (Página 336)".
Safety System Version en una CPU HF S7-1500

Compruebe si, al utilizar una CPU HF S7-1500, la Safety System Version es V2.4 o superior.
Encontrará esta información en el apartado "General information (Información general)", en
"Safety program settings (Ajustes del programa de seguridad)".
En el apartado "General information (Información general)", en "Access protection (Protección
de acceso)", compruebe si el ajuste de la protección de acceso es admisible. Para ello, tenga
en cuenta la siguiente advertencia.
De lo contrario, no podrá aceptarse el proyecto, ya que el programa de seguridad de la CPU F
no estará protegido contra accesos no autorizados.
ADVERTENCIA

tal caso también es posible modificar el programa de seguridad. Para que esto no ocurra, es
preciso configurar el nivel de protección "Write protection for fail-safe blocks (Protección

11.10 Recepción/aceptación de las modificaciones
ADVERTENCIA
(sin protección))". Con este nivel de protección solo es posible un acceso completo a los
datos del programa de usuario estándar, pero no a los bloques F.
Si se elige un nivel de protección mayor, para proteger, p. ej., el programa de usuario
estándar, debe asignarse una contraseña adicional para la opción "Full access (no protection)
(Acceso completo (sin protección))".
Introducción
Para la recepción/aceptación de las modificaciones, en general el procedimiento es el mismo
que para la primera recepción/aceptación de la instalación (ver Descripción general de la
recepción/aceptación de la instalación (Página 357)).
Debe comprobarse si ha habido modificaciones en todos los datos del proyecto relativos a la
seguridad (programa de seguridad y configuración hardware relativa a la seguridad) y, en un
análisis de influencia, deben determinarse los datos del proyecto relativos a la seguridad que
deban validarse y aceptarse.
ADVERTENCIA
En el marco de la recepción/aceptación de modificaciones debe comprobarse si las

modificaciones previstas se han realizado correctamente y en su totalidad.
Además, se debe comprobar que no se hayan realizado modificaciones inintencionadas en
otro lugar (p. ej., periferia F o instrucciones insertadas adicionalmente). (S072)
Para no tener que volver a someter toda la instalación a recepción/aceptación si se han

producido escasas modificaciones, STEP 7 Safety ayuda a identificar las partes del programa
de seguridad que han cambiado.
Para la recepción/aceptación de las modificaciones, haga lo siguiente:
1. Localice las modificaciones en los datos del proyecto relativos a la seguridad:
– Bloques F modificados o agregados
– Instrucciones y bloques de sistema F modificados o agregados
– Parámetros relativos a la seguridad de la periferia F modificada o agregada
– Estructura de la configuración hardware relativa a la seguridad (p. ej., posiciones de
slots o direcciones iniciales de las periferias F)
– Comunicación orientada a la seguridad mediante Flexible F-Link modificada

2. A partir de estas modificaciones, determine los datos del proyecto relativos a la seguridad
afectados (análisis de influencia). Puede tratarse también de datos del proyecto relativos a
la seguridad que no haya modificado el propio usuario.
3. A continuación, realice una validación y una recepción/aceptación de los datos del
proyecto relativos a la seguridad que se vean afectados por los cambios.
NOTA
No es posible una recepción/aceptación de modificaciones después de migrar la CPU.
ADVERTENCIA
Si se hacen modificaciones en las que puede cambiar la asignación de direcciones de

entrada/salida y el cableado, es preciso realizar una prueba del cableado (Página 339).
Algunos ejemplos de dichas modificaciones son:
• Agregar periferias F
• Modificar la dirección inicial de periferias F
• Modificar la posición de slot de periferias F
• Modificar
– el rack
– la dirección del slave/device
– la subred PROFIBUS DP/PROFINET
– la dirección IP
– del nombre del device
(S071)
Localización de modificaciones en los datos del proyecto relativos a la seguridad

Para poder localizar modificaciones relevantes, se necesitan dos proyectos TIA:
• Proyecto de referencia: contiene los datos del proyecto ya aceptados en un principio.
Constituyen el punto de partida para la comparación posterior.
• Proyecto sujeto a recepción/aceptación: contiene los datos del proyecto actuales relativos
a la seguridad. Es el resultado del proyecto de referencia más las modificaciones
efectuadas en él.
Para poder localizar las modificaciones, se deben comparar los datos del proyecto relativos a
la seguridad del proyecto de referencia con los del proyecto pendiente de
La firma colectiva F ofrece una aproximación rápida para averiguar si se han producido
modificaciones relevantes. Si ha cambiado dicha firma, hay modificaciones relevantes en los
datos del proyecto relativos a la seguridad.
(S7-1200, S7-1500) Ahora, mediante la firma colectiva SW F, la firma colectiva HW F y la
firma de la dirección de comunicación F, podrá concretar si dichas modificaciones aparecen
en el programa de seguridad (habrá cambiado la firma colectiva SW F) y/o en la configuración
hardware relativa a la seguridad (habrá cambiado la firma colectiva HW F) y/o en los datos de

comunicación (con Flexible F-Link, habrá cambiado la firma de la dirección de comunicación

F).
Localización de modificaciones en el programa de seguridad

(S7-1200, S7-1500) Una manera rápida de detectar modificaciones en el programa de
seguridad consiste en comparar la firma colectiva SW F de los datos del proyecto relativos a la
seguridad del proyecto de referencia con la firma colectiva SW F de los datos del proyecto
relativos a la seguridad del proyecto pendiente de recepción/aceptación. Si difieren, significa
que existen modificaciones en el programa de seguridad que deben validarse y, dado el caso,
aceptarse.
Para localizar modificaciones en el programa de seguridad, efectúe una comparación offline-

offline entre el programa de seguridad pendiente de recepción/aceptación del proyecto
pendiente de recepción/aceptación y el programa de seguridad del proyecto de referencia
(ver Comparación de programas de seguridad (Página 329)). Para ello, emplee el ajuste de
filtro Compare only F-blocks relevant for certification (Comparar solo bloques F relevantes
para la recepción/aceptación). De este modo, la comparación visualizada se limitará a los
bloques F relevantes.
ADVERTENCIA
Asegurarse de que el criterio de comparación "Safety" esté activado para que se tengan en
cuenta los criterios relevantes para la recepción/aceptación de modificaciones en la
comparación. (S069)
Desactivando los demás criterios de comparación, se pueden ignorar diferencias que resulten
irrelevantes para la recepción/aceptación de los cambios (p. ej., sellos de tiempo).
El estado de la comparación permite saber qué bloques F han cambiado.
(S7-1200, S7-1500) Como alternativa a la comparación offline-offline, las modificaciones del
programa de seguridad pueden localizarse comparando las firmas de grupos. Para ello, utilice
los impresos de seguridad del proyecto de referencia y del proyecto pendiente de
recepción/aceptación. Los grupos con firma inalterada indican que no ha cambiado ningún
bloque F ni en ellos ni en grupos subordinados. En los grupos con firma modificada, los
bloques F modificados se localizan por la firma modificada del bloque. Tenga en cuenta que
la asignación de bloques F en grupos no está cubierta por la firma colectiva F.
Localización de modificaciones en la configuración hardware relativa a la seguridad

(S7-1200, S7-1500) Una manera rápida de detectar modificaciones en la configuración
hardware relativa a la seguridad consiste en comparar la firma colectiva HW F de los datos del
proyecto relativos a la seguridad del proyecto de referencia con la firma colectiva HW F de los
datos del proyecto relativos a la seguridad del proyecto pendiente de recepción/aceptación. Si
difieren, existen modificaciones en la configuración hardware relativa la seguridad que deben
validarse y, en su caso, aceptarse.
(S7-1200, S7-1500) Si la firma colectiva HW F ha cambiado y todas las periferias F
permanecen inalteradas, significa que se han modificado parámetros de la CPU F relativos a la
seguridad o que algo ha cambiado en la estructura de la configuración hardware relativa a la
seguridad, p. ej., posiciones de slots.

Para localizar modificaciones relativas a la seguridad en la configuración hardware relativa a

la seguridad, existen dos posibilidades:
• Localización mediante comparación offline-offline
• Localización mediante comparación de dos impresos de seguridad
El procedimiento se describe a continuación.
Localización mediante comparación offline-offline
Para la comparación, el proyecto de referencia y el proyecto pendiente de
recepción/aceptación deben ser coherentes y estar compilados. Para efectuar la comparación,
ver Comparación de programas de seguridad (Página 329).
1. En el resultado de la comparación, vaya a la carpeta "System blocks (Bloques de sistema) >
STEP 7 Safety > F-I/O data blocks (DB de periferia F)". Todos los bloques de datos que
figuran en esta carpeta son DB de periferia F, y cada uno de ellos está asignado a una
periferia F.
– Si los DB de periferia F son idénticos en el resultado de la comparación, tampoco habrá
cambiado la configuración relativa a la seguridad de la periferia F asignada. Pueden
haber cambiado los parámetros estándar.
– Si los DB de periferia F son diferentes en el resultado de la comparación, también habrá
cambiado la configuración relativa a la seguridad de la periferia F asignada.
– Si los DB de periferia F están marcados como "Not available (No existe)" en el resultado
de la comparación, pueden haberse borrado o agregado periferias F respectivas, o bien
pueden haber cambiado nombres o direcciones iniciales de las periferias F. En ese caso,
encontrará la asignación entre un DB de periferia F y una periferia F determinados en el
impreso de seguridad, en "Hardware configuration of F-I/O (Configuración hardware de
la periferia F)".
2. Si ha encontrado periferia F modificada, puede comprobar los parámetros modificados en
el impreso de seguridad como se describe a continuación.
Localización mediante comparación de dos impresos de seguridad

Para realizar una comparación con dos impresos de seguridad, haga lo siguiente:
F)", compare las direcciones iniciales (direcciones E/S), el parámetro "Behavior after
channel fault (Comportamiento tras fallo de canal)" y el slot de las periferias F.
F)", en la tabla general de las periferias F utilizadas, compare los parámetros CRC de las
periferias F con los del impreso de seguridad de las correspondientes CPU F del proyecto
de referencia.
– Si la "Parameter signature (without addresses) (Firma de parámetros F (sin
direcciones))" difiere para una periferia F, significa que existe una modificación de
parámetros relativos a la seguridad de la periferia F.
En ese caso, compruebe los parámetros relativos a la seguridad de la periferia F y la
univocidad de las direcciones PROFIsafe en la tabla detallada correspondiente.
– Si la "Parameter signature (without addresses) (Firma de parámetros (sin direcciones))"
es idéntica, solamente han cambiado las direcciones PROFIsafe.
En ese caso, basta con comprobar la univocidad de las direcciones PROFIsafe.
Para comprobarla, proceda como se describe en el capítulo Integridad y corrección de la
configuración hardware (Página 363).

(S7-1200, S7-1500) Detección de modificaciones en la comunicación con Flexible F-Link

Una manera rápida de detectar modificaciones en la configuración de la comunicación con
Flexible F-Link consiste en comparar la firma de la dirección de comunicación F de los datos
del proyecto relativos a la seguridad del proyecto de referencia con la firma de la dirección de
comunicación F de los datos del proyecto relativos a la seguridad del proyecto pendiente de
recepción/aceptación. Si difieren, significa que existen modificaciones en la configuración de
la comunicación (solo UUID) con Flexible F-Link que deberán validarse y, en su caso,
aceptarse. Otros parámetros de comunicación, como, p. ej., el timeout o el sentido de la
transferencia, quedan cubiertos por la firma colectiva SW F (ver "Localización de
modificaciones en el programa de seguridad" más arriba).
Para localizar modificaciones en la configuración de la comunicación con Flexible F-Link,
compare en el impreso de seguridad correspondiente la tabla "Communications via Flexible
F-Link Overview (Vista general de las comunicaciones mediante Flexible F-Link)" del proyecto
de referencia con la del proyecto pendiente de recepción/aceptación.
Consulte
también
Acceso a variables del DB de periferia F (Página 165)

12
12.1 Indicaciones para el arranque del sistema F

En el estado operativo "STARTUP (ARRANQUE)" de una CPU F, el arranque del programa de
usuario estándar se realiza del modo habitual.
En el programa de seguridad, se restablecen por lo general todos los contenidos de los DB F a
sus valores de arranque de la memoria de carga.
Una reintegración automática de la periferia F (Página 166) tiene lugar a partir del segundo
ciclo del grupo de ejecución F.
NOTA
Al restablecer los DB F a los valores de arranque de la memoria de carga, también sucede lo
siguiente:
• Se restablece cualquier información de error que pudiera haberse guardado.
• Se restablecen las marcas de flanco en instrucciones o FB F con evaluaciones de flancos
(p. ej., instrucciones TON), de manera que, para una señal que ya tenga el estado "TRUE"
en el primer ciclo de un grupo de ejecución F, se detecte de inmediato un flanco de señal
ascendente tras una consulta de dicho flanco.
12.2 Indicaciones para el modo seguro del programa de seguridad
Introducción
Tenga en cuenta las siguientes indicaciones importantes para el modo seguro del programa
de seguridad.

Uso de dispositivos o programas de simulación
ADVERTENCIA
Uso de dispositivos/programas de simulación en instalaciones
Si se utilizan dispositivos/programas de simulación que generen telegramas de seguridad,
p. ej., según PROFIsafe y se ponen a disposición del sistema F SIMATIC Safety a través del
sistema de bus (p. ej., PROFIBUS DP o PROFINET IO), deberá garantizarse la seguridad de la
instalación mediante medidas organizativas (Página %getreference).
Tener en cuenta que, p. ej., un analizador de protocolos no puede ejecutar ninguna función
para reproducir secuencias de telegrama registradas con una respuesta en el tiempo
correcta.
• Versión de S7-PLCSIM <15.1 o bien versión de S7-PLCSIM Advanced <2.0 SP1 y Safety
System Version <V2.2
Si se utiliza S7-PLCSIM (Página 334) para simular programas de seguridad, no son
necesarias las medidas arriba indicadas, ya que S7-PLCSIM no puede establecer una
conexión online con un componente real.
• Versión de S7-PLCSIM ≥15.1 o bien versión de S7-PLCSIM Advanced ≥2.0 SP1 o bien
Safety System Version ≥V2.2
Se debe garantizar la seguridad de la instalación tomando medidas organizativas.
También la carga de los datos del proyecto relativos a la seguridad con Safety System
Version V2.2 y superior en un S7-PLCSIM solo está permitida con S7-PLCSIM V15.1 o
superior o bien con S7-PLCSIM Advanced V2.0 SP1 o superior.
(S030)
NOTA
Con un S7-PLCSIM V15.1 o inferior o bien S7-PLCSIM Advanced V2.0 SP1 o inferior y una
Safety System Version V2.2 o superior, el programa de seguridad pasa a STOP. En el búfer de
diagnóstico de la CPU F se registra la causa del evento de diagnóstico.

Conmutar la CPU F al estado operativo STOP
ADVERTENCIA
STOP, p. ej., mediante la programadora/PC, selector de modo, función de comunicación
o instrucción "STP"
El inicio de un estado STOP, p. ej., mediante programadora/PC, selector de modo, función de
comunicación o instrucción "STP", así como el mantenimiento de un estado STOP no está
orientado a la seguridad. Este estado STOP se puede anular muy fácilmente (también
accidentalmente), p. ej., mediante programadora /PC.
habitual. Durante el arranque del programa de seguridad se restablecen por lo general todos
los contenidos de los DB F a sus valores de arranque de la memoria de carga. De este modo
se pierde cualquier información de error guardada. El sistema F ejecuta una reintegración
automática de la periferia F.
Si el proceso no lo permite, es necesario programar una protección contra (re)arranque en el
programa de seguridad: La salida de valores de proceso debe bloquearse hasta que tenga
lugar un reconocimiento o acuse de recibo por el usuario (ver "Implementación de un acuse
de usuario"). Este acuse o reconocimiento del usuario solo se puede llevar a cabo si la salida
de los valores de proceso es posible sin peligro y si se han subsanado los errores (ver
Programación de la protección de arranque (Página 149)). (S031)

Error CRC en el acceso a la periferia F o comunicación orientada a la seguridad
NOTA
Error CRC en el acceso a la periferia F o comunicación orientada a la seguridad
Si se observa que se solicita un acuse o reconocimiento manual debido a un error CRC con
una frecuencia superior a una vez cada 100 horas y se va repitiendo esta situación,
compruebe si se han cumplido las directrices de instalación para la tecnología de red
utilizada.
Los errores CRC se reconocen por lo siguiente:
• En el acceso a la periferia F, la variable ACK_REQ del DB de periferia F está activada, y la
variable DIAG del DB de periferia F indica error CRC con bit 2 o bit 6.
• En la comunicación orientada a la seguridad con las instrucciones SENDDP/RCVDP, la
salida ACK_REQ de la instrucción RCVDP está activada, y la salida DIAG de la instrucción
SENDDP/RCVDP indica error CRC con bit 6.
• En la comunicación orientada a la seguridad con las instrucciones SENDS7/RCVS7, la salida
ACK_REQ de la instrucción RCVS7 está activada, y la salida DIAG de la instrucción
SENDS7/RCVS7 indica error CRC con bit 6.
• En la comunicación con Flexible F-Link, la variable ACK_REQ del DB de comunicación F
para recepción está activada, y la variable DIAG del DB de comunicación F para
envío/recepción indica error CRC con bit 6.
o bien
• Se ha registrado un error CRC en el búfer de diagnóstico de la CPU F.
Los valores de probabilidad de fallo
(https://support.industry.siemens.com/cs/ww/en/view/109481784) (PFDavg/PFH) para la
comunicación orientada a la seguridad ya no son aplicables en este caso.
Encontrará información sobre las directrices de instalación para PROFINET y PROFIBUS en:
• PROFIBUS Installation Guidelines (www.profibus.com/PBInstallationGuide)
• PROFIBUS Interconnection Technology
(http://www.profibus.com/nc/downloads/downloads/profibus-interconnection-
technology/display/)
• PROFINET Installation Guidelines (www.profibus.com/PNInstallationGuide)
• PROFINET Cabling and Interconnection Technology
(http://www.profibus.com/nc/downloads/downloads/profinet-cabling-and-
interconnection-technology/display/)
• PROFIsafe Environment Requirements (www.profibus.com/PROFIsafeRequirements)
Si de la comprobación resulta que se han cumplido las directrices para PROFINET y PROFIBUS,
póngase en contacto con el servicio de atención al cliente.

12.3 Sustitución de componentes de software y hardware
Introducción
Proceda como en el programa estándar. Tenga en cuenta además los apartados siguientes.
Sustitución de componentes de software

Al sustituir componentes de software en la programadora/el PC, p. ej., en una nueva versión
de STEP 7, deben tenerse en cuenta las indicaciones relativas a la compatibilidad ascendente
y descendente que figuran en la documentación y en los archivos Léame de estos productos
(p. ej., STEP 7 Safety).
En caso de cambiar STEP 7 Safety, compruebe si la versión de STEP 7 Safety aparece en el
Annex 1 del informe del certificado TÜV.
Sustitución de componentes de hardware

La sustitución de componentes de hardware para SIMATIC Safety (CPU F, periferia F, baterías,
etc.) se realiza del mismo modo que para los sistemas de automatización estándar.
Si se sustituye una periferia F por una periferia F con una referencia más reciente que ocupe
más direcciones E/S, es posible que el área de direcciones E/S, ahora mayor, ya esté ocupada
por otra periferia F.
Por ejemplo, si se sustituye un módulo F F-DI 8x24VDC HF con la referencia
6ES7136-6BA00-0CA0 por un módulo F con la referencia 6ES7136-6BA01-0CA0, la dirección
final de las direcciones de entrada y salida aumenta en 1 byte, respectivamente, a
consecuencia de la sustitución. En tal caso, STEP 7 asigna una nueva área de direcciones E/S
libre al módulo F. A continuación, el usuario debe adaptar manualmente la respectiva
variable a las nuevas direcciones E/S en la tabla de variables.
Sustitución de una CPU HF en el sistema redundante S7-1500 HF

Al sustituir una CPU HF de un sistema redundante S7-1500HF, tenga en cuenta la siguiente
advertencia:
ADVERTENCIA
Si se sustituye una CPU F en un sistema redundante S7-1500HF (p. ej., debido a un fallo de la
CPU, una avería, etc.), es necesario poner en marcha la CPU F de repuesto con la SIMATIC
Memory Card de la CPU F anterior o con una SIMATIC Memory Card vacía. De este modo se
garantiza que, tras un SYNCUP correcto de la CPU F de repuesto, solo se ejecute el programa
de seguridad anterior. (S094)

Sustitución de S7-1500 F Software Controller
ADVERTENCIA
Tras sustituir el módulo de CPU (p. ej., nuevo PC con soporte de datos del PC antiguo) o el
soporte de datos (p. ej., el soporte de datos con el programa de seguridad 1 se sustituye por
el soporte de datos con el programa de seguridad 2) o tras actualizar la UEFI, debe
comprobarse en el display que se muestra la firma colectiva F correcta o realizar una
identificación del programa. (S066)
Desenchufe y enchufe de periferia F durante el funcionamiento

Si es posible enchufar y desenchufar la periferia estándar durante el funcionamiento, también
lo será para la correspondiente periferia F. Sin embargo, tenga en cuenta que la sustitución
de una periferia F durante el funcionamiento da lugar a un error de comunicación en la CPU
F.
El error de comunicación debe acusarse en el programa de seguridad mediante la variable
ACK_REI del DB de periferia F (Página 157) o bien con la instrucción "ACK_GL (Página 477)".
Sin acuse, la periferia F permanece pasivada.
Actualización del firmware de la CPU

Comprobar si el sistema operativo de la CPU es apto para el uso en un sistema F: si se utiliza
un nuevo sistema operativo en la CPU (actualización del firmware), deberá comprobarse si la
versión del sistema operativo de la CPU utilizada es apta para el uso en un sistema F.
En el anexo al certificado, se indica a partir de qué versión del sistema operativo de la CPU
queda garantizada la aptitud para F. Deben tenerse en cuenta tanto estos datos como las
posibles indicaciones para el nuevo sistema operativo de la CPU.
Actualización del firmware para módulos de interfaz

Si se utiliza un nuevo sistema operativo para un módulo de interfaz, p. ej., IM 151‑1 HIGH
FEATURE ET 200S (actualización del firmware), debe tenerse en cuenta lo siguiente:
Si, al actualizar el firmware (ver ayuda de STEP 7 "Online & diagnostics (Online y
diagnóstico)"), se ha seleccionado la opción "Run firmware after update (Activar firmware tras
actualización)", el módulo de interfaz se restablecerá automáticamente tras una carga
correcta y, acto seguido, se ejecutará con el nuevo sistema operativo. Tenga en cuenta que la
actualización del firmware de módulos de interfaz durante el funcionamiento da lugar a un
error de comunicación en la CPU F.
El error de comunicación debe acusarse en el programa de seguridad mediante la variable
ACK_REI de los DB de periferia F (Página 157) o bien con la instrucción "ACK_GL (Página
477)". Sin acuse, la periferia F permanece pasivada.

Mantenimiento preventivo (prueba periódica)

La prueba periódica de componentes electrónicos complejos suele implicar el repuesto de
componentes en perfecto estado.
Valores PFDavg, PFH para CPU F S7-300/400 y periferia F

Encontrará una enumeración de los valores de probabilidad de fallo (valores PFDavg, PFH) de
los componentes que pueden emplearse en SIMATIC Safety en Internet
Valores PFDavg, PFH para CPU F S7-1200/1500

A continuación se indican los valores de probabilidad de fallo (valores PFDavg, PFH) para las
CPU F S7-1200/1500 con un tiempo de misión de 20 años y un tiempo de reparación de 100
horas:
Modo Baja Demanda Modo Alta Demanda o Continuo
low demand mode high demand/continuous mode
según IEC 61508:2010: según IEC 61508:2010:
PFDavg = Average probability of dangerous failure on de PFH = Average frequency of a dangerous failure [h-1]
mand
< 2E-05 < 1E-09 hasta una altitud de uso de 3000 m o
< 2E-09 con una altitud de uso superior a 3000 m y hasta
5000 m
Encontrará más información sobre las condiciones de uso de las CPU F en la PI CPU F
(https://support.industry.siemens.com/cs/ww/es/view/109478599) y en la PI de los valores
PFDavg, PFH (https://support.industry.siemens.com/cs/ww/es/view/109481784).
Valores PFDavg, PFH para la comunicación orientada a la seguridad

A continuación se ofrecen los valores de probabilidad de fallo (valores PFDavg, PFH) para la
comunicación orientada a la seguridad:
Modo Baja Demanda Modo Alta Demanda o Continuo
low demand mode high demand/continuous mode
según IEC 61508:2010: según IEC 61508:2010:
PFDavg = Average probability of dangerous failure on de PFH = Average frequency of a dangerous failure [h-1]
mand
< 1E-05* < 1E-09*
* Nota sobre CPU F S7-300/400:

El valor PFH es válido bajo la premisa de que intervengan 100 periferias F como máximo en
una función de seguridad. En caso de que intervengan más de 100 periferias F, deberá sumar
además 4E-12 por periferia F para esta función de seguridad.
El valor PFDavg es válido para un tiempo de misión de 20 años y bajo la premisa de que
intervengan 25 periferias F como máximo en una función de seguridad. En caso de que
intervengan más de 25 periferias F, deberá sumar además 3,5E-7 por periferia F para esta
función de seguridad.

12.4 Guía para el diagnóstico (S7-300, S7-400)
12.4 Guía para el diagnóstico (S7-300, S7-400)
Introducción
Aquí encontrará un resumen de las posibilidades de diagnóstico que se pueden evaluar para
el sistema F en caso de fallo. La mayoría no difieren de las de los sistemas de automatización
estándar. La secuencia de pasos se ofrece a modo de recomendación.
Secuencia de evaluación de las posibilidades de diagnóstico

La tabla siguiente muestra los pasos para evaluar las posibilidades de diagnóstico.
Paso Procedimiento Ver descripción en...
1 Evaluar los LED del hardware (CPU F, periferia F): Manuales de la CPU F y la periferia
• LED BUSF de la CPU F: parpadea en caso de error de comunicación en F
PROFIBUS DP/PROFINET IO;
se enciende en caso de error de comunicación si están programados los
OB 85 y OB 121 (p. ej., DB de instancia no cargado).
• LED STOP de la CPU F: se enciende si la CPU F está en el estado operativo
STOP.
• LED de error de la periferia F: p. ej., el LED SF (LED de fallo agrupado) se
enciende si se produce un error cualquiera en la periferia F específica.
2 Evaluar el búfer de diagnóstico de los módulos: Ayuda de STEP 7 y manuales de la
El búfer de diagnóstico de un módulo (CPU F, periferia F, CP) se lee en su vista CPU F y la periferia F
Online y diagnóstico, en la carpeta "Online & diagnostics (Online y
diagnóstico)", grupo "Diagnostics buffer (Búfer de diagnóstico)".
3 Evaluar pilas de la CPU F: Ayuda de STEP 7
Si la CPU F está en el estado operativo STOP, deben leerse de manera sucesi
va:
• Pila de bloques: comprobar si el STOP de la CPU F se debe a un bloque F
del programa de seguridad.
• Pila de interrupciones
• Pila de datos locales
4 Evaluar la variable de diagnóstico del DB de periferia F mediante Acceso a la periferia F (Página 150)
funciones de test y puesta en marcha, un sistema de manejo y
visualización o el programa de usuario estándar:
Evaluar la variable DIAG en el DB de periferia F.
5 Evaluar las salidas de diagnóstico de los DB de instancia de instrucciones Instrucciones
mediante funciones de test y puesta en marcha, un sistema de manejo y
visualización o el programa de usuario estándar:
• Para MUTING, EV1oo2DI, TWO_H_EN, MUT_P, ESTOP1, FDBACK o
SFDOOR, evaluar en el DB de instancia asignado:
– Salida DIAG
• Para SENDDP o RCVDP, evaluar en el DB de instancia asignado:
– Salida RET_DPRD/RET_DPWR
– Salida DIAG
• Para SENDS7 o RCVS7, evaluar en el DB de instancia asignado:
– Salida STAT_RCV
– Salida STAT_SND
– Salida DIAG

12.6 Guía para el diagnóstico (S7-1200)
Sugerencia para RET_DPRD/RET_DPWR

La información de diagnóstico de las salidas RET_DPRD/RET_DPWR de las instrucciones
SENDDP o RCVDP se corresponde con la información de diagnóstico del valor de retorno
RETVAL de las instrucciones "DPRD_DAT" o "DPWR_DAT". Encontrará la descripción en la
Ayuda de STEP 7, en los apartados relativos a las instrucciones "DPRD_DAT" y "DPWR_DAT".
Sugerencia para STAT_RCV y STAT_SND

La información de diagnóstico de la salida STAT_RCV de las instrucciones SENDS7 o RCVS7 se
corresponde con la información de diagnóstico de la salida STATUS de la instrucción "URCV".
La información de diagnóstico de la salida STAT_SND de las instrucciones SENDS7 o RCVS7 se
corresponde con la información de diagnóstico de la salida STATUS de la instrucción "USEND".
Encontrará la descripción en la Ayuda de STEP 7, en los apartados relativos a las instrucciones
"UCRV" o "USEND".

Encontrará información exhaustiva sobre el diagnóstico de una CPU F S7-1500 en el manual
de funciones Diagnóstico (http://support.automation.siemens.com/WW/view/es/59192926).

Encontrará información exhaustiva sobre el diagnóstico de una CPU F S7-1200 en S7-1200:
Manual de seguridad funcional
(http://support.automation.siemens.com/WW/view/es/104547552).

13
Instrucciones de STEP 7 Safety V18
Descripción general de las instrucciones para el programa de seguridad

Al programar un bloque F, en la Task Card "Instructions (Instrucciones)" encontrará todas las
instrucciones que pueden utilizarse para programar un bloque F en KOP o FUP con la CPU F
configurada.
Además de las instrucciones que ya conoce de programar bloques estándar, existen funciones
de seguridad específicas, p. ej., para vigilancia de mando a dos manos, análisis de
discrepancia, muting, parada de emergencia/desconexión de emergencia, vigilancia de
puerta de protección y vigilancia del circuito de retroalimentación, así como instrucciones
para la comunicación CPU-CPU orientada a la seguridad.
A tener en cuenta
NOTA
No es posible interconectar la entrada de habilitación EN ni la salida de habilitación ENO.
Excepción:
(S7-1200, S7-1500) En las siguientes instrucciones puede programarse una detección de
rebase por exceso mediante interconexión de la salida de habilitación ENO:
• ADD: Sumar (STEP 7 Safety V18) (Página 507)
• SUB: Restar (STEP 7 Safety V18) (Página 510)
• MUL: Multiplicar (STEP 7 Safety V18) (Página 512)
• DIV: Dividir (STEP 7 Safety V18) (Página 515)
• NEG: Generar complemento a dos (STEP 7 Safety V18) (Página 518)
• ABS: Calcular valor absoluto (STEP 7 Safety V18) (S7-1200, S7-1500) (Página 521)
• CONVERT: Convertir valor (STEP 7 Safety V18) (Página 532)

13.1 General
13.1 General
13.1.1 KOP
13.1.1.1 Nuevo segmento (STEP 7 Safety V18)
Requisitos
Hay un bloque F abierto.
Procedimiento
Para insertar un nuevo segmento, haga lo siguiente:
1. Seleccione el segmento tras el que desee insertar un nuevo segmento.
2. En el menú contextual, elija el comando "New network (Insertar segmento)".
NOTA
Si se inserta un elemento en el último segmento, aún vacío, del bloque F en un programa
KOP, se crea automáticamente un nuevo segmento vacío justo debajo.
Resultado
Se inserta un nuevo segmento vacío en el bloque F.
13.1.1.2 Cuadro vacío (STEP 7 Safety V18)
Requisitos
Existe un segmento.
Procedimiento
Para insertar una instrucción KOP en un segmento mediante un cuadro vacío, haga lo
siguiente:
1. Abra la Task Card "Instructions (Instrucciones)".
2. Vaya a "Basic instructions (Instrucciones básicas) > General > Empty box (Cuadro vacío)".
3. Con la función de arrastrar y colocar, lleve el elemento "Empty box (Cuadro vacío)" a la
posición deseada en el segmento.
4. Pase el puntero del ratón por encima del triángulo amarillo situado en la esquina superior
derecha del cuadro vacío.
Se abrirá una lista desplegable.
5. Seleccione la instrucción deseada en la lista desplegable.

13.1 General
Si la instrucción es un bloque de función (FB) desde el punto de vista del sistema, se abrirá el
cuadro de diálogo "Call options (Opciones de llamada)". En dicho cuadro de diálogo, puede
crearse un bloque de datos de instancia para el bloque de función, como instancia individual
o, en su caso, multiinstancia, a fin de guardar en él los datos de la instrucción insertada. Una
vez creado, el nuevo bloque de datos de instancia aparece en la carpeta "Program resources
(Recursos de programa)" del árbol del proyecto, en "Program blocks (Bloques de programa) >
System blocks (Bloques de sistema)". Si ha seleccionado "Multi-instance (Multiinstancia)",
aparecerá en la interfaz del bloque, en la sección "Static (Estático)".
Resultado
El cuadro vacío cambia a la instrucción correspondiente. Para los parámetros, se insertan
comodines.
13.1.1.3 Abrir rama (STEP 7 Safety V18)
Descripción
Para programar conexiones en paralelo en el lenguaje de programación Esquema de
contactos (KOP), se utilizan ramas. Las ramas se insertan en el circuito principal. Es posible
insertar varios contactos en la rama, con lo que se obtiene una conexión en paralelo de
conexiones en serie. Esto permite programar esquemas de contactos complejos.
Requisitos
• Existe un segmento.
• El segmento contiene elementos.
Procedimiento
Para insertar una nueva rama en un segmento, haga lo siguiente:
2. Vaya a "Basic instructions (Instrucciones básicas) > General > Open Branch (Abrir rama)".
3. Con la función de arrastrar y colocar, lleve el elemento a la posición deseada en el
segmento.
4. Si desea colocar la nueva rama directamente en la barra, arrastre el elemento hasta la
misma.

13.1 General
Ejemplo
La figura siguiente muestra un ejemplo de uso de ramas:
13.1.1.4 Cerrar rama (STEP 7 Safety V18)
Descripción
Las ramas deben cerrarse en posiciones adecuadas. Si es necesario, las ramas se disponen de
manera que se eviten cruces entre ellas.
Requisitos
Existe una rama.
Procedimiento
Para cerrar una rama abierta, haga lo siguiente:
1. Seleccione la rama abierta.
2. Mantenga pulsado el botón izquierdo del ratón.
Aparece una línea discontinua en cuanto se mueve el puntero del ratón.
3. Arrastre la línea discontinua hasta una posición adecuada en el segmento. Las conexiones
permitidas se indican por medio de líneas verdes.
4. Suelte el botón izquierdo del ratón.
Ejemplo

13.1 General
13.1.2 FUP
13.1.2.1 Nuevo segmento (STEP 7 Safety V18)
Requisitos
Hay un bloque F abierto.
Procedimiento
Para insertar un nuevo segmento, haga lo siguiente:
1. Seleccione el segmento tras el que desee insertar un nuevo segmento.
2. En el menú contextual, elija el comando "New network (Insertar segmento)".
NOTA
Si en un programa FUP se inserta un elemento en el último segmento, aún vacío, del bloque
F, se creará automáticamente un nuevo segmento vacío justo debajo.
Resultado
Se inserta un nuevo segmento vacío en el bloque F.
13.1.2.2 Cuadro vacío (STEP 7 Safety V18)
Requisitos
Existe un segmento.
Procedimiento
Para insertar un elemento FUP en un segmento mediante un cuadro vacío, haga lo siguiente:
2. Vaya a "Basic instructions (Instrucciones básicas) > General > Empty box (Cuadro vacío)".
3. Con la función de arrastrar y colocar, lleve el elemento "Empty box (Cuadro vacío)" a la
posición deseada en el segmento.
4. Pase el puntero del ratón por encima del triángulo amarillo situado en la esquina superior
derecha del cuadro vacío.
Se abrirá una lista desplegable.
5. Seleccione el elemento FUP deseado en la lista desplegable.
Si la instrucción es un bloque de función (FB) desde el punto de vista del sistema, se abrirá el
cuadro de diálogo "Call options (Opciones de llamada)". En dicho cuadro de diálogo, puede
crearse un bloque de datos de instancia para el bloque de función, como instancia individual
o, en su caso, multiinstancia, a fin de guardar en él los datos de la instrucción insertada. Una
vez creado, el nuevo bloque de datos de instancia aparece en la carpeta "Program resources

13.1 General
(Recursos de programa)" del árbol del proyecto, en "Program blocks (Bloques de programa) >
System blocks (Bloques de sistema)". Si ha seleccionado "Multi-instance (Multiinstancia)",
aparecerá en la interfaz del bloque, en la sección "Static (Estático)".
Resultado
El cuadro vacío cambia a la instrucción correspondiente. Para los parámetros, se insertan
comodines.
13.1.2.3 Abrir rama (STEP 7 Safety V18)
Descripción
Para programar conexiones en paralelo en el lenguaje de programación Diagrama de
funciones (FUP), utilice ramas e insértelas entre los cuadros. Puede insertar más cuadros en la
rama y, de este modo, programar diagramas de funciones complejos.
Requisitos
Existe un segmento.
Procedimiento
Para insertar una nueva rama en un segmento, haga lo siguiente:
2. En la paleta, vaya a "Basic instructions (Instrucciones básicas) > General > Branch (Rama)".
3. Con la función de arrastrar y colocar, lleve el elemento a la posición deseada en una línea
de conexión entre dos cuadros.
Ejemplo

13.1 General
13.1.2.4 Insertar entrada binaria (STEP 7 Safety V18)
Descripción
La instrucción "Insert binary input (Insertar entrada binaria)" permite ampliar el cuadro de una
de las siguientes instrucciones con una entrada binaria:
• "AND logic operation (Operación lógica Y)"
• "OR logic operation (Operación lógica O)"
• "EXCLUSIVE OR logic operation (Operación lógica O EXCLUSIVA)"
Ampliando un cuadro de instrucción, puede consultarse el estado lógico de varios operandos.
Parámetros
La tabla siguiente muestra los parámetros de la instrucción:
Parámetro Declaración Tipo de datos Descripción
<Operand> Input BOOL El operando indica el bit cuyo estado lógico se consulta.
Ejemplo
El siguiente ejemplo ilustra el funcionamiento de la instrucción:
El cuadro de la instrucción "AND logic operation (Operación lógica Y)" se ha ampliado con una
entrada binaria adicional en la que se consulta el estado lógico del operando "TagIn_3". La
salida "TagOut" se activa cuando los operandos "TagIn_1", "TagIn_2" y "TagIn_3" devuelven el
estado lógico "1".
Consulte
también
Operación lógica Y (STEP 7 Safety V18) (Página 409)
Operación lógica O (STEP 7 Safety V18) (Página 410)
X: Operación lógica O EXCLUSIVA (STEP 7 Safety V18) (Página 411)
13.1.2.5 Invertir RLO (STEP 7 Safety V18)
Descripción
La instrucción "Invert RLO (Invertir RLO)" permite invertir el resultado lógico (RLO).

13.2 Operaciones lógicas con bits
Ejemplo
La salida "TagOut" se activa cuando se cumplen las siguientes condiciones:

• La entrada "TagIn_1" o "TagIn_2" devuelve el estado lógico "0".
• La entrada "TagIn_3" o "TagIn_4" devuelve el estado lógico "0" o bien la entrada "TagIn_5"
devuelve el estado lógico "1".
13.2.1 KOP
13.2.1.1 ---| |---: Contacto normalmente abierto (STEP 7 Safety V18)
Descripción
La activación de un contacto NA depende del estado lógico del operando respectivo. Si el
operando tiene el estado lógico "1", se cierra el contacto NA. Desde la barra izquierda circula
corriente por el contacto NA hasta la barra derecha, y el estado lógico en la salida de la
instrucción cambia a "1".
Si el operando tiene el estado lógico "0", no se activa el contacto NA. La circulación de
corriente hacia la barra derecha se interrumpe, y el estado lógico de la salida de la instrucción
se restablece a "0".
En una conexión en serie, se combinan dos o más contactos NA bit por bit con la operación
lógica Y. En una conexión en serie circula corriente cuando todos los contactos están
cerrados.
En una conexión en paralelo se combinan contactos NA con la operación lógica O. En una
conexión en paralelo circula corriente cuando uno de los contactos está cerrado.
Parámetros
<Operand> Input BOOL Operando cuyo estado lógico se consulta.

Ejemplo
El operando "TagOut" se activa cuando se cumple una de las siguientes condiciones:

• Los operandos "TagIn_1" y "TagIn_2" devuelven el estado lógico "1".
• El estado lógico del operando "TagIn_3" es "1".
13.2.1.2 ---| / |---: Contacto normalmente cerrado (STEP 7 Safety V18)
Descripción
La activación de un contacto NC depende del estado lógico del operando respectivo. Si el
operando tiene el estado lógico "1", el contacto NC se abre, y el estado lógico en la salida de
la instrucción se restablece a "0".
Si el operando tiene el estado lógico "0", el contacto NC no se activa, y el estado lógico en la
salida de la instrucción se establece en "1".
En una conexión en serie, se combinan dos o más contactos NC bit por bit con la operación
lógica Y. En una conexión en serie circula corriente cuando todos los contactos están
cerrados.
En una conexión en paralelo, se combinan contactos NC con la operación lógica O. En una
conexión en paralelo circula corriente cuando uno de los contactos está cerrado.
Parámetros
<Operand> Input BOOL Operando cuyo estado lógico se consulta.
Ejemplo


• El estado lógico en el operando "TagIn_3" es "0".
13.2.1.3 --|NOT|--: Invertir RLO (STEP 7 Safety V18)
Descripción
La instrucción "Invert RLO (Invertir RLO)" permite invertir el estado lógico del resultado lógico
(RLO). Si la entrada de la instrucción tiene el estado lógico "1", la salida de la instrucción
devuelve el estado lógico "0". Si el estado lógico en la entrada de la instrucción es "0", la salida
devuelve el estado lógico "1".
Ejemplo
El operando "TagOut" se desactiva cuando se cumple una de las siguientes condiciones:

• El operando "TagIn_1" devuelve el estado lógico "1".
• El estado lógico en los operandos "TagIn_2" y "TagIn_3" es "1".
13.2.1.4 ---( )---: Asignación (STEP 7 Safety V18)
Descripción
La instrucción "Assignment (Asignación)" permite activar el bit de un operando especificado.
Si el resultado lógico (RLO) a la entrada de la bobina es "1", el operando especificado se
establece en el estado lógico "1". Si la entrada de la bobina tiene el estado lógico "0", el bit del
operando definido se restablece a "0".
La instrucción no afecta al RLO. El RLO en la entrada de la bobina se transfiere directamente a
la salida.
La instrucción "Assignment (Asignación)" puede colocarse en cualquier posición del
segmento.
Parámetros
<Operand> Output BOOL Operando que se asigna al RLO.

Ejemplo

• El estado lógico en el operando "TagIn_3" es "0".
13.2.1.5 ---( R )---: Desactivar salida (STEP 7 Safety V18)
Descripción
La instrucción "Reset output (Desactivar salida)" permite restablecer a "0" el estado lógico de
un operando especificado.
Si circula corriente hacia la bobina (el RLO es "1"), el operando definido se establece en "0". Si
el resultado lógico a la entrada de la bobina es "0" (no hay flujo de señal en la bobina), el
estado lógico del operando especificado permanece inalterado.
La instrucción no afecta al RLO. El RLO a la entrada de la bobina se transfiere directamente a
la salida de la bobina.
NOTA
Si, para el operando de la instrucción, desea utilizar un parámetro formal de un FC F, este
deberá estar declarado como parámetro de entrada/salida.
NOTA
Si se utiliza el área de operandos "Local data (Temp) (Datos locales (Temp))" para el operando
de la instrucción, deberá haberse inicializado antes el bit de datos locales empleado.
NOTA
Para el operando de la instrucción, no está permitido utilizar las áreas de operandos "Process
image input (Memoria imagen de proceso de las entradas)", "Process image output (Memoria
imagen de proceso de las salidas)" de la periferia estándar, "Standard DB (DB estándar)" ni "Bit
memory (Marca)".

Parámetros
<Operand> Output BOOL Operando que se desactiva si RLO = "1".
Ejemplo

13.2.1.6 ---( S )---: Activar salida (STEP 7 Safety V18)
Descripción
La instrucción "Set output (Activar salida)" permite establecer en "1" el estado lógico de un
operando especificado.
Si circula corriente hacia la bobina (el RLO es "1"), el operando definido se establece en "1". Si
el resultado lógico a la entrada de la bobina es "0" (no hay flujo de señal en la bobina), el
estado lógico del operando especificado permanece inalterado.
La instrucción no afecta al RLO. El RLO a la entrada de la bobina se transfiere directamente a
la salida de la bobina.
NOTA
La instrucción no se ejecuta si se aplica a una salida de una periferia F que se pasiva (p. ej., al
arrancar el sistema F). Por ello, en la medida de lo posible, acceda a las salidas de la periferia
F únicamente con la instrucción "Assignment (Asignación)".
Se pasiva una salida de una periferia F cuando el DB de periferia F correspondiente tiene los
siguientes valores: QBAD o QBAD_O_xx = 1, o información de calidad = 0.
NOTA

NOTA
NOTA
memory (Marca)".
Parámetros
<Operand> Output BOOL Operando que se activa si RLO = "1".
Ejemplo

13.2.1.7 SR: Flipflop de activación/desactivación (STEP 7 Safety V18)
Descripción
La instrucción "Set/reset flip-flop (Flipflop de activación/desactivación)" permite activar o
desactivar el bit de un operando definido en función del estado lógico en las entradas S y R1.
Si el estado lógico en la entrada S es "1" y en la entrada R1 es "0", el operando definido se
establece en "1". Si el estado lógico en la entrada S es "0" y en la entrada R1 es "1", el
operando especificado se restablece a "0".
La entrada R1 predomina sobre la entrada S. En caso de estado lógico "1" en ambas entradas
S y R1, el estado lógico del operando definido se restablece a "0".
Si el estado lógico es "0" en ambas entradas S y R1, no se ejecuta la instrucción. En tal caso, el
estado lógico del operando permanece inalterado.

El estado lógico actual del operando se transfiere a la salida Q y puede consultarse en ella.
NOTA
NOTA
image (Memoria imagen de proceso)", "Standard DB (DB estándar)" ni "Bit memory (Marca)".
Parámetros
S Input BOOL Habilita la activación.
R1 Input BOOL Habilita la desactivación.
<Operand> Output BOOL Operando que se activa o desactiva.
Q Output BOOL Estado lógico del operando
Ejemplo
Los operandos ""F_DB_1".TagSR" y "TagOut" se activan cuando se cumplen las siguientes

condiciones:
Los operandos ""F_DB_1".TagSR" y "TagOut" se desactivan cuando se cumple una de las
siguientes condiciones:
• El operando "TagIn_1" devuelve el estado lógico "0", y el operando "TagIn_2" devuelve el
estado lógico "1".
• Los dos operandos "TagIn_1" y "TagIn_2" devuelven el estado lógico "1".

13.2.1.8 RS: Flipflop de desactivación/activación (STEP 7 Safety V18)
Descripción
La instrucción "Reset/set flip-flop (Flipflop de desactivación/activación)" permite desactivar o
activar el bit de un operando especificado en función del estado lógico en las entradas R y S1.
Si el estado lógico en la entrada R es "1" y en la entrada S1 es "0", el operando definido se
restablece a "0". Si el estado lógico en la entrada R es "0" y en la entrada S1 es "1", el
operando definido se establece en "1".
La entrada S1 predomina sobre la entrada R. En caso de estado lógico "1" en ambas entradas
R y S1, el estado lógico del operando definido se establece en "1".
Si el estado lógico es "0" en ambas entradas R y S1, no se ejecuta la instrucción. En tal caso, el
NOTA
Si, para el operando de la instrucción, desea utilizar un parámetro formal de un FC F, deberá
estar declarado como parámetro de entrada/salida.
NOTA
Parámetros
R Input BOOL Habilita la desactivación.
S1 Input BOOL Habilita la activación.
<Operand> Output BOOL Operando que puede desactivarse o activarse.

Ejemplo
Los operandos ""F_DB_1".TagRS" y "TagOut" se desactivan cuando se cumplen las siguientes

condiciones:
Los operandos ""F_DB_1".TagRS" y "TagOut" se activan cuando se cumplen las siguientes
condiciones:
estado lógico "1".
13.2.1.9 --|P|--: Consultar flanco de señal ascendente de un operando (STEP 7 Safety V18)
Descripción
La instrucción "Scan operand for positive signal edge (Consultar flanco de señal ascendente
de un operando)" permite detectar si se ha producido un cambio de "0" a "1" en el estado
lógico de un operando especificado (<Operand1>). La instrucción compara el estado lógico
actual de <Operand1> con el estado lógico de la consulta anterior, guardada en <Operand2>.
Si la instrucción detecta un cambio de "0" a "1" en el resultado lógico, existe un flanco
ascendente, positivo.
Si se detecta un flanco ascendente, la salida de la instrucción devuelve el estado lógico "1". En
los demás casos, el estado lógico en la salida de la instrucción es "0".
El operando que va a consultarse (<Operand1>) se indica en el comodín del operando
ubicado encima de la instrucción. La marca de flanco (<Operand2>) se indica en el comodín
del operando ubicado debajo de la instrucción.
NOTA
La dirección de la marca de flanco no debe utilizarse de forma repetida en el programa, ya
que, en tal caso, se sobrescribe dicha marca de flanco. En consecuencia, se influye en la
evaluación de flancos, por lo que el resultado deja de ser unívoco.
NOTA
Si, para la marca de flanco <Operand2> de la instrucción, desea utilizar un parámetro formal
de un FC F, deberá estar declarado como parámetro de entrada/salida.

NOTA
Para la marca de flanco <Operand2> de la instrucción, no está permitido utilizar las áreas de
operandos "Process image (Memoria imagen de proceso)", "Standard DB (DB estándar)" ni "Bit
memory (Marca)".
Si se utiliza el área de operandos "Local data (Temp) (Datos locales (Temp))" para la marca de
flanco <Operand2> de la instrucción, debe haberse inicializado antes el bit de datos locales
empleado.
Parámetros
<Operand1> Input BOOL Señal que va a consultarse
<Operand2> InOut BOOL Marca de flanco en la que se guarda el estado lógico de
la consulta anterior
Ejemplo
El operando "TagOut" se activa cuando se cumplen las siguientes condiciones:

• En la entrada "TagIn_1", existe un flanco ascendente. El estado lógico de la consulta
anterior se guarda en la marca de flanco ""F_DB_1".Tag_M".
13.2.1.10 --|N|--: Consultar flanco de señal descendente de un operando (STEP 7 Safety V18)
Descripción
La instrucción "Scan operand for negative signal edge (Consultar flanco de señal descendente
lógico de un operando definido. La instrucción compara el estado lógico actual de
<Operand1> con el estado lógico de la consulta anterior, guardada en <Operand2>. Si la
instrucción detecta un cambio de "1" a "0" en el resultado lógico, existe un flanco
descendente, negativo.
Si se detecta un flanco descendente, la salida de la instrucción devuelve el estado lógico "1".
En los demás casos, el estado lógico en la salida de la instrucción es "0".


NOTA
NOTA
NOTA
memory (Marca)".
empleado.
Parámetros
<Operand2> InOut BOOL Marca de flanco en la que se guarda el estado lógico de
la consulta anterior
Ejemplo
El operando "TagOut" se activa cuando se cumplen las siguientes condiciones:

• En el operando "TagIn_1", existe un flanco descendente. El estado lógico de la consulta
anterior se guarda en la marca de flanco ""F_DB_1".Tag_M".

13.2.1.11 P_TRIG: Consultar flanco de señal ascendente del RLO (STEP 7 Safety V18)
Descripción
La instrucción "Scan RLO for positive signal edge (Consultar flanco de señal ascendente del
RLO)" permite detectar si se ha producido un cambio de "0" a "1" en el estado lógico del
resultado lógico. La instrucción compara el estado lógico actual del resultado lógico (RLO) con
el estado lógico de la consulta anterior, guardada en la marca de flanco (<Operand>). Si la
instrucción detecta un cambio de "0" a "1" en el RLO, existe un flanco ascendente, positivo.
NOTA
NOTA
Si, para la marca de flanco <Operand> de la instrucción, desea utilizar un parámetro formal
NOTA
Para la marca de flanco <Operand> de la instrucción, no está permitido utilizar las áreas de
memory (Marca)".
flanco <Operand> de la instrucción, debe haberse inicializado antes el bit de datos locales
empleado.
Parámetros
CLK Input BOOL RLO actual
<Operand> InOut BOOL Marca de flanco en la que se guarda el RLO de la consulta
anterior
Q Output BOOL Resultado de la evaluación de flancos

Ejemplo
En la marca de flanco ""F_DB_1".Tag_M", se guarda el RLO de la operación lógica con bits

anterior. Si se detecta un cambio de "0" a "1" en el estado lógico del RLO, se salta a la etiqueta
CAS1.
13.2.1.12 N_TRIG: Consultar flanco de señal descendente del RLO (STEP 7 Safety V18)
Descripción
La instrucción "Scan RLO for negative signal edge (Consultar flanco de señal descendente del
resultado lógico (RLO). La instrucción compara el estado lógico actual del resultado lógico con
el estado lógico de la consulta anterior, guardado en la marca de flanco (<Operand>). Si la
instrucción detecta un cambio en el RLO de "1" a "0", existe un flanco descendente, negativo.
NOTA
NOTA
NOTA
memory (Marca)".
empleado.

Parámetros
anterior
Ejemplo

CAS1.
13.2.2 FUP
13.2.2.1 Operación lógica Y (STEP 7 Safety V18)
Descripción
La instrucción "AND logic operation (Operación lógica Y)" permite consultar los estados
lógicos de dos o más operandos especificados y evaluarlos según la tabla de verdad Y.
Si el estado lógico de todos los operandos es "1", se cumple la condición, y la instrucción
devuelve el resultado "1". Si el estado lógico de un operando es "0", no se cumple la
condición, y la instrucción devuelve el resultado "0".
Si la instrucción "AND logic operation (Operación lógica Y)" es la primera instrucción en una
cadena lógica, guarda el resultado de su consulta del estado lógico en el bit RLO.
Cada instrucción "AND logic operation (Operación lógica Y)" que no sea la primera instrucción
en la cadena lógica combina el resultado de su consulta del estado lógico con el valor
guardado en el bit RLO. Esta combinación lógica se ejecuta según la tabla de verdad Y.
Parámetros

Ejemplo
La salida "TagOut" se activa cuando el estado lógico de los operandos "TagIn_1" y "TagIn_2" es
"1".
Tabla de verdad Y
La tabla siguiente muestra los resultados que se obtienen al combinar dos operandos con la
operación lógica Y:
Estado lógico del primer operando Estado lógico del segundo operan Resultado lógico
do
1 1 1
0 1 0
1 0 0
0 0 0
Consulte
también
Insertar entrada binaria (STEP 7 Safety V18) (Página 395)
13.2.2.2 Operación lógica O (STEP 7 Safety V18)
Descripción
La instrucción "OR logic operation (Operación lógica O)" permite consultar los estados lógicos
de dos o más operandos definidos y evaluarlos según la tabla de verdad O.
Si el estado lógico de al menos un operando es "1", se cumple la condición, y la instrucción
devuelve el resultado "1". Si el estado lógico de todos los operandos es "0", no se cumple la
condición, y la instrucción devuelve el resultado "0".
Si la instrucción "OR logic operation (Operación lógica O)" es la primera instrucción en una
cadena lógica, guarda el resultado de su consulta del estado lógico en el bit RLO.
Cada instrucción "OR logic operation (Operación lógica O)" que no sea la primera instrucción
en la cadena lógica combina el resultado de su consulta del estado lógico con el valor
guardado en el bit RLO. Esta combinación lógica se ejecuta según la tabla de verdad O.
Parámetros

Ejemplo
La salida "TagOut" se activa cuando el estado lógico del operando "TagIn_1" o "TagIn_2" es
"1".
Tabla de verdad O
operación lógica O:
Estado lógico del primer operando Estado lógico del segundo operan Resultado lógico
do
1 0 1
0 1 1
1 1 1
0 0 0
Consulte
también
13.2.2.3 X: Operación lógica O EXCLUSIVA (STEP 7 Safety V18)
Descripción
La instrucción "EXCLUSIVE OR logic operation (Operación lógica O EXCLUSIVA)" permite
conocer el resultado de una consulta del estado lógico según la tabla de verdad O
EXCLUSIVA.
Con la instrucción "EXCLUSIVE OR logic operation (Operación lógica O EXCLUSIVA)", se
obtiene el estado lógico "1" cuando el estado lógico de uno de los dos operandos definidos es
"1". Si se consultan más de dos operandos, el resultado lógico común es "1" cuando un
número impar de los operandos consultados devuelve el resultado "1".
Parámetros

Ejemplo
La salida "TagOut" se activa cuando el estado lógico de uno de los dos operandos "TagIn_1" y
"TagIn_2" es "1". Si ambos operandos devuelven el estado lógico "1" o "0", la salida "TagOut"
se desactiva.
Tabla de verdad O EXCLUSIVA

operación lógica O EXCLUSIVA:
Estado lógico del primer operan Estado lógico del segundo operando Resultado lógico
do
1 0 1
0 1 1
1 1 0
0 0 0
La tabla siguiente muestra los resultados que se obtienen al combinar tres operandos con la
operación lógica O EXCLUSIVA:
Estado lógico del primer Estado lógico del se Estado lógico del ter Resultado lógico
operando gundo operando cer operando
1 0 0 1
0 1 1 0
0 1 0 1
1 0 1 0
0 0 1 1
1 1 0 0
1 1 1 1
0 0 0 0
Consulte
también

13.2.2.4 =: Asignación (STEP 7 Safety V18)
Descripción
La instrucción "Assignment (Asignación)" permite activar el bit de un operando especificado.
Si el resultado lógico (RLO) de la entrada del cuadro devuelve el estado lógico "1", o bien la
entrada del cuadro en las CPU F S7-1200/1500 no está interconectada, el operando definido
se ajusta al estado lógico "1". Si el estado lógico en la entrada del cuadro es "0", el bit del
operando definido se restablece a "0".
La instrucción no afecta al RLO. El RLO de la entrada del cuadro se asigna directamente al
operando ubicado encima del cuadro de asignación.
La instrucción "Assignment (Asignación)" puede colocarse en cualquier posición de la cadena
lógica.
Parámetros
<Operand> Output BOOL Operando que se asigna al RLO.
Ejemplo
El operando "TagOut" en la salida de la instrucción "Assignment (Asignación)" se activa

cuando se cumple una de las siguientes condiciones:
• Las entradas "TagIn_1" y "TagIn_2" devuelven el estado lógico "1".
• El estado lógico en la entrada "TagIn_3" es "0".
13.2.2.5 R: Desactivar salida (STEP 7 Safety V18)
Descripción
La instrucción "Reset output (Desactivar salida)" permite restablecer a "0" el estado lógico de
un operando especificado.
Si la entrada del cuadro devuelve el estado lógico "1", o bien la entrada del cuadro en las CPU
F S7-1200/1500 no está interconectada, el operando definido se restablece a "0". Si el
resultado lógico en la entrada del cuadro es "0", el estado lógico del operando especificado
permanece inalterado.

La instrucción no afecta al RLO. El RLO en la entrada del cuadro se transfiere directamente a la

salida del cuadro.
NOTA
NOTA
NOTA
memory (Marca)".
Parámetros
<Operand> Output BOOL Operando que se desactiva si RLO = "1".
Ejemplo


13.2.2.6 S: Activar salida (STEP 7 Safety V18)
Descripción
La instrucción "Set output (Activar salida)" permite establecer en "1" el estado lógico de un
operando especificado.
Si la entrada del cuadro devuelve el estado lógico "1", o bien la entrada del cuadro en las CPU
F S7-1200/1500 no está interconectada, el operando definido se establece en "1". Si el
resultado lógico en la entrada del cuadro es "0", el estado lógico del operando especificado
permanece inalterado.
La instrucción no afecta al RLO. El RLO en la entrada del cuadro se transfiere directamente a la
salida del cuadro.
NOTA
La instrucción no se ejecuta si se aplica a una salida de una periferia F que se pasiva (p. ej., al
arrancar el sistema F). Por ello, en la medida de lo posible, acceda a las salidas de la periferia
F únicamente con la instrucción "Assignment (Asignación)".
Se pasiva una salida de una periferia F cuando el DB de periferia F correspondiente tiene los
siguientes valores: QBAD o QBAD_O_xx = 1, o información de calidad = 0.
NOTA
NOTA
NOTA
memory (Marca)".
Parámetros
<Operand> Output BOOL Operando que se activa si RLO = "1".

Ejemplo

13.2.2.7 SR: Flipflop de activación/desactivación (STEP 7 Safety V18)
Descripción
La instrucción "Set/reset flip-flop (Flipflop de activación/desactivación)" permite activar o
desactivar el bit de un operando definido en función del estado lógico en las entradas S y R1.
Si el estado lógico en la entrada S es "1" y en la entrada R1 es "0", el operando definido se
establece en "1". Si el estado lógico en la entrada S es "0" y en la entrada R1 es "1", el
operando especificado se restablece a "0".
La entrada R1 predomina sobre la entrada S. En caso de estado lógico "1" en ambas entradas
S y R1, el estado lógico del operando definido se restablece a "0".
Si el estado lógico es "0" en ambas entradas S y R1, no se ejecuta la instrucción. En tal caso, el
NOTA
NOTA
flanco de la instrucción, debe haberse inicializado antes el bit de datos locales empleado.

Parámetros
S Input BOOL Habilita la activación.
R1 Input BOOL Habilita la desactivación.
<Operand> Output BOOL Operando que se activa o desactiva.
Ejemplo
Los operandos ""F_DB_1".TagSR" y "TagOut" se activan cuando se cumplen las siguientes

condiciones:
Los operandos ""F_DB_1".TagSR" y "TagOut" se desactivan cuando se cumple una de las
siguientes condiciones:
estado lógico "1".
• Los dos operandos "TagIn_1" y "TagIn_2" devuelven el estado lógico "1".
13.2.2.8 RS: Flipflop de desactivación/activación (STEP 7 Safety V18)
Descripción
La instrucción "Reset/set flip-flop (Flipflop de desactivación/activación)" permite desactivar o
activar el bit de un operando especificado en función del estado lógico en las entradas R y S1.
Si el estado lógico en la entrada R es "1" y en la entrada S1 es "0", el operando definido se
restablece a "0". Si el estado lógico en la entrada R es "0" y en la entrada S1 es "1", el
operando definido se establece en "1".
La entrada S1 predomina sobre la entrada R. En caso de estado lógico "1" en ambas entradas
R y S1, el estado lógico del operando definido se establece en "1".
Si el estado lógico es "0" en ambas entradas R y S1, no se ejecuta la instrucción. En tal caso, el
NOTA

NOTA
flanco de la instrucción, debe haberse inicializado antes el bit de datos locales empleado.
Parámetros
R Input BOOL Habilita la desactivación.
S1 Input BOOL Habilita la activación.
<Operand> Output BOOL Operando que puede desactivarse o activarse.
Ejemplo
Los operandos ""F_DB_1".TagRS" y "TagOut" se desactivan cuando se cumplen las siguientes

condiciones:
Los operandos ""F_DB_1".TagRS" y "TagOut" se activan cuando se cumplen las siguientes
condiciones:
estado lógico "1".
13.2.2.9 P: Consultar flanco de señal ascendente de un operando (STEP 7 Safety V18)
Descripción
La instrucción "Scan operand for positive signal edge (Consultar flanco de señal ascendente
lógico de un operando especificado (<Operand1>). La instrucción compara el estado lógico
actual de <Operand1> con el estado lógico de la consulta anterior, guardada en <Operand2>.
Si la instrucción detecta un cambio de "0" a "1" en el resultado lógico, existe un flanco
ascendente, positivo.


NOTA
NOTA
NOTA
memory (Marca)".
empleado.
Parámetros
<Operand2> InOut BOOL Marca de flanco en la que se guarda el estado lógico de la
consulta anterior
Ejemplo
"TagOut" se activa cuando se cumplen las siguientes condiciones:

• En la entrada "TagIn_1", existe un flanco ascendente.

13.2.2.10 N: Consultar flanco de señal descendente de un operando (STEP 7 Safety V18)
Descripción
La instrucción "Scan operand for negative signal edge (Consultar flanco de señal descendente
lógico de un operando definido. La instrucción compara el estado lógico actual de
<Operand1> con el estado lógico de la consulta anterior, guardada en <Operand2>. Si la
instrucción detecta un cambio de "1" a "0" en el resultado lógico, existe un flanco
descendente, negativo.
NOTA
NOTA
NOTA
memory (Marca)".
empleado.
Parámetros
<Operand2> InOut BOOL Marca de flanco en la que se guarda el estado lógico de la
consulta anterior

Ejemplo

• En la entrada "TagIn_1", existe un flanco descendente.
13.2.2.11 P_TRIG: Consultar flanco de señal ascendente del RLO (STEP 7 Safety V18)
Descripción
La instrucción "Scan RLO for positive signal edge (Consultar flanco de señal ascendente del
resultado lógico. La instrucción compara el estado lógico actual del resultado lógico con el
estado lógico de la consulta anterior, guardado en la marca de flanco (<Operand>). Si la
instrucción detecta un cambio de "0" a "1" en el RLO, existe un flanco ascendente, positivo.
NOTA
NOTA
NOTA
memory (Marca)".
empleado.

Parámetros
anterior
Ejemplo

CAS1.
13.2.2.12 N_TRIG: Consultar flanco de señal descendente del RLO (STEP 7 Safety V18)
Descripción
La instrucción "Scan RLO for negative signal edge (Consultar flanco de señal descendente del
resultado lógico (RLO). La instrucción compara el estado lógico actual del resultado lógico con
el estado lógico de la consulta anterior, guardado en la marca de flanco (<Operand>). Si la
instrucción detecta un cambio en el RLO de "1" a "0", existe un flanco descendente, negativo.
NOTA
NOTA

13.3 Funciones de seguridad
NOTA
memory (Marca)".
empleado.
Parámetros
anterior
Ejemplo

CAS1.
13.3.1 ESTOP1: Parada de emergencia/desconexión de emergencia hasta la

categoría de parada 1 (STEP 7 Safety V18)
Descripción
Esta instrucción permite realizar una parada de emergencia/desconexión de emergencia con
acuse para las categorías de parada 0 y 1, para cumplir los requisitos de IEC 60204 o IEC
61800-5-2. No obstante, para cumplir todos los requisitos de la norma correspondiente,
pueden ser necesarias otras medidas descritas en ella.
La señal de habilitación Q se restablece a 0 en cuanto la entrada E_STOP adopta el estado
lógico 0 (categoría de parada 0). La señal de habilitación Q_DELAY se restablece a 0 tras el
tiempo de retardo ajustado en la entrada TIME_DEL (categoría de parada 1).

La señal de habilitación Q vuelve a establecerse en 1 cuando la entrada E_STOP adopta el

estado lógico 1 y se produce un acuse. El acuse para la habilitación es independiente de la
parametrización en la entrada ACK_NEC:
• Si ACK_NEC = 0, el acuse es automático.
• Si ACK_NEC = 1, la habilitación debe acusarse mediante un flanco ascendente en la
entrada ACK.
Con la salida ACK_REQ, se señaliza que para el acuse se requiere un acuse de usuario en la
entrada ACK. La instrucción establece la salida ACK_REQ en 1 en cuanto la entrada E_STOP es
1.
Una vez realizado el acuse, la instrucción restablece ACK_REQ a 0.
A cada llamada de la instrucción "Emergency STOP/emergency OFF up to stop category 1
(Parada de emergencia/desconexión de emergencia hasta la categoría de parada 1)", debe
asignársele un área de datos en la que guardar los datos de la instrucción. Para ello, al
insertar la instrucción en el programa, se abre automáticamente el cuadro de diálogo "Call
options (Opciones de llamada)", en el que puede crearse un bloque de datos de instancia
(instancia individual) (p. ej., ESTOP1_DB_1) o una multiinstancia (p. ej., ESTOP1_Instance_1)
para la instrucción "Emergency STOP/emergency OFF up to stop category 1 (Parada de
emergencia/desconexión de emergencia hasta la categoría de parada 1)". Una vez creado, el
nuevo bloque de datos aparece en la carpeta "STEP 7 Safety" del árbol del proyecto, en
"Program blocks (Bloques de programa) > System blocks (Bloques de sistema)", o, en su caso,
la multiinstancia figura como variable local en el apartado "Static (Estático)" de la interfaz del
bloque. Encontrará más información al respecto en la Ayuda de STEP 7.
No es posible interconectar la entrada de habilitación "EN" ni de la salida de habilitación
"ENO". Por lo tanto, la instrucción se ejecuta siempre (independientemente del estado lógico
en la entrada de habilitación "EN").
ADVERTENCIA
La parametrización de la variable ACK_NEC = 0 solo está permitida si se excluye de otro

modo un rearranque automático del proceso en cuestión. (S033)

ADVERTENCIA
Al determinar los tiempos de reacción utilizando una instrucción con temporización, es

necesario tener en cuenta las siguientes imprecisiones temporales:
• La imprecisión temporal conocida del programa de usuario estándar generada por el
procesamiento cíclico
• La imprecisión temporal generada por el momento de actualización de la base de tiempo
utilizada en la instrucción (ver figura en el apartado "Imprecisión temporal generada por
el momento de actualización de la base de tiempo utilizada en la instrucción")
• La tolerancia de la vigilancia interna de los tiempos en la CPU F
– con valores de tiempo de hasta 200 ms, como máximo 4 ms
– con valores de tiempo a partir de 200 ms, como máximo 2 % del valor de tiempo
(parametrizado)
• La tolerancia de la vigilancia interna de los tiempos en la CPU HF S7-1500
(parametrizado)
El intervalo entre dos llamadas de una instrucción con temporización se debe elegir de modo
que, teniendo en cuenta las posibles imprecisiones temporales, se alcancen los tiempos de
reacción necesarios. (S034)
Observación: En caso de bicanalidad conforme a la categoría 3, 4 según ISO 13849-1:2015 o

EN ISO 13849-1:2015, la vigilancia de la discrepancia de ambos contactos NC de la parada de
emergencia/desconexión de emergencia debe tener lugar ya en la periferia F. Esto debe
configurarse adecuadamente (Evaluation of the sensors (Evaluación de los sensores): 2
channels, equivalent (2 canales, equivalente)), y el resultado de la evaluación debe
interconectarse con la entrada E_STOP. Para que el tiempo de discrepancia no influya en el
tiempo de reacción, durante la configuración deberá parametrizar "Supply value 0
(Proporcionar valor 0)" para el comportamiento de discrepancia.
Parámetros
E_STOP Input BOOL Parada de emergencia/desconexión de emergencia
ACK_NEC Input BOOL 1 = acuse necesario
ACK Input BOOL 1 = acuse
TIME_DEL Input TIME Tiempo de retardo
Q Output BOOL 1 = habilitación
Q_DELAY Output BOOL Habilitación con retardo de desconexión
ACK_REQ Output BOOL 1 = acuse necesario
DIAG Output BYTE Información de servicio no relacionada con la seguri
dad

Versiones de la instrucción
Para esta instrucción, hay varias versiones disponibles:
sión
1.0 x — — La versión 1.0 requiere el bloque F_TOF con el número FB 186 en la carpe
ta "Program blocks (Bloques de programa) / System blocks (Bloques de
sistema) / STEP 7 Safety" del árbol del proyecto.
Al migrar proyectos creados con S7 Distributed Safety V5.4 SP5, se utiliza
automáticamente la versión 1.0 de la instrucción. Si se desea compilar por
primera vez un programa de seguridad migrado con STEP 7 Safety
Advanced, se recomienda actualizar antes la versión de la instrucción a la
versión más reciente disponible. De este modo, se evitan conflictos de nú
meros.
1.1 x — -— Estas versiones son idénticas a la versión 1.0 a nivel funcional, pero no re
quieren un número específico del bloque F_TOF.
1.2 x — o
1.3 x o o
1.4 x o o
1.5 x x x
1.6 x x x En las CPU F S7-1200/1500, se ha adaptado el comportamiento del tiem
po de retardo TIME_DEL al comportamiento de las CPU F S7-300/400: si
cambia la entrada ESTOP (0 -> 1 (incl. acuse) -> 0) mientras transcurre el
tiempo de retardo, se reinicia el tiempo de retardo.
o Esta versión ya no se soporta.
Encontrará más información sobre el uso de versiones de las instrucciones en la Ayuda de
STEP 7, en "Uso de versiones de las instrucciones".
Comportamiento en arranque
Una vez arrancado el sistema F, si ACK_NEC = 1, deberá acusarse la instrucción mediante un
flanco ascendente en la entrada ACK.
Salida DIAG
En la salida DIAG, se proporciona información no relacionada con la seguridad sobre los
errores que han aparecido con fines de servicio. Dicha información puede leerse con sistemas
de manejo y visualización o también puede evaluarse en el programa de usuario estándar, si
es preciso. Los bits DIAG 4 y 5 permanecen guardados hasta que se acusan en la entrada ACK.

Estructura de DIAG
N.º de Asignación Posibles causas de error Soluciones

bit
Bit 0 Tiempo de retardo TIM_DEL Tiempo de retardo <0 ajusta Ajustar un tiempo de retardo
ajustado incorrecto do >0
Bit 4 Acuse no posible porque toda Parada de emergencia/desco Desbloquear el pulsador de
vía hay una parada de emergen nexión de emergencia blo parada de emergencia/desco
cia/desconexión de emergencia queada nexión de emergencia
activa
Fallo de periferia F, fallo de ca Para la solución, ver apartado
nal o error de comunicación, o "Estructura de DIAG", bits 0 a 6
bien pasivación mediante en DIAG (Página 164)
PASS_ON de la periferia F del
pulsador de parada de emer
gencia/desconexión de emer
gencia
Pulsador de parada/descone Comprobar el pulsador de pa
xión de emergencia defectuo rada/desconexión de emer
so gencia
Error de cableado Comprobar el cableado del
pulsador de parada/descone
xión de emergencia
Bit 5 Si falta la habilitación: la entra Pulsador de enterado defec Comprobar el pulsador de en
da ACK tiene el estado lógico 1 tuoso terado
de modo permanente.
Error de cableado Comprobar el cableado del
pulsador de enterado
Bit 6 Acuse necesario — —
(= estado de ACK_REQ)
Bit 7 Estado de la salida Q — —

Imprecisión temporal generada por el momento de actualización de la base de tiempo utilizada

en la instrucción:
$JDMPO $JDMPO $JDMPO
EFM0#EFMHSVQPEF EFM0#EFMHSVQPEF EFM0#EFMHSVQPEF
FKFDVDJ³O' FKFDVDJ³O' FKFDVDJ³O'
5#BTF@ 5#BTF@ 5#BTF@
(SVQPEF (SVQPEF (SVQPEF

5 ǡ ǡ ǡ
5
5#BTF@ 5#BTF@

"DUVBMJ[BDJ³OEFMBCBTFEFUJFNQP5#BTF@O
.PNFOUPTEFMMBNBEBEFVOBJOTUSVDDJ³ODPOQSPDFTBNJFOUPEFUJFNQP
① El momento de la primera llamada de la instrucción en el ciclo n + 1 en relación con el inicio

del grupo de ejecución F sucede con una anterioridad de Δ1 respecto al ciclo n, p. ej., porque
partes del programa de seguridad del grupo de ejecución F se omiten antes de llamar la ins
trucción en el ciclo n + 1. Para la actualización del tiempo, la instrucción tiene en cuenta el
tiempo Tbase_1 en lugar del tiempo T1 realmente transcurrido desde la llamada en el ciclo n.
② La instrucción se llama por segunda vez en el ciclo n + 1. Al hacerlo, no se vuelve a actualizar el
tiempo (equivalente a Δ2).
③ El momento de la llamada de la instrucción en el ciclo n + 2 en relación con el inicio del grupo
de ejecución F sucede con una posterioridad de Δ3 respecto al ciclo n, p. ej., porque se ha inte
rrumpido el grupo de ejecución F antes de llamar la instrucción en el ciclo n + 2 a causa de una
alarma de mayor prioridad. La instrucción tiene en cuenta el tiempo Tbase_1 + Tbase_2 en lugar del
tiempo T3 realmente transcurrido desde la llamada en el ciclo n. Esto también ocurriría si no se
hubiera producido ninguna llamada en el ciclo n + 1.
Ejemplo

13.3.2 TWO_HAND: Vigilancia de mando a dos manos (STEP 7 Safety Advanced

V18) (S7-300, S7-400)
Descripción
Esta instrucción permite implementar una vigilancia de mando a dos manos para cumplir los
requisitos de ISO 13851. No obstante, para cumplir todos los requisitos de la norma, pueden
ser necesarias otras medidas descritas en ella.
NOTA
Esta instrucción solamente está disponible para las CPU F S7-300 y S7-400. En el caso de las
CPU F S7-1200/1500, se dispone de la instrucción "Two-hand monitoring with enable
(Vigilancia de mando a dos manos con habilitación)". La instrucción "Two-hand monitoring
with enable (Vigilancia de mando a dos manos con habilitación)" sustituye a la instrucción
"Two-hand monitoring (Vigilancia de mando a dos manos)" con compatibilidad de funciones.
Si se accionan los pulsadores IN1 e IN2 dentro del tiempo de discrepancia admisible DISCTIME
≤500 ms (IN1/IN2 = 1) (accionamiento síncrono), la señal de habilitación Q se establece en 1.
Si la diferencia de tiempo entre el accionamiento del pulsador IN1 y el del pulsador IN2 es
mayor que DISCTIME, hay que soltar y volver a accionar los pulsadores.
Q se restablece a 0 en cuanto se suelta uno de los pulsadores (IN1/IN2 = 0). En ese momento,
puede volver a establecerse la señal de habilitación Q a 1 si también se ha soltado el otro
pulsador y si después vuelven a accionarse ambos pulsadores dentro del tiempo de
discrepancia. La señal de habilitación Q no puede establecerse 1 en ningún caso si el tiempo
de discrepancia está ajustado a valores <0 o >500 ms.
A cada llamada de la instrucción "Two-hand monitoring (Vigilancia de mando a dos manos)",
debe asignársele un área de datos en la que guardar los datos de la instrucción. Para ello, al
options (Opciones de llamada)", en el que puede crearse un bloque de datos (instancia
individual) (p. ej., TWO_HAND_DB_1) o una multiinstancia (p. ej., TWO_HAND_Instance_1)
para la instrucción "Two-hand monitoring (Vigilancia de mando a dos manos)". Una vez
creado, el nuevo bloque de datos aparece en la carpeta "STEP 7 Safety" del árbol del proyecto,
en "Program blocks (Bloques de programa) > System blocks (Bloques de sistema)", o, en su
caso, la multiinstancia figura como variable local en el apartado "Static (Estático)" de la
interfaz del bloque. Encontrará más información al respecto en la Ayuda de STEP 7.
Observación: En la instrucción solamente puede evaluarse una señal por pulsador. La
vigilancia de discrepancia de los contactos NC y NA de los pulsadores IN1 e IN2 tiene lugar si
se configura adecuadamente (Evaluation of the sensors (Evaluación de los sensores: 1oo2

evaluation, non-equivalent (Evaluación 1oo2, no equivalente), directamente por la periferia F

mediante entradas. El contacto NA debe cablearse de modo que proporcione la señal útil (ver
manual de la periferia F utilizada). Para que el tiempo de discrepancia no influya en el tiempo
de reacción, durante la configuración deberá parametrizar "Supply value 0 (Proporcionar valor
0)" para el comportamiento de discrepancia. Si se detecta una discrepancia, se introduce el
valor sustitutivo 0 para el pulsador en la memoria imagen de proceso de las entradas (MIPE) y
se establece QBAD o QBAD_I_xx = 1 en el DB de periferia F correspondiente (ver también
Acceso a la periferia F (Página 150)).
ADVERTENCIA

(parametrizado)
(parametrizado)
Parámetros
IN1 Input BOOL Pulsador 1
DISCTIME Input TIME Tiempo de discrepancia (0 ... 500 ms)


en la instrucción:

5 ǡ ǡ ǡ
5
5#BTF@ 5#BTF@


Ejemplo

13.3.3 TWO_H_EN: Vigilancia de mando a dos manos con habilitación (STEP 7

Safety V18)
Descripción
Esta instrucción permite implementar una vigilancia de mando a dos manos con habilitación
para cumplir los requisitos de ISO 13851. No obstante, para cumplir todos los requisitos de la
norma, pueden ser necesarias otras medidas descritas en ella.
Si se accionan los pulsadores IN1 e IN2 dentro del tiempo de discrepancia admisible DISCTIME
≤500 ms (IN1/IN2 = 1) (accionamiento síncrono) y se dispone de la habilitación ENABLE = 1,
la señal de habilitación Q se establece en 1. Si la diferencia de tiempo entre el accionamiento
del pulsador IN1 y el del pulsador IN2 es mayor que DISCTIME, hay que soltar y volver a
accionar los pulsadores.
Q se restablece a 0 en cuanto se suelta uno de los pulsadores (IN1/IN 2 = 0) o la habilitación
ENABLE cambia a 0. En ese momento, puede volver a establecerse la señal de habilitación Q
en 1 si también se ha soltado el otro pulsador y si después vuelven a accionarse ambos
pulsadores dentro del tiempo de discrepancia a la vez que se dispone de la habilitación
ENABLE = 1.
A cada llamada de la instrucción "Two-hand monitoring with enable (Vigilancia de mando a
dos manos con habilitación)", debe asignársele un área de datos en la que guardar los datos
de la instrucción. Para ello, al insertar la instrucción en el programa, se abre automáticamente
el cuadro de diálogo "Call options (Opciones de llamada)", en el que puede crearse un bloque
de datos (instancia individual) (p. ej., TWO_H_EN_DB_1) o una multiinstancia (p. ej.,
TWO_H_EN_Instance_1) para la instrucción "Two-hand monitoring with enable (Vigilancia de
mando a dos manos con habilitación)". Una vez creado, el nuevo bloque de datos aparece en
la carpeta "STEP 7 Safety" del árbol del proyecto, en "Program blocks (Bloques de programa) >
System blocks (Bloques de sistema)", o, en su caso, la multiinstancia figura como variable
local en el apartado "Static (Estático)" de la interfaz del bloque. Encontrará más información al
respecto en la Ayuda de STEP 7.
Observación: En la instrucción solamente puede evaluarse una señal por pulsador. La
vigilancia de discrepancia de los contactos NC y NA de los pulsadores IN1 e IN2 tiene lugar si
se configura adecuadamente (Evaluation of the sensors (Evaluación de los sensores: 1oo2
evaluation, non-equivalent (Evaluación 1oo2, no equivalente), directamente por la periferia F
mediante entradas. El contacto NA debe cablearse de modo que proporcione la señal útil (ver
manual de la periferia F utilizada). Para que el tiempo de discrepancia no influya en el tiempo
de reacción, durante la configuración se deberá parametrizar "Supply value 0 (Proporcionar
valor 0)" para el comportamiento de discrepancia.

Si se detecta una discrepancia, se introduce el valor sustitutivo 0 para el pulsador en la

memoria imagen de proceso de las entradas (MIPE) y se establece QBAD o QBAD_I_xx = 1, o
información de calidad = 0 en el DB de periferia F correspondiente.
ADVERTENCIA

(parametrizado)
(parametrizado)
Parámetros
ENABLE Input BOOL Entrada de habilitación
DISCTIME Input TIME Tiempo de discrepancia (0 ... 500 ms)
Para el uso productivo, elija un tiempo de discrepancia
>0 ms.
DIAG Output BYTE Información de servicio no relacionada con la seguridad

sión
1.0 x — — Al migrar proyectos creados con S7 Distributed Safety V5.4 SP5, se utiliza
automáticamente la versión 1.0 de la instrucción.
Si se desea compilar por primera vez un programa de seguridad migrado
con STEP 7 Safety Advanced, se recomienda actualizar antes la versión de
la instrucción a la versión más reciente disponible.
1.1 x — o Estas versiones son funcionalmente idénticas a la versión 1.0.
1.2 x o o
1.3 x x x
Salida DIAG
es preciso. Los bits DIAG 0 a 5 permanecen guardados hasta que se elimina la causa del error.
Estructura de DIAG

Bit 0 Tiempo de discrepancia DISCTIME Tiempo de discrepancia ajustado a Ajustar el tiempo de discrepancia en
ajustado incorrecto <0 o >500 ms el rango entre 0 y 500 ms
Bit 1 Tiempo discr. transcurrido El tiempo de discrepancia ajustado Dado el caso, ajustar un tiempo de
es demasiado corto. discrepancia más largo
No se han accionado los pulsadores Soltar los pulsadores y accionarlos
dentro del tiempo de discrepancia. dentro del tiempo de discrepancia
Error de cableado Comprobar el cableado de los pulsa
dores
Pulsadores defectuosos Comprobar los pulsadores
Pulsadores cableados a una periferia Para la solución, ver apartado
F distinta y error de periferia F, fallo "Estructura de DIAG", bits 0 a 6 en
de canal o error de comunicación, o DIAG (Página 164)
bien pasivación mediante PASS_ON
en una periferia F


Bit 4 Secuencia de accionamiento inco No se ha soltado un pulsador Soltar los pulsadores y accionarlos
rrecta dentro del tiempo de discrepancia
Pulsadores defectuosos Comprobar los pulsadores
Bit 5 No existe habilitación ENABLE Habilitación ENABLE = 0 Ajustar la habilitación ENABLE a 1,
soltar los pulsadores y accionarlos
dentro del tiempo de discrepancia

en la instrucción:

5 ǡ ǡ ǡ
5
5#BTF@ 5#BTF@



Ejemplo
13.3.4 MUTING: Muting (STEP 7 Safety Advanced V18) (S7-300, S7-400)
Descripción
Esta instrucción realiza un muting paralelo con dos o cuatro sensores de muting.
NOTA
Esta instrucción solamente está disponible para las CPU F S7-300 y S7-400. En el caso de las
CPU F S7-1200/1500, se dispone de la instrucción "Parallel muting (Muting paralelo) (Página
446)". La instrucción "Parallel muting (Muting paralelo)" sustituye a la instrucción "Muting"
con compatibilidad de funciones.
El muting es una supresión reglamentaria de la función de protección de cortinas

fotoeléctricas. El modo de muting de cortinas fotoeléctricas puede emplearse para introducir
mercancías u objetos en la zona de peligro vigilada por la cortina fotoeléctrica sin que se
detenga la máquina.
Para poder utilizar la función muting, debe haber al menos dos sensores de muting cableados
de forma independiente. Con dos o cuatro sensores de muting y la integración correcta en el
proceso de producción, debe garantizarse que ninguna persona acceda a la zona de peligro
mientras esté puenteada la cortina fotoeléctrica.
A cada llamada de la instrucción "Muting", debe asignársele un área de datos en la que
guardar los datos de la instrucción. Para ello, al insertar la instrucción en el programa, se abre
automáticamente el cuadro de diálogo "Call options (Opciones de llamada)", en el que puede
crearse un bloque de datos (instancia individual) (p. ej., MUTING_DB_1) o una multiinstancia
(p. ej., MUTING_Instance_1) para la instrucción "Muting". Una vez creado, el nuevo bloque de
datos aparece en la carpeta "STEP 7 Safety" del árbol del proyecto, en "Program blocks
(Bloques de programa) > System blocks (Bloques de sistema)", o, en su caso, la multiinstancia

figura como variable local en el apartado "Static (Estático)" de la interfaz del bloque.
Encontrará más información al respecto en la Ayuda de STEP 7.
ADVERTENCIA

(parametrizado)
(parametrizado)
Parámetros
MS_11 Input BOOL Sensor de muting 1, par de sensores 1
STOP Input BOOL 1 = cinta transportadora detenida
FREE Input BOOL 1 = cortina fotoeléctrica no interrumpida
QBAD_MUT Input BOOL Señal QBAD de la periferia F o señal QBAD_O_xx del
canal de la lámpara de muting
DISCTIM1 Input TIME Tiempo de discrepancia del par de sensores 1
(0 ... 3 s)
DISCTIM2 Input TIME Tiempo de discrepancia del par de sensores 2
(0 ... 3 s)


TIME_MAX Input TIME Tiempo máximo de muting (0 ... 10 min)
ACK Input BOOL Acuse del bloqueo de rearranque
Q Output BOOL 1 = habilitación, no Off
MUTING Output BOOL Visualización de muting activo
ACK_REQ Output BOOL Acuse necesario
FAULT Output BOOL Fallo agrupado
dad
Secuencia esquemática de un proceso de muting sin fallos con 4 sensores de muting (MS_11,
MS_12, MS_21, MS_22)
1
06B (PLVRU 06B =RQDGH
SHOLJUR
06B 5HFHSWRU 06B
• Si el producto activa los dos sensores de muting MS_11 y MS_12 dentro del DISCTIM1
(pasar a estado lógico = 1), la instrucción inicia la función MUTING. La señal de
habilitación Q se mantiene en 1 aunque la entrada FREE sea 0 (cortina fotoeléctrica
interrumpida por el producto). La salida MUTING para controlar la lámpara de muting
cambia a 1.
NOTA
La lámpara de muting puede vigilarse mediante la entrada QBAD_MUT. Para ello, cablee la
lámpara de muting a una salida con vigilancia de rotura de hilo de una periferia F y
proporcione a la entrada QBAD_MUT la señal QBAD de la periferia F asociada o la señal
QBAD_O_xx del canal respectivo. Si QBAD_MUT cambia a 1, la instrucción finaliza el
muting. Si no se necesita vigilar la lámpara de muting, no es necesario proporcionar
señales a la entrada QBAD_MUT.
Solamente son adecuadas periferias F que detecten a tiempo una rotura de hilo tras
activar el proceso de muting (ver manual de la periferia F específica).

2
SHOLJUR
06B 5HFHSWRU 06B
• Mientras permanezcan activados los dos sensores de muting MS_11 y MS_12, la función
MUTING de la instrucción mantiene Q = 1 y MUTING = 1 (de forma que el producto pueda
pasar por la cortina fotoeléctrica sin que se detenga la máquina).
3
SHOLJUR
06B 5HFHSWRU 06B
• Los dos sensores de muting MS_21 y MS_22 deben activarse (dentro del DISCTIM2) antes
de que se desactiven los sensores de muting MS_11 y MS_12 (pasar al estado lógico 0). De
este modo, la instrucción mantiene la función MUTING (Q = 1, MUTING = 1).
4
SHOLJUR
06B 5HFHSWRU 06B
• Solamente cuando se desactiva uno de los dos sensores de muting MS_21 y MS_22 (el
producto habilita sensores), finaliza la función MUTING (Q = 1, MUTING = 0). La función
MUTING debe estar activa como máximo durante el tiempo parametrizado en la entrada
TIME_MAX.
NOTA
La función MUTING también se inicia cuando el producto pasa por la cortina fotoeléctrica
en sentido inverso y, al hacerlo, activa los sensores de muting en orden inverso.

Cronogramas para un proceso de muting sin fallos con 4 sensores de muting

)5((
06B
06B W',6&7,0
06B
06B
W',6&7,0
W',6&7,0
W7,0(B0$;
$&.
087,1*
)$8/7
$&.B5(4
Secuencia esquemática de un proceso de muting con barreras fotoeléctricas por reflexión

Si se utilizan barreras fotoeléctricas por reflexión como sensores de muting, por lo general se
disponen en cruz.
Dado que, con esta disposición, suelen emplearse únicamente dos barreras fotoeléctricas
como sensores de muting, solo se interconectan MS_11 y MS_12.
La secuencia se desarrolla de forma similar a la descrita para el proceso de muting con 4
sensores de muting. Se suprime el paso 3. En la descripción del paso 4, deben sustituirse
MS_21 y MS_22 por MS_11 y MS_12.
06B (PLVRU =RQDGH

SHOLJUR
06B 5HFHSWRU

Bloqueo de rearranque en caso de interrupción de la cortina fotoeléctrica (si MUTING está

inactivo), en caso de fallos y al arrancar el sistema F
La señal de habilitación Q no puede establecerse en 1 o cambia a 0 en los siguientes casos:
• Se interrumpe la cortina fotoeléctrica (p. ej., por la acción de una persona o por el
transporte de material) aunque la función MUTING esté inactiva.
• La vigilancia de la lámpara de muting responde en la entrada QBAD_MUT.
• El par de sensores 1 (MS_11 y MS_12) o el par de sensores 2 (MS_21 y MS_22) no se
activa o no se desactiva dentro del tiempo de discrepancia DISCTIM1 o DISCTIM2.
• La función MUTING permanece activa durante un tiempo superior al tiempo máximo de
muting TIME_MAX.
• Los tiempos de discrepancia DISCTIM1 o DISCTIM2 se han ajustado a valores <0 o >3 s.
• El tiempo de muting máximo TIME_MAX se ha ajustado a un valor <0 o >10 min.
En los casos mencionados, la salida FAULT (fallo agrupado) se establece en 1 (bloqueo de
rearranque). Si se había iniciado la función MUTING, se finaliza, y la salida MUTING cambia a
0.
ADVERTENCIA
Si, al arrancar el sistema F, se detecta de inmediato una combinación válida de los estados
lógicos de los sensores de muting (p. ej., porque los sensores de muting están
interconectados a entradas de una periferia estándar que proporciona de inmediato valores
de proceso tras arrancar el sistema F), la función MUTING se inicia de inmediato, y la salida
MUTING y la señal de habilitación Q se establecen en 1. La salida FAULT (fallo agrupado) no
se establece 1 (no hay bloqueo de rearranque). (S035)
Acuse de usuario del bloqueo de rearranque

La señal de habilitación Q vuelve a cambiar a 1 si
• la cortina fotoeléctrica deja de estar interrumpida,
• se han subsanado posibles fallos (ver salida DIAG).
y
• se produce un acuse de usuario con flanco ascendente en la entrada ACK (ver también
Implementación de un acuse de usuario (Página 177)).
La salida FAULT se establece en 0. Con la salida ACK_REQ = 1, se señaliza que la anulación del
bloqueo de rearranque requiere un acuse de usuario en la entrada ACK. La instrucción
establece ACK_REQ = 1 en cuanto la cortina fotoeléctrica deja de estar interrumpida o se ha
subsanado el fallo. Una vez realizado el acuse, la instrucción restablece ACK_REQ a 0.
NOTA
Tras errores de discrepancia y el rebase del tiempo máximo de muting, se establece ACK_REQ
de inmediato en 1. Tan pronto como se produzca un acuse de usuario en la entrada ACK,
volverán a definirse los tiempos de discrepancia DISCTIM1 o DISCTIM2 y el tiempo máximo de
muting TIME_MAX.

Cronogramas en caso de error de discrepancia en el par de sensores 1 o interrupción de la

cortina fotoeléctrica (si MUTING está inactivo)
1 2
)5((
06B W
06B
06B
06B
W ',6&7,0 W',6&7,0 3
Wุ',6&7,0 3 W7,0(B0$;
$&.
087,1*
4
)$8/7
$&.B5(4
① El par de sensores 1 (MS_11 y MS_12) no se activa dentro del tiempo de

discrepancia DISCTIM1.
② La cortina fotoeléctrica se interrumpe aunque la función MUTING esté inactiva.
③ Acuse
Comportamiento con la cinta transportadora detenida

Si, con la cinta transportadora detenida, debe desconectarse la vigilancia
• de cumplimiento del tiempo de discrepancia DISCTIM1 o DISCTIM2, o bien
• de cumplimiento del tiempo máximo de muting TIME_MAX,

deberá proporcionarse una señal "1" a la entrada STOP mientras la cinta transportadora esté
parada. En cuanto la cinta transportadora (STOP = 0) vuelva a ponerse en marcha, volverán a
definirse los tiempos de discrepancia DISCTIM1 o DISCTIM2 y el tiempo máximo de muting
TIME_MAX.
ADVERTENCIA
Si STOP = 1, la vigilancia de discrepancia está desconectada. Si, durante este tiempo, las dos
entradas MSx1/MSx2 de un par de sensores adoptan el estado lógico 1 debido a un fallo no
detectado, p. ej., porque ambos sensores de muting han adoptado el estado lógico 1 debido
a un fallo, el fallo no se detecta y la función MUTING se puede iniciar accidentalmente.
(S036)
Salida DIAG
es preciso. Los bits DIAG permanecen guardados hasta que se acusen en la entrada ACK.
Estructura de DIAG

bit
Bit 0 Error de discrepancia o tiempo de Fallo en el proceso de producción Subsanar el fallo en el proceso de pro
discrepancia DISCTIM1 ajustado in ducción
correctamente para el par de
Sensor defectuoso Comprobar los sensores
sensores 1
Error de cableado Comprobar el cableado de los sensores
Sensores cableados a una periferia F Para la solución, ver apartado
distinta y error de periferia F, fallo "Estructura de DIAG", bits 0 a 6 en
de canal o error de comunicación, o DIAG (Página 164)
en una periferia F
El tiempo de discrepancia ajustado Dado el caso, ajustar un tiempo de dis
es demasiado corto. crepancia más largo
Tiempo de discrepancia ajustado a Ajustar el tiempo de discrepancia en el
<0 s o >3 s rango entre 0 s y 3 s
Bit 1 Error de discrepancia o tiempo de Como el bit 0 Como el bit 0
discrepancia DISCTIM2 ajustado in
correctamente para el par de
sensores 2
Bit 2 Tiempo máximo de muting excedido Fallo en el proceso de producción Subsanar el fallo en el proceso de pro
o tiempo de muting TIME_MAX ajus ducción
tado incorrectamente
El tiempo máximo de muting ajusta Dado el caso, ajustar un tiempo máximo
do es demasiado corto. de muting más largo.


bit
Bit 2 Tiempo máximo de muting excedido Tiempo de muting ajustado a Ajustar el tiempo de muting en el rango
o tiempo de muting TIME_MAX ajus <0 s o >10 min entre 0 s y 10 min
Bit 3 Cortina fotoeléctrica interrumpida y Cortina fotoeléctrica defectuosa Comprobar la cortina fotoeléctrica
muting inactivo
Error de cableado Comprobar el cableado de la cortina fo
toeléctrica (entrada FREE)
Error de periferia F, fallo de canal o Para la solución, ver apartado
error de comunicación, o bien pasi "Estructura de DIAG", bits 0 a 6 en
vación mediante PASS_ON de la pe DIAG (Página 164)
riferia F de la cortina fotoeléctrica
(entrada FREE)
Ver otros bits DIAG
Bit 4 Lámpara de muting defectuosa o no Lámpara de muting defectuosa Sustituir la lámpara de muting
controlable
Error de cableado Comprobar el cableado de la lámpara de
muting
Error de periferia F, fallo de canal o Para la solución, ver apartado
vación mediante PASS_ON de la pe DIAG (Página 164)
riferia F de la lámpara de muting


en la instrucción:

5 ǡ ǡ ǡ
5
5#BTF@ 5#BTF@



Ejemplo
13.3.5 MUT_P: Muting paralelo (STEP 7 Safety V18)
Descripción
Esta instrucción realiza un muting paralelo con dos o cuatro sensores de muting.
El muting es una supresión reglamentaria de la función de protección de cortinas
fotoeléctricas. El modo de muting de cortinas fotoeléctricas puede emplearse para introducir
mercancías u objetos en la zona de peligro vigilada por la cortina fotoeléctrica sin que se
detenga la máquina.
Para poder utilizar la función muting, debe haber al menos dos sensores de muting cableados
de forma independiente. Con dos o cuatro sensores de muting y la integración correcta en el

proceso de producción, debe garantizarse que ninguna persona acceda a la zona de peligro
mientras esté puenteada la cortina fotoeléctrica.
A cada llamada de la instrucción "Parallel muting (Muting paralelo)", debe asignársele un área
de datos en la que guardar los datos de la instrucción. Para ello, al insertar la instrucción en el
programa, se abre automáticamente el cuadro de diálogo "Call options (Opciones de
llamada)", en el que puede crearse un bloque de datos (instancia individual) (p. ej.,
MUT_P_DB_1) o una multiinstancia (p. ej., MUT_P_Instance_1) para la instrucción "Parallel
muting (Muting paralelo)". Una vez creado, el nuevo bloque de datos aparece en la carpeta
"STEP 7 Safety" del árbol del proyecto, en "Program blocks (Bloques de programa) > System
blocks (Bloques de sistema)", o, en su caso, la multiinstancia figura como variable local en el
apartado "Static (Estático)" de la interfaz del bloque. Encontrará más información al respecto
ADVERTENCIA

(parametrizado)
(parametrizado)
Parámetros
MS_11 Input BOOL Sensor de muting 11


STOP Input BOOL 1 = cinta transportadora detenida
FREE Input BOOL 1 = cortina fotoeléctrica no interrumpida
ENABLE Input BOOL 1 = habilitación MUTING
QBAD_MUT Input BOOL Señal QBAD de periferia F o señal QBAD_O_xx/informa
ción de calidad invertida del canal de la lámpara de
muting
ACK Input BOOL Acuse del bloqueo de rearranque
DISCTIM1 Input TIME Tiempo de discrepancia del par de sensores 1 (0 ... 3 s)
DISCTIM2 Input TIME Tiempo de discrepancia del par de sensores 2 (0 ... 3 s)
TIME_MAX Input TIME Tiempo máximo de muting (0…10 min)
Q Output BOOL 1 = habilitación, no Off
MUTING Output BOOL Visualización de muting activo
ACK_REQ Output BOOL Acuse necesario
FAULT Output BOOL Fallo agrupado
DIAG Output WORD Información de servicio no relacionada con la seguri
dad
sión
1.0 x* — — Al migrar proyectos creados con S7 Distributed Safety V5.4 SP5, se utiliza
1.1 x* — — Estas versiones son funcionalmente idénticas a la versión 1.0.
La salida DIAG ahora puede interconectarse correctamente con operandos
1.2 x* — o
del tipo de datos WORD.
1.3 x* o o
1.4 x x x
* S7-300/400: Si existe un bloqueo de rearranque (salida FAULT = 1) y ENABLE = 1, la salida ACK_REQ también se establece
en 1 si no está activado al menos un sensor de muting. Consulte los bits DIAG 5 y 6 para más información.

Secuencia esquemática de un proceso de muting sin fallos con 4 sensores de muting (MS_11,
MS_12, MS_21, MS_22)
1
SHOLJUR
06B 5HFHSWRU 06B
• Si el producto activa los dos sensores de muting MS_11 y MS_12 dentro del DISCTIM1
(pasar al estado lógico 1) y está habilitado MUTING mediante la entrada ENABLE = 1, la
instrucción inicia la función MUTING. La señal de habilitación Q se mantiene en 1 aunque
la entrada FREE sea 0 (cortina fotoeléctrica interrumpida por el producto). La salida
MUTING para controlar la lámpara de muting cambia a 1.
NOTA
La lámpara de muting puede vigilarse mediante la entrada QBAD_MUT. Para ello, cablee la
lámpara de muting a una salida con vigilancia de rotura de hilo de una periferia F y
proporcione a la entrada QBAD_MUT la señal QBAD de la periferia F asociada o la señal
QBAD_O_xx/la información de calidad invertida del canal respectivo. Si QBAD_MUT cambia
a 1, la instrucción finaliza el muting. Si no se necesita vigilar la lámpara de muting, no es
necesario proporcionar señales a la entrada QBAD_MUT.
Solamente son adecuadas periferias F que detecten a tiempo una rotura de hilo tras
activar el proceso de muting (ver manual de la periferia F específica).
2
SHOLJUR
06B 5HFHSWRU 06B

• Mientras permanezcan activados los dos sensores de muting MS_11 y MS_12, la función
MUTING de la instrucción mantiene Q = 1 y MUTING = 1 (de forma que el producto pueda
pasar por la cortina fotoeléctrica sin que se detenga la máquina). Al hacerlo, puede
desactivarse brevemente uno de los dos sensores de muting MS_11 o MS_12 (t <
DISCTIM1) (pasar al estado lógico 0).
3
SHOLJUR
06B 5HFHSWRU 06B
• Los dos sensores de muting MS_21 y MS_22 deben activarse (dentro del DISCTIM2) antes
de que se desactiven los dos sensores de muting MS_11 y MS_12 (pasar al estado lógico
0). De este modo, la instrucción mantiene la función MUTING (Q = 1, MUTING = 1).
4
SHOLJUR
06B 5HFHSWRU 06B
Solamente cuando se desactivan los dos sensores de muting MS_21 y MS_22 (el producto
habilita sensores), finaliza la función MUTING (Q = 1, MUTING = 0). La función MUTING debe
estar activa como máximo durante el tiempo parametrizado en la entrada TIME_MAX.
NOTA
La función MUTING también se inicia cuando el producto pasa por la cortina fotoeléctrica en
sentido inverso y, al hacerlo, activa los sensores de muting en orden inverso.

Cronogramas para un proceso de muting sin fallos con 4 sensores de muting

)5((
06B
W',6&7,0
06B
W',6&7,0 W',6&7,0
06B
W',6&7,0
06B
W',6&7,0
W',6&7,0
W',6&7,0 W',6&7,0
W7,0(B0$;
$&.
087,1*
)$8/7
$&.B5(4
Secuencia esquemática de un proceso de muting con barreras fotoeléctricas por reflexión

Si se utilizan barreras fotoeléctricas por reflexión como sensores de muting, por lo general se
disponen en cruz.
Dado que, con esta disposición, suelen emplearse únicamente dos barreras fotoeléctricas
como sensores de muting, solo se interconectan MS_11 y MS_12.
La secuencia se desarrolla de forma similar a la descrita para el proceso de muting con 4
sensores de muting. Se suprime el paso 3. En la descripción del paso 4, deben sustituirse
MS_21 y MS_22 por MS_11 y MS_12.
06B (PLVRU =RQDGH

SHOLJUR
06B 5HFHSWRU

Bloqueo de rearranque en caso de interrupción de la cortina fotoeléctrica (MUTING inactivo), así

como en caso de fallos y al arrancar el sistema F
La señal de habilitación Q no puede establecerse en 1 o cambia a 0 en los siguientes casos:
• Se interrumpe la cortina fotoeléctrica (p. ej., por la acción de una persona o por el
transporte de material) aunque la función MUTING esté inactiva.
• La cortina fotoeléctrica está interrumpida/se interrumpe, y la vigilancia de la lámpara de
muting responde en la entrada QBAD_MUT.
• La cortina fotoeléctrica está interrumpida/se interrumpe, y la función MUTING no está
habilitada mediante la entrada ENABLE = 1.
• El par de sensores 1 (MS_11 y MS_12) o el par de sensores 2 (MS_21 y MS_22) no se
activa o no se desactiva dentro del tiempo de discrepancia DISCTIM1 o DISCTIM2.
• La función MUTING permanece activa durante un tiempo superior al tiempo máximo de
muting TIME_MAX.
• Los tiempos de discrepancia DISCTIM1 o DISCTIM2 se han ajustado a valores <0 o >3 s.
• El tiempo máximo de muting TIME_MAX se ha ajustado a un valor <0 o >10 min.
• Ha arrancado el sistema F (independientemente de si se ha interrumpido o no la cortina
fotoeléctrica, ya que la periferia F está pasivada tras el arranque del sistema F y, por lo
tanto, se proporciona en primer lugar el valor 0 a la entrada FREE).
En los casos mencionados, la salida FAULT (fallo agrupado) se establece en 1 (bloqueo de
rearranque). Si se había iniciado la función MUTING, se finaliza, y la salida MUTING cambia a
0.
Acuse de usuario del bloqueo de rearranque (ningún sensor de muting activado o ENABLE = 0)
• la cortina fotoeléctrica deja de estar interrumpida,
y
• se produce un acuse de usuario con flanco ascendente en la entrada ACK (ver también
Implementación de un acuse de usuario (Página 177)).
La salida FAULT se establece en 0. Con la salida ACK_REQ = 1 (y el bit DIAG 6), se señaliza que
la anulación del bloqueo de rearranque requiere un acuse de usuario en la entrada ACK. La
instrucción establece ACK_REQ = 1 en cuanto la cortina fotoeléctrica deja de estar
interrumpida o se ha subsanado el fallo. Una vez realizado el acuse, la instrucción restablece
ACK_REQ a 0.
Acuse de usuario del bloqueo de rearranque (al menos un sensor de muting activado y ENABLE =
1)
• se produce una RETIRADA hasta que se verifica una combinación válida en los sensores de
muting.
La salida FAULT se establece en 0. Dado el caso, se reinicia la función MUTING y la salida
MUTING cambia a 1 cuando se verifica una combinación válida en los sensores de muting.
Mediante la salida ACK_REQ = 1 (y el bit DIAG 5) se señaliza con ENABLE = 1 que la

subsanación de errores y la anulación del bloqueo de rearranque requieren una RETIRADA.

Una vez realizada la RETIRADA, la instrucción restablece ACK_REQ a 0.
NOTA
Después de un rebase del tiempo máximo de muting, se restablece el tiempo máximo de
muting TIME_MAX en cuanto se reinicia la función MUTING.
Retirada
Si no es posible subsanar un error de inmediato, es posible despejar la zona de muting con la
función RETIRADA. Para ello, la señal de habilitación Q y la salida MUTING cambian a 1
temporalmente. La retirada es posible si
• ENABLE = 1
• hay al menos un sensor de muting activado,
• en un lapso de 4 s se produce dos veces un acuse de usuario con flanco ascendente en la
entrada ACK, y el segundo acuse de usuario permanece en el estado lógico 1 en la entrada
ACK (el pulsador de enterado se mantiene accionado).
ADVERTENCIA
Durante la retirada es preciso observar el proceso. Debe ser posible interrumpir una situación
peligrosa en cualquier momento soltando el pulsador de enterado. El pulsador de enterado
debe colocarse de modo que se pueda ver toda la zona de peligro. (S037)

Cronogramas en caso de error de discrepancia en el par de sensores 1 o interrupción de la

cortina fotoeléctrica (MUTING inactivo)
1 2
)5((
06B
06B
06B
06B
4
W ',6&7,0 3
WV
$&.
087,1*
4
)$8/7
$&.B5(4
(1$%/(
① El par de sensores 1 (MS_11 y MS_22) no se activa dentro del tiempo de

discrepancia DISCTIM1.
② La cortina fotoeléctrica se interrumpe aunque no existe habilitación (ENABLE = 0).
③ Retirada
④ Acuse
Comportamiento con la cinta transportadora detenida

Si, con la cinta transportadora detenida, debe desconectarse la vigilancia
• de cumplimiento del tiempo de discrepancia DISCTIM1 o DISCTIM2, o bien
• de cumplimiento del tiempo máximo de muting TIME_MAX,
deberá proporcionarse una señal "1" a la entrada STOP mientras la cinta transportadora esté
parada. En cuanto vuelva a ponerse en marcha la cinta transportadora (STOP = 0), se
restablecerán los tiempos de discrepancia DISCTIM1 o DISCTIM2 y el tiempo máximo de
muting TIME_MAX.
ADVERTENCIA
Si STOP = 1 o ENABLE = 0, la vigilancia de discrepancia está desconectada. Si, durante este

tiempo, las dos entradas MSx1/MSx2 de un par de sensores adoptan el estado lógico 1
debido a un fallo no detectado, p. ej., porque ambos sensores de muting han adoptado el
estado lógico 1 debido a un fallo, el fallo no se detecta y la función MUTING se puede iniciar
accidentalmente (con ENABLE = 1). (S038)

Salida DIAG
es preciso. Los bits DIAG 0 - 6 permanecen guardados hasta que se acusan en la entrada ACK.
Estructura de DIAG

bit
Bit 0 Error de discrepancia o tiempo de dis Fallo en el proceso de producción Subsanar el fallo en el proceso de
crepancia DISCTIM1 ajustado incorrec producción
tamente para el par de sensores 1
Sensor defectuoso Comprobar los sensores
Error de cableado Comprobar el cableado de los senso
res
distinta y error de periferia F, fallo de "Estructura de DIAG", bits 0 a 6 en
canal o error de comunicación, o bien DIAG (Página 164)
pasivación mediante PASS_ON en
una periferia F
El tiempo de discrepancia ajustado es Dado el caso, ajustar un tiempo de
demasiado corto. discrepancia más largo
Tiempo de discrepancia ajustado a <0 Ajustar el tiempo de discrepancia en
s o >3 s el rango entre 0 s y 3 s
Bit 1 Error de discrepancia o tiempo de dis Como el bit 0 Como el bit 0
crepancia DISCTIM2 ajustado incorrec
tamente para el par de sensores 2
Bit 2 Tiempo máximo de muting excedido Fallo en el proceso de producción Subsanar el fallo en el proceso de
o tiempo de muting TIME_MAX ajus producción
El tiempo máximo de muting ajusta Dado el caso, ajustar un tiempo má
do es demasiado corto. ximo de muting más largo.
Tiempo de muting ajustado a <0 s Ajustar el tiempo de muting en el
o >10 min rango entre 0 s y 10 min
Bit 3 Cortina fotoeléctrica interrumpida y ENABLE = 0 Establecer ENABLE = 1
muting inactivo
Cortina fotoeléctrica defectuosa Comprobar la cortina fotoeléctrica
Error de cableado Comprobar el cableado de la cortina
fotoeléctrica (entrada FREE)
Fallo de periferia o canal o error de Para la solución, ver apartado
comunicación, o bien pasivación me "Estructura de DIAG", bits 0 a 6 en
diante PASS_ON de la periferia F de la DIAG (Página 164)
cortina fotoeléctrica
(entrada FREE)
Arranque del sistema F Para la retirada, ver bit DIAG 5
Ver otros bits DIAG
Bit 4 Lámpara de muting defectuosa o no Lámpara de muting defectuosa Sustituir la lámpara de muting
controlable
Error de cableado Comprobar el cableado de la lámpa
ra de muting


bit
Bit 4 Lámpara de muting defectuosa o no Error de periferia F, fallo de canal o Para la solución, ver apartado
controlable error de comunicación, o bien pasiva "Estructura de DIAG", bits 0 a 6 en
ción mediante PASS_ON de la perife DIAG (Página 164)
ria F de la lámpara de muting
Bit 5 Retirada necesaria Ver otros bits DIAG Dos flancos ascendentes en ACK en
un lapso de 4 s y mantener acciona
do el pulsador de enterado hasta que
ACK_REQ = 0
Bit 8 Estado de la salida MUTING — —
Bit 9 Retirada activa — —
...


en la instrucción:

5 ǡ ǡ ǡ
5
5#BTF@ 5#BTF@



Ejemplo
13.3.6 EV1oo2DI: Evaluación 1oo2 con análisis de discrepancia (STEP 7 Safety V18)
Descripción
Esta instrucción realiza una 1oo2 evaluation (Evaluación 1oo2) de dos sensores monocanal
en combinación con un análisis de discrepancia.
La salida Q se establece en 1 si los estados lógicos de las dos entradas IN1 e IN2 son 1 y no
hay ningún error de discrepancia DISC_FLT guardado. Si el estado lógico de una o de ambas
entradas es 0, la salida Q se establece en 0.

Tan pronto como los estados de señal de las dos entradas IN1 e IN2 difieran, se inicia el
tiempo de discrepancia DISCTIME. Si los estados lógicos de ambas entradas siguen siendo
diferentes una vez transcurrido el tiempo de discrepancia, se detecta un error de
discrepancia, y DISC_FLT se establece en 1 (bloqueo de rearranque).
Cuando ya no se detecta ninguna discrepancia entre las entradas IN1 e IN2, el error de
discrepancia se acusa en función de la parametrización de ACK_NEC:
• Si ACK_NEC = 1, el error de discrepancia solamente puede acusarse mediante un flanco
ascendente en la entrada ACK.
Con la salida ACK_REQ = 1, se señaliza que para el acuse del error de discrepancia (anulación
del bloqueo de rearranque) se requiere un acuse de usuario en la entrada ACK. La instrucción
establece ACK_REQ = 1 cuando ya no se detecta ninguna discrepancia. Una vez ocurrido el
acuse, o si los estados de señal de las dos entradas IN1 e IN2 vuelven a diferir antes de un
acuse, la instrucción restablece ACK_REQ a 0.
La señal Q no se puede establecer 1 en ningún caso si el tiempo de discrepancia está ajustado
a valores <0 o >60 s. En tal caso, también se establece la salida DISC_FLT en 1 (bloqueo de
rearranque). El intervalo de llamada del programa de seguridad (p. ej., OB 35) debe ser
menor que el tiempo discrepancia ajustado.
A cada llamada de la instrucción "1oo2 evaluation with discrepancy analysis (Evaluación 1oo2
con análisis de discrepancia)" debe asignársele un área de datos en la que guardar los datos
de la instrucción. Para ello, al insertar la instrucción en el programa, se abre automáticamente
el cuadro de diálogo "Call options (Opciones de llamada)", en el que puede crearse un bloque
de datos (instancia individual) (p. ej., EV1oo2DI_DB_1) o una multiinstancia (p. ej.,
EV1oo2DI_Instance_1) para la instrucción "1oo2 evaluation with discrepancy analysis
(Evaluación 1oo2 con análisis de discrepancia)". Una vez creado, el nuevo bloque de datos
aparece en la carpeta "STEP 7 Safety" del árbol del proyecto, en "Program blocks (Bloques de
programa) > System blocks (Bloques de sistema)", o, en su caso, la multiinstancia figura como
variable local en el apartado "Static (Estático)" de la interfaz del bloque. Encontrará más
información al respecto en la Ayuda de STEP 7.
ADVERTENCIA


ADVERTENCIA

(parametrizado)
(parametrizado)
Parámetros
IN1 Input BOOL Sensor 1
IN2 Input BOOL Sensor 2
DISCTIME Input TIME Tiempo de discrepancia (0 ... 60 s)
ACK_NEC Input BOOL 1 = acuse necesario para error de discrepancia
ACK Input BOOL Acuse del error de discrepancia
Q Output BOOL Salida
ACK_REQ Output BOOL 1 = acuse necesario
DISC_FLT Output BOOL 1 = error de discrepancia
dad

sión
1.2 x o o
1.3 x x x
Control de las entradas IN1 e IN2

Las dos entradas IN1 e IN2 deben controlarse de manera que su estado seguro sea 0.
Ejemplo con señal QBAD o QBAD_I_xx

En caso de señales no equivalentes, la entrada (IN1 o IN2) a la que se asigna la señal del
sensor con estado de señal 1 se debe combinar mediante la operación lógica O con la señal
QBAD de la periferia F asociada o con la señal QBAD_I_xx del canal respectivo (para CPU F
S7-300/400) y negar el resultado. De este modo, la entrada IN1 o IN2 tiene el estado lógico 0
cuando se emiten valores sustitutivos.

Ejemplo con información de calidad

En caso de señales no equivalentes, la entrada (IN1 o IN2) a la que se asigna la señal del
sensor con estado de señal 1 se debe negar y combinar con la operación lógica Y y la
información de calidad del canal respectivo. De este modo, la entrada IN1 o IN2 tiene el
estado lógico 0 cuando se emiten valores sustitutivos.

Cronogramas EV1oo2DI
En caso de parametrización ACK_NEC = 1:
,1
,1
',6&B)/7
$&.B5(4
$&.
',$* %LW
',$* %LW
',6&7,0( ',6&7,0( ',6&7,0( ',6&7,0(
NOTA
Si los sensores están asignados a una periferia F diferente en las entradas IN1 e IN2, tras el
arranque del sistema F puede producirse una salida de valores sustitutivos de diferente
longitud debido a un comportamiento en arranque distinto de la periferia F. Si los estados de
señal de ambas entradas IN1 e IN2 siguen siendo diferentes una vez transcurrido el tiempo
de discrepancia DISCTIME, tras el arranque del sistema F se detecta un error de discrepancia.
Si ACK_NEC = 1, el error de discrepancia deberá acusarse mediante un flanco ascendente en
la entrada ACK.
Salida DIAG
es preciso. Los bits DIAG permanecen guardados hasta que se acusen en la entrada ACK.

Estructura de DIAG

Bit 0 Error de discrepancia o tiempo de dis Sensor defectuoso Comprobar los sensores
crepancia ajustado incorrecto
Error de cableado Comprobar el cableado de los sen
(= estado de DISC_FLT)
sores
distinta y error de periferia F, fallo de "Estructura de DIAG", bits 0 a 6 en
canal o error de comunicación, o DIAG (Página 164)
en una periferia F
El tiempo de discrepancia ajustado es Dado el caso, ajustar un tiempo de
demasiado corto. discrepancia más largo
Tiempo de discrepancia ajustado a Ajustar el tiempo de discrepancia
<0 s o >60 s en el rango entre 0 s y 60 s
Bit 1 En caso de error de discrepancia: el últi — —
mo cambio de estado lógico tuvo lugar
en la entrada IN1
Bit 2 En caso de error de discrepancia: el últi — —
mo cambio del estado lógico tuvo lugar
en la entrada IN2
Bit 5 En caso de error de discrepancia: la en Pulsador de enterado defectuoso Sustituir el pulsador de enterado
trada ACK tiene el estado lógico 1 de
Error de cableado Comprobar el cableado del pulsa
modo permanente.
dor de enterado


en la instrucción:

5 ǡ ǡ ǡ
5
5#BTF@ 5#BTF@


Ejemplo

13.3.7 FDBACK: Vigilancia del circuito de realimentación (STEP 7 Safety V18)
Descripción
Esta instrucción realiza una vigilancia del circuito de realimentación.
Para ello, se comprueba si el estado lógico de la salida Q es el mismo que el estado lógico
inverso de la entrada de relectura FEEDBACK.
La salida Q se establece en 1 en cuanto la entrada ON = 1. Para ello, es imprescindible que la
entrada de relectura FEEDBACK tenga el valor 1 y que no haya ningún error de relectura
guardado.
La salida Q se restablece a 0 en cuanto la entrada ON = 0 o cuando se detecta un error de
relectura.
Se detecta un error de relectura ERROR = 1 cuando el estado lógico inverso de la entrada de
relectura FEEDBACK (hacia la salida Q) no sigue al estado lógico de la salida Q dentro del
tiempo de relectura máximo tolerable FDB_TIME. El error de relectura se guarda.
Si, tras un error de relectura, se detecta una discrepancia entre la entrada de relectura
FEEDBACK y la salida Q, se acusa el error de relectura en función de la parametrización de
ACK_NEC:
• Si ACK_NEC = 1, el error de relectura debe acusarse mediante un flanco ascendente en la
entrada ACK.
Con la salida ACK_REQ = 1 se señaliza que para el acuse del error de relectura se requiere un
acuse de usuario en la entrada ACK. Una vez realizado el acuse, la instrucción restablece
ACK_REQ a 0.
Para que, en caso de pasivación de la periferia F controlada por la salida Q, no se detecte
ningún error de relectura y no se requiera acuse, deberá proporcionarse a la entrada
QBAD_FIO la señal QBAD de la periferia F asociada o la señal QBAD_O_xx/la información de
calidad invertida del canal respectivo.
A cada llamada de la instrucción "Feedback monitoring (Vigilancia del circuito de
realimentación)", debe asignársele un área de datos en la que guardar los datos de la
instrucción. Para ello, al insertar la instrucción en el programa, se abre automáticamente el
cuadro de diálogo "Call options (Opciones de llamada)", en el que puede crearse un bloque de
datos (instancia individual) (p. ej., FDBACK_DB_1) o una multiinstancia (p. ej.,
FDBACK_Instance_1) para la instrucción "Feedback monitoring (Vigilancia del circuito de
realimentación)". Una vez creado, el nuevo bloque de datos aparece en la carpeta "STEP 7
Safety" del árbol del proyecto, en "Program blocks (Bloques de programa) > System blocks
(Bloques de sistema)", o, en su caso, la multiinstancia figura como variable local en el


ADVERTENCIA

ADVERTENCIA

(parametrizado)
(parametrizado)
Parámetros
ON Input BOOL 1 = conectar salida
FEEDBACK Input BOOL Entrada de relectura
QBAD_FIO Input BOOL Señal QBAD de la periferia F o señal QBAD_O_xx/infor
mación de calidad invertida del canal de la salida Q
ACK Input BOOL Acuse
FDB_TIME Input TIME Tiempo de relectura
Q Output BOOL Salida


ERROR Output BOOL Error de relectura
ACK_REQ Output BOOL Solicitud de acuse
dad
sión
1.0 x — — La versión 1.0 requiere el bloque F_TOF con el número FB 186 en la carpe
ta "Program blocks (Bloques de programa) / System blocks (Bloques de
sistema) / STEP 7 Safety" del árbol del proyecto.
Al migrar proyectos creados con S7 Distributed Safety V5.4 SP5, se utiliza
automáticamente la versión 1.0 de la instrucción. Si se desea compilar por
primera vez un programa de seguridad migrado con STEP 7 Safety
Advanced, se recomienda actualizar antes la versión de la instrucción a la
versión más reciente disponible. De este modo, se evitan conflictos de nú
meros.
1.1 x — — Estas versiones son idénticas a la versión 1.0 a nivel funcional, pero no re
quieren un número específico del bloque F_TOF.
1.2 x — o
1.3 x o o
1.4 x o o
1.5 x x x

Ejemplo de interconexión
)'4 )',
3 '&9

0 . )',
.
① Va a la entrada FEEDBACK de la instrucción

② Viene de la salida Q de la instrucción
Salida DIAG
es preciso. Los bits DIAG 0, 2 y 5 permanecen guardados hasta que se acusan en la entrada
ACK.
Estructura de DIAG

bit
Bit 0 Error de relectura o tiempo de relectu Tiempo de relectura ajustado <0 Ajustar un tiempo de relectura >0
ra ajustado incorrecto
El tiempo de relectura ajustado es Dado el caso, ajustar un tiempo de
(= estado de ERROR)
demasiado corto relectura más largo
Error de cableado Comprobar el cableado del actuador
y del contacto de relectura
Actuador o contacto de relectura de Comprobar el actuador y el contacto
fectuoso de relectura
Error de periferia o fallo de canal en Comprobar la periferia
la entrada de relectura
Bit 1 Pasivación de la periferia F controlada Error de periferia F, fallo de canal o Para la solución, ver apartado
por la salida Q/del canal (= estado de error de comunicación, o bien pasi "Estructura de DIAG", bits 0 a 6 en
QBAD_FIO) vación mediante PASS_ON de la peri DIAG (Página 164)
feria F
Bit 2 Tras error de relectura: la entrada de Fallo de periferia o canal en la entra Comprobar la periferia
relectura tiene el estado lógico 0 de da de relectura
modo permanente.
Contacto de relectura defectuoso Comprobar el contacto de relectura


bit
Bit 2 Tras error de relectura: la entrada de Error de periferia F, fallo de canal o Para la solución, ver apartado
relectura tiene el estado lógico 0 de error de comunicación, o bien pasi "Estructura de DIAG", bits 0 a 6 en
modo permanente. vación mediante PASS_ON de la peri DIAG (Página 164)
feria F de la entrada de relectura
Bit 5 En caso de error de relectura: la entra Pulsador de enterado defectuoso Comprobar el pulsador de enterado
da ACK tiene el estado lógico 1 de mo
Error de cableado Comprobar el cableado del pulsador
do permanente.
de enterado

en la instrucción:

5 ǡ ǡ ǡ
5
5#BTF@ 5#BTF@



Ejemplo
El siguiente ejemplo ilustra el funcionamiento de la instrucción para CPU F S7-300/400:

13.3.8 SFDOOR: Vigilancia de puerta de protección (STEP 7 Safety V18)
Descripción
Esta instrucción realiza una vigilancia de puerta de protección.
La señal de habilitación Q se restablece a 0 tan pronto como una de las dos entradas IN1 o
IN2 adopta el estado lógico 0 (la puerta de protección se abre). La señal de habilitación
solamente puede volver a establecerse en 1 cuando se cumpla lo siguiente:
• Antes de cerrar la puerta, las dos entradas IN1 e IN2 han adoptado el estado lógico 0 (la
puerta de protección se ha abierto por completo).
• A continuación, las dos entradas IN1 e IN2 adoptan el estado lógico 1 (la puerta de
protección está cerrada).
• Se produce un acuse.
El acuse para la habilitación es independiente de la parametrización en la entrada ACK_NEC:
• Si ACK_NEC = 1, la habilitación debe acusarse mediante un flanco ascendente en la
entrada ACK.
Con la salida ACK_REQ = 1 se señaliza que para el acuse se requiere un acuse de usuario en la
entrada ACK. La instrucción establece ACK_REQ = 1 en cuanto se cierra la puerta. Una vez
realizado el acuse, la instrucción restablece ACK_REQ a 0.
Para que la instrucción detecte si las entradas IN1 e IN2 solamente tienen el valor 0 debido a
una pasivación de la periferia F correspondiente, debe proporcionarse a la entrada QBAD_IN1
o QBAD_IN2 la señal QBAD de la periferia F asociada o la señal QBAD_I_xx/la información de
calidad invertida de los canales respectivos. Esto impide, entre otros, tener que abrir por
completo la puerta de protección antes de un acuse en caso de pasivación de la periferia F.
A cada llamada de la instrucción "Safety door monitoring (Vigilancia de puerta de
protección)", debe asignársele un área de datos en la que guardar los datos de la instrucción.
Para ello, al insertar la instrucción en el programa, se abre automáticamente el cuadro de
diálogo "Call options (Opciones de llamada)", en el que puede crearse un bloque de datos
(instancia individual) (p. ej., SFDOOR_DB_1) o una multiinstancia (p. ej., SFDOOR_Instance_1)
para la instrucción "Safety door monitoring (Vigilancia de puerta de protección)". Una vez
ADVERTENCIA


Parámetros
IN1 Input BOOL Entrada 1
IN2 Input BOOL Entrada 2
QBAD_IN1 Input BOOL Señal QBAD de la periferia F o señal QBAD_I_xx/informa
ción de calidad invertida del canal de la entrada IN1
QBAD_IN2 Input BOOL Señal QBAD de la periferia F o señal QBAD_I_xx/informa
ción de calidad invertida del canal de la entrada IN2
OPEN_NEC Input BOOL 1 = apertura necesaria al arrancar
ACK Input BOOL Acuse
Q Output BOOL 1 = habilitación, puerta de protección cerrada
ACK_REQ Output BOOL Solicitud de acuse
sión
1.2 x o o
1.3 x x x

Ejemplo de interconexión
Debe conectar el contacto NC del interruptor de posición 1 de la puerta de protección a la
entrada IN1 y el contacto NA del interruptor de posición 2 a la entrada IN2. El interruptor de
posición 1 debe estar colocado de manera que quede obligatoriamente accionado cuando la
puerta de protección esté abierta. El interruptor de posición 2 debe estar colocado de manera
que quede accionado cuando la puerta de protección esté cerrada.
3XHUWDGHSURWHFFLµQDELHUWD
$%,(57$
)',
96
3XHUWDGH
,1 SURWHFFLµQ
&(55$
', '$
,QWHUUXSWRUGH
SRVLFLµQ
DFFLRQDGR
96
,1
',
,QWHUUXSWRUGH
SRVLFLµQQR
DFFLRQDGR
3XHUWDGHSURWHFFLµQFHUUDGD
$%,(57$
)',
96
&(55$
,1
', '$
,QWHUUXSWRUGH 3XHUWDGH
SRVLFLµQQR SURWHFFLµQ
DFFLRQDGR
96
,1
',
,QWHUUXSWRUGH
SRVLFLµQ
DFFLRQDGR

Tras el arranque del sistema F, la señal de habilitación Q se restablece a 0. El acuse para la
habilitación es independiente de la parametrización en la entrada OPEN_NEC y ACK_NEC:
• Si OPEN_NEC = 0, tiene lugar un acuse automático independientemente de ACK_NEC en
cuanto las dos entradas IN1 e IN2 adoptan por primera vez el estado lógico 1 tras la
reintegración de la periferia F asociada (la puerta de protección está cerrada).
• Si OPEN_NEC = 1 o si al menos una de las dos entradas IN1 e IN2 sigue teniendo el estado
lógico 0 tras reintegrar la periferia F correspondiente, tiene lugar un acuse automático en
función de ACK_NEC, o bien el acuse para la habilitación debe realizarse mediante un
flanco ascendente en la entrada ACK. Antes del acuse, las dos entradas IN1 e IN2 deben
haber adoptado el estado lógico 0 (la puerta de protección se ha abierto por completo) y
después el estado lógico 1 (la puerta de protección se ha cerrado).
ADVERTENCIA
La parametrización de la variable OPEN_NEC = 0 solo está permitida si se excluye de otro

Salida DIAG
es preciso.
Estructura de DIAG

bit
Bit 1 Falta el estado lógico 0 en las dos en Si OPEN_NEC = 1, la puerta de pro Abrir la puerta de protección por
tradas IN1 e IN2. tección no se ha abierto por comple completo
to tras el arranque del sistema F.
La puerta de protección se ha abier Abrir la puerta de protección por
to, pero no por completo. completo
Error de cableado Comprobar el cableado del interrup
tor de posición
Interruptor de posición defectuoso Comprobar el interruptor de posición
Interruptor de posición mal calibrado Calibrar el interruptor de posición co
rrectamente
Bit 2 Falta el estado lógico 1 en las dos en La puerta de protección no se ha ce Cerrar la puerta de protección
tradas IN1 e IN2. rrado.
Error de cableado Comprobar el cableado del interrup
tor de posición
Interruptor de posición defectuoso Comprobar el interruptor de posición


bit
Bit 2 Falta el estado lógico 1 en las dos en Interruptor de posición mal calibrado Calibrar el interruptor de posición co
tradas IN1 e IN2. rrectamente
Bit 3 QBAD_IN1 o QBAD_IN2 = 1 Fallo de periferia F, fallo de canal o Para la solución, ver apartado
vación mediante PASS_ON de la peri DIAG (Página 164)
feria F/del canal de IN1 o IN2
Bit 5 Si falta la habilitación: la entrada ACK Pulsador de enterado defectuoso Comprobar el pulsador de enterado
tiene el estado lógico 1 de modo per
Error de cableado Comprobar el cableado del pulsador
manente.
de enterado
Ejemplo

13.3.9 ACK_GL: Acuse general de toda la periferia F de un grupo de ejecución F

(STEP 7 Safety V18)
Descripción
Esta instrucción genera un acuse para reintegrar simultáneamente toda la periferia F/todos
los canales de la periferia F de un grupo de ejecución F tras errores de comunicación o errores
de periferia F/fallos de canal.
Para la reintegración, se requiere un acuse de usuario (Página 177) con flanco ascendente en
la entrada ACK_GLOB. El acuse tiene lugar, como sucede con el acuse de usuario, mediante la
variable ACK_REI del DB de periferia F (Página 160); sin embargo, actúa simultáneamente en
toda la periferia F del grupo de ejecución F en el que se llama la instrucción.
Si se utiliza la instrucción ACK_GL, no es necesario prever un acuse de usuario individual para
cada periferia F del grupo de ejecución F mediante la variable ACK_REI del DB de periferia F.
A cada llamada de la instrucción "Global acknowledgment of all F-I/Os in an F-runtime group
(Acuse global de toda la periferia F de un grupo de ejecución F)", debe asignársele un área de
datos en la que guardar los datos de la instrucción. Para ello, al insertar la instrucción en el
ACK_GL_DB_1) o una multiinstancia (p. ej., ACK_GL_Instance_1) para la instrucción "Global
acknowledgment of all F-I/Os in an F-runtime group (Acuse global de toda la periferia F de un
grupo de ejecución F)". Una vez creado, el nuevo bloque de datos aparece en la carpeta "STEP
7 Safety" del árbol del proyecto, en "Program blocks (Bloques de programa) > System blocks

(Bloques de sistema)", o, en su caso, la multiinstancia figura como variable local en el

NOTA
El acuse mediante la instrucción ACK_GL solo es posible si la variable ACK_REI del DB de

periferia F = 0. Del mismo modo, el acuse mediante la variable ACK_REI del DB de periferia F
solo es posible si la entrada ACK_GLOB de la instrucción = 0.
No está permitido llamar la instrucción más de una vez por grupo de ejecución F.
Parámetros
ACK_GLOB Input BOOL 1 = acuse para la reintegración
sión
1.2 x o o
1.3 x x x

13.4 Temporizadores
Ejemplo
13.4 Temporizadores
13.4.1 TP: Impulso (STEP 7 Safety V18)
Descripción
La instrucción "Generate pulse (Generar impulso)" permite activar la salida Q durante un
tiempo programado. La instrucción se inicia cuando el resultado lógico (RLO) en la entrada IN
cambia de "0" a "1" (flanco de señal ascendente). Al iniciarse la instrucción, empieza a contar
el tiempo PT programado. La salida Q se activa durante el tiempo PT, independientemente de
cómo evolucione la señal de entrada. La captura de un nuevo flanco de señal ascendente
tampoco influye en el estado lógico en la salida Q mientras transcurre el tiempo PT.
El valor de tiempo actual puede consultarse en la salida ET. El valor empieza a contar en T#0s
y termina cuando se alcanza el valor del tiempo PT. Si al alcanzarse el tiempo PT, el estado
lógico en la entrada IN es "0", se restablece la salida ET.

13.4 Temporizadores
A cada llamada de la instrucción "Generate pulse (Impulso)", debe asignársele un área de

datos en la que guardar los datos de la instrucción. Para ello, al insertar la instrucción en el
F_IEC_Timer_DB_1) o una multiinstancia (p. ej., F_IEC_Timer_Instance_1) para la instrucción
"Generate pulse (Impulso)". Una vez creado, el nuevo bloque de datos figura en la carpeta
"STEP 7 Safety" del árbol del proyecto, en "Program blocks (Bloques de programa) > System
blocks (Bloques de sistema)", o, en su caso, la multiinstancia figura como variable local en el
ADVERTENCIA

(parametrizado)
(parametrizado)
El sistema operativo restablece las instancias de la instrucción "Generate pulse (Impulso)"

durante el arranque del sistema F.
NOTA
La funcionalidad de esta instrucción difiere de la correspondiente instrucción estándar TP en
los siguientes puntos:
• Si se llama la instrucción con PT = 0 ms mientras transcurre este tiempo, las salidas Q y ET
se restablecen.
• Si se llama la instrucción con PT <0 ms, las salidas Q y ET se restablecen.
Para volver a iniciar el impulso después de que PT vuelva a ser >0, se necesita un nuevo
flanco de señal ascendente en la entrada IN.

13.4 Temporizadores
Parámetros
IN Input BOOL Entrada de arranque
PT Input TIME Duración del impulso; debe ser positiva.
Q Output BOOL Salida de impulso
ET Output TIME Valor de tiempo actual
sión
1.2 x o o
1.3 x o o
1.4 x x x

13.4 Temporizadores
Cronograma de impulsos
La figura siguiente muestra el cronograma de impulsos de la instrucción "Generate pulse
(Impulso)":
,1
4
37 37 37
(7
37

13.4 Temporizadores

en la instrucción:

5 ǡ ǡ ǡ
5
5#BTF@ 5#BTF@


Ejemplo

13.4 Temporizadores
Cuando el estado lógico del operando "TagIn_1" cambia de "0" a "1", se inicia la instrucción
"Generate pulse (Impulso)" y empieza a contar el tiempo parametrizado en la entrada PT (100
ms), independientemente de cómo evolucione el operando "TagIn_1".
El operando "TagOut" en la salida Q tiene el estado lógico "1" mientras transcurre este tiempo.
El operando ""F_DB_1".Tag_ET" contiene el valor de tiempo actual.
13.4.2 TON: Retardo al conectar (STEP 7 Safety V18)
Descripción
La instrucción "Generate on-delay (Retardo al conectar)" permite retrasar la activación de la
salida Q en el tiempo programado PT. La instrucción se inicia cuando el resultado lógico (RLO)
en la entrada IN cambia de "0" a "1" (flanco de señal ascendente). Al iniciarse la instrucción,
empieza a contar el tiempo PT programado. Una vez transcurrido el tiempo PT, la salida Q
devuelve el estado lógico "1". La salida Q permanecerá activada mientras la entrada de
arranque siga teniendo el valor "1". Cuando el estado lógico en la entrada de arranque cambia
de "1" a "0", se restablece la salida Q. La función de tiempo se reiniciará cuando se capture un
nuevo flanco de señal ascendente en la entrada de arranque.
y termina cuando se alcanza el valor del tiempo PT. La salida ET se restablece en cuanto el
estado lógico en la entrada IN cambia a "0".

13.4 Temporizadores
A cada llamada de la instrucción "Generate on-delay (Retardo al conectar)", debe asignársele

un área de datos en la que guardar los datos de la instrucción. Para ello, al insertar la
instrucción en el programa, se abre automáticamente el cuadro de diálogo "Call options
(Opciones de llamada)", en el que puede crearse un bloque de datos (instancia individual)
(p. ej., F_IEC_Timer_DB_1) o una multiinstancia (p. ej., F_IEC_Timer_Instance_1) para la
instrucción "Generate on-delay (Retardo al conectar)". Una vez creado, el nuevo bloque de
datos figura en la carpeta "STEP 7 Safety" del árbol del proyecto, en "Program blocks (Bloques
de programa) > System blocks (Bloques de sistema)", o, en su caso, la multiinstancia figura
como variable local en el apartado "Static (Estático)" de la interfaz del bloque. Encontrará más
ADVERTENCIA

(parametrizado)
(parametrizado)
El sistema operativo restablece las instancias de la instrucción "Generate on-delay (Retardo al

conectar)" durante el arranque del sistema F.
NOTA
La funcionalidad de esta instrucción difiere de la correspondiente instrucción estándar TON
en los siguientes puntos:
• Si se llama la instrucción con PT = 0 ms mientras transcurre este tiempo, se restablece la
salida ET.
• Si se llama la instrucción con PT <0 ms, se restablecen las salidas Q y ET.
Para volver a iniciar el retardo al conectar después de que PT vuelva a ser >0, se necesita un
nuevo flanco de señal ascendente en la entrada IN.

13.4 Temporizadores
Parámetros
PT Input TIME Duración del retardo al conectar; debe ser positiva.
Q Output BOOL Salida que se activa una vez transcurrido el tiempo PT.
sión
1.2 x o o
1.3 x o o
1.4 x x x

13.4 Temporizadores
La figura siguiente muestra el cronograma de impulsos de la instrucción "Generate on-delay
(Retardo al conectar)":
,1
4 37 37
(7
37

13.4 Temporizadores

en la instrucción:

5 ǡ ǡ ǡ
5
5#BTF@ 5#BTF@


Ejemplo

13.4 Temporizadores
Cuando el estado lógico del operando "TagIn_1" cambia de "0" a "1", se inicia la instrucción
"Generate on-delay (Retardo al conectar)" y empieza a contar el tiempo parametrizado en la
entrada PT (1 s).
El operando "TagOut" en la salida Q tiene el estado lógico "1" una vez transcurrido este
tiempo y permanece activado mientras el operando "TagIn_1" siga teniendo el valor "1". El
operando ""F_DB_1".Tag_ET" contiene el valor de tiempo actual.
13.4.3 TOF: Retardo al desconectar (STEP 7 Safety V18)
Descripción
La instrucción "Generate off-delay (Generar retardo de desconexión)" permite retrasar el
restablecimiento de la salida Q durante el tiempo programado PT. La salida Q se activa
cuando el resultado lógico (RLO) en la entrada IN cambia de "0" a "1" (flanco de señal
ascendente). Cuando el estado lógico en la entrada IN vuelve a cambiar a "0", empieza a
contar el tiempo PT programado. La salida Q permanece activada mientras transcurre el
tiempo PT. Una vez transcurrido el tiempo PT, la salida Q se restablece. Si el estado lógico en
la entrada IN cambia a "1" antes de que haya transcurrido el tiempo PT, este tiempo se
restablece. El estado lógico en la salida Q se mantiene en "1".
y termina cuando se alcanza el valor del tiempo PT. Una vez transcurrido el tiempo PT, la
salida ET permanece en el valor actual hasta que la entrada IN vuelva a cambiar a "1". Si la
entrada IN cambia a "1" antes de que haya transcurrido el tiempo PT, la salida ET se
restablecerá al valor T#0s.

13.4 Temporizadores
A cada llamada de la instrucción "Generate off-delay (Generar retardo de desconexión)", debe

individual) (p. ej., F_IEC_Timer_DB_1) o una multiinstancia (p. ej., F_IEC_Timer_Instance_1)
para la instrucción "Generate off-delay (Generar retardo de desconexión)". Una vez creado, el
nuevo bloque de datos figura en la carpeta "STEP 7 Safety" del árbol del proyecto, en
ADVERTENCIA

(parametrizado)
(parametrizado)
El sistema operativo restablece las instancias de la instrucción "Generate off-delay (Generar

retardo de desconexión)" durante el arranque del sistema F.
NOTA
La funcionalidad de esta instrucción difiere de la correspondiente instrucción estándar TOF en
los siguientes puntos:
• Si se llama la instrucción con PT = 0 ms mientras transcurre este tiempo, las salidas Q y ET
se restablecen.
• Si se llama la instrucción con PT <0 ms, se restablecen las salidas Q y ET.
Para volver a iniciar el retardo de desconexión después de que PT vuelva a ser >0, se necesita
un nuevo flanco de señal descendente en la entrada IN.

13.4 Temporizadores
Parámetros
PT Input TIME Duración del retardo de desconexión; debe ser positiva.
Q Output BOOL Salida que se restablece una vez transcurrido el tiempo PT.
sión
1.2 x o o
1.3 x o o
1.4 x x x

13.4 Temporizadores
La figura siguiente muestra el cronograma de impulsos de la instrucción "Generate off-delay
(Generar retardo de desconexión)":
,1
4
37 37
(7
37

13.4 Temporizadores

en la instrucción:

5 ǡ ǡ ǡ
5
5#BTF@ 5#BTF@


Ejemplo

13.5 Contadores
Cuando el estado lógico del operando "TagIn_1" cambia de "0" a "1", el estado lógico del
operando "TagOut" en la salida Q se establece en "1".
Cuando el estado lógico del operando "TagIn_1" vuelve a cambiar a "0", transcurre el tiempo
parametrizado en la entrada PT (200 ms).
El operando "TagOut" en la salida Q vuelve a establecerse en "0" una vez transcurrido este
tiempo. El operando ""F_DB_1".Tag_ET" contiene el valor de tiempo actual.
13.5 Contadores
13.5.1 CTU: Contador ascendente (STEP 7 Safety V18)
Descripción
La instrucción "Count up (contador ascendente)" permite incrementar el valor en la salida CV.
Cuando el estado lógico en la entrada CU cambia de "0" a "1" (flanco de señal ascendente), se
ejecuta la instrucción, y el valor actual de conteo en la salida CV se incrementa en uno. El
valor de conteo se incrementa cada vez que se detecta un flanco de señal ascendente hasta
que alcanza el límite superior del tipo de datos indicado en la salida CV. Cuando se alcanza el
límite superior, el estado lógico en la entrada CU deja de afectar a la instrucción.
En la salida Q puede consultarse el estado del contador. El estado lógico en la salida Q viene
determinado por el parámetro PV. Si el valor actual de conteo es mayor o igual que el valor
del parámetro PV, la salida Q se establece en el estado lógico "1". En los demás casos, el
estado lógico en la salida Q es "0".
El valor en la salida CV se restablece a cero cuando el estado lógico en la entrada R cambia a
"1". Mientras el estado lógico en la entrada R se mantenga en "1", el estado lógico en la
entrada CU no afectará a la instrucción.
A cada llamada de la instrucción "Count up (Incrementar contador)", debe asignársele un área
de datos en la que guardar los datos de la instrucción. Para ello, al insertar la instrucción en el
F_IEC_Counter_DB_1) o una multiinstancia (p. ej., F_IEC_Counter_Instance_1) para la
instrucción "Count up (Contador ascendente)". Una vez creado, el nuevo bloque de datos
figura en la carpeta "STEP 7 Safety" del árbol del proyecto, en "Program blocks (Bloques de
El sistema operativo restablece las instancias de la instrucción "Count up (Contador
ascendente)" durante el arranque del sistema F.
Parámetros
CU Input BOOL Entrada de conteo
R Input BOOL Entrada de restablecimiento

13.5 Contadores

PV Input INT Valor en el que se activa la salida Q
Q Output BOOL Estado del contador
CV Output INT Valor actual de conteo
sión
1.2 x o o
1.3 x x x
Ejemplo
Si el estado lógico en la entrada "CU" cambia de "0" a "1", se ejecuta la instrucción "Count up
(Contador ascendente)", y el valor actual de conteo de la salida "CV" se incrementa en uno.

13.5 Contadores
Cada vez que se detecta un flanco de señal ascendente, se incrementa el valor de conteo
hasta que se alcanza el límite superior del tipo de datos indicado (32767).
El valor del parámetro PV se toma como límite para determinar el operando "TagOut" en la
salida Q. La salida "Q" devuelve el estado lógico "1" mientras el valor actual de conteo sea
mayor o igual que el valor de la entrada "PV". En los demás casos, la salida "Q" tendrá el
estado lógico "0".
13.5.2 CTD: Contador descendente (STEP 7 Safety V18)
Descripción
La instrucción "Count down (Contador descendente)" permite decrementar el valor en la
salida CV. Cuando el estado lógico en la entrada CD cambia de "0" a "1" (flanco de señal
ascendente), se ejecuta la instrucción, y el valor actual de conteo en la salida CV se
decrementa en uno. El valor de conteo se decrementa cada vez que se detecta un flanco de
señal ascendente hasta que alcanza el límite inferior del tipo de datos indicado. Cuando se
alcanza el límite inferior, el estado lógico en la entrada CD deja de afectar a la instrucción.
En la salida Q puede consultarse el estado del contador. Si el valor actual de conteo es menor
o igual que cero, la salida Q se establece en el estado lógico "1". En los demás casos, el estado
lógico en la salida Q es "0".
El valor en la salida CV se ajusta al valor del parámetro PV cuando el estado lógico en la
entrada LD cambia a "1". Mientras el estado lógico en la entrada LD se mantenga en "1", el
estado lógico en la entrada CD no afectará a la instrucción.
A cada llamada de la instrucción "Count down (Contador descendente)", debe asignársele un
área de datos en la que guardar los datos de la instrucción. Para ello, al insertar la instrucción
en el programa, se abre automáticamente el cuadro de diálogo "Call options (Opciones de
F_IEC_Counter_DB_1) o una multiinstancia (p. ej., F_IEC_Counter_Instance_1) para la
instrucción "Count down (Contador descendente)". Una vez creado, el nuevo bloque de datos
figura en la carpeta "STEP 7 Safety" del árbol del proyecto, en "Program blocks (Bloques de
El sistema operativo restablece las instancias de la instrucción "Count down (Decrementar
contador)" durante el arranque del sistema F.
Parámetros
CD Input BOOL Entrada de conteo
LD Input BOOL Entrada de carga
PV Input INT Valor en el que se activa la salida CV si LD = 1
Q Output BOOL Estado del contador

13.5 Contadores
sión
1.2 x o o
1.3 x x x
Ejemplo
Si el estado lógico en la entrada "CD" cambia de "0" a "1", se ejecuta la instrucción "Count
down (Contador descendente)", y el valor en la salida "CV" se decrementa en uno. Cada vez
que se detecta un flanco de señal ascendente, se decrementa el valor de conteo hasta que se
alcanza el límite inferior del tipo de datos indicado (-32768).
La salida "Q" devuelve el estado lógico "1" mientras el valor actual de conteo sea menor o
igual que cero. En los demás casos, la salida "Q" tendrá el estado lógico "0".

13.5 Contadores
13.5.3 CTUD: Contador ascendente - descendente (STEP 7 Safety V18)
Descripción
La instrucción "Count up and down (Contador ascendente - descendente)" permite
incrementar y decrementar el valor de conteo en la salida CV. Cuando el estado lógico en la
entrada CU cambia de "0" a "1" (flanco de señal ascendente), el valor actual de conteo en la
salida CV se incrementa en uno. Cuando el estado lógico en la entrada CD cambia de "0" a "1"
(flanco de señal ascendente), el valor de conteo en la salida CV se decrementa en uno. Si, en
un ciclo del programa, existe un flanco de señal ascendente en las entradas CU y CD, el valor
actual de conteo en la salida CV permanece sin cambios.
El valor de conteo puede ir incrementándose hasta que alcance el límite superior del tipo de
datos indicado en la salida CV. Cuando se alcanza el límite superior, el valor de conteo deja de
incrementarse con un flanco de señal ascendente. Cuando se alcanza el límite inferior del tipo
de datos indicado, el valor de conteo deja de decrementarse.
Cuando el estado lógico en la entrada LD cambia a "1", el valor de conteo en la salida CV se
ajusta al valor del parámetro PV. Mientras el estado lógico en la entrada LD se mantenga en
"1", el estado lógico en las entradas CU y CD no afectará a la instrucción.
El valor de conteo se establece en cero cuando el estado lógico en la entrada R cambia a "1".
Mientras el estado lógico en la entrada R se mantenga en "1", el estado lógico en las entradas
CU, CD y LD no afectará a la instrucción "Count up and down (Contador ascendente -
descendente)".
En la salida QU se puede consultar el estado del contador ascendente. Si el valor actual de
conteo es mayor o igual que el valor del parámetro PV, la salida QU devuelve el estado lógico
"1". En los demás casos, el estado lógico en la salida QU es "0".
En la salida QD se puede consultar el estado del contador descendente. Si el valor actual de
conteo es menor o igual que cero, la salida QD devuelve el estado lógico "1". En los demás
casos, el estado lógico en la salida QD es "0".
A cada llamada de la instrucción "Count up and down (Contador ascendente - descendente)",
debe asignársele un área de datos en la que guardar los datos de la instrucción. Para ello, al
individual) (p. ej., F_IEC_Counter_DB_1) o una multiinstancia (p. ej.,
F_IEC_Counter_Instance_1) para la instrucción "Count up and down (Contador ascendente -
descendente)". Una vez creado, el nuevo bloque de datos figura en la carpeta "STEP 7 Safety"
del árbol del proyecto, en "Program blocks (Bloques de programa) > System blocks (Bloques
de sistema)", o, en su caso, la multiinstancia figura como variable local en el apartado "Static
(Estático)" de la interfaz del bloque. Encontrará más información al respecto en la Ayuda de
STEP 7.
El sistema operativo restablece las instancias de la instrucción "Count up and down (Contador
ascendente - descendente)" durante el arranque del sistema F.
Parámetros
CU Input BOOL Entrada de conteo ascendente
CD Input BOOL Entrada de conteo descendente
R Input BOOL Entrada de restablecimiento

13.5 Contadores

LD Input BOOL Entrada de carga
PV Input INT Valor con el que se activa la salida QU/en el que se esta
blece la salida CV si LD = 1
QU Output BOOL Estado del contador ascendente
QD Output BOOL Estado del contador descendente
sión
1.2 x o o
1.3 x x x
Ejemplo

13.6 Comparadores
Cuando el estado lógico en la entrada "CU" o en la entrada "CD" cambia de "0" a "1" (flanco de
señal ascendente), se ejecuta la instrucción "Count up and down (Contador ascendente -
descendente)". Cuando existe un flanco de señal ascendente en la entrada "CU", el valor
actual de conteo de la salida "CV" se incrementa en uno. Cuando existe un flanco de señal
ascendente en la entrada "CD", el valor actual de conteo en la salida "CV" se decrementa en
uno. El valor de conteo va incrementándose con un flanco de señal ascendente en la entrada
CU hasta que alcanza el límite superior de 32767. El valor de conteo va decrementándose con
un flanco de señal ascendente en la entrada CD hasta que alcanza el límite inferior de
-32768.
La salida "QU" devuelve el estado lógico "1" mientras el valor actual de conteo sea mayor o
igual que el valor en la entrada "PV". En los demás casos, la salida "QU" tendrá el estado lógico
"0".
La salida "QD" devuelve el estado lógico "1" mientras el valor actual de conteo sea menor o
igual que cero. En los demás casos, la salida "QD" tendrá el estado lógico "0".
13.6 Comparadores
13.6.1 CMP ==: Igual (STEP 7 Safety V18)
Descripción
La instrucción "Equal (Igual)" permite consultar si el primer valor de comparación (IN1 u
<Operand1>) es idéntico al segundo valor de comparación (IN2 u <Operand2>).
Si se cumple la condición de la comparación, la instrucción devuelve el resultado lógico
(RLO) "1". Si no se cumple la condición de la comparación, la instrucción devuelve el RLO "0".
Para KOP, se aplica lo siguiente:
El RLO de la instrucción se combina con el RLO del circuito completo de la siguiente forma:
• Con la operación lógica Y si la instrucción de comparación está conectada en serie.
• Con la operación lógica O si la instrucción de comparación está conectada en paralelo.
El primer valor de comparación (<Operand1>) se indica en el comodín del operando ubicado
encima de la instrucción. El segundo valor de comparación (<Operand2>) se indica en el
comodín del operando ubicado debajo de la instrucción.

13.6 Comparadores
Parámetros
FUP: IN1 Input INT, DINT, TIME, Primer valor de comparación
KOP: <Operand1> WORD, (S7-300/400)
DWORD
FUP: IN2 Input INT, DINT, TIME, Segundo valor de comparación
DWORD
En la lista desplegable "<???>" del cuadro de instrucción, puede seleccionarse el tipo de datos
de la instrucción.
Ejemplo

• "Tag_In1" devuelve el estado lógico "1".
• Se cumple la condición de la instrucción de comparación ("Tag_Value1" = "Tag_Value2").
13.6.2 CMP <>: Diferente (STEP 7 Safety V18)
Descripción
La instrucción "Not equal (Diferente)" permite consultar si el primer valor de comparación
(IN1 u <Operand1>) es diferente al segundo valor de comparación (IN2 u <Operand2>).

13.6 Comparadores
Parámetros
FUP: IN1 Input INT, DINT, TIME, Primer valor de comparación
DWORD
FUP: IN2 Input INT, DINT, TIME, Segundo valor de comparación
DWORD
de la instrucción.
Ejemplo

• Se cumple la condición de la instrucción de comparación ("Tag_Value1" <> "Tag_Value2").
13.6.3 CMP >=: Mayor o igual (STEP 7 Safety V18)
Descripción
La instrucción "Greater or equal (Mayor o igual)" permite consultar si el primer valor de
comparación (IN1 u <Operand1>) es mayor o igual que el segundo valor de comparación (IN2
u <Operand2>). Ambos valores de comparación deben pertenecer al mismo tipo de datos.

13.6 Comparadores

Parámetros
FUP: IN1 Input INT, DINT, TIME Primer valor de comparación
KOP: <Operand1>
FUP: IN2 Input INT, DINT, TIME Segundo valor de comparación
KOP: <Operand2>
de la instrucción.
Ejemplo

• Se cumple la condición de la instrucción de comparación ("Tag_Value1" >= "Tag_Value2").
13.6.4 CMP <=: Menor o igual (STEP 7 Safety V18)
Descripción
La instrucción "Less or equal (Menor o igual)" permite consultar si el primer valor de
comparación (IN1 u <Operand1>) es menor o igual que el segundo valor de comparación
(IN2 u <Operand2>). Ambos valores de comparación deben pertenecer al mismo tipo de
datos.

13.6 Comparadores
Parámetros
KOP: <Operand1>
KOP: <Operand2>
de la instrucción.
Ejemplo

• Se cumple la condición de la instrucción de comparación ("Tag_Value1" <= "Tag_Value2").
13.6.5 CMP >: Mayor que (STEP 7 Safety V18)
Descripción
La instrucción "Greater than (Mayor que)" permite consultar si el primer valor de comparación
(IN1 u <Operand1>) es mayor que el segundo valor de comparación (IN2 u <Operand2>).
Ambos valores de comparación deben pertenecer al mismo tipo de datos.

13.6 Comparadores
Parámetros
KOP: <Operand1>
KOP: <Operand2>
de la instrucción.
Ejemplo

• Se cumple la condición de la instrucción de comparación ("Tag_Value1" > "Tag_Value2").
13.6.6 CMP <: Menor que (STEP 7 Safety V18)
Descripción
La instrucción "Less than (Menor que)" permite consultar si el primer valor de comparación
(IN1 u <Operand1>) es menor que el segundo valor de comparación (IN2 u <Operand2>).
Ambos valores de comparación deben pertenecer al mismo tipo de datos.

13.6 Comparadores
Parámetros
KOP: <Operand1>
KOP: <Operand2>
de la instrucción.
Ejemplo

• Se cumple la condición de la instrucción de comparación ("Tag_Value1" < "Tag_Value2").

13.7 Funciones matemáticas
13.7.1 ADD: Sumar (STEP 7 Safety V18)
Descripción
La instrucción "Add (Sumar)" permite sumar el valor en la entrada IN1 al valor en la entrada
IN2 y consultar la suma en la salida OUT (OUT = IN1 + IN2).
No es posible interconectar la entrada de habilitación "EN" o (S7-300, S7-400) la salida de
habilitación "ENO". Por lo tanto, la instrucción se ejecuta siempre, independientemente del
estado lógico en la entrada de habilitación "EN".
NOTA
Si el resultado de la instrucción está fuera del rango admisible para el tipo de datos, la CPU F
puede pasar a STOP. En el búfer de diagnóstico de la CPU F se introduce la causa del evento
de diagnóstico.
para el tipo de datos en cuestión.
(S7-1200, S7-1500) Se puede evitar un STOP de la CPU F interconectando la salida de
habilitación ENO programando así una detección de rebase por exceso.
Al hacerlo, tenga en cuenta lo siguiente:
• Si el resultado de la instrucción está fuera del rango admisible para el tipo de datos, la
salida de habilitación ENO devuelve el estado lógico "0".
• En tal caso, el resultado de la instrucción se comporta como en la correspondiente
instrucción en un bloque estándar.
• El tiempo de ejecución de la instrucción se prolonga (ver también el archivo Excel para
• La demanda de memoria del programa de seguridad aumenta.
(S7-300, S7-400) Se puede evitar un STOP de la CPU F insertando una instrucción "Get status
bit OV (Consultar bit de estado OV)" en el segmento posterior y programando así una
detección de rebase por exceso.
• El segmento con la instrucción "Get status bit OV (Consultar bit de estado OV)" no debe
contener etiquetas de salto.
• Si no se inserta ninguna instrucción "Get status bit OV (Consultar bit de estado OV)", se
emite una advertencia.

Parámetros
ENO Output BOOL (S7-1200, S7-1500)
Salida de habilitación
IN1 Input INT, DINT Primer sumando
IN2 Input INT, DINT Segundo sumando
OUT Output INT, DINT Suma
En la lista desplegable "<???>" del cuadro de instrucción, seleccione el tipo de datos de la

instrucción.
Ejemplo de CPU F S7-300/400

La instrucción "Add (Sumar)" se ejecuta siempre, independientemente del estado lógico en la

entrada de habilitación EN.
El valor del operando "Tag_Value1" se suma al valor del operando "Tag_Value2". El resultado
de la suma se guarda en el operando ""F_DB_1".Tag_Result".

Si es necesario, el estado lógico de la entrada de habilitación ENO se puede guardar en un DB

(F) y luego evaluar de manera centralizada si se ha producido algún rebase en todas las
instrucciones con detección de rebase por exceso o en un grupo de ellas.
Si se produce un rebase al ejecutar la instrucción "Add (Sumar)", el bit de estado OV se
establece en "1". En el segmento 2, tras consultar el bit de estado OV, se ejecuta la instrucción
"Set output (Activar salida)" (S) y se activa el operando "TagOut".

La instrucción "Add (Sumar)" se ejecuta siempre, independientemente del estado lógico en la

entrada de habilitación EN.
El valor del operando "#Tag_Value1" se suma al valor del operando "#Tag_Value2". El
resultado de la suma se guarda en el operando ""F_DB_1".Tag_Result".
Si no se produce ningún rebase al ejecutar la instrucción "Add (Sumar)", la salida de
habilitación ENO tiene el estado lógico "1", y se activa el operando "#TagOut".
Si es necesario, el estado lógico de la entrada de habilitación ENO se puede guardar en un DB
(F) y luego evaluar de manera centralizada si se ha producido algún rebase en todas las
Consulte
también
---| |--- OV: Consultar bit de estado OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)
(Página 567)
---| / |--- OV: Consultar bit de estado OV negado (STEP 7 Safety Advanced V18) (S7-300,
S7-400) (Página 568)

13.7.2 SUB: Restar (STEP 7 Safety V18)
Descripción
La instrucción "Subtract (Restar)" permite restar el valor en la entrada IN2 del valor en la
entrada IN1 y consultar la diferencia en la salida OUT (OUT = IN1 – IN2).
NOTA
de diagnóstico.

Parámetros
IN1 Input INT, DINT Minuendo
IN2 Input INT, DINT Sustraendo
OUT Output INT, DINT Diferencia

instrucción.

La instrucción "Subtract (Restar)" se ejecuta siempre, independientemente del estado lógico

en la entrada de habilitación EN.
El valor del operando "Tag_Value2" se resta del valor del operando "Tag_Value1". El resultado
de la resta se guarda en el operando ""F_DB_1".Tag_Result".

Si se produce un rebase al ejecutar la instrucción "Subtract (Restar)", el bit de estado OV se


La instrucción "Subtract (Restar)" se ejecuta siempre, independientemente del estado lógico

en la entrada de habilitación EN.
El valor del operando "#Tag_Value2" se resta del valor del operando "#Tag_Value1". El
resultado de la resta se guarda en el operando ""F_DB_1".Tag_Result".
Si no se produce ningún rebase al ejecutar la instrucción "Subtract (Restar)", la salida de
Consulte
también
(Página 567)
S7-400) (Página 568)
13.7.3 MUL: Multiplicar (STEP 7 Safety V18)
Descripción
La instrucción "Multiply (Multiplicar)" permite multiplicar el valor en la entrada IN1 por el
valor en la entrada IN2 y consultar el producto en la salida OUT (OUT = IN1 × IN2).


NOTA
de diagnóstico.

Parámetros
IN1 Input INT, DINT Multiplicador
IN2 Input INT, DINT Multiplicando
OUT Output INT, DINT Producto

instrucción.

La instrucción "Multiply (Multiplicar)" se ejecuta siempre, independientemente del estado

lógico en la entrada de habilitación EN.
El valor del operando "Tag_Value1" se multiplica por el valor del operando "Tag_Value2". El
resultado de la multiplicación se guarda en el operando ""F_DB_1".Tag_Result".

Si se produce un rebase al ejecutar la instrucción "Multiply (Multiplicar)", el bit de estado OV

se establece en "1". En el segmento 2, tras consultar el bit de estado OV, se ejecuta la
instrucción "Set output (Activar salida)" (S) y se activa el operando "TagOut".

La instrucción "Multiply (Multiplicar)" se ejecuta siempre, independientemente del estado

lógico en la entrada de habilitación EN.
El valor del operando "#Tag_Value1" se multiplica por el valor del operando "#Tag_Value2". El
resultado de la multiplicación se guarda en el operando ""F_DB_1".Tag_Result".
Si no se produce ningún rebase al ejecutar la instrucción "Multiply (Multiplicar)", la salida de
Consulte
también
(Página 567)
S7-400) (Página 568)
13.7.4 DIV: Dividir (STEP 7 Safety V18)
Descripción
La instrucción "Divide (Dividir)" permite dividir el valor en la entrada IN1 por el valor en la
entrada IN2 y consultar el cociente en la salida OUT (OUT = IN1 / IN2).


NOTA
de diagnóstico.
NOTA
S7-300/400, S7-1200/1500 (salida de habilitación ENO conectada):
Si el divisor (entrada IN2) de una instrucción DIV es igual a 0, el cociente de la división
(resultado de la división en la salida OUT) será igual a 0. El resultado se comporta como en la
correspondiente instrucción en un bloque estándar. La CPU F no pasa a STOP.
S7-1200/1500 (salida de habilitación ENO no conectada):
Si el divisor (entrada IN2) de una instrucción DIV es igual a 0, la CPU F pasa a STOP. En el
búfer de diagnóstico de la CPU F se registra la causa del evento de diagnóstico. Se
recomienda impedir que el divisor (entrada IN2) sea 0 ya al crear el programa.

Parámetros
IN1 Input INT, DINT Dividendo
IN2 Input INT, DINT Divisor
OUT Output INT, DINT Cociente

instrucción.

La instrucción "Divide (Dividir)" se ejecuta siempre, independientemente del estado lógico en

la entrada de habilitación EN.
El valor del operando "Tag_Value1" se divide entre el valor del operando "Tag_Value2". El
resultado de la división se guarda en el operando ""F_DB_1".Tag_Result".

Si se produce un rebase al ejecutar la instrucción "Divide (Dividir)", el bit de estado OV se


La instrucción "Divide (Dividir)" se ejecuta siempre, independientemente del estado lógico en

la entrada de habilitación EN.
El valor del operando "#Tag_Value1" se divide entre el valor del operando "#Tag_Value2". El
resultado de la división se guarda en el operando ""F_DB_1".Tag_Result".
Si no se produce ningún rebase al ejecutar la instrucción "Divide (Dividir)", la salida de
Consulte
también
(Página 567)
S7-400) (Página 568)
13.7.5 NEG: Generar complemento a dos (STEP 7 Safety V18)
Descripción
La instrucción "Create twos complement (Generar complemento a dos)" permite invertir el
signo del valor en la entrada IN y consultar el resultado en la salida OUT. Si, p. ej., hay un
valor positivo en la entrada IN, en la salida OUT se emite el equivalente negativo de este
valor.


NOTA
de diagnóstico.
Parámetros
IN Input INT, DINT Valor de entrada
OUT Output INT, DINT Complemento a dos del valor de entrada


instrucción.

La instrucción "Create twos complement (Generar complemento a dos)" se ejecuta siempre,

independientemente del estado lógico en la entrada de habilitación EN.
El signo del operando "TagIn_Value" se invierte y el resultado se guarda en el operando
""F_DB_1".TagOut_Value".
Cuando se produce un rebase al ejecutar la instrucción "Create twos complement (Generar
complemento a dos)", el bit de estado OV se establece en "1". En el segmento 2, tras
consultar el bit de estado OV, se ejecuta la instrucción "Set output (Activar salida)" (S) y se
activa el operando "TagOut".


La instrucción "Create twos complement (Generar complemento a dos)" se ejecuta siempre,

El signo del operando "#TagIn_Value" se invierte y el resultado se guarda en el operando
Si no se produce ningún rebase al ejecutar la instrucción "Create twos complement (Generar
complemento a dos)", la salida de habilitación ENO tiene el estado lógico "1" y se activa el
operando "TagOut".
Consulte
también
(Página 567)
S7-400) (Página 568)
13.7.6 ABS: Calcular valor absoluto (STEP 7 Safety V18) (S7-1200, S7-1500)
Descripción
La instrucción "Form absolute value (Calcular valor absoluto)" permite calcular el valor
absoluto del valor indicado en la entrada IN. El resultado de la instrucción se emite en la
salida OUT y puede consultarse en ella.


NOTA
de diagnóstico.
Se puede un STOP de la CPU F interconectando la salida de habilitación ENO y programando
así una detección de rebase por exceso.
Parámetros
IN Input INT, DINT Valor de entrada
OUT Output INT, DINT Valor absoluto del valor de entrada

instrucción.
Ejemplo

13.8 Mover
La instrucción "Form absolute value (Calcular valor absoluto)" se ejecuta siempre,

Se calcula el valor absoluto del valor del operando "TagIn_Value" y el resultado se guarda en
el operando ""F_DB_1".TagOut_Value".
Si no se produce ningún rebase al ejecutar la instrucción "Form absolute value (Calcular valor
absoluto)", la salida de habilitación ENO tiene el estado lógico "1" y se activa el operando
"#TagOut".
13.8 Mover
13.8.1 MOVE: Copiar valor (STEP 7 Safety V18)
Descripción
La instrucción "Move value (Copiar valor)" permite transferir el contenido del operando en la
entrada IN al operando en la salida OUT1.
En la entrada IN y en la salida OUT1, solamente pueden indicarse operandos con el mismo
ancho de operando y la misma estructura de datos.
No es posible interconectar la entrada de habilitación "EN" ni la salida de habilitación "ENO".
Por lo tanto, la instrucción se ejecuta siempre (independientemente del estado lógico en la
entrada de habilitación "EN").
(S7-1200, S7-1500) En el estado básico, el cuadro de instrucción contiene una salida (OUT1).
El número de salidas puede ampliarse. Las salidas insertadas se numeran en el cuadro en
orden ascendente. Durante la ejecución, el contenido del operando en la entrada IN se
transfiere a todas las salidas disponibles. Si se transfieren operandos con tipos de datos PLC
conformes con F (UDT), no puede ampliarse el cuadro de instrucción.
Parámetros
IN Input INT, DINT, WORD, (S7-300/400) DWORD, Valor de origen
TIME, tipo de datos PLC conforme con F
(UDT)
OUT1 Output INT, DINT, WORD, (S7-300/400) DWORD, Dirección de destino
TIME, tipo de datos PLC conforme con F
(UDT)

13.8 Mover
Ejemplo
La instrucción se ejecuta siempre, independientemente del estado lógico en la entrada de

habilitación "EN". La instrucción copia el contenido del operando "TagIn_Value" al operando
13.8.2 RD_ARRAY_I: Leer valor de array F INT (STEP 7 Safety V18) (S7-1500)
Descripción
La instrucción "Reads value from an F-array INT (Leer valor de array F INT)" permite leer un
elemento del array en la entrada ARRAY al que remita el índice en la entrada INDEX y escribir
su valor en la salida OUT. Si se produce un error en tiempo de ejecución al acceder al array, se
indica en la salida ERROR.
El array debe haberse creado en un DB global F y solamente debe constar de una dimensión.
Los elementos del array deben ser del tipo de datos INT. Para los límites del array, a diferencia
del programa estándar, se aplica lo siguiente:
• El límite inferior debe ser 0.
• El límite superior debe ser como máximo 10000.

13.8 Mover
Parámetros
ARRAY Input VARIANT Array en el que se efectúa la lec
tura.
INDEX Input DINT Elemento del array que se lee.
Este dato puede ser una constan
te o una variable.
OUT Output INT Valor que se lee y se emite.
ERROR Output BOOL Información de error:
El parámetro ERROR se activa
cuando se produce un error du
rante el procesamiento de la ins
trucción.
Parámetro ARRAY
Además de la conexión directa con un array dentro de un DB global de seguridad, esta
entrada también puede interconectarse con un parámetro INOUT del tipo de datos ARRAY[*]
of INT. Esto permite desacoplar datos y lógica del programa para, p. ej., crear una función de
librería sin que exista una conexión con un bloque de datos dedicado.
Parámetro ERROR
La tabla siguiente muestra el significado de los valores del parámetro ERROR:
Valor Descripción
FALSE Sin errores.
TRUE El valor del parámetro INDEX está fuera de los límites del ARRAY.
Para esta instrucción, hay una versión disponible:
sión
1.0 — — x1

13.8 Mover
Comportamiento en caso de error

Si el valor de la entrada INDEX está fuera de los límites del array, se establece la salida ERROR
en 1 y, en la salida OUT, se emite el valor del elemento con índice = 0, independientemente
del valor transferido que figure en la entrada INDEX.
Por lo tanto, establezca el valor del elemento con índice = 0 como valor sustitutivo de
seguridad.
Ejemplo
La tabla siguiente muestra el funcionamiento de la instrucción con valores de operandos

concretos:
Parámetro Operando Valor
ARRAY "Global_DB".Array El operando "Global_DB".Array es un ARRAY del tipo de datos Array[0..10]
of INT.
INDEX #Tag_Index 2
OUT #TagOut_Value Valor del elemento en la posición Array[2]
ERROR #TagError_Value False
La instrucción "Reads value from an F-array INT (Leer valor de array F INT)" se ejecuta siempre,
independientemente del estado lógico de la entrada de habilitación EN.
El contenido del 2.º elemento del operando "Global_DB.Array" se emite en la salida
"#TagOut_Value".
13.8.3 RD_ARRAY_DI: Leer valor de array F DINT (STEP 7 Safety V18) (S7-1500)
Descripción
La instrucción "Reads value from an F-array DINT (Leer valor de array F DINT)" permite leer un
elemento del array en la entrada ARRAY al que remita el índice de la entrada INDEX y escribir
su valor en la salida OUT. Si se produce un error en tiempo de ejecución al acceder al array, se
indica en la salida ERROR.
El array debe haberse creado en un DB global F y solamente debe constar de una dimensión.
Los elementos del array deben ser del tipo de datos DINT. Para los límites del array, a
diferencia del programa estándar, se aplica lo siguiente:
• El límite inferior debe ser 0.
• El límite superior debe ser como máximo 10000.

13.8 Mover

Parámetros
ARRAY Input VARIANT Array en el que se efectúa la lec
tura.
INDEX Input DINT Elemento del array que se lee.
Este dato puede ser una constan
te o una variable.
OUT Output DINT Valor que se lee y se emite.
ERROR Output BOOL Información de error:
El parámetro ERROR se activa
cuando se produce un error du
rante el procesamiento de la ins
trucción.
Parámetro ARRAY
Además de la interconexión directa con un array dentro de un DB global de seguridad, esta
entrada también puede interconectarse con un parámetro INOUT del tipo de datos ARRAY[*]
of DINT. Esto permite desacoplar datos y lógica del programa para, p. ej., crear una función
de librería sin que exista una conexión con un bloque de datos dedicado.
Parámetro ERROR
La tabla siguiente muestra el significado de los valores del parámetro ERROR:
Valor Descripción
FALSE Sin errores.
TRUE El valor del parámetro INDEX está fuera de los límites del ARRAY.
sión
1.0 — — x1

13.8 Mover

Comportamiento en caso de error

Si el valor de la entrada INDEX está fuera de los límites del array, se establece la salida ERROR
en 1 y, en la salida OUT, se emite el valor del elemento con índice = 0, independientemente
del valor transferido que figure en la entrada INDEX.
Por lo tanto, establezca el valor del elemento con índice = 0 como valor sustitutivo de
seguridad.
Ejemplo

concretos:
ARRAY "Global_DB".Array El operando "Global_DB".Array es un ARRAY del tipo de datos Array[0..10]
of DINT.
INDEX #Tag_Index 2
OUT #TagOut_Value Valor del elemento en la posición Array[2]
ERROR #TagError_Value False
La instrucción "Reads value from an F-array DINT (Leer valor de array F DINT)" se ejecuta
siempre, independientemente del estado lógico en la entrada de habilitación EN.
El contenido del 2.º elemento del operando "Global_DB.Array" se emite en la salida
"#TagOut_Value".

13.8 Mover
13.8.4 WR_FDB: Escribir valor indirectamente en un DB F (STEP 7 Safety Advanced

V18) (S7-300, S7-400)
Descripción
Esta instrucción escribe el valor indicado en la entrada IN en la variable mediante INI_ADDR y
OFFSET en un DB F.
La dirección de la variable direccionada mediante INI_ADDR y OFFSET debe encontrarse en el
área de direcciones definida por las direcciones INI_ADDR y END_ADDR.
Compruebe que se cumpla esta condición si la CPU F ha pasado a STOP con el evento de
diagnóstico con ID 75E2.
Mediante la entrada INI_ADDR se transfiere la dirección inicial del área de un DB F en la que
debe escribirse el valor de la entrada IN. Mediante la entrada OFFSET se transfiere el offset
respectivo de dicha área.
Las direcciones transferidas en la entrada INI_ADDR o END_ADDR deben apuntar a una
variable del tipo de datos seleccionado en un DB F. Entre las direcciones INI_ADDR y
END_ADDR, solamente debe haber variables del tipo de datos seleccionado. La dirección
INI_ADDR debe ser menor que la dirección END_ADDR.
Las direcciones INI_ADDR y END_ADDR deben transferirse completas como "DBx".DBWy o en
su representación simbólica, tal como se muestra en el ejemplo siguiente. No se permiten
transferencias de ningún otro modo.
Parámetros
IN Input INT, DINT Valor que se escribe en el DB F
INI_ADDR Input POINTER Dirección inicial del área en un DB F
END_ADDR Input POINTER Dirección final del área en un DB F
OFFSET Input INT Offset
de la instrucción.
Ejemplos de parametrización de INI_ADDR, END_ADDR y OFFS
Nombre Tipo de da Valor de arran Comentario

tos que
Static
VAR_BOOL10 BOOL false

13.8 Mover
Nombre Tipo de da Valor de arran Comentario

tos que
VAR_TIME10 TIME T#0MS
VAR_INT10 INT 0 <- INI_ADDR = "F-DB_1".VAR_INT10 Ejemplo 1
VAR_INT11 INT 0
VAR_INT12 INT 0
VAR_INT13 INT 0 <- OFFSET = 3
VAR_INT14 INT 0
VAR_INT15 INT 0 <- END_ADDR = "F-DB_1".VAR_INT15
VAR_INT21 INT 0
VAR_INT22 INT 0
VAR_INT23 INT 0 <- END_ADDR = "F-DB_1".VAR_INT23
VAR_INT31 INT 0 <- OFFSET = 1
VAR_INT32 INT 0
VAR_INT33 INT 0
VAR_INT34 INT 0 <- END_ADDR = "F-DB".VAR_INT34
VAR_DINT10 DINT 0 <- INI_ADDR = "F-DB_1".VAR_DINT10 Ejemplo 4
VAR_DINT11 DINT 0
VAR_DINT12 DINT 0 <- OFFSET = 2
VAR_DINT13 DINT 0 <- END_ADDR = "F-DB_1".VAR_DINT13
Ejemplo

13.8 Mover
13.8.5 RD_FDB: Leer valor indirectamente en un DB F (STEP 7 Safety Advanced

V18) (S7-300, S7-400)
Descripción
La instrucción "Read value indirectly from an F-DB (Leer valor indirectamente en un DB F)" lee
la variable direccionada mediante INI_ADDR y OFFSET en un DB F y la pone a disposición en la
salida OUT.
La dirección de la variable direccionada mediante INI_ADDR y OFFSET debe encontrarse en el
área de direcciones definida por las direcciones INI_ADDR y END_ADDR.
Compruebe que se cumpla esta condición si la CPU F ha pasado a STOP con el evento de
diagnóstico con ID 75E2.
Mediante la entrada INI_ADDR se transfiere la dirección inicial del área de un DB F en la que
deba leerse la variable. Mediante la entrada OFFSET se transfiere el offset respectivo de dicha
área.
Las direcciones transferidas en la entrada INI_ADDR o END_ADDR deben apuntar a una
variable del tipo de datos seleccionado en un DB F. Entre las direcciones INI_ADDR y
END_ADDR, solamente debe haber variables del tipo de datos seleccionado. La dirección
INI_ADDR debe ser menor que la dirección END_ADDR.
Las direcciones INI_ADDR y END_ADDR deben transferirse completas como "DBx".DBWy o en
su representación simbólica. No se permiten transferencias de ningún otro modo. Encontrará
ejemplos de parametrización de INI_ADDR, END_ADDR y OFFSET en WR_FDB: Escribir valor
indirectamente en un DB F (STEP 7 Safety Advanced V18) (S7-300, S7-400) (Página 529).
Parámetros
INI_ADDR Input POINTER Dirección inicial del área en un DB F
END_ADDR Input POINTER Dirección final del área en un DB F
OFFSET Input INT Offset
OUT Output INT, DINT Valor que se lee en el DB F

13.9 Conversión
de la instrucción.
Ejemplo
13.9 Conversión
13.9.1 CONVERT: Convertir valor (STEP 7 Safety V18)
Descripción
La instrucción "Convert value (Convertir valor)" lee el contenido del parámetro IN y lo
convierte conforme a los tipos de datos seleccionados en el cuadro de instrucción. El valor
convertido se emite en la salida OUT.

13.9 Conversión
No es posible interconectar la entrada de habilitación "EN". Por lo tanto, la instrucción se

ejecuta siempre (independientemente del estado lógico en la entrada de habilitación "EN").
La salida de habilitación "ENO" solo puede y debe interconectarse en caso de conversión del
tipo de datos "DINT" a "INT".
NOTA
Para una conversión del tipo de datos "DINT" a "INT", la salida de habilitación ENO debe
interconectarse y así programarse una detección de rebase por exceso.
• Si el valor de la entrada está fuera del rango INT, ENO devuelve 0.
Parámetros
ENO Output BOOL Salida de habilitación
IN Input INT, DINT Valor que se convierte.
OUT Output INT, DINT Resultado de la conversión
En las listas desplegables "<???>" del cuadro de instrucción, pueden seleccionarse los tipos de
datos de la instrucción. Se soportan las conversiones de "INT a DINT" y de "DINT a INT".
Ejemplo
El siguiente ejemplo ilustra el funcionamiento de la instrucción "Convert value "DINT to INT"
(Convertir valor "DINT a INT")" para CPU F S7-1200/1500:
La instrucción se ejecuta siempre, independientemente del estado lógico de la entrada de

habilitación EN.

13.9 Conversión
El valor del operando "TagIn_Value" se convierte a un número entero (16 bits), y el resultado
se guarda en el operando ""F_DB_1".TagOut_Value".
Si no se produce ningún rebase al ejecutar la instrucción "Convert value "DINT to INT"
(Convertir valor "DINT a INT")", la salida de habilitación ENO tiene el estado lógico "1", y se
activa el operando TagOut.
El estado lógico de la salida de habilitación ENO también se puede guardar en un DB (F) y
luego evaluar de manera centralizada si se ha producido algún rebase en todas las
13.9.2 BO_W: Convertir 16 datos del tipo BOOL a un dato del tipo WORD (STEP 7
Safety V18)
Descripción
La instrucción "Convert 16 data elements of data type BOOL to a data element of data type
WORD (Convertir 16 datos del tipo BOOL a un dato del tipo WORD)" convierte los 16 valores
de las entradas IN0 a IN15 del tipo de datos BOOL a un valor del tipo de datos WORD y lo
pone a disposición en la salida OUT. La conversión tiene lugar de la siguiente forma: el i-
ésimo bit del valor WORD se establece en 0 (o 1) cuando el valor de la entrada INi = 0 (o 1).
Parámetros
IN0 Input BOOL Bit 0 del valor WORD
... ...
OUT Output WORD Valor WORD formado por IN0 a IN15

13.9 Conversión
sión
1.1 o — o Estas versiones son funcionalmente idénticas a la versión 1.0.
1.2 x — o
1.3 x o o
1.4 x x x
2.0 x x1 x2
Ejemplo

13.9 Conversión

concretos:

IN0 TagValue_0 FALSE
... ...
IN14 TagValue_14 TRUE
IN15 TagValue_15 TRUE
OUT "F_DB_1".Result W#16#C000
Los valores del operando "TagValue_0" a "TagValue_15" se agrupan en un valor del tipo de
datos WORD y se asignan al operando ""F_DB_1".TagResult".
13.9.3 W_BO: Convertir dato del tipo WORD a 16 datos del tipo BOOL (STEP 7
Safety V18)
Descripción
Esta instrucción convierte el valor de la entrada IN del tipo de datos WORD a 16 valores del
tipo de datos BOOL y los pone a disposición en las salidas OUT0 a OUT15. La conversión tiene
lugar de la siguiente forma: La salida OUTi se establece en 0 (o 1) cuando el i-ésimo bit del
valor WORD es 0 (o 1).

13.9 Conversión
Parámetros
IN Input WORD Valor WORD
OUT0 Output BOOL Bit 0 del valor WORD
... ...
sión
1.2 x — o
1.3 x o o
1.4 x x x
2.0 x x1 x2

13.9 Conversión
Ejemplo

concretos:
Parámetros Operando Valor

IN "F_DB_1".TagValue W#16#C000
OUT0 TagOUT_0 FALSE
OUT1 TagOUT_1 FALSE
... ...

13.9 Conversión
Parámetros Operando Valor

OUT13 TagOUT_13 FALSE
OUT14 TagOUT_14 TRUE
OUT15 TagOUT_15 TRUE
El valor del operando ""F_DB_1".TagValue" del tipo de datos WORD se convierte a los 16
valores "TagOUT_0" a "TagOUT_15" del tipo de datos BOOL.
13.9.4 SCALE: Escalar valor (STEP 7 Safety V18)
Descripción
Esta instrucción escala el valor de la entrada IN en unidades físicas entre el límite inferior de la
entrada LO_LIM y el límite superior de la entrada HI_LIM. Se presupone que el valor de la
entrada IN está entre 0 y 27648. El resultado del escalado se proporciona en la salida OUT.
La instrucción utiliza la siguiente ecuación:
OUT = [ IN × (HI_LIM – LO_LIM) ] / 27648 + LO_LIM
Mientras el valor de la entrada IN sea mayor que 27648, la salida OUT se vinculará a HI_LIM y
se establecerá OUT_HI en 1.
Mientras el valor de la entrada IN sea menor que 0, la salida OUT se vinculará a LO_LIM y se
establecerá OUT_LO en 1.
Para escalar inversamente, debe parametrizarse LO_LIM > HI_LIM. En la escala inversa, el
valor de la salida OUT será menor cuanto mayor sea el valor de la entrada IN.
A cada llamada de la instrucción "Scale (Escalar valor)", debe asignársele un área de datos en
la que guardar los datos de la instrucción. Para ello, al insertar la instrucción en el programa,
se abre automáticamente el cuadro de diálogo "Call options (Opciones de llamada)", en el que
puede crearse un bloque de datos (instancia individual) (p. ej., SCALE_DB_1) o una
multiinstancia (p. ej., SCALE_Instance_1) para la instrucción "Scale (Escalar valor)". Una vez
Parámetros
IN Input INT Valor de entrada que debe escalarse en unidades físi
cas
HI_LIM Input INT Límite superior del rango de valores de OUT
LO_LIM Input INT Límite inferior del rango de valores de OUT
OUT Output INT Resultado de escalar
OUT_HI Output BOOL 1 = valor de entrada >27648: OUT = HI_LIM
OUT_LO Output BOOL 1 = valor de entrada <0: OUT = LO_LIM

13.9 Conversión
sión
1.2 x x x
Comportamiento en caso de rebase por exceso o defecto de valores analógicos y salida de

valores sustitutivos
NOTA
Si se utilizan entradas de la MIPE de un SM 336; AI 6 x 13Bit o
SM 336; F-AI 6 x 0/4 ... 20 mA HART como valores de entrada, debe tenerse en cuenta que el
sistema F detecta los rebases por exceso o defecto de un canal de este SM F como errores de
periferia F o de canal. En la MIPE del programa de seguridad, en lugar de 7FFFH (para rebase
por exceso) o 8000H (para rebase por defecto), se emite el valor sustitutivo 0.
Si, en este caso, deben emitirse otros valores sustitutivos, deberá evaluarse la señal QBAD de
la periferia F asociada o la señal QBAD_I_xx/la información de calidad del canal respectivo.
Si el valor de la MIPE del SM F está dentro del rango de saturación por exceso o defecto, pero
es >27648 o <0, también se puede derivar a la salida de un valor sustitutivo individual
evaluando las salidas OUT_HI o OUT_LO.
Ejemplo

13.9 Conversión
Si el operando "TagIn_Value" = 20000, para ""F_DB_1".TagOut_Value" se obtiene 361.
13.9.5 SCALE_D: Escalar valor al tipo de datos DINT (STEP 7 Safety V18) (S7-1200,
S7-1500)
Descripción
Esta instrucción escala el valor de la entrada IN en unidades físicas entre el límite inferior de la
entrada LO_LIM y el límite superior de la entrada HI_LIM. Se presupone que el valor de la
entrada IN está entre 0 y 27648. El resultado del escalado se proporciona en la salida OUT.
La instrucción utiliza la siguiente ecuación:
OUT = [ IN × (HI_LIM – LO_LIM) ] / 27648 + LO_LIM
Mientras el valor de la entrada IN sea mayor que 27648, la salida OUT se vinculará a HI_LIM y
se establecerá OUT_HI en 1.
Mientras el valor de la entrada IN sea menor que 0, la salida OUT se vinculará a LO_LIM y se
establecerá OUT_LO en 1.
Para escalar inversamente, debe parametrizarse LO_LIM > HI_LIM. En la escala inversa, el
valor de la salida OUT será menor cuanto mayor sea el valor de la entrada IN.
A cada llamada de la instrucción "Scale to data type DINT (Escalar valor al tipo de datos
DINT)", debe asignársele un área de datos en la que guardar los datos de la instrucción. Para
ello, al insertar la instrucción en el programa, se abre automáticamente el cuadro de diálogo
"Call options (Opciones de llamada)", en el que puede crearse un bloque de datos (instancia
individual) (p. ej., SCALE_D_DB_1) o una multiinstancia (p. ej., SCALE_D_Instance_1) para la
instrucción "Scale to data type DINT (Escalar valor al tipo de datos DINT)". Una vez creado, el
nuevo bloque de datos aparece en la carpeta "STEP 7 Safety" del árbol del proyecto, en
Parámetros
IN Input INT Valor de entrada que debe escalarse en unidades físi
cas
HI_LIM Input DINT Límite superior del rango de valores de OUT

13.9 Conversión

LO_LIM Input DINT Límite inferior del rango de valores de OUT
OUT Output DINT Resultado de escalar
OUT_HI Output BOOL 1 = valor de entrada >27648: OUT = HI_LIM
OUT_LO Output BOOL 1 = valor de entrada <0: OUT = LO_LIM
sión
2.0 — x1 x2
Comportamiento en caso de rebase por exceso o defecto de valores analógicos y salida de

valores sustitutivos
NOTA
Si se utilizan entradas de la MIPE de un SM 336; AI 6 x 13Bit o
SM 336; F-AI 6 x 0/4 ... 20 mA HART como valores de entrada, debe tenerse en cuenta que el
sistema F detecta los rebases por exceso o defecto de un canal de este SM F como errores de
periferia F o de canal. En la MIPE del programa de seguridad, en lugar de 7FFFH (para rebase
por exceso) o 8000H (para rebase por defecto), se emite el valor sustitutivo 0.
Si, en este caso, deben emitirse otros valores sustitutivos, deberá evaluarse la señal QBAD de
la periferia F asociada o la señal QBAD_I_xx/la información de calidad del canal respectivo.
Si el valor de la MIPE del SM F está dentro del rango de saturación por exceso o defecto, pero
es >27648 o <0, también se puede derivar a la salida de un valor sustitutivo individual
evaluando las salidas OUT_HI o OUT_LO.

13.10 Control del programa
Ejemplo
Si el operando "TagIn_Value" = 20000, para ""F_DB_1".TagOut_Value" se obtiene 72337.
13.10.1 JMP: Saltar si RLO = 1 (STEP 7 Safety V18)
Descripción
La instrucción "Jump if RLO = 1 (Saltar si RLO = 1)" permite interrumpir la ejecución lineal del
programa y continuar en otro segmento. El segmento de destino debe marcarse con una
etiqueta (Página 547) (LABEL). El nombre de la etiqueta se indica en el comodín ubicado
encima de la instrucción.
La etiqueta indicada debe encontrarse en el mismo bloque en el que se ejecuta la instrucción.
Su nombre no puede utilizarse más de una vez en el bloque.
Si el resultado lógico (RLO) en la entrada de la instrucción es "1" o la entrada no está
conectada, se salta al segmento marcado con la etiqueta indicada. El salto puede realizarse a
números de segmento mayores o menores.
Si el resultado lógico (RLO) en la entrada de la instrucción es "0", el programa sigue
ejecutándose en el segmento siguiente.
NOTA
(S7-1200, S7-1500)
Si el destino del salto (etiqueta) de una instrucción "JMP" o "JMPN" está por encima de la
respectiva instrucción "JMP" o "JMPN" (salto hacia atrás), no debe insertarse ninguna
instrucción más entre medio para controlar el programa (JMP, JMPN, RET, etiqueta).
Excepción: Está permitido insertar una instrucción "JMP" o "JMPN" entre medio si el
correspondiente destino del salto también se inserta entre medio y por debajo de la
respectiva instrucción "JMP" o "JMPN" (salto hacia delante).
Si se omite esta regla, pueden producirse errores de compilación o un STOP de la CPU F.

NOTA
Entre una instrucción JMP o JMPN y el correspondiente destino del salto (etiqueta), no debe
insertarse ninguna instrucción SENDDP o SENDS7.
Ejemplo

Si el operando "TagIn_1" devuelve el estado lógico "1", se ejecuta la instrucción "Jump if RLO =
1 (Saltar si RLO = 1)". Con ello, se interrumpe la ejecución lineal del programa y se continúa
en el segmento 3, marcado con la etiqueta CAS1. Si la entrada "TagIn_3" devuelve el estado
lógico "1", la salida "TagOut_3" se restablece.
13.10.2 JMPN: Saltar si RLO = 0 (STEP 7 Safety V18)
Descripción
La instrucción "Jump if RLO = 0 (Saltar si RLO = 0)" permite interrumpir la ejecución lineal del
programa y continuar en otro segmento cuando el resultado lógico en la entrada de la
instrucción sea "0". El segmento de destino debe marcarse con una etiqueta (Página 547)
(LABEL). El nombre de la etiqueta se indica en el comodín ubicado encima de la instrucción.
La etiqueta indicada debe encontrarse en el mismo bloque en el que se ejecuta la instrucción.
Su nombre no puede utilizarse más de una vez en el bloque.
Si el resultado lógico (RLO) en la entrada de la instrucción es "0", se salta al segmento
marcado con la etiqueta indicada. El salto puede realizarse a números de segmento mayores
o menores.
Si el resultado lógico (RLO) en la entrada de la instrucción es "1", el programa sigue
ejecutándose en el segmento siguiente.
NOTA
(S7-1200, S7-1500)
Si el destino del salto (etiqueta) de una instrucción "JMP" o "JMPN" está por encima de la
respectiva instrucción "JMP" o "JMPN" (salto hacia atrás), no debe insertarse ninguna
instrucción más entre medio para controlar el programa (JMP, JMPN, RET, etiqueta).
Excepción: Está permitido insertar una instrucción "JMP" o "JMPN" entre medio si el
correspondiente destino del salto también se inserta entre medio y por debajo de la
respectiva instrucción "JMP" o "JMPN" (salto hacia delante).
Si se omite esta regla, pueden producirse errores de compilación o un STOP de la CPU F.
NOTA
Entre una instrucción JMP o JMPN y el correspondiente destino del salto (etiqueta), no debe
insertarse ninguna instrucción SENDDP o SENDS7.

Ejemplo

13.10.3 LABEL: Etiqueta (STEP 7 Safety V18)
Descripción
Una etiqueta permite marcar un segmento de destino en el que deba continuar la ejecución
del programa al realizar un salto.
La etiqueta y la instrucción en la que figura la etiqueta como destino de salto deben
encontrarse en el mismo bloque. El nombre de una etiqueta debe asignarse una única vez
dentro del bloque.
En un segmento, no puede colocarse más de una etiqueta. A la etiqueta se puede saltar
desde varias posiciones.
Ejemplo

Consulte
también
JMP: Saltar si RLO = 1 (STEP 7 Safety V18) (Página 543)
JMPN: Saltar si RLO = 0 (STEP 7 Safety V18) (Página 545)
RET: Salir (STEP 7 Safety V18) (Página 548)
13.10.4 RET: Salir (STEP 7 Safety V18)
Descripción
La instrucción "Return (Retroceder)" permite finalizar la ejecución de un bloque.
Si el resultado lógico (RLO) en la entrada de la instrucción "Return (Salir)" es "1" o la entrada
del cuadro no está interconectada en FUP en la CPU F S7-1200/1500, se finaliza la ejecución
del programa en el bloque llamado en ese momento y se continúa en el bloque invocante
(p. ej., en el bloque Main-Safety) tras la función de llamada. Si el RLO en la entrada de la
instrucción "Return (Retroceder)" es "0", no se ejecuta la instrucción. La ejecución del
programa continúa en el segmento siguiente al bloque llamado.
La influencia del estado de la función de llamada (ENO) es irrelevante, ya que no es posible
interconectar la salida de habilitación "ENO".
NOTA
(S7-300, S7-400) En el bloque Main-Safety, no está permitido programar instrucciones RET.

Ejemplo
Cuando el operando "TagIn" devuelve el estado lógico "1", se ejecuta la instrucción

"Retroceder (Salir)". La ejecución del programa finaliza en el bloque llamado y continúa en el
bloque invocante.
Consulte
también
JMP: Saltar si RLO = 1 (STEP 7 Safety V18) (Página 543)
JMPN: Saltar si RLO = 0 (STEP 7 Safety V18) (Página 545)
LABEL: Etiqueta (STEP 7 Safety V18) (Página 547)
13.10.5 OPN: Abrir bloque de datos global (STEP 7 Safety Advanced V18) (S7-300,
S7-400)
Descripción
La instrucción "Open global data block (Abrir bloque de datos global)" permite abrir un bloque
de datos (DB). El número del bloque de datos se transfiere al registro del DB. Los comandos
DB siguientes acceden a los bloques respectivos en función del contenido del registro.
NOTA
Al utilizar la instrucción "Open global data block (Abrir bloque de datos global)", tenga en
cuenta que, tras llamadas al FB F/FC F y "accesos completos a DB", puede haber cambiado el
contenido del registro del DB, por lo que ya no puede garantizarse que el bloque de datos
abierto por última vez con "Open global data block (Abrir bloque de datos global)" siga
estando abierto.
Por lo tanto, para evitar errores al acceder a datos del registro del DB, debe recurrirse al
siguiente método para direccionar datos:
• Utilizar direccionamiento simbólico.
• Emplear exclusivamente accesos completos a DB.
Si, pese a ello, desea utilizar la instrucción "Open global data block (Abrir bloque de datos
global)", tras llamadas al FB F/FC F y "accesos DB completos", el propio usuario deberá
ocuparse de restablecer el registro del DB volviendo a ejecutar "Open global data block (Abrir
bloque de datos global)", puesto que, de lo contrario, puede tener lugar un comportamiento
anómalo.

Parámetros
<Bloque de datos> Input BLOCK_DB Bloque de datos que se abre

El primer acceso a datos de un bloque de datos en un FB F/FC F debe ser un "acceso completo
al DB", o bien debe ejecutarse antes la instrucción "Open global data block (Abrir bloque de
datos global)". Esto se aplica también al primer acceso a datos de un bloque de datos después
de una etiqueta.
Encontrará un ejemplo de "acceso completo al DB" y de "acceso incompleto al DB" en
Limitaciones en los lenguajes de programación FUP/KOP (Página 112).
Acceso a DB de instancia
También puede utilizar un acceso completo a los DB de instancia de FB F, p. ej., para transferir
parámetros de bloque. No es posible acceder a datos locales estáticos en instancias
individuales o multiinstancias de otros FB F.
Tenga en cuenta que el acceso a DB de instancia de FB F no llamados en el programa de
seguridad puede provocar un STOP de la CPU F.
Ejemplo

13.11 Operaciones lógicas con palabras
En el segmento 1, se llama el bloque de datos "Motor_DB". El número del bloque de datos se

transfiere al registro del DB. En el segmento 2, se consulta el operando "DBX0.0". El estado
lógico del operando "DBX0.0" se asigna al operando "Tag_Output".
13.11.1 AND: Operación lógica Y (STEP 7 Safety V18)
Descripción
La instrucción "AND logic operation (Operación lógica Y)" permite combinar el valor en la
entrada IN1 con el valor en la entrada IN2 bit por bit mediante la operación lógica Y y
consultar el resultado en la salida OUT.
Al ejecutar la instrucción, el bit 0 del valor en la entrada IN1 se combina con el bit 0 del valor
en la entrada IN2 mediante la operación lógica Y. El resultado se guarda en el bit 0 de la
salida OUT. La misma operación lógica se efectúa para los demás bits de los valores indicados.
Un bit de resultado solamente tiene el estado lógico "1" si los dos bits que deben combinarse
también devuelven el estado lógico "1". Si uno de los dos bits que deben combinarse tiene el
estado lógico "0", se restablece el respectivo bit de resultado.
Parámetros
IN1 Input WORD Primer valor de la operación lógica
IN2 Input WORD Segundo valor de la operación lógica
OUT Output WORD Resultado de la instrucción

Ejemplo
IN1 "Tag_Value1" = 01010101 01010101

IN2 "Tag_Value2" = 00000000 00001111
OUT "F_DB_1"."Tag_Result" = 00000000 00000101

habilitación "EN". El valor del operando "Tag_Value1" se combina con el valor del operando
"Tag_Value2" mediante la operación lógica Y. El resultado se obtiene bit por bit y se emite en
el operando ""F_DB_1".Tag_Result".
13.11.2 OR: Operación lógica O (STEP 7 Safety V18)
Descripción
La instrucción "OR logic operation (Operación lógica O)" permite combinar el valor en la
entrada IN1 con el valor en la entrada IN2 bit por bit mediante la operación lógica O y
consultar el resultado en la salida OUT.
Al ejecutar la instrucción, el bit 0 del valor en la entrada IN1 se combina con el bit 0 del valor
en la entrada IN2 mediante la operación lógica O. El resultado se guarda en el bit 0 de la
salida OUT. La misma operación lógica se efectúa para todos los bits de la variable indicada.
Un bit de resultado tiene el estado lógico "1" si al menos uno de los dos bits que deben
combinarse devuelve el estado lógico "1". Si los dos bits que deben combinarse tienen el
estado lógico "0", se restablece el respectivo bit de resultado.

Parámetros
Ejemplo
IN1 "Tag_Value1" = 01010101 01010101

IN2 "Tag_Value2" = 00000000 00001111

"Tag_Value2" mediante la operación lógica O. El resultado se obtiene bit por bit y se emite en
el operando ""F_DB_1".Tag_Result".
13.11.3 XOR: Operación lógica O EXCLUSIVA (STEP 7 Safety V18)
Descripción
La instrucción "EXCLUSIVE OR logic operation (Operación lógica O EXCLUSIVA)" permite
combinar el valor en la entrada IN1 con el valor en la entrada IN2 bit por bit mediante la
operación lógica O EXCLUSIVA y consultar el resultado en la salida OUT.
Al ejecutar la instrucción, se combina el bit 0 del valor en la entrada IN1 con el bit 0 del valor
en la entrada IN2 mediante la operación lógica O EXCLUSIVA. El resultado se guarda en el bit
0 de la salida OUT. La misma operación lógica se efectúa para los demás bits del valor
indicado.
Un bit de resultado tiene el estado lógico "1" si uno de los dos bits que deben combinarse
devuelve el estado lógico "1". Si los dos bits que deben combinarse tienen el mismo estado
lógico, ya sea "1" o "0", se restablece el respectivo bit de resultado.


Parámetros
Ejemplo
IN1 "Tag_Value1" = 01010101 01010101

IN2 "Tag_Value2" = 00000000 00001111

"Tag_Value2" mediante la operación lógica O EXCLUSIVA. El resultado se obtiene bit por bit y
se emite en el operando ""F_DB_1".Tag_Result".

13.12 Desplazamiento y rotación
13.12.1 SHR: Desplazar a la derecha (STEP 7 Safety V18)
Descripción
La instrucción "Shift right (Desplazar a la derecha)" permite desplazar el contenido del
operando en la entrada IN bit por bit a la derecha y consultar el resultado en la salida OUT.
Con la entrada N, se especifica el número de posiciones de bit que se desplaza el valor
indicado.
Si el valor en la entrada N es "0", el valor en la entrada IN se copia sin cambios en el operando
de la salida OUT.
Si el valor en la entrada N es mayor que el número de posiciones de bit disponibles, el valor
del operando en la entrada IN se desplaza las posiciones de bit disponibles a la derecha.
Las posiciones de bit del área izquierda del operando que quedan vacantes tras el
desplazamiento se rellenan con ceros.
La figura siguiente muestra cómo se desplaza el contenido de un operando del tipo de datos
WORD 6 posiciones de bit a la derecha:

,1
1 SRVLFLRQHV
287
/DVSRVLFLRQHV (VWRVVHLVELWVVH
YDFDQWHVVHUHOOHQDQ SLHUGHQ
FRQFHURV

NOTA
S7-300/400:
Solamente se evalúa el byte bajo (Low Byte) de la entrada N.
S7-1200/1500:
Si el valor en la entrada N es <0, la salida OUT se restablece a 0.

Parámetros
IN Input WORD Valor que se desplaza
N Input INT Número de posiciones de bit que se desplaza el valor
sión
1.2 x — o
1.3 x o o
1.4 x x x
2.0 x x1 x2
Ejemplo


concretos:

IN "F_DB_1".TagIn_Value 0011 1111 1010 1111
N Tag_Number 3
OUT "F_DB_1".TagOut_Value 0000 0111 1111 0101

habilitación "EN". El contenido del operando ""F_DB_1".TagIn_Value" se desplaza tres
posiciones de bit a la derecha. El resultado se emite en la salida ""F_DB_1".TagOut_Value".
13.12.2 SHL: Desplazar a la izquierda (STEP 7 Safety V18)
Descripción
La instrucción "Shift left (Desplazar a la izquierda)" permite desplazar el contenido del
operando en la entrada IN bit por bit a la izquierda y consultar el resultado en la salida OUT.
Con la entrada N, se especifica el número de posiciones de bit que se desplaza el valor
indicado.
Si el valor en la entrada N es "0", el valor en la entrada IN se copia sin cambios en el operando
de la salida OUT.
Si el valor en la entrada N es mayor que el número de posiciones de bit disponibles, el valor
del operando en la entrada IN se desplaza las posiciones de bit disponibles a la izquierda.
Las posiciones de bit del área derecha del operando que quedan vacantes tras el
desplazamiento se rellenan con ceros.
La figura siguiente muestra cómo se desplaza el contenido de un operando del tipo de datos
WORD 6 posiciones de bit a la izquierda:

,1
1 SRVLFLRQHV
287
(VWRVVHLVELWVVH /DVSRVLFLRQHV
SLHUGHQ YDFDQWHVVHUHOOHQDQ
FRQFHURV


NOTA
S7-300/400:
Solamente se evalúa el byte bajo (Low Byte) de la entrada N.
S7-1200/1500:
Si el valor en la entrada N es <0, la salida OUT se restablece a 0.
Parámetros
IN Input WORD Valor que se desplaza
N Input INT Número de posiciones de bit que se desplaza el valor
sión
1.2 x — o
1.3 x o o
1.4 x x x
2.0 x x1 x2

13.13 Manejo
Ejemplo

concretos:

IN "F_DB_1".TagIn_Value 0011 1111 1010 1111
N Tag_Number 4
OUT "F_DB_1".TagOut_Value 1111 1010 1111 0000

habilitación "EN". El contenido del operando ""F_DB_1".TagIn_Value" se desplaza cuatro
posiciones de bit a la izquierda. El resultado se emite en la salida ""F_DB_1".TagOut_Value".
13.13 Manejo
13.13.1 ACK_OP: Acuse seguro (STEP 7 Safety V18)
Descripción (S7-300, S7-400)

La instrucción "Fail-safe acknowledgment (Acuse seguro)" permite el acuse seguro desde un
sistema de manejo y visualización. De este modo, puede controlarse, p. ej., la reintegración
de periferia F desde el sistema de manejo y visualización. Un acuse consta de dos pasos:
• Cambiar la entrada/salida IN al valor 6 durante un ciclo exacto
• Cambiar la entrada/salida IN al valor 9 durante un ciclo exacto dentro del minuto siguiente
La instrucción evalúa si, tras cambiar la entrada/salida IN al valor 6, se produce un cambio al
valor 9 al cabo de 1 segundo como mínimo o de un minuto como máximo. En tal caso, la
salida OUT (salida de acuse) se establece en 1 durante un ciclo.
Si se introduce un valor no válido o si el cambio al valor 9 se produce antes del primer
segundo, o bien transcurre un minuto sin que se efectúe, la entrada/salida IN se restablece a
0, por lo que deberán volver a realizarse los dos pasos anteriores.
Durante el tiempo en que debe realizarse el cambio del valor 6 al valor 9, la salida Q se
establece en 1. De lo contrario, Q tiene el valor 0.

13.13 Manejo
A cada llamada de la instrucción "Fail-safe acknowledgment (Acuse seguro)", debe

individual) (p. ej., ACK_OP_DB_1) o una multiinstancia (p. ej., ACK_OP_Instance_1) para la
instrucción "Fail-safe acknowledgment (Acuse seguro)". Una vez creado, el nuevo bloque de
NOTA
Para cada llamada de ACK_OP, debe utilizarse un área de datos distinta. Cada llamada
solamente debe ejecutarse en un ciclo del grupo de ejecución F.
Si se omite esta regla, ya no podrá garantizarse el comportamiento descrito en "Descripción".

ADVERTENCIA
ADVERTENCIA

• Opcionalmente:

13.13 Manejo
la subred.
NOTA
La salida Q puede leerse con sistemas de manejo y visualización o bien, dado el caso,
evaluarse en el programa de usuario estándar.
Es posible proporcionar a la entrada/salida IN una palabra de marcas o una DBW de un DB del
programa de usuario estándar propia para cada llamada de la instrucción ACK_OP.
NOTA
La configuración del sistema de manejo y visualización no afecta a la firma colectiva F.
ADVERTENCIA

(parametrizado)
(parametrizado)
Descripción (S7-1200, S7-1500)

La instrucción "Fail-safe acknowledgment (Acuse seguro)" permite el acuse seguro desde un
sistema de manejo y visualización. De este modo, puede controlarse, p. ej., la reintegración
de periferia F desde el sistema de manejo y visualización. Un acuse consta de dos pasos:
• Cambiar la entrada/salida IN al valor 6 durante un ciclo exacto
• Cambiar la entrada/salida IN al valor de la entrada ACK_ID durante un ciclo exacto dentro
del minuto siguiente

13.13 Manejo
La instrucción evalúa si, tras cambiar la entrada/salida IN al valor 6, se produce un cambio al

valor de la entrada ACK_ID al cabo de 1 segundo como mínimo o de un minuto como
máximo. En tal caso, la salida OUT (salida de acuse) se establece en 1 durante un ciclo.
Si se introduce un valor no válido o si el cambio al valor de la entrada ACK_ID se produce
antes del primer segundo, o bien transcurre un minuto sin que se efectúe, la entrada/salida IN
se restablece a 0, por lo que deberán volver a realizarse los dos pasos anteriores.
Durante el tiempo en que debe realizarse el cambio del valor 6 al valor de la entrada ACK_ID,
la salida Q se establece en 1. De lo contrario, Q tiene el valor 0.
A cada llamada de la instrucción "Fail-safe acknowledgment (Acuse seguro)", debe
individual) (p. ej., ACK_OP_DB_1) o una multiinstancia (p. ej., ACK_OP_Instance_1) para la
instrucción "Fail-safe acknowledgment (Acuse seguro)". Una vez creado, el nuevo bloque de
NOTA
Para cada llamada de ACK_OP, debe utilizarse un área de datos distinta. Cada llamada
solamente debe ejecutarse en un ciclo del grupo de ejecución F.
Si se omite esta regla, ya no podrá garantizarse el comportamiento descrito en "Descripción".

ADVERTENCIA

13.13 Manejo
ADVERTENCIA

Alternativa 1:
• El valor del respectivo identificador del acuse (entrada ACK_ID; tipo de datos: INT) puede
elegirse libremente en un rango de 9...30000, pero debe ser único en toda la red* para
todas las instancias de la instrucción ACK_OP.
Se deben proporcionar valores constantes a la entrada ACK_ID al llamar la instrucción. No
están permitidos los accesos directos de lectura y escritura a la variable ACK_ID del DB de
instancia correspondiente desde el programa de seguridad.
Alternativa 2:
• Opcionalmente:
la subred.
NOTA
La salida Q puede leerse con sistemas de manejo y visualización o bien, dado el caso,
evaluarse en el programa de usuario estándar.
Debe proporcionar a la entrada/salida IN una palabra de marcas o una DBW de un DB del
programa de usuario estándar propia para cada llamada de la instrucción ACK_OP.
NOTA
El suministro de la entrada/salida IN de la instrucción ACK_OP y la configuración del sistema
de manejo y visualización no afectan a la firma colectiva F, a la firma colectiva SW F ni a la
firma del bloque que llama la instrucción ACK_OP.
Por ello, las modificaciones en el suministro de la entrada/salida IN o en la configuración del
sistema de manejo y visualización no modifican la firma colectiva F/firma colectiva SW F/firma
del bloque invocante.

13.13 Manejo
ADVERTENCIA

(parametrizado)
(parametrizado)
Parámetros (S7-300, S7-400)

IN InOut INT Variable de entrada del sistema de manejo y visualización
OUT Output BOOL Salida para acuse
Q Output BOOL Estado del tiempo
Parámetros (S7-1200, S7-1500)

ACK_ID Input INT Identificador del acuse (9…30000)
IN InOut INT Variable de entrada del sistema de manejo y visualización
OUT Output BOOL Salida para acuse
Q Output BOOL Estado del tiempo

13.13 Manejo
sión
1.1 x — o Estas versiones son funcionalmente idénticas a la versión 1.0 para CPU F
S7-300/400.
1.2 x o o
En las CPU F S7-1200/1500, debe tenerse en cuenta además la entrada
1.3 x x x ACK_ID.

13.13 Manejo

en la instrucción:

5 ǡ ǡ ǡ
5
5#BTF@ 5#BTF@


Ejemplo
Encontrará un ejemplo de uso de la instrucción en Implementación de un acuse de usuario en
el programa de seguridad de la CPU F de un maestro DP o IO controller (Página 177).
Consulte
también

13.14 Otras instrucciones
13.14.1 KOP
13.14.1.1 ---| |--- OV: Consultar bit de estado OV (STEP 7 Safety Advanced V18) (S7-300,
S7-400)
Descripción
La instrucción "Get status bit OV (Consultar bit de estado OV)" permite detectar si se rebasado
por exceso un rango numérico en la última instrucción aritmética ejecutada.
La instrucción "Get status bit OV (Consultar bit de estado OV)" funciona como un contacto
NA. Si la consulta es satisfactoria, la instrucción devuelve el estado lógico "1". Si la consulta
no es satisfactoria, la instrucción devuelve el estado lógico "0".
La instrucción "Get status bit OV (Consultar bit de estado OV)" debe insertarse en el segmento
siguiente a la instrucción que influye en el OV. Este segmento no debe contener ninguna
etiqueta.
NOTA
Cuando se utiliza la instrucción "Get status bit OV (Consultar bit de estado OV)", el tiempo de
ejecución de la instrucción que influye en el OV se prolonga (ver también el archivo Excel
para calcular el tiempo de reacción
Ejemplo
La instrucción "Add (Sumar)" se ejecuta siempre (independientemente del estado lógico en la

entrada de habilitación EN).


13.14.1.2 ---| / |--- OV: Consultar bit de estado OV negado (STEP 7 Safety Advanced V18)
(S7-300, S7-400)
Descripción
La instrucción "Get negated status bit OV (Consultar bit de estado OV negado)" permite
detectar si se ha rebasado por exceso un rango numérico en la última instrucción aritmética
ejecutada. Esta instrucción solamente está disponible en KOP.
La instrucción "Get negated status bit OV (Consultar bit de estado OV negado)" funciona
como un contacto NC. Si la consulta es satisfactoria, la instrucción devuelve el estado lógico
"0". Si la consulta no es satisfactoria, la instrucción devuelve el estado lógico "1".
La instrucción "Get negated status bit OV (Consultar bit de estado OV negado)" debe
insertarse en el segmento siguiente a la instrucción que influye en el OV. Este segmento no
debe contener ninguna etiqueta.
NOTA
Cuando se utiliza la instrucción "Get negated status bit OV (Consultar bit de estado OV
negado)", el tiempo de ejecución de la instrucción que influye en el OV se prolonga (ver
también el archivo Excel para calcular el tiempo de reacción
Ejemplo
La instrucción "Add (Sumar)" se ejecuta siempre (independientemente del estado lógico en la

entrada de habilitación EN).

Si no se produce ningún rebase al ejecutar la instrucción "Add (Sumar)", el bit de estado OV se

restablece a "0". En el segmento 2, tras consultar el bit de estado OV, se ejecuta la instrucción
13.14.2 FUP
13.14.2.1 OV: Consultar bit de estado OV (STEP 7 Safety Advanced V18) (S7-300, S7-400)
Descripción
La instrucción "Get status bit OV (Consultar bit de estado OV)" permite detectar si se rebasado
por exceso un rango numérico en la última instrucción aritmética ejecutada.
La instrucción "Get status bit OV (Consultar bit de estado OV)" debe insertarse en el segmento
siguiente a la instrucción que influye en el OV. Este segmento no debe contener ninguna
etiqueta.
Si la consulta es satisfactoria, la instrucción devuelve el estado lógico "1". Si la consulta no es
satisfactoria, la instrucción devuelve el estado lógico "0".
La consulta de si el bit de estado OV es "0" se puede programar con la instrucción "Invert RLO
(Invertir RLO)".
NOTA
Cuando se utiliza la instrucción "Get status bit OV (Consultar bit de estado OV)", el tiempo de
ejecución de la instrucción que influye en el OV se prolonga (ver también el archivo Excel
para calcular el tiempo de reacción
Ejemplo

13.15 Comunicación
13.15 Comunicación
13.15.1 PROFIBUS/PROFINET
13.15.1.1 SENDDP y RCVDP: Transmitir y recibir datos vía PROFIBUS DP/PROFINET IO (STEP 7
Safety V18)
Introducción
Las instrucciones SENDDP y RCVDP se ajustan para el envío y la recepción seguros de datos
mediante:
• Comunicación maestro-maestro orientada a la seguridad
• Comunicación maestro-maestro orientada a la seguridad con S7 Distributed Safety
• Comunicación maestro-I-slave orientada a la seguridad
• Comunicación I-slave-I-slave orientada a la seguridad
• Comunicación IO controller-IO controller orientada a la seguridad
• Comunicación IO controller-IO controller orientada a la seguridad con S7 Distributed
Safety
• Comunicación IO controller-I-device orientada a la seguridad
• Comunicación IO controller-I-slave orientada a la seguridad
Descripción
La instrucción SENDDP envía de modo seguro 16 datos del tipo de datos BOOL y 2 datos del
tipo de datos INT o bien un dato del tipo de datos DINT (S7-1200, S7-1500) a otra CPU F
mediante PROFIBUS DP/PROFINET IO. Allí, la respectiva instrucción RCVDP puede recibir los
datos.
A cada llamada de estas instrucciones, debe asignársele un área de datos en la que guardar
los datos de la instrucción. Para ello, al insertar la instrucción en el programa, se abre
crearse un bloque de datos (instancia individual) (p. ej., RCVDP_DB_1) para dichas
instrucciones. Una vez creado, el nuevo bloque de datos aparece en la carpeta "STEP 7 Safety"
del árbol del proyecto, en "Program blocks (Bloques de programa) > System blocks (Bloques
de sistema)". Encontrará más información al respecto en la Ayuda de STEP 7.
En la instrucción SENDDP, se crean los datos que deben enviarse (p. ej., salidas de otros
bloques F/instrucciones) en las entradas SD_BO_xx y SD_I_xx o bien en SD_DI_00.
En la instrucción RCVDP, los datos recibidos están en las salidas RD_BO_xx y RD_I_xx u
opcionalmente en RD_DI_00 para poder procesarlos más adelante con otros bloques F/otras
instrucciones.
(S7-1200, S7-1500) En la entrada DINTMODE de la instrucción SENDDP, se indica si se envían
los datos de las entradas SD_I_00 y SD_I_01 o bien el dato de la entrada SD_DI_00.
En la salida SENDMODE, se proporciona el modo de operación de la CPU F con la instrucción
SENDDP. Si la CPU F con la instrucción SENDDP está con el modo seguro desactivado, la salida
SENDMODE = 1.

13.15 Comunicación
La comunicación entre las CPU F tiene lugar de forma oculta en segundo plano mediante un
protocolo de seguridad específico. Para ello, la relación de comunicación entre una
instrucción SENDDP de una CPU F y una instrucción RCVDP de la otra CPU F debe definirse
especificando un ID de comunicación F en las entradas DP_DP_ID de las instrucciones SENDDP
y RCVDP. Las instrucciones SENDDP y RCVDP asociadas entre sí reciben el mismo valor para
DP_DP_ID.
ADVERTENCIA


13.15 Comunicación
NOTA
Dentro de un programa de seguridad, debe parametrizarse otra dirección inicial (S7-300/400)
u otro identificador HW (S7-1200/1500) para cada llamada de las instrucciones SENDDP y
RCVDP en la entrada LADDR.
Para cada llamada de las instrucciones SENDDP y RCVDP, debe utilizarse un DB de instancia
distinto. No está permitido declarar ni llamar estas instrucciones como multiinstancias.
(S7-300/400) Las entradas de las instrucciones RCVDP y RCVS7 no deben tener ninguna
operación lógica precedente (p. ej., instrucción "AND logic operation (Operación lógica Y)").
No deben proporcionarse, a las entradas de la instrucción RCVDP, salidas de una instrucción
RCVDP o RCVS7 llamada en un segmento anterior por medio de accesos completos al DB.
(S7-1200/1500) Con DINTMODE = 0, no debe evaluarse la salida RD_DI_00, y con DINTMODE
= 1, no deben evaluarse las salidas RD_I_xx de la instrucción RCVDP.
(S7-1200/1500) No deben proporcionarse variables del programa de usuario estándar a las
salidas de las instrucciones SENDDP ni RCVDP. Excepción: salidas RET_DPRD, RET_DPWR y
DIAG.
En el programa de seguridad, no son posibles los accesos completos a DP_DP_ID ni a LADDR.
Para una salida de una instrucción RCVDP, no debe utilizarse ningún parámetro actual que ya
se esté utilizando para una entrada de la misma o de otra instrucción RCVDP o RCVS7.
NOTA
Entre una instrucción JMP o JMPN y el correspondiente destino del salto (etiqueta), no está
permitido insertar ninguna instrucción SENDDP/RCVDP.
Antes de una instrucción SENDDP, no está permitido ninguna instrucción RET.
Parámetros de SENDDP
La tabla siguiente muestra los parámetros de la instrucción SENDDP:
SD_BO_00 Input BOOL Dato de envío BOOL 00
... ...
SD_BO_15 Input BOOL Dato de envío BOOL 15
SD_I_00 Input INT Dato de envío INT 00
SD_I_01 Input INT Dato de envío INT 01
SD_DI_00 Input DINT (S7-1200, S7-1500)
(oculto)
Dato de envío DINT 00

13.15 Comunicación

DINTMODE Input DINT (S7-1200, S7-1500)
(oculto)
0 = se envían SD_I_00 y SD_I_01
1 = se envía SD_DI_00
DP_DP_ID Input INT ID de comunicación F entre SENDDP y RCVDP
TIMEOUT Input TIME Tiempo de vigilancia en ms para la comunicación orientada a la se
guridad (ver también Tiempos de vigilancia y tiempos de reacción
(Página 586))
LADDR Input INT (S7-300, Dirección inicial (S7-300, S7-400) o identificador HW (S7-1200,
S7-400) S7-1500) del área de direcciones/área de transferencia:
HW_SUBMODU • Del acoplador DP/DP en caso de comunicación maestro-maestro
LE (S7-1200, orientada a la seguridad
S7-1500) • En caso de comunicación maestro-I-slave orientada a la seguri
dad
• En caso de comunicación I-slave-I-slave orientada a la seguridad
• Del acoplador PN/PN en caso de comunicación IO controller-IO
controller orientada a la seguridad
• En caso de comunicación IO controller-I-device orientada a la
seguridad
• En caso de comunicación IO controller-I-slave orientada a la se
guridad
ERROR Output BOOL 1 = error de comunicación
SUBS_ON Output BOOL 1 = RCVDP emite valores sustitutivos
RET_DPRD Output WORD Código de error no relacionado con la seguridad RET_VAL de la ins
trucción DPRD_DAT (encontrará la descripción del código de error
en la ayuda de la instrucción DPRD_DAT ("Advanced instructions
(Instrucciones avanzadas) > Distributed I/O (Periferia
descentralizada) > More (Otros)").)
RET_DPWR Output WORD Código de error no relacionado con la seguridad RET_VAL de la ins
trucción DPWR_DAT (encontrará la descripción de los códigos de
error en la ayuda de la instrucción DPWR_DAT ("Advanced
instructions (Instrucciones avanzadas) > Distributed I/O (Periferia
Parámetros de RCVDP:
La tabla siguiente muestra los parámetros de la instrucción RCVDP:
ACK_REI Input BOOL 1 = acuse para reintegrar los datos de envío después de un error de
comunicación
SUBBO_00 Input BOOL Valor sustitutivo para dato recibido BOOL 00
... ...
SUBBO_15 Input BOOL Valor sustitutivo para dato recibido BOOL 15
SUBI_00 Input INT Valor sustitutivo para dato recibido INT 00
SUBI_01 Input INT Valor sustitutivo para dato recibido INT 01

13.15 Comunicación

SUBDI_00 Input DINT (S7-1200, S7-1500)
(oculto)
Valor sustitutivo para dato recibido DINT 00
DP_DP_ID Input INT ID de comunicación F entre SENDDP y RCVDP
TIMEOUT Input TIME Tiempo de vigilancia en ms para la comunicación orientada a la se
guridad (ver también Tiempos de vigilancia y tiempos de reacción
(Página 586))
LADDR Input INT (S7-300, Dirección inicial (S7-300, S7-400) o identificador HW (S7-1200,
S7-400) S7-1500) del área de direcciones/área de transferencia:
HW_SUBMODU • Del acoplador DP/DP en caso de comunicación maestro-maestro
LE (S7-1200, orientada a la seguridad
S7-1500) • En caso de comunicación maestro-I-slave orientada a la seguri
dad
• En caso de comunicación I-slave-I-slave orientada a la seguridad
• Del acoplador PN/PN en caso de comunicación IO controller-IO
controller orientada a la seguridad
• En caso de comunicación IO controller-I-device orientada a la
seguridad
• En caso de comunicación IO controller-I-slave orientada a la se
guridad
SUBS_ON Output BOOL 1 = se emiten valores sustitutivos
ACK_REQ Output BOOL 1 = acuse requerido para reintegrar los datos de envío
SENDMODE Output BOOL 1 = CPU F con instrucción SENDDP en modo seguro desactivado
RD_BO_00 Output BOOL Dato recibido BOOL 00
... ...
RD_BO_15 Output BOOL Dato recibido BOOL 15
RD_I_00 Output INT Dato recibido INT 00
RD_I_01 Output INT Dato recibido INT 01
RD_DI_00 Output DINT (S7-1200, S7-1500)
(oculto)
Dato recibido DINT 00
RET_DPRD Output WORD Código de error no relacionado con la seguridad RET_VAL de la ins
trucción DPRD_DAT (encontrará la descripción de los códigos de
error en la ayuda de la instrucción DPRD_DAT ("Advanced
RET_DPWR Output WORD Código de error no relacionado con la seguridad RET_VAL de la ins
trucción DPWR_DAT (encontrará la descripción de los códigos de
error en la ayuda de la instrucción DPWR_DAT ("Advanced

13.15 Comunicación
Para estas instrucciones hay varias versiones disponibles:
sión
1.2 x — o
1.4 x — x
1.3 x — o S7-300/400: Estas versiones son funcionalmente idénticas a la versión
1.0.
1.5 x x x
S7-1200/1500: En lugar de 2 datos del tipo de datos INT, puede enviarse y
2.0 x x1 x2 recibirse también un dato del tipo DINT. Por lo demás, es funcionalmente
idéntica a la versión 1.0.
3.0 x x1 x2 S7-300/400: Esta versión es funcionalmente idéntica a la versión 2.0.
S7-1200/1500:
• También pueden proporcionarse variables de un DB F global a la entra
da DP_DP_ID. Si DP_DP_ID = 0, no se establece ninguna comunicación.
• Soporta el byte de estado de datos del acoplador PN/PN con firmware
V4.0 o superior.
• Soporta la simulación de la comunicación durante el funcionamiento
de S7-PLCSIM.
Por lo demás, es funcionalmente idéntica a la versión 2.0.
Colocación
La instrucción RCVDP debe insertarse o bien al inicio del bloque Main-Safety o bien (en las
CPU F S7-1200/1500) en un FB F/FC F llamado directamente al inicio del bloque Main-Safety.
En el bloque Main-Safety, no debe haber ninguna otra instrucción antes; en el FB F/FC F, no
debe haber ninguna otra instrucción ni antes ni después.
La instrucción SENDDP debe insertarse o bien al final del bloque Main-Safety o bien (en el
caso de las CPU F S7-1200/1500) en un FB F/FC F llamado directamente al final del bloque
Main-Safety. En el bloque Main-Safety, no debe haber ninguna otra instrucción después; en el
FB F/FC F, no debe haber ninguna otra instrucción ni antes ni después.

13.15 Comunicación
Tras el arranque del sistema F emisor o receptor, debe establecerse por primera vez la
comunicación entre los interlocutores (instrucciones SENDDP y RCVDP). Durante este tiempo,
el receptor (instrucción RCVDP) emite los valores sustitutivos presentes en sus entradas
SUBBO_xx y SUBI_xx o bien en SUBDI_00.
Las instrucciones SENDDP y RCVDP así lo indican con 1 en la salida SUBS_ON. La salida
SENDMODE tiene predeterminado el valor 0 y no se actualiza mientras la salida SUBS_ON = 1.
A partir de la versión V3.0 de las instrucciones SENDDP o RCVDP, solamente se establece la
comunicación cuando existe un DP_DP_ID <> 0.
Comportamiento en caso de errores de comunicación

Si se produce un error de comunicación, p. ej., por un error de valor de comprobación (CRC),
porque ha transcurrido el tiempo de vigilancia TIMEOUT o, en el caso de las CPU F
S7-1200/1500 con versión V3.0 o posterior, por el cambio de DP_DP_ID a 0 una vez
establecida la comunicación, las salidas ERROR y SUBS_ON se establecen en 1. En tal caso, el
receptor (instrucción RCVDP) emite los valores sustitutivos parametrizados en sus entradas
SUBBO_xx y SUBI_xx o bien en SUBDI_00. Mientras la salida SUBS_ON tenga el valor 1, no se
actualizará la salida SENDMODE.
Los datos de envío presentes en las entradas SD_BO_xx y SD_I_xx o bien en SD_DI_00 de la
instrucción SENDDP solamente vuelven a emitirse cuando ya no se detecta ningún error de
comunicación (ACK_REQ = 1) y se produce un acuse (Página 177) en la entrada ACK_REI de la
instrucción RCVDP con un flanco ascendente.
También pueden producirse errores de comunicación si, al cambiar los valores de DP_DP_ID
variables una vez establecida la comunicación, los valores de DP_DP_ID son temporalmente
diferentes entre SENDDP y RCVDP emparejadas.
ADVERTENCIA
Para la acción de enterado por el operador, es preciso interconectar la entrada ACK_REI con
una señal generada mediante intervención manual.
No se admite una interconexión con una señal generada automáticamente.* (S040)
* Si se utilizan ID de comunicación F variables, las instrucciones SENDDP y RCVDP pueden

cambiar el interlocutor durante el funcionamiento. Solo está permitido acusar los errores de
comunicación debidos a ello con una señal generada automáticamente en la entrada ACK_REI
si se cumplen las siguientes condiciones:
• Con la instrucción RCVDP, el programa de seguridad forma de manera segura una señal
"Communications partner change in progress (Cambio de interlocutor en curso)" debido al
estado del proceso.
• La señal "Communications partner change in progress (Cambio de interlocutor en curso)"
solamente se forma si no existe ningún error de comunicación.
• Mientras está presente la señal "Communications partner change in progress (Cambio de
interlocutor en curso)", en la instrucción RCVDP no se evalúan los valores de proceso
recibidos.
• El acuse automático solamente tiene lugar mientras está presente la señal
"Communications partner change in progress (Cambio de interlocutor en curso)".
• Desde el punto de vista de la seguridad, se admite una reintegración automática para el
proceso en cuestión.

13.15 Comunicación
Tenga en cuenta que la salida ERROR (1 = error de comunicación) se establece por primera
vez en caso de error de comunicación si ya se ha establecido antes la comunicación entre los
interlocutores (instrucciones SENDDP y RCVDP). Si no es posible establecer la comunicación
una vez que hayan arrancado el sistema F emisor y el receptor, compruebe la configuración
de la comunicación CPU-CPU orientada a la seguridad, la parametrización de las instrucciones
SENDDP y RCVDP, y la conexión del bus. También obtendrá información sobre posibles causas
de error evaluando las salidas DIAG, RET_DPRD o RETDP_WR.
Por lo general, evalúe siempre RET_DPRD y RETDP_WR, puesto que solamente una de las dos
salidas puede contener información sobre el error.
Cronogramas de SENDDP/RCVDP
6(1'B'3
(5525
68%621
5&9'3
$&.B5(,
$&.B5(4
(5525
68%6B21
(VWDGRV $UUDQTXH &RPXQLFDFLµQ &RPXQLFDFLµQ (UURUGHFRPXQLFDFLµQ

GHO HVWDEOHFLGD UHVWDEOHFLGD GHWHFWDGRSRU6(1''3
VLVWHPD)
(UURUGHFRPXQLFDFLµQ $FXVHHQ5&9'3
GHWHFWDGRSRU5&9'3
Salida DIAG
En la salida DIAG de las dos instrucciones SENDDP y RCVDP, se proporciona además
información no relacionada con la seguridad sobre el tipo de errores de comunicación
ocurridos con fines de servicio.
Dicha información puede leerse con sistemas de manejo y visualización o también puede
evaluarse en el programa de usuario estándar, si es preciso. Los bits DIAG permanecen
guardados hasta que se acusan en la entrada ACK_REI de la instrucción RCVDP.

13.15 Comunicación
Estructura de DIAG de la instrucción SENDDP/RCVDP

bit
Bit 3 DP_DP_ID no admisible DP_DP_ID tiene el valor 0. Compruebe el valor de DP_DP_ID para SENDDP
o RCVDP.
Bit 4 Timeout detectado por El programa de usuario estándar so En el programa de usuario estándar, comprue
SENDDP/RCVDP brescribe áreas de transferencia de be si ha habido accesos de escritura a las áreas
SENDDP y RCVDP. de transferencia de SENDDP y RCVDP. Tenga en
cuenta también los accesos indirectos.
Los valores de DP_DP_ID para SENDDP Compruebe los valores de DP_DP_ID para
y RCVDP son diferentes. SENDDP y RCVDP.
Con ID de comunicación F variables, Realice un acuse en la entrada ACK_REI cuando
se han cambiado los valores en la en los valores de DP_DP_ID para SENDDP y RCVDP
trada DP_DP_ID. vuelvan a coincidir.
La conexión de bus a la CPU F interlo Compruebe la conexión de bus y asegúrese de
cutora falla. que no haya fuentes perturbadoras externas.
El tiempo de vigilancia de la CPU F y Compruebe el tiempo de vigilancia TIMEOUT
de la CPU F interlocutora es demasia parametrizado en SENDDP y RCVDP de ambas
do corto. CPU F. Si es necesario, ajuste un valor más alto.
Vuelva a compilar el programa de seguridad.
La configuración del acoplador DP/DP Compruebe la configuración del acoplador
o del acoplador PN/PN no es válida. DP/DP o del acoplador PN/PN.
El indicador de validez de datos "DIA" Ponga el indicador de validez de datos "DIA" en
del acoplador DP/DP está en "ON". "OFF" en el interruptor DIL del acoplador DP/DP.
Parámetro "Data validity display DIA Desactive el parámetro "Data validity display
(Indicador de validez de datos DIA)" DIA (Indicador de validez de datos DIA)" en las
del acoplador PN/PN activado. propiedades del acoplador PN/PN.
Parámetro "Enable data status (Activar Desactive el parámetro "Enable data status
estado de los datos)" del acoplador (Activar estado de los datos)" en las propieda
PN/PN (V4.0 o superior) activado. des del acoplador PN/PN (V4.0 o superior).
o bien
S7-1200/1500: Utilice la versión V3.0 de las
instrucciones SENDDP y RCVDP.
Error interno del acoplador DP/DP o Sustituya el acoplador DP/DP o el acoplador
del acoplador PN/PN PN/PN.
STOP o fallo interno del CP Ponga el CP en RUN. Compruebe el búfer de
diagnóstico del CP.
En caso necesario, sustituya el CP.
STOP o fallo interno de la CPU F/CPU F Ponga las CPU F en RUN. Compruebe el búfer
interlocutora de diagnóstico de las CPU F.
En caso necesario, sustituya las CPU F.
Bit 5 Error de número de secuen Ver la descripción para el bit 4 Ver la descripción para el bit 4
cia detectado por
SENDDP/RCVDP

13.15 Comunicación

bit
Bit 6 Error CRC detectado por Ver la descripción para el bit 4 Ver la descripción para el bit 4
SENDDP/RCVDP
Los valores de DP_DP_ID para SENDDP Compruebe los valores de DP_DP_ID para
y RCVDP son diferentes. SENDDP y RCVDP.
Consulte
también
Comunicación con S7 Distributed Safety mediante acoplador PN/PN (comunicación IO
controller-IO controller) (Página 244)
Comunicación con S7 Distributed Safety mediante acoplador DP/DP (comunicación maestro-
maestro) (Página 245)
Configuración y programación de la comunicación (S7-300, S7-400) (Página 189)
Comunicación IO controller-IO controller orientada a la seguridad (Página 192)
Comunicación maestro-maestro orientada a la seguridad (Página 201)
Comunicación IO controller-I-device orientada a la seguridad (Página 210)
Comunicación maestro-I-slave orientada a la seguridad (Página 216)
Comunicación IO controller-I-slave orientada a la seguridad (Página 235)
13.15.2 Comunicación S7
13.15.2.1 SENDS7 y RCVS7: Comunicación a través de conexiones S7 (STEP 7 Safety

Advanced V18) (S7-300, S7-400)
Introducción
Las instrucciones SENDS7 y RCVS7 se utilizan para el envío y la recepción seguros de datos a
través de conexiones S7.
NOTA
En STEP 7 Safety Advanced, por lo general solo están permitidas las conexiones S7 vía
Industrial Ethernet.
La comunicación orientada a la seguridad mediante conexiones S7 es posible desde y hacia
CPU F con interfaz PROFINET o bien CPU F S7-400 con CP compatibles con PROFINET. Ver
también Comunicación orientada a la seguridad mediante conexiones S7 (Página 236).
Descripción
La instrucción SENDS7 envía de modo seguro los datos de envío existentes en un DB de
comunicación F al DB de comunicación F de la respectiva instrucción RCVS7 de otra CPU F a
través de una conexión S7.
A cada llamada de estas instrucciones, debe asignársele un área de datos en la que guardar
los datos de la instrucción. Para ello, al insertar la instrucción en el programa, se abre

13.15 Comunicación
crearse un bloque de datos (instancia individual) (p. ej., SENDS7_DB_1) o una multiinstancia
(p. ej., SENDS7_Instance_1) para dichas instrucciones. Una vez creado, el nuevo bloque de
Encontrará información sobre el DB de comunicación F en "Programación de la comunicación
orientada a la seguridad mediante conexiones S7 (Página 239)".
Un DB de comunicación F es un DB F para la comunicación CPU-CPU orientada a la seguridad
con propiedades especiales. Los números de los DB de comunicación F deben indicarse en la
entrada SEND_DB y RCV_DB de las instrucciones SENDS7 y RCVS7.
En la salida SENDMODE de la instrucción RCVS7, se proporciona el modo de operación de la
CPU F con la instrucción SENDS7. Si la CPU F con la instrucción SENDS7 está con el modo
seguro desactivado, la salida SENDMODE = 1.
En la entrada EN_SEND de la instrucción SENDS7, puede desconectarse temporalmente la
comunicación entre las CPU F para reducir la carga del bus proporcionando el valor "0" a la
entrada EN_SEND (valor predeterminado = "1"). En tal caso, ya no pueden enviarse más datos
al DB de comunicación F de la respectiva instrucción RCVS7 y, durante este tiempo, el
receptor proporciona los valores sustitutivos (valores iniciales en su DB de comunicación F). Si
ya se había establecido la comunicación entre los interlocutores, se detecta un error de
comunicación.
En la entrada ID de la instrucción SENDS7, debe indicarse el ID local (desde el punto de vista
de la CPU F) de la conexión S7 (que figura en la tabla de conexiones de la vista de redes) (ver
también Configuración (Página 42)).
La comunicación entre las CPU F tiene lugar de forma oculta en segundo plano mediante un
protocolo de seguridad específico. Para ello, la relación de comunicación entre una
instrucción SENDS7 en una CPU F y una instrucción RCVS7 en la otra CPU F debe definirse
especificando un número impar en la entrada R_ID (de la instrucción SENDS7 y RCVS7). Las
instrucciones SENDS7 y RCVS7 asociadas reciben el mismo valor de R_ID.
ADVERTENCIA
El valor del correspondiente ID de comunicación F (entrada R_ID; tipo de datos: DWORD) se

puede elegir libremente, pero debe ser impar y único en toda la red* y en toda la CPU para
todas las conexiones de comunicación orientadas a la seguridad. El valor R_ID + 1 se asigna
internamente y no se puede utilizar.
Se deben proporcionar valores constantes a las entradas ID y R_ID al llamar la instrucción. El
programa de seguridad no admite accesos directos de lectura ni de escritura al DB de

13.15 Comunicación
NOTA
Dentro de un programa de seguridad, para cada llamada de las instrucciones SENDS7 y
RCVS7, debe utilizarse un DB de instancia distinto. No está permitido declarar ni llamar estas
instrucciones como multiinstancias.
No deben proporcionarse, a las entradas de la instrucción RCVS7, salidas de una instrucción
RCVS7 o RCVDP llamada en un segmento anterior por medio de accesos completos a DB.
Para una salida de una instrucción RCVS7, no debe utilizarse ningún parámetro actual que ya
se esté utilizando para una entrada de la misma o de otra instrucción RCVS7 o RCVDP.
introduce un evento de diagnóstico.
NOTA
Entre una instrucción JMP o JMPN y el correspondiente segmento de destino de la instrucción

JMP o JMPN, no está permitido programar una instrucción SENDS7/RCVS7.
Antes de una instrucción SENDS7, no está permitido programar una instrucción RET.
Parámetros de SENDS7
La tabla siguiente muestra los parámetros de la instrucción SENDS7:
SEND_DB Input BLOCK_DB Número del DB de comunicación F
TIMEOUT Input TIME Tiempo de vigilancia en ms para la comunicación orientada a la
seguridad (ver también Tiempos de vigilancia y tiempos de reac
ción (Página 586))
EN_SEND Input BOOL 1 = habilitación para envío
ID Input WORD ID local de la conexión S7
R_ID Input DWORD Valor único en toda la red para un ID de comunicación F entre
una instrucción SENDS7 y una RCVS7
SUBS_ON Output BOOL 1 = el receptor emite valores sustitutivos
STAT_RCV Output WORD Parámetro de estado no relacionado con la seguridad STATUS de
la instrucción URCV (encontrará la descripción de los códigos de
error en la ayuda de la instrucción URCV ("Communication
(Comunicación) > S7 communication (comunicación S7)"))
STAT_SND Output WORD Parámetro de estado no relacionado con la seguridad STATUS de
la instrucción USEND (encontrará la descripción de los códigos de
error en la ayuda de la instrucción USEND ("Communication

13.15 Comunicación
Parámetros de RCVS7
La tabla siguiente muestra los parámetros de la instrucción RCVS7:
ACK_REI Input BOOL Acuse para la reintegración de los datos de envío después de un
error de comunicación
RCV_DB Input BLOCK_DB Número del DB de comunicación F
TIMEOUT Input TIME Tiempo de vigilancia en ms para la comunicación orientada a la
seguridad (ver también Tiempos de vigilancia y tiempos de reac
ción (Página 586))
ID Input WORD ID local de la conexión S7
R_ID Input DWORD Valor único en toda la red para un ID de comunicación F entre
una instrucción SENDS7 y una RCVS7
SUBS_ON Output BOOL 1 = se emiten valores sustitutivos
ACK_REQ Output BOOL 1 = acuse requerido para reintegrar los datos de envío
SENDMODE Output BOOL 1 = CPU F con instrucción SENDS7 en modo seguro desactivado
STAT_RCV Output WORD Parámetro de estado no relacionado con la seguridad STATUS
de la instrucción URCV (encontrará la descripción del código de
error en la ayuda de la instrucción URCV ("Communication
STAT_SND Output WORD Parámetro de estado no relacionado con la seguridad STATUS
de la instrucción USEND (encontrará la descripción de los códi
gos de error en la ayuda de la instrucción USEND
("Communication (Comunicación) > S7 communication
(comunicación S7)"))
Para estas instrucciones hay varias versiones disponibles:
Versión S7-300/400 S7-1500 Funcionamiento
1.0 x —
1.1 x — Esta versión es funcionalmente idéntica a la versión 1.0.

Sin embargo, soporta versiones más recientes de instrucciones llamadas internamente.
Al migrar proyectos creados con S7 Distributed Safety V5.4 SP5, se utiliza automática
mente la versión 1.1 de la instrucción.
Si se desea compilar por primera vez un programa de seguridad migrado con STEP 7
Safety Advanced, se recomienda actualizar antes la versión de la instrucción a la versión
más reciente disponible.
1.2 x — Esta versión es funcionalmente idéntica a la versión 1.0/1.1.
Sin embargo, soporta versiones más recientes de instrucciones llamadas internamente.
Al crear una nueva CPU F con STEP 7 Safety Advancedse utiliza automáticamente la versión
más alta disponible para la CPU F creada.

13.15 Comunicación
Colocación
La instrucción RCVS7 debe insertarse al principio del bloque Main-Safety. En el bloque
Main-Safety, no debe haber ninguna otra instrucción antes.
La instrucción SENDS7 debe insertarse al final del bloque Main-Safety. En el bloque
Main-Safety, no debe haber ninguna otra instrucción después.
Tras el arranque del sistema F emisor o receptor, debe establecerse por primera vez la
comunicación entre los interlocutores (instrucciones SENDS7 y RCVS7). Durante este tiempo,
el receptor (instrucción RCVS7) proporciona los valores sustitutivos (valores iniciales en su DB
de comunicación F).
Las instrucciones SENDS7 y RCVS7 así lo indican con 1 en la salida SUBS_ON. La salida
SENDMODE (instrucción RCVS7) tiene predeterminado el valor 0 y no se actualiza mientras la
salida SUBS_ON = 1.
Comportamiento en caso de errores de comunicación

Si se produce un error de comunicación, p. ej., por un error de valor de comprobación (CRC) o
porque ha expirado el tiempo de vigilancia TIMEOUT, se establecen las salidas ERROR y
SUBS_ON = 1. En tal caso, el receptor (instrucción RCVS7) proporciona los valores sustitutivos
(valores iniciales en su DB de comunicación F). Mientras la salida SUBS_ON = 1, no se
actualizará la salida SENDMODE.
Los datos de envío existentes en el DB de comunicación F (instrucción SENDS7) solamente
vuelven a emitirse cuando ya no se detecta ningún error de comunicación (ACK_REQ = 1) y se
produce un acuse (Página 177) en la entrada ACK_REI de la instrucción RCVS7 con un flanco
ascendente.
ADVERTENCIA
Para la acción de enterado por el operador, es preciso interconectar la entrada ACK_REI con
una señal generada mediante intervención manual.
No se admite una interconexión con una señal generada automáticamente. (S040)
Tenga en cuenta que la salida ERROR (1 = error de comunicación) se establece por primera
vez en caso de error de comunicación si ya se ha establecido antes la comunicación entre los
interlocutores (instrucciones SENDS7 y RCVS7). Si no es posible establecer la comunicación
una vez que hayan arrancado el sistema F emisor y el receptor, compruebe la configuración
de la comunicación CPU-CPU orientada a la seguridad, la parametrización de las instrucciones
SENDS7 y RCVS7, y la conexión del bus. También puede obtener información sobre posibles
causas de error evaluando las salidas STAT_RCV o STAT_SND.
Por lo general, evalúe siempre STAT_RCV y STAT_SND, puesto que solamente una de las dos
salidas puede contener información sobre el error.
Si está activado uno de los bits DIAG en la salida DIAG, compruebe además si la longitud y la
estructura del DB de comunicación F correspondiente coinciden en el lado emisor y en el
receptor.

13.15 Comunicación
Cronogramas de SENDS7 y RCVS7
6(1'6
(5525
68%621
5&96
$&.B5(,
$&.B5(4
(5525
68%6B21
(VWDGRV $UUDQTXH &RPXQLFDFLµQ &RPXQLFDFLµQ (UURUGHFRPXQLFDFLµQ

GHO HVWDEOHFLGD UHVWDEOHFLGD GHWHFWDGRSRU6(1'6
VLVWHPD)
(UURUGHFRPXQLFDFLµQ $FXVHHQ5&96
GHWHFWDGRSRU5&96
Salida DIAG
En la salida DIAG, se proporciona además información no relacionada con la seguridad sobre
el tipo de errores de comunicación ocurridos con fines de servicio. Dicha información puede
leerse con sistemas de manejo y visualización o también puede evaluarse en el programa de
usuario estándar, si es preciso. Los bits DIAG permanecen guardados hasta que se acusan en
la entrada ACK_REI de la instrucción RCVS7 respectiva.
Estructura de DIAG
N.º de Asignación de SENDS7 y RCVS7 Posibles causas de error Soluciones

bit
Bit 4 Timeout detectado por SENDS7 y La conexión de bus a la CPU F interlo Compruebe la conexión del bus y asegú
RCVS7 cutora falla. rese de que no haya fuentes perturba
doras externas.

13.15 Comunicación
N.º de Asignación de SENDS7 y RCVS7 Posibles causas de error Soluciones

bit
Bit 4 Timeout detectado por SENDS7 y El tiempo de vigilancia de la CPU F y Compruebe el tiempo de vigilancia
RCVS7 de la CPU F interlocutora es demasia TIMEOUT parametrizado en SENDS7 y
do corto. RCVS7 de ambas CPU F. Si es necesario,
ajuste un valor mayor. Vuelva a compi
lar el programa de seguridad.
STOP o fallo interno de los CP • Ponga los CP en RUN.
• Compruebe el búfer de diagnóstico
de los CP.
• En caso necesario, sustituya los CP.
STOP o fallo interno de la CPU F/CPU • Ponga las CPU F en RUN.
F interlocutora • Compruebe el búfer de diagnóstico
de las CPU F.
• En caso necesario, sustituya las CPU
F.
La comunicación se ha desconectado Vuelva a conectar la comunicación en la
con EN_SEND = 0. correspondiente instrucción SENDS7
con EN_SEND = 1.
La conexión S7 se ha modificado, Vuelva a compilar los programas de se
p. ej., ha cambiado la dirección IP del guridad y cárguelos en las CPU F.
CP.
Bit 5 Error de número de secuencia de Ver la descripción para el bit 4 Ver la descripción para el bit 4
tectado por SENDS7 y RCVS7
Bit 6 Error CRC detectado por SENDS7 y Ver la descripción para el bit 4 Ver la descripción para el bit 4
RCVS7
Bit 7 RCVS7: Configuración incorrecta de la comu Compruebe la configuración de la co
No es posible establecer la comuni nicación CPU-CPU orientada a la se municación CPU-CPU orientada a la se
cación. guridad; parametrización incorrecta guridad; compruebe la parametrización
de las instrucciones SENDS7 y RCVS7 de las instrucciones SENDS7 y RCVS7.
Ver también la descripción para el bit Ver también la descripción para el bit 4
4
SENDS7: — —
Reservado

Tiempos de vigilancia y tiempos de reacción A
Introducción
A continuación, se explica lo siguiente:
• Cómo configurar tiempos de vigilancia específicos de F
• Qué reglas cumplir al definir tiempos de vigilancia
• Dónde introducir tiempos de vigilancia específicos de F
• Qué reglas cumplir en relación con el tiempo máximo de reacción de una función de
seguridad
Ayuda para los cálculos

Como ayuda, encontrará en Internet
(https://support.industry.siemens.com/cs/ww/es/view/109783831) un archivo Excel que
permite calcular de modo aproximado los tiempos de ejecución de los grupos de ejecución F,
los tiempos mínimos de vigilancia específicos de F y los tiempos máximos de reacción para el
sistema F.
Más información
Los tiempos de vigilancia y de reacción para la parte estándar en SIMATIC Safety se calculan
del mismo modo que para los sistemas de automatización estándar S7-300, S7-400, S7-1200
y S7-1500, por lo que no se considerarán en el presente documento. Encontrará la
descripción en los Manuales de hardware de las CPU. En el caso de los sistemas redundantes
S7-1500HF, tenga en cuenta también el manual de sistema "Sistema redundante S7-1500R/H
(https://support.industry.siemens.com/cs/ww/es/view/109754833)".
A.1 Configuración de los tiempos de vigilancia
Tiempos de vigilancia que deben configurarse

Deben configurarse los siguientes tiempos de vigilancia:
Vigilancia... Ajuste... Parámetro Ver
Del tiempo de ciclo F o del límite de En el Safety Administration Editor: Tiempo máximo de ci • Procedimiento para
advertencia del tiempo de ciclo F de • Cuadro de diálogo para definir clo del grupo de ejecu definir un grupo de
los grupos de ejecución F que con un grupo de ejecución F ción F ejecución F (S7-300,
tienen el programa de seguridad S7-400) (Página 127)
• Procedimiento para
definir un grupo de
ejecución F (S7-1200,
S7-1500) (Página 131)

Tiempos de vigilancia y tiempos de reacción
Vigilancia... Ajuste... Parámetro Ver

De la comunicación orientada a la En el editor de hardware y redes: Tiempo de vigilancia F • Configuración de la
seguridad entre CPU F y periferia F • De modo centralizado al configu F_WD_TIME CPU F (Página 46)
mediante PROFIsafe (tiempo de vigi rar la CPU F; propiedades de la • Configuración de la
lancia PROFIsafe) CPU F; o bien periferia F (Página 51)
• Al configurar la periferia F; pro • Particularidades de la
piedades de la periferia F configuración de DP
slaves normalizados
de seguridad y IO devi
ces normalizados de
seguridad (Página 75)
De la comunicación CPU-CPU orien En la entrada "TIMEOUT" de las ins TIMEOUT • Comunicación (Página
tada a la seguridad trucciones: 570)
• SENDDP; RCVDP; SENDS7; RCVS7
(S7-1200, S7-1500) De la comunica En el Safety Administration Editor: Tiempo de vigilancia F • Área "Flexible F-Link"
ción con Flexible F-Link • Área "Flexible F-Link" de la comunicación F (S7-1200,
S7-1500) (Página 93)
• Comunicación entre
(S7-1200,
S7-1500) (Página 139)
• Configuración y pro
gramación de la co
municación con Flexi
ble F-Link (S7-1200,
S7-1500) (Página 285)
(S7-300, S7-400) No es necesario configurar el tiempo de vigilancia de la comunicación

orientada a la seguridad entre grupos de ejecución F.
Reglas para configurar los tiempos de vigilancia

Al configurar los tiempos de vigilancia, deben tenerse en cuenta tanto la disponibilidad como
la seguridad del sistema F:
• Disponibilidad: Para que las vigilancias de tiempo no respondan si no hay errores, deben
elegirse tiempos de vigilancia lo suficientemente grandes.
• Seguridad: Para que no se rebase por exceso el tiempo de seguridad del proceso, deben
elegirse tiempos de vigilancia lo suficientemente pequeños.
ADVERTENCIA

Procedimiento básico para configurar los tiempos de vigilancia

Al configurar los tiempos de vigilancia, haga lo siguiente:
1. Configure el sistema estándar.
Encontrará la información necesaria en los Manuales de hardware correspondientes y en
la Ayuda de STEP 7.
2. Configure los tiempos de vigilancia específicos del sistema F con respecto a la
disponibilidad. El tiempo mínimo de vigilancia se calcula de modo aproximado con el ar
chivo Excel para calcular el tiempo de reacción
NOTA
Para evitar que respondan las vigilancias de tiempo en los estados operativos y del sistema
específicos del sistema redundante S7-1500HF cuando no hay errores, un sistema
redundante S7-1500HF requiere tiempos mínimos de vigilancia mayores con respecto a la
disponibilidad. Esto se tiene en cuenta en el archivo Excel para calcular el tiempo de
reacción.
3. Con ayuda del archivo Excel para calcular el tiempo de reacción, calcule el tiempo máximo
de reacción y compruebe que no se sobrepase el tiempo de seguridad del proceso. En caso
necesario, deberán reducirse los tiempos de vigilancia específicos del sistema F.
Consulte
también
Sistema redundante S7-1500R/H
(https://support.industry.siemens.com/cs/ww/es/view/109754833)
A.1.1 Tiempo mínimo de vigilancia del tiempo de ciclo del grupo de ejecución F
Parámetro "Maximum cycle time of the F-runtime group (Tiempo máximo de ciclo del grupo de
ejecución F)"
El tiempo de vigilancia del tiempo de ciclo del grupo de ejecución F se configura en el Safety
Administration Editor, en el área de trabajo para definir el grupo de ejecución F (Página 126).
Para que la vigilancia del tiempo de ciclo del grupo de ejecución F no responda si no hay
errores y la CPU F no pase a STOP, debe elegirse un tiempo máximo de ciclo del grupo de
ejecución F lo suficientemente grande.
Para determinar el tiempo mínimo de vigilancia del tiempo de ciclo del grupo de ejecución F,
utilice el archivo Excel para calcular el tiempo de reacción
(https://support.industry.siemens.com/cs/ww/es/view/109783831). Tenga en cuenta también
los comentarios del archivo Excel.
Además, en las CPU F S7-1200/1500, se puede determinar el tiempo de ciclo del grupo de
ejecución F actual y el más largo desde la última transición STOP-RUN para el
dimensionamiento a partir de las variables TCYC_CURR (Página 147) y TCYC_LONG (Página
147).

A.1.2 Tiempo mínimo de vigilancia de la comunicación orientada a la seguridad

entre CPU F y periferia F
Parámetro "F-monitoring time (Tiempo de vigilancia F)"

Para configurar el tiempo de vigilancia de la comunicación orientada a la seguridad entre CPU
F y periferia F, existen dos posibilidades:
• De modo centralizado en el editor de hardware y redes durante la parametrización de la
CPU F (Página 46); en las propiedades de la CPU F; o bien
• En el editor de hardware y redes durante la parametrización de la periferia F (Página 51);
en las propiedades de la periferia F
NOTA
Tenga en cuenta que, en un sistema redundante S7-1500HF y en caso de utilizar un IO device
que no soporte la redundancia de sistema S2, si falla la CPU primaria, se interrumpe la
comunicación PROFINET con este device y, por lo tanto, un error de comunicación en las
periferias F de dicho IO device, lo que exige una reintegración de las periferias F (ver capítulo
"Después de errores de comunicación (Página 169)").
En los IO devices con redundancia de sistema S2, cuando falla la CPU primaria, el sistema
redundante S7-1500HF conmuta a la CPU de reserva sin interrupciones. Durante la
conmutación primaria-reserva, las salidas de seguridad permanecen activas.
"Tiempo de vigilancia F" = tiempo de vigilancia PROFIsafe TPSTO

Para que la vigilancia no responda cuando no haya errores, debe elegirse un tiempo de
vigilancia PROFIsafe TPSTO lo suficientemente largo.
Para determinar el tiempo mínimo de vigilancia de la comunicación orientada a la seguridad
entre CPU F y periferia F, utilice el archivo Excel para calcular el tiempo de reacción
(https://support.industry.siemens.com/cs/ww/es/view/109783831) disponible para SIMATIC
Safety.
Tenga en cuenta también los comentarios del archivo Excel.

Comprobación de si se ha configurado un tiempo de vigilancia PROFIsafe insuficiente
NOTA
Durante la puesta en marcha del sistema F, puede comprobar con el modo seguro activado si
se ha configurado un tiempo de vigilancia PROFIsafe insuficiente.
Se recomienda comprobar el tiempo de vigilancia PROFIsafe para que el tiempo de vigilancia
configurado tenga una diferencia suficiente respecto al tiempo mínimo de vigilancia. Esto
permite evitar posibles errores esporádicos del tiempo de vigilancia.
Procedimiento:
1. Enchufe una periferia F que no resulte necesaria durante el funcionamiento posterior de la
instalación.
2. Para dicha periferia F, parametrice un tiempo de vigilancia menor que para la periferia F
de la instalación.
3. Si la periferia F adicional falla y notifica el diagnóstico "Tiempo de vigilancia excedido para
telegrama de seguridad", se habrá excedido el tiempo mínimo posible de vigilancia
PROFIsafe.
4. Aumente el tiempo de vigilancia de la periferia F adicional hasta que dicha periferia F
adicional justo deje de fallar. Este tiempo de vigilancia equivale aproximadamente al
tiempo de vigilancia mínimo posible.
Condiciones:
La periferia F que deba enchufarse adicionalmente debe tener las siguientes propiedades en
común con la periferia F cuyo tiempo de vigilancia PROFIsafe deba comprobarse:
• Estar enchufada en el mismo rack
• Pertenecer a la misma subred
Sugerencia:
En las instalaciones que se modifican/amplían durante el funcionamiento después de la
puesta en marcha, puede ser recomendable dejar enchufada la periferia F adicional. En tal
caso, si hay cambios en la respuesta en el tiempo, esta periferia F emite una advertencia a
tiempo, con lo que se previene la desconexión del proceso por la periferia F en el proceso.
En un sistema redundante S7-1500HF, la comprobación de si se ha configurado un tiempo de
vigilancia PROFIsafe insuficiente debe tener lugar en todos los estados operativos y del
sistema, puesto que los tiempos de reacción allí también dependen del respectivo estado
operativo y del sistema.
A.1.3 Tiempo mínimo de vigilancia de la comunicación CPU-CPU orientada a la

seguridad
Entrada TIMEOUT en SENDDP y RCVDP o bien SENDS7 y RCVS7/tiempo de vigilancia F para la

comunicación mediante Flexible F-Link
El tiempo se vigila en las instrucciones SENDDP y RCVDP (Página 570) o bien SENDS7 y
RCVS7 (Página 579) del interlocutor. El tiempo de vigilancia debe parametrizarse
idénticamente en ambas instrucciones en la entrada TIMEOUT.
Para que la vigilancia no responda cuando no haya errores, debe elegirse un tiempo de
vigilancia TIMEOUT lo suficientemente largo.

A.2 Tiempos de reacción de funciones de seguridad
Para la comunicación mediante Flexible F-Link, durante la Creación de una comunicación

orientada a la seguridad (Página 93), defina el tiempo de vigilancia F para dicha
comunicación.
Para determinar el valor mínimo de TIMEOUT o para el tiempo de vigilancia F, utilice el archi
vo Excel para calcular el tiempo de reacción
(https://support.industry.siemens.com/cs/ww/es/view/109783831) disponible para SIMATIC
Safety.
Tenga en cuenta también los comentarios del archivo Excel.
A.1.4 Tiempo de vigilancia de la comunicación orientada a la seguridad entre

Tiempo de vigilancia de la comunicación orientada a la seguridad entre grupos de ejecución F

(S7-300, S7-400)
El tiempo de vigilancia para la comunicación orientada a la seguridad entre grupos de
ejecución F con Flexible F-Link se calcula automáticamente a partir de los valores de
"Maximum cycle time of the F-runtime group (Tiempo máximo de ciclo del grupo de
ejecución F)" (área de trabajo para definir el grupo de ejecución F (Página 126) en el Safety
Administration Editor).
Tiempo de vigilancia = (tiempo máximo de ciclo del primer grupo de ejecución F) + (tiempo
máximo de ciclo del segundo grupo de ejecución F)
Tiempo de vigilancia de la comunicación orientada a la seguridad entre grupos de ejecución F

(S7-1200, S7-1500)
El tiempo de vigilancia para la comunicación orientada a la seguridad entre grupos de
ejecución F puede calcularse a partir de los valores de "Maximum cycle time of the F-runtime
group (Tiempo máximo de ciclo del grupo de ejecución F)" (área para definir el grupo de
ejecución F (Página 126) en el Safety Administration Editor) si el programa de usuario
estándar para la comunicación entre grupos de ejecución F se ubica en el
preprocesamiento/postprocesamiento (Página 84).
Tiempo de vigilancia = (tiempo máximo de ciclo del primer grupo de ejecución F) + (tiempo
máximo de ciclo del segundo grupo de ejecución F)
Definición del tiempo de reacción

El tiempo de reacción es el intervalo que transcurre desde que se reconoce una señal de
entrada hasta que cambia la señal de salida vinculada.
Margen de fluctuación
El tiempo de reacción real está comprendido entre un tiempo mínimo y un tiempo máximo de
reacción. Para configurar la instalación, siempre debe contarse con el tiempo máximo de
reacción.

Tenga en cuenta también los comentarios del archivo Excel para calcular el tiempo de reac
ción (https://support.industry.siemens.com/cs/ww/es/view/109783831).
NOTA
En un sistema redundante S7-1500HF, el estado operativo y del sistema actuales influyen en
el tiempo de reacción real.
Reglas para el tiempo máximo de reacción de una función de seguridad

El tiempo máximo de reacción de una función de seguridad debe ser menor que el tiempo de
seguridad del proceso.
Definición del tiempo de seguridad de un proceso

El tiempo de seguridad de un proceso es el intervalo de tiempo entre la aparición de un error,
dentro del cual el proceso puede controlarse por sí mismo sin poner en peligro la integridad
física del personal operador ni dañar el medio ambiente, y el momento en que finaliza la
reacción.
Dentro del tiempo de seguridad del proceso, el sistema F que controla el proceso puede
realizar esta tarea de cualquier manera posible, es decir, también puede controlarlo
incorrectamente o no controlarlo. El tiempo de seguridad de un proceso depende del tipo de
proceso y debe determinarse individualmente.
Procedimiento para calcular el tiempo de reacción

Para calcular el tiempo máximo de reacción de una función de seguridad, se ofrece el archivo
Excel para calcular el tiempo de reacción
Con ayuda del archivo Excel, calcule aproximadamente el tiempo máximo de reacción de la
función de seguridad y compruebe que no se sobrepase el tiempo de seguridad del proceso.

En caso necesario, deberán reducirse los tiempos de vigilancia específicos del sistema F (ver
Tiempo mínimo de vigilancia de la comunicación orientada a la seguridad entre CPU F y
periferia F (Página 589)).
ADVERTENCIA
Solo está permitido utilizar el archivo Excel para calcular el tiempo de reacción o el timeout
en caso de una comunicación Flexible F-Link, si se han tenido en cuenta las siguientes reglas
en relación con las instrucciones estándar para la transmisión coherente de los datos:
Comunicación CPU-CPU (Página 285)
La instrucción estándar para la transmisión coherente de datos y acuses se debe llamar en el
postprocesamiento del grupo de ejecución F (Página 84). En la instrucción estándar para la
recepción coherente de datos y acuses debe diferenciarse si la conexión de comunicación
estándar es determinista o no determinista. Si la conexión es determinista (p. ej.,
DPRD_DAT/DPWR_DAT), la instrucción estándar se debe llamar en el preprocesamiento del
grupo de ejecución F (Página 84). Si la conexión no es determinista (p. ej., conexión S7,
conexiones TCP), la instrucción estándar se debe llamar en un OB de alarma cíclica. Este OB
de alarma cíclica debe llamarse en intervalos más cortos que el grupo de ejecución F. Se
recomienda una relación de 1:5.
Comunicación entre grupos de ejecución F (Página 139)
La instrucción estándar UMOVE_BLK para transferir los datos que se deben enviar debe
llamarse en el postprocesamiento del grupo de ejecución F emisor. La instrucción estándar
UMOVE_BLK para transferir el acuse que se debe enviar debe llamarse en el
postprocesamiento del grupo de ejecución F receptor. (S089)

ADVERTENCIA
El tiempo de reacción de la función de seguridad depende, entre otros aspectos, del tiempo
de ciclo del OB F, del tiempo de ejecución del grupo de ejecución F y, en caso de utilizar
periferia F descentralizada, de la parametrización de PROFINET/PROFIBUS.
De este modo, la configuración/parametrización del sistema estándar influye también en el
tiempo de reacción de la función de seguridad.
Ejemplos:
• El aumento de la prioridad de un OB estándar respecto de la prioridad de un OB F puede
prolongar el tiempo de ciclo del OB F y, con ello, el tiempo de ejecución del grupo de
ejecución F debido a la mayor prioridad de ejecución del OB estándar. Tener en cuenta
que, al crear objetos tecnológicos, pueden crearse automáticamente OB con una
prioridad muy alta.
• La modificación del tiempo de ciclo de emisión de PROFINET modifica el tiempo de ciclo
de un OB F con clase de evento "Synchronous cycle (Ciclo síncrono)".
Tener en cuenta que la configuración/parametrización del sistema estándar no está cubierta
por la protección de acceso del programa de seguridad y no conlleva un cambio de la
"Collective F-signature" (Firma colectiva F).
Si no se impide, mediante la toma de medidas organizativas, que se hagan cambios en la
configuración/parametrización del sistema estándar que influyan en el tiempo de reacción,
deberán utilizarse por principio los tiempos de vigilancia (ver Configuración de los tiempos
de vigilancia (Página 586)) para calcular el tiempo máximo de reacción de una función de
seguridad.
acceso del programa de seguridad y están cubiertos por la firma colectiva F y la firma
colectiva SW F.
(https://support.industry.siemens.com/cs/ww/es/view/109783831), debe tomarse como valor
para el tiempo máximo de reacción el valor especificado para "cualquier tiempo de ejecución
del sistema estándar". (S085)

Lista de control B
Ciclo de vida de los sistemas de automatización de seguridad
En la tabla siguiente encontrará, en forma de lista de control, un resumen de las actividades a
efectuar durante el ciclo de vida de un sistema de seguridad SIMATIC Safety, junto con los
requisitos y las reglas que deben tenerse en cuenta.
Lista de control
Leyenda:
• Las remisiones a capítulos sin datos adicionales se refieren a la presente documentación.
• "Manual SM F" se refiere al manual Sistema de automatización S7-300, sistema de perife
ria descentralizada ET 200M, módulos de señales de seguridad
• "Manual Módulos F" se refiere al manual Sistema de periferia descentralizada ET 200S,
módulos de seguridad (http://support.automation.siemens.com/WW/view/en/27235629).
• "Manual ET 200eco" se refiere al manual Unidad de periferia descentralizada ET 200eco,
módulo de periferia de seguridad
• "Manual ET 200eco PN" se refiere al manual de producto ET 200eco PN F-DI 8 x 24 VDC,
4xM12 / F-DQ 3 x 24 VDC/2.0A PM, 3xM12
• "Manual ET 200pro" se refiere al manual Unidad de periferia descentralizada ET 200pro,
módulo de periferia de seguridad
• "Manual ET 200iSP" se refiere al manual Unidad de periferia descentralizada ET 200iSP,
módulos de seguridad (http://support.automation.siemens.com/WW/view/en/47357221).
• "Manual ET 200SP" se refiere al Manual de sistema ET 200SP
• "Manual ET 200AL" se refiere al Manual de sistema ET 200AL
• "Manual ET 200MP" se refiere al Manual de sistema S7-1500/ET 200MP
• "Manual S7-1500R/H" se refiere al Manual de sistema S7-1500R/H
• "Manual SIMATIC Drive Controller" se refiere al Manual de sistema SIMATIC Drive Contro
ller (https://support.industry.siemens.com/cs/ww/es/view/109766665).
• "Manual Módulos ET 200SP" se refiere a los Manuales de producto de los módulos F del
sistema de periferia descentralizada ET 200SP
(https://support.industry.siemens.com/cs/ww/es/ps/14059/man).

Lista de control
• "Manual Módulos ET 200MP" se refiere a los Manuales de producto de los módulos F del
sistema de periferia descentralizada ET 200MP
(https://support.industry.siemens.com/cs/ww/es/ps/14141/man).
• "Manual Módulo ET 200AL" se refiere al Manual de producto del módulo F del sistema de
periferia descentralizada ET 200AL
Fase A tener en cuenta Figura en ... Com

proba
do
Planificación
Requisitos: se dispone de la Depende del proceso —
"Safety requirements
specification
(Especificación de
requisitos de seguridad)"
para la aplicación prevista.
Especificación de la arqui Depende del proceso —
tectura del sistema
Asignación de las funciones Depende del proceso Descripción general del producto (Página
y funciones parciales a los 24)
componentes del sistema
Selección de sensores y ac Requisitos de los actuadores Manual SM F, cap. 6.5
tuadores Manual Módulos F, cap. 4.5
Manual ET 200eco, cap. 5.5
Manual ET 200eco PN, cap. 5.2
Manual ET 200pro, cap. 4.4
Manual ET 200iSP, cap. 4.5
Manual ET 200SP, cap. 6.2.2
Manual ET 200MP, cap. 6.2.2
Definición de las caracterís IEC 61508:2010 —
ticas de seguridad necesa
rias de los distintos compo
nentes
Configuración
Instalación de una licencia Requisitos para la instalación Instalación/desinstalación de la licencia pa
ra STEP 7 Safety Basic V18 (Página 31) o
Instalación/desinstalación de la licencia pa
ra STEP 7 Safety Advanced V18 (Página 31)
Selección de los compo Descripciones de montaje Descripción general del producto (Página
nentes S7 24)
Manual SM F, cap. 3
Manual Módulos F, cap. 3
Manual ET 200eco, cap. 3
Manual ET 200eco PN, cap. 4
Manual ET 200pro, cap. 2
Manual ET 200iSP, cap. 3
Manual ET 200SP, cap. 4
Manual ET 200AL, cap. 3
Manual ET 200MP, cap. 4
Manual S7-1500R/H, cap. 4
Manual SIMATIC Drive Controller, cap. 4

Lista de control

proba
do
Configuración del hardware • Descripción de los sistemas F Configuración (Página 42)
• Verificación de los componentes HW Annex 1 del informe del certificado
utilizados mediante el Annex 1 del in
forme del certificado
Configuración de la CPU F • Nivel de protección "Write protection Configuración de la CPU F (Página 46)
for fail-safe blocks (Protección contra Manual S7-300 estándar
escritura para bloques de seguridad)" Manual S7-400 estándar
(S7-300, S7-400) Manual S7-1200 estándar
• Nivel de protección mínimo "Full access Manual S7-1500 estándar
(Acceso completo)" (S7-1200, S7-1500) Tiempos de vigilancia y tiempos de reac
• Contraseña ción (Página 586)
• Funcionalidad F activada
• Definir/ajustar parámetros específicos
de F
• Definir el tiempo de llamada del grupo
de ejecución F en el que deba ejecutar
se el programa de seguridad conforme
a los requisitos y las normas de seguri
dad, como en el programa estándar
Configuración de la perife • Ajustes del modo seguro Configuración de la periferia F (Página 51)
ria F • Ajuste del tipo de pasivación o Particularidades de la configuración de
• Configuración de los tiempos de vigilan DP slaves normalizados de seguridad y IO
cia devices normalizados de seguridad (Página
• Definir la evaluación de los sensores 75)
• Definir el comportamiento de diagnósti Tiempos de vigilancia y tiempos de reac
co ción (Página 586)
• Otros parámetros F Manual SM F, cap. 3, 9, 10
• Asignar nombres Manual Módulos F, cap. 2.4, 7
• Dirección PROFIsafe unívoca Manual ET 200eco, cap. 3, 8
Manual ET 200eco PN, cap. 6
Manual ET 200pro, cap. 2.4, 8
Manual ET 200iSP, cap. 2.4, 7, 8
Manual Módulos ET 200SP, cap. 4
Manual Módulos ET 200MP, cap. 4
Manual Módulos ET 200AL, cap. 4
Programación
Definir el diseño y la estruc • Tener en cuenta las advertencias e indi Descripción general de la programación
tura del programa caciones para la programación (Página 104), Estructura del programa de
seguridad (S7-300, S7-400) (Página 104),
Estructura del programa de seguridad
(S7-1200, S7-1500) (Página 106), Progra
mación de la protección de arranque
(Página 149)
Creación de los grupos de • Asignar el FB F/FC F como bloque Definir grupos de ejecución F (Página 126)
ejecución F Main-Safety a un bloque invocante Tiempos de vigilancia y tiempos de reac
(S7-300, S7-400) u OB F (S7-1200, ción (Página 586)
S7-1500)
• Ajustar el tiempo máximo de ciclo del
grupo de ejecución F conforme a los re
quisitos (en función del proceso y de las
normas de seguridad)

Lista de control

proba
do
• Crear el DB para comunicación entre
• (S7-300, S7-400) Llamada de los blo
ques Main-Safety directamente en
OB (p. ej., OB 35), FB o FC
• (S7-1200, S7-1500) Llamada de los blo
ques Main-Safety por el OB F
Creación/inserción de los • Generar, editar y guardar FB F, FC F y Creación de bloques F en FUP/KOP (Página
bloques F DB F conforme a los requisitos de la es 142)
tructura del programa Direccionamiento de la periferia F (Página
• Descripción: 150)
– Acceso a la periferia F Implementación de un acuse de usuario
– Pasivación y reintegración de perife (Página 177)
ria F Reutilización de bloques F (Página 145)
– Inserción de bloques F desde libre Configuración y programación de la comu
rías globales nicación (S7-300, S7-400) (Página 189) y
– Comunicación CPU-CPU orientada a Configuración y programación de la comu
la seguridad nicación (S7-1200, S7-1500) (Página 249)
– Comunicación con el programa de Intercambio de datos entre programa de
usuario estándar usuario estándar y programa de seguridad
(Página 185)
Compilación del programa — Compilación del programa de seguridad
de seguridad (Página 294)
Implementación de la lla Compruebe si se llama el bloque Definir grupos de ejecución F (Página 126)
mada del programa de se Main-Safety directamente en OB (p. ej.,
guridad (S7-300, S7-400) OB 35), FB o FC.
Instalación
Montaje del hardware Descripción de: Descripción general de la configuración
• Montaje (Página 42), Particularidades de la configu
• Cableado ración del sistema F (Página 45)
Manual SM F, cap. 5, 6
Manual Módulos F, cap. 3, 4
Manual ET 200eco, cap. 3, 4
Manual ET 200eco PN, cap. 4, 5
Manual ET 200pro, cap. 2, 3
Manual ET 200iSP, cap. 3, 4
Manual ET 200SP, cap. 5, 6
Manual ET 200AL, cap. 4, 5
Manual ET 200MP, cap. 5, 6
Manual S7-1500R/H, cap. 5, 6
Manual SIMATIC Drive Controller, cap. 5, 6
Puesta en marcha, test
Conexión Descripción de la puesta en marcha, como Manual S7-300 estándar
en el programa estándar Manual S7-400 estándar
Manual S7-1200 estándar
Manual S7-1500 estándar
Manual S7-1500 Software Controller es
tándar
Manual WinAC RTX F
Manual S7-1500R/H
Manual SIMATIC Drive Controller

Lista de control

proba
do
Carga del programa de se Descripción Carga de datos del proyecto (Página 296)
guridad y del programa de • Carga Comparación de programas de seguridad
usuario estándar • Identificación del programa (Página 329)
• Comparación de programas de seguri
dad
Prueba del programa de se • Descripción de la desactivación del mo Carga de datos del proyecto (Página 296),
guridad do seguro Prueba del programa de seguridad (Página
• Procedimiento para modificar datos del 339), Desactivación del modo seguro
programa de seguridad (Página 336)
Modificaciones del progra Descripción Modificación del programa de seguridad en
ma de seguridad • Desactivación del modo seguro RUN (S7-300, S7-400) (Página 347), Modi
• Modificación del programa de seguri ficación del programa de seguridad en RUN
dad (S7-1200, S7-1500) (Página 349), Desacti
vación del modo seguro (Página 336), Bo
rrado del programa de seguridad (Página
124)
Comprobación de los pará Descripción de la configuración Creación del impreso de seguridad (Página
metros relativos a la seguri 332)
dad Manual SM F, cap. 4, 9, 10
Manual Módulos F, cap. 2.4, 7
Manual ET 200eco, cap. 3, 8
Manual ET 200eco, cap. 6
Manual ET 200pro, cap. 2.4, 8
Manual ET 200iSP, cap. 2.4, 7, 8
Manual Módulos ET 200SP, cap. 4
Manual Módulos ET 200MP, cap. 4
Manual Módulos ET 200AL, cap. 4
Recepción/aceptación • Descripción e indicaciones para la re Recepción/aceptación de la instalación
cepción/aceptación (Página 357)
• Realizar impresos
Operación, mantenimiento
Operación general Indicaciones para la operación Indicaciones para el modo seguro del pro
grama de seguridad (Página 380)
Protección de acceso — Protección de acceso (Página 95)
Diagnóstico Reacciones a fallos y eventos Guía para el diagnóstico (S7-300,
S7-400) (Página 387), Guía para el diag
nóstico (S7-1200) (Página 388), Guía para
el diagnóstico (S7-1500) (Página 388)
Sustitución de componen Descripción Sustitución de componentes de software y

tes de software y hardware • Sustitución de módulos hardware (Página 384), Direccionamiento
• Actualización del sistema operativo de de la periferia F (Página 150)
la CPU F, como en el programa estándar Ayuda de STEP 7
• Actualización de componentes de SW
Indicaciones
• Actualización del sistema operativo de
IM

Lista de control

proba
do
Desinstalación de la licen • Indicaciones para desinstalar la licencia Instalación/desinstalación de la licencia pa
cia • Indicaciones para desmontar los módu ra STEP 7 Safety Basic V18 (Página 31), Ins
Desmontaje los talación/desinstalación de la licencia para
STEP 7 Safety Advanced V18 (Página 31),
Sustitución de componentes de software y
hardware (Página 384)

Índice alfabético
= Acuse de usuario, 177

Sistema de manejo y visualización, 178
=, 413
Sistema de manejo y visualización, 179
Ejemplo, 181
A Acuse seguro, 559, 564
ABS, 521 ADD, 507
Acceso AND, 551
a variables del DB de periferia F, 165
Archivos GSD
Acceso a la periferia F, 150 Configuración, 75
a través de la memoria imagen de proceso, 150
Arranque, 149, 167
a través de la memoria imagen de proceso, 234
Durante el funcionamiento, 347 Array F
Limitaciones en RUN, 348 leer, 524
leer, 526
Acceso al DB, completo, 117, 165
Asignación, 398, 413
Acceso al DB, no completo, 118
Asignación de direcciones
Acceso completo al DB, 117, 165 Reglas, 66
Acceso slice, 115 Reglas, 68
ACK_GL, 477
ACK_NEC, 160
B
ACK_OP, 559 Barreras fotoeléctricas por reflexión, 436
ACK_REI, 160 Bit de estado OV
consultar, 567
ACK_REQ, 164 consultar negado, 568
Acoplador DP/DP, 202, 262 consultar, 569
Acoplador PN/PN, 193, 253 Bloque de datos, 185
Activación Bloque de datos global
Funcionalidad de seguridad, 46 abrir, 549
Modo seguro, 339 Bloque F
Activar/desactivar la funcionalidad de seguridad, 46 borrar, 124
Actualización copiar, 143
Proyectos, 37 Bloque Main-Safety, 110, 143
Proyectos, 38 Bloqueo de rearranque
Proyectos, 38 MUTING, 436
Actualización del firmware, 384 En caso de interrupción de la cortina fotoeléctri
ca, 436
Actualización del sistema operativo, 384 En caso de interrupción de la cortina fotoeléctri
Acuse ca, 446
Fallo de canal, 52 MUT_P, 446
seguro, 559 BO_W, 534

Índice alfabético
Borrado Comportamiento en arranque

Bloques F, 124 MUT_P, 446
Borrado total, 339 RCVDP, 570
SENDDP, 570
SENDS7, 579
C RCVS7, 579
Calcular valor absoluto, 521 Comprobación de la versión del programa, 373
Carga Comprobaciones
Programa de usuario estándar, 296 efectuadas por el sistema F, 64
Configuración hardware, 296 Comunicación
Programa de seguridad, 296 Programa de usuario estándar y programa de se
Cargar programa de usuario estándar, 296 guridad, 185
Programa de usuario estándar y programa de se
Categoría, 24 guridad, 187
Centro de formación, 5 Tiempo de vigilancia, 589
Tiempo de vigilancia, 590
Certificado TÜV, 360
Ciclo de vida de los sistemas de automatización de Comunicación CPU-CPU, 42
seguridad, 595 Posibilidades de la, 42
orientada a la seguridad, descripción general,
Cinta transportadora detenida, 436 189
Clase de seguridad, 24 orientada a la seguridad, descripción general,
249
CMP <, 505 orientada a la seguridad, descripción general,
CMP <=, 503 291
CMP <>, 501 Comunicación CPU-CPU orientada a la seguridad,
42
CMP ==, 500 Posibilidades, 42
CMP >, 504 DB de comunicación F, 239
CMP >=, 502 Limitaciones en RUN, 347
Comprobar la corrección, 369
Comparación offline-online de programas de segu
SENDDP, 570
ridad, 330
RCVDP, 570
Comparadores
Igual, 500 Comunicación entre grupos de ejecución F, 129
Diferente, 501 Limitaciones en RUN, 347
Mayor o igual, 502 Tiempo de vigilancia, 591
Menor o igual, 503 Comunicación IO controller-I-device orientada a la
Mayor que, 504 seguridad
Menor que, 505 Configuración, 211
Programación, 213
Comparar
Límites de la transferencia de datos, 215
Programas de seguridad, 329
Configuración, 271
Componentes de hardware, 25 Programación, 273
Componentes de software, 25, 384 Límites de la transferencia de datos, 276
Configuración, 292
Componentes F, 42
Comportamiento
tras arrancar, 167
después de errores de comunicación, 169
después de fallos de periferia F/canal, 171

Índice alfabético
Comunicación IO controller-IO controller orientada Configuraciones soportadas, 62

a la seguridad
Configuración, 193 Configuración futura, 55
Programación, 197 Configuración hardware, 45
Límites de la transferencia de datos, 201 cargar, 296
Configuración, 253 Comprobar la corrección, 363
Programación, 256 Constante
Límites de la transferencia de datos, 261 booleana, 115
Comunicación IO controller-I-slave orientada a la TRUE, 115
seguridad, 236, 283 FALSE, 115
Comunicación I-slave-I-slave orientada a la seguri Contacto NA, 396
dad
Programación, 219 Contacto NC, 397
Límites de la transferencia de datos, 222 Contador
Configuración, 224 ascendente, 494
Comunicación I-slave-slave orientada a la seguridad descendente, 496
Configuración, 229 ascendente y descendente, 498
Límites de la transferencia de datos, 234 Contador ascendente, 494
Comunicación maestro-I-slave orientada a la seguri Contador ascendente - descendente, 498
dad
Configuración, 217 Contador descendente, 496
Programación, 219 Contraseña, 96
Límites de la transferencia de datos, 222 Programa de seguridad, 96
Configuración, 277 CPU F, 101
Programación, 279 Control de configuración, 55
Control del programa
Comunicación maestro-maestro orientada a la se Saltar si RLO = 1, 543
guridad
Saltar si RLO = 0, 545
Configuración, 202
Etiqueta, 547
Programación, 206
Salir, 548
Abrir bloque de datos global, 549
Configuración, 262
Programación, 265 Control de plausibilidad, 187
Límites de la transferencia de datos, 269 Transferencia de datos del programa estándar al
programa de seguridad, 373
Comunicación orientada a la seguridad entre gru
pos de ejecución F, 136 Conversión
Convertir valor, 532
Comunicación orientada a la seguridad mediante
conexiones S7 Convertir BOOL a WORD, 534
Configuración, 237 Convertir WORD a BOOL, 536
Límites de la transferencia de datos, 243 Escalar valores, 539
Escalar valores al tipo de datos DINT, 541
Conexión S7
Comunicación orientada a la seguridad, 237 Conversión de tipos de datos, 115
Configuración CONVERT, 532
Descripción general, 42 Convertir
de componentes F, 45 Valor, 532
Particularidades, 45 Datos, 534
CPU F, 46 Datos, 536
Periferia F, 51
Convertir datos, 534, 536
Shared Device, 59
IO devices normalizados de seguridad, 75
DP slaves normalizados de seguridad, 75

Índice alfabético
Corrección Desinstalación
Configuración hardware, 363 STEP 7 Safety, 31
Comunicación CPU-CPU orientada a la seguridad, STEP 7 Safety, 32
369 STEP 7 Safety, 32
Cortina fotoeléctrica, 436 Desplazamiento y rotación
CPU de seguridad, 42 Desplazar a la derecha, 555
Desplazar a la izquierda, 557
CPU F, 36
migrar, 36 Desplazar a la derecha, 555
configurar, 46 Desplazar a la izquierda, 557
Establecimiento del permiso de acceso, 101 DIAG
conmutar a STOP, 380 DB de periferia F, 164
Cronogramas, 436 ESTOP1: Desconexión de emergencia hasta la ca
RCVDP, 570 tegoría de parada 1, 423
TWO_H_EN: Vigilancia de mando a dos manos
SENDDP, 570
con habilitación, 432
CTD, 496 MUTING: Muting, 436
CTU, 494 MUT_P: Muting paralelo, 446
EV1oo2DI: Evaluación 1oo2 con análisis de dis
CTUD, 498 crepancia, 458
Cuadro vacío FDBACK: Vigilancia del circuito de
Insertar elemento KOP, 390 realimentación, 466
Insertar elemento FUP, 393 SFDOOR: Vigilancia de puerta de protección, 472
SENDDP/RCVDP, 570
SENDS7, 579
D
RCVS7, 579
Datos locales, 117 Diagnóstico
DB de información del grupo de ejecución F, 147 Sistema de seguridad, 387
Guía de orientación, 388
DB de instancia, 118, 143
Guía de orientación, 388
DB de periferia F, 53 Diagnóstico agrupado de módulos de señales de se
Número, 53 guridad, 54
Nombre, 53
Acceso al, 157 Dirección de destino F, 65, 67
Estructura de DIAG, 164 Dirección de destino PROFIsafe, 47
Número, 165 Dirección de origen F, 48, 67
Nombre, 165
Acceso al, 165 Dirección de origen F central, 48
Dirección PROFIsafe
DB F, 110
Recomendaciones, 61
para comunicación entre grupos de ejecución F,
136 asignar, 69
crear, 143 asignar, 70
DB global F, 146 asignar, 73
modificar, 75
DB global F, 146, 185, 337 asignar, 76
Desactivar
Dirección PROFIsafe tipo 1, 47
Funcionalidad de seguridad, 46
Modo seguro, 335 Dirección PROFIsafe tipo 2, 48
Modo seguro, 336 DISABLE, 162
Dispositivos de simulación en el sistema F, 380

Índice alfabético
DIV, 515 Firma colectiva F, 337

Dividir, 515 Firma del grupo de ejecución F, 147
DP slaves normalizados de seguridad Flexible F-Link, 93
configurar, 75 Tiempo de vigilancia F, 590
Durante el funcionamiento, 347 Flipflop
Activación/desactivación, 401
Desactivación/activación, 403
E
Activación/desactivación, 416
Elemento FUP Desactivación/activación, 417
Insertar, 393
Forzado, 334
Elemento KOP Programa de seguridad, 340
Insertar, 390 Programa de seguridad, 340
EN, 112 Funcionamiento
ENO, 112 RCVDP, 570
SENDDP, 570
Enviar y recibir datos a través de conexiones S7,
579 SENDS7, 579
RCVS7, 579
Error de compilación
Mensaje, 294 Función de reacción a errores, 12, 24
Error de comunicación, 169 Función de seguridad, 24
SENDDP/RCVDP, 570 Ejemplo, 25
Cálculo del tiempo de reacción, 591
Error de discrepancia, 436
Escalar Función de seguridad del usuario, 5, 25
valores, 539 Funciones de seguridad
valores, 541 ESTOP1: Desconexión de emergencia hasta la ca
tegoría de parada 1, 423
ESTOP1, 423 TWO_HAND: Vigilancia de mando a dos manos,
Estructura del programa de seguridad, 104, 106 429
TWO_H_EN: Vigilancia de mando a dos manos
Etiqueta, 547 con habilitación, 432
EV1oo2DI, 458 MUTING: Muting, 436
MUT_P: Muting paralelo, 446
EV1oo2DI: Evaluación 1oo2 con análisis de dis
F crepancia, 458
FDBACK: Vigilancia del circuito de
F_CRC_Seed, 77
realimentación, 466
F_IO_StructureDescCRC, 76, 77 SFDOOR: Vigilancia de puerta de protección, 472
F_Passivation, 77 ACK_GL: Acuse general de toda la periferia F de
un grupo de ejecución F, 477
Fallo de canal, 52
Funciones matemáticas
Acuse, 52
Sumar, 507
Fallo de canal F, salida de valores sustitutivos, 155 Restar, 510
Fallo de periferia F, salida de valores sustitutivos, Multiplicar, 512
155 Dividir, 515
Fallo de periferia F/canal, 171 Generar complemento a dos, 518
Calcular valor absoluto, 521
FB F, 110, 143
FC F, 110, 143
FDBACK, 466
Firma, 38

Índice alfabético
G Integridad
Comprobar impreso, 359
Generar complemento a dos, 518
Intercambio de datos
Getting Started (primeros pasos), 40 entre programa de usuario estándar y programa
Grupo de ejecución F, 104 de seguridad, 185
Reglas, 126 IO devices normalizados de seguridad
Ajuste predeterminado, 128 configurar, 75
definir, 129 IPAR_EN, 161
Tiempo máximo de ciclo, 129
IPAR_OK, 164
Ajuste predeterminado, 131
definir, 132
Tiempo máximo de ciclo, 132 J
Comunicación orientada a la seguridad, 136
JMP, 543
borrar, 141
modificar, 142 JMPN, 545
modificar, 142
Tiempo máximo de ciclo, 591 L
LABEL, 547
H
Lista de control, 595
Historial de modificaciones F, 355
Homologaciones, 6 M
Marca, 185
I
Memoria de trabajo necesaria para el programa de
Identificador HW, 570 seguridad, 295
IE/PB-Link, 236, 283 Memoria imagen de proceso, 53, 150, 185
Imagen Migración
crear, 318 desde S7 Distributed Safety, 32
importar, 318 de proyectos desde S7 Distributed Safety, 32
Implementación de un acuse de usuario, 181 CPU F, 36
desde S7 Distributed Safety, 239
Importación de imágenes, 318 Impreso, 333
Impreso de seguridad, 75, 358 Modificación
Impulso Datos del programa de seguridad, 339
Generar, 479 del programa de seguridad en RUN, 347
Información de calidad, 152, 163 del programa de seguridad en RUN, 349
detectar, 375
Insertar entrada binaria, 395 recepción/aceptación, 375
Instalación
Modificaciones no soportadas , 349
STEP 7 Safety, 31
STEP 7 Safety, 31 Modo Fast Commissioning, 349
STEP 7 Safety, 32 Modo productivo, 95
Instrucciones Modo seguro
para el programa de seguridad, 111 desactivar, 335
comprobar para la recepción/aceptación, 360 desactivar, 336
Consultar bit de estado OV, 569 activar, 339

Índice alfabético
MOVE, 523 Operación lógica con bits

Mover Insertar entrada binaria, 395
Copiar valor, 523 Invertir RLO, 395
Leer array F, 524 Contacto normalmente abierto, 396
Leer array F, 526 Contacto normalmente cerrado, 397
Escribir valor indirectamente en un DB F, 529 Invertir RLO, 398
Leer valor indirectamente en un DB F, 531 Asignación, 398
Desactivar salida, 399
MUL, 512 Activar salida, 400
Multiplicar, 512 Flipflop de activación/desactivación, 401
MUT_P, 446 Flipflop de desactivación/activación, 403
Consultar flanco de señal ascendente de un ope
MUTING, 436 rando, 404
Estructura de DIAG, 436 Consultar flanco de señal descendente de un
operando, 405
Consultar flanco de señal ascendente del RLO,
N 407
N, 405, 420 Consultar flanco de señal descendente del RLO,
408
N_TRIG, 408, 422 Y, 409
NEG, 518 O, 410
Nivel de protección de la CPU F, 50 O-EXCLUSIVA, 411
Asignación, 413
NOT, 398 Desactivar salida, 413
Activar salida, 415
O Flipflop de activación/desactivación, 416
Flipflop de desactivación/activación, 417
O, 410, 552 Consultar flanco de señal ascendente de un ope
OB F, 53 rando, 418
Consultar flanco de señal descendente de un
copiar, 143
operando, 420
Observación, 334 Consultar flanco de señal ascendente del RLO,
Programa de seguridad, 340 421
Programa de seguridad, 340 Consultar flanco de señal descendente del RLO,
422
O-EXCLUSIVA, 411, 553
Operando
Operaciones lógicas con palabras
Consultar flanco de señal ascendente, 404
Y, 551
Consultar flanco de señal descendente, 405
O, 552
O-EXCLUSIVA, 553
OPN, 549
OR, 552
OV, 567, 568, 569
P
P, 404, 418
P_TRIG, 407, 421

Índice alfabético
Parámetro, 46 Programación del DB de comunicación F, 239

relativos a la seguridad, 46 Programa de seguridad, 25
Parámetros de diagnóstico, 387 crear automáticamente, 50
Parámetros F, 45 Contraseña, 96
Estructuración, 104
Parámetros relativos a la seguridad, 46 Estructuración, 106
Pasivación Instrucciones, 111
canal por canal, 52 Tipos de datos, 112
Salida de valores sustitutivos, 155 borrar, 141
Periferia F, 166 Salida de valores sustitutivos, 155
Pasivación agrupada, 175 Memoria de trabajo necesaria, 295
cargar, 296
Pasivación de la periferia F, 166
comparar, 329
tras arrancar, 167
Prueba de funcionamiento, 334
después de errores de comunicación, 169
observar, 334
después de fallos de periferia F/canal, 171
Forzado, 334
Pasivación agrupada, 175
probar, 339
PASS_ON, 159 forzar, 340
PASS_OUT, 163 observar, 340
forzar, 340
Performance Level, 24
observar, 340
Periferia F, 42 Revisión del código, 358
configurar, 51 Coherencia online, 372
direccionar, 150
Protección de acceso, 95
Reintegración, 156
datos del proyecto relativos la seguridad, 96
Reintegración, 167
establecer para el programa de seguridad, 96
Reintegración, 169
En toda la CPU, 96
Reintegración, 171
Desenchufe y enchufe durante el funcionamien UMAC, 98
to, 384 en todo el proyecto, 98
para la CPU F, 99
Permiso de acceso
mediante medidas organizativas, 102
Validez, 96
establecer para la CPU F, 101 Protección de arranque, 149
retirar, 101 Protección de rearranque, 149
Validez, 101 Proyectos
PLCSIM, 334, 339 actualizar, 37
Primeros pasos, 40 actualizar, 38
actualizar, 38
Procedimiento de muting
Con barreras fotoeléctricas por reflexión, 436 Prueba de funcionamiento del programa de seguri
Con 4 sensores de muting, 436 dad, 334, 358
PROFIBUS DP, 25 Prueba del cableado, 339
PROFINET IO, 25 Prueba del programa de seguridad, 339

Programación Prueba periódica, 384
Descripción general, 104 Puntos de parada, 342
Protección de arranque, 149
Pasivación agrupada, 175
Controles de plausibilidad, 187

Índice alfabético
Q Revisión del código del programa de seguridad,

358
QBAD, 163, 165, 166
RLO
QBAD_I_xx, 163 invertir, 395
QBAD_O_xx, 163 invertir, 398
R Consultar flanco de señal ascendente, 421
R, 399, 413 Consultar flanco de señal descendente, 422
RCVDP, 197 RS, 403, 417
Recibir datos, 570 RUN, 347
Cronogramas, 570
Estructura de DIAG, 570
Comportamiento en caso de errores de comuni S
cación, 570 S, 400, 415
RCVS7, 238, 239, 337, 579 S7-PLCSIM, 334
RD_ARRAY_DI, 526 Probar con, 343
RD_ARRAY_I, 524 Safety Administration Editor, 78
RD_FDB, 531 Salida
desactivar, 399
Recepción/aceptación, 75
activar, 400
de la instalación, 357
desactivar, 413
de modificaciones relativas a la seguridad, 375
activar, 415
Recepción/aceptación de la instalación, 357
Salir, 548
Recepción/aceptación de modificaciones relativas a
Saltar
la seguridad, 375
si RLO = 1, 543
Recomendaciones Si RLO = 0, 545
Dirección PROFIsafe, 61
SCALE, 539
Reglas
Asignación de direcciones, 66 SCALE_D, 541
Asignación de direcciones, 68 Segmento
para la prueba, 339 Insertar, 390
Reintegración de la periferia F, 156 Insertar, 393
tras arrancar el sistema F, 167 Seguridad de operación de la instalación, 12
después de errores de comunicación, 169 SENDDP, 197
después de fallos de periferia F/canal, 171 Estructura de DIAG, 570
en caso de pasivación agrupada, 175 Enviar datos, 570
Programación de un acuse de usuario, 177 Cronogramas, 570
Programación de un acuse de usuario, 181 Comportamiento en caso de errores de comuni
Requisitos de seguridad, 12, 24 cación, 570
Requisitos de software, 31, 31, 32 SENDS7, 238, 239, 337, 579
Restar, 510 SFDOOR, 472
RET, 548 Shared Device
configurar, 59
Retardo a la conexión, 484
SHL, 557
Retardo de desconexión, 489
SHR, 555
SIL, 24

Índice alfabético
SIMATIC Safety, 5 Tiempo de ciclo F, tiempo de vigilancia, 588

Descripción general del producto, 24 Tiempo de reacción del sistema F, 586, 591
Principio de las funciones de seguridad, 24
Componentes de hardware y software, 25 Tiempo de seguridad del proceso, 592
Software de configuración y programación, 25 Tiempo de vigilancia, 586
Programa de seguridad, 25 Tiempo de ciclo F, 588
Simulación, 334 Comunicación entre I-slave y slave, 589
Comunicación entre CPU F y periferia F, 589
Sistema de seguridad, 24 Comunicación entre CPU F, 590
Sistema F
Tiempo de vigilancia F, 49
Comprobaciones, 64
Comunicación F, 93
Tiempo de reacción, 586 Tiempo máximo de ciclo, 586, 591
SR, 401, 416 TIMEOUT, 586, 590
STEP 7 Safety, 5 Tipo de datos PLC
Soporte adicional, 5 Conforme con F, 118
Service & Support, 5 Tipo de datos PLC conforme con F (UDT), 118
Nociones básicas, necesarias, 5 Tipo de dirección PROFIsafe, 42
Documentación, 6
Tipos de datos
Conjunto de la documentación, 6
para el programa de seguridad, 112
Convenciones de escritura, 10
Tipos de parámetros, 112
STOP, 380
TOF, 489
STP, 380
TON, 484
SUB, 510
TP, 479
Sumar, 507
Transferencia de datos
Sustitución del programa de seguridad al programa de usua
Componentes de software, 384 rio estándar, 185
del programa de usuario estándar al programa
T de seguridad, 187
TWO_H_EN, 432
Tabla de observación, 342
Tabla de verdad TWO_HAND, 429
Y, 410
O, 411 U
O-EXCLUSIVA, 412
UMAC, 98
Tamaño de los bloques F generados automática
mente, 295 UUID de comunicación F, 93
Temporizadores
Generar impulso, 479 V
Retardo al conectar, 484
Generar retardo de desconexión, 489 V2-MODE, 75
Tiempo de ciclo
Grupo de ejecución F, 129
Grupo de ejecución F, 132
máximo, 586

Índice alfabético
Valor
copiar, 523
Escribir indirectamente en un DB F, 529
leer indirectamente en un DB F, 531
convertir, 532
escalar, 539
Escalar al tipo de datos DINT, 541
Valor sustitutivo, 136, 155
Variable
DB de periferia F, 158
observar/forzar, 339
Variable de diagnóstico, 387
Vigilancia
Vigilancia de mando a dos manos, 429
Vigilancia de mando a dos manos, 432
W
W_BO, 536
WR_FDB, 529
X
X, 411
XOR, 553
Y
Y, 409, 551


Progfailleses Es Es

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Progfailleses Es Es

Cargado por

Copyright:

Formatos disponibles

Manual de programación y de manejo

Edición 11/2022 siemens.com

SIMATIC Safety Administration Editor

Manual de programación y manejo

Siemens AG A5E52320350-AM Copyright © Siemens AG 2011 - 2022.

Conocimientos básicos necesarios

SIMATIC Safety - Configuración y programación

• Sistemas de periferia descentralizada conectados a

Ámbito de validez de la documentación

Catalogación en el conjunto de la documentación

SIMATIC Safety - Configuración y programación

En el presente documento se remite a los puntos necesarios de dicha documentación.

SIMATIC Safety - Configuración y programación

Documentación Contenidos relevantes en síntesis

SIMATIC Safety - Configuración y programación

Documentación Contenidos relevantes en síntesis

Toda la documentación de SIMATIC S7está disponible en DVD. Más información en Internet

SIMATIC Safety - Configuración y programación

SIMATIC Safety - Configuración y programación

Encontrará el catálogo online y el sistema de pedidos online en Internet

Asistencia técnica (Technical Support)

SIMATIC Safety - Configuración y programación

Nota importante para preservar la seguridad de operación de la instalación

SIMATIC Safety - Configuración y programación

Siemens Industry Online Support

SIMATIC Safety - Configuración y programación

1 Descripción general del producto....................................................................................................... 24

SIMATIC Safety - Configuración y programación

2.14 Particularidades de la configuración de DP slaves normalizados de seguridad y IO devi­ .... 75

3 Safety Administration Editor.............................................................................................................. 78

SIMATIC Safety - Configuración y programación

5.2.5 Comunicación entre grupos de ejecución F (S7-1200, S7-1500)......................................... 139

6 Acceso a la periferia F......................................................................................................................... 150

7 Implementación de un acuse de usuario............................................................................................ 177

8 Intercambio de datos entre programa de usuario estándar y programa de seguridad..................... 185

9 Comunicación orientada a la seguridad............................................................................................. 189

SIMATIC Safety - Configuración y programación

9.1 Configuración y programación de la comunicación (S7-300, S7-400)................................. 189

SIMATIC Safety - Configuración y programación

9.2.2.3 Programación de la comunicación IO controller-IO controller orientada a la seguridad....... 256

10 Compilación y puesta en marcha del programa de seguridad........................................................... 294

SIMATIC Safety - Configuración y programación

11 Recepción/aceptación de la instalación.............................................................................................. 357

SIMATIC Safety - Configuración y programación

12 Operación y mantenimiento............................................................................................................... 380

13 Instrucciones de STEP 7 Safety V18.................................................................................................... 389

SIMATIC Safety - Configuración y programación

13.2.2.1 Operación lógica Y (STEP 7 Safety V18)............................................................................. 409

SIMATIC Safety - Configuración y programación

A Tiempos de vigilancia y tiempos de reacción..................................................................................... 586

SIMATIC Safety - Configuración y programación

B Lista de control................................................................................................................................... 595

Índice alfabético................................................................................................................................. 601

SIMATIC Safety - Configuración y programación

Sistema de seguridad SIMATIC Safety

Requisitos de seguridad alcanzables

Seguridad funcional en SIMATIC Safety

SIMATIC Safety - Configuración y programación

procesamiento seguro, de acuerdo con la clase de seguridad requerida. El usuario solo

Ejemplo de función de seguridad del usuario y función de reacción a errores

1.2 Componentes de hardware y software

Componentes de hardware y software de SIMATIC Safety

SIMATIC Safety - Configuración y programación

2.14 Particularidades de la configuración de DP slaves normalizados de seguridad y IO devi .... 75