Moduł 6ES7138-4FB04-0AB0 6ES7 138-4FB04-0AB0

Siemens 6ES7138-4FB04-0AB0 | SIMATIC ET 200S Moduł elektroniczny — 4 F-DO PROFIsafe, 24VDC / 2A, PL E (ISO 13849), SIL 3 (IEC 61508), 30mm, PROFIBUS DP / PROFINET z IM 151-3 HF

Przegląd — Bezpieczne wyjścia cyfrowe w architekturze ET 200S

The Siemens 6ES7138-4FB04-0AB0 to czterokanałowy, bezpieczny moduł wyjść cyfrowych dla rozproszonego systemu wejść/wyjść SIMATIC ET 200S — jedna z najmniejszych implementacji sprzętowych certyfikowanych przełączników wyjściowych dostępnych dla systemów podłączonych do PROFIBUS.

Gdzie standardowe moduły wyjść cyfrowych po prostu przełączają 24VDC do elementów wykonawczych na polecenie sterownika PLC, moduł F-DO dodaje kompletną warstwę samomonitorowania, porównania międzykanałowego i certyfikowanego zachowania reakcji na usterkę, które pozwala systemowi wykazać organom certyfikującym, że funkcja bezpieczeństwa — odcięcie zasilania niebezpiecznego elementu wykonawczego — jest osiągnięta z kwantyfikowanym prawdopodobieństwem awarii, które spełnia wymagania SIL 3 lub PL e.

Moduł ten należy do ery rozproszonych bezpiecznych wejść/wyjść, która zrewolucjonizowała sposób implementacji bezpieczeństwa funkcjonalnego w automatyce procesowej i maszynowej w latach 2000. i 2010. Przed rozproszonymi bezpiecznymi wejściami/wyjściami PROFIsafe, osiągnięcie przełączania wyjść SIL 3 wymagało dedykowanych przekaźników bezpieczeństwa okablowanych na stałe — nieporęcznych, drogich, nieelastycznych i trudnych do rekonfiguracji.

Dzięki modułom kompatybilnym z PROFIsafe, takim jak 6ES7138-4FB04-0AB0, funkcja bezpieczeństwa znajduje się w module o szerokości 30 mm na stacji ET 200S, a komunikacja bezpieczeństwa jest obsługiwana przez profil PROFIsafe działający na standardowym kablu PROFIBUS DP, który już przenosi standardowe dane wejść/wyjść. 

Certyfikacja bezpieczeństwa jest osiągana dzięki połączeniu wewnętrznej architektury monitorowania usterek modułu i własnych środków bezpieczeństwa protokołu komunikacyjnego PROFIsafe.

Kluczowe specyfikacje

PL e i SIL 3 — Co oznaczają certyfikaty w praktyce

Oceny integralności bezpieczeństwa 6ES7138-4FB04-0AB0 nie są etykietami marketingowymi — są to ilościowe oceny prawdopodobieństwa awarii modułu w wykonaniu jego funkcji bezpieczeństwa, gdy jest to wymagane.

IEC 61508 definiuje Poziom Integralności Bezpieczeństwa 3 (SIL 3) jako prawdopodobieństwo niebezpiecznej awarii na żądanie (PFD) w zakresie od 10⁻⁴ do 10⁻³ rocznie dla funkcji bezpieczeństwa w trybie niskiego zapotrzebowania — innymi słowy, prawdopodobieństwo, że wyjście nie wyłączy się, gdy zostanie wydane polecenie, wynosi od 0,01% do 0,1% rocznie.

EN ISO 13849-1 Poziom Wydajności e (PL e) odpowiada prawdopodobieństwu niebezpiecznej awarii na godzinę (PFHd) poniżej 10⁻⁷ — poniżej jednej niebezpiecznej awarii na 10 milionów godzin dla funkcji ciągłych i o wysokim zapotrzebowaniu.

Osiągnięcie SIL 3 lub PL e za pomocą pojedynczego modułu wyjściowego wymaga redundancji i pokrycia diagnostycznego w samym module. W 6ES7138-4FB04-0AB0 każdy kanał wyjściowy wykorzystuje dwukanałową architekturę przełączania: dwa niezależne przełączniki półprzewodnikowe (zazwyczaj jeden P-kanałowy i jeden N-kanałowy szeregowo, lub dwa niezależne tranzystory przełączające z monitorowaniem krzyżowym), które muszą się zgodzić, aby aktywować wyjście.

Jeśli jeden przełącznik nie otworzy się na polecenie, drugi wykryje usterkę i wymusi stan bezpieczny (wyłączony) na wyjściu.

Wewnętrzna diagnostyka modułu stale monitoruje oba przełączniki pod kątem zwarć, obwodów otwartych i usterek obwodów krzyżowych — wykrywając usterki, które uniemożliwiłyby bezpieczne wyłączenie, zanim staną się niebezpieczne. 

Po wykryciu usterki moduł zgłasza ją przez PROFIsafe do F-CPU, który następnie może zainicjować odpowiednią reakcję bezpieczeństwa (inicjowanie stanu bezpiecznego, wyzwalanie alarmu, rejestrowanie zdarzenia usterki).

PROFIsafe — Warstwa komunikacji bezpieczeństwa

PROFIsafe to profil aplikacji PROFIBUS/PROFINET, certyfikowany zgodnie z IEC 61784-3-3, który dodaje warstwę komunikacji bezpieczeństwa na strukturze standardowego telegramu PROFIBUS lub PROFINET.

Podczas gdy standardowy telegram PROFIBUS przenosi dane wejść/wyjść między masterem DP a stacją ET 200S bez gwarancji bezpieczeństwa, telegram PROFIsafe dodaje kontrolę CRC (cykliczną kontrolę nadmiarowości) obliczoną zarówno dla danych bezpieczeństwa, jak i numeru sekwencyjnego, a także mechanizm limitu czasu watchdog — zapewniając, że uszkodzone dane, powtórzone stare pakiety i utracone pakiety są wykrywane i bezpiecznie obsługiwane.

Moduł F-DO na ET 200S wymienia telegramy PROFIsafe z F-CPU (bezpiecznym sterownikiem PLC). F-CPU wykonuje program bezpieczeństwa — napisany w STEP 7 F-FBs (bezpiecznych blokach funkcyjnych) przy użyciu standardowych bibliotek F — i wysyła polecenia wyjściowe do F-DO przez PROFIsafe.

Jeśli komunikacja PROFIsafe zostanie utracona (usterka kabla, awaria stacji, błąd CRC), moduł F-DO automatycznie przechodzi do stanu bezpiecznego (wyłączony) bez oczekiwania na polecenie z CPU — bezpieczeństwo wyjścia jest utrzymywane nawet w przypadku awarii ścieżki komunikacyjnej.

To zachowanie "wyłączenie przy utracie komunikacji" jest fundamentalne dla profilu PROFIsafe i pozwala na implementację funkcji bezpieczeństwa za pośrednictwem standardowej infrastruktury magistrali polowej bez konieczności certyfikacji samej magistrali polowej pod kątem bezpieczeństwa wewnętrznego.

Szerokość 30 mm i wymóg specjalnego modułu zacisków

Szerokość modułu 6ES7138-4FB04-0AB0 wynosząca 30 mm (dwukrotność standardowych 15 mm) wynika ze bardziej złożonej elektroniki wewnętrznej wymaganej dla dwukanałowej architektury wyjściowej i kompleksowej autodiagnostyki.

Dodatkowa szerokość mieści drugi tranzystor przełączający na kanał, obwody monitorowania krzyżowego i obwody generowania impulsów testowych potrzebne do okresowego sprawdzania ścieżki przełączania i weryfikacji, czy każdy tranzystor może faktycznie otwierać i zamykać.

Co kluczowe, moduł F-DO nie jest montowany na standardowym module zacisków ET 200S.

Wymaga on specjalnego bezpiecznego modułu zacisków TM-PF30S47-F1 (3RK1 903-3AA00), który jest zaprojektowany do obsługi dwukanałowych wymagań okablowania F-DO i jego specjalnej konfiguracji złącza. Standardowe moduły zacisków TM-P lub TM-E nie są kompatybilne z modułami F-DO i nie mogą zastąpić TM-PF30S47-F1. 

Jest to ważny szczegół dotyczący zakupu: przy zamawianiu zamiennika 6ES7138-4FB04-0AB0 należy zweryfikować odpowiedni moduł zacisków — jeśli jest on już zainstalowany w stacji od momentu pierwotnej budowy, pozostaje na miejscu po wymianie modułu elektronicznego F-DO; jeśli moduł zacisków jest również uszkodzony lub wymaga wymiany, należy zamówić TM-PF30S47-F1 osobno.

Kompatybilność z PROFINET przez IM 151-3 PN HF

Podczas gdy standardowy tryb pracy ET 200S wykorzystuje moduły interfejsu IM 151-1 lub IM 151-3 na PROFIBUS DP, 6ES7138-4FB04-0AB0 jest również kompatybilny z modułem interfejsu IM 151-3 PN HF (High Feature PROFINET), który umożliwia podłączenie stacji ET 200S przez PROFINET IO zamiast PROFIBUS DP.

W konfiguracjach PROFINET z użyciem IM 151-3 PN HF, moduł F-DO nadal komunikuje się przez PROFIsafe — ale teraz przez medium PROFINET zamiast PROFIBUS.

Certyfikacja bezpieczeństwa pozostaje ważna w trybie PROFINET; środki bezpieczeństwa protokołu PROFIsafe stosują się identycznie do warstw transportowych PROFIBUS i PROFINET. 

Ta kompatybilność z PROFINET pozwala na włączenie modułu F-DO do nowych systemów bezpieczeństwa zaprojektowanych w architekturze PROFINET, a także na modernizację istniejących stacji ET 200S F-DO do łączności PROFINET poprzez wymianę tylko modułu interfejsu, bez dotykania modułu F-DO ani jego okablowania modułu zacisków.

FAQ

P1: Jaka jest różnica między standardowym modułem wyjść cyfrowych ET 200S a tym bezpiecznym modułem F-DO pod względem okablowania, programowania i wymagań certyfikacyjnych?

Różnice są znaczące we wszystkich trzech wymiarach.

W okablowaniu: standardowy moduł DO ma jeden zacisk wyjściowy na kanał; wyjścia modułu F-DO są kierowane wewnętrznie przez dwukanałową architekturę przełączania, ale z perspektywy okablowania zewnętrznego wyjście pojawia się jako pojedynczy zacisk 24V i wspólny.

Jednakże, niektóre aplikacje bezpieczeństwa wymagają głosowania 2oo2 (dwa z dwóch) w okablowaniu zewnętrznym — podłączenie obciążenia szeregowo z dwoma kanałami F-DO, tak aby oba musiały się aktywować, aby obciążenie zostało zasilone. Moduł zacisków TM-PF30S47-F1 zapewnia odpowiednią konfigurację okablowania dla architektur bezpieczeństwa F-DO. 

W programowaniu: standardowe moduły DO są adresowane jako normalne bajty wyjściowe w obrazie procesu, zapisywane przez standardowe instrukcje STEP 7 w standardowym OB użytkownika. Moduły F-DO są adresowane wyłącznie w programie bezpieczeństwa, który działa w dedykowanym środowisku wykonawczym F sterownika F-CPU w osobnym OB bezpieczeństwa (zazwyczaj OB35 lub skonfigurowanym OB bezpieczeństwa). Bloki programu bezpieczeństwa muszą być tworzone przy użyciu F-FBs firmy Siemens z biblioteki F i mogą być programowane tylko przez inżynierów, którzy ukończyli szkolenie firmy Siemens STEP 7 Safety F-programming.

W certyfikacji: standardowe moduły DO nie posiadają certyfikatu bezpieczeństwa i nie mogą być używane w funkcjach instrumentacji bezpieczeństwa.

Certyfikacja SIL 3 / PL e modułu F-DO jest udokumentowana w jego Instrukcji Bezpieczeństwa (dostarczanej przez Siemens), która określa ograniczenia architektoniczne, wymagania dotyczące pokrycia diagnostycznego i interwały testów dowodowych potrzebne do osiągnięcia każdego poziomu certyfikacji w rzeczywistej aplikacji.

Integrator systemu musi zweryfikować, czy połączenie F-CPU, PROFIsafe i F-DO spełnia wymagany SIL/PL dla konkretnej implementowanej funkcji bezpieczeństwa.

P2: Co dzieje się z wyjściami F-DO podczas awarii komunikacji PROFIBUS DP między F-CPU a stacją ET 200S zawierającą moduł F-DO?

Awaria komunikacji wyzwala jedno z najbardziej fundamentalnych zachowań bezpieczeństwa PROFIsafe.

Gdy master PROFIBUS DP (interfejs DP F-CPU) traci kontakt ze stacją podrzędną ET 200S — z powodu usterki kabla, błędu terminacji magistrali, utraty zasilania stacji lub innej przyczyny uniemożliwiającej dotarcie prawidłowych telegramów PROFIsafe do modułu F-DO — wygasa wewnętrzny licznik czasu watchdog modułu F-DO. 

Po wygaśnięciu, moduł bezwarunkowo wyłącza wszystkie cztery wyjścia F-DO i przechodzi w stan bezpieczny, bez oczekiwania na wyraźne polecenie z CPU (do którego nie może już dotrzeć). To pasywne zachowanie "fail-to-safe" jest podstawowym wymogiem profilu PROFIsafe i ram PROFIsafe IEC 61508.

Środowisko wykonawcze F CPU jednocześnie wykrywa utratę komunikacji i generuje odpowiednią reakcję programu bezpieczeństwa (zazwyczaj przejście do trybu STOP lub logiki bezpiecznego wyłączenia). Wyjścia F-DO pozostają wyłączone do czasu przywrócenia komunikacji, weryfikacji stanu modułu i wyraźnego ponownego włączenia wyjść przez program bezpieczeństwa za pomocą celowego działania operatora lub sekwencji ponownego uruchomienia.

Nie ma automatycznego ponownego włączenia wyjść F-DO po awarii komunikacji, nawet po przywróceniu komunikacji — wymagane jest celowe ponowne włączenie w celu potwierdzenia, że bezpieczne warunki zostały zweryfikowane.

P3: Moduł jest oceniony na SIL 3. Czy oznacza to, że każda aplikacja wykorzystująca ten moduł F-DO automatycznie osiąga SIL 3, czy istnieją dodatkowe wymagania?

Ocena modułu jest warunkiem koniecznym, ale niewystarczającym do osiągnięcia SIL 3 w rzeczywistej aplikacji bezpieczeństwa.

Moduł zapewnia architekturę sprzętową i pokrycie diagnostyczne do obsługi SIL 3, ale cała funkcja instrumentacji bezpieczeństwa (SIF) — od ostatniego elementu wykonawczego przez F-DO, przez komunikację PROFIsafe, przez program bezpieczeństwa F-CPU, przez logikę bezpieczeństwa, do czujnika inicjującego — musi być oceniona jako kompletna pętla bezpieczeństwa.

Kluczowe dodatkowe wymagania obejmują: użycie F-CPU zdolnego do SIL 3 z odpowiednią tolerancją błędów sprzętowych; użycie PROFIsafe przez PROFIBUS z konfiguracją spełniającą wymagania czasowe PROFIsafe; napisanie programu bezpieczeństwa przy użyciu certyfikowanych F-FB zgodnie z ograniczeniami programowania w Instrukcji Bezpieczeństwa Siemens; wykonanie obliczeń integralności bezpieczeństwa (PFD/PFHd) dla całej pętli bezpieczeństwa przy użyciu wskaźników awarii z Instrukcji Bezpieczeństwa każdego komponentu; wdrożenie testów dowodowych w interwale określonym w Instrukcji Bezpieczeństwa; oraz zapewnienie, że inżynieria aplikacji jest wykonywana przez wykwalifikowanych inżynierów bezpieczeństwa funkcjonalnego (najlepiej FSE z certyfikatem TÜV). 

Instrukcja Bezpieczeństwa 6ES7138-4FB04-0AB0, dostępna w Siemens Industry Online Support, jest autorytatywnym źródłem wszystkich tych wymagań i musi być przeglądana jako część każdego opracowania aplikacji bezpieczeństwa.

P4: Jak działa mechanizm impulsów testowych w F-DO i czy może on powodować krótkie przerwy w wyjściach, które mogą zakłócać podłączone obciążenia?

Moduł F-DO okresowo generuje impulsy testowe — krótkie, kontrolowane impulsy wyłączające na każdym kanale wyjściowym — w celu weryfikacji, czy tranzystory przełączające wyjścia działają prawidłowo i mogą faktycznie wyłączyć się na polecenie.

Jest to standardowy mechanizm diagnostyczny w bezpiecznych modułach wyjściowych, wymagany do osiągnięcia pokrycia diagnostycznego (DC) potrzebnego dla SIL 3 / PL e. Impulsy testowe są zazwyczaj w zakresie mikrosekund — wystarczająco krótkie, aby podłączone obciążenie (przekaźnik bezpieczeństwa, cewka stycznika lub elektromagnes) nie miało czasu na wyłączenie i ponowne włączenie podczas impulsu, ponieważ bezwładność elektromagnetyczna obciążenia zapobiega zmianie stanu podczas tak krótkich przerw.

Jednakże, zależy to od charakterystyki obciążenia: obciążenia o bardzo szybkich czasach reakcji (niektóre urządzenia elektroniczne o minimalnej indukcyjności) mogą wykryć impuls testowy jako krótkie zakłócenie. Instrukcja Bezpieczeństwa modułu F-DO określa maksymalny czas trwania impulsu testowego i minimalną indukcyjność / czas reakcji obciążenia wymaganą do zapewnienia, że impulsy testowe nie powodują fałszywego przełączania obciążenia.

Dla większości cewek przekaźników bezpieczeństwa i styczników elektromagnetycznych używanych w maszynach i urządzeniach procesowych, czas trwania impulsu testowego jest znacznie krótszy niż czas wyłączenia cewki, i nie występuje zakłócenie działania obciążenia.

P5: Moduł został wycofany w październiku 2020 roku. Jaki jest zalecany zamiennik dla nowych instalacji i czy istniejące jednostki 6ES7138-4FB04-0AB0 mogą być utrzymywane z częściami zamiennymi?

Dla nowych projektów automatyki bezpieczeństwa, Siemens zaleca system rozproszonych wejść/wyjść SIMATIC ET 200SP z odpowiednimi modułami F-DQ (Fail-Safe Digital Output), takimi jak moduł F-DQ 4×24VDC/2A PPM dla ET 200SP.

Platforma ET 200SP jest następcą ET 200S obecnej generacji, zapewniając równoważną funkcjonalność bezpieczeństwa z mniejszymi szerokościami modułów, szybszą konfiguracją i kompatybilnością z TIA Portal i STEP 7 Safety Advanced. 

Istniejące instalacje wykorzystujące 6ES7138-4FB04-0AB0 mogą być nadal utrzymywane przy użyciu modułów zamiennych pozyskanych z rynku wtórnego przemysłowego — zapasy wycofanych modułów bezpieczeństwa Siemens są dobrze ugruntowane w sieci przemysłowych części zamiennych. Przy zakupie odnowionych lub używanych modułów F-DO do zastosowań bezpieczeństwa, przed instalacją należy zweryfikować pełną historię testów jednostki, integralność plomby bezpieczeństwa i wersję oprogramowania.

Instrukcja Bezpieczeństwa wymaga, aby każdy moduł zamienny został zweryfikowany pod kątem ważności jego certyfikatu bezpieczeństwa i aby funkcja bezpieczeństwa została poddana testowi dowodowemu po wymianie.

Należy rozważyć projekt migracji do ET 200SP, jeśli zainstalowana stacja ET 200S wymaga znaczących modyfikacji lub jeśli liczba modułów F-DO w instalacji jest wystarczająco duża, aby uzasadnić inwestycję inżynieryjną przed końcem dostępności części zamiennych.