Elettron. MODULO 6ES7138-4FB04-0AB0 6ES7 138-4FB04-0AB0 6ES7138-4FBO4-OABO

Siemens 6ES7138-4FB04-0AB0 | SIMATIC ET 200S 4 F-DO PROFIsafe — 24VDC / 2A / SIL 3 / PL e / doppio canale / Fail-to-Safe / 30mm

Commutazione uscita di sicurezza certificata in 30 mm

Laddove un modulo di uscita digitale ET 200S standard commuta 24 V CC a un attuatore su comando del PLC, il modulo F-DO fa qualcosa di categoricamente diverso: aggiunge ridondanza interna a doppio canale, autodiagnostica continua e comunicazione PROFIsafe, consentendo al sistema di dimostrare agli enti di certificazione che la funzione di sicurezza (rimozione dell'alimentazione da un attuatore pericoloso) viene raggiunta con una probabilità di guasto quantificata che soddisfa i requisiti SIL 3 o PL e.

Prima che esistessero gli I/O di sicurezza distribuiti, la commutazione delle uscite SIL 3 richiedeva gruppi di relè di sicurezza cablati: ingombranti, costosi e poco flessibili. Il 6ES7138-4FB04-0AB0 implementa la stessa funzione di sicurezza in un modulo largo 30 mm sulla stazione ET 200S, comunicando tramite PROFIsafe sullo stesso cavo Profibus DP che trasporta già dati I/O standard. La larghezza di 30 mm del modulo (il doppio dei 15 mm standard) accoglie il secondo transistor di commutazione per canale e il circuito di monitoraggio incrociato richiesto per l'architettura a doppio canale.

Specifiche chiave

SIL 3 / PL e — quantificato, non rivendicato

SIL 3 (IEC 61508) definisce una probabilità di guasto pericoloso su richiesta (PFD) compresa tra 10⁻⁴ e 10⁻³ all'anno — la probabilità che l'uscita non si disecciti quando comandata è compresa tra lo 0,01% e lo 0,1% all'anno. PL e (ISO 13849) corrisponde ad un PFHd inferiore a 10⁻⁷ guasti pericolosi all'ora.

Questi valori richiedono ridondanza all'interno del modulo. Ciascun canale di uscita utilizza un'architettura a doppio canale: due interruttori a semiconduttore indipendenti in serie, con monitoraggio incrociato. Se un interruttore non si apre a comando, l'altro forza l'uscita in uno stato diseccitato (sicuro). Impulsi di prova periodici esercitano ciascun transistor e verificano che possa effettivamente commutare, rilevando guasti bloccati prima che diventino pericolosi.

La classificazione SIL 3 / PL e è ciò che l'hardware del modulo può supportare. Il raggiungimento di questi livelli da parte di un'applicazione specifica dipende dall'intero circuito di sicurezza: F-CPU, configurazione PROFIsafe, programma di sicurezza scritto con F-FB certificati e calcolo della verifica SIL dell'integratore di sistema su tutti i componenti.

PROFIsafe: Fail-to-Safe in caso di perdita di comunicazione

PROFIsafe (IEC 61784-3-3) aggiunge un livello di comunicazione di sicurezza sopra il telegramma standard Profibus o PROFINET: un CRC calcolato sui dati di sicurezza più un numero di sequenza, più un timer watchdog nel modulo F-DO stesso.

Se il master Profibus DP (CPU F) perde il contatto con la stazione ET 200S (guasto del cavo, errore di terminazione del bus, perdita di alimentazione della stazione), il timer watchdog interno del modulo F-DO scade. Il modulo diseccita incondizionatamente tutte e quattro le uscite ed entra nello stato sicuro, senza alcun comando esplicito da parte della CPU che non può più raggiungere. Perdita di comunicazione = stato sicuro. Non è prevista la riattivazione automatica una volta ripristinata la comunicazione; è necessaria la riattivazione deliberata dell'operatore dopo la risoluzione del guasto.

Domande frequenti

D1: Cosa succede alle uscite F-DO quando la comunicazione Profibus DP fallisce?

Il watchdog interno del modulo F-DO scade se non viene ricevuto alcun telegramma PROFIsafe valido entro il timeout configurato. Il modulo diseccita immediatamente tutte e quattro le uscite e mantiene lo stato sicuro, senza attendere un comando della CPU, che non può più raggiungere. Le uscite rimangono diseccitate finché la comunicazione non viene ripristinata e il programma di sicurezza le riattiva esplicitamente attraverso una sequenza di riavvio deliberata. Non è prevista la riattivazione automatica.

D2: La classificazione SIL 3 del modulo garantisce SIL 3 per qualsiasi applicazione che lo utilizza?

No. Il modulo fornisce l'architettura hardware per supportare SIL 3, ma è necessario valutare l'intero circuito di sicurezza: tolleranza agli errori hardware della F-CPU, configurazione della temporizzazione PROFIsafe, programma di sicurezza scritto con F-FB certificati Siemens e un calcolo PFD/PFHd completo per il circuito di sicurezza utilizzando i tassi di guasto contenuti nel Manuale di sicurezza di ciascun componente. Il Manuale di sicurezza 6ES7138-4FB04-0AB0 (disponibile tramite Siemens Industry Online Support) è il riferimento autorevole per i vincoli architettonici, gli intervalli dei test funzionali e i valori dei parametri di sicurezza.

Q3: Come funziona il meccanismo degli impulsi di prova dell'F-DO e può causare la commutazione del carico?

Brevi impulsi di prova diseccitano periodicamente ciascun canale di uscita per verificare che i transistor di uscita possano effettivamente aprirsi. La durata dell'impulso è dell'ordine dei microsecondi, sufficientemente breve da consentire alle bobine dei relè di sicurezza standard e ai contattori elettromeccanici, dotati di inerzia elettromagnetica, di non avere il tempo di cambiare stato. Il Manuale di sicurezza F-DO specifica la durata massima dell'impulso di prova e l'induttanza di carico minima richiesta. Per la maggior parte dei relè di sicurezza e dei carichi delle bobine dei contattori, gli impulsi di prova non causano interferenze.

Q4: Quali sono le differenze tra un F-DO e un modulo ET 200S DO standard nel cablaggio, nella programmazione e nella certificazione?

Cablaggio: le uscite F-DO si collegano tramite il modulo terminale TM-PF30S47-F1. Alcune applicazioni utilizzano due canali in serie (votazione 2oo2): TM-PF30S47-F1 fornisce la configurazione di cablaggio appropriata. Programmazione: i canali F-DO sono indirizzabili solo all'interno del programma di sicurezza, in esecuzione nel runtime F dedicato della F-CPU utilizzando gli F-FB Siemens.

Gli OB standard e le istruzioni del programma standard non possono accedere agli indirizzi F-DO. Certificazione: i moduli DO standard non hanno classificazione di sicurezza. La classificazione SIL 3 / PL e dell'F-DO richiede l'implementazione secondo il Manuale di sicurezza da parte di ingegneri qualificati della sicurezza funzionale.

D5: Qual è la sostituzione consigliata per i nuovi progetti di sicurezza?

Per le nuove installazioni Siemens consiglia la piattaforma SIMATIC ET 200SP con i relativi moduli F-DQ (ad es. F-DQ 4×24VDC/2A PPM). L'ET 200SP offre funzionalità di sicurezza equivalenti o superiori con larghezze dei moduli più piccole e compatibilità con TIA Portal/STEP 7 Safety Advanced. Le installazioni ET 200S esistenti che utilizzano 6ES7138-4FB04-0AB0 possono essere mantenute con unità di ricambio dal mercato delle eccedenze industriali: verificare l'integrità del certificato di sicurezza, la versione del firmware e la cronologia dei test funzionali prima di installare qualsiasi modulo F usato o ricondizionato in un'applicazione di sicurezza.