Casa
>
prodotti
>
PLC Controllore Logico Programmabile
>
|
| Luogo di origine | Germania |
| Marca | SIMENS |
| Certificazione | CE RoHS |
| Numero di modello | 6ES7138-4FB04-0AB0 |
Il Siemens 6ES7138-4FB04-0AB0 è un modulo di uscita digitale fail-safe a quattro canali per il sistema di I/O distribuito SIMATIC ET 200S — una delle implementazioni hardware più compatte di commutazione di uscita di sicurezza certificata disponibili per sistemi connessi PROFIBUS.
Dove i moduli di uscita digitale standard commutano semplicemente 24VDC agli attuatori su comando del PLC, il modulo F-DO aggiunge un livello completo di autodiagnosi, confronto tra canali e comportamento di risposta ai guasti certificato che consente al sistema di dimostrare agli organismi di certificazione che la funzione di sicurezza — interruzione dell'alimentazione a un attuatore pericoloso — è raggiunta con una probabilità quantificata di guasto che soddisfa i requisiti SIL 3 o PL e.
Questo modulo appartiene all'era degli I/O di sicurezza distribuiti che hanno trasformato l'implementazione della sicurezza funzionale nell'automazione di processo e macchinari durante gli anni 2000 e 2010. Prima degli I/O di sicurezza distribuiti PROFIsafe, il raggiungimento della commutazione di uscita SIL 3 richiedeva relè di sicurezza dedicati cablati — ingombranti, costosi, inflessibili e difficili da riconfigurare.
Con moduli compatibili PROFIsafe come il 6ES7138-4FB04-0AB0, la funzione di sicurezza risiede in un modulo largo 30 mm sulla stazione ET 200S, con la comunicazione di sicurezza gestita dal profilo PROFIsafe in esecuzione sul cavo PROFIBUS DP standard che trasporta già i dati I/O standard.
La certificazione di sicurezza è ottenuta attraverso la combinazione dell'architettura di monitoraggio guasti interna del modulo e delle misure di sicurezza del protocollo di comunicazione PROFIsafe.
| Parametro | Valore |
|---|---|
| Canali F-DO | 4 |
| Tensione di Uscita | 24VDC |
| Corrente di Uscita | 2A per canale |
| Larghezza Modulo | 30mm |
| Livello di Sicurezza (ISO 13849) | Fino a PL e |
| Livello di Sicurezza (IEC 61508) | Fino a SIL 3 |
| Protocollo | PROFIsafe su PROFIBUS DP |
| Compatibile Anche Con | PROFINET tramite IM 151-3 PN HF |
| Stato | Ricambio dismesso (Ottobre 2020) |
Le valutazioni di integrità della sicurezza del 6ES7138-4FB04-0AB0 non sono etichette di marketing — sono valutazioni quantitative della probabilità che il modulo non esegua la sua funzione di sicurezza quando richiesto.
IEC 61508 definisce il Safety Integrity Level 3 (SIL 3) come una probabilità di guasto pericoloso su richiesta (PFD) nell'intervallo di 10⁻⁴ a 10⁻³ all'anno per funzioni di sicurezza in modalità a bassa domanda — in altre parole, la probabilità che l'uscita non si disattivi quando comandato è compresa tra lo 0,01% e lo 0,1% all'anno.
EN ISO 13849-1 Performance Level e (PL e) corrisponde a una probabilità di guasto pericoloso all'ora (PFHd) inferiore a 10⁻⁷ — meno di un guasto pericoloso ogni 10 milioni di ore per funzioni in modalità continua e ad alta domanda.
Il raggiungimento di SIL 3 o PL e con un singolo modulo di uscita richiede ridondanza e copertura diagnostica all'interno del modulo stesso. Nel 6ES7138-4FB04-0AB0, ogni canale di uscita utilizza un'architettura di commutazione a doppio canale: due interruttori a semiconduttore indipendenti (tipicamente un dispositivo P-channel e uno N-channel in serie, o due transistor di commutazione indipendenti con monitoraggio incrociato) che devono concordare entrambi per attivare l'uscita.
Se un interruttore non si apre quando comandato, l'altro rileva il guasto e forza l'uscita in uno stato sicuro (disattivato).
Le diagnostiche interne del modulo monitorano continuamente entrambi gli interruttori per cortocircuiti, circuiti aperti e guasti di circuito incrociato — rilevando guasti che impedirebbero la disattivazione sicura prima che diventino pericolosi.
Quando viene rilevato un guasto, il modulo lo segnala tramite PROFIsafe all'F-CPU, che può quindi avviare la risposta di sicurezza appropriata (avvio di uno stato sicuro, attivazione di un allarme, registrazione dell'evento di guasto).
PROFIsafe è un profilo applicativo PROFIBUS/PROFINET, certificato IEC 61784-3-3, che aggiunge un livello di comunicazione di sicurezza sopra la struttura del telegramma PROFIBUS o PROFINET standard.
Mentre il telegramma PROFIBUS standard trasporta dati I/O tra il master DP e la stazione ET 200S senza alcuna garanzia di sicurezza, il telegramma PROFIsafe aggiunge un CRC (cyclic redundancy check) calcolato sia sui dati di sicurezza che su un numero di sequenza, più un meccanismo di timeout watchdog — garantendo che dati corrotti, pacchetti vecchi riprodotti e pacchetti persi vengano tutti rilevati e gestiti in modo sicuro.
Il modulo F-DO sulla ET 200S scambia telegrammi PROFIsafe con l'F-CPU (CPU fail-safe). L'F-CPU esegue il programma di sicurezza — scritto in STEP 7 F-FB (fail-safe function blocks) utilizzando le librerie F standard — e invia comandi di uscita all'F-DO tramite PROFIsafe.
Se la comunicazione PROFIsafe viene persa (guasto cavo, disconnessione stazione, errore CRC), l'F-DO porta automaticamente le sue uscite allo stato sicuro (disattivato) senza attendere un comando della CPU (che non può più raggiungere) — la sicurezza dell'uscita è mantenuta anche quando il percorso di comunicazione fallisce.
Questo comportamento "disattivazione alla perdita di comunicazione" è fondamentale per il profilo PROFIsafe ed è ciò che consente di implementare funzioni di sicurezza su infrastrutture fieldbus standard senza che il fieldbus stesso richieda una certificazione di sicurezza intrinseca.
La larghezza del modulo di 30 mm del 6ES7138-4FB04-0AB0 (il doppio dello standard 15 mm) è dovuta all'elettronica interna più complessa richiesta per l'architettura di uscita a doppio canale e la diagnostica completa.
La larghezza aggiuntiva ospita il secondo transistor di commutazione per canale, i circuiti di monitoraggio incrociato e i circuiti di generazione di impulsi di test necessari per esercitare periodicamente il percorso di commutazione e verificare che ogni transistor possa effettivamente aprirsi e chiudersi.
Fondamentalmente, il modulo F-DO non si monta su un modulo terminale ET 200S standard.
Richiede il modulo terminale fail-safe specifico TM-PF30S47-F1 (3RK1 903-3AA00), che è progettato per supportare i requisiti di cablaggio a doppio canale dell'F-DO e la sua configurazione di connettore speciale. I moduli terminali TM-P o TM-E standard non sono compatibili con i moduli F-DO e non possono sostituire il TM-PF30S47-F1.
Questo è un dettaglio di approvvigionamento importante: quando si acquista un ricambio per il 6ES7138-4FB04-0AB0, il modulo terminale corrispondente deve essere verificato — se è già installato nella stazione dalla costruzione originale, rimane al suo posto quando il modulo elettronico F-DO viene sostituito; se anche il modulo terminale è danneggiato o necessita di sostituzione, il TM-PF30S47-F1 deve essere acquistato separatamente.
Mentre la modalità operativa standard ET 200S utilizza i moduli di interfaccia IM 151-1 o IM 151-3 su PROFIBUS DP, il 6ES7138-4FB04-0AB0 è compatibile anche con il modulo di interfaccia IM 151-3 PN HF (High Feature PROFINET), che consente alla stazione ET 200S di connettersi tramite PROFINET IO anziché PROFIBUS DP.
Nelle configurazioni PROFINET che utilizzano IM 151-3 PN HF, il modulo F-DO continua a comunicare tramite PROFIsafe — ma ora sul mezzo PROFINET anziché PROFIBUS.
La certificazione di sicurezza rimane valida in modalità PROFINET; le misure di sicurezza del protocollo PROFIsafe si applicano identicamente sia ai livelli di trasporto PROFIBUS che PROFINET.
Questa compatibilità PROFINET consente al modulo F-DO di essere incorporato in nuovi sistemi di sicurezza progettati attorno all'architettura PROFINET, e consente alle stazioni ET 200S F-DO esistenti di essere aggiornate con connettività PROFINET modificando solo il modulo di interfaccia, senza toccare il modulo F-DO o il suo cablaggio del modulo terminale.
D1: Qual è la differenza tra un modulo di uscita digitale ET 200S standard e questo modulo F-DO fail-safe in termini di cablaggio, programmazione e requisiti di certificazione?
Le differenze sono sostanziali in tutte e tre le dimensioni.
Nel cablaggio: un modulo DO standard ha un singolo terminale di uscita per canale; le uscite del modulo F-DO sono instradate internamente attraverso un'architettura a doppio interruttore, ma dal punto di vista del cablaggio esterno l'uscita appare come un singolo terminale da 24V e un comune.
Tuttavia, alcune applicazioni di sicurezza richiedono un voto 2oo2 (due su due) nel cablaggio esterno — collegando il carico in serie con due canali F-DO in modo che entrambi debbano attivarsi affinché il carico si attivi. Il modulo terminale TM-PF30S47-F1 fornisce la configurazione di cablaggio appropriata per le architetture di sicurezza F-DO.
Nella programmazione: i moduli DO standard sono indirizzati come normali byte di uscita nell'immagine di processo, scritti da istruzioni STEP 7 standard nell'OB utente standard. I moduli F-DO sono indirizzati esclusivamente all'interno del programma di sicurezza, che viene eseguito nell'ambiente di runtime F dedicato della F-CPU in un OB di sicurezza separato (tipicamente OB35 o l'OB di sicurezza configurato). I blocchi del programma di sicurezza devono essere creati utilizzando gli F-FB di Siemens dalla libreria F e possono essere programmati solo da ingegneri che hanno completato la formazione sulla programmazione F di sicurezza STEP 7 di Siemens.
Nella certificazione: i moduli DO standard non hanno certificazione di sicurezza e non possono essere utilizzati in funzioni strumentate di sicurezza.
La certificazione SIL 3 / PL e del modulo F-DO è documentata nel suo Manuale di Sicurezza (fornito da Siemens), che specifica i vincoli architetturali, i requisiti di copertura diagnostica e gli intervalli di test di prova necessari per raggiungere ogni livello di certificazione in un'applicazione reale.
L'integratore di sistema deve verificare che la combinazione di F-CPU, PROFIsafe e F-DO soddisfi il SIL/PL richiesto per la specifica funzione di sicurezza implementata.
D2: Cosa succede alle uscite F-DO durante un guasto di comunicazione PROFIBUS DP tra l'F-CPU e la stazione ET 200S contenente il modulo F-DO?
Il guasto di comunicazione innesca uno dei comportamenti di sicurezza PROFIsafe più fondamentali.
Quando il master PROFIBUS DP (l'interfaccia DP dell'F-CPU) perde il contatto con la stazione slave ET 200S — a causa di un guasto del cavo, un errore di terminazione del bus, una perdita di alimentazione della stazione o qualsiasi altra causa che impedisca ai telegrammi PROFIsafe validi di raggiungere il modulo F-DO — il timer watchdog interno del modulo F-DO scade.
Alla scadenza, il modulo disattiva incondizionatamente tutte e quattro le uscite F-DO ed entra in uno stato sicuro, senza attendere un comando esplicito dalla CPU (che non può più raggiungere). Questo comportamento passivo fail-to-safe è un requisito fondamentale del profilo PROFIsafe e del framework IEC 61508.
Il runtime F della CPU rileva contemporaneamente la perdita di comunicazione e genera la risposta appropriata del programma di sicurezza (tipicamente la transizione a STOP o la logica di arresto sicuro). Le uscite F-DO rimangono disattivate fino a quando la comunicazione non viene ripristinata, lo stato del modulo viene verificato e il programma di sicurezza riattiva esplicitamente le uscite tramite un'azione deliberata dell'operatore o una sequenza di riavvio.
Non c'è riattivazione automatica delle uscite F-DO dopo un guasto di comunicazione, nemmeno dopo che la comunicazione è stata ristabilita — è necessaria una riattivazione deliberata per confermare che le condizioni di sicurezza siano state verificate.
D3: Il modulo è classificato per SIL 3. Ciò significa che qualsiasi applicazione che utilizza questo modulo F-DO raggiunge automaticamente SIL 3, o ci sono requisiti aggiuntivi?
La classificazione del modulo è una condizione necessaria ma non sufficiente per raggiungere SIL 3 in una reale applicazione di sicurezza.
Il modulo fornisce l'architettura hardware e la copertura diagnostica per supportare SIL 3, ma l'intera Safety Instrumented Function (SIF) — dall'attuatore finale indietro attraverso l'F-DO, attraverso la comunicazione PROFIsafe, attraverso il programma di sicurezza F-CPU, attraverso la logica di sicurezza, fino al sensore di innesco — deve essere valutata come un anello di sicurezza completo.
Requisiti aggiuntivi chiave includono: l'utilizzo di un F-CPU capace di SIL 3 con adeguata tolleranza ai guasti hardware; l'utilizzo di PROFIsafe su PROFIBUS con la configurazione che soddisfa i requisiti di temporizzazione PROFIsafe; la scrittura del programma di sicurezza utilizzando F-FB certificati secondo i vincoli di programmazione nel Manuale di Sicurezza Siemens; l'esecuzione del calcolo di Safety Integrity (PFD/PFHd) per l'intero anello di sicurezza utilizzando i tassi di guasto dal Manuale di Sicurezza di ciascun componente; l'implementazione di test di prova all'intervallo specificato nel Manuale di Sicurezza; e la garanzia che l'ingegneria applicativa sia eseguita da ingegneri qualificati di sicurezza funzionale (idealmente FSE certificati TÜV).
Il Manuale di Sicurezza del 6ES7138-4FB04-0AB0, disponibile su Siemens Industry Online Support, è il riferimento autorevole per tutti questi requisiti e deve essere consultato come parte di qualsiasi sviluppo di applicazione di sicurezza.
D4: Come funziona il meccanismo di impulso di test nell'F-DO e può causare brevi interruzioni di uscita che potrebbero interferire con i carichi collegati?
Il modulo F-DO genera periodicamente impulsi di test — brevi impulsi di disattivazione controllati su ciascun canale di uscita — per verificare che i transistor di commutazione di uscita funzionino correttamente e possano effettivamente disattivarsi quando comandati.
Questo è un meccanismo diagnostico standard nei moduli di uscita fail-safe, richiesto per ottenere la copertura diagnostica (DC) necessaria per SIL 3 / PL e. Gli impulsi di test sono tipicamente nell'ordine dei microsecondi — abbastanza brevi che il carico collegato (un relè di sicurezza, una bobina di contattore o un solenoide) non ha il tempo di disattivarsi e riattivarsi durante l'impulso, poiché l'inerzia elettromagnetica del carico impedisce il cambio di stato in interruzioni così brevi.
Tuttavia, ciò dipende dalle caratteristiche del carico: carichi con tempi di risposta molto rapidi (alcuni dispositivi elettronici con induttanza minima) potrebbero rilevare l'impulso di test come un breve glitch. Il Manuale di Sicurezza del modulo F-DO specifica la durata massima dell'impulso di test e l'induttanza minima del carico / tempo di risposta richiesti per garantire che gli impulsi di test non causino commutazioni anomale del carico.
Per la maggior parte delle bobine di relè di sicurezza e dei contattori elettromeccanici utilizzati in macchinari e apparecchiature di processo, la durata dell'impulso di test è ben al di sotto del tempo di dropout della bobina e non si verifica alcuna interferenza con il funzionamento del carico.
D5: Il modulo è stato dismesso nell'ottobre 2020. Qual è la sostituzione raccomandata per le nuove installazioni e le unità 6ES7138-4FB04-0AB0 esistenti possono essere mantenute con parti di ricambio?
Per i nuovi progetti di automazione di sicurezza, Siemens raccomanda il sistema di I/O distribuito SIMATIC ET 200SP con i moduli F-DQ (Fail-Safe Digital Output) appropriati, come il modulo F-DQ 4×24VDC/2A PPM per ET 200SP.
La piattaforma ET 200SP è il successore di generazione attuale di ET 200S, fornendo funzionalità di sicurezza equivalenti con larghezze di modulo inferiori, configurazione più veloce e compatibilità con TIA Portal e STEP 7 Safety Advanced.
Le installazioni esistenti che utilizzano il 6ES7138-4FB04-0AB0 possono continuare a essere mantenute utilizzando moduli di ricambio reperiti dal mercato dei surplus industriali — le scorte di moduli di sicurezza Siemens dismessi sono ben consolidate nella rete di ricambi industriali. Quando si acquistano moduli F-DO ricondizionati o usati per applicazioni di sicurezza, la cronologia completa dei test dell'unità, l'integrità del sigillo di sicurezza e la versione del firmware devono essere verificate prima dell'installazione.
Il Manuale di Sicurezza richiede che qualsiasi modulo sostitutivo sia verificato per la validità del suo certificato di sicurezza e che la funzione di sicurezza venga testata dopo la sostituzione.
Un progetto di migrazione a ET 200SP dovrebbe essere considerato se la stazione ET 200S installata necessita di modifiche significative o se il numero di moduli F-DO nell'installazione è sufficientemente elevato da giustificare l'investimento di ingegneria prima della fine della disponibilità dei pezzi di ricambio.
Contattaci in qualsiasi momento
