Fil d'acier à faible teneur en carbone
>
produits
>
Contrôleur logique programmable PLC
>
|
| Lieu d'origine | Allemagne |
| Nom de marque | SIMENS |
| Certification | CE RoHS |
| Numéro de modèle | 6ES7138-4FB04-0AB0 |
LeLes produits de la catégorie 1 doivent être présentés dans la catégorie 1 de la présente annexe.is a four-channel fail-safe digital output module for the SIMATIC ET 200S distributed I/O system — one of the most compact hardware implementations of certified safety output switching available for PROFIBUS-connected systems.
Lorsque les modules de sortie numérique standard passent simplement de 24 VDC à des actionneurs sur commande du PLC, le module F-DO ajoute une couche complète d'auto-surveillance, de comparaison intercanal, and certified fault-response behaviour that allows the system to demonstrate to certification bodies that the safety function — cutting power to a hazardous actuator — is achieved with a quantified probability of failure that meets SIL 3 or PL e requirements.
Ce module appartient à l'ère de l'E/S de sécurité distribuée qui a transformé la façon dont la sécurité fonctionnelle a été mise en œuvre dans l'automatisation des processus et des machines au cours des années 2000 et 2010.Avant PROFIsafe, la sécurité distribuée, la commutation de sortie SIL 3 nécessitait des relais de sécurité câblés dédiés, encombrants, coûteux, inflexibles et difficiles à reconfigurer.
Avec les modules PROFIsafe comme le 6ES7138-4FB04-0AB0, la fonction de sécurité réside dans un module de 30 mm de large sur la station ET 200S,avec la communication de sécurité gérée par le profil PROFIsafe sur le câble DP PROFIBUS standard qui transporte déjà les données d'E/S standard.
La certification de sécurité est réalisée par la combinaison de l'architecture interne de surveillance des défauts du module et des mesures de sécurité propres au protocole de communication PROFIsafe.
| Paramètre | Valeur |
|---|---|
| Les canaux F-DO | 4 |
| Voltage de sortie | 24 VDC |
| Courant de sortie | 2A par canal |
| Largeur du module | 30 mm |
| Niveau de sécurité (ISO 13849) | Jusqu'à PL e |
| Niveau de sécurité (CEI 61508) | Jusqu'à SIL 3 |
| Le protocole | PROFIsafe par rapport à PROFIBUS DP |
| Il est également compatible avec | PROFINET par le biais de l'IM 151-3 PN HF |
| Le statut | Réserves abandonnées (octobre 2020) |
Les évaluations d'intégrité de la sécurité du 6ES7138-4FB04-0AB0 ne sont pas des étiquettes de commercialisation, mais des évaluations quantitatives de la probabilité que le module ne remplisse pas sa fonction de sécurité lorsqu'il est demandé..
La norme IEC 61508 définit le niveau d'intégrité de la sécurité 3 (SIL 3) comme une probabilité de défaillance dangereuse à la demande (PFD) dans la plage de 10−4 à 10−3 par an pour les fonctions de sécurité en mode faible demande la probabilité que la sortie ne se désactive pas à la commande est comprise entre 00,01 et 0,1% par an.
EN ISO 13849-1 Performance Level e (PL e) corresponds to a probability of dangerous failure per hour (PFHd) below 10⁻⁷ — below one dangerous failure per 10 million hours for continuous and high-demand mode functions.
La réalisation de SIL 3 ou PL e avec un seul module de sortie nécessite une redondance et une couverture diagnostique au sein du module lui-même.chaque canal de sortie utilise une architecture de commutation à deux canaux: deux commutateurs semi-conducteurs indépendants (généralement un dispositif P-canal et un dispositif N-canal en série,ou deux transistors de commutation indépendants avec surveillance croisée) qui doivent tous deux être d'accord pour activer la sortie.
Si un interrupteur ne s'ouvre pas à la commande, l'autre capte la faute et force la sortie à un état sûr (déchargé).
Le diagnostic interne du module surveille continuellement les deux interrupteurs pour les courts-circuits, les circuits ouverts,et les défauts de circuit croisé ∙ détecter les défauts qui empêcheraient une dé-alimentation sûre avant qu'ils ne deviennent dangereux.
Lorsqu'un défaut est détecté, le module le signale via PROFIsafe au F-CPU, qui peut alors déclencher la réponse de sécurité appropriée (initiation d'un état de sécurité, déclenchement d'une alarme,enregistrement de l'événement de défaillance).
PROFIsafe est un profil d'application PROFIBUS/PROFINET, certifié IEC 61784-3-3, qui ajoute une couche de communication de sécurité en plus de la structure de télégramme PROFIBUS ou PROFINET standard.
Alors que le télégramme PROFIBUS standard transporte des données d'E/S entre le DP master et la station ET 200S sans aucune garantie de sécurité,le télégramme PROFIsafe ajoute un CRC (check de redondance cyclique) calculé sur les données de sécurité et un numéro de séquence, ainsi qu'un mécanisme de temps d'arrêt de surveillance pour s'assurer que les données endommagées, les anciens paquets refaits et les paquets perdus sont tous détectés et traités en toute sécurité.
Le module F-DO sur l'ET 200S échange des télégrammes PROFIsafe avec le F-CPU (CPU à défaut).Le F-CPU exécute le programme de sécurité écrit dans STEP 7 F-FBs (blocs de fonctions sans échec) en utilisant les bibliothèques de programmation F standard et envoie des commandes de sortie au F-DO via PROFIsafe.
Si la communication PROFIsafe est perdue (faute de câble, arrêt de la station, erreur CRC),le F-DO passe automatiquement ses sorties à l'état de sécurité (déchargée) sans attendre une commande du processeur.
This "de-energise on communication loss" behaviour is fundamental to the PROFIsafe profile and is what allows safety functions to be implemented over standard fieldbus infrastructure without the fieldbus itself requiring intrinsic safety certification.
The 6ES7138-4FB04-0AB0's 30mm module width (double the standard 15mm) is driven by the more complex internal electronics required for dual-channel output architecture and comprehensive self-diagnostics.
La largeur supplémentaire accueille le deuxième transistor de commutation par canal, le circuit de surveillance croisée,et les circuits de génération d'impulsions de test nécessaires pour exercer périodiquement le chemin de commutation et vérifier que chaque transistor peut effectivement ouvrir et fermer.
Il est essentiel que le module F-DO ne soit pas monté sur un module terminal ET 200S standard.
Il nécessite le module terminal spécifique TM-PF30S47-F1 (3RK1 903-3AA00), conçu pour répondre aux exigences de câblage à double canal du F-DO et à sa configuration de connecteur spéciale.Les modules terminaux TM-P ou TM-E standard ne sont pas compatibles avec les modules F-DO et ne peuvent pas remplacer les modules TM-PF30S47-F1.
Il s'agit d'un détail important concernant l'approvisionnement: lors de l'approvisionnement d'un remplacement 6ES7138-4FB04-0AB0,le module de borne correspondant doit être vérifié si il est déjà installé dans la station à partir de la construction initiale, il reste en place lorsque le module électronique F-DO est remplacé; si le module terminal est également endommagé ou doit être remplacé, le TM-PF30S47-F1 doit être acheté séparément.
Alors que le mode de fonctionnement ET 200S standard utilise les modules d'interface IM 151-1 ou IM 151-3 sur PROFIBUS DP,le 6ES7138-4FB04-0AB0 est également compatible avec le module d'interface IM 151-3 PN HF (High Feature PROFINET), ce qui permet à la station ET 200S de se connecter via PROFINET IO plutôt que PROFIBUS DP.
Dans les configurations PROFINET utilisant IM 151-3 PN HF, le module F-DO continue de communiquer via PROFIsafe
La certification de sécurité reste valide en mode PROFINET; les mesures de sécurité du protocole PROFIsafe s'appliquent de façon identique sur les couches de transport PROFIBUS et PROFINET.
Cette compatibilité PROFINET permet d'intégrer le module F-DO dans de nouveaux systèmes de sécurité conçus autour de l'architecture PROFINET,et permet aux stations ET 200S F-DO existantes d'être équipées de la connectivité PROFINET en modifiant uniquement le module d'interface, sans toucher le module F-DO ni le câblage de son module terminal.
Q1: Quelle est la différence entre un module de sortie numérique ET 200S standard et ce module F-DO sans échec en termes de câblage, de programmation et d'exigences de certification?
Les différences sont substantielles dans les trois dimensions.
Dans le câblage: un module DO standard a un seul terminal de sortie par canal; les sorties du module F-DO sont acheminées par une architecture à double commutateur en interne,Mais du point de vue du câblage de champ, la sortie apparaît comme un seul terminal 24V et un terminal commun.
Cependant,Certaines applications de sécurité nécessitent 2oo2 (deux-sur-deux) de vote dans le câblage de terrain ?? reliant la charge en série avec deux canaux F-DO de sorte que les deux doivent s'activer pour que la charge soit alimentéeLe module terminal TM-PF30S47-F1 fournit la configuration de câblage appropriée pour les architectures de sécurité F-DO.
En programmation: les modules DO standard sont traités comme des octets de sortie normaux dans l'image du processus, écrits par des instructions STEP 7 standard dans l'OB utilisateur standard.Les modules F-DO sont exclusivement traités dans le cadre du programme de sécurité, qui s'exécute dans l'environnement d'exécution F dédié du F-CPU dans un OB de sécurité distinct (typiquement OB35 ou l'OB de sécurité configuré).Les blocs de programme de sécurité doivent être créés à l'aide des F-FB de Siemens à partir de la bibliothèque F et ne peuvent être programmés que par des ingénieurs ayant suivi la formation de programmation F-Safety STEP 7 de Siemens..
Dans le cadre de la certification: les modules standard DO ne sont pas certifiés de sécurité et ne peuvent pas être utilisés dans des fonctions équipées d'instruments de sécurité.
La certification SIL 3 / PL e du module F-DO est documentée dans son manuel de sécurité (fourni par Siemens) qui spécifie les contraintes architecturales, les exigences de couverture diagnostique,les intervalles d'essai et de vérification nécessaires pour atteindre chaque niveau de certification dans une application réelle.
L'intégrateur de système doit vérifier que la combinaison de F-CPU, PROFIsafe et F-DO répond à la SIL/PL requise pour la fonction de sécurité spécifique mise en œuvre.
Q2: Que se passe-t-il avec les sorties F-DO lors d'une panne de communication PROFIBUS DP entre le F-CPU et la station ET 200S contenant le module F-DO?
Une défaillance de communication déclenche l'un des comportements de sécurité les plus fondamentaux de PROFIsafe.
Lorsque le maître DP PROFIBUS (l'interface DP du F-CPU) perd le contact avec la station esclave ET 200S en raison d'une défaillance du câble, d'une erreur de terminaison du bus, d'une perte de courant de la station,ou toute autre cause qui empêche les télégrammes PROFIsafe valides d'atteindre le module F-DO.
À l'expiration, le module désactive inconditionnellement les quatre sorties F-DO et entre dans un état sûr, sans attendre une commande explicite du processeur (qu'il ne peut plus atteindre).Ce comportement passif de défaut de sécurité est une exigence fondamentale du profil PROFIsafe et du cadre IEC 61508..
Le temps d'exécution F du processeur détecte simultanément la perte de communication et génère la réponse appropriée du programme de sécurité (généralement la transition vers STOP ou logique d'arrêt sécurisé).Les sorties F-DO restent désactivées jusqu'à rétablissement de la communication., l'état du module est vérifié et le programme de sécurité réactive explicitement les sorties par une action ou une séquence de redémarrage délibérée de l'opérateur.
Il n'y a pas de réactivation automatique des sorties F-DO après une panne de communication,même après le rétablissement de la communication, une réactivation délibérée est nécessaire pour confirmer que les conditions de sécurité ont été vérifiées.
Q3: Le module est classé SIL 3, cela signifie-t-il que toute application utilisant ce module F-DO atteint automatiquement SIL 3, ou y a-t-il des exigences supplémentaires?
La qualification du module est une condition nécessaire mais non suffisante pour atteindre le niveau SIL 3 dans une application de sécurité réelle.
Le module fournit l'architecture matérielle et la couverture diagnostique pour prendre en charge SIL 3, mais l'ensemble de la fonction SIF (Safety Instrumented Function) du déclencheur final jusqu'au F-DO,par le biais de la communication PROFIsafe, à travers le programme de sécurité du F-CPU, à travers la logique de sécurité, au capteur d'initiation, doit être évalué comme une boucle de sécurité complète.
Les principales exigences supplémentaires comprennent: l'utilisation d'un F-CPU SIL 3 avec une tolérance à la défaillance matérielle appropriée; l'utilisation de PROFIsafe par rapport à PROFIBUS avec une configuration répondant aux exigences de chronométrage PROFIsafe;rédaction du programme de sécurité à l'aide de F-FB certifiés conformément aux contraintes de programmation du manuel de sécurité Siemens; effectuer le calcul de l'intégrité de sécurité (PFD/PFHd) pour l'ensemble de la boucle de sécurité en utilisant les taux de défaillance du manuel de sécurité de chaque composant;mise en œuvre d'essais de vérification à l'intervalle spécifié dans le manuel de sécurité; et veiller à ce que l'ingénierie des applications soit effectuée par des ingénieurs qualifiés en sécurité fonctionnelle (idéalement des FSE certifiés TÜV).
Le manuel de sécurité du 6ES7138-4FB04-0AB0, disponible auprès du support en ligne de Siemens Industry,est la référence officielle pour toutes ces exigences et doit être réexaminée dans le cadre de tout développement d'applications de sécurité..
Q4: Comment fonctionne le mécanisme d'impulsion d'essai dans le F-DO et peut-il provoquer de brèves interruptions de sortie susceptibles d'interférer avec les charges connectées?
Le module F-DO génère périodiquement des impulsions d'essaides impulsions de dé-alimentation contrôlées sur chaque canal de sortie pour vérifier que les transistors de commutation de sortie fonctionnent correctement et peuvent effectivement se dé-alimenter sur commande.
Il s'agit d'un mécanisme de diagnostic standard dans les modules de sortie sans défaut, nécessaire pour atteindre la couverture diagnostique (DC) nécessaire pour SIL 3 / PL e.Les impulsions d'essai se situent généralement dans la gamme des microsecondes, suffisamment courtes pour que la charge connectée (un relais de sécurité, bobine de contacteur, ou solénoïde) n'a pas le temps de se désactiver et de se réactiver pendant l'impulsion, car l'inertie électromagnétique de la charge empêche le changement d'état dans des interruptions aussi courtes.
Cependant, cela dépend des caractéristiques de la charge: les charges avec des temps de réponse très rapides (certains appareils électroniques avec une inductance minimale) peuvent détecter l'impulsion d'essai comme une brève panne. The F-DO module's Safety Manual specifies the maximum test pulse duration and the minimum load inductance / response time required to ensure that test pulses do not cause nuisance switching of the load.
Pour la plupart des bobines de relais de sécurité et des contactors électromécaniques utilisés dans les machines et les équipements de traitement, la durée de l'impulsion d'essai est nettement inférieure au temps de rupture de la bobine,et aucune interférence avec le fonctionnement de la charge ne se produit.
Q5: Le module a été arrêté en octobre 2020. Quel est le remplacement recommandé pour les nouvelles installations, et les unités 6ES7138-4FB04-0AB0 existantes peuvent-elles être entretenues avec des pièces de rechange?
Pour les nouvelles conceptions d'automatisation de la sécurité, Siemens recommande le système d'E/S distribué SIMATIC ET 200SP avec les modules F-DQ (False-Safe Digital Output) appropriés,comme le module PPM F-DQ 4×24VDC/2A pour ET 200SP.
La plateforme ET 200SP est le successeur de la génération actuelle de l'ET 200S, offrant une fonctionnalité de sécurité équivalente avec des largeurs de module plus petites, une configuration plus rapide,et compatibilité avec le portail TIA et STEP 7 Sécurité avancée.
Existing installations using the 6ES7138-4FB04-0AB0 can continue to be maintained using spare modules sourced from the industrial surplus market — stocks of discontinued Siemens safety modules are well-established in the industrial spare parts networkLors de l'acquisition de modules F-DO réaménagés ou utilisés pour des applications de sécurité, l'historique complet des essais de l'unité, l'intégrité du joint de sécurité et la version du micrologiciel doivent être vérifiés avant l'installation.
Le manuel de sécurité exige que tout module de remplacement soit vérifié quant à la validité de son certificat de sécurité et que la fonction de sécurité soit testée après remplacement.
A migration project to ET 200SP should be considered if the installed ET 200S station needs significant modification or if the number of F-DO modules in the installation is large enough to justify the engineering investment before the end of spare parts availability.
Contactez-nous à tout moment
