Модуль 6ES7138-4FB04-0AB0 6ES7 138-4FB04-0AB0

Siemens 6ES7138-4FB04-0AB0 | Модуль электроники SIMATIC ET 200S — 4 F-DO PROFIsafe, 24VDC / 2A, PL E (ISO 13849), SIL 3 (IEC 61508), 30 мм, PROFIBUS DP / PROFINET с IM 151-3 HF

Обзор — Безопасные цифровые выходы в архитектуре ET 200S

Модуль Siemens 6ES7138-4FB04-0AB0 представляет собой четырехканальный безопасный модуль цифровых выходов для распределенной системы ввода-вывода SIMATIC ET 200S — одну из самых компактных аппаратных реализаций сертифицированного коммутирующего оборудования для систем, подключенных по PROFIBUS.

В то время как стандартные модули цифровых выходов просто подают напряжение 24 В постоянного тока на исполнительные механизмы по команде ПЛК, модуль F-DO добавляет полный уровень самомониторинга, межканального сравнения и сертифицированного поведения при отказе, что позволяет системе продемонстрировать сертифицирующим органам, что функция безопасности — отключение питания опасного исполнительного механизма — достигается с количественной вероятностью отказа, соответствующей требованиям SIL 3 или PL e.

Этот модуль относится к эпохе распределенных безопасных модулей ввода-вывода, которая трансформировала реализацию функциональной безопасности в автоматизации процессов и машин в 2000-х и 2010-х годах. До появления распределенных безопасных модулей ввода-вывода PROFIsafe для достижения коммутации выходов SIL 3 требовались специализированные реле безопасности с жестким подключением — громоздкие, дорогие, негибкие и трудные для перенастройки.

С модулями, поддерживающими PROFIsafe, такими как 6ES7138-4FB04-0AB0, функция безопасности находится в модуле шириной 30 мм на станции ET 200S, а безопасная связь осуществляется с помощью профиля PROFIsafe, работающего поверх стандартного кабеля PROFIBUS DP, который уже передает стандартные данные ввода-вывода. 

Сертификация безопасности достигается за счет сочетания внутренней архитектуры мониторинга отказов модуля и собственных мер безопасности протокола связи PROFIsafe.

Основные характеристики

PL e и SIL 3 — что означают сертификаты на практике

Рейтинги целостности безопасности 6ES7138-4FB04-0AB0 — это не маркетинговые ярлыки, а количественные оценки вероятности отказа модуля в выполнении своей функции безопасности при запросе.

IEC 61508 определяет уровень целостности безопасности 3 (SIL 3) как вероятность опасного отказа по запросу (PFD) в диапазоне от 10⁻⁴ до 10⁻³ в год для функций безопасности в режиме низкочастотных запросов — другими словами, вероятность того, что выход не отключится по команде, составляет от 0,01% до 0,1% в год.

EN ISO 13849-1 Performance Level e (PL e) соответствует вероятности опасного отказа в час (PFHd) ниже 10⁻⁷ — менее одного опасного отказа на 10 миллионов часов для функций непрерывного режима и режима высоких частот запросов.

Достижение SIL 3 или PL e с помощью одного выходного модуля требует избыточности и диагностического покрытия внутри самого модуля. В 6ES7138-4FB04-0AB0 каждый выходной канал использует двухканальную коммутирующую архитектуру: два независимых полупроводниковых ключа (обычно один P-канальный и один N-канальный прибор последовательно, или два независимых коммутирующих транзистора с перекрестным мониторингом), которые должны одновременно сработать для активации выхода.

Если один ключ не открывается по команде, другой обнаруживает неисправность и переводит выход в безопасное (обесточенное) состояние.

Внутренняя диагностика модуля непрерывно контролирует оба ключа на предмет коротких замыканий, обрывов и перекрестных неисправностей — обнаруживая неисправности, которые могут помешать безопасному отключению, прежде чем они станут опасными. 

При обнаружении неисправности модуль сообщает о ней через PROFIsafe в F-CPU, который затем может инициировать соответствующую реакцию безопасности (перевод в безопасное состояние, срабатывание сигнализации, запись события неисправности).

PROFIsafe — уровень безопасной связи

PROFIsafe — это прикладной профиль PROFIBUS/PROFINET, сертифицированный по IEC 61784-3-3, который добавляет уровень безопасной связи поверх стандартной структуры телеграмм PROFIBUS или PROFINET.

В то время как стандартная телеграмма PROFIBUS передает данные ввода-вывода между мастером DP и станцией ET 200S без каких-либо гарантий безопасности, телеграмма PROFIsafe добавляет CRC (циклический избыточный код), вычисленный как по данным безопасности, так и по порядковому номеру, плюс механизм тайм-аута сторожевого таймера — гарантируя, что поврежденные данные, повторно воспроизведенные старые пакеты и потерянные пакеты обнаруживаются и обрабатываются безопасно.

Модуль F-DO на ET 200S обменивается телеграммами PROFIsafe с F-CPU (безопасным ПЛК). F-CPU выполняет программу безопасности — написанную с использованием F-FBs (безопасных функциональных блоков) STEP 7 из стандартных библиотек F — и отправляет команды на выход F-DO через PROFIsafe.

Если связь PROFIsafe теряется (обрыв кабеля, отключение станции, ошибка CRC), модуль F-DO автоматически переводит свои выходы в безопасное состояние (обесточенное) без ожидания команды от ПЛК — безопасность выхода сохраняется даже при отказе пути связи.

Такое поведение «обесточивание при потере связи» является основополагающим для профиля PROFIsafe и позволяет реализовать функции безопасности поверх стандартной инфраструктуры полевой шины без необходимости сертификации самой полевой шины на взрывозащищенность.

Ширина 30 мм и требование специального терминального модуля

Ширина модуля 6ES7138-4FB04-0AB0 в 30 мм (вдвое больше стандартных 15 мм) обусловлена более сложной внутренней электроникой, необходимой для двухканальной выходной архитектуры и всесторонней самодиагностики.

Дополнительная ширина вмещает второй коммутирующий транзистор на канал, схему перекрестного мониторинга и схемы генерации тестовых импульсов, необходимые для периодической проверки коммутирующего тракта и подтверждения того, что каждый транзистор может фактически открываться и закрываться.

Важно отметить, что модуль F-DO не устанавливается на стандартный терминальный модуль ET 200S.

Он требует специального безопасного терминального модуля TM-PF30S47-F1 (3RK1 903-3AA00), который разработан для поддержки двухканальных требований к подключению F-DO и его специальной конфигурации разъема. Стандартные терминальные модули TM-P или TM-E несовместимы с модулями F-DO и не могут заменить TM-PF30S47-F1. 

Это важная деталь при закупке: при поиске замены для 6ES7138-4FB04-0AB0 необходимо проверить соответствующий терминальный модуль — если он уже установлен на станции с момента первоначальной сборки, он остается на месте при замене электронного модуля F-DO; если терминальный модуль также поврежден или требует замены, TM-PF30S47-F1 необходимо приобретать отдельно.

Совместимость с PROFINET через IM 151-3 PN HF

Хотя стандартный режим работы ET 200S использует модули интерфейса IM 151-1 или IM 151-3 на PROFIBUS DP, 6ES7138-4FB04-0AB0 также совместим с модулем интерфейса IM 151-3 PN HF (High Feature PROFINET), который позволяет станции ET 200S подключаться через PROFINET IO вместо PROFIBUS DP.

В конфигурациях PROFINET с использованием IM 151-3 PN HF модуль F-DO продолжает обмениваться данными через PROFIsafe — но теперь по среде PROFINET, а не PROFIBUS.

Сертификация безопасности остается действительной в режиме PROFINET; меры безопасности протокола PROFIsafe применяются одинаково как к транспортным уровням PROFIBUS, так и к PROFINET. 

Эта совместимость с PROFINET позволяет использовать модуль F-DO в новых системах безопасности, разработанных на основе архитектуры PROFINET, а также модернизировать существующие станции ET 200S с F-DO для подключения по PROFINET, заменив только модуль интерфейса, не затрагивая модуль F-DO или его проводку терминального модуля.

Часто задаваемые вопросы

В1: В чем разница между стандартным модулем цифровых выходов ET 200S и этим безопасным модулем F-DO с точки зрения подключения, программирования и требований к сертификации?

Различия существенны по всем трем аспектам.

В подключении: стандартный модуль DO имеет один выходной терминал на канал; выходы модуля F-DO внутренне маршрутизируются через двухключевую архитектуру, но с точки зрения подключения к полюсу выход представляется как один 24-вольтовый терминал и общий.

Однако некоторые приложения безопасности требуют голосования 2 из 2 (2oo2) в полевом подключении — последовательного подключения нагрузки к двум каналам F-DO, чтобы оба должны были активироваться для подачи питания на нагрузку. Терминальный модуль TM-PF30S47-F1 обеспечивает соответствующую конфигурацию подключения для архитектур безопасности F-DO. 

В программировании: стандартные модули DO адресуются как обычные байты вывода в образе процесса, записываемые стандартными инструкциями STEP 7 в стандартный OB пользователя. Модули F-DO адресуются исключительно в программе безопасности, которая выполняется в выделенной среде выполнения F F-CPU в отдельном безопасном OB (обычно OB35 или настроенном безопасном OB). Блоки программы безопасности должны создаваться с использованием F-FBs Siemens из библиотеки F и могут программироваться только инженерами, прошедшими обучение STEP 7 Safety F-programming от Siemens.

В сертификации: стандартные модули DO не имеют сертификации безопасности и не могут использоваться в функциях безопасности.

Сертификация SIL 3 / PL e модуля F-DO документирована в его Руководстве по безопасности (предоставляется Siemens), которое определяет архитектурные ограничения, требования к диагностическому покрытию и интервалы проверки, необходимые для достижения каждого уровня сертификации в реальном приложении.

Системный интегратор должен убедиться, что комбинация F-CPU, PROFIsafe и F-DO соответствует требуемому SIL/PL для реализуемой функции безопасности.

В2: Что происходит с выходами F-DO во время сбоя связи PROFIBUS DP между F-CPU и станцией ET 200S, содержащей модуль F-DO?

Сбой связи инициирует одно из наиболее фундаментальных безопасных поведений PROFIsafe.

Когда мастер PROFIBUS DP (интерфейс DP F-CPU) теряет контакт со станцией-ведомым устройством ET 200S — из-за обрыва кабеля, ошибки терминации шины, потери питания станции или любой другой причины, препятствующей достижению действительных телеграмм PROFIsafe до модуля F-DO — истекает время сторожевого таймера модуля F-DO. 

По истечении срока действия модуль безусловно обесточивает все четыре выхода F-DO и переходит в безопасное состояние, не ожидая явной команды от ПЛК (до которого он больше не может добраться). Такое пассивное поведение «отказ в безопасном состоянии» является основным требованием профиля PROFIsafe и структуры IEC 61508.

Среда выполнения F ПЛК одновременно обнаруживает потерю связи и генерирует соответствующую реакцию программы безопасности (обычно переход в режим STOP или логику безопасного отключения). Выходы F-DO остаются обесточенными до восстановления связи, проверки состояния модуля и явной повторной активации выходов программой безопасности посредством преднамеренного действия оператора или последовательности перезапуска.

Автоматическая повторная активация выходов F-DO после сбоя связи отсутствует, даже после восстановления связи — требуется преднамеренная повторная активация для подтверждения того, что безопасные условия были проверены.

В3: Модуль рассчитан на SIL 3. Означает ли это, что любое приложение, использующее этот модуль F-DO, автоматически достигает SIL 3, или есть дополнительные требования?

Рейтинг модуля является необходимым, но недостаточным условием для достижения SIL 3 в реальном приложении безопасности.

Модуль обеспечивает аппаратную архитектуру и диагностическое покрытие для поддержки SIL 3, но вся функция безопасности (SIF) — от конечного исполнительного механизма обратно через F-DO, через связь PROFIsafe, через программу безопасности F-CPU, через логику безопасности, до инициирующего датчика — должна оцениваться как полный контур безопасности.

Ключевые дополнительные требования включают: использование F-CPU, способного работать с SIL 3, с соответствующей отказоустойчивостью; использование PROFIsafe поверх PROFIBUS с конфигурацией, соответствующей требованиям к времени выполнения PROFIsafe; написание программы безопасности с использованием сертифицированных F-FBs в соответствии с ограничениями программирования в Руководстве по безопасности Siemens; выполнение расчета целостности безопасности (PFD/PFHd) для всего контура безопасности с использованием коэффициентов отказа из Руководства по безопасности каждого компонента; реализация проверки работоспособности с интервалом, указанным в Руководстве по безопасности; и обеспечение того, чтобы разработка приложения выполнялась квалифицированными инженерами по функциональной безопасности (в идеале сертифицированными TÜV FSE). 

Руководство по безопасности 6ES7138-4FB04-0AB0, доступное в Siemens Industry Online Support, является авторитетным источником для всех этих требований и должно быть изучено при разработке любого приложения безопасности.

В4: Как работает механизм тестовых импульсов в F-DO, и может ли он вызывать кратковременные прерывания выходного сигнала, которые могут повлиять на подключенные нагрузки?

Модуль F-DO периодически генерирует тестовые импульсы — кратковременные, контролируемые импульсы обесточивания на каждом выходном канале — для проверки правильности работы выходных коммутирующих транзисторов и их способности обесточиваться по команде.

Это стандартный диагностический механизм в безопасных выходных модулях, необходимый для достижения диагностического покрытия (DC), требуемого для SIL 3 / PL e. Тестовые импульсы обычно находятся в диапазоне микросекунд — достаточно короткие, чтобы подключенная нагрузка (реле безопасности, катушка контактора или соленоид) не успевала обесточиться и снова включиться во время импульса, поскольку электромагнитная инерция нагрузки предотвращает изменение состояния при таких кратковременных прерываниях.

Однако это зависит от характеристик нагрузки: нагрузки с очень быстрым временем отклика (некоторые электронные устройства с минимальной индуктивностью) могут воспринимать тестовый импульс как кратковременный сбой. Руководство по безопасности модуля F-DO указывает максимальную длительность тестового импульса и минимальную индуктивность / время отклика нагрузки, необходимые для обеспечения того, чтобы тестовые импульсы не вызывали ложного срабатывания нагрузки.

Для большинства катушек реле безопасности и электромеханических контакторов, используемых в машиностроении и технологическом оборудовании, длительность тестового импульса значительно меньше времени отпускания катушки, и помех работе нагрузки не возникает.

В5: Модуль был снят с производства в октябре 2020 года. Какая рекомендованная замена для новых установок, и можно ли поддерживать существующие блоки 6ES7138-4FB04-0AB0 с помощью запасных частей?

Для новых проектов автоматизации безопасности Siemens рекомендует распределенную систему ввода-вывода SIMATIC ET 200SP с соответствующими модулями F-DQ (безопасные цифровые выходы), такими как модуль F-DQ 4×24VDC/2A PPM для ET 200SP.

Платформа ET 200SP является преемником ET 200S текущего поколения, обеспечивая эквивалентную функциональность безопасности с меньшей шириной модулей, более быстрой конфигурацией и совместимостью с TIA Portal и STEP 7 Safety Advanced. 

Существующие установки, использующие 6ES7138-4FB04-0AB0, могут продолжать обслуживаться с использованием запасных модулей, приобретенных на рынке промышленного избыточного оборудования — запасы снятых с производства безопасных модулей Siemens хорошо представлены в сети промышленных запасных частей. При приобретении восстановленных или бывших в употреблении модулей F-DO для приложений безопасности необходимо проверить полную историю испытаний устройства, целостность защитной пломбы и версию прошивки перед установкой.

Руководство по безопасности требует, чтобы любой сменный модуль был проверен на действительность его сертификата безопасности, и чтобы функция безопасности была проверена после замены.

Следует рассмотреть проект миграции на ET 200SP, если установленная станция ET 200S требует значительных изменений или если количество модулей F-DO в установке достаточно велико, чтобы оправдать инвестиции в инжиниринг до окончания срока доступности запасных частей.