Siemens 6ES7138-4FB04-0AB0 | SIMATIC ET 200S 4 F-DO PROFIsafe – 24 VDC / 2 A / SIL 3 / PL e / Zweikanalig / Fail-to-Safe / 30 mm
Zertifizierte Sicherheitsausgangsschaltung in 30 mm
Während ein standardmäßiges ET 200S-Digitalausgangsmodul auf Befehl der SPS 24 VDC an einen Aktor schaltet, macht das F-DO-Modul etwas völlig anderes: Es fügt interne Zweikanalredundanz, kontinuierliche Selbstdiagnose und PROFIsafe-Kommunikation hinzu – so kann das System gegenüber Zertifizierungsstellen nachweisen, dass die Sicherheitsfunktion (Entfernung der Stromversorgung von einem gefährlichen Aktor) mit einer quantifizierten Ausfallwahrscheinlichkeit erreicht wird, die die Anforderungen von SIL 3 oder PL e erfüllt.
Bevor es verteilte Sicherheits-E/A gab, waren für die SIL-3-Ausgangsumschaltung festverdrahtete Sicherheitsrelaisbaugruppen erforderlich – sperrig, teuer, unflexibel. Das 6ES7138-4FB04-0AB0 realisiert die gleiche Sicherheitsfunktion in einem 30 mm breiten Modul auf der ET 200S-Station und kommuniziert über PROFIsafe über dasselbe PROFIBUS DP-Kabel, das bereits Standard-I/O-Daten trägt. Die Breite des Moduls von 30 mm (das Doppelte der standardmäßigen 15 mm) bietet Platz für den zweiten Schalttransistor pro Kanal und die für die Zweikanalarchitektur erforderliche Kreuzüberwachungsschaltung.
Wichtige Spezifikationen
| Parameter |
Wert |
| Teilenummer |
6ES7138-4FB04-0AB0 |
| Kanäle |
4 F-DO |
| Ausgabe |
24 VDC, 2 A/Kanal |
| Breite |
30mm |
| Sicherheitsniveau |
SIL 3 (IEC 61508) / PL e (ISO 13849) |
| Protokoll |
PROFIsafe (PROFIBUS DP oder PROFINET) |
| Terminalmodul |
TM-PF30S47-F1 (erforderlich, separate Bestellung) |
| Status |
Eingestellt im Okt. 2020 |
SIL 3 / PL e – Quantifiziert, nicht beansprucht
SIL 3 (IEC 61508) definiert eine Wahrscheinlichkeit eines gefährlichen Ausfalls bei Bedarf (PFD) zwischen 10⁻⁴ und 10⁻³ pro Jahr – die Wahrscheinlichkeit, dass der Ausgang bei Befehl nicht abschaltet, liegt zwischen 0,01 % und 0,1 % pro Jahr. PL e (ISO 13849) entspricht einem PFHd unter 10⁻⁷ gefährliche Ausfälle pro Stunde.
Diese Bewertungen erfordern Redundanz innerhalb des Moduls. Jeder Ausgangskanal nutzt eine Zweikanalarchitektur: zwei unabhängige Halbleiterschalter in Reihe mit Kreuzüberwachung. Wenn ein Schalter auf Befehl nicht geöffnet werden kann, zwingt der andere den Ausgang in einen stromlosen (sicheren) Zustand. Regelmäßige Testimpulse prüfen jeden Transistor und überprüfen, ob er tatsächlich schalten kann. Dadurch werden festsitzende Fehler erkannt, bevor sie gefährlich werden.
Die Einstufung SIL 3 / PL e ist das, was die Modulhardware unterstützen kann. Ob eine bestimmte Anwendung diese Werte erreicht, hängt vom gesamten Sicherheitskreis ab – F-CPU, PROFIsafe-Konfiguration, mit zertifizierten F-FBs geschriebenes Sicherheitsprogramm und die SIL-Verifizierungsberechnung des Systemintegrators für alle Komponenten.
PROFIsafe – Fail-to-Safe bei Kommunikationsverlust
PROFIsafe (IEC 61784-3-3) fügt über dem Standard-PROFIBUS- oder PROFINET-Telegramm eine Sicherheitskommunikationsschicht hinzu: einen CRC, der über Sicherheitsdaten berechnet wird, plus eine Sequenznummer sowie einen Watchdog-Timer im F-DO-Modul selbst.
Wenn der PROFIBUS DP-Master (F-CPU) den Kontakt zur ET 200S-Station verliert – Kabelfehler, Busabschlussfehler, Spannungsausfall der Station – läuft der interne Watchdog-Timer des F-DO-Moduls ab. Das Modul schaltet alle vier Ausgänge bedingungslos stromlos und geht in den sicheren Zustand über, ohne expliziten Befehl der CPU kann es nicht mehr erreicht werden. Kommunikationsverlust = sicherer Zustand. Nach Wiederherstellung der Kommunikation erfolgt keine automatische Reaktivierung; Nach der Störungsbeseitigung ist eine bewusste erneute Aktivierung durch den Bediener erforderlich.
FAQ
F1: Was passiert mit den F-DO-Ausgängen, wenn die PROFIBUS DP-Kommunikation ausfällt?
Der interne Watchdog des F-DO-Moduls läuft ab, wenn innerhalb des konfigurierten Timeouts kein gültiges PROFIsafe-Telegramm empfangen wird. Das Modul schaltet sofort alle vier Ausgänge stromlos und hält den sicheren Zustand – ohne auf einen CPU-Befehl zu warten, den es nicht mehr erreichen kann. Ausgänge bleiben stromlos, bis die Kommunikation wiederhergestellt ist und das Sicherheitsprogramm sie durch eine bewusste Neustartsequenz explizit wieder aktiviert. Es erfolgt keine automatische Reaktivierung.
F2: Garantiert die SIL-3-Modulbewertung SIL 3 für jede Anwendung, die sie verwendet?
Nein. Das Modul bietet die Hardware-Architektur zur Unterstützung von SIL 3, aber der gesamte Sicherheitskreis muss bewertet werden: F-CPU-Hardwarefehlertoleranz, PROFIsafe-Timing-Konfiguration, mit von Siemens zertifizierten F-FBs geschriebenes Sicherheitsprogramm und eine vollständige PFD/PFHd-Berechnung für den Sicherheitskreis unter Verwendung der Fehlerraten aus dem Sicherheitshandbuch jeder Komponente. Das Sicherheitshandbuch 6ES7138-4FB04-0AB0 (verfügbar über den Siemens Industry Online Support) ist die maßgebliche Referenz für architektonische Einschränkungen, Proof-Test-Intervalle und Sicherheitsparameterwerte.
F3: Wie funktioniert der Testimpulsmechanismus des F-DO und kann er eine Lastumschaltung verursachen?
Kurze Testimpulse schalten jeden Ausgangskanal regelmäßig ab, um zu überprüfen, ob die Ausgangstransistoren tatsächlich öffnen können. Die Impulsdauer liegt im Mikrosekundenbereich – kurz genug, dass Standard-Sicherheitsrelaisspulen und elektromechanische Schütze, die über elektromagnetische Trägheit verfügen, keine Zeit haben, ihren Zustand zu ändern. Das F-DO-Sicherheitshandbuch gibt die maximale Testimpulsdauer und die minimal erforderliche Lastinduktivität an. Bei den meisten Sicherheitsrelais- und Schützspulenlasten verursachen Testimpulse keine Störungen.
F4: Was sind die Unterschiede zwischen einem F-DO und einem Standard-ET 200S DO-Modul in Bezug auf Verkabelung, Programmierung und Zertifizierung?
Verkabelung: F-DO-Ausgänge werden über das Terminalmodul TM-PF30S47-F1 angeschlossen. Einige Anwendungen nutzen zwei Kanäle in Reihe (2oo2-Voting) – der TM-PF30S47-F1 bietet die entsprechende Verkabelungskonfiguration. Programmierung: F-DO-Kanäle sind nur innerhalb des Sicherheitsprogramms adressierbar, das in der dedizierten F-Laufzeit der F-CPU unter Verwendung von Siemens F-FBs ausgeführt wird.
Standard-OBs und Standardprogrammanweisungen können nicht auf F-DO-Adressen zugreifen. Zertifizierung: Standard-DO-Module haben keine Sicherheitsbewertung. Die SIL 3/PL e-Einstufung des F-DO erfordert die Implementierung gemäß dem Sicherheitshandbuch durch qualifizierte Ingenieure für funktionale Sicherheit.
F5: Was ist der empfohlene Ersatz für neue Sicherheitsdesigns?
Für Neuinstallationen empfiehlt Siemens die Plattform SIMATIC ET 200SP mit den entsprechenden F-DQ-Modulen (z. B. F-DQ 4×24VDC/2A PPM). ET 200SP bietet gleichwertige oder höhere Sicherheitsfähigkeit bei kleineren Modulbreiten und TIA Portal / STEP 7 Safety Advanced-Kompatibilität. Vorhandene ET 200S-Installationen mit 6ES7138-4FB04-0AB0 können mit Ersatzgeräten aus dem industriellen Überschussmarkt gewartet werden – überprüfen Sie die Integrität des Sicherheitszertifikats, die Firmware-Version und den Proof-Test-Verlauf, bevor Sie ein gebrauchtes oder generalüberholtes F-Modul in einer Sicherheitsanwendung installieren.
Ihre Nachricht muss zwischen 20 und 3.000 Zeichen enthalten!
