Heim
>
produits
>
PLC speicherprogrammierbare Steuerung
>
|
| Herkunftsort | Deutschland |
| Markenname | SIMENS |
| Zertifizierung | CE RoHS |
| Modellnummer | 6ES7138-4FB04-0AB0 |
Das Siemens 6ES7138-4FB04-0AB0 ist ein vierkanaliges Fail-Safe Digitalausgangsmodul für das dezentrale I/O-System SIMATIC ET 200S — eine der kompaktesten Hardware-Implementierungen von zertifizierten Sicherheitsausgangsschaltungen, die für PROFIBUS-verbundene Systeme verfügbar sind.
Wo Standard-Digitalausgangsmodule einfach 24VDC auf Aktoren auf Befehl der SPS schalten, fügt das F-DO-Modul eine vollständige Ebene der Selbstüberwachung, Kanalvergleich und zertifiziertes Fehlerreaktionsverhalten hinzu, das es dem System ermöglicht, Zertifizierungsstellen nachzuweisen, dass die Sicherheitsfunktion — das Abschalten eines gefährlichen Aktors — mit einer quantifizierten Ausfallwahrscheinlichkeit erreicht wird, die SIL 3- oder PL e-Anforderungen erfüllt.
Dieses Modul gehört in die Ära der dezentralen Sicherheits-I/O, die die Implementierung der funktionalen Sicherheit in der Prozess- und Maschinenautomatisierung während der 2000er und 2010er Jahre revolutionierte. Vor PROFIsafe dezentralen Sicherheits-I/O erforderte die Erreichung von SIL 3-Ausgangsschaltungen dedizierte, fest verdrahtete Sicherheitsrelais — sperrig, teuer, unflexibel und schwer neu zu konfigurieren.
Mit PROFIsafe-fähigen Modulen wie dem 6ES7138-4FB04-0AB0 befindet sich die Sicherheitsfunktion in einem 30 mm breiten Modul auf der ET 200S-Station, wobei die Sicherheitskommunikation über das PROFIsafe-Profil abgewickelt wird, das über das Standard-PROFIBUS-DP-Kabel läuft, das bereits die Standard-I/O-Daten überträgt.
Die Sicherheitszertifizierung wird durch die Kombination der internen Fehlerüberwachungsarchitektur des Moduls und der Sicherheitsmaßnahmen des PROFIsafe-Kommunikationsprotokolls erreicht.
| Parameter | Wert |
|---|---|
| F-DO-Kanäle | 4 |
| Ausgangsspannung | 24VDC |
| Ausgangsstrom | 2A pro Kanal |
| Modulbreite | 30mm |
| Sicherheitslevel (ISO 13849) | Bis zu PL e |
| Sicherheitslevel (IEC 61508) | Bis zu SIL 3 |
| Protokoll | PROFIsafe über PROFIBUS DP |
| Auch kompatibel mit | PROFINET über IM 151-3 PN HF |
| Status | Ausgelaufenes Ersatzteil (Okt. 2020) |
Die Sicherheitsintegritätsbewertungen des 6ES7138-4FB04-0AB0 sind keine Marketing-Labels — sie sind quantitative Bewertungen der Wahrscheinlichkeit, dass das Modul seine Sicherheitsfunktion nicht ausführt, wenn es dazu aufgefordert wird.
IEC 61508 definiert Safety Integrity Level 3 (SIL 3) als eine Wahrscheinlichkeit eines gefährlichen Ausfalls bei Anforderung (PFD) im Bereich von 10⁻⁴ bis 10⁻³ pro Jahr für Sicherheitsfunktionen im Niedriglastbetrieb — mit anderen Worten, die Wahrscheinlichkeit, dass der Ausgang beim Befehl nicht abschaltet, liegt zwischen 0,01 % und 0,1 % pro Jahr.
EN ISO 13849-1 Performance Level e (PL e) entspricht einer Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde (PFHd) unter 10⁻⁷ — weniger als ein gefährlicher Ausfall pro 10 Millionen Stunden für kontinuierliche und Hochlastbetriebsfunktionen.
Die Erreichung von SIL 3 oder PL e mit einem einzelnen Ausgangsmodul erfordert Redundanz und Diagnoseabdeckung innerhalb des Moduls selbst. Im 6ES7138-4FB04-0AB0 verwendet jeder Ausgangskanal eine zweikanalige Schaltungsarchitektur: zwei unabhängige Halbleiterschalter (typischerweise ein P-Kanal- und ein N-Kanal-Bauteil in Reihe oder zwei unabhängige Schalttransistoren mit Quervergleich), die beide übereinstimmen müssen, um den Ausgang zu aktivieren.
Wenn ein Schalter beim Befehl nicht öffnet, fängt der andere den Fehler ab und zwingt den Ausgang in einen sicheren (stromlosen) Zustand.
Die internen Diagnosen des Moduls überwachen kontinuierlich beide Schalter auf Kurzschlüsse, Unterbrechungen und Querverbindungsfehler — sie erkennen Fehler, die eine sichere Abschaltung verhindern würden, bevor sie gefährlich werden.
Wenn ein Fehler erkannt wird, meldet das Modul ihn über PROFIsafe an die F-CPU, die dann die entsprechende Sicherheitsreaktion einleiten kann (Einleitung eines sicheren Zustands, Auslösen eines Alarms, Aufzeichnung des Fehlerereignisses).
PROFIsafe ist ein PROFIBUS/PROFINET-Anwendungsprofil, IEC 61784-3-3 zertifiziert, das eine Sicherheitkommunikationsschicht über die Standard-Telegrammstruktur von PROFIBUS oder PROFINET legt.
Während das Standard-PROFIBUS-Telegramm I/O-Daten zwischen dem DP-Master und der ET 200S-Station ohne Sicherheitsgarantie überträgt, fügt das PROFIsafe-Telegramm eine CRC (zyklische Redundanzprüfung) hinzu, die über die Sicherheitsdaten und eine Sequenznummer berechnet wird, plus einen Watchdog-Timeout-Mechanismus — um sicherzustellen, dass beschädigte Daten, wiederholte alte Pakete und verlorene Pakete sicher erkannt und darauf reagiert werden.
Das F-DO-Modul auf der ET 200S tauscht PROFIsafe-Telegramme mit der F-CPU (Fail-Safe CPU) aus. Die F-CPU führt das Sicherheitsprogramm aus — geschrieben in STEP 7 F-FBs (Fail-Safe Function Blocks) unter Verwendung der Standard-F-Bibliotheken — und sendet Ausgangsbefehle über PROFIsafe an das F-DO.
Wenn die PROFIsafe-Kommunikation verloren geht (Kabelbruch, Stationsausfall, CRC-Fehler), schaltet das F-DO seine Ausgänge automatisch in den sicheren Zustand (stromlos), ohne auf einen CPU-Befehl zu warten — die Sicherheit des Ausgangs bleibt auch bei Ausfall des Kommunikationswegs erhalten.
Dieses Verhalten "stromlos bei Kommunikationsverlust" ist grundlegend für das PROFIsafe-Profil und ermöglicht die Implementierung von Sicherheitsfunktionen über Standard-Feldbus-Infrastrukturen, ohne dass der Feldbus selbst eine eigensichere Zertifizierung benötigt.
Die 30 mm Modulbreite des 6ES7138-4FB04-0AB0 (doppelt so breit wie die Standard-15 mm) wird durch die komplexere interne Elektronik für die zweikanalige Ausgangsarchitektur und umfassende Selbstdiagnose verursacht.
Die zusätzliche Breite beherbergt den zweiten Schalttransistor pro Kanal, die Quervergleichsschaltung und die Testpulsgenerierungsschaltungen, die benötigt werden, um den Schaltpfad periodisch zu prüfen und zu verifizieren, dass jeder Transistor tatsächlich öffnen und schließen kann.
Entscheidend ist, dass das F-DO-Modul nicht auf eine Standard-ET 200S-Anschlussklemme montiert wird.
Es benötigt die spezielle Fail-Safe-Anschlussklemme TM-PF30S47-F1 (3RK1 903-3AA00), die so konstruiert ist, dass sie die zweikanaligen Verdrahtungsanforderungen des F-DO und seine spezielle Steckerkonfiguration unterstützt. Standard-TM-P- oder TM-E-Anschlussklemmen sind nicht mit F-DO-Modulen kompatibel und können die TM-PF30S47-F1 nicht ersetzen.
Dies ist ein wichtiges Beschaffungsdetail: Bei der Beschaffung eines Ersatzes für ein 6ES7138-4FB04-0AB0 muss die entsprechende Anschlussklemme überprüft werden — wenn sie bereits in der Station ab Werk installiert ist, bleibt sie beim Austausch des F-DO-Elektronikmoduls erhalten; wenn die Anschlussklemme ebenfalls beschädigt ist oder ersetzt werden muss, muss die TM-PF30S47-F1 separat beschafft werden.
Während der Standardbetriebsmodus der ET 200S die Schnittstellenmodule IM 151-1 oder IM 151-3 auf PROFIBUS DP verwendet, ist das 6ES7138-4FB04-0AB0 auch mit dem Schnittstellenmodul IM 151-3 PN HF (High Feature PROFINET) kompatibel, das es der ET 200S-Station ermöglicht, über PROFINET IO anstelle von PROFIBUS DP zu verbinden.
In PROFINET-Konfigurationen mit IM 151-3 PN HF kommuniziert das F-DO-Modul weiterhin über PROFIsafe — aber jetzt über das PROFINET-Medium anstelle von PROFIBUS.
Die Sicherheitszertifizierung bleibt im PROFINET-Modus gültig; die Sicherheitsmaßnahmen des PROFIsafe-Protokolls gelten identisch über beide Transportprotokolle von PROFIBUS und PROFINET.
Diese PROFINET-Kompatibilität ermöglicht die Integration des F-DO-Moduls in neue Sicherheitssysteme, die auf der PROFINET-Architektur basieren, und ermöglicht die Nachrüstung bestehender ET 200S F-DO-Stationen mit PROFINET-Konnektivität durch Austausch nur des Schnittstellenmoduls, ohne das F-DO-Modul oder seine Anschlussklemmenverdrahtung zu berühren.
F1: Was ist der Unterschied zwischen einem Standard-ET 200S-Digitalausgangsmodul und diesem Fail-Safe F-DO-Modul in Bezug auf Verdrahtung, Programmierung und Zertifizierungsanforderungen?
Die Unterschiede sind in allen drei Dimensionen erheblich.
Bei der Verdrahtung: Ein Standard-DO-Modul hat einen einzelnen Ausgangsanschluss pro Kanal; die Ausgänge des F-DO-Moduls werden intern über eine Zweifachschalterarchitektur geleitet, erscheinen aber aus Sicht der Feldverdrahtung als ein einzelner 24V-Anschluss und ein gemeinsamer.
Bestimmte Sicherheitsanwendungen erfordern jedoch eine 2oo2 (Zwei-von-Zwei)-Abstimmung in der Feldverdrahtung — die Last wird in Reihe mit zwei F-DO-Kanälen geschaltet, so dass beide aktiviert sein müssen, damit die Last eingeschaltet wird. Die Anschlussklemme TM-PF30S47-F1 bietet die entsprechende Verdrahtungskonfiguration für F-DO-Sicherheitsarchitekturen.
Bei der Programmierung: Standard-DO-Module werden als normale Ausgangsbytes im Prozessabbild adressiert, die von Standard-STEP 7-Instruktionen im Standard-Benutzer-OB geschrieben werden. F-DO-Module werden ausschließlich im Sicherheitsprogramm adressiert, das in der dedizierten F-Laufzeitumgebung der F-CPU in einem separaten Sicherheits-OB (typischerweise OB35 oder dem konfigurierten Sicherheits-OB) läuft. Sicherheitsprogrammblöcke müssen mit den F-FBs von Siemens aus der F-Bibliothek erstellt werden und können nur von Ingenieuren programmiert werden, die die STEP 7 Safety F-Programmierungsschulung von Siemens absolviert haben.
Bei der Zertifizierung: Standard-DO-Module haben keine Sicherheitszertifizierung und können nicht in sicherheitsinstrumentierten Funktionen verwendet werden.
Die SIL 3 / PL e-Zertifizierung des F-DO-Moduls ist in seinem Sicherheitshandbuch (von Siemens bereitgestellt) dokumentiert, das die Architekturbeschränkungen, Diagnoseabdeckungsanforderungen und Nachprüfintervalle festlegt, die zur Erreichung jedes Zertifizierungsniveaus in einer realen Anwendung erforderlich sind.
Der Systemintegrator muss sicherstellen, dass die Kombination aus F-CPU, PROFIsafe und F-DO die erforderliche SIL/PL für die spezifische zu implementierende Sicherheitsfunktion erfüllt.
F2: Was passiert mit den F-DO-Ausgängen bei einem PROFIBUS DP-Kommunikationsfehler zwischen der F-CPU und der ET 200S-Station, die das F-DO-Modul enthält?
Ein Kommunikationsfehler löst eines der grundlegendsten PROFIsafe-Sicherheitsverhalten aus.
Wenn der PROFIBUS DP-Master (die DP-Schnittstelle der F-CPU) den Kontakt zur ET 200S-Slave-Station verliert — aufgrund eines Kabelbruchs, eines Busabschlussfehlers, eines Stromausfalls der Station oder einer anderen Ursache, die verhindert, dass gültige PROFIsafe-Telegramme das F-DO-Modul erreichen — läuft der interne Watchdog-Timer des F-DO-Moduls ab.
Nach Ablauf schaltet das Modul bedingungslos alle vier F-DO-Ausgänge stromlos und geht in einen sicheren Zustand über, ohne auf einen expliziten Befehl der CPU zu warten (die es nicht mehr erreichen kann). Dieses passive Fail-to-Safe-Verhalten ist eine Kernanforderung des PROFIsafe-Profils und des IEC 61508-Frameworks.
Die F-Laufzeit der CPU erkennt gleichzeitig den Kommunikationsverlust und generiert die entsprechende Sicherheitsprogrammreaktion (typischerweise Übergang in STOP oder sichere Abschaltlogik). Die F-DO-Ausgänge bleiben stromlos, bis die Kommunikation wiederhergestellt ist, der Status des Moduls überprüft wurde und das Sicherheitsprogramm die Ausgänge durch eine bewusste Bedieneraktion oder eine Neustartsequenz explizit wieder aktiviert.
Es gibt keine automatische Wiederaktivierung von F-DO-Ausgängen nach einem Kommunikationsfehler, selbst nach Wiederherstellung der Kommunikation — eine bewusste Wiederaktivierung ist erforderlich, um zu bestätigen, dass sichere Bedingungen überprüft wurden.
F3: Das Modul ist für SIL 3 ausgelegt. Bedeutet dies, dass jede Anwendung, die dieses F-DO-Modul verwendet, automatisch SIL 3 erreicht, oder gibt es zusätzliche Anforderungen?
Die Modulbewertung ist eine notwendige, aber keine hinreichende Bedingung für die Erreichung von SIL 3 in einer realen Sicherheitsanwendung.
Das Modul bietet die Hardwarearchitektur und Diagnoseabdeckung zur Unterstützung von SIL 3, aber die gesamte Safety Instrumented Function (SIF) — vom Endaktuator über das F-DO, die PROFIsafe-Kommunikation, das F-CPU-Sicherheitsprogramm, die Sicherheitslogik bis hin zum auslösenden Sensor — muss als vollständige Sicherheitsloop bewertet werden.
Wichtige zusätzliche Anforderungen sind: Verwendung einer SIL 3-fähigen F-CPU mit entsprechender Hardware-Fehlertoleranz; Verwendung von PROFIsafe über PROFIBUS mit einer Konfiguration, die die PROFIsafe-Timing-Anforderungen erfüllt; Schreiben des Sicherheitsprogramms mit zertifizierten F-FBs gemäß den Programmierbeschränkungen im Siemens Safety Manual; Durchführung der Sicherheitsintegritätsberechnung (PFD/PFHd) für die gesamte Sicherheitsloop unter Verwendung der Ausfallraten aus dem Safety Manual jeder Komponente; Implementierung von Nachprüfungen in den im Safety Manual angegebenen Intervallen; und Sicherstellung, dass die Anwendungstechnik von qualifizierten Ingenieuren für funktionale Sicherheit (idealerweise TÜV-zertifizierten FSEs) durchgeführt wird.
Das Safety Manual des 6ES7138-4FB04-0AB0, erhältlich bei Siemens Industry Online Support, ist die maßgebliche Referenz für all diese Anforderungen und muss bei jeder Entwicklung von Sicherheitsanwendungen konsultiert werden.
F4: Wie funktioniert der Testpulsmechanismus im F-DO, und kann er kurze Ausgangsunterbrechungen verursachen, die angeschlossene Lasten stören könnten?
Das F-DO-Modul generiert periodisch Testpulse — kurze, kontrollierte Stromunterbrechungspulse auf jedem Ausgangskanal — um zu überprüfen, ob die Ausgangsschalttransistoren ordnungsgemäß funktionieren und beim Befehl tatsächlich abschalten können.
Dies ist ein Standard-Diagnosemechanismus in Fail-Safe-Ausgangsmodulen, der zur Erreichung der für SIL 3 / PL e erforderlichen Diagnoseabdeckung (DC) notwendig ist. Die Testpulse liegen typischerweise im Mikrosekundenbereich — kurz genug, dass die angeschlossene Last (ein Sicherheitsrelais, eine Schützspule oder ein Magnetventil) keine Zeit hat, während des Pulses abzuschalten und wieder einzuschalten, da die elektromagnetische Trägheit der Last bei so kurzen Unterbrechungen keinen Zustandswechsel verursacht.
Dies hängt jedoch von den Eigenschaften der Last ab: Lasten mit sehr schnellen Reaktionszeiten (einige elektronische Geräte mit geringer Induktivität) können den Testpuls als kurzen Glitch erkennen. Das Safety Manual des F-DO-Moduls gibt die maximale Testpulsdauer und die minimale Lastinduktivität / Reaktionszeit an, die erforderlich sind, um sicherzustellen, dass Testpulse keine Fehlfunktionen der Last verursachen.
Für die meisten Sicherheitsrelaisspulen und elektromechanischen Schütze, die in Maschinen und Anlagen eingesetzt werden, liegt die Testpulsdauer weit unter der Abfallzeit der Spule, und es treten keine Störungen im Lastbetrieb auf.
F5: Das Modul wurde im Oktober 2020 eingestellt. Was ist die empfohlene Ersatzlösung für Neuinstallationen, und können bestehende 6ES7138-4FB04-0AB0-Einheiten mit Ersatzteilen gewartet werden?
Für neue Designs zur Sicherheitsautomatisierung empfiehlt Siemens das dezentrale I/O-System SIMATIC ET 200SP mit den entsprechenden F-DQ (Fail-Safe Digital Output)-Modulen, wie z.B. dem F-DQ 4x24VDC/2A PPM-Modul für ET 200SP.
Die ET 200SP-Plattform ist der Nachfolger der aktuellen Generation der ET 200S und bietet die gleiche Sicherheitsfunktionalität mit geringeren Modulbreiten, schnellerer Konfiguration und Kompatibilität mit TIA Portal und STEP 7 Safety Advanced.
Bestehende Installationen, die das 6ES7138-4FB04-0AB0 verwenden, können weiterhin mit Ersatzmodulen aus dem industriellen Gebrauchtmarkt gewartet werden — Bestände von eingestellten Siemens-Sicherheitsmodulen sind im industriellen Ersatzteilnetzwerk gut etabliert. Bei der Beschaffung von generalüberholten oder gebrauchten F-DO-Modulen für Sicherheitsanwendungen müssen die vollständige Testgeschichte, die Integrität des Sicherheitssiegels und die Firmware-Version des Geräts vor der Installation überprüft werden.
Das Safety Manual verlangt, dass jedes Ersatzmodul auf seine Gültigkeit des Sicherheitszertifikats überprüft wird und dass die Sicherheitsfunktion nach dem Austausch einer Nachprüfung unterzogen wird.
Ein Migrationsprojekt auf ET 200SP sollte in Betracht gezogen werden, wenn die installierte ET 200S-Station erhebliche Änderungen benötigt oder wenn die Anzahl der F-DO-Module in der Installation groß genug ist, um die Engineering-Investition vor dem Ende der Ersatzteilverfügbarkeit zu rechtfertigen.
KONTAKTIEREN SIE UNS JEDERZEIT
