Siemens6ES7138-4FB04-0AB0 | SIMATIC ET 200S 4 F-DO PROFIsafe — 24VDC / 2A / SIL 3 / PL e / Canal duplo / Fail-to-Safe / 30mm
Comutação de saída de segurança certificada em 30 mm
Enquanto um módulo de saída digital ET 200S padrão alterna 24 VCC para um atuador sob comando do PLC, o módulo F-DO faz algo categoricamente diferente: adiciona redundância interna de canal duplo, autodiagnóstico contínuo e comunicação PROFIsafe - permitindo que o sistema demonstre aos organismos de certificação que a função de segurança (remoção de energia de um atuador perigoso) é alcançada com uma probabilidade de falha quantificada que satisfaz os requisitos SIL 3 ou PL e.
Antes da existência de E/S de segurança distribuída, a comutação de saída SIL 3 exigia conjuntos de relés de segurança conectados fisicamente – volumosos, caros e inflexíveis. O 6ES7138-4FB04-0AB0 implementa a mesma função de segurança em um módulo de 30 mm de largura na estação ET 200S, comunicando-se via PROFIsafe através do mesmo cabo PROFIBUS DP que já transporta dados de E/S padrão. A largura de 30 mm do módulo (o dobro do padrão de 15 mm) acomoda o segundo transistor de comutação por canal e o circuito de monitoramento cruzado necessário para a arquitetura de canal duplo.
Especificações principais
| Parâmetro |
Valor |
| Número da peça |
6ES7138-4FB04-0AB0 |
| Canais |
4F-DO |
| Saída |
24VDC, 2A/canal |
| Largura |
30mm |
| Nível de segurança |
SIL 3 (IEC 61508) / PL e (ISO 13849) |
| Protocolo |
PROFIsafe (PROFIBUS DP ou PROFINET) |
| Módulo Terminal |
TM-PF30S47-F1 (obrigatório, pedido separado) |
| Status |
Descontinuado em outubro de 2020 |
SIL 3 / PL e – Quantificado, Não Reivindicado
SIL 3 (IEC 61508) define uma probabilidade de falha perigosa sob demanda (PFD) entre 10⁻⁴ e 10⁻³ por ano - a probabilidade de a saída não ser desenergizada quando comandada está entre 0,01% e 0,1% por ano. PL e (ISO 13849) corresponde a um PFHd abaixo de 10⁻⁷ falhas perigosas por hora.
Essas classificações exigem redundância dentro do módulo. Cada canal de saída utiliza uma arquitetura de canal duplo: dois interruptores semicondutores independentes em série, com monitoramento cruzado. Se uma chave não abrir sob comando, a outra forçará a saída para um estado desenergizado (seguro). Pulsos de teste periódicos exercitam cada transistor e verificam se ele pode realmente comutar – detectando falhas travadas antes que se tornem perigosas.
A classificação SIL 3/PL e é o que o hardware do módulo pode suportar. Se uma aplicação específica atinge esses níveis depende do ciclo de segurança completo — F-CPU, configuração PROFIsafe, programa de segurança escrito com F-FBs certificados e cálculo de verificação SIL do integrador de sistema em todos os componentes.
PROFIsafe — Fail-to-Safe em caso de perda de comunicação
PROFIsafe (IEC 61784-3-3) adiciona uma camada de comunicação de segurança acima do telegrama padrão PROFIBUS ou PROFINET: um CRC calculado sobre dados de segurança mais um número de sequência, além de um temporizador de vigilância no próprio módulo F-DO.
Quando o mestre PROFIBUS DP (F-CPU) perde contato com a estação ET 200S – falha no cabo, erro de terminação do barramento, perda de energia da estação – o temporizador interno de watchdog do módulo F-DO expira. O módulo desenergiza incondicionalmente todas as quatro saídas e entra no estado seguro, sem nenhum comando explícito da CPU que ele não pode mais alcançar. Perda de comunicação = estado seguro. Não há reativação automática após o restabelecimento da comunicação; a reativação deliberada do operador é necessária após a eliminação da falha.
Perguntas frequentes
Q1: O que acontece com as saídas F-DO quando a comunicação PROFIBUS DP falha?
O watchdog interno do módulo F-DO expira quando nenhum telegrama PROFIsafe válido é recebido dentro do timeout configurado. O módulo desenergiza imediatamente todas as quatro saídas e mantém o estado seguro — sem esperar por um comando da CPU, que ele não pode mais alcançar. As saídas permanecem desenergizadas até que a comunicação seja restaurada e o programa de segurança as reative explicitamente através de uma sequência de reinicialização deliberada. Não há reativação automática.
P2: A classificação do módulo SIL 3 garante SIL 3 para qualquer aplicação que o utilize?
O módulo fornece a arquitetura de hardware para suportar SIL 3, mas todo o circuito de segurança deve ser avaliado: tolerância a falhas de hardware F-CPU, configuração de temporização PROFIsafe, programa de segurança escrito com F-FBs certificados pela Siemens e um cálculo completo de PFD/PFHd para o circuito de segurança usando taxas de falha do Manual de Segurança de cada componente. O Manual de Segurança 6ES7138-4FB04-0AB0 (disponível através do Suporte Online da Indústria Siemens) é a referência oficial para restrições arquitetônicas, intervalos de teste de prova e valores de parâmetros de segurança.
Q3: Como funciona o mecanismo de pulso de teste do F-DO e ele pode causar comutação de carga?
Breves pulsos de teste desenergizam cada canal de saída periodicamente para verificar se os transistores de saída podem realmente abrir. A duração do pulso está na faixa de microssegundos – curta o suficiente para que as bobinas de relés de segurança padrão e os contatores eletromecânicos, que possuem inércia eletromagnética, não tenham tempo para mudar de estado. O Manual de Segurança F-DO especifica a duração máxima do pulso de teste e a indutância mínima de carga necessária. Para a maioria das cargas de relés de segurança e bobinas de contatores, os pulsos de teste não causam interferência.
Q4: Quais são as diferenças entre um módulo F-DO e um módulo ET 200S DO padrão em fiação, programação e certificação?
Fiação: As saídas F-DO são conectadas através do módulo terminal TM-PF30S47-F1. Algumas aplicações usam dois canais em série (votação 2oo2) — o TM-PF30S47-F1 fornece a configuração de fiação apropriada. Programação: Os canais F-DO só são endereçáveis dentro do programa de segurança, rodando no tempo de execução F dedicado da F-CPU usando F-FBs da Siemens.
OBs padrão e instruções de programa padrão não podem acessar endereços F-DO. Certificação: os módulos DO padrão não possuem classificação de segurança. A classificação SIL 3 / PL e do F-DO requer implementação de acordo com o Manual de Segurança por engenheiros de segurança funcional qualificados.
Q5: Qual é a substituição recomendada para novos projetos de segurança?
Para novas instalações, a Siemens recomenda a plataforma SIMATIC ET 200SP com os módulos F-DQ apropriados (ex., F-DQ 4×24VDC/2A PPM). O ET 200SP fornece capacidade de segurança equivalente ou superior com larguras de módulo menores e compatibilidade com TIA Portal / STEP 7 Safety Advanced. As instalações existentes do ET 200S usando 6ES7138-4FB04-0AB0 podem ser mantidas com unidades sobressalentes do mercado industrial excedente - verifique a integridade do certificado de segurança, a versão do firmware e o histórico de testes de prova antes de instalar qualquer módulo F usado ou recondicionado em uma aplicação de segurança.
Por favor verifique seu email!
