|
| Lugar de origem | Alemanha |
| Marca | SIMENS |
| Certificação | CE RoHS |
| Número do modelo | 6ES7138-4FB04-0AB0 |
O Siemens 6ES7138-4FB04-0AB0 é um módulo de saída digital à prova de falhas de quatro canais para o sistema de E/S distribuído SIMATIC ET 200S — uma das implementações de hardware mais compactas de chaveamento de saída certificado de segurança disponível para sistemas conectados a PROFIBUS.
Onde módulos de saída digital padrão simplesmente chaveiam 24VDC para atuadores sob comando do CLP, o módulo F-DO adiciona uma camada completa de aut Monit oramento, comparação entre canais e comportamento de resposta a falhas certificado que permite ao sistema demonstrar aos órgãos certificadores que a função de segurança — cortar a energia de um atuador perigoso — é alcançada com uma probabilidade quantificada de falha que atende aos requisitos SIL 3 ou PL e.
Este módulo pertence à era de E/S de segurança distribuída que transformou a forma como a segurança funcional era implementada na automação de processos e máquinas durante as décadas de 2000 e 2010. Antes das E/S de segurança distribuídas PROFIsafe, o alcance do chaveamento de saída SIL 3 exigia relés de segurança dedicados com fiação rígida — volumosos, caros, inflexíveis e difíceis de reconfigurar.
Com módulos compatíveis com PROFIsafe como o 6ES7138-4FB04-0AB0, a função de segurança reside em um módulo de 30mm de largura na estação ET 200S, com a comunicação de segurança tratada pelo perfil PROFIsafe rodando sobre o cabo PROFIBUS DP padrão que já carrega os dados de E/S padrão.
A certificação de segurança é alcançada através da combinação da arquitetura de Monit oramento de falhas interno do módulo e das próprias medidas de segurança do protocolo de comunicação PROFIsafe.
| Parâmetro | Valor |
|---|---|
| Canais F-DO | 4 |
| Tensão de Saída | 24VDC |
| Corrente de Saída | 2A por canal |
| Largura do Módulo | 30mm |
| Nível de Segurança (ISO 13849) | Até PL e |
| Nível de Segurança (IEC 61508) | Até SIL 3 |
| Protocolo | PROFIsafe sobre PROFIBUS DP |
| Também Compatível Com | PROFINET via IM 151-3 PN HF |
| Status | Peça descontinuada (Out 2020) |
As classificações de integridade de segurança do 6ES7138-4FB04-0AB0 não são rótulos de marketing — são avaliações quantitativas da probabilidade do módulo falhar em executar sua função de segurança quando solicitado.
A IEC 61508 define o Nível de Integridade de Segurança 3 (SIL 3) como uma probabilidade de falha perigosa sob demanda (PFD) na faixa de 10⁻⁴ a 10⁻³ por ano para funções de segurança em modo de baixa demanda — em outras palavras, a probabilidade de a saída falhar em desenergizar quando comandada está entre 0,01% e 0,1% por ano.
O Nível de Desempenho e (PL e) da EN ISO 13849-1 corresponde a uma probabilidade de falha perigosa por hora (PFHd) abaixo de 10⁻⁷ — abaixo de uma falha perigosa a cada 10 milhões de horas para funções em modo contínuo e de alta demanda.
Alcançar SIL 3 ou PL e com um único módulo de saída requer redundância e cobertura de diagnóstico dentro do próprio módulo. No 6ES7138-4FB04-0AB0, cada canal de saída usa uma arquitetura de chaveamento de canal duplo: dois interruptores semicondutores independentes (tipicamente um dispositivo P-channel e um N-channel em série, ou dois transistores de chaveamento independentes com Monit oramento cruzado) que devem concordar para ativar a saída.
Se um interruptor falhar em abrir quando comandado, o outro detecta a falha e força a saída para um estado seguro (desenergizado).
Os diagnósticos internos do módulo Monit oram continuamente ambos os interruptores quanto a curtos-circuitos, circuitos abertos e falhas de circuito cruzado — detectando falhas que impediriam a desenergização segura antes que elas se tornem perigosas.
Quando uma falha é detectada, o módulo a reporta através do PROFIsafe para a F-CPU, que pode então iniciar a resposta de segurança apropriada (iniciando um estado seguro, disparando um alarme, registrando o evento de falha).
PROFIsafe é um perfil de aplicação PROFIBUS/PROFINET, certificado IEC 61784-3-3, que adiciona uma camada de comunicação de segurança sobre a estrutura do telegrama PROFIBUS ou PROFINET padrão.
Enquanto o telegrama PROFIBUS padrão carrega dados de E/S entre o mestre DP e a estação ET 200S sem garantia de segurança, o telegrama PROFIsafe adiciona um CRC (verificação de redundância cíclica) calculado sobre os dados de segurança e um número de sequência, mais um mecanismo de timeout de watchdog — garantindo que dados corrompidos, pacotes antigos repetidos e pacotes perdidos sejam todos detectados e respondidos de forma segura.
O módulo F-DO na ET 200S troca telegramas PROFIsafe com a F-CPU (CPU à prova de falhas). A F-CPU executa o programa de segurança — escrito em STEP 7 F-FBs (blocos de função à prova de falhas) usando as bibliotecas de programação F padrão — e envia comandos de saída para o F-DO através do PROFIsafe.
Se a comunicação PROFIsafe for perdida (falha de cabo, queda de estação, erro de CRC), o módulo F-DO transiciona automaticamente suas saídas para o estado seguro (desenergizado) sem esperar por um comando da CPU — a segurança da saída é mantida mesmo quando o caminho de comunicação falha.
Este comportamento de "desenergizar na perda de comunicação" é fundamental para o perfil PROFIsafe e é o que permite que funções de segurança sejam implementadas sobre infraestrutura de fieldbus padrão sem que o próprio fieldbus exija certificação de segurança intrínseca.
A largura do módulo de 30mm do 6ES7138-4FB04-0AB0 (o dobro dos 15mm padrão) é impulsionada pela eletrônica interna mais complexa necessária para a arquitetura de saída de canal duplo e diagnósticos abrangentes.
A largura adicional acomoda o segundo transistor de chaveamento por canal, os circuitos de Monit oramento cruzado e os circuitos de geração de pulso de teste necessários para exercitar periodicamente o caminho de chaveamento e verificar se cada transistor pode realmente abrir e fechar.
Crucialmente, o módulo F-DO não é montado em um módulo terminal ET 200S padrão.
Ele requer o módulo terminal à prova de falhas específico TM-PF30S47-F1 (3RK1 903-3AA00), que é projetado para suportar os requisitos de fiação de canal duplo do F-DO e sua configuração de conector especial. Módulos terminais TM-P ou TM-E padrão não são compatíveis com módulos F-DO e não podem substituir o TM-PF30S47-F1.
Este é um detalhe importante de aquisição: ao adquirir um substituto para o 6ES7138-4FB04-0AB0, o módulo terminal correspondente deve ser verificado — se ele já estiver instalado na estação desde a construção original, ele permanece no lugar quando o módulo eletrônico F-DO é substituído; se o módulo terminal também estiver danificado ou precisar de substituição, o TM-PF30S47-F1 deve ser adquirido separadamente.
Embora o modo de operação padrão do ET 200S use os módulos de interface IM 151-1 ou IM 151-3 no PROFIBUS DP, o 6ES7138-4FB04-0AB0 também é compatível com o módulo de interface IM 151-3 PN HF (PROFINET de Alta Característica), que permite que a estação ET 200S se conecte via PROFINET IO em vez de PROFIBUS DP.
Em configurações PROFINET usando IM 151-3 PN HF, o módulo F-DO continua a se comunicar via PROFIsafe — mas agora sobre o meio PROFINET em vez de PROFIBUS.
A certificação de segurança permanece válida no modo PROFINET; as medidas de segurança do protocolo PROFIsafe se aplicam identicamente sobre as camadas de transporte PROFIBUS e PROFINET.
Esta compatibilidade PROFINET permite que o módulo F-DO seja incorporado em novos sistemas de segurança projetados em torno da arquitetura PROFINET, e permite que estações ET 200S F-DO existentes sejam atualizadas com conectividade PROFINET trocando apenas o módulo de interface, sem tocar no módulo F-DO ou na fiação de seu módulo terminal.
P1: Qual é a diferença entre um módulo de saída digital ET 200S padrão e este módulo F-DO à prova de falhas em termos de fiação, programação e requisitos de certificação?
As diferenças são substanciais em todas as três dimensões.
Em fiação: um módulo DO padrão tem um terminal de saída único por canal; as saídas do módulo F-DO são roteadas através de uma arquitetura de chaveamento duplo internamente, mas da perspectiva da fiação de campo, a saída aparece como um único terminal de 24V e um comum.
No entanto, certas aplicações de segurança exigem votação 2oo2 (dois de dois) na fiação de campo — conectando a carga em série com dois canais F-DO para que ambos devam ativar para que a carga seja energizada. O módulo terminal TM-PF30S47-F1 fornece a configuração de fiação apropriada para arquiteturas de segurança F-DO.
Em programação: módulos DO padrão são endereçados como bytes de saída normais na imagem de processo, escritos por instruções STEP 7 padrão na OB de usuário padrão. Módulos F-DO são exclusivamente endereçados dentro do programa de segurança, que roda no ambiente de tempo de execução F dedicado da F-CPU em uma OB de segurança separada (tipicamente OB35 ou a OB de segurança configurada). Blocos de programa de segurança devem ser criados usando F-FBs da Siemens da biblioteca F e só podem ser programados por engenheiros que completaram o treinamento de programação F de Segurança STEP 7 da Siemens.
Em certificação: módulos DO padrão não possuem certificação de segurança e não podem ser usados em funções instrumentadas de segurança.
A certificação SIL 3 / PL e do módulo F-DO é documentada em seu Manual de Segurança (fornecido pela Siemens), que especifica as restrições arquitetônicas, requisitos de cobertura de diagnóstico e intervalos de teste de prova necessários para atingir cada nível de certificação em uma aplicação real.
O integrador de sistema deve verificar se a combinação de F-CPU, PROFIsafe e F-DO atende ao SIL/PL exigido para a função de segurança específica que está sendo implementada.
P2: O que acontece com as saídas F-DO durante uma falha de comunicação PROFIBUS DP entre a F-CPU e a estação ET 200S contendo o módulo F-DO?
A falha de comunicação aciona um dos comportamentos de segurança PROFIsafe mais fundamentais.
Quando o mestre PROFIBUS DP (a interface DP da F-CPU) perde contato com a estação escrava ET 200S — devido a falha de cabo, erro de terminação do barramento, perda de energia da estação ou qualquer outra causa que impeça telegramas PROFIsafe válidos de chegarem ao módulo F-DO — o temporizador watchdog interno do módulo F-DO expira.
Ao expirar, o módulo desenergiza incondicionalmente todas as quatro saídas F-DO e entra em um estado seguro, sem esperar por um comando explícito da CPU (que ele não pode mais alcançar). Este comportamento passivo de falha para segurança é um requisito central do perfil PROFIsafe e do framework IEC 61508.
O tempo de execução F da CPU detecta simultaneamente a perda de comunicação e gera a resposta apropriada do programa de segurança (tipicamente transicionando para STOP ou lógica de desligamento seguro). As saídas F-DO permanecem desenergizadas até que a comunicação seja restaurada, o status do módulo seja verificado e o programa de segurança reative explicitamente as saídas através de uma ação deliberada do operador ou sequência de reinício.
Não há reativação automática das saídas F-DO após uma falha de comunicação, mesmo após a comunicação ser restabelecida — reativação deliberada é necessária para confirmar que as condições seguras foram verificadas.
P3: O módulo é classificado para SIL 3. Isso significa que qualquer aplicação usando este módulo F-DO atinge automaticamente SIL 3, ou existem requisitos adicionais?
A classificação do módulo é uma condição necessária, mas não suficiente, para atingir SIL 3 em uma aplicação de segurança real.
O módulo fornece a arquitetura de hardware e a cobertura de diagnóstico para suportar SIL 3, mas toda a Função Instrumentada de Segurança (SIF) — desde o atuador final de volta através do F-DO, através da comunicação PROFIsafe, através do programa de segurança da F-CPU, através da lógica de segurança, até o sensor iniciador — deve ser avaliada como um loop de segurança completo.
Requisitos adicionais chave incluem: usar uma F-CPU capaz de SIL 3 com tolerância a falhas de hardware apropriada; usar PROFIsafe sobre PROFIBUS com a configuração atendendo aos requisitos de tempo do PROFIsafe; escrever o programa de segurança usando F-FBs certificados de acordo com as restrições de programação no Manual de Segurança da Siemens; realizar o cálculo de Integridade de Segurança (PFD/PFHd) para todo o loop de segurança usando as taxas de falha do Manual de Segurança de cada componente; implementar testes de prova no intervalo especificado no Manual de Segurança; e garantir que a engenharia da aplicação seja realizada por engenheiros qualificados em segurança funcional (idealmente FSEs certificados TÜV).
O Manual de Segurança do 6ES7138-4FB04-0AB0, disponível no Siemens Industry Online Support, é a referência autoritária para todos esses requisitos e deve ser revisado como parte de qualquer desenvolvimento de aplicação de segurança.
P4: Como funciona o mecanismo de pulso de teste no F-DO, e ele pode causar breves interrupções de saída que possam interferir com cargas conectadas?
O módulo F-DO gera periodicamente pulsos de teste — pulsos breves e controlados de desenergização em cada canal de saída — para verificar se os transistores de chaveamento de saída estão funcionando corretamente e podem desenergizar quando comandados.
Este é um mecanismo de diagnóstico padrão em módulos de saída à prova de falhas, necessário para atingir a cobertura de diagnóstico (DC) necessária para SIL 3 / PL e. Os pulsos de teste são tipicamente na faixa de microssegundos — curtos o suficiente para que a carga conectada (um relé de segurança, bobina de contator ou solenóide) não tenha tempo de desenergizar e reenergizar durante o pulso, pois a inércia eletromagnética da carga impede a mudança de estado em interrupções tão curtas.
No entanto, isso depende das características da carga: cargas com tempos de resposta muito rápidos (alguns dispositivos eletrônicos com indutância mínima) podem detectar o pulso de teste como uma breve falha. O Manual de Segurança do módulo F-DO especifica a duração máxima do pulso de teste e a indutância / tempo de resposta mínimo da carga necessários para garantir que os pulsos de teste não causem chaveamento indevido da carga.
Para a maioria das bobinas de relé de segurança e contatores eletromecânicos usados em equipamentos de máquinas e processos, a duração do pulso de teste é bem inferior ao tempo de desenergização da bobina, e nenhuma interferência com a operação da carga ocorre.
P5: O módulo foi descontinuado em outubro de 2020. Qual é a substituição recomendada para novas instalações, e as unidades 6ES7138-4FB04-0AB0 existentes podem ser mantidas com peças de reposição?
Para novos projetos de automação de segurança, a Siemens recomenda o sistema de E/S Distribuída SIMATIC ET 200SP com os módulos F-DQ (Saída Digital à Prova de Falhas) apropriados, como o módulo F-DQ 4×24VDC/2A PPM para ET 200SP.
A plataforma ET 200SP é a sucessora da geração atual do ET 200S, fornecendo funcionalidade de segurança equivalente com larguras de módulo menores, configuração mais rápida e compatibilidade com TIA Portal e STEP 7 Safety Advanced.
Instalações existentes usando o 6ES7138-4FB04-0AB0 podem continuar a ser mantidas usando módulos de reposição adquiridos no mercado de excedentes industriais — estoques de módulos de segurança Siemens descontinuados são bem estabelecidos na rede de peças de reposição industriais. Ao adquirir módulos F-DO recondicionados ou usados para aplicações de segurança, o histórico completo de testes da unidade, a integridade do selo de segurança e a versão do firmware devem ser verificados antes da instalação.
O Manual de Segurança exige que qualquer módulo de substituição seja verificado quanto à validade de seu certificado de segurança e que a função de segurança seja testada após a substituição.
Um projeto de migração para ET 200SP deve ser considerado se a estação ET 200S instalada precisar de modificação significativa ou se o número de módulos F-DO na instalação for grande o suficiente para justificar o investimento de engenharia antes do fim da disponibilidade de peças de reposição.
Contacte-nos a qualquer momento
