家
>
製品
>
PLC プログラマブルロジックコントローラ
>
|
| 起源の場所 | ドイツ |
| ブランド名 | SIMENS |
| 証明 | CE RoHS |
| モデル番号 | 6ES7138-4FB04-0AB0 |
このSiemens 6ES7138-4FB04-0AB0は、SIMATIC ET 200S 分散 I/O システム用の 4 チャンネルフェイルセーフデジタル出力モジュールです。これは、PROFIBUS 接続システムで利用可能な認定安全出力スイッチングの最もコンパクトなハードウェア実装の 1 つです。
標準のデジタル出力モジュールが PLC からのコマンドでアクチュエータに 24VDC を単純にスイッチングするのに対し、F-DO モジュールは自己監視、チャンネル間比較、および認定されたフォールト応答動作の完全なレイヤーを追加します。これにより、システムは認証機関に対して、安全機能(危険なアクチュエータへの電力供給の遮断)が SIL 3 または PL e 要件を満たす定量化された故障確率で達成されることを実証できます。
このモジュールは、2000 年代から 2010 年代にかけてプロセスおよび機械自動化における機能安全の実装方法を変革した分散安全 I/O の時代に属します。PROFIsafe 分散安全 I/O の前に、SIL 3 出力スイッチングを実現するには、専用のハードワイヤード安全リレーが必要でした。これらはかさばり、高価で、柔軟性がなく、再構成が困難でした。
6ES7138-4FB04-0AB0 のような PROFIsafe 対応モジュールを使用すると、安全機能は ET 200S ステーションの幅 30mm のモジュールに配置され、安全通信は標準 I/O データを既に伝送している標準 PROFIBUS DP ケーブル上で実行される PROFIsafe プロファイルによって処理されます。
安全認証は、モジュールの内部フォールト監視アーキテクチャと PROFIsafe 通信プロトコル自体の安全対策の組み合わせによって達成されます。
| パラメータ | 値 |
|---|---|
| F-DO チャンネル | 4 |
| 出力電圧 | 24VDC |
| 出力電流 | チャンネルあたり 2A |
| モジュール幅 | 30mm |
| 安全レベル (ISO 13849) | 最大 PL e |
| 安全レベル (IEC 61508) | 最大 SIL 3 |
| プロトコル | PROFIBUS DP 上の PROFIsafe |
| 互換性あり | PROFINET (IM 151-3 PN HF 経由) |
| ステータス | 生産終了予備品 (2020 年 10 月) |
6ES7138-4FB04-0AB0 の安全度評価はマーケティングラベルではなく、要求されたときに安全機能を実行できないモジュールの確率の定量的評価です。
IEC 61508 は、低需要モードの安全機能において、危険な故障が発生する確率 (PFD) が年間 10⁻⁴ から 10⁻³ の範囲にあることを安全度水準 3 (SIL 3) と定義しています。つまり、コマンド時に出力が非通電にならない確率は年間 0.01% から 0.1% の範囲です。
EN ISO 13849-1 のパフォーマンスレベル e (PL e) は、連続および高需要モードの機能において、時間あたりの危険な故障確率 (PFHd) が 10⁻⁷ 未満、つまり 1000 万時間あたり 1 回未満の危険な故障に相当します。
単一出力モジュールで SIL 3 または PL e を達成するには、モジュール自体の冗長性と診断カバレッジが必要です。6ES7138-4FB04-0AB0 では、各出力チャンネルはデュアルチャンネルスイッチングアーキテクチャを使用しています。これは、2 つの独立した半導体スイッチ(通常は直列接続された 1 つの P チャネルデバイスと 1 つの N チャネルデバイス、またはクロス監視付きの 2 つの独立したスイッチングトランジスタ)であり、両方が一致して初めて出力をアクティブにできます。
コマンド時に一方のスイッチが開かない場合、もう一方がフォールトを検出し、出力を安全な状態(非通電)に強制します。
モジュールの内部診断は、短絡、開回路、およびクロス回路のフォールトについて両方のスイッチを継続的に監視し、危険になる前に安全な非通電を妨げる可能性のあるフォールトを検出します。
フォールトが検出されると、モジュールは PROFIsafe を介して F-CPU に報告し、F-CPU は適切な安全応答(安全状態の開始、アラームのトリガー、フォールトイベントの記録)を開始できます。
PROFIsafe は、標準 PROFIBUS または PROFINET テレグラム構造の上に安全通信レイヤーを追加する、IEC 61784-3-3 認定の PROFIBUS/PROFINET アプリケーションプロファイルです。
標準の PROFIBUS テレグラムは、安全保証なしで DP マスターと ET 200S ステーション間で I/O データを伝送しますが、PROFIsafe テレグラムは、安全データとシーケンス番号の両方に対して計算された CRC(巡回冗長検査)とウォッチドッグタイムアウトメカニズムを追加します。これにより、破損したデータ、再生された古いパケット、失われたパケットがすべて安全に検出され、応答されることが保証されます。
ET 200S の F-DO モジュールは、F-CPU(フェイルセーフ CPU)と PROFIsafe テレグラムを交換します。F-CPU は、標準の F プログラミングライブラリを使用して STEP 7 F-FB(フェイルセーフファンクションブロック)で記述された安全プログラムを実行し、PROFIsafe を介して F-DO に出力コマンドを送信します。
PROFIsafe 通信が失われた場合(ケーブルフォールト、ステーションのドロップアウト、CRC エラー)、F-DO は CPU コマンドを待たずに自動的に出力を安全状態(非通電)に移行します。通信パスが失敗しても、出力の安全性は維持されます。
この「通信損失時の非通電」動作は、PROFIsafe プロファイルの基本であり、フィールドバス自体が本質安全認証を必要とせずに標準フィールドバスインフラストラクチャ上で安全機能を実装できる理由です。
6ES7138-4FB04-0AB0 の 30mm モジュール幅(標準の 15mm の 2 倍)は、デュアルチャンネル出力アーキテクチャと包括的な自己診断に必要な、より複雑な内部電子機器によって駆動されます。
追加の幅は、チャンネルごとの 2 番目のスイッチングトランジスタ、クロス監視回路、およびスイッチングパスを定期的に実行し、各トランジスタが開閉できることを確認するために必要なテストパルス生成回路を収容します。
重要なのは、F-DO モジュールは標準の ET 200S 端子モジュールに取り付けられないことです。
これは、F-DO のデュアルチャンネル配線要件とその特殊なコネクタ構成をサポートするように設計された、専用のフェイルセーフ端子モジュール TM-PF30S47-F1 (3RK1 903-3AA00) を必要とします。標準の TM-P または TM-E 端子モジュールは F-DO モジュールと互換性がなく、TM-PF30S47-F1 の代わりにはなりません。
これは重要な調達の詳細です。交換用の 6ES7138-4FB04-0AB0 を調達する場合、対応する端子モジュールを確認する必要があります。ステーションに既に元のビルドから取り付けられている場合は、F-DO 電子モジュールを交換してもそのまま残ります。端子モジュールも損傷または交換が必要な場合は、TM-PF30S47-F1 を別途調達する必要があります。
標準の ET 200S 動作モードでは PROFIBUS DP の IM 151-1 または IM 151-3 インターフェイスモジュールを使用しますが、6ES7138-4FB04-0AB0 は IM 151-3 PN HF(ハイフィーチャー PROFINET)インターフェイスモジュールとも互換性があります。これにより、ET 200S ステーションは PROFIBUS DP ではなく PROFINET IO を介して接続できます。
IM 151-3 PN HF を使用する PROFINET 構成では、F-DO モジュールは引き続き PROFIsafe を介して通信しますが、今度は PROFIBUS ではなく PROFINET メディア上で通信します。
PROFINET モードでも安全認証は有効です。PROFIsafe プロトコルの安全対策は、PROFIBUS および PROFINET トランスポートレイヤーの両方で同様に適用されます。
この PROFINET 互換性により、F-DO モジュールを PROFINET アーキテクチャを中心に設計された新しい安全システムに組み込むことができ、既存の ET 200S F-DO ステーションを、インターフェイスモジュールのみを変更することで PROFINET 接続にレトロフィットできます。F-DO モジュールまたはその端子モジュール配線には触れる必要はありません。
Q1: 標準の ET 200S デジタル出力モジュールとこのフェイルセーフ F-DO モジュールとの違いは何ですか?配線、プログラミング、認証要件の観点から教えてください。
3 つのすべての側面で大きな違いがあります。
配線では、標準の DO モジュールにはチャンネルごとに 1 つの出力端子があります。F-DO モジュールの出力は内部でデュアルスイッチアーキテクチャを通過しますが、フィールド配線の観点からは、出力は単一の 24V 端子とコモンとして表示されます。
ただし、特定の安全アプリケーションでは、フィールド配線で 2oo2(2 つのうち 2 つ)の投票が必要になる場合があります。これは、負荷を 2 つの F-DO チャンネルと直列に接続し、負荷を通電するには両方がアクティブになる必要がある場合です。TM-PF30S47-F1 端子モジュールは、F-DO 安全アーキテクチャに適した配線構成を提供します。
プログラミングでは、標準の DO モジュールは、標準ユーザー OB の標準 STEP 7 命令によって書き込まれるプロセスイメージ内の通常の出力バイトとしてアドレス指定されます。F-DO モジュールは、安全 OB(通常は OB35 または構成された安全 OB)の専用 F ランタイム環境で実行される安全プログラム内で排他的にアドレス指定されます。安全プログラムブロックは、Siemens の F-FB を F ライブラリから使用して作成する必要があり、Siemens の STEP 7 Safety F プログラミングトレーニングを修了したエンジニアのみがプログラミングできます。
認証では、標準の DO モジュールには安全認証がなく、安全計装機能には使用できません。
F-DO モジュールの SIL 3 / PL e 認証は、その安全マニュアル(Siemens 提供)に文書化されており、各認証レベルを実際のアプリケーションで達成するために必要なアーキテクチャ制約、診断カバレッジ要件、およびプルーフテスト間隔を指定しています。
システムインテグレータは、F-CPU、PROFIsafe、および F-DO の組み合わせが、実装されている特定の安全機能に必要な SIL/PL を満たしていることを確認する必要があります。
Q2: F-CPU と F-DO モジュールを含む ET 200S ステーション間の PROFIBUS DP 通信障害中に F-DO 出力はどうなりますか?
通信障害は、最も基本的な PROFIsafe 安全動作の 1 つを引き起こします。
PROFIBUS DP マスター(F-CPU の DP インターフェイス)が ET 200S スレーブステーションとの連絡を失うと(ケーブルフォールト、バス終端エラー、ステーション電源損失、または有効な PROFIsafe テレグラムが F-DO モジュールに到達するのを妨げるその他の原因による)、F-DO モジュールの内部ウォッチドッグタイマーが期限切れになります。
期限切れになると、モジュールは CPU からの明示的なコマンドを待たずに(到達できなくなるため)、すべての 4 つの F-DO 出力を無条件に非通電にし、安全状態に入ります。このパッシブフェイルトゥセーフ動作は、PROFIsafe プロファイルおよび IEC 61508 フレームワークのコア要件です。
CPU の F ランタイムは同時に通信損失を検出し、適切な安全プログラム応答(通常は STOP または安全シャットダウンロジックへの移行)を生成します。F-DO 出力は、通信が復旧し、モジュールのステータスが検証され、安全プログラムがオペレーターの明示的な操作または再起動シーケンスによって出力を再アクティブ化するまで非通電のままです。
通信障害後、通信が再確立された後でも、F-DO 出力の自動再アクティブ化はありません。安全な状態が確認されたことを確認するために、明示的な再アクティブ化が必要です。
Q3: モジュールは SIL 3 定格ですが、この F-DO モジュールを使用したすべてのアプリケーションが自動的に SIL 3 を達成することを意味しますか、それとも追加の要件がありますか?
モジュールの定格は、実際の安全アプリケーションで SIL 3 を達成するための必要条件ですが、十分条件ではありません。
モジュールは SIL 3 をサポートするためのハードウェアアーキテクチャと診断カバレッジを提供しますが、最終アクチュエータから F-DO、PROFIsafe 通信、F-CPU 安全プログラム、安全ロジックを経て、開始センサーに至るまでの安全計装機能(SIF)全体が、完全な安全ループとして評価される必要があります。
主な追加要件には、適切なハードウェアフォールトトレランスを備えた SIL 3 対応 F-CPU の使用、PROFIsafe タイミング要件を満たす構成での PROFIsafe over PROFIBUS の使用、Siemens Safety Manual のプログラミング制約に従って認定 F-FB を使用した安全プログラムの作成、各コンポーネントの Safety Manual の故障率を使用した安全ループ全体の安全度計算(PFD/PFHd)の実行、Safety Manual で指定された間隔でのプルーフテストの実施、およびアプリケーションエンジニアリングが資格のある機能安全エンジニア(理想的には TÜV 認定 FSE)によって実行されることが含まれます。
Siemens Industry Online Support から入手可能な 6ES7138-4FB04-0AB0 の安全マニュアルは、これらのすべての要件の権威ある参照であり、あらゆる安全アプリケーション開発の一部としてレビューする必要があります。
Q4: F-DO のテストパルス機構はどのように機能しますか?また、接続された負荷に干渉する可能性のある短い出力中断を引き起こす可能性がありますか?
F-DO モジュールは、出力スイッチングトランジスタが正しく機能し、コマンド時に非通電できることを確認するために、定期的にテストパルス(各出力チャンネルへの短く制御された非通電パルス)を生成します。
これは、SIL 3 / PL e に必要な診断カバレッジ(DC)を達成するために必要な、フェイルセーフ出力モジュールにおける標準的な診断メカニズムです。テストパルスは通常マイクロ秒単位であり、接続された負荷(安全リレー、コンタクタコイル、またはソレノイド)がパルス中に非通電および再通電する時間がないほど短いですが、負荷の電磁慣性がこのような短い中断での状態変化を防ぎます。
ただし、これは負荷の特性に依存します。応答時間が非常に速い負荷(インダクタンスが最小限の電子デバイスなど)は、テストパルスを一時的なグリッチとして検出する可能性があります。F-DO モジュールの安全マニュアルは、最大テストパルス期間と、テストパルスが負荷の誤動作を引き起こさないことを保証するために必要な最小負荷インダクタンス/応答時間を指定しています。
機械およびプロセス機器で使用されるほとんどの安全リレーコイルおよび電磁コンタクタでは、テストパルス期間はコイルドロップアウト時間よりもはるかに短く、負荷の動作に干渉は発生しません。
Q5: モジュールは 2020 年 10 月に生産終了しました。新規設置の推奨交換品は何ですか?また、既存の 6ES7138-4FB04-0AB0 ユニットはスペアパーツで保守できますか?
新しい安全自動化設計については、Siemens は SIMATIC ET 200SP 分散 I/O システムと、ET 200SP 用の F-DQ 4×24VDC/2A PPM モジュールなどの適切な F-DQ(フェイルセーフデジタル出力)モジュールを推奨しています。
ET 200SP プラットフォームは ET 200S の現在の世代の後継であり、より小さいモジュール幅、より高速な構成、および TIA Portal および STEP 7 Safety Advanced との互換性で同等の安全機能を提供します。
6ES7138-4FB04-0AB0 を使用する既存の設置は、産業用中古市場から調達したスペアモジュールを使用して引き続き保守できます。生産終了した Siemens 安全モジュールの在庫は、産業用スペアパーツネットワークに十分に確立されています。安全アプリケーション用に再生または中古の F-DO モジュールを調達する場合、設置前にユニットの完全なテスト履歴、安全シールの一貫性、およびファームウェアバージョンを確認する必要があります。
安全マニュアルでは、交換用モジュールは安全証明書の有効性を検証する必要があり、安全機能は交換後にプルーフテストを実行する必要があると規定しています。
設置されている ET 200S ステーションに大幅な変更が必要な場合、または設置されている F-DO モジュールの数がスペアパーツの入手可能性がなくなる前にエンジニアリング投資を正当化するのに十分な場合は、ET 200SP への移行プロジェクトを検討する必要があります。
