欢迎浏览厦门控匠自动化科技有限公司
行业资讯
SCHNEIDER Modicon Quantum Safety PLC安全可编程逻辑控制器
时间: 2026-01-20浏览次数:
SCHNEIDER Modicon Quantum Safety PLC安全可编程逻辑控制器
SCHNEIDER Modicon Quantum Safety PLC安全可编程逻辑控制器
Modicon Quantum Safety PLC 是施耐德电气推出的符合 IEC 61508 标准、认证等级达 SIL3 的安全可编程逻辑控制器,核心围绕安全功能实现,涵盖 硬件配置、编程规范、通讯机制、故障诊断 四大维度,支持独立 / 热备(HSBY)两种部署模式,通过双处理器执行、冗余 I/O 设计、严格的内存分区(安全区 / 非限制区)及专用编程软件 Unity Pro XLS 保障功能安全,适用于紧急停机、燃烧器管理、火气监控等工业安全场景,同时提供完整的校验测试流程与维护规范,确保系统在低 / 高需求模式下均满足 PFD/PFH 指标要求。
文档基础与合规性
(1)文档核心信息
文档名称:Modicon Quantum Safety PLC Safety Reference Manual(版本 10/2017)
适用软件:Unity Pro XLS V7.0 及以上
目标用户:具备功能安全知识与 Unity Pro 操作经验的专业技术人员
核心目的:规范 SIL3 级安全系统的硬件选型、编程、部署与维护流程
(2)合规与认证标准
标准名称 核心要求 适用场景
IEC 61508(2.0 版) SIL3 等级,支持低 / 高需求模式 通用工业安全系统
IEC 61511 过程工业安全仪表系统(SIS) 化工、石油等流程工业
EN 54 火灾探测与报警系统 火气监控场景
EN 298 自动燃气燃烧器控制系统 燃烧器管理
NFPA 85/86 锅炉保护标准 锅炉安全控制
硬件配置与核心特性
(1)安全 CPU 模块
型号 部署模式 核心参数 故障检测机制
140CPU65160S 独立部署 MTBF=600,000h,支持 8 个安全 I/O 模块 双处理器(Pentium + 应用处理器)执行对比、内存 CRC 校验
140CPU67160S 热备部署 与独立版参数一致,支持光纤链路同步 主备自动切换、应用一致性校验
(2)安全 I/O 模块
模块类型 型号 核心特性 诊断功能
数字输入 140SDI95300S 32 点,24Vdc,MTBF=900,000h 断线检测、电源监控、通道短路检测
数字输出 140SDO95300S 32 点,24Vdc,MTBF=1,000,000h 过载检测、回路断线、超时状态配置
模拟输入 140SAI94000S 8 通道,4-20mA,MTBF=700,000h 超量程检测、断线检测、测量线性校验
(3)辅助硬件要求
电源模块:仅支持 140CPS12420(AC 冗余)、140CPS22400(DC 冗余),需双模块部署保障可用性
非干扰模块:包括背板(140XBP 系列)、以太网模块(140NOE77111)、远程 I/O 适配器(140CRP93200/140CRA93200),不参与安全功能但需符合兼容性要求
接线规范:数字输出模块需串联 10A 快速熔断器,模拟输入需屏蔽接地(推荐 STB XSP3000 接地套件)
编程规范与软件操作
(1)编程软件与语言限制
唯一编程软件:Unity Pro XLS(需安全固件支持)
允许语言:仅功能块图(FBD)、梯形图(LD)
禁用特性:FAST/INTERRUPT 任务、跳转语句、ST 表达式、派生数据类型(DDT)
(2)核心编程要求
规范类别 具体要求 目的
任务配置 仅允许 MAST 任务,最小周期 20ms 保障双 CPU 执行一致性
数据类型 仅支持 BOOL/INT/FLOAT 等基础类型 + 简单数组 避免数据结构复杂导致的安全风险
函数块使用 仅允许安全 FFB 库(如 S_AND_***、S_DISIL2 等) 确保逻辑执行的安全性
内存分区 安全区(写保护)、非限制区(仅通过 S_SMOVE_FB 传输数据) 隔离安全 / 非安全数据
(3)安全防护机制
应用密码:保护项目访问,支持权限分级(配置 / 调试 / 维护)
自动锁定:无操作 10 分钟(默认)后锁定软件,需密码解锁
版本戳记:生成二进制文件时记录构建时间,便于版本追溯
项目备份:需定期备份(推荐全量 + 增量备份结合),CRC 校验完整性
操作模式与故障处理
(1)两种操作模式
模式 核心特性 操作限制
安全模式(默认) 执行安全功能,禁止程序修改 不可下载程序、不可强制变量、不可调试
维护模式(临时) 允许程序修改、变量强制、调试 需解锁钥匙开关 + 密码,诊断结果不自动执行安全动作
(2)故障诊断与处理
CPU 故障:检测到内存错误 / 执行不一致时,进入错误状态,所有安全输出置安全态(失电),需断电重启并读取 % SW125 错误码
I/O 模块故障:通道故障时单通道置安全态,模块故障时自动重启并执行上电自检,3 次失败则需更换模块
通讯故障:安全以太网通讯超时(可配置)时,HEALTH 位置 0,接收端需触发安全动作
通讯机制
(1)通讯类型与限制
通讯场景 支持方式 核心要求
PC-PLC 通讯 Modbus TCP/RS485/USB 需 Unity Pro XLS,验证应用密码
PLC-PLC 通讯 安全以太网点对点 需 NTP 时间同步,ID 参数唯一
PLC-HMI 通讯 Modbus TCP/Modbus Plus 仅允许读取安全数据,写入限制非限制区
(2)安全以太网点对点通讯
同步要求:NTP 服务器 polling 周期 20s,主从 PLC 时间差≤2s
配置组件:发送端 S_WR_ETH FFB、接收端 S_RD_ETH FFB
超时配置:SAFETY_CONTROL_TIMEOUT 需 > 2×(发送周期 + 网络延迟 + 接收周期)
校验与维护
(1)校验测试要求
校验周期(PTI):最长 10 年,需按 SIL3 要求执行全系统测试
校验内容:电源循环测试、I/O 通道校验、安全功能触发测试
文档要求:保留校验记录、故障日志、项目备份文件
(2)维护规范
模块更换:支持热插拔,更换后需执行上电自检(约 30s)
强制操作:仅维护模式允许,需记录操作日志并及时解除强制
固件升级:仅维护模式可执行,热备系统需先升级备用 CPU
