M580安全系统规划指南

Modicon M580
QGH60288 09/2020
Modicon M580
安全系统规划指南
原始指令翻译
09/2020
QGH60288.06
www.schneider-electric.com
本文档中提供的信息包含有关此处所涉及产品之性能的一般说明和/或技术特性。本文档并非用于
(也不代替) 确定这些产品对于特定用户应用场合的适用性或可靠性。任何此类用户或设备集成商
都有责任就相关特定应用场合或使用方面对产品执行适当且完整的风险分析、评估和测试。
Schneider Electric 或其任何附属机构或子公司对于误用此处包含的信息而产生的后果概不负责。
如果您有关于改进或更正此出版物的任何建议、或者从中发现错误、请通知我们。
本手册可用于法律所界定的个人以及非商业用途。在未获得施耐德电气书面授权的情况下，不得
翻印传播本手册全部或部分相关内容、亦不可建立任何有关本手册或其内容的超文本链接。施耐
德电气不对个人和非商业机构进行非独占许可以外的授权或许可。请遵照本手册或其内容原义并
自负风险。与此有关的所有其他权利均由施耐德电气保留。
在安装和使用本产品时，必须遵守国家、地区和当地的所有相关的安全法规。出于安全方面的考
虑和为了帮助确保符合归档的系统数据，只允许制造商对各个组件进行维修。
当设备用于具有技术安全要求的应用场合时，必须遵守有关的使用说明。
未能使用施耐德电气软件或认可的软件配合我们的硬件，则可能导致人身伤害、设备损坏或不正
确的运行结果。
不遵守此信息可能导致人身伤害或设备损坏。
© 2020 Schneider Electric。保留所有权利。
2 QGH60288 09/2020
目录
安全信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
关于本书 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
第1章 M580 安全系统支持的模块 . . . . . . . . . . . . . . . . . . . . . . . 15
M580 安全系统认证的模块 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
非干扰模块. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
第2章选择 M580 安全系统拓扑 . . . . . . . . . . . . . . . . . . . . . . . . 21
设计 M580 安全系统拓扑 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
M580 安全拓扑 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
第3章 M580 安全 CPU 和协处理器 . . . . . . . . . . . . . . . . . . . . . . 31
3.1 M580 安全 CPU 和协处理器物理特性 . . . . . . . . . . . . . . . . . . . . . . . . . 32
M580 安全 CPU 和协处理器的物理规格描述. . . . . . . . . . . . . . . . . . . . 33
M580 安全 CPU 和 Copro 的 LED 显示区 . . . . . . . . . . . . . . . . . . . . . . 38
Ethernet 端口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
USB 端口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
SFP 插口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
SD 存储卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.2 M580 安全 CPU 和协处理器性能特性 . . . . . . . . . . . . . . . . . . . . . . . . . 48
M580 CPU 和 Copro 性能特性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
第4章 M580 安全电源 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
M580 安全电源物理规格描述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
M580 安全电源性能特性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
M580 安全电源报警继电器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
第5章 M580 安全 I/O 模块. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
5.1 M580 安全 I/O 模块物理规格描述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
M580 I/O 模块的物理规格描述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
5.2 M580 安全 I/O 性能特性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
BMXSAI0410 安全模拟量输入模块性能特性 . . . . . . . . . . . . . . . . . . . . 71
BMXSDI1602 安全数字量输入模块性能特性 . . . . . . . . . . . . . . . . . . . . 73
BMXSDO0802 安全数字量输出模块性能特性 . . . . . . . . . . . . . . . . . . . 75
BMXSRA0405 安全数字继电器输出模块 . . . . . . . . . . . . . . . . . . . . . . . 77
第6章安装 M580 安全 PAC . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
6.1 安装 M580 机架和扩展机架 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
规划本地机架的安装 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
安装机架 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
扩展机架 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
QGH60288 09/2020 3
6.2 安装 M580 CPU、Copro、电源和 I/O . . . . . . . . . . . . . . . . . . . . . . . . . 90
安装 CPU 和协处理器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
安装电源模块 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
安装 M580 安全 I/O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
将 SD 存储卡安装在 CPU 中 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
第7章升级 M580 安全 CPU 固件 . . . . . . . . . . . . . . . . . . . . . . . . 103
使用 Automation Device Maintenance 更新固件 . . . . . . . . . . . . . . . . . 104
使用 Unity Loader 升级 CPU 固件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
第8章操作 M580 安全系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
8.1 Control Expert 中的过程、安全和全局数据区 . . . . . . . . . . . . . . . . . . . 108
Control Expert 中的数据划分 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
8.2 操作模式、操作状态和任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
M580 安全 PAC 操作模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
M580 安全 PAC 操作状态 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
启动程序. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
M580 安全 PAC 任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
8.3 生成 M580 安全项目. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
生成 M580 安全项目. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
SAFE 签名 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
8.4 锁定 M580 安全 I/O 模块配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
锁定 M580 安全 I/O 模块配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
8.5 初始化 Control Expert 中的数据 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
初始化 Control Expert 中用于 M580 安全 PAC 的数据 . . . . . . . . . . . . 139
8.6 Control Expert 中的动态数据表处理. . . . . . . . . . . . . . . . . . . . . . . . . . . 140
动态数据表和操作屏. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
8.7 添加代码段 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
将代码添加到 M580 安全项目 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
诊断请求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
交换和清除命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
8.8 应用程序安全管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
应用程序密码保护 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
安全区密码保护 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
段保护 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
固件保护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
数据存储区保护 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
密码丢失. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
4 QGH60288 09/2020
8.9 工作站安全管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
访问管理Control Expert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
访问权限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
8.10 M580 安全项目设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Control Expert 中 M580 安全项目的项目设置 . . . . . . . . . . . . . . . . . . . 181
附录 ......................................... 185
附录 A IEC 61508. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
IEC 61508 概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
SIL 策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
附录 B 系统对象 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
M580 安全系统位. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
M580 安全系统字. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
术语表 ......................................... 199
索引 ......................................... 201
QGH60288 09/2020 5
6 QGH60288 09/2020
安全信息
重要信息
声明
在试图安装、操作、维修或维护设备之前，请仔细阅读下述说明并通过查看来熟悉设备。下述特
定信息可能会在本文其他地方或设备上出现，提示用户潜在的危险，或者提醒注意有关阐明或简
化某一过程的信息。
QGH60288 09/2020 7
请注意
电气设备的安装、操作、维修和维护工作仅限于有资质的人员执行。施耐德电气不承担由于使用
本资料所引起的任何后果。
有资质的人员是指掌握与电气设备的制造和操作及其安装相关的技能和知识的人员，他们经过安
全培训能够发现和避免相关的危险。
开始之前
不得将本产品在缺少有效作业点防护的机器上使用。如果机器上缺少有效的作业点防护，则有可
能导致机器的操作人员严重受伤。
警告
未加以防护的设备
 不得将此软件及相关自动化设备用在不具有作业点防护的设备上。
 在操作期间，不得将手放入机器。
不遵循上述说明可能导致人员伤亡或设备损坏。
此自动化设备及相关软件用于控制多种工业过程。根据所需控制功能、所需防护级别、生产方法、
异常情况、政府法规等因素的不同，适用于各种应用的自动化设备的类型或型号会有所差异。在
某些应用情况下，如果需要后备冗余，则可能需要一个以上的处理器。
只有用户、机器制造商或系统集成商才能清楚知道机器在安装、运行及维护过程中可能出现的各
种情况和因素，因此，也只有他们才能确定可以正确使用的自动化设备和相关安全装置及互锁设
备。在为特定应用选择自动化和控制设备以及相关软件时，您应参考适用的当地和国家标准及法
规。National Safety Council's Accident Prevention Manual （美国全国公认）同样提供有非常有
用的信息。
对于包装机等一些应用而言，必须提供作业点防护等额外的操作人员防护。如果操作人员的手部
及其他身体部位能够自由进入夹点或其他危险区域内，并且可导致人员严重受伤，则必须提供这
种防护。仅凭软件产品自身无法防止操作人员受伤。因此，软件无法被取代，也无法取代作业点
防护。
在使用设备之前，确保与作业点防护相关的适当安全设备与机械/电气联锁装置已经安装并且运
行。与作业点防护相关的所有联锁装置与安全设备必须与相关自动化设备及软件程序配合使用。
注意：关于协调用于作业点防护的安全设备与机械/电气联锁装置的内容不在本文档中功能块库、
系统用户指南或者其他实施的范围之内。
8 QGH60288 09/2020
启动与测试
安装之后，在使用电气控制与自动化设备进行常规操作之前，应当由合格的工作人员对系统进行
一次启动测试，以验证设备正确运行。安排这种检测非常重要，而且应该提供足够长的时间来执
行彻底并且令人满意的测试。
警告
设备操作危险
 验证已经完成所有安装与设置步骤。
 在执行运行测试之前，将所有元器件上用于运送的挡块或其他临时性支撑物拆下。
 从设备上拆下工具、仪表以及去除碎片。
执行设备文档中所建议的所有启动测试。保存所有设备文档以供日后参考使用。
必须同时在仿真与真实的网络境中进行软件测试。
按照地方法规（例如：依照美国 National Electrical Code）验证所完成的系统无任何短路且未安
装任何临时接地线。如果必须进行高电位电压测试，请遵循设备文档中的建议，防止设备意外损
坏。
在对设备通电之前：
 从设备上拆下工具、仪表以及去除碎片。
 关闭设备柜门。
 从输入电源线中拆除所有的临时接地线。
 执行制造商建议的所有启动测试。
操作与调节
下列预防措施来自于NEMA Standards Publication ICS 7.1-1995（以英文版本为准）：
 无论在设计与制造设备或者在选择与评估部件时有多谨慎，如果对此类设备造作不当，将会导
致危险出现。
 有时会因为对设备调节不当而导致设备运行不令人满意或不安全。在进行功能调节时，始终以
制造商的说明书为向导。进行此类调节的工作人员应当熟悉设备制造商的说明书以及与电气设
备一同使用的机器。
 操作人员应当只能进行操作人员实际所需的运行调整。应当限制访问其他控件，以免对运行特
性进行擅自更改。
QGH60288 09/2020 9
10 QGH60288 09/2020
关于本书
概览
文档范围
本“安全系统规划指南”尤其介绍了 M580 安全系统的模块如何才能满足 IEC 61508 的安全要求，
其中详细讲述了如何正确安装、运行和维护系统，以帮助保护人员，避免环境、设备和生产遭受
危害。
本文档面向具备相应资质且熟悉 Functional Safety 和Control ExpertXL Safety 的人员。M580 安
全系统的试运行和操作只能由有权对系统执行试运行和操作的人员根据既定的功能安全性标准开
展。
有效性说明
此文档适用于 EcoStruxure™ Control Expert 15.0 或更高版本。
有关产品合规性和环境信息（RoHS、REACH、PEP、EOLI 等），请转至 www.schneider-
electric.com/green-premium。
本文档中描述的设备技术特性在网站上也有提供。要在线访问此信息：
步骤操作
1 访问 Schneider Electric 主页 www.schneider-electric.com。
2 在 Search 框中键入产品参考号或产品系列名称。
 勿在参考号或产品系列中加入空格。
 要获得有关类似模块分组的信息，请使用星号 (*).
3 如果您输入的是参考号，则转至 Product Datasheets 搜索结果，单击您感兴趣的参考号。

如果您输入产品系列的名称，则转到 Product Ranges 搜索结果，单击您感兴趣的产品系列。
4 如果 Products 搜索结果中出现多个参考号，请单击您感兴趣的参考号。
5 根据屏幕大小，您可能需要向下滚动查看数据表。
6 要将数据表保存为 .pdf 文件或打印数据表，请单击 Download XXX product datasheet。
本手册中介绍的特性应该与在线显示的那些特性相同。依据我们的持续改进政策，我们将不断修
订内容，使其更加清楚明了，更加准确。如果您发现手册和在线信息之间存在差异，请以在线信
息为准。
QGH60288 09/2020 11
相关文档
文档标题参考号
Modicon M580 安全手册 QGH46982（英语）、
QGH46983（法语）、
QGH46984（德语）、
QGH46985（意大利语）、
QGH46986（西班牙语）、
QGH46987（简体中文）
EcoStruxure™ Control Expert 安全功能块库 QGH60275（英语）、
QGH60278（法语）、
QGH60279（德语）、
QGH60280（意大利语）、
QGH60281（西班牙语）、
QGH60282（简体中文）
Modicon 控制器平台网络安全，参考手册 EIO0000001999（英语）、
EIO0000002001（法语）、
EIO0000002000（德语）、
EIO0000002002（意大利语）、
EIO0000002003（西班牙语）、
EIO0000002004（简体中文）
Modicon M580 硬件参考手册 EIO0000001578（英语）、
EIO0000001579（法语）、
EIO0000001580（德语）、
EIO0000001582（意大利语）、
EIO0000001581（西班牙语）、
EIO0000001583（简体中文）
Modicon M580 常用架构独立系统规划指南 HRB62666（英语）、
HRB65318（法语）、
HRB65319（德语）、
HRB65320（意大利语）、
HRB65321（西班牙语）、
HRB65322（简体中文）
Modicon M580 复杂拓扑系统规划指南 NHA58892（英语）、
NHA58893（法语）、
NHA58894（德语）、
NHA58895（意大利语）、
NHA58896（西班牙语）、
NHA58897（简体中文）
Modicon M580 热备常用架构系统规划指南 NHA58880（英语）、
NHA58881（法语）、
NHA58882（德语）、
NHA58883（意大利语）、
NHA58884（西班牙语）、
NHA58885（简体中文）
12 QGH60288 09/2020
文档标题参考号
EcoStruxure™ Automation Device Maintenance 用户指南 EIO0000004033（英语）、
EIO0000004048（法语）、
EIO0000004046（德语）、
EIO0000004049（意大利语）、
EIO0000004047（西班牙语）、
EIO0000004050（简体中文）
Unity Loader 用户指南 33003805（英语）、
33003806（法语）、
33003807（德语）、
33003809（意大利语）、
33003808（西班牙语）、
33003810（简体中文）
EcoStruxure™ Control Expert 运行模式 33003101（英语）、
33003102（法语）、
33003103（德语）、
33003104（西班牙语）、
33003696（意大利语）、
33003697（简体中文）
EcoStruxure™ Control Expert 系统位和系统字参考手册 EIO0000002135（英语）、
EIO0000002136（法语）、
EIO0000002137（德语）、
EIO0000002138（意大利语）、
EIO0000002139（西班牙语）、
EIO0000002140（简体中文）
您可以在我们的网站 www.schneider-electric.com/en/download下载这些技术出版物和其他技术信
息。
QGH60288 09/2020 13
14 QGH60288 09/2020
Modicon M580
支持的模块
QGH60288 09/2020
第1章
M580 安全系统支持的模块
M580 安全系统支持的模块
简介
M580 安全项目可以同时包含安全模块和非安全模块。您可以：
 在 SAFE 任务中使用安全模块。
 仅为非安全任务（MAST、FAST、AUX0 和 AUX1）使用非安全模块。
注意：只能将不干扰安全功能的非安全模块添加到安全项目。
只能将 Schneider Electric 的 Control Expert 编程软件用于 M580 安全应用程序的编程、试运行和
操作。
 Control Expert L Safety 提供 Control Expert L 的所有功能，并且可与 BMEP582040S 和
BMEH582040S 安全 CPU 一起使用。
 Control Expert XL Safety 提供 Control Expert XL 的所有功能，并且可与整个系列的
BMEP58•040S 和 BMEH58•040S 安全 CPU 一起使用。
本章列出了 M580 安全系统支持的安全和非安全模块。
本章包含了哪些内容？
本章包含了以下主题：
主题页
M580 安全系统认证的模块 16
非干扰模块 17
QGH60288 09/2020 15
支持的模块
M580 安全系统认证的模块
认证的模块
M580 安全 PAC 是一种安全相关型系统，由 TÜV Rheinland Group 根据以下标准给与认证：
 SIL3/IEC 61508/IEC 61511
 SIL CL3/IEC 62061
 PLe, Cat. 4 / ISO 13849-1
 CIP Safety IEC 61784-3
它基于 M580 系列的可编程自动化控制器 (PAC)。经认证的 Schneider Electric M580 安全模块如

下：
 BMEP584040S 独立 CPU
 BMEP582040S 独立 CPU
 BMEH582040S 热备 CPU
 BMEP58CPROS3 协处理器
 BMXSAI0410 模拟量输入模块
 BMXSDI1602 数字量输入模块
 BMXSDO0802 数字量输出模块
 BMXSRA0405 数字继电器输出模块
 BMXCPS4002S 电源
注意：除上面列出的安全模块之外，您还可以在安全项目中包括非干扰非安全模块 (参见第 17 页

)。
您可在 TÜV Rheinland Group 网站上找到关于认证产品版本的最新信息：www.certipedia.com or
www.fs-products.com。
更换 CPU
可以将 BME•58•040S CPU 更换为另一 BME•58•040S。但如果超出以下限制，则更换无效：
 I/O 数
 I/O 子站数
 变量数
 应用内存大小
请参阅主题：
 有关兼容安全和热备 CPU 的 Control Expert 应用程序的说明，请参阅常用架构的 Modicon
M580 热备系统规划指南中的配置兼容性。
 有关 CPU 限制的说明，请参阅 Modicon M580 安全系统规划指南中的 M580 CPU & Copro 性
能特性 (参见第 48 页)。
16 QGH60288 09/2020
支持的模块
非干扰模块
简介
M580 安全项目可以同时包含安全模块和非安全模块。您可以仅为非安全任务使用非安全模块。只
能将不干扰安全功能的非安全模块添加到安全项目。
非干扰模块定义
小心
安全相关数据使用不当
确认来自非干扰模块的输入数据和输出数据都不用于控制安全相关输出。非安全模块只能处理非
安全数据。
不遵循上述说明可能导致人身伤害或设备损坏。
非干扰模块是不能干扰安全功能的模块。对于机架内 M580 模块（BMEx、BMXx、PMXx 和

PMEx），有两种类型的非干扰模块：
 类型 1：类型 1 模块可以与安全模块安装在同一机架中（无论安全模块位于主机架或扩展机架
中的什么位置）。
 类型 2：类型 2 非干扰模块不得与安全模块安装在同一主机架中（无论安全模块位于主机架或
扩展机架中的什么位置）。
注意：类型 1 和类型 2 模块已收录在 TÜV Rheinland 网站 (https://fs-products.tuvasi.com) 中。
对于非机架内 Mx80 模块，所有以太网设备（DIO 或 DRS）都可以被视为非干扰，因此可以用作
M580 安全系统的一部分。
适用于 SIL3 应用的类型 1 非干扰模块

以下非安全模块可以作为 M580 安全系统中的类型 1 非干扰模块。
注意：类型 1 非干扰非安全模块的列表可能随时间变化而变化。有关当前列表，请访问 TÜV
Rheinland 网站 https://fs-products.tuvasi.com。
模块类型模块参考
背板 4 插槽 BMEXBP0400
背板 4 插槽 BMXXBP0400
背板 6 插槽，其中两个插槽供冗余电源使用 BMEXBP0602
QGH60288 09/2020 17
支持的模块
背板 10 插槽，其中两个插槽供冗余电源使用 BMEXBP1002
通讯：Performance X80 以太网子站适配器 1 通道 BMXCRA31210
通讯：Performance X80 以太网子站适配器 1 通道 BMECRA31210
通讯：具有标准 Web 服务的以太网模块 BMENOC0301
通讯：具有 IP 转发功能的以太网模块 BMENOC0321
通讯：具有 FactoryCast Web 服务的以太网模块 BMENOC0311
通讯：机架扩展模块 BMXXBE1000
通讯：AS-界面 BMXEIA0100
通讯：全局数据 BMXNGD0100
通讯：光纤转换器 MM/LC 2CH 100Mb BMXNRP0200
通讯：光纤转换器 SM/LC 2CH 100Mb BMXNRP0201
通讯：M580 IEC 61850 通讯模块 BMENOP0300
通讯：嵌入式 OPC UA 服务器 BMENUA0100
计数：SSI 模块 3 通道 BMXEAE0300
计数：高速计数器 2 通道 BMXEHC0200
计数：高速计数器 8 通道 BMXEHC0800
运动：脉冲串输出 2 独立通道 BMXMSP0200
模拟量：模拟量 8 路输入，电流隔离，HART BMEAHI0812
模拟量：模拟量 4 路输出，电流隔离，HART BMEAHO0412
模拟量：模拟量 4 U/I 输入，隔离，高速 BMXAMI0410
模拟量：模拟量 4 U/I 输入，非隔离，高速 BMXAMI0800
模拟量：模拟量 8 U/I 输入，隔离，高速 BMXAMI0810
模拟量：模拟量 4 输入 U/I，4 输出 U/I BMXAMM0600
模拟量：模拟量 2 U/I 输出，隔离 BMXAMO0210
模拟量：模拟量 4 U/I 输出，隔离 BMXAMO0410
模拟量：模拟量 8 路输出，电流，非隔离 BMXAMO0802
模拟量：模拟量 4 TC/RTD，隔离，输入 BMXART0414.2
模拟量：模拟量 8 TC/RTD，隔离，输入 BMXART0814.2
离散量：数字量 8 路输入，220 Vac BMXDAI0805
离散量：数字量 8 路输入，100 至 120 Vac，隔离 BMXDAI0814
离散量：数字量 16 路输入，24Vac/24Vdc 源极 BMXDAI1602
离散量：数字量 16 路输入，48Vac BMXDAI1603
离散量：数字量 16 路输入，100 至 120 Vac20 针 BMXDAI1604
离散量：数字量 16 路监控输入通道，100 至 120 Vac，40 针 BMXDAI1614
18 QGH60288 09/2020
支持的模块
离散量：数字量 16 路监控输入通道，200 至 240 Vac，40 针 BMXDAI1615
离散量：数字量 16 路输出三端双相可控硅，100 至 240 Vac，20 针 BMXDAO1605
离散量：数字量 16 路输出三端双相可控硅，24 至 240 Vac，40 针 BMXDAO1615
离散量：数字量 16 路输入，24Vdc 漏极 BMXDDI1602
离散量：数字量 16 路输入，48Vdc 漏极 BMXDDI1603
离散量：数字量 16 路输入，125Vdc 漏极 BMXDDI1604T
离散量：数字量 32 路输入，24Vdc 漏极 BMXDDI3202K
离散量：数字量 64 路输入，24Vdc 漏极 BMXDDI6402K
离散量：数字量 8 路输入，24Vdc 8Q 传输源极 BMXDDM16022
离散量：数字量 8 路输入，24Vdc 8Q 继电器 BMXDDM16025
离散量：数字量 16 路输入，24Vdc 16Q 传输源极 BMXDDM3202K
离散量：数字量 16Q 传输源极 0.5A BMXDDO1602
离散量：数字量 16 O 传输漏极 BMXDDO1612
离散量：数字量 32Q 传输源极 0.1A BMXDDO3202K
离散量：数字量 64Q 传输源极 0.1A BMXDDO6402K
离散量：数字量 8Q 125Vdc BMXDRA0804T
离散量：数字量 8Q 24 Vdc 或 24 至 240 Vac 隔离继电器 BMXDRA0805
离散量：数字量 16 路非隔离型继电器输出通道，5 至 125 Vdc 或 25 至 240 Vac BMXDRA0815
离散量：数字量 16Q 继电器 BMXDRA1605
离散量：数字量 NC 输出，5 至 125 Vdc 或 24 至 240 Vac 继电器 BMXDRC0805
离散量：数字量 16 路输入，24/125Vdc，TSTAMP BMXERT1604
Mx80 网络选项交换机 BMENOS0300
涡轮机构频率输入 2 通道 BMXETM0200
Profibus DP/DPV1 主站模块支持 PMEPXM0100
QGH60288 09/2020 19
支持的模块
适用于 SIL2/3 应用的类型 2 非干扰模块

以下机架内非安全模块可被视为 M580 系统中的类型 2 非干扰模块。
注意：类型 2 非干扰非安全模块的列表可能随时间变化而变化。有关当前列表，请访问 TÜV
Rheinland 网站 https://fs-products.tuvasi.com。
通讯：标准 X80 以太网子站适配器 1 通道 BMXCRA31200
标准 AC 电源 BMXCPS2000
标准隔离型 DC 电源 BMXCPS2010
24 至 48 VDC 大功率隔离型电源 BMXCPS3020
标准 125VDC 冗余电源 BMXCPS3522
标准 24/48VDC 冗余电源 BMXCPS4022
标准冗余 AC 电源 BMXCPS4002
大功率 AC 电源 BMXCPS3500
大功率 DC 电源 BMXCPS3540T
通讯：总线模块 2 RS485/232 端口 BMXNOM0200
CANopen X80 主站 BMECXM0100
称重模块 PMESWT0100
合作厂商诊断模块 PMXCDA0400
注意： M580 系统的通过以太网连接到安全模块的所有授权设备都被视为具有非干扰性质。因此，

Quantum 和 STB Advantys 系列的所有模块（不可与 M580 安全模块插入在同一机架中）都是类
型 2 非干扰模块。
20 QGH60288 09/2020
Modicon M580
选择拓扑
QGH60288 09/2020
第2章
选择 M580 安全系统拓扑
选择 M580 安全系统拓扑
简介
本节介绍了 M580 安全系统支持的拓扑。
主题页
设计 M580 安全系统拓扑 22
M580 安全拓扑 24
QGH60288 09/2020 21
选择拓扑
设计 M580 安全系统拓扑
支持独立和热备 PAC
M580 安全系统支持独立 PAC 和热备 PAC 的 SIL3 应用。每个 CPU 机架都包括 CPU 和协处理器
模块。
注意：有关可用机架及其允许用途的描述，请参阅主题机架用途 (参见第 81 页)。
将安全模块置于 RIO 主环路中

仅将 M580 安全模块安装在 RIO 主环路中，该环路包括：
本地主机架。独立安全 PAC 也包括最多七个可选本地扩展机架。
 本地主机架必须包括安全电源、安全 CPU 和安全协处理器。
 对于独立安全 PAC，本地主机架和本地扩展机架还可包括安全 I/O。M580 热备 PAC 的本地
主机架或本地扩展机架上不支持 I/O。
注意：主机架与最后一个扩展机架之间的最大距离为 30 米。
 最多可为 BMEH586040S 热备 CPU 配置 31 个 RIO 子站（对于 BME•584040S CPU，则最多
可配置 16 个 RIO 子站；对于 BME•582040S CPU，最多可配置 8 个 RIO 子站），每个子站均
由远程主机架和可选的远程扩展机架组成。
包含安全模块的任何机架还需要使用安全电源。
注意：包括安全模块的机架还可包括类型 1 非干扰模块 (参见第 17 页)。但类型 2 非干扰模块 (参
见第 20 页)不得与安全模块置于同一机架上。可以将类型 2 非干扰模块置于不含安全模块的机架
（例如，包含分布式设备的机架）上。M580 安全系统中不得包含其他非安全模块。
扩展主机架
使用 BMXXBE1000 机架扩展模块以菊花链形式将主机架与扩展机架连接在一起。使用
BMXXBC•••K 连接电缆连接每对扩展模块，并用 TSXELYEX 接线端子端接菊花链的每个末端。
本地机架与 RIO 子站通讯

为了在 CPU 固件版本不高于 3.10 的 M580 安全系统中支持 RIO 子站，将 M580 安全 CPU 配置作
为 NTP 服务器或者作为 NTP 客户端（将另一设备配置作为 NTP 服务器）。在时钟 (NTP) 设置不
正确的情况下，可能无法正确进行安全 I/O 通讯。
利用 BM•CRA312•0 远程适配器模块（仅非干扰型远程机架托管模块适用 BM•CRA31200，非干
扰和/或安全 I/O 型远程机架托管模块适用 BM•CRA31210）来将 RIO 子站连接到 RIO 主环路。
将 RIO 主环路的每个末端连接到 BME•58•040S 安全 CPU 上的两个双端口。
如果连接使用的是 Cat5e 铜缆，则子站间的最大距离为 100 米。
注意：或者，您也可以通过将 BMXNRP020• 光线中继模块置于每个机架中的方式，来将本地主机
架连接到 RIO 子站中的 BM•CRA312•0 远程适配器。有关更多信息，请参阅常用架构的 Modicon
M580 独立系统规划指南中的主题使用光纤转换器模块。
22 QGH60288 09/2020
选择拓扑
连接两个 M580 安全 PAC

M580 安全系统还支持两个安全 PAC 之间的对等黑色通道通讯。通常，这种连接经由每个安全系
统中的 BMENOC0321 来实现。有关更多信息，请参阅 Modicon M580 安全手册中的对等通讯。
注意：如要支持 CPU 固件版本不高于 3.10 的两个 PAC 之间的黑色通道通讯，请启用两个 PAC 中
的 NTP 服务。您可以将一个 PAC 配置作为 NTP 服务器，并将另一个 PAC 配置作为 NTP 客户
端。或者，您也可以将每个 PAC 都配置作为 NTP 客户端，并将另一设备配置作为 NTP 服务器。
将分布式设备添加到 M580 安全系统

您可以将分布式设备纳入到 M580 安全系统中。通常，分布式设备可以连接成非回路菊花链的形
式或者菊花链回路的形式。
您可以将分布式设备菊花链回路连接到 RIO 主环路上以下其中一个模块的两个网络端口：
 BMENOC0301/11 以太网通讯模块。
 BMENOS0300 以太网网络选项交换机。
 ConneXium 双环路交换机。
您也可以使用 BMENOC0301/11 以太网通讯模块、BMENOS0300 以太网网络选项交换机或

BME•58•040S 安全 CPU 的服务端口来将分布式设备连接成非回路菊花链的形式。
注意：仅将类型 1 和类型 2 非干扰模块置于分布式设备网络中。仅将安全模块置于本地机架（主
机架或扩展机架）和 RIO 网络中。安全项目中不得包含不属于型 1 或类型 2 非干扰模块的非安全
模块。
有关将分布式设备连接到 M580 CPU 的更多信息，请参阅常用架构的 Modicon M580 独立系统规
划指南中的主题选择正确拓扑。
将 CIP 安全设备添加到 M580 安全系统

您可以将 CIP 安全 I/O (CSIO) 设备作为 CSIO 分布式设备加入到 M580 安全系统中。
您可以通过以下方式将 CSIO 分布式设备连接到 RIO 主环路：
 CPU 的服务端口或者 BM•CRA31210 X80 EIO 适配器模块。
 BMENOS0300 以太网网络选项交换机。
 ConneXium 双环路交换机 (DRS)。
每种类型的 I/O（CSIO、RIO、DIO）都有自己的限制。为了保持可接受的性能等级，建议不要在
同一个架构中使用所有 I/O 类型的最大数量。
建议基于远程或分布式拓扑来构建典型 M580 CIP 安全架构。推荐的限制见下表：
BMEP582040S BMEP584040S
CSIO 设备 DIO 设备 RIO 子站 CSIO 设备 DIO 设备 RIO 子站
推荐的最大远程拓扑 10 10 8 32 10 16
推荐的最大分布式拓扑 16 61 2 64 61 2
SAFE 任务的 CSIO 耗时大约为每台设备 100 µs（搭载 BMEP584040S CPU 的情况下）以及 400
µs（搭载 BMEP582040S CPU 的情况下）。
QGH60288 09/2020 23
选择拓扑
M580 安全拓扑
简介
下图为 M580 安全拓扑的示例。这些样例拓扑不包含 M580 安全系统中支持任何潜在拓扑。
有关如何设置 M580 拓扑的更多信息，请参阅常用架构的 Modicon M580 独立系统规划指南、
Modicon M580 系统复杂拓扑规划指南和常用架构的 Modicon M580 热备系统规划指南。
扩展本地主机架
下图为包含两个扩展机架的本地主机架。请注意，M580 安全系统支持一个本地主机架以及最多七
个扩展机架，连接总长不超过 30 米：
1 带安全模块和类型 1 非干扰模块的本地主机架
2 带安全模块和类型 1 非干扰模块的本地扩展机架
3 带类型 1 和类型 2 非干扰模块的本地扩展机架
4 BMXXBE1000 机架扩展模块
5 TSXELYEX 接线端子
6 BMXXBC•••K 连接电缆
24 QGH60288 09/2020
选择拓扑
高可用性 I/O 拓扑
下图为位于同一 RIO 子站中的冗余 I/O 的示例：
1 本地主机架
2 RIO 子站
3 RIO 主环路
4 位于同一 RIO 子站中的两个冗余输入模块
5 位于同一 RIO 子站中的两个冗余输出模块
注意： CPU 固件版本不高于 3.10 时，启用 M580 安全 PAC 的 NTP 服务，以便支持本地主机架与

RIO 主环路上 RIO 子站之间的黑色通道通讯，如果 PAC 要作为 NTP 服务器，则配置 PAC 的内部
时间。安全 PAC 可以作为 NTP 服务器或 NTP 客户端（将另一设备配置作为 NTP 服务器）。
QGH60288 09/2020 25
选择拓扑
下图为两个独立 RIO 子站中冗余 I/O 的安置示例：
1 本地主机架
2 RIO 子站
3 RIO 主环路
4 位于各自的 RIO 子站中的两个冗余输入模块
5 位于各自的 RIO 子站中的两个冗余输出模块
注意：
 Schneider Electric 建议将冗余安全 I/O 模块置于独立的 RIO 子站中。
 CPU 固件版本不高于 3.10 时，启用 M580 安全 PAC 的 NTP 服务，以便支持本地主机架与 RIO
主环路上 RIO 子站之间的黑色通道通讯。安全 PAC 可以作为 NTP 服务器或 NTP 客户端（将
另一设备配置作为 NTP 服务器）。
26 QGH60288 09/2020
选择拓扑
两个单机安全 PAC 的对等拓扑

下图为两个独立 M580 安全 PAC 的连接方式示例。在该示例中，连接到 PAC 1 中安全输入模块的
传感器可以被配置成使连接到 PAC 2 中安全输出模块的执行器做出响应：
1 单机 M580 安全 PAC 1
2 M580 安全 PAC 2
3 PAC 之间的黑色通道通讯
注意：如要支持 CPU 固件版本不高于 3.10 的两个 PAC 之间的黑色通道通讯，请启用两个 PAC 中

的 NTP 服务。您可以将一个 PAC 配置作为 NTP 服务器，并将另一个 PAC 配置作为 NTP 客户
端。或者，您也可以将每个 PAC 都配置作为 NTP 客户端，并将另一设备配置作为 NTP 服务器。
QGH60288 09/2020 27
选择拓扑
将分布式设备添加到 M580 安全 PAC

您可以将类型 1 和类型 2 非干扰模块作为分布式设备以非回路菊花链的形式或者菊花链回路的形
式添加到 M580 安全项目。
下图为以非回路菊花链的形式添加的分布式设备的示例。在该示例中，分布式设备菊花链经由
BMENOC0301/11 以太网通讯模块的 ETH2 和 ETH3 EIO 端口连接到 PAC：
1 带以太网背板的本地主机架
2 带安全模块和类型 1 非干扰模块的 RIO 子站
3 RIO 主环路
4 分布式设备
5 分布式设备环路
28 QGH60288 09/2020
选择拓扑
热备拓扑结构
下图显示了热备拓扑结构：
1 带有主要 CPU 的主要本地机架

2 带有备用 CPU 的备用本地机架
3 热备通讯链路
4 以太网 RIO 主环路
5 (e)X80 RIO 子站
QGH60288 09/2020 29
选择拓扑
30 QGH60288 09/2020
Modicon M580
M580 安全 CPU 和协处理器
QGH60288 09/2020
第3章
简介
本章讲述了 BME•58•040S CPU 和 BMEP58CPROS3 协处理器 (Copro)。
本章包含了以下部分：
节主题页
3.1 M580 安全 CPU 和协处理器物理特性 32
3.2 M580 安全 CPU 和协处理器性能特性 48
QGH60288 09/2020 31
第3.1节
M580 安全 CPU 和协处理器物理特性
M580 安全 CPU 和协处理器物理特性
简介
本节介绍了 BME•58•040S CPU 和 BMEP58CPROS3 协处理器 (Copro) 的常见物理特性。
本节包含了哪些内容？
本节包含了以下主题：
主题页
M580 安全 CPU 和协处理器的物理规格描述 33
M580 安全 CPU 和 Copro 的 LED 显示区 38
Ethernet 端口 40
USB 端口 43
SFP 插口 45
SD 存储卡 46
32 QGH60288 09/2020
M580 安全 CPU 和协处理器的物理规格描述
在本地机架上的位置
每个 M580 独立 SIL3 安全系统需要一个 BME•58•040S CPU 和一个 BMEP58CPROS3 协处理器
(Copro)。CPU 需要两个模块插槽，安置在紧邻主本地机架电源右侧的插槽 0 和 1 中。Copro 也需
要两个模块插槽，安置在紧邻 CPU 右侧的插槽 2 和 3 中。CPU 和 Copro 都无法插入到任何其他
插槽位置或任何其他机架。如果本地机架配置中存在扩展机架，则向具有 00 的机架分配地址
CPU and Copro。
注意：安全 CPU 和 Copro 只能安装在 BMEXBP•••• 以太网机架上。有关可用 M580 机架的说明，
请参阅 ?
Modicon M580 硬件参考手册中的主题本地和远程机架。
CPU 前面板
BME•58•040S 安全 CPU 支持 RIO 和 DIO 扫描。
CPU 物理特性：
图例：
项目标记说明
1 – CPU 状态和诊断的LED 显示 (参见第 38 页)。
2 Mini-B USB 接口 (参见第 43 页)，您可以将运行 Control Expert 或固
件更新工具的 PC 或者将 HMI 连接到该接口。
3 Service 用于服务端口的 RJ45 Ethernet 接口 (参见第 40 页)的插槽。

4 Dual Port 支持分布式设备和 RIO 子站的双 RJ45 以太网接口 (参见第 40 页)。
5 Dual Port 用于铜芯缆线或光纤冗余链路连接的 SFP 插口。
QGH60288 09/2020 33
项目标记说明
6 — 冗余链路状态 LED。
7 — SD 存储卡 (参见第 46 页)插槽。
8 — A/B/清除旋转选择开关，用于将热备 PAC 指定为 PAC A 或者 PAC
B，或清除现有的 Control Expert 应用程序。
协处理器前面板
BMEP58CPROS3 协处理器的正面只有 LED 显示区。
CPU 和 Copro 尺寸
BME•58•040S 安全 CPU 的物理尺寸如下：
34 QGH60288 09/2020
BMEP58CPROS3 Copro 的物理尺寸如下。与 CPU 不同，Copro 没有物理接口或相关标签
注意：
在规划本地机架的安装时，请考虑 CPU 和 Copro 的高度。CPU 和 Copro 延伸至比机架下边缘
低：
 29.49 毫米（1.161 英寸）对于 Ethernet 机架
 30.9 毫米（1.217 英寸）对于 X Bus 机架
QGH60288 09/2020 35
CPU 接线尺寸
当利用电缆安装在 DIN 导轨上时，BME•58•040S 安全 CPU 具有以下尺寸：
CPU 的总深度：
 146 毫米（含电缆）
 156 毫米（含电缆和 DIN 导轨）
36 QGH60288 09/2020
Copro 接线尺寸
当安装在 DIN 导轨上时，BMEP58CPROS3 Copro 具有以下尺寸：
QGH60288 09/2020 37
M580 安全 CPU 和 Copro 的 LED 显示区
CPU LED Display

10 个 LED 的显示区位于 CPU 的前面板上：
注意： Copro LED 显示器是 CPU 显示器的子集，包括以下 LED：

 ERR
 DL
 SRUN
 SMOD
38 QGH60288 09/2020
LED 说明
注意：请参阅主题：
 有关如何使用 CPU 和 Copro LED 来诊断安全 PAC 状态的说明，请参阅 Modicon M580 安全手
册中的主题 M580 安全 CPU LED 诊断和 M580 协处理器 LED 诊断。
 有关如何使用 A、B、PRIM、STBY 和 REMOTE RUN 热备 CPU LED 的说明，请参阅常用架
构的 Modicon M580 热备系统规划指南中的M580 热备 CPU 的 LED 诊断。
LED 指示灯适用于 ... 说明

CPU Copro
RUN ✔ – 亮起：CPU 正在管理其输出，并且至少一个任务处于 RUN 状态。
ERR ✔ ✔ 亮起：CPU 检测到内部 CPU 错误（例如，无配置、检测到警戒时钟
错误、检测到自检错误。）
I/O ✔ – 亮起：CPU 在一个或多个 I/O 模块中检测到非 CPU 错误。
DL（下载） ✔ +  亮起：CPU、Copro、背板或其他机架内模块正在进行固件升级。
 熄灭：没有进行固件升级。
BACKUP ✔ – 亮起：
 存储卡或 CPU 闪存缺失或无法操作。
 存储卡无法使用（格式错误、类型无法识别等）。
 存储卡或 CPU 闪存内容与当前应用程序不一致。
 存储卡已取下并重新插入。
 PLC → 项目备份... → 备份清除命令在没有存储卡存在时已执行。
BACKUP LED 保持亮起，直到项目成功备份。
熄灭：存储卡或 CPU 闪存内容有效，且执行存储器中的应用程序完
全相同。
ETH MS ✔ – MOD STATUS （绿色/红色）：图案表示 Ethernet 端口配置状态。
注意：检测到可恢复的错误时，ETH MS LED 可以是绿色或红色，
亮起或熄灭。
ETH NS ✔ – NET STATUS （绿色/红色）：图案表示 Ethernet 连接状态。
FORCED I/O ✔ – 亮起：数字量 I/O 模块上的至少一个输入或输出被强制。
SRUN ✔ ✔ 亮起：PAC 正在管理其安全输出，并且 SAFE 任务处于 RUN 状态。
SMOD ✔ ✔  亮起：PAC 正在安全模式 (参见第 112 页)下运行。
 闪烁：PAC 正在维护模式 (参见第 113 页)下运行。
✔：适用
–：不适用。
QGH60288 09/2020 39
Ethernet 端口
简介
CPU 的正面有三个 RJ45 Ethernet 端口：一个服务端口和两个设备网络端口。这些端口共有的特
性如下所述。
公共特性
所有三个端口都具有相同的 RJ45 连接器，并使用相同类型的 Ethernet 电缆。
注意：三个 Ethernet 端口都连接到机箱接地点，且系统需要等电位接地。
防尘盖
要防止灰尘进入未使用的 Ethernet 端口，请使用塞子盖住未使用的端口：
Ethernet 端口
每个 RJ45 连接器都有一对 LED 指示灯：
40 QGH60288 09/2020
所有三个 RJ45Ethernet 端口的引脚位置、引脚和电缆连接均相同。
引脚说明
1 TD+ 引脚:
2 TD-
3 RD+
4 未连接
5 未连接
6 RD-
7 未连接
8 未连接
— 机壳/机箱接地
注意： TD 引脚（1 和 2）以及 RD 引脚（3 和 6）具有 auto-MDIX 功能，根据所连接的介质（例

如，直通电缆或交叉电缆）自动交换其角色。
端口具有自动 MDIX 功能，可自动检测传输的方向。
选择以下 Ethernet 电缆以连接到 Ethernet 端口：
 TCSECN3M3M••••：Cat 5E Ethernet 直通屏蔽电缆，额定工业用途，符合 CE 标准或 UL 标准
 TCSECE3M3M••••：Cat 5E Ethernet 直通屏蔽电缆，额定工业用途，符合 CE 标准
 TCSECU3M3M••••：Cat 5E Ethernet 直通屏蔽电缆，额定工业用途，符合 UL 标准
最大铜芯缆线长度为 100 米。对于大于 100 米的距离，使用光缆。CPU 没有任何光纤端口。您可

以使用双环路交换机或 BMX NRP •••• 光纤转换器模块 (参见 Modicon M580 独立, 常用架构, 系
统规划指南)进行铜芯缆线到光缆的转换。
Ethernet 独立 CPU 上的端口

在独立 CPU 上，ACTIVE LED 为绿色。LNK LED 为绿色或黄色，具体取决于状态：
LED LED 状态说明
ACTIVE 熄灭表示在 Ethernet 连接上未发生任何活动。
亮起 / 闪烁 Ethernet 连接上正在传送和接收数据。
LNK 熄灭在此连接中未建立任何链路。
绿灯亮起此连接中已建立 100 Mbps 链路*。
黄灯亮起此连接中已建立 10 Mbps 链路*。
* 10/100 Mbps 链路支持半双工和全双工数据传输及自适应。
QGH60288 09/2020 41
Service 端口
服务端口是 CPU 前面板上三个 Ethernet 端口最上面的端口。此端口可用于：
 提供其他设备或系统可用于监控 M580 CPU 或与之通讯的访问点
 作为独立 DIO 端口，可支持分布式设备的星形或菊花链拓扑。
 监控用于 Ethernet 诊断的 CPU 端口。查看镜像端口上活动的服务工具可以是 PC 或 HMI 设备。
注意：不得使用服务端口来连接到设备网络，但 Modicon M580, Open Ethernet Network, System

Planning Guide 中所述的情况除外。
服务端口可能无法提供设备网络端口在 CPU 上提供的全部性能和功能。
若直接或者通过交换机/集线器将服务端口连接到设备网络，可能影响系统性能。
设备双网络端口
您可以使用 Device Network 端口来支持分布式设备的星形或菊花链拓扑。您可以使用两个
Device Network 端口来支持环路拓扑。
当用作 RIO 端口时，两个端口都会将 CPU 连接到 Ethernet 菊花链回路或环路中的主环路
有关 RIO/DIO 架构的更多信息，请参阅章节 Modicon M580 系统 (参见 Modicon M580 独立, 常用
架构, 系统规划指南)。
接地注意事项
请遵守所有当地和国家/地区的安全法规和标准。
危险
存在电击危险
如果无法证明屏蔽电缆的端头已就地接地，则必须将电缆视为危险状态，且必须穿戴个人防护装
备 (PPE)。
如果不遵守这些说明，将会导致死亡或严重伤害。
42 QGH60288 09/2020
USB 端口
简介
USB 端口是一种高速的迷你 B 型 USB 连接器，2.0 版 (480 Mbps) 可用于 Control Expert 程序和
人机界面 (HMI) 面板。可将 USB 端口连接到其他 USB 端口，1.1 版或更低版本的端口。
注意：请先安装 M580 USB 驱动程序，然后再连接 CPU 与 PC 之间的 USB 电缆。
透明性
如果系统要求在连接到 USB 端口的设备和 M580 设备网络之间具有透明性，请在设备的路由表中
添加永久静态路由。
使用 IP 地址 X.X.0.0（对于 Windows PC）对设备网络进行寻址的命令示例：
route add X.X.0.0 mask 255.255.0.0 90.0.0.1 -p
（在本例中，X.X.0.0 是 M580 设备使用的网络地址，255.255.0.0 是相应的子网掩码。）
引脚分配
USB 端口具有以下引脚位置和引脚配置：
图例：
引脚描述
1 电源总线
2 D-
3 D+
4 未连接
5 接地
外壳机箱接地
QGH60288 09/2020 43
电缆
使用 BMX XCA USB H018（1.8 米/5.91 英尺）或 BMX XCA USB H045（4.5 米/14.764 英尺）
电缆将面板连接到 CPU。（这些电缆的一端为 Type A 接口，另一端为 mini-B USB 接口。）
在 XBT 类型控制台连接到 CPU 的固定式组件中，将 USB 电缆连接到保护条 (参见 Modicon X80,
机架和电源, 硬件参考手册)。使用 BMX XCA 电缆上屏蔽层的外露部分或金属接线片进行连接。
44 QGH60288 09/2020
SFP 插口
冗余链路端口连接器
每个热备 CPU 模块都包含一个 SFP 插口，您可以将光纤或铜芯缆线收发器与该插口相连：
请参阅常用架构的 Modicon M580 热备系统规划指南，了解 SFP 插口的安装和移除并获取可用

SFP 收发器的列表。
QGH60288 09/2020 45
SD 存储卡
BMXRMS004GPF SD 存储卡
BMXRMS004GPF 存储卡是 4 GB 6 类存储卡，工业用等级。SD 存储卡插槽位于 CPU 正面的门
后。
您可以使用 BMXRMS004GPF 存储卡来存储应用程序和数据。
您可以使用 BMXRMS004GPF 存储卡来存储：
 M580 安全项目应用程序。
 用于非安全任务（MAST、FAST、AUX0、AUX1）的数据。
注意：
 数据无法存储在 SAFE 任务的 SD 存储卡上。
 安全回路中不包含 SD 存储卡。
您可以在电源接通以及 PAC 处于 RUN 模式时插入和取出存储卡。但为了避免数据丢失，应先使

用系统位 %S65 来发出停止对卡进行数据访问的系统请求，然后再将卡从 CPU 中取出。
注意：
其他存储卡（包括 M340 CPU 中使用的存储卡）与 M580 CPU 不兼容。如果在 CPU 中插入不兼
容的 SD 存储卡：
 CPU 将保持在 NOCONF 状态 (参见 Modicon M580, 硬件, 参考手册)。
 CPU BACKUP LED 亮起。
 存储卡访问 LED 保持闪烁。
BMXRMS004GPF 存储卡专门针对 M580 CPUs 进行格式化。如果将此存储卡与其他 CPU 或工具

搭配使用，则可能无法识别此存储卡。
存储卡特性
BMXRMS004GPF 存储卡具有以下特性：
特性值
全局存储器大小 4 GB
应用程序备份大小 200 MB
数据存储区大小 3.8 GB
写入/擦除次数（典型） 100,000
工作温度范围 –40...+85 °C (–40...+185 °F)
文件保留时间 10 年
FTP 访问的存储区仅数据存储目录
注意：因格式化、磨损和其他内部机制，存储卡的实际可用容量略低于其全局大小。
46 QGH60288 09/2020
读/写卡开关
BMXRMS004GPF 存储卡沿其非斜切边缘具有读/写访问开关，有助于保护卡使其免受未许可的
写入访问：
1 读/写访问开关
格式化存储卡
EcoStruxure™ Control Expert 系统功能块库手册中的格式化存储卡主题对格式化过程进行了描
述。
QGH60288 09/2020 47
第3.2节
M580 安全 CPU 和协处理器性能特性
M580 安全 CPU 和协处理器性能特性
M580 CPU 和 Copro 性能特性
安全 CPU 和 Copro
BME•58•040S CPU 和 BMEP58CPROS3 协处理器 (Copro) 在 SIL3 M580 安全解决方案中提供以
下性能特性：
性能特性 BME
P582040S P584040S H582040S H584040S H586040S
本地机架 4 个（1 8 个（1 1 1 1
个主机架 + 个主机架 +
最多 3 个最多 7 个
扩展机架）扩展机架）
RIO 子站（最多 2 个机架/子站：主机架 + 8 个子站 16 个子站 8 个子站 16 个子站 31 个子站
扩展机架）（每个子站（每个子站（每个子站（每个子站（每个子站
最多 2 最多 2 最多 2 最多 2 最多 2
个机架）个机架）个机架）个机架）个机架）
I/O 通道离散量 I/O 2048 4096 01 01 01
模拟量 I/O 512 1024 01 01 01
专用 72 144 01 01 01
以太网端口背板 1 1 1 1 1
服务 1 1 1 1 1
RIO 2 2 2 2 2
控制网络模块/设备的最大数量 64 128 64 128 128
最大输入容量 16 KB 24 KB 16 KB 24 KB 24 KB
最大输出容量 16 KB 24 KB 16 KB 24 KB 24 KB
最大 FAST 输入容量 3 KB 5 KB 3 KB 5 KB 5 KB
最大 FAST 输出容量 3 KB 5 KB 3 KB 5 KB 5 KB
1. 对于 M580 安全热备 PAC，本地机架中不支持 I/O 模块。
2. 在安全和非安全数据区中都包含此数据。
3. 由于 SAFE 任务通过背板交换数据，因此对性能存在负面影响。对于 BMEH584040S 和 BMEH586040S，传输
10KB 的数据需要 1 毫秒，对于 BMEH582040S，需要 2 毫秒。
4. 应用程序（非安全）+ 应用数据（仅非安全非保留数据）+ 应用程序（安全）+ 应用数据（安全）小于 64Mb。在
BMEH586040S CPU 上有一个 64Mb 的全局存储池，用于存储应用程序和应用数据。
5. 冗余数据的传输数据（非安全 + 安全）上限为 4MB。
6.无外部存储卡时，为 2 GB。
48 QGH60288 09/2020
性能特性 BME
P582040S P584040S H582040S H584040S H586040S
分布式设备网络模块/设备的最大数量 61 61 61 61 61
最大输入容量 2 KB 8 KB 2 KB 2 KB 2 KB
最大输出容量 2 KB 8 KB 2 KB 2 KB 2 KB
最大 CIP 安全设备数 16 64 – – –
最大 CIP 安全接口数 32 128 – – –
本地机架上的以以太网通讯模块的最大数量 2 4 2 4 4
太网通讯模块
BMENOC0301/0311 最大数量 2 3 2 3 3
BMENOC0321 最大数量 2 2 2 2 2
内存分配非安全应用程序 8 MB 16 MB 8 MB 16 MB 64 MB4
（最大）
安全应用程序 2 MB 4 MB 2 MB 4 MB 16 MB4
非安全数据 768 KB 2048 KB 768 KB 2048 KB 最多 65536
KB4
最大可配置保留数据 768 KB 2048 KB 768 KB 2048 KB 4096 KB
最大可配置冗余传输数据 768 KB 2048 KB 768 KB 2048 KB 4096 KB5
安全数据（非保留数据） 512 KB 1024 KB 512 KB 1024 KB 1024 KB4
最大可配置安全冗余传输数据 512 KB 1024 KB 512 KB 1024 KB 1024 KB5
共享：Global -> Safe 16 KB 16 KB 16 KB2 16 KB2 16 KB2
共享：Safe -> Global 16 KB 16 KB 16 KB2 16 KB2 16 KB2
共享：Global -> Process 16 KB 16 KB 16 KB2 16 KB2 16 KB2
共享：Process -> Global 16 KB 16 KB 16 KB2 16 KB2 16 KB2
总数据存储 4 GB6 4 GB6 4 GB6 4 GB6 4 GB6
QGH60288 09/2020 49
性能特性 BME
P582040S P584040S H582040S H584040S H586040S
指令执行速率 MAST 和 FAST 任务：
布尔指令 10K 指令/ 40K 指令/ 10K 指令/ 40K 指令/ 60K 指令/
毫秒毫秒毫秒毫秒毫秒
时间指令 7.5K 指令/ 30K 指令/ 7.5K 指令/ 30K 指令/ 40K 指令/
毫秒毫秒毫秒毫秒毫秒
SAFE 任务：
布尔指令 10K 指令/ 40K 指令/ 10K 指令/ 40K 指令/ 40K 指令/
毫秒毫秒毫秒3 毫秒3 毫秒3
时间指令 7.5K 指令/ 30K 指令/ 7.5K 指令/ 30K 指令/ 30K 指令/
毫秒毫秒毫秒3 毫秒3 毫秒3
开放现场总线 – – 0 0 0
传感器总线 (AS-i) – – 16 16 16
50 QGH60288 09/2020
Modicon M580
M580 安全电源
QGH60288 09/2020
第4章
M580 安全电源
M580 安全电源
简介
本章介绍了 M580 安全电源。
主题页
M580 安全电源物理规格描述 52
M580 安全电源性能特性 57
M580 安全电源报警继电器 62
QGH60288 09/2020 51
M580 安全电源
M580 安全电源物理规格描述
在 M580 安全回路中使用
包含安全模块的任何机架都只能使用 BMXCPS4002S、BMXCPS4022S 或 BMXCPS3522S 安全
电源。您可以在充当以下角色的 X Bus 或以太网机架中使用安全电源：
 主本地机架
 扩展本地机架
 主远程机架
 扩展远程机架
您可以在支持冗余的以太网机架中使用两个安全电源模块。安全电源需要两个模块插槽，安置在
机架最左侧。
注意：有关可用 M580 机架的说明，请参阅 ?
Modicon M580 硬件参考手册中的主题本地和远程机
架。
电源前面板
M580 安全电源具有以下前面板：
1 LED 显示器面板
2 复位按钮
3 报警继电器触点
4 100...240 Vac 主输入电源 5 针接口
52 QGH60288 09/2020
M580 安全电源
LED 阵列
M580 安全电源模块具有以下 LED 面板：
LED 面板包括以下 LED 指示灯：

 OK：操作状态
 ACT：活动状态
 RD：冗余
每个 LED 具有两种状态：亮起（绿色）和熄灭。
有关如何使用这些 LED 来诊断电源状态的说明，请参阅 M580 安全手册中的主题电源 LED 诊断 (
参见 Modicon M580, 安全手册)。
复位
按下电源上的 RESET 按钮会导致重新初始化与电源位于同一机架中的所有模块。如果 M580 安全
电源模块位于主本地机架中，那么按下 RESET 按钮会导致重新初始化 CPU。
注意：在包含两个 M580 安全电源模块的冗余设计中，您可以按下任一个或两个电源模块上的
RESET 按钮，执行复位功能。
QGH60288 09/2020 53
M580 安全电源
输入电源连接
对于每个 M580 安全电源，适用以下引脚特性：
 5 个点
 可移除式插头类型：
 在模块上：带螺纹法兰的排针
 带螺纹法兰的插拔式端子块
 间距：5.08 毫米
 最小接线规格：0.5 mm2...2.0 mm2
每个 M580 安全电源的输入电源和引脚分配如下：
说明 BMXCPS4002S BMXCPS4022S BMXCPS3522S

主输入电源 100...240 Vac 24...48 Vdc 125 Vdc
引脚 1 NC 直流线 NC
引脚 2 NC 直流线 NC
引脚 3 PE 直流中性线 PE
引脚 4 交流中性线直流中性线直流中性线
引脚 5 交流线接地直流线
注意：交货时，模块随附有插拔式端子块。
54 QGH60288 09/2020
M580 安全电源
电源尺寸
M580 安全电源具有以下尺寸：
QGH60288 09/2020 55
M580 安全电源
电源接线尺寸
考虑接线时，M580 安全电源应具有以下尺寸：
56 QGH60288 09/2020
M580 安全电源
M580 安全电源性能特性
BMXCPS4002S 安全电源
BMXCPS4002S 安全电源具有以下性能特性：
输入特性
标称电压 100...240Vrms
电压范围 85...132Vrms
170...264Vrms
频率范围 47...63 Hz
屏蔽输入电源中断最长 10ms（100Vrms-15% 和 @200Vrms-15%
条件下）
典型输入视在功率 130 VA
典型输入电流 115Vrms 下 1.1Arms
230Vrms 下 0.55Arms
25°下的浪涌电流峰值 115Vrms 下 30Arms
（首次启动时） 230Vrms 下 60Arms
I 2t 115Vrms 下 1A2s
（用于确定外部熔断器规格） 230Vrms 下 4A2s
It 115Vrms 下 0.1As
（用于确定外部断路器规格） 230Vrms 下 0.15As
集成保护位于 L 输入上的内部不可触及熔断器
输出特性
最大 3V3_BAC 输出电流 5.5A (18.2W)
最大 24V_BAC 输出电流 1.67A (40W)
最大总输出功率 40 W
检测过载是 — 分断
短路是 — 分断
过压是 — 分断
其他特性
介电初级线圈/全部次级线圈 SELV / PELV
强度初级线圈/接地 SELV / PELV
绝缘电阻初级线圈/全部次级线圈 100 MΩ
初级线圈/接地 100 MΩ
QGH60288 09/2020 57
M580 安全电源
输入特性
标称电压类型 24...48 Vdc
输入电压范围 18...62.4 Vdc
效率在整个输入电压范围和温度范围内，最大连续负载下的最大损耗≤
7W（效率≥84.8%）
标称输入电流 24 Vdc 时 1.9 A
48 Vdc 时 1.0 A
25°C 温度下首峰值电流 24 Vdc 时 ≤60 A
次启动时的浪涌
48 Vdc 时 ≤60 A
电流
I<"/>2<"/>t（用于确定 24 Vdc 时，≤ X A2
外部熔断器规格）
48 Vdc 时，≤ X A2
It（用于确定外部 24 Vdc 时，≤ X A
断路器规格）
48 Vdc 时，≤ X A
屏蔽输入电源中断符合以下条件的任意输入电源中断：
 在满载和最低线路电压（即，19.2 Vdc）下持续最多 1 毫秒
 在满载和标称线路电压（即，24 Vdc 或 48 Vdc）下持续最多 10

毫秒
不得导致输出特性发生任何改变。中断间隔周期为 1 秒。
输入保护  防火保护：通过安装在电路板上的熔断器来实现，其位于 DC+
输入上，用户既无法触及也无法更改此熔断器。其规格选择应遵循
安全标准。在线路噪声耐受测试期间，
此熔断器无论如何不应受损。
 输入反极性保护：内置电路必须能够保护模块。内部
（以及可能的外部）熔断器不得熔断。
在恢复正确的极性连接之后，电源必须能够正确启动。
输出特性：
输出标称电压 24.35 V
输出稳态电压范围在整个输入电压范围、整个输出负载范围以及整个温度范围内，为
23.3...24.7 V。
输出波纹和噪声峰间 240 mV（在带宽 ≥100 Mhz 的条件下于模块连接器引脚上测得）。
连续输出电流范围  1.63 A 最大值
 0 A 最小值
瞬时输出电流能力 500 毫秒内最大 1.9 A，其周期最短为 20 秒。

输出阻抗与频率 180 mΩ
58 QGH60288 09/2020
M580 安全电源
输出特性：
对 24V_BAC 上瞬态负载的输出对于 24V_BAC 上的以下瞬态输出负载：
电压响应  负载波动电流 I 介于连续输出电流下限值与瞬时输出电流上限值
（反之亦然）之间。
 过渡时间 4 微秒 - 脉宽 500 毫秒 - 周期 20 秒。
 24V_BAC 上的瞬时输出电压必须在 23.0...25.0V 范围内，

响应时间必须 ≤ 50 毫秒。
 无论 24V_BAC 上容性负载的值为指定限制范围内的哪个值。
输出过载/短路保护  如果 24V_BAC 上出现任何过载或短路情况（即，无论程度、

持续时间、温度和输入电压如何），必须保护电路板不受任何损坏。
 过载检测阈值的总最大值（即，包含所有容差、漂移等）必须小于
Imax。
 Imax = 2 A。
过压保护在输出的电压达到 30.0 Vdc ±0.8 V 时，切断电源。

外部容性负载能力必须使用以下外部容性负载值来达到以上所有特性。对于斜坡上升、
调压回路稳定性以及过载检测/保护而言，尤其必须考虑这一特性。
11500 μF 电容值。
QGH60288 09/2020 59
M580 安全电源
输入特性：
标称电压类型 (Un) 125 Vdc
输入电压范围 100...150 Vdc
效率在整个输入电压范围和温度范围内，最大连续负载下的
最大损耗≤7W（效率≥84.8%）
标称输入电流 0.6A@125 Vdc
25°C 温度下首峰值电流 ≤60A@125 Vdc
次启动时的浪涌 I<"/>2<"/>t（用于确定外部熔断
125 Vdc 时，≤ X A2
电流器规格）
It（用于确定外部断路器 4 Vdc 时，≤ X A

规格）
屏蔽输入电源中断符合以下条件的任意输入电源中断：
 在满载和最低线路电压（即，100 Vdc）下持续最多
1 毫秒
 在满载和标称线路电压（即，125 Vdc）下输入持续
最多 10 毫秒
不得导致输出特性发生任何改变。中断间隔周期为 1
秒。
输入保护  防火保护：通过安装在电路板上的熔断器来实现，
其位于 DC+ 输入上，用户既无法触及也无法更改此
熔断器。其规格选择应遵循安全标准。在线路噪声耐
受测试期间，此熔断器无论如何不应受损。
 输入反极性保护：内置电路必须能够保护模块。内部
（以及可能的外部）熔断器不得熔断。在恢复正确的
极性连接之后，电源必须能够正确启动。
BMXCPS3522 /S 大功率
输出标称电压 24.35 V
输出稳态电压范围在整个输入电压范围、整个输出负载范围以及整个温度范围内，
为 23.3...24.7 V。
输出波纹和噪声峰间 240 mV（在带宽 ≥100 Mhz 的条件下于模块连接器引脚上
测得）。
连续输出电流范围  1.63 A 最大值
 0 A 最小值
瞬时输出电流能力 500 毫秒内最大 1.9 A，其周期最短为 20 秒。

输出阻抗与频率 180 mΩ
60 QGH60288 09/2020
M580 安全电源
BMXCPS3522 /S 大功率
对 24V_BAC 上瞬态负载的输出电压响应对于 24V_BAC 上的以下瞬态输出负载：
 负载波动电流 I
介于连续输出电流下限值与瞬时输出电流上限值（反之亦然）
之间。
 过渡时间 4 微秒 - 脉宽 500 毫秒 - 周期 20 秒。
 24V_BAC 上的瞬时输出电压必须在 23.0...25.0V 范围内，

响应时间必须 ≤ 50 毫秒。
 无论 24V_BAC 上容性负载的值为指定限制范围内的哪个值。
输出过载/短路保护  如果 24V_BAC 上出现任何过载或短路情况（即，无论程度、

持续时间、温度和输入电压如何），必须保护电路板不受任何
损坏。
 过载检测阈值的总最大值（即，包含所有容差、漂移等）
必须小于 Imax。
 Imax = 2 A。
过压保护在输出的电压达到 30.0 Vdc ±0.8 V 时，切断电源。

外部容性负载能力必须使用以下外部容性负载值来达到以上所有特性。
对于斜坡上升、调压回路稳定性以及过载检测/保护而言，尤其
必须考虑这一特性。
11500 μF 电容值。
QGH60288 09/2020 61
M580 安全电源
M580 安全电源报警继电器
性能特性
M580 安全电源上的报警继电器端子块具有以下性能特性：
特性
额定开关电压/电流 24 Vdc 2A（阻性负载）
240 Vac 2A (cos φ =1) 点
最小开关负载 5 Vdc 1 mA
最大开关电压 62.4 Vdc
264 Vac
触点类型常开
接触时间
 断-通 10 毫秒或更短
 通-断 12 毫秒或更短
内置保护针对过载/短路：无，必须安装速断熔断器。
针对交流感应过电压：无，必须为各预执行器的端子并联 RC 电路或
MOV (ZNO) 抑制器（根据具体的电压选型）。
针对直流感应过电压：无，必须将放电二极管安装到各预执行器的端子。
介电强度接触与接地：2000 Vrms，50Hz，1 分钟（海拔 0...2000 米）
绝缘电阻 500 Vdc 下 10 MΩ 或更高
62 QGH60288 09/2020
Modicon M580
M580 安全 I/O 模块
QGH60288 09/2020
第5章
简介
本章介绍了 M580 安全 I/O 模块。
节主题页
5.1 M580 安全 I/O 模块物理规格描述 64
5.2 M580 安全 I/O 性能特性 70
QGH60288 09/2020 63
第5.1节
M580 安全 I/O 模块物理规格描述
M580 安全 I/O 模块物理规格描述
M580 I/O 模块的物理规格描述
安装安全 I/O 模块
M580 安全 I/O 模块可以安装在：
 本地机架上不为电源或 CPU 预留的任意插槽中。
 远程机架上不为电源或远程适配器预留的任意插槽中。
注意：安全 I/O 模块可以安装在 BMXXBP•••• X Bus 机架或 BMEXBP•••• 以太网机架上。有关可用

M580 机架的说明，请参阅 ?Modicon M580 硬件参考手册中的主题本地和远程机架。
64 QGH60288 09/2020
安全 I/O 模块前面板
每个安全 I/O 模块的前面板都有以下特性：
1 锁定/解锁配置按钮
2 LED 面板
3 20 针接口
4 编码键引脚插槽
QGH60288 09/2020 65
安全 I/O 模块尺寸
每个安全 I/O 模块具有以下物理尺寸：
注意：
在规划机架的安装时，请考虑安全 I/O 模块的高度。每个安全 I/O 模块延伸至比机架下边缘低：
 29.49 毫米（1.161 英寸）对于 Ethernet 机架
 30.9 毫米（1.217 英寸）对于 X Bus 机架
66 QGH60288 09/2020
安全 I/O 接线尺寸
每个安全 I/O 模块具有以下接线尺寸：
QGH60288 09/2020 67
LED
每个安全 I/O 模块都在模块正面提供了模块和通道 LED 诊断指示灯：
 顶部的四个 LED（Run、Err、I/O 和 Lck）共同描述模块的状态。
 下方的几排 LED 与顶部的四个 LED 结合描述每个输入或输出通道状态和健康状态。
注意：有关如何使用模块 LED 来诊断 M580 安全模块状态的说明，请参阅 M580 安全手册的诊断

章节。
BMXSAI0410 安全模拟量输入模块和 BMXSRA0405 安全数字继电器输出模块 LED：
1 模块状态 LED
2 通道状态 LED
3 通道检出错误 LED
BMXSDI1602 安全数字量输入模块 LED：
1 模块状态 LED
2 序号 A 的通道状态 LED
3 序号 A 的通道检出错误 LED
2 序号 B 的通道状态 LED
3 序号 B 的通道检出错误 LED
68 QGH60288 09/2020
BMXSDO0802 安全数字量输出模块 LED：
1 模块状态 LED
2 通道状态 LED
3 通道检出错误 LED
QGH60288 09/2020 69
第5.2节
M580 安全 I/O 性能特性
M580 安全 I/O 性能特性
简介
本节介绍了 M580 安全 I/O 模块的性能特性。
主题页
BMXSAI0410 安全模拟量输入模块性能特性 71
BMXSDI1602 安全数字量输入模块性能特性 73
BMXSDO0802 安全数字量输出模块性能特性 75
BMXSRA0405 安全数字继电器输出模块 77
70 QGH60288 09/2020
BMXSAI0410 安全模拟量输入模块性能特性
模拟量输入模块特性
BMXSAI0410 安全模拟量输入模块具有以下性能特性：
静态特性值
输入阻抗（信号范围内） 286 Ω
模拟量输入误差 25°C 下的最大满量程误差 0.30%
模拟量输入误差（= 安全容差） -25°C 至 70°C 全温度范围下的最大满量 0.35%
程误差
可靠性 25°C 下的 MTTF 54.2 年
线性量程 0...25 mA 和 12,500 次操作
(500 ct/mA)
超量程检测 < 3.75 mA 且 >20.75 mA
数字分辨率分辨率 16 位
同时转换的通道数 4
应用程序的返回数据格式二进制
LSB 值 0.191 μA
最大永久允许过载 25 mA
过载状况下的数字量输出读数将向客户端应用程序告知过载 I = 25 mA
输入类型类型 4 - 20 mA
类型浮动隔离输入
最大输入范围 0-25 mA
共模特性共模抑制待测量
动态特性值
输入滤波器特性阶次二阶
-3dB 下的截止频率 10.47 Hz
QGH60288 09/2020 71
一般特性值
转换方法逐次逼近
保护类型保护二极管
正常工作下的隔离电位通道间绝缘 500 VAC（有效时间为 1 分钟）
背板的绝缘通道 1500 VAC（有效时间为 1 分钟）
外部电源数据 - 如有需要无需
电缆类型和长度 — 出于抗干扰目的而建议使用的安装原则屏蔽电缆
保持额定准确度所需的校准或验证无校准
外部连接的典型例子温度传感器和压力传感器
其他特性值
无遗漏代码情况下的单调性是
50Hz 直流和交流与 60Hz 交流之间的串扰 –
非线性度 +/- 0.006% (LSB)
指定稳定时间结束后固定温度下的重复性 –
3.3V 下的电流消耗典型值 223 mA
最大值 256 mA
24V 下的电流消耗典型值 92 mA
最大值 115 mA
功耗最大值 3.98 W
72 QGH60288 09/2020
BMXSDI1602 安全数字量输入模块性能特性
数字量输入模块特性
BMXSDI1602 安全输入模块具有以下性能特性：
特性值
标称输入电压 24 VDC
外部传感器电源类型 SELV/PELV，II 类过电压（最高 60 V）
典型输入电流电流 3.2 mA
输入限制值状态 1 时的电压 ≥ 11 V
状态 0 时的电压 ≤5V
状态 1 时的电流 > 2 mA（当 U ≥ 11 V 时）
状态 0 时的电流 < 1.5 mA
传感器电源 19 至 30 V（可能高达 33V。每天不超过 1
（包括波纹）小时）
输入阻抗标称电压下 7.5 KΩ
响应时间典型值/最大值 100 μs/ 250 μs
可靠性 Tamb = 25 °C 条件下的 MTTF 31.5 年
极性反接受保护
IEC61131-2 - 3.0 版 (2007) 类型 3
兼容性（2 线、3 线接近传感器） IEC 947-5-2
电介质强度初级线圈/次级线圈 1500 VRMS（4000 m），50/60 Hz，持续 1
分钟
绝缘电阻 >10 MΩ（500 VDC 下）
输入类型电流漏极
输入并行 (1) 是
传感器电压良好 > 18.6 VDC
监控阈值 < 32 VDC
故障 < 18.6 VDC
> 33 VDC
传感器电压监控响应时间在消失时 4.4 ms < T < 30 ms
在出现时 0.18 ms < T < 0.3 ms
使用 VS 进行短路至 24V 最大值 80 nF
检查时的最大外部电容
最大值 256 mA
(1) 这个特性让多个输入能够连接在同一模块上，或者（在需要冗余输入的情况下）连接在不同的模块上。
QGH60288 09/2020 73
特性值
24V 下的电流消耗典型值 63 mA
最大值 100 mA
最大功耗 3.57 W
(1) 这个特性让多个输入能够连接在同一模块上，或者（在需要冗余输入的情况下）连接在不同的模块上。
74 QGH60288 09/2020
BMXSDO0802 安全数字量输出模块性能特性
数字量输出模块特性
BMXSDO0802 安全数字量输出模块具有以下性能特性：
特性值
标称值电压 24 VDC
电流 0.5 A
限制值电压 19...30 V(1)
电流/通道 0.625 A
电流/模块 5A
外部执行器电源类型 SELV/PELV（最大 60 V），II 类过电压
钨丝灯功率最大 6W
泄漏电流在状态 0 < 0.5 mA
剩余电压（状态 1） < 1.2 V
保护瞬间电压是
过载分断电流 > 0.625 A
短路是
极性错误是
过热是
最小负载电阻值（对于预执行器） 48 Ω
全面断线检测：输出与预执行器之间的最大电缆负载 10 nF
电容值（包括预执行器电容）
响应时间 (2) 1.2 毫秒
稳定性：MTTF 25°C 下 45.8 年
感性负载上的开关频率 0.5 / LI2Hz，其中 Fmax =2 Hz
输出并行是（最多 2 路）
与直流输入的兼容性是（仅 3 类漏极或非 IEC 漏极）
内置保护防过压是 — 通过内部 TVS 实现
防极性反接是 — 通过反极性安装的二极管实现将熔断器增设到
24 V 预执行器。
防短路和过载是 — 通过电流限制器和电气断路器实现 1.5 In < Id <
2 In
24V 预执行器电压良好 > 19.0 V 且 < 31.8 V
监控阈值
故障 < 18.0 V 且 > 31.8 V
(1) 允许 33V 电压每 24 小时持续存在 1 小时。
(2) 所有输出都具有针对电磁铁的消磁电路。电磁铁放电时间 < L/R。
QGH60288 09/2020 75
特性值
预执行器电压监控响在消失时 2 ms < T < 5.6 ms
应时间在出现时 10 ms < T < 15.6 ms
最大值 264 mA
24V 背板电流消耗典型值 80 mA
最大值 90 mA
24V 预执行器电流消典型值 5 mA
耗（无负载电流）
最大值 15 mA
损耗功率 4.4 W（最大值）
介电强度（输出/接地或者内部逻辑） 1500 V rms，50/60 Hz，持续 1 分钟
绝缘电阻 >10 MΩ（500 VDC 下）
(1) 允许 33V 电压每 24 小时持续存在 1 小时。
(2) 所有输出都具有针对电磁铁的消磁电路。电磁铁放电时间 < L/R。
76 QGH60288 09/2020
BMXSRA0405 安全数字继电器输出模块
数字继电器输出模块特性
BMXSRA0405 安全数字继电器输出模块具有以下性能特性：
特性值
额定开关 24 Vdc 5A（阻性负载）
电压/电流
240 VAC 5A (cos Φ =1)
阻性负载上触点的最大电流 5A（DC12 和 AC12）
感性负载上触点的最大电流 4A DC13 和 3A AC15
工作温度 0 到 60°C
外部执行器电源类型 II 类过电压
最小开关负载 5 VDC 10 mA
最大开关负载 264 VAC 30 VDC
开关时间 OFF→ ON（操作）通常为 12 毫秒
ON →OFF（释放）通常为 6 毫秒
寿命（基于 Elesta 继电器机械 1000 万次操作或更多
SIF3）电气 DC12 24Vdc / 5A → 300.000 次操作
DC12 24Vdc / 2A → 500.000 次操作
DC12 24Vdc / 1A → 1.000.000 次操作
L/R=40ms DC13 24Vdc (0.1Hz) / 4A→30.000 次操作
DC13 24Vdc (0.1Hz) / 2A→50.000 次操作
DC13 24Vdc (0.1Hz) / 1A→80.000 次操作
– AC12 250Vac / 5A→70.000 次操作
AC12 250Vac / 2A→30.000 次操作
AC12 250Vac / 1A→250.000 次操作
– AC15 250Vac / 3A→40.000 次操作
AC15 250Vac / 2A→80.000 次操作
AC15 250Vac / 1A→80.000 次操作
内置保护防过载和短路无 — 每个通道或每组通道必须配备速断熔断器。
防 ~ 中的感性过电压无 — 必须跨每个预执行器的端子并联适用于所用
电压的 RC 电路或 MOV 峰值限制器 (ZNO) 。
防 = 中的感性过电压无 — 必须跨每个预执行器的端子配备放电二极管。
最大开关频率每秒开关 5 次
通道之间的最大介电电压 3000 V rms，50/60Hz，持续 1 分钟
通道与背板之间的最大介电电压 3000 V rms，50/60Hz，持续 1 分钟
QGH60288 09/2020 77
特性值
加强绝缘标准过程侧（继电器触点）与背板之间为 3000 Vac
绝缘
绝缘电阻 >10MW 或更大（利用绝缘电阻测试仪测得）
可靠性：Tamb = 25°C 条件下的 MTTF 36.9 年
保护等级 IP20
最大值 240 mA
24V 继电器内部电流消耗典型值 95 mA
最大值 130 mA
损耗功率 4 个通电的继电器 3 W（典型值）；3.9 W（最大值）
78 QGH60288 09/2020
Modicon M580
M580 安全 PAC 安装
QGH60288 09/2020
第6章
安装 M580 安全 PAC
安装 M580 安全 PAC
概述
本章说明了如何安装 M580 安全 PAC。
注意：有关如何安装 M580 PAC 的更多信息，请参阅 ?
Modicon M580 硬件参考手册中的主题安装
本地机架。
节主题页
6.1 安装 M580 机架和扩展机架 80
6.2 安装 M580 CPU、Copro、电源和 I/O 90
QGH60288 09/2020 79
第6.1节
安装 M580 机架和扩展机架
安装 M580 机架和扩展机架
简介
本节讲述了如何为 M580 安全 PAC 安装 M580 机架和扩展模块。
主题页
规划本地机架的安装 81
安装机架 86
扩展机架 88
80 QGH60288 09/2020
规划本地机架的安装
简介
规划安装时，机架上安装的机架大小和数量以及模块类型是重要的考虑因素。可以安装在机箱内
部或外部。必须充分了解安装系统主站的高度、宽度和深度，以及本地机架与扩展机架之间的间
距。
警告
意外的设备操作
请以纵向和水平方向安装机架以利于通风。
电源、CPU、协处理器和 I/O 等模块通过自然对流冷却。如本手册所示，将这些模块安装在以水

平方向安装的机架中以保持必要的散热。其他机架安装位置可能导致过热或设备异常操作。
机架用途
下文介绍 Control Expert 中可用的机架及其允许的用途：
型号插槽总线用法
本地主本地扩展机架远程主机架远程扩展机架
机架
BME 机架：
BME XBP 0400 4 XBus 和以太网 x x x x
BMX 机架：
BMX XBP 0400 4 XBus – x x x
Premium 机架：
注意： M580 安全 PAC 不支持 Premium 机架。
X：允许
–：不允许
QGH60288 09/2020 81
型号插槽总线用法
本地主本地扩展机架远程主机架远程扩展机架
机架
Quantum 机架：
140 XBP 002 00 2 Quantum – – x x
140 XBP 003 00 3 Quantum – – x x
140 XBP 004 00 4 Quantum – – x x
140 XBP 006 00 6 Quantum – – x x
140 XBP 010 00 10 Quantum – – x x
140 XBP 016 00 16 Quantum – – x x
X：允许
–：不允许
机架周围的间隙
在每个机架右侧保留最小 12 毫米（0.472 英寸）的空间以便散热。
如果您的计划需要扩展机架，请在模块的前面保留最小 35 毫米（1.378 英寸）的空间。
BMX XBE 1000 机架扩展模块的本地总线连接器和终端器需要此间隙。
82 QGH60288 09/2020
本地主机架中 M580 CPU 的间距要求
警告
过热和意外的设备操作
安装机架时，保留适当的散热间隙。
在主本地机架中，为 CPU 的机架底部保留额外的间隙。下图示出了在使用了 X Bus 机架或以太网

机架情况下的安装尺寸。在上述两种情况下，主本地机架的总高度尺寸为 134.6 毫米（5.299 英
寸）。
a 机架下方的额外空间用于容纳 CPU 的高度。对于 X Bus 机架，该值为 32.0 毫米（1.260 英寸）；对于

Ethernet 机架，该值为 30.59 毫米（1.204 英寸）。
b 机架的高度。对于 X 总线机架，高度为 103.7 毫米（4.083 英寸）；对于以太网机架，高度为 105.11 毫
米（4.138 英寸）。
c 主本地机架的高度为 135.7 毫米（5.343 英寸）。
机箱内的散热注意事项
如果将机架安装在机箱内，则需要便于空气流通。使用具有以下最小间隙的机箱：
 80 毫米（3.15 英寸），机架上模块顶部的上方
 60 毫米（2.36 英寸），机架上模块底部的下方
 60 毫米（2.36 英寸），模块与布线管道之间
机箱的最小深度为：
 150 毫米（5.91 英寸）（如果机架固定在平板上）
 160 毫米（6.30 英寸）（如果机架安装在 15 毫米（0.59 英寸）DIN 导轨上）
 如果已连接 BMX XBE 1000 机架扩展模块，则建议使用 BMX XBC •••K 电缆和角度呈 45° 的连
接器。
QGH60288 09/2020 83
下面是模块和电缆安装在机箱中时 DIN 滑轨上机架的侧视图：
84 QGH60288 09/2020
下图显示了利用导线管在机柜中的典型安装原则：
1 直接安装或使用保护层
2 导线管或线架
a 侧部间隙：> 40 毫米（1.57 英寸）
b 在顶部和底部处，与周围物体之间的间隙：> 20 毫米（0.79 英寸）
注意：为了提高密度，在以下情况下，允许减小机架间的间距：
 机架之间没有屏蔽条或导线管。
 机架间的间距不小于 40 毫米（1.57 英寸）。
 在允许的最高环境温度下，应用 5 °C (9 °F) 降额。即，对于标准和涂层模块版本，额定温度为
55 °C (131 °F)，对于加强型模块，为 65 °C (149 °F)。
QGH60288 09/2020 85
安装机架
简介
Ethernet 和 X Bus 机架可以安装在：
 DIN 滑轨上
 柜壁上
 Telequick 安装网格
注意：将机架安装在正确接地的金属表面上，以便 PAC 在存在电磁干扰的情况下正常运行。

注意：不拔出电源模块即可接触到背板左侧的安装螺钉。使用面板最左边的紧固孔安装背板。
安装在 DIN 滑轨上

大多数机架可以安装在 DIN 滑轨上，这些滑轨宽 35 毫米（1.38 英寸），深度为 15 毫米
（0.59 英寸）。
注意：长于 400 毫米（15.75 英寸）支持超过 8 个模块插槽的机架与 DIN 滑轨安装不兼容。请勿
将 BMXXBP1200(PV:02 或更高版本)(H)、BMEXBP1002(H) 或 BMEXBP1200(H)机架安装在
DIN 滑轨上。
注意：安装在 DIN 滑轨上时，系统更易于受到机械压力。
将机架安装在 DIN 滑轨上：
步骤操作示意图
1 将机架放置在 DIN 滑轨的顶部，然后
向下按机架的顶部以压缩与 DIN 滑轨
接触的弹簧。
2 将机架底部向后倾斜，使之与 DIN
滑轨齐平。
3 松开机架将其锁定。
从 DIN 滑轨中卸下机架：
步骤操作
1 向下按机架的顶部以压缩与 DIN 滑轨接触的弹簧。
2 将机架底部向前倾斜，使之脱离 DIN 滑轨。
3 松开释放的机架。
86 QGH60288 09/2020
安装在柜壁上
将 M4、M5、M6 或 UNC #6 螺钉插入紧固孔，以便将机架安装在机箱内部或外部的柜壁上。
将左侧 2 个螺钉（靠近电源）尽可能靠近机架左边缘。这样可在安装电源后对螺钉进行操作。
安装在 Telequick 网格 AM1-PA 和 AM3-PA 安装网格上

您可以使用 M4、M5、M6 或 UNC #6 螺钉将机架安装在 Telequick AM1-PA 或 AM3-PA 安装网格
上。
QGH60288 09/2020 87
扩展机架
简介
当在本地机架或远程子站中安装多个机架时，应在主机架和扩展机架上安装 BMXXBE1000 机架扩
展模块。机架扩展模块将通过 X Bus 加长电缆连接在一起。
注意：有关如何安装和连接机架扩展模块的说明，请参阅 Modicon M580 硬件参考手册中的主题
Modicon X80 机架扩展模块安装。
利用扩展的本地机架构建 M580 安全系统

您可以利用 BMXXBE1000 扩展模块和电缆，将以下组件添加到 M580 安全 PAC：
 将最多七个扩展机架添加到本地主机架。
 将一个扩展机架添加到远程主机架。
88 QGH60288 09/2020
具有扩展机架和扩展模块及电缆的以太网主机架示例：
1 同一工作站可以包含不同尺寸的机架，这些机架通过加长电缆互连。
2 端接位于互连电缆末端的扩展模块。
QGH60288 09/2020 89
第6.2节
安装 M580 CPU、Copro、电源和 I/O
安装 M580 CPU、Copro、电源和 I/O
简介
本节介绍如何安装 M580 安全 CPU、协处理器、电源和 I/O 模块。
主题页
安装 CPU 和协处理器 91
安装电源模块 94
安装 M580 安全 I/O 98
将 SD 存储卡安装在 CPU 中 100
90 QGH60288 09/2020
安装 CPU 和协处理器
简介
您可以将 BME•58•040S CPU 和 BMEP58CPROS3 协处理器仅安装在 BMEXBP••00 或
BMEXBP••02 Ethernet 机架中。
安装注意事项
M580 CPU 通过机架总线供电。安装 CPU 前，请确认机架电源关闭。
危险
存在电击危险
在安装 CPU 之前，请拔掉所有电源。
在将模块插入机架之前，请取下机架插槽连接器上的护盖。
警告
在对 CPU 加电之前，请确定 CPU 未包含不支持的 SD 存储卡。
注意：
 在将存储卡插入 CPU 后，请检查存储卡插槽盖是否关闭。
 请参考 %SW97 以检查 SD 卡的状态。
将 CPU 和 Copro 安装到机架中

将 CPU 和 Copro 安装在机架的以下插槽中：
 CPU：插槽 00 和 01。
 Copro：插槽 02 和 03。
请执行以下步骤在机架上安装 CPU 和 Copro：
步骤操作
1 请验证电源已关闭。
2 检查下列事项：
 如果使用 SD 存储卡，请检查 CPU 是否支持该存储卡。
 是否已取下接口的保护盖。
 CPU 是否安装在标记为 00 和 01 的插槽中。
QGH60288 09/2020 91
步骤操作
3 将模块后下方的定位销
放置在机架上的相应插
槽中。
4 朝机架顶部转动模块，
使模块与机架背部齐平。
模块现已安装到位。
5 拧紧 CPU 顶部的 2 个螺
钉以确保模块在机架上
固定到位。
拧紧扭矩：0.4...1.5 N•m
(0.30...1.10 lbf-ft)。
6 如要安装 Copro 模块，则将其放入插槽 02 和 03 中，并遵循上面的步骤 3、4 和 5。
92 QGH60288 09/2020
接地
危险
存在电击危险
备 (PPE)。
CPU 和协处理器接地的相关信息，请参阅 ?
Modicon M580 硬件参考手册中的主题接地注意事项。
QGH60288 09/2020 93
安装电源模块
简介
将 M580 安全电源模块安装在将包含其他 M580 安全模块的任意 X Bus 或以太网机架中。安全电
源模块可以用在需要唯一电源或双冗余电源的机架中。
警告
丧失执行安全功能的能力
在同时还包含至少一个安全模块的任何机架上，只能使用 BMXCPS4002S、BMXCPS4022S 或
BMXCPS3522S 安全电源。
对于只需要一个电源的机架，将 M580 安全电源模块放置到机架上标有 CPS 的两个插槽中。对于

BMEXBP••02 双电源机架 (参见 Modicon M580, 硬件, 参考手册)，将两个 M580 安全电源模块并
排放置到标有 CPS 的四个插槽中。
BMEXBP0400 机架中安装的唯一电源模块的示例：
注意：电源模块设计只允许将它安装在标有 CPS 的专用插槽中。
94 QGH60288 09/2020
安装注意事项
不得对 M580 安全电源模块执行热插拔。在将模块插入到背板中或者从背板中取出时，确认模块
已断电。
注意
意外系统行为
在从机架中移除 M580 安全电源模块或者将该模块插入到机架中时，确认电源已关闭。
不遵循上述说明可能导致设备损坏。
在正对 M580 安全电源模块施加电压时，不得对主输入可移除端子块执行插拔操作。在执行任一

上述任务之前，确认上游断路器到模块的电源已切断。
注意
意外系统行为
确认电源已关闭 — 即，上游断路器必须为 OFF 状态，然后才能对 M580 安全电源模块的主输入
可移除端子块执行插拔操作。
在 M580 安全电源模块正在工作时，不得对报警继电器可移除端子块执行插拔操作。在执行任一
上述任务之前，确认模块已去电。
注意
意外系统行为
确认 M580 安全电源模块已去电，然后才能对模块的报警继电器可移除端子块执行插拔操作。
QGH60288 09/2020 95
在机架中安装电源
根据以下步骤将安全电源模块安装在标有 CPS 的机架插槽中。
步骤操作
1 确认电源模块已放入标有 CPS 的插槽中。
槽中。
4 拧紧电源顶部的唯一螺
固定到位。
拧紧扭矩：0.4...1.5 N•m
(0.30...1.10 lbf-ft)。
5 对于需要双电源的机架，对第二个电源重复步骤 2、3 和 4 的操作。
96 QGH60288 09/2020
电源模块接地
危险
存在电击危险
备 (PPE)。
有关电源接地信息，请参阅主题机架和电源模块接地。
QGH60288 09/2020 97
安装 M580 安全 I/O
简介
您可以将 M580 安全 I/O 模块放入不为安全电源或 CPU（对于本地主机架而言）预留的任意插槽
中，由此将该模块安装在任何 X Bus 或以太网机架中。
注意：包含安全 I/O 模块的任何机架都只能使用 BMXCPS4002S、BMXCPS4022S 或
BMXCPS3522S 安全电源。
您可以对 M580 安全 I/O 执行热插拔。
一般布线注意事项
为了避免直流负载干扰交流电源，将电力电路用电缆（比如，连接到电源的电缆）与从传感器和
输出电缆连接到执行器的输入电缆分离。
将用于将 CPU 连接到 I/O 模块的电缆放入由金属导管包封的护套中。I/O 电缆和电力电缆所用的护
套应分离。将带护套的电力电缆的放入与 I/O 电缆分离的导管中。电力电缆和 I/O 电缆之间需要间
隔至少 100 毫米的距离。
接地注意事项
每个 M580 安全 I/O 模块配备有接地触点。
Schneider Electric 建议使用 BMXXSP•••• 接地条，以有助于保护机架免受电磁干扰。
对于 BMXSAI0410 安全模拟量输入模块，尤其建议使用 BMXXSP•••• 接地条。将电缆护套夹到模
块侧面的接地条上，由此使其连接到接地条。
危险
电击、爆炸或电弧闪烁危险
安装或移除安全 I/O 模块时：
 确认每个端子块与 BMXXSP•••• 接地条保持连接。
 断开传感器或执行器的电压供应。
输入模块传感器放置（相对于地面）
将传感器放置到系统中时：
 传感器的放置位置应彼此靠近，相距不超过数米。
 所有传感器采用一个参考点，并将该参考点连接到 PAC 接地点。
98 QGH60288 09/2020
将安全 I/O 模块安装在机架中

M580 安全 I/O 模块只需要一个机架插槽。您可以将安全 I/O 模块安装到不为安全电源或 CPU 预留
的任意插槽中。请按照以下步骤在机架中安装安全 I/O 模块：
步骤操作
槽中。
3 拧紧模块顶部的唯一螺
固定到位。
拧紧扭矩：0.4...1.5 N•m
(0.30...1.10 lbf-ft)。
4 对于每个附加模块，请重复步骤 1、2、3，直至所有模块都安装到机架上。
I/O 模块接地
有关接地信息，请参阅主题机架和电源模块接地。
注意：对于 BMXSAI0410 安全模拟量输入模块，Schneider Electric 建议也使用 BMXXSP•••• 接地
条。有关如何安装此设备的说明，请参阅主题屏蔽连接套件。
QGH60288 09/2020 99
将 SD 存储卡安装在 CPU 中
简介
BME•58•040S CPU 支持使用 BMXRMS004GPF 4GB SD 存储卡。
存储卡维护
为了确保存储卡处于正常工作状态：
 在 CPU 访问存储卡时（存储卡访问绿色 LED 亮起或闪烁），避免从其插槽中取下存储卡。
 避免触摸存储卡连接器。
 使存储卡远离静电和电磁源，以及热源、阳光、水和湿气。
 避免影响到存储卡。
 在邮寄存储卡之前，请核实邮局的安全策略。在某些国家/地区，作为一种安全性措施，邮局会
将邮包暴露在高辐射之下。这些高辐射可能擦除存储卡的内容，使其无法使用。
 如果在取下存储卡时未生成位 %S65 的上升沿，且未检查存储卡访问绿色 LED 是否熄灭，则数
据（文件和应用程序等）可能会丢失或不可靠。
存储卡插入步骤
将存储卡插入 BME•58•040S CPU 的操作过程：
步骤说明
1 打开 SD 存储卡护盖。
2 将存储卡插入其插槽。
3 推动存储卡，直到听到喀嗒声。
结果：存储卡现在应该卡入插槽中。
注：插入存储卡并不强制执行应用程序恢复。
4 合上存储卡护盖。
100 QGH60288 09/2020

存储卡拆卸步骤
注意：在取下存储卡之前，需要在位 %S65 上生成上升沿。如果在取下存储卡时未生成位 %S65 的
上升沿，且未检查存储卡访问绿色 LED 是否熄灭，则可能会丢失数据。
从 BME•58•040S CPU 中取下存储卡的过程：
步骤说明
1 在位 %S65 上生成上升沿。
2 检查存储卡访问绿色 LED 是否熄灭。
3 打开 SD 存储卡护盖。
4 推动存储卡，直到听到喀嗒声，然后释放对存储卡施加的压力。
结果：存储卡应该从插槽中松脱。
5 从插槽中取下存储卡。
注：从 CPU 中取下存储卡时，存储卡访问绿色 LED 亮起。
6 合上存储卡护盖。
QGH60288 09/2020 101

102 QGH60288 09/2020

Modicon M580
固件升级
QGH60288 09/2020
第7章
升级 M580 安全 CPU 固件
升级 M580 安全 CPU 固件
主题页
使用 Automation Device Maintenance 更新固件 104
使用 Unity Loader 升级 CPU 固件 105
QGH60288 09/2020 103

固件升级
使用 Automation Device Maintenance 更新固件
概述
EcoStruxure™ Automation Device Maintenance 是一款独立的工具，支持并简化工厂中的设备固
件更新（单台设备或多台设备）。
此工具支持以下功能：
 自动设备发现
 手动设备识别
 证书管理
 同时对多个设备执行固件更新
注意：有关下载步骤的说明，请参阅 EcoStruxure™ Automation Device Maintenance 用户指南。
104 QGH60288 09/2020

固件升级
使用 Unity Loader 升级 CPU 固件
升级 CPU 固件
您可以使用 Unity Loader 下载新的固件版本，从而更新 CPU 的固件。
连接到以下其中之一来下载固件：
 CPU mini-B USB 接口
 CPU 服务端口
 Ethernet 网络
注意：有关下载步骤的说明，请参阅 Unity Loader 用户指南。
启用 CPU 固件升级
如要启用固件升级，首先需要对 CPU 执行安全解锁，具体如下：
步骤操作
1 在 PLC Bus 窗口中，右键单击 CPU 的以太网端口。
2 选择打开子模块。
3 单击安全选项卡。
4 单击解锁安全性。
CPU 固件文件
选择 BME•58•040S 安全 CPU 的固件文件 (*.ldx)。.ldx 文件包含 CPU 的安全区和过程区以及其网
页的固件升级。
CPU 固件更新程序
如要升级 CPU 固件，请遵循以下步骤：
步骤操作
1 安装 Unity Loader 软件。
2 将运行 Unity Loader 的 PC 连接到 CPU。
3 启动 Unity Loader。
4 单击固件选项卡。
5 在 PC 列表框中，选择包含固件文件的 .ldx 文件。
6 连接以太网后，检查 PLC 框中显示的 MAC 地址是否与 CPU 上标记的 MAC 地址相对应。
7 检查传输符号是否为绿色，以便允许从 PC 传输到 CPU。
8 单击传输。
注意：在固件下载过程中，CPU 上的绿色 DL LED 亮起，表示 CPU 正仅与 Unity Loader 软件
通讯。
9 单击关闭。
QGH60288 09/2020 105

固件升级
在固件升级过程结束后：
 CPU 以新固件重启。
 闪存中存储的应用程序被保留。
 CPU 执行冷启动并进入 STOP 模式，即便 CPU 配置选项卡中选择了自动开始运行，也是如
此。
注意：如果固件升级过程中断（例如，由于连接丢失或断电），则复位 CPU，在这种情况下，
CPU 将以旧固件重启。
其他 M580 安全模块固件
升级 CPU 固件也会升级协处理器的固件。协处理器每当在启动时，便会从 CPU 接收器操纵系统。
M580 安全电源和 I/O 模块的固件不可升级。
106 QGH60288 09/2020

Modicon M580
操作
QGH60288 09/2020
第8章
操作 M580 安全系统
操作 M580 安全系统
简介
本章介绍了如何操作 M580 安全系统。
节主题页
8.1 Control Expert 中的过程、安全和全局数据区 108
8.2 操作模式、操作状态和任务 111
8.3 生成 M580 安全项目 127
8.4 锁定 M580 安全 I/O 模块配置 136
8.5 初始化 Control Expert 中的数据 139
8.6 Control Expert 中的动态数据表处理 140
8.7 添加代码段 143
8.8 应用程序安全管理 153
8.9 工作站安全管理 171
8.10 M580 安全项目设置 181
QGH60288 09/2020 107

操作
第8.1节
Control Expert 中的过程、安全和全局数据区
Control Expert 中的过程、安全和全局数据区
Control Expert 中的数据划分
Control Expert 中的数据区

项目浏览器的结构视图显示 Control Expert. 中的数据划分。如下图所示，每个数据区具有自己的
数据编辑器以及一系列动态数据表：
108 QGH60288 09/2020

操作
从项目浏览器中，可以看出：
 安全区包含安全数据编辑器、安全逻辑、以及 SAFE 任务所使用的功能块实例。但应注意：
 安全程序中不支持 I/O 事件、定时器事件和子程序。
 SAFE 任务不支持 IODDT 变量，且这些变量不包含在安全区中。
 红色图标用于指示程序的 SAFE 部分。
 过程区包含过程数据编辑器、过程逻辑、以及非安全任务（即，MAST、FAST、AUX0 和
AUX1）所使用的功能块实例。
 全局区包含全局数据编辑器、导出的数据、以及过程和安全程序中实例化的功能块类型。
注意：本主题中的术语全局数据是指安全项目中全应用程序范围（或全局范围）内的数据对象。
它并不是指许多 Schneider Electric 以太网模块所支持的全局数据服务。
项目浏览器的功能视图
Control Expert. 项目浏览器中用于 M580 安全系统的功能视图包含两个功能项目，一个用于过程
命名空间，另一个用于安全命名空间：
M580 安全系统中每个起用项目的管理与 M580 非安全系统功能视图中的项目管理相同，但动态数

据表和代码段除外。
对结构视图的影响：
在将代码段或动态数据表添加到起用项目时，该代码段或动态数据表与跟该起用项目关联的命名
空间关联。将代码段或动态数据表添加到：
 process : Functional Project，这会将其添加到结构视图中项目的过程命名空间。
 safe : Functional Project，这会将其添加到结构视图中项目的安全命名空间。
语言和任务选项的可用性：
在为起用项目创建新代码段（具体方式为：选择创建 → 新建段...）时，可用的语言和任务选项取
决于该起用项目：
QGH60288 09/2020 109

操作
在为起用项目创建新代码段（具体方式为：选择创建 → 新建段...）时，可用的语言和任务选项取
决于关联的起用项目：
起用项目可用的语言和任务
语言1 任务2
process : Functional Project  IL  MAST
 FBD  FAST
 LD  AUX0
 LL984 段  AUX1
 SFC
 ST
safe : Functional Project  FBD  SAFE

 LD
1. 在新建段对话框的常规选项卡中选择
2. 在新建段对话框的定位选项卡中选择。缺省情况下，MAST 任务是可用的。对于其他段，只有在过程程序
中对其进行了创建之后，才可供选择。
采用颜色编码的图标
为了有助于区分项目的过程部分和安全部分，使用红色图标来标识应用的安全部分。
110 QGH60288 09/2020

操作
第8.2节
操作模式、操作状态和任务
操作模式、操作状态和任务
简介
本节讲述了 M580 安全 PAC 支持的操作模式、操作状态和任务。
主题页
M580 安全 PAC 操作模式 112
M580 安全 PAC 操作状态 116
启动程序 121
M580 安全 PAC 任务 124
QGH60288 09/2020 111

操作
M580 安全 PAC 操作模式
两种操作模式
M580 安全 PAC 有两种操作模式：
 安全模式：用于安全操作的缺省操作模式。
 维护模式：一种可选的操作模式，可以临时进入该模式以调试和修改应用程序或者更改配置。
Control Expert XL Safety 软件是管理操作模式切换的唯一工具。

注意：在将应用程序从主 PAC 传输到备用 PAC 期间，不涉及热备安全 PAC 的操作模式设置（安
全模式或维护模式）。在切换时，当安全 PAC 从备用 PAC 切换成主 PAC 时，操作模式自动设置
为安全模式。
安全模式及其限制
安全模式是安全 PAC 的缺省模式。当安全 PAC 在存在有效应用程序的情况下通电时，PAC 进入
安全模式。安全模式用于控制安全功能的执行。您可以在安全模式下上载、下载、运行和停止项
目。
当 M580 安全 PAC 正在安全模式下运行时，以下功能不可用：
 从 Control Expert 下载更改的配置到 PAC。
 编辑和/或强制安全变量值以及安全 I/O 状态。
 通过断点、观察点和逐步的代码执行，来调试应用逻辑。
 使用动态数据表或 UMAS 请求（例如，来自 HMI）写入到安全变量和安全 I/O。
 通过 CCOTF 更改安全模块的配置。（请注意，支持将 CCOTF 用于非干扰型模块。）
 在线修改安全应用程序。
 使用链接动态显示。
注意：在安全模式下，所有安全变量和安全 I/O 状态都是只读的。无法直接编辑安全变量的值。

您可以创建全局变量，并籍由过程数据编辑器和安全数据编辑器的界面选项卡，利用该全局变量
在链接的过程（非安全）变量与链接的安全变量之间传送值。在建立了此链接后，以如下方式执
行传送：
 在每个 SAFE 任务开始时，将非安全变量值复制到安全变量。
 在每个 SAFE 任务结束时，将安全输出变量值复制到非安全变量。
112 QGH60288 09/2020

操作
维护模式功能
维护模式相当于非安全 M580 CPU 的正常模式。它仅用于调试和调整应用程序 SAFE 任务。维护
模式是临时的，因为如果 Control Expert 与 PAC 之间的通讯丢失，或者一旦执行了断开连接命
令，安全 PAC 会自动进入安全模式。在维护模式下，拥有相应权限的人员能够对被配置为接受编
辑的安全变量和安全 I/O 执行读写操作。
在维护模式下，会两次执行 SAFE 任务代码，但不对结果进行比较。
当 M580 安全 PAC 正在维护模式下运行时，以下功能可用：
 从 Control Expert 下载更改的配置到 PAC。
 编辑和/或强制安全变量值以及安全 I/O 状态。
 通过断点、观察点和逐步的代码执行，来调试应用逻辑。
 使用动态数据表或 UMAS 请求（例如，来自 HMI）写入到安全变量和安全 I/O。
 通过 CCOTF 更改配置。
 在线修改安全应用程序。
 使用链接动态显示。
在维护模式中，无法保证安全 PLC 的 SIL 等级。
警告
缺失安全完整性等级信息
当 PAC 处于维护模式中时，需要采取适当的措施，确保系统的安全状态。
QGH60288 09/2020 113

操作
操作模式切换
下图显示了 M580 安全 PAC 如何进入并随后在安全模式与维护模式之间切换：
当在安全模式与维护模式之间切换时：
 可以在强制功能打开的情况下从维护模式切换到安全模式。在这种情况下，强制的变量值或 I/O
状态在切换之后保持强制状态，直到再次发生从安全模式切换至维护模式。
 从维护模式切换到安全模式的方法有以下两种：
 利用 Control Expert 中的菜单或工具栏命令手动切换。
 当 Control Expert 与 PAC 之间的通讯丢失持续约 50 秒时，由安全 PAC 自动切换。
 在已配置的情况下，维护输入功能可用于检查从安全模式到维护模式的切换。维护输入功能通
过以下方式在 Control Expert 的 CPU 配置选项卡中进行配置：
 选择维护输入设置，然后
 为本地机架上的非干扰性数字量输入模块输入其输入位 (%I) 的拓扑地址。
在配置了维护输入的情况下，从安全模式到维护模式的切换会考虑该指定输入位 (%I) 的状态。

如果该位设置为 0 (false)，则 PAC 锁定在安全模式。如果该位设置为 1 (true)，则可以切换到维
护模式。
114 QGH60288 09/2020

操作
Control Expert 中安全模式与维护模式之间的切换

如果出现以下情况，无法使安全 PAC 从维护模式切换到安全模式：
 PAC 处于调试模式。
 SAFE 任务段中激活了断点。
 SAFE 任务段中设置了观察点。
在调试模式未激活的情况下，不会激活 SAFE 任务断点，并且不会设置 SAFE 任务观察点，您可

以手动激活安全模式与维护模式之间的切换，具体操作如下：
 如要从安全模式切换到维护模式，您可以：
 选择 PLC → 维护，或者
 单击工具栏按钮。
 如要从维护模式切换到安全模式，您可以：
 选择 PLC → 安全，或者
 单击工具栏按钮。
注意：进入和退出安全模式事件被记录在 CPU 的 SYSLOG 服务器中。
确定操作模式
您可以通过 CPU 和协处理器的 SMOD LED，或者利用 Control Expert 来确定 M580 安全 PAC 的
当前操作模式。
当 CPU 和协处理器的 SMOD LED：
 闪烁时，PAC 处于维护模式。
 常亮时，PAC 处于安全模式。
在 Control Expert 已连接到 PAC 的情况下，会在多个地方识别 M580 安全 PAC 的操作模式：

 系统字 %SW12（协处理器）和 %SW13 (CPU) (参见第 196 页) 共同指示 PAC 的操作模式，
具体如下：
 如果 %SW12 设置为 16#A501（十六进制）且 %SW13 设置为 16#501A（十六进制），则
PAC 处于维护模式。
 如果这两个系统字中的任一者或两者都设置为 16#5AFE（十六进制），则 PAC 处于安全模
式。
 CPU 动态显示选项卡的任务和信息子选项卡都显示 PAC 的操作模式。
 Control Expert 主窗口底部的任务栏将操作模式指示为“维护”或“安全”。
QGH60288 09/2020 115

操作
M580 安全 PAC 操作状态
操作状态
下面对 M580 安全 PAC 操作状态进行了说明。
注意：有关 M580 安全 PAC 操作状态与 M580 热备 PAC 操作状态的关系说明，请参阅文档
Modicon M580 热备常用架构系统规划指南以及主题热备系统状态和热备状态分配和转换。
操作状态适用于 ... 描述

AUTOTEST PAC CPU 正在进行内部自检。
注意：如果扩展机架连接到主本地机架，且接线端子未插入机架扩展模
块上未使用的连接器中，则在完成自检后，CPU 保持 AUTOTEST 状态。
NOCONF PAC 应用程序无效。
STOP PAC 或任务 PAC 的应用程序有效，且未检测到错误，但操作由于以下原因而停止：
 启动时，未设置自动开始运行（安全模式 (参见第 112 页)）。
 通过执行停止命令来停止执行（安全 (参见第 112 页)或维护
(参见第 113 页)模式）。
 在维护模式下设置了断点，然后 Control Expert 与 CPU 之间的连接丢
失持续时间超过 50 秒。
CPU 读取与每个任务关联的输入，但不刷新进入故障预置状态的输出。
CPU 可以在您准备就绪的情况下重启。
注意：在 Control Expert 中下发停止命令会停止所有任务。
停止事件记录在 CPU 的 SYSLOG 服务器中。
HALT 任务 M580 安全 PAC 有两种独立的 HALT 状态：
 Process HALT 适用于非 SAFE 任务（MAST、FAST、AUX0 和
AUX1）。当任何过程任务进入 HALT 状态时，
所有其他过程任务也进入 HALT 状态。SAFE 任务不受 Process HALT
状态的影响。
 SAFE HALT 仅适用于 SAFE 任务。过程任务不受 SAFE HALT 状态的
影响。
在以上两种情况下，任务操作都会暂停，因为遇到了意外的阻塞状况，
从而导致产生可恢复的 (参见 Modicon M580, 安全手册)状况。
CPU 读取与每个已暂停任务关联的输入，
但不刷新处于故障预置状态的输出。
RUN PAC 或任务在应用程序有效且未检测到错误的情况下，CPU 读取与每个任务关联的
输入，执行与每个任务关联的代码，并刷新关联的输出。
 在安全模式 (参见第 112 页)下：执行安全功能，应用所有限制条件。
 在维护模式 (参见第 113 页)下：PAC 的操作类似于所有非安全 CPU。
两次执行 SAFE 任务代码，但不对结果进行比较。
注意：在 Control Expert 中下发运行命令会启动所有任务。
运行事件记录在 CPU 的 SYSLOG 服务器中。
116 QGH60288 09/2020

操作
操作状态适用于 ... 描述

WAIT PAC 如果检测到断电状况，则 CPU 在备份数据时处于暂时状态。只有在电源
恢复且电源储备得到补充时，CPU 才会再次启动。
由于 WAIT 是一个暂时状态，因此可能不明显。CPU 执行热重启
(参见第 123 页)以退出 WAIT 状态。
ERROR PAC 由于检测到不可恢复的 (参见 Modicon M580, 安全手册)
硬件或系统错误，CPU 已停止。ERROR 状态触发安全功能
(参见 Modicon M580, 安全手册)。
当系统准备好重启时，通过重置电源或者通过执行复位来对 CPU 执行冷
启动 (参见第 123 页)，从而退出 ERROR 状态。
OS PAC 正在进行 CPU 或 COPRO 固件下载。
DOWNLOAD
有关 PAC 操作状态的信息，请参阅 M580 CPU LED 诊断 (参见 Modicon M580, 安全手册)和

M580 安全协处理器 LED 诊断 (参见 Modicon M580, 安全手册)主题。
QGH60288 09/2020 117

操作
操作状态切换
下文介绍了 M580 安全 PAC 中多个状态之间的切换：
有关安全系统如何处理检出错误的说明，请参阅主题检出错误处理 (参见第 119 页)。
118 QGH60288 09/2020

操作
检出错误处理
M580 安全 PAC 处理以下类型的 CPU 检出错误：
 可恢复的应用程序检出错误：这些事件导致相关任务进入 HALT 状态。
注意：由于 MAST、FAST 和 AUX 任务在同一存储区中运行，使这些任务中的其中一个任务进
入 HALT 状态的事件同时也导致其他非安全任务进入 HALT 状态。由于 SAFE 任务在单独的存
储区中运行，因此即使 SAFE 任务进入 HALT 状态，非安全任务也不受影响。
 不可恢复的应用程序检出错误：内部 CPU 或协处理器检出错误：这些事件使 PAC 进入
ERROR 状态。安全功能被应用到安全回路的受影响部分。
下文介绍了检出错误处理过程的逻辑：
下文介绍了检出错误对各任务的影响：
任务状态
检出错误类型 FAST SAFE MAST AUX
FAST 任务警戒时钟溢出 HALT RUN1 HALT HALT
SAFE 任务警戒时钟溢出 RUN HALT2 RUN RUN
MAST 任务警戒时钟溢出 HALT RUN HALT HALT
AUX 任务警戒时钟溢出 HALT RUN HALT HALT
CPU 双代码执行检出错误 RUN HALT2 RUN RUN
安全警戒时钟溢出3 ERROR ERROR2 ERROR ERROR

CPU 内部检出错误 ERROR ERROR2 ERROR ERROR
1. 由于 FAST 任务的优先级高于 SAFE 任务，FAST 任务的延迟可能导致 SAFE 任务进入 HALT 或 ERROR
状态，而不是进入 RUN 状态。
2. SAFE 任务的 ERROR 和 HALT 状态使安全输出设置为用户可配置状态（故障预置或维护）。
3. 安全警戒时钟设置为 SAFE 任务警戒时钟的 1.5 倍。
QGH60288 09/2020 119

操作
任务栏安全状态查看器
在 Control Expert 连接到 M580 安全 PAC 的情况下，任务栏包括对 SAFE 任务和过程任务
（MAST、FAST、AUX0、AUX1）的组合操作状态进行描述的字段，具体如下：
过程任务状态 SAFE 任务状态消息

STOP（所有过程任务处于 STOP 状态） STOP STOP
STOP（所有过程任务处于 STOP 状态） RUN RUN
STOP（所有过程任务处于 STOP 状态） HALT SAFE HALT
RUN（至少一个过程任务处于 RUN 状态） STOP RUN
RUN（至少一个过程任务处于 RUN 状态） RUN RUN
RUN（至少一个过程任务处于 RUN 状态） HALT SAFE HALT
HALT STOP PROC HALT
HALT RUN PROC HALT
HALT HALT HALT
120 QGH60288 09/2020

操作
启动程序
简介
M580 安全 PAC 可以在以下情形下进入启动程序：
 首次通电。
 响应于电源中断。
根据任务类型以及电源中断的具体情形，在电源恢复后，M580 安全 PAC 可以执行冷启动 (参见

第 123 页)或热启动 (参见第 123 页)。
首次启动
首次启动时，M580 安全 PAC 执行冷启动。所有任务，包括 SAFE 任务和非安全（MAST、
FAST、AUX0、AUX1）任务，都进入 STOP 状态，除非启用了自动开始运行使得所有任务都进
入 RUN 状态。
电源中断后启动
M580 安全电源提供电力储备，在发生电源中断的情况下继续为机架上的所有模块供电达 10 毫秒
的时间。电力储备耗尽后，M580 安全 PAC 执行完整的电源重置。
在系统掉电之前，安全 CPU 存储对掉电时的操作上下文予以定义的以下数据：
 掉电的日期和时间（存储在 %SW54...%SW58 中）。
 每个任务的状态。
 事件定时器的状态。
 正在运行的计数器的值。
 应用程序的签名。
 应用程序数据（应用程序变量的当前值）
 应用程序校验和。
掉电后，可以自动启动（如果在关机操作完成之前，电源恢复），也可以手动启动（如果未恢
复）。
接下来，M580 安全 PAC 执行自检，检查掉电时保存的操作上下文数据的有效性，具体如下：
 验证应用程序校验和。
 读取 SD 存储卡，确认其中包含有效的应用程序。
 如果 SD 存储卡中的应用程序有效，则检查签名，确认它们是相同的。
 通过将保存的应用程序签名与卡中存储的应用程序签名进行比较，来验证保存的应用程序签
名。
如果操作上下文有效，则非安全任务执行热启动。如果操作上下文无效，则非安全任务执行冷启
动。在以上任一种情况下，SAFE 任务都执行冷启动。
QGH60288 09/2020 121

操作
这个电源中断后的启动程序具体表述如下：
122 QGH60288 09/2020

操作
冷启动
冷启动使所有任务，包括 SAFE 任务和非安全（MAST、FAST、AUX0、AUX1）任务，都进入
STOP 状态，除非启用了自动开始运行使得所有任务都进入 RUN 状态。
冷启动执行以下操作：
 为应用程序数据（包括内部位、I/O 数据、内部字等）分配应用程序所定义的初始值。
 将基本功能设置为其缺省值。
 将基本功能块及其变量设置为其缺省值。
 将系统位和系统字设置为其缺省值。
 通过应用缺省（初始化）值来初始化所有被强制的变量。
可以通过在 Control Expert (参见第 139 页) 中选择 PLC → 初始，或者通过将系统位 %S0

(COLDSTART) 设置为 1，来为过程命名空间中的数据、变量和功能执行冷启动。%S0 系统位不
影响属于安全命名空间的数据和功能。
注意：冷启动完成后，SAFE 任务在 MAST 任务启动后才能够启动。
热启动
热启动使每个过程任务（包括 MAST、FAST、AUX0、AUX1 任务）重新进入电源中断前一刻的
操作状态。而相比之下，热启动使 SAFE 任务进入 STOP 状态，除非选择了自动开始运行。
注意：如果在电源中断时某个任务处于 HALT 状态或者断点中，则该任务在热启动后进入 STOP
状态。
热启动执行以下操作：
 将最后保持的值恢复成过程命名空间变量。
 通过应用缺省（初始化）值来初始化安全命名空间变量。
 通过应用缺省（初始化）值来初始化所有被强制的变量。
 将最后保持的值恢复成应用程序变量。
 将 %S1 (WARMSTART) 设置为 1。
 复位 PAC 与 CPU 之间的连接。
 使用已存储的 I/O 模块设置来重新配置 I/O 模块（如有必要）。
 禁用事件、FAST 任务和 AUX 任务。
 循环开始时，即重启 MAST 任务。
 在 MAST 任务的首次执行结束时，将 %S1 设置为 0。
 启用事件、FAST 任务和 AUX 任务。
如果某个任务在电源中断时正在被执行，则在热启动后，该任务继续从头开始执行。
警告
您有责任确认选择自动开始运行符合系统的正确动作。如果不符合，请禁用此功能。
QGH60288 09/2020 123

操作
M580 安全 PAC 任务
简介
M580 安全 PAC 可执行单任务和多任务应用程序。与仅执行 MAST 任务的单任务应用程序不同，
多任务应用程序可定义每个任务的优先级。
M580 安全 PAC 支持以下任务：
 FAST
 SAFE
 MAST
 AUX0
 AUX1
任务特性
M580 安全 PAC 支持的任务具有以下任务特征：
任务名称优先级时间模型周期范围缺省周期警戒时钟范围缺省警戒时钟

FAST 1 周期 1...255 毫秒 5 毫秒 10...500 毫秒 2
100 毫秒2
SAFE 2 周期 10...255 毫秒 20 毫秒 10...500 毫秒2 250 毫秒2
MAST1 3 循环4或周期 1...255 毫秒 20 毫秒 10...1500 毫秒2 250 毫秒2
AUX03 4 周期 10...2550 毫秒 100 毫秒 100...5000 毫秒2 2000 毫秒2

AUX13 5 周期 10...2550 毫秒 200 毫秒 100...5000 毫秒2 2000 毫秒2
1. MAST 任务是必需执行的，无法禁用。
2. 如果 CCOTF 已被启用（具体方式为：在 CPU 属性对话框的配置选项卡中选择在“运行”或“停止”模式下进行在
线修改），则最小的警戒时钟设置为 64 毫秒。
3. 独立 BMEP58•040S 安全 PAC 支持。BMEH58•040S 安全热备 PAC 不支持。
4. 独立 BMEP58•040S 安全 PAC 既支持循环时间模型，也不支持周期时间模型。BMEH58•040S 安全热备 PAC 仅支
持周期时间模型。
任务优先级
M580 安全 PAC 根据待处理任务的优先级来执行这些任务。当有任务正在运行时，该任务可以被
具有相对较高优先级的另一任务中断。例如，当某一周期性任务被预约成执行其代码时，该任务
将中断优先级较低的任务，但会等待优先级较高的任务完成。
124 QGH60288 09/2020

操作
任务配置注意事项
所有非安全任务（MAST、FAST、AUX0 和 AUX1）都在同一存储区中运行，而 SAFE 任务则在
其自己的独立存储区中运行。结果：
 如果一个非安全任务超过其警戒时钟，则所有非安全任务都进入 HALT 状态，而 SAFE 任务则
继续运行。
 如果 SAFE 任务超过其警戒时钟，则只有该 SAFE 任务进入 HALT 状态，而非安全任务则继续
运行。
在为应用程序创建和配置任务时，应考虑以下任务特点：
SAFE 任务：
将此周期性任务设计成仅执行安全 I/O 模块的安全相关代码段。由于为 SAFE 任务分配的优先级低
于 FAST 任务，因此 SAFE 任务的执行可被 FAST 任务中断。
通过设置适当的警戒时钟值来定义 SAFE 任务的最大执行时间。考虑代码执行和安全数据读写所
需的时间。如果 SAFE 任务的执行时间超过警戒时钟设置，则 SAFE 任务进入 HALT 状态，并且
%SW125 系统字显示检出错误代码 16#DEB0。
注意：
 由于 FAST 任务的优先级高于 SAFE 任务，因此您可能希望在 SAFE 任务警戒时钟设置中包含
FAST 任务延迟时间的分量。
 如果 SAFE 任务执行的溢出等于“安全警戒时钟”（这个值等于 SAFE 任务警戒时钟设置的 1.5
倍），则 CPU 和 Copro 将进入 ERROR 状态，并且将应用安全功能。
MAST 任务：
此任务可被配置作为循环或周期性任务。当在循环模式下运行时，通过输入适当的 MAST 警戒时
钟值来定义最大执行时间。在每个循环结束时将这个值加上相同的时间间隔值，以便能够执行其
他优先级较低的系统任务。由于 AUX 任务的优先级低于 MAST 任务，因此如果未提供这样的时
隙，可能永远不会执行 AUX 任务。建议添加的时间间隔等于循环执行时间的 10%，最少为 1 毫
秒，最多为 10 毫秒。
如果循环 MAST 任务的执行时间超过警戒时钟设置，则 MAST 任务和所有其他非 SAFE 任务进入
HALT 状态，并且 %SW125 系统字显示检出错误代码 16#DEB0。
当在周期性模式下运行时，MAST 任务可以超过其周期。这种情况下，MAST 任务在循环模式下
运行，并且系统位 %S11 被设置。
FAST 任务：
此周期性任务的目的是执行应用程序的高优先级部分。通过设置 FAST 警戒时钟值来定义最大执
行时间。由于 FAST 任务会中断所有其他任务（包括 SAFE 任务）的执行，因此建议将 FAST 任
务的执行时间配置得尽可能短。建议 FAST 任务警戒时钟值不要比 FAST 周期大太多。
如果 FAST 任务的执行时间超过警戒时钟设置，则 FAST 任务和所有其他非 SAFE 任务进入 HALT
状态，并且 %SW125 系统字显示检出错误代码 16#DEB0。
QGH60288 09/2020 125

操作
AUX 任务：
AUX0 和 AUX1 是可选的周期性任务。它们的目的是执行应用程序的低优先级部分。只有在
MAST、SAFE 和 FAST 任务的执行结束后，才会执行 AUX 任务。
通过设置适当的警戒时钟值来定义 AUX 任务的最大执行时间。如果 AUX 任务的执行时间超过警
戒时钟设置，则 AUX 任务和所有其他非 SAFE 任务进入 HALT 状态，并且 %SW125 系统字显示
检出错误代码 16#DEB0。
126 QGH60288 09/2020

操作
第8.3节
生成 M580 安全项目
主题页
生成 M580 安全项目 128
SAFE 签名 129
QGH60288 09/2020 127

操作
用于安全应用的 Control Expert 的生成菜单具有三个不同的生成命令以及一个 SAFE 签名命令，具
体如下：
命令描述
生成更改仅编译自上个生成命令后所执行的应用程序更改，然后将这些更改添加到先前
生成的应用程序。
重新生成所有项目重新编译整个应用程序，替换先前生成的应用程序。
注意：对于 M580 安全 I/O 模块，此命令不生成新的模块唯一标识符 (MUID)
值。相反，会保留先前生成的 MUID 值。
更新 ID 且重新生成全部重新编译整个应用程序，替换先前生成的应用程序。
注意：
 只有在安全 I/O 模块已解锁的情况下，才能执行此命令。
(参见第 136 页)
 对于 M580 安全 I/O 模块，此命令生成新的模块唯一标识符 (MUID) 值，
并用新值替换现有的 MUID 值。
更新 SAFE 签名用于为安全应用程序手动生成 SAFE 源签名 (参见第 129 页)值。
注意：只有在常规 → 生成设置 → Safe 签名管理参数设置为在用户请求时时，
才启用此命令。
128 QGH60288 09/2020

操作
SAFE 签名
简介
M580 安全 PAC - 独立和 Hot Standby - 包括用于生成安全应用程序的 SHA256 算法指纹的机制：
SAFE 源签名。将应用程序从 PC 传输到 PAC 时，Control Expert 将 PC 中的 SAFE 源签名与 PAC
中的 SAFE 源签名进行比较，从而判定 PC 中的安全应用程序与 PAC 中的安全应用程序是否相
同。
SAFE 签名功能是可选功能。生成 SAFE 源签名可能是一个较为耗时的过程，具体取决于安全应
用程序的大小。利用 SAFE 签名管理选项，能够在以下情形下生成为您的安全应用程序创建算法
值的 SAFE 源签名值：
 每次生成时，或者
 仅在想要手动生成 SAFE 源签名并将其添加到最新生成时，或者
 根本不生成
更改 SAFE 源签名的操作
配置编辑和变量值更改都可能导致 SAFE 源签名更改。
配置更改：以下配置操作会导致签名更改：
设备操作
安全 CPU 通过更换处理器...来更改 CPU 型号。
通过更换处理器...来更改 CPU 版本。
编辑 CPU 配置或热备配置选项卡上的任何参数。
编辑 CPU 以太网通讯主站的任何选项卡（安全性、IP 配置、RSTP、
SNMP、NTP, 服务端口、安全...）上的任何参数。
安全协处理器不适用，因为协处理器无法配置。
其他安全模块添加/删除/移动模块，具体方式：
 直接执行（通过命令）
 间接执行（比如，通过将 8 插槽以太网背板（安全模块位于插槽 7
中）替换为 4 插槽以太网背板，从而删除模块）
编辑配置选项卡上的任何安全模块参数（例如 24V 短路检测、
开路检测）以及编辑器左侧窗格上的任何安全模块参数（例如功能、
故障预置）。
通过更新 ID 且重新生成全部命令修改模块 ID。
修改设备 DDT 实例名称。
CIP Safety 模块添加/删除模块。
修改 CIP Safety 设备 DTM 编辑器中或 CPU 主站 DTM 编辑器设备列表
中的任何 CIP Safety 模块参数。
修改设备 DDT 实例名称。
QGH60288 09/2020 129

操作
设备操作
安全电源添加/删除安全电源。
其他安全相关设备修改支持安全设备的设备的任何拓扑地址，例如：
 移动包含安全设备的机架。
 移动包含安全设备的总线或子站。
值更改：除非另有说明，否则以下项目包含在 SAFE 源签名计算中。它们的值更改会导致 SAFE

源签名更改：
类型项目
程序 SAFE 任务和相关的代码段。
变量所有安全区域变量及其属性。
DDT 每个安全 DDT 属性，日期和版本属性除外。
每个 DDT 内部的变量，包括它们的属性。
安全 DDT，即便它们不用在安全应用程序中。
DFB 每个安全 DFB 属性，日期和版本属性除外。
每个 DFB 内部的变量，包括它们的属性。
安全 DFB，即便它们不用在安全应用程序中。
安全范围设置范围为“安全”的所有项目设置。
1. 这些值不被导出，但它们的任何值更改都会改变配置局部签名。
130 QGH60288 09/2020

操作
类型项目
通用范围设置范围为“通用”的以下项目设置：
变量
 允许前导位
 字符集
 允许使用 EBOOL 沿
 允许 INT/DINT 代替 ANY_BIT
 允许 INT、WORD 和 BYTE 位抽取
 直接表示的数组变量
 启用对 Trending 的快速扫描
 强制引用初始化
程序 → 语言 → 常用
 允许过程
 允许嵌套注释
 允许多重赋值 [a:=b:=c] (ST/LD)
 非正式调用中允许空参数 (ST/IL)
 保持禁用的 EF 上的输出链接 (EN=0)
 显示结构元素的完整注释
程序 → 语言 → LD
 EBOOL 的检测单次扫描跳变沿
常规 → 时间1
 自定义时区
 时区
 时间偏移
 针对夏令时自动调整时钟
 “针对夏令时自动调整时钟”下的所有“开始”和“结束”设置。
1. 这些值不被导出，但它们的任何值更改都会改变配置局部签名。
管理 SAFE 源签名
SAFE 源签名在 Control Expert 的工具 → 项目设置窗口中进行管理，具体方式是：选择常规 → 生
成设置，然后再选择以下 SAFE 签名管理设置之一：
 自动（缺省）：每次执行生成命令时，便生成新 SAFE 源签名。
 在用户请求时：在执行生成 → 更新 SAFE 签名命令时，生成新 SAFE 源签名。
注意：如果选择在用户请求时，则每次生成时，Control Expert 会生成一个 SAFE 源签名值“0”。

如果不执行生成 → 更新 SAFE 签名命令，则意味着选择不使用 SAFE 签名功能。
QGH60288 09/2020 131

操作
将应用程序从 PC 传输到 PLC

将应用程序从 PC 下载到 PAC 时，Control Expert 将已下载应用程序中的 SAFE 源签名与 PAC 中
的 SAFE 源签名进行比较。Control Expert 的行为如下：
新 SAFE 签名 PAC SAFE 签名 Control Expert 显示

任何没有应用程序传输确认
任意（0 除外） 0 传输确认
0 0 传输确认
0 任意（0 除外）传输确认；随附有通知“这将复位 SAFE 签名”；然后再
重新执行传输确认
XXXX = YYYY2 YYYY 传输确认
XXXX ≠ YYYY3 YYYY 传输确认；随附有通知“这将修改 SAFE 签名”；然后再

重新执行传输确认
1. 值“0”表示既不自动也不手动生成 SAFE 源签名。
2. PC (XXXX) 中的安全应用程序与 PAC (YYYY) 中的安全应用程序相同。
3. PC (XXXX) 中的安全应用程序与 PAC (YYYY) 中的安全应用程序不同。
查看 SAFE 源签名
在使用时，每个 SAFE 源签名由一系列十六进制组成，它可能非常长，用户难以人为地对值执行
直接读取和比较。但可以复制 SAFE 源签名值并将其粘贴到相应的文本工具中，再进行比较。
SAFE 源签名值位于以下 Control Expert 位置：
 项目属性 → 标识选项卡：在项目浏览器中，右键单击项目，然后选择属性。
 PLC 屏幕 → 信息选项卡 (参见 EcoStruxure™ Control Expert, 操作模式)：在项目浏览器中，导
航至项目 → 配置 → PLC 总线 → <CPU>，右键单击且然后选择打开，然后选择动态显示选项
卡。
 PC < - - > PLC 比较对话框 (参见 EcoStruxure™ Control Expert, 操作模式)：从 PLC 菜单中选
择此命令。
 将项目传输到 PLC对话框：从 PLC 菜单中（或者在 PC < - - > PLC 比较对话框中）中选择此
命令。
132 QGH60288 09/2020

操作
比较 SAFE 源签名和 SAId

SAFE 源签名用于为确认应用程序未更改提供先验性验证。每次修改过程应用程序 (参见第 134 页
)时，建议使用此功能，以免意外修改安全应用程序。
SAFE 源签名是一个可靠的机制，但对于安全应用程序而言尚不足够，因为同一源代码可能对应于
不同的二进制（可执行）代码，这具体取决于在上次修改安全代码后所使用的生成类型。
SAId 只能够在运行时评估。它的计算由 CPU 和协处理器基于安全应用程序所执行的二进制代码
来双重执行和比较。由于 SAId 对所有修改（包括在执行了生成更改之后因重新生成全部命令产生
的那些修改）都敏感，建议使用重新生成全部命令来生成安全应用程序的引用版本。这个过程 (参
见第 135 页)让您能够在不对 SAId 执行任何更改的情况下，针对过程应用程序更改使用任何形式
的生成（离线或在线执行重新生成全部、生成更改）。
SAId 是确认安全应用程序就是被验证的安全应用程序的推荐方法。SAId 值不由应用程序自动测
试。因此，建议使用任何方便的方式，通过读取 S_SYST_STAT_MX 功能块的输出或系统字
%SW169 (参见第 196 页) 的内容，来定期验证 SAId（例如，使用 Control Expert 或 HMI）。
QGH60288 09/2020 133

操作
修改过程应用程序简化过程
134 QGH60288 09/2020

操作
SAId 管理
QGH60288 09/2020 135

操作
第8.4节
锁定 M580 安全 I/O 模块配置
锁定安全 I/O 模块配置

每个安全 I/O 模块都有一个配置锁定按钮 (参见第 65 页)，位于模块正面的顶部。锁定功能的作用
是有助于防止对 I/O 模块配置的非预期更改。例如，锁定 I/O 模块的当前配置能够防止为模块分配
假配置，或者仅有助于防止配置错误。
为了实现预期的安全完整性级别 (SIL)，在配置了每个安全 I/O 模块之后，但在开始或继续操作之
前，请锁定该模块。
警告
项目安全完整性级别意外降级风险
在配置了每个安全 I/O 模块后，必须将其锁定，待开始操作后才解锁。
按照以下方法锁定和解锁机构：
 如要锁定安全 I/O 模块配置，将锁定按钮按住超过 3 秒的时间，然后释放此按钮。
 如要解锁安全 I/O 模块配置，将锁定按钮按住超过 3 秒的时间，然后释放此按钮。
136 QGH60288 09/2020

操作
锁定安全 I/O 模块配置的情形
根据不同的情形，SIL3 安全 I/O 模块的配置锁定程序有所不同，这些情形可以是如下情形：
 首次配置 I/O 模块
 I/O 模块的快速设备更换
 动态更改 (CCOTF) I/O 模块的配置
下文介绍针对每种情形的锁定程序。
首次配置 SIL3 I/O 安全模块：
步骤操作
1 将 Control Expert 连接到 M580 安全 PAC。
2 使用从 PLC 传输项目命令来将项目从 PAC 加载到 Control Expert。
3 在 Control Expert 的 PLC 总线窗口中，打开每个 IL3 安全 I/O 模块，
确认每个模块的配置都是正确的。
4 在 Control Expert 的动态数据表中，查看每个 SIL3 安全 I/O 模块的 DDDT，确认每个模块的配置与
上面第 3 步中的配置相同。
5 将配置锁定按钮 (参见第 65 页)按住超过 3 秒的时间，锁定每个 SIL3 I/O 模块的配置，然后释放此
按钮。
6 在动态数据表中检查每个 SIL3 I/O 模块的锁定位状态 (CONF_LOCKED) 的有效性。
SIL3 I/O 安全模块的快速设备更换：
步骤操作
1 将 SIL3 安全 I/O 模块替换为新模块。
2 在维护操作模式 (参见第 113 页)下将 Control Expert 连接到 M580 安全 PAC。
4 在 Control Expert 的动态数据表中，查看每个 SIL3 安全 I/O 模块的 DDDT，确认每个模块的配置尚
未更改并且与上面第 3 步中的配置相同。
5 将配置锁定按钮 (参见第 65 页)按住超过 3 秒的时间，锁定每个 SIL3 I/O 模块的配置，然后释放此
按钮。
QGH60288 09/2020 137

操作
执行 CCOTF 以添加新 SIL3 I/O 安全模块：
步骤操作
1 在维护操作模式 (参见第 113 页)下将 Control Expert 连接到 M580 安全 PAC。
2 将新 SIL3 安全 I/O 模块添加到配置，并在必要时编辑模块配置。
3 执行生成 → 生成更改命令。
5 在 Control Expert 的动态数据表中，查看每个 SIL3 安全 I/O 模块的 DDDT，确认每个模块的配置尚
未更改并且与上面第 3 步中的配置相同。
6 将配置锁定按钮 (参见第 65 页)按住超过 3 秒的时间，锁定每个 SIL3 I/O 模块的配置，
然后释放此按钮。
8 在 Control Expert 的 PLC 菜单中，命令 PAC 进入安全模式 (参见第 112 页)。
138 QGH60288 09/2020

操作
第8.5节
初始化 Control Expert 中的数据
初始化 Control Expert 中的数据
初始化 Control Expert 中用于 M580 安全 PAC 的数据
两个初始化命令
Control Expert 中的 PLC 菜单提供了两个独立的命令来进行数据初始化：
 初始化命令对过程（或非安全）命名空间的可被 MAST、FAST、AUX0 和 AUX1 任务使用的
数据进行初始化。如果在 PAC 处于 STOP 状态时，PAC 正在安全或维护模式下运行，则可以
执行此命令。此命令相当于将系统位 %S0 (COLDSTART) 设置为 1。
注意：将 %S0 位设置为 1 只会对过程命名空间中的数据执行初始化。它并不影响安全命名空间
中的数据。
 初始化安全命令仅对安全命名空间的数据执行初始化，这些数据仅供 SAFE 任务使用。只有在
SAFE 任务处于 STOP 或 HALT 状态时，如果 SAFE 任务正在维护模式下运行，才可以执行此
命令。若在 SAFE 任务处于 HALT 状态时执行此命令，则会导致 SAFE 任务在 STOP 状态下重
启。
初始化和初始化安全命令都会执行冷启动。 (参见第 123 页)
QGH60288 09/2020 139

操作
第8.6节
Control Expert 中的动态数据表处理
Control Expert 中的动态数据表处理
动态数据表和操作屏
简介
M580 安全 PAC 支持三种动态数据表，每种与以下其中一个数据区关联：
 过程区动态数据表只能包括过程命名空间中的数据。
 安全区动态数据表只能包括安全命名空间中的数据。
 全局动态数据表可以包括整个应用程序的数据，其中包括用于创建安全和过程命名空间的数
据、以及全局变量。
注意：在全局动态数据表中，数据变量名称包括指示源命名空间的前缀，具体如下：
 来自“安全”命名空间的数据变量显示为“SAFE.<变量名称>”。
 来自“过程”命名空间的数据变量显示为“PROCESS.<变量名称>”。
 来自“全局”（或“应用程序”）命名空间的数据变量仅显示其<变量名称>，没有命名空间前缀。
来自 M580 安全 PAC 的过程数据和安全设计都可以通过外部过程（例如，SCADA 或 HMI）访
问。
创建和修改动态数据表的能力以及执行动态数据表功能的能力取决于受影响的变量的命名空间以
及安全项目的操作模式。
动态数据表的创建和编辑条件
创建和编辑动态数据表涉及添加或删除数据变量。对动态数据表执行数据变量添加或删除的能力
取决于：
 数据变量所处的命名空间（安全或过程）。
 M580 安全 PAC 的操作模式（安全或维护）。
在 Control Expert 连接到 M580 安全 PAC 的情况下，可以对动态数据表执行如下创建和编辑：

 当 M580 安全 PAC 正在安全模式或维护模式下运行时，支持将过程命名空间变量添加到过程或
全局动态数据表，或者从过程或全局动态数据表删除过程命名空间变量。
 当 M580 安全 PAC 正在维护模式下运行时，支持将安全命名空间变量添加到安全动态数据表，
或者从安全动态数据表删除安全命名空间变量。
 仅当项目设置在上载信息中不包括动态数据表时，如果 M580 安全 PAC 正在安全模式下运行，
则支持将安全命名空间变量添加到安全动态数据表，或者从安全动态数据表删除安全命名空间
变量。
注意：通过以下方式将动态数据表包含在 Control Expert 的上载信息中或排除在该信息之外：
选择工具 → 项目设置...，打开项目设置...窗口，然后导航至项目设置 → 常规 → PLC 内嵌数
据 → 上载信息 → 动态数据表。
140 QGH60288 09/2020

操作
动态数据表的操作条件
您可以使用动态数据表来强制变量值、解除变量值强制、修改单个变量值或修改多个变量值。执
行这些功能的能力取决于变量所处的命名空间以及 M580 安全 PAC 的操作模式，具体如下：
 在安全操作模式和维护操作模式中可以读取或写入过程或全局变量值。
 在维护操作模式中可以读取或写入安全变量值。
 在安全操作模式中只能读取安全变量值。
在 Control Expert 中的安全或过程命名空间中创建动态数据表的过程

Control Expert 为安全或过程命名空间的动态数据表创建提供了两种方法：
 对于安全或过程代码段窗口，右键单击代码窗口，然后选择以下任一者：
 初始化动态数据表，将数据对象添加到安全或过程命名空间中的现有动态数据表，
 初始化新动态数据表，将数据对象添加到安全或过程命名空间中的新动态数据表。
无论是哪种选择，代码段中的所有变量都会被添加到现有或新动态数据表。
 在项目浏览器中，在过程或安全数据区，右键单击动态数据表文件夹，然后选择新动态数据
表。Control Expert 创建新的空动态数据表。然后从与表相关的命名空间（安全或过程）添加
各变量。
全局范围动态数据表的创建过程
在项目浏览器中，右键单击全局动态数据表文件夹，然后选择新动态数据表，从而创建全局动态
数据表。将变量添加到新动态数据表的方法有多种：
 拖放：您可以将变量从数据编辑器中拖出，然后放置到全局动态数据表中。由于动态数据表的
范围包括整个应用程序，因此您可以从安全数据编辑器、过程数据编辑器或全局数据编辑器中
拖动变量。
 实例选择对话框：您可以双击动态数据表中的行，然后单击省略号按钮，打开实例选择对话
框。使用对话框右上部的过滤列表选择以下其中一个项目区：
 SAFE：显示与安全区关联的数据对象。
 PROCESS：显示与过程区关联的数据对象。
 APPLICATION：显示较高层级的应用程序范围数据对象。
选择数据对象，然后单击确定，将该项添加到动态数据表。
注意：从不同来源添加到全局动态数据表的数据对象具有不同的特点：
 来自过程区的数据对象在变量名称中附有前缀“PROCESS”（比如 PROCESS.variable_01）
 来自安全区的数据对象在变量名称中附有前缀“SAFE”（比如 SAFE.variable_02）
 来自全局区的数据对象不在变量名称中附加此类前缀。
QGH60288 09/2020 141

操作
在操作屏上显示数据
您可以在操作屏（如 HMI、SCADA 或 FactoryCast 应用程序）上显示数据，具体的显示方法与动
态数据表的数据链接方法相同。可供选择的数据变量是那些包含在 Control Expert 数据字典中的变
量。
您可以通过以下方法启用数据字典：打开工具 → 项目设置...窗口，然后在窗口的范围 → 常用区
域中，选择常规 → PLC 内嵌数据 → 数据字典。
数据字典以如下方式使数据变量供操作屏使用：
 安全命名空间变量始终包含“SAFE”前缀，并且只能以 “SAFE.<变量名称>”的格式访问。
 全局或应用程序命名空间变量不包含前缀，并且只能使用不带前缀的“<变量名称>”来访问。
 使用过程命名空间的设置决定了操作屏如何访问过程命名空间变量。
 如果选择了使用过程命名空间，则操作屏只能以“PROCESS.<变量名称>”的格式读取过程区
变量。
 如果取消对使用过程命名空间的选择，则操作屏只能以不带 PROCESS 前缀的“<变量名称>”
的格式来读取过程区变量。
注意：如果以相同的名称声明了两个变量 — 其中一个变量是过程命名空间中的变量，另一
个是全局命名空间中的变量，则只能通过 HMI、SCADA 或 Factory Cast 应用程序来访问全
局命名空间中的变量。
您可以使用实例选择对话框来访问各数据对象。
小心
意外变量值
 确保应用程序的项目设置正确。
 检查语法，以便访问不同命名空间中的变量。
不遵循上述说明可能导致人身伤害或设备损坏。
如要避免访问不正确的变量：
 请使用您在过程命名空间和全局命名空间中为变量声明的不同名称，或者
 选择使用过程命名空间，并使用以下语法来访问具有相同名称的变量：
 “过程.<变量名称>”，用于过程命名空间中声明的变量。
 “<变量名称>”，不包含前缀，适用于全局命名空间中声明的变量
Trending 工具
Control Expert Trending 工具不支持与 M580 安全项目一起使用。
142 QGH60288 09/2020

操作
第8.7节
添加代码段
添加代码段
主题页
将代码添加到 M580 安全项目 144
诊断请求 147
交换和清除命令 150
QGH60288 09/2020 143

操作
将代码添加到 M580 安全项目
中的任务处理Control Expert
在过程命名空间中，Control Expert 缺省包括 MAST 任务。不能删除 MAST 任务。但可以添加
FAST、AUX0 和 AUX1 任务。请注意，在安全项目的过程部分中创建任务与在非安全项目中创建
任务的方式相同。有关更多信息，请参阅 EcoStruxure™ Control Expert 操作模式手册中的主题创
建和配置任务。
在安全命名空间中，Control Expert 缺省包括SAFE 任务。不能删除 SAFE 任务，也不能将其他任
务添加到 Control Expert 中项目浏览器的程序安全段。您可以将多个段添加到 SAFE 任务。
配置 SAFE 任务属性
SAFE 任务仅支持周期性任务执行（不支持循环执行）。SAFE 任务的周期和警戒时钟设置都在
SAFE 的属性对话框中输入，并且支持以下值范围：
 SAFE 任务周期：10...255 毫秒，缺省为 20 毫秒。
 SAFE 任务警戒时钟：10...500 毫秒，以 10 毫秒为增量，缺省为 250 毫秒。
根据安全数据大小和 PLC 型号，将 SAFE 任务周期设置为最小值。可以根据以下公式计算最短

SAFE 任务周期：
 安全 I/O 通讯必需的绝对时间下限：
 10 毫秒
 在 CPU 与 COPRO 之间传输和比较安全数据所必需的时间（毫秒）：

 (0.156 x Data_Safe_Size) + 2 毫秒（对于 BMEP584040S、BMEH584040S 和
BMEH586040S）
 (0.273 x Data_Safe_Size) + 2 毫秒（对于 BMEP582040S 和 BMEH582040S）
其中 Data_Safe_Size 是安全数据的大小 (Kb)。

 热备 PAC 将安全数据从主 PAC 传输到备用 PAC 所需的额外时间（毫秒）：
 (K1 x Taskkb + K2 x TaskDFB) / 500
在此公式中：
 TaskDFB = 在应用程序的安全部分中声明的 DFB 的数量。
 Taskkb = SAFE 任务在主 PAC 与备用 PAC 之间交换的安全数据的大小 (Kb)。
 K1 和 K2 是常数值，由应用程序中所使用的具体 CPU 模块决定：
系数 BMEH582040S BMEH584040S, 和 BMEH586040S

K1 32.0 10.0
K2 23.6 7.4
144 QGH60288 09/2020

操作
注意：
 这个公式得到的值是仅适用于初次评估 SAFE 循环时间限制时的 SAFE 任务周期的绝对最小
值。它不包括用户代码执行所必需的时间或者 PAC 多任务系统的预期执行所必需的裕度。请参
阅常用架构的 Modicon M580 独立系统规划指南中的主题系统吞吐量注意事项。
 Data_Safe_Size 和 Sizekbytes 缺省相等。可以在 PLC → 存储器消耗菜单和 PLC → 热备屏幕中
分别查看它们的值。
示例计算
以下为最短 SAFE 任务周期的计算结果示例
最短 SAFE 任务周期（毫秒）
Sizekbytes1 NbDFB_Inst BMEP582040S BMEP584040S BMEH582040S BMEH584040S 或
BMEH586040S
0 0 10 10 10 10
50 10 16 10 20 11
100 10 30 18 37 20
150 10 43 25 54 29
200 10 57 33 70 37
250 10 71 41 87 46
300 20 84 49 105 55
350 20 98 57 121 64
400 20 112 64 138 73
450 20 125 72 155 81
500 20 139 80 172 90
550 30 - 88 - 99
600 30 - 96 - 108
650 30 - 103 - 117
700 30 - 111 - 126
750 30 - 119 - 134
800 40 - 127 - 143
850 40 - 135 - 152
900 40 - 142 - 161
950 40 - 150 - 170
1000 40 - 158 - 179
1. 假设 Sizekbytes 和 Data_Safe_Size 相等。
QGH60288 09/2020 145

操作
注意：将 SAFE 任务警戒时钟的值配置成大于 SAFE 任务周期。

有关 SAFE 任务配置如何影响过程安全时间的说明，请参阅主题过程安全时间 (参见 Modicon
M580, 安全手册)。
有关 SAFE 任务的执行优先级说明，请参阅主题 M580 安全 PAC 任务 (参见第 124 页)。
创建代码段
右键单击任务的段文件夹，并选择新建段...，打开配置对话框。对于安全和过程任务，可以使用
以下程序语言：
语言安全任务过程任务
SAFE MAST FAST AUX0 AUX1
IL – ✔ ✔ ✔ ✔
FBD ✔ ✔ ✔ ✔ ✔
LD ✔ ✔ ✔ ✔ ✔
LL984 段 – ✔ ✔ ✔ ✔
SFC – ✔ ✔ ✔ ✔
ST – ✔ ✔ ✔ ✔
✔: 可用
– : 不可用
除 SAFE 任务编程语言可用性方面的这些限制之外，新段配置对话框的使用方式与非安全 M580

项目相同。有关更多信息，请参阅 EcoStruxure™ Control Expert 操作模式手册的主题 FBD、LD、
IL 或 ST 段的属性对话框。
将数据添加到代码段
由于 SAFE 任务与过程任务是分离的，因此只能将安全数据编辑器中可用的数据添加到 SAFE 任
务代码段。这些数据包括：
 安全数据编辑器中创建的非定位安全变量（即，不含 %M 或 %MW 地址）。
 属于 M580 安全模块设备 DDT 结构的组成部分的数据对象。
与之类似，非安全任务代码段可用的数据包括在过程命名空间范围内的所有数据。其中包括除以
下之外的所有项目数据：
 SAFE 命名空间专用的数据（参见上文）。
 全局数据编辑器中创建的数据对象。
代码分析
分析或生成项目时，如果发生以下情况，则 Control Expert 显示检出错误消息：
 SAFE 任务中包含属于过程命名空间的数据。
 过程任务（MAST、FAST、AUX0、AUX1）中包含属于安全命名空间的数据。
 SAFE 任务段中包含定位的位 (%M) 或字 (%MW)。
146 QGH60288 09/2020

操作
诊断请求
简介
在使用 PWS_DIAG 功能块的情况下，诊断请求仅可用于位于主机架上的 M580 安全电源。主机架
的地址为 0，CPU 或通讯适配器模块 (CRA) 位于插槽 0 或 1 中。扩展机架不是主机架。
CPU 可以对本地机架上的冗余电源发起诊断请求，并且在借助通讯适配器 (CRA) 的情况下，可以
对远程机架上的冗余电源发起诊断请求。如果主站电源和从站电源都正常运行，则主站电源进入
主站诊断模式，从站电源进入从站诊断模式。LED 指示测试正在进行。
注意：重启电源后，不执行此请求
诊断测试结束后，主站回到正常运行状态，而从站则根据测试结果切换到正常状态或错误状态。
测试结果存储在电源存储器中。
诊断请求返回数据
电源向 CPU 发送的诊断信息包括：
 电源环境温度。
 3.3V 背板线路上的电压和电流。
 24V 背板线路上的电压和电流。
 自生产结束后，3.3V 和 24V 背板线路上的电源累计电能。
 自上次通电和制造结束后作为主站的运行时间。
 自上次通电和制造结束后作为从站的总运行时间。
 剩余寿命百分比 (LTPC)：预防性维护前的时间，从 100% 减至 0%。
注意： 0% 时不交换。
 电源打开次数。
注意：通过 SCADA，能够复位自安装后的通电次数以及所有其他诊断信息。
 BMXCPS4002S 主电压跌至欠压等级 1 (95 Vac) 之下的次数。
 BMXCPS4002S 主电压升至过压等级 2 (195 Vac) 之上的次数。
 BMXCPS4022S 主电压跌至欠压等级 1 (20 Vdc) 之下的次数。
 BMXCPS4022S 主电压升至过压等级 2 (40 Vdc) 之上的次数。
 BMXCPS3522S 主电压跌至欠压等级 1 (110 Vdc) 之下的次数。
 BMXCPS3522S 主电压升至过压等级 2 (140 Vdc) 之上的次数。
 电源的当前状态（主站/从站/无法工作）。
QGH60288 09/2020 147

操作
在 FBD 中的表示形式
参数
输入参数：
参数名称数据类型描述
ENABLE BOOL 亮起时，指示操作已启用。
ABORT BOOL 亮起时，指示当前活动的操作已中止。
REMOTE_IP STRING 包含电源模块的子站的 IP 跌至（“ip1.ip2.ip3.ip4”）。将此字段留空
("")，或者不向其引脚附加变量，即可不对本地机架中的电源寻址。
输出参数：
参数名称数据类型描述
DONE BOOL 当操作成功完成时亮起。
ERROR BOOL 当操作未成功而中止时亮起。
ACTIVE BOOL 当操作为活动状态时亮起。
STATUS WORD 检测到错误的标识符。
LEFT_PWS ANY 左电源模块的诊断数据。使用 PWS_DIAG_DDT_V2 类型的变量，
以确保正确解译。
RIGHT_PWS ANY 右电源模块的诊断数据。使用 PWS_DIAG_DDT_V2 类型的变量，
以确保正确解译。
148 QGH60288 09/2020

操作
示例
QGH60288 09/2020 149

操作
交换和清除命令
简介
PWS_CMD 功能块可用于下发两种命令：
 交换请求：此命令指定要用作主站的电源。如果两个电源都正常运行，则指定的电源变为主
站，另一个变为从站。
 清除请求：此命令复位以下次数的计数器：
 主电压跌至欠压等级 1 之下的次数。
 主电压跌至欠压等级 2 之下的次数。
 电源已打开。
这两个请求都仅适用于主机架上的电源。主机架的地址为 0，CPU 或通讯适配器模块 (CRA) 位于

插槽 0 或 1 中。扩展机架不是主机架。
LED 指示正在执行命令。事件记录存储在电源存储器中。
在 FBD 中的表示形式
150 QGH60288 09/2020

操作
参数
输入参数：
参数名称数据类型说明
ENABLE BOOL 亮起时，指示操作已启用。
ABORT BOOL 亮起时，指示当前活动的操作已中止。
REMOTE_IP STRING 包含电源模块的子站的 IP 跌至（“ip1.ip2.ip3.ip4”）。将此字段留空
("")，或者不向其引脚附加变量，即可不对本地机架中的电源寻址。
CMD ANY 使用 PWS_CMD_DDT 类型的变量，以确保正确解译。
可用的命令代码：
 1 = 交换
 3 = 清除
PWS_TARGET BYTE 要寻址的电源：

 1=左
 2=右
 3 = 两者
输出参数：
参数名称数据类型说明
DONE BOOL 当操作成功完成时亮起。
ERROR BOOL 当操作未成功而中止时亮起。
ACTIVE BOOL 当操作为活动状态时亮起。
STATUS WORD 检测到错误标识符。
DATA ANY 响应数据（取决于命令代码）。没有为交换和清除命令报告数据。
QGH60288 09/2020 151

操作
示例
下图显示用于交换请求的 PWS_CMD 功能块：
以下数据编辑器屏幕显示交换请求的变量值：
152 QGH60288 09/2020

操作
第8.8节
应用程序安全管理
应用程序安全管理
简介
Control Expert 让您能够将 M580 安全 PAC 的访问限于分配有密码的用户。本节讲述了
Control Expert 中可用的密码分配程序。
主题页
应用程序密码保护 154
安全区密码保护 158
段保护 162
固件保护 164
数据存储区保护 166
密码丢失 168
QGH60288 09/2020 153

操作
应用程序密码保护
概述
Control Expert 提供密码机制来防止对应用程序的未授权访问。在您执行以下操作的情况下，
Control Expert 使用密码：
 在 Control Expert 中打开应用程序。
 连接到 Control Expert 中的 PAC。
注意：密码的使用是可选的。如果应用程序中没有配置密码（缺省设置），则会禁用提供密码机
制进行的应用程序保护。
通过密码进行应用程序保护能够防止意外的应用程序修改、下载或防止意外打开（.STU 和 .STA
文件）。密码加密存储在应用程序中。
应用程序密码
缺省情况下，M580 安全项目不受密码保护。如果在创建安全项目时不手动分配密码，
Control Expert 会将空字符串用作密码。
在这种情况下，当下次打开 Control Expert M580 安全项目时，密码对话框打开。如要访问项目，
则不输入密码文本，从而接受空字符串，然后单击确定。然后，您可以根据下述步骤创建新密码。
可以随时创建或更改密码。
密码区分大小写，长度为 8 到 16 个字符。如果密码包含大写和小写字母、数字和特殊字符的组
合，则鲁棒性会提高。
创建密码
创建应用程序保护密码的过程：
步骤操作
1 在项目浏览器中右键单击项目。
2 从弹出菜单中选择属性命令。
结果：会显示项目属性窗口。
3 选择项目和控制器保护选项卡。
4 在应用程序字段中，单击更改密码...。
结果：显示修改密码窗口。
5 在输入字段中输入新密码。
6 在确认字段中再次输入新密码进行确认。
7 单击 OK 进行确认。
8 在项目属性窗口中单击确定或应用以确认所有更改。
如果您在项目属性窗口中单击取消，则所有更改将会取消。
154 QGH60288 09/2020

操作
更改密码
更改应用程序保护密码的过程：
步骤操作
4 在应用程序字段中，单击更改密码...。
5 在旧密码字段中输入以前的密码。
删除密码
清除应用程序保护密码的过程：
步骤操作
4 在应用程序字段中，单击清除密码...。
结果：显示密码窗口。
5 在密码字段中输入密码。
QGH60288 09/2020 155

操作
自动锁定功能
系统提供了一个可选的自动锁定功能，可在已配置的不活动时间过后，限制对 Control Expert 软件
编程工具的访问。使用自动锁定复选框可以激活自动锁定功能，并通过锁定前等待分钟数来为不
活动时间选择超时时间。
默认值为：
 自动锁定未激活
 锁定前等待分钟数设置为 10 分钟（可能值：1...999 分钟）
如果启用了自动锁定功能且经过了配置的不活动时间，则会显示模式对话框，要求输入应用程序
密码。在模式对话框后面，所有打开的编辑器仍在相同位置保持打开。这样，任何人都可以读取
Control Expert 窗口的当前内容，但不能继续使用 Control Expert。
注意：如果您尚未为项目分配密码，则不会显示模式对话框。
要求提供密码的情况
在 Control Expert 中打开现有应用程序：
密码管理
打开应用程序文件后，会打开应用程序密码对话框。
输入密码。
单击 OK。如果密码正确，则应用程序会打开。
如果密码错误，则有消息框指示输入了不正确的密码，并且会打开新的应用程序密码对话框。
如果单击取消，则不会打开应用程序。
当 Control Expert 未连接到 PAC 或者当 Control Expert 中的项目与 PAC 中的项目相同时，在自动
锁定之后访问 Control Expert 中的应用程序：
密码管理
自动锁定时间过后，会打开应用程序密码对话框：
输入密码。
单击 OK。如果密码正确，则 Control Expert 会再次变为活动状态。
如果密码错误，则有消息框指示输入了不正确的密码，并且会打开新的应用程序密码对话框。
如果单击关闭，应用程序将关闭且不保存。
156 QGH60288 09/2020

操作
当 Control Expert 已连接到 PAC 并且当 Control Expert 中的应用程序与 PAC 中的应用程序不同
时，在自动锁定之后访问 PAC 中的应用程序：
密码管理
连接时，如果 Control Expert 软件应用程序和 CPU 应用程序不同，则会打开应用程序密码对话框：
输入密码。
单击 OK。如果密码正确，则会建立连接。
如果密码错误，则有消息框指示输入了不正确的密码，并且会打开新的应用
程序密码对话框。
如果单击取消，则不会建立连接。
注意：连接时，如果 Control Expert 软件应用程序和 CPU 应用程序相同，则不会有密码要求。如果未先输
入密码（在创建项目时留空），请单击确定以在密码提示时建立连接。
注意：如果三次连续输入不正确的密码，必须等待一定时间，这个时间量随着后续密码输入错误
次数的增加而增加。等待时间从 15 秒增加至 1 小时，在随后每次输入错误后等待时间增量增加 2
的倍数。
注意：如果密码丢失，请联系 Schneider Electric 支持部门 (参见第 168 页)。
QGH60288 09/2020 157

操作
安全区密码保护
概览
安全 CPU 包含安全区密码保护功能，可通过项目的属性屏幕来访问。此功能用于帮助保护位于安
全项目的安全区中的项目元素。
注意：当安全区密码保护功能已激活时，无法修改应用程序的安全部分。
当启用了安全区密码保护时，不允许修改以下安全区部分：
安全部分禁止的操作（离线和在线）
配置修改 CPU 特性
添加、删除、修改机架中的安全模块
修改安全电源
类型创建、删除、修改安全 DDT
更改 DDT 属性：从非安全->安全
更改 DDT 属性：从安全->非安全
创建、删除、修改安全 DFB
更改 DFB 属性：从非安全->安全
更改 DFB 属性：从安全->非安全
Program-SAFE 变量和 FB 实例节点下的任何更改
创建任务
导入任务
修改任务
创建段
删除段
导入段
修改段
项目设置修改 SAFE 项目设置
修改 COMMON 项目设置
加密
安全区密码采用标准加密 SHA-256 加 salt 加密。
158 QGH60288 09/2020

操作
安全区密码功能与安全项目用户权限
安全区密码的激活和安全性编辑器中创建的用户权限的实施是相互排斥的安全功能，具体如下：
 如果启动 Control Expert 的用户已分配有用户配置文件，那么在用户知道安全区密码且在安全
性编辑器中被授予了访问权的情况下，用户就能够访问安全应用程序的安全区。
 如未分配用户配置文件，则在知道安全区密码的情况下，用户能够访问安全应用程序的安全
区。
Control Expert 中的视觉指示

可以通过查看项目浏览器中的 Program-SAFE 节点，来目视检测安全区保护功能的状态：
 锁定的挂锁表示安全区密码已创建且已激活。
 未锁定的挂锁表示安全区密码已创建但未激活。
 无挂锁时，表示未创建安全区密码。
注意：如果安全区密码已创建但未激活，且安全应用程序被关闭且随后重新打开，则在重新打开
时，会自动激活安全区密码。如果安全区密码意外未激活，则此行为可用作预防措施。
兼容性
版本不低于 V14.0 的 Control Expert 配置软件以及固件版本不低于 2.8 的 M580 安全 CPU 拥有安
全区密码功能。
注意：
 版本不低于 v14.0 的 Control Expert 中创建的应用程序 .STU、.STA 和 ZEF 文件无法在版本不
高于 13.1 的 Unity Pro 中打开。
 若更换 Control Expert v14.0 应用程序中的 M580 安全 CPU，会产生以下影响：
 从固件版本 2.7 升级至 2.8（或更高）时，会在项目 → 属性窗口的程序和 Safety 保护选项
卡中添加安全区密码功能。
 从固件版本 2.8（或更高）降级至 2.7 时，会删除安全区密码功能。
QGH60288 09/2020 159

操作
激活保护并创建密码
激活段保护并创建密码的过程：
步骤操作
3 选择程序和 Safety 保护选项卡。
4 在安全区域中，选中保护激活框激活保护。
结果：会显示修改密码对话框。
5 在输入字段中输入密码。
6 在确认字段中再次输入密码进行确认。
7 单击确定以进行确认。
更改密码
更改项目段保护密码的过程：
步骤操作
4 在安全区域中，单击更改密码...。
结果：会显示修改密码对话框：
160 QGH60288 09/2020

操作
删除密码
删除项目段保护密码的过程：
步骤操作
4 在安全区域中，单击清除密码...。
结果：显示访问控制对话框：
5 在密码字段中输入以前的密码。
QGH60288 09/2020 161

操作
段保护
概览
在离线模式下，可以从项目的属性屏幕访问段保护功能。
此功能用于保护配置有一定保护等级的具体程序段。
注意：只要未在项目中激活段保护，则该保护就一直处于非活动状态。
注意：
项目保护仅对标记的段有效。此保护不会阻止以下操作：
 连接到 PLC
 从 CPU 上载应用程序
 更改配置
 添加新段
 更改新段中的逻辑（无段保护）
激活保护并创建密码
激活段保护并创建密码的过程：
步骤操作
4 在段和程序单元区域中，选中保护激活框，激活保护。
结果：会显示修改密码对话框。
5 在输入字段中输入密码。
6 在确认字段中再次输入密码进行确认。
7 如果需要增强型密码保护，请选中已加密复选框。
注意：无法通过低于 4.1 的 Unity Pro 版本来编辑具有加密密码的项目。
注意： Unity Pro 是版本 13.1 或更高版本的 Control Expert 的原名。
注释
如果段 (参见 EcoStruxure™ Control Expert, 操作模式)配置了保护（读或读/写），则在激活保
护后，将通过段级别上的锁定挂锁来指示。
如果段配置了保护但保护被禁用，则在段级别上显示一个打开的挂锁。
162 QGH60288 09/2020

操作
更改密码
更改项目段保护密码的过程：
步骤操作
4 在段和程序单元区域中，单击更改密码...。
结果：会显示修改密码对话框：
8 如果需要增强型密码保护，请选中已加密复选框。
注意：无法通过低于 4.1 的 Unity Pro 版本来编辑具有加密密码的项目。
删除密码
删除项目段保护密码的过程：
步骤操作
4 在段字段中，单击清除密码...。
结果：显示访问控制对话框：
5 在密码字段中输入以前的密码。
QGH60288 09/2020 163

操作
固件保护
概述
利用密码保护固件有助于预防通过 FTP 对模块进行的有害访问。
密码
缺省情况下，固件由以下密码加以保护：fwdownload。
可以随时更改密码。
密码区分大小写，包含 8 至 16 个字母数字字符。如果密码包含大写和小写字母、数字和特殊字符
的组合，则鲁棒性会提高。
注意：当导入 ZEF 文件时，模块的固件密码会被设置成其缺省值。
更改密码
注意：固件缺省密码：fwdownload
更改固件保护密码的过程：
步骤操作
4 在固件字段中，单击更改密码...。
164 QGH60288 09/2020

操作
重新设置密码
一旦当前密码已被确认，则重新设置密码会将其缺省值赋给固件密码(fwdownload)。继续执行下
列步骤：
步骤操作
4 在固件字段中，单击重置密码...。
5 在密码字段中输入当前密码。
7 在项目属性窗口中单击确定或应用以确认所有更改。该新密码即为缺省密码：fwdownload。
QGH60288 09/2020 165

操作
数据存储区保护
概述
通过密码进行的数据存储保护有助于防止对 SD 存储卡数据存储区域的意外访问（如果 CPU 中已
插入有效的存储卡）。
密码
缺省情况下，数据存储区域由以下密码提供密码保护：datadownload
可以随时更改密码。
密码区分大小写，且长度必须在 8 到 16 个字母数字字符之间。如果密码包含大写和小写字母、数
字和特殊字符的组合，则鲁棒性会提高。
注意：当导入 ZEF 文件时，将应用程序数据存储区密码设置为其缺省值。
更改密码
注意：数据存储缺省密码：datadownload
更改数据存储保护密码的过程：
步骤操作
4 在数据存储字段中，单击更改密码...。
166 QGH60288 09/2020

操作
重新设置密码
一旦当前密码已被确认，则重新设置密码会将其缺省值赋给数据存储密码 (datadownload)。继续
执行下列步骤：
步骤操作
4 在数据存储字段中，单击重新设置密码...。
5 在密码字段中输入当前密码。
7 在项目属性窗口中单击确定或应用以确认所有更改。该新密码即为缺省密码：datadownload。
QGH60288 09/2020 167

操作
密码丢失
概述
如果忘记了密码，请按以下过程中的说明进行操作，并联系 Schneider Electric 技术支持人员。
Control Expert 密码
Schneider Electric 支持人员需要从密码对话框中显示的数字满足以下条件：
 打开时，选择应用程序，然后会显示密码对话框。
 自动锁定时，将显示密码对话框。如果不记得密码，请选择关闭。重新打开应用程序，随即会
显示密码对话框。
注意：在自动锁定后，如果不输入密码就关闭应用程序，则所有修改将会丢失。
重置应用程序密码的过程：
步骤操作
1 条件：会显示密码对话框。
2 按 SHIFT+F2。
结果：密码对话框右侧将显示灰色的数字。
3 将此数字发送给 Schneider Electric 支持人员。
4 从 Schneider Electric 支持人员接收生成的密码。
注：密码是临时密码，只要不修改应用程序，就可用。
5 输入此密码。
6 修改此密码（旧密码 = Schneider Electric 支持人员所提供的密码）。
7 单击生成 → 生成更改。
8 保存应用程序。
CPU 应用程序密码
重置 CPU 应用程序密码的过程（存在相应的 *.STU 文件）：
步骤操作
1 打开相应的 *.STU 文件。
2 当显示密码对话框时，请按 SHIFT+F2。
注：密码是临时密码，只要不修改应用程序，就可用。
6 修改此密码（旧密码 = Schneider Electric 支持人员所提供的密码）。
7 连接到 PLC。
168 QGH60288 09/2020

操作
步骤操作
重置 CPU 应用程序密码的过程（不存在相应的 *.STU 文件）：
步骤操作
1 条件：连接时，将显示密码对话框。
2 按 SHIFT+F2。
注：Schneider Electric 技术支持部提供的密码是临时密码，只要不修改应用程序，就可用。
6 从 CPU 上载应用程序。
8 修改此密码（旧密码 = 由 Schneider Electric 支持人员提供的密码）。
安全区密码
Schneider Electric 支持人员需要使从密码对话框中显示的数字满足以下条件：
 在项目属性 → 程序和 Safety 保护 → 安全字段中，单击清除密码...，密码对话框随即出现。
重置固件密码的过程：
步骤操作
2 按 SHIFT+F2。
注：该密码为临时密码，只要您不修改此应用程序，该密码就有效。
5 输入此密码，然后单击确定，关闭密码对话框。
6 单击更改密码，并更改密码（注意，旧密码 = Schneider Electric 技术支持人员提供的密码）。
7 单击确定，关闭修改密码对话框，然后在项目属性窗口中单击确定或应用以确认所有更改。
QGH60288 09/2020 169

操作
固件密码
 在项目属性 → 项目和控制器保护 → 固件字段中，单击重置密码...，密码对话框随即出现。
重置固件密码的过程：
步骤操作
2 按 SHIFT+F2。
数据存储密码
 在项目属性 → 项目和控制器保护 → 数据存储字段中，单击重置密码...，密码对话框随即出现。
重置数据存储密码的过程：
步骤操作
2 按 SHIFT+F2。
170 QGH60288 09/2020

操作
第8.9节
工作站安全管理
工作站安全管理
简介
Schneider Electric 提供了安全性编辑器访问管理工具，供您用来限制和控制对安装有 Control
Expert 软件的工作站的访问。本节讲述了此工具的仅与 M580 安全项目相关的功能。
主题页
访问管理Control Expert 172
访问权限 175
QGH60288 09/2020 171

操作
访问管理Control Expert
简介
Schneider Electric 提供了安全性编辑器配置工具，让您能够管理对工作站上安装的 Control Expert
软件的访问。利用安全性编辑器配置工具对 Control Expert 进行访问管理是一个可选操作。
注意：访问管理涉及安装有 Control Expert 软件的硬件（通常是工作站），而不涉及拥有自己的保
护系统的项目。
有关更多信息，请参阅 EcoStruxure™ Control Expert, Security Editor, Operation Guide。
注意：安全用户配置文件也要求在访问安全应用程序的过程部分时具有相应权限。在创建或修改
用户配置文件时，您应负责确认正确进行了所有必要的修改。
用户类别
安全性编辑器支持两类用户：
 超级用户 (Supervisor)：
超级用户是管理软件访问安全性的唯一人员。超级用户指定哪些人可以访问软件以及这些人的
访问权限。当在工作站上安装 Control Expert 时，只有超级用户能毫无权限限制地（无需密
码）访问安全配置。
注意：为超级用户保留的用户名是 Supervisor。
 用户：
软件用户由超级用户在用户列表中定义（如果 Control Expert 访问安全性已激活）。如果您的
名称在用户列表中，那么您可以通过输入名称（应当与列表中的名称完全一致）和密码来访问
软件实例。
用户配置文件
用户配置文件包含用户的所有访问权限。用户配置文件可由超级用户自定义，或者可通过应用安
全性编辑器工具随附的预配置文件来创建。
172 QGH60288 09/2020

操作
预配置用户配置文件
安全性编辑器提供以下预配置用户配置文件，它们适用于安全程序或过程程序：
配置文件适用的程序类型说明
过程安全
只读 ✔ ✔ 用户只能以读取模式访问项目，但 PAC 地址除外，该地
址可以修改。用户还可以复制或下载项目。
操作 ✔ – 用户除具有与只读配置文件相同的权限外，还增加了修改
过程程序执行参数（常量、初始值、任务循环时间等）
的权限。
安全_操作 – ✔ 用户的权限与操作配置文件相似，但在安全程序方面存在
以下不同：
 不允许将数据值传输到 PAC。
 允许命令安全程序进入维护模式。
调整 ✔ – 用户除具有与操作配置文件相同的权限外，还增加了上载
项目（传输到 PAC）和修改 PAC 操作模式（运行、
停止等）的权限。
安全_调整 – ✔ 用户的权限与调整配置文件相似，但在安全程序方面存在
以下不同：
调试 ✔ – 用户除具有与调整配置文件相同的权限外，还增加了使用
调试工具的权限。
安全_调试 – ✔ 用户的权限与调试配置文件相似，但在安全程序方面存在
以下不同：
 不允许停止或启动程序。
 不允许更新初始化值。
 不允许强制输入、输出或内部位。
程序 ✔ – 用户除具有与调试配置文件相同的权限外，还增加了修改
程序的权限。
安全_程序 – ✔ 用户的权限与 Program 配置文件相似，但在安全程序方
面存在以下不同：
 不允许停止或启动程序。
 不允许更新初始化值。
 不允许将项目恢复到 PAC。
 不允许强制输入、输出或内部位。
Disabled ✔ ✔ 用户不能访问项目。
QGH60288 09/2020 173

操作
分配预配置用户
在安全性编辑器的用户选项卡中，超级用户可以将来源于预配置的配置文件的预配置用户分配给
特定用户。以下预配置用户选项可供选择：
 安全_用户_调整
 安全_用户_调试
 安全_用户_操作
 安全_用户_程序
 用户_调整
 用户_调试
 用户_操作
 用户_程序
请参阅用户功能 (参见 EcoStruxure™ Control Expert, 安全性编辑器, 操作指南)主题，更多地了

解超级用户如何将预配置的配置文件分配给用户。
174 QGH60288 09/2020

操作
访问权限
简介
Control Expert 访问权限分为以下几类：
 项目服务
 调整/调试
 库
 全局修改
 基本的变量修改
 基本的 DDT 复合数据修改
 基本的 DFB 类型修改
 基本的 DFB 实例修改
 总线配置编辑器
 输入/输出配置编辑器
 运行时屏幕
 网络安全
 安全
本主题介绍了每个预配置用户配置文件可用的访问权限。
项目服务
此类别的访问权限如下所示：
访问权限预配置用户配置文件
调整安全_调整调试安全_调试操作安全_操作程序安全_程序
创建新项目 – – – – – – ✔ ✔
打开现有项目 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
保存项目 – – – – – – ✔ ✔
另存项目 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
导入项目 – – – – – – ✔ ✔
离线生成 – – – – – – ✔ ✔
在线生成 (STOP) – – – – – – ✔ ✔
在线生成 (RUN) – – – – – – ✔ ✔
启动、停止或初始化 ✔ – ✔ – – – ✔ ✔
PAC*
用当前值更新初始值 – – ✔ – – – ✔ ✔
（仅非安全数据）
* 仅启动或停止了过程任务。对于非安全 PAC，这意味着 PAC 被启动或停止。对于 M580 安全 PAC，这意味着除
SAFE 任务之外的任务被启动或停止。
✔ ：包含
– ：不包含
QGH60288 09/2020 175

操作
从 PAC 中传输项目 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
将项目传输到 PAC ✔ ✔ ✔ ✔ – – ✔ ✔
将数据值从文件传输到 ✔ – ✔ – ✔ – ✔ ✔
PAC（仅非安全数据）
在 PAC 中恢复项目备份 – – – – – – ✔ ✔
在 PAC 中保存项目备份 – – – – – – ✔ ✔
设置地址 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
修改选项 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
* 仅启动或停止了过程任务。对于非安全 PAC，这意味着 PAC 被启动或停止。对于 M580 安全 PAC，这意味着除
SAFE 任务之外的任务被启动或停止。
✔ ：包含
– ：不包含
调整/调试
修改变量值 ✔ – ✔ ✔ ✔ ✔
修改安全变量值 – ✔ – ✔ – ✔ – ✔
强制内部位 – – ✔ – – – ✔ ✔
强制输出 – – ✔ – – – ✔ ✔
强制输入 – – ✔ – – – ✔ ✔
任务管理 – – ✔ – – – ✔ ✔
SAFE 任务管理 – – – ✔ – – – ✔
任务循环时间修改 ✔ – ✔ ✔ – ✔ ✔
SAFE 任务周期时间修改 – ✔ – ✔ – ✔ – ✔
在查看器中不显示消息 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
调试可执行程序 – – ✔ ✔ – – ✔ ✔
替换项目变量 – – – – – – ✔ ✔
替换安全项目变量 – – – – – – – ✔
✔ ：包含
– ：不包含
176 QGH60288 09/2020

操作
库
创建库或系列 – – – – – – ✔ ✔
创建安全库或系列 – – – – – – – ✔
删除库或系列 – – – – – – ✔ ✔
删除安全库或系列 – – – – – – – ✔
将对象放入库 – – – – – – ✔ ✔
将对象放入安全库 – – – – – – – ✔
从库中删除对象 – – – – – – ✔ ✔
从安全库中删除对象 – – – – – – – ✔
从库中获取对象 – – – – – – ✔ ✔
从安全库获取对象 – – – – – – – ✔
✔ ：包含
– ：不包含
全局修改
修改文档 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
修改功能视图 – – – – – – ✔ ✔
修改动态数据表 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
修改常量值 ✔ – ✔ – ✔ – ✔ ✔
修改安全常量值 – ✔ – ✔ – ✔ – ✔
修改程序结构 – – – – – – ✔ ✔
修改安全程序结构 – – – – – – – ✔
修改程序段 – – – – – – ✔ ✔
修改安全程序段 – – – – – – – ✔
修改项目设置 – – – – – – ✔ ✔
✔ ：包含
– ：不包含
QGH60288 09/2020 177

操作
基本的变量修改
添加/删除变量 – – – – – – ✔ ✔
安全变量添加/删除 – – – – – – – ✔
变量主属性修改 – – – – – – ✔ ✔
安全变量主要属性修改 – – – – – – – ✔
变量次要属性修改 ✔ – ✔ – ✔ – ✔ ✔
安全变量次要属性修改 – ✔ – ✔ – ✔ – ✔
✔ ：包含
– ：不包含
基本的 DDT 复合数据修改

添加/删除 DDT – – – – – – ✔ ✔
DDT 修改 – – – – – – ✔ ✔
✔ ：包含
– ：不包含
基本的 DFB 类型修改

添加/删除 DFB 类型 – – – – – – ✔ ✔
安全 DFB 类型添加/删除 – – – – – – – ✔
DFB 类型结构修改 – – – – – – ✔ ✔
安全 DFB 类型结构修改 – – – – – – – ✔
DFB 类型段修改 – – – – – – ✔ ✔
安全 DFB 类型段修改 – – – – – – – ✔
✔ ：包含
– ：不包含
178 QGH60288 09/2020

操作
基本的 DFB 实例修改

DFB 实例修改 – – – – – – ✔ ✔
安全 DFB 实例修改 – – – – – – – ✔
DFB 实例次要属性修改 ✔ – ✔ – ✔ – ✔ ✔
安全 DFB 实例次要属性修改 – ✔ – ✔ – ✔ – ✔
✔ ：包含
– ：不包含
总线配置编辑器
修改配置 – – – – – – ✔ ✔
修改安全配置 – – – – – – – ✔
I/O 测算 – – – – – – ✔ ✔
✔ ：包含
– ：不包含
输入/输出配置编辑器
修改 I/O 配置 – – – – – – ✔ ✔
修改安全 I/O 配置 – – – – – – – ✔
调整 I/O ✔ – ✔ – ✔ – ✔ ✔
调节安全 I/O – ✔ – ✔ – ✔ – ✔
Save_param – – ✔ – – – ✔ ✔
Restore_param – – ✔ – – – ✔ ✔
✔ ：包含
– ：不包含
QGH60288 09/2020 179

操作
运行时屏幕
修改屏幕 – – – – – – ✔ ✔
修改消息 – – – – – – ✔ ✔
添加/删除屏幕或系列 – – – – – – ✔ ✔
✔ ：包含
– ：不包含
网络安全
创建或修改应用程序密码 – – – – – – ✔ ✔
进入维护模式 – ✔ – ✔ – ✔ – ✔
调整自动锁定超时 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
✔ ：包含
– ：不包含
安全
进入维护模式 – ✔ – ✔ – ✔ – ✔
✔ ：包含
– ：不包含
180 QGH60288 09/2020

操作
第8.10节
M580 安全项目设置
M580 安全项目设置
Control Expert 中 M580 安全项目的项目设置
范围特定的项目设置
在 Control Expert 主菜单中选择工具 → 项目设置...，打开能够配置和查看 M580 安全项目的项目
设置的窗口。根据设置的适用范围，项目设置分为三组，具体如下：
 通用：这些设置适用于整个应用程序，可以影响到项目的全局区、过程区和安全区。
 过程：这些设置仅适用于项目的过程区。
 安全：这些设置仅适用于项目的安全区。
本主题仅介绍了项目设置窗口的那些与 M580 非安全项目不同的部分。请参阅 EcoStruxure™

Control Expert 操作模式手册的项目设置一节，了解 M580 安全和非安全项目共有功能的相关信
息。
通用项目设置
以下范围 → 通用设置适用于全局项目区、过程项目区和安全项目区，但不同于 M580 非安全项目
中的相同设置：
分组设置说明
常规设置：
生成设置自由数据存储器（以千此设置已被禁用。
字节为单位）
注意：在 M580 安全系统中，动态地执行数据分配，
且不需要保留固定大小的数据块。
虚拟连接模式此设置已被禁用且已被取消选择。
PLC 嵌入式数据数据字典确定操作屏可如何访问和读取命名空间变量：
 使用过程命名空间  如果选择了此选项，则操作屏只能以“PROCESS.<
变量名称>”的格式读取过程区变量。
 如果取消对此选项的选择，则操作屏只能以不带
PROCESS 前缀的“<变量名称>”的格式来读取过
程区变量。
注意：安全区中的所有变量都通过“SAFE.<变量名称
>”的格式来读取。
优化数据在线更改适用于：
 安全和维护操作模式下的过程程序。
 仅维护操作模式下的安全程序。
QGH60288 09/2020 181

操作
分组设置说明
PLC 诊断机架查看器诊断信息过程变量和安全变量都适用这两种设置。
 机架查看器变量名称
程序查看器信息此设置适用于过程代码段和安全代码段。
时间时标模式此设置适用于过程程序和安全程序，但不支持安全变量
的时标。
操作屏设置：
受控屏幕显示通过 PLC 此设置适用于 M580 安全 PAC 中的已选变量。
控制的屏幕
不对项目的安全区产生影响的通用项目设置
以下范围 → 通用设置适用于过程程序，但不适用于 M580 安全项目中的安全程序：
分组设置说明
常规设置：
PLC 行为停止到运行转换时复位 %M 安全程序中不支持 LL984 代码段。
Configuration M580 首选的 I/O 数据类型安全 I/O 模块仅有设备 DDDT 数据类型可用。
（本地 I/O）
变量设置：
– 直接表示的数组变量安全程序中不支持 %MW 访问。
启用对 Trending 的快速扫描安全程序中不支持 Trending 工具。只有过程程序的
MAST 任务中才支持此工具。
强制引用初始化安全程序中不允许引用。
程序设置：
语言允许嵌套注释仅支持用于非安全任务（MAST、FAST、AUX0
 常用和 AUX1）
允许多赋值 (a:=b:=c) (ST/LD)  安全程序不支持包括操作块的 ST 语言。
 安全程序中的 LD 语言不支持
非正式调用中允许空参数安全程序中不支持 ST 和 IL 语言。

(ST/IL)
语言允许跳转和标签安全程序中不支持 ST 语言。
 ST
182 QGH60288 09/2020

操作
对过程项目区和安全项目区产生不同影响的项目设置
范围 → 安全和范围 → 过程都具有相同的程序设置。然而，在 M580 安全项目中的每个范围中，
以下设置的处理方式不同
分组设置说明
常规设置：
生成设置优化代码  对于过程范围，为已启用状态。
 对于安全范围，为已禁用和取消选择状态。
Safe 签名管理  对于过程范围，为已禁用状态。

 对于 safe 范围，为已启用状态且缺省设置
为自动。
PLC 诊断应用程序诊断  对于过程范围，为已启用状态。
 应用程序诊断等级  对于安全范围，为已禁用和取消选择状态。
变量设置：
– 允许动态数组这些设置：
 对于过程范围，为已启用状态。
禁用数组大小兼容性检查
注意：安全程序变量不支持动态数组。
程序设置：
语言功能块图 (FBD) 对于过程范围和安全范围，都为已启用状态。
梯形图 (LD)
顺序功能图 (SFC)  对于过程范围，为已启用状态。
列表 (IL)  对于安全范围，为已禁用和取消选择状态。
结构化测试 (ST)
梯形图逻辑 984 (LL984)
语言允许子程序  对于过程范围，为已启用状态。
 常用  对于安全范围，为已禁用和取消选择状态。
注意：安全程序中不支持子程序。
ST 表达式的使用 (LD/FBD)  对于过程范围，为已启用状态。
注意：安全程序中不支持 ST 表达式。

启用隐式类型转换  对于过程范围，为已启用状态。
注意：安全程序中不支持隐式类型转换。
QGH60288 09/2020 183

操作
184 QGH60288 09/2020

Modicon M580
QGH60288 09/2020
附录
简介
附录包含与 IEC 61508 及其 SIL 策略有关的信息。此外，还提供了安全和非干扰模块的技术数据，
并给出了示例性计算。
本附录包含了哪些内容？
本附录包含了以下章节：
章章节标题页
A IEC 61508 187
B 系统对象 193
QGH60288 09/2020 185

186 QGH60288 09/2020
Modicon M580
QGH60288 09/2020
附录 A
IEC 61508
IEC 61508
简介
本章概述了 IEC 61508 的安全概念，着重介绍了其 SIL 策略。
主题页
IEC 61508 概述 188
SIL 策略 189
QGH60288 09/2020 187

IEC 61508 概述
简介
安全相关型系统设计用于需要将对人、环境、设备和生产的危害风险控制在可接受水平内的工艺
过程中。这种风险取决于其严重性和可能性，因此决定着必须要采取的保护措施。
就过程安全性而言，需要考虑 2 个方面：
 有关部门为了保护人、环境、设备和生产而制定的规定和要求
 为了满足这些规定和要求而采取的措施
IEC 61508 说明
对安全相关型系统的做出要求的技术标准是
 IEC 61508。
它涉及电气、电子或可编程电子安全相关型系统的功能安全性。安全相关型系统是一种需要执行
一个或多个特定功能以确保将风险控制在可接受水平内的系统。这样的功能被定义为安全功能。
对于一个系统，如果随机故障、系统化故障或共因失效不会导致其功能失常，也不会导致人身伤
害或人员死亡、环境污染以及设备损坏或生产损失，则将其定义为功能安全系统。
这套标准总体上规定了用于执行安全功能的系统的整个寿命期活动。它为安全相关型系统中软硬
件的设计、开发和检验构建了规程。此外，它还为功能安全性和文档的管理制定了相关规则。
IEC 61511 说明
在以下技术标准中，专门针对流程工业领域对 IEC 61508 中的功能安全性要求进行了调整：
IEC 61511：功能安全 - 流程工业领域的安全仪表系统
此标准为用户提供安全相关型系统的应用指导 — 从项目的最早阶段开始，到启动，乃至各种修改
和最终停用活动。总而言之，它涉及流程工业中使用的安全相关型系统的所有部件的安全寿命期。
风险说明
IEC 61508 以风险分析和安全功能理念为基础。风险取决于其严重性和概率。可以通过应用包含
电气、电子或可编程电子系统的安全功能，来将风险降低至可接受水平。此外，应将风险降低至
最低合理可行原则的水平。
总而言之，IEC 61508 对风险的观点如下：
 零风险绝对实现不了。
 应从一开始就考虑到安全。
 应降低不可接受的风险。
188 QGH60288 09/2020

SIL 策略
简介
SIL 值评估应用程序抵御故障的稳健性，因此指示的是系统在定义的概率范围内执行安全功能的能
力。IEC 61508 根据采用安全相关型系统的过程所造成的风险或影响，规定了 4 个级别的安全性
能。潜在影响对社区和环境的危害越大，风险降低方面的安全要求就越高。
SIL 值描述
离散度（1，最大可能为 4），用于指定要分配给安全相关型系统的安全功能的安全完整性要求，
其中，安全完整性级别 4 具有最高级别的安全完整性，而安全完整性级别 1 具有最低级别的安全
完整性，请参阅低需求模式下的 SIL, 第 190 页。
SIL 要求描述
为了实现功能安全性，必须满足 2 种类型的要求：
 安全功能要求，定义必须执行的安全功能
 安全完整性要求，定义有关安全功能执行的可信度。
安全功能要求从危害分析中得出，安全完整性要求从风险评估中得出。
它们包括以下量值：
 故障间平均时间
 故障率
 失效率
 诊断覆盖率
 安全失效系数
 硬件容错
根据安全完整性级别，这些量值介于定义的限值范围内。
注意：如要在网络或安全功能上混合安全完整性等级不同的设备，应高度注意 IEC 61508 的要
求，并考虑设计和运行影响。
QGH60288 09/2020 189

SIL 等级描述
根据 IEC 61508 的定义，SIL 值受限于执行安全功能的子系统的安全失效系数 (SFF) 和硬件容错
(HFT)。HFT 为 n 表示 n+1 个故障可能导致丧失安全功能，且无法进入 Safe 状态。SFF 取决于失
效率和诊断覆盖率。
下表显示了根据 IEC 61508-2，在所有部件的失效模式都无法完全定义的复杂安全相关型子系统
中，SFF、HFT 和 SIL 之间的关系：
SFF HFT=0 HFT=1 HFT=2

SFF ≤ 60% - SIL1 SIL2
60% < SFF ≤ 90% SIL1 SIL2 SIL3
90% < SFF ≤ 99% SIL2 SIL3 SIL4
SFF > 99% SIL3 SIL4 SIL4
达到某个安全完整性级别的方法有 2 种：
 通过提供额外的独立关闭路径来增加 HFT
 通过额外的诊断来增加 SFF
SIL-期望关系描述
IEC 61508 对低需求操作模式和高需求（或持续）操作模式进行了区分。
在低需求模式下，对安全相关型系统操作的需求频率每年不大于 1 并且不大于证实测试频率的两
倍。低需求安全相关型系统的 SIL 值与执行安全功能的平均期望故障率直接相关，或者简言之，
与期望故障率 (PFD) 直接相关。
在高需求或持续模式下，对安全相关型系统操作的需求频率每年大于 1 并且大于证实测试频率的
两倍。高需求安全相关型系统的 SIL 值与每小时发生的危险故障率直接相关，或者简言之，与每
小时故障率 (PFH) 直接相关。
低需求模式下的 SIL
下表列出了低需求操作模式下的系统要求：
安全完整性级别期望故障率
4 ≥ 10-5 至 < 10-4
3 ≥ 10-4 至 < 10-3
2 ≥ 10-3 至 < 10-2
1 ≥ 10-2 至 < 10-1
190 QGH60288 09/2020

高需求模式下的 SIL
下表列出了高需求操作模式下的系统要求：
安全完整性级别每小时故障率
4 ≥ 10-9 至 < 10-8
3 ≥ 10-8 至 < 10-7
2 ≥ 10-7 至 < 10-6
1 ≥ 10-6 至 < 10-5
对于 SIL3，整套安全集成系统的所需故障率为：
-4 -3
 PFD ≥ 10 至 < 10 （对于低需求模式）
 PFH ≥ 10-8 至 < 10-7（对于高需求模式）
安全回路描述
M580 安全 PAC 的安全回路由以下 3 部分构成：
 传感器
 带安全电源、安全 CPU、安全协处理器和安全 I/O 模块的 M580 安全 PAC
 执行器
包含交换机或 CRA 的背板或远程连接不会损坏安全回路。背板、交换机和 CRA 模块是黑色通道

的组成部分。这就是说，未经接收器的检测，I/O 和 PAC 交换的数据不可能损坏。
下图显示一个典型的安全回路：
如上图所示，PAC 的故障率仅占总故障率的 10-20%，因为传感器和执行器的故障率通常相当高。

我们保守假设安全 PAC 的故障率占总故障率的 10%，那么用户就拥有了更多的余裕，而安全
PAC 的所需故障率则如下：
-5 -4
 PFD ≥ 10 至 < 10 （对于低需求模式）
 PFH ≥ 10-9 至 < 10-8（对于高需求模式）
QGH60288 09/2020 191

PFD 方程式描述
IEC 61508 假设有一半故障终止于 Safe 状态。因此，故障率 λ 划分为
 λS - 安全故障和
 λD - 危险故障，这种故障自身由以下方面构成
 λDD - 通过内部诊断检测到的危险故障
 λDU - 未检测到的危险故障。
失效率可以利用故障间平均时间 (MTBF) 来计算，MTBF 是一个模块特定值，具体计算如下：

λ = 1/MTBF
期望故障率的计算方程式如下：
PFD(t) = λDU x t
t 表示 2 次证实测试之间的间隔时间。
每小时故障率本身就意味着时间间隔为 1 小时。因此，PFD 方程式被精简为：
PFH = λDU
192 QGH60288 09/2020

Modicon M580
系统对象
QGH60288 09/2020
附录 B
系统对象
系统对象
简介
本章描述 M580 安全 PAC 的系统位和系统字。
注意：这些对象的描述表中提到的与每个位对象或系统字关联的符号在软件中并不是固定不变的
标准，您可以使用数据编辑器输入。
主题页
M580 安全系统位 194
M580 安全系统字 196
QGH60288 09/2020 193

系统对象
M580 安全系统位
用于 SAFE 任务执行的系统位
以下系统位适用于 M580 安全 PAC。有关 M580 安全 PAC 和非安全 M580 PAC 都适用的系统位
的说明，请参阅 EcoStruxure™ Control Expert 系统位和系统字参考手册中的系统位介绍。
这些系统位与 SAFE 任务的执行相关，但无法通过安全程序代码直接访问。它们只能通过
S_SYST_READ_TASK_BIT_MX 和 S_SYST_RESET_TASK_BIT_MX 块来访问。
位功能描述初始状态类型
符号
%S17 循环移位输出在 SAFE 任务的循环移位操作期间，此位采用传出位 0 R/W
CARRY 的状态。
%S18 检测到溢出或正常情况下，此位设置为 0，如果存在以下情况，当发 0 R/W
OVERFLOW 算术错误生容量溢出事件时，此位将设置为 1：
 结果大于 + 32 767 或小于 - 32 768
（单精度长度）。
 结果大于 + 65 535（无符号整数）。
 结果大于 + 2 147 483 647 或小于 - 2 147 483 648
（双精度长度）
 结果大于 +4 294 967 296
（双精度长度或无符号整数）。
 除零。
 负数的平方根。
 在鼓上强制执行不存在的步。
 试图占用已满的寄存器，试图清空已空的寄存器。
%S21 RUN 模式下的这个位在 SAFE 任务中进行了测试，它指示此任务的 0 R/W

1RSTTASKRUN 首次 SAFE 第一个循环。此位在循环开始时设置为 1，在循环结束
任务扫描时复位为 0。
注意：
 可以使用 S_SYST_STAT_MX 系统功能块的 SCOLD 输出
来读取任务状态的第一个循环。
 这个位不适用于 M580 安全热备系统。
194 QGH60288 09/2020

系统对象
有关非安全特有系统位的注释
系统位描述注：
%S0 冷启动只能用在过程（非 SAFE）任务中，对 SAFE 任务没有影响。
%S9 输出设置为故障预置对安全输出模块没有影响。
%S10 检测到的全局 I/O 错误报告一些（而不是全部）与安全 I/O 模块有关的可能检出错误。
%S11 警戒时钟溢出考虑 SAFE 任务的溢出。
%S16 检测到的任务 I/O 错误报告一些（而不是全部）与安全 I/O 模块有关的可能检出错误。
%S19 任务周期溢出 SAFE 任务溢出信息不可用。
%S40...47 检测到的机架 n I/O 错误报告一些（而不是全部）与安全 I/O 模块有关的可能检出错误。
%S78 检测到错误时停止对于过程任务和 SAFE 任务都适用。如果设置了这个位，比如如
果出现了 %S18 溢出错误，则 SAFE 任务进入 HALT 状态。
%S94 保存调整后的值不适用于 SAFE 变量。SAFE 初始值无法通过激活此位来修改。
%S117 以太网 I/O 网络上的 RIO 报告一些（而不是全部）与安全 I/O 模块有关的可能检出错误。
检出错误
%S119 检测到的一般机架错误报告一些（而不是全部）与安全 I/O 模块有关的可能检出错误。
QGH60288 09/2020 195

系统对象
M580 安全系统字
M580 安全 PAC 的系统字

以下系统字适用于 M580 安全 PAC。有关 M580 安全 PAC 和非安全 M580 PAC 都适用的系统字
的说明，请参阅 EcoStruxure™ Control Expert 系统位和系统字参考手册中的系统字介绍。
这些系统字和值与 SAFE 任务有关。它们可以通过非安全段（MAST、FAST、AUX0或AUX1）
中的应用程序代码来访问，但无法通过 SAFE 任务段中的代码访问。
字功能类型
%SW4 配置中定义的 SAFE 任务周期。操作员无法修改此周期。 R
%SW12 指示 Copro 模块的操作模式。 R
 16#A501 = 维护模式
 16#5AFE = 安全模式
任何其他值都被解释为检测到的错误。
%SW13 指示 CPU 的操作模式。 R
 16#501A = 维护模式
 16#5AFE = 安全模式
任何其他值都被解释为检测到的错误。
%SW42 SAFE 任务当前时间。指示 SAFE 任务最后一个循环的执行时间 R
（单位为毫秒）。
%SW43 SAFE 任务最长时间。指示自上次冷启动之后 SAFE 任务的最长任务执行时间 R
%SW44 SAFE 任务最短时间。指示自上次冷启动之后 SAFE 任务的最短任务执行时间 R
%SW110 系统因内部服务占用的系统 CPU 负荷百分比。 R
%SW111 MAST 任务占用的系统 CPU 负荷百分比。 R
%SW112 FAST 任务占用的系统 CPU 负荷百分比。 R
%SW113 SAFE 任务占用的系统 CPU 负荷百分比。 R
%SW114 AUX0 任务占用的系统 CPU 负荷百分比。 R
%SW115 AUX1 任务占用的系统 CPU 负荷百分比。 R
%SW116 总系统 CPU 负荷。 R
196 QGH60288 09/2020

系统对象
字功能类型
%SW124 包含在 M580 安全 PAC 处于 Halt 状态时检测到不可逆错误的原因： R
 0x5AF2：存储器检查期间检测到 RAM 错误。
 0x5AFB：检测到安全固件代码错误。
 0x5AF6：在 CPU 上检测到安全警戒时钟溢出错误。
 0x5AFF：在协处理器上检测到安全警戒时钟溢出错误。
 0x5B01：启动时未检测到协处理器。
 0x5AC03：CPU 检测到 CIP 安全不可逆错误。
 0x5AC04：协处理器检测到 CIP 安全不可逆错误。
注意：以上原因并未穷尽所有。有关更多信息，请参阅 EcoStruxure™ Control

Expert 系统位和系统字参考手册。
%SW125 包含 M580 安全 PAC 中检测到不可逆错误的原因： R
 0x5AC0：CIP 安全配置不正确（由 CPU 检测到）。
 0x5AC1：CIP 安全配置不正确（由协处理器检测到）。
 0x5AF3：主 CPU 检测到比较错误。
 0x5AFC：协处理器检测到比较错误。
 0x5AFD：协处理器检测到内部错误。
 0x5AFE：CPU 与协处理器之间检测到同步错误。
 0x9690：检测到应用程序校验和错误。
注意：以上原因并未穷尽所有。有关更多信息，请参阅 EcoStruxure™ Control

Expert 系统位和系统字参考手册。
%SW126 这两个系统字包含供 Schneider Electric 内部使用的信息，有助于更详细地分析 R
检测到的错误。
%SW127
%SW128 如果 CPU 固件版本不高于 3.20，则将 NTP 时间与 SAFE 时间之间的时间同步强 R/W
制到安全 IO 模块和 SAFE CPU 任务中：
 值从 16#1AE5 更改为 16#E51A 后，会强制同步。请参阅主题 NTP 时间设置
的同步程序 (参见 Modicon M580, 安全手册)。
 其他程序和值不会强制同步。
%SW142 包含安全 COPRO 固件版本信息，以 4 位 BCD 表示：例如，固件版本 21.42 R

对应于 %SW142 = 16#2142。
%SW148 CPU 检测到的纠错代码 (ECC) 错误的数量。 R
%SW152 由 X Bus 背板上的以太网通讯模块（如 BMENOC0301/11）通过可选的强制时 R
间同步功能更新的 NTP CPU 时间的状态：
 0：以太网通讯模块未刷新 CPU 时间。
 1：以太网通讯模块已刷新 CPU 时间。
%SW169 安全应用程序 ID：包含应用程序的安全代码部分的 ID。在修改了安全应用程序 R

代码后，会自动修改此 ID。
注意：
 如果自上次执行重新生成全部命令（由此更改了安全应用程序 ID）后，更改
了安全代码且已执行生成更改命令，则重新生成全部命令的执行可能再次更
改安全应用程序 ID。
 可以使用 S_SYST_STAT_MX系统功能块的 SAID 输出来读取 SAFE
程序唯一标识符。
QGH60288 09/2020 197

系统对象
字功能类型
%SW171 FAST 任务的状态： R
 0：不存在 FAST 任务
 1：停止
 2：运行
 3：断点
 4：暂停
%SW172 SAFE 任务的状态： R

 0：不存在 SAFE 任务
 1：停止
 2：运行
 3：断点
 4：暂停
%SW173 MAST 任务的状态： R

 0：不存在 MAST 任务
 1：停止
 2：运行
 3：断点
 4：暂停
%SW174 AUX0 任务的状态： R

 0：不存在 AUX0 任务
 1：停止
 2：运行
 3：断点
 4：暂停
%SW175 AUX1 任务的状态： R

 0：不存在 AUX1 任务
 1：停止
 2：运行
 3：断点
 4：暂停
198 QGH60288 09/2020

Modicon M580
术语
QGH60288 09/2020
术语
ALARP
（最低合理可行原则）（定义 IEC 61508）
CCF
（共因故障）一种故障，在多通道系统中，这种故障是可导致 2 个或更多单独通道同时出现故障的
一个或多个事件的结果，这种结果会导致出现系统故障。（定义 IEC 61508）双通道系统中的共因
因素对于整个系统的期望故障率 (Probability of Failure on Demand, PFD) 而言至关重要。
DIO
（分布式 I/O）也称为分布式设备。DRSs 使用 DIO 端口连接分布式设备。
FTP
(文件传输协议) 通过基于 TCP/IP 的网络（如因特网）将文件从一个主机复制到另一个主机的协
议。FTP 在客户端和服务器之间使用客户端-服务器架构以及单独的控制和数据连接。
QGH60288 09/2020 199

术语
HFT
（硬件容错）（定义 IEC 61508）
硬件容错为 N 表示 N + 1 个故障可能导致丧失安全功能，例如：
HFT = 0：第一个故障可能导致丧失安全功能
 HFT = 1：两个故障一起可能导致丧失安全功能。（有两种不同的途径可到达安全状态。丧失安
全功能意味着无法进入安全状态。）
SFF
（安全失效系数）
200 QGH60288 09/2020

Modicon M580
索引
QGH60288 09/2020
索引
61508 I/O 模块
IEC, 188 安装, 98
61511 I/O 配置
IEC, 188 锁定, 136
BME•58•040S CPU IEC 61508
性能特性, 48 功能安全性, 188
BMEP58CRPOS3 协处理器 IEC 61511
性能特性, 48 流程工业的功能安全性, 188
BMXRMS004GPF, 46 LED
BMXSAI0410 CPU, 38
性能特性, 71 协处理器, 38
BMXSDI1602 安全 I/O 模块, 68
性能特性, 73 LED 面板
BMXSDO0802 电源, 53
性能特性, 75 M580 安全电源
BMXSRA0405 LED 面板, 53
性能特性, 77 前面板, 52
BMXXCAUSB018 USB 电缆, 43 复位功能, 53
BMXXCAUSB045 USB 电缆, 43 尺寸, 52
Control Expert MTBF（故障间平均时间）, 192
安全性编辑器, 175 PFD（期望故障率）, 190
数据划分, 108 PFH（每小时故障率）, 190
访问管理, 172 SAFE 任务
项目设置, 181 配置, 144
预定义用户配置文件, 175 SAFE 源签名, 129
Control Expert 中的数据划分, 108 SAFE 签名, 129
CPU SD 存储卡
前面板, 33 FTP, 46
安装, 91 SFF（安全失效系数）, 190
尺寸, 33 SFP 插口, 45
CPU LED, 38 SIL（安全完整性级别）, 189
Ethernet 端口, 40 trending 工具, 142
LED, 41 USB
双网络端口, 42 引脚分配, 43
引脚, 40 电缆, 43
服务端口, 42 透明性, 43
FTP 任务, 124, 144
SD 存储卡, 46 配置, 125
HFT（硬件容错）, 190 使用过程命名空间, 181, 181
HMI, 142
QGH60288 09/2020 201

索引
保护安全系统字, 196
固件, 164 安装
数据存储区, 166 CPU, 91
冗余链路端口, 45 I/O 模块, 98
冷启动, 123 存储卡, 100
初始化数据, 139 本地机架, 81
前面板电源, 94
coprocessor, 34 密码
CPU, 33 丢失或忘记, 168
安全 I/O 模块, 65 应用程序, 154
电源, 52 段, 158, 162
动态数据表, 140 重置, 168
升级尺寸
固件, 104, 105 CPU, 33
协处理器 M580 安全电源, 52
前面板, 34 协处理器, 33
尺寸, 33 安全 I/O 模块, 64
协处理器 LED, 38 应用程序
双网络端口, 42 密码, 154
启动, 121 性能特性
冷启动, 123 电源, 57
热启动, 123 BMXSAI0410, 71
电源中断后, 121 BMXSDI1602, 73
首次, 121 BMXSDO0802, 75
固件 BMXSRA0405, 77
保护, 164 CPU & 协处理器, 48
升级, 104, 105 报警继电器端子块, 62
更新, 104 拓扑
复位, 53 分布式设备, 28
失效率, 192 对等, 27
存储卡本地主机架与扩展, 24
FTP, 46 设计, 22
安装, 100 高可用性, 25
安全 I/O 模块操作模式, 112
LED, 68 操作状态, 116
前面板, 65 故障间平均时间 (MTBF), 192
尺寸, 64 数据初始化命令
安全区初始化, 139
密码, 158 初始化安全, 139
安全回路, 191 数据存储区
安全失效系数 (SFF), 190 保护, 166
安全完整性级别 (SIL), 189 更新
安全性编辑器, 172 固件, 104
安全操作模式, 112 最大设备数
安全系统位, 194 CIP 安全拓扑, 23
202 QGH60288 09/2020

索引
服务端口, 42
期望故障率 (PFD), 190
本地机架
安装, 81
机架
安装, 86
机架扩展模块, 88
模块
认证, 16
非干扰, 17
非干扰类型 1, 17
非干扰类型 2, 20
段
密码, 162
每小时故障率 (PFH), 190
热启动, 123
生成命令
更新 ID 且重新生成全部, 128
生成更改, 128
重新生成所有项目, 128
电源
安装, 94
性能特性, 57
硬件容错 (HFT), 190
系统
位, 194
字, 196
维护操作模式, 113
维护输入, 114
过程命名空间
使用, 181
通过操作屏使用, 181
锁定 I/O 配置, 136
项目设置, 181
QGH60288 09/2020 203

索引
204 QGH60288 09/2020

M580安全系统规划指南

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

M580安全系统规划指南

Uploaded by

Copyright:

Available Formats

Modicon M580

3 如果您输入的是参考号，则转至 Product Datasheets 搜索结果，单击您感兴趣的参考号。

它基于 M580 系列的可编程自动化控制器 (PAC)。经认证的 Schneider Electric M580 安全模块如

注意： 除上面列出的安全模块之外，您还可以在安全项目中包括非干扰非安全模块 (参见第 17 页

非干扰模块是不能干扰安全功能的模块。对于机架内 M580 模块（BMEx、BMXx、PMXx 和

适用于 SIL3 应用的类型 1 非干扰模块

适用于 SIL2/3 应用的类型 2 非干扰模块

注意： M580 系统的通过以太网连接到安全模块的所有授权设备都被视为具有非干扰性质。因此，

将安全模块置于 RIO 主环路中

本地机架与 RIO 子站通讯

连接两个 M580 安全 PAC

将分布式设备添加到 M580 安全系统

您也可以使用 BMENOC0301/11 以太网通讯模块、BMENOS0300 以太网网络选项交换机或

将 CIP 安全设备添加到 M580 安全系统

注意： CPU 固件版本不高于 3.10 时，启用 M580 安全 PAC 的 NTP 服务，以便支持本地主机架与

下图为两个独立 RIO 子站中冗余 I/O 的安置示例：

两个单机安全 PAC 的对等拓扑

注意： 如要支持 CPU 固件版本不高于 3.10 的两个 PAC 之间的黑色通道通讯，请启用两个 PAC 中

将分布式设备添加到 M580 安全 PAC

1 带有主要 CPU 的主要本地机架

M580 安全 CPU 和协处理器

M580 安全 CPU 和协处理器物理特性

M580 安全 CPU 和协处理器的物理规格描述

3 Service 用于服务端口的 RJ45 Ethernet 接口 (参见第 40 页)的插槽。

BMEP58CPROS3 Copro 的物理尺寸如下。与 CPU 不同，Copro 没有物理接口或相关标签

M580 安全 CPU 和 Copro 的 LED 显示区

CPU LED Display

注意： Copro LED 显示器是 CPU 显示器的子集，包括以下 LED：

LED 指示灯 适用于 ... 说明

所有三个 RJ45Ethernet 端口的引脚位置、引脚和电缆连接均相同。

注意： TD 引脚（1 和 2）以及 RD 引脚（3 和 6）具有 auto-MDIX 功能，根据所连接的介质（例

最大铜芯缆线长度为 100 米。对于大于 100 米的距离，使用光缆。CPU 没有任何光纤端口。您可

Ethernet 独立 CPU 上的端口

注意： 不得使用服务端口来连接到设备网络，但 Modicon M580, Open Ethernet Network, System

请参阅常用架构的 Modicon M580 热备系统规划指南，了解 SFP 插口的安装和移除并获取可用

您可以在电源接通以及 PAC 处于 RUN 模式时插入和取出存储卡。但为了避免数据丢失，应先使

BMXRMS004GPF 存储卡专门针对 M580 CPUs 进行格式化。如果将此存储卡与其他 CPU 或工具

M580 安全 CPU 和协处理器性能特性

M580 CPU 和 Copro 性能特性

LED 面板包括以下 LED 指示灯：

说明 BMXCPS4002S BMXCPS4022S BMXCPS3522S

 在满载和标称线路电压（即，24 Vdc 或 48 Vdc）下持续最多 10

瞬时输出电流能力 500 毫秒内最大 1.9 A，其周期最短为 20 秒。

 24V_BAC 上的瞬时输出电压必须在 23.0...25.0V 范围内，

输出过载/短路保护  如果 24V_BAC 上出现任何过载或短路情况（即，无论程度、

过压保护 在输出的电压达到 30.0 Vdc ±0.8 V 时，切断电源。

It（用于确定外部断路器 4 Vdc 时，≤ X A

瞬时输出电流能力 500 毫秒内最大 1.9 A，其周期最短为 20 秒。

 24V_BAC 上的瞬时输出电压必须在 23.0...25.0V 范围内，

输出过载/短路保护  如果 24V_BAC 上出现任何过载或短路情况（即，无论程度、

过压保护 在输出的电压达到 30.0 Vdc ±0.8 V 时，切断电源。

M580 安全 I/O 模块物理规格描述

M580 I/O 模块的物理规格描述

注意： 安全 I/O 模块可以安装在 BMXXBP•••• X Bus 机架或 BMEXBP•••• 以太网机架上。有关可用

注意： 有关如何使用模块 LED 来诊断 M580 安全模块状态的说明，请参阅 M580 安全手册的诊断

BMXSDI1602 安全数字量输入模块 LED：

BMXSDO0802 安全数字量输出模块 LED：

M580 安全 I/O 性能特性

电源、CPU、协处理器和 I/O 等模块通过自然对流冷却。如本手册所示，将这些模块安装在以水

本地主机架中 M580 CPU 的间距要求

在主本地机架中，为 CPU 的机架底部保留额外的间隙。下图示出了在使用了 X Bus 机架或以太网

a 机架下方的额外空间用于容纳 CPU 的高度。对于 X Bus 机架，该值为 32.0 毫米（1.260 英寸）；对于

下面是模块和电缆安装在机箱中时 DIN 滑轨上机架的侧视图：

注意： 将机架安装在正确接地的金属表面上，以便 PAC 在存在电磁干扰的情况下正常运行。

注意：除上面列出的安全模块之外，您还可以在安全项目中包括非干扰非安全模块 (参见第 17 页

注意：如要支持 CPU 固件版本不高于 3.10 的两个 PAC 之间的黑色通道通讯，请启用两个 PAC 中

LED 指示灯适用于 ... 说明

注意：不得使用服务端口来连接到设备网络，但 Modicon M580, Open Ethernet Network, System

过压保护在输出的电压达到 30.0 Vdc ±0.8 V 时，切断电源。

过压保护在输出的电压达到 30.0 Vdc ±0.8 V 时，切断电源。

注意：安全 I/O 模块可以安装在 BMXXBP•••• X Bus 机架或 BMEXBP•••• 以太网机架上。有关可用

注意：有关如何使用模块 LED 来诊断 M580 安全模块状态的说明，请参阅 M580 安全手册的诊断

注意：将机架安装在正确接地的金属表面上，以便 PAC 在存在电磁干扰的情况下正常运行。

注意：电源模块设计只允许将它安装在标有 CPS 的专用插槽中。

注意：有关下载步骤的说明，请参阅 EcoStruxure™ Automation Device Maintenance 用户指南。

注意：有关下载步骤的说明，请参阅 Unity Loader 用户指南。

注意：在安全模式下，所有安全变量和安全 I/O 状态都是只读的。无法直接编辑安全变量的值。

操作状态适用于 ... 描述

操作状态适用于 ... 描述

过程任务状态 SAFE 任务状态消息

任务名称优先级时间模型周期范围缺省周期警戒时钟范围缺省警戒时钟