系统概述

SIMATIC S7 F/FH过程安全系统是获得IEC61508 SIL3安全等级的安全可编程电子系统，通过独有的自诊断技术， 安全模件内置双电路（故障安全)设计和PROFIsafe安全通信技术，使得构成系统的单个部件和单路的通信总线均满足IEC61508 SIL3 安全等级要求，即由单个安全控制器，单路 总线通信和单路的输入输出（I/O)模件构成的单系统即可满足IEC61508 SIL3安全等级要求，不需要通过硬件的冗余设计未获得高的安全等级。

根据不同的系统可用性要求。SIMATIC S7 F/FH 可以配置成单路或冗余容错的系统结构。冗余容错结构的系统为装置和设备的安全保护就提供了高可用性，可以确保系统运行时最少的非计划停车，从而使相关的成本最低化。

SIMATIC S7 F/FH 即可以作为独立的过程安全系统使用，也可以通过过程自动化安全集成技术，无缝集成到过程控制系统SIMATIC PCS 7之中。

 系统构成

SIMATIC S7 F/FH 过程安全系统由 S7-400F/FH安全控制器， ET200 安全塑输入/输出模件和PROFIBUS  PROFIsafe 安全I/O总线构成。通过认证的安全软件工具CFC F-LIBERARY 或SAFETY MATRIX 对系统进行软件组态和下装。

系统中可以混合安装标准塑I/O模件用于标准控制，标准应用通过标准软件进行组态，安全应用通过安全软件进行组态，标准应用和安全应用相互独立运行，不会产生相互影响。

PROFIsafe安全通信用于安全控制器与安全I/O之间，安全控制器与安全控制器之 间的的安全通信。

SIMATIC S7 F/FH可以通过MODBUS，PROFIBUS，OPC等多种方式与其它控制系统（如：DCS）的通信。

 系统的容错性- FMR柔性模件冗余

IMATIC S7 F/FH的一个突出特点就是可以进行灵活的柔性 模件模件冗余（FMR）配置。根据安全任务的不同可用性需求，系统设计时可以针对控制器，通信总线和I/O组成的各体 系结构层次分别确定冗余程度，能够更好的与现场仪表的冗余结构相匹配。

 因为系统的单个组件均符合SIL3安全等级的要求，这样就可 以针对不同的任务定制相应的容错体系结构，冗余容错的结构可以承受多个同时出现的故障，配有ET200M分布式I/O 的子系统可以在一个体系结构内进行不同的冗余度的组合，1oo1  1oo2， 2oo2或2oo3等。

 根据可靠性建模分析，相对于传统的双重或三重化结构，西门子的柔性模件冗余可以提供更高的系统可用性。

因为FMR可以只在实际需要的地方配置冗余，与传统的冗余 结构相比，可以实现性价比更高的安全应用。

在FMR结构中，安全系统可以分为两种不同结构形式:

• 单通道，非冗余结构

• 冗余，高可用性容错结构

这两种结构可以灵活进行组合，可以根据不同用户的具体要求进行灵活的设计， 不但可以在I/O 层面兼有安全功能和标准应用， 在控制器级别也兼有相对独立的安全和标准程序而不相互影响。

 安全控制器

SIMATIC F/FH安全控制器具有极强的自诊断功能，通过冗余 的多通道命令处理，安全功能在一个CPU 的不同处理器部分 被差异化处理执行两次，并配有两个独立的硬件计时器，通

过执行的结果比较检测潜在的故障，如果检测到故障，则将 输出置于安全状态。单个的控制器经过TÜV认证，符合IEC 61508 SIL 3 安全等级。

SIMATIC F/FH的控制器能够进行多任务处理， 在一个CPU内 同时执行多个程序，因而能够在一个CPU内并行处理标准应 用程序和安全应用程序。标准应用和安全应用的程序组件严格保持相互隔离，不会造成处理过程的相互影响。 如果需要 进行数据交换，则通过特殊的转换块来执行，这种应用是经 过TÜV认证的。

工厂的安全控制器与安全控制器之间的安全通信是通过 Profisafe 运行在工业以太网上来实现的。

SIMATIC F/FH 安全控制器根据处理能力大小的不同，分为 412F/FH，414F/FH 和 417F/FH，预装配的控制器单元成套 产品包括如：机架，CPU，电源， 存贮卡和工业以太网接口等组件。

 分布式I/O

安全系统的分布式 I/O 子系统可分为以下几类：

• 模块化 ET 200M 分布式 安全型I/O，是应用于过程自动化 的主要产品。

• 独立接线的位模块化 ET 200S 分布式 安全型I/O，适用于紧 奏型安装。

• ET 200iSP 分布式 安全型I/O，本质安全型，适用于危险环境。

•  ET200pro  高防护等级安全型I/O， IP65/67

•  ET200eco  低成本高防护等级安全型I/O， IP65/67

 PROFIsafe安全通信

在不改变标准 PROFIBUS 通讯机制的条件下，将 PROFIsafe 行 规作为设备/系统内的附加软件层执行。PROFIsafe 对报文进行了扩展，添加了 PROFIsafe 通讯伙伴能够识别的信息，可以解 决传输错误，例如延迟、序列错误、重复、损失、错误寻址或数据失真。每个通讯设备都执行表中所列的故障检测措施，进 行上述检查。

西门子安全控制器与 ET200 安全型I/O之间的安全I/O总线通信 是通过PROFIsafe安全通信运行于Profibus –DP 上来实现的。

安全控制器与安全控制器之间的安全通信是通过PROFIsafe安 全通信运行于工业以太网上上来实现的。

软件组态工具

西门子提供了TÜV认证的CFC F-LIBERARY 及 SIMATIC 安全 矩阵软件工具对 S7-F/FH 安全系统进行组态和编程，支持以 下组态功能：

• 比较安全相关程序

• 通过校验和识别安全程序中的更改

• 隔离安全相关功能和标准功能

对安全功能的访问使用密码保护。集成到连续功能图CFC组 态工具中的F-LIBERARY 模块库包含顶定义的安全功能块， CFC 或 SIMATIC 安全矩阵以此为基础来生成安全相关应用。

经过认证的安全块功能非常强大，可防止诸如“除数为零” 或“数值溢出”之类的编程错误。因此不必通过编程来识别 错误或对错误作出反应。

图形化组态工具CFC能帮助您建立标准的和故障安全功能。 故障安全功能的创建只需从功能库 F-LIBERARY中找到并互连 经 TUV 认证的功能块。

 SIMATIC  安全集成

基本过程控制系统（BPCS）和安全仪表系统（SIS）的通信通 常可以分为以下三种方式：

• 接口方式

BPCS 和安全仪表系统采用不同的硬件，它们通过网关连接在 一起以进行数据交换。两个系统使用不同的工程组态工具。

• 集成方式

BPCS 和安全仪表系统采用不同的硬件，但具有统一的通讯系 统并使用共同的工程组态工具。

• 公用方式

BPCS 和安全仪表系统组合到过程控制系统中。它们使用共用 的硬件（控制器、现场总线、I/O）。标准程序和安全相关程序 并行执行，相互独立。

SIMATIC S7-F/FH 安全系统可以通过接口方式连接到其它的过程控制系统中。

 通过西门子过程自动化的安全集成功能，可以将安全仪表系统以最佳形式集成到西门子过程控制系统SIMATIC PCS 7中。

采用公用或集成方式，可以减少安装空间、硬件和接线范围，降低装配、安装和工程组态费用，将为工厂整个生命周期节约可观的成本。