SiemensSF系统

1、目录SIMATIC S7-300F 安全系统应用总结错误!未指定书签。4错误 !未指定书签。 错误 !未指定书签。 错误 !未指定书签。 错误 !未指定书签。 错误 !未指定书签。 错误 ! 未指定书签。错误 ! 未指定书签。 错误 ! 未指定书签。 错误 ! 未指定书签。 错误 !未指定书签。 错误 !未指定书签。 错误 !未指定书签。 错误 !未指定书签。 错误 !未指定书签。 错误 ! 未指定书签。 错误 ! 未指定书签。 错误 ! 未指定书签。 错误 ! 未指定书签。 错误 ! 未指定书签。 错误 ! 未指定书签。故障安全系统概述 1.1 什么是故障安全自动化系统 1.2 西门子安全集

2、成的概念 1.3 SIMATIC S7 中的故障安全系统 1.3.1 SIMA TIC S7 自动化系统提供两种故障安全系统1.3.2 可实现的安全要求 1.3.3 S7 Distributed Safety 和 S7 F/FH Systems 中的安全功能原理 错 误 ! 未 指 定书签。S7 Distributed Safety 组件 2.1 系统结构 分布式系统的组态和编程 3.1 综述 3.2 硬件组态步骤 3.2.1 组态硬件 3.2.2 组态 CPU 3.2.3 组态 F-IO 3.2.4 保存编译 3.2.4 F-I/O DB 变量 3.2.5 程序结构 3.2.6 创建 Fai

3、lsafe Runtime Group3.2.7 编译下载 Failsafe 程序 应用中问题处理 SIMATIC S7-300F 安全系统应用总结1 故障安全系统概述1.1 什么是故障安全自动化系统安全自动化系统（F系统）用于控制可以在关闭后立即达到安全状态的过程。 即在F系统控制过程中立即关闭过程不会对人员或环境造成危害。故障安全系统超越了常规安全工程，启用了全部扩展至电子驱动和测量系统的远程智能系统。F 系统用于具有高级安全要求的系统。 通过详细的诊断信息， F 系统中改进 的故障检测和本地化操作允许在生产出现安全相关的中断后快速恢复生产。所谓故障安全自动化系统必须满足下面特征： 当我们

4、用一组自动化装置构造 一个自动化系统， 此系统可以实现一组故障安全保护功能。 当其中一个或多个自 动化装置发生故障的时候，此系统仍然能够保持安全功能不丢失。1.2 西门子安全集成的概念安全集成是西门子用于自动化和驱动的集成安全概念。 将自动化工程的成功 技术和系统用于安全工程。 安全集成覆盖从传感器和执行器下至控制器的整个系 列，包括标准现场总线上安全相关的通讯。 除驱动器和控制器的功能任务外， 们还参与安全任务。 安全集成的一个特别功能是， 它不仅确保可靠的安全性， 确保了高度灵活性和高生产率。将安全工程集成至标准自动化标准的优点 : 具有集成故障安全工程的自动化系统比电子机械解决方案更灵活

5、。 集成使接线解决方案更简便。因此由于使用标准工程工具进行组态和编程，因此集成所需的工程量更少。 由于可以与CPU中的标准部分一起执行程序中的安全相关的部分， 仅需要一 CPU。安全相关的组件和标准程序组件之间的通讯十分简单。1.3 SIMATIC S7 中的故障安全系统1.3.1 SIMATIC S7 自动化系统提供两种故障安全系统S7 分布式故障安全控制系统 用于实现人身和设备的保护（例如机械设备和生产装置的急停保护）和过程 控制工业（例如测量和保护设备，加热炉的保护功能）故障安全和容错 S7 F/FH 系统容错的S7 F/FH系统适用于过程控制工业和石油工业的自动化工厂。为了增 加自动化

6、系统的可用性，防止由于F系统的错误导致的过程失败，S7 F系统可以 选配冗余部分 （S7 FH 系统）。通过部件冗余（例如电源部分、处理器部分、通讯 部分和输入输出部分）增加系统可用性。1.3.2 可实现的安全要求S7 Distributed Safety和 S7 F/FH Systems F 系统可以满足以下安全要求:符合 IEC 61508 规定的安全等级（安全集成等级） SIL1 至 SIL3 符合 EN 954-1 规定的类别 2 至类别 41.3.3 S7 Distributed Safety 和 S7 F/FH Systems 中的安全功能原理功能安全主要是通过软件中的安全功能实现

7、的。在发生危险事件时S7Distributed Safety 或 S7 F/FH Systems 执行安全功能以恢复或维护系统的安 全状态。安全功能主要包含在以下组件中：故障安全CPU（ F-CPU中的安全相关的用户程序（安全程序） 故障安全输入和输出（ F-I/O ）F-I/O 确保现场信息的安全处理（急停按钮、 光栅和电机控制）。它们具有安全处理所需的所有硬件和软件组件，符合要 求的安全等级。用户仅对用户安全功能进行编程。可以通过用户安全功能或 故障响应功能提供该过程的安全功能。出现故障时，如果 F 系统无法再执 行其实际用户安全功能， 则将执行故障响应功能， 例如，取消激活关联输出， 以

8、及在必要时将 F-CPU 切换至 STOP 模式。2 S7 Distributed Safety 组件2.1 系统结构图 2-1 系统结构S7分布式故障安全系统包含满足特殊安全要求的部分硬件组件:图 2-2 硬件组件S7 分布式故障安全系统的软件组件包括以下内容：? STEP7 对 SIMA TIC 可编程控制器进行组态和编程的标准软件包? S7 Distributed Safety 对分布式故障安全系统进行组态和编程的选件包 图 2-3 软件组件使用这些选件包，用户将获得：? 支持在 STEP 7 中使用 HW Configuration 组态 F-I/O 。 ? 用于创建安全程序的、具有故

9、障安全块的 F 库 。? 支持在安全程序中创建安全程序和集成故障检测功能。3分布式系统的组态和编程3.1综述故障安全系统的组态和编程和普通的 PLC系统有所不同，不管是硬件组态, 还是程序结构，或者是编译下载，都有它的特点。总体来说，如果开始编写一个 故障安全系统的新项目，可以按照下面的图示，分五个步骤进行：在进行组态时，安装完 否则将在硬件配置里找不到图3-1 组态步骤STEP后需要再安装S7-Distributed Safety软件包,F系统硬件。3.2硬件组态步骤3.2.1组态硬件系统组态方法基本一致，根据实际的硬件配置，对这个环节与普通PLCF-CPU勺电源模板、F-DI/DO,逐一进

10、行组态。本实例以江苏联化科技 CAF系统为 实例。FEDFIBUS Cl?： DP 主站系统(1)123 CT 342-51亦亦副赢己1 Aie)cl3Bi teg101112_I 偷 CFg GO in 15EW图3-2江苏联化科技CAF系统硬件组态商（4）ir 15相对于普通CPU, F-CPU还需要如下两步配置：配置F-CPU密码保护，F-CPU的密码防止将F系统从工程系统（ES）或编 程设备（PG未经授权下载至F-CPU展蛙-CFTJ 315F-Z DP - (K0/S2)区常规 I 启动 I0时钟中斯1滙环中断I煤护等奴丽制重缸口 融漠护如 厂2:写保护厂擾式丽CPV中包含安全程序辺

11、程複式広俗测试模式dJ5 ms周期/时钟存祐務 I 保持存储器 I 中断诊断丿时钟 保护 1適讯 I F劈數I 确定 I图3-3 设置密码保护2）配置F参数，这些参数都是安全程序编辑所要用到的保留区域，通常不 用修改。值得注意的是，当点击F Parameters标签页后，会出现一个密码输入对 话框，此时需要设定一个安全程序密码（不是上边提及的F-CPI密码），安全程序 密码防止对F-CPI和F-I/O设置的组态和参数进行未授权的更改。图3-4图3-5江苏联化科技密码输入CAF系统CPU组态323 组态 F-IO我们分别介绍SM 326; AI 6 x 13 Bit M 336; DO 10 x

12、 24 VDC/2 A 模块组态为例SM 336; AI 6 x 13bit 模块的组态图 3-6 SM 336; AI 6 x 13bitSM 326 DI 24 x 24 VDC 模块的组态图 3-7 SM 326 DI 24 x 24 VDCSM 326 DO 10 x 24 VDC/2 A 模块的组态图 3-8 SM 326 DO 10 x 24 VDC/2 A模块、SM 326 DI 24 x 24 VDC 模块、模块的组态模块的组态模块的组态F系统名词解释:F目标地址：每个安全模板都会有唯一的F目标地址，该地址由系统自动分 配并保证其唯一性，通常不用修改（300F系统也不允许更改）

13、。模块DIP开关位置：通常位于安全模板的侧面和背面，位置设定对应该模 板F目标地址（该模板F目标地址的二进制编码）。如下图: 图3-9 F模块安全地址拨码钝化结果选择：当通道出现错误后，选择是出错的通道钝化或者整个模板钝 化。从S7Distributed Safety V5.4开始支持该功能，并且需要相应信号的模板支持。钝化的含义：如果F-I/O检测到故障，则将受影响的通道或所有通道切换至安全状态，即该F-I/O的通道被钝化。F-I/O通过从站诊断将检测到的故 障报告给CPU对于具有输入的F-I/O，如果发生钝化，则F系统为安全程序提供 的是故障安全值，而不是故障安全输入处未决的过程数据。对于

14、具有输出的I/O，如果发生钝化，则F系统将故障安全值（0）传送给故障安全输出，而不是安全 程序提供的输出值。传感器评估类型：?1001评估：通过一个通道将一个非冗余传感器连接至F模板。?1002评估：两个输入通道由一个双通道传感器或两个单通道传感器占用。在内部比较输入信号是对等还是非对等。传感器连接类型? Failsafe的输入方式单通道?1 00 1 evaluatio nShort circuit testAK4/SIL2/Kat.3传感器J图3-10 1001传感器输入接线双通道?1 00 2 evaluatio nShort circuit testAK6/SIL3/Kat.4传感器或

15、两个单通道传感器图3-11 1002传感器输入接线?100 2 evaluatio nShort circuit testAK6/SIL3/Kat.4Antivalent 传感器图3-12 1oo2传感器输入接线? Failsafe 的输出方式? Failsafe执行器图3-13 Failsafe 执行器接线? 继电器图3-14继电器接线差异时间：对于1002传感器信号评估，在设置的差异时间内，如果 2个 信号不一样，按照设定的替代值输入；如果差异时间已到，2个信号还不一样，输入值变为0。应关闭以下 SM 326; DO 10 X 24 VDC/2 A 模块、SM 336 Al 6 x 13

16、Bit 模 块未使用的输入或输出通道上的组诊断I3.2.4保存编译完成正确的硬件配置，保存编译通过后，系统会自动生成与硬件相关的安全程序。硬件配置编译界面编译完成后，PFB105PJOKF-sn-PFS1638F jomF-sn.pra底9P C7B1 IHSLpFEl64flF-S7Lppsi 即H7LyfsbcprioHF-STLF-sn.pm&iuF-37Lnnrif-r tfl图3-16安全程序功能块图3-15 F程序编译画面SIMATIC Man ager 显示界面：Qrf- 11124e_CTtL.l5F皿20fJO&J1pirar5 4R便t5 4KDtec每个安

17、全模板都会对应生作用很大，判断模板是否F-I/O DB来完成。系统会生成与安全相关的程序且都处于加密状态， 成一个安全数据块F-I/O DB （红色框内）。F-I/O DB 钝化以及模板故障排除后需要完成去钝，都需要通过访问324 F-I/O DB 变量在HWConfig中进行编译时，将为每个F-I/O 自动创建一个F-I/O DB 此 F-I/O DB包含可在安全程序中评估的变量，或者可以或必须说明的变量（只能 在标准用户程序中评估的 DIAG变量除外）。不能在F-I/O DB中直接更改变量 的初始值或实际值，因为F-I/ODB受知识保护。仅介绍与钝化和去钝相关的F-I/ODB 变量。变量数

18、据类型功能缺省值可以或 必须说 明的变 量PASS ONBOOL1 =启用钝化0ACK_NECBOOL1 =发生F-I/O 故障或通道故障时需要确认重新集成1ACK REIBOOL1 =确认重新集成0IP AR_ENBOOL用于故障安全DP标准从站 /标准I/O设备重新分配参数的 变量，或用于SM336; F-AI 6 x 0/4 .20mA HART启用 HART通讯的变量0可以评 估的变 量：PASS OUBOOL钝化输出*1QBADBOOL1 =输出故障安全值*1ACK REQBOOL1 =重新集成的确认要求1IP AR OKBOOL用于故障安全DP标准从站0/标准I/O设备重新分配参数

19、的 变量，或用于SM 336; F-AI 6 x0/4 . 20 mA HART 启用 HART 通讯的变量DIAGBYTE检修信息0QBAD丄XxBOOL1 =将故障安全值输出到输 入通道xx1QBAD_O_x(BOOL1 =将故障安全值输出到输 出通道xx1表3-1安全DB变量说明P ASS_QNASS_ON变量使您可以启用F-I/O 的钝化，例如，钝化为安全程 序中特殊状态的功能。在F-I/O DB 中使用PASS_ON变量，只能钝化整个F-I/O，不能进行通道级钝化。只要 PASS_ON等于1，就将钝化关联的F-I/O。ACK_NE(如果F-I/O 检测到F-I/O 故障，则将钝化相关

20、的F-I/O。如果 检测到通道故障，且已组态通道级钝化，则将钝化相关通道。如果已组态整个F-I/O的钝化，则将钝化相关F-I/O 的所有通道。一旦消除F-I/O故障或通 道故障，将根据ACK_NEC重新集成相关F-I/O : ACK_NE(= 0时，可以编写自 动重新集成程序。ACK_NEC = 1时，可以通过用户确认编写重新集成程序。ACK_REI当F系统检测到通讯错误或 F-I/O 的F-I/O 故障时，将钝化相 关F-I/O。如果组态了通道级钝化，当检测到通道故障时将钝化相关通道。如果组态了钝化整个F-I/O，将钝化相应F-I/O的所有通道。消除故障后，要重 新集成 F-I/O/F-I/

21、O的通道，要求在以下情况下使用F-I/ODB的变量ACK_REI的上升沿执行用户确认：每个通讯错误后 ACK_NEC = 1的情况下发生F-I/O 故障或通道故障后通道故障后的重新集成将重新集成所有已清除故障的通道。仅在1时才可能确认。在安全程序中，必须通过ACK_REI为每个F-I/OACK_REC=提供用户确认。组态通道级钝化，QBAD丄XX和 F-I/O 的钝化，则PASS_OUT/QBAD/QBAD_l_xx/QBAD_O_X果已为 F-I/O 则PASS_OUT = 1和QBAD = 1表示至少已钝化一个通道。 QBAD_O_x表示被钝化的输入和输出通道。如果已组态整个 变量PASS

22、_OUT = 1和QBAD = 1表示已钝化整个 FI/O。使用故障安全值 0代 替关联的F-I/O 或F-I/O 的单个通道的过程数据后，F系统将把PASS_OUT QBAD QBQD_I_xx和QBAD_O_xx设置为1。但是，如果您通过将 PASS_ON设置 为1来启用钝化，则仅将 QBAD QBAD_I_xx和QBAD_O_x设置为1。如果使 用P ASS_ON = 1启用钝化，P ASS_OU将不更改数值。因此，P ASS_OU可以用 于其它F-I/O 的组钝化。ACK_REQ当F系统检测到通讯错误或 F-I/O 的F-I/O 故障或通道故障 时，将钝化相关F-I/O 或FI/O 的

23、单个通道。ACK_RE(= 1表示重新集成相关 F-I/O或F-I/O 的通道需要用户确认。一旦消除故障后，F系统将立即把ACK_REQa置为1，从而可以执行用户确认。对于通道级钝化，一旦修正通道故障，F系统会立即将ACK_REQ设置为1。可对此故障执行用户确认。确认完成后，F系统将把ACK_REQ复位为0。一个安全程序由一个或两个F运行组组成。安全程序包括以下组件：由用尸创建或从 F 库（例如Distributed Safety F 库V1）中 选择的F块。下图显示了 S7 Distributed Safety图 3-17自动添加的F块（F-SB、自动生成的F块和F共享DB） 安全程序的示意

24、图结构。安全程序结构图安全程序中的一个F运行组包括: 调用块（分配给 F-CALL 的 F-FB/F-FC）S7 Distributed Safety一个 F-CALL F一个F程序块使用F-FBD或F-LAD编程的附加F-FB或F-FC （如果需要） 一个或多个F-DB （如果需要）？ F-I/O DBDistributed Safety F库（V1）的 F 块来自自定义F库的F块F系统块？自动生成的F块1）进入安全程序编译界面在 SIMATIC Manager 主界面下，点击菜单 Options>Edit Safety Program 或者直接点击工具栏中图标，启动安全程序编译界面。

25、心茫打IC "# ICAJ；H注»玄|瀝或化CAIU匸程说讣垃”打D 評F1 單 CJ4>=11 CAJ- 團 CPir ii5T-2 zffi lu iSdCfl=T |；Cf :Ai-5羽範呂爺口 QE】aOE35OUHJU ciuwe 口 mm 口OEIOO巨也迪.进前U护埋更 iiHSQPCul+M 计E口QE】EIQnti2? fjrFias flTEieaa0H詐 pmnti pmau prti&uam5 卑="小恠L祺块为agj£4it昭®in3 KJE*r?空TVbill沁IMT ijk5图3-18编辑安全程序卫丰

26、庠（1丘示TftS逵E工.，?初吝讲吉主亦11）2） 创建 Failsafe Run time Group上一步创建完的FB1不能直接在标准用户程序中被调用，需要创建一个对 应的F-CALL调用块和I-DB。如下图：FC1、DB1点击“ OK后，它们会有系 统自动生成并且处于加密状态，不能由用户进行编辑。I 口 nJ.ir,« IOShot:2CoO-LcLivh 匸丄口i/aAy ol 丄 T-blocta vxtA r-'St.-Lri'i-u.Liia for _tg L CfllLk-eviwi*1 kliu eaTuL”Cu J-a»iFpi3£?JCl- LQ-L L3； XT :Th* 斗卢* V* pb- d un iJ-"h二 c-