SiemensS7300F系统.docx

1、SiemensS7300F系统SIMATIC S7-300F安全系统应用总结1 故障安全系统概述1.1 什么是故障安全自动化系统安全自动化系统（F 系统）用于控制可以在关闭后立即达到安全状态的过程。即在F系统控制过程中立即关闭过程不会对人员或环境造成危害。故障安全系统超越了常规安全工程，启用了全部扩展至电子驱动和测量系统的远程智能系统。F 系统用于具有高级安全要求的系统。通过详细的诊断信息，F 系统中改进的故障检测和本地化操作允许在生产出现安全相关的中断后快速恢复生产。所谓故障安全自动化系统必须满足下面特征：当我们用一组自动化装置构造一个自动化系统，此系统可以实现一组故障安全保护功能。当其中一

2、个或多个自动化装置发生故障的时候，此系统仍然能够保持安全功能不丢失。1.2 西门子安全集成的概念安全集成是西门子用于自动化和驱动的集成安全概念。将自动化工程的成功技术和系统用于安全工程。安全集成覆盖从传感器和执行器下至控制器的整个系列，包括标准现场总线上安全相关的通讯。除驱动器和控制器的功能任务外，它们还参与安全任务。安全集成的一个特别功能是，它不仅确保可靠的安全性，还确保了高度灵活性和高生产率。将安全工程集成至标准自动化标准的优点: 具有集成故障安全工程的自动化系统比电子机械解决方案更灵活。 集成使接线解决方案更简便。 由于使用标准工程工具进行组态和编程，因此集成所需的工程量更少。 由于可以

3、与 CPU 中的标准部分一起执行程序中的安全相关的部分，因此仅需要一CPU。 安全相关的组件和标准程序组件之间的通讯十分简单。1.3 SIMATIC S7 中的故障安全系统1.3.1 SIMATIC S7 自动化系统提供两种故障安全系统 S7 分布式故障安全控制系统用于实现人身和设备的保护（例如机械设备和生产装置的急停保护）和过程控制工业（例如测量和保护设备，加热炉的保护功能） 故障安全和容错 S7 F/FH系统容错的S7 F/FH系统适用于过程控制工业和石油工业的自动化工厂。为了增加自动化系统的可用性，防止由于F系统的错误导致的过程失败，S7 F系统可以选配冗余部分(S7 FH 系统)。通过

4、部件冗余（例如电源部分、处理器部分、通讯部分和输入输出部分）增加系统可用性。1.3.2 可实现的安全要求S7 Distributed Safety 和 S7 F/FH Systems F 系统可以满足以下安全要求： 符合 IEC 61508 规定的安全等级（安全集成等级）SIL1 至 SIL3 符合 EN 954-1 规定的类别 2 至类别 41.3.3 S7 Distributed Safety 和 S7 F/FH Systems 中的安全功能原理功能安全主要是通过软件中的安全功能实现的。在发生危险事件时 S7 Distributed Safety或 S7 F/FH Systems 执行安全

5、功能以恢复或维护系统的安全状态。安全功能主要包含在以下组件中： 故障安全 CPU（F-CPU）中的安全相关的用户程序（安全程序） 故障安全输入和输出（F-I/O）F-I/O 确保现场信息的安全处理（急停按钮、光栅和电机控制）。它们具有安全处理所需的所有硬件和软件组件，符合要求的安全等级。用户仅对用户安全功能进行编程。可以通过用户安全功能或故障响应功能提供该过程的安全功能。出现故障时，如果 F 系统无法再执行其实际用户安全功能，则将执行故障响应功能，例如，取消激活关联输出，以及在必要时将 F-CPU 切换至 STOP 模式。2 S7 Distributed Safety组件2.1 系统结构图2-

6、1 系统结构S7分布式故障安全系统包含满足特殊安全要求的部分硬件组件：图2-2 硬件组件S7 分布式故障安全系统的软件组件包括以下内容： STEP7 对SIMATIC可编程控制器进行组态和编程的标准软件包 S7 Distributed Safety 对分布式故障安全系统进行组态和编程的选件包图2-3 软件组件使用这些选件包，用户将获得： 支持在 STEP 7 中使用 HW Configuration 组态 F-I/O。 用于创建安全程序的、具有故障安全块的 F 库 。 支持在安全程序中创建安全程序和集成故障检测功能。3 分布式系统的组态和编程3.1 综述故障安全系统的组态和编程和普通的 PLC

7、 系统有所不同，不管是硬件组态，还是程序结构，或者是编译下载，都有它的特点。总体来说，如果开始编写一个故障安全系统的新项目，可以按照下面的图示，分五个步骤进行:图3-1 组态步骤在进行组态时，安装完STEP7后需要再安装S7-Distributed Safety软件包，否则将在硬件配置里找不到F系统硬件。3.2 硬件组态步骤3.2.1 组态硬件这个环节与普通 PLC 系统组态方法基本一致，根据实际的硬件配置，对 F-CPU的电源模板、F-DI/DO，逐一进行组态。本实例以江苏联化科技CAF系统为实例。图3-2 江苏联化科技CAF系统硬件组态3.2.2组态CPU相对于普通 CPU，F-CPU 还

8、需要如下两步配置：配置 F-CPU 密码保护，F-CPU 的密码防止将 F 系统从工程系统（ES）或编程设备（PG）XX下载至F-CPU。 图3-3 设置密码保护2)配置 F 参数，这些参数都是安全程序编辑所要用到的保留区域，通常不用修改。值得注意的是，当点击F Parameters标签页后，会出现一个密码输入对话框，此时需要设定一个安全程序密码（不是上边提及的F-CPU密码），安全程序密码防止对F-CPU和F-I/O设置的组态和参数进行未授权的更改。图3-4 密码输入 图3-5 江苏联化科技CAF系统CPU组态3.2.3 组态 F-IO我们分别介绍SM 326; AI 6 x 13 Bit模

9、块、SM 326 DI 24 x 24 VDC模块、M 336; DO 10 x 24 VDC/2 A模块组态为例SM 336; AI 6 x 13bit 模块的组态图3-6 SM 336; AI 6 x 13bit 模块的组态SM 326 DI 24 x 24 VDC模块的组态图3-7 SM 326 DI 24 x 24 VDC模块的组态SM 326 DO 10 x 24 VDC/2 A模块的组态图3-8 SM 326 DO 10 x 24 VDC/2 A模块的组态F系统名词解释：F目标地址：每个安全模板都会有唯一的F 目标地址，该地址由系统自动分配并保证其唯一性，通常不用修改（300F系统

10、也不允许更改）。模块 DIP 开关位置：通常位于安全模板的侧面和背面，位置设定对应该模板 F 目标地址（该模板 F 目标地址的二进制编码）。如下图: 图3-9 F模块安全地址拨码 钝化结果选择：当通道出现错误后，选择是出错的通道钝化或者整个模板钝化。从S7Distributed Safety V5.4开始支持该功能，并且需要相应信号的模板支持。钝化的含义：如果 F-I/O 检测到故障，则将受影响的通道或所有通道切换至安全状态，即该F-I/O的通道被钝化。F-I/O 通过从站诊断将检测到的故障报告给CPU。对于具有输入的F-I/O，如果发生钝化，则F 系统为安全程序提供的是故障安全值，而不是故障

11、安全输入处未决的过程数据。对于具有输出的I/O，如果发生钝化，则F 系统将故障安全值（0）传送给故障安全输出，而不是安全程序提供的输出值。传感器评估类型： 1oo1评估：通过一个通道将一个非冗余传感器连接至F模板。 1oo2评估：两个输入通道由一个双通道传感器或两个单通道传感器占用。在内部比较输入信号是对等还是非对等。传感器连接类型 Failsafe 的输入方式 1 oo 1 evaluationShort circuit testAK4/SIL2/Kat.3单通道传感器 图3-10 1oo1传感器输入接线 1 oo 2 evaluationShort circuit testAK6/SIL3

12、/Kat.4 双通道传感器或两个单通道传感器 图3-11 1oo2传感器输入接线 1 oo 2 evaluationShort circuit testAK6/SIL3/Kat.4 Antivalent传感器图3-12 1oo2传感器输入接线 Failsafe 的输出方式 Failsafe执行器图3-13 Failsafe执行器接线 继电器 图3-14继电器接线差异时间：对于 1oo2 传感器信号评估，在设置的差异时间内，如果 2 个信号不一样，按照设定的替代值输入；如果差异时间已到，2 个信号还不一样，输入值变为 0。应关闭以下 SM 326; DO 10 x 24 VDC/2 A模块、SM

13、 336；AI 6 x 13 Bit模块未使用的输入或输出通道上的组诊断3.2.4 保存编译完成正确的硬件配置，保存编译通过后，系统会自动生成与硬件相关的安全程序。硬件配置编译界面图3-15 F程序编译画面编译完成后，SIMATIC Manager 显示界面：图3-16 安全程序功能块系统会生成与安全相关的程序且都处于加密状态，每个安全模板都会对应生成一个安全数据块 F-I/O DB（红色框内）。F-I/O DB 作用很大，判断模板是否钝化以及模板故障排除后需要完成去钝，都需要通过访问 F-I/O DB来完成。3.2.4 F-I/O DB 变量在 HW Config 中进行编译时，将为每个 F

14、-I/O 自动创建一个 F-I/O DB。 此 F-I/O DB 包含可在安全程序中评估的变量，或者可以或必须说明的变量（只能在标准用户程序中评估的 DIAG 变量除外）。 不能在 F-I/O DB 中直接更改变量的初始值或实际值，因为 F-I/ODB 受知识保护。仅介绍与钝化和去钝相关的F-I/ODB变量。变量数据类型功能缺省值可以或必须说明的变量PASS_ONBOOL1 = 启用钝化0ACK_NECBOOL1 = 发生 F-I/O 故障或通道故障时需要确认重新集成1ACK_REIBOOL1 = 确认重新集成0IPAR_ENBOOL用于故障安全 DP 标准从站/标准I/O 设备重新分配参数的

15、变量，或用于SM 336; F-AI 6 x 0/4 . 20 mA HART 启用 HART 通讯的变量0可以评估的变量：PASS_OUTBOOL钝化输出*1QBADBOOL1 = 输出故障安全值*1ACK_REQBOOL1 = 重新集成的确认要求1IPAR_OKBOOL用于故障安全 DP 标准从站/标准I/O 设备重新分配参数的变量，或用于SM 336; F-AI 6 x 0/4 . 20 mA HART 启用 HART 通讯的变量0DIAGBYTE检修信息0QBAD_I_xxBOOL1 = 将故障安全值输出到输入通道xx1QBAD_O_xxBOOL1 = 将故障安全值输出到输出通道xx1

16、表3-1 安全DB变量说明PASS_ON:PASS_ON 变量使您可以启用 F-I/O 的钝化，例如，钝化为安全程序中特殊状态的功能。在 F-I/O DB 中使用 PASS_ON 变量，只能钝化整个 F-I/O，不能进行通道级钝化。只要 PASS_ON 等于 1，就将钝化关联的 F-I/O。ACK_NEC:如果 F-I/O 检测到 F-I/O 故障，则将钝化相关的 F-I/O。 如果检测到通道故障，且已组态通道级钝化，则将钝化相关通道。 如果已组态整个 F-I/O 的钝化，则将钝化相关 F-I/O 的所有通道。 一旦消除 F-I/O 故障或通道故障，将根据 ACK_NEC 重新集成相关 F-I

17、/O： ACK_NEC = 0 时，可以编写自动重新集成程序。ACK_NEC = 1 时，可以通过用户确认编写重新集成程序。ACK_REI:当 F 系统检测到通讯错误或 F-I/O 的 F-I/O 故障时，将钝化相关 F-I/O。 如果组态了通道级钝化，当检测到通道故障时将钝化相关通道。 如果组态了钝化整个 F-I/O，将钝化相应F-I/O 的所有通道。 消除故障后，要重新集成 F-I/O/F-I/O 的通道，要求在以下情况下使用 F-I/O DB 的变量 ACK_REI 的上升沿执行用户确认： 每个通讯错误后 ACK_NEC = 1 的情况下发生 F-I/O 故障或通道故障后通道故障后的重新

18、集成将重新集成所有已清除故障的通道。仅在 ACK_REQ = 1 时才可能确认。在安全程序中，必须通过 ACK_REI 为每个 F-I/O 提供用户确认。PASS_OUT/QBAD/QBAD_I_xx/QBAD_O_xx:如果已为 F-I/O 组态通道级钝化，则 PASS_OUT = 1 和 QBAD = 1 表示至少已钝化一个通道。 QBAD_I_xx 和 QBAD_O_xx 表示被钝化的输入和输出通道。如果已组态整个 F-I/O 的钝化，则变量 PASS_OUT = 1 和 QBAD = 1 表示已钝化整个 FI/O。使用故障安全值 0 代替关联的 F-I/O 或 F-I/O 的单个通道的

19、过程数据后，F 系统将把PASS_OUT、QBAD、QBQD_I_xx 和 QBAD_O_xx 设置为 1。但是，如果您通过将 PASS_ON 设置为 1 来启用钝化，则仅将 QBAD、QBAD_I_xx 和QBAD_O_xx 设置为 1。 如果使用 PASS_ON = 1 启用钝化，PASS_OUT 将不更改数值。因此，PASS_OUT 可以用于其它 F-I/O 的组钝化。ACK_REQ：当 F 系统检测到通讯错误或 F-I/O 的 F-I/O 故障或通道故障时，将钝化相关 F-I/O 或 FI/O 的单个通道。 ACK_REQ = 1 表示重新集成相关 F-I/O 或 F-I/O 的通道需

20、要用户确认。一旦消除故障后，F 系统将立即把 ACK_REQ 设置为 1，从而可以执行用户确认。 对于通道级钝化，一旦修正通道故障，F 系统会立即将 ACK_REQ 设置为 1。 可对此故障执行用户确认。 确认完成后，F 系统将把 ACK_REQ 复位为 0。3.2.5程序结构一个安全程序由一个或两个 F 运行组组成。安全程序包括以下组件： 由用户创建或从 F 库（例如 Distributed Safety F 库 V1）中选择的 F 块。 自动添加的 F 块（F-SB、自动生成的 F 块和 F 共享 DB）下图显示了 S7 Distributed Safety 安全程序的示意图结构。图3-1

21、7 安全程序结构图S7 Distributed Safety 安全程序中的一个 F 运行组包括： 一个 F-CALL F 调用块 一个 F 程序块（分配给 F-CALL 的 F-FB/F-FC） 使用 F-FBD 或 F-LAD 编程的附加 F-FB 或 F-FC（如果需要） 一个或多个 F-DB（如果需要） F-I/O DB Distributed Safety F 库（V1）的 F 块 来自自定义 F 库的 F 块 F 系统块 自动生成的 F 块3.2.6创建 Failsafe Runtime Group1）进入安全程序编译界面在 SIMATIC Manager 主界面下，点击菜单 Opt

22、ionsEdit Safety Program，或者直接点击工具栏中图标，启动安全程序编译界面。图3-18 编辑安全程序2）创建 Failsafe Runtime Group 上一步创建完的 FB1 不能直接在标准用户程序中被调用，需要创建一个对应的 F-CALL 调用块和 I-DB。如下图：FC1、DB1。点击“OK”后，它们会有系统自动生成并且处于加密状态，不能由用户进行编辑。图3-19 创建安全组3.2.7 编译下载 Failsafe 程序点击 Safety 编译窗体中的 Compile，编译 Failsafe 程序；然后点击 Download 下载，这里需要注意： 硬件组态应该首先下载

23、； 如果修改了硬件组态中 CPU、F-I/O 模块的有关参数，或者修改了 Failsafe 程序中的F块，就应重新编译并下载 Safety 程序； 普通用户程序可以及时修改、编写，对 Failsafe 程序的版本号 signature 没有影响。 4 应用中问题处理 对于300F系统工作在安全模式下安全模块会出现SF灯亮报模块丢失通讯的故障，这是因为没有安全组使用其I/O通道造成的。 安全程序需要单独下载且安全系统自带的程序较大建议对系统使用较大的存储卡 对于较复杂的程序要使用高级别的安全系统300FCPU安全组调用程序块的个数是有限制的手册上没有明确说明单如果安全程序调用的快较多最好多设置安全组否则编译不过去。 安全程序不支持浮点数据类型，如果用户程序与安全程序需要数据交换只能使用M区作为中间置换区。 在安全程序内非安全地址只能是只读或只写的操作模式 安全系统不支持比较后再运算的能流运算模式