Sicherheitstechnik in SIMATIC S7 SIMATIC. Industrie Software Sicherheitstechnik in SIMATIC S7. Vorwort. Übersicht zu fehlersicheren Systemen

Transkript

1 Vorwort Übersicht zu fehlersicheren Systemen 1 SIMATIC Industrie Software Systemhandbuch Konfigurationen und Auswahlhilfe 2 Kommunikations- möglichkeiten 3 Sicherheit in F-Systemen 4 Erreichbare Sicherheitsklassen mit 5 F-Peripherie Projektieren von F-Systemen 6 Programmieren von F- Systemen 7 Überwachungs- und Reaktionszeiten der A F-Systeme 07/2013 A5E

2 Rechtliche Hinweise Warnhinweiskonzept Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt. GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. WARNUNG bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. ACHTUNG bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein. Qualifiziertes Personal Das zu dieser Dokumentation zugehörige Produkt/System darf nur von für die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung befähigt, im Umgang mit diesen Produkten/Systemen Risiken zu erkennen und mögliche Gefährdungen zu vermeiden. Bestimmungsgemäßer Gebrauch von Siemens-Produkten Beachten Sie Folgendes: Marken WARNUNG Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und Instandhaltung voraus. Die zulässigen Umgebungsbedingungen müssen eingehalten werden. Hinweise in den zugehörigen Dokumentationen müssen beachtet werden. Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann. Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten. Siemens AG Industry Sector Postfach NÜRNBERG DEUTSCHLAND A5E P 07/2013 Änderungen vorbehalten Copyright Siemens AG Alle Rechte vorbehalten

3 Vorwort Zweck des Systemhandbuchs Das vorliegende Systemhandbuch vermittelt einen Überblick über die fehlersicheren Automatisierungssysteme S7 Distributed Safety und S7 F/FH Systems. Es zeigt Gemeinsamkeiten und Unterschiede zwischen S7 Distributed Safety und S7 F/FH Systems auf und enthält technische Detailinformationen, die sich für S7 Distributed Safety und S7 F/FH Systems zusammengefasst darstellen lassen. Das Systemhandbuch hilft bei der Entscheidung, welches fehlersichere System für die Realisierung der Automatisierungsaufgabe das optimale System ist. Es richtet sich an Entscheidungsträger zur Erstinformation und an Service- und Inbetriebsetzungspersonal zur Information über technische Details der fehlersicheren Automatisierungssysteme S7 Distributed Safety und S7 F/FH Systems. Z. B. wird im Anhang auf die Überwachungsund Reaktionszeiten von S7 Distributed Safety und S7 F/FH Systems eingegangen. Gültigkeitsbereich des Systemhandbuchs Das Systemhandbuch ist gültig für die fehlersicheren Systeme S7 Distributed Safety und S7 F/FH Systems. Außerdem wird die Einbindung der folgenden fehlersicheren Peripherie in S7 Distributed Safety und S7 F/FH Systems betrachtet: fehlersichere Signalbaugruppen S7-300 fehlersichere Module ET 200S fehlersichere Module ET 200pro fehlersicheres Peripheriemodul ET 200eco fehlersichere DP-Normslaves/fehlersichere IO-Normdevices/fehlersichere PA-Feldgeräte Das Systemhandbuch beschreibt den aktuellen Stand der Produkte in 03/2008. Informationen in aktuelleren Dokumentationen zu den Produkten sind in Zweifelsfällen den Informationen dieses Systemhandbuchs übergeordnet. Systemhandbuch, 07/2013, A5E

4 Vorwort Änderungen gegenüber der Vorgängerversion In der folgenden Tabelle finden Sie die wichtigsten technischen Änderungen, die in den Optionspaketen S7 Distributed Safety V 5.4 SP4 und S7 F Systems V 6.0 enthalten sind und im vorliegenden Systemhandbuch berücksichtigt wurden. Technische Änderung Änderung betrifft S7 Distributed Safety S7 F/FH Systems Unterstützung von neuen F-CPUs x x Unterstützung von neuer F-Peripherie für S7-300, ET 200M, ET 200S und ET 200pro x x Unterstützung von fehlersicheren PA-Feldgeräten - x Kommunikation zwischen F-Abschaltgruppen - x Sicherheitsgerichtete IO-Controller-IO-Controller-Kommunikation x - Sicherheitsgerichtete Kommunikation zwischen S7 Distributed Safety und S7 F/FH Systems F-Peripheriezugriff und sicherheitsgerichtete Kommunikation über WLAN nach IEEE x x x x Neue F-Bibliotheksbausteine x x 4 Systemhandbuch, 07/2013, A5E

5 Vorwort Einordnung in die Informationslandschaft Für die Arbeit mit S7 Distributed Safety bzw. S7 F/FH Systems benötigen Sie je nach Anwendungsfall zusätzliche, nachfolgend aufgeführte Dokumentationen. Im vorliegenden Systemhandbuch wird an geeigneten Stellen auf diese Dokumentationen verwiesen. Dokumentation für das F-System S7 F/FH Systems Relevante Inhalte in Kurzform Das Programmier- und Bedienhandbuch "S7 F/FH Systems, Projektieren und Programmieren" ( beschreibt: die Projektierung der F-CPU und der F-Peripherie die Programmierung der F-CPU in CFC Das Installationshandbuch "Automatisierungssystem S7-400, Aufbauen" ( beschreibt die Montage und Verdrahtung von Systemen S Das Handbuch "Automatisierungssystem S7-400H, Hochverfügbare Systeme" ( de) beschreibt die Zentralbaugruppen CPU 41x-H und die auszuführenden Aufgaben, um ein hochverfügbares System S7-400H zu erstellen und in Betrieb zu nehmen. Das Handbuch/die Online-Hilfe "CFC für S7 Continuous Function Chart" ( beschreibt die Programmierung mit CFC. Das Projektierungshandbuch/die Online-Hilfe "Safety Matrix" ( beschreibt die Erstellung von Sicherheitsprogrammen für F-Systeme S7 F/FH Systems mittels Cause-Effect-Matrix. Systemhandbuch, 07/2013, A5E

6 Vorwort Dokumentation für das F-System S7 Distributed Safety Relevante Inhalte in Kurzform Das Programmier- und Bedienhandbuch/die Online-Hilfe "S7 Distributed Safety, Projektieren und Programmieren" ( beschreibt: die Projektierung der F-CPU und der F-Peripherie die Programmierung der F-CPU in F-FUP bzw. F-KOP In Abhängigkeit von der eingesetzten F-CPU benötigen Sie folgende Dokumentationen: Die Betriebsanleitung "S7-300, CPU 31xC und CPU 31x: Aufbauen" ( beschreibt die Montage und Verdrahtung von Systemen S Das Gerätehandbuch "CPU 31xC und CPU 31x, Technische Daten" ( beschreibt die CPUs DP und PN/DP und die CPU DP und PN/DP. Das Installationshandbuch "Automatisierungssystem S7-400, Aufbauen" ( beschreibt die Montage und Verdrahtung von Systemen S Das Referenzhandbuch "Automatisierungssystem S7-400, CPU- Daten" ( beschreibt die CPU und CPU 416F-3 PN/DP). Das Handbuch "ET 200S, Interfacemodul IM CPU" ( beschreibt die IM CPU. Das Handbuch "ET 200S, Interfacemodul IM PN/DP CPU" ( beschreibt die IM PN/DP CPU. Für jede einsetzbare F-CPU gibt es eine eigene Produktinformation. Die Produktinformationen beschreiben nur die Abweichungen zu den entsprechenden Standard-CPUs. 6 Systemhandbuch, 07/2013, A5E

7 Vorwort Dokumentation Montage- und Bedienhandbuch "Automatisierungssystem S7-300, Dezentrales Peripheriegerät ET 200M, Fehlersichere Signalbaugruppen" ( mens.com/ww/view/de/ ) Betriebsanleitung "Dezentrales Peripheriesystem ET 200S, Fehlersichere Module" ( mens.com/ww/view/de/ ) Betriebsanleitung "Dezentrales Peripheriesystem ET 200pro, Fehlersichere Module" ( mens.com/ww/view/de/ ) Handbuch "Dezentrales Peripheriegerät ET 200eco, Fehlersicheres Peripheriemodul" ( mens.com/ww/view/de/ ) Relevante Inhalte in Kurzform beschreibt die Hardware der fehlersicheren Signalbaugruppen in S7-300 (u. a. Aufbau, Verdrahtung und Technische Daten) beschreibt die Hardware der fehlersicheren Module ET 200S (u. a. Aufbau, Verdrahtung und Technische Daten) beschreibt die Hardware der fehlersicheren Module ET 200pro (u. a. Aufbau, Verdrahtung und Technische Daten) beschreibt die Hardware des fehlersicheren Peripheriemoduls ET 200eco (u. a. Aufbau, Verdrahten und Technische Daten) STEP 7-Handbücher Das Handbuch "Hardware konfigurieren und Verbindungen projektieren mit STEP 7 V5.x" ( beschreibt die Bedienung der entsprechenden Standard-Tools von STEP 7. Das Handbuch "KOP für S7-300/400" ( beschreibt die Standard-Programmiersprache KOP in STEP 7. Das Handbuch "FUP für S7-300/400" ( beschreibt die Standard-Programmiersprache FUP in STEP 7. Das Referenzhandbuch "Systemsoftware für S7-300/400 System- und Standardfunktionen" ( beschreibt Funktionen für Zugriff/Diagnose der dezentralen Peripherie/CPU. Das Handbuch "Programmieren mit STEP 7 V5.x" ( beschreibt die Vorgehensweise zum Programmieren mit STEP 7. Systemhandbuch, 07/2013, A5E

8 Vorwort Dokumentation Relevante Inhalte in Kurzform STEP 7-Onlinehilfe beschreibt die Bedienung der Standard-Tools von STEP 7 enthält Informationen zum Konfigurieren und Parametrieren von Baugruppen und intelligenten Slaves mit HW Konfig enthält die Beschreibung der Programmiersprachen FUP und KOP Systemhandbuch "PROFINET Systembeschreibung" ( mens.com/ww/view/de/ ) beschreibt die Grundlagen von PROFINET IO PCS 7-Handbücher beschreiben die Handhabung des Leitsystems PCS 7 (notwendig, wenn F-System in ein übergeordnetes Leitsystem eingebunden wird) Die gesamte SIMATIC S7-Dokumentation können Sie auf CD-ROM beziehen. Wegweiser Im Systemhandbuch werden folgende Themen behandelt: Überblick, was fehlersichere Automatisierungssysteme allgemein und innerhalb der SIMATIC S7 sind Gegenüberstellung von Leistungsmerkmalen von S7 Distributed Safety und S7 F/FH Systems Darstellung der verschiedenen Aufbauvarianten von S7 Distributed Safety und S7 F/FH Systems Entscheidungshilfe, für welche Anforderungen stellt welches der F-Systeme die beste Lösung dar Gegenüberstellung der Kommunikationsmöglichkeiten in S7 Distributed Safety und S7 F/FH Systems - was ist gleich, was ist anders Überblick zu den Sicherheitsmechanismen in S7 Distributed Safety und S7 F/FH Systems, die für den Anwender sichtbar werden Normen, auf denen die F-Systeme S7 Distributed Safety und S7 F/FH Systems basieren Überblick zur Projektierung von S7 Distributed Safety und S7 F/FH Systems Überblick zur Programmierung von S7 Distributed Safety und S7 F/FH Systems Die Themen "Projektierung" und "Programmierung" werden vertieft im jeweiligen Handbuch zur Projektierung und Programmierung von S7 Distributed Safety bzw. S7 F/FH Systems. Projektierung der F-spezifischen Überwachungszeiten für die F-Systeme Berechnung der maximalen Reaktionszeit einer Sicherheitsfunktion in S7 Distributed Safety und S7 F/FH Systems 8 Systemhandbuch, 07/2013, A5E

9 Vorwort Konventionen Im vorliegenden Systemhandbuch werden die Begriffe "Sicherheitstechnik" und "F-Technik" synonym verwendet. Genauso wird mit den Begriffen "fehlersicher" und "F-" verfahren. "Sicherheitsprogramm" bezeichnet den fehlersicheren Teil des Anwenderprogramms und wird anstelle von "fehlersicheres Anwenderprogramm", "F-Programm", etc. verwendet. "S7 Distributed Safety" und "S7 F Systems" in kursiver Schreibweise bezeichnen die Optionspakete für die beiden F-Systeme "S7 Distributed Safety" und "S7 F/FH Systems". Weitere Unterstützung Bei Fragen zur Nutzung der im Handbuch beschriebenen Produkte, die Sie hier nicht beantwortet finden, wenden Sie sich bitte an Ihren Siemens-Ansprechpartner in den für Sie zuständigen Vertretungen und Geschäftsstellen. Ihren Ansprechpartner finden Sie im Internet ( Den Wegweiser zum Angebot an technischen Dokumentationen für die einzelnen SIMATIC- Produkte und Systeme finden Sie im Internet ( Den Online-Katalog und das Online-Bestellsystem finden Sie im Internet ( Trainingscenter Um Ihnen den Einstieg in das Automatisierungssystem S7 zu erleichtern, bieten wir entsprechende Kurse an. Wenden Sie sich an Ihr regionales Trainingscenter oder an das zentrale Trainingscenter in D Nürnberg. Weitere Informationen erhalten Sie im Internet ( H/F Competence Center Zu den Themen fehlersichere und hochverfügbare Automatisierungssysteme SIMATIC S7 bietet das H/F Competence Center in Nürnberg spezielle Workshops an. Außerdem hilft Ihnen das H/F Competence Center bei der Projektierung, bei der Inbetriebsetzung und bei Problemen vor Ort. Anfragen zu Workshops usw.: hf-cc.aud@siemens.com Technical Support Sie erreichen den Technical Support für alle A&D-Produkte über das Web-Formular ( für den Support Request. Weitere Informationen zu unserem Technical Support finden Sie im Internet ( Systemhandbuch, 07/2013, A5E

10 Vorwort Service & Support im Internet Zusätzlich zu unserem Dokumentationsangebot bieten wir Ihnen im Internet ( unser komplettes Wissen online an. Dort finden Sie: den Newsletter, der Sie ständig mit den aktuellsten Informationen zu Ihren Produkten versorgt. die für Sie richtigen Dokumente über unsere Suche in Service & Support. ein Forum in welchem Anwender und Spezialisten weltweit Erfahrungen austauschen. Ihren Ansprechpartner für Automation & Drives vor Ort über unsere Ansprechpartner- Datenbank. Informationen über Vor-Ort Service, Reparaturen, Ersatzteile und vieles mehr. Wichtiger Hinweis für die Erhaltung der Betriebssicherheit Ihrer Anlage Hinweis Anlagen mit sicherheitsgerichteten Ausprägungen unterliegen seitens des Betreibers besonderen Anforderungen an die Betriebssicherheit. Auch der Zulieferer ist gehalten, bei der Produktbeobachtung besondere Maßnahmen einzuhalten. Wir informieren daher in einem speziellen Newsletter über Produktentwicklungen und -eigenschaften, die für den Betrieb von Anlagen unter Sicherheitsaspekten wichtig sind oder sein können. Damit Sie auch in dieser Beziehung immer auf dem neuesten Stand sind und ggf. Änderungen an Ihrer Anlage vornehmen können, müssen Sie den entsprechenden Newsletter abonnieren. Gehen Sie dazu ins Internet ( DIR&subjectID=2). Melden Sie sich dort für folgende Newsletter an: SIMATIC S7-300/S7-300F SIMATIC S7-400/S7-400H/S7-400F/FH Dezentrale Peripherie SIMATIC Industrie Software Aktivieren Sie bei diesen Newslettern jeweils das Kästchen "Aktuell". 10 Systemhandbuch, 07/2013, A5E

11 Inhaltsverzeichnis Vorwort Übersicht zu fehlersicheren Systemen Einleitung Safety Integrated - das ganzheitliche Sicherheitskonzept der Fa. Siemens Fehlersichere Systeme in SIMATIC S Einsatzbereiche von S7 Distributed Safety und S7 F/FH Systems Leistungsmerkmale von S7 Distributed Safety und S7 F/FH Systems Komponenten von S7 Distributed Safety und S7 F/FH Systems Hardware-Komponenten Software-Komponenten Wegweiser zum Arbeiten mit F-Systemen Konfigurationen und Auswahlhilfe Einleitung Aufbau der F-Systeme Fehlersicheres System S7 Distributed Safety Fehlersicheres System S7 F Systems Fehlersicheres und hochverfügbares System S7 FH Systems Koexistenz von Standard- und fehlersicheren Komponenten Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit Einkanalige Peripherie (S7 Distributed Safety) Einkanalige Peripherie (S7 F Systems) Einkanalig geschaltete Peripherie (nur S7 FH Systems) Redundant geschaltete Peripherie (nur S7 FH Systems) S7 Distributed Safety oder S7 F/FH Systems eine Auswahlhilfe Kommunikationsmöglichkeiten Einleitung Sicherheitsgerichtete Kommunikation im Überblick Kommunikation zwischen Standard-Anwenderprogramm und Sicherheitsprogramm Kommunikation zwischen Standard-Anwenderprogramm und Sicherheitsprogramm in S7 Distributed Safety Kommunikation zwischen Standard-Anwenderprogramm und Sicherheitsprogramm in S7 F/FH Systems Kommunikation zwischen F-Ablaufgruppen bzw. F-Abschaltgruppen Kommunikation zwischen F-CPU und F-Peripherie Sicherheitsgerichtete Kommunikation F-Peripheriezugriff in S7 Distributed Safety Sicherheitsgerichtete I-Slave-Slave-Kommunikation in S7 Distributed Safety F-Peripheriezugriff in S7 F/FH Systems Standard-Kommunikation Systemhandbuch, 07/2013, A5E

12 Inhaltsverzeichnis 3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation S7 Distributed Safety: Sicherheitsgerichtete Master-Master-Kommunikation S7 Distributed Safety: Sicherheitsgerichtete Master-I-Slave-Kommunikation S7 Distributed Safety: Sicherheitsgerichtete I-Slave-I-Slave-Kommunikation S7 Distributed Safety: Sicherheitsgerichtete IO-Controller-IO-Controller-Kommunikation S7 Distributed Safety: Sicherheitsgerichtete Kommunikation über S7-Verbindungen S7 F/FH Systems: Sicherheitsgerichtete Kommunikation über S7-Verbindungen Sicherheitsgerichtete Kommunikation zwischen S7 Distributed Safety und S7 F Systems F-Peripheriezugriff und sicherheitsgerichtete Kommunikation über WLAN nach IEEE Sicherheit in F-Systemen Einleitung Sicherheitsbetrieb Fehlerreaktionen Anlauf eines F-Systems Passwortschutz für F-Systeme Abnahme der Anlage Normen und Zulassungen Sicherheitsanforderungen Erreichbare Sicherheitsklassen mit F-Peripherie Einleitung Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen oo1 (1v1)-Auswertung bei F-Peripherie mit Eingängen oo2 (2v2)-Auswertung bei F-Peripherie mit Eingängen oo3 (2v3)-Auswertung bei F-Peripherie mit Analogeingängen (nur für S7 F/FH Systems) Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Ausgängen Projektieren von F-Systemen Einleitung Projektieren der F-CPU Projektieren der F-Peripherie Projektieren von fehlersicheren DP-Normslaves, fehlersicheren IO-Normdevices und fehlersicheren PA-Feldgeräten Programmieren von F-Systemen Einleitung Programmiersprachen für F-Systeme Programmstruktur des Sicherheitsprogramms in S7 Distributed Safety Programmstruktur des Sicherheitsprogramms in S7 F/FH Systems Systemhandbuch, 07/2013, A5E

13 Inhaltsverzeichnis A Überwachungs- und Reaktionszeiten der F-Systeme A.1 Einleitung A.2 Projektierung der Überwachungszeiten A.3 F-spezifische Überwachungszeiten für S7 Distributed Safety A.3.1 Minimale Überwachungszeit der F-Zykluszeit A.3.2 Minimale Überwachungszeit der sicherheitsgerichteten Kommunikation zwischen F-CPU und F-Peripherie A.3.3 Minimale Überwachungszeit der sicherheitsgerichteten CPU-CPU-Kommunikation A.3.4 Überwachungszeit der sicherheitsgerichteten Kommunikation zwischen F-Ablaufgruppen A.4 F-spezifische Überwachungszeiten für S7 F/FH Systems A.4.1 Minimale Überwachungszeit der F-Zykluszeit A.4.2 Minimale Überwachungszeit der sicherheitsgerichteten Kommunikation zwischen F-CPU und F-Peripherie A.4.3 Minimale Überwachungszeit der sicherheitsgerichteten Kommunikation zwischen F-CPUs A.4.4 Minimale Überwachungszeit der sicherheitsgerichteten Kommunikation zwischen F- Abschaltgruppen A.5 Reaktionszeiten von Sicherheitsfunktionen Glossar Index Systemhandbuch, 07/2013, A5E

14 Inhaltsverzeichnis 14 Systemhandbuch, 07/2013, A5E

15 Übersicht zu fehlersicheren Systemen Einleitung Zielsetzung der Sicherheitstechnik Zielsetzung der Sicherheitstechnik ist es, die Gefährdung von Menschen und Umwelt durch technische Einrichtungen so gering wie möglich zu halten, ohne dadurch die industrielle Produktion und den Einsatz von Maschinen und chemischen Produkten mehr als unbedingt notwendig einzuschränken. Was sind fehlersichere Automatisierungssysteme? Fehlersichere Automatisierungssysteme (F-Systeme) dienen der Steuerung von Prozessen mit unmittelbar durch Abschaltung erreichbarem sicheren Zustand. D. h., F-Systeme steuern Prozesse, bei denen eine unmittelbare Abschaltung keine Gefahr für Mensch oder Umwelt nach sich zieht. Über die konventionelle Sicherheitstechnik hinaus erlauben F-Systeme eine Sicherheitstechnik, die einen intelligenten Systemdurchgriff bis hin zu den elektrischen Antrieben und Messsystemen ermöglicht. F-Systeme werden in Anlagen mit erhöhten Sicherheitsanforderungen eingesetzt. Die bessere Fehleraufdeckung bzw. Fehlerlokalisierung in F-Systemen durch ausführliche Diagnoseinformationen ermöglicht eine schnelle Fortsetzung der Produktion nach einer sicherheitsbedingten Unterbrechung. In diesem Kapitel Dieses Kapitel dient als Einführung in die. Es stellt die fehlersicheren Systeme S7 Distributed Safety und S7 F/FH Systems vor, geht auf deren Einsatzbereiche ein und zeigt wichtige Gemeinsamkeiten und Unterschiede der beiden F-Systemen auf. Am Ende des Kapitels wird die prinzipielle Vorgehensweise des Anwenders bei der Arbeit mit F-Systemen S7 Distributed Safety und S7 F/FH Systems vorgestellt. Systemhandbuch, 07/2013, A5E

16 Übersicht zu fehlersicheren Systemen 1.2 Safety Integrated - das ganzheitliche Sicherheitskonzept der Fa. Siemens 1.2 Safety Integrated - das ganzheitliche Sicherheitskonzept der Fa. Siemens Safety Integrated Safety Integrated ist das ganzheitliche Sicherheitskonzept für die Automatisierungs- und Antriebstechnik von Siemens. Bewährte Technologien und Systeme aus der Automatisierungstechnik werden für die Sicherheitstechnik eingesetzt. Safety Integrated beinhaltet die komplette Sicherheitskette vom Geber und Aktor bis hin zur Steuerung inklusive der sicherheitsgerichteten Kommunikation über Standard-Feldbusse. Antriebe und Steuerungen übernehmen zusätzlich zu ihren Funktionsaufgaben auch Sicherheitsaufgaben. Integrierte Sicherheitstechnik verspricht neben zuverlässiger Sicherheit insbesondere höhere Flexibilität und Produktivität. Sicherheitsgerichtete Ein- und Ausgangssignale Die sicherheitsgerichteten Ein-/Ausgangssignale bilden die Schnittstelle zum Prozess und erlauben unter anderem den direkten Anschluss von ein- und zweikanaligen Peripheriesignalen, beispielsweise von NOT-AUS-Tastern oder von Lichtschranken. Die sicherheitsgerichteten Signale werden intern redundant verknüpft. Sicherheitsgerichtete Eingangssignale werden z. B. 2-fach redundant gelesen, miteinander verglichen und das vereinheitlichte Leseergebnis wird zur weiteren Verarbeitung der Zentralbaugruppe fehlersicher übergeben. Sicherheitsgerichtete Aktoren werden ohne Zutun des Anwenders 2- fach verundet angesteuert. Auch die Verschaltung der Ein- und Ausgänge ist weitgehend vereinfacht. Somit können einige der bisher diskret aufgebauten Hardwareschaltglieder entfallen, was sich in einem vereinfachten Schaltschrankkonzept widerspiegelt. Fehlersichere dezentrale Peripheriesysteme Mit dem Einsatz von fehlersicheren dezentralen Peripheriesystemen wird die Ablösung der konventionellen Aufbautechnik in der Sicherheitstechnik durch PROFIBUS DP- und PROFINET IO-Komponenten möglich. Das betrifft u. a. die Ablösung von Schaltgeräten für NOT-AUS, Schutztürwächter und Zweihandbedienung. 16 Systemhandbuch, 07/2013, A5E

17 Übersicht zu fehlersicheren Systemen 1.3 Fehlersichere Systeme in SIMATIC S7 Vorteile der Integration von Sicherheitstechnik in Standard-Automatisierungssysteme Mit der Integration der Sicherheitstechnik in Standard-Automatisierungssysteme ergeben sich folgende wichtige Vorteile: Ein Automatisierungssystem mit integrierter F-Technik ist flexibler als elektromechanische Lösungen. Die Integration bringt eine Reduzierung des Verdrahtungsaufwands. Geringer Engineering-Aufwand, da Projektierung und Programmierung mit Standard- Engineering-Tools erfolgt. Nur eine CPU notwendig, da sicherheitsgerichtete und Standard-Programteile koexistent in der CPU ablaufen können. Einfache Kommunikation zwischen sicherheitsgerichteten und Standard-Programmteilen. 1.3 Fehlersichere Systeme in SIMATIC S7 Welche fehlersicheren Systeme stehen in SIMATIC S7 zur Verfügung? Für die Integration der Sicherheitstechnik in die SIMATIC S7-Automatisierungssysteme stehen zwei fehlersichere Systeme zur Verfügung: 1. Für die Realisierung von Sicherheitskonzepten im Bereich Maschinen- und Personenschutz (z. B. für NOT-AUS-Einrichtungen beim Betrieb von Be- /Verarbeitungsmaschinen) und in der Prozessindustrie (z. B. zur Durchführung von Schutzfunktionen für MSR-Schutzeinrichtungen und Brenner) steht das System S7 Distributed Safety zur Verfügung. 2. Für Anlagen in der Prozesstechnik und der Ölindustrie, bietet sich das fehlersichere und insbesondere optional hochverfügbare Automatisierungssystem S7 F/FH Systems an. Fehlersicheres und hochverfügbares System S7 FH Systems Um die Verfügbarkeit des Automatisierungssystems zu erhöhen und so Prozessausfälle bei Fehlern im F-System bzw. bei Sensoren und Aktoren zu vermeiden, können fehlersichere Systeme S7 F Systems optional hochverfügbar aufgebaut werden (S7 FH Systems). Diese Verfügbarkeitserhöhung kann man durch Redundanz der Komponenten (Stromversorgung, Zentralbaugruppe, Kommunikation und Peripherie) erreichen. Erreichbare Sicherheitsanforderungen F-Systeme S7 Distributed Safety und S7 F/FH Systems können die folgenden Sicherheitsanforderungen erfüllen: Sicherheitsklasse (Safety Integrity Level) SIL3 nach IEC 61508:2000 Performance Level (PL) e und Kategorie 4 nach ISO :2006 bzw. EN ISO :2008 Systemhandbuch, 07/2013, A5E

18 Übersicht zu fehlersicheren Systemen 1.3 Fehlersichere Systeme in SIMATIC S7 Prinzip der Sicherheitsfunktionen in S7 Distributed Safety und S7 F/FH Systems Die funktionale Sicherheit wird durch Sicherheitsfunktionen schwerpunktmäßig in der Software realisiert. Sicherheitsfunktionen werden durch das System S7 Distributed Safety bzw. S7 F/FH Systems ausgeführt, um bei einem gefährlichen Ereignis die Anlage in einen sicheren Zustand zu bringen oder in einem sicheren Zustand zu halten. Die Sicherheitsfunktionen sind hauptsächlich in folgenden Komponenten enthalten: im sicherheitsgerichteten Anwenderprogramm (Sicherheitsprogramm) in der F-fähigen CPU (F-CPU) in den fehlersicheren Ein- und Ausgaben (F-Peripherie) Die F-Peripherie gewährleistet die sichere Bearbeitung der Feldinformationen (NOT-AUS- Taster, Lichtschranken, Motoransteuerung). Sie verfügt über alle notwendigen Hard- und Software-Komponenten für die sichere Bearbeitung, entsprechend der geforderten Sicherheitsklasse. Der Anwender programmiert nur die Anwendersicherheitsfunktion. Die Sicherheitsfunktion für den Prozess kann durch eine Anwendersicherheitsfunktion oder eine Fehlerreaktionsfunktion erbracht werden. Wenn das F-System im Fehlerfall die eigentliche Anwendersicherheitsfunktion nicht mehr ausführen kann, führt es die Fehlerreaktionsfunktion aus: z. B. die zugehörigen Ausgänge werden abgeschaltet und ggf. geht die F-CPU in STOP. Beispiel für Anwendersicherheitsfunktion und Fehlerreaktionsfunktion Das F-System soll bei Überdruck ein Ventil öffnen (Anwendersicherheitsfunktion). Bei einem gefährlichen Fehler der F-CPU werden alle Ausgänge abgeschaltet (Fehlerreaktionsfunktion), wodurch das Ventil geöffnet wird und auch die anderen Aktoren in den sicheren Zustand gelangen. Bei einem intakten F-System würde nur das Ventil geöffnet. 18 Systemhandbuch, 07/2013, A5E

19 Übersicht zu fehlersicheren Systemen 1.3 Fehlersichere Systeme in SIMATIC S7 PROFIBUS DP bzw. PROFINET IO mit Busprofil PROFIsafe Die sichere Kommunikation zwischen dem Sicherheitsprogramm in der F-CPU und den fehlersicheren Ein- und Ausgaben erfolgt über den "Standard"-PROFIBUS DP bzw. "Standard"-PROFINET IO mit überlagertem Sicherheitsprofil PROFIsafe nach IEC Ed2. Innerhalb eines Standard-Datentelegramms werden die Nutzdaten der Sicherheitsfunktion zuzüglich der Sicherheitsmaßnahmen gesendet. Vorteile: Da Standard- und sicherheitsgerichtete Kommunikation auf dem Standard-PROFIBUS DP bzw. Standard-PROFINET IO erfolgen, sind keine zusätzlichen Hardwarekomponenten erforderlich. Es können sicherheitsgerichtete Kommunikationsaufgaben gelöst werden, für die bisher konventionelle Lösungen (z.b. feste Verdrahtung von NOT-AUS) oder Spezialbusse erforderlich waren. Damit sind sicherheitsgerichtete dezentrale Anwendungen möglich, z. B. im Automobilrohbau mit Pressen und Robotern, in der Feuerungstechnik, beim Personentransport in Seilbahnen und in der Prozessautomatisierung. Fehlersichere DP-Normslaves lassen sich in F-Systeme S7 Distributed Safety und in S7 F/FH Systems integrieren (busfähige Sensoren/Aktoren und Schutzeinrichtungen von PROFIBUS-Partnerfirmen, die DP-Normslaves sind und sich nach dem Busprofil PROFIsafe verhalten). Fehlersichere IO-Normdevices lassen sich in F-Systeme S7 Distributed Safety integrieren (busfähige Sensoren/Aktoren und Schutzeinrichtungen von PROFIBUS-Partnerfirmen, die IO-Normdevices sind und sich nach dem Busprofil PROFIsafe verhalten). Fehlersichere PA-Feldgeräte lassen sich in F-Systeme S7 F/FH Systems integrieren (Feldgeräte, die am PROFIBUS mit dem Protokoll PA betrieben werden und sich nach dem Busprofil PROFIsafe verhalten). Systemhandbuch, 07/2013, A5E

20 Übersicht zu fehlersicheren Systemen 1.3 Fehlersichere Systeme in SIMATIC S Einsatzbereiche von S7 Distributed Safety und S7 F/FH Systems Einsatz von S7 Distributed Safety Fehlersichere Systeme S7 Distributed Safety haben ihre Einsatzschwerpunkte im Bereich Maschinen- und Personenschutz (z. B. für NOT-AUS-Einrichtungen beim Betrieb von Be- /Verarbeitungsmaschinen) und in der Prozessindustrie (z. B. zur Durchführung von Schutzfunktionen für MSR-Schutzeinrichtungen und Brenner), wo der sichere Zustand durch Abschalten der fehlersicheren Ausgänge erreichbar ist. Das folgende Bild zeigt Integrationsmöglichkeiten für F-Systeme S7 Distributed Safety in die Automatisierungsebene einer Anlage. Bild 1-1 Einsatz von S7 Distributed Safety 20 Systemhandbuch, 07/2013, A5E

21 Übersicht zu fehlersicheren Systemen 1.3 Fehlersichere Systeme in SIMATIC S7 Einsatz von S7 F/FH Systems Fehlersichere Systeme S7 F/FH Systems haben ihren Einsatzschwerpunkt in der Prozessund Leittechnik, wo der sichere Zustand durch Abschalten der fehlersicheren Ausgänge erreichbar ist. Das folgende Bild zeigt Integrationsmöglichkeiten für F-Systeme S7 F Systems und S7 FH Systems in Prozessautomatisierungssystemen mit PCS 7. Bild 1-2 Einsatz von S7 F/FH Systems Systemhandbuch, 07/2013, A5E

22 Übersicht zu fehlersicheren Systemen 1.3 Fehlersichere Systeme in SIMATIC S Leistungsmerkmale von S7 Distributed Safety und S7 F/FH Systems Gemeinsamkeiten von S7 Distributed Safety und S7 F/FH Systems Die Systeme S7 Distributed Safety und S7 F/FH Systems zeichnen sich durch folgende, wichtige Gemeinsamkeiten aus: Integration in die S bzw. S7-400-Automatisierungssysteme; den Aufbau der Anlage gibt die Automatisierungsaufgabe vor, die F-Technik wird in die Anlage integriert. Ablauf von Standardsteuerungs- und Schutzfunktionen auf demselben System möglich (F-fähiges Standardsystem, dadurch Wegfall von zweckgebundenen F-Lösungen). Anbindung der dezentralen Peripherie über PROFIBUS DP mit Busprofil PROFIsafe. Einsatz von Standard-PROFIBUS-Komponenten (Kupfer- und Lichtwellenleitertechnik) in STEP 7 integrierte Projektierung wie für Standard-Automatisierungssysteme Programmierung des Sicherheitsprogramms in Standard-Programmiersprachen von STEP 7 flexible Anpassung an die Aufgabenstellung durch Einsatz eines breiten F-Peripherie- Spektrums Gegenüberstellung von Leistungsmerkmalen von S7 Distributed Safety und S7 F/FH Systems In der folgenden Tabelle sind die Unterschiede der F-Systeme hinsichtlich wichtiger Leistungsmerkmale gegenübergestellt. Tabelle 1-1 Leistungsmerkmale der F-Systeme Leistungsmerkmal S7 Distributed Safety S7 F/FH Systems Erreichbare Sicherheitsklassen SIL3/Kat.4/PLe SIL3/Kat.4/PLe Hochverfügbarkeit möglich nein ja Ausbaustufen fehlersicheres System fehlersicheres System fehlersicheres und hochverfügbares System F-Peripherieanbindung zentral dezentral über PROFIBUS DP dezentral über PROFINET IO (F-Module ET 200S und ET 200pro) dezentral über PROFIBUS DP minimale Reaktionszeit des F-Systems (ausbauabhängig) typische Reaktionszeit des F- Systems 50 ms 100 ms 100 bis 200 ms 200 bis 500 ms 22 Systemhandbuch, 07/2013, A5E

23 Übersicht zu fehlersicheren Systemen 1.3 Fehlersichere Systeme in SIMATIC S7 Leistungsmerkmal S7 Distributed Safety S7 F/FH Systems Kommunikation Erstellung des Sicherheitsprogramms Änderung des Sicherheitsprogramms in der F-CPU im RUN Fehlerreaktionen im Sicherheitsprogramm Haupteinsatzgebiete sicherheitsgerichtete Master- Master-Kommunikation sicherheitsgerichtete Master-I- Slave-Kommunikation sicherheitsgerichtete I-Slave-I- Slave-Kommunikation sicherheitsgerichtete I-Slave-Slave-Kommunikation sicherheitsgerichtete IO-Controller-IO-Controller- Kommunikation sicherheitsgerichtete Kommunikation über S7- Verbindungen (nur Industrial Ethernet) sicherheitsgerichtete Kommunikation über WLAN in STEP 7-Standardsprachen KOP oder FUP z. T. im deaktivierten Sicherheitsbetrieb möglich, aber Übergang in den Sicherheitsbetrieb nur über STOP der F-CPU möglich Passivierung von Kanälen oder der F-Peripherie STOP der F-CPU Personen- und Maschinenschutz Brennersteuerung sicherheitsgerichtete Kommunikation über S7- Verbindungen (über u. a. PROFIBUS, MPI, Industrial Ethernet) sicherheitsgerichtete Kommunikation über WLAN in CFC (Optionssoftware zu STEP 7) über Safety Matrix z. T. im deaktivierten Sicherheitsbetrieb oder über Safety Data Write möglich, Betriebszustandswechsel der F-CPU für Übergang in den Sicherheitsbetrieb ist nicht erforderlich Passivierung von Kanälen oder der F-Peripherie kein STOP der F-CPU, sondern "F-STOP", d. h. wahlweise Abschalten aller F-Abschaltgruppen der F-CPU oder nur Abschalten der F-Abschaltgruppen, in welchen ein Fehler erkannt wurde Leittechnik und Prozessindustrie (Einbindung in Leitsystem PCS 7 möglich) Systemhandbuch, 07/2013, A5E

24 Übersicht zu fehlersicheren Systemen 1.3 Fehlersichere Systeme in SIMATIC S7 Tabelle 1-2 Speicherausbau der F-CPUs F-System S7 Distributed Safety Einsetzbare F-CPU IM F-CPU (6ES7151-7FA20-0AB0) IM 151-8F PN/DP CPU (6ES7151-8FB00-0AB0) CPU 315F-2 DP (6ES7315-6FF01-0AB0) CPU 315F-2 PN/DP (6ES7315-2FH13-0AB0) CPU 317F-2 DP (6ES7317-6FF03-0AB0) CPU 317F-2 PN/DP (6ES7317-2FK13-0AB0) CPU 319F-3 PN/DP (6ES7318-3FL00-0AB0) CPU 416F-2 (6ES7416-2FN05-0AB0) CPU 416F-3 PN/DP (6ES7416-3FR05-0AB0) S7 F/FH Systems CPU 412-3H (6ES7412-3HJ14-0AB0) CPU 414-4H (6ES7414-4HM14-0AB0) CPU 417-4H (6ES7417-4HT14-0AB0) Speicherausbau (Arbeitsspeicher) 128 KByte 192 KByte 192 KByte 256 KByte 1024 KByte 1024 KByte 1400 KByte 2,8 MByte für Programm + 2,8 MByte für Daten 5,6 MByte für Programm + 5,6 MByte für Daten 512 KByte für Programm KByte für Daten 1,4 MByte für Programm + 1,4 MByte für Daten 15 MByte für Programm + 15 MByte für Daten Unterstützung von PROFINET IO (nur S7 Distributed Safety) : Folgende F-CPUs und F-Peripherie unterstützen PROFINET IO: IM 151-8F PN/DP CPU (nur über PN-Schnittstelle der CPU) CPU 315F-2 PN/DP (nur über PN-Schnittstelle der CPU) CPU 317F-2 PN/DP (nur über PN-Schnittstelle der CPU) CPU 319F-3 PN/DP (nur über PN-Schnittstelle der CPU) CPU 416F-2 mit PROFINET IO-fähigem CP CPU 416F-3 PN/DP Fehlersichere Signalbaugruppen S7-300 Fehlersichere Module ET 200S Fehlersichere Module ET 200pro Fehlersichere IO-Normdevices 24 Systemhandbuch, 07/2013, A5E

25 Übersicht zu fehlersicheren Systemen 1.4 Komponenten von S7 Distributed Safety und S7 F/FH Systems 1.4 Komponenten von S7 Distributed Safety und S7 F/FH Systems Hard- und Software-Komponenten von F-Systemen Das folgende Bild zeigt die Hard- und Software-Komponenten im Überblick, die zum Aufbau und Betrieb von F-Systemen S7 Distributed Safety oder S7 F/FH Systems erforderlich sind. Bild 1-3 Hard- und Softwarekomponenten eines F-Systems im Überblick Zusammenspiel der Komponenten Es sind Hard- und Software-Komponenten notwendig, die miteinander verknüpft werden müssen, um ein fehlersicheres System aufzubauen. Fehlersichere Peripherie verdrahten Der Anwender verdrahtet die F-Peripherie so mit den Gebern und Aktoren, dass die gewünschte Sicherheitsklasse erreicht werden kann. Hardware projektieren Der Anwender projektiert die F-fähige CPU und die F-Peripherie in STEP 7 HW Konfig. Die Projektierung muss dem Hardwareaufbau entsprechen, d. h. das Schaltschema der F-Peripherie muss sich in der Parametereinstellung wiederfinden. Sicherheitsprogramm erstellen Der Anwender erstellt das Sicherheitsprogramm mit einer Programmiersprache in STEP 7. Für S7 Distributed Safety erstellt der Anwender fehlersichere Bausteine in F-FUP oder F- KOP. In der zugehörigen F-Bausteinbibliothek stehen fehlersichere Bausteine zur Verfügung, die der Anwender in seinem Sicherheitsprogramm verwenden kann. Die Anbindung der F-Peripherie funktioniert, wie im Standard, über das Prozessabbild (PAE, PAA). Für S7 F/FH Systems parametriert und verschaltet der Anwender fehlersichere Bausteine der zugehörigen F-Bausteinbibliothek in CFC. Für die Anbindung der F-Peripherie stehen spezielle F-Treiberbausteine zur Verfügung, die ebenfalls parametriert und verschaltet werden müssen. Für beide F-Systeme werden bei der Generierung des ablauffähigen Sicherheitsprogramms automatisch Sicherheitsprüfungen durchgeführt und zusätzliche F-Bausteine zur Fehlererkennung eingebaut. Systemhandbuch, 07/2013, A5E

26 Übersicht zu fehlersicheren Systemen 1.4 Komponenten von S7 Distributed Safety und S7 F/FH Systems Hardware-Komponenten Komponenten Ein F-System besteht zum einen aus Hardware-Komponenten, die bestimmte Sicherheitsanforderungen erfüllen: Tabelle 1-3 Hardware-Komponenten F-System F-fähige CPU (F-CPU) Fehlersichere Peripherie S7 Distributed Safety S7 F/FH Systems IM F-CPU IM 151-8F PN/DP CPU CPU 315F-2 DP CPU 315F-2 PN/DP CPU 317F-2 DP CPU 317F-2 PN/DP CPU 319F-3 PN/DP CPU 416F-2 CPU 416F-3 PN/DP CPU 412-3H CPU 414-4H CPU 417-4H (jeweils mit S7 F Systems RT Licence (Copy Licence)) F-Signalbaugruppen in ET 200M (dezentraler Aufbau) F-Signalbaugruppen in S7-300-Station (zentraler Aufbau mit einer CPU 3xxF) F-Elektronikmodule in ET 200S (DP-Master, DP- Slave, I-Slave, IO-Controller oder IO-Device) F-Module ET 200pro (DP-Slave oder IO-Device) F-Peripheriemodul ET 200eco fehlersichere DP-Normslaves fehlersichere IO-Normdevices F-Signalbaugruppen in ET 200M (dezentraler Aufbau) F-Elektronikmodule in ET 200S (DP-Slave) F-Module ET 200pro (DP-Slave) F-Peripheriemodul ET 200eco fehlersichere DP-Normslaves fehlersichere PA-Feldgeräte Außerdem kann das F-System mit Standard-Komponenten der S7-300 und S7-400 erweitert werden. 26 Systemhandbuch, 07/2013, A5E

27 Übersicht zu fehlersicheren Systemen 1.4 Komponenten von S7 Distributed Safety und S7 F/FH Systems F-fähige CPU (F-CPU) Eine F-fähige CPU ist eine Zentralbaugruppe, die für den Einsatz in S7 Distributed Safety bzw. S7 F/FH Systems zugelassen ist. Für S7 F/FH Systems erlaubt die S7 F Systems RT Licence (Copy Licence) dem Anwender, die Zentralbaugruppe als F-CPU einzusetzen, d. h. ein Sicherheitsprogramm darin ablaufen zu lassen. Für S7 Distributed Safety ist keine S7 F Systems RT Licence (Copy Licence) erforderlich. In der F-CPU kann außerdem ein Standard-Anwenderprogramm ablaufen. Eine Koexistenz von Standard- und Sicherheitsprogramm ist möglich, da eine ungewollte Beeinflussung des Sicherheitsprogramms durch das Standard-Anwenderprogramm beherrscht wird. Sicherheitsrelevante Teile des Anwenderprogramms müssen in der F-CPU und im PG/ES mit einem Passwort vor unbefugtem Zugriff geschützt werden. Zudem laufen in der F-CPU hochwirksame Maßnahmen zur Erkennung und Beherrschung von Fehlern ab. Hinweis Für den Einsatz in S7 Distributed Safety stehen Ihnen folgende F-CPUs zur Verfügung: IM F-CPU, IM 151-8F PN/DP CPU, CPU 315F-2 DP, CPU 315F-2 PN/DP, CPU 317F-2 DP, CPU 317F-2 PN/DP, CPU 319F-3 PN/DP, CPU 416F-2 und CPU 416F-3 PN/DP. Bitte beachten Sie, dass diese F-CPUs nicht in S7 F/FH Systems einsetzbar sind. Für den Einsatz in S7 F/FH Systems stehen Ihnen folgende F-CPUs zur Verfügung: CPU 412-3H, CPU 414-4H und CPU 417-4H. Bitte beachten Sie, dass diese F-CPUs nicht in S7 Distributed Safety einsetzbar sind. Einschränkungen beim Einsatz von F-Peripherie am PROFIBUS DP Beachten Sie bitte, dass F-Peripherie im Sicherheitsbetrieb nicht einsetzbar ist mit folgenden Baugruppen als DP-Master am PROFIBUS DP: CP CP 443-5DX00 CP 443-5DX01 IM 467-5GJ00 IM 467-5GJ01 IF 964-DP Systemhandbuch, 07/2013, A5E

28 Übersicht zu fehlersicheren Systemen 1.4 Komponenten von S7 Distributed Safety und S7 F/FH Systems Fehlersichere Signalbaugruppen S7-300 Die folgenden fehlersicheren Signalbaugruppen (kurz F-SMs) stehen zur Verfügung: Fehlersichere Digitaleingabebaugruppen: SM 326; DI 8 NAMUR SM 326; DI 24 DC 24V Fehlersichere Digitalausgabebaugruppen: SM 326; DO 10 DC 24V/2A SM 326; DO 8 DC 24V/2A Fehlersichere Analogeingabebaugruppen: SM 336; AI 6 13 Bit SM 336; F-AI 6 0/ ma HART Der Einsatz von F-SMs als Standard-SMs mit Standard-CPUs in Standard-Applikationen ist ebenfalls möglich. Aus Anwendersicht zeichnen sich die F-SMs gegenüber den meisten Standard-SMs dadurch aus, dass sie diagnosealarmfähig sind. In S7 Distributed Safety können die F-SMs dezentral in ET 200M und zentral in einer S7-300-Station betrieben werden. In S7 F/FH Systems können die F-SMs generell nur im dezentralen Peripheriesystem ET 200M betrieben werden. Die SM 326; DO 8 DC 24V/2A kann nur im Sicherheitsbetrieb eingesetzt werden. Sie kann mit allen F-CPUs des S7-300-Spektrums zentral gesteckt werden, jedoch mit: CPU 315F-2 DP (6ES7315-6FF01-0AB0) erst ab Firmware-Version V und CPU 317F-2 DP (6ES7317-6FF00-0AB0) erst ab Firmware-Version V Dezentral kann die Baugruppe in S7 Distributed Safety und S7 F/FH Systems betrieben werden. Die SM 336; F-AI 6 0/ ma HART kann nur im Sicherheitsbetrieb eingesetzt werden. Für die Nutzung der HART-Funktion ist ein dezentraler Einsatz in ET 200M erforderlich. Interface-Module für ET 200M mit fehlersicheren Signalbaugruppen Pro ET 200M wird ein Interface-Modul benötigt. Welche Interface-Module mit fehlersicheren Signalbaugruppen einsetzbar sind, entnehmen Sie dem Handbuch "Automatisierungssystem S7 300, Dezentrales Peripheriegerät ET 200M, Fehlersichere Signalbaugruppen" ( 28 Systemhandbuch, 07/2013, A5E

29 Übersicht zu fehlersicheren Systemen 1.4 Komponenten von S7 Distributed Safety und S7 F/FH Systems Einschränkungen beim Einsatz von Standard-SMs S7-300 Für den Einsatz von Standard-SMs S7-300 in Systemen S7 F/FH Systems gelten die Einschränkungen für hochverfügbare Systeme (siehe Handbuch "Automatisierungssystem S7-400H, Hochverfügbare Systeme" ( Die Einschränkungen für Standard-SMs S7-300 im Sicherheitsbetrieb von F-SMs finden Sie im Handbuch "Automatisierungssystem S7 300, Dezentrales Peripheriegerät ET 200M, Fehlersichere Signalbaugruppen" ( Fehlersichere Elektronikmodule ET 200S Die folgenden fehlersicheren Elektronikmodule (kurz F-Module) stehen in ET 200S zur Verfügung: Powermodul PM-E F pm DC24V PROFIsafe; mit 2 zusätzlichen, fehlersicheren Digitalausgängen Powermodul PM-E F pp DC24V PROFIsafe Powermodul PM-D F DC24V PROFIsafe Digitales Elektronikmodul 4/8 F-DI DC24V PROFIsafe Digitales Elektronikmodul 4 F-DI/3F-DO DC24V PROFIsafe Digitales Elektronikmodul 4 F-DO DC24V/2A PROFIsafe Digitales Elektronikmodul 1 F-RO DC24V/AC V/5A Der Einsatz von F-Modulen mit Standard-CPUs in Standard-Applikationen ist nicht möglich (Ausnahme: 1 F-RO DC24V/AC V/5A). Interface-Module für ET 200S mit fehlersicheren Modulen Pro ET 200S wird ein Interface-Modul benötigt. Welche Interface-Module einsetzbar sind, entnehmen Sie dem Handbuch "Dezentrales Peripheriesystem ET 200S, Fehlersichere Module" ( Fehlersichere Module ET 200pro Die folgenden fehlersicheren Elektronikmodule (kurz F-Module) stehen für eine ET 200pro zur Verfügung: Digitales Elektronikmodul 8/16 F-DI DC24V PROFIsafe Digitales Elektronikmodul 4/8 F-DI/4 F-DO DC24V/2A PROFIsafe Digitales Elektronikmodul F-Switch PROFIsafe Systemhandbuch, 07/2013, A5E

30 Übersicht zu fehlersicheren Systemen 1.4 Komponenten von S7 Distributed Safety und S7 F/FH Systems Interface-Module für ET 200pro mit fehlersicheren Modulen Pro ET 200pro wird ein Interface-Modul benötigt. Welche Interface-Module einsetzbar sind, entnehmen Sie dem Handbuch "Dezentrales Peripheriesystem ET 200pro, Fehlersichere Module" ( Fehlersicheres Peripheriemodul ET 200eco Das folgende fehlersichere Peripheriemodul (kurz F-Modul) steht in ET 200eco zur Verfügung: 4/8 F-DI DC24V PROFIsafe Fehlersichere DP-Normslaves Fehlersichere DP-Normslaves sind Normslaves, die an PROFIBUS mit dem Protokoll DP und dem Busprofil PROFIsafe betrieben werden. Sie müssen sich nach der Norm IEC Ed3 CP 3/1 und dem Busprofil PROFIsafe nach IEC Ed2 verhalten. Fehlersichere DP-Normslaves, die in Mischkonfigurationen am PROFIBUS DP und PROFINET IO nach IE/PB Links eingesetzt werden, müssen das Busprofil PROFIsafe im V2-Mode unterstützen. Für ihre Projektierung wird eine GSD-Datei verwendet. Fehlersichere I/O-Normdevices Fehlersichere I/O-Normdevices sind Normdevices, die an PROFINET mit dem Protokoll IO und dem Busprofil PROFIsafe (V2-MODE) betrieben werden. Sie müssen sich nach den Normen IEC CP 3/5 und CP 3/6 und IEC Types 5-10 und 6-10 und dem Busprofil PROFIsafe nach IEC Ed2 verhalten. Für ihre Projektierung wird eine GSD-Datei verwendet. Fehlersichere PA-Feldgeräte Fehlersichere PA-Feldgeräte sind Feldgeräte, die am PROFIBUS mit dem Protokoll PA betrieben werden. Sie müssen sich nach der Norm IEC Ed1 CP 3/2 und dem Busprofil PROFIsafe nach IEC Ed2 verhalten. Für ihre Projektierung wird eine GSD-Datei verwendet Software-Komponenten Einleitung Die Software-Komponenten eines F-Systems umfassen: das Optionspaket auf dem PG/ES für die Projektierung und Programmierung des F- Systems das Sicherheitsprogramm in der F-CPU Außerdem benötigen Sie die Basissoftware STEP 7 auf dem PG/ES für die Projektierung und Programmierung des Standard-Automatisierungssystems. Für S7 F/FH Systems benötigen Sie noch zusätzlich die STEP 7-Optionssoftware CFC und ggf. PCS 7 (z. B. für die Verwendung von S7 F Systems HMI). 30 Systemhandbuch, 07/2013, A5E

31 Übersicht zu fehlersicheren Systemen 1.4 Komponenten von S7 Distributed Safety und S7 F/FH Systems Optionspakete zur Projektierung und Programmierung von F-Systemen Für die Projektierung und Programmierung der F-Systeme stehen die beiden Optionspakete der folgenden Tabelle zur Verfügung. Tabelle 1-4 Optionspakete zur Projektierung und Programmierung Optionspaket Bestell-Nr. Für F-System Umfang S7 Distributed Safety 6ES7833-1FC02-0YA5 S7 Distributed Safety Projektier- und Programmiersoftware mit F- Bausteinbibliothek für: IM F-CPU, IM 151-8F PN/DP CPU, CPU 315F-2 DP, CPU 315F-2 PN/DP, CPU 317F-2 DP, CPU 317F-2 PN/DP, CPU 319F-3 PN/DP, CPU 416F-2, CPU 416 F-3 PN/DP F-Module ET 200S F-Module ET 200pro F-Modul ET 200eco F-SMs S7-300 fehlersichere DP-Normslaves fehlersichere IO-Normdevices S7 F Systems 6ES7833-1CC01-0YA5 S7 F/FH Systems Projektier- und Programmiersoftware mit F- Bausteinbibliothek für: CPU 412-3H CPU 414-4H, CPU 417-4H F-Module ET 200S F-Module ET 200pro F-Modul ET 200eco F-SMs S7-300 fehlersichere DP-Normslaves fehlersichere PA-Feldgeräte Mit diesen Optionspaketen erhält der Anwender die Unterstützung für die Projektierung der F-CPU (nur S7 Distributed Safety) und F- Peripherie in STEP 7 mit HW Konfig. die F-Bibliothek mit fehlersicheren Bausteinen für die Erstellung von Sicherheitsprogrammen. die Unterstützung für die Erstellung des Sicherheitsprogramms und für die Integration von Fehlererkennungsfunktionen in das Sicherheitsprogramm. Systemhandbuch, 07/2013, A5E

32 Übersicht zu fehlersicheren Systemen 1.4 Komponenten von S7 Distributed Safety und S7 F/FH Systems Programmiersprache Für die Sicherheitsprogramm-Erstellung werden unterschiedliche Programmiersprachen verwendet: Tabelle 1-5 Programmiersprachen F-System S7 Distributed Safety S7 F/FH Systems Programmiersprache Erläuterung F-KOP, F-FUP Unterschiede zu STEP 7-Standardsprachen KOP und FUP bestehen im Wesentlichen in Einschränkungen im Operationsvorrat und bei den Datentypen F-Applikationsbausteine der F-Bibliothek Distributed Safety oder aus anwendererstellten F-Bibliotheken können verwendet werden CFC Einsatz der STEP 7-Optionssoftware CFC spezielle F-Bausteine der F-Bibliothek S7 F Systems müssen verwendet werden Sicherheitsprogramm-Erstellung für S7 Distributed Safety Sicherheitsprogramme erstellt der Anwender mit F-FUP bzw. F-KOP in fehlersicheren FBs und FCs. Es stehen in der mitgelieferten F-Bibliothek F-Applikationsbausteine zur Verfügung, die der Anwender in sein Sicherheitsprogramm einbauen kann. Der Anwender hat auch die Möglichkeit, selbst F-Bibliotheken für S7 Distributed Safety zu erstellen (anwendererstellte F-Bibliotheken). Sicherheitsprogramm-Erstellung für S7 F/FH Systems Sicherheitsprogramme erstellt der Anwender mit CFC durch die Verschaltung von fehlersicheren Bausteinen, die in der F-Bibliothek mit dem Optionspaket S7 F Systems mitgeliefert werden. 32 Systemhandbuch, 07/2013, A5E

33 Übersicht zu fehlersicheren Systemen 1.4 Komponenten von S7 Distributed Safety und S7 F/FH Systems Optionspakete Safety Matrix zur Projektierung von F-Systemen S7 F/FH Systems Die SIMATIC Safety Matrix ist das umfassende Tool für Safety Lifecycle-Engineering und - Management für die fehlersicheren Automatisierungssysteme S7 F/FH Systems und unterstützt in allen Phasen des Safety Lifecycle: Die Safety Matrix ist ein Projektierungstool für Prozesse, die Sicherheitsreaktionen auf definierte Zustände erfordern. Mit der Safety Matrix kann ein CFC-Sicherheitsprogramm für S7 F/FH Systems nach den Regeln einer Cause/Effect-Matrix (Ursache/Wirkungs-Matrix) erstellt werden. Die Safety Matrix ist ein integriertes Tool für alle Abläufe, Wartung, Fehlerbehandlung und Änderungsmanagement während des Betriebs. Die Safety Matrix besteht aus drei Produkten, die als drei Optionspakete bezogen werden können. Tabelle 1-6 Safety Matrix-Optionspakete Optionspaket Bestellnummer Umgebung Umfang Safety Matrix Editor 6ES7833-1SM41-0YA5 Standalone Anlegen und Projektieren einer Safety Matrix auf einem PC außerhalb von PCS 7 bzw. STEP 7 Safety Matrix Engineering Tool 6ES7833-1SM01-0YA5 Engineering System (ES) PCS 7 bzw. STEP 7 und CFC Safety Matrix Viewer 6ES7833-1SM61-0YA5 PCS 7-Operator Station (OS) Anlegen und Projektieren einer Safety Matrix, automatische Generierung und Laden der CFC-Pläne in ein PCS 7-Projekt, Bedienen und Beobachten mittels STEP 7 SIMATIC Manager auf einem PCS 7-Engineering System (ES) Bedienen und Beobachten mittels Bildbaustein auf einer PCS 7-Operator Station (OS) Weitere Informationen Detaillierte Informationen zur Projektierung von S7 Distributed Safety und S7 F/FH Systems finden Sie im Kapitel "Projektieren von F-Systemen (Seite 121)". Die Programmierung der F- Systeme ist im Kapitel "Programmieren von F-Systemen (Seite 127)" beschrieben. Die Safety Matrix ist beschrieben im Handbuch "Safety Matrix" ( Systemhandbuch, 07/2013, A5E

34 Übersicht zu fehlersicheren Systemen 1.5 Wegweiser zum Arbeiten mit F-Systemen 1.5 Wegweiser zum Arbeiten mit F-Systemen Einleitung Dieses Kapitel beschreibt die prinzipielle Vorgehensweise bei der Arbeit mit fehlersicheren Systemen. Es werden nur die für F-Systeme relevanten Schritte aufgezählt, die vom Standardvorgehen abweichen. Prozessabhängige Planungsaufgaben wie z. B. Ablaufschema erstellen, Messstellenliste erstellen, Struktur definieren, etc. werden hier nicht beschrieben. Beispielprojekte Sie finden einführende Beispielprojekte zur Projektierung und Programmierung von: S7 Distributed Safety im "Getting Started S7 Distributed Safety" ( S7 F/FH Systems auf der Produkt-CD Anlage planen Bei der Anlagenplanung legt der Planer für jede notwendige Sicherheitsfunktion die entsprechende Sicherheitsklasse (SIL/Kat./PL) nach einer Risikobeurteilung der Anlage fest. Daraus leitet er die Anforderungen an die Komponenten zur Realisierung der Sicherheitsfunktionen (SPS, Geber, Aktoren) ab. Diese Entscheidungen beeinflussen weitere Tätigkeiten wie Hardware aufbauen, projektieren und programmieren. Hinweis Wichtig bei der Planung ist die funktionale Trennung von Standard- und Sicherheitsfunktionen. 34 Systemhandbuch, 07/2013, A5E

35 Übersicht zu fehlersicheren Systemen 1.5 Wegweiser zum Arbeiten mit F-Systemen Schrittfolge von der Auswahl der Komponenten bis zur Wartung von F-Systemen In der folgenden Tabelle finden Sie beschrieben, in welchem Handbuch Sie die Informationen finden. Weitere Informationen zu den F-CPUs finden Sie in den dazugehörigen Produktinformationen. Tabelle 1-7 Schrittfolge von der Auswahl der Hardware bis zur Wartung von F-Systemen Schritt Vorgehensweise Beschreibung siehe Handbuch, Kapitel Anlage planen: Sicherheitsfunktionen mit entsprechenden Sicherheitsklassen (SIL/Kat./PL) festlegen F-System S7 Distributed Safety, S7 F Systems oder S7 FH Systems festlegen; Hard- und Software-Komponenten auswählen 2. Hardware in STEP 7 projektieren: F-CPU konfigurieren und für Sicherheitsprogramm parametrieren Fehlersichere Peripherie (F-SMs, F-Module) gemäß Sicherheitsklasse und Schaltschema konfigurieren und parametrieren Fehlersichere DP-Normslaves/IO-Normdevices/PA-Feldgeräte einbinden und parametrieren Systemhandbuch Sicherheitstechnik, Kapitel "Übersicht zu fehlersicheren Systemen" (Seite 15) Produktkatalog Systemhandbuch Sicherheitstechnik, Kapitel "Projektieren von F-Systemen" (Seite 121) S7 Distributed Safety: "S7 Distributed Safety, Projektieren und Programmieren" ( m/ww/view/de/ ) S7 F/FH Systems: "S7 F/FH Systems, Projektieren und Programmieren" ( m/ww/view/de/ ) ET 200S: "Dezentrales Peripheriesystem ET 200S, Fehlersichere Module" ( m/ww/view/de/ ) ET 200pro: "Dezentrales Peripheriesystem ET 200pro, Fehlersichere Module" ( m/ww/view/de/ ) ET 200eco: "Dezentrales Peripheriegerät ET 200eco, Fehlersicheres Peripheriemodul" ( m/ww/view/de/ ) F-SMs: "Automatisierungssystem S7 300, Dezentrales Peripheriegerät ET 200M, Fehlersichere Signalbaugruppen" ( m/ww/view/de/ ) Systemhandbuch, 07/2013, A5E

36 Übersicht zu fehlersicheren Systemen 1.5 Wegweiser zum Arbeiten mit F-Systemen Schritt Vorgehensweise Beschreibung siehe Handbuch, Kapitel Hardware aufbauen: PROFIsafe-Adressen für F-Peripherie einstellen Baugruppen/Module montieren Baugruppen/Module gemäß erforderlichem Schaltschema verdrahten 4. Sicherheitsprogramm in STEP 7 erstellen: F-Bausteine erstellen bzw. aus F-Bibliothek auswählen, platzieren, verschalten und parametrieren Sicherheitsprogramm übersetzen und in die F-CPU laden Sicherheitsprogramm testen ggf. Sicherheitsprogramm ändern Projektierung und Sicherheitsprogramm dokumentieren ET 200S: "Dezentrales Peripheriesystem ET 200S, Fehlersichere Module" ( m/ww/view/de/ ) ET 200pro: "Dezentrales Peripheriesystem ET 200pro, Fehlersichere Module" ( m/ww/view/de/ ) ET 200eco: "Dezentrales Peripheriegerät ET 200eco, Fehlersicheres Peripheriemodul" ( m/ww/view/de/ ) F-SMs: "Automatisierungssystem S7 300, Dezentrales Peripheriegerät ET 200M, Fehlersichere Signalbaugruppen" ( m/ww/view/de/ ) Systemhandbuch Sicherheitstechnik, Kapitel "Programmieren von F- Systemen" (Seite 127) S7 Distributed Safety: "S7 Distributed Safety, Projektieren und Programmieren" ( m/ww/view/de/ ) S7 F/FH Systems: "S7 F/FH Systems, Projektieren und Programmieren" ( m/ww/view/de/ ) Safety Matrix: "Safety Matrix" ( m/ww/view/de/ ) 36 Systemhandbuch, 07/2013, A5E

37 Übersicht zu fehlersicheren Systemen 1.5 Wegweiser zum Arbeiten mit F-Systemen Schritt Vorgehensweise Beschreibung siehe Handbuch, Kapitel Anlage in Betrieb nehmen: Sicherheitsgerichtete Teile ggf. vor Aufnahme des Sicherheitsbetriebs von Sachverständigen abnehmen lassen Anlage in Betrieb nehmen alle Sicherheitsfunktionen testen 6. Anlage warten: Hard- und Software-Komponenten tauschen Betriebssystem aktualisieren F-System deinstallieren S7 Distributed Safety: "S7 Distributed Safety, Projektieren und Programmieren" ( m/ww/view/de/ ) S7 F/FH Systems: "S7 F/FH Systems, Projektieren und Programmieren" ( m/ww/view/de/ ) S7 Distributed Safety: "S7 Distributed Safety, Projektieren und Programmieren" ( m/ww/view/de/ ) S7 F/FH Systems: "S7 F/FH Systems, Projektieren und Programmieren" ( m/ww/view/de/ ) Handbücher zur Hardware: siehe oben, Schritt 3. Systemhandbuch, 07/2013, A5E

38 Übersicht zu fehlersicheren Systemen 1.5 Wegweiser zum Arbeiten mit F-Systemen 38 Systemhandbuch, 07/2013, A5E

39 Konfigurationen und Auswahlhilfe Einleitung In diesem Kapitel Dieses Kapitel beinhaltet die Beschreibung des grundsätzlichen Aufbaus von fehlersicheren Systemen S7 Distributed Safety und S7 F/FH Systems. Des Weiteren wird auf die verschiedenen Aufbauvarianten in Abhängigkeit von der gewünschten Verfügbarkeit des F-Systems eingegangen. Am Ende des Kapitels werden wichtige Kundenanforderungen an F-Systeme dargestellt, die zur Entscheidung führen, welches F-System - S7 Distributed Safety, S7 F Systems oder S7 FH Systems - für die Lösung der Automatisierungsaufgabe eingesetzt wird. Weitere Informationen Detaillierte Informationen zur F-Peripherie finden Sie: im Handbuch "Automatisierungssystem S7 300, Dezentrales Peripheriegerät ET 200M, Fehlersichere Signalbaugruppen" ( im Handbuch "Dezentrales Peripheriesystem ET 200S, Fehlersichere Module" ( im Handbuch "Dezentrales Peripheriesystem ET 200pro, Fehlersichere Module" ( im Handbuch "Dezentrales Peripheriegerät ET 200eco, Fehlersicheres Peripheriemodul" ( Systemhandbuch, 07/2013, A5E

40 Konfigurationen und Auswahlhilfe 2.2 Aufbau der F-Systeme 2.2 Aufbau der F-Systeme Grundaufbauformen Dieses Kapitel beschreibt die drei Grundaufbauformen der F-Systeme: Fehlersicheres System S7 Distributed Safety Fehlersicheres System S7 F Systems Fehlersicheres und hochverfügbares System S7 FH Systems Fehlersicheres System S7 Distributed Safety Komponenten des Systems S7 Distributed Safety Als S7 Distributed Safety bezeichnen wir ein fehlersicheres Automatisierungssystem bestehend aus zumindest folgenden Komponenten: einer F-fähigen Zentralbaugruppe, z. B. CPU 315F-2 DP, auf der ein Sicherheitsprogramm abläuft und fehlersicherer Peripherie, z. B.: fehlersichere Signalbaugruppen (F-SMs) im zentralen Aufbau mit der CPU 315F-2 DP fehlersichere Signalbaugruppen (F-SMs) in einem dezentralen Peripheriesystem ET 200M fehlersichere Module in einem dezentralen Peripheriesystem ET 200S fehlersichere Module in einem dezentralen Peripheriegerät ET 200pro fehlersicheres Peripheriemodul ET 200eco fehlersichere DP-Normslaves/IO-Normdevices Hinweis Für den Einsatz in S7 Distributed Safety stehen Ihnen folgende F-CPUs zur Verfügung: IM F-CPU, IM 151-8F PN/DP CPU, CPU 315F-2 DP, CPU 315F-2 PN/DP, CPU 317F-2 DP, CPU 317F-2 PN/DP, CPU 319F-3PN/DP, CPU 416F-2 und CPU 416F-3 PN/DP. Bitte beachten Sie, dass diese F-CPUs nicht in S7 F/FH Systems einsetzbar sind. Für den Einsatz in S7 F/FH Systems stehen Ihnen folgende F-CPUs zur Verfügung: CPU 412-3H, CPU 414-4H und CPU 417-4H. Bitte beachten Sie, dass diese F-CPUs nicht in S7 Distributed Safety einsetzbar sind. 40 Systemhandbuch, 07/2013, A5E

41 Konfigurationen und Auswahlhilfe 2.2 Aufbau der F-Systeme Aufbaubeispiele für F-Systeme S7 Distributed Safety Die folgenden Bilder zeigen drei Beispiele für F-Systeme S7 Distributed Safety. Beispiel 1 für PROFIBUS DP: Die S7-300-Station mit der CPU 315F-2 DP ist der DP-Master. Die F-CPU tauscht mit der fehlersicheren Peripherie im zentralen Aufbau und in den DP- Slaves sicherheitsrelevante Daten aus. Das F-System lässt sich um weitere F-Peripherie und beliebige Standard-Baugruppen/- Module erweitern. Bild 2-1 Beispiel 1: F-System S7 Distributed Safety mit PROFIBUS DP Beispiel 2 für PROFIBUS DP: Die S7-400-Station mit der CPU 416F-2 ist der DP-Master. Die F-CPU tauscht mit der IM F-CPU in ET 200S sicherheitsrelevante Daten aus. Die IM F-CPU dient als intelligente Vorverarbeitungseinheit (I-Slave). Das F-System lässt sich um weitere F-Peripherie und beliebige Standard-Baugruppen/- Module erweitern. Systemhandbuch, 07/2013, A5E

42 Konfigurationen und Auswahlhilfe 2.2 Aufbau der F-Systeme Bild 2-2 Beispiel 2: F-System S7 Distributed Safety mit PROFIBUS DP Beispiel 3 für PROFINET IO: Die S7-300-Station mit der CPU 315F-2 PN/DP ist der IO-Controller. Die F-CPU tauscht mit den fehlersicheren Modulen der ET 200pro, der ET 200S und fehlersicheren IO-Normdevices sicherheitsrelevante Daten aus. Das F-System lässt sich um beliebige IO-Devices erweitern. Bild 2-3 Beispiel 3: F-System S7 Distributed Safety mit PROFINET IO 42 Systemhandbuch, 07/2013, A5E

43 Konfigurationen und Auswahlhilfe 2.2 Aufbau der F-Systeme Fehlersicheres System S7 F Systems Komponenten des Systems S7 F Systems Als S7 F Systems bezeichnen wir ein fehlersicheres Automatisierungssystem bestehend aus zumindest folgenden Komponenten: einer F-fähigen Zentralbaugruppe, z. B. CPU 417-4H mit einer S7 F Systems RT Licence (Copy Licence), auf der ein Sicherheitsprogramm abläuft und fehlersicherer Peripherie, z. B.: fehlersichere Signalbaugruppen (F-SMs) in einem dezentralen Peripheriesystem ET 200M (optional redundant) fehlersichere Module in einem dezentralen Peripheriesystem ET 200S fehlersichere Module ET 200pro fehlersicheres Peripheriemodul ET 200eco fehlersichere DP-Normslaves fehlersichere PA-Feldgeräte Systemhandbuch, 07/2013, A5E

44 Konfigurationen und Auswahlhilfe 2.2 Aufbau der F-Systeme Aufbaubeispiel für ein F-System S7 F Systems Das folgende Bild zeigt ein Beispiel für ein F-System S7 F Systems. Die S7-400-Station mit der CPU 417-4H ist der DP-Master. Die F-CPU tauscht mit der fehlersicheren Peripherie in den DP-Slaves sicherheitsrelevante Daten aus. Das F-System lässt sich um weitere F-Peripherie und beliebige Standard-Baugruppen/-Module erweitern. Bild 2-4 F-System S7 F Systems 44 Systemhandbuch, 07/2013, A5E

45 Konfigurationen und Auswahlhilfe 2.2 Aufbau der F-Systeme Fehlersicheres und hochverfügbares System S7 FH Systems Komponenten des Systems S7 FH Systems Als S7 FH Systems bezeichnen wir ein fehlersicheres und hochverfügbares Automatisierungssystem bestehend aus zumindest folgenden Komponenten: einem hochverfügbaren System S7-400H (Master und Reserve), auf dem ein Sicherheitsprogramm abläuft und fehlersicheren Signalbaugruppen (F-SMs) in einem dezentralen Peripheriesystem ET 200M als geschaltete Peripherie (optional redundant) Aufbaubeispiel für ein F-System S7 FH Systems Das folgende Bild zeigt ein Beispiel für ein F-System S7 FH Systems mit redundanter F- CPU, gemeinsamer, geschalteter dezentraler Peripherie und Anschluss an einen redundanten Anlagenbus. Bild 2-5 F-System S7 FH Systems Systemhandbuch, 07/2013, A5E

46 Konfigurationen und Auswahlhilfe 2.2 Aufbau der F-Systeme Koexistenz von Standard- und fehlersicheren Komponenten Koexistenz ist möglich Standard-, hochverfügbare (H-) und fehlersichere (F-) Komponenten und Systeme sind folgendermaßen gemeinsam einsetzbar: In einer Anlage können Standard-Systeme, H-Systeme, F-Systeme und FH-Systeme nebeneinander eingesetzt werden. In einem F-System können: Dezentrale Peripheriegeräte/-systeme mit Standard- und F-Peripherie betrieben werden, wie z. B. ET 200S, ET 200pro und ET 200eco Standard- und fehlersichere Signalbaugruppen S7-300 im Sicherheitsbetrieb sowohl zentral (nur in S7 Distributed Safety) als auch dezentral in ET 200M betrieben werden In einem F- oder FH-System kann neben dem Sicherheitsprogramm auch ein Standard- Anwenderprogramm ablaufen. Vorteile Die Koexistenz von F-, H-, und Standard-Komponenten bringt folgende Vorteile: Zum einen kann ein vollintegriertes Automatisierungssystem aufgebaut werden, bei dem die Innovation der Standard-CPUs genutzt wird. Gleichzeitig werden fehlersichere Komponenten unabhängig von Standardkomponenten wie FMs oder CPs eingesetzt. Projektiert und programmiert wird das gesamte System mit Standardwerkzeugen wie HW Konfig, FUP, KOP oder CFC. Die Koexistenz von Standard- und fehlersicheren Programmteilen in einer F-CPU reduziert die Abnahmekosten, da Programmteile, die nicht unbedingt fehlersicher sein müssen, in das Standard-Anwenderprogramm ausgelagert werden können. Das Sicherheitsprogramm, d. h. der abnahmepflichtige Programmteil wird dadurch kleiner. Pflegekosten können ebenfalls reduziert werden, wenn so viele Funktionen wie möglich in das Standard-Anwenderprogramm verlagert werden, da es im laufenden Betrieb geändert werden darf. 46 Systemhandbuch, 07/2013, A5E

47 Konfigurationen und Auswahlhilfe 2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit Randbedingungen zur Koexistenz WARNUNG Für Anwendungen mit Sicherheitsklasse SIL2/Kat.3/PLd und darunter genügen die Vorkehrungen zum Berührschutz, die für Standardkomponenten gelten (siehe Handbücher zur eingesetzten F-CPU, F-Peripherie). Für Anwendungen mit Sicherheitsklasse SIL3/Kat.4/PLe müssen Vorkehrungen über den Berührschutz hinaus getroffen werden, um gefährdende Überspannungen über Spannungsversorgung und Rückwandbus auch im Fehlerfall von F-Schaltungen fernzuhalten. Für den Schutz vor Einflüssen des Rückwandbusses stehen Ihnen deshalb zur Verfügung: für den zentralen und dezentralen Aufbau der F-SMs S7-300 die Trennbaugruppe für S7 F/FH Systems die Lichtwellenleiter-Ausführung des PROFIBUS DP Die fehlersicheren Module ET 200S und das fehlersichere Peripheriemodul ET 200eco weisen intern eine AC 250 V-Trennung auf. Gegen Einflüsse der Spannungsversorgung halten wir Konfigurationsregeln für Netzgeräte, Standard- und F-Peripherie zur Umsetzung bereit (siehe Handbücher zur F-Peripherie). Regeln für den Einsatz der Trennbaugruppe Die Trennbaugruppe schützt die F-SMs im Fehlerfall vor möglichen Überspannungen. WARNUNG Die Trennbaugruppe muss für SIL3/Kat.4/PLe-Anwendungen eingesetzt werden: generell, wenn die F-SMs zentral in einer S7-300 eingesetzt werden generell, wenn der PROFIBUS DP mit Kupferkabel aufgebaut wird wenn der PROFIBUS DP mit Lichtwellenleiter aufgebaut wird und gemeinsamer Betrieb von Standard- und F-SMs in einer ET 200M erforderlich ist Die ausführliche Beschreibung der Trennbaugruppe finden Sie im Handbuch "Automatisierungssystem S7 300, Dezentrales Peripheriegerät ET 200M, Fehlersichere Signalbaugruppen" ( Systemhandbuch, 07/2013, A5E

48 Konfigurationen und Auswahlhilfe 2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit 2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit Möglichkeiten zur Erhöhung der Verfügbarkeit Um die Verfügbarkeit des Automatisierungssystems zu erhöhen und so Prozessausfälle bei Fehlern im F-System zu vermeiden, können fehlersichere Systeme S7 F Systems optional hochverfügbar aufgebaut werden (S7 FH Systems). Diese Verfügbarkeitserhöhung kann durch Redundanz der Komponenten (F-CPU, Kommunikationsverbindungen und F- Peripherie) erreicht werden. Für S7 F Systems ist eine Verfügbarkeitserhöhung auch ohne hochverfügbaren Aufbau möglich. Die fehlersicheren Signalbaugruppen (F-SMs) können redundant in einer ET 200M oder in verschiedenen ET 200M eingesetzt werden. Im nachfolgenden Kapitel ist u. a. die Verfügbarkeitserhöhung durch Redundanz der F-CPU und F-Peripherie in S7 FH Systems beschrieben. Hinweis Eine Verfügbarkeitserhöhung der F-CPUs in S7 Distributed Safety und S7 F Systems durch Einsatz des Softwarepakets "SW-Redundancy" ist nicht möglich. Aufbauvarianten im Sicherheitsbetrieb Der Aufbau von F-Systemen kann auf folgende drei Arten erfolgen: Tabelle 2-1 Aufbauvarianten von F-Systemen in Abhängigkeit von der Verfügbarkeit Im System Aufbauvariante Erläuterung Verfügbarkeit S7 Distributed Safety einkanalige Peripherie einkanalig und fehlersicher (F-CPU und F-Peripherie sind einfach vorhanden) normale Verfügbarkeit S7 F Systems S7 FH Systems einkanalig geschaltete Peripherie einkanalig geschaltet und fehlersicher (F-CPU ist redundant, F-Peripherie ist einfach vorhanden; im Fehlerfall wird auf die andere F-CPU umgeschaltet) erhöhte Verfügbarkeit redundant geschaltete Peripherie mehrkanalig und fehlersicher (F-CPU, PROFIBUS DP und F-Peripherie sind doppelt vorhanden) höchste Verfügbarkeit Auf den nächsten Seiten sind typische Aufbaubeispiele dargestellt. Je nach Aufbauvariante wird eine andere Verfügbarkeit der Prozesswerte erreicht. 48 Systemhandbuch, 07/2013, A5E

49 Konfigurationen und Auswahlhilfe 2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit Weitere Informationen zur Verfügbarkeitserhöhung Die Kommunikation zwischen F-CPUs in S7 FH Systems ist beschrieben im Kapitel "Sicherheitsgerichtete CPU-CPU-Kommunikation" (Seite 78) der vorliegenden Systembeschreibung. Informationen zu hochverfügbaren Systemen S7-400H finden Sie im Handbuch "Automatisierungssystem S7-400H, Hochverfügbare Systeme" ( Einkanalige Peripherie (S7 Distributed Safety) Was ist einkanalige Peripherie? Beim einkanaligen Aufbau ist die F-Peripherie einfach vorhanden. Die F-Peripherie wird von einer F-CPU angesprochen. Notwendige Hardware-Komponenten für S7 Distributed Safety Welche Hardware-Komponenten notwendig sind, hängt davon ab, ob das F-System zentral und/oder dezentral aufgebaut wird und ob der PROFIBUS DP mit Kupferkabel oder mit Lichtwellenleiter aufgebaut wird. Die F-Peripherie ist einfach (nicht redundant) vorhanden. Zentraler Aufbau von S7 Distributed Safety Benötigt werden beim zentralen Aufbau von S7 Distributed Safety: eine CPU 31xF-2 DP oder CPU 31xF-2 PN/DP F-SMs und ggf. Standard-SMs Trennbaugruppe (nur für SIL3/Kat.4/PLe-Anwendungen notwendig) Aufbaubeispiel S7 Distributed Safety: einkanalige Peripherie (zentraler Aufbau) Bild 2-6 S7 Distributed Safety mit einkanaliger Peripherie (zentraler Aufbau) Systemhandbuch, 07/2013, A5E

50 Konfigurationen und Auswahlhilfe 2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit S7 Distributed Safety mit IM F-CPU stand-alone Hinweis Die IM F-CPU ist anders als z. B. die IM HIGH FEATURE eine intelligente Vorverarbeitungseinheit (I-Slave) und kann auch als DP-Master eingesetzt werden. Sie kann deshalb vollständig und bei Bedarf auch eigenständig eine technologische Funktionseinheit steuern und als Stand-alone-CPU bzw. -F-CPU eingesetzt werden. Sie stellt eine Ergänzung zum F-CPU-Spektrum für S7 Distributed Safety dar. Aufbaubeispiel S7 Distributed Safety: einkanalige Peripherie (IM F-CPU, stand-alone) Bild 2-7 S7 Distributed Safety mit einkanaliger Peripherie (IM F-CPU stand-alone) Dezentraler Aufbau von S7 Distributed Safety und PROFIBUS DP mit Kupferkabel Benötigt werden beim dezentralen Aufbau mit Kupferkabel: eine CPU 416F-2, CPU 416F-3 PN/DP, CPU 31xF-2 DP, CPU 31xF-x PN/DP, IM F-CPU oder IM 151-8F PN/DP CPU ein PROFIBUS DP-Strang F-Peripherie, wie: eine ET 200M mit: IM153-2, F-SMs und ggf. Standard-SMs, Trennbaugruppe (nur für SIL3/Kat.4/PLe-Anwendungen notwendig) eine ET 200S mit: IM HIGH FEATURE oder IM F-CPU, fehlersicheren Modulen und ggf. ET 200S-Standard-Modulen eine ET 200pro mit: IM DP HIGH FEATURE, fehlersicheren Modulen und ggf. ET 200pro-Standard-Modulen fehlersicheres Peripheriemodul ET 200eco fehlersichere DP-Normslaves Busanschlussstecker zum Anschluss der F-CPU und F-Peripherie an den PROFIBUS DP 50 Systemhandbuch, 07/2013, A5E

51 Konfigurationen und Auswahlhilfe 2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit Aufbaubeispiele S7 Distributed Safety: einkanalige Peripherie (dezentraler Aufbau mit Kupferkabel) Bild 2-8 S7 Distributed Safety mit einkanaliger Peripherie (PROFIBUS DP, Kupferkabel) Systemhandbuch, 07/2013, A5E

52 Konfigurationen und Auswahlhilfe 2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit Dezentraler Aufbau von S7 Distributed Safety und PROFIBUS DP mit Lichtwellenleiter Benötigt werden beim Aufbau des PROFIBUS DP mit Lichtwellenleiter: eine CPU 416F-2, CPU 416F-3 PN/DP, CPU 31xF-2 DP, CPU 31xF-x PN/DP, IM F-CPU oder IM 151-8F PN/DP CPU ein PROFIBUS DP-Strang F-Peripherie, wie: eine ET 200M mit: IM153-2 FO, F-SMs und ggf. Standard-SMs, Trennbaugruppe (nur notwendig für SIL3/Kat.4/PLe-Anwendungen, wenn F-SMs und Standard-SMs in einer ET 200M gemeinsam eingesetzt werden) eine ET 200S mit: IM HIGH FEATURE oder IM F-CPU fehlersicheren Modulen und ggf. ET 200S-Standard-Modulen eine ET 200pro mit: IM DP HIGH FEATURE, fehlersicheren Modulen und ggf. ET 200pro-Standard-Modulen Komponenten zum Anschluss der F-CPU und F-Peripherie an den Lichtwellenleiter, z. B. OBT Aufbaubeispiel S7 Distributed Safety: einkanalige Peripherie (dezentraler Aufbau mit Lichtwellenleiter) Bild 2-9 S7 Distributed Safety mit einkanaliger Peripherie (PROFIBUS DP, Lichtwellenleiter) 52 Systemhandbuch, 07/2013, A5E

53 Konfigurationen und Auswahlhilfe 2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit Dezentraler Aufbau von S7 Distributed Safety und PROFINET IO Benötigt werden beim Aufbau von PROFINET IO: eine CPU 31xF-x PN/DP, CPU 416F-3 PN/DP, CPU 416F-2 (ab Firmware-Version V 4.1) mit PROFINET IO-fähigem CP oder IM 151-8F PN/DP CPU ein PROFINET IO-Strang F-Peripherie für PROFINET IO, wie: eine ET 200pro mit: IM PN HIGH FEATURE fehlersichere Module und ggf. ET 200pro-Standard-Module eine ET 200S mit IM PN HIGH FEATURE fehlersichere Module und ggf. ET 200S-Standard-Module fehlersichere IO-Normdevices Komponenten zum Aufbau von PROFINET passive Netzkomponenten (Kabel, Stecker) ggf. aktive Netzkomponenten (Switches, Router, ) Aufbaubeispiel S7 Distributed Safety und PROFINET IO Bild 2-10 S7 Distributed Safety mit einkanaliger Peripherie (PROFINET IO) Systemhandbuch, 07/2013, A5E

54 Konfigurationen und Auswahlhilfe 2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit Grenzen der Verfügbarkeit bei einkanaliger Peripherie Im Störungsfall ist die Peripherie nicht mehr verfügbar. Die F-Peripherie wird passiviert. Mögliche Fehlerursachen: Ausfall der fehlersicheren Peripherie Ausfall des Interface-Moduls in der ET 200M, ET 200S oder ET 200pro Ausfall des PROFIBUS DP- oder PROFINET IO-Strangs Ausfall der F-CPU Einkanalige Peripherie (S7 F Systems) Was ist einkanalige Peripherie? Beim einkanaligen Aufbau ist die F-Peripherie einfach vorhanden. Die F-Peripherie wird von einer F-CPU angesprochen. Notwendige Hardware-Komponenten für S7 F Systems Welche Hardware-Komponenten notwendig sind, hängt davon ab, ob der PROFIBUS DP mit Kupferkabel oder mit Lichtwellenleiter aufgebaut wird. Die F-Peripherie ist einfach (nicht redundant) vorhanden. S7 F Systems und PROFIBUS DP mit Kupferkabel Benötigt werden beim Aufbau des PROFIBUS DP mit Kupferkabel: eine CPU 412-3H, CPU 414-4H oder CPU 417-4H ein PROFIBUS DP-Strang F-Peripherie, wie: eine ET 200M mit: IM153-2, F-SMs und ggf. Standard-SMs, Trennbaugruppe (nur für SIL3/Kat.4/PLe-Anwendungen notwendig) eine ET 200S mit: IM HIGH FEATURE, fehlersicheren Modulen und ggf. ET 200S-Standard-Modulen eine ET 200pro mit: IM DP HIGH FEATURE, fehlersicheren Modulen und ggf. ET 200pro-Standard- Modulen fehlersicheres Peripheriemodul ET 200eco fehlersicherer DP-Normslave Busanschlussstecker zum Anschluss der F-CPU und der F-Peripherie an den PROFIBUS DP 54 Systemhandbuch, 07/2013, A5E

55 Konfigurationen und Auswahlhilfe 2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit Aufbaubeispiel S7 F Systems: einkanalige Peripherie mit Kupferkabel Bild 2-11 S7 F Systems mit einkanaliger Peripherie (Kupferkabel) Systemhandbuch, 07/2013, A5E

56 Konfigurationen und Auswahlhilfe 2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit S7 F Systems und PROFIBUS DP mit Lichtwellenleiter Benötigt werden beim Aufbau des PROFIBUS DP mit Lichtwellenleiter: eine CPU 412-3H, CPU 414-4H oder CPU 417-4H ein PROFIBUS DP-Strang F-Peripherie, wie: eine ET 200M mit: IM153-2 FO, F-SMs und ggf. Standard-SMs, Trennbaugruppe (nur notwendig für SIL3/Kat.4/PLe-Anwendungen, wenn F-SMs und Standard-SMs in einer ET 200M gemeinsam eingesetzt werden) eine ET 200S mit: IM HIGH FEATURE, fehlersicheren Modulen und ggf. ET 200S-Standard-Modulen Komponenten zum Anschluss der F-CPU und F-Peripherie an den Lichtwellenleiter, z. B. OBT Aufbaubeispiel S7 F Systems: einkanalige Peripherie mit Lichtwellenleiter Bild 2-12 S7 F Systems mit einkanaliger Peripherie (Lichtwellenleiter) 56 Systemhandbuch, 07/2013, A5E

57 Konfigurationen und Auswahlhilfe 2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit Grenzen der Verfügbarkeit bei einkanaliger Peripherie Im Störungsfall ist die Peripherie nicht mehr verfügbar. Die F-Peripherie wird passiviert. Mögliche Fehlerursachen: Ausfall der fehlersicheren Peripherie Ausfall des Interface-Moduls in der ET 200M, ET 200S oder ET 200pro Ausfall des PROFIBUS DP-Strangs Ausfall der F-CPU Einkanalig geschaltete Peripherie (nur S7 FH Systems) Was ist einkanalig geschaltete Peripherie? Beim einkanalig geschalteten Aufbau ist die F-Peripherie einfach vorhanden. Die F- Peripherie wird von zwei F-CPUs angesprochen. Diese Aufbauvariante ist nur für das System S7 FH Systems möglich. Die F-Peripherie ist ausschließlich in dezentralen Peripheriesystemen ET 200M einsetzbar. Die ET 200M hat zu den redundanten PROFIBUS DP-Strängen jeweils eine DP-Slave- Schnittstelle und damit zu beiden F-CPUs eine physikalische Verbindung. Notwendige Hardware-Komponenten Welche Hardware-Komponenten notwendig sind, hängt davon ab, ob der PROFIBUS DP mit Kupferkabel oder mit Lichtwellenleiter aufgebaut wird. Die F-Peripherie ist einfach (nicht redundant) vorhanden. S7 FH Systems und PROFIBUS DP mit Kupferkabel Benötigt werden beim Aufbau des PROFIBUS DP mit Kupferkabel: zwei CPU 412-3H, CPU 414-4H oder CPU 417-4H zwei PROFIBUS DP-Stränge eine ET 200M mit zwei (redundanten) IM153-2 mit jeweils einer PROFIBUS DP- Schnittstelle vier Busanschlussstecker zum Anschluss der beiden F-CPUs und der beiden IM153-2 an den PROFIBUS DP fehlersichere Signalbaugruppen, einfach vorhanden und ggf. Standard-SMs Trennbaugruppe (nur für SIL3/Kat.4/PLe-Anwendungen notwendig) Systemhandbuch, 07/2013, A5E

58 Konfigurationen und Auswahlhilfe 2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit S7 FH Systems und PROFIBUS DP mit Lichtwellenleiter Benötigt werden beim Aufbau des PROFIBUS DP mit Lichtwellenleiter: zwei CPU 412-3H, CPU 414-4H oder CPU 417-4H zwei PROFIBUS DP-Stränge eine ET 200M mit zwei IM153-2 FO (redundant) mit jeweils einer PROFIBUS DP- Schnittstelle zwei Komponenten zum Anschluss der beiden F-CPUs an den Lichtwellenleiter, z. B. OBT fehlersichere Signalbaugruppen, einfach vorhanden und ggf. Standard-SMs Trennbaugruppe (nur notwendig für SIL3/Kat.4/PLe-Anwendungen, wenn F-SMs und Standard-SMs in einer ET 200M gemeinsam eingesetzt werden) Aufbaubeispiel S7 FH Systems: einkanalig geschaltete Peripherie Bild 2-13 S7 FH Systems mit einkanalig geschalteter Peripherie Grenzen der Verfügbarkeit bei einkanalig geschalteter Peripherie Die geschaltete Peripherie ist für den Prozess nicht mehr verfügbar bei: Ausfall der fehlersicheren Signalbaugruppe (Die betreffende fehlersichere Signalbaugruppe wird passiviert.) Ausfall der kompletten ET 200M Die geschaltete Peripherie ist für den Prozess weiterhin verfügbar bei: Ausfall einer IM153-2/-2 FO Ausfall eines PROFIBUS DP-Strangs Ausfall einer F-CPU 58 Systemhandbuch, 07/2013, A5E

59 Konfigurationen und Auswahlhilfe 2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit Redundant geschaltete Peripherie (nur S7 FH Systems) Was ist redundant geschaltete Peripherie? Bei redundant geschalteter Peripherie ist die F-Peripherie redundant vorhanden. Diese Aufbauvariante ist nur für das System S7 FH Systems möglich. Die F-Peripherie ist ausschließlich in dezentralen Peripheriesystemen ET 200M einsetzbar. Die beiden fehlersicheren Signalbaugruppen befinden sich entweder in unterschiedlichen ET 200M oder in einer ET 200M. Im nachfolgenden Beispiel sind die redundanten Signalbaugruppen in verschiedenen ET 200M gesteckt. Notwendige Hardware-Komponenten Welche Hardware-Komponenten notwendig sind, hängt davon ab, ob der PROFIBUS DP mit Kupferkabel oder mit Lichtwellenleiter aufgebaut wird. Die F-Peripherie ist redundant vorhanden. S7 FH Systems und PROFIBUS DP mit Kupferkabel Benötigt werden beim Aufbau des PROFIBUS DP mit Kupferkabel: zwei CPU 412-3H, CPU 414-4H oder CPU 417-4H zwei PROFIBUS DP-Stränge zwei ET 200M: mit je zwei (redundanten) IM153-2 sechs Busanschlussstecker zum Anschluss der beiden F-CPUs und der vier IM153-2 an den PROFIBUS DP fehlersichere Signalbaugruppen, redundant vorhanden und ggf. Standard-SMs zwei Trennbaugruppen (nur für SIL3/Kat.4/PLe-Anwendungen notwendig) S7 FH Systems und PROFIBUS DP mit Lichtwellenleiter Benötigt werden beim Aufbau des PROFIBUS DP mit Lichtwellenleiter: zwei CPU 412-3H, CPU 414-4H oder CPU 417-4H zwei PROFIBUS DP-Stränge zwei ET 200M: mit je zwei IM153-2 FO zwei Komponenten zum Anschluss der beiden F-CPUs an den Lichtwellenleiter, z. B. OBT fehlersichere Signalbaugruppen, redundant vorhanden und ggf. Standard-SMs zwei Trennbaugruppen (nur notwendig für SIL3/Kat.4/PLe-Anwendungen, wenn F-SMs und Standard-SMs in einer ET 200M gemeinsam eingesetzt werden) Systemhandbuch, 07/2013, A5E

60 Konfigurationen und Auswahlhilfe 2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit Aufbaubeispiel S7 FH Systems: redundant geschaltete Peripherie Bild 2-14 S7 FH Systems mit redundant geschalteter Peripherie Verfügbarkeit bei redundant geschalteter Peripherie Die Peripherie ist für den Prozess weiterhin verfügbar bei: Ausfall einer fehlersicheren redundanten Signalbaugruppe Ausfall einer IM153-2/-2 FO in beiden ET 200M Ausfall einer kompletten ET 200M (Bedingung: die redundanten F-SMs befinden sich in unterschiedlichen ET 200M) Ausfall eines PROFIBUS DP-Strangs Ausfall einer F-CPU 60 Systemhandbuch, 07/2013, A5E

61 Konfigurationen und Auswahlhilfe 2.4 S7 Distributed Safety oder S7 F/FH Systems eine Auswahlhilfe 2.4 S7 Distributed Safety oder S7 F/FH Systems eine Auswahlhilfe Die Automatisierungsaufgabe Für jede Automatisierungsaufgabe die passende Lösung das heißt für den Anwender, ein optimales Preis-Leistungsverhältnis zu erzielen. S7 Distributed Safety oder S7 F/FH Systems Auswahlkriterien In der folgenden Tabelle sind wichtige Anforderungen an ein F-System aufgeführt, die entscheidend für die Auswahl des F-Systems sind. In der letzten Zeile der Tabelle ist die Lösung dargestellt, welches F-System, S7 Distributed Safety, S7 F Systems oder S7 FH Systems am besten für die Automatisierungsaufgabe geeignet ist. Tabelle 2-2 Auswahlkriterien für ein F-System Auswahlkriterien Einsetzbare F-Peripherie an PROFIBUS DP F-Signalbaugruppen in ET 200M F-Signalbaugruppen in S7-300-Station (zentraler Aufbau z. B. mit CPU 315F-2 DP) F-Elektronikmodule in ET 200S F-Elektronikmodule in ET 200pro fehlersicheres Peripheriemodul ET 200eco fehlersichere DP- Normslaves F-Signalbaugruppen in ET 200M F-Elektronikmodule in ET 200S F-Elektronikmodule in ET 200pro Fehlersicheres Peripheriemodul ET 200eco Fehlersichere DP-Normslaves Einsetzbare F-Peripherie an PROFIBUS PA - Fehlersichere PA-Feldgeräte Einsetzbare F-Peripherie an PROFINET IO F-Elektronikmodule in ET 200S F-Elektronikmodule in ET 200pro fehlersichere IO-Normdevices - Anforderung an die typische Reaktionszeit des F- Systems 100 bis 200 ms 200 bis 500 ms Einbindung in ein Leitsystem Einbindung ist nicht notwendig Einbindung in ein Leitsystem PCS 7 muss möglich sein Systemhandbuch, 07/2013, A5E

62 Konfigurationen und Auswahlhilfe 2.4 S7 Distributed Safety oder S7 F/FH Systems eine Auswahlhilfe Auswahlkriterien Anforderung an die Programmiersprache Automatische Erstellung des Sicherheitsprogramms mit Cause-Effect-Matrix Anforderung an die Verfügbarkeit des F- Systems Programmierung muss mit STEP 7-Standard-Sprachen (KOP, FUP) erfolgen Programmierung muss in CFC erfolgen (einfache Einbindung in ein Leitsystem möglich) - unter Verwendung der Safety Matrix normale Verfügbarkeit des F-Systems ist ausreichend normale Verfügbarkeit ist ausreichend erhöhte o. höchste Verfügbarkeit ist notwendig Die Lösung ist... S7 Distributed Safety S7 F Systems S7 FH Systems Anforderungen, die von S7 Distributed Safety und S7 F/FH Systems gleichermaßen erfüllt werden Es bestehen keine Unterschiede der F-Systeme hinsichtlich der folgenden Anforderungen, d. h. S7 Distributed Safety und S7 F/FH Systems sind gleichermaßen einsetzbar: Der Aufbau ist in Kupfer- oder Lichtwellenleitertechnik möglich. (Lichtwellenleitertechnik sollte wie bei Standard-Automatisierungssystemen dann eingesetzt werden, wenn große Entfernungen zu überbrücken sind oder die Anlage starken elektromagnetischen Störungen ausgesetzt ist.) Die Sicherheitsklassen SIL2/Kat.3/PLd oder SIL3/Kat.4/PLe sind erreichbar. Systemausbau des F-Systems Die Grenzwerte für den Systemausbau des F-Systems werden hauptsächlich von der eingesetzten F-CPU bestimmt. Den Speicherausbau für alle einsetzbaren F-CPUs finden Sie im Kapitel "Leistungsmerkmale von S7 Distributed Safety und S7 F/FH Systems" (Seite 22), in der Tabelle "Speicherausbau der F-CPUs". Weitere Werte sind in den technischen Daten der F-CPU im Handbuch und in der Produktinformation zur F-CPU enthalten. Eventuelle Einschränkungen für S7 FH Systems finden Sie im Handbuch "Automatisierungssystem S7-400H, Hochverfügbare Systeme" ( und in der Liesmich- Datei zum Optionspaket S7 H Systems. 62 Systemhandbuch, 07/2013, A5E

63 Kommunikationsmöglichkeiten Einleitung In diesem Kapitel Dieses Kapitel stellt die sicherheitsgerichteten Kommunikationsmöglichkeiten in S7 Distributed Safety und S7 F/FH Systems vor und zeigt die Gemeinsamkeiten und Unterschiede zwischen beiden F-Systemen auf. Weitere Informationen Die Kommunikation zwischen Standard-Anwenderprogrammen ist genauso wie in Standard- Automatisierungssystemen S7-300 und S7-400 möglich und wird hier nicht behandelt. Sie finden die Beschreibung in den STEP 7- und in den Hardware-Handbüchern zu den CPUs. Zum Teil setzt der Anwender fehlersichere Bausteine für die sicherheitsgerichtete Kommunikation ein. Die F-Bausteine und ihre Handhabung sind ausführlich beschrieben: für S7 Distributed Safety im Handbuch "S7 Distributed Safety, Projektieren und Programmieren" ( für S7 F/FH Systems im Handbuch "S7 F/FH Systems, Projektieren und Programmieren" ( Systemhandbuch, 07/2013, A5E

64 Kommunikationsmöglichkeiten 3.2 Sicherheitsgerichtete Kommunikation im Überblick 3.2 Sicherheitsgerichtete Kommunikation im Überblick Kommunikationsübersicht Das folgende Bild zeigt die Kommunikationsmöglichkeiten eines F-Systems S7 Distributed Safety bzw. S7 F/FH Systems. Bild 3-1 Kommunikation von F-Systemen im Überblick Tabelle 3-1 Kommunikationsmöglichkeiten Nr. Kommunikation zwischen 1 Sicherheitsprogramm in F-CPU 2 Standard- Anwenderprogramm in F-CPU und sicherheitsgerichtet nein Standard-Anwenderprogramm in F-CPU Sicherheitsprogramm in F-CPU nein Siehe... Kapitel "Kommunikation zwischen Standard- Anwenderprogramm und Sicherheitsprogramm" (Seite 66) Kapitel "Kommunikation zwischen Standard- Anwenderprogramm und Sicherheitsprogramm" (Seite 66) 3 F-Ablaufgruppe F-Ablaufgruppe ja Kapitel "Kommunikation F-Abschaltgruppe F-Abschaltgruppe zwischen F-Ablaufgruppen bzw. F-Abschaltgruppen" (Seite 69) 64 Systemhandbuch, 07/2013, A5E

65 Kommunikationsmöglichkeiten 3.2 Sicherheitsgerichtete Kommunikation im Überblick Nr. Kommunikation zwischen 4 Sicherheitsprogramm in F-CPU 5 Sicherheitsprogramm in F-CPU 6 Standard- Anwenderprogramm in Standard- oder F-CPU 7 Sicherheitsprogramm in F-CPU und sicherheitsgerichtet Siehe... F-Peripherie ja Kapitel "Kommunikation zwischen F-CPU und F- Peripherie" (Seite 71) Kapitel "F-Peripheriezugriff und sicherheitsgerichtete Kommunikation über WLAN" (Seite 89) Sicherheitsprogramm in F-CPU Standard-Anwenderprogramm in Standardoder F-CPU Standard-Anwenderprogramm in Standardoder F-CPU ja nein Kommunikation ist nicht möglich! Kapitel "Sicherheitsgerichtete CPU-CPU- Kommunikation" (Seite 78) Kapitel "F-Peripheriezugriff und sicherheitsgerichtete Kommunikation über WLAN" (Seite 89) Handbuch zur CPU - Systemhandbuch, 07/2013, A5E

66 Kommunikationsmöglichkeiten 3.3 Kommunikation zwischen Standard-Anwenderprogramm und Sicherheitsprogramm 3.3 Kommunikation zwischen Standard-Anwenderprogramm und Sicherheitsprogramm Bild 3-2 Kommunikation zwischen Standard-Anwenderprogramm und Sicherheitsprogramm Welche Daten? Im Standard-Anwenderprogramm dürfen alle Daten des Sicherheitsprogramms ausgewertet werden. Im Sicherheitsprogramm dürfen grundsätzlich nur fehlersichere Daten oder fehlersichere Signale von F-Peripherien und anderen Sicherheitsprogrammen (in anderen F-CPUs) verarbeitet werden. Daten aus dem Standard-Anwenderprogramm dürfen nur dann im Sicherheitsprogramm verarbeitet werden, wenn sie durch eine Plausibilitätskontrolle prüfbar sind. Dies und die Lösung für die Plausibilitätskontrolle muss dem Sicherheitssachverständigen vor Ort dargelegt werden. Im Zweifelsfall sind diese Daten durch ein Sicherheitsprogramm zu erzeugen. Unterschiede zwischen S7 Distributed Safety und S7 F/FH Systems In S7 Distributed Safety erfolgt der Datenaustausch zwischen Sicherheits- und Standard- Anwenderprogramm in der F-CPU über Merker oder durch Zugriff auf das Prozessabbild der Ein- und Ausgänge von Standard-Peripherie. Das Standard-Anwenderprogramm kann außerdem auf F-Global-DB, F-DBs und Instanz- Datenbausteine des Sicherheitsprogramms lesend zugreifen. In S7 F/FH Systems werden im Sicherheits- und Standard-Anwenderprogramm der F-CPU unterschiedliche Datenformate verwendet, die für den gegenseitigen Austausch über spezielle F-Bausteine konvertiert werden müssen. 66 Systemhandbuch, 07/2013, A5E

67 Kommunikationsmöglichkeiten 3.3 Kommunikation zwischen Standard-Anwenderprogramm und Sicherheitsprogramm Kommunikation zwischen Standard-Anwenderprogramm und Sicherheitsprogramm in S7 Distributed Safety Datentransfer vom Sicherheits- zum Standard-Anwenderprogramm Das Standard-Anwenderprogramm kann alle Daten des Sicherheitsprogramms direkt auslesen, da die Daten in F-DBs, Instanz-DBs, im F-Global-DB und im Prozessabbild im Standardformat vorliegen. Damit auch Zwischenergebnisse des Sicherheitsprogramms ohne Umweg über F-DBs vom Standard-Anwenderprogramm genutzt werden können, dürfen im Sicherheitsprogramm auch Merker beschrieben werden. Diese Merker stehen aber ausschließlich dem Standard- Anwenderprogramm zur Verarbeitung zur Verfügung und dürfen im Sicherheitsprogramm selbst nicht gelesen werden. Das Beschreiben des Prozessabbildes der Ausgänge (PAA) von Standard-Peripherie ist, z. B. zu Anzeigezwecken, möglich. Auch diese Werte dürfen im Sicherheitsprogramm nicht gelesen werden. Datentransfer vom Standard-Anwenderprogramm zum Sicherheitsprogramm Um Daten aus dem Standard-Anwenderprogramm im Sicherheitsprogramm zu verarbeiten, können entweder Merker aus dem Standard-Anwenderprogramm oder Signale der Standard-Peripherie über das Prozessabbild der Eingänge (PAE) gelesen werden. Weil diese Daten unsicher sind, muss der Anwender durch zusätzliche prozessspezifische Plausibilitätskontrollen im Sicherheitsprogramm sicherstellen, dass keine gefährlichen Zustände entstehen können. Zur leichteren Kontrolle werden beim Ausdruck des Sicherheitsprogramms alle Signale aus dem Standard-Anwenderprogramm, die im Sicherheitsprogramm ausgewertet werden, ausgedruckt. Die Operanden aus dem Standard-Anwenderprogramm werden im Sicherheitsprogramm hervorgehoben dargestellt. Systemhandbuch, 07/2013, A5E

68 Kommunikationsmöglichkeiten 3.3 Kommunikation zwischen Standard-Anwenderprogramm und Sicherheitsprogramm Kommunikation zwischen Standard-Anwenderprogramm und Sicherheitsprogramm in S7 F/FH Systems Unterschiedliche Datenformate Standard-Anwenderprogramm und Sicherheitsprogramm benutzen unterschiedliche Datenformate. Im Sicherheitsprogramm werden sicherheitsgerichtete F-Datentypen verwendet. Im Standard-Anwenderprogramm werden Standard-Datentypen verwendet. In einer F-CPU in S7 F/FH Systems setzt der Anwender spezielle Konvertierungsbausteine für den Datenaustausch ein. Datentransfer vom Sicherheitsprogramm zum Standard-Anwenderprogramm Wenn das Standard-Anwenderprogramm Daten aus dem Sicherheitsprogramm weiterverarbeiten soll, z. B. zum Beobachten, dann muss in CFC ein Baustein für Datenkonvertierung F_FDatentyp_Datentyp dazwischen geschaltet werden, der die F- Datentypen in Standard-Datentypen umwandelt. Diese Bausteine sind in der F-Bibliothek S7 F Systems Lib zu finden. Die Bausteine F_FDatentyp_Datentyp müssen im Standard-Anwenderprogramm (CFC-Plan, Standard-Ablaufgruppe) aufgerufen werden. Datentransfer vom Standard-Anwenderprogramm zum Sicherheitsprogramm Daten aus dem Standard-Anwenderprogramm dürfen im Sicherheitsprogramm nur nach einer Plausibilitätskontrolle verarbeitet werden. Der Anwender muss durch zusätzliche prozessspezifische Plausibilitätskontrollen im Sicherheitsprogramm sicherstellen, dass keine gefährlichen Zustände entstehen können. Um Daten aus dem Standard-Anwenderprogramm zu verarbeiten, müssen mit Hilfe von Bausteinen für Datenkonvertierung F_Datentyp_FDatentyp aus den Standard-Datentypen sicherheitsgerichtete F-Datentypen erzeugt werden. Diese Bausteine sind in der F-Bibliothek S7 F Systems Lib zu finden. Die Bausteine zur Datenkonvertierung F_Datentyp_FDatentyp müssen im Sicherheitsprogramm (CFC-Plan, F-Ablaufgruppe) aufgerufen werden. 68 Systemhandbuch, 07/2013, A5E

69 Kommunikationsmöglichkeiten 3.4 Kommunikation zwischen F-Ablaufgruppen bzw. F-Abschaltgruppen 3.4 Kommunikation zwischen F-Ablaufgruppen bzw. F-Abschaltgruppen F-Ablaufgruppen S7 Distributed Safety: Eine F-Ablaufgruppe ist ein logisches Konstrukt aus mehreren zusammengehörigen F-Bausteinen. S7 F/FH Systems: Als F-Ablaufgruppen werden die Ablaufgruppen bezeichnet, die fehlersichere Bausteine enthalten. F-Abschaltgruppen: S7 F/FH Systems Eine F-Abschaltgruppe bildet eine abgeschlossene Einheit des Sicherheitsprogramms. Sie enthält Anwenderlogik, die gleichzeitig ausgeführt oder abgeschaltet wird. Eine F-Abschaltgruppe enthält eine oder mehrere F-Ablaufgruppen, die einer gemeinsamen Task (OB) zugeordnet sind. Kommunikationsübersicht: Kommunikation zwischen F-Ablaufgruppen Bild 3-3 S7 Distributed Safety: Kommunikation zwischen F-Ablaufgruppen Systemhandbuch, 07/2013, A5E

70 Kommunikationsmöglichkeiten 3.4 Kommunikation zwischen F-Ablaufgruppen bzw. F-Abschaltgruppen Kommunikationsübersicht: Kommunikation zwischen F-Abschaltgruppen Bild 3-4 S7 F/FH Systems: Kommunikation zwischen F-Abschaltgruppen Kommunikation Die Kommunikation zwischen F-Ablauf- bzw. F-Abschaltgruppen eines Sicherheitsprogramms erfolgt sicherheitsgerichtet: S7 Distributed Safety: Bei S7 Distributed Safety ist F-Ablaufgruppen-Kommunikation zwischen den beiden F-Ablaufgruppen eines Sicherheitsprogramms möglich. Die Kommunikation erfolgt über den "DB für F-Ablaufgruppenkommunikation". S7 F/FH Systems: Für die F-Abschaltgruppen-Kommunikation stehen fehlersichere Bausteine der F-Bibliothek S7 F Systems Lib zur Verfügung. Mit den fehlersicheren Bausteinen kann eine feste Anzahl von Parametern desselben F-Datentyps übertragen werden. Für die Kommunikation zwischen F-Ablaufgruppen einer gemeinsamen F-Abschaltgruppe müssen in S7 F Systems keine weiteren Vorkehrungen getroffen werden. Die F-Bausteine können verschaltet werden, wie wenn sie in einer gemeinsamen F-Ablaufgruppe wären. 70 Systemhandbuch, 07/2013, A5E

71 Kommunikationsmöglichkeiten 3.5 Kommunikation zwischen F-CPU und F-Peripherie 3.5 Kommunikation zwischen F-CPU und F-Peripherie Einleitung Es gibt sicherheitsgerichtete und - abhängig von der eingesetzten F-Peripherie - Standard- Kommunikation zwischen F-CPU und F-Peripherie. Beide Möglichkeiten werden in diesem Kapitel beschrieben Sicherheitsgerichtete Kommunikation Kommunikationsübersicht Bild 3-5 Sicherheitsgerichtete Kommunikation zwischen F-CPU und F-Peripherie Unterschiede in der F-Peripherieanbindung zwischen S7 Distributed Safety und S7 F/FH Systems Die Anbindung der F-Peripherie unterscheidet sich in den beiden F-Systemen hinsichtlich der Einbindung in das Sicherheitsprogramm und der damit verbundenen Anwendertätigkeiten: Bei S7 Distributed Safety findet die sicherheitsgerichtete Kommunikation wie in Standard- Automatisierungssystemen über das Prozessabbild (PAE und PAA) statt. Ein direkter Peripheriezugriff ist nicht zulässig. Die Aktualisierung des Prozessabbildes der Eingänge erfolgt am Anfang der F-Ablaufgruppe vor der Bearbeitung des F-Programmbausteins. Die Aktualisierung des Prozessabbildes der Ausgänge erfolgt am Ende der F-Ablaufgruppe nach der Bearbeitung des F- Programmbausteins. Die eigentliche Kommunikation zwischen F-CPU (Prozessabbild) und F-Peripherie zur Aktualisierung des Prozessabbildes erfolgt verdeckt im Hintergrund über ein spezielles Sicherheitsprotokoll gemäß PROFIsafe. Bei S7 F/FH Systems findet die sicherheitsgerichtete Kommunikation über Ein- und Ausgänge von F-Treiberbausteinen statt. Der Anwender muss spezielle F-Treiberbausteine in CFC-Plänen der F-Ablaufgruppe platzieren und verschalten. Für beide F-Systeme werden Variablen zur F-Peripherie-Kommunikation zur Auswertung durch den Anwender zur Verfügung gestellt. Der Unterschied besteht in der Bereitstellung dieser Variablen. Bei S7 Distributed Safety werden die Variablen in F-Peripherie-DBs zur Verfügung gestellt, bei S7 F/FH Systems als Ein- und Ausgänge von F-Treiberbausteinen. Systemhandbuch, 07/2013, A5E

72 Kommunikationsmöglichkeiten 3.5 Kommunikation zwischen F-CPU und F-Peripherie F-Peripheriezugriff in S7 Distributed Safety Einleitung Der Zugriff auf die F-Peripherie erfolgt in S7 Distributed Safety weitgehend verdeckt für den Anwender. Was ist zu tun? In der folgenden Tabelle sind die relevanten Anwendertätigkeiten für den F-Peripheriezugriff aufgeführt mit ihren Auswirkungen auf das F-System. Tabelle 3-2 Zugriff auf die F-Peripherie in S7 Distributed Safety Schritt Anwendertätigkeit 1. Konfigurieren und Parametrieren der F-Peripherie in HW Konfig 2. Speichern und Übersetzen der Konfiguration in HW Konfig 3. den F-CALL anlegen (Aufrufbaustein für Sicherheitsprogramm) 4 Sicherheitsprogramm erstellen mit Zugriffen auf das Prozessabbild 5. Dialog "Sicherheitsprogramm bearbeiten" im SIMATIC- Manager aufrufen und F- Ablaufgruppe(n) festlegen. 6. Sicherheitsprogramm generieren 7. Sicherheitsprogramm in F-CPU laden Ergebnis für F-Peripherie-Anbindung ist Voraussetzung für die Anbindung der F-Peripherie S7 Distributed Safety erzeugt pro F-Peripherie einen F-Peripherie-DB und ein Symbol in der Symboltabelle. (Im Sicherheitsprogramm muss der Anwender symbolisch auf einige Variablen zur F-Peripherie-Kommunikation im F-Peripherie-DB zugreifen können.) S7 Distributed Safety gewährleistet im F-CALL u. a. die Anbindung der F-Peripherie an das Sicherheitsprogramm. Der Anwender kann den F-Call nicht editieren. siehe folgender Absatz In diesem Dialog werden alle F-Bausteine eines Sicherheitsprogrammes angezeigt, u. a. auch die F-Peripherie-DBs der F- Peripherie. Konsistenzcheck des Sicherheitsprogramms mit allen gültigen F-Bausteinen. Laden des Sicherheitsprogramms in die F-CPU (inklusive F- Peripherie-DBs). Prozesswerte der F-Peripherie Der Anwender findet die Prozesswerte von der/an die F-Peripherie im Prozessabbild (PAE/PAA) der F-CPU. Der Anwender greift im Prozessabbild (PAE, PAA) über die Anfangsadressen der F- Peripherie auf die F-Peripherie zu. Die Anfangsadressen werden in HW Konfig in der Konfigurationstabelle automatisch eingetragen (E-/A-Adressen) und können geändert werden. 72 Systemhandbuch, 07/2013, A5E

73 Kommunikationsmöglichkeiten 3.5 Kommunikation zwischen F-CPU und F-Peripherie Variablen zur F-Peripherie-Kommunikation Es gibt Variablen, die müssen vom Anwender im Sicherheitsprogramm im F-Peripherie-DB versorgt werden: Variablen zur Quittierung von Kommunikations- und F-Peripherie-/Kanalfehlern zur Wiedereingliederung der F-Peripherie Weiterhin gibt es Variablen, die können im F-Peripherie-DB versorgt und ausgewertet werden: Auswertung, ob der ausgegebene Wert ein Ersatzwert oder der Prozesswert ist Einstellung, automatische/manuelle Wiedereingliederung der Prozesswerte Passivierung anderer F-Peripherie oder Kanäle, z. B. zur Gruppenpassivierung zusammengehörender F-Peripherie Anzeige, ob eine Quittierung für Wiedereingliederung der F-Peripherie erforderlich ist oder nicht Anzeige von Serviceinformationen (Art des aufgetretenen Fehlers) Weitere Informationen Eine genaue Beschreibung der Variablen eines F-Peripherie-DB und der Vorgehensweise zu ihrer Versorgung und Auswertung finden Sie im Handbuch "S7 Distributed Safety, Projektieren und Programmieren" ( Sicherheitsgerichtete I-Slave-Slave-Kommunikation in S7 Distributed Safety Einleitung In S7 Distributed Safety findet die sicherheitsgerichtete I-Slave-Slave-Kommunikation zwischen dem Sicherheitsprogramm der F-CPU eines I-Slaves und F-Peripherie in einem Slave - wie im Standard - über direkten Datenaustausch statt. Der Zugriff im Sicherheitsprogramm der F-CPU des I-Slaves auf die Kanäle der F-Peripherie erfolgt über das Prozessabbild der Eingänge (PAE und PAA). Einschränkungen Hinweis Sicherheitsgerichtete I-Slave-Slave-Kommunikation ist zu F-Peripherie in einem DP-Slave möglich, der sicherheitsgerichtete I-Slave-Slave-Kommunikation unterstützt, z. B. zu allen F- Modulen ET 200S und zu allen fehlersicheren Signalbaugruppen S7-300 mit IM 153-2, ab Bestell-Nr. 6ES7153-2BA01-0XB0, Firmware-Version > V Systemhandbuch, 07/2013, A5E

74 Kommunikationsmöglichkeiten 3.5 Kommunikation zwischen F-CPU und F-Peripherie Kommunikationsübersicht Bild 3-6 S7 Distributed Safety: Sicherheitsgerichtete I-Slave-Slave-Kommunikation I-Slave-Slave-Kommunikation Über sicherheitsgerichtete I-Slave-Slave-Kommunikation greift der Anwender auf F-Peripherie wie auf Standard-Peripherie über das Prozessabbild (PAE und PAA) zu. Ein direkter Peripheriezugriff ist nicht zulässig. Auf die Kanäle einer F-Peripherie darf nur aus einer F-Ablaufgruppe zugegriffen werden. Was ist zu tun? Für die sicherheitsgerichtete I-Slave-Slave-Kommunikation führt der Anwender die folgenden Tätigkeiten aus: 1. I-Slave und Slave in HW Konfig projektieren 2. DP-Mastersystem in HW Konfig projektieren 3. I-Slave mit dem Slave koppeln 4. Adressbereiche für den Datenaustausch in HW Konfig im Dialog "Objekteigenschaften" des I-Slaves projektieren 5. nach der Programmerstellung das Sicherheitsprogramm generieren und in die F-CPU des I-Slaves laden 74 Systemhandbuch, 07/2013, A5E

75 Kommunikationsmöglichkeiten 3.5 Kommunikation zwischen F-CPU und F-Peripherie Weitere Informationen Die Projektierung der sicherheitsgerichteten I-Slave-Slave-Kommunikation finden Sie ausführlich im Handbuch "S7 Distributed Safety, Projektieren und Programmieren" ( beschrieben F-Peripheriezugriff in S7 F/FH Systems Zugriff über F-Treiberbausteine Der Zugriff auf die F-Peripherie erfolgt in S7 F/FH Systems über F-Treiberbausteine, die der Anwender zum Teil platzieren und verschalten muss. Es sind pro F-Peripherie ein F-Baugruppentreiber und für jeden benutzten Ein-/ Ausgabekanal der F-Peripherie ein F-Kanaltreiber notwendig. F-Baugruppentreiber Der F-Baugruppentreiber übernimmt die PROFIsafe-Kommunikation zwischen dem Sicherheitsprogramm und der F-Peripherie und wird im Sicherheitsprogramm automatisch platziert und verschaltet. F-Kanaltreiber Die F-Kanaltreiber bilden im Sicherheitsprogramm die Schnittstelle zu einem Kanal einer F-Peripherie und führen eine Signalverarbeitung durch. Es gibt für die verschiedenen Arten von F-Peripherie (z. B. fehlersichere DP-Normslaves, PA-Feldgeräte, Siemens- F-Baugruppen und F-Module) und Datentypen unterschiedliche F-Kanaltreiber. Die F-Kanaltreiber müssen vom Anwender im Sicherheitsprogramm platziert und verschaltet werden. Was ist zu tun? Der Anwender führt für die Anbindung der F-Peripherie folgende Tätigkeiten aus: 1. Konfigurieren und Parametrieren der F-Peripherie in HW Konfig. 2. Passende F-Kanaltreiber aus der F-Bibliothek S7 F Systems Lib auswählen und im Sicherheitsprogramm platzieren. 3. F-Kanaltreiber verschalten. 4. Nach der Programmerstellung das Sicherheitsprogramm übersetzen und in die F-CPU laden. Systemhandbuch, 07/2013, A5E

76 Kommunikationsmöglichkeiten 3.5 Kommunikation zwischen F-CPU und F-Peripherie Prozesswerte der F-Peripherie Der Anwender findet die Prozesswerte: von der F-Peripherie (Eingabekanäle) an einem Ausgang des zugehörigen F-Kanaltreibers an die F-Peripherie (Ausgabekanäle) an einem Eingang des zugehörigen F-Kanaltreibers Parameter zur F-Peripherie-Kommunikation Es gibt Parameter, die müssen vom Anwender an F-Kanaltreibern versorgt werden: Parameter zur Quittierung von Kommunikations- und F-Peripherie-/Kanalfehlern zur Wiedereingliederung der F-Peripherie Weiterhin gibt es Parameter, die können vom Anwender an F-Kanaltreibern versorgt und ausgewertet werden: Auswertung, ob der ausgegebene Wert ein Ersatzwert oder der Prozesswert ist Einstellung, automatische/manuelle Wiedereingliederung der Prozesswerte Passivierung anderer F-Peripherie oder Kanäle, z. B. zur Gruppenpassivierung zusammengehörender F-Peripherie Anzeige, ob eine Quittierung für Wiedereingliederung der F-Peripherie erforderlich ist oder nicht Anzeige von Serviceinformationen (Art des aufgetretenen Fehlers) Weitere Informationen Eine genaue Beschreibung der Parameter und der Vorgehensweise zu ihrer Versorgung und Auswertung finden Sie im Handbuch "S7 F/FH Systems, Projektieren und Programmieren" ( 76 Systemhandbuch, 07/2013, A5E

77 Kommunikationsmöglichkeiten 3.5 Kommunikation zwischen F-CPU und F-Peripherie Standard-Kommunikation Kommunikationsübersicht Bild 3-7 Standard-Kommunikation zwischen CPU und F-Peripherie Standard-Kommunikation (Standardbetrieb) F-Peripherie kann für Standard-Anwendungen auch im Standardbetrieb eingesetzt werden. Das ist beispielsweise dann sinnvoll, wenn die Diagnosefunktionen, die die F-Peripherie zur Verfügung stellt, in der Standard-Anwendung relevant sind oder die Flexibilität beim Einsatz im Vordergrund steht (F-Peripherie ist sowohl im Standard- als auch im F-System einsetzbar). Ob Standardbetrieb möglich ist oder nicht, hängt von der eingesetzten F-Peripherie ab. Im Standardbetrieb können nur die fehlersicheren Signalbaugruppen S7-300 eingesetzt werden (außer SM 326; DO 8 DC 24V/2A und SM 336; F-AI 0/ ma HART). Die fehlersicheren Module ET 200S, ET 200pro und ET 200eco kennen keinen Standardbetrieb und sind nur im Sicherheitsbetrieb einsetzbar. Mechanismen im Standardbetrieb Für den Standardbetrieb zwischen der CPU und den fehlersicheren Signalbaugruppen S7-300 können die üblichen Mechanismen wie in Standard-Automatisierungssystemen verwendet werden, d. h.: Direktzugriff Zugriff über das Prozessabbild in CFC Zugriff über Kanaltreiber der Bibliothek PCS 7 Drivers (nur S7 F/FH Systems) Diagnosedatensätze auslesen Systemhandbuch, 07/2013, A5E

78 Kommunikationsmöglichkeiten 3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation Diagnosedaten wie im Standard auslesen Diagnoseinformationen von F-SMs, fehlersicheren Modulen ET 200S, ET 200pro und fehlersicherem Peripheriemodul ET 200eco sind nicht sicherheitsrelevant und werden wie im Standard azyklisch über Diagnosedatensatz-Transfers in die F-CPU übertragen und in den Diagnosepuffer der F-CPU und F-SMs eingetragen. Die Diagnosedaten können vom Anwender mit STEP 7 ausgelesen werden: aus dem Diagnosepuffer der F-CPU und F-SMs als Slave-Diagnose der F-Module ET 200S, ET 200pro und ET 200eco im Standard-Anwenderprogramm mit dem SFC 59 (nur F-SMs) Diagnosedaten im Sicherheitsbetrieb der F-SMs auslesen Im Sicherheitsbetrieb der F-SMs können die Diagnosedatensätze der F-SMs ebenfalls mit SFC 59 in das Standard-Anwenderprogramm ausgelesen werden. In PCS 7 stehen Baugruppen-Diagnosebausteine zur Verfügung. Diese Bausteine erzeugen automatische Meldungen, z. B. an WinCC, u. a. auch für die F-SMs. 3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation Einleitung Die sicherheitsgerichtete Kommunikation zwischen Sicherheitsprogrammen in unterschiedlichen F-CPUs ist sowohl in S7 Distributed Safety als auch in S7 F/FH Systems und zwischen beiden F-Systemen möglich. Die Kommunikationsmechanismen sind jedoch verschieden: Tabelle 3-3 Kommunikation zwischen F-CPUs im Überblick F-System Kommunikation über... Kommunikation zwischen... S7 Distributed Safety S7 F/FH Systems PROFIBUS DP/PROFINET IO mittels IE/PB-Link PROFIBUS DP/PROFINET IO mittels IE/PB-Link PROFIBUS DP/PROFINET IO mittels IE/PB-Link PROFINET IO Industrial Ethernet (projektierte S7 Verbindungen) über u. a. PROFIBUS, MPI, Ind. Ethernet: projektierte Standard- oder hochverfügbare S7-Verbindungen DP-Master/DP-Master DP-Master/I-Slave I-Slave/I-Slave IO-Controller/IO-Controller irrelevant irrelevant 78 Systemhandbuch, 07/2013, A5E

79 Kommunikationsmöglichkeiten 3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation S7 Distributed Safety: Sicherheitsgerichtete Master-Master-Kommunikation DP/DP-Koppler In S7 Distributed Safety muss der Anwender einen DP/DP-Koppler (Bestellnummer 6ES7158-0AD01-0XA0) für die sicherheitsgerichtete Kommunikation zwischen Sicherheitsprogrammen in unterschiedlichen F-CPUs (DP-Mastern) einsetzen. Dabei ist jede der beiden F-CPUs über ihre PROFIBUS DP-Schnittstelle mit dem DP/DP- Koppler verbunden. Kommunikationsübersicht Bild 3-8 S7 Distributed Safety: Sicherheitsgerichtete Master-Master-Kommunikation Master-Master-Kommunikation Die sicherheitsgerichtete Kommunikation erfolgt mit Hilfe der F-Applikationsbausteine F_SENDDP zum Senden und F_RCVDP zum Empfangen, die der Anwender im jeweiligen Sicherheitsprogramm der F-CPU aufruft. Mit ihnen läßt sich eine feste Anzahl von fehlersicheren Daten der Datentypen BOOL und INT fehlersicher übertragen. Systemhandbuch, 07/2013, A5E

80 Kommunikationsmöglichkeiten 3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation Was ist zu tun? Für die sicherheitsgerichtete Master-Master-Kommunikation führt der Anwender die folgenden Tätigkeiten aus: 1. Hardware mit DP/DP-Koppler aufbauen 2. DP/DP-Koppler in HW Konfig projektieren 3. im Sicherheitsprogramm der jeweiligen F-CPU F_SENDDP und F_RCVDP aus der F- Bibliothek Distributed Safety aufrufen 4. F_SENDDPs und F_RCVDPs parametrieren 5. nach der Programmerstellung die Sicherheitsprogramme generieren und in die jeweilige F-CPU laden Weitere Informationen Informationen zum DP/DP-Koppler finden Sie in der Dokumentation zum DP/DP-Koppler und im Handbuch "SIMATIC NET, PROFIBUS-Netze" ( Die Projektierung und Programmierung der sicherheitsgerichteten Master-Master-Kommunikation finden Sie ausführlich im Handbuch "S7 Distributed Safety, Projektieren und Programmieren" ( beschrieben. 80 Systemhandbuch, 07/2013, A5E

81 Kommunikationsmöglichkeiten 3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation S7 Distributed Safety: Sicherheitsgerichtete Master-I-Slave-Kommunikation Einleitung In S7 Distributed Safety findet die sicherheitsgerichtete CPU-CPU-Kommunikation zwischen dem Sicherheitsprogramm der F-CPU des DP-Masters und dem/den Sicherheitsprogramm(en) der F-CPU(s) eines oder mehrerer I-Slaves - wie im Standard - über Master-Slave-Verbindungen statt. Kommunikationsübersicht Bild 3-9 S7 Distributed Safety: Sicherheitsgerichtete Master-I-Slave-Kommunikation Master-I-Slave-Kommunikation Die sicherheitsgerichtete Kommunikation erfolgt mit Hilfe der F-Applikationsbausteine F_SENDDP zum Senden und F_RCVDP zum Empfangen, die der Anwender im jeweiligen Sicherheitsprogramm der F-CPU aufruft. Mit ihnen läßt sich eine feste Anzahl von fehlersicheren Daten der Datentypen BOOL und INT fehlersicher übertragen. Was ist zu tun? Für die sicherheitsgerichtete Master-I-Slave-Kommunikation führt der Anwender die folgenden Tätigkeiten aus: 1. I-Slave in HW Konfig projektieren 2. DP-Mastersystem in HW Konfig projektieren 3. I-Slave mit dem DP-Master koppeln 4. Adressbereiche für den Datenaustausch in HW Konfig projektieren 5. in den Sicherheitsprogrammen der F-CPU im DP-Master und im I-Slave F_SENDDP und F_RCVDP aus der F-Bibliothek Distributed Safety aufrufen 6. F_SENDDPs und F_RCVDPs parametrieren 7. nach der Programmerstellung die Sicherheitsprogramme generieren und in die jeweilige F-CPU laden Systemhandbuch, 07/2013, A5E

82 Kommunikationsmöglichkeiten 3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation Weitere Informationen Die Projektierung und Programmierung der sicherheitsgerichteten Master-I-Slave-Kommunikation finden Sie ausführlich im Handbuch "S7 Distributed Safety, Projektieren und Programmieren" ( beschrieben S7 Distributed Safety: Sicherheitsgerichtete I-Slave-I-Slave-Kommunikation Einleitung In S7 Distributed Safety findet die sicherheitsgerichtete CPU-CPU-Kommunikation zwischen den Sicherheitsprogrammen der F-CPUs von I-Slaves im Standard über direkten Datenaustausch statt. Kommunikationsübersicht Bild 3-10 S7 Distributed Safety: Sicherheitsgerichtete I-Slave-I-Slave-Kommunikation I-Slave-I-Slave-Kommunikation Die sicherheitsgerichtete Kommunikation erfolgt mit Hilfe der F-Applikationsbausteine F_SENDDP zum Senden und F_RCVDP zum Empfangen, die der Anwender im jeweiligen Sicherheitsprogramm der F-CPU aufruft. Mit ihnen läßt sich eine feste Anzahl von fehlersicheren Daten der Datentypen BOOL und INT fehlersicher übertragen. 82 Systemhandbuch, 07/2013, A5E

83 Kommunikationsmöglichkeiten 3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation Was ist zu tun? Für die sicherheitsgerichtete I-Slave-I-Slave-Kommunikation führt der Anwender die folgenden Tätigkeiten aus: 1. I-Slaves in HW Konfig projektieren 2. DP-Mastersystem in HW Konfig projektieren 3. I-Slaves mit dem DP-Master koppeln 4. Adressbereiche für den Datenaustausch in HW Konfig projektieren 5. in den Sicherheitsprogrammen der F-CPUs der beteiligten I-Slaves F_SENDDP und F_RCVDP aus der F-Bibliothek Distributed Safety aufrufen 6. F_SENDDPs und F_RCVDPs parametrieren 7. nach der Programmerstellung die Sicherheitsprogramme generieren und in die jeweilige F-CPU laden Weitere Informationen Die Projektierung und Programmierung der sicherheitsgerichteten I-Slave-I-Slave-Kommunikation finden Sie ausführlich im Handbuch "S7 Distributed Safety, Projektieren und Programmieren" ( beschrieben S7 Distributed Safety: Sicherheitsgerichtete IO-Controller-IO-Controller- Kommunikation Einleitung Die sicherheitsgerichtete Kommunikation zwischen Sicherheitsprogrammen der F-CPUs von IO-Controllern erfolgt über einen PN/PN Coupler (Bestellnummer 6ES7158-3AD00-0XA0), den Sie zwischen den beiden F-CPUs einsetzen. Verweis Des Weiteren gelten sinngemäß die Informationen zur sicherheitsgerichteten Master-Master- Kommunikation in Kapitel "S7 Distributed Safety: Sicherheitsgerichtete Master-Master- Kommunikation (Seite 79)". Systemhandbuch, 07/2013, A5E

84 Kommunikationsmöglichkeiten 3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation S7 Distributed Safety: Sicherheitsgerichtete Kommunikation über S7- Verbindungen Einleitung In S7 Distributed Safety findet die sicherheitsgerichtete CPU-CPU-Kommunikation über S7- Verbindungen zwischen den Sicherheitsprogrammen von zwei F-CPUs - wie im Standard - über Projektierung von Verbindungstabellen in NETPro statt. Sicherheitsgerichtete CPU-CPU-Kommunikation ist nicht über öffentliche Netze zulässig. Kommunikationsübersicht Bild 3-11 S7 Distributed Safety: Kommunikation über S7-Verbindungen Kommunikation über S7-Verbindungen Die sicherheitsgerichtete Kommunikation erfolgt mit Hilfe der F-Applikationsbausteine F_SENDS7 zum Senden und F_RCVS7 zum Empfangen, die der Anwender im jeweiligen Sicherheitsprogramm der F-CPU aufruft. Mit diesen F-Applikationsbausteinen läßt sich eine vom Anwender festgelegte Anzahl von fehlersicheren Daten der Datentypen BOOL, INT, WORD oder TIME fehlersicher übertragen. Die fehlersicheren Daten werden dabei in F-DBs ("F-Kommunikations-DB") auf Sender- und Empfängerseite angelegt. 84 Systemhandbuch, 07/2013, A5E

85 Kommunikationsmöglichkeiten 3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation Was ist zu tun? Für die sicherheitsgerichtete Kommunikation über S7-Verbindungen führt der Anwender die folgenden Tätigkeiten aus: 1. in STEP 7 NetPro die S7-Verbindungen für die jeweilige F-CPU projektieren 2. für die Sende- und Empfangsdaten jeweils einen F-Kommunikations-DB anlegen 3. Variablen des F-Kommunikations-DB für das Senden mit Variablen versorgen 4. im Sicherheitsprogramm, von dem Daten gesendet werden sollen, F_SENDS7 aufrufen 5. im Sicherheitsprogramm, in dem Daten empfangen werden sollen, F_RCVS7 aufrufen 6. F_SENDS7 und F_RCVS7 parametrieren 7. nach der Programmerstellung die Sicherheitsprogramme generieren und in die jeweilige F-CPU laden Einschränkungen für S7 Distributed Safety Hinweis In Distributed Safety sind S7-Verbindungen generell nur über Industrial Ethernet zulässig! Sicherheitsgerichtete Kommunikation über S7-Verbindungen ist von und zu folgenden CPUs möglich: CPU 315F-2 PN/DP (nur über PN-Schnittstelle der CPU) CPU 317F-2 PN/DP (nur über PN-Schnittstelle der CPU) CPU 319F-3 PN/DP (nur über PN-Schnittstelle der CPU) CPU 416F-3 PN/DP CPU 416F-2 ab Firmware-Version V 4.0 Weitere Informationen Informationen zur Projektierung der S7-Verbindungen finden Sie in der STEP 7-Onlinehilfe. Die Projektierung und Programmierung der sicherheitsgerichteten Kommunikation über S7- Verbindungen finden Sie ausführlich im Handbuch "S7 Distributed Safety, Projektieren und Programmieren" ( beschrieben. Systemhandbuch, 07/2013, A5E

86 Kommunikationsmöglichkeiten 3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation S7 F/FH Systems: Sicherheitsgerichtete Kommunikation über S7-Verbindungen Einleitung In S7 F/FH Systems findet die sicherheitsgerichtete CPU-CPU-Kommunikation über S7- Verbindungen zwischen den Sicherheitsprogrammen von zwei F-CPUs wie im Standard über Projektierung von Verbindungstabellen in NETPro statt. Sicherheitsgerichtete CPU-CPU-Kommunikation ist nicht über öffentliche Netze zulässig. Kommunikationsübersicht Bild 3-12 S7 F/FH Systems: Kommunikation zwischen F-CPUs Tabelle 3-4 Sicherheitsgerichtete CPU-CPU-Kommunikation Nummer Kommunikation von zu Verbindungstyp Sicherheitsgerichtet 1 S7 FH Systems S7 FH Systems S7-Verbindung, hochverfügbar ja 2 S7 F/FH Systems S7 F Systems S7-Verbindung, hochverfügbar ja 3 S7 F Systems S7 F Systems S7-Verbindung ja Kommunikation über S7-Verbindungen Die sicherheitsgerichtete Kommunikation erfolgt mit Hilfe der F-Bausteine F_SENDBO, F_SENDR und F_SDS_BO zum Senden und F_RCVBO, F_RCVR und F_RDS_BO zum Empfangen, die der Anwender im jeweiligen Sicherheitsprogramm der F-CPU aufruft. Mit diesen F-Bausteinen lässt sich eine feste Anzahl von fehlersicheren Daten der Datentypen F_BOOL und F_REAL fehlersicher übertragen. 86 Systemhandbuch, 07/2013, A5E

87 Kommunikationsmöglichkeiten 3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation Was ist zu tun? Für die sicherheitsgerichtete Kommunikation über S7-Verbindungen führt der Anwender die folgenden Tätigkeiten aus: 1. in STEP 7 NetPro die S7-Verbindungen für die jeweilige F-CPU projektieren 2. im Sicherheitsprogramm der jeweiligen F-CPU fehlersichere Bausteine für die CPU-CPU- Kommunikation aus der F-Bibliothek S7 F Systems Lib auswählen, verschalten und parametrieren 3. nach der Programmerstellung die Sicherheitsprogramme übersetzen und in die jeweilige F-CPU laden F-CPUs für sicherheitsgerichtete Kommunikation über S7-Verbindungen Hinweis In S7 F/FH Systems ist sicherheitsgerichtete Kommunikation über S7-Verbindungen von und zu folgenden F-CPUs möglich: CPU 412-3H CPU 414-4H CPU 417-4H Weitere Informationen Informationen zur Projektierung der möglichen Verbindungstypen finden Sie in der STEP 7- Onlinehilfe. Die Projektierung und Programmierung der sicherheitsgerichteten Kommunikation über S7- Verbindungen finden Sie ausführlich im Handbuch "S7 F/FH Systems, Projektieren und Programmieren" ( Systemhandbuch, 07/2013, A5E

88 Kommunikationsmöglichkeiten 3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation Sicherheitsgerichtete Kommunikation zwischen S7 Distributed Safety und S7 F Systems Einleitung Sicherheitsgerichtete CPU-CPU-Kommunikation zwischen S7 Distributed Safety und S7 F Systems ist über S7-Verbindungen, über Projektierung von Verbindungstabellen in NetPro, möglich. Kommunikationsübersicht Bild 3-13 Sicherheitsgerichtete Kommunikation zwischen S7 Distributed Safety und S7 F Systems Kommunikation über S7-Verbindungen Die sicherheitsgerichtete Kommunikation erfolgt mit Hilfe von F-Applikationsbausteinen zum Senden und Empfangen, die der Anwender im jeweiligen Sicherheitsprogramm der F-CPU aufruft. Mit diesen F-Applikationsbausteinen lassen sich maximal 32 Daten vom Datentyp BOOL austauschen. 88 Systemhandbuch, 07/2013, A5E

89 Kommunikationsmöglichkeiten 3.7 F-Peripheriezugriff und sicherheitsgerichtete Kommunikation über WLAN nach IEEE Was ist zu tun? Für die sicherheitsgerichtete Kommunikation zwischen S7 Distributed Safety und S7 F Systems führt der Anwender die folgenden Tätigkeiten aus: 1. in STEP 7 NetPro die S7-Verbindungen für die jeweilige F-CPU projektieren 2. in S7 F Systems: im Sicherheitsprogramm der F-CPU die F-Bausteine F_SDS_BO/F_RDS_BO platzieren, verschalten und parametrieren. 3. in S7 Distributed Safety: im Sicherheitsprogramm der F-CPU: 2 F-Kommunikations-DBs mit je exakt 32 Daten vom Datentyp BOOL anlegen die F-Bausteine F_SENDS7/F_RCVS7 platzieren, verschalten und parametrieren 4. nach der Programmerstellung die Sicherheitsprogramme generieren/übersetzen und in die jeweilige F-CPU laden. Weitere Informationen Informationen zur Projektierung der S7-Verbindungen finden Sie in der STEP 7-Onlinehilfe. 3.7 F-Peripheriezugriff und sicherheitsgerichtete Kommunikation über WLAN nach IEEE Hinweis zur Konfiguration Beim F-Peripheriezugriff und bei der sicherheitsgerichteten CPU-CPU-Kommunikation über WLAN gemäß IEEE muss Folgendes beachtet werden: Die Access-Points muss der Anwender so projektieren, dass die Anforderungen an die Security, die in der Norm IEC "Digital data communications for measurement and control - Part 3: Profiles for functional safety communications in industrial networks", Kapitel 9.8 "Wireless transmission channels" aufgeführt sind, erfüllt werden. Der Bezug der Norm IEC ist in der Regel kostenpflichtig. Sie kann z. B. beim Beuth Verlag ( bezogen werden. Suchen Sie nach "IEC ". Die WWW-Seiten des Verlags sind auch auf Englisch umschaltbar. S7 Distributed Safety: F-Peripheriezugriff über WLAN F-Peripheriezugriffe, inklusive sicherheitsgerichtete I-Slave-Slave-Kommunikation über WLAN sind im PROFINET IO-Umfeld (bzw. in Mischkonfigurationen am PROFIBUS DP und PROFINET IO nach IE/PB-Links) unter folgenden Voraussetzungen möglich: F-CPUs und F-Peripherien müssen PROFIsafe V2-MODE unterstützen. das Sicherheitsprogramm muss mit S7 Distributed Safety ab V 5.4 generiert werden. Bei der Abnahme des Sicherheitsprogramms muss im Ausdruck des Sicherheitsprogramms für jede über WLAN angesprochene F-Peripherie überprüft werden, ob PROFIsafe V2-MODE vorliegt. Systemhandbuch, 07/2013, A5E

90 Kommunikationsmöglichkeiten 3.7 F-Peripheriezugriff und sicherheitsgerichtete Kommunikation über WLAN nach IEEE S7 Distributed Safety: Sicherheitsgerichtete CPU-CPU-Kommunikation über WLAN Eine sicherheitsgerichtete CPU-CPU-Kommunikation über WLAN ist in S7 Distributed Safety möglich über die F-Applikationsbausteine F_SENDDP/F_RCVDP bzw. F_SENDS7/F_RCVS7 der F-Bibliothek Distributed Safety, z. B. mit folgenden Möglichkeiten der sicherheitsgerichteten CPU-CPU-Kommunikation: sicherheitsgerichtete Master-Master-Kommunikation zwischen IO-Controller und DP- Master über IE/PB-Link und DP/DP-Koppler sicherheitsgerichtete Master-I-Slave-Kommunikation zwischen IO-Controller und I-Slave über IE/PB-Link sicherheitsgerichtete I-Slave-I-Slave-Kommunikation zwischen I-Slave und I-Slave hinter einem IE/PB-Link sicherheitsgerichtete IO-Controller-IO-Controller-Kommunikation zwischen IO-Controller und IO-Controller über PN/PN Coupler sicherheitsgerichtete Kommunikation über S7-Verbindungen S7 F Systems: Sicherheitsgerichtete CPU-CPU-Kommunikation über WLAN Eine sicherheitsgerichtete CPU-CPU-Kommunikation über WLAN ist in S7 F Systems möglich über die F-Bausteine F_SENDBO/F_RCVBO, F_SENDR/F_RCVR bzw. F_SDS_BO/F_RDS_BO der F-Bibliothek S7 F Systems Lib. Es ist sicherheitsgerichtete Kommunikation über S7-Verbindungen möglich. 90 Systemhandbuch, 07/2013, A5E

91 Sicherheit in F-Systemen Einleitung In diesem Kapitel Die F-Systeme S7 Distributed Safety und S7 F/FH Systems verfügen im Wesentlichen über die gleichen Sicherheitsmechanismen. Das folgende Kapitel stellt die Sicherheitsmechanismen vor, die für den Anwender sichtbar werden: Sicherheitsbetrieb Fehlerreaktionen Anlauf eines F-Systems Passwortschutz für F-Systeme Auf Unterschiede zwischend S7 Distributed Safety und S7 F/FH Systems wird speziell hingewiesen. Die Kapitel "Normen und Zulassungen (Seite 98)" und "Sicherheitsanforderungen (Seite 99)" beinhalten einen Überblick zu den Normen, Zulassungen und Sicherheitsanforderungen, die S7 Distributed Safety und S7 F/FH Systems erfüllen. Weitere Informationen Im jeweiligen Handbuch zur Projektierung und Programmierung von S7 Distributed Safety bzw. S7 F/FH Systems werden die Sicherheitsmechanismen handlungsorientiert aufgegriffen und falls notwendig vertieft. Das Standardverhalten ist in den STEP 7- und in den Hardware-Handbüchern beschrieben und wird hier nicht behandelt. Sicherheit in F-Systemen WARNUNG F-Systeme S7 Distributed Safety und S7 F/FH Systems dienen der Steuerung von Prozessen mit unmittelbar durch Abschaltung erreichbarem sicheren Zustand. Sie dürfen S7 Distributed Safety und S7 F/FH Systems nur zur Steuerung von Prozessen einsetzen, bei denen eine unmittelbare Abschaltung keine Gefahr für Mensch oder Umwelt nach sich zieht. Die Sicherheit in F-Systemen wird gewährleistet durch: integrierte Sicherheitsfunktionen zur Fehlererkennung und Fehlerreaktion Zugriffschutz auf F-Systeme Systemhandbuch, 07/2013, A5E

92 Sicherheit in F-Systemen 4.2 Sicherheitsbetrieb Sicherheitsfunktionen Sicherheitsfunktionen zur Fehlererkennung und Fehlerreaktion sind hauptsächlich im Sicherheitsprogramm und in der F-Peripherie enthalten. Diese Funktionen werden durch entsprechende fehlersichere Bausteine realisiert und durch die Hardware und das Betriebssystem der F-CPU unterstützt. Zugriffschutz Der Zugriffschutz auf F-Systeme wird realisiert durch die Vergabe von Passwörtern für die F- CPU und für das Sicherheitsprogramm. Die Realisierung des Zugriffschutzes ist ausführlich beschrieben: für S7 Distributed Safety im Handbuch "S7 Distributed Safety, Projektieren und Programmieren" ( für S7 F/FH Systems im Handbuch "S7 F/FH Systems, Projektieren und Programmieren" ( WARNUNG Zum Schutz der Hardware von F-Systemen vor unzulässiger Modifikation müssen ggf. geeignete Maßnahmen getroffen werden, z. B.: Einbau in einen abschließbaren Schrank Sichern der Micro Memory Card bzw. Flash-Card der F-CPU durch einen Aufkleber 4.2 Sicherheitsbetrieb Sicherheitsbetrieb Im Sicherheitsbetrieb sind die Sicherheitsfunktionen zur Fehlererkennung und Fehlerreaktion aktiviert: in der fehlersicheren Peripherie im Sicherheitsprogramm der F-CPU Sicherheitsbetrieb der F-Peripherie Für die fehlersicheren Signalbaugruppen S7-300 wird bei der Projektierung in HW Konfig anhand des Parameters "Sicherheitsbetrieb" unterschieden, ob die Baugruppen im Standardbetrieb (Einsatz als Standard-Signalbaugruppen S7-300 außer SM 326; DO 8 DC 24V/2A und SM 336; F-AI 0/ mA HART) oder im Sicherheitsbetrieb eingesetzt werden. Fehlersichere Module ET 200S, ET 200pro und ET 200eco können nur im Sicherheitsbetrieb eingesetzt werden. 92 Systemhandbuch, 07/2013, A5E

93 Sicherheit in F-Systemen 4.2 Sicherheitsbetrieb Sicherheitsbetrieb des Sicherheitsprogramms Das Sicherheitsprogramm läuft in der F-CPU im Sicherheitsbetrieb ab, d. h., alle Sicherheitsmechanismen zur Fehlererkennung und Fehlerreaktion sind aktiviert. In diesem Zustand ist eine Änderung des Sicherheitsprogramms im laufenden Betrieb nicht möglich. Der Sicherheitsbetrieb des Sicherheitsprogramms in der F-CPU kann zeitweise aus- und wieder eingeschaltet werden. Der sogenannte "deaktivierte Sicherheitsbetrieb" ermöglicht es, das Sicherheitsprogramm online zu testen und ggf. Änderungen des Sicherheitsprogramms im Betriebszustand RUN vorzunehmen. Für S7 Distributed Safety ist das Umschalten zurück in den Sicherheitsbetrieb nur über einen Betriebszustandswechsel RUN-STOP-RUN der F-CPU möglich. Für S7 F/FH Systems ist ein Betriebszustandswechsel der F-CPU für die Rückkehr in den Sicherheitsbetrieb nicht erforderlich. Sicherheitstelegramm Im Sicherheitsbetrieb werden die Daten zwischen F-CPU und F-Peripherie in einem Sicherheitstelegramm konsistent übertragen. Das Sicherheitstelegramm gemäß PROFIsafe besteht aus: Prozesswerten (Nutzdaten) Statusbyte/Steuerbyte (Koordinierungsdaten für Sicherheitsbetrieb) Sequenznummer Prüfwert CRC Die sicherheitsgerichtete CPU-CPU-Kommunikation erfolgt ebenfalls über ein Sicherheitstelegramm ähnlich PROFIsafe. Die folgenden Informationen zu Überwachungszeit, Sequenznummer und Prüfwert CRC gelten hier analog. Überwachungszeit und Sequenznummer Die zeitliche Überwachung der Telegrammaktualisierung im PROFIsafe-Protokoll erfolgt durch die Vorgabe einer Sequenznummer von der F-CPU an die F-Peripherie. Innerhalb einer parametrierbaren Überwachungszeit muss ein gültiges aktuelles Sicherheitstelegramm bei der F-CPU und der F-Peripherie mit einer gültigen Sequenznummer angekommen sein. Wenn innerhalb der Überwachungszeit keine gültige Sequenznummer erkannt wird, dann wird die F-Peripherie passiviert. Prüfwert CRC (Cyclic Redundancy Check) Die Gültigkeit der im Sicherheitstelegramm enthaltenen Prozesswerte, die Korrektheit der zugeordneten Adressbeziehungen und die sicherheitsrelevanten Parameter werden über einen im Sicherheitstelegramm enthaltenen Prüfwert CRC abgesichert. Tritt ein Prüfwert-Fehler bei der Kommunikation zwischen F-CPU und F-Peripherie auf, z. B. durch zeitweise hohe elektromagnetische Störungen, dann wird die F-Peripherie passiviert. Systemhandbuch, 07/2013, A5E

94 Sicherheit in F-Systemen 4.3 Fehlerreaktionen Siehe auch Projektierung der Überwachungszeiten (Seite 140) 4.3 Fehlerreaktionen Sicherer Zustand Grundlage des Sicherheitskonzeptes ist es, dass für alle Prozessgrößen ein sicherer Zustand existiert. Bei digitaler F-Peripherie ist das der Wert "0". Dies gilt für Geber wie für Aktoren. Fehlerreaktionen in F-CPU und Betriebssystem Die Fehlerreaktionen durch die F-CPU und das Betriebssystem erfolgen in S7 Distributed Safety und S7 F/FH Systems genauso, wie in Standard-S und S7-400-Systemen. Zusätzlich werden in F-Systemen Fehlerreaktionen im Sicherheitsprogramm ausgelöst. Fehlerreaktionen im Sicherheitsprogramm Alle Fehlerreaktionen des Sicherheitsprogramms führen zu einem sicheren Zustand der Prozessgrößen. Das sind im Einzelnen: in S7 Distributed Safety: STOP der F-CPU. Dieser Zustand kann nur durch einen neuen Anlauf des F-Systems wieder aufgehoben werden. in S7 F Systems: wahlweise Abschalten aller F-Abschaltgruppen der F-CPU oder nur Abschalten der F-Abschaltgruppe, in welcher ein Fehler erkannt wurde (F-STOP). Die F- CPU geht nicht in STOP. Das Standard-Anwenderprogramm ist von der Abschaltung nicht betroffen. Nach der Fehlerbehebung muss ein neuer Anlauf des Sicherheitsprogramms/der F-Abschaltgruppe erfolgen. Dieser Anlauf wird nach einer Anwenderquittierung am F-Baustein F_SHUTDN ausgeführt. in S7 FH Systems: wird zunächst eine Master-Reserve-Umschaltung ausgelöst. Falls der Fehler weiterhin besteht, wird ein F-STOP ausgelöst (siehe oben "in S7 F Systems"). Passivierung von F-Peripherie/Kanälen einer F-Peripherie. F-Peripherie-/Kanal- oder Kommunikationsfehler führen zur Passivierung der betroffenen F-Peripherie bzw. der betroffenen Kanäle der F-Peripherie und nicht zum STOP der F- CPU. Nach der Fehlerbehebung muss eine Wiedereingliederung (Depassivierung) der F- Peripherie/der Kanäle der F-Peripherie erfolgen. Die Wiedereingliederung (Umschaltung von Ersatzwerten auf Prozesswerte) erfolgt automatisch oder erst nach einer Anwenderquittierung. Als Reaktion auf erkannte Fehler können auch Standard-Diagnose- und Meldefunktionen ausgeführt werden. 94 Systemhandbuch, 07/2013, A5E

95 Sicherheit in F-Systemen 4.4 Anlauf eines F-Systems Fehlerreaktionen in der F-Peripherie Erkennt eine F-Peripherie einen F-Peripherie-/Kanalfehler, so schaltet sie den betroffenen Kanal oder alle Kanäle in den sicheren Zustand; d. h., die Kanäle dieser F-Peripherie werden passiviert. Die F-Peripherie meldet den erkannten Fehler an die F-CPU und über das Sicherheitstelegramm an das Sicherheitsprogramm in der F-CPU. Nach der Fehlerbehebung muss eine Wiedereingliederung (Depassivierung) der F-Peripherie erfolgen (siehe Absatz "Fehlerreaktionen im Sicherheitsprogramm"). 4.4 Anlauf eines F-Systems Betriebszustände von F-Systemen Die Betriebszustände von S7 Distributed Safety bzw. S7 F/FH Systems unterscheiden sich vom Standardfall nur durch das Anlaufverhalten und das Verhalten im Betriebszustand HALT. Anlaufverhalten Beim STOP-RUN-Übergang einer F-CPU erfolgt der Anlauf des Standard- Anwenderprogramms wie gewohnt. Beim Anlauf des Sicherheitsprogramms werden: für S7 Distributed Safety: alle Datenbausteine mit F-Attribut für S7 F/FH Systems: alle Datenbausteine mit F-Attribut mit den Werten aus dem Ladespeicher initialisiert (wie bei einem Kaltstart). Dadurch gehen gespeicherte Fehlerinformationen verloren. Das F-System führt eine automatische Wiedereingliederung der F-Peripherie durch. Im Unterschied zum Standard-Anwenderprogramm können die Anlauf-OBs (OB 100 bis 102) im Sicherheitsprogramm nicht verwendet werden. Anlaufschutz Ein Anlauf des Sicherheitsprogramms mit den Werten aus dem Ladespeicher kann auch durch einen Hantierungsfehler oder einen internen Fehler ausgelöst werden. Wenn der Prozess dies nicht erlaubt, muss im Sicherheitsprogramm ein (Wieder)anlaufschutz programmiert werden: Die Ausgabe von Prozesswerten muss blockiert werden, bis eine manuelle Freigabe erfolgt. Die Freigabe darf erst erfolgen, wenn die Ausgabe der Prozesswerte gefahrlos möglich ist und Fehler behoben wurden. Systemhandbuch, 07/2013, A5E

96 Sicherheit in F-Systemen 4.5 Passwortschutz für F-Systeme Betriebszustand Halt Der Betriebszustand HALT wird für S7 Distributed Safety und S7 F/FH Systems nicht unterstützt. Wird der Ablauf des Anwenderprogramms mit einer HALT-Anforderung angehalten, so kann dieser Zustand nur durch einen Anlauf des Sicherheitsprogramms aufgehoben werden. Bei S7 F Systems kann das Sicherheitsprogramm abgeschaltet werden und wieder anlaufen, während die F-CPU im Betriebszustand RUN bleibt (Steuerung erfolgt über den F-Baustein F_SHUTDN). In diesem Fall muss die F-Peripherie ggf. manuell wieder eingegliedert werden. 4.5 Passwortschutz für F-Systeme Zwei Passwörter Zusätzlich zum Standard-Passwort für die (F-)CPU wird für F-Systeme ein Passwort für das Sicherheitsprogramm benötigt. Das Passwort für die F-CPU schützt die F-Systeme gegen unerwünschtes Herunterladen in die F-CPU (Downloads) von dem Engineering System (ES) oder dem Programmiergerät (PG). Das Passwort für das Sicherheitsprogramm schützt gegen unerwünschte Änderungen des Sicherheitsprogramms. Bei S7 Distributed Safety schützt es zusätzlich gegen unerwünschte Änderungen der Konfiguration und Parametrierung der F-CPU und F-Peripherie. Passwörter vergeben Das Passwort für die F-CPU vergibt der Anwender in HW Konfig bei der Parametrierung der F-CPU im Register "Schutz". Das Passwort für das Sicherheitsprogramm vergibt der Anwender bei der Programmierung/Projektierung des Sicherheitsprogramms. Ein entsprechender Dialog wird automatisch bei der ersten Übersetzung des Sicherheitsprogramms aufgeblendet. 96 Systemhandbuch, 07/2013, A5E

97 Sicherheit in F-Systemen 4.6 Abnahme der Anlage 4.6 Abnahme der Anlage Wer nimmt die Anlage ab? Die Abnahme der Anlage wird in der Regel von unabhängigen Sachverständigen durchgeführt. Unterstützung bei der Vorbereitung der Abnahme Bei der Abnahme der Anlage muss die Einhaltung aller relevanten anwendungsspezifischen Normen geprüft werden. Zur Unterstützung der Überprüfung des korrekten Einsatzes des F-Systems wird der Anwender durch die folgenden speziellen Funktionen in STEP 7, im SIMATIC Manager unterstützt: Sicherheitsprogramme vergleichen Sicherheitsprogramme drucken Alle Daten, die für die Abnahme des F-Systems relevant sind, können im SIMATIC Manager abgerufen und nach Bedarf ausgedruckt werden. Anwendertätigkeiten Alle Anwendertätigkeiten zur Vorbereitung der Abnahme einer Anlage sind abhängig vom eingesetzten F-System. Die Vorgehensweise ist deshalb im jeweiligen Handbuch zur Projektierung und Programmierung von S7 Distributed Safety bzw. S7 F/FH Systems unter dem Stichwort "Abnahme der Anlage" beschrieben. Systemhandbuch, 07/2013, A5E

98 Sicherheit in F-Systemen 4.7 Normen und Zulassungen 4.7 Normen und Zulassungen Sicherheitszertifikat Kopien des Sicherheitszertifikats (TÜV-Zertifikat) für die fehlersicheren Komponenten der S7 Distributed Safety bzw. S7 F/FH Systems sowie des Berichts zum Zertifikat und der Annexe zum Bericht zum Zertifikat "Safety-Related Programmable System SIMATIC S7 Distributed Safety" bzw. "Safety-Related Programmable Systems SIMATIC S7 F/FH Systems (formerly S7-400F and S7-400FH)" sind auf Anfrage erhältlich bei: Frau Petra Bleicher A&D AS RD ST Type Test Fax-Nr Hinweis Die Annexe zum Bericht zum Zertifikat enthalten zulässige Versionsnummern und Signaturen fehlersicherer Komponenten für S7 Distributed Safety bzw. S7 F/FH Systems, die bei einer Abnahme überprüft werden müssen! Der Bericht zum Zertifikat enthält die aktuellen Auflagen, die beim Einsatz von S7 Distributed Safety bzw. S7 F/FH Systems erfüllt werden müssen. Normen und Richtlinien bezüglich funktionaler Sicherheit Die F-Systeme S7 Distributed Safety und S7 F/FH Systems sind nach Normen und Richtlinien bezüglich funktionaler Sicherheit zertifiziert, die Sie jeweils dem Bericht zum Sicherheitszertifikat (TÜV-Zertifikat) und dem zugehörigen Annex entnehmen können. Die aktuellen TÜV-Dokumente finden Sie im Internet unter der Adresse unter "Produkt Support". 98 Systemhandbuch, 07/2013, A5E

99 Sicherheit in F-Systemen 4.8 Sicherheitsanforderungen 4.8 Sicherheitsanforderungen Genormte Sicherheitsanforderungen Mit F-Systemen S7 Distributed Safety und S7 F/FH Systems können die folgenden Sicherheitsanforderungen erfüllt werden: Sicherheitsklasse (Safety Integrity Level) SIL3 nach IEC 61508:2000 Performance Level (PL) e und Kategorie 4 nach ISO :2006 bzw. EN ISO :2008 Bestimmung des Sicherheits-Integritätslevels nach IEC :1998 Mit der qualitativen Methode des Risikographen ist es möglich, den Sicherheits- Integritätslevel eines sicherheitsbezogenen Systems aus der Kenntnis der Risikofaktoren zu bestimmen: S Startpunkt der Abschätzung der Risikominderung C Risikoparameter der Auswirkung F Risikoparameter der Häufigkeit und Aufenthaltsdauer P Risikoparameter der Möglichkeit, den gefährlichen Vorfall zu vermeiden W Wahrscheinlichkeit des unerwünschten Ereignisses --- Keine Sicherheitsanforderungen a Keine speziellen Sicherheitsanforderungen b Ein einzelnes elektrisch/elektronisch/programmierbar elektronisches System ist nicht ausreichend. 1, 2, 3, 4 Sicherheits-Integritätslevel Bild 4-1 Risikograph nach IEC :1998 Systemhandbuch, 07/2013, A5E

100 Sicherheit in F-Systemen 4.8 Sicherheitsanforderungen Risikoparameter Die Risikoparameter haben die folgende Bedeutung nach IEC :1998: Tabelle 4-1 Bedeutung der Risikoparameter nach IEC :1998 Parameter Auswirkung (C ) CA CB CC CD Bedeutung Geringe Verletzung Schwere irreversible Verletzung einer oder mehrerer Personen; Tod einer Person Tod mehrerer Personen Tod sehr vieler Personen Häufigkeit und Aufenthaltsdauer im gefährlichen Bereich (F) FA FB Seltener bis öfterer Aufenthalt im gefährlichen Bereich Häufiger bis dauernder Aufenthalt im gefährlichen Bereich Möglichkeit, den gefährlichen Vorfall zu vermeiden (P) PA PB Möglich unter bestimmten Bedingungen Beinahe unmöglich Wahrscheinlichkeit des unerwünschten Ereignisses (W) W1 W2 W3 Sehr gering Gering Relativ hoch Safety Integrity Level nach IEC 61508:2000 IEC 61508:2000 definiert für jedes "Safety Integrity Level" (SIL) als Zielmaß die Versagenswahrscheinlichkeit einer Sicherheitsfunktion, die einem fehlersicheren System zugeordnet ist. Tabelle 4-2 Safety Integrity Level nach IEC 61508:2000 Safety Integrity Level Betrieb im geringen Anforderungsmodus low demand mode (average probability of failure on demand) Betrieb im häufigen Anforderungs- oder kontinuierlichen Modus high demand/continuous mode (probability of a dangerous failure per hour) bis < bis < bis < bis < bis < bis < bis < bis < Systemhandbuch, 07/2013, A5E

101 Sicherheit in F-Systemen 4.8 Sicherheitsanforderungen Erläuterungen zur Tabelle Im Allgemeinen liefern die Aktoren und Geber den größten Beitrag zu den Versagenswahrscheinlichkeiten der obigen Tabelle. Jede Sicherheitsfunktion umfasst immer die gesamte Kette, von der Informationserfassung über die Informationsverarbeitung bis hin zur beabsichtigten Aktion. Die daran beteiligten Geräte, wie z. B. ein F-System S7 F/FH Systems, Geber und Aktoren, müssen in ihrer Gesamtheit die bei der Risikobewertung ermittelte SIL, Kat. bzw. PL erfüllen. Wenn mit S7 Distributed Safety oder S7 F/FH Systems Steuerungsfunktionen und zugehörige Schutzfunktionen gemeinsam realisiert werden, liegt Betrieb im häufigen Anforderungs- oder kontinuierlichen Modus vor. Risikobetrachtung laut IEC 61508:2000 Das folgende Bild zeigt, dass ein F-System durch geeignete organisatorische und technische Maßnahmen Gefahrenmomente verhindert oder sie auf ein tolerierbares Maß reduziert. Bild 4-2 Risikobetrachtung nach IEC 61508:2000 Performance Level nach ISO :2006 bzw. EN ISO : 2008 und Beziehung zum Safety Integrity Level Nach ISO :2006 bzw. EN ISO :2008 wird die Fähigkeit sicherheitsbezogener Teile eine Sicherheitsfunktion auszuführen durch die Bestimmung eines Performance Levels (PL) ausgedrückt. Die Beziehung zwischen Performance Level (PL) und Safety Integrity Level (SIL) ist in der Norm ISO :2006 bzw. EN ISO :2008 beschrieben. Systemhandbuch, 07/2013, A5E

102 Sicherheit in F-Systemen 4.8 Sicherheitsanforderungen Versagenswahrscheinlichkeitswerte einzelner Komponenten von S7 Distributed Safety und S7 F/FH Systems Die folgende Tabelle enthält die Werte für die Versagenswahrscheinlichkeit einzelner Komponenten der F-Systeme S7 Distributed Safety und S7 F/FH Systems: Tabelle 4-3 Wahrscheinlichkeitswerte einzelner Komponenten von S7 Distributed Safety und S7 F/FH Systems Betrieb im geringen Anforderungsmodus low demand mode (average probability of failure on demand) Betrieb im häufigen Anforderungs- oder kontinuierlichen Modus high demand/continuous mode (probability of a dangerous failure per hour) Proof-Test- Intervall F-fähige CPUs für S7 Distributed Safety: IM F-CPU 1,59E-05 3,62E Jahre 6ES7151-7FA20-0AB0 3,18E-05 3,62E Jahre IM 151-8F PN/DP CPU < 5E-05 < 2E Jahre 6ES7151-8FB00-0AB0 < 1E-04 < 2E Jahre CPU 315F-2 DP 2,38E-05 5,43E Jahre 6ES7315-6FF01-0AB0 4,76E-05 5,43E Jahre CPU 315F-2 PN/DP 4,76E-05 1,09E Jahre 6ES7315-2FH13-0AB0 9,52E-05 1,09E Jahre CPU 317F-2 DP 4,76E-05 1,09E Jahre 6ES7317-6FF03-0AB0 9,52E-05 1,09E Jahre CPU 317F-2 PN/DP 4,76E-05 1,09E Jahre 6ES7317-2FK13-0AB0 9,52E-05 1,09E Jahre CPU 319F-3 PN/DP < 1E-04 < 3E Jahre 6ES7318-3FL00-0AB0 < 2E-04 < 3E Jahre CPU 416F-2 4,76E-05 1,09E Jahre 6ES7416-2FN05-0AB0 9,52E-05 1,09E Jahre CPU 416F-3 PN/DP 4,76E-05 1,09E Jahre 6ES7416-3FR05-0AB0 9,52E-05 1,09E Jahre F-fähige CPUs für S7 F/FH Systems: CPU 412-3H 1,9E-04 4,3E Jahre 6ES7412-3HJ14-0AB0 3,8E-04 4,3E Jahre CPU 414-4H 1,9E-04 4,3E Jahre 6ES7414-4HM14-0AB0 3,8E-04 4,3E Jahre CPU 417-4H 1,9E-04 4,3E Jahre 6ES7417-4HT14-0AB0 3,8E-04 4,3E Jahre 102 Systemhandbuch, 07/2013, A5E

103 Sicherheit in F-Systemen 4.8 Sicherheitsanforderungen sicherheitsgerichtete Kommunikation F-Peripherie, wie: Betrieb im geringen Anforderungsmodus low demand mode (average probability of failure on demand) 1,00E-05 siehe Technische Daten im Handbuch: Betrieb im häufigen Anforderungs- oder kontinuierlichen Modus high demand/continuous mode (probability of a dangerous failure per hour) 1,00E-09* Proof-Test- Intervall F-SMs S7-300 "Automatisierungssystem S7 300, Dezentrales Peripheriegerät ET 200M, Fehlersichere Signalbaugruppen" ( F-Module ET 200S "Dezentrales Peripheriesystem ET 200S, Fehlersichere Module" ( Fehlersichere Module ET 200pro F-Peripheriemodul ET 200eco fehlersichere DP-Normslaves fehlersichere IO-Normdevices fehlersichere PA-Feldgeräte "Dezentrales Peripheriesystem ET 200pro, Fehlersichere Module" ( "Dezentrales Peripheriegerät ET 200eco, Fehlersicheres Peripheriemodul" ( zum fehlersicheren DP-Normslave zum fehlersicheren IO-Normdevice zum fehlersicheren PA-Feldgerät * Hinweis: Der Wert gilt unter der Annahme, dass maximal 100 F-Peripherien an einer Sicherheitsfunktion beteiligt sind. Bei Einsatz von mehr als 100 F-Peripherien müssen Sie für diese Sicherheitsfunktion zusätzlich 4E-12 pro F-Peripherie addieren. Systemhandbuch, 07/2013, A5E

104 Sicherheit in F-Systemen 4.8 Sicherheitsanforderungen Beitrag des F-Systems zur Versagenswahrscheinlichkeit ermitteln Der Beitrag des F-Systems zur Versagenswahrscheinlichkeit einer Sicherheitsfunktion wird ermittelt durch Summierung der Versagenswahrscheinlichkeiten der daran beteiligten F- CPUs und F-Peripherie. Redundante F-CPUs zählen dabei einfach, F-Peripherie doppelt. (Redundante F-Peripherie mit Eingängen zählt deshalb doppelt, weil die redundant über 2 Adressen gelesenen Eingangssignale intern verodert werden und es somit 2 Versagensursachen gibt, entweder die eine oder die andere F-Peripherie. Redundante F-Peripherie mit Ausgängen zählt deshalb doppelt, weil die redundant über 2 Adressen aktivierten Ausgänge der beiden F-Peripherien hardwaremäßig verodert werden.) Dazu kommt der Beitrag der sicherheitsgerichteten Kommunikation. An einer Sicherheitsfunktion können auch mehrere F-Systeme beteiligt sein. Die Versagenswahrscheinlichkeit der Sicherheitsfunktion erhält man, indem man zum Beitrag des F-Systems den Beitrag der an der Sicherheitsfunktion beteiligten Geber und Aktoren addiert. Berechnungsbeispiel Eine Sicherheitsfunktion wird mit einem F-System S7 FH Systems realisiert. An der Sicherheitsfunktion sind die in der folgenden Tabelle angegebenen F-CPUs und F-SMs beteiligt. Die F-CPU und F-SMs werden redundant eingesetzt. Ihr Proof-Test-Intervall beträgt 10 Jahre. Die F-SMs befinden sich in der Betriebsart für Sicherheitsbetrieb für SIL3/Kat.4/PLe. Es liegt Betrieb im häufigen Anforderungsmodus vor: Tabelle 4-4 Berechnungsbeispiel zum Beitrag des F-Systems zur Versagenswahrscheinlichkeit einer Sicherheitsfunktion An der Sicherheitsfunktion beteiligte F-CPUs, F-SMs und sicherheitsgerichtete Kommunikation CPU 417-4H 6ES7417-4HT14-0AB0 SM 326; DO 10 DC 24V/2A 6ES7326-2BF01-0AB0 SM 326; DI 24 DC 24V 6ES7326-1BK01-0AB0 sicherheitsgerichtete Kommunikation Summe Anzahl Redundanz Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde (probability of a dangerous failure per hour) 1 ja 4,3E-09 1 ja 2,00E-09 2 ja 4,00E-09 1,00E-09 11,3E Systemhandbuch, 07/2013, A5E

105 Erreichbare Sicherheitsklassen mit F-Peripherie Einleitung In diesem Kapitel Dieses Kapitel zeigt Ihnen die Möglichkeiten auf, mit F-Peripherie in S7 Distributed Safety und S7 F/FH Systems die Sicherheitsklassen SIL2/Kat.3/PLd und SIL3/Kat.4/PLe zu erreichen. Die Informationen beziehen sich auf die F-Peripherie des SIMATIC S7- Spektrums, d. h. F-SMs S7-300, F-Module ET 200S, F-Module ET 200pro und das fehlersichere F-Peripheriemodul ET 200eco. Weitere Informationen Ob die Realisierung für Ihren Anwendungsfall möglich ist, hängt von dem F-System und der eingesetzten F-Peripherie ab. Diese Informationen finden Sie in folgenden Handbüchern: für S7 Distributed Safety im Handbuch "S7 Distributed Safety, Projektieren und Programmieren" ( für S7 F/FH Systems im Handbuch "S7 F/FH Systems, Projektieren und Programmieren" ( für F-SMs S7-300 im Handbuch "Automatisierungssystem S7 300, Dezentrales Peripheriegerät ET 200M, Fehlersichere Signalbaugruppen" ( für fehlersichere Module ET 200S im Handbuch "Dezentrales Peripheriesystem ET 200S, Fehlersichere Module" ( für fehlersichere Module ET 200pro im Handbuch "Dezentrales Peripheriesystem ET 200pro, Fehlersichere Module" ( für das fehlersicher Peripheriemodul ET 200eco im Handbuch "Dezentrales Peripheriegerät ET 200eco, Fehlersicheres Peripheriemodul" ( Wie wird die Sicherheitsklasse bei F-Peripherie mit Eingängen erreicht? Bei F-Peripherie mit Eingängen wird die erforderliche Sicherheitsklasse erreicht: intern durch Testschaltungen und automatische Tests extern durch die Art der Geberauswertung, d. h. die Verdrahtung der Geber bestimmt die Sicherheitsklasse SIL2/Kat.3/PLd oder SIL3/Kat.4/PLe Alternativ kann SIL3/Kat.4/PLe durch die Auswertung im Sicherheitsprogramm mit F-Bausteinen, die eine Diskrepanzanalyse durchführen, erreicht werden. Systemhandbuch, 07/2013, A5E

106 Erreichbare Sicherheitsklassen mit F-Peripherie 5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen Wie wird die Sicherheitsklasse bei F-Peripherie mit Ausgängen erreicht? Bei F-Peripherie mit Ausgängen wird die erforderliche Sicherheitsklasse erreicht: intern durch Testschaltungen und automatische Tests extern durch die vorgeschriebene Verschaltung des Aktors. Darüber hinaus kann es erforderlich sein, Testsignale aus dem Prozess durch die F- Peripherie lesen und durch das Sicherheitsprogramm auswerten zu lassen. 5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F- Peripherie mit Eingängen Geberauswertung bei F-Peripherie mit Digitaleingängen Bei F-Peripherie mit Digitaleingängen wird die erforderliche Sicherheitsklasse durch die Art der Geberauswertung erreicht. Tabelle 5-1 Erreichbare Sicherheitsklassen bei F-Peripherie mit Digitaleingängen Sicherheitsklasse, Kategorie, Performance Level wird erreicht durch Geberauswertung Auswertung erfolgt... nach IEC 61508:2000 nach ISO :2006 bzw. EN ISO :2008 SIL2 Kat. 3/PLd 1oo1 (1v1)-Auswertung in der F-Peripherie SIL3 Kat. 4/PLe 1oo2 (2v2)-Auswertung in der F-Peripherie; alternativ im Sicherheitsprogramm mit F-Baustein SIL3 Kat. 4/PLe 2oo3 (2v3)-Auswertung im Sicherheitsprogramm mit F-Baustein 106 Systemhandbuch, 07/2013, A5E

107 Erreichbare Sicherheitsklassen mit F-Peripherie 5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen Geberauswertung bei F-Peripherie mit Analogeingängen Bei F-Peripherie mit Analogeingängen wird die erforderliche Sicherheitsklasse durch die Art der Geberauswertung erreicht. Die erforderliche Sicherheitsklasse wird mit oder ohne Redundanz der Geber erreicht. Tabelle 5-2 Erreichbare Sicherheitsklassen bei F-Peripherie mit Analogeingängen Sicherheitsklasse, Kategorie, Performance Level wird erreicht durch Geberauswertung Auswertung erfolgt... nach IEC 61508:2000 nach ISO :2006 bzw. EN ISO :2008 SIL3 Kat. 3/PLe 1oo1 (1v1)-Auswertung in der F-Peripherie (nur SM 336; F-AI 6 0/ ma HART) SIL3 Kat. 4/PLe 1oo2 (2v2)-Auswertung in der F-Peripherie; alternativ im Sicherheitsprogramm mit F-Baustein SIL3 Kat. 4/PLe 2oo3 (2v3)-Auswertung im Sicherheitsprogramm mit F-Baustein Was ist zu tun? Geber entsprechend der gewünschten Geberauswertung und Geberversorgung an der F- Peripherie verdrahten (1oo1 (1v1)- oder 1oo2 (2v2)-Auswertung, Geber 1-kanalig oder 2- kanalig; Geberversorgung von der F-Peripherie oder von extern) mit STEP 7 parametrieren: Geberauswertung (1oo1 oder 1oo2) Art der Geberverschaltung (1-kanalig oder 2-kanalig) ggf. Kurzschlusstest einschalten ggf. festlegen, welche F-Peripherie redundant sein soll (nur für S7 FH Systems) ggf. Diskrepanzzeit festlegen ggf. im Sicherheitsprogramm F-Bausteine mit Diskrepanzanalyse aufrufen und verschalten (z. B. in S7 F Systems FB 317 "F_2oo3AI") Einfluss der Geberqualität auf die Sicherheitsklasse Die erreichbare Sicherheitsklasse ist abhängig von der Geberqualität und von der Größe des Proof-Test-Intervalls nach Norm IEC 61508:2000. Ist die Geberqualität geringer als die, die der erforderlichen Sicherheitsklasse entspricht, muss der Geber redundant eingesetzt und 2-kanalig angeschlossen werden. Systemhandbuch, 07/2013, A5E

108 Erreichbare Sicherheitsklassen mit F-Peripherie 5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen oo1 (1v1)-Auswertung bei F-Peripherie mit Eingängen Einleitung Zum besseren Verständnis der 1oo1 (1v1)-Auswertung sind in diesem Kapitel Beispiele für die Verdrahtung von Gebern dargestellt. Die Beispiele zeigen einige Verdrahtungsmöglichkeiten von Gebern an F-SMs und sind dem Handbuch "Automatisierungssystem S7 300, Dezentrales Peripheriegerät ET 200M, Fehlersichere Signalbaugruppen" ( entnommen. 1oo1 (1v1)-Auswertung Bei der 1oo1 (1v1)-Auswertung ist der Geber einmal vorhanden und wird 1-kanalig an die F- Peripherie angeschlossen. Anwendungen in der Feuerungstechnik nach EN 298 Wenn Geber eingesetzt werden, die 1-kanalig die Sicherheit gemäß EN 298 bieten, dürfen bei 1oo1 (1v1)-Auswertung der Geber F-SMs S7-300, F-Module ET 200S, ET 200pro und F- Peripheriemodule ET 200eco mit Digitaleingängen in Anwendungen der Feuerungstechnik gemäß EN 298 betrieben werden. Beispiel: ein einkanaliger Geber 1-kanalig an eine F-DI (SIL2/Kat.3/PLd) Im folgenden Bild ist das Verdrahtungsschema für eine SM 326, DI 24 DC 24V bei 1oo1 (1v1)-Auswertung des Gebers dargestellt. Die Geberversorgung erfolgt von der F-Peripherie. Mit dieser Verdrahtung kann SIL2/Kat.3/PLd erreicht werden. SIL2/Kat.3/PLd wird nur dann erreicht, wenn ein entsprechend qualifizierter Geber eingesetzt wird. Bild 5-1 Beispiel: Verdrahtungsschema ein Geber 1-kanalig an eine F-DI (1oo1) 1oo1 (1v1)-Auswertung mit hoher Verfügbarkeit (nur für S7 FH Systems) Um eine hohe Verfügbarkeit zu erreichen, lässt sich in S7 FH Systems ein Geber an zwei redundante F-DI anschließen bzw. lassen sich zwei Geber redundant an zwei F-DI anschließen. 108 Systemhandbuch, 07/2013, A5E

109 Erreichbare Sicherheitsklassen mit F-Peripherie 5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen Beispiel: ein Geber 1-kanalig an zwei F-DIs (hohe Verfügbarkeit; SIL2/Kat.3/PLd) Im folgenden Bild ist das Verdrahtungsschema für 1oo1 (1v1)-Auswertung des Gebers an zwei SM 326, DI 24 DC 24V dargestellt. Die Geberversorgung erfolgt von extern. Mit dieser Verdrahtung kann SIL2/Kat.3/PLd und hohe Verfügbarkeit erreicht werden. SIL2/Kat.3/PLd wird nur dann erreicht, wenn ein entsprechend qualifizierter Geber eingesetzt wird. Bild 5-2 Beispiel: Verdrahtungsschema ein Geber 1-kanalig an zwei F-DIs (1oo1), hohe Verfügbarkeit) Beispiel: zwei redundante Geber 1-kanalig an zwei F-DIs (hohe Verfügbarkeit; SIL2/Kat.3/PLd) Im folgenden Bild ist das Verdrahtungsschema für 1oo1 (1v1)-Auswertung von zwei redundanten Gebern an zwei SM 326, DI 24 DC 24V dargestellt. Die Geberversorgung erfolgt von der F-Peripherie. Mit dieser Verdrahtung kann SIL2/Kat.3/PLd und hohe Verfügbarkeit erreicht werden. SIL2/Kat.3/PLd wird nur dann erreicht, wenn ein entsprechend qualifizierter Geber eingesetzt wird. Bild 5-3 Beispiel: Verdrahtungsschema zwei redundante Geber 1-kanalig an zwei F-DIs (1oo1 (1v1), hohe Verfügbarkeit) Systemhandbuch, 07/2013, A5E

110 Erreichbare Sicherheitsklassen mit F-Peripherie 5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen Beispiel: ein Geber 1-kanalig an eine F-AI (SIL3/Kat.3/PLe) Im folgenden Bild ist das Verdrahtungsschema für eine SM 336; F-AI 6 x 0/ ma HART bei Strommessung 0/4 bis 20 ma mit 2-Draht-Messumformer dargestellt. Die Geberversorgung erfolgt von der F-Peripherie. Mit dieser Verdrahtung kann SIL3/Kat.3/PLe erreicht werden. SIL3/Kat.3/PLe wird nur dann erreicht, wenn ein entsprechend qualifizierter Geber eingesetzt wird. Bild 5-4 Beispiel: Verdrahtungsschema ein Geber 1-kanalig an eine F-AI (1oo1) oo2 (2v2)-Auswertung bei F-Peripherie mit Eingängen Einleitung Zum besseren Verständnis der 1oo2 (2v2)-Auswertung sind in diesem Kapitel Beispiele für die Verdrahtung von Gebern dargestellt. Die Beispiele zeigen einige Verdrahtungsmöglichkeiten von Gebern an F-SMs und sind dem Handbuch "Automatisierungssystem S7 300, Dezentrales Peripheriegerät ET 200M, Fehlersichere Signalbaugruppen" ( entnommen. 1oo2 (2v2)-Auswertung Bei der 1oo2 (2v2)-Auswertung werden zwei Eingangskanäle belegt, durch einen zweikanaligen Geber oder zwei einkanalige Geber. Die Eingangssignale werden intern auf Gleichheit (Äquivalenz) bzw. auf Ungleichheit (Antivalenz) verglichen. 110 Systemhandbuch, 07/2013, A5E

111 Erreichbare Sicherheitsklassen mit F-Peripherie 5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen Diskrepanzanalyse bei 1oo2 (2v2)-Auswertung Um einen Hardware-Ausfall von einem flüchtigen, zufälligen Signalwechsel zu unterscheiden, werden die sicherheitsgerichteten Eingabesignale bei 1oo2 (2v2)- Auswertung der Geber intern einer Diskrepanzanalyse unterzogen. Die Diskrepanzanalyse wird gestartet, wenn bei zwei zusammengehörigen Eingangssignalen unterschiedliche Pegel (bei Prüfung auf Antivalenz: gleiche Pegel) festgestellt werden. Es wird geprüft, ob nach Ablauf einer parametrierbaren Zeitspanne, der sogenannten Diskrepanzzeit, der Unterschied (bei Prüfung auf Antivalenz: die Übereinstimmung) verschwunden ist. Wenn nicht, liegt ein Diskrepanzfehler vor. 1oo2 (2v2)-Auswertung bei F-Peripherie mit Digitaleingängen Bei der 1oo2 (2v2)-Auswertung steht im Sicherheitsprogramm nur der niederwertige Kanal der durch die 1oo2 (2v2)-Auswertung der Geber zusammengefassten Kanäle zur Verfügung. Bei der 1oo2 (2v2)-Auswertung können die Geber entweder einmal oder zweimal vorhanden sein. Sie werden 1-kanalig oder 2-kanalig an die F-Peripherie angeschlossen. Beispiel: ein Geber 1-kanalig an eine F-DI (SIL3/Kat.4/PLe) Im folgenden Bild ist das Verdrahtungsschema für eine SM 326, DI 24 DC 24V bei 1oo2 (2v2)-Auswertung des Gebers dargestellt. Die Geberversorgung erfolgt von der F-Peripherie. SIL3/Kat.4/PLe wird nur dann erreicht, wenn ein entsprechend qualifizierter Geber eingesetzt wird. Bild 5-5 Beispiel: Verdrahtungsschema ein Geber 1-kanalig an eine F-DI (1oo2) Systemhandbuch, 07/2013, A5E

112 Erreichbare Sicherheitsklassen mit F-Peripherie 5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen Beispiel: ein zweikanaliger Geber 2-kanalig an eine F-DI (SIL3/Kat.4/PLe) Im folgenden Bild ist das Verdrahtungsschema für eine SM 326, DI 24 DC 24V bei 1oo2 (2v2)-Auswertung eines zweikanaligen Gebers dargestellt. Mit dieser Verdrahtung kann SIL3/Kat.4/PLe erreicht werden. SIL3/Kat.4/PLe wird nur dann erreicht, wenn ein entsprechend qualifizierter Geber eingesetzt wird. Bild 5-6 Beispiel: Verdrahtungsschema ein zweikanaliger Geber 2-kanalig an eine F-DI (1oo2) Beispiel: ein antivalenter Geber 2-kanalig antivalent an eine F-DI (SIL3/Kat.4/PLe) Im folgenden Bild ist das Verdrahtungsschema für eine SM 326, DI 24 DC 24V mit antivalentem Geber (1oo2 (2v2)-Auswertung) dargestellt. Mit dieser Verdrahtung kann SIL3/Kat.4/PLe erreicht werden. Die linken Kanäle auf der Baugruppe liefern die Nutzsignale. D. h., sofern keine Fehler festgestellt werden, liegen diese Signale im Peripheriebereich für Eingänge in der F-CPU vor. SIL3/Kat.4/PLe wird nur dann erreicht, wenn ein entsprechend qualifizierter Geber eingesetzt wird. Bild 5-7 Beispiel: Verdrahtungsschema ein antivalenter Geber 2-kanalig antivalent an eine F-DI (1oo2) 1oo2 (2v2)-Auswertung mit hoher Verfügbarkeit (nur für S7 FH Systems) Um eine hohe Verfügbarkeit zu erreichen, lässt sich in S7 FH Systems ein Geber an zwei F- DI anschließen bzw. lassen sich zwei Geber redundant an zwei F-DI anschließen. 112 Systemhandbuch, 07/2013, A5E

113 Erreichbare Sicherheitsklassen mit F-Peripherie 5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen Beispiel: ein zweikanaliger Geber 2-kanalig an zwei F-DIs (hohe Verfügbarkeit; SIL3/Kat.4/PLe) Im folgenden Bild ist das Verdrahtungsschema für 1oo2 (2v2)-Auswertung des Gebers an zwei SM 326, DI 24 DC 24V dargestellt. Die Geberversorgung erfolgt von extern. Mit dieser Verdrahtung kann SIL3/Kat.4/PLe und hohe Verfügbarkeit erreicht werden. SIL3/Kat.4/PLe wird nur dann erreicht, wenn ein entsprechend qualifizierter Geber eingesetzt wird. Bild 5-8 Beispiel: Verdrahtungsschema ein zweikanaliger Geber 2-kanalig an zwei F-DIs (1oo2, hohe Verfügbarkeit) Systemhandbuch, 07/2013, A5E

114 Erreichbare Sicherheitsklassen mit F-Peripherie 5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen Beispiel: zwei redundante, einkanalige Geber 1-kanalig an zwei F-DIs (hohe Verfügbarkeit; SIL3/Kat.4/PLe) Im folgenden Bild ist das Verdrahtungsschema für 1oo2 (2v2)-Auswertung der Geber an zwei SM 326, DI 24 DC 24V dargestellt. Die Geberversorgung erfolgt von der F- Peripherie. Mit dieser Verdrahtung kann SIL3/Kat.4/PLe und hohe Verfügbarkeit erreicht werden. SIL3/Kat.4/PLe wird nur dann erreicht, wenn ein entsprechend qualifizierter Geber eingesetzt wird. Bild 5-9 Beispiel: Verdrahtungsschema zwei redundante, einkanalige Geber 1-kanalig an zwei F- DIs (2v2, hohe Verfügbarkeit) 1oo2 (2v2)-Auswertung bei F-Peripherie mit Analogeingängen Bei der 1oo2 (2v2)-Auswertung bei F-Peripherie mit Analogeingängen können die Geber entweder einmal oder mehrfach vorhanden sein. Sie werden 1-kanalig oder 2-kanalig an die F-Peripherie angeschlossen. 114 Systemhandbuch, 07/2013, A5E

115 Erreichbare Sicherheitsklassen mit F-Peripherie 5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen Beispiel: ein Geber 1-kanalig an eine F-AI (SIL2/Kat.3/PLd) Im folgenden Bild ist das Verdrahtungsschema für eine SM 336, AI 6 13 Bit bei Strommessung 4 bis 20 ma mit 2-Draht-Messumformer dargestellt. Die Geberversorgung erfolgt von der F-Peripherie. Mit dieser Verdrahtung kann SIL2/Kat.3/PLd erreicht werden. SIL3 kann erreicht werden, wenn ein entsprechend qualifizierter Geber eingesetzt wird. Bild 5-10 Beispiel: Verdrahtungsschema ein Geber 1-kanalig an eine F-AI (1oo2) Systemhandbuch, 07/2013, A5E

116 Erreichbare Sicherheitsklassen mit F-Peripherie 5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen Beispiel: zwei redundante Geber 2-kanalig an eine F-AI (SIL3/Kat.4/PLe) Im folgenden Bild ist das Verdrahtungsschema für eine SM 336, AI 6 13 Bit bei Strommessung 4 bis 20 ma mit 2-Draht-Messumformer dargestellt. Die Geberversorgung erfolgt von der F-Peripherie. Mit dieser Verdrahtung kann SIL3/Kat.4/PLe erreicht werden. SIL3/Kat.4/PLe wird nur dann erreicht, wenn entsprechend qualifizierte Geber eingesetzt werden. Bild 5-11 Beispiel: Verdrahtungsschema zwei redundante Geber 2-kanalig an eine F-AI (1oo2) 1oo2 (2v2)-Auswertung mit hoher Verfügbarkeit (nur für S7 FH Systems) Um eine hohe Verfügbarkeit zu erreichen, lassen sich in S7 FH Systems vier redundante Geber an zwei F-AI anschließen. Beispiel: vier redundante Geber 2-kanalig an zwei F-AI (hohe Verfügbarkeit; SIL3/Kat.4/PLe) Im folgenden Bild ist das Verdrahtungsschema für zwei SM 336, AI 6 13 Bit bei Strommessung 4 bis 20 ma mit 2-Draht-Messumformer dargestellt. Die Geberversorgung erfolgt von der F-Peripherie. Mit dieser Verdrahtung kann SIL3/Kat.4/PLe und hohe Verfügbarkeit erreicht werden. SIL3/Kat. 4/PLe wird nur dann erreicht, wenn entsprechend qualifizierte Geber eingesetzt werden. 116 Systemhandbuch, 07/2013, A5E

117 Erreichbare Sicherheitsklassen mit F-Peripherie 5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen Bild 5-12 Beispiel: Verdrahtungsschema vier redundante Geber 2-kanalig an zwei F-AI (1oo2, hohe Verfügbarkeit) Systemhandbuch, 07/2013, A5E

118 Erreichbare Sicherheitsklassen mit F-Peripherie 5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen oo3 (2v3)-Auswertung bei F-Peripherie mit Analogeingängen (nur für S7 F/FH Systems) Einleitung Zum besseren Verständnis der 2oo3 (2v3)-Auswertung ist in diesem Kapitel ein Beispiel für die Verdrahtung von Gebern dargestellt. Das Beispiel ist dem Handbuch "Automatisierungssystem S7 300, Dezentrales Peripheriegerät ET 200M, Fehlersichere Signalbaugruppen" ( entnommen. 2oo3 (2v3)-Auswertung Bei der 2oo3 (2v3)-Auswertung werden drei Eingangskanäle durch einkanalige Geber belegt. Die Eingangssignale werden im Sicherheitsprogramm mit einem F_2oo3AI-Baustein in S7 F Systems einer 2oo3 (2v3)-Auswertung unterzogen. 2oo3 (2v3)-Auswertung mit hoher Verfügbarkeit Um eine hohe Verfügbarkeit zu erreichen, lassen sich drei Geber an zwei F-AI anschließen, bzw. lassen sich drei Geber an drei F-AI anschließen. 118 Systemhandbuch, 07/2013, A5E

119 Erreichbare Sicherheitsklassen mit F-Peripherie 5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen Beispiel: drei einkanalige Geber an drei F-AIs (hohe Verfügbarkeit; SIL3/Kat.4/PLe) Im folgenden Bild ist das Verdrahtungsschema für 2oo3 (2v3)-Auswertung der Geber an drei SM 336; F-AI 6 x 0/ ma HART bei Strommessung 0/4 bis 20 ma mit 2-Draht-Messumformer dargestellt. Die Geberversorgung erfolgt von der F-Peripherie. Mit dieser Verdrahtung kann SIL3/Kat.4/PLe und hohe Verfügbarkeit erreicht werden. SIL3/Kat.4/PLe wird nur dann erreicht, wenn entsprechend qualifizierte Geber eingesetzt werden. Im Sicherheitsprogramm muss eine Diskrepanzanalyse mit 2oo3 (2v3)-Auswertung (z. B. mit dem F-Baustein F_2oo3AI) durchgeführt werden. Bild 5-13 Beispiel: Verdrahtungsschema drei Geber 1-kanalig an drei F-AIs (2oo3, hohe Verfügbarkeit) Systemhandbuch, 07/2013, A5E

120 Erreichbare Sicherheitsklassen mit F-Peripherie 5.3 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Ausgängen 5.3 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F- Peripherie mit Ausgängen Testsignalaufschaltungen bei F-Peripherie mit Ausgängen Bei F-Peripherie mit Ausgängen wird die erforderliche Sicherheitsklasse durch die Aufschaltung von Testsignalen erreicht. Tabelle 5-3 Erreichbare Sicherheitsklassen bei F-Peripherie mit Ausgängen Sicherheitsklasse, Kategorie, Performance Level wird erreicht durch Testsignalaufschaltung nach IEC 61508:2000 nach ISO :2006 bzw. EN ISO :2008 SIL2 Kat. 3/PLd Dunkelzeit SIL3 Kat. 4/PLe Hellzeit und Dunkelzeit Dunkelzeit Dunkelzeiten entstehen bei Abschalttests und bei vollständigen Bitmustertests. Dabei werden von der F-Peripherie mit Ausgängen testbedingte 0-Signale auf den Ausgang geschaltet, während der Ausgang aktiv ist. Der Ausgang wird daraufhin kurzzeitig abgeschaltet (= "Dunkelzeit"). Ein hinreichend träger Aktor reagiert darauf nicht und bleibt eingeschaltet. Hellzeit Hellzeiten entstehen bei vollständigen Bitmustertests. Dabei werden von der F-Peripherie mit Ausgängen testbedingte 1-Signale auf den Ausgang geschaltet, während der Ausgang deaktiv ist (Ausgangssignal "0 "). Der Ausgang wird daraufhin kurzzeitig eingeschaltet (= "Hellzeit"). Ein hinreichend träger Aktor reagiert darauf nicht und bleibt abgeschaltet. Hellzeiten entstehen bei 2-kanalig, 1-poliger Ansteuerung der Ausgänge. Hellzeiten entstehen nicht bei 2-kanalig, 2-poliger Ansteuerung mit P- und M-schaltenden Ausgängen (F-Module ET 200S, ET 200pro und SM 326; DO 8 DC 24V/2A PM). Was ist zu tun? Für SM 326; DO 10 x DC 24V/2A mit STEP 7 parametrieren: Betrieb "Sicherheitsbetrieb gemäß SIL2" oder "Sicherheitsbetrieb gemäß SIL3" (implizit wird damit die Art der Testsignalaufschaltung festgelegt) Helltest aktivieren oder deaktivieren (Wechselt das Signal täglich oder öfter, kann SIL3/Kat.4/PLe auch ohne Hellzeit erreicht werden.) Für alle andere F-Peripherie mit Digitalausgängen ist nichts einzustellen, da sie generell für die Sicherheitsklasse SIL3/Kat.4/PLe ausgelegt sind. 120 Systemhandbuch, 07/2013, A5E

121 Projektieren von F-Systemen Einleitung Projektieren wie im Standard Die Projektierung von fehlersicheren Systemen S7 Distributed Safety und S7 F/FH Systems erfolgt im Wesentlichen genauso wie für Standard-S7-300/-400-Stationen. Für die F- Funktionalität gibt es lediglich einige spezielle Register in den Objekteigenschaften der fehlersicheren Komponenten (F-CPU und F-Peripherie). Welche F-Komponenten muss der Anwender projektieren? Folgende Hardware-Komponenten sind zu projektieren: F-fähige CPU, z. B. die CPU 315F-2 DP F-Peripherie, z. B.: fehlersichere Module ET 200S fehlersichere Module ET 200pro fehlersicheres Peripheriemodul ET 200eco fehlersichere Signalbaugruppen S7-300 (für zentralen Aufbau neben F-CPU oder dezentralen Aufbau in ET 200M) fehlersichere DP-Normslaves/IO-Normdevices fehlersichere PA-Feldgeräte In diesem Kapitel Dieses Kapitel zeigt im Überblick, wie die Projektierung der Komponenten eines F-Systems erfolgt. Auf die geringfügigen Unterschiede zwischen S7 Distributed Safety und S7 F/FH Systems wird speziell hingewiesen. Systemhandbuch, 07/2013, A5E

122 Projektieren von F-Systemen 6.2 Projektieren der F-CPU Weitere Informationen Die Projektierung der Hardware ist ausführlich beschrieben in der Onlinehilfe STEP 7. Spezielle Regeln und Beispiele für die Projektierung und Programmierung von F-Systemen finden Sie: für S7 Distributed Safety im "Getting Started S7 Distributed Safety" ( für S7 Distributed Safety im Handbuch "S7 Distributed Safety, Projektieren und Programmieren" ( für S7 F/FH Systems im Handbuch "S7 F/FH Systems, Projektieren und Programmieren" ( 6.2 Projektieren der F-CPU Projektierung Die F-CPU wird im Hardware Katalog von HW Konfig innerhalb des Bereichs der anderen CPUs S7-300 bzw. S7-400 aufgeführt. Die F-CPU wird nach dem gleichen Schema wie Standard-CPUs projektiert. Nachdem die F- CPU in der Konfigurationstabelle platziert wurde, erreicht man den Projektierdialog mit dem Menübefehl Bearbeiten > Objekteigenschaften oder durch Doppelklick auf die F-CPU. Im Register "Schutz" muss die Schutzstufe 1, das CPU-Passwort und die Option "CPU enthält Sicherheitsprogramm" projektiert werden. Im Unterschied zu S7 F/FH Systems gibt es für die S7 Distributed Safety-CPU außerdem ein spezielles, F-relevantes Register "F-Parameter ". 122 Systemhandbuch, 07/2013, A5E

123 Projektieren von F-Systemen 6.2 Projektieren der F-CPU Beispiel für die Projektierung einer F-CPU für S7 Distributed Safety Das folgende Bild zeigt das F-relevante Register für eine CPU 319F-3PN/DP. Die Deaktivierbarkeit des Sicherheitsbetriebs kann freigegeben oder gesperrt werden. Bei Sperrung ist die Deaktivierung generell nicht mehr möglich. S7 Distributed Safety vergibt automatisch die PROFIsafe-Adressen. Die Information "Basis für die PROFIsafe-Adressen" ist für die interne Verwaltung der PROFIsafe-Adressen des F- Systems erforderlich. Die PROFIsafe-Adressen dienen der eindeutigen Identifikation von Quelle und Ziel. Des Weiteren reserviert der Anwender CPU-Ressourcen (F-Datenbereiche, F-Funktionsbausteine und F-Lokaldaten) für das Sicherheitspogramm. Die Erläuterung der Parameter finden Sie in der kontextsensitiven Onlinehilfe zum Register und im Handbuch "S7 Distributed Safety, Projektieren und Programmieren" ( Systemhandbuch, 07/2013, A5E

124 Projektieren von F-Systemen 6.3 Projektieren der F-Peripherie 6.3 Projektieren der F-Peripherie Projektieren wie im Standard Die F-Peripherie wird immer nach dem gleichen Schema projektiert: Nachdem die F-Peripherie im Stationsfenster von HW Konfig platziert wurde, erreicht man den Projektierdialog mit dem Menübefehl Bearbeiten > Objekteigenschaften oder durch Doppelklick auf die F-Peripherie. Beispiel für die Projektierung von F-Peripherie Das folgende Bild zeigt das F-relevante Register für ein fehlersicheres Modul 4/8 F- DI DC24V PROFIsafe. Die Werte in den grau hinterlegten Feldern werden automatisch von der Optionssoftware vergeben. Die Werte in den weißen Feldern können vom Anwender geändert werden. Die Erläuterung der Parameter finden Sie in der kontextsensitiven Onlinehilfe zum Register und im Handbuch "Dezentrales Peripheriesystem ET 200S, Fehlersichere Module" ( 124 Systemhandbuch, 07/2013, A5E

125 Projektieren von F-Systemen 6.4 Projektieren von fehlersicheren DP-Normslaves, fehlersicheren IO-Normdevices und fehlersicheren PA-Feldgeräten 6.4 Projektieren von fehlersicheren DP-Normslaves, fehlersicheren IO- Normdevices und fehlersicheren PA-Feldgeräten Voraussetzung Voraussetzung für den Einsatz von fehlersicheren DP-Normslaves für S7 Distributed Safety und S7 F/FH Systems ist, dass diese Normslaves am PROFIBUS DP sind und das Busprofil PROFIsafe unterstützen. Fehlersichere DP-Normslaves, die in Mischkonfigurationen am PROFIBUS DP und PROFINET IO nach IE/PB Links eingesetzt werden, müssen das Busprofil PROFIsafe im V2-Mode unterstützen. Voraussetzung für den Einsatz von fehlersicheren IO-Normdevices für S7 Distributed Safety ist, dass diese Normdevices am PROFINET IO sind und das Busprofil PROFIsafe im V2- MODE unterstützen. Voraussetzung für den Einsatz von fehlersicheren PA-Feldgeräten für S7 F/FH Systems ist, dass sie Feldgeräte am PROFIBUS PA sind und das Busprofil PROFIsafe unterstützen. Projektierung mit GSD-Dateien Grundlage der Projektierung der fehlersicheren DP-Normslaves/IO- Normdevices/PA-Feldgeräte ist wie im Standard - die Spezifikation des Gerätes in der GSD-Datei (Generic Station Description). In einer GSD-Datei sind alle Eigenschaften eines DP-Normslaves/IO- Normdevices/PA-Feldgerätes hinterlegt. Für fehlersichere DP-Normslaves/IO- Normdevices/PA-Feldgerätes sind Teile der Spezifikation durch CRC gesichert. Die GSD-Dateien werden von den Geräteherstellern mitgeliefert. Der Anwender importiert die GSD-Dateien in sein Projekt (siehe Onlinehilfe STEP 7). Nach dem Import ist der fehlersichere DP-Normslave/das fehlersichere IO-Normdevice/PA-Feldgerät im Hardware Katalog von HW Konfig anwählbar. Systemhandbuch, 07/2013, A5E

126 Projektieren von F-Systemen 6.4 Projektieren von fehlersicheren DP-Normslaves, fehlersicheren IO-Normdevices und fehlersicheren PA- Feldgeräten Beispiel für die Projektierung von fehlersicheren DP-Normslaves Das folgende Bild zeigt als Beispiel das F-relevante Register für einen fehlersicheren DP- Normslave. Im Register "PROFIsafe" unter "Parametername" sind die in der GSD-Datei spezifizierten Texte der Parameter enthalten, unter "Wert" der jeweils zugehörige, aktuelle Wert. Dieser Wert kann über die Schaltfläche "Wert ändern... " verändert werden. Die Erläuterung der Parameter finden Sie in der kontextsensitiven Onlinehilfe zum Register, im Handbuch "S7 Distributed Safety, Projektieren und Programmieren" ( und im Handbuch "S7 F/FH Systems, Projektieren und Programmieren" ( 126 Systemhandbuch, 07/2013, A5E

127 Programmieren von F-Systemen Einleitung Programmierung mit Standard-Programmiersprachen Die Programmierung von fehlersicheren Systemen S7 Distributed Safety und S7 F/FH Systems erfolgt mit Standard-Programmiersprachen von STEP 7. In diesem Kapitel Dieses Kapitel beinhaltet die Beschreibung der Programmstruktur und der Elemente des Sicherheitsprogramms. Da ein wesentlicher Unterschied zwischen S7 Distributed Safety und S7 F/FH Systems in ihrer Programmierung liegt, wird die Programmstruktur der Sicherheitsprogramme nachfolgend in eigenen Kapiteln behandelt. Weitere Informationen Die Vorgehensweise zur Programmierung des Sicherheitsprogramms ist ausführlich beschrieben: für S7 Distributed Safety im Handbuch "S7 Distributed Safety, Projektieren und Programmieren" ( für S7 F/FH Systems im Handbuch "S7 F/FH Systems, Projektieren und Programmieren" ( Systemhandbuch, 07/2013, A5E

128 Programmieren von F-Systemen 7.2 Programmiersprachen für F-Systeme Schematischer Aufbau eines Projekts mit Standard-Anwenderprogramm und Sicherheitsprogramm Im folgenden Bild ist der schematische Aufbau eines STEP 7-Projekts im PG/ES mit Standard-Anwenderprogramm und Sicherheitsprogramm für S7 Distributed Safety und S7 F/FH Systems dargestellt. Bild 7-1 Schematischer Aufbau eines STEP 7-Projekts Unterschiede zwischen S7 Distributed Safety und S7 F/FH Systems S7 Distributed Safety und S7 F/FH Systems unterscheiden sich in der Programmierung durch die einsetzbaren Programmiersprachen und die Integration von fehlersicheren Bausteinen aus F-Bibliotheken in das Sicherheitsprogramm. 128 Systemhandbuch, 07/2013, A5E

129 Programmieren von F-Systemen 7.2 Programmiersprachen für F-Systeme 7.2 Programmiersprachen für F-Systeme Anwenderprogramm in der F-CPU Das Anwenderprogramm in der F-CPU besteht in der Regel aus einem Standard- Anwenderprogramm und einem Sicherheitsprogramm. Das Standard-Anwenderprogramm wird mit Standard-Programmiersprachen, z. B. AWL, KOP oder FUP bzw. mit der Programmiersprache CFC in STEP 7 erstellt. Für S7 Distributed Safety wird das Sicherheitsprogramm in F-FUP oder F-KOP programmiert. Für S7 F/FH Systems werden fehlersichere Bausteine einer F-Bibliothek in CFC verschaltet. Das Sicherheitsprogramm enthält außerdem fehlersichere Bausteine zur Fehlererkennung und Fehlerreaktion, die automatisch von der Optionssoftware ergänzt werden. D. h., es wird sichergestellt, dass Ausfälle und Fehler erkannt werden und dass eine entsprechende Reaktion ausgelöst wird, welche das F-System in dem sicheren Zustand hält oder es in einen sicheren Zustand führt. S7 Distributed Safety: Programmiersprachen F-FUP und F-KOP Die Programmiersprachen F-FUP und F-KOP entsprechen grundsätzlich dem Standard- FUP/KOP. Zur Programmierung wird der Standard-FUP-/KOP-Editor in STEP 7 verwendet. F-FUP und F-KOP unterscheiden sich vom Standard im Wesentlichen durch Einschränkungen im Operationsvorrat und bei den verwendbaren Datentypen und Operandenbereichen. S7 F/FH Systems: Programmiersprache CFC Das Sicherheitsprogramm wird in eigenen CFC-Plänen aus fehlersicheren Bausteinen erstellt, die in einer F-Bibliothek mit dem Optionspaket S7 F Systems mitgeliefert werden. F-Bibliotheken Für die Programmierung der F-Systeme werden mit den Optionspaketen S7 Distributed Safety und S7 F Systems mitgeliefert: für S7 Distributed Safety die F-Bibliothek Distributed Safety (V1) für S7 F/FH Systems die F-Bibliothek S7 F Systems Lib V1_3 Die F-Bibliotheken befinden sich im Verzeichnis step7/s7libs. Systemhandbuch, 07/2013, A5E

130 Programmieren von F-Systemen 7.3 Programmstruktur des Sicherheitsprogramms in S7 Distributed Safety 7.3 Programmstruktur des Sicherheitsprogramms in S7 Distributed Safety Darstellung der Programmstruktur Das folgende Bild zeigt den schematischen Aufbau eines Sicherheitsprogramms für S7 Distributed Safety. Ein Sicherheitsprogramm besteht zur Strukturierung aus einer oder zwei F-Ablaufgruppen. Ein Sicherheitsprogramm besteht aus: F-Bausteinen, die vom Anwender erstellt oder aus F-Bibliotheken (z. B. F-Bibliothek Distributed Safety (V1)) ausgewählt werden und F-Bausteinen, die automatisch ergänzt werden (F-Systembausteine F-SBs, automatisch generierte F-Bausteine und der F-Global-DB) Bild 7-2 Komponenten des Sicherheitsprogramms in S7 Distributed Safety 130 Systemhandbuch, 07/2013, A5E

131 Programmieren von F-Systemen 7.3 Programmstruktur des Sicherheitsprogramms in S7 Distributed Safety Erläuterung der Programmstruktur Der Einstieg in das Sicherheitsprogramm erfolgt mit dem Aufruf des F-CALL aus dem Standard-Anwenderprogramm heraus. Der Aufruf des F-CALL erfolgt in einem OB, am besten in einem Weckalarm-OB (z. B. OB 35). Weckalarm-OBs haben den Vorteil, dass sie die zyklische Programmbearbeitung im OB 1 des Standard-Anwenderprogramms in festen zeitlichen Abständen unterbrechen. D. h., in einem Weckalarm-OB wird das Sicherheitsprogramm in festen zeitlichen Abständen aufgerufen und durchlaufen. Nach der Abarbeitung des Sicherheitsprogramms wird das Standard-Anwenderprogramm weiterbearbeitet. Strukturierung des Sicherheitsprogrammes in F-Ablaufgruppen Zur besseren Hantierbarkeit besteht ein Sicherheitsprogramm aus einer oder zwei "F- Ablaufgruppen". Bei einer F-Ablaufgruppe handelt es sich um ein logisches Konstrukt aus mehreren zusammengehörigen F-Bausteinen. Eine F-Ablaufgruppe im Sicherheitsprogramm für S7 Distributed Safety besteht aus: einem F-Aufrufbaustein F-CALL einem F-Programmbaustein F-PB (das ist ein F-FB/F-FC, der dem F-CALL zugewiesen wird) ggf. weiteren F-FBs/F-FCs, die mit F-FUP/F-KOP programmiert werden ggf. einem oder mehreren F-DBs F-Peripherie-DBs F-Bausteinen der F-Bibliothek Distributed Safety (V1) F-Bausteinen aus anwendererstellten F-Bibliotheken F-Systembausteinen F-SBs automatisch generierten F-Bausteinen Wenn der Anwender sein Sicherheitsprogramm in zwei F-Ablaufgruppen aufteilt, dann können Teile des Sicherheitsprogramms (eine F-Ablaufgruppe) in einer schnelleren Ablaufebene ablaufen und es werden schnellere Sicherheitskreise mit kurzen Reaktionszeiten erreicht. Systemhandbuch, 07/2013, A5E

132 Programmieren von F-Systemen 7.3 Programmstruktur des Sicherheitsprogramms in S7 Distributed Safety F-Bausteine einer F-Ablaufgruppe In einer F-Ablaufgruppe verwendet der Anwender die F-Bausteine der folgenden Tabelle: Tabelle 7-1 Fehlersichere Bausteine einer F-Ablaufgruppe F-Baustein Funktion Erstellsprache F-CALL F-FB/F-FC, F-PB F-DB F- Peripherie- DB F-Baustein für den Aufruf der F-Ablaufgruppe aus dem Standard- Anwenderprogramm heraus. Der F-CALL enthält den Aufruf für den F-Programmbaustein und die Aufrufe für die automatisch ergänzten F-Bausteine der F-Ablaufgruppe. Der F-CALL wird vom Anwender angelegt und ist nicht editierbar. Die eigentliche Sicherheitsfunktion programmiert der Anwender mit Hilfe von F-FUP oder F-KOP. Einstieg in die F-Programmierung ist der F-Programmbaustein. Der F-PB ist ein F-FC oder F-FB (mit Instanz- DB), der durch die Zuordnung zum F-CALL zum F-PB wird. Im F-PB kann der Anwender: das Sicherheitsprogramm mit F-FUP oder F-KOP programmieren weitere erstellte F-FBs/F-FCs zur Strukturierung des Sicherheitsprogramms aufrufen F-Bausteine des Bausteincontainers F-Application Blocks (F-Applikationsbausteine) aus der F-Bibliothek Distributed Safety (V1) einfügen F-Bausteine aus "anwendererstellten F-Bibliotheken" einfügen Innerhalb des F-PB bestimmt der Anwender die Aufrufreihenfolge der F-Bausteine. Vom Anwender optional einsetzbare fehlersichere Datenbausteine, auf die innerhalb des gesamten Sicherheitsprogramms lesend und schreibend zugegriffen werden kann. Zu jeder F-Peripherie wird beim Übersetzen in HW Konfig automatisch ein F-Peripherie-DB erzeugt. Auf die Variablen des F-Peripherie-DB kann oder muss der Anwender im Zusammenhang mit F- Peripheriezugriffen zugreifen. F-CALL F-FUP / F-KOP F-DB Systemhandbuch, 07/2013, A5E

133 Programmieren von F-Systemen 7.3 Programmstruktur des Sicherheitsprogramms in S7 Distributed Safety F-Bausteine der F-Bibliothek Distributed Safety (V1) Die F-Bibliothek Distributed Safety (V1) enthält: im Bausteincontainer F-Application Blocks\Blocks F-Applikationsbausteine im Bausteincontainer F-System Blocks\Blocks F-Systembausteine und den F-Global-DB Die Bausteincontainer enthalten die F-Bausteine der folgenden Tabelle: Tabelle 7-2 Fehlersichere Bausteine der F-Bibliothek Distributed Safety (V1) Bausteincontainer F-Application Blocks... enthält F-Bausteine für Sicherheitsgerichtete CPU-CPU- Kommunikation Quittierung Zeiten und Zähler Skalierung 1oo2 (2v2)-Auswertung mit Diskrepanzanalyse Vorgefertigte F-Funktionen Datenkonvertierung Kopieren Schiebeoperationen Funktion/F-Bausteine Bausteincontainer, der die F-Applikationsbausteine enthält, die vom Anwender im F-PB/F-FBs/F-FCs aufgerufen werden können F-Applikationsbausteine zur sicherheitsgerichteten CPU-CPU-Kommunikation: F_RCVDP und F_RCVS7 zum Empfang der Daten bei sicherheitsgerichteter CPU-CPU- Kommunikation F_SENDDP und F_SENDS7 zum Senden der Daten bei sicherheitsgerichteter CPU-CPU- Kommunikation F-Applikationsbaustein F_ACK_OP für eine fehlersichere Quittierung über ein Bedien- und Beobachtungssystem F-Applikationsbaustein F_ACK_GL für eine globale Quittierung aller F-Peripherien einer F-Ablaufgruppe F-Applikationsbausteine F_TP, F_TON, F_TOF; F-Bausteine F_CTU, F_CTD, F_CTUD F-Applikationsbaustein F_SCA_I F-Applikationsbaustein F_1oo2DI F-Applikationsbausteine für z. B. Zweihandüberwachung, Muting, NOT-AUS, Schutztürüberwachung, Rückführkreisüberwachung F-Applikationsbausteine F_BO_W, F_W_BO F-Applikationsbausteine F_INT_WR, F_INT_RD F-Applikationsbausteine F_SHL_W, F_SHR_W Systemhandbuch, 07/2013, A5E

134 Programmieren von F-Systemen 7.3 Programmstruktur des Sicherheitsprogramms in S7 Distributed Safety Bausteincontainer F-System Blocks... enthält F-Bausteine für F-Systembausteine F-Global-DB Funktion/F-Bausteine Bausteincontainer, der die F-Systembausteine (F- SBs) und den F-Global-DB enthält, die automatisch im Sicherheitsprogramm eingefügt werden Die F-Systembausteine (F-SBs) werden von der Optionssoftware S7 Distributed Safety beim Generieren des Sicherheitsprogramms automatisch eingefügt, um aus dem vom Anwender programmierten Sicherheitsprogramm ein ablauffähiges Sicherheitsprogramm zu erzeugen. Der Anwender darf F-Systembausteine aus dem Bausteincontainer F-System Blocks nicht in einen F-PB/F-FB/F-FC einfügen und weder in der F- Bibliothek Distributed Safety (V1) noch in dem Bausteincontainer des Anwenderprojekts verändern (umbenennen) oder löschen! Fehlersicherer Datenbaustein, der alle globalen Daten des Sicherheitsprogramms und zusätzliche Informationen enthält, die das F-System benötigt. Der F-Global-DB wird beim Generieren des Sicherheitsprogramms automatisch eingefügt und erweitert. Über seinen symbolischen Namen F_GLOBDB kann der Anwender bestimmte Daten des Sicherheitsprogramms im Standard- Anwenderprogramm auswerten. 134 Systemhandbuch, 07/2013, A5E

135 Programmieren von F-Systemen 7.4 Programmstruktur des Sicherheitsprogramms in S7 F/FH Systems 7.4 Programmstruktur des Sicherheitsprogramms in S7 F/FH Systems Darstellung der Programmstruktur Das folgende Bild zeigt den schematischen Aufbau eines Sicherheitsprogramms für S7 F/FH Systems. Ein Sicherheitsprogramm besteht aus CFC-Plänen mit fehlersicheren Bausteinen, die F Ablaufgruppen zugeordnet sind. Bild 7-3 Komponenten des Sicherheitsprogramms in S7 F/FH Systems Erläuterung der Programmstruktur Das Sicherheitsprogramm enthält F-Ablaufgruppen und ihnen zugeordnete Pläne. Die Pläne enthalten F-Bausteine mit ihrer Parametrierung und Verschaltung. Die F-Ablaufgruppen werden vom Anwender am Anfang einer Task (Weckalarm-OBs OB 30 bis OB 38) eingefügt. Alle F-Ablaufgruppen einer Task sind in einer gemeinsamen F-Abschaltgruppe zusammengefasst, sofern es vom Anwender nicht anders programmiert wird. Weckalarm-OBs haben den Vorteil, dass sie die zyklische Programmbearbeitung im OB 1 des Standard-Anwenderprogramms in festen zeitlichen Abständen unterbrechen. D. h., in einem Weckalarm-OB wird das Sicherheitsprogramm in festen zeitlichen Abständen aufgerufen und durchlaufen. Der Weckalarm-OB kann auch Standard-Ablaufgruppen enthalten. Systemhandbuch, 07/2013, A5E