Sie sind auf Seite 1von 170

Sicherheitstechnik in SIMATIC S7 ___________________

Vorwort

Übersicht zu fehlersicheren
___________________
Systemen 1
Konfigurationen und
___________________
Auswahlhilfe 2
SIMATIC Kommunikations-
___________________
möglichkeiten 3
Industrie Software
Sicherheitstechnik in SIMATIC S7 ___________________
Sicherheit in F-Systemen 4
Erreichbare

Systemhandbuch
___________
5
Sicherheitsklassen mit
F-Peripherie

___________________
Projektieren von F-Systemen 6
Programmieren von F-
___________________
Systemen 7
Überwachungs- und
___________
A
Reaktionszeiten der
F-Systeme

07/2013
A5E00109528-07
Rechtliche Hinweise
Warnhinweiskonzept
Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von
Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck
hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe
werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt.

GEFAHR
bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden
Vorsichtsmaßnahmen nicht getroffen werden.

WARNUNG
bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden
Vorsichtsmaßnahmen nicht getroffen werden.

VORSICHT
bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen
nicht getroffen werden.

ACHTUNG
bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen
werden.
Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet.
Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben
Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein.
Qualifiziertes Personal
Das zu dieser Dokumentation zugehörige Produkt/System darf nur von für die jeweilige Aufgabenstellung
qualifiziertem Personal gehandhabt werden unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen
Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist
auf Grund seiner Ausbildung und Erfahrung befähigt, im Umgang mit diesen Produkten/Systemen Risiken zu
erkennen und mögliche Gefährdungen zu vermeiden.
Bestimmungsgemäßer Gebrauch von Siemens-Produkten
Beachten Sie Folgendes:

WARNUNG
Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation
vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen,
müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der
Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation,
Inbetriebnahme, Bedienung und Instandhaltung voraus. Die zulässigen Umgebungsbedingungen müssen
eingehalten werden. Hinweise in den zugehörigen Dokumentationen müssen beachtet werden.

Marken
Alle mit dem Schutzrechtsvermerk ® gekennzeichneten Bezeichnungen sind eingetragene Marken der
Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für
deren Zwecke die Rechte der Inhaber verletzen kann.
Haftungsausschluss
Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft.
Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung
keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige
Korrekturen sind in den nachfolgenden Auflagen enthalten.

Siemens AG A5E00109528-07 Copyright © Siemens AG 2002 - 2013.


Industry Sector Ⓟ 07/2013 Änderungen vorbehalten Alle Rechte vorbehalten
Postfach 48 48
90026 NÜRNBERG
DEUTSCHLAND
Vorwort

Zweck des Systemhandbuchs


Das vorliegende Systemhandbuch vermittelt einen Überblick über die fehlersicheren
Automatisierungssysteme S7 Distributed Safety und S7 F/FH Systems. Es zeigt
Gemeinsamkeiten und Unterschiede zwischen S7 Distributed Safety und S7 F/FH Systems
auf und enthält technische Detailinformationen, die sich für S7 Distributed Safety und
S7 F/FH Systems zusammengefasst darstellen lassen.
Das Systemhandbuch hilft bei der Entscheidung, welches fehlersichere System für die
Realisierung der Automatisierungsaufgabe das optimale System ist. Es richtet sich an
Entscheidungsträger zur Erstinformation und an Service- und Inbetriebsetzungspersonal zur
Information über technische Details der fehlersicheren Automatisierungssysteme
S7 Distributed Safety und S7 F/FH Systems. Z. B. wird im Anhang auf die Überwachungs-
und Reaktionszeiten von S7 Distributed Safety und S7 F/FH Systems eingegangen.

Gültigkeitsbereich des Systemhandbuchs


Das Systemhandbuch ist gültig für die fehlersicheren Systeme S7 Distributed Safety und
S7 F/FH Systems.
Außerdem wird die Einbindung der folgenden fehlersicheren Peripherie in
S7 Distributed Safety und S7 F/FH Systems betrachtet:
● fehlersichere Signalbaugruppen S7-300
● fehlersichere Module ET 200S
● fehlersichere Module ET 200pro
● fehlersicheres Peripheriemodul ET 200eco
● fehlersichere DP-Normslaves/fehlersichere IO-Normdevices/fehlersichere PA-Feldgeräte
Das Systemhandbuch beschreibt den aktuellen Stand der Produkte in 03/2008.
Informationen in aktuelleren Dokumentationen zu den Produkten sind in Zweifelsfällen den
Informationen dieses Systemhandbuchs übergeordnet.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 3
Vorwort

Änderungen gegenüber der Vorgängerversion


In der folgenden Tabelle finden Sie die wichtigsten technischen Änderungen, die in den
Optionspaketen S7 Distributed Safety V 5.4 SP4 und S7 F Systems V 6.0 enthalten sind und
im vorliegenden Systemhandbuch berücksichtigt wurden.

Technische Änderung Änderung betrifft


S7 Distributed S7 F/FH
Safety Systems
Unterstützung von neuen F-CPUs x x
Unterstützung von neuer F-Peripherie für S7-300, ET 200M, x x
ET 200S und ET 200pro
Unterstützung von fehlersicheren PA-Feldgeräten - x
Kommunikation zwischen F-Abschaltgruppen - x
Sicherheitsgerichtete IO-Controller-IO-Controller-Kommunikation x -
Sicherheitsgerichtete Kommunikation zwischen S7 Distributed x x
Safety und S7 F/FH Systems
F-Peripheriezugriff und sicherheitsgerichtete Kommunikation über x x
WLAN nach IEEE 802.11
Neue F-Bibliotheksbausteine x x

Sicherheitstechnik in SIMATIC S7
4 Systemhandbuch, 07/2013, A5E00109528-07
Vorwort

Einordnung in die Informationslandschaft


Für die Arbeit mit S7 Distributed Safety bzw. S7 F/FH Systems benötigen Sie je nach
Anwendungsfall zusätzliche, nachfolgend aufgeführte Dokumentationen.
Im vorliegenden Systemhandbuch wird an geeigneten Stellen auf diese Dokumentationen
verwiesen.

Dokumentation Relevante Inhalte in Kurzform


für das F-System S7 F/FH • Das Programmier- und Bedienhandbuch "S7 F/FH Systems,
Systems Projektieren und Programmieren"
(http://support.automation.siemens.com/WW/view/de/2201072)
beschreibt:
• die Projektierung der F-CPU und der F-Peripherie
• die Programmierung der F-CPU in CFC

• Das Installationshandbuch "Automatisierungssystem S7-400,


Aufbauen"
(http://support.automation.siemens.com/WW/view/de/1117849)
beschreibt die Montage und Verdrahtung von Systemen S7-400.
• Das Handbuch "Automatisierungssystem S7-400H,
Hochverfügbare Systeme"
(http://support.automation.siemens.com/WW/view/de/1186523/0/
de) beschreibt die Zentralbaugruppen CPU 41x-H und die
auszuführenden Aufgaben, um ein hochverfügbares System
S7-400H zu erstellen und in Betrieb zu nehmen.
• Das Handbuch/die Online-Hilfe "CFC für S7 Continuous Function
Chart"
(http://support.automation.siemens.com/WW/view/de/21401430)
beschreibt die Programmierung mit CFC.
• Das Projektierungshandbuch/die Online-Hilfe "Safety Matrix"
(http://support.automation.siemens.com/WW/view/de/19056619)
beschreibt die Erstellung von Sicherheitsprogrammen für
F-Systeme S7 F/FH Systems mittels Cause-Effect-Matrix.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 5
Vorwort

Dokumentation Relevante Inhalte in Kurzform


für das F-System Das Programmier- und Bedienhandbuch/die Online-Hilfe "S7
S7 Distributed Safety Distributed Safety, Projektieren und Programmieren"
(http://support.automation.siemens.com/WW/view/de/22099875)
beschreibt:
• die Projektierung der F-CPU und der F-Peripherie
• die Programmierung der F-CPU in F-FUP bzw. F-KOP
In Abhängigkeit von der eingesetzten F-CPU benötigen Sie folgende
Dokumentationen:
• Die Betriebsanleitung "S7-300, CPU 31xC und CPU 31x:
Aufbauen"
(http://support.automation.siemens.com/WW/view/de/13008499)
beschreibt die Montage und Verdrahtung von Systemen S7-300.
• Das Gerätehandbuch "CPU 31xC und CPU 31x, Technische
Daten"
(http://support.automation.siemens.com/WW/view/de/12996906)
beschreibt die CPUs 315-2 DP und PN/DP und die
CPU 317-2 DP und PN/DP.
• Das Installationshandbuch "Automatisierungssystem S7-400,
Aufbauen"
(http://support.automation.siemens.com/WW/view/de/1117849)
beschreibt die Montage und Verdrahtung von Systemen S7-400.
• Das Referenzhandbuch "Automatisierungssystem S7-400, CPU-
Daten"
(http://support.automation.siemens.com/WW/view/de/23904550)
beschreibt die CPU 416-2 und CPU 416F-3 PN/DP).
• Das Handbuch "ET 200S, Interfacemodul IM 151-7 CPU"
(http://support.automation.siemens.com/WW/view/de/12714722)
beschreibt die IM 151-7 CPU.
• Das Handbuch "ET 200S, Interfacemodul IM 151-8 PN/DP CPU"
(http://support.automation.siemens.com/WW/view/de/29738847)
beschreibt die IM 151-8 PN/DP CPU.
• Für jede einsetzbare F-CPU gibt es eine eigene
Produktinformation. Die Produktinformationen beschreiben nur
die Abweichungen zu den entsprechenden Standard-CPUs.

Sicherheitstechnik in SIMATIC S7
6 Systemhandbuch, 07/2013, A5E00109528-07
Vorwort

Dokumentation Relevante Inhalte in Kurzform


Montage- und beschreibt die Hardware der fehlersicheren Signalbaugruppen in
Bedienhandbuch S7-300 (u. a. Aufbau, Verdrahtung und Technische Daten)
"Automatisierungssystem
S7-300, Dezentrales
Peripheriegerät ET 200M,
Fehlersichere
Signalbaugruppen"
(http://support.automation.sie
mens.com/WW/view/de/19026
151)
Betriebsanleitung beschreibt die Hardware der fehlersicheren Module ET 200S (u. a.
"Dezentrales Aufbau, Verdrahtung und Technische Daten)
Peripheriesystem ET 200S,
Fehlersichere Module"
(http://support.automation.sie
mens.com/WW/view/de/12490
437)
Betriebsanleitung beschreibt die Hardware der fehlersicheren Module ET 200pro (u. a.
"Dezentrales Aufbau, Verdrahtung und Technische Daten)
Peripheriesystem ET 200pro,
Fehlersichere Module"
(http://support.automation.sie
mens.com/WW/view/de/22098
524)
Handbuch "Dezentrales beschreibt die Hardware des fehlersicheren Peripheriemoduls
Peripheriegerät ET 200eco, ET 200eco (u. a. Aufbau, Verdrahten und Technische Daten)
Fehlersicheres
Peripheriemodul"
(http://support.automation.sie
mens.com/WW/view/de/19033
850)
STEP 7-Handbücher • Das Handbuch "Hardware konfigurieren und Verbindungen
projektieren mit STEP 7 V5.x"
(http://support.automation.siemens.com/WW/view/de/18652631)
beschreibt die Bedienung der entsprechenden Standard-Tools
von STEP 7.
• Das Handbuch "KOP für S7-300/400"
(http://support.automation.siemens.com/WW/view/de/18654395)
beschreibt die Standard-Programmiersprache KOP in STEP 7.
• Das Handbuch "FUP für S7-300/400"
(http://support.automation.siemens.com/WW/view/de/18652644)
beschreibt die Standard-Programmiersprache FUP in STEP 7.
• Das Referenzhandbuch "Systemsoftware für S7-300/400
System- und Standardfunktionen"
(http://support.automation.siemens.com/WW/view/de/1214574)
beschreibt Funktionen für Zugriff/Diagnose der dezentralen
Peripherie/CPU.
• Das Handbuch "Programmieren mit STEP 7 V5.x"
(http://support.automation.siemens.com/WW/view/de/18652056)
beschreibt die Vorgehensweise zum Programmieren mit STEP 7.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 7
Vorwort

Dokumentation Relevante Inhalte in Kurzform


STEP 7-Onlinehilfe • beschreibt die Bedienung der Standard-Tools von STEP 7
• enthält Informationen zum Konfigurieren und Parametrieren von
Baugruppen und intelligenten Slaves mit HW Konfig
• enthält die Beschreibung der Programmiersprachen FUP und
KOP
Systemhandbuch "PROFINET • beschreibt die Grundlagen von PROFINET IO
Systembeschreibung"
(http://support.automation.sie
mens.com/WW/view/de/19292
127)
PCS 7-Handbücher • beschreiben die Handhabung des Leitsystems PCS 7
(notwendig, wenn F-System in ein übergeordnetes Leitsystem
eingebunden wird)

Die gesamte SIMATIC S7-Dokumentation können Sie auf CD-ROM beziehen.

Wegweiser
Im Systemhandbuch werden folgende Themen behandelt:
● Überblick, was fehlersichere Automatisierungssysteme allgemein und innerhalb der
SIMATIC S7 sind
● Gegenüberstellung von Leistungsmerkmalen von S7 Distributed Safety und
S7 F/FH Systems
● Darstellung der verschiedenen Aufbauvarianten von S7 Distributed Safety und S7 F/FH
Systems
● Entscheidungshilfe, für welche Anforderungen stellt welches der F-Systeme die beste
Lösung dar
● Gegenüberstellung der Kommunikationsmöglichkeiten in S7 Distributed Safety und
S7 F/FH Systems - was ist gleich, was ist anders
● Überblick zu den Sicherheitsmechanismen in S7 Distributed Safety und S7 F/FH
Systems, die für den Anwender sichtbar werden
● Normen, auf denen die F-Systeme S7 Distributed Safety und S7 F/FH Systems basieren
● Überblick zur Projektierung von S7 Distributed Safety und S7 F/FH Systems
● Überblick zur Programmierung von S7 Distributed Safety und S7 F/FH Systems
Die Themen "Projektierung" und "Programmierung" werden vertieft im jeweiligen
Handbuch zur Projektierung und Programmierung von S7 Distributed Safety bzw. S7
F/FH Systems.
● Projektierung der F-spezifischen Überwachungszeiten für die F-Systeme
● Berechnung der maximalen Reaktionszeit einer Sicherheitsfunktion in S7 Distributed
Safety und S7 F/FH Systems

Sicherheitstechnik in SIMATIC S7
8 Systemhandbuch, 07/2013, A5E00109528-07
Vorwort

Konventionen
Im vorliegenden Systemhandbuch werden die Begriffe "Sicherheitstechnik" und "F-Technik"
synonym verwendet. Genauso wird mit den Begriffen "fehlersicher" und "F-" verfahren.
"Sicherheitsprogramm" bezeichnet den fehlersicheren Teil des Anwenderprogramms und
wird anstelle von "fehlersicheres Anwenderprogramm", "F-Programm", etc. verwendet.
"S7 Distributed Safety" und "S7 F Systems" in kursiver Schreibweise bezeichnen die
Optionspakete für die beiden F-Systeme "S7 Distributed Safety" und
"S7 F/FH Systems".

Weitere Unterstützung
Bei Fragen zur Nutzung der im Handbuch beschriebenen Produkte, die Sie hier nicht
beantwortet finden, wenden Sie sich bitte an Ihren Siemens-Ansprechpartner in den für Sie
zuständigen Vertretungen und Geschäftsstellen.
Ihren Ansprechpartner finden Sie im Internet (http://www.siemens.com/automation/partner).
Den Wegweiser zum Angebot an technischen Dokumentationen für die einzelnen SIMATIC-
Produkte und Systeme finden Sie im Internet (http://www.siemens.de/simatic-tech-doku-
portal).
Den Online-Katalog und das Online-Bestellsystem finden Sie im Internet
(http://mall.automation.siemens.com).

Trainingscenter
Um Ihnen den Einstieg in das Automatisierungssystem S7 zu erleichtern, bieten wir
entsprechende Kurse an. Wenden Sie sich an Ihr regionales Trainingscenter oder an das
zentrale Trainingscenter in D 90327 Nürnberg.
Weitere Informationen erhalten Sie im Internet (http://www.sitrain.com).

H/F Competence Center


Zu den Themen fehlersichere und hochverfügbare Automatisierungssysteme SIMATIC S7
bietet das H/F Competence Center in Nürnberg spezielle Workshops an. Außerdem hilft
Ihnen das H/F Competence Center bei der Projektierung, bei der Inbetriebsetzung und bei
Problemen vor Ort.
Anfragen zu Workshops usw.: hf-cc.aud@siemens.com

Technical Support
Sie erreichen den Technical Support für alle A&D-Produkte über das Web-Formular
(http://www.siemens.com/automation/support-request) für den Support Request.
Weitere Informationen zu unserem Technical Support finden Sie im Internet
(http://www.siemens.com/automation/service).

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 9
Vorwort

Service & Support im Internet


Zusätzlich zu unserem Dokumentationsangebot bieten wir Ihnen im Internet
(http://www.siemens.com/automation/service&support) unser komplettes Wissen online an.
Dort finden Sie:
● den Newsletter, der Sie ständig mit den aktuellsten Informationen zu Ihren Produkten
versorgt.
● die für Sie richtigen Dokumente über unsere Suche in Service & Support.
● ein Forum in welchem Anwender und Spezialisten weltweit Erfahrungen austauschen.
● Ihren Ansprechpartner für Automation & Drives vor Ort über unsere Ansprechpartner-
Datenbank.
● Informationen über Vor-Ort Service, Reparaturen, Ersatzteile und vieles mehr.

Wichtiger Hinweis für die Erhaltung der Betriebssicherheit Ihrer Anlage

Hinweis
Anlagen mit sicherheitsgerichteten Ausprägungen unterliegen seitens des Betreibers
besonderen Anforderungen an die Betriebssicherheit. Auch der Zulieferer ist gehalten, bei
der Produktbeobachtung besondere Maßnahmen einzuhalten. Wir informieren daher in
einem speziellen Newsletter über Produktentwicklungen und -eigenschaften, die für den
Betrieb von Anlagen unter Sicherheitsaspekten wichtig sind oder sein können. Damit Sie
auch in dieser Beziehung immer auf dem neuesten Stand sind und ggf. Änderungen an Ihrer
Anlage vornehmen können, müssen Sie den entsprechenden Newsletter abonnieren. Gehen
Sie dazu ins Internet
(https://www.automation.siemens.com/WW/newsletter/guiThemes2Select.aspx?HTTPS=RE
DIR&subjectID=2).
Melden Sie sich dort für folgende Newsletter an:
• SIMATIC S7-300/S7-300F
• SIMATIC S7-400/S7-400H/S7-400F/FH
• Dezentrale Peripherie
• SIMATIC Industrie Software
Aktivieren Sie bei diesen Newslettern jeweils das Kästchen "Aktuell".

Sicherheitstechnik in SIMATIC S7
10 Systemhandbuch, 07/2013, A5E00109528-07
Inhaltsverzeichnis

Vorwort ................................................................................................................................................... 3
1 Übersicht zu fehlersicheren Systemen .................................................................................................. 15
1.1 Einleitung .....................................................................................................................................15
1.2 Safety Integrated - das ganzheitliche Sicherheitskonzept der Fa. Siemens ...............................16
1.3 Fehlersichere Systeme in SIMATIC S7 .......................................................................................17
1.3.1 Einsatzbereiche von S7 Distributed Safety und S7 F/FH Systems .............................................20
1.3.2 Leistungsmerkmale von S7 Distributed Safety und S7 F/FH Systems ........................................22
1.4 Komponenten von S7 Distributed Safety und S7 F/FH Systems ................................................25
1.4.1 Hardware-Komponenten ..............................................................................................................26
1.4.2 Software-Komponenten ...............................................................................................................30
1.5 Wegweiser zum Arbeiten mit F-Systemen ...................................................................................34
2 Konfigurationen und Auswahlhilfe ......................................................................................................... 39
2.1 Einleitung .....................................................................................................................................39
2.2 Aufbau der F-Systeme .................................................................................................................40
2.2.1 Fehlersicheres System S7 Distributed Safety .............................................................................40
2.2.2 Fehlersicheres System S7 F Systems .........................................................................................43
2.2.3 Fehlersicheres und hochverfügbares System S7 FH Systems ...................................................45
2.2.4 Koexistenz von Standard- und fehlersicheren Komponenten .....................................................46
2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit ............48
2.3.1 Einkanalige Peripherie (S7 Distributed Safety) ............................................................................49
2.3.2 Einkanalige Peripherie (S7 F Systems) .......................................................................................54
2.3.3 Einkanalig geschaltete Peripherie (nur S7 FH Systems) .............................................................57
2.3.4 Redundant geschaltete Peripherie (nur S7 FH Systems) ............................................................59
2.4 S7 Distributed Safety oder S7 F/FH Systems – eine Auswahlhilfe ..............................................61
3 Kommunikationsmöglichkeiten .............................................................................................................. 63
3.1 Einleitung .....................................................................................................................................63
3.2 Sicherheitsgerichtete Kommunikation im Überblick.....................................................................64
3.3 Kommunikation zwischen Standard-Anwenderprogramm und Sicherheitsprogramm ................66
3.3.1 Kommunikation zwischen Standard-Anwenderprogramm und Sicherheitsprogramm in S7
Distributed Safety .........................................................................................................................67
3.3.2 Kommunikation zwischen Standard-Anwenderprogramm und Sicherheitsprogramm in S7
F/FH Systems ..............................................................................................................................68
3.4 Kommunikation zwischen F-Ablaufgruppen bzw. F-Abschaltgruppen ........................................69
3.5 Kommunikation zwischen F-CPU und F-Peripherie ....................................................................71
3.5.1 Sicherheitsgerichtete Kommunikation .........................................................................................71
3.5.2 F-Peripheriezugriff in S7 Distributed Safety .................................................................................72
3.5.3 Sicherheitsgerichtete I-Slave-Slave-Kommunikation in S7 Distributed Safety ............................73
3.5.4 F-Peripheriezugriff in S7 F/FH Systems ......................................................................................75
3.5.5 Standard-Kommunikation ............................................................................................................77

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 11
Inhaltsverzeichnis

3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation ....................................................................... 78


3.6.1 S7 Distributed Safety: Sicherheitsgerichtete Master-Master-Kommunikation ............................ 79
3.6.2 S7 Distributed Safety: Sicherheitsgerichtete Master-I-Slave-Kommunikation ............................ 81
3.6.3 S7 Distributed Safety: Sicherheitsgerichtete I-Slave-I-Slave-Kommunikation ............................ 82
3.6.4 S7 Distributed Safety: Sicherheitsgerichtete IO-Controller-IO-Controller-Kommunikation ......... 83
3.6.5 S7 Distributed Safety: Sicherheitsgerichtete Kommunikation über S7-Verbindungen ............... 84
3.6.6 S7 F/FH Systems: Sicherheitsgerichtete Kommunikation über S7-Verbindungen ..................... 86
3.6.7 Sicherheitsgerichtete Kommunikation zwischen S7 Distributed Safety und S7 F Systems ....... 88
3.7 F-Peripheriezugriff und sicherheitsgerichtete Kommunikation über WLAN nach IEEE
802.11 ......................................................................................................................................... 89
4 Sicherheit in F-Systemen ...................................................................................................................... 91
4.1 Einleitung..................................................................................................................................... 91
4.2 Sicherheitsbetrieb ....................................................................................................................... 92
4.3 Fehlerreaktionen ......................................................................................................................... 94
4.4 Anlauf eines F-Systems .............................................................................................................. 95
4.5 Passwortschutz für F-Systeme ................................................................................................... 96
4.6 Abnahme der Anlage .................................................................................................................. 97
4.7 Normen und Zulassungen ........................................................................................................... 98
4.8 Sicherheitsanforderungen ........................................................................................................... 99
5 Erreichbare Sicherheitsklassen mit F-Peripherie ..................................................................................105
5.1 Einleitung................................................................................................................................... 105
5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit
Eingängen ................................................................................................................................. 106
5.2.1 1oo1 (1v1)-Auswertung bei F-Peripherie mit Eingängen .......................................................... 108
5.2.2 1oo2 (2v2)-Auswertung bei F-Peripherie mit Eingängen .......................................................... 110
5.2.3 2oo3 (2v3)-Auswertung bei F-Peripherie mit Analogeingängen (nur für S7 F/FH Systems) .... 118
5.3 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit
Ausgängen ................................................................................................................................ 120
6 Projektieren von F-Systemen ...............................................................................................................121
6.1 Einleitung................................................................................................................................... 121
6.2 Projektieren der F-CPU ............................................................................................................. 122
6.3 Projektieren der F-Peripherie .................................................................................................... 124
6.4 Projektieren von fehlersicheren DP-Normslaves, fehlersicheren IO-Normdevices und
fehlersicheren PA-Feldgeräten ................................................................................................. 125
7 Programmieren von F-Systemen ..........................................................................................................127
7.1 Einleitung................................................................................................................................... 127
7.2 Programmiersprachen für F-Systeme ....................................................................................... 129
7.3 Programmstruktur des Sicherheitsprogramms in S7 Distributed Safety .................................. 130
7.4 Programmstruktur des Sicherheitsprogramms in S7 F/FH Systems ........................................ 135

Sicherheitstechnik in SIMATIC S7
12 Systemhandbuch, 07/2013, A5E00109528-07
Inhaltsverzeichnis

A Überwachungs- und Reaktionszeiten der F-Systeme .......................................................................... 139


A.1 Einleitung ...................................................................................................................................139
A.2 Projektierung der Überwachungszeiten .....................................................................................140
A.3 F-spezifische Überwachungszeiten für S7 Distributed Safety ...................................................141
A.3.1 Minimale Überwachungszeit der F-Zykluszeit ...........................................................................141
A.3.2 Minimale Überwachungszeit der sicherheitsgerichteten Kommunikation zwischen F-CPU
und F-Peripherie ........................................................................................................................142
A.3.3 Minimale Überwachungszeit der sicherheitsgerichteten CPU-CPU-Kommunikation ................142
A.3.4 Überwachungszeit der sicherheitsgerichteten Kommunikation zwischen F-Ablaufgruppen .....142
A.4 F-spezifische Überwachungszeiten für S7 F/FH Systems ........................................................143
A.4.1 Minimale Überwachungszeit der F-Zykluszeit ...........................................................................143
A.4.2 Minimale Überwachungszeit der sicherheitsgerichteten Kommunikation zwischen F-CPU
und F-Peripherie ........................................................................................................................144
A.4.3 Minimale Überwachungszeit der sicherheitsgerichteten Kommunikation zwischen F-CPUs ....145
A.4.4 Minimale Überwachungszeit der sicherheitsgerichteten Kommunikation zwischen F-
Abschaltgruppen ........................................................................................................................145
A.5 Reaktionszeiten von Sicherheitsfunktionen ...............................................................................146
Glossar ............................................................................................................................................... 147
Index................................................................................................................................................... 165

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 13
Inhaltsverzeichnis

Sicherheitstechnik in SIMATIC S7
14 Systemhandbuch, 07/2013, A5E00109528-07
Übersicht zu fehlersicheren Systemen 1
1.1 Einleitung

Zielsetzung der Sicherheitstechnik


Zielsetzung der Sicherheitstechnik ist es, die Gefährdung von Menschen und Umwelt durch
technische Einrichtungen so gering wie möglich zu halten, ohne dadurch die industrielle
Produktion und den Einsatz von Maschinen und chemischen Produkten mehr als unbedingt
notwendig einzuschränken.

Was sind fehlersichere Automatisierungssysteme?


Fehlersichere Automatisierungssysteme (F-Systeme) dienen der Steuerung von Prozessen
mit unmittelbar durch Abschaltung erreichbarem sicheren Zustand. D. h., F-Systeme steuern
Prozesse, bei denen eine unmittelbare Abschaltung keine Gefahr für Mensch oder Umwelt
nach sich zieht.
Über die konventionelle Sicherheitstechnik hinaus erlauben F-Systeme eine
Sicherheitstechnik, die einen intelligenten Systemdurchgriff bis hin zu den elektrischen
Antrieben und Messsystemen ermöglicht.
F-Systeme werden in Anlagen mit erhöhten Sicherheitsanforderungen eingesetzt. Die
bessere Fehleraufdeckung bzw. Fehlerlokalisierung in F-Systemen durch ausführliche
Diagnoseinformationen ermöglicht eine schnelle Fortsetzung der Produktion nach einer
sicherheitsbedingten Unterbrechung.

In diesem Kapitel
Dieses Kapitel dient als Einführung in die Sicherheitstechnik in SIMATIC S7.
Es stellt die fehlersicheren Systeme S7 Distributed Safety und S7 F/FH Systems vor, geht
auf deren Einsatzbereiche ein und zeigt wichtige Gemeinsamkeiten und Unterschiede der
beiden F-Systemen auf.
Am Ende des Kapitels wird die prinzipielle Vorgehensweise des Anwenders bei der Arbeit
mit F-Systemen S7 Distributed Safety und S7 F/FH Systems vorgestellt.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 15
Übersicht zu fehlersicheren Systemen
1.2 Safety Integrated - das ganzheitliche Sicherheitskonzept der Fa. Siemens

1.2 Safety Integrated - das ganzheitliche Sicherheitskonzept der


Fa. Siemens

Safety Integrated
Safety Integrated ist das ganzheitliche Sicherheitskonzept für die Automatisierungs- und
Antriebstechnik von Siemens.
Bewährte Technologien und Systeme aus der Automatisierungstechnik werden für die
Sicherheitstechnik eingesetzt. Safety Integrated beinhaltet die komplette Sicherheitskette
vom Geber und Aktor bis hin zur Steuerung inklusive der sicherheitsgerichteten
Kommunikation über Standard-Feldbusse.
Antriebe und Steuerungen übernehmen zusätzlich zu ihren Funktionsaufgaben auch
Sicherheitsaufgaben. Integrierte Sicherheitstechnik verspricht neben zuverlässiger
Sicherheit insbesondere höhere Flexibilität und Produktivität.

Sicherheitsgerichtete Ein- und Ausgangssignale


Die sicherheitsgerichteten Ein-/Ausgangssignale bilden die Schnittstelle zum Prozess und
erlauben unter anderem den direkten Anschluss von ein- und zweikanaligen
Peripheriesignalen, beispielsweise von NOT-AUS-Tastern oder von Lichtschranken. Die
sicherheitsgerichteten Signale werden intern redundant verknüpft. Sicherheitsgerichtete
Eingangssignale werden z. B. 2-fach redundant gelesen, miteinander verglichen und das
vereinheitlichte Leseergebnis wird zur weiteren Verarbeitung der Zentralbaugruppe
fehlersicher übergeben. Sicherheitsgerichtete Aktoren werden ohne Zutun des Anwenders 2-
fach verundet angesteuert. Auch die Verschaltung der Ein- und Ausgänge ist weitgehend
vereinfacht.
Somit können einige der bisher diskret aufgebauten Hardwareschaltglieder entfallen, was
sich in einem vereinfachten Schaltschrankkonzept widerspiegelt.

Fehlersichere dezentrale Peripheriesysteme


Mit dem Einsatz von fehlersicheren dezentralen Peripheriesystemen wird die Ablösung der
konventionellen Aufbautechnik in der Sicherheitstechnik durch PROFIBUS DP- und
PROFINET IO-Komponenten möglich. Das betrifft u. a. die Ablösung von Schaltgeräten für
NOT-AUS, Schutztürwächter und Zweihandbedienung.

Sicherheitstechnik in SIMATIC S7
16 Systemhandbuch, 07/2013, A5E00109528-07
Übersicht zu fehlersicheren Systemen
1.3 Fehlersichere Systeme in SIMATIC S7

Vorteile der Integration von Sicherheitstechnik in Standard-Automatisierungssysteme


Mit der Integration der Sicherheitstechnik in Standard-Automatisierungssysteme ergeben
sich folgende wichtige Vorteile:
● Ein Automatisierungssystem mit integrierter F-Technik ist flexibler als
elektromechanische Lösungen.
● Die Integration bringt eine Reduzierung des Verdrahtungsaufwands.
● Geringer Engineering-Aufwand, da Projektierung und Programmierung mit Standard-
Engineering-Tools erfolgt.
● Nur eine CPU notwendig, da sicherheitsgerichtete und Standard-Programteile koexistent
in der CPU ablaufen können.
● Einfache Kommunikation zwischen sicherheitsgerichteten und Standard-Programmteilen.

1.3 Fehlersichere Systeme in SIMATIC S7

Welche fehlersicheren Systeme stehen in SIMATIC S7 zur Verfügung?


Für die Integration der Sicherheitstechnik in die SIMATIC S7-Automatisierungssysteme
stehen zwei fehlersichere Systeme zur Verfügung:
1. Für die Realisierung von Sicherheitskonzepten im Bereich Maschinen- und
Personenschutz (z. B. für NOT-AUS-Einrichtungen beim Betrieb von Be-
/Verarbeitungsmaschinen) und in der Prozessindustrie (z. B. zur Durchführung von
Schutzfunktionen für MSR-Schutzeinrichtungen und Brenner) steht das System
S7 Distributed Safety zur Verfügung.
2. Für Anlagen in der Prozesstechnik und der Ölindustrie, bietet sich das fehlersichere und
insbesondere optional hochverfügbare Automatisierungssystem S7 F/FH Systems an.

Fehlersicheres und hochverfügbares System S7 FH Systems


Um die Verfügbarkeit des Automatisierungssystems zu erhöhen und so Prozessausfälle bei
Fehlern im F-System bzw. bei Sensoren und Aktoren zu vermeiden, können fehlersichere
Systeme S7 F Systems optional hochverfügbar aufgebaut werden (S7 FH Systems). Diese
Verfügbarkeitserhöhung kann man durch Redundanz der Komponenten (Stromversorgung,
Zentralbaugruppe, Kommunikation und Peripherie) erreichen.

Erreichbare Sicherheitsanforderungen
F-Systeme S7 Distributed Safety und S7 F/FH Systems können die folgenden
Sicherheitsanforderungen erfüllen:
● Sicherheitsklasse (Safety Integrity Level) SIL3 nach IEC 61508:2000
● Performance Level (PL) e und Kategorie 4 nach ISO 13849-1:2006 bzw. EN ISO 13849-
1:2008

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 17
Übersicht zu fehlersicheren Systemen
1.3 Fehlersichere Systeme in SIMATIC S7

Prinzip der Sicherheitsfunktionen in S7 Distributed Safety und S7 F/FH Systems


Die funktionale Sicherheit wird durch Sicherheitsfunktionen schwerpunktmäßig in der
Software realisiert. Sicherheitsfunktionen werden durch das System S7 Distributed Safety
bzw. S7 F/FH Systems ausgeführt, um bei einem gefährlichen Ereignis die Anlage in einen
sicheren Zustand zu bringen oder in einem sicheren Zustand zu halten. Die
Sicherheitsfunktionen sind hauptsächlich in folgenden Komponenten enthalten:
● im sicherheitsgerichteten Anwenderprogramm (Sicherheitsprogramm) in der F-fähigen
CPU (F-CPU)
● in den fehlersicheren Ein- und Ausgaben (F-Peripherie)
Die F-Peripherie gewährleistet die sichere Bearbeitung der Feldinformationen (NOT-AUS-
Taster, Lichtschranken, Motoransteuerung). Sie verfügt über alle notwendigen Hard- und
Software-Komponenten für die sichere Bearbeitung, entsprechend der geforderten
Sicherheitsklasse. Der Anwender programmiert nur die Anwendersicherheitsfunktion.
Die Sicherheitsfunktion für den Prozess kann durch eine Anwendersicherheitsfunktion oder
eine Fehlerreaktionsfunktion erbracht werden. Wenn das F-System im Fehlerfall die
eigentliche Anwendersicherheitsfunktion nicht mehr ausführen kann, führt es die
Fehlerreaktionsfunktion aus: z. B. die zugehörigen Ausgänge werden abgeschaltet und ggf.
geht die F-CPU in STOP.

Beispiel für Anwendersicherheitsfunktion und Fehlerreaktionsfunktion


Das F-System soll bei Überdruck ein Ventil öffnen (Anwendersicherheitsfunktion). Bei einem
gefährlichen Fehler der F-CPU werden alle Ausgänge abgeschaltet
(Fehlerreaktionsfunktion), wodurch das Ventil geöffnet wird und auch die anderen Aktoren in
den sicheren Zustand gelangen. Bei einem intakten F-System würde nur das Ventil geöffnet.

Sicherheitstechnik in SIMATIC S7
18 Systemhandbuch, 07/2013, A5E00109528-07
Übersicht zu fehlersicheren Systemen
1.3 Fehlersichere Systeme in SIMATIC S7

PROFIBUS DP bzw. PROFINET IO mit Busprofil PROFIsafe


Die sichere Kommunikation zwischen dem Sicherheitsprogramm in der F-CPU und den
fehlersicheren Ein- und Ausgaben erfolgt über den "Standard"-PROFIBUS DP bzw.
"Standard"-PROFINET IO mit überlagertem Sicherheitsprofil PROFIsafe nach IEC 61784-3-
3 Ed2.
Innerhalb eines Standard-Datentelegramms werden die Nutzdaten der Sicherheitsfunktion
zuzüglich der Sicherheitsmaßnahmen gesendet.
Vorteile:
● Da Standard- und sicherheitsgerichtete Kommunikation auf dem Standard-PROFIBUS
DP bzw. Standard-PROFINET IO erfolgen, sind keine zusätzlichen
Hardwarekomponenten erforderlich.
● Es können sicherheitsgerichtete Kommunikationsaufgaben gelöst werden, für die bisher
konventionelle Lösungen (z.B. feste Verdrahtung von NOT-AUS) oder Spezialbusse
erforderlich waren. Damit sind sicherheitsgerichtete dezentrale Anwendungen möglich,
z. B. im Automobilrohbau mit Pressen und Robotern, in der Feuerungstechnik, beim
Personentransport in Seilbahnen und in der Prozessautomatisierung.
● Fehlersichere DP-Normslaves lassen sich in F-Systeme S7 Distributed Safety und in
S7 F/FH Systems integrieren (busfähige Sensoren/Aktoren und Schutzeinrichtungen von
PROFIBUS-Partnerfirmen, die DP-Normslaves sind und sich nach dem Busprofil
PROFIsafe verhalten).
● Fehlersichere IO-Normdevices lassen sich in F-Systeme S7 Distributed Safety integrieren
(busfähige Sensoren/Aktoren und Schutzeinrichtungen von PROFIBUS-Partnerfirmen,
die IO-Normdevices sind und sich nach dem Busprofil PROFIsafe verhalten).
● Fehlersichere PA-Feldgeräte lassen sich in F-Systeme S7 F/FH Systems integrieren
(Feldgeräte, die am PROFIBUS mit dem Protokoll PA betrieben werden und sich nach
dem Busprofil PROFIsafe verhalten).

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 19
Übersicht zu fehlersicheren Systemen
1.3 Fehlersichere Systeme in SIMATIC S7

1.3.1 Einsatzbereiche von S7 Distributed Safety und S7 F/FH Systems

Einsatz von S7 Distributed Safety


Fehlersichere Systeme S7 Distributed Safety haben ihre Einsatzschwerpunkte im Bereich
Maschinen- und Personenschutz (z. B. für NOT-AUS-Einrichtungen beim Betrieb von Be-
/Verarbeitungsmaschinen) und in der Prozessindustrie (z. B. zur Durchführung von
Schutzfunktionen für MSR-Schutzeinrichtungen und Brenner), wo der sichere Zustand durch
Abschalten der fehlersicheren Ausgänge erreichbar ist.
Das folgende Bild zeigt Integrationsmöglichkeiten für F-Systeme S7 Distributed Safety in die
Automatisierungsebene einer Anlage.

Bild 1-1 Einsatz von S7 Distributed Safety

Sicherheitstechnik in SIMATIC S7
20 Systemhandbuch, 07/2013, A5E00109528-07
Übersicht zu fehlersicheren Systemen
1.3 Fehlersichere Systeme in SIMATIC S7

Einsatz von S7 F/FH Systems


Fehlersichere Systeme S7 F/FH Systems haben ihren Einsatzschwerpunkt in der Prozess-
und Leittechnik, wo der sichere Zustand durch Abschalten der fehlersicheren Ausgänge
erreichbar ist.
Das folgende Bild zeigt Integrationsmöglichkeiten für F-Systeme S7 F Systems und
S7 FH Systems in Prozessautomatisierungssystemen mit PCS 7.

Bild 1-2 Einsatz von S7 F/FH Systems

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 21
Übersicht zu fehlersicheren Systemen
1.3 Fehlersichere Systeme in SIMATIC S7

1.3.2 Leistungsmerkmale von S7 Distributed Safety und S7 F/FH Systems

Gemeinsamkeiten von S7 Distributed Safety und S7 F/FH Systems


Die Systeme S7 Distributed Safety und S7 F/FH Systems zeichnen sich durch folgende,
wichtige Gemeinsamkeiten aus:
● Integration in die S7-300- bzw. S7-400-Automatisierungssysteme; den Aufbau der Anlage
gibt die Automatisierungsaufgabe vor, die F-Technik wird in die Anlage integriert.
● Ablauf von Standardsteuerungs- und Schutzfunktionen auf demselben System möglich
(F-fähiges Standardsystem, dadurch Wegfall von zweckgebundenen F-Lösungen).
● Anbindung der dezentralen Peripherie über PROFIBUS DP mit Busprofil PROFIsafe.
● Einsatz von Standard-PROFIBUS-Komponenten (Kupfer- und Lichtwellenleitertechnik)
● in STEP 7 integrierte Projektierung wie für Standard-Automatisierungssysteme
● Programmierung des Sicherheitsprogramms in Standard-Programmiersprachen von
STEP 7
● flexible Anpassung an die Aufgabenstellung durch Einsatz eines breiten F-Peripherie-
Spektrums

Gegenüberstellung von Leistungsmerkmalen von S7 Distributed Safety und


S7 F/FH Systems
In der folgenden Tabelle sind die Unterschiede der F-Systeme hinsichtlich wichtiger
Leistungsmerkmale gegenübergestellt.

Tabelle 1- 1 Leistungsmerkmale der F-Systeme

Leistungsmerkmal S7 Distributed Safety S7 F/FH Systems


Erreichbare SIL3/Kat.4/PLe SIL3/Kat.4/PLe
Sicherheitsklassen
Hochverfügbarkeit möglich nein ja
Ausbaustufen fehlersicheres System fehlersicheres System
fehlersicheres und
hochverfügbares System
F-Peripherieanbindung • zentral • dezentral über PROFIBUS DP
• dezentral über PROFIBUS DP
• dezentral über PROFINET IO
(F-Module ET 200S und
ET 200pro)
minimale Reaktionszeit des 50 ms 100 ms
F-Systems
(ausbauabhängig)
typische Reaktionszeit des F- 100 bis 200 ms 200 bis 500 ms
Systems

Sicherheitstechnik in SIMATIC S7
22 Systemhandbuch, 07/2013, A5E00109528-07
Übersicht zu fehlersicheren Systemen
1.3 Fehlersichere Systeme in SIMATIC S7

Leistungsmerkmal S7 Distributed Safety S7 F/FH Systems


Kommunikation sicherheitsgerichtete Master- sicherheitsgerichtete
Master-Kommunikation Kommunikation über S7-
sicherheitsgerichtete Master-I- Verbindungen (über u. a.
Slave-Kommunikation PROFIBUS, MPI, Industrial
Ethernet)
sicherheitsgerichtete I-Slave-I-
Slave-Kommunikation sicherheitsgerichtete
Kommunikation über WLAN
sicherheitsgerichtete
I-Slave-Slave-Kommunikation
sicherheitsgerichtete
IO-Controller-IO-Controller-
Kommunikation
sicherheitsgerichtete
Kommunikation über S7-
Verbindungen (nur Industrial
Ethernet)
sicherheitsgerichtete
Kommunikation über WLAN
Erstellung des in STEP 7-Standardsprachen in CFC (Optionssoftware zu
Sicherheitsprogramms KOP oder FUP STEP 7)
über Safety Matrix
Änderung des z. T. im deaktivierten z. T. im deaktivierten
Sicherheitsprogramms in der Sicherheitsbetrieb möglich, aber Sicherheitsbetrieb oder über
F-CPU im RUN Übergang in den Safety Data Write möglich,
Sicherheitsbetrieb nur über STOP Betriebszustandswechsel der
der F-CPU möglich F-CPU für Übergang in den
Sicherheitsbetrieb ist nicht
erforderlich
Fehlerreaktionen im Passivierung von Kanälen oder Passivierung von Kanälen oder
Sicherheitsprogramm der F-Peripherie der F-Peripherie
STOP der F-CPU kein STOP der F-CPU, sondern
"F-STOP", d. h. wahlweise
Abschalten aller F-Abschalt-
gruppen der F-CPU oder nur
Abschalten der F-Abschalt-
gruppen, in welchen ein Fehler
erkannt wurde
Haupteinsatzgebiete Personen- und Maschinenschutz Leittechnik und Prozessindustrie
Brennersteuerung (Einbindung in Leitsystem
PCS 7 möglich)

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 23
Übersicht zu fehlersicheren Systemen
1.3 Fehlersichere Systeme in SIMATIC S7

Tabelle 1- 2 Speicherausbau der F-CPUs

F-System Einsetzbare Speicherausbau (Arbeitsspeicher)


F-CPU
S7 Distributed Safety IM 151-7 F-CPU 128 KByte
(6ES7151-7FA20-0AB0)
IM 151-8F PN/DP CPU 192 KByte
(6ES7151-8FB00-0AB0)
CPU 315F-2 DP 192 KByte
(6ES7315-6FF01-0AB0)
CPU 315F-2 PN/DP 256 KByte
(6ES7315-2FH13-0AB0)
CPU 317F-2 DP 1024 KByte
(6ES7317-6FF03-0AB0)
CPU 317F-2 PN/DP 1024 KByte
(6ES7317-2FK13-0AB0)
CPU 319F-3 PN/DP 1400 KByte
(6ES7318-3FL00-0AB0)
CPU 416F-2 2,8 MByte für Programm +
(6ES7416-2FN05-0AB0) 2,8 MByte für Daten
CPU 416F-3 PN/DP 5,6 MByte für Programm +
(6ES7416-3FR05-0AB0) 5,6 MByte für Daten
S7 F/FH Systems CPU 412-3H 512 KByte für Programm +
(6ES7412-3HJ14-0AB0) 256 KByte für Daten
CPU 414-4H 1,4 MByte für Programm +
(6ES7414-4HM14-0AB0) 1,4 MByte für Daten
CPU 417-4H 15 MByte für Programm +
(6ES7417-4HT14-0AB0) 15 MByte für Daten

Unterstützung von PROFINET IO (nur S7 Distributed Safety) :


Folgende F-CPUs und F-Peripherie unterstützen PROFINET IO:
● IM 151-8F PN/DP CPU (nur über PN-Schnittstelle der CPU)
● CPU 315F-2 PN/DP (nur über PN-Schnittstelle der CPU)
● CPU 317F-2 PN/DP (nur über PN-Schnittstelle der CPU)
● CPU 319F-3 PN/DP (nur über PN-Schnittstelle der CPU)
● CPU 416F-2 mit PROFINET IO-fähigem CP
● CPU 416F-3 PN/DP
● Fehlersichere Signalbaugruppen S7-300
● Fehlersichere Module ET 200S
● Fehlersichere Module ET 200pro
● Fehlersichere IO-Normdevices

Sicherheitstechnik in SIMATIC S7
24 Systemhandbuch, 07/2013, A5E00109528-07
Übersicht zu fehlersicheren Systemen
1.4 Komponenten von S7 Distributed Safety und S7 F/FH Systems

1.4 Komponenten von S7 Distributed Safety und S7 F/FH Systems

Hard- und Software-Komponenten von F-Systemen


Das folgende Bild zeigt die Hard- und Software-Komponenten im Überblick, die zum Aufbau
und Betrieb von F-Systemen S7 Distributed Safety oder S7 F/FH Systems erforderlich sind.

Bild 1-3 Hard- und Softwarekomponenten eines F-Systems im Überblick

Zusammenspiel der Komponenten


Es sind Hard- und Software-Komponenten notwendig, die miteinander verknüpft werden
müssen, um ein fehlersicheres System aufzubauen.
Fehlersichere Peripherie verdrahten
Der Anwender verdrahtet die F-Peripherie so mit den Gebern und Aktoren, dass die
gewünschte Sicherheitsklasse erreicht werden kann.
Hardware projektieren
Der Anwender projektiert die F-fähige CPU und die F-Peripherie in STEP 7
HW Konfig. Die Projektierung muss dem Hardwareaufbau entsprechen, d. h. das
Schaltschema der F-Peripherie muss sich in der Parametereinstellung wiederfinden.
Sicherheitsprogramm erstellen
Der Anwender erstellt das Sicherheitsprogramm mit einer Programmiersprache in STEP 7.
Für S7 Distributed Safety erstellt der Anwender fehlersichere Bausteine in F-FUP oder F-
KOP. In der zugehörigen F-Bausteinbibliothek stehen fehlersichere Bausteine zur
Verfügung, die der Anwender in seinem Sicherheitsprogramm verwenden kann. Die
Anbindung der F-Peripherie funktioniert, wie im Standard, über das Prozessabbild (PAE,
PAA).
Für S7 F/FH Systems parametriert und verschaltet der Anwender fehlersichere Bausteine
der zugehörigen F-Bausteinbibliothek in CFC. Für die Anbindung der
F-Peripherie stehen spezielle F-Treiberbausteine zur Verfügung, die ebenfalls parametriert
und verschaltet werden müssen.
Für beide F-Systeme werden bei der Generierung des ablauffähigen Sicherheitsprogramms
automatisch Sicherheitsprüfungen durchgeführt und zusätzliche F-Bausteine zur
Fehlererkennung eingebaut.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 25
Übersicht zu fehlersicheren Systemen
1.4 Komponenten von S7 Distributed Safety und S7 F/FH Systems

1.4.1 Hardware-Komponenten

Komponenten
Ein F-System besteht zum einen aus Hardware-Komponenten, die bestimmte
Sicherheitsanforderungen erfüllen:

Tabelle 1- 3 Hardware-Komponenten

F-System F-fähige CPU (F-CPU) Fehlersichere Peripherie


S7 • IM 151-7 F-CPU • F-Signalbaugruppen in ET 200M (dezentraler
Distributed Aufbau)
• IM 151-8F PN/DP CPU
Safety
• CPU 315F-2 DP • F-Signalbaugruppen in S7-300-Station (zentraler
Aufbau mit einer CPU 3xxF)
• CPU 315F-2 PN/DP
• F-Elektronikmodule in ET 200S (DP-Master, DP-
• CPU 317F-2 DP
Slave, I-Slave, IO-Controller oder IO-Device)
• CPU 317F-2 PN/DP
• F-Module ET 200pro (DP-Slave oder IO-Device)
• CPU 319F-3 PN/DP
• F-Peripheriemodul ET 200eco
• CPU 416F-2
• fehlersichere DP-Normslaves
• CPU 416F-3 PN/DP
• fehlersichere IO-Normdevices
S7 F/FH • CPU 412-3H • F-Signalbaugruppen in ET 200M (dezentraler
Systems Aufbau)
• CPU 414-4H
• CPU 417-4H • F-Elektronikmodule in ET 200S (DP-Slave)
(jeweils mit • F-Module ET 200pro (DP-Slave)
S7 F Systems RT Licence • F-Peripheriemodul ET 200eco
(Copy Licence))
• fehlersichere DP-Normslaves
• fehlersichere PA-Feldgeräte

Außerdem kann das F-System mit Standard-Komponenten der S7-300 und S7-400 erweitert
werden.

Sicherheitstechnik in SIMATIC S7
26 Systemhandbuch, 07/2013, A5E00109528-07
Übersicht zu fehlersicheren Systemen
1.4 Komponenten von S7 Distributed Safety und S7 F/FH Systems

F-fähige CPU (F-CPU)


Eine F-fähige CPU ist eine Zentralbaugruppe, die für den Einsatz in S7 Distributed Safety
bzw. S7 F/FH Systems zugelassen ist.
Für S7 F/FH Systems erlaubt die S7 F Systems RT Licence (Copy Licence) dem Anwender,
die Zentralbaugruppe als F-CPU einzusetzen, d. h. ein Sicherheitsprogramm darin ablaufen
zu lassen.
Für S7 Distributed Safety ist keine S7 F Systems RT Licence (Copy Licence) erforderlich.
In der F-CPU kann außerdem ein Standard-Anwenderprogramm ablaufen.
Eine Koexistenz von Standard- und Sicherheitsprogramm ist möglich, da eine ungewollte
Beeinflussung des Sicherheitsprogramms durch das Standard-Anwenderprogramm
beherrscht wird.
Sicherheitsrelevante Teile des Anwenderprogramms müssen in der F-CPU und im PG/ES
mit einem Passwort vor unbefugtem Zugriff geschützt werden. Zudem laufen in der F-CPU
hochwirksame Maßnahmen zur Erkennung und Beherrschung von Fehlern ab.

Hinweis
Für den Einsatz in S7 Distributed Safety stehen Ihnen folgende F-CPUs zur Verfügung: IM
151-7 F-CPU, IM 151-8F PN/DP CPU, CPU 315F-2 DP, CPU 315F-2 PN/DP, CPU 317F-2
DP, CPU 317F-2 PN/DP, CPU 319F-3 PN/DP, CPU 416F-2 und CPU 416F-3 PN/DP. Bitte
beachten Sie, dass diese F-CPUs nicht in S7 F/FH Systems einsetzbar sind.
Für den Einsatz in S7 F/FH Systems stehen Ihnen folgende F-CPUs zur Verfügung:
CPU 412-3H, CPU 414-4H und CPU 417-4H. Bitte beachten Sie, dass diese F-CPUs nicht in
S7 Distributed Safety einsetzbar sind.

Einschränkungen beim Einsatz von F-Peripherie am PROFIBUS DP


Beachten Sie bitte, dass F-Peripherie im Sicherheitsbetrieb nicht einsetzbar ist mit folgenden
Baugruppen als DP-Master am PROFIBUS DP:
● CP 342-5
● CP 443-5DX00
● CP 443-5DX01
● IM 467-5GJ00
● IM 467-5GJ01
● IF 964-DP

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 27
Übersicht zu fehlersicheren Systemen
1.4 Komponenten von S7 Distributed Safety und S7 F/FH Systems

Fehlersichere Signalbaugruppen S7-300


Die folgenden fehlersicheren Signalbaugruppen (kurz F-SMs) stehen zur Verfügung:
● Fehlersichere Digitaleingabebaugruppen:
– SM 326; DI 8 ☓ NAMUR
– SM 326; DI 24 ☓ DC 24V
● Fehlersichere Digitalausgabebaugruppen:
– SM 326; DO 10 ☓ DC 24V/2A
– SM 326; DO 8 ☓ DC 24V/2A
● Fehlersichere Analogeingabebaugruppen:
– SM 336; AI 6 ☓ 13 Bit
– SM 336; F-AI 6 ☓ 0/4 ... 20 mA HART
Der Einsatz von F-SMs als Standard-SMs mit Standard-CPUs in Standard-Applikationen ist
ebenfalls möglich. Aus Anwendersicht zeichnen sich die F-SMs gegenüber den meisten
Standard-SMs dadurch aus, dass sie diagnosealarmfähig sind.
In S7 Distributed Safety können die F-SMs dezentral in ET 200M und zentral in einer S7-
300-Station betrieben werden.
In S7 F/FH Systems können die F-SMs generell nur im dezentralen Peripheriesystem
ET 200M betrieben werden.
Die SM 326; DO 8 ☓ DC 24V/2A kann nur im Sicherheitsbetrieb eingesetzt werden. Sie kann
mit allen F-CPUs des S7-300-Spektrums zentral gesteckt werden, jedoch mit:
● CPU 315F-2 DP (6ES7315-6FF01-0AB0) erst ab Firmware-Version V 2.0.9 und
● CPU 317F-2 DP (6ES7317-6FF00-0AB0) erst ab Firmware-Version V 2.1.4.
Dezentral kann die Baugruppe in S7 Distributed Safety und S7 F/FH Systems betrieben
werden.
Die SM 336; F-AI 6 ☓ 0/4 ... 20 mA HART kann nur im Sicherheitsbetrieb eingesetzt werden.
Für die Nutzung der HART-Funktion ist ein dezentraler Einsatz in ET 200M erforderlich.

Interface-Module für ET 200M mit fehlersicheren Signalbaugruppen


Pro ET 200M wird ein Interface-Modul benötigt. Welche Interface-Module mit fehlersicheren
Signalbaugruppen einsetzbar sind, entnehmen Sie dem Handbuch "Automatisierungssystem
S7 300, Dezentrales Peripheriegerät ET 200M, Fehlersichere Signalbaugruppen"
(http://support.automation.siemens.com/WW/view/de/19026151).

Sicherheitstechnik in SIMATIC S7
28 Systemhandbuch, 07/2013, A5E00109528-07
Übersicht zu fehlersicheren Systemen
1.4 Komponenten von S7 Distributed Safety und S7 F/FH Systems

Einschränkungen beim Einsatz von Standard-SMs S7-300


Für den Einsatz von Standard-SMs S7-300 in Systemen S7 F/FH Systems gelten die
Einschränkungen für hochverfügbare Systeme (siehe Handbuch "Automatisierungssystem
S7-400H, Hochverfügbare Systeme"
(http://support.automation.siemens.com/WW/view/de/1186523/0/de)).
Die Einschränkungen für Standard-SMs S7-300 im Sicherheitsbetrieb von F-SMs finden Sie
im Handbuch "Automatisierungssystem S7 300, Dezentrales Peripheriegerät ET 200M,
Fehlersichere Signalbaugruppen"
(http://support.automation.siemens.com/WW/view/de/19026151).

Fehlersichere Elektronikmodule ET 200S


Die folgenden fehlersicheren Elektronikmodule (kurz F-Module) stehen in ET 200S zur
Verfügung:
● Powermodul PM-E F pm DC24V PROFIsafe; mit 2 zusätzlichen, fehlersicheren
Digitalausgängen
● Powermodul PM-E F pp DC24V PROFIsafe
● Powermodul PM-D F DC24V PROFIsafe
● Digitales Elektronikmodul 4/8 F-DI DC24V PROFIsafe
● Digitales Elektronikmodul 4 F-DI/3F-DO DC24V PROFIsafe
● Digitales Elektronikmodul 4 F-DO DC24V/2A PROFIsafe
● Digitales Elektronikmodul 1 F-RO DC24V/AC 24 ... 230V/5A
Der Einsatz von F-Modulen mit Standard-CPUs in Standard-Applikationen ist nicht möglich
(Ausnahme: 1 F-RO DC24V/AC 24 ... 230V/5A).

Interface-Module für ET 200S mit fehlersicheren Modulen


Pro ET 200S wird ein Interface-Modul benötigt. Welche Interface-Module einsetzbar sind,
entnehmen Sie dem Handbuch "Dezentrales Peripheriesystem ET 200S, Fehlersichere
Module" (http://support.automation.siemens.com/WW/view/de/12490437).

Fehlersichere Module ET 200pro


Die folgenden fehlersicheren Elektronikmodule (kurz F-Module) stehen für eine ET 200pro
zur Verfügung:
● Digitales Elektronikmodul 8/16 F-DI DC24V PROFIsafe
● Digitales Elektronikmodul 4/8 F-DI/4 F-DO DC24V/2A PROFIsafe
● Digitales Elektronikmodul F-Switch PROFIsafe

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 29
Übersicht zu fehlersicheren Systemen
1.4 Komponenten von S7 Distributed Safety und S7 F/FH Systems

Interface-Module für ET 200pro mit fehlersicheren Modulen


Pro ET 200pro wird ein Interface-Modul benötigt. Welche Interface-Module einsetzbar sind,
entnehmen Sie dem Handbuch "Dezentrales Peripheriesystem ET 200pro, Fehlersichere
Module" (http://support.automation.siemens.com/WW/view/de/22098524).

Fehlersicheres Peripheriemodul ET 200eco


Das folgende fehlersichere Peripheriemodul (kurz F-Modul) steht in ET 200eco zur
Verfügung:
● 4/8 F-DI DC24V PROFIsafe

Fehlersichere DP-Normslaves
Fehlersichere DP-Normslaves sind Normslaves, die an PROFIBUS mit dem Protokoll DP
und dem Busprofil PROFIsafe betrieben werden. Sie müssen sich nach der Norm IEC
61784-1 Ed3 CP 3/1 und dem Busprofil PROFIsafe nach IEC 61784-3-3 Ed2 verhalten.
Fehlersichere DP-Normslaves, die in Mischkonfigurationen am PROFIBUS DP und
PROFINET IO nach IE/PB Links eingesetzt werden, müssen das Busprofil PROFIsafe im
V2-Mode unterstützen.
Für ihre Projektierung wird eine GSD-Datei verwendet.

Fehlersichere I/O-Normdevices
Fehlersichere I/O-Normdevices sind Normdevices, die an PROFINET mit dem Protokoll IO
und dem Busprofil PROFIsafe (V2-MODE) betrieben werden. Sie müssen sich nach den
Normen IEC 61784-2 CP 3/5 und CP 3/6 und IEC 61158 Types 5-10 und 6-10 und dem
Busprofil PROFIsafe nach IEC 61784-3-3 Ed2 verhalten. Für ihre Projektierung wird eine
GSD-Datei verwendet.

Fehlersichere PA-Feldgeräte
Fehlersichere PA-Feldgeräte sind Feldgeräte, die am PROFIBUS mit dem Protokoll PA
betrieben werden. Sie müssen sich nach der Norm IEC 61784-1 Ed1 CP 3/2 und dem
Busprofil PROFIsafe nach IEC 61784-3-3 Ed2 verhalten. Für ihre Projektierung wird eine
GSD-Datei verwendet.

1.4.2 Software-Komponenten

Einleitung
Die Software-Komponenten eines F-Systems umfassen:
● das Optionspaket auf dem PG/ES für die Projektierung und Programmierung des F-
Systems
● das Sicherheitsprogramm in der F-CPU
Außerdem benötigen Sie die Basissoftware STEP 7 auf dem PG/ES für die Projektierung
und Programmierung des Standard-Automatisierungssystems.
Für S7 F/FH Systems benötigen Sie noch zusätzlich die STEP 7-Optionssoftware CFC und
ggf. PCS 7 (z. B. für die Verwendung von S7 F Systems HMI).

Sicherheitstechnik in SIMATIC S7
30 Systemhandbuch, 07/2013, A5E00109528-07
Übersicht zu fehlersicheren Systemen
1.4 Komponenten von S7 Distributed Safety und S7 F/FH Systems

Optionspakete zur Projektierung und Programmierung von F-Systemen


Für die Projektierung und Programmierung der F-Systeme stehen die beiden Optionspakete
der folgenden Tabelle zur Verfügung.

Tabelle 1- 4 Optionspakete zur Projektierung und Programmierung

Optionspaket Bestell-Nr. Für F-System Umfang


S7 Distributed 6ES7833- S7 Distributed Projektier- und Programmiersoftware mit F-
Safety 1FC02-0YA5 Safety Bausteinbibliothek für:
• IM 151-7 F-CPU, IM 151-8F PN/DP
CPU, CPU 315F-2 DP,
CPU 315F-2 PN/DP, CPU 317F-2 DP,
CPU 317F-2 PN/DP,
CPU 319F-3 PN/DP, CPU 416F-2,
CPU 416 F-3 PN/DP
• F-Module ET 200S
• F-Module ET 200pro
• F-Modul ET 200eco
• F-SMs S7-300
• fehlersichere DP-Normslaves
• fehlersichere IO-Normdevices
S7 F Systems 6ES7833- S7 F/FH Projektier- und Programmiersoftware mit F-
1CC01-0YA5 Systems Bausteinbibliothek für:
• CPU 412-3H
• CPU 414-4H, CPU 417-4H
• F-Module ET 200S
• F-Module ET 200pro
• F-Modul ET 200eco
• F-SMs S7-300
• fehlersichere DP-Normslaves
• fehlersichere PA-Feldgeräte

Mit diesen Optionspaketen erhält der Anwender


● die Unterstützung für die Projektierung der F-CPU (nur S7 Distributed Safety) und F-
Peripherie in STEP 7 mit HW Konfig.
● die F-Bibliothek mit fehlersicheren Bausteinen für die Erstellung von
Sicherheitsprogrammen.
● die Unterstützung für die Erstellung des Sicherheitsprogramms und für die Integration von
Fehlererkennungsfunktionen in das Sicherheitsprogramm.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 31
Übersicht zu fehlersicheren Systemen
1.4 Komponenten von S7 Distributed Safety und S7 F/FH Systems

Programmiersprache
Für die Sicherheitsprogramm-Erstellung werden unterschiedliche Programmiersprachen
verwendet:

Tabelle 1- 5 Programmiersprachen

F-System Programmier- Erläuterung


sprache
S7 F-KOP, F-FUP • Unterschiede zu STEP 7-Standardsprachen KOP und FUP
Distributed bestehen im Wesentlichen in Einschränkungen im
Safety Operationsvorrat und bei den Datentypen
• F-Applikationsbausteine der F-Bibliothek Distributed Safety oder
aus anwendererstellten F-Bibliotheken können verwendet
werden
S7 F/FH CFC • Einsatz der STEP 7-Optionssoftware CFC
Systems
• spezielle F-Bausteine der F-Bibliothek S7 F Systems müssen
verwendet werden

Sicherheitsprogramm-Erstellung für S7 Distributed Safety


Sicherheitsprogramme erstellt der Anwender mit F-FUP bzw. F-KOP in fehlersicheren FBs
und FCs. Es stehen in der mitgelieferten F-Bibliothek F-Applikationsbausteine zur
Verfügung, die der Anwender in sein Sicherheitsprogramm einbauen kann.
Der Anwender hat auch die Möglichkeit, selbst F-Bibliotheken für S7 Distributed Safety zu
erstellen (anwendererstellte F-Bibliotheken).

Sicherheitsprogramm-Erstellung für S7 F/FH Systems


Sicherheitsprogramme erstellt der Anwender mit CFC durch die Verschaltung von
fehlersicheren Bausteinen, die in der F-Bibliothek mit dem Optionspaket S7 F Systems
mitgeliefert werden.

Sicherheitstechnik in SIMATIC S7
32 Systemhandbuch, 07/2013, A5E00109528-07
Übersicht zu fehlersicheren Systemen
1.4 Komponenten von S7 Distributed Safety und S7 F/FH Systems

Optionspakete Safety Matrix zur Projektierung von F-Systemen S7 F/FH Systems


Die SIMATIC Safety Matrix ist das umfassende Tool für Safety Lifecycle-Engineering und -
Management für die fehlersicheren Automatisierungssysteme S7 F/FH Systems und
unterstützt in allen Phasen des Safety Lifecycle:
● Die Safety Matrix ist ein Projektierungstool für Prozesse, die Sicherheitsreaktionen auf
definierte Zustände erfordern.
● Mit der Safety Matrix kann ein CFC-Sicherheitsprogramm für S7 F/FH Systems nach den
Regeln einer Cause/Effect-Matrix (Ursache/Wirkungs-Matrix) erstellt werden.
● Die Safety Matrix ist ein integriertes Tool für alle Abläufe, Wartung, Fehlerbehandlung
und Änderungsmanagement während des Betriebs.
Die Safety Matrix besteht aus drei Produkten, die als drei Optionspakete bezogen werden
können.

Tabelle 1- 6 Safety Matrix-Optionspakete

Optionspaket Bestellnummer Umgebung Umfang


Safety Matrix Editor 6ES7833-1SM41-0YA5 Standalone Anlegen und Projektieren einer Safety
Matrix auf einem PC außerhalb von
PCS 7 bzw. STEP 7
Safety Matrix Engineering 6ES7833-1SM01-0YA5 Engineering System Anlegen und Projektieren einer Safety
Tool (ES) PCS 7 bzw. Matrix, automatische Generierung und
STEP 7 und CFC Laden der CFC-Pläne in ein
PCS 7-Projekt, Bedienen und
Beobachten mittels STEP 7 SIMATIC
Manager auf einem PCS 7-Engineering
System (ES)
Safety Matrix Viewer 6ES7833-1SM61-0YA5 PCS 7-Operator Bedienen und Beobachten mittels
Station (OS) Bildbaustein auf einer PCS 7-Operator
Station (OS)

Weitere Informationen
Detaillierte Informationen zur Projektierung von S7 Distributed Safety und S7 F/FH Systems
finden Sie im Kapitel "Projektieren von F-Systemen (Seite 121)". Die Programmierung der F-
Systeme ist im Kapitel "Programmieren von F-Systemen (Seite 127)" beschrieben.
Die Safety Matrix ist beschrieben im Handbuch "Safety Matrix"
(http://support.automation.siemens.com/WW/view/de/19056619).

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 33
Übersicht zu fehlersicheren Systemen
1.5 Wegweiser zum Arbeiten mit F-Systemen

1.5 Wegweiser zum Arbeiten mit F-Systemen

Einleitung
Dieses Kapitel beschreibt die prinzipielle Vorgehensweise bei der Arbeit mit fehlersicheren
Systemen. Es werden nur die für F-Systeme relevanten Schritte aufgezählt, die vom
Standardvorgehen abweichen.
Prozessabhängige Planungsaufgaben wie z. B. Ablaufschema erstellen, Messstellenliste
erstellen, Struktur definieren, etc. werden hier nicht beschrieben.

Beispielprojekte
Sie finden einführende Beispielprojekte zur Projektierung und Programmierung von:
● S7 Distributed Safety im "Getting Started S7 Distributed Safety"
(http://support.automation.siemens.com/WW/view/de/19810812)
● S7 F/FH Systems auf der Produkt-CD

Anlage planen
Bei der Anlagenplanung legt der Planer für jede notwendige Sicherheitsfunktion die
entsprechende Sicherheitsklasse (SIL/Kat./PL) nach einer Risikobeurteilung der Anlage fest.
Daraus leitet er die Anforderungen an die Komponenten zur Realisierung der
Sicherheitsfunktionen (SPS, Geber, Aktoren) ab. Diese Entscheidungen beeinflussen
weitere Tätigkeiten wie Hardware aufbauen, projektieren und programmieren.

Hinweis
Wichtig bei der Planung ist die funktionale Trennung von Standard- und
Sicherheitsfunktionen.

Sicherheitstechnik in SIMATIC S7
34 Systemhandbuch, 07/2013, A5E00109528-07
Übersicht zu fehlersicheren Systemen
1.5 Wegweiser zum Arbeiten mit F-Systemen

Schrittfolge von der Auswahl der Komponenten bis zur Wartung von F-Systemen
In der folgenden Tabelle finden Sie beschrieben, in welchem Handbuch Sie die
Informationen finden. Weitere Informationen zu den F-CPUs finden Sie in den
dazugehörigen Produktinformationen.

Tabelle 1- 7 Schrittfolge von der Auswahl der Hardware bis zur Wartung von F-Systemen

Schritt Vorgehensweise Beschreibung siehe Handbuch, Kapitel


...
1. Anlage planen: Systemhandbuch Sicherheitstechnik,
Kapitel "Übersicht zu fehlersicheren
• Sicherheitsfunktionen mit entsprechenden
Systemen" (Seite 15)
Sicherheitsklassen (SIL/Kat./PL) festlegen
Produktkatalog
• F-System S7 Distributed Safety, S7 F Systems
oder S7 FH Systems festlegen; Hard- und
Software-Komponenten auswählen
2. Hardware in STEP 7 projektieren: Systemhandbuch Sicherheitstechnik,
Kapitel "Projektieren von F-Systemen"
• F-CPU konfigurieren und für
(Seite 121)
Sicherheitsprogramm parametrieren
S7 Distributed Safety: "S7 Distributed
• Fehlersichere Peripherie (F-SMs, F-Module) Safety, Projektieren und
gemäß Sicherheitsklasse und Schaltschema Programmieren"
konfigurieren und parametrieren (http://support.automation.siemens.co
• Fehlersichere DP-Normslaves/IO-Norm- m/WW/view/de/22099875)
devices/PA-Feldgeräte einbinden und S7 F/FH Systems: "S7 F/FH Systems,
parametrieren Projektieren und Programmieren"
(http://support.automation.siemens.co
m/WW/view/de/2201072)
ET 200S: "Dezentrales
Peripheriesystem ET 200S,
Fehlersichere Module"
(http://support.automation.siemens.co
m/WW/view/de/12490437)
ET 200pro: "Dezentrales
Peripheriesystem ET 200pro,
Fehlersichere Module"
(http://support.automation.siemens.co
m/WW/view/de/22098524)
ET 200eco: "Dezentrales
Peripheriegerät ET 200eco,
Fehlersicheres Peripheriemodul"
(http://support.automation.siemens.co
m/WW/view/de/19033850)
F-SMs: "Automatisierungssystem S7
300, Dezentrales Peripheriegerät ET
200M, Fehlersichere
Signalbaugruppen"
(http://support.automation.siemens.co
m/WW/view/de/19026151)

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 35
Übersicht zu fehlersicheren Systemen
1.5 Wegweiser zum Arbeiten mit F-Systemen

Schritt Vorgehensweise Beschreibung siehe Handbuch, Kapitel


...
3. Hardware aufbauen: ET 200S: "Dezentrales
Peripheriesystem ET 200S,
• PROFIsafe-Adressen für F-Peripherie
Fehlersichere Module"
einstellen
(http://support.automation.siemens.co
• Baugruppen/Module montieren m/WW/view/de/12490437)
• Baugruppen/Module gemäß erforderlichem ET 200pro: "Dezentrales
Schaltschema verdrahten Peripheriesystem ET 200pro,
Fehlersichere Module"
(http://support.automation.siemens.co
m/WW/view/de/22098524)
ET 200eco: "Dezentrales
Peripheriegerät ET 200eco,
Fehlersicheres Peripheriemodul"
(http://support.automation.siemens.co
m/WW/view/de/19033850)
F-SMs: "Automatisierungssystem S7
300, Dezentrales Peripheriegerät ET
200M, Fehlersichere
Signalbaugruppen"
(http://support.automation.siemens.co
m/WW/view/de/19026151)
4. Sicherheitsprogramm in STEP 7 erstellen: Systemhandbuch Sicherheitstechnik,
Kapitel "Programmieren von F-
• F-Bausteine erstellen bzw. aus F-Bibliothek
Systemen" (Seite 127)
auswählen, platzieren, verschalten und
parametrieren S7 Distributed Safety: "S7 Distributed
Safety, Projektieren und
• Sicherheitsprogramm übersetzen und in die Programmieren"
F-CPU laden (http://support.automation.siemens.co
• Sicherheitsprogramm testen m/WW/view/de/22099875)
• ggf. Sicherheitsprogramm ändern S7 F/FH Systems: "S7 F/FH Systems,
Projektieren und Programmieren"
• Projektierung und Sicherheitsprogramm (http://support.automation.siemens.co
dokumentieren m/WW/view/de/2201072)
Safety Matrix: "Safety Matrix"
(http://support.automation.siemens.co
m/WW/view/de/19056619)

Sicherheitstechnik in SIMATIC S7
36 Systemhandbuch, 07/2013, A5E00109528-07
Übersicht zu fehlersicheren Systemen
1.5 Wegweiser zum Arbeiten mit F-Systemen

Schritt Vorgehensweise Beschreibung siehe Handbuch, Kapitel


...
5. Anlage in Betrieb nehmen: S7 Distributed Safety: "S7 Distributed
Safety, Projektieren und
• Sicherheitsgerichtete Teile ggf. vor Aufnahme
Programmieren"
des Sicherheitsbetriebs von Sachverständigen
(http://support.automation.siemens.co
abnehmen lassen m/WW/view/de/22099875)
• Anlage in Betrieb nehmen S7 F/FH Systems: "S7 F/FH Systems,
• alle Sicherheitsfunktionen testen Projektieren und Programmieren"
(http://support.automation.siemens.co
m/WW/view/de/2201072)
6. Anlage warten: S7 Distributed Safety: "S7 Distributed
Safety, Projektieren und
• Hard- und Software-Komponenten tauschen
Programmieren"
• Betriebssystem aktualisieren (http://support.automation.siemens.co
• F-System deinstallieren m/WW/view/de/22099875)
S7 F/FH Systems: "S7 F/FH Systems,
Projektieren und Programmieren"
(http://support.automation.siemens.co
m/WW/view/de/2201072)
Handbücher zur Hardware: siehe oben,
Schritt 3.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 37
Übersicht zu fehlersicheren Systemen
1.5 Wegweiser zum Arbeiten mit F-Systemen

Sicherheitstechnik in SIMATIC S7
38 Systemhandbuch, 07/2013, A5E00109528-07
Konfigurationen und Auswahlhilfe 2
2.1 Einleitung

In diesem Kapitel
Dieses Kapitel beinhaltet die Beschreibung des grundsätzlichen Aufbaus von fehlersicheren
Systemen S7 Distributed Safety und S7 F/FH Systems.
Des Weiteren wird auf die verschiedenen Aufbauvarianten in Abhängigkeit von der
gewünschten Verfügbarkeit des F-Systems eingegangen.
Am Ende des Kapitels werden wichtige Kundenanforderungen an F-Systeme dargestellt, die
zur Entscheidung führen, welches F-System - S7 Distributed Safety, S7 F Systems oder S7
FH Systems - für die Lösung der Automatisierungsaufgabe eingesetzt wird.

Weitere Informationen
Detaillierte Informationen zur F-Peripherie finden Sie:
● im Handbuch "Automatisierungssystem S7 300, Dezentrales Peripheriegerät ET 200M,
Fehlersichere Signalbaugruppen"
(http://support.automation.siemens.com/WW/view/de/19026151)
● im Handbuch "Dezentrales Peripheriesystem ET 200S, Fehlersichere Module"
(http://support.automation.siemens.com/WW/view/de/12490437)
● im Handbuch "Dezentrales Peripheriesystem ET 200pro, Fehlersichere Module"
(http://support.automation.siemens.com/WW/view/de/22098524)
● im Handbuch "Dezentrales Peripheriegerät ET 200eco, Fehlersicheres Peripheriemodul"
(http://support.automation.siemens.com/WW/view/de/19033850)

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 39
Konfigurationen und Auswahlhilfe
2.2 Aufbau der F-Systeme

2.2 Aufbau der F-Systeme

Grundaufbauformen
Dieses Kapitel beschreibt die drei Grundaufbauformen der F-Systeme:
● Fehlersicheres System S7 Distributed Safety
● Fehlersicheres System S7 F Systems
● Fehlersicheres und hochverfügbares System S7 FH Systems

2.2.1 Fehlersicheres System S7 Distributed Safety

Komponenten des Systems S7 Distributed Safety


Als S7 Distributed Safety bezeichnen wir ein fehlersicheres Automatisierungssystem
bestehend aus zumindest folgenden Komponenten:
● einer F-fähigen Zentralbaugruppe, z. B. CPU 315F-2 DP, auf der ein
Sicherheitsprogramm abläuft und
● fehlersicherer Peripherie, z. B.:
– fehlersichere Signalbaugruppen (F-SMs) im zentralen Aufbau mit der CPU 315F-2 DP
– fehlersichere Signalbaugruppen (F-SMs) in einem dezentralen Peripheriesystem
ET 200M
– fehlersichere Module in einem dezentralen Peripheriesystem ET 200S
– fehlersichere Module in einem dezentralen Peripheriegerät ET 200pro
– fehlersicheres Peripheriemodul ET 200eco
– fehlersichere DP-Normslaves/IO-Normdevices

Hinweis
Für den Einsatz in S7 Distributed Safety stehen Ihnen folgende F-CPUs zur
Verfügung: IM 151-7 F-CPU, IM 151-8F PN/DP CPU, CPU 315F-2 DP,
CPU 315F-2 PN/DP, CPU 317F-2 DP, CPU 317F-2 PN/DP, CPU 319F-3PN/DP, CPU
416F-2 und CPU 416F-3 PN/DP. Bitte beachten Sie, dass diese F-CPUs nicht in S7
F/FH Systems einsetzbar sind.
Für den Einsatz in S7 F/FH Systems stehen Ihnen folgende F-CPUs zur Verfügung:
CPU 412-3H, CPU 414-4H und CPU 417-4H. Bitte beachten Sie, dass diese F-CPUs
nicht in S7 Distributed Safety einsetzbar sind.

Sicherheitstechnik in SIMATIC S7
40 Systemhandbuch, 07/2013, A5E00109528-07
Konfigurationen und Auswahlhilfe
2.2 Aufbau der F-Systeme

Aufbaubeispiele für F-Systeme S7 Distributed Safety


Die folgenden Bilder zeigen drei Beispiele für F-Systeme S7 Distributed Safety.
Beispiel 1 für PROFIBUS DP: Die S7-300-Station mit der CPU 315F-2 DP ist der DP-Master.
Die F-CPU tauscht mit der fehlersicheren Peripherie im zentralen Aufbau und in den DP-
Slaves sicherheitsrelevante Daten aus.
Das F-System lässt sich um weitere F-Peripherie und beliebige Standard-Baugruppen/-
Module erweitern.

Bild 2-1 Beispiel 1: F-System S7 Distributed Safety mit PROFIBUS DP

Beispiel 2 für PROFIBUS DP: Die S7-400-Station mit der CPU 416F-2 ist der DP-Master.
Die F-CPU tauscht mit der IM 151-7 F-CPU in ET 200S sicherheitsrelevante Daten aus. Die
IM 151-7 F-CPU dient als intelligente Vorverarbeitungseinheit (I-Slave).
Das F-System lässt sich um weitere F-Peripherie und beliebige Standard-Baugruppen/-
Module erweitern.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 41
Konfigurationen und Auswahlhilfe
2.2 Aufbau der F-Systeme

Bild 2-2 Beispiel 2: F-System S7 Distributed Safety mit PROFIBUS DP

Beispiel 3 für PROFINET IO: Die S7-300-Station mit der CPU 315F-2 PN/DP ist der
IO-Controller. Die F-CPU tauscht mit den fehlersicheren Modulen der ET 200pro, der
ET 200S und fehlersicheren IO-Normdevices sicherheitsrelevante Daten aus.
Das F-System lässt sich um beliebige IO-Devices erweitern.

Bild 2-3 Beispiel 3: F-System S7 Distributed Safety mit PROFINET IO

Sicherheitstechnik in SIMATIC S7
42 Systemhandbuch, 07/2013, A5E00109528-07
Konfigurationen und Auswahlhilfe
2.2 Aufbau der F-Systeme

2.2.2 Fehlersicheres System S7 F Systems

Komponenten des Systems S7 F Systems


Als S7 F Systems bezeichnen wir ein fehlersicheres Automatisierungssystem bestehend aus
zumindest folgenden Komponenten:
● einer F-fähigen Zentralbaugruppe, z. B. CPU 417-4H mit einer S7 F Systems RT Licence
(Copy Licence), auf der ein Sicherheitsprogramm abläuft und
● fehlersicherer Peripherie, z. B.:
– fehlersichere Signalbaugruppen (F-SMs) in einem dezentralen Peripheriesystem
ET 200M (optional redundant)
– fehlersichere Module in einem dezentralen Peripheriesystem ET 200S
– fehlersichere Module ET 200pro
– fehlersicheres Peripheriemodul ET 200eco
– fehlersichere DP-Normslaves
– fehlersichere PA-Feldgeräte

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 43
Konfigurationen und Auswahlhilfe
2.2 Aufbau der F-Systeme

Aufbaubeispiel für ein F-System S7 F Systems


Das folgende Bild zeigt ein Beispiel für ein F-System S7 F Systems.
Die S7-400-Station mit der CPU 417-4H ist der DP-Master. Die F-CPU tauscht mit der
fehlersicheren Peripherie in den DP-Slaves sicherheitsrelevante Daten aus. Das F-System
lässt sich um weitere F-Peripherie und beliebige Standard-Baugruppen/-Module erweitern.

Bild 2-4 F-System S7 F Systems

Sicherheitstechnik in SIMATIC S7
44 Systemhandbuch, 07/2013, A5E00109528-07
Konfigurationen und Auswahlhilfe
2.2 Aufbau der F-Systeme

2.2.3 Fehlersicheres und hochverfügbares System S7 FH Systems

Komponenten des Systems S7 FH Systems


Als S7 FH Systems bezeichnen wir ein fehlersicheres und hochverfügbares
Automatisierungssystem bestehend aus zumindest folgenden Komponenten:
● einem hochverfügbaren System S7-400H (Master und Reserve), auf dem ein
Sicherheitsprogramm abläuft und
● fehlersicheren Signalbaugruppen (F-SMs) in einem dezentralen Peripheriesystem
ET 200M als geschaltete Peripherie (optional redundant)

Aufbaubeispiel für ein F-System S7 FH Systems


Das folgende Bild zeigt ein Beispiel für ein F-System S7 FH Systems mit redundanter F-
CPU, gemeinsamer, geschalteter dezentraler Peripherie und Anschluss an einen
redundanten Anlagenbus.

Bild 2-5 F-System S7 FH Systems

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 45
Konfigurationen und Auswahlhilfe
2.2 Aufbau der F-Systeme

2.2.4 Koexistenz von Standard- und fehlersicheren Komponenten

Koexistenz ist möglich


Standard-, hochverfügbare (H-) und fehlersichere (F-) Komponenten und Systeme sind
folgendermaßen gemeinsam einsetzbar:
● In einer Anlage können Standard-Systeme, H-Systeme, F-Systeme und FH-Systeme
nebeneinander eingesetzt werden.
● In einem F-System können:
– Dezentrale Peripheriegeräte/-systeme mit Standard- und F-Peripherie betrieben
werden, wie z. B. ET 200S, ET 200pro und ET 200eco
– Standard- und fehlersichere Signalbaugruppen S7-300 im Sicherheitsbetrieb sowohl
zentral (nur in S7 Distributed Safety) als auch dezentral in ET 200M betrieben werden
● In einem F- oder FH-System kann neben dem Sicherheitsprogramm auch ein Standard-
Anwenderprogramm ablaufen.

Vorteile
Die Koexistenz von F-, H-, und Standard-Komponenten bringt folgende Vorteile:
● Zum einen kann ein vollintegriertes Automatisierungssystem aufgebaut werden, bei dem
die Innovation der Standard-CPUs genutzt wird. Gleichzeitig werden fehlersichere
Komponenten unabhängig von Standardkomponenten wie FMs oder CPs eingesetzt.
Projektiert und programmiert wird das gesamte System mit Standardwerkzeugen wie HW
Konfig, FUP, KOP oder CFC.
● Die Koexistenz von Standard- und fehlersicheren Programmteilen in einer F-CPU
reduziert die Abnahmekosten, da Programmteile, die nicht unbedingt fehlersicher sein
müssen, in das Standard-Anwenderprogramm ausgelagert werden können. Das
Sicherheitsprogramm, d. h. der abnahmepflichtige Programmteil wird dadurch kleiner.
Pflegekosten können ebenfalls reduziert werden, wenn so viele Funktionen wie möglich
in das Standard-Anwenderprogramm verlagert werden, da es im laufenden Betrieb
geändert werden darf.

Sicherheitstechnik in SIMATIC S7
46 Systemhandbuch, 07/2013, A5E00109528-07
Konfigurationen und Auswahlhilfe
2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit

Randbedingungen zur Koexistenz

WARNUNG

Für Anwendungen mit Sicherheitsklasse SIL2/Kat.3/PLd und darunter genügen die


Vorkehrungen zum Berührschutz, die für Standardkomponenten gelten (siehe Handbücher
zur eingesetzten F-CPU, F-Peripherie).
Für Anwendungen mit Sicherheitsklasse SIL3/Kat.4/PLe müssen Vorkehrungen über den
Berührschutz hinaus getroffen werden, um gefährdende Überspannungen über
Spannungsversorgung und Rückwandbus auch im Fehlerfall von F-Schaltungen
fernzuhalten. Für den Schutz vor Einflüssen des Rückwandbusses stehen Ihnen deshalb
zur Verfügung:
• für den zentralen und dezentralen Aufbau der F-SMs S7-300 die Trennbaugruppe
• für S7 F/FH Systems die Lichtwellenleiter-Ausführung des PROFIBUS DP
Die fehlersicheren Module ET 200S und das fehlersichere Peripheriemodul ET 200eco
weisen intern eine AC 250 V-Trennung auf.
Gegen Einflüsse der Spannungsversorgung halten wir Konfigurationsregeln für Netzgeräte,
Standard- und F-Peripherie zur Umsetzung bereit (siehe Handbücher zur F-Peripherie).

Regeln für den Einsatz der Trennbaugruppe


Die Trennbaugruppe schützt die F-SMs im Fehlerfall vor möglichen Überspannungen.

WARNUNG

Die Trennbaugruppe muss für SIL3/Kat.4/PLe-Anwendungen eingesetzt werden:


• generell, wenn die F-SMs zentral in einer S7-300 eingesetzt werden
• generell, wenn der PROFIBUS DP mit Kupferkabel aufgebaut wird
• wenn der PROFIBUS DP mit Lichtwellenleiter aufgebaut wird und gemeinsamer Betrieb
von Standard- und F-SMs in einer ET 200M erforderlich ist

Die ausführliche Beschreibung der Trennbaugruppe finden Sie im Handbuch


"Automatisierungssystem S7 300, Dezentrales Peripheriegerät ET 200M, Fehlersichere
Signalbaugruppen" (http://support.automation.siemens.com/WW/view/de/19026151).

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 47
Konfigurationen und Auswahlhilfe
2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit

2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der


gewünschten Verfügbarkeit

Möglichkeiten zur Erhöhung der Verfügbarkeit


Um die Verfügbarkeit des Automatisierungssystems zu erhöhen und so Prozessausfälle bei
Fehlern im F-System zu vermeiden, können fehlersichere Systeme S7 F Systems optional
hochverfügbar aufgebaut werden (S7 FH Systems). Diese Verfügbarkeitserhöhung kann
durch Redundanz der Komponenten (F-CPU, Kommunikationsverbindungen und F-
Peripherie) erreicht werden.
Für S7 F Systems ist eine Verfügbarkeitserhöhung auch ohne hochverfügbaren Aufbau
möglich. Die fehlersicheren Signalbaugruppen (F-SMs) können redundant in einer ET 200M
oder in verschiedenen ET 200M eingesetzt werden.
Im nachfolgenden Kapitel ist u. a. die Verfügbarkeitserhöhung durch Redundanz der F-CPU
und F-Peripherie in S7 FH Systems beschrieben.

Hinweis
Eine Verfügbarkeitserhöhung der F-CPUs in S7 Distributed Safety und S7 F Systems durch
Einsatz des Softwarepakets "SW-Redundancy" ist nicht möglich.

Aufbauvarianten im Sicherheitsbetrieb
Der Aufbau von F-Systemen kann auf folgende drei Arten erfolgen:

Tabelle 2- 1 Aufbauvarianten von F-Systemen in Abhängigkeit von der Verfügbarkeit

Im System Aufbauvariante Erläuterung Verfügbarkeit


S7 • einkanalige einkanalig und fehlersicher (F-CPU und normale
Distributed Peripherie F-Peripherie sind einfach vorhanden) Verfügbarkeit
Safety
S7 F
Systems
S7 FH • einkanalig einkanalig geschaltet und fehlersicher (F-CPU erhöhte
Systems geschaltete ist redundant, F-Peripherie ist einfach Verfügbarkeit
Peripherie vorhanden; im Fehlerfall wird auf die andere
F-CPU umgeschaltet)
• redundant mehrkanalig und fehlersicher (F-CPU, höchste
geschaltete PROFIBUS DP und F-Peripherie sind doppelt Verfügbarkeit
Peripherie vorhanden)

Auf den nächsten Seiten sind typische Aufbaubeispiele dargestellt. Je nach Aufbauvariante
wird eine andere Verfügbarkeit der Prozesswerte erreicht.

Sicherheitstechnik in SIMATIC S7
48 Systemhandbuch, 07/2013, A5E00109528-07
Konfigurationen und Auswahlhilfe
2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit

Weitere Informationen zur Verfügbarkeitserhöhung


Die Kommunikation zwischen F-CPUs in S7 FH Systems ist beschrieben im Kapitel
"Sicherheitsgerichtete CPU-CPU-Kommunikation" (Seite 78) der vorliegenden
Systembeschreibung. Informationen zu hochverfügbaren Systemen S7-400H finden Sie im
Handbuch "Automatisierungssystem S7-400H, Hochverfügbare Systeme"
(http://support.automation.siemens.com/WW/view/de/1186523/0/de).

2.3.1 Einkanalige Peripherie (S7 Distributed Safety)

Was ist einkanalige Peripherie?


Beim einkanaligen Aufbau ist die F-Peripherie einfach vorhanden. Die F-Peripherie wird von
einer F-CPU angesprochen.

Notwendige Hardware-Komponenten für S7 Distributed Safety


Welche Hardware-Komponenten notwendig sind, hängt davon ab, ob das F-System zentral
und/oder dezentral aufgebaut wird und ob der PROFIBUS DP mit Kupferkabel oder mit
Lichtwellenleiter aufgebaut wird. Die F-Peripherie ist einfach (nicht redundant) vorhanden.

Zentraler Aufbau von S7 Distributed Safety


Benötigt werden beim zentralen Aufbau von S7 Distributed Safety:
● eine CPU 31xF-2 DP oder CPU 31xF-2 PN/DP
● F-SMs und ggf. Standard-SMs
● Trennbaugruppe (nur für SIL3/Kat.4/PLe-Anwendungen notwendig)

Aufbaubeispiel S7 Distributed Safety: einkanalige Peripherie (zentraler Aufbau)

Bild 2-6 S7 Distributed Safety mit einkanaliger Peripherie (zentraler Aufbau)

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 49
Konfigurationen und Auswahlhilfe
2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit

S7 Distributed Safety mit IM 151-7 F-CPU stand-alone

Hinweis
Die IM 151-7 F-CPU ist anders als z. B. die IM 151-1 HIGH FEATURE eine intelligente
Vorverarbeitungseinheit (I-Slave) und kann auch als DP-Master eingesetzt werden. Sie kann
deshalb vollständig und bei Bedarf auch eigenständig eine technologische Funktionseinheit
steuern und als Stand-alone-CPU bzw. -F-CPU eingesetzt werden. Sie stellt eine Ergänzung
zum F-CPU-Spektrum für S7 Distributed Safety dar.

Aufbaubeispiel S7 Distributed Safety: einkanalige Peripherie (IM 151-7 F-CPU, stand-alone)

Bild 2-7 S7 Distributed Safety mit einkanaliger Peripherie (IM 151-7 F-CPU stand-alone)

Dezentraler Aufbau von S7 Distributed Safety und PROFIBUS DP mit Kupferkabel


Benötigt werden beim dezentralen Aufbau mit Kupferkabel:
● eine CPU 416F-2, CPU 416F-3 PN/DP, CPU 31xF-2 DP, CPU 31xF-x PN/DP, IM 151-7
F-CPU oder IM 151-8F PN/DP CPU
● ein PROFIBUS DP-Strang
● F-Peripherie, wie:
– eine ET 200M mit:
IM153-2, F-SMs und ggf. Standard-SMs,
Trennbaugruppe (nur für SIL3/Kat.4/PLe-Anwendungen notwendig)
– eine ET 200S mit:
IM 151-1 HIGH FEATURE oder IM 151-7 F-CPU,
fehlersicheren Modulen und ggf. ET 200S-Standard-Modulen
– eine ET 200pro mit:
IM 154-2 DP HIGH FEATURE,
fehlersicheren Modulen und ggf. ET 200pro-Standard-Modulen
– fehlersicheres Peripheriemodul ET 200eco
– fehlersichere DP-Normslaves
● Busanschlussstecker zum Anschluss der F-CPU und F-Peripherie an den PROFIBUS DP

Sicherheitstechnik in SIMATIC S7
50 Systemhandbuch, 07/2013, A5E00109528-07
Konfigurationen und Auswahlhilfe
2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit

Aufbaubeispiele S7 Distributed Safety: einkanalige Peripherie (dezentraler Aufbau mit Kupferkabel)

Bild 2-8 S7 Distributed Safety mit einkanaliger Peripherie (PROFIBUS DP, Kupferkabel)

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 51
Konfigurationen und Auswahlhilfe
2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit

Dezentraler Aufbau von S7 Distributed Safety und PROFIBUS DP mit Lichtwellenleiter


Benötigt werden beim Aufbau des PROFIBUS DP mit Lichtwellenleiter:
● eine CPU 416F-2, CPU 416F-3 PN/DP, CPU 31xF-2 DP, CPU 31xF-x PN/DP, IM 151-7
F-CPU oder IM 151-8F PN/DP CPU
● ein PROFIBUS DP-Strang
● F-Peripherie, wie:
– eine ET 200M mit:
IM153-2 FO, F-SMs und ggf. Standard-SMs,
Trennbaugruppe (nur notwendig für SIL3/Kat.4/PLe-Anwendungen, wenn F-SMs und
Standard-SMs in einer ET 200M gemeinsam eingesetzt werden)
– eine ET 200S mit:
IM 151-1 HIGH FEATURE oder IM 151-7 F-CPU
fehlersicheren Modulen und ggf. ET 200S-Standard-Modulen
– eine ET 200pro mit:
IM 154-2 DP HIGH FEATURE,
fehlersicheren Modulen und ggf. ET 200pro-Standard-Modulen
● Komponenten zum Anschluss der F-CPU und F-Peripherie an den Lichtwellenleiter,
z. B. OBT

Aufbaubeispiel S7 Distributed Safety: einkanalige Peripherie (dezentraler Aufbau mit


Lichtwellenleiter)

Bild 2-9 S7 Distributed Safety mit einkanaliger Peripherie (PROFIBUS DP, Lichtwellenleiter)

Sicherheitstechnik in SIMATIC S7
52 Systemhandbuch, 07/2013, A5E00109528-07
Konfigurationen und Auswahlhilfe
2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit

Dezentraler Aufbau von S7 Distributed Safety und PROFINET IO


Benötigt werden beim Aufbau von PROFINET IO:
● eine CPU 31xF-x PN/DP, CPU 416F-3 PN/DP, CPU 416F-2 (ab Firmware-Version V 4.1)
mit PROFINET IO-fähigem CP oder IM 151-8F PN/DP CPU
● ein PROFINET IO-Strang
● F-Peripherie für PROFINET IO, wie:
– eine ET 200pro mit:
IM 154-4 PN HIGH FEATURE
fehlersichere Module und ggf. ET 200pro-Standard-Module
– eine ET 200S mit
IM 151-3 PN HIGH FEATURE
fehlersichere Module und ggf. ET 200S-Standard-Module
– fehlersichere IO-Normdevices
● Komponenten zum Aufbau von PROFINET
– passive Netzkomponenten (Kabel, Stecker)
– ggf. aktive Netzkomponenten (Switches, Router, …)

Aufbaubeispiel S7 Distributed Safety und PROFINET IO

Bild 2-10 S7 Distributed Safety mit einkanaliger Peripherie (PROFINET IO)

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 53
Konfigurationen und Auswahlhilfe
2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit

Grenzen der Verfügbarkeit bei einkanaliger Peripherie


Im Störungsfall ist die Peripherie nicht mehr verfügbar. Die F-Peripherie wird passiviert.
Mögliche Fehlerursachen:
● Ausfall der fehlersicheren Peripherie
● Ausfall des Interface-Moduls in der ET 200M, ET 200S oder ET 200pro
● Ausfall des PROFIBUS DP- oder PROFINET IO-Strangs
● Ausfall der F-CPU

2.3.2 Einkanalige Peripherie (S7 F Systems)

Was ist einkanalige Peripherie?


Beim einkanaligen Aufbau ist die F-Peripherie einfach vorhanden. Die F-Peripherie wird von
einer F-CPU angesprochen.

Notwendige Hardware-Komponenten für S7 F Systems


Welche Hardware-Komponenten notwendig sind, hängt davon ab, ob der PROFIBUS DP mit
Kupferkabel oder mit Lichtwellenleiter aufgebaut wird. Die F-Peripherie ist einfach (nicht
redundant) vorhanden.

S7 F Systems und PROFIBUS DP mit Kupferkabel


Benötigt werden beim Aufbau des PROFIBUS DP mit Kupferkabel:
● eine CPU 412-3H, CPU 414-4H oder CPU 417-4H
● ein PROFIBUS DP-Strang
● F-Peripherie, wie:
– eine ET 200M mit:
IM153-2,
F-SMs und ggf. Standard-SMs,
Trennbaugruppe (nur für SIL3/Kat.4/PLe-Anwendungen notwendig)
– eine ET 200S mit:
IM 151-1 HIGH FEATURE,
fehlersicheren Modulen und ggf. ET 200S-Standard-Modulen
– eine ET 200pro mit:
IM 154-2 DP HIGH FEATURE, fehlersicheren Modulen und ggf. ET 200pro-Standard-
Modulen
– fehlersicheres Peripheriemodul ET 200eco
– fehlersicherer DP-Normslave
● Busanschlussstecker zum Anschluss der F-CPU und der F-Peripherie an den PROFIBUS
DP

Sicherheitstechnik in SIMATIC S7
54 Systemhandbuch, 07/2013, A5E00109528-07
Konfigurationen und Auswahlhilfe
2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit

Aufbaubeispiel S7 F Systems: einkanalige Peripherie mit Kupferkabel

Bild 2-11 S7 F Systems mit einkanaliger Peripherie (Kupferkabel)

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 55
Konfigurationen und Auswahlhilfe
2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit

S7 F Systems und PROFIBUS DP mit Lichtwellenleiter


Benötigt werden beim Aufbau des PROFIBUS DP mit Lichtwellenleiter:
● eine CPU 412-3H, CPU 414-4H oder CPU 417-4H
● ein PROFIBUS DP-Strang
● F-Peripherie, wie:
– eine ET 200M mit:
IM153-2 FO, F-SMs und ggf. Standard-SMs,
Trennbaugruppe (nur notwendig für SIL3/Kat.4/PLe-Anwendungen, wenn F-SMs und
Standard-SMs in einer ET 200M gemeinsam eingesetzt werden)
– eine ET 200S mit:
IM 151-1 HIGH FEATURE,
fehlersicheren Modulen und ggf. ET 200S-Standard-Modulen
● Komponenten zum Anschluss der F-CPU und F-Peripherie an den Lichtwellenleiter,
z. B. OBT

Aufbaubeispiel S7 F Systems: einkanalige Peripherie mit Lichtwellenleiter

Bild 2-12 S7 F Systems mit einkanaliger Peripherie (Lichtwellenleiter)

Sicherheitstechnik in SIMATIC S7
56 Systemhandbuch, 07/2013, A5E00109528-07
Konfigurationen und Auswahlhilfe
2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit

Grenzen der Verfügbarkeit bei einkanaliger Peripherie


Im Störungsfall ist die Peripherie nicht mehr verfügbar. Die F-Peripherie wird passiviert.
Mögliche Fehlerursachen:
● Ausfall der fehlersicheren Peripherie
● Ausfall des Interface-Moduls in der ET 200M, ET 200S oder ET 200pro
● Ausfall des PROFIBUS DP-Strangs
● Ausfall der F-CPU

2.3.3 Einkanalig geschaltete Peripherie (nur S7 FH Systems)

Was ist einkanalig geschaltete Peripherie?


Beim einkanalig geschalteten Aufbau ist die F-Peripherie einfach vorhanden. Die F-
Peripherie wird von zwei F-CPUs angesprochen.
Diese Aufbauvariante ist nur für das System S7 FH Systems möglich. Die F-Peripherie ist
ausschließlich in dezentralen Peripheriesystemen ET 200M einsetzbar.
Die ET 200M hat zu den redundanten PROFIBUS DP-Strängen jeweils eine DP-Slave-
Schnittstelle und damit zu beiden F-CPUs eine physikalische Verbindung.

Notwendige Hardware-Komponenten
Welche Hardware-Komponenten notwendig sind, hängt davon ab, ob der PROFIBUS DP mit
Kupferkabel oder mit Lichtwellenleiter aufgebaut wird.
Die F-Peripherie ist einfach (nicht redundant) vorhanden.

S7 FH Systems und PROFIBUS DP mit Kupferkabel


Benötigt werden beim Aufbau des PROFIBUS DP mit Kupferkabel:
● zwei CPU 412-3H, CPU 414-4H oder CPU 417-4H
● zwei PROFIBUS DP-Stränge
● eine ET 200M mit zwei (redundanten) IM153-2 mit jeweils einer PROFIBUS DP-
Schnittstelle
● vier Busanschlussstecker zum Anschluss der beiden F-CPUs und der beiden IM153-2 an
den PROFIBUS DP
● fehlersichere Signalbaugruppen, einfach vorhanden und ggf. Standard-SMs
● Trennbaugruppe (nur für SIL3/Kat.4/PLe-Anwendungen notwendig)

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 57
Konfigurationen und Auswahlhilfe
2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit

S7 FH Systems und PROFIBUS DP mit Lichtwellenleiter


Benötigt werden beim Aufbau des PROFIBUS DP mit Lichtwellenleiter:
● zwei CPU 412-3H, CPU 414-4H oder CPU 417-4H
● zwei PROFIBUS DP-Stränge
● eine ET 200M mit zwei IM153-2 FO (redundant) mit jeweils einer PROFIBUS DP-
Schnittstelle
● zwei Komponenten zum Anschluss der beiden F-CPUs an den
Lichtwellenleiter, z. B. OBT
● fehlersichere Signalbaugruppen, einfach vorhanden und ggf. Standard-SMs
● Trennbaugruppe (nur notwendig für SIL3/Kat.4/PLe-Anwendungen, wenn
F-SMs und Standard-SMs in einer ET 200M gemeinsam eingesetzt werden)

Aufbaubeispiel S7 FH Systems: einkanalig geschaltete Peripherie

Bild 2-13 S7 FH Systems mit einkanalig geschalteter Peripherie

Grenzen der Verfügbarkeit bei einkanalig geschalteter Peripherie


Die geschaltete Peripherie ist für den Prozess nicht mehr verfügbar bei:
● Ausfall der fehlersicheren Signalbaugruppe
(Die betreffende fehlersichere Signalbaugruppe wird passiviert.)
● Ausfall der kompletten ET 200M
Die geschaltete Peripherie ist für den Prozess weiterhin verfügbar bei:
● Ausfall einer IM153-2/-2 FO
● Ausfall eines PROFIBUS DP-Strangs
● Ausfall einer F-CPU

Sicherheitstechnik in SIMATIC S7
58 Systemhandbuch, 07/2013, A5E00109528-07
Konfigurationen und Auswahlhilfe
2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit

2.3.4 Redundant geschaltete Peripherie (nur S7 FH Systems)

Was ist redundant geschaltete Peripherie?


Bei redundant geschalteter Peripherie ist die F-Peripherie redundant vorhanden.
Diese Aufbauvariante ist nur für das System S7 FH Systems möglich. Die F-Peripherie ist
ausschließlich in dezentralen Peripheriesystemen ET 200M einsetzbar.
Die beiden fehlersicheren Signalbaugruppen befinden sich entweder in unterschiedlichen
ET 200M oder in einer ET 200M. Im nachfolgenden Beispiel sind die redundanten
Signalbaugruppen in verschiedenen ET 200M gesteckt.

Notwendige Hardware-Komponenten
Welche Hardware-Komponenten notwendig sind, hängt davon ab, ob der PROFIBUS DP mit
Kupferkabel oder mit Lichtwellenleiter aufgebaut wird.
Die F-Peripherie ist redundant vorhanden.

S7 FH Systems und PROFIBUS DP mit Kupferkabel


Benötigt werden beim Aufbau des PROFIBUS DP mit Kupferkabel:
● zwei CPU 412-3H, CPU 414-4H oder CPU 417-4H
● zwei PROFIBUS DP-Stränge
● zwei ET 200M: mit je zwei (redundanten) IM153-2
● sechs Busanschlussstecker zum Anschluss der beiden F-CPUs und der vier IM153-2 an
den PROFIBUS DP
● fehlersichere Signalbaugruppen, redundant vorhanden und ggf. Standard-SMs
● zwei Trennbaugruppen (nur für SIL3/Kat.4/PLe-Anwendungen notwendig)

S7 FH Systems und PROFIBUS DP mit Lichtwellenleiter


Benötigt werden beim Aufbau des PROFIBUS DP mit Lichtwellenleiter:
● zwei CPU 412-3H, CPU 414-4H oder CPU 417-4H
● zwei PROFIBUS DP-Stränge
● zwei ET 200M: mit je zwei IM153-2 FO
● zwei Komponenten zum Anschluss der beiden F-CPUs an den
Lichtwellenleiter, z. B. OBT
● fehlersichere Signalbaugruppen, redundant vorhanden und ggf. Standard-SMs
● zwei Trennbaugruppen (nur notwendig für SIL3/Kat.4/PLe-Anwendungen, wenn F-SMs
und Standard-SMs in einer ET 200M gemeinsam eingesetzt werden)

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 59
Konfigurationen und Auswahlhilfe
2.3 Aufbauvarianten von F-Systemen in Abhängigkeit von der gewünschten Verfügbarkeit

Aufbaubeispiel S7 FH Systems: redundant geschaltete Peripherie

Bild 2-14 S7 FH Systems mit redundant geschalteter Peripherie

Verfügbarkeit bei redundant geschalteter Peripherie


Die Peripherie ist für den Prozess weiterhin verfügbar bei:
● Ausfall einer fehlersicheren redundanten Signalbaugruppe
● Ausfall einer IM153-2/-2 FO in beiden ET 200M
● Ausfall einer kompletten ET 200M (Bedingung: die redundanten F-SMs befinden sich in
unterschiedlichen ET 200M)
● Ausfall eines PROFIBUS DP-Strangs
● Ausfall einer F-CPU

Sicherheitstechnik in SIMATIC S7
60 Systemhandbuch, 07/2013, A5E00109528-07
Konfigurationen und Auswahlhilfe
2.4 S7 Distributed Safety oder S7 F/FH Systems – eine Auswahlhilfe

2.4 S7 Distributed Safety oder S7 F/FH Systems – eine Auswahlhilfe

Die Automatisierungsaufgabe
Für jede Automatisierungsaufgabe die passende Lösung –das heißt für den Anwender, ein
optimales Preis-Leistungsverhältnis zu erzielen.

S7 Distributed Safety oder S7 F/FH Systems –Auswahlkriterien


In der folgenden Tabelle sind wichtige Anforderungen an ein F-System aufgeführt, die
entscheidend für die Auswahl des F-Systems sind.
In der letzten Zeile der Tabelle ist die Lösung dargestellt, welches F-System, S7 Distributed
Safety, S7 F Systems oder S7 FH Systems am besten für die Automatisierungsaufgabe
geeignet ist.

Tabelle 2- 2 Auswahlkriterien für ein F-System

Auswahlkriterien
Einsetzbare F-Peripherie an • F-Signalbaugruppen in • F-Signalbaugruppen in ET 200M
PROFIBUS DP ET 200M • F-Elektronikmodule in ET 200S
• F-Signalbaugruppen in • F-Elektronikmodule in
S7-300-Station (zentraler ET 200pro
Aufbau z. B. mit
• Fehlersicheres Peripheriemodul
CPU 315F-2 DP)
ET 200eco
• F-Elektronikmodule in
• Fehlersichere DP-Normslaves
ET 200S
• F-Elektronikmodule in
ET 200pro
• fehlersicheres
Peripheriemodul
ET 200eco
• fehlersichere DP-
Normslaves
Einsetzbare F-Peripherie an - • Fehlersichere PA-Feldgeräte
PROFIBUS PA
Einsetzbare F-Peripherie an • F-Elektronikmodule in -
PROFINET IO ET 200S
• F-Elektronikmodule in
ET 200pro
• fehlersichere
IO-Normdevices
Anforderung an die typische 100 bis 200 ms 200 bis 500 ms
Reaktionszeit des F-
Systems
Einbindung in ein Leitsystem Einbindung ist nicht notwendig Einbindung in ein Leitsystem PCS 7
muss möglich sein

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 61
Konfigurationen und Auswahlhilfe
2.4 S7 Distributed Safety oder S7 F/FH Systems – eine Auswahlhilfe

Auswahlkriterien
Anforderung an die Programmierung muss mit Programmierung muss in CFC
Programmiersprache STEP 7-Standard-Sprachen erfolgen (einfache Einbindung in ein
(KOP, FUP) erfolgen Leitsystem möglich)
Automatische Erstellung des - unter Verwendung der Safety Matrix
Sicherheitsprogramms mit
Cause-Effect-Matrix
Anforderung an die normale Verfügbarkeit des normale erhöhte o.
Verfügbarkeit des F- F-Systems ist ausreichend Verfügbarkeit ist höchste
Systems ausreichend Verfügbarkeit
ist notwendig
Die Lösung ist ... S7 Distributed Safety S7 F Systems S7 FH Systems

Anforderungen, die von S7 Distributed Safety und S7 F/FH Systems gleichermaßen erfüllt werden
Es bestehen keine Unterschiede der F-Systeme hinsichtlich der folgenden Anforderungen,
d. h. S7 Distributed Safety und S7 F/FH Systems sind gleichermaßen einsetzbar:
● Der Aufbau ist in Kupfer- oder Lichtwellenleitertechnik möglich.
(Lichtwellenleitertechnik sollte wie bei Standard-Automatisierungssystemen dann
eingesetzt werden, wenn große Entfernungen zu überbrücken sind oder die Anlage
starken elektromagnetischen Störungen ausgesetzt ist.)
● Die Sicherheitsklassen SIL2/Kat.3/PLd oder SIL3/Kat.4/PLe sind erreichbar.

Systemausbau des F-Systems


Die Grenzwerte für den Systemausbau des F-Systems werden hauptsächlich von der
eingesetzten F-CPU bestimmt. Den Speicherausbau für alle einsetzbaren F-CPUs finden Sie
im Kapitel "Leistungsmerkmale von S7 Distributed Safety und S7 F/FH Systems" (Seite 22),
in der Tabelle "Speicherausbau der F-CPUs". Weitere Werte sind in den technischen Daten
der F-CPU im Handbuch und in der Produktinformation zur F-CPU enthalten.
Eventuelle Einschränkungen für S7 FH Systems finden Sie im Handbuch
"Automatisierungssystem S7-400H, Hochverfügbare Systeme"
(http://support.automation.siemens.com/WW/view/de/1186523/0/de) und in der Liesmich-
Datei zum Optionspaket S7 H Systems.

Sicherheitstechnik in SIMATIC S7
62 Systemhandbuch, 07/2013, A5E00109528-07
Kommunikationsmöglichkeiten 3
3.1 Einleitung

In diesem Kapitel
Dieses Kapitel stellt die sicherheitsgerichteten Kommunikationsmöglichkeiten in S7
Distributed Safety und S7 F/FH Systems vor und zeigt die Gemeinsamkeiten und
Unterschiede zwischen beiden F-Systemen auf.

Weitere Informationen
Die Kommunikation zwischen Standard-Anwenderprogrammen ist genauso wie in Standard-
Automatisierungssystemen S7-300 und S7-400 möglich und wird hier nicht behandelt. Sie
finden die Beschreibung in den STEP 7- und in den Hardware-Handbüchern zu den CPUs.
Zum Teil setzt der Anwender fehlersichere Bausteine für die sicherheitsgerichtete
Kommunikation ein. Die F-Bausteine und ihre Handhabung sind ausführlich beschrieben:
● für S7 Distributed Safety im Handbuch "S7 Distributed Safety, Projektieren und
Programmieren" (http://support.automation.siemens.com/WW/view/de/22099875)
● für S7 F/FH Systems im Handbuch "S7 F/FH Systems, Projektieren und Programmieren"
(http://support.automation.siemens.com/WW/view/de/2201072)

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 63
Kommunikationsmöglichkeiten
3.2 Sicherheitsgerichtete Kommunikation im Überblick

3.2 Sicherheitsgerichtete Kommunikation im Überblick

Kommunikationsübersicht
Das folgende Bild zeigt die Kommunikationsmöglichkeiten eines F-Systems
S7 Distributed Safety bzw. S7 F/FH Systems.

Bild 3-1 Kommunikation von F-Systemen im Überblick

Tabelle 3- 1 Kommunikationsmöglichkeiten

Nr. Kommunikation und … sicherheits- Siehe ...


zwischen … gerichtet
1 Sicherheitsprogramm Standard-Anwender- nein Kapitel "Kommunikation
in F-CPU programm in F-CPU zwischen Standard-
Anwenderprogramm und
Sicherheitsprogramm"
(Seite 66)
2 Standard- Sicherheitsprogramm in nein Kapitel "Kommunikation
Anwenderprogramm F-CPU zwischen Standard-
in F-CPU Anwenderprogramm und
Sicherheitsprogramm"
(Seite 66)
3 F-Ablaufgruppe F-Ablaufgruppe ja Kapitel "Kommunikation
F-Abschaltgruppe F-Abschaltgruppe zwischen F-Ablaufgruppen
bzw. F-Abschaltgruppen"
(Seite 69)

Sicherheitstechnik in SIMATIC S7
64 Systemhandbuch, 07/2013, A5E00109528-07
Kommunikationsmöglichkeiten
3.2 Sicherheitsgerichtete Kommunikation im Überblick

Nr. Kommunikation und … sicherheits- Siehe ...


zwischen … gerichtet
4 Sicherheitsprogramm F-Peripherie ja Kapitel "Kommunikation
in F-CPU zwischen F-CPU und F-
Peripherie" (Seite 71)
Kapitel "F-Peripheriezugriff
und sicherheitsgerichtete
Kommunikation über
WLAN" (Seite 89)
5 Sicherheitsprogramm Sicherheitsprogramm in ja Kapitel "Sicherheits-
in F-CPU F-CPU gerichtete CPU-CPU-
Kommunikation"
(Seite 78)
Kapitel "F-Peripheriezugriff
und sicherheitsgerichtete
Kommunikation über
WLAN" (Seite 89)
6 Standard- Standard-Anwender- nein Handbuch zur CPU
Anwenderprogramm programm in Standard-
in Standard- oder oder F-CPU
F-CPU
7 Sicherheitsprogramm Standard-Anwender- Kommunikation -
in F-CPU programm in Standard- ist nicht möglich!
oder F-CPU

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 65
Kommunikationsmöglichkeiten
3.3 Kommunikation zwischen Standard-Anwenderprogramm und Sicherheitsprogramm

3.3 Kommunikation zwischen Standard-Anwenderprogramm und


Sicherheitsprogramm

Bild 3-2 Kommunikation zwischen Standard-Anwenderprogramm und Sicherheitsprogramm

Welche Daten?
Im Standard-Anwenderprogramm dürfen alle Daten des Sicherheitsprogramms ausgewertet
werden.
Im Sicherheitsprogramm dürfen grundsätzlich nur fehlersichere Daten oder fehlersichere
Signale von F-Peripherien und anderen Sicherheitsprogrammen (in anderen F-CPUs)
verarbeitet werden. Daten aus dem Standard-Anwenderprogramm dürfen nur dann im
Sicherheitsprogramm verarbeitet werden, wenn sie durch eine Plausibilitätskontrolle prüfbar
sind. Dies und die Lösung für die Plausibilitätskontrolle muss dem
Sicherheitssachverständigen vor Ort dargelegt werden. Im Zweifelsfall sind diese Daten
durch ein Sicherheitsprogramm zu erzeugen.

Unterschiede zwischen S7 Distributed Safety und S7 F/FH Systems


In S7 Distributed Safety erfolgt der Datenaustausch zwischen Sicherheits- und Standard-
Anwenderprogramm in der F-CPU über Merker oder durch Zugriff auf das Prozessabbild der
Ein- und Ausgänge von Standard-Peripherie.
Das Standard-Anwenderprogramm kann außerdem auf F-Global-DB, F-DBs und Instanz-
Datenbausteine des Sicherheitsprogramms lesend zugreifen.
In S7 F/FH Systems werden im Sicherheits- und Standard-Anwenderprogramm der F-CPU
unterschiedliche Datenformate verwendet, die für den gegenseitigen Austausch über
spezielle F-Bausteine konvertiert werden müssen.

Sicherheitstechnik in SIMATIC S7
66 Systemhandbuch, 07/2013, A5E00109528-07
Kommunikationsmöglichkeiten
3.3 Kommunikation zwischen Standard-Anwenderprogramm und Sicherheitsprogramm

3.3.1 Kommunikation zwischen Standard-Anwenderprogramm und


Sicherheitsprogramm in S7 Distributed Safety

Datentransfer vom Sicherheits- zum Standard-Anwenderprogramm


Das Standard-Anwenderprogramm kann alle Daten des Sicherheitsprogramms direkt
auslesen, da die Daten in F-DBs, Instanz-DBs, im F-Global-DB und im Prozessabbild im
Standardformat vorliegen.
Damit auch Zwischenergebnisse des Sicherheitsprogramms ohne Umweg über F-DBs vom
Standard-Anwenderprogramm genutzt werden können, dürfen im Sicherheitsprogramm auch
Merker beschrieben werden. Diese Merker stehen aber ausschließlich dem Standard-
Anwenderprogramm zur Verarbeitung zur Verfügung und dürfen im Sicherheitsprogramm
selbst nicht gelesen werden.
Das Beschreiben des Prozessabbildes der Ausgänge (PAA) von Standard-Peripherie ist,
z. B. zu Anzeigezwecken, möglich. Auch diese Werte dürfen im Sicherheitsprogramm nicht
gelesen werden.

Datentransfer vom Standard-Anwenderprogramm zum Sicherheitsprogramm


Um Daten aus dem Standard-Anwenderprogramm im Sicherheitsprogramm zu verarbeiten,
können entweder Merker aus dem Standard-Anwenderprogramm oder Signale der
Standard-Peripherie über das Prozessabbild der Eingänge (PAE) gelesen werden. Weil
diese Daten unsicher sind, muss der Anwender durch zusätzliche prozessspezifische
Plausibilitätskontrollen im Sicherheitsprogramm sicherstellen, dass keine gefährlichen
Zustände entstehen können.
Zur leichteren Kontrolle werden beim Ausdruck des Sicherheitsprogramms alle Signale aus
dem Standard-Anwenderprogramm, die im Sicherheitsprogramm ausgewertet werden,
ausgedruckt. Die Operanden aus dem Standard-Anwenderprogramm werden im
Sicherheitsprogramm hervorgehoben dargestellt.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 67
Kommunikationsmöglichkeiten
3.3 Kommunikation zwischen Standard-Anwenderprogramm und Sicherheitsprogramm

3.3.2 Kommunikation zwischen Standard-Anwenderprogramm und


Sicherheitsprogramm in S7 F/FH Systems

Unterschiedliche Datenformate
Standard-Anwenderprogramm und Sicherheitsprogramm benutzen unterschiedliche
Datenformate. Im Sicherheitsprogramm werden sicherheitsgerichtete F-Datentypen
verwendet. Im Standard-Anwenderprogramm werden Standard-Datentypen verwendet.
In einer F-CPU in S7 F/FH Systems setzt der Anwender spezielle Konvertierungsbausteine
für den Datenaustausch ein.

Datentransfer vom Sicherheitsprogramm zum Standard-Anwenderprogramm


Wenn das Standard-Anwenderprogramm Daten aus dem Sicherheitsprogramm
weiterverarbeiten soll, z. B. zum Beobachten, dann muss in CFC ein Baustein für
Datenkonvertierung F_FDatentyp_Datentyp dazwischen geschaltet werden, der die F-
Datentypen in Standard-Datentypen umwandelt. Diese Bausteine sind in der F-Bibliothek
S7 F Systems Lib zu finden.
Die Bausteine F_FDatentyp_Datentyp müssen im Standard-Anwenderprogramm (CFC-Plan,
Standard-Ablaufgruppe) aufgerufen werden.

Datentransfer vom Standard-Anwenderprogramm zum Sicherheitsprogramm


Daten aus dem Standard-Anwenderprogramm dürfen im Sicherheitsprogramm nur nach
einer Plausibilitätskontrolle verarbeitet werden. Der Anwender muss durch zusätzliche
prozessspezifische Plausibilitätskontrollen im Sicherheitsprogramm sicherstellen, dass keine
gefährlichen Zustände entstehen können.
Um Daten aus dem Standard-Anwenderprogramm zu verarbeiten, müssen mit Hilfe von
Bausteinen für Datenkonvertierung F_Datentyp_FDatentyp aus den Standard-Datentypen
sicherheitsgerichtete F-Datentypen erzeugt werden. Diese Bausteine sind in der F-Bibliothek
S7 F Systems Lib zu finden.
Die Bausteine zur Datenkonvertierung F_Datentyp_FDatentyp müssen im
Sicherheitsprogramm (CFC-Plan, F-Ablaufgruppe) aufgerufen werden.

Sicherheitstechnik in SIMATIC S7
68 Systemhandbuch, 07/2013, A5E00109528-07
Kommunikationsmöglichkeiten
3.4 Kommunikation zwischen F-Ablaufgruppen bzw. F-Abschaltgruppen

3.4 Kommunikation zwischen F-Ablaufgruppen bzw. F-Abschaltgruppen

F-Ablaufgruppen
S7 Distributed Safety: Eine F-Ablaufgruppe ist ein logisches Konstrukt aus mehreren
zusammengehörigen F-Bausteinen.
S7 F/FH Systems: Als F-Ablaufgruppen werden die Ablaufgruppen bezeichnet, die
fehlersichere Bausteine enthalten.

F-Abschaltgruppen: S7 F/FH Systems


Eine F-Abschaltgruppe bildet eine abgeschlossene Einheit des Sicherheitsprogramms. Sie
enthält Anwenderlogik, die gleichzeitig ausgeführt oder abgeschaltet wird. Eine
F-Abschaltgruppe enthält eine oder mehrere F-Ablaufgruppen, die einer gemeinsamen Task
(OB) zugeordnet sind.

Kommunikationsübersicht: Kommunikation zwischen F-Ablaufgruppen

Bild 3-3 S7 Distributed Safety: Kommunikation zwischen F-Ablaufgruppen

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 69
Kommunikationsmöglichkeiten
3.4 Kommunikation zwischen F-Ablaufgruppen bzw. F-Abschaltgruppen

Kommunikationsübersicht: Kommunikation zwischen F-Abschaltgruppen

Bild 3-4 S7 F/FH Systems: Kommunikation zwischen F-Abschaltgruppen

Kommunikation
Die Kommunikation zwischen F-Ablauf- bzw. F-Abschaltgruppen eines
Sicherheitsprogramms erfolgt sicherheitsgerichtet:
S7 Distributed Safety: Bei S7 Distributed Safety ist F-Ablaufgruppen-Kommunikation
zwischen den beiden F-Ablaufgruppen eines Sicherheitsprogramms möglich. Die
Kommunikation erfolgt über den "DB für F-Ablaufgruppenkommunikation".
S7 F/FH Systems: Für die F-Abschaltgruppen-Kommunikation stehen fehlersichere
Bausteine der F-Bibliothek S7 F Systems Lib zur Verfügung. Mit den fehlersicheren
Bausteinen kann eine feste Anzahl von Parametern desselben F-Datentyps übertragen
werden.
Für die Kommunikation zwischen F-Ablaufgruppen einer gemeinsamen F-Abschaltgruppe
müssen in S7 F Systems keine weiteren Vorkehrungen getroffen werden. Die F-Bausteine
können verschaltet werden, wie wenn sie in einer gemeinsamen F-Ablaufgruppe wären.

Sicherheitstechnik in SIMATIC S7
70 Systemhandbuch, 07/2013, A5E00109528-07
Kommunikationsmöglichkeiten
3.5 Kommunikation zwischen F-CPU und F-Peripherie

3.5 Kommunikation zwischen F-CPU und F-Peripherie

Einleitung
Es gibt sicherheitsgerichtete und - abhängig von der eingesetzten F-Peripherie - Standard-
Kommunikation zwischen F-CPU und F-Peripherie. Beide Möglichkeiten werden in diesem
Kapitel beschrieben.

3.5.1 Sicherheitsgerichtete Kommunikation

Kommunikationsübersicht

Bild 3-5 Sicherheitsgerichtete Kommunikation zwischen F-CPU und F-Peripherie

Unterschiede in der F-Peripherieanbindung zwischen S7 Distributed Safety und S7 F/FH Systems


Die Anbindung der F-Peripherie unterscheidet sich in den beiden F-Systemen hinsichtlich
der Einbindung in das Sicherheitsprogramm und der damit verbundenen
Anwendertätigkeiten:
Bei S7 Distributed Safety findet die sicherheitsgerichtete Kommunikation wie in Standard-
Automatisierungssystemen über das Prozessabbild (PAE und PAA) statt. Ein direkter
Peripheriezugriff ist nicht zulässig.
Die Aktualisierung des Prozessabbildes der Eingänge erfolgt am Anfang der F-Ablaufgruppe
vor der Bearbeitung des F-Programmbausteins. Die Aktualisierung des Prozessabbildes der
Ausgänge erfolgt am Ende der F-Ablaufgruppe nach der Bearbeitung des F-
Programmbausteins.
Die eigentliche Kommunikation zwischen F-CPU (Prozessabbild) und F-Peripherie zur
Aktualisierung des Prozessabbildes erfolgt verdeckt im Hintergrund über ein spezielles
Sicherheitsprotokoll gemäß PROFIsafe.
Bei S7 F/FH Systems findet die sicherheitsgerichtete Kommunikation über Ein- und
Ausgänge von F-Treiberbausteinen statt. Der Anwender muss spezielle F-Treiberbausteine
in CFC-Plänen der F-Ablaufgruppe platzieren und verschalten.
Für beide F-Systeme werden Variablen zur F-Peripherie-Kommunikation zur Auswertung
durch den Anwender zur Verfügung gestellt. Der Unterschied besteht in der Bereitstellung
dieser Variablen. Bei S7 Distributed Safety werden die Variablen in F-Peripherie-DBs zur
Verfügung gestellt, bei S7 F/FH Systems als Ein- und Ausgänge von F-Treiberbausteinen.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 71
Kommunikationsmöglichkeiten
3.5 Kommunikation zwischen F-CPU und F-Peripherie

3.5.2 F-Peripheriezugriff in S7 Distributed Safety

Einleitung
Der Zugriff auf die F-Peripherie erfolgt in S7 Distributed Safety weitgehend verdeckt für den
Anwender.

Was ist zu tun?


In der folgenden Tabelle sind die relevanten Anwendertätigkeiten für den F-Peripheriezugriff
aufgeführt mit ihren Auswirkungen auf das F-System.

Tabelle 3- 2 Zugriff auf die F-Peripherie in S7 Distributed Safety

Schritt Anwendertätigkeit Ergebnis für F-Peripherie-Anbindung


1. Konfigurieren und ist Voraussetzung für die Anbindung der F-Peripherie
Parametrieren der
F-Peripherie in
HW Konfig
2. Speichern und S7 Distributed Safety erzeugt pro F-Peripherie einen
Übersetzen der F-Peripherie-DB und ein Symbol in der Symboltabelle. (Im
Konfiguration in Sicherheitsprogramm muss der Anwender symbolisch auf einige
HW Konfig Variablen zur F-Peripherie-Kommunikation im F-Peripherie-DB
zugreifen können.)
3. den F-CALL anlegen S7 Distributed Safety gewährleistet im F-CALL u. a. die
(Aufrufbaustein für Anbindung der F-Peripherie an das Sicherheitsprogramm. Der
Sicherheitsprogramm) Anwender kann den F-Call nicht editieren.
4 Sicherheitsprogramm siehe folgender Absatz
erstellen mit Zugriffen
auf das Prozessabbild
5. Dialog In diesem Dialog werden alle F-Bausteine eines Sicherheits-
"Sicherheitsprogramm programmes angezeigt, u. a. auch die F-Peripherie-DBs der F-
bearbeiten" im SIMATIC- Peripherie.
Manager aufrufen und F-
Ablaufgruppe(n)
festlegen.
6. Sicherheitsprogramm Konsistenzcheck des Sicherheitsprogramms mit allen gültigen
generieren F-Bausteinen.
7. Sicherheitsprogramm in Laden des Sicherheitsprogramms in die F-CPU (inklusive F-
F-CPU laden Peripherie-DBs).

Prozesswerte der F-Peripherie


Der Anwender findet die Prozesswerte von der/an die F-Peripherie im Prozessabbild
(PAE/PAA) der F-CPU.
Der Anwender greift im Prozessabbild (PAE, PAA) über die Anfangsadressen der F-
Peripherie auf die F-Peripherie zu. Die Anfangsadressen werden in HW Konfig in der
Konfigurationstabelle automatisch eingetragen (E-/A-Adressen) und können geändert
werden.

Sicherheitstechnik in SIMATIC S7
72 Systemhandbuch, 07/2013, A5E00109528-07
Kommunikationsmöglichkeiten
3.5 Kommunikation zwischen F-CPU und F-Peripherie

Variablen zur F-Peripherie-Kommunikation


Es gibt Variablen, die müssen vom Anwender im Sicherheitsprogramm im F-Peripherie-DB
versorgt werden:
● Variablen zur Quittierung von Kommunikations- und F-Peripherie-/Kanalfehlern zur
Wiedereingliederung der F-Peripherie
Weiterhin gibt es Variablen, die können im F-Peripherie-DB versorgt und ausgewertet
werden:
● Auswertung, ob der ausgegebene Wert ein Ersatzwert oder der Prozesswert ist
● Einstellung, automatische/manuelle Wiedereingliederung der Prozesswerte
● Passivierung anderer F-Peripherie oder Kanäle, z. B. zur Gruppenpassivierung
zusammengehörender F-Peripherie
● Anzeige, ob eine Quittierung für Wiedereingliederung der F-Peripherie erforderlich ist
oder nicht
● Anzeige von Serviceinformationen (Art des aufgetretenen Fehlers)

Weitere Informationen
Eine genaue Beschreibung der Variablen eines F-Peripherie-DB und der Vorgehensweise zu
ihrer Versorgung und Auswertung finden Sie im Handbuch "S7 Distributed Safety,
Projektieren und Programmieren"
(http://support.automation.siemens.com/WW/view/de/22099875).

3.5.3 Sicherheitsgerichtete I-Slave-Slave-Kommunikation in S7 Distributed Safety

Einleitung
In S7 Distributed Safety findet die sicherheitsgerichtete I-Slave-Slave-Kommunikation
zwischen dem Sicherheitsprogramm der F-CPU eines I-Slaves und F-Peripherie in einem
Slave - wie im Standard - über direkten Datenaustausch statt. Der Zugriff im
Sicherheitsprogramm der F-CPU des I-Slaves auf die Kanäle der F-Peripherie erfolgt über
das Prozessabbild der Eingänge (PAE und PAA).

Einschränkungen

Hinweis
Sicherheitsgerichtete I-Slave-Slave-Kommunikation ist zu F-Peripherie in einem DP-Slave
möglich, der sicherheitsgerichtete I-Slave-Slave-Kommunikation unterstützt, z. B. zu allen F-
Modulen ET 200S und zu allen fehlersicheren Signalbaugruppen S7-300 mit IM 153-2, ab
Bestell-Nr. 6ES7153-2BA01-0XB0, Firmware-Version > V4.0.0.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 73
Kommunikationsmöglichkeiten
3.5 Kommunikation zwischen F-CPU und F-Peripherie

Kommunikationsübersicht

Bild 3-6 S7 Distributed Safety: Sicherheitsgerichtete I-Slave-Slave-Kommunikation

I-Slave-Slave-Kommunikation
Über sicherheitsgerichtete I-Slave-Slave-Kommunikation greift der Anwender auf
F-Peripherie wie auf Standard-Peripherie über das Prozessabbild (PAE und PAA) zu. Ein
direkter Peripheriezugriff ist nicht zulässig. Auf die Kanäle einer F-Peripherie darf nur aus
einer F-Ablaufgruppe zugegriffen werden.

Was ist zu tun?


Für die sicherheitsgerichtete I-Slave-Slave-Kommunikation führt der Anwender die folgenden
Tätigkeiten aus:
1. I-Slave und Slave in HW Konfig projektieren
2. DP-Mastersystem in HW Konfig projektieren
3. I-Slave mit dem Slave koppeln
4. Adressbereiche für den Datenaustausch in HW Konfig im Dialog "Objekteigenschaften"
des I-Slaves projektieren
5. nach der Programmerstellung das Sicherheitsprogramm generieren und in die F-CPU
des I-Slaves laden

Sicherheitstechnik in SIMATIC S7
74 Systemhandbuch, 07/2013, A5E00109528-07
Kommunikationsmöglichkeiten
3.5 Kommunikation zwischen F-CPU und F-Peripherie

Weitere Informationen
Die Projektierung der sicherheitsgerichteten
I-Slave-Slave-Kommunikation finden Sie ausführlich im Handbuch "S7 Distributed Safety,
Projektieren und Programmieren"
(http://support.automation.siemens.com/WW/view/de/22099875) beschrieben.

3.5.4 F-Peripheriezugriff in S7 F/FH Systems

Zugriff über F-Treiberbausteine


Der Zugriff auf die F-Peripherie erfolgt in S7 F/FH Systems über F-Treiberbausteine, die der
Anwender zum Teil platzieren und verschalten muss.
Es sind pro F-Peripherie ein F-Baugruppentreiber und für jeden benutzten Ein-/
Ausgabekanal der F-Peripherie ein F-Kanaltreiber notwendig.

F-Baugruppentreiber
Der F-Baugruppentreiber übernimmt die PROFIsafe-Kommunikation zwischen dem
Sicherheitsprogramm und der F-Peripherie und wird im Sicherheitsprogramm automatisch
platziert und verschaltet.

F-Kanaltreiber
Die F-Kanaltreiber bilden im Sicherheitsprogramm die Schnittstelle zu einem Kanal einer
F-Peripherie und führen eine Signalverarbeitung durch. Es gibt für die verschiedenen Arten
von F-Peripherie (z. B. fehlersichere DP-Normslaves, PA-Feldgeräte, Siemens-
F-Baugruppen und F-Module) und Datentypen unterschiedliche F-Kanaltreiber. Die
F-Kanaltreiber müssen vom Anwender im Sicherheitsprogramm platziert und verschaltet
werden.

Was ist zu tun?


Der Anwender führt für die Anbindung der F-Peripherie folgende Tätigkeiten aus:
1. Konfigurieren und Parametrieren der F-Peripherie in HW Konfig.
2. Passende F-Kanaltreiber aus der F-Bibliothek S7 F Systems Lib auswählen und im
Sicherheitsprogramm platzieren.
3. F-Kanaltreiber verschalten.
4. Nach der Programmerstellung das Sicherheitsprogramm übersetzen und in die F-CPU
laden.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 75
Kommunikationsmöglichkeiten
3.5 Kommunikation zwischen F-CPU und F-Peripherie

Prozesswerte der F-Peripherie


Der Anwender findet die Prozesswerte:
● von der F-Peripherie (Eingabekanäle) an einem Ausgang des zugehörigen
F-Kanaltreibers
● an die F-Peripherie (Ausgabekanäle) an einem Eingang des zugehörigen
F-Kanaltreibers

Parameter zur F-Peripherie-Kommunikation


Es gibt Parameter, die müssen vom Anwender an F-Kanaltreibern versorgt werden:
● Parameter zur Quittierung von Kommunikations- und F-Peripherie-/Kanalfehlern zur
Wiedereingliederung der F-Peripherie
Weiterhin gibt es Parameter, die können vom Anwender an F-Kanaltreibern versorgt und
ausgewertet werden:
● Auswertung, ob der ausgegebene Wert ein Ersatzwert oder der Prozesswert ist
● Einstellung, automatische/manuelle Wiedereingliederung der Prozesswerte
● Passivierung anderer F-Peripherie oder Kanäle, z. B. zur Gruppenpassivierung
zusammengehörender F-Peripherie
● Anzeige, ob eine Quittierung für Wiedereingliederung der F-Peripherie erforderlich ist
oder nicht
● Anzeige von Serviceinformationen (Art des aufgetretenen Fehlers)

Weitere Informationen
Eine genaue Beschreibung der Parameter und der Vorgehensweise zu ihrer Versorgung und
Auswertung finden Sie im Handbuch "S7 F/FH Systems, Projektieren und Programmieren"
(http://support.automation.siemens.com/WW/view/de/2201072).

Sicherheitstechnik in SIMATIC S7
76 Systemhandbuch, 07/2013, A5E00109528-07
Kommunikationsmöglichkeiten
3.5 Kommunikation zwischen F-CPU und F-Peripherie

3.5.5 Standard-Kommunikation

Kommunikationsübersicht

Bild 3-7 Standard-Kommunikation zwischen CPU und F-Peripherie

Standard-Kommunikation (Standardbetrieb)
F-Peripherie kann für Standard-Anwendungen auch im Standardbetrieb eingesetzt werden.
Das ist beispielsweise dann sinnvoll, wenn die Diagnosefunktionen, die die F-Peripherie zur
Verfügung stellt, in der Standard-Anwendung relevant sind oder die Flexibilität beim Einsatz
im Vordergrund steht (F-Peripherie ist sowohl im Standard- als auch im F-System
einsetzbar).
Ob Standardbetrieb möglich ist oder nicht, hängt von der eingesetzten F-Peripherie ab. Im
Standardbetrieb können nur die fehlersicheren Signalbaugruppen S7-300 eingesetzt werden
(außer SM 326; DO 8 ☓ DC 24V/2A und SM 336; F-AI 0/4 ... 20 mA HART). Die
fehlersicheren Module ET 200S, ET 200pro und ET 200eco kennen keinen Standardbetrieb
und sind nur im Sicherheitsbetrieb einsetzbar.

Mechanismen im Standardbetrieb
Für den Standardbetrieb zwischen der CPU und den fehlersicheren Signalbaugruppen S7-
300 können die üblichen Mechanismen wie in Standard-Automatisierungssystemen
verwendet werden, d. h.:
● Direktzugriff
● Zugriff über das Prozessabbild
● in CFC Zugriff über Kanaltreiber der Bibliothek PCS 7 Drivers (nur S7 F/FH Systems)
● Diagnosedatensätze auslesen

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 77
Kommunikationsmöglichkeiten
3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation

Diagnosedaten wie im Standard auslesen


Diagnoseinformationen von F-SMs, fehlersicheren Modulen ET 200S, ET 200pro und
fehlersicherem Peripheriemodul ET 200eco sind nicht sicherheitsrelevant und werden wie im
Standard azyklisch über Diagnosedatensatz-Transfers in die F-CPU übertragen und in den
Diagnosepuffer der F-CPU und F-SMs eingetragen.
Die Diagnosedaten können vom Anwender mit STEP 7 ausgelesen werden:
● aus dem Diagnosepuffer der F-CPU und F-SMs
● als Slave-Diagnose der F-Module ET 200S, ET 200pro und ET 200eco
● im Standard-Anwenderprogramm mit dem SFC 59 (nur F-SMs)

Diagnosedaten im Sicherheitsbetrieb der F-SMs auslesen


Im Sicherheitsbetrieb der F-SMs können die Diagnosedatensätze der F-SMs ebenfalls mit
SFC 59 in das Standard-Anwenderprogramm ausgelesen werden.
In PCS 7 stehen Baugruppen-Diagnosebausteine zur Verfügung. Diese Bausteine erzeugen
automatische Meldungen, z. B. an WinCC, u. a. auch für die F-SMs.

3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation

Einleitung
Die sicherheitsgerichtete Kommunikation zwischen Sicherheitsprogrammen in
unterschiedlichen F-CPUs ist sowohl in S7 Distributed Safety als auch in S7 F/FH Systems
und zwischen beiden F-Systemen möglich. Die Kommunikationsmechanismen sind jedoch
verschieden:

Tabelle 3- 3 Kommunikation zwischen F-CPUs im Überblick

F-System Kommunikation über ... Kommunikation zwischen ...


S7 Distributed Safety PROFIBUS DP/PROFINET IO DP-Master/DP-Master
mittels IE/PB-Link
PROFIBUS DP/PROFINET IO DP-Master/I-Slave
mittels IE/PB-Link
PROFIBUS DP/PROFINET IO I-Slave/I-Slave
mittels IE/PB-Link
PROFINET IO IO-Controller/IO-Controller
Industrial Ethernet (projektierte irrelevant
S7 Verbindungen)
S7 F/FH Systems über u. a. PROFIBUS, MPI, Ind. irrelevant
Ethernet:
projektierte Standard- oder
hochverfügbare
S7-Verbindungen

Sicherheitstechnik in SIMATIC S7
78 Systemhandbuch, 07/2013, A5E00109528-07
Kommunikationsmöglichkeiten
3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation

3.6.1 S7 Distributed Safety: Sicherheitsgerichtete Master-Master-Kommunikation

DP/DP-Koppler
In S7 Distributed Safety muss der Anwender einen DP/DP-Koppler (Bestellnummer
6ES7158-0AD01-0XA0) für die sicherheitsgerichtete Kommunikation zwischen
Sicherheitsprogrammen in unterschiedlichen F-CPUs (DP-Mastern) einsetzen.
Dabei ist jede der beiden F-CPUs über ihre PROFIBUS DP-Schnittstelle mit dem DP/DP-
Koppler verbunden.

Kommunikationsübersicht

Bild 3-8 S7 Distributed Safety: Sicherheitsgerichtete Master-Master-Kommunikation

Master-Master-Kommunikation
Die sicherheitsgerichtete Kommunikation erfolgt mit Hilfe der F-Applikationsbausteine
F_SENDDP zum Senden und F_RCVDP zum Empfangen, die der Anwender im jeweiligen
Sicherheitsprogramm der F-CPU aufruft. Mit ihnen läßt sich eine feste Anzahl von
fehlersicheren Daten der Datentypen BOOL und INT fehlersicher übertragen.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 79
Kommunikationsmöglichkeiten
3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation

Was ist zu tun?


Für die sicherheitsgerichtete Master-Master-Kommunikation führt der Anwender die
folgenden Tätigkeiten aus:
1. Hardware mit DP/DP-Koppler aufbauen
2. DP/DP-Koppler in HW Konfig projektieren
3. im Sicherheitsprogramm der jeweiligen F-CPU F_SENDDP und F_RCVDP aus der F-
Bibliothek Distributed Safety aufrufen
4. F_SENDDPs und F_RCVDPs parametrieren
5. nach der Programmerstellung die Sicherheitsprogramme generieren und in die jeweilige
F-CPU laden

Weitere Informationen
Informationen zum DP/DP-Koppler finden Sie in der Dokumentation zum DP/DP-Koppler
und im Handbuch "SIMATIC NET, PROFIBUS-Netze"
(http://support.automation.siemens.com/WW/view/de/1971286). Die Projektierung und
Programmierung der sicherheitsgerichteten Master-Master-Kommunikation finden Sie
ausführlich im Handbuch "S7 Distributed Safety, Projektieren und Programmieren"
(http://support.automation.siemens.com/WW/view/de/22099875) beschrieben.

Sicherheitstechnik in SIMATIC S7
80 Systemhandbuch, 07/2013, A5E00109528-07
Kommunikationsmöglichkeiten
3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation

3.6.2 S7 Distributed Safety: Sicherheitsgerichtete Master-I-Slave-Kommunikation

Einleitung
In S7 Distributed Safety findet die sicherheitsgerichtete CPU-CPU-Kommunikation zwischen
dem Sicherheitsprogramm der F-CPU des DP-Masters und dem/den
Sicherheitsprogramm(en) der F-CPU(s) eines oder mehrerer I-Slaves - wie im Standard -
über Master-Slave-Verbindungen statt.

Kommunikationsübersicht

Bild 3-9 S7 Distributed Safety: Sicherheitsgerichtete Master-I-Slave-Kommunikation

Master-I-Slave-Kommunikation
Die sicherheitsgerichtete Kommunikation erfolgt mit Hilfe der F-Applikationsbausteine
F_SENDDP zum Senden und F_RCVDP zum Empfangen, die der Anwender im jeweiligen
Sicherheitsprogramm der F-CPU aufruft. Mit ihnen läßt sich eine feste Anzahl von
fehlersicheren Daten der Datentypen BOOL und INT fehlersicher übertragen.

Was ist zu tun?


Für die sicherheitsgerichtete Master-I-Slave-Kommunikation führt der Anwender die
folgenden Tätigkeiten aus:
1. I-Slave in HW Konfig projektieren
2. DP-Mastersystem in HW Konfig projektieren
3. I-Slave mit dem DP-Master koppeln
4. Adressbereiche für den Datenaustausch in HW Konfig projektieren
5. in den Sicherheitsprogrammen der F-CPU im DP-Master und im I-Slave F_SENDDP und
F_RCVDP aus der F-Bibliothek Distributed Safety aufrufen
6. F_SENDDPs und F_RCVDPs parametrieren
7. nach der Programmerstellung die Sicherheitsprogramme generieren und in die jeweilige
F-CPU laden

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 81
Kommunikationsmöglichkeiten
3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation

Weitere Informationen
Die Projektierung und Programmierung der sicherheitsgerichteten
Master-I-Slave-Kommunikation finden Sie ausführlich im Handbuch "S7 Distributed Safety,
Projektieren und Programmieren"
(http://support.automation.siemens.com/WW/view/de/22099875) beschrieben.

3.6.3 S7 Distributed Safety: Sicherheitsgerichtete I-Slave-I-Slave-Kommunikation

Einleitung
In S7 Distributed Safety findet die sicherheitsgerichtete CPU-CPU-Kommunikation zwischen
den Sicherheitsprogrammen der F-CPUs von I-Slaves im Standard über direkten
Datenaustausch statt.

Kommunikationsübersicht

Bild 3-10 S7 Distributed Safety: Sicherheitsgerichtete I-Slave-I-Slave-Kommunikation

I-Slave-I-Slave-Kommunikation
Die sicherheitsgerichtete Kommunikation erfolgt mit Hilfe der F-Applikationsbausteine
F_SENDDP zum Senden und F_RCVDP zum Empfangen, die der Anwender im jeweiligen
Sicherheitsprogramm der F-CPU aufruft. Mit ihnen läßt sich eine feste Anzahl von
fehlersicheren Daten der Datentypen BOOL und INT fehlersicher übertragen.

Sicherheitstechnik in SIMATIC S7
82 Systemhandbuch, 07/2013, A5E00109528-07
Kommunikationsmöglichkeiten
3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation

Was ist zu tun?


Für die sicherheitsgerichtete I-Slave-I-Slave-Kommunikation führt der Anwender die
folgenden Tätigkeiten aus:
1. I-Slaves in HW Konfig projektieren
2. DP-Mastersystem in HW Konfig projektieren
3. I-Slaves mit dem DP-Master koppeln
4. Adressbereiche für den Datenaustausch in HW Konfig projektieren
5. in den Sicherheitsprogrammen der F-CPUs der beteiligten I-Slaves F_SENDDP und
F_RCVDP aus der F-Bibliothek Distributed Safety aufrufen
6. F_SENDDPs und F_RCVDPs parametrieren
7. nach der Programmerstellung die Sicherheitsprogramme generieren und in die jeweilige
F-CPU laden

Weitere Informationen
Die Projektierung und Programmierung der sicherheitsgerichteten
I-Slave-I-Slave-Kommunikation finden Sie ausführlich im Handbuch "S7 Distributed Safety,
Projektieren und Programmieren"
(http://support.automation.siemens.com/WW/view/de/22099875) beschrieben.

3.6.4 S7 Distributed Safety: Sicherheitsgerichtete IO-Controller-IO-Controller-


Kommunikation

Einleitung
Die sicherheitsgerichtete Kommunikation zwischen Sicherheitsprogrammen der F-CPUs von
IO-Controllern erfolgt über einen PN/PN Coupler (Bestellnummer 6ES7158-3AD00-0XA0),
den Sie zwischen den beiden F-CPUs einsetzen.

Verweis
Des Weiteren gelten sinngemäß die Informationen zur sicherheitsgerichteten Master-Master-
Kommunikation in Kapitel "S7 Distributed Safety: Sicherheitsgerichtete Master-Master-
Kommunikation (Seite 79)".

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 83
Kommunikationsmöglichkeiten
3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation

3.6.5 S7 Distributed Safety: Sicherheitsgerichtete Kommunikation über S7-


Verbindungen

Einleitung
In S7 Distributed Safety findet die sicherheitsgerichtete CPU-CPU-Kommunikation über S7-
Verbindungen zwischen den Sicherheitsprogrammen von zwei F-CPUs - wie im Standard -
über Projektierung von Verbindungstabellen in NETPro statt.
Sicherheitsgerichtete CPU-CPU-Kommunikation ist nicht über öffentliche Netze zulässig.

Kommunikationsübersicht

Bild 3-11 S7 Distributed Safety: Kommunikation über S7-Verbindungen

Kommunikation über S7-Verbindungen


Die sicherheitsgerichtete Kommunikation erfolgt mit Hilfe der F-Applikationsbausteine
F_SENDS7 zum Senden und F_RCVS7 zum Empfangen, die der Anwender im jeweiligen
Sicherheitsprogramm der F-CPU aufruft. Mit diesen F-Applikationsbausteinen läßt sich eine
vom Anwender festgelegte Anzahl von fehlersicheren Daten der Datentypen BOOL, INT,
WORD oder TIME fehlersicher übertragen. Die fehlersicheren Daten werden dabei in F-DBs
("F-Kommunikations-DB") auf Sender- und Empfängerseite angelegt.

Sicherheitstechnik in SIMATIC S7
84 Systemhandbuch, 07/2013, A5E00109528-07
Kommunikationsmöglichkeiten
3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation

Was ist zu tun?


Für die sicherheitsgerichtete Kommunikation über S7-Verbindungen führt der Anwender die
folgenden Tätigkeiten aus:
1. in STEP 7 NetPro die S7-Verbindungen für die jeweilige F-CPU projektieren
2. für die Sende- und Empfangsdaten jeweils einen F-Kommunikations-DB anlegen
3. Variablen des F-Kommunikations-DB für das Senden mit Variablen versorgen
4. im Sicherheitsprogramm, von dem Daten gesendet werden sollen, F_SENDS7 aufrufen
5. im Sicherheitsprogramm, in dem Daten empfangen werden sollen, F_RCVS7 aufrufen
6. F_SENDS7 und F_RCVS7 parametrieren
7. nach der Programmerstellung die Sicherheitsprogramme generieren und in die jeweilige
F-CPU laden

Einschränkungen für S7 Distributed Safety

Hinweis
In Distributed Safety sind S7-Verbindungen generell nur über Industrial Ethernet zulässig!
Sicherheitsgerichtete Kommunikation über S7-Verbindungen ist von und zu folgenden CPUs
möglich:
• CPU 315F-2 PN/DP (nur über PN-Schnittstelle der CPU)
• CPU 317F-2 PN/DP (nur über PN-Schnittstelle der CPU)
• CPU 319F-3 PN/DP (nur über PN-Schnittstelle der CPU)
• CPU 416F-3 PN/DP
• CPU 416F-2 ab Firmware-Version V 4.0

Weitere Informationen
Informationen zur Projektierung der S7-Verbindungen finden Sie in der STEP 7-Onlinehilfe.
Die Projektierung und Programmierung der sicherheitsgerichteten Kommunikation über S7-
Verbindungen finden Sie ausführlich im Handbuch "S7 Distributed Safety, Projektieren und
Programmieren"
(http://support.automation.siemens.com/WW/view/de/22099875) beschrieben.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 85
Kommunikationsmöglichkeiten
3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation

3.6.6 S7 F/FH Systems: Sicherheitsgerichtete Kommunikation über S7-Verbindungen

Einleitung
In S7 F/FH Systems findet die sicherheitsgerichtete CPU-CPU-Kommunikation über S7-
Verbindungen zwischen den Sicherheitsprogrammen von zwei F-CPUs – wie im Standard –
über Projektierung von Verbindungstabellen in NETPro statt.
Sicherheitsgerichtete CPU-CPU-Kommunikation ist nicht über öffentliche Netze zulässig.

Kommunikationsübersicht

Bild 3-12 S7 F/FH Systems: Kommunikation zwischen F-CPUs

Tabelle 3- 4 Sicherheitsgerichtete CPU-CPU-Kommunikation

Nummer Kommunikation von… zu… Verbindungstyp Sicherheits-


gerichtet
1 S7 FH Systems S7 FH Systems S7-Verbindung, hochverfügbar ja
2 S7 F/FH Systems S7 F Systems S7-Verbindung, hochverfügbar ja
3 S7 F Systems S7 F Systems S7-Verbindung ja

Kommunikation über S7-Verbindungen


Die sicherheitsgerichtete Kommunikation erfolgt mit Hilfe der F-Bausteine F_SENDBO,
F_SENDR und F_SDS_BO zum Senden und F_RCVBO, F_RCVR und F_RDS_BO zum
Empfangen, die der Anwender im jeweiligen Sicherheitsprogramm der F-CPU aufruft. Mit
diesen F-Bausteinen lässt sich eine feste Anzahl von fehlersicheren Daten der Datentypen
F_BOOL und F_REAL fehlersicher übertragen.

Sicherheitstechnik in SIMATIC S7
86 Systemhandbuch, 07/2013, A5E00109528-07
Kommunikationsmöglichkeiten
3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation

Was ist zu tun?


Für die sicherheitsgerichtete Kommunikation über S7-Verbindungen führt der Anwender die
folgenden Tätigkeiten aus:
1. in STEP 7 NetPro die S7-Verbindungen für die jeweilige F-CPU projektieren
2. im Sicherheitsprogramm der jeweiligen F-CPU fehlersichere Bausteine für die CPU-CPU-
Kommunikation aus der F-Bibliothek S7 F Systems Lib auswählen, verschalten und
parametrieren
3. nach der Programmerstellung die Sicherheitsprogramme übersetzen und in die jeweilige
F-CPU laden

F-CPUs für sicherheitsgerichtete Kommunikation über S7-Verbindungen

Hinweis
In S7 F/FH Systems ist sicherheitsgerichtete Kommunikation über S7-Verbindungen von und
zu folgenden F-CPUs möglich:
• CPU 412-3H
• CPU 414-4H
• CPU 417-4H

Weitere Informationen
Informationen zur Projektierung der möglichen Verbindungstypen finden Sie in der STEP 7-
Onlinehilfe.
Die Projektierung und Programmierung der sicherheitsgerichteten Kommunikation über S7-
Verbindungen finden Sie ausführlich im Handbuch "S7 F/FH Systems, Projektieren und
Programmieren"
(http://support.automation.siemens.com/WW/view/de/2201072)beschrieben.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 87
Kommunikationsmöglichkeiten
3.6 Sicherheitsgerichtete CPU-CPU-Kommunikation

3.6.7 Sicherheitsgerichtete Kommunikation zwischen S7 Distributed Safety und S7 F


Systems

Einleitung
Sicherheitsgerichtete CPU-CPU-Kommunikation zwischen S7 Distributed Safety und
S7 F Systems ist über S7-Verbindungen, über Projektierung von Verbindungstabellen in
NetPro, möglich.

Kommunikationsübersicht

Bild 3-13 Sicherheitsgerichtete Kommunikation zwischen S7 Distributed Safety und S7 F Systems

Kommunikation über S7-Verbindungen


Die sicherheitsgerichtete Kommunikation erfolgt mit Hilfe von F-Applikationsbausteinen zum
Senden und Empfangen, die der Anwender im jeweiligen Sicherheitsprogramm der F-CPU
aufruft. Mit diesen F-Applikationsbausteinen lassen sich maximal 32 Daten vom Datentyp
BOOL austauschen.

Sicherheitstechnik in SIMATIC S7
88 Systemhandbuch, 07/2013, A5E00109528-07
Kommunikationsmöglichkeiten
3.7 F-Peripheriezugriff und sicherheitsgerichtete Kommunikation über WLAN nach IEEE 802.11

Was ist zu tun?


Für die sicherheitsgerichtete Kommunikation zwischen S7 Distributed Safety und
S7 F Systems führt der Anwender die folgenden Tätigkeiten aus:
1. in STEP 7 NetPro die S7-Verbindungen für die jeweilige F-CPU projektieren
2. in S7 F Systems: im Sicherheitsprogramm der F-CPU die F-Bausteine
F_SDS_BO/F_RDS_BO platzieren, verschalten und parametrieren.
3. in S7 Distributed Safety: im Sicherheitsprogramm der F-CPU:
– 2 F-Kommunikations-DBs mit je exakt 32 Daten vom Datentyp BOOL anlegen
– die F-Bausteine F_SENDS7/F_RCVS7 platzieren, verschalten und parametrieren
4. nach der Programmerstellung die Sicherheitsprogramme generieren/übersetzen und in
die jeweilige F-CPU laden.

Weitere Informationen
Informationen zur Projektierung der S7-Verbindungen finden Sie in der STEP 7-Onlinehilfe.

3.7 F-Peripheriezugriff und sicherheitsgerichtete Kommunikation über


WLAN nach IEEE 802.11

Hinweis zur Konfiguration


Beim F-Peripheriezugriff und bei der sicherheitsgerichteten CPU-CPU-Kommunikation über
WLAN gemäß IEEE 802.11 muss Folgendes beachtet werden:
Die Access-Points muss der Anwender so projektieren, dass die Anforderungen an die
Security, die in der Norm IEC 61784-3-3 "Digital data communications for measurement and
control - Part 3: Profiles for functional safety communications in industrial networks", Kapitel
9.8 "Wireless transmission channels" aufgeführt sind, erfüllt werden.
Der Bezug der Norm IEC 61784-3-3 ist in der Regel kostenpflichtig. Sie kann z. B. beim
Beuth Verlag (www.beuth.de) bezogen werden. Suchen Sie nach "IEC 61784-3-3". Die
WWW-Seiten des Verlags sind auch auf Englisch umschaltbar.

S7 Distributed Safety: F-Peripheriezugriff über WLAN


F-Peripheriezugriffe, inklusive sicherheitsgerichtete I-Slave-Slave-Kommunikation über
WLAN sind im PROFINET IO-Umfeld (bzw. in Mischkonfigurationen am PROFIBUS DP und
PROFINET IO nach IE/PB-Links) unter folgenden Voraussetzungen möglich:
● F-CPUs und F-Peripherien müssen PROFIsafe V2-MODE unterstützen.
● das Sicherheitsprogramm muss mit S7 Distributed Safety ab V 5.4 generiert werden.
Bei der Abnahme des Sicherheitsprogramms muss im Ausdruck des Sicherheitsprogramms
für jede über WLAN angesprochene F-Peripherie überprüft werden, ob PROFIsafe
V2-MODE vorliegt.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 89
Kommunikationsmöglichkeiten
3.7 F-Peripheriezugriff und sicherheitsgerichtete Kommunikation über WLAN nach IEEE 802.11

S7 Distributed Safety: Sicherheitsgerichtete CPU-CPU-Kommunikation über WLAN


Eine sicherheitsgerichtete CPU-CPU-Kommunikation über WLAN ist in S7 Distributed Safety
möglich über die F-Applikationsbausteine F_SENDDP/F_RCVDP bzw.
F_SENDS7/F_RCVS7 der F-Bibliothek Distributed Safety, z. B. mit folgenden Möglichkeiten
der sicherheitsgerichteten CPU-CPU-Kommunikation:
● sicherheitsgerichtete Master-Master-Kommunikation zwischen IO-Controller und DP-
Master über IE/PB-Link und DP/DP-Koppler
● sicherheitsgerichtete Master-I-Slave-Kommunikation zwischen IO-Controller und I-Slave
über IE/PB-Link
● sicherheitsgerichtete I-Slave-I-Slave-Kommunikation zwischen I-Slave und I-Slave hinter
einem IE/PB-Link
● sicherheitsgerichtete IO-Controller-IO-Controller-Kommunikation zwischen IO-Controller
und IO-Controller über PN/PN Coupler
● sicherheitsgerichtete Kommunikation über S7-Verbindungen

S7 F Systems: Sicherheitsgerichtete CPU-CPU-Kommunikation über WLAN


Eine sicherheitsgerichtete CPU-CPU-Kommunikation über WLAN ist in S7 F Systems
möglich über die F-Bausteine F_SENDBO/F_RCVBO, F_SENDR/F_RCVR bzw.
F_SDS_BO/F_RDS_BO der F-Bibliothek S7 F Systems Lib. Es ist sicherheitsgerichtete
Kommunikation über S7-Verbindungen möglich.

Sicherheitstechnik in SIMATIC S7
90 Systemhandbuch, 07/2013, A5E00109528-07
Sicherheit in F-Systemen 4
4.1 Einleitung

In diesem Kapitel
Die F-Systeme S7 Distributed Safety und S7 F/FH Systems verfügen im Wesentlichen über
die gleichen Sicherheitsmechanismen. Das folgende Kapitel stellt die
Sicherheitsmechanismen vor, die für den Anwender sichtbar werden:
● Sicherheitsbetrieb
● Fehlerreaktionen
● Anlauf eines F-Systems
● Passwortschutz für F-Systeme
Auf Unterschiede zwischend S7 Distributed Safety und S7 F/FH Systems wird speziell
hingewiesen.
Die Kapitel "Normen und Zulassungen (Seite 98)" und "Sicherheitsanforderungen (Seite 99)"
beinhalten einen Überblick zu den Normen, Zulassungen und Sicherheitsanforderungen, die
S7 Distributed Safety und S7 F/FH Systems erfüllen.

Weitere Informationen
Im jeweiligen Handbuch zur Projektierung und Programmierung von S7 Distributed Safety
bzw. S7 F/FH Systems werden die Sicherheitsmechanismen handlungsorientiert
aufgegriffen und falls notwendig vertieft.
Das Standardverhalten ist in den STEP 7- und in den Hardware-Handbüchern beschrieben
und wird hier nicht behandelt.

Sicherheit in F-Systemen

WARNUNG

F-Systeme S7 Distributed Safety und S7 F/FH Systems dienen der Steuerung von
Prozessen mit unmittelbar durch Abschaltung erreichbarem sicheren Zustand.
Sie dürfen S7 Distributed Safety und S7 F/FH Systems nur zur Steuerung von Prozessen
einsetzen, bei denen eine unmittelbare Abschaltung keine Gefahr für Mensch oder Umwelt
nach sich zieht.

Die Sicherheit in F-Systemen wird gewährleistet durch:


● integrierte Sicherheitsfunktionen zur Fehlererkennung und Fehlerreaktion
● Zugriffschutz auf F-Systeme

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 91
Sicherheit in F-Systemen
4.2 Sicherheitsbetrieb

Sicherheitsfunktionen
Sicherheitsfunktionen zur Fehlererkennung und Fehlerreaktion sind hauptsächlich im
Sicherheitsprogramm und in der F-Peripherie enthalten. Diese Funktionen werden durch
entsprechende fehlersichere Bausteine realisiert und durch die Hardware und das
Betriebssystem der F-CPU unterstützt.

Zugriffschutz
Der Zugriffschutz auf F-Systeme wird realisiert durch die Vergabe von Passwörtern für die F-
CPU und für das Sicherheitsprogramm. Die Realisierung des Zugriffschutzes ist ausführlich
beschrieben:
● für S7 Distributed Safety im Handbuch "S7 Distributed Safety, Projektieren und
Programmieren" (http://support.automation.siemens.com/WW/view/de/22099875)
● für S7 F/FH Systems im Handbuch "S7 F/FH Systems, Projektieren und Programmieren"
(http://support.automation.siemens.com/WW/view/de/2201072)

WARNUNG

Zum Schutz der Hardware von F-Systemen vor unzulässiger Modifikation müssen ggf.
geeignete Maßnahmen getroffen werden, z. B.:
• Einbau in einen abschließbaren Schrank
• Sichern der Micro Memory Card bzw. Flash-Card der F-CPU durch einen Aufkleber

4.2 Sicherheitsbetrieb

Sicherheitsbetrieb
Im Sicherheitsbetrieb sind die Sicherheitsfunktionen zur Fehlererkennung und Fehlerreaktion
aktiviert:
● in der fehlersicheren Peripherie
● im Sicherheitsprogramm der F-CPU

Sicherheitsbetrieb der F-Peripherie


Für die fehlersicheren Signalbaugruppen S7-300 wird bei der Projektierung in HW Konfig
anhand des Parameters "Sicherheitsbetrieb" unterschieden, ob die Baugruppen im
Standardbetrieb (Einsatz als Standard-Signalbaugruppen S7-300 außer SM 326; DO 8 ☓
DC 24V/2A und SM 336; F-AI 0/4 ... 20mA HART) oder im Sicherheitsbetrieb eingesetzt
werden.
Fehlersichere Module ET 200S, ET 200pro und ET 200eco können nur im Sicherheitsbetrieb
eingesetzt werden.

Sicherheitstechnik in SIMATIC S7
92 Systemhandbuch, 07/2013, A5E00109528-07
Sicherheit in F-Systemen
4.2 Sicherheitsbetrieb

Sicherheitsbetrieb des Sicherheitsprogramms


Das Sicherheitsprogramm läuft in der F-CPU im Sicherheitsbetrieb ab, d. h., alle
Sicherheitsmechanismen zur Fehlererkennung und Fehlerreaktion sind aktiviert. In diesem
Zustand ist eine Änderung des Sicherheitsprogramms im laufenden Betrieb nicht möglich.
Der Sicherheitsbetrieb des Sicherheitsprogramms in der F-CPU kann zeitweise aus- und
wieder eingeschaltet werden. Der sogenannte "deaktivierte Sicherheitsbetrieb" ermöglicht
es, das Sicherheitsprogramm online zu testen und ggf. Änderungen des
Sicherheitsprogramms im Betriebszustand RUN vorzunehmen.
Für S7 Distributed Safety ist das Umschalten zurück in den Sicherheitsbetrieb nur über
einen Betriebszustandswechsel RUN-STOP-RUN der F-CPU möglich.
Für S7 F/FH Systems ist ein Betriebszustandswechsel der F-CPU für die Rückkehr in den
Sicherheitsbetrieb nicht erforderlich.

Sicherheitstelegramm
Im Sicherheitsbetrieb werden die Daten zwischen F-CPU und F-Peripherie in einem
Sicherheitstelegramm konsistent übertragen. Das Sicherheitstelegramm gemäß PROFIsafe
besteht aus:
● Prozesswerten (Nutzdaten)
● Statusbyte/Steuerbyte (Koordinierungsdaten für Sicherheitsbetrieb)
● Sequenznummer
● Prüfwert CRC
Die sicherheitsgerichtete CPU-CPU-Kommunikation erfolgt ebenfalls über ein
Sicherheitstelegramm ähnlich PROFIsafe. Die folgenden Informationen zu
Überwachungszeit, Sequenznummer und Prüfwert CRC gelten hier analog.

Überwachungszeit und Sequenznummer


Die zeitliche Überwachung der Telegrammaktualisierung im PROFIsafe-Protokoll erfolgt
durch die Vorgabe einer Sequenznummer von der F-CPU an die F-Peripherie.
Innerhalb einer parametrierbaren Überwachungszeit muss ein gültiges aktuelles
Sicherheitstelegramm bei der F-CPU und der F-Peripherie mit einer gültigen
Sequenznummer angekommen sein.
Wenn innerhalb der Überwachungszeit keine gültige Sequenznummer erkannt wird, dann
wird die F-Peripherie passiviert.

Prüfwert CRC (Cyclic Redundancy Check)


Die Gültigkeit der im Sicherheitstelegramm enthaltenen Prozesswerte, die Korrektheit der
zugeordneten Adressbeziehungen und die sicherheitsrelevanten Parameter werden über
einen im Sicherheitstelegramm enthaltenen Prüfwert CRC abgesichert.
Tritt ein Prüfwert-Fehler bei der Kommunikation zwischen F-CPU und F-Peripherie auf, z. B.
durch zeitweise hohe elektromagnetische Störungen, dann wird die F-Peripherie passiviert.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 93
Sicherheit in F-Systemen
4.3 Fehlerreaktionen

Siehe auch
Projektierung der Überwachungszeiten (Seite 140)

4.3 Fehlerreaktionen

Sicherer Zustand
Grundlage des Sicherheitskonzeptes ist es, dass für alle Prozessgrößen ein sicherer
Zustand existiert. Bei digitaler F-Peripherie ist das der Wert "0". Dies gilt für Geber wie für
Aktoren.

Fehlerreaktionen in F-CPU und Betriebssystem


Die Fehlerreaktionen durch die F-CPU und das Betriebssystem erfolgen in S7 Distributed
Safety und S7 F/FH Systems genauso, wie in Standard-S7-300- und S7-400-Systemen.
Zusätzlich werden in F-Systemen Fehlerreaktionen im Sicherheitsprogramm ausgelöst.

Fehlerreaktionen im Sicherheitsprogramm
Alle Fehlerreaktionen des Sicherheitsprogramms führen zu einem sicheren Zustand der
Prozessgrößen. Das sind im Einzelnen:
● in S7 Distributed Safety: STOP der F-CPU.
Dieser Zustand kann nur durch einen neuen Anlauf des F-Systems wieder aufgehoben
werden.
● in S7 F Systems: wahlweise Abschalten aller F-Abschaltgruppen der F-CPU oder nur
Abschalten der F-Abschaltgruppe, in welcher ein Fehler erkannt wurde (F-STOP). Die F-
CPU geht nicht in STOP. Das Standard-Anwenderprogramm ist von der Abschaltung
nicht betroffen.
Nach der Fehlerbehebung muss ein neuer Anlauf des Sicherheitsprogramms/der
F-Abschaltgruppe erfolgen. Dieser Anlauf wird nach einer Anwenderquittierung am
F-Baustein F_SHUTDN ausgeführt.
● in S7 FH Systems: wird zunächst eine Master-Reserve-Umschaltung ausgelöst. Falls der
Fehler weiterhin besteht, wird ein F-STOP ausgelöst (siehe oben "in S7 F Systems").
● Passivierung von F-Peripherie/Kanälen einer F-Peripherie.
F-Peripherie-/Kanal- oder Kommunikationsfehler führen zur Passivierung der betroffenen
F-Peripherie bzw. der betroffenen Kanäle der F-Peripherie und nicht zum STOP der F-
CPU.
Nach der Fehlerbehebung muss eine Wiedereingliederung (Depassivierung) der F-
Peripherie/der Kanäle der F-Peripherie erfolgen. Die Wiedereingliederung (Umschaltung
von Ersatzwerten auf Prozesswerte) erfolgt automatisch oder erst nach einer
Anwenderquittierung.
Als Reaktion auf erkannte Fehler können auch Standard-Diagnose- und Meldefunktionen
ausgeführt werden.

Sicherheitstechnik in SIMATIC S7
94 Systemhandbuch, 07/2013, A5E00109528-07
Sicherheit in F-Systemen
4.4 Anlauf eines F-Systems

Fehlerreaktionen in der F-Peripherie


Erkennt eine F-Peripherie einen F-Peripherie-/Kanalfehler, so schaltet sie den betroffenen
Kanal oder alle Kanäle in den sicheren Zustand; d. h., die Kanäle dieser F-Peripherie
werden passiviert. Die F-Peripherie meldet den erkannten Fehler an die F-CPU und über
das Sicherheitstelegramm an das Sicherheitsprogramm in der F-CPU. Nach der
Fehlerbehebung muss eine Wiedereingliederung (Depassivierung) der F-Peripherie erfolgen
(siehe Absatz "Fehlerreaktionen im Sicherheitsprogramm").

4.4 Anlauf eines F-Systems

Betriebszustände von F-Systemen


Die Betriebszustände von S7 Distributed Safety bzw. S7 F/FH Systems unterscheiden sich
vom Standardfall nur durch das Anlaufverhalten und das Verhalten im Betriebszustand
HALT.

Anlaufverhalten
Beim STOP-RUN-Übergang einer F-CPU erfolgt der Anlauf des Standard-
Anwenderprogramms wie gewohnt. Beim Anlauf des Sicherheitsprogramms werden:
● für S7 Distributed Safety: alle Datenbausteine mit F-Attribut
● für S7 F/FH Systems: alle Datenbausteine mit F-Attribut
mit den Werten aus dem Ladespeicher initialisiert (wie bei einem Kaltstart). Dadurch gehen
gespeicherte Fehlerinformationen verloren.
Das F-System führt eine automatische Wiedereingliederung der F-Peripherie durch. Im
Unterschied zum Standard-Anwenderprogramm können die Anlauf-OBs (OB 100 bis 102) im
Sicherheitsprogramm nicht verwendet werden.

Anlaufschutz
Ein Anlauf des Sicherheitsprogramms mit den Werten aus dem Ladespeicher kann auch
durch einen Hantierungsfehler oder einen internen Fehler ausgelöst werden. Wenn der
Prozess dies nicht erlaubt, muss im Sicherheitsprogramm ein (Wieder)anlaufschutz
programmiert werden: Die Ausgabe von Prozesswerten muss blockiert werden, bis eine
manuelle Freigabe erfolgt. Die Freigabe darf erst erfolgen, wenn die Ausgabe der
Prozesswerte gefahrlos möglich ist und Fehler behoben wurden.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 95
Sicherheit in F-Systemen
4.5 Passwortschutz für F-Systeme

Betriebszustand Halt
Der Betriebszustand HALT wird für S7 Distributed Safety und S7 F/FH Systems nicht
unterstützt. Wird der Ablauf des Anwenderprogramms mit einer HALT-Anforderung
angehalten, so kann dieser Zustand nur durch einen Anlauf des Sicherheitsprogramms
aufgehoben werden.
Bei S7 F Systems kann das Sicherheitsprogramm abgeschaltet werden und wieder
anlaufen, während die F-CPU im Betriebszustand RUN bleibt (Steuerung erfolgt über den
F-Baustein F_SHUTDN). In diesem Fall muss die F-Peripherie ggf. manuell wieder
eingegliedert werden.

4.5 Passwortschutz für F-Systeme

Zwei Passwörter
Zusätzlich zum Standard-Passwort für die (F-)CPU wird für F-Systeme ein Passwort für das
Sicherheitsprogramm benötigt.
Das Passwort für die F-CPU schützt die F-Systeme gegen unerwünschtes Herunterladen in
die F-CPU (Downloads) von dem Engineering System (ES) oder dem Programmiergerät
(PG).
Das Passwort für das Sicherheitsprogramm schützt gegen unerwünschte Änderungen des
Sicherheitsprogramms. Bei S7 Distributed Safety schützt es zusätzlich gegen unerwünschte
Änderungen der Konfiguration und Parametrierung der F-CPU und F-Peripherie.

Passwörter vergeben
Das Passwort für die F-CPU vergibt der Anwender in HW Konfig bei der Parametrierung der
F-CPU im Register "Schutz".
Das Passwort für das Sicherheitsprogramm vergibt der Anwender bei der
Programmierung/Projektierung des Sicherheitsprogramms. Ein entsprechender Dialog wird
automatisch bei der ersten Übersetzung des Sicherheitsprogramms aufgeblendet.

Sicherheitstechnik in SIMATIC S7
96 Systemhandbuch, 07/2013, A5E00109528-07
Sicherheit in F-Systemen
4.6 Abnahme der Anlage

4.6 Abnahme der Anlage

Wer nimmt die Anlage ab?


Die Abnahme der Anlage wird in der Regel von unabhängigen Sachverständigen
durchgeführt.

Unterstützung bei der Vorbereitung der Abnahme


Bei der Abnahme der Anlage muss die Einhaltung aller relevanten anwendungsspezifischen
Normen geprüft werden.
Zur Unterstützung der Überprüfung des korrekten Einsatzes des F-Systems wird der
Anwender durch die folgenden speziellen Funktionen in STEP 7, im SIMATIC Manager
unterstützt:
● Sicherheitsprogramme vergleichen
● Sicherheitsprogramme drucken
Alle Daten, die für die Abnahme des F-Systems relevant sind, können im SIMATIC Manager
abgerufen und nach Bedarf ausgedruckt werden.

Anwendertätigkeiten
Alle Anwendertätigkeiten zur Vorbereitung der Abnahme einer Anlage sind abhängig vom
eingesetzten F-System. Die Vorgehensweise ist deshalb im jeweiligen Handbuch zur
Projektierung und Programmierung von S7 Distributed Safety bzw. S7 F/FH Systems unter
dem Stichwort "Abnahme der Anlage" beschrieben.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 97
Sicherheit in F-Systemen
4.7 Normen und Zulassungen

4.7 Normen und Zulassungen

Sicherheitszertifikat
Kopien des Sicherheitszertifikats (TÜV-Zertifikat) für die fehlersicheren Komponenten der S7
Distributed Safety bzw. S7 F/FH Systems sowie des Berichts zum Zertifikat und der Annexe
zum Bericht zum Zertifikat
"Safety-Related Programmable System
SIMATIC S7 Distributed Safety"
bzw.
"Safety-Related Programmable Systems
SIMATIC S7 F/FH Systems (formerly S7-400F and S7-400FH)"
sind auf Anfrage erhältlich bei:
Frau Petra Bleicher
A&D AS RD ST Type Test
Fax-Nr. 49 9621 80 3146
e-mail: petra.bleicher@siemens.com

Hinweis
Die Annexe zum Bericht zum Zertifikat enthalten zulässige Versionsnummern und
Signaturen fehlersicherer Komponenten für S7 Distributed Safety bzw. S7 F/FH Systems,
die bei einer Abnahme überprüft werden müssen!
Der Bericht zum Zertifikat enthält die aktuellen Auflagen, die beim Einsatz von S7 Distributed
Safety bzw. S7 F/FH Systems erfüllt werden müssen.

Normen und Richtlinien bezüglich funktionaler Sicherheit


Die F-Systeme S7 Distributed Safety und S7 F/FH Systems sind nach Normen und
Richtlinien bezüglich funktionaler Sicherheit zertifiziert, die Sie jeweils dem Bericht zum
Sicherheitszertifikat (TÜV-Zertifikat) und dem zugehörigen Annex entnehmen können. Die
aktuellen TÜV-Dokumente finden Sie im Internet unter der Adresse
http://support.automation.siemens.com unter "Produkt Support".

Sicherheitstechnik in SIMATIC S7
98 Systemhandbuch, 07/2013, A5E00109528-07
Sicherheit in F-Systemen
4.8 Sicherheitsanforderungen

4.8 Sicherheitsanforderungen

Genormte Sicherheitsanforderungen
Mit F-Systemen S7 Distributed Safety und S7 F/FH Systems können die folgenden
Sicherheitsanforderungen erfüllt werden:
● Sicherheitsklasse (Safety Integrity Level) SIL3 nach IEC 61508:2000
● Performance Level (PL) e und Kategorie 4 nach ISO 13849-1:2006 bzw. EN ISO 13849-
1:2008

Bestimmung des Sicherheits-Integritätslevels nach IEC 61508-5:1998


Mit der qualitativen Methode des Risikographen ist es möglich, den Sicherheits-
Integritätslevel eines sicherheitsbezogenen Systems aus der Kenntnis der Risikofaktoren zu
bestimmen:

S Startpunkt der Abschätzung der Risikominderung


C Risikoparameter der Auswirkung
F Risikoparameter der Häufigkeit und Aufenthaltsdauer
P Risikoparameter der Möglichkeit, den gefährlichen Vorfall zu vermeiden
W Wahrscheinlichkeit des unerwünschten Ereignisses
--- Keine Sicherheitsanforderungen
a Keine speziellen Sicherheitsanforderungen
b Ein einzelnes elektrisch/elektronisch/programmierbar elektronisches
System ist nicht ausreichend.
1, 2, 3, 4 Sicherheits-Integritätslevel

Bild 4-1 Risikograph nach IEC 61508-5:1998

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 99
Sicherheit in F-Systemen
4.8 Sicherheitsanforderungen

Risikoparameter
Die Risikoparameter haben die folgende Bedeutung nach IEC 61508-5:1998:

Tabelle 4- 1 Bedeutung der Risikoparameter nach IEC 61508-5:1998

Parameter Bedeutung
Auswirkung (C )
CA Geringe Verletzung
CB Schwere irreversible Verletzung einer oder mehrerer Personen; Tod einer
Person
CC Tod mehrerer Personen
CD Tod sehr vieler Personen
Häufigkeit und Aufenthaltsdauer im gefährlichen Bereich (F)
FA Seltener bis öfterer Aufenthalt im gefährlichen Bereich
FB Häufiger bis dauernder Aufenthalt im gefährlichen Bereich
Möglichkeit, den gefährlichen Vorfall zu vermeiden (P)
PA Möglich unter bestimmten Bedingungen
PB Beinahe unmöglich
Wahrscheinlichkeit des unerwünschten Ereignisses (W)
W1 Sehr gering
W2 Gering
W3 Relativ hoch

Safety Integrity Level nach IEC 61508:2000


IEC 61508:2000 definiert für jedes "Safety Integrity Level" (SIL) als Zielmaß die
Versagenswahrscheinlichkeit einer Sicherheitsfunktion, die einem fehlersicheren System
zugeordnet ist.

Tabelle 4- 2 Safety Integrity Level nach IEC 61508:2000

Safety Betrieb im geringen Anforderungsmodus Betrieb im häufigen Anforderungs- oder


Integrity low demand mode (average probability of kontinuierlichen Modus
Level failure on demand) high demand/continuous mode
(probability of a dangerous failure per
hour)
4 ≥ 10-5 bis < 10-4 ≥ 10-9 bis < 10-8
3 ≥ 10-4 bis < 10-3 ≥ 10-8 bis < 10-7
2 ≥ 10-3 bis < 10-2 ≥ 10-7 bis < 10-6
1 ≥ 10-2 bis < 10-1 ≥ 10-6 bis < 10-5

Sicherheitstechnik in SIMATIC S7
100 Systemhandbuch, 07/2013, A5E00109528-07
Sicherheit in F-Systemen
4.8 Sicherheitsanforderungen

Erläuterungen zur Tabelle


Im Allgemeinen liefern die Aktoren und Geber den größten Beitrag zu den
Versagenswahrscheinlichkeiten der obigen Tabelle.
Jede Sicherheitsfunktion umfasst immer die gesamte Kette, von der Informationserfassung
über die Informationsverarbeitung bis hin zur beabsichtigten Aktion.
Die daran beteiligten Geräte, wie z. B. ein F-System S7 F/FH Systems, Geber und Aktoren,
müssen in ihrer Gesamtheit die bei der Risikobewertung ermittelte SIL, Kat. bzw. PL erfüllen.
Wenn mit S7 Distributed Safety oder S7 F/FH Systems Steuerungsfunktionen und
zugehörige Schutzfunktionen gemeinsam realisiert werden, liegt Betrieb im häufigen
Anforderungs- oder kontinuierlichen Modus vor.

Risikobetrachtung laut IEC 61508:2000


Das folgende Bild zeigt, dass ein F-System durch geeignete organisatorische und
technische Maßnahmen Gefahrenmomente verhindert oder sie auf ein tolerierbares Maß
reduziert.

Bild 4-2 Risikobetrachtung nach IEC 61508:2000

Performance Level nach ISO 13849-1:2006 bzw. EN ISO 13849-1: 2008 und Beziehung zum Safety
Integrity Level
Nach ISO 13849-1:2006 bzw. EN ISO 13849-1:2008 wird die Fähigkeit sicherheitsbezogener
Teile eine Sicherheitsfunktion auszuführen durch die Bestimmung eines Performance Levels
(PL) ausgedrückt. Die Beziehung zwischen Performance Level (PL) und Safety Integrity
Level (SIL) ist in der Norm ISO 13849-1:2006 bzw. EN ISO 13849-1:2008 beschrieben.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 101
Sicherheit in F-Systemen
4.8 Sicherheitsanforderungen

Versagenswahrscheinlichkeitswerte einzelner Komponenten von S7 Distributed Safety und S7 F/FH


Systems
Die folgende Tabelle enthält die Werte für die Versagenswahrscheinlichkeit einzelner
Komponenten der F-Systeme S7 Distributed Safety und S7 F/FH Systems:

Tabelle 4- 3 Wahrscheinlichkeitswerte einzelner Komponenten von S7 Distributed Safety und S7


F/FH Systems

Betrieb im geringen Betrieb im häufigen Proof-Test-


Anforderungsmodus Anforderungs- oder Intervall
low demand mode kontinuierlichen Modus
(average probability of high demand/continu-
failure on demand) ous mode (probability of a
dangerous failure per
hour)
F-fähige CPUs für
S7 Distributed Safety:
IM 151-7 F-CPU 1,59E-05 3,62E-10 10 Jahre
6ES7151-7FA20-0AB0 3,18E-05 3,62E-10 20 Jahre
IM 151-8F PN/DP CPU < 5E-05 < 2E-09 10 Jahre
6ES7151-8FB00-0AB0 < 1E-04 < 2E-09 20 Jahre
CPU 315F-2 DP 2,38E-05 5,43E-10 10 Jahre
6ES7315-6FF01-0AB0 4,76E-05 5,43E-10 20 Jahre
CPU 315F-2 PN/DP 4,76E-05 1,09E-09 10 Jahre
6ES7315-2FH13-0AB0 9,52E-05 1,09E-09 20 Jahre
CPU 317F-2 DP 4,76E-05 1,09E-09 10 Jahre
6ES7317-6FF03-0AB0 9,52E-05 1,09E-09 20 Jahre
CPU 317F-2 PN/DP 4,76E-05 1,09E-09 10 Jahre
6ES7317-2FK13-0AB0 9,52E-05 1,09E-09 20 Jahre
CPU 319F-3 PN/DP < 1E-04 < 3E-09 10 Jahre
6ES7318-3FL00-0AB0 < 2E-04 < 3E-09 20 Jahre
CPU 416F-2 4,76E-05 1,09E-09 10 Jahre
6ES7416-2FN05-0AB0 9,52E-05 1,09E-09 20 Jahre
CPU 416F-3 PN/DP 4,76E-05 1,09E-09 10 Jahre
6ES7416-3FR05-0AB0 9,52E-05 1,09E-09 20 Jahre
F-fähige CPUs für
S7 F/FH Systems:
CPU 412-3H 1,9E-04 4,3E-09 10 Jahre
6ES7412-3HJ14-0AB0 3,8E-04 4,3E-09 20 Jahre
CPU 414-4H 1,9E-04 4,3E-09 10 Jahre
6ES7414-4HM14-0AB0 3,8E-04 4,3E-09 20 Jahre
CPU 417-4H 1,9E-04 4,3E-09 10 Jahre
6ES7417-4HT14-0AB0 3,8E-04 4,3E-09 20 Jahre

Sicherheitstechnik in SIMATIC S7
102 Systemhandbuch, 07/2013, A5E00109528-07
Sicherheit in F-Systemen
4.8 Sicherheitsanforderungen

Betrieb im geringen Betrieb im häufigen Proof-Test-


Anforderungsmodus Anforderungs- oder Intervall
low demand mode kontinuierlichen Modus
(average probability of high demand/continu-
failure on demand) ous mode (probability of a
dangerous failure per
hour)
sicherheitsgerichtete 1,00E-05 1,00E-09*
Kommunikation
F-Peripherie, wie: siehe Technische Daten im Handbuch:
• F-SMs S7-300 • "Automatisierungssystem S7 300, Dezentrales Peripheriegerät
ET 200M, Fehlersichere Signalbaugruppen"
(http://support.automation.siemens.com/WW/view/de/19026151)

• F-Module ET 200S • "Dezentrales Peripheriesystem ET 200S, Fehlersichere Module"


(http://support.automation.siemens.com/WW/view/de/12490437)

• Fehlersichere Module ET • "Dezentrales Peripheriesystem ET 200pro, Fehlersichere


200pro Module"
(http://support.automation.siemens.com/WW/view/de/22098524)

• F-Peripheriemodul • "Dezentrales Peripheriegerät ET 200eco, Fehlersicheres


ET 200eco Peripheriemodul"
(http://support.automation.siemens.com/WW/view/de/19033850)

• fehlersichere • zum fehlersicheren DP-Normslave


DP-Normslaves

• fehlersichere • zum fehlersicheren IO-Normdevice


IO-Normdevices

• fehlersichere • zum fehlersicheren PA-Feldgerät


PA-Feldgeräte

* Hinweis: Der Wert gilt unter der Annahme, dass maximal 100 F-Peripherien an einer
Sicherheitsfunktion beteiligt sind. Bei Einsatz von mehr als 100 F-Peripherien müssen Sie für
diese Sicherheitsfunktion zusätzlich 4E-12 pro F-Peripherie addieren.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 103
Sicherheit in F-Systemen
4.8 Sicherheitsanforderungen

Beitrag des F-Systems zur Versagenswahrscheinlichkeit ermitteln


Der Beitrag des F-Systems zur Versagenswahrscheinlichkeit einer Sicherheitsfunktion wird
ermittelt durch Summierung der Versagenswahrscheinlichkeiten der daran beteiligten F-
CPUs und F-Peripherie. Redundante F-CPUs zählen dabei einfach, F-Peripherie doppelt.
(Redundante F-Peripherie mit Eingängen zählt deshalb doppelt, weil die redundant über 2
Adressen gelesenen Eingangssignale intern verodert werden und es somit 2
Versagensursachen gibt, entweder die eine oder die andere F-Peripherie.
Redundante F-Peripherie mit Ausgängen zählt deshalb doppelt, weil die redundant über 2
Adressen aktivierten Ausgänge der beiden F-Peripherien hardwaremäßig verodert werden.)
Dazu kommt der Beitrag der sicherheitsgerichteten Kommunikation. An einer
Sicherheitsfunktion können auch mehrere F-Systeme beteiligt sein.
Die Versagenswahrscheinlichkeit der Sicherheitsfunktion erhält man, indem man zum
Beitrag des F-Systems den Beitrag der an der Sicherheitsfunktion beteiligten Geber und
Aktoren addiert.

Berechnungsbeispiel
Eine Sicherheitsfunktion wird mit einem F-System S7 FH Systems realisiert. An der
Sicherheitsfunktion sind die in der folgenden Tabelle angegebenen F-CPUs und
F-SMs beteiligt.
Die F-CPU und F-SMs werden redundant eingesetzt. Ihr Proof-Test-Intervall beträgt 10
Jahre. Die F-SMs befinden sich in der Betriebsart für Sicherheitsbetrieb für SIL3/Kat.4/PLe.
Es liegt Betrieb im häufigen Anforderungsmodus vor:

Tabelle 4- 4 Berechnungsbeispiel zum Beitrag des F-Systems zur Versagenswahrscheinlichkeit einer


Sicherheitsfunktion

An der Sicherheitsfunktion Anzahl Redundanz Wahrscheinlichkeit eines


beteiligte F-CPUs, F-SMs und gefährlichen Ausfalls pro Stunde
sicherheitsgerichtete (probability of a dangerous failure
Kommunikation per hour)
CPU 417-4H 1 ja 4,3E-09
6ES7417-4HT14-0AB0
SM 326; DO 10 ☓ DC 24V/2A 1 ja 2,00E-09
6ES7326-2BF01-0AB0
SM 326; DI 24 ☓ DC 24V 2 ja 4,00E-09
6ES7326-1BK01-0AB0
sicherheitsgerichtete 1,00E-09
Kommunikation
Summe 11,3E-09

Sicherheitstechnik in SIMATIC S7
104 Systemhandbuch, 07/2013, A5E00109528-07
Erreichbare Sicherheitsklassen mit F-Peripherie 5
5.1 Einleitung

In diesem Kapitel
Dieses Kapitel zeigt Ihnen die Möglichkeiten auf, mit F-Peripherie in S7 Distributed Safety
und S7 F/FH Systems die Sicherheitsklassen SIL2/Kat.3/PLd und SIL3/Kat.4/PLe zu
erreichen. Die Informationen beziehen sich auf die F-Peripherie des SIMATIC S7-
Spektrums, d. h. F-SMs S7-300, F-Module ET 200S, F-Module ET 200pro und das
fehlersichere F-Peripheriemodul ET 200eco.

Weitere Informationen
Ob die Realisierung für Ihren Anwendungsfall möglich ist, hängt von dem F-System und der
eingesetzten F-Peripherie ab. Diese Informationen finden Sie in folgenden Handbüchern:
● für S7 Distributed Safety im Handbuch "S7 Distributed Safety, Projektieren und
Programmieren" (http://support.automation.siemens.com/WW/view/de/22099875)
● für S7 F/FH Systems im Handbuch "S7 F/FH Systems, Projektieren und Programmieren"
(http://support.automation.siemens.com/WW/view/de/2201072)
● für F-SMs S7-300 im Handbuch "Automatisierungssystem S7 300, Dezentrales
Peripheriegerät ET 200M, Fehlersichere Signalbaugruppen"
(http://support.automation.siemens.com/WW/view/de/19026151)
● für fehlersichere Module ET 200S im Handbuch "Dezentrales Peripheriesystem ET 200S,
Fehlersichere Module" (http://support.automation.siemens.com/WW/view/de/12490437)
● für fehlersichere Module ET 200pro im Handbuch "Dezentrales Peripheriesystem ET
200pro, Fehlersichere Module"
(http://support.automation.siemens.com/WW/view/de/22098524)
● für das fehlersicher Peripheriemodul ET 200eco im Handbuch "Dezentrales
Peripheriegerät ET 200eco, Fehlersicheres Peripheriemodul"
(http://support.automation.siemens.com/WW/view/de/19033850)

Wie wird die Sicherheitsklasse bei F-Peripherie mit Eingängen erreicht?


Bei F-Peripherie mit Eingängen wird die erforderliche Sicherheitsklasse erreicht:
● intern durch Testschaltungen und automatische Tests
● extern durch die Art der Geberauswertung, d. h. die Verdrahtung der Geber bestimmt die
Sicherheitsklasse SIL2/Kat.3/PLd oder SIL3/Kat.4/PLe
Alternativ kann SIL3/Kat.4/PLe durch die Auswertung im Sicherheitsprogramm mit
F-Bausteinen, die eine Diskrepanzanalyse durchführen, erreicht werden.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 105
Erreichbare Sicherheitsklassen mit F-Peripherie
5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen

Wie wird die Sicherheitsklasse bei F-Peripherie mit Ausgängen erreicht?


Bei F-Peripherie mit Ausgängen wird die erforderliche Sicherheitsklasse erreicht:
● intern durch Testschaltungen und automatische Tests
● extern durch die vorgeschriebene Verschaltung des Aktors.
Darüber hinaus kann es erforderlich sein, Testsignale aus dem Prozess durch die F-
Peripherie lesen und durch das Sicherheitsprogramm auswerten zu lassen.

5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-


Peripherie mit Eingängen

Geberauswertung bei F-Peripherie mit Digitaleingängen


Bei F-Peripherie mit Digitaleingängen wird die erforderliche Sicherheitsklasse durch die Art
der Geberauswertung erreicht.

Tabelle 5- 1 Erreichbare Sicherheitsklassen bei F-Peripherie mit Digitaleingängen

Sicherheitsklasse, Kategorie, Performance ... wird erreicht durch Auswertung erfolgt ...
Level ... Geberauswertung
nach IEC nach ISO 13849-1:2006 bzw.
61508:2000 EN ISO 13849-1:2008
SIL2 Kat. 3/PLd 1oo1 (1v1)-Auswertung in der F-Peripherie
SIL3 Kat. 4/PLe 1oo2 (2v2)-Auswertung in der F-Peripherie;
alternativ im Sicherheitsprogramm mit
F-Baustein
SIL3 Kat. 4/PLe 2oo3 (2v3)-Auswertung im Sicherheitsprogramm mit F-Baustein

Sicherheitstechnik in SIMATIC S7
106 Systemhandbuch, 07/2013, A5E00109528-07
Erreichbare Sicherheitsklassen mit F-Peripherie
5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen

Geberauswertung bei F-Peripherie mit Analogeingängen


Bei F-Peripherie mit Analogeingängen wird die erforderliche Sicherheitsklasse durch die Art
der Geberauswertung erreicht. Die erforderliche Sicherheitsklasse wird mit oder ohne
Redundanz der Geber erreicht.

Tabelle 5- 2 Erreichbare Sicherheitsklassen bei F-Peripherie mit Analogeingängen

Sicherheitsklasse, Kategorie, Performance ... wird erreicht durch Auswertung erfolgt ...
Level ... Geberauswertung
nach IEC nach ISO 13849-1:2006 bzw.
61508:2000 EN ISO 13849-1:2008
SIL3 Kat. 3/PLe 1oo1 (1v1)-Auswertung in der F-Peripherie (nur SM 336; F-AI 6 ×
0/4 ... 20 mA HART)
SIL3 Kat. 4/PLe 1oo2 (2v2)-Auswertung in der F-Peripherie;
alternativ im Sicherheitsprogramm mit
F-Baustein
SIL3 Kat. 4/PLe 2oo3 (2v3)-Auswertung im Sicherheitsprogramm mit F-Baustein

Was ist zu tun?


● Geber entsprechend der gewünschten Geberauswertung und Geberversorgung an der F-
Peripherie verdrahten (1oo1 (1v1)- oder 1oo2 (2v2)-Auswertung, Geber 1-kanalig oder 2-
kanalig; Geberversorgung von der F-Peripherie oder von extern)
● mit STEP 7 parametrieren:
– Geberauswertung (1oo1 oder 1oo2)
– Art der Geberverschaltung (1-kanalig oder 2-kanalig)
– ggf. Kurzschlusstest einschalten
– ggf. festlegen, welche F-Peripherie redundant sein soll (nur für S7 FH Systems)
– ggf. Diskrepanzzeit festlegen
● ggf. im Sicherheitsprogramm F-Bausteine mit Diskrepanzanalyse aufrufen und
verschalten (z. B. in S7 F Systems FB 317 "F_2oo3AI")

Einfluss der Geberqualität auf die Sicherheitsklasse


Die erreichbare Sicherheitsklasse ist abhängig von der Geberqualität und von der Größe des
Proof-Test-Intervalls nach Norm IEC 61508:2000.
Ist die Geberqualität geringer als die, die der erforderlichen Sicherheitsklasse entspricht,
muss der Geber redundant eingesetzt und 2-kanalig angeschlossen werden.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 107
Erreichbare Sicherheitsklassen mit F-Peripherie
5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen

5.2.1 1oo1 (1v1)-Auswertung bei F-Peripherie mit Eingängen

Einleitung
Zum besseren Verständnis der 1oo1 (1v1)-Auswertung sind in diesem Kapitel Beispiele für
die Verdrahtung von Gebern dargestellt. Die Beispiele zeigen einige
Verdrahtungsmöglichkeiten von Gebern an F-SMs und sind dem Handbuch
"Automatisierungssystem S7 300, Dezentrales Peripheriegerät ET 200M, Fehlersichere
Signalbaugruppen"
(http://support.automation.siemens.com/WW/view/de/19026151) entnommen.

1oo1 (1v1)-Auswertung
Bei der 1oo1 (1v1)-Auswertung ist der Geber einmal vorhanden und wird 1-kanalig an die F-
Peripherie angeschlossen.

Anwendungen in der Feuerungstechnik nach EN 298


Wenn Geber eingesetzt werden, die 1-kanalig die Sicherheit gemäß EN 298 bieten, dürfen
bei 1oo1 (1v1)-Auswertung der Geber F-SMs S7-300, F-Module ET 200S, ET 200pro und F-
Peripheriemodule ET 200eco mit Digitaleingängen in Anwendungen der Feuerungstechnik
gemäß EN 298 betrieben werden.

Beispiel: ein einkanaliger Geber 1-kanalig an eine F-DI (SIL2/Kat.3/PLd)


Im folgenden Bild ist das Verdrahtungsschema für eine SM 326, DI 24 ☓ DC 24V bei 1oo1
(1v1)-Auswertung des Gebers dargestellt. Die Geberversorgung erfolgt von der F-Peripherie.
Mit dieser Verdrahtung kann SIL2/Kat.3/PLd erreicht werden. SIL2/Kat.3/PLd wird nur dann
erreicht, wenn ein entsprechend qualifizierter Geber eingesetzt wird.

Bild 5-1 Beispiel: Verdrahtungsschema ein Geber 1-kanalig an eine F-DI (1oo1)

1oo1 (1v1)-Auswertung mit hoher Verfügbarkeit (nur für S7 FH Systems)


Um eine hohe Verfügbarkeit zu erreichen, lässt sich in S7 FH Systems ein Geber an zwei
redundante F-DI anschließen bzw. lassen sich zwei Geber redundant an zwei F-DI
anschließen.

Sicherheitstechnik in SIMATIC S7
108 Systemhandbuch, 07/2013, A5E00109528-07
Erreichbare Sicherheitsklassen mit F-Peripherie
5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen

Beispiel: ein Geber 1-kanalig an zwei F-DIs (hohe Verfügbarkeit; SIL2/Kat.3/PLd)


Im folgenden Bild ist das Verdrahtungsschema für 1oo1 (1v1)-Auswertung des Gebers an
zwei SM 326, DI 24 ☓ DC 24V dargestellt. Die Geberversorgung erfolgt von extern. Mit
dieser Verdrahtung kann SIL2/Kat.3/PLd und hohe Verfügbarkeit erreicht werden.
SIL2/Kat.3/PLd wird nur dann erreicht, wenn ein entsprechend qualifizierter Geber
eingesetzt wird.

Bild 5-2 Beispiel: Verdrahtungsschema ein Geber 1-kanalig an zwei F-DIs (1oo1), hohe
Verfügbarkeit)

Beispiel: zwei redundante Geber 1-kanalig an zwei F-DIs (hohe Verfügbarkeit; SIL2/Kat.3/PLd)
Im folgenden Bild ist das Verdrahtungsschema für 1oo1 (1v1)-Auswertung von zwei
redundanten Gebern an zwei SM 326, DI 24 ☓ DC 24V dargestellt. Die Geberversorgung
erfolgt von der F-Peripherie. Mit dieser Verdrahtung kann SIL2/Kat.3/PLd und hohe
Verfügbarkeit erreicht werden. SIL2/Kat.3/PLd wird nur dann erreicht, wenn ein
entsprechend qualifizierter Geber eingesetzt wird.

Bild 5-3 Beispiel: Verdrahtungsschema zwei redundante Geber 1-kanalig an zwei F-DIs (1oo1
(1v1), hohe Verfügbarkeit)

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 109
Erreichbare Sicherheitsklassen mit F-Peripherie
5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen

Beispiel: ein Geber 1-kanalig an eine F-AI (SIL3/Kat.3/PLe)


Im folgenden Bild ist das Verdrahtungsschema für eine SM 336; F-AI 6 x 0/4 ... 20 mA HART
bei Strommessung 0/4 bis 20 mA mit 2-Draht-Messumformer dargestellt. Die
Geberversorgung erfolgt von der F-Peripherie. Mit dieser Verdrahtung kann SIL3/Kat.3/PLe
erreicht werden. SIL3/Kat.3/PLe wird nur dann erreicht, wenn ein entsprechend qualifizierter
Geber eingesetzt wird.

Bild 5-4 Beispiel: Verdrahtungsschema ein Geber 1-kanalig an eine F-AI (1oo1)

5.2.2 1oo2 (2v2)-Auswertung bei F-Peripherie mit Eingängen

Einleitung
Zum besseren Verständnis der 1oo2 (2v2)-Auswertung sind in diesem Kapitel Beispiele für
die Verdrahtung von Gebern dargestellt. Die Beispiele zeigen einige
Verdrahtungsmöglichkeiten von Gebern an F-SMs und sind dem Handbuch
"Automatisierungssystem S7 300, Dezentrales Peripheriegerät ET 200M, Fehlersichere
Signalbaugruppen"
(http://support.automation.siemens.com/WW/view/de/19026151) entnommen.

1oo2 (2v2)-Auswertung
Bei der 1oo2 (2v2)-Auswertung werden zwei Eingangskanäle belegt, durch einen
zweikanaligen Geber oder zwei einkanalige Geber. Die Eingangssignale werden intern auf
Gleichheit (Äquivalenz) bzw. auf Ungleichheit (Antivalenz) verglichen.

Sicherheitstechnik in SIMATIC S7
110 Systemhandbuch, 07/2013, A5E00109528-07
Erreichbare Sicherheitsklassen mit F-Peripherie
5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen

Diskrepanzanalyse bei 1oo2 (2v2)-Auswertung


Um einen Hardware-Ausfall von einem flüchtigen, zufälligen Signalwechsel zu
unterscheiden, werden die sicherheitsgerichteten Eingabesignale bei 1oo2 (2v2)-
Auswertung der Geber intern einer Diskrepanzanalyse unterzogen.
Die Diskrepanzanalyse wird gestartet, wenn bei zwei zusammengehörigen
Eingangssignalen unterschiedliche Pegel (bei Prüfung auf Antivalenz: gleiche Pegel)
festgestellt werden. Es wird geprüft, ob nach Ablauf einer parametrierbaren Zeitspanne, der
sogenannten Diskrepanzzeit, der Unterschied (bei Prüfung auf Antivalenz: die
Übereinstimmung) verschwunden ist. Wenn nicht, liegt ein Diskrepanzfehler vor.

1oo2 (2v2)-Auswertung bei F-Peripherie mit Digitaleingängen


Bei der 1oo2 (2v2)-Auswertung steht im Sicherheitsprogramm nur der niederwertige Kanal
der durch die 1oo2 (2v2)-Auswertung der Geber zusammengefassten Kanäle zur Verfügung.
Bei der 1oo2 (2v2)-Auswertung können die Geber entweder einmal oder zweimal vorhanden
sein. Sie werden 1-kanalig oder 2-kanalig an die F-Peripherie angeschlossen.

Beispiel: ein Geber 1-kanalig an eine F-DI (SIL3/Kat.4/PLe)


Im folgenden Bild ist das Verdrahtungsschema für eine SM 326, DI 24 ☓ DC 24V bei 1oo2
(2v2)-Auswertung des Gebers dargestellt. Die Geberversorgung erfolgt von der F-Peripherie.
SIL3/Kat.4/PLe wird nur dann erreicht, wenn ein entsprechend qualifizierter Geber
eingesetzt wird.

Bild 5-5 Beispiel: Verdrahtungsschema ein Geber 1-kanalig an eine F-DI (1oo2)

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 111
Erreichbare Sicherheitsklassen mit F-Peripherie
5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen

Beispiel: ein zweikanaliger Geber 2-kanalig an eine F-DI (SIL3/Kat.4/PLe)


Im folgenden Bild ist das Verdrahtungsschema für eine SM 326, DI 24 ☓ DC 24V bei 1oo2
(2v2)-Auswertung eines zweikanaligen Gebers dargestellt. Mit dieser Verdrahtung kann
SIL3/Kat.4/PLe erreicht werden. SIL3/Kat.4/PLe wird nur dann erreicht, wenn ein
entsprechend qualifizierter Geber eingesetzt wird.

Bild 5-6 Beispiel: Verdrahtungsschema ein zweikanaliger Geber 2-kanalig an eine F-DI (1oo2)

Beispiel: ein antivalenter Geber 2-kanalig antivalent an eine F-DI (SIL3/Kat.4/PLe)


Im folgenden Bild ist das Verdrahtungsschema für eine SM 326, DI 24 ☓ DC 24V mit
antivalentem Geber (1oo2 (2v2)-Auswertung) dargestellt. Mit dieser Verdrahtung kann
SIL3/Kat.4/PLe erreicht werden. Die linken Kanäle auf der Baugruppe liefern die
Nutzsignale. D. h., sofern keine Fehler festgestellt werden, liegen diese Signale im
Peripheriebereich für Eingänge in der F-CPU vor. SIL3/Kat.4/PLe wird nur dann erreicht,
wenn ein entsprechend qualifizierter Geber eingesetzt wird.

Bild 5-7 Beispiel: Verdrahtungsschema ein antivalenter Geber 2-kanalig antivalent an eine F-DI
(1oo2)

1oo2 (2v2)-Auswertung mit hoher Verfügbarkeit (nur für S7 FH Systems)


Um eine hohe Verfügbarkeit zu erreichen, lässt sich in S7 FH Systems ein Geber an zwei F-
DI anschließen bzw. lassen sich zwei Geber redundant an zwei F-DI anschließen.

Sicherheitstechnik in SIMATIC S7
112 Systemhandbuch, 07/2013, A5E00109528-07
Erreichbare Sicherheitsklassen mit F-Peripherie
5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen

Beispiel: ein zweikanaliger Geber 2-kanalig an zwei F-DIs (hohe Verfügbarkeit; SIL3/Kat.4/PLe)
Im folgenden Bild ist das Verdrahtungsschema für 1oo2 (2v2)-Auswertung des Gebers an
zwei SM 326, DI 24 ☓ DC 24V dargestellt. Die Geberversorgung erfolgt von extern. Mit
dieser Verdrahtung kann SIL3/Kat.4/PLe und hohe Verfügbarkeit erreicht werden.
SIL3/Kat.4/PLe wird nur dann erreicht, wenn ein entsprechend qualifizierter Geber
eingesetzt wird.

Bild 5-8 Beispiel: Verdrahtungsschema ein zweikanaliger Geber 2-kanalig an zwei F-DIs (1oo2,
hohe Verfügbarkeit)

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 113
Erreichbare Sicherheitsklassen mit F-Peripherie
5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen

Beispiel: zwei redundante, einkanalige Geber 1-kanalig an zwei F-DIs (hohe Verfügbarkeit;
SIL3/Kat.4/PLe)
Im folgenden Bild ist das Verdrahtungsschema für 1oo2 (2v2)-Auswertung der Geber an
zwei SM 326, DI 24 ☓ DC 24V dargestellt. Die Geberversorgung erfolgt von der F-
Peripherie. Mit dieser Verdrahtung kann SIL3/Kat.4/PLe und hohe Verfügbarkeit erreicht
werden. SIL3/Kat.4/PLe wird nur dann erreicht, wenn ein entsprechend qualifizierter Geber
eingesetzt wird.

Bild 5-9 Beispiel: Verdrahtungsschema zwei redundante, einkanalige Geber 1-kanalig an zwei F-
DIs (2v2, hohe Verfügbarkeit)

1oo2 (2v2)-Auswertung bei F-Peripherie mit Analogeingängen


Bei der 1oo2 (2v2)-Auswertung bei F-Peripherie mit Analogeingängen können die Geber
entweder einmal oder mehrfach vorhanden sein. Sie werden 1-kanalig oder 2-kanalig an die
F-Peripherie angeschlossen.

Sicherheitstechnik in SIMATIC S7
114 Systemhandbuch, 07/2013, A5E00109528-07
Erreichbare Sicherheitsklassen mit F-Peripherie
5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen

Beispiel: ein Geber 1-kanalig an eine F-AI (SIL2/Kat.3/PLd)


Im folgenden Bild ist das Verdrahtungsschema für eine SM 336, AI 6 ☓ 13 Bit bei
Strommessung 4 bis 20 mA mit 2-Draht-Messumformer dargestellt. Die Geberversorgung
erfolgt von der F-Peripherie. Mit dieser Verdrahtung kann SIL2/Kat.3/PLd erreicht werden.
SIL3 kann erreicht werden, wenn ein entsprechend qualifizierter Geber eingesetzt wird.

Bild 5-10 Beispiel: Verdrahtungsschema ein Geber 1-kanalig an eine F-AI (1oo2)

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 115
Erreichbare Sicherheitsklassen mit F-Peripherie
5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen

Beispiel: zwei redundante Geber 2-kanalig an eine F-AI (SIL3/Kat.4/PLe)


Im folgenden Bild ist das Verdrahtungsschema für eine SM 336, AI 6 ☓ 13 Bit bei
Strommessung 4 bis 20 mA mit 2-Draht-Messumformer dargestellt. Die Geberversorgung
erfolgt von der F-Peripherie. Mit dieser Verdrahtung kann SIL3/Kat.4/PLe erreicht werden.
SIL3/Kat.4/PLe wird nur dann erreicht, wenn entsprechend qualifizierte Geber eingesetzt
werden.

Bild 5-11 Beispiel: Verdrahtungsschema zwei redundante Geber 2-kanalig an eine F-AI (1oo2)

1oo2 (2v2)-Auswertung mit hoher Verfügbarkeit (nur für S7 FH Systems)


Um eine hohe Verfügbarkeit zu erreichen, lassen sich in S7 FH Systems vier redundante
Geber an zwei F-AI anschließen.

Beispiel: vier redundante Geber 2-kanalig an zwei F-AI (hohe Verfügbarkeit; SIL3/Kat.4/PLe)
Im folgenden Bild ist das Verdrahtungsschema für zwei SM 336, AI 6 ☓ 13 Bit bei
Strommessung 4 bis 20 mA mit 2-Draht-Messumformer dargestellt. Die Geberversorgung
erfolgt von der F-Peripherie. Mit dieser Verdrahtung kann SIL3/Kat.4/PLe und hohe
Verfügbarkeit erreicht werden.
SIL3/Kat. 4/PLe wird nur dann erreicht, wenn entsprechend qualifizierte Geber eingesetzt
werden.

Sicherheitstechnik in SIMATIC S7
116 Systemhandbuch, 07/2013, A5E00109528-07
Erreichbare Sicherheitsklassen mit F-Peripherie
5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen

Bild 5-12 Beispiel: Verdrahtungsschema vier redundante Geber 2-kanalig an zwei F-AI (1oo2,
hohe Verfügbarkeit)

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 117
Erreichbare Sicherheitsklassen mit F-Peripherie
5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen

5.2.3 2oo3 (2v3)-Auswertung bei F-Peripherie mit Analogeingängen (nur für S7 F/FH
Systems)

Einleitung
Zum besseren Verständnis der 2oo3 (2v3)-Auswertung ist in diesem Kapitel ein Beispiel für
die Verdrahtung von Gebern dargestellt. Das Beispiel ist dem Handbuch
"Automatisierungssystem S7 300, Dezentrales Peripheriegerät ET 200M, Fehlersichere
Signalbaugruppen"
(http://support.automation.siemens.com/WW/view/de/19026151) entnommen.

2oo3 (2v3)-Auswertung
Bei der 2oo3 (2v3)-Auswertung werden drei Eingangskanäle durch einkanalige Geber
belegt. Die Eingangssignale werden im Sicherheitsprogramm mit einem F_2oo3AI-Baustein
in S7 F Systems einer 2oo3 (2v3)-Auswertung unterzogen.

2oo3 (2v3)-Auswertung mit hoher Verfügbarkeit


Um eine hohe Verfügbarkeit zu erreichen, lassen sich drei Geber an zwei F-AI anschließen,
bzw. lassen sich drei Geber an drei F-AI anschließen.

Sicherheitstechnik in SIMATIC S7
118 Systemhandbuch, 07/2013, A5E00109528-07
Erreichbare Sicherheitsklassen mit F-Peripherie
5.2 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Eingängen

Beispiel: drei einkanalige Geber an drei F-AIs (hohe Verfügbarkeit; SIL3/Kat.4/PLe)


Im folgenden Bild ist das Verdrahtungsschema für 2oo3 (2v3)-Auswertung der Geber an drei
SM 336; F-AI 6 x 0/4 ... 20 mA HART bei Strommessung 0/4 bis 20 mA mit
2-Draht-Messumformer dargestellt. Die Geberversorgung erfolgt von der F-Peripherie. Mit
dieser Verdrahtung kann SIL3/Kat.4/PLe und hohe Verfügbarkeit erreicht werden.
SIL3/Kat.4/PLe wird nur dann erreicht, wenn entsprechend qualifizierte Geber eingesetzt
werden. Im Sicherheitsprogramm muss eine Diskrepanzanalyse mit 2oo3 (2v3)-Auswertung
(z. B. mit dem F-Baustein F_2oo3AI) durchgeführt werden.

Bild 5-13 Beispiel: Verdrahtungsschema drei Geber 1-kanalig an drei F-AIs (2oo3, hohe Verfügbarkeit)

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 119
Erreichbare Sicherheitsklassen mit F-Peripherie
5.3 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-Peripherie mit Ausgängen

5.3 Sicherheitsfunktionen zur Erlangung der Sicherheitsklassen bei F-


Peripherie mit Ausgängen

Testsignalaufschaltungen bei F-Peripherie mit Ausgängen


Bei F-Peripherie mit Ausgängen wird die erforderliche Sicherheitsklasse durch die
Aufschaltung von Testsignalen erreicht.

Tabelle 5- 3 Erreichbare Sicherheitsklassen bei F-Peripherie mit Ausgängen

Sicherheitsklasse, Kategorie, Performance Level ... ... wird erreicht durch Testsignalaufschaltung
nach IEC 61508:2000 nach ISO 13849-1:2006 bzw.
EN ISO 13849-1:2008
SIL2 Kat. 3/PLd • Dunkelzeit
SIL3 Kat. 4/PLe • Hellzeit und
• Dunkelzeit

Dunkelzeit
Dunkelzeiten entstehen bei Abschalttests und bei vollständigen Bitmustertests. Dabei
werden von der F-Peripherie mit Ausgängen testbedingte 0-Signale auf den Ausgang
geschaltet, während der Ausgang aktiv ist. Der Ausgang wird daraufhin kurzzeitig
abgeschaltet (= "Dunkelzeit"). Ein hinreichend träger Aktor reagiert darauf nicht und bleibt
eingeschaltet.

Hellzeit
Hellzeiten entstehen bei vollständigen Bitmustertests. Dabei werden von der F-Peripherie
mit Ausgängen testbedingte 1-Signale auf den Ausgang geschaltet, während der Ausgang
deaktiv ist (Ausgangssignal "0 "). Der Ausgang wird daraufhin kurzzeitig eingeschaltet
(= "Hellzeit"). Ein hinreichend träger Aktor reagiert darauf nicht und bleibt abgeschaltet.
Hellzeiten entstehen bei 2-kanalig, 1-poliger Ansteuerung der Ausgänge. Hellzeiten
entstehen nicht bei 2-kanalig, 2-poliger Ansteuerung mit P- und M-schaltenden Ausgängen
(F-Module ET 200S, ET 200pro und SM 326; DO 8 ☓ DC 24V/2A PM).

Was ist zu tun?


Für SM 326; DO 10 x DC 24V/2A mit STEP 7 parametrieren:
● Betrieb "Sicherheitsbetrieb gemäß SIL2" oder "Sicherheitsbetrieb gemäß SIL3" (implizit
wird damit die Art der Testsignalaufschaltung festgelegt)
● Helltest aktivieren oder deaktivieren (Wechselt das Signal täglich oder öfter, kann
SIL3/Kat.4/PLe auch ohne Hellzeit erreicht werden.)
Für alle andere F-Peripherie mit Digitalausgängen ist nichts einzustellen, da sie generell für
die Sicherheitsklasse SIL3/Kat.4/PLe ausgelegt sind.

Sicherheitstechnik in SIMATIC S7
120 Systemhandbuch, 07/2013, A5E00109528-07
Projektieren von F-Systemen 6
6.1 Einleitung

Projektieren wie im Standard


Die Projektierung von fehlersicheren Systemen S7 Distributed Safety und S7 F/FH Systems
erfolgt im Wesentlichen genauso wie für Standard-S7-300/-400-Stationen. Für die F-
Funktionalität gibt es lediglich einige spezielle Register in den Objekteigenschaften der
fehlersicheren Komponenten (F-CPU und F-Peripherie).

Welche F-Komponenten muss der Anwender projektieren?


Folgende Hardware-Komponenten sind zu projektieren:
● F-fähige CPU, z. B. die CPU 315F-2 DP
● F-Peripherie, z. B.:
– fehlersichere Module ET 200S
– fehlersichere Module ET 200pro
– fehlersicheres Peripheriemodul ET 200eco
– fehlersichere Signalbaugruppen S7-300 (für zentralen Aufbau neben F-CPU oder
dezentralen Aufbau in ET 200M)
– fehlersichere DP-Normslaves/IO-Normdevices
– fehlersichere PA-Feldgeräte

In diesem Kapitel
Dieses Kapitel zeigt im Überblick, wie die Projektierung der Komponenten eines F-Systems
erfolgt. Auf die geringfügigen Unterschiede zwischen S7 Distributed Safety und S7 F/FH
Systems wird speziell hingewiesen.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 121
Projektieren von F-Systemen
6.2 Projektieren der F-CPU

Weitere Informationen
Die Projektierung der Hardware ist ausführlich beschrieben in der Onlinehilfe STEP 7.
Spezielle Regeln und Beispiele für die Projektierung und Programmierung von F-Systemen
finden Sie:
● für S7 Distributed Safety im "Getting Started S7 Distributed Safety"
(http://support.automation.siemens.com/WW/view/de/19810812)
● für S7 Distributed Safety im Handbuch "S7 Distributed Safety, Projektieren und
Programmieren" (http://support.automation.siemens.com/WW/view/de/22099875)
● für S7 F/FH Systems im Handbuch "S7 F/FH Systems, Projektieren und Programmieren"
(http://support.automation.siemens.com/WW/view/de/2201072)

6.2 Projektieren der F-CPU

Projektierung
Die F-CPU wird im Hardware Katalog von HW Konfig innerhalb des Bereichs der anderen
CPUs S7-300 bzw. S7-400 aufgeführt.
Die F-CPU wird nach dem gleichen Schema wie Standard-CPUs projektiert. Nachdem die F-
CPU in der Konfigurationstabelle platziert wurde, erreicht man den Projektierdialog mit dem
Menübefehl Bearbeiten > Objekteigenschaften oder durch Doppelklick auf die F-CPU.
Im Register "Schutz" muss die Schutzstufe 1, das CPU-Passwort und die Option "CPU
enthält Sicherheitsprogramm" projektiert werden.
Im Unterschied zu S7 F/FH Systems gibt es für die S7 Distributed Safety-CPU außerdem ein
spezielles, F-relevantes Register "F-Parameter ".

Sicherheitstechnik in SIMATIC S7
122 Systemhandbuch, 07/2013, A5E00109528-07
Projektieren von F-Systemen
6.2 Projektieren der F-CPU

Beispiel für die Projektierung einer F-CPU für S7 Distributed Safety


Das folgende Bild zeigt das F-relevante Register für eine CPU 319F-3PN/DP.
Die Deaktivierbarkeit des Sicherheitsbetriebs kann freigegeben oder gesperrt werden. Bei
Sperrung ist die Deaktivierung generell nicht mehr möglich.
S7 Distributed Safety vergibt automatisch die PROFIsafe-Adressen. Die Information "Basis
für die PROFIsafe-Adressen" ist für die interne Verwaltung der PROFIsafe-Adressen des F-
Systems erforderlich. Die PROFIsafe-Adressen dienen der eindeutigen Identifikation von
Quelle und Ziel.
Des Weiteren reserviert der Anwender CPU-Ressourcen (F-Datenbereiche,
F-Funktionsbausteine und F-Lokaldaten) für das Sicherheitspogramm.
Die Erläuterung der Parameter finden Sie in der kontextsensitiven Onlinehilfe zum Register
und im Handbuch "S7 Distributed Safety, Projektieren und Programmieren"
(http://support.automation.siemens.com/WW/view/de/22099875).

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 123
Projektieren von F-Systemen
6.3 Projektieren der F-Peripherie

6.3 Projektieren der F-Peripherie

Projektieren wie im Standard


Die F-Peripherie wird immer nach dem gleichen Schema projektiert:
Nachdem die F-Peripherie im Stationsfenster von HW Konfig platziert wurde, erreicht man
den Projektierdialog mit dem Menübefehl Bearbeiten > Objekteigenschaften oder durch
Doppelklick auf die F-Peripherie.

Beispiel für die Projektierung von F-Peripherie


Das folgende Bild zeigt das F-relevante Register für ein fehlersicheres Modul 4/8 F-
DI DC24V PROFIsafe. Die Werte in den grau hinterlegten Feldern werden automatisch von
der Optionssoftware vergeben. Die Werte in den weißen Feldern können vom Anwender
geändert werden.
Die Erläuterung der Parameter finden Sie in der kontextsensitiven Onlinehilfe zum Register
und im Handbuch "Dezentrales Peripheriesystem ET 200S, Fehlersichere Module"
(http://support.automation.siemens.com/WW/view/de/12490437).

Sicherheitstechnik in SIMATIC S7
124 Systemhandbuch, 07/2013, A5E00109528-07
Projektieren von F-Systemen
6.4 Projektieren von fehlersicheren DP-Normslaves, fehlersicheren IO-Normdevices und fehlersicheren PA-Feldgeräten

6.4 Projektieren von fehlersicheren DP-Normslaves, fehlersicheren IO-


Normdevices und fehlersicheren PA-Feldgeräten

Voraussetzung
Voraussetzung für den Einsatz von fehlersicheren DP-Normslaves für S7 Distributed Safety
und S7 F/FH Systems ist, dass diese Normslaves am PROFIBUS DP sind und das Busprofil
PROFIsafe unterstützen. Fehlersichere DP-Normslaves, die in Mischkonfigurationen am
PROFIBUS DP und PROFINET IO nach IE/PB Links eingesetzt werden, müssen das
Busprofil PROFIsafe im V2-Mode unterstützen.
Voraussetzung für den Einsatz von fehlersicheren IO-Normdevices für S7 Distributed Safety
ist, dass diese Normdevices am PROFINET IO sind und das Busprofil PROFIsafe im V2-
MODE unterstützen.
Voraussetzung für den Einsatz von fehlersicheren PA-Feldgeräten für S7 F/FH Systems ist,
dass sie Feldgeräte am PROFIBUS PA sind und das Busprofil PROFIsafe unterstützen.

Projektierung mit GSD-Dateien


Grundlage der Projektierung der fehlersicheren DP-Normslaves/IO-
Normdevices/PA-Feldgeräte ist – wie im Standard - die Spezifikation des Gerätes in der
GSD-Datei (Generic Station Description).
In einer GSD-Datei sind alle Eigenschaften eines DP-Normslaves/IO-
Normdevices/PA-Feldgerätes hinterlegt. Für fehlersichere DP-Normslaves/IO-
Normdevices/PA-Feldgerätes sind Teile der Spezifikation durch CRC gesichert.
Die GSD-Dateien werden von den Geräteherstellern mitgeliefert. Der Anwender importiert
die GSD-Dateien in sein Projekt (siehe Onlinehilfe STEP 7). Nach dem Import ist der
fehlersichere DP-Normslave/das fehlersichere IO-Normdevice/PA-Feldgerät im Hardware
Katalog von HW Konfig anwählbar.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 125
Projektieren von F-Systemen
6.4 Projektieren von fehlersicheren DP-Normslaves, fehlersicheren IO-Normdevices und fehlersicheren PA-
Feldgeräten

Beispiel für die Projektierung von fehlersicheren DP-Normslaves


Das folgende Bild zeigt als Beispiel das F-relevante Register für einen fehlersicheren DP-
Normslave. Im Register "PROFIsafe" unter "Parametername" sind die in der GSD-Datei
spezifizierten Texte der Parameter enthalten, unter "Wert" der jeweils zugehörige, aktuelle
Wert. Dieser Wert kann über die Schaltfläche "Wert ändern... " verändert werden.
Die Erläuterung der Parameter finden Sie in der kontextsensitiven Onlinehilfe zum Register,
im Handbuch "S7 Distributed Safety, Projektieren und Programmieren"
(http://support.automation.siemens.com/WW/view/de/22099875) und im Handbuch "S7 F/FH
Systems, Projektieren und Programmieren"
(http://support.automation.siemens.com/WW/view/de/2201072).

Sicherheitstechnik in SIMATIC S7
126 Systemhandbuch, 07/2013, A5E00109528-07
Programmieren von F-Systemen 7
7.1 Einleitung

Programmierung mit Standard-Programmiersprachen


Die Programmierung von fehlersicheren Systemen S7 Distributed Safety und
S7 F/FH Systems erfolgt mit Standard-Programmiersprachen von STEP 7.

In diesem Kapitel
Dieses Kapitel beinhaltet die Beschreibung der Programmstruktur und der Elemente des
Sicherheitsprogramms.
Da ein wesentlicher Unterschied zwischen S7 Distributed Safety und S7 F/FH Systems in
ihrer Programmierung liegt, wird die Programmstruktur der Sicherheitsprogramme
nachfolgend in eigenen Kapiteln behandelt.

Weitere Informationen
Die Vorgehensweise zur Programmierung des Sicherheitsprogramms ist ausführlich
beschrieben:
● für S7 Distributed Safety im Handbuch "S7 Distributed Safety, Projektieren und
Programmieren" (http://support.automation.siemens.com/WW/view/de/22099875)
● für S7 F/FH Systems im Handbuch "S7 F/FH Systems, Projektieren und Programmieren"
(http://support.automation.siemens.com/WW/view/de/2201072)

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 127
Programmieren von F-Systemen
7.2 Programmiersprachen für F-Systeme

Schematischer Aufbau eines Projekts mit Standard-Anwenderprogramm und Sicherheitsprogramm


Im folgenden Bild ist der schematische Aufbau eines STEP 7-Projekts im PG/ES mit
Standard-Anwenderprogramm und Sicherheitsprogramm für S7 Distributed Safety und S7
F/FH Systems dargestellt.

Bild 7-1 Schematischer Aufbau eines STEP 7-Projekts

Unterschiede zwischen S7 Distributed Safety und S7 F/FH Systems


S7 Distributed Safety und S7 F/FH Systems unterscheiden sich in der Programmierung
durch die einsetzbaren Programmiersprachen und die Integration von fehlersicheren
Bausteinen aus F-Bibliotheken in das Sicherheitsprogramm.

Sicherheitstechnik in SIMATIC S7
128 Systemhandbuch, 07/2013, A5E00109528-07
Programmieren von F-Systemen
7.2 Programmiersprachen für F-Systeme

7.2 Programmiersprachen für F-Systeme

Anwenderprogramm in der F-CPU


Das Anwenderprogramm in der F-CPU besteht in der Regel aus einem Standard-
Anwenderprogramm und einem Sicherheitsprogramm. Das Standard-Anwenderprogramm
wird mit Standard-Programmiersprachen, z. B. AWL, KOP oder FUP bzw. mit der
Programmiersprache CFC in STEP 7 erstellt.
Für S7 Distributed Safety wird das Sicherheitsprogramm in F-FUP oder F-KOP
programmiert. Für S7 F/FH Systems werden fehlersichere Bausteine einer F-Bibliothek in
CFC verschaltet.
Das Sicherheitsprogramm enthält außerdem fehlersichere Bausteine zur Fehlererkennung
und Fehlerreaktion, die automatisch von der Optionssoftware ergänzt werden. D. h., es wird
sichergestellt, dass Ausfälle und Fehler erkannt werden und dass eine entsprechende
Reaktion ausgelöst wird, welche das F-System in dem sicheren Zustand hält oder es in
einen sicheren Zustand führt.

S7 Distributed Safety: Programmiersprachen F-FUP und F-KOP


Die Programmiersprachen F-FUP und F-KOP entsprechen grundsätzlich dem Standard-
FUP/KOP. Zur Programmierung wird der Standard-FUP-/KOP-Editor in STEP 7 verwendet.
F-FUP und F-KOP unterscheiden sich vom Standard im Wesentlichen durch
Einschränkungen im Operationsvorrat und bei den verwendbaren Datentypen und
Operandenbereichen.

S7 F/FH Systems: Programmiersprache CFC


Das Sicherheitsprogramm wird in eigenen CFC-Plänen aus fehlersicheren Bausteinen
erstellt, die in einer F-Bibliothek mit dem Optionspaket S7 F Systems mitgeliefert werden.

F-Bibliotheken
Für die Programmierung der F-Systeme werden mit den Optionspaketen S7 Distributed
Safety und S7 F Systems mitgeliefert:
● für S7 Distributed Safety die F-Bibliothek Distributed Safety (V1)
● für S7 F/FH Systems die F-Bibliothek S7 F Systems Lib V1_3
Die F-Bibliotheken befinden sich im Verzeichnis step7/s7libs.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 129
Programmieren von F-Systemen
7.3 Programmstruktur des Sicherheitsprogramms in S7 Distributed Safety

7.3 Programmstruktur des Sicherheitsprogramms in S7 Distributed


Safety

Darstellung der Programmstruktur


Das folgende Bild zeigt den schematischen Aufbau eines Sicherheitsprogramms für S7
Distributed Safety. Ein Sicherheitsprogramm besteht zur Strukturierung aus einer oder zwei
F-Ablaufgruppen. Ein Sicherheitsprogramm besteht aus:
● F-Bausteinen, die vom Anwender erstellt oder aus F-Bibliotheken (z. B. F-Bibliothek
Distributed Safety (V1)) ausgewählt werden und
● F-Bausteinen, die automatisch ergänzt werden (F-Systembausteine F-SBs, automatisch
generierte F-Bausteine und der F-Global-DB)

Bild 7-2 Komponenten des Sicherheitsprogramms in S7 Distributed Safety

Sicherheitstechnik in SIMATIC S7
130 Systemhandbuch, 07/2013, A5E00109528-07
Programmieren von F-Systemen
7.3 Programmstruktur des Sicherheitsprogramms in S7 Distributed Safety

Erläuterung der Programmstruktur


Der Einstieg in das Sicherheitsprogramm erfolgt mit dem Aufruf des F-CALL aus dem
Standard-Anwenderprogramm heraus. Der Aufruf des F-CALL erfolgt in einem OB, am
besten in einem Weckalarm-OB (z. B. OB 35).
Weckalarm-OBs haben den Vorteil, dass sie die zyklische Programmbearbeitung im OB 1
des Standard-Anwenderprogramms in festen zeitlichen Abständen unterbrechen. D. h., in
einem Weckalarm-OB wird das Sicherheitsprogramm in festen zeitlichen Abständen
aufgerufen und durchlaufen.
Nach der Abarbeitung des Sicherheitsprogramms wird das Standard-Anwenderprogramm
weiterbearbeitet.

Strukturierung des Sicherheitsprogrammes in F-Ablaufgruppen


Zur besseren Hantierbarkeit besteht ein Sicherheitsprogramm aus einer oder zwei "F-
Ablaufgruppen". Bei einer F-Ablaufgruppe handelt es sich um ein logisches Konstrukt aus
mehreren zusammengehörigen F-Bausteinen.
Eine F-Ablaufgruppe im Sicherheitsprogramm für S7 Distributed Safety besteht aus:
● einem F-Aufrufbaustein F-CALL
● einem F-Programmbaustein F-PB (das ist ein F-FB/F-FC, der dem F-CALL zugewiesen
wird)
● ggf. weiteren F-FBs/F-FCs, die mit F-FUP/F-KOP programmiert werden
● ggf. einem oder mehreren F-DBs
● F-Peripherie-DBs
● F-Bausteinen der F-Bibliothek Distributed Safety (V1)
● F-Bausteinen aus anwendererstellten F-Bibliotheken
● F-Systembausteinen F-SBs
● automatisch generierten F-Bausteinen
Wenn der Anwender sein Sicherheitsprogramm in zwei F-Ablaufgruppen aufteilt, dann
können Teile des Sicherheitsprogramms (eine F-Ablaufgruppe) in einer schnelleren
Ablaufebene ablaufen und es werden schnellere Sicherheitskreise mit kurzen
Reaktionszeiten erreicht.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 131
Programmieren von F-Systemen
7.3 Programmstruktur des Sicherheitsprogramms in S7 Distributed Safety

F-Bausteine einer F-Ablaufgruppe


In einer F-Ablaufgruppe verwendet der Anwender die F-Bausteine der folgenden Tabelle:

Tabelle 7- 1 Fehlersichere Bausteine einer F-Ablaufgruppe

F-Baustein Funktion Erstellsprache


F-CALL F-Baustein für den Aufruf der F-Ablaufgruppe aus dem Standard- F-CALL
Anwenderprogramm heraus. Der F-CALL enthält den Aufruf für den
F-Programmbaustein und die Aufrufe für die automatisch ergänzten
F-Bausteine der F-Ablaufgruppe.
Der F-CALL wird vom Anwender angelegt und ist nicht editierbar.
F-FB/F-FC, Die eigentliche Sicherheitsfunktion programmiert der Anwender mit F-FUP / F-KOP
F-PB Hilfe von F-FUP oder F-KOP. Einstieg in die F-Programmierung ist der
F-Programmbaustein. Der F-PB ist ein F-FC oder F-FB (mit Instanz-
DB), der durch die Zuordnung zum F-CALL zum F-PB wird. Im F-PB
kann der Anwender:
• das Sicherheitsprogramm mit F-FUP oder F-KOP programmieren
• weitere erstellte F-FBs/F-FCs zur Strukturierung des
Sicherheitsprogramms aufrufen
• F-Bausteine des Bausteincontainers F-Application Blocks
(F-Applikationsbausteine) aus der F-Bibliothek Distributed Safety
(V1) einfügen
• F-Bausteine aus "anwendererstellten F-Bibliotheken" einfügen
Innerhalb des F-PB bestimmt der Anwender die Aufrufreihenfolge der
F-Bausteine.
F-DB Vom Anwender optional einsetzbare fehlersichere Datenbausteine, auf F-DB
die innerhalb des gesamten Sicherheitsprogramms lesend und
schreibend zugegriffen werden kann.
F- Zu jeder F-Peripherie wird beim Übersetzen in HW Konfig automatisch -
Peripherie- ein F-Peripherie-DB erzeugt. Auf die Variablen des F-Peripherie-DB
DB kann oder muss der Anwender im Zusammenhang mit F-
Peripheriezugriffen zugreifen.

Sicherheitstechnik in SIMATIC S7
132 Systemhandbuch, 07/2013, A5E00109528-07
Programmieren von F-Systemen
7.3 Programmstruktur des Sicherheitsprogramms in S7 Distributed Safety

F-Bausteine der F-Bibliothek Distributed Safety (V1)


Die F-Bibliothek Distributed Safety (V1) enthält:
● im Bausteincontainer F-Application Blocks\Blocks F-Applikationsbausteine
● im Bausteincontainer F-System Blocks\Blocks F-Systembausteine und den F-Global-DB
Die Bausteincontainer enthalten die F-Bausteine der folgenden Tabelle:

Tabelle 7- 2 Fehlersichere Bausteine der F-Bibliothek Distributed Safety (V1)

Bausteincontainer ... enthält F-Bausteine Funktion/F-Bausteine


für
F-Application Blocks Bausteincontainer, der die F-Applikationsbausteine
enthält, die vom Anwender im F-PB/F-FBs/F-FCs
aufgerufen werden können
Sicherheitsgerichtete F-Applikationsbausteine zur sicherheitsgerichteten
CPU-CPU- CPU-CPU-Kommunikation:
Kommunikation
• F_RCVDP und F_RCVS7 zum Empfang der
Daten bei sicherheitsgerichteter CPU-CPU-
Kommunikation
• F_SENDDP und F_SENDS7 zum Senden der
Daten bei sicherheitsgerichteter CPU-CPU-
Kommunikation
Quittierung F-Applikationsbaustein F_ACK_OP für eine
fehlersichere Quittierung über ein Bedien- und
Beobachtungssystem
F-Applikationsbaustein F_ACK_GL für eine globale
Quittierung aller F-Peripherien einer
F-Ablaufgruppe
Zeiten und F-Applikationsbausteine F_TP, F_TON, F_TOF;
Zähler F-Bausteine F_CTU, F_CTD, F_CTUD
Skalierung F-Applikationsbaustein F_SCA_I
1oo2 (2v2)-Auswertung F-Applikationsbaustein F_1oo2DI
mit Diskrepanzanalyse
Vorgefertigte F-Applikationsbausteine für z. B.
F-Funktionen Zweihandüberwachung, Muting, NOT-AUS,
Schutztürüberwachung, Rückführkreisüberwachung
Datenkonvertierung F-Applikationsbausteine F_BO_W, F_W_BO
Kopieren F-Applikationsbausteine F_INT_WR, F_INT_RD
Schiebeoperationen F-Applikationsbausteine F_SHL_W, F_SHR_W

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 133
Programmieren von F-Systemen
7.3 Programmstruktur des Sicherheitsprogramms in S7 Distributed Safety

Bausteincontainer ... enthält F-Bausteine Funktion/F-Bausteine


für
F-System Blocks Bausteincontainer, der die F-Systembausteine (F-
SBs) und den F-Global-DB enthält, die automatisch
im Sicherheitsprogramm eingefügt werden
F-Systembausteine Die F-Systembausteine (F-SBs) werden von der
Optionssoftware S7 Distributed Safety beim
Generieren des Sicherheitsprogramms automatisch
eingefügt, um aus dem vom Anwender
programmierten Sicherheitsprogramm ein
ablauffähiges Sicherheitsprogramm zu erzeugen.
Der Anwender darf F-Systembausteine aus dem
Bausteincontainer F-System Blocks nicht in einen
F-PB/F-FB/F-FC einfügen und weder in der F-
Bibliothek Distributed Safety (V1) noch in dem
Bausteincontainer des Anwenderprojekts verändern
(umbenennen) oder löschen!
F-Global-DB Fehlersicherer Datenbaustein, der alle globalen
Daten des Sicherheitsprogramms und zusätzliche
Informationen enthält, die das F-System benötigt.
Der F-Global-DB wird beim Generieren des
Sicherheitsprogramms automatisch eingefügt und
erweitert. Über seinen symbolischen Namen
F_GLOBDB kann der Anwender bestimmte Daten
des Sicherheitsprogramms im Standard-
Anwenderprogramm auswerten.

Sicherheitstechnik in SIMATIC S7
134 Systemhandbuch, 07/2013, A5E00109528-07
Programmieren von F-Systemen
7.4 Programmstruktur des Sicherheitsprogramms in S7 F/FH Systems

7.4 Programmstruktur des Sicherheitsprogramms in S7 F/FH Systems

Darstellung der Programmstruktur


Das folgende Bild zeigt den schematischen Aufbau eines Sicherheitsprogramms für
S7 F/FH Systems. Ein Sicherheitsprogramm besteht aus CFC-Plänen mit fehlersicheren
Bausteinen, die F Ablaufgruppen zugeordnet sind.

Bild 7-3 Komponenten des Sicherheitsprogramms in S7 F/FH Systems

Erläuterung der Programmstruktur


Das Sicherheitsprogramm enthält F-Ablaufgruppen und ihnen zugeordnete Pläne. Die Pläne
enthalten F-Bausteine mit ihrer Parametrierung und Verschaltung.
Die F-Ablaufgruppen werden vom Anwender am Anfang einer Task (Weckalarm-OBs OB 30
bis OB 38) eingefügt. Alle F-Ablaufgruppen einer Task sind in einer gemeinsamen
F-Abschaltgruppe zusammengefasst, sofern es vom Anwender nicht anders programmiert
wird.
Weckalarm-OBs haben den Vorteil, dass sie die zyklische Programmbearbeitung im OB 1
des Standard-Anwenderprogramms in festen zeitlichen Abständen unterbrechen. D. h., in
einem Weckalarm-OB wird das Sicherheitsprogramm in festen zeitlichen Abständen
aufgerufen und durchlaufen.
Der Weckalarm-OB kann auch Standard-Ablaufgruppen enthalten.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 135
Programmieren von F-Systemen
7.4 Programmstruktur des Sicherheitsprogramms in S7 F/FH Systems

F-Ablaufgruppen
Bei der Programmierung des Sicherheitsprogramms darf der Anwender F-Bausteine nicht
direkt in Tasks (OBs) einfügen. Zuerst sollte eine F-Ablaufgruppe erzeugt werden, in die der
Anwender dann die F-Bausteine einfügt. Eine F-Ablaufgruppe wird erst dann eine F-
Ablaufgruppe, wenn in ihr F-Bausteine aufgerufen werden. Solange die F-Ablaufgruppe leer
ist, erscheint sie als Standard-Ablaufgruppe. Das Sicherheitsprogramm besteht aus
mehreren F-Ablaufgruppen.

F-Abschaltgruppen
Eine F-Abschaltgruppe bildet eine abgeschlossene Einheit des Sicherheitsprogramms. Eine
F-Abschaltgruppe enthält Anwenderlogik, die gleichzeitig ausgeführt oder abgeschaltet wird.
Die F-Abschaltgruppe enthält eine oder mehrere F-Ablaufgruppen, die einer gemeinsamen
Task (OB) zugeordnet sind. Der Anwender kann wählen, ob ein Fehler in der Ausführung
des Sicherheitsprogramms eine vollständige Abschaltung des kompletten
Sicherheitsprogramms (Gesamtabschaltung) oder eine Teilabschaltung, d. h. nur für die
F-Abschaltgruppe, in der der Fehler aufgetreten ist, verursachen soll. Alle F-Kanaltreiber, die
zu einer F-Peripherie gehören, müssen sich in derselben F-Abschaltgruppe befinden.

Fehlersichere Bausteine der F-Bibliothek S7 F Systems Lib V1_3


Die F-Bibliothek S7 F Systems Lib V1_3 enthält folgende Bausteincontainer:
● F-User Blocks
● F-Control Blocks
Die Bausteincontainer enthalten die F-Bausteine der folgenden Tabelle:

Tabelle 7- 3 Fehlersichere Bausteine der F-Bibliothek S7 F Systems Lib V1_3

Bausteincontainer ... enthält F-Bausteine Funktion


F-User Blocks Bausteincontainer, der F-Bausteine
enthält, die vom Anwender in CFC-
Plänen platziert, parametriert und
verschaltet werden können.
F-Kanaltreiber für F-Peripherie
F_CH_BI, F_CH_BO, F_PA_AI, Kanaltreiber für die Ein- und
F_PA_DI, F_CH_DI, F_CH_DO, Ausgangssignale der F-Peripherie
F_CH_AI
Konvertierung F-Bausteine zur Datenkonvertierung
innerhalb des Sicherheitsprogramms,
sowie zum Einbringen von Daten, die
per Anwenderbedienung in das
Sicherheitsprogramm gelangen.
F_BO_FBO, F_I_FI, F_R_FR, Konvertierung von Standard- nach F-
F_TI_FTI Datentypen
F_FBO_BO, F_FI_I, F_FR_R, Konvertierung von F- nach Standard-
F_FTI_TI Datentypen
F_FR_FI, F_FI_FR Konvertierung von F- nach F-Datentyp
F_CHG_R, F_CHG_BO Safety Data Write
F_QUITES Fehlersichere Quittierung über ein
Bedien- und Beobachtungssystem

Sicherheitstechnik in SIMATIC S7
136 Systemhandbuch, 07/2013, A5E00109528-07
Programmieren von F-Systemen
7.4 Programmstruktur des Sicherheitsprogramms in S7 F/FH Systems

Bausteincontainer ... enthält F-Bausteine Funktion


F-User Blocks F-Systembausteine
F_S_BO, F_S_R, F_R_BO, F_R_R Kommunikation zwischen F-Abschalt-
gruppen
F_START F-Anlauferkennung
F_PSG_M Markierungsbaustein für F-Abschalt-
gruppen
Impuls- und Zählerbausteine
F_CTUD, F_TP, F_TON, F_TOF IEC Impuls- und Zählerbausteine
F_REPCYC, F_ROT, F_LIM_TI, Impulsbausteine
F_R_TRIG, F_F_TRIG
Kommunikation
F_SENDBO, F_SENDR, F_SDS_BO, F-Bausteine zur sicherheitsgerichteten
F_RCVBO, F_RCVR, F_RDS_BO CPU-CPU-Kommunikation
Vergleichen
F_CMP_R, F_LIM_HL, F_LIM_LL F-Bausteine zum Vergleich zweier
Eingangswerte gleichen Typs
Voterbausteine
F_2oo3DI, F_2oo3AI, F_1oo2AI 2oo3 (2v3)- bzw. 1oo2 (2v2)-
Auswertung mit Diskrepanzanalyse
Mathematische Standardfunktionen F-Bausteine für mathematische
Standardfunktionen wie Arithmetik,
Logik, Multiplexen, etc.
F-Control Blocks F_MOVRWS, F_DIAG, F_CYC_CO, Bausteincontainer, der F-Bausteine
F_PLK, F_PLK_O, F_TEST, enthält, die von S7 F Systems beim
F_TESTC, F_TESTM, F_SHUTDN, Übersetzen des
RTGLOGIC, F_PS_12, F_CHG_WS, Sicherheitsprogramms
... aufgerufen/eingefügt werden, um aus
dem vom Anwender programmierten
Sicherheitsprogramm ein
ablauffähiges Sicherheitsprogramm zu
erzeugen.
F-Bausteine des F-Control Blocks
dürfen vom Anwender nicht in das
Sicherheitsprogramm eingefügt
werden und weder in der F-Bibliothek
noch in dem Bausteincontainer des
Anwenderprojekts verändert
(umbenannt) oder gelöscht werden!

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 137
Programmieren von F-Systemen
7.4 Programmstruktur des Sicherheitsprogramms in S7 F/FH Systems

Sicherheitstechnik in SIMATIC S7
138 Systemhandbuch, 07/2013, A5E00109528-07
Überwachungs- und Reaktionszeiten der F-Systeme A
A.1 Einleitung

In diesem Kapitel
In diesem Kapitel erfahren Sie für S7 Distributed Safety und S7 F/FH Systems,
● welche F-spezifischen Überwachungszeiten Sie projektieren.
● welche Regeln bei der Festlegung der Überwachungszeiten eingehalten werden müssen.
● wo Sie die F-spezifischen Überwachungszeiten eingeben.
● welche Regel für die max. Reaktionszeit einer Sicherheitsfunktion eingehalten werden
muss.

Unterstützung für die Berechnungen


Zur Unterstützung steht Ihnen pro F-System eine Excel-Datei zur Verfügung, mit der Sie die
Laufzeiten der F-Ablaufgruppen bzw. der F-Abschaltgruppen, die F-spezifischen minimalen
Überwachungszeiten und die maximalen Reaktionszeiten für Ihr F-System näherungsweise
berechnen können:
● für S7 Distributed Safety s7fcotia.xls im Internet unter
http://support.automation.siemens.com/WW/view/de/11669702/133100
● für S7 F/FH Systems s7ftimea.xls im Internet unter
http://support.automation.siemens.com/WW/view/de/26091594/133100

Weitere Informationen
Die Überwachungs- und Reaktionszeitberechnungen für den Standardteil in
S7 Distributed Safety und S7 F/FH Systems erfolgen genauso, wie für Standard-
Automatisierungssysteme S7-300 und S7-400 und werden hier nicht betrachtet. Sie finden
die Beschreibung in den Hardware-Handbüchern zu den CPUs.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 139
Überwachungs- und Reaktionszeiten der F-Systeme
A.2 Projektierung der Überwachungszeiten

A.2 Projektierung der Überwachungszeiten

Projektierung der Überwachungszeiten für die F-Systeme


Die Projektierung der Überwachungszeiten für das Sicherheitsprogramm erfolgt in
S7 Distributed Safety und S7 F/FH Systems ähnlich. D. h., Sie geben die
Überwachungszeiten teilweise als Parameter an F-Bausteinen und in STEP 7-Dialogen ein,
wie in den nachfolgenden Kapiteln gezeigt. Für die Überwachung der Kommunikation
zwischen F-CPU und F-Peripherie projektieren Sie die Profisafe-Überwachungszeiten in
HW Konfig in den Objekteigenschaftsdialogen der entsprechenden F-Peripherien.

Regeln für die Projektierung der Überwachungszeiten


Bei der Projektierung der Überwachungszeiten müssen Sie sowohl die Verfügbarkeit als
auch die Sicherheit des F-Systems berücksichtigen:
● Verfügbarkeit: damit die Zeitüberwachungen nicht im fehlerfreien Fall ansprechen,
müssen die Überwachungszeiten ausreichend groß gewählt werden.
● Sicherheit: damit die Fehlertoleranzzeit des Prozesses nicht überschritten wird,
müssen die Überwachungszeiten ausreichend klein gewählt werden.

WARNUNG

Damit Impulse sicher erkannt werden, muss die Zeit zwischen zwei Signalwechseln
(Impulsdauer) größer als die entsprechende Überwachungszeit sein.

Prinzipielle Vorgehensweise zur Projektierung der Überwachungszeiten


Bei der Projektierung der Überwachungszeiten gehen Sie folgendermaßen vor:
1. Projektieren Sie das Standard- bzw. H-System.
Die notwendigen Informationen finden Sie in den zugehörigen Hardware-Handbüchern
und Online-Hilfen.
2. Projektieren Sie die spezifischen Überwachungszeiten des F-Systems im Hinblick auf die
Verfügbarkeit. Die Berechnung der minimalen Überwachungszeit nehmen Sie
näherungsweise mit einer Excel-Datei vor. Sie finden die Excel-Datei:
– für S7 Distributed Safety im Internet unter
http://support.automation.siemens.com/WW/view/de/11669702/133100
– für S7 F/FH Systems im Internet unter
http://support.automation.siemens.com/WW/view/de/26091594/133100
3. Berechnen Sie mit Hilfe der Excel-Datei die maximale Reaktionszeit und kontrollieren Sie,
dass die Fehlertoleranzzeit des Prozesses nicht überschritten wird. Gegebenenfalls
müssen Sie die spezifischen Überwachungszeiten des F-Systems reduzieren.

Sicherheitstechnik in SIMATIC S7
140 Systemhandbuch, 07/2013, A5E00109528-07
Überwachungs- und Reaktionszeiten der F-Systeme
A.3 F-spezifische Überwachungszeiten für S7 Distributed Safety

A.3 F-spezifische Überwachungszeiten für S7 Distributed Safety

Zu projektierende Überwachungszeiten
Folgende Überwachungszeiten müssen Sie für S7 Distributed Safety projektieren:

Überwachung ... F-Baustein/ Parameter siehe Kapitel


in STEP 7
der F-Zykluszeit der Dialog "F-Ablauf- max. Zykluszeit Minimale
F-Ablaufgruppen, die das gruppen Überwachungszeit der
Sicherheitsprogramm enthalten bearbeiten" F-Zykluszeit
(Seite 141)
der sicherheitsgerichteten Dialog Objekt- F_Überwachungs- Minimale
Kommunikation zwischen F-CPU eigenschaften der zeit Überwachungszeit der
und F-Peripherie über PROFIsafe F-Peripherie in sicherheitsgerichteten
(PROFIsafe-Überwachungszeit) HW Konfig Kommunikation
zwischen F-CPU und
F-Peripherie
(Seite 142)
der sicherheitsgerichteten F_SENDDP TIMEOUT Minimale
CPU-CPU-Kommunikation F_RCVDP Überwachungszeit der
sicherheitsgerichteten
F_SENDS7
CPU-CPU-
F_RCVS7 Kommunikation
(Seite 142)

Die Überwachungszeit der sicherheitsgerichteten Kommunikation zwischen


F-Ablaufgruppen muss der Anwender nicht projektieren.

A.3.1 Minimale Überwachungszeit der F-Zykluszeit

Parameter max. Zykluszeit


Die Überwachungszeit der F-Zykluszeit wird im Dialog "F-Ablaufgruppen bearbeiten"
projektiert.
Damit die Überwachung der F-Zykluszeit im fehlerfreien Fall nicht anspricht und die F-CPU
in STOP geht, muss der Parameter "max. Zykluszeit" ausreichend groß gewählt werden.
Verwenden Sie für die Ermittlung der minimalen Überwachungszeit der F-Zykluszeit die
Excel-Datei, die für S7 Distributed Safety zur Verfügung steht. Sie finden die Excel-Datei im
Internet unter http://support.automation.siemens.com/WW/view/de/11669702/133100.
Beachten Sie auch die Kommentare in der Excel-Datei.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 141
Überwachungs- und Reaktionszeiten der F-Systeme
A.3 F-spezifische Überwachungszeiten für S7 Distributed Safety

A.3.2 Minimale Überwachungszeit der sicherheitsgerichteten Kommunikation


zwischen F-CPU und F-Peripherie

PROFIsafe-Überwachungszeit TPSTO
Damit im fehlerfreien Fall die Überwachung nicht anspricht, muss die PROFIsafe-
Überwachungszeit TPSTO ausreichend groß gewählt werden.
Verwenden Sie für die Ermittlung der minimalen Überwachungszeit der
sicherheitsgerichteten Kommunikation zwischen F-CPU und F-Peripherie die Excel-Datei,
die für S7 Distributed Safety zur Verfügung steht. Sie finden die Excel-Datei im Internet unter
http://support.automation.siemens.com/WW/view/de/11669702/133100. Beachten Sie auch
die Kommentare in der Excel-Datei.

Überprüfung, ob PROFIsafe-Überwachungszeit zu klein projektiert wurde


Beachten Sie bitte den entsprechenden Hinweis für S7 F/FH Systems im Kapitel "Minimale
Überwachungszeit der sicherheitsgerichteten Kommunikation zwischen F-CPU und F-
Peripherie (Seite 144)".

A.3.3 Minimale Überwachungszeit der sicherheitsgerichteten CPU-CPU-


Kommunikation

Parameter TIMEOUT an F_SENDDP und F_RCVDP bzw. F_SENDS7 und F_RCVS7


Die Zeitüberwachung erfolgt in den F-Applikationsbausteinen F_SENDDP und F_RCVDP
bzw. F_SENDS7 und F_RCVS7 mit derselben Überwachungszeit. Diese muss an beiden F-
Applikationsbausteinen am Parameter TIMEOUT parametriert werden.
Damit im fehlerfreien Fall die Überwachung nicht anspricht, muss die Überwachungszeit
TIMEOUT ausreichend groß gewählt werden.
Verwenden Sie für die Ermittlung des minimalen Wertes für TIMEOUT die Excel-Datei, die
für S7 Distributed Safety zur Verfügung steht. Sie finden die Excel-Datei im Internet unter
http://support.automation.siemens.com/WW/view/de/11669702/133100. Beachten Sie auch
die Kommentare in der Excel-Datei.

A.3.4 Überwachungszeit der sicherheitsgerichteten Kommunikation zwischen F-


Ablaufgruppen
Die Überwachungszeit für die sicherheitsgerichtete Kommunikation zwischen F-
Ablaufgruppen wird automatisch aus den Werten für die "max. Zykluszeit" ermittelt (Dialog
"F-Ablaufgruppen bearbeiten").
Überwachungszeit = Max. Zykluszeit der 1. F-Ablaufgruppe + Max. Zykluszeit der 2. F-
Ablaufgruppe

Sicherheitstechnik in SIMATIC S7
142 Systemhandbuch, 07/2013, A5E00109528-07
Überwachungs- und Reaktionszeiten der F-Systeme
A.4 F-spezifische Überwachungszeiten für S7 F/FH Systems

A.4 F-spezifische Überwachungszeiten für S7 F/FH Systems

Zu projektierende Überwachungszeiten
Folgende Überwachungszeiten müssen Sie für S7 F/FH Systems projektieren:

Überwachung ... F-Baustein/ Parameter siehe Kapitel ...


in HW Konfig
der F-Zykluszeit jedes F_CYC_CO MAX_CYC "Minimale
Weckalarm-OB, der F- Überwachungszeit der F-
Ablaufgruppen enthält Zykluszeit (Seite 143)"
der sicherheitsgerich- Dialog Objekteigen- F_Überwachungszeit "Minimale
teten Kommunikation schaften der Überwachungszeit der
zwischen F-CPU und F- F-Peripherie in HW sicherheitsgerichteten
Peripherie über Konfig Kommunikation zwischen
PROFIsafe (PROFIsafe- F-CPU und F-Peripherie
Überwachungszeit) (Seite 144)"
der sicherheitsgerich- F_RCVR, F_RCVBO, TIMEOUT "Minimale
teten Kommunikation F_RDS_BO Überwachungszeit der
zwischen F-CPUs F_SENDR, sicherheitsgerichteten
F_SENDBO, Kommunikation zwischen
F_SDS_BO F-CPUs (Seite 145)"
der sicherheitsgerich- F_R_R TIMEOUT "Minimale
teten Kommunikation F_R_BO Überwachungszeit der
zwischen F-Abschalt- sicherheitsgerichteten
gruppen Kommunikation zwischen
F-Abschaltgruppen
(Seite 145)"

A.4.1 Minimale Überwachungszeit der F-Zykluszeit

Parameter MAX_CYC am F_CYC_CO


Die Überwachungszeit der F-Zykluszeit wird am Eingangsparameter MAX_CYC des F-
Bausteins F_CYC_CO parametriert. Beim erstmaligen Übersetzen des S7-Programms
werden Sie aufgefordert, einen Wert für die maximale Zykluszeit "MAX_CYC", die zwischen
zwei Aufrufen des OB vergehen darf, einzugeben.
Wenn Sie die maximale Zykluszeit ändern müssen, dann parametrieren Sie die F-Zykluszeit
am Parameter MAX_CYC des F-Bausteins F_CYC_CO-OB3x im Plan @F_CycCo-OB3x für
die Überwachungszeit des OBx.
Damit die Überwachung der F-Zykluszeit im fehlerfreien Fall nicht anspricht, muss der
Parameter MAX_CYC ausreichend groß gewählt werden.
Verwenden Sie für die Ermittlung des minimalen Wertes für MAX_CYC die Excel-Datei, die
für S7 F/FH Systems zur Verfügung steht. Sie finden die Excel-Datei im Internet unter
http://support.automation.siemens.com/WW/view/de/13711209/133100. Beachten Sie auch
die Kommentare in der Excel-Datei.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 143
Überwachungs- und Reaktionszeiten der F-Systeme
A.4 F-spezifische Überwachungszeiten für S7 F/FH Systems

A.4.2 Minimale Überwachungszeit der sicherheitsgerichteten Kommunikation


zwischen F-CPU und F-Peripherie

PROFIsafe-Überwachungszeit TPSTO
Damit im fehlerfreien Fall die Überwachung nicht anspricht, muss die PROFIsafe-
Überwachungszeit TPSTO ausreichend groß gewählt werden.
Verwenden Sie für die Ermittlung der minimalen Überwachungszeit der
sicherheitsgerichteten Kommunikation zwischen F-CPU und F-Peripherie die Excel-Datei,
die für S7 F/FH Systems zur Verfügung steht. Sie finden die Excel-Datei im Internet unter
http://support.automation.siemens.com/WW/view/de/13711209/133100. Beachten Sie auch
die Kommentare in der Excel-Datei.

Überprüfung, ob PROFIsafe-Überwachungszeit zu klein projektiert wurde

Hinweis
Während der Inbetriebnahme des F-Systems können Sie im laufenden Sicherheitsbetrieb
überprüfen, ob die PROFIsafe-Überwachungszeit zu klein projektiert wurde.
Die Überprüfung der PROFIsafe-Überwachungszeit ist dann sinnvoll, wenn Sie sicher sein
wollen, dass die projektierte Überwachungszeit einen ausreichenden Abstand zur minimalen
Überwachungszeit hat. Dadurch können Sie eventuell sporadisch auftretende
Überwachungszeitfehler vermeiden.
Vorgehensweise:
1. Stecken Sie eine F-Peripherie, die im späteren Anlagenbetrieb nicht benötigt wird.
2. Parametrieren Sie für diese F-Peripherie eine kleinere Überwachungszeit, als für die F-
Peripherien der Anlage.
3. Wenn die zusätzliche F-Peripherie ausfällt und die Diagnose "Überwachungszeit für
Sicherheitstelegramm überschritten" meldet, dann haben Sie die minimal mögliche
PROFIsafe-Überwachungszeit unterschritten.
4. Erhöhen Sie die Überwachungszeit der zusätzlichen F-Peripherie solange, bis die
zusätzliche F-Peripherie gerade nicht mehr ausfällt. Diese Überwachungszeit entspricht
annähernd der minimal möglichen Überwachungszeit.
Bedingungen:
Die zusätzlich zu steckende F-Peripherie muss mit den F-Peripherien, deren PROFIsafe-
Überwachungszeit überprüft werden soll, die folgenden Eigenschaften gemeinsam haben:
• in demselben Baugruppenträger stecken
• Teilnehmer an demselben Subnetz sein
• von F-Treiberbausteinen in derselben F-Abschaltgruppe angesprochen werden
Tipp:
Bei Anlagen, die nach der Inbetriebnahme im laufenden Betrieb geändert/erweitert werden,
kann es sinnvoll sein, die zusätzliche F-Peripherie ständig gesteckt zu lassen. Man erhält
dann bei Veränderungen des Zeitverhaltens frühzeitig eine Warnung durch diese F-
Peripherie, so dass eine Abschaltung des Prozesses durch die F-Peripherie im Prozess
vermieden wird.

Sicherheitstechnik in SIMATIC S7
144 Systemhandbuch, 07/2013, A5E00109528-07
Überwachungs- und Reaktionszeiten der F-Systeme
A.4 F-spezifische Überwachungszeiten für S7 F/FH Systems

A.4.3 Minimale Überwachungszeit der sicherheitsgerichteten Kommunikation


zwischen F-CPUs

Parameter TIMEOUT an F_SENDR/F_RCVR, F_SENDBO/F_RCVBO bzw. F_SDS_BO/F_RDS_BO


Die Zeitüberwachung erfolgt in den F-Bausteinen F_SENDR/F_RCVR,
F_SENDBO/F_RCVBO bzw. F_SDS_BO/F_RDS_BO mit derselben Überwachungszeit.
Diese muss an beiden F-Bausteinen am Eingang TIMEOUT parametriert werden.
Damit im fehlerfreien Fall die Überwachung nicht anspricht, muss die Überwachungszeit
TIMEOUT ausreichend groß gewählt werden.
Verwenden Sie für die Ermittlung der minimalen Überwachungszeit der
sicherheitsgerichteten Kommunikation zwischen F-CPUs die Excel-Datei, die für S7 F/FH
Systems zur Verfügung steht. Sie finden die Excel-Datei im Internet unter
http://support.automation.siemens.com/WW/view/de/13711209/133100. Beachten Sie auch
die Kommentare in der Excel-Datei.

A.4.4 Minimale Überwachungszeit der sicherheitsgerichteten Kommunikation


zwischen F-Abschaltgruppen

Parameter TIMEOUT an F_R_BO bzw. F_R_R


Die Zeitüberwachung erfolgt in den F-Bausteinen F_R_BO bzw. F_R_R und wird dort am
Eingangsparameter TIMEOUT parametriert.
Damit im fehlerfreien Fall die Überwachung im F_R_BO bzw. F_R_R nicht anspricht, muss
die Überwachungszeit TIMEOUT ausreichend groß gewählt werden.
Verwenden Sie für die Ermittlung der minimalen Überwachungszeit der
sicherheitsgerichteten Kommunikation zwischen F-Abschaltgruppen die Excel-Datei, die für
S7 F/FH Systems zur Verfügung steht. Sie finden die Excel-Datei im Internet unter
http://support.automation.siemens.com/WW/view/de/13711209/133100. Beachten Sie auch
die Kommentare in der Excel-Datei.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 145
Überwachungs- und Reaktionszeiten der F-Systeme
A.5 Reaktionszeiten von Sicherheitsfunktionen

A.5 Reaktionszeiten von Sicherheitsfunktionen

Definition Reaktionszeit
Die Reaktionszeit ist die Zeit vom Erkennen eines Eingangssignals bis zur Änderung eines
damit verknüpften Ausgangssignals.

Schwankungsbreite
Die tatsächliche Reaktionszeit liegt zwischen einer minimalen und einer maximalen
Reaktionszeit. Zur Projektierung Ihrer Anlage müssen Sie immer mit der maximalen
Reaktionszeit rechnen.

Regel für die maximale Reaktionszeit einer Sicherheitsfunktion


Die maximale Reaktionszeit einer Sicherheitsfunktion muss kleiner als die Fehlertoleranzzeit
des Prozesses sein.

Definition Fehlertoleranzzeit eines Prozesses


Die Fehlertoleranzzeit eines Prozesses ist das Zeitintervall, innerhalb dessen der Prozess
sich selbst überlassen bleiben kann, ohne dass Schaden für Leib und Leben des
Bedienungspersonals oder für die Umwelt entsteht.
Innerhalb der Fehlertoleranzzeit kann das den Prozess steuernde F-System beliebig
steuern, d. h. auch falsch oder gar nicht. Die Fehlertoleranzzeit eines Prozesses hängt von
der Art des Prozesses ab und muss individuell festgelegt werden.

Vorgehensweise zur Reaktionszeitberechnung


Zur Berechnung der maximalen Reaktionszeit einer Sicherheitsfunktion steht Ihnen pro F-
System eine Excel-Datei zur Verfügung:
● für S7 Distributed Safety im Internet unter
http://support.automation.siemens.com/WW/view/de/11669702/133100
● für S7 F/FH Systems im Internet unter
http://support.automation.siemens.com/WW/view/de/13711209/133100
Berechnen Sie mit Hilfe der Excel-Datei näherungsweise die maximale Reaktionszeit der
Sicherheitsfunktion und kontrollieren Sie, dass die Fehlertoleranzzeit des Prozesses nicht
überschritten wird.
Ggf. müssen Sie die spezifischen Überwachungszeiten des F-Systems reduzieren (siehe
Kapitel "F-spezifische Überwachungszeiten für S7 Distributed Safety (Seite 141)" und "F-
spezifische Überwachungszeiten für S7 F/FH Systems (Seite 143)").

Sicherheitstechnik in SIMATIC S7
146 Systemhandbuch, 07/2013, A5E00109528-07
Glossar

1oo1 (1v1)-Auswertung
Art der -> Geberauswertung - Bei der 1oo1 (1v1)-Auswertung ist der Geber einmal
vorhanden und wird 1-kanalig an die -> F-Peripherie angeschlossen.

1oo2 (2v2)-Auswertung
Art der -> Geberauswertung - Bei der 1oo2 (2v2)-Auswertung werden zwei Eingangskanäle
belegt, durch einen zweikanaligen Geber oder zwei einkanalige Geber. Die Eingangssignale
werden intern auf Gleichheit (Äquivalenz) bzw. auf Ungleichheit (Antivalenz) verglichen.

2oo3 (2v3)-Auswertung
Art der -> Geberauswertung - Bei der 2oo3 (2v3)-Auswertung werden drei Eingangskanäle
durch einkanalige Geber belegt. Die Eingangssignale werden im Sicherheitsprogramm mit
einem F_2ooAI-Baustein in S7 F Systems einer 2oo3 (2v3)-Auswertung unterzogen.

Aktor
Aktoren sind z. B. Leistungsrelais oder Schütze zum Einschalten der Verbrauchermittel oder
Verbrauchermittel selbst (z. B. direkt angesteuerte Magnetventile).

Anlauf des F-Systems


Beim STOP-RUN-Übergang einer -> F-CPU erfolgt der Anlauf des -> Standard-
Anwenderprogramms wie gewohnt. Beim Anlauf des -> Sicherheitsprogramms werden:
● für S7 Distributed Safety: alle Datenbausteine mit -> F-Attribut
● für S7 F/FH Systems: alle Datenbausteine mit -> F-Attribut
● mit den Werten aus dem Ladespeicher initialisiert (wie bei einem Kaltstart). Dadurch
gehen gespeicherte Fehlerinformationen verloren. Das -> F-System führt eine
automatische -> Wiedereingliederung der -> F-Peripherie durch.
Im Unterschied zum Standard-Anwenderprogramm können die Anlauf-OBs (OB 100 bis
102) im Sicherheitsprogramm nicht verwendet werden.

Antivalenzsensor
Ein Antivalenzsensor oder antivalenter -> Geber ist ein Wechselschalter, der in -
> fehlersicheren Systemen (2-kanalig) an zwei Eingänge einer -> F-Peripherie
angeschlossen wird (bei -> 1oo2 (2v2)-Auswertung der Gebersignale).

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 147
Glossar

Anwendererstellte F-Bibliotheken
S7 Distributed Safety: vom Anwender erstellte F-Bibliotheken mit F-FBs, F-FCs und
Applikationsvorlagen (Netzwerkvorlagen).

Anwendersicherheitsfunktion
Die -> Sicherheitsfunktion für den Prozess kann durch eine Anwendersicherheitsfunktion
oder eine Fehlerreaktionsfunktion erbracht werden. Der Anwender programmiert nur die
Anwendersicherheitsfunktion. Wenn das -> F-System im Fehlerfall die eigentliche
Anwendersicherheitsfunktion nicht mehr ausführen kann, führt es die Fehlerreaktionsfunktion
aus: z. B. die zugehörigen Ausgänge werden abgeschaltet und ggf. geht die -> F-CPU in
STOP.

automatisch generierte F-Bausteine


S7 Distributed Safety: -> F-Bausteine, die beim Generieren des -> Sicherheitsprogramms
automatisch erzeugt und ggf. aufgerufen werden, um aus dem vom Anwender
programmierten Sicherheitsprogramm ein ablauffähiges Sicherheitsprogramm zu erzeugen.

CFC
Continuous Function Chart
1. Funktionsplan (CFC-Plan) mit der grafischen Verschaltung technologischer Funktionen
(Bausteine).
2. Ein Software-Paket (CFC-Editor) zur technologieorientierten, grafischen Projektierung der
Automatisierungsaufgabe. Mit dem CFC wird aus vorgefertigten Bausteinen eine
Gesamt-Softwarestruktur (CFC-Plan) erstellt.

CFC-Plan
Ein CFC-Plan besteht aus bis zu 26 Teilplänen mit jeweils 6 Blättern. Auf einem CFC-Plan
werden Funktionen (Bausteine) verschaltet und parametriert.

CiR
CiR (Configuration im RUN) steht für Anlagenänderung im laufenden Betrieb. Mit Hilfe einer
Anlagenänderung im laufenden Betrieb mittels CiR ist es möglich, in Anlagenteilen mit
dezentraler Peripherie Konfigurationsänderungen im RUN durchzuführen. Dabei wird die
Prozessbearbeitung für eine kleine, parametrierbare Zeitspanne angehalten. Während
dieser Zeit behalten die Prozesseingänge ihren letzten Wert.

CRC
Cyclic Redundancy Check -> Prüfwert CRC

Sicherheitstechnik in SIMATIC S7
148 Systemhandbuch, 07/2013, A5E00109528-07
Glossar

DB für F-Ablaufgruppen
kommunikation
S7 Distributed Safety: -> F-DB für die sicherheitsgerichtete Kommunikation zwischen F-
Ablaufgruppen eines Sicherheitsprogramms.

deaktivierter Sicherheitsbetrieb
zeitweises Ausschalten des -> Sicherheitsbetriebs für Testzwecke, Inbetriebsetzung, etc.
Während des deaktivierten Sicherheitsbetriebs muss die Sicherheit der Anlage durch andere
organisatorische Maßnahmen, z. B. beobachteter Betrieb und manuelle
Sicherheitsabschaltung, sichergestellt werden.

Depassivierung
-> Wiedereingliederung

Diskrepanzanalyse
Die Diskrepanzanalyse auf Äquivalenz/Antivalenz wird bei fehlersicheren Eingaben benutzt,
um aus dem zeitlichen Verlauf zweier Signale gleicher Funktionalität auf Fehler zu
schließen. Die Diskrepanzanalyse wird gestartet, wenn bei zwei zusammengehörigen
Eingangssignalen unterschiedliche Pegel (bei Prüfung auf Antivalenz: gleiche Pegel)
festgestellt werden. Es wird geprüft, ob nach Ablauf einer parametrierbaren Zeitspanne, der
sog. -> Diskrepanzzeit, der Unterschied (bei Prüfung auf Antivalenz: die Übereinstimmung)
verschwunden ist. Wenn nicht, liegt ein Diskrepanzfehler vor.
Bei fehlersicheren Eingabebaugruppen werden zwei Diskrepanzanalysen unterschieden:
● bei -> 1oo2 (2v2)-Auswertung:
Die Diskrepanzanalyse wird zwischen den beiden Eingangssignalen der -> 1oo2 (2v2)-
Auswertung in der fehlersicheren Eingabebaugruppe durchgeführt.
● bei redundanter Peripherie (nur in S7 FH Systems):
Die Diskrepanzanalyse wird zwischen den beiden Eingangssignalen der redundanten
Eingabebaugruppen durch die fehlersicheren Treiberbausteine der Optionssoftware S7 F
Systems durchgeführt.

Diskrepanzzeit
Parametrierbare Zeit für die -> Diskrepanzanalyse. Wird die Diskrepanzzeit zu hoch
eingestellt, dann werden Fehlererkennungszeit und -> Fehlerreaktionszeit nutzlos verlängert.
Wird die Diskrepanzzeit zu niedrig eingestellt, ist die Verfügbarkeit nutzlos verringert, weil
ohne wirklichen Fehler ein Diskrepanzfehler erkannt wird.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 149
Glossar

DP/DP-Koppler
Gerät zur Kopplung zweier PROFIBUS DP-Subnetze, welches für die ->
sicherheitsgerichtete Master-Master-Kommunikation zwischen -> Sicherheitsprogrammen in
unterschiedlichen -> F-CPUs in S7 Distributed Safety benötigt wird.
An der sicherheitsgerichteten Master-Master-Kommunikation über DP/DP-Koppler sind
(mindestens) zwei F-CPUs beteiligt. Dabei ist jede der beiden F-CPUs über ihre PROFIBUS
DP-Schnittstelle mit dem DP/DP-Koppler verbunden.

Dunkelzeit
Dunkelzeiten entstehen bei Abschalttests und bei vollständigen Bitmustertests. Dabei
werden von der fehlersicheren Ausgabe testbedingte 0-Signale auf den Ausgang geschaltet,
während der Ausgang aktiv ist. Der Ausgang wird daraufhin kurzzeitig abgeschaltet (=
"Dunkelzeit"). Ein hinreichend träger Aktor reagiert darauf nicht und bleibt eingeschaltet.

einkanalig geschaltete Peripherie


Aufbauvariante von S7 FH Systems im -> Sicherheitsbetrieb zur Verfügbarkeitserhöhung. ->
F-CPU ist redundant, -> F-Peripherie ist einfach vorhanden; im Fehlerfall wird auf die andere
F-CPU umgeschaltet. Im Störungsfall ist die F-Peripherie ggf. weiter verfügbar.

einkanalige Peripherie
Aufbauvariante von S7 Distributed Safety/S7 F Systems im -> Sicherheitsbetrieb. -> F-CPU
und -> F-Peripherie sind einfach vorhanden. Im Störungsfall ist die F-Peripherie nicht mehr
verfügbar.

ES
Engineering System (ES): Projektiersystem auf PC-Basis, mit dem auf komfortable, visuelle
Weise das Prozessleitsystem (-> Leitsystem) an die gestellten Aufgaben angepasst wird.

F-Ablaufgruppe
Bei der Programmierung des -> Sicherheitsprogramms dürfen die
-> F-Bausteine nicht direkt in Tasks/OBs, sondern müssen in
F-Ablaufgruppen eingefügt werden. Das Sicherheitsprogramm besteht aus einer oder zwei
(S7 Distributed Safety) bzw. aus mehreren F-Ablaufgruppen (S7 F/FH Systems).

Sicherheitstechnik in SIMATIC S7
150 Systemhandbuch, 07/2013, A5E00109528-07
Glossar

F-Abschaltgruppe
S7 F/FH Systems: Eine F-Abschaltgruppe bildet eine abgeschlossene Einheit des
Sicherheitsprogramms. Eine F-Abschaltgruppe enthält Anwenderlogik, die gleichzeitig
ausgeführt oder abgeschaltet wird. Die F-Abschaltgruppe enthält eine oder mehrere
F-Ablaufgruppen, die einer gemeinsamen Task (OB) zugeordnet sind. Es kann ausgewählt
werden, ob ein Fehler in der Ausführung des Sicherheitsprogramms eine vollständige
Abschaltung des kompletten Sicherheitsprogramms (Gesamtabschaltung) oder eine
Teilabschaltung, d. h. nur für die F-Abschaltgruppe, in der der Fehler aufgetreten ist,
verursachen soll.

F-Application Blocks
S7 Distributed Safety: Bausteincontainer der F-Bibliothek Distributed Safety, der die
F-Applikationsbausteine enthält.

F-Applikationsbausteine
F-Bausteine (F-FBs, F-FCs) mit vorgefertigten Funktionen der F-Bibliothek Distributed
Safety. Die F-Applikationsbausteine können vom Anwender aufgerufen werden im -> F-PB
und in weiteren -> F-FBs und -> F-FCs.

F-Attribut
S7 Distributed Safety: Mit F-Attribut werden alle -> F-Bausteine versehen, die zum ->
Sicherheitsprogramm gehören (im Dialog "Sicherheitsprogramm" durch "F" im Symbol des
F-Bausteins gekennzeichnet). Nach erfolgreichem Übersetzen des -> Sicherheitsprogramms
haben nur die Bausteine des -> Sicherheitsprogramms das F-Attribut.

F-Baugruppentreiber
S7 F/FH Systems: Der F-Baugruppentreiber übernimmt die -> PROFIsafe-Kommunikation
zwischen dem -> Sicherheitsprogramm und der -> F-Peripherie und wird im
Sicherheitsprogramm automatisch platziert und verschaltet.

F-Bausteine
fehlersichere Bausteine des -> Sicherheitsprogramms

F-CALL
S7 Distributed Safety: "F-Aufrufbaustein" für das -> Sicherheitsprogramm. Der F-CALL wird
vom Anwender als FC in der Erstellsprache "F-CALL" angelegt und ist nicht editierbar. Der
F-CALL ruft die -> F-Ablaufgruppe aus dem -> Standard-Anwenderprogramm heraus auf. Er
enthält den Aufruf für den -> F-PB und die Aufrufe für die automatisch ergänzten F-
Bausteine (-> F-SBs, -> automatisch generierte F-Bausteine, -> F-Global-DB) der F-
Ablaufgruppe.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 151
Glossar

F-Control Blocks
S7 F/FH Systems: Bausteincontainer der F-Bibliothek, der -> F-Bausteine enthält, die beim
Übersetzen des -> Sicherheitsprogramms automatisch aufgerufen/eingefügt werden, um aus
dem vom Anwender programmierten Sicherheitsprogramm ein ablauffähiges
Sicherheitsprogramm zu erzeugen.

F-CPU
Eine F-CPU ist eine F-fähige Zentralbaugruppe, die für den Einsatz in S7 Distributed
Safety/S7 F/FH Systems zugelassen ist. Für S7 F/FH Systems erlaubt die S7 F Systems
RT Licence (Copy Licence) dem Anwender, die Zentralbaugruppe als F-CPU einzusetzen, d.
h. ein -> Sicherheitsprogramm darin ablaufen zu lassen. Für S7 Distributed Safety ist keine
Copy Licence erforderlich. In der F-CPU kann außerdem ein -> Standard-
Anwenderprogramm ablaufen.

F-Datentyp
S7 F/FH Systems: -> Standard-Anwenderprogramm und -> Sicherheitsprogramm benutzen
unterschiedliche Datenformate. Im Sicherheitsprogramm werden sicherheitsgerichtete F-
Datentypen verwendet.

F-DBs
S7 Distributed Safety: Optional einsetzbare fehlersichere Datenbausteine, auf die innerhalb
des gesamten -> Sicherheitsprogramms lesend und schreibend zugegriffen werden kann.

Fehlerreaktionsfunktion
-> Anwendersicherheitsfunktion

Fehlerreaktionszeit
Die max. Fehlerreaktionszeit gibt für ein F-System die Zeitdauer vom Auftreten eines
beliebigen Fehlers bis zur sicheren Reaktion an allen betroffenen fehlersicheren Ausgängen
an. Für F-System insgesamt: Die max. Fehlerreaktionszeit gibt die Zeitdauer vom Auftreten
eines beliebigen Fehlers einer beliebigen F-Peripherie bis zur sicheren Reaktion am
zugehörigen fehlersicheren Ausgang an.
Für Eingänge: Die maximale Fehlerreaktionszeit gibt die Zeitdauer vom Auftreten des
Fehlers bis zur sicheren Reaktion am Rückwandbus an.
Für Digitalausgänge: Die maximale Fehlerreaktionszeit gibt die Zeitdauer vom Auftreten des
Fehlers bis zur sicheren Reaktion am Digitalausgang an.

fehlersichere DP-Normslaves
Fehlersichere DP-Normslaves sind Normslaves, die am PROFIBUS mit dem Protokoll DP
betrieben werden. Sie müssen sich nach der Norm IEC 61784-1 Ed3 CP 3/1 und dem
Busprofil PROFIsafe nach IEC 61784-3-3 Ed2 verhalten. Für ihre Projektierung wird eine
GSD-Datei verwendet.

Sicherheitstechnik in SIMATIC S7
152 Systemhandbuch, 07/2013, A5E00109528-07
Glossar

fehlersichere IO-Normdevices
Fehlersichere IO-Normdevices sind Normdevices, die am PROFINET mit dem Protokoll IO
betrieben werden. Sie müssen sich nach den Normen IEC 61784-2 CP 3/5 und CP 3/6 und
IEC 61158 Types 5-10 und 6-10 und dem Busprofil PROFIsafe nach IEC 61784-3-3 Ed2
verhalten. Für ihre Projektierung wird eine GSD-Datei verwendet.

fehlersichere Module
ET 200S- und ET 200pro-Module, die für den sicherheitsgerichteten Betrieb (->
Sicherheitsbetrieb) im dezentralen Peripheriesystem ET 200S bzw. im dezentralen
Peripheriegerät ET 200pro eingesetzt werden können. Diese Module sind mit integrierten ->
Sicherheitsfunktionen ausgestattet. Sie verhalten sich nach der Norm IEC 61784-1 Ed3 CP
3/1 oder nach IEC 61784-2 CP 3/5 und CP 3/6 und IEC 61158 Types 5-10 und 6-10 und
dem Busprofil PROFIsafe nach IEC 61784-3-3 Ed2.

fehlersichere PA-Feldgeräte
Fehlersichere PA-Feldgeräte sind Feldgeräte, die am PROFIBUS mit dem Protokoll PA
betrieben werden. Sie müssen sich nach der Norm IEC 61784-1 Ed1 CP 3/2 und dem
Busprofil PROFIsafe nach IEC 61784-3-3 Ed2 verhalten. Für ihre Projektierung wird eine
GSD-Datei verwendet.

fehlersichere Systeme
Fehlersichere Systeme (F-Systeme) sind dadurch gekennzeichnet, dass sie beim Auftreten
bestimmter Ausfälle im sicheren Zustand bleiben oder unmittelbar in einen anderen sicheren
Zustand übergehen.

fehlersicheres Peripheriemodul
Peripheriemodul ET 200eco, das für den sicherheitsgerichteten Betrieb (->
Sicherheitsbetrieb) in den fehlersicheren Systemen S7 Distributed Safety bzw. S7 F/FH
Systems eingesetzt werden kann. Dieses Peripheriemodul ist mit integrierten ->
Sicherheitsfunktionen ausgestattet.
Diese Module sind mit integrierten -> Sicherheitsfunktionen ausgestattet. Sie verhalten sich
nach der Norm IEC 61784-1 Ed3 CP 3/1 oder nach IEC 61784-2 CP 3/5 und CP 3/6 und IEC
61158 Types 5-10 und 6-10 und dem Busprofil PROFIsafe nach IEC 61784-3-3 Ed2.

Fehlertoleranzzeit
Die Fehlertoleranzzeit eines Prozesses ist das Zeitintervall, innerhalb dessen der Prozess
sich selbst überlassen bleiben kann, ohne dass Schaden für Leib und Leben des
Bedienungspersonals oder für die Umwelt entsteht.
Innerhalb der Fehlertoleranzzeit kann das den Prozess steuernde -> F-System beliebig
steuern, d. h. auch falsch oder gar nicht. Die Fehlertoleranzzeit eines Prozesses hängt von
der Art des Prozesses ab und muss individuell ermittelt werden.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 153
Glossar

F-FBs
S7 Distributed Safety: Fehlersichere Funktionsbausteine (mit Instanz-DBs), in denen der
Anwender das -> Sicherheitsprogramm in -> F-FUP oder -> F-KOP programmiert.

F-FCs
S7 Distributed Safety: Fehlersichere FCs, in denen der Anwender das ->
Sicherheitsprogramm in -> F-FUP oder -> F-KOP programmiert.

F-FUP
Programmiersprache für -> Sicherheitsprogramme in S7 Distributed Safety. Zur
Programmierung wird der Standard-FUP-/KOP-Editor in STEP 7 verwendet.

F-Global-DB
S7 Distributed Safety: Fehlersicherer Datenbaustein, der alle globalen Daten des ->
Sicherheitsprogramms und zusätzliche Informationen enthält, die das F-System benötigt.
Der F-Global-DB wird beim Generieren des -> Sicherheitsprogramms automatisch eingefügt
und erweitert. Über seinen symbolischen Namen F_GLOBDB kann der Anwender bestimmte
Daten des -> Sicherheitsprogramms im -> Standard-Anwenderprogramm auswerten.

F-Kanaltreiber
S7 F/FH Systems: Die F-Kanaltreiber stellen die Prozesswerte im sicheren Datenformat zur
Verfügung und müssen vom Anwender im -> Sicherheitsprogramm platziert und verschaltet
werden.

F-Kommunikations-DBs
S7 Distributed Safety: Fehlersichere Datenbausteine für die sicherheitsgerichtete CPU-CPU-
Kommunikation über S7-Verbindungen.

F-KOP
-> F-FUP

F-Module
-> fehlersichere Module

Sicherheitstechnik in SIMATIC S7
154 Systemhandbuch, 07/2013, A5E00109528-07
Glossar

F-PB
S7 Distributed Safety: "F-Einstiegsbaustein" für die fehlersichere Programmierung des ->
Sicherheitsprogramms. Der F-PB ist ein
-> F-FB oder -> F-FC, der vom Anwender dem -> F-CALL der
-> F-Ablaufgruppe zugeordnet wird.
Der F-PB enthält das F-FUP- bzw. F-KOP-Sicherheitsprogramm, ggf. Aufrufe von weiteren -
> F-FBs/F-FCs zur Programmstrukturierung und ggf. F-Applikationsbausteine aus dem
Bausteincontainer des ->
F-Application Blocks der F-Bibliothek Distributed Safety.

F-Peripherie
Sammelbezeichnung für fehlersichere Ein- und Ausgaben, die in SIMATIC S7 für die
Einbindung in die F-Systeme S7 Distributed Safety und S7 F/FH Systems zur Verfügung
stehen. Sie verhalten sich nach der Norm IEC 61784-1 Ed3 CP 3/1 oder nach IEC 61784-2
CP 3/5 und CP 3/6 und IEC 61158 Types 5-10 und 6-10 und dem Busprofil PROFIsafe nach
IEC 61784-3-3 Ed2.
Es stehen zur Verfügung:
● -> fehlersicheres Peripheriemodul ET 200eco
● fehlersichere Signalbaugruppen S7-300 (-> F-SMs)
● -> fehlersichere Module ET 200S und ET 200pro
● -> fehlersichere DP-Normslaves
● -> fehlersichere IO-Normdevices (nur für S7 Distributed Safety)
● -> fehlersichere PA-Feldgeräte (nur für S7 F/FH Systems)

F-Peripherie-DB
S7 Distributed Safety: Fehlersicherer Datenbaustein zu einer -> F-Peripherie in einer -> F-
CPU S7 Distributed Safety. Zu jeder F-Peripherie wird beim Übersetzen in HW Konfig
automatisch ein F-Peripherie-DB erzeugt. Der F-Peripherie-DB enthält Variablen, die der
Anwender im -> Sicherheitsprogramm auswerten kann bzw. beschreiben kann oder muss:
● für die Wiedereingliederung der F-Peripherie nach Kommunikationsfehlern/F-Peripherie-
/Kanalfehlern
● wenn die F-Peripherie abhängig von bestimmten Zuständen des Sicherheitsprogramms
passiviert werden soll (z. B. Gruppenpassivierung)
● zur Auswertung, ob Ersatz- oder Prozesswerte ausgegeben werden

F-SBs
S7 Distributed Safety: Fehlersichere Systembausteine, die beim Generieren des -
> Sicherheitsprogramms automatisch aufgerufen/ eingefügt werden, um aus dem vom
Anwender programmierten Sicherheitsprogramm ein ablauffähiges Sicherheitsprogramm zu
erzeugen.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 155
Glossar

F-SMs
Signalbaugruppen von S7-300, die für den sicherheitsgerichteten Betrieb (->
Sicherheitsbetrieb) in den fehlersicheren Systemen S7 Distributed Safety bzw. S7 F/FH
Systems eingesetzt werden können. Diese Baugruppen sind mit integrierten ->
Sicherheitsfunktionen ausgestattet.

F-System Blocks
S7 Distributed Safety: Bausteincontainer der Bibliothek Distributed Safety, der die -> F-SBs
und den -> F-Global-DB enthält.

F-Systembausteine
-> F-SB

F-Systeme
-> fehlersichere Systeme

F-Treiberbaustein
Baustein zum Einlesen/Ausgeben von Werten von der/an die -> F-Peripherie. Er bildet die
Software-Schnittstelle zum Prozess, wandelt die physikalischen Werte zu Prozesswerten
(und umgekehrt) und liefert zusätzlich Informationen bezüglich der Verfügbarkeit der
angesprochenen Hardware.
Bei S7 F/FH Systems findet die -> sicherheitsgerichtete Kommunikation über Ein- und
Ausgänge von F-Treiberbausteinen statt. Der Anwender muss spezielle F-Treiberbausteine
in -> CFC-Plänen der -> F-Ablaufgruppe platzieren und verschalten.

F-User Blocks
S7 F/FH Systems: Bausteincontainer der F-Bibliothek S7 F Systems Lib, der -> F-Bausteine
enthält, die vom Anwender in -> CFC-Plänen platziert, parametriert und verschaltet werden
können.

Geber
Geber dienen zum exakten Erfassen von Wegen, Positionen, Geschwindigkeiten,
Drehzahlen, Massen u.a.

Geberauswertung
Man unterscheidet zwei Arten der Geberauswertung:
● -> 1oo1 (1v1)-Auswertung – Gebersignal wird einmal eingelesen
● -> 1oo2 (2v2)-Auswertung – Gebersignal wird zweimal von der gleichen -> F-Peripherie
eingelesen und intern verglichen bzw. alternativ erfolgt die Auswertung im
Sicherheitsprogramm durch einen F-Baustein, der eine -> Diskrepanzanalyse durchführt.

Sicherheitstechnik in SIMATIC S7
156 Systemhandbuch, 07/2013, A5E00109528-07
Glossar

Hellzeit
Hellzeiten entstehen bei vollständigen Bitmustertests. Dabei werden von der fehlersicheren
Ausgabe testbedingte 1-Signale auf den Ausgang geschaltet, während der Ausgang deaktiv
ist (Ausgangssignal "0"). Der Ausgang wird daraufhin kurzzeitig eingeschaltet (= "Hellzeit").
Ein hinreichend träger -> Aktor reagiert darauf nicht und bleibt abgeschaltet.

Kanalfehler
kanalbezogener Fehler, z. B. Drahtbruch oder Kurzschluss.

kanalgranulare Passivierung
Beim Auftreten eines -> Kanalfehlers wird bei dieser Passivierungsart nur der betroffene
Kanal passiviert. Im Fall eines Fehlers in der -> F-Peripherie werden alle Kanäle der F-
Peripherie passiviert.

Kategorie
Kategorie nach ISO 13849-1:2006 bzw. EN ISO 13849-1:2008
Mit -> F-Systemen S7 Distributed Safety und S7 F/FH Systems ist im -> Sicherheitsbetrieb
der Einsatz bis Kategorie 4 möglich.

Leitsystem
Ein Leitsystem ist ein System, das übergeordnete Funktionen von einzelnen verteilten
Steuerungssystemen zusammenfasst und visualisiert.

MSR
Messen, Steuern, Regeln

OBT
Optical Bus Terminal (OBT): Betriebsmittel für den Anschluss eines einzelnen PROFIBUS
DP-Gerätes ohne integrierte optische Schnittstelle oder eines RS 485-Segments an den
optischen PROFIBUS DP.

OP
Operator Panel (OP): Projektierbares Bediengerät zur Bedienung und Überwachung von
Maschinen und Anlagen.

OS
Operator Station (OS): Projektierbare Bedienstation zur Bedienung und Überwachung von
Maschinen und Anlagen.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 157
Glossar

Passivierung
Erkennt eine -> F-Peripherie einen Fehler, so schaltet sie den betroffenen Kanal oder alle
Kanäle in den -> sicheren Zustand; d. h., die Kanäle dieser F-Peripherie werden passiviert.
Die F-Peripherie meldet den erkannten Fehler über die Slave-Diagnose an die -> CPU.
Bei einer F-Peripherie mit Eingängen werden vom -> F-System bei einer Passivierung statt
der an den fehlersicheren Eingängen anstehenden Prozesswerte für das ->
Sicherheitsprogramm Ersatzwerte bereitgestellt.
Bei einer F-Peripherie mit Ausgängen werden vom F-System bei einer Passivierung statt der
vom Sicherheitsprogramm bereitgestellten Ausgabewerte Ersatzwerte (0) zu den
fehlersicheren Ausgängen übertragen.

PCS 7
PCS 7 ist ein Prozessleitsystem, das auf ausgewählten und für den Einsatz in einem
Leitsystem optimierten Komponenten von SIMATIC basiert. Hinzu kommen
Funktionserweiterungen, die vom Engineering bis zum Operating das leitsystemspezifische
Systemverhalten und den in der Prozessleittechnik geforderten Funktionsumfang
gewährleisten.

Performance Level
Performance Level (PL) nach ISO 13849-1:2006 bzw EN ISO 13849-1: 2008

PG
Programmiergerät (PG): Personal Computer in spezieller industrietauglicher und kompakter
Ausführung. Ein PG ist komplett ausgestattet für die Programmierung der SIMATIC-
Automatisierungssysteme

Plausibilitätskontrolle
Überprüfung auf Plausibilität der Signale.
Es muss gewährleistet sein, dass ein Prozesswert innerhalb der durch den Anwender
vorgegebenen Grenzen liegt.
In -> F-Systemen: Der Anwender muss durch eine Plausibilitätskontrolle im -
> Sicherheitsprogramm sicherstellen, dass beim Datentransfer aus einem -> Standard-
Anwenderprogramm in ein Sicherheitsprogramm keine gefährlichen Zustände auftreten
können.

Sicherheitstechnik in SIMATIC S7
158 Systemhandbuch, 07/2013, A5E00109528-07
Glossar

PROFINET IO
Im Rahmen von PROFINET ist PROFINET IO ein Kommunikationskonzept für die
Realisierung modularer, dezentraler Applikationen.
Mit PROFINET IO erstellen Sie Automatisierungslösungen, wie sie Ihnen von PROFIBUS
her bekannt und vertraut sind.
Die Umsetzung von PROFINET IO wird einerseits durch den PROFINET Standard für
Automatisierungsgeräte und andererseits durch das Engineering-Tool STEP 7 realisiert.
Das bedeutet, dass Sie in STEP 7 die gleiche Applikationssicht haben - unabhängig davon,
ob Sie PROFINET-Geräte oder PROFIBUS-Geräte projektieren. Die Programmierung Ihres
Anwenderprogramms ist für PROFINET IO und PROFIBUS DP gleichartig, wenn Sie die für
PROFINET IO erweiterten Bausteine und Systemzustandslisten verwenden.

PROFINET IO-Controller
Gerät, über das angeschlossene IO-Devices angesprochen werden. Das bedeutet: der IO-
Controller tauscht Ein- und Ausgangssignale mit zugeordneten Feldgeräten. Oft handelt es
sich beim IO-Controller um die Steuerung, in der das Automatisierungsprogramm abläuft.

PROFINET IO-Device
Dezentral angeordnetes Feldgerät, das einem der IO-Controller zugeordnet ist (z. B. Remote
IO, Ventilinseln, Frequenzumrichter, Switches)

PROFINET IO-Supervisor
PG/PC oder HMI-Gerät zum Inbetriebnehmen und zur Diagnose.
PROFINET IO-Controller mit zugeordneten PROFINET IO-Devices.

PROFIsafe
Sicherheitsgerichtetes Busprofil von PROFIBUS DP/PA und PROFINET IO nach IEC 61784-
3-3 Ed2 für die Kommunikation zwischen dem -> Sicherheitsprogramm und der ->F-
Peripherie in einem -> F-System.

PROFIsafe-Adresse
Jede -> F-Peripherie hat eine PROFIsafe-Adresse. Die PROFIsafe-Adresse müssen Sie in
STEP 7 HW Konfig projektieren und an der F-Peripherie per Schalter einstellen.

PROFIsafe-Überwachungszeit
Überwachungszeit für die sicherheitsgerichtete Kommunikation zwischen F-CPU und F-
Peripherie

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 159
Glossar

Proof-Test-Intervall
Zeitraum, nach welchem eine Komponente in den fehlerfreien Zustand versetzt werden
muss, d. h., sie wird durch eine unbenutzte Komponente ersetzt oder ihre vollständige
Fehlerfreiheit wird nachgewiesen.

Prüfwert CRC
Die Gültigkeit der im -> Sicherheitstelegramm enthaltenen Prozesswerte, die Korrektheit der
zugeordneten Adressbeziehungen und die sicherheitsrelevanten Parameter werden über
einen im Sicherheitstelegramm enthaltenen Prüfwert CRC abgesichert.

redundant geschaltete Peripherie


Aufbauvariante von S7 FH Systems im -> Sicherheitsbetrieb zur Verfügbarkeitserhöhung. ->
F-CPU, PROFIBUS DP und -> F-Peripherie sind doppelt vorhanden. Im Störungsfall ist die
F-Peripherie ggf. weiter verfügbar.

Redundanz, sicherheitssteigernd
Mehrfaches Vorhandensein von Komponenten mit dem Ziel, Hardware-Fehler durch
Vergleich aufzudecken; z. B. die -> 1oo2 (2v2)-Auswertung in -> F-Peripherie.

Redundanz, verfügbarkeitssteigernd
Mehrfaches Vorhandensein von Komponenten mit dem Ziel, die Funktion der Komponenten
auch im Falle von Hardware-Fehlern aufrecht zu erhalten.

S7 F Systems RT Licence (Copy Licence)


-> F-CPU

S7-PLCSIM
Mit S7-PLCSIM können Sie Ihr Programm auf einem simulierten Automatisierungssystem,
das auf Ihrem PG/PC existiert, bearbeiten und testen. Da die Simulation vollständig in STEP
7 realisiert wird, benötigen Sie keine Hardware (CPU, Peripherie).

Sachverständiger
Die Abnahme einer Anlage, d. h. die sicherheitstechnische Abnahmeprüfung der Anlage wird
in der Regel von einem unabhängigen Sachverständigen (z. B. vom TÜV) durchgeführt.

Sicherheitstechnik in SIMATIC S7
160 Systemhandbuch, 07/2013, A5E00109528-07
Glossar

Sequenznummer
Die zeitliche Überwachung der Telegrammaktualisierung im PROFIsafe-Protokoll erfolgt
durch die Vorgabe einer Sequenznummer von der -> F-CPU an die -> F-Peripherie.
Innerhalb einer parametrierbaren Überwachungszeit muss ein gültiges aktuelles ->
Sicherheitstelegramm bei der F-CPU und der F-Peripherie mit einer gültigen
Sequenznummer angekommen sein. Falls innerhalb der Überwachungszeit keine gültige
Sequenznummer erkannt wird, dann wird die F-Peripherie passiviert.

sicherer Zustand
Grundlage des Sicherheitskonzeptes in -> fehlersicheren Systemen ist, dass für alle
Prozessgrößen ein sicherer Zustand existiert. Bei digitaler -> F-Peripherie ist das immer der
Wert "0".

Sicherheitsbetrieb
1. Betriebsart von -> F-Peripherie, in der -> sicherheitsgerichtete Kommunikation über ->
Sicherheitstelegramme möglich ist. -> Fehlersichere Module ET 200S, ET 200pro und
ET 200eco sind nur für den Sicherheitsbetrieb ausgelegt. -> F-SMs S7-300 können im ->
Standard- oder Sicherheitsbetrieb eingesetzt werden (außer SM 326; DO 8 × DC 24V/2A
und SM 336; F-AI 6 × 4 ... 20 mA HART).
2. Betriebsart des -> Sicherheitsprogramms. Im Sicherheitsbetrieb des
Sicherheitsprogramms sind alle Sicherheitsmechanismen zur Fehlererkennung und
Fehlerreaktion aktiviert. In diesem Zustand ist eine Änderung des Sicherheitsprogramms
im laufenden Betrieb nicht möglich. Der Sicherheitsbetrieb kann vom Anwender
deaktiviert werden (-> deaktivierter Sicherheitsbetrieb).

Sicherheitsfunktion
In -> F-CPU und -> F-Peripherie integrierter Mechanismus, der den Einsatz in -
> fehlersicheren Systemen S7 Distributed Safety oder S7 F/FH Systems ermöglicht.
Nach IEC 61508:2000: Funktion, die von einer Sicherheitseinrichtung implementiert wird, um
im Fall eines bestimmten Fehlers, das System im -> sicheren Zustand zu halten oder es in
einen sicheren Zustand zu bringen (-> Anwendersicherheitsfunktion).

sicherheitsgerichtete Kommunikation
Kommunikation, die dem Austausch von fehlersicheren Daten dient

Sicherheitsklasse
Sicherheits-Integritätslevel (Safety Integrity Level) SIL nach IEC 61508:2000. Je höher der
Safety Integrity Level ist, desto schärfer sind die Maßnahmen zur Vermeidung
systematischer Fehler, sowie zur Beherrschung von systematischen Fehlern und Hardware-
Ausfällen.
Mit -> F-Systemen S7 Distributed Safety und S7 F/FH Systems ist im -> Sicherheitsbetrieb
der Einsatz bis Sicherheitsklasse SIL3 möglich.

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 161
Glossar

Sicherheitsprogramm
sicherheitsgerichtetes Anwenderprogramm

Sicherheitstelegramm
Im -> Sicherheitsbetrieb werden die Daten zwischen -> F-CPU und
-> F-Peripherie bzw. bei sicherheitsgerichteter CPU-CPU-Kommunikation zwischen den F-
CPUs in einem Sicherheitstelegramm übertragen.

Standard-Anwenderprogramm
nicht sicherheitsgerichtetes Anwenderprogramm

Standardbetrieb
Betriebsart von -> F-Peripherie, in der keine -> sicherheitsgerichtete Kommunikation über -
> Sicherheitstelegramme möglich ist, sondern nur -> Standard-Kommunikation.
-> F-SMs S7-300 können im Standard- oder -> Sicherheitsbetrieb eingesetzt werden. -
> Fehlersichere Module ET 200S, ET 200pro und ET 200eco sind nur für den
Sicherheitsbetrieb ausgelegt.

Standard-Kommunikation
Kommunikation, die dem Austausch von nicht sicherheitsgerichteten Daten dient.

Testsignale
Bei -> F-Peripherie mit Ausgängen wird die erforderliche -> Sicherheitsklasse durch die
Aufschaltung von Testsignalen (-> Hellzeit, -> Dunkelzeit) erreicht.

Trennbaugruppe
Die Trennbaugruppe schützt die -> F-SMs im Fehlerfall vor möglichen Überspannungen. Die
Trennbaugruppe muss für SIL3/Kat.4/PLe-Anwendungen eingesetzt werden:
● generell, wenn der PROFIBUS DP mit Kupferkabel aufgebaut wird
● wenn der PROFIBUS DP mit Lichtwellenleiter aufgebaut wird und gemeinsamer Betrieb
von Standard- und -> F-SMs in einer ET 200M erforderlich ist.

Verfügbarkeit
ist die Wahrscheinlichkeit, dass ein System zu einem vorgegebenen Zeitpunkt funktionsfähig
ist. Sie kann durch -> Redundanz erhöht werden, z. B. durch Einsatz redundanter F-
Peripherie und/oder durch Verwendung von mehrfachen -> Gebern an der gleichen
Messstelle.

Sicherheitstechnik in SIMATIC S7
162 Systemhandbuch, 07/2013, A5E00109528-07
Glossar

Wiedereingliederung
Nach einer Fehlerbehebung muss eine Wiedereingliederung (Depassivierung) der -> F-
Peripherie erfolgen. Die Wiedereingliederung (Umschaltung von Ersatzwerten auf
Prozesswerte) erfolgt automatisch oder erst nach einer Anwenderquittierung im
Sicherheitsprogramm.
Nach einer Wiedereingliederung werden bei einer F-Peripherie mit Eingängen wieder die an
den fehlersicheren Eingängen anstehenden Prozesswerte für das -> Sicherheitsprogramm
bereitgestellt. Bei einer F-Peripherie mit Ausgängen werden vom -> F-System wieder die im
Sicherheitsprogramm bereitgestellten Ausgabewerte zu den fehlersicheren Ausgängen
übertragen.

WinCC
WinCC ist ein branchen- und technologieneutrales System zur Lösung von visualisierungs-
und leittechnischen Aufgaben in der Produktions- und Prozessautomatisierung.
WinCC bietet industriegerechte Funktionsmodule zur Grafikdarstellung, zum Melden,
Archivieren und Protokollieren. Mit seiner leistungsfähigen Prozesskopplung, der schnellen
Bildaktualisierung und der sicheren Datenarchivierung gewährleistet es eine hohe
Verfügbarkeit.

Zugriffschutz
-> Fehlersichere Systeme müssen vor gefährlichem, unerlaubtem Zugriff geschützt werden.
Der Zugriffschutz für -> F-Systeme wird realisiert durch die Vergabe von zwei Passwörtern
(für die -> F-CPU und für das -> Sicherheitsprogramm).

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 163
Glossar

Sicherheitstechnik in SIMATIC S7
164 Systemhandbuch, 07/2013, A5E00109528-07
Index

von F-Systemen, 39
Ausbaustufen, 22
Ausgangssignale
1 sicherheitsgerichtete, 16
Auswahlkriterien
1-kanaliger Geber, 107 für ein F-System, 61
1oo1 (1v1)-Auswertung, 106, 108 Automatisierungssystem
1oo2 (2v2)-Auswertung, 106, 110 fehlersicheres, siehe F-System, 15

2 B
2-kanaliger Geber, 107 Bestellnummern
2oo3 (2v3)-Auswertung, 106, 118 Dokumentationspakete, 5
DP/DP-Koppler, 79
Betriebssystem
A Fehlerreaktion, 94
Ablaufgruppe, siehe F-Ablaufgruppe, 69 Betriebszustand Halt, siehe Halt, 96
Abnahme Betriebszustand RUN, siehe RUN, 93
der Anlage, 97 Betriebszustand STOP, siehe STOP, 94
Änderungen gegenüber der Vorgängerversion, 4 Betriebszustände
Anforderungsmodus, 100, 102 des F-Systems, 95
Anlage Betriebszustandswechsel, siehe RUN, 93
abnehmen, 97 Bibliothek, 75
planen, 34 Distributed Safety, 129, 133
Anlauf-OB, 95 PCS 7 Drivers, 77
Anlaufschutz, 95 S7 F Systems Lib, 129, 136
Annex 1, 98 Busprofil PROFIsafe, 19
Antivalenz, 110
Antivalenzsensor, 112
Anwendersicherheitsfunktion, 18 C
Applikationsbaustein CFC, 32, 68, 129
F_RCVDP, 79, 81 CFC-Plan, 135
F_SENDDP, 79, 81 CPU 315F-2 DP
Applikationsvorlage projektieren, 123
grafische, 133 CRC, 93
Aufbau
dezentraler, 50, 53
eines STEP 7-Projekts, 128 D
S7 Distributed Safety, 40
S7 F Systems, 43 Datenaustausch
S7 FH Systems, 45 zwischen Sicherheits- und Standard-
zentraler, 50 Anwenderprogramm, 66
Aufbaubeispiel Datenbaustein, 66
S7 Distributed Safety, 41 Datenformat, 66, 68
S7 F Systems, 44 Datenkonvertierung, 68
S7 FH Systems, 45 Datentransfer
Aufbauvarianten aus Sicherheitsprogramm, 67, 68
abhängig von Verfügbarkeit, 48 aus Standard-Anwenderprogramm, 67, 68

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 165
Index

Datentyp, 68, 79, 81, 129 F_SENDS7, 84


Deaktivierter Sicherheitsbetrieb, 93 F_System Blocks, 134
Dezentrale Peripherie F-Ablaufgruppe, 69, 130, 135
fehlersichere, 16 Max. Zykluszeit, 142
Diagnosedaten, 78 F-Ablaufgruppen, 136
Diagnosedatensatz, 77 F-Abschaltgruppen, 136
Diagnosefunktion, 77 Failsafe Blocks
Diagnosepuffer, 78 Bibliothek, 75
Direktzugriff, 77 F-Anwenderprogramm, siehe Sicherheitsprogramm, 25
Diskrepanzanalyse, 111 F-Aufrufbaustein, siehe F-CALL, 132
Diskrepanzzeit, 111 F-Baugruppentreiber, 75
Distributed Safety F-Baustein, 130
Bibliothek, 129, 133 F_F Datentyp_Datentyp, 68
Dokumentation Mathematische Standardfunktionen (S7 F/FH
weitere, 5 Systems), 137
Dokumentationspakete zur Konvertierung (S7 F/FH Systems), 136
Bestellnummer, 5 F-Bausteine
DP, siehe Dezentrale Peripherie, 16 der Bibliothek Distributed Safety, 133
DP/DP-Koppler, 79 der Bibliothek S7 F Systems Lib, 136
DP-Master, 41, 44, 45 F-Bibliothek, Siehe Bibliothek, 75
DP-Slave, 41, 44, 45 F-CALL, 132
Dunkelzeit, 120 F-Control Blocks, 137
F-CPU, 27
Fehlerreaktion, 94
E Kommunikation zwischen, 23, 78
Passwort für, 96
Eingangssignale
projektieren, 122
sicherheitsgerichtete, 16
F-Datenbaustein, siehe F-DB, 132
Einkanalig geschaltete Peripherie, 48, 57
F-Datentyp, 68
Grenzen der Verfügbarkeit, 58
F-DB, 132
Einkanalige Peripherie, 48, 49, 54
Fehlerquittierung, 73, 76
Grenzen der Verfügbarkeit, 54, 57
Fehlerreaktion
Einsatzbereich
im Sicherheitsprogramm, 23, 61, 94
S7 Distributed Safety, 20
in F-CPU und Betriebssystem, 94
S7 F/FH Systems, 21
Fehlerreaktionsfunktion, 18
EM 4/8 F-DI DC24V
Fehlersichere Dezentrale Peripherie, 16
projektieren, 124
Fehlersichere Module, siehe F-Module, 29, 30
Ersatzwert, 73, 76
Fehlersichere Peripherie, siehe F-Peripherie, 25
ET 200M, 27, 28
Fehlersichere Signalbaugruppen, 77
Einschränkungen, 29
Fehlersichere Signalbaugruppen, siehe F-SM, 27, 28
ET 200pro
Fehlersicherer DP-Normslave, 30
fehlersichere Module, 29
projektieren, 125
ET 200S
Fehlersicherer I/O-Normdevice
fehlersichere Module, 29, 30
projektieren, 125
Fehlersicheres Automatisierungssystem, siehe F-
System, 15
F
Fehlersicheres System, siehe F-System, 15
F_Application Blocks, 133 Fehlertoleranzzeit, 146
F_F Datentyp_Datentyp, 68 Feuerungstechnik, 20
F_RCVDP, 79, 81, 82, 133 F-FB, 132
F_RCVS7, 84 F-FC, 132
F_SENDDP, 79, 81, 82, 133 F-FUP, 32, 129

Sicherheitstechnik in SIMATIC S7
166 Systemhandbuch, 07/2013, A5E00109528-07
Index

F-Global-DB, 66, 67, 134 Gruppenabschaltung


F-Kanaltreiber, 75, 136 von F-Peripherie, 73, 76
F-KOP, 32, 129 GSD-Datei, 125
F-Module Gültigkeitsbereich des Systemhandbuchs, 3
ET 200pro, 29
ET 200S, 29, 30, 77
F-PB, 132 H
F-Peripherie, 25
H/F Competence Center, 9
Anbindung, 22, 71
Halt, 96
einsetzbare, 61
Hardware
Gruppenabschaltung, 73, 76
projektieren, 25
im Sicherheitsbetrieb, 92
Hardware-Komponenten
projektieren, 124
eines F-Systems, 26
Prozesswerte der, 72, 76
Haupteinsatzgebiete, 23
Zugriff, 72, 75
Hellzeit, 120
F-Peripherie-DB, 73
Hochverfügbare S7-Verbindungen, 86
F-Peripheriezugriff
Hochverfügbares und fehlersicheres System, 17
sicherheitsgerichtete Kommunikation, 89
Hotline, 9
F-Programmbaustein, siehe F-PB, 132
F-SB, 134, 137
F-SM, 27, 28
I
Einschränkungen, 29
F-System IEC 61508, 100, 101
aufbauen, 39 IEC 61508-5, 99
Auswahlkriterien, 61 IEEE 802.11, 89
Betriebszustände, 95 Instanz-Datenbaustein, 66, 73
Kommunikationsmöglichkeiten, siehe Interface-Module
Kommunikation, 64 für ET 200S, 29
Komponenten, 25 I-Slave-I-Slave-Kommunikation, 82
programmieren, 127
projektieren, 121
Reaktionszeit, 139 K
Sicherheit in, 91
Kaltstart, 95
Systemausbau, 62
Kategorie (Kat.), 47, 105
Überwachungszeit, 139
erreichbare, 17, 62, 99, 106, 120
verfügbare, 17
Koexistenz
F-Systembaustein, siehe F-SB, 134
von F- und Standard-Komponenten, 46
F-Treiberbaustein, 71, 75
Kommunikation
FUP, siehe F-FUP, 32
F-Bausteine zur (S7 F/FH Systems), 137
F-User Blocks, 136
sicherheitsgerichtete, 64
F-Zykluszeit
sicherheitsgerichtete I-Slave-Slave-
Überwachungszeit der, 141, 143
Kommunikation, 73
Standard-Kommunikation zwischen CPU und F-
Peripherie, 77
G
über S7-Verbindungen (Distributed Safety), 84
Geber über S7-Verbindungen (S7 F/FH Systems), 86
1-kanalig, 107 Überwachungszeit der, 142, 144, 145, 145
2-kanalig, 107 zwischen F-Ablaufgruppen, 69
redundant, 107 zwischen F-CPU und F-Peripherie, 71
Geberauswertung, 105, 106 zwischen F-CPUs, 23, 78
Geberqualität zwischen Sicherheitsprogramm und Standard-
Einfluss auf die Sicherheitsklasse, 107 Anwenderprogramm, 66

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 167
Index

zwischen Standard-Anwenderprogrammen, 63 OB 102, 95


Konfiguration OB 30 bis 38
von F-Systemen, 39 Weckalarm-OB, 135
Kontinuierlicher Modus, 100 OB 35
Konventionen Weckalarm-OB, 131
im Systemhandbuch, 9 Optionspaket, 31
Konvertierung Organisationsbaustein, siehe OB, 95
F-Bausteine (S7 F/FH Systems), 136
Konvertierungsbaustein, 68
KOP, siehe F-KOP, 32 P
Kupfer, 62
Passivierung, 73, 76, 94
PROFIBUS DP in, 54, 57, 59
Passwort, 27, 92, 122
für F-CPU, 96
für Sicherheitsprogramm, 96
L
PCS 7, 21, 78
Leistungsmerkmale PCS 7 Drivers
der F-Systeme, 22 Bibliothek, 77
Leitsystem, 61 Peripherieanbindung, 22
Leittechnik, 21 Personenschutz, 20
Lichtwellenleiter, 47, 62 Plan, siehe CFC-Plan, 135
PROFIBUS DP, 52, 56, 58, 59 Planung
Literatur der Anlage, 34
weitere, 5 Plausibilitätskontrolle, 67, 68
PROFIBUS DP, 19, 41, 79
in Kupfertechnik, 54, 57, 59
M in Lichtwellenleiter, 52, 56, 58, 59
PROFINET IO, 19, 41
Maschinenschutz, 20
PROFIsafe, 93
Master-I-Slave-Kommunikation, 81
Adresse, 123
Master-Master-Kommunikation, 79
Programmieren
Master-Reserve-Umschaltung, 94
des F-Systems, 127
Mathematische Standardfunktionen
Programmiersprache, 23, 32, 62, 129
F-Bausteine für (S7 F/FH Systems), 137
Projektieren
Max. Zykluszeit der F-Ablaufgruppe, 142
der F-CPU, 122
Merker, 66, 67
der F-Peripherie, 124
Mischbarkeit
der Hardware, 25
von F- und Standard-Komponenten, 46
der Überwachungszeit, 140
des F-Systems, 121
Proof-Test-Intervall, 102
N
Prozessabbild, 66, 67, 71, 72, 77
Netze Prozessindustrie, 20
öffentliche, 84, 86 Prozesstechnik, 21
Netzwerkvorlage, siehe Applikationsvorlage, 133 Prozesswert, 73, 76, 93
Neustart, 95
Normen, 98
NOT-AUS-Einrichtungen, 20 Q
Quittierung
von Fehlern, 73, 76
O
OB 1, 131, 135
OB 100, 95

Sicherheitstechnik in SIMATIC S7
168 Systemhandbuch, 07/2013, A5E00109528-07
Index

R Komponenten, 45
S7-300
Reaktionszeit, 146
fehlersichere Signalbaugruppen, 27, 28
des F-Systems, 22, 139
fehlersichere Signalbaugruppen:
Redundant geschaltete Peripherie, 48, 59
Einschränkungen, 29
Grenzen der Verfügbarkeit, 60
S7-Verbindungen
Redundanter Geber, 107
Kommunikation über (S7 Distributed Safety), 84
Redundanz, 17, 45, 48
Kommunikation über (S7 F/FH Systems), 86
Ressourcen
Safety Integrated, 16
der F-CPU für Sicherheitsprogramm, 123
Safety Integrity Level
Richtlinien, 98
nach IEC 61508, 100
Risikobetrachtung
Schrittfolge
nach IEC 61508, 101
zur Arbeit mit F-Systemen, 35
Risikoparameter, 100
Schutz
RUN
vor Überspannungen, 47
Sicherheitsprogramm ändern, 23, 93
Sequenznummer, 93
Service, 9
Serviceinformationen, 73, 76
S
SFC 59, 78
S7 Distributed Safety, 17, 31 Sicherer Zustand, 15, 94
Aufbau, 40 Sicherheit
Aufbaubeispiel, 41 in F-Systemen, 91
dezentraler Aufbau, 50, 53 Sicherheitsanforderungen, 99
Einsatzbereich, 20 Sicherheitsbetrieb, 77
F-Peripheriezugriff, 89 deaktivierter, 93
F-spezifische Überwachungszeiten, 141 der F-Peripherie, 92
Komponenten, 40 des Sicherheitsprogramms, 93
Leistungsmerkmale, 22 Sicherheitsfunktion
PROFIBUS DP, 50 Berechnung der Reaktionszeit, 146
PROFINET IO, 53 Versagenswahrscheinlichkeit, 100
Programmstruktur, 130 Sicherheitsfunktionen, 92
sicherheitsgerichtete Kommunikation über Prinzip der, 18
WLAN, 89 Sicherheitsgerichtete Kommunikation, siehe
Versagenwahrscheinlichkeit von Komponenten, 102 Kommunikation, 64
zentraler Aufbau, 50 Sicherheits-Integritätslevels, 99
S7 F Systems, 31 Sicherheitsklasse, 47, 62, 105
Aufbau, 43 Einfluss der Geberqualität, 107
Aufbaubeispiel, 44 erreichbare, 17, 22, 62, 99, 106, 120
Bibliothek, 129 Sicherheitsmechanismen, 91
Komponenten, 43 Sicherheitsprogramm
S7 F Systems Lib ändern, 23
Bibliothek, 136 CPU-Ressourcen für, 123
S7 F Systems RT Licence (Copy Licence), 27 Einfluss auf Anlaufverhalten, 95
S7 F/FH Systems, 17 erstellen, 25
Einsatzbereich, 21 Fehlerreaktion im, 23, 94
F-spezifische Überwachungszeiten, 143 im Sicherheitsbetrieb, 93
Leistungsmerkmale, 22 Kommunikation zum Standard-
Programmstruktur, 135 Anwenderprogramm, 66
Versagenwahrscheinlichkeit von Komponenten, 102 Kommunikation zwischen F-Ablaufgruppen, 69
S7 FH Systems, 48 Kommunikation zwischen F-CPU und F-
Aufbau, 45 Peripherie, 71
Aufbaubeispiel, 45 Kommunikation zwischen F-CPUs, 78

Sicherheitstechnik in SIMATIC S7
Systemhandbuch, 07/2013, A5E00109528-07 169
Index

Passwort für, 96 der Kommunikation zwischen F-CPUs, 142, 145


Programmiersprache, 32 der Kommunikation zwischen I-Slave und
Programmstruktur (S7 Distributed Safety), 130 Slave, 142
Programmstruktur (S7 F/FH Systems), 135 projektieren, 140
Sicherheitstechnik S7 Distributed Safety, 141
integrierte, 16 S7 F/FH Systems, 143
Vorteile der Integration, 17 Unterstützung
Zielsetzung, 15 PROFINET IO, 24
Sicherheitstelegramm, 93 weitere, 9
Sicherheitszertifikat, 98
Signale
sicherheitsgerichtete, 16 V
Slave-Diagnose, 78
Variablen
Software-Komponenten
zur F-Peripherie-Kommunikation, 73, 76
eines F-Systems, 30
Verfügbarkeit, 22
Standard-Anwenderprogramm, 27
des F-Systems, 62
Kommunikation zwischen CPU und F-Peripherie, 77
Erhöhung der, 48, 108, 112, 116
Standard-Baugruppen, 41, 44, 45
Grenzen bei einkanalig geschalteter Peripherie, 58
Standardbetrieb, 77
Grenzen bei einkanaliger Peripherie, 54, 57
Standsammlung, 8
Grenzen bei redundant geschalteter Peripherie, 60
STEP 7-Projekt
Versagenswahrscheinlichkeit, 100
schematischer Aufbau, 128
von Komponenten der F-Systeme, 102
STOP
der F-CPU, 94
Subnetz, 79
W
Support, 9
SW-Redundancy Wahrscheinlichkeit
Softwarepaket, 48 des Versagens einer Sicherheitsfunktion, 100
Systemausbau Warmstart, 95
des F-Systems, 62 Weckalarm-OB, 131, 135
Systemhandbuch Wegweiser
Inhalte, 8 durch das Systemhandbuch, 8
Wiedereingliederung, 94
WinCC, 78
T
Testsignale, 106, 120
Z
Trainingscenter, 9
Trennbaugruppe, 47 Zentralbaugruppe, siehe F-CPU, 27
typische Reaktionszeit des F-Systems, 61 Zertifikat, 98
Zugriff
auf F-Peripherie, 72, 75
U Zugriffschutz, 92, 96
Zulassungen, 98
Überspannungen
Zweck des Systemhandbuchs, 3
Schutz vor, 47
Zykluszeit
Überwachungszeit, 93, 139
Überwachungszeit der, 141, 143
der sicherheitsgerichteten Master-Master-
Kommunikation, 142
der F-Zykluszeit, 141, 143
der Kommunikation zwischen F-Ablaufgruppen, 145
der Kommunikation zwischen F-CPU und F-
Peripherie, 142, 144

Sicherheitstechnik in SIMATIC S7
170 Systemhandbuch, 07/2013, A5E00109528-07

Das könnte Ihnen auch gefallen