SIMATIC S7 F/FH过程安全系统是SIMATIC S7系列产品之一， 当达到过程安全条件或系统内部故障发生时，S7 F/FH就立即 进入预置的安全工作模式，从而保证操作人员、设备、环境 和生产过程处于安全状态。因此，西门子SIMATIC S7 F/FH也称为模块化sis系统。

   SIMATIC S7 F/FH是获得德国TüV认证符合IEC61508 SIL3安全等级的安全可编程模块化sis系统，通过的自诊断技术，安全模件内置双电路（故障安全)设计和PROFIsafe安全通 信技术，使得构成系统的单个部件和单路的通信总线均满足 IEC61508 SIL3 安全等级要求，即由单个安全控制器，单路总线通信和单路的输入输出（I/O)模件构成的单系统即可满 足IEC61508 SIL3安全等级要求，不需要通过硬件的冗余设计 未获得高的安全等级。根据不同的系统可用性要求。SIMATIC S7 F/FH模块化sis系统可以配置成单路或冗余容错的系统结构。冗余容错结构的系统为装置和设 备的安全保护就提供了高可用性，可以确保系统运行时最少 的非计划停车，从而使相关的成本化。  

   通过认证的安全软件工具CFC F-LIBERAY 和 SAFETY MATRIX 用于SIMATIC S7 F/FH模块化sis系统的安全应用的组态。使用因果关系的 SAFETY MATRIX不仅使得安全软件组态更为简单快捷，同时 也是安全生命周期中，周试，开车，运行和维护的软件 工具。做为系统内置的标准功能，毫秒级的员序事件（SOE)记录 只需简单的定义即可实现数据的记录管理和存储，不需要另 外的组态软件实现。SIMATIC S7 F/FH 即可以作为独立的过程安全系统使用， 也 可以通过西门子过程自动化安全集成技术，无缝集成到西门子过程控制系统SIMATIC  PCS  7 之中。    

   SIMATIC S7 F/FH 模块化sis系统系统由 S7-400F/FH安全控制器， ET200 安全塑输入/输出模件和PROFIBUS  PROFIsafe安全I/O总线构成。通过认证的安全软件工具CFC F-LIBERARY 或SAFETY MATRIX 对系统进行软件组态和下装。系统中可以混合安装标准塑I/O模件用于标准控制，标准应用通过标准软件进行 组态，安全应用通过安全软件进行组态，标准应用和安全应用相互独立运行， 不会产生相互影响。PROFIsafe安全通信用于安全控制器与安全I/O之间，安全控制器与安全控制器之 间的的安全通信。SIMATIC S7 F/FH可以通过MODBUS，PROFIBUS，OPC等多种方式与其它控制系 统（如：DCS系统）的通信。  

系统的容错性-FMR柔性模件冗余

   根据可靠性建模分析， 相对于传统的双重或三重化结构， 西门子的柔性模件冗余可以提供更高的系统可用性。因为FMR可以只在实际需要的地方配置冗余，与传统的冗余 结构相比，可以实现性价比更高的安全应用。在FMR结构中， 安全系统可以分为两种不同结构形式：

  单通道，非冗余结构

  冗余，高可用性容错结构

   这两种结构可以灵活进行组合， 可以根据不同用户的具体要 求进行灵活的设计， 不但可以在I/O 层面兼有安全功能和标 准应用， 在控制器级别也兼有相对独立的安全和标准程序而 不相互影响。

   SIMATIC S7 F/FH的一个突出特点就是可以进行灵活的柔性 模件模件冗余（FMR）配置。根据安全任务的不同可用性需 求，系统设计时可以针对控制器，通信总线和I/O组成的各体 系结构层次分别确定冗余程度，能够更好的与现场仪表的冗余结构相匹配。因为系统的单个组件均符合SIL3安全等级的要求，这样就可 以针对不同的任务定制相应的容错体系结构，冗余容错的 结构可以承受多个同时出现的故障，配有ET200M分布式I/O的子系统可以在一个体系结构内进行不同的冗余度的组合，1oo1，1oo2，2oo2或2oo3等sis系统架构。

   SIMATIC F/FH的控制器能够进行多任务处理， 在一个CPU内 同时执行多个程序，因而能够在一个CPU内并行处理标准应 用程序和安全应用程序。标准应用和安全应用的程序组件严 格保持相互隔离，不会造成处理过程的相互影响。 如果需要 进行数据交换，则通过特殊的转换块来执行，这种应用是经 过TüV认证的。工厂的安全控制器与安全控制器之间的安全通信是通过 Profisafe 运行在工业以太网上来实现的。

   SIMATIC F/FH 安全控制器根据处理能力大小的不同，分为 412F/FH，414F/FH 和 417F/FH，预装配的控制器单元成套 产品包括如：机架，CPU，电源， 存贮卡和工业以太网接口 等组件。两种结构类型的产品包括：

  单通道：412F，414F，417F (一个CPU)，

  冗余：  412FH，414FH  和417FH (两个冗余的CPU，容错功能)。

  SIMATIC F/FH安全控制器具有的自诊断功能，通过冗余 的多通道命令处理，安全功能在一个CPU 的不同处理器部分 被差异化处理执行两次，并配有两个独立的硬件计时器，通 过执行的结果比较检测潜在的故障，如果检测到故障，则将 输出置于安全状态。单个的控制器经过TüV认证，符合IEC 61508SIL 3 安全等级。冗余的FH系统由相同的两个系统组成，为了达到的 电磁兼容(EMC)，有效的减少共因故障，在电气上相互隔 离，通过光纤进行同步。当发生故障时，可以进行无扰动切换。

   两个子系统可以安装在一个物理机架中，也可以分开安装， 相隔距离最远可达10公里。如果子系统因为所处的环境不利 因素造成影响时，这种空间分离方式会有效的降低同时失效的风险。因为单个的子系统可达到SIL 3 安全等级，FH系统的冗余设 计仅用于增加其可用性， 与安全功能的处理无关。

分布式I/O-安全系统的分布式I/O子系统可分为以下几类：

  模块化 ET 200M 分布式 安全型I/O，是应用于过程自动化 的主要产品。独立接线的位模块化 ET 200S 分布式 安全型I/O，适用于紧 奏型安装。

   ET 200iSP 分布式 安全型I/O，本质安全型，适用于危险环境。

   ET200pro  高防护等级安全型I/O， IP65/67

   ET200eco  低成本高防护等级安全型I/O， IP65/67

ET 200M 分布式 安全型I/O

   每个 ET 200M 可以最多配置 12 个 I/O  模块。分布式的I/O模块设计使系统即能更好的避免集中控制的风 险，又增加了灵活方便的应用。I/O模块内置了1oo2D安全结构设计。 输入模块支持模块土的 1oo1  和 1oo2 检测分析功能。数字量输出模块检测到发生故障时，可通过第二路关断路径 来实现安全关断。模拟量输入模块即适用于 0 至 20mA或 4 至 20mA 范围内的 电流测量，也适用于与 HART 现场设备进行 HART  通信。系统可以进行在线下装和模件的带电热插拔操作（包括对模 块进行更换和扩展），从而大大的减少了系统的维护量。若选用全冗余容错结构配置，便可提供限度的系统可用 性。即任何的一个单一故障，均不会造成系统停车。在一个站点内可以混合使用安全模块和标准模块。

MTA 终端模块

  使用 MTA 终端模块，可简便、快速、可靠地将现场设备、传 感器和执行器与 ET 200M I/O 模块相连，实现冗余配置，不仅可以显著减少布线和调试的工作量，还可避免接线错误。

PROFIsafe安全通信

   PROFIsafe安全通信是 TüV认证的开放性安全通信协议，包括 SIEMENS在内的二十五家企业参予了PROFIsafe应用 行规的制订和产品开发。PROFIsafe的诞生标志着故障安全通信技术的标准化和开放化 的历史性进展，为不同厂家的安全产品（包括：控制系统，总 线设备，现场仪表和执行机构等）提供了相同的通信平台。PROFIsafe通信符合相关的安全标准要求，单路的通信可达到SIL3安全等级 。在不改变标准 PROFIBUS 通讯机制的条件下，将 PROFIsafe 行 规作为设备/系统内的附加软件层执行。PROFIsafe 对报文进行 了扩展，添加了 PROFIsafe 通讯伙伴能够识别的信息，可以解 决传输错误，例如延迟、序列错误、重复、损失、错误寻址或 数据失真。每个通讯设备都执行表中所列的故障检测措施，进行上述检查。西门子安全控制器与 ET200 安全型I/O之间的安全I/O总线通信 是通过PROFIsafe安全通信运行于Profibus –DP 上来实现的。安全控制器与安全控制器之间的安全通信是通过PROFIsafe安 全通信运行于工业以太网上上来实现的。

   西门子提供了TüV认证的CFC F-LIBERARY 及 SIMATIC 安全 矩阵软件工具对 S7-F/FH 安全系统进行组态和编程，支持以下组态功能：

  》比较安全相关程序

  》通过校验和识别安全程序中的更改

  》隔离安全相关功能和标准功能

   对安全功能的访问使用密码保护。集成到连续功能图CFC组 态工具中的F-LIBERARY 模块库包含顶定义的安全功能块， CFC  或 SIMATIC 安全矩阵以此为基础来生成安全相关应用。经过认证的安全块功能非常强大，可防止诸如“除数为零” 或“数值溢出”之类的编程错误。因此不必通过编程来识别 错误或对错误作出反应。

   图形化组态工具CFC能帮助您建立标准的和故障安全功能。 故障安全功能的创建只需从功能库 F-LIBERARY中找到并互连 经 TUV 认证的功能块。

SIMATIC 安全矩阵作为 CFC F-LIBERARY的补充，SIMATIC 安全矩阵是西门子的 创新型安全生命周期工具，安全应用的组态更为方便和夹 捷，同时也是安全生命周期中安全仪表系统的运行和维护的 软件工具。SIMATIC 安全矩阵是一个创新的组态工具，即能够根据因果关 系矩阵轻松组态，不仅大大简化了安全逻辑编程，还能显著加 夹编程速度。在对工厂进行风险分析时，组态工程师可以将 精确定义的反应（结果）分配给过程中可能发生的事件（原因）。

SIMATIC安全集成，基本过程控制系统（BPCS）和安全仪表系统（SIS）的通信通 常可以分为以下三种方式：

  接口方式：BPCS 和安全仪表系统采用不同的硬件，它们通过网关连接在 一起以进行数据交换。两个系统使用不同的工程组态工具。

  集成方式：BPCS 和安全仪表系统采用不同的硬件，但具有统一的通讯系 统并使用共同的工程组态工具。

  公用方式：BPCS 和安全仪表系统组合到过程控制系统中。它们使用共用 的硬件（控制器、现场总线、     I/O）。标准程序和安全相关程序 并行执行，相互独立。

   SIMATIC S7-F/FH 安全系统可以通过接口方式连接到其它的过程控制系统中。通过西门子过程自动化的安全集成功能，可以将安全仪表系统 以形式集成到西门子过程控制系统SIMATIC PCS 7中。采用公用或集成方式，可以减少安装空间、硬件和接线范 围，降低装配、安装和工程组态费用，将为工厂整个生命周期 节约可观的成本。安全集成的模块化和灵活性允许分别定义集成的程度。例 如，您可以自行决定是在一个控制器（自动化系统），还是在 不同的控制器中执行基本过程控制功能和安全功能。

SIMATIC  S7-F/FH 安全系统集成到SIMATIC  PCS 7中有以下优势：

  同一个工程组态系统可用于基本过程控制和安全相关应用SIMATIC PCS 7 操作员站上，安全相关应用集成到操作方便 的过程可视化系统中，在过程可视化系统中自动显示安全相关 故障消息可对基本过程控制和安全相关自动化的统一数据管理（包括 过程可视化和诊断），因此在 BPCS 和 SIS 之间不存在复杂的数据管理可将安全相关硬件集成到 SIMATIC PCS 7 资产管理中，进行 诊断和预防性维护节约系统的软/硬件，工程，维护和培训成本。