西门子S7-400H冗余系统

有冗余设计的容错自动化系统

• 在容错技术下用于需要可靠性的场合：再启动或停机将

会造成较大损失的生产领域；需要少量管理和维护的工厂

• 冗余的功能

• 加强 I/O 的可用性：可切换 I/O 的配置

• 也可应用常规的 I/O：单边配置

• 热备：在故障事件发生时自动地切换到备用单元

• 2 个单独的或一个分隔的机架配置

• 连接到冗余 PROFIBUS -DP 或者 PROFINET 上的可切换 I/O

应用

在许多自动化领域中，要求容错和可靠性的自动化系统

的应用越来越多。特别是在某些领域，停机将带来巨大的

经济损失。在这种情况下，只有冗余系统才能满足可靠

性的要求。

可靠性的 SIMATIC S7-400H 能充分满足这些要求。它能连

续运行，即使控制器的某些部件由于一个或几个故障而失效

也不受影响。由于 SIMATIC S7-400H 具有很的可用性，它

特别适合于以下的应用领域：

• 控制器发生故障后再启动的费用十分昂贵（一般在过程控

制工业）

• 如发生停机，将会造成重大的经济损失

• 过程控制中包含有贵重的材料（如制药工业）

• 无人管理的应用场合

• 需减少维护人员的场合

SIMATIC S7-400H 包括以下部件：

• 2 个控制器（机架）：

2 个分立的控制器（UR1/UR2），或 1 个分割为 2 个区的

控制器（UR2-H）。

• 每个控制器有 2 个同步模块，通过光纤连接这两个控制器

• 每个控制器有一个 CPU412-5H、CPU414-5H、CPU416-

5H、CPU417-5H

• 在控制器机架有 S7-400 I/O 模板

• UR1/UR2/ER1/ER2 扩展单元与/或有 I/O 模板组的 ET 200M 分

布式 I/O

功能总是冗余配置的。

I/O 模板可以是常规配置或切换型配置。

在单边配置中，I/O 模板是单通道设计的，只能由二个控制

器中的一个配置地址。单边配置的 I/O 模板可进行：

• 插入到一个控制器以及/或

• 插入到扩展机架或分布式 I/O 站

在单边配置中，读到的信息同时提供给 2 个控制器，使访

问 I/O 的操作正确地运行。如发生故障，属于故障控制器的 I/O

模板退出运行。单边配置适用于

• 不需要增加可靠性的应用场合

• 连接到以用户程序为基础的冗余 I/O 站。基于此种目的，系统

对称的配置

设计

在切换式配置中，I/O 模板虽为单通道设计，但是两个控制器

均可通过冗余的总线网络访问 I/O 模板。切换式 I/O 模板只能插入

• ET 200M 远程 I/O 站。

通过 PROFIBUS-DP 或者 PROFINET 连接到控制器。

切换式配置 1

切换式配置 2

单边配置（常规的可用性）

FM 和 CP 的冗余

功

FM 和 CP 的冗余

功能模板（FM）和通讯模板有两种冗余配置：

• 可切换的冗余设置：

FM/CP 可插到分立的 ET 200M 中，或成对的插入到可切换的

ET200M 中的一个。

• 双通道冗余配置：FM/CP 可插到两个子单元或者是和这些子单

元接口的扩展设备中（参考单边配置）

实现模板的冗余有不同的方法。

• 由用户编程：利用功能模块和 SIMATIC CP 可以由用户编程实现

冗余功能。

选择主动模板并检测任何故障以便启动转换机制。所要求的程序

和带冗余 FM/CP 的非冗余 CPU 的结构相一致。

• 操作系统直接支持：在 SIMATIC NET-CP（CP-443-1，CP 443-1

TCP，CP 443-5 基本型和 CP 443-5 扩展型）上，操作系统直接

支持冗余结构，详细内容见通讯手册。

CPU412-5H、CPU414-5H、CPU416-5H、CPU417-5H 操作系统自

动地执行所有 S7-400H 需要的附加功能：

• 数据通讯

• 故障响应（切换到备用控制器）

• 2 个子单元的同步功能

• 自检

“热备”模式的 S7-400H 的运行是根据主动冗余原理（在发生故

障时，无扰动地自动切换）。根据这个原理，无故障时两个子单

元都在运行状态。如果发生故障，正常工作的子单元能独立地完

成整个过程的控制。

为了保证无扰动地切换，做到控制器链路之间快速、可

靠的数据交换。

为此控制器自动的接收

• 相同的用户程序

• 相同的数据块

• 过程映象内容

• 相同的内部/数据，如计时器、计数器、位存储器等

这样确保两个子控制器要随时更新内容，并在任何时间只要一

个有故障，另一个可承担全部控制任务，因此CPU的切换时间为

零，连接I/O站大切换时间100ms。

为了无扰动地切换，两个单元保持同步。

S7-400H 运行于“事件驱动同步”。

这就是说两个子单元有不同的内部状态时，就会进行同步操作。

例如在下列情况：

• 直接 I/O 访问

• 中断，报警

• 刷新用户时间

• 通过通讯功能修改数据

由操作系统自动地执行同步功能，编程时不需要考虑。

S7-400H 执行扩展的自检。包括如下内容：

• 控制器间的链接

• CPU 模板

• 处理器/ASIC

• 存储器

检测到的每一个故障都给出报告。

运行后的自检，当再起动时，每个子单元完整地执行所有的测

试功能。

周期运行时的自检：

全部自测试被分配到几个周期中进行。每个周期只执行自检中

的一部分，以减轻控制器的负担。

SIMATIC 的可用性的通讯，为用户提供了一种新型的通讯

类型，它具有以下特点：

• 增强了可用性：

发生故障时，通过多达 4 个冗余连接，使通讯仍能继续

进行。对用户来说，需要的切换过程是看不到的。

• 用户友好特点

从用户观点来看，可用性是看不到的，可使用含标准通讯的

用户程序，不需要做修改。冗余功能只在参数化阶段建立。

目前 S7-400H（冗余和非冗余配置）和 PC 支持容错通讯。PC

冗余需要有连接程序软件包。

配置

由于对容错的要求不同，其配置也是各种各样的：

• 非冗余或冗余总线

• 总线型或环形结构

S7-400H 的编程和 S7-400 相同，可使用所有 SIMATIC S7 的

编程语言。

编程 S7-400H 需使用 STEP7 V5.5 SP2 HF1 版本。

组态 S7-400H 的基本步骤和组态 S7-400 的基本步骤相同，

例如

• 建立项目和站

• 配置硬件和网络

• 装载系统数据到目标系统