• 故障安全的自动化系统，可满足高度安全要求
• 符合安全要求，可达 SIL 3（IEC 61508 标准）、AK6（DIN V 19250 标准） 以及4 类标准（EN 954-1 标准）
• 如果需要，也可通过冗余设计而实现容错
• 故障安全 I/O 不增加接线：
  通过采用 PROFIsafe 行规的 PROFIBUS DP 进行安全通讯
• 基于带有故障安全模块的 S7-400H 和 ET 200M
• 标准模块可应用在自动化系统的非故障安全型应用场合
• 隔离模板，用于在一个 ET 200M 的安全模式中故障安全和标准模块的组合使用。

SIMATIC S7-400F/FH 故障安全型自动化系统可使用在对安全要求很高设备中。 它控制着各种过程，如果直接停机，这些过程也不会对人员或环境构成威胁。 S7–400 F/FH 有两种基本型号：

• S7-400F:
  故障安全型自动化系统。 如果在控制系统中发生出错，生产过程就转移到安全状态，并中断。
• S7-400FH:
  故障安全型和故障容错型自动化系统。 如果在某个控制系统中发生出错，则冗余控制机构被激活，使得生产过程继续下去。

使用其它的标准模块，可是使其建立一个对故障安全和非故障安全都能进行控制的全集成控制系统。 使用相同的标准应用程序对整个系统进行组态和编程。

S7-400F/FH 故障安全自动化系统可以根据需要进行不同的组态：

S7-400F的单通道单侧I/O

此系统需要一个故障安全的 PLC。 但是不一定是容错的。 需要下列部件：

• 1 个 CPU 414-4H/417-4H，带 F 运行授权
• 1 条 PROFIBUS-DP 线路
• ET 200M ，带 IM 153-2
• 无冗余设计的故障安全信号模块

当发生故障时，可以访问 I/O。 故障安全信号模块钝化。

单通道，S7-400FH 有可切换的 I/O

此系统需要一个故障安全的 PLC。 对于 CPU 需要容错。 需要下列部件：

• 2 个 CPU 414-4H/417-4H，带 F 运行授权
• 2 条 PROFIBUS-DP 线路
• 1 个 ET 200M ，带 2 个 IM 153-2 (冗余)。
• 无冗余设计的故障安全信号模块

当一个 CPU、IM 153-2 或 PROFIBUS-DP 发生故障时，PLC 可继续工作。 当故障安全信号模块或者 ET 200M 发生故障时，I/O 不再使用。 故障安全信号模块钝化。

S7-400FH 有冗余切换的 I/O

此系统需要一个故障安全的 PLC。 CPU 和 I/O 需要是容错的。需要下列部件：

• 2 个 CPU 414-4H/417-4H，带 F 运行授权
• 2 条 PROFIBUS-DP 线路
• 2 个 ET 200M ，带 2 个 IM 153-2 (冗余)。
• 冗余设计的故障安全信号模块

如果CPU、IM 153-2、PROFIBUS-DP、故障安全信号模块或 ET 200M 发生故障，此 PLC 继续可用。

在S7-400F/FH自动化系统中也可以使用标准模板。 但是不能与ET 200M一起使用。

通讯

中央控制器和ET200M之间通过PROFIBUS DP进行故障安全通讯和标准通讯。 经过特殊开发，PROFISafe PROFIBUS 可以在标准数据报文桢中进行安全功能的数据通讯。 需要诸如特殊安全总线的其它硬件组件。 所需的软件既可以作为操作系统的一个扩展软件集成在硬件组件中，也可以作为一个认证的软件块装载到CPU中。

带隔离模板的安全等级

在ET200M中使用隔离模板具有以下优势：

• PROFIBUS DP组态使用铜总线电缆。 不需要光纤电缆。
• 可使用任何 IM 153-X
• 在安全模式中故障安全信号模块的混合运行，以及在一个ET 200M中S7-300标准模块的混合运行

如果达到SIL2安全等级，则不需要隔离模块。