数据交换

故障响应（故障转移至备用设备）

两个子单元的同步

自检

冗余原理

S7-400H 按“热备份”模式下的主动冗余原理工作（发生故障时执行无反应的自动切换）。根据该原理，在无故障运行期间，两个子单元都处于激活状态。发生故障时，未发生故障的设备独自接管过程控制。

为确保平稳接管，必须通过中央控制器链路实现高速、可靠的数据交换。

在故障转移期间，设备会自动保留：

相同的用户程序

相同的数据块

相同的过程映像内容

相同的内部数据，如定时器、计数器、位存储器等

这意味着，这两个设备始终保持在新状态，并且可以在出现故障时独立地继续执行控制。

采用冗余 I/O 操作时，这会带来以下结果：

在无故障的运行期间，两个模块均处于激活状态，例如在采用冗余输入时，将通过两个模块读取共用传感器（也可以是两个传感器）的信号，对结果进行比较并提供给用户以作为用于进一步处理的统一值。采用冗余输出时，由用户程序计算的值通过两个模块进行输出。

发生故障时（例如，两个输入模块之一出现故障），不再对有故障的模块寻址，发生故障信号，仅未受影响的模块继续运行。在线进行修复之后，将再次对两个模块寻址。

同步

为了实现无反应切换，需要对两个子单元进行同步。

S7-400H 遵循“时间驱动的同步”工作原理。

每当子单元中发生可能导致不同内部状态的事件时，都会执行同步操作，例如在发生以下事件时：

直接访问 I/O

中断、报警

更新用户时间

通过通信功能修改数据

同步是通过操作系统自动进行的，可在编程阶段将其忽略。

自检

S7-400H 可执行大量自检。自检涉及以下方面：

中央控制器的连接

中央处理单元

处理器/ASIC

存储器

报告每个检测到的故障。

启动时自检

启动时，每个子单元都会完整执行全部自检功能。

循环操作期间的自检

完整的自检分布在多个循环中。每个循环仅执行一小部分自检，因此，实际控制器所承受的负荷不是很大。

组态、编程

S7-400H 的编程与 S7-400 类似。所有可用的 STEP 7 功能都可以使用。

对 S7-400H 编程需要使用 STEP 7 V5.2。

I/O 模块的组态

硬件组态时，用户必须通过 HW Config 指定相互形成冗余的模块。只需指定要在冗余模式下运行的模块以及要作为“冗余伙伴”的第二个模块。在用户程序中，应访问具有低地址的模块。第二个地址不向用户显示，并且含有冗余和非冗余 I/O 的控制部分的编程完全相同。与非冗余 I/O 之间的唯一差别是块库中的两个函数块（RED_IN 和 RED_OUT），需要在用户程序的开始处和结束处调用这两个函数块。

在 STEP 7 V5.3 或更高版本中，该库已作为标准库集成到 STEP 7 中。

S7-400F/FH 满足下列安全要求：

要求等级 AK 1 至 AK 6，符合标准 DIN V 19250/DIN V VDE 0801

安全要求等级 SIL 1 至 SIL 3，符合标准 IEC 61508

Cat1 至 Cat4，根据 EN 954-1

操作模式

S7-400F/FH 的安全功能包含在 CPU 的 F 程序中，并包含在故障安全信号模块中。

信号模块采用差异分析方法和测试信号注入技术实现输出和输入信号的监控。

通过定期自检、命令测试以及按时间顺序执行的逻辑程序执行检查，CPU 可检查控制器的运行是否正常。此外，通过状态监视 (sign-of-life) 请求，还可以检查 I/O 状况。

若在系统中诊断出故障，则将系统切换到安全状态。

F-Runtime 许可证

必须将 F-Runtime 许可证加载到 CPU 上以运行 S7-400F/FH。每个 S7-400F/FH 都需要一份许可证。

编程

S7-400F/FH 的编程方式与其它 SIMATIC S7 系统的编程方式相同。非故障安全工厂部分的用户程序可用成熟可靠的编程工具（如 STEP 7）来创建。

S7 F Systems 可选软件包

编程安全型程序段时，需要使用可选软件包“S7 F Systems”。该软件中包括创建 F 程序所需的全部函数和块。

对于包含安全功能的 F 程序，可使用 CFC 调用来 F 库中的专用函数块并进行互连。使用 CFC 可以简化工厂的组态和编程工作，由于工厂范围内具有统一的表示形式，也将简了验收测试。无需借助额外工具，程序员就可以完全专注于安全应用程序的组态。