安全，几乎无处不在，是大家经常谈及的话题。安全有很多种，个人的人身安全，网络安全，信息安全，用电安全，食品饮料药品安全等等。
对于工业工厂自动化，我们也谈安全，谈的是机械安全，功能安全，具体到西门子是分布式故障安全。
那么，什么是功能安全？
如何设计才能使得系统做到功能安全？
借助急停、拉线开关等硬件紧急情况下切断电源是不是就能实现功能安全了？
西门子提供什么样的安全系统及安全产品？
这些安全产品与普通产品有什么区别，为什么需要这些安全产品构建安全系统？
如何能够保证安全通信？
安全系统与冗余系统、防爆系统有何区别？
带着这些问题，在接下来的一个月里，与大家一起畅谈安全，也希望有安全系统使用经验的网友参与其中，谈谈您对安全系统的认识，谈谈您的安全系统主要应用在哪些行业，用的哪些品牌的产品，与西门子的方案和产品有何区别？期待大家的踊跃发言！

活动奖励：
此次集中交流将持续至1月15日，其中所有精华帖作者将获得加倍精华奖励积分；最终所有有效留帖的网友将获得加倍发帖积分。更多积分带给您更多奖品兑换的自由。
对于有突出发言贡献的网友可获得金币奖励，可以在当前的兑换奖品中兑换奖品。
交流结束后也将专门整理重要内容

说到安全，有4个问题提出来探讨一下：
1、紧停和快停。国内经常不区分，只做一个紧停。国外通常做2个，紧停是断电，用于触电或停电就无法动作等安全事故，另外是快停是设备停止但不能停电，如电机停电可能会惯性停车反而停不下来。但国内经常不分，很遗憾。
2、保护性回路用闭点。国内也经常不分，热继很多都知道用闭点，其他很多地方就不分了。其实尽量用闭点为好，现场掉线、松动的问题很多。闭点不只是触点本身，必须是回路闭合。
3、拉电流和灌电流。现在也很少考虑这个问题，其实用拉电流的模块很多时候有好处，就是当现场短路时，只是那一个通道信号不变，不会引起电源跳，全部信号消失。
4、端子。国外已经广泛使用弹簧端子，国内还是习惯螺丝端子。区别看起来都被忽略了，其实端子引起的问题损失是很大的。
不强推就很难实行，这就是国内现状。很无奈。
回头看跑题了，本题是要探讨西门子安全系统……算啦，化工系统的来表演吧

简单说一下，我们这的安全系统都是PILZ的，老外把所有涉及安全方面的急停、安全门、光电开关都组态到PNOZmulti_Configurator中，之后靠PLC给PILZ信号来控制整个安全系统。并且只要你安全报警了，直接用232连上PILZ就可以查看，并且解决起来也非常方便。总之，我认为老外在安全方面做得还是听精密的，并且他们这特注重安全这方面。不像我家的另一个设备，安全只要急停和拉绳，而且他们都是用PLC控制的，做得很简单。

一、上次说起PROFIsafe V1.0协议规范，适用于目前在广泛使用的PROFIBUS DP/PA协议架构中传输。
二、但随着PROFINET工业现场Ethernet网络，大量在分布式I/O环境中应用，于是制定了PROFIsafe V2.0协议规范，既适用于PROFIBUS，又适用于PROFINET架构。
三、值得一提的是PROFINET是完全的Ethernet网络架构，既可用于设备底层的分布式I/O环境，也可用于控制层设备间的数据通讯。
“一网到底”的网络架构从而实现层级间数据无障碍通讯，这是PROFIBUS架构无法达到的功能。
四、PROFINET可将I/O标准数据、PROFIsafe安全报文数据等，在一根总线上无障碍并行传输。从而可以利用Web servers等工具，进行远程维护管理和诊断。
五、另外，最新版的PROFINET V2.3协议还可实现PROFIdrive和PROFIenergy报文数据的并行传输。
基于PROFINET架构的PROFIsafe安全协议见下图：

SIMATIC Distributed Safety 软件包适用于A、B、C，D是属于冗余的。

-----------------------------------------------------------------------------------
我们的做法是，一般的情况下是把急停接入安全继电器，再由安全继电器给300系统中输出模块提供公共端电源，不过现在老外好像用西门子最新的安全模块已经取代了安全继电器实现安全软控制，比如ET200PRO中的F-Switch模块，它本身可以接入两个急停按钮对300系统中的输出模块进行安全控制，安全等级可以达到SIL3，而且模板本身又有自诊断功能，一旦模块出现潜在的问题就会进入安全模式，安全CPU也会做出相应的处理，这是安全继电器不具备的，所以我觉得这可能也是安全PLC以后发展的一个方向吧

这是我们公司做过的项目电路图，第一个为使用安全继电器的，第二个为使用西门子安全模块的图纸，系统中的安全模块（F-DI}取代了传统的安全继电器。
传统的安全电路出现问题只能通过信号反馈的形式和PLC进行信息交换，而安全模块则不一样了，安全模块在内部设计为双通道，两个集成处理器相互监视，并自动测试输入和输出电路。如果发生故障，则它们会将安全模块置于安全模式，即安全模块进入钝化状态，并把检测的故障信息报告给CPU。对于输入模块，如果钝化，F系统给安全程序提供的是故障安全值，而不是安全模块未处理完的过程数据。输出模块如果钝化，F系统则将安全值0传输给安全输出模块，而不是安全程序提供的输出值。

潜在的问题：比如急停按钮，一般它是两路输入，而且这种按钮都经过了安全认证，但是它也是有使用寿命的，由于使用频率和时间的原因，它的两路输入在动作时间上就会存在差异，西门子的安全模块是有这种检测能力的，当差异时间超出模块的设定值后，模块就会进入安全模式而起到安全的作用。

首选我们要知道，不管是1OO1还是1OO2的评估方式和什么有关？那显而易见和安全等级有关，我们使用安全系统的目的就是要达到设计所需要的安全等级。
单通道loo1的评估和普通输入点接入普通数字量输入模块的区别是： 单通道loo1的评估方式和使用经安全认证的传感器接入安全模块它的安全等级可以最高达到SIL2的安全等级，普通的模块是达不到这个安全等级的。
单通道loo2的评估一个输入点同时接入到2个数字量输入，这个跟接一个有区别吗？答案是肯定的，这个也跟你系统要达到的安全等级有关，实际楼主贴出的图已经说的很明白了， 单通道传感器以loo2的方式接入安全模块，模块并设为1OO2的评估方式那它的安全等级可以达到安全等级里最高的SIL3,而以loo1的形式最高也就能达到SIL2的安全等级。单通道传感器一个输入点同时接入到2个安全输入，这就是1OO2的接线方式，虽说它对应的是一个输入信号，但是安全模块扫描方式就和接入一个信号有很大的区别了，它是两个输入信号要分别对那一个输入点进行检测，然后把扫描结果进行比对，结果一致后才给出一个安全输出，一旦它们对输入点检测结果不一致，模块马上就会进入安全模式并把报警信息发送给CPU，而1OO1只是对单个安全输入进行检测，所以它达不到1OO2的安全等级。
是不是如果用到安全系统的话，最好用双通道的loo2评估？这个主要看你系统要达到的安全等级了！如果安全等级要求不是很高的话，也没有必要吧！
安全模块检查差异时间，这个时间一般设置多少？这个时间也不是固定的，要根据你现场的设备进行设定了（好像一般经过安全认证的安全元件都有这个参数吧），我们设备的急停按钮差异检测时间为30毫秒。

给大家贴几张西门子分布式故障安全技术在我们设备上的应用。

谈到西门子分布式故障安全技术，个人认为其精华在于其积极地安全防护理念，除了双通道急停、限位、防护门等等这些传统的“静态”安全控制外，更值得学习和推崇的是其积极的“动态”运动安全监控以及剩余风险的评估理念，这一理念在840D sl+S120的安全集成中发挥到了极致：
1. 在840D sl中西门子将CU（控制单元）集成到NCU中，在NCU中通过NCK与CU构建了双通道运动监控；
2. 进一步通过NCU与MM（电机模块）再次构建双通道运动监控；
按照安全系统设置的安全扫描时钟周期, 通过CDC（交叉数据比较）实时监控运动部件的异常位置、速度或加速度，从而有效地保障了设备静止和运动时的操作安全。



西门子的安全集成的主要功能有：
? Safe stopping process 安全停止过程
当监测功能或传感器响应（例如：a light grid光栅），驱动安全地控制减速到静止，最佳地适应于机器的实际操作状态。
Safe Stop 1 （SS1）
The safety functions SH and SBC from the context of the safety-relevant motion monitoring functions are described in Chapter6 “System/drive—integrated safety functions”. The SS1 safety function essentially corresponds there to STOP B
* Safe braking ramp（SBR）安全制动斜坡（SBR）
监测速度特性，当有停止请求时，速度必须减小。
* Safe standstill（SH）安全静止（SH）
驱动脉冲被取消；安全地断开驱动电机的能量供给。
* Safe operating stop（SBH）安全操作停止（SBH）
在设备静止期间，通过保持闭环控制功能完全有效，监测驱动（以确保其保持静止）。
* Safely-reduced speed（SG）安全减速（SG）
监测配置的速度极限。
* Safety-relevant output“n 用于在安全关联方式下监测速度范围。
* Safe software limit switches（SE）安全软限位开关（SE）
* Safe software cams（SN）安全软挡块（SN）
* Safety-related input/output signals（SGE/SGA）安全有关的输入输出信号（SGE/SGA）
* Safety-related communication via standard bus通过标准总线的安全有关通讯
* Safe programmable logic（SPL）安全可编程逻辑（SPL）
* Safe brake management（SBM）安全制动管理（SBM）
安全关联的双通道制动控制（SBC）和周期制动测试（SBT）。
* Integrated acceptance test 集成验收测试

我觉得西门子分布式故障安全技术在工厂自动化这个领域是非常全面的，要想系统的了解它我们应该从以下几个方面进行讨论：
1、安全标准；
2、西门子在工厂自动化这个领域都有哪些分布式故障安全产品；
3、西门子分布式故障安全技术的功能原理；
4、在构建分布式故障安全系统时外部设备的接线要求与规范；（外部设备一般为传感器和执行器接口）
5、分布式故障安全系统的硬件组态及编程；
6、安全系统的通信-
7、分布式故障安全系统的相应时间及系统的维护；
个人观点仅供讨论！

在西门子分布式故障安全技术中非常强调对于剩余风险评估和解决方案，所谓剩余风险就是安全系统无法扑捉到的某些特殊的危险情况，在西门子分布式故障安全技术的实际应用中，人们往往比较专注于西门子本身提供的安全功能，而忽视对具体项目可能存在的意外风险的评估以及针对这些风险采取有效的防范措施。
记得在以下帖子的项目中，由于项目设计中过分强调西门子本身硬件的可靠性和安全性，而没有重视对可能的剩余风险的评估，导致在模块出现故障时，电机意外启动，参见：
http://www.ad.siemens.com.cn/club/bbs/post.aspx?myreply=1&b_id=4&a_id=1099020&s_id=28&num=31#anch
其实在西门子分布式故障安全技术的各个部分都有关于各种剩余风险提示，这里我想举出一个实际应用的例子供大家参考。
设备：数控龙门铣床
部件：
1. 垂直运动部件（滑枕）采用伺服电机驱动、电机制动和电机编码器反馈；
2. 应用和结构所限，不适合采用重力平衡；
3. 应用和结构所限，不适合采用外部编码器（光栅或磁栅）。
剩余风险评估：
1. 当电机编码器连接发生松动时，安全系统可能无法监测到运动部件是否发生意外运动；
2. 当电机连接发生松动时，安全系统可能无法监测到运动部件是否发生意外运动并无法有效制动；
3. 当电机制动器出现故障，安全系统可能无法有效制动。
由于操作人员需要经常出现在运动部件下方，进行工件设置等操作，一旦发生意外后果不堪设想。
额外安全措施：
1. 加装自制的坠落检测部件，
原理：内置弹簧拉紧重锤机构，正常工作时垂直部件最大加速度为3.5米/平方秒，自由落体加速度为9.8米/平方秒，按4.5米/平方秒调整弹簧预紧力，当垂直部件加速度超过设定值时，重锤会发生偏离，上面的2个接近开关信号（双通道）断开，安全模块会立即发出停车和制动信号，有效保证在发生坠落前提前发出安全制动信号；



2. 在齿条上加装2个接近开关模拟编码器A/B信号，通过西门子高速输入/输出接口接入NCU, 与电机编码器一起构建双通道位置监测，一旦垂直部件在没有指令的情况下发生意外移动，安全系统会立即发出停车和制动信号；



3. 增加外部制动装置，与伺服电机制动器构成双通道制动，有效保障安全制动。



安全是永远的话题，也是产品的生命，重视项目中的每个安全环节是一个工程技术人员责任，事故往往不是发生在安全系统的可控范围内，而更多的可能是“意外”（剩余风险）。

我赞同楼上的观点，确实在工厂自动化中设备的风险评估和安全功能的设计才是系统安全的基础，但是国内的设备制造商真有多少家能做到哪？我觉得是凤毛麟角啊,除非是给老外做设备，老外有这方面的要求。我们公司做了十几年的设备，做了几百台的设备，只有福特这一个厂家对风险评估及系统安全有要求，其它国内的厂家从来都没提过这方面的要求，就像我在西门子培训时老师说的那样，以前国内在安全标准这方面根本就没有什么规定，老师说国内的标准在2007才出台，安全事故固然有人的因素，但如果安全事故是设备造成的，那没有设备本身的问题吗?这觉得是不可能的，我见过压机把人手压成粉碎性骨折的，也听说过维修工人修理真空炉的过程中，炉门自己关闭把人憋死在炉内的事故，这些难道不是设备本身的安全缺陷造成的吗！如果我们在设备制造前期根据安全标准对设备进行风险评估并对高风险部件引入安全控制会不会提高设备的安全性那，我想肯定会的，安全风险不能百分之百的被杜绝，最起码安全风险会被控制在可控范围内。我们和老外的安全工程师聊天说你对我们的设备在安全方面要求那么严格，设备所有的部件都要进行安全评估，并对部件中未达到安全等级的部件要从新设计并引入安全系统进行控制后从新评估，保证所有的部件必须达到所要求的安全等级，那如果要是有人在这设备上自杀你能保证这设备安全码?老外的回答也很有趣啊，他说如果那人要是在设备的外围自杀我控制不了，如果要是死在了设备的内部那就和他有关了。这个事说明了什么那，我觉得我们国内和国外在安全这方面的认识还是有很大区别的，更不要说对安全系统的认识了，所以“西门子分布式故障安全技术探讨”这个帖子对我们大家在安全这方面的了解还是有很大帮助的！

说下最近的一次配置S120-CU320-2PN伺服安全之旅。
伺服安全模块也是可以当做不安全的配置使用，在配置安全的时候与普通模块有2个区别
1在Message frame configuration 内为每个轴配置安全报文

2 在Function --safety integrated 内配置每个轴的安全地址，这个在硬件组态里面可以找到










最后修改过安全模块地址后一定要用安全编译的软件重新编译，后重新下载安全程序，否则可能会出现导致CU单元连接不上的问题

我先说说安全模块的钝化过程及模块去钝操作的方法，由于涉及到的东西非常多，所以我只能简单的说一下了。
钝化原理：安全解决的基本原理是所以有过程标签都有一个安全状态。对于安全模块来说故障安全值即为状态0；如果安全模块检测某个故障，这个安全模块相应的检测通道或整个模块就会进入钝化状态，也就是说相应的检测通道或整个模块进入安全模式。以下几种情况模块会进入钝化状态；
1、安全系统启动之后
2、F-CPU和安全模块之间存在通信错误
3、安全模块检测到错误（断线、短路或电路跨接）
4、有安全程序实现（这个情况必须由用户编程实现）
取消钝化操作有一下几种：
1、F-CPU热启动
2、故障排除后自动去钝（在安全模块没检测到错误的情况下）
3、由安全程序操作去钝（这个情况必须由用户编程实现）

我们都知道在安全系统硬件组态完成编译后程序文件夹中会自动生成一些安全程序块，其中每个安全I/O都会自动生成一个F-I/O DB,这个DB块数据就是用户程序对F-I/O模块进行操作的接口，还有就是DS也同时会生成一个公用数据块，这个数据块中记录着安全系统的状态并提供了在安全程序中可被使用的变量，只是这个程序块是不可见的，要想使用其中的变量我们就要牢记这个DB中的地址。下面几张图就是F-I/O及DS系统生成的DB








通过上面的图片可以看出DS系统不但给模块自动生成了DB,同时还给DB自动分配了符合名及在DB内部还定义了变量，其实这些都是有含义的，含义是什么那，我们来了解一下
DB符号名：F00045_8_16_F_DI_DC24V 解释出来为这是一个8/16通道的F-DI安全型输入模块，它在硬件组态中定义的起始地址为45也就是说这个模块的输入地址是从I45.0开始的。
DB中的变量：用户程序可以通过扫描DB中的输出变量来分析安全模块的状态，可以通过对输入变量的操作来对模块进行操作。
输入变量
1、PASS_ON：通过安全程序把这个变量置为1，可以钝化该模块（注意：这个操作只能钝化整个模块不能对单个通道进行钝化）
2、ACK_NEC:通过对这个变量进行操作来选择是手动对模块进行去钝还是模块自身自动去钝
3、ACK_REI:当ACK_NEC为1时必须对这个变量进行操作模块才能去钝，也就是这个变量是手动去钝操作执行变量。（只有在模块故障被排除后起作用，通信故障除外）
4、IPAR_EN:对这个变量操作，来从新参数化DP标准从站或某个标准I/O设备
输出变量
1、PASS_OUT：状态为1时，说明该模块已被钝化（注意如果是通过变量PASS_ON进行模块钝化的，该变量的状态不会发生变化）
2、QBAD：状态为1时说明模块中至少有一个通道检测到了错误
3、ACK_REQ：状态为1时说明该模块故障已经排除，但并没对模块进行去钝操作
4、IPAR_OK：状态为1时说明参数从传完成
5、DIAG：模块附加的诊断信息
6、QBAD_I_XX和QBAD_Q_XX：状态为1时说明当前输入或输出通道有错误。
时间有限，先说这些吧！其中如有错误请西门子专家进行更正；如有时间再和大家讨论讨论安全程序！

钝化（PASSIVATION）这个词是从冶金行业引申到其它行业的，原意是一种活性金属或合金，其中化学活性大大降低，而成为贵金属状态的现象，叫钝化。西门子分布式故障安全技术中有很多复杂的概念和术语，我觉得要通过对西门子分布式故障安全技术的学习，深化和简化对这些概念理解。
我个人对‘钝化’的理解是，当安全系统监测到某种危险操作方式、故障或错误状态时，通过安全程序即时启动执行机构停止响应或限制其运动（减速或限制运动范围）或制动，并取消或锁定一系列预先指定的、与安全相关的关键功能，进入安全状态（或安全模式），直到危险操作方式、故障或错误排除后得到相应的确认（应答），安全系统自动（或手动）释放被锁定的这些关键功能，并给予执行机构运动使能或恢复正常运动功能，这就是所谓‘去钝化’。

关于安全级别，我个人的理解是，安全模块主要用于对整个项目中安全相关的功能控制，安全模块不会也不必取代传统的输入/输出模块，也就是说SIL3是针对整个项目的安全级别而言，要经过安全认证，而非必须全部采用安全模块或全部采用经过安全认证的元器件才能达到SIL3的安全级别。
下面是经过SIL3认证设备的安全模块和普通模块：
安全模块：



普通输入/输出模块：