安全集成SPL的程序分为PLC部分和NC部分（SAFE.SPF），举个我们机床的实际例子，$A_OUTSI[2]的输出，PLC与NC的程序如下：

1、PLC的第一段中DB115.DBX100.1是MCP上的一个按钮，这个按钮的输入给到$A_PLCSIIN[26]，这个PLCSIIN信号作为内部的PLC给NC的信号，在NC的SAFE.SPF中直接作为输入信号使用，没有相应的输出。

2、PLC的第二段是个中间输出过渡，先不考虑，

3、$A_INSEP[12]这个信号来自于外部ET200S的安全输入模块，是双通道输入，只要2个输入通道不同到达设定时间，$A_INSE[12]及$A_INSEP[12]就会为0，如果2个通道状态相同，那么$A_INSE[12]及$A_INSEP[12]的状态等同于2个通道的状态。 从这里能得出结论：$A_INSE[12]及$A_INSEP[12]的状态无论何时都会一样。而且这里双通道的比较也不属于SPL的交叉校验，是ET200S安全模块本身的属性。

4、最后就是这个$A_OUTSI[2]的输出，上面3条是他的逻辑条件，但从上面可以看出这些逻辑条件的地址状态任何时刻NC侧和PLC侧都是一样的，那NC和PLC之间的这个SPL交叉校验还有什么用呢？

不考虑系统启动时以及NC和PLC任意一方停止时，因为这种交叉校验我认为肯定是NC和PLC正常运行时的一种安全措施，但是我看不出在NC和PLC正常运行时，还会有那种情况会造成NC SPL和PLC SPL结果的不同？

从交叉校验的目的来看，我感觉$A_OUTSI[2[这种输出信号前面的任意一个信号，NC侧和PLC侧都应该会有不同状态的时候，不然SPL的编程前面这些逻辑条件就没有意义了。

1，PLCSIIN本来就是PLC给NC的信号，而且其赋值的条件也来自于MCP赋值区域，也就是OB100，NC程序中只要接收信号就可以了，自然没有前置。

2，从这里开始，PLC的逻辑实际上就和NC的逻辑一模一样了。

3，您的理解有误。这里不存在什么硬件本身的属性以及SPL的属性的校验。SPL 本身就是一个有硬件有软件，从硬件的ET200S双通道接线开始，到INSE的系统变量对应，再到OUTSI的内部逻辑，再通过参数给到SGE，这里是OUTSI[2]给到22.4，也就是SG selction的一位。从外部硬件采集两路信号到最后不论是通过PLC的22.4，还是通过NC端的36972，都是整个安全集成SPL功能贯彻到最终对轴控制的一种手段。这是一体的一个整体solution。

4，两侧一样的逻辑恰恰说明了SPL程序的严谨性，部分欧洲机床厂挂羊头卖狗肉的做法是很有问题的。交叉校验非常有效，本身虽然逻辑相同，但是两路信号却是实打实的，而且和S7F的PLC不同，这里从原理上讲走的是不同的控制方式，但是为了时刻校验其正确与否，必然是两者相同的逻辑。抛开微观方面，双通道响应时间不同造成的误差不谈，正常情况下，这样的逻辑，就应该时时刻刻双通道校验和相等，不出问题。当其出问题的时候，其实就是机床有问题的时候，这时候恰恰是安全集成起到保护作用的时候了。

讲到结果不同，那有很多，举个例子，一般来说编码器走的是驱动线路，而光栅尺走的是NC端，两者的数值不同，差距增大到一定程度，就会报警。

还有，以门信号为例，往往采用双信号的方式，走两路分别进入到INSE和INSEP中，当一个损坏了，另一个完好的时候，就会触发门信号的安全报警。

逻辑条件的意义在于在同一个安全周期内，确保SPL的各个系统变量的校验和不出问题。

出了问题，也是两路保护，从而更加确保硬件和人员的安全。反过来想，一旦校验和出错，我们一定是先看看双通道的值分别是什么，它们对应的逻辑条件究竟有没有问题，再确认一下实物是好是坏，从而判断哪一路的问题，哪个信号出问题就针对解决哪个，思路会很清晰。

如果没有双通道，那么一但某个关键性的安全信号出问题，那么系统就会收到完全错误的信息，例如某个用来判断发动机是1.8L还是2.0L的信号，如果出错，就可能引起撞机之类的大问题。当然这个例子可能不太好，因为实际上大众通用之类的发动机厂用来判断机型的信号是一组组的，一个错误不足以支持程序进行下去，反过来证明其程序的严谨性。

总之，安全集成的目的是保护硬件和人员，是其更安全，当然作为代价，停台率肯定是上升的。