故障安全技术是未来西门子在行业内的主要推广的技术之一。故障安全的产品应用也将随着广大用户的安全意识的不断提高而逐步开始普及。欧洲对安全产品的要求非常严格，而我国 政 府也已经通过安监局、科技部等部门对故障安全的相关技术以及标准进行了调研，未来将逐步完善国内的相关劳动安全的法律法规以及行业规定，用以保护人员以及环境的安全。因此，及时了解相关的概念以及行业应用，将对企业的发展产生积极的指导意义，而工程师也应当及时了解相关的产品应用，以便能够不断拓展自己的知识和技能，在自动化技术领域处于领先的地步。西门子依靠全集成自动化的概念，提供了基于PLC的完整的故障安全的技术和产品，同时依靠现有的PROFIBUS和PROFINET网络，成功的开发了PROFIsafe安全协议，将故障安全技术的实现变得更为简单。如果您有任何关于故障安全的问题或建议，以及任何的应用体会，都请及时将您的问题或经验告诉大家，便于更多的用户能够尽快的了解、掌握并使用故障安全的技术。
活动奖励：
此次集中交流将持续至4月29日，其中所有精华帖作者将获得加倍精华奖励积分；最终所有有效留帖的网友将获得加倍发帖积分。更多积分带给您更多奖品兑换的自由。
对于有突出发言贡献的网友，还可以在当前的可兑换奖品中免费挑选任一款奖品。
交流结束后也将专门整理重要内容，供广大网友分享参考。
预祝大家交流愉快，收获丰富！

36楼的描述已经很接近了。
实际上一般我们为了“提高控制系统安全性”所做的冗余，热备，
在控制系统来讲，实际上最准确的描述是“增强可用性”。

通过电源冗余，CPU冗余，IO冗余，通讯冗余等来实现了“高可用性”。

而故障安全是用来实现“安全性”的。
这个安全性 包含了工艺系统的安全性，控制系统本身的安全性。
安全的等级一般是TUV机构来进行评估的。
到底是SIL2,还是SIL3 有一大堆的评估方法和验证手段。

相关的规范主要有2个，
IEC61508 和IEC61511.
其中IEC61511 是 61508的子集。

IEC61508 是规定了 故障安全系统的框架，概念，结构，实施等；
IEC61511 是规定了 故障安全型系统用于过程行业的具体框架，概念，结构，实施等规范。

过去把符合61508的控制系统一般叫 Safety PLC，或者FailSafe PLC。现在一般叫PES（可编程电子安全系统）。
过去把符合61511的控制系统一般叫 ESD，现在一般都叫SIS。（安全仪表系统）

为了防止 概念的混淆，我觉着其实从行业出发去区分是最合适的，
TUV也在鼓励大家这样来做。

例如制造业。OEM机械，装备，离散类的工厂流水线。
如果设备涉及 可能会发生人身伤害，甚至死亡；或者意外停机会导致重大的设备损坏/报废，财产损失，或者环境污染；
那么这个时候一般应该采用Safety PLC，或者西门子现在所说的FailSafe PLC。
这种工况，或者这种行业有鲜明的行业特点。

A.例如PLC 通常不需要冗余备份，一般就是电源，双路通讯，但是都是单CPU，
CPU都是获得了故障安全认证的。
例如S7-300F，S7-400F；AB GuardLogix；GE 90-70，Pilz的Safety PLC等。
因为这些CPU 都是主打制造业的，所以，用的最多的都是那些在制造业很流行的品牌，例如西门子，或者Rockwell-AB，GE等。
--而流程行业最常用的SIS-ESD类的 Triconex，HIMA，ICS，ABB在此行业几乎完全没有业绩。

B.除了CPU获得了故障安全认证外，IO模块也必须要获得故障安全认证，最典型的表现就是每个模块上有一个黄颜色的标签，并打着TUV的标示。（美洲流行红色TUV标志）。 其通讯总线也必须获得故障安全认证。其现场器件也必须获得故障安全认证。
其中通讯总线获得认证十分的重要。
例如AB主推的是Safety CIP协议规约。Safety CIP的协议可以叠加在标准的Ethernet/IP 和Devicenet,ControlNet上。目前的有Safety的Ethernet/IP. 也有Safety的DeviceNet， 并且已经开始在忽悠Safety的ControlNet。

而西门子主推的主要是Profisafe协议规约。目前有ProfiSafe的Profibus，
有支持Profisafe的Profinet。当然还有在智能总线仪表上去支持Profisafe的PA。不过在制造业一般不用PA。
相比AB，西门子在故障安全型总线上的推广更加的专业，也有更大的市场占有率。并具备更好的开放性。

当通讯总线有认证的时候，我们就会发现，你通过支持profiSafe的profibus
可以挂接支持profisafe 的变频器。。。不光是西门子家的，很多欧洲的主流品牌，如ABB也开始推支持Profisafe 的变频器，丹佛斯也在朝这个方向走了。施耐德目前可能还在犹豫，跟不跟西门子的脚步往前走，呵呵。
也可以来挂接故障安全型的伺服和运动控制器。不光是通过profibus,通过Profinet也可以！虽然目前主要是西门子家的支持故障安全规约，但是实际上其他的欧系厂家都陆陆续续的开始支持了，美系的厂家相对滞后一些。
你还可以通过故障安全的总线来挂接 故障安全型的 光幕，仪表仪器。 甚至也可以挂接其他的第三方的故障安全型的IO站。例如Wago的，菲尼克斯的，图尔克的，甚至小日本的。

这样相比AB的故障安全型通讯总线，我们说西门子的通讯总线更开放！



管理员注：本帖已被纳入此次探讨发帖整理，请点此详阅。

占个位置 准备扯一扯 61511 适用的流程工业，或者说过程控制行业。

Modifyed by 2011.04.27

流程工业适用的标准时 IEC61511.

过去把这个行业的安全系统一般叫紧急停车系统，--ESD。
现在有个更规范化的名称叫SIS。
用于紧急停车的就叫ESD，用于火气检测的就叫F&GS，用于过程安全检测的就叫PSD，用于高压管线保护的就叫HIPS。。。


这个行业有明显不同于制造业。
1. 制造业的 安全PLC实际上绝大部分都是 混合控制--工艺程序和安全保护程序写在同一个CPU中，属于一体化集成型。

而流程工业的安全PLC或者叫SIS，一般绝大部分都是单独的，十分明显的区别于DCS/PLC的独立系统，它不干活，它就负责安全停车。DCS里边写工艺程序，SIS里边就是安全保护系统的程序。属于分离型。 当然了集成还是可以集成的，但是坚决不推荐一个CPU既做DCS，又做SIS。

2. 制造业一般允许停车，例如汽车线。发生危险情况时，必须安全停车。停车只会影响生产效率，造成重大的经济损失，而不是造成巨大的灾害。 而流程工业一般不允许停车，例如化工，危险化工，石油化工，天然气等，当发生危险时，必须安全停车。不能安全停车，会造成巨大的灾害。
因为这个行业特点的不同，而导致了 其安全型控制系统的不同特点。

不过上述的这些都是表象，呵呵

A。 流程工业 必须要保证“该停车时必须能安全停车，不该停车时不能随便停车”。再通俗点就是 该动时一定要动，不能拒动作；不该动时一定尽量不能动，也不能误动做。

所以，为了防止 安全控制系统本身的失效而导致 该动不动/不该***动这种情况。 SIS系统通常百分百会要求 冗余备份。 电源冗余，CPU冗余，通讯冗余。重要的IO点冗余，甚至表决。 更重要的点冗余到现场设备。

不过一直需要强调的一点是，这些 冗余的措施， 主要是增强 “可用性”，而不是增强“安全性”。
安全性的评定值是安全等级。Ak4，Ak5，Ak6，Ak7，或者SIL2，SIL3，SIL4才是安全性指标。

大家通常讲的“冗余是为了系统更安全”那个安全跟 安全型控制系统的安全等级不是一个概念。

在这个行业中，通常，故障安全型系统获得安全等级认证是强制性要求。

业内知名品牌主要是Triconex，HIMA，ICS和ABB。
不过随着西门子的发力。 西门子的FailSafe 故障安全系统用于 SIS领域，在这3年内获得了突飞猛进的发展。个人感觉业绩已经进入中国区前3了。

而且西门子巨大的优势是 横跨 制造业和流程工业 2个领域，影响力相互作用，相互促进。 以后在故障安全系统的行业影响力会更大！

B。 除了主控制器要获得TUV的安全规约认证以外，其他部件，如IO模块也必须获得安规认证，通讯总线也必须获得安规认证，最新的规范要求“编程”也必须符合安规规范！ 例如西门子系统就有 获得了TUV认证的 安全型功能块库！

从SIS的 概念出发，其实现场仪表和执行器也必须要获得相应的安全认证，只不过这一点欧美做的还可以，国内做的差距还比较大。

相比Triconex和HIMA的 安全系统，西门子的故障安全系统 更加的开放。而且在TIA的框架下， 西门子力推的 安全集成 很有冲击力，竞争力，

例如有自己的故障安全型控制系统，有自己的安全型仪表，安全型执行器。甚至有自己的符合TUV规范的HMI软件-PVSS（现在叫WinCC开放架构）。有开放的安全型总线。

同时因为S7-400FH 和S7-400H 采用了相同的基础架构，使得在一个工厂中，集成自家的 DCS/PLC 和SIS系统变得十分的容易！ 十分符合TIA的理念。


在流程工业，因为其生产的 巨大危险性，所以用户相对比较保守，更愿意选择历史悠久的品牌。 好在西门子利用巨大的品牌影响力，进入了这个领域，并作出了很大的业绩。 目前流程工业的 故障安全型系统 市场状况已经发生了微妙了变化。 平衡开始被打破。



管理员注：本帖已被纳入此次探讨发帖整理，请点此详阅。

下面举例比较普通急停安钮与安全型急停安钮硬件与控制上的差别：
普通急停按钮：硬件通常含一副常闭触点，由普通的PLC的输入端判断急停开关的信号，当输入信号为0时，当急停信号来到，（即输入信号E_STOP=0时，Q=0 ）PLC处理控制信号，完成急停控制，当急停按钮的触点发生短路，此时设备将无法完成急停控制。
安全型急停按钮：（该硬件满足安全标准）若要符合安全SIL3/Cat4/Ple标准，必须通过二个通道将一个1个双通道输感器连接至一个F-DI(冗余输入)，也就是需选安全型急停按钮带二副常闭触点，才能达到该安全等级。
控制上必须创建安全程序，可采用Libraies\Distributed Safety\F-Application Blocks\FB215 (F_ESTOP1)的功能块。
功能块：当急停信号来到，即输入信号E_STOP=0时，Q=0
当急停信号离开，即输入信号E_STOP=1时，只有当ACK_REQ=1(确认信号)，Q才会恢复=1.
急停信号的钝化与去钝：由于急停信号采用双通道冗余输入，当二个输入信号不一致时，安全输入模板会检测到外部信号错误，使模板钝化模板SF灯亮，急停信号变为0（保持安全值输入），同时安全值通过安全程序控制执行机构停止工作。当外部号恢复正常，FB的背景数据块中ACK_REQ=1(去钝请求)，只有确认信号ACK_REI=1，才能完成去钝，即安全输入模块才能读到急停按钮的输入信号。（当钝化时保持安全值输入）



管理员注：本帖已被纳入此次探讨发帖整理，请点此详阅。

讨论西门子故障安全技术必须先讨论安全的概念、然后安全的标准、然后安全的实现、然后是西门子对应安全系统而的所有产品然后是产品的应用方法。
学习安全最好还是从国外开始，因为国内重视不够，并且国家很多关于安全的标准也是等同或等效转换了国外的标准。先去了解CE（不是3C）。知道什么是安全等级，风险分析。去了解ISO 13849-1（代替EN954-1）、EN60204-1、EN61508、EN292、EN1050、89/391/EEC等安全标准。确定不同的安全等级后要通过不同的方法实现。例如等级高后需购买的硬件将不同（可能需要冗余、可能需要自检测），组态、接线方法将不同，编程的对应要求可能也会不同。
对于西门子的实现方法，建议去听西门子的课程A7122。
A7122课程分9章，分别从安全规则、标准，西门子对应的安全产品，安全系统的组态、编程，安全通信，诊断等几个方面系统的介绍了西门子的安全概念。
安全首先来源于设计。设计人员必须优先选用安全的方案。当方案确定后，设计人员依据标准对机器进行风险分析、评估，划分相应的安全等级。机器应达到的安全等级确定后，对应的硬件选型、电路设计才可以开展。选择符合相应级别的元器件、根据级别的要求设计保护电路。设计防护措施，如保护罩、护栏等。说明书中应指出可降低风险的工具，风险的提示信息，相应需要进行的培训等安全相关信息。
在安全的自动化系统中，信号的采集、评估、执行都需要确保安全。西门子在3个环节中都有相关的产品，并且集成于标准产品或与标准产品兼容。A7122课程中分别讲述了上述产品的选型、组态、配置、编程、调试。


管理员注：本帖已被纳入此次探讨发帖整理，请点此详阅。