随着经济社会的发展，人们对工业生产中的安全要求越来越高，故障安全的概念及应用会越来越多。西门子提供全面的故障安全相关产品，S7 Distributed Safety 分布式安全已在汽车、物流、机器人等行业或机械上广泛应用。为了加深大家对故障安全概念的理解，提高对S7 Distributed Safety分布式安全产品的应用水平，解决实际应用中组态编程的问题，特开设此次交流，希望大家就此话题积极发言，提出题，分享您的经验，共同进步。

关于故障安全，下载中心的如下文档推荐阅读：
S7 分布式故障安全系统使用入门

活动奖励：
此次集中交流将持续至4月16日，其中所有精华帖作者将获得加倍精华奖励积分；最终所有有效留帖的网友将获得加倍发帖积分。更多积分带给您更多奖品兑换的自由。
对于有突出发言贡献的网友可获得金币奖励，可以在当前的兑换奖品中兑换奖品。
交流结束后也将专门整理重要内容，供广大网友分享参考。
预祝大家交流愉快，收获丰富！

以前做过几套出口设备，安全要求比较高，用过S7 Distributed Safety(分布式安全)，安全功能基本上是按照系统已有的块做的，感觉很实用，但在国内除非是外资厂，不然估计没厂家愿意用，当然安全性能要求非常高的除外，但这个成本实在是太高了。

管理员注：本帖已被纳入此次探讨发帖整理，请点此详阅。

这种配置其实是有问题的，安全型系统在硬件设计时其实是按照2oo1（这种方式比较常见）方式进行设计，即同一路信号进入模块后，经过两路完全独立的硬件电路进行处理，然后进行2oo1表决后，才会把相应的信号送到CPU进行处理。因此，安全型IO模板的特点是可靠性更高，其次模板的故障诊断功能更强。
如果采用普通模板，此时可靠性较低，故障诊断功能也较少，会造成采集到的信号的可靠性较差。此时即便CPU是安全型的，可靠性再高，也不能保证系统的功能安全。
因此，建议采用安全型PLC+安全型IO模板的方案进行配置。

管理员注：本帖已被纳入此次探讨发帖整理，请点此详阅。

目前最常见的应用场合有：紧急停车系统（化工、火电厂、核电厂）、锅炉保护系统（火电厂或大的锅炉系统）、火灾报警和气体检测系统（FCS、GDS或FGS等、主要是罐区等）、燃料控制系统、汽车的喷涂车间等。

其实，国内很多的安全型系统在设计等环节根本不规范，很多系统纯粹是按照经验在设计。不出事可以，出事的话就是人命关天的大事。很多用户为了省钱，在安全型系统的设备采购、评标等过程中也不注意，最终导致安全型系统形同虚设。
按照国际规范，安全型系统在设计时必须要按照事故率进行计算，计算当然是从传感器、PLC、到执行器依次计算，然后才能得出安全型PLC所需的安全等级。如果计算出的PLC安全等级满足不了要求，可能会采用双机热备系统或者提高传感器、执行机构甚至增加安全防护等措施来实现。
当然，所有计算都是必须由专门经过认证的安全工程师才能来计算。原来国内经过TUV认证的安全工程师只有3个。最近几天多了几个。很多设计院虽然在设计安全型系统，根本没有认证的安全工程师，所以可想而知系统的安全性问题了。
如果希望做国外的项目，涉及的安全型系统时，必须要有安全认证工程师在场，否则连参与的资格都没有。所以国内对于安全型系统的认识还是有待提高。
我曾经参加过3天老外对于安全型系统的培训，当然还只是初级的。安全认证工程师的培训及认证太费银子，老板不给机会参与，不过英语也确实不过关。希望以后能多多和同学们互相交流。

管理员注：本帖已被纳入此次探讨发帖整理，请点此详阅。

西门子故障安全的中文资料还是挺多的，减少了很多学习上的语言障碍
推荐两本重要的文档：
SIMATIC S7 中的安全工程
http://support.automation.siemens.com/CN/view/zh/12490443
S7 Distributed Safety — 组态和编程
http://support.automation.siemens.com/CN/view/zh/22099875

管理员注：本帖已被纳入此次探讨发帖整理，请点此详阅。

其实这里大家对故障安全的理解上有误区。
安全，其实上面说的没错。大家想想，如果我们要建立一个小型的安全系统，我们考虑的问题实在太多，终究我们要防止发生故障，而导致人身伤亡或环境的破环。还是和楼上说的一样。但是导致人身伤亡或环境的破环的真正原因其实就是没有检测到故障，所以故障安全设备实际上就是配备了完善de故障检测电路，从接线和黄色的编程，大家就会有所体会，其实就是在配备检测故障的措施。那么具备完善的检测故障不意味着是完美的故障检测，它肯定会存在失效的时候，但是由于完善的故障检测，使失效的概率非常低，这就是我们常说的SIL等级。
个人见解，欢迎拍砖！

管理员注：本帖已被纳入此次探讨发帖整理，请点此详阅。

1. F-CPU的安全功能块是为了保证SIL等级而使用的，普通的CPU是无法做到的。参考我的帖子17楼。而普通功能块两者没有区别。
2. Profisafe是行规，Profibus是总线，前者你看不见，后者你能看见那根紫色的线。前者你理解为安全协议，同样为了保证通信的SIL等级。当profibus总线发生故障时，Profisafe会检测到从而保证功能安全。参考我的帖子17楼。
3. 目的明显凡是为了防止导致人身伤亡或环境的破环的机器，设备或系统都可以使用故障安全。

管理员注：本帖已被纳入此次探讨发帖整理，请点此详阅。

这里"2oo1"估计是笔误，正确的应该是"1oo2",这里的"oo",是“out of“的缩写。在S7-Distributed里有1oo1和1oo2的配置选项，它们指的是对输入信号的评估类型。
如下图：



1oo1评估通过单个通道连接至F-I/O的单个传感器， 1oo2 评估包括与一个双通道传感器或两个单通道传感器互连的两个输入通道。 在内部比较输入信号是对等还是非对等。
采用1oo2的评估，通过比较两个输入信号的对等与不对等，可以检测到外部传感器是否发生故障。
譬如，我们使用一个急停按钮，急停按钮只使用一个常闭触点接入到安全模板，那么这是1oo1评估模式。如果急停按钮安装两个常闭触点，接入到输入模板的两个通道，在模板内采用1oo2的配置，此时模板会评估这两个通道的信号是不是一致，如果不一致，则显然外部线路或触点发生了错误。
采用1oo2的模式可以比1oo1s模式检测更多危险失效，从而可以提高系统的SIL等级，这也是安全模块与普通模块差别之一。

管理员注：本帖已被纳入此次探讨发帖整理，请点此详阅。

其实这里面可能有一个误解。即认为安全是不出错，其实安全不只是不出错，更强调的是能够检测出错误，即检测出更多的危险失效，当发生危险失效的时候能够将设备切换至安全状态。Profisafe也是这样，应用PROFISAFE可以检测出更多通信上的危险失效，从而当出现这些危险失效时控制器或安全模板能将设备切换到安全状态。总线上的失效不止是断线失去控制一种，在总线正常情况下，也可能还有其它错误。下图给出了PROFISAFE V2所采取的技术手段和其所能检测的错误。



关于PROFISAFE，可以参考阅读如下文档：
《PROFIsafe 系统描述》http://www.ad.siemens.com.cn/download/searchResult.aspx?searchText=4071+

管理员注：本帖已被纳入此次探讨发帖整理，请点此详阅。

在功能安全的基础标准里，定义了一个安全系统的生命周期。



整体安全功能的实施应该按照该生命周期来实现。

具体到如何考虑SIL等级，首先要做的是分析实际存在的风险，进行风险评估，从而确定所需要达到的SIL等级。风险，即伤害的严重程度与发生概率的组合。风险评估也就是按照风险的定义，评估每一种危险的伤害严重程度以及发生的概率，据此确定出所需要达到的SIL等级。
在获得所需要达到的SIL等级之后，接下来的事情就是采用合适的硬件、合适的系统结构，进行正确的编程来实现该安全功能，并评估时否达到了要求的SIL等级。

管理员注：本帖已被纳入此次探讨发帖整理，请点此详阅。

从29楼的表述里可以看到存在两个SIL：
一个是根据风险评估得来的所需要达到的SIL，
另一个是通过设计来实现了的SIL。
前者按下表定义：



后者在机械安全方面，则按照危险失效概率定义：




管理员注：本帖已被纳入此次探讨发帖整理，请点此详阅。

在经过风险评估确认系统需要达到的安全完整性等级后，就要设计和实现满足条件的故障安全系统。这时候有一些概念需要考虑，如子系统结构、安全失效分数SFF、诊断范围DC、硬件裕度HFT、共因失效分数CCF、每小时危险失效率PFHD等等。
下面链接给出的是依据IEC62061来实现安全功能的一个例子，可以帮助理解这些概念及整个安全系统实施的过程，建议阅读。
http://support.automation.siemens.com/CN/view/zh/23996473

管理员注：本帖已被纳入此次探讨发帖整理，请点此详阅。

这似乎是一个安全程序和通用程序分离的方案，其实可以集成在一起的，这也是西门子安全集成的特点和优势。





管理员注：本帖已被纳入此次探讨发帖整理，请点此详阅。

对不起，很长时间没有登录了，请原谅。
TUV认证分三种，一种是认证机构，即可以给用户做TUV认证的机构，还有一种是TUV培训机构，可以给客户做TUV相关知识培训的机构。第三种是TUV认证工程师，即具备TUV认证的，具有相关安全知识和计算等技能的工程师。一般情况下，我们需要考的是TUV认证工程师。
TUV认证工程师报名后，先培训4天半，最后一天下午每人发一本国际标准进行考试，不能带任何其他资料。考试完后直接显示结果，即是否通过。每年考试时老外会随机选择国家。前年是英国，去年好像是迪拜还是哪儿，我忘了。不一定是德国。
培训语言是英语，基本要求是必须具备10年以上安全系统调试和设计经验的人员才能参加。不过中国去的人审核不是很严格。我有个同事没做过安全系统，就是英语好，去了听完课直接考试就过了。另一同事考了两次才勉强过。不过据说报名很费银子。

管理员注：本帖已被纳入此次探讨发帖整理，请点此详阅。

对不起，写错了，是1oo2，中文是2选1，即2个信号中任何一个满足时，即可实现信号输出。同样的有1oo1、1oo2、2oo2、2oo3等等。
在设计系统中，必须要考虑HFT，即hardware failure tolerance(硬件失效余度)。前边的X oo Y中，HFT= Y-X。HFT值越大，即系统的余度越大，即系统中某一部分失效后，整个系统的安全功能并不失效。
按照前边的例子中1oo2系统，任意信号满足时，信号都可以输出，因此，HFT=1，即只要有一个信号满足，安全功能都可以保证，只有所有2个信号都有问题，安全功能才失效，因此可靠性较高。而对于2oo2的系统来说，必须2个信号全部满足，系统才会有输出，HFT=0，因此，可靠性较低。
再详细的我就不再赘述了

管理员注：本帖已被纳入此次探讨发帖整理，请点此详阅。

按照安全系统来说，主要目的是减少失效概率和减少对人身和环境伤害的。因此，考虑SIL等级时必须要按照减少失效概率和降低风险两部分分别来考虑。
常见的减少失效概率的措施有：基本过程控制系统（即BPCS系统）、操作员干预（即上位报警显示、响应等措施）、安全仪表系统（SIS系统，也即安全系统）。
降低风险的方式有：主动防护（如加安全释放阀）、被动防护（加防火或防爆墙）、紧急防护（如广播等方式）。
计算SIL等级常见的方法有防护层分析（LOPA）、风险图（Risk Graph）、风险矩阵（Risk Matrix）三种方式。计算时要从传感器开始一直到执行机构分别计算失效概率，然后根据最终要求的失效概率，计算出需要的SIS系统的SIL等级，有时算了半天不满足，需要反复计算很多次。
具体的防护层分析（LOPA）、风险图（Risk Graph）、风险矩阵（Risk Matrix）三种方式分别是怎么算的，说起来太复杂了，建议单独讨论。

管理员注：本帖已被纳入此次探讨发帖整理，请点此详阅。

故障安全程序的编写有自己的特点。安全程序块会以黄色背景与普通程序块区分；安全软件包提供了一些经过认证的应用块库来实现特定的编程任务，如急停功能块、双手操作块、光幕屏蔽块等；对编程所能应用的指令可以访问的数据区都有限制，语法检查较为严格，譬如不能在安全程序块里对同一个存储区既读又写；离线程序的编辑修改有密码保护，有数字签名等等。
故障安全的模板有钝化与去钝之说。钝化即当模板检测到错误后以故障安全值替代实际过程值，而去钝则是错误消除后恢复过程值的过程。
一个安全程序通常要包括对模板钝化信息识别及去钝操作的部分、安全功能实现的部分、标准程序与安全程序数据交换的部分。

管理员注：本帖已被纳入此次探讨发帖整理，请点此详阅。

系统自动生成部分，用户不需要调用。
下图表明了一个包含安全程序的程序结构：





管理员注：本帖已被纳入此次探讨发帖整理，请点此详阅。