在西门子分布式故障安全技术中非常强调对于剩余风险评估和解决方案，所谓剩余风险就是安全系统无法扑捉到的某些特殊的危险情况，在西门子分布式故障安全技术的实际应用中，人们往往比较专注于西门子本身提供的安全功能，而忽视对具体项目可能存在的意外风险的评估以及针对这些风险采取有效的防范措施。
记得在以下帖子的项目中，由于项目设计中过分强调西门子本身硬件的可靠性和安全性，而没有重视对可能的剩余风险的评估，导致在模块出现故障时，电机意外启动，参见：
http://www.ad.siemens.com.cn/club/bbs/post.aspx?myreply=1&b_id=4&a_id=1099020&s_id=28&num=31#anch
其实在西门子分布式故障安全技术的各个部分都有关于各种剩余风险提示，这里我想举出一个实际应用的例子供大家参考。
设备：数控龙门铣床
部件：
1. 垂直运动部件（滑枕）采用伺服电机驱动、电机制动和电机编码器反馈；
2. 应用和结构所限，不适合采用重力平衡；
3. 应用和结构所限，不适合采用外部编码器（光栅或磁栅）。
剩余风险评估：
1. 当电机编码器连接发生松动时，安全系统可能无法监测到运动部件是否发生意外运动；
2. 当电机连接发生松动时，安全系统可能无法监测到运动部件是否发生意外运动并无法有效制动；
3. 当电机制动器出现故障，安全系统可能无法有效制动。
由于操作人员需要经常出现在运动部件下方，进行工件设置等操作，一旦发生意外后果不堪设想。
额外安全措施：
1. 加装自制的坠落检测部件，
原理：内置弹簧拉紧重锤机构，正常工作时垂直部件最大加速度为3.5米/平方秒，自由落体加速度为9.8米/平方秒，按4.5米/平方秒调整弹簧预紧力，当垂直部件加速度超过设定值时，重锤会发生偏离，上面的2个接近开关信号（双通道）断开，安全模块会立即发出停车和制动信号，有效保证在发生坠落前提前发出安全制动信号；



2. 在齿条上加装2个接近开关模拟编码器A/B信号，通过西门子高速输入/输出接口接入NCU, 与电机编码器一起构建双通道位置监测，一旦垂直部件在没有指令的情况下发生意外移动，安全系统会立即发出停车和制动信号；



3. 增加外部制动装置，与伺服电机制动器构成双通道制动，有效保障安全制动。



安全是永远的话题，也是产品的生命，重视项目中的每个安全环节是一个工程技术人员责任，事故往往不是发生在安全系统的可控范围内，而更多的可能是“意外”（剩余风险）。