////////SIEMENS////////////////////SIEMENS//////////////////////SIEMENS////////////////////SIEMENS/////////////////////SIEMENS////////
这个例子其实非常好，这里引申出一个重要的话题，也是我们一再想向设备设计人员以及广大工程师们强调的一个问题，那就是：制造出一台安全的设备的正确的步骤是什么？
实际上，要想制造一个安全的设备，应该是按照一下几个步骤进行：1.风险识别 2.风险评估 3 方案实施及再评估 4 证明或者认证。 但由于目前大多数用户并不是非常了解这个过程，因此往往会导致一个结果，那就是设备设计阶段并没有仔细的考虑安全的功能，导致当设备制造完成之后，才发现所采取的安全措施可能并不能完全达到安全的要求。例如老学童讲的这个例子，当设备都做完了或者在使用过程中，才发现设计上还有需要改进的地方。其实如果按照正确的步骤，在设备的设计阶段就进行过（1）风险分析和（2）风险评估的话，就不难发现如果没有对电机的监控，那么设备在使用过程中是存在很大风险的。在这个基础上，相信设计出来的方案会跟现在的方案是不同的，比如，设备上可能会考虑增加外部机械防护，电控部分会加上对电机的检测回路或者选择使用带安全功能的变频器（当然，还有很多措施可以采取），此时你会发现，你的系统跟现有的系统是完全不一样的，你会有更多的防护措施，这样就不会出现之前的危险的场景了。而对于可能会致人伤亡的场合，应该采取SIL3 或者PLe的防护等级，在风险评估后就应该更加重点对待，再（3）采取方案阶段，无论从整体机械方面的设计还是从电控系统的防护，都应该是考虑的更加完善才行，例如，除了刚才提到的一些防护措施需要采取，实际上还可以考虑如何防止有人无意进入到运动部件活动范围内时，如何保证运动部件不能下移，例如在外面增加一个光幕，或者激光扫描仪，一旦有人进入危险区域，就要让电机停下来，从而保证人员的安全，这些都是功能安全需要考虑的问题，只有这样，才能保证一台设备在工作过程中是安全的。因此我们可以看到，安全系统的配置实际上是要根据现场的风险以及可能对人造成的伤害程度不同而随之变化的，现场的安全防护并不单单指安全系统自身的检测功能，这些检测功能只是帮助系统能够对发生的故障指令做出响应（例如检测到有人进入危险区域，光幕会发信号给安全PLC，安全PLC应该控制电机停等），并确保当这些故障信号出现时，安全系统的是一定会响应的（失效率很低），因而安全控制系统是要结合实际的风险等级来相应的安全功能和安全回路的，千万不能认为只要用了安全PLC设备或者系统就是安全的了，对设备的风险评估和安全功能的设计才是系统安全的基础。