1.2.4 安全系统的组成

一个安全的设备，最理想的状态应该是本质安全的，即从机械设计开始，就已经充分考虑了机械设备的各种危险因素，并采取防护措施，保证在使用过程中，各种工况下都是安全的，这就要求整个设备具有安全生命周期。

1.安全生命周期

安全生命周期是指从设备概念设计开始到所有的安全系统功能停用为止，所发生的实现安全系统功能的必要活动。

一般来讲，设备的安全生命周期包括以下几个阶段：

（1）研究与概念阶段

该阶段主要定义所要制造的设备的相关信息，例如，设备名称、设备的功能、设备的主要用途、设备的电压等级、设备的应用环境要求以及设备制造的相关设计项等。此时，既是新设备生命周期的开始，也是该设备安全生命周期的开始。

（2）危险分析阶段

该阶段主要的工作，是在前期的设备设计的基础上，对设计单独进行安全方面的审核，从中找出可能存在的风险因素，一一加以识别并评估这些风险的严重程度，从而为后期的安全防护措施的设计提供依据。这是安全系统设计的前提和基础，也是保证设备安全最重要的一个环节。

（3）安全设计阶段

根据危险分析的结果，需要针对设备在机械、电气等各个方面以及设备的安装调试、正式运行、维修改造等各个阶段、各个工况可能存在的风险进行安全防护措施的设计。其中包括相关的工作流程的制定、机械安全防护的设计、电气安全回路的设计、与安全相关的其他安全防护措施的设计等。

在安全设计中所采取的防护措施，必须能够将风险降低到可以接受的程度，否则需要重新进行设计。

（4）设备制造安装阶段

在安全设计结束后，可以进行设备的制造和安装、调试工作。调试正常后，设备可投入生产。此时，安全系统已经实现并集成在设备中。

（5）操作和维护阶段

设备在使用过程中，除了设备自身的维护保养，相关的安全系统也需要定期地进行操作和维护，以保证该设备的安全系统工作正常。

（6）修改或停用阶段

如果设备在使用过程中发现新的风险，或者发现原有的安全系统不能满足实际风险防护的要求，则需要对设备进行一定程度的改造，直到设备满足实际安全生产的要求为止。当设备达到工作年限不再使用时，设备的安全生命周期也随之结束。即设备的停用，才标志安全系统的生命周期的结束，否则，安全系统必须能够正常的工作，不能失效，也不能人为地进行拆除或旁路。

但在IEC 61508的标准中，将机械设备的安全生命周期的各个阶段又细分为16项相关的工作内容，如图1-11所示。这些相关的工作项中的具体内容，都可以在相应的标准中进行详细的查询。本书介绍的内容中，除了希望广大读者能够了解设备安全的生命周期的概念外，更多的是介绍第9部分：安全相关的电气系统（E/E/PES）的实现，因为这部分主要涉及的是设备的安全电气控制系统，这是广大自动化工程师需要关注的内容。

另外，从安全生命周期所包含的各个方面的内容中也可以看到，电气安全仅仅是设备安全的一个部分。要想实现设备的安全，应该是要满足整个安全生命周期的各个方面的要求。因此，不能说只要设备上使用了安全电气控制系统，这个设备就一定是安全的了。不过电气安全控制系统往往弥补了机械设计所不能完成的防护，同时也是设备在完成生产加工流程的过程中实现的功能性安全，从而起到防护作用的系统，是保障设备实现功能性安全的最主要的系统，因此是非常重要的一个部分。例如，安全防护门可以作为设备机械设计的安全措施，当防护门关闭时人员在安全防护门的外面，因此是没有风险的；但当安全防护门打开后，如果没有进一步的防护措施，则人员就会重新面临着设备带来的风险，此时，就需要采取进一步的电气防护措施来弥补机械防护失效时可能出现的风险。

2.安全控制系统

大家都是自动化领域的工程师，相信对自动化控制系统都不陌生。自动控制系统减轻了人类的劳动强度，提高社会生产力，提高了经济效益。

而随着控制要求的不断提高，大家对自动控制系统也逐渐有了一定的要求，例如，系统的稳定性、系统的可靠性以及系统的安全性。一般情况下，广大的用户对于控制系统的稳定性的要求是比较关注的，因为一个稳定的控制系统是保证生产活动的基础，这也是比较基本的要求。

但其实，在工业自动化不断发展的过程中，随着风险意识的提高，人们对于自动化控制系统的可靠性和安全性越来越关注。经过几十年的努力，工程师们在这个领域内不断地研究和总结，逐渐形成了可靠性和安全性工程这样一个研究领域。在这个领域里，大家提出了一系列新的概念和术语，例如，可靠性、安全性、平均失效间隔时间（MTBF）等，并建立了相应的评估体系。

这里，我们将传统的自动化控制系统定义为基本控制系统，与之相对应的就是安全控制系统。即，我们将自动控制系统分为两个部分：基本控制系统和安全控制系统。这两个系统在完成主要功能时，可以是相互独立的。那么，安全控制系统与基本控制系统相比较，到底有哪些区别呢？

其实，安全控制系统与基本控制系统的基本构成和工作原理都是一样的，但两个控制系统之间还是有一定区别的，主要区别在于：

（1）功能上的区别

对于基本控制系统来讲，主要是读取标准传感器的信号，之后CPU进行逻辑运算、数据运算，然后向执行机构（例如，阀门或电机）发出控制指令，从而完成控制功能。这是大家都非常熟悉的过程。

而对于安全控制系统来讲，其主要的功能也是首先读取传感器的信号，但这个传感器是指示“故障”的传感器（例如，急停按钮——一般认为，现场有了故障才需要按下急停按钮），之后安全系统的评估单元（安全PLC）进行计算或实现判别潜在危险工况的逻辑，并将结果输出给执行机构完成安全功能（例如，电机的主回路接触器断开），以避免进一步的危险工况的发生。

因此，从工作方式上看，两个控制系统都是一样的，但从功能上来讲，基本控制系统主要是让设备“动作”，完成控制工艺，满足生产的要求；而安全控制系统则主要是让设备“停下来”，防止发生进一步的危险，起到保护人员和设备的作用。

（2）评价指标不同

对于基本控制系统，我们更关注的是系统的可用性，即在任何时候系统都能正常工作的概率。例如，在许多行业，任何非计划的停机都有可能造成非常大的损失，因此对于基本控制系统，其可用性是最重要的评价指标。

而对于安全控制系统，其设计的原则是必须保证在设备出现故障时，安全系统能够立即响应，完成相应的安全功能（例如，急停功能），从而保证设备仍然处于安全状态。此时，设备的可用性可能暂时无法保证，设备的安全性才是最重要的评价指标。

3.西门子的安全控制系统

西门子的安全控制系统分为两个大类：一类是用于过程控制行业的安全系统，即SIS（Safety Instrumented System，安全仪表系统）；另外一类就是用于工厂自动化的安全系统，即分布式故障安全系统（Distributed Safety System）。本书主要介绍的是西门子的分布式故障安全系统。

（1）西门子故障安全系统的组成

西门子故障安全系统包括相关的硬件和软件。

1）硬件：组成西门子故障安全系统的硬件主要分为三个部分：危险源的检测、危险源的评估以及响应，如图1-12所示。

其中各个部分都由不同的硬件组成，其功能也各不相同：

● 检测部分：主要是指检测安全信号的传感器，例如，急停按钮、安全门位置开关等，该信号经过处理或通过人员的指令来记录一个危险事件的发生。

● 评估部分：对检测到的危险信号进行读入、评估、诊断、执行安全功能、输出诊断并向执行机构输出信号。其主要组成硬件包括安全型的PLC系统（包括F-DI、F-CPU和F-DQ系统）和安全继电器。另外，有的光幕设备也自带评估单元。

● 响应部分：主要指的是安全型输出控制的设备（例如，接触器、继电器等），用于关断系统驱动设备的电源、关闭/打开电磁阀等。

2）软件：一个完整的故障安全系统，除了硬件，软件也是其非常重要的一个组成部分。特别是以安全型PLC作为评估单元的系统中，如果系统的软件部分没有达到安全等级的要求，那么该安全系统集成在系统中在评估时往往是不能达到安全等级要求的。

一般来讲，安全软件部分主要包括：操作软件和相关的用户程序以及相关联的软件等部分。

对于西门子的故障安全系统，其安全相关的软件部分主要是指基于TIA博途平台的软件包SIMATIC STEP 7 Safety（Advanced或Basic），界面如图1-13所示。

该软件包是TIA Portal软件的一个可选软件包，必须基于TIA Portal才可以安装和工作。而用户也必须在安装了该软件包以后，才能在TIA Portal的硬件组态时找到所有的故障安全型的硬件模板，否则硬件组态时有些故障安全模板的型号是不完整的。另外，该软件包中提供了故障安全系统编程的环境以及安全功能块的库（包括E-STOP、Safety door monitoring、Muting等），这些功能块已经涵盖了机械安全领域中可能用到的全部安全功能，并且都是经过TÜV认证达到SIL3（或PLe）安全等级的，用户可以直接在自己的用户程序中调用这些功能块，无须再自己开发相应的功能块，否则用户还需要对自己开发的功能块进行认证，大大简化了用户编制安全程序的步骤以及进行安全评估的步骤。

因此，SIMATIC STEP 7 Safety（Advanced或Basic）软件包既包括了安全系统应用的环境，又涵盖了安全的用户程序部分，用户只需要将该软件包集成在TIA Portal平台中即可保证项目的软件部分满足安全系统的要求。

3）安全总线：除了以上的硬件和软件，西门子的故障安全系统还包括总线系统。

随着现场总线的广泛应用，西门子最早于1999年便推出了基于现场总线的安全通信的协议PROFIsafe，将安全设备和标准设备的数据完全整合在以PROFIBUS/PROFINET为平台的总线系统中，并达到SIL3或PLe的安全等级，如图1-14所示，保证数据被安全地传输。同时提供了比标准现场总线更加完善的诊断机制，保证数据在传输过程中一旦出现错误，将立即自动触发安全系统响应，启动相应的安全机制。目前PROFIsafe已经成为国际标准（IEC 61784）和国家标准（GB/T 20830—2015），被广大厂商所应用。

（2）西门子故障安全系统的工作机制

就控制系统来讲，早期传统的安全控制系统的工作原理一般都是采用结构冗余的原则，即采用两个（或以上）的相同的控制器，如图1-15所示，所有的系统都运行相同的程序，之后对运算的结果进行比较。但这种结构存在一些问题，比如成本较高，因为所有的模板都是专用的，并且数据同步也容易出现问题。

随着西门子S7-300/400系列PLC的发布，以及最新的S7-1500系列PLC的发布，西门子的故障安全系统主要采取的技术也由原来的结构冗余变成了编码处理和时间冗余，从而更加经济、更加便捷地实现故障安全的功能。

我们举个例子，来具体说明一下故障安全系统的工作原理以及故障安全系统与标准系统的区别，如图1-16所示。

例如，在标准系统中，我们需要进行一个运算操作z=x+y。如果将变量x和y分别进行赋值，即可得到z的值，并可以直接输出。

但在故障安全系统中，系统的评估体系需要对系统中所有采集到的值都进行校验，也可以理解为“验算”，即除了标准系统进行正常的运算外，故障安全系统需要额外的对所有采集到的变量的值进行校验，也需要对程序算法和得到的结果进行校验。因此，当标准系统得到变量x和y的赋值后，系统会同时在内部分别对这两个值进行一个取反的操作，并得到两个换算后的值x_c和y_c，同时，也会将原来的算法进行一个取反，得到新的运算方法z_c=x_c+y_c+1，这个过程我们称之为“编码处理”。

之后，标准程序开始运算，利用x、y并得到相应的结果z。标准运算结束后，故障安全系统会紧接着利用新的算法对换算后的变量x_c和y_c进行运算，得到编码处理后的运算结果z_c。但这两个过程是依次进行的，并不是同时进行的，因此，我们称为“时间冗余”。通过时间冗余技术，我们可以将该运算放在同一个CPU内进行，而不再需要两个冗余的CPU硬件，从而节省一块CPU硬件。

由于两个“相反”的运算分别得到了两个结果，此时，理论上我们将之前编码取反的运算结果再次取反后就应该得到与标准运算一致的结果。通过这样的方法，我们就可以对整个数据采集以及运算的过程、结果进行“验算”，从而保证整个过程的数据都是准确的。这个过程，我们称为“差异比较”。当然，如果在整个过程中有任何一个环节出错，那么比较后的结果应该是不同的。如果出现这种情况，则故障安全系统认为数据出现了错误，从而触发安全机制，不再输出运算结果，而输出替代的“安全值”。一般情况下，此时会输出安全值“0”，引导系统进入“停止”状态，并保证设备不能随意启动。

以上就是西门子故障安全系统的工作原理。其中，由于使用了时间冗余的技术，使得西门子的故障安全系统的CPU可以不再采用冗余的硬件结构，仅采用单CPU来实现，并通过提高CPU的诊断覆盖率，可以达到SIL3或者PLe的安全等级。另外，由于使用了PROFIsafe协议，使得数据借助标准的PROFIBUS/PROFINET总线也可以实现安全的传输，无须专用的安全总线，同样也大大节省了成本。