什么是故障安全系统？故障安全系统的基本原理

什么是故障安全系统？

故障安全系统是工业自动化控制系统的一种较为特殊的形式，其主要的功能是对自动化生产线或设备中的潜在危险工况进行评估，一旦有风险发生，将触发相应的安全功能，将设备维持在一个相对安全的状态，从而避免发生进一步的伤害。故障安全系统在保证人员、设备安全甚至保护环境方面起到了非常重要的作用。

故障安全系统的基本原理是什么？

故障安全系统的基本原理，是通过一定的技术手段，对系统中存在的可能导致系统失效的风险进行评估、监测，并保证系统自身不能失效的情况下，避免发生更加严重的事故。因此，在故障安全系统中，常用的技术手段主要是冗余以及故障检测技术。

在安全系统中，更多情况下故障指的是系统失效。 

在针对系统进行安全性和可靠性的评估时，除了了解系统在正常工况下的工作状态，其实更加重要的是对于系统失效工况的了解：如果传感器发生故障将会怎样？如果阀门卡涩没有打开系统将会怎样？而系统的解决此类问题的方法，其实是一套完整的解决方案，最常用的基础工具是失效模式和影响分析（FMEA）。

FMEA是在产品设计阶段和过程设计阶段，对构成产品的子系统、零件以及构成过程的各个工序逐一进行分析，找出所有潜在的失效模式，并分析其可能的后果，从而预先采取必要的措施，以提高产品的质量和可靠性的一种系统化的活动。

为什么会出现故障安全系统？

大家都是自动化领域的工程师，相信对自动化控制系统都不陌生。而随着控制要求的不断提高，大家对自动控制系统也逐渐有了一定的要求，例如：系统的稳定性、系统的可靠性以及系统的安全性。一般情况下，广大的用户对于控制系统的稳定性的要求是比较关注的，因为一个稳定的控制系统是保证生产活动的基础，这个也是比较基本的要求。

但其实，在工业自动化不断发展的过程中，随着风险意识的提高，人们对于自动化控制系统的可靠性和安全性越来越关注起来。经过几十年的努力，工程师们在这个领域内不断地研究和总结，逐渐形成了可靠性和安全性工程这样一个研究领域。在这个领域里，大家提出了一系列新的概念和术语，例如：可靠性、安全性、平均无故障时间（MTBF）等等，并建立了相应的评估体系。

这里，我们将传统的自动化控制系统定义为基本控制系统，与之相对应的就是安全控制系统。这两个系统在完成主要功能的时候，可以是相互独立的。

安全控制系统与基本控制系统有什么区别？

其实，安全控制系统与基本控制系统的基本构成和工作原理都是一样的，但两种控制系统之间还是有一定区别的，主要区别在于：

（1）功能上的区别 

对于基本控制系统来讲，主要是读取标准传感器的信号，之后CPU进行逻辑运算、数据运算，然后向执行机构（例如：阀门或电机）发出控制指令，从而完成控制功能。这个是大家都非常熟悉的过程。

而对于安全控制系统来讲，其主要的功能，也是首先读取传感器的信号，但这个传感器是指示“故障”的传感器（例如：急停按钮—一般认为，现场有了故障才需要按下急停按钮），之后安全系统的评估单元（安全PLC）进行计算或实现判别潜在危险工况的逻辑，并将结果输出给执行机构完成安全功能（例如：电机的主回路接触器断开），以避免进一步的危险工况的发生。 

因此，从工作方式上看，两种控制系统都是一样的，但从功能上来讲，基本控制系统主要是让设备“动作”，完成控制工艺，满足生产的要求；而安全控制系统则主要是让设备“停下来”，防止发生进一步的危险，起到保护人员和设备的作用。 

（2）评价指标不同

对于基本控制系统，我们更关注的是系统的可用性，即在任何时候系统都能正常工作的概率。例如在许多行业，任何非计划的停机都有可能造成非常大的损失，因此对于基本控制系统，其可用性是最重要的评价指标。

而对于安全控制系统，其设计的原则是必须保证在设备出现故障的时候，安全系统能够立即响应，完成相应的安全功能（例如：急停功能），从而保证设备仍然处于安全状态。此时，设备的可用性可能暂时无法保证，设备的安全性才是最重要的评价指标。

1.简单介绍“西门子的安全控制系统”

（1）西门子的安全系统的组成

西门子故障安全系统包括相关的硬件和软件。

1）硬件构成：组成西门子故障安全系统的硬件主要分为三个部分：危险源的检测、危险源的评估以及响应。 

其中各个部分都由不同的硬件组成，其功能也各不相同：

检测部分：主要是指检测安全信号的传感器，例如：急停按钮、安全门位置开关等，该信号经过处理或通过人员的指令来记录一个危险事件的发生。

评估单元：对检测到的危险信号进行读入、评估、诊断、执行安全功能、输出诊断并向执行机构输出信号。其主要组成硬件包括安全型的PLC系统（包括F-DI，F-CPU和F-DQ系统）和安全继电器。另外，有的光幕设备也自带评估单元。 

响应部分：主要指的是安全型输出控制的设备（例如：接触器、继电器等），用于关断系统驱动设备的电源、关闭/打开电磁阀等。

2）软件组件：一个完整的故障安全系统，除了硬件，软件也是其非常重要的一个组成部分。特别是以安全型PLC作为评估单元的系统中，如果系统的软件部分没有达到安全等级的要求，那么该安全系统集成在系统中在评估时往往是不能达到安全等级要求的。

一般来讲，安全软件部分主要包括：操作软件和相关的用户程序以及相关联的软件等部分。 

对于西门子的故障安全系统，其安全相关的软件部分主要是指基于TIA 博途平台的软件包SIMATIC STEP7 Safety (Advanced或Basic）。

SIMATIC STEP7 Safety (Advanced或Basic）软件包既包括了安全系统应用的环境，又涵盖了安全的用户程序部分，用户只需要将该软件包集成在TIA Portal平台中即可保证项目的软件部分满足安全系统的要求。

3）安全总线：除了以上的硬件和软件，西门子的故障安全系统还包括总线系统。

随着现场总线的广泛应用，西门子最早于1999年便推出了基于现场总线的安全通信的协议PROFIsafe，将安全设备和标准设备的数据完全整合在以PROFIBUS/PROFINET为平台的总线系统中，并达到SIL3或PLe的安全等级，保证数据被安全地传输。同时提供了比标准现场总线更加完善的诊断机制，保证数据在传输过程中一旦出现错误，将立即自动触发安全系统响应，启动相应的安全机制。目前PROFIsafe已经成为国际标准（IEC61784）和国家标准（GB/T 20830-2015），被广大厂商所应用。

2.西门子故障安全系统的工作机制

就控制系统来讲，早期传统的安全控制系统的工作原理一般都是采用结构冗余的原则，即：采用两个（或以上）的相同的控制器，所有的系统都运行相同的程序，之后对运算的结果进行比较。但这种结构存在一些问题，比如成本较高，因为所有的模板都是专用的，并且数据同步也容易出现问题。 

随着西门子S7-300/400系列PLC的发布，以及最新的S7-1500系列PLC的发布，西门子的故障安全系统主要采取的技术也由原来的结构冗余变成了编码处理和时间冗余，从而更加经济、更加便捷地实现故障安全的功能。

例如，在标准控制系统中，我们需要进行一个运算操作z=x+y。如果将变量x和y分别进行赋值，即可得到z的值，并可以直接输出。

但在故障安全系统中，系统的评估体系需要对系统中所有采集到的值都进行校验，也可以理解为“验算”，即：除了标准系统进行正常的运算外，故障安全系统需要额外的对所有采集到的变量的值进行校验，也需要对程序算法和得到的结果进行校验。因此，当标准系统得到变量x和y的赋值后，系统会同时在内部分别对这两个值进行一个取反的操作，并得到两个换算后的值xc和yc，同时，也会将原来的算法进行一个取反，得到新的运算方法zc=xc+yc+1，这个过程我们称之为“编码处理”。

之后，标准程序开始运算，利用x,y并得到相应的结果z。标准运算结束后，故障安全系统会紧接着利用新的算法对换算后的变量xc和yc进行运算，得到编码处理后的运算结果zc。但这两个过程，是依次进行的，并不是同时进行的，因此，我们称之为“时间冗余”。通过时间冗余技术，我们可以将该运算放在同一个CPU内进行，而不再需要两个冗余的CPU硬件，从而节省一块CPU硬件。

由于两个“相反”的运算分别得到了两个结果，此时，理论上我们将之前编码取反的运算结果再次取反后就应该得到与标准运算一致的结果。通过这样的方法，我们就可以对整个数据采集以及运算的过程、结果进行“验算”，从而保证整个过程的数据都是准确的。这个过程，我们称之为“差异比较”。当然，如果在整个过程中有任何一个环节出错，那么比较后的结果应该是不同的。如果出现这种情况，则故障安全系统认为数据出现了错误，从而触发安全机制，不再输出运算结果，而输出替代的“安全值”。一般情况下，此时会输出安全值“0”，引导系统进入“停止”状态，并保证设备不能随意启动。

以上就是西门子故障安全系统的工作原理。其中，由于使用了时间冗余的技术，使得西门子的故障安全系统的CPU可以不再采用冗余的硬件结构，仅采用单CPU来实现，并通过提高CPU的诊断覆盖率，可以达到SIL3或者PLe的安全等级。另外，由于使用了PROFIsafe协议，使得数据借助标准的PROFIBUS/PROFINET总线也可以实现安全的传输，无需专用的安全总线，同样也大大节省了成本。

更多细节尽在《西门子故障安全系统应用指南》

目前国内的许多行业和用户已经开始接受故障安全的理念，并且开始主动地考虑如何实现安全生产。但一直有点遗憾的是，在这个领域，我们还没有一套相对完整、实用的技术资料提供给广大的用户，我们的技术资料还基本上都是英文的并且是零散的。

《西门子故障安全系统应用指南》为广大故障安全产品的用户提供一套完整的参考资料。在本书的写作过程中，我们组织了西门子技术支持团队的技术专家和资深工程师们参与到内容的创作中来。

经过了近8个月的辛苦工作，我们将西门子故障安全产品的技术细节以及专家们的宝贵经验都写进了书中。其中很多内容都是大家平时经常遇到并来自现场的实际问题，将一一分享给广大读者。如果您能够仔细地阅读本书，相信在实际应用过程中，一定能够避免非常多的问题，大大提高您应用安全系统的效率。

编辑：黄飞