什么是故障安全系統(tǒng)？

故障安全系統(tǒng)是工業(yè)自動(dòng)化控制系統(tǒng)的一種較為特殊的形式，其主要的功能是對(duì)自動(dòng)化生產(chǎn)線或設(shè)備中的潛在危險(xiǎn)工況進(jìn)行評(píng)估，一旦有風(fēng)險(xiǎn)發(fā)生，將觸發(fā)相應(yīng)的安全功能，將設(shè)備維持在一個(gè)相對(duì)安全的狀態(tài)，從而避免發(fā)生進(jìn)一步的傷害。故障安全系統(tǒng)在保證人員、設(shè)備安全甚至保護(hù)環(huán)境方面起到了非常重要的作用。

故障安全系統(tǒng)的基本原理是什么？

故障安全系統(tǒng)的基本原理，是通過一定的技術(shù)手段，對(duì)系統(tǒng)中存在的可能導(dǎo)致系統(tǒng)失效的風(fēng)險(xiǎn)進(jìn)行評(píng)估、監(jiān)測(cè)，并保證系統(tǒng)自身不能失效的情況下，避免發(fā)生更加嚴(yán)重的事故。因此，在故障安全系統(tǒng)中，常用的技術(shù)手段主要是冗余以及故障檢測(cè)技術(shù)。

在安全系統(tǒng)中，更多情況下故障指的是系統(tǒng)失效。?

在針對(duì)系統(tǒng)進(jìn)行安全性和可靠性的評(píng)估時(shí)，除了了解系統(tǒng)在正常工況下的工作狀態(tài)，其實(shí)更加重要的是對(duì)于系統(tǒng)失效工況的了解：如果傳感器發(fā)生故障將會(huì)怎樣？如果閥門卡澀沒有打開系統(tǒng)將會(huì)怎樣？而系統(tǒng)的解決此類問題的方法，其實(shí)是一套完整的解決方案，最常用的基礎(chǔ)工具是失效模式和影響分析（FMEA）。

FMEA是在產(chǎn)品設(shè)計(jì)階段和過程設(shè)計(jì)階段，對(duì)構(gòu)成產(chǎn)品的子系統(tǒng)、零件以及構(gòu)成過程的各個(gè)工序逐一進(jìn)行分析，找出所有潛在的失效模式，并分析其可能的后果，從而預(yù)先采取必要的措施，以提高產(chǎn)品的質(zhì)量和可靠性的一種系統(tǒng)化的活動(dòng)。

為什么會(huì)出現(xiàn)故障安全系統(tǒng)？

大家都是自動(dòng)化領(lǐng)域的工程師，相信對(duì)自動(dòng)化控制系統(tǒng)都不陌生。而隨著控制要求的不斷提高，大家對(duì)自動(dòng)控制系統(tǒng)也逐漸有了一定的要求，例如：系統(tǒng)的穩(wěn)定性、系統(tǒng)的可靠性以及系統(tǒng)的安全性。一般情況下，廣大的用戶對(duì)于控制系統(tǒng)的穩(wěn)定性的要求是比較關(guān)注的，因?yàn)橐粋€(gè)穩(wěn)定的控制系統(tǒng)是保證生產(chǎn)活動(dòng)的基礎(chǔ)，這個(gè)也是比較基本的要求。

但其實(shí)，在工業(yè)自動(dòng)化不斷發(fā)展的過程中，隨著風(fēng)險(xiǎn)意識(shí)的提高，人們對(duì)于自動(dòng)化控制系統(tǒng)的可靠性和安全性越來越關(guān)注起來。經(jīng)過幾十年的努力，工程師們?cè)谶@個(gè)領(lǐng)域內(nèi)不斷地研究和總結(jié)，逐漸形成了可靠性和安全性工程這樣一個(gè)研究領(lǐng)域。在這個(gè)領(lǐng)域里，大家提出了一系列新的概念和術(shù)語，例如：可靠性、安全性、平均無故障時(shí)間（MTBF）等等，并建立了相應(yīng)的評(píng)估體系。

這里，我們將傳統(tǒng)的自動(dòng)化控制系統(tǒng)定義為基本控制系統(tǒng)，與之相對(duì)應(yīng)的就是安全控制系統(tǒng)。這兩個(gè)系統(tǒng)在完成主要功能的時(shí)候，可以是相互獨(dú)立的。

安全控制系統(tǒng)與基本控制系統(tǒng)有什么區(qū)別？

其實(shí)，安全控制系統(tǒng)與基本控制系統(tǒng)的基本構(gòu)成和工作原理都是一樣的，但兩種控制系統(tǒng)之間還是有一定區(qū)別的，主要區(qū)別在于：

（1）功能上的區(qū)別?

對(duì)于基本控制系統(tǒng)來講，主要是讀取標(biāo)準(zhǔn)傳感器的信號(hào)，之后CPU進(jìn)行邏輯運(yùn)算、數(shù)據(jù)運(yùn)算，然后向執(zhí)行機(jī)構(gòu)（例如：閥門或電機(jī)）發(fā)出控制指令，從而完成控制功能。這個(gè)是大家都非常熟悉的過程。

而對(duì)于安全控制系統(tǒng)來講，其主要的功能，也是首先讀取傳感器的信號(hào)，但這個(gè)傳感器是指示“故障”的傳感器（例如：急停按鈕—一般認(rèn)為，現(xiàn)場(chǎng)有了故障才需要按下急停按鈕），之后安全系統(tǒng)的評(píng)估單元（安全PLC）進(jìn)行計(jì)算或?qū)崿F(xiàn)判別潛在危險(xiǎn)工況的邏輯，并將結(jié)果輸出給執(zhí)行機(jī)構(gòu)完成安全功能（例如：電機(jī)的主回路接觸器斷開），以避免進(jìn)一步的危險(xiǎn)工況的發(fā)生。?

因此，從工作方式上看，兩種控制系統(tǒng)都是一樣的，但從功能上來講，基本控制系統(tǒng)主要是讓設(shè)備“動(dòng)作”，完成控制工藝，滿足生產(chǎn)的要求；而安全控制系統(tǒng)則主要是讓設(shè)備“停下來”，防止發(fā)生進(jìn)一步的危險(xiǎn)，起到保護(hù)人員和設(shè)備的作用。?

（2）評(píng)價(jià)指標(biāo)不同

對(duì)于基本控制系統(tǒng)，我們更關(guān)注的是系統(tǒng)的可用性，即在任何時(shí)候系統(tǒng)都能正常工作的概率。例如在許多行業(yè)，任何非計(jì)劃的停機(jī)都有可能造成非常大的損失，因此對(duì)于基本控制系統(tǒng)，其可用性是最重要的評(píng)價(jià)指標(biāo)。

而對(duì)于安全控制系統(tǒng)，其設(shè)計(jì)的原則是必須保證在設(shè)備出現(xiàn)故障的時(shí)候，安全系統(tǒng)能夠立即響應(yīng)，完成相應(yīng)的安全功能（例如：急停功能），從而保證設(shè)備仍然處于安全狀態(tài)。此時(shí)，設(shè)備的可用性可能暫時(shí)無法保證，設(shè)備的安全性才是最重要的評(píng)價(jià)指標(biāo)。

1.簡(jiǎn)單介紹“西門子的安全控制系統(tǒng)”

（1）西門子的安全系統(tǒng)的組成

西門子故障安全系統(tǒng)包括相關(guān)的硬件和軟件。

1）硬件構(gòu)成：組成西門子故障安全系統(tǒng)的硬件主要分為三個(gè)部分：危險(xiǎn)源的檢測(cè)、危險(xiǎn)源的評(píng)估以及響應(yīng)。?

其中各個(gè)部分都由不同的硬件組成，其功能也各不相同：

檢測(cè)部分：主要是指檢測(cè)安全信號(hào)的傳感器，例如：急停按鈕、安全門位置開關(guān)等，該信號(hào)經(jīng)過處理或通過人員的指令來記錄一個(gè)危險(xiǎn)事件的發(fā)生。

評(píng)估單元：對(duì)檢測(cè)到的危險(xiǎn)信號(hào)進(jìn)行讀入、評(píng)估、診斷、執(zhí)行安全功能、輸出診斷并向執(zhí)行機(jī)構(gòu)輸出信號(hào)。其主要組成硬件包括安全型的PLC系統(tǒng)（包括F-DI，F(xiàn)-CPU和F-DQ系統(tǒng)）和安全繼電器。另外，有的光幕設(shè)備也自帶評(píng)估單元。?

響應(yīng)部分：主要指的是安全型輸出控制的設(shè)備（例如：接觸器、繼電器等），用于關(guān)斷系統(tǒng)驅(qū)動(dòng)設(shè)備的電源、關(guān)閉/打開電磁閥等。

2）軟件組件：一個(gè)完整的故障安全系統(tǒng)，除了硬件，軟件也是其非常重要的一個(gè)組成部分。特別是以安全型PLC作為評(píng)估單元的系統(tǒng)中，如果系統(tǒng)的軟件部分沒有達(dá)到安全等級(jí)的要求，那么該安全系統(tǒng)集成在系統(tǒng)中在評(píng)估時(shí)往往是不能達(dá)到安全等級(jí)要求的。

一般來講，安全軟件部分主要包括：操作軟件和相關(guān)的用戶程序以及相關(guān)聯(lián)的軟件等部分。?

對(duì)于西門子的故障安全系統(tǒng)，其安全相關(guān)的軟件部分主要是指基于TIA 博途平臺(tái)的軟件包SIMATIC STEP7 Safety (Advanced或Basic）。

SIMATIC STEP7 Safety (Advanced或Basic）軟件包既包括了安全系統(tǒng)應(yīng)用的環(huán)境，又涵蓋了安全的用戶程序部分，用戶只需要將該軟件包集成在TIA Portal平臺(tái)中即可保證項(xiàng)目的軟件部分滿足安全系統(tǒng)的要求。

3）安全總線：除了以上的硬件和軟件，西門子的故障安全系統(tǒng)還包括總線系統(tǒng)。

隨著現(xiàn)場(chǎng)總線的廣泛應(yīng)用，西門子最早于1999年便推出了基于現(xiàn)場(chǎng)總線的安全通信的協(xié)議PROFIsafe，將安全設(shè)備和標(biāo)準(zhǔn)設(shè)備的數(shù)據(jù)完全整合在以PROFIBUS/PROFINET為平臺(tái)的總線系統(tǒng)中，并達(dá)到SIL3或PLe的安全等級(jí)，保證數(shù)據(jù)被安全地傳輸。同時(shí)提供了比標(biāo)準(zhǔn)現(xiàn)場(chǎng)總線更加完善的診斷機(jī)制，保證數(shù)據(jù)在傳輸過程中一旦出現(xiàn)錯(cuò)誤，將立即自動(dòng)觸發(fā)安全系統(tǒng)響應(yīng)，啟動(dòng)相應(yīng)的安全機(jī)制。目前PROFIsafe已經(jīng)成為國(guó)際標(biāo)準(zhǔn)（IEC61784）和國(guó)家標(biāo)準(zhǔn)（GB/T 20830-2015），被廣大廠商所應(yīng)用。

2.西門子故障安全系統(tǒng)的工作機(jī)制

就控制系統(tǒng)來講，早期傳統(tǒng)的安全控制系統(tǒng)的工作原理一般都是采用結(jié)構(gòu)冗余的原則，即：采用兩個(gè)（或以上）的相同的控制器，所有的系統(tǒng)都運(yùn)行相同的程序，之后對(duì)運(yùn)算的結(jié)果進(jìn)行比較。但這種結(jié)構(gòu)存在一些問題，比如成本較高，因?yàn)樗械哪０宥际菍Ｓ玫?，并且?shù)據(jù)同步也容易出現(xiàn)問題。?

隨著西門子S7-300/400系列PLC的發(fā)布，以及最新的S7-1500系列PLC的發(fā)布，西門子的故障安全系統(tǒng)主要采取的技術(shù)也由原來的結(jié)構(gòu)冗余變成了編碼處理和時(shí)間冗余，從而更加經(jīng)濟(jì)、更加便捷地實(shí)現(xiàn)故障安全的功能。

例如，在標(biāo)準(zhǔn)控制系統(tǒng)中，我們需要進(jìn)行一個(gè)運(yùn)算操作z=x+y。如果將變量x和y分別進(jìn)行賦值，即可得到z的值，并可以直接輸出。

但在故障安全系統(tǒng)中，系統(tǒng)的評(píng)估體系需要對(duì)系統(tǒng)中所有采集到的值都進(jìn)行校驗(yàn)，也可以理解為“驗(yàn)算”，即：除了標(biāo)準(zhǔn)系統(tǒng)進(jìn)行正常的運(yùn)算外，故障安全系統(tǒng)需要額外的對(duì)所有采集到的變量的值進(jìn)行校驗(yàn)，也需要對(duì)程序算法和得到的結(jié)果進(jìn)行校驗(yàn)。因此，當(dāng)標(biāo)準(zhǔn)系統(tǒng)得到變量x和y的賦值后，系統(tǒng)會(huì)同時(shí)在內(nèi)部分別對(duì)這兩個(gè)值進(jìn)行一個(gè)取反的操作，并得到兩個(gè)換算后的值xc和yc，同時(shí)，也會(huì)將原來的算法進(jìn)行一個(gè)取反，得到新的運(yùn)算方法zc=xc+yc+1，這個(gè)過程我們稱之為“編碼處理”。

之后，標(biāo)準(zhǔn)程序開始運(yùn)算，利用x,y并得到相應(yīng)的結(jié)果z。標(biāo)準(zhǔn)運(yùn)算結(jié)束后，故障安全系統(tǒng)會(huì)緊接著利用新的算法對(duì)換算后的變量xc和yc進(jìn)行運(yùn)算，得到編碼處理后的運(yùn)算結(jié)果zc。但這兩個(gè)過程，是依次進(jìn)行的，并不是同時(shí)進(jìn)行的，因此，我們稱之為“時(shí)間冗余”。通過時(shí)間冗余技術(shù)，我們可以將該運(yùn)算放在同一個(gè)CPU內(nèi)進(jìn)行，而不再需要兩個(gè)冗余的CPU硬件，從而節(jié)省一塊CPU硬件。

由于兩個(gè)“相反”的運(yùn)算分別得到了兩個(gè)結(jié)果，此時(shí)，理論上我們將之前編碼取反的運(yùn)算結(jié)果再次取反后就應(yīng)該得到與標(biāo)準(zhǔn)運(yùn)算一致的結(jié)果。通過這樣的方法，我們就可以對(duì)整個(gè)數(shù)據(jù)采集以及運(yùn)算的過程、結(jié)果進(jìn)行“驗(yàn)算”，從而保證整個(gè)過程的數(shù)據(jù)都是準(zhǔn)確的。這個(gè)過程，我們稱之為“差異比較”。當(dāng)然，如果在整個(gè)過程中有任何一個(gè)環(huán)節(jié)出錯(cuò)，那么比較后的結(jié)果應(yīng)該是不同的。如果出現(xiàn)這種情況，則故障安全系統(tǒng)認(rèn)為數(shù)據(jù)出現(xiàn)了錯(cuò)誤，從而觸發(fā)安全機(jī)制，不再輸出運(yùn)算結(jié)果，而輸出替代的“安全值”。一般情況下，此時(shí)會(huì)輸出安全值“0”，引導(dǎo)系統(tǒng)進(jìn)入“停止”狀態(tài)，并保證設(shè)備不能隨意啟動(dòng)。

以上就是西門子故障安全系統(tǒng)的工作原理。其中，由于使用了時(shí)間冗余的技術(shù)，使得西門子的故障安全系統(tǒng)的CPU可以不再采用冗余的硬件結(jié)構(gòu)，僅采用單CPU來實(shí)現(xiàn)，并通過提高CPU的診斷覆蓋率，可以達(dá)到SIL3或者PLe的安全等級(jí)。另外，由于使用了PROFIsafe協(xié)議，使得數(shù)據(jù)借助標(biāo)準(zhǔn)的PROFIBUS/PROFINET總線也可以實(shí)現(xiàn)安全的傳輸，無需專用的安全總線，同樣也大大節(jié)省了成本。

更多細(xì)節(jié)盡在《西門子故障安全系統(tǒng)應(yīng)用指南》

目前國(guó)內(nèi)的許多行業(yè)和用戶已經(jīng)開始接受故障安全的理念，并且開始主動(dòng)地考慮如何實(shí)現(xiàn)安全生產(chǎn)。但一直有點(diǎn)遺憾的是，在這個(gè)領(lǐng)域，我們還沒有一套相對(duì)完整、實(shí)用的技術(shù)資料提供給廣大的用戶，我們的技術(shù)資料還基本上都是英文的并且是零散的。

《西門子故障安全系統(tǒng)應(yīng)用指南》為廣大故障安全產(chǎn)品的用戶提供一套完整的參考資料。在本書的寫作過程中，我們組織了西門子技術(shù)支持團(tuán)隊(duì)的技術(shù)專家和資深工程師們參與到內(nèi)容的創(chuàng)作中來。

經(jīng)過了近8個(gè)月的辛苦工作，我們將西門子故障安全產(chǎn)品的技術(shù)細(xì)節(jié)以及專家們的寶貴經(jīng)驗(yàn)都寫進(jìn)了書中。其中很多內(nèi)容都是大家平時(shí)經(jīng)常遇到并來自現(xiàn)場(chǎng)的實(shí)際問題，將一一分享給廣大讀者。如果您能夠仔細(xì)地閱讀本書，相信在實(shí)際應(yīng)用過程中，一定能夠避免非常多的問題，大大提高您應(yīng)用安全系統(tǒng)的效率。

編輯：黃飛

?