什么是故障安全系统

故障安全自动化系统用于具有较高级别安全要求的系统，对生产过程进行控制，当发生意外操作或故障时，该过程可以立即进入安全状态。这些过程受故障安全系统控制，关闭到安全状态不会危及人员或环境。

安全系统应该如何配置？

与普通控制系统一样，一个完整的安全系统通常分成三个子系统，分别负责：检测、评估和响应。不同的是安全系统中使用的器件都是需要有安全等级的，或者说在进行安全等级评估时都需要考虑的。

输入子系统：现场信息的采集如用于紧急关闭的按钮、安全门锁和用于电机控制的光幕等。
逻辑子系统：安全输入模块获取现场传感器的信号状态提供给安全CPU，安全CPU执行用户编写的安全程序，将输出结果传向安全的输出模块。
输出子系统：执行安全模块的响应功能，如用于电机控制的接触器、变频器等。

同时，SIMATIC Safety 故障安全系统也可以使用标准信号模块，执行没有安全要求的控制功能。

SIMATIC Safety 中的安全功能原理

SIMATIC Safety 故障安全系统可以在机器和人员保护领域实现安全概念（例如，用于制造和处理设备的紧急停止装置）。
可以满足以下安全要求：

• 符合 IEC 61508:2010 的安全级别（安全完整性等级）SIL 1 到 SIL 3
• 类别 2 到 4，符合 ISO 13849-1:2015 的性能等级 (PL) a 至 e

SIMATIC Safety 故障安全系统中的功能安全主要是通过安全 CPU和安全信号模块以及下载到CPU中的安全程序实现的，在发生危险事件时，SIMATIC Safety 系统执行安全功能将系统切换到或保持在安全状态。 安全功能主要包含在以下组件中：

• 故障安全 CPU中的安全相关的用户程序（安全程序）
• 故障安全输入和输出（F-I/O） 用于确保现场信息的安全处理（例如，用于紧急关闭按钮的传感器和用于电机控制的光幕和执行器），它们具有安全处理所需的符合要求安全等级的硬件和软件组件。
• F-CPU 中的安全程序和故障安全输入和输出之间的安全通信通过 PROFIsafe 安全规约进行。

故障安全CPU
可以使用功能块图 (FBD) 或梯形图 (LAD) 编程语言编写F-FB 和F-FC，并创建F-DB。
编译用户编写的安全程序时，故障安全系统将自动执行安全检查并插入附加的故障安全逻辑，从而进行错误检测和错误响应，故障安全系统同时执行这两种程序。可确保对错误和故障进行准确检测并做出适当的响应，使故障安全系统保持在安全状态或将其切换到安全状态。
除了安全程序外，还可以在故障安全 CPU 上运行标准用户程序，标准程序可以在故障安全 CPU 中与安全程序共存。故障安全 CPU 可以保护安全程序中安全相关的数据不受标准用户程序数据的意外影响。

故障安全信号模块
故障安全信号模块和标准信号模块之间的主要区别是故障安全信号模块通过冗余设计实现功能安全，包括使用两个处理器控制故障安全操作。这两个处理器互相监视，并确认它们正在同时执行相同代码，自动测试 I/O 电路，并在发生故障时将故障安全信号模块设置为安全状态。F-CPU 使用故障安全 PROFIsafe 总线规约与故障安全模块进行通信。

PROFIsafe 安全通信
西门子故障安全CPU 中的安全程序和故障安全输入输出模块之间数据传输采用的是PROFIsafe安全通信，是在标准的PROFIBUS DP 或标准的PROFINET IO 上进行的。PROFIsafe是符合IEC 61784-3-3 Ed2标准的具有高等级的安全规约，可以在标准数据帧中发送附加了安全措施的安全功能的用户数据。
PROFIsafe具有下列优点：

• 在标准 PROFIBUS DP 或 PROFINET IO 系统中同时进行标准通信和安全相关的通信均发生上，因此无需其它硬件组件。
• PROFIsafe 的故障安全性建立在单信道通信系统之上，安全通信不通过冗余电缆来达到目的；
• 标准通信部件，如电缆、专用芯片(ASICS)、DP-栈软件等等，无任何变化；
• 故障安全措施封闭在终端模块中(F-Master,F-Slave)；
• 采用专利SIL 监视器获得极高的安全性；
• 最高故障安全完整性等级为SIL3(IEC61508) ；

有关PROFIsafe的信息可以参考《PROFIsafe 系统描述》。

SIMATIC Safety 故障安全系统的硬件和软件组件

所需硬件组件

SIMATIC Safety 故障安全系统包含下列故障安全CPU：

• S7-1200F CPU
• S7-1500F CPU
• S7-1500HF CPU
• ET200SP F CPU
• ET200pro F CPU
  

故障安全CPU可以集中方式使用相应的故障安全信号模块：

• S7-1500 F-IO
• S7-1200 F-IO
• ET200pro F-IO
• ET200SP F-IO

还可以采用现场总线方式使用故障安全信号模块，如：

带有 PROFINET 接口的故障安全 CPU 可以在 PROFINET IO 上使用以下故障安全组件：

• 故障安全输入和输出 (F-I/O)，如：
  – ET 200SP 故障安全模块（接口模块使用IM155-6 PN ST、IM155-6 PN HF、IM155-6 PN HS）
  – ET 200MP 故障安全模块（接口模块使用使用IM155-5 PN BA、IM155-5 PN ST、IM155-5 PN HF）
  – ET 200S 故障安全模块（接口模块使用IM151-3 PN HF）
  – ET 200M 故障安全模块（接口模块使用IM153-4 PN HF）
  – ET 200pro 故障安全模块（接口模块使用IM154-4 PN HF、IM154-3 PN HF）
  – 基于故障安全 GSD 并具有 PROFIsafe 功能的 I/O设备（如光幕或激光扫描仪）
• 下面的通信CP/CM也可以用来连接PROFINET IO分布式站点上F-IO
  – CM 1542-1
  

带有PROFIBUS DP 主站接口的故障安全 CPU 可以在 PROFIBUS DP 上使用以下故障安全组件：

• 故障安全输入和输出 (F-I/O)，如：
  – ET 200SP 故障安全模块（接口模块使用IM155-6 DP HF）
  – ET 200MP 故障安全模块（接口模块使用IM155-5 DP ST）
  – ET 200S 故障安全模块（接口模块使用IM151-3 DP HF）
  – ET 200M 故障安全模块（接口模块使用IM153-2）
  – ET 200pro 故障安全模块（接口模块使用IM154-2 DP HF）
  – ET 200iSP 故障安全模块（接口模块使用IM152-1）
  – 基于故障安全 GSD 并具有 PROFIsafe 功能的 DP 从站（例如，光幕或激光扫描仪）
• 下面的通信CP/CM也可以用来连接PROFIBUS DP分布式站点上F-IO
  – CM 1243-5
  – CM 1542-5
  – CP 1542-5
  – ET200SP CM DP

具体故障安全IO选型手册请参考链接。

图1 故障安全 SIMATIC Safety 自动化系统组态示例

所需软件组件

SIMATIC Safety 故障安全系统需要以下软件组合之一:

• STEP 7 Basic (TIA Portal) 带有 STEP 7 Safety Basic 可选包
• STEP 7 Professional (TIA Portal) 带有 STEP 7 Safety Basic可选包
• STEP 7 Professional (TIA Portal) 带有 STEP 7 Safety Advanced 可选包
  

STEP 7 Safety Basic可对故障安全型 S7-1200 进行参数分配和编程， STEP 7 Safety Advanced 适用于所有故障安全型控制器类别（S7-1500、S7-1200、S7-1500 软件控制器）。

注意：STEP7 (TIA Portal) 的版本与STEP 7 Safety软件版本要一致。

具体软硬件选型请使用TIA Selection Tool，链接。

典型的SIMATIC Safety故障安全系统配置步骤

下图是一个典型的的PLC控制系统，ET200现场子站装有输入模块负责采集现场信号，通过PROFINET总线传递到CPU中，CPU执行逻辑程序通过ET200站点上的输出模块控制电机运行。

图2 标准控制系统

经过简单的三个步骤，就可以将标准控制系统配置成故障安全系统。
第一步：在ET200子站上增加安全的输入模块用于急停按钮、安全门锁和光幕等安全信号采集，增加安全输出模块和符合安全等级要求的接触器等产品控制电机运行。
第二步：将ET200站点的接口模块更换为支持安全模块的型号，将CPU更换为安全CPU。
第三步：安装安全软件包，在安全CPU中编写实现安全功能的安全程序并装载到CPU中。
完成后，一个标准控制系统就配置成具有安全功能的故障安全系统，同时还具有原标准控制系统的功能。

图3 故障安全系统