第2章 安全系统的组成

2.1 西门子安全系统介绍

2.1.1 西门子安全系统的硬件组件

西门子的故障安全系统主要由硬件和软件两个部分组成。而硬件又分为三个部分，分别是安全信号的采集部分、安全信号的评估单元以及安全信号的执行机构，如图2-1所示。

1.采集部分

安全信号的采集与普通信号的采集其实是类似的，都是通过传感器来实现的。但由于安全系统的特殊性，因此对应用于安全系统的传感器也是有一些特殊要求的。

一般来讲，用于安全系统的传感器都要求具备一定的“安全性”，即不能轻易地失效。

例如，对于一台设备的启动按钮，如果由于该按钮自身的质量原因或者接线的原因，导致按钮按下时设备没有启动起来，此时，对于设备或者人员是没有伤害的，因此，这类按钮采用普通的按钮就可以。

但是，假如该按钮是用于急停功能（E-STOP）的按钮，当我们需要触发该按钮时，一定是出现了紧急情况，此时我们希望设备一定能停下来，否则就有可能出现人员伤害。但如果该按钮此时由于自身损坏或者接线原因而失效导致系统没有停下来，则可能会出现人身事故。因此，对于应用在故障安全系统的传感器，是不能轻易出现故障或失效的。

因此，选择应用在故障安全系统中的传感器应该从以下几个方面来考虑：

● 自身的质量较好，不能轻易损坏。

● 一般具有故障安全应用设备的特殊颜色，例如，黄色、红色。

● 能够提供双触点，具有双通道接线的能力。

● 位置传感器类设备应具有强制脱扣功能，用于防止触点粘连（一般在产品说明或样本上应有符号：）。

● 经过相关认证。

西门子提供的安全类产品中，涉及传感器的设备包括：急停按钮、位置传感器、磁性开关、拉绳开关、脚踏开关等，种类比较丰富，如图2-2所示。

2.评估单元

故障安全系统的信号必须通过评估单元进行数据的验证，之后才能进行故障安全功能的逻辑运算和功能的执行，整个数据的处理都是通过评估单元进行的。对于西门子故障安全系统的评估单元，这里主要介绍安全PLC系统，包括故障安全型输入模块（F-DI模块）、故障安全型CPU（F-CPU）以及故障安全型输出模块（F-DQ模块），如图2-3所示。

（1）故障安全型输入（F-DI）模块

F-DI模块的主要功能是连接安全型传感器，采集来自于传感器的信号，如图2-4所示。

由于该模块是应用在故障安全系统中，因此其功能比普通的数字量输入模块具有更加完善的诊断功能。其中，主要的诊断功能包括：

● 连接线缆的诊断

该模块通过内部供电电源发出的脉冲信号以及相应的检测回路，实现外部传感器连接线路的故障诊断，例如，断线、短路等故障。

● 交叉回路的检测

一般来讲，F-DI模块都需要提供双回路接线的方式。该模块内部是两块印制电路板，可以分别接收两个通道的信号，并进行交叉检验，防止双回路接线错误，并能够检测双回路信号的差异。例如，某位置传感器内部为双触点，分别接入模块的两个对应的通道，当参数设置该两个对应通道为1oo2时，模块内部将对这两个通道的接线进行交叉检测，防止这两个触点的接线接错。

除了针对硬件及接线方面的检测，F-DI模块还有一个重要的功能，就是生成PROFIsafe报文：

由于西门子F-DI模块内部是双印制电路板设计，因此内部具有两块处理器，而采集后的信号在上传到背板总线以及现场总线时，是通过PROFIsafe协议进行数据传输的。因此，该模块会通过一块处理器生成安全信号的数据，另外一块处理器生成针对该安全数据的CRC校验码，并合并生成PROFIsafe报文，将安全数据发送到背板总线以及现场总线上，再传递给CPU进行评估和处理。

（2）故障安全型CPU（F-CPU）

当数据经过背板总线和现场总线传递到CPU后，F-CPU（见图2-5）将对数据进行编码处理以及相应的校验后才进行安全功能的逻辑运算。

由于F-CPU需要对安全逻辑进行编码处理以及相应的运算，因此，一般来讲，F-CPU的工作存储区都比标准CPU的工作存储器要大。

另外，F-CPU自身也要进行硬件的检测，以保证自身硬件不能出现故障，这些都是要消耗CPU的资源的，但同时也保证了F-CPU非常高的诊断覆盖率。

（3）故障安全型输出（F-DQ）模块

与F-DI模块类似，F-DQ模块（见图2-6）也提供了许多检测回路，用来进行输出线缆的故障检测，例如，断线、短路的检测。

以上是故障安全系统的评估单元安全型PLC系统的简单介绍。除此之外，安全继电器也是常用的评估单元。与安全型PLC系统相比，安全继电器具有功能实现简单，无须编程的优势，特别适用于单个安全回路的应用，并且同样可以满足机械行业最高安全等级（SIL3或PLe）的要求。但安全继电器不能完成逻辑控制，如果现场工艺要求比较复杂，同时又需要进行网络连接以及远程诊断时，还是采用安全型PLC更加便捷。

除了这些典型的模块，西门子的安全系统还有一些比较特殊的模块，比如，故障安全型模拟量输入（F-AI）模块，应用在ET200 SP上的F-Power模块以及支持ASi-F的Link模块等。关于这些模块的应用，这里不一一详细介绍了，需要时可以查阅相关的模块手册。这里只简单介绍F-Power模块，因为该模块的功能往往会与正常系统的电源模块相混淆。

对于ET200 SP上的F-Power模块，除了自身的F-DI\F-DQ外，其最主要的功能是实现安全的“组关断”功能，即连接在F-Power模块后面的所有的DQ模块，可以通过F-Power模块同时进行关断操作，并且如果其后连接的是标准的DQ模块，则这些关断可以达到SIL2的安全等级；如果其后连接的是F-DQ模块，则可以实现SIL3等级的安全“组关断”，如图2-7所示。

3.执行机构

安全信号的执行机构主要的功能是控制电机主回路的电源，实现设备的安全停止。目前，主要应用设备有两类，继电器或接触器类的关断设备以及安全型变频器。当然，还有声光报警等一些辅助安全设备。

（1）安全关断设备

对于安全关断设备，由于不像传感器类设备具有明显的颜色特征，因此大家比较关注的问题是，什么样的设备可以用在安全系统中，例如，作为连接输出模块的设备，可以使用普通的继电器（见图2-8），还是必须要使用安全型输出继电器？

要回答类似的问题，其实就是一个原则，即在安全集成过程中，应考虑是否满足实际系统安全等级的要求。

在后面的章节，我们还将介绍安全系统的评估。在进行安全系统评估计算的过程中，所有的设备都需要参与计算，因此，在选择输出关断设备时，应考虑该设备的相关参数是否能够满足安全等级的要求，只要满足要求便是可以应用的。当然，一般情况下，除了设备自身的参数外，还应考虑系统的结构，因为有些情况下，单个设备的参数可能不满足系统的要求，但如果采用不同的系统结构，也是可以达到安全等级要求的。因此，一般来讲，如果对于此类设备没有非常明确的要求，应尽量选择质量有保障的设备，或者是安全系统厂商推荐的产品，否则在计算时可能找不到设备的参数或者参数不容易满足安全系统的要求。

（2）安全型变频器

现在的自动化现场，变频器的应用已经非常广泛了。如果在变频器的回路中再串入接触器来控制电机的起停显然是不合理的，因此，西门子将安全功能集成在变频器的控制单元中，可以通过变频器直接实现安全功能，如图2-9所示。

变频器的安全功能主要来自于IEC 61800-5-2标准，该标准主要针对变频器、伺服系统、伺服驱动器以及安全编/解码器等产品提出了功能安全的要求，例如，安全转矩关断（STO）、SS1、SS2等安全功能，以防止意外的发生。

目前，按照IEC 61800-5-2标准，定义了若干安全功能，而西门子将其中最常用的几个安全功能都作为标配，免费集成在大多数的驱动产品中，例如，STO功能、SS1功能和SBC功能等，用户可以免费使用这些功能。而对于其他一些较为复杂的安全功能，用户也可以购买后再使用的。

但有一点应注意，由于驱动系统的特点，对于应用在驱动系统的安全功能，除了STO功能在专用电源模块或方案配合使用的情况下可以达到SIL3的安全等级外，一般都只能达到SIL2的安全等级。