图1  非集成解决方案

本文以北京奔驰有限公司汽车生产线的应用为基础，阐述了其采用的西门子安全解决方案和PROFIsafe总线的安全原理和特点，并针对汽车生产工艺和控制方式特点，对使用安全集成解决方案的优势进行了详细介绍。

在汽车生产车间，特别是在自动化程度较高的焊装车间和总装车间，存在很多安全问题，如果这些危险区域没有得到符合要求的安全保护，将会给可持续性生产造成很大隐患和危险；相反，自动化生产线的安全运行将会使生产力得到极大提升。

北京奔驰汽车有限公司（以下简称“BBAC”）作为行业领先者，在这方面考虑的非常周到，在BBAC新厂的设计阶段，工程师们便把安全性作为重点战略性措施予以重视，力图通过安全的制造生产线实现跨越式发展。

BBAC选择西门子故障安全系统为制造生产线保驾护航，保证生产过程中安全控制的顺利实施，该生产线投产至今运行平稳。本文将介绍西门子安全系统如何在BBAC的生产线上发挥其可靠的保障作用，通过西门子安全解决方案在生产线使用中的特点来进行详细阐述。

集成的安全解决方案

首先，西门子安全解决方案创新性的安全集成功能的优势完美地体现在BBAC的焊装和总装生产线中。

在此之前，BBAC采用的系统解决方案是标准系统和安全系统分离的方式（见图1）：即标准系统的控制采用一台标准PLC进行控制，安全部分的信号通过大量的安全继电器进行控制。这样控制标准信号和安全信号不但需要使用两套硬件、总线和连线，而且从工程上也要用两种不同的方式进行接线、编程和组态。不难看出，这种方式下的硬件成本较高；接线复杂程度大；由于要使用大量的安全继电器，设备占用空间多；编程和安装维护的工程灵活性差。

基于以上不便之处，BBAC在新的生产线上使用了安全集成的技术（见图2）：通过一台西门子安全PLC对标准数据和安全数据同时进行处理，ET200S IO模块具有两种不同的型号，普通的IO模板连接普通的信号点，安全的IO模板连接安全的信号点，如急停、激光扫描仪等。普通的IO模块和安全的IO模块可以安装在一个机架上，紧凑的安装方式大大节省了控制柜内空间。在数据传输上，通过一条PROFIBUS总线连接，对于安全数据的传输，会通过安全PLC和安全IO模块自动在PROFIBUS总线上加载PROFIsafe协议，保证安全信号在总线上传输的可靠性和准确性。安全集成和PROFIsafe的使用使得工业控制系统更具安全性和可用性，硬件成本、布线成本大大降低，提高了系统灵活性，有效节约了布线和工程施工的成本。

以上的对比，显示出了安全集成的几大特点：有效减少模块数量（无需单独再使用外加的安全PLC）；标准控制和安全控制使用统一的编程和诊断方法；使安全信号在安全和非安全领域的传输更加简化；减少使用空间，降低电源和空调的使用需求；有效降低总费用（模块和组态）。

图2  集成的安全解决方案

BBAC总装生产线的传送系统通过西门子的安全集成解决方案，使用416F-2DP PLC实现安全控制功能和标准控制功能，这种方案节省了15个安全继电器和60多个普通继电器。416F-2DP PLC和IO之间的数据交换通过PROFIsafe和PROFIBUS实现，实现了网络集成，减少了1200m的敷线长度。通过ET200S标准IO模板和安全IO模板的使用，大大节省了控制柜的使用空间。由于西门子安全集成也是基于SIMATIC系统的，在组态和编程方面，依然依托STEP7和加载于其上的安全功能插件实现，所以工程的设计和调试时间得以大大优化。

采用符合IEC 61508要求的安全部件

西门子安全解决方案的第二大特点是采用符合国际安全标准IEC 61508要求的安全部件构成系统，最高安全等级可以达到SIL3/ AK6/ EN954-1 Category4安全系统。

国际安全标准IEC 61508名为“涉及到电气/电子/可编程电子系统安全的功能性安全”标准，它充分考虑了电气装备功能安全的要求，包括基本的安全原则和方法，描述了对危险区域的系统和设备的相应安全等级的要求。在2007年1月1日，该国际标准也已经转化为我国的国家安全基本标准GB20438。它将安全的有效性要求（安全性能） 根据相关风险进行了分级。该分级标准的安全级别称为安全完整性等级SIL（Safety Integrity Level），用来计算安全功能危险失效的概率，由低到高被划分为SIL1～SIL3，详见IEC 61508-2。

根据表1，当没有SIL等级要求时，可以认为是1～10年时间内产生1次危险故障；当SIL等级为SIL3时，意味着1000～10000年时间内产生1次危险故障。可以发现，一个SIL3级的安全系统比一个无安全要求的系统发生危险的概率要低很多，可以满足设备或系统运行无风险的要求。所以，要构建一个故障安全系统，首先需要构成该系统的模块和子系统都能符合相应SIL等级的要求。模块是否符合该SIL等级规范的要求需要由独立的安全认证机构来进行认证。

安全系统主要分为3个子系统：安全信号的检测、安全信号的分析和处理以及安全信号的反应。这3个部分构成了真正意义上的安全系统：安全信号点（急停、安全锁和双手按钮等）的检测，一般通过急停按钮、信号灯、安全门锁、光栅和激光扫描仪等来完成。

安全信号点的分析和处理，一般通过安全PLC、安全继电器等完成，以保证安全信号的正确性；安全信号点的响应，一般通过安全驱动装置将安全信号最后输出给驱动装置，完成安全功能的执行。每一部分缺一不可，因为一旦每个子系统不能达到要求的安全等级，就会影响整个系统的安全完整性。其中安全分析和处理单元以及安全相应单元在安全功能上所占的比重要比安全检测部分大得多。

BBAC采用了符合安全标准等级配置构建系统（见表2），所采用的西门子安全产品都经过的第三方权威认证机构TUV的测试，具有相应的TUV的认证证书，标明它能够支持到SIL3级的安全等级，符合国际安全标准要求，实现标准要求的安全功能。

安全功能库

西门子安全解决方案的第三大特点是在编程中所提供的安全功能库。在西门子的工程软件STEP 7中，提供了安全功能插件Distributed Safety，其中集成的安全功能库提供了经常用到的几乎所有安全功能，包括急停、安全门、双手按钮和屏蔽功能等，让实现安全功能更加简便易行。工程师不需要额外学习其他编程方式，就可以在熟悉的STEP7环境中完成对安全程序的编写。安全功能库中的所有的安全功能块都经过TUV的认证，可以支持到SIL3/ AK6/ EN954-1 Category4的安全等级。当然，也可以在该环境下自己编写安全程序。通过安全软件为安全工程做有力的支撑，让安全功能和程序的实现更加快速灵活和简洁清晰，经过比较，使用安全集成的软件使调试时间工作量减少了约20%。

基于开放安全通信技术PROFIsafe

西门子安全解决方案的第四大特点是所有的通信都是基于开放安全通信技术PROFIsafe。

BBAC的300C项目的总装车间采用PROFIBUS作为现场控制网络，安全网络部分采用基于PROFIBUS的PROFIsafe安全通信协议，由此实现了控制网络和安全网络的可靠集成。PROFIsafe将安全设备和标准设备的数据流完全整合在以PROFIBUS为平台的总线系统中，使标准设备和安全设备能同时共用一条通信链路。

安全标准认证组织TUV已经认证了PROFIsafe在PROFIBUS上运用的安全性，达到了IEC61508中SIL3的等级，可以保证数据在通信过程中的准确性和可靠性。和传统安全通信相比，PROFIsafe具有以下优点：安全通信和标准通信物理上可以在同一根电缆上共存；PROFIsafe故障安全建立在单信道通信系统之上来保证数据通信的安全性而无需冗余电缆实现； 支持标准通信部件，如电缆、专用芯片和DP栈软件等；故障安全机制通过终端模块（F-Master，F-Slave）触发；可以获得SIL3高等级的安全性。

在系统构成上，PROFIsafe像一根安全的神经网络将所有的部分连接起来，控制网络结构的简化，可有效地节约设备成本以及工程成本，并可使工程实施更加高效。它实现了安全通信和标准通信的集成，节省了安装费用，没有复杂的反馈接线，安全逻辑通过程序来实现，增强了灵活性，实现了系统对故障的实时监测。

结语

综上所述，西门子SIMATIC安全集成系统不是一个简单的安全系统，而是作为全集成自动化的一部分，是对现有自动化解决方案的安全集成解决方案，它无需独立的安全总线，故障安全数据和标准数据都可通过标准PROFIBUS或PROFINET网络进行传输。在控制上，可以使用STEP7语言在集成安全PLC上编写标准程序和安全程序，这意味着采用统一的自动化系统就能实现标准操作和故障安全操作。与采用单独的安全PLC来进行控制或者安全继电器来实现安全的系统相比，使用S7-300F和S7-400F PLC的集成安全解决方案更加灵活，能全面确切地报告故障，性价比更优。

上述优点是BBAC使用西门子安全集成解决方案的原因所在，使用西门子安全集成系统，BBAC大大降低了配线需要，节省了配线费用以及柜内空间；在通用工程环境方面，控制和安全系统只需使用一个工程工具来实现，统一的结构大大减少了工程、培训、操作、维护和备件的需求，也相应减少了这些方面的成本费用和工程时间。西门子安全集成系统体现了全集成自动化概念的明显优势：灵活性更强，接线和所需电缆更短，网络功能更加丰富，PROFIBUS安全集成以及调试时间更短等。