工业安全系统的失效会导致死亡和破坏，在设计阶段就将安全功能整合其中可以节省时间、金钱甚至拯救生命，不至登上每日头条。路易斯安娜湾海岸原油泄漏对环境造成的破坏还未平息，一处海底钻井平台的爆炸又夺走了11条生命。不到一个月前，西弗吉尼亚煤矿的一次地下瓦斯爆炸造成了29人死亡。悲剧的形式各异，然而它们都一个共同点：在某处，不知何故，工业安全系统失效了。
        生产厂商对安全功能给予了足够重视——庆幸的是这些悲剧并不时常发生——事实上，如果安全规章和系统哪怕失效了一瞬间，也会引发一场灾难。系统必须能够做到失效安全；在科技飞速发展和经济脆弱的今天，对于在设备和操作流程的设计阶段整合安全功能的呼声从来没有这么高涨过。相比于事后补强，从设计之初就考虑整合安全功能，可以帮助减少资产损失、人员伤害，而且实现起来较为简单、更有效率、更加具有成本效益。

        自动机器人的设计需包括压力机之间的保护区域。使用继电器的花费是$100,000www.cechina.cn，安全PLC设计的花费是$60,000www.cechina.cn，而且更加灵活，便于改动。（资料来源：Siemens Industry Inc.）

        自动物料搬运系统
        通过创建物料自动搬运系统，坐落于美国威斯康星洲的CNC Solutions公司帮助他的客户优化了操作、减少了负载，使其能以比以前手动系统更快的速度生产出一致性更好的产品。集成商聚焦于使用先进的技术为设备和过程控制提供自动化解决方案，坚持自动化是保持竞争力、提供安全性和获得快速投资回报的关键。伤亡事故会增加停机时间、增加工人的赔偿保险比率、并最终影响企业的财务状况。
        既然这样，金属板材的尺寸和重量就与物料搬运问题密切相关了。客户的手动操作是劳动密集型作业，需要2个工人搬动金属板材。金属板材的锋利边缘会带来安全隐患，引发了很多赔偿要求。CNC Solutions公司致力于减少物料夹持的次数，仅需1名工人就可以安全地操作系统。集成商说，CNC Solutions公司通过将流程中金属板材的物理接触次数从8次减少到1次来达成了这种目的。
        在新系统中，一台机器人将堆砌成垛的产品从前一工序移动到下一工位中。多工位机器人系统按需处理这些零部件，然后再堆砌城垛，便于下一工序使用。操作人员在HMI中输入零件号，就可以使用小轮车将堆砌成垛的零件移入或移出工位，减少伤害事故。工位周边设置了带有准入门和连锁的安防装置，进一步确保安全性。
        可编程PLC，快速安全启动
        加拿大安大略斯特拉特福德D&D Automation公司的系统集成人员说，在设备使用之前，所有的安全电路都应该就位。在项目的设计阶段，从集成安全功能的角度可能无法覆盖所有事项，但是，还是应该尽量考虑全面。
        在一家汽车组装厂的车身维修车间项目中，D&D Automation第一步就是使用Pilz安全PLC在所有构架线内搭建通讯和网络连接。
        相关的集成人员谈到：“一旦安全通讯和网络搭建完成，我们就可以开始定义安全I/O。很多情况下，安全PLC是很方便的，因为你可以根据需要定制安全逻辑并作修改，无需重新做继电器布线。试车阶段仍旧适用。安全PLC的控制逻辑可以更改，这也同样是一个不利之处。必须使用密码来保护，以防误更改。”
        急停开关、门禁和光幕可以用来在车间内或周围及时保护工人。可编程安全PLC赋予集成商几乎可以根据需要任意设置安全功能的能力。设备控制部门创建功能模块。集成商帮助开发并安装光幕/安全门禁模块。当门被打开并且光幕被遮挡时，系统就会使临近车间的工作安全地停止。
        集成安全功能，专家献策
        安全自动化项目具有法律上的要求，项目必须经过审核通过（有时需经管理机构）后方可投入使用，通过比对各种应用案例，确保项目的风险等级在可以接受的程度内。例如，如果误操作发生或者设备失效，是否能仍维持安全工况。

        事实上，在设备的设计阶段就整合安全功能比之后增加安全功能具有更高的成本效益。它也能够帮助确保工人的安全，此图中一名技师正在使用多轴机构调整传送站。（资料来源：Bosch Rexroth）

        Sick公司的安全项目经理Juergen Bukowski说，在项目中整合安全技术需要广泛的知识、项目专家和多年的经验。安全项目极大地依赖于PLC程序员的能力，他们的任务是使设备就位并运行，使其适应环境，并“在运行中随时进行更改”。Bukowski说，考虑一种典型的安全应用，物料必须从设备中运出控制工程网版权所有，但是不允许人员和物料进入设备。他说道：“可以通过使用额外的传感器来禁用光幕，可以使安全器件自动地暂时被禁用，当传感器检测到托盘，安全光幕就会被禁用。”
        安全PLC可以完成这个工作，Bukowski指出，经过认证的回程不保护功能模块可以确保光幕的安全暂停。假设回程不保护传感器是一个反射开关，输出模式是当有反射物体则输出高电平，当有物体遮挡光路则输出低电平。Bukowski补充道：“回程不保护功能模块需要接受传感器的高电平输入才能禁用光幕。缺乏经验的集成人员可能认为这毫无难度并且说：‘让我们使用逻辑非功能模块来屏蔽信号。’”
        Bukowski继续道，虽然这种解决方案可能看起来安全，一旦2个传感器的电源被切断了会怎么样呢？他说：“2个传感器都会关闭，对于安全PLC来说就好像这两个传感器都检测到了物体，进而导致暂停光幕。在实际应用中，如果使用安全概念（功能模块），反而会导致不安全的情况发生。”他警告说：“这种情况下，必须将高电平有效的传感器和额外的控制信号或者时间监控功能搭配使用。”
        生产厂商会为他们的自动化工程选择有资质的集成商，他们对此总是谨慎而行，对待项目中的安全功能部分必须保持同样的谨慎。保证集成商之间的独立，Bukowski建议道：“有经验的安全功能集成商在项目的所有阶段都会努力减少同样安全风险出现的可能性。使用简单、易用的工具进行设计、仿真和测试，也有助于项目设备再整个生命周期内都能保持良好的安全功能。”
        安全PLC，安全以太网，同一线路
        在设计之初就整合安全功能是明治的选择，Siemens公司和其富兰克林田纳西州的解决方案合作伙伴Advanced Engineering公司都赞同这个观点。即使初期规模很小，其优点还是很可观的，因为大多数的安全功能都可以应对不断升级的系统。
        最近的工程中，Advanced Engineering公司注意到在设计布线和设计功能特性的时候www.cechina.cn，尽可能早地在计划阶段就确定安全PLC可以节省时间和金钱。使用安全以太网在一条线路上来实现启动/停止、速度参考和安全功能会带来极大的节省。公司的总裁Neufeldt说道：“很快，所有设备都将配备安全以太网，设备有了安全以太网，可以实现控制、诊断和安全功能。你可以设定区域以及重置设备。智能设备，例如驱动，还可以实现很多其他的功能特性。”
       “使用安全以太网在一条线路上来实现启动/停止、速度参考和安全功能会带来极大的节省；与设备相连，实现控制、诊断和安全功能。”
        公司在汽车领域内项目颇多，他安装了很多安全系统，每台系统具有超过200个I/O安全端口。Neufeldt说道：“通常，这么多的端口需要很多布线，但是采用了Profinet和Siemens公司的Simatic S7-300F处理器来分配I/O端口，可以极大地减少布线，进而确保操作人员的安全。”
        例如，某汽车制造商为机器人和冲压机设定区域，并为此区域设置安保装置。为达此目的，需要使用很大数量的安全继电器，此花费使生产厂家不得不思量再三。集成商建议使用安全PLC和安全I/O进行设计。包括冲压机之间的区域保护和工作人员进入每个安保区域时需要关闭何种功能以确保其安全。使用继电器来实现此功能需要花费大约100000美金，使用PLC只需要60000美金。使用继电器的话，系统修改几乎是不可能的，而使用PLC就灵活得多，同时具备诊断功能，使用更少的布线，无需停机就可以操控分布式I/O端口。
        GM公司对安全控制器的整合
        对整合安全功能的重视可以带来产量的提高，节省数百万美元。15年以前，General Motors公司开始了一场保持全球最优安全记录的旅程。随后，其北美工厂的事故率下降，在1993到2008年间，损失工作日事故率从4.5%降低到0.14%。汽车制造商立志达到“创造安全——让安全时刻伴您左右”，公司负责全球健康与安全、设计、标准和技术的高层管理人员和顾问Mike Douglas说道。
        从生产车间到最终用户的安全功能整合工作都有GM公司的行政人员和工会代表参与其中。这些努力建立了安全工作专员并创建了风险评估程序，以帮助评定潜在危险、确定安全自动化需要，确保机械和设备符合应用等级的需要。以一个项目为例，GM公司将Rockwell Automation公司的安全控制方案整合入生产过程中，来完成日常作业，这一举动每年为GM公司的5个工厂节省了数百万美元，并降低了停机时间。安全可以激发生产率，每5个小时可以多生产4辆汽车，这提高了GM公司的收益。

        夹持金属板材完成冲压成型作业导致了大量工伤事故，直到CNC Solution使作业自动化并减少了锋利零件的夹持次数，情况才有所改观。机器人系统减少了停机时间和不断重复的运动伤害。（资料来源：CNC Solutions）

        风险评估过程也最终导致了安全功能的整合，以及流水线固件、部件和生产成本的标准化控制。为减少安全继电器布线中电缆和人力的消耗，GM公司聚焦于可编程控制器。GM公司与Rockwell Automation公司合作，开发并促成了Allen-Bradley GuardLogix控制器。此控制器具有SIL 3（安全完整性等级）等级，整合了安全功能和标准化控制。使用此控制器代替传统的安全继电器，GM公司减少了新型壳体车间设备的安装和调试时间。以前，一个具有5个机器人的工作间需要640根引线和电缆。而新系统将此数目减少至1根5芯电缆。“即插即用”功能和调试功能消减了安装和维护时间及成本。
        整合功能安全与运动控制
        集成商和运动控制专家们经常被要求对现有设备或者流程中的伺服控制做修改。Bosch Rexroth公司的高级产品工程师Gary Thrall说道：伺服控制可以带来很多好处，但是当需要增加新动作的时候，必须考虑设备的功能安全性。
        他说道：功能安全最好在设备的设计阶段做全局考虑，而不是在设备成型后作为一个增加属性。某个具有很高生产率的车用气囊装配商在装卸站的入口处，为伺服驱动的前向越程限位信号输入端连接了光幕。伺服驱动移动气囊折叠手臂，在设备向卸货站运动的时候，有操作人员遮挡了光幕，那么此轴的工作立即停止。当折叠好的气囊被移走之后，即使操作人员的手遮挡了光幕，也不会影响运动。

例如此款Sick公司的Model A-C4000的安全光幕通常用于设备上的操作点安防.

        Thrall说道，使用不带冗余或者诊断功能的标准（非安全）输入，一个故障，就有可能导致急停功能不起作用，导致设备向操作人员的手快速运动，而这种危险正是公司想竭力避免的。他说，标准伺服驱动越程限位输入是一块使用常规方法设计的电路板，并非是一块具有额定安全冗余的可靠控制电路板。在受调查设备中，没有设备在危险条件下失效，但是他们仍旧选择降低风险等级。Thrall建议工厂考虑IEC EN61800-5-2标准中定义的驱动特性安全方向。安全方向对于轴运动进行经认证的安全监控，以便当轴在“错误”的方向进行了超过设置的运动距离时，将轴的扭矩降至0。 一旦完成设置，监控可以关断或者打开，并为驱动器提供冗余安全输入——这里指光幕输出。
        Thrall继续道，在很多系统更改中，原有系统的基本保护和联锁可能并不是最新的。通常原有系统仅仅提供了一个简单的单通道无冗余急停开关用于断电。增加合适的保护以及可以切断伺服驱动供电的门连锁可能会带来新的故障和顺序重启问题。
        来自美国伊利诺伊州圣查尔斯的客户控制方案负责人Dave Stuber建议使用IEC EN 61800-5-2标准中定义的Safe Stop 2功能，在驱动非预期启动时，它可以对操作人员起到保护作用。当门处于打开状态时控制工程网版权所有，精密系统中的所有轴都可以保持位置和同步，如果运动超过了预定的安全限，安全功能监控器就会停止轴的运动，以避免能量循环应力、接触器磨损、时间延迟、故障和其他期间重启逻辑问题。
        整合安全功能，提升安保
        Trinity Systems Ltd.公司英国总部常务董事Neil Crompton说道，安全仪表系统（SIS）要求集成商证明自己的竞争力和资质，以胜任SIS作业，并递交一个满足客户对每个安全仪表功能（SIF）的安全完整性等级（SIL）的要求。他说，大多数安全系统需要在DCS通讯基础结构中安全地整合通讯功能。为此，集成商必须为SIS和DCS设置和配置通讯功能。
        集成商必须提供高安全性和鲁棒性的系统，以确保整合通讯。网络安全越来越关键，如果网络不安全，集成商的系统就有可能丢失画面，甚至更严重的是，丢失SIS和DCS之间的实时数据。集成商需要重视SIS和DCS的网络安全特性，开发新的工具和方法。
        SIS功能必须与DCS功能做适当的隔离，以保证在通讯或者完整性被破坏的情况下，系统的安全功能仍能工作，确保流程仍处于被保护的安全状态下。
        有些SIS系统可以自行监控通讯。例如Invensys Operations Management公司与一家网络安全公司Byres Security合作CONTROL ENGINEERING China版权所有，为他的Tricon通讯模块 (TCM)增加了OPC防火墙。防火墙具有一个深度防御层，确保集成商能够享受到OPC Classic的灵活性和整体性的优势，而无需关心基于DCOM系统的安全问题。
        Invensys Operations Management公司的网络构架师Joe Scalia说道，处理器和生产厂商忌惮于越来越多的网络攻击，必须提高警惕和安保意识。“OPC防火墙通过管理通讯模块的进出通道来降低风险，提供更进一步的保障，确保网络攻击不会影响安全功能和关键控制系统以及监控HMI或离散控制系统之间的正常通讯。”