故障安全自动化系统用于具有较高级别安全要求的系统，对生产过程进行控制，当发生意外操作或故障时，该过程可以立即进入安全状态。这些过程受故障安全系统控制，关闭到安全状态不会危及人员或环境。对于工业安全的等级评估详见前文《工人的安全防线：工业安全标准》。

西门子的安全系统称为SIMATIC Safety。SIMATIC Safety系统的配置与普通控制系统一样，一个完整的安全系统通常分成三个子系统，分别负责：检测、评估和响应。不同的是安全系统中使用的器件都是需要有安全等级的，都需要进行安全等级评估。一个完整的安全系统构成如下：

输入系统：现场信息的采集如用于紧急关闭的按钮、安全门锁和用于电机控制的光幕等。
逻辑系统：安全输入模块获取现场传感器的信号状态提供给安全CPU，安全CPU执行用户编写的安全程序，将输出结果传向安全的输出模块。
输出系统：执行安全模块的响应功能，如用于电机控制的接触器、变频器等。

SIMATIC Safety 中的安全功能原理

SIMATIC Safety 故障安全系统可以在机器和人员保护领域实现安全概念（例如，用于制造和处理设备的紧急停止装置）。
可以满足以下安全要求：

• 符合 IEC 61508:2010 的安全级别（安全完整性等级）SIL 1 到 SIL 3
• 类别 2 到 4，符合 ISO 13849-1:2015 的性能等级 (PL) a 至 e

SIMATIC Safety 故障安全系统中的功能安全主要是通过安全 CPU和安全信号模块以及下载到CPU中的安全程序实现的，在发生危险事件时，SIMATIC Safety 系统执行安全功能将系统切换到或保持在安全状态。 安全功能主要包含在以下组件中：

• 故障安全 CPU中的安全相关的用户程序（安全程序）
• 故障安全输入和输出（F-I/O） 用于确保现场信息的安全处理（例如，用于紧急关闭按钮的传感器和用于电机控制的光幕和执行器），它们具有安全处理所需的符合要求安全等级的硬件和软件组件。
• F-CPU 中的安全程序和故障安全输入和输出之间的安全通信通过 PROFIsafe 安全规约进行。

故障安全CPU
可以使用功能块图 (FBD) 或梯形图 (LAD) 编程语言编写F-FB 和F-FC，并创建F-DB。
编译用户编写的安全程序时，故障安全系统将自动执行安全检查并插入附加的故障安全逻辑，从而进行错误检测和错误响应，故障安全系统同时执行这两种程序。可确保对错误和故障进行准确检测并做出适当的响应，使故障安全系统保持在安全状态或将其切换到安全状态。
除了安全程序外，还可以在故障安全 CPU 上运行标准用户程序，标准程序可以在故障安全 CPU 中与安全程序共存。故障安全 CPU 可以保护安全程序中安全相关的数据不受标准用户程序数据的意外影响。

故障安全信号模块
故障安全信号模块和标准信号模块之间的主要区别是故障安全信号模块通过冗余设计实现功能安全，包括使用两个处理器控制故障安全操作。这两个处理器互相监视，并确认它们正在同时执行相同代码，自动测试 I/O 电路，并在发生故障时将故障安全信号模块设置为安全状态。F-CPU 使用故障安全 PROFIsafe 总线规约与故障安全模块进行通信。

PROFIsafe 安全通信
西门子故障安全CPU 中的安全程序和故障安全输入输出模块之间数据传输采用的是PROFIsafe安全通信，是在标准的PROFIBUS DP 或标准的PROFINET IO 上进行的。PROFIsafe是符合IEC 61784-3-3 Ed2标准的具有高等级的安全规约，可以在标准数据帧中发送附加了安全措施的安全功能的用户数据。
PROFIsafe具有下列优点：

• 在标准 PROFIBUS DP 或 PROFINET IO 系统中同时进行标准通信和安全相关的通信均发生上，因此无需其它硬件组件。
• PROFIsafe 的故障安全性建立在单信道通信系统之上，安全通信不通过冗余电缆来达到目的；
• 标准通信部件，如电缆、专用芯片(ASICS)、DP-栈软件等等，无任何变化；
• 故障安全措施封闭在终端模块中(F-Master,F-Slave)；
• 采用专利SIL 监视器获得极高的安全性；
• 最高故障安全完整性等级为SIL3(IEC61508) ；

SIMATIC Safety 故障安全系统的硬件和软件组件

所需硬件组件

SIMATIC Safety 故障安全系统包含下列故障安全CPU：

• S7-1200F CPU
• S7-1500F CPU
• S7-1500HF CPU
• ET200SP F CPU
• ET200pro F CPU

故障安全CPU可以集中方式使用相应的故障安全信号模块：

• S7-1500 F-IO
• S7-1200 F-IO
• ET200pro F-IO
• ET200SP F-IO

还可以采用现场总线方式使用故障安全信号模块，如：

带有 PROFINET 接口的故障安全 CPU 可以在 PROFINET IO 上使用以下故障安全组件：

• 故障安全输入和输出 (F-I/O)，如：
  – ET 200SP 故障安全模块（接口模块使用IM155-6 PN ST、IM155-6 PN HF、IM155-6 PN HS）
  – ET 200MP 故障安全模块（接口模块使用使用IM155-5 PN BA、IM155-5 PN ST、IM155-5 PN HF）
  – ET 200S 故障安全模块（接口模块使用IM151-3 PN HF）
  – ET 200M 故障安全模块（接口模块使用IM153-4 PN HF）
  – ET 200pro 故障安全模块（接口模块使用IM154-4 PN HF、IM154-3 PN HF）
  – 基于故障安全 GSD 并具有 PROFIsafe 功能的 I/O设备（如光幕或激光扫描仪）
• 下面的通信CP/CM也可以用来连接PROFINET IO分布式站点上F-IO
  – CM 1542-1

所需软件组件

SIMATIC Safety 故障安全系统需要以下软件组合之一:

• STEP 7 Basic (TIA Portal) 带有 STEP 7 Safety Basic 可选包
• STEP 7 Professional (TIA Portal) 带有 STEP 7 Safety Basic可选包
• STEP 7 Professional (TIA Portal) 带有 STEP 7 Safety Advanced 可选包

STEP 7 Safety Basic可对故障安全型 S7-1200 进行参数分配和编程， STEP 7 Safety Advanced 适用于所有故障安全型控制器类别（S7-1500、S7-1200、S7-1500 软件控制器）。

注意：STEP7 (TIA Portal) 的版本与STEP 7 Safety软件版本要一致。