常見五種安全PLC的冗余系統(tǒng)結(jié)構(gòu)和安全性可靠性分析

1、常用安全PLC的結(jié)構(gòu)和性能【摘要】本文介紹了幾種常見的安全PLC的結(jié)構(gòu)和性能，然后對(duì)各種安全PLC的特性進(jìn)行了歸納和總結(jié)?！娟P(guān)鍵詞】安全PLC N選X系統(tǒng)三重冗余四重冗余Abstract : The article analyses several popular safety PLC's architecture and performance. Finally, summarize their features.Key word : Safety PLC XooN TMRQMR近幾十年來，多起工業(yè)事故發(fā)生的原因可以追溯到計(jì)算機(jī)系統(tǒng)的失效，引起了 人員傷亡、設(shè)備損壞和環(huán)境污染。這些信

2、息也喚醒了國(guó)家和公眾對(duì)減少危險(xiǎn)、建立安全 工業(yè)流程的意識(shí)。為此，IEC制定了新的安全國(guó)際標(biāo)準(zhǔn)：IEC 61508/ 61511 ,也已經(jīng)由 工業(yè)組織合作制定完成，我國(guó)的相關(guān)標(biāo)準(zhǔn)也即將頒布。為了幫助讀者了解目前安全 儀表系統(tǒng)（SIS ）使用安全PLC實(shí)現(xiàn)電氣/電子/可 編程電子系統(tǒng)（E/E/PES ）功能的情況，就常見的幾種安全系統(tǒng)結(jié)構(gòu)進(jìn)行探討，希望能 對(duì)今后的系統(tǒng)選擇有所借鑒和參考。1 . PLC是一個(gè)邏輯解算器一個(gè)安全系統(tǒng)的邏輯解算器是一種特殊類型的PLC ,它具有獨(dú)立的安全功能認(rèn)證，但也有繼電器邏輯或者固態(tài)邏輯的運(yùn)算能力。邏輯解算器從傳感器讀入信號(hào)，執(zhí)行 事先編制好的程序或者事先設(shè)計(jì)好的功

3、能，用于防止或者減輕潛在的安全隱患，然后通 過發(fā)送信號(hào)到執(zhí)行器或最終元件采取行動(dòng)。邏輯解算器的設(shè)計(jì)有很多種，來滿足不同的市場(chǎng)需求、應(yīng)用和任務(wù)。我們下面 將就比較典型的安全PLC的結(jié)構(gòu)進(jìn)行探討。2 .安全PLC的體系結(jié)構(gòu)當(dāng)你構(gòu)建一個(gè)安全系統(tǒng)時(shí)，可以有很多方式來安排安全系統(tǒng)部件。有些安排考慮的是對(duì)成功操作有效性的最大化。（可靠性或可用性）。有些安排考慮的是防止特殊失效 的發(fā)生（失效安全，失效危險(xiǎn)）。控制系統(tǒng)部件的不同安排可以從它們的體系結(jié)構(gòu)中看出來。這節(jié)內(nèi)容將介紹市場(chǎng)上幾款常見的可編程電子系統(tǒng)（PES）的體系結(jié)構(gòu)，了解它們的安全特性，以及在安全和 關(guān)鍵控制的應(yīng)用。它們是已經(jīng)在實(shí)踐中存在的多種結(jié)構(gòu)的

4、代表，真正現(xiàn)場(chǎng)使用的系統(tǒng)就是這些結(jié)構(gòu)的不同組合。下面的內(nèi)容將用N選X （比如2選1）的方式：XooN來介紹系統(tǒng)。在每個(gè)類型中， X代表需要執(zhí)行安全功能的通道數(shù)，而 N代表整個(gè)可用的通道數(shù)。.2.1 . 1oo1單通道系統(tǒng)單控制器帶有單個(gè)邏輯解算器和單個(gè)I/O代表了一個(gè)最小化的系統(tǒng)，見下圖 （圖1）。這個(gè)系統(tǒng)沒有提供冗余，也沒有失效模式保護(hù)。電子電路可以失效安全 （輸出斷電， 回路開路） 或者失效危險(xiǎn)（輸出粘連或給電，短路）。這種安排方式是典型的非安全- 常規(guī)PLC系統(tǒng)結(jié)構(gòu)。圖1: 1oo1結(jié)構(gòu)安全PLC的輸入和常規(guī)PLC的輸入接法也有區(qū)別，常規(guī) PLC的輸入通常接 傳感器的常開接點(diǎn)，而安全 P

5、LC的輸入通常接傳感器的常閉接點(diǎn),用于提高輸入信號(hào) 的快速性和可靠性。有些安全 PLC輸入還具有 蘭態(tài)”功能，即 常開”、常閉”和 斷線" 三個(gè)狀態(tài)，而且通過 斷線”來診斷輸入傳感器的回路是否斷路，提高了輸入信號(hào)的可靠 性。另外，有些安全 PLC的輸出和常規(guī)的PLC的輸出也有區(qū)別。常規(guī) PLC輸出 信號(hào)之后，就和 PLC本身失去了關(guān)聯(lián)，也就是說輸出后，比如說接通”外部繼電器，繼電器本身最后到底通沒通,PLC并不知道，這是因?yàn)闆]有外部設(shè)備的反饋所致。安全PLC具有所謂 線路檢測(cè)”功能，即周期性的對(duì)輸出回路發(fā)送短脈沖信號(hào)（毫秒級(jí)，并不 讓用電器導(dǎo)通）來檢測(cè)回路是否斷線，從而提高了輸出信號(hào)

6、的可靠性。2.2. 1oo2雙通道系統(tǒng)兩個(gè)控制器并行處理和連線可以把單個(gè)PLC危險(xiǎn)失效的影響降到最低為了可靠斷開系統(tǒng)，兩個(gè)輸出電路采用串行連接，以防止任何一個(gè)控制器在危險(xiǎn)的方式下失效，造成系統(tǒng)失效危險(xiǎn)。1oo2結(jié)構(gòu)（圖2）常用于兩個(gè)獨(dú)立邏輯解算器、并各自帶有自己獨(dú)立 I/O的場(chǎng)合。 系統(tǒng)提供了較低的失效可能性，但它增加了失效安全斷路的可能性。失效安全斷開率的 增加，有助于提高流程系統(tǒng)的停車和機(jī)器系統(tǒng)的停機(jī)能力。圖2: 1oo2結(jié)構(gòu)這種結(jié)構(gòu)的輸入方式有兩種：一種為一個(gè)傳感器接到兩個(gè)輸入點(diǎn)上（可以使用同 一個(gè)模塊的兩個(gè)點(diǎn)，也可以使用兩個(gè)模塊的兩個(gè)點(diǎn)，廠商推薦用戶最好采用不同機(jī)架上 的兩個(gè)不同模塊的

7、兩個(gè)點(diǎn)）;一種為兩個(gè)傳感器或者一個(gè) 傳感器的兩個(gè)接點(diǎn)接到兩個(gè)輸 入點(diǎn)，這樣可以進(jìn)一步提高輸入信號(hào)的可靠性（傳感器冗余）。圖中的結(jié)構(gòu)為兩個(gè)彼此獨(dú)立的系統(tǒng)，在輸出之前并沒有對(duì)輸入信號(hào)和運(yùn)算結(jié)果進(jìn)行表決，而有些系統(tǒng)對(duì)輸入信號(hào)和邏輯結(jié)果要進(jìn)行表決，然后輸出。1oo2系統(tǒng)的表決機(jī)制也非常特別。當(dāng)兩個(gè)輸入都為0”或1 ”信號(hào)時(shí)，自然沒有問題。但如果出現(xiàn)一個(gè)為 0”、 而一個(gè)為1”，系統(tǒng)如何表決呢？答案是：取安全的值做為表決的結(jié)果！那么何謂安全 值？答案是：要根據(jù)具體的應(yīng)用進(jìn)行設(shè)置。如果0”為安全值，那么出現(xiàn)一個(gè) 0”和一個(gè)1"時(shí)，就選擇0"，相當(dāng)進(jìn)行了一次3選2的表決。下面再談?wù)勢(shì)敵龅?/p>

8、接線方式問題。一般來說也有兩種接法，被稱為：安全接法和 冗余接法。所謂安全接法指得是：輸出的兩個(gè)通道進(jìn)行串聯(lián)后再接執(zhí)行器，邏輯關(guān)系為與”，也就是說：一個(gè)通道為 0”，負(fù)載就不得電，這樣可以確保系統(tǒng)的安全性。所謂 冗余接法指得是：輸出的兩個(gè)通道進(jìn)行并聯(lián)后再接執(zhí)行器，邏輯關(guān)系為 或”，也就是說：一個(gè)通道為1 ”，負(fù)載就可以獲電，這樣可以提高系統(tǒng)的容錯(cuò)能力。至于采用哪種接線 要根據(jù)應(yīng)用的要求來決定。如果是安全性系統(tǒng)，建議采用安全接法。如果是高可用性系 統(tǒng)，建議采用冗余接法。2.3 . 1oo1D雙通道系統(tǒng)這種結(jié)構(gòu)使用一個(gè)帶有診斷能力的單一控制器通道，和第二個(gè)診斷通道利用串行連接構(gòu)成輸出回路。典型的1

9、oo1D結(jié)構(gòu)見圖3。1oo1D的D”意思是診斷的含義，所以被稱為一選一診斷系統(tǒng)，功能相當(dāng)于一種二選一系統(tǒng)。因?yàn)檫@種系統(tǒng)的造價(jià)相對(duì)低廉， 所以這種系統(tǒng)在安全應(yīng)用中扮演了重要的角色。這種1oo1D結(jié)構(gòu)由一個(gè)單一邏輯解算器和一個(gè)外部的監(jiān)視時(shí)鐘而構(gòu)成，定時(shí)器的輸出與邏輯解算器的輸出進(jìn)行串聯(lián)接線。在更先進(jìn)的系統(tǒng)中，內(nèi)置診斷控制一個(gè)獨(dú)立串聯(lián)輸出，當(dāng)系統(tǒng)檢測(cè)出失效時(shí)，它會(huì) 強(qiáng)制系統(tǒng)處于斷開狀態(tài)。診斷功能把檢測(cè)到的一個(gè)危險(xiǎn)失效轉(zhuǎn)變成一個(gè)安全失效。圖3 : 1oo1D結(jié)構(gòu)1oo2D結(jié)構(gòu)包含兩個(gè)獨(dú)立的電路通道。輸出電路可以使用不同類型的雙重開關(guān)。 比如固態(tài)開關(guān)提供了常規(guī)的控制器輸出，而另一個(gè)繼電器由內(nèi)部診斷控制，

10、提供了第二個(gè)常開接點(diǎn)開關(guān)。如果在輸出通道檢測(cè)到一個(gè)潛在的危險(xiǎn)失效、繼電器觸點(diǎn)就會(huì)斷開、使輸出回路斷電，確保執(zhí)行器處于安全狀態(tài)。雙重電路通道可以使用不同類型的觸點(diǎn)實(shí)現(xiàn)1oo1D結(jié)構(gòu)，比如兩個(gè)常開點(diǎn)，或者一個(gè)常開點(diǎn)加一個(gè)常閉點(diǎn)等。后綴D”反映了系統(tǒng)在每個(gè)通道中，具有更廣泛和更細(xì)致的自診斷能力。第二個(gè)停機(jī)路徑，就是由這個(gè)自診斷系統(tǒng)，運(yùn)用高級(jí)的依據(jù)參考”的方法進(jìn)行系統(tǒng)診斷。下面是標(biāo)準(zhǔn)的1oo1D結(jié)構(gòu)的特性：?單一控制器；?單一 I/O子系統(tǒng)，帶有保護(hù)輸出和 失效接通”和失效斷開”的診斷輸出選擇；?冗余電源；?冗余通信總線；?診斷率 >99.5%。2.4. 2oo3三通道系統(tǒng)如果在一些控制系統(tǒng)的應(yīng)

11、用中,根本不允許失效模式的出現(xiàn)，那么三選二系統(tǒng)是一 種最牢靠的選擇。當(dāng)要防止兩種失效模式的出現(xiàn)時(shí)，系統(tǒng)的結(jié)構(gòu)變的非常復(fù)雜。一種既 可以容忍 安全”失效，又可以容忍 危險(xiǎn)”失效的結(jié)構(gòu)設(shè)計(jì)就是三選二結(jié)構(gòu)（三個(gè)單元中 選擇兩個(gè)相同的結(jié)果用于安全功能，圖4）。這種帶有三個(gè)控制器單元的結(jié)構(gòu)提供了即有安全性又有高可用性的系統(tǒng)。這種系統(tǒng)被稱為TMR （三重模塊冗余）系統(tǒng)。每個(gè)控制器單元的輸出通道帶有兩個(gè)輸出點(diǎn)。把三個(gè)控制器各自的兩個(gè)輸出點(diǎn)連接成 表決”電路，用表決的結(jié)果來決定真正的輸出信號(hào)。輸出的結(jié)果取決于 多數(shù)”的意見當(dāng)一條電路中有兩個(gè)輸出點(diǎn)接通時(shí)，輸出負(fù)載將被激活。當(dāng)一條電路中有兩個(gè)輸出點(diǎn)斷開時(shí)，輸出負(fù)

12、載將被斷電。傳棗器嗣入輸入緬入處理器B處埋器C找行器圖4: 2oo3結(jié)構(gòu)在上圖的輸出接線中，沒有直接把三個(gè)輸出的接點(diǎn)簡(jiǎn)單地串聯(lián)后，接到執(zhí)行器。如果這樣接的話，那就是純粹的安全接法，而不考慮容錯(cuò)問題了。圖中采用的是：兩兩輸 出接點(diǎn)先進(jìn)行串聯(lián)一安全接法，然后把三種可能的串聯(lián)組合再并聯(lián)起來-冗余接法。所以把這種系統(tǒng)稱為：兼顧了安全性和高可用性的系統(tǒng)。一個(gè)TMR系統(tǒng)通常由三個(gè)同樣的 CPU組成，通常運(yùn)行同一個(gè)應(yīng)用程序（特殊 情況下，有些系統(tǒng)故意要運(yùn)行不同的應(yīng)用程序，這里暫且不討論）。每個(gè)CPU連接到同樣的輸入和輸出子系統(tǒng)。每個(gè)CPU接受所有的輸出并執(zhí)行表決，決定開關(guān)量輸入和選 擇中間量的模擬量輸入。每

13、個(gè)輸入可以是一個(gè)傳感器、兩個(gè)傳感器或者三個(gè)傳感器、這取決于應(yīng)用的要求。每個(gè)掃描周期，每個(gè)輸入設(shè)備往 CPU傳送一次數(shù)據(jù)，因?yàn)閭鞲衅魇菑V播方式傳送輸入 數(shù)據(jù)，所以同樣的輸入傳給所有的 CPU。每個(gè)CPU接收了表決輸入數(shù)據(jù)以后，再執(zhí) 行應(yīng)用程序。每個(gè)CPU是各自獨(dú)立地、非同步地運(yùn)行，并且不共享它們的輸入/輸出數(shù)據(jù)，從而避免了一個(gè)CPU的錯(cuò)誤數(shù)據(jù)影響其他 CPU的數(shù)據(jù)存儲(chǔ)器。每個(gè) CPU執(zhí)行相同 的應(yīng)用程序，處理輸入數(shù)據(jù)，然后建立新的輸出數(shù)據(jù)。通過輸出模塊和現(xiàn)場(chǎng)表決接線， 把輸出數(shù)據(jù)傳送至輸出設(shè)備。保證一個(gè) TMR系統(tǒng)可以正常運(yùn)行的另一個(gè)重要內(nèi)容是 TMR軟件。TMR軟件 提供系統(tǒng)配置工具和系統(tǒng)軟件

14、功能。還有專為 TMR應(yīng)用準(zhǔn)備的文件夾，TMR系統(tǒng)軟 件控制輸入表決、特殊的 TMR存儲(chǔ)器映射、診斷信息、周期性自檢、和 PLC子系統(tǒng) 的其他操作特性。2.5 . 1oo2D帶診斷的雙通道系統(tǒng)1oo2D結(jié)構(gòu)有兩重的1oo1D系統(tǒng)，并聯(lián)接線，并有額外的控制線路，提供了 1oo2 安全功能。圖5表示了 1oo2D的結(jié)構(gòu)。1oo2D設(shè)計(jì)成既能容忍安全失效，又能容忍危險(xiǎn)失效的系統(tǒng)。基于診斷和結(jié)合2oo2 的可用性與1oo2的安全性的執(zhí)行，它可以有效的進(jìn)行自我重新配置。這種結(jié)構(gòu)非常依賴診斷，因此不同廠商在具體實(shí)現(xiàn)時(shí)，有不同的解決方案?，F(xiàn)在，這種結(jié)構(gòu)取代了很多 2oo3 系統(tǒng)，因?yàn)樗档土讼到y(tǒng)成本，并且在

15、安全性和可用性的性能相差無幾。診斷電路H:s輸入診浙電路處理器輸出W輸出£!輸入處理器圖5 : 1oo2D結(jié)構(gòu)1oo2D結(jié)構(gòu)提供了完全的系統(tǒng)容錯(cuò)，與 1oo1D系統(tǒng)提供了相同的基本特性，但增 加了控制器和I/O系統(tǒng)的全部冗余。1oo2D結(jié)構(gòu)提供了最高級(jí)別的安全性和可用性。為了實(shí)現(xiàn)全部的容錯(cuò)，把基于1oo1D的結(jié)構(gòu)進(jìn)行并聯(lián)，1oo2D也被稱為 四重化' 結(jié)構(gòu)。在檢測(cè)到第一個(gè)關(guān)鍵失效時(shí)，系統(tǒng)會(huì)走向（降級(jí)）1oo1D模式，但不停機(jī)。這時(shí)可以對(duì)系統(tǒng)進(jìn)行在線維護(hù)，直到系統(tǒng)恢復(fù)成1oo2D結(jié)構(gòu)。1oo2D結(jié)構(gòu)減少了硬件的數(shù)量，特別是相對(duì)于標(biāo)準(zhǔn)的 TMR系統(tǒng)，同時(shí)提供了一個(gè) 并行的帶有保護(hù)

16、的輸出。系統(tǒng)的一方面在線診斷關(guān)鍵失效（輸入/處理器/輸出），另一方面維持控制和系統(tǒng)有效狀態(tài)。這種結(jié)構(gòu)的性能在安全可靠性和可用性兩方面，都要優(yōu)于 常規(guī)的雙PLC和TMR系統(tǒng)。這種結(jié)構(gòu)還有規(guī)避外部公共因素影響的優(yōu)點(diǎn)。不像其他安全系統(tǒng)，有些1oo2D結(jié)構(gòu)的兩邊能夠安裝在不同機(jī)柜內(nèi)的不同機(jī)架上，使系統(tǒng)暴露于惡劣現(xiàn)場(chǎng)環(huán)境的可能性最小化，減少比如機(jī)柜溫度或者其他物理參數(shù)對(duì)系統(tǒng)的影響。 2.6. 2oo4D 四重化系統(tǒng)為了在系統(tǒng)出現(xiàn)問題后，系統(tǒng)可以降級(jí)到1oo2D的系統(tǒng)繼續(xù)運(yùn)行，一些廠商在市場(chǎng) 上提供了一種稱為四重化的系統(tǒng)方案，有時(shí)被稱為QMR （四重模塊冗余）。四重化系統(tǒng)，無論如何，實(shí)際的系統(tǒng)結(jié)構(gòu)是基于雙

17、重化的輸入和輸出的結(jié)構(gòu)變化而 來的，四重的含義是指系統(tǒng)包括了四個(gè)處理器（每條腿上有兩個(gè)）。這種結(jié)構(gòu)確保了即使系統(tǒng)的一條腿由于錯(cuò)誤或替換停機(jī)，整個(gè)系統(tǒng)還是完整的。比起 1oo2D或2oo3系統(tǒng), 感覺2oo4D的系統(tǒng)可能更安全而且更可靠，實(shí)際上它們?cè)谶\(yùn)行時(shí)，系統(tǒng)所提供的可用 性和安全完整性等級(jí)是一樣的。4-黃斷電路輸入C7T蛔4傳感器f斷電路q小、 CPU CPU _ rll 廠* '輸入 七b 輸出J圖6 : 2oo4D 四重化”結(jié)構(gòu)與硬件相反，軟件永遠(yuǎn)不會(huì)降級(jí)。因此，當(dāng)使用軟件檢測(cè)硬件時(shí)，總是在誤動(dòng)作 發(fā)生之前就可以發(fā)現(xiàn)它們。QMR安全系統(tǒng)使用軟件進(jìn)行自測(cè)試和自診斷，從現(xiàn)場(chǎng)至處理器。

18、這使得QMR安全系統(tǒng)比任何其他沒有使用自測(cè)試和自診斷的系統(tǒng)更加可靠，這 其中包括2oo3或者2oo4系統(tǒng)。除了具有系統(tǒng)內(nèi)部自測(cè)試和自診斷能力外， QMR系統(tǒng)還有測(cè)試和診斷現(xiàn)場(chǎng)回路 的能力。對(duì)于輸入和輸出，系統(tǒng)都具有回路監(jiān)視功能。 一旦發(fā)現(xiàn)回路中出現(xiàn)短路和開路， 就會(huì)生成報(bào)警。這種自動(dòng)檢測(cè)和診斷方法減少了整個(gè)系統(tǒng)的維護(hù)和測(cè)試的費(fèi)用。QMR帶診斷系統(tǒng)具有處理多失效的能力，因?yàn)樗軌虬l(fā)現(xiàn)和隔離系統(tǒng)中任何地 方出現(xiàn)失效的能力。只要失效不是來自系統(tǒng)的同一個(gè)部分，它可以具有在多個(gè)失效產(chǎn)生 時(shí)，不丟失任何安全功能的能力。結(jié)合2oo4D的診斷技術(shù)，使得系統(tǒng)具有發(fā)現(xiàn)和隔離甚至沒有發(fā)生誤動(dòng)作失效的能力。QMR 安全系統(tǒng)是第一個(gè)、并且目前是僅有的一個(gè)使用真正的雙容錯(cuò)結(jié)構(gòu)。它是僅有的、具有當(dāng)兩個(gè)處理