常用安全PLC的结构和性能

维普资讯 http://www.cqvip.com …墨全撞　ｒｊ爻术　常用安全ＰＬＣ的结构和性能　Ａｒｃｈｉｔｅｃｔｕｒｅ　ａｎｄ　Ｐｅｒｆｏｒｍａｎｃｅ　ｏｆ　Ｐｏｐｕｌａｒ　Ｓａｆｅｔｙ　ＰＬＣ　华镕　（施耐德电气（中国）投资有限公司，北京市１０００１６）　ＨｕａＲｏｎｇ　（Ｓｃｈｎｅｉｄｅｒ　Ｅｌｅｃｔｒｉｃ（Ｃｈｉｎａ）Ｉｎｖｅｓｔｍｅｎｔ　Ｃｏ．Ｌｔｄ．，Ｂｅｉｊｉｎｇ　１０００　１６）　【摘　要】本文介绍了几种常见的安全ＰＬＣ的结构和性能，然后对各种安全ＰＬＣ的特性进行了归纳和总结。　【关键词】安全ＰＬＣ　Ｎ选Ｘ系统三重冗余四重冗余　Ａｂｓｔｒａｃｔ：Ｔｈｅ　ｐａｐｅｒ　ａｎａｌｙｓｅｄ　ｓｅｖｅｒａｌ　ｐｏｐｕｌｒａ　ｓａｆｅｔｙ　ＰＬＣ’Ｓ　ａｒｃｈｉｔｅｃｔｕｒｅ　ｎａｄ　ｐｅｒｆｏｒｍａｎｃｅ，ａｎｄ　ｉｆｎａｌｌｙ　ｓｕｍｍａｒｉｚｅｄ　ｔｈｅｉｒ　ｆｅａｔｕｒｅｓ．　Ｋｅｙ　ｗｏｒｄｓ：Ｓａｆｅｔｙ　ＰＬＣ　ＸｏｏＮ　ＴＭＲ　ＱＭＲ　近几十年来，多起工业事故发生的原因可以追溯　的多种结构的代表，真正现场使用的系统就是这些结　到计算机系统的失效，引起了人员伤亡、设备损坏和　构的不同组合。　环境污染。这些信息也唤醒了国家和公众对减少危险、　下面的内容将用Ｎ选ｘ（Ｌｔ￣ｕ２选１）的方式：ＸｏｏＮ　建立安全工业流程的意识。为此，ＩＥＣ制定了新的安　来介绍系统。在每个类型中，Ｘ代表需要执行安全功　全国际标准：ＩＥＣ　６１５０８／６１５１１，我国的相关标准也　能的通道数，而Ｎ代表整个可用的通道数。　已发布。　２．１　１ｏｏｌ单通道系统　为了帮助读者了解目前安全仪表系统（ＳＩＳ）使用　单控制器带有单个逻辑解算器和单个Ｉ／０代表了　安全ＰＬＣ实现电气／电子／可编程电子系统（Ｅ／Ｅ／　一个最小化的系统，见图１。这个系统没有提供冗余，　ＰＥＳ）功能的情况，本文就常见的几种安全系统结构进　也没有失效模式保护。电子电路可能发生失效安全　行探讨，希望能对今后的系统选择有所借鉴和参考。　（输出断电，回路开路）或者失效危险（输出粘连或给　１　ＰＬＣ是一个逻辑解算器　电，短路）。这种安排方式是典型的非安全一常规ＰＬＣ　一个安全系统的逻辑解算器是一种特殊类型的　系统结构。　ＰＬＣ，它具有独立的安全功能认证，但也有继电器逻　辑或者固态逻辑的运算能力。逻辑解算器从传感器读　入信号，执行事先编制好的程序或者事先设计好的功　叵Ｈ　国　能，用于防止或者减轻潜在的安全隐患，然后通过发　送信号到执行器或最终元件采取行动。　图１　１ｏｏｌ结构　逻辑解算器的设计有很多种，来满足不同的市场　安全ＰＬＣ的输入和常规ＰＬＣ的输入接法也有区　需求、应用和任务。我们下面将就比较典型的安全ＰＬＣ　别，常规ＰＬＣ的输入通常接传感器的常开接点，而安　的结构进行探讨。　全ＰＬＣ的输入通常接传感器的常闭接点，用于提高输　２安全ＰＬＣ的体系结构　入信号的快速性和可靠性。有些安全ＰＬＣ输入还具有　当你构建一个安全系统时，可以有很多方式来安　“三态”功能，即“常开”、“常闭”和“断线”三个状　排安全系统部件。有些安排考虑的是对成功操作有效　态，而且通过“断线”来诊断输入传感器的回路是否　性的最大化（可靠性或可用性）；有些安排考虑的是防　断路，提高了输入信号的可靠性。　止特殊失效的发生（失效安全或失效危险）。　另外，有些安全ＰＬＣ的输出和常规的ＰＬＣ的输出　控制系统部件的不同安排可以从它们的体系结构　也有区别。常规ＰＬＣ输出信号之后，就￣ＵＰＬＣ本身失　中看出来。本文将介绍市场上几款常见的可编程电子　去了关联，也就是说输出后，比如说“接通”外部继　系统（ＰＥＳ）的体系结构，了解它们的安全特性，以及　电器，继电器本身最后到底通没通，ＰＬＣ并不知道，这　在安全和关键控制的应用。它们是已经在实践中存在　是因为没有外部设备的反馈所致。安全ＰＬＣ具有所谓　“线路检测”功能，即周期性的对输出回路发送短脉冲　收稿日期：２００７—０８—５１　作者简介：华锩，施耐德电气（中国）投资有限公司自动化事业部，　信号（毫秒级，并不让继电器导通）来检测回路是否　高端自动化产品部，产品市场经理。　断线，从而提高了输出信号的可靠性。　倥一倥爱氲准化与计一ｌ上／　———————　■■■●　维普资讯 http://www.cqvip.com

２．２　１００２双通道系统　两个控制器并行处理和连线可以把单个ＰＬＣ危险　建议采用冗余接法。　２．３　１ｏｏｌＤ双通道系统　失效的影响降到最低。　为了可靠断开系统，两个输出电路采用串行连接，　以防止任何一个控制器在危险的方式下失效，造成系　统失效危险。　ｌｏｏ２结构（图２）常用于两个独立逻辑解算器、并　各自带有自己独立Ｉ／０的场合。系统提供了较低的失　效可能性，但它增加了失效安全断路的可能性。失效　安全断开率的增加，有助干提高流程系统的停车能力　和机器系统的停机能力。　图２　１ｏｏ２结构　这种结构的输入方式有两种：一种为一个传感器　接到两个输入点上（可以使用同一个模块的两个点，　也可以使用两个模块的两个点，厂商推荐用户最好采　用不同机架上的两个不同模块的两个点）；一种为两个　传感器或者一个传感器的两个接点接到两个输入点，　这样可以进一步提高输入信号的可靠性（传感器冗　余）。　图２中的结构为两个彼此独立的系统，在输出之　前并没有对输入信号和运算结果进行表决，而有些系　统对输入信号和逻辑结果要进行表决，然后输出。　１００２系统的表决机制也非常特别。当两个输入都为　“０”或“１”信号时，自然没有问题。但如果出现一个　为“０”、而一个为“１”，系统如何表决呢？答案是：取　安全的值做为表决的结果！那么何谓安全值？答案　是：要根据具体的应用进行设置。如果“０”为安全值，　那么出现一个“０”和一个“ｌ”时，就选择“０”，相　当干进行了一次３选２的表决。　下面再谈谈输出的接线方式问题。一般来说也有　两种接法，称为：安全接法和冗余接法。所谓安全接　法指的是：输出的两个通道进行串联后再接执行器，　逻辑关系为“与”，也就是说：只要一个通道为“０”，　负载就断电，这样可以确保系统的安全性。所谓冗余　接法指得是输出的两个通道进行并联后再接执行器，　逻辑关系为“或”，也就是说：只要一个通道为“ｌ”，　负载就可以获电，这样可以提高系统的容错能力。至　于采用哪种接线要根据应用的要求来决定。如果是安　全性系统，建议采用安全接法。如果是高可用性系统，　■■—ｔ丽　了————一１　８　Ｊ度蓦发表膏准肥与计一　　这种结构使用一个带有诊断能力的单一控制器通　道，和第二个诊断通道利用串行连接构成输出回路。　典型的ｌｏｏｌＤ结构见图３。ｌｏｏｌＤ的“Ｄ”意思是诊断　的含义，所以被称为一选一诊断系统，功能相当干一　种二选一系统。因为这种系统的造价相对低廉，所以　这种系统在安全应用中扮演了重要的角色。这种　ｌｏｏｌＤ结构由一个单一逻辑解算器和一个外部的监视　时钟构成，定时器的输出与逻辑解算器的输出进行串　联接线。　在更先进的系统中，内置诊断控制一个独立串联　输出，当系统检测出失效时，它会强制系统处于断开　状态。诊断功能把检测到的一个危险失效转变成一个　安全失效。　图３　１ｏｏｌＤ结构　ｌｏｏ２Ｄ结构包含两个独立的电路通道。输出电路　可以使用不同类型的双重开关。比如固态开关提供了　常规的控制器输出，而另一个继电器由内部诊断控制，　提供了第二个常开接点开关。如果在输出通道检测到　一个潜在的危险失效，继电器触点就会断开，使输出　回路断电，确保执行器处于安全状态。　双重电路通道可以使用不同类型的触点实现　ｌｏｏｌＤ结构，比如两个常开点，或者一个常开点加一　个常闭点等。后缀“Ｄ”反映了系统在每个通道中，具　有更广泛和更细致的自诊断能力。第二个停机路径，　就是由这个自诊断系统，运用高级的“依据参考”的　方法进行系统诊断。下面是标准的ｌｏｏｌＤ结构的特性　单一控制器；　单一Ｉ／Ｏ子系统，带有保护输出和“失效接通”　和“失效断开”的诊断输出选择；　冗余电源；　冗余通信总线；　诊断率＞９９．５％。　２．４　２００３三通道系统　如果在一些控制系统的应用中，根本不允许失效　模式的出现，那么三选二系统是一种最牢靠的选择。　当要防止两种失效模式的出现时，系统的结构变的非　常复杂。一种既可以容忍“安全”失效，又可以容忍　维普资讯 http://www.cqvip.com “危险”失效的结构设计就是三选二结构（三个单元中　选择两个相同的结果用于安全功能，见图４）。这种带　有三个控制器单元的结构提供了既有安全性又有高可　用性的系统。这种系统被称为ＴＭＲ（三重模块冗余）　系统。　内容是ＴＭＲ软件。ＴＭＲ软件提供系统配置工具和系　统软件功能。还有专为ＴＭＲ应用准备的文件夹，ＴＭＲ　系统软件控制输入表决、特殊的ＴＭＲ存储器映射、诊　断信息、周期性自检和ＰＬＣ子系统的其他操作特性。　２．５　１ｏｏ２Ｄ带诊断的双通道系统　每个控制器单元的输出通道带有两个输出点。把　三个控制器各自的两个输出点连接成“表决”电路，用　ｌｏｏ２Ｄ结构有双重的ｌｏｏｌＤ系统，并联接线，并　有额外的控制线路，提供了ｌｏｏ２安全功能。图５表示　表决的结果来决定真正的输出信号。输出信号取决于　“多数的意见”。当表决电路的一个通道中两个输出点　都接通时，输出负载将被激活。当表决电路的一个通　道中有两个输出点断开时，输出负载将被断电。　Ｂ　表决电路　图４　２００３结构　在图４的输出接线中，没有直接把三个输出的接　点简单地串联后接到执行器。如果这样接的话，那就　是纯粹的安全接法，而不考虑容错问题了。图中采用　的是：两两输出接点先进行串联一安全接法，然后把　三种可能的串联组合再并联起来一冗余接法。所以把　这种系统称为：兼顾了安全性和高可用性的系统。　一个ＴＭＲ系统通常由三个同样的ＣＰＵ组成，运　行同一个应用程序（特殊情况下，有些系统有意要运　行不同的应用程序，这里暂且不讨论）。每个ＣＰＵ连　接到同样的输入和输出子系统。每个ＣＰＵ接收所有的　输出并执行表决，决定开关量输入和选择中间量的模　拟量输入。　每个输入可以是一个传感器、两个传感器或者三　个传感器，这取决于应用的要求。在一个扫描周期内，　每个输入设备往ＣＰＵ传送一次数据，因为传感器是广　播方式传送输入数据，所以同样的输入传给所有的　ＣＰＵ。每个ＣＰＵ接收了表决输入数据以后，再执行应　用程序。　每个ＣＰＵ是各自独立地、非同步地运行，并且不　共享它们的输入／输出数据，从而避免了一个ＣＰＵ的　错误数据影响其他ＣＰＵ的数据存储器。每个ＣＰＵ执　行相同的应用程序，处理输入数据，然后建立新的输　出数据。通过输出模块和现场表决接线，把输出数据　传送至输出设备。　保证一个ＴＭＲ系统可以正常运行的另一个重要　了ｌｏｏ２Ｄ的结构。　图５　１ｏｏ２Ｄ结构　ｌｏｏ２Ｄ设计成既能容忍安全失效，又能容忍危险　失效的系统。基于诊断和结合２００２的可用性与ｌｏｏ２的　安全性的执行，它可以有效的进行自我重新配置。这　种结构非常依赖诊断，因此不同厂商在具体实现时，　有不同的解决方案。现在，这种结构取代了很多２００３　系统，因为它降低了系统成本，并且其安全性和可用　性与２００３相差无几。　ｌｏｏ２Ｄ结构提供了完全的系统容错，与ｌｏｏｌＤ系　统提供了相同的基本特性，但增加了控制器和Ｉ／Ｏ系　统的全部冗余。ｌｏｏ２Ｄ结构提供了最高级别的安全性　和可用性。　为了实现全部的容错，把基于ｌｏｏｌＤ的结构进行　并联，ｌｏｏ２Ｄ也被称为“四重化”结构。在检测到第　一个关键失效时，系统会走向（降级）ｌｏｏｌＤ模式，但　不停机。这时可以对系统进行在线维护，直到系统恢　复成ｌｏｏ２Ｄ结构。　ｌ　ｏｏ２Ｄ结构减少了硬件的数量，特别是相对于标　准的ＴＭＲ系统，同时提供了一个并行的带有保护的输　出。系统一方面在线诊断关键失效（输入／处理器／　输出），另一方面维持控制和系统有效状态。这种结构　的性能在安全可靠性和可用性两方面，都要优于常规　的双ＰＬＣ和ＴＭＲ系统。　这种结构还有规避外部公共因素影响的优点。不　像其他安全系统，有些ｌｏｏ２Ｄ结构的两边能够安装在　不同机柜内的不同机架上，使系统暴露于恶劣现场环　倥蓦倥表氟准化与计　１　９　一—————丽Ｆ　＿　维普资讯 http://www.cqvip.com

Ｇ＿ａｌｎｔ　ｒ　＿０＿ｒ　ａＴ百ｔ　投　ｅｃＵ　ｒＩｔＶ　境的可能性最小化，减少比如机柜温度或者其他物理　２００３或者２００４系统。　参数对系统的影响。　除了具有系统内部自测试和自诊断能力外，ＱＭＲ　２．６　２ｏｏ４Ｄ四重化系统　系统还有测试和诊断现场回路的能力。对于输入和输　为了在系统出现问题后，系统可以降级到ｌｏｏ２Ｄ　出，系统都具有回路监视功能。一旦发现回路中出现　的系统继续运行，一些厂商在市场上提供了一种称为　短路和开路，就会生成报警。这种自动检测和诊断方　四重化的系统方案，有时被称为ＱＭＲ（四重模块冗　法减少了整个系统的维护和测试的费用。　余）。　ＱＭＲ带诊断系统具有处理多失效的能力，因为它　四重化系统，无论如何，实际的系统结构是基于　能够发现和隔离系统中任何地方出现失效的能力。只　双重化的输入和输出的结构变化而来的，四重的含义　要失效不是来自系统的同一个部分，它可以具有在多　是指系统包括了四个处理器（每条腿上有两个）。这种　个失效产生时，不丢失任何安全功能的能力。结合　结构确保了即使系统的一条腿由于错误或替换停机，　２ｏｏ４Ｄ的诊断技术，使得系统具有发现和隔离甚至没　整个系统还是完整的。比起ｌｏｏ２Ｄ或２００３系统，似乎　有发生误动作失效的能力。　２ｏｏ４Ｄ的系统可能更安全而且更可靠，实际上它们在　ＱＭＲ安全系统是第一个、并且目前是仅有的一个　运行时，系统所提供的可用性和安全完整性等级是一　使用真正的双容错结构。它是仅有的、具有当两个处　样的。　理器都失效而能保持系统执行安全功能到ＳＩＬ３等级的　安全系统。ＱＭＲ系统能够象一个单通道安全系统一　样，在完整性ＳＩＬ３等级下畅通无阻地运行。　ＱＭＲ安全系统的替换失效模块是非常容易的，可　以在线进行，不需要热备或者中间模块，不会影响安　全装置的流程。因为两个通道独立运行，因此可以工　作于一个通道而不减少整个系统的安全功能。另外，　可以在线下载完整程序，而不会影响流程和减少系统　的安全完整性。在改变到新的应用程序前，系统会执　行一个检查，并且把值进行拷贝，确保安全和正确地　连续运行。　３系统体系结构小结　总之，从不同系统结构角度来看安全性和可用性，　图６　２ｏｏ４Ｄ“四重化”结构　会使多数用户感到困惑。表ｌ描述了系统结构对一个　与硬件相反，软件永远不会降级。因此，当使用　中央流程单元或控制器一旦失效发生所带来的影响。　软件检测硬件时，总是在误动作发生之前就可以发现　在每种情况中，达到的安全完整性和容错性仅代表冗　它们。ＱＭＲ安全系统使用软件进行自测试和自诊断，　余对安全性和可用性的影响。作为冗余，仅有一个测　从现场至处理器。这使得ＱＭＲ安全系统比任何其他没　量值来考虑安全性和可用性是不够的，还要考虑很多　有使用自测试和自诊断的系统更加可靠，这其中包括　其他的因素。　表１系统体系结构小结　运行模式　一次降级　二次降级　安全完整性　容错性　注释　１ｏｏｌ　停机　低　低　ｌｏｏ２　停机　高　低　ｌｏｏ３　停机　高　低　２００２　ｌｏｏ１　停机　低　局　一　２００３　ｌｏｏ２　停机　高　高　有些厂商声称在约束时间内可三次降级　ｌｏｏ２Ｄ　ｌｏｏ１Ｄ　停机　局　一　高　“Ｄ”意味着系统从２００２到ｌｏｏ２重组和基于诊断　独立控制输出开关的能力　２ｏｏ４Ｄ　ｌｏｏ２Ｄ　停机　高　高　这个结构仅是ＣＰＵ的２００４，Ｉ／Ｏ必须采用ｌｏｏ２Ｄ　仅ＣＰＵ　仅ＣＰＵ　才能达到高容错性　口　２０　Ｊ位置倥爱葺准化与｝｝置　——■　丽　————～