常见五种安全PLC-的冗余系统结构和安全性可靠性分析

常用安全常用安全 PLCPLC 的结构和性能的结构和性能 摘要摘要 本文介绍了几种常见的安全 PLC 的结构和性能 然后对各种安全 PLC 的特 性进行了归纳和总结 关键词关键词 安全 PLC N 选 X 系统 三重冗余 四重冗余 Abstract The article analyses several popular safety PLC s architecture and performance Finally summarize their features Key word Safety PLC XooN TMR QMR 近几十年来 多起工业事故发生的原因可以追溯到计算机系统的失效 引起 了人员伤亡 设备损坏和环境污染 这些信息也唤醒了国家和公众对减少危险 建立 安全工业流程的意识 为此 IEC 制定了新的安全国际标准 IEC 61508 61511 也 已经由工业组织合作制定完成 我国的相关标准也即将颁布 为了帮助读者了解目前安全仪表系统 SIS 使用安全 PLC 实现电气 电子 可 编程电子系统 E E PES 功能的情况 就常见的几种安全系统结构进行探讨 希望 能对今后的系统选择有所借鉴和参考 1 PLC 是一个逻辑解算器是一个逻辑解算器 一个安全系统的逻辑解算器是一种特殊类型的 PLC 它具有独立的安全功能 认证 但也有继电器逻辑或者固态逻辑的运算能力 逻辑解算器从传感器读入信号 执行事先编制好的程序或者事先设计好的功能 用于防止或者减轻潜在的安全隐患 然后通过发送信号到执行器或最终元件采取行动 逻辑解算器的设计有很多种 来满足不同的市场需求 应用和任务 我们下 面将就比较典型的安全 PLC 的结构进行探讨 2 安全 安全 PLC 的体系结构的体系结构 当你构建一个安全系统时 可以有很多方式来安排安全系统部件 有些安排考虑 的是对成功操作有效性的最大化 可靠性或可用性 有些安排考虑的是防止特殊失 效的发生 失效安全 失效危险 控制系统部件的不同安排可以从它们的体系结构中看出来 这节内容将介绍市场 上几款常见的可编程电子系统 PES 的体系结构 了解它们的安全特性 以及在安 全和关键控制的应用 它们是已经在实践中存在的多种结构的代表 真正现场使用的 系统就是这些结构的不同组合 下面的内容将用 N 选 X 比如 2选 1 的方式 XooN 来介绍系统 在每个类型中 X 代表需要执行安全功能的通道数 而 N 代表整个可用的通道数 2 1 1oo1 单通道系统单通道系统 单控制器带有单个逻辑解算器和单个 I O 代表了一个最小化的系统 见下图 图 1 这个系统没有提供冗余 也没有失效模式保护 电子电路可以失效安全 输出断 电 回路开路 或者失效危险 输出粘连或给电 短路 这种安排方式是典型的非 安全 常规 PLC 系统结构 图1 1oo1 结构 安全 PLC 的输入和常规 PLC 的输入接法也有区别 常规 PLC 的输入通常接 传感器的常开接点 而安全 PLC 的输入通常接传感器的常闭接点 用于提高输入信号 的快速性和可靠性 有些安全 PLC 输入还具有 三态 功能 即 常开 常闭 和 断线 三个状态 而且通过 断线 来诊断输入传感器的回路是否断路 提高了输入信号的可 靠性 另外 有些安全 PLC 的输出和常规的 PLC 的输出也有区别 常规 PLC 输出 信号之后 就和 PLC 本身失去了关联 也就是说输出后 比如说 接通 外部继电器 继电器本身最后到底通没通 PLC 并不知道 这是因为没有外部设备的反馈所致 安 全 PLC 具有所谓 线路检测 功能 即周期性的对输出回路发送短脉冲信号 毫秒级 并不让用电器导通 来检测回路是否断线 从而提高了输出信号的可靠性 2 2 1oo2 双通道系统双通道系统 两个控制器并行处理和连线可以把单个 PLC 危险失效的影响降到最低 为了可靠断开系统 两个输出电路采用串行连接 以防止任何一个控制器在危险 的方式下失效 造成系统失效危险 1oo2 结构 图2 常用于两个独立逻辑解算器 并各自带有自己独立 I O 的场合 系统提供了较低的失效可能性 但它增加了失效安全断路的可能性 失效安全断开率 的增加 有助于提高流程系统的停车和机器系统的停机能力 图2 1oo2 结构 这种结构的输入方式有两种 一种为一个传感器接到两个输入点上 可以使用同 一个模块的两个点 也可以使用两个模块的两个点 厂商推荐用户最好采用不同机架 上的两个不同模块的两个点 一种为两个传感器或者一个传感器的两个接点接到两个 输入点 这样可以进一步提高输入信号的可靠性 传感器冗余 图中的结构为两个彼此独立的系统 在输出之前并没有对输入信号和运算结果进 行表决 而有些系统对输入信号和逻辑结果要进行表决 然后输出 1oo2系统的表决 机制也非常特别 当两个输入都为 0 或 1 信号时 自然没有问题 但如果出现一个 为 0 而一个为 1 系统如何表决呢 答案是 取安全的值做为表决的结果 那么 何谓安全值 答案是 要根据具体的应用进行设置 如果 0 为安全值 那么出现一个 0 和一个 1 时 就选择 0 相当进行了一次3选2的表决 下面再谈谈输出的接线方式问题 一般来说也有两种接法 被称为 安全接法和 冗余接法 所谓安全接法指得是 输出的两个通道进行串联后再接执行器 逻辑关系 为 与 也就是说 一个通道为 0 负载就不得电 这样可以确保系统的安全性 所 谓冗余接法指得是 输出的两个通道进行并联后再接执行器 逻辑关系为 或 也就 是说 一个通道为 1 负载就可以获电 这样可以提高系统的容错能力 至于采用哪 种接线要根据应用的要求来决定 如果是安全性系统 建议采用安全接法 如果是高 可用性系统 建议采用冗余接法 2 3 1oo1D 双通道系统双通道系统 这种结构使用一个带有诊断能力的单一控制器通道 和第二个诊断通道利用串行 连接构成输出回路 典型的 1oo1D 结构见图3 1oo1D 的 D 意思是诊断的含义 所 以被称为一选一诊断系统 功能相当于一种二选一系统 因为这种系统的造价相对低 廉 所以这种系统在安全应用中扮演了重要的角色 这种 1oo1D 结构由一个单一逻 辑解算器和一个外部的监视时钟而构成 定时器的输出与逻辑解算器的输出进行串联 接线 在更先进的系统中 内置诊断控制一个独立串联输出 当系统检测出失效时 它 会强制系统处于断开状态 诊断功能把检测到的一个危险失效转变成一个安全失效 图3 1oo1D 结构 1oo2D 结构包含两个独立的电路通道 输出电路可以使用不同类型的双重开关 比如固态开关提供了常规的控制器输出 而另一个继电器由内部诊断控制 提供了第 二个常开接点开关 如果在输出通道检测到一个潜在的危险失效 继电器触点就会断 开 使输出回路断电 确保执行器处于安全状态 双重电路通道可以使用不同类型的触点实现1oo1D 结构 比如两个常开点 或者 一个常开点加一个常闭点等 后缀 D 反映了系统在每个通道中 具有更广泛和更细致 的自诊断能力 第二个停机路径 就是由这个自诊断系统 运用高级的 依据参考 的 方法进行系统诊断 下面是标准的1oo1D 结构的特性 单一控制器 单一 I O 子系统 带有保护输出和 失效接通 和 失效断开 的诊断输出选择 冗余电源 冗余通信总线 诊断率 99 5 2 4 2oo3 三通道系统三通道系统 如果在一些控制系统的应用中 根本不允许失效模式的出现 那么三选二系统是 一种最牢靠的选择 当要防止两种失效模式的出现时 系统的结构变的非常复杂 一 种既可以容忍 安全 失效 又可以容忍 危险 失效的结构设计就是三选二结构 三个 单元中选择两个相同的结果用于安全功能 图4 这种带有三个控制器单元的结构提 供了即有安全性又有高可用性的系统 这种系统被称为 TMR 三重模块冗余 系统 每个控制器单元的输出通道带有两个输出点 把三个控制器各自的两个输出点连 接成 表决 电路 用表决的结果来决定真正的输出信号 输出的结果取决于 多数 的 意见 当一条电路中有两个输出点接通时 输出负载将被激活 当一条电路中有两个 输出点断开时 输出负载将被断电 图4 2oo3 结构 在上图的输出接线中 没有直接把三个输出的接点简单地串联后 接到执行器 如果这样接的话 那就是纯粹的安全接法 而不考虑容错问题了 图中采用的是 两 两输出接点先进行串联 安全接法 然后把三种可能的串联组合再并联起来 冗余接 法 所以把这种系统称为 兼顾了安全性和高可用性的系统 一个 TMR 系统通常由三个同样的 CPU 组成 通常运行同一个应用程序 特殊 情况下 有些系统故意要运行不同的应用程序 这里暂且不讨论 每个 CPU 连接到 同样的输入和输出子系统 每个 CPU 接受所有的输出并执行表决 决定开关量输入 和选择中间量的模拟量输入 每个输入可以是一个传感器 两个传感器或者三个传感器 这取决于应用的要求 每个扫描周期 每个输入设备往 CPU 传送一次数据 因为传感器是广播方式传送输 入数据 所以同样的输入传给所有的 CPU 每个 CPU 接收了表决输入数据以后 再执行应用程序 每个 CPU 是各自独立地 非同步地运行 并且不共享它们的输入 输出数据 从 而避免了一个 CPU 的错误数据影响其他 CPU 的数据存储器 每个 CPU 执行相同 的应用程序 处理输入数据 然后建立新的输出数据 通过输出模块和现场表决接线 把输出数据传送至输出设备 保证一个 TMR 系统可以正常运行的另一个重要内容是 TMR 软件 TMR 软件 提供系统配置工具和系统软件功能 还有专为 TMR 应用准备的文件夹 TMR 系统 软件控制输入表决 特殊的 TMR 存储器映射 诊断信息 周期性自检 和 PLC 子系 统的其他操作特性 2 5 1oo2D 带诊断的双通道系统带诊断的双通道系统 1oo2D 结构有两重的1oo1D 系统 并联接线 并有额外的控制线路 提供了 1oo2 安全功能 图5 表示了 1oo2D 的结构 1oo2D 设计成既能容忍安全失效 又能容忍危险失效的系统 基于诊断和结合 2oo2 的可用性与1oo2的安全性的执行 它可以有效的进行自我重新配置 这种结构 非常依赖诊断 因此不同厂商在具体实现时 有不同的解决方案 现在 这种结构取 代了很多 2oo3 系统 因为它降低了系统成本 并且在安全性和可用性的性能相差无 几 图5 1oo2D 结构 1oo2D 结构提供了完全的系统容错 与1oo1D 系统提供了相同的基本特性 但增 加了控制器和 I O 系统的全部冗余 1oo2D 结构提供了最高级别的安全性和可用性 为了实现全部的容错 把基于1oo1D 的结构进行并联 1oo2D 也被称为 四重化 结构 在检测到第一个关键失效时 系统会走向 降级 1oo1D 模式 但不停机 这 时可以对系统进行在线维护 直到系统恢复成1oo2D 结构 1oo2D 结构减少了硬件的数量 特别是相对于标准的 TMR 系统 同时提供了一 个并行的带有保护的输出 系统的一方面在线诊断关键失效 输入 处理器 输出 另 一方面维持控制和系统有效状态 这种结构的性能在安全可靠性和可用性两方面 都 要优于常规的双 PLC 和 TMR 系统 这种结构还有规避外部公共因素影响的优点 不像其他安全系统 有些1oo2D 结 构的两边能够安装在不同机柜内的不同机架上 使系统暴露于恶劣现场环境的可能性 最小化 减少比如机柜温度或者其他物理参数对系统的影响 2 6 2oo4D 四重化系统四重化系统 为了在系统出现问题后 系统可以降级到1oo2D 的系统继续运行 一些厂商在市 场上提供了一种称为四重化的系统方案 有时被称为 QMR 四重模块冗余 四重化系统 无论如何 实际的系统结构是基于双重化的输入和输出的结构变化 而来的 四重的含义是指系统包括了四个处理器 每条腿上有两个 这种结构确保了 即使系统的一条腿由于错误或替换停机 整个系统还是完整的 比起1oo2D 或2oo3系 统 感觉 2oo4D 的系统可能更安全而且更可靠 实际上它们在运行时 系统所提供 的可用性和安全完整性等级是一样的 图6 2oo4D 四重化 结构 与硬件相反 软件永远不会降级 因此 当使用软件检测硬件时 总是在误动作 发生之前就可以发现它们 QMR 安全系统使用软件进行自测试和自诊断 从现场至 处理器 这使得 QMR 安全系统比任何其他没有使用自测试和自诊断的系统更加可靠 这其中包括2oo3或者2oo4系统 除了具有系统内部自测试和自诊断能力外 QMR 系统还有测试和诊断现场回 路的能力 对于输入和输出 系统都具有回路监视功能 一旦发现回路中出现短路和 开路 就会生成报警 这种自动检测和诊断方法减少了整个系统的维护和测试的费用 QMR 带诊断系统具有处理多失效的能力 因为它能够发现和隔离系统中任何地 方出现失效的能力 只要失效不是来自系统的同一个部分 它可以具有在多个失效产 生时 不丢失任何安全功能的能力 结合2oo4D 的诊断技术 使得系统具有发现和隔 离甚至没有发生误动作失效的能力 QMR 安全系统是第一个 并且目前是仅有的一个使用真正的双容错结构 它是 仅有的 具有当两个处理器都失效而能保持系统执行安全功能到 SIL3等级的安全系统 QMR 系统能够象一个单通道安全系统一样 在完整性 SIL3 等级下畅通无阻地运行 QMR 安全系统的替换失效模块是非常容易的 可以在线进行 不需要热备或者 中间模块 不会影响安全