常用安全PLC的结构和性能

《常用安全PLC的结构和性能》由会员分享，可在线阅读，更多相关《常用安全PLC的结构和性能（7页珍藏版）》请在装配图网上搜索。

1、YfD有道www.020plu.uom常用安全PLC的结构和性能【摘要】本文介绍了几种常见的安全 PLC的结构和性能，然后对各种安全 PLC 的特性进行了归纳和总结。Abstract : The article analyses several popular safety PLC s architecture andperformance. Finally, summarize their features.Key word : Safety PLC XooN TMR QMR近几十年来，多起工业事故发生的原因可以追溯到计算机系统的失效，引 起了人员伤亡、设备损坏和环境污染。这些信息也唤醒了国

2、家和公众对减少危险、 建立安全工业流程的意识。为此，IEC制定了新的安全国际标准：IEC 61508/ 61511 ,也已经由工业组织合作制定完成，我国的相关标准也即将颁布。为了帮助读者了解目前安全 仪表系统（SIS）使用安全PLC实现电气/电子 /可编程电子系统（E/E/PES）功能的情况，就常见的几种安全系统结构进行探 讨，希望能对今后的系统选择有所借鉴和参考。1. PLC是一个逻辑解算器一个安全系统的逻辑解算器是一种特殊类型的 PLC ,它具有独立的安全功 能认证，但也有继电器逻辑或者固态逻辑的运算能力。 逻辑解算器从传感器读入 信号，执行事先编制好的程序或者事先设计好的功能， 用丁防止

3、或者减轻潜在的 安全隐患，然后通过发送信号到执行器或最终元件采取行动。逻辑解算器的设计有很多种，来满足不同的市场需求、应用和任务。我们 下面将就比较典型的安全 PLC的结构进行探讨。2 .安全PLC的体系结构当你构建一个安全系统时，可以有很多方式来安排安全系统部件。有些安排考虑的是对成功操作有效性的最大化。（可靠性或可用性）。有些安排考虑的是防止特殊失效的发生（失效安全，失效危险）。控制系统部件的不同安排可以从它们的体系结构中看出来。这节内容将介 绍市场上几款常见的可编程 y 系统（pes）的体系结构，了解它们的安全特性， 以及在安全和关键控制的应用。它们是已经在实践中存在的多种结构的代表，真

4、 正现场使用的系统就是这些结构的不同组 合。宣ED有道工控wxvw*020plc,com下面的内容将用N选X （比如2选1）的方式：XooN 来介绍系统。在每 个类型中，X代表需要执行安全功能的通道数，而 N代表整个可用的通道 数。.2.1 . 1oo1单通道系统单控制器带有单个逻辑解算器和单个I/O代表了一个最小化的系统，见下 图（图1）。这个系统没有提供冗余，也没有失效模式保护。电子电路可以失效安全（输出断电，回路开路）或者失效危险（输出粘连或给电，短路）。这种安排方式是典型的非安全-常规 PLC系统结构。盗图IP地址:12L8.245.13图1: 1oo1结构安全PLC的输入和常规 PL

5、C的输入接法也有区别，常规PLC的输入通常 接传感器的常开接点，而安全 PLC的输入通常接传感器 的常闭接点，用丁提高 输入信号的快速性和可靠性。有些安全 PLC输入还具有 兰态”功能，即 常开”、 常闭”和断线”三个状态，而且通过 断线”来诊断输入传感器的回路是否断路， 提 高了输入信号的可靠性。另外，有些安全PLC的输出和常规的PLC的输出也有区别。常规PLC输 出信号之后，就和PLC本身失去了关联，也就是说输出后，比如说 接通”外部 继电器，继电器本身最后到底通没通,PLC并不知道，这是因为没有外部设备 的反馈所致。安全PLC具有所谓 线路检测”功能，即周期性的对输出回路发送 短脉冲信号

6、（毫秒级，并不让用 电器导通）来检测回路是否断线，从而提高了输 出信号的可靠性。2.2. 1oo2双通道系统两个控制器并行处理和连线可以把单个 PLC危险失效的影响降到最低为了可靠断开系统，两个输出电路采用申行连接，以防止任何一个控制器在危险的方式下失效，造成系统失效危险。1oo2结构（图2）常用丁两个独立逻辑解算器、并各自带有自己独立 I/OYfDD有道工控www.O2O的场合。系统提供了较低的失效可能性,但它增加了失效安全断路的可能性。不 效安全断开率的增加，有助丁提高流程系统的停车和机器系统的停机能力。盗图IP地址:121.8,245.13图2: 1oo2结构这种结构的输入方式有两种：一

7、种为一个传感器接至U两个输入点上 （可以使用同 一个模块的两个点， 也可以使用两个模块的两个点， 厂商推荐用户最好采用不同 机架上的两个不同模块的两个点）;一种为两个传感器或者一个传感器的两个接 点接到两个输入点，这样可以进一步提高输入信号的可靠性（传感器冗余）。图中的结构为两个彼此独立的系统，在输出之前并没有对输入信号和运算 结果进行表决，而有些系统对输入信号和逻辑结果要进行表决，然后输出。1oo2系统的表决机制也非常特别。当两个输入都为“或“脩号时，自然没有问题。但如果出现一个为“0”而一个为“1,”系统如何表决呢？答案是：取安全的值做 为表决的结果！那么何谓安全值？答案是：要根据具体的应

8、用进行设置。如果“0” 为安全值，那么出现一个“（和一个“何，就选择“0”相当进行了一次3选2的 表决。下面再谈谈输出的接线方式问题。一般来说也有两种接法，被称为：安全 接法和冗余接法。所谓安全接法指得是：输出的两个通道进行申联后再接执行器， 逻辑关系为 与”，也就是说：一个通道为“0”负载就不得电，这样可以确保系统 的安全性。所谓冗余接法指得是：输出的两个通道进行并联后再接执行器，逻辑关系为 或”，也就是说：一个通道为 “1,”负载就可以获电，这样可以提高系统 的容错能力。至丁采用哪种接线要根据应用的要求来决定。如果是安全性系统， 建议采用安全接法。如果是高可用性系统，建议采用冗余接法。2.

9、3. 1oo1D双通道系统这种结构使用一个带有诊断能力的单一控制器通道，和第二个诊断通道利 用申行连接构成输出回路。典型的 1oo1D结构见图3。1oo1D的“DS思是诊 断的含义，所以被称为一选一诊断系统，功能相当丁一种二选一系统。因为这种 系统的造价相对低廉，所以这种系统在安全应用中扮演了重要的角色。这种 1oo1D结构由一个单一逻辑解算器和一个外部的监视时钟而构成，定时器的输 出与逻辑解算器的输出进行申联接线。YfED有道工控-在更先进的系统中，内置诊断控制一个独立申联输出，当系统检测出失效 时，它会强制系统处丁断开状态。诊断功能把检测到的一个危险失效转变成一个 安全失效。盗图IP地址:

10、12L8.245.13图3: 1oo1D结构1oo2D 结构包含两个独立的电路通道。输出电路可以使用不同类型的双重 开关。比如固态开关提供了常规的控制器输出，而另一个继电器由内部诊断控制， 提供了第二个常开接点开关。如果在输出通道检测到一个潜在的危险失效， 继电 盎触点就会断开，使输出回路断电，确保执行器处丁安全状态。双重电路通道可以使用不同类型的触点实现 1oo1D结构，比如两个常开 点，或者一个常开点加一个常闭点等。后缀“成映了系统在每个通道中，具有更广泛和更细致的自诊断能力。第二个停机路径，就是由这个自诊断系统，运用 高级的依据参考”的方法进行系统诊断。下面是标准的1oo1D结构的特性：

11、?单一控制器:?单一 I/O子系统，带有保护输出和 失效接通”和失效断开”的诊断输出选 择；?冗余电源；?冗余通信总线；?诊断率99.5%。2.4. 2oo3三通道系统如果在一些控制系统的应用中、根本不允许失效模式的出现，那么三选二 系统是一种最牢靠的选择。当要防止两种失效模式的出现时，系统的结构变的非 常复杂。一种既可以容忍 安全”失效，乂可以容忍 危险”失效的结构设计就是三 选二结构（三个单元中选择两个相同的结果用丁安全功能，图4）。这种带有三个控制器单元的结构提供了即有安全性乂有高可用性的系统。这种系统被称为TMR （三重模块冗余）系统。每个控制器单元的输出通道带有两个输出点。把三个控制

12、器各自的两个输 出点连接成 表决”电路，用表决的结果来决定真正的输出信号。输出的结果取决 丁多数”的意见。当一条电路中有两个输出点接通时，输出负载将被激活。当一 条电路中有两个输出点断开时，输出负载将被断电。YfUD有道工控盗图IP地址:图4: 2oo3结构121.8,24543在上图的输出接线中，没有直接把三个输出的接点简单地申联后，接到执行器。如果这样接的话，那就是纯粹的安全接法，而不考虑容错问题了。图中采用的是： 两两输出接点先进行申联-安全接法， 然后把三种可能的申联组合再并联起来-冗余接法。所以把这种系统称为：兼顾了安全性和高可用性的系统。一个TMR系统通常由三个同样的 CPU组成、

13、通常运行同一个应用程序 （特殊情况下，有些系统故意要运行不同的应用程序，这里暂且不讨论）。每个 CPU连接到同样的输入和输出子系统。 每个 CPU 接受所有的输出并执行表决、 决定开关量输入和选择中间量的模拟量输入。每个输入可以是一个传感器、两个传感器或者三个 传感器,这取决丁应用 的要求。每个扫描周期，每个输入设备往 CPU传送一次数据，因为传感器是广 播方式传送输入数据， 所以同样的输入传给所有的 CPU。每个CPU接收了表 决输入数据以后，再执行应用程序。每个CPU是各自独立地、非同步地运行，并且不共享它们的输入/输出数 据，从而避免了一个 CPU的错误数据影响其他 CPU的数据存储器。

14、每个 CPU执行相同的应用程序，处理输入数据，然后建立新的输出数据。通过输出 模块和现场表决接线，把输出数据传送至输出设备。保证一个TMR系统可以正常运行的另一个重要内容是TMR软件。TMR软件提供系统配置工具和系统软件功能。还有专为TMR应用准备的文件 夹，TMR系统软件控制输入表决、特殊的 TMR存储器映射、诊断信息、周期 性自检、和PLC子系统的其他操作特性。2.5 . 1oo2D带诊断的双通道系统1oo2D结构有两重的1oo1D系统，并联接线，并有额外的控制线路，提 供了 1oo2安全功能。图5表示了 1oo2D的结构。1oo2D设计成既能容忍安全失效，乂能容忍危险失效的系统。基丁诊断

15、和 结合2oo2的可用性与1oo2的安全性的执行，它可以有效的进行自我重新配置。 这种结构非常依赖诊断，因此不同厂商在具体实现时，有不同的解决方案。现在, 这种结构取代了很多 2oo3系统，因为它降低了系统成本，并且在安全性和可 用性的性能相差无几。TfED有道工控盗图IP地址:121.8.245.13图5: 1oo2D结构1oo2D结构提供了完全的系统容错，与 1oo1D系统提供了相同的基本特 性，但增加了控制器 和I/O系统的全部冗余。1oo2D结构提供了最高级别的安 全性和可用性。为了实现全部的容错，把基丁 1oo1D的结构进行并联，1oo2D也被称为 四重化”结构。在检测到第一个关键失

16、效时，系统会走向（降级） 1oo1D模式, 但不停机。这时可以对系统进行在线维护，直到系统恢复成 1oo2D结构。1oo2D结构减少了硬件的数量，特别是相对丁标准的 TMR系统，同时提 供了一个并行的带有保护的输出。系统的一方面在线诊断关键失效（输入/处理器/输出），另一方面维持控制和系统有效状态。这种结构的性能在安全可靠性 和可用性两方面，都要优丁常规的双 PLC和TMR系统。这种结构还有规避外部公共因素影响的优点。不像其他安全系统，有些 1oo2D结构的两边能够安装在不同机柜内的不同机架上，使系统暴露丁恶劣现 场环境的可能性最小化，减少比如机柜温度或者其他物理参数对系统的影响。2.6. 2

17、oo4D四重化系统为了在系统出现问题后，系统可以降级到1oo2D的系统继续运行，一些厂 商在市场上提供了一种称为四重化的系统方案，有时被称为 QMR （四重模块 冗余）。四重化系统，无论如何，实际的系统结构是基丁双重化的输入和输出的结 构变化而来的，四重的含义是指系统包括了四个处理器（每条腿上有两个）。这 种结构确保了即使系统的一条腿由丁错误或替换停机，整个系统还是完整的。比起1oo2D或2oo3系统，感觉2oo4D的系统可能更安全而且更可靠，实际上 它们在运行时，系统所提供的可用性和安全完整性等级是一样的。盗图IP地址:12L&245.13图6: 2oo4D四重化”结构YfiiD有道工控ww

18、w*020plc,com与硬件相反，软件永远不会降级。因此，当使用软件检测硬件时，总是在 误动作发生之前就可以发现它们。 QMR安全系统使用软件进行自测试和自诊 断，从现场至处理器。这使得 QMR安全系统比任何其他没有使用自测试和自诊 断的系统更加可靠，这其中包括 2oo3 或者 2oo4 系统。除了具有系统内部自测试和自诊断能力外， QMR系统还有测试和诊断现 场回路的能力。对丁输入和输出，系统都具有回路监视功能。 一旦发现回路中出 现短路和开路，就会生成报警。这种自动检测和诊断方法减少了整个系统的维护 和测试的费用。QMR带诊断系统具有处理多失效的能力，因为它能够发现和隔离系统中 任何地方

19、出现失效的能力。只要失效不是来自系统的同一个部分， 它可以具有在 多个失效产生时，不丢失任何安全功能的能力。结合 2oo4D的诊断技术，使得 系统具有发现和隔离甚至没有发生误动作失效的能力。QM戚全系统是第一个、并且目前是仅有的一个使用真正的双容错结构。 它是仅 有的、具有当两个处理器都失效而能保持系统执行安全功能到 SIL3等级的安全 系统。QMRK统能够象一个单通道安全系统一样， 在完整性SIL3 等级下畅通无 阻地运行。QMR安全系统的替换矢效模块是非常容易的，可以在线进行，不需要热 备或者中间模块，不会影响安全装置的流程。因为两个通道独立运行，可以工作 丁一个通道而不减少整个系统的安全功能。 另外，在线可以下载完整程序，而不 会影响流程和减少系统的安全完整性。 在改变到新的应用程序前，系统会执行一 个检查，并且把值进行拷贝，确保安全和正确地连续运行。3.系统体系结构小结总之，从不同系统结构角度来看安全性和可用性， 会使多数用户感到困惑。 下表描述了系统结构对一个中央流程单元或 控制器一旦失效发生所带来的影响。 在每种情况中，达到的安全完整性和容错性仅代表冗余对安全性和可用性的影 响。做为冗余，仅有一个测量值来考虑安全性和可用性是不够的，还要考虑很多其他的因素。盗图IP地址:121.8,24543