常见五种安全PLC的冗余系统结构和安全性可靠性分析报告Word下载.docx
《常见五种安全PLC的冗余系统结构和安全性可靠性分析报告Word下载.docx》由会员分享,可在线阅读,更多相关《常见五种安全PLC的冗余系统结构和安全性可靠性分析报告Word下载.docx(8页珍藏版)》请在冰豆网上搜索。
逻辑解算器的设计有很多种,来满足不同的市场需求、应用和任务。
我们下面将就比较典型的安全PLC的结构进行探讨。
2.安全PLC的体系结构
当你构建一个安全系统时,可以有很多方式来安排安全系统部件。
有些安排考虑的是对成功操作有效性的最大化。
(可靠性或可用性)。
有些安排考虑的是防止特殊失效的发生(失效安全,失效危险)。
控制系统部件的不同安排可以从它们的体系结构中看出来。
这节容将介绍市场上几款常见的可编程电子系统(PES)的体系结构,了解它们的安全特性,以及在安全和关键控制的应用。
它们是已经在实践中存在的多种结构的代表,真正现场使用的系统就是这些结构的不同组合。
下面的容将用N选X(比如2选1)的方式:
XooN来介绍系统。
在每个类型中,X代表需要执行安全功能的通道数,而N代表整个可用的通道数。
.
2.1.1oo1单通道系统
单控制器带有单个逻辑解算器和单个I/O代表了一个最小化的系统,见下图(图1)。
这个系统没有提供冗余,也没有失效模式保护。
电子电路可以失效安全(输出断电,回路开路)或者失效危险(输出粘连或给电,短路)。
这种安排方式是典型的非安全-常规PLC系统结构。
图1:
1oo1结构
安全PLC的输入和常规PLC的输入接法也有区别,常规PLC的输入通常接传感器的常开接点,而安全PLC的输入通常接传感器的常闭接点,用于提高输入信号的快速性和可靠性。
有些安全PLC输入还具有“三态”功能,即“常开”、“常闭”和“断线”三个状态,而且通过“断线”来诊断输入传感器的回路是否断路,提高了输入信号的可靠性。
另外,有些安全PLC的输出和常规的PLC的输出也有区别。
常规PLC输出信号之后,就和PLC本身失去了关联,也就是说输出后,比如说“接通”外部继电器,继电器本身最后到底通没通,PLC并不知道,这是因为没有外部设备的反馈所致。
安全PLC具有所谓“线路检测”功能,即周期性的对输出回路发送短脉冲信号(毫秒级,并不让用电器导通)来检测回路是否断线,从而提高了输出信号的可靠性。
2.2.1oo2双通道系统
两个控制器并行处理和连线可以把单个PLC危险失效的影响降到最低
为了可靠断开系统,两个输出电路采用串行连接,以防止任何一个控制器在危险的方式下失效,造成系统失效危险。
1oo2结构(图2)常用于两个独立逻辑解算器、并各自带有自己独立I/O的场合。
系统提供了较低的失效可能性,但它增加了失效安全断路的可能性。
失效安全断开率的增加,有助于提高流程系统的停车和机器系统的停机能力。
图2:
1oo2结构
这种结构的输入方式有两种:
一种为一个传感器接到两个输入点上(可以使用同一个模块的两个点,也可以使用两个模块的两个点,厂商推荐用户最好采用不同机架上的两个不同模块的两个点);
一种为两个传感器或者一个传感器的两个接点接到两个输入点,这样可以进一步提高输入信号的可靠性(传感器冗余)。
图中的结构为两个彼此独立的系统,在输出之前并没有对输入信号和运算结果进行表决,而有些系统对输入信号和逻辑结果要进行表决,然后输出。
1oo2系统的表决机制也非常特别。
当两个输入都为“0”或“1”信号时,自然没有问题。
但如果出现一个为“0”、而一个为“1”,系统如何表决呢?
答案是:
取安全的值做为表决的结果!
那么何谓安全值?
要根据具体的应用进行设置。
如果“0”为安全值,那么出现一个“0”和一个“1”时,就选择“0”,相当进行了一次3选2的表决。
下面再谈谈输出的接线方式问题。
一般来说也有两种接法,被称为:
安全接法和冗余接法。
所谓安全接法指得是:
输出的两个通道进行串联后再接执行器,逻辑关系为“与”,也就是说:
一个通道为“0”,负载就不得电,这样可以确保系统的安全性。
所谓冗余接法指得是:
输出的两个通道进行并联后再接执行器,逻辑关系为“或”,也就是说:
一个通道为“1”,负载就可以获电,这样可以提高系统的容错能力。
至于采用哪种接线要根据应用的要求来决定。
如果是安全性系统,建议采用安全接法。
如果是高可用性系统,建议采用冗余接法。
2.3.1oo1D双通道系统
这种结构使用一个带有诊断能力的单一控制器通道,和第二个诊断通道利用串行连接构成输出回路。
典型的1oo1D结构见图3。
1oo1D的“D”意思是诊断的含义,所以被称为一选一诊断系统,功能相当于一种二选一系统。
因为这种系统的造价相对低廉,所以这种系统在安全应用中扮演了重要的角色。
这种1oo1D结构由一个单一逻辑解算器和一个外部的监视时钟而构成,定时器的输出与逻辑解算器的输出进行串联接线。
在更先进的系统中,置诊断控制一个独立串联输出,当系统检测出失效时,它会强制系统处于断开状态。
诊断功能把检测到的一个危险失效转变成一个安全失效。
图3:
1oo1D结构
1oo2D结构包含两个独立的电路通道。
输出电路可以使用不同类型的双重开关。
比如固态开关提供了常规的控制器输出,而另一个继电器由部诊断控制,提供了第二个常开接点开关。
如果在输出通道检测到一个潜在的危险失效,继电器触点就会断开,使输出回路断电,确保执行器处于安全状态。
双重电路通道可以使用不同类型的触点实现1oo1D结构,比如两个常开点,或者一个常开点加一个常闭点等。
后缀“D”反映了系统在每个通道中,具有更广泛和更细致的自诊断能力。
第二个停机路径,就是由这个自诊断系统,运用高级的“依据参考”的方法进行系统诊断。
下面是标准的1oo1D结构的特性:
•单一控制器;
•单一I/O子系统,带有保护输出和“失效接通”和“失效断开”的诊断输出选择;
•冗余电源;
•冗余通信总线;
•诊断率>
99.5%。
2.4.2oo3三通道系统
如果在一些控制系统的应用中,根本不允许失效模式的出现,那么三选二系统是一种最牢靠的选择。
当要防止两种失效模式的出现时,系统的结构变的非常复杂。
一种既可以容忍“安全”失效,又可以容忍“危险”失效的结构设计就是三选二结构(三个单元中选择两个相同的结果用于安全功能,图4)。
这种带有三个控制器单元的结构提供了即有安全性又有高可用性的系统。
这种系统被称为TMR(三重模块冗余)系统。
每个控制器单元的输出通道带有两个输出点。
把三个控制器各自的两个输出点连接成“表决”电路,用表决的结果来决定真正的输出信号。
输出的结果取决于“多数”的意见。
当一条电路中有两个输出点接通时,输出负载将被激活。
当一条电路中有两个输出点断开时,输出负载将被断电。
图4:
2oo3结构
在上图的输出接线中,没有直接把三个输出的接点简单地串联后,接到执行器。
如果这样接的话,那就是纯粹的安全接法,而不考虑容错问题了。
图中采用的是:
两两输出接点先进行串联-安全接法,然后把三种可能的串联组合再并联起来-冗余接法。
所以把这种系统称为:
兼顾了安全性和高可用性的系统。
一个TMR系统通常由三个同样的CPU组成,通常运行同一个应用程序(特殊情况下,有些系统故意要运行不同的应用程序,这里暂且不讨论)。
每个CPU连接到同样的输入和输出子系统。
每个CPU接受所有的输出并执行表决,决定开关量输入和选择中间量的模拟量输入。
每个输入可以是一个传感器、两个传感器或者三个传感器,这取决于应用的要求。
每个扫描周期,每个输入设备往CPU传送一次数据,因为传感器是广播方式传送输入数据,所以同样的输入传给所有的CPU。
每个CPU接收了表决输入数据以后,再执行应用程序。
每个CPU是各自独立地、非同步地运行,并且不共享它们的输入/输出数据,从而避免了一个CPU的错误数据影响其他CPU的数据存储器。
每个CPU执行相同的应用程序,处理输入数据,然后建立新的输出数据。
通过输出模块和现场表决接线,把输出数据传送至输出设备。
保证一个TMR系统可以正常运行的另一个重要容是TMR软件。
TMR软件提供系统配置工具和系统软件功能。
还有专为TMR应用准备的文件夹,TMR系统软件控制输入表决、特殊的TMR存储器映射、诊断信息、周期性自检、和PLC子系统的其他操作特性。
2.5.1oo2D带诊断的双通道系统
1oo2D结构有两重的1oo1D系统,并联接线,并有额外的控制线路,提供了1oo2安全功能。
图5表示了1oo2D的结构。
1oo2D设计成既能容忍安全失效,又能容忍危险失效的系统。
基于诊断和结合2oo2的可用性与1oo2的安全性的执行,它可以有效的进行自我重新配置。
这种结构非常依赖诊断,因此不同厂商在具体实现时,有不同的解决方案。
现在,这种结构取代了很多2oo3系统,因为它降低了系统成本,并且在安全性和可用性的性能相差无几。
图5:
1oo2D结构
1oo2D结构提供了完全的系统容错,与1oo1D系统提供了相同的基本特性,但增加了控制器和I/O系统的全部冗余。
1oo2D结构提供了最高级别的安全性和可用性。
为了实现全部的容错,把基于1oo1D的结构进行并联,1oo2D也被称为“四重化”结构。
在检测到第一个关键失效时,系统会走向(降级)1oo1D模式,但不停机。
这时可以对系统进行在线维护,直到系统恢复成1oo2D结构。
1oo2D结构减少了硬件的数量,特别是相对于标准的TMR系统,同时提供了一个并行的带有保护的输出。
系统的一方面在线诊断关键失效(输入/处理器/输出),另一方面维持控制和系统有效状态。
这种结构的性能在安全可靠性和可用性两方面,都要优于常规的双PLC和TMR系统。
这种结构还有规避外部公共因素影响的优点。
不像其他安全系统,有些1oo2D结构的两边能够安装在不同机柜的不同机架上,使系统暴露于恶劣现场环境的可能性最小化,减少比如机柜温度或者其他物理参数对系统的影响。
2.6.2oo4D四重化系统
为了在系统出现问题后,系统可以降级到1oo2D的系统继续运行,一些厂商在市场上提供了一种称为四重化的系统方案,有时被称为QMR(四重模块冗余)。
四重化系统,无论如何,实际的系统结构是基于双重化的输入和输出的结构变化而来的,四重的含义是指系统包括了四个处理器(每条腿上有两个)。
这种结构确保了即使系统的一条腿由于错误或替换停机,整个系统还是完整的。
比起1oo2D或2oo3系统,感觉2oo4D的系统可能更安全而且更可靠,实际上它们在运行时,系统所提供的可用性和安全完整性等级是一样的。
图6:
2oo4D“四重化”结构
与硬件相反,软件永远不会降级。
因此,当使用软件检测硬件时,总是在误动作发生之前就可以发现它们。
QMR安全系统使用软件进行自测试和自诊断,从现场至处理器。
这使得QMR安全系统比任何其他没有使用自测试和自诊断的系统更加可靠,这其中包括2oo3或者2oo4系统。
除了具有系统部自测试和自诊断能力外,QMR系统还有测试和诊断现场回路的能力。
对于输入和输出,系统都具有回路监视功能。
一旦发现回路中出现短路和开路,就会生成报警。
这种自动检测和诊断方法减少了整个系统的维护和测试的费用。
QMR带诊断系统具有处理多失效的能力,因为它能够发现和隔离系统中任何地方出现失效的能力。
只要失效不是来自系统的同一个部分,它可以具有在多个失效产生时,不丢失任何安全功能的能力。
结合2oo4D的诊断技术,使得系统具有发现和隔离甚至没有发生误动作失效的能力。
QMR安全系统是第一个、并且目前是仅有的一个使用真正的双容错结构。
它是仅有的、具有当两个处理器都失效而能保持系统执行安全功能到SIL3等级的安全系统。
QMR系统能够象一个单通道安全系统一样,在完整性SIL3等级下畅通无阻地运行。
QMR安全系统的替换失效模块是非常容易的,可以在线进行,不需要热备或者中间模块,不会影响安全装置的流程。
因为两个通道独立运行,可以工作于一个通道而不减少整个系统的安全功能。
另外,在线可以下载完整程序,而不会影响流程和减少系统的安全完整性。
在改变到新的应用程序前,系统会执行一个检查,并且把值进行拷贝,确保安全和正确地连续运行。
3.系统体系结构小结
总之,从不同系统结构角度来看安全性和可用性,会使多数用户感到困惑。
下表描述了系统结构对一个中央流程单元或控制器一旦失效发生所带来的影响。
在每种情况中,达到的安全完整性和容错性仅代表冗余对安全性和可用性的影响。
做为冗余,仅有一个测量值来考虑安全性和可用性是不够的,还要考虑很多其他的因素。
表:
系统体系结构小结