安全型可編程邏輯控制器(PLC)是為特殊用途的機器設備而設計的����,用于關(guān)鍵型控制和安全型應用��。這些控制器通常是安全儀表系統(SIS)的一部分���,用在檢測具有潛在危險的流程工業(yè)環(huán)境中���。一旦檢測出危險�����,SIS的應用程序能自動(dòng)作用����,把流程切換到安全狀態(tài)����。談到這里��,用戶(hù)可能會(huì )有一系列的問(wèn)題:常規PLC已經(jīng)成功地使用了這么多年了�����,與安全PLC相比有什么不同����?為什么在關(guān)鍵型控制和安全型應用中��,不能使用常規的PLC�?
一����、綜述
一臺安全PLC采用了特殊的設計�,能夠實(shí)現兩個(gè)重要目標:
1.系統不會(huì )失效(采用冗余的工作方式)�,即使元件的失效不可避免�;
2.失效是在可預測的范圍內��,一旦失效�����,系統將進(jìn)入安全模式��。
在設計安全PLC時(shí)��,要考慮到很多因素����,需要很多的特殊設計�。比如:一臺安全PLC更強調內部診斷��,結合硬件和軟件����,可以讓設備隨時(shí)檢測自身工作狀態(tài)的不適�����;一臺安全PLC具有的軟件�����,要使用一系列的特殊技術(shù)����,能確保軟件的可靠性�;一臺安全PLC具有冗余功能�,即使一部分失效����,也能夠維持系統運行�;一臺安全PLC還具有外加的安全機制�����,不允許通過(guò)數字通信接口隨便讀寫(xiě)內部的數據�����。
安全PLC與常規PLC的不同還在于:安全PLC需要得到第三方專(zhuān)業(yè)機構的安全認證���,滿(mǎn)足苛刻的安全性和可靠性國際標準�����。必須徹底地采用系統方法�,來(lái)設計和測試安全PLC���。德國的TUV專(zhuān)家和美國的FM專(zhuān)家會(huì )提供對安全PLC設計和測試過(guò)程的�、第三方獨立的確認和驗證�����,
特殊的電子線(xiàn)路���,細致的診斷軟件分析��,再加上對所有可能失效進(jìn)行測試的完整性設計����,確保了安全PLC具有測定99%以上的內部元件潛在危險失效的能力�����。一種失效模式����、影響和診斷分析(FMEDA)方法一直指導著(zhù)設計��,這種方法會(huì )指出每個(gè)元件是怎樣引起系統失效�,并且告訴你系統應該如何檢測這個(gè)失效���。TUV的工程師會(huì )親自執行失效測試�,把它作為他們認證過(guò)程的一個(gè)部分�����。
嚴格的國際標準軟件應用于安全PLC�。這些標準需要特殊技術(shù)�����,避免復雜性���。更進(jìn)一步的分析和測試��,細致地檢查操作系統的任務(wù)交互操作���。這種測試包括實(shí)時(shí)的交互操作����,比如多任務(wù)(當使用時(shí))和中斷����。還需要進(jìn)行一種特殊的診斷�����,被稱(chēng)為“程序流控制”和“數據確認”����。程序流檢查能確��;竟δ苣馨凑_的順序執行�,數據確認使所有的關(guān)鍵數據在存儲器里進(jìn)行冗余存儲��,并且在使用前進(jìn)行有效性測試�����。在軟件開(kāi)發(fā)過(guò)程中��,一個(gè)安全PLC需要附加的軟件測試技術(shù)�。為了核實(shí)數據完整性檢查�,必須執行一系列“軟件失效注入”測試��,也就是人為對程序進(jìn)行故意破壞����,來(lái)檢查PLC的響應是否運行在預計的安全方式��。軟件的設計和測試帶有詳細的文件資料����,這樣第三方的檢查員就能夠明白PLC的運行原理�����,而多數軟件開(kāi)發(fā)沒(méi)有使用這種規范的操作流程����,這也正好說(shuō)明為什么眾多的垃圾軟件會(huì )出現那么多的臭蟲(chóng)而無(wú)法發(fā)現了��。
二����、舉例
下面試通過(guò)某公司的一款安全PLC�����,來(lái)更具體地說(shuō)明安全PLC與常規PLC的區別�����。
2.1安全PLC與常規PLC的CPU的差別
常規PLC內部CPU的數量有一個(gè)或多個(gè)����,它或它們的作用是:執行用戶(hù)的程序���、進(jìn)行I/O的掃描和系統的診斷����。但用戶(hù)的程序通常就進(jìn)行一次處理����,多個(gè)CPU的功能是把程序中的邏輯運算�、算數運算����、通信功能等分擔實(shí)現�,也就是協(xié)作處理�����。
而安全PLC的CPU至少有兩個(gè)或多個(gè)��,兩個(gè)CPU的功能是:分別對同一個(gè)用戶(hù)程序各自執行一次��,然后再把兩個(gè)結果放在一起進(jìn)行比較�����,如果比較的結果是一致的����,就輸出這個(gè)結果����,如果是不一致的���,選擇安全的結果輸出�����。由此看出�����,這才是安全PLC與常規PLC最大的不同:冗余+比較��。
2.2安全PLC內部CPU的結構
安全PLC包含2個(gè)處理器�����,每個(gè)處理器在自己的存儲器區中����,執行它們自己的安全邏輯����,然后在每個(gè)周期的結尾和對方的結果進(jìn)行比較��,每個(gè)處理器有它自己獨立的停機通道�����,如果檢測到結果的不同或有失效成分��,它能夠實(shí)現系統停機����,切到安全狀態(tài)��。這種雙處理結構被稱(chēng)為內部的二選一結構����。
下圖表示了這種安全PLC的內部結構:
安全PLC通常都有兩個(gè)處理器�,同時(shí)進(jìn)行解碼和執行�。這種差異性提供了失效檢測的下列優(yōu)點(diǎn):
◎兩個(gè)可執行碼獨自生成����,編譯的差異性使得在代碼生成時(shí)����,容易檢測系統失效���。
◎兩個(gè)生成碼由不同的處理器執行���,因此���,CPU能夠在代碼執行時(shí)�����,檢測出系統失效和PLC的隨機失效���。
◎兩個(gè)獨立的存儲器區用于兩個(gè)處理器���,因此���,CPU能夠檢測出RAM的隨機失效�,而這在每個(gè)掃描周期的全部RAM檢查時(shí)測不出來(lái)�����。
這里我們接著(zhù)引出安全PLC與常規PLC第二個(gè)最大的不同:隨時(shí)+步步進(jìn)行診斷和檢測�����。這種檢測有的是通過(guò)自身信息進(jìn)行的�����,稱(chēng)為自檢�����;還有的通過(guò)對方的信息進(jìn)行檢測���,稱(chēng)為互檢��。后面我們還會(huì )提到更多的檢測�。
2.3安全PLCCPU中的檢測
時(shí)鐘測量:在處理器電路中�,有兩個(gè)不同的振蕩器交叉檢查它們的行為����,每個(gè)處理器使用一個(gè)時(shí)鐘檢查另外一個(gè)是否運行�����。如果在一個(gè)確定的周期里���,檢測到對方?jīng)]有運行���,CPU就會(huì )進(jìn)入安全狀態(tài)�。固件每秒鐘會(huì )檢查兩個(gè)振蕩器的精度�����。
監視時(shí)鐘:一個(gè)硬件和一個(gè)固件的監視時(shí)鐘檢查PLC的活動(dòng)和執行用戶(hù)邏輯的執行時(shí)間�����。這和常規的PLC系統是相同的�。
序列檢查:序列檢查監視CPU操作系統不同部分的執行��。
存儲器檢查:所有靜態(tài)存儲器區�,包括Flash存儲器和RAM���,使用循環(huán)冗余碼(CRC)進(jìn)行檢測����,并且雙碼執行�����。動(dòng)態(tài)存儲器區由雙碼執行保護���,周期性進(jìn)行檢測���。在冷啟動(dòng)時(shí)����,這些檢測重新進(jìn)行初始化���。
從上面的分析可以看出�,安全PLC的診斷和檢測比常規的PLC的檢測要多很多���,所以相對來(lái)說(shuō)���,硬件和軟件的設計更復雜�。當然��,檢測和診斷的范圍也更廣范��,更細致�����。
2.4安全PLCI/O診斷概述
上面我們對安全PLC的CPU的情況進(jìn)行了一個(gè)簡(jiǎn)單的分析��,下面我們再來(lái)看看安全輸入/輸出模塊的情況�。
所有安全I/O模塊都要執行以下兩個(gè)診斷功能:
◎更多的系統層面的診斷����,包括了:RAM測試��、ROM測試���、以及
◎根據模塊的類(lèi)型不同���,現場(chǎng)層面的診斷�,
下面的表格列出了安全I/O模塊的現場(chǎng)診斷情況:
還有�����,安全PLC要對安全CPU和安全I/O之間的通信進(jìn)行診斷���,比如使用CRC校驗���。因此��,不僅要檢查接收的數據是否等于發(fā)送的數據����,而且要檢查數據變化����。為了解決擾動(dòng)問(wèn)題�,比如EMC的影響�,它可能瞬間破壞你的數據��,所以你需要對每個(gè)模塊����,配置一個(gè)很大的連續CRC錯誤診斷���。
上電時(shí)診斷:在上電時(shí)�����,I/O模塊執行擴展的自檢程序�����,如果測試出現錯誤��,模塊被認為不健康��,輸入輸出全部置為0�����。
運行時(shí)的診斷:在系統運行時(shí)����,I/O模塊執行自檢程序�����,輸入模塊檢驗是否能夠從傳感器讀取整個(gè)范圍的數據�����,輸出模塊對它們的開(kāi)關(guān)執行脈沖測試�,周期小于1ms�,在數字量輸入和數字量輸出模塊��,上電自檢失效和模塊沒(méi)有接到外部的24V電源時(shí)�,模塊不工作����。
過(guò)壓診斷:因為電子元件�,從理論上說(shuō)��,電源電壓超過(guò)了最大值時(shí)�����,它們不應該工作����,所以I/O模塊必須對來(lái)自背板的電源電壓進(jìn)行監視���。
下表描述了對電源電壓的監視:
電源監視
來(lái)自背板總線(xiàn)的電壓�,理論上的最大值為18.5V�����。有兩個(gè)過(guò)壓檢測器�,每個(gè)處理器系統有一個(gè)����。每個(gè)監測器能夠處理可能出現的過(guò)壓�����,用斷開(kāi)電源開(kāi)關(guān)和觸發(fā)復位塊的方法����。復位塊用于管理電源的接通和斷開(kāi)����,并且停止兩個(gè)處理器運行���。如果背板電源電壓還在升高����,限制器塊會(huì )對電子元件提供保護���。
在現場(chǎng)側的電源信息�,由直流-到-直流的轉換器生成�。有兩個(gè)過(guò)壓和欠壓監測器����,每個(gè)處理器系統有一個(gè)�����。如果兩個(gè)隔離的直流-到-直流轉換器生成一個(gè)電源到現場(chǎng)側電子元件的失效信號����,監測器通過(guò)隔離器發(fā)送失效信號至處理器�����。
在運行時(shí)����,當一個(gè)現場(chǎng)的輸入電源電壓達到60V�。有2個(gè)過(guò)壓和欠壓監測器��,每個(gè)處理器系統提供1個(gè)�,以同樣方式監視直流-到-直流轉換器���。一旦失效����,監測器會(huì )發(fā)出失效信號�����,對用戶(hù)邏輯的狀態(tài)位設置�,警告系統可能出現了輸入不一致�。
2.5安全PLC的安全模擬量輸入模塊
接地斷線(xiàn)檢測:安全模擬量輸入模塊具有監視接地失效(漏電流)的功能�����。外接線(xiàn)一端通常要連接到中性地��,在接地端子與中性地之間可以接入一個(gè)分流電阻(比如250歐姆)���,那么模擬量輸入的漏電流就可以通過(guò)這個(gè)電阻上的電壓����,檢測出來(lái)����。
內部診斷:現場(chǎng)側包括了8個(gè)隔離獨立的輸入通道�����,每個(gè)輸入具有2個(gè)相同的電路構成�����,每個(gè)電路的微處理器通過(guò)驅動(dòng)它的模擬量-數字量轉換器�����、再經(jīng)過(guò)隔離器得到輸入值����。另外��,當進(jìn)行診斷時(shí)��,微處理器還驅動(dòng)它的數字量-模擬量轉換器并且把它置成高阻抗(非干涉)或者低阻抗�,強迫做為模擬量-數字量轉換器的輸入���。
模擬量輸入模塊執行:
◎短期間的自檢��。使用常規的�����、周期的差異值檢測���,判斷內部是否失效��。
◎長(cháng)期間的自檢�����。使用每個(gè)通道的健康狀態(tài)來(lái)核實(shí)內部是否失效���。
現場(chǎng)電源監督:沒(méi)有電源監督����,這個(gè)功能由模擬量-數字量轉換器檢測期間���,對模擬量-數字量轉換器和數字量-模擬量轉換器提供的根據它們電源電壓的值來(lái)實(shí)現�����。
滬公網(wǎng)安備31010802001143號