安全型可編程邏輯控制器(PLC)是為特殊用途的機器設備而設計的,用于關鍵型控制和安全型應用。這些控制器通常是安全儀表系統(SIS)的一部分,用在檢測具有潛在危險的流程工業環境中。一旦檢測出危險,SIS的應用程序能自動作用,把流程切換到安全狀態。談到這里,用戶可能會有一系列的問題:常規PLC已經成功地使用了這么多年了,與安全PLC相比有什么不同?為什么在關鍵型控制和安全型應用中,不能使用常規的PLC?
一、綜述
一臺安全PLC采用了特殊的設計,能夠實現兩個重要目標:
1.系統不會失效(采用冗余的工作方式),即使元件的失效不可避免;
2.失效是在可預測的范圍內,一旦失效,系統將進入安全模式。
在設計安全PLC時,要考慮到很多因素,需要很多的特殊設計。比如:一臺安全PLC更強調內部診斷,結合硬件和軟件,可以讓設備隨時檢測自身工作狀態的不適;一臺安全PLC具有的軟件,要使用一系列的特殊技術,能確保軟件的可靠性;一臺安全PLC具有冗余功能,即使一部分失效,也能夠維持系統運行;一臺安全PLC還具有外加的安全機制,不允許通過數字通信接口隨便讀寫內部的數據。
安全PLC與常規PLC的不同還在于:安全PLC需要得到第三方專業機構的安全認證,滿足苛刻的安全性和可靠性國際標準。必須徹底地采用系統方法,來設計和測試安全PLC。德國的TUV專家和美國的FM專家會提供對安全PLC設計和測試過程的、第三方獨立的確認和驗證,
特殊的電子線路,細致的診斷軟件分析,再加上對所有可能失效進行測試的完整性設計,確保了安全PLC具有測定99%以上的內部元件潛在危險失效的能力。一種失效模式、影響和診斷分析(FMEDA)方法一直指導著設計,這種方法會指出每個元件是怎樣引起系統失效,并且告訴你系統應該如何檢測這個失效。TUV的工程師會親自執行失效測試,把它作為他們認證過程的一個部分。
嚴格的國際標準軟件應用于安全PLC。這些標準需要特殊技術,避免復雜性。更進一步的分析和測試,細致地檢查操作系統的任務交互操作。這種測試包括實時的交互操作,比如多任務(當使用時)和中斷。還需要進行一種特殊的診斷,被稱為“程序流控制”和“數據確認”。程序流檢查能確;竟δ苣馨凑_的順序執行,數據確認使所有的關鍵數據在存儲器里進行冗余存儲,并且在使用前進行有效性測試。在軟件開發過程中,一個安全PLC需要附加的軟件測試技術。為了核實數據完整性檢查,必須執行一系列“軟件失效注入”測試,也就是人為對程序進行故意破壞,來檢查PLC的響應是否運行在預計的安全方式。軟件的設計和測試帶有詳細的文件資料,這樣第三方的檢查員就能夠明白PLC的運行原理,而多數軟件開發沒有使用這種規范的操作流程,這也正好說明為什么眾多的垃圾軟件會出現那么多的臭蟲而無法發現了。
二、舉例
下面試通過某公司的一款安全PLC,來更具體地說明安全PLC與常規PLC的區別。
2.1安全PLC與常規PLC的CPU的差別
常規PLC內部CPU的數量有一個或多個,它或它們的作用是:執行用戶的程序、進行I/O的掃描和系統的診斷。但用戶的程序通常就進行一次處理,多個CPU的功能是把程序中的邏輯運算、算數運算、通信功能等分擔實現,也就是協作處理。
而安全PLC的CPU至少有兩個或多個,兩個CPU的功能是:分別對同一個用戶程序各自執行一次,然后再把兩個結果放在一起進行比較,如果比較的結果是一致的,就輸出這個結果,如果是不一致的,選擇安全的結果輸出。由此看出,這才是安全PLC與常規PLC最大的不同:冗余+比較。
2.2安全PLC內部CPU的結構
安全PLC包含2個處理器,每個處理器在自己的存儲器區中,執行它們自己的安全邏輯,然后在每個周期的結尾和對方的結果進行比較,每個處理器有它自己獨立的停機通道,如果檢測到結果的不同或有失效成分,它能夠實現系統停機,切到安全狀態。這種雙處理結構被稱為內部的二選一結構。
下圖表示了這種安全PLC的內部結構:
安全PLC通常都有兩個處理器,同時進行解碼和執行。這種差異性提供了失效檢測的下列優點:
◎兩個可執行碼獨自生成,編譯的差異性使得在代碼生成時,容易檢測系統失效。
◎兩個生成碼由不同的處理器執行,因此,CPU能夠在代碼執行時,檢測出系統失效和PLC的隨機失效。
◎兩個獨立的存儲器區用于兩個處理器,因此,CPU能夠檢測出RAM的隨機失效,而這在每個掃描周期的全部RAM檢查時測不出來。
這里我們接著引出安全PLC與常規PLC第二個最大的不同:隨時+步步進行診斷和檢測。這種檢測有的是通過自身信息進行的,稱為自檢;還有的通過對方的信息進行檢測,稱為互檢。后面我們還會提到更多的檢測。
2.3安全PLCCPU中的檢測
時鐘測量:在處理器電路中,有兩個不同的振蕩器交叉檢查它們的行為,每個處理器使用一個時鐘檢查另外一個是否運行。如果在一個確定的周期里,檢測到對方沒有運行,CPU就會進入安全狀態。固件每秒鐘會檢查兩個振蕩器的精度。
監視時鐘:一個硬件和一個固件的監視時鐘檢查PLC的活動和執行用戶邏輯的執行時間。這和常規的PLC系統是相同的。
序列檢查:序列檢查監視CPU操作系統不同部分的執行。
存儲器檢查:所有靜態存儲器區,包括Flash存儲器和RAM,使用循環冗余碼(CRC)進行檢測,并且雙碼執行。動態存儲器區由雙碼執行保護,周期性進行檢測。在冷啟動時,這些檢測重新進行初始化。
從上面的分析可以看出,安全PLC的診斷和檢測比常規的PLC的檢測要多很多,所以相對來說,硬件和軟件的設計更復雜。當然,檢測和診斷的范圍也更廣范,更細致。
2.4安全PLCI/O診斷概述
上面我們對安全PLC的CPU的情況進行了一個簡單的分析,下面我們再來看看安全輸入/輸出模塊的情況。
所有安全I/O模塊都要執行以下兩個診斷功能:
◎更多的系統層面的診斷,包括了:RAM測試、ROM測試、以及
◎根據模塊的類型不同,現場層面的診斷,
下面的表格列出了安全I/O模塊的現場診斷情況:
還有,安全PLC要對安全CPU和安全I/O之間的通信進行診斷,比如使用CRC校驗。因此,不僅要檢查接收的數據是否等于發送的數據,而且要檢查數據變化。為了解決擾動問題,比如EMC的影響,它可能瞬間破壞你的數據,所以你需要對每個模塊,配置一個很大的連續CRC錯誤診斷。
上電時診斷:在上電時,I/O模塊執行擴展的自檢程序,如果測試出現錯誤,模塊被認為不健康,輸入輸出全部置為0。
運行時的診斷:在系統運行時,I/O模塊執行自檢程序,輸入模塊檢驗是否能夠從傳感器讀取整個范圍的數據,輸出模塊對它們的開關執行脈沖測試,周期小于1ms,在數字量輸入和數字量輸出模塊,上電自檢失效和模塊沒有接到外部的24V電源時,模塊不工作。
過壓診斷:因為電子元件,從理論上說,電源電壓超過了最大值時,它們不應該工作,所以I/O模塊必須對來自背板的電源電壓進行監視。
下表描述了對電源電壓的監視:
電源監視
來自背板總線的電壓,理論上的最大值為18.5V。有兩個過壓檢測器,每個處理器系統有一個。每個監測器能夠處理可能出現的過壓,用斷開電源開關和觸發復位塊的方法。復位塊用于管理電源的接通和斷開,并且停止兩個處理器運行。如果背板電源電壓還在升高,限制器塊會對電子元件提供保護。
在現場側的電源信息,由直流-到-直流的轉換器生成。有兩個過壓和欠壓監測器,每個處理器系統有一個。如果兩個隔離的直流-到-直流轉換器生成一個電源到現場側電子元件的失效信號,監測器通過隔離器發送失效信號至處理器。
在運行時,當一個現場的輸入電源電壓達到60V。有2個過壓和欠壓監測器,每個處理器系統提供1個,以同樣方式監視直流-到-直流轉換器。一旦失效,監測器會發出失效信號,對用戶邏輯的狀態位設置,警告系統可能出現了輸入不一致。
2.5安全PLC的安全模擬量輸入模塊
接地斷線檢測:安全模擬量輸入模塊具有監視接地失效(漏電流)的功能。外接線一端通常要連接到中性地,在接地端子與中性地之間可以接入一個分流電阻(比如250歐姆),那么模擬量輸入的漏電流就可以通過這個電阻上的電壓,檢測出來。
內部診斷:現場側包括了8個隔離獨立的輸入通道,每個輸入具有2個相同的電路構成,每個電路的微處理器通過驅動它的模擬量-數字量轉換器、再經過隔離器得到輸入值。另外,當進行診斷時,微處理器還驅動它的數字量-模擬量轉換器并且把它置成高阻抗(非干涉)或者低阻抗,強迫做為模擬量-數字量轉換器的輸入。
模擬量輸入模塊執行:
◎短期間的自檢。使用常規的、周期的差異值檢測,判斷內部是否失效。
◎長期間的自檢。使用每個通道的健康狀態來核實內部是否失效。
現場電源監督:沒有電源監督,這個功能由模擬量-數字量轉換器檢測期間,對模擬量-數字量轉換器和數字量-模擬量轉換器提供的根據它們電源電壓的值來實現。