【摘要】本文介紹了幾種常見的安全PLC的結構和性能，然后對各種安全PLC的特性進行了歸納和總結。
【關鍵詞】安全PLC      N選X系統(tǒng)       三重冗余        四重冗余 

Abstract: The article analyses several popular safety PLC’s architecture and performance. Finally, summarize their features.
Key word: Safety PLC     XooN       TMR        QMR

        近幾十年來，多起工業(yè)事故發(fā)生的原因可以追溯到計算機系統(tǒng)的失效，引起了人員傷亡、設備損壞和環(huán)境污染。這些信息也喚醒了國家和公眾對減少危險、建立安全工業(yè)流程的意識。為此，IEC制定了新的安全國際標準：IEC 61508/ 61511，也已經由工業(yè)組織合作制定完成，我國的相關標準也即將頒布。

        為了幫助讀者了解目前安全儀表系統(tǒng)（SIS）使用安全PLC實現電氣/電子/可編程電子系統(tǒng)（E/E/PES）功能的情況，就常見的幾種安全系統(tǒng)結構進行探討，希望能對今后的系統(tǒng)選擇有所借鑒和參考。

1．PLC 是一個邏輯解算器

        一個安全系統(tǒng)的邏輯解算器是一種特殊類型的PLC，它具有獨立的安全功能認證，但也有繼電器邏輯或者固態(tài)邏輯的運算能力。邏輯解算器從傳感器讀入信號，執(zhí)行事先編制好的程序或者事先設計好的功能，用于防止或者減輕潛在的安全隱患，然后通過發(fā)送信號到執(zhí)行器或最終元件采取行動。                

        邏輯解算器的設計有很多種，來滿足不同的市場需求、應用和任務。我們下面將就比較典型的安全PLC的結構進行探討。    
                                                          
2．安全 PLC 的體系結構                                                                                   

        當你構建一個安全系統(tǒng)時，可以有很多方式來安排安全系統(tǒng)部件。 有些安排考慮的是對成功操作有效性的最大化。（可靠性或可用性）。有些安排考慮的是防止特殊失效的發(fā)生（失效安全，失效危險）。

        控制系統(tǒng)部件的不同安排可以從它們的體系結構中看出來。這節(jié)內容將介紹市場上幾款常見的可編程電子系統(tǒng)（PES）的體系結構，了解它們的安全特性，以及在安全和關鍵控制的應用。它們是已經在實踐中存在的多種結構的代表， 真正現場使用的系統(tǒng)就是這些結構的不同組合。                                                                            
            
         下面的內容將用N選X (比如 2選 1) 的方式：XooN 來介紹系統(tǒng)。在每個類型中， X 代表需要執(zhí)行安全功能的通道數，而 N 代表整個可用的通道數。.                                               

2.1．1oo1 單通道系統(tǒng)
             
        單控制器帶有單個邏輯解算器和單個I/O 代表了一個最小化的系統(tǒng)，見下圖 （圖1）。這個系統(tǒng)沒有提供冗余，也沒有失效模式保護。電

子電路可以失效安全（輸出斷電，回路開路） 或者失效危險（輸出粘連或給電，短路）。這種安排方式是典型的非安全－常規(guī)PLC系統(tǒng)結

構。

圖1：1oo1 結構

        安全PLC的輸入和常規(guī)PLC的輸入接法也有區(qū)別，常規(guī)PLC的輸入通常接傳感器的常開接點，而安全PLC的輸入通常接傳感器的常閉接點，用于提高輸入信號的快速性和可靠性。有些安全PLC輸入還具有“三態(tài)”功能，即“常開”、“常閉”和“斷線”三個狀態(tài)，而且通過“斷線”來診斷輸入傳感器的回路是否斷路，提高了輸入信號的可靠性。

        另外，有些安全PLC的輸出和常規(guī)的PLC的輸出也有區(qū)別。常規(guī)PLC輸出信號之后，就和PLC本身失去了關聯(lián)，也就是說輸出后，比如說“接通”外部繼電器，繼電器本身最后到底通沒通，PLC并不知道，這是因為沒有外部設備的反饋所致。安全PLC具有所謂“線路檢測”功能，即周期性的對輸出回路發(fā)送短脈沖信號（毫秒級，并不讓用電器導通）來檢測回路是否斷線，從而提高了輸出信號的可靠性。    

2.2．1oo2 雙通道系統(tǒng)

      兩個控制器并行處理和連線可以把單個PLC危險失效的影響降到最低
       為了可靠斷開系統(tǒng)，兩個輸出電路采用串行連接，以防止任何一個控制器在危險的方式下失效，造成系統(tǒng)失效危險。
       1oo2 結構（圖2）常用于兩個獨立邏輯解算器、并各自帶有自己獨立 I/O的場合。系統(tǒng)提供了較低的失效可能性，但它增加了失效安全斷路的可能性。失效安全斷開率的增加，有助于提高流程系統(tǒng)的停車和機器系統(tǒng)的停機能力。

                                             圖2：1oo2 結構

[DividePage:NextPage]

     這種結構的輸入方式有兩種：一種為一個傳感器接到兩個輸入點上（可以使用同一個模塊的兩個點，也可以使用兩個模塊的兩個點，廠商推薦用戶最好采用不同機架上的兩個不同模塊的兩個點）；一種為兩個傳感器或者一個傳感器的兩個接點接到兩個輸入點，這樣可以進一步提高輸入信號的可靠性（傳感器冗余）。

        圖中的結構為兩個彼此獨立的系統(tǒng)，在輸出之前并沒有對輸入信號和運算結果進行表決，而有些系統(tǒng)對輸入信號和邏輯結果要進行表決，然后輸出。1oo2系統(tǒng)的表決機制也非常特別。當兩個輸入都為“0”或“1”信號時，自然沒有問題。但如果出現一個為“0”、而一個為“1”，系統(tǒng)如何表決呢？答案是：取安全的值做為表決的結果！那么何謂安全值？答案是：要根據具體的應用進行設置。如果“0”為安全值，那么出現一個“0”和一個“1”時，就選擇“0”，相當進行了一次3選2的表決。
       下面再談談輸出的接線方式問題。一般來說也有兩種接法，被稱為：安全接法和冗余接法。所謂安全接法指得是：輸出的兩個通道進行串聯(lián)后再接執(zhí)行器，邏輯關系為“與”，也就是說：一個通道為“0”，負載就不得電，這樣可以確保系統(tǒng)的安全性。所謂冗余接法指得是：輸出的兩個通道進行并聯(lián)后再接執(zhí)行器，邏輯關系為“或”，也就是說：一個通道為“1”，負載就可以獲電，這樣可以提高系統(tǒng)的容錯能力。至于采用哪種接線要根據應用的要求來決定。如果是安全性系統(tǒng)，建議采用安全接法。如果是高可用性系統(tǒng)，建議采用冗余接法。

 2.3．1oo1D 雙通道系統(tǒng)
       這種結構使用一個帶有診斷能力的單一控制器通道，和第二個診斷通道利用串行連接構成輸出回路。典型的 1oo1D 結構見圖3。1oo1D的“D”意思是診斷的含義，所以被稱為一選一診斷系統(tǒng)，功能相當于一種二選一系統(tǒng)。因為這種系統(tǒng)的造價相對低廉，所以這種系統(tǒng)在安全應用中扮演了重要的角色。這種 1oo1D 結構由一個單一邏輯解算器和一個外部的監(jiān)視時鐘而構成，定時器的輸出與邏輯解算器的輸出進行串聯(lián)接線。
        在更先進的系統(tǒng)中，內置診斷控制一個獨立串聯(lián)輸出，當系統(tǒng)檢測出失效時，它會強制系統(tǒng)處于斷開狀態(tài)。診斷功能把檢測到的一個危險失效轉變成一個安全失效。

                                            圖3：1oo1D 結構 

       1oo2D 結構包含兩個獨立的電路通道。輸出電路可以使用不同類型的雙重開關。比如固態(tài)開關提供了常規(guī)的控制器輸出，而另一個繼電器由內部診斷控制，提供了第二個常開接點開關。如果在輸出通道檢測到一個潛在的危險失效，繼電器觸點就會斷開，使輸出回路斷電，確保執(zhí)行器處于安全狀態(tài)。
       雙重電路通道可以使用不同類型的觸點實現1oo1D 結構，比如兩個常開點，或者一個常開點加一個常閉點等。后綴“D”反映了系統(tǒng)在每個通道中，具有更廣泛和更細致的自診斷能力。第二個停機路徑，就是由這個自診斷系統(tǒng)，運用高級的“依據參考”的方法進行系統(tǒng)診斷。
       下面是標準的1oo1D 結構的特性：  

        ? 單一控制器；
        ? 單一 I/O 子系統(tǒng)，帶有保護輸出和“失效接通”和“失效斷開”的診斷輸出選擇； 
        ? 冗余電源；
        ? 冗余通信總線；
        ? 診斷率 >99.5%。         
2.4．2oo3 三通道系統(tǒng)
             
        如果在一些控制系統(tǒng)的應用中，根本不允許失效模式的出現，那么三選二系統(tǒng)是一種最牢靠的選擇。當要防止兩種失效模式的出現時，系統(tǒng)的結構變的非常復雜。一種既可以容忍“安全”失效，又可以容忍“危險”失效的結構設計就是三選二結構（三個單元中選擇兩個相同的結果用于安全功能，圖4）。這種帶有三個控制器單元的結構提供了即有安全性又有高可用性的系統(tǒng) 。這種系統(tǒng)被稱為TMR（三重模塊冗余）系統(tǒng)。
         每個控制器單元的輸出通道帶有兩個輸出點。把三個控制器各自的兩個輸出點連接成“表決”電路，用表決的結果來決定真正的輸出信號。輸出的結果取決于“多數”的意見。當一條電路中有兩個輸出點接通時，輸出負載將被激活。當一條電路中有兩個輸出點斷開時，輸出負載將被斷電。

圖4：2oo3 結構             

[DividePage:NextPage]

      在上圖的輸出接線中，沒有直接把三個輸出的接點簡單地串聯(lián)后，接到執(zhí)行器。 如果這樣接的話，那就是純粹的安全接法，而不考慮容錯問題了。圖中采用的是：兩兩輸出接點先進行串聯(lián)－安全接法，然后把三種可能的串聯(lián)組合再并聯(lián)起來－冗余接法。所以把這種系統(tǒng)稱為：兼顧了安全性和高可用性的系統(tǒng)。

        一個 TMR 系統(tǒng)通常由三個同樣的 CPU 組成，通常運行同一個應用程序（特殊情況下，有些系統(tǒng)故意要運行不同的應用程序，這里暫且不討論）。每個CPU連接到同樣的輸入和輸出子系統(tǒng)。每個 CPU 接受所有的輸出并執(zhí)行表決，決定開關量輸入和選擇中間量的模擬量輸入。

        每個輸入可以是一個傳感器、兩個傳感器或者三個傳感器，這取決于應用的要求。每個掃描周期，每個輸入設備往CPU 傳送一次數據，因為傳感器是廣播方式傳送輸入數據， 所以同樣的輸入傳給所有的 CPU。每個CPU 接收了表決輸入數據以后，再執(zhí)行應用程序。

        每個CPU 是各自獨立地、非同步地運行，并且不共享它們的輸入/ 輸出數據，從而避免了一個 CPU 的錯誤數據影響其他 CPU 的數據存儲器。每個 CPU 執(zhí)行相同的應用程序，處理輸入數據，然后建立新的輸出數據。通過輸出模塊和現場表決接線，把輸出數據傳送至輸出設備。

        保證一個 TMR 系統(tǒng)可以正常運行的另一個重要內容是 TMR 軟件。 TMR 軟件提供系統(tǒng)配置工具和系統(tǒng)軟件功能。還有專為 TMR 應用準備的文件夾，TMR 系統(tǒng)軟件控制輸入表決、特殊的 TMR 存儲器映射、診斷信息、周期性自檢、和PLC子系統(tǒng)的其他操作特性。

2.5．1oo2D 帶診斷的雙通道系統(tǒng)              
        1oo2D 結構有兩重的1oo1D 系統(tǒng)，并聯(lián)接線，并有額外的控制線路，提供了 1oo2 安全功能。圖5 表示了 1oo2D 的結構。

        1oo2D 設計成既能容忍安全失效，又能容忍危險失效的系統(tǒng)?；谠\斷和結合2oo2 的可用性與1oo2的安全性的執(zhí)行，它可以有效的進行自我重新配置。這種結構非常依賴診斷，因此不同廠商在具體實現時，有不同的解決方案?，F在，這種結構取代了很多 2oo3 系統(tǒng)，因為它降低了系統(tǒng)成本，并且在安全性和可用性的性能相差無幾。

圖5：1oo2D 結構  

        1oo2D結構提供了完全的系統(tǒng)容錯，與1oo1D系統(tǒng)提供了相同的基本特性，但增加了控制器和I/O 系統(tǒng)的全部冗余。 1oo2D 結構提供了最高級別的安全性和可用性。

        為了實現全部的容錯，把基于1oo1D 的結構進行并聯(lián)，1oo2D 也被稱為“四重化”結構。在檢測到第一個關鍵失效時，系統(tǒng)會走向（降級）1oo1D 模式，但不停機。這時可以對系統(tǒng)進行在線維護，直到系統(tǒng)恢復成1oo2D 結構。

        1oo2D結構減少了硬件的數量，特別是相對于標準的TMR系統(tǒng)，同時提供了一個并行的帶有保護的輸出。系統(tǒng)的一方面在線診斷關鍵失效（輸入/處理器/輸出），另一方面維持控制和系統(tǒng)有效狀態(tài)。這種結構的性能在安全可靠性和可用性兩方面，都要優(yōu)于常規(guī)的雙PLC和TMR系統(tǒng)。

        這種結構還有規(guī)避外部公共因素影響的優(yōu)點。不像其他安全系統(tǒng)，有些1oo2D結構的兩邊能夠安裝在不同機柜內的不同機架上，使系統(tǒng)暴露于惡劣現場環(huán)境的可能性最小化，減少比如機柜溫度或者其他物理參數對系統(tǒng)的影響。

2.6． 2oo4D 四重化系統(tǒng) 
        為了在系統(tǒng)出現問題后，系統(tǒng)可以降級到1oo2D的系統(tǒng)繼續(xù)運行，一些廠商在市場上提供了一種稱為四重化的系統(tǒng)方案，有時被稱為 QMR （四重模塊冗余）。
        四重化系統(tǒng)，無論如何，實際的系統(tǒng)結構是基于雙重化的輸入和輸出的結構變化而來的，四重的含義是指系統(tǒng)包括了四個處理器（每條腿上有兩個）。這種結構確保了即使系統(tǒng)的一條腿由于錯誤或替換停機，整個系統(tǒng)還是完整的。比起1oo2D或2oo3系統(tǒng)，感覺 2oo4D 的系統(tǒng)可能更安全而且更可靠，實際上它們在運行時，系統(tǒng)所提供的可用性和安全完整性等級是一樣的。    

 圖6：2oo4D “四重化” 結構

        與硬件相反，軟件永遠不會降級。因此，當使用軟件檢測硬件時，總是在誤動作發(fā)生之前就可以發(fā)現它們。QMR 安全系統(tǒng)使用軟件進行自測試和自診斷，從現場至處理器。這使得QMR安全系統(tǒng)比任何其他沒有使用自測試和自診斷的系統(tǒng)更加可靠，這其中包括2oo3或者2oo4系統(tǒng)。

        除了具有系統(tǒng)內部自測試和自診斷能力外，QMR 系統(tǒng)還有測試和診斷現場回路的能力。對于輸入和輸出，系統(tǒng)都具有回路監(jiān)視功能。一旦發(fā)現回路中出現短路和開路，就會生成報警。這種自動檢測和診斷方法減少了整個系統(tǒng)的維護和測試的費用。

        QMR 帶診斷系統(tǒng)具有處理多失效的能力，因為它能夠發(fā)現和隔離系統(tǒng)中任何地方出現失效的能力。只要失效不是來自系統(tǒng)的同一個部分，它可以具有在多個失效產生時，不丟失任何安全功能的能力。結合2oo4D 的診斷技術，使得系統(tǒng)具有發(fā)現和隔離甚至沒有發(fā)生誤動作失效的能力。

[DividePage:NextPage]

       QMR 安全系統(tǒng)是第一個、并且目前是僅有的一個使用真正的雙容錯結構。它是僅有的、具有當兩個處理器都失效而能保持系統(tǒng)執(zhí)行安全功能到SIL3等級的安全系統(tǒng)。QMR 系統(tǒng)能夠象一個單通道安全系統(tǒng)一樣，在完整性 SIL3 等級下暢通無阻地運行。

        QMR 安全系統(tǒng)的替換失效模塊是非常容易的，可以在線進行，不需要熱備或者中間模塊，不會影響安全裝置的流程。因為兩個通道獨立運行，可以工作于一個通道而不減少整個系統(tǒng)的安全功能。另外，在線可以下載完整程序，而不會影響流程和減少系統(tǒng)的安全完整性。在改變到新的應用程序前，系統(tǒng)會執(zhí)行一個檢查，并且把值進行拷貝，確保安全和正確地連續(xù)運行。
3．系統(tǒng)體系結構小結  

        總之，從不同系統(tǒng)結構角度來看安全性和可用性，會使多數用戶感到困惑。 下表描述了系統(tǒng)結構對一個中央流程單元或控制器一旦失效發(fā)生所帶來的影響。在每種情況中，達到的安全完整性和容錯性僅代表冗余對安全性和可用性的影響。做為冗余，僅有一個測量值來考慮安全性和可用性是不夠的，還要考慮很多其他的因素。

表：系統(tǒng)體系結構小結 

（轉載）