本文格式為Word版，下載可任意編輯——常見五種安全PLC的冗余系統結構和安全性可靠性分析常用安全PLC的結構和性能

本文介紹了幾種常見的安全PLC的結構和性能，然后對各種安全PLC的特性進行了歸納和總結。

安全PLCN選X系統三重冗余四重冗余

Abstract:ThearticleanalysesseveralpopularsafetyPLC’sarchitectureandperformance.Finally,summarizetheirfeatures.

Keyword:SafetyPLCXooNTMRQMR

近幾十年來，多起工業事故發生的原因可以追溯到計算機系統的失效，引起了人員傷亡、設備損壞和環境污染。這些信息也喚醒了國家和公眾對減少危險、建立安全工業流程的意識。為此，IEC制定了新的安全國際標準：IEC61508/61511，也已經由工業組織合作制定完成，我國的相關標準也即將公布。

為了幫助讀者了解目前安全儀表系統（SIS）使用安全PLC實現電氣/電子/可編程電子系統（E/E/PES）功能的狀況，就常見的幾種安全系統結構進行探討，希望能對今后的系統選擇有所借鑒和參考。1．PLC是一個規律解算器

一個安全系統的規律解算器是一種特別類型的PLC，它具有獨立的安全功能認證，但也有繼電器規律或者固態規律的運算能力。規律解算器從傳感器讀入信號，執行事先編制好的程序或者事先設計好的功能，用于防止或者減輕潛在的安全隱患，然后通過發送信號到執行器或最終元件采取行動。

規律解算器的設計有好多種，來滿足不同的市場需求、應用和任務。我們下面將就比較典型的安全PLC的結構進行探討。

2．安全PLC的體系結構當你構建一個安全系統時，可以有好多方式來安排安全系統部件。有些安排考慮的是對成功操作有效性的最大化。（可靠性或可用性）。有些安排考慮的是防止特別失效的發生（失效安全，失效危險）。

控制系統部件的不同安排可以從它們的體系結構中看出來。這節內容將介紹市場上幾款常見的可編程電子系統（PES）的體系結構，了解它們的安全特性，以及在安全和關鍵控制的應用。它們是已經在實踐中存在的多種結構的代表，真正現場使用的系統就是這些結構的不同組合。下面的內容將用N選X(譬如2選1)的方式：XooN來介紹系統。在每個類型中，

X代表需要執行安全功能的通道數，而N代表整個可用的通道數。.2.1．1oo1單通道系統

單控制器帶有單個規律解算器和單個I/O代表了一個最小化的系統，見下圖（圖1）。這個系統沒有提供冗余，也沒有失效模式保護。電子電路可以失效安全（輸出斷電，回路開路）或者失效危險（輸出粘連或給電，短路）。這種安排方式是典型的非安全－常規PLC系統結構。

圖1：1oo1結構

安全PLC的輸入和常規PLC的輸入接法也有區別，常規PLC的輸入尋常接傳感器的常開接點，而安全PLC的輸入尋常接傳感器的常閉接點，用于提高輸入信號的快速性和可靠性。有些安全PLC輸入還具有“三態〞功能，即“常開〞、“常閉〞和“斷線〞三個狀態，而且通過“斷線〞來診斷輸入傳感器的回路是否斷路，提高了輸入信號的可靠性。

另外，有些安全PLC的輸出和常規的PLC的輸出也有區別。常規PLC輸出信號之后，就和PLC本身失去了關聯，也就是說輸出后，譬如說“接通〞外部繼電器，繼電器本身最終終究通沒通，PLC并不知道，這是由于沒有外部設備的反饋所致。安全PLC具有所謂“線路檢測〞功能，即周期性的對輸出回路發送短脈沖信號（毫秒級，并不讓用電器導通）來檢測回路是否斷線，從而提高了輸出信號的可靠性。2.2．1oo2雙通道系統

兩個控制器并行處理和連線可以把單個PLC危險失效的影響降到最低

為了可靠斷開系統，兩個輸出電路采用串行連接，以防止任何一個控制器在危險的方式下失效，造成系統失效危險。

1oo2結構（圖2）常用于兩個獨立規律解算器、并各自帶有自己獨立I/O的場合。系統提供了較低的失效可能性，但它增加了失效安全斷路的可能性。失效安全斷開率的增加，有助于提高流程系統的停車和機器系統的停機能力。

圖2：1oo2結構

這種結構的輸入方式有兩種：一種為一個傳感器接到兩個輸入點上（可以使用同一個模塊的兩個點，也可以使用兩個模塊的兩個點，廠商推薦用戶最好采用不同機架上的兩個不同模塊的兩個點）；一種為兩個傳感器或者一個傳感器的兩個接點接到兩個輸入點，這樣可以進一步提高輸入信號的可靠性（傳感器冗余）。

圖中的結構為兩個彼此獨立的系統，在輸出之前并沒有對輸入信號和運算結果進行表決，而有些系統對輸入信號和規律結果要進行表決，然后輸出。1oo2系統的表決機制也十分特別。當兩個輸入都為“0〞或“1〞信號時，自然沒有問題。但假使出現一個為“0〞、而一個為“1〞，系統如何表決呢？答案是：取安全的值做為表決的結果！那么何謂安全值？答案是：要根據具體的應用進行設置。假使“0〞為安全值，那么出現一個“0〞和一個“1〞時，就選擇“0〞，相當進行了一次3選2的表決。

下面再談談輸出的接線方式問題。一般來說也有兩種接法，被稱為：安全接法和冗余接法。所謂安全接法指得是：輸出的兩個通道進行串聯后再接執行器，規律關系為“與〞，也就是說：一個通道為“0〞，負載就不得電，這樣可以確保系統的安全性。所謂冗余接法指得是：輸出的兩個通道進行并聯后再接執行器，規律關系為“或〞，也就是說：一個通道為“1〞，負載就可以獲電，這樣可以提高系統的容錯能力。至于采用哪種接線要根據應用的要求來決定。假使是安全性系統，建議采用安全接法。假使是高可用性系統，建議采用冗余接法。

2.3．1oo1D雙通道系統

這種結構使用一個帶有診斷能力的單一控制器通道，和其次個診斷通道利用串行連接構成輸出回路。典型的1oo1D結構見圖3。1oo1D的“D〞意思是診斷的含義，所以被稱為一選一診斷系統，功能相當于一種二選一系統。由于這種系統的造價相對低廉，所以這種系統在安全應用中扮演了重要的角色。這種1oo1D結構由一個單一規律解算器和一個外部的監視時鐘而構成，定時器的輸出與規律解算器的輸出進行串聯接線。在更先進的系統中，內置診斷控制一個獨立串聯輸出，當系統檢測出失效時，它會強制系統處于斷開狀態。診斷功能把檢測到的一個危險失效轉變成一個安全失效。

圖3：1oo1D結構

1oo2D結構包含兩個獨立的電路通道。輸出電路可以使用不同類型的雙重開關。譬如固態開關提供了常規的控制器輸出，而另一個繼電器由內部診斷控制，提供了其次個常開接點開關。假使在輸出通道檢測到一個潛在的危險失效，繼電器觸點就會斷開，使輸出回路斷電，確保執行器處于安全狀態。

雙重電路通道可以使用不同類型的觸點實現1oo1D結構，譬如兩個常開點，或者一個常開點加一個常閉點等。后綴“D〞反映了系統在每個通道中，具有更廣泛和更細致的自診斷能力。其次個停機路徑，就是由這個自診斷系統，運用高級的“依據參考〞的方法進行系統診斷。

下面是標準的1oo1D結構的特性：

?單一控制器；

?單一I/O子系統，帶有保護輸出和“失效接通〞和“失效斷開〞的診斷輸出選擇；?冗余電源；?冗余通信總線；?診斷率>99.5%。

2.4．2oo3三通道系統

假使在一些控制系統的應用中，根本不允許失效模式的出現，那么三選二系統是一種最牢靠的選擇。當要防止兩種失效模式的出現時，系統的結構變的十分繁雜。一種既可以容忍“安全〞失效，又可以容忍“危險〞失效的結構設計就是三選二結構（三個單元中選擇兩個一致的結果用于安全功能，圖4）。這種帶有三個控制器單元的結構提供了即有安全性又有高可用性的系統。這種系統被稱為TMR（三重模塊冗余）系統。

每個控制器單元的輸出通道帶有兩個輸出點。把三個控制器各自的兩個輸出點連接成“表決〞電路，用表決的結果來決定真正的輸出信號。輸出的結果取決于“多數〞的看法。當一條電路中有兩個輸出點接通時，輸出負載將被激活。當一條電路中有兩個輸出點斷開時，輸出負載將被斷電。

圖4：2oo3結構

在上圖的輸出接線中，沒有直接把三個輸出的接點簡單地串聯后，接到執行器。假使這樣接的話，那就是純粹的安全接法，而不考慮容錯問題了。圖中采用的是：兩兩輸出接點先進行串聯－安全接法，然后把三種可能的串聯組合再并聯起來－冗余接法。所以把這種系統稱為：兼顧了安全性和高可用性的系統。

一個TMR系統尋常由三個同樣的CPU組成，尋常運行同一個應用程序（特別狀況下，有些系統有意要運行不同的應用程序，這里暫且不探討）。每個CPU連接到同樣的輸入和輸出子系統。每個CPU接受所有的輸出并執行表決，決定開關量輸入和選擇中間量的模擬量輸入。

每個輸入可以是一個傳感器、兩個傳感器或者三個傳感器，這取決于應用的要求。每個掃描周期，每個輸入設備往CPU傳送一次數據，由于傳感器是廣播方式傳送輸入數據，所以同樣的輸入傳給所有的CPU。每個CPU接收了表決輸入數據以后，再執行應用程序。

每個CPU是各自獨立地、非同步地運行，并且不共享它們的輸入/輸出數據，從

而避免了一個CPU的錯誤數據影響其他CPU的數據存儲器。每個CPU執行一致的應用程序，處理輸入數據，然后建立新的輸出數據。通過輸出模塊和現場表決接線，把輸出數據傳送至輸出設備。

保證一個TMR系統可以正常運行的另一個重要內容是TMR軟件。TMR軟件提供系統配置工具和系統軟件功能。還有專為TMR應用準備的文件夾，TMR系統軟件控制輸入表決、特別的TMR存儲器映射、診斷信息、周期性自檢、和PLC子系統的其他操作特性。

2.5．1oo2D帶診斷的雙通道系統1oo2D結構有兩重的1oo1D系統，并聯接線，并有額外的控制線路，提供了1oo2安全功能。圖5表示了1oo2D的結構。1oo2D設計成既能容忍安全失效，又能容忍危險失效的系統。基于診斷和結合2oo2的可用性與1oo2的安全性的執行，它可以有效的進行自我重新配置。這種結構十分依靠診斷，因此不同廠商在具體實現時，有不同的解決方案?，F在，這種結構取代了好多2oo3系統，由于它降低了系統成本，并且在安全性和可用性的性能相差無幾。

圖5：1oo2D結構

1oo2D結構提供了完全的系統容錯，與1oo1D系統提供了一致的基本特性，但增加了控制器和I/O系統的全部冗余。1oo2D結構提供了最高級別的安全性和可用性。為了實現全部的容錯，把基于1oo1D的結構進行并聯，1oo2D也被稱為“四重化〞結構。在檢測到第一個關鍵失效時，系統會走向（降級）1oo1D模式，但不停機。這時可以對系統進行在線維護，直到系統恢復成1oo2D結構。

1oo2D結構減少了硬件的數量，特別是相對于標準的TMR系統，同時提供了一個并行的帶有保護的輸出。系統的一方面在線診斷關鍵失效（輸入/處理器/輸出），另一方面維持控制和系統有效狀態。這種結構的性能在安全可靠性和可用性兩方面，都要優于常規的雙PLC和TMR系統。

這種結構還有規避外部公共因素影響的優點。不像其他安全系統，有些1oo2D結構的兩邊能夠安裝在不同機柜內的不同機架上，使系統暴露于惡劣現場環境的可能性最小化，減少譬如機柜溫度或者其他物理參數對系統的影響。

2.6．2oo4D四重化系統為了在系統出現問題后，系統可以降級到1oo2D的系統繼續運行，一些廠商在市場上提供了一種稱為四重化的系統方案，有時被稱為QMR（四重模塊冗余）。

四重化系統，無論如何，實際的系統結構是基于雙重化的輸入和輸出的結構變化而來的，四重的含義是指系統包括了四個處理器（每條腿上有兩個）。這種結構確保了即使系統的一條腿由于錯誤或替換停機，整個系統還是完整的。比起1oo2D或2oo3系統，感覺2oo4D的系統可能更安全而且更可靠，實際上它們在運行時，系統所提供的可用性和安全完整性等級是一樣的。

圖6：2oo4D“四重化〞結構

與硬件相反，軟件永遠不會降級。因此，當使用軟件檢測硬件時，總是在誤動作發生之前就可以發現它們。QMR安全系統使用軟件進行自測試和自診斷，從現場至處理器。這使得QMR安全系統比任何其他沒有使用自測試和自診斷的系統更加可靠，這其中包括2oo3或者2oo4系統。

除了具有系統內部自測試和自診斷能力外，QMR系統還有測試和診斷現場回路的能力。對于輸入和輸出，系統都具有回路監視功能。一旦發現回路中出現短路和開路，就會生成報警。這種自動檢測和診斷方法減少了整個系統的維護和測試的費用。