常见五种安全PLC 的冗余系统结构和安全性可靠性分析

常用安全PLC 的结构和性能

【摘要】本文介绍了几种常见的安全PLC的结构和性能，然后对各种安全PLC的特性进行了归纳和总结。

【关键词】安全PLC N选X系统三重冗余四重冗余

Abstract: The article analyses several popular safety PLC’s architecture and performance. Finally, summarize their features.

Key word: Safety PLC XooN TMR QMR

近几十年来，多起工业事故发生的原因可以追溯到计算机系统的失效，引起了人员伤亡、设备损坏和环境污染。这些信息也唤醒了国家和公众对减少危险、建立安全工业流程的意识。为此，IEC制定了新的安全国际标准：IEC 61508/ 61511，也已经由工业组织合作制定完成，我国的相关标准也即将颁布。

为了帮助读者了解目前安全仪表系统（SIS）使用安全PLC实现电气/电子/可编程电子系统（E/E/PES）功能的情况，就常见的几种安全系统结构进行探讨，希望能对今后的系统选择有所借鉴和参考。

1．PLC 是一个逻辑解算器

一个安全系统的逻辑解算器是一种特殊类型的PLC，它具有独立的安全功能认证，但也有继电器逻辑或者固态逻辑的运算能力。逻辑解算器从传感器读入信号，执行事先编制好的程序或者事先设计好的功能，用于防止或者减轻潜在的安全隐患，然后通过发送信号到执行器或最终元件采取行动。

逻辑解算器的设计有很多种，来满足不同的市场需求、应用和任务。我们下面将就比较典型的安全PLC的结构进行探讨。

2．安全PLC 的体系结构

当你构建一个安全系统时，可以有很多方式来安排安全系统部件。有些安排考虑的是对成功操作有效性的最大化。（可靠性或可用性）。有些安排考虑的是防止特殊失效的发生（失效安全，失效危险）。

控制系统部件的不同安排可以从它们的体系结构中看出来。这节内容将介绍市场上几款常见的可编程电子系统（PES）的体系结构，了解它们的安全特性，以及在安全和关键控制的应用。它们是已经在实践中存在的多种结构的代表，真正现场使用的系统就是这些结构的不同组合。

下面的内容将用N选X (比如2选1) 的方式：XooN 来介绍系统。在每个类型中，X 代表需要执行安全功能的通道数，而N 代表整个可用的通道数。.

2.1．1oo1 单通道系统

单控制器带有单个逻辑解算器和单个I/O 代表了一个最小化的系统，见下图（图1）。这个系统没有提供冗余，也没有失效模式保护。电子电路可以失效安全（输出断电，回路开路）或者失效危险（输出粘连或给电，短路）。这种安排方式是典型的非安全－常规PLC系统结构。

图1：1oo1 结构

安全PLC的输入和常规PLC的输入接法也有区别，常规PLC的输入通常接传感器的常开接点，而安全PLC的输入通常接传感器的常闭接点，用于提高输入信号的快速性和可靠性。有些安全PLC输入还具有“三态”功能，即“常开”、“常闭”和“断线”三个状态，而且通过“断线”来诊断输入传感器的回路是否断路，提高了输入信号的可靠性。

另外，有些安全PLC的输出和常规的PLC的输出也有区别。常规PLC输出信号之后，就和PLC本身失去了关联，也就是说输出后，比如说“接通”外部继电器，继电器本身最后到底通没通，PLC并不知道，这是因为没有外部设备的反馈所致。安全PLC具有所谓“线路检测”功能，即周期性的对输出回路发送短脉冲信号（毫秒级，并不让用电器导通）来检测回路是否断线，从而提高了输出信号的可靠性。

2.2．1oo2 双通道系统

两个控制器并行处理和连线可以把单个PLC危险失效的影响降到最低

为了可靠断开系统，两个输出电路采用串行连接，以防止任何一个控制器在危险的方式下失效，造成系统失效危险。

1oo2 结构（图2）常用于两个独立逻辑解算器、并各自带有自己独立I/O的场合。系统提供了较低的失效可能性，但它增加了失效安全断路的可能性。失效安全断开率的增加，有助于提高流程系统的停车和机器系统的停机能力。

图2：1oo2 结构

这种结构的输入方式有两种：一种为一个传感器接到两个输入点上（可以使用同一个模块的两个点，也可以使用两个模块的两个点，厂商推荐用户最好采用不同机架上的两个不同模块的两个点）；一种为两个传感器或者一个传感器的两个接点接到两个输入点，这样可以进一步提高输入信号的可靠性（传感器冗余）。

图中的结构为两个彼此独立的系统，在输出之前并没有对输入信号和运算结果进行表决，而有些系统对输入信号和逻辑结果要进行表决，然后输出。1oo2系统的表决机制也非常特别。当两个输入都为“0”或“1”信号时，自然没有问题。但如果出现一个为“0”、而一个为“1”，系统如何表决呢？答案是：取安全的值做为表决的结果！那么何谓安全值？答案是：要根据具体的应用进行设置。如果“0”为安全值，那么出现一个“0”和一个“1”时，就选择“0”，相当进行了一次3选2的表决。

下面再谈谈输出的接线方式问题。一般来说也有两种接法，被称为：安全接法和冗余接法。所谓安全接法指得是：输出的两个通道进行串联后再接执行器，逻辑关系为“与”，也就是说：一个通道为“0”，负载就不得电，这样可以确保系统的安全性。所谓冗余接法指得是：输出的两个通道进行并联后再接执行器，逻辑关系为“或”，也就是说：一个通道为“1”，负载就可以获电，这样可以提高系统的容错能力。至于采用哪种接线要根据应用的要求来决定。如果是安全性系统，建议采用安全接法。如果是高可用性系统，建议采用冗余接法。

2.3．1oo1D 双通道系统

这种结构使用一个带有诊断能力的单一控制器通道，和第二个诊断通道利用串行连接构成输出回路。典型的1oo1D 结构见图3。1oo1D的“D”意思是诊断的含义，所以被称为一选一诊断系统，功能相当于一种二选一系统。因为这种系统的造价相对低廉，所以这种系统在安全应用中扮演了重要的角色。这种1oo1D 结构由一个单一逻辑解算器和一个外部的监视时钟而构成，定时器的输出与逻辑解算器的输出进行串联接线。

在更先进的系统中，内置诊断控制一个独立串联输出，当系统检测出失效时，它会强制系统处于断开状态。诊断功能把检测到的一个危险失效转变成一个安全失效。

图3：1oo1D 结构

1oo2D 结构包含两个独立的电路通道。输出电路可以使用不同类型的双重开关。比如固态开关提供了常规的控制器输出，而另一个继电器由内部诊断控制，提供了第二个常开接点开关。如果在输出通道检测到一个潜在的危险失效，继电器触点就会断开，使输出回路断电，确保执行器处于安全状态。

双重电路通道可以使用不同类型的触点实现1oo1D 结构，比如两个常开点，或者一个常开点加一个常闭点等。后缀“D”反映了系统在每个通道中，具有更广泛和更细致的自诊断能力。第二个停机路径，就是由这个自诊断系统，运用高级的“依据参考”的方法进行系统诊断。

下面是标准的1oo1D 结构的特性：