admin 管理员组文章数量: 1087652
2024年4月24日发(作者:rgb header是什么意思)
安全PLC与普通PLC的区别
安全型可编程逻辑控制器(PLC)是为特殊用途的机器设备而设计的,用于
关键型控制和安全型应用。这些控制器通常是安全仪表系统(SIS)的一部分,
用在检测具有潜在危险的流程工业环境中。一旦检测出危险,SIS的应用程序能
自动作用,把流程切换到安全状态。谈到这里,用户可能会有一系列的问题:常
规PLC已经成功地使用了这么多年了,与安全PLC相比有什么不同?为什么在关
键型控制和安全型应用中,不能使用常规的PLC?
一、综述
一台安全PLC采用了特殊的设计,能够实现两个重要目标:
1.系统不会失效(采用冗余的工作方式),即使元件的失效不可避免;
2.失效是在可预测的范围内,一旦失效,系统将进入安全模式。
在设计安全PLC时,要考虑到很多因素,需要很多的特殊设计。比如:一台
安全PLC更强调内部诊断,结合硬件和软件,可以让设备随时检测自身工作状态
的不适;一台安全PLC具有的软件,要使用一系列的特殊技术,能确保软件的可
靠性;一台安全PLC具有冗余功能,即使一部分失效,也能够维持系统运行;一
台安全PLC还具有外加的安全机制,不允许通过数字通信接口随便读写内部的数
据。
安全PLC与常规PLC的不同还在于:安全PLC需要得到第三方专业机构的安
全认证,满足苛刻的安全性和可靠性国际标准。必须彻底地采用系统方法,来设
计和测试安全PLC。德国的TUV专家和美国的FM专家会提供对安全PLC设计和
测试过程的、第三方独立的确认和验证,
特殊的电子线路,细致的诊断软件分析,再加上对所有可能失效进行测试的
完整性设计,确保了安全PLC具有测定99%以上的内部元件潜在危险失效的能
力。一种失效模式、影响和诊断分析(FMEDA)方法一直指导着设计,这种方法
会指出每个元件是怎样引起系统失效,并且告诉你系统应该如何检测这个失效。
TUV的工程师会亲自执行失效测试,把它作为他们认证过程的一个部分。
严格的国际标准软件应用于安全PLC。这些标准需要特殊技术,避免复杂性。
更进一步的分析和测试,细致地检查操作系统的任务交互操作。这种测试包括实
时的交互操作,比如多任务(当使用时)和中断。还需要进行一种特殊的诊断,
被称为“程序流控制”和“数据确认”。程序流检查能确保基本功能能按正确的
顺序执行,数据确认使所有的关键数据在存储器里进行冗余存储,并且在使用前
进行有效性测试。在软件开发过程中,一个安全PLC需要附加的软件测试技术。
为了核实数据完整性检查,必须执行一系列“软件失效注入”测试,也就是人为
对程序进行故意破坏,来检查PLC的响应是否运行在预计的安全方式。软件的设
计和测试带有详细的文件资料,这样第三方的检查员就能够明白PLC的运行原理,
而多数软件开发没有使用这种规范的操作流程,这也正好说明为什么众多的垃圾
软件会出现那么多的臭虫而无法发现了。
二、举例
下面试通过某公司的一款安全PLC,来更具体地说明安全PLC与常规PLC的
区别。
2.1安全PLC与常规PLC的CPU的差别
常规PLC内部CPU的数量有一个或多个,它或它们的作用是:执行用户的
程序、进行I/O的扫描和系统的诊断。但用户的程序通常就进行一次处理,多个
CPU的功能是把程序中的逻辑运算、算数运算、通信功能等分担实现,也就是协
作处理。
而安全PLC的CPU至少有两个或多个,两个CPU的功能是:分别对同一个
用户程序各自执行一次,然后再把两个结果放在一起进行比较,如果比较的结果
是一致的,就输出这个结果,如果是不一致的,选择安全的结果输出。由此看出,
这才是安全PLC与常规PLC最大的不同:冗余+比较。
2.2安全PLC内部CPU的结构
安全PLC包含2个处理器,每个处理器在自己的存储器区中,执行它们自己
的安全逻辑,然后在每个周期的结尾和对方的结果进行比较,每个处理器有它自
己独立的停机通道,如果检测到结果的不同或有失效成分,它能够实现系统停机,
切到安全状态。这种双处理结构被称为内部的二选一结构。
下图表示了这种安全PLC的内部结构:
安全PLC通常都有两个处理器,同时进行解码和执行。这种差异性提供了失
效检测的下列优点:
◎两个可执行码独自生成,编译的差异性使得在代码生成时,容易检测系
统失效。
◎两个生成码由不同的处理器执行,因此,CPU能够在代码执行时,检测
出系统失效和PLC的随机失效。
◎两个独立的存储器区用于两个处理器,因此,CPU能够检测出RAM的
随机失效,而这在每个扫描周期的全部RAM检查时测不出来。
这里我们接着引出安全PLC与常规PLC第二个最大的不同:随时+步步进行
诊断和检测。这种检测有的是通过自身信息进行的,称为自检;还有的通过对方
的信息进行检测,称为互检。后面我们还会提到更多的检测。
2.3安全PLCCPU中的检测
时钟测量:在处理器电路中,有两个不同的振荡器交叉检查它们的行为,每
个处理器使用一个时钟检查另外一个是否运行。如果在一个确定的周期里,检测
到对方没有运行,CPU就会进入安全状态。固件每秒钟会检查两个振荡器的精度。
监视时钟:一个硬件和一个固件的监视时钟检查PLC的活动和执行用户逻辑
的执行时间。这和常规的PLC系统是相同的。
序列检查:序列检查监视CPU操作系统不同部分的执行。
存储器检查:所有静态存储器区,包括Flash存储器和RAM,使用循环冗余
码(CRC)进行检测,并且双码执行。动态存储器区由双码执行保护,周期性进
行检测。在冷启动时,这些检测重新进行初始化。
从上面的分析可以看出,安全PLC的诊断和检测比常规的PLC的检测要多很
多,所以相对来说,硬件和软件的设计更复杂。当然,检测和诊断的范围也更广
范,更细致。
2.4安全PLCI/O诊断概述
上面我们对安全PLC的CPU的情况进行了一个简单的分析,下面我们再来
看看安全输入/输出模块的情况。
所有安全I/O模块都要执行以下两个诊断功能:
◎更多的系统层面的诊断,包括了:RAM测试、ROM测试、以及
◎根据模块的类型不同,现场层面的诊断,
下面的表格列出了安全I/O模块的现场诊断情况:
还有,安全PLC要对安全CPU和安全I/O之间的通信进行诊断,比如使用
CRC校验。因此,不仅要检查接收的数据是否等于发送的数据,而且要检查数据
变化。为了解决扰动问题,比如EMC的影响,它可能瞬间破坏你的数据,所以
你需要对每个模块,配置一个很大的连续CRC错误诊断。
上电时诊断:在上电时,I/O模块执行扩展的自检程序,如果测试出现错误,
模块被认为不健康,输入输出全部置为0。
运行时的诊断:在系统运行时,I/O模块执行自检程序,输入模块检验是否
能够从传感器读取整个范围的数据,输出模块对它们的开关执行脉冲测试,周期
小于1ms,在数字量输入和数字量输出模块,上电自检失效和模块没有接到外部
的24V电源时,模块不工作。
过压诊断:因为电子元件,从理论上说,电源电压超过了最大值时,它们不
应该工作,所以I/O模块必须对来自背板的电源电压进行监视。
下表描述了对电源电压的监视:
来自背板总线的电压,理论上的最大值为18.5V。有两个过压检测器,每个
处理器系统有一个。每个监测器能够处理可能出现的过压,用断开电源开关和触
发复位块的方法。复位块用于管理电源的接通和断开,并且停止两个处理器运行。
如果背板电源电压还在升高,限制器块会对电子元件提供保护。
在现场侧的电源信息,由直流-到-直流的转换器生成。有两个过压和欠压监
测器,每个处理器系统有一个。如果两个隔离的直流-到-直流转换器生成一个电
源到现场侧电子元件的失效信号,监测器通过隔离器发送失效信号至处理器。
在运行时,当一个现场的输入电源电压达到60V。有2个过压和欠压监测器,
每个处理器系统提供1个,以同样方式监视直流-到-直流转换器。一旦失效,监
测器会发出失效信号,对用户逻辑的状态位设置,警告系统可能出现了输入不一
致。
2.5安全PLC的安全模拟量输入模块
接地断线检测:安全模拟量输入模块具有监视接地失效(漏电流)的功能。
外接线一端通常要连接到中性地,在接地端子与中性地之间可以接入一个分流电
阻(比如250欧姆),那么模拟量输入的漏电流就可以通过这个电阻上的电压,
检测出来。
内部诊断:现场侧包括了8个隔离独立的输入通道,每个输入具有2个相同
的电路构成,每个电路的微处理器通过驱动它的模拟量-数字量转换器、再经过
隔离器得到输入值。另外,当进行诊断时,微处理器还驱动它的数字量-模拟量
转换器并且把它置成高阻抗(非干涉)或者低阻抗,强迫做为模拟量-数字量转
换器的输入。
模拟量输入模块执行:
◎短期间的自检。使用常规的、周期的差异值检测,判断内部是否失效。
◎长期间的自检。使用每个通道的健康状态来核实内部是否失效。
现场电源监督:没有电源监督,这个功能由模拟量-数字量转换器检测期间,
对模拟量-数字量转换器和数字量-模拟量转换器提供的根据它们电源电压的
值来实现。
2.6安全PLC的安全数字量输入模块
内部诊断:每个输入通道使用一个公共输入电路和2个独立获取链路,每个
微处理器驱动一个数字输入串行器(DIS)来实现对输入信息的采样。另外,微
处理器还驱动一个数字输入还原器(DID),再驱动诊断功能块进行诊断,实现还
原数据与输入数据的同步比较。
的上拉电阻,用于外部线路的断线检测。每个输入电路都配置了开关,周期
地强制为1或0,用于检测电路是否健康。每个输入电路独立进行检测,如果发
现问题就对诊断位置1,声明通道处于非健康状态。输入通道错误检测:数字
量输入监视现场侧电源,利用外部接线来进行漏电流的检测,最小的漏电流是
1mA,如果没有漏电流,就代表外部电路出现开路故障,在干接点的情况下,在
接点两端并联一个10k
2.7安全PLC的安全数字量输出模块
内部诊断:为了检查开关是否能够断开与闭合,要在输出模块(在模块内部
电路,插入周期性的诊断循环)进行一个脉冲测试。
诊断序列包括:
◎更改开关命令,这个时间非常短,不会影响执行器,最大不超过1ms;
◎核实测试结果,并且
◎恢复正确的开关命令。
电源监视:每个输出电路包括两个串联的开关,有两个处理器分别进行控制。
第一个微处理器使用数字量输出还原器(DOD)驱动它的开关,而第二个微处理
器则在还原器之后驱动它的开关。在每个周期里,两个微处理器系统的中点电压
要与一个阀值进行比较,然后还要交换它们的如果,评估中点的状态,诊断开关
的状态。如果在一个通道中检查到出错的行为,那么立即停机,并且设置诊断位,
通知CPU。
三、小结
通过前面两个章节的介绍,了解了安全PLC和常规PLC的基本不同点,实际
上还有象:外部传感器接线方式的不同、内部操作系统的不同、软件功能块的设
置不同、软件编制的要求不同、以及安全通信协议的规范不同等,有机会再与读
者进行交流。
当然,安全PLC和常规PLC还有很多相似之处,比如说:两者都具有执行逻
辑和算数计算的能力;两者都具有典型的输入和输出(I/O)模块,提供解释来
自流程传感器信号和执行控制到最终元件的能力;两者都是采用扫描输入,然后
进行计算,最后写到输出;两者都具有典型的数字通信接口。但常规PLC不是基
于容错和失效安全而设计的,这是两者的最基本的不同。
由于很多用户发现常规的PLC不能用于关键应用的保护,因此产生了对安全
PLC的需求。对安全PLC的设计、制造和安装的要求标准是非常高的。如果在项
目的设施中,忽略这些标准,或者按低于这些高标准的方法执行,从职业和社会
的角度来看,都是靠不住的、不负责任的。
版权声明:本文标题:安全PLC和普通PLC的区别 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/b/1713888171a656194.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论