【摘要】本文介紹了常規(guī)PLC與安全PLC的很多不同點(diǎn),然后通過(guò)安全PLC的CPU、I/O模塊舉例說(shuō)明了它們不同的具體內(nèi)容。
安全型可編程邏輯控制器(PLC)是為特殊用途的機(jī)器設(shè)備而設(shè)計(jì)的,用于關(guān)鍵型控制和安全型應(yīng)用。這些控制器通常是安全儀表系統(tǒng)(SIS)的一部分,用在檢測(cè)具有潛在危險(xiǎn)的流程工業(yè)環(huán)境中。一旦檢測(cè)出危險(xiǎn),SIS的應(yīng)用程序能自動(dòng)作用,把流程切換到安全狀態(tài)。談到這里,用戶可能會(huì)有一系列的問(wèn)題:常規(guī)PLC已經(jīng)成功地使用了這么多年了,與安全PLC相比有什么不同?為什么在關(guān)鍵型控制和安全型應(yīng)用中,不能使用常規(guī)的PLC?
一、綜述
一臺(tái)安全PLC采用了特殊的設(shè)計(jì),能夠?qū)崿F(xiàn)兩個(gè)重要目標(biāo):
1.系統(tǒng)不會(huì)失效(采用冗余的工作方式),即使元件的失效不可避免;
2.失效是在可預(yù)測(cè)的范圍內(nèi),一旦失效,系統(tǒng)將進(jìn)入安全模式。
在設(shè)計(jì)安全PLC時(shí),要考慮到很多因素,需要很多的特殊設(shè)計(jì)。比如:一臺(tái)安全PLC更強(qiáng)調(diào)內(nèi)部診斷,結(jié)合硬件和軟件,可以讓設(shè)備隨時(shí)檢測(cè)自身工作狀態(tài)的不適;一臺(tái)安全PLC具有的軟件,要使用一系列的特殊技術(shù),能確保軟件的可靠性;一臺(tái)安全PLC具有冗余功能,即使一部分失效,也能夠維持系統(tǒng)運(yùn)行;一臺(tái)安全PLC還具有外加的安全機(jī)制,不允許通過(guò)數(shù)字通信接口隨便讀寫內(nèi)部的數(shù)據(jù)。
安全PLC與常規(guī)PLC的不同還在于:安全PLC需要得到第三方專業(yè)機(jī)構(gòu)的安全認(rèn)證,滿足苛刻的安全性和可靠性國(guó)際標(biāo)準(zhǔn)。必須徹底地采用系統(tǒng)方法,來(lái)設(shè)計(jì)和測(cè)試安全PLC。德國(guó)的TUV專家和美國(guó)的FM專家會(huì)提供對(duì)安全PLC設(shè)計(jì)和測(cè)試過(guò)程的、第三方獨(dú)立的確認(rèn)和驗(yàn)證,
特殊的電子線路,細(xì)致的診斷軟件分析,再加上對(duì)所有可能失效進(jìn)行測(cè)試的完整性設(shè)計(jì),確保了安全PLC具有測(cè)定99%以上的內(nèi)部元件潛在危險(xiǎn)失效的能力。一種失效模式、影響和診斷分析(FMEDA)方法一直指導(dǎo)著設(shè)計(jì),這種方法會(huì)指出每個(gè)元件是怎樣引起系統(tǒng)失效,并且告訴你系統(tǒng)應(yīng)該如何檢測(cè)這個(gè)失效。TUV的工程師會(huì)親自執(zhí)行失效測(cè)試,把它作為他們認(rèn)證過(guò)程的一個(gè)部分。
嚴(yán)格的國(guó)際標(biāo)準(zhǔn)軟件應(yīng)用于安全PLC。這些標(biāo)準(zhǔn)需要特殊技術(shù),避免復(fù)雜性。更進(jìn)一步的分析和測(cè)試,細(xì)致地檢查操作系統(tǒng)的任務(wù)交互操作。這種測(cè)試包括實(shí)時(shí)的交互操作,比如多任務(wù)(當(dāng)使用時(shí))和中斷。還需要進(jìn)行一種特殊的診斷,被稱為"程序流控制"和"數(shù)據(jù)確認(rèn)"。程序流檢查能確;竟δ苣馨凑_的順序執(zhí)行,數(shù)據(jù)確認(rèn)使所有的關(guān)鍵數(shù)據(jù)在存儲(chǔ)器里進(jìn)行冗余存儲(chǔ),并且在使用前進(jìn)行有效性測(cè)試。在軟件開發(fā)過(guò)程中,一個(gè)安全PLC需要附加的軟件測(cè)試技術(shù)。為了核實(shí)數(shù)據(jù)完整性檢查,必須執(zhí)行一系列"軟件失效注入"測(cè)試,也就是人為對(duì)程序進(jìn)行故意破壞,來(lái)檢查PLC的響應(yīng)是否運(yùn)行在預(yù)計(jì)的安全方式。軟件的設(shè)計(jì)和測(cè)試帶有詳細(xì)的文件資料,這樣第三方的檢查員就能夠明白PLC的運(yùn)行原理,而多數(shù)軟件開發(fā)沒(méi)有使用這種規(guī)范的操作流程,這也正好說(shuō)明為什么眾多的垃圾軟件會(huì)出現(xiàn)那么多的臭蟲而無(wú)法發(fā)現(xiàn)了。
二、舉例
下面試通過(guò)施耐德電氣公司的一款安全PLC,來(lái)更具體地說(shuō)明安全PLC與常規(guī)PLC的區(qū)別。
2.1 安全PLC與常規(guī)PLC的CPU的差別
常規(guī)PLC內(nèi)部CPU的數(shù)量有一個(gè)或多個(gè),它或它們的作用是:執(zhí)行用戶的程序、進(jìn)行I/O的掃描和系統(tǒng)的診斷。但用戶的程序通常就進(jìn)行一次處理,多個(gè)CPU的功能是把程序中的邏輯運(yùn)算、算數(shù)運(yùn)算、通信功能等分擔(dān)實(shí)現(xiàn),也就是協(xié)作處理。
而安全PLC的CPU至少有兩個(gè)或多個(gè),兩個(gè)CPU的功能是:分別對(duì)同一個(gè)用戶程序各自執(zhí)行一次,然后再把兩個(gè)結(jié)果放在一起進(jìn)行比較,如果比較的結(jié)果是一致的,就輸出這個(gè)結(jié)果,如果是不一致的,選擇安全的結(jié)果輸出。由此看出,這才是安全PLC與常規(guī)PLC最大的不同:冗余+比較。
2.2 安全PLC內(nèi)部CPU的結(jié)構(gòu)
安全PLC包含2個(gè)處理器,每個(gè)處理器在自己的存儲(chǔ)器區(qū)中,執(zhí)行它們自己的安全邏輯,然后在每個(gè)周期的結(jié)尾和對(duì)方的結(jié)果進(jìn)行比較,每個(gè)處理器有它自己獨(dú)立的停機(jī)通道,如果檢測(cè)到結(jié)果的不同或有失效成分,它能夠?qū)崿F(xiàn)系統(tǒng)停機(jī),切到安全狀態(tài)。這種雙處理結(jié)構(gòu)被稱為內(nèi)部的二選一結(jié)構(gòu)。
下圖表示了這種安全PLC的內(nèi)部結(jié)構(gòu):
安全PLC通常都有兩個(gè)處理器,同時(shí)進(jìn)行解碼和執(zhí)行。這種差異性提供了失效檢測(cè)的下列優(yōu)點(diǎn):
•兩個(gè)可執(zhí)行碼獨(dú)自生成,編譯的差異性使得在代碼生成時(shí),容易檢測(cè)系統(tǒng)失效。
•兩個(gè)生成碼由不同的處理器執(zhí)行,因此,CPU能夠在代碼執(zhí)行時(shí),檢測(cè)出系統(tǒng)失效和PLC的隨機(jī)失效。
•兩個(gè)獨(dú)立的存儲(chǔ)器區(qū)用于兩個(gè)處理器,因此,CPU能夠檢測(cè)出RAM的隨機(jī)失效,而這在每個(gè)掃描周期的全部RAM檢查時(shí)測(cè)不出來(lái)。
這里我們接著引出安全PLC與常規(guī)PLC第二個(gè)最大的不同:隨時(shí)+步步進(jìn)行診斷和檢測(cè)。這種檢測(cè)有的是通過(guò)自身信息進(jìn)行的,稱為自檢;還有的通過(guò)對(duì)方的信息進(jìn)行檢測(cè),稱為互檢。后面我們還會(huì)提到更多的檢測(cè)。
2. 3 安全PLC CPU中的檢測(cè)
時(shí)鐘測(cè)量:在處理器電路中,有兩個(gè)不同的振蕩器交叉檢查它們的行為,每個(gè)處理器使用一個(gè)時(shí)鐘檢查另外一個(gè)是否運(yùn)行。如果在一個(gè)確定的周期里,檢測(cè)到對(duì)方?jīng)]有運(yùn)行,CPU就會(huì)進(jìn)入安全狀態(tài)。固件每秒鐘會(huì)檢查兩個(gè)振蕩器的精度。
監(jiān)視時(shí)鐘:一個(gè)硬件和一個(gè)固件的監(jiān)視時(shí)鐘檢查PLC的活動(dòng)和執(zhí)行用戶邏輯的執(zhí)行時(shí)間。這和常規(guī)的PLC系統(tǒng)是相同的。
序列檢查:序列檢查監(jiān)視CPU操作系統(tǒng)不同部分的執(zhí)行。
存儲(chǔ)器檢查:所有靜態(tài)存儲(chǔ)器區(qū),包括Flash存儲(chǔ)器和RAM,使用循環(huán)冗余碼(CRC)進(jìn)行檢測(cè),并且雙碼執(zhí)行。動(dòng)態(tài)存儲(chǔ)器區(qū)由雙碼執(zhí)行保護(hù),周期性進(jìn)行檢測(cè)。在冷啟動(dòng)時(shí),這些檢測(cè)重新進(jìn)行初始化。
從上面的分析可以看出,安全PLC的診斷和檢測(cè)比常規(guī)的PLC的檢測(cè)要多很多,所以相對(duì)來(lái)說(shuō),硬件和軟件的設(shè)計(jì)更復(fù)雜。當(dāng)然,檢測(cè)和診斷的范圍也更廣范,更細(xì)致。
2.4 安全PLC I/O診斷概述
上面我們對(duì)安全PLC的CPU的情況進(jìn)行了一個(gè)簡(jiǎn)單的分析,下面我們?cè)賮?lái)看看安全輸入/輸出模塊的情況。
所有安全I(xiàn)/O模塊都要執(zhí)行以下兩個(gè)診斷功能:
•更多的系統(tǒng)層面的診斷,包括了:RAM測(cè)試、ROM測(cè)試、以及
•根據(jù)模塊的類型不同,現(xiàn)場(chǎng)層面的診斷,
下面的表格列出了安全I(xiàn)/O模塊的現(xiàn)場(chǎng)診斷情況:
還有,安全PLC要對(duì)安全CPU和安全I(xiàn)/O之間的通信進(jìn)行診斷,比如使用CRC校驗(yàn)。因此,不僅要檢查接收的數(shù)據(jù)是否等于發(fā)送的數(shù)據(jù),而且要檢查數(shù)據(jù)變化。為了解決擾動(dòng)問(wèn)題,比如EMC的影響,它可能瞬間破壞你的數(shù)據(jù),所以你需要對(duì)每個(gè)模塊,配置一個(gè)很大的連續(xù)CRC錯(cuò)誤診斷。
上電時(shí)診斷:在