安全PLC及安全相关系统的介绍及安全可靠性分析.doc

湖州职业技术学院机电类专业毕 业 论 文题 目:安全PLC及安全相关系统的介绍及安全可靠性分析学 生 刘纪愉 专 业 生产过程自动化技术 指导教师 朱建伟 完成日期 2009年5月 湖职院自动化类专业毕业论文安全PLC及安全相关系统的介绍及安全可靠性分析学 生： 刘纪愉指导教师： 朱建伟2009年5月摘 要本文首先介绍了安全PLC系统，论述了安全PLC系统的发展概况，比较了常规PLC和安全PLC，介绍了几种典型的安全PLC系统结构，如1oo2结构、2oo3结构、1oo1D结构、1oo2D结构、2oo4结构、2oo3结构与1oo2D结构等。其次，指出工程设计时应充分考虑安全PLC系统的可靠性、可用性及经济性与系统结构的关系，以获得最佳系统组成。最后，对研究PLC系统及安全PLC相关安全系统进行了可靠性研究。关键词：安全PLC，安全性能等级，安全完整性，安全失效分数18目 录摘 要3目 录4前 言5第1章 安全PLC简介61.1PLC的发展概况61.2几种主要的系统结构81.2.1 1oo2D体系结构及其失效分析81.2.2 2oo3体系结构及其失效分析101.2.3 各种体系结构的分析对比111.3结论12第2章PLC系统可靠性的研究132.1系统可靠性132.1.1系统可靠性的几个术语132.1.2系统可靠度的计算132.2提高硬件部分的抗干扰能力132.2.1模板配置132.2.2电源供电132.2.3系统接地142.2.4对输入/输出通道的抗干扰措施142.2.5选择合适的接线方式152.2.6合理利用冗余配置152.3提高软件的可靠性152.3.1利用计时器过滤伪输入信号152.3.2跟踪现场设备的动作时间,保护设备安全162.3.3增加检修程序,确保设备检修时系统运行稳定162.3.4增加互锁逻辑,防止误操作17第3章 安全PLC相关安全系统的可靠性研究183.1危险失效概率183.2 MTTFd平均无危险故障时间203.3 Category等级213.4 DC-Diagnostic Coverage诊断覆盖率213.5 CCF-Common Cause Failure共因故障21总结23结束语24参考文献26附录127附录228附录329前 言安全，这两个字在人们的生活、工作之中无处不在。无论是生活中的食品安全、交通安全还是工作中的机械安全、生产安全，已经越来越重视。在工业领域中，安全继电器（或称之为安全模块）由于紧凑的结构、易掌握、易使用、低价格的特点，最先进入中国的工业自动化领域，并且被广大的电气设计人员和最终用户接受。但是对于中、大型安全自动化控制，大规模的使件接线回路一样，安用安全继电器必然会导致设计复杂、成本增加、接线繁琐、故障诊断困难等弊端。与普通PLC的出现替代了大规模普通继电器的硬接线回路一样，安全PLC也应运而生，用于中、大型的安全自动化控制。安全型可编程逻辑控制器（PLC）是为特殊用途的机器设备而设计的，用于关键型控制和安全型应用。这些控制器通常是安全仪表系统（SIS）的一部分，用在检测具有潜在危险的流程工业环境中。一但检测出危险，SIS的应用程序能自动作用，把流程切换到安全状态。PLC作为新一代工业控制计算机因其具有体积小、功能强、通用性好、实用性强、硬件配套齐全、用户程序简单易于维护等优点而广泛应用于工业领域。PLC控制系统的可靠性直接影响到工业企业的安全生产和经济运行。第1章 安全PLC简介1.1PLC的发展概况我们知道，一个安全防护系统是由检测单元即现场仪表、控制单元或称逻辑单元及执行单元即现场执行器三部分组成。控制单元则是安全防护系统的核心部分，因此安全防护系统的控制单元一直是工程技术人员在进行安全防护系统设计时主要考虑的对象。其可靠性（reliability）、可用性（availability）及经济性（cost-effect）成为评价一个安全防护系统的一个重要指标。早期采用硬配线继电器以及固态电路逻辑控制器作为安全防护系统的控制单元，为了保证其可靠性，故障安全（fail-safe）的设计思想一开始就被广泛采用。尽管如此，危险性故障如“接点粘住（onstuck）”仍时有发生，可靠性受到限制，严重威胁着工厂安全。同时大量的继电器连接、繁琐的配线带来了较高的故障率，经常误停车，可用性极差。故障发生后没有事故记录，不能自动诊断故障所在，这样就使平均修复时间（MTTR）、平均故障时间（MTBF）变长，给生产照成不必要的损失【6】。70年代，常规PLC开始用于工业生产及过程控制。其强大的逻辑处理能力、快速的响应速度、良好的实时性、方便容易的逻辑编程组态以及紧凑、可靠的模块化硬件对安全防护系统的设计者产生了极大的吸引力，于是常规PLC便开始用于安全防护系统。应该承认，同硬配线继电器及固态逻辑控制相比常规PLC具有无法比拟的优越性。然而原则上常规PLC因其安全性不能得到保证不能用于安全防护系统或只能用于安全要求等级极低（RC1-2）的场合。这是因为常规PLC系统本身没有采取安全措施，确切地说它不是按照相应安全标准生产的满足一定安全等级要求的安全仪表产品。主要表现在：1）系统不是按故障安全型设计的，且存在许多危险故障，即系统内部元件故障时其输出状态不能保证系统回到预定的安全状态；2）系统没有为安全目的而设置的自诊断功能，即没有能力检测到系统本身所有故障，也没有能力使检测到的故障失效。因此，常规PLC不能满足安全防护系统对其控制单元的安全性要求，这一问题在应用之初就引起了工程技术人员的足够重视，对于安全等级要求较高的场合采用两套或多套常规PLC冗余配置并结合2取1或3取2表决技术来提高系统的可靠性以期满足较高安全要求等级的需要。然而这并不能从根本上解决常规PLC安全性问题却付出了昂贵的投资代价，因为无法避免的危险故障【7】。经营公式意识到可靠的安全控制系统具有很大的价值，纷纷推出各自用于安全防护系统的安全PLC系统，并逐步发展完善。尽管各家推出产品的 名称不同，所采用的技术与措施也不尽相同，但都具有以下共同特点：1) 根据相应安全标准研制开发的用于安全防护系统控制设备的可编程电子系统（大多为PLC）。2) 都是模块化结构，包括输入模块、输出模块、中央模块、通讯模块、电源模块及I/O总线。各类模块都设计成故障-安全型。3) 具有完善的测试手段或采取有效措施保证其安全性。4) 当检测到系统故障尤其是危险故障时能使系统回到安全状态。5) 取得相应等级的安全标准证书。6) 系统软件也应达到相应安全等级。7) 能进行系统故障报警，指示故障原因。故障位置。8) 能在线进行系统维护，冗余卡件能在线更换并在线恢复。9) 有准确无误的顺序事故记录功能。10) 有与DCS或其他设备通讯功能。事实上，各家产品的系统结构已近相同。表1.1列出了一些主要厂家的产品名称、取得安全等级以及系统结构形式。表1-1部分安全PLC产品及其系统结构厂家及产品名称安全等级（DINorIEC）系统结构ABB Safeguard400AK5/61oo2DABB ProcontrolPS-5AK52oo3ABB ProcontrolT200SAK4 1oo1D/1oo2 Safety-relatedAugustsystemUKAK5/62oo3YOKOGAWA Prosafe-PLCsAK1-41oo1D Safety-relatedYOKOGAWA Prosafe-PLCsAK5/61oo2DHIMAGermany H41-HRS/HRSAK5/61oo2DHIMAGermany A1AK5/61oo2/1oo1D Safety-relatedHIMAGermany H41q/H51q-HRSAK5/62oo4/1oo2DHoneywell FSC100/101AK41oo1D Safet-relatedHoneywell FSC100R/101RAK5/61oo2DHoneywell FSC202AK61oo2 Safety-relatedICSUSA REGENT/RESENT+PlusAK52oo3ICSUSA TrustedCSAK52oo3SiemensGermanyAK61oo2 Safety-relateTRICONEXUSA TRCONAK5/62oo3TRICONEXUSA TriconLiteAK62oo3SIMRADAlbatrossKongsbergAK4/5/61oo2D1.2几种主要的系统结构由表1-1不难看出，尽管安全PLC系统产品种类较多，但其基本系统不外乎几种：1oo2,2oo3,1oo1D,1oo2D,2oo4结构。下面以HIMA的安全PLC系统为例介绍几种基本结够【2】。提高安全性的手段包括冗余和诊断，从冗余的目的区分，冗余可以分为提高可用性的冗余和提高安全性的冗余。提高可靠性的冗余一般是使用热备系统，一个正常工作的主设备，另外一个或多个热备的设备，当主设备故障时热备设备立刻开始接管主设备的功能，其着眼点是针对主控设备失效，而不过多关心主控设备输出是否正常和安全。提高安全性的冗余通常是若干个通道并行工作，其结果进行比较，着重于保证输出结果的正确性和安全性，而不过多考虑可靠性的问题。常见的体系结构包括单通道系统1oo1（K oo N，K Out Of N，N个里面取K个的含义 ）；双通道系统1oo2，2oo2；三通道系统1oo3、2oo3；如果附加了诊断措施，每种类型又可衍生出一种新的“带诊断”的体系结构：1oo1D，1oo2D，2oo2D，1oo3D，2oo3D。另外，还有一种由若干厂商如横河和黑马主推的所谓2oo4D系统，严格来讲相对于1oo2D并未提高安全性，而只是提高了可用性。能够达到安全完整性等级SIL3的体系结构目前有三种：1oo2D，2oo3，2oo4D。单通道系统51oo1，系统没有多重化，只有一个通道，这是常规PLC的典型体系结构，一般使用此种体系结构安全完整性无法达到SIL3。1oo1一般包含有现场输入、逻辑控制、执行三部分。单通道系统可能出现安全失效、危险失效，并且没有任何附加的保护电路来保障失效发生时进入安全状态。单通道系统的可靠性、安全性都受到限制，很难应用在高安全要求情况。单通道系统很难避免单点故障。1.2.1 1oo2D体系结构及其失效分析采用1oo2D体系结构的系统可以达到比1oo2更理想的安全性，已经证明，采用1oo2D体系结构可以达到SIL3等级要求。从图1-1可以看出，1oo2D体系结构的诊断电路里也有和输出有关的控制电路，该控制电路可以由两个单元（通道）分别进行控制。1oo2D结构相当于两个输出控制电路A1,A2串联、B1,B2串联之后再并联，每个单元有独立的控制输出，同时，最终输出的结果还跟两个通道的诊断结果相关。最终输出结果必须经过诊断电路的判断才能完成输出，如果任一单元的诊断电路发现问题，则可以强制安全输出（在本图中即开路）。1oo2D体系结构见图1-1。传感器驱动器+-输入电路逻辑解算器通用电路输出电路输入电路逻辑解算器通用电路输出电路诊断电路诊断电路通道A通道B图1-1 1oo2D体系结构1oo2D体系机构提供了一组额外的控制线，为双通道的体系结构提供额外的安全功能，从而比单纯的1oo2有更好的安全性。例如，当A通道输出开关A1错误闭合时，相应的通道诊断电路没有发现，而下边B通道发现该问题并通过控制线路将此开关打开，把危险失效转化为安全失效。这样，在最终输出之前，诊断电路还有机会把错误的输出更正或者进行安全输出。1oo2D提高安全性的方法本质上是通过诊断技术，使用高达90%以上的诊断覆盖率，可以发现绝大多数随机硬件失效，将其中可能导致的危险失效转化为安全失效。系统危险失效的充分必要条件是，A和B发生了共因危险失效，并且该共因失效没有被A或B的诊断电路所发现（未检测）；或者A和B同时发生非共因危险失效，且这两个危险失效都没有被A或B的诊断电路所发现。所谓共因失效是指两个通道由于相同的原因，发生了硬件随机失效而导致的失效。危险失效是危及到系统安全功能的失效，是需要尽力避免的。从安全仪表系统的角度来讲，危险失效即是要求时失效，例如，一个紧急停车系统，紧急停车功能是其安全功能，当按下紧急停车按钮或要求执行紧急停车功能时发生失效而导致紧急停车功能没有被执行，即是危险失效，也即是要求时失效。在本文中，要求时失效与危险失效含义相同。 2oo4D是把两个1oo2D的设备并联，形成热备效果，两者都接受相同的输入，同时运行，但是有一个1oo2D设备不进行有效输出，作为热备，另一个进行有效输出，作为主站。通过这种方式提供了额外的可用性，安全性本身并没有发生改变，与1oo2D相同。1.2.2 2oo3体系结构及其失效分析2oo3体系结构，又称为三重冗余、三模冗余结构，在航空、航天、军事上的应用相当广泛，兼顾安全性和可用性。顾名思义，2oo3是一种三通道系统，它包含输入、逻辑控制和输出，输出部分还有表决电路。在安全相关系统中，2oo3结构保证当系统中最少有两路处于安全状态时，系统是安全的。2oo3系统的输入、输出都包含有“投票”（Vote），用以判断和纠正其输入和输出值。 输入电路逻辑解算器通用电路输出1输出2驱动器+-输入电路逻辑解算器通用电路输出1输出2输入电路逻辑解算器通用电路输出1输出2传感器ABABCC图1-2 2oo3体系结构如图1-2所示的三重冗余系统，在该图中的危险失效是“该开路而短路”。分析图1-2结构，可以发现输出电路的失效模式有两种：“该开路而短路”和“该短路而开路”，前者是危险失效（使安全相关系统处于潜在的危险或丧失功能状态的失效），后者是安全失效（不可能使安全相关系统处于潜在的危险或丧失功能状态的失效）。在本文中的所有示例中，危险失效均为“该开路而短路”。在图1-2所示的体系结构中，输出部分使用了两两串联再并联的结构，其等效电路如图1-2右边所示，AB串联、AC串联、BC串联，然后再将三者并联起来，这样，当A、B、C三者任何两个短路，从+极到-极的通路才能导通，执行器才能够得到激励；这样就实现了3取2的投票。 2oo3失效的条件是A、B、C中，至少有两者是失效短路，则系统危险失效。以AB失效为例，如果发生检测到或者未检测到的A、B发生共因危险失效，则系统危险失效；或者A、B同时发生非共因危险失效，系统发生危险失效，其他AC、BC同理。无论A，B发生的危险失效是否被检测到，因为没有额外的诊断电路，都不能将危险失效转化为安全失效（实际应用中可以采取某些技术措施把检测到的危险失效转化为安全失效）。1.2.3 各种体系结构的分析对比1oo1体系结构即常规的单通道系统，没有太多考虑安全性和可用性方面的问题，如果按照IEC61508的规定严格执行，是可以达到SIL1安全等级以上的。可用性方面，由于1oo1系统并没有任何形式的冗余和备份，所以系统的可用性和安全性都比较低。 双通道系统略强于单通道系统，双通道系统如果从安全性角度考虑，则需要两个通道并行工作，同时输出结果，然后把输出的结果进行比较和分析；如果是考虑可用性，则两个通道之中需要有一个是主，一个是热备。双通道系统相比单通道系统能够提供更好的安全性和可用性，双通道系统共有两种：1oo2和2oo2，其中，1oo2能够获得更好的安全性，其输出是被同时考量的，只有两个输出相同时才会产生有效的输出，逻辑上相当于与。而2oo2可以保证更好的可用性，两个输出逻辑上相当于或，任意一个有输出，则系统就有输出。一种改进型的双通道系统1oo2D含有两个通道，同时具备独立的诊断电路。诊断电路可以发现某些错误，可将危险失效转化为安全失效，所以1oo2D具备更高的安全性。在保障安全所采用的技术上，1oo2D本质上是依赖于诊断技术的，1oo2D体系结构设计合理的话，可以达到SIL3标准。只有需要达到较高SIL等级如SIL3时才考虑选用1oo2D体系结构，否则会造成成本的巨大浪费。2oo4D是一种新型的安全仪表系统体系结构。它考虑安全性的同时也保证了可用性，2oo4D是使用两路1oo2D的设备，每个1oo2D的设备安全完整性均达到SIL3，每个设备都可以独立工作；两个1oo2D设备之间是热备关系，藉此以保证可用性。 2oo3系统的设计思路不同于1oo2D，主要使用比较技术来保障安全性。典型的2oo3系统包含三个通道，当输出至少有两路相同时才进行输出。2oo3系统本身的可用性并不高，因为只有三个通道同时有效才能保证系统安全性，一旦有通道故障，系统的安全性必然降级。从可用性角度上讲，2oo3系统不如2oo4D系统，而两者所能达到的安全性基本相同。一个弥补2oo3系统可用性不足的措施是在线替换，三个主控制器相互独立，如果有一个出错则在规定时间内在线替换掉（限时修改），系统不必停机，提高了系统的可用性。各种体系结构安全性和可用性对比见表1-2。结构安全性可用性成本2oo4D高高高2oo3高较高较高1oo2D高中等中等1oo2中等中等中等2oo2低较高中等1oo1低低低表1-2 各种体系结构安全性和可用性对比1.3结论从以上分析可以得出，1oo2D、2oo4D、2oo3这几种体系结构能够达到较高的安全完整性等级，如果设计合理，可以达到SIL3以上，但是这几种方案的成本都比较高，设计难度比较大，只有当确定需要很高的SIL等级时才考虑选用。单通道系统可达到的安全完整性等级低于双通道系统，双通道系统低于1oo2D。安全性方面，1oo2D，2oo4D和2oo3相当，而可靠性方面2oo4D略胜一筹。总的来说2oo4D是兼顾了安全性和可靠性的比较理想的解决方案,缺点是成本较高，实现的技术难度较大。而2oo3系统在对可用性要求不高的时候或者是可修复系统，则可用性、安全性和成本能获得比较理想的折中。第2章PLC系统可靠性的研究2.1系统可靠性2.1.1系统可靠性的几个术语² 可靠度R(t)为系统连续工作到t时刻的概率,它一般按负指数规律分布： （2-1）式中称为失效率(故障率)，即系统在单位时间内出现失效的次数。² 平均故障间隔时间MTBF(或平均寿命MT2TF) ,它是失效率的倒数,即 （2-2）² 平均维修时间MTTR 为每次系统出现故障后的平均维护时间。² 可用性为 （2-3）由此可见,要增加系统的可靠性就是要增加平均故障间隔时间MTBF或者缩短平均故障时间。2.1.2系统可靠度的计算计算系统的可靠度，目的是为设计选型做比较和参考。 典型结构的可靠度计算分为3种情况:首先是串联结构的可靠度计算,当控制系统由几个独立部分“串联”构成时,当其中一部分失效,就会造成整个系统的失效；其次是并联结构的可靠度计算,当控制系统由几个独立部件并联时,若其中一部分失效,不会造成整个系统的失效；再次是独立系统联合运行的可靠度计算,它的优点是单个系统停止工作时不影响整体,可做到边生产边维护,这种结构的可靠度非常高。2.2提高硬件部分的抗干扰能力外界环境对PLC控制系统干扰的主要途径是电源线,输入、输出线和空间干扰. 电源被干扰后,PLC控制系统的供电质量变差,引起PLC控制失灵；输入、输出线被干扰后,出现输人、输出控制紊乱；空间干扰主要以电磁感应、静电感应形式使PLC的CPU出现误操作。因此,可以从以下几方面着手,提高PLC系统对外界干扰的抵抗能力。2.2.1模板配置将交流与直流模板、数字量与模拟量模板、模拟量模板与电源模板、通信模板与I/0模板分开放置,以及将同类型的模板放置在一起等原则可以防止由于电磁感应造成的信号失真。2.2.2电源供电1)采用隔离变压器分离供电方式,即PLC与I/O及其他装置分别由各自的具有隔离功能的变压器供电,并与主回路分开,这样当输入输出回路供电断开时,不会影响PLC的供电。2)在重要的PLC系统中,为提高系统工作的可靠性,在条件允许的情况下,供电系统的交流侧最好采用双电源系统。3)使用在线式UPS供电,可以避免电网波动、电源品质下降及瞬间失电对PLC工作的影响。2.2.3系统接地对系统的屏蔽接地应采用专用接地方式,接地线直径在2mm以上,接地电阻应10。同时应将工作地与屏蔽地分开,以防止互相干扰。尤其应该注意的外部设备及传输介质的屏蔽接地,最好是与PLC系统共用一个接地带,如果由于位置等原因无法共用,也必须进行接地处理,且接地电阻也应10,以防止由于共模干扰对系统的影响。2.2.4对输入/输出通道的抗干扰措施1)抑制输入干扰信号输入信号线与大地间的共模干扰在PLC内部产生较大的电位差,是引起PLC误动作的主要原因,为了抗共模干扰PLC要接地良好。在输入端有感性负载时,为防止反电势损坏模块,在负载两端并接电容C和电阻R (交流输入)或并接续流二极管VD (直流输入) ,如图2-1所示。图2-1输入/输出通道的抗干扰措施 2)抑制输出干扰信号在感性负载的场合,从ON 变成OFF时将产生反向感应电动势,另外电磁接触器等的触点会产生电弧。 所有这些,都可能产生输出信号的干扰。在交流感性负载的场合,在负载两端并接RC浪涌吸收器。如果是交流100 V, 220 V电压,而功率为400 VA左右时, RC浪涌吸收器的R、C值分别为47, 0. 47F见图2-1 (c) , RC愈靠近负载,其抗干扰效果愈好。在直流负载的场合,在负载两端并接续流二极管VD,如图2-1 (d)所示。二极管也要靠近负载。二极管的反向耐压应是负载电压的4倍以上。另外要注意尽量避免直接驱动大功率、高电压的接触器、电磁阀,可以在输出与负载元件之间增加继电器进行隔离。若触点在开、闭时产生电弧干扰,可在触点两端并接RC浪涌吸收器,效果较好。2.2.5选择合适的接线方式现场信号线接入PLC有两种方式。单端方式:就是将信号线负极与PLC系统的工作地(即通常所说的负极)接在一起,仅仅将正极接入PLC模板的端子,这种接线方式的优点就是节省硬件资源,但容易受到共模干扰,故在外界干扰比较大的地方不宜采用。差动方式:就是每一路输入都独立地接入PLC系统,这种方式对外界的干扰有较强的抵抗力,但端子的利用率较低,因此需要根据现场的不同情况选择不同的接线方式。2.2.6合理利用冗余配置对关键控制部件(例如处理器、重要的数据采集点)进行冗余配置,可以保证当一台设备出现故障时系统能正常工作,提高系统的可靠性。当一些重要的数据采集点出现故障时,可能导致控制程序发出错误的控制命令,这时可以采用冗余备用方式,在同一数据采集点安装另一台传感器,将两路信号同时接人PLC。如在定子磁极冲片自动生产线中采用4路传感器(其中两路备用)对机械手位置工况进行数据采集,确保不会因为关键数据的不正常而造成控制程序做出错误的处理。2.3提高软件的可靠性对PLC系统的软件部分而言,它的可靠性主要是指软件对错误信号的抵抗力、对设备故障的判断力及对不同工况的适应能力等。因此,可以从以下几个方面来提高软件的强健性。2.3.1利用计时器过滤伪输入信号PLC系统对现场信号的响应时间大多以ms为单位,外界设备的微小变化,都会在PLC控制程序中得到迅速的响应。而从现场输入的信号看,由于外界的干扰可能会产生瞬间的电平变化,当超过一定的阈值时就可能让PLC得到错误的信号输入,对PLC系统的正常工作产生影响。为解决上述问题,可以在PLC程序中增加计时器滤掉这种瞬间产生的错误信号。具体做法如图2-2所示,在梯形图中增加计时器TMY0,当信号X12 (机械手拾取检测)产生一段时间(K1,1s)后,通过计时器的完成位再触发控制程序中Y6 (拾取电磁阀)动作。这样在一定程度上就避免了由于瞬间错误信号造成的控制程序误动作。图2-2400t冲床自动生产线应用程序举例2.3.2跟踪现场设备的动作时间,保护设备安全当PLC控制程序向现场设备发出动作命令后,触发计时器动作(计时器的时长为设备正常执行完命令所需时间),当设备在正常时间内完成规定动作后,复位计时器；否则给出报警提示,提示设备可能发生故障,并停止该设备及关联设备的动作,防止对设备造成损坏。2.3.3增加检修程序,确保设备检修时系统运行稳定在对设备进行定期维护或者检修时,由于需要拆卸设备,或者反复动作该设备,有可能会导致控制逻辑的连锁动作。为了避免这种情况发生,可以增加设备检修逻辑程序如图2-3所示。检修子子程序检修结束检修正常控制子程序NY图2-3检修程序流程图具体方法是:给每个单体设备增加检修子程序,程序不进入原设备的控制子程序,而跳转入该设备的检修子程序。检修子程序负责屏蔽控制子程序与其他控制子程序的数据交换,并使需要交换的数据维持原控制子程序中的数据,当检修完成后,程序转入控制子程序运行。2.3.4增加互锁逻辑,防止误操作在控制程序中增加逻辑上相互关联的互锁逻辑,可以防止由于误动作等原因对设备产生的危害。具体方法是:在程序中增加语句,只有当相关条件均满足时,才能对该设备发出操作命令。如图2-4所示,梯形图为定子磁极冲片自动生产线机械手拾取部分程序,只有当机械手在拾取位(X41)、冲片到达拾取区(X2F)、步进送料停止(R903B、R903A)均满足条件,机械手气缸才产生动作,带动吸盘组抓取冲片。这些条件相互关联,避免了由于误操作对生产造成的损害。图2-4机械手拾取程序第3章 安全PLC相关安全系统的可靠性研究评判一套运用了安全PLC 的安全系统是否符合安全要求，最好的手段就是通过国际/欧洲国内相关标准对此系统进行分析、评估。现今，常用的安全相关控制系统的标准有EN954-1是一个较老的标准，已经不符合现代自动化领域新技术的要求。针对机械制造领域，笔者仅以EN/ISO13849-1和IEC62061作为参照，进行安全PLC相关安全系统的可靠性研究。3.1危险失效概率EN/ISO13849-1的全称是机械的安全控制系统有关的安全部件。这个标准将会取代EN954-1，帮助笔者量化的判断硬件系统的安全性。其安全等级通过PLr(Required Performance Level)来评定。EN/IEC62061的全称是针对机械领域的电气/电子/可编程电子系统的功能安全。其安全等级通过SIL（Safety Integrity Level）安全完整性来评定。从表1-1可以看到，无论是EN/ISO13849-1，还是EN/IEC62061，都是同PFH每小时失效率来评估其等级。简而言之，要判断一套运用安全PLC的安全硬件系统的安全性、可靠性，量化的计算出其每小时危险失效概率是直观有效的手段。表3-1PFH每小时失效概率来评估等级表每小时危险失效概率1/小时PFHPL，-EN/ISO13849-1 Performance LevelSIL,-EN/IEC62061Safety Integrity Level(以高要求或连续模式运转的E/E/PE安全相关系统)10-5<PFH<10-4A没有安全要求3x10-6<PFH<10-5B110-6<PFH<3x10-6C110-7<PFH<10-6D210-8<PFH<10-7E310-9<PFH<10-8无4可以对以下安全控制系统进行安全、可靠性分析。系统如图3-2简述。图3-1 安全门控制系统分析图 该系统的安全功能是安全门控制，2个安全门开关作为输入传感元器件控制安全门。安全PLC（Pilz PSS可编程安全控制系统）作为安全控制模块。控制对象有2个交流接触器。这两个交流接触器串联构成冗余回路控制主电机。如果要对这套系统进行安全可靠性分析，就要计算出其PFH值。已知情况如下：开关S1：电磁解锁门开关，MTTFd=1381年开关S2：机械式门开关，B10D=2000000安全PLC：CPU的PFH为1.55E-8；输入模块的PFH为2.49E-9；输出模块的PFH为2.49E-9。交流接触器K1/K2：B10d =2000000以上数据皆应该由元器件供应商提供。该安全门每小时需要动作10次。一旦安全门动作，安全PLC必须切断交流接触器，保证电机安全停止。在以上参数和实际运行条件下，可以根据EN/ISO13849-1计算PFH值。这个系统可以被拆分为三个子系统，如图3-2所示。 图3-2 三个子系统图这样一来， （3-1）由于子系统2（即为安全PLC部分）的PFH值由元器件供应商提供，又可以将整个系统再进行转化。 （3-2）现在的关键问题即为PFH传感器+触发器的计算问题。根据EN/ISO13849-1，确定PFH值必须要有以下关键参数：Ø MTTFd平均无危险故障时间Ø Cztegory（安全）等级Ø DC-Diagnostic Coverage诊断覆盖率Ø CCF-Common Cause Failure共因故障3.2 MTTFd平均无危险故障时间该参数的单位为年。通常元器件厂商会提供此参数，如本例中的电磁锁开关S1，其MTTFd的值由Pilz提供，为1381年。但是对于一些磨损器件，如本例中的机械式开关S2，厂商会提供B10d这个参数，意指该元器件在操作B10d次数后，该元器件中10%部分出现危险故障 （3-3） （3-4）其中0.1为校正系数，nop为该元器件每年的操作次数。对于目标子系统（传感器和触发器）：，3.3 Category等级根据输入、控制和输出构成的传输链的结构确定等级。等级可以分为B、1、2、3、4，由低至高。等级的确认可以借鉴老的标准EN954-1。次系统的结构符合Category4。3.4 DC-Diagnostic Coverage诊断覆盖率诊断覆盖率指，由自诊断测试而产生的危险硬件故障可能性的减少。 （3-5） （3-6）DC数值的确定需要参照标准。对于目标子系统（传感器和触发器）：（3-7）3.5 CCF-Common Cause Failure共因故障共因故障是由一个或多个事件导致的，并且引起1个多通道系统中2个或多个独立通道的同时故障，从而导致一个系统的故障。如过电压、电磁兼容故障都可以成为共因故障。针对目标子系统（传感器和触发器），已经获得以下关键参数的信息：MTTFd为180（年），Category为4级，DC值为99%，CCF分数值为75（通过一定的措施减少共因故障，如信号通道物理隔离、过压过流保护、EMC防护等）。这样，通过对照表，可以得到 最终可以得到这个安全PLC相关安全系统的PFH值为4.727E-8。参照表1-1之后，此安全PLC相关安全系统符合EN/ISO13849-1 Ple。相比EN/ISO 13849-1的PL等级确定，根据EN/IEC 62061确定系统的SIL等级要复杂一些。SIL等级的确定不仅需要参照PFH或PFD值，还需要参考SFF安全失效分数。同时，在PFH或PFD值的计算中，所需要的关键参数也与EN/ISO 13849-1中的要求有所不同。总结在什么情况下一个PLC才能被称为安全PLC呢？总的来说，安全PLC是一种专门为条件苛刻的任务或是安全相关应用而设计的可编程控制器；如果一台安全PLC失效了，它不会对人员安全或过程安全带来危险。在应用任何安全技术时，人们都需要理解可用的安全标准。现在由于很多应用都同时结合了自动化要求和安全要求，因此SIL等级这个在过程控制领域已经很熟悉的概念看起来很自然地也将会在机械设备的安全应用中得到使用。安全系统设计要点就是实现把所有的事情都规划好。在实际使用中有半数的实效和故障都可以归结为设计原因。一个优秀的设计可以显著提高系统的总体安全性。一个安全PLC需要利用各种水平的冗余结构、利用安装在不同区域的芯片来设计和结构成事故安全的PLC，它还需要经过第三方的认证达到IEC61508标准。如果安全PLC的编程和接口能够同它所有PLC一致，那将是最好的结果。因为这样就可以避免混淆或可以减少出错的可能性。采用安全PLC的行业包括油/气行业、石油化工行业、炼油行业、危险化学行业、船舶、电厂、焚烧处理、机械行业、锅炉控制和燃烧控制、高压应用等。此外还要加上非传统的安全应用，在这应用中如果失去控制就会造成巨大的经济损失。还有一些远程遥控的、无人值守的以及维护费用十分昂贵的应用场合，例如大型储蓄罐。在许多应用中，各种安全网络控制器或安全I/O模块可以控制足够数量的安全输入/输入通道，但是它的价格却比安全PLC便宜数千美元。这使传统PLC也可以实现任何集成控制功能。同样，特定的、具备SIL等级的标准控制器对于许多安全应用来说也是可以接受的。另外，通过认证的用于安全应用的功能块编程也能进一步改善安全应用的时间和成本效率。结束语2008年10月，我开始了我的毕业论文工作，时至今日，论