一 概述 作为一种专为工业控制所设计的计算机系统，可编程序逻辑控制器(PLC)具有结构紧凑、坚固，体积小巧，很高的抗干扰、抗振、防潮、耐热能力，它是实现机电一体化的理想控制设备，在工业生产中得到广泛的应用。PLC的一个重要应用领域是安全系统。 为了最大限度地保护生产装置和人身安全，避免恶性事故的发生，减少损失，需要提供一种高度可靠的安全保护手段，这种手段就是安全系统。安全系统有时又称为紧急停车系统(Emergency Shut Down system, ESD)。 安全系统在开车、停车、出现工艺扰动以及正常维护操作期间对生产装置提供安全保护。一旦当工厂装置本身出现危险，或由于人为原因而导致危险时，系统立即做出反应并输出正确信号，使装置安全停车，以阻止危险的发生或事故的扩散。 对于一个理想的安全系统来讲，它应该具有高的可靠性(Reliability)、可用性(Availability)和可维护性(Maintainability)，并且在出现内部故障或外界干扰的情况下是安全的。 二 安全系统的分类和发展 根据构成的硬件来划分，安全系统可分为继电器型、硬接线固态电路型和可编程电子型(PES)3种类型。 (1)继电器型系统 系统采用单元化结构，通过继电器来执行逻辑。此种系统的使用已有很多年了，并且目前仍在一些场合中使用。其优点在于可靠性很高，具有高达98%的固有故障安全特性；不受绝大多数干扰的影响；电压适用范围宽；系统的一次投资费用较低。然而，继电器型系统的体积大，灵活性差，在规模较大系统中表现得尤为明显。在需要进行功能修改或添加时，必须改变系统的连线，很不方便。此外，这种系统既无串行通信功能，也无报告和文档功能。 (2)硬接线固态电路型系统 系统多为模块化结构，采用独立的固态器件通过硬接线来构成系统，实现要求的逻辑功能。它的结构紧凑；可对系统中包括输入/输出(I/O)在内的所有运行通道进行在线测试，易于识别故障；可进行串行通信；易于更换，便于维修；可配置成冗余系统，改善系统性能，增强系统容错性。但固态系统的灵活性不够，任何逻辑修改和/或添加必须改变系统的连线；大系统的操作费用也较高；同时硬接线固态系统的可靠性不如继电器型系统。 (3)可编程电子型系统 系统以微处理器技术为基础，PLC是其典型代表。系统一般采用模块化结构，通过微处理器和软件来执行逻辑任务。它采用专门的软件和微程序固件，具有强大的、方便灵活的编程能力。系统设计有内部自测试和自诊断功能，可以与工厂通信网络集成为一体构成综合控制系统。系统可包含彩色视频显示、数据记录、合成语音等功能。可编程电子型系统是目前应用最广泛的一种安全系统。 在多年的应用实践中，随着技术的不断进步、发展和完善，对安全系统硬件的要求不断提高，从继电器、硬接线固态逻辑电路和通用PLC逐步演化转变为“安全认证”系统。 所谓的“安全认证”系统是一个专为安全应用场合设计、在硬件上采用各种安全处理措施、具有完善的诊断测试手段，并取得有关安全权威机构的安全证书的系统。 一般来讲，不能选用普通PLC作为安全系统的硬件，这是因为当它失效时，其输出不能保证是处于定义的安全状态。安全系统采用的是具有特殊结构型式和特殊处理方式的PLC，又称为安全PLC。 三 安全系统的基本要求 对安全系统的基本要求是：首先，安全系统的硬件应与担负常规控制的分散型控制系统(DCS)相互独立，物理上完全分离；其次，安全系统必须具有完善的诊断测试手段，包括对硬件(中央处理模块、输入/输出模块、I/O总线、通信模块等)和软件(操作系统、用户逻辑等)的测试。 目前，DCS已在工业场合得到广泛的应用。那么在设计考虑时是否可将安全系统功能纳入DCS中，采用相同的硬件？对此，答案是否定的。 要求安全系统的硬件与DCS分开，其理由基于以下3方面。 1. 与DCS所处的层次不同 通常，可将生产装置的安全防线分为3个层次，即装置的设计及安装、过程测量和控制、安全系统(紧急停车系统)以及火灾和气体监控系统。 装置的设计及安装是安全生产的第一道防线。在装置的工程设计和设备选型阶段，需要对生产过程和设备的安全性进行充分考虑，根据已确定的工程设计规范和习惯做法进行设计，并接受包括危险性及可操作性研究、危险性分析、无故障分析等内容的审查。在设备的安装过程中，必须严格按有关规范进行，以保证符合安全性要求。 在装置运行期间，常规控制系统连续测量和监视生产过程，对物料流和能量流采用最适宜的处理方式，使装置按要求在设定值下平稳运行，从而降低了装置的风险，这构成了安全生产的第二道防线。 安全系统用于监视生产装置的运行状况，对出现异常的情况迅速进行处理，使装置停车回到安全状态，将发生恶性事故的可能性降到最低。它是装置安全生产的最后一道防线。火灾和气体监控系统用来处理可燃气体和有毒气体产生的危险。在危险情况下，它触发安全系统动作，使装置停车。 2. 与DCS的工作性质不同 从工作性质上来看，安全系统与DCS是两种截然不同的系统。 安全系统是一个“静态”系统。在正常情况下，它“静静”地监视着装置的运行，系统的输出不发生变化，对生产过程也不产生影响。仅在生产装置出现异常情况危及到安全时，它才“迅速出手”，按照预先设计的方案使装置安全停车。只要装置在运行时，它就必须“在线”，不允许被旁路或取代。 DCS是一个“动态”系统，它始终处于“忙碌”之中。它对过程参数连续进行检测，按照控制策略进行运算，其输出不断在变化，通过对生产过程的动态控制来保证产出符合性能要求的合格产品。在装置运行期间，它允许短时间被手动操作所取代。 3. 与DCS对可靠性要求不同 由于安全系统的责任重大，对其可靠性的要求极高。对此，设计者关心的重点不是系统如何工作，而是系统出故障的原因。安全系统须通过自诊断和测试发现隐性(Passive)故障，执行有关功能以保证系统的正常工作。 尽管对DCS也有高的可靠性要求，在系统内也设计有多种自诊断，但没有安全系统那么严格。 可靠性要求的高低影响到系统的结构和硬件配置以及投资成本。若降低对安全系统的可靠性要求，使之与DCS相同，则其安全性能下降，与安全生产不利；若提高对DCS的要求，使之与安全系统相同，则会使投资成本上升，在经济上不合理。 此外，根据国内外对DCS使用情况的统计，在很多(大约50%)情况下，DCS是处于手动控制状态的。如果将安全系统功能设计在DCS内，在出现异常时，操作人员可能将依靠自身判断进行处理，这是很危险的。 因此，安全系统和DCS在硬件上必须严格分开。 关于这一点，在许多国家和国际组织制订的工业安全的标准中均有相关规定： (1)美国化学工程师协会、化学过程安全中心《化学过程安全自动化指导(1993)》中提出：“通常，逻辑处理器应与在基本生产过程和控制系统(BPCS)中的类似功能分开。”“此外，信号输入传感器和最终控制部分通常也与基本生产过程和控制系统(BPCS)中类似功能分开。” (2)美国仪器仪表联合会ISA.S84《过程工业安全仪表系统的应用(1996)》规定：“通常基本生产过程控制系统(BPCS)应与安全集成系统(SIS)分开。”“为了满足安全功能和安全系统的完整性，通常要在以下4个地方进行分离：逻辑处理器、现场传感器、最终控制机构与其他设备通信。” (3)美国石油协会(API)《海上石油平台有关基本安全系统的分析、设计、安全和测试(1994年第五版)》中规定：“安全系统应提供两级保护…，两级保护都应该独立于其他用于正常操作的控制系统。” (4)美国国家火灾保护联合会(NFPA)标准8502中指出：“建议分开：在锅炉操作中，用于完成安全功能的逻辑系统不要与其他逻辑系统结合在一起。” (5)美国核电站安全系统标准IEEE Std 603-1980要求冗余的安全系统“相互独立且在物理上分开”，“安全系统的设计应该满足：当出现故障，其他系统采取相应动作时，安全系统的功能不要受到影响。” (6)国际电工委员会IEC61508中提到“只要有可能，应将有关安全功能与非安全功能分开。” (7)英国健康与安全委员会《可编程电子系统(1987)》中提到：“强烈推荐控制系统与保护系统独立分开。” 四 安全系统的结构和安全措施 用作安全系统的安全PLC可分为两大类，一类为基于表决的系统；另一类为基于自诊断测试的系统。 (1)基于表决的系统 系统硬件通常为三重或四重化冗余配置，通过择多表决器来决定最终结果。这类系统典型的有美国ICS的Regent系统[TMR(Triple Modular Redundancy) +HIFT(Hardware Implemented Fault Tolerant)]、英国August Systems的CS300E系统[TMR(Triple Modular Redundancy)+SIFT(Software Implemented Fault Tolerant)]等。 TMR即模块化三重冗余，是指在系统的冗余性设计中，关键电路都实行了三重化，各通道相互独立，但又同时完成同一功能。3个独立电路的输出经过择多(3选2)表决器表决后作为系统的最终输出。 HIFT代表硬件实现容错，SIFT代表软件实现容错。它们是两种不同的技术路线，前者系统响应快，而后者硬件较简化，两者均可用在由微处理器构成的容错系统中。 如果在三重化配置的冗余处理器中任何一个处理器出现故障，择多表决器会自动地摒弃故障电路的输出，系统继续向过程输出由择多表决器表决出的值。系统可自动检测出发生故障的模块，记上标志并使之与系统隔离。可用新模块在线替换故障模块，使系统恢复正常工作。 采用TMR技术的系统，可有两种运行方式配置，即3-2-1-0方式和3-2-0方式。安全系统的典型配置为3-2-0方式。 3-2-0方式又称为故障—安全方式，在系统正常运行时使用3个电路；当其中一个电路故障时，系统依靠剩下两个电路继续运行，直到故障模块被更换；若在更换前又有一个电路故障，则系统安全停车。 (2)基于自诊断测试的系统 此类系统具有特殊的硬件设计，借助于安全性诊断测试(Diagnostically Tested for Safety, DTS)技术来保证安全性。系统对每一个与安全性有关的部件(中央模块、输入/输出模块、I/O总线等)均进行测试。对元器件设计的工作原理是“正常—工作”、“故障—断开”，两者必居其一。此类系统典型的有德国HIMA的H-50系统、荷兰P&F的FSC系统等。它对元器件及电路设计的要求极高，但元器件数量的减少使出现故障的可能性也减少了。 此类系统可根据安全性要求采用单配置或冗余配置。冗余配置是多种多样的，可以仅为中央单元采用冗余配置，可以是中央单元和部分输入/输出电路采用冗余，也可以是系统全部硬件冗余。在某些应用场合(如德国DIN标准安全要求等级AK5以下)，冗余配置的此类系统具有一定的容错性。当出现故障时，单通道系统可继续工作一段时间(由用户定义，一般小于72h)。在此期间，在线更换故障模块，然后使系统恢复正常工作。若未及时修复，则系统安全停车。谈到故障，必须弄清显性(Active)故障和隐性故障的区别和影响。 对于显性故障(例如系统断电等)，由于故障的出现使数据产生变化，通过比较可立即检测出，系统可据此自动产生矫正作用[如使正常得电的(Normal Energized, NE)元件失电]，进入安全状态。显性故障不影响系统的安全性，仅影响系统的可用性。显性故障被划为无损害故障(Fail To Nuisance, FTN)。 对于隐性故障(例如输入/输出放大器短路)，由于它开始并不影响到数据，故仅能通过自动测试程序方可检测出来。它不会使正常得电的元件失电，故被划为危险故障(Fail To Danger, FTD)。它影响系统的安全性但不影响可用性。 在一个多通道系统中，每个故障均可通过对系统数据连续地进行比较而被检测到。隐性故障的检测和处理是安全系统的重要内容，即使是采用3取2或7取5表决系统也不能减少为检测隐性故障而采取的措施。 安全PLC的设计和制造目标就是使系统具有零隐性故障(FTD)，并且不存在过多影响可用性的显性故障(FTN)。 下面以英国August Systems的CS300E作为基于表决的安全系统的范例，以德国HIMA公司的H-50系列作为基于自诊断的安全系统的范例，介绍安全系统的结构以及采取的安全措施。 1. 系统结构和工作原理 (1)CS300E CS300E的核心是三重模块冗余和软件实现故障容错，其基本结构如图1所示。它具有完全三重化的系统结构。每个系统有3个控制处理器，以并行的方式工作，由主机座上冗余的供电单元供电。所有输入模块和输出模块均与三重化总线连接，各模块分别由一个控制处理器进行控制。 在操作的每一步，各个独立的控制处理器将所有输入信号读入，使用SIFT表决算法对数据进行比较和表决。该算法不是硬件本身(Me)与左邻(Left)右舍(Right)的简单比较，而是根据由Me、Left Me、Right Me、Left、Left-Right、Right、Right-Left推导出的表格进行比较，从而保证了表决结果的正确性，并可纠正控制处理器的错误数据。 各控制处理器通过隔离只读高速通信链与其相邻的处理器进行通信，在每次扫描中至少要对输入、输出和诊断状态信息执行一次同步操作。各处理器相互关联，使用“3选2”软件表决来修正系统当前状态的存储器映像，在诊断表中记录差异情况；然后，各控制处理器执行其应用程序逻辑，将相应的输出设置成要求的状态。控制处理器的输出状态命令通过使用“3 选2”硬件表决的输出模块向现场输出。微控制器检测其中是否存在差异，并将检测情况向控制处理器报告。 (2)H-50系列 H-50系列安全PLC有多种配置型式，图2所示为一个具有高可用性和安全性特征的系统基本结构。 系统具有两个中央模块，通过公用总线与输入、输出模块相连。两个中央单元从输入模块接收相同的输入信号，执行相同的用户程序。每个工作循环分7个阶段，并列工作。 每个阶段完成后，两个中央单元通过高速数据通信链进行同步操作，相互比较运算并交换其输入、输出状态和必要的数据。在一个工作循环中，两个中央单元分别执行不同的工作任务，一个中央单元执行读入数据和测试功能，另一个中央单元执行比较功能。以工作循环为单位，交替更换其角色。在下一工作循环，执行读入数据和测试功能的中央单元转为执行比较功能；而执行比较功能的中央单元转为执行读入和测试功能。以此工作方式使两个中央单元拥有相同的数据。 通过综合测试可检查中央单元是否发生故障。若测试发现其中之一出现故障，则立刻将其与系统隔离；另一中央单元可在一定时间内维持运行，直至将有缺陷的模块进行更换修复后再投入使用。