1、引用文件
IEC 61508;
GB/T 20438;
安全PLC及安全相关系统的介绍及安全可靠性分析-湖州职业技术学院 刘纪愉;
2、几种主要的系统结构
基本系统不外乎几种:1oo2,2oo3,1oo1D,1oo2D,2oo4结构。
提高安全性的手段包括冗余和诊断。从冗余的目的区分,冗余可以分为提高可靠性的冗余、提高可用性的冗余和提高安全性的冗余。提高可靠性、可用性的冗余一般是使用热备系统,一个正常工作的主设备,另外一个或多个热备的设备,当主设备故障时热备设备立刻开始接管主设备的功能,其着眼点是针对主控设备失效,而不过多关心主控设备输出是否正常和安全。提高安全性的冗余通常是若干个通道并行工作,其结果进行比较,着重于保证输出结果 的正确性和安全性,而不过多考虑可靠性的问题。
常见的体系结构包括单通道系统1oo1(K oo N,K Out Of N,N个里面取K个的含义);双通道系统1oo2,2oo2;三通道系统1oo3、2oo3;如果附加了诊断措施,每种类型又可衍生出一种新的“带诊断”的体系结构:1oo1D,1oo2D,2oo2D,1oo3D,2oo3D。另外,还有一种由若干厂商如横河和黑马主推的所谓2oo4D系统,严格来讲相对于1oo2D并未提高安全性,而只是提高了可用性。能够达到安全完整性等级SIL3的体系结构目前有三种:1oo2D,2oo3,2oo4D。单通道系统1oo1,系统没有多重化,只有一个通道,这是常规PLC的典型体系结构,一般使用此种体系结构安全完整性无法达到SIL3。1oo1一般包含有现场输入、逻辑控制、执行三部分。单通道系统可能出现安全失效、危险失效,并且没有任何附加的保护电路来保障失效发生时进入安全状态。单通道系统的可靠性、安全性都受到限制,很难应用在高安全要求情况。单通道系统很难避免单点故障。 2.1 1oo2D体系结构及其失效分析
采用1oo2D体系结构的系统可以达到比1oo2更理想的安全性,已经证明,采用1oo2D体系结构可以达到SIL3等级要求。从图1-1可以看出,1oo2D体系结构的诊断电路里也有和输出
有关的控制电路,该控制电路可以由两个单元(通道)分别进行控制。1oo2D结构相当于两个输出控制电路A1,A2串联、B1,B2串联之后再并联,每个单元有独立的控制输出,同时,最终输出的结果还跟两个通道的诊断结果相关。最终输出结果必须经过诊断电路的判断才能完成输出,如果任一单元的诊断电路发现问题,则可以强制安全输出(在本图中即开路)。1oo2D体系结构见图1-1。
图1-1 1oo2D体系结构
1oo2D体系机构提供了一组额外的控制线,为双通道的体系结构提供额外的安全功能,从而比单纯的1oo2有更好的安全性。例如,当A通道输出开关A1错误闭合时,相应的通道诊断电路没有发现,而下边B通道发现该问题并通过控制线路将此开关打开,把危险失效转化为安全失效。这样,在最终输出之前,诊断电路还有机会把错误的输出更正或者进行安全输出。1oo2D提高安全性的方法本质上是通过诊断技术,使用高达90%以上的诊断覆盖率,可以发现绝大多数随机硬件失效,将其中可能导致的危险失效转化为安全失效。
系统危险失效的充分必要条件是,A和B发生了共因危险失效,并且该共因失效没有被A或B的诊断电路所发现(未检测);或者A和B同时发生非共因危险失效,且这两个危险失效都没有被A或B的诊断电路所发现。所谓共因失效是指两个通道由于相同的原因,发生了硬件随机失效而导致的失效。危险失效是危及到系统安全功能的失效,是需要尽力避免的。从安全仪表系统的角度来讲,危险失效即是要求时失效,例如,一个紧急停车系统,紧急停车功能是其安全功能,当按下紧急停车按钮或要求执行紧急停车功能时发生失效而导致紧急停车功能没有被执行,即是危险失效,也即是要求时失效。在本文中,要求时失效与危险失效含义相同。
2oo4D是把两个1oo2D的设备并联,形成热备效果,两者都接受相同的输入,同时运行,但是有一个1oo2D设备不进行有效输出,作为热备,另一个进行有效输出,作为主站。通过这种方式提供了额外的可用性,安全性本身并没有发生改变,与1oo2D相同。
2.2 2oo3体系结构及其失效分析
2oo3体系结构,又称为三重冗余、三模冗余结构,在航空、航天、军事上的应用相当广泛,兼顾安全性和可用性。顾名思义,2oo3是一种三通道系统,它包含输入、逻辑控制和输出,输出部分还有表决电路。在安全相关系统中,2oo3结构保证当系统中最少有两路处于安全状态时,系统是安全的。2oo3系统的输入、输出都包含有“投票”(Vote),用以判断和纠正其输入和输出值。
图1-2 2oo3体系结构
如图1-2所示的三重冗余系统,在该图中的危险失效是“该开路而短路”。分析图1-2结构,可以发现输出电路的失效模式有两种:“该开路而短路”和“该短路而开路”,前者是危险失效(使安全相关系统处于潜在的危险或丧失功能状态的失效),后者是安全失效(不可能使安全相关系统处于潜在的危险或丧失功能状态的失效)。在本文中的所有示例中,危险失效均为“该开路而短路”。在图1-2所示的体系结构中,输出部分使用了两两串联再并联的结构,其等效电路如图1-2右边所示,AB串联、AC串联、BC串联,然后再将三者并联起来,这样,当A、B、C三者任何两个短路,从+极到-极的通路才能导通,执行器才能够得到激励;这样就实现了3取2的投票。
2oo3失效的条件是A、B、关于进一步规范地方政府举债融资行为的通知C中,至少有两者是失效短路,则系统危险失效。以AB失效为例,如果发生检测到或者未检测到的A、B发生共因危险失效,则系统危险失效;或者有那样一个下午A、B同时发生非共因危险失效,系统发生危险失效,其他AC、BC同理。无论A,B发生的危险失效是否被检测到,因为没有额外的诊断电路,都不能将危险失效转化为安全失效(实际应用中可以采取某些技术措施把检测到的危险失效转化为安全失效)。
2.3 各种体系结构的分析对比
1oo1体系结构即常规的单通道系统,没有太多考虑安全性和可用性方面的问题,如果按照IEC61508的规定严格执行,是可以达到SIL1安全等级以上的。可用性方面,由于1oo1系统并没有任何形式的冗余和备份,所以系统的可用性和安全性都比较低。
双通道系统略强于单通道系统,双通道系统如果从安全性角度考虑,则需要两个通道并行工作,同时输出结果,然后把输出的结果进行比较和分析;如果是考虑可用性,则两个通道之中需要有一个是主,一个是热备。双通道系统相比单通道系统能够提供更好的安全性和可用性,双通道系统共有两种:1oo2和2oo2,其中,2oo2能够获得更好的安全性,其输出是被同时考量的,只有两个输出相同时才会产生有效的输出,逻辑上相当于与。而1oo2可以保证更好的可用性,两个输出逻辑上相当于或,任意一个有输出,则系统就有输出。一种改进型的双通道系统1oo2D含有两个通道,同时具备独立的诊断电路。诊断电路可以发现某些错误,可将危险失效转化为安全失效,所以1oo2D具备更高的安全性。在保障安全所采用的技术上,1oo2D本质上是依赖于诊断技术的,1oo2D体系结构设计合理的话,可以达到SIL3标准。只有需要达到较高SIL等级如SIL3时才考虑选用1oo2D体系结构,
否则会造成成本的巨大浪费。2oo4D是一种新型的安全仪表系统体系结构。它考虑安全性的同时也保证了可用性,2oo4D是使用两路1oo2D的设备,每个1oo2D的设备安全完整性均达到SIL3,每个设备都可以独立工作;两个1oo2D设备之间是热备关系,藉此以保证可用性。
2oo3系统的设计思路不同于1oo2D,主要使用比较技术来保障安全性。典型的2oo3系统包含三个通道,当输出至少有两路相同时才进行输出。2oo3系统本身的可用性并不高,因为只有三个通道同时有效才能保证系统安全性,一旦有通道故障,系统的安全性必然降级。从可用性角度上讲,2oo3系统不如2oo4D系统,而两者所能达到的安全性基本相同。一个弥补2oo3系统可用性不足的措施是在线替换,三个主控制器相互独立,如果有一个出错则在规定时间内在线替换掉(限时修改),系统不必停机,提高了系统的可用性。各种体系结构安全性和可用性对比见表1-2。
结构 | 安全性 | 可用性 | 成本 |
2oo4D | 高 | 广西民族大学网络教学平台高 | 高 |
2oo3 | 高 | 较高 | 较高 |
1oo2D | 高 | 中等 | 中等 任丘四中 |
1oo2 | 中等 | 中等 | 中等 |
巴洛特利养母2oo2 | 低 | 较高 | 中等 |
1oo1 | 低 | 低 | 低 |
| | | |
表1-2 各种体系结构安全性和可用性对比
3干栏式建筑、结论
从以上分析可以得出,1oo2D、2oo4D、2oo3这几种体系结构能够达到较高的安全完整性等级,如果设计合理,可以达到SIL3以上,但是这几种方案的成本都比较高,设计难度比较大,只有当确定需要很高的SIL等级时才考虑选用。单通道系统可达到的安全完整性等级低于双通道系统,双通道系统低于1oo2D。安全性方面,1oo2D,2oo4D和2oo3相当,而可靠性方面2oo4D略胜一筹。总的来说2oo4D是兼顾了安全性和可靠性的比较理想的解决方案,缺点是成本较高,实现的技术难度较大。而2oo3系统在对可用性要求不高的时候或者是可修复系统,则可用性、安全性和成本能获得比较理想的折中。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议