基于安全PLC的燃?xì)忾y組控制系統(tǒng)改造升級(jí)

朱富良，侯邑平，劉東旭，吳睿婧，蔡丹寧

（1.北自所（北京）科技發(fā)展股份有限公司，北京 100120；2.北京機(jī)械工業(yè)自動(dòng)化研究所有限公司，北京 100120）

0 引言

燃?xì)忾y組（又稱：Gas train）系統(tǒng)，是由燃?xì)忾y門、壓力表、壓力開(kāi)關(guān)、電磁閥、火焰檢測(cè)器、溫度傳感器、燃燒器等所組成的一套完整的點(diǎn)火、加熱系統(tǒng)。如圖1中所示就是一套完整的燃?xì)忾y組系統(tǒng)的組成，分成點(diǎn)火閥組系統(tǒng)和主火閥組系統(tǒng)；簡(jiǎn)要的展示了管路組成、控制閥的位置、信息的采集點(diǎn)等硬件組成和相關(guān)控制信息。這種燃?xì)忾y組的整體系統(tǒng)硬件組成已經(jīng)比較成熟，閥組自身的運(yùn)行也很穩(wěn)定。

圖1 標(biāo)準(zhǔn)燃?xì)忾y組組成簡(jiǎn)圖

燃?xì)忾y組的組成是相對(duì)固定的，已經(jīng)標(biāo)準(zhǔn)化了，在各種燃?xì)饧訜嵩O(shè)備中廣泛使用；然而，其控制系統(tǒng)的配置就各有不同了，各廠家根據(jù)生產(chǎn)的實(shí)際需要，按需配置、設(shè)計(jì)。燃?xì)馐且兹?、易爆物，使用十分危險(xiǎn)，但在工業(yè)中，燃?xì)饧訜岬氖褂眠€是非常廣泛的；所以，需要配套可靠、安全的控制系統(tǒng)實(shí)現(xiàn)控制功能，保證系統(tǒng)的可靠性，以保證設(shè)備運(yùn)行的穩(wěn)定、人員的安全。隨著工業(yè)自動(dòng)化程度的不斷提高，人們對(duì)工業(yè)安全的重視程度也在不斷的提高，控制系統(tǒng)也需要不斷更新，提升控制精度，保證控制安全性。以下介紹烘箱加熱系統(tǒng)的燃?xì)忾y組控制系統(tǒng)的改造、升級(jí)。

1 原控制系統(tǒng)介紹

原控制系統(tǒng)使用的是基于普通PLC的控制系統(tǒng)，信號(hào)的采集、閥組的控制都直接由PLC控制。具體接線、控制流程如圖2所示。

圖2 普通PLC接線、控制流程簡(jiǎn)易示圖

1）PLC輸入：信號(hào)點(diǎn)直接接入PLC的輸入點(diǎn)，作為信號(hào)集采。

2）程序處理：在程序中做信號(hào)處理，將相關(guān)信息串聯(lián)，直接控制信號(hào)輸出。

3）PLC輸出：程序控制運(yùn)行，PLC輸出點(diǎn)直接控制燃?xì)忾y的開(kāi)關(guān)動(dòng)作。

這種以PLC為控制中樞進(jìn)行系統(tǒng)控制的方式，相比以前純硬件（繼電器、時(shí)間繼電器、計(jì)數(shù)器等）搭設(shè)控制回路，在安全性、可靠性等方面已有顯著的提高，充分利用了PLC控制的優(yōu)點(diǎn)，提高控制的可靠性。但是，隨著技術(shù)的不斷進(jìn)步、自動(dòng)化程度的提高，以及人們安全意識(shí)的不斷提高，不僅要求設(shè)備有更高的自動(dòng)化系統(tǒng)、還需要系統(tǒng)運(yùn)行的更加安全可靠。

2 控制系統(tǒng)的優(yōu)化設(shè)計(jì)

隨著人們要求的不斷提高，控制領(lǐng)域的硬件、軟件也在不斷的更新，控制技術(shù)也不斷的提高。對(duì)于系統(tǒng)的安全、可靠的控制方式有多種，“冗余”就是十分有效，且被廣泛使用的一種。

“冗余”的概念和應(yīng)用范圍十分廣泛，在自動(dòng)化集成系統(tǒng)中經(jīng)常使用。冗余，是指系統(tǒng)中的兩個(gè)或多個(gè)處理器之間要經(jīng)常比較各自的狀態(tài)，根據(jù)一定的規(guī)則處理信號(hào)，以決定系統(tǒng)是否工作在正常的狀態(tài)；這種狀態(tài)的比較和系統(tǒng)可靠性的判定是同步進(jìn)行的。冗余可以分為工作冗余和后備冗余。工作冗余是一種兩個(gè)或兩個(gè)以上的單元并行工作的并聯(lián)模型，平時(shí)由各處理單元平均負(fù)擔(dān)工作；而后備冗余平時(shí)只需要一個(gè)處理單元工作，另一個(gè)單元是冗余的，用于待機(jī)備用。以上是冗余的總體概念，PLC冗余又有相應(yīng)的細(xì)分。PLC冗余可以分為硬件冗余和軟件冗余。顧名思義，硬件冗余是指重復(fù)配置系統(tǒng)的一些部件，當(dāng)系統(tǒng)發(fā)生故障時(shí)，冗余配置的部件介入并承擔(dān)故障部件的工作，由此減少系統(tǒng)的故障時(shí)間。軟件冗余則是指在PLC軟件編程的時(shí)候，通過(guò)軟件設(shè)計(jì)實(shí)現(xiàn)數(shù)據(jù)的讀取、備用，監(jiān)視到異常時(shí)自動(dòng)切換。

從概念上講，要增加完整的冗余控制系統(tǒng)，就需要增加冗余PLC，采用一定數(shù)量或者成倍量的設(shè)備或元件的方式組成控制系統(tǒng)。當(dāng)某一元件或設(shè)備故障時(shí)，可以有備用元件或設(shè)備切換；當(dāng)然，也可以在軟件控制系統(tǒng)做同樣方式的冗余處理。

所以，本系統(tǒng)的改造升級(jí)的整體理念就是在控制系統(tǒng)中適當(dāng)?shù)脑黾尤哂嗫刂?，以提高整體系統(tǒng)的可靠性和安全性。

2.1 軟硬件結(jié)合，增加冗余控制；提高控制系統(tǒng)的可靠性、安全性。

繼續(xù)依托現(xiàn)有普通PLC作為控制中樞，在原控制系統(tǒng)的基礎(chǔ)上，增加繼電器、時(shí)間繼電器、接觸器等電氣元件。燃?xì)夤苈飞系男盘?hào)不直接接入PLC，而是通過(guò)繼電器隔離、過(guò)渡，再將繼電器信號(hào)接入PLC；PLC輸出也增加繼電器隔離、過(guò)渡，PLC通過(guò)控制繼電器間接控制各種閥門的動(dòng)作，同時(shí)，將輸出控制的繼電器的信號(hào)反饋到PLC。

簡(jiǎn)單講，就是在信號(hào)處理上做了冗余和反饋的處理，增加系統(tǒng)可靠性。如圖2中普通PLC信號(hào)處理所示，普通PLC的信號(hào)處理就是直接輸入、輸出，只在PLC內(nèi)部的程序邏輯內(nèi)做信號(hào)判斷、處理；這就是單一的信號(hào)處理，對(duì)外部信號(hào)的輸入及自身的輸出情況無(wú)任何的判斷處理，無(wú)法完全判斷外部元件的實(shí)際運(yùn)行情況。

增加冗余控制，就可以改善上述的問(wèn)題。如圖2中普通PLC信號(hào)處理（冗余）所示，繼電器將傳感器的信號(hào)一份為二（用繼電器過(guò)渡的方式實(shí)現(xiàn)：隔斷外部電路直接與PLC連接，可以保護(hù)PLC觸點(diǎn)不受外部電路的影響；多觸點(diǎn)繼電器使用增加多了觸點(diǎn)信號(hào)。）。繼電器的兩個(gè)觸點(diǎn)，一個(gè)直接接入PLC（繼電器1）；另一個(gè)觸點(diǎn)與其他傳感器的繼電器串聯(lián)在一起，直接驅(qū)動(dòng)另一個(gè)繼電器（繼電器X），再接入PLC。這樣的改造，輸入信號(hào)一分為二，對(duì)輸入信號(hào)做冗余處理，PLC信號(hào)的采集更加可靠，這是硬件冗余。輸出也使用繼電器過(guò)渡，繼電器的信號(hào)同樣一分為二，一個(gè)觸點(diǎn)驅(qū)動(dòng)執(zhí)行器，另一個(gè)點(diǎn)反饋到PLC的輸入點(diǎn)，參與程序控制，可以有效的判斷輸出信號(hào)工作情況，這也是硬件冗余。因?yàn)槠胀≒LC內(nèi)部硬件沒(méi)有判斷機(jī)制，邏輯給出信號(hào)，它就對(duì)外輸出，不會(huì)判斷外部執(zhí)行機(jī)構(gòu)的實(shí)際情況。這個(gè)簡(jiǎn)單的信號(hào)反饋，從硬件回路上增加了一個(gè)信號(hào)判斷處理，可以判斷繼電器是否工作的情況。

圖2 普通PLC信號(hào)處理比較

上述的信號(hào)的輸入、輸出上的硬件冗余、反饋處理，可以有效提高設(shè)備運(yùn)行的可靠性。在PLC的邏輯程序處理上，增加一個(gè)軟回路的信號(hào)判斷，及程序中對(duì)外信號(hào)的處理回路。形成外部硬件回路和內(nèi)部程序邏輯控制回路的雙回路信號(hào)判斷。傳感器信號(hào)通過(guò)繼電器過(guò)渡，將信號(hào)一分為二，其中一個(gè)信號(hào)直接接入PLC的輸入點(diǎn)，另一個(gè)觸點(diǎn)串聯(lián)后接入PLC，形成硬件回路。如圖3所示，外部傳感器分路的繼電器輔助觸點(diǎn)串聯(lián)，直接驅(qū)動(dòng)繼電器X，將繼電器X的信號(hào)接入PLC；PLC邏輯程序判斷中，將外部串聯(lián)PLC信號(hào)在程序邏輯中在做一次串聯(lián)判斷，同時(shí)將繼電器X的信號(hào)也串聯(lián)在判斷串內(nèi)，驅(qū)動(dòng)輸出。這就實(shí)現(xiàn)了軟件、硬件的雙回路信號(hào)判斷。

圖3 PLC軟硬件回路

通過(guò)上述方式的接線、編程實(shí)現(xiàn)燃?xì)饣芈返陌踩刂?，是在硬件回路冗余設(shè)計(jì)的基礎(chǔ)上，增加一個(gè)簡(jiǎn)單的軟件冗余控制方式。外部信號(hào)通過(guò)繼電器過(guò)渡，實(shí)現(xiàn)信號(hào)隔離及擴(kuò)展；繼電器的一個(gè)觸點(diǎn)串聯(lián)，作為硬件保護(hù)回路；另一個(gè)直接接入PLC，參與邏輯控制。增加這樣的冗余控制，相比原系統(tǒng)的初始設(shè)計(jì)，系統(tǒng)更可靠，運(yùn)行更安全。

這個(gè)方式雖然對(duì)PLC的改造很少，但是，增加繼電器、接觸器等元件，控制柜空間需要增加，接線相對(duì)比較復(fù)雜；綜合的經(jīng)濟(jì)投入還是比較低的。

2.2

使用安全PLC控制，充分考慮安全PLC與普通PLC的差異，鑒于安全PLC獨(dú)有的優(yōu)點(diǎn)（自身冗余控制、自檢機(jī)制、特有的通訊協(xié)議等），有利于控制系統(tǒng)的優(yōu)化，保證系統(tǒng)的可靠性，提高系統(tǒng)的安全性。

使用安全PLC，整體的控制理念和使用普通PLC不同，需要更換系統(tǒng)控制的核心元件。這個(gè)方案的設(shè)計(jì)，主要的依據(jù)就是安全PLC在安全方面的控制優(yōu)勢(shì)。

1）安全PLC的硬件模板設(shè)計(jì)和普通PLC的設(shè)計(jì)是有區(qū)別的。

普通PLC沒(méi)有安全檢測(cè)機(jī)制，只能是簡(jiǎn)單處理信號(hào)，所以，2.1的改造方案就在輸入、輸出信號(hào)的外部硬件做了冗余的處理，以保證信號(hào)的可靠，提高系統(tǒng)安全。

安全PLC的硬件設(shè)計(jì)就完全不一樣。輸入、輸出都采用了雙通道的設(shè)計(jì)，可以對(duì)外部采集到的信號(hào)進(jìn)行比較和效驗(yàn)；其次，安全PLC的模板上增加了許多診斷、自檢的功能；比如：時(shí)鐘測(cè)量、序列檢查、脈沖測(cè)量等，結(jié)合硬件和軟件，隨時(shí)檢測(cè)自身的工作狀態(tài)。比如安全PLC可以診斷輸入輸出點(diǎn)接線的外部線路的短路或斷路等故障信息；CPU有特定的安全校驗(yàn)機(jī)制，對(duì)CPU自身信號(hào)處理、電源監(jiān)視等進(jìn)行自檢；以保證PLC內(nèi)、外信號(hào)傳輸和處理的準(zhǔn)確性。上述檢測(cè)與診斷功能，普通PLC是不具備。

系統(tǒng)使用羅克韋爾GuardLogix系列的安全PLC，與普通PLC的接線方式就完全不同。如圖4所示，普通PLC輸入輸出點(diǎn)是單通道，它的外部信號(hào)直接接入PLC的一個(gè)輸入或輸出點(diǎn)。安全PLC的輸入輸出是雙通道，接線是自成回路，形成一個(gè)安全控制回路；PLC內(nèi)部自檢信號(hào)，保證了信號(hào)的可靠性。普通PLC的輸入信號(hào)一般使用的是常開(kāi)觸點(diǎn)，而安全PLC的輸入都是用常閉觸點(diǎn)。雙通道設(shè)計(jì)，常閉點(diǎn)使用，結(jié)合脈沖、電壓自檢，可以檢測(cè)外部線路的短路、斷路。

圖4 普通PLC與安全PLC輸入輸出接線示意圖

安全PLC可以構(gòu)成安全回路，主要在于它與普通PLC的不同處理機(jī)制。第一：普通PLC的輸入和輸出點(diǎn)出現(xiàn)繼電器觸點(diǎn)熔接、晶體管損壞等故障時(shí)，其輸入或輸出仍然保持ON的狀態(tài)。而安全PLC內(nèi)部的自檢系統(tǒng)，會(huì)判斷出這樣的情況，并給出報(bào)警。第二：外部信號(hào)線斷線、短路或者瞬時(shí)停電等故障發(fā)生時(shí)，普通PLC無(wú)法判斷和處理。而安全PLC則會(huì)自動(dòng)檢測(cè)出這些現(xiàn)象，并給輸出信號(hào)。安全PLC依據(jù)特殊的電子回線路和細(xì)致的診斷軟件分析（安全PLC的使用需要通過(guò)軟件進(jìn)行軟硬件參數(shù)的配置）確保了對(duì)內(nèi)外部元件的潛在失效的測(cè)定能力。

2）PLC內(nèi)部的處理機(jī)制的不同。

普通PLC的內(nèi)部CPU數(shù)量是一個(gè)或者多個(gè)，一般只有一個(gè)CPU并由它完成各種程序的處理；即使有多個(gè)CPU，程序只進(jìn)行一次處理，多個(gè)CPU只是分別處理了程序中的邏輯運(yùn)算、算數(shù)運(yùn)算、通訊功能、運(yùn)動(dòng)控制的各種任務(wù)，增加運(yùn)行速度，整體來(lái)說(shuō)就是實(shí)現(xiàn)了相互協(xié)助的功能。

安全PLC的內(nèi)部CPU的數(shù)量至少是兩個(gè)或者多個(gè)，兩個(gè)CPU同時(shí)處理同一個(gè)程序，將兩個(gè)處理器的處理結(jié)果放在一起進(jìn)行比較，結(jié)果一致，則輸出，結(jié)果不一致，則不輸出。簡(jiǎn)單講就是程序在PLC內(nèi)運(yùn)行了兩次。如果多個(gè)CPU的，也是一樣，程序至少會(huì)經(jīng)過(guò)兩次完全相同的處理、比較，或者是三次、四次，以保證運(yùn)行的可靠。

如圖5所示：普通PLC的單核CPU或多核CPU的的處理方式和安全PLC的處理方式的比較。普通PLC只處理了一次邏輯程序，而安全PLC對(duì)同一邏輯程序至少會(huì)處理2次。

圖5 PLC內(nèi)部信號(hào)處理機(jī)制示意

3）安全PLC是經(jīng)過(guò)安全認(rèn)證的，既可以用于安全系統(tǒng)，也可以在普通系統(tǒng)中使用。軟件方面，安全PLC中運(yùn)行的安全程序中有標(biāo)準(zhǔn)的安全功能模塊，這些安全功能塊也是通過(guò)安全認(rèn)證；普通PLC程序中的功能塊，不具備安全功能，沒(méi)有經(jīng)過(guò)安全認(rèn)證。軟硬件的安全認(rèn)證，充分的證明安全PLC在安全控制方面的絕對(duì)優(yōu)勢(shì)。

4）安全PLC與普通PLC所使用的通訊協(xié)議是不同的。一般來(lái)說(shuō)，各個(gè)品牌的安全PLC通訊都是通過(guò)特定的通訊協(xié)議傳輸數(shù)據(jù)的，與普通PLC之間的數(shù)據(jù)通訊協(xié)議有所不同，安全通訊協(xié)議會(huì)在普通通訊協(xié)議的基礎(chǔ)上，增加更多的安全校驗(yàn)機(jī)制來(lái)保證通訊的可靠性。比如西門子，普通PLC的通訊使用PROFIBUS或PROFINET協(xié)議來(lái)傳輸數(shù)據(jù)，而安全PLC的通訊就是用PROFISAFE協(xié)議來(lái)傳輸數(shù)據(jù)。PROFISAFE協(xié)議就是在PROFIBUS或PROFINET協(xié)議的數(shù)據(jù)傳輸?shù)幕A(chǔ)上增加了更多的校驗(yàn)機(jī)制。比如羅克韋爾的GuardLogix系列安全PLC，其通訊協(xié)議也有其特殊之處。羅克韋爾的GuardLogix通過(guò)了SIL3（CIP Safety）的認(rèn)證。CIP Safety協(xié)議通訊網(wǎng)絡(luò)，不同于其它的安全網(wǎng)絡(luò)，他可以實(shí)現(xiàn)同一網(wǎng)絡(luò)上連接安全設(shè)備和標(biāo)準(zhǔn)設(shè)備。網(wǎng)絡(luò)中關(guān)于安全的重要編碼和通訊措施，都會(huì)優(yōu)先在通訊通道上進(jìn)行。CIP Safety協(xié)議可以確保安全系統(tǒng)的正常運(yùn)行，當(dāng)發(fā)生錯(cuò)誤時(shí)，可以在特定的時(shí)間內(nèi)快速反應(yīng)，以正確的方式做出預(yù)先確定的安全響應(yīng)。當(dāng)同一線路上同時(shí)有安全和標(biāo)準(zhǔn)的通訊協(xié)議時(shí)，CIP Safety協(xié)議中相應(yīng)的保護(hù)措施會(huì)保護(hù)安全信息的通訊，到達(dá)安全的需求，提高可靠性和安全性。依據(jù)特性，就可以搭建一套基于CIP Safety協(xié)議的Ethernet/IP的系統(tǒng)回路，整個(gè)系統(tǒng)使用Ethernet/IP通訊回路，系統(tǒng)簡(jiǎn)潔，安全、普通的通訊信號(hào)在一個(gè)網(wǎng)絡(luò)中運(yùn)行。如圖6所示，標(biāo)準(zhǔn)控制器和安全控制器可位于同一機(jī)架中，在同一個(gè)控制器中實(shí)現(xiàn)了標(biāo)準(zhǔn)控制和安全控制，在通用Ethernet/IP網(wǎng)絡(luò)實(shí)現(xiàn)標(biāo)準(zhǔn)控制和安全控制統(tǒng)一。

圖6 通訊網(wǎng)絡(luò)示意圖

5）編程方式的不同。

普通PLC和安全PLC的編程方式也有差異，硬件的組態(tài)、程序編寫等都不同。安全PLC有安全部件，所以，安全PLC比普通PLC增加了安全I(xiàn)O的配置和單獨(dú)的安全任務(wù)欄Safety Task。編程的時(shí)候，安全PLC除了配置普通IO參數(shù)之外，還需要配置安全I(xiàn)O，兩者配置的方法是一樣。有安全PLC的程序結(jié)構(gòu)中，有單獨(dú)的Safety Task，其中包含有專門的安全指令，這個(gè)區(qū)域?qū)ｉT用于編寫安全程序，與普通程序分開(kāi)執(zhí)行。如圖7所示，兩種PLC的程序架構(gòu)都在一個(gè)控制器下，但安全PLC就包含了安全的Safety Task和安全I(xiàn)O的配置（圖中帶有紅色標(biāo)記的就是安全PLC、安全I(xiàn)O、安全程序）。

圖7 編程及IO配置框架對(duì)比

綜上所述，安全PLC優(yōu)點(diǎn)突出，更加適合在這個(gè)燃?xì)庀到y(tǒng)中使用。而且，基于安全PLC的改造，只需要在原有控制系統(tǒng)中更換或者增加安全PLC的CPU、IO就可以了；接線略作修改即可；更換PLC，增加元件不多，對(duì)控制柜的空間要求不高，有適當(dāng)?shù)娜萘考纯赏瓿?。在程序方面，原?lái)的邏輯控制方式?jīng)]有變化，只需要在編制相應(yīng)的安全部分的程序，修改部分邏輯程序即可。

3 結(jié)語(yǔ)

兩個(gè)優(yōu)化方案的理念都是增加檢測(cè)機(jī)制和冗余控制，以實(shí)現(xiàn)設(shè)備控制的可靠性，提高設(shè)備的安全性。方法不同，方案一依靠的是外部硬件的冗余處理，結(jié)合程序的邏輯輔助處理。方案二則是完全利用了安全PLC的優(yōu)點(diǎn)，使用安全PLC本身所具有的特性進(jìn)行系統(tǒng)改造。比較原系統(tǒng)的配置，兩種升級(jí)都達(dá)到的改造、升級(jí)的要求?？傮w考慮，安全PLC的性能更好，校驗(yàn)機(jī)制更加先進(jìn)，安全性能比方案一高，且安全PLC的使用是現(xiàn)代工業(yè)自動(dòng)化生產(chǎn)的發(fā)展趨勢(shì)。

分析對(duì)比優(yōu)缺點(diǎn)，使用安全PLC來(lái)實(shí)現(xiàn)燃?xì)夤艿赖陌踩刂剖亲罴逊桨?，即?jié)省空間，系統(tǒng)可靠性、安全性更高。

隨著自動(dòng)化水平的不斷提到，對(duì)設(shè)備的安全性的要求也越來(lái)越高，安全PLC、安全元件的使用也將越來(lái)越廣泛。