安全PLC的测试

    一个适合于在与安全有关的场合下使用的PLC（简称安全PLC）应是一个取得安全证书的系统。它必须具有为安全性设置的完善的诊断测试手段，并且采取大量有效措施来保证其安全性能。系统的测试包括硬件测试和软件测试。对于PLC型的ESD系统，离开软件的可靠性问题来谈PLC的安全性是没有任何意义的。与硬件不同，软件的错误主要是设计上的错误，且通常仅在非预定的环境下运行时才能反映出来。软件缺陷一经纠正就不复存在。PLC的系统软件（操作系统和其他系统功能，如任务进程调度、任务间通信、中断处理等），经过大量测试、修改后固化嵌装于设备中，一般均具有非常高的可靠性。按照用户具体要求编制而成，用来执行特定逻辑功能的应用软件的可靠性则取决于设计者的经验、文件的审查以及系统开发和调试的过程。下面即以德国HIMA安全PLC系统为例，介绍一下紧急停车系统所采取的安全措施。如图5-9所示为HIMA安全PLC系统结构示意图。它为单中央模块( CPU)、单输入/输出模块、单总线配置。    该PLC的操作系统可以在指定的安全时间内检测出故障，并可以根据具体情况决定是应当使失效元件停用，还是应当使整个系统停车。    ①中央模块的测试  系统一直对中央模块上的所有元件进行功能测试。这些测试工作一部分是通过软件来进行的（如处理器、接口电路等），另一部分则需要借助于某些硬件设施，如“看门狗( watchdog)”定时器、存储器、比较器等。为此，模块上有EPROM和RAM两种存储器，由于安全上的原因，其数据分别以“正常”和“取反”两种格式存放。中央模块的测试包括时钟脉冲的硬件监视、通过硬件和软件“看门狗”的工作循环监视、量程监视、自诊断测试、不同独立硬件定时器的比较、所有测试实施过程的监视、可接受中断的监视、存储器中程序的校验、存储器中数据存储部分读/写能力测试和监视单元功能检查等。中央模块可以是单配置，也可以是双重配置。两种配置测试程序的差异主要在于存储器测试方面。对于操作系统、用户逻辑、常数等，单配置方式采用的是修正校验和测试；双重配置方式则采用两个中央模块互相比较的方法。对于变量标记，单配置方式仅进行读/写能力测试；双重配置方式则除了进行读/写能力测试外，还要进行两个中央模块的比较，若出现比较结果不一致且没有出现可测试故障的情况，则各中央模块应错开进行自诊断测试，有故障的中央模块将退出控制，由另一个中央模块维持单配置方式运行，退出控制的模块经修复后再投入使用。对于单中央模块系统，当出现故障时通常使系统断电安全停车。    ②输入/输出模块的测试  对于与安全有关的输入/输出，必须采用可测试型输入/输出模块。由于测试的需要，可测试型模块上的每个输入都需要附加一个输出电路，而每个输出都需要附加一个输入电路。    a．二进制输入模块的测试。在每个循环中，系统都通过测试附加输出电路的信号来检查各输入通道的输入放大器能否进行独立于所加信号的高低电平之间的切换。当系统发生故障时，出现问题的插卡，对应的相关通道内部给出一个低电平信号。信号线断路以及输入放大器回路出现时断时通的故障时，都给控制逻辑一个低电平信号，通常将导致跳车。    b．二进制输出模块的测试。在每个循环中，系统都通过读回输出信号并将其与用户逻辑输出进行比较的方法来检查输出放大器。此外，还要对输出的切换能力进行测试。一般两次测试的时间间隔不大于10min。此测试独立于实际的逻辑信号，使输出一次从低到高（L→H）和从高向低(H→L)的变化。为了避免执行器产生动作，切换能力测试的执行时间最多不得超过0. 2ms，其典型值仅为0.05ms。若检测出有故障存在，则通过一个二次电路将电源（一般是分组电源）切断。    c．I/O总线的测试。I/O总线通过输入/输出放大器的常设测试来进行动态测试。操作系统经过前面检查过的数据线，通过读回数据的方法来检查地址线。I/O总线可以直接由微处理器进行“全测试”而不需任何专门的硬件。此外，带线路监视的模块可以通过测量电流来检测线路上的断线等故障。
    图5-9    HIMA安全PLC系统结构示意图