1、Honeywell Safety Manager安全控制系统(硬件部分)安全控制系统(硬件部分)Safety Manager安全控制系统概述安全控制系统概述获得获得IEC61508标准认证。可同时处理设备安全级别标准认证。可同时处理设备安全级别SIL1到到SIL3的安全要求。应用程序设计标准的安全要求。应用程序设计标准IEC61131-3为最普通的为最普通的设计语言定义了最基本的设计原理、语法和语义的规则设计语言定义了最基本的设计原理、语法和语义的规则Safety Manager控制器的控制结构可以被组态成控制器的控制结构可以被组态成非冗余非冗余、双双重冗余重冗余(DMR)和和四重冗余(四重冗
2、余(QMR),每种结构都有不同的特,每种结构都有不同的特性和安全设备功能。性和安全设备功能。SIL(Safety Integrity Level)-安全完整性等安全完整性等级级SIL认证一共分为认证一共分为4个等级,个等级,SIL1、SIL2、SIL3、SIL4,包,包括对产品和对系统两个层次。括对产品和对系统两个层次。其中,以其中,以SIL4的要求最高的要求最高,如铁路的,如铁路的ATP系统,石化电力的系统,石化电力的SIS系统等。石化仪表系统等。石化仪表类最近一般选类最近一般选SIL2、SIL3。SIL认证的意义认证的意义随着工业事故及其对社会的影响被人们广泛认知,越来越多的企随着工业事故
3、及其对社会的影响被人们广泛认知,越来越多的企业意识到安全的重要性。业意识到安全的重要性。SIL认证的过程就是帮助企业把最好认证的过程就是帮助企业把最好的工程实践经验和安全技术(的工程实践经验和安全技术(IEC61508和和IEC61511)充分利)充分利用,避免工业事故的再次发生。因为这些经验和技术是建立在用,避免工业事故的再次发生。因为这些经验和技术是建立在大量的实际经验和教训基础之上的。大量的实际经验和教训基础之上的。SIL认证的现实意义在于:认证的现实意义在于:安全改进;安全改进;防止生产人员和生产区外部人民的身体损害;防止生产人员和生产区外部人民的身体损害;避免破坏环境;避免破坏环境;
4、避免生产损失;避免生产损失;避免法律责任。避免法律责任。什么是什么是SIS(安全仪表控制系统安全仪表控制系统)安全仪表系统(安全仪表系统(Safety Instrumented System,简称,简称SIS)根)根据美国仪表协会(据美国仪表协会(ISA)对安全系统控制系统的定义而得名)对安全系统控制系统的定义而得名,也称紧急停车系统(,也称紧急停车系统(ESD)、安全联锁系统()、安全联锁系统(SIS)或仪)或仪表保护系统(表保护系统(IPS)。)。安全仪表系统是指能安全仪表系统是指能实现一个或多个安全功能的系统实现一个或多个安全功能的系统,用于,用于监视生产装置或独立单元监视生产装置或独立
5、单元的操作,如果生产过程超出安全操的操作,如果生产过程超出安全操作范围,可以使其进入安全状态,确保装置或独立单元具有作范围,可以使其进入安全状态,确保装置或独立单元具有一定的安全度。安全系统不同于批量控制、顺序控制及过程一定的安全度。安全系统不同于批量控制、顺序控制及过程控制的工艺联锁,当过程变量(温度、压力、流量、液位等控制的工艺联锁,当过程变量(温度、压力、流量、液位等)超限,机械设备故障,系统本身故障或能源中断时,安全)超限,机械设备故障,系统本身故障或能源中断时,安全仪表系统自动(必要时可手动)地完成预先设定的动作,使仪表系统自动(必要时可手动)地完成预先设定的动作,使操作人员、工艺装
6、置处于安全状态。操作人员、工艺装置处于安全状态。帮助过程工业风险降低到可以接受的水平的安全防护装置。帮助过程工业风险降低到可以接受的水平的安全防护装置。*完整的完整的SIS(安全防护系统)由(安全防护系统)由传感器传感器、逻辑解算逻辑解算单元、最终控制单元单元、最终控制单元组成,当生产过程的预定条件组成,当生产过程的预定条件受到冲击时自动的将其置于安全状态。其类型为:受到冲击时自动的将其置于安全状态。其类型为:紧急停车系统紧急停车系统(ESD)火气系统(火气系统(F&G)设备防护系统(设备防护系统(IPS)安全联锁安全联锁Safety interlocks安全相关系统安全相关系统Safety
7、Related Systems高压防护系统(高压防护系统(HI(P)PS)燃烧管理系统燃烧管理系统(BMS)SIS系统的结构系统的结构 目前目前SIS的主流系统结构主要有的主流系统结构主要有TMR(三重化)、(三重化)、2oo4D(四重(四重化)化)2种。种。(1)TMR结构结构:它将三路隔离、并行的控制系统(每路称为一:它将三路隔离、并行的控制系统(每路称为一个分电路)和广泛的诊断集成在一个系统中,用三取二表决提供个分电路)和广泛的诊断集成在一个系统中,用三取二表决提供高度完善、无差错,不会中断的控制。高度完善、无差错,不会中断的控制。TRICON、ICS均是采用均是采用TMR结构的系统。结
8、构的系统。(2)2oo4D结构:结构:2oo4D系统是有系统是有2套独立并行运行的系统组成,套独立并行运行的系统组成,通讯模块负责其同步运行,当系统自诊断发现一个模块发生故障通讯模块负责其同步运行,当系统自诊断发现一个模块发生故障时,时,CPU将强制其失效,确保其输出的正确性。同时,安全输出将强制其失效,确保其输出的正确性。同时,安全输出模块中模块中SMOD功能(辅助去磁方法),确保在两套系统同时故障功能(辅助去磁方法),确保在两套系统同时故障或电源故障时,系统输出一个故障安全信号。一个输出电路实际或电源故障时,系统输出一个故障安全信号。一个输出电路实际上是通过四个输出电路及自诊断功能实现的。
9、这样确保了系统的上是通过四个输出电路及自诊断功能实现的。这样确保了系统的高可靠性,高安全性及高可用性。高可靠性,高安全性及高可用性。HONEYWELL、HIMA的的SIS均采用了均采用了2004D结构。结构。SIS与与DCS的区别的区别(1)、连续测量、操作控制管理等,保证生产)、连续测量、操作控制管理等,保证生产SIS系统用于监测生产装置的运行系统用于监测生产装置的运行情况,对出现的异常情况立即进行处理,用以避免事故的发生或者减少事故情况,对出现的异常情况立即进行处理,用以避免事故的发生或者减少事故发生后给设备、人员和环境造成危害,从而使危险降低到最低程度的一种专发生后给设备、人员和环境造成
10、危害,从而使危险降低到最低程度的一种专用仪表系统;用仪表系统;DCS用于生产过程的常规控制(连续、顺序、间歇等)装置的用于生产过程的常规控制(连续、顺序、间歇等)装置的平稳运行。平稳运行。(2)SIS系统属于系统属于“静态静态”系统,在正常工况下,始终系统,在正常工况下,始终监测生产装置监测生产装置的运行,系的运行,系统输出不变,不对生产过程产生影响;在非正常工况下,将按预先的设计进统输出不变,不对生产过程产生影响;在非正常工况下,将按预先的设计进行逻辑运算,使生产装置行逻辑运算,使生产装置安全联锁或停车安全联锁或停车。DCS属于属于“动态动态”系统,连续对系统,连续对过程变量进行检测、运算和
11、控制,对生产过程进行动态的控制,确保最终产过程变量进行检测、运算和控制,对生产过程进行动态的控制,确保最终产品的产量和质量;品的产量和质量;(3)SIS比比DCS在可靠性、可用性上要求更严格,在可靠性、可用性上要求更严格,IEC61508、IEC61511、ISA S84.01、SH/T3018强烈推荐强烈推荐SIS与与DCS硬件独立设置。硬件独立设置。SM系统基本结构配置系统基本结构配置SM系统特性系统特性双重冗余(双重冗余(DMR)DMR在非冗余结构中提供在非冗余结构中提供1oo2D表决机制,基于双表决机制,基于双处理器,并且具有高水平的自我测试、诊断和容处理器,并且具有高水平的自我测试、
12、诊断和容错功能。错功能。DMR实行非冗余控制结构,每一个非冗余结构只包实行非冗余控制结构,每一个非冗余结构只包含一个含一个QPP控制单元,控制单元,QPP含有冗余的处理器,含有冗余的处理器,处理器与内存均为处理器与内存均为1oo2D的表决机制。的表决机制。在在IO配置里,每一条通路由控制器和独立的配置里,每一条通路由控制器和独立的Watchdog控制。控制。四重冗余四重冗余QMR为连续运转的过程控制提供安全防护为连续运转的过程控制提供安全防护QMR是基于是基于2oo4D表决机制,每一个表决机制,每一个QPP中含有双处理器技中含有双处理器技术的结构。那就意味着,它的性能由其最终的自我诊断和术的结
13、构。那就意味着,它的性能由其最终的自我诊断和容错水平决定。容错水平决定。QMR实行冗控制器结构。该冗余结构包含两个实行冗控制器结构。该冗余结构包含两个QPP,这就实这就实现了四重冗余,从而可以对于安全双重容错。现了四重冗余,从而可以对于安全双重容错。在冗余在冗余IO配置表里,每一条通路由一个控制器和独立看门狗配置表里,每一条通路由一个控制器和独立看门狗控制点切断开关控制。控制点切断开关控制。此外,每一个控制器可以切断另一个控制器的输出通道。此外,每一个控制器可以切断另一个控制器的输出通道。安全标准安全标准Safety Manager遵循以下国际标准:遵循以下国际标准:BMS:NFPA85、86
14、、VDE0116ESD:IEC61508、IEC61511、ISAS84.01、DINV19250、UL、FM、ATEXF&G:EN54-2NFPA72、劳氏船级社、劳氏船级社、FM-防火防火 设备设备认证认证Safety Manager硬件概述硬件概述Safety Manager硬件组成及其功硬件组成及其功能能Safety Manager系统机柜系统机柜SM系统内控制器及系统内控制器及IO排布排布Safety Manager系统的卡件和系统的卡件和IO卡件安装在旋转机架上。卡件安装在旋转机架上。旋转机架上共有旋转机架上共有10个底座位置。个底座位置。SM控制器和控制器和IO通常自通常自2层开
15、始配置,所以控制器机柜内层开始配置,所以控制器机柜内的旋转机架最多放置的旋转机架最多放置8个个IO底座,如果是单独的底座,如果是单独的IO机柜机柜,就最多可以放置,就最多可以放置9个个IO底座(底座(Remote IO即远程即远程IO除除外),如图外),如图3.1所示。所示。如图如图3.2所示,一套所示,一套SM系统最多由系统最多由4个系统柜组成,个系统柜组成,控制器和本地的控制器和本地的IO卡件之间最大距离是卡件之间最大距离是2个机柜。个机柜。图图3.3是是Safety Manager 使用远程使用远程IO的情形。的情形。RUSIO可以安放在控制侧也可以远程安装,可以安放在控制侧也可以远程安
16、装,Safety Manager 最多支持最多支持28个个RUSIO,最远可达,最远可达100KM。四重冗余处理器包(四重冗余处理器包(QPP)QPP是是Quad Processor pack的缩写,它通常放置在的缩写,它通常放置在每一个每一个CP的左侧。的左侧。注意:拔出或更换注意:拔出或更换QPP卡时,必须将其钥匙开关置卡时,必须将其钥匙开关置于于STOP位置。位置。QPP功能功能QPP是是SM的系统的核心,它的主要功能是的系统的核心,它的主要功能是:持续的持续的周期性读输入信号,执行功能逻辑程序,写输出周期性读输入信号,执行功能逻辑程序,写输出信号到输出卡,连续测试系统硬件,以保证安全信
17、号到输出卡,连续测试系统硬件,以保证安全控制。控制。Watchdog看门狗看门狗 Watchdog功能功能1.监视处理器运行监视处理器运行2.紧急停车输入紧急停车输入(SD Input)3.故障复位故障复位ResetWatchdog结构特点结构特点1.1oo2D结构配置结构配置 a.除对处理器等硬件进行测试外,除对处理器等硬件进行测试外,Watchdog也要对其本身也要对其本身做测试。为实现这个功能,做测试。为实现这个功能,Watchdog结构做了结构做了1oo2D结构配结构配置。置。b.每个每个Watchdog由两个相同的独立部分组成,每个部分都由两个相同的独立部分组成,每个部分都将被测试和
18、具有单独的输出,最终这些输出通过一个将被测试和具有单独的输出,最终这些输出通过一个“或门或门”作为系统的作为系统的Wtchdog输出。输出。*具有单独的冗余具有单独的冗余IO输出和非冗余的输出和非冗余的IO输出输出 a.如果需要处理器可以分别单独停止冗余或者非冗余如果需要处理器可以分别单独停止冗余或者非冗余IO 人机接口(人机接口(User Interface)1.带翻页按钮的显示屏带翻页按钮的显示屏 a.缺省显示系统实时时钟缺省显示系统实时时钟 b.上下翻可以显示系统状态和诊断信息上下翻可以显示系统状态和诊断信息2.钥匙开关和状态指示灯钥匙开关和状态指示灯 a.钥匙开关有三个位置,钥匙开关有
19、三个位置,STOP 停止停止 IDLE 下装程序下装程序 RUN 运行运行 b.LED状态指示灯状态指示灯 绿色绿色:正常:正常 无指示无指示:请检查钥匙开关位请检查钥匙开关位置是否上电置是否上电 红色红色:故障:故障 实时时钟(实时时钟(Real Time Clock)为控制器提供时间和日期为控制器提供时间和日期为为SOE、报警和诊断信息添加时间、报警和诊断信息添加时间可以被其他时钟源同步可以被其他时钟源同步温度监视(温度监视(Temperature Monitor)监视监视CPChassis 的各组件的温度,确保不超过运行范围的各组件的温度,确保不超过运行范围。通讯卡(通讯卡(USI)US
20、I通常放在通常放在QPP的右侧的两个槽里,并且一个控制器最多支持的右侧的两个槽里,并且一个控制器最多支持2块块USI。目前的型号有目前的型号有USI-0001和和USI-0002两种,其中两种,其中USI-0002除具备所有除具备所有USI-0001的功能外,增加了内存;当需要以的功能外,增加了内存;当需要以CDA方式与方式与Experion 集成时集成时,必须使用,必须使用QPP-0002和和USI-0002。USI 通讯口连接通讯口连接USI是是SM系统的通讯卡,它的系统的通讯卡,它的A,B,C,D四个通讯口可以被用作四种四个通讯口可以被用作四种不同的通讯解决方案。通过查看发送和接受不同的
21、通讯解决方案。通过查看发送和接受LED状态指示灯,可以确状态指示灯,可以确认相关端口的数据通讯是否有效。认相关端口的数据通讯是否有效。A和和B接口是用做接口是用做以太网高速通讯以太网高速通讯,C和和D接口用做串行通讯(接口用做串行通讯(RS-232或或RS-485)。A&B:以太网连接以太网连接 10/100M全双工或者自适应全双工或者自适应 最大长度最大长度100m 使用使用RJ45 网线连接网线连接C&D:RS-232或或RS-485RS-232&RS-485串行通讯比较串行通讯比较具体解决方案具体解决方案当需要使用当需要使用RUSIO远程功能时远程功能时需要专用的网络即专用的需要专用的网
22、络即专用的USI(USI-000 x)使用专有的认证过的交换机使用专有的认证过的交换机由交换机支持光纤连接由交换机支持光纤连接最远支持最远支持100KM5VDC供电单元(供电单元(PSU)PSU通常放置在每一个通常放置在每一个CP的右侧。的右侧。PSU的作用就是把的作用就是把24VDC转换成转换成5VDC,其工作受,其工作受Wacthdog的实时监控的实时监控LED状态指示灯状态指示灯熄灭熄灭-失电或者供电电压低失电或者供电电压低红色红色-5VDC输出值过低输出值过低绿色绿色-5VDC输出在合理范围内(输出在合理范围内(4.73-5.73VDC)BKMBKM是是SM系统的必须组件,通常放置在系
23、统的必须组件,通常放置在CP底座的中间部分。底座的中间部分。在在BKM的前面有两个钥匙开关和一个的前面有两个钥匙开关和一个LED状态指示灯。状态指示灯。它们的作用:它们的作用:故障复位开关故障复位开关 1.实时诊断缓存中的清除故障信息实时诊断缓存中的清除故障信息 2.启动控制器启动控制器强制开关强制开关 1.转到转到ON位置,对于允许的输入输出点可以执行强制位置,对于允许的输入输出点可以执行强制2.转到转到OFF位置,清除所有的强制,并且不能做任何强制位置,清除所有的强制,并且不能做任何强制LED 状态指示状态指示 1.绿色绿色 正常正常 2.红色红色 检测到检测到BKM故障或者电池电量低故障
24、或者电池电量低 BKM内置内置两两块电池,为冗余的块电池,为冗余的QPP中的中的RAM内存和时钟同步后备电池,防止内存和时钟同步后备电池,防止断电丢失数据。其中左侧电池为断电丢失数据。其中左侧电池为CP1后备,右侧为后备,右侧为CP2后备。电池为后备。电池为3.6VDC锂锂电池,不可充电。建议最多电池,不可充电。建议最多5年更换。年更换。通常情况电池处于通常情况电池处于ON位置,若检修长期断电情况下,须将电池打到位置,若检修长期断电情况下,须将电池打到OFF。44IO Chassis每个每个Chassis包含包含21个安装槽位,通常从左到右前个安装槽位,通常从左到右前18个可用于安装个可用于安
25、装I/O卡件,第卡件,第19个为空位,最右侧个为空位,最右侧20和和21用于安装用于安装IO ExtenderIO Chassis分为冗余和非冗余两种类型分别用来安分为冗余和非冗余两种类型分别用来安装冗余和非冗余装冗余和非冗余IO不同类型的不同类型的IO可以混放在同一个可以混放在同一个IO Chassis但必须但必须是具有相同的外部供电类型。是具有相同的外部供电类型。每一个每一个IO Chassis最多放置最多放置18块块IO卡件。卡件。漏地检测器漏地检测器ELD(10310/1/1)ELD的功能及其使用方法的功能及其使用方法10310/1/1是漏地检测器(是漏地检测器(ELD)。)。SM系统
26、是系统是浮空设计浮空设计的,即系统的的,即系统的0V参考点与参考点与系统外的大地没有任何联系(通过系统外的大地没有任何联系(通过24VDC电源内的变压器耦合,系统内外已电源内的变压器耦合,系统内外已经没有共地点了)。经没有共地点了)。ELD用于监测系统内部的用于监测系统内部的24VDC电源是否有接地现象电源是否有接地现象。它的面板上有两个开关,在标注它的面板上有两个开关,在标注1Hz、DC和和1/4HZ处的为处的为Switch 1在在RESET和和TSET处的,为处的,为Switch 2。在在ELD的电路中有一个触发器(的电路中有一个触发器(FF),当有接地故障时,),当有接地故障时,FF置位
27、触发,使其输置位触发,使其输出继电器线圈失电,触点动作,送出报警信号,同时面板上的出继电器线圈失电,触点动作,送出报警信号,同时面板上的Fault指示灯点指示灯点亮(红色),只有当故障排除并通过亮(红色),只有当故障排除并通过Switch 2给出给出RESET信号后,指示灯才信号后,指示灯才会熄灭。会熄灭。将将Switch 2打到打到TESET位置时对漏地检测器进行试验,正常应将其置于中间位置位置时对漏地检测器进行试验,正常应将其置于中间位置。通常应将通常应将Switch 1打到打到DC位置;打到位置;打到1HZ或或1/4HZ位置时,绿色的位置时,绿色的MODE指示灯指示灯以所选定的频率闪动。
28、以所选定的频率闪动。正常工作状态下,如果发现面板的正常工作状态下,如果发现面板的Fault的指示灯点亮,要通过的指示灯点亮,要通过Switch 2 Reset一一下,该指示灯仍然点亮的话,说明接地故障仍然存在,这时就要检查系统内下,该指示灯仍然点亮的话,说明接地故障仍然存在,这时就要检查系统内什么地方出现了接地(漏地)情况,并采取相应的措施予以消除。什么地方出现了接地(漏地)情况,并采取相应的措施予以消除。49Safety Builder组态工具及其功能组态工具及其功能Network Configurator 网络配置网络配置 配置配置SM的网络。的网络。Hardware Configurator 硬件配置硬件配置 配置配置SM机柜、机柜、Chassis、卡类型和位置。卡类型和位置。Point Configurator 点组态点组态 建立并配置点的属性。建立并配置点的属性。Application Editor 应用程序(应用程序(FLD)编辑)编辑 设计功能逻辑图设计功能逻辑图(FLD)Application Computiler 应用程序编译应用程序编译 用来校验组态的语法用来校验组态的语法、完整性、一致性。编译组态文件成为可以下装到控制器、完整性、一致性。编译组态文件成为可以下装到控制器的机器文件。的机器文件。71可编辑可编辑感谢下感谢下载载
