霍尼韋爾SM系統(tǒng)第1頁/共71頁SafetyManager安全控制系統(tǒng)概述獲得IEC61508標(biāo)準(zhǔn)認(rèn)證?？赏瑫r(shí)處理設(shè)備安全級別SIL1到SIL3的安全要求。應(yīng)用程序設(shè)計(jì)標(biāo)準(zhǔn)IEC61131-3為最普通的設(shè)計(jì)語言定義了最基本的設(shè)計(jì)原理、語法和語義的規(guī)則SafetyManager控制器的控制結(jié)構(gòu)可以被組態(tài)成非冗余、雙重冗余(DMR)和四重冗余（QMR)，每種結(jié)構(gòu)都有不同的特性和安全設(shè)備功能。第2頁/共71頁SIL（SafetyIntegrityLevel）-安全完整性等級SIL認(rèn)證一共分為4個(gè)等級，SIL1、SIL2、SIL3、SIL4，包括對產(chǎn)品和對系統(tǒng)兩個(gè)層次。其中，以SIL4的要求最高，如鐵路的ATP系統(tǒng)，石化電力的SIS系統(tǒng)等。石化儀表類最近一般選SIL2、SIL3。第3頁/共71頁SIL認(rèn)證的意義隨著工業(yè)事故及其對社會(huì)的影響被人們廣泛認(rèn)知，越來越多的企業(yè)意識(shí)到安全的重要性。SIL認(rèn)證的過程就是幫助企業(yè)把最好的工程實(shí)踐經(jīng)驗(yàn)和安全技術(shù)（IEC61508和IEC61511）充分利用，避免工業(yè)事故的再次發(fā)生。因?yàn)檫@些經(jīng)驗(yàn)和技術(shù)是建立在大量的實(shí)際經(jīng)驗(yàn)和教訓(xùn)基礎(chǔ)之上的。SIL認(rèn)證的現(xiàn)實(shí)意義在于：◆安全改進(jìn)；◆防止生產(chǎn)人員和生產(chǎn)區(qū)外部人民的身體損害；◆避免破壞環(huán)境；◆避免生產(chǎn)損失；◆避免法律責(zé)任。第4頁/共71頁什么是SIS(安全儀表控制系統(tǒng))安全儀表系統(tǒng)（SafetyInstrumentedSystem，簡稱SIS）根據(jù)美國儀表協(xié)會(huì)（ISA）對安全系統(tǒng)控制系統(tǒng)的定義而得名，也稱緊急停車系統(tǒng)（ESD）、安全聯(lián)鎖系統(tǒng)（SIS）或儀表保護(hù)系統(tǒng)（IPS）。安全儀表系統(tǒng)是指能實(shí)現(xiàn)一個(gè)或多個(gè)安全功能的系統(tǒng)，用于監(jiān)視生產(chǎn)裝置或獨(dú)立單元的操作，如果生產(chǎn)過程超出安全操作范圍，可以使其進(jìn)入安全狀態(tài)，確保裝置或獨(dú)立單元具有一定的安全度。安全系統(tǒng)不同于批量控制、順序控制及過程控制的工藝聯(lián)鎖，當(dāng)過程變量（溫度、壓力、流量、液位等）超限，機(jī)械設(shè)備故障，系統(tǒng)本身故障或能源中斷時(shí)，安全儀表系統(tǒng)自動(dòng)（必要時(shí)可手動(dòng)）地完成預(yù)先設(shè)定的動(dòng)作，使操作人員、工藝裝置處于安全狀態(tài)。幫助過程工業(yè)風(fēng)險(xiǎn)降低到可以接受的水平的安全防護(hù)裝置。第5頁/共71頁*完整的SIS（安全防護(hù)系統(tǒng)）由傳感器、邏輯解算單元、最終控制單元組成，當(dāng)生產(chǎn)過程的預(yù)定條件受到?jīng)_擊時(shí)自動(dòng)的將其置于安全狀態(tài)。其類型為：緊急停車系統(tǒng)(ESD)火氣系統(tǒng)（F&G）設(shè)備防護(hù)系統(tǒng)（IPS）安全聯(lián)鎖Safetyinterlocks安全相關(guān)系統(tǒng)SafetyRelatedSystems高壓防護(hù)系統(tǒng)（HI(P)PS）燃燒管理系統(tǒng)(BMS)第6頁/共71頁SIS系統(tǒng)的結(jié)構(gòu)

目前SIS的主流系統(tǒng)結(jié)構(gòu)主要有TMR（三重化）、2oo4D（四重化）2種。

（1）TMR結(jié)構(gòu)：它將三路隔離、并行的控制系統(tǒng)（每路稱為一個(gè)分電路）和廣泛的診斷集成在一個(gè)系統(tǒng)中，用三取二表決提供高度完善、無差錯(cuò)，不會(huì)中斷的控制。TRICON、ICS均是采用TMR結(jié)構(gòu)的系統(tǒng)。（2）2oo4D結(jié)構(gòu)：2oo4D系統(tǒng)是有2套獨(dú)立并行運(yùn)行的系統(tǒng)組成，通訊模塊負(fù)責(zé)其同步運(yùn)行，當(dāng)系統(tǒng)自診斷發(fā)現(xiàn)一個(gè)模塊發(fā)生故障時(shí)，CPU將強(qiáng)制其失效，確保其輸出的正確性。同時(shí)，安全輸出模塊中SMOD功能（輔助去磁方法），確保在兩套系統(tǒng)同時(shí)故障或電源故障時(shí)，系統(tǒng)輸出一個(gè)故障安全信號。一個(gè)輸出電路實(shí)際上是通過四個(gè)輸出電路及自診斷功能實(shí)現(xiàn)的。這樣確保了系統(tǒng)的高可靠性，高安全性及高可用性。HONEYWELL、HIMA的SIS均采用了2004D結(jié)構(gòu)。

第7頁/共71頁SIS與DCS的區(qū)別（1）、連續(xù)測量、操作控制管理等，保證生產(chǎn)SIS系統(tǒng)用于監(jiān)測生產(chǎn)裝置的運(yùn)行情況，對出現(xiàn)的異常情況立即進(jìn)行處理，用以避免事故的發(fā)生或者減少事故發(fā)生后給設(shè)備、人員和環(huán)境造成危害，從而使危險(xiǎn)降低到最低程度的一種專用儀表系統(tǒng)；DCS用于生產(chǎn)過程的常規(guī)控制（連續(xù)、順序、間歇等）裝置的平穩(wěn)運(yùn)行。

（2）SIS系統(tǒng)屬于“靜態(tài)”系統(tǒng)，在正常工況下，始終監(jiān)測生產(chǎn)裝置的運(yùn)行，系統(tǒng)輸出不變，不對生產(chǎn)過程產(chǎn)生影響；在非正常工況下，將按預(yù)先的設(shè)計(jì)進(jìn)行邏輯運(yùn)算，使生產(chǎn)裝置安全聯(lián)鎖或停車。DCS屬于“動(dòng)態(tài)”系統(tǒng)，連續(xù)對過程變量進(jìn)行檢測、運(yùn)算和控制，對生產(chǎn)過程進(jìn)行動(dòng)態(tài)的控制，確保最終產(chǎn)品的產(chǎn)量和質(zhì)量；（3）SIS比DCS在可靠性、可用性上要求更嚴(yán)格，IEC61508、IEC61511、ISAS84.01、SH/T3018強(qiáng)烈推薦SIS與DCS硬件獨(dú)立設(shè)置。

第8頁/共71頁第9頁/共71頁第10頁/共71頁第11頁/共71頁第12頁/共71頁SM系統(tǒng)基本結(jié)構(gòu)配置SM系統(tǒng)特性第13頁/共71頁雙重冗余（DMR）DMR在非冗余結(jié)構(gòu)中提供1oo2D表決機(jī)制，基于雙處理器，并且具有高水平的自我測試、診斷和容錯(cuò)功能。DMR實(shí)行非冗余控制結(jié)構(gòu)，每一個(gè)非冗余結(jié)構(gòu)只包含一個(gè)QPP控制單元，QPP含有冗余的處理器，處理器與內(nèi)存均為1oo2D的表決機(jī)制。在IO配置里，每一條通路由控制器和獨(dú)立的Watchdog控制。第14頁/共71頁四重冗余QMR為連續(xù)運(yùn)轉(zhuǎn)的過程控制提供安全防護(hù)QMR是基于2oo4D表決機(jī)制，每一個(gè)QPP中含有雙處理器技術(shù)的結(jié)構(gòu)。那就意味著，它的性能由其最終的自我診斷和容錯(cuò)水平?jīng)Q定。QMR實(shí)行冗控制器結(jié)構(gòu)。該冗余結(jié)構(gòu)包含兩個(gè)QPP,這就實(shí)現(xiàn)了四重冗余，從而可以對于安全雙重容錯(cuò)。在冗余IO配置表里，每一條通路由一個(gè)控制器和獨(dú)立看門狗控制點(diǎn)切斷開關(guān)控制。此外，每一個(gè)控制器可以切斷另一個(gè)控制器的輸出通道。第15頁/共71頁安全標(biāo)準(zhǔn)SafetyManager遵循以下國際標(biāo)準(zhǔn)：BMS:NFPA85、86、VDE0116ESD:IEC61508、IEC61511、ISAS84.01、DINV19250、UL、FM、ATEXF&G:EN54-2NFPA72、勞氏船級社、FM-防火設(shè)備認(rèn)證第16頁/共71頁第17頁/共71頁第18頁/共71頁第19頁/共71頁SafetyManager硬件概述第20頁/共71頁SafetyManager硬件組成及其功能SafetyManager系統(tǒng)機(jī)柜第21頁/共71頁第22頁/共71頁第23頁/共71頁第24頁/共71頁SM系統(tǒng)內(nèi)控制器及IO排布SafetyManager系統(tǒng)的卡件和IO卡件安裝在旋轉(zhuǎn)機(jī)架上。旋轉(zhuǎn)機(jī)架上共有10個(gè)底座位置。SM控制器和IO通常自2層開始配置，所以控制器機(jī)柜內(nèi)的旋轉(zhuǎn)機(jī)架最多放置8個(gè)IO底座，如果是單獨(dú)的IO機(jī)柜，就最多可以放置9個(gè)IO底座（RemoteIO即遠(yuǎn)程IO除外），如圖3.1所示。第25頁/共71頁第26頁/共71頁如圖3.2所示，一套SM系統(tǒng)最多由4個(gè)系統(tǒng)柜組成，控制器和本地的IO卡件之間最大距離是2個(gè)機(jī)柜。第27頁/共71頁第28頁/共71頁圖3.3是SafetyManager使用遠(yuǎn)程IO的情形。RUSIO可以安放在控制側(cè)也可以遠(yuǎn)程安裝，SafetyManager最多支持28個(gè)RUSIO，最遠(yuǎn)可達(dá)100KM。第29頁/共71頁第30頁/共71頁四重冗余處理器包（QPP）QPP是QuadProcessorpack的縮寫，它通常放置在每一個(gè)CP的左側(cè)。注意：拔出或更換QPP卡時(shí)，必須將其鑰匙開關(guān)置于STOP位置。第31頁/共71頁QPP功能QPP是SM的系統(tǒng)的核心，它的主要功能是:持續(xù)的周期性讀輸入信號，執(zhí)行功能邏輯程序，寫輸出信號到輸出卡，連續(xù)測試系統(tǒng)硬件，以保證安全控制。第32頁/共71頁Watchdog看門狗

Watchdog功能1.監(jiān)視處理器運(yùn)行2.緊急停車輸入(SDInput）3.故障復(fù)位Reset第33頁/共71頁Watchdog結(jié)構(gòu)特點(diǎn)1.1oo2D結(jié)構(gòu)配置a.除對處理器等硬件進(jìn)行測試外，Watchdog也要對其本身做測試。為實(shí)現(xiàn)這個(gè)功能，Watchdog結(jié)構(gòu)做了1oo2D結(jié)構(gòu)配置。b.每個(gè)Watchdog由兩個(gè)相同的獨(dú)立部分組成，每個(gè)部分都將被測試和具有單獨(dú)的輸出，最終這些輸出通過一個(gè)“或門”

作為系統(tǒng)的Wtchdog輸出。*具有單獨(dú)的冗余IO輸出和非冗余的IO輸出a.如果需要處理器可以分別單獨(dú)停止冗余或者非冗余IO第34頁/共71頁人機(jī)接口（UserInterface）1.帶翻頁按鈕的顯示屏a.缺省顯示系統(tǒng)實(shí)時(shí)時(shí)鐘b.上下翻可以顯示系統(tǒng)狀態(tài)和診斷信息2.鑰匙開關(guān)和狀態(tài)指示燈a.鑰匙開關(guān)有三個(gè)位置，STOP停止IDLE下裝程序RUN運(yùn)行b.LED狀態(tài)指示燈綠色：正常無指示:請檢查鑰匙開關(guān)位置是否上電紅色：故障

第35頁/共71頁實(shí)時(shí)時(shí)鐘（RealTimeClock）為控制器提供時(shí)間和日期為SOE、報(bào)警和診斷信息添加時(shí)間可以被其他時(shí)鐘源同步第36頁/共71頁溫度監(jiān)視（TemperatureMonitor）監(jiān)視CPChassis的各組件的溫度，確保不超過運(yùn)行范圍。

第37頁/共71頁通訊卡（USI）USI通常放在QPP的右側(cè)的兩個(gè)槽里，并且一個(gè)控制器最多支持2塊USI。目前的型號有USI-0001和USI-0002兩種，其中USI-0002除具備所有USI-0001的功能外，增加了內(nèi)存；當(dāng)需要以CDA方式與Experion集成時(shí)，必須使用QPP-0002和USI-0002。USI通訊口連接USI是SM系統(tǒng)的通訊卡，它的A，B，C，D四個(gè)通訊口可以被用作四種不同的通訊解決方案。通過查看發(fā)送和接受LED狀態(tài)指示燈，可以確認(rèn)相關(guān)端口的數(shù)據(jù)通訊是否有效。A和B接口是用做以太網(wǎng)高速通訊，C和D接口用做串行通訊（RS-232或RS-485）。A&B:以太網(wǎng)連接10/100M全雙工或者自適應(yīng)最大長度100m使用RJ45網(wǎng)線連接C&D：RS-232或RS-485第38頁/共71頁RS-232&RS-485串行通訊比較第39頁/共71頁具體解決方案第40頁/共71頁當(dāng)需要使用RUSIO遠(yuǎn)程功能時(shí)需要專用的網(wǎng)絡(luò)即專用的USI(USI-000x)使用專有的認(rèn)證過的交換機(jī)由交換機(jī)支持光纖連接最遠(yuǎn)支持100KM第41頁/共71頁5VDC供電單元（PSU）PSU通常放置在每一個(gè)CP的右側(cè)。PSU的作用就是把24VDC轉(zhuǎn)換成5VDC，其工作受Wacthdog的實(shí)時(shí)監(jiān)控LED狀態(tài)指示燈熄滅-失電或者供電電壓低紅色-5VDC輸出值過低綠色-5VDC輸出在合理范圍內(nèi)（4.73-5.73VDC）第42頁/共71頁BKMBKM是SM系統(tǒng)的必須組件，通常放置在CP底座的中間部分。在BKM的前面有兩個(gè)鑰匙開關(guān)和一個(gè)LED狀態(tài)指示燈。它們的作用：故障復(fù)位開關(guān)1.實(shí)時(shí)診斷緩存中的清除故障信息2.啟動(dòng)控制器強(qiáng)制開關(guān)

1.轉(zhuǎn)到ON位置，對于允許的輸入輸出點(diǎn)可以執(zhí)行強(qiáng)制2.轉(zhuǎn)到OFF位置，清除所有的強(qiáng)制，并且不能做任何強(qiáng)制LED狀態(tài)指示1.綠色正常2.紅色檢測到BKM故障或者電池電量低BKM內(nèi)置兩塊電池，為冗余的QPP中的RAM內(nèi)存和時(shí)鐘同步后備電池，防止斷電丟失數(shù)據(jù)。其中左側(cè)電池為CP1后備，右側(cè)為CP2后備。電池為3.6VDC鋰電池，不可充電。建議最多5年更換。通常情況電池處于ON位置，若檢修長期斷電情況下，須將電池打到OFF。

第43頁/共71頁44IOChassis每個(gè)Chassis包含21個(gè)安裝槽位，通常從左到右前18個(gè)可用于安裝I/O卡件，第19個(gè)為空位，最右側(cè)20和21用于安裝IOExtenderIOChassis分為冗余和非冗余兩種類型分別用來安裝冗余和非冗余IO不同類型的IO可以混放在同一個(gè)IOChassis但必須是具有相同的外部供電類型。每一個(gè)IOChassis最多放置18塊IO卡件。第44頁/共71頁漏地檢測器ELD(10310/1/1)第45頁/共71頁ELD的功能及其使用方法10310/1/1是漏地檢測器（ELD）。SM系統(tǒng)是浮空設(shè)計(jì)的，即系統(tǒng)的0V參考點(diǎn)與系統(tǒng)外的大地沒有任何聯(lián)系（通過24VDC電源內(nèi)的變壓器耦合，系統(tǒng)內(nèi)外已經(jīng)沒有共地點(diǎn)了）。ELD用于監(jiān)測系統(tǒng)內(nèi)部的24VDC電源是否有接地現(xiàn)象。它的面板上有兩個(gè)開關(guān)，在標(biāo)注1Hz、DC和1/4HZ處的為Switch1在RESET和TSET處的，為Switch2。在ELD的電路中有一個(gè)觸發(fā)器（FF），當(dāng)有接地故障時(shí)，F(xiàn)F置位觸發(fā)，使其輸出繼電器線圈失電，觸點(diǎn)動(dòng)作，送出報(bào)警信號，同時(shí)面板上的Fault指示燈點(diǎn)亮（紅色），只有當(dāng)故障排除并通過Switch2給出RESET信號后，指示燈才會(huì)熄滅。將Switch2打到TESET位置時(shí)對漏地檢測器進(jìn)行試驗(yàn)，正常應(yīng)將其置于中間位置。通常應(yīng)將Switch1打到DC位置；打到1HZ或1/4HZ位置時(shí)，綠色的MODE指示燈以所選定的頻率閃動(dòng)。正常工作狀態(tài)下，如果發(fā)現(xiàn)面板的Fault的指示燈點(diǎn)亮，要通過Switch2Reset一下，該指示燈仍然點(diǎn)亮的話，說明接地故障仍然存在，這時(shí)就要檢查系統(tǒng)內(nèi)什么地方出現(xiàn)了接地（漏地）情況，并采取相應(yīng)的措施予以消除。