霍尼韦尔SM系统课件

Honeywell Safety Manager安全控制系统（硬件部分）1 1Honeywell Safety Manager安全控制Safety Manager安全控制系统概述获得IEC61508标准认证。可同时处理设备安全级别SIL1到SIL3的安全要求。应用程序设计标准IEC61131-3为最普通的设计语言定义了最基本的设计原理、语法和语义的规则Safety Manager控制器的控制结构可以被组态成非冗余、双重冗余(DMR)和四重冗余（QMR)，每种结构都有不同的特性和安全设备功能。2 2Safety Manager安全控制系统概述2SIL（Safety Integrity Level）-安全完整性等级SIL认证一共分为4个等级，SIL1、SIL2、SIL3、SIL4，包括对产品和对系统两个层次。其中，以SIL4的要求最高，如铁路的ATP系统，石化电力的SIS系统等。石化仪表类最近一般选SIL2、SIL3。3 3SIL（Safety Integrity Level）-安全SIL认证的意义随着工业事故及其对社会的影响被人们广泛认知，越来越多的企业意识到安全的重要性。SIL认证的过程就是帮助企业把最好的工程实践经验和安全技术（IEC61508和IEC61511）充分利用，避免工业事故的再次发生。因为这些经验和技术是建立在大量的实际经验和教训基础之上的。SIL认证的现实意义在于：安全改进；防止生产人员和生产区外部人民的身体损害；避免破坏环境；避免生产损失；避免法律责任。4 4SIL认证的意义随着工业事故及其对社会的影响被人们广泛认知，什么是SIS(安全仪表控制系统)安全仪表系统（Safety Instrumented System，简称SIS）根据美国仪表协会（ISA）对安全系统控制系统的定义而得名，也称紧急停车系统（ESD）、安全联锁系统（SIS）或仪表保护系统（IPS）。安全仪表系统是指能实现一个或多个安全功能的系统，用于监视生产装置或独立单元的操作，如果生产过程超出安全操作范围，可以使其进入安全状态，确保装置或独立单元具有一定的安全度。安全系统不同于批量控制、顺序控制及过程控制的工艺联锁，当过程变量（温度、压力、流量、液位等）超限，机械设备故障，系统本身故障或能源中断时，安全仪表系统自动（必要时可手动）地完成预先设定的动作，使操作人员、工艺装置处于安全状态。帮助过程工业风险降低到可以接受的水平的安全防护装置。5 5什么是SIS(安全仪表控制系统)安全仪表系统（Safety*完整的SIS（安全防护系统）由传感器、逻辑解算单元、最终控制单元组成，当生产过程的预定条件受到冲击时自动的将其置于安全状态。其类型为：紧急停车系统(ESD)火气系统（F&G）设备防护系统（IPS）安全联锁Safety interlocks安全相关系统Safety Related Systems高压防护系统（HI(P)PS）燃烧管理系统(BMS)6 6*完整的SIS（安全防护系统）由传感器、逻辑解算单元、最终控SIS系统的结构目前SIS的主流系统结构主要有TMR（三重化）、2oo4D（四重化）2种。（1）TMR结构：它将三路隔离、并行的控制系统（每路称为一个分电路）和广泛的诊断集成在一个系统中，用三取二表决提供高度完善、无差错，不会中断的控制。TRICON、ICS均是采用TMR结构的系统。（2）2oo4D结构：2oo4D系统是有2套独立并行运行的系统组成，通讯模块负责其同步运行，当系统自诊断发现一个模块发生故障时，CPU将强制其失效，确保其输出的正确性。同时，安全输出模块中SMOD功能（辅助去磁方法），确保在两套系统同时故障或电源故障时，系统输出一个故障安全信号。一个输出电路实际上是通过四个输出电路及自诊断功能实现的。这样确保了系统的高可靠性，高安全性及高可用性。HONEYWELL、HIMA的SIS均采用了2004D结构。7 7SIS系统的结构 目前SIS的主流系统结构主要有TMR（三SIS与DCS的区别（1）、连续测量、操作控制管理等，保证生产SIS系统用于监测生产装置的运行情况，对出现的异常情况立即进行处理，用以避免事故的发生或者减少事故发生后给设备、人员和环境造成危害，从而使危险降低到最低程度的一种专用仪表系统；DCS用于生产过程的常规控制（连续、顺序、间歇等）装置的平稳运行。（2）SIS系统属于“静态”系统，在正常工况下，始终监测生产装置的运行，系统输出不变，不对生产过程产生影响；在非正常工况下，将按预先的设计进行逻辑运算，使生产装置安全联锁或停车。DCS属于“动态”系统，连续对过程变量进行检测、运算和控制，对生产过程进行动态的控制，确保最终产品的产量和质量；（3）SIS比DCS在可靠性、可用性上要求更严格，IEC61508、IEC61511、ISA S84.01、SH/T3018强烈推荐SIS与DCS硬件独立设置。8 8SIS与DCS的区别（1）、连续测量、操作控制管理等，保证生9 99101010111111121212SM系统基本结构配置SM系统特性1313SM系统基本结构配置SM系统特性13双重冗余（DMR）DMR在非冗余结构中提供1oo2D表决机制，基于双处理器，并且具有高水平的自我测试、诊断和容错功能。DMR实行非冗余控制结构，每一个非冗余结构只包含一个QPP控制单元，QPP含有冗余的处理器，处理器与内存均为1oo2D的表决机制。在IO配置里，每一条通路由控制器和独立的Watchdog控制。1414双重冗余（DMR）DMR在非冗余结构中提供1oo2D表决机制四重冗余QMR为连续运转的过程控制提供安全防护QMR是基于2oo4D表决机制，每一个QPP中含有双处理器技术的结构。那就意味着，它的性能由其最终的自我诊断和容错水平决定。QMR实行冗控制器结构。该冗余结构包含两个QPP,这就实现了四重冗余，从而可以对于安全双重容错。在冗余IO配置表里，每一条通路由一个控制器和独立看门狗控制点切断开关控制。此外，每一个控制器可以切断另一个控制器的输出通道。1515四重冗余QMR为连续运转的过程控制提供安全防护15安全标准Safety Manager遵循以下国际标准：BMS:NFPA85、86、VDE0116ESD:IEC61508、IEC61511、ISAS84.01、DINV19250、UL、FM、ATEXF&G:EN54-2NFPA72、劳氏船级社、FM-防火设备认证1616安全标准Safety Manager遵循以下国际标准：16171717181818191919Safety Manager硬件概述2020Safety Manager硬件概述20Safety Manager硬件组成及其功能Safety Manager系统机柜2121Safety Manager硬件组成及其功能Safety M222222232323242424SM系统内控制器及IO排布Safety Manager系统的卡件和IO卡件安装在旋转机架上。旋转机架上共有10个底座位置。SM控制器和IO通常自2层开始配置，所以控制器机柜内的旋转机架最多放置8个IO底座，如果是单独的IO机柜，就最多可以放置9个IO底座（Remote IO即远程IO除外），如图3.1所示。2525SM系统内控制器及IO排布Safety Manager系统的262626如图3.2所示，一套SM系统最多由4个系统柜组成，控制器和本地的IO卡件之间最大距离是2个机柜。2727如图3.2所示，一套SM系统最多由4个系统柜组成，控制器和本282828 图3.3是Safety Manager 使用远程IO的情形。RUSIO可以安放在控制侧也可以远程安装，Safety Manager 最多支持28个RUSIO，最远可达100KM。2929 图3.3是Safety Manager 使用远程303030四重冗余处理器包（QPP）QPP是Quad Processor pack的缩写，它通常放置在每一个CP的左侧。注意：拔出或更换QPP卡时，必须将其钥匙开关置于STOP位置。3131四重冗余处理器包（QPP）QPP是Quad ProcessoQPP功能QPP是SM的系统的核心，它的主要功能是:持续的周期性读输入信号，执行功能逻辑程序，写输出信号到输出卡，连续测试系统硬件，以保证安全控制。3232QPP功能QPP是SM的系统的核心，它的主要功能是:持续的周Watchdog看门狗 Watchdog功能1.监视处理器运行2.紧急停车输入(SD Input）3.故障复位Reset3333Watchdog看门狗 Watchdog功能33Watchdog结构特点1.1oo2D结构配置 a.除对处理器等硬件进行测试外，Watchdog也要对其本身做测试。为实现这个功能，Watchdog结构做了1oo2D结构配置。b.每个Watchdog由两个相同的独立部分组成，每个部分都将被测试和具有单独的输出，最终这些输出通过一个“或门”作为系统的Wtchdog输出。*具有单独的冗余IO输出和非冗余的IO输出 a.如果需要处理器可以分别单独停止冗余或者非冗余IO 3434Watchdog结构特点1.1oo2D结构配置34人机接口（User Interface）1.带翻页按钮的显示屏 a.缺省显示系统实时时钟 b.上下翻可以显示系统状态和诊断信息2.钥匙开关和状态指示灯 a.钥匙开关有三个位置，STOP 停止IDLE 下装程序RUN 运行 b.LED状态指示灯绿色：正常无指示:请检查钥匙开关位置是否上电红色：故障 3535人机接口（User Interface）1.带翻页按钮的显示实时时钟（Real Time Clock）为控制器提供时间和日期为SOE、报警和诊断信息添加时间可以被其他时钟源同步3636实时时钟（Real Time Clock）为控制器提供时间和温度监视（Temperature Monitor）监视CPChassis 的各组件的温度，确保不超过运行范围。3737温度监视（Temperature Monitor）37通讯卡（USI）USI通常放在QPP的右侧的两个槽里，并且一个控制器最多支持2块USI。目前的型号有USI-0001和USI-0002两种，其中USI-0002除具备所有USI-0001的功能外，增加了内存；当需要以CDA方式与Experion 集成时，必须使用QPP-0002和USI-0002。USI 通讯口连接USI是SM系统的通讯卡，它的A，B，C，D四个通讯口可以被用作四种不同的通讯解决方案。通过查看发送和接受LED状态指示灯，可以确认相关端口的数据通讯是否有效。A和B接口是用做以太网高速通讯，C和D接口用做串行通讯（RS-232或RS-485）。A&B:以太网连接10/100M全双工或者自适应最大长度100m 使用RJ45 网线连接C&D：RS-232或RS-4853838通讯卡（USI）USI通常放在QPP的右侧的两个槽里，并且一RS-232&RS-485串行通讯比较3939RS-232&RS-485串行通讯比较39具体解决方案4040具体解决方案40当需要使用RUSIO远程功能时需要专用的网络即专用的USI(USI-000 x)使用专有的认证过的交换机由交换机支持光纤连接最远支持100KM4141当需要使用RUSIO远程功能时需要专用的网络即专用的USI(5VDC供电单元（PSU）PSU通常放置在每一个CP的右侧。PSU的作用就是把24VDC转换成5VDC，其工作受Wacthdog的实时监控LED状态指示灯熄灭-失电或者供电电压低红色-5VDC输出值过低绿色-5VDC输出在合理范围内（4.73-5.73VDC）42425VDC供电单元（PSU）PSU通常放置在每一个CP的右侧。BKMBKM是SM系统的必须组件，通常放置在CP底座的中间部分。在BKM的前面有两个钥匙开关和一个LED状态指示灯。它们的作用：故障复位开关 1.实时诊断缓存中的清除故障信息 2.启动控制器强制开关1.转到ON位置，对于允许的输入输出点可以执行强制2.转到OFF位置，清除所有的强制，并且不能做任何强制LED 状态指示 1.绿色正常 2.红色检测到BKM故障或者电池电量低 BKM内置两块电池，为冗余的QPP中的RAM内存和时钟同步后备电池，防止断电丢失数据。其中左侧电池为CP1后备，右侧为CP2后备。电池为3.6VDC锂电池，不可充电。建议最多5年更换。通常情况电池处于ON位置，若检修长期断电情况下，须将电池打到OFF。4343BKMBKM是SM系统的必须组件，通常放置在CP43IO Chassis每个Chassis包含21个安装槽位，通常从左到右前18个可用于安装I/O卡件，第19个为空位，最右侧20和21用于安装IO ExtenderIO Chassis分为冗余和非冗余两种类型分别用来安装冗余和非冗余IO不同类型的IO可以混放在同一个IO Chassis但必须是具有相同的外部供电类型。每一个IO Chassis最多放置18块IO卡件。4444IO Chassis每个Chassis包含21个安装槽位，通漏地检测器ELD(10310/1/1)4545漏地检测器ELD(10310/1/1)45ELD的功能及其使用方法10310/1/1是漏地检测器（ELD）。SM系统是浮空设计的，即系统的0V参考点与系统外的大地没有任何联系（通过24VDC电源内的变压器耦合，系统内外已经没有共地点了）。ELD用于监测系统内部的24VDC电源是否有接地现象。它的面板上有两个开关，在标注1Hz、DC和1/4HZ处的为Switch 1在RESET和TSET处的，为Switch 2。在ELD的电路中有一个触发器（FF），当有接地故障时，FF置位触发，使其输出继电器线圈失电，触点动作，送出报警信号，同时面板上的Fault指示灯点亮（红色），只有当故障排除并通过Switch 2给出RESET信号后，指示灯才会熄灭。将Switch 2打到TESET位置时对漏地检测器进行试验，正常应将其置于中间位置。通常应将Switch 1打到DC位置；打到1HZ或1/4HZ位置时，绿色的MODE指示灯以所选定的频率闪动。正常工作状态下，如果发现面板的Fault的指示灯点亮，要通过Switch 2 Reset一下，该指示灯仍然点亮的话，说明接地故障仍然存在，这时就要检查系统内什么地方出现了接地（漏地）情况，并采取相应的措施予以消除。4646ELD的功能及其使用方法10310/1/1是漏地检测器（EL474747484848494949505050515151525252535353545454555555Safety Builder组态工具及其功能Network Configurator 网络配置配置SM的网络。Hardware Configurator 硬件配置配置SM机柜、Chassis、卡类型和位置。Point Configurator 点组态建立并配置点的属性。Application Editor 应用程序（FLD）编辑设计功能逻辑图（FLD）Application Computiler 应用程序编译用来校验组态的语法、完整性、一致性。编译组态文件成为可以下装到控制器的机器文件。5656Safety Builder组态工具及其功能Network 575757585858595959606060616161626262636363646464656565666666676767686868696969707070