欧美一区二区三区男同,欧美高清理论片在线观看,日本在线视频一区二区三区,国产一区二区在线视频播放,国产日韩视频在线观看,精品综合久久久久久97超人,96免费精品视频在线,国产亚洲精品美女2020久久,亚洲国产高清精品线久久

第一章安全控制系統(tǒng)概述

1、安全控制系統(tǒng)的地位和作用

我們從權(quán)威的IEC61508 和IEC61511 標準入手來討論安全控制系統(tǒng)的概念。IEC61508 基本上是面向安全控制系統(tǒng)的制造和供應(yīng)商的，如Honeywell 的FSC 就獲得了該標準的認證；IEC61511 則是面向流程工業(yè)安全控制系統(tǒng)的設(shè)計者、集成者以及用戶的，為IEC61508 在石化等過程工業(yè)的應(yīng)用提供了一個操作性更強、更易于理解的版本。先來看IEC61511。下圖是該標準對過程工業(yè)控制和安全管理的一個分層描述。它的內(nèi)核是工藝流程或生產(chǎn)裝置，首先要建立基本過程控制系統(tǒng)（Basic Process ControlSystems）對過程對象進行控制，比如DCS 或以前的由常規(guī)儀表組成的控制系統(tǒng)。它的外面是安全防護層（Prevention），這其中就包括了安全儀表控制系統(tǒng)（Safety InstrumentedControl Systems），即我們常說的ESD 安全系統(tǒng)。安全儀表系統(tǒng)定義為“它是由傳感器、邏輯解算單元和最終控制元件組成的控制系統(tǒng)，設(shè)計用于當生產(chǎn)過程的預(yù)定條件受到?jīng)_擊時，自動地將其置于安全狀態(tài)”。這些預(yù)定條件包括壓力高限、溫度高限等工藝參數(shù)。安全儀表檢測出潛在的危險工藝狀態(tài)，通過組態(tài)的聯(lián)鎖邏輯控制現(xiàn)場電磁閥等的切斷或?qū)?，保護工業(yè)設(shè)備和人員的安全；下一層是減災(zāi)（Mitigation），它也包括了安全儀表控制系統(tǒng)，即火災(zāi)和可燃氣體安全控制系統(tǒng)。再外層就是消防等緊急響應(yīng)系統(tǒng)等。

將安全功能和常規(guī)控制功能用不同的控制器來完成有很多方面的考慮，主要有三點：故障獨立：如果控制系統(tǒng)故障，這時恰恰需要安全系統(tǒng)對生產(chǎn)裝置的安全做出保障。如果把它們的功能用同一套控制系統(tǒng)實現(xiàn)，就可能同時喪失控制功能。安全可靠（Security）：常規(guī)控制系統(tǒng)相對來說會經(jīng)常地改變控制因素，比如改變控制參數(shù)，改變控制模式，以及改變控制方案等等。從安全可靠性來說，其要求并不是十分嚴格。而對安全系統(tǒng)則不然，改變設(shè)定值，改變控制邏輯可能有嚴格限制，必須遵循特定的審批制度，得到授權(quán)才能進行。

對控制器的安全要求：用于安全系統(tǒng)的控制器有特殊的性能指標要求，比如其診斷能力要在95%以上，獲得認證的故障安全（Fail-safe）響應(yīng)能力，特定的軟件錯誤檢測、數(shù)據(jù)存儲保護和故障容錯要求等等。這種特殊的安全性和可靠性的性能指標是一般控制系統(tǒng)不具備的或者說不需要的。

2、安全控制系統(tǒng)的特點

安全控制器和常規(guī)的PLC 有相似之處，它們都能完成邏輯和數(shù)學(xué)計算，都有輸入輸出卡件，對輸入信號掃描并按照特定的控制邏輯驅(qū)動現(xiàn)場最終控制元件，也都有數(shù)字通訊端口。但是常規(guī)的PLC 從設(shè)計上并不具備故障容錯和故障安全的性能，這是它們的最基本區(qū)別。簡要歸納安全控制系統(tǒng)的幾個特點：

它要達到兩個重要目標：

要有極高的安全性（Safety）和有效性（Availability），即使出現(xiàn)故障，也要用冗余等措施使系統(tǒng)工作正常。

故障只能是以可預(yù)見的、安全方式出現(xiàn)。

著重內(nèi)部診斷，將硬件和軟件相結(jié)合，檢測出系統(tǒng)本身的異常操作，檢測出99%以上內(nèi)部元器件的潛在危險故障；要采用一系列特殊的技術(shù)保證軟件的可靠性；冗余配置，即使部件出現(xiàn)故障時也要保持正常操作；對通過數(shù)字通訊端口的任何讀寫要有非常高的安全可靠保證。

在系統(tǒng)設(shè)計時采用故障模式、影響和診斷分析（Failure Modes, Effects andDiagnostic Analysis，F(xiàn)MEDA），研究、測試系統(tǒng)中的每個部件會出現(xiàn)怎樣的故障，以及系統(tǒng)怎樣檢測出這些故障。

要通過第三方的權(quán)威認證，比如TüV 認證，以便滿足國際標準對安全和可靠性的嚴格要求。

3、標準PLC 故障分析及FSC系統(tǒng)輸出電路的特點

下面我們通過故障模式、影響和診斷分析（FMEDA），看一看常規(guī)PLC 的典型輸出電路的故障，以及FSC 是如何避免這些故障的。下是PLC 的輸出電路和可能的故障。

輸出短路故障

當晶體管的集電極和發(fā)射極短路時，相當于+24VDC 電源直接接到負載上，也就是說負載仍處于帶電狀態(tài)。對于這種不會導(dǎo)致正常為帶電狀態(tài)的輸出失電的故障，稱為“被動”故障（Passive fault）。由于無法使輸出失電從而進入安全狀態(tài)，因此它是“危險的”（Dangerous）?！氨粍印惫收嫌绊懓踩挥绊懹行?，歸類為導(dǎo)致危險故障（FailTo Danger，F(xiàn)TD）。

輸出斷路故障

當晶體管的發(fā)射極輸出斷路時，負載失電。對于這種導(dǎo)致正常為帶電狀態(tài)的輸出失電的故障，稱為“主動”故障（Active fault）。由于它使輸出失電從而進入安全狀態(tài)，因此它是“安全的”。“主動”故障不影響安全但影響有效性，歸類為導(dǎo)致?lián)p失故障（FailTo Nuisance，F(xiàn)TN）。

安全監(jiān)控系統(tǒng)的設(shè)計和制造要瞄準這樣的目標：

①零“被動”故障（FTD）；

②避免太多的“主動”故障（FTN）影響有效性。

基本的安全準則是：“在操作運行的任何時間周期內(nèi)，單一故障的存在不能影響安全”?；谶@樣的標準，F(xiàn)SC 的DO 輸出電路如下圖所示。它將兩個電路串聯(lián)在一起，同時這兩個電路的狀態(tài)（STATUS）被實時監(jiān)測，一旦其中的一個電路出現(xiàn)了前述的短路故障，另一個電路仍然能夠切斷輸出，也就使FTD 故障降為零。當我們將輸出電路冗余配置時，如下圖所示，就更大地提高了系統(tǒng)的有效性。

第二章FSC系統(tǒng)硬件介紹

FSC 系統(tǒng)硬件由Central Part 卡件和I/O 卡件兩部分組成。Central Part 簡稱為CP，包括CPU、COM（通訊卡）、WD（系統(tǒng)狀態(tài)監(jiān)視卡，或稱看門狗卡）、DBM（診斷和電池卡），以及VBD（豎向總線驅(qū)動卡）。I/O 卡件包括DI 卡、DO 卡、AI 卡，以及AO 卡。

2.1CPU 卡10002/1/2、10012/1/2 和10020/1/.

卡件分述：

1）功能：讀輸入信號，執(zhí)行功能邏輯程序，寫輸出到輸出卡，連續(xù)測試系統(tǒng)硬件，以保證安全控制。

2）CPU 卡有三種配置：

采用RAM/EPROM存儲器（10002/1/2）；采用閃存（Flash）存儲器（10012/1/2）；以及采用雙處理器（Enhanced Processor Module，EPM；Quad Processor Module，QPM）（10020/1/.）

3）10002/1/2 的PCB：它有兩面，外面安裝存儲應(yīng)用軟件（Application Software）的RAM或EPROM；里面安裝存儲系統(tǒng)軟件（System Software）的EPROM。通過跳針確定采用RAM還是EPROM，以及EPROM 的容量大小。

4）CPU 卡的存儲器有以下幾種類型：

RAM存儲器：系統(tǒng)變量和應(yīng)用變量（所有的I/O，Markers，Counters，timers，以及Registers）由DBM（電池和診斷模件）為RAM提供電池后備。不揮發(fā)閃存存儲器。

5）RUN/STOP 鑰匙開關(guān)：

10002/1/2 和10012/1/2 有兩個開關(guān)位置：

?垂直：運行；

?水平：停止（CPU 復(fù)位，RESET）

10020/1/.有三個開關(guān)位置：

?垂直向上：（準備）運行；

?水平：IDLE（由軟件控制）；

?垂直向下：停止（CPU 復(fù)位，RESET）；

6）LED 指示燈：

10020/1/.的面板上的LED 指示燈顯示三個狀態(tài)：

OFF：CPU 處于停止狀態(tài)；

綠色：CPU 卡沒有故障；

紅色：CPU 卡有一個或多個硬件故障。

2.2通訊卡10004/./.、10014/./.和10024/./.

卡件分述：

1）通訊卡有三種配置：

10004/./.（EPROM）；10014/./.（FLASH 存儲器）；10024/./.（增強型通訊模件，ECM）通訊卡由主板（100?4/1/1 右側(cè)）和兩個通訊接口板（100?4/x/x 左側(cè)）兩部分組成，在Rack 上占據(jù)兩個卡槽位置。

通訊卡用于：在FSC 系統(tǒng)中，冗余的Central Parts 之間的通訊；構(gòu)成FSC 網(wǎng)絡(luò)時，主FSC 系統(tǒng)和從FSC 系統(tǒng)之間的通訊；與DCS 以及打印機等外部設(shè)備之間的通訊；與FSC 操作站的通訊。

2）通訊卡主板：擁有自己的處理器和存儲器，確保為外部設(shè)備提供最優(yōu)化的通訊支持。

3）通訊接口板：有上下兩個通訊接口，支持串行通訊RS-232（F）、RS-485（I）、光纖通訊（G），以及RS-422（H）。上下兩個通訊接口支持不同的通訊協(xié)議（Protocol），包括：FSC-FSC；FSC-DS；ModBus RTU；ModBus H&B。

2.3安全管理器卡（SMM）10008/2/U 和10018/2/U

卡件分述

1）SMM 通訊卡有兩種配置：

10008/2/U（基于EPROM，已停產(chǎn)）

10018/2/U（基于FLASH）

2）SMM 通訊卡通過UCN 網(wǎng)通訊，使FSC 成為Honeywell TPS 系統(tǒng)中的一個節(jié)點，稱為安全管理器（Safety Manager，SM）。從GUS 上看，SM 和HPM一樣，都是UCN 上的節(jié)點，SM 的組態(tài)建點與HPM在很大程度上是一樣的，只不過HPM的輸入、輸出來自現(xiàn)場，而SM 的輸入從FSC 的輸入、輸出讀取，而其輸出則寫到FSC 的輸入上。

3）SMM 通訊卡上包含下列器件：

Motorola 68360 通訊控制器（以25 MHz 運行）；

4 Mbit 閃存存儲器，用于FSC 固件程序的存儲；

16 Mbit 本地RAM，專用于用戶應(yīng)用數(shù)據(jù)的存儲；

共享的2Mbit RAM，用于該模件和FSC 控制處理器之間的所有數(shù)據(jù)交換；通過該共享RAM進行數(shù)據(jù)交換，對FSC 進行寫保護，保證FSC 系統(tǒng)獨立于SMM 卡，保證數(shù)據(jù)的安全。

2.4PlantScape 通訊卡10018/E/1 和10018/E/E

卡件分述：

1）10018/E/1 和10018/E/E 通訊卡用于與Honeywell 的PlantScape 系統(tǒng)進行通訊。隔離的以太（Ethernet）串行接口（10018/E/.）將FSC 系統(tǒng)連接到PlantScape 服務(wù)器。10018/E/1 有一個接口，而10018/E/E 有兩個接口。

2）10018/E/.包括下列器件：

Motorola 68EN360 通訊控制器（以25 MHz 運行）；

4 Mbit 閃存存儲器，用于FSC 固件程序的存儲；

16 Mbit 本地RAM，專用于用戶應(yīng)用數(shù)據(jù)的存儲；

共享的2Mbit RAM，用于該模件和FSC 控制處理器之間的所有數(shù)據(jù)交換；

隔離的一個或兩個以太串行接口。

3）該通訊卡由主板（10018/1/.右側(cè)）和一個或兩個隔離的以太串行接口10018/E/.左側(cè)）板組成。主板控制FSC 和PlantScape 之間的以太接口。它有自己的處理器和存儲器，以便為FSC 到外部的設(shè)備通訊提供最優(yōu)化的支持。

2.5Watchdog（WD）卡10005/1/1

卡件分述：

1）WD的功能是當存在可能導(dǎo)致危險情形發(fā)生的故障時，確保輸出進入安全狀

態(tài)。

2）WD監(jiān)視的系統(tǒng)參數(shù)包括：

應(yīng)用程序一個循環(huán)的最大執(zhí)行時間。確保程序正確執(zhí)行，而沒有進入死循環(huán)。

應(yīng)用程序一個循環(huán)的最小執(zhí)行時間。確保程序正確執(zhí)行，而沒有出現(xiàn)跳轉(zhuǎn)，造成某些程序沒有執(zhí)行。

5VDC 電源的過電壓和欠電壓監(jiān)視（5VDC±5％）。

CPU、COM卡等的存儲器錯誤。如發(fā)生存儲器錯誤，WD輸出失電。ESD 輸入信號。

轉(zhuǎn)動RESET 開關(guān)，啟動FSC 系統(tǒng)。

3）WD卡件采用三選二的表決機制，亦即它有三套同樣的電路分別對上述系統(tǒng)參數(shù)進行監(jiān)視。

4）最大的WD 輸出電流為900mA，5VDC。如果WD卡監(jiān)視的所有輸出卡件的

WD電流總和超過900 mA，則要在系統(tǒng)中安裝WD中繼器。

2.6 WDR 卡10302/2/1

卡件分述：

1）WDR（10302/2/1）是監(jiān)測5VDC 和24VDC 供電電源的卡件，它的Watchdog輸出連接到那些供電電源（5VDC／24VDC）需要監(jiān)視的輸出卡件的Watchdog 輸入上。

2）WDR 主要用在下列場合（并非全部）：

如果所要求的Watchdog 電流超過900mA；

在FSC 系統(tǒng)中如果既有冗余的I/O，也有非冗余的I/O 時，用于為非冗余I/O的輸出卡件生成Watchdog 輸出；

在FSC 系統(tǒng)中如果CP 為冗余配置，而非冗余的I/O 中具有安全相關(guān)的輸出卡件。

2.7診斷和電池卡（Diagnostic and Battery Module，DBM，10006/2/1）

卡件分述：

1）DBM 完成下列功能：

診斷顯示（給出卡件故障的類型、Rack 號，Position 號）；

實時時鐘（給出當前的日期和時間）；

電池后備（為CPU 和COM卡的RAM存儲器提供后備電源）；

溫度檢測（在DBM 的電路板上安裝有兩個獨立的溫度檢測元件，用以反映FSC 系統(tǒng)內(nèi)卡件的溫度）；

2）直觀顯示系統(tǒng)的三個狀態(tài)：

如果WD卡上的WD指示燈點亮，DBM 的數(shù)碼穩(wěn)定地顯示，則表明系統(tǒng)無故障；

如果WD指示燈點亮，DBM 的數(shù)碼閃爍顯示，則表明系統(tǒng)有故障，但是CP沒有Shutdown；

如果WD指示燈熄滅，則表明系統(tǒng)中存在故障，并導(dǎo)致了CP Shutdown。

3）DBM 的實時時鐘被用作SOE 事件的時標。通過FSC 操作站、DCS 通過MODBUS、通過TPS 的時鐘源，以及指定的DI 硬通道時鐘同步脈沖等實現(xiàn)時鐘同步。

4）溫度檢測功能是為了保證FSC 系統(tǒng)在合理的溫度范圍內(nèi)工作，系統(tǒng)設(shè)置的缺省工作溫度范圍為5~55°C，超出這個范圍系統(tǒng)報警；下限到0°C，上限到60°C 時，系統(tǒng)自動Shutdown。

2.8豎向總線驅(qū)動器VBD（10001/R/1）

卡件分述：

1）VBD 用于實現(xiàn)CP 卡件與I/O 卡件的通訊。

2）豎向總線（Vertical Bus，VBUS）為34 芯扁平電纜，最大長度為5m。VBUS將VBD 和HBD（Horizontal Bus Driver，HBD，10100/2/1）連接起來，HBD 再連接I/ORack。VBUS 的末端用VBUS Terminator（10307/1/1）封住。

3）VBD 由兩部分組成：電子線路部分（主板），以及接線部分（10001/A/1）這樣做的目的，是便于更換主板。

2.9水平總線驅(qū)動器HBD（10100/2/1）

卡件分述：

1）水平總線驅(qū)動器HBD 安裝在I/O Rack 上（第20、21 槽位）。它由兩部分組成：卡件部分（10100/2/1），以及A1，A21 或A22 扁平電纜部分。

2）HBD 配置不同的扁平電纜，如上面三幅圖所示。用于下面的幾種情形：

10100/2/1 配置扁平電纜A1，用于驅(qū)動非冗余的I/O Rack。

10100/2/1 配置扁平電纜A21，用于驅(qū)動單個冗余的I/O Rack。

10100/2/1 配置扁平電纜A22，用于驅(qū)動兩個冗余的I/O Rack。

3）VBUS 扁平電纜連接到HBD 是通過將其連接到I/O Rack 第20、21 槽位背面的CN21、CN20 插座實現(xiàn)的。

4）HBD 通過前面的扁平電纜，連接到I/O Rack 上方的水平總線（Horizontal

Bus，HBUS）上。

5）在I/O Rack 背面CN21、CN20 的上方，有跳針RA0 到RA3，用于設(shè)定HBD

的Rack 地址。

2.10 源單元PSU（10300/1/1）

PSU 的作用是將24VDC 轉(zhuǎn)換為5VDC/12A，用于向CP 等供電。

PSU 斷電時，必須要等待30 秒以上才能再次上電。

2.11 測器ELD（10310/2/1）

卡件分述：

1）10310/2/1 是漏地檢測器（Earth Leakage Detector，ELD）。我們知道FSC 系統(tǒng)是浮空設(shè)計的，即系統(tǒng)內(nèi)的0V 參考點與系統(tǒng)外的大地沒有任何聯(lián)系（通過24VDC 電源內(nèi)的變壓器耦合，系統(tǒng)內(nèi)外已經(jīng)沒有共地點了）。ELD 用于監(jiān)測系統(tǒng)內(nèi)的24VDC 電源是否有接地現(xiàn)象。

2）它的面板上有兩個開關(guān)，在標注1Hz、DC 和1/4Hz 處的為Switch 1，在

RESET 和TEST 處的，我們稱為Switch 2。

3）在ELD 的電路內(nèi)有一個觸發(fā)器（Flip-flop，F(xiàn)F），當有接地故障發(fā)生時，F(xiàn)F置位觸發(fā)，使其輸出繼電器線圈失電，觸點動作，送出報警信號，同時面板上的Fault 指示燈點亮（紅色），只有當故障排除并通過Switch 2 給出Reset 信號后，指示才會熄滅。

2.12 鑰匙開關(guān)卡（Dual Key Switch Module）（10311/2/1）

卡件分述：

1）該卡件的上部為Watchdog Reset 鑰匙開關(guān)，下部為Force Enable（強制允許）鑰匙開關(guān)。它們采用不同的鑰匙。

2）WD Reset 開關(guān)用于Watchdog 的Reset 和故障的Reset。

3）Force Enable 開關(guān)用于設(shè)置輸入輸出信號的強制允許（垂直位置，此時開關(guān)下面的LED 紅色指示燈點亮）和不允許（水平位置）。當處于強制允許位置時，在組態(tài)時對輸入、輸出信號設(shè)置的允許強制（Force Enable：Yes）才有效。

2.13 I/O 卡件匯總

故障安全數(shù)字輸入卡（可測試的，Testable）

10101/2/1：Fail-safe digital input module (24VDC, 16 ch.)

10106/2/1：Fail-safe line monitored digital input module (16 ch.)

故障安全模擬輸入卡（可測試的，Testable）

10105/2/1：Fail-safe analog input module (16 channels)

10102/2/1：Fail-safe analog input module (4 channels)

非故障安全數(shù)字輸入卡（不可測試的，Not Testable）

10104/2/1：Digital input module (24VDC, 16 channels)

故障安全數(shù)字輸出卡（可測試的，Testable）

10201/2/1：Fail-safe, 24VDC, 13W, 8 channels (2 groups)

10215/2/1：Fail-safe, 24VDC, 48W, 4 channels (2 groups)

10216/2/1：Fail-safe, 24VDC, 20W, 4 channels (1 group), loop-monitored

非故障安全數(shù)字輸出卡（不可測試的，Not Testable）

10209/2/1：Digital output module, 24VDC, 0.1A, 16 channels

故障安全模擬輸出卡（可測試的，Testable）

10205/2/1：Fail-safe analog output module (0(4)-20mA, 2 channels)