第一章安全控制系統(tǒng)概述
1、安全控制系統(tǒng)的地位和作用
我們從權(quán)威的IEC61508 和IEC61511 標(biāo)準(zhǔn)入手來討論安全控制系統(tǒng)的概念。IEC61508 基本上是面向安全控制系統(tǒng)的制造和供應(yīng)商的,如Honeywell 的FSC 就獲得了該標(biāo)準(zhǔn)的認(rèn)證;IEC61511 則是面向流程工業(yè)安全控制系統(tǒng)的設(shè)計(jì)者、集成者以及用戶的,為IEC61508 在石化等過程工業(yè)的應(yīng)用提供了一個(gè)操作性更強(qiáng)、更易于理解的版本。先來看IEC61511。下圖是該標(biāo)準(zhǔn)對(duì)過程工業(yè)控制和安全管理的一個(gè)分層描述。它的內(nèi)核是工藝流程或生產(chǎn)裝置,首先要建立基本過程控制系統(tǒng)(Basic Process ControlSystems)對(duì)過程對(duì)象進(jìn)行控制,比如DCS 或以前的由常規(guī)儀表組成的控制系統(tǒng)。它的外面是安全防護(hù)層(Prevention),這其中就包括了安全儀表控制系統(tǒng)(Safety InstrumentedControl Systems),即我們常說的ESD 安全系統(tǒng)。安全儀表系統(tǒng)定義為“它是由傳感器、邏輯解算單元和最終控制元件組成的控制系統(tǒng),設(shè)計(jì)用于當(dāng)生產(chǎn)過程的預(yù)定條件受到?jīng)_擊時(shí),自動(dòng)地將其置于安全狀態(tài)”。這些預(yù)定條件包括壓力高限、溫度高限等工藝參數(shù)。安全儀表檢測(cè)出潛在的危險(xiǎn)工藝狀態(tài),通過組態(tài)的聯(lián)鎖邏輯控制現(xiàn)場(chǎng)電磁閥等的切斷或?qū)?,保護(hù)工業(yè)設(shè)備和人員的安全;下一層是減災(zāi)(Mitigation),它也包括了安全儀表控制系統(tǒng),即火災(zāi)和可燃?xì)怏w安全控制系統(tǒng)。再外層就是消防等緊急響應(yīng)系統(tǒng)等。
將安全功能和常規(guī)控制功能用不同的控制器來完成有很多方面的考慮,主要有三點(diǎn):故障獨(dú)立:如果控制系統(tǒng)故障,這時(shí)恰恰需要安全系統(tǒng)對(duì)生產(chǎn)裝置的安全做出保障。如果把它們的功能用同一套控制系統(tǒng)實(shí)現(xiàn),就可能同時(shí)喪失控制功能。安全可靠(Security):常規(guī)控制系統(tǒng)相對(duì)來說會(huì)經(jīng)常地改變控制因素,比如改變控制參數(shù),改變控制模式,以及改變控制方案等等。從安全可靠性來說,其要求并不是十分嚴(yán)格。而對(duì)安全系統(tǒng)則不然,改變?cè)O(shè)定值,改變控制邏輯可能有嚴(yán)格限制,必須遵循特定的審批制度,得到授權(quán)才能進(jìn)行。
對(duì)控制器的安全要求:用于安全系統(tǒng)的控制器有特殊的性能指標(biāo)要求,比如其診斷能力要在95%以上,獲得認(rèn)證的故障安全(Fail-safe)響應(yīng)能力,特定的軟件錯(cuò)誤檢測(cè)、數(shù)據(jù)存儲(chǔ)保護(hù)和故障容錯(cuò)要求等等。這種特殊的安全性和可靠性的性能指標(biāo)是一般控制系統(tǒng)不具備的或者說不需要的。
2、安全控制系統(tǒng)的特點(diǎn)
安全控制器和常規(guī)的PLC 有相似之處,它們都能完成邏輯和數(shù)學(xué)計(jì)算,都有輸入輸出卡件,對(duì)輸入信號(hào)掃描并按照特定的控制邏輯驅(qū)動(dòng)現(xiàn)場(chǎng)最終控制元件,也都有數(shù)字通訊端口。但是常規(guī)的PLC 從設(shè)計(jì)上并不具備故障容錯(cuò)和故障安全的性能,這是它們的最基本區(qū)別。簡(jiǎn)要?dú)w納安全控制系統(tǒng)的幾個(gè)特點(diǎn):
它要達(dá)到兩個(gè)重要目標(biāo):
要有極高的安全性(Safety)和有效性(Availability),即使出現(xiàn)故障,也要用冗余等措施使系統(tǒng)工作正常。
故障只能是以可預(yù)見的、安全方式出現(xiàn)。
著重內(nèi)部診斷,將硬件和軟件相結(jié)合,檢測(cè)出系統(tǒng)本身的異常操作,檢測(cè)出99%以上內(nèi)部元器件的潛在危險(xiǎn)故障;要采用一系列特殊的技術(shù)保證軟件的可靠性;冗余配置,即使部件出現(xiàn)故障時(shí)也要保持正常操作;對(duì)通過數(shù)字通訊端口的任何讀寫要有非常高的安全可靠保證。
在系統(tǒng)設(shè)計(jì)時(shí)采用故障模式、影響和診斷分析(Failure Modes, Effects andDiagnostic Analysis,F(xiàn)MEDA),研究、測(cè)試系統(tǒng)中的每個(gè)部件會(huì)出現(xiàn)怎樣的故障,以及系統(tǒng)怎樣檢測(cè)出這些故障。
要通過第三方的權(quán)威認(rèn)證,比如TüV 認(rèn)證,以便滿足國際標(biāo)準(zhǔn)對(duì)安全和可靠性的嚴(yán)格要求。
3、標(biāo)準(zhǔn)PLC 故障分析及FSC系統(tǒng)輸出電路的特點(diǎn)
下面我們通過故障模式、影響和診斷分析(FMEDA),看一看常規(guī)PLC 的典型輸出電路的故障,以及FSC 是如何避免這些故障的。下是PLC 的輸出電路和可能的故障。
輸出短路故障
當(dāng)晶體管的集電極和發(fā)射極短路時(shí),相當(dāng)于+24VDC 電源直接接到負(fù)載上,也就是說負(fù)載仍處于帶電狀態(tài)。對(duì)于這種不會(huì)導(dǎo)致正常為帶電狀態(tài)的輸出失電的故障,稱為“被動(dòng)”故障(Passive fault)。由于無法使輸出失電從而進(jìn)入安全狀態(tài),因此它是“危險(xiǎn)的”(Dangerous)。“被動(dòng)”故障影響安全但不影響有效性,歸類為導(dǎo)致危險(xiǎn)故障(FailTo Danger,F(xiàn)TD)。
輸出斷路故障
當(dāng)晶體管的發(fā)射極輸出斷路時(shí),負(fù)載失電。對(duì)于這種導(dǎo)致正常為帶電狀態(tài)的輸出失電的故障,稱為“主動(dòng)”故障(Active fault)。由于它使輸出失電從而進(jìn)入安全狀態(tài),因此它是“安全的”?!爸鲃?dòng)”故障不影響安全但影響有效性,歸類為導(dǎo)致?lián)p失故障(FailTo Nuisance,F(xiàn)TN)。
安全監(jiān)控系統(tǒng)的設(shè)計(jì)和制造要瞄準(zhǔn)這樣的目標(biāo):
①零“被動(dòng)”故障(FTD);
②避免太多的“主動(dòng)”故障(FTN)影響有效性。
基本的安全準(zhǔn)則是:“在操作運(yùn)行的任何時(shí)間周期內(nèi),單一故障的存在不能影響安全”?;谶@樣的標(biāo)準(zhǔn),F(xiàn)SC 的DO 輸出電路如下圖所示。它將兩個(gè)電路串聯(lián)在一起,同時(shí)這兩個(gè)電路的狀態(tài)(STATUS)被實(shí)時(shí)監(jiān)測(cè),一旦其中的一個(gè)電路出現(xiàn)了前述的短路故障,另一個(gè)電路仍然能夠切斷輸出,也就使FTD 故障降為零。當(dāng)我們將輸出電路冗余配置時(shí),如下圖所示,就更大地提高了系統(tǒng)的有效性。
第二章FSC系統(tǒng)硬件介紹
FSC 系統(tǒng)硬件由Central Part 卡件和I/O 卡件兩部分組成。Central Part 簡(jiǎn)稱為CP,包括CPU、COM(通訊卡)、WD(系統(tǒng)狀態(tài)監(jiān)視卡,或稱看門狗卡)、DBM(診斷和電池卡),以及VBD(豎向總線驅(qū)動(dòng)卡)。I/O 卡件包括DI 卡、DO 卡、AI 卡,以及AO 卡。
2.1CPU 卡10002/1/2、10012/1/2 和10020/1/.
卡件分述:
1)功能:讀輸入信號(hào),執(zhí)行功能邏輯程序,寫輸出到輸出卡,連續(xù)測(cè)試系統(tǒng)硬件,以保證安全控制。
2)CPU 卡有三種配置:
采用RAM/EPROM存儲(chǔ)器(10002/1/2);采用閃存(Flash)存儲(chǔ)器(10012/1/2);以及采用雙處理器(Enhanced Processor Module,EPM;Quad Processor Module,QPM)(10020/1/.)
3)10002/1/2 的PCB:它有兩面,外面安裝存儲(chǔ)應(yīng)用軟件(Application Software)的RAM或EPROM;里面安裝存儲(chǔ)系統(tǒng)軟件(System Software)的EPROM。通過跳針確定采用RAM還是EPROM,以及EPROM 的容量大小。
4)CPU 卡的存儲(chǔ)器有以下幾種類型:
RAM存儲(chǔ)器:系統(tǒng)變量和應(yīng)用變量(所有的I/O,Markers,Counters,timers,以及Registers)由DBM(電池和診斷模件)為RAM提供電池后備。不揮發(fā)閃存存儲(chǔ)器。
5)RUN/STOP 鑰匙開關(guān):
10002/1/2 和10012/1/2 有兩個(gè)開關(guān)位置:
?垂直:運(yùn)行;
?水平:停止(CPU 復(fù)位,RESET)
10020/1/.有三個(gè)開關(guān)位置:
?垂直向上:(準(zhǔn)備)運(yùn)行;
?水平:IDLE(由軟件控制);
?垂直向下:停止(CPU 復(fù)位,RESET);
6)LED 指示燈:
10020/1/.的面板上的LED 指示燈顯示三個(gè)狀態(tài):
OFF:CPU 處于停止?fàn)顟B(tài);
綠色:CPU 卡沒有故障;
紅色:CPU 卡有一個(gè)或多個(gè)硬件故障。
2.2通訊卡10004/./.、10014/./.和10024/./.
卡件分述:
1)通訊卡有三種配置:
10004/./.(EPROM);10014/./.(FLASH 存儲(chǔ)器);10024/./.(增強(qiáng)型通訊模件,ECM)通訊卡由主板(100?4/1/1 右側(cè))和兩個(gè)通訊接口板(100?4/x/x 左側(cè))兩部分組成,在Rack 上占據(jù)兩個(gè)卡槽位置。
通訊卡用于:在FSC 系統(tǒng)中,冗余的Central Parts 之間的通訊;構(gòu)成FSC 網(wǎng)絡(luò)時(shí),主FSC 系統(tǒng)和從FSC 系統(tǒng)之間的通訊;與DCS 以及打印機(jī)等外部設(shè)備之間的通訊;與FSC 操作站的通訊。
2)通訊卡主板:擁有自己的處理器和存儲(chǔ)器,確保為外部設(shè)備提供最優(yōu)化的通訊支持。
3)通訊接口板:有上下兩個(gè)通訊接口,支持串行通訊RS-232(F)、RS-485(I)、光纖通訊(G),以及RS-422(H)。上下兩個(gè)通訊接口支持不同的通訊協(xié)議(Protocol),包括:FSC-FSC;FSC-DS;ModBus RTU;ModBus H&B。
2.3安全管理器卡(SMM)10008/2/U 和10018/2/U
卡件分述
1)SMM 通訊卡有兩種配置:
10008/2/U(基于EPROM,已停產(chǎn))
10018/2/U(基于FLASH)
2)SMM 通訊卡通過UCN 網(wǎng)通訊,使FSC 成為Honeywell TPS 系統(tǒng)中的一個(gè)節(jié)點(diǎn),稱為安全管理器(Safety Manager,SM)。從GUS 上看,SM 和HPM一樣,都是UCN 上的節(jié)點(diǎn),SM 的組態(tài)建點(diǎn)與HPM在很大程度上是一樣的,只不過HPM的輸入、輸出來自現(xiàn)場(chǎng),而SM 的輸入從FSC 的輸入、輸出讀取,而其輸出則寫到FSC 的輸入上。
3)SMM 通訊卡上包含下列器件:
Motorola 68360 通訊控制器(以25 MHz 運(yùn)行);
4 Mbit 閃存存儲(chǔ)器,用于FSC 固件程序的存儲(chǔ);
16 Mbit 本地RAM,專用于用戶應(yīng)用數(shù)據(jù)的存儲(chǔ);
共享的2Mbit RAM,用于該模件和FSC 控制處理器之間的所有數(shù)據(jù)交換;通過該共享RAM進(jìn)行數(shù)據(jù)交換,對(duì)FSC 進(jìn)行寫保護(hù),保證FSC 系統(tǒng)獨(dú)立于SMM 卡,保證數(shù)據(jù)的安全。
2.4PlantScape 通訊卡10018/E/1 和10018/E/E
卡件分述:
1)10018/E/1 和10018/E/E 通訊卡用于與Honeywell 的PlantScape 系統(tǒng)進(jìn)行通訊。隔離的以太(Ethernet)串行接口(10018/E/.)將FSC 系統(tǒng)連接到PlantScape 服務(wù)器。10018/E/1 有一個(gè)接口,而10018/E/E 有兩個(gè)接口。
2)10018/E/.包括下列器件:
Motorola 68EN360 通訊控制器(以25 MHz 運(yùn)行);
4 Mbit 閃存存儲(chǔ)器,用于FSC 固件程序的存儲(chǔ);
16 Mbit 本地RAM,專用于用戶應(yīng)用數(shù)據(jù)的存儲(chǔ);
共享的2Mbit RAM,用于該模件和FSC 控制處理器之間的所有數(shù)據(jù)交換;
隔離的一個(gè)或兩個(gè)以太串行接口。
3)該通訊卡由主板(10018/1/.右側(cè))和一個(gè)或兩個(gè)隔離的以太串行接口10018/E/.左側(cè))板組成。主板控制FSC 和PlantScape 之間的以太接口。它有自己的處理器和存儲(chǔ)器,以便為FSC 到外部的設(shè)備通訊提供最優(yōu)化的支持。
2.5Watchdog(WD)卡10005/1/1
卡件分述:
1)WD的功能是當(dāng)存在可能導(dǎo)致危險(xiǎn)情形發(fā)生的故障時(shí),確保輸出進(jìn)入安全狀
態(tài)。
2)WD監(jiān)視的系統(tǒng)參數(shù)包括:
應(yīng)用程序一個(gè)循環(huán)的最大執(zhí)行時(shí)間。確保程序正確執(zhí)行,而沒有進(jìn)入死循環(huán)。
應(yīng)用程序一個(gè)循環(huán)的最小執(zhí)行時(shí)間。確保程序正確執(zhí)行,而沒有出現(xiàn)跳轉(zhuǎn),造成某些程序沒有執(zhí)行。
5VDC 電源的過電壓和欠電壓監(jiān)視(5VDC±5%)。
CPU、COM卡等的存儲(chǔ)器錯(cuò)誤。如發(fā)生存儲(chǔ)器錯(cuò)誤,WD輸出失電。ESD 輸入信號(hào)。
轉(zhuǎn)動(dòng)RESET 開關(guān),啟動(dòng)FSC 系統(tǒng)。
3)WD卡件采用三選二的表決機(jī)制,亦即它有三套同樣的電路分別對(duì)上述系統(tǒng)參數(shù)進(jìn)行監(jiān)視。
4)最大的WD 輸出電流為900mA,5VDC。如果WD卡監(jiān)視的所有輸出卡件的
WD電流總和超過900 mA,則要在系統(tǒng)中安裝WD中繼器。
2.6 WDR 卡10302/2/1
卡件分述:
1)WDR(10302/2/1)是監(jiān)測(cè)5VDC 和24VDC 供電電源的卡件,它的Watchdog輸出連接到那些供電電源(5VDC/24VDC)需要監(jiān)視的輸出卡件的Watchdog 輸入上。
2)WDR 主要用在下列場(chǎng)合(并非全部):
如果所要求的Watchdog 電流超過900mA;
在FSC 系統(tǒng)中如果既有冗余的I/O,也有非冗余的I/O 時(shí),用于為非冗余I/O的輸出卡件生成Watchdog 輸出;
在FSC 系統(tǒng)中如果CP 為冗余配置,而非冗余的I/O 中具有安全相關(guān)的輸出卡件。
2.7診斷和電池卡(Diagnostic and Battery Module,DBM,10006/2/1)
卡件分述:
1)DBM 完成下列功能:
診斷顯示(給出卡件故障的類型、Rack 號(hào),Position 號(hào));
實(shí)時(shí)時(shí)鐘(給出當(dāng)前的日期和時(shí)間);
電池后備(為CPU 和COM卡的RAM存儲(chǔ)器提供后備電源);
溫度檢測(cè)(在DBM 的電路板上安裝有兩個(gè)獨(dú)立的溫度檢測(cè)元件,用以反映FSC 系統(tǒng)內(nèi)卡件的溫度);
2)直觀顯示系統(tǒng)的三個(gè)狀態(tài):
如果WD卡上的WD指示燈點(diǎn)亮,DBM 的數(shù)碼穩(wěn)定地顯示,則表明系統(tǒng)無故障;
如果WD指示燈點(diǎn)亮,DBM 的數(shù)碼閃爍顯示,則表明系統(tǒng)有故障,但是CP沒有Shutdown;
如果WD指示燈熄滅,則表明系統(tǒng)中存在故障,并導(dǎo)致了CP Shutdown。
3)DBM 的實(shí)時(shí)時(shí)鐘被用作SOE 事件的時(shí)標(biāo)。通過FSC 操作站、DCS 通過MODBUS、通過TPS 的時(shí)鐘源,以及指定的DI 硬通道時(shí)鐘同步脈沖等實(shí)現(xiàn)時(shí)鐘同步。
4)溫度檢測(cè)功能是為了保證FSC 系統(tǒng)在合理的溫度范圍內(nèi)工作,系統(tǒng)設(shè)置的缺省工作溫度范圍為5~55°C,超出這個(gè)范圍系統(tǒng)報(bào)警;下限到0°C,上限到60°C 時(shí),系統(tǒng)自動(dòng)Shutdown。
2.8豎向總線驅(qū)動(dòng)器VBD(10001/R/1)
卡件分述:
1)VBD 用于實(shí)現(xiàn)CP 卡件與I/O 卡件的通訊。
2)豎向總線(Vertical Bus,VBUS)為34 芯扁平電纜,最大長(zhǎng)度為5m。VBUS將VBD 和HBD(Horizontal Bus Driver,HBD,10100/2/1)連接起來,HBD 再連接I/ORack。VBUS 的末端用VBUS Terminator(10307/1/1)封住。
3)VBD 由兩部分組成:電子線路部分(主板),以及接線部分(10001/A/1)這樣做的目的,是便于更換主板。
2.9水平總線驅(qū)動(dòng)器HBD(10100/2/1)
卡件分述:
1)水平總線驅(qū)動(dòng)器HBD 安裝在I/O Rack 上(第20、21 槽位)。它由兩部分組成:卡件部分(10100/2/1),以及A1,A21 或A22 扁平電纜部分。
2)HBD 配置不同的扁平電纜,如上面三幅圖所示。用于下面的幾種情形:
10100/2/1 配置扁平電纜A1,用于驅(qū)動(dòng)非冗余的I/O Rack。
10100/2/1 配置扁平電纜A21,用于驅(qū)動(dòng)單個(gè)冗余的I/O Rack。
10100/2/1 配置扁平電纜A22,用于驅(qū)動(dòng)兩個(gè)冗余的I/O Rack。
3)VBUS 扁平電纜連接到HBD 是通過將其連接到I/O Rack 第20、21 槽位背面的CN21、CN20 插座實(shí)現(xiàn)的。
4)HBD 通過前面的扁平電纜,連接到I/O Rack 上方的水平總線(Horizontal
Bus,HBUS)上。
5)在I/O Rack 背面CN21、CN20 的上方,有跳針RA0 到RA3,用于設(shè)定HBD
的Rack 地址。
2.10 源單元PSU(10300/1/1)
PSU 的作用是將24VDC 轉(zhuǎn)換為5VDC/12A,用于向CP 等供電。
PSU 斷電時(shí),必須要等待30 秒以上才能再次上電。
2.11 測(cè)器ELD(10310/2/1)
卡件分述:
1)10310/2/1 是漏地檢測(cè)器(Earth Leakage Detector,ELD)。我們知道FSC 系統(tǒng)是浮空設(shè)計(jì)的,即系統(tǒng)內(nèi)的0V 參考點(diǎn)與系統(tǒng)外的大地沒有任何聯(lián)系(通過24VDC 電源內(nèi)的變壓器耦合,系統(tǒng)內(nèi)外已經(jīng)沒有共地點(diǎn)了)。ELD 用于監(jiān)測(cè)系統(tǒng)內(nèi)的24VDC 電源是否有接地現(xiàn)象。
2)它的面板上有兩個(gè)開關(guān),在標(biāo)注1Hz、DC 和1/4Hz 處的為Switch 1,在
RESET 和TEST 處的,我們稱為Switch 2。
3)在ELD 的電路內(nèi)有一個(gè)觸發(fā)器(Flip-flop,F(xiàn)F),當(dāng)有接地故障發(fā)生時(shí),F(xiàn)F置位觸發(fā),使其輸出繼電器線圈失電,觸點(diǎn)動(dòng)作,送出報(bào)警信號(hào),同時(shí)面板上的Fault 指示燈點(diǎn)亮(紅色),只有當(dāng)故障排除并通過Switch 2 給出Reset 信號(hào)后,指示才會(huì)熄滅。
2.12 鑰匙開關(guān)卡(Dual Key Switch Module)(10311/2/1)
卡件分述:
1)該卡件的上部為Watchdog Reset 鑰匙開關(guān),下部為Force Enable(強(qiáng)制允許)鑰匙開關(guān)。它們采用不同的鑰匙。
2)WD Reset 開關(guān)用于Watchdog 的Reset 和故障的Reset。
3)Force Enable 開關(guān)用于設(shè)置輸入輸出信號(hào)的強(qiáng)制允許(垂直位置,此時(shí)開關(guān)下面的LED 紅色指示燈點(diǎn)亮)和不允許(水平位置)。當(dāng)處于強(qiáng)制允許位置時(shí),在組態(tài)時(shí)對(duì)輸入、輸出信號(hào)設(shè)置的允許強(qiáng)制(Force Enable:Yes)才有效。
2.13 I/O 卡件匯總
故障安全數(shù)字輸入卡(可測(cè)試的,Testable)
10101/2/1:Fail-safe digital input module (24VDC, 16 ch.)
10106/2/1:Fail-safe line monitored digital input module (16 ch.)
故障安全模擬輸入卡(可測(cè)試的,Testable)
10105/2/1:Fail-safe analog input module (16 channels)
10102/2/1:Fail-safe analog input module (4 channels)
非故障安全數(shù)字輸入卡(不可測(cè)試的,Not Testable)
10104/2/1:Digital input module (24VDC, 16 channels)
故障安全數(shù)字輸出卡(可測(cè)試的,Testable)
10201/2/1:Fail-safe, 24VDC, 13W, 8 channels (2 groups)
10215/2/1:Fail-safe, 24VDC, 48W, 4 channels (2 groups)
10216/2/1:Fail-safe, 24VDC, 20W, 4 channels (1 group), loop-monitored
非故障安全數(shù)字輸出卡(不可測(cè)試的,Not Testable)
10209/2/1:Digital output module, 24VDC, 0.1A, 16 channels
故障安全模擬輸出卡(可測(cè)試的,Testable)
10205/2/1:Fail-safe analog output module (0(4)-20mA, 2 channels)