FSC系統(tǒng)介紹

歡迎來天津英聯(lián)石油設(shè)備技術(shù)服務(wù)有限公司官網(wǎng)！

天津英聯(lián)石油設(shè)備技術(shù)服務(wù)有限公司

022-25711889

服務(wù)咨詢熱線

??Tianjin Yinglian Petroleum Equipment Technology Service Co., Ltd.

產(chǎn)品展示

當(dāng)前位置：

網(wǎng)站首頁 >> 霍尼韋爾 FSC系統(tǒng)介紹

FSC系統(tǒng)介紹

發(fā)布時間: 2021-09-17 15:50

商品信息

第一章安全控制系統(tǒng)概述

1、安全控制系統(tǒng)的地位和作用

我們從權(quán)威的IEC61508 和IEC61511 標(biāo)準(zhǔn)入手來討論安全控制系統(tǒng)的概念。IEC61508 基本上是面向安全控制系統(tǒng)的制造和供應(yīng)商的，如Honeywell 的FSC 就獲得了該標(biāo)準(zhǔn)的認(rèn)證；IEC61511 則是面向流程工業(yè)安全控制系統(tǒng)的設(shè)計(jì)者、集成者以及用戶的，為IEC61508 在石化等過程工業(yè)的應(yīng)用提供了一個操作性更強(qiáng)、更易于理解的版本。先來看IEC61511。下圖是該標(biāo)準(zhǔn)對過程工業(yè)控制和安全管理的一個分層描述。它的內(nèi)核是工藝流程或生產(chǎn)裝置，首先要建立基本過程控制系統(tǒng)（Basic Process ControlSystems）對過程對象進(jìn)行控制，比如DCS 或以前的由常規(guī)儀表組成的控制系統(tǒng)。它的外面是安全防護(hù)層（Prevention），這其中就包括了安全儀表控制系統(tǒng)（Safety InstrumentedControl Systems），即我們常說的ESD 安全系統(tǒng)。安全儀表系統(tǒng)定義為“它是由傳感器、邏輯解算單元和最終控制元件組成的控制系統(tǒng)，設(shè)計(jì)用于當(dāng)生產(chǎn)過程的預(yù)定條件受到?jīng)_擊時，自動地將其置于安全狀態(tài)”。這些預(yù)定條件包括壓力高限、溫度高限等工藝參數(shù)。安全儀表檢測出潛在的危險(xiǎn)工藝狀態(tài)，通過組態(tài)的聯(lián)鎖邏輯控制現(xiàn)場電磁閥等的切斷或?qū)ǎＷo(hù)工業(yè)設(shè)備和人員的安全；下一層是減災(zāi)（Mitigation），它也包括了安全儀表控制系統(tǒng)，即火災(zāi)和可燃?xì)怏w安全控制系統(tǒng)。再外層就是消防等緊急響應(yīng)系統(tǒng)等。

將安全功能和常規(guī)控制功能用不同的控制器來完成有很多方面的考慮，主要有三點(diǎn)：故障獨(dú)立：如果控制系統(tǒng)故障，這時恰恰需要安全系統(tǒng)對生產(chǎn)裝置的安全做出保障。如果把它們的功能用同一套控制系統(tǒng)實(shí)現(xiàn)，就可能同時喪失控制功能。安全可靠（Security）：常規(guī)控制系統(tǒng)相對來說會經(jīng)常地改變控制因素，比如改變控制參數(shù)，改變控制模式，以及改變控制方案等等。從安全可靠性來說，其要求并不是十分嚴(yán)格。而對安全系統(tǒng)則不然，改變設(shè)定值，改變控制邏輯可能有嚴(yán)格限制，必須遵循特定的審批制度，得到授權(quán)才能進(jìn)行。

對控制器的安全要求：用于安全系統(tǒng)的控制器有特殊的性能指標(biāo)要求，比如其診斷能力要在95%以上，獲得認(rèn)證的故障安全（Fail-safe）響應(yīng)能力，特定的軟件錯誤檢測、數(shù)據(jù)存儲保護(hù)和故障容錯要求等等。這種特殊的安全性和可靠性的性能指標(biāo)是一般控制系統(tǒng)不具備的或者說不需要的。

2、安全控制系統(tǒng)的特點(diǎn)

安全控制器和常規(guī)的PLC 有相似之處，它們都能完成邏輯和數(shù)學(xué)計(jì)算，都有輸入輸出卡件，對輸入信號掃描并按照特定的控制邏輯驅(qū)動現(xiàn)場最終控制元件，也都有數(shù)字通訊端口。但是常規(guī)的PLC 從設(shè)計(jì)上并不具備故障容錯和故障安全的性能，這是它們的最基本區(qū)別。簡要?dú)w納安全控制系統(tǒng)的幾個特點(diǎn)：

它要達(dá)到兩個重要目標(biāo)：

要有極高的安全性（Safety）和有效性（Availability），即使出現(xiàn)故障，也要用冗余等措施使系統(tǒng)工作正常。

故障只能是以可預(yù)見的、安全方式出現(xiàn)。

著重內(nèi)部診斷，將硬件和軟件相結(jié)合，檢測出系統(tǒng)本身的異常操作，檢測出99%以上內(nèi)部元器件的潛在危險(xiǎn)故障；要采用一系列特殊的技術(shù)保證軟件的可靠性；冗余配置，即使部件出現(xiàn)故障時也要保持正常操作；對通過數(shù)字通訊端口的任何讀寫要有非常高的安全可靠保證。

在系統(tǒng)設(shè)計(jì)時采用故障模式、影響和診斷分析（Failure Modes, Effects andDiagnostic Analysis，F(xiàn)MEDA），研究、測試系統(tǒng)中的每個部件會出現(xiàn)怎樣的故障，以及系統(tǒng)怎樣檢測出這些故障。

要通過第三方的權(quán)威認(rèn)證，比如TüV 認(rèn)證，以便滿足國際標(biāo)準(zhǔn)對安全和可靠性的嚴(yán)格要求。

3、標(biāo)準(zhǔn)PLC 故障分析及FSC系統(tǒng)輸出電路的特點(diǎn)

下面我們通過故障模式、影響和診斷分析（FMEDA），看一看常規(guī)PLC 的典型輸出電路的故障，以及FSC 是如何避免這些故障的。下是PLC 的輸出電路和可能的故障。

輸出短路故障

當(dāng)晶體管的集電極和發(fā)射極短路時，相當(dāng)于+24VDC 電源直接接到負(fù)載上，也就是說負(fù)載仍處于帶電狀態(tài)。對于這種不會導(dǎo)致正常為帶電狀態(tài)的輸出失電的故障，稱為“被動”故障（Passive fault）。由于無法使輸出失電從而進(jìn)入安全狀態(tài)，因此它是“危險(xiǎn)的”（Dangerous）?！氨粍印惫收嫌绊懓踩挥绊懹行?，歸類為導(dǎo)致危險(xiǎn)故障（FailTo Danger，F(xiàn)TD）。

輸出斷路故障

當(dāng)晶體管的發(fā)射極輸出斷路時，負(fù)載失電。對于這種導(dǎo)致正常為帶電狀態(tài)的輸出失電的故障，稱為“主動”故障（Active fault）。由于它使輸出失電從而進(jìn)入安全狀態(tài)，因此它是“安全的”。“主動”故障不影響安全但影響有效性，歸類為導(dǎo)致?lián)p失故障（FailTo Nuisance，F(xiàn)TN）。

安全監(jiān)控系統(tǒng)的設(shè)計(jì)和制造要瞄準(zhǔn)這樣的目標(biāo)：

①零“被動”故障（FTD）；

②避免太多的“主動”故障（FTN）影響有效性。

基本的安全準(zhǔn)則是：“在操作運(yùn)行的任何時間周期內(nèi)，單一故障的存在不能影響安全”。基于這樣的標(biāo)準(zhǔn)，F(xiàn)SC 的DO 輸出電路如下圖所示。它將兩個電路串聯(lián)在一起，同時這兩個電路的狀態(tài)（STATUS）被實(shí)時監(jiān)測，一旦其中的一個電路出現(xiàn)了前述的短路故障，另一個電路仍然能夠切斷輸出，也就使FTD 故障降為零。當(dāng)我們將輸出電路冗余配置時，如下圖所示，就更大地提高了系統(tǒng)的有效性。

第二章FSC系統(tǒng)硬件介紹

FSC 系統(tǒng)硬件由Central Part 卡件和I/O 卡件兩部分組成。Central Part 簡稱為CP，包括CPU、COM（通訊卡）、WD（系統(tǒng)狀態(tài)監(jiān)視卡，或稱看門狗卡）、DBM（診斷和電池卡），以及VBD（豎向總線驅(qū)動卡）。I/O 卡件包括DI 卡、DO 卡、AI 卡，以及AO 卡。

2.1CPU 卡10002/1/2、10012/1/2 和10020/1/.

卡件分述：

1）功能：讀輸入信號，執(zhí)行功能邏輯程序，寫輸出到輸出卡，連續(xù)測試系統(tǒng)硬件，以保證安全控制。

2）CPU 卡有三種配置：

采用RAM/EPROM存儲器（10002/1/2）；采用閃存（Flash）存儲器（10012/1/2）；以及采用雙處理器（Enhanced Processor Module，EPM；Quad Processor Module，QPM）（10020/1/.）

3）10002/1/2 的PCB：它有兩面，外面安裝存儲應(yīng)用軟件（Application Software）的RAM或EPROM；里面安裝存儲系統(tǒng)軟件（System Software）的EPROM。通過跳針確定采用RAM還是EPROM，以及EPROM 的容量大小。

4）CPU 卡的存儲器有以下幾種類型：

RAM存儲器：系統(tǒng)變量和應(yīng)用變量（所有的I/O，Markers，Counters，timers，以及Registers）由DBM（電池和診斷模件）為RAM提供電池后備。不揮發(fā)閃存存儲器。

5）RUN/STOP 鑰匙開關(guān)：

10002/1/2 和10012/1/2 有兩個開關(guān)位置：

?垂直：運(yùn)行；

?水平：停止（CPU 復(fù)位，RESET）

10020/1/.有三個開關(guān)位置：

?垂直向上：（準(zhǔn)備）運(yùn)行；

?水平：IDLE（由軟件控制）；

?垂直向下：停止（CPU 復(fù)位，RESET）；

6）LED 指示燈：

10020/1/.的面板上的LED 指示燈顯示三個狀態(tài)：

OFF：CPU 處于停止?fàn)顟B(tài)；

綠色：CPU 卡沒有故障；

紅色：CPU 卡有一個或多個硬件故障。

2.2通訊卡10004/./.、10014/./.和10024/./.

卡件分述：

1）通訊卡有三種配置：

10004/./.（EPROM）；10014/./.（FLASH 存儲器）；10024/./.（增強(qiáng)型通訊模件，ECM）通訊卡由主板（100?4/1/1 右側(cè)）和兩個通訊接口板（100?4/x/x 左側(cè)）兩部分組成，在Rack 上占據(jù)兩個卡槽位置。

通訊卡用于：在FSC 系統(tǒng)中，冗余的Central Parts 之間的通訊；構(gòu)成FSC 網(wǎng)絡(luò)時，主FSC 系統(tǒng)和從FSC 系統(tǒng)之間的通訊；與DCS 以及打印機(jī)等外部設(shè)備之間的通訊；與FSC 操作站的通訊。

2）通訊卡主板：擁有自己的處理器和存儲器，確保為外部設(shè)備提供最優(yōu)化的通訊支持。

3）通訊接口板：有上下兩個通訊接口，支持串行通訊RS-232（F）、RS-485（I）、光纖通訊（G），以及RS-422（H）。上下兩個通訊接口支持不同的通訊協(xié)議（Protocol），包括：FSC-FSC；FSC-DS；ModBus RTU；ModBus H&B。

2.3安全管理器卡（SMM）10008/2/U 和10018/2/U

卡件分述

1）SMM 通訊卡有兩種配置：

10008/2/U（基于EPROM，已停產(chǎn)）

10018/2/U（基于FLASH）

2）SMM 通訊卡通過UCN 網(wǎng)通訊，使FSC 成為Honeywell TPS 系統(tǒng)中的一個節(jié)點(diǎn)，稱為安全管理器（Safety Manager，SM）。從GUS 上看，SM 和HPM一樣，都是UCN 上的節(jié)點(diǎn)，SM 的組態(tài)建點(diǎn)與HPM在很大程度上是一樣的，只不過HPM的輸入、輸出來自現(xiàn)場，而SM 的輸入從FSC 的輸入、輸出讀取，而其輸出則寫到FSC 的輸入上。

3）SMM 通訊卡上包含下列器件：

Motorola 68360 通訊控制器（以25 MHz 運(yùn)行）；

4 Mbit 閃存存儲器，用于FSC 固件程序的存儲；

16 Mbit 本地RAM，專用于用戶應(yīng)用數(shù)據(jù)的存儲；

共享的2Mbit RAM，用于該模件和FSC 控制處理器之間的所有數(shù)據(jù)交換；通過該共享RAM進(jìn)行數(shù)據(jù)交換，對FSC 進(jìn)行寫保護(hù)，保證FSC 系統(tǒng)獨(dú)立于SMM 卡，保證數(shù)據(jù)的安全。

2.4PlantScape 通訊卡10018/E/1 和10018/E/E

卡件分述：

1）10018/E/1 和10018/E/E 通訊卡用于與Honeywell 的PlantScape 系統(tǒng)進(jìn)行通訊。隔離的以太（Ethernet）串行接口（10018/E/.）將FSC 系統(tǒng)連接到PlantScape 服務(wù)器。10018/E/1 有一個接口，而10018/E/E 有兩個接口。

2）10018/E/.包括下列器件：

Motorola 68EN360 通訊控制器（以25 MHz 運(yùn)行）；

4 Mbit 閃存存儲器，用于FSC 固件程序的存儲；

16 Mbit 本地RAM，專用于用戶應(yīng)用數(shù)據(jù)的存儲；

共享的2Mbit RAM，用于該模件和FSC 控制處理器之間的所有數(shù)據(jù)交換；

隔離的一個或兩個以太串行接口。

3）該通訊卡由主板（10018/1/.右側(cè)）和一個或兩個隔離的以太串行接口10018/E/.左側(cè)）板組成。主板控制FSC 和PlantScape 之間的以太接口。它有自己的處理器和存儲器，以便為FSC 到外部的設(shè)備通訊提供最優(yōu)化的支持。

2.5Watchdog（WD）卡10005/1/1

卡件分述：

1）WD的功能是當(dāng)存在可能導(dǎo)致危險(xiǎn)情形發(fā)生的故障時，確保輸出進(jìn)入安全狀

態(tài)。

2）WD監(jiān)視的系統(tǒng)參數(shù)包括：

應(yīng)用程序一個循環(huán)的最大執(zhí)行時間。確保程序正確執(zhí)行，而沒有進(jìn)入死循環(huán)。

應(yīng)用程序一個循環(huán)的最小執(zhí)行時間。確保程序正確執(zhí)行，而沒有出現(xiàn)跳轉(zhuǎn)，造成某些程序沒有執(zhí)行。

5VDC 電源的過電壓和欠電壓監(jiān)視（5VDC±5％）。

CPU、COM卡等的存儲器錯誤。如發(fā)生存儲器錯誤，WD輸出失電。ESD 輸入信號。

轉(zhuǎn)動RESET 開關(guān)，啟動FSC 系統(tǒng)。

3）WD卡件采用三選二的表決機(jī)制，亦即它有三套同樣的電路分別對上述系統(tǒng)參數(shù)進(jìn)行監(jiān)視。

4）最大的WD 輸出電流為900mA，5VDC。如果WD卡監(jiān)視的所有輸出卡件的

WD電流總和超過900 mA，則要在系統(tǒng)中安裝WD中繼器。

2.6 WDR 卡10302/2/1

卡件分述：

1）WDR（10302/2/1）是監(jiān)測5VDC 和24VDC 供電電源的卡件，它的Watchdog輸出連接到那些供電電源（5VDC／24VDC）需要監(jiān)視的輸出卡件的Watchdog 輸入上。

2）WDR 主要用在下列場合（并非全部）：

如果所要求的Watchdog 電流超過900mA；

在FSC 系統(tǒng)中如果既有冗余的I/O，也有非冗余的I/O 時，用于為非冗余I/O的輸出卡件生成Watchdog 輸出；

在FSC 系統(tǒng)中如果CP 為冗余配置，而非冗余的I/O 中具有安全相關(guān)的輸出卡件。

2.7診斷和電池卡（Diagnostic and Battery Module，DBM，10006/2/1）

卡件分述：

1）DBM 完成下列功能：

診斷顯示（給出卡件故障的類型、Rack 號，Position 號）；

實(shí)時時鐘（給出當(dāng)前的日期和時間）；

電池后備（為CPU 和COM卡的RAM存儲器提供后備電源）；

溫度檢測（在DBM 的電路板上安裝有兩個獨(dú)立的溫度檢測元件，用以反映FSC 系統(tǒng)內(nèi)卡件的溫度）；

2）直觀顯示系統(tǒng)的三個狀態(tài)：

如果WD卡上的WD指示燈點(diǎn)亮，DBM 的數(shù)碼穩(wěn)定地顯示，則表明系統(tǒng)無故障；

如果WD指示燈點(diǎn)亮，DBM 的數(shù)碼閃爍顯示，則表明系統(tǒng)有故障，但是CP沒有Shutdown；

如果WD指示燈熄滅，則表明系統(tǒng)中存在故障，并導(dǎo)致了CP Shutdown。

3）DBM 的實(shí)時時鐘被用作SOE 事件的時標(biāo)。通過FSC 操作站、DCS 通過MODBUS、通過TPS 的時鐘源，以及指定的DI 硬通道時鐘同步脈沖等實(shí)現(xiàn)時鐘同步。

4）溫度檢測功能是為了保證FSC 系統(tǒng)在合理的溫度范圍內(nèi)工作，系統(tǒng)設(shè)置的缺省工作溫度范圍為5~55°C，超出這個范圍系統(tǒng)報(bào)警；下限到0°C，上限到60°C 時，系統(tǒng)自動Shutdown。

2.8豎向總線驅(qū)動器VBD（10001/R/1）

卡件分述：

1）VBD 用于實(shí)現(xiàn)CP 卡件與I/O 卡件的通訊。

2）豎向總線（Vertical Bus，VBUS）為34 芯扁平電纜，最大長度為5m。VBUS將VBD 和HBD（Horizontal Bus Driver，HBD，10100/2/1）連接起來，HBD 再連接I/ORack。VBUS 的末端用VBUS Terminator（10307/1/1）封住。

3）VBD 由兩部分組成：電子線路部分（主板），以及接線部分（10001/A/1）這樣做的目的，是便于更換主板。

2.9水平總線驅(qū)動器HBD（10100/2/1）

卡件分述：

1）水平總線驅(qū)動器HBD 安裝在I/O Rack 上（第20、21 槽位）。它由兩部分組成：卡件部分（10100/2/1），以及A1，A21 或A22 扁平電纜部分。

2）HBD 配置不同的扁平電纜，如上面三幅圖所示。用于下面的幾種情形：

10100/2/1 配置扁平電纜A1，用于驅(qū)動非冗余的I/O Rack。

10100/2/1 配置扁平電纜A21，用于驅(qū)動單個冗余的I/O Rack。

10100/2/1 配置扁平電纜A22，用于驅(qū)動兩個冗余的I/O Rack。

3）VBUS 扁平電纜連接到HBD 是通過將其連接到I/O Rack 第20、21 槽位背面的CN21、CN20 插座實(shí)現(xiàn)的。

4）HBD 通過前面的扁平電纜，連接到I/O Rack 上方的水平總線（Horizontal

Bus，HBUS）上。

5）在I/O Rack 背面CN21、CN20 的上方，有跳針RA0 到RA3，用于設(shè)定HBD

的Rack 地址。

2.10 源單元PSU（10300/1/1）

PSU 的作用是將24VDC 轉(zhuǎn)換為5VDC/12A，用于向CP 等供電。

PSU 斷電時，必須要等待30 秒以上才能再次上電。

2.11 測器ELD（10310/2/1）

卡件分述：

1）10310/2/1 是漏地檢測器（Earth Leakage Detector，ELD）。我們知道FSC 系統(tǒng)是浮空設(shè)計(jì)的，即系統(tǒng)內(nèi)的0V 參考點(diǎn)與系統(tǒng)外的大地沒有任何聯(lián)系（通過24VDC 電源內(nèi)的變壓器耦合，系統(tǒng)內(nèi)外已經(jīng)沒有共地點(diǎn)了）。ELD 用于監(jiān)測系統(tǒng)內(nèi)的24VDC 電源是否有接地現(xiàn)象。

2）它的面板上有兩個開關(guān)，在標(biāo)注1Hz、DC 和1/4Hz 處的為Switch 1，在

RESET 和TEST 處的，我們稱為Switch 2。

3）在ELD 的電路內(nèi)有一個觸發(fā)器（Flip-flop，F(xiàn)F），當(dāng)有接地故障發(fā)生時，F(xiàn)F置位觸發(fā)，使其輸出繼電器線圈失電，觸點(diǎn)動作，送出報(bào)警信號，同時面板上的Fault 指示燈點(diǎn)亮（紅色），只有當(dāng)故障排除并通過Switch 2 給出Reset 信號后，指示才會熄滅。

2.12 鑰匙開關(guān)卡（Dual Key Switch Module）（10311/2/1）

卡件分述：

1）該卡件的上部為Watchdog Reset 鑰匙開關(guān)，下部為Force Enable（強(qiáng)制允許）鑰匙開關(guān)。它們采用不同的鑰匙。

2）WD Reset 開關(guān)用于Watchdog 的Reset 和故障的Reset。

3）Force Enable 開關(guān)用于設(shè)置輸入輸出信號的強(qiáng)制允許（垂直位置，此時開關(guān)下面的LED 紅色指示燈點(diǎn)亮）和不允許（水平位置）。當(dāng)處于強(qiáng)制允許位置時，在組態(tài)時對輸入、輸出信號設(shè)置的允許強(qiáng)制（Force Enable：Yes）才有效。

2.13 I/O 卡件匯總

故障安全數(shù)字輸入卡（可測試的，Testable）

10101/2/1：Fail-safe digital input module (24VDC, 16 ch.)

10106/2/1：Fail-safe line monitored digital input module (16 ch.)

故障安全模擬輸入卡（可測試的，Testable）

10105/2/1：Fail-safe analog input module (16 channels)

10102/2/1：Fail-safe analog input module (4 channels)

非故障安全數(shù)字輸入卡（不可測試的，Not Testable）

10104/2/1：Digital input module (24VDC, 16 channels)

故障安全數(shù)字輸出卡（可測試的，Testable）

10201/2/1：Fail-safe, 24VDC, 13W, 8 channels (2 groups)

10215/2/1：Fail-safe, 24VDC, 48W, 4 channels (2 groups)