HONEYWELL安全控制系統應用技術

1 引言
隨著安全標準的推出以及企業對安全系統重視度的不斷升級，2003年3月，中石化股份公司九江分公司對I套催化裝置原設計在DCS中的聯鎖系統進行了改造。根據裝置高溫高壓高轉速的特點和安全水平必須達到IEC(國際電工組織)提出的SIL3級標準，改造方案選取了美國Honeywell公司的FAIL SAFE CONTROL(FSC)系統，由它執行安全聯鎖系統的控制部分代替原來在DCS中執行的聯鎖內容，按照規范將安全聯鎖系統獨立出來，以確保人身和設備的安全。該系統硬件基于雙重化結構，軟硬件均通過IEC61508認證。
故障安全控制系統(FSC)即安全管理系統所制造和陳述的安全系統。此系統已經通過第二方的評定，包括(德國TuV)安全方面，(挪威Sintef)可靠性方面，及有關歐共體電磁干擾(EMC)方面指南(荷蘭Gastec)。FSC全部組態矩陣如圖1所示。
水平軸給出了根據德國安全標準DIN VI9250最高等級為AK6的安全性等級，垂直軸定義FSC系統的可應用性是通過部分或全部冗余來實現的(AK1-6)，優化可應用性是通過全部冗余來實現的(AK1-4，AK1-5)。

圖1 FSC組態矩陣圖

2 故障安全控制系統配置
2.1 硬件組成
I套催化故障安全控制系統硬件主要由PC機和FSC機柜組成，核心部分是FSC。系統配置如圖2所示。

圖2 系統配置圖

(1) PC機
選用1臺DELL工作站作為該裝置的工程師站以及事件順序記錄站SOE(Sequence of Event)兼操作站，采用多串行口卡與FSC機柜中的COM卡件進行通訊，工作站作為工程師站可以進行數據庫修改、組態、功能邏輯圖修改、設置參數及系統維護和操作功能;作為SOE站可以查詢實時操作記錄和歷史記錄、做檢索和報表;作為操作站可以通過高速的SOE和動態流程畫面進行實時現場監測、存儲、打印。
(2) FSC機柜
采用中央控制元件(簡稱CP—Central Part)全冗余，I/O(16路數字量輸入卡件10101/2/1、8路數字量輸出卡件10201/2/1、16路數字量輸出卡件10209/2/1、16路模擬量輸出卡件10105/2/1)模件部分冗余的系統結構組成該安全聯鎖系統。CP是FSC系統的核心部分,每個CP中都有一條垂直總線V-Bus，用于控制所有I/O模件，一個垂直總線驅動器VBD可以控制10個I/O rack，即I/O卡籠，I/O rack由水平總線驅動器HBD控制H-BUS通訊。控制器和重要I/O雙冗余的結構，可以保證當一個CP或I/O卡故障時，另一個CP或I/O繼續工作，從而保證系統的連續操作。FSC系統結構如圖3所示:

圖3 FSC101R系統結構圖

(3) 硬件配置
采用FSC101Ｒ系統, 系統主要硬件配置及功能見表1。
表1 系統主要硬件配置及功能

根據輸入／輸出點的分配情況和冗余配置原則，所有聯鎖保護系統中的所有狀態輸入點(DI)通過FTA-T-21端子板進入冗余的DI模件;4～20mA模擬信號(AI)經過齊納式安全柵后進入FTA-T-14端子板，再進入冗余的AI卡;雙冗余的DO模件通過FTA-T-02端子板后輸出到現場各閥門，或輸出到中間繼電器到現場電磁閥、泵及電氣;單冗余的DO模件通過FTA-T-03端子板后輸出到輔助操作臺報警指示燈，整套系統的I/O點數如表2所示。

2.2 硬件通訊設置
I套催化故障安全系統PC機與FSC機柜采用串行口通信方式，上位機通訊硬件為多串口卡(2-PORT RS-232/422/485 PCI HOST ADAPTER)，串口端采用RS-485接口、帶屏蔽雙絞通信線以提高干擾、帶負載能力及增加通信距離，下位機兩個CP中央控制單元共4塊相互冗余的COM模件，每一塊COM模件提供2個接口，負責完成兩個冗余CP之間、FSC與PC機之間、FSC與本特利3500之間的通訊。FSC系統通訊設置如表3所示。

表3 FSC系統通訊設置

PC機通訊口設置如表4所示。

表4 PC通訊設置

兩個CP之間的通訊在系統集成時固定為兩個CP中的COM1模件的A口，用戶不得修改。
系統中的一臺PC機，既擔任工程師站、SOE站又擔任操作員站，工程師站和SOE站由Honeywell公司提供的FSC Navigator 和FSC SOE軟件完成組態、維護、實時歷史記錄，兩軟件與FSC通訊連接:PC機COM4口與FSC的兩個CP的COM1(2塊COM模件中的第1塊)模件的B口相連，組態定義其采用Development SYS協議RS-485接口完成通訊連接。
操作員站由EMERSON公司提供的Intellution IFIX2.6軟件組態完成動態聯鎖畫面、報警畫面，IFIX與FSC的通訊連接:PC機的COM3口和FSC兩個CP中的COM2模件的A口相連，組態定義采用Modbus協議RS-485接口完成通訊連接。
FSC與本特利3500之間的通訊由FSC機柜中兩個CP中COM2模件的B口與本特利通訊網關模塊相連，組態定義采用本特利內華達開發的協議RS-232接口完成通訊連接。

2.3 軟件實現
系統組態軟件由上位機組態監控軟件Intellution IFIX2.6和下位機FSC編程軟件包組成，均運行在Windows2000環境下，使用方便靈活。
Intellution IFIX2.6有著豐富的流程圖功能，組態時將所有FLD圖中的通訊點輸入到IFIX數據庫中，通過MODBUS協議從FSC機柜采集各信號點的實時狀態，從而完成主機自保、裝置自保、備機小機、氣壓機和報警顯示等5幅動態聯鎖畫面的顯示，方便工藝人員了解當前聯鎖情況。
FSC軟件包由FSC Navigator和FSC SOE組成。
FSC Navigator主要進行系統組態、邏輯圖設計和系統維護工作:組態FSC參數及其屬性定義、應用FLDs建立邏輯控制程序、將應用程序編譯成FSC處理器可識別的代碼，并檢測在組態和設計中產生的錯誤;診斷系統，監視系統狀態;強制FSC參數以切斷控制回路，以便進行程序測試或現場設備的維護。
FSC SOE完成系統的事件順序記錄功能，I/O卡件通過HBUS和VBUS給中央控制單元提供事件順序能力，在每次掃描期間，控制單元檢查所有指定變量的狀態改變。當一個事件發生時，控制器將變量的當前狀態和時間協簽存儲在緩沖區內，以便組態提取事件順序。SOE的識別時間間隔為≤1ms，SOE的事件記錄存儲高達20萬條，可實時存貯在硬盤中，并可通過打印機打印出來。
2.4 邏輯控制功能
故障安全控制系統的應用程序通過功能邏輯圖來實現，功能邏輯圖簡稱FLD，系統提供大量的邏輯、算術、計時、計數、PID等運算模塊，用戶可根據設計需要，選擇相應的I/O符號，直接使用與、或、非的邏輯圖的方式實現用戶的邏輯功能，此外，用戶還可以用系統自帶的Function Block模塊定義需要的功能塊，以子程序形式在其他程序中調用，實現較為復雜的邏輯控制。I催FSC系統中定義了RS觸發器、溫壓補償、延時計數器、三取二等邏輯功能塊，多次在其他的子邏輯中得到調用。
I催組態邏輯圖共38張，主要完成主風機的開停車聯鎖及機組部份的聯鎖與控制，各子邏輯包括:蠟油自保、兩器差壓自保、總進料閥自保、外取熱器自保、小風機自保、備機自保、主風低流量自保、逆流自保、主機停機自保、主機啟動自保、FSC系統報警、氣壓機啟動、氣壓機自保等13部分。邏輯輸入為開關量和模擬量，重要的信號還經過“三取二”或“二取二”表決。“安全運行”和“停車”邏輯設計為故障安全型，即系統正常帶電、事故失電。各機組自保之間、機組自保與裝置自保之間互有聯系，構成既獨立又關聯的自保邏輯系統。
以氣壓機自保為例的FSC系統功能邏輯圖如圖4所示。

圖4中，左邊為邏輯輸入，中間為邏輯部分，右邊邏輯輸出。PDT4002潤滑油壓力低低(≤0.15MPa);XT4003汽輪機位移高高(≥0.8mm);

ST4002/ST4003汽輪機轉速高高(≥9044rpm);PS4001A/B/C潤滑油總管壓力低低(≤0.1MPa);XT4001A/B壓縮機位移高高(≥0.7mm);HY4001緊急停機;HY4002緊急停機復位;HY4003現場緊急停機;LAMP4002允許啟動至現場指示燈;SV451防喘振電磁閥;SV4001/SV4002氣輪機調節系統電磁閥;FB930是三取二功能塊;FB900是RS觸發器功能塊。組態中必須保證所有信號線都與各邏輯塊緊密連接。I/O符號為灰色, 表示該I/O信號為有硬接線的信號，符號為黑色，則表示該點為通訊點, 即“LOC”為“COM”的軟點。

3 安全聯鎖系統應用體會
3.1 模件插拔
當模件出現故障需要更換時，應注意有些模件可以帶電插拔，而有些則是嚴禁帶電插拔的，在條件允許的情況下，最好都先斷電再插拔，以減少意外故障的發生。
3.2 報警信息
當DBM模件上的信息顯示燈閃爍時，表明系統出現了故障，這時在SOE的畫面中也將看到出現紅色報警信息，并伴有聲音報警。撥動DBM上的按鈕可以查看到故障模件所在的位置及故障類型等故障信息，上位機可通過Extended Diagnostics進入在線診斷畫面，系統將顯示故障信息及錯誤代碼。
3.3 系統自診斷
裝置系統采用2004D系統，由2套獨立并行運行系統組成，當系統自診斷發現1個模塊發生故障時，CPU將強制其失效，確保其輸出的正確性。安全輸出模塊中的SMOD功能(輔助去磁方法)確保在2套系統同時故障或電源故障時系統輸出1個故障安全信號，1個輸出電路實際上通過4個輸出電路和自診斷功能實現，這樣確保了FSC的高可靠性、高安全性和高實用性。

4 結束語
FSC自投用以來，利用了組態軟件強大數據處理和圖形表現的能力，融合了較先進的自動化技術、計算機技術、通訊技術、故障診斷技術和軟件技術，具有可靠性高、操作簡單、維護容易等特點。表現出了它強大的安全穩定的控制能力和通訊功能，為裝置事故狀態下的安全提供了保證。