霍尼韦尔SM系统.ppt

《霍尼韦尔SM系统.ppt》由会员分享，可在线阅读，更多相关《霍尼韦尔SM系统.ppt（70页珍藏版）》请在三一办公上搜索。

1、,Honeywell Safety Manager安全控制系统（硬件部分）,Safety Manager安全控制系统概述,获得IEC61508标准认证。可同时处理设备安全级别SIL1到SIL3的安全要求。应用程序设计标准IEC61131-3为最普通的设计语言定义了最基本的设计原理、语法和语义的规则Safety Manager控制器的控制结构可以被组态成非冗余、双重冗余(DMR)和四重冗余（QMR)，每种结构都有不同的特性和安全设备功能。,SIL（Safety Integrity Level）-安全完整性等级,SIL认证一共分为4个等级，SIL1、SIL2、SIL3、SIL4，包括对产品和对系统

2、两个层次。其中，以SIL4的要求最高，如铁路的ATP系统，石化电力的SIS系统等。石化仪表类最近一般选SIL2、SIL3。,SIL认证的意义,随着工业事故及其对社会的影响被人们广泛认知，越来越多的企业意识到安全的重要性。SIL认证的过程就是帮助企业把最好的工程实践经验和安全技术（IEC61508和IEC61511）充分利用，避免工业事故的再次发生。因为这些经验和技术是建立在大量的实际经验和教训基础之上的。SIL认证的现实意义在于：安全改进；防止生产人员和生产区外部人民的身体损害；避免破坏环境；避免生产损失；避免法律责任。,什么是SIS(安全仪表控制系统),安全仪表系统（Safety Instr

3、umented System，简称SIS）根据美国仪表协会（ISA）对安全系统控制系统的定义而得名，也称紧急停车系统（ESD）、安全联锁系统（SIS）或仪表保护系统（IPS）。安全仪表系统是指能实现一个或多个安全功能的系统，用于监视生产装置或独立单元的操作，如果生产过程超出安全操作范围，可以使其进入安全状态，确保装置或独立单元具有一定的安全度。安全系统不同于批量控制、顺序控制及过程控制的工艺联锁，当过程变量（温度、压力、流量、液位等）超限，机械设备故障，系统本身故障或能源中断时，安全仪表系统自动（必要时可手动）地完成预先设定的动作，使操作人员、工艺装置处于安全状态。帮助过程工业风险降低到可以接

4、受的水平的安全防护装置。,*完整的SIS（安全防护系统）由传感器、逻辑解算单元、最终控制单元组成，当生产过程的预定条件受到冲击时自动的将其置于安全状态。其类型为：,紧急停车系统(ESD)火气系统（F&G）设备防护系统（IPS）安全联锁Safety interlocks安全相关系统Safety Related Systems高压防护系统（HI(P)PS）燃烧管理系统(BMS),SIS系统的结构,目前SIS的主流系统结构主要有TMR（三重化）、2oo4D（四重化）2种。（1）TMR结构：它将三路隔离、并行的控制系统（每路称为一个分电路）和广泛的诊断集成在一个系统中，用三取二表决提供高度完善、无差错

5、，不会中断的控制。TRICON、ICS均是采用TMR结构的系统。（2）2oo4D结构：2oo4D系统是有2套独立并行运行的系统组成，通讯模块负责其同步运行，当系统自诊断发现一个模块发生故障时，CPU将强制其失效，确保其输出的正确性。同时，安全输出模块中SMOD功能（辅助去磁方法），确保在两套系统同时故障或电源故障时，系统输出一个故障安全信号。一个输出电路实际上是通过四个输出电路及自诊断功能实现的。这样确保了系统的高可靠性，高安全性及高可用性。HONEYWELL、HIMA的SIS均采用了2004D结构。,SIS与DCS的区别,（1）、连续测量、操作控制管理等，保证生产SIS系统用于监测生产装置的

6、运行情况，对出现的异常情况立即进行处理，用以避免事故的发生或者减少事故发生后给设备、人员和环境造成危害，从而使危险降低到最低程度的一种专用仪表系统；DCS用于生产过程的常规控制（连续、顺序、间歇等）装置的平稳运行。（2）SIS系统属于“静态”系统，在正常工况下，始终监测生产装置的运行，系统输出不变，不对生产过程产生影响；在非正常工况下，将按预先的设计进行逻辑运算，使生产装置安全联锁或停车。DCS属于“动态”系统，连续对过程变量进行检测、运算和控制，对生产过程进行动态的控制，确保最终产品的产量和质量；（3）SIS比DCS在可靠性、可用性上要求更严格，IEC61508、IEC61511、ISA S

7、84.01、SH/T3018强烈推荐SIS与DCS硬件独立设置。,SM系统基本结构配置,SM系统特性,双重冗余（DMR）,DMR在非冗余结构中提供1oo2D表决机制，基于双处理器，并且具有高水平的自我测试、诊断和容错功能。DMR实行非冗余控制结构，每一个非冗余结构只包含一个QPP控制单元，QPP含有冗余的处理器，处理器与内存均为1oo2D的表决机制。在IO配置里，每一条通路由控制器和独立的Watchdog控制。,四重冗余QMR,为连续运转的过程控制提供安全防护QMR是基于2oo4D表决机制，每一个QPP中含有双处理器技术的结构。那就意味着，它的性能由其最终的自我诊断和容错水平决定。QMR实行冗

8、控制器结构。该冗余结构包含两个QPP,这就实现了四重冗余，从而可以对于安全双重容错。在冗余IO配置表里，每一条通路由一个控制器和独立看门狗控制点切断开关控制。此外，每一个控制器可以切断另一个控制器的输出通道。,安全标准,Safety Manager遵循以下国际标准：BMS:NFPA85、86、VDE0116ESD:IEC61508、IEC61511、ISAS84.01、DINV19250、UL、FM、ATEXF&G:EN54-2NFPA72、劳氏船级社、FM-防火 设备认证,Safety Manager硬件概述,Safety Manager硬件组成及其功能,Safety Manager系统机柜

9、,SM系统内控制器及IO排布,Safety Manager系统的卡件和IO卡件安装在旋转机架上。旋转机架上共有10个底座位置。SM控制器和IO通常自2层开始配置，所以控制器机柜内的旋转机架最多放置8个IO底座，如果是单独的IO机柜，就最多可以放置9个IO底座（Remote IO即远程IO除外），如图3.1所示。,如图3.2所示，一套SM系统最多由4个系统柜组成，控制器和本地的IO卡件之间最大距离是2个机柜。,图3.3是Safety Manager 使用远程IO的情形。RUSIO可以安放在控制侧也可以远程安装，Safety Manager 最多支持28个RUSIO，最远可达100KM。,四重冗余

10、处理器包（QPP）,QPP是Quad Processor pack的缩写，它通常放置在每一个CP的左侧。注意：拔出或更换QPP卡时，必须将其钥匙开关置于STOP位置。,QPP功能,QPP是SM的系统的核心，它的主要功能是:持续的周期性读输入信号，执行功能逻辑程序，写输出信号到输出卡，连续测试系统硬件，以保证安全控制。,Watchdog看门狗,Watchdog功能1.监视处理器运行2.紧急停车输入(SD Input）3.故障复位Reset,Watchdog结构特点,1.1oo2D结构配置 a.除对处理器等硬件进行测试外，Watchdog也要对其本身做测试。为实现这个功能，Watchdog结构做了

11、1oo2D结构配置。b.每个Watchdog由两个相同的独立部分组成，每个部分都将被测试和具有单独的输出，最终这些输出通过一个“或门”作为系统的Wtchdog输出。*具有单独的冗余IO输出和非冗余的IO输出 a.如果需要处理器可以分别单独停止冗余或者非冗余IO,人机接口（User Interface）,1.带翻页按钮的显示屏 a.缺省显示系统实时时钟 b.上下翻可以显示系统状态和诊断信息2.钥匙开关和状态指示灯 a.钥匙开关有三个位置，STOP 停止 IDLE 下装程序 RUN 运行 b.LED状态指示灯 绿色：正常 无指示:请检查钥匙开关位置是否上电 红色：故障,实时时钟（Real Time

12、 Clock）,为控制器提供时间和日期为SOE、报警和诊断信息添加时间可以被其他时钟源同步,温度监视（Temperature Monitor）,监视CPChassis 的各组件的温度，确保不超过运行范围。,通讯卡（USI）,USI通常放在QPP的右侧的两个槽里，并且一个控制器最多支持2块USI。目前的型号有USI-0001和USI-0002两种，其中USI-0002除具备所有USI-0001的功能外，增加了内存；当需要以CDA方式与Experion 集成时，必须使用QPP-0002和USI-0002。USI 通讯口连接USI是SM系统的通讯卡，它的A，B，C，D四个通讯口可以被用作四种不同的通

13、讯解决方案。通过查看发送和接受LED状态指示灯，可以确认相关端口的数据通讯是否有效。A和B接口是用做以太网高速通讯，C和D接口用做串行通讯（RS-232或RS-485）。A&B:以太网连接 10/100M全双工或者自适应 最大长度100m 使用RJ45 网线连接C&D：RS-232或RS-485,RS-232&RS-485串行通讯比较,具体解决方案,当需要使用RUSIO远程功能时,需要专用的网络即专用的USI(USI-000 x)使用专有的认证过的交换机由交换机支持光纤连接最远支持100KM,5VDC供电单元（PSU）,PSU通常放置在每一个CP的右侧。PSU的作用就是把24VDC转换成5VD

14、C，其工作受Wacthdog的实时监控LED状态指示灯熄灭-失电或者供电电压低红色-5VDC输出值过低绿色-5VDC输出在合理范围内（）,BKM,BKM是SM系统的必须组件，通常放置在CP底座的中间部分。在BKM的前面有两个钥匙开关和一个LED状态指示灯。它们的作用：故障复位开关 1.实时诊断缓存中的清除故障信息 2.启动控制器强制开关 1.转到ON位置，对于允许的输入输出点可以执行强制2.转到OFF位置，清除所有的强制，并且不能做任何强制LED 状态指示 1.绿色 正常 2.红色 检测到BKM故障或者电池电量低 BKM内置两块电池，为冗余的QPP中的RAM内存和时钟同步后备电池，防止断电丢失

15、数据。其中左侧电池为CP1后备，右侧为CP2后备。电池为3.6VDC锂电池，不可充电。建议最多5年更换。通常情况电池处于ON位置，若检修长期断电情况下，须将电池打到OFF。,44,IO Chassis,每个Chassis包含21个安装槽位，通常从左到右前18个可用于安装I/O卡件，第19个为空位，最右侧20和21用于安装IO ExtenderIO Chassis分为冗余和非冗余两种类型分别用来安装冗余和非冗余IO不同类型的IO可以混放在同一个IO Chassis但必须是具有相同的外部供电类型。每一个IO Chassis最多放置18块IO卡件。,漏地检测器ELD(10310/1/1),ELD的功

16、能及其使用方法,10310/1/1是漏地检测器（ELD）。SM系统是浮空设计的，即系统的0V参考点与系统外的大地没有任何联系（通过24VDC电源内的变压器耦合，系统内外已经没有共地点了）。ELD用于监测系统内部的24VDC电源是否有接地现象。它的面板上有两个开关，在标注1Hz、DC和1/4HZ处的为Switch 1在RESET和TSET处的，为Switch 2。在ELD的电路中有一个触发器（FF），当有接地故障时，FF置位触发，使其输出继电器线圈失电，触点动作，送出报警信号，同时面板上的Fault指示灯点亮（红色），只有当故障排除并通过Switch 2给出RESET信号后，指示灯才会熄灭。将S

17、witch 2打到TESET位置时对漏地检测器进行试验，正常应将其置于中间位置。通常应将Switch 1打到DC位置；打到1HZ或1/4HZ位置时，绿色的MODE指示灯以所选定的频率闪动。正常工作状态下，如果发现面板的Fault的指示灯点亮，要通过Switch 2 Reset一下，该指示灯仍然点亮的话，说明接地故障仍然存在，这时就要检查系统内什么地方出现了接地（漏地）情况，并采取相应的措施予以消除。,49,Safety Builder组态工具及其功能,Network Configurator 网络配置 配置SM的网络。Hardware Configurator 硬件配置 配置SM机柜、Chassis、卡类型和位置。Point Configurator 点组态 建立并配置点的属性。Application Editor 应用程序（FLD）编辑 设计功能逻辑图（FLD）Application Computiler 应用程序编译 用来校验组态的语法、完整性、一致性。编译组态文件成为可以下装到控制器的机器文件。,