Safety Manager控制系統的應用①

嚴盛超 范振華

(中國石油蘭州石化公司設備維修公司)

SafetyManager控制系統的應用①

嚴盛超 范振華

(中國石油蘭州石化公司設備維修公司)

介紹Safety Manager控制系統的組成、硬件結構和組態軟件的使用方法及其特點。

Safety Manager 組成 硬件結構 組態

煉化裝置的某些生產過程要求有很高的工藝壓力和溫度，或者必須使用易燃、易爆甚至有毒有害的危險物質，這就導致其生產過程本質上是不安全的。各生產企業都希望盡量降低生產過程中的各種風險，在保證安全的前提下完成生產目標，并處理好生產過程安全性和可用性之間的關系。因此大多數工業生產過程都帶有安全防護措施，通過采用合適的安全系統來降低這種風險，在生產裝置出現異常情況時，安全系統能夠使生產過程進入安全狀態。

安全儀表系統(Safety Instrumented Systems，SIS)是煉化企業自動控制中的重要組成部分，主要用于生產裝置控制系統中的報警和聯鎖，對控制系統中檢測的結果實施報警、調節或停機控制。通常SIS由傳感器、邏輯解算單元和最終控制元件組成，其功能性和可靠性是由其所有的組成部分的可靠性決定的[1]。在某廠年產3萬噸硫磺回收裝置升級改造項目中，采用的是以Safety Manager為邏輯解算單元的SIS系統，筆者對Safety Manager的系統組成與應用作以介紹。

1 Safety Manager的特性與系統結構

Safety Manager和常規PLC有相似之處，都能完成邏輯和數學計算，都有輸入輸出卡件，對輸入信號掃描并按照特定的控制邏輯驅動現場最終控制元件，也都有數字通信端口。但常規PLC從設計上并不具備故障容錯和故障安全性能，PLC的一個數字輸出電路和可能的故障如圖1所示。

圖1 PLC的數字輸出電路和可能的故障

由圖1可以看出，常規PLC數字輸出電路可能發生的故障如下：

a. 輸出短路故障。當晶體管的集電極和發射極短路時，相當于電源直接接到負載上。對于這種不會導致正常為帶電狀態的輸出失電的故障，稱為被動故障，因無法使輸出失電從而進入安全狀態，因此是危險的。被動故障影響安全但不影響有效性。

b. 輸出斷路故障。當晶體管的發射極輸出斷路時，負載失電。對于這種導致正常為帶電狀態的輸出失電的故障，稱為主動故障，由于使輸出失電從而進入安全狀態，因此是安全的。主動故障不影響安全但影響有效性。

綜上所述，PLC無法處理被動故障，不能使設備進入安全狀態，所以不能用作安全防護裝置。而Safety Manager的數字輸出電路是將兩個電路串聯在一起(圖2)，同時通過其診斷功能將這兩個電路的狀態實時監測，一旦其中一個電路出現前述短路故障，另一個電路仍然能切斷輸出，此外再將輸出電路進行冗余配置，這樣就極大地提高了Safety Manager的可靠性和有效性。

圖2 Safety Manager冗余通道輸出電路

設備安裝所處的環境和地理分布不同，不同類型的生產過程需要不同的安全等級和可用性等級進行安全防護，基于上述原因，Safety Manager需要組成不同的結構來滿足生產裝置的需求。不同結構的Safety Manager均可以達到SIL3安全等級，但是可以具有不同的可用性等級，所以需要根據工藝生產過程中要求的可用性等級確定最佳的組成結構(表1)。

表1 不同結構對可用性的等級要求

冗余控制器的結構包含兩個QPP，其表決機制結合了每一個QPP的1oo2表決機制和兩個QPP之間的1oo2表決機制，即可以提供2oo4的表決機制，這就實現了四重冗余(QMR)。

冗余的IO配置里，每一條通路由一個控制器和獨立的“看門狗”控制點切斷開關控制，每一個控制可以切斷另一個控制器的輸出通道。此外，“看門狗”電路能夠檢測處理器的正確運行，當存在可能導致危險發生的故障時，確保輸出進入安全狀態。

2 Safety Manager組態

Safety Builder是Safety Manager的在線監視和組態軟件，主要有離線功能和在線功能。

2.1 離線功能

離線功能是工程師組態工具，主要用于網絡組態、硬件組態、IO點組態、應用程序的編輯和編譯。

網絡組態提供物理視窗(physical view)和邏輯視窗(logical view)，用于建立Safety Manager與其他設備的網絡連接，例如：DCS系統、外部時鐘源、上位軟件及操作站等。設置好控制器參數后，再建立相應的網絡連接，即可實現與需要連接設備之間的通信。

點擊工具欄的Hardware Configurator，進入硬件組態界面，根據實際需要在相應的槽位添加設備。通過右鍵，可在其屬性窗口內選擇正確的型號。

如圖3所，示點擊工具欄內的Point Configurator進入IO點組態界面，通過上方工具欄內的選項建立相應類型的點，在主界面main輸入相應信息，例如：具體的卡件通道、用于通信的PLC地址等；在Options欄選擇該點是否允許被強制，故障時所處的狀態以及是否要進行事件記錄，若該點是AI點，還應該設置相應的量程以及報警值。也可將各種類型的點先各建好幾個，再利用左上方的工具，將建好的點導出，打開導出的表格，按要求將各點信息填好再導入即可。

Application Editor是設計FLD的工具。Safety Manager的控制功能是通過FLD實現的，該系統每一個應用程序最多包含2 500頁FLD。

如圖4所示，按照設計所出的邏輯圖編輯FLD，在符號庫中選相關符號后，移動到正確的位置后點擊鼠標左鍵固定；在每一個符號庫里都可以找到符號連接線，其中雙線連接模擬量，單線連接數字量；當選擇任意的IO Symbol后，將自動打開窗口顯示出所有可用的相關類型的點，選擇所需要的位號即可應用。編輯FLD時盡量將邏輯細分為幾部分，以免因擁擠而造成閱讀困難，給維護增加難度。

編輯好應用程序，在下裝至控制前應該先將程序保存并編譯，查看是否有錯誤。點擊Application Complier圖標，對程序進行編譯，在編譯界面中可以看到編譯后的邏輯版本號、錯誤數量和錯誤的詳盡信息。通過查看錯誤信息，在FLD中將錯誤逐條進行修改，直至完全正確為止。

圖3 IO點組態界面

圖4 應用程序編輯界面

2.2 在線功能

2.2.1控制器管理

點擊Controller Management按鈕啟動控制器管理，Safety Builder自動連接網絡組態所選的控制器。連接成功即可進入系統在線環境；否則需進行系統應用程序下裝，如圖5所示。

圖5 控制器管理界面

當連接至控制后，即可對Safety Manager系統進行在線監視，且能查看內容如下：

a. System Information。提供控制器運行時的相關信息和遠程IO的相關運行信息。

b. Communication Status。顯示所有通信卡所有通道的通信狀態和已經組態了的通信連接的狀態，通常情況下，若測試結果為0，表示正常。

c. Actual Diagnostics。實時診斷信息。若系統無故障，則顯示No Faults Detected。若診斷出系統故障，則以列表的形式顯示，旋轉RESET鑰匙開關，實時診斷信息將被清空。

d. Actual and Historical Diagnostics。實時的和歷史的診斷信息。

e. Loop Monitoring。該系統的某些類型的IO卡帶有檢測回路故障的能力，在該界面內可以顯示這些可能發生的回路故障。

f. Time Synchronization。點擊該按鈕可使Safety Manager系統時鐘與Safety Station時鐘同步。

g. Remote Reset。該按鈕的功能與BKM上的Reset鑰匙開關功能相同。

2.2.2Point Viewer

進入該界面，可以自由地定義屏幕、編輯內容，方便測試和在線監測多個IO點。通過添加，可將需要監測的點以列表的形式顯示，其中可以查看該點的狀態，F代表該點被強制，D代表該點所在的通道檢測到故障。此外，在該界面內還可查看所有被強制的點，在確認這些點都恢復至正常狀態后，可通過取消強制的按鈕一次性將所有強制點恢復。

2.2.3應用程序的在線查看

進入該界面，可以在線監測和瀏覽FLD。在線FLD中紅色顯示的符號代表安全相關。單線顯示的數字量中，實線表示邏輯狀態為“1”，虛線表示為“0”；雙線顯示的模擬量中，數字表示以工程單位表示的信號值。在該界面中可以方便查找某一個點，并通過雙擊鼠標左鍵對該點進行強制。

3 結束語

Safety Manager的系統結構具有很高的功能安全等級，可以滿足裝置安全生產的要求。目前，安全生產受到高度關注，Safety Manager系統的試用可以有效提高裝置安全功能等級，為裝置安全生產提高有力保障。

[1] 高帥,左信.安全儀表系統現場可靠性數據收集及處理方法[J].石油化工自動化,2012,48(3):43～46,75.

嚴盛超(1988-)，助理工程師，從事石油煉化行業儀表和控制系統的維護工作。

聯系人范振華(1984-)，助理工程師，從事石油煉化儀表和控制系統的檢維修及設備長周期運行維護工作，283409378@qq.com。

TH862+.7

B

1000-3932(2017)12-1181-04

2017-07-18，

2017-10-20)