第一章安全控制系統概述

1、安全控制系統的地位和作用

我們從權威的IEC61508 和IEC61511 標準入手來討論安全控制系統的概念。IEC61508 基本上是面向安全控制系統的制造和供應商的，如Honeywell 的FSC 就獲得了該標準的認證；IEC61511 則是面向流程工業安全控制系統的設計者、集成者以及用戶的，為IEC61508 在石化等過程工業的應用提供了一個操作性更強、更易于理解的版本。先來看IEC61511。下圖是該標準對過程工業控制和安全管理的一個分層描述。它的內核是工藝流程或生產裝置，首先要建立基本過程控制系統（Basic Process ControlSystems）對過程對象進行控制，比如DCS 或以前的由常規儀表組成的控制系統。它的外面是安全防護層（Prevention），這其中就包括了安全儀表控制系統（Safety InstrumentedControl Systems），即我們常說的ESD 安全系統。安全儀表系統定義為“它是由傳感器、邏輯解算單元和最終控制元件組成的控制系統，設計用于當生產過程的預定條件受到沖擊時，自動地將其置于安全狀態”。這些預定條件包括壓力高限、溫度高限等工藝參數。安全儀表檢測出潛在的危險工藝狀態，通過組態的聯鎖邏輯控制現場電磁閥等的切斷或導通，保護工業設備和人員的安全；下一層是減災（Mitigation），它也包括了安全儀表控制系統，即火災和可燃氣體安全控制系統。再外層就是消防等緊急響應系統等。

將安全功能和常規控制功能用不同的控制器來完成有很多方面的考慮，主要有三點：故障獨立：如果控制系統故障，這時恰恰需要安全系統對生產裝置的安全做出保障。如果把它們的功能用同一套控制系統實現，就可能同時喪失控制功能。安全可靠（Security）：常規控制系統相對來說會經常地改變控制因素，比如改變控制參數，改變控制模式，以及改變控制方案等等。從安全可靠性來說，其要求并不是十分嚴格。而對安全系統則不然，改變設定值，改變控制邏輯可能有嚴格限制，必須遵循特定的審批制度，得到授權才能進行。

對控制器的安全要求：用于安全系統的控制器有特殊的性能指標要求，比如其診斷能力要在95%以上，獲得認證的故障安全（Fail-safe）響應能力，特定的軟件錯誤檢測、數據存儲保護和故障容錯要求等等。這種特殊的安全性和可靠性的性能指標是一般控制系統不具備的或者說不需要的。

2、安全控制系統的特點

安全控制器和常規的PLC 有相似之處，它們都能完成邏輯和數學計算，都有輸入輸出卡件，對輸入信號掃描并按照特定的控制邏輯驅動現場最終控制元件，也都有數字通訊端口。但是常規的PLC 從設計上并不具備故障容錯和故障安全的性能，這是它們的最基本區別。簡要歸納安全控制系統的幾個特點：

它要達到兩個重要目標：

要有極高的安全性（Safety）和有效性（Availability），即使出現故障，也要用冗余等措施使系統工作正常。

故障只能是以可預見的、安全方式出現。

著重內部診斷，將硬件和軟件相結合，檢測出系統本身的異常操作，檢測出99%以上內部元器件的潛在危險故障；要采用一系列特殊的技術保證軟件的可靠性；冗余配置，即使部件出現故障時也要保持正常操作；對通過數字通訊端口的任何讀寫要有非常高的安全可靠保證。

在系統設計時采用故障模式、影響和診斷分析（Failure Modes, Effects andDiagnostic Analysis，FMEDA），研究、測試系統中的每個部件會出現怎樣的故障，以及系統怎樣檢測出這些故障。

要通過第三方的權威認證，比如TüV 認證，以便滿足國際標準對安全和可靠性的嚴格要求。

3、標準PLC 故障分析及FSC系統輸出電路的特點

下面我們通過故障模式、影響和診斷分析（FMEDA），看一看常規PLC 的典型輸出電路的故障，以及FSC 是如何避免這些故障的。下是PLC 的輸出電路和可能的故障。

輸出短路故障

當晶體管的集電極和發射極短路時，相當于+24VDC 電源直接接到負載上，也就是說負載仍處于帶電狀態。對于這種不會導致正常為帶電狀態的輸出失電的故障，稱為“被動”故障（Passive fault）。由于無法使輸出失電從而進入安全狀態，因此它是“危險的”（Dangerous）?！氨粍印惫收嫌绊懓踩挥绊懹行?，歸類為導致危險故障（FailTo Danger，FTD）。

輸出斷路故障

當晶體管的發射極輸出斷路時，負載失電。對于這種導致正常為帶電狀態的輸出失電的故障，稱為“主動”故障（Active fault）。由于它使輸出失電從而進入安全狀態，因此它是“安全的”?！爸鲃印惫收喜挥绊懓踩绊懹行?，歸類為導致損失故障（FailTo Nuisance，FTN）。

安全監控系統的設計和制造要瞄準這樣的目標：

①零“被動”故障（FTD）；

②避免太多的“主動”故障（FTN）影響有效性。

基本的安全準則是：“在操作運行的任何時間周期內，單一故障的存在不能影響安全”?；谶@樣的標準，FSC 的DO 輸出電路如下圖所示。它將兩個電路串聯在一起，同時這兩個電路的狀態（STATUS）被實時監測，一旦其中的一個電路出現了前述的短路故障，另一個電路仍然能夠切斷輸出，也就使FTD 故障降為零。當我們將輸出電路冗余配置時，如下圖所示，就更大地提高了系統的有效性。

第二章FSC系統硬件介紹

FSC 系統硬件由Central Part 卡件和I/O 卡件兩部分組成。Central Part 簡稱為CP，包括CPU、COM（通訊卡）、WD（系統狀態監視卡，或稱看門狗卡）、DBM（診斷和電池卡），以及VBD（豎向總線驅動卡）。I/O 卡件包括DI 卡、DO 卡、AI 卡，以及AO 卡。

2.1CPU 卡10002/1/2、10012/1/2 和10020/1/.

卡件分述：

1）功能：讀輸入信號，執行功能邏輯程序，寫輸出到輸出卡，連續測試系統硬件，以保證安全控制。

2）CPU 卡有三種配置：

采用RAM/EPROM存儲器（10002/1/2）；采用閃存（Flash）存儲器（10012/1/2）；以及采用雙處理器（Enhanced Processor Module，EPM；Quad Processor Module，QPM）（10020/1/.）

3）10002/1/2 的PCB：它有兩面，外面安裝存儲應用軟件（Application Software）的RAM或EPROM；里面安裝存儲系統軟件（System Software）的EPROM。通過跳針確定采用RAM還是EPROM，以及EPROM 的容量大小。

4）CPU 卡的存儲器有以下幾種類型：

RAM存儲器：系統變量和應用變量（所有的I/O，Markers，Counters，timers，以及Registers）由DBM（電池和診斷模件）為RAM提供電池后備。不揮發閃存存儲器。

5）RUN/STOP 鑰匙開關：

10002/1/2 和10012/1/2 有兩個開關位置：

?垂直：運行；

?水平：停止（CPU 復位，RESET）

10020/1/.有三個開關位置：

?垂直向上：（準備）運行；

?水平：IDLE（由軟件控制）；

?垂直向下：停止（CPU 復位，RESET）；

6）LED 指示燈：

10020/1/.的面板上的LED 指示燈顯示三個狀態：

OFF：CPU 處于停止狀態；

綠色：CPU 卡沒有故障；

紅色：CPU 卡有一個或多個硬件故障。

2.2通訊卡10004/./.、10014/./.和10024/./.

卡件分述：

1）通訊卡有三種配置：

10004/./.（EPROM）；10014/./.（FLASH 存儲器）；10024/./.（增強型通訊模件，ECM）通訊卡由主板（100?4/1/1 右側）和兩個通訊接口板（100?4/x/x 左側）兩部分組成，在Rack 上占據兩個卡槽位置。

通訊卡用于：在FSC 系統中，冗余的Central Parts 之間的通訊；構成FSC 網絡時，主FSC 系統和從FSC 系統之間的通訊；與DCS 以及打印機等外部設備之間的通訊；與FSC 操作站的通訊。

2）通訊卡主板：擁有自己的處理器和存儲器，確保為外部設備提供最優化的通訊支持。

3）通訊接口板：有上下兩個通訊接口，支持串行通訊RS-232（F）、RS-485（I）、光纖通訊（G），以及RS-422（H）。上下兩個通訊接口支持不同的通訊協議（Protocol），包括：FSC-FSC；FSC-DS；ModBus RTU；ModBus H&B。

2.3安全管理器卡（SMM）10008/2/U 和10018/2/U

卡件分述

1）SMM 通訊卡有兩種配置：

10008/2/U（基于EPROM，已停產）

10018/2/U（基于FLASH）

2）SMM 通訊卡通過UCN 網通訊，使FSC 成為Honeywell TPS 系統中的一個節點，稱為安全管理器（Safety Manager，SM）。從GUS 上看，SM 和HPM一樣，都是UCN 上的節點，SM 的組態建點與HPM在很大程度上是一樣的，只不過HPM的輸入、輸出來自現場，而SM 的輸入從FSC 的輸入、輸出讀取，而其輸出則寫到FSC 的輸入上。

3）SMM 通訊卡上包含下列器件：

Motorola 68360 通訊控制器（以25 MHz 運行）；

4 Mbit 閃存存儲器，用于FSC 固件程序的存儲；

16 Mbit 本地RAM，專用于用戶應用數據的存儲；

共享的2Mbit RAM，用于該模件和FSC 控制處理器之間的所有數據交換；通過該共享RAM進行數據交換，對FSC 進行寫保護，保證FSC 系統獨立于SMM 卡，保證數據的安全。

2.4PlantScape 通訊卡10018/E/1 和10018/E/E

卡件分述：

1）10018/E/1 和10018/E/E 通訊卡用于與Honeywell 的PlantScape 系統進行通訊。隔離的以太（Ethernet）串行接口（10018/E/.）將FSC 系統連接到PlantScape 服務器。10018/E/1 有一個接口，而10018/E/E 有兩個接口。

2）10018/E/.包括下列器件：

Motorola 68EN360 通訊控制器（以25 MHz 運行）；

4 Mbit 閃存存儲器，用于FSC 固件程序的存儲；

16 Mbit 本地RAM，專用于用戶應用數據的存儲；

共享的2Mbit RAM，用于該模件和FSC 控制處理器之間的所有數據交換；

隔離的一個或兩個以太串行接口。

3）該通訊卡由主板（10018/1/.右側）和一個或兩個隔離的以太串行接口10018/E/.左側）板組成。主板控制FSC 和PlantScape 之間的以太接口。它有自己的處理器和存儲器，以便為FSC 到外部的設備通訊提供最優化的支持。

2.5Watchdog（WD）卡10005/1/1

卡件分述：

1）WD的功能是當存在可能導致危險情形發生的故障時，確保輸出進入安全狀

態。

2）WD監視的系統參數包括：

應用程序一個循環的最大執行時間。確保程序正確執行，而沒有進入死循環。

應用程序一個循環的最小執行時間。確保程序正確執行，而沒有出現跳轉，造成某些程序沒有執行。

5VDC 電源的過電壓和欠電壓監視（5VDC±5％）。

CPU、COM卡等的存儲器錯誤。如發生存儲器錯誤，WD輸出失電。ESD 輸入信號。

轉動RESET 開關，啟動FSC 系統。

3）WD卡件采用三選二的表決機制，亦即它有三套同樣的電路分別對上述系統參數進行監視。

4）最大的WD 輸出電流為900mA，5VDC。如果WD卡監視的所有輸出卡件的

WD電流總和超過900 mA，則要在系統中安裝WD中繼器。

2.6 WDR 卡10302/2/1

卡件分述：

1）WDR（10302/2/1）是監測5VDC 和24VDC 供電電源的卡件，它的Watchdog輸出連接到那些供電電源（5VDC／24VDC）需要監視的輸出卡件的Watchdog 輸入上。

2）WDR 主要用在下列場合（并非全部）：

如果所要求的Watchdog 電流超過900mA；

在FSC 系統中如果既有冗余的I/O，也有非冗余的I/O 時，用于為非冗余I/O的輸出卡件生成Watchdog 輸出；

在FSC 系統中如果CP 為冗余配置，而非冗余的I/O 中具有安全相關的輸出卡件。

2.7診斷和電池卡（Diagnostic and Battery Module，DBM，10006/2/1）

卡件分述：

1）DBM 完成下列功能：

診斷顯示（給出卡件故障的類型、Rack 號，Position 號）；

實時時鐘（給出當前的日期和時間）；

電池后備（為CPU 和COM卡的RAM存儲器提供后備電源）；

溫度檢測（在DBM 的電路板上安裝有兩個獨立的溫度檢測元件，用以反映FSC 系統內卡件的溫度）；

2）直觀顯示系統的三個狀態：

如果WD卡上的WD指示燈點亮，DBM 的數碼穩定地顯示，則表明系統無故障；

如果WD指示燈點亮，DBM 的數碼閃爍顯示，則表明系統有故障，但是CP沒有Shutdown；

如果WD指示燈熄滅，則表明系統中存在故障，并導致了CP Shutdown。

3）DBM 的實時時鐘被用作SOE 事件的時標。通過FSC 操作站、DCS 通過MODBUS、通過TPS 的時鐘源，以及指定的DI 硬通道時鐘同步脈沖等實現時鐘同步。

4）溫度檢測功能是為了保證FSC 系統在合理的溫度范圍內工作，系統設置的缺省工作溫度范圍為5~55°C，超出這個范圍系統報警；下限到0°C，上限到60°C 時，系統自動Shutdown。

2.8豎向總線驅動器VBD（10001/R/1）

卡件分述：

1）VBD 用于實現CP 卡件與I/O 卡件的通訊。

2）豎向總線（Vertical Bus，VBUS）為34 芯扁平電纜，最大長度為5m。VBUS將VBD 和HBD（Horizontal Bus Driver，HBD，10100/2/1）連接起來，HBD 再連接I/ORack。VBUS 的末端用VBUS Terminator（10307/1/1）封住。

3）VBD 由兩部分組成：電子線路部分（主板），以及接線部分（10001/A/1）這樣做的目的，是便于更換主板。

2.9水平總線驅動器HBD（10100/2/1）

卡件分述：

1）水平總線驅動器HBD 安裝在I/O Rack 上（第20、21 槽位）。它由兩部分組成：卡件部分（10100/2/1），以及A1，A21 或A22 扁平電纜部分。

2）HBD 配置不同的扁平電纜，如上面三幅圖所示。用于下面的幾種情形：

10100/2/1 配置扁平電纜A1，用于驅動非冗余的I/O Rack。

10100/2/1 配置扁平電纜A21，用于驅動單個冗余的I/O Rack。

10100/2/1 配置扁平電纜A22，用于驅動兩個冗余的I/O Rack。

3）VBUS 扁平電纜連接到HBD 是通過將其連接到I/O Rack 第20、21 槽位背面的CN21、CN20 插座實現的。

4）HBD 通過前面的扁平電纜，連接到I/O Rack 上方的水平總線（Horizontal

Bus，HBUS）上。

5）在I/O Rack 背面CN21、CN20 的上方，有跳針RA0 到RA3，用于設定HBD

的Rack 地址。

2.10 源單元PSU（10300/1/1）

PSU 的作用是將24VDC 轉換為5VDC/12A，用于向CP 等供電。

PSU 斷電時，必須要等待30 秒以上才能再次上電。

2.11 測器ELD（10310/2/1）

卡件分述：

1）10310/2/1 是漏地檢測器（Earth Leakage Detector，ELD）。我們知道FSC 系統是浮空設計的，即系統內的0V 參考點與系統外的大地沒有任何聯系（通過24VDC 電源內的變壓器耦合，系統內外已經沒有共地點了）。ELD 用于監測系統內的24VDC 電源是否有接地現象。

2）它的面板上有兩個開關，在標注1Hz、DC 和1/4Hz 處的為Switch 1，在

RESET 和TEST 處的，我們稱為Switch 2。

3）在ELD 的電路內有一個觸發器（Flip-flop，FF），當有接地故障發生時，FF置位觸發，使其輸出繼電器線圈失電，觸點動作，送出報警信號，同時面板上的Fault 指示燈點亮（紅色），只有當故障排除并通過Switch 2 給出Reset 信號后，指示才會熄滅。

2.12 鑰匙開關卡（Dual Key Switch Module）（10311/2/1）

卡件分述：

1）該卡件的上部為Watchdog Reset 鑰匙開關，下部為Force Enable（強制允許）鑰匙開關。它們采用不同的鑰匙。

2）WD Reset 開關用于Watchdog 的Reset 和故障的Reset。

3）Force Enable 開關用于設置輸入輸出信號的強制允許（垂直位置，此時開關下面的LED 紅色指示燈點亮）和不允許（水平位置）。當處于強制允許位置時，在組態時對輸入、輸出信號設置的允許強制（Force Enable：Yes）才有效。

2.13 I/O 卡件匯總

故障安全數字輸入卡（可測試的，Testable）

10101/2/1：Fail-safe digital input module (24VDC, 16 ch.)

10106/2/1：Fail-safe line monitored digital input module (16 ch.)

故障安全模擬輸入卡（可測試的，Testable）

10105/2/1：Fail-safe analog input module (16 channels)

10102/2/1：Fail-safe analog input module (4 channels)

非故障安全數字輸入卡（不可測試的，Not Testable）

10104/2/1：Digital input module (24VDC, 16 channels)

故障安全數字輸出卡（可測試的，Testable）

10201/2/1：Fail-safe, 24VDC, 13W, 8 channels (2 groups)

10215/2/1：Fail-safe, 24VDC, 48W, 4 channels (2 groups)

10216/2/1：Fail-safe, 24VDC, 20W, 4 channels (1 group), loop-monitored

非故障安全數字輸出卡（不可測試的，Not Testable）

10209/2/1：Digital output module, 24VDC, 0.1A, 16 channels

故障安全模擬輸出卡（可測試的，Testable）

10205/2/1：Fail-safe analog output module (0(4)-20mA, 2 channels)