随着安全标准的推出和企业对安全系统重视度的不断升级,根据装置高温高压连续性的特点和国际电工组织IEC提出的STI3级标准的要求,公司在新建的化工装置中选用了美国HoneWell公司的故障安全控制FSC(failsafecontrol)系统。国际电工组织IEC安全要求等级分为4级,安全性能由低到高依次为SILl、SIL2、SIL3、SIL4。SIL3级标准是指每年故障危险的平均概率为0.1‰~1‰。
FSC系统具有符合MODBUS/RTU通信协议的标准通信接口,符合国际通信标准,可与任何具有同样通信接口的设备进行通信。包括各大公司的Dcs(如HoneywellTPS、FoxboroIASeries、RosemountRS3、YokogawaCentumnXL/uXL/CS、BaileyControlsFisherProvoxCL6921、SiemensPKE3964R),同时FSC系统还可通过SMM(safetymanagementmodel)卡或以太网卡与霍尼韦尔的TPS及PKS系统实现点对点通信,通信接口冗余配置并带自诊断功能,从而实现SOE功能、报警功能、操作界面的集成以及HM历史数据共享等功能。
故障安全控制系统是基于独立原则设计的系统中,所有的I/0点都是独立于DCS控制系统,甚至在一些非常重要的点会采用三选二或四选二联锁控制方案。但联锁点通常也是重要的控制点,所以在Dcs系统中有基于同一工艺位置的控制点,甚至为了可和安全性还会增加1~2个指示点。而通过系统的通信,就可以在Dcs或工厂管理系统中显示数据,可以降低成本和更好地进行控制。
一、故障安全控制系统配置
故障安全控制系统硬件主要由PC机和FSC组成,核心部分是FSC。系统配置如图1所示。
SOE站/工程师站采用PC机,系统软件和SOE(件可在Windowsg5/98/NT/2000的环境下运行。RS-232/RS-485的通信接口,可实现系统软件的库和逻辑图组态、修改和下载安装;I/0赋值功能;系统状态在线监测;SOE的报警和事件记录;SOE的报表打印以及组态的在线打印等。SOE事故记录功能能完整记录系统本身及生产过程出现的各种问题,分辨率为10ms级,可通过打印机在线打印和存储,供日后事故分析。
FSC控制站的硬件模块可分为CP中央控制模块、I/0输入/输出模块、FTA现场接线端子模块三部分。CP中央控制模块包括CPU、COM(通信卡)、WD(系统状态监视卡或称看门狗卡)、DBM(诊断和电池卡)以及VBD(竖向总线驱动卡)。UO卡件包括DI卡、DO卡、AI卡以及AO卡。
中央控制单元通过冗余输入卡从现场读入数据,并按照逻辑图(FLD)中组态的控制程序执行。控制程序将执行结果传输到冗余输出端口。在具有冗余CP的FSC配置中,CP将操作结果通过一个专门的通信线路与冗余的CP同步。控制处理器对FSC硬件进行连续的测试,以确保对现场的安全控制。
冗余的中央控制器及冗余的I/O模块,这种2套独立并行运行的控制器完全冗余的控制器具有单套系统冗错的功能。即任何一套中央部分或I/O卡件的故障都不会停止生产过程。当系统自诊断发现一个模块发生故障时,CPU将强制其失效,确保其输出的正确性。同时,安全输出模块中的SMOD功能(辅助去磁方法)确保在两套系统同时发生故障或电源故障时,系统输出一个故障安全信号。这样确保了系统的高可靠性、高安全性及高可用性。按照DINVl9250标准,FSC-20044D配置符合TüVAK6级及IECl61508SIL3级标准安全认证。
为了方便操作,辅操台放于内操室,上面安装着一些硬手操开关及报警指示灯。开关主要是切换联锁的投用和解除,以及进行一些阀门的强开、强关,并带有切换指示灯;报警指示灯分为联锁源报警灯及现场阀门回信报警灯两种,报警指示灯具有区分第一联锁源功能,同时第一联锁源会出现不同频率的闪烁,利用FSC的报警类型,组态可以很方便地实现。
二、FSC系统内部通信
FSC系统内的数据通信分系统总线(SBUS)、竖向总线(VBUS)、水平总线(HBUS)三层。FSC的核心CPU用于读取过程输入数据、执行逻辑控制程序,并将执行结果经VBD和HBD模块送到输出模块;同时它还可以通过通信卡使它们同步工作;同时连续地测试外部系统和过程设备的安全诊断以保证安全控制。FSC2004D冗余系统内部通信总线如图2所示。FSC系统的内部通信的三条总线SBUS、VBUS和HBUS都冗余配置,即采用冗余CP及I/O接口的配置系统总线CP及I/O接口的配置遵循IEC61508所描述的2004D系统。2004D系统是由2套独立并行的控制器组成,通信模块负责其同步运行,当系统自诊断发现一个模块发生故障时,CPU将强制其失效,它所对应的另一个模块将无扰动切换,即当一对CPU、一条总线、一块I/O卡或一条WD信号出现故障时,系统仅仅切除有故障的部分,其余部分不会受影响,确保其输出的正确性。同时,安全输出模块中的SMOD功能(辅助去磁方法)确保在两套系统同时发生故障或电源故障时,系统输出一个故障安全信号。
FSC系统配置中冗余的CP可支持冗余通信,即配置了冗余通信卡。每个CP都有专用的接口与其通信的设备连接。