活動(dòng)鏈接：2012年控制網(wǎng)技術(shù)專(zhuān)題---設備安全與信息安全攜手2012  

  來(lái)源：《東方自動(dòng)化》

  摘要：本文介紹了安全控制系統的定義和理論，與安全控制系統相關(guān)的一些國際標準和設計原則，結合項目實(shí)例闡述了西門(mén)子S7-400F/H冗余容錯故障安全控制系統的實(shí)際應用。

    一、引言

    在石化、化工等相對危險性較大的行業(yè)中，隨著(zhù)科學(xué)技術(shù)的發(fā)展，生產(chǎn)規模的不斷擴大，工藝流程越來(lái)越復雜，生產(chǎn)的安全性顯得尤為重要。其中，自動(dòng)化控制系統的功能安全占了很大一部分的比重。以往國內一般會(huì )將過(guò)程控制中與安全相關(guān)的部分與一般的DCS或PLC系統整合在一起，但現在從安全至上的角度出發(fā)，自動(dòng)化供應商和最終用戶(hù)本身都意識到了采用相對獨立的、應用于安全相關(guān)的控制系統的必要性，基于此，安全控制系統應運而生。

    二、與安全控制系統相關(guān)的國際標準

    2000年5月，國際電工委員會(huì )(IEC）正式發(fā)布了IEC-61508標準，名為“電氣／電子／可編程電子安全系統的功能安全”。該標準共計七個(gè)部分，涉及到1000多個(gè)規范。該標準針對起安全作用的電氣／電子／可編程電子系統（E/E/PE）提出了一個(gè)基礎、合理的技術(shù)方案，并建立一個(gè)相應的評價(jià)方法，綜合考慮如傳感器、通信系統、控制裝置、執行器等元器件與安全系統組合的問(wèn)題。

   根據該標準規定，安全控制系統的最終設計目標可以概括為：在生產(chǎn)過(guò)程中發(fā)生危險事故或系統本身發(fā)生故障的情況下，系統能做出及時(shí)和正確的反應并輸出到現場(chǎng)，以防止危險的發(fā)生或減輕已發(fā)生危險所導致的后果。根據這一原則，IEC-61508規定了一項重要的可定量化要求：安全整體性要求等級SIL(Safety Integrity Level) ，它是指在一定時(shí)間內、所有條件不變的情況下安全控制系統達到所要求安全功能的一個(gè)指標。SIL共分為SIL1、SIL2、 SIL3和SIL4四個(gè)等級，等級越高，相應的要求也越高。 

   2003年1月，在IEC-61508的基礎上，IEC又發(fā)布了IEC-61511 “過(guò)程土業(yè)部門(mén)儀表型安全系統的功能安全”。這是專(zhuān)門(mén)針對流程工業(yè)領(lǐng)域安全控制系統的安全功能標準。IEC-61511規定了控制器單元在設計和使用的過(guò)程中需采用的基本原則，構成安全控制系統的傳感器和最終執行元件所應達到的最低標準，并提出達到最低標準的安全生命周期活動(dòng)的方法。也就是對過(guò)程工業(yè)領(lǐng)域中安全控制系統的設計、安裝、調試、運行和維護等一系列的要求進(jìn)行標準化，并對應用和安全整體級別的確定方面提供指導。

   通俗點(diǎn)來(lái)說(shuō)，兩者間的關(guān)系和區別可以這樣來(lái)理解：IEC-61508適用于設備制造商和供貨商，而IEC-61511提供了一個(gè)在流程工業(yè)可實(shí)際應用和便于理解的IEC-61508版本且較為適用于安全控制系統的設計者、集成商和最終用戶(hù)。
除了以上兩大標準，其他主要的國際通用安全標準有：美國國家標準ANSI/ISA-S84.01，關(guān)于測量及控制設備安全的德國國家標準DIN-19250以及針對機械設備的IEC-62061?，F今國際上權威的安全標準認證機構包括德國的TUV組織，歐洲的BGIA認證，美國的EXIDA組織和FactowMutual組織。

    三、安全控制系統定義及概述

   所謂安全控制系統，指的是能提供一種高度可靠的安全保護手段，最大限度地避免相關(guān)設備的不安全狀態(tài)，防止惡性事故的發(fā)生或在事故發(fā)生后盡可能地減少損失，以保護生產(chǎn)裝置及最重要的人身安全。

    安全控制系統能在生產(chǎn)裝置開(kāi)車(chē)、停車(chē)、出現工藝擾動(dòng)等狀況和正常維護操作期間對設備提供安全保護，一旦設備出現危險情況，安全控制系統能夠立即做出反應并輸出正確信號，使得設備處于安全狀態(tài)或停機。在化工行業(yè)中，安全控制系統一般被稱(chēng)為ESD（緊急停車(chē)系統）或SIS（安全儀表系統）。從嚴格意義上來(lái)說(shuō)，ESD指的是SIS中的邏輯運算器、即控制系統硬件和相應的軟件，而SIS還包括了外圍的儀表傳感器和最終執行元件等。

   安全控制系統一般都采用了冗余及容錯的技術(shù)，兩者之間不盡相同。  

   冗余（Redundant）指的是并行的使用多個(gè)系統部件如CPU、輸入模塊、通訊卡件等，以提供錯誤檢測和錯誤校正的功能，并可以自動(dòng)地檢測故障，在不影響整個(gè)系統運行的很短時(shí)間內切換到后備設備上繼續正常工作。

   而容錯技術(shù)（Fault TOlerant）指的是擁有內部冗余的并行元件和集成邏輯，當硬件或軟件存在部分故障時(shí)，系統能夠自動(dòng)識別故障并使故障旁路繼續執行正確的指定功能的能力?；蛘咧赣布蛙浖l(fā)生故障的情況下，系統仍然具有繼續運行的能力。這一般包含了三方面的功能，一是故障約束，即限制過(guò)程或進(jìn)程的動(dòng)作，防止錯誤發(fā)生后在被檢測出之前的擴大；二是故障檢測，即對信息和過(guò)程進(jìn)行不間斷地動(dòng)態(tài)檢測，以及時(shí)發(fā)現錯誤；三是故障恢復，即修正或切換失效的部件。容錯技術(shù)包括了錯誤檢測和校正所需要的各種編碼、系統恢復、指令執行、程序復算、備件切換、系統重組等技術(shù)。它是以冗余技術(shù)為基礎，尤其適用于安全控制系統的一種先進(jìn)可靠的技術(shù)手段。

    四、安全控制系統的設計原則

   4.1 獨立設置原則

   安全控制系統應獨立于過(guò)程控制系統，以降低控制功能和安全功能同時(shí)失效的概率，使安全控制系統不依附于過(guò)程控制系統就能獨立完成自動(dòng)保護和聯(lián)鎖的安全功能。

   設計時(shí)必須考慮配置相應的通訊接口，使得過(guò)程控制系統也能夠監視安全控制系統的運行狀態(tài)。

   原則上需要獨立設置的部件包括檢測元件、執行元件、邏輯運算器、安全控制系統，以及與過(guò)程控制系統之間或其他設備的通訊組件。

    對于較為復雜裝置的安全控制系統適合分解為若干子系統，各子系統相對獨立且分別設置后備手動(dòng)功能。

   4.2 結構選用的原則

   安全控制系統應采用容錯系統。在一個(gè)或多個(gè)元件發(fā)生故障時(shí)，系統仍然具有繼續運行的能力。對于以邏輯運算器為基礎的容錯系統來(lái)說(shuō)，一般都會(huì )采用冗余結構，并可參考采用以下方法：

   對于有相互關(guān)系的參數之間可以使用不同的測量方法（如壓力和溫度）；

   對于同一變量采用不同的測量技術(shù)（如渦街流量計和電磁流量計）；

   對于冗余結構的每一個(gè)通道采用不同類(lèi)型的可編程電子系統；

   對于冗余的通訊結構來(lái)說(shuō)可以使用不同的地址。

   4.3 技術(shù)選用的原則

   安全控制系統可以采用電氣、電子或可編程電子（E/E/PE）技術(shù)，也可以采用上述技術(shù)混合的方案。

   對于繼電器而言需要注意如存在以下情況時(shí)不可使用：高負荷周期性的頻繁改變狀態(tài)；作為定時(shí)器或鎖定功能使用；復雜的邏輯應用場(chǎng)合。這時(shí)候可以考慮選用固態(tài)繼電器，但也需恰當處理好故障安全模式。

   另外要注意的是對于安全控制系統一般不推薦使用固態(tài)邏輯，即將內部邏輯元件（與、或、非等）用直接連線(xiàn)的方式來(lái)獲得邏輯功能，而一般這些功能在故障安全方面是受限制的。

   4.4 故障安全原則

   安全控制系統必須是故障安全型的。所謂故障安全是指檢測元件和最終執行元件在系統正常時(shí)應該是勵磁的，即得電狀態(tài)；在系統故障時(shí)應是非勵磁的。這也稱(chēng)之為非勵磁停車(chē)設計。

   4.5 中間環(huán)節最少原則

   作為一個(gè)高效的系統，安全控制系統的中間環(huán)節越少越好，盡可能地采用最直接的測量和最可靠的執行方式，避免繁瑣復雜和不必要的設計，以及過(guò)多的電一氣、氣一電轉換環(huán)節，另外在運行時(shí)也要考慮對人員干預和選擇環(huán)節的需求是最少的或者沒(méi)有。

   五、安全控制系統項目實(shí)例

   5.1 項目概述

   新昌源化工江蘇有限公司20萬(wàn)噸／年粗苯加氫ESD系統項目的實(shí)施周期為2009年10月至2010年4月。設置此安全控制系統的目的是為了保障粗苯加氫裝置的安全生產(chǎn)，降低惡性事故的發(fā)生概率，減少計劃外停車(chē)，避免重大人身傷害、設備損壞和經(jīng)濟損失的事故發(fā)生。為此，在主控室配備了獨立于過(guò)程控系統DCS的兩臺互為備用的ESD操作站（其中一臺兼作工程師站），以及ESD專(zhuān)用報警打印機一臺。

   5.2 系統配置  

   本ESD使用的是西門(mén)子SIMATIC S7-4OOF/H系統，它是以冗余及容錯技術(shù)為基礎的故障安全控制系統。一旦工藝上的安全聯(lián)鎖條件具備或者任何系統內部故障發(fā)生時(shí)S7-400F/H 就立即進(jìn)入一種安全工作狀態(tài)，即保持在一種安全工作模式上，從而保證操作人員、設備、環(huán)境和生產(chǎn)過(guò)程處于安全狀態(tài)。

   S7-400F/H提供了全系統的冗余，包括CPU、可帶電插拔的故障安全專(zhuān)用1/O卡件、通訊模塊、電源和網(wǎng)絡(luò )。

   S7-400F/H 控制站型號為AS414-F/H 套件，它是由兩套中央控制器組成，且內置有冗余模塊，通過(guò)兩個(gè)光纖通訊口互相連接。在系統正常運行過(guò)程中，當某個(gè)中央控制器出現故障時(shí)，另一個(gè)中央控制器自動(dòng)接管所有工作，保證系統繼續正常運行。

   作為一個(gè)整套的安全控制系統解決方案，輸入輸出信號卡件也選用了西門(mén)子ET-200M故障安全專(zhuān)用I/O卡件，其所有卡件具有帶電熱插拔功能?？煽啃愿?、組態(tài)靈活、使用方便，具有很好的在線(xiàn)維護性?？刂普究赏ㄟ^(guò)基于Profibus-DP通訊協(xié)議的Profi-Safe網(wǎng)絡(luò )與其連接。

   電源冗余由系統供電和現場(chǎng)設備供電兩方面組成?？刂普就ㄟ^(guò)系統配置的雙冗余電源供電（每塊CPU均配備兩個(gè)電源模塊，可根據安全要求分別接人兩路電源如：一路UPS，一路市電）。且當其中某一電源發(fā)生故障時(shí)，不必停機就可更換備用電源。對于現場(chǎng)設備而言，本系統選用的西門(mén)子 SITOP直流電源也采用了冗余設計，允許兩個(gè)直流電源并聯(lián)使用，將所有配置的直流電源并聯(lián)后再通過(guò)ET200M分布式I/0模件向現場(chǎng)供電。在系統運行過(guò)程中，當其中某一臺直流電源發(fā)生故障時(shí)，并聯(lián)的直流電源還能保證足夠的功率輸出，也不會(huì )影響備件更換。 

    控制站與上位機的通訊使用了冗余的以太網(wǎng)，兩個(gè)操作站分別通過(guò)兩個(gè)赫斯曼工業(yè)交換機與兩個(gè)CPU套件上的以太網(wǎng)模塊相連接，確保了通訊的萬(wàn)無(wú)一失。

   5.3 系統組態(tài)和編程

   ESD系統配置的工程師站對整個(gè)S7-400F/H系統進(jìn)行組態(tài)。其操作系統采用WindowsXP，并且采用了集成的全局數據管理和統一的組態(tài)工具。這個(gè)組態(tài)工具就是SIMATIC程序管理器，它采用了現代化的軟件體系結構，對項目進(jìn)行管理、處理、歸檔和建立文件。在軟件開(kāi)發(fā)方面，采用了面向對象的技術(shù)。在項目管理上，以系統硬件和工藝過(guò)程兩個(gè)不同的視角，同時(shí)進(jìn)行管理。在SIMATIC程序管理器下，有多種組態(tài)工具可以使用，無(wú)論采用何種組態(tài)工具，生成的組態(tài)數據都自動(dòng)存到同一的數據庫中。

   本項目采用了西門(mén)子STEP7軟件平臺，編程語(yǔ)言工具為CFC( Continuous Function Chart連續功能圖）和西門(mén)子F-Library軟件功能庫。 CFC是一種簡(jiǎn)潔的圖形組態(tài)工具，基于IEC-1131標準。使用CFC有助于節省時(shí)間費用，同時(shí)大大簡(jiǎn)化了系統的組態(tài)和維護。用CFC進(jìn)行組態(tài)時(shí)是以功能塊為基礎的，系統配置了很多預編程的功能塊。這些功能塊以庫的形式體現。每個(gè)功能塊都有一個(gè)參數表，可根據實(shí)際工藝要求選擇不同的參數。功能塊在CFC中的連接直接用鼠標點(diǎn)接。每個(gè)CFC由6頁(yè)組成。功能塊之間的連接可以在不同的CFC之間不同的頁(yè)面上進(jìn)行，連接標記由系統自動(dòng)標出。因此，采用CFC可以完成很復雜的大型控制任務(wù)。對于本項目來(lái)說(shuō)，尤其適用于安全控制系統的編程，并且F-Library軟件功能庫需與CFC搭配使用。

   上位機組態(tài)軟件使用的是英維思Wonderware Intouch9.5版，通訊方式為OPC連接。Intouch使用較為廣泛，且成熟可靠，無(wú)論對于系統開(kāi)發(fā)人員，工廠(chǎng)使用人員和維護人員來(lái)說(shuō)，都具有相當的可操作性和可維護性。在實(shí)際使用過(guò)程中確實(shí)也表現不錯。

   六、小結

   現今國家大力提倡節能減排和安全生產(chǎn)的觀(guān)念，對于安全控制系統來(lái)說(shuō)，由于其結合了當下較為先進(jìn)的自動(dòng)化控制技術(shù)、故障診斷技術(shù)和軟件技術(shù)，且具有可靠性高、操作簡(jiǎn)單、維護方便的特點(diǎn)，真正為工廠(chǎng)的安全生產(chǎn)提供了保障，進(jìn)而也促進(jìn)了節能減排的工作進(jìn)展，為社會(huì )的和諧發(fā)展做出了貢獻。