第一章安全控制系统概述

1、安全控制系统的地位和作用

我们从权威的IEC61508 和IEC61511 标准入手来讨论安全控制系统的概念。IEC61508 基本上是面向安全控制系统的制造和供应商的，如Honeywell 的FSC 就获得了该标准的认证；IEC61511 则是面向流程工业安全控制系统的设计者、集成者以及用户的，为IEC61508 在石化等过程工业的应用提供了一个操作性更强、更易于理解的版本。先来看IEC61511。下图是该标准对过程工业控制和安全管理的一个分层描述。它的内核是工艺流程或生产装置，首先要建立基本过程控制系统（Basic Process ControlSystems）对过程对象进行控制，比如DCS 或以前的由常规仪表组成的控制系统。它的外面是安全防护层（Prevention），这其中就包括了安全仪表控制系统（Safety InstrumentedControl Systems），即我们常说的ESD 安全系统。安全仪表系统定义为“它是由传感器、逻辑解算单元和最终控制元件组成的控制系统，设计用于当生产过程的预定条件受到冲击时，自动地将其置于安全状态”。这些预定条件包括压力高限、温度高限等工艺参数。安全仪表检测出潜在的危险工艺状态，通过组态的联锁逻辑控制现场电磁阀等的切断或导通，保护工业设备和人员的安全；下一层是减灾（Mitigation），它也包括了安全仪表控制系统，即火灾和可燃气体安全控制系统。再外层就是消防等紧急响应系统等。

将安全功能和常规控制功能用不同的控制器来完成有很多方面的考虑，主要有三点：故障独立：如果控制系统故障，这时恰恰需要安全系统对生产装置的安全做出保障。如果把它们的功能用同一套控制系统实现，就可能同时丧失控制功能。安全可靠（Security）：常规控制系统相对来说会经常地改变控制因素，比如改变控制参数，改变控制模式，以及改变控制方案等等。从安全可靠性来说，其要求并不是十分严格。而对安全系统则不然，改变设定值，改变控制逻辑可能有严格限制，必须遵循特定的审批制度，得到授权才能进行。

对控制器的安全要求：用于安全系统的控制器有特殊的性能指标要求，比如其诊断能力要在95%以上，获得认证的故障安全（Fail-safe）响应能力，特定的软件错误检测、数据存储保护和故障容错要求等等。这种特殊的安全性和可靠性的性能指标是一般控制系统不具备的或者说不需要的。

2、安全控制系统的特点

安全控制器和常规的PLC 有相似之处，它们都能完成逻辑和数学计算，都有输入输出卡件，对输入信号扫描并按照特定的控制逻辑驱动现场最终控制元件，也都有数字通讯端口。但是常规的PLC 从设计上并不具备故障容错和故障安全的性能，这是它们的最基本区别。简要归纳安全控制系统的几个特点：

它要达到两个重要目标：

要有极高的安全性（Safety）和有效性（Availability），即使出现故障，也要用冗余等措施使系统工作正常。

故障只能是以可预见的、安全方式出现。

着重内部诊断，将硬件和软件相结合，检测出系统本身的异常操作，检测出99%以上内部元器件的潜在危险故障；要采用一系列特殊的技术保证软件的可靠性；冗余配置，即使部件出现故障时也要保持正常操作；对通过数字通讯端口的任何读写要有非常高的安全可靠保证。

在系统设计时采用故障模式、影响和诊断分析（Failure Modes, Effects andDiagnostic Analysis，FMEDA），研究、测试系统中的每个部件会出现怎样的故障，以及系统怎样检测出这些故障。

要通过第三方的权威认证，比如TüV 认证，以便满足国际标准对安全和可靠性的严格要求。

3、标准PLC 故障分析及FSC系统输出电路的特点

下面我们通过故障模式、影响和诊断分析（FMEDA），看一看常规PLC 的典型输出电路的故障，以及FSC 是如何避免这些故障的。下是PLC 的输出电路和可能的故障。

输出短路故障

当晶体管的集电极和发射极短路时，相当于+24VDC 电源直接接到负载上，也就是说负载仍处于带电状态。对于这种不会导致正常为带电状态的输出失电的故障，称为“被动”故障（Passive fault）。由于无法使输出失电从而进入安全状态，因此它是“危险的”（Dangerous）。“被动”故障影响安全但不影响有效性，归类为导致危险故障（FailTo Danger，FTD）。

输出断路故障

当晶体管的发射极输出断路时，负载失电。对于这种导致正常为带电状态的输出失电的故障，称为“主动”故障（Active fault）。由于它使输出失电从而进入安全状态，因此它是“安全的”。“主动”故障不影响安全但影响有效性，归类为导致损失故障（FailTo Nuisance，FTN）。

安全监控系统的设计和制造要瞄准这样的目标：

①零“被动”故障（FTD）；

②避免太多的“主动”故障（FTN）影响有效性。

基本的安全准则是：“在操作运行的任何时间周期内，单一故障的存在不能影响安全”。基于这样的标准，FSC 的DO 输出电路如下图所示。它将两个电路串联在一起，同时这两个电路的状态（STATUS）被实时监测，一旦其中的一个电路出现了前述的短路故障，另一个电路仍然能够切断输出，也就使FTD 故障降为零。当我们将输出电路冗余配置时，如下图所示，就更大地提高了系统的有效性。

第二章FSC系统硬件介绍

FSC 系统硬件由Central Part 卡件和I/O 卡件两部分组成。Central Part 简称为CP，包括CPU、COM（通讯卡）、WD（系统状态监视卡，或称看门狗卡）、DBM（诊断和电池卡），以及VBD（竖向总线驱动卡）。I/O 卡件包括DI 卡、DO 卡、AI 卡，以及AO 卡。

2.1CPU 卡10002/1/2、10012/1/2 和10020/1/.

卡件分述：

1）功能：读输入信号，执行功能逻辑程序，写输出到输出卡，连续测试系统硬件，以保证安全控制。

2）CPU 卡有三种配置：

采用RAM/EPROM存储器（10002/1/2）；采用闪存（Flash）存储器（10012/1/2）；以及采用双处理器（Enhanced Processor Module，EPM；Quad Processor Module，QPM）（10020/1/.）

3）10002/1/2 的PCB：它有两面，外面安装存储应用软件（Application Software）的RAM或EPROM；里面安装存储系统软件（System Software）的EPROM。通过跳针确定采用RAM还是EPROM，以及EPROM 的容量大小。

4）CPU 卡的存储器有以下几种类型：

RAM存储器：系统变量和应用变量（所有的I/O，Markers，Counters，timers，以及Registers）由DBM（电池和诊断模件）为RAM提供电池后备。不挥发闪存存储器。

5）RUN/STOP 钥匙开关：

10002/1/2 和10012/1/2 有两个开关位置：

⇒垂直：运行；

⇒水平：停止（CPU 复位，RESET）

10020/1/.有三个开关位置：

⇒垂直向上：（准备）运行；

⇒水平：IDLE（由软件控制）；

⇒垂直向下：停止（CPU 复位，RESET）；

6）LED 指示灯：

10020/1/.的面板上的LED 指示灯显示三个状态：

OFF：CPU 处于停止状态；

绿色：CPU 卡没有故障；

红色：CPU 卡有一个或多个硬件故障。

2.2通讯卡10004/./.、10014/./.和10024/./.

卡件分述：

1）通讯卡有三种配置：

10004/./.（EPROM）；10014/./.（FLASH 存储器）；10024/./.（增强型通讯模件，ECM）通讯卡由主板（100?4/1/1 右侧）和两个通讯接口板（100?4/x/x 左侧）两部分组成，在Rack 上占据两个卡槽位置。

通讯卡用于：在FSC 系统中，冗余的Central Parts 之间的通讯；构成FSC 网络时，主FSC 系统和从FSC 系统之间的通讯；与DCS 以及打印机等外部设备之间的通讯；与FSC 操作站的通讯。

2）通讯卡主板：拥有自己的处理器和存储器，确保为外部设备提供最优化的通讯支持。

3）通讯接口板：有上下两个通讯接口，支持串行通讯RS-232（F）、RS-485（I）、光纤通讯（G），以及RS-422（H）。上下两个通讯接口支持不同的通讯协议（Protocol），包括：FSC-FSC；FSC-DS；ModBus RTU；ModBus H&B。

2.3安全管理器卡（SMM）10008/2/U 和10018/2/U

卡件分述

1）SMM 通讯卡有两种配置：

10008/2/U（基于EPROM，已停产）

10018/2/U（基于FLASH）

2）SMM 通讯卡通过UCN 网通讯，使FSC 成为Honeywell TPS 系统中的一个节点，称为安全管理器（Safety Manager，SM）。从GUS 上看，SM 和HPM一样，都是UCN 上的节点，SM 的组态建点与HPM在很大程度上是一样的，只不过HPM的输入、输出来自现场，而SM 的输入从FSC 的输入、输出读取，而其输出则写到FSC 的输入上。

3）SMM 通讯卡上包含下列器件：

Motorola 68360 通讯控制器（以25 MHz 运行）；

4 Mbit 闪存存储器，用于FSC 固件程序的存储；

16 Mbit 本地RAM，专用于用户应用数据的存储；

共享的2Mbit RAM，用于该模件和FSC 控制处理器之间的所有数据交换；通过该共享RAM进行数据交换，对FSC 进行写保护，保证FSC 系统独立于SMM 卡，保证数据的安全。

2.4PlantScape 通讯卡10018/E/1 和10018/E/E

卡件分述：

1）10018/E/1 和10018/E/E 通讯卡用于与Honeywell 的PlantScape 系统进行通讯。隔离的以太（Ethernet）串行接口（10018/E/.）将FSC 系统连接到PlantScape 服务器。10018/E/1 有一个接口，而10018/E/E 有两个接口。

2）10018/E/.包括下列器件：

Motorola 68EN360 通讯控制器（以25 MHz 运行）；

4 Mbit 闪存存储器，用于FSC 固件程序的存储；

16 Mbit 本地RAM，专用于用户应用数据的存储；

共享的2Mbit RAM，用于该模件和FSC 控制处理器之间的所有数据交换；

隔离的一个或两个以太串行接口。

3）该通讯卡由主板（10018/1/.右侧）和一个或两个隔离的以太串行接口10018/E/.左侧）板组成。主板控制FSC 和PlantScape 之间的以太接口。它有自己的处理器和存储器，以便为FSC 到外部的设备通讯提供最优化的支持。

2.5Watchdog（WD）卡10005/1/1

卡件分述：

1）WD的功能是当存在可能导致危险情形发生的故障时，确保输出进入安全状

态。

2）WD监视的系统参数包括：

应用程序一个循环的最大执行时间。确保程序正确执行，而没有进入死循环。

应用程序一个循环的最小执行时间。确保程序正确执行，而没有出现跳转，造成某些程序没有执行。

5VDC 电源的过电压和欠电压监视（5VDC±5％）。

CPU、COM卡等的存储器错误。如发生存储器错误，WD输出失电。ESD 输入信号。

转动RESET 开关，启动FSC 系统。

3）WD卡件采用三选二的表决机制，亦即它有三套同样的电路分别对上述系统参数进行监视。

4）最大的WD 输出电流为900mA，5VDC。如果WD卡监视的所有输出卡件的

WD电流总和超过900 mA，则要在系统中安装WD中继器。

2.6 WDR 卡10302/2/1

卡件分述：

1）WDR（10302/2/1）是监测5VDC 和24VDC 供电电源的卡件，它的Watchdog输出连接到那些供电电源（5VDC／24VDC）需要监视的输出卡件的Watchdog 输入上。

2）WDR 主要用在下列场合（并非全部）：

如果所要求的Watchdog 电流超过900mA；

在FSC 系统中如果既有冗余的I/O，也有非冗余的I/O 时，用于为非冗余I/O的输出卡件生成Watchdog 输出；

在FSC 系统中如果CP 为冗余配置，而非冗余的I/O 中具有安全相关的输出卡件。

2.7诊断和电池卡（Diagnostic and Battery Module，DBM，10006/2/1）

卡件分述：

1）DBM 完成下列功能：

诊断显示（给出卡件故障的类型、Rack 号，Position 号）；

实时时钟（给出当前的日期和时间）；

电池后备（为CPU 和COM卡的RAM存储器提供后备电源）；

温度检测（在DBM 的电路板上安装有两个独立的温度检测元件，用以反映FSC 系统内卡件的温度）；

2）直观显示系统的三个状态：

如果WD卡上的WD指示灯点亮，DBM 的数码稳定地显示，则表明系统无故障；

如果WD指示灯点亮，DBM 的数码闪烁显示，则表明系统有故障，但是CP没有Shutdown；

如果WD指示灯熄灭，则表明系统中存在故障，并导致了CP Shutdown。

3）DBM 的实时时钟被用作SOE 事件的时标。通过FSC 操作站、DCS 通过MODBUS、通过TPS 的时钟源，以及指定的DI 硬通道时钟同步脉冲等实现时钟同步。

4）温度检测功能是为了保证FSC 系统在合理的温度范围内工作，系统设置的缺省工作温度范围为5~55°C，超出这个范围系统报警；下限到0°C，上限到60°C 时，系统自动Shutdown。

2.8竖向总线驱动器VBD（10001/R/1）

卡件分述：

1）VBD 用于实现CP 卡件与I/O 卡件的通讯。

2）竖向总线（Vertical Bus，VBUS）为34 芯扁平电缆，最大长度为5m。VBUS将VBD 和HBD（Horizontal Bus Driver，HBD，10100/2/1）连接起来，HBD 再连接I/ORack。VBUS 的末端用VBUS Terminator（10307/1/1）封住。

3）VBD 由两部分组成：电子线路部分（主板），以及接线部分（10001/A/1）这样做的目的，是便于更换主板。

2.9水平总线驱动器HBD（10100/2/1）

卡件分述：

1）水平总线驱动器HBD 安装在I/O Rack 上（第20、21 槽位）。它由两部分组成：卡件部分（10100/2/1），以及A1，A21 或A22 扁平电缆部分。

2）HBD 配置不同的扁平电缆，如上面三幅图所示。用于下面的几种情形：

10100/2/1 配置扁平电缆A1，用于驱动非冗余的I/O Rack。

10100/2/1 配置扁平电缆A21，用于驱动单个冗余的I/O Rack。

10100/2/1 配置扁平电缆A22，用于驱动两个冗余的I/O Rack。

3）VBUS 扁平电缆连接到HBD 是通过将其连接到I/O Rack 第20、21 槽位背面的CN21、CN20 插座实现的。

4）HBD 通过前面的扁平电缆，连接到I/O Rack 上方的水平总线（Horizontal

Bus，HBUS）上。

5）在I/O Rack 背面CN21、CN20 的上方，有跳针RA0 到RA3，用于设定HBD

的Rack 地址。

2.10 源单元PSU（10300/1/1）

PSU 的作用是将24VDC 转换为5VDC/12A，用于向CP 等供电。

PSU 断电时，必须要等待30 秒以上才能再次上电。

2.11 测器ELD（10310/2/1）

卡件分述：

1）10310/2/1 是漏地检测器（Earth Leakage Detector，ELD）。我们知道FSC 系统是浮空设计的，即系统内的0V 参考点与系统外的大地没有任何联系（通过24VDC 电源内的变压器耦合，系统内外已经没有共地点了）。ELD 用于监测系统内的24VDC 电源是否有接地现象。

2）它的面板上有两个开关，在标注1Hz、DC 和1/4Hz 处的为Switch 1，在

RESET 和TEST 处的，我们称为Switch 2。

3）在ELD 的电路内有一个触发器（Flip-flop，FF），当有接地故障发生时，FF置位触发，使其输出继电器线圈失电，触点动作，送出报警信号，同时面板上的Fault 指示灯点亮（红色），只有当故障排除并通过Switch 2 给出Reset 信号后，指示才会熄灭。

2.12 钥匙开关卡（Dual Key Switch Module）（10311/2/1）

卡件分述：

1）该卡件的上部为Watchdog Reset 钥匙开关，下部为Force Enable（强制允许）钥匙开关。它们采用不同的钥匙。

2）WD Reset 开关用于Watchdog 的Reset 和故障的Reset。

3）Force Enable 开关用于设置输入输出信号的强制允许（垂直位置，此时开关下面的LED 红色指示灯点亮）和不允许（水平位置）。当处于强制允许位置时，在组态时对输入、输出信号设置的允许强制（Force Enable：Yes）才有效。

2.13 I/O 卡件汇总

故障安全数字输入卡（可测试的，Testable）

10101/2/1：Fail-safe digital input module (24VDC, 16 ch.)

10106/2/1：Fail-safe line monitored digital input module (16 ch.)

故障安全模拟输入卡（可测试的，Testable）

10105/2/1：Fail-safe analog input module (16 channels)

10102/2/1：Fail-safe analog input module (4 channels)

非故障安全数字输入卡（不可测试的，Not Testable）

10104/2/1：Digital input module (24VDC, 16 channels)

故障安全数字输出卡（可测试的，Testable）

10201/2/1：Fail-safe, 24VDC, 13W, 8 channels (2 groups)

10215/2/1：Fail-safe, 24VDC, 48W, 4 channels (2 groups)

10216/2/1：Fail-safe, 24VDC, 20W, 4 channels (1 group), loop-monitored

非故障安全数字输出卡（不可测试的，Not Testable）

10209/2/1：Digital output module, 24VDC, 0.1A, 16 channels

故障安全模拟输出卡（可测试的，Testable）

10205/2/1：Fail-safe analog output module (0(4)-20mA, 2 channels)