霍尼韦尔SM系统(稻谷书屋)

Safety Manager控制器的控制结构可以被组态成非冗余、双 重冗余(DMR)和四重冗余（QMR)，每种结构都有不同的特性 和安全设备功能。
2
知识材料
SIL（Safety Integrity Level）-安全完整性等级
SIL认证一共分为4个等级，SIL1、SIL2、SIL3、SIL4，包括对 产品和对系统两个层次。 其中，以SIL4的要求最高，如铁 路的ATP系统，石化电力的SIS系统等。石化仪表类最近一 般选SIL2、SIL3。
33
知识材料
Watchdog结构特点
1.1oo2D结构配置 a.除对处理器等硬件进行测试外，Watchdog也要对其本身
做测试。为实现这个功能，Watchdog结构做了1oo2D结构配 置。
b.每个Watchdog由两个相同的独立部分组成，每个部分都 将被测试和具有单独的输出，最终这些输出通过一个“或门” 作为系统的Wtchdog输出。 *具有单独的冗余IO输出和非冗余的IO输出
（2）SIS系统属于“静态”系统，在正常工况下，始终监测生产装置的运行， 系统输出不变，不对生产过程产生影响；在非正常工况下，将按预先的设计 进行逻辑运算，使生产装置安全联锁或停车。DCS属于“动态”系统，连续对 过程变量进行检测、运算和控制，对生产过程进行动态的控制，确保最终产 品的产量和质量；
（2）2oo4D结构：2oo4D系统是有2套独立并行运行的系统组成， 通讯模块负责其同步运行，当系统自诊断发现一个模块发生故障 时，CPU将强制其失效，确保其输出的正确性。同时，安全输出模 块中SMOD功能（辅助去磁方法），确保在两套系统同时故障或电 源故障时，系统输出一个故障安全信号。一个输出电路实际上是 通过四个输出电路及自诊断功能实现的。这样确保了系统的高可 靠性，高安全性及高可用性。HONEYWELL、HIMA的SIS均采用了 2004D结构。
a.如果需要处理器可以分别单独停止冗余或者非冗余IO
34
知识材料
人机接口（User Interface）
1.带翻页按钮的显示屏 a. 缺省显示系统实时时钟 b.上下翻可以显示系统状态和诊断信息 2.钥匙开关和状态指示灯 a.钥匙开关有三个位置，STOP 停止 IDLE 下装程序 RUN 运
27
知识材料
28
知识材料
图3.3是Safety Manager 使用远程IO的情形。 RUSIO可以安放在控制侧也可以远程安装， Safety Manager 最多支持28个RUSIO，最远可达100KM。
29
知识材料
30
知识材料
四重冗余处理器包（QPP）
QPP是Quad Processor pack的缩写，它通常放置在 每一个CP的左侧。
•通常情况电池处于ON位置，若检修长期断电情况下，须将电池打到OFF。
43
知识材料
IO Chassis
每个Chassis包含21个安装槽位，通常从左到右前 18个可用于安装I/O卡件，第19个为空位，最右侧 20和21用于安装IO Extender
IO Chassis分为冗余和非冗余两种类型分别用来安 装冗余和非冗余IO
注意：拔出或更换QPP卡时，必须将其钥匙开关
置于STOP位置。 31
知识材料
QPP功能
QPP是SM的系统的核心，它的主要功能是:持续的 周期性读输入信号，执行功能逻辑程序，写输出 信号到输出卡，连续测试系统硬件，以保证安全 控制。
32
知识材料
Watchdog看门狗
Watchdog功能 1.监视处理器运行 2.紧急停车输入(SD Input） 3.故障复位Reset
6
知识材料
SIS系统的结构
目前SIS的主流系统结构主要有TMR（三重化）、2oo4D（四重化）
2种。 （1）TMR结构：它将三路隔离、并行的控制系统（每路称为一个 分电路）和广泛的诊断集成在一个系统中，用三取二表决提供高 度完善、无差错，不会中断的控制。TRICON、ICS均是采用TMR结 构的系统。
行 b. LED状态指示灯 绿色：正常 无指示:请检查钥匙开关位
置是否上电 红色：故障
35
知识材料
实时时钟（Real Time Clock）
为控制器提供时间和日期 为SOE、报警和诊断信息添加时间 可以被其他时钟源同步
36
知识材料
温度监视（Temperature Monitor）
监视CPChassis 的各组件的温度，确保不超过运行范围。
Wacthdog的实时监控 LED状态指示灯 熄灭-失电或者供电电压低 红色-5VDC输出值过低 绿色-5VDC输出在合理范围内（4.73-5.73VDC）
42
知识材料
BKM
BKM是SM系统的必须组件，通常放置在CP
底座的中间部分指示灯。
它们的作用：
17
知识材料
18
知识材料
19
知识材料
Safety Manager硬件概述
20
知识材料
Safety Manager硬件组成及其功能
Safety Manager系统机柜
21
知识材料
22
知识材料
23
知识材料
24
知识材料
SM系统内控制器及IO排布
Safety Manager系统的卡件和IO卡件安装在旋转机架上。 旋转机架上共有10个底座位置。
故障复位开关
1.实时诊断缓存中的清除故障信息
2.启动控制器
强制开关
1.转到ON位置，对于允许的输入输出点可以执行强制
2.转到OFF位置，清除所有的强制，并且不能做任何强制
LED 状态指示
1.绿色 正常
2.红色 检测到BKM故障或者电池电量低
• BKM内置两块电池，为冗余的QPP中的RAM内存和时钟同步后备电池，防止断 电丢失数据。其中左侧电池为CP1后备，右侧为CP2后备。电池为3.6VDC锂电池， 不可充电。建议最多5年更换。
3
知识材料
SIL认证的意义
随着工业事故及其对社会的影响被人们广泛认知，越来越多的 企业意识到安全的重要性。SIL认证的过程就是帮助企业把最好 的工程实践经验和安全技术（IEC61508和IEC61511）充分利用， 避免工业事故的再次发生。因为这些经验和技术是建立在大量 的实际经验和教训基础之上的。
SIL认证的现实意义在于： ◆ 安全改进； ◆ 防止生产人员和生产区外部人民的身体损害； ◆ 避免破坏环境； ◆ 避免生产损失； ◆ 避免法律责任。
4
知识材料
什么是SIS(安全仪表控制系统)
安全仪表系统（Safety Instrumented System，简称SIS）根据 美国仪表协会（ISA）对安全系统控制系统的定义而得名，也 称紧急停车系统（ESD）、安全联锁系统（SIS）或仪表保护 系统（IPS）。 安全仪表系统是指能实现一个或多个安全功能的系统，用 于监视生产装置或独立单元的操作，如果生产过程超出安全 操作范围，可以使其进入安全状态，确保装置或独立单元具 有一定的安全度。安全系统不同于批量控制、顺序控制及过 程控制的工艺联锁，当过程变量（温度、压力、流量、液位 等）超限，机械设备故障，系统本身故障或能源中断时，安 全仪表系统自动（必要时可手动）地完成预先设定的动作， 使操作人员、工艺装置处于安全状态。
SM控制器和IO通常自2层开始配置，所以控制器机柜内 的旋转机架最多放置8个IO底座，如果是单独的IO机柜， 就最多可以放置9个IO底座（Remote IO即远程IO除外）， 如图3.1所示。
25
知识材料
26
知识材料
如图3.2所示，一套SM系统最多由4个系统柜组成， 控制器和本地的IO卡件之间最大距离是2个机柜。
DMR实行非冗余控制结构，每一个非冗余结构只 包含一个QPP控制单元，QPP含有冗余的处理器， 处理器与内存均为1oo2D的表决机制。
在IO配置里，每一条通路由控制器和独立的 Watchdog控制。
14
知识材料
四重冗余QMR
为连续运转的过程控制提供安全防护 QMR是基于2oo4D表决机制，每一个QPP中含有双处理器
38
知识材料
RS-232&RS-485串行通讯比较
39
知识材料
具体解决方案
40
知识材料
当需要使用RUSIO远程功能时
需要专用的网络即专用的USI(USI-000x) 使用专有的认证过的交换机 由交换机支持光纤连接 最远支持100KM
41
知识材料
5VDC供电单元（PSU）
PSU通常放置在每一个CP的右侧。 PSU的作用就是把24VDC转换成5VDC，其工作受
帮助过程工业风险降低到可以接受的水平的安全防护装置。
5
知识材料
*完整的SIS（安全防护系统）由传感器、逻辑解算 单元、最终控制单元组成，当生产过程的预定条件 受到冲击时自动的将其置于安全状态。其类型为：
紧急停车系统(ESD) 火气系统（F&G） 设备防护系统（IPS） 安全联锁Safety interlocks 安全相关系统Safety Related Systems 高压防护系统（HI(P)PS） 燃烧管理系统(BMS)
15
知识材料
安全标准
Safety Manager遵循以下国际标准： BMS:NFPA85、86、VDE0116 ESD:IEC61508、IEC61511、ISAS84.01、DINV19250、
UL、FM、ATEX F&G:EN54-2NFPA72、劳氏船级社、FM-防火 设备
认证
16
知识材料
Honeywell Safety Manager 安全控制系统（硬件部分）
——
1
知识材料
Safety Manager安全控制系统概述
获得IEC61508标准认证。可同时处理设备安全级别SIL1到 SIL3的安全要求。应用程序设计标准IEC61131-3为最普通的设 计语言定义了最基本的设计原理、语法和语义的规则
技术的结构。那就意味着，它的性能由其最终的自我诊断 和容错水平决定。 QMR实行冗控制器结构。该冗余结构包含两个QPP,这就实 现了四重冗余，从而可以对于安全双重容错。 在冗余IO配置表里，每一条通路由一个控制器和独立看门 狗控制点切断开关控制。 此外，每一个控制器可以切断另一个控制器的输出通道。
7
知识材料
SIS与DCS的区别
（1）、连续测量、操作控制管理等，保证生产SIS系统用于监测生产装置的运 行情况，对出现的异常情况立即进行处理，用以避免事故的发生或者减少事 故发生后给设备、人员和环境造成危害，从而使危险降低到最低程度的一种 专用仪表系统；DCS用于生产过程的常规控制（连续、顺序、间歇等）装置的 平稳运行。
不同类型的IO可以混放在同一个IO Chassis但必须 是具有相同的外部供电类型。
每一个IO Chassis最多放置18块IO卡件。
44
知识材料
漏地检测器ELD(10310/1/1)
45
知识材料
ELD的功能及其使用方法
10310/1/1是漏地检测器（ELD）。SM系统是浮空设计的，即系统的0V参考点 与系统外的大地没有任何联系（通过24VDC电源内的变压器耦合，系统内外 已经没有共地点了）。ELD用于监测系统内部的24VDC电源是否有接地现象。
37
知识材料
通讯卡（USI）
USI通常放在QPP的右侧的两个槽里，并且一个控制器最多支持2块USI。 目前的型号有USI-0001和USI-0002两种，其中USI-0002除具备所有USI-
0001的功能外，增加了内存；当需要以CDA方式与Experion 集成时， 必须使用QPP-0002和USI-0002。 USI 通讯口连接 USI是SM系统的通讯卡，它的A，B，C，D四个通讯口可以被用作四种 不同的通讯解决方案。通过查看发送和接受LED状态指示灯，可以确 认相关端口的数据通讯是否有效。A和B接口是用做以太网高速通讯， C和D接口用做串行通讯（RS-232或RS-485）。 A&B:以太网连接 10/100M全双工或者自适应 最大长度100m 使用RJ45 网线连接 C&D： RS-232或RS-485
（3）SIS比DCS在可靠性、可用性上要求更严格，IEC61508、IEC61511、ISA S84.01、SH/T3018强烈推荐SIS与DCS硬件独立设置。
8
知识材料
9
知识材料
10
知识材料
11
知识材料
12
知识材料
SM系统特性
SM系统基本结构配置
13
知识材料
双重冗余（DMR）
DMR在非冗余结构中提供1oo2D表决机制，基于 双处理器，并且具有高水平的自我测试、诊断和 容错功能。