霍尼韦尔SM系统

安全标准
ßSafety Manager遵循以下国际标准： ßBMS:NFPA85、86、VDE0116 ßESD:IEC61508、IEC61511、ISAS84.01、 DINV19250、UL、FM、ATEX ßF&G:EN54-2NFPA72、劳氏船级社、FM-防火设备 认证
Safety Manager硬件概述
a.如果需要处理器可以分别单独停止冗余或者非冗余IO
人机接口（User Interface）
ß1.带翻页按钮的显示屏 ß a. 缺省显示系统实时时钟 ß b.上下翻可以显示系统状态和诊断信息 ß2.钥匙开关和状态指示灯 ß a.钥匙开关有三个位置，STOP 停止 IDLE 下装程序RUN 运 行 ß b. LED状态指示灯绿色：正常 无指示:请检查钥匙开关位 置是否上电 红色：故障
ßSafety Manager控制器的控制结构可以被组态成非冗余、双 重冗余(DMR)和四重冗余（QMR)，每种结构都有不同的特性 和安全设备功能。
SIL（Safety Integrity Level）-安全完整性等 级
ßSIL认证一共分为4个等级，SIL1、SIL2、SIL3、SIL4，包括 对产品和对系统两个层次。 其中，以SIL4的要求最高，如铁 路的ATP系统，石化电力的SIS系统等。石化仪表类最近一般 选SIL2、SIL3。
SIL认证的意义
ß随着工业事故及其对社会的影响被人们广泛认知，越来越多的企 业意识到安全的重要性。SIL认证的过程就是帮助企业把最好的工 程实践经验和安全技术（IEC61508和IEC61511）充分利用，避免 工业事故的再次发生。因为这些经验和技术是建立在大量的实际 经验和教训基础之上的。 ßSIL认证的现实意义在于： ß◆ 安全改进；
SM系统特性
SM系统基本结构配置
双重冗余（DMR）
ßDMR在非冗余结构中提供1oo2D表决机制，基于双 处理器，并且具有高水平的自我测试、诊断和容错 功能。 ßDMR实行非冗余控制结构，每一个非冗余结构只包 含一个QPP控制单元，QPP含有冗余的处理器，处理 器与内存均为1oo2D的表决机制。 ß在IO配置里，每一条通路由控制器和独立的 Watchdog控制。
Watchdog看门狗
Watchdog功能 ß1.监视处理器运行 ß2.紧急停车输入(SD Input） ß3.故障复位Reset
Watchdog结构特点
ß1.1oo2D结构配置 a. 除对处理器等硬件进行测试外，Watchdog也要对其本身 做测试。为实现这个功能，Watchdog结构做了1oo2D结构配 置。 b. 每个Watchdog由两个相同的独立部分组成，每个部分都 将被测试和具有单独的输出，最终这些输出通过一个“或门” 作为系统的Wtchdog输出。 *具有单独的冗余IO输出和非冗余的IO输出
IO Chassis
ß每个Chassis包含21个安装槽位，通常从左到右前 18个可用于安装I/O卡件，第19个为空位，最右侧 20和21用于安装IO Extender ßIO Chassis分为冗余和非冗余两种类型分别用来安 装冗余和非冗余IO ß不同类型的IO可以混放在同一个IO Chassis但必须 是具有相同的外部供电类型。 ß每一个IO Chassis最多放置18块IO卡件。
ß◆ 防止生产人员和生产区外部人民的身体损害； ß◆ 避免破坏环境； ß◆ 避免生产损失； ß◆ 避免法律责任。
什么是SIS(安全仪表控制系统)
ß安全仪表系统（Safety Instrumented System，简称SIS）根 据美国仪表协会（ISA）对安全系统控制系统的定义而得名， 也称紧急停车系统（ESD）、安全联锁系统（SIS）或仪表保 护系统（IPS）。
SIS系统的结构
目前SIS的主流系统结构主要有TMR（三重化）、2oo4D（四重
化）2种。
（1）TMR结构：它将三路隔离、并行的控制系统（每路称为一个 分电路）和广泛的诊断集成在一个系统中，用三取二表决提供高 度完善、无差错，不会中断的控制。TRICON、ICS均是采用TMR结 构的系统。
（2）2oo4D结构：2oo4D系统是有2套独立并行运行的系统组成， 通讯模块负责其同步运行，当系统自诊断发现一个模块发生故障 时，CPU将强制其失效，确保其输出的正确性。同时，安全输出模 块中SMOD功能（辅助去磁方法），确保在两套系统同时故障或电 源故障时，系统输出一个故障安全信号。一个输出电路实际上是 通过四个输出电路及自诊断功能实现的。这样确保了系统的高可 靠性，高安全性及高可用性。HONEYWELL、HIMA的SIS均采用了 2004D结构。
Safety Manager硬件组成及其功能
Safety Manager系统机柜
SM系统内控制器及IO排布
ßSafety Manager系统的卡件和IO卡件安装在旋转机架上。 旋转机架上共有10个底座位置。 ßSM控制器和IO通常自2层开始配置，所以控制器机柜内 的旋转机架最多放置8个IO底座，如果是单独的IO机柜， 就最多可以放置9个IO底座（Remote IO即远程IO除外）， 如图3.1所示。
•44
漏地检测器ELD(10310/1/1)
ELD的功能及其使用方法
ß10310/1/1是漏地检测器（ELD）。SM系统是浮空设计的，即系统的0V参考点 与系统外的大地没有任何联系（通过24VDC电源内的变压器耦合，系统内外已经 没有共地点了）。ELD用于监测系统内部的24VDC电源是否有接地现象。 ß它的面板上有两个开关，在标注1Hz、DC和1/4HZ处的为Switch 1在RESET和 TSET处的，为Switch 2。 ß在ELD的电路中有一个触发器（FF），当有接地故障时，FF置位触发，使其输出 继电器线圈失电，触点动作，送出报警信号，同时面板上的Fault指示灯点亮（红 色），只有当故障排除并通过Switch 2给出RESET信号后，指示灯才会熄灭。 ß将Switch 2打到TESET位置时对漏地检测器进行试验，正常应将其置于中间位置。 ß通常应将Switch 1打到DC位置；打到1HZ或1/4HZ位置时，绿色的MODE指示灯 以所选定的频率闪动。 ß正常工作状态下，如果发现面板的Fault的指示灯点亮，要通过Switch 2 Reset一 下，该指示灯仍然点亮的话，说明接地故障仍然存在，这时就要检查系统内什么 地方出现了接地（漏地）情况，并采取相应的措施予以消除。
ß安全仪表系统是指能实现一个或多个安全功能的系统，用 于监视生产装置或独立单元的操作，如果生产过程超出安全 操作范围，可以使其进入安全状态，确保装置或独立单元具 有一定的安全度。安全系统不同于批量控制、顺序控制及过 程控制的工艺联锁，当过程变量（温度、压力、流量、液位 等）超限，机械设备故障，系统本身故障或能源中断时，安 全仪表系统自动（必要时可手动）地完成预先设定的动作， 使操作人员、工艺装置处于安全状态。
SIS与DCS的区别
ß（1）、连续测量、操作控制管理等，保证生产SIS系统用于监测生产装置的运 行情况，对出现的异常情况立即进行处理，用以避免事故的发生或者减少事故发 生后给设备、人员和环境造成危害，从而使危险降低到最低程度的一种专用仪表 系统；DCS用于生产过程的常规控制（连续、顺序、间歇等）装置的平稳运行。 ß（2）SIS系统属于“静态”系统，在正常工况下，始终监测生产装置的运行， 系统输出不变，不对生产过程产生影响；在非正常工况下，将按预先的设计进行 逻辑运算，使生产装置安全联锁或停车。DCS属于“动态”系统，连续对过程变 量进行检测、运算和控制，对生产过程进行动态的控制，确保最终产品的产量和 质量； ß（3）SIS比DCS在可靠性、可用性上要求更严格，IEC61508、IEC61511、ISA S84.01、SH/T3018强烈推荐SIS与DCS硬件独制提供安全防护 ßQMR是基于2oo4D表决机制，每一个QPP中含有双处理器技 术的结构。那就意味着，它的性能由其最终的自我诊断和容 错水平决定。 ßQMR实行冗控制器结构。该冗余结构包含两个QPP,这就实现 了四重冗余，从而可以对于安全双重容错。 ß在冗余IO配置表里，每一条通路由一个控制器和独立看门狗 控制点切断开关控制。 ß此外，每一个控制器可以切断另一个控制器的输出通道。
BKM
ßBKM是SM系统的必须组件，通常放置在CP ß底座的中间部分。 ß在BKM的前面有两个钥匙开关和一个LED状态指示灯。 ß它们的作用：
故障复位开关 1. 实时诊断缓存中的清除故障信息 2. 启动控制器 ß强制开关 1. 转到ON位置，对于允许的输入输出点可以执行强制 2. 转到OFF位置，清除所有的强制，并且不能做任何强制 ßLED 状态指示 1.绿色 正常 2.红色 检测到BKM故障或者电池电量低 • BKM内置两块电池，为冗余的QPP中的RAM内存和时钟同步后备电池，防止断 电丢失数据。其中左侧电池为CP1后备，右侧为CP2后备。电池为3.6VDC锂电池， 不可充电。建议最多5年更换。 •通常情况电池处于ON位置，若检修长期断电情况下，须将电池打到OFF。
Honeywell Safety Manager
安全控制系统（硬件部分）
——
Safety Manager安全控制系统概述
ß获得IEC61508标准认证。可同时处理设备安全级别SIL1到 SIL3的安全要求。应用程序设计标准IEC61131-3为最普通的 设计语言定义了最基本的设计原理、语法和语义的规则
ßQPP是Quad Processor pack的缩写，它通常放置在 每一个CP的左侧。
ß注意：拔出或更换QPP卡时，必须将其钥匙开关置 于STOP位置。
QPP功能
ßQPP是SM的系统的核心，它的主要功能是:持续的 周期性读输入信号，执行功能逻辑程序，写输出信 号到输出卡，连续测试系统硬件，以保证安全控制。
ß帮助过程工业风险降低到可以接受的水平的安全防护装置。
*完整的SIS（安全防护系统）由传感器、逻辑解算 单元、最终控制单元组成，当生产过程的预定条件 受到冲击时自动的将其置于安全状态。其类型为：
ß紧急停车系统(ESD) ß火气系统（F&G） ß设备防护系统（IPS） ß安全联锁Safety interlocks ß安全相关系统Safety Related Systems ß高压防护系统（HI(P)PS） ß燃烧管理系统(BMS)
RS-232&RS-485串行通讯比较
具体解决方案
当需要使用RUSIO远程功能时
ß需要专用的网络即专用的USI(USI-000x) ß使用专有的认证过的交换机 ß由交换机支持光纤连接 ß最远支持100KM
5VDC供电单元（PSU）
ßPSU通常放置在每一个CP的右侧。 ßPSU的作用就是把24VDC转换成5VDC，其工作受 Wacthdog的实时监控 ßLED状态指示灯 ß熄灭-失电或者供电电压低 ß红色-5VDC输出值过低 ß绿色-5VDC输出在合理范围内（4.73-5.73VDC）
ß
实时时钟（Real Time Clock）
ß为控制器提供时间和日期 ß为SOE、报警和诊断信息添加时间 ß可以被其他时钟源同步
温度监视（Temperature Monitor）
ß监视CPChassis 的各组件的温度，确保不超过运行范围。
通讯卡（USI）
ßUSI通常放在QPP的右侧的两个槽里，并且一个控制器最多支持2块USI。 ß目前的型号有USI-0001和USI-0002两种，其中USI-0002除具备所有USI0001的功能外，增加了内存；当需要以CDA方式与Experion 集成时，必 须使用QPP-0002和USI-0002。 ßUSI 通讯口连接 ßUSI是SM系统的通讯卡，它的A，B，C，D四个通讯口可以被用作四种不 同的通讯解决方案。通过查看发送和接受LED状态指示灯，可以确认相 关端口的数据通讯是否有效。A和B接口是用做以太网高速通讯，C和D接 口用做串行通讯（RS-232或RS-485）。 ßA&B:以太网连接 10/100M全双工或者自适应 最大长度100m 使用RJ45 网线连接 ßC&D： RS-232或RS-485
如图3.2所示，一套SM系统最多由4个系统柜组成， 控制器和本地的IO卡件之间最大距离是2个机柜。
图3.3是Safety Manager 使用远程IO的情形。RUSIO 可以安放在控制侧也可以远程安装， Safety Manager 最多支持28个RUSIO，最远可达100KM。
四重冗余处理器包（QPP）