Safety Manager控制系统的应用①

严盛超 范振华

(中国石油兰州石化公司设备维修公司)

SafetyManager控制系统的应用①

严盛超 范振华

(中国石油兰州石化公司设备维修公司)

介绍Safety Manager控制系统的组成、硬件结构和组态软件的使用方法及其特点。

Safety Manager 组成 硬件结构 组态

炼化装置的某些生产过程要求有很高的工艺压力和温度，或者必须使用易燃、易爆甚至有毒有害的危险物质，这就导致其生产过程本质上是不安全的。各生产企业都希望尽量降低生产过程中的各种风险，在保证安全的前提下完成生产目标，并处理好生产过程安全性和可用性之间的关系。因此大多数工业生产过程都带有安全防护措施，通过采用合适的安全系统来降低这种风险，在生产装置出现异常情况时，安全系统能够使生产过程进入安全状态。

安全仪表系统(Safety Instrumented Systems，SIS)是炼化企业自动控制中的重要组成部分，主要用于生产装置控制系统中的报警和联锁，对控制系统中检测的结果实施报警、调节或停机控制。通常SIS由传感器、逻辑解算单元和最终控制元件组成，其功能性和可靠性是由其所有的组成部分的可靠性决定的[1]。在某厂年产3万吨硫磺回收装置升级改造项目中，采用的是以Safety Manager为逻辑解算单元的SIS系统，笔者对Safety Manager的系统组成与应用作以介绍。

1 Safety Manager的特性与系统结构

Safety Manager和常规PLC有相似之处，都能完成逻辑和数学计算，都有输入输出卡件，对输入信号扫描并按照特定的控制逻辑驱动现场最终控制元件，也都有数字通信端口。但常规PLC从设计上并不具备故障容错和故障安全性能，PLC的一个数字输出电路和可能的故障如图1所示。

图1 PLC的数字输出电路和可能的故障

由图1可以看出，常规PLC数字输出电路可能发生的故障如下：

a. 输出短路故障。当晶体管的集电极和发射极短路时，相当于电源直接接到负载上。对于这种不会导致正常为带电状态的输出失电的故障，称为被动故障，因无法使输出失电从而进入安全状态，因此是危险的。被动故障影响安全但不影响有效性。

b. 输出断路故障。当晶体管的发射极输出断路时，负载失电。对于这种导致正常为带电状态的输出失电的故障，称为主动故障，由于使输出失电从而进入安全状态，因此是安全的。主动故障不影响安全但影响有效性。

综上所述，PLC无法处理被动故障，不能使设备进入安全状态，所以不能用作安全防护装置。而Safety Manager的数字输出电路是将两个电路串联在一起(图2)，同时通过其诊断功能将这两个电路的状态实时监测，一旦其中一个电路出现前述短路故障，另一个电路仍然能切断输出，此外再将输出电路进行冗余配置，这样就极大地提高了Safety Manager的可靠性和有效性。

图2 Safety Manager冗余通道输出电路

设备安装所处的环境和地理分布不同，不同类型的生产过程需要不同的安全等级和可用性等级进行安全防护，基于上述原因，Safety Manager需要组成不同的结构来满足生产装置的需求。不同结构的Safety Manager均可以达到SIL3安全等级，但是可以具有不同的可用性等级，所以需要根据工艺生产过程中要求的可用性等级确定最佳的组成结构(表1)。

表1 不同结构对可用性的等级要求

冗余控制器的结构包含两个QPP，其表决机制结合了每一个QPP的1oo2表决机制和两个QPP之间的1oo2表决机制，即可以提供2oo4的表决机制，这就实现了四重冗余(QMR)。

冗余的IO配置里，每一条通路由一个控制器和独立的“看门狗”控制点切断开关控制，每一个控制可以切断另一个控制器的输出通道。此外，“看门狗”电路能够检测处理器的正确运行，当存在可能导致危险发生的故障时，确保输出进入安全状态。

2 Safety Manager组态

Safety Builder是Safety Manager的在线监视和组态软件，主要有离线功能和在线功能。

2.1 离线功能

离线功能是工程师组态工具，主要用于网络组态、硬件组态、IO点组态、应用程序的编辑和编译。

网络组态提供物理视窗(physical view)和逻辑视窗(logical view)，用于建立Safety Manager与其他设备的网络连接，例如：DCS系统、外部时钟源、上位软件及操作站等。设置好控制器参数后，再建立相应的网络连接，即可实现与需要连接设备之间的通信。

点击工具栏的Hardware Configurator，进入硬件组态界面，根据实际需要在相应的槽位添加设备。通过右键，可在其属性窗口内选择正确的型号。

如图3所，示点击工具栏内的Point Configurator进入IO点组态界面，通过上方工具栏内的选项建立相应类型的点，在主界面main输入相应信息，例如：具体的卡件通道、用于通信的PLC地址等；在Options栏选择该点是否允许被强制，故障时所处的状态以及是否要进行事件记录，若该点是AI点，还应该设置相应的量程以及报警值。也可将各种类型的点先各建好几个，再利用左上方的工具，将建好的点导出，打开导出的表格，按要求将各点信息填好再导入即可。

Application Editor是设计FLD的工具。Safety Manager的控制功能是通过FLD实现的，该系统每一个应用程序最多包含2 500页FLD。

如图4所示，按照设计所出的逻辑图编辑FLD，在符号库中选相关符号后，移动到正确的位置后点击鼠标左键固定；在每一个符号库里都可以找到符号连接线，其中双线连接模拟量，单线连接数字量；当选择任意的IO Symbol后，将自动打开窗口显示出所有可用的相关类型的点，选择所需要的位号即可应用。编辑FLD时尽量将逻辑细分为几部分，以免因拥挤而造成阅读困难，给维护增加难度。

编辑好应用程序，在下装至控制前应该先将程序保存并编译，查看是否有错误。点击Application Complier图标，对程序进行编译，在编译界面中可以看到编译后的逻辑版本号、错误数量和错误的详尽信息。通过查看错误信息，在FLD中将错误逐条进行修改，直至完全正确为止。

图3 IO点组态界面

图4 应用程序编辑界面

2.2 在线功能

2.2.1控制器管理

点击Controller Management按钮启动控制器管理，Safety Builder自动连接网络组态所选的控制器。连接成功即可进入系统在线环境；否则需进行系统应用程序下装，如图5所示。

图5 控制器管理界面

当连接至控制后，即可对Safety Manager系统进行在线监视，且能查看内容如下：

a. System Information。提供控制器运行时的相关信息和远程IO的相关运行信息。

b. Communication Status。显示所有通信卡所有通道的通信状态和已经组态了的通信连接的状态，通常情况下，若测试结果为0，表示正常。

c. Actual Diagnostics。实时诊断信息。若系统无故障，则显示No Faults Detected。若诊断出系统故障，则以列表的形式显示，旋转RESET钥匙开关，实时诊断信息将被清空。

d. Actual and Historical Diagnostics。实时的和历史的诊断信息。

e. Loop Monitoring。该系统的某些类型的IO卡带有检测回路故障的能力，在该界面内可以显示这些可能发生的回路故障。

f. Time Synchronization。点击该按钮可使Safety Manager系统时钟与Safety Station时钟同步。

g. Remote Reset。该按钮的功能与BKM上的Reset钥匙开关功能相同。

2.2.2Point Viewer

进入该界面，可以自由地定义屏幕、编辑内容，方便测试和在线监测多个IO点。通过添加，可将需要监测的点以列表的形式显示，其中可以查看该点的状态，F代表该点被强制，D代表该点所在的通道检测到故障。此外，在该界面内还可查看所有被强制的点，在确认这些点都恢复至正常状态后，可通过取消强制的按钮一次性将所有强制点恢复。

2.2.3应用程序的在线查看

进入该界面，可以在线监测和浏览FLD。在线FLD中红色显示的符号代表安全相关。单线显示的数字量中，实线表示逻辑状态为“1”，虚线表示为“0”；双线显示的模拟量中，数字表示以工程单位表示的信号值。在该界面中可以方便查找某一个点，并通过双击鼠标左键对该点进行强制。

3 结束语

Safety Manager的系统结构具有很高的功能安全等级，可以满足装置安全生产的要求。目前，安全生产受到高度关注，Safety Manager系统的试用可以有效提高装置安全功能等级，为装置安全生产提高有力保障。

[1] 高帅,左信.安全仪表系统现场可靠性数据收集及处理方法[J].石油化工自动化,2012,48(3):43～46,75.

严盛超(1988-)，助理工程师，从事石油炼化行业仪表和控制系统的维护工作。

联系人范振华(1984-)，助理工程师，从事石油炼化仪表和控制系统的检维修及设备长周期运行维护工作，283409378@qq.com。

TH862+.7

B

1000-3932(2017)12-1181-04

2017-07-18，

2017-10-20)