HONEYWELL安全联锁SM系统远程通信中断联锁原因分析及处理

刘双龙

（中海石油宁波大榭石化有限公司，浙江 宁波 315812）

1 概 述

中海石油宁波大榭石化有限公司自2016年6月份开工以来先后两次发生同一原因导致的装置联锁停车，都是由于SIS系统与远程IO的两路冗余通信同时通信中断，辅操台停车按钮安全状态，导致装置联锁停车的事故。

2017年 5月23日 03:46:35，210×104t/a原料油加氢装置SIS系统与远程IO的两路冗余通信同时通信中断，辅操台停车按钮安全状态，导致装置联锁停车，辅操台报警灯屏全部灯灭。

2017年9月2日23:28:26，6×104标立/小时制氢装置SIS系统与远程IO的两路冗余通信同时通信中断，辅操台停车按钮安全状态，导致装置联锁停车，辅操台报警灯屏全部灯灭。

2 SIS系统配置

210×104t/a原料油加氢装置、6×104标立/小时制氢装置的安全联锁系统SIS全部选用霍尼韦尔公司的SM系统，SM系统是冗余的双处理器CPU和冗余的IO卡件构成，采用2oo4D表决方式，各装置SIS系统独立设置，包括控制站、操作站、辅助操作台及远程IO柜等。操作站、辅助操作台、远程IO柜、工程师站等安装在全厂中心控制室（CCR）内，控制站、端子柜等安装在各装置现场机柜室（FAR）内。

每套装置的SIS系统都在CCR有独立的远程IO与之相连，控制器与远程IO采用是SAFENET独立冗余网络，控制器与操作站采用是FTE冗余网络通信，从现场机柜室（FAR）控制器到中心控制室（CCR）的远程IO通信网络用冗余单模铠装光纤+冗余交换机连接。远程IO主要连接CCR辅操台的紧急停车按钮及停车指示灯，远程IO按故障安全性设计，远程IO断电辅操台紧急停车按钮自动动作。

3 原因分析

3.1 210×104 t/a原料油加氢装置SIS系统分析

3.1.1 停机过程

通过系统诊断记录[1]显示，SIS系统于2017年5月23日03:46:35，SIS控制器与CCR的远程IO两路冗余的通信同时中断，communication fault，错误代码为228。由于远程IO连接辅操台的急停按钮和报警灯，所以当通信中断时，SIS联锁停车。

3.1.2 原因分析

由于通信故障只是瞬间发生，并于43 s后通信恢复，目前已经开车投产，所以通信故障无法重现。同时检查发现，远程IO的电源、风扇及机柜环境温度综合报警信息连接在本柜卡件上，一旦远程IO通信中断，无法有效地记录报警状态。根据现在情况及以往经验可知，可能的原因如下，（1）远程IO电源松动瞬时失电；（2）远程IO网络交换机网络风暴问题。

3.1.3 采取的措施

采取的措施具体如下：

（1）紧固远程IO电源端子，发现端子基本上不松动；

（2）更换交换机；

（3）原11套SIS的远程IO的电源、风扇及机柜环境温度综合报警信息接到自身的远程柜，通信失败主控制器无法记录，将报警信息接到DCS控制系统上进行记录。

3.2 6万标立/小时制氢装置SIS系统分析

3.2.1 停机过程

通过系统诊断记录显示，SIS系统于9月2日23:28:26，SIS控制器与CCR的远程IO两路冗余的通信同时中断，communication fault，错误代码为228。由于远程IO所连接的是辅操台的急停按钮和报警灯，当冗余通信同时中断时，SIS联锁停车。SIS系统于9月3日03:14:47对系统复位操作后，系统恢复工作。

3.2.2 SIS系统停车原因分析

根据SIS系统诊断信息和SOE事件记录表明，此次联锁停车是由于两路冗余的远程IO通信同时故障导致，故重点分析并排查的对象如下。

3.2.2.1 柜内故障点趋势分析

远程机柜内的风扇故障、柜内温度报警以及电源故障点经串接后连入DCS系统进行监视。

调取停车事件发生时间附近的故障点趋势，DCS记录在9月2日23:28:27此装置的SIS安全联锁系统综合报警信息出现了ON（1）到OFF（0）变换的趋势，并在23:28:40恢复正常，故障信号持续了13 s，SIS的诊断记录中23:28:53控制器同时识别到远程卡状态。

DCS目前监控的是风扇故障、温度报警以及电源故障串联后的信号，考虑机柜内的温度模块设定为35℃报警，并且机柜间的温度一直稳定在24 ℃，所以温度报警排除。风扇故障为不可恢复的故障，所以排除风扇后最大的可能是停车时电源发生短时间掉电故障。

3.2.2.2 UPS供电问题检查

经检查，SIS远程IO机柜的供电是由DCS配电柜统一供电，并且分别位于两个供电柜冗余供电，每一路的空开都来自供电母排，所以基本排除了UPS外供电问题。

3.2.2.3 SIS远程机柜内部供电和电源检查

经检查，220 V冗余供电接线没有松动现象，内部24 V供电接线也没有松动现象。由于SIS系统联锁后，大约27 s后CP可以与远程卡通信并诊断出故障，所以基本也排除供电线松动问题。

远程电源目前所接负载分别为FTE交换机、远程IO专用交换机、风扇以及远程IO卡，对于目前所有负载发生短路故障分析如下。FTE交换机、远程IO专用交换机及风扇均由24 V DC专用供电分配板独立供电，每一路均有一个2 A的保险保护，目前保险完好，即排除所述元器件短路的可能。远程IO背板上有一个10 A的保险，由于停车故障后同在一块背板上的其他IO卡供电正常，所以基本排除远程IO卡部分短路故障的可能性。

3.2.2.4 人为因素

通过维保单位协助核查机柜间的视频记录，SIS联锁停车时未发现有人在CCR机柜间，所以排除人为因素。

3.2.2.5 接 地

经检查，CCR机柜间相邻机柜安全地之间的电阻为0.2 Ω左右，柜内安全地与机柜间安全地排之间的电阻为0.2 Ω左右，柜内安全地与仪表地电阻为无穷大。接地以及绝缘良好，故排除接地因素。

3.2.2.6 霍尼韦尔全球技术支持中心（GTAC）

故障发生后，将现场采集到的SM数据、诊断记录、SOE记录以及连接至DCS处的机柜故障报警趋势统一上报至HONEYWELL全球技术支持中心处，技术人员根据当前所提供信息提示可以考虑的因素。

（1）直流电源FC-PSU-UNI2412在强电磁干扰下可能会有性能降低的情况，会导致电源重启。

（2）直流电源FC-PSU-UNI2412在2 kV接地浪涌的作用下可能会导致电源重启。

直流电源FC-PSU-UNI2412在国外项目也发生过类似情况，并停产了相应的版本。结合技术人员的分析对机柜间附近可能存在的电磁干扰源进行排查，机柜顶上有对接机天线铁塔，但由于停车时的强电磁干扰无法重现，所以此类原因不排除存在的可能性。

9月2日晚间现场天气状况良好，无雷电情况，故排除瞬时浪涌的干扰。

3.2.3 处理措施

根据分析可知，导致远程IO卡通信中断的直接原因应为远程IO机柜内为远程IO模块供电的直流电源FC-PSU-UNI2412输出短时掉电重启造成的。将远程柜电源FC-PSU-UNI2412更换为抗干扰能力强的FCPSU-UNI2450U V2.1的直流电源，于2017年9月11日-2017年9月12日对全厂12套SIS系统共计24台直流电源进行了在线更换，截止到2019年6月份未发生同样的故障，彻底消除了全厂紧急停车的隐患。

4 结 论

本文对HONEYWELL的SIS系统远程IO电源模块故障进行了大量观察及认真仔细地分析，并采取及时有效的监控手段，诊断准确，制定处理措施完善，使问题得到及时解决，提高了系统的稳定安全性，给安全生产提供了强有力的保障。