摘要：本文介紹了安全控製係統的定義和理論，與安全控製係統相關的一些國際標準和設計原則，結合項目實例闡述了西門子S7-400F/H冗餘容錯故障安全控製係統的實際應用。

　　一、引言

　　在石化、huagongdengxiangduiweixianxingjiaodadexingyezhong，suizhekexuejishudefazhan
，shengchanguimodebuduankuoda

，gongyiliuchengyuelaiyuefuza，shengchandeanquanxingxiandeyouweizhongyao。qizhong，zidonghuakongzhixitongdegongnenganquanzhanlehendayibufendebizhong。yiwangguoneiyibanhuijiangguochengkongzhizhongyuanquanxiangguandebufenyuyibandeDCS或PLC係統整合在一起
，但現在從安全至上的角度出發，自動化供應商和最終用戶本身都意識到了采用相對獨立的
、應用於安全相關的控製係統的必要性，基於此

，安全控製係統應運而生。

　　二、與安全控製係統相關的國際標準

　　2000年5月，國際電工委員會(IEC）正式發布了IEC-61508標準，名為“電氣／電子／可編程電子安全係統的功能安全”。該標準共計七個部分，涉及到1000多個規範。該標準針對起安全作用的電氣／電子／可編程電子係統（E/E/PE）提出了一個基礎、合理的技術方案
，並建立一個相應的評價方法，綜合考慮如傳感器、通信係統、控製裝置
、執行器等元器件與安全係統組合的問題。

　　根據該標準規定，安全控製係統的最終設計目標可以概括為：在(zai)生(sheng)產(chan)過(guo)程(cheng)中(zhong)發(fa)生(sheng)危(wei)險(xian)事(shi)故(gu)或(huo)係(xi)統(tong)本(ben)身(shen)發(fa)生(sheng)故(gu)障(zhang)的(de)情(qing)況(kuang)下(xia)，係(xi)統(tong)能(neng)做(zuo)出(chu)及(ji)時(shi)和(he)正(zheng)確(que)的(de)反(fan)應(ying)並(bing)輸(shu)出(chu)到(dao)現(xian)場(chang)，以(yi)防(fang)止(zhi)危(wei)險(xian)的(de)發(fa)生(sheng)或(huo)減(jian)輕(qing)已(yi)發(fa)生(sheng)危(wei)險(xian)所(suo)導(dao)致(zhi)的(de)後(hou)果(guo)。根(gen)據(ju)這(zhe)一(yi)原(yuan)則(ze)
，IEC-61508規定了一項重要的可定量化要求：安全整體性要求等級SIL(Safety Integrity Level) ，它是指在一定時間內
、所有條件不變的情況下安全控製係統達到所要求安全功能的一個指標。SIL共分為SIL1、SIL2、 SIL3和SIL4四個等級，等級越高，相應的要求也越高。

　　2003年1月，在IEC-61508的基礎上，IEC又發布了IEC-61511 “過程土業部門儀表型安全係統的功能安全”。這是專門針對流程工業領域安全控製係統的安全功能標準。IEC-61511規gui定ding了le控kong製zhi器qi單dan元yuan在zai設she計ji和he使shi用yong的de過guo程cheng中zhong需xu采cai用yong的de基ji本ben原yuan則ze
，構gou成cheng安an全quan控kong製zhi係xi統tong的de傳chuan感gan器qi和he最zui終zhong執zhi行xing元yuan件jian所suo應ying達da到dao的de最zui低di標biao準zhun，並bing提ti出chu達da到dao最zui低di標biao準zhun的de安an全quan生sheng命ming周zhou期qi活huo動dong的de方fang法fa。也ye就jiu是shi對dui過guo程cheng工gong業ye領ling域yu中zhong安an全quan控kong製zhi係xi統tong的de設she計ji、安裝
、調試、運行和維護等一係列的要求進行標準化，並對應用和安全整體級別的確定方麵提供指導。

　　通俗點來說，兩者間的關係和區別可以這樣來理解：IEC-61508適用於設備製造商和供貨商
，而IEC-61511提供了一個在流程工業可實際應用和便於理解的IEC-61508版本且較為適用於安全控製係統的設計者、集成商和最終用戶。

　　除了以上兩大標準
，其他主要的國際通用安全標準有：美國國家標準ANSI/ISA-S84.01，關於測量及控製設備安全的德國國家標準DIN-19250以及針對機械設備的IEC-62061。現今國際上權威的安全標準認證機構包括德國的TUV組織，歐洲的BGIA認證，美國的EXIDA組織和FactowMutual組織。

　　三、安全控製係統定義及概述

　　suoweianquankongzhixitong

，zhideshinengtigongyizhonggaodukekaodeanquanbaohushouduan
，zuidaxiandudibimianxiangguanshebeidebuanquanzhuangtai，fangzhiexingshigudefashenghuozaishigufashenghoujinkenengdijianshaosunshi

，yibaohushengchanzhuangzhijizuizhongyaoderenshenanquan。

　　安全控製係統能在生產裝置開車、停車、出(chu)現(xian)工(gong)藝(yi)擾(rao)動(dong)等(deng)狀(zhuang)況(kuang)和(he)正(zheng)常(chang)維(wei)護(hu)操(cao)作(zuo)期(qi)間(jian)對(dui)設(she)備(bei)提(ti)供(gong)安(an)全(quan)保(bao)護(hu)，一(yi)旦(dan)設(she)備(bei)出(chu)現(xian)危(wei)險(xian)情(qing)況(kuang)，安(an)全(quan)控(kong)製(zhi)係(xi)統(tong)能(neng)夠(gou)立(li)即(ji)做(zuo)出(chu)反(fan)應(ying)並(bing)輸(shu)出(chu)正(zheng)確(que)信(xin)號(hao)，使(shi)得(de)設(she)備(bei)處(chu)於(yu)安(an)全(quan)狀(zhuang)態(tai)或(huo)停(ting)機(ji)。在(zai)化(hua)工(gong)行(xing)業(ye)中(zhong)，安(an)全(quan)控(kong)製(zhi)係(xi)統(tong)一(yi)般(ban)被(bei)稱(cheng)為(wei)ESD（緊急停車係統）或SIS（安全儀表係統）。從嚴格意義上來說
，ESD指的是SIS中的邏輯運算器、即控製係統硬件和相應的軟件，而SIS還包括了外圍的儀表傳感器和最終執行元件等。

　　安全控製係統一般都采用了冗餘及容錯的技術
，兩者之間不盡相同。

　　冗餘（Redundant）指的是並行的使用多個係統部件如CPU
、輸入模塊
、通tong訊xun卡ka件jian等deng，以yi提ti供gong錯cuo誤wu檢jian測ce和he錯cuo誤wu校xiao正zheng的de功gong能neng

，並bing可ke以yi自zi動dong地di檢jian測ce故gu障zhang，在zai不bu影ying響xiang整zheng個ge係xi統tong運yun行xing的de很hen短duan時shi間jian內nei切qie換huan到dao後hou備bei設she備bei上shang繼ji續xu正zheng常chang工gong作zuo。

　　而容錯技術（Fault TOlerant）指zhi的de是shi擁yong有you內nei部bu冗rong餘yu的de並bing行xing元yuan件jian和he集ji成cheng邏luo輯ji，當dang硬ying件jian或huo軟ruan件jian存cun在zai部bu分fen故gu障zhang時shi，係xi統tong能neng夠gou自zi動dong識shi別bie故gu障zhang並bing使shi故gu障zhang旁pang路lu繼ji續xu執zhi行xing正zheng確que的de指zhi定ding功gong能neng的de能neng力li。或huo者zhe指zhi硬ying件jian和he軟ruan件jian發fa生sheng故gu障zhang的de情qing況kuang下xia，係xi統tong仍reng然ran具ju有you繼ji續xu運yun行xing的de能neng力li。這zhe一yi般ban包bao含han了le三san方fang麵mian的de功gong能neng，一yi是shi故gu障zhang約yue束shu，即ji限xian製zhi過guo程cheng或huo進jin程cheng的de動dong作zuo
，防fang止zhi錯cuo誤wu發fa生sheng後hou在zai被bei檢jian測ce出chu之zhi前qian的de擴kuo大da；二是故障檢測，即對信息和過程進行不間斷地動態檢測，以及時發現錯誤
；三是故障恢複，即修正或切換失效的部件。容錯技術包括了錯誤檢測和校正所需要的各種編碼、係統恢複、指令執行、程序複算、備件切換、係統重組等技術。它是以冗餘技術為基礎，尤其適用於安全控製係統的一種先進可靠的技術手段。

　　四、安全控製係統的設計原則

　　4.1 獨立設置原則

　　安(an)全(quan)控(kong)製(zhi)係(xi)統(tong)應(ying)獨(du)立(li)於(yu)過(guo)程(cheng)控(kong)製(zhi)係(xi)統(tong)
，以(yi)降(jiang)低(di)控(kong)製(zhi)功(gong)能(neng)和(he)安(an)全(quan)功(gong)能(neng)同(tong)時(shi)失(shi)效(xiao)的(de)概(gai)率(lv)，使(shi)安(an)全(quan)控(kong)製(zhi)係(xi)統(tong)不(bu)依(yi)附(fu)於(yu)過(guo)程(cheng)控(kong)製(zhi)係(xi)統(tong)就(jiu)能(neng)獨(du)立(li)完(wan)成(cheng)自(zi)動(dong)保(bao)護(hu)和(he)聯(lian)鎖(suo)的(de)安(an)全(quan)功(gong)能(neng)。

　　設計時必須考慮配置相應的通訊接口
，使得過程控製係統也能夠監視安全控製係統的運行狀態。

　　原則上需要獨立設置的部件包括檢測元件、執行元件、邏輯運算器、安全控製係統，以及與過程控製係統之間或其他設備的通訊組件。

　　對於較為複雜裝置的安全控製係統適合分解為若幹子係統

，各子係統相對獨立且分別設置後備手動功能。

　　4.2 結構選用的原則

　　安(an)全(quan)控(kong)製(zhi)係(xi)統(tong)應(ying)采(cai)用(yong)容(rong)錯(cuo)係(xi)統(tong)。在(zai)一(yi)個(ge)或(huo)多(duo)個(ge)元(yuan)件(jian)發(fa)生(sheng)故(gu)障(zhang)時(shi)
，係(xi)統(tong)仍(reng)然(ran)具(ju)有(you)繼(ji)續(xu)運(yun)行(xing)的(de)能(neng)力(li)。對(dui)於(yu)以(yi)邏(luo)輯(ji)運(yun)算(suan)器(qi)為(wei)基(ji)礎(chu)的(de)容(rong)錯(cuo)係(xi)統(tong)來(lai)說(shuo)，一(yi)般(ban)都(dou)會(hui)采(cai)用(yong)冗(rong)餘(yu)結(jie)構(gou)，並(bing)可(ke)參(can)考(kao)采(cai)用(yong)以(yi)下(xia)方(fang)法(fa)：

　　對於有相互關係的參數之間可以使用不同的測量方法（如壓力和溫度）；

　　對於同一變量采用不同的測量技術（如渦街流量計和電磁流量計）；

　　對於冗餘結構的每一個通道采用不同類型的可編程電子係統；

　　對於冗餘的通訊結構來說可以使用不同的地址。

　　4.3 技術選用的原則

　　安全控製係統可以采用電氣、電子或可編程電子（E/E/PE）技術，也可以采用上述技術混合的方案。

　　對於繼電器而言需要注意如存在以下情況時不可使用：高負荷周期性的頻繁改變狀態；作為定時器或鎖定功能使用；複雜的邏輯應用場合。這時候可以考慮選用固態繼電器
，但也需恰當處理好故障安全模式。

　　另外要注意的是對於安全控製係統一般不推薦使用固態邏輯，即將內部邏輯元件（與、或、非等）用直接連線的方式來獲得邏輯功能，而一般這些功能在故障安全方麵是受限製的。

　　4.4 故障安全原則

　　安全控製係統必須是故障安全型的。所謂故障安全是指檢測元件和最終執行元件在係統正常時應該是勵磁的

，即得電狀態；在係統故障時應是非勵磁的。這也稱之為非勵磁停車設計。

　　4.5 中間環節最少原則

　　作zuo為wei一yi個ge高gao效xiao的de係xi統tong
，安an全quan控kong製zhi係xi統tong的de中zhong間jian環huan節jie越yue少shao越yue好hao，盡jin可ke能neng地di采cai用yong最zui直zhi接jie的de測ce量liang和he最zui可ke靠kao的de執zhi行xing方fang式shi，避bi免mian繁fan瑣suo複fu雜za和he不bu必bi要yao的de設she計ji，以yi及ji過guo多duo的de電dian一yi氣qi、氣一電轉換環節
，另外在運行時也要考慮對人員幹預和選擇環節的需求是最少的或者沒有。

　　五、安全控製係統項目實例

　　5.1 項目概述

　　新昌源化工江蘇有限公司20萬噸／年粗苯加氫ESD係統項目的實施周期為2009年10月至2010年4月。設置此安全控製係統的目的是為了保障粗苯加氫裝置的安全生產，降低惡性事故的發生概率
，減少計劃外停車
，避免重大人身傷害
、設備損壞和經濟損失的事故發生。為此
，在主控室配備了獨立於過程控係統DCS的兩台互為備用的ESD操作站（其中一台兼作工程師站），以及ESD專用報警打印機一台。

　　5.2 係統配置

　　本ESD使用的是西門子SIMATIC S7-4OOF/H係統
，它是以冗餘及容錯技術為基礎的故障安全控製係統。一旦工藝上的安全聯鎖條件具備或者任何係統內部故障發生時S7-400F/H 就立即進入一種安全工作狀態，即保持在一種安全工作模式上，從而保證操作人員
、設備、環境和生產過程處於安全狀態。

　　S7-400F/H提供了全係統的冗餘，包括CPU
、可帶電插拔的故障安全專用1/O卡件
、通訊模塊、電源和網絡。

　　S7-400F/H 控製站型號為AS414-F/H 套tao件jian


，它ta是shi由you兩liang套tao中zhong央yang控kong製zhi器qi組zu成cheng
，且qie內nei置zhi有you冗rong餘yu模mo塊kuai，通tong過guo兩liang個ge光guang纖xian通tong訊xun口kou互hu相xiang連lian接jie。在zai係xi統tong正zheng常chang運yun行xing過guo程cheng中zhong，當dang某mou個ge中zhong央yang控kong製zhi器qi出chu現xian故gu障zhang時shi，另ling一yi個ge中zhong央yang控kong製zhi器qi自zi動dong接jie管guan所suo有you工gong作zuo，保bao證zheng係xi統tong繼ji續xu正zheng常chang運yun行xing。

　　作為一個整套的安全控製係統解決方案
，輸入輸出信號卡件也選用了西門子ET-200M故障安全專用I/O卡件，其所有卡件具有帶電熱插拔功能。可靠性高、組態靈活
、使用方便，具有很好的在線維護性。控製站可通過基於Profibus-DP通訊協議的Profi-Safe網絡與其連接。

　　電源冗餘由係統供電和現場設備供電兩方麵組成。控製站通過係統配置的雙冗餘電源供電（每塊CPU均配備兩個電源模塊

，可根據安全要求分別接人兩路電源如：一路UPS，一路市電）。且當其中某一電源發生故障時
，不必停機就可更換備用電源。對於現場設備而言
，本係統選用的西門子 SITOP直流電源也采用了冗餘設計，允許兩個直流電源並聯使用，將所有配置的直流電源並聯後再通過ET200M分布式I/0模(mo)件(jian)向(xiang)現(xian)場(chang)供(gong)電(dian)。在(zai)係(xi)統(tong)運(yun)行(xing)過(guo)程(cheng)中(zhong)，當(dang)其(qi)中(zhong)某(mou)一(yi)台(tai)直(zhi)流(liu)電(dian)源(yuan)發(fa)生(sheng)故(gu)障(zhang)時(shi)，並(bing)聯(lian)的(de)直(zhi)流(liu)電(dian)源(yuan)還(hai)能(neng)保(bao)證(zheng)足(zu)夠(gou)的(de)功(gong)率(lv)輸(shu)出(chu)，也(ye)不(bu)會(hui)影(ying)響(xiang)備(bei)件(jian)更(geng)換(huan)。

　　控製站與上位機的通訊使用了冗餘的以太網，兩個操作站分別通過兩個赫斯曼工業交換機與兩個CPU套件上的以太網模塊相連接，確保了通訊的萬無一失。

　　5.3 係統組態和編程

　　ESD係統配置的工程師站對整個S7-400F/H係統進行組態。其操作係統采用WindowsXP，並且采用了集成的全局數據管理和統一的組態工具。這個組態工具就是SIMATIC程序管理器，它采用了現代化的軟件體係結構，對項目進行管理、處理、guidanghejianliwenjian。zairuanjiankaifafangmian，caiyonglemianxiangduixiangdejishu。zaixiangmuguanlishang，yixitongyingjianhegongyiguochenglianggebutongdeshijiao

，tongshijinxingguanli。zaiSIMATIC程序管理器下，有多種組態工具可以使用，無論采用何種組態工具，生成的組態數據都自動存到同一的數據庫中。

　　本項目采用了西門子STEP7軟件平台，編程語言工具為CFC( Continuous Function Chart連續功能圖）和西門子F-Library軟件功能庫。 CFC是一種簡潔的圖形組態工具，基於IEC-1131標準。使用CFC有助於節省時間費用，同時大大簡化了係統的組態和維護。用CFC進(jin)行(xing)組(zu)態(tai)時(shi)是(shi)以(yi)功(gong)能(neng)塊(kuai)為(wei)基(ji)礎(chu)的(de)，係(xi)統(tong)配(pei)置(zhi)了(le)很(hen)多(duo)預(yu)編(bian)程(cheng)的(de)功(gong)能(neng)塊(kuai)。這(zhe)些(xie)功(gong)能(neng)塊(kuai)以(yi)庫(ku)的(de)形(xing)式(shi)體(ti)現(xian)。每(mei)個(ge)功(gong)能(neng)塊(kuai)都(dou)有(you)一(yi)個(ge)參(can)數(shu)表(biao)，可(ke)根(gen)據(ju)實(shi)際(ji)工(gong)藝(yi)要(yao)求(qiu)選(xuan)擇(ze)不(bu)同(tong)的(de)參(can)數(shu)。功(gong)能(neng)塊(kuai)在(zai)CFC中的連接直接用鼠標點接。每個CFC由6頁組成。功能塊之間的連接可以在不同的CFC之間不同的頁麵上進行
，連接標記由係統自動標出。因此，采用CFC可以完成很複雜的大型控製任務。對於本項目來說，尤其適用於安全控製係統的編程，並且F-Library軟件功能庫需與CFC搭配使用。

　　上位機組態軟件使用的是英維思Wonderware Intouch9.5版，通訊方式為OPC連接。Intouch使(shi)用(yong)較(jiao)為(wei)廣(guang)泛(fan)
，且(qie)成(cheng)熟(shu)可(ke)靠(kao)
，無(wu)論(lun)對(dui)於(yu)係(xi)統(tong)開(kai)發(fa)人(ren)員(yuan)
，工(gong)廠(chang)使(shi)用(yong)人(ren)員(yuan)和(he)維(wei)護(hu)人(ren)員(yuan)來(lai)說(shuo)，都(dou)具(ju)有(you)相(xiang)當(dang)的(de)可(ke)操(cao)作(zuo)性(xing)和(he)可(ke)維(wei)護(hu)性(xing)。在(zai)實(shi)際(ji)使(shi)用(yong)過(guo)程(cheng)中(zhong)確(que)實(shi)也(ye)表(biao)現(xian)不(bu)錯(cuo)。

　　六
、小結

　　現今國家大力提倡節能減排和安全生產的觀念，對於安全控製係統來說，由於其結合了當下較為先進的自動化控製技術、故障診斷技術和軟件技術，且具有可靠性高、操作簡單

、維護方便的特點
，真正為工廠的安全生產提供了保障，進而也促進了節能減排的工作進展，為社會的和諧發展做出了貢獻。