故障安全控制系统在抚顺石油化工项目中的应用(2)

现场系统总线与CCR系统总线之间通过冗余光缆连接，通信速率为lOOMbit/s。一个为StandbyMaster，另一个为StandbySlave，当Master通信中断时，系统自动切换到Slave通信。CCR中的工程师站和操作员站提供大部分的工程操作和数据归档功能。另一方面，当CCR发生通信故障时，分布在FRR中的工程师站和操作员站提供后备操作。

三、安全控制系统介绍

在过程工业复杂的生产过程中，自动化系统必须完全无故障地运行。任何一个故障或功能问题都可能带来致命后果，因此必须最大程度地加以避免，为了可靠地避免风险和消除危险源，生产过程中应包括安全设计。

安全设计的首要目标是通过使用相应的技术和设备，将人员、装置和环境所面临的危险降到最低程度，而不会对生产过程产生限制，因此对所谓的功能安全性具有很高的要求。为了实现功能性安全，需要采用可靠的安全仪表系统(SIS)，在需要时将工厂置于安全状态。

石化化工工业生产原料及产品、生产过程多属于易燃、易爆，因此不但生产过程中的仪表、接线等需按安全规范设计成相应的本安型或者隔爆型，而且还要在生产中对潜在的风险进行评估和控制，也就是对所谓的生命周期进行有效性控制，这就要求对生产的过程使用SIS或者ESD系统进行安全控制。

ESD（EmergencyShutdownDevice，紧急停车系统），这种专用的安全保护系统是20世纪90年代发展起来的，它以高可靠性和灵活性而受到一致好评。目前国际上还有另外两种不同的叫法：安全仪表系统，（SafetyInstrumentedSystem，SIS），仪表保护系统(InstrumentedProtectiveSystem，IPS)这几种叫法都是指用仪表系统来实施保护，虽然叫法不同，但实现的功能是一样的。

SIS是一个功能相对独立的安全系统，它由传感器、控制器和执行器等部件组成。主要用于以下目的：

1)关断：当一个预定义的条件达到时，过程装置自动地进入一个安全状态。

2)容错：在定义的条件下，装置能够安全地运行。

3)降低安全事件的影响：一个安全事件的可能后果被降到最低程度，因而得到限制。

SIL（SafetyIntegrityLevel）是在一定的时间内对一个安全仪表系统能够正常执行安全仪表功能（SafetyInstrumentedFunction，SIF）的概率的一种量度，是用于描述风险控制的措施。较高的SIL等级相应于较大程度的风险降低。使用经过认证的安全部件有助于确保SIF符合所需的SIL。

SIL与PFD（PerformtheFunctiononDemand）的关系式如图5所示。

图5SIL与PFD关系式

四、西门子SIS介绍

1．SIS硬件

在抚顺石化项目中，SIS使用的控制器是S7-417FH，10卡件型号分别为6ES7336-4GEOO-OABO（具有HART功能的通道模拟量信号输入检测卡件）、6ES7326-1BK01-OABO（12或24通道数字量信号输入检测卡件）、6ES7326-2BF01-OABO（10通道数字量信号输出卡件），以上控制器及卡件图6西门子SIS系统硬件架构（见图6）均符合TuV规范认证，并可达到SIL3安全等级。
 

图6

2．采用安全机制下的PROFIsafe通信

西门子公司独有的反编码技术故障安全CPU、PROFIsafe通信，内置双处理器的智能故障安全I/O模件，使得由单个CPU、单路总线和单路I/O模件构成的单系统即可满足IEC61508SIL3(DINAK6)的安全等级要求。通信原理如图7所示。

图7PROFlsafe通信原理图

故障安全I/O模件内置双路处理器及诊断电路，保证了卡件任何的软件故障均可诊断出来，诊断率高达99.9%。电路原理如图8所示。

图8PROFIsafe电路原理图PROFIsafePROFIBUS安全通信