摘要：本文介紹了安全控製係統的定義和理論
，與安全控製係統相關的一些國際標準和設計原則，結合項目實例闡述了西門子S7-400F/H冗餘容錯故障安全控製係統的實際應用。

　　一、引言

　　在石化、huagongdengxiangduiweixianxingjiaodadexingyezhong，suizhekexuejishudefazhan，shengchanguimodebuduankuoda，gongyiliuchengyuelaiyuefuza，shengchandeanquanxingxiandeyouweizhongyao。qizhong，zidonghuakongzhixitongdegongnenganquanzhanlehendayibufendebizhong。yiwangguoneiyibanhuijiangguochengkongzhizhongyuanquanxiangguandebufenyuyibandeDCS或PLC係統整合在一起，但現在從安全至上的角度出發，自動化供應商和最終用戶本身都意識到了采用相對獨立的、應用於安全相關的控製係統的必要性
，基於此
，安全控製係統應運而生。

　　二
、與安全控製係統相關的國際標準

　　2000年5月，國際電工委員會(IEC）正式發布了IEC-61508標準，名為“電氣／電子／可編程電子安全係統的功能安全”。該標準共計七個部分，涉及到1000多個規範。該標準針對起安全作用的電氣／電子／可編程電子係統（E/E/PE）提出了一個基礎、合理的技術方案，並建立一個相應的評價方法，綜合考慮如傳感器、通信係統、控製裝置
、執行器等元器件與安全係統組合的問題。

　　根據該標準規定，安全控製係統的最終設計目標可以概括為：在zai生sheng產chan過guo程cheng中zhong發fa生sheng危wei險xian事shi故gu或huo係xi統tong本ben身shen發fa生sheng故gu障zhang的de情qing況kuang下xia，係xi統tong能neng做zuo出chu及ji時shi和he正zheng確que的de反fan應ying並bing輸shu出chu到dao現xian場chang，以yi防fang止zhi危wei險xian的de發fa生sheng或huo減jian輕qing已yi發fa生sheng危wei險xian所suo導dao致zhi的de後hou果guo。根gen據ju這zhe一yi原yuan則ze，IEC-61508規定了一項重要的可定量化要求：安全整體性要求等級SIL(Safety Integrity Level) 
，它是指在一定時間內、所有條件不變的情況下安全控製係統達到所要求安全功能的一個指標。SIL共分為SIL1、SIL2、 SIL3和SIL4四個等級，等級越高
，相應的要求也越高。

　　2003年1月
，在IEC-61508的基礎上
，IEC又發布了IEC-61511 “過程土業部門儀表型安全係統的功能安全”。這是專門針對流程工業領域安全控製係統的安全功能標準。IEC-61511規(gui)定(ding)了(le)控(kong)製(zhi)器(qi)單(dan)元(yuan)在(zai)設(she)計(ji)和(he)使(shi)用(yong)的(de)過(guo)程(cheng)中(zhong)需(xu)采(cai)用(yong)的(de)基(ji)本(ben)原(yuan)則(ze)，構(gou)成(cheng)安(an)全(quan)控(kong)製(zhi)係(xi)統(tong)的(de)傳(chuan)感(gan)器(qi)和(he)最(zui)終(zhong)執(zhi)行(xing)元(yuan)件(jian)所(suo)應(ying)達(da)到(dao)的(de)最(zui)低(di)標(biao)準(zhun)，並(bing)提(ti)出(chu)達(da)到(dao)最(zui)低(di)標(biao)準(zhun)的(de)安(an)全(quan)生(sheng)命(ming)周(zhou)期(qi)活(huo)動(dong)的(de)方(fang)法(fa)。也(ye)就(jiu)是(shi)對(dui)過(guo)程(cheng)工(gong)業(ye)領(ling)域(yu)中(zhong)安(an)全(quan)控(kong)製(zhi)係(xi)統(tong)的(de)設(she)計(ji)、安裝、調試、運行和維護等一係列的要求進行標準化

，並對應用和安全整體級別的確定方麵提供指導。

　　通俗點來說，兩者間的關係和區別可以這樣來理解：IEC-61508適用於設備製造商和供貨商，而IEC-61511提供了一個在流程工業可實際應用和便於理解的IEC-61508版本且較為適用於安全控製係統的設計者、集成商和最終用戶。

　　除了以上兩大標準
，其他主要的國際通用安全標準有：美國國家標準ANSI/ISA-S84.01，關於測量及控製設備安全的德國國家標準DIN-19250以及針對機械設備的IEC-62061。現今國際上權威的安全標準認證機構包括德國的TUV組織，歐洲的BGIA認證
，美國的EXIDA組織和FactowMutual組織。

　　三、安全控製係統定義及概述

　　suoweianquankongzhixitong
，zhideshinengtigongyizhonggaodukekaodeanquanbaohushouduan，zuidaxiandudibimianxiangguanshebeidebuanquanzhuangtai，fangzhiexingshigudefashenghuozaishigufashenghoujinkenengdijianshaosunshi，yibaohushengchanzhuangzhijizuizhongyaoderenshenanquan。

　　安全控製係統能在生產裝置開車、停車、chuxiangongyiraodongdengzhuangkuanghezhengchangweihucaozuoqijianduishebeitigonganquanbaohu，yidanshebeichuxianweixianqingkuang，anquankongzhixitongnenggoulijizuochufanyingbingshuchuzhengquexinhao，shideshebeichuyuanquanzhuangtaihuotingji。zaihuagongxingyezhong，anquankongzhixitongyibanbeichengweiESD（緊急停車係統）或SIS（安全儀表係統）。從嚴格意義上來說，ESD指的是SIS中的邏輯運算器
、即控製係統硬件和相應的軟件，而SIS還包括了外圍的儀表傳感器和最終執行元件等。

　　安全控製係統一般都采用了冗餘及容錯的技術，兩者之間不盡相同。

　　冗餘（Redundant）指的是並行的使用多個係統部件如CPU、輸入模塊
、通(tong)訊(xun)卡(ka)件(jian)等(deng)
，以(yi)提(ti)供(gong)錯(cuo)誤(wu)檢(jian)測(ce)和(he)錯(cuo)誤(wu)校(xiao)正(zheng)的(de)功(gong)能(neng)
，並(bing)可(ke)以(yi)自(zi)動(dong)地(di)檢(jian)測(ce)故(gu)障(zhang)，在(zai)不(bu)影(ying)響(xiang)整(zheng)個(ge)係(xi)統(tong)運(yun)行(xing)的(de)很(hen)短(duan)時(shi)間(jian)內(nei)切(qie)換(huan)到(dao)後(hou)備(bei)設(she)備(bei)上(shang)繼(ji)續(xu)正(zheng)常(chang)工(gong)作(zuo)。

　　而容錯技術（Fault TOlerant）zhideshiyongyouneiburongyudebingxingyuanjianhejichengluoji
，dangyingjianhuoruanjiancunzaibufenguzhangshi，xitongnenggouzidongshibieguzhangbingshiguzhangpanglujixuzhixingzhengquedezhidinggongnengdenengli。huozhezhiyingjianheruanjianfashengguzhangdeqingkuangxia，xitongrengranjuyoujixuyunxingdenengli。zheyibanbaohanlesanfangmiandegongneng，yishiguzhangyueshu，jixianzhiguochenghuojinchengdedongzuo

，fangzhicuowufashenghouzaibeijiancechuzhiqiandekuoda；二是故障檢測，即對信息和過程進行不間斷地動態檢測，以及時發現錯誤；三是故障恢複，即修正或切換失效的部件。容錯技術包括了錯誤檢測和校正所需要的各種編碼、係統恢複、指令執行、程序複算、備件切換、係統重組等技術。它是以冗餘技術為基礎，尤其適用於安全控製係統的一種先進可靠的技術手段。

　　四、安全控製係統的設計原則

　　4.1 獨立設置原則

　　anquankongzhixitongyingduliyuguochengkongzhixitong

，yijiangdikongzhigongnengheanquangongnengtongshishixiaodegailv

，shianquankongzhixitongbuyifuyuguochengkongzhixitongjiunengduliwanchengzidongbaohuheliansuodeanquangongneng。

　　設計時必須考慮配置相應的通訊接口，使得過程控製係統也能夠監視安全控製係統的運行狀態。

　　原則上需要獨立設置的部件包括檢測元件
、執行元件、邏輯運算器、安全控製係統
，以及與過程控製係統之間或其他設備的通訊組件。

　　對於較為複雜裝置的安全控製係統適合分解為若幹子係統，各子係統相對獨立且分別設置後備手動功能。

　　4.2 結構選用的原則

　　安(an)全(quan)控(kong)製(zhi)係(xi)統(tong)應(ying)采(cai)用(yong)容(rong)錯(cuo)係(xi)統(tong)。在(zai)一(yi)個(ge)或(huo)多(duo)個(ge)元(yuan)件(jian)發(fa)生(sheng)故(gu)障(zhang)時(shi)，係(xi)統(tong)仍(reng)然(ran)具(ju)有(you)繼(ji)續(xu)運(yun)行(xing)的(de)能(neng)力(li)。對(dui)於(yu)以(yi)邏(luo)輯(ji)運(yun)算(suan)器(qi)為(wei)基(ji)礎(chu)的(de)容(rong)錯(cuo)係(xi)統(tong)來(lai)說(shuo)，一(yi)般(ban)都(dou)會(hui)采(cai)用(yong)冗(rong)餘(yu)結(jie)構(gou)，並(bing)可(ke)參(can)考(kao)采(cai)用(yong)以(yi)下(xia)方(fang)法(fa)：

　　對於有相互關係的參數之間可以使用不同的測量方法（如壓力和溫度）；

　　對於同一變量采用不同的測量技術（如渦街流量計和電磁流量計）；

　　對於冗餘結構的每一個通道采用不同類型的可編程電子係統

；

　　對於冗餘的通訊結構來說可以使用不同的地址。

　　4.3 技術選用的原則

　　安全控製係統可以采用電氣、電子或可編程電子（E/E/PE）技術，也可以采用上述技術混合的方案。

　　對於繼電器而言需要注意如存在以下情況時不可使用：高負荷周期性的頻繁改變狀態
；作為定時器或鎖定功能使用；複雜的邏輯應用場合。這時候可以考慮選用固態繼電器，但也需恰當處理好故障安全模式。

　　另外要注意的是對於安全控製係統一般不推薦使用固態邏輯，即將內部邏輯元件（與、或、非等）用直接連線的方式來獲得邏輯功能
，而一般這些功能在故障安全方麵是受限製的。

　　4.4 故障安全原則

　　安全控製係統必須是故障安全型的。所謂故障安全是指檢測元件和最終執行元件在係統正常時應該是勵磁的
，即得電狀態；在係統故障時應是非勵磁的。這也稱之為非勵磁停車設計。

　　4.5 中間環節最少原則

　　zuoweiyigegaoxiaodexitong

，anquankongzhixitongdezhongjianhuanjieyueshaoyuehao


，jinkenengdicaiyongzuizhijiedecelianghezuikekaodezhixingfangshi，bimianfansuofuzahebubiyaodesheji，yijiguoduodedianyiqi、氣一電轉換環節，另外在運行時也要考慮對人員幹預和選擇環節的需求是最少的或者沒有。

　　五、安全控製係統項目實例

　　5.1 項目概述

　　新昌源化工江蘇有限公司20萬噸／年粗苯加氫ESD係統項目的實施周期為2009年10月至2010年4月。設置此安全控製係統的目的是為了保障粗苯加氫裝置的安全生產，降低惡性事故的發生概率，減少計劃外停車，避免重大人身傷害、設備損壞和經濟損失的事故發生。為此，在主控室配備了獨立於過程控係統DCS的兩台互為備用的ESD操作站（其中一台兼作工程師站）
，以及ESD專用報警打印機一台。

　　5.2 係統配置

　　本ESD使用的是西門子SIMATIC S7-4OOF/H係統，它是以冗餘及容錯技術為基礎的故障安全控製係統。一旦工藝上的安全聯鎖條件具備或者任何係統內部故障發生時S7-400F/H 就立即進入一種安全工作狀態

，即保持在一種安全工作模式上
，從而保證操作人員
、設備、環境和生產過程處於安全狀態。

　　S7-400F/H提供了全係統的冗餘
，包括CPU

、可帶電插拔的故障安全專用1/O卡件、通訊模塊、電源和網絡。

　　S7-400F/H 控製站型號為AS414-F/H 套(tao)件(jian)，它(ta)是(shi)由(you)兩(liang)套(tao)中(zhong)央(yang)控(kong)製(zhi)器(qi)組(zu)成(cheng)

，且(qie)內(nei)置(zhi)有(you)冗(rong)餘(yu)模(mo)塊(kuai)，通(tong)過(guo)兩(liang)個(ge)光(guang)纖(xian)通(tong)訊(xun)口(kou)互(hu)相(xiang)連(lian)接(jie)。在(zai)係(xi)統(tong)正(zheng)常(chang)運(yun)行(xing)過(guo)程(cheng)中(zhong)，當(dang)某(mou)個(ge)中(zhong)央(yang)控(kong)製(zhi)器(qi)出(chu)現(xian)故(gu)障(zhang)時(shi)
，另(ling)一(yi)個(ge)中(zhong)央(yang)控(kong)製(zhi)器(qi)自(zi)動(dong)接(jie)管(guan)所(suo)有(you)工(gong)作(zuo)
，保(bao)證(zheng)係(xi)統(tong)繼(ji)續(xu)正(zheng)常(chang)運(yun)行(xing)。

　　作為一個整套的安全控製係統解決方案，輸入輸出信號卡件也選用了西門子ET-200M故障安全專用I/O卡件
，其所有卡件具有帶電熱插拔功能。可靠性高、組態靈活、使用方便，具有很好的在線維護性。控製站可通過基於Profibus-DP通訊協議的Profi-Safe網絡與其連接。

　　電源冗餘由係統供電和現場設備供電兩方麵組成。控製站通過係統配置的雙冗餘電源供電（每塊CPU均配備兩個電源模塊，可根據安全要求分別接人兩路電源如：一路UPS，一路市電）。且當其中某一電源發生故障時，不必停機就可更換備用電源。對於現場設備而言，本係統選用的西門子 SITOP直流電源也采用了冗餘設計，允許兩個直流電源並聯使用，將所有配置的直流電源並聯後再通過ET200M分布式I/0模mo件jian向xiang現xian場chang供gong電dian。在zai係xi統tong運yun行xing過guo程cheng中zhong
，當dang其qi中zhong某mou一yi台tai直zhi流liu電dian源yuan發fa生sheng故gu障zhang時shi，並bing聯lian的de直zhi流liu電dian源yuan還hai能neng保bao證zheng足zu夠gou的de功gong率lv輸shu出chu，也ye不bu會hui影ying響xiang備bei件jian更geng換huan。

　　控製站與上位機的通訊使用了冗餘的以太網
，兩個操作站分別通過兩個赫斯曼工業交換機與兩個CPU套件上的以太網模塊相連接
，確保了通訊的萬無一失。

　　5.3 係統組態和編程

　　ESD係統配置的工程師站對整個S7-400F/H係統進行組態。其操作係統采用WindowsXP，並且采用了集成的全局數據管理和統一的組態工具。這個組態工具就是SIMATIC程序管理器
，它采用了現代化的軟件體係結構，對項目進行管理
、處理、歸(gui)檔(dang)和(he)建(jian)立(li)文(wen)件(jian)。在(zai)軟(ruan)件(jian)開(kai)發(fa)方(fang)麵(mian)
，采(cai)用(yong)了(le)麵(mian)向(xiang)對(dui)象(xiang)的(de)技(ji)術(shu)。在(zai)項(xiang)目(mu)管(guan)理(li)上(shang)，以(yi)係(xi)統(tong)硬(ying)件(jian)和(he)工(gong)藝(yi)過(guo)程(cheng)兩(liang)個(ge)不(bu)同(tong)的(de)視(shi)角(jiao)
，同(tong)時(shi)進(jin)行(xing)管(guan)理(li)。在(zai)SIMATIC程序管理器下，有多種組態工具可以使用
，無論采用何種組態工具，生成的組態數據都自動存到同一的數據庫中。

　　本項目采用了西門子STEP7軟件平台，編程語言工具為CFC( Continuous Function Chart連續功能圖）和西門子F-Library軟件功能庫。 CFC是一種簡潔的圖形組態工具，基於IEC-1131標準。使用CFC有助於節省時間費用
，同時大大簡化了係統的組態和維護。用CFC進jin行xing組zu態tai時shi是shi以yi功gong能neng塊kuai為wei基ji礎chu的de，係xi統tong配pei置zhi了le很hen多duo預yu編bian程cheng的de功gong能neng塊kuai。這zhe些xie功gong能neng塊kuai以yi庫ku的de形xing式shi體ti現xian。每mei個ge功gong能neng塊kuai都dou有you一yi個ge參can數shu表biao
，可ke根gen據ju實shi際ji工gong藝yi要yao求qiu選xuan擇ze不bu同tong的de參can數shu。功gong能neng塊kuai在zaiCFC中的連接直接用鼠標點接。每個CFC由6頁組成。功能塊之間的連接可以在不同的CFC之間不同的頁麵上進行，連接標記由係統自動標出。因此，采用CFC可以完成很複雜的大型控製任務。對於本項目來說，尤其適用於安全控製係統的編程，並且F-Library軟件功能庫需與CFC搭配使用。

　　上位機組態軟件使用的是英維思Wonderware Intouch9.5版

，通訊方式為OPC連接。Intouchshiyongjiaoweiguangfan
，qiechengshukekao，wulunduiyuxitongkaifarenyuan，gongchangshiyongrenyuanheweihurenyuanlaishuo
，doujuyouxiangdangdekecaozuoxinghekeweihuxing。zaishijishiyongguochengzhongqueshiyebiaoxianbucuo。

　　六
、小結

　　現今國家大力提倡節能減排和安全生產的觀念
，對於安全控製係統來說
，由於其結合了當下較為先進的自動化控製技術
、故障診斷技術和軟件技術
，且具有可靠性高
、操作簡單、維護方便的特點，真正為工廠的安全生產提供了保障
，進而也促進了節能減排的工作進展，為社會的和諧發展做出了貢獻。