硬件组态

1. 安全仪表功能需求

在下图中蓝色区域内是工程实施阶段，这一阶段系统集成商开始介入，此时应该已经拿到设计院和用户提供的安全需求规格书（SRS），系统集成商（SI）的选型、设计、组态都是以此为基础实施，工程实施要按照安全生命周期要求有计划、实施和验证确认。

图3－1 SIS设计流程

安全功能需求规格书一种技术规定，它包括安全相关系统必须要执行的安全功能要求，包括安全功能的精确细节，要求能清楚地表达安全功能，可用文本、流程图、矩阵、逻辑图等形式文档化。

安全仪表功能（SIF），它是指由SIS执行的安全功能，物理结构上由传感器、逻辑控制器，以及最终执行元件组成，SIF的最基本特征是“应对特定的危险事件”并实现必要的风险降低。通常的SIL等级是指的SIF的等级，而不是针对安全系统。

安全需求规格书要涵盖安全功能要求和安全完整性要求，通常应包括如下内容：

• 每个SIF的功能描述
• 要求的SIL目标值
• 抑制的危险，工艺参数
• 安全监控逻辑
• 旁路和维护要求。
• 安全响应时间等。

本文以一个只包括4个SIF回路的SIS系统为例，介绍如何选型和组态。

下面是一个工艺简图和SIF回路的划分示意图：

图3－2 SIF示意图

上图中标红色的为安全相关的回路，在方框内数字代表属于第几个SIF回路。

安全仪表功能要求如下：

1. 在按下急停按钮E_STOP后，按钮会输出两个差异的触点到F-DI卡件，系统收到信号后，要求在3秒内将搅拌器HS_103停机并保持，安全状态是停止，SIL等级达到SIL3.
2. 反应器在液位超限时会发生剧烈反应，从而导致意外的风险，要求设置两个液位高限开关，两个开关中有任何一个动作后，在3秒内把进料阀XV_121和XV_131关掉并保持，安全状态是关阀，SIL等级要求达到SIL3，安全响应时间为3.5秒。
3. 在某种异常情况下，反应器的压力可能会过大而使设备损坏并造成事故，在反应器上安装两个压力变送器，正常情况下任何一个检测达到10Kg以上就立即打开安全阀门XV_110，或者两个变送器的压力值相差5公斤，在1秒后打开安全阀门。安全响应时间为3.5秒。
4. 要求在反应器泄漏可燃气体时要用气体检测仪器GT100检测到，安全控制器在收到信号后要在3秒钟内输出声光报警，通知值班人员，由值班人员手动采取应急措施。SIL等级达到SIL2即可，但是要求有断线检测功能，要求在正常时F-DI和F-DO都是低电平。

（注：实际的SIL等级为分析阶段的风险评估后得到的值）

注：如果到了实施阶段集成商还没有拿到安全需求规格书，那么建议项目工程师联系最终用户、设计院，三方共同合作补上SRS并签字确认，因为设计和实施都是以SRC为基础进行的，即使根据经验完成了设计，最后也没有办法验收。

根据SRS进行逻辑解算器（安全CPU）和I/O模板的技术选择和选型，并确定SIF的结构，例如一个SIF的安全等级为SIL3，那么传感器、安全输入模板、CPU、安全输出模板和安全继电器每一个环节都至少达到SIL3才行。由于本例中I/O点数比较少，CPU选择412-5FH，I/O从站选择Profibus 总线接口的ET200M，I/O卡件数量和地址配置如下表：

根据SRS要求，选择F-DI 24模板 来实现前3个SIF的输入检测，用F-DI 8xNamur来实现第4个SFC的火灾和气体检测功能，用F-DO 10X24 来实现安全模板的输出，用F-AI 4GE00来实现压力的检测。F-DO， F-AI单通常可以达到SIL3，假定仪表已经选好，急停按钮和压力开关为SIL3等级，压力仪表为SIL2等级，气体检测仪表为SIL2。

• 急停和液位的SIF要求是SIL3，由于F-DI 单通道只能达到SIL2，因此需要进行1OO2选举才能达到SIL3。
• 压力的SIF也要求SIL3，选择4GE00 F-AI模板，该模板单通道能达到SIL3，假定仪表厂家选型为SIL2等级仪表，结合SIF要求采用2OO3选举来使检测部分达到SIL3的等级。
• 气体检测SIF要求为SIL2，F-DI 8xNamur 单通道能达到SIL2，且有断线检测功能，1OO1即可满足要求。
• 输出部分统一为F-DO模板，单通道能达到SIL3，满足要求。

需要注意的是，400H下挂的ET200M站点一定要使用热插拨背板。.

2. CPU硬件组态

关于如何插入PCS 7和400H请参考相关的文档，安全CPU需要一些额外的配置。为防止未经授权的人员访问安全项目，需要为CPU配置密码和访问保护，在CPU属性的“保护”标签页里设置口令保护密码，并激活“CPU中包含安全程序”，如下所示。

图3－3 设置CPU保护密码

通常安全程序要放在OB3X循环中断里执行，在本例中规划为OB35里处理安全程序，OB34里处理非安全程序。为了保证安全程序总是能优先处理，需要将它的优先级设置大于15。在CPU属性的“循环中断”标签页里，将OB35的优先级设置为16，并将过程映像区设置为PIP1。

图3－ 4设置安全程序优先级

为了能在CPU同步过程中使OB35里的安全程序能得到优先处理，在CPU的H参数里，要把特殊处理的周期性中断设置为“35”，如下所示：

图3－5设置安全程序特殊处理

3. 组态I/O从站和模板

安装了F SYSTEM软件后，在硬件组态里才可以找到安全模板。在CPU的冗余DP总线上插入IM153-2 HF站点，类型为6ES7 153-2BA10，接下来将安全的I/O模板依次拖到对应的槽位，I/O地址参考表1.

图3－6 硬件组态

在插入安全模板时，会提示设置安全密码如下，设置好密码后才能进行下一步。

注意这个密码与CPU里设置的不同，此处的密码只是保护离线的程序，防止未经授权的用户修改安全程序，而CPU的参数是防止未经授权的用户下载程序到CPU。

图3－7设置安全程序访问密码

模板的I/O地址分配参考表1，安全模板的映像区与处理安全程序的OB一致，本例中为PIP1。

图3－8 设置安全模板映像区

接下来，配置I/O模板的参数，不同安全模板的参数并不相同，共同点是都要选择模式为“安全模式”并激活相关的诊断功能，需要设置F目标地址“F_Target_address”，它与F卡件背后DIP开关地址对应，用户安全通讯报文的地址通讯，提高通讯的可靠性。

• F 8 DI NAMUR参数配置

由于F 8 DI NAMUR卡件为旧版卡件，它不能手动改F目标地址，新的卡件已经可以改了。F 目标地址与安全模板背后的DIP开关一致。

F monitoring time参数为模板与CPU安全通讯的看门狗时间，理论上要小于相关SIF的安全响应时间，本例中2500ms可以满足要求，保留默认值即可。

图3－9 设置模板安全地址

接下来，设置模板的其它安全参数，通常安全模板要激活诊断中断“Diagnostic interrupt”和组诊断“Group Diagnostics”，这样在模板有故障时能在卡上报红色“SF”灯，而且CPU里硬件在线后能得到模板的故障信息，这对于分析故障原因很有帮助。

Evaluation of the sensors参数决定对通道的评估类型，由于SIL等级为Sil2，所以1OO1即可满足要求。

图3－10设置安全模板的参数

• F-DI 24x0.5 V组态

F-DI的参数设置如下图，由于要求SIL等级是SIL3，因此对0通道进行1OO2评估，如下所示：其中“模块供电”选择要根据具体接线来确定，如果现场是干点且需要从模板上VS端供24电，那么就选择，如果是从接24V，那么就取消“Sensor supply via module”选项。

图3－11设置F-DI 24模板参数

如果使用了冗余I/O，这时需要取消从VS供电，因为冗余I/O通常需要MTA端子板，MTA会给F-DI模板供电，短路测试只有在选择了VS供电后才能激活。

本例中为了达到SIL3安全等级，每个通道都选择“1OO2 evaluation”，在下面的连接方式时有三种，这需要根据现场的接线情况决定，三种评估的区别如下：

1）单通道“1 Channel”：传感器有一个触点，并联后接到评估的两个通道。

2）双通道相等“2 channel equivalent”：传感器有两个独立的相同触点，分别接到评估的两个通道。

3）双通道不相等“2 channel non-equivalent”：传感器有两个触点，这两个触点输出不相等，一般急停开关用这种接法。

图3－12 F-DI 24 1OO2评估

由于两个独立的开关的动作可能有时间差异，因此需要设置合适的差异时间。以“两通道相等”为例，假定开关从0变化到1，模板在检测到其中一个通道变为1出现差异后开始计时，在差异时间内模块保持最后值，如果是差异时间到两个通道还是一个为0一个为1，那么模板就会输出安全状态“0”给CPU。如果在差异时间内两个通道都变为1，那么模板就把“1”送给CPU。

• F-DO的参数配置

除了激活通道和诊断功能外，要注意达到SIL 3需要激活“light test亮灯测试”。Light test 和Max. readback time dark test(ms)的时间先用系统默认值，如果所接继电器的感抗很大导致测试功能不正常，这时再考虑适适当修改测试时间。

图3－13 F-DO 参数设置

• 分配符号名地址

在DCS项目组态里通常都是基于符号名编程的，因此需要给各个通道分配符号地址，需要注意安全模板的I/O地址并不都是用于数据采集，例如：F-DI模板除了占用I区外还有Q区，这些地址里除了I区的前3个字节外，其它都是用于Profisafe安全通讯CRC校验和确认。

图3－14 配置符号地址

参考下表把用到的所有通道都分配符事地址。

在本例里，阀门的反馈没有设置通道，是因为安全系统对阀的反馈特殊要求。

剩余80%未阅读，请登录查看大全章节内容