宋劉鵬1，田俊濤1，趙 勇2，雷縣平1，王陽陽3

（1.福建申遠(yuǎn)新材料責(zé)任有限公司，福州 350500；2.北京榮格瑞普自動化技術(shù)有限公司，北京 100000；3.新疆國泰新華化工責(zé)任有限公司，新疆昌吉回民自治州 831100）

0 引言

目前市場上用的SIS系統(tǒng)廠家有很多，例如黑馬、康吉森、浙大、和利時、霍尼韋爾等，其各有優(yōu)缺點(diǎn)，他們的共性就是基礎(chǔ)邏輯塊都一樣，界面簡單易操作。SIS是安全儀表系統(tǒng)的簡稱，是為了實(shí)現(xiàn)一個或多個安全儀表功能的控制系統(tǒng)，它包含安全儀表功能的整個回路，不僅僅是控制系統(tǒng)方面還有現(xiàn)場儀表等。目前，SIS已廣泛用于石油化工。其總原則是：防止和降低石油化工工廠或裝置的過程風(fēng)險，保證人身和財產(chǎn)安全，保護(hù)環(huán)境。本文中的Safety Manager System僅僅涉及到SIS中的邏輯控制器和人機(jī)接口部分，不包含現(xiàn)場測量儀表及執(zhí)行元件，也就是常說的SIS系統(tǒng)。據(jù)10來年的維護(hù)經(jīng)驗，發(fā)現(xiàn)SIS系統(tǒng)的發(fā)展也是越來越智能化，且硬件會更具安全性，向著任意元件皆可達(dá)到TUV SIL3級的安全等級發(fā)展，其軟件邏輯編寫更易于解讀。

1 霍尼Safety Manager System

霍尼的SIS系統(tǒng)即Safety Manager System，滿足GB /T50770-2013《石油化工安全儀表設(shè)計規(guī)范》中SIL3級別的要求，且其系統(tǒng)的重要組件單卡配置皆可達(dá)到TUV SIL3級的安全等級要求，在石化領(lǐng)域應(yīng)用較廣。

下面介紹Safety Manager System硬件的一些主要組成部件，CPU chassis：用于安裝處理器的機(jī)架，包含CPU模塊槽位、通訊卡槽位、5V電源模塊槽位、BKM槽位。QPP：四重化冗余控制模塊也就是常說的CPU，與QPP硬件對應(yīng)的QMR，是四重化冗余技術(shù)，四選二的邏輯表決輸出，只有SIS系統(tǒng)配置雙QPP具備QMR的功能，每個QPP含有兩個CPU芯片，每個QPP運(yùn)行輸出是兩個CPU模塊的二選一出來的結(jié)果，而QMR技術(shù)就是兩個QPP內(nèi)部的各自二選一結(jié)果輸出與兩個QPP自我診斷二選一結(jié)果相結(jié)合共同實(shí)現(xiàn)的。BKM模塊：電池和鑰匙開關(guān)卡，用于復(fù)位、斷電保持。IO chassis：用于安裝輸入輸出模塊的機(jī)架，其IO chassis的優(yōu)點(diǎn)主要有3點(diǎn)：①一個IO機(jī)架可包含多達(dá)18塊IO模塊，支持在線更換卡件；②不同類型IO卡件可以混裝在一個 IO chassis；③一套SM系統(tǒng)中可以同時配置冗余機(jī)架和非冗余機(jī)架。FTA是集成裝配的現(xiàn)場端子模塊即端子板，是現(xiàn)場組件例如變送器、定位器、電磁閥等與用來安裝輸入輸出模塊機(jī)架通信的一個接口，一端用于接現(xiàn)場電纜，一邊集成電纜去機(jī)架背面與對應(yīng)的IO卡件通信。SIC是IO模塊與FTA模塊之間的連接電纜。24V供電導(dǎo)軌：bus bar for 24V power，24V電源母排?；裟釋Ｓ秒娫?，例如PSU-UNI2450輸出并入24V電源母排，機(jī)架和FTA供電可用專用電纜連接供電。

2 申遠(yuǎn)SIS概況及新項目SIS配置

福建申遠(yuǎn)新材料己內(nèi)酰胺工廠，目前在產(chǎn)3條線共60萬噸，SIS使用霍尼韋爾的Safety Manager系統(tǒng)，已穩(wěn)定生產(chǎn)四五年，其主要裝置包含環(huán)己酮肟、己內(nèi)酰胺、硫銨（副產(chǎn)）。儀表點(diǎn)數(shù)3600點(diǎn)左右（僅SIS聯(lián)鎖點(diǎn)）。1套20萬噸含原料及副產(chǎn)裝置機(jī)柜間包含系統(tǒng)柜3個，3對冗余控制器對應(yīng)1條生產(chǎn)線的3套裝置，輔助柜4個，電源柜1個，網(wǎng)絡(luò)柜2個（機(jī)柜間1個，中控室1個），繼電器柜3個。

硬件配置說明：系統(tǒng)柜包含CPU及其框架配件、I/O卡件及其框架配件、系統(tǒng)24V電源、24V電源插軌、漏電保護(hù)器、網(wǎng)絡(luò)浪涌保護(hù)器、交換機(jī)、232/485接線板、220V空開、背面接線端子及FTA端子板、風(fēng)扇、溫度報警器等。其中，系統(tǒng)柜第一塊DI卡為電源、風(fēng)扇、溫度的報警點(diǎn)，其報警點(diǎn)為系統(tǒng)柜及MC柜的電源串聯(lián)報警、風(fēng)扇串聯(lián)報警、溫度報警串聯(lián)點(diǎn)。輔助柜：主要有給現(xiàn)場測供24V的開關(guān)電源、各種信號安全柵、接線端子等；繼電器柜：主要是電氣信號的隔離繼電器及接線端子；電源柜：SIS系統(tǒng)的交流供電宜采用雙路不間斷電源的供電方式，大型石油化工生產(chǎn)裝置的SIS系統(tǒng)應(yīng)采用雙路獨(dú)立的不間斷電源。因此，本項目提供雙路UPS 220V電源分配進(jìn)入電源柜。網(wǎng)絡(luò)柜：交換機(jī)及光纖盒子，機(jī)柜間與中央控制室各1套。

24V電源配置：型號為系統(tǒng)電源地為浮空，也就是電源負(fù)極對地量有DC8V電壓，電源正極對地量有DC32V電壓，而輔助柜內(nèi)給現(xiàn)場測供電負(fù)極為接地，這樣維護(hù)時很容易檢查出系統(tǒng)電纜的問題，第一次SM系統(tǒng)送電時也必須要在系統(tǒng)電不漏地的情況下上電。故在SIS回路中一定要注意系統(tǒng)24V電源負(fù)極不能接地且不能與輔助柜內(nèi)24V電源負(fù)極并聯(lián)。SM系統(tǒng)柜內(nèi)配置ELD漏地檢測儀，可以快速方便查看漏地報警及檢測出哪根電纜漏地。這樣時時刻刻檢測，無形中又保證了系統(tǒng)的安全性，及時發(fā)現(xiàn)隱患。

網(wǎng)絡(luò)相關(guān)配置：左邊CPU有4個通訊端口分別為COM1.1A、COM1.1B、COM1.1C、COM1.1D；右邊CPU有4個通訊端口分別為COM2.1A、COM2.1B、COM2.1C、COM2.1D。其中，A端口為分配網(wǎng)址去交換機(jī)與工程師站通訊的端口；B端口為去網(wǎng)絡(luò)浪涌保護(hù)器，用于通信安全保護(hù)；C端口為232/485接口與DCS通訊端口，GB/T 50770-2013規(guī)范中規(guī)定SIS系統(tǒng)與基本過程控制系統(tǒng)宜采用RS485串行通信接口。機(jī)柜間經(jīng)交換機(jī)、光纖至中央控制室→交換機(jī)→SIS服務(wù)器，是一種星型拓?fù)渚W(wǎng)絡(luò)結(jié)構(gòu)，工程師站須配置多網(wǎng)卡，其中一網(wǎng)卡用于連接時鐘同步GPS用于同步SIS網(wǎng)絡(luò)時間，如圖1系統(tǒng)網(wǎng)絡(luò)架構(gòu)。

圖1 SM系統(tǒng)網(wǎng)絡(luò)架構(gòu)Fig.1 SM System network architecture

接地配置規(guī)則：現(xiàn)場電纜屏蔽層在機(jī)柜間柜子扎麻花辮用接地專用熱縮管套好接入屏蔽地排?，F(xiàn)場儀表與機(jī)柜內(nèi)FTA之間均設(shè)計有本安隔離器件，這也間接地保護(hù)了信號線接地不會導(dǎo)致系統(tǒng)測漏地保護(hù)報警。機(jī)柜內(nèi)嚴(yán)格按照規(guī)范接地要求，設(shè)置有電源地、保護(hù)地、信號屏蔽地。SIS控制系統(tǒng)第一次上電前，必須對機(jī)柜間及系統(tǒng)柜內(nèi)相關(guān)設(shè)施要絕緣，阻值≤3Ω，系統(tǒng)安裝調(diào)試階段，必須嚴(yán)格按照要求接地線。

信號配置規(guī)則：AI（模擬量輸入），皆配置為本安信號接入MTL系列安全柵，大部分點(diǎn)位接SIL級別為2的MTL5544D一入兩出安全柵，一路接入DCS，一路進(jìn)入SIS，個別點(diǎn)位接入SIL級別為2的MTL5541僅接入SIS。DI（開關(guān)量輸入），現(xiàn)場儀表點(diǎn)位配置為本安信號接入SIL級別為2的MTL5511安全柵，現(xiàn)場信號為numer信號（世界上應(yīng)用最廣泛的本質(zhì)安全的數(shù)字量輸入和頻率量輸入的標(biāo)準(zhǔn)信號），電氣泵運(yùn)行故障信號為繼電器隔離信號。DO（開關(guān)量輸出），現(xiàn)場儀表信號為本安配置，接入MTL5525限流限壓后接入電磁閥，電氣泵聯(lián)鎖信號接入倍加福SIL級別為3，型號為KFDO-RSH-1的繼電器。根據(jù)聯(lián)鎖的SIL級別的設(shè)計，部分SIL3級別聯(lián)鎖必須為冗余儀表測量，因為現(xiàn)場測量儀表一般為SIL1級別，故SIL3常規(guī)設(shè)計為現(xiàn)場測量儀表三選二或三選一，這樣整個安全儀表功能回路才能達(dá)到SIL3級別。

維護(hù)情況說明：9套SIS加兩套GDS（可燃有毒氣體檢測系統(tǒng)），5年間更換過BKM電池、漏地檢測儀、安全柵若干，繼電器若干，保險若干，新增過IO卡及FTA等。而就系統(tǒng)本身IO硬件而言，尚未發(fā)現(xiàn)故障，畢竟SM系統(tǒng)的單卡配置也是具備TUV SIL3級的安全等級認(rèn)證，故障率還是很低的。

3 維護(hù)過程中的一些問題

3.1 電纜線阻低，卡件短路報警，造成泵成片跳車

某天晚上公司某條硫銨裝置多臺泵跳停，現(xiàn)場泵處于聯(lián)鎖狀態(tài)，操作柱沒有電無法就地起泵，遠(yuǎn)程指導(dǎo)值班人員檢查，發(fā)現(xiàn)有回路故障，整塊DO卡處于聯(lián)鎖故障位，因怕影響產(chǎn)量，故先采取檢查現(xiàn)場回路后復(fù)位CPU操作，結(jié)果復(fù)位掉回路故障，泵起來之后，兩個小時后泵又跳。隨后立即趕去公司，查看故障代碼，顯示電流短路故障至整塊DO卡處于聯(lián)鎖故障位，整個卡8個通道的泵都處于聯(lián)鎖狀態(tài)。接著立即去現(xiàn)場檢查回路，檢查沒有漏地報警，排除電纜破皮觸地，查看電纜是24芯×2根×1.5平方，也排除電纜本身問題，測量故障點(diǎn)位端子兩根通斷不通以為無問題，據(jù)經(jīng)驗更換所報短路故障的點(diǎn)位的繼電器，型號為倍加福的KFDO-RSH-1。因之前有過一批批次質(zhì)量問題的前例，也抽取幾個點(diǎn)位測量對地，電阻是在正常范圍內(nèi)。隨即復(fù)位后，通知工藝啟動泵并觀察。2h后運(yùn)行正常，隨離開公司。然而第二天早上六點(diǎn)，同樣的問題又出現(xiàn)，立即和現(xiàn)場儀表工程師趕往公司，推測只能是電纜問題，檢查電纜。隨即拆開電纜，測量對地正常，測量線阻0.8MΩ，雖大于電氣絕緣標(biāo)準(zhǔn)的0.5 MΩ但是還是有點(diǎn)疑慮，并找了一個正常未發(fā)生故障的點(diǎn)位電纜對比測量，其結(jié)果大于20MΩ，挨個測量，此卡上共有4組電纜線阻偏低，隨即更換備用電纜，挨個核對備用電纜，剝線、壓線鼻子并臨時標(biāo)記電纜后接線。更換該DO卡上8個點(diǎn)位的電纜后，復(fù)位后通知工藝啟動泵。至裝置檢修一直未出現(xiàn)故障，電機(jī)運(yùn)行正常。

在正常運(yùn)行一周后，計劃檢修時更換整根電纜，目前已更換完畢且運(yùn)行正常。至此線阻低的問題暫告一段落，至于因為什么問題引起的線阻低，此處暫不贅述?？偨Y(jié)該問題，造成裝置再三跳泵的原因有以下兩點(diǎn)：一是誤判線路短路可根據(jù)漏地檢測儀檢測得出結(jié)果，當(dāng)24芯電纜外皮未破皮絕緣良好時，檢測不出漏地，且短路不是漏地，兩者造成的結(jié)果是不一樣的，不漏地不代表電纜就沒有問題；二是犯經(jīng)驗主義錯誤，誤判以為繼電器有內(nèi)部故障。

3.2 生產(chǎn)過程中，增加點(diǎn)位并增加邏輯

因是在開車過程中，最難的不是邏輯編寫與下裝，而是找備用電纜和接線。找電纜，就涉及到會誤碰觸到正在用的點(diǎn)位電纜從而造成聯(lián)鎖跳車，這就是為什么一般工廠不允許運(yùn)行中動SIS系統(tǒng)，就算在提前準(zhǔn)備好備用電纜的情況下，接線和柜內(nèi)布線整線也會誤碰觸的。如果在工藝做好各種風(fēng)險分析及應(yīng)急方案的前提下，也就是風(fēng)險可控的前提下作業(yè)，也是可以的，畢竟霍尼的Safety Manager System是支持在線修改下裝的。而若提前修改程序下裝后，接線要注意切斷新增點(diǎn)位回路電源的前提下再接線，防止接地或者短接。例如，模擬量電纜接地會導(dǎo)致漏地報警，導(dǎo)致該測點(diǎn)邏輯程序處于聯(lián)鎖狀態(tài)或故障狀態(tài)，需要恢復(fù)接線后復(fù)位即可；而電機(jī)DO聯(lián)鎖信號的接線中，一定要注意避免接地或短接。若聯(lián)鎖邏輯使該DO點(diǎn)是通的，即帶點(diǎn)狀態(tài)，則接線短接會導(dǎo)致打火，接地會導(dǎo)致漏地報警。因此接線時，先看通道是否是導(dǎo)通狀態(tài)，尤其是點(diǎn)位在隔離器件之前的接線。故而SIS系統(tǒng)方面的技改最好是生產(chǎn)安全狀態(tài)下去執(zhí)行，且要做好萬全準(zhǔn)備及預(yù)案。

3.3 日常維護(hù)中最常見的問題是漏地報警

拆接線中不可避免會觸地，而這種導(dǎo)致漏地報警在恢復(fù)接線后，復(fù)位漏地報警器即可恢復(fù)，因為在這種作業(yè)前都會開相關(guān)作業(yè)票且操作員打旁路，是不會導(dǎo)致系統(tǒng)聯(lián)鎖的。而生產(chǎn)過程中難免會遇到一些漏地報警消除不掉，若知道具體時間且知道當(dāng)時是什么作業(yè)或者是什么異常了，可針對性檢查相關(guān)回路電壓。若是時間長了，不知道什么原因，毫無頭緒的漏地報警則首先是要縮小范圍，不能盲目查找，可以咨詢工藝最近哪個點(diǎn)有異常，或者直接通過霍尼官方手冊中的指導(dǎo)配合漏地報警器說明來做，用電流鉗形表挨個測量排查哪塊有漏地。

日常維護(hù)中，首先是每天必須檢查的系統(tǒng)診斷、通訊診斷、回路診斷以及邏輯程序中的系統(tǒng)點(diǎn)報警是否觸發(fā)；其次是在工程師站看不到的系統(tǒng)部件的機(jī)柜間檢查，包括輔助柜回路開關(guān)電源的檢查，CPU顯示屏的翻頁觀看有無fault，機(jī)柜風(fēng)扇運(yùn)轉(zhuǎn)情況及機(jī)柜間空調(diào)運(yùn)轉(zhuǎn)情況等；再者是一些定期維護(hù)項目，包括定期程序備份，定期系統(tǒng)及開關(guān)電源電壓測量，定期地線檢查，定期檢查更換BKM電池等。

3.4 AI卡件整卡的點(diǎn)位故障，電源插頭松動

日常生產(chǎn)中，若發(fā)生系統(tǒng)成片聯(lián)鎖或者報警，必然是卡件方面的故障居多。首先是看系統(tǒng)診斷，是否是卡件硬件故障，若不是則最常見的是回路供電缺失。一般情況，設(shè)計都是一塊卡的回路供電是一起串起來，共用保險絲；其次，也發(fā)生過卡件FTA板供電電源插頭松動。若電源沒有問題，或者診斷發(fā)現(xiàn)是卡件硬件有故障，冗余的卡件則可支持在線直接更換。若是非冗余配置，則在工藝允許的情況下更換卡件，一般非冗余的卡件是局部聯(lián)鎖，更換卡件僅影響當(dāng)前卡件所涉及到的聯(lián)鎖。

3.5 BKM報警

電池電量低，拆卡時候小心，不要碰觸CPU，且不允許有強(qiáng)制點(diǎn)，因為BKM是單卡配置時，拆卡時會復(fù)位掉所有強(qiáng)制點(diǎn)。因為在更換電池時，首先要做的是辦作業(yè)票且通知工藝，作業(yè)期間禁止打強(qiáng)制點(diǎn)，更換時也一定要小心，切忌誤動CPU上的鑰匙開關(guān)。

4 總結(jié)

綜上所述，Safety Manager System系統(tǒng)在設(shè)計與維護(hù)的過程中要考慮全面，畢竟SIS系統(tǒng)關(guān)系著的不僅僅是安全生產(chǎn)，更和環(huán)境息息相關(guān)。以上是Safety Manager在己內(nèi)酰胺生產(chǎn)的應(yīng)用與維護(hù)心得，隨著SIS技術(shù)的發(fā)展，選型設(shè)計與維護(hù)經(jīng)驗也在不斷跟著規(guī)范變化，不能一葉而知秋，要不斷地學(xué)習(xí)，不斷地進(jìn)步。