1  引言
随着安全标准的推出以及企业对安全系统重视度的不断升级，2003年3月，中石化股份公司九江分公司对I套催化装置原设计在DCS中的联锁系统进行了改造。根据装置高温高压高转速的特点和安全水平必须达到IEC(国际电工组织)提出的SIL3级标准，改造方案选取了美国Honeywell公司的FAIL SAFE CONTROL(FSC)系统，由它执行安全联锁系统的控制部分代替原来在DCS中执行的联锁内容，按照规范将安全联锁系统独立出来，以确保人身和设备的安全。该系统硬件基于双重化结构，软硬件均通过IEC61508认证。
故障安全控制系统(FSC)即安全管理系统所制造和陈述的安全系统。此系统已经通过第二方的评定，包括(德国TuV)安全方面，(挪威Sintef)可靠性方面，及有关欧共体电磁干扰(EMC)方面指南(荷兰Gastec)。FSC全部组态矩阵如图1所示。
水平轴给出了根据德国安全标准DIN VI9250最高等级为AK6的安全性等级，垂直轴定义FSC系统的可应用性是通过部分或全部冗余来实现的(AK1-6)，优化可应用性是通过全部冗余来实现的(AK1-4，AK1-5)。

图1     FSC组态矩阵图

2  故障安全控制系统配置
2.1  硬件组成
I套催化故障安全控制系统硬件主要由PC机和FSC机柜组成，核心部分是FSC。系统配置如图2所示。

图2     系统配置图

(1) PC机
选用1台DELL工作站作为该装置的工程师站以及事件顺序记录站SOE(Sequence of Event)兼操作站，采用多串行口卡与FSC机柜中的COM卡件进行通讯，工作站作为工程师站可以进行数据库修改、组态、功能逻辑图修改、设置参数及系统维护和操作功能;作为SOE站可以查询实时操作记录和历史记录、做检索和报表;作为操作站可以通过高速的SOE和动态流程画面进行实时现场监测、存储、打印。
(2) FSC机柜
采用中央控制元件(简称CP—Central Part)全冗余，I/O(16路数字量输入卡件10101/2/1、8路数字量输出卡件10201/2/1、16路数字量输出卡件10209/2/1、16路模拟量输出卡件10105/2/1)模件部分冗余的系统结构组成该安全联锁系统。CP是FSC系统的核心部分,每个CP中都有一条垂直总线V-Bus，用于控制所有I/O模件，一个垂直总线驱动器VBD可以控制10个I/O rack，即I/O卡笼，I/O rack由水平总线驱动器HBD控制H-BUS通讯。控制器和重要I/O双冗余的结构，可以保证当一个CP或I/O卡故障时，另一个CP或I/O继续工作，从而保证系统的连续操作。FSC系统结构如图3所示:

图3     FSC101R系统结构图

(3) 硬件配置
采用FSC101Ｒ系统, 系统主要硬件配置及功能见表1。
表1     系统主要硬件配置及功能

2.2  硬件通讯设置
I套催化故障安全系统PC机与FSC机柜采用串行口通信方式，上位机通讯硬件为多串口卡(2-PORT RS-232/422/485 PCI HOST ADAPTER)，串口端采用RS-485接口、带屏蔽双绞通信线以提高干扰、带负载能力及增加通信距离，下位机两个CP中央控制单元共4块相互冗余的COM模件，每一块COM模件提供2个接口，负责完成两个冗余CP之间、FSC与PC机之间、FSC与本特利3500之间的通讯。FSC系统通讯设置如表3所示。

表3     FSC系统通讯设置

PC机通讯口设置如表4所示。

表4     PC通讯设置

2.3  软件实现
系统组态软件由上位机组态监控软件Intellution IFIX2.6和下位机FSC编程软件包组成，均运行在Windows2000环境下，使用方便灵活。
Intellution IFIX2.6有着丰富的流程图功能，组态时将所有FLD图中的通讯点输入到IFIX数据库中，通过MODBUS协议从FSC机柜采集各信号点的实时状态，从而完成主机自保、装置自保、备机小机、气压机和报警显示等5幅动态联锁画面的显示，方便工艺人员了解当前联锁情况。
FSC软件包由FSC Navigator和FSC SOE组成。
FSC Navigator主要进行系统组态、逻辑图设计和系统维护工作:组态FSC参数及其属性定义、应用FLDs建立逻辑控制程序、将应用程序编译成FSC处理器可识别的代码，并检测在组态和设计中产生的错误;诊断系统，监视系统状态;强制FSC参数以切断控制回路，以便进行程序测试或现场设备的维护。
FSC SOE完成系统的事件顺序记录功能，I/O卡件通过HBUS和VBUS给中央控制单元提供事件顺序能力，在每次扫描期间，控制单元检查所有指定变量的状态改变。当一个事件发生时，控制器将变量的当前状态和时间协签存储在缓冲区内，以便组态提取事件顺序。SOE的识别时间间隔为≤1ms，SOE的事件记录存储高达20万条，可实时存贮在硬盘中，并可通过打印机打印出来。
2.4  逻辑控制功能
故障安全控制系统的应用程序通过功能逻辑图来实现，功能逻辑图简称FLD，系统提供大量的逻辑、算术、计时、计数、PID等运算模块，用户可根据设计需要，选择相应的I/O符号，直接使用与、或、非的逻辑图的方式实现用户的逻辑功能，此外，用户还可以用系统自带的Function Block模块定义需要的功能块，以子程序形式在其他程序中调用，实现较为复杂的逻辑控制。I催FSC系统中定义了RS触发器、温压补偿、延时计数器、三取二等逻辑功能块，多次在其他的子逻辑中得到调用。
I催组态逻辑图共38张，主要完成主风机的开停车联锁及机组部份的联锁与控制，各子逻辑包括:蜡油自保、两器差压自保、总进料阀自保、外取热器自保、小风机自保、备机自保、主风低流量自保、逆流自保、主机停机自保、主机启动自保、FSC系统报警、气压机启动、气压机自保等13部分。逻辑输入为开关量和模拟量，重要的信号还经过“三取二”或“二取二”表决。“安全运行”和“停车”逻辑设计为故障安全型，即系统正常带电、事故失电。各机组自保之间、机组自保与装置自保之间互有联系，构成既独立又关联的自保逻辑系统。
以气压机自保为例的FSC系统功能逻辑图如图4所示。

图4中，左边为逻辑输入，中间为逻辑部分，右边逻辑输出。PDT4002润滑油压力低低(≤0.15MPa);XT4003汽轮机位移高高(≥0.8mm);

ST4002/ST4003汽轮机转速高高(≥9044rpm);PS4001A/B/C润滑油总管压力低低(≤0.1MPa);XT4001A/B压缩机位移高高(≥0.7mm);HY4001紧急停机;HY4002紧急停机复位;HY4003现场紧急停机;LAMP4002允许启动至现场指示灯;SV451防喘振电磁阀;SV4001/SV4002气轮机调节系统电磁阀;FB930是三取二功能块;FB900是RS触发器功能块。组态中必须保证所有信号线都与各逻辑块紧密连接。I/O符号为灰色, 表示该I/O信号为有硬接线的信号，符号为黑色，则表示该点为通讯点, 即“LOC”为“COM”的软点。

3  安全联锁系统应用体会
3.1  模件插拔
当模件出现故障需要更换时，应注意有些模件可以带电插拔，而有些则是严禁带电插拔的，在条件允许的情况下，最好都先断电再插拔，以减少意外故障的发生。
3.2  报警信息
当DBM模件上的信息显示灯闪烁时，表明系统出现了故障，这时在SOE的画面中也将看到出现红色报警信息，并伴有声音报警。拨动DBM上的按钮可以查看到故障模件所在的位置及故障类型等故障信息，上位机可通过Extended Diagnostics进入在线诊断画面，系统将显示故障信息及错误代码。
3.3  系统自诊断
装置系统采用2004D系统，由2套独立并行运行系统组成，当系统自诊断发现1个模块发生故障时，CPU将强制其失效，确保其输出的正确性。安全输出模块中的SMOD功能(辅助去磁方法)确保在2套系统同时故障或电源故障时系统输出1个故障安全信号，1个输出电路实际上通过4个输出电路和自诊断功能实现，这样确保了FSC的高可靠性、高安全性和高实用性。

4  结束语
FSC自投用以来，利用了组态软件强大数据处理和图形表现的能力，融合了较先进的自动化技术、计算机技术、通讯技术、故障诊断技术和软件技术，具有可靠性高、操作简单、维护容易等特点。表现出了它强大的安全稳定的控制能力和通讯功能，为装置事故状态下的安全提供了保证。