ITCC和ESD综合或TMC才是高端,
HIMA安全控制系统的四重化结构(QMR)技术
简介
德国HIMA公司创建于1908年,是世界著名安全控制系统专业制造商。自1970年HIMA公司生产出世界上第一套TüV认证的故障安全型控制系统HIMA-Planar-System起,HIMA公司一直处于安全控制领域的最前沿,致力于安全控制系统技术和产品的开发和应用,并在该领域保持世界领先地位。三十多年来HIMA公司生产的安全控制系统已有14,000多套投入使用,广泛分布于世界各地的炼油、化工、海上石油平台、长输管线、油气站等行业。HIMA公司生产的安全控制产品满足IEC61508和DIN19250等对安全控制的最高等级要求,并取得TüV最高等级AK7/SIL4的认证。随着电子技术的发展,HIMA公司的安全控制系统已经发展到了第四代,1998年HIMA公司推出了CPU四重化结构(QMR)的安全控制系统H41q 和H51q,使安全控制技术又有了重大性突破,首次实现了安全控制系统 无故障修复时间限制,该技术是目前世界上安全控制领域中最为先进和可靠的。
一.安全控制系统技术的发展
安全控制系统是专门用于危险场所(如:石油化工装置)联锁和紧急事故停车的控制系统。它和普通工艺过程控制的DCS和PLC的本质区别在于,其功能是在事故和故障状态下(包括装置事故和控制系统本身发生故障时),使装置能够安全停车,并处于安全状态下,从而避免灾难的发生,即避免对装置人员的伤害及对环境的影响等,因而安全控制系统本身必须是故障安全型(Fail to Safe)的,系统的硬件和软件的可靠性都要求很高。在国际安全标准IEC61508中,对安全等级及安全控制系统的要求具有详尽的规定。TüV是目前世界上唯一的安全控制系统认证机构。
自1970年HIMA公司首先推出TüV认证的故障安全型安全控制系统HIMA-Planar-System起,安全控制系统已有三十年的发展史。
HIMA安全控制系统的发展历史:
1970年 HIMA推出的世界首例经TüV认证的故障安全型控制系统HIMA-Planar-System投入使用。
1983年 HIMA推出世界首例故障安全型可编程电子控制系统(PES)用于安全控制。
1986年 HIMA推出世界首例经TüV认证的可编程安全控制系统 H50投入使用,CPU结构型式为双冗余容错完全自诊断型,即1oo2D。
1991年 HIMA推出第二代经TüV认证PES系统H51和H41系列产品.
八十年代末九十年代初,其它安全控制系统厂家陆续出现,所采用的技术一般为1oo2D或2oo3表决(TMR)技术,并将该技术沿用至今。
1997年 HIMA推出世界首例经TüV认证的四重化(QMR)CPU结构的A型系统产品,即2oo4D。
1998
年 HIMA推出第三代经TüV认证PES系统H41q和H51q, 采用四重化(QMR)CPU结构, 即2oo4D。
二.可编程(PES)安全控制系统的CPU结构
目前世界上符合IEC-61508标准并获得TüV AK6/SIL3等级认证的可编程安全控制系统有以下三种主流CPU结构:
1. 双重冗余容错完全自诊断结构,即1oo2D结构。
2. 三重化表决部分自诊断结构,即2oo3结构 ( TMR )。
3. 四重化冗余容错完全自诊断,即2oo4D结构(QMR)。
以下为三种不同CPU结构的安全控制系统性能比较:
HIMA HIQuard 四重化自诊断 系统结构 2oo4D (QMR)
Honeywell-FSC 双冗余自诊断 系统结构 1oo2D
Triconex 三重化表决 系统结构 2oo3 TMR
三.HIMA的四重化结构(QMR)产品H41q和H51q
H41q和H51q的CPU结构为四重化结构(QMR),系统的中央处理单元共由四个微处理器构成。四个处理器同时工作,每二个微处理安装在一块CPU卡上。中央处理单元共有2块CPU卡,一块CPU卡即构成1oo2D结构。
HIMA安全等级SIL AK6/SIL3 AK6 /SIL3
HIMAAK6故障修复时间限制 无限制
HIMA带电插拨卡件件 能
HIMATüV认证 有
HIMATüV认证报告可提供给用户.
开放通信结构RS485 Profibus和以太网OPC
防喘振控制
HIMA公司成功把3C公司RELIANTTM
压缩机控制器集成于系统中,可以接受22AI/6PI/16DI;具有6AO/14DO 功能.可以完成PD/PS或H/PS计算.
HIMA:
四个CPU分成二对,即同时工作又相对独立。当其中一对CPU诊断出故障时,则该对CPU切除,切换到2-0工作方式,所剩余一对CPU以1oo2D继续工作,这对独立的CPU仍满足安全等级AK6/SIL3要求,当这对CPU其中再有一个故障时,系统停车。所以无故障修复时间限制。
ESD和其他控制器的区别就是容错,比冗余还高级。
例如:
SIEMENS:S7-414FH,S7-417FH;
GE:GMR;
INVENSYS:TRICONEX;
HONEYWELL:FSC;
HIMA;
AB:GUARDLOGIX;
ABB:PM865.
ESD是英文Emergency Shutdown Device紧急停车系统的缩写。这种专用的安全保护系统是90年代发展起来的,以它的高可靠性和灵活性而受到一致好评。
ESD紧急停车系统按照安全独立原则要求,独立于DCS集散控制系统,其安全级别高于DCS。在正常情况下,ESD系统是处于静态的,不需要人为干预。作为安全保护系统,凌驾于生产过程控制之上,实时在线监测装置的安全性。只有当生产装置出现紧急情况时,不需要经过DCS系统,而直接由ESD发出保护联锁信号,对现场设备进行安全保护,避免危险扩散造成巨大损失。具有关资料,当人在危险时刻的判断和操作往往是滞后的、不可靠的,当操作人员面临生命危险时,要在60s
内作出反应,错误决策的概率高达99.9%。因此设置独立于控制系统的安全联锁是十分有必要的,这是作好安全生产的重要准则。该动则动,不该动则不动,这是ESD系统的一个显著特点。
为何要独立设置ESD系统呢?当然一般安全联锁保护功能也可由DCS来实现。但是对于较大规模的紧急停车系统应按照安全独立原则与DCS分开设置,这样做主要有以下几方面原因:
(1)降低控制功能和安全功能同时失效的概率,当维护DCS部分故障时也不会危及安全保护系统;
(2)对于大型装置或旋转机械设备而言,紧急停车系统响应速度越快越好。这有利于保护设备,避免事故扩大;并有利于分辨事故原因记录。而DCS处理大量过程监测信息,因此其响应速度难以作得很快;
(3)DCS系统是过程控制系统,是动态的,需要人工频繁的干预,这有可能引起人为误动作;而ESD是静态的,不需要人为干预,这样设置ESD可以避免人为误动作。
解决方案
ESD系统广泛应用于石油化工,冶金,电力,轻工,纺织,铁路,压缩机,鼓风机等需要安全保护及自动连锁保护的场合和。针对这种场合,GE FANUC AUTOMATION推出了90-70 GMR(Genius Module Redundancy)表决系统。
根据对冗余的不同需求;传感器信号被引入到隔离Genius输入模块。设置在独立机架中,各自独立的CPU从每条Genius总线上接受这些输入信号并对信号进行表决,然后,根据表决的结果执行相应的应用程序。由于系统的硬件采用了物理无藕合设计和分离式结构电路保护,因此用户不用担心出现硬件故障影响操作。离散输出电路对电流,电压传感器的信号进行综合分析,从而,实现对输出和负载状态的诊断。
GMR识别系统故障并对其进行自动补偿,同时,允许在不中断系统运行的情况下对其实施维修和部件更换。故障是由一个软件报警器功能来处理的,它可提供时间记录和I/O故障报告,系统故障的两个诊断表可以由编程器显示,也可以送到计算机或其他协处理器进行显示。每一个PLC中的诊断程序都在持续地运行以检测明显的和隐藏的故障,从而,降低系统的平均修复时间(MTTR),同时,为维修和操作人员自动生成故障报告。
解决方案
GMR控制器是由PLC CPU 788/789和CPM790以及相关电源,机架,通讯等模块组成。
组成:GMR CPU:IC697CPU788,或IC697CPU789,或IC697CPM790
90-70总线控制器(GBC):IC697BEM731
电源(PS):IC697PWR711/710
机架(RACK):IC697CHS790 IC697CHS791
GMR软件:IC641SWP745
编程软件:IC640HWP706
90-70 GMR表决系统的特点:
应用灵活性,可组态逐点冗余使之可以
根据指定的应用要求配置自己的硬件
系统。
Genius I/O加速系统的开车进程,不须长距离拉线。
消除保险,减低了平均修复时间(MTTR)
故障识别到点级,进一步降低了平均修复时间(MTTR)
GMR是一个"高可靠性"和"高可用性"的系统。