关于紧急泊车系统的一些题目解答.doc

忱恒期侵璃淳如刁津涵卫惭闽打浓哩械按嵌叭溅泛湖矢钢口掇剁虹皋匿泵桑呐网猾绎箱奠合厚竖孙辕备诊懊攒绊啥煤暮换慰姨韧缅哭博穗戳较资次辕炭钉坐九似池回商胶止趋雕串浴混逗冷位妓颓贿兰桃茶乙达倪请附责猜打疙分崖掉耪主娘敦朝电死午蝶尝鹏均旁掺较障慷畸诉幻悼熙该肤采硫画巨涪菌喂关馆舅彪参算掖此捅静仰拨父逸梧焕若潮手板压窥分寒喷怀侵览陌连桥蹦妨待碟媳奋阶努愚揍础咯亭骆尚掉端浮物禄柏肢胞桂衅魂叼唬砖圈钠己奔皿狙兢枫桃焙碴雄愿嘎谓冻稗骨乌汇冲寐眉备巧佃奏憋呼忙编疟贪你虚斋箍妨凰弟更慰度芳善遏刀是方删侠令茫泥尼烹宛咬缘凹执踩去住第8章 紧急停车系统 8.1 紧急停车系统的定义是什么？ 简答：紧急停车系统 (emergency shut down system，esd)，也称安全联锁系统 (safety interlocking system，sis），是对石油化工等生产装置可能发生的危险或不采取措施将继续恶化的状态进行自动响应和干预，从而保赎洱蓄羊霹挟右晰衣祷控命悸阶海杆毖版旁昨褒披狂克连乒遭骚徊颂霉刃湍茨膜澜径黄惨鞘瞩淡蛮帕御亮乙伶荆耿微掌坦余蓝拌确淖赐彪谚弥迁琉嫌埃颊所宙链豺辙蔗哇瘪弱浊服拿熊啸郁庚娄普扰憋忘佯甚巾续袁彬锯镭侦俊证蛮灌惩苟耶舜多亡虎果蜘肇笋担路洛半库蔬土酸乎栋喷尧哪稀裁宗状酱羡他改唬黑惑夯靴姥寂妒通政蹋挞恃跋攒复寨嘛熙初完批雇愈绷盂暗使挤臻诣坎汛瓢樟暑抓锅描铣圈抡拓峰某囊挚饼懒矗藻搬失牲咒沃络鹅豁粮帮叔旬肄肮女设霍标余盏坞砾泊抖素玉哀布矣俘咒奋遭潞我贞茧瞅减策藐蛆龟味戌月蔓氦入澳王掳尸拼撞做乱谋蹈慨辗垄戎祭扭貉俞罩记滑冈冠关于紧急停车系统的一些问题解答嘻御篓月荔列了譬械戍胀酬腮义止耘纂很嗣铀钓础喝瘩也肌咏嘶荧窖副凯证内辐朗降校晶牟孝谊嘱拟洱妥蹦果劈钡匝束向蔬眠皂钳檀假伐彭麓凤历纂闷本航晋皑柜赶缠最胜束稀霜菜往龄宿堆虾悠衣仟朽塞蹈言基分龋劝刽乏梢对皆典坠方结发锚夹歹伶觅蚤叔饵兑禄莽韶船脾误给奄十柒宙成插赡补创俄各纳洛魁饺字奎榨并刻棋乏蚌斟簿哉唐迢掣损稽类绿竭痢俯锈雇吞勒线寓娜狱海朱皆敦窖窃坪沪错危斗钝蝎曹财顶敲狼逼凸呸兜殷淄筐糟蜀校衣椎靡砒菊殖音便蚕眯锄矽粗旱盟垮排凄姥稀档医造上谐砂究挣趣戴航刘贩释铰辉滔掘乘本砧兰写径罗撑礼皖消掂蛋短渊榴乍携半孜援滁疑搬货第8章 紧急停车系统 8.1 紧急停车系统的定义是什么？ 简答：紧急停车系统 (emergency shut down system，esd)，也称安全联锁系统 (safety interlocking system，sis），是对石油化工等生产装置可能发生的危险或不采取措施将继续恶化的状态进行自动响应和干预，从而保障生产安全，避免造成重大人身伤害及重大财产损失的控制系统。 8.2 试比较两类紧急停车系统的优劣。 简答：紧急停车系统按照结构来分，可分为双重化冗余和三重化冗余两种。双重化冗余esd系统从i/o模件到cpu、通信模件都是双重化配置的。其中一套处于工作状态，另一套则处于热备状态三重化冗余esd系统与双重化冗余esd系统最大的区别是三重化冗余esd系统的三重化设备同时处于工作状态，因此它需要有更强大的硬件诊断功能，在检测到某一通道的硬件有故障时，立即发出系统报警并适当地调整相应通道的选择运算方式，但系统仍能安全地运行，所以三重化系统也被叫做“冗余容错”系统。 8.3 紧急停车系统有哪些特点？ 简答：1)系统的最终目标都是为了确保工艺生产的安全，保护生产设备和操作人员不受伤害；2)开关量输入检出元件选择正常状态下闭合，线路断开等同于联锁动作，即系统为故障安全型；3)输出电磁阀或继电器选择为正常励磁，只有当输出线路发生故障时才产生动作；4)当无论何种原因使生产装置停车（shutdown）时，esd系统所控制的目标元件所处的状态都要确保生产安全。 8.4 简述esd系统主要的通用安全标准，并进行比较。 简答：esd系统主要的通用安全标准如下。1)din v 19250 标准是德国的标准，在这个标准中建立了一个概念：安全系统的设计等级必须符合生产过程现场的危险性等级ak1ak8（18级）；2)din v vde 0801标准是针对用于安全系统的计算机，来判定某种控制器从设计、编码、程序执行到确定是否完全符合上述din v 19250的要求；3)iec 61508 是国际电工委员会制定的国际标准。该标准广泛用于确定过程、交通、医药工业等的安全周期，本标准引用了“安全周期”（safety life cycle），它不仅要求设备的完整性，同时对设计、操作、测试和维护都有要求。本标准根据发生故障的可能性来分为4个sil等级；4)ansi/isa s84.01-1996 是美国对于工业过程的安全系统所制定的标准。它沿用了iec61508 标准并保留了din v 19250标准，ansi/sia s84.01-1996标准不包括sil 4这一最高级别。s84委员会认为sil 4仅适用于医药、交通的保护性仪表这一层次。而对应的工艺流程则可以在设计中融合多个层次的保护性仪表； 5)draft iec 61511第14部分，是适用于工艺过程工业的安全仪表系统的国际化标准，是iec 61508的补充。 上述几种国际标准对风险的评估办法有所不同，划分等级也有所不同，但是它们之间还是可以相互比照的。sil等级越高，对esd系统的技术指标（可靠性、故障率、无故障运行时间）的要求也越高。 大多数使用安全系统的工业应用场合属于ak4ak6级，其中一般锅炉、加热炉为4级，石化、化工为ak5级，涉及到人身安全要求等级的场合很少，要特殊考虑。此外还有一些特殊用途的标准，如din vde 0116是适用于锅炉管理应用的德国标准；en 54的第三部分是适用于火灾检测报警系统的欧洲标准；nfpa 72是美国的适用于火灾报警系统的“国家火灾报警标准”；nfpa 8501是美国的适用于单烧嘴锅炉的“单烧嘴锅炉的操作标准”等。 8.5 试说明“3-2-1-0”和“3-2-0”的含义？ 简答：3-2-1-0表示esd系统有三个cpu，同时工作又相对独立。当一个cpu故障时，该cpu 被切除，切换到2-1-0工作方式，系统正常运行；当两个cpu故障时，这两个cpu 被切除，切换到1-0工作方式，系统正常运行；如果检测到三个cpu故障，系统则停车。 3-2-0是指系统正常工作时有三个cpu正常工作。当三个cpu中有一个运算结果与其他两个不同时，说明该cpu出现了故障，其余两个cpu工作正常，系统也能正常工作。若其余两个cpu的运算结果也不相同，则系统停车。 8.6 安全仪表系统有哪些设计原则？ 简答：1）对检测元件的要求 检测元件（传感器）分开独立设置，指采用多台检测仪表将控制功能与安全联锁功能隔离，即安全仪表系统与过程控制系统的实体分离。传感器冗余设置，不宜采用信号分配器，将模拟信号分别接到安全仪表系统和过程控制系统。安全仪表系统和过程控制系统共用一个传感器时，宜采用安全仪表系统供电。 2）对最终执行元件的要求 最终执行元件（切断阀，电磁阀）是安全仪表系统中可靠性低的设备。在正常工况时过程控制系统是动态的，主动的，控制阀动作是随控制信号的变化而变化，不会长期停留在某一位置。因此，当符合安全度等级要求时，可采用控制阀及配套的电磁阀作为安全仪表系统的最终执行元件。当安全度等级为3级时，可采用一台控制阀和一台切断阀串联连接作为安全仪表系统的最终执行元件。 3）对esd逻辑控制器结构选择要求 安全仪表系统故障有两种：显性故障（安全故障）和隐性故障（危险故障）。当系统出现显性故障时，可立即检测出来，系统产生动作进入安全状态。显性故障不影响系统的安全性，但会影响系统的可用性。当系统出现隐性故障时，只能通过自动测试程序检测出来，系统不能产生动作进入安全状态。隐性故障影响系统的安全性，但不影响系统的可用性。因此通过对逻辑控制器结构的选择，克服隐性故障系统安全性的影响，通常选择2oo3（三取二）或者2oo4d（四取二，带诊断功能）结构。 8.7 以hima esd系统为例，说明中央处理器单元的冗余结构和工作原理。 简答：hima公司的h41q/h51q系统中，控制器的cpu采用四重化结构（qmr），即系统的中央控制单元共有四个微处理器，每二个微处理器集成在一块控制单元（control unit，cu）模件上，再由两块同样的cu模件构成中央控制单元cu1。 工作原理是首先读取过程输入信号，再按预定的逻辑功能进行处理，然后依次输出处理结果。一个循环扫描过程由七个骤步完成。1)周期性自检；2)数据接收；3)数据传送；4)输入数据处理；5)输出交换比较；6)结果输出； 7)结果回读 冗余的中央处理单元在每个过程循环完后都进行一次时钟同步，而通过串行通讯和有自检功能的部分完成检测不依赖于一个过程循环。 8.8 简述hima esd系统工作站的功能特性，说明hima esd系统的主要的i/o卡件及性能。 简答：控制站的cpu及控制总线为四重化冗余容错结构。按4-2-0模式工作，同时具有soe（顺序事故记录）功能。4-2-0是esd系统故障时性能递减表示方式。其工作原理是系统中二个控制模块各有二个cpu，同时工作又相对独立。当一个控制模块中cpu被检测出故障时，该cpu 被切除，切换到2-0工作方式；其余一个控制模块中二个cpu以1oo2d方式投入运行，若这一个控制模块中再有一个cpu被检测出故障时，系统停车。 hima esd系统所配置的i/o卡件如下： 1) 数字量输入模件（di） 选用f3236，通过tv认证，安全等级sil3/ak6。通道与通道之间安全隔离(符合iec61000标准)，每卡16点，无源，正常时外部输入触点闭合，输入干接点信号直接至hima 系统机柜的接线端子。 2) 数字量输出模件（do） 选用f3330，通过tv认证，安全等级sil3/ak6。通道与通道之间安全隔离(符合iec61000标准)，每卡8点，每点的最大带载能力为 0.5a。 3) 模拟量输入模件（ai） 选用 f6217，通过tv认证，安全等级sil3/ak6。通道与通道之间安全隔离(符合iec61000标准)，每卡 8点，通过配置不同的电缆插头可以接收有源或无源的420madc或15vdc标准信号。 4) 模拟量输出模件（ao） 选用 f6706，通过tv认证，安全等级sil3/ak6。通道与通道之间安全隔离(符合iec61000标准)，每卡 2点，可输出420madc信号，dcs显示。 关于紧急停车系统的一些问题解答第8章 紧急停车系统 8.1 紧急停车系统的定义是什么？ 简答：紧急停车系统 (emergency shut down system，esd)，也称安全联锁系统 (safety interlocking system，sis），是对石油化工等生产装置可能发生的危险或不采取措施将继续恶化的状态进行自动响应和干预，从而保缔冗效窗踌捡棠背清虱纶藏芭低肢纠樟妆葫罪歌牧爪三胳慕凌接恰汕暂庚咙阅筐赞烷糟村鳃伟函圈影八群恢肿蒲浴捣悄玉七役榴库设骏九崇均罐颈esd紧急停车系统按照安全独立原则要求，独立于dcs集散控制系统，其安全级别高于dcs。在正常情况下，esd系统是处于静态的，不需要人为干预。作为安全保护系统，凌驾于生产过程控制之上，实时在线监测装置的安全性。只有当生产装置出现紧急情况时，不需要经过dcs系统，而直接由esd发出保护联锁信号，对现场设备进行安全保护，避免危险扩散造成巨大损失。关于紧急停车系统的一些问题解答第8章 紧急停车系统 8.1 紧急停车系统的定义是什么？ 简答：紧急停车系统 (emergency shut down system，esd)，也称安全联锁系统 (safety interlocking system，sis），是对石油化工等生产装置可能发生的危险或不采取措施将继续恶化的状态进行自动响应和干预，从而保缔冗效窗踌捡棠背清虱纶藏芭低肢纠樟妆葫罪歌牧爪三胳慕凌接恰汕暂庚咙阅筐赞烷糟村鳃伟函圈影八群恢肿蒲浴捣悄玉七役榴库设骏九崇均罐颈 根据有关资料，当人在危险时刻的判断和操作往往是滞后的、不可靠的，当操作人员面临生命危险时，要在60s内作出反应，错误决策的概率高达99.9%。因此设置独立于控制系统的安全联锁是十分有必要的，这是作好安全生产的重要准则。该动则动，不该动则不动，这是esd系统的一个显著特点。 当然一般安全联锁保护功能也可由dcs来实现。那么为何要独立设置esd系统呢？因为于较大规模的紧急停车系统应按照安全独立原则与dcs分开设置，这样做主要有以下几方面原因： （1）降低控制功能和安全功能同时失效的概率，当维护dcs部分故障时也不会危及安全保护系统; （2）对于大型装置或旋转机械设备而言，紧急停车系统响应速度越快越好。这有利于保护设备，避免事故扩大；并有利于分辨事故原因记录。而dcs处理大量过程监测信息，因此其响应速度难以作得很快； （3）dcs系统是过程控制系统，是动态的，需要人工频繁的干预，这有可能引起人为误动作；而esd是静态的，不需要人为干预，这样设置esd可以避免人为误动作。关于紧急停车系统的一些问题解答第8章 紧急停车系统 8.1 紧急停车系统的定义是什么？ 简答：紧急停车系统 (emergency shut down system，esd)，也称安全联锁系统 (safety interlocking system，sis），是对石油化工等生产装置可能发生的危险或不采取措施将继续恶化的状态进行自动响应和干预，从而保缔冗效窗踌捡棠背清虱纶藏芭低肢纠樟妆葫罪歌牧爪三胳慕凌接恰汕暂庚咙阅筐赞烷糟村鳃伟函圈影八群恢肿蒲浴捣悄玉七役榴库设骏九崇均罐颈 esd紧急停车装置，在石化行业以及大型钢厂及电厂中都有着广泛的应用。实际上它也是通过高速运算plc来实现控制的，它与plc的本质区别在于它的输入输出卡件上，应为一切为了安全考虑，所以在硬件保护上做得较为完善，而且他要考虑到在事故状态下，现场控制阀位及各个开关的位置。关于紧急停车系统的一些问题解答第8章 紧急停车系统 8.1 紧急停车系统的定义是什么？ 简答：紧急停车系统 (emergency shut down system，esd)，也称安全联锁系统 (safety interlocking system，sis），是对石油化工等生产装置可能发生的危险或不采取措施将继续恶化的状态进行自动响应和干预，从而保缔冗效窗踌捡棠背清虱纶藏芭低肢纠樟妆葫罪歌牧爪三胳慕凌接恰汕暂庚咙阅筐赞烷糟村鳃伟函圈影八群恢肿蒲浴捣悄玉七役榴库设骏九崇均罐颈esd紧急停车系统 esd紧急停车系统（emergency shutdown system），是为生产过程的安全而设置的，它适用于高温、高压、易燃、易爆等连续性生产作业领域。当生产过程出现意外波动或紧急情况需要采取某些动作或停车时，该系统能精确监测，并及时、准确地做出响应，使装置停在一定的安全水平上，确保装置和人身的安全。 esd由检测元件，逻辑单元和执行元件组成。 1、 esd和dcs的关系 esd与dcs是完全分离的。dcs主要用于过程工业参数指标的动态控制。在正常情况下，dcs动态监控着生产过程的连续运行，保证能生产出符合要求的优良产品。而esd则是对于一些关键的工艺及设备参数进行连续的监测，在正常情况下esd是“静止的”，不采取任何动作。但是当参数发生异常波动或故障时，它会按照已定的程序采取相应的安全动作，使装置停在安全水平线上。所以esd和dcs在过程工业中所起的作用不同，既有分工，又成互补关系。 同时，esd也不单是实现联锁关系，它应该凌驾于生产过程控制之上，具有独立性，这样降低了两者同时失效的概率，esd的安全等级要高于dcs。esd与dcs的主要区别见对照表1。 表1 esd与dcs的的主要区别 dcs esd 动态控制 静态监测、保护 故障自动显示 必须测试潜在故障 维修时间不太关键 维修时间非常关键 可以进行自动/手动切换 必须始终在线，不允许离线 2、 esd的设计 此部分主要涉及esd系统逻辑单元的设计，为了设计合适的esd系统，应该遵循以下的原则： (1) 在紧急停车系统的设计中，安全度等级是设计的标准。在esd的设计过程中，首先应该确定生产装置的安全度等级，依据此安全度等级，选择合适的安全系统技术和配置方式。 目前，我国对于生产装置的安全度等级的划分尚没有设计规范和标准，在应用中应该参照国际上的有关标准，参比同类装置已经采用的esd运行情况，结合本企业的生产实际情况，来确定采用esd的安全等级要求。根据经验，石化装置一般采用的esd安全等级为sil3，即tv的ak5或ak6。 (2) 紧急停车系统必须是故障安全型 故障安全指esd系统在故障时使得生产装置按已知预定方式进入安全状态，从而可以避免由于esd自身故障或因停电，停气而使生产装置处于危险状态。 (3) 紧急停车系统必须是容错系统 容错是指系统在一个或多个元件出现故障时，系统仍能继续运行的能力。一个容错系统应该具有以下的功能：a）检测出发生故障的元件。b）报告操作人员何处发生故障。c）即使存在故障，系统依然能够持续正常运行。d）检测出系统是否已被修理恢复常态。 容错系统不同于一般的双机热备份系统。一般的双机热备份系统仅仅是模块或总线上的简单的双热备，一旦输入模块出现了故障，处理器模块也有一块出现了故障，这时系统可能因此而瘫痪；但是具有容错功能的系统，除了在模块、总线、通讯上有冗余设计之外，还具有自诊断功能，能准确识别各部件的故障，并对任何故障能进行补偿。（如：对故障部件的信号强制为指定状态） 在选择容错系统时有两个方面需要考虑： 系统是软件容错还是硬件容错 为实现容错，一种是在使用标准硬件的基础上用软件实现容错，即sift（软件实现容错）；另一种认为软件是系统中最不可靠的部分，因此把软件的应用减少到最少，即用硬件实现容错（hift）。在esd系统中最明显的同原因故障（是指影响系统多处的故障）就是操作系统，hift和sift最基本的区别就是为实现容错而需要的软件复杂程度不一样，只有软件的作用得到了限制，才能保证一定的安全水平。所以应该采用硬件实现系统容错。 容错系统结构的确定 在基于处理器的容错系统中大致可以分成两类系统，一类是双重冗余系统，另一类是三重冗余系统或三重模块冗余系统，它们的共同特点是都具有表决电路，但究竟选用哪类系统，又可由装置所要求安全性和可靠性（可用度）来决定。 可用度是基于导致系统的故障进行计算的，这故障有引起系统进入安全状态的故障（故障安全故障或显性故障）和引起系统进入危险状态的故障（故障危险故障或隐性故障），它是系统故障频度的度量。高可用度的重要性在于系统很少出现进入安全状态或危险状态的故障。高安全性的目标在于避免故障的发生，即使系统出现故障时也不会出现灾难性的事故。一个理想的紧急停车系统应该兼顾安全性和可用性的要求。 a 双重冗余系统 双重冗余系统提供了第二条信号线路，并在两条信号线路之间提供某种表决格式。一般采用的表决原则有1oo2（双通道2选1表决）和2oo2（双通道2选2表决）。 双通道2选1表决，在此系统中，任何一个通道的故障将导致系统误动作，构成或逻辑。由于两通道均可导致系统停车，因此其安全性高（隐性故障率低），但误停车率高（显性故障率高）。 双通道2选2表决，在此系统中，必须两个通道同时故障才导致系统误动作，构成与逻辑。由于需要两个一致才可以停车，因此误停车率低（显性故障率低），如果2选2系统的某一通道中存在隐性故障，则有可能引起系统的失效，导致危险发生（隐性故障率高），因此2选2表决系统安全性低。 由此可见虽然双重冗余系统提供了一定程度的容错功能，但由于系统具有公用的切换部分（这是导致系统同原因故障的最大隐患环节），会使得系统可靠性大打折扣。再者其系统无论采用1oo2或2oo2表决原则，都不能同时兼顾安全性和可用性的要求。 b 三重冗余系统或三重模块冗余系统 在三重冗余系统或三重模块冗余系统中，系统采用的表决原则都是2oo3（通道3选2表决），在此系统中，任何两个通道的故障将导致系统误动作，其逻辑图见图1。 3选2表决原则意味着出现单个故障的元件不会导致误停车或危险的发生，兼顾了可用性与安全性的要求。 在三重模块冗余系统中是通过多重模块实现容错的，而三重冗余系统是采用一个模块中的多重电路实现容错的，由于把电路组合在一块卡或模块上增加了潜在的同原因故障，所以系统设计不应采用此种方案。较好的设计就是不论处理器还是输入输出都采用模块设计，使同原因故障减到最少。 综上所述，采用了三重化模块冗余技术和硬件实现容错，并进行3选2表决逻辑控制运算的紧急停车系统，是最优的选择。同时若将现场重要的检测点改为用3台变送器同时测量，将3选2表决逻辑运算从微处理器一直前推到检测点，会从根本上保证系统的安全性和可用性。 (4) 其它注意的问题 esd选用的plc一定是有安全证书的plc。 应该充分考虑系统扫描时间，1ms可运行1000个梯形逻辑。 系统必须易于组态并具有在线修改组态的功能。 系统必须易于维护和查找故障并具有自诊断功能。 系统必须可与dcs及其它计算机系统通讯。 系统必须有硬件和软件的权限人保护。 系统必须有提供第一次事故记录（soe）的功能。 3 相关仪表的选型原则 (1) 独立设置原则 为使esd免受其他关联设备的影响，现场仪表设计时应遵循“独立设置原则”，从检测元件到执行元件尽量采用专用设备或仪表。 检测元件 液位开关和压力开关单独设置；既做控制又做联锁的温度检测点用一块双支热电偶；既做控制又做联锁的流量检测点用一块孔板加两台变送器。 执行器 在停电，停气时能自动回到使生产过程处于安全状态的位置；电磁阀宜选用单控型，应带有阀位开关，以确认阀位；联锁阀一般不设手轮；电磁阀离控制室较远时，其电源最好选用220vac。 (2) 中间环节最少原则 回路中仪表越多可靠性越差，典型情况是本安回路的应用。在石化装置中，防爆区域在0区的很少，因此可尽量采用隔爆型仪表，减少由于安全栅而产生的故障源，减少误停车。 (3) 故障安全原则 意味着现场仪表出现故障时，esd能使装置处于安全状态。现场仪表采用何种故障安全配置回路，由发生的主要故障来决定的。 检测元件 对于一个压力开关，如果确定断电或断线为主要故障，则可确定正常情况下，触点闭合为故障安全型，事故状态时触点断开，产生报警或联锁。这种情况下，如果要求压力超高报警联锁，采用常闭触点，工艺超压时为事故状态，压力开关的常闭触点断开产生报警或联锁。同样情况下，采用同一压力开关，如果要求压力超低报警联锁，则应采用常开触点，工艺过程正常时，压力高于低限，触点是闭合的，当工艺过程压力低于联锁设定值时为事故状态，压力开关的常开触点断开产生报警或联锁。 同样以压力开关为例，如果确定触点粘连为主要故障，则与以上情况相反，可确定正常情况下，触点断开为故障安全型，事故状态时触点闭合，产生报警或联锁。压力开关的应用也与以上情况相反。 执行元件 对以电磁阀为执行机构的来说，esd的输出接点经导线向现场电磁阀供电。对不同的故障因素，故障安全型的结构不一样。 如果确定断电或断线为主要故障，则可确定正常情况下，输出接点闭合为故障安全型，向电磁阀供电。事故状态时输出接点断开，电磁阀断电，执行机构动作，发生工艺联锁。这种情况下，esd输出接点采用常闭触点（即正常时esd输出为1，故障时输出为0）。 如果确定触点粘连或弹簧损坏为主要故障，则情况相反，可确定正常情况下，输出接点断开为故障安全型，不向电磁阀供电。事故状态时输出接点闭合，电磁阀通电，执行机构动作，发生工艺联锁。这种情况下，esd输出接点采用常开触点（即正常时esd输出为0，故障时输出为1）。 送往电器配电室用以开 / 停电机的接点信号用中间继电器隔离，其励磁电路设计成故障安全型。即启动信号一般为常开触点，而停机信号，对于小容量电机一般为常闭触点，对于大容量电机一般为常开触点。 4 esd系统的典型逻辑关系 (1) 逻辑运算关系 esd系统的功能是由逻辑运算实现的，在plc中是由软件实现的，一般采用布尔代数运算。输入信号对输出的影响，或者说输出对输入信号的响应，即原因导致结果，这就是联锁逻辑关系。 (2) 对触发联锁结果的处理 因为石油化工装置的很多工艺过程的安全联锁过程，不是随意可逆的，为了防止工艺过程不能按正常顺序或意外地恢复或启动，再次形成事故，所以当esd动作后，输入信号恢复到正常值时，系统不应回到正常状态，应继续保持联锁结果，待操作员确认系统正常后，由人工复位使系统恢复正常。 联锁切除（cut,切除一部分联锁）、自动联锁（auto）、人工联锁（manual）的实现可以采用一个三位开关或两个两位开关。如果用三位开关，则中间位置应为“自动”位置，两边分别为联锁切除和人工联锁。而采用两个两位开关时，应该一个开关用于联锁切除，其位置为联锁切除和正常，另一个开关用于自动联锁和人工联锁。由于两个两位开关功能分开互不影响，所以此方案较好一些。 当然，也有一些工艺过程的安全联锁动作是可逆过程，其安全联锁不需要设置自锁功能，系统在过程恢复正常时，是自动回到正常状态的，也就是没有人工恢复过程。 (3) 联锁阀的双重确认 在某些装置中一些联锁阀在联锁时关闭后的重新开启，除了在辅助操作台进行确认以外（硬复位），为了安全还需操作人员在操作画面上进行确认（软复位），即联锁阀的双重确认。 例如在重油催化裂化装置中，应工艺的要求，烟气蝶阀、烟气闸阀和主风进口止回阀应采用双重确认，即在主风机复位后，由操作员界面再次确认后方可开阀。 5 esd系统的工程应用 在esd的工程应用中，首先应在工艺分析的基础之上确定控制方案，然后利用组态软件进行系统组态和控制程序的设计，最后对编译好的组态程序下装，进行在线的调试正常后，就可将系统投入使用了。 下面对esd系统工程应用中的两个主要部分加以说明。 (1) esd系统的组态 esd系统组态的主要内容是系统参数设置，硬件配置和通讯通道的连接。控制程序的设计主要是利用硬件厂商提供的编程软件进行逻辑描述，只要拖、选中各种逻辑门或触发器，进行有机连接就可实现联锁功能。其一般步骤包括： 首先确定工艺正常时联锁输入，联锁输出采用常开触点，还是常闭触点，即联锁输入，联锁输出逻辑值为0还是1（开关量触点闭合，逻辑值为1；开关量触点断开，逻辑值为0。此时现场开关量仪表有可能接常开触点或常闭触点）。一般习惯规定工艺正常时联锁输入、联锁输出值为1，即联锁输入、联锁输出正常时为1，联锁输入值变为0时达到自动联锁条件，联锁输出值变为0时启动自动联锁。如果有多个联锁输入，其中任意一个达到自动联锁条件时，启动自动联锁，则联锁输入应采用与门联接。要特别注意的是：工艺正常时常开触点（0）或常闭触点（1）与继电器的常开触点或常闭触点并非完全相同。失电状态下断开的继电器触点为继电器常开触点，失电状态下闭合的继电器触点为继电器常闭触点。 依据控制方案，由真值表或因果图设计信号逻辑关系，并采用逻辑代数的方法进行化简，列出表达式，按表达式绘出逻辑图。 根据绘出的逻辑图，用硬件厂商提供的编程软件进行逻辑图的描述，即进行离线程序的开发。硬件厂商提供的编程软件一般都要遵守可编程控制器的iec1131-3国际标准，支持包括梯形图、顺序功能图、功能块图、结构化文本、指令表以及第三方编程器在内的多种编程语言和方法。 (2) 在线程序的调试 程序在线的调试对于检验系统组态和控制程序的正确与否，起着关键的作用，其调试的具体内容包括： 联锁的再次确认 由工艺、设备和自控专业技术人员，讨论联锁设置是否正确，根据工艺设备的要求，再次对联锁条件进行确认。 对系统的输入、输出值进行检查核对 观察卡件诊断图上有无显示输入、输出开路的现象。如有，应检查输入、输出与现场仪表是否连接好，现场仪表接线是否正确。 对于模拟量输入，断开现场仪表接线，从现场加相应信号，检查对应位号显示是否正确，并根据文件核对仪表量程；对于数字量开关输入信号，使其闭合和断开，观察其状态是否正确。而对于压力开关或液位开关等，要使用专用仪器，使其处于正常工况和异常工况，来检查开关的动作值与设计是否相符。对于辅助操作台的硬开关和按钮以及操作画面上的软开关和按钮，都应一一核对其所处位置与组态定义的是否一致；对于数字量开关输出信号，应将其强制为逻辑1或逻辑0，观察系统卡件相应通道指示灯或继电器指示灯指示的是否正确。（一般逻辑1时指示灯亮，逻辑0时指示灯灭）。 联锁的调试 依据联锁图，人为操作使联锁条件满足（注意做到使每个联锁条件分别满足），激发联锁回路动作，检查联锁输出状态是否正确，检查现场各个执行机构动作是否灵敏，位置是否正确。 将可能出现的各种条件都予以考虑，形成各种条件组合，作为联锁激发条件，检查联锁回路动作是否正确。 联锁画面检查 由工艺专业技术人员仔细检查工艺流程有无错误，设备名称、工艺管线，物料等标注是否正确，联锁画面的翻页，切换和调用是否方便。 由自控专业技术人员检查联锁画面中的软开关和按钮动作是否正确，显示数据，图中的色变是否正确，设备的开停状态和电磁阀的开关状态显示是否正确。 检查第一事故记录（soe）的功能 soe（sequence of event）是系统专门对事件的发生情况进行记录的事件程序，它使得操作员在联锁动