安全控制系统的理论研究与应用
2012-04-09 17:01 来源:中国自动化学会专家咨询工作委员会
摘要:本文介绍了安全控制系统的定义和理论,与安全控制系统相关的一些国际标准和设计原则,结合项目实例阐述了西门子S7-400F/H冗余容错故障安全控制系统的实际应用。
一、引言
在石化、化工等相对危险性较大的行业中,随着科学技术的发展,生产规模的不断扩大,工艺流程越来越复杂,生产的安全性显得尤为重要。其中,自动化控制系统的功能安全占了很大一部分的比重。以往国内一般会将过程控制中与安全相关的部分与一般的DCS或PLC系统整合在一起,但现在从安全至上的角度出发,自动化供应商和最终用户本身都意识到了采用相对独立的、应用于安全相关的控制系统的必要性,基于此,安全控制系统应运而生。
二、与安全控制系统相关的国际标准
2000年5月,国际电工委员会(IEC)正式发布了IEC-61508标准,名为“电气/电子/可编程电子安全系统的功能安全”。该标准共计七个部分,涉及到1000多个规范。该标准针对起安全作用的电气/电子/可编程电子系统(E/E/PE)提出了一个基础、合理的技术方案,并建立一个相应的评价方法,综合考虑如传感器、通信系统、控制装置、执行器等元器件与安全系统组合的问题。
根据该标准规定,安全控制系统的最终设计目标可以概括为:在生产过程中发生危险事故或系统本身发生故障的情况下,系统能做出及时和正确的反应并输出到现场,以防止危险的发生或减轻已发生危险所导致的后果。根据这一原则,IEC-61508规定了一项重要的可定量化要求:安全整体性要求等级SIL(Safety Integrity Level) ,它是指在一定时间内、所有条件不变的情况下安全控制系统达到所要求安全功能的一个指标。SIL共分为SIL1、SIL2、 SIL3和SIL4四个等级,等级越高,相应的要求也越高。
2003年1月,在IEC-61508的基础上,IEC又发布了IEC-61511 “过程土业部门仪表型安全系统的功能安全”。这是专门针对流程工业领域安全控制系统的安全功能标准。IEC-61511规定了控制器单元在设计和使用的过程中需采用的基本原则,构成安全控制系统的传感器和最终执行元件所应达到的最低标准,并提出达到最低标准的安全生命周期活动的方法。也就是对过程工业领域中安全控制系统的设计、安装、调试、运行和维护等一系列的要求进行标准化,并对应用和安全整体级别的确定方面提供指导。
通俗点来说,两者间的关系和区别可以这样来理解:IEC-61508适用于设备制造商和供货商,而IEC-61511提供了一个在流程工业可实际应用和便于理解的IEC-61508版本且较为适用于安全控制系统的设计者、集成商和最终用户。
除了以上两大标准,其他主要的国际通用安全标准有:美国国家标准ANSI/ISA-S84.01,关于测量及控制设备安全的德国国家标准DIN-19250以及针对机械设备的IEC-62061。现今国际上权威的安全标准认证机构包括德国的TUV组织,欧洲的BGIA认证,美国的EXIDA组织和FactowMutual组织。
三、安全控制系统定义及概述
所谓安全控制系统,指的是能提供一种高度可靠的安全保护手段,最大限度地避免相关设备的不安全状态,防止恶性事故的发生或在事故发生后尽可能地减少损失,以保护生产装置及最重要的人身安全。
安全控制系统能在生产装置开车、停车、出现工艺扰动等状况和正常维护操作期间对设备提供安全保护,一旦设备出现危险情况,安全控制系统能够立即做出反应并输出正确信号,使得设备处于安全状态或停机。在化工行业中,安全控制系统一般被称为ESD(紧急停车系统)或SIS(安全仪表系统)。从严格意义上来说,ESD指的是SIS中的逻辑运算器、即控制系统硬件和相应的软件,而SIS还包括了外围的仪表传感器和最终执行元件等。
安全控制系统一般都采用了冗余及容错的技术,两者之间不尽相同。
冗余(Redundant)指的是并行的使用多个系统部件如CPU、输入模块、通讯卡件等,以提供错误检测和错误校正的功能,并可以自动地检测故障,在不影响整个系统运行的很短时间内切换到后备设备上继续正常工作。
而容错技术(Fault TOlerant)指的是拥有内部冗余的并行元件和集成逻辑,当硬件或软件存在部分故障时,系统能够自动识别故障并使故障旁路继续执行正确的指定功能的能力。或者指硬件和软件发生故障的情况下,系统仍然具有继续运行的能力。这一般包含了三方面的功能,一是故障约束,即限制过程或进程的动作,防止错误发生后在被检测出之前的扩大;二是故障检测,即对信息和过程进行不间断地动态检测,以及时发现错误;三是故障恢复,即修正或切换失效的部件。容错技术包括了错误检测和校正所需要的各种编码、系统恢复、指令执行、程序复算、备件切换、系统重组等技术。它是以冗余技术为基础,尤其适用于安全控制系统的一种先进可靠的技术手段。
四、安全控制系统的设计原则
4.1 独立设置原则
安全控制系统应独立于过程控制系统,以降低控制功能和安全功能同时失效的概率,使安全控制系统不依附于过程控制系统就能独立完成自动保护和联锁的安全功能。
设计时必须考虑配置相应的通讯接口,使得过程控制系统也能够监视安全控制系统的运行状态。
原则上需要独立设置的部件包括检测元件、执行元件、逻辑运算器、安全控制系统,以及与过程控制系统之间或其他设备的通讯组件。
对于较为复杂装置的安全控制系统适合分解为若干子系统,各子系统相对独立且分别设置后备手动功能。
4.2 结构选用的原则
安全控制系统应采用容错系统。在一个或多个元件发生故障时,系统仍然具有继续运行的能力。对于以逻辑运算器为基础的容错系统来说,一般都会采用冗余结构,并可参考采用以下方法:
对于有相互关系的参数之间可以使用不同的测量方法(如压力和温度);
对于同一变量采用不同的测量技术(如涡街流量计和电磁流量计);
对于冗余结构的每一个通道采用不同类型的可编程电子系统;
对于冗余的通讯结构来说可以使用不同的地址。
4.3 技术选用的原则
安全控制系统可以采用电气、电子或可编程电子(E/E/PE)技术,也可以采用上述技术混合的方案。
对于继电器而言需要注意如存在以下情况时不可使用:高负荷周期性的频繁改变状态;作为定时器或锁定功能使用;复杂的逻辑应用场合。这时候可以考虑选用固态继电器,但也需恰当处理好故障安全模式。
另外要注意的是对于安全控制系统一般不推荐使用固态逻辑,即将内部逻辑元件(与、或、非等)用直接连线的方式来获得逻辑功能,而一般这些功能在故障安全方面是受限制的。
4.4 故障安全原则
安全控制系统必须是故障安全型的。所谓故障安全是指检测元件和最终执行元件在系统正常时应该是励磁的,即得电状态;在系统故障时应是非励磁的。这也称之为非励磁停车设计。
4.5 中间环节最少原则
作为一个高效的系统,安全控制系统的中间环节越少越好,尽可能地采用最直接的测量和最可靠的执行方式,避免繁琐复杂和不必要的设计,以及过多的电一气、气一电转换环节,另外在运行时也要考虑对人员干预和选择环节的需求是最少的或者没有。
五、安全控制系统项目实例
5.1 项目概述
新昌源化工江苏有限公司20万吨/年粗苯加氢ESD系统项目的实施周期为2009年10月至2010年4月。设置此安全控制系统的目的是为了保障粗苯加氢装置的安全生产,降低恶性事故的发生概率,减少计划外停车,避免重大人身伤害、设备损坏和经济损失的事故发生。为此,在主控室配备了独立于过程控系统DCS的两台互为备用的ESD操作站(其中一台兼作工程师站),以及ESD专用报警打印机一台。
5.2 系统配置
本ESD使用的是西门子SIMATIC S7-4OOF/H系统,它是以冗余及容错技术为基础的故障安全控制系统。一旦工艺上的安全联锁条件具备或者任何系统内部故障发生时S7-400F/H 就立即进入一种安全工作状态,即保持在一种安全工作模式上,从而保证操作人员、设备、环境和生产过程处于安全状态。
S7-400F/H提供了全系统的冗余,包括CPU、可带电插拔的故障安全专用1/O卡件、通讯模块、电源和网络。
S7-400F/H 控制站型号为AS414-F/H 套件,它是由两套中央控制器组成,且内置有冗余模块,通过两个光纤通讯口互相连接。在系统正常运行过程中,当某个中央控制器出现故障时,另一个中央控制器自动接管所有工作,保证系统继续正常运行。
作为一个整套的安全控制系统解决方案,输入输出信号卡件也选用了西门子ET-200M故障安全专用I/O卡件,其所有卡件具有带电热插拔功能。可靠性高、组态灵活、使用方便,具有很好的在线维护性。控制站可通过基于Profibus-DP通讯协议的Profi-Safe网络与其连接。
电源冗余由系统供电和现场设备供电两方面组成。控制站通过系统配置的双冗余电源供电(每块CPU均配备两个电源模块,可根据安全要求分别接人两路电源如:一路UPS,一路市电)。且当其中某一电源发生故障时,不必停机就可更换备用电源。对于现场设备而言,本系统选用的西门子 SITOP直流电源也采用了冗余设计,允许两个直流电源并联使用,将所有配置的直流电源并联后再通过ET200M分布式I/0模件向现场供电。在系统运行过程中,当其中某一台直流电源发生故障时,并联的直流电源还能保证足够的功率输出,也不会影响备件更换。
控制站与上位机的通讯使用了冗余的以太网,两个操作站分别通过两个赫斯曼工业交换机与两个CPU套件上的以太网模块相连接,确保了通讯的万无一失。
5.3 系统组态和编程
ESD系统配置的工程师站对整个S7-400F/H系统进行组态。其操作系统采用WindowsXP,并且采用了集成的全局数据管理和统一的组态工具。这个组态工具就是SIMATIC程序管理器,它采用了现代化的软件体系结构,对项目进行管理、处理、归档和建立文件。在软件开发方面,采用了面向对象的技术。在项目管理上,以系统硬件和工艺过程两个不同的视角,同时进行管理。在SIMATIC程序管理器下,有多种组态工具可以使用,无论采用何种组态工具,生成的组态数据都自动存到同一的数据库中。
本项目采用了西门子STEP7软件平台,编程语言工具为CFC( Continuous Function Chart连续功能图)和西门子F-Library软件功能库。 CFC是一种简洁的图形组态工具,基于IEC-1131标准。使用CFC有助于节省时间费用,同时大大简化了系统的组态和维护。用CFC进行组态时是以功能块为基础的,系统配置了很多预编程的功能块。这些功能块以库的形式体现。每个功能块都有一个参数表,可根据实际工艺要求选择不同的参数。功能块在CFC中的连接直接用鼠标点接。每个CFC由6页组成。功能块之间的连接可以在不同的CFC之间不同的页面上进行,连接标记由系统自动标出。因此,采用CFC可以完成很复杂的大型控制任务。对于本项目来说,尤其适用于安全控制系统的编程,并且F-Library软件功能库需与CFC搭配使用。
上位机组态软件使用的是英维思Wonderware Intouch9.5版,通讯方式为OPC连接。Intouch使用较为广泛,且成熟可靠,无论对于系统开发人员,工厂使用人员和维护人员来说,都具有相当的可操作性和可维护性。在实际使用过程中确实也表现不错。
六、小结
现今国家大力提倡节能减排和安全生产的观念,对于安全控制系统来说,由于其结合了当下较为先进的自动化控制技术、故障诊断技术和软件技术,且具有可靠性高、操作简单、维护方便的特点,真正为工厂的安全生产提供了保障,进而也促进了节能减排的工作进展,为社会的和谐发展做出了贡献。