秦朝軍 劉天虎 周 亮 唐 山 王海群

(北京航天石化技術裝備工程公司加熱爐事業(yè)部,北京 100166)

歐美發(fā)達國家對安全產(chǎn)品的要求非常嚴格，而我國政府也已經(jīng)通過安監(jiān)局及科技部等部門對故障安全的相關技術和標準進行了調研，未來將逐步完善國內(nèi)的相關勞動安全法律法規(guī)和行業(yè)規(guī)范，以保護人員和環(huán)境的安全。近年來，故障安全產(chǎn)品的應用也隨著廣大用戶安全意識的不斷提高而逐漸開始普及。

安全相關系統(tǒng)包括安全控制系統(tǒng)與安全保護系統(tǒng)，當危險事件發(fā)生時，安全相關系統(tǒng)將采取適當?shù)拇胧┖蛣幼鳎乐贡槐Ｗo對象進入危險狀態(tài)，避免危及人身安全，保護財產(chǎn)不受損失。在不同的應用領域，安全相關系統(tǒng)有不同的內(nèi)涵和名稱，如安全儀表系統(tǒng)、關鍵控制系統(tǒng)、安全解決方案、故障安全系統(tǒng)、聯(lián)鎖保護系統(tǒng)及鐵路信號系統(tǒng)等[1]。

導熱油爐站及其熱媒爐系統(tǒng)是石油、化工連續(xù)生產(chǎn)過程中的核心和關鍵動力設備，一般在系統(tǒng)設計中對其可靠性、安全性及可維護性等各方面都有更高的標準，而作為整個熱媒站的控制系統(tǒng)部分，其也有更加嚴格的安全和連續(xù)生產(chǎn)要求。因此，選擇可靠的故障安全產(chǎn)品，在安全和連續(xù)生產(chǎn)這兩個相互矛盾的方面兼顧用戶訴求，是系統(tǒng)設計面臨的兩大難題。

Siemens S7-400FH是依據(jù)IEC61508(等同于GB/T 20438.1～7)研發(fā)的[2]，用于在系統(tǒng)發(fā)生故障后能夠導入安全，這也是該系統(tǒng)的根本設計準則[3]。當用一組自動化裝置構造一個自動化系統(tǒng)后，此系統(tǒng)可以實現(xiàn)一組故障安全保護功能，當其中一個或多個自動化裝置發(fā)生故障時，該系統(tǒng)仍然能夠保護安全功能不丟失，即故障安全系統(tǒng)可以對人、機械和環(huán)境提供更高的安全等級。

在此，筆者將Siemens S7-400FH故障安全冗余系統(tǒng)引入熱媒控制站作為控制系統(tǒng)的核心，以使熱媒站和整個生產(chǎn)裝置的安全控制水平和級別在安全性和可靠性方面能夠得到很好的提升。

某化工廠新建裝置在熱媒站招標采購中對核心控制器在故障安全方面提出了高標準和嚴要求，但并未對控制回路及現(xiàn)場元器件等的SIL等級做出更嚴苛的要求，項目在方案選擇和實際技術細節(jié)上主要進行了3方面的升級和改進。

1.1 控制系統(tǒng)核心

通過對幾家公司的控制器進行選型比對，最終選擇了S7-400FH故障安全與容錯型冗余控制器及其配套產(chǎn)品作為本項目控制系統(tǒng)的核心。該控制器及其相關I/O模塊滿足TüV認證，同時符合并達到以下標準和水平：

a. 執(zhí)行EN50159-1，滿足classes AK1 to AK6，符合DIN V 19250/DIN V VDE 0801；

b. SIL1～SIL3，符合IEC61508標準；

c. Categories 1～4，符合EN954-1。

1.2 選型方案

根據(jù)用戶和工藝對控制系統(tǒng)的要求，本著高可靠性、安全性和經(jīng)濟性的原則，在不降低系統(tǒng)整體性能的前提下，應從控制方案的選型及配置等各方面對系統(tǒng)進行綜合考慮并優(yōu)化設計。對輸入輸出信號應要求其具有重要性、安全性和可靠性，且事先同工藝等專業(yè)進行分析并進一步對信號分類，確定使用帶F或非F的卡件對信號進行處理，采用故障安全型卡件和普通卡件相結合的方案處理系統(tǒng)信號從而節(jié)省一次資金的投入。

1.3 編程模式

在控制程序的結構設計上，摒棄了原來以梯形圖編程為主的編程模式，改用CFC功能塊編程兼顧調用系統(tǒng)已有的普通功能模塊庫和故障安全模塊庫中控件的模式，對熱媒爐控制系統(tǒng)從信號采集到控制程序進行了重新處理和規(guī)劃、編程。

在人機界面的功能上，實現(xiàn)了兩種不同的人機界面上位機和觸摸屏兩地分立獨立控制操作。

在網(wǎng)絡結構上，從Siemens S7-400FH PLC到ET200M，由Profibus DP網(wǎng)構成；容錯的Industry Earthnet工業(yè)以太網(wǎng)借助單模光纖中繼，將PLC和人機界面之間(包括觸摸屏和上位機)通過PROFIsafe安全協(xié)議連接。

2 FH系統(tǒng)的實現(xiàn)與相關組態(tài)編程

2.1 系統(tǒng)信號的甄別、分析、定義和分類

按照IEC61508和TSG標準的基本要求，需同工藝、設備及燃燒等所有專業(yè)，對系統(tǒng)PID流程中所涉及的所有電信號從其重要性、出現(xiàn)故障后若不能被可靠檢測或處理時是否會導致重大安全事故等方面逐一進行重點的甄別、分析、定義和分類，完成系統(tǒng)I/O表的配置和對應F卡件的選型。

針對熱媒爐控制系統(tǒng)核心部分的燃燒控制回路，其包括燃料控制、助燃風控制、介質出口溫度控制和氧量控制回路，以燃料控制回路為例，其中燃料流量的采集包括穩(wěn)壓補償壓力采集、溫度采集和流量壓差信號采集3部分，輸出為燃料流量調節(jié)閥。燃料控制回路任一信號故障或處理失敗，都會直接導致熱媒爐控制系統(tǒng)的波動或失效，進而導致嚴重的安全事故。因此，從各專業(yè)角度來定義，都是關鍵信號，必須重點處理和使用，其在圖1中定義為背景色“灰色”，標示為“冗余”。

圖1 信號甄別與分類

而對于諸如“熱風溫度”及“總管入口溫度”等信號，僅作為一般的指示和工藝記錄使用，其信號暫時甚至長時的波動或失效對控制系統(tǒng)和裝置均不會造成過大的損壞或安全事故，更不會造成人員傷亡，因此，其在系統(tǒng)中的重要性明顯較低，因此僅定義為一般正常信號，圖中以“Norm”表示。

至于系統(tǒng)中的其余信號，包括數(shù)字量輸入DI點和數(shù)字量輸出DO點，均逐一經(jīng)過同樣的甄別和分類過程，匯入圖中，在此不再贅述。

2.2 硬件選型和配置

系統(tǒng)的基本硬件配置如圖2所示。

圖2 系統(tǒng)硬件基本配置

S7-400FH故障安全和故障容錯型冗余(The Fail-safe and Fault-tolerant S7 F/FH Systems)產(chǎn)品能夠較好地滿足對系統(tǒng)高可靠性、容錯、冗余方面的要求。故障安全和故障容錯型S7 F/FH系統(tǒng)允許產(chǎn)品持續(xù)工作而不引起對人或環(huán)境的任何損壞，因此可通過冗余組件(如電源、中央處理單元、通信組件和I/O組件)來實現(xiàn)系統(tǒng)的高可靠性。

在CPU和電源的選擇上，選擇PCS7選型中的412FH故障冗余套件，該套件雖然接近400系列的最低起點配置，但對于一個小型熱媒站系統(tǒng)無論從點數(shù)到通信、運算處理上都已綽綽有余，打包選型訂貨后，不僅比分別單個訂購CPU、電源、電池、地板及通信模板等的費用低，而且出廠時經(jīng)過組裝后整體的性能測試，性價比很高。

上位組態(tài)軟件選擇了性價比較高的512點WinCC 7.0 RC，開發(fā)、運行合二為一，同時，根據(jù)需要單獨選擇了CP1623、Step 7 5.4、S7-F系統(tǒng)及CFC等硬件和軟件，大幅降低了成本。

考慮到用戶DCS控制室只配置一臺上位機，而此控制系統(tǒng)又是關鍵的核心設備，一旦上位機失敗后若沒有后備的處理力量，將是一個非常嚴重的問題。而用戶日常在機柜室檢修時有維護、操作的要求，因此，在機柜室控制柜上為用戶保留了一臺觸摸屏(HMI)作為操作和維護的后備力量。上位機同S7-400FH通過以太網(wǎng)TCP/IP通信；機柜室的HMI同冗余S7-400FH、冗余CPU進行實時TCP/IP通信，并可在一路通信失效后無縫自動切換至另一路工作，機柜室機柜側配置了Scanlance X202-2(1個光口、4個以太網(wǎng)口)以實現(xiàn)觸摸屏；冗余CPU和上位機之間以PROFIsafe模式通信。

故障冗余型卡件的選型以FH型卡件中常用性好、IO點數(shù)容量大、性價比高的為主，如DI卡，選擇24點的F-DI卡，10點輸出的F-DO卡、8點輸入的F-AI卡和8點輸出的AO卡。

2.3 系統(tǒng)結構與網(wǎng)絡構成

搭建完成后的控制系統(tǒng)結構和網(wǎng)絡構成如圖3所示?？梢钥闯?，控制系統(tǒng)網(wǎng)絡共分為3層。

圖3 搭建完成后的控制系統(tǒng)結構和網(wǎng)絡構成

最上層為工業(yè)以太網(wǎng)Ethernet TCP/IP，通信主體有3個，配有兩塊CP443-1以太網(wǎng)卡的S7-400FH冗余CPU、裝有CP1623通信卡的WinCC上位機和HMI，3個通信主體經(jīng)過Scanlance路由器進行通信。由于DCS距離機柜室較遠，上位機與其余兩個設備的通信則通過兩地分設Scanlance經(jīng)過電光-光電轉換實現(xiàn)。

中間層為Profibus DP網(wǎng)，冗余通信，總線上PROFIsafe和Profibus節(jié)點在一個線路上共存，F(xiàn)-CPU與F卡件和普通卡件之間通過Profibus DP網(wǎng)既能實現(xiàn)PROFIsafe安全通信，又能實現(xiàn)普通工業(yè)級通信，PROFIsafe的基本通信原理如圖4所示。改進后的安全技術使用標準的Profibus總線，在同一Profibus總線上同時存在標準與故障安全型控制器，而且標準與故障安全型的I/O可以混合使用(筆者即采用此模式)，因此標準和安全部分可以有機地集成在一起，實現(xiàn)無縫工程。

最下層為現(xiàn)場控制層(Field Bus)。

圖4 PROFIsafe的基本通信原理

2.4 故障安全系統(tǒng)的編程和組態(tài)要點

故障安全系統(tǒng)的組態(tài)和編程與標準的PLC程序有非常大的不同，不管是硬件組態(tài)，還是程序結構，或者是編譯下載，都有它的特色。如果在Step7中編寫一個故障安全系統(tǒng)的新項目，可以按照如圖5所示的編程過程，分5個步驟進行。

圖5 F組態(tài)的編程過程

因F和H系統(tǒng)涉及的組態(tài)和編程內(nèi)容非常繁雜，因此以下僅從項目涉及的幾個主要方面對該過程進行簡單的分析和介紹。

2.4.1F系統(tǒng)的硬件組態(tài)

根據(jù)實際系統(tǒng)選配的硬件，按組態(tài)手冊的相關要求和步驟對F-CPU、F-SM和ET200M在Step7中逐一進行組態(tài)和設定。其中需要注意以下幾點。

F-CPU配置。如圖6所示，打開F-CPU的子菜單Protection，為使CPU包含Safety程序，需要對CPU設置安全程序的保護密碼。打開子菜單F Parameters，注意Safety程序的保留數(shù)據(jù)塊區(qū)及功能塊區(qū)等(圖7)。

圖6 F-CPU“保護”屬性設置

圖7 F-CPU“H”參數(shù)設置

卡件的硬件組態(tài)。F卡件的設定基本類同，現(xiàn)以F-DI卡為例簡要說明，在硬件組態(tài)環(huán)境中，卡件硬件選定后，雙擊其屬性，設好“Redundancy”配對的冗余卡件后，在“Parameters”一欄對F卡件相關的參數(shù)內(nèi)容進行設定(圖8)，其中“DIP switch setting(9…0)”項的內(nèi)容在完成硬件組態(tài)后，在卡件的硬件背板開關DIP開關的設定上，要和其屬性頁中的編號保持一致。

圖8 F-DI卡件屬性設置

硬件組態(tài)結果。硬件組態(tài)完成后的配置如圖9所示，其中，F(xiàn)-DI、DI、DO邏輯處理硬件在(3)、(4)機架部分，其中，圖1中標注為灰色的信號為F并冗余邏輯輸入或輸入型，實現(xiàn)對邏輯輸入、輸出的處理，部分上下卡件互為冗余模塊對，標注為非關鍵的信號不冗余處理，僅在普通模塊作為普通信號使用。對F-AI、AI、AO也按上述處理方法做同樣的定義和處理。

圖9 硬件組態(tài)完成后的配置

2.4.2程序編程組態(tài)和結構

F信號的處理。在圖表編程組態(tài)中分別建立F-DI、F-DO、F-AI共3種類型的處理F-SAFE功能的CFC程序，同時，還需建立處理普通功能的程序(如AO、Logic、Fuhetiaojie)和用戶處理H(冗余)功能的CFC程序。圖9中名稱中帶“@”的為經(jīng)過安全程序編譯后自動生成的安全程序，設計人員可以忽略。

F-Safe功能的CFC程序如圖10所示，在安全程序中，通過專用安全模塊主要實現(xiàn)了對所有在圖1中定義的背景色“灰色”、標示為“冗余”信號的安全處理。

圖10 F-Safe功能的CFC程序

標準程序。在以往項目編程中使用的關于邏輯處理和負荷運算處理的標準功能塊，在F-CPU中是可以和安全程序共存的，只要利用得當，完全沒有必要單獨再去重新編寫該部分的程序。FC61(邏輯)、FC62(報警)和FC63(負荷計算)為以往項目中成熟使用過的標準功能塊程序，在圖表(CHART)組態(tài)編程環(huán)境中在不同的“Logic”和“Fuhetiaojie”CFC內(nèi)組態(tài)編程和調用，調用中斷均是OB34，如圖11所示。

圖11 用戶程序的中斷處理

程序結構。F程序只能由中斷來執(zhí)行，通常定義OB35作為F程序的中斷(圖6中已有說明)，中斷時長設為100ms，該中斷專門用來執(zhí)行F-Safe程序。定義OB34作為邏輯處理和負荷調節(jié)運算的普通標準塊的處理中斷，中斷時間為200ms。在F系統(tǒng)中，目前還沒有專用的F-AO硬件塊作為用戶F的輸出，因此，為了進一步保證模擬量輸出卡件AO響應的快速性，將AO單獨放在OB33中斷中予以處理，其中斷時間設為50ms，具體如圖12所示。

圖12 用戶程序的中斷處理2

2.4.3I/O信號在程序中的處理

對于F信號，其基本的處理過程和原理如圖13所示。信號經(jīng)現(xiàn)場測量或控制元件后，經(jīng)輸入電路、處理器和輸出電路，最后到達執(zhí)行器部分。

圖13 F信號的基本處理過程和原理

由于項目伊始并未對F-Pro部分做明確的要求和相關的分析、定義，因此，在儀表組態(tài)和編程過程中，程序還是延用了標準程序作為核心處理邏輯和運算，并未單獨實施F邏輯的程序編寫，因此，F(xiàn)程序塊處理完的信號和標準信號之間的傳遞，均需取用F轉換后的普通信號或經(jīng)專用信號模塊轉換為F信號后輸出。

2.4.4信號鈍化和恢復處理

F系統(tǒng)中，信號的鈍化和解鈍也是一個重要的部分。對于F系統(tǒng)，如果一個F-I/O檢測到故障或錯誤，它會切換受影響的通道或所有的通道到安全狀態(tài)，即組件的通道被鈍化，F(xiàn)-I/O將報告檢測到的錯誤傳給F驅動塊。鈍化意味著系統(tǒng)輸出通道輸出是斷開的，一個被鈍化的數(shù)字量輸出通道的F驅動模塊，會輸出一個帶有質量代碼(QUALITY)16#48的替代值，同時，將結果輸出置1，即QBAD=1。典型的F-DO卡件驅動功能塊如圖14所示。

圖14 典型的F-DO卡件驅動功能塊

當信號被鈍化后，系統(tǒng)解鈍有一個重要的原則。對于F系統(tǒng)，解鈍信號的來源一定不能從F卡件引入，原因在于，一旦該F卡件發(fā)生鈍化，若此時其他卡件或卡件通道發(fā)生鈍化，系統(tǒng)將不能發(fā)出解鈍請求信號，因為該信號已經(jīng)在故障的F卡件中失效了。此時，可將普通卡件的一個DI點作為解鈍指令的總輸入，具體如圖15所示，其經(jīng)安全功能塊處理后的結果，分別流向各安全功能模塊，以便在鈍化發(fā)生后或在必要的儀表維護處理后，操作人員能夠順利地進行解鈍處理，方便通道或卡件順利投入運行。

圖15 系統(tǒng)解鈍處理

3 結束語

將Siemens S7-400FH故障、容錯、冗余系統(tǒng)成功應用于熱媒爐項目，相較于以往由普通PLC組成的熱媒爐控制系統(tǒng)，在可用性、可靠性和安全性上均有了較大的提升。該控制系統(tǒng)較為復雜，項目開發(fā)使用過程中尋求了Siemens資深技術人員的協(xié)助，該項目投運至今，各項指標均符合設計要求，且控制系統(tǒng)維護工作量小，除正常的檢修停車外，無意外停車。

但該系統(tǒng)還不算一個完全意義上的F系統(tǒng)，只是在其框架下實現(xiàn)了F系統(tǒng)在熱媒爐控制系統(tǒng)中的一個初步應用，若要使該系統(tǒng)達到一個具有完整意義的F和SIL 2以上的FH系統(tǒng)功能，今后還需對整個石油化工裝置、全員安全生產(chǎn)要求認識和認可水平進行大幅提升，以及在項目前期做出大量、細致、充分的分析及審定等工作。本項目雖是FH系統(tǒng)在熱媒爐控制系統(tǒng)應用方面的一個初步嘗試，卻也在導熱油爐行業(yè)為導熱油爐控制系統(tǒng)搭建了一個較高標準的基礎和應用平臺，具有示范作用和一定的推廣價值。

[1] 史學玲.安全相關系統(tǒng)的評估與認證[J].儀器儀表標準化與計量,2008,(6):18～20.

[2] IEC61508,Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems[S]. Geneva:International Electrotechnical Commission,2010.

[3] 王海峰,張仲義.雙重冗余控制系統(tǒng)故障安全性的研究[J].中國安全科學學報,2002,12(3):31～34.