1. 故障安全控制系統(tǒng)
隨著安全標準的推出以及企業(yè)對安全系統(tǒng)重視度的不斷升級,2003年3月,中石化股份公司九江分公司對I套催化原設計在DCS中的聯(lián)鎖系統(tǒng)進行了改造,根據(jù)裝置高溫高壓高轉(zhuǎn)速的特點和安全水平必須達到IEC(國際電工組織)提出的SIL3級標準,選取了美國Honeywell公司的FAIL SAFE CONTROL(FSC)系統(tǒng),由它執(zhí)行安全聯(lián)鎖系統(tǒng)的控制部分代替原來在DCS中執(zhí)行的聯(lián)鎖內(nèi)容,按照規(guī)范將安全聯(lián)鎖系統(tǒng)獨立出來,以確保人身和設備的安全。該系統(tǒng)硬件基于雙重化結(jié)構,軟硬件均通過IEC的IEC61508認證。
故障安全控制系統(tǒng)(FSC)即安全管理系統(tǒng)所制造和陳述的安全系統(tǒng),此系統(tǒng)已經(jīng)通過第二方的評定,包括(德國TuV)安全方面,(挪威Sintef)可靠性方面,及有關歐共體電磁干擾(EMC)方面指南(荷蘭Gastec)。FSC全部組態(tài)矩陣如圖1所示:
圖1 FSC組態(tài)矩陣圖
水平軸給出了根據(jù)德國安全標準DIN VI9250最高等級為AK6的安全性等級,垂直軸定義FSC系統(tǒng)的可應用性是通過部分或全部冗余來實現(xiàn)的(AK1-6),優(yōu)化可應用性是通過全部冗余來實現(xiàn)的(AK1-4,AK1-5)。
2. 故障安全控制系統(tǒng)配置
2.1 硬件組成I套催化故障安全控制系統(tǒng)硬件主要由PC機和FSC機柜組成,核心部分是FSC。系統(tǒng)配置如圖2所示。
圖2 系統(tǒng)配置圖
PC機:選用1臺DELL工作站作為該裝置的工程師站、SOE(Sequence of Event)站兼操作站,采用多串行口卡與FSC機柜中的COM卡件進行通訊,工作站作為工程師站可以進行數(shù)據(jù)庫修改、組態(tài)、功能邏輯圖修改、設置參數(shù)及系統(tǒng)維護和操作功能;作為SOE站可以查詢實時操作記錄和歷史記錄、做檢索和報表;作為操作站可以通過高速的SOE和動態(tài)流程畫面進行實時現(xiàn)場監(jiān)測、存儲、打印。
FSC機柜:采用的是中央控制元件(Central Part)全冗余,I/O(16路數(shù)字量輸入卡件10101/2/1、8路數(shù)字量輸出卡件10201/2/1、16路數(shù)字量輸出卡件10209/2/1、16路模擬量輸出卡件10105/2/1)模件部分冗余的系統(tǒng)結(jié)構組成該安全聯(lián)鎖系統(tǒng)。CP是FSC系統(tǒng)的核心部分,每個Central Part(簡稱CP)中都有一個VBD,和一條垂直總線V-Bus,用于控制所有I/O模件,一個VBD可以控制10個I/O rack,即I/O卡籠,各I/O rack由HBD控制H-BUS通訊。控制器和重要I/O雙冗余的結(jié)構,可以保證當一個CP或I/O卡故障時,另一個CP或I/O繼續(xù)工作,從而保證系統(tǒng)的連續(xù)操作。FSC系統(tǒng)結(jié)構如圖3所示。
硬件配置:采用FSC101R系統(tǒng),系統(tǒng)主要硬件配置及功能見表1。
表1 系統(tǒng)主要硬件配置及功能
根據(jù)輸入/輸出點的分配情況和冗余配置原則,所有聯(lián)鎖保護系統(tǒng)中的所有狀態(tài)輸入點(DI)通過FTA-T-21端子板進入冗余的DI模件;4~20mA模擬信號(AI)經(jīng)過齊納式安全柵后進入FTA-T-14端子板,再進入冗余的AI卡;雙冗余的DO模件通過FTA-T-02端子板后輸出到現(xiàn)場各閥門,或輸出到中間繼電器到現(xiàn)場電磁閥、泵及電氣;單冗余的DO模件通過FTA-T-03端子板后輸出到輔助操作臺報警指示燈,整套系統(tǒng)的I/O點數(shù)如表2所示:
表2 I催FSC聯(lián)鎖輸入/輸出點的分配情況
2.2 硬件通訊設置I套催化故障安全系統(tǒng)PC機與FSC機柜采用串行口通信方式,上位機通訊硬件為多串口卡(2-PORT RS232/422/485 PCI HOST ADAPTER),串口端采用RS485接口、帶屏蔽雙絞通信線以提高干擾、帶負載能力及增加通信距離,下位機兩個CP中央控制單元共4塊相互冗余的COM模件,每一塊COM模件提供2個接口,負責完成兩個冗余CP之間、FSC與PC機之間、FSC與本特利3500之間的通訊。
FSC系統(tǒng)通訊設置如表3所示:
表3 FSC系統(tǒng)通訊設置
PC機通訊口設置如表4所示:
表4 PC通訊設置
兩個CP之間的通訊在系統(tǒng)集成時固定為兩個CP中的COM1模件的A口,用戶不得修改;
系統(tǒng)中的一臺PC機,既擔任工程師站、SOE站又擔任操作員站,工程師站和SOE站由Honeywell公司提供的FSC Navigator 和FSC SOE軟件完成組態(tài)、維護、實時歷史記錄,兩軟件與FSC通訊連接:PC機COM4口與FSC的兩個CP的COM1(2塊COM模件中的第1塊)模件的B口相連,組態(tài)定義其采用Development SYS協(xié)議RS485接口完成通訊連接;
操作員站由EMERSON公司提供的Intellution IFIX2.6軟件組態(tài)完成動態(tài)聯(lián)鎖畫面、報警畫面,IFIX與FSC的通訊連接:PC機的COM3口和FSC兩個CP中的COM2模件的A口相連,組態(tài)定義采用Modbus 協(xié)議RS485接口完成通訊連接。
FSC與本特利3500之間的通訊由FSC機柜中兩個CP中COM2模件的B口與本特利通訊網(wǎng)關模塊相連,組態(tài)定義采用本特利內(nèi)華達開發(fā)的協(xié)議RS232接口完成通訊連接。
2.3 軟件實現(xiàn)系統(tǒng)組態(tài)軟件由上位機組態(tài)監(jiān)控軟件Intellution IFIX2.6和下位機FSC編程軟件包組成,均運行在Windows2000環(huán)境下,使用方便靈活。
Intellution IFIX2.6有著豐富的流程圖功能,組態(tài)時將所有FLD圖中的通訊點輸入到IFIX數(shù)據(jù)庫中,通過MODBUS協(xié)議從FSC機柜采集各信號點的實時狀態(tài),從而完成主機自保、裝置自保、備機小機、氣壓機和報警顯示等5幅動態(tài)聯(lián)鎖畫面的顯示,方便工藝人員了解當前聯(lián)鎖情況。
FSC軟件包由FSC Navigator 和FSC SOE組成。
FSC Navigator主要進行系統(tǒng)組態(tài)、邏輯圖設計和系統(tǒng)維護工作:組態(tài)FSC參數(shù)及其屬性定義、應用FLDs建立邏輯控制程序、將應用程序編譯成FSC處理器可識別的代碼,并檢測在組態(tài)和設計中產(chǎn)生的錯誤;診斷系統(tǒng),監(jiān)視系統(tǒng)狀態(tài);強制FSC參數(shù)以切斷控制回路,以便進行程序測試或現(xiàn)場設備的維護。
FSC SOE完成系統(tǒng)的事件順序記錄功能,I/O卡件通過HBUS和VBUS給中央控制單元提供事件順序能力,在每次掃描期間,控制單元檢查所有指定變量的狀態(tài)改變。當一個事件發(fā)生時,控制器將變量的當前狀態(tài)和時間協(xié)簽存儲在緩沖區(qū)內(nèi),以便組態(tài)提取事件順序。SOE的識別時間間隔為≤1ms,SOE的事件記錄存儲高達20萬條,可實時存貯在硬盤中,并可通過打印機打印出來。
3.邏輯控制功能故障安全控制系統(tǒng)的應用程序通過功能邏輯圖來實現(xiàn),功能邏輯圖簡稱FLD,系統(tǒng)提供大量的邏輯、算術、計時、計數(shù)、PID等運算模塊,用戶可根據(jù)設計需要,選擇相應的I/O符號,直接使用與、或、非的邏輯圖的方式實現(xiàn)用戶的邏輯功能,此外,用戶還可以用系統(tǒng)自帶的Function Block模塊定義需要的功能塊,以子程序形式在其他程序中調(diào)用,實現(xiàn)較為復雜的邏輯控制。I催FSC系統(tǒng)中定義了RS觸發(fā)器、溫壓補償、延時計數(shù)器、三取二等邏輯功能塊,多次在其他的子邏輯中得到調(diào)用。
I催組態(tài)邏輯圖共38張,主要完成主風機的開停車聯(lián)鎖及機組部份的聯(lián)鎖與控制,各子邏輯包括:蠟油自保、兩器差壓自保、總進料閥自保、外取熱器自保、小風機自保、備機自保、主風低流量自保、逆流自保、主機停機自保、主機啟動自保、FSC系統(tǒng)報警、氣壓機啟動、氣壓機自保等13部分。邏輯輸入為開關量和模擬量,重要的信號還經(jīng)過“三取二”或“二取二”表決。“安全運行”和“停車”邏輯設計為故障安全型,即系統(tǒng)正常帶電、事故失電。各機組自保之間、機組自保與裝置自保之間互有聯(lián)系,構成既獨立又關聯(lián)的自保邏輯系統(tǒng)。
以氣壓機自保為例的FSC系統(tǒng)功能邏輯圖如圖4所示:
圖4 氣壓機自保功能邏輯圖
圖4中,左邊為邏輯輸入,中間為邏輯部分,右邊邏輯輸出。PDT4002潤滑油壓力低低(≤0.15MPa);XT4003汽輪機位移高高(≥0.8mm);ST4002/ST4003汽輪機轉(zhuǎn)速高高(≥9044rpm);PS4001A/B/C潤滑油總管壓力低低(≤0.1MPa);XT4001A/B壓縮機位移高高(≥0.7mm);HY4001緊急停機;HY4002緊急停機復位;HY4003現(xiàn)場緊急停機;LAMP4002允許啟動至現(xiàn)場指示燈;SV451防喘振電磁閥;SV4001/SV4002氣輪機調(diào)節(jié)系統(tǒng)電磁閥;FB930是三取二功能塊;FB900是RS觸發(fā)器功能塊。組態(tài)中必須保證所有信號線都與各邏輯塊緊密連接。I/O符號為紅色,表示該I/O信號為有硬接線的信號,符號為黑色,則表示該點為通訊點,即“LOC”為“COM”的軟點。
4. 安全聯(lián)鎖系統(tǒng)應用體會1) 當模件出現(xiàn)故障需要更換時,應注意有些模件可以帶電插拔,而有些則是嚴禁帶電插拔的,在條件允許的情況下,最好都先斷電再插拔,以減少意外故障的發(fā)生。
2) 當DBM模件上的信息顯示燈閃爍時,表明系統(tǒng)出現(xiàn)了故障,這時在SOE的畫面中也將看到出現(xiàn)紅色報警信息,并伴有聲音報警。撥動DBM上的按鈕可以查看到故障模件所在的位置及故障類型等故障信息,上位機可通過Extended Diagnostics進入在線診斷畫面,系統(tǒng)將顯示故障信息及錯誤代碼。
3) 裝置系統(tǒng)采用1002D系統(tǒng),由2套獨立并行運行系統(tǒng)組成,當系統(tǒng)自診斷發(fā)現(xiàn)1個模塊發(fā)生故障時,CPU將強制其失效,確保其輸出的正確性。安全輸出模塊中的SMOD功能(輔助去磁方法)確保在2套系統(tǒng)同時故障或電源故障時系統(tǒng)輸出1個故障安全信號,1個輸出電路實際上通過4個輸出<
