1. 故障安全控制系统
随着安全标准的推出以及企业对安全系统重视度的不断升级,2003年3月,中石化股份公司九江分公司对I套催化原设计在DCS中的联锁系统进行了改造,根据装置高温高压高转速的特点和安全水平必须达到IEC(国际电工组织)提出的SIL3级标准,选取了美国Honeywell公司的FAIL SAFE CONTROL(FSC)系统,由它执行安全联锁系统的控制部分代替原来在DCS中执行的联锁内容,按照规范将安全联锁系统独立出来,以确保人身和设备的安全。该系统硬件基于双重化结构,软硬件均通过IEC的IEC61508认证。
故障安全控制系统(FSC)即安全管理系统所制造和陈述的安全系统,此系统已经通过第二方的评定,包括(德国TuV)安全方面,(挪威Sintef)可靠性方面,及有关欧共体电磁干扰(EMC)方面指南(荷兰Gastec)。FSC全部组态矩阵如图1所示:
图1 FSC组态矩阵图
水平轴给出了根据德国安全标准DIN VI9250最高等级为AK6的安全性等级,垂直轴定义FSC系统的可应用性是通过部分或全部冗余来实现的(AK1-6),优化可应用性是通过全部冗余来实现的(AK1-4,AK1-5)。
2. 故障安全控制系统配置
2.1 硬件组成
I套催化故障安全控制系统硬件主要由PC机和FSC机柜组成,核心部分是FSC。系统配置如图2所示。
图2 系统配置图
PC机:选用1台DELL工作站作为该装置的工程师站、SOE(Sequence of Event)站兼操作站,采用多串行口卡与FSC机柜中的COM卡件进行通讯,工作站作为工程师站可以进行数据库修改、组态、功能逻辑图修改、设置参数及系统维护和操作功能;作为SOE站可以查询实时操作记录和历史记录、做检索和报表;作为操作站可以通过高速的SOE和动态流程画面进行实时现场监测、存储、打印。
FSC机柜:采用的是中央控制元件(Central Part)全冗余,I/O(16路数字量输入卡件10101/2/1、8路数字量输出卡件10201/2/1、16路数字量输出卡件10209/2/1、16路模拟量输出卡件10105/2/1)模件部分冗余的系统结构组成该安全联锁系统。CP是FSC系统的核心部分,每个Central Part(简称CP)中都有一个VBD,和一条垂直总线V-Bus,用于控制所有I/O模件,一个VBD可以控制10个I/O rack,即I/O卡笼,各I/O rack由HBD控制H-BUS通讯。控制器和重要I/O双冗余的结构,可以保证当一个CP或I/O卡故障时,另一个CP或I/O继续工作,从而保证系统的连续操作。FSC系统结构如图3所示。
硬件配置:采用FSC101R系统,系统主要硬件配置及功能见表1。
表1 系统主要硬件配置及功能
根据输入/输出点的分配情况和冗余配置原则,所有联锁保护系统中的所有状态输入点(DI)通过FTA-T-21端子板进入冗余的DI模件;4~20mA模拟信号(AI)经过齐纳式安全栅后进入FTA-T-14端子板,再进入冗余的AI卡;双冗余的DO模件通过FTA-T-02端子板后输出到现场各阀门,或输出到中间继电器到现场电磁阀、泵及电气;单冗余的DO模件通过FTA-T-03端子板后输出到辅助操作台报警指示灯,整套系统的I/O点数如表2所示:
表2 I催FSC联锁输入/输出点的分配情况
2.2 硬件通讯设置
I套催化故障安全系统PC机与FSC机柜采用串行口通信方式,上位机通讯硬件为多串口卡(2-PORT RS232/422/485 PCI HOST ADAPTER),串口端采用RS485接口、带屏蔽双绞通信线以提高干扰、带负载能力及增加通信距离,下位机两个CP中央控制单元共4块相互冗余的COM模件,每一块COM模件提供2个接口,负责完成两个冗余CP之间、FSC与PC机之间、FSC与本特利3500之间的通讯。
FSC系统通讯设置如表3所示:
表3 FSC系统通讯设置
PC机通讯口设置如表4所示:
表4 PC通讯设置
两个CP之间的通讯在系统集成时固定为两个CP中的COM1模件的A口,用户不得修改;
系统中的一台PC机,既担任工程师站、SOE站又担任操作员站,工程师站和SOE站由Honeywell公司提供的FSC Navigator 和FSC SOE软件完成组态、维护、实时历史记录,两软件与FSC通讯连接:PC机COM4口与FSC的两个CP的COM1(2块COM模件中的第1块)模件的B口相连,组态定义其采用Development SYS协议RS485接口完成通讯连接;
操作员站由EMERSON公司提供的Intellution IFIX2.6软件组态完成动态联锁画面、报警画面,IFIX与FSC的通讯连接:PC机的COM3口和FSC两个CP中的COM2模件的A口相连,组态定义采用Modbus 协议RS485接口完成通讯连接。
FSC与本特利3500之间的通讯由FSC机柜中两个CP中COM2模件的B口与本特利通讯网关模块相连,组态定义采用本特利内华达开发的协议RS232接口完成通讯连接。
2.3 软件实现
系统组态软件由上位机组态监控软件Intellution IFIX2.6和下位机FSC编程软件包组成,均运行在Windows2000环境下,使用方便灵活。
Intellution IFIX2.6有着丰富的流程图功能,组态时将所有FLD图中的通讯点输入到IFIX数据库中,通过MODBUS协议从FSC机柜采集各信号点的实时状态,从而完成主机自保、装置自保、备机小机、气压机和报警显示等5幅动态联锁画面的显示,方便工艺人员了解当前联锁情况。
FSC软件包由FSC Navigator 和FSC SOE组成。
FSC Navigator主要进行系统组态、逻辑图设计和系统维护工作:组态FSC参数及其属性定义、应用FLDs建立逻辑控制程序、将应用程序编译成FSC处理器可识别的代码,并检测在组态和设计中产生的错误;诊断系统,监视系统状态;强制FSC参数以切断控制回路,以便进行程序测试或现场设备的维护。
FSC SOE完成系统的事件顺序记录功能,I/O卡件通过HBUS和VBUS给中央控制单元提供事件顺序能力,在每次扫描期间,控制单元检查所有指定变量的状态改变。当一个事件发生时,控制器将变量的当前状态和时间协签存储在缓冲区内,以便组态提取事件顺序。SOE的识别时间间隔为≤1ms,SOE的事件记录存储高达20万条,可实时存贮在硬盘中,并可通过打印机打印出来。
3.逻辑控制功能
故障安全控制系统的应用程序通过功能逻辑图来实现,功能逻辑图简称FLD,系统提供大量的逻辑、算术、计时、计数、PID等运算模块,用户可根据设计需要,选择相应的I/O符号,直接使用与、或、非的逻辑图的方式实现用户的逻辑功能,此外,用户还可以用系统自带的Function Block模块定义需要的功能块,以子程序形式在其他程序中调用,实现较为复杂的逻辑控制。I催FSC系统中定义了RS触发器、温压补偿、延时计数器、三取二等逻辑功能块,多次在其他的子逻辑中得到调用。
I催组态逻辑图共38张,主要完成主风机的开停车联锁及机组部份的联锁与控制,各子逻辑包括:蜡油自保、两器差压自保、总进料阀自保、外取热器自保、小风机自保、备机自保、主风低流量自保、逆流自保、主机停机自保、主机启动自保、FSC系统报警、气压机启动、气压机自保等13部分。逻辑输入为开关量和模拟量,重要的信号还经过“三取二”或“二取二”表决。“安全运行”和“停车”逻辑设计为故障安全型,即系统正常带电、事故失电。各机组自保之间、机组自保与装置自保之间互有联系,构成既独立又关联的自保逻辑系统。
以气压机自保为例的FSC系统功能逻辑图如图4所示:
图4 气压机自保功能逻辑图
图4中,左边为逻辑输入,中间为逻辑部分,右边逻辑输出。PDT4002润滑油压力低低(≤0.15MPa);XT4003汽轮机位移高高(≥0.8mm);ST4002/ST4003汽轮机转速高高(≥9044rpm);PS4001A/B/C润滑油总管压力低低(≤0.1MPa);XT4001A/B压缩机位移高高(≥0.7mm);HY4001紧急停机;HY4002紧急停机复位;HY4003现场紧急停机;LAMP4002允许启动至现场指示灯;SV451防喘振电磁阀;SV4001/SV4002气轮机调节系统电磁阀;FB930是三取二功能块;FB900是RS触发器功能块。组态中必须保证所有信号线都与各逻辑块紧密连接。I/O符号为红色,表示该I/O信号为有硬接线的信号,符号为黑色,则表示该点为通讯点,即“LOC”为“COM”的软点。
4. 安全联锁系统应用体会
1) 当模件出现故障需要更换时,应注意有些模件可以带电插拔,而有些则是严禁带电插拔的,在条件允许的情况下,最好都先断电再插拔,以减少意外故障的发生。
2) 当DBM模件上的信息显示灯闪烁时,表明系统出现了故障,这时在SOE的画面中也将看到出现红色报警信息,并伴有声音报警。拨动DBM上的按钮可以查看到故障模件所在的位置及故障类型等故障信息,上位机可通过Extended Diagnostics进入在线诊断画面,系统将显示故障信息及错误代码。
3) 装置系统采用1002D系统,由2套独立并行运行系统组成,当系统自诊断发现1个模块发生故障时,CPU将强制其失效,确保其输出的正确性。安全输出模块中的SMOD功能(辅助去磁方法)确保在2套系统同时故障或电源故障时系统输出1个故障安全信号,1个输出电路实际上通过4个输出<
