關鍵詞:控制系統(tǒng) 現(xiàn)場總線 可靠性
對于重要生產(chǎn)過程的控制如長流程����、重要下游用戶����、貴重物質(zhì)、危險過程等��,自動控制系統(tǒng)的安全可靠性極其重要����。因它不僅關系到生產(chǎn)效率����,甚至于生命和財產(chǎn)安全�。在這方面人們不斷總結(jié)經(jīng)驗,已達到很高水平�����。
我們應假定控制設備的任何環(huán)節(jié)或元件都有可能失效���,并分析由此對生產(chǎn)帶來的損害和危險,以便采取相應應對措施�����。例如對閥門“氣開”和“氣閉”的選擇就是假定一旦閥門氣源發(fā)生故障����,閥門會自動達到一個相對安全的位置,即是一個簡單例子���。
一 DCS的冗余及可靠性
隨著電子元器件可靠性和生產(chǎn)制造質(zhì)量保證水平的不斷提高���,目前控制設備單機可靠性已達到很高程度�,已能完全滿足那些規(guī)模和風險不太大的過程控制要求�����,如大部分PLC的應用���。但對于那些高危險�����、高價值��、長流程大規(guī)模的生產(chǎn)過程則還認為不夠��。DCS通常是采用“冗余”的措施進一步提高其安全可靠性��。對于那些風險集中的環(huán)節(jié)使用雙份的備份以防止其一旦損壞而影響全局�����。DCS冗余示意圖如圖1���。
比較簡單的做法是兩套設備同時工作���,如一套損壞,另一套繼續(xù)正常工作����,以便在不停車條件下更換或維修損壞的一套。但要確定究竟是哪套損壞則需人工判斷���。操作站通常采用這種冗余方式��。采用“冗余”提高系統(tǒng)可靠性的數(shù)學原理就在于多個設備同時發(fā)生故障的概率要大大小于單個設備發(fā)生故障的概率�。由數(shù)學計算可得出:當雙備份冗余時��,系統(tǒng)可靠度R提高到1.67倍��,而平均無故障時間MTBF則提高到1.957倍��。實際上系統(tǒng)可靠性提高效果還不止于此����,因除同時損壞(可能性極小)外�,我們不會等到兩套設備都損壞后再去維修。
另一種做法是一套設備工作����,而另一套設備在等待中�����。一旦工作的一套設備損壞�����,另一套設備將接收不到其“健康”標志����,于是工作任務便自動轉(zhuǎn)移到后備設備中�。CPU卡通常采用該冗余方式。顯然這要比前一種做法的技術復雜�����。
輸入卡件可用同時工作的模式�����,但如發(fā)生數(shù)據(jù)不一樣時還應判斷是哪一個損壞����。輸出卡件則只能采用“后備”方式�����。
DCS通常的冗余原則是在顯示操作站�����、控制總線�、CPU�����、電源及和閉環(huán)控制有關的I/O卡等風險集中��、影響面大的環(huán)節(jié)考慮冗余措施�,而普通采集場合的I/O則不予冗余以節(jié)省投資。顯然控制系統(tǒng)的可靠性除DCS外�����,還應包括檢測變送儀表和執(zhí)行器在內(nèi)���。
ESD(緊急停車)安全自保系統(tǒng)因其使用目的是萬一過程發(fā)生危險故障,系統(tǒng)即進入安全停車狀態(tài)�,所以對其自身可靠性的要求比一般自控系統(tǒng)高一等級���。它通常采用多重冗余、表決機制��、自檢等復雜手段來實現(xiàn)����,所以造價也昂貴。
“冗余”技術較復雜�����,投資因此加大�����,設備復雜又會帶來更多可能故障根源���,所以應實事求是把握適當“冗余”程度�����。美國某次火箭發(fā)射失敗����,最終確認原因正是因過于繁雜“冗余”措施造成。
但提高系統(tǒng)可靠性還有另一種思路���,即將設備發(fā)生故障時的風險分割隔離以縮小其影響面��,例如有些DCS系統(tǒng)將和閉環(huán)控制有關的I/O設計成單通道卡件�����,該卡件損壞時只影響一個回路�,與該回路使用的變送器����、閥門等現(xiàn)場儀表損壞造成的影響一樣。
二 現(xiàn)場總線控制系統(tǒng)安全可靠性
現(xiàn)場總線是近年來發(fā)展起來的新技術����,可從多角度觀察和描述這一進步。例如3C(計算機�、通信、控制)技術的融合發(fā)展����,信息技術向現(xiàn)場設備的發(fā)展等。因該發(fā)展有質(zhì)的飛躍��,它突破了DCS的框架��,難以稱之為一種改進的“DCS”���。新一代控制系統(tǒng)——現(xiàn)場總線控制系統(tǒng)出現(xiàn)了�。但現(xiàn)場總線控制系統(tǒng)不是對DCS的否定和排斥�����,而是繼承和超越��。忽視飛躍式的技術進步和認為是對傳統(tǒng)的全面否定都是片面不當?shù)摹?br/>現(xiàn)場總線控制系統(tǒng)繼承DCS的主要方面有:(1)操作站以上部分和DCS完全相同���;(2)遠程I/O和PLC設備及相關技術�����,對簡單I/O采集和邏輯控制���,它們?nèi)允呛线m的選擇;(3)現(xiàn)場儀表兩線制供電和本質(zhì)安全����;(4)符合IEC 61131-3的組態(tài)編程方法��。
現(xiàn)場總線控制系統(tǒng)在多方面繼承了DCS提高系統(tǒng)可靠性的成功成果����,如操作站��、高速以太網(wǎng)現(xiàn)場總線HSE(類似于DCS的控制總線)���、網(wǎng)橋���、電源等的冗余,但它又更多使用風險隔離分散方法�����。這是因為它將控制功能徹底分散到現(xiàn)場儀表中����,簡化甚至取消了DCS中相對集中的控制器,圖2是現(xiàn)場總線控制系統(tǒng)各層次提高系統(tǒng)可靠性的原理措施�����。請注意本文討論現(xiàn)場總線控制系統(tǒng)的可靠性已是包括現(xiàn)場儀表在內(nèi)的全部范圍。
1. 操作站
現(xiàn)場總線控制系統(tǒng)的操作站和DCS無區(qū)別�����,所以其提高安全可靠性的措施也和DCS完全一樣���。
2. 高速以太網(wǎng)現(xiàn)場總線和網(wǎng)橋
因商用以太網(wǎng)傳輸速度高(100M、1000M)��、技術成熟��、普及面廣����、價格低,所以現(xiàn)場總線基金會在商用以太網(wǎng)基礎上增加了用戶層協(xié)議構(gòu)成HSE�,并成為IEC 61158標準子集之一。嚴格地說�,商用以太網(wǎng)屬于有“碰撞沖突”可能的不確定性網(wǎng)絡,并不滿足工業(yè)控制嚴格的“時間重要”性要求�����。但使用集線器Hub的以太網(wǎng)����,其數(shù)據(jù)傳輸率在標稱波特率的10%以下時����,其“碰撞沖突”可忽略不計����。而使用交換機Switch技術時,數(shù)據(jù)傳輸率可達到50%�����。因此以太網(wǎng)進入工控領域已成為一種趨勢����,除HSE外還有多種工控用以太網(wǎng)標準也在開發(fā)中。
因HSE的用途是作為H1低速現(xiàn)場總線的信息匯集�����、橋路���,屬于信息集中環(huán)節(jié)�,通常對接口卡��、Hub/Switch、網(wǎng)橋都采用“冗余”配置�。
3. 控制回路和現(xiàn)場設備
因現(xiàn)場總線技術采用風險分散隔離方法,雖然基于現(xiàn)場總線的控制系統(tǒng)還保留常規(guī)I/O卡件����,但通常在配置上不再考慮復雜常規(guī)I/O卡件冗余,特別是輸出卡�,所以其輸出設備一定是現(xiàn)場總線的“電—氣轉(zhuǎn)換器”“閥門定位器”等�,這是現(xiàn)場總線控制系統(tǒng)的特征性標志。
(1)基本控制回路
基本控制回路的功能塊連接和故障自保護動作如圖3所示��,變送器冗余的基本控制回路功能塊連接如圖4所示�。
基本控制回路在變送器和閥門定位器中完成,其可靠性除供電外和上位系統(tǒng)設備無關����,僅取決于智能變送器和閥門定位器,比DCS少了控制卡件和I/O卡件兩大可能故障環(huán)節(jié)�����。此外�����,現(xiàn)場總線還采取措施進一步提高控制可靠性,如功能塊中過程參數(shù)PV��、OUT等都采用“數(shù)值+品質(zhì)”格式���,因此現(xiàn)場總線智能設備隨時在自診斷中����,如判斷PV品質(zhì)為“壞”的結(jié)論���,PID運算將不采用該數(shù)值�,并從“自動—Auto”模式轉(zhuǎn)向“手動—Man”模式?����,F(xiàn)場總線閥門定位器也可通過組態(tài)設置故障時安全狀態(tài)�����,如“最大”��、“最小”或“故障前最后狀態(tài)”��。過程參數(shù)“壞”可通過組態(tài)顯示在操作站上。
特別要提到“輸入選擇功能塊—ISEL”����,它有多個輸入端和多種功能供選擇,如設置為取平均�����、中值�����、最大值���、最小值等,還有一個“取第一個好值”的功能��。這給傳感器或變送器冗余提供了極大方便�����。如圖5所示�����,兩個傳感器或變送器只選一個“好值”供調(diào)節(jié)使用(如鍋爐汽包液位等重要參數(shù))。這些性能在DCS中都較難實現(xiàn)���。
現(xiàn)場總線現(xiàn)場設備的豐富信息只有通過使用��、分析并出現(xiàn)在友好的人機界面上才能充分發(fā)揮其應有的效用�����。這個增值軟件就是所謂設備管理系統(tǒng)(AMS或Asset View)���。它能讓儀表管理人員方便地對系統(tǒng)的重要部分——現(xiàn)場設備進行在線診斷、記錄���、變化比較����、管理�,對提高系統(tǒng)安全可靠性大有好處。
顯然���,這些優(yōu)點的前提是現(xiàn)場總線控制系統(tǒng)處于正常工作��,如通信異常則其他無從談起���。而查找通信異常的原因卻是比查對4~20mA信號困難得多�����。為此有一種總線診斷軟件(FBTools)可通過分析總線信號指出異常類型和大致原因�����。
(2)H1現(xiàn)場總線通信調(diào)度
一條H1現(xiàn)場總線上須有一臺主設備負責通信調(diào)度���,否則通信將無法進行。所以除主設備外(通常是接口卡等)����,還需另設一到幾臺作后備主設備(通常是變送器、閥門等)���。當?shù)谝恢髟O備故障時,后備主設備隨即接替其通信調(diào)度任務���。具備了該功能�����,只要還有總線供電�����,即使上位機全部損壞��,也不會影響控制功能的完成��。
為保證控制實時性����,H1總線被設計成確定性網(wǎng)絡。它有客戶機/服務器���、出版者/訂戶����、事件通告3種通信關系��。每個通信宏周期包括一個受調(diào)度通信和一個背景通信���。前者完成一遍總線上所有設備間通信以實現(xiàn)控制策略�,而后者每次完成一部分設備和操作站間的操作和監(jiān)視信息交換���。宏周期約幾百毫秒受總線上設備多少和控制策略復雜程度決定���,也就是由設計組態(tài)決定���。該通信模式?jīng)Q不會因通信阻塞而導致控制混亂。
(3)電纜和安全柵
現(xiàn)場總線重要優(yōu)點之一是節(jié)省了電纜���,少量電纜承擔了較大“責任”����,于是電纜安全性可能是被人們問到最多的問題之一�����。IEC 61158標準規(guī)定FF-H1總線是總線型結(jié)構(gòu)(而不是星形或環(huán)形)�。推薦AWG18#(0.8mm2屏蔽雙絞線),特征阻抗100Ω�����,需匹配���,屏蔽層一點接地����,電纜不接地�����,不作冗余配置(可使用其他規(guī)格電纜�,但可能減少傳輸距離)。我們對IEC 61158標準有如下理解和建議:
電纜風險應劃分為單根電纜風險和系統(tǒng)電纜總風險�����,顯然減少電纜同時不可避免加大了單根電纜風險�����,但電纜數(shù)量減少�,如電纜故障概率一定,則絕對損壞數(shù)量減少��,雖然單根風險增大����,但總風險至少沒有增大;電纜數(shù)量減少���,易考慮更好的保護措施和更易于維護����。
一根H1總線上所掛設備一般為10~16臺,本安為4~8臺�����,不要把其影響范圍想象得太大�。另外電纜是基本不發(fā)熱的“遲鈍設備”,所以其故障率也相對較低��。
退一步說����,對于個別確實極重要的環(huán)節(jié),可少掛設備�,以犧牲節(jié)省電纜的程度來換取不致于因單根電纜風險增大而影響這些個別環(huán)節(jié)的可靠性,如圖6c�。將重要回路設備和次要采集設備混合搭配以減少單根電纜風險性(圖6b)。
現(xiàn)場總線也節(jié)省安全柵��,一臺安全柵后可掛4臺甚至8臺設備構(gòu)成本安系統(tǒng)��,所以這和電纜有著完全類似的問題�����。抽象地討論可能還難以澄清一些似是而非的看法��,不如通過一個片段來對DCS和總線電纜���、安全柵的安全性進行具體對比�����,圖6是實現(xiàn)一個閉環(huán)調(diào)節(jié)回路和兩點檢測的電纜和安全柵配置����。
通過圖6a和6b���、6c對比不難得出結(jié)論����,現(xiàn)場總線既能節(jié)省電纜和安全柵����,同時還有更高的電纜和安全柵“總體安全性”。即使在單根電纜風險不增加的情況下(如圖6c中的調(diào)節(jié)回路)����,也還能比圖6a節(jié)<
