中國(guó)石油蘭州化學(xué)工業(yè)公司(以下簡(jiǎn)稱(chēng)蘭化公司)新投入生產(chǎn)的一套 8000t/y石油加氫樹(shù)脂裝置,由于其自身的高溫、高壓、強(qiáng)腐蝕、易爆炸等化工生產(chǎn)的特點(diǎn), 控制系統(tǒng)DCS選用了橫河CS-3000系統(tǒng),ESD選用德國(guó)HIMA公司的H51q-HRS系統(tǒng)。按照設(shè)計(jì)要求,DCS部分完成一半的工藝控制(包括單回路調(diào)節(jié)、串級(jí)調(diào)節(jié)、比值調(diào)節(jié)、分程調(diào)節(jié)和選擇調(diào)節(jié))和一般的聯(lián)鎖控制,ESD部分完成關(guān)鍵工藝流程的監(jiān)控和主要的聯(lián)鎖控制。由于ESD存在的不可操作性,為了提高系統(tǒng)的可靠度,ESD和DCS采用冗余的雙電纜遠(yuǎn)程I/O通迅。本文將主要對(duì)H5IG-HRS系統(tǒng)的工作原理以及它與CS-3000系統(tǒng)的通訊技術(shù)做一介紹。
1 DCS-ESD系統(tǒng)構(gòu)成及通訊連接
圖1 系統(tǒng)構(gòu)成及通訊連接圖
系統(tǒng)構(gòu)成及通訊連接圖如圖1所示。
2 HIMA公司的ESD系統(tǒng)
2.1 安全控制技術(shù)的要求
安全控制系統(tǒng)是專(zhuān)門(mén)用于危險(xiǎn)場(chǎng)所(如石油化工裝置)聯(lián)鎖和緊急事故停車(chē)的控制系統(tǒng)。它與用于普通工藝過(guò)程控制的DCS和PLC的本質(zhì)區(qū)別在于,其功能是在事故和故障狀態(tài)下(包括裝置事故和控制系統(tǒng)本身發(fā)生故障時(shí)),使裝置能夠安全停車(chē),避免對(duì)裝置人員的傷害和對(duì)環(huán)境造成惡劣的影響等, 因而安全控制系統(tǒng)本身必須是故障安全型(Fail to Safe)的,系統(tǒng)的硬件和軟件的可靠性都要求很高。在國(guó)際標(biāo)準(zhǔn)IEC-61508和IEC61131-3中,對(duì)安全等級(jí)及安全控制系統(tǒng)的硬/軟件要求具有詳盡的規(guī)定。TüV是目前世界上唯一的對(duì)安全控制系統(tǒng)的硬/軟件進(jìn)行認(rèn)證的機(jī)構(gòu)。
2.2 PES(可編程電子系統(tǒng))安全控制系統(tǒng)的CPU結(jié)構(gòu)
目前世界上符合IEC-61508標(biāo)準(zhǔn)并獲得TüV AK6/SIL3等級(jí)認(rèn)證的可編程安全控制系統(tǒng)有以下三種主流CPU結(jié)構(gòu):
(1) 冗余容錯(cuò)完全自診斷結(jié)構(gòu),即1oo2D結(jié)構(gòu)。其生產(chǎn)廠家主要有Honeywell-FCS系統(tǒng)。
當(dāng)?shù)谝粋€(gè)CPU被診斷出故障時(shí),該CPU被切除、另一個(gè)CPU繼續(xù)工作。當(dāng)?shù)诙€(gè)CPU在被診斷出故障時(shí),系統(tǒng)停車(chē)。該種結(jié)構(gòu)的故障修復(fù)時(shí)間限制為:AK6級(jí)時(shí)為1個(gè)小時(shí),AK5級(jí)時(shí)為72個(gè)小時(shí)。即當(dāng)用于AK6級(jí)時(shí),第一個(gè)CPU被診斷出故障一個(gè)小時(shí)內(nèi)必須進(jìn)行修復(fù),即更換CPU,否則系統(tǒng)會(huì)在一個(gè)小時(shí)內(nèi)自動(dòng)停車(chē)以保證故障安全。
(2) 三重化表決部分自診斷結(jié)構(gòu),即2oo3D結(jié)構(gòu)(TMR)。其生產(chǎn)廠家主要有 Triconex系統(tǒng)。
采用三取二表決方式,即三個(gè)CPU中若一個(gè)運(yùn)算結(jié)果與其它兩個(gè)不同,即表示該CPU故障,然后進(jìn)行切除,其它兩個(gè)繼續(xù)工作。當(dāng)其它兩個(gè)CPU運(yùn)算結(jié)果再有不同時(shí),則無(wú)法表決出哪一個(gè)正確,系統(tǒng)停車(chē)。該種結(jié)構(gòu)的故障修復(fù)時(shí)間限制為:AK6級(jí)時(shí)為1~1 500小時(shí),AK5級(jí)時(shí)為1 500小時(shí)。即當(dāng)用于AK6級(jí)時(shí),第一個(gè)CPU被診斷出故障1~1 500小時(shí)內(nèi)必須進(jìn)行修復(fù),即更換CPU,否則系統(tǒng)會(huì)在1~1 500小時(shí)自動(dòng)停車(chē)以保證故障安全。
(3) CPU四重化冗余容錯(cuò)完全自診斷,即2oo4D結(jié)構(gòu)(QMR)。其生產(chǎn)廠家主要有德國(guó)HIMA公司的H41q和H51q系統(tǒng)。
四個(gè)CPU分成二對(duì),即同時(shí)工作又相對(duì)獨(dú)立。當(dāng)其中一對(duì)CPU診斷出故障時(shí),則該對(duì)CPU切除,切換到2-0工作方式,所剩余一對(duì)CPU以1oo2D繼續(xù)工作,這對(duì)獨(dú)立的CPU仍滿足安全等級(jí)AK6/SIL3要求,當(dāng)這對(duì)CPU其中再有一個(gè)故障時(shí),系統(tǒng)停車(chē)。所以無(wú)故障修復(fù)時(shí)間限制。
2.3 HIMA的四重化結(jié)構(gòu)(QMR)產(chǎn)品H41q和H51q
H41q和H51q的CPU結(jié)構(gòu)為四重化結(jié)構(gòu)(QMR),系統(tǒng)的中央處共由四個(gè)微處理器構(gòu)成。四個(gè)處理器同時(shí)工作,每?jī)蓚€(gè)微處理器安裝在一塊CPU卡上,一塊CPU卡即構(gòu)成1oo2D結(jié)構(gòu)。圖2為QMR系統(tǒng)結(jié)構(gòu)示意圖。
圖2 QMR系統(tǒng)結(jié)構(gòu)示意圖
從圖2可以看出通道A和通道B既同時(shí)工作,又相互獨(dú)立,每一通道都滿足安全等級(jí)AK6/SIL3標(biāo)準(zhǔn)。若其中一通道故障切除后,另一通道繼續(xù)工作,由2oo4D功能轉(zhuǎn)化成1oo2D功能,安全等級(jí)仍可滿足AK6/SIL3標(biāo)準(zhǔn)。故該QMR結(jié)構(gòu)沒(méi)有故障修復(fù)時(shí)間限制。當(dāng)1oo2D結(jié)構(gòu)和2oo3結(jié)構(gòu)的一個(gè)CPU發(fā)生故障后雖可繼續(xù)工作,但因其安全性能等級(jí)下降了,已不能滿足安全控制的要求,因而要求在故障修復(fù)時(shí)間限制內(nèi)對(duì)系統(tǒng)進(jìn)行修復(fù)。若在此時(shí)間限制內(nèi)不進(jìn)行修復(fù),根據(jù)安全控制標(biāo)準(zhǔn)要求,在限制時(shí)間到達(dá)時(shí),系統(tǒng)會(huì)自動(dòng)停車(chē)。圖3為HIMA的QMR CPU功能結(jié)構(gòu)原理圖。
圖3 QMR CPU功能結(jié)構(gòu)原理圖
3 DCS-ESD通訊設(shè)置
(1) 首先在橫河CS-3000上,F(xiàn)CS0101\commDataWW目錄下組態(tài)如下:
(2) 其次,F(xiàn)CS0101\SWITCH\WBTagDef.edf目錄下組態(tài)如下:
說(shuō)明:
① %WW0001開(kāi)始寫(xiě)到ESD上對(duì)應(yīng)ESD的500~515地址,如果寫(xiě)入點(diǎn)數(shù)多余16點(diǎn)時(shí),改變SIZE的大小就可以實(shí)現(xiàn)。
② 開(kāi)始從%WW0003讀取ESD上對(duì)應(yīng)0~256個(gè)點(diǎn)時(shí),依次順序是%WW0003(0~15Bit)為0~16點(diǎn),%WW0004( 0~15Bit)為17~32點(diǎn),