越南高岸電廠2×50MW工程采用德國ALSTOM公司制造的230t/h循環(huán)硫化床鍋爐,F(xiàn)SSS硬件采用德國HIMA公司生產(chǎn)的安全可編程邏輯控制器(PES)H51q系統(tǒng)。與普通類型的PLC或DCS來實現(xiàn)FSSS功能不同的是,本工程專門為安全應用場合設(shè)計,具有完善的故障檢測功能并取得權(quán)威機構(gòu)安全認證的HIMA安全控制系統(tǒng)作為FSSS的控制裝置,使保護系統(tǒng)具有更高的安全性、可靠性和可用性。
安全型控制系統(tǒng)
根據(jù)IEC標準,安全型系統(tǒng)(safety-related system)適用于所有工業(yè)系統(tǒng)。通常所說的安全控制系統(tǒng)就是指儀表和控制設(shè)備構(gòu)成的保護系統(tǒng),主要包括現(xiàn)場檢測儀表、控制邏輯單元和現(xiàn)場執(zhí)行裝置3部分,其中控制邏輯單元是整個控制系統(tǒng)的核心。在安全控制系統(tǒng)的設(shè)計中,為了定量分析各種生產(chǎn)裝置的安全性,IEC61508定義了4個安全度等級,每個等級包括2個定量的安全要求,即系統(tǒng)連續(xù)操作每小時故障概率(PFH)和按要求模式執(zhí)行指定功能的故障概率(PFD)。安全控制系統(tǒng)的設(shè)計以及系統(tǒng)結(jié)構(gòu)既要滿足工業(yè)過程的安全度要求,又要保證可靠性和可用性,因此,必須對具體的工業(yè)過程進行安全評價。我國目前還沒有具體的安全等級評價和設(shè)計標準,而目前國際上通用的標準有德國的DIN19250、美國的ISA S84.01和IEC61508;權(quán)威的認證機構(gòu)包括德國的TUV等 。
電廠的爐膛安全保護系統(tǒng)的安全度等級一般被定義為SIL3(IEC61508),此等級相當DIN19250標準的RC6級。
HIMA安全控制系統(tǒng)的特點
HIMA H51q系列,是第三代經(jīng)生產(chǎn)實踐驗證的HIMA PES系統(tǒng)。它能夠利用個人計算機進行靈活的用戶組態(tài)、監(jiān)測和事件記錄,為生產(chǎn)控制提供最安全的控制保障。
HIMA的H51q系統(tǒng)為CPU四重化結(jié)構(gòu)(QMR-Quadruple Modular Redundant),即系統(tǒng)的中央控制單元共有四個微處理器,每二個微處理器集成在一塊CU模件上,再由兩塊同樣的CU模件構(gòu)成中央控制單元。一塊CU 模件即構(gòu)成1oo2D結(jié)構(gòu),HIMA的1oo2D結(jié)構(gòu)產(chǎn)品滿足AK6/SIL3的安全標準。為了向用戶提供最大的可利用性,采用雙1oo2D結(jié)構(gòu),即 2oo4D結(jié)構(gòu)。在冗余結(jié)構(gòu)的情況下,高速雙重RAM接口(DPR)使兩個中央單元通倍,從而解決了無故障修復時間限制的難題。其容錯功能使系統(tǒng)中的任何一個部件發(fā)生故障,均不影響系統(tǒng)的正常運行。與傳統(tǒng)的三重化結(jié)構(gòu)相比,它的容錯功能更加完善。
HIMA H51q系統(tǒng)支持RS-485 Modbus RTU,Profibus DP,以太網(wǎng)OPC以及Modbus TCP等各種通信方式,可以與各主流DCS廠家實現(xiàn)無縫連接。
安全控制系統(tǒng)在FSSS上的應用
越南高岸電廠230t/h循環(huán)流化床鍋爐的FSSS由燃燒器管理系統(tǒng)和爐膛安全保護系統(tǒng)2部分組成,前者主要實現(xiàn)鍋爐啟動前的吹掃、燃油泄漏試驗,建立點火條件和2套啟動燃燒器、2套床槍的順序投入與切除;后者主要實現(xiàn)連續(xù)監(jiān)視爐膛壓力、汽包水位、流化風壓力、風機狀態(tài)、床溫等重要參數(shù)。
FSSS的硬件設(shè)備主要由就地檢測儀表、就地控制操作箱、控制設(shè)備以及PLC控制系統(tǒng)組成??刂葡到y(tǒng)采用德國HIMA公司的H51q系統(tǒng),并與單元機組的過程控制系統(tǒng)DCS完成通信,在DCS操作站上完成整個系統(tǒng)的監(jiān)視和控制。H51q的電源模件和控制器模件都是冗余配置,所有的I/O模件都按照信號是否和安全相關(guān)的原則,被分為安全型和普通型。由于安全I/O模件的價格較昂貴,采用這種方式,在一定程度上降低了整個系統(tǒng)的造價,提高了控制系統(tǒng)的經(jīng)濟性。
安全控制系統(tǒng)主要配置原則
FSSS系統(tǒng)的安全型I/O配置原則
■啟動燃燒器和床槍燃油關(guān)斷閥控制信號、已關(guān)閉狀態(tài)信號;
■啟動燃燒器和床槍霧化蒸汽閥控制信號、已關(guān)閉狀態(tài)信號;
■啟動燃燒器和床槍霧化吹掃閥控制信號、已關(guān)閉狀態(tài)信號;
■啟動燃燒器和床槍已插入信號;
■點火器點火控制信號、火檢有火狀態(tài)信號;
■點火丙烷氣關(guān)斷閥控制信號、已關(guān)閉狀態(tài)信號;
■主燃油關(guān)斷閥控制信號、已關(guān)閉狀態(tài)信號;
■燃油回油閥控制信號、已關(guān)閉狀態(tài)信號;
■主蒸汽壓力、汽包水位、床溫信號、爐膛壓力、流化風壓力、風量等;
■給煤機、石灰石給料機、一次風機、送風機和引風機分閘控制信號和已分閘狀態(tài)。
FSSS系統(tǒng)的普通型I/O配置原則
■啟動燃燒器和床槍燃油關(guān)斷閥已打開狀態(tài)信號;
■啟動燃燒器和床槍霧化蒸汽閥已打開狀態(tài)信號;
■啟動燃燒器和床槍霧化吹掃閥已打開狀態(tài)信號;
■啟動燃燒器和床槍就地控制柜就地啟動/停止信號、遠方/就地選擇狀態(tài)信號;
■啟動燃燒器和床槍伸進和回退控制信號、故障信號;
■點火器故障信號、火檢故障信號;
■點火丙烷氣關(guān)斷閥已打開狀態(tài)信號;
■主燃油關(guān)斷閥已打開狀態(tài)信號;
■燃油回油閥已打開狀態(tài)信號;
■主汽壓力、汽包水位、床溫信號、爐膛壓力、風量“多取中”后輸出到DCS信號。
FSSS系統(tǒng)配置
越南高岸項目FSSS使用的HIMA H51q型PES采用2個控制器冗余配置的方式,但與一般控制器不同的是在每一個控制器模塊中采用了2個微處理器。這種單個的控制器可達到 RC6/SIL3安全要求等級(實際上是一個控制器模塊上的loo2D結(jié)構(gòu))。這一模塊冗余配置就可實現(xiàn)系統(tǒng)全部容錯,成為2oo4D結(jié)構(gòu)?;驹砣鐖D 1所示。
在控制器中有一個“看門狗(watchdog)”電路,實際上是一個特殊的定時器,其功能是當程序運行發(fā)生故障并經(jīng)設(shè)定延時后,產(chǎn)生1個非屏蔽中斷,使系統(tǒng)復位。在2oo4D結(jié)構(gòu)中,任意控制器模塊的一個微處理器在正常存儲數(shù)據(jù)的存儲器下運行,而另一個則在數(shù)據(jù)以取反的方式存儲的存儲器下運行,它們同步運行執(zhí)行同一用戶程序,通過硬件比較器監(jiān)視比較,兩存儲器內(nèi)數(shù)據(jù)應剛好相反,否則觸發(fā)“看門狗”,但這并不影響另外一個控制器的正常運行。故障控制器經(jīng)過“看門狗”復位后使其回到安全狀態(tài),可通過DPR接受正常運行控制器的全部運行參數(shù)和中間變量,繼續(xù)同步執(zhí)行同一用戶程序。這種2oo4 D結(jié)構(gòu)保證了系統(tǒng)的可靠性,同時也具有很高的可用性。
watchdog信號不僅可以實現(xiàn)控制器故障時的切換,而且watchdog信號還在主機架的背板輸出并連接到其他I/O機架,使每個機架內(nèi)的輸出模件都可以引入“看門狗”計時器信號,當CPU 內(nèi)部故障時令所有輸出模件各通道切換到關(guān)狀態(tài),與安全相關(guān)的工藝設(shè)備被快速關(guān)斷,保證了系統(tǒng)的安全。watchdog信號的存在以及被引入到每一個I/O 機架這一形式是HIMA安全控制系統(tǒng)與普通PLC的重要區(qū)別之一。
HIMA 的安全控制系統(tǒng)與普通PLC相比,整個控制系統(tǒng)的電源是由3塊安裝在主機架上的電源模件(第3塊電源模件作為后備)經(jīng)背板電纜把各個從機架連接起來統(tǒng)一供電的,進一步提高了電源的可靠性。HIMA系統(tǒng)在每個從機架上都設(shè)置了4塊用于提供開關(guān)量輸入模件查詢電壓的電源分配模件,而對于普通PLC來說,開關(guān)量模件的查詢電壓是通過外部配電提供的,不屬于PLC的一部分。由此可見HIMA安全控制系統(tǒng)具有更高的電源可靠性。
安全控制系統(tǒng)的軟件操作系統(tǒng)都是以嵌入的方式直接集成到控制器中。在運行過程中,操作系統(tǒng)除了以循環(huán)掃描的形式來處理用戶程序外,還通過監(jiān)視程序的代碼版本號、運行版本號、數(shù)據(jù)版本號、區(qū)域代碼號的更改來保證程序的安全性。H51q系統(tǒng)的編程軟件是ELOP—II,用戶程序的創(chuàng)建和修改必須按照綁定的IEC61508、DIN標準來執(zhí)行,同時軟件中還集成了源代碼比較器、目標代碼比較器和經(jīng)過認證的編譯器。這些工具在創(chuàng)建、下載和修改用戶程序過程中分別對源代碼和目標代碼進行測試并標識出來。只有經(jīng)過測試的應用程序才允許被下載到控制器中。
[b]安全控制系統(tǒng)主要配置原則
保證安全控制系統(tǒng)的獨立性[/b]
根據(jù)NFPA85的要求,F(xiàn)SSS應該具有獨立的邏輯、I/O 和電源,并且在功能和邏輯上應與其他控制系統(tǒng)分開。為了保證這一獨立性,安全系統(tǒng)應從以下幾個方面來考慮:
■安全控制系統(tǒng)應獨立于DCS。DCS僅僅通過少量硬接線和通信等方式與PES無縫連接,在其操作站上實現(xiàn)FSSS的監(jiān)視和操作。
■安全控制系統(tǒng)采用獨立的總電源,直接來自電氣UPS和保安電源。同時,與FSSS相關(guān)的現(xiàn)場檢測儀表和電磁閥的電源也應直接由控制系統(tǒng)內(nèi)的配電裝置提供。
■現(xiàn)場信號直接來自就地一次儀表,用于保護的重要信號應該單獨設(shè)置。
冗余配置與安全相關(guān)的就地儀表
控制邏輯單元雖然是整個安全儀表系統(tǒng)的核心,但安全儀表系統(tǒng)還包括現(xiàn)場檢測儀表和現(xiàn)場執(zhí)行機構(gòu)。在IEC61508標準中,安全儀表系統(tǒng)3個部分的典型故障幾率,控制邏輯單元為l5%,現(xiàn)場檢測儀表為35%,執(zhí)行機構(gòu)為50%,由此可見保證現(xiàn)場儀表的可靠性是十分重要的。
充分考慮系統(tǒng)的“靜態(tài)”特性
能自動調(diào)節(jié)回路不接入與安全保護相關(guān)的控制系統(tǒng)中,以保證裝置能夠“靜態(tài)”監(jiān)視生產(chǎn)過程,一旦有造成跳閘的可能,控制系統(tǒng)能馬上采取措施使工藝過程處于安全狀態(tài)。
采用“故障-安全(fail-safe)”原則
為了在系統(tǒng)設(shè)計中體現(xiàn)出這一原則,邏輯組態(tài)應采用“正邏輯”,同時與安全相關(guān)的輸出通道和就地執(zhí)行機構(gòu)的電磁閥在正常工況下應處于帶電狀態(tài),保證安全保護系統(tǒng)出現(xiàn)故障或滿足跳閘條件時,使工藝過程處于安全狀態(tài)。
明確與普通PLC的區(qū)別
在電廠的應用中通常采用雙機熱備的“冗余”PLC控制器用以提高系統(tǒng)的可靠性,但這種方式所起的作用僅僅是“熱備用”而不是“冗余”。典型的冗余系統(tǒng)必須保證2個控制器同步運行,而“熱備用”通常不是同步的,并且需要用戶編寫大量程序來實現(xiàn)這種“備用”功能。
這種“熱備用”只提高了系統(tǒng)的可用性,并沒有從根本上提升可靠性。
結(jié)語
HIMA的安全控制系統(tǒng)系統(tǒng)是根據(jù)相應安全標準研制開發(fā)的專門用于安全保護系統(tǒng)的控制設(shè)備,具有完善的測試手段,當檢測到系統(tǒng)故障尤其是危險故障時能使系統(tǒng)回到安全狀態(tài),從而最大限度地保證了系統(tǒng)的可靠性和可用性。
在目前大型火力發(fā)電機組的設(shè)計中,往往都采用DCS來完成FSSS和ETS功能。雖然這種一體化的方式有著接口簡單、減少備品備件品種、降低維修費用和節(jié)省總投資等優(yōu)越性,但那些與安全相關(guān)的系統(tǒng)和功能由普通的DCS控制器來實現(xiàn),顯然與越來越高的電廠運行可靠性和安全性的要求不相符。所以采用符合國際標準的安全控制系統(tǒng)來實現(xiàn)電廠的保護功能將有力地保證電廠設(shè)備和人身安全,進一步提高電廠的可用率和競爭力。