对于重要生产过程的控制如长流程、重要下游用户、贵重物质、危险过程等,自动控制系统的安全可靠性极其重要。因它不仅关系到生产效率,甚至于生命和财产安全。在这方面人们不断总结经验,已达到很高水平。
我们应假定控制设备的任何环节或元件都有可能失效,并分析由此对生产带来的损害和危险,以便采取相应应对措施。例如对阀门“气开”和“气闭”的选择就是假定一旦阀门气源发生故障,阀门会自动达到一个相对安全的位置,即是一个简单例子。
一 DCS的冗余及可靠性
随着电子元器件可靠性和生产制造质量保证水平的不断提高,目前控制设备单机可靠性已达到很高程度,已能完全满足那些规模和风险不太大的过程控制要求,如大部分PLC的应用。但对于那些高危险、高价值、长流程大规模的生产过程则还认为不够。DCS通常是采用“冗余”的措施进一步提高其安全可靠性。对于那些风险集中的环节使用双份的备份以防止其一旦损坏而影响全局。DCS冗余示意图如图1。
比较简单的做法是两套设备同时工作,如一套损坏,另一套继续正常工作,以便在不停车条件下更换或维修损坏的一套。但要确定究竟是哪套损坏则需人工判断。操作站通常采用这种冗余方式。采用“冗余”提高系统可靠性的数学原理就在于多个设备同时发生故障的概率要大大小于单个设备发生故障的概率。由数学计算可得出:当双备份冗余时,系统可靠度R提高到1.67倍,而平均无故障时间MTBF则提高到1.957倍。实际上系统可靠性提高效果还不止于此,因除同时损坏(可能性极小)外,我们不会等到两套设备都损坏后再去维修。
另一种做法是一套设备工作,而另一套设备在等待中。一旦工作的一套设备损坏,另一套设备将接收不到其“健康”标志,于是工作任务便自动转移到后备设备中。CPU卡通常采用该冗余方式。显然这要比前一种做法的技术复杂。
输入卡件可用同时工作的模式,但如发生数据不一样时还应判断是哪一个损坏。输出卡件则只能采用“后备”方式。
DCS通常的冗余原则是在显示操作站、控制总线、CPU、电源及和闭环控制有关的I/O卡等风险集中、影响面大的环节考虑冗余措施,而普通采集场合的I/O则不予冗余以节省投资。显然控制系统的可靠性除DCS外,还应包括检测变送仪表和执行器在内。
ESD(紧急停车)安全自保系统因其使用目的是万一过程发生危险故障,系统即进入安全停车状态,所以对其自身可靠性的要求比一般自控系统高一等级。它通常采用多重冗余、表决机制、自检等复杂手段来实现,所以造价也昂贵。
“冗余”技术较复杂,投资因此加大,设备复杂又会带来更多可能故障根源,所以应实事求是把握适当“冗余”程度。美国某次火箭发射失败,最终确认原因正是因过于繁杂“冗余”措施造成。
但提高系统可靠性还有另一种思路,即将设备发生故障时的风险分割隔离以缩小其影响面,例如有些DCS系统将和闭环控制有关的I/O设计成单通道卡件,该卡件损坏时只影响一个回路,与该回路使用的变送器、阀门等现场仪表损坏造成的影响一样。
二 现场总线控制系统安全可靠性
现场总线是近年来发展起来的新技术,可从多角度观察和描述这一进步。例如3C(计算机、通信、控制)技术的融合发展,信息技术向现场设备的发展等。因该发展有质的飞跃,它突破了DCS的框架,难以称之为一种改进的“DCS”。新一代控制系统——现场总线控制系统出现了。但现场总线控制系统不是对DCS的否定和排斥,而是继承和超越。忽视飞跃式的技术进步和认为是对传统的全面否定都是片面不当的。
现场总线控制系统继承DCS的主要方面有:(1)操作站以上部分和DCS完全相同;(2)远程I/O和PLC设备及相关技术,对简单I/O采集和逻辑控制,它们仍是合适的选择;(3)现场仪表两线制供电和本质安全;(4)符合IEC 61131-3的组态编程方法。
现场总线控制系统在多方面继承了DCS提高系统可靠性的成功成果,如操作站、高速以太网现场总线HSE(类似于DCS的控制总线)、网桥、电源等的冗余,但它又更多使用风险隔离分散方法。这是因为它将控制功能彻底分散到现场仪表中,简化甚至取消了DCS中相对集中的控制器,图2是现场总线控制系统各层次提高系统可靠性的原理措施。请注意本文讨论现场总线控制系统的可靠性已是包括现场仪表在内的全部范围。
1. 操作站
现场总线控制系统的操作站和DCS无区别,所以其提高安全可靠性的措施也和DCS完全一样。
2. 高速以太网现场总线和网桥
因商用以太网传输速度高(100M、1000M)、技术成熟、普及面广、价格低,所以现场总线基金会在商用以太网基础上增加了用户层协议构成HSE,并成为IEC 61158标准子集之一。严格地说,商用以太网属于有“碰撞冲突”可能的不确定性网络,并不满足工业控制严格的“时间重要”性要求。但使用集线器Hub的以太网,其数据传输率在标称波特率的10%以下时,其“碰撞冲突”可忽略不计。而使用交换机Switch技术时,数据传输率可达到50%。因此以太网进入工控领域已成为一种趋势,除HSE外还有多种工控用以太网标准也在开发中。
因HSE的用途是作为H1低速现场总线的信息汇集、桥路,属于信息集中环节,通常对接口卡、Hub/Switch、网桥都采用“冗余”配置。
3. 控制回路和现场设备
因现场总线技术采用风险分散隔离方法,虽然基于现场总线的控制系统还保留常规I/O卡件,但通常在配置上不再考虑复杂常规I/O卡件冗余,特别是输出卡,所以其输出设备一定是现场总线的“电—气转换器”“阀门定位器”等,这是现场总线控制系统的特征性标志。
(1)基本控制回路
基本控制回路的功能块连接和故障自保护动作如图3所示,变送器冗余的基本控制回路功能块连接如图4所示。
基本控制回路在变送器和阀门定位器中完成,其可靠性除供电外和上位系统设备无关,仅取决于智能变送器和阀门定位器,比DCS少了控制卡件和I/O卡件两大可能故障环节。此外,现场总线还采取措施进一步提高控制可靠性,如功能块中过程参数PV、OUT等都采用“数值+品质”格式,因此现场总线智能设备随时在自诊断中,如判断PV品质为“坏”的结论,PID运算将不采用该数值,并从“自动—Auto”模式转向“手动—Man”模式。现场总线阀门定位器也可通过组态设置故障时安全状态,如“最大”、“最小”或“故障前最后状态”。过程参数“坏”可通过组态显示在操作站上。
特别要提到“输入选择功能块—ISEL”,它有多个输入端和多种功能供选择,如设置为取平均、中值、最大值、最小值等,还有一个“取第一个好值”的功能。这给传感器或变送器冗余提供了极大方便。如图5所示,两个传感器或变送器只选一个“好值”供调节使用(如锅炉汽包液位等重要参数)。这些性能在DCS中都较难实现。
现场总线现场设备的丰富信息只有通过使用、分析并出现在友好的人机界面上才能充分发挥其应有的效用。这个增值软件就是所谓设备管理系统(AMS或Asset View)。它能让仪表管理人员方便地对系统的重要部分——现场设备进行在线诊断、记录、变化比较、管理,对提高系统安全可靠性大有好处。
显然,这些优点的前提是现场总线控制系统处于正常工作,如通信异常则其他无从谈起。而查找通信异常的原因却是比查对4~20mA信号困难得多。为此有一种总线诊断软件(FBTools)可通过分析总线信号指出异常类型和大致原因。
(2)H1现场总线通信调度
一条H1现场总线上须有一台主设备负责通信调度,否则通信将无法进行。所以除主设备外(通常是接口卡等),还需另设一到几台作后备主设备(通常是变送器、阀门等)。当第一主设备故障时,后备主设备随即接替其通信调度任务。具备了该功能,只要还有总线供电,即使上位机全部损坏,也不会影响控制功能的完成。
为保证控制实时性,H1总线被设计成确定性网络。它有客户机/服务器、出版者/订户、事件通告3种通信关系。每个通信宏周期包括一个受调度通信和一个背景通信。前者完成一遍总线上所有设备间通信以实现控制策略,而后者每次完成一部分设备和操作站间的操作和监视信息交换。宏周期约几百毫秒受总线上设备多少和控制策略复杂程度决定,也就是由设计组态决定。该通信模式决不会因通信阻塞而导致控制混乱。
(3)电缆和安全栅
现场总线重要优点之一是节省了电缆,少量电缆承担了较大“责任”,于是电缆安全性可能是被人们问到最多的问题之一。IEC 61158标准规定FF-H1总线是总线型结构(而不是星形或环形)。推荐AWG18#(0.8mm2屏蔽双绞线),特征阻抗100Ω,需匹配,屏蔽层一点接地,电缆不接地,不作冗余配置(可使用其他规格电缆,但可能减少传输距离)。我们对IEC 61158标准有如下理解和建议:
电缆风险应划分为单根电缆风险和系统电缆总风险,显然减少电缆同时不可避免加大了单根电缆风险,但电缆数量减少,如电缆故障概率一定,则绝对损坏数量减少,虽然单根风险增大,但总风险至少没有增大;电缆数量减少,易考虑更好的保护措施和更易于维护。
一根H1总线上所挂设备一般为10~16台,本安为4~8台,不要把其影响范围想象得太大。另外电缆是基本不发热的“迟钝设备”,所以其故障率也相对较低。
退一步说,对于个别确实极重要的环节,可少挂设备,以牺牲节省电缆的程度来换取不致于因单根电缆风险增大而影响这些个别环节的可靠性,如图6c。将重要回路设备和次要采集设备混合搭配以减少单根电缆风险性(图6b)。
现场总线也节省安全栅,一台安全栅后可挂4台甚至8台设备构成本安系统,所以这和电缆有着完全类似的问题。抽象地讨论可能还难以澄清一些似是而非的看法,不如通过一个片段来对DCS和总线电缆、安全栅的安全性进行具体对比,图6是实现一个闭环调节回路和两点检测的电缆和安全栅配置。
通过图6a和6b、6c对比不难得出结论,现场总线既能节省电缆和安全栅,同时还有更高的电缆和安全栅“总体安全性”。