關鍵詞:控制系統 現場總線 可靠性
對于重要生產過程的控制如長流程���、重要下游用戶、貴重物質���、危險過程等,自動控制系統的安全可靠性極其重要�����。因它不僅關系到生產效率�����,甚至于生命和財產安全。在這方面人們不斷總結經驗��,已達到很高水平���。
我們應假定控制設備的任何環節或元件都有可能失效���,并分析由此對生產帶來的損害和危險,以便采取相應應對措施��。例如對閥門“氣開”和“氣閉”的選擇就是假定一旦閥門氣源發生故障���,閥門會自動達到一個相對安全的位置���,即是一個簡單例子。
一 DCS的冗余及可靠性
隨著電子元器件可靠性和生產制造質量保證水平的不斷提高�����,目前控制設備單機可靠性已達到很高程度��,已能完全滿足那些規模和風險不太大的過程控制要求�����,如大部分PLC的應用���。但對于那些高危險��、高價值���、長流程大規模的生產過程則還認為不夠。DCS通常是采用“冗余”的措施進一步提高其安全可靠性��。對于那些風險集中的環節使用雙份的備份以防止其一旦損壞而影響全局�����。DCS冗余示意圖如圖1��。
比較簡單的做法是兩套設備同時工作���,如一套損壞��,另一套繼續正常工作,以便在不停車條件下更換或維修損壞的一套�����。但要確定究竟是哪套損壞則需人工判斷。操作站通常采用這種冗余方式���。采用“冗余”提高系統可靠性的數學原理就在于多個設備同時發生故障的概率要大大小于單個設備發生故障的概率���。由數學計算可得出:當雙備份冗余時,系統可靠度R提高到1.67倍�����,而平均無故障時間MTBF則提高到1.957倍�����。實際上系統可靠性提高效果還不止于此�����,因除同時損壞(可能性極小)外���,我們不會等到兩套設備都損壞后再去維修。
另一種做法是一套設備工作�����,而另一套設備在等待中��。一旦工作的一套設備損壞�����,另一套設備將接收不到其“健康”標志�����,于是工作任務便自動轉移到后備設備中���。CPU卡通常采用該冗余方式��。顯然這要比前一種做法的技術復雜��。
輸入卡件可用同時工作的模式��,但如發生數據不一樣時還應判斷是哪一個損壞���。輸出卡件則只能采用“后備”方式。
DCS通常的冗余原則是在顯示操作站�����、控制總線��、CPU��、電源及和閉環控制有關的I/O卡等風險集中��、影響面大的環節考慮冗余措施��,而普通采集場合的I/O則不予冗余以節省投資���。顯然控制系統的可靠性除DCS外,還應包括檢測變送儀表和執行器在內���。
ESD(緊急停車)安全自保系統因其使用目的是萬一過程發生危險故障���,系統即進入安全停車狀態,所以對其自身可靠性的要求比一般自控系統高一等級���。它通常采用多重冗余���、表決機制、自檢等復雜手段來實現,所以造價也昂貴���。
“冗余”技術較復雜��,投資因此加大��,設備復雜又會帶來更多可能故障根源��,所以應實事求是把握適當“冗余”程度��。美國某次火箭發射失敗��,最終確認原因正是因過于繁雜“冗余”措施造成���。
但提高系統可靠性還有另一種思路,即將設備發生故障時的風險分割隔離以縮小其影響面���,例如有些DCS系統將和閉環控制有關的I/O設計成單通道卡件���,該卡件損壞時只影響一個回路,與該回路使用的變送器��、閥門等現場儀表損壞造成的影響一樣�����。
二 現場總線控制系統安全可靠性
現場總線是近年來發展起來的新技術,可從多角度觀察和描述這一進步�����。例如3C(計算機�����、通信�����、控制)技術的融合發展�����,信息技術向現場設備的發展等。因該發展有質的飛躍��,它突破了DCS的框架�����,難以稱之為一種改進的“DCS”。新一代控制系統——現場總線控制系統出現了���。但現場總線控制系統不是對DCS的否定和排斥��,而是繼承和超越��。忽視飛躍式的技術進步和認為是對傳統的全面否定都是片面不當的���。
現場總線控制系統繼承DCS的主要方面有:(1)操作站以上部分和DCS完全相同;(2)遠程I/O和PLC設備及相關技術���,對簡單I/O采集和邏輯控制,它們仍是合適的選擇�����;(3)現場儀表兩線制供電和本質安全�����;(4)符合IEC 61131-3的組態編程方法���。
現場總線控制系統在多方面繼承了DCS提高系統可靠性的成功成果��,如操作站�����、高速以太網現場總線HSE(類似于DCS的控制總線)�����、網橋�����、電源等的冗余�����,但它又更多使用風險隔離分散方法。這是因為它將控制功能徹底分散到現場儀表中���,簡化甚至取消了DCS中相對集中的控制器�����,圖2是現場總線控制系統各層次提高系統可靠性的原理措施��。請注意本文討論現場總線控制系統的可靠性已是包括現場儀表在內的全部范圍���。
1. 操作站
現場總線控制系統的操作站和DCS無區別���,所以其提高安全可靠性的措施也和DCS完全一樣。
2. 高速以太網現場總線和網橋
因商用以太網傳輸速度高(100M�����、1000M)���、技術成熟���、普及面廣、價格低��,所以現場總線基金會在商用以太網基礎上增加了用戶層協議構成HSE��,并成為IEC 61158標準子集之一��。嚴格地說�����,商用以太網屬于有“碰撞沖突”可能的不確定性網絡��,并不滿足工業控制嚴格的“時間重要”性要求��。但使用集線器Hub的以太網���,其數據傳輸率在標稱波特率的10%以下時,其“碰撞沖突”可忽略不計��。而使用交換機Switch技術時���,數據傳輸率可達到50%。因此以太網進入工控領域已成為一種趨勢�����,除HSE外還有多種工控用以太網標準也在開發中���。
因HSE的用途是作為H1低速現場總線的信息匯集��、橋路�����,屬于信息集中環節��,通常對接口卡��、Hub/Switch��、網橋都采用“冗余”配置�����。
3. 控制回路和現場設備
因現場總線技術采用風險分散隔離方法�����,雖然基于現場總線的控制系統還保留常規I/O卡件���,但通常在配置上不再考慮復雜常規I/O卡件冗余��,特別是輸出卡�����,所以其輸出設備一定是現場總線的“電—氣轉換器”“閥門定位器”等�����,這是現場總線控制系統的特征性標志�����。
(1)基本控制回路
基本控制回路的功能塊連接和故障自保護動作如圖3所示��,變送器冗余的基本控制回路功能塊連接如圖4所示��。
基本控制回路在變送器和閥門定位器中完成���,其可靠性除供電外和上位系統設備無關�����,僅取決于智能變送器和閥門定位器�����,比DCS少了控制卡件和I/O卡件兩大可能故障環節。此外��,現場總線還采取措施進一步提高控制可靠性���,如功能塊中過程參數PV��、OUT等都采用“數值+品質”格式�����,因此現場總線智能設備隨時在自診斷中��,如判斷PV品質為“壞”的結論�����,PID運算將不采用該數值���,并從“自動—Auto”模式轉向“手動—Man”模式。現場總線閥門定位器也可通過組態設置故障時安全狀態��,如“最大”�����、“最小”或“故障前最后狀態”�����。過程參數“壞”可通過組態顯示在操作站上。
特別要提到“輸入選擇功能塊—ISEL”�����,它有多個輸入端和多種功能供選擇���,如設置為取平均��、中值��、最大值���、最小值等,還有一個“取第一個好值”的功能��。這給傳感器或變送器冗余提供了極大方便��。如圖5所示���,兩個傳感器或變送器只選一個“好值”供調節使用(如鍋爐汽包液位等重要參數)。這些性能在DCS中都較難實現��。
現場總線現場設備的豐富信息只有通過使用��、分析并出現在友好的人機界面上才能充分發揮其應有的效用�����。這個增值軟件就是所謂設備管理系統(AMS或Asset View)���。它能讓儀表管理人員方便地對系統的重要部分——現場設備進行在線診斷��、記錄�����、變化比較���、管理,對提高系統安全可靠性大有好處��。
顯然�����,這些優點的前提是現場總線控制系統處于正常工作��,如通信異常則其他無從談起���。而查找通信異常的原因卻是比查對4~20mA信號困難得多���。為此有一種總線診斷軟件(FBTools)可通過分析總線信號指出異常類型和大致原因��。
(2)H1現場總線通信調度
一條H1現場總線上須有一臺主設備負責通信調度�����,否則通信將無法進行��。所以除主設備外(通常是接口卡等)���,還需另設一到幾臺作后備主設備(通常是變送器、閥門等)���。當第一主設備故障時��,后備主設備隨即接替其通信調度任務。具備了該功能���,只要還有總線供電���,即使上位機全部損壞��,也不會影響控制功能的完成。
為保證控制實時性��,H1總線被設計成確定性網絡�����。它有客戶機/服務器��、出版者/訂戶�����、事件通告3種通信關系���。每個通信宏周期包括一個受調度通信和一個背景通信�����。前者完成一遍總線上所有設備間通信以實現控制策略�����,而后者每次完成一部分設備和操作站間的操作和監視信息交換���。宏周期約幾百毫秒受總線上設備多少和控制策略復雜程度決定,也就是由設計組態決定��。該通信模式決不會因通信阻塞而導致控制混亂���。
(3)電纜和安全柵
現場總線重要優點之一是節省了電纜��,少量電纜承擔了較大“責任”���,于是電纜安全性可能是被人們問到最多的問題之一。IEC 61158標準規定FF-H1總線是總線型結構(而不是星形或環形)���。推薦AWG18#(0.8mm2屏蔽雙絞線)��,特征阻抗100Ω�����,需匹配���,屏蔽層一點接地,電纜不接地,不作冗余配置(可使用其他規格電纜���,但可能減少傳輸距離)�����。我們對IEC 61158標準有如下理解和建議:
電纜風險應劃分為單根電纜風險和系統電纜總風險,顯然減少電纜同時不可避免加大了單根電纜風險���,但電纜數量減少��,如電纜故障概率一定���,則絕對損壞數量減少,雖然單根風險增大�����,但總風險至少沒有增大���;電纜數量減少�����,易考慮更好的保護措施和更易于維護��。
一根H1總線上所掛設備一般為10~16臺���,本安為4~8臺���,不要把其影響范圍想象得太大。另外電纜是基本不發熱的“遲鈍設備”�����,所以其故障率也相對較低�����。
退一步說���,對于個別確實極重要的環節,可少掛設備���,以犧牲節省電纜的程度來換取不致于因單根電纜風險增大而影響這些個別環節的可靠性���,如圖6c。將重要回路設備和次要采集設備混合搭配以減少單根電纜風險性(圖6b)。
現場總線也節省安全柵���,一臺安全柵后可掛4臺甚至8臺設備構成本安系統�����,所以這和電纜有著完全類似的問題��。抽象地討論可能還難以澄清一些似是而非的看法,不如通過一個片段來對DCS和總線電纜�����、安全柵的安全性進行具體對比�����,圖6是實現一個閉環調節回路和兩點檢測的電纜和安全柵配置��。
通過圖6a和6b���、6c對比不難得出結論,現場總線既能節省電纜和安全柵���,同時還有更高的電纜和安全柵“總體安全性”���。即使在單根電纜風險不增加的情況下(如圖6c中的調節回路)��,也還能比圖6a節<
