越南高岸电厂2×50MW工程采用德国ALSTOM公司制造的230t/h循环硫化床锅炉,FSSS硬件采用德国HIMA公司生产的安全可编程逻辑控制器(PES)H51q系统。与普通类型的PLC或DCS来实现FSSS功能不同的是,本工程专门为安全应用场合设计,具有完善的故障检测功能并取得权威机构安全认证的HIMA安全控制系统作为FSSS的控制装置,使保护系统具有更高的安全性、可靠性和可用性。
安全型控制系统
根据IEC标准,安全型系统(safety-related system)适用于所有工业系统。通常所说的安全控制系统就是指仪表和控制设备构成的保护系统,主要包括现场检测仪表、控制逻辑单元和现场执行装置3部分,其中控制逻辑单元是整个控制系统的核心。在安全控制系统的设计中,为了定量分析各种生产装置的安全性,IEC61508定义了4个安全度等级,每个等级包括2个定量的安全要求,即系统连续操作每小时故障概率(PFH)和按要求模式执行指定功能的故障概率(PFD)。安全控制系统的设计以及系统结构既要满足工业过程的安全度要求,又要保证可靠性和可用性,因此,必须对具体的工业过程进行安全评价。我国目前还没有具体的安全等级评价和设计标准,而目前国际上通用的标准有德国的DIN19250、美国的ISA S84.01和IEC61508;权威的认证机构包括德国的TUV等 。
电厂的炉膛安全保护系统的安全度等级一般被定义为SIL3(IEC61508),此等级相当DIN19250标准的RC6级。
HIMA安全控制系统的特点
HIMA H51q系列,是第三代经生产实践验证的HIMA PES系统。它能够利用个人计算机进行灵活的用户组态、监测和事件记录,为生产控制提供最安全的控制保障。
HIMA的H51q系统为CPU四重化结构(QMR-Quadruple Modular Redundant),即系统的中央控制单元共有四个微处理器,每二个微处理器集成在一块CU模件上,再由两块同样的CU模件构成中央控制单元。一块CU 模件即构成1oo2D结构,HIMA的1oo2D结构产品满足AK6/SIL3的安全标准。为了向用户提供最大的可利用性,采用双1oo2D结构,即 2oo4D结构。在冗余结构的情况下,高速双重RAM接口(DPR)使两个中央单元通倍,从而解决了无故障修复时间限制的难题。其容错功能使系统中的任何一个部件发生故障,均不影响系统的正常运行。与传统的三重化结构相比,它的容错功能更加完善。
HIMA H51q系统支持RS-485 Modbus RTU,Profibus DP,以太网OPC以及Modbus TCP等各种通信方式,可以与各主流DCS厂家实现无缝连接。
安全控制系统在FSSS上的应用
越南高岸电厂230t/h循环流化床锅炉的FSSS由燃烧器管理系统和炉膛安全保护系统2部分组成,前者主要实现锅炉启动前的吹扫、燃油泄漏试验,建立点火条件和2套启动燃烧器、2套床枪的顺序投入与切除;后者主要实现连续监视炉膛压力、汽包水位、流化风压力、风机状态、床温等重要参数。
FSSS的硬件设备主要由就地检测仪表、就地控制操作箱、控制设备以及PLC控制系统组成。控制系统采用德国HIMA公司的H51q系统,并与单元机组的过程控制系统DCS完成通信,在DCS操作站上完成整个系统的监视和控制。H51q的电源模件和控制器模件都是冗余配置,所有的I/O模件都按照信号是否和安全相关的原则,被分为安全型和普通型。由于安全I/O模件的价格较昂贵,采用这种方式,在一定程度上降低了整个系统的造价,提高了控制系统的经济性。
安全控制系统主要配置原则
FSSS系统的安全型I/O配置原则
■启动燃烧器和床枪燃油关断阀控制信号、已关闭状态信号;
■启动燃烧器和床枪雾化蒸汽阀控制信号、已关闭状态信号;
■启动燃烧器和床枪雾化吹扫阀控制信号、已关闭状态信号;
■启动燃烧器和床枪已插入信号;
■点火器点火控制信号、火检有火状态信号;
■点火丙烷气关断阀控制信号、已关闭状态信号;
■主燃油关断阀控制信号、已关闭状态信号;
■燃油回油阀控制信号、已关闭状态信号;
■主蒸汽压力、汽包水位、床温信号、炉膛压力、流化风压力、风量等;
■给煤机、石灰石给料机、一次风机、送风机和引风机分闸控制信号和已分闸状态。
FSSS系统的普通型I/O配置原则
■启动燃烧器和床枪燃油关断阀已打开状态信号;
■启动燃烧器和床枪雾化蒸汽阀已打开状态信号;
■启动燃烧器和床枪雾化吹扫阀已打开状态信号;
■启动燃烧器和床枪就地控制柜就地启动/停止信号、远方/就地选择状态信号;
■启动燃烧器和床枪伸进和回退控制信号、故障信号;
■点火器故障信号、火检故障信号;
■点火丙烷气关断阀已打开状态信号;
■主燃油关断阀已打开状态信号;
■燃油回油阀已打开状态信号;
■主汽压力、汽包水位、床温信号、炉膛压力、风量“多取中”后输出到DCS信号。
FSSS系统配置
越南高岸项目FSSS使用的HIMA H51q型PES采用2个控制器冗余配置的方式,但与一般控制器不同的是在每一个控制器模块中采用了2个微处理器。这种单个的控制器可达到 RC6/SIL3安全要求等级(实际上是一个控制器模块上的loo2D结构)。这一模块冗余配置就可实现系统全部容错,成为2oo4D结构。基本原理如图 1所示。
在控制器中有一个“看门狗(watchdog)”电路,实际上是一个特殊的定时器,其功能是当程序运行发生故障并经设定延时后,产生1个非屏蔽中断,使系统复位。在2oo4D结构中,任意控制器模块的一个微处理器在正常存储数据的存储器下运行,而另一个则在数据以取反的方式存储的存储器下运行,它们同步运行执行同一用户程序,通过硬件比较器监视比较,两存储器内数据应刚好相反,否则触发“看门狗”,但这并不影响另外一个控制器的正常运行。故障控制器经过“看门狗”复位后使其回到安全状态,可通过DPR接受正常运行控制器的全部运行参数和中间变量,继续同步执行同一用户程序。这种2oo4 D结构保证了系统的可靠性,同时也具有很高的可用性。
watchdog信号不仅可以实现控制器故障时的切换,而且watchdog信号还在主机架的背板输出并连接到其他I/O机架,使每个机架内的输出模件都可以引入“看门狗”计时器信号,当CPU 内部故障时令所有输出模件各通道切换到关状态,与安全相关的工艺设备被快速关断,保证了系统的安全。watchdog信号的存在以及被引入到每一个I/O 机架这一形式是HIMA安全控制系统与普通PLC的重要区别之一。
HIMA 的安全控制系统与普通PLC相比,整个控制系统的电源是由3块安装在主机架上的电源模件(第3块电源模件作为后备)经背板电缆把各个从机架连接起来统一供电的,进一步提高了电源的可靠性。HIMA系统在每个从机架上都设置了4块用于提供开关量输入模件查询电压的电源分配模件,而对于普通PLC来说,开关量模件的查询电压是通过外部配电提供的,不属于PLC的一部分。由此可见HIMA安全控制系统具有更高的电源可靠性。
安全控制系统的软件操作系统都是以嵌入的方式直接集成到控制器中。在运行过程中,操作系统除了以循环扫描的形式来处理用户程序外,还通过监视程序的代码版本号、运行版本号、数据版本号、区域代码号的更改来保证程序的安全性。H51q系统的编程软件是ELOP—II,用户程序的创建和修改必须按照绑定的IEC61508、DIN标准来执行,同时软件中还集成了源代码比较器、目标代码比较器和经过认证的编译器。这些工具在创建、下载和修改用户程序过程中分别对源代码和目标代码进行测试并标识出来。只有经过测试的应用程序才允许被下载到控制器中。
安全控制系统主要配置原则
保证安全控制系统的独立性
根据NFPA85的要求,FSSS应该具有独立的逻辑、I/O 和电源,并且在功能和逻辑上应与其他控制系统分开。为了保证这一独立性,安全系统应从以下几个方面来考虑:
■安全控制系统应独立于DCS。DCS仅仅通过少量硬接线和通信等方式与PES无缝连接,在其操作站上实现FSSS的监视和操作。
■安全控制系统采用独立的总电源,直接来自电气UPS和保安电源。同时,与FSSS相关的现场检测仪表和电磁阀的电源也应直接由控制系统内的配电装置提供。
■现场信号直接来自就地一次仪表,用于保护的重要信号应该单独设置。
冗余配置与安全相关的就地仪表
控制逻辑单元虽然是整个安全仪表系统的核心,但安全仪表系统还包括现场检测仪表和现场执行机构。在IEC61508标准中,安全仪表系统3个部分的典型故障几率,控制逻辑单元为l5%,现场检测仪表为35%,执行机构为50%,由此可见保证现场仪表的可靠性是十分重要的。
充分考虑系统的“静态”特性
能自动调节回路不接入与安全保护相关的控制系统中,以保证装置能够“静态”监视生产过程,一旦有造成跳闸的可能,控制系统能马上采取措施使工艺过程处于安全状态。
采用“故障-安全(fail-safe)”原则
为了在系统设计中体现出这一原则,逻辑组态应采用“正逻辑”,同时与安全相关的输出通道和就地执行机构的电磁阀在正常工况下应处于带电状态,保证安全保护系统出现故障或满足跳闸条件时,使工艺过程处于安全状态。
明确与普通PLC的区别
在电厂的应用中通常采用双机热备的“冗余”PLC控制器用以提高系统的可靠性,但这种方式所起的作用仅仅是“热备用”而不是“冗余”。典型的冗余系统必须保证2个控制器同步运行,而“热备用”通常不是同步的,并且需要用户编写大量程序来实现这种“备用”功能。
这种“热备用”只提高了系统的可用性,并没有从根本上提升可靠性。
结语
HIMA的安全控制系统系统是根据相应安全标准研制开发的专门用于安全保护系统的控制设备,具有完善的测试手段,当检测到系统故障尤其是危险故障时能使系统回到安全状态,从而最大限度地保证了系统的可靠性和可用性。
在目前大型火力发电机组的设计中,往往都采用DCS来完成FSSS和ETS功能。虽然这种一体化的方式有着接口简单、减少备品备件品种、降低维修费用和节省总投资等优越性,但那些与安全相关的系统和功能由普通的DCS控制器来实现,显然与越来越高的电厂运行可靠性和安全性的要求不相符。所以采用符合国际标准的安全控制系统来实现电厂的保护功能将有力地保证电厂设备和人身安全,进一步提高电厂的可用率和竞争力。