故障安全型PLC在熱媒爐項目控制系統中的應用

秦朝軍 劉天虎 周 亮 唐 山 王海群

(北京航天石化技術裝備工程公司加熱爐事業部,北京 100166)

歐美發達國家對安全產品的要求非常嚴格，而我國政府也已經通過安監局及科技部等部門對故障安全的相關技術和標準進行了調研，未來將逐步完善國內的相關勞動安全法律法規和行業規范，以保護人員和環境的安全。近年來，故障安全產品的應用也隨著廣大用戶安全意識的不斷提高而逐漸開始普及。

安全相關系統包括安全控制系統與安全保護系統，當危險事件發生時，安全相關系統將采取適當的措施和動作，防止被保護對象進入危險狀態，避免危及人身安全，保護財產不受損失。在不同的應用領域，安全相關系統有不同的內涵和名稱，如安全儀表系統、關鍵控制系統、安全解決方案、故障安全系統、聯鎖保護系統及鐵路信號系統等[1]。

導熱油爐站及其熱媒爐系統是石油、化工連續生產過程中的核心和關鍵動力設備，一般在系統設計中對其可靠性、安全性及可維護性等各方面都有更高的標準，而作為整個熱媒站的控制系統部分，其也有更加嚴格的安全和連續生產要求。因此，選擇可靠的故障安全產品，在安全和連續生產這兩個相互矛盾的方面兼顧用戶訴求，是系統設計面臨的兩大難題。

Siemens S7-400FH是依據IEC61508(等同于GB/T 20438.1～7)研發的[2]，用于在系統發生故障后能夠導入安全，這也是該系統的根本設計準則[3]。當用一組自動化裝置構造一個自動化系統后，此系統可以實現一組故障安全保護功能，當其中一個或多個自動化裝置發生故障時，該系統仍然能夠保護安全功能不丟失，即故障安全系統可以對人、機械和環境提供更高的安全等級。

在此，筆者將Siemens S7-400FH故障安全冗余系統引入熱媒控制站作為控制系統的核心，以使熱媒站和整個生產裝置的安全控制水平和級別在安全性和可靠性方面能夠得到很好的提升。

某化工廠新建裝置在熱媒站招標采購中對核心控制器在故障安全方面提出了高標準和嚴要求，但并未對控制回路及現場元器件等的SIL等級做出更嚴苛的要求，項目在方案選擇和實際技術細節上主要進行了3方面的升級和改進。

1.1 控制系統核心

通過對幾家公司的控制器進行選型比對，最終選擇了S7-400FH故障安全與容錯型冗余控制器及其配套產品作為本項目控制系統的核心。該控制器及其相關I/O模塊滿足TüV認證，同時符合并達到以下標準和水平：

a. 執行EN50159-1，滿足classes AK1 to AK6，符合DIN V 19250/DIN V VDE 0801；

b. SIL1～SIL3，符合IEC61508標準；

c. Categories 1～4，符合EN954-1。

1.2 選型方案

根據用戶和工藝對控制系統的要求，本著高可靠性、安全性和經濟性的原則，在不降低系統整體性能的前提下，應從控制方案的選型及配置等各方面對系統進行綜合考慮并優化設計。對輸入輸出信號應要求其具有重要性、安全性和可靠性，且事先同工藝等專業進行分析并進一步對信號分類，確定使用帶F或非F的卡件對信號進行處理，采用故障安全型卡件和普通卡件相結合的方案處理系統信號從而節省一次資金的投入。

1.3 編程模式

在控制程序的結構設計上，摒棄了原來以梯形圖編程為主的編程模式，改用CFC功能塊編程兼顧調用系統已有的普通功能模塊庫和故障安全模塊庫中控件的模式，對熱媒爐控制系統從信號采集到控制程序進行了重新處理和規劃、編程。

在人機界面的功能上，實現了兩種不同的人機界面上位機和觸摸屏兩地分立獨立控制操作。

在網絡結構上，從Siemens S7-400FH PLC到ET200M，由Profibus DP網構成；容錯的Industry Earthnet工業以太網借助單模光纖中繼，將PLC和人機界面之間(包括觸摸屏和上位機)通過PROFIsafe安全協議連接。

2 FH系統的實現與相關組態編程

2.1 系統信號的甄別、分析、定義和分類

按照IEC61508和TSG標準的基本要求，需同工藝、設備及燃燒等所有專業，對系統PID流程中所涉及的所有電信號從其重要性、出現故障后若不能被可靠檢測或處理時是否會導致重大安全事故等方面逐一進行重點的甄別、分析、定義和分類，完成系統I/O表的配置和對應F卡件的選型。

針對熱媒爐控制系統核心部分的燃燒控制回路，其包括燃料控制、助燃風控制、介質出口溫度控制和氧量控制回路，以燃料控制回路為例，其中燃料流量的采集包括穩壓補償壓力采集、溫度采集和流量壓差信號采集3部分，輸出為燃料流量調節閥。燃料控制回路任一信號故障或處理失敗，都會直接導致熱媒爐控制系統的波動或失效，進而導致嚴重的安全事故。因此，從各專業角度來定義，都是關鍵信號，必須重點處理和使用，其在圖1中定義為背景色“灰色”，標示為“冗余”。

圖1 信號甄別與分類

而對于諸如“熱風溫度”及“總管入口溫度”等信號，僅作為一般的指示和工藝記錄使用，其信號暫時甚至長時的波動或失效對控制系統和裝置均不會造成過大的損壞或安全事故，更不會造成人員傷亡，因此，其在系統中的重要性明顯較低，因此僅定義為一般正常信號，圖中以“Norm”表示。

至于系統中的其余信號，包括數字量輸入DI點和數字量輸出DO點，均逐一經過同樣的甄別和分類過程，匯入圖中，在此不再贅述。

2.2 硬件選型和配置

系統的基本硬件配置如圖2所示。

圖2 系統硬件基本配置

S7-400FH故障安全和故障容錯型冗余(The Fail-safe and Fault-tolerant S7 F/FH Systems)產品能夠較好地滿足對系統高可靠性、容錯、冗余方面的要求。故障安全和故障容錯型S7 F/FH系統允許產品持續工作而不引起對人或環境的任何損壞，因此可通過冗余組件(如電源、中央處理單元、通信組件和I/O組件)來實現系統的高可靠性。

在CPU和電源的選擇上，選擇PCS7選型中的412FH故障冗余套件，該套件雖然接近400系列的最低起點配置，但對于一個小型熱媒站系統無論從點數到通信、運算處理上都已綽綽有余，打包選型訂貨后，不僅比分別單個訂購CPU、電源、電池、地板及通信模板等的費用低，而且出廠時經過組裝后整體的性能測試，性價比很高。

上位組態軟件選擇了性價比較高的512點WinCC 7.0 RC，開發、運行合二為一，同時，根據需要單獨選擇了CP1623、Step 7 5.4、S7-F系統及CFC等硬件和軟件，大幅降低了成本。

考慮到用戶DCS控制室只配置一臺上位機，而此控制系統又是關鍵的核心設備，一旦上位機失敗后若沒有后備的處理力量，將是一個非常嚴重的問題。而用戶日常在機柜室檢修時有維護、操作的要求，因此，在機柜室控制柜上為用戶保留了一臺觸摸屏(HMI)作為操作和維護的后備力量。上位機同S7-400FH通過以太網TCP/IP通信；機柜室的HMI同冗余S7-400FH、冗余CPU進行實時TCP/IP通信，并可在一路通信失效后無縫自動切換至另一路工作，機柜室機柜側配置了Scanlance X202-2(1個光口、4個以太網口)以實現觸摸屏；冗余CPU和上位機之間以PROFIsafe模式通信。

故障冗余型卡件的選型以FH型卡件中常用性好、IO點數容量大、性價比高的為主，如DI卡，選擇24點的F-DI卡，10點輸出的F-DO卡、8點輸入的F-AI卡和8點輸出的AO卡。

2.3 系統結構與網絡構成

搭建完成后的控制系統結構和網絡構成如圖3所示。可以看出，控制系統網絡共分為3層。

圖3 搭建完成后的控制系統結構和網絡構成

最上層為工業以太網Ethernet TCP/IP，通信主體有3個，配有兩塊CP443-1以太網卡的S7-400FH冗余CPU、裝有CP1623通信卡的WinCC上位機和HMI，3個通信主體經過Scanlance路由器進行通信。由于DCS距離機柜室較遠，上位機與其余兩個設備的通信則通過兩地分設Scanlance經過電光-光電轉換實現。

中間層為Profibus DP網，冗余通信，總線上PROFIsafe和Profibus節點在一個線路上共存，F-CPU與F卡件和普通卡件之間通過Profibus DP網既能實現PROFIsafe安全通信，又能實現普通工業級通信，PROFIsafe的基本通信原理如圖4所示。改進后的安全技術使用標準的Profibus總線，在同一Profibus總線上同時存在標準與故障安全型控制器，而且標準與故障安全型的I/O可以混合使用(筆者即采用此模式)，因此標準和安全部分可以有機地集成在一起，實現無縫工程。

最下層為現場控制層(Field Bus)。

圖4 PROFIsafe的基本通信原理

2.4 故障安全系統的編程和組態要點

故障安全系統的組態和編程與標準的PLC程序有非常大的不同，不管是硬件組態，還是程序結構，或者是編譯下載，都有它的特色。如果在Step7中編寫一個故障安全系統的新項目，可以按照如圖5所示的編程過程，分5個步驟進行。

圖5 F組態的編程過程

因F和H系統涉及的組態和編程內容非常繁雜，因此以下僅從項目涉及的幾個主要方面對該過程進行簡單的分析和介紹。

2.4.1F系統的硬件組態

根據實際系統選配的硬件，按組態手冊的相關要求和步驟對F-CPU、F-SM和ET200M在Step7中逐一進行組態和設定。其中需要注意以下幾點。

F-CPU配置。如圖6所示，打開F-CPU的子菜單Protection，為使CPU包含Safety程序，需要對CPU設置安全程序的保護密碼。打開子菜單F Parameters，注意Safety程序的保留數據塊區及功能塊區等(圖7)。

圖6 F-CPU“保護”屬性設置

圖7 F-CPU“H”參數設置

卡件的硬件組態。F卡件的設定基本類同，現以F-DI卡為例簡要說明，在硬件組態環境中，卡件硬件選定后，雙擊其屬性，設好“Redundancy”配對的冗余卡件后，在“Parameters”一欄對F卡件相關的參數內容進行設定(圖8)，其中“DIP switch setting(9…0)”項的內容在完成硬件組態后，在卡件的硬件背板開關DIP開關的設定上，要和其屬性頁中的編號保持一致。

圖8 F-DI卡件屬性設置

硬件組態結果。硬件組態完成后的配置如圖9所示，其中，F-DI、DI、DO邏輯處理硬件在(3)、(4)機架部分，其中，圖1中標注為灰色的信號為F并冗余邏輯輸入或輸入型，實現對邏輯輸入、輸出的處理，部分上下卡件互為冗余模塊對，標注為非關鍵的信號不冗余處理，僅在普通模塊作為普通信號使用。對F-AI、AI、AO也按上述處理方法做同樣的定義和處理。

圖9 硬件組態完成后的配置

2.4.2程序編程組態和結構

F信號的處理。在圖表編程組態中分別建立F-DI、F-DO、F-AI共3種類型的處理F-SAFE功能的CFC程序，同時，還需建立處理普通功能的程序(如AO、Logic、Fuhetiaojie)和用戶處理H(冗余)功能的CFC程序。圖9中名稱中帶“@”的為經過安全程序編譯后自動生成的安全程序，設計人員可以忽略。

F-Safe功能的CFC程序如圖10所示，在安全程序中，通過專用安全模塊主要實現了對所有在圖1中定義的背景色“灰色”、標示為“冗余”信號的安全處理。

圖10 F-Safe功能的CFC程序

標準程序。在以往項目編程中使用的關于邏輯處理和負荷運算處理的標準功能塊，在F-CPU中是可以和安全程序共存的，只要利用得當，完全沒有必要單獨再去重新編寫該部分的程序。FC61(邏輯)、FC62(報警)和FC63(負荷計算)為以往項目中成熟使用過的標準功能塊程序，在圖表(CHART)組態編程環境中在不同的“Logic”和“Fuhetiaojie”CFC內組態編程和調用，調用中斷均是OB34，如圖11所示。

圖11 用戶程序的中斷處理

程序結構。F程序只能由中斷來執行，通常定義OB35作為F程序的中斷(圖6中已有說明)，中斷時長設為100ms，該中斷專門用來執行F-Safe程序。定義OB34作為邏輯處理和負荷調節運算的普通標準塊的處理中斷，中斷時間為200ms。在F系統中，目前還沒有專用的F-AO硬件塊作為用戶F的輸出，因此，為了進一步保證模擬量輸出卡件AO響應的快速性，將AO單獨放在OB33中斷中予以處理，其中斷時間設為50ms，具體如圖12所示。

圖12 用戶程序的中斷處理2

2.4.3I/O信號在程序中的處理

對于F信號，其基本的處理過程和原理如圖13所示。信號經現場測量或控制元件后，經輸入電路、處理器和輸出電路，最后到達執行器部分。

圖13 F信號的基本處理過程和原理

由于項目伊始并未對F-Pro部分做明確的要求和相關的分析、定義，因此，在儀表組態和編程過程中，程序還是延用了標準程序作為核心處理邏輯和運算，并未單獨實施F邏輯的程序編寫，因此，F程序塊處理完的信號和標準信號之間的傳遞，均需取用F轉換后的普通信號或經專用信號模塊轉換為F信號后輸出。

2.4.4信號鈍化和恢復處理

F系統中，信號的鈍化和解鈍也是一個重要的部分。對于F系統，如果一個F-I/O檢測到故障或錯誤，它會切換受影響的通道或所有的通道到安全狀態，即組件的通道被鈍化，F-I/O將報告檢測到的錯誤傳給F驅動塊。鈍化意味著系統輸出通道輸出是斷開的，一個被鈍化的數字量輸出通道的F驅動模塊，會輸出一個帶有質量代碼(QUALITY)16#48的替代值，同時，將結果輸出置1，即QBAD=1。典型的F-DO卡件驅動功能塊如圖14所示。

圖14 典型的F-DO卡件驅動功能塊

當信號被鈍化后，系統解鈍有一個重要的原則。對于F系統，解鈍信號的來源一定不能從F卡件引入，原因在于，一旦該F卡件發生鈍化，若此時其他卡件或卡件通道發生鈍化，系統將不能發出解鈍請求信號，因為該信號已經在故障的F卡件中失效了。此時，可將普通卡件的一個DI點作為解鈍指令的總輸入，具體如圖15所示，其經安全功能塊處理后的結果，分別流向各安全功能模塊，以便在鈍化發生后或在必要的儀表維護處理后，操作人員能夠順利地進行解鈍處理，方便通道或卡件順利投入運行。

圖15 系統解鈍處理

3 結束語

將Siemens S7-400FH故障、容錯、冗余系統成功應用于熱媒爐項目，相較于以往由普通PLC組成的熱媒爐控制系統，在可用性、可靠性和安全性上均有了較大的提升。該控制系統較為復雜，項目開發使用過程中尋求了Siemens資深技術人員的協助，該項目投運至今，各項指標均符合設計要求，且控制系統維護工作量小，除正常的檢修停車外，無意外停車。

但該系統還不算一個完全意義上的F系統，只是在其框架下實現了F系統在熱媒爐控制系統中的一個初步應用，若要使該系統達到一個具有完整意義的F和SIL 2以上的FH系統功能，今后還需對整個石油化工裝置、全員安全生產要求認識和認可水平進行大幅提升，以及在項目前期做出大量、細致、充分的分析及審定等工作。本項目雖是FH系統在熱媒爐控制系統應用方面的一個初步嘗試，卻也在導熱油爐行業為導熱油爐控制系統搭建了一個較高標準的基礎和應用平臺，具有示范作用和一定的推廣價值。

[1] 史學玲.安全相關系統的評估與認證[J].儀器儀表標準化與計量,2008,(6):18～20.

[2] IEC61508,Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems[S]. Geneva:International Electrotechnical Commission,2010.

[3] 王海峰,張仲義.雙重冗余控制系統故障安全性的研究[J].中國安全科學學報,2002,12(3):31～34.