时间:2024-07-28
张洪民
(上海西门子工业自动化有限公司,上海 200030)
随着计算机技术的迅速发展,仪表控制系统逐渐向数字化、网络化、模型化、智能化、微型化方向发展,以满足石油化工企业技术水平日益提高的要求。在现有信息系统的基础上,石化行业进一步向大型化、复杂化、综合化、集成化、信息化的方向发展[1-4]。
安全仪表系统主要用于控制在系统关闭后立即达到安全状态的过程,它超越了常规安全系统,全新启用了可扩展至电子驱动和测量系统的远程智能控制系统。该系统可以实现一组故障安全保障功能,当其中一个或多个自动化装置发生故障时,该系统能够保持安全功能不丢失。本文主要以西门子的F系统为例,就故障安全控制系统在石油化工工业生产过程中的应用与具体设计及实施加以详述。
本案例属中国石油天然气总公司抚顺石化公司千万吨炼油、百万吨乙烯项目,为中国石油特大型炼油化工一体化项目。该项目集中了1 000万t/a原油加工、炼油结构调整技术改造工程、100万t/a乙烯技术改造工程、热电厂扩能改造工程及配套项目等。这些项目分别立项又相互联系。
该一体化项目是中国石油东部地区战略部署的重点项目。目前,炼油部分常减压、焦化加氢联合等所有装置已经成功投运,乙烯部分前期如乙烯装置已经开车运行,其他(如三聚等装置)正在陆续投运过程中,预计到2013年上半年项目完成整体投产。
炼油过程简要地说就是从原油里提炼出各种石油产品的过程,一般需要经过多个物理和化学反应阶段。通常每个炼油过程都相对独立地组成一个炼油生产装置。
炼油生产装置按生产目的分为原油分离装置、重油轻质化装置、油品改质及油品精制装置、油品调和装置、气体加工装置、制氢装置、化工产品生产装置以及产品分析检测中心等。
辅助设施主要包括:供电系统、供水系统、供水蒸气系统、原油和产品储运系统以及三废处理系统等。
简要炼油工艺生产流程框图如图1所示。
图1 炼油工艺流程框图Fig.1 Block diagram of the oil refining technological process
本项目全部采用Siemens PCS7控制系统,其中DCS使用S7-417H全冗余CPU,SIS使用S7-417FH容错型全冗余CPU,容错(F)和冗余(H)两者相互独立又相辅相成。
炼油项目包括1个中央控制室(central control room,CCR)和 12个就地/远程控制室(field control room,FCR)。
整个系统的结构可以分为以下3层。
①控制器层:通过现场总线实现对现场仪表的监测和输出控制。
②系统网络层:操作员单站通过系统网络将所有现场控制器、服务器、工程师站连接在一起,工程师站通过系统总线可将组态数据下载到控制器。
③终端网络层:所有服务器、客户机操作员站通过终端网络层连接在一起,客户机操作员站通过服务器获得控制器层的数据,并将操作员指令传达到控制器。
以炼油装置为例,项目网络结构如图2所示。
图2 网络结构图Fig.2 Structure of the network
炼油项目在CCR中共有4对冗余服务器、61个DCS客户机操作站、5个SIS客户机操作站、12个工程师站、2个资产管理站、1个OPC服务器、1个中央归档服务器、2个Web服务器、1个防病毒服务器以及5台打印机。
在每个FCR中,配置有1个工程师站、1个操作员站、1个资产管理站、1个OPC服务器和1台打印机。
在CCR和FCR中,均由Siemens工业级以太网交换机SCALANCE X414-3E构成两级数据传输速率为1Gbit/s环型网络的系统总线与终端总线。当环型网络的某一个节点出现故障时,网络会在0.3 s内重建通信通道。
现场系统总线与中控室系统总线之间通过冗余光缆连接,通信速率为100 Mbit/s。其中任意一个可设为热备主站,另一个设为热备从站。当主站通信中断时,系统自动切换到从站通信。中控室中的工程师站和操作员站一方面提供工程操作和数据归档功能;另一方面,当中控室发生通信故障时,分布在就地控制室中的工程师站和操作员单站可提供后备操作。
在复杂的过程工业生产过程中,自动化系统必须做到完全无故障地运行,任何一个故障都有可能带来致命后果。因此,必须最大程度地加以避免。为了可靠地避免风险和消除危险源,生产过程中应包括安全设计。
安全设计的首要目标是通过使用相应的技术和设备,将人员、装置和环境所面临的危险降到最低程度,而不会对生产过程产生限制。因此,其对所谓的功能安全性具有很高的要求。为了实现功能性安全,需要采用可靠的安全控制系统,在设备发生故障时将工厂置于安全状态。
安全控制系统按照其作用和特点,大致可分为紧急停车系统和仪表保护系统[5-10]。
紧急停车系统(emergency shutdown device,ESD),这种专用的安全保护系统是20世纪90年代发展起来的,它以高可靠性和灵活性而受到一致好评。紧急停车系统对石油化工生产装置可能发生的危险或继续恶化的状态进行及时响应和保护,使生产装置进入一个预定义的安全停车工况,从而使危险降低到可以接受的最低程度,以保证人员、设备、生产和装置的安全。
ESD的主要特点如下。
①高可靠性和高可用率兼备,具有完善的自诊断功能,系统可用率达到99.999%。
②具备监控、显示、打印、报警、历史数据贮存等功能。
③系统组态灵活。
④编程方便、通信功能强。
安全仪表系统(safety instrumentation system,SIS),是一个功能相对独立的安全系统,它由传感器、控制器和执行器等部件组成,主要用于实现以下3个功能。
①关断:当到达一个预定义的条件时,过程装置自动进入一个安全状态。
②容错:在定义的条件下,装置能够安全运行。
③降低安全事件的影响:安全事件的可能后果被降到最低程度,因而得到限制。
仪表保护系统(instrumentation protective system,IPS),是一个主要以过程仪表为主导的安全保护系统。
安全完整性等级(safety integrity level,SIL),是指在一定的时间内对一个安全仪表系统能够正常执行安全仪表功能(safety instrumentation function,SIF)的概率的一种量度,它是用于一种描述风险控制的措施。
较高的SIL等级对应的风险程序更低,使用经过认证的安全部件有助于确保SIF符合所需的SIL。
SIL列表如表1所示。
表1 SIL列表Tab.1 List of SIL
在抚顺石化炼油项目中,SIS系统的控制器采用S7-417FH容错型全冗余CPU;F-AI模块型号为6ES7 336-4GE00-0AB0(具有HART功能的6通道模拟量信号输入模块);F-DI模块型号为6ES7 326-1BK01-0AB0(12或24通道数字量信号输入模块);F-DO模块型号为6ES7 326-2BF01-0AB0(10通道数字量信号输出模块)。以上系统硬件包含的控制器和I/O模块均符合TÜV规范认证,并可达到SIL3安全等级。
西门子F系统的通信采用安全机制下的ProfiIsafe进行通信,内置双处理器的智能故障安全I/O模块,使得由单个CPU、单路总线和单路I/O模块构成的单系统即可满足IEC 61508 SIL3(DIN AK6)的安全等级要求。通信原理如图3所示。
图3 Profisafe通信原理图Fig.3 Profisafe communication principle
故障安全I/O模块内置双路处理器及诊断电路,保证了模块的任何软件故障均可被诊断出来,诊断率高达99.9%。
Profisafe电路原理如图4所示。
图4 Profisafe电路原理图Fig.4 Profisafe circuitry principle
Profisafe标准故障安全通信协议是目前世界上唯一通过德国BIA-联邦劳动安全研究所和TÜV-德国技术监督联合会认证的故障安全通信协议标准。以西门子为首的25家世界知名企业参与了Profisafe应用行规的制订和产品开发。Profisafe的诞生标志着故障安全通信技术标准化和开放化的历史性进展,它为不同厂家的故障安全产品(包括控制系统、总线设备、现场仪表和执行机构等)提供了相同的通信平台。
Profisafe行规在设备和系统内作为一个附加软件应用层被执行,不会改动标准Profibus的通信机制。Profisafe通过附加信息进行报文扩展,对延迟、不正确的序列、重复、损失、错误寻址或数据虚假等通信错误进行纠正,为每个通信设备执行故障检测措施,Profisafe安全通信原理如图5所示。Profisafe通信符合安全标准,并高达SIL3。
图5 Profisafe安全通信Fig.5 Profisafe safe communication
抚顺石化炼油乙烯项目的软件配置如下:组态编程软件采用PCS7 V7.0 SP3,F系统功能库软件采用S7 F-Systems V6.0以及西门子F系统专用工具软件Safety Matrix V6.1。
西门子F系统的CPU首先要激活安全功能,设置密码保护,同时还要定义一个过程映像区作为安全程序的循环组织块(organize block,OB)存放区,并且定义安全程序的过程映像区的优先级必须大于15,这样可保证安全程序在F系统中始终处于最优先扫描与执行状态。
西门子F系统的I/O模块包括 AI、DI和DO这3部分,模块物理地址须参考硬件组态中的地址参数进行设置;I/O模块参数属性设置包括故障诊断(diagnostic interrupt)、HART 通信接口(HART gate)、传感器评估模式(evaluation of the sensors)为一取一(1oo1)或二取一(1oo2)、断线检测(F-wire break detection)等。
西门子F系统的F-AI模块具有HART功能,可通过在硬件设置中添加HART仪表,并激活属性中的HART功能来实现对现场HART仪表信号的采集与处理。详细参数设置包括激活F-AI模块的HART功能(HART function on)以及打开HART信号的组诊断(HART group diagnostics)等。另外,现场HART智能仪表的参数可通过西门子专用工具过程设备管理(Simatic PDM)来进行远程配置,并可与Simatic PCS7进行无缝连接。相关功能介绍请参考西门子PCS7随机帮助文档Simatic PDM-Manual。
西门子F系统软件功能的实现利用了 S7 F Systems中提供的F library以及用于 S7-400FH控制器组态与编程的专用工具安全矩阵Simatic Safety Matrix。
带有F library和 Safety Matrix的F系统通过组态,可以实现对 S7-400FH系统和 ET200系列中安全模块的参数化。
F功能库的访问通过密码加以保护,集成在 S7 F Systems中的F功能块库包含预定义的安全功能块,CFC或Simatic Safety Matrix以此为基础生成安全应用;经过认证的F功能块可以防止被零除或数值溢出等程序错误,并进行错误检测和响应,完成各种安全编程任务。
4.4.1 连续功能块图CFC
连续功能块图(CFC)用于实现SIS系统联锁逻辑功能,其特点如下。
①相比标准PCS7系统,F模块具备安全钝化功能,在CFC中可以设置手/自动去钝化以及手/自动确认。
②F模块的循环扫描周期放在优先级大于15的循环OB中,相对应的安全程序也要放在相同的循环OB中,而与驱动功能块相关的安全程序要放在相同的循环OB分组中。
③CFC中同一个CPU的安全程序最好放在相同的关断分组(shutdown group)里,这样便于程序的统一管理和维护。如果放在不同的关断分组下,则还需要建立相应的通信连接。
4.4.2 安全矩阵
西门子安全矩阵(Simatic Safety Matrix)是西门子的一个创新安全生命周期工具,它可对安全应用进行组态、运行和维护。该工具基于成熟的“原因与结果”矩阵原理,非常适用于确定的状态需要特定安全响应的过程。
Simatic Safety Matrix不仅可使安全逻辑的编程大大简化,而且也使编程速度显著加快常规方法、更加高效。在对工厂进行风险分析时,组态工程师可以将精确定义的反应(结果)分配给过程中可能发生的事件(原因)。
可能的过程事件(输入)开始时被输入到与一个电子表格相似的矩阵表的水平行中,然后对它们的类型和量、逻辑运算、延迟和联锁以及可以承受的故障进行组态;随后在垂直列中对分配给某个特定事件的反应(输出)进行定义。
Safety Matrix符合IEC 61508,其安全等级标准高达SIL3。
Safety Matrix的结构由原因、结果及交叉点组成。原因为过程输入变量,结果为过程响应,交叉点定义原因和结果的逻辑关系。
事件和反应可通过简单地单击行和列交叉点处的单元格来进行链接。通过这一步骤,Safety Matrix会自动生成复杂的安全相关CFC程序,组态工程师无需专门的编程知识,可以将精力完全集中于工厂的安全要求上。
Safety Matrix的功能结构包括以下3项。
①原因行:可实现一些功能相对简单的逻辑关系,如与、或、三取二等。
②结果列:可设置旁路、强制对输出进行赋值等。
③交叉关系点:有多种逻辑模式可以选择,如N、S、R等,并可进行有效合理组合。
Safety Matrix的特点如下。
①使用“原因与结果”方法简化组态编程。
②可完全集成到Simatic PCS7中,并可自动生成CFC。
③集成旁路、复位、超弛和参数修改等完整的操作功能。
④初始报警和顺序事件的显示和保存。
⑤完整的修改跟踪以及对修改自动记录归档。
⑥自动保存操作员干预。
通过可以在Simatic PCS7操作员站上使用的Simatic Safety Matrix Viewer工具,在运行过程中简便而直观地实现安全应用的运行与监控。状态信号可在“原因与结果”矩阵中在线显示。
操作员可以显示和保存初始信号,还可记录相关安全事件;支持对参数的改变,如旁路、复位和超弛等。
采用西门子专用工具Safety Matrix Viewer,使得实时动态联锁因果表中的事件颜色改变清晰直接,使SIS系统的联锁逻辑在上位机(如WinCC)画面上清楚地表达出来;也可以将联锁过程用动态联锁逻辑图的形式来表示,辅以事件动态颜色线标。以上两种实现方式各有优势,可根据需要选择使用。
考虑到SIS系统的安全性,该系统的操作需要安全级别较高的操作者来核定完成。系统将具体操作权限分配给两级不同操作级别的操作者(如操作员和班长),经过两者分别确认后方可进行安全系统的操作。
西门子SIS系统的F-DI模块具备时间标签(time stamp)属性,可以将过程开关量的每一次阶跃变化记录到数据通信卡(ET200M)中,并通过ET200M将时间标签上传到AS控制器,在上位机WinCC上将事件加以记录并显示。
借助于西门子SICLOCK GPS时钟所提供的时间源,可以通过设置时钟同步来保证整个系统时间的一致性;同时系统提供事件顺序记录(sequence of event,SOE)的分辨率可以精确到1 ms。
中石油抚顺石化炼油和乙烯项目DCS/SIS系统自2008年初开始在炼油项目中的常减压和焦化加氢联合装置中投用,其他装置如加氢炼化、硫磺回收与酸性水、水处理、乙烯、三聚、公用工程等也已相继投用。目前系统整体运行稳定,用户对系统的可靠性、实用性给予了充分认可;而在生产过程中,SIS系统对于生产的顺利进行及安全保障起到了至关重要的作用,其安全功能通过实践也得到了验证。
2012年10月28日,中石油抚顺年产百万吨乙烯装置,仅仅用了60 h就开车成功。这是到目前为止中石油乙烯装置最好的开车记录。项目总I/O点数超过80 000点,由西门子公司提供全部DCS/SIS产品及工程服务。千万吨炼油、百万吨乙烯项目的成功实施,不仅是Siemens PCS7产品和功能的集大成应用,也是西门子公司超大型石油化工项目工程能力的体现,更是西门子SIS系统故障安全保护功能的完美展现。
鉴于目前国家和企业对于安全生产重视程度的逐渐提高,每个过程工业生产项目都会配置一套或多套安全系统做为生产运行的安全保障。西门子的故障安全控制系统以其方便灵活的组态、安全可靠的应用得到了国内外众多用户的青睐。随着故障安全系统在工业生产控制领域中应用的逐渐增加,其安全性设计和功能也将进一步趋于完善。
[1]秦仲雄.石油化工装置应用ESD浅见[J].石油化工自动化,2002(6):14-19.
[2]钱伯章.紧急停车系统在催化裂化装置上的应用[J].炼油技术与工程,1995(6):68-69.
[3] 刘喜臣.紧急停车系统[J].化工设计,1998(6):45-47.
[4]王学超.紧急停车系统安全性及可用性若干问题探讨[J].石油化工自动化,2004(1):7-10.
[5]朱小本,孟祥生.紧急停车及安全联锁系统设计[J].石油规划设计,2006(17):44-46.
[6]缪煜新.石油化工装置中SIS的安全功能[J].石油化工自动化,2004(3):10-20.
[7]路红梅.安全PLC系统是ESD系统的优先选择[J].化工自动化及仪表,2001(2):55-57.
[8]范围剑.西门子PCS7在CFB电站循环液化床锅炉上的应用[J].工控通讯,2006(1):21-23.
[9]崔坚,李佳.西门子工业网络通信指南[M].北京:机械工业出版社,2004:98-108.
[10]柳杰.西门子1 ms SOE解决方案[C]//西门子自动化应用论文集,2006:384-388.
[11]袁德平.OPC技术在PROFIBUS现场总线中的研究与应用[D].成都:西南交通大学,2004.
[12]周侗,徐皑东,于海斌,等.现场总线工业控制系统信息集成技术研究[J].仪表仪器学报,2005,26(8):557-560.
[13]王丰.基于Profibus的PLC控制系统的网络组态与应用[J].自动化仪表,2003,24(6):54-55.
[14]唐盛,袁佑新,郝艳杰,等.基于现场总线的分布式控制系统设计[J].仪器仪表学报,2004,25(4):847-848.
我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自各大过期杂志,内容仅供学习参考,不准确地方联系删除处理!