越南高岸電廠2×50MW工程采用德國ALSTOM公司制造的230t/h循環(huán)硫化床鍋爐，F(xiàn)SSS硬件采用德國HIMA公司生產(chǎn)的安全可編程邏輯控制器（PES）H51q系統(tǒng)。與普通類型的PLC或DCS來實(shí)現(xiàn)FSSS功能不同的是，本工程專門為安全應(yīng)用場合設(shè)計(jì)，具有完善的故障檢測功能并取得權(quán)威機(jī)構(gòu)安全認(rèn)證的HIMA安全控制系統(tǒng)作為FSSS的控制裝置，使保護(hù)系統(tǒng)具有更高的安全性、可靠性和可用性。 　　安全型控制系統(tǒng) 　　根據(jù)IEC標(biāo)準(zhǔn)，安全型系統(tǒng)（safety-related system）適用于所有工業(yè)系統(tǒng)。通常所說的安全控制系統(tǒng)就是指儀表和控制設(shè)備構(gòu)成的保護(hù)系統(tǒng)，主要包括現(xiàn)場檢測儀表、控制邏輯單元和現(xiàn)場執(zhí)行裝置3部分，其中控制邏輯單元是整個(gè)控制系統(tǒng)的核心。在安全控制系統(tǒng)的設(shè)計(jì)中，為了定量分析各種生產(chǎn)裝置的安全性，IEC61508定義了4個(gè)安全度等級(jí)，每個(gè)等級(jí)包括2個(gè)定量的安全要求，即系統(tǒng)連續(xù)操作每小時(shí)故障概率（PFH）和按要求模式執(zhí)行指定功能的故障概率（PFD）。安全控制系統(tǒng)的設(shè)計(jì)以及系統(tǒng)結(jié)構(gòu)既要滿足工業(yè)過程的安全度要求，又要保證可靠性和可用性，因此，必須對(duì)具體的工業(yè)過程進(jìn)行安全評(píng)價(jià)。我國目前還沒有具體的安全等級(jí)評(píng)價(jià)和設(shè)計(jì)標(biāo)準(zhǔn)，而目前國際上通用的標(biāo)準(zhǔn)有德國的DIN19250、美國的ISA S84．01和IEC61508；權(quán)威的認(rèn)證機(jī)構(gòu)包括德國的TUV等 。 　　電廠的爐膛安全保護(hù)系統(tǒng)的安全度等級(jí)一般被定義為SIL3（IEC61508），此等級(jí)相當(dāng)DIN19250標(biāo)準(zhǔn)的RC6級(jí)。 　　HIMA安全控制系統(tǒng)的特點(diǎn) 　　HIMA H51q系列，是第三代經(jīng)生產(chǎn)實(shí)踐驗(yàn)證的HIMA PES系統(tǒng)。它能夠利用個(gè)人計(jì)算機(jī)進(jìn)行靈活的用戶組態(tài)、監(jiān)測和事件記錄，為生產(chǎn)控制提供最安全的控制保障。 　　HIMA的H51q系統(tǒng)為CPU四重化結(jié)構(gòu)（QMR-Quadruple Modular Redundant），即系統(tǒng)的中央控制單元共有四個(gè)微處理器，每二個(gè)微處理器集成在一塊CU模件上，再由兩塊同樣的CU模件構(gòu)成中央控制單元。一塊CU 模件即構(gòu)成1oo2D結(jié)構(gòu)，HIMA的1oo2D結(jié)構(gòu)產(chǎn)品滿足AK6/SIL3的安全標(biāo)準(zhǔn)。為了向用戶提供最大的可利用性，采用雙1oo2D結(jié)構(gòu)，即 2oo4D結(jié)構(gòu)。在冗余結(jié)構(gòu)的情況下，高速雙重RAM接口（DPR）使兩個(gè)中央單元通倍，從而解決了無故障修復(fù)時(shí)間限制的難題。其容錯(cuò)功能使系統(tǒng)中的任何一個(gè)部件發(fā)生故障，均不影響系統(tǒng)的正常運(yùn)行。與傳統(tǒng)的三重化結(jié)構(gòu)相比，它的容錯(cuò)功能更加完善。 　　HIMA H51q系統(tǒng)支持RS-485 Modbus RTU，Profibus DP，以太網(wǎng)OPC以及Modbus TCP等各種通信方式，可以與各主流DCS廠家實(shí)現(xiàn)無縫連接。 　　安全控制系統(tǒng)在FSSS上的應(yīng)用 　　越南高岸電廠230t/h循環(huán)流化床鍋爐的FSSS由燃燒器管理系統(tǒng)和爐膛安全保護(hù)系統(tǒng)2部分組成，前者主要實(shí)現(xiàn)鍋爐啟動(dòng)前的吹掃、燃油泄漏試驗(yàn)，建立點(diǎn)火條件和2套啟動(dòng)燃燒器、2套床槍的順序投入與切除；后者主要實(shí)現(xiàn)連續(xù)監(jiān)視爐膛壓力、汽包水位、流化風(fēng)壓力、風(fēng)機(jī)狀態(tài)、床溫等重要參數(shù)。 　　FSSS的硬件設(shè)備主要由就地檢測儀表、就地控制操作箱、控制設(shè)備以及PLC控制系統(tǒng)組成?？刂葡到y(tǒng)采用德國HIMA公司的H51q系統(tǒng)，并與單元機(jī)組的過程控制系統(tǒng)DCS完成通信，在DCS操作站上完成整個(gè)系統(tǒng)的監(jiān)視和控制。H51q的電源模件和控制器模件都是冗余配置，所有的I/O模件都按照信號(hào)是否和安全相關(guān)的原則，被分為安全型和普通型。由于安全I(xiàn)/O模件的價(jià)格較昂貴，采用這種方式,在一定程度上降低了整個(gè)系統(tǒng)的造價(jià)，提高了控制系統(tǒng)的經(jīng)濟(jì)性。 　　安全控制系統(tǒng)主要配置原則 　　FSSS系統(tǒng)的安全型I/O配置原則 　　■啟動(dòng)燃燒器和床槍燃油關(guān)斷閥控制信號(hào)、已關(guān)閉狀態(tài)信號(hào)； 　　■啟動(dòng)燃燒器和床槍霧化蒸汽閥控制信號(hào)、已關(guān)閉狀態(tài)信號(hào)； 　　■啟動(dòng)燃燒器和床槍霧化吹掃閥控制信號(hào)、已關(guān)閉狀態(tài)信號(hào)； 　　■啟動(dòng)燃燒器和床槍已插入信號(hào)； 　　■點(diǎn)火器點(diǎn)火控制信號(hào)、火檢有火狀態(tài)信號(hào)； 　　■點(diǎn)火丙烷氣關(guān)斷閥控制信號(hào)、已關(guān)閉狀態(tài)信號(hào)； 　　■主燃油關(guān)斷閥控制信號(hào)、已關(guān)閉狀態(tài)信號(hào)； 　　■燃油回油閥控制信號(hào)、已關(guān)閉狀態(tài)信號(hào)； 　　■主蒸汽壓力、汽包水位、床溫信號(hào)、爐膛壓力、流化風(fēng)壓力、風(fēng)量等； 　　■給煤機(jī)、石灰石給料機(jī)、一次風(fēng)機(jī)、送風(fēng)機(jī)和引風(fēng)機(jī)分閘控制信號(hào)和已分閘狀態(tài)。 　　FSSS系統(tǒng)的普通型I/O配置原則 　　■啟動(dòng)燃燒器和床槍燃油關(guān)斷閥已打開狀態(tài)信號(hào)； 　　■啟動(dòng)燃燒器和床槍霧化蒸汽閥已打開狀態(tài)信號(hào)； 　　■啟動(dòng)燃燒器和床槍霧化吹掃閥已打開狀態(tài)信號(hào)； 　　■啟動(dòng)燃燒器和床槍就地控制柜就地啟動(dòng)/停止信號(hào)、遠(yuǎn)方/就地選擇狀態(tài)信號(hào)； 　　■啟動(dòng)燃燒器和床槍伸進(jìn)和回退控制信號(hào)、故障信號(hào)； 　　■點(diǎn)火器故障信號(hào)、火檢故障信號(hào)； 　　■點(diǎn)火丙烷氣關(guān)斷閥已打開狀態(tài)信號(hào)； 　　■主燃油關(guān)斷閥已打開狀態(tài)信號(hào)； 　　■燃油回油閥已打開狀態(tài)信號(hào)； 　　■主汽壓力、汽包水位、床溫信號(hào)、爐膛壓力、風(fēng)量“多取中”后輸出到DCS信號(hào)。 　　FSSS系統(tǒng)配置 　　越南高岸項(xiàng)目FSSS使用的HIMA H51q型PES采用2個(gè)控制器冗余配置的方式，但與一般控制器不同的是在每一個(gè)控制器模塊中采用了2個(gè)微處理器。這種單個(gè)的控制器可達(dá)到 RC6/SIL3安全要求等級(jí)（實(shí)際上是一個(gè)控制器模塊上的loo2D結(jié)構(gòu)）。這一模塊冗余配置就可實(shí)現(xiàn)系統(tǒng)全部容錯(cuò)，成為2oo4D結(jié)構(gòu)?；驹砣鐖D 1所示。 　　在控制器中有一個(gè)“看門狗（watchdog）”電路，實(shí)際上是一個(gè)特殊的定時(shí)器，其功能是當(dāng)程序運(yùn)行發(fā)生故障并經(jīng)設(shè)定延時(shí)后，產(chǎn)生1個(gè)非屏蔽中斷，使系統(tǒng)復(fù)位。在2oo4D結(jié)構(gòu)中，任意控制器模塊的一個(gè)微處理器在正常存儲(chǔ)數(shù)據(jù)的存儲(chǔ)器下運(yùn)行，而另一個(gè)則在數(shù)據(jù)以取反的方式存儲(chǔ)的存儲(chǔ)器下運(yùn)行，它們同步運(yùn)行執(zhí)行同一用戶程序，通過硬件比較器監(jiān)視比較，兩存儲(chǔ)器內(nèi)數(shù)據(jù)應(yīng)剛好相反，否則觸發(fā)“看門狗”，但這并不影響另外一個(gè)控制器的正常運(yùn)行。故障控制器經(jīng)過“看門狗”復(fù)位后使其回到安全狀態(tài)，可通過DPR接受正常運(yùn)行控制器的全部運(yùn)行參數(shù)和中間變量，繼續(xù)同步執(zhí)行同一用戶程序。這種2oo4 D結(jié)構(gòu)保證了系統(tǒng)的可靠性，同時(shí)也具有很高的可用性。 　　watchdog信號(hào)不僅可以實(shí)現(xiàn)控制器故障時(shí)的切換，而且watchdog信號(hào)還在主機(jī)架的背板輸出并連接到其他I/O機(jī)架，使每個(gè)機(jī)架內(nèi)的輸出模件都可以引入“看門狗”計(jì)時(shí)器信號(hào)，當(dāng)CPU 內(nèi)部故障時(shí)令所有輸出模件各通道切換到關(guān)狀態(tài)，與安全相關(guān)的工藝設(shè)備被快速關(guān)斷，保證了系統(tǒng)的安全。watchdog信號(hào)的存在以及被引入到每一個(gè)I/O 機(jī)架這一形式是HIMA安全控制系統(tǒng)與普通PLC的重要區(qū)別之一。 　　HIMA 的安全控制系統(tǒng)與普通PLC相比，整個(gè)控制系統(tǒng)的電源是由3塊安裝在主機(jī)架上的電源模件（第3塊電源模件作為后備）經(jīng)背板電纜把各個(gè)從機(jī)架連接起來統(tǒng)一供電的，進(jìn)一步提高了電源的可靠性。HIMA系統(tǒng)在每個(gè)從機(jī)架上都設(shè)置了4塊用于提供開關(guān)量輸入模件查詢電壓的電源分配模件，而對(duì)于普通PLC來說，開關(guān)量模件的查詢電壓是通過外部配電提供的，不屬于PLC的一部分。由此可見HIMA安全控制系統(tǒng)具有更高的電源可靠性。 　　安全控制系統(tǒng)的軟件操作系統(tǒng)都是以嵌入的方式直接集成到控制器中。在運(yùn)行過程中，操作系統(tǒng)除了以循環(huán)掃描的形式來處理用戶程序外，還通過監(jiān)視程序的代碼版本號(hào)、運(yùn)行版本號(hào)、數(shù)據(jù)版本號(hào)、區(qū)域代碼號(hào)的更改來保證程序的安全性。H51q系統(tǒng)的編程軟件是ELOP—II，用戶程序的創(chuàng)建和修改必須按照綁定的IEC61508、DIN標(biāo)準(zhǔn)來執(zhí)行，同時(shí)軟件中還集成了源代碼比較器、目標(biāo)代碼比較器和經(jīng)過認(rèn)證的編譯器。這些工具在創(chuàng)建、下載和修改用戶程序過程中分別對(duì)源代碼和目標(biāo)代碼進(jìn)行測試并標(biāo)識(shí)出來。只有經(jīng)過測試的應(yīng)用程序才允許被下載到控制器中。 　　[b]安全控制系統(tǒng)主要配置原則 　　保證安全控制系統(tǒng)的獨(dú)立性[/b] 　　根據(jù)NFPA85的要求，F(xiàn)SSS應(yīng)該具有獨(dú)立的邏輯、I/O 和電源，并且在功能和邏輯上應(yīng)與其他控制系統(tǒng)分開。為了保證這一獨(dú)立性，安全系統(tǒng)應(yīng)從以下幾個(gè)方面來考慮： 　　■安全控制系統(tǒng)應(yīng)獨(dú)立于DCS。DCS僅僅通過少量硬接線和通信等方式與PES無縫連接，在其操作站上實(shí)現(xiàn)FSSS的監(jiān)視和操作。 　　■安全控制系統(tǒng)采用獨(dú)立的總電源，直接來自電氣UPS和保安電源。同時(shí)，與FSSS相關(guān)的現(xiàn)場檢測儀表和電磁閥的電源也應(yīng)直接由控制系統(tǒng)內(nèi)的配電裝置提供。 　　■現(xiàn)場信號(hào)直接來自就地一次儀表，用于保護(hù)的重要信號(hào)應(yīng)該單獨(dú)設(shè)置。 　　冗余配置與安全相關(guān)的就地儀表 　　控制邏輯單元雖然是整個(gè)安全儀表系統(tǒng)的核心，但安全儀表系統(tǒng)還包括現(xiàn)場檢測儀表和現(xiàn)場執(zhí)行機(jī)構(gòu)。在IEC61508標(biāo)準(zhǔn)中，安全儀表系統(tǒng)3個(gè)部分的典型故障幾率，控制邏輯單元為l5%，現(xiàn)場檢測儀表為35%，執(zhí)行機(jī)構(gòu)為50%，由此可見保證現(xiàn)場儀表的可靠性是十分重要的。 　　充分考慮系統(tǒng)的“靜態(tài)”特性 　　能自動(dòng)調(diào)節(jié)回路不接入與安全保護(hù)相關(guān)的控制系統(tǒng)中，以保證裝置能夠“靜態(tài)”監(jiān)視生產(chǎn)過程，一旦有造成跳閘的可能，控制系統(tǒng)能馬上采取措施使工藝過程處于安全狀態(tài)。 　　采用“故障-安全（fail-safe）”原則 　　為了在系統(tǒng)設(shè)計(jì)中體現(xiàn)出這一原則，邏輯組態(tài)應(yīng)采用“正邏輯”，同時(shí)與安全相關(guān)的輸出通道和就地執(zhí)行機(jī)構(gòu)的電磁閥在正常工況下應(yīng)處于帶電狀態(tài)，保證安全保護(hù)系統(tǒng)出現(xiàn)故障或滿足跳閘條件時(shí)，使工藝過程處于安全狀態(tài)。 　　明確與普通PLC的區(qū)別 　　在電廠的應(yīng)用中通常采用雙機(jī)熱備的“冗余”PLC控制器用以提高系統(tǒng)的可靠性，但這種方式所起的作用僅僅是“熱備用”而不是“冗余”。典型的冗余系統(tǒng)必須保證2個(gè)控制器同步運(yùn)行，而“熱備用”通常不是同步的，并且需要用戶編寫大量程序來實(shí)現(xiàn)這種“備用”功能。 這種“熱備用”只提高了系統(tǒng)的可用性，并沒有從根本上提升可靠性。 　　結(jié)語 　　HIMA的安全控制系統(tǒng)系統(tǒng)是根據(jù)相應(yīng)安全標(biāo)準(zhǔn)研制開發(fā)的專門用于安全保護(hù)系統(tǒng)的控制設(shè)備，具有完善的測試手段，當(dāng)檢測到系統(tǒng)故障尤其是危險(xiǎn)故障時(shí)能使系統(tǒng)回到安全狀態(tài)，從而最大限度地保證了系統(tǒng)的可靠性和可用性。 　　在目前大型火力發(fā)電機(jī)組的設(shè)計(jì)中，往往都采用DCS來完成FSSS和ETS功能。雖然這種一體化的方式有著接口簡單、減少備品備件品種、降低維修費(fèi)用和節(jié)省總投資等優(yōu)越性，但那些與安全相關(guān)的系統(tǒng)和功能由普通的DCS控制器來實(shí)現(xiàn)，顯然與越來越高的電廠運(yùn)行可靠性和安全性的要求不相符。所以采用符合國際標(biāo)準(zhǔn)的安全控制系統(tǒng)來實(shí)現(xiàn)電廠的保護(hù)功能將有力地保證電廠設(shè)備和人身安全，進(jìn)一步提高電廠的可用率和競爭力。