越南高岸電廠2×50MW工程采用德國ALSTOM公司制造的230t/h循環(huán)硫化床鍋爐，F(xiàn)SSS硬件采用德國HIMA公司生產(chǎn)的安全可編程邏輯控制器（PES）H51q系統(tǒng)。與普通類型的PLC或DCS來實現(xiàn)FSSS功能不同的是，本工程專門為安全應(yīng)用場合設(shè)計，具有完善的故障檢測功能并取得權(quán)威機構(gòu)安全認(rèn)證的HIMA安全控制系統(tǒng)作為FSSS的控制裝置，使保護(hù)系統(tǒng)具有更高的安全性、可靠性和可用性。 　　安全型控制系統(tǒng) 　　根據(jù)IEC標(biāo)準(zhǔn)，安全型系統(tǒng)（safety-related system）適用于所有工業(yè)系統(tǒng)。通常所說的安全控制系統(tǒng)就是指儀表和控制設(shè)備構(gòu)成的保護(hù)系統(tǒng)，主要包括現(xiàn)場檢測儀表、控制邏輯單元和現(xiàn)場執(zhí)行裝置3部分，其中控制邏輯單元是整個控制系統(tǒng)的核心。在安全控制系統(tǒng)的設(shè)計中，為了定量分析各種生產(chǎn)裝置的安全性，IEC61508定義了4個安全度等級，每個等級包括2個定量的安全要求，即系統(tǒng)連續(xù)操作每小時故障概率（PFH）和按要求模式執(zhí)行指定功能的故障概率（PFD）。安全控制系統(tǒng)的設(shè)計以及系統(tǒng)結(jié)構(gòu)既要滿足工業(yè)過程的安全度要求，又要保證可靠性和可用性，因此，必須對具體的工業(yè)過程進(jìn)行安全評價。我國目前還沒有具體的安全等級評價和設(shè)計標(biāo)準(zhǔn)，而目前國際上通用的標(biāo)準(zhǔn)有德國的DIN19250、美國的ISA S84．01和IEC61508；權(quán)威的認(rèn)證機構(gòu)包括德國的TUV等 。 　　電廠的爐膛安全保護(hù)系統(tǒng)的安全度等級一般被定義為SIL3（IEC61508），此等級相當(dāng)DIN19250標(biāo)準(zhǔn)的RC6級。 　　HIMA安全控制系統(tǒng)的特點 　　HIMA H51q系列，是第三代經(jīng)生產(chǎn)實踐驗證的HIMA PES系統(tǒng)。它能夠利用個人計算機進(jìn)行靈活的用戶組態(tài)、監(jiān)測和事件記錄，為生產(chǎn)控制提供最安全的控制保障。 　　HIMA的H51q系統(tǒng)為CPU四重化結(jié)構(gòu)（QMR-Quadruple Modular Redundant），即系統(tǒng)的中央控制單元共有四個微處理器，每二個微處理器集成在一塊CU模件上，再由兩塊同樣的CU模件構(gòu)成中央控制單元。一塊CU 模件即構(gòu)成1oo2D結(jié)構(gòu)，HIMA的1oo2D結(jié)構(gòu)產(chǎn)品滿足AK6/SIL3的安全標(biāo)準(zhǔn)。為了向用戶提供最大的可利用性，采用雙1oo2D結(jié)構(gòu)，即 2oo4D結(jié)構(gòu)。在冗余結(jié)構(gòu)的情況下，高速雙重RAM接口（DPR）使兩個中央單元通倍，從而解決了無故障修復(fù)時間限制的難題。其容錯功能使系統(tǒng)中的任何一個部件發(fā)生故障，均不影響系統(tǒng)的正常運行。與傳統(tǒng)的三重化結(jié)構(gòu)相比，它的容錯功能更加完善。 　　HIMA H51q系統(tǒng)支持RS-485 Modbus RTU，Profibus DP，以太網(wǎng)OPC以及Modbus TCP等各種通信方式，可以與各主流DCS廠家實現(xiàn)無縫連接。 　　安全控制系統(tǒng)在FSSS上的應(yīng)用 　　越南高岸電廠230t/h循環(huán)流化床鍋爐的FSSS由燃燒器管理系統(tǒng)和爐膛安全保護(hù)系統(tǒng)2部分組成，前者主要實現(xiàn)鍋爐啟動前的吹掃、燃油泄漏試驗，建立點火條件和2套啟動燃燒器、2套床槍的順序投入與切除；后者主要實現(xiàn)連續(xù)監(jiān)視爐膛壓力、汽包水位、流化風(fēng)壓力、風(fēng)機狀態(tài)、床溫等重要參數(shù)。 　　FSSS的硬件設(shè)備主要由就地檢測儀表、就地控制操作箱、控制設(shè)備以及PLC控制系統(tǒng)組成?？刂葡到y(tǒng)采用德國HIMA公司的H51q系統(tǒng)，并與單元機組的過程控制系統(tǒng)DCS完成通信，在DCS操作站上完成整個系統(tǒng)的監(jiān)視和控制。H51q的電源模件和控制器模件都是冗余配置，所有的I/O模件都按照信號是否和安全相關(guān)的原則，被分為安全型和普通型。由于安全I(xiàn)/O模件的價格較昂貴，采用這種方式,在一定程度上降低了整個系統(tǒng)的造價，提高了控制系統(tǒng)的經(jīng)濟(jì)性。 　　安全控制系統(tǒng)主要配置原則 　　FSSS系統(tǒng)的安全型I/O配置原則 　　■啟動燃燒器和床槍燃油關(guān)斷閥控制信號、已關(guān)閉狀態(tài)信號； 　　■啟動燃燒器和床槍霧化蒸汽閥控制信號、已關(guān)閉狀態(tài)信號； 　　■啟動燃燒器和床槍霧化吹掃閥控制信號、已關(guān)閉狀態(tài)信號； 　　■啟動燃燒器和床槍已插入信號； 　　■點火器點火控制信號、火檢有火狀態(tài)信號； 　　■點火丙烷氣關(guān)斷閥控制信號、已關(guān)閉狀態(tài)信號； 　　■主燃油關(guān)斷閥控制信號、已關(guān)閉狀態(tài)信號； 　　■燃油回油閥控制信號、已關(guān)閉狀態(tài)信號； 　　■主蒸汽壓力、汽包水位、床溫信號、爐膛壓力、流化風(fēng)壓力、風(fēng)量等； 　　■給煤機、石灰石給料機、一次風(fēng)機、送風(fēng)機和引風(fēng)機分閘控制信號和已分閘狀態(tài)。 　　FSSS系統(tǒng)的普通型I/O配置原則 　　■啟動燃燒器和床槍燃油關(guān)斷閥已打開狀態(tài)信號； 　　■啟動燃燒器和床槍霧化蒸汽閥已打開狀態(tài)信號； 　　■啟動燃燒器和床槍霧化吹掃閥已打開狀態(tài)信號； 　　■啟動燃燒器和床槍就地控制柜就地啟動/停止信號、遠(yuǎn)方/就地選擇狀態(tài)信號； 　　■啟動燃燒器和床槍伸進(jìn)和回退控制信號、故障信號； 　　■點火器故障信號、火檢故障信號； 　　■點火丙烷氣關(guān)斷閥已打開狀態(tài)信號； 　　■主燃油關(guān)斷閥已打開狀態(tài)信號； 　　■燃油回油閥已打開狀態(tài)信號； 　　■主汽壓力、汽包水位、床溫信號、爐膛壓力、風(fēng)量“多取中”后輸出到DCS信號。 　　FSSS系統(tǒng)配置 　　越南高岸項目FSSS使用的HIMA H51q型PES采用2個控制器冗余配置的方式，但與一般控制器不同的是在每一個控制器模塊中采用了2個微處理器。這種單個的控制器可達(dá)到 RC6/SIL3安全要求等級（實際上是一個控制器模塊上的loo2D結(jié)構(gòu)）。這一模塊冗余配置就可實現(xiàn)系統(tǒng)全部容錯，成為2oo4D結(jié)構(gòu)。基本原理如圖 1所示。 　　在控制器中有一個“看門狗（watchdog）”電路，實際上是一個特殊的定時器，其功能是當(dāng)程序運行發(fā)生故障并經(jīng)設(shè)定延時后，產(chǎn)生1個非屏蔽中斷，使系統(tǒng)復(fù)位。在2oo4D結(jié)構(gòu)中，任意控制器模塊的一個微處理器在正常存儲數(shù)據(jù)的存儲器下運行，而另一個則在數(shù)據(jù)以取反的方式存儲的存儲器下運行，它們同步運行執(zhí)行同一用戶程序，通過硬件比較器監(jiān)視比較，兩存儲器內(nèi)數(shù)據(jù)應(yīng)剛好相反，否則觸發(fā)“看門狗”，但這并不影響另外一個控制器的正常運行。故障控制器經(jīng)過“看門狗”復(fù)位后使其回到安全狀態(tài)，可通過DPR接受正常運行控制器的全部運行參數(shù)和中間變量，繼續(xù)同步執(zhí)行同一用戶程序。這種2oo4 D結(jié)構(gòu)保證了系統(tǒng)的可靠性，同時也具有很高的可用性。 　　watchdog信號不僅可以實現(xiàn)控制器故障時的切換，而且watchdog信號還在主機架的背板輸出并連接到其他I/O機架，使每個機架內(nèi)的輸出模件都可以引入“看門狗”計時器信號，當(dāng)CPU 內(nèi)部故障時令所有輸出模件各通道切換到關(guān)狀態(tài)，與安全相關(guān)的工藝設(shè)備被快速關(guān)斷，保證了系統(tǒng)的安全。watchdog信號的存在以及被引入到每一個I/O 機架這一形式是HIMA安全控制系統(tǒng)與普通PLC的重要區(qū)別之一。 　　HIMA 的安全控制系統(tǒng)與普通PLC相比，整個控制系統(tǒng)的電源是由3塊安裝在主機架上的電源模件（第3塊電源模件作為后備）經(jīng)背板電纜把各個從機架連接起來統(tǒng)一供電的，進(jìn)一步提高了電源的可靠性。HIMA系統(tǒng)在每個從機架上都設(shè)置了4塊用于提供開關(guān)量輸入模件查詢電壓的電源分配模件，而對于普通PLC來說，開關(guān)量模件的查詢電壓是通過外部配電提供的，不屬于PLC的一部分。由此可見HIMA安全控制系統(tǒng)具有更高的電源可靠性。 　　安全控制系統(tǒng)的軟件操作系統(tǒng)都是以嵌入的方式直接集成到控制器中。在運行過程中，操作系統(tǒng)除了以循環(huán)掃描的形式來處理用戶程序外，還通過監(jiān)視程序的代碼版本號、運行版本號、數(shù)據(jù)版本號、區(qū)域代碼號的更改來保證程序的安全性。H51q系統(tǒng)的編程軟件是ELOP—II，用戶程序的創(chuàng)建和修改必須按照綁定的IEC61508、DIN標(biāo)準(zhǔn)來執(zhí)行，同時軟件中還集成了源代碼比較器、目標(biāo)代碼比較器和經(jīng)過認(rèn)證的編譯器。這些工具在創(chuàng)建、下載和修改用戶程序過程中分別對源代碼和目標(biāo)代碼進(jìn)行測試并標(biāo)識出來。只有經(jīng)過測試的應(yīng)用程序才允許被下載到控制器中。 　　[b]安全控制系統(tǒng)主要配置原則 　　保證安全控制系統(tǒng)的獨立性[/b] 　　根據(jù)NFPA85的要求，F(xiàn)SSS應(yīng)該具有獨立的邏輯、I/O 和電源，并且在功能和邏輯上應(yīng)與其他控制系統(tǒng)分開。為了保證這一獨立性，安全系統(tǒng)應(yīng)從以下幾個方面來考慮： 　　■安全控制系統(tǒng)應(yīng)獨立于DCS。DCS僅僅通過少量硬接線和通信等方式與PES無縫連接，在其操作站上實現(xiàn)FSSS的監(jiān)視和操作。 　　■安全控制系統(tǒng)采用獨立的總電源，直接來自電氣UPS和保安電源。同時，與FSSS相關(guān)的現(xiàn)場檢測儀表和電磁閥的電源也應(yīng)直接由控制系統(tǒng)內(nèi)的配電裝置提供。 　　■現(xiàn)場信號直接來自就地一次儀表，用于保護(hù)的重要信號應(yīng)該單獨設(shè)置。 　　冗余配置與安全相關(guān)的就地儀表 　　控制邏輯單元雖然是整個安全儀表系統(tǒng)的核心，但安全儀表系統(tǒng)還包括現(xiàn)場檢測儀表和現(xiàn)場執(zhí)行機構(gòu)。在IEC61508標(biāo)準(zhǔn)中，安全儀表系統(tǒng)3個部分的典型故障幾率，控制邏輯單元為l5%，現(xiàn)場檢測儀表為35%，執(zhí)行機構(gòu)為50%，由此可見保證現(xiàn)場儀表的可靠性是十分重要的。 　　充分考慮系統(tǒng)的“靜態(tài)”特性 　　能自動調(diào)節(jié)回路不接入與安全保護(hù)相關(guān)的控制系統(tǒng)中，以保證裝置能夠“靜態(tài)”監(jiān)視生產(chǎn)過程，一旦有造成跳閘的可能，控制系統(tǒng)能馬上采取措施使工藝過程處于安全狀態(tài)。 　　采用“故障-安全（fail-safe）”原則 　　為了在系統(tǒng)設(shè)計中體現(xiàn)出這一原則，邏輯組態(tài)應(yīng)采用“正邏輯”，同時與安全相關(guān)的輸出通道和就地執(zhí)行機構(gòu)的電磁閥在正常工況下應(yīng)處于帶電狀態(tài)，保證安全保護(hù)系統(tǒng)出現(xiàn)故障或滿足跳閘條件時，使工藝過程處于安全狀態(tài)。 　　明確與普通PLC的區(qū)別 　　在電廠的應(yīng)用中通常采用雙機熱備的“冗余”PLC控制器用以提高系統(tǒng)的可靠性，但這種方式所起的作用僅僅是“熱備用”而不是“冗余”。典型的冗余系統(tǒng)必須保證2個控制器同步運行，而“熱備用”通常不是同步的，并且需要用戶編寫大量程序來實現(xiàn)這種“備用”功能。 這種“熱備用”只提高了系統(tǒng)的可用性，并沒有從根本上提升可靠性。 　　結(jié)語 　　HIMA的安全控制系統(tǒng)系統(tǒng)是根據(jù)相應(yīng)安全標(biāo)準(zhǔn)研制開發(fā)的專門用于安全保護(hù)系統(tǒng)的控制設(shè)備，具有完善的測試手段，當(dāng)檢測到系統(tǒng)故障尤其是危險故障時能使系統(tǒng)回到安全狀態(tài)，從而最大限度地保證了系統(tǒng)的可靠性和可用性。 　　在目前大型火力發(fā)電機組的設(shè)計中，往往都采用DCS來完成FSSS和ETS功能。雖然這種一體化的方式有著接口簡單、減少備品備件品種、降低維修費用和節(jié)省總投資等優(yōu)越性，但那些與安全相關(guān)的系統(tǒng)和功能由普通的DCS控制器來實現(xiàn)，顯然與越來越高的電廠運行可靠性和安全性的要求不相符。所以采用符合國際標(biāo)準(zhǔn)的安全控制系統(tǒng)來實現(xiàn)電廠的保護(hù)功能將有力地保證電廠設(shè)備和人身安全，進(jìn)一步提高電廠的可用率和競爭力。