RTP培训.docx
《RTP培训.docx》由会员分享,可在线阅读,更多相关《RTP培训.docx(26页珍藏版)》请在冰点文库上搜索。
RTP培训
一、RTP公司简介
1.1RTP公司简介
有45年历史的美国RTP公司一家独立的DCS/SIS供应商,成立于1968年的美国RTP公司作为ComputerProducts,Inc.的子公司在1997年成为独立企业之前主要从事航空航天及核电领域的高性能DAS(数据采集系统)和PC-based控制系统业务,这些项目的典型特征是运行环境恶劣、在EMF/RFI干扰严重的条件下要求高精度的数量测量。
RTP的系统特色是拥有很好的可靠性,可应用于苛刻环境应用,在经过现场实践验证的高性能高可靠性的I/O硬件技术基础上,RTP从1995年开始提供包括控制器、I/O、配套软件等全套完整DCS产品(RTP2000),于2002年推出其第一款符合IEC61508标准的安全控制系统(RTP2200),2003年研制出支持1oo1D/1oo2D/2oo3D架构可选的升级型RTP2300,2006年推出第3代产品RTP2500并取得TUV-SIL3认证。
RTP3000SIS是在RTP2300/2500技术之上于2010年推向市场的最新一代SIS安全控制系统,具备更快的速度(5ms)和更高的I/O密度和99.9999%的可用性(6个9)并更加易用。
其中RTP3000Q是第一种具有真正四重化SIS架构,提供3oo4D冗余表决机制和长达60,000年的MTTFS(平均无误动故障时间)从而有效避免误系统误跳车导致的停产损失。
基于与RTP3000相同的硬件软件平台,RTP公司提出了RTP3100型DCS/SIS一体化混合控制系统使得BPCS与SIS能够紧密集成。
RTP具有领先的核心技术,生产用于核电站、过程控制、安全运转和汽轮机控制应用的关键控制和安全控制系统。
RTP公司产品质量保证体系不仅获得比ISO9001标准更严格的ABS(美国船级社)认证,产品不仅用于海上石油钻井平台、美国海军舰艇和美国空军F16和F117战斗机飞行仿真训练系统,同时也符合美国联邦核能管理委员会(NuclearRegulatoryCommission)法规10CFR50附录B《核电厂和燃料后处理厂质量保证准则》中的1E级核电站质量标准而广泛用于世界各地的核电站(93%的市场覆盖率)。
事实上RTP公司的主导行业是核电站,后来又逐渐延伸到油气、化工、电力、冶金等诸多行业,共有9000多个控制站在全球运行。
二、系统概述
2.1SIS的性能衡量
从狭义角度说,控制系统一般是指由I/O(输入/输出)单元、控制器、通迅单元、供电单元及其它附件组成的控制解算系统,广义的控制系统还包括现场输入装置(传感器或变送器)和现场最终元件(执行器)。
控制系统是根据工艺过程反馈或前馈的输入信号(过程变量)或操作员指令并按照预先设计的控制功能进行响应(即相应调节控制变量的输出信号值)而使工艺过程(被控对象)按要求运行(即使被控过程变量达到期望目标值)。
安全系统或SIS安全仪表系统作用是出现危险时能自动将过程带入安全停车的状态,安全可靠性RS和可用性A是衡量SIS性能的两个最基本指标。
安全可靠性RS是指控制系统在某种输入(如0或1)条件下正确执行控制功能的概率(即不拒动),RS是相对概念,与安全性相关;可用性A是系统在任何输入(0或1或模拟量输入)条件下均能正确执行控制功能的概率,A是绝对概念。
当控制系统因某种故障而导致功能丧失即错误的输出时即称为控制系统“失控”,“失控”直接导致安全性和可用性的降低。
在这里“失控”与IEC61508和IEC61151中的“Failure”(在GB/T21109.1中被译为“失效”)意义相同,失控模式又分为两种,一是因各种退化老化机制及恶劣环境(温度、湿度、振动、电磁干扰等)因素随机发生的硬件随机失控模式,二是由设计缺陷、不适当的工程实施与操作维护等固有确定性因素引发的体系失控模式。
控制系统失控对工艺装置造成后果可归结为三种:
危险运行工况、安全停车状态或局部异常但不危险运行工况。
按所导致后果的不同,SIS控制系统失控类型可分为两种:
●危险失控FD,对于SIS即是当过程有需求时系统保护功能(比如紧急停车)拒绝动作,在本文中称“拒动”,又分已检测出来的危险失控(FDD)与未检测出来的危险失控(FDU)。
●安全失控FS,对于SIS即是正常工况下引发安全保护功能误启动的失控,在本文中称“误动”,又分已检测出来的安全失控(FSD)与未检测出来的安全失控(FSU)。
70年代可编程电子安全系统刚推向市场时,人们非常强调安全系统的内部架构,制造商总是用解释内部架构如何冗余的方法来论证其系统设计能够达到所需的安全等级,还逐渐将1oo2表决、DMR双重化系统(1oo2D表决)、TMR三重化系统(2oo3表决)以及QMR四重化系统(2oo4D表决)的概念灌输给人们(即使不完全理解其内涵)并写进了宣传册和招标技术规范,甚至尽管提高冗余容错度通常可以提高系统安全完整性等级,但简单地认为TMR三重化冗余优于DMR双重化冗余其实是概念上极大的误解,IEC61508和IEC61511国际标准发布后详细定义了代表安全可靠性程度的全新术语“SafetyIntegrity”(安全完整性)。
安全完整性定义为SIS安全仪表系统在特定阶段的所有状态条件下顺利地执行所需的安全功能的可能性。
安全完整性等级(SIL)被定义为完成安全功能所需的安全完整性要求的离散等级。
对于安全系统来讲无论采用何种冗余架构形式最终是通过衡量SIL(安全完整性等级)和可用性来评价性能优劣的,但目前国内仍有不少人误认为三重化冗余优于双重化,甚至将笼统将三重化列为SIS招标技术规范书中的关键性技术条款同时却忽视采用一体化物理结构的三重化卡件(如Triconex的IO卡和ICS公司Triplex的控制器卡)所存在共因失控风险(内置于同一块卡件上的三重化通道的风险集中如同“将3个鸡蛋装在同一个篮子里”)而不要求2块独立卡件冗余(物理分离原则),这种不合理的设计人为排斥了使用其它分体式冗余架构但具有同等SIL级别且可能综合性能更高的SIS产品。
表格-SIS系统(B型)安全完整性(SIL)与失控概率(数据来源:
IEC61508-2)
安全完整性等级
(SIL)
PFD(参见注1)
低需求模式下的失控概率
PFH(参见注2)
连续模式下的失控速率
1
≥10-2到<10-1
≥10-6到<10-5
2
≥10-3到<10-2
≥10-5到<10-6
3
≥10-4到<10-3
≥10-6到<10-7
4
≥10-5到<10-4
≥10-7到<10-8
注1:
在低需求模式下,对于过程需求做出保护反应措施(每年不超过一次)
注2:
连续模式下执行连续控制来维护功能性安全的功能(每小时失控概率)
容错性能是衡量SIS功能单元在出现故障和错误时仍能不间断执行所需功能的能力强弱,其指标称为HFT(硬件容错裕度),如HFT=1表示容忍出现1个故障,根据安全相关性不同,HFT又分为HFDT(容忍危险故障)与HFST(容忍安全故障)。
表决体系是控制系统实现容错的最基本方法,MooN(MOutOfN)是N个里面选取M个的含义(简称N选M),用MooN表决是N个通道并行工作并检测比较各通道的输出差异进行表决,至少有M个通道表决值相同则其结果作为系统最终输出值。
N与M的差值N-M就是危险失控容错裕度HFDT,其含义是有N-M个冗余通道容许0(或1)信号通行,即容忍N-M个通道失控而能继续完成预定控制功能;特别需要区分其安全失控容错裕度HFST=M-1(M-1个冗余通道容许1通行),所以是提高HFDT是为了安全可靠性(在危险工况时能提供更好的安全保护但误动率也高),而提高HFST则是为了减少误动率(提高可用性)但同时增加拒动风险。
表格-SIS系统(B型)安全完整性(SIL)等级与SFF(数据来源:
IEC61508-2)
安全失控分数(SFF)
(参见注2)
HFDT硬件容错裕度(参见注1)
0
1
2
<60%
不允许
SIL1
SIL2
60%-<90%
SIL1
SIL2
SIL3
90%-<99%
SIL2
SIL3
SIL4
≥99%
SIL3
SIL4
SIL4
注1:
HFDT硬件容错裕度表示容忍HFDT+1个可能引起安全功能丧失的故障;
注2:
SFF=(∑S+∑DD)/(∑S+∑D),其中∑S是总的安全失控率,∑D是总的危险失控率,∑DD是可检测到危险失控率。
对于安全系统来讲,目前国内仍有不少人不加分析地误认为TMR三重化冗余优于DMR双重化,而事实是DMR术语是指带诊断的双重化(1oo2D)冗余架构,其可靠性及可用性类似于四重化(2oo4)而均高于三重化(2oo3)冗余。
2oo3系统的设计思路来源于同属简单表决的1oo2安全性与2oo2可用性的折衷综合,与简单表决式冗余相比,主动诊断式冗余系统安全性和可用性都有很大提高,其中1oo2D安全性最高,2oo2D可用性最高,1oo2D的容错性能优于简单表决式2oo3,2oo3D的容错性能介于2oo2D与1oo2D之间,而2oo3D只有RTP和ICS两家厂商能提供。
2oo4D则是1oo2D的改进型,RTP公司RTP3000-Q则是市场上唯一的3oo4D解决方案,可在保证SIL-3安全等级的同时提供最高的可用性(大于99.9999%),下图是不同结构容错性能对照示意。
2.2提高SIS安全控制系统性能的有效技术措施
2.2.1现场仪表的冗余
控制器、I/O、电源、通迅及现场仪表等各环节对全局安全性及可用性的综合影响程度不同,IEC的有关统计表明超过85%的广义控制系统失控由仪表故障引起而与控制器及IO无关。
对一个控制回路而言的失控概率权重如下:
◆传感器及变送器:
35%(可能包括安全栅)
◆控制器及I/O单元:
15%
◆终端元件(执行器):
50%(可能包括安全栅、继电器)
由上可见现场仪表对控制功能的可靠性及可用性的影响更大,因此在实际自动化工程应用中需要从全局角度分别协调考虑每个具体环节的冗余容错设计(如容错方式、冗余结构、容错裕度、共因及共同失控风险等),首先要选择可靠性高的仪表与正确的类型(如执行器作用方式、SIL安全型仪表及继电器),其次因仪表的故障率要高于控制器及I/O模件,且市场上单台安全型仪表的安全等级最多为SIL2,因此要用于SIL3等级就必须冗余配置。
比如国内部分化工设计院往往不考虑故障率更高的现场仪表冗余却要求控制系统IO冗余,其后果是投资大大增加而全局可靠性及可用性改善微乎其微。
2.2.2主动诊断冗余表决技术
NooM简单表决体系的防御故障机制具有单向特性,增大M可降低拒动率却同时提高误动率,反之增大N可降低误动率但拒动率上升,简单表决的局限首先是其被动式防御机制没有主动自诊断措施只能对信号进行被动式筛选,只是让0或1单向通过却不知对错(即不知道0是误动还是工艺真实需求,也不知道1是拒动还是生产正常)。
因此简单表决不能兼顾可靠性与可用性而只能被动地在N及M的数量上做权衡折衷选择(如令n=2m-1),比如2oo3虽然有同时减少拒动率和误动率的能力但性能介于1oo2和2oo2之间,而提高表决规模(如3oo5)又会造成结构过于复杂而难以维护且投资太高。
其次简单表决不能及时主动发现故障也不利于维护检修,如何改善上述缺陷呢?
关键就是引入附加的主动诊断机制,其中1oo1D系统就是体现这一理念的最基本的单通道容错架构,其它各种高级诊断式容错冗余架构(同步表决式及异步切换式)均是由1oo1D基础架构演变组合而来。
(1)1oo1D故障诊断与切除原理
隐蔽故障的探测手段有定期检验及在线自诊断。
能探测到隐蔽故障是能否切除并强制进入failsafe(故障安全)状态的前提条件。
故障在线自诊断是前提,IEC规定诊断覆盖率DC大于60%才能达到SIL1安全等级,这一点至关重要,其次故障诊断出后如何切除手段则仍然用了1oo2简单表决原理。
首先比较一下1oo1D与1oo1的输出电路区别。
图-1oo1及1oo1D输出电路的失控类型
如上图左侧所示的普通1oo1输出电路无法避免断路也没有任何附加的安全措施来避免三极管短路造成的危险失控。
为了降低拒动率,在1oo1输出回路中另串联一只三极管作为用来切断输出的备用切除开关变成1oo1D电路(如图2-1右侧所示),当主控电路的输出三极管(主控开关)因短路而不能执行来自CPU的安全联锁命令时,CPU通过D(自诊断)可以发出切除指令去断开备用的第2只三极管,从而切断负载供电而将危险失控转为安全失控状态。
电路的切除原理实质还是2只三极管的输出1oo2表决但因三极管控制信号是1oo1(都来自同1个CPU)故称为1oo1D电路,这一用来切断输出的备用或称第二级保护方法即“诊断切除”就是1oo1D中“D”的含义,它实现了最简单的单向容错但仅能减少短路故障导致的危险失控而不能避免断路故障造成的安全失控(误动)。
1oo1D切除故障的前提是能准确诊断出三极管的短路故障且IO输出模件至少有输出回读校验功能否则无法检测对脉冲测试的响应。
图1oo1D单通系统的输出电路
(2)利用诊断切除原理提高容错性能
1oo1D是各种高级诊断式表决及热备式切换容错冗余架构的基础。
从下图可以看出,1oo1D是基于单通道控制信号与附加通道自身的诊断信号进行简单1oo2表决的原理,其把检测出的拒动故障转换FD为误动故障FS,可靠性与1oo1相比有所提高但误动率也提高,1oo1D的容错性能类似于1oo2,都是将危险失控转化为安全失控从而实现单向容错,能否做到双向容错即减少拒动率的同时减少误动率呢?
图1oo1D系统
1oo1D具有诊断切除危险失控措施的这一技术特点使1oo1D单通道能够用于失控安全型的应用(SIL1~2)也为兼顾双向容错性能的冗余降级机制提供了技术基础,1oo1D诊断到拒动故障时会自动安全停机而造成误动,所以可以对此设计改成需要手动确认停机的半自动保护方式,即先通过HMI报警提醒并等待运行人员检查工艺过程是否确有停车保护需求,在得到手动确认指令后才转入断电状态(2oo2),另外还可以增加一路手动紧急停车指令与系统指令进行1oo2表决,这一额外附加的人为保护层可减少系统安全功能的误动及拒动率。
这种人工参与的提高容错裕度的特殊手段,其实质是将人也当成了系统一个冗余通道,如果将这种故障确认任务交给另一路作为冗余通道的1oo1D去完成就可以形成双向容错的双防型冗余系统,本文称这种双防型冗余系统为诊断式冗余系统,它由多路1oo1D并联构成,采用系统降级机制实现容错功能,即某一通道诊断出拒动故障时不是自动安全停机则而是相应通道退出表决(切除拒动但又不导致误动),它对某一通道诊断出的拒动失控、误动失控均可以切除,如果2路1oo1D均故障才转入安全失控。
基于1oo1D的不同组合及诊断切除机制,每种简单表决类型又可衍生出一种新的“带诊断”改进型冗余结构如2oo2D、1oo2D、1:
1热备式、2oo3D等。
诊断式冗余系统有两种运行方式,并行诊断表决和热备切换运行方式,但都采用了依赖于很强自诊断能力的系统降级原理,只是切除电路的动作逻辑不同,双重化诊断式(1oo2D或2oo2D)系统最为常用,传统QMR四重化架构(如HIMA、Honeywell、SIMENS和ABB公司的SIS产品)为2oo4D结构,实质为2路1oo2D系统进行并联(切换或2oo2)以提高可用性,另外Honeywell的FSC的控制器为2oo4D而I/O卡件则实为1oo2D表决。
市场上罕见2oo3D系统(比如RTP公司的产品和ABB的PlantGard)的设计思路来源于1oo2D安全可靠性2oo2D可用性的折衷综合。
图21常见诊断式表决体系
传统TMR三重化架构采用不带诊断的简单表决机制(如Tricon和Triplex采用2oo3),而RTP3000-T采用基于系统全面自诊断功能的带诊断表决机制2oo3D从而拥有更高的安全性和可用性,而RTP3000-Q是目前世界上唯一采用3oo4D带诊断表决机制的真正QMR四重化冗余从而拥有最高的安全性和高达99.9999%(6个9)的可用性。
2.2.3冗余部件分离原则
与被动式简单表决机制相比,主动诊断式冗余容错性能虽然大有提高,但还需要考虑共因失控可能导致的性能下降。
共因失控是指两个通道由于共同原因而导致的失控并又分为二种情形,最常见共因失控的是由其它单一故障点(冗余部件共享的其它部件发生故障)引发的继发性共因失控,第二种共因失控是冗余部件以相同的失控模式发生的非继发性共模失控。
注:
失控模式分为由各种退化机制引起的随机发生的硬件随机失控及由设计缺陷等固有特性引起的确定性体系失控两种。
同型冗余(使用同一制造商的同种元素或系统实现)仅能减少硬件随机失控,分离措施(物理分离及逻辑分离)及异型多样性冗余方案是为减少发生共因失控的两种主要技术手段。
分离是指冗余部件(硬件及软件)尽量独立而减少有共享因素(单一故障点),多样性异型冗余架构则采用差异化元素,包括采用不同种的设计方法,不同技术种类、电子工艺及特性的部件、不同软件算法等来构成冗余部件冗余从而减少对相同因素的相同模式响应(减少体系失控和共因失控)。
下面介绍分离措施这种主要手段。
∙BPCS与SIS的分离
首先应按控制系统保护层之间应该相对独立的原则将安全型控制任务独立,即BPCS与SIS分离(注意故障率更高的现场仪表首先要分离而不应共享),从全局来看,其实SIS和BPCS本身就构成一个大型1oo1D冗余保护系统,其中BPCS是主控系统而SIS就是全局1oo1D中的D(诊断看门狗及后备停车),如果因为内层BPCS与外层SIS共享控制部件,则BPCS失控引发的保护需求自身却无法完成停车保护。
如下图所示:
SIS
BPCS
∙硬件分散化和分体式冗余配置(物理分离)
不少控制系统厂商尤其是SIS厂商出于成本考虑设计了很多风险集中的部件,比如19”机架及母板、集中式系统电源、高密度IO卡件等,另外像冗余控制器及电源共用1块底板或机架、内置三重化IO的冗余通道共用同1块卡件(如Triconex的产品),甚至2重化CPU(如HIMA的 HQ41/51Honeywell的FSC)或3重化CPU(如ICS的Triplex)也共处于1块卡件上,这些集中因素都存在很高的共因失控风险。
按照IEC611508标准的规定,部件不仅要冗余而且应该尽量物理分离(即尽量避免单一故障点),不能分离的部件应作冗余热备,而国内SIS项目中的一体式3重化IO模件都没有进行冗余热备,这大大提高了2个通道发生共因故障的可能。
∙控制系统的逻辑分离(软件、固件分离)
传统集中式SIS(如Triconex产品及ABB前一代产品Safeguard)采用末级汇总式集中表决机制(表决逻辑不分离),输入卡件自身不做信号表决而是传送到后级的控制器再进行输入表决,控制器对逻辑运算结果也不就地表决而是送到最末级的输出模件进行集中硬件表决,这会使前级设备(输入卡、控制器)的错误传递到后级并最终累积到输出模件而可能导致整个冗余系统的失控,比如下图所示的末级汇总式1oo2表决系统中的某1路控制器与另1路IO均故障即可导致IO失控:
另外集中式SIS的诊断任务也是由控制器集中实现,而新一代分散式SIS(如RTP的产品与ABB、ICS的新一代SIS)则采用各级独立自主诊断表决的逐级分散化冗余方式。
逐级分散化冗余方案中的控制器和IO卡件对运算结果就地自主表决或切换,逐级分散化冗余方式在物理上和逻辑上均符合IEC611508提倡的分离原则(由2个卡件的内置微处理器自主执行表决),这种多级错误防御体系能容忍控制器及IO各出现1个环节交叉故障(共3个不同类型部件故障),大大提高了安全性和可用性并有效减少了因集中诊断造成的控制器与IO模件间的通迅负荷。
下图所示为逐级分散化1oo2表决:
下图所示为逐级分散式1oo2D诊断表决:
上图所示的逐级分散化1oo2D冗余方案是输入卡环节、CPU环节(控制器)、输出卡环节均有独立的本级主动诊断式冗余机制,所不同的是智能输出卡环节内部又分为前端(固化软件程序表决)及末端(4选2硬件表决开关电路),输入环节及CPU环节均采用软件表决。
逐级分散化冗余是多级分层保护防御体系,双通道任何环节出现的单一故障均被本级切除而不会波及到后一级,可以容忍3级各出现1个环节交叉故障(但同一环节只能容忍1个故障),逐级分散化冗余方案在符合各保护层之间应尽可能独立以防止共因失控的要求方面更彻底,相当于在控制系统内部又细分为3层(输入环节、CPU环节、输出环节)因而更可靠,能有效减少前级环节故障累积而造成的后级共因失控。
2.3RTP3000系统概述
2.3.1RTP3000系统构成
RTP3000安全应用及关键控制系统符合IEC61508和IEC61511标准,由一个或多个的控制站节点CS、操作站/工程师站节点(OS/EWS)以及SIL-3等级的安全型系统网络组成。
RTP3000是当今世界上最具裁剪性的可控制系统,对节点数量几乎没有限制。
其中控制站节点CS主要由系统机架、电源、主控制器NP、机架通迅处理器CP、智能I/O卡件(DI/DO/AI/AO/RTD/TC)、分布式处理卡件(高速计数器卡、伺服控制卡),外部通信卡件(ModbusTCP/Modbus串口)、I/O电缆、卡件端子板和I/O网络交换机构成。
控制站节点CS的I/O容量具有强大的扩展能力,可从小到单机架的节点扩展到包含16个机架(10,000个I/O点)的复杂节点。
控制站节点CS支持全面冗余配置(电源、主控制器NP、机架通迅处理器CP、I/O卡件和网络交换机),而且RTP独一无二的可选冗余架构设计允许用户对每个控制站节点的主控制器NP都可以根据不同的安全性(SIL-1、SIL-2或SIL-3)及可用性(99.9%、99.99%、99.999%、99.9999%)要求配置不同的冗余架构(而非固定冗余类型):
●3000-Q真正四重化冗余(3oo4D带诊断表决机制、SIL1~3应用)
●3000-T三重化冗余(2oo3D带诊断表决机制、SIL1~3应用)
●3000-D双重化冗余(1oo2D带诊断表决机制、SIL1~3应用)
●3000-S单通道(1oo1D带诊断表决机制、SIL1~2应用)
对于控制器NP的上述四种冗余架构,对应I/O的冗余方式也都可以灵活选择为单I/O卡(内置冗余)、双I/O卡、三卡甚至四卡冗余。
都提供高级自诊断功能以确保系统的正确运行操作并提供诊断文本信息以协助维护和减少意外停机时间。
RTP3000安全型控制系统综合了当代最先进的技术并符合IEC61508/61151安全标准,可为用户提供高安全性(SIL3认证且实际参数可达SIL4)和达到极致的99.9999%(6个9)的极高运行可用性。
RTP3000可确保在工艺生产装置发生危险时紧急将过程带入安全停车状态,另一方面超过62242年的超长MTTFS(平均无误动故障时间)又能避免保护功能误动导致的停车生产损失,RTP3000的误动率仅有其它品牌SIS的十分之一,几乎可以做到永不误停车。
应用软件可在线做任何修改(包括控制算法和逻辑、配置、I/O变更或增加甚至机架的增减)均不会对工艺生产过程造成中断。
所有硬件均可带电热插拔进行更换维修而不必中断系统运行。
RTP3000具有内置的ProofTest(验证测试)软件,需要停机进行手动验证测试的周期长达20年,即使用期限内根本无需进行手动验证测试。
2.3.2RTP3000
升级会员 