秦朝军 刘天虎 周 亮 唐 山 王海群

(北京航天石化技术装备工程公司加热炉事业部,北京 100166)

欧美发达国家对安全产品的要求非常严格，而我国政府也已经通过安监局及科技部等部门对故障安全的相关技术和标准进行了调研，未来将逐步完善国内的相关劳动安全法律法规和行业规范，以保护人员和环境的安全。近年来，故障安全产品的应用也随着广大用户安全意识的不断提高而逐渐开始普及。

安全相关系统包括安全控制系统与安全保护系统，当危险事件发生时，安全相关系统将采取适当的措施和动作，防止被保护对象进入危险状态，避免危及人身安全，保护财产不受损失。在不同的应用领域，安全相关系统有不同的内涵和名称，如安全仪表系统、关键控制系统、安全解决方案、故障安全系统、联锁保护系统及铁路信号系统等[1]。

导热油炉站及其热媒炉系统是石油、化工连续生产过程中的核心和关键动力设备，一般在系统设计中对其可靠性、安全性及可维护性等各方面都有更高的标准，而作为整个热媒站的控制系统部分，其也有更加严格的安全和连续生产要求。因此，选择可靠的故障安全产品，在安全和连续生产这两个相互矛盾的方面兼顾用户诉求，是系统设计面临的两大难题。

Siemens S7-400FH是依据IEC61508(等同于GB/T 20438.1～7)研发的[2]，用于在系统发生故障后能够导入安全，这也是该系统的根本设计准则[3]。当用一组自动化装置构造一个自动化系统后，此系统可以实现一组故障安全保护功能，当其中一个或多个自动化装置发生故障时，该系统仍然能够保护安全功能不丢失，即故障安全系统可以对人、机械和环境提供更高的安全等级。

在此，笔者将Siemens S7-400FH故障安全冗余系统引入热媒控制站作为控制系统的核心，以使热媒站和整个生产装置的安全控制水平和级别在安全性和可靠性方面能够得到很好的提升。

某化工厂新建装置在热媒站招标采购中对核心控制器在故障安全方面提出了高标准和严要求，但并未对控制回路及现场元器件等的SIL等级做出更严苛的要求，项目在方案选择和实际技术细节上主要进行了3方面的升级和改进。

1.1 控制系统核心

通过对几家公司的控制器进行选型比对，最终选择了S7-400FH故障安全与容错型冗余控制器及其配套产品作为本项目控制系统的核心。该控制器及其相关I/O模块满足TÜV认证，同时符合并达到以下标准和水平：

a. 执行EN50159-1，满足classes AK1 to AK6，符合DIN V 19250/DIN V VDE 0801；

b. SIL1～SIL3，符合IEC61508标准；

c. Categories 1～4，符合EN954-1。

1.2 选型方案

根据用户和工艺对控制系统的要求，本着高可靠性、安全性和经济性的原则，在不降低系统整体性能的前提下，应从控制方案的选型及配置等各方面对系统进行综合考虑并优化设计。对输入输出信号应要求其具有重要性、安全性和可靠性，且事先同工艺等专业进行分析并进一步对信号分类，确定使用带F或非F的卡件对信号进行处理，采用故障安全型卡件和普通卡件相结合的方案处理系统信号从而节省一次资金的投入。

1.3 编程模式

在控制程序的结构设计上，摒弃了原来以梯形图编程为主的编程模式，改用CFC功能块编程兼顾调用系统已有的普通功能模块库和故障安全模块库中控件的模式，对热媒炉控制系统从信号采集到控制程序进行了重新处理和规划、编程。

在人机界面的功能上，实现了两种不同的人机界面上位机和触摸屏两地分立独立控制操作。

在网络结构上，从Siemens S7-400FH PLC到ET200M，由Profibus DP网构成；容错的Industry Earthnet工业以太网借助单模光纤中继，将PLC和人机界面之间(包括触摸屏和上位机)通过PROFIsafe安全协议连接。

2 FH系统的实现与相关组态编程

2.1 系统信号的甄别、分析、定义和分类

按照IEC61508和TSG标准的基本要求，需同工艺、设备及燃烧等所有专业，对系统PID流程中所涉及的所有电信号从其重要性、出现故障后若不能被可靠检测或处理时是否会导致重大安全事故等方面逐一进行重点的甄别、分析、定义和分类，完成系统I/O表的配置和对应F卡件的选型。

针对热媒炉控制系统核心部分的燃烧控制回路，其包括燃料控制、助燃风控制、介质出口温度控制和氧量控制回路，以燃料控制回路为例，其中燃料流量的采集包括稳压补偿压力采集、温度采集和流量压差信号采集3部分，输出为燃料流量调节阀。燃料控制回路任一信号故障或处理失败，都会直接导致热媒炉控制系统的波动或失效，进而导致严重的安全事故。因此，从各专业角度来定义，都是关键信号，必须重点处理和使用，其在图1中定义为背景色“灰色”，标示为“冗余”。

图1 信号甄别与分类

而对于诸如“热风温度”及“总管入口温度”等信号，仅作为一般的指示和工艺记录使用，其信号暂时甚至长时的波动或失效对控制系统和装置均不会造成过大的损坏或安全事故，更不会造成人员伤亡，因此，其在系统中的重要性明显较低，因此仅定义为一般正常信号，图中以“Norm”表示。

至于系统中的其余信号，包括数字量输入DI点和数字量输出DO点，均逐一经过同样的甄别和分类过程，汇入图中，在此不再赘述。

2.2 硬件选型和配置

系统的基本硬件配置如图2所示。

图2 系统硬件基本配置

S7-400FH故障安全和故障容错型冗余(The Fail-safe and Fault-tolerant S7 F/FH Systems)产品能够较好地满足对系统高可靠性、容错、冗余方面的要求。故障安全和故障容错型S7 F/FH系统允许产品持续工作而不引起对人或环境的任何损坏，因此可通过冗余组件(如电源、中央处理单元、通信组件和I/O组件)来实现系统的高可靠性。

在CPU和电源的选择上，选择PCS7选型中的412FH故障冗余套件，该套件虽然接近400系列的最低起点配置，但对于一个小型热媒站系统无论从点数到通信、运算处理上都已绰绰有余，打包选型订货后，不仅比分别单个订购CPU、电源、电池、地板及通信模板等的费用低，而且出厂时经过组装后整体的性能测试，性价比很高。

上位组态软件选择了性价比较高的512点WinCC 7.0 RC，开发、运行合二为一，同时，根据需要单独选择了CP1623、Step 7 5.4、S7-F系统及CFC等硬件和软件，大幅降低了成本。

考虑到用户DCS控制室只配置一台上位机，而此控制系统又是关键的核心设备，一旦上位机失败后若没有后备的处理力量，将是一个非常严重的问题。而用户日常在机柜室检修时有维护、操作的要求，因此，在机柜室控制柜上为用户保留了一台触摸屏(HMI)作为操作和维护的后备力量。上位机同S7-400FH通过以太网TCP/IP通信；机柜室的HMI同冗余S7-400FH、冗余CPU进行实时TCP/IP通信，并可在一路通信失效后无缝自动切换至另一路工作，机柜室机柜侧配置了Scanlance X202-2(1个光口、4个以太网口)以实现触摸屏；冗余CPU和上位机之间以PROFIsafe模式通信。

故障冗余型卡件的选型以FH型卡件中常用性好、IO点数容量大、性价比高的为主，如DI卡，选择24点的F-DI卡，10点输出的F-DO卡、8点输入的F-AI卡和8点输出的AO卡。

2.3 系统结构与网络构成

搭建完成后的控制系统结构和网络构成如图3所示。可以看出，控制系统网络共分为3层。

图3 搭建完成后的控制系统结构和网络构成

最上层为工业以太网Ethernet TCP/IP，通信主体有3个，配有两块CP443-1以太网卡的S7-400FH冗余CPU、装有CP1623通信卡的WinCC上位机和HMI，3个通信主体经过Scanlance路由器进行通信。由于DCS距离机柜室较远，上位机与其余两个设备的通信则通过两地分设Scanlance经过电光-光电转换实现。

中间层为Profibus DP网，冗余通信，总线上PROFIsafe和Profibus节点在一个线路上共存，F-CPU与F卡件和普通卡件之间通过Profibus DP网既能实现PROFIsafe安全通信，又能实现普通工业级通信，PROFIsafe的基本通信原理如图4所示。改进后的安全技术使用标准的Profibus总线，在同一Profibus总线上同时存在标准与故障安全型控制器，而且标准与故障安全型的I/O可以混合使用(笔者即采用此模式)，因此标准和安全部分可以有机地集成在一起，实现无缝工程。

最下层为现场控制层(Field Bus)。

图4 PROFIsafe的基本通信原理

2.4 故障安全系统的编程和组态要点

故障安全系统的组态和编程与标准的PLC程序有非常大的不同，不管是硬件组态，还是程序结构，或者是编译下载，都有它的特色。如果在Step7中编写一个故障安全系统的新项目，可以按照如图5所示的编程过程，分5个步骤进行。

图5 F组态的编程过程

因F和H系统涉及的组态和编程内容非常繁杂，因此以下仅从项目涉及的几个主要方面对该过程进行简单的分析和介绍。

2.4.1F系统的硬件组态

根据实际系统选配的硬件，按组态手册的相关要求和步骤对F-CPU、F-SM和ET200M在Step7中逐一进行组态和设定。其中需要注意以下几点。

F-CPU配置。如图6所示，打开F-CPU的子菜单Protection，为使CPU包含Safety程序，需要对CPU设置安全程序的保护密码。打开子菜单F Parameters，注意Safety程序的保留数据块区及功能块区等(图7)。

图6 F-CPU“保护”属性设置

图7 F-CPU“H”参数设置

卡件的硬件组态。F卡件的设定基本类同，现以F-DI卡为例简要说明，在硬件组态环境中，卡件硬件选定后，双击其属性，设好“Redundancy”配对的冗余卡件后，在“Parameters”一栏对F卡件相关的参数内容进行设定(图8)，其中“DIP switch setting(9…0)”项的内容在完成硬件组态后，在卡件的硬件背板开关DIP开关的设定上，要和其属性页中的编号保持一致。

图8 F-DI卡件属性设置

硬件组态结果。硬件组态完成后的配置如图9所示，其中，F-DI、DI、DO逻辑处理硬件在(3)、(4)机架部分，其中，图1中标注为灰色的信号为F并冗余逻辑输入或输入型，实现对逻辑输入、输出的处理，部分上下卡件互为冗余模块对，标注为非关键的信号不冗余处理，仅在普通模块作为普通信号使用。对F-AI、AI、AO也按上述处理方法做同样的定义和处理。

图9 硬件组态完成后的配置

2.4.2程序编程组态和结构

F信号的处理。在图表编程组态中分别建立F-DI、F-DO、F-AI共3种类型的处理F-SAFE功能的CFC程序，同时，还需建立处理普通功能的程序(如AO、Logic、Fuhetiaojie)和用户处理H(冗余)功能的CFC程序。图9中名称中带“@”的为经过安全程序编译后自动生成的安全程序，设计人员可以忽略。

F-Safe功能的CFC程序如图10所示，在安全程序中，通过专用安全模块主要实现了对所有在图1中定义的背景色“灰色”、标示为“冗余”信号的安全处理。

图10 F-Safe功能的CFC程序

标准程序。在以往项目编程中使用的关于逻辑处理和负荷运算处理的标准功能块，在F-CPU中是可以和安全程序共存的，只要利用得当，完全没有必要单独再去重新编写该部分的程序。FC61(逻辑)、FC62(报警)和FC63(负荷计算)为以往项目中成熟使用过的标准功能块程序，在图表(CHART)组态编程环境中在不同的“Logic”和“Fuhetiaojie”CFC内组态编程和调用，调用中断均是OB34，如图11所示。

图11 用户程序的中断处理

程序结构。F程序只能由中断来执行，通常定义OB35作为F程序的中断(图6中已有说明)，中断时长设为100ms，该中断专门用来执行F-Safe程序。定义OB34作为逻辑处理和负荷调节运算的普通标准块的处理中断，中断时间为200ms。在F系统中，目前还没有专用的F-AO硬件块作为用户F的输出，因此，为了进一步保证模拟量输出卡件AO响应的快速性，将AO单独放在OB33中断中予以处理，其中断时间设为50ms，具体如图12所示。

图12 用户程序的中断处理2

2.4.3I/O信号在程序中的处理

对于F信号，其基本的处理过程和原理如图13所示。信号经现场测量或控制元件后，经输入电路、处理器和输出电路，最后到达执行器部分。

图13 F信号的基本处理过程和原理

由于项目伊始并未对F-Pro部分做明确的要求和相关的分析、定义，因此，在仪表组态和编程过程中，程序还是延用了标准程序作为核心处理逻辑和运算，并未单独实施F逻辑的程序编写，因此，F程序块处理完的信号和标准信号之间的传递，均需取用F转换后的普通信号或经专用信号模块转换为F信号后输出。

2.4.4信号钝化和恢复处理

F系统中，信号的钝化和解钝也是一个重要的部分。对于F系统，如果一个F-I/O检测到故障或错误，它会切换受影响的通道或所有的通道到安全状态，即组件的通道被钝化，F-I/O将报告检测到的错误传给F驱动块。钝化意味着系统输出通道输出是断开的，一个被钝化的数字量输出通道的F驱动模块，会输出一个带有质量代码(QUALITY)16#48的替代值，同时，将结果输出置1，即QBAD=1。典型的F-DO卡件驱动功能块如图14所示。

图14 典型的F-DO卡件驱动功能块

当信号被钝化后，系统解钝有一个重要的原则。对于F系统，解钝信号的来源一定不能从F卡件引入，原因在于，一旦该F卡件发生钝化，若此时其他卡件或卡件通道发生钝化，系统将不能发出解钝请求信号，因为该信号已经在故障的F卡件中失效了。此时，可将普通卡件的一个DI点作为解钝指令的总输入，具体如图15所示，其经安全功能块处理后的结果，分别流向各安全功能模块，以便在钝化发生后或在必要的仪表维护处理后，操作人员能够顺利地进行解钝处理，方便通道或卡件顺利投入运行。

图15 系统解钝处理

3 结束语

将Siemens S7-400FH故障、容错、冗余系统成功应用于热媒炉项目，相较于以往由普通PLC组成的热媒炉控制系统，在可用性、可靠性和安全性上均有了较大的提升。该控制系统较为复杂，项目开发使用过程中寻求了Siemens资深技术人员的协助，该项目投运至今，各项指标均符合设计要求，且控制系统维护工作量小，除正常的检修停车外，无意外停车。

但该系统还不算一个完全意义上的F系统，只是在其框架下实现了F系统在热媒炉控制系统中的一个初步应用，若要使该系统达到一个具有完整意义的F和SIL 2以上的FH系统功能，今后还需对整个石油化工装置、全员安全生产要求认识和认可水平进行大幅提升，以及在项目前期做出大量、细致、充分的分析及审定等工作。本项目虽是FH系统在热媒炉控制系统应用方面的一个初步尝试，却也在导热油炉行业为导热油炉控制系统搭建了一个较高标准的基础和应用平台，具有示范作用和一定的推广价值。

[1] 史学玲.安全相关系统的评估与认证[J].仪器仪表标准化与计量,2008,(6):18～20.

[2] IEC61508,Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems[S]. Geneva:International Electrotechnical Commission,2010.

[3] 王海峰,张仲义.双重冗余控制系统故障安全性的研究[J].中国安全科学学报,2002,12(3):31～34.