摘要安全策略是先进控制安全的关键,先进控制安全的前提是确保安全策略的完备、正确,安全策略的复杂性与系统本身的复杂程度密切相关。先进控制的安全策略必然涵盖先进控制与dcs常规控制的切换,该切换必须是无扰动的,所以无扰动切换关系到先控投用切除过程生产装置的稳定可靠。安全策略过程的可观性可以给先控操作人员提供明确的指导意义,因此良好的人机界面可以保证操作人员的操作正确。
关键词 先进控制 安全策略 无扰动切换 人机界面
中国分类号 tp29 文献标识码 a
前言
大榭石化225万吨/年沥青装置,采用常减压-减粘联合工艺。常减压蒸馏装置是炼油厂的“龙头”装置,它的拔出率、产品质量、分离精度、能耗等对整个炼厂的后继加工过程影响很大。根据沥青装置的特点对该装置实施先进控制,进一步提高控制水平,增加效益,显得很有必要。
本文重点讨论该项目的安全策略,从生产装置及其dcs系统的安全为前提条件出发确立整个项目的安全策略模型,在具体实施过程中结合实际软硬件的情况及无扰动切换的需要,完成最终的安全策略,为先控的投用及装置生产的“安稳长满优”提供了最有利的安全控制保障。本文还对具体实施过程中牵涉到的各知识点进行了详细描述,为先控后期管理及维护技术人员提供了必要的知识补充。
安全策略
安全策略是先进控制安全的关键,先进控制安全的前提是确保安全策略的完备、正确。先控安全策略的主要目的是实现先进控制系统与常规控制系统之间无扰动的安全切换。同时为了让先进控制系统具有良好的灵活性,先进控制系统的每一回路均可以自由切换。在先进控制系统自身安全性方面,本项目从通讯监控、逻辑切换等多方面做好先进控制系统及相关dcs部分ecs100系统的安全保护工作。这样,即便先进控制系统任一环节万一出现故障,安全策略可以自动使dcs系统回归常规控制,也就不会影响装置正常生产。
安全切换程序逻辑框图如下图:
图1安全切换程序逻辑图
安全策略的实施过程
本章节根据章节2中的安全切换逻辑图从通讯状态的监控、无扰动切换的设置、人机界面的实施等三方面来详细解释安全策略的实施过程。
2.1通讯状态的监控
为了确保装置正常生产的安全,先进控制系统结构采取上位机方式,通过opc接口软件实现先控上位机与dcs下位机之间数据的实时交换。那如何监控并判断数据交换是否正常,即通讯状态是否正常,这是安全策略的第一步,这问题要处理两方面,一方面是dcs下位机侧判断通讯是否正常,另一方面是先控上位机上判断通讯是否正常,以下就是dcs下位机判断通讯是否正常的实施全过程:先控上位机平台每隔1分钟给dcs的通讯点开关apccome_sw(14#站通讯监控开关)、apccomg_sw(16#站通讯监控开关)置“1”。先控上位机给下位机的赋值程序如下
sub apccompro
dim apccomesw,apccomgsw “引用位号apccomesw,apccomgsw”
set apccomesw=advplant.findtag("apccome_sw")
set apccomgsw=advplant.findtag("apccomg_sw")
“令先控上位机中apccomesw,apccomgsw等同dcs下位机中位号apccome_sw,apccomg_sw”
apccomesw.value=-1
apccomgsw.value=-1 “置1”
call apccomesw.write
call apccomgsw.write “通过opc向下位机写值”
end sub
而在dcs控制站下位机的程序以14#为例,就是在fbd段落下功能块图名为“apc通讯监控14#”中的功能块ctu,如图2
图2 14#apc通讯监控程序
该功能块结合先控上位机每1分钟置通讯点开关为1,就实现了以下功能:当dcs下位机两分钟没有接收到来自先控上位机的数据,apccome_st就置on,结束先进控制,回归dcs常规控制;两分钟内只要接收到来自先控上位机的数据,就代表通讯正常,如果此时先控投用着,先控继续正常运行。
先控上位机每5秒发出读取dcs下位机数据指令,如果未收到dcs下位机的数据,就认为通讯中断,具体实现与dcs下位机实现方式相似,这里就不赘述了。
2.2无扰动切换的设置
常规pid控制运行在dcs上,而多变量预估控制器、工艺计算即先进控制在上位机运行,并最终通过常规pid控制来实现,所以无扰动切换的设置其实就是先进控制各先控子回路与dcs常规pid
控制回路的无扰动切换。当然这种切换包括先进控制系统的切出和切入。
先来讲一下先控系统切出的无扰动切换。
本项目总共有五个先进控制器:原油先进控制器、常压炉先进控制器、常压塔先进控制器、减压炉先进控制器、减压塔先进控制器。任何一个先控控制器开关切出,所有该控制器里的操作变量子回路开关全部切出。
先控子回路切出后,先控计算输出值根据先控需要的模式选择跟踪常规pid控制回路的设定值或阀位值,这是实现无扰动切换的关键。这里先控需要的模式有两种:a、设定值输出;b.控制阀输出。
再来说明先控系统切入的无扰动切换。
当先控各子回路切入时,回路模式、常规pid回路设定值或阀位值必须符合先控投用的要求,否则不允许切入。按需要投用完先控各子回路开关,才能投先控控制器的总开关。
考虑完先控切出切入的情况后,先控就可在安全、稳定、可控的状态下运行了,以14#站图形编程fbd段落部分原油控制器的无扰动切换程序举例详细说明以上的文字的实现过程,程序如下:
(*原油控制器开关切出,所有操作变量开关全部切出*)
if apcyy_sw=0 then (*原油控制器开关切出*)
if f0501a_sw=1 then (*切出fic0501a回路先控*)
f0501a_sw=0;
end_if;
if f0801a_sw=1 then (*切出fic0801a回路先控*)
f0801a_sw=0;
end_if;
end_if;
(*当先控各子回路切入时,回路模式、常规pid回路设定值或阀位值必须符合先控投用的要求,投用条件不符,切出先控*)
(*先控子回路切出后,先控计算输出值根据先控需要的模式选择跟踪常规pid控制回路的设定值或阀位值*)
if f0501a_sw=1 then(*先控子回路切入*)
if g_bsc[2].swam=off or c_lic1901a=on or g_bsc[2].sv>f0501a_h or g_bsc[2].sv
f0501a_sw=0; (*先控子回路切出*)
end_if;
end_if;
if f0501a_sw=0 then(*先控子回路切出后*)
f0501a_sv=g_bsc[2].sv; (*先控模式为设定值输出,先控计算值跟踪自定义回路的设定值*)
end_if;
if f0801a_sw=1 then (*先控子回路切入*)
if g_bsc[14].swam=on or c_pic2305a=on or g_bsc[14].mv>f0801a_h or g_bsc[14].mv f0801a_sw=0; (*先控子回路切出*)
end_if;
end_if;
if f0801a_sw=0 then (*先控子回路切出后*)
f0801a_sv=g_bsc[14].mv; (*先控模式为控制阀输出,先控计算值跟踪自定义回路的控制阀输出*)
end_if;
如果可以,无扰动的切换逻辑都应该做在dcs控制站的下位机上,这样更可靠、更安全。然而本公司dcs系统为ecs100,基本的常规pid控制回路分为两类:a、常规回路;b、自定义回路,而其中的常规回路并没有给图形编程提供相应的手自动切换变量,所以常规回路部分的切换逻辑只能做在先控上位机上了。切换逻辑在先控上位机与dcs控制站下位机上执行,唯一的区别就是增加了通讯环节的滞后,如果网络负荷很充裕的话,这个几乎可以忽略不计,通讯环节提供的两路冗余网络及相应硬件设备也确实保证了通讯质量,但是为了竟可能减少这一原因而才产生的系统不稳定性,先控上位机每一秒运行一次切换逻辑,这已是先控上位机最快的软件执行周期了。
2.3人机界面
安全策略过程的可观性可以给先控操作人员提供明确的指导意义,因此良好的人机界面可以保证操作人员的操作正确。这里以原油先进控制器为例,并仅针对安全策略相关的人机界面部分做详细论述,下图3为原油先进控制器操作画面。
图3 原油先进控制器操作画面
a)左上角有通讯监控,通讯正常,apccome_st=off,显示框为绿色;通讯中断,apccome_st=on,显示框为红色,并在dcs报警信息栏中报警,提示通讯中断,回归常规控制。
b)左上角及右数第一列分别为原油先控总开关和先控子回路开关,切入,显示框为绿色;切出,显示框为红色。
c)右数第二列
先控模式,告知操作人员该先控子回路在先控切入时要求常规pid回路是设定值输出还是控制阀输出。
d)右数第三列回路模式,告知操作人员现在该常规pid回路是什么模式,一般回路有三种模式:手动模式、自动模式、串级模式。这里要着重说明下该实现过程:因为dcs各回路提供给编程使用的变量只有一个类似“bool型”的“回路位号.am”,bool型变量只有两种状态on和off,如何用这仅有的变量来表征三种模式呢?细心的读者会发现,这很难。但细想dcs系统能在这三中模式下稳定安全运行,说明在底层的控制中肯定已对这三种模式进行了唯一表征。后来,我们在每种模式下,把“回路位号.am”转化为int型,三次数据刚好不一样,说明可以唯一表征,见表1。操作画面回路模式的表征就这样引刃而解了。
表1 三种模式下“回路位号.am”转化为int型的值
回路模式 转化为int型的数值
手动模式 0
自动模式 32
串级模式 96
e)右数第六列和第四列分别为先控下限和先控上限,这里先说明操作变量的先控上下限,由操作人员根据当前工况进行输入,输入后,先控各子回路的切入和切出就有安全保证了。为了给操作人员在先控切入时提供安全策略的可观性,如果常规pid回路的设定值或阀位值不在先控上下限的范围内,先控上下限显示框会相对应的给予红色显示,告知操作人员现在不允许先控切入。此时,操作人员需要改变常规pid回路设定值或阀位值,使得先控回路能无扰动的切入。这里要说明的是,该部分设定值或阀位值是否超限的比较程序是在先控上位机实现的,这里以脱前第一路流量b_fic0501a为例详细说明下,因为该回路的先控模式是设定值输出,所以常规pid回路设定值b_fic0501a.sv必须处在先控上限f0501a_h与先控下限f0501a_l之间,该先控子回路才能切入。在先控上位机的程序实现表2 的赋值,在操作画面上根据赋值结果在显示框显示相应颜色变化。
表2 b_fic0501a.sv状态显示
状态 赋值 显示框
b_fic0501a.sv<f0501a_l f0501a_alm=1 先控下限显示红色,报警
f0501a_l≤b_fic0501a.sv≤f0501a_h f0501a_alm=2 颜色不变
b_fic0501a.sv>f0501a_h f0501a_alm=3 先控上线显示红色,报警
f)被控变量中的先控上下限,是对先控期望值进行限制的,先控期望值由操作人员根据当前工况进行输入,实现形式与e)中类似,这里就省略了。
遇到的问题及改进
投用后不久操作人员发现部分先控计算输出值保持原值不变,而先控并未自动切出。对故障期间数据进行分析总结:1)产生本次赋值问题的原因是opc服务器通讯出现堵塞。2)在opc服务器通讯堵塞并非针对所有变量,刚好监控通讯状态的变量apccome_sw和apccomg_sw还可以正常通讯,所以先控上位机中的各控制器正常运行,而部分因通讯堵塞的先控计算输出值无法通过先控上位机写入dcs控制站下位机的相应位号。
经以上的分析总结后发现问题出在opc通讯软件上,及时对opc通讯软件进行了升级,将从原先3.4版本升级到现在的4.0版本。
结论
经过近两年的正式投用,先进控制系统安全、可靠、稳定的运行,其安全策略得到了强有力地考验。事实证明,该安全策略为先控的投用及装置生产的“安稳长满优”提供了最有利的安全控制保障。
参考文献
[1] 李守鹏1,孙红波2,信息系统安全策略研究,电子学报,2003,31(7):1
作者简介:周圆波,2006年6月毕业于浙江大学城市学院信息工程(通信工程方向)专业,现工作与中海石油宁波大榭石化有限公司。