1、沥青装置先进控制的安全策略摘要安全策略是先进控制安全的关键,先进控制安全的前提是确保安全策略的完备、正确,安全策略的复杂性与系统本身的复杂程度密切相关。先进控制的安全策略必然涵盖先进控制与 DCS 常规控制的切换,该切换必须是无扰动的,所以无扰动切换关系到先控投用切除过程生产装置的稳定可靠。安全策略过程的可观性可以给先控操作人员提供明确的指导意义,因此良好的人机界面可以保证操作人员的操作正确。 关键词 先进控制 安全策略 无扰动切换 人机界面 中国分类号 TP29 文献标识码 A 前言 大榭石化 225 万吨/年沥青装置,采用常减压-减粘联合工艺。常减压蒸馏装置是炼油厂的“龙头”装置,它的拔出
2、率、产品质量、分离精度、能耗等对整个炼厂的后继加工过程影响很大。根据沥青装置的特点对该装置实施先进控制,进一步提高控制水平,增加效益,显得很有必要。本文重点讨论该项目的安全策略,从生产装置及其 DCS 系统的安全为前提条件出发确立整个项目的安全策略模型,在具体实施过程中结合实际软硬件的情况及无扰动切换的需要,完成最终的安全策略,为先控的投用及装置生产的“安稳长满优”提供了最有利的安全控制保障。本文还对具体实施过程中牵涉到的各知识点进行了详细描述,为先控后期管理及维护技术人员提供了必要的知识补充。 安全策略 安全策略是先进控制安全的关键,先进控制安全的前提是确保安全策略的完备、正确。先控安全策略
3、的主要目的是实现先进控制系统与常规控制系统之间无扰动的安全切换。同时为了让先进控制系统具有良好的灵活性,先进控制系统的每一回路均可以自由切换。在先进控制系统自身安全性方面,本项目从通讯监控、逻辑切换等多方面做好先进控制系统及相关 DCS 部分 ECS100 系统的安全保护工作。这样,即便先进控制系统任一环节万一出现故障,安全策略可以自动使 DCS 系统回归常规控制,也就不会影响装置正常生产。 安全切换程序逻辑框图如下图: 图 1 安全切换程序逻辑图 安全策略的实施过程 本章节根据章节 2 中的安全切换逻辑图从通讯状态的监控、无扰动切换的设置、人机界面的实施等三方面来详细解释安全策略的实施过程。
4、2.1 通讯状态的监控 为了确保装置正常生产的安全,先进控制系统结构采取上位机方式,通过 OPC 接口软件实现先控上位机与 DCS 下位机之间数据的实时交换。那如何监控并判断数据交换是否正常,即通讯状态是否正常,这是安全策略的第一步,这问题要处理两方面,一方面是 DCS 下位机侧判断通讯是否正常,另一方面是先控上位机上判断通讯是否正常,以下就是 DCS下位机判断通讯是否正常的实施全过程:先控上位机平台每隔 1 分钟给DCS 的通讯点开关 APCCOME_SW(14#站通讯监控开关)、APCCOMG_SW(16#站通讯监控开关)置“1” 。先控上位机给下位机的赋值程序如下 SUB APCCOMP
5、RO DIM APCCOMESW,APCCOMGSW “引用位号 APCCOMESW,APCCOMGSW” SET APCCOMESW=ADVPLANT.FINDTAG(“APCCOME_SW“) SET APCCOMGSW=ADVPLANT.FINDTAG(“APCCOMG_SW“) “令先控上位机中 APCCOMESW,APCCOMGSW 等同 DCS 下位机中位号APCCOME_SW,APCCOMG_SW” APCCOMESW.VALUE=-1 APCCOMGSW.VALUE=-1 “置 1” CALL APCCOMESW.WRITE CALL APCCOMGSW.WRITE “通过 O
6、PC 向下位机写值” END SUB 而在 DCS 控制站下位机的程序以 14#为例,就是在 FBD 段落下功能块图名为“APC 通讯监控 14#”中的功能块 CTU,如图 2 图 2 14#APC 通讯监控程序 该功能块结合先控上位机每 1 分钟置通讯点开关为 1,就实现了以下功能:当 DCS 下位机两分钟没有接收到来自先控上位机的数据,APCCOME_ST 就置 ON,结束先进控制,回归 DCS 常规控制;两分钟内只要接收到来自先控上位机的数据,就代表通讯正常,如果此时先控投用着,先控继续正常运行。 先控上位机每 5 秒发出读取 DCS 下位机数据指令,如果未收到 DCS下位机的数据,就认
7、为通讯中断,具体实现与 DCS 下位机实现方式相似,这里就不赘述了。 2.2 无扰动切换的设置 常规 PID 控制运行在 DCS 上,而多变量预估控制器、工艺计算即先进控制在上位机运行,并最终通过常规 PID 控制来实现,所以无扰动切换的设置其实就是先进控制各先控子回路与 DCS 常规 PID 控制回路的无扰动切换。当然这种切换包括先进控制系统的切出和切入。 先来讲一下先控系统切出的无扰动切换。 本项目总共有五个先进控制器:原油先进控制器、常压炉先进控制器、常压塔先进控制器、减压炉先进控制器、减压塔先进控制器。任何一个先控控制器开关切出,所有该控制器里的操作变量子回路开关全部切出。 先控子回路
8、切出后,先控计算输出值根据先控需要的模式选择跟踪常规 PID 控制回路的设定值或阀位值,这是实现无扰动切换的关键。这里先控需要的模式有两种:a、设定值输出;b.控制阀输出。 再来说明先控系统切入的无扰动切换。 当先控各子回路切入时,回路模式、常规 PID 回路设定值或阀位值必须符合先控投用的要求,否则不允许切入。按需要投用完先控各子回路开关,才能投先控控制器的总开关。 考虑完先控切出切入的情况后,先控就可在安全、稳定、可控的状态下运行了,以 14#站图形编程 FBD 段落部分原油控制器的无扰动切换程序举例详细说明以上的文字的实现过程,程序如下: (*原油控制器开关切出,所有操作变量开关全部切出
9、*) IF APCYY_SW=0 THEN (*原油控制器开关切出*) IF F0501A_SW=1 THEN (*切出 FIC0501A 回路先控*) F0501A_SW=0; END_IF; IF F0801A_SW=1 THEN (*切出 FIC0801A 回路先控*) F0801A_SW=0; END_IF; END_IF; (*当先控各子回路切入时,回路模式、常规 PID 回路设定值或阀位值必须符合先控投用的要求,投用条件不符,切出先控*) (*先控子回路切出后,先控计算输出值根据先控需要的模式选择跟踪常规 PID 控制回路的设定值或阀位值*) IF F0501A_SW=1 THEN
10、(*先控子回路切入*) IF g_bsc2.SwAM=OFF OR C_LIC1901A=ON OR g_bsc2.SVF0501A_H OR g_bsc2.SVF0801A_H OR g_bsc14.MVF0801A_L THEN (*自定义回路自动或串级投用或自定义回路的设定值不在先控上下限范围内,不允许先控切入*) F0801A_SW=0; (*先控子回路切出*) END_IF; END_IF; IF F0801A_SW=0 THEN (*先控子回路切出后*) F0801A_SV=g_bsc14.MV; (*先控模式为控制阀输出,先控计算值跟踪自定义回路的控制阀输出*) END_IF;
11、如果可以,无扰动的切换逻辑都应该做在 DCS 控制站的下位机上,这样更可靠、更安全。然而本公司 DCS 系统为 ECS100,基本的常规 PID控制回路分为两类:a、常规回路;b、自定义回路,而其中的常规回路并没有给图形编程提供相应的手自动切换变量,所以常规回路部分的切换逻辑只能做在先控上位机上了。切换逻辑在先控上位机与 DCS 控制站下位机上执行,唯一的区别就是增加了通讯环节的滞后,如果网络负荷很充裕的话,这个几乎可以忽略不计,通讯环节提供的两路冗余网络及相应硬件设备也确实保证了通讯质量,但是为了竟可能减少这一原因而才产生的系统不稳定性,先控上位机每一秒运行一次切换逻辑,这已是先控上位机最快
12、的软件执行周期了。 2.3 人机界面 安全策略过程的可观性可以给先控操作人员提供明确的指导意义,因此良好的人机界面可以保证操作人员的操作正确。这里以原油先进控制器为例,并仅针对安全策略相关的人机界面部分做详细论述,下图 3为原油先进控制器操作画面。 图 3 原油先进控制器操作画面 a)左上角有通讯监控,通讯正常,APCCOME_ST=OFF,显示框为绿色;通讯中断,APCCOME_ST=ON,显示框为红色,并在 DCS 报警信息栏中报警,提示通讯中断,回归常规控制。 b)左上角及右数第一列分别为原油先控总开关和先控子回路开关,切入,显示框为绿色;切出,显示框为红色。 c)右数第二列为先控模式,
13、告知操作人员该先控子回路在先控切入时要求常规 PID 回路是设定值输出还是控制阀输出。 d)右数第三列回路模式,告知操作人员现在该常规 PID 回路是什么模式,一般回路有三种模式:手动模式、自动模式、串级模式。这里要着重说明下该实现过程:因为 DCS 各回路提供给编程使用的变量只有一个类似“BOOL 型”的“回路位号.AM” ,BOOL 型变量只有两种状态 ON 和OFF,如何用这仅有的变量来表征三种模式呢?细心的读者会发现,这很难。但细想 DCS 系统能在这三中模式下稳定安全运行,说明在底层的控制中肯定已对这三种模式进行了唯一表征。后来,我们在每种模式下,把“回路位号.AM”转化为 INT
14、型,三次数据刚好不一样,说明可以唯一表征,见表 1。操作画面回路模式的表征就这样引刃而解了。 表 1 三种模式下“回路位号.AM”转化为 INT 型的值 回路模式 转化为 INT 型的数值 手动模式 0 自动模式 32 串级模式 96 e)右数第六列和第四列分别为先控下限和先控上限,这里先说明操作变量的先控上下限,由操作人员根据当前工况进行输入,输入后,先控各子回路的切入和切出就有安全保证了。为了给操作人员在先控切入时提供安全策略的可观性,如果常规 PID 回路的设定值或阀位值不在先控上下限的范围内,先控上下限显示框会相对应的给予红色显示,告知操作人员现在不允许先控切入。此时,操作人员需要改变
15、常规 PID 回路设定值或阀位值,使得先控回路能无扰动的切入。这里要说明的是,该部分设定值或阀位值是否超限的比较程序是在先控上位机实现的,这里以脱前第一路流量 B_FIC0501A 为例详细说明下,因为该回路的先控模式是设定值输出,所以常规 PID 回路设定值 B_FIC0501A.SV 必须处在先控上限 F0501A_H 与先控下限 F0501A_L 之间,该先控子回路才能切入。在先控上位机的程序实现表 2 的赋值,在操作画面上根据赋值结果在显示框显示相应颜色变化。 表 2 B_FIC0501A.SV 状态显示 状态 赋值 显示框 B_FIC0501A.SVF0501A_L F0501A_A
16、LM=1 先控下限显示红色,报警 F0501A_LB_FIC0501A.SVF0501A_H F0501A_ALM=2 颜色不变 B_FIC0501A.SVF0501A_H F0501A_ALM=3 先控上线显示红色,报警 f)被控变量中的先控上下限,是对先控期望值进行限制的,先控期望值由操作人员根据当前工况进行输入,实现形式与 e)中类似,这里就省略了。 遇到的问题及改进 投用后不久操作人员发现部分先控计算输出值保持原值不变,而先控并未自动切出。对故障期间数据进行分析总结:1)产生本次赋值问题的原因是 OPC 服务器通讯出现堵塞。2)在 OPC 服务器通讯堵塞并非针对所有变量,刚好监控通讯状
17、态的变量 APCCOME_SW 和 APCCOMG_SW 还可以正常通讯,所以先控上位机中的各控制器正常运行,而部分因通讯堵塞的先控计算输出值无法通过先控上位机写入 DCS 控制站下位机的相应位号。 经以上的分析总结后发现问题出在 OPC 通讯软件上,及时对 OPC 通讯软件进行了升级,将从原先 3.4 版本升级到现在的 4.0 版本。 结论 经过近两年的正式投用,先进控制系统安全、可靠、稳定的运行,其安全策略得到了强有力地考验。事实证明,该安全策略为先控的投用及装置生产的“安稳长满优”提供了最有利的安全控制保障。 参考文献 1 李守鹏 1,孙红波 2,信息系统安全策略研究,电子学报,2003,31(7):1 作者简介:周圆波,2006 年 6 月毕业于浙江大学城市学院信息工程(通信工程方向)专业,现工作与中海石油宁波大榭石化有限公司。