RTP培训解析文档格式.docx
《RTP培训解析文档格式.docx》由会员分享,可在线阅读,更多相关《RTP培训解析文档格式.docx(22页珍藏版)》请在冰豆网上搜索。
RTP具有领先的核心技术,生产用于核电站、过程控制、安全运转和汽轮机控制应用的关键控制和安全控制系统。
RTP公司产品质量保证体系不仅获得比ISO9001标准更严格的ABS(美国船级社)认证,产品不仅用于海上石油钻井平台、美国海军舰艇和美国空军F16和F117战斗机飞行仿真训练系统,同时也符合美国联邦核能管理委员会(NuclearRegulatoryCommission)法规10CFR50附录B《核电厂和燃料后处理厂质量保证准则》中的1E级核电站质量标准而广泛用于世界各地的核电站(93%的市场覆盖率)。
事实上RTP公司的主导行业是核电站,后来又逐渐延伸到油气、化工、电力、冶金等诸多行业,共有9000多个控制站在全球运行。
二、系统概述
2.1SIS的性能衡量
从狭义角度说,控制系统一般是指由I/O(输入/输出)单元、控制器、通迅单元、供电单元及其它附件组成的控制解算系统,广义的控制系统还包括现场输入装置(传感器或变送器)和现场最终元件(执行器)。
控制系统是根据工艺过程反馈或前馈的输入信号(过程变量)或操作员指令并按照预先设计的控制功能进行响应(即相应调节控制变量的输出信号值)而使工艺过程(被控对象)按要求运行(即使被控过程变量达到期望目标值)。
安全系统或SIS安全仪表系统作用是出现危险时能自动将过程带入安全停车的状态,安全可靠性RS和可用性A是衡量SIS性能的两个最基本指标。
安全可靠性RS是指控制系统在某种输入(如0或1)条件下正确执行控制功能的概率(即不拒动),RS是相对概念,与安全性相关;
可用性A是系统在任何输入(0或1或模拟量输入)条件下均能正确执行控制功能的概率,A是绝对概念。
当控制系统因某种故障而导致功能丧失即错误的输出时即称为控制系统“失控”,“失控”直接导致安全性和可用性的降低。
在这里“失控”与IEC61508和IEC61151中的“Failure”(在GB/T21109.1中被译为“失效”)意义相同,失控模式又分为两种,一是因各种退化老化机制及恶劣环境(温度、湿度、振动、电磁干扰等)因素随机发生的硬件随机失控模式,二是由设计缺陷、不适当的工程实施与操作维护等固有确定性因素引发的体系失控模式。
控制系统失控对工艺装置造成后果可归结为三种:
危险运行工况、安全停车状态或局部异常但不危险运行工况。
按所导致后果的不同,SIS控制系统失控类型可分为两种:
●危险失控FD,对于SIS即是当过程有需求时系统保护功能(比如紧急停车)拒绝动作,在本文中称“拒动”,又分已检测出来的危险失控(FDD)与未检测出来的危险失控(FDU)。
●安全失控FS,对于SIS即是正常工况下引发安全保护功能误启动的失控,在本文中称“误动”,又分已检测出来的安全失控(FSD)与未检测出来的安全失控(FSU)。
70年代可编程电子安全系统刚推向市场时,人们非常强调安全系统的内部架构,制造商总是用解释内部架构如何冗余的方法来论证其系统设计能够达到所需的安全等级,还逐渐将1oo2表决、DMR双重化系统(1oo2D表决)、TMR三重化系统(2oo3表决)以及QMR四重化系统(2oo4D表决)的概念灌输给人们(即使不完全理解其内涵)并写进了宣传册和招标技术规范,甚至尽管提高冗余容错度通常可以提高系统安全完整性等级,但简单地认为TMR三重化冗余优于DMR双重化冗余其实是概念上极大的误解,IEC61508和IEC61511国际标准发布后详细定义了代表安全可靠性程度的全新术语“SafetyIntegrity”(安全完整性)。
安全完整性定义为SIS安全仪表系统在特定阶段的所有状态条件下顺利地执行所需的安全功能的可能性。
安全完整性等级(SIL)被定义为完成安全功能所需的安全完整性要求的离散等级。
对于安全系统来讲无论采用何种冗余架构形式最终是通过衡量SIL(安全完整性等级)和可用性来评价性能优劣的,但目前国内仍有不少人误认为三重化冗余优于双重化,甚至将笼统将三重化列为SIS招标技术规范书中的关键性技术条款同时却忽视采用一体化物理结构的三重化卡件(如Triconex的IO卡和ICS公司Triplex的控制器卡)所存在共因失控风险(内置于同一块卡件上的三重化通道的风险集中如同“将3个鸡蛋装在同一个篮子里”)而不要求2块独立卡件冗余(物理分离原则),这种不合理的设计人为排斥了使用其它分体式冗余架构但具有同等SIL级别且可能综合性能更高的SIS产品。
表格-SIS系统(B型)安全完整性(SIL)与失控概率(数据来源:
IEC61508-2)
安全完整性等级
(SIL)
PFD(参见注1)
低需求模式下的失控概率
PFH(参见注2)
连续模式下的失控速率
1
≥10-2到<10-1
≥10-6到<10-5
2
≥10-3到<10-2
≥10-5到<10-6
3
≥10-4到<10-3
≥10-6到<10-7
4
≥10-5到<10-4
≥10-7到<10-8
注1:
在低需求模式下,对于过程需求做出保护反应措施(每年不超过一次)
注2:
连续模式下执行连续控制来维护功能性安全的功能(每小时失控概率)
容错性能是衡量SIS功能单元在出现故障和错误时仍能不间断执行所需功能的能力强弱,其指标称为HFT(硬件容错裕度),如HFT=1表示容忍出现1个故障,根据安全相关性不同,HFT又分为HFDT(容忍危险故障)与HFST(容忍安全故障)。
表决体系是控制系统实现容错的最基本方法,MooN(MOutOfN)是N个里面选取M个的含义(简称N选M),用MooN表决是N个通道并行工作并检测比较各通道的输出差异进行表决,至少有M个通道表决值相同则其结果作为系统最终输出值。
N与M的差值N-M就是危险失控容错裕度HFDT,其含义是有N-M个冗余通道容许0(或1)信号通行,即容忍N-M个通道失控而能继续完成预定控制功能;
特别需要区分其安全失控容错裕度HFST=M-1(M-1个冗余通道容许1通行),所以是提高HFDT是为了安全可靠性(在危险工况时能提供更好的安全保护但误动率也高),而提高HFST则是为了减少误动率(提高可用性)但同时增加拒动风险。
表格-SIS系统(B型)安全完整性(SIL)等级与SFF(数据来源:
安全失控分数(SFF)
(参见注2)
HFDT硬件容错裕度(参见注1)
<
60%
不允许
SIL1
SIL2
60%-<
90%
SIL3
90%-<
99%
SIL4
≥99%
注1:
HFDT硬件容错裕度表示容忍HFDT+1个可能引起安全功能丧失的故障;
注2:
SFF=(∑S+∑DD)/(∑S+∑D),其中∑S是总的安全失控率,∑D是总的危险失控率,∑DD是可检测到危险失控率。
对于安全系统来讲,目前国内仍有不少人不加分析地误认为TMR三重化冗余优于DMR双重化,而事实是DMR术语是指带诊断的双重化(1oo2D)冗余架构,其可靠性及可用性类似于四重化(2oo4)而均高于三重化(2oo3)冗余。
2oo3系统的设计思路来源于同属简单表决的1oo2安全性与2oo2可用性的折衷综合,与简单表决式冗余相比,主动诊断式冗余系统安全性和可用性都有很大提高,其中1oo2D安全性最高,2oo2D可用性最高,1oo2D的容错性能优于简单表决式2oo3,2oo3D的容错性能介于2oo2D与1oo2D之间,而2oo3D只有RTP和ICS两家厂商能提供。
2oo4D则是1oo2D的改进型,RTP公司RTP3000-Q则是市场上唯一的3oo4D解决方案,可在保证SIL-3安全等级的同时提供最高的可用性(大于99.9999%),下图是不同结构容错性能对照示意。
2.2提高SIS安全控制系统性能的有效技术措施
2.2.1现场仪表的冗余
控制器、I/O、电源、通迅及现场仪表等各环节对全局安全性及可用性的综合影响程度不同,IEC的有关统计表明超过85%的广义控制系统失控由仪表故障引起而与控制器及IO无关。
对一个控制回路而言的失控概率权重如下:
◆传感器及变送器:
35%(可能包括安全栅)
◆控制器及I/O单元:
15%
◆终端元件(执行器):
50%(可能包括安全栅、继电器)
由上可见现场仪表对控制功能的可靠性及可用性的影响更大,因此在实际自动化工程应用中需要从全局角度分别协调考虑每个具体环节的冗余容错设计(如容错方式、冗余结构、容错裕度、共因及共同失控风险等),首先要选择可靠性高的仪表与正确的类型(如执行器作用方式、SIL安全型仪表及继电器),其次因仪表的故障率要高于控制器及I/O模件,且市场上单台安全型仪表的安全等级最多为SIL2,因此要用于SIL3等级就必须冗余配置。
比如国内部分化工设计院往往不考虑故障率更高的现场仪表冗余却要求控制系统IO冗余,其后果是投资大大增加而全局可靠性及可用性改善微乎其微。
2.2.2主动诊断冗余表决技术
NooM简单表决体系的防御故障机制具有单向特性,增大M可降低拒动率却同时提高误动率,反之增大N可降低误动率但拒动率上升,简单表决的局限首先是其被动式防御机制没有主动自诊断措施只能对信号进行被动式筛选,只是让0或1单向通过却不知对错(即不知道0是误动还是工艺真实需求,也不知道1是拒动还是生产正常)。
因此简单表决不能兼顾可靠性与可用性而只能被动地在N及M的数量上做权衡折衷选择(如令n=2m-1),比如2oo3虽然有同时减少拒动率和误动率的能力但性能介于1oo2和2oo2之间,而提高表决规模(如3oo5)又会造成结构过于复杂而难以维护且投资太高。
其次简单表决不能及时主动发现故障也不利于维护检修,如何改善上述缺陷呢?
关键就是引入附加的主动诊断机制,其中1oo1D系统就是体现这一理念的最基本的单通道容错架构,其它各种高级诊断式容错冗余架构(同步表决式及异步切换式)均是由1oo1D基础架构演变组合而来。
(1)1oo1D故障诊断与切除原理
隐蔽故障的探测手段有定期检验及在线自诊断。
能探测到隐蔽故障是能否切除并
升级会员 