RTP培训

一、RTP公司简介1.1RTP公司简介有45年历史的美国RTP公司一家独立的DCS/SIS供应商，成立于1968年的美国RTP公司作为ComputerProducts,Inc.的子公司在1997年成为独立企业之前主要从事航空航天及核电领域的高性能DAS（数据采集系统）和PC-based控制系统业务，这些项目的典型特征是运行环境恶劣、在EMF/RFI干扰严重的条件下要求高精度的数量测量。RTP的系统特色是拥有很好的可靠性，可应用于苛刻环境应用，在经过现场实践验证的高性能高可靠性的I/O硬件技术基础上，RTP从1995年开始提供包括控制器、I/O、配套软件等全套完整DCS产品（RTP2000），于2002年推出其第一款符合IEC61508标准的安全控制系统（RTP2200），2003年研制出支持1oo1D/1oo2D/2oo3D架构可选的升级型RTP2300,2006年推出第3代产品RTP2500并取得TUV-SIL3认证。RTP3000SIS是在RTP2300/2500技术之上于2010年推向市场的最新一代SIS安全控制系统，具备更快的速度（5ms）和更高的I/O密度和99.9999%的可用性(6个9)并更加易用。其中RTP3000Q是第一种具有真正四重化SIS架构，提供3oo4D冗余表决机制和长达60,000年的MTTFS（平均无误动故障时间）从而有效避免误系统误跳车导致的停产损失。基于与RTP3000相同的硬件软件平台，RTP公司提出了RTP3100型DCS/SIS一体化混合控制系统使得BPCS与SIS能够紧密集成。RTP具有领先的核心技术，生产用于核电站、过程控制、安全运转和汽轮机控制应用的关键控制和安全控制系统。RTP公司产品质量保证体系不仅获得比ISO9001标准更严格的ABS(美国船级社)认证，产品不仅用于海上石油钻井平台、美国海军舰艇和美国空军F16和F117战斗机飞行仿真训练系统，同时也符合美国联邦核能管理委员会（NuclearRegulatoryCommission）法规10CFR50附录B《核电厂和燃料后处理厂质量保证准则》中的1E级核电站质量标准而广泛用于世界各地的核电站（93%的市场覆盖率）。事实上RTP公司的主导行业是核电站，后来又逐渐延伸到油气、化工、电力、冶金等诸多行业，共有9000多个控制站在全球运行。二、系统概述2.1SIS的性能衡量从狭义角度说，控制系统一般是指由I/O（输入/输出）单元、控制器、通迅单元、供电单元及其它附件组成的控制解算系统，广义的控制系统还包括现场输入装置（传感器或变送器）和现场最终元件（执行器）。控制系统是根据工艺过程反馈或前馈的输入信号（过程变量）或操作员指令并按照预先设计的控制功能进行响应（即相应调节控制变量的输出信号值）而使工艺过程（被控对象）按要求运行（即使被控过程变量达到期望目标值）。控制系统传感器执行器输入单元输出单元控制器人机接口安全系统或SIS安全仪表系统作用是出现危险时能自动将过程带入安全停车的状态，安全可靠性RS和可用性A是衡量SIS性能的两个最基本指标。安全可靠性RS是指控制系统在某种输入（如0或1）条件下正确执行控制功能的概率（即不拒动），RS是相对概念，与安全性相关；可用性A是系统在任何输入（0或1或模拟量输入）条件下均能正确执行控制功能的概率，A是绝对概念。当控制系统因某种故障而导致功能丧失即错误的输出时即称为控制系统“失控”，“失控”直接导致安全性和可用性的降低。在这里“失控”与IEC61508和IEC61151中的“Failure”(在GB/T21109.1中被译为“失效”)意义相同，失控模式又分为两种，一是因各种退化老化机制及恶劣环境（温度、湿度、振动、电磁干扰等）因素随机发生的硬件随机失控模式，二是由设计缺陷、不适当的工程实施与操作维护等固有确定性因素引发的体系失控模式。控制系统失控对工艺装置造成后果可归结为三种：危险运行工况、安全停车状态或局部异常但不危险运行工况。按所导致后果的不同，SIS控制系统失控类型可分为两种：危险失控FD，对于SIS即是当过程有需求时系统保护功能（比如紧急停车）拒绝动作，在本文中称“拒动”，又分已检测出来的危险失控(FDD)与未检测出来的危险失控（FDU）。安全失控FS，对于SIS即是正常工况下引发安全保护功能误启动的失控，在本文中称“误动”，又分已检测出来的安全失控(FSD)与未检测出来的安全失控（FSU）。70年代可编程电子安全系统刚推向市场时，人们非常强调安全系统的内部架构，制造商总是用解释内部架构如何冗余的方法来论证其系统设计能够达到所需的安全等级，还逐渐将1oo2表决、DMR双重化系统（1oo2D表决）、TMR三重化系统（2oo3表决）以及QMR四重化系统（2oo4D表决）的概念灌输给人们（即使不完全理解其内涵）并写进了宣传册和招标技术规范，甚至尽管提高冗余容错度通常可以提高系统安全完整性等级，但简单地认为TMR三重化冗余优于DMR双重化冗余其实是概念上极大的误解，IEC61508和IEC61511国际标准发布后详细定义了代表安全可靠性程度的全新术语“SafetyIntegrity”（安全完整性）。安全完整性定义为SIS安全仪表系统在特定阶段的所有状态条件下顺利地执行所需的安全功能的可能性。安全完整性等级（SIL）被定义为完成安全功能所需的安全完整性要求的离散等级。对于安全系统来讲无论采用何种冗余架构形式最终是通过衡量SIL（安全完整性等级）和可用性来评价性能优劣的，但目前国内仍有不少人误认为三重化冗余优于双重化，甚至将笼统将三重化列为SIS招标技术规范书中的关键性技术条款同时却忽视采用一体化物理结构的三重化卡件（如Triconex的IO卡和ICS公司Triplex的控制器卡）所存在共因失控风险（内置于同一块卡件上的三重化通道的风险集中如同“将3个鸡蛋装在同一个篮子里”）而不要求2块独立卡件冗余（物理分离原则），这种不合理的设计人为排斥了使用其它分体式冗余架构但具有同等SIL级别且可能综合性能更高的SIS产品。表格－SIS系统（B型）安全完整性（SIL）与失控概率(数据来源:IEC61508-2)安全完整性等级（SIL）PFD(参见注1)低需求模式下的失控概率PFH(参见注2)连续模式下的失控速率1≥10-2到＜10-1≥10-6到＜10-52≥10-3到＜10-2≥10-5到＜10-63≥10-4到＜10-3≥10-6到＜10-74≥10-5到＜10-4≥10-7到＜10-8注1:在低需求模式下，对于过程需求做出保护反应措施（每年不超过一次）注2:连续模式下执行连续控制来维护功能性安全的功能（每小时失控概率）容错性能是衡量SIS功能单元在出现故障和错误时仍能不间断执行所需功能的能力强弱，其指标称为HFT（硬件容错裕度），如HFT=1表示容忍出现1个故障，根据安全相关性不同，HFT又分为HFDT（容忍危险故障）与HFST（容忍安全故障）。表决体系是控制系统实现容错的最基本方法，MooN（MOutOfN）是N个里面选取M个的含义（简称N选M），用MooN表决是N个通道并行工作并检测比较各通道的输出差异进行表决，至少有M个通道表决值相同则其结果作为系统最终输出值。N与M的差值N-M就是危险失控容错裕度HFDT，其含义是有N-M个冗余通道容许0（或1）信号通行，即容忍N-M个通道失控而能继续完成预定控制功能；特别需要区分其安全失控容错裕度HFST=M-1（M-1个冗余通道容许1通行），所以是提高HFDT是为了安全可靠性（在危险工况时能提供更好的安全保护但误动率也高），而提高HFST则是为了减少误动率（提高可用性）但同时增加拒动风险。表格－SIS系统（B型）安全完整性（SIL）等级与SFF(数据来源:IEC61508-2)安全失控分数(SFF)(参见注2)HFDT硬件容错裕度(参见注1)01260%不允许SIL1SIL260%-90%SIL1SIL2SIL390%-99%SIL2SIL3SIL4≥99%SIL3SIL4SIL4注1：HFDT硬件容错裕度表示容忍HFDT+1个可能引起安全功能丧失的故障；注2：SFF＝(∑S+∑DD)/(∑S+∑D)，其中∑S是总的安全失控率，∑D是总的危险失控率，∑DD是可检测到危险失控率。对于安全系统来讲，目前国内仍有不少人不加分析地误认为TMR三重化冗余优于DMR双重化，而事实是DMR术语是指带诊断的双重化（1oo2D）冗余架构，其可靠性及可用性类似于四重化（2oo4）而均高于三重化（2oo3）冗余。2oo3系统的设计思路来源于同属简单表决的1oo2安全性与2oo2可用性的折衷综合，与简单表决式冗余相比，主动诊断式冗余系统安全性和可用性都有很大提高，其中1oo2D安全性最高，2oo2D可用性最高，1oo2D的容错性能优于简单表决式2oo3，2oo3D的容错性能介于2oo2D与1oo2D之间，而2oo3D只有RTP和ICS两家厂商能提供。2oo4D则是1oo2D的改进型，RTP公司RTP3000-Q则是市场上唯一的3oo4D解决方案，可在保证SIL-3安全等级的同时提供最高的可用性（大于99.9999%），下图是不同结构容错性能对照示意。2.2提高SIS安全控制系统性能的有效技术措施2.2.1现场仪表的冗余控制器、I/O、电源、通迅及现场仪表等各环节对全局安全性及可用性的综合影响程度不同，IEC的有关统计表明超过85％的广义控制系统失控由仪表故障引起而与控制器及IO无关。对一个控制回路而言的失控概率权重如下：传感器及变送器:35%（可能包括安全栅）控制器及I/O单元:15%终端元件（执行器）:50%（可能包括安全栅、继电器）由上可见现场仪表对控制功能的可靠性及可用性的影响更大，因此在实际自动化工程应用中需要从全局角度分别协调考虑每个具体环节的冗余容错设计（如容错方式、冗余结构、容错裕度、共因及共同失控风险等）,首先要选择可靠性高的仪表与正确的类型（如执行器作用方式、SIL安全型仪表及继电器），其次因仪表的故障率要高于控制器及I/O模件，且市场上单台安全型仪表的安全等级最多为SIL2，因此要用于SIL3等级就必须冗余配置。比如国内部分化工设计院往往不考虑故障率更高的现场仪表冗余却要求控制系统IO冗余，其后果是投资大大增加而全局可靠性及可用性改善微乎其微。1oo11oo1D1oo21oo2D2oo32oo22oo2D3oo4D2oo3D优良1﹕1切换良高PFS(误动率)低2oo4D最佳低PFD(拒动率)高2.2.2主动诊断冗余表决技术NooM简单表决体系的防御故障机制具有单向特性，增大M可降低拒动率却同时提高误动率，反之增大N可降低误动率但拒动率上升，简单表决的局限首先是其被动式防御机制没有主动自诊断措施只能对信号进行被动式筛选，只是让0或1单向通过却不知对错（即不知道0是误动还是工艺真实需求，也不知道1是拒动还是生产正常）。因此简单表决不能兼顾可靠性与可用性而只能被动地在N及M的数量上做权衡折衷选择（如令n=2m-1），比如2oo3虽然有同时减少拒动率和误动率的能力但性能介于1oo2和2oo2之间，而提高表决规模（如3oo5）又会造成结构过于复杂而难以维护且投资太高。其次简单表决不能及时主动发现故障也不利于维护检修，如何改善上述缺陷呢？关键就是引入附加的主动诊断机制，其中1oo1D系统就是体现这一理念的最基本的单通道容错架构，其它各种高级诊断式容错冗余架构（同步表决式及异步切换式）均是由1oo1D基础架构演变组合而来。(1)1oo1D故障诊断与切除原理隐蔽故障的探测手段有定期检验及在线自诊断。能探测到隐蔽故障是能否切除并强制进入failsafe（故障安全）状态的前提条件。故障在线自诊断是前提，IEC规定诊断覆盖率DC大于60%才能达到SIL1安全等级，这一点至关重要，其次故障诊断出后如何切除手段则仍然用了1oo2简单表决原理。首先比较一下1oo1D与1oo1的输出电路区别。图－1oo1及1oo1D输出电路的失控类型+24VDC0VDC控制命令