Luận văn thạc sĩ Kỹ thuật điều khiển và tự động hóa: Phương pháp tính toán, nâng cao và đánh giá SIL cho hệ thống điều khiển

liền với sự phát triển của các ngành công nghiệp mũi nhọn như: năng lượng, dầu khí, hóa chất, sản xuất hàng tiêu dùng… Quy mô của các nhà máy sản xuất càng lớn thì đòi hỏi mức độ đầu tư

GIỚI THIỆU LUẬN VĂN

TÍNH CẤP THIẾT CỦA LUẬN VĂN

Ngày nay công nghệ tự động hóa và điều khiển đang phát triển mạnh mẽ gắn liền với sự phát triển của các ngành công nghiệp mũi nhọn như: năng lượng, dầu khí, hóa chất, sản xuất hàng tiêu dùng… Quy mô của các nhà máy sản xuất càng lớn thì đòi hỏi mức độ đầu tư trang thiết bị máy móc và hệ thống điều khiển cũng lớn dần theo

Một vấn đề cấp thiết đặt ra với quy mô ngày càng lớn của các hệ thống tự động hóa đó chính là tính an toàn Hệ thống càng lớn thì đòi hỏi tính an toàn càng cao, bởi vì hệ thống càng lớn thì mức độ thiệt hại khi có sự cố xảy ra càng nhiều Chúng ta hãy xem qua một số tai nạn điển hình đã xảy ra:

 Tai nạn tại Flixobrough, Anh năm 1974 :

Nổ nhà máy hóa chất khiến

 Tai nạn tại giàn công nghệ trung tâm Piper Alpha , Anh năm 1988

Cháy và nổ giàn khoan dần đến :

GVHD : TS Trương Đình Châu

HV : Phan Thanh Hải – MS 13153062 & Hoàng Anh Tú – MS 13153069

 Cháy bồn chứa dầu tại Buncefield UK , tháng 12 năm 2005

Vụ nổ xảy ra vào sang sớm khi bơm nhiên liệu đang bơm dầu vào bồn chứa Tuy nhiên cảm biến cảnh báo bị hư nên bồn chứa phát nổ khi bị bơm vào nhiên liệu quá giới hạn

Vụ nổ đã khiến 43 người bị thương , có 2 người bị thương nghiêm trọng

 Nổ nhà máy lọc dầu của BP tại Texas, tháng 3 năm 2005

Vụ nổ xảy ra làm 15 người chết và 170 người bị thương

HV : Phan Thanh Hải – MS 13153062 & Hoàng Anh Tú – MS 13153069 Để hạn chế và ngăn ngừa rủi ro xảy ra các tai nạn không mong muốn như đã nêu trên Vấn đề cấp thiết cần đặt ra là phải có những nghiên cứu nghiêm túc về tính an toàn của hệ thống nói chung và hệ thống điều khiển nói riêng, đặc biệt các nghiên cứu này phải mang tính ứng dụng cao, có thể trực tiếp đưa vào các nhà máy cơ sở sản xuất của Việt Nam hiện nay

Với thực tế là có rất nhiều cơ sở sản xuất và nhà máy được xây dựng từ lâu, việc ứng dụng này không chỉ là xây mới hệ thống mà còn phải cải tiến các hệ thống cũ đang có, tối thiểu hóa chi phí và mang lại tính an toàn cao nhất

Do đó chúng tôi quyết định chọn đề tài luận văn : Phương pháp tính toán, nâng cao và đánh giá tính an toàn (SIL) cho hệ thống điều khiển.

TÌNH HÌNH NGHIÊN CỨU

 Hiện nay bộ tiêu chuẩn cho safety đã được xây dựng bởi tổ chức Ủy ban kỹ thuật điện quốc tế (IEC- International Electrotechnical Commission ) và áp dụng trong ngành công nghiệp Các hãng sản xuất lớn trên thế giới như Siemens,

Schneider , Omron , Honeywell , Yokogawa , đều áp dụng và xây dựng các safety module và safety PLC cho giải pháp tự động của hãng đó Tuy nhiên giá thành cho các module và PLC này đều rất cao, chỉ thích hợp cho các ngành công nghiệp lớn và quan trọng : nhà máy lọc dầu , giàn khoan , … Các module này chỉ áp dụng cho các thiết bị của chính hãng đó

 Hiện nay ở Việt Nam chưa có tài liệu chính thức nghiên các tính chất an toàn của quá trình sản xuất và các phương pháp nâng cấp cho hệ thống sản xuất có sẵn

 Đa số các công ty đang mua và áp dụng các module của các hãng nêu trên Các cơ sở sản xuất nhỏ hoặc được xây dựng từ lâu, công nghệ đã cũ thì gần như không thể áp dụng được do giá thành quá cao Tuy nhiên tính an toàn luôn luôn cần thiết khi sản xuất

 Do đó trong luận văn này chúng tôi đưa ra phương pháp và hướng phát triển khi tích hợp thiết bị của nhiều hãng khác nhau để nhằm đạt được chi phí giá thành thấp nhất , thỏa mãn tính an toàn để ra

MỤC TIÊU CỦA LUẬN VĂN

Luận văn tập trung vào việc nghiên cứu về chỉ số SIL-chỉ số mức độ an toàn của hệ thống điều khiển theo tiêu chuẩn IEC 61511 và IEC 61508, để đưa ra được phương pháp tính toán, đánh giá SIL cho một hệ thống điều khiển bất kỳ, trên cơ sở đó đưa ra phương pháp để nâng cao chỉ số SIL cho hệ thống đó

Từ cơ sở đó, khi ứng dụng vào thực tiễn tại các cơ sở sản xuất có thể áp dụng để thiết kế một hệ thống điều khiển mới hoặc cải tiến và nâng cấp hệ thống cũ đang có nhằm tối ưu hóa chi phí và nâng cao tính an toàn.

NHIỆM VỤ CỦA LUẬN VĂN

 Nghiên cứu định nghĩa safety trong hệ thống vận hành sản xuất theo tiêu chuẩn IEC 61511 , IEC 61508 Các phương pháp xác định và tính toán chỉ số SIL trong hệ thống sản xuất nhằm đánh giá tính an toàn của hệ thống công nghiệp

 Nghiên cứu và đánh giá các phương án nhằm nâng cao tính an toàn cho hệ thống sản xuất Từ đó chọn ra phương án tối ưu , có chi phí thấp nhất có thể nhưng vẫn đáp ứng được tính chất an toàn theo yêu cầu

 Xây dựng các giải thuật , thư viện phần mềm cho PLC và các thiết bị khi điều khiển nhằm tối ưu hóa tính an toàn của hệ thống khi vận hành

 Áp dụng các phương pháp và giải thuật vào mô hình có sẵn nhằm nâng cao tính an toàn của mô hình khi vận hành

 Đánh giá kết quả của các các phương pháp cải tiến bằng tính toán chỉ số an toàn của hệ thống trước và sau khi sử dụng các giải pháp trên Các chỉ số này được phân tích đánh giá theo tiêu chuẩn IEC 61511 và IEC 61508

 Đưa ra các hướng phát triển tiếp theo cho các phương pháp tích hợp an toàn và phát triển bộ thư viện phần mềm thêm nhiều “function “ có thể áp dụng trong ngành công nghiệp hiện nay

HV : Phan Thanh Hải – MS 13153062 & Hoàng Anh Tú – MS 13153069 Để kiểm chứng lại lý thuyết, chúng tôi xây dựng một hệ thống điều khiển tại phòng thí nghiệm 109B3, đây là mô hình điều khiển mức chất lỏng trong bồn chứa mô phỏng theo các nhà máy xử lý hóa chất

Mô hình kiểm chứng lý thuyết gồm những nội dung chính sau:

 Một hệ thống chuyên dùng để điều khiển quá trình (PCS: process control system) có tính chất dự phòng, sử dụng các thiết bị của nhiều hãng khác nhau (sử dụng 2 PLC S7-1200 của siemen để điều khiển, biến tần của schneider, cảm biến của Endress Hauser, motor của Panasonic, Gateway của Schneider…)

 Một hệ thống chuyên dùng để bảo vệ an toàn SIS – Safety Instrumented System, với PLC được tích hợp các safety function (sử dụng PLC S7-300 để minh họa)

 Xây dựng bộ thư viện safety cho PLC nhằm tăng tính an toàn cho PLC (vốn chỉ có ở các dòng safety PLC đặc thù có giá thành cao)

Tóm lại nhiệm vụ trọng tâm khi xây dựng hệ thống thực tế kiểm chứng lý thuyết đó là từ hệ thống cũ đơn giản, không có chức năng bảo vệ và không an toàn xây dựng nên hệ thống mới tích hợp đầy đủ tất cả các tính năng an toàn (dự phòng, SIS, safety function) và làm sao tính toán chứng minh được hệ thống đó đảm bảo tính an toàn theo giá trị SIL mong muốn

YẾU TỐ SAFETY TRONG CÁC HỆ THỐNG TỰ ĐỘNG HÓA

Đ ỊNH NGHĨA S AFETY

- Safety : không có mối nguy hiểm , rủi ro nào tồn tại

- Các mối nguy hiểm , rủi ro trong hệ thống kỷ thuật : o Mối nguy cơ khí o Mối nguy điện o Mối nguy hóa học o Mối nguy cháy nổ …

- Các hệ quả do tại nạn :

Con người  Chấn thương , tử cong

 Ảnh hưởng gia đình , bạn bè , cộng đồng , xã hội

Thị trường hoạt động  Mất danh tiếng , khách hàng

 Ảnh hưởng tinh thần làm việc của nhân viên

Tài chính  Giảm năng suất sản phẩm

 Ảnh hưởng hư hại thiết bị

- Các nguyên nhân của mối nguy , rủi ro : o Lỗi con người o Sai đặt tính kỹ thuật của hệ thống o Lỗi ngẫu nhiên của phần cứng o Lỗi hệ thống của phần cứng và phần mềm o Ảnh hưởng từ môi trường ( nhiệt độ , áp suất , …)

Đ ÁNH GIÁ RỦI RO

Rủi ro là khả năng tồn tại và hệ quả của 1 sự cố bất lợi hoặc tai nạn Do đó để đánh giá rủi ro ta cần xác định 2 phần chính : o Tần suất xảy ra o Hậu quả của rủi ro khi xảy ra

Một hệ thống không có rủi ro hoàn toàn không tồn tại Tuy nhiên ta có thể giảm bớt các nguy cơ rủi ro đó và tần suất xảy ra sự cố Chúng ta cần đánh giá theo các bước sau : o Đánh giá mức độ rủi ro cho phép của hệt thống o Nhận dạng các nguy hiểm o Đánh giá nguy hiểm , rủi ro o Đánh giá khả năng và mức độ nghiêm trọng cho từng rủi ro o Xác định khi nào rủi ro nằm trong ngưỡng cho phép

- Để đạt được an toàn cho hệ thống ta cần giảm mức độ rủi ro của hệ thống về ngưỡng cho phép của hệ thống (hình 2.1) Quá trình giảm rủi ro ta sử dụng các lớp bảo vệ cho hệ thống Nếu rủi ro vẫn ngoài ngưỡng cho phép, cần sử dụng thêm các lớp bảo vệ ( additional safety layer )

Có 2 loại lớp bảo vệ của hệ thống o Lớp bảo vệ để phòng tránh các rủi ro o Lớp bảo vệ để giảm bớt các hậu quả khi rủi ro đã xảy ra

Các lớp bảo vệ của hệ thống là các chức năng của thiết bị và con người nhằm giảm thiểu rủi ro cho hệ thống (hình 2.2) Khi rủi ro không đến được các lớp cao hơn thì hệ thống càng an toàn Thông thường sẽ có 6 lớp

 Lớp 1 : Các giá trị gửi từ thiết bị về trung tâm điều khiển giám sát

 Lớp 2: Khi rủi ro đã được cảnh báo từ lớp 1, hệ thống sẽ cảnh báo bằng các tín hiệu

 Lớp 3: Khi tín hiệu được cảnh báo và tiếp tục thì các chức năng an toàn của thiết bị sẽ được thực hiện để giảm thiểu rủi ro

 Lớp 4 : Khi rủi ro đã xảy ra , sẽ có các hệ thống làm giảm thiểu thiệt hại đến hệ thống và con người

 Lớp 5 :Thông báo tình trạn khẩn cấp đến toàn hệ thống nhằm bảo vệ con người và hệ thống

 Lớp 6 : Thông báo tình trạng khần cấp đến cộng đồng

S AFETY I NTEGRITY L EVEL ( SIL )

- SIL là chỉ số đánh giá mức độ tin tưởng của hệ thống có tích hợp “ safety function “ khi vận hành Hình 2.3 là thông số PFD tương ứng với các SIL

- Chỉ số SIL là kết quả của quá trình đánh giá rủi ro của hệ thống Do đó để tính được chỉ số này , chúng ta phải đánh giá ngưỡng rủi ro cho phép của hệ thống và mức độ rủi ro cần giảm trừ

- Ví dụ hình 2.4: Mức độ rủi ro thường xuyên của hệ thống là 1 trong vòng

100 năm Tuy nhiên mức độ rủi ro cho phép là trong vòng 10000 năm Do đó chúng ta cần giảm mức đô rủi ro 100 lần Ta cần sử dụng 1 “ safety function “ với PFD = 0.01

2.4 Đánh giá SIL cho hệ thống : residual Risk PFD = 10 -2

Tolerable Risk PFD = 10-4 Safety function

Trong standard IEC 61511 đã đưa ra các phương pháp để đánh giá và lựa chọn SIL cho hệ thống Trong này chúng ta sẽ xem xét 1 số phương pháp phổ biến

Mỗi hệ thống quản lý đánh giá mức độ của từng thành phần và đánh giá theo bảng sau (hình 2.5) Phương pháp này không đánh giá cho SIL 4

Tần suất Tiêu chuẩn đánh giá

3 Nhiều hơn 1 sự cố xảy ra trong 1000 năm và ít hơn 1 sự cố xảy ra trong 100 năm

2 Nhiều hơn 1 sự cố xảy ra trong 10000 năm và ít hơn 1 sự cố xảy ra trong 1000 năm

1 It hơn 1 sự cố xảy ra trong 10000 năm

Hậu quả Tiêu chuẩn đánh giá

3  Con người : nhiều chấn thương va tử vong

 Môi trường : không giới hạn được mức độ tác động đến môi trường

 Tài sản : Mức độ thiệt hại đạt 10- 100 triệu $

2  Con người : một vài chấn thương và ca cấp cứu

 Môi trường : không giới hạn được mức độ tác động đến môi trường

 Tài sản : Mức độ thiệt hại đạt 1-10 triệu $

1  Con người : 1 vài chấn thương

 Môi trường : kiểm soát được mức độ tác động đến môi trường

 Tài sản : Mức độ thiệt hại đạt 100 ngàn -1 triệu $

- The risk graph : Đánh giá SIL qua từng bước (hình 2.6)

- Định nghĩa các thông số :

Hậu quả : o CA : Chấn thương rất ít o CB : 0.01 đến 0.1 khả năng tử vong cho 1 sự cố o CC : 0.1 đến 1.0 khả năng tử vong cho 1 sự cố o CD : lớn hơn 1 khả năng tử vong cho 1 sự cố

Tần suất : o FA : < 10% thời gian o FB : > 10% thời gian

Khả năng phòng tránh vùng nguy hiểm : o PA : > 90 % khả năng tránh vùng nguy hiểm o PB : < 90 % khả năng tránh vùng nguy hiểm

Khả năng xảy ra sự cố o W1 : < 1 trong 30 năm o W2 : >1 và 0.3 và SIL 1

Isolator 1 : SFF = 95% , loại B , HFT = 0 => SIL 2

Isolator 2: SFF = 85.9% , loại A , HFT = 0 = > SIL 2

Actuator : SFF = 65 % , loại A , HFT = 0 => SIL 2

Từ các số liệu trên ta có được hệ thống trên thích hợp sử dụng cho SIL 1

Giả sử giá trị SIL cần thiết kế cho hệ thống là SIL 2 Để nâng giá trị SIL cho hệ thống , ta có 1 số phương pháp sau : o Phương pháp redundancy o Thay đổi thiết bị khác có giá trị SIL cao hơn o Sử dụng 1 số block function cho phần mềm để cải thiện chức năng

Ta có thể áp dụng phương pháp redundancy cho thiết bị sensor SIL 1 như hình 2.13

Khi sử dụng phương pháp redundancy cho sensor , HFT = 1 Sensor thích hợp sử dụng cho SIL 2

 Hệ thống thích hợp sử dụng cho SIL 2

Hệ thống redundancy nhận được khi chúng ta sử dụng 2 hoặc nhiều phần cứng , phần mềm giống nhau cùng thực hiện 1 chức năng Điều này sẽ làm giảm thiểu rủi ro nhưng nó cũng sẽ không loại bỏ hoàn toàn lỗi chung gây ra được

Chỉ số mô tả lỗi chung này được định nghĩa : β

Ví dụ: Trong 1 bồn chứa nhiên liệu , chúng ta sử dụng 2 sensor đo mức để tạo thành hệ thống redundancy (hình 2.14)

Khi đó lỗi chung của 2 cảm biến này được định nghĩa như sau

Khi sử dụng dạng cảm biến khác nhau thì sẽ giảm thiểu được lỗi chung β (hình 2.16)

Hình 2.16 b Kiểm tra giá trị PFD của hệ thống :

Tuy nhiên , để xác định chính xác SIL thích hợp cho hệ thống chúng ta cần phải tính toán giá trị PFD của hệ thống

Hình 2.17 Để tính giá trị PFD của hệ thống, hiện nay có 2 tiêu chuẩn tính hệ số này Giá trị

PFD phụ thuộc vào voting của hệ thống

Trong 1 hệ thống thường bao gồm nhiều vòng điều khiển Để xác định PFD của hệ thống , chúng ta cần tìm giá trị PFD của từng vòng điều khiển và tổng hợp lại Định nghĩa giá trị PFD của 1 vòng điều khiển SIF :

Hình 2.18 Để tính giá trị PFD , chúng ta có 2 tiêu chuẩn để tính toán

- Tiêu chuẩn ISA 84.00.01-2004 : phương pháp tính tương đối đơn giản

- Tiêu chuần IEC-61508-6 : phương pháp tính tương đối phức tạp , nhưng độ chính xác cao hơn Thường được áp dụng trong ngành công nghiệp Oil&Gas

TI : thời gian kiểm qua hoạt động của hệ thống

: tần suất lỗi nguy hiểm không phát hiện được β : tần suất lỗi chung trong hệ thống redundancy

X ÂY DỰNG HỆ THỐNG ĐỂ ĐẠT ĐƯỢC SIL MONG MUỐN

- Giá trị lỗi cho phép của phần cứng : HFT

- HFT = 0 : Single channel Khi có 1 lỗi xảy ra có thể dẫn đến mất chức năng an toàn của hệ thống

- HFT = 1 : Redundancy version Ít nhất có 2 lỗi xảy ra , hệ thống mới mất chức năng an toàn

Các hệ thống voting : NooM ( N out of M )

Số lượng N ( yếu tố ) trong M (yếu tố ) cần thiết để hệ thống chạy chức năng an toàn

Các hệ thống có HFT = 0 : 1oo1 , 1oo2 ,…

Các hệ thống có HFT =1 : 2003 , 2oo4,…

Hệ thống 1oo1 , có HFT = 0 :

2.5.1 Hệ số lỗi an toàn của hệ thống : SFF

Hệ số đánh giá lỗi của hệ thống trong 1 thời gian nhất định : λ

Hệ số lỗi an toàn : λS o Lỗi an toàn phát hiện được : λSD o Lỗi an toàn không phát hiện được : λSU

Hệ số lỗi không an toàn : λD o Lỗi không an toàn phát hiện được : λDD o Lỗi không an toàn không phát hiện được : λDU

Với thiết bị có hê số lỗi là cố định thì :

MTBF = 1/ λ MTBF : Mean time between failure ; thời gian trung bình từ lúc sử dụng đến khi thiết bị lỗi

Giá trị SFF được tính thông qua hệ số lỗi

2.5.2 Xây dựng hệ thống : a Kiểm tra giá trị HFT và SFF của hệ thống :

Về các thiết bị sử dụng , thông thường có 2 loại

- Loại A : Thiết bị khi bị lỗi có thể xác định được ( simple ) : transistors , relay , điện trờ ,

- Loại B : Thiết bị khi bị lỗi không thể xác định được ( complex) : vi điều khiển , Đánh giá SIL cho thiết bị :

Khi sử dụng các thiết bị riêng lẻ để tạo thành 1 hệ thống có SIL thỏa mãn theo yêu cầu thiết kế

Chúng ta xét 1 ví dụ sau :

Các thiết bị đơn HFT = 0, có các giá trị SFF như hình 2.12 bên dưới

Từ mô hình trên , ta có SIL thích hợp cho các thiết bị sử dụng :

Sensor : SFF = 55% , loại A , HFT = 0 => SIL 1

Isolator 1 : SFF = 95% , loại B , HFT = 0 => SIL 2

Isolator 2: SFF = 85.9% , loại A , HFT = 0 = > SIL 2

Actuator : SFF = 65 % , loại A , HFT = 0 => SIL 2

Từ các số liệu trên ta có được hệ thống trên thích hợp sử dụng cho SIL 1

Giả sử giá trị SIL cần thiết kế cho hệ thống là SIL 2 Để nâng giá trị SIL cho hệ thống , ta có 1 số phương pháp sau : o Phương pháp redundancy o Thay đổi thiết bị khác có giá trị SIL cao hơn o Sử dụng 1 số block function cho phần mềm để cải thiện chức năng

Ta có thể áp dụng phương pháp redundancy cho thiết bị sensor SIL 1 như hình 2.13

Khi sử dụng phương pháp redundancy cho sensor , HFT = 1 Sensor thích hợp sử dụng cho SIL 2

 Hệ thống thích hợp sử dụng cho SIL 2

Hệ thống redundancy nhận được khi chúng ta sử dụng 2 hoặc nhiều phần cứng , phần mềm giống nhau cùng thực hiện 1 chức năng Điều này sẽ làm giảm thiểu rủi ro nhưng nó cũng sẽ không loại bỏ hoàn toàn lỗi chung gây ra được

Chỉ số mô tả lỗi chung này được định nghĩa : β

Ví dụ: Trong 1 bồn chứa nhiên liệu , chúng ta sử dụng 2 sensor đo mức để tạo thành hệ thống redundancy (hình 2.14)

Khi đó lỗi chung của 2 cảm biến này được định nghĩa như sau

Khi sử dụng dạng cảm biến khác nhau thì sẽ giảm thiểu được lỗi chung β (hình 2.16)

Hình 2.16 b Kiểm tra giá trị PFD của hệ thống :

Tuy nhiên , để xác định chính xác SIL thích hợp cho hệ thống chúng ta cần phải tính toán giá trị PFD của hệ thống

Hình 2.17 Để tính giá trị PFD của hệ thống, hiện nay có 2 tiêu chuẩn tính hệ số này Giá trị

PFD phụ thuộc vào voting của hệ thống

Trong 1 hệ thống thường bao gồm nhiều vòng điều khiển Để xác định PFD của hệ thống , chúng ta cần tìm giá trị PFD của từng vòng điều khiển và tổng hợp lại Định nghĩa giá trị PFD của 1 vòng điều khiển SIF :

Hình 2.18 Để tính giá trị PFD , chúng ta có 2 tiêu chuẩn để tính toán

- Tiêu chuẩn ISA 84.00.01-2004 : phương pháp tính tương đối đơn giản

- Tiêu chuần IEC-61508-6 : phương pháp tính tương đối phức tạp , nhưng độ chính xác cao hơn Thường được áp dụng trong ngành công nghiệp Oil&Gas

TI : thời gian kiểm qua hoạt động của hệ thống

: tần suất lỗi nguy hiểm không phát hiện được β : tần suất lỗi chung trong hệ thống redundancy

HỆ THỐNG ĐIỀU KHIỂN SAFETY

HỆ THỐNG ĐIỀU KHIỂN TÍCH HỢP SAFETY

DCS là viết tắt của Hệ thống điều khiển phân tán (Distributed Control

System), thường được sử dụng trong các quá trình, hệ thống sản xuất và các hệ thống động (dynamic system), trong đó các phần tử điều khiển không được đặt ở vị trí trung tâm, nhưng mỗi một hệ thống con được điều khiển bằng một hoặc nhiều bộ điều khiển trong toàn bộ hệ thống Toàn bộ hệ thống điều khiển được nối mạng để giao tiếp, điều khiển và giám sát Một hệ thống DCS tiêu biểu gồm có bộ vi xử lý được thiết kế tùy biến như các bộ điều khiển, kết nối vật lý và giao thức giao tiếp riêng Module đầu vào và đầu ra tạo nên các thành phần của DCS Bộ vi xử lý nhận thông tin từ module đầu vào và gửi thông tin đến module đầu ra Hệ thống điều khiển phân tán DCS là hệ thống chuyên dụng được dùng để điều khiển các quá trình sản xuất liên tục hoặc theo mẻ (Batch- oriented) như trong lọc dầu, hóa dầu, trạm phát điện trung tâm, dược phẩm, sản xuất thức ăn, nước uống, sản xuất xi măng, sản xuất thép và sản xuất giấy

SIS là hệ thống thiết bị trường an toàn (Safety Instrumented System), thực hiện các chức năng đặc biệt để điều khiển hoặc duy trì trạng thái an toàn của quá trình khi phát hiện các điều kiện quá trình nguy hiểm hoặc không được chấp nhận Các hệ thống trang bị an toàn được tách biệt và độc lập với các hệ thống điều khiển thông thường nhưng bao gồm các phần tử tương tự, bao gồm: cảm biến, các bộ xử lý logic và hệ thống phụ trợ

Hai hệ thống DCS và SIS phục vụ các mục đích khác nhau cho hoạt động của nhà máy Hệ thống DCS được sử dụng để điều khiển nhà máy an toàn trong quá trình hoạt động bình thường Vì vậy, nó tập trung vào tính khả dụng cao và thời

HV : Phan Thanh Hải – MS 13153062 & Hoàng Anh Tú – MS 13153069 gian trung bình giữa 2 sự cố cao (MTBF) Trong khi đó, hệ thống SIS được sử dụng để chuyển nhà máy về trạng thái an toàn tại thời điểm khẩn cấp hoặc vận hành bất thường

DCS & SIS về cơ bản không kết hợp với nhau trong một hệ thống vì sự tách biệt giữa DCS & SIS là bắt buộc theo tiêu chuẩn IEC 81508 và ISA S84.01 Chúng có phạm vi và khái niệm thiết kế khác nhau DCS có:

3 Tỷ lệ lỗi thấp (Không phân biệt an toàn/nguy hiểm)

4 Ưu tiên tính vận hành và độ khả dụng

Trong khi đó, SIS có:

1 Mức độ an toàn cao (Xác suất hư thỏng theo yêu cầu thấp)

2 Yêu cầu tuân theo các tiêu chuẩn an toàn quốc tế như IEC & ISA

3 Tuyệt đối an toàn khi hư hỏng (nhấn mạnh vào tính an toàn hơn độ khả dụng) Một số giải pháp về hệ thống điều khiển an toàn của các hãng:

3.1.1 Hệ thống ProSafe RS của Yokogawa

Với ProSafe-RS, Yokogawa đang mang đến tính năng điều khiển an toàn trong một hệ thống điều khiển hợp nhất, với tất cả được đều nhắm đến hiệu quả sản xuất và chi phí bản quyền thấp Điểm mấu chốt trong kiến trúc tích hợp DCS - SIS là một giao thức truyền thông duy nhất, mạnh được phát triển bởi Yokogawa đặc biệt hỗ trợ cho các giao tiếp liên quan đến an toàn trong đường cao tốc dữ liệu chung DCS Giao thức này cách ly giao tiếp DCS và SIS về mặt logic, để đảm bảo việc tích hợp của giao tiếp an toàn ProSafe-RS trong mạng chia sẻ VNet- mạng đã triển khai bộ lặp kép cho độ tin cậy liên tục của DCS Đột phá này là một sự mở đầu cho thế giới điều khiển quá trình và đã được kiểm tra độc lập và được phê chuẩn để đảm bảo tính toàn vẹn Tính năng chính của hệ thống trang bị an toàn sáng tạo mới của Yokogawa, ProSafe-RS là:

1 Bộ điều khiển an toàn tích hợp thực sự đầu tiên trên thế giới

2 Một quá trình công nghệ, một kiến trúc mạng và một giao diện vận hành chung

4 Thiết kế hệ thống dễ dàng

5 Chuyển đổi dữ liệu giữa các bộ điều chỉnh

6 Đồng bộ thời gian bởi chức năng Vnet chuẩn

7 Thống nhất sự vận hành và giám sát bởi cùng một trạm vận hành (Human

Hình 3.1 Hệ thống Prosafe RS của Yokogawa

3.1.2 Hệ thống Safety Instrumented Systems của Siemen

Hệ thống Safety Instrumented System của Siemen cung cấp các giải pháp:

 Tích hợp Control và Safety: Các bộ điều khiển (controller) cho hai hệ thống điều khiển quá trình và điều khiển an toàn là độc lập với nhau, tuy nhiên chỉ cần 1 phần mềm duy nhất để thiết kế, vận hành và bảo dưỡng cho cả 2 hệ thống Các chức năng an toàn được tích hợp trực tiếp vào SIMATIC PCS 7 – hệ thống DCS của Siemen

Hình 3.2 Tích hợp DCS và SIS của Siemens

 Các module dự phòng linh hoạt

Hình 3.3 Các module dự phòng trong hệ thống của Siemens

 Truyền thông fail-safe: Siemen phát triển phương thức truyền thông mới là

PROFIsafe dựa trên nền tảng PROFIBUS và PROFINET có sẵn để đáp ứng với tiêu chuẩn an toàn IEC 61508

 Phần mềm thân thiện với người dùng

3.1.3 Hệ thống Modicon Quantum Safety system của Schneider

Hệ thống Modicon Quantum Safety của Schneider được chứng thực SIL 3 bởi TUV, đáp ứng theo tiêu chuẩn IEC61508 và IEC61511 Tích hợp hệ thống kiến trúc dự phòng nóng Quantum Hot Standby cho phép sửa lỗi trực tiếp mà không phải dừng hệ thống

Hình 3.4 Hệ thống Modicon Quantum Safety của Schneider

3.1.4 Hệ thống DeltaV SIS của Emerson

Hệ thống DeltaV SIS cung cấp 2 sự lựa chọn: độc lập hoặc tích hợp với hệ thống điều khiển phân tán Tăng khả năng tích hợp an toàn bằng cách liên tục giám sát cảm biến, bộ xử lý logic và thiết bị chấp hành, với chẩn đoán lỗi trước khi chúng gây ra những trạng thái trip giả

Hình 3.5 Hệ thống DeltaV SIS độc lập

Hình 3.6 Hệ thống DeltaV SIS tích hợp

3.1.5 Hệ thống tích hợp an toàn HC900 của Honeywell

Hệ thống điều khiển tích hợp process và safety HC900 là giải pháp toàn diện gồm phần cứng và phần mềm, bao gồm bộ điều khiển tích hợp process và safety HC900

- đây là bộ điều khiển logic nâng cao đáp ứng được đa dạng về tính năng điều khiển – và Trạm điều khiển 900 (900 control station) nhằm cung cấp một giao diện người dùng trực quan để bổ sung cho bộ điều khiển quá trình và nâng cao hiệu quả điều hành Các module khác như module dự phòng, kết nối và cấu hình I/O đa năng,

…với khả năng cấu hình toàn bộ giải pháp điều khiển và lưu trữ thông số chương trình nhằm dễ dàng truy xuất, điều chỉnh khi cần thiết

Hình 3.7 Hệ thống HC900 của Honeywell

CÁC THÀNH PHẦN TRONG HỆ THỐNG ĐIỀU KHIỂN SAFETY

Trong hệ thống điều khiển có tích hợp safety, những tính năng sau là bắt buộc phải có:

 Sử dụng các safety PLC

 Sử dụng các field instrument được chứng thực về safety level

 Sử dụng dự phòng nóng – hot standby

Safety PLC được thiết kế cho các hệ thống điều khiển yêu cầu cao về safety, Khác với PLC thông thường, safety PLC có thêm các tính năng sau:

 PLC thường chỉ có 1 processor để thực thi chương trình Safety PLC gồm nhiều processor để dự phòng cho nhau

 Bộ nhớ flash và RAM của safety PLC được giám sát liên tục bởi mạch watchdog và mạch đồng bộ

 Các ngõ IO của safety PLC là safety IO, được tích hợp các tính năng như internal test, fail-safe…

 Có bộ thư viện safety function riêng khi lập trình, ngoài các function giống PLC thường

 Được chứng thực bởi tổ chức quốc tế về tính năng an toàn (SIL)

 Và các tính năng riêng biệt khác tùy theo tững hãng sản xuất

Một số dòng PLC của các hãng như: Preventa XPS MF và SIL3 Quantum PLC của Schneider; SmartGuard 600 của Allen-Bradley, S7-400F/FH của Siemens, FSC của Honeywell, Prosafe-RS của yokogawa…

Các transmitter (temperature, level, pressure…) và các thiết bị chấp hành (control valve, on-off valve, motor, pump…) phải được chứng thực bởi bên thứ 3 về Safety Integrity Level (SIL) Khác với các thiết bị thông thường, các thiết bị này thường tích hợp tính năng chẩn đoán lỗi (smart diagnostic) và fail-safe

Ví dụ: Pressure transmitter EJX của yokogawa

Khái niệm voting dùng để chỉ việc sử dụng bao nhiêu tín hiệu feedback từ sensor để đưa ra logic cần thiết, mục đích của việc sử dụng voting là để giảm thiểu sai số xảy ra lỗi (fault tolerance) do sensor gây ra Các hệ thống voting bao gồm:

 Simplex or voting 1oo1 (1 out of 1) : sử dụng tín hiệu từ 1 nguồn duy nhất, nếu có lỗi từ nguồn này thì xác nhận lỗi

Ví dụ : tín hiệu báo cháy từ fire detector là 1oo1 vì cần biết có cháy hay không là đủ

 Duplex or voting 1oo2 or 2oo2: sử dụng tín hiệu từ 2 nguồn, với 1002 thì 1 nguồn hoạt động bình thường thì không báo lỗi, với 2oo2 thì 2 nguồn hoạt

HV : Phan Thanh Hải – MS 13153062 & Hoàng Anh Tú – MS 13153069 động bình thường mới không báo lỗi

Ví dụ: Hệ thống gas detector là 1oo2 vì gas có thể xì với lượng nhỏ và trong thời gian ngắn

 Triplex or voting 2oo3 : sử dụng tín hiệu từ 3 nguồn, nếu có 2 nguồn hoạt động bình thường thì không báo lỗi

Ví dụ : Hệ thống HIPPS để xuất khí/dầu đi bán (sau khi khai thác lên) là 2oo3 vì khí/dầu cần xuất đi liên tục không gián đoạn nếu không sẽ ảnh hưởng lớn đến tài chính

Hình 3.10 Ví dụ về Triplex voting 2oo3

3.2.4 Hệ thống dự phòng – redundancy:

Như đã trình bày ở chương 2, phần 2.5 về xây dựng hệ thống để đạt được

SIL mong muốn Phương pháp dự phòng redundancy là một trong những phương pháp có thể cải tiến hệ thống để nâng mức độ an toàn (SIL)

Giải pháp dự phòng (Redundancy) là một trong những giải pháp tất yếu trong hệ thống điều khiển tự động được áp dụng tại các nhà máy sản xuất Tùy theo chất lượng và thời gian đáp ứng của hệ thống dự phòng có thể chia hệ thống thành

03 cấp độ với tính chất khác nhau như sau: a Dự phòng lạnh

Hệ thống dự phòng mà thời gian đáp ứng được quan tâm tối thiểu và có thể cần sự can thiệp của người vận hành

Cơ chế: Thiết kế hoặc chế tạo sẵn một mô đun (tạm gọi là phụ tùng thay thế) hay một hệ thống tương tự với hệ thống đang vận hành Nếu có sự cố hoặc cần sửa chữa, bảo trì thì người vận hành kỹ thuật lập tức thay thế cái mới, do đó không tốn nhiều thời gian phải chờ đợi Ưu/khuyết điểm: Phương án dự phòng này chỉ áp dụng đối với những hệ thống mà khi có sự cố xảy ra không ảnh hưởng nhiều đến tính nguy hiểm, tính an toàn, sản phẩm không bị hư hỏng khi phải chờ một thời gian để bảo trì và thay thế

Hình 3.11: Công đoạn vận chuyển sản phẩm b Dự phòng ấm Được sử dụng khi thời gian chờ là quan trọng nhưng phải mất một thời gian tạm thời thì vẫn còn chấp nhận được

Cơ chế: Hệ thống dự phòng ấm thường có hai bộ vi xử lý kết nối trong một cấu hình chính và dự phòng Bộ xử lý chính của hệ thống điều khiển các tín hiệu ngõ vào và ngõ ra, trong khi bộ xử lý phụ được cấp nguồn và chờ cho bộ xử lý chính không điều khiển quá trình Khi xảy ra sự cố, bộ xử lý phụ đảm nhận điều khiển các tín hiệu ngõ vào/ ngõ ra và trở thành bộ xử lý chính, cho phép bộ xử lý chính thành bộ xử lý thứ cấp và có thể được bảo trì mà không mất quyền kiểm soát quá trình Ưu/khuyết điểm: Từ một khía cạnh phần cứng, hệ thống dự phòng ấm và nóng hầu như giống hệt nhau, dễ nhầm lẫn khi nhìn vào dữ liệu cung cấp của các nhà sản xuất

Hình 3.12: Trạm bơm công nghiệp c Dự phòng nóng

Rất cần thiết khi quá trình vận hành không được dừng dưới bất kỳ trường hợp nào, có tính liên tục cao

Cơ chế: Như đã nêu ở trên, việc bố trí hệ thống dự phòng nóng thì hầu như giống với hệ thống dự phòng ấm Tuy nhiên, hệ thống dự phòng nóng cung cấp chuyển đổi liên tục của các tín hiệu I/O trong suốt quá trình chuyển đổi từ bộ xử lý chính sang phụ Ưu/khuyết điểm: Dự phòng nóng được áp dụng đối với những hệ thống cần phản ứng nhanh đối với các sự cố Tuy nhiên, mức độ đầu tư ban đầu sẽ tốn chi phí nhiều hơn Sử dụng phương án dự phòng này cho những hệ thống cần thiết sự ổn định, xác suất sự cố xảy ra được giảm đến mức thấp nhất, đem lại sự an toàn và đảm bảo liên tục cho người sử dụng

Hình 3.13: Điều khiển các van lưu lượng

Trong hệ thống điều khiển đa cấp, Redundancy được chia ra làm 03 mức:

 Dự phòng thiết bị điều khiển (Device reduduancy)

 Dự phòng SCADA (SCADA redundancy)

 Dự phòng mạng (Network redundancy)

Tùy theo yêu cầu về sự cần thiết về chất lượng và độ tin cậy của hệ thống điều khiển mà xây dựng phương án dự phòng cho phù hợp với hiệu quả kinh tế Không phải tất cả tự động hóa trong công nghiệp đều cần đến giải pháp dự phòng, tuy nhiên đa số các hệ thống tự động trong nhà máy lớn nơi mà tổn thất trong việc tạm ngừng do hư hỏng thiết bị điều khiển hoặc trục trặc của truyền thông lớn hơn đầu tư một hệ thống dự phòng thì giải pháp dự phòng luôn được các nhà máy, xí nghiệp quan tâm hàng đầu Ví dụ như trong các nhà máy điện, nhà máy lọc dầu, dây chuyền nhà máy xi măng, công nghiệp khai khoáng là những hệ thống lớn trong sản xuất, do đó thường có đầy đủ 03 mức trên để đảm bảo cho hệ thống hoạt động liên tục, xuyên suốt dù có bất kỳ sự cố nào xảy ra đối với thiết bị điều khiển, Server SCADA hay hệ thống mạng

Ví dụ : Trên những giàn khai thác dầu khí, việc duy trì nguồn điện liên tục là điều tối quan trọng, không chỉ ảnh hưởng đến vấn đề sản xuất (việc ngừng khai thác khi có sự cố mất nguồn có thể gây thiệt hại cả triệu đô la một ngày) mà còn đe dọa đến vấn đề an toàn tính mạng cho con người và an toàn cho môi trường Do đó luôn có các giải pháp dự phòng cho nguồn điện (ví dụ giàn khai thác trung tâm PQP-HT của BDPOC sử dụng dự phòng nóng của hãng ABB)

Hệ thống thiết bị sử dụng năng lượng

Hình 3.14: Dự phòng nguồn điện

TỔ CHỨC XÂY DỰNG HỆ THỐNG KIỂM CHỨNG LÝ THUYẾT39

TỔ CHỨC XÂY DỰNG HỆ THỐNG ĐIỀU KHIỂN DỰ PHÒNG

Hai phương pháp dự phòng cho hệ thống điều khiển đó là bằng phần cứng và bằng phần mềm Cơ sở để phân chia ra 02 phương pháp đó là yêu cầu đáp ứng về sự khắt khe thời gian Đối với hệ thống dự phòng bằng phần cứng thì đòi hỏi sự khắt khe về thời gian Ưu điểm của phương pháp là tốc độ nhanh, chất lượng bộ điều khiển tăng và thời gian chuyển mạch rất ngắn nhưng nhược điểm lớn nhất là chi phí cao Ngược lại, dự phòng bằng phần mềm là phương pháp tuy chất lượng đáp ứng thời gian chuyển mạch không tốt bằng phương pháp phần cứng nhưng giá thành lại là ưu điểm đáng xem xét của các tổ chức sản xuất vừa và nhỏ

Dù thực hiện theo phương pháp nào, hệ thống Dự phòng cũng phải giải quyết được hai vấn đề cơ bản của bài toán dự phòng là: phát hiện điều kiện SwitchOver và đồng bộ dữ liệu giữa Primary - Standby PLC

4.1.1 CÁC THÀNH PHẦN LIÊN QUAN

Bộ điều khiển PLC

Cần có 2 bộ PLC tầm trung có hỗ trợ cổng giao tiếp ethernet, tích hợp các module IO thông dụng.

Với cổng giao tiếp Ethernet được tích hợp sẵn PLC, ta có thể xây dựng các ứng dựng truyền thông trên nền Modbus TCP/IP, Profinet hoặc Ethernet công nghiệp Với mô hình được xây dựng trong luận văn, chúng tôi sử dụng 2 PLC S7-

1200 truyền thông bằng giao thức Profinet

Giao thức truyền thông Profinet

Profinet là giao thức truyền thông được sử dụng trong đề tài, là giao thức truyền thông trên nền Ethernet và bản chất cấu trúc của nó là Client - Server Vì cấu trúc này mà chúng ta dễ dàng thực hiện việc trao đổi dữ liệu giữa các phần tử với nhau Với cấu trúc này, Primary PLC cũng như Standby PLC có thể vừa là Client cũng như Server do đó Primary có thể yêu cầu đọc hoặc ghi dữ liệu từ Standby PLC cũng như Standby PLC có thể yêu cầu đọc hoặc ghi dữ liệu từ Primary PLC Chính vì lý do này mà giúp người lập trình rất thuận tiện trong việc lựa chọn giải pháp đồng bộ dữ liệu giữa Primary PLC và Standby PLC

Hình 4.3 Cấu trúc server-client khi sử dụng truyền thông Profinet với PLC S7-1200

4.1.2 XÂY DỰNG GIẢI THUẬT DỰ PHÒNG Ở CẤP ĐIỀU KHIỂN

Cấu trúc phần cứng

Hệ thống phần cứng có cấu trúc như sau:

 Hệ thống gồm 2 PLC Primary và Standby Một PLC S7-1200 đóng vai trò Primary, nhận tín hiệu từ cảm biến level qua remote IO (PLC S7-1200 trung gian) và xuất tín hiệu điều khiển biến tần qua remote IO, biến tần sẽ điều khiển bơm … PLC S7-1200 còn lại đóng vai trò Standby, bình thường chỉ thực hiện việc động bộ hóa dữ liệu và theo dõi giám sát sự hoạt động của PLC Primary Khi PLC Primary bị sự cố thì PLC Stanby sẽ đảm nhận vai trò điều khiển của PLC Primary, sau khi đã khắc phục xong sự cố thì PLC Primary sẽ đảm nhận trở lại vai trò điều khiển và PLC Standby sẽ tiếp tục đóng vai trò dự phòng

 Ở cấp thực thi, bao gồm 1 cảm biến level (dạng radar, trả về tín hiệu 4-

20mA), 1 biến tần Avitar 31 và 1 bơm 1 pha 220VAC

 1 gateway EGX300 để giúp giao tiếp giữa PLC remote IO và biến tần

Sơ đồ hệ thống như sau:

Hình 4.4: Cấu trúc phần cứng hệ thống redundancy cấp điều khiển

Cấu trúc phần mềm

SwitchOver là thuật ngữ chỉ sự chuyển đổi vai trò điều khiển hoạt động trong hệ thống khi có sự cố xảy ra của mạng truyền thông, kết nối, thiết bị không hoạt động, bị hỏng Điều kiện SwitchOver : Phát hiện khi có sự cố xảy ra đối với Primary controller, Standby controller sẽ nhảy vào thay thế Vấn đề đặt ra:

1 Kiểm tra khi nào thì xảy ra điều kiện SwitchOver?,

2 Vấn đề đồng bộ hóa dữ liệu giữa 2 PLC Primary và Secondary Sau mỗi chu kỳ quét của PLC Primary và đã cập nhật các ngõ ra thì PLC Primary sẽ thực hiện việc chuyển dữ liệu cho PLC Standby a Vai trò của Primary PLC:

 Primary PLC mang đầy đủ các chức năng như khi nó đứng một mình trong hệ thống Standalone (single controller) Điều này có nghĩa là khi Primary PLC hoạt động bình thường nó sẽ thực hiện điều khiển các thiết bị cấp trường…vv

 Ngoài ra Primary PLC còn có nhiệm vụ liên tục kết nồi tới Standby PLC để truyền dữ liệu đảm bảo cho Standby PLC luôn cập nhật đầy đủ và đảm bảo tính dự phòng trong trường hợp Primary PLC bị lỗi và không thể điều khiển được thiết bị

 Khi Primary trở lại điều khiển nó sẽ tự động update dữ liệu từ Standby PLC trước khi điều khiển hệ thống b Vai trò của Standby PLC:

Standby PLC sẽ liên tục cập nhật dữ liệu từ Primary PLC và sẵn sàng trở thành Primary PLC nếu có sự cố xảy ra đối với Primary PLC Lúc này Standby PLC không chỉ có nhiệm vụ là điều khiển hệ thống mà còn gửi dữ liệu qua Primary PLC để đảm bảo rằng khi Primary hoạt động trở lại thì Primary sẽ update dữ liệu gần nhất

Khi Primary PLC được khắc phục, thay thế trở lại và điều khiển hệ thống thì Standby PLC sẽ trở lại chế độ Standby Để giải quyết bài toán dự phòng PLC bằng phần mềm thì cần phải xây dựng cấu trúc chương trình điều khiển của Primary PLC giống như Standby PLC Trong chương trình chính của mỗi PLC gồm các hàm sau:

 Checkmode: Dùng để kiểm tra điều kiện Switch Over nếu đó là Standby PLC, còn dùng để chạy kỹ thuật Heartbeat nếu là Primary PLC

 Main programe: Dùng để đọc ghi tín hiệu cần điều khiển và thực thi bài toán điều khiển cùng với việc chuyển đổi kiểu dữ liệu

 Realtime Sync: dùng để đồng bộ Realtime giữa hai PLC

 Update_timer_counter: Dùng để chạy và update giá trị Timer Counter trên hai PLC (Các hàm R_TON, R_TOF, R_CU, R_CD, R_CUD)

 Data_sync: Để đồng bộ hóa dữ liệu giữa hai PLC bằng các hàm truyền thông

Nếu Primary PLC vẫn hoạt động tốt thì chạy toàn bộ chương trình trong nhiệm vụ của mình, còn Standby PLC sẽ chỉ chạy checkmode để kiểm tra điều kiện switch over Khi Primary PLC ra khỏi hệ thống vì một sự cố hay mất truyền thông thì khi này Standby PLC sẽ trở thành Primary và chạy hết toàn bộ các function trên.

Kiểm tra điều kiện hoạt động của Primary/ Standby

Trong hệ thống dự phòng bằng phần mềm, việc phát hiện được điều kiện SwitchOver là rất quan trọng Mỗi khi Primary PLC gặp sự cố thì Primary không thể thông báo cho Standby PLC biết rằng Primary PLC bị lỗi và không thể điều khiển các thiết bị cấp trường Do đó Standby PLC phải thường xuyên cập nhật trạng thái của Primary PLC thông qua kiểm tra truyền thông và kỹ thuật nhịp tim Heartbeat để biết được CPU của Primary có bị lỗi hay không còn kiểm tra truyền thông để xác định khả năng truyền thông của Primary PLC

Trước tiên, chúng ta xem xét một cấu trúc tổng quát đơn giản của hệ thống dự phòng PLC Hai node 1 và node 2 là một đầu dây cùa Ethernet nối từ 2 Redundant PLC tới remote IO Hai PLC trao đổi dữ liệu thông qua LAN network Ethernet dùng giao thức Profinet

Hình 4.5: Cấu trúc hệ thống dự phòng PLC

Giả thiết 1 : CPU của Primary bị lỗi do CPU bị hỏng hoặc bị treo nhưng module giao tiếp và network vẫn hoạt động tốt

Trong trường hợp này, cách tốt nhất là dùng kỹ thuât Heartbeat nghĩa là khi CPU Primary PLC hoạt động bình thường thì ta sẽ cộng dồn một ô nhớ nào đó như

%MW0 chẳng hạn, cứ sau chu kỳ 10ms sẽ cho tăng giá trị lên 1, đồng thời truyền giá trị đó sang Standby PLC Tại Standby PLC thì sau 10ms sẽ đọc giá trị này một lần, sau 100ms sẽ kiểm tra giá trị vừa đọc về với giá trị đã lưu trước đó và so sánh Nếu như bằng nhau tức CPU Primary gặp sự cố vì thế Standby PLC sẽ đảm nhận vai trò điều khiển hệ thống lúc này, ngược lại nếu hai giá trị so sánh khác nhau tức CPU Primary PLC vẫn đang hoạt động tốt và Standby PLC tiếp tục ở mode Standby Đến khi Primary được khắc phục thì sau khi đưa vào hệ thống trở lại sẽ tiếp nhận lại quyền điều khiển, còn Standby PLC sẽ trở về mode Standby

Một số ý kiến cho rằng Standby sẽ chỉ cần đọc các status bit của Primary để biết được tình trạng của CPU Primary Tuy nhiên, cách này không tổng quát cũng như kém hiệu quả vì không phải dòng PLC nào cũng có thể trả về trạng thái khi bị rơi vào trường hợp bị sự cố

Từ đây, ta có thể thấy kỹ thuật Heartbeat tuy đơn giản nhưng lại hiểu quả để xác định CPU của Primary có hoạt động tốt hay không Ngoài ra có một trường hợp nữa không nằm trong giả thuyết này ví dụ như trường hợp muốn tạm thời dừng chương trình của Primary PLC để sửa chữa,… sẽ chuyển Primary PLC sang chế độ Stop mode, Standby PLC thấy được Primary không điều khiển được hệ thống nên Stanby PLC sẽ đảm nhận quyền điều khiển Sau khi nâng cấp chương trình cho Primary xong thì Primary PLC được chuyển sang Run mode thì lúc đó Primary sẽ thông báo cho Standby PLC biết rằng Primary PLC đã trở lại điều khiển hệ thống và Standby PLC chuyển về lại chế độ Standby mode Nhờ vậy mà trong thời gian chỉnh sửa nâng cấp, khắc phục sự cố của Primary PLC thì hệ thống vẫn hoạt động liên tục, không bị gián đoạn

Giả thuyết 2 : CPU của Primary không bị lỗi nhưng do module truyền thông của Primary PLC bị lỗi hoặc Ethernet Cable nối từ node 1 tới Primary PLC bị lỗi và vì thế Primary PLC không thể điều khiển được hệ thống Đây cũng là điều kiện SwitchOver xảy ra Điều kiện đủ để Standby PLC đảm nhận quyền điều khiển hệ thống là Standby PLC phải truyền thông được với các thiết bị ngoại vi (cảm biến, biến tần) Khi thỏa mãn hai điều kiện trên Standby PLC sẽ thực hiện update data trong một chu kỳ Master Task của PLC và thực hiện điều khiển hệ thống

Sơ đồ điều kiện SwitchOver: start

Read input from remote IO

Write output to remote IO

Transfer data to standby PLC

Transfer data to Primary PLC

Standby commnunicate to Remote IO?

Giải thuật kiểm tra trạng thái Primary PLC trên Standby PLC:

4.1.3 ĐỒNG BỘ DỮ LIỆU GIỮA PRIMARY PLC VÀ STANDBY PLC Đối với giải pháp PLC Redundancy bằng phần cứng, việc đồng bộ dữ liệu thực hiện bằng một module riêng biệt Đối với PLC không hỗ trợ giải pháp bằng phần cứng cũng như không hỗ trợ module đồng bộ dữ liệu thì việc đồng bộ dữ liệu được thực hiện bằng cách viết các hàm trao đổi dữ liệu trong chương trình Tùy mỗi loại PLC, tùy mỗi giao thức truyền thông thì có mỗi hàm truyền thông riêng biệt Hình bên dưới thể hiện cấu trúc chương trình trong Primary và Standby PLC

Transfer data to standby PLC

Transfer data to Primary PLC

Hình 4.8: Cấu trúc trong master task

Từ hình vẽ ta thấy, khi Primary PLC đang hoạt động tốt và điều khiển hệ thống, Primary PLC sẽ truyền tất cả các data cần thiết như: %M, %MW, giá trị timer, counter, realtime sang Standby PLC ở cuối chu kỳ master task Ngược lại khi Primary bị lỗi, thì quá trình truyền ngược lại cũng được thực hiện từ Standby sang Primary Việc truyền thông thực hiện thông qua các hàm có trong chương trình TIA Portal và Function Block Diagram xây dựng

Những hàm truyền thông được sử dụng

Hàm PUT: Ghi dữ liệu tới CPU partner

Hình 4.8 Hàm truyền thông PUT

Các thông số được sử dụng

Cho phép trao đổi dữ liệu khi có thay đổi cạnh lên của REQ

ID Input WORD M, D or constant Địa chỉ CPU partner

Trạng thái trao đổi dữ liệu

 0: Chưa ghi dữ liệu hoặc đang trong quá trình ghi

 1: Đã ghi dữ liệu xong và không xảy ra lỗi

ERROR và STATUS cho biết trạng thái lỗi/cảnh báo trong quá trình trao đổi dữ liệu:

Và STATUS có giá trị:

0000H: không có lỗi hoặc cảnh báo

0000H: có cảnh báo, giá trị STATUS cho biết cụ thể cảnh báo (tra bảng)

Có lỗi xảy ra Giá trị STATUS cho biết cụ thể lỗi (tra bảng)

Vùng nhớ tại CPU partner cần ghi (dạng pointer)

Vùng nhớ chứa dữ liệu cần ghi của CPU hiện tại (dạng pointer)

Hàm GET: Đọc dữ liệu từ CPU partner

Hình 4.9 Hàm truyền thông GET

Các thông số được sử dụng:

Cho phép trao đổi dữ liệu khi có thay đổi cạnh lên của REQ

ID Input WORD M, D or constant Địa chỉ CPU partner

Cho biết tình trạng trao đổi dữ liệu:

0: Chưa đọc dữ liệu hoặc đang trong quá trình đọc

1: Đã đọc dữ liệu thành công

ERROR và STATUS cho biết trạng thái lỗi/cảnh báo trong quá trình trao đổi dữ liệu:

Và STATUS có giá trị:

0000H: không có lỗi hoặc cảnh báo

0000H: có cảnh báo, giá trị STATUS cho biết cụ thể cảnh báo (tra bảng)

Có lỗi xảy ra Giá trị STATUS cho biết cụ thể lỗi (tra bảng)

Vùng nhớ tại CPU partner cần ghi (dạng pointer)

Vùng nhớ chứa dữ liệu cần ghi của CPU hiện tại (dạng pointer)

Vấn đề đồng bộ Timer, Couter

Quay trở lại vấn đề đồng bộ dữ liệu giữa hai PLC Việc đồng bộ data ô nhớ

%M và %MW thì khá dễ dàng, tuy nhiên đồng bộ Timer, Counter là một bài toán khó bởi một số vấn đề:

Timer và Counter hoạt động dựa trên phần cứng, ngõ ra ET của Timer và ngõ ra CV của Counter chỉ đọc chứ không ghi được Ví dụ: Primary đang chạy Timer_ON với preset time là 20s nhưng ngõ ra chỉ mới 8s200ms thì lại bị SwitchOver và thế là Standby PLC phải cập nhật và bắt đầu đếm lên từ gía trị ET ngõ ra của Primary tức là đếm từ 8s200ms

Hình 4.10 Timer ON redundancy Đây là yêu cầu của bài toán Redundancy cần phải thỏa mãn nhưng trong thực tế để đáp ứng chính xác như thế là điều không thể Tuy vậy hệ thống vẫn cho phép sai số giá trị thay đổi khi cập nhật ngõ ra của Timer Đây là con số chấp nhận được với các hệ thống không đòi hỏi khắt khe thời gian Tương tự Timer thì Counter cũng sẽ phải thỏa yêu cầu của hệ thống Redundancy là khi SwitchOver xảy ra thì Controller nào đảm nhận việc điều khiển tiếp theo sẽ phải cập nhật và đếm từ giá trị ngõ ra Counter của PLC trước đó Đối với PT và PV thì ta hoàn toàn có thể làm được việc đồng bộ bằng hàm truyền thông một cách bình thường nhờ vùng nhớ

%MW Tuy nhiên giá trị ET và CV cần phải có giải thuật người dùng tự viết cho quá trình đồng bộ trong giới hạn sai số cho phép

Khi truyền thông profinet giữa Primary và Standby PLC chỉ truyền các kiểu

%M và %MW mà không truyền được các kiểu Time như ET và PT của Timer Vì thế cần định địa chỉ cho các giá trị ET và PT là %MW hoặc sẽ gán vào ô nhớ %MW trước khi truyền và bên nhận sẽ phải chuyển ngược lại để đưa vào Timer tiếp túc hoạt động Ở vấn đề này cần lưu ý một điểm khá quan trọng là với các biến thời gian như PT hay ET thì khi gán vào các ô nhớ %MW thì phải chiếm ít nhất là hai ô nhớ Nếu ta gán PT hoặc ET vào ô %MW0 thì ít nhất ô %MW1 cũng dành cho chỉ riêng biến đó

Realtime Timer Data Counter Data

Hình 4.11: Đồng bộ dữ liệu Realtime, Timer, Counter, Internal Memory

Việc đồng bộ Timer có thể hiểu như sau: khi Primary PLC đang run Timer và Counter đều có những giá trị hiện tại là ET và CV của Timer và Counter Khi SwitchOver xảy ra thì giá trị ET và CV của Primary cần được truyền sang Standby PLC để Standby PLC có thể tiếp tục Timer và Counter với đầu vào là giá trị PT và

PV kèm theo đó là các giá trị ET và CV ngõ ra đều phải được bắt đầu đếm từ giá trị

ET và CV nhận được từ Primary PLC khi SwitchOver xảy ra

Xây dựng các hàm đồng bộ Timer, Counter:

Hàm RTON xây dựng với mục đích có chức năng cũng như các ngõ vào ra tương tự hàm TON của nhà sản xuất và đảm bảo thêm vấn đề update và đồng bộ dữ

HV : Phan Thanh Hải – MS 13153062 & Hoàng Anh Tú – MS 13153069 liệu timer trong bài toán đồng bộ dữ liệu của PLC redundancy Cũng như Timer ON bình thường thì cũng sẽ có ngõ vào PT và IN và ngõ ra Q sẽ set lên 1 khi giá trị ET đạt tới giá trị PT ngõ vào và ngõ ra ET_OUT để hiển thị giá trị hiện tại của Timer Tuy nhiên, chúng ta cần phải lưu ý là UPDATE_TIME_ON sẽ thêm ngõ vào là ET update từ Primary PLC để ngõ ra ET_OUT bằng giải thuật của người lập trình sẽ bắt đầu từ giá trị ET được update Sau chu kỳ đầu tiên đó, thì ET_OUT phải được bắt đầu lại từ 0 nếu đếm tiếp lần thứ hai trở đi

Khi sử dụng hàm RTON chỉ quan tâm đến vấn đề sau:

 Khai báo giá trị các biến PT, ET và mỗi biến kiểu time cần được chứa trong 2 ô nhớ %MWn và %MWn+1 Mục tiêu là sau này cần phải update giá trị của

PT, ET và giá trị của PT, ET phải luôn được đồng bộ giữa Primary PLC và Standby PLC

Khai báo biến Q được chứa trong %M hay trong %MWn.x (x: 0 - 15) và được đồng bộ giữa Primary PLC và Standby PLC

PT_T:= PT- ET_TEMP ET:= ET_TEMP+ ET_T

Hình 4.12: Giải thuật đồng bộ Timer ON

Cũng như Timer OF bình thường thì cũng sẽ có ngõ vào PT và IN và ngõ ra Q sẽ reset về 0 khi giá trị ET đạt tới giá trị PT ngõ vào và ngõ ra ET_OUT để hiển thị giá trị hiện tại của Timer Tuy nhiên, chúng ta cần phải lưu ý là UPDATE_TIME_OF sẽ thêm ngõ vào là ET update từ Primary PLC để ngõ ra ET_OUT bằng giải thuật của người lập trình sẽ bắt đầu từ giá trị ET được update Sau chu kỳ đầu tiên đó, thì ET_OUT phải được bắt đầu lại từ 0 nếu đếm tiếp lần thứ hai trở đi

PT_T:= PT- ET_TEMP ET:= ET_TEMP+ ET_T

Hình 4.13: Giải thuật đồng bộ Timer OF

Cũng như một Counter Up bình thường là dùng để đếm lên và ngõ ra Q sẽ set lên 1 khi giá trị CV_OUT lớn hơn hoặc bằng PV vào Và cũng theo cách giống như đồng bộ Timer thì ngõ ra của Counter UP cũng phải được bắt đầu từ giá trị CV mà được cập nhật từ giá trị CV của Counter bên Primary khi SwitchOver xảy ra Và từ lượt chạy thứ hai của Counter trong Standby thì ngõ ra CV_OUT cũng được chạy từ giá trị 0 chứ không còn chạy từ giá trị CV update nữa

PV:= PV_IN- PV_TEMP

RISING CU_IN Y CV_IN:= PV_TEMP + CV_T

PV_T:= PV_IN PV_TEMP:=0 CV_IN:=0 Y

Hình 4.14: Đồng bộ Counter UP

Tương tự như đồng bộ CTU nhưng ngõ ra Q sẽ được set theo cách giống CTD bình thường là sẽ set lên 1 nếu CV_OUT nhỏ hơn bằng 0

Hình 4.15: Đồng bộ Counter DOWN

Hàm R_CUD có chức năng tương tự như hàm CTUD Các ngõ vào, ngõ ra như ta đã biết hàm CUD là kết hợp giữa CTU và CTD do đó khi xây dựng RCUD ta thấy giải thuật tương tự như xây dựng hàm RCTD nên tương đối gọn hơn

Hình 4.16: Đồng bộ Counter UP_DOWN

Giải thuật đồng bộ RealTime Clock

Quá trình đồng bộ Realtime clock là hết sức cần thiết Trong công nghiệp sẽ có những tác vụ mà PLC phải thực hiện theo thời gian thực nên dù SwitchOver xảy ra thì Standby cũng phải chạy theo thời gian thực được định sẵn trên Primary PLC

Receive time data in time_in and write time_in to PLC

Write system time to time_out

Transfer time_out to Standby

Wite system time to time_out and tranfer to Primary PLC

Hình 4.17: Đồng bộ realtime clock

4.2 XÂY DỰNG CÁC SAFETY FUNCTION BLOCK

 Chức năng của khối Analog input :

 Chức năng chính : Đánh giá tín hiệu của đầu vào Analog

Kiểm tra tính hợp lệ của giá trị đầu vào

Chuyển đổi đầu vào thành giá trị vật lý

Kiểm tra giá trị của bộ chuyển đổi Analog/Digital trong ngưỡng cho phép Báo cáo giá trị đo lường vượt ngưỡng cho phép trong chẩn đoán lỗi Kiểm tra giá trị sau khi chuyển đổi với ngưỡng khi có tính trễ

Có lỗi trong analog module

Có lỗi trong dây nối đến ngõ vào

 Mô tả các ngõ vào / ra :

Input Type Default Range of value Description

Output Type Range of Values Description

OV_R = (A_IN - AIN_BGN) *(SCAL_END - SCAL_BGIN) /(AIN_END

OV_I INT - 3276832767 Định fa5ng integer của

Ghi chú: OV_I chỉ đúng, khi -32768 ≤ OV_R ≤

32767 (OV_I_ok = TRUE) OV_R L_SP

OV_R>H BOOL FALSE/TRUE FALSE:OV_R < H_SP

OV_I_ok BOOL FALSE/TRUE TRUE: -32768 ≤OV_R ≤

Inputs E_STOP BOOL Emergency STOP 0

ACK_NEC BOOL 1 = Acknowledgment necessary 1

TIME_DEL TIME Time delay T# 0 ms

Q_DELAY BOOL Enable is OFF delayed 0

ACK_REQ BOOL 1= Acknowledgment request 0

Tín hiệu output Q có giá trị 0 khi giá trị ngõ vào E_STOP có giá trị 0

Khi nghõ vào E_STOP có giá trị bằng 0 thì ngõ ra Q trả về giá trị 0 Sau thời gian delay TIME_DEL thì Q_DELAY trả về giá trị 0

Ngõ ra Q được trả về giá trị 1 khi và chỉ khi ngõ vào E_STOP có giá trị 1 và sự xác nhận lỗi được thực hiện Sự xác nhận lỗi được thực hiện phụ thuộc vào biến

• If ACK_NEC = 0, Sự xác nhận lỗi tự động

• If ACK_NEC = 1, Phải có cạnh lên tại ngõ vào ACK mới kích hoạt xác nhận lỗi

Biến ngõ ra ACK_REQ có giá trị 1 ngay khi ngõ vào E_STOP bằng 1 và chưa có sự xác nhận lỗi thực hiện

Sau khi có sự xác nhận lỗi thì ACK_REQ sẽ được trả về 0

Bảng thể hiện thông tin các bit trong trường hợp lỗi của biến DIAG

Bit 1-5 được lưu giữ đến khi có xác nhận lỗi từ ACK

Meaning Possible causes of problems

Bit 0 Sai định dạng TIM_DEL TIM_DEL < 0 TIM_DEL > 0

Bit 4 Sự xác nhận lỗi không Emergency STOP bị Mở khó Emergency

HV : Phan Thanh Hải – MS 13153062 & Hoàng Anh Tú – MS 13153069 thể thực hiện được vì chế độ Emergency

STOP vẫn được kích hoạt khóa STOP

For solution, see DIAG variable, Bits 0 to 6 in

Emergency STOp bị hư hỏng

Kiểm tra Emergency STOP button

Lỗi dây nối Kiểm tra dây nối Bit 5 Nếu thiếu tín hiệu

Enable ACK được đặt giá trị 1 trong thời gian dài

Xác nhận lỗi bị hỏng

Kiểm tra thiết bị xác nhận lỗi

Kiểm tra dây nối Bit 6 Trạng thái của

Tham số Dạng dữ liệu

Inputs IN1 BOOL Cảm biến 1 0

DISCTIME TIME Thời gian sai khác ( 0- 60s) T# 0 ms

ACK_NEC BOOL 1 = Cần thiết xác nhận lỗi khi có sụ sai khác thời gian

ACK BOOL Xác nhận lỗi sai khác thời gian 0

ACK_REQ BOOL 1 = Sự xác nhận lỗi cần thiết 0

DISC_FLT BOOL 1 = Lỗi sai khác thời gian 0

DIAG BYTE Thông tin lỗi 0

Function block thực hiện m đánh giá 1oo2 của hai cảm biến đơn kênh kết hợp với sự phân tích thời gian khác biệt của 2 tín hiệu

Ngõ ra Q có giá trị 1 khi 2 ngõ vào IN1 và IN2 cùng có giá trị 1 và biến DISC_FLT không có giá trị 1 Nếu trong 2 ngõ vào IN1 và IN2 , có 1 ngõ bằng 0 thì Q = 0 Ngay khi IN1 và IN2 sai khác giá trị thì thời gian DISCTIME được kích hoạt Nếu sự sai khác giữa 2 tín hiệu vẫn tồn tại sau khi hết thời gian DISCTIME thì ngõ ra DISC_FLT sẽ có giá trị 1

Nếu không có sự sai khác nữa thì sự xác nhận lỗi sẽ được kích hoạt phụ thuộc vài biến ACK_NEC

If ACK_NEC = 0, Sự xác nhận lỗi tự động

If ACK_NEC = 1, Phải có xung cạnh lên vào ACK mới xác nhận lỗi ACK_REQ = 1 khi cần sự xác nhận lỗi sai khác thời gian Biến ACK_REQ=1 ngay khi không còn sự sai khac giữa 2 ngõ vào Sau khi xác nhận lỗi hoặc trước khi xác nhận lỗi mà có sự sai khác giá trị của 2 ngõ vào thì ACK_REQ sẽ trở về 0 và kích hoạt DISCTIME

Output Q sẽ không bao giờ có giá trị 1 nếu DISCTIME có giá trị < 0 hoặc > 60 s Trong trường hợp này DISC_FLT sẽ có giá trị 1 Chu kỳ gọi hàm phải nhỏ hơn thời gian kiểm tra sự sai khác ngõ vào

Các bit của diag sẽ được lưu giá trị cho đến khi có sự xác nhận lỗi

Bit 0 Có sự sai khác tín hiệu ngõ vào sau thời gian

Cảm biến hư Kiểm tra cảm biến

Cảm biến được nối vào các cổng bị hư hoặc kết nối bị lỗi

For solution, see DIAG variable, Bits 0 to 6 in F-I/O DB DESCTIME quá thấp

Cần đặt lại giá trị DESCTIME

< 0 s hoặc > 60 s Đặt lại giá trị DESCTIME trong khoảng (0s , 60s) Bit 1 Nếu có lỗi sai khác :

Trạng thái cuối cùng cảu

Bit 2 Nếu có lỗi sai khác :

Trạng thái cuối cùng cảu

Bit 5 Nếu có lỗi sai khác , tín hiệu ACK luôn có giá trị

Nút nhấn xác nhận lỗi bị hư

Thay thế nút nhấn xác nhận lỗi

Dây nối bị lỗi Kiểm tra dây nối

Bit 6 Cần xác nhận lỗi - -

Inputs IN1 BOOL Trạng thái tạm thời switch 1 FALSE

IN2 BOOL Trạng thái tạm thời switch 2 FALSE

ENABLE BOOL Enable input FALSE

DISCTIME TIME Thời gian sai khác (0 to 500 ms) T# 0 ms

DIAG BYTE Thông tin lỗi B#16#0

Function block này để giám sát trạng thái chuyển mạch của 2 switch nếu thời gian chuyển tiếp xúc của IN1 và IN2 trong khoảng thời gian DISCTIME ≤ 500 ms (IN1/IN2 = 1) (kích hoạt đồng bộ ), ngõ ra Q=1 khi tín hiệu ENABLE = 1 Nếu thời gian chuyển mạch giữa IN1 và IN2 lớn hơn DISCTIME thì các thiết bị chuyển mạch phải phat tín hiệu bắt đầu lại

Ngõ ra Q bằng 0 khi 1 trong 2 ngõ vào bằng 0 hoặc ENABLE = 0 Tín hiệu Q =1 khi cả 2 switch đã được mở ( cả 2 ngõ vào bằng 0 ) và được kích hoạt lại trong khoảng thời gian nhỏ hơn DISCTIME và ENABLE =1

DIAG bits 0 đến 5 sẽ được lưu cho đến khi lỗi đươc loại bỏ

500 ms Cài đặt lại DISCTIME

Bit 1 Thời gian sai khác đã trôi qua DISCTIME quá thấp

Cài đặt lại giá trị DISCTIME Switch không đc kích hoạt trong thời gian

Mở Switch và kích hoạt lại trong thời gian

Lỗi dây nối Kiểm tra dây nối Switch bị lỗi Kiểm tra lại Switch

Bit 4 Sai chu trình kích hoạt 1 switch chư đc mở Mở switch trong thời gian DISCTIME Swtich bị hư Kiểm tra Switch Bit 5 Biến ENABLE chưa đc kích hoạt

OPEN_NEC BOOL 1= yêu cầu open khi khởi động 1

ACK_NEC BOOL 1 = Cần phải xác nhận lỗi 1

ACK BOOL Xác nhận lỗi 0

Outputs Q BOOL 1= Enable, cửa đã đóng 0

ACK_REQ BOOL Yêu cầu xác nhận lỗi 0

DIAG BYTE Thông tin lỗi B#16#0

Function block giám sát quá trình đóng safety-door :

Tín hiệu ngõ ra được đưa về 0 khi có 1 tín hiệu ngõ vào bằng 0 Ngõ ra Q có giá trị bằng 1 khi :

 Tín hiệu ngõ vào IN1 và IN2 giả định 1 trạng thái bằng 0 trước khi mở cửa

 (Cửa đã mở hoàn toàn )

 Tín hiệu IN1 và IN2 cùng bằng 1 ( Cửa đã đóng hoàn toàn )

 Cần sự xác nhận lỗi

 Sự xác nhận lỗi phụ thuộc vào biến ACK_NEC

 Nếu ACK_NEC = 0, Sự xác nhận lỗi là tự động

 Nếu ACK_NEC = 1, cần tác động cạnh lên tại input ACK để kích hoạt xác nhận lỗi

Ngõ ra ACK_REQ =1 khi cần sự xác nhận lỗi từ ngõ vào ACK ACK_REQ = 1 ngay khi cửa đóng lại Sau khi xác nhận lỗi thì ACK sẽ được đặt về 0

Bit 1 Trạng thái tín hiệu 0 khi thiếu tín hiệu ngõ vào input

Safety door chưa được mở hoàn toàn khi OPEN_NEC =1 sau khi khởi động

Mở safety door hoàn toàn

Chưa mở safety door hoàn toàn

Mở safety door hoàn toàn

Dây nối bị lỗi Kiểm tra dây nối Switch bị lỗi KIểm tra switch Switch chỉ vị trí chư được điều chỉnh Điều chỉnh lại Switch

Bit 2 Trạng thái tín hiệu 1 khi Safety door chưa được Đóng safety door

HV : Phan Thanh Hải – MS 13153062 & Hoàng Anh Tú – MS 13153069 thiếu ngõ vào đóng hoàn tòa n

Lỗi dây nối Kiểm tra dây nối Switch bị lỗi KIểm tra switch Switch chỉ vị trí chư được điều chỉnh Điều chỉnh lại Switch

Bit 5 Nếu tín hiệu ACK luôn có giá trị 1

Nút nhấn xác nhận lỗi bị hư

Kiểm tra lại nút nhấn

Lỗi dây nối Kiểm tra dây nối

Bit 6 Trạng thái ACK_REQ - -

4.3 TỔ CHỨC XÂY DỰNG HỆ THỐNG SIS (SAFETY INSTRUMENTED SYSTEM)

Như đã giới thiệu ở chương 3, hệ thống SIS là hệ thống nằm trong lớp bảo vệ nhằm tránh rủi ro cho hệ thống sản xuất, còn gọi là hệ thống ESD (hệ thống dừng khẩn cấp)

Hệ thống dừng khẩn cấp thường có 5 cấp bảo vệ

- Level 1 : Dừng các hệ thống cục bộ

- Level 2 : Dừng toàn bộ hệ thống vận hành sản xuất

- Level 3 : Dừng toàn bộ hệ thống vận hành sản xuất và hệ thống báo cháy , khói

- Level 4 : Dừng toàn bộ hệ thống, tắt tất cả các nguồn điện

- Level 5 : Di dời khỏi hệ thống sản xuất

Do hệ thống trong mô hình là 1 hệ thống cục bộ , do đó chúng ta sẽ dử dụng ở level 1

Hệ thống dừng khẩn cấp sử dụng PLC hoàn toàn riêng biệt với PLC điều khiển quá trình sản xuất Các function sử dụng trong PLC của hệ thống shutdown phải là các safety function Các function này nhằm giúp tăng tính an toàn và chính xác cho hệ thống

Trong hệ thống ESD của luận văn sử dụng PLC S7-300 của Siemens Đây không phải là safety PLC được tích hợp sẵn từ nhà sản xuất Do đó , cần phải tích hợp các hàm safety function vào PLC để đảm bảo tính fail-safe của hệ thống

 Logic kết hợp của hệ thống ESD và hệ thống sản xuất

Các tín hiệu input của hệ thống ESD

- Tín hiện shutdown từ Scada

- Tín hiệu shutdown từ nút nhấn

- Tín hiệu báo High High alarm từ LIC , báo mực dầu trong tank đã đến mức nguy hiểm

Các tín hiệu này đều được sử dụng các safety function để nhận biết độ chính xác vào dự đoán lỗi trước khi hệ thống ESD xử lý

Các safety function sử dụng trong hệ thống :

Các tín hiệu input của ESD sau khi đã được xác định bởi các safety function , nếu không có các dự báo lỗi tín hiệu sẽ kích hoạt hệ thống ESD ở ngõ ra

Do hệ thống bảo vệ sử dụng lớp bảo vệ level 1 nên khi kích hoạt ESD sẽ trip nguồn của Pump và mở van xả Tại thời điểm này , hệ thống sản xuất sẽ không điều khiển được pump và valve

Khi mực dầu về lại dưới 1 vị trí an toàn được cài đặt trước , nguồn của pump sẽ được kích hoạt trở lại và valve xả được đóng lại

Lúc này , hệ thống sản xuất có thể tiếp tục điều khiển bình thường

Do tính chất của hệ thống ESD là fail-safe nên ,khi hệ thống ESD chưa hoạt động thì hệ thống sản xuất sẽ không hoạt động đc

Do tính chất quan trọng của hệ thống nhằm đảm bảo tính mạng con người và tài sản , bảo vệ môi trường nên các tín hiệu của hệ thống sẽ được truyền 1 các đơn giản và tin tưởng nhất

TÍNH TOÁN SIL CHO HỆ THỐNG

HỆ THỐNG BAN ĐẦU

Hệ thống điều khiển mực chất lỏng trong bồn chứa ban đầu như sơ đồ trong hình 5.1

Hình 5.1 Hệ thống ban đầu

 Chỉ số PFD của từng thiết bị theo trong bảng datasheet :

- Do hệ thống có lớp cảnh báo bằng tín hiệu alarm trên màn hình Scada

- Xác suất cảnh báo sai là 0.1

- Xác suất lỗi PFD khi người vận hành không để ý tín hiệu cảnh báo là 0.1

 Phân tích rủi ro cho hệ thống

- Do đây là tank chứa dầu nên khi có hiện tượng dầu được bơm quá nhiều so với khả năng chứa của tank sẽ gây ra hiện tượng tràn dầu , có thể gây cháy nổ do quá áp suất trong tank

- Do biến tần truyền tín hiệu đến pump bằng dây nối Nên coi như lỗi Pump vs biến tần hoàn toàn do lỗi của biến tần truyền tín hiệu sai

- Lý do dẫn đến các rủi ro trên là do 1 trong các nguyên nhân sau : o Biến tần lỗi o Remote I/O lỗi o PLC lỗi o Gateway bị lỗi o Level transmitter lỗi

- Xác suất để tank bị quá áp tràn dầu :

Sơ đồ Fault tree cả hệ thống khi chưa có lớp bảo vệ (hình 5.2):

Xác xuất lỗi mức dầu đạt ngưỡng nguy hiểm của hệ thống khi điều khiển ( chưa sử dụng các lớp bảo vệ )

PFDprocess = PFDbt + PFDIO + PFDplc + PFDlv + PFDgw

= 2 x 10 -3 + 3 x 10 -2 + 3 x 10 -2 + 6.05 x 10 -3 + 1.1 x 10 -3 = 6.915 x 10 -2 -Do hệ thống có bộ phận cảnh báo “alarm” trên Scada để người vận hành biết được khi có hiện tượng mức dầu đạt ngưỡng nguy hiểm Khi đó người vận hành sẽ xả valve và tắt nguồn pump

Cảnh báo Người vận hành Valve xả

Mức dầu đạt ngưỡng nguy hiểm

1 Dầu được xả an toàn khi đạt ngưỡng nguy hiểm 5.3 x 10 -2

2 Valve xả bị kẹt Dầu tràn 2.8 x 10 -3

3 Người vận hành lỗi , dầu tràn 6.22 x 10 -3

4 Cảnh báo lỗi , dầu tràn 6.915 x 10 -3

-Theo hình 5.3, Các trường hợp tràn dầu của hệ thống là trường hợp 2, 3, 4 Do đó tổng xác suất tràn dầu của hệ thống :

PFDsys_bg = 2.8 x 10 -3 + 6.22 x 10 -3 + 6.915 x 10 -3 = 15.935 x 10 -3 = 1.5935 x 10 -2 Đối chiếu bảng chỉ số SIL Hệ thống đang thuộc SIL 1 Để nâng cấp tính năng an toàn cho hệ thống đạt SIL 2, chúng ta sử dụng tích hợp hệ thống SIS và tính năng redundant cho PLC điều khiển mực dầu

HỆ THỐNG SAU KHI PHÁT TRIỂN

Hệ thống sau khi phát triển được thể hiện trong sơ đồ hình 5.4

 PFD của PLC sau khi tích hợp redundant

Khi áp dụng tính năng redundant cho PLC điều khiển quá trình với chỉ số lỗi chung β = 2%

Khi này cụm PLC sẽ đạt voting 1oo2 PFD của cụm PLC theo công thức đã nêu trong chương 1

- Voting 1oo1 : PFD1 = ẵ * λDU * TI

- Voting 1oo2 : PFD2 = [(λDU ) 2 * (TI/3 ) 2 ] + β * ẵ * λDU * TI

Chỉ sô PFD của cụm PLC : PFDplc2= 4/3 * (3 x 10 -2 ) 2 + 2% * (3 x 10 -2 ) = 1.8 x 10 -3

 Áp dụng các safety function cho remote I/O

Các safety function đều đạt SIL 1 có chỉ số PFD = 5 x 10 -2

Chỉ số PFD của remote I/O sau khi sử dụng các safety function

Sau khi áp dụng tính năng redundant cho PLC điều khiển mức dầu và safety function block cho remote I/O

Xác xuất lỗi mức dầu đạt ngưỡng nguy hiểm của hệ thống khi điều khiển theo hình 5.2 :

PFDprocess = PFDbt + PFDIO + PFDplc2 + PFDlv + PFDgw

=6.05 x 10 -3 + 2 x 10 -3 + 1.8 x 10 -3 + 1.5 x 10 -3 + 1.1 x 10 -3 = 1.245 x 10 -2 Xác suất lỗi tràn dầu của hệ thống khi qua lớp bảo vệ alarm và người vận hành

Cảnh báo Người vận hành Valve xả

2 Valve xả bị kẹt Dầu tràn 0.504 x 10 -3

3 Người vận hành lỗi , dầu tràn 1.12 x 10 -3

4 Cảnh báo lỗi , dầu tràn 1.245x 10 -3

PFD của hệ thống sau khi áp dụng tính năng redundant cho PLC điều khiển, theo như hình 5.5 là các trường hợp 2,3,4:

10 -3 < PFD sys_mid < 10 -2 , đối chiếu với bảng thông số SIL-PFD (chương 2, hình 2.3) ta thấy hệ thống đạt tiêu chuẩn SIL 2 Như vậy với việc xây dựng hệ thống dự phòng và tích hợp các safety function cho Remote IO ta đã nâng cấp hệ thống được từ SIL 1 thành SIL 2 Ta sẽ tiếp tục phân tích tác dụng của hệ thống SIS

 PFD của hệ thống SIS

- Hệ thống SIS bao gồm tín hiệu từ Level transmitter đưa qua remote I/O , PLC S7-300 xử lý tín hiệu , khi có HH alarm thì trip nguồn biến tần, pump và mở valve xả Lúc này valve xả sẽ được điều khiển thông qua SIS

- Xác suất lỗi của hệ thống SIS như hình 5.6

Xác suất lỗi của SIS :

PFDsis = PFDlv + PFDIO + PFDplc + PFDrelay x PFDvalve

 Xác suất lỗi của hệ thống khi tích hợp hệ thống SIS :

Cảnh báo Người vận hành SIS

3 Người vận hành lỗi , hệ thống SIS hoạt động ok 11.16 x 10 -3

4 người vận hành lỗi , SIS lỗi 4.3x 10 -5

5 Cảnh báo lỗi , SIS hoạt động OK

6 Cảnh báo lỗi , SIS lỗi 4.8x 10 -5

Theo như hình 5.7, Các trường hợp 2 , 4, 6 là các trường hợp hệ thống bị lỗi tràn dầu ra môi trường

Xác suất lỗi hệ thống sau khi cải thiện :

Chỉ số PFD của hệ thống sau khi cải thiện 10 -4 < PFD sys_fn < 10 -3 Đối chiếu với bảng thông số SIL-PFD (chương 2, hình 2.3) ta thấy hệ thống đạt SIL 3 Như vậy tích hợp thêm hệ thống SIS đã giúp nâng cấp hệ thống từ SIL 2 thành SIL 3

Kết luận: Hệ thống cuối cùng đạt được SIL 3

TỔNG KẾT – ĐÁNH GIÁ

KẾT QUẢ

Thời gian thực hiện đề tài phải gắn liền thiết bị trong Phòng thí nghiệm 109B3 để kiểm chứng vào các ngày cuối tuần, thời gian còn lại trong tuần chủ yếu để nghiên cứu lý thuyết và lập trình xây dựng hệ thống dự phòng và hệ thống SIS Tuy nhiên dù cố gắng tìm hiểu, đi sâu vào đề tài nhưng kiến thức có nhiều điều mới, cập nhật nên chắc chắn sẽ không tránh được thiếu sót, hạn chế

Từ kết quả nghiên cứu, đề tài luận văn rút ra những kết quả sau: Luận văn tương đối giải quyết được một số vấn đề cơ bản về lý thuyết và thực hành thí nghiệm

 Về lý thuyết đã đưa ra được những kiến thức cơ bản về phân tích đánh giá và nâng cao SIL cho hệ thồng điều khiển Trình bày được các safety function là gì, mục đích và ứng dụng viết thư viện các hàm safety function cho PLC

 Về thực hành thí nghiệm trên mô hình mẫu ban đầu: Đã xây dựng được hệ thống PCS (process control system) kết hợp với hệ thống SIS (Safety Instrumented System) để nâng cao tính an toàn – SIL level - cho hệ thống

Hệ thống PCS chính là 2 PLC S7-1200 dự phòng nóng (hình 6.1, 6,2, 6.3)

Việc xây dựng hệ thống hot-redundancy cho 2 PLC S7-1200 tương đối khó và mất nhiều thời gian do đây là đề tài hoàn toàn mới (chưa có nghiên cứu nào trước đây về xây dựng thuật toán dự phòng cho các PLC Siemens, Siemens có cung cấp một phần mềm hỗ trợ thiết kế software redundancy tuy nhiên để sử dụng được phần mềm này cần phải có phần cứng đặc thù đi kèm, đó là 2 PLC S7-300 (hoặc S7-400) và nhất thiết phải có remote IO ET-200M của hãng)

Hệ thống SIS sử dụng PLC S7-300 hoàn toàn độc lập với hệ thống PCS

(hình 6.4), được xây dựng theo đúng nguyên tắc của hệ thống SIS thực tế trong công nghiệp đó là không can thiệp vào quá trình điều khiển, logic tối ưu hóa và chỉ dùng để shutdown system khi có sự cố Ngoài ra trong PLC S7-300 đã ứng dụng

HV : Phan Thanh Hải – MS 13153062 & Hoàng Anh Tú – MS 13153069 thư viện safety function do chúng tôi tự viết, do đó về cơ bản có thể xem như hoạt động của S7-300 gần tương đương với 1 safety PLC vốn có giá thành rất cao

Hình 6.1 Hệ thống dự phòng gồm 2 PLC S7-1200 CPU 1214C

Hình 6.2 PLC S7-1200 CPU 1212C đóng vai trò Remote IO

Hình 6.3 Hệ thống bồn nước

Hình 6.4 PLC S7-300 điều khiển hệ thống SIS

ĐÁNH GIÁ

 Chất lượng của hệ thống

Với hệ thống ban đầu chỉ gồm 1 PLC, 1 remote IO, 1 cảm biến và 1 chấp hành Dễ thấy hệ thống chỉ đạt SIL 1 với xác xuất xảy ra lỗi rất cao Hệ thống sau khi cải tiến đã giảm thiểu xác xuất xảy ra lỗi ở cấp điều khiển thông qua 2 PLC dự phòng, giảm thiểu xác xuất xảy ra lỗi ở cấp remote IO do sử dụng các safety function Và tăng cường tính an toàn bằng hệ thống SIS, đảm bảo trip cho bơm và xả bồn khi có sự cố Do đó hệ thống được nâng lên SIL 3 (tính toán cụ thể đã được trình bày trong chương 5)

Thể hiện ở việc xây dựng bộ thư viện safety function Trong giới hạn luận văn, bộ thư viện trên được xây dựng cho PLC S7-300/S7-1200 của Siemens, tuy nhiên về giải thuật thì có thể áp dụng cho tất cả các loại PLC, do đó tùy theo từng dòng PLC cụ thể có thể lập trình lại dựa trên giải thuật và ý tưởng đã đưa ra

 Khả năng ứng dụng: Ở hệ thống PCS: Giải pháp redundancy bằng phần mềm được đưa vào ứng dụng cần phải có thêm thời gian nghiên cứu, thực nghiệm để đánh giá Về mặt khoa học công nghệ thì đây rõ ràng là một vấn đề rất đáng được quan tâm Với những hệ thống có tính quan trọng không cao, việc trang bị dự phòng bằng phần cứng là tương đối đắt tiền và không cần thiết, thay vào đó việc dự phòng bằng phần mềm tương đối linh hoạt và có thể tận dụng những PLC cũ/sẵn có Luận văn giới hạn ở việc xây dựng hệ thống dự phòng cho các PLC S7 của Siemens, hướng phát triển có thể đưa ra là xây dựng hệ thống dự phòng cho các PLC của các hãng khác hoặc pha trộn PLC giữa các hãng với nhau Ở hệ thống SIS: hệ thống SIS được xây dựng không phải dựa trên tính phức tạp của đối tượng điều khiển mà dựa trên tính mất an toàn của đối tượng (ví dụ điều khiển bồn nước là tương đối đơn giản, nhưng đối tượng bồn nước có tính mất an toàn cao, khi bơm đầy sẽ tăng áp suất làm hư hỏng bồn hoặc hư hại bơm, cháy, nổ….) Hệ thống này hoàn toàn có thể áp dụng trong thực tế

 Nhược điểm của hệ thống

 Hệ thống trong đề tài còn phụ thuộc nhiều vào truyền thông nên gây ra sai số Hệ thống thực còn khá phức tạp nên đề tài có thể chưa đáp ứng được hết các trường hợp chuyên sâu của yêu cầu

 Hệ thống redundancy xây dựng cho PLC S7-1200 tương đối mới do chưa có nghiên cứu nào trước đây về vấn đề này, do đó thuật toán đưa ra có thể chưa tối ưu và chương trình lập trình cho PLC còn tương đối dài và chưa tường minh

 Do giới hạn về phần cứng nên hệ thống thực sự chưa được như ý muốn : thiếu module Distributed IO, do PLC trong phòng thí nghiệm được nhiều nhóm làm

HV : Phan Thanh Hải – MS 13153062 & Hoàng Anh Tú – MS 13153069 luận văn khác cùng sử dụng, do đó không thể thiết kế phần cứng đồng bộ trên một panel dẫn đến việc đấu dây còn rườm rà mất thẩm mỹ.

HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI

 Phát triển và mở rộng thêm thư viện safety function Vấn đề đặt ra là thư viện này có bao nhiêu function thì đủ? Thực tế các hãng khác nhau cung cấp những ý tưởng xây dựng safety function này cũng khác nhau, ngoài trừ những hàm cơ bản như Analog Input/Output, Digital Input/Output, Emergency Stop hay Voting, thì mỗi hãng thường đưa thêm một số hàm tùy theo những ứng dụng hoặc giải pháp tự động thực tế mà hãng đó có thể cung cấp (ví dụ Siemens cung cấp các hàm safety chuyên dùng để điều khiển cửa tự động) Do đó không có ràng buộc nào về số lượng hàm trong thư viện và ta hoàn toàn có thể phát triển thêm những hàm mới phù hợp với công việc thực tế mà mình đang làm

 Tối ưu hóa hệ thống dự phòng nóng và phát triển dự phòng cho nhiều PLC Mặc dù hệ thống dự phòng 2 PLC S7-1200 đã chạy được ổn định Tuy nhiên thời gian đáp ứng vẫn chưa tốt, đôi khi vẫn xảy ra nhiễu Đây là do hạn chế về phần cứng của PLC (ví dụ PLC premium của Schneider có tỉmer internal thấp nhất là 10ms, nhưng PLC S7-1200 của Siemen chỉ có timer internal thấp nhất là 100ms) Hướng phát triển của đề tài là sẽ khắc phục nhược điểm này bằng các giải thuật khác tối ưu hơn Đồng thời thay vì dual redundancy sẽ phát triển thành triple redundancy hoặc pha trộn redundancy của nhiều dòng khác nhau

 Đưa ra thêm nhiều mô hình khác nữa về việc cải thiện SIL của hệ thống điều khiển Đặc biệt là ứng dụng thực tiễn trong công nghiệp, trước mắt có thể ứng dụng ở những công ty hoặc nhà máy vừa và nhỏ nơi có hệ thống tự động hóa được xây dựng từ lâu hoặc không tích hợp tính năng an toàn hoặc tính năng an toàn đã xuống cấp

 Về lý thuyết SIL và cải thiện SIL cho hệ thống, một vấn đề cần quan tâm khác là ngoài các phương pháp nâng SIL đã trình bày ở trên, còn có thể kết hợp với phương pháp proof testing Tuy nhiên trong giới hạn của luận văn chưa nghiên cứu được phần này Trong tương lai sẽ tiếp tục nghiên cứu và phát triển thêm

Tiêu đề	Phương pháp tính toán, nâng cao và đánh giá SIL cho hệ thống điều khiển
Tác giả	Phan Thanh Hải, Hoàng Anh Tú
Người hướng dẫn	TS. Trương Đình Châu
Trường học	Trường Đại học Bách Khoa - ĐHQG TP. Hồ Chí Minh
Chuyên ngành	Kỹ thuật Điều khiển và Tự động hóa
Thể loại	Luận văn thạc sĩ
Năm xuất bản	2015
Thành phố	Tp. Hồ Chí Minh

Định dạng
Số trang	109
Dung lượng	2,6 MB

Tài liệu tham khảo	Loại	Chi tiết
[1] IEC-61508 Functional safety of electrical/electronic/programmable electronic safety-related systems	Khác
[2] IEC-61511 Functional safety – Safety instrumented systems for the process industry sector	Khác
[3] SIEMENS, Sofftware Redundancy for Simatic S7-1200 and S7-500	Khác
[4] SIEMENS, Industrial Software SIMATIC Safety - Configuring and Programming	Khác
[5] Trần Văn Hiếu, Tự Động Hóa PLC S7-300 Với Tia Portal, NXB Khoa Học Và Kỹ Thuật, 2014	Khác