Trusted ESD系統(tǒng)在德士古氣化爐中的應用

兗礦魯南化工有限公司儀表一車間計算機班 王 力 張衍更

一、Trusted系統(tǒng)介紹：

1.Trusted系統(tǒng)三重化介紹

Trusted系統(tǒng)是ICS Triplex公司集幾十年安全系統(tǒng)領域的理論和實踐經驗，于1998年推出的最新一代ESD控制系統(tǒng)。該系統(tǒng)采用硬件容錯，即采用硬件電路和芯片完成系統(tǒng)的故障診斷、冗余和容錯管理工作，而不是采用軟件計算的軟件容錯。在Trusted系統(tǒng)中，所有重要電路都實現了三重化，三重化的每個部分都是獨立的，但單個部分的功能又完全相同。三重化電路的輸出信號在成為系統(tǒng)輸出之前，經過一個三選二的表決芯片，當三個電路中有一路發(fā)生故障，輸出錯誤信號，經過三選二表決后該錯誤信號被屏蔽掉，系統(tǒng)仍然輸出正確的信號，系統(tǒng)不會因為內部故障而對過程產生影響。被用來實時地處理各種復雜和危險的生產過程控制，接受現場信號，執(zhí)行邏輯運算，PID等各種控制程序，輸出控制信號，驅動現場執(zhí)行單元。

2.Trusted容錯系統(tǒng)的好處

①沒有單點故障：所有關鍵組件都是三重化的，即使出現一個或多個故障，Trusted系統(tǒng)將繼續(xù)正確運行。

②100%的故障檢測：當一個關鍵組件發(fā)生故障，它將被檢測到。故障檢測是容錯系統(tǒng)的一個重要部分。通過鑒別出故障部件，可以減小平均修復時間并且增加系統(tǒng)的可利用性。

③自動隔離故障而不會造成性能降級：當一個關鍵電路中發(fā)生了一個故障，它將被立即隔離以防止影響系統(tǒng)的運行。因此在故障出現時，不會有性能下降或降級。

④無擾的故障處理：當一個故障發(fā)生，系統(tǒng)繼續(xù)提供控制功能而不會延遲或降級系統(tǒng)性能。

⑤模塊熱更換：在上電的情況下模塊可以被移除和更換，更換模塊可以被重新初始化而不會造成系統(tǒng)性能的降級。

⑥容錯對應用程序是透明的：應用程序可以象非冗余控制器一樣被開發(fā)，不需要針對Trusted系統(tǒng)內建的三重化特性而進行特殊編程。

⑦實現過程容錯：Trusted系統(tǒng)的容錯可以被擴展到現場設備已保證過程中出現故障時繼續(xù)正確運行。

⑧小而輕：與其他競爭廠家的TMR系統(tǒng)比較，Trusted系統(tǒng)只有1/3的尺寸和1/4的重量。

⑨集控制與安全在同一系統(tǒng)中：Trusted系統(tǒng)是經TUV認證的，可用于控制系統(tǒng)與安全系統(tǒng)。

⑩開放互聯(lián)：Trusted系統(tǒng)可作為一個OPC server運行。

3.整個系統(tǒng)硬件結構

控制器部分由控制器機架、處理器模塊、通信模塊、網關模塊、擴展接口模塊、I/O模塊（一個控制器機架可以安裝一個主處理器和它的后備處理器，以及最大8個模塊：I/O模塊，通信模塊，網關模塊，和擴展模塊）等組成。

擴展器部分由擴展處理器、I/O模塊、通信模塊組成。

電源系統(tǒng)由電源機架和電源模塊組成，電源模塊可以提供現場供電和系統(tǒng)供電。

組件名稱 型號 通道數

TMR處理器 T8100B

擴展處理器 T8310

擴展接口模塊 T8311

通信接口模塊 T8151B

AI模塊 T8431(40通道24V DC)

DI模塊 T8403(40通道24V DC)

DO模塊 T8461(40通道24V DC)

4.Trusted系統(tǒng)運行過程

1）過程狀態(tài)處理數據(開關位置，變送器讀入等)由輸入模塊送入。過程狀態(tài)數據先被緩存在每一個輸入模塊，然后被發(fā)送到三重化的內部模塊總線IMB上。

2）TMR處理器讀入并表決過程狀態(tài)信息。然后處理器執(zhí)行保存在內存中的應用程序。處理器以三重化的組的方式運行，彼此之間共享信息，并且以緊密的同步方式運行。TMR處理器計算得到輸出指令并將其發(fā)送到輸出模塊。

3）三重化的輸出命令被發(fā)送回IMB總線，然后再到正確的輸出模塊上。輸出模塊接受命令并且表決數據，然后輸出電路被經多數表決后的命令驅動。

Trusted系統(tǒng)以非?？斓乃俣冗B續(xù)地重復這種掃描順序，并提供連續(xù)的容錯控制。如果系統(tǒng)內的一個內部電路發(fā)生故障，它被輸出表決，然后故障被通知，處理器繼續(xù)運行而沒有任何中斷。Trusted系統(tǒng)是容錯系統(tǒng)，被設計為“故障運行/故障安全”。當單個故障發(fā)生在一個故障限制區(qū)內，系統(tǒng)將繼續(xù)運行。這被認為是故障運行狀態(tài)。系統(tǒng)將繼續(xù)運行在這種狀態(tài)，直到故障模塊被更換并且系統(tǒng)返回到完整的運行狀態(tài)。如果在第一個故障模塊被更換前，第二個故障發(fā)生在剩下的兩個平行電路中，第二個故障將導致系統(tǒng)停車，這被認為是故障安全狀態(tài)，故障運行/故障安全設計也被稱為3-2-0運行。

二、整個控制系統(tǒng)運行過程

本次系統(tǒng)改造為3臺德士古氣化爐，每一套氣化爐使用一套Trusted ESD系統(tǒng)，三套系統(tǒng)之間互相獨立，互不影響。上位監(jiān)控機由3臺操作站及一臺工程師站電腦組成，其中每一臺操作站均可以監(jiān)控另外兩臺氣化爐畫面，而不會因一臺操作站的故障導致無法監(jiān)控氣化爐ESD畫面，而工程師站用于維護整個控制系統(tǒng)，可以實現3套系統(tǒng)的組態(tài)和所有上位聯(lián)鎖復位、打旁路及假信號等操作。因這套Trusted系統(tǒng)沒有服務器，任何一臺操作站電腦都可以獨立關閉與啟動，互不影響。操作站及工程師站硬件上通過兩臺交換機和兩個通信模塊實現和控制器之間的通信，通訊也是完全冗余，安全可靠。

氣化爐的儀表公共測量點通過P+F安全柵將現場來的信號一分為三在每臺爐子ESD監(jiān)控畫面給予顯示，重要測量點通過電纜將信號引至DCS通道，在DCS上顯示，供工藝人員監(jiān)控。通過硬件接線實現ESD與DCS的通訊，安全可靠。

下位程序功能由IEC1131 TOOLSET軟件實現，完成渣水鎖斗順控、氣化爐開停車步驟、氣化爐聯(lián)鎖邏輯、旁路及假信號操作等實際聯(lián)鎖功能，上位監(jiān)控畫面的編輯及監(jiān)控均完全由Intouch軟件實現。上下位之間通過OPC服務器實現通信，OPC(面向過程控制的對象鏈接與嵌入)服務器允許OPC客戶端通過以太網通信與一個Trusted系統(tǒng)連接并且訪問過程數據。

另外，這套系統(tǒng)可以通過順序事件記錄和過程歷史軟件包來收SOE數據。其中順序事件記錄收集（SOE）程序產生所有離散變量的時間標日志（例如系統(tǒng)內故障，輸出閥門動作等）對閥門動作時間要求很高的鎖斗系統(tǒng)來說，SOE可以收集到每個閥門動作的時間，提供了很大的方便。而過程歷史程序（PH）提供記錄模擬變量的功能，可以滾動記錄并且保持最大4000個記錄。當開始收集SOE數據時，任何當前被緩存在Trusted TMR通信接口模塊中的事件信息可以被收集并添加到SOE顯示畫面中。一旦SOE收集器得到所有的被緩存的事件信息，它將輪詢新的事件信息。所有新的事件信息將被添加到顯示畫面中。

三、運行結果

通過儀表計算機班人員內部的反復調試，完全實現了所有氣化爐的所有安全聯(lián)鎖要求。其中C#氣化爐最先改造，目前已經運行一年時間有余，系統(tǒng)運行穩(wěn)定，A#氣化爐改造后也已運行半年時間，均未出現任何系統(tǒng)故障而導致的停車問題，實現了氣化爐的長周期安全穩(wěn)定運行。

[1]北京麥克韋爾信息控制系統(tǒng)有限公司.TrustedTMR培訓手冊.

[2]ICS Triplex亞太公司中國代表處.Trusted系統(tǒng)中文手冊.