TRICON V10 TMR系統(tǒng)在乙烯裝置中的應(yīng)用

　　摘要：針對(duì)廣州石化乙烯裝置原來(lái)的SIS系統(tǒng)存在的問(wèn)題，應(yīng)用TRICON系統(tǒng)對(duì)其進(jìn)行了改造，本文重點(diǎn)介紹TRICON系統(tǒng)的硬件組態(tài)、邏輯編程、人機(jī)界面組態(tài)和系統(tǒng)調(diào)試等各方面的技術(shù)實(shí)現(xiàn)。實(shí)際應(yīng)用表明，TRICON系統(tǒng)全面克服了舊系統(tǒng)中存在的各種缺點(diǎn)，確保了裝置的安全運(yùn)行。

　　關(guān)鍵詞：乙烯裝置 緊急停車系統(tǒng)SIS TRICON系統(tǒng) 三重化容錯(cuò)技術(shù)

　　Abstract：To against the problems in existing Safety Instrumented System of Ethylene plant in GuangZhou Petrochemicals，the retrofit with TRICON system is implemented. The hardware configuration of TRICON system，logic programming，the man-machine interface，and the system commissioning are introduced emphatically. The practical application shows that the TRICON system overcome various disadvantages in the old system and ensured safety production of the plant.

　　Keywords：Ethylene plant  Safety Instrumented System（SIS） TRICON system Triple-modular redundant。

　　引言

　　煉油化工裝置具有高溫、高壓、易燃、易爆、工藝復(fù)雜而連續(xù)性強(qiáng)、安全要求高等特點(diǎn)，為了最大限度地降低裝置惡性事故發(fā)生的概率，減少計(jì)劃外停車，避免重大人身傷害、重大設(shè)備損壞及重大經(jīng)濟(jì)損失的事故發(fā)生，設(shè)計(jì)一套安全可靠、動(dòng)作及時(shí)的安全保護(hù)系統(tǒng)是非常重要的。

　　安全儀表系統(tǒng)SIS（Safety Instrumented System）是一種獨(dú)立于生產(chǎn)過(guò)程控制系統(tǒng)的用于大型裝置的安全聯(lián)鎖保護(hù)系統(tǒng)。在正常情況下，通過(guò)安全保護(hù)系統(tǒng)實(shí)時(shí)在線監(jiān)測(cè)裝置的安全，當(dāng)裝置出現(xiàn)緊急情況時(shí)直接發(fā)出保護(hù)聯(lián)鎖信號(hào)對(duì)工藝流程實(shí)行聯(lián)鎖保護(hù)或緊急停車，以避免危險(xiǎn)擴(kuò)散造成巨大損失。

　　廣州石化乙烯裝置原來(lái)的聯(lián)鎖保護(hù)系統(tǒng)是用Honeywell公司的LM系統(tǒng)實(shí)現(xiàn)的。該套系統(tǒng)自1996年乙烯裝置開工時(shí)運(yùn)行至今，存在版本老化、技術(shù)支持力量不足、主輔控制器不能自動(dòng)切換、機(jī)械故障率高、故障排除困難、維護(hù)難度大、沒有事件序列SOE（Sequence of Event）功能、沒有人機(jī)界面等缺點(diǎn)，已遠(yuǎn)不能滿足安全生產(chǎn)的需要。經(jīng)過(guò)多方論證，廣州石化乙烯裝置采用美國(guó)TRICONEX公司開發(fā)的TRICON系統(tǒng)對(duì)聯(lián)鎖系統(tǒng)進(jìn)行了更新改造。經(jīng)過(guò)4個(gè)多月的奮戰(zhàn)，完成了聯(lián)鎖系統(tǒng)的設(shè)計(jì)、組態(tài)、安裝、調(diào)試，并于2007年2月17日投入使用，為乙烯裝置一次開車成功發(fā)揮了重要作用。到目前為止，該系統(tǒng)運(yùn)行非�？煽�，確保了裝置安全運(yùn)行。

　　 1、TRICON系統(tǒng)簡(jiǎn)介

　　TRICON系統(tǒng)是基于三重模塊冗余TMR（three moduleredund）結(jié)構(gòu)的容錯(cuò)控制器。它將三路（每路稱為一個(gè)分電路）相互隔離、并行的和具有廣泛的自診斷功能的控制系統(tǒng)集成為一個(gè)系統(tǒng)，用三取二表決電路來(lái)提供高度完善、無(wú)差錯(cuò)、不間斷的過(guò)程操作，不會(huì)因?yàn)閱吸c(diǎn)的故障而導(dǎo)致系統(tǒng)失效。該系統(tǒng)的硬件、軟件均通過(guò)德國(guó)技術(shù)監(jiān)督局TaV AK6 級(jí)認(rèn)證。

　　TRICON控制器有3個(gè)主處理器。傳感器信號(hào)至輸入模塊被分成隔離的3路，通過(guò)3個(gè)獨(dú)立的通道分別被送到3個(gè)主處理器中。處理器之間的總線按多數(shù)原則對(duì)數(shù)據(jù)進(jìn)行表決，并糾正任何輸入數(shù)據(jù)的偏差。主處理器的輸出沿著3個(gè)通道送到輸出模塊，并在輸出模塊中再次進(jìn)行表決/選擇，如圖1所示。在表決電路中包含有總的“反饋”電路，用于對(duì)輸出狀態(tài)做最好的校驗(yàn)，診斷潛在的故障。

　　TRICON系統(tǒng)對(duì)每個(gè)獨(dú)立的分電路、每個(gè)模塊組件和每個(gè)功能電路都進(jìn)行廣泛的自診斷，對(duì)操作錯(cuò)誤進(jìn)行檢測(cè)和報(bào)告。所有診斷信息均儲(chǔ)存在系統(tǒng)變量里，或由LED和報(bào)警觸點(diǎn)指示，或直接進(jìn)行維護(hù)。且所有的故障元件都可以進(jìn)行在線更換。

　　TRICON系統(tǒng)設(shè)計(jì)中，將人機(jī)界面組態(tài)和硬件、邏輯實(shí)現(xiàn)等組態(tài)分別由兩種軟件來(lái)實(shí)現(xiàn)。硬件組態(tài)、邏輯實(shí)現(xiàn)、SOE功能實(shí)現(xiàn)等由TRICONEX公司的軟件來(lái)實(shí)現(xiàn)，包括Tristation 1131、SOE和DDE等3 種軟件。人機(jī)界面組態(tài)用WONDERWARE公司開發(fā)的INTOUCH來(lái)實(shí)現(xiàn)。兩種軟件都具有功能強(qiáng)大、使用簡(jiǎn)捷方便的特點(diǎn)。

　　2 乙烯裝置SIS系統(tǒng)設(shè)計(jì)

　　2 .1 系統(tǒng)配置

　　乙烯裝置聯(lián)鎖控制系統(tǒng)原來(lái)使用的是三套HONEYWELL的LM系統(tǒng)，改造設(shè)計(jì)為使用三套TRICONEX公司的Tricon V10 TMR系統(tǒng)。三套系統(tǒng)分別為：裂解急冷（A1區(qū)）緊急停車聯(lián)鎖保護(hù)系統(tǒng)、壓縮分離（A2區(qū)）緊急停車聯(lián)鎖保護(hù)系統(tǒng)、汽油加氫丁二烯（A3區(qū)）緊急停車聯(lián)鎖保護(hù)系統(tǒng)。系統(tǒng)配置如圖2所示（以A1區(qū)為例），硬件設(shè)備分別包括一個(gè)由1個(gè)主機(jī)架和7個(gè)擴(kuò)展機(jī)架組成的控制站、一個(gè)操作站OPS，一個(gè)工程師站EWS、三個(gè)輔助操作臺(tái)（利舊）和兩個(gè)硬旁路輔助操作柜等單元。

　　控制站是該系統(tǒng)的核心單元，通過(guò)Tristation 1131所做的各項(xiàng)組態(tài)工作都下載到該控制站運(yùn)行。該控制站實(shí)現(xiàn)主處理器（MP）的三重化冗余。主處理器通過(guò)三重化冗余的通信電纜和I / O卡件通信，I / O卡件電源是雙重化冗余的。控制站通過(guò)系統(tǒng)自己的通訊卡（TCM卡）連接到兩個(gè)互為冗余的交換機(jī)（HUB）上，通過(guò)HUB與操作站、工程師站進(jìn)行數(shù)據(jù)交換。工程師站完成所有軟件組態(tài)及其下載，操作站是完整的人機(jī)界面，輔助操作臺(tái)上安裝各個(gè)聯(lián)鎖部分的報(bào)警指示燈和停車、復(fù)位按鈕。兩個(gè)硬旁路輔助操作柜上安裝硬旁路開關(guān)。

　　TRICON控制器采用TCM通訊模件與操作站、SOE站、工程師站及其它系統(tǒng)進(jìn)行通訊。TCM通訊模件提供冗余的10M/100M TCP/IP網(wǎng)絡(luò)接口，用于與操作員站、工程師站、SOE站等上位機(jī)的通訊；另外，每塊TCM通訊提供4個(gè)RS232/RS485通訊接口，用于與色譜分析系統(tǒng)（僅A3區(qū)）和TDC-3000系統(tǒng)的通訊。

　　2 .2 SIS系統(tǒng)硬件組態(tài)

　　SIS系統(tǒng)內(nèi)部組態(tài)用TRICON開發(fā)的軟件Tristation1131完成。硬件組態(tài)是控制系統(tǒng)最基礎(chǔ)的部分，它確定了CPU卡件的型號(hào)、I /O卡件的分布和選型、I/O地址的分配、變量地址定義等等。

　　1） 卡件組態(tài)：完成該項(xiàng)目使用到的所有卡件的型號(hào)選擇和位置分配。1#主機(jī)架配有兩塊電源卡（型號(hào)8312），三塊MP卡（型號(hào)3008），五塊64點(diǎn)DI卡（型號(hào)3564），兩塊TCM卡（型號(hào)4351A）；2#、3#、4#擴(kuò)展機(jī)架配有兩塊電源卡（型號(hào)8312），四塊32點(diǎn)DI卡（型號(hào)3503E），三塊DO卡（型號(hào)3604E）；5#擴(kuò)展機(jī)架配有兩塊8312電源卡，兩塊32點(diǎn)3503E DI卡，五塊3604E DO卡；6#、7#擴(kuò)展機(jī)架配有兩塊電源卡（型號(hào)8312），七塊DO卡（型號(hào)3604E）；8#擴(kuò)展機(jī)架配有兩塊8312電源卡，三塊32點(diǎn)3503E DI卡，三塊3604E DO卡。

　　2） I / O 點(diǎn)組態(tài)：本項(xiàng)目采用的I /O卡件有32點(diǎn)的，還有64點(diǎn)的（主要用于聯(lián)鎖硬旁路的輸入）。對(duì)SIS系統(tǒng)中需要的所有I /O點(diǎn)進(jìn)行地址分配，使每個(gè)過(guò)程點(diǎn)必須對(duì)應(yīng)到具體哪個(gè)卡籠的哪塊卡的哪個(gè)通道。給每個(gè)過(guò)程點(diǎn)定義硬地址后，系統(tǒng)自動(dòng)給每個(gè)過(guò)程點(diǎn)產(chǎn)生一個(gè)軟地址。這個(gè)軟地址在項(xiàng)目下載時(shí)送到控制站，INTOUCH通過(guò)DDE通訊協(xié)議與控制站通訊，可以直接使用該地址。給每個(gè)I / O點(diǎn)定義一個(gè)唯一的位號(hào)（TAG NAME），在邏輯程序中引用這些位號(hào)作為全局變量使用。

　　2 .3 邏輯編程設(shè)計(jì)及SOE 的實(shí)現(xiàn)

　　TRICON系統(tǒng)提供功能方框圖（FBD）、梯形圖（LD）以及結(jié)構(gòu)文本語(yǔ)言（ST）等3種編程語(yǔ)言。本裝置3套聯(lián)鎖系統(tǒng)均采用功能塊語(yǔ)言（FBD）編寫。這種語(yǔ)言用線連接功能塊形成回路，功能塊之間通過(guò)連接線傳遞二進(jìn)制和其他類型的數(shù)據(jù),這種圖形化的編程語(yǔ)言的特點(diǎn)是直接明了,通俗易懂。邏輯編程是SIS系統(tǒng)的關(guān)鍵部分，關(guān)系到系統(tǒng)的邏輯程序是否能完全滿足工藝的控制要求，全部邏輯程序在投用前都需經(jīng)過(guò)反復(fù)的調(diào)試確認(rèn)。

　　目前應(yīng)用的SIS系統(tǒng)都具備SOE功能，并且需要在邏輯中編寫程序來(lái)啟動(dòng)SOE。當(dāng)然僅僅啟動(dòng)SOE程序還不能實(shí)現(xiàn)SOE功能，還要在系統(tǒng)中定義SIS系統(tǒng)中的變量哪些需要進(jìn)入SOE。TRICON系統(tǒng)的SOE定義在Tristation 1131中進(jìn)行。需要指出的是，在TRICON系統(tǒng)中輸出變量（如cXV1108A）不能直接被SOE定義，所以系統(tǒng)涉及的輸出點(diǎn)在SOE中記錄都是采用記錄中間變量（如mXV1108A_SOE）的方式進(jìn)行的。

　　2 .4 主體程序設(shè)計(jì)

　　主體程序的設(shè)計(jì)是實(shí)現(xiàn)邏輯控制的核心部分。主體程序分多個(gè)部分。每一部分都是乙烯裝置相對(duì)獨(dú)立或功能相對(duì)獨(dú)立的部分，根據(jù)生產(chǎn)工藝和生產(chǎn)設(shè)備的特別要求來(lái)進(jìn)行設(shè)計(jì)。

　　由于篇幅原因，在此只舉裂解爐A爐SD1緊急停車的程序控制為例進(jìn)行說(shuō)明，其余類似。

　　根據(jù)工藝和設(shè)備的要求，裂解爐SD1緊急停車的程序控制條件：①汽包液位低低報(bào)（LSLL1111A）；

　　②石腦油進(jìn)料流量低低報(bào)（FSLL1121A、FSLL1123A）；

　�、哿呀鉅t拱頂溫度高高報(bào)（TSHH1171A）；

　�、芰呀鉅t溫度高高報(bào)（TSHH1101A）；

　　⑤SD1手動(dòng)停車按鈕(HS1101A)；

　�、蘖呀鉅tSD2緊急停車動(dòng)作(SD2 ACTIVE)；

　　上述條件任何一個(gè)存在，裂解爐A爐的SD1緊急停車動(dòng)作，以保護(hù)裂解爐的安全；上述條件都不存在，XV1100A、XV1102A、XV1108A截止閥打開，則裂解爐B1110A具備投爐條件。另外，為了便于日常維護(hù)，每個(gè)聯(lián)鎖條件都增加了一個(gè)旁路開關(guān)，兩者為或的關(guān)系。根據(jù)上述條件，設(shè)計(jì)邏輯程序如圖4所示。

　　2.5 人機(jī)界面設(shè)計(jì)

　　人機(jī)界面組態(tài)設(shè)計(jì)采用目前非常流行的Intouch軟件。Intouch 軟件是Wonderware公司基于Windows環(huán)境下工作的工程設(shè)計(jì)軟件。該軟件編制容易、靈活、功能強(qiáng)。Intouch包括兩個(gè)環(huán)境：WindowsMaker和Windowsviewer。WindowsMaker是編程環(huán)境，Windowsviewer是運(yùn)行應(yīng)用程序環(huán)境，即操作員界面。

　　在本系統(tǒng)中，HMI畫面采用WindowMaker開發(fā)，用WindowViewer顯示和監(jiān)控，包括報(bào)警總貌畫面、聯(lián)鎖總貌畫面、邏輯圖畫面、軟旁路畫面以及用戶管理窗口等。通過(guò)報(bào)警總貌畫面，可以了解裝置的聯(lián)鎖報(bào)警情況；通過(guò)聯(lián)鎖總貌畫面，可以看到整個(gè)工段的聯(lián)鎖邏輯號(hào)；通過(guò)邏輯圖畫面，可以了解整個(gè)工段的聯(lián)鎖運(yùn)行情況；通過(guò)軟旁路畫面，可以進(jìn)行聯(lián)鎖軟旁路選擇操作。通過(guò)用戶管理窗口，可以進(jìn)行配置用戶、更改密碼、用戶登錄、退出系統(tǒng)和退出登錄等操作。如圖6是裂解爐A爐SD1緊急停車系統(tǒng)主體部分的人機(jī)界面設(shè)計(jì)畫面。

　　3 系統(tǒng)調(diào)試

　　系統(tǒng)調(diào)試是SIS系統(tǒng)組態(tài)最后的關(guān)鍵階段。在調(diào)試過(guò)程中檢驗(yàn)邏輯程序、SOE、報(bào)警提示、操作方便性等，是對(duì)系統(tǒng)的綜合測(cè)試。測(cè)試總體分兩個(gè)階段：先離線模擬測(cè)試，再在線測(cè)試。

　　離線模擬測(cè)試是邏輯程序運(yùn)行在Tristation1131模擬情況下通過(guò)給強(qiáng)制信號(hào)的方式來(lái)檢驗(yàn)邏輯是否正確、人機(jī)界面動(dòng)態(tài)連接是否正確、SOE功能及報(bào)警功能是否完善等。

　　在線測(cè)試除了要完成離線測(cè)試的各項(xiàng)工作外，重點(diǎn)是檢查邏輯程序的輸入和輸出能否滿足現(xiàn)場(chǎng)各種設(shè)備的需要。尤其是到電氣去的無(wú)源觸點(diǎn)是常開還是常閉觸點(diǎn)信號(hào)，電氣來(lái)的信號(hào)是常開還是常閉觸點(diǎn)信號(hào)，各個(gè)現(xiàn)場(chǎng)不盡相同。該項(xiàng)目中現(xiàn)場(chǎng)進(jìn)來(lái)的信號(hào)以及輸出到現(xiàn)場(chǎng)的信號(hào)全部采用故障安全型進(jìn)行接線。

　　4 實(shí)際應(yīng)用與效果

　　乙烯裝置三套TRICON系統(tǒng)在2007年2月正式投入運(yùn)行至今，未發(fā)生過(guò)因系統(tǒng)故障引起的裝置停車，系統(tǒng)完全滿足控制要求，全面克服了舊系統(tǒng)中存在的各種缺點(diǎn)。但在一年多的使用中，我們也發(fā)現(xiàn)了該系統(tǒng)本身及設(shè)計(jì)中尚存在的一些問(wèn)題。

　�、�、由于乙烯裝置的三套TRICON系統(tǒng)共用一個(gè)工程師站，而工程師站的通訊電纜的接口只有兩個(gè)，分別要接A1、A2、A3三套SIS系統(tǒng)，所以每次在工程師站進(jìn)行操作時(shí)，首先要根據(jù)進(jìn)行操作的點(diǎn)所在的區(qū)（或系統(tǒng)），選定網(wǎng)絡(luò)連接電纜（主要是切換A1區(qū)和A3區(qū)的電纜，IP地址同為192.168.1.1；A2區(qū)一直保持為插入狀態(tài)，IP地址為192.168.2.1）。

　�、凇⑾到y(tǒng)運(yùn)行至今有幾次A2、A3區(qū)SIS操作站通訊故障，故障狀態(tài)下上位的數(shù)據(jù)能夠?qū)懴氯�，但下位的�?shù)據(jù)卻讀不上來(lái)。A3區(qū)的SIS操作站經(jīng)過(guò)系統(tǒng)重裝后解決了該問(wèn)題，但A2區(qū)的SIS操作站系統(tǒng)重裝多次都無(wú)法解決。至今不能確定通訊故障的原因是因?yàn)檐浖�故障還是硬件故障。

　�、�、由于SIS系統(tǒng)是緊急時(shí)候使用，在平時(shí)操作人員不可能一直在ESD操作站前監(jiān)視各操作界面，所以操作界面的設(shè)計(jì)要做到方便、快捷、直接。當(dāng)裝置發(fā)生聯(lián)鎖時(shí)，讓操作人員能在最短的時(shí)間里判斷出是哪里出了問(wèn)題、出現(xiàn)問(wèn)題的原因是什么、應(yīng)該如何處理等。在現(xiàn)有的報(bào)警總貌提示功能的基礎(chǔ)上，應(yīng)考慮增加當(dāng)有報(bào)警或聯(lián)鎖發(fā)生時(shí)自動(dòng)跳出相關(guān)畫面的設(shè)計(jì)，由于當(dāng)SIS系統(tǒng)出現(xiàn)報(bào)警時(shí)，操作人員不可能去翻各個(gè)畫面檢查到底是哪里來(lái)了報(bào)警，當(dāng)然到報(bào)警畫面里查看報(bào)警記錄也可以查出，而且由于設(shè)計(jì)中有DCS與SIS通訊功能，當(dāng)報(bào)警或聯(lián)鎖發(fā)生時(shí)，在DCS系統(tǒng)中相應(yīng)的單元報(bào)警畫面中也有顯示，但畢竟不是很方便，所以如果在INTOUCH中通過(guò)在程序腳本中編寫一段程序來(lái)實(shí)現(xiàn)這樣一個(gè)功能,當(dāng)系統(tǒng)過(guò)程點(diǎn)報(bào)警或者聯(lián)鎖時(shí)自動(dòng)跳出相關(guān)畫面，讓操作人員在最短時(shí)間內(nèi)判斷出裝置的哪里出現(xiàn)了報(bào)警。

　　總的來(lái)說(shuō)，乙烯裝置這三套TRICON系統(tǒng)雖然尚有有待進(jìn)一步完善的地方，但從系統(tǒng)的可靠性、安全性、可維護(hù)性以及操作的方便快捷等方面都基本上令人滿意。目前加乙烯裝置是廣州石化的重要效益點(diǎn)，也是高溫高壓、易燃易爆裝置之一，通過(guò)此次投用SIS系統(tǒng)，在確保裝置安全生產(chǎn)方面發(fā)揮了至關(guān)重要的作用。

　　5 結(jié)束語(yǔ)

　　在石油化工企業(yè)的大量應(yīng)用表明，SIS系統(tǒng)的投用使裝置安全生產(chǎn)的可靠性和安全性得到極大的提高，同時(shí)在避免工業(yè)災(zāi)難、減少工業(yè)事故損失方面起到了積極和重要的作用，為工業(yè)過(guò)程中要求最大安全與連續(xù)生產(chǎn)的關(guān)鍵控制提供了一種最佳選擇。我們應(yīng)在SIS系統(tǒng)的應(yīng)用方面繼續(xù)深入地探索并在實(shí)踐中不斷地總結(jié)經(jīng)驗(yàn)，以提高SIS系統(tǒng) 的應(yīng)用水平。

　　參考文獻(xiàn)

　　1 TRICONEX公司，TRICON設(shè)計(jì)與安裝手冊(cè)；

　　2 Wonderware，Wonderware InTouch 9.5使用手冊(cè)；