安全仪表系统SIS.ppt

1、题目：安全仪表系统（安全仪表系统（SIS） 主讲人： 第一节第一节 概述概述 随着大型石化装置的发展，生产产品多样化、控制工程越趋复杂，安全保护越来 越被重视。安全保护在石化生产过程中的表现形式是逐级上升的，即生产中使控 制参数在正常范围内时使用的仪表调节系统；当调节系统不及时或出现干扰等异 常，控制参数超出正常范围时使用报警联锁系统，此时需要采取手动或自动措施 使生产恢复到正常状态上去；当情况进一步恶化达到临界状态时使用紧急停车系 统，即ESD系统，按照预先设定的程序，包括紧急放空、仪表的选用事故状态、 动设备停止运行等等措施，通过局部或整体停车方式消除危险；当事故已经出现， 包括可燃气体泄

2、漏、火灾等形成时采用火气消防系统来补救；对特殊场所，火气 消防系统不能彻底消除事故时，采用物理防爆措施，即使用防爆墙等；物理防爆 无法彻底消除灾害时采取最后一项措施时紧急疏散撤离。 IEC61511对安全防护的分层描述见下图所示。 在工艺生产过程中，存在各种各样的工艺参数和工艺设备状态，这些参数和状态 被检测出来就是过程信号。生产中当这些参数控制在规定的范围内时，说明生产 过程处于正常状态；超出这个范围说明出现异常，要求以声光形式提醒操作者采 取调节措施（参数调整或设备适当操作）或者通过预定的程序使其恢复到正常值 范围内，这个声光表现形式称为报警，根据预定程序的操作就是联锁；如果异常 进一步扩

3、大，为防止事故发生而采取的局部或整体生产装置停车的仪表系统，称 为安全仪表系统（SIS），或紧急停车系统（ESD），它是生产过程中的一种自动 安全保护系统，能对石油化工等生产过程中可能发生的危险（超出安全限定）及 不采取措施而继续恶化的状态进行及时地响应和保护，使其进入预定的安全停车 状态，从而保证人员、设备、生产和装置的安全。 从正常生产到危险发生过程不同阶段示意如图241所示。 安全仪表系统的基本功能结构示意如图242所示。 一、通用安全标准一、通用安全标准 由于SIS属于保护装置的安全仪表系统，所以对SIS控制器本身安全要求很高，有 关国际机构对控制器的可靠性、安全性制定了相关的安全标准

4、，并对相关控制器 产品和使用的编程软件平台、应用于SIS程序的标准功能块等进行等级认证。 1、DIN V19250德国标准，规定安全系统的设计等级必须符合生产过程现场的危 险性等级AK1AK8(18级)。 2、IEC61508国际电工组织制定的国际标准，用于确定过程、交通、医药工业等 的安全周期(Safety life cycle)，对设备的完整性、设计、操作、测试和维护提出要 求，主要针对制造商和设备供应商。标准根据发生故障的可能性分成四个SIL等级， 即 等级等级 表示符号表示符号 描述描述 一级一级 SIL1 每年故障危险的平均概率为每年故障危险的平均概率为0.10.01 二级二级 SI

5、L2 每年故障危险的平均概率为每年故障危险的平均概率为0.010.001 三级三级 SIL3 每年故障危险的平均概率为每年故障危险的平均概率为0.0010.0001 四级四级 SIL4 每年故障危险的平均概率为每年故障危险的平均概率为0.00010.00001 3、ANSI/SIA S84.01-1996美国对工业过程的安全系统设立的标准，是IEC61508 和DIN V 19250的结合，但去除了SIL4这个最高级别。 4、Draft IEC 61511第14部分，适用于工艺过程工业的安全仪表系统（包括SIS 设计者、系统集成商和最终用户）的国际化标准，是IEC61508的补充。 5、EN5

6、4的第三部分适用于火灾检测报警系统的欧洲标准，NFPA72则是美国 “国家火灾报警标准”等。 二、联锁保护系统设置二、联锁保护系统设置： 根据石油化工安全仪表系统设计规范SH/T3018-2003有关要求，安全仪表系 统应符合下列规定。 1、独立 安全联锁保护和停车系统独立于过程控制系统，以降低控制功能和安全功能同时 失效的概率，使联锁和停车系统不依附于过程控制系统就能独立完成自动保护联 锁的安全功能。见图243 “独立的安全仪表系统”。 安全仪表系统(Safety Instrumented System - SIS)包括传感器（Sensor）、逻辑 运算器（Logic solver) 和最终

7、执行元件(Final element) 。 1.1 SIS传感器选用： 独立设置原则： 1级 SIS传感器可与DCS共用； 2级 SIS传感器宜与DCS分开； 3级 SIS传感器应与DCS分开； 冗余设置原则： 1级 SIS传感器可采用单一的传感器； 2级 SIS传感器宜采用冗余的传感器； 3级 SIS传感器应采用冗余的传感器； 冗余选择原则：保证系统的安全性时，采用“或”逻辑结构； 保证系统的可用性时，采用“与”逻辑结构；当系统的安全性和可用性均需保证 时，采用“三取二”逻辑结构； 传感器宜采用隔爆型的变送器（压力、差压、差压流量、差压液位、温度），不 宜采用开关型传感器；传感器由SIS系统

8、供电。 1.2 SIS逻辑运算器选用： SIS逻辑运算器：继电器系统，可编程序电子系统，混合系统三种； 继电器用于I/O点较少,逻辑功能简单的场合； 可编程电子系统用于I/O点较多,逻辑功能复杂，与DCS、MES通信等场合； 可编程电子系统可以是经TUV认证的PLC系统，也可是DCS和其他专用系统； 独立设置原则：1级SIS逻辑运算器宜与DCS分开； 2级SIS逻辑运算器应与DCS分开； 3级SIS逻辑运算器必须与DCS分开； 冗余设置原则：1级SIS可采用单一的逻辑运算器； 2级SIS宜采用冗余或容错逻辑运算器； 3级SIS应采用冗余容错逻辑运算器； 1.3 SIS执行元件选用： 执行元件：

9、 气动切断阀（带电磁阀），气动控制阀（带电磁阀），电动阀 或液动阀等。 独立设置原则：1级 SIS 阀门可与DCS共用，应确保SIS优先于DCS动作； 2级SIS阀门宜于DCS分开； 3级SIS阀门宜于DCS分开； 冗余设置原则：1级 SIS 可采用单一阀门； 2级宜采用冗余阀门；如采用单一阀门，电磁阀宜冗余配置； 3级宜采用冗余阀门；可采用一个控制阀和一个切断阀； 电磁阀设置原则：电磁阀应采用长期带电，低功耗，隔爆型；由SIS系统供电。 1.4 独立设置的目的 1.4.1 降低控制功能和安全功能同时失效概率，当维护DCS部分故障时也不会危及 安全保护系统； 1.4.2 对于大型装置或旋转机械

10、设备，紧急停车系统响应速度越快越好，这有利于 保护设备，避免事故扩大和分析事故原因记录，DCS处理大量过程监测信息，因 此其响应速度难以作得很快； 1.4.3 DCS系统是过程控制系统，是动态的，需要人工频繁的干预，这有可能引起 人为误动作；而SIS是静态的，不需要人为干预，这样设置SIS可以避免人为误动 作。 2、冗余（用多个相同的模块或部件实现特定功能或数据处理） 2.1 元件冗余：具有指定的独立的N：1重元件，并且自动检测故障，切换到后备 设备上； 2.2 表决（用多数原则确定结论）结构：如三取二表决电路，排除由于元件故障而 出现的虚假动作，避免不应有的停车事故。 3、故障安全（安全仪表

11、系统发生故障时，使被控制过程转入预定安全状态） 3.1 报警、联锁的检测元件接点采用正常时闭合，越限时断开； 3.2 执行元件在系统正常时应是励磁（带电）状态，非正常时应是非励磁（不带电） 状态，重要联锁电磁阀采用双三通电磁阀，即两个电磁阀并联运行，防止电磁阀 出故障； 3.3 调节阀选择是事故状态下，工艺装置处于安全状态分别选用气开式和气关式 （保证在起源终端是装置处于安全状态）。 4、人机接口 操作站可以采用过程控制系统操作站，但操作站不能修改安全仪表系统的编程软 件； 工程师站完成安全仪表系统编程组态和维护，可采用台式PC机或便携式PC机； 辅助操作台：在CCR辅助操作台上安装的硬件，包

12、括紧急停车按钮、开关、选择 器、旁路开关和信号报警器等用硬线接到CCR的SIS控制器，通过冗余安全以太 网通信接到现场机柜室SIS控制器逻辑运算。 4.1 手动复位：当工艺参数由非正常状态恢复到正常状态时，由操作人员有步骤地 进行手动复位，重要的联锁系统和工艺变量一般采用手动复位，避免自动复位的 缺陷； 4.2 手动旁路：人为切除和投入，在两种情况下使用，一是解除某些变量的联锁， 为动设备的启动创造条件；二是用于检修事故开关； 4.3 延时电路：使用时间继电器过滤脉冲干扰或瞬间突发事件引起的停机动作。 5、安全仪表系统应具有硬件和软件诊断和测试功能。 6、软件组态应符合IEC61131-3工业

13、标准， 软件应能在线修改和下载，在系统投用前应对软件组态进行100%功能测试。 7、 SIS与DCS区别 7.1 DCS用于生产过程的连续测量、常规控制（连续、顺序、间歇等）、操作控 制管理，保证生产装置的平稳运行； SIS用于监视生产装置的运行状况，对出现异常工况迅速进行处理，使危害降到最 低，使人员和生产装置处于安全状态； 7.2 DCS是“动态”系统，它始终对过程变量连续进行检测、运算和控制，对生 产过程进行动态控制，确保产品的质量和产量； SIS是“静态”系统，正常工况时，它始终监视生产装置的运行，系统输出不变， 对生产过程不产生影响，非正常工况下时，它将按照预先的设计进行逻辑运算，

14、使生产装置安全联锁或停车； 7.3 SIS比DCS在可靠性、可用性上要求更严格，IEC61508、IEC61511、ISA S84.01、SH/T3018强烈推荐SIS与DCS硬件独立设置。 三、三、 ESD系统控制器系统控制器 1、结构类型 按照控制器划分为双重冗余和三重冗余两种。 1.1 双重冗余ESD系统 从I/O模件和CPU都配置了两重化，其中一套处于工作状态，另一套则处在热备用 状态，CPU不停监测运行的和热备的硬件，当CPU检测到运行卡件有故障时，会 自动切换到备用卡件上，同时系统会周期性的切换运行和热备卡，以保证系统的 安全。见图246 “双重冗余ESD系统” 1.2 三重化硬件

15、结构组成 每个I/O 模件内有3 个独立的分电路。输入模件的每个分电路读入过程数据并将此 信息送至各主处理器。3个主处理器可利用其专有的高速三重化总线(TRIBus)进行 相互间的通信。每扫描一次，3个主处理器通过三重化总线与其相邻两个主处理器 进行通信，达到同步；同时三重化总线可对数字输入数据进行表决，对输出数据 进行比较，并将模拟输入数据进行复制并送到每个处理器，主处理器执行各种控 制算法，并将运算输出值送到各输出模件。除表决输入数据外，TRICON 还表决 输出数据。输出数据的表决是在输出模件中完成的，这样可使其尽可能与现场靠 近，并对三总线表决与驱动现场的最终输出间可能发生的任何错误进

16、行检测和补 偿。 见图247 “三重冗余ESD系统”。 2、联锁保护系统试验 信号报警和联锁保护系统正式投入使用前必须对其进行检查和测试，测试参与方 包括施工单位、监理、业主仪表、电气、设备等各专业，联锁试验由业主工艺车 间组织，施工单位配合，测试合格并得到有关方面的确认后才能投入使用，具体 包括： 2.1 检查： 2.1.1 所有仪表单校合格； 2.1.2 检查设备安装和电缆接线正确； 2.1.3 检查电源和气源满足要求。 2.2 供电：对仪表设备和回路逐个供电，检查以下内容 2.2.1 通过状态指示灯检查逻辑控制器运行状态是否正常； 2.2.2检查输入输出设备运行状态是否正常； 2.2.3

17、 检查输入输出接点状态指示灯目前状态是否与现场一致； 2.2.4 检查联锁系统控制站与操作站之间通信状态，确认操作站画面显示正常。 2.3 模拟联动 按照信号报警和联锁保护逻辑图，将其划分为多个逻辑包，根据各个逻辑包的动 作条件，逐个进行试验，检查动作结果是否符合设计要求。 2.4 可能存在的问题 问题问题 造成的可能原因造成的可能原因 检查内容检查内容 误动误动 作作 （1）电源失电或电压）电源失电或电压 波动超过规定值波动超过规定值 检查电源熔断丝和供电方式是否合理检查电源熔断丝和供电方式是否合理 （2）检测元件故障）检测元件故障 检查接点接触是否良好，安装位置是否合检查接点接触是否良好，

18、安装位置是否合 理理 （3）执行元件故障）执行元件故障 电磁阀开路或短路，导压管泄漏，空气脏电磁阀开路或短路，导压管泄漏，空气脏 造成电磁阀关闭不严造成电磁阀关闭不严 （4）导线短路或开路）导线短路或开路 包括机械损伤、绝缘老化、接线端子接触包括机械损伤、绝缘老化、接线端子接触 不牢固等不牢固等 拒动拒动 作作 （1）检测元件不动作）检测元件不动作 检查设定值是否正确和调整的动作偏差；开关接检查设定值是否正确和调整的动作偏差；开关接 点表面氧化或集灰；触点容量不够多次动作时出点表面氧化或集灰；触点容量不够多次动作时出 现粘结现象现粘结现象 （2）执行器故障）执行器故障 电气线路问题（短路电气线

19、路问题（短路/断路、接地、绝缘）；断路、接地、绝缘）； 电磁阀卡或机械结构失灵电磁阀卡或机械结构失灵 第二节第二节 主要厂家的主要厂家的SIS系统系统 安全仪表系统(SIS)主要包括FSC、ELOP、Trusted 、TRICON等紧急停车安全 仪表控制系统。 一、一、FSC 美国Honeywell公司的FAIL SAFE CONTROL（FSC）系统，由它执行安全联锁系 统的控制部分代替原来在DCS中执行的联锁内容，按照规范将安全联锁系统独立 出来，以确保人身和设备的安全。FSC系统是基于微处理器的、模件化、且可软 件编程的系统，系统的核心控制元件为FSC安全管理器The FSC Safet

20、y Manager (FSC-SM)，它与HPM一样，在TPS系统中，是UCN（Universal Control Network） 上的一个节点，可提供UCN节点的功能，也可以直接与现场设备进行通讯。该系 统硬件基于双重化结构，软硬件均通过IEC的IEC61508认证。 FSC自应用以来，利用了组态软件强大数据处理和图形表现的能力，融合了较先 进的自动化技术、计算机技术、通讯技术、故障诊断技术和软件技术，具有可靠 性高、操作简单、维护容易等特点。表现出了它强大的安全稳定的控制能力和通 讯功能，为装置事故状态下的安全提供了保证。 二、二、ELOP 兰州石化年产70万吨乙烯改扩建工程乙烯装置ES

21、D系统采用的是德国HIMA PES 系统中的ELOP软件。 在整个装置处于非常危险的情况下，启动裂解炉停车按钮时裂解炉停车。只要启 动停车按钮，联锁系统将关闭所有进料阀、燃烧阀，稀释蒸汽保持当前的流量设 定值或最小流量设定值（90%正常流量），使裂解炉逐渐缓慢冷却。此为手动停 车。 当裂解炉燃烧气压力低、超高压蒸汽温度高等有任一发生时，安全联锁系统自动 关闭所有进料阀、燃烧阀，此为自动停车。 三、三、Trusted ICS Triplex 在三重化（TMR）控制系统领域是世界上著名的领导者，其旗舰产品 Trusted 系统是市场上最先进的三重化冗余系统。 Trusted ESD 系统是一个高效

22、的全面综合的安全保护系统。Trusted ESD 系统适 用于各种规模类型的紧急停车系统，特别是那些安装了大型装置或旋转机械设备 的领域。 Trusted ESD 系统已取得 TV 的安全认证，可应用于 AK6 和 IEC61508 SIL1 到 3 安全等级环境，TV 认证包括系统硬件及系统软件。Trusted ESD 系统为要求 紧急关闭的过程提供最高 SIL 等级的安全性，高可用性使得 Trusted 成为确保 环境、人员和安全投资的理想解决方案。 Trusted ESD 系统可用在： 安全关键控制 机组控制 火与气 阀门测试 压力容器保护系统 Trusted 部件都采用了完全三重化（T

23、MR）的电路，达到最佳的 TMR 容错水平， 硬件实现容错(HIFT)技术，所有部件对在 I/O 模块和处理器层面处理的所有数据 提供3取2(2oo3)表决制，采用安全运行模式 3-3-2-0 容错技术，达到最高的可用 性和可靠性，确保 Trusted ESD 系统可达到100%的运行时间，并允许在线更换 系统部件。 Trusted 系统的 SOE 是内置的在板 1msec 分辨率时间戳，快速、准确的记录信 息，为 ESD分辨事故原因、排除故障提供了最先输出探测和分析的能力。 Trusted 系统控制器 CPU 为64位微处理器，主频为100MHz，信号处理的全过程 时间小于100mS（32-

24、100mS），具备快速响应处理能力。 Trusted 系统 AI 和 DI 模块每通道都有3个独立的 A/D 转换器，DI 点采集的模拟化， 使得安全、快速控制系统的利用率和容错能力达到最高。精确判断故障点的类型， 避免了开关量点本身的故障引起的虚假跳车带来的经济损失；DO 模块每通道有6 个 FET，提高了模块的电流负载能力，有全面的自诊断、自测试和过流保护功能。 Trusted 系统所有 I/O 模块都具有2500VDC光电隔离、在板1ms分辨率的 SOE 和 基于每个通道的线监视功能。 Trusted ESD 系统按照安全独立原则要求，独立于集散控制系统，安全级别高于 DCS。响应速度非

25、常快，有利于保护设备，避免事故扩大；并有利于分辨事故原 因记录。 Trusted ESD 系统非常先进可靠，其组态编程工具 IEC61131-3 TOOLSET 非常简 单易学，并提供安全保护专用的功能块，实现安全、可靠、精确的安全控制。卓 越的容错能力使得Trusted 成为行业市场上性能最可靠、运行最安全的系统。 四、四、TRICON Triconex公司的Tricon采用三重化冗余容错（功能模块在出现故障或错误时，仍继 续执行特定功能的能力）技术，即三重化系统包含了三个相互独立的通道，每个 通道都相互独立运算，对从现场来的数字量输入输出变量都由硬件完成表决，模 拟量则进行中值选择，当某一

26、个通道出现错误时，它被另外两个通道抛弃，所以 可以在线更换故障模件，更换后重新恢复到完整的三重化操作； 第三节第三节 F&G火气系统火气系统 火气系统（FGS）是火灾和气体检测报警系统（fire & gas detection alarm system）的简称，即通过专用的传感器和监测器，预测即将发生的火灾、爆炸、 中毒事故，由声光发出警告提醒有关操作人员进行相应操作，组织疏散和逃生， 或者通过预先编制的联锁逻辑自动的启动相应的保护、救护装置，通过远程报警 得到及时增援，从而使得可能发生的事故能在萌芽状态被发现并消除。火气系统 的基本组成框图如图248所示。 FGS系统接收来自现场的火灾、气体

27、检测器或手动报警信号，将报警信号送到 MIMIC盘，FGS与消防管理系统通信，将相关消防需求信息及时传送到消防系统。 FGS有自身的控制报警设备和自动防护系统，还将信号传递到ESD系统实现紧急 停车，传递到DCS系统用于过程控制的配合。 火气系统与ESD和DCS系统的组合图见249。 装置常见火气系统分布和总貌见图2410 一、基本构成 1、现场传感器单元： 包括烟感探头、温感探头、UV/UR火焰探头、人工手动报警按钮和各种气体检测 器。 2、逻辑控制器 实现报警和自动后续动作，现在一般采用TRICON系统、HIMA系统等，控制器将 检测来的信号进行分析和运算，同时对信号回路的线路状态的好坏进

28、行判断，然 后根据不同类型和级别的报警，将运算结果发送到目标单元（主要是现场的执行 单元）。 3、执行单元：执行由控制器发出的命令的设备和元件。 中央控制室：MIMIC Panel，画有装置区地图的模拟盘嵌有表示不同类型报警的 LED灯（发光二极管）和表示不同报警级别的不同声音的报警音响，如扬巴乙烯 中盘上有红、黄、蓝三种颜色报警灯，分别代表火灾、毒性气体和可燃气体；有 消防水泵的运行状态（绿色）和故障状态（红色）；有风向风速指示表（与风速 风向检测仪配合使用，360圆形LED灯指示风向，两个发光二极管窗口分别指示 当前风速和最高风速）； 工厂紧急相应中心：大屏幕显示器； 装置现场：报警喇叭（

29、HORN）、闪灯（BEACON）、楼宇报警铃、中央空调风 机、通风挡板、CO2是防系统，泡沫系统、喷淋系统和高压消防水喷射系统等。 4、通信网络 连接到急救中心、消防机构等获得援助。 5、系统对信号的监测 模拟量输入线路的监测是根据信号值偏离正常值来判断的，无论是短路还是断路， 表现出来各自特点。 数字量输入（开关量）监测是通过与现场接点串并联合适的电阻，在现场线路开 路、短路、断路状态下线路的电阻值会有所不同，从而使得转化为模拟量信号的 值在不同的范围内，系统根据接收到的信号的具体的电流值来判断现场线路的情 况。 R1=250，R2=180，R3=500，R4=1K，不同情况下的线路电阻值、

30、电流值 线路状态线路状态 接点状接点状 态态 回路电阻回路电阻 值值 24VDC电流值电流值 正常正常 断开断开 2430 9.88mA 闭合闭合 1763 13.61mA 短路短路 断开断开 1430 16.78mA 闭合闭合 断线断线 断开断开 无穷大无穷大 0mA 闭合闭合 6、Honeywell火气系统的设备类型。 6.1 气体/火焰检测器输入见图2411 6.2 火灾检测输入信号见2412 6.3 在线监测的报警设备，见图2413 6.4 输出线路状态监测 系统定时向现场发出极短的检测脉冲，检测输出线路的通断；或选用对现场回路 检测的安全栅。 二、火灾和气体检测 1、火灾检测 2、气

31、体检测 分为可燃气体和有毒气体，前者使用接触催化燃烧式，后者使用电化学式。 3、保护联锁 3.1室外装置设备保护：包括喷淋降温保护（控制雨淋阀）、消防灭火保护（自动 启动高压消防水）、泡沫覆盖隔离（对易燃易爆物料覆盖隔离）等； 方法方法 原理原理 实施实施 人工监视人工监视 人员巡检人员巡检 按动附近人工报警按钮按动附近人工报警按钮 烟雾检测烟雾检测 烟雾遮断光学通道改变信号大小烟雾遮断光学通道改变信号大小 使用烟感探头使用烟感探头 温度检测温度检测 易融片遇火融化掉控制喷淋气源压力，阀门易融片遇火融化掉控制喷淋气源压力，阀门 自动开启自动开启 气源管路上设置易融片气源管路上设置易融片 火焰检

32、测火焰检测 热红外线检测热红外线检测 设置光敏元件设置光敏元件 3.2 电气和控制设备保护：不能用消防水和液体泡沫，一般用CO2释放系统，在密 闭空间内使用，而且人员必须撤离。 3.3 室内人员保护：控制室周围设置的可燃气体、有毒气体检测器，发现时FGS自 动停空调的换气风机，并关闭风道上的挡板，以阻止有害气体进入操作人员滞留 的环境中。 第四节第四节 TRICON系统结构及使用系统结构及使用 TRICON是一种提供了高水平冗余容错技术的可编程逻辑和过程控制器，容错是 指系统监测到瞬间或稳态的系统错误时能采取适当动作进行在线纠正，TRICON 系统是通过采用三重冗余结构实现容错功能的，即系统包

33、含了三个相互独立的通 路，每个系统通道都与其它两个通道平行的、独立的进行运算，对于所有从现场 来的数字量输入输出变量都由硬件完成表决，而对于模拟量则进行中值选择。 TRISTATION（多功能系统工作站）是个人计算机，它是TRICON系统开发和编译 系统中运行的应用程序，诊断系统的各种状态，在回路测试、现场仪表维护时， 强制某些必要的点的平台和界面。 一、一、TRICON系统结构系统结构 1、系统结构 1.1 物理结构 一个TRICON系统是由外部的接线端子板(external terminal panel)、安装有各种卡 件的机架(chassis)和连接它们的集束电缆(elco cable)

34、组成。 其中外部接线端子(ETP)是一块安装有接线端子的印刷电路板，将现场信号引入系 统，并为输出信号提供输出电源（配有保护用保险丝）。ELCO电缆用来连接ETP 与I/O模件。 系统由一个主机架和最多14个扩展机架组成，每个机架都有其唯一的地址，各机 架的地址在115之间，其中主机架地址为1。 TRICON控制器主机架布置见图2-4-14“TRICON主机架结构” 扩展机架可根据现场的需要放置在不同的位置，主机架与扩展机架之间通过三重 化I/O扩展总线电缆连接，当总的系统I/O总线电缆长度在每个分电路小于30米时， 系统使用扩展机架。在扩展机架中，除了最左边的槽位放上下冗余电源模件外， 其余

35、有8个逻辑槽位可放置I/O模件。 TRICON系统的总线包括TRI-BUS(TRI总线)、I/O-BUS(I/O总线)和COMM-BUS(通 讯总线),这三个三重化总线系统被蚀刻在主机架背面。 COM-BUS通讯总线实现三个主处理器与通信模件之间的信息传递； I/O-BUS(I/O总线)实现I/O模件与主处理器模件之间的信息传递； TRI-BUS包括三条独立的串联链路，连接三个主处理器模件，实现三个主处理器 之间的信息传递和数字输入数据的传递和表决。 1.2 系统控制模式：4档位置开关 1.2.1 RUN（运行）：只读操作方式，主处理器执行已经下装的应用程序。 1.2.2 PROGRAM（程序

36、）：用于程序下装和检查。允许TRISTATION对TRICON 系统的控制，包 括全部整体下装（Download ALL）和修改部分下装（Download Change），也 允许Modbus主机或外部上位机对程序变量的写入。 1.2.3 STOP（停止）：停止读入输入值，强制非保持型数字和模拟输出回零，中 断控制程序（保持型输出将保持在钥匙开关转到该位置前的最后值），该位置也 是安装和维护其它设备时推荐位置。 1.2.4 REMOTE（遥控）：允许TRISTATION，Modbus主机和外部上位机对程序 变量写入。 2、系统模件 在主机架上安装了各种系统模件，它们分别对应不同的功能。 2.1

37、 电源模件：两个电源模件以冗余的方式工作，支持在线更换。电源模件上的报 警灯分别表示： 2.1.1 硬件结构与控制程序的逻辑组态不一致； 2.1.2 模件故障； 2.1.3 模件在系统中丢失； 2.1.4 主处理器检测出一个系统故障； 2.1.5 电源模件输入供电线路故障； 2.1.6 电源处于“后备电池电压低”或“超温”警告。 2.2 通信模件 实现REICON系统与modbus主机和从机、点对点网络通信上的其他TRICON、 Honeywell和Foxboro等DCS进行通信。同心模件一般安装在主机架上。在上面的 结构框图中，列出了两种通信模件，即增强型智能通信模件(EICM)和网络通信模

38、 件(NCM). 2.2.1 增强型智能通信模件EICM：支持RS-232,RS-485串行通信，4个串行口实现 TRICON系统与Modbus主机、从机通信，一个并行口连接TRISTATION（工作站） 或打印机。见图2-4-15EICM通信接口与PC连接。 2.2.2 网络通信模件(NCM)：通过这个模件，TRICON系统可与802.3网络上的其 他TRICON设备通信。 2.3 主处理器模件 三个主处理器平等运行，每个主处理器内包含两个微处理器，分别用于执行控制 程序和管理I/O通信。 2.3.1 数据采集：主处理器完成对输入模块数据扫描存放在对应的输入数据表中； 2.3.2 比较&表决

39、：三重总线在三个主处理器之间输入传递数据并通过通讯方式实 现数据比较，修正后的数据分别参与控制程序运算，运算结果送到输出模件表决； 2.3.3 运行程序：按照预先组态的控制程序运行； 2.3.4 事件顺序记录（sequence of events，SOE）：列出导致生产过程不安全状 态或停车的事件序列。在每次扫描期间，主处理器检查所制定的被称为事件的离 散变量状态是否改变，当发生一个事件时，主处理器就将变量的当前状态和时间 标签存储在缓冲区内，这个缓冲区是SOE块的一部分，SOE块是主处理器为记录 某些事件所保留的内存的容量，SOE块内容使用TRISTATION 1131组态完成； 2.3.5

40、 自诊断功能：主处理器检查所有的内存和接口，故障类型通过硬件表决电路 识别，永久故障支持在线更换。 2.4 输入模件：所有的TMR数字输入模件都能完全地不间断地对每个分电路进行 诊断，任何一个分电路诊断出故障，模件的故障（FAUIT）灯就点亮，随即在机 架上发出报警信号。FAULT灯亮表明仅仅指出某一个分电路有故障，而不是模件 失效，模件可以使故障容错，带着某种故障指示灯继续正常工作。 2.4.1 脉冲输入PI模件：提供8路非常灵敏的高频输入，尤其适用装在旋转设备上 的磁电式速度传感器。模件感受来自磁电传感器输入设备的电压跃变，并在所选 的时间窗里对电压跃变进行累加（速率测量），计数结果产生一

41、频率或RPM，传 到主处理器。 2.4.2 模拟输入（AI）模件：0-5VDC、0-10VDC在模拟输入模件中，包括三个隔 离的输入分电路，每个分电路从每点接受不同的电压信号并通过多路转换器进行 数模转换将其转换成数字值，按照命令将此数值送到三个主处理器，每个主处理 器为了确保每次扫描的正确数据，采用中间值进行运算，模件精度0.15%FSR。 2.4.3 热电偶模件：3706A型热电偶模件支持J、K、T热电偶，3708E型热电偶模 件支持J、K、T、E热电偶。热电偶输入模件有三个隔离的输入分电路，每个输入 分电路可以接受不同的电压信号，进行线性化和冷端补偿（060），并将其转 换为摄式度或华式

42、度 模件精度：3706A：J型2.8；K型3.4；T型2.8 3708E：J型3.1；K型3.9；T型2.5；E型2.8 2.4.4 数字输入模件（DI）：数字输入模件每个分电路内均采用光电隔离措施，使 得TRICON控制器与现场得到隔离。每个TMR数字输入模件都有三个隔离的输入 分电路，能独立处理输入到模件的全部数据。TMR数字输入模件具有热备功能， 可以在线更换有差错的模件或连续工作的模件作后备。 2.4.5 模拟输出（AO）模件：模拟输出模件上的三个分电路接受主处理器模件上 输出信号，每一分电路都有模数转换器进行转换，每个数据组经表决选出正确的 分电路来驱动8路4-20mA模拟输出信号，

43、模件精度：0.25%FSR。 2.4.6 数字输出（DO）模件：每个数字输出模件内有三个相同的隔离分电路，每 个分电路均有IOP微处理器，它接受从相应的主处理器的IOP处理器来的输出信号。 内设专用的“方型输出表决器”输出电路，该输出电路对每组三个输出信号在他 们送至负载之前进行表决。 二、二、TRISTATION1131编程系统的使用编程系统的使用 1、系统编程 人机界面组态，硬件和逻辑功能组态分别用两种软件实现，前者用 WONDERWARE公司开发的INTOUCH软件（Windows平台），后者用 TRICONEX公司的Tristation1131完成，Tristation 1131工作平

44、台满足IEC1131-3标 准，它在windowsNT 或windows2000操作系统环境下运行，支持三种编程语言， 即功能块图、梯形图和结构文本。 LD梯形图结构形式见图2-4-16 功能块画面见图2-4-17 Triconex公司为每套ESD系统都提供了基于Windows的系统组态软件 TriStation1131（Tri 是“三”的意思，“Station”是工作站），该软件装在工程师 站中，用户可以利用它进行系统硬件配置、定义输入/输出点，还可以通过调用各 种功能模块进行控制程序组态。用户的组态程序经过编译后再下装到TRICON控 制器的主处理器中执行。该软件还具有硬件运行状态监视和仿

45、真功能，可以用来 做系统硬件的故障诊断、在线维护以及控制程序的调试和模拟试验。 当使用TRISTATION开始为某一个生产过程建立一个安全系统时，第一步是建立 一个项目(PROJECT)，一个项目对应一个安全控制系统，包括运行程序（是由程 序语言元素组成的实体，实现对机械、工艺过程的控制，可使用2000个参数，包 括输入/输出和本地变量，调用功能块和功能）、功能块（能产生一个或多个输出 值的拥有独立实体名称的可执行单元，按照周期变化，如时间脉冲功能块）和功 能（只产生一个可变结果的可执行元素，结果在赋值时立即得到，如AND逻辑）。 应用程序本身不能直接执行，它是比较容易读懂的程序语言，要执行程

46、序还必须 把它编译成可执行的Program Instance(程序实体)并Download(下载)到控制器中。 1.2 创建项目project 在TRISTATION1131的平台上配置一个系统，首先要建立一个“项目”，然后对 这个项目进行硬件的配置和控制软件的编制。 1.2.1 在file下点击“new project”，出现“新项目”对话框； 1.2.2 在编写工具选项中选择“TRICON”，点击“OK”； 1.2.3 在新项目命名对话框中键入名称，如SAMPLE，确认后该项目被存储到指定 的文件夹中，默认的存储路径为c:program filetriconexTS1131project；

47、 1.2.4 点击“SAVE”，标准库函数（standard library）、TRICONEX library和 TRICON library等标准数据库导入到新建项目中； 1.2.5 新项目创建成功，出现“project directory”对话框，见图2-4-18 此时用户可 以开始编制控制程序和系统配置。 1.3 创建新元素 1.3.1 点击“user defined”按钮，在对话框中选择“new”，出现创建一个新“可执 行元素”的对话框； 1.3.2 键入新元素的名称，选择描述的编程语言（功能块图、梯形图、结构文本等） 和元素的类型（程序、功能块、功能）；选择应用类型（用于控制还是安

48、全）， 安全模式时标准库函数中的控制功能块将被限制使用； 1.3.3 点击OK，创建完成，此时出现用户所建的新元素的第一页SHEET。 1.4 在SHEET上安排参数，建立逻辑结构 （举例：将一个输入参数的值赋于另外一个输出参数） 1.4.1 在工具栏中选择输入参数按钮； 1.4.2 将光标移至SHEET中合适的位置，点击鼠标左键，就放置了一个输入参数； 1.4.3 在标准库中选择“MOVE”功能，在SHEET上合适位置电机数表左键放置； 1.4.4 在工具栏中激活并选择输出参数，同样放置在合适位置； 1.4.5 使用对接连接，按住鼠标左键拖动所需要连接的参数或功能块，对准要连接 的参数端线后

49、松开，参数就自动连接上了。也可以用工具栏中的笔用画线的方法 将两个参数或功能块参数端画上连接线。 1.5 硬件组态 选定包括CPU卡件型号，I/O卡件型号和安装位置，各个I/O卡件的地址分配和变 量定义等内容（使每个过程点对应到卡件的通道上并定义变量位号，以便在逻辑 中软引用这个位号）。 1.5.1 在TRICON的下拉菜单中选择configuration，弹出TRICON configuration画 面，包括program instance declarations（程序实体申报）、TRICON point connections（点的连接）、TRICON system configuration（系统组态,包括存储 器分布和系统硬件定位两个方面）和TRICON SOE configuration (SOE组态)； 1.5.2 在左侧窗口激活TRICON system configuration 目录下的Hardware Allocation（硬件定位），弹出的对话框中右边是机架布置图，左边是各SLOT基 本模件的配置（大部分为empt