兗礦魯南化工有限公司儀表一車間計算機班 王 力 張衍更

一、Trusted系統(tǒng)介紹：

1.Trusted系統(tǒng)三重化介紹

Trusted系統(tǒng)是ICS Triplex公司集幾十年安全系統(tǒng)領(lǐng)域的理論和實踐經(jīng)驗，于1998年推出的最新一代ESD控制系統(tǒng)。該系統(tǒng)采用硬件容錯，即采用硬件電路和芯片完成系統(tǒng)的故障診斷、冗余和容錯管理工作，而不是采用軟件計算的軟件容錯。在Trusted系統(tǒng)中，所有重要電路都實現(xiàn)了三重化，三重化的每個部分都是獨立的，但單個部分的功能又完全相同。三重化電路的輸出信號在成為系統(tǒng)輸出之前，經(jīng)過一個三選二的表決芯片，當三個電路中有一路發(fā)生故障，輸出錯誤信號，經(jīng)過三選二表決后該錯誤信號被屏蔽掉，系統(tǒng)仍然輸出正確的信號，系統(tǒng)不會因為內(nèi)部故障而對過程產(chǎn)生影響。被用來實時地處理各種復雜和危險的生產(chǎn)過程控制，接受現(xiàn)場信號，執(zhí)行邏輯運算，PID等各種控制程序，輸出控制信號，驅(qū)動現(xiàn)場執(zhí)行單元。

2.Trusted容錯系統(tǒng)的好處

①沒有單點故障：所有關(guān)鍵組件都是三重化的，即使出現(xiàn)一個或多個故障，Trusted系統(tǒng)將繼續(xù)正確運行。

②100%的故障檢測：當一個關(guān)鍵組件發(fā)生故障，它將被檢測到。故障檢測是容錯系統(tǒng)的一個重要部分。通過鑒別出故障部件，可以減小平均修復時間并且增加系統(tǒng)的可利用性。

③自動隔離故障而不會造成性能降級：當一個關(guān)鍵電路中發(fā)生了一個故障，它將被立即隔離以防止影響系統(tǒng)的運行。因此在故障出現(xiàn)時，不會有性能下降或降級。

④無擾的故障處理：當一個故障發(fā)生，系統(tǒng)繼續(xù)提供控制功能而不會延遲或降級系統(tǒng)性能。

⑤模塊熱更換：在上電的情況下模塊可以被移除和更換，更換模塊可以被重新初始化而不會造成系統(tǒng)性能的降級。

⑥容錯對應(yīng)用程序是透明的：應(yīng)用程序可以象非冗余控制器一樣被開發(fā)，不需要針對Trusted系統(tǒng)內(nèi)建的三重化特性而進行特殊編程。

⑦實現(xiàn)過程容錯：Trusted系統(tǒng)的容錯可以被擴展到現(xiàn)場設(shè)備已保證過程中出現(xiàn)故障時繼續(xù)正確運行。

⑧小而輕：與其他競爭廠家的TMR系統(tǒng)比較，Trusted系統(tǒng)只有1/3的尺寸和1/4的重量。

⑨集控制與安全在同一系統(tǒng)中：Trusted系統(tǒng)是經(jīng)TUV認證的，可用于控制系統(tǒng)與安全系統(tǒng)。

⑩開放互聯(lián)：Trusted系統(tǒng)可作為一個OPC server運行。

3.整個系統(tǒng)硬件結(jié)構(gòu)

控制器部分由控制器機架、處理器模塊、通信模塊、網(wǎng)關(guān)模塊、擴展接口模塊、I/O模塊（一個控制器機架可以安裝一個主處理器和它的后備處理器，以及最大8個模塊：I/O模塊，通信模塊，網(wǎng)關(guān)模塊，和擴展模塊）等組成。

擴展器部分由擴展處理器、I/O模塊、通信模塊組成。

電源系統(tǒng)由電源機架和電源模塊組成，電源模塊可以提供現(xiàn)場供電和系統(tǒng)供電。

組件名稱 型號 通道數(shù)

TMR處理器 T8100B

擴展處理器 T8310

擴展接口模塊 T8311

通信接口模塊 T8151B

AI模塊 T8431(40通道24V DC)

DI模塊 T8403(40通道24V DC)

DO模塊 T8461(40通道24V DC)

4.Trusted系統(tǒng)運行過程

1）過程狀態(tài)處理數(shù)據(jù)(開關(guān)位置，變送器讀入等)由輸入模塊送入。過程狀態(tài)數(shù)據(jù)先被緩存在每一個輸入模塊，然后被發(fā)送到三重化的內(nèi)部模塊總線IMB上。

2）TMR處理器讀入并表決過程狀態(tài)信息。然后處理器執(zhí)行保存在內(nèi)存中的應(yīng)用程序。處理器以三重化的組的方式運行，彼此之間共享信息，并且以緊密的同步方式運行。TMR處理器計算得到輸出指令并將其發(fā)送到輸出模塊。

3）三重化的輸出命令被發(fā)送回IMB總線，然后再到正確的輸出模塊上。輸出模塊接受命令并且表決數(shù)據(jù)，然后輸出電路被經(jīng)多數(shù)表決后的命令驅(qū)動。

Trusted系統(tǒng)以非?？斓乃俣冗B續(xù)地重復這種掃描順序，并提供連續(xù)的容錯控制。如果系統(tǒng)內(nèi)的一個內(nèi)部電路發(fā)生故障，它被輸出表決，然后故障被通知，處理器繼續(xù)運行而沒有任何中斷。Trusted系統(tǒng)是容錯系統(tǒng)，被設(shè)計為“故障運行/故障安全”。當單個故障發(fā)生在一個故障限制區(qū)內(nèi)，系統(tǒng)將繼續(xù)運行。這被認為是故障運行狀態(tài)。系統(tǒng)將繼續(xù)運行在這種狀態(tài)，直到故障模塊被更換并且系統(tǒng)返回到完整的運行狀態(tài)。如果在第一個故障模塊被更換前，第二個故障發(fā)生在剩下的兩個平行電路中，第二個故障將導致系統(tǒng)停車，這被認為是故障安全狀態(tài)，故障運行/故障安全設(shè)計也被稱為3-2-0運行。

二、整個控制系統(tǒng)運行過程

本次系統(tǒng)改造為3臺德士古氣化爐，每一套氣化爐使用一套Trusted ESD系統(tǒng)，三套系統(tǒng)之間互相獨立，互不影響。上位監(jiān)控機由3臺操作站及一臺工程師站電腦組成，其中每一臺操作站均可以監(jiān)控另外兩臺氣化爐畫面，而不會因一臺操作站的故障導致無法監(jiān)控氣化爐ESD畫面，而工程師站用于維護整個控制系統(tǒng)，可以實現(xiàn)3套系統(tǒng)的組態(tài)和所有上位聯(lián)鎖復位、打旁路及假信號等操作。因這套Trusted系統(tǒng)沒有服務(wù)器，任何一臺操作站電腦都可以獨立關(guān)閉與啟動，互不影響。操作站及工程師站硬件上通過兩臺交換機和兩個通信模塊實現(xiàn)和控制器之間的通信，通訊也是完全冗余，安全可靠。

氣化爐的儀表公共測量點通過P+F安全柵將現(xiàn)場來的信號一分為三在每臺爐子ESD監(jiān)控畫面給予顯示，重要測量點通過電纜將信號引至DCS通道，在DCS上顯示，供工藝人員監(jiān)控。通過硬件接線實現(xiàn)ESD與DCS的通訊，安全可靠。

下位程序功能由IEC1131 TOOLSET軟件實現(xiàn)，完成渣水鎖斗順控、氣化爐開停車步驟、氣化爐聯(lián)鎖邏輯、旁路及假信號操作等實際聯(lián)鎖功能，上位監(jiān)控畫面的編輯及監(jiān)控均完全由Intouch軟件實現(xiàn)。上下位之間通過OPC服務(wù)器實現(xiàn)通信，OPC(面向過程控制的對象鏈接與嵌入)服務(wù)器允許OPC客戶端通過以太網(wǎng)通信與一個Trusted系統(tǒng)連接并且訪問過程數(shù)據(jù)。

另外，這套系統(tǒng)可以通過順序事件記錄和過程歷史軟件包來收SOE數(shù)據(jù)。其中順序事件記錄收集（SOE）程序產(chǎn)生所有離散變量的時間標日志（例如系統(tǒng)內(nèi)故障，輸出閥門動作等）對閥門動作時間要求很高的鎖斗系統(tǒng)來說，SOE可以收集到每個閥門動作的時間，提供了很大的方便。而過程歷史程序（PH）提供記錄模擬變量的功能，可以滾動記錄并且保持最大4000個記錄。當開始收集SOE數(shù)據(jù)時，任何當前被緩存在Trusted TMR通信接口模塊中的事件信息可以被收集并添加到SOE顯示畫面中。一旦SOE收集器得到所有的被緩存的事件信息，它將輪詢新的事件信息。所有新的事件信息將被添加到顯示畫面中。

三、運行結(jié)果

通過儀表計算機班人員內(nèi)部的反復調(diào)試，完全實現(xiàn)了所有氣化爐的所有安全聯(lián)鎖要求。其中C#氣化爐最先改造，目前已經(jīng)運行一年時間有余，系統(tǒng)運行穩(wěn)定，A#氣化爐改造后也已運行半年時間，均未出現(xiàn)任何系統(tǒng)故障而導致的停車問題，實現(xiàn)了氣化爐的長周期安全穩(wěn)定運行。

[1]北京麥克韋爾信息控制系統(tǒng)有限公司.TrustedTMR培訓手冊.

[2]ICS Triplex亞太公司中國代表處.Trusted系統(tǒng)中文手冊.