TRICON安全控制系统.docx
《TRICON安全控制系统.docx》由会员分享,可在线阅读,更多相关《TRICON安全控制系统.docx(80页珍藏版)》请在冰豆网上搜索。
TRICON安全控制系统
TRICON安全控制系统
第一章TRICON系统概述
1.1系统专用术语
SIS:
是SafetyInstrumentedSystem的简称,中文的意思是安全仪表系统,它是根据美国仪表学会(ISA)对安全控制系统的定义而得名的。
安全仪表系统(SIS)也称为紧急停车系统(ESD)、安全联锁系统(SIS)或仪表保护系统(IPS)。
安全仪表系统(SIS)用于监视生产装置或独立单元的操作,如果生产过程超出安全操作范围,可以使其进入安全状态,确保装置或独立单元具有一定的安全度。
安全仪表系统(SIS)不同于批量控制、顺序控制及过程控制的工艺联锁,当过程变量(温度、压力、流量、液位等)越限,机械设备故障,系统本身故障或能源中断时,安全仪表系统(SIS)能自动(必要时可手动)地完成预先设定的动作,使操作人员、工艺装置处于安全状态。
Tricon:
是一种具有高水平冗余容错技术的可编程逻辑和过程控制器。
容错技术:
容错是Tricon控制器最重要的特性,它可以在线识别瞬态和稳态的故障并进行适当的修正。
容错技术提高了控制器的安全能力和可用性,使过程得到安全控制。
Tricon通过三重模件冗余结构(TMR)提供容错能力。
此系统由三个安全相同的系统通道组成(电源模件除外,电源模件是双重冗余的)。
每个系统通道独立地执行控制程序,并与其它两个通道并行工作。
硬件表决机制则对所有来自现场的数字式输入和输出进行表决和诊断。
模拟输入则进行取中值的处理。
因为每一个分电路都是和其它两个是隔离的,任一分电路内的任何一个故障都不会传递给其它两个分电路。
处理故障如果需要拆卸或更换有故障的分电路模件都可以在线进行,而不中断过程控制。
(在有热备卡件的情况下,并确认热备卡件处于工作状态,方可进行。
)对于各个分电路、各模件和各功能电路都具有诊断功能,能够及时地检查到运行中的故障,并进行指示或报警。
诊断还可以把有关故障的信息存储在系统变量内。
在发现有故障时,操作员可以利用诊断信息以修改控制动作,或者指导其维护过程。
1.2系统简介
TRICON系统是一种现代化的可编程逻辑与过程控制器,它提供了高水平的系统容错能力,可作为石化生产装置的联锁保护系统,实现装置的紧急停车。
对于V9型TRICON系统,有三种形式的机架:
主机架、扩展机架和远程延伸机架,主机架与扩展机架最多相距30m,与远程延伸机架最多相距2km。
系统最多包含一个主机架、八个扩展机架和六个远程延伸机架,支持总数多达118组输入/输出模件或通讯模件,最大点数为:
2048个数字输入点,1024个数字输出点,1024个模拟输入点,512个模拟输出点和80个脉冲输入点。
其通讯模件不仅可与Modbus装置和集散控制系统(DCS)连接,还能通过点对点(Peer—to—Peer)或802.3网络与外部主机相连接。
TRICON系统通过三重化冗余结构(TMR)实现容错能力,系统有三个完全相同的分支,每一支都能独立地执行控制程序,并与其他两路并行工作,专用的软、硬件机制可对I/O进行“三取二表决”。
参见图1TRICON控制器的三重化结构图。
图1TRICON控制器的三重化结构图
1.3Tricon系统的特点
—提供三重模件冗余结构,三个完全相同的分电路各自独立地执行控制程度。
—能耐受严酷的工业环境。
—能够现场安装,可以现场在线地进行模件的安装和修复工作而不需打乱现场接线。
—能支持多达118个I/O模件(模拟的和数字的)和选装的通讯模件,通讯模件可以与Modbus主机和从属机连接,或者和Foxboro与Honeywell分布控制系统(DCS)、其它在Peer-to-Peer网络内的各个Tricon、以及在TCP/IP网络上的外部主机相连接。
—可以支持位于远离主机架12公里(7.5英里)以内的远程I/O模件。
—利用基于WINDOWSNT系统的编程软件完成控制程序的开发及调试。
—在输入和输出模件内备有智能功能,减轻主处理器的工作负荷。
每个I/O模件都有三个微处理器。
输入模件的微处理器对输入进行过滤和修复,并诊断模件上的硬件故障。
输出模件微处理器对输出数据的表决提供信息、通过输出端的反馈回路电压检查输出状态的有效性、并能诊断现场线路的问题。
—提供全面的在线诊断,并具有修理能力。
—可以在Tricon正常运行时进行常规维护而不中断控制过程。
第二章TRICON系统硬件及配置
2.1一个基本的Tricon控制系统由下列部件组成:
A各种模件
B容纳各种模件的机架
C现场端子板
D编程工程师站。
2.2Tricon模件
Tricon各种模件由封装在金属骨架内的电子元件所构成,可在线进行更换。
每个槽位有一保护盖,当模件从机架上取下时,也不暴露任何部分电路。
各模件上的“键”又可避免模件被插入到错误的槽内。
Tricon支持数字和模拟的输入与输出点,以及热电偶输入和多种通讯能力。
2.2Tricon机架
有三种型式的机架:
1、主机架
2、扩展机架(与主机架的距离最远30M)
3、和远程机架(与主机架的距离最远12KM)
主机架
A带有机架号的键开关
B、C冗余电源模件
D、E、F三个主处理器
G网络通讯模件(NCM),在COM槽内
H、I空白
J、K数字输入模件,带热备
L、M空白
N、O数字输出模件,带热备
P、Q留空
R加强型智能通讯模件(EICM)
S空白
下面是主机架的前视图。
主机架可以支持下列模件:
—两个电源模件
—三个主处理器
—通讯模件,例如ICM、NCM、ACM或者SMM
—I/O模件,带热备
—通讯模件(仅限于#2扩展机架)
每个机架具有不同的总线地址(1到15);机架内的每个模件具有地址,由位置或槽位决定它的具体地址。
主机架上有一个四位置的键开关,用以控制整个的Tricon系统。
开关的设定为RUN(运行)、PROGRAM(编程)、STOP(停止)和REMOTE(远程)。
扩展机架
A、B冗余电源模件
C、D网络通讯模件,相邻槽口
E、F数字输入模件,带热备
G、H数字输入模件,带热备
I、J数字输入模件,带热备
扩展机架,前视图
K、L数字输入模件,带热备
M、N数字输入模件,带热备
O、P数字输入模件,带热备
Q、R数字输入模件,带热备
Tricon系统的主机架安装主处理器模件以及最多六个I/O模件组。
在机架内的各I/O模件通过三重的RS-485双向通讯口而连接。
图中:
①Tricon扩展机架#3②扩展机架#4到14③Tricon扩展机架#15号④Tricon扩展机架#2⑤Tricon主机架(机架#1)⑥TriStation(IBMPC兼容)
扩展机架(机架2到15)每一个可以支持最多八个I/O组。
扩展机架通过一个三重的RS-485双向通讯口而和主机架连接。
可以用来连接一组主机架和扩展机架的标准缆的总长最多为30米(100英尺)。
图1-1V9Tricon系统的配置
RS-485扩展总线口的使用:
图中:
①I/O总线口②Tricon机架,前视③I/O总线连接
OUTA—支路A出口OUTB—支路B出口OUTC—支路C出口
INA—支路A入口INB—支路B入口INC—支路C入口
2.3Tricon现场接线
使用外部端子板ETP用来和现场的设备连接。
另外ETP可以将电缆直接连接到Tricon背板顶部的56针的接头上。
2.4编程工程师站
Tricon系统通过称作Tristation的工程及维护用的工作站进行编程。
Tristation1131的开发平台运行环境是WINDOWSNT4.0或更新的操作系统。
Tristation1131支持三种遵循IEC1131-3标准的编程语言:
功能块语言,梯形图语言及结构文本语言。
Tristation1131用于以下的方面:
—开发和调试Tricon所执行的控制程序。
—诊断系统的状态。
—回路检测和现场设备维护时强制点。
一旦某一控制程序被开发完成,装载操作可将程序安装入控制器内并校验其是否能正确执行。
2.5主处理器模件
Tricon系统包含三个主处理器模件。
每个模件控制系统的独立的一路,并与其它两个主处理器并行工作。
每个主处理器上有一个专用的I/O通讯处理器,用以管理在主处理器和I/O模件之间交换的数据。
一条三重I/O总线位于机架的背板上,机架间通过I/O总线电缆连接。
#9000或#9001。
当每个输入模件被询问时,I/O总线的相应的一支就把新的输入数据汇成表存入主处理器内,并存入存储器以备用于硬件表决。
主处理器内的每一单个输入表通过TriBus传到其邻近的主处理器。
在此传送过程中,完成硬件表决。
TriBus利用直接存储器存取可编程逻辑数据并对三个主处理器之间的数据进行同步、传送、表决、以及比较。
如果发现不一致,信号在两个表中是一致的,则对第三个表进行修正。
每个主处理器把数据的必要的修正保持在当地存储器内。
任何差异都被标识,并在扫描结束时被Tricon的内部故障分析器来判断某一模件是否存在故障。
主处理器把修正过的数据送入控制程序。
32位的主微处理器和相邻的主处理器模件一起并行执行控制程序。
主处理器模件接受双电源供电,电源母线排列在主机架内。
一个电源或电源母线出现故障不会影响系统性能。
Tricon在没有外部电源的情况下,电池能完整地保持程序和保持性变量,至少可保持六个月。
图中:
①(自上到下)
模件已通过自诊断试验。
模件有故障,需要更换
模件正在执行用户自编写的控制程序。
当模件正在重新熟悉过程中,此灯闪烁。
发现有软错误。
更换模件以避免硬失效。
②COMTX——通过COMM总线传送数据。
COMRX——从COMM总线接收数据。
IOCTX——通过I/O总线传送数据。
IOCRX——从I/O总线接收数据。
③历史/状态口用于读取诊断信息
2.6总线系统及电源分配
如图1-4所示,三条三重总线系统都蚀刻在机架背板上,三条总线为TriBus、I/O总线、及通讯总线。
TriBus完成下列三种功能:
传输模拟的、诊断的、和通讯的数据
——传输和表决数字输入数据
——对上次扫描的输出数据和控制程序存贮器进行数据比较并对不同之处进行标识
I/O总线可使信息在I/O模件和主处理器之间传送,速率为375K波特。
通讯总线在主处理器和通讯模件之间传输信息,其速率为2M波特。
Tricon容错结构的一个重要特征是,每一个MP使用了同一个数据发送器将数据同时送给上游的和下游的主处理器,这样保证了同样上游处理器和下游处理器接收相同的数据。
图1-4Tricon主机架背板
图中:
1、双重电源轨2、电源端子条3、#1电源4、#2电源5、I/O终端用ELCO接头6、公共总线7、I/O总线8、主处理器A、B、C9、左I/O模件标准逻辑槽口10、通讯模件11、*左模件和右模件在任一特定时间内都作为有源的或热插的备件起作用。
2.7各种模件
数字输入模件Tricon提供两种基本类型的数字输入模件:
TMR和简易型。
在TMR模件上,全部关键的信道都被100%地三重化,以保证安全性和最大的利用率。
在简易型模件上,只有那些保证安全运行所需的信号通路部分才被三重化。
简易型模件用于低成本比最大利用率更重要的关键安全场合。
2.7.1TMR数字输入模件
每个数字输入模件内有三个相同的分电路路(A、B、C)。
虽然三个分电路都装在同一模件内,但它们是完全相同隔离的,并独立运行。
每个分电路可独立地对信号进行处理并在现场和Tricon之间采用光电隔离。
(#3504E型64点高密度数字输入模件是一个例外,它没有隔离。
)一条分电路上的故障就不会扩散到另外的分电路。
此外,每条支路含有一个8位微处理器(IOP),它处理与其相应的主处理器的通讯。
三个输入分电路的每一个分电路可异步地检查输入端子板上的每点信号,以判别其状态并将值放在相应的A、B、C输入表内。
每个输入表都定期地经过I/O总线由位于相应的主处理器模件上的I/O通讯处理器进行询问。
例如,主处理A通过I/O总线A询问输入表A。
带自测试的直流数字输入模件,能够检测“ON粘住”(指模件测量回路无法检测到现场信号断开)的状态,这对安全系统是一个重要的特征。
因为绝大数安全系统都是“去磁跳闸”。
2.7.2简易型数字输入模件
每个数字模件含有适用于三个相同的分电路(A、B、C)的智能控制电路。
虽然这些分电路都装在同一模件内,它们是完全相互隔离的,而且完全独立地进行工作。
一个支路上的故障不会传给另一个。
每条支路含有一个8位微处理器(IOP),它处理与其相应的主处理器的通讯。
三个输入分电路中的每一个独立地通过一组非三重化的信号调节器测量端子板上每一输入信号。
每个分电路判别其状态并将值放在相应的A、B、C输入表内。
每个输入表都定期地经过I/O总线由位于相应的主处理器模件上的I/O通讯处理器进行询问。
例如,主处理A通过I/O总线A询问输入表A。
该模件具有专门的自测试电路,用不足500微秒的时间能检测“ON”粘住和“OFF”粘住故障。
这是故障安全系统的必备特性,它必须能及时地检测出所以的故障,并在检测到有输入故障时,把测量输入值强制在安全状态。
因为Tricon更适合用于“去磁跳闸”系统,所以在输入电路中发现故障时就能把各分电路的值强制在“OFF”(去磁的)状态。
2.7.3数字输出模件
数字输出模件有四种基本型式:
——监督型数字输出模件
——DC电压数字输出模件
——AC电压数字输出模件
——双通道DC数字输出模件
每个数字输出模件都包含有三个完全相同的相互隔离的分电路。
每一分电路含有一个IOP微处理器,它从相应的主处理器上的IOC通讯处理器接收其输出表。
所有的数字输出模件,除了双通道DC模件以外,都采用“四方输出表决器”,该电路对各个的输出信号在它们刚要被送至负载之前进行表决。
这个表决电路以并行一串行通路为基础,它在分电路A和B,或者分电路B和C,或者分电路A和C的闭合时——换句话说就是,通过三取二输出表决通过。
双通道数字输出模件则具有一个单个的串行通道,三取二的表决过程单独作用于每一个开关。
四方输出表决电路对于所有的关键信道给出多重冗余,保证了安全和最大的利用率。
双通道输出模件给出刚刚足够的冗余度以保证安全运行。
双重化模件更适合于低成本比最大利用率更重要的关键安全场合。
每种数字输出模件均可对每点进行专门的输出表决器诊断(OVD)。
一般而言,在OVD执行过程中每一个点的状态被逐点保存在输出驱动器上。
在模件上的反馈控制回路允许每个微处理器读出此点的输出值,以决定在输出电路内是否存在有潜在的故障。
(对于那些任何跃变时间宽度都不能容忍的现场装置,在AC和DC电压数字输出模件上的OVD都可以被禁止)。
监督型数字输出模件同时具有电压的和电流的反馈,具备在励磁和非励磁的工作状态下故障的完全覆盖。
此外,监督型数字输出模件还能对回路进行连续校核,验证是否有现场负载存在。
现场负载丢失或线路短路时,在模件上有信号指示。
DC电压数数字输出模件是专门设计来控制那些现场设备可能长期地保持于一种状态。
DC电压数字输出模件的OVD诊断能确保完全的故障覆盖率,即使各点的被命令状态从不改变。
在这种模件上,一般只在OVD执行期间输出信号发生跃变,但被保证低于2毫秒(标准的是500微秒),并且对绝大多数现场设备是没有影响的。
AC电压数字输出模件上,采用OVD诊断出故障的开关将会使用权输出信号跃进变为最大半个AC周期的反状态,这种变化不会对现场设备造成影响。
一旦故障被检测出来,模件就不再继续进行OVD。
在AC电压数字输出模件上的每个点都需要周期性的在ON在OFF状态两者上循环,以保证100%的故障覆盖率。
2.7.4模拟输入模件
在模拟输入模件上,三个分电路的每个分电路异步地测量各输入信号并,把结果置入数值表内。
三个输入表通过相应的I/O总线传送到其相应的主处理器模件。
每个主处理器模件内的输入表通过TBIBUS而转送给相邻的主处理器,并进行取中值的选择,各主处理器内的输入表按中间值修正。
在TMR模式中,中值数据被应用于控制程序;而在双重化模件中态中采用平均值。
每个模拟输入模件通过多路转换器读取多个参考电压的方法自动进行校核。
参考电压可以确定增益和偏差,用来调整模数转换读数。
模拟输入模件和端子板可以支持许多不同的模拟输入,这些模件可以是隔离的也可是非隔离的形式:
0~5VDC、0~10VDC,4~20mA,热电偶(K、J、T、E等型),以及热电阻(RTD)。
2.7.5模拟输出模件
模拟输出模件接受输出值的三个表,每个表从相应的主处理器获取。
每一分电路有它自己的数—模转换器(DAC)。
其中一个分电路被选中,就可以驱动模拟输出。
输出被连续不断地用每点的输入反馈回路校核使其达到正确性,每一点上的输入是被所有三个微处理器同时读取。
如果在工作的分电路发现有故障,该分电路即被宣布为故障支路,并选择别的分电路来驱动现场设备。
这个“驱动分电路”的选定是分电路间轮换的,因此三条分电路都得到测试。
2.7.6端子板
对于V9Tricon机架的现场布线,您可以使用Triconex供应的端子板组件,也可以用您自己的能和Tricon面板接头相匹配的电缆组件。
现场端子板是一块电气的无源电路板,现场布线可以很容易与该板连接。
2.7.7通讯模件
利用本节所述的通讯模件,Tricon可以和Modbus主机和从机,点对点网络通讯上的其它Tricon,在802.3网络上运行的其它主机,以及Honeywell和Foxboro分布控制系统(DCS)连接。
主处理器通过通讯总线向通讯模件传递数据。
数据通常在每次扫描刷新一次;旧数据不会保留两次扫描时间。
增强型智能通讯模件(EICM)—和外部设备进行RS-232和RS-422串行通讯,速度最高可到19.2K波特。
这个EICM提供四个串行口,通过这些口可和Modbus主机、从属机、或主从机,或者TriStation接口连接。
模件也可提供一个Centronics兼容的并行口。
网络通讯模件(NCM)—这种模件允许Tricon和其它Tricon通讯,或者通过TCP/IP网络与外部主机通讯,速率可达10Mbit/秒。
NCM支持一定数量的Triconex协议和应用,也支持用户书写的应用,包括那些采用TCP-IP/UDP-IP协议的应用,如表1-3所示。
安全管理模件(SMM)—该模件用于Tricon控制器和Honeywell的通用控制网络(UCN)的接口,UNC是TDC-3000DCS的三个主要网络中的一个。
SMM允许通用控制网络(UCN)将Tricon指定为它的一个安全节点,允许Tricon在整个TDC-3000环境内管理过程数据。
Tricon用Honeywell操作者所熟悉的显示格式发送数据别名和诊断信息。
SMM的利用率取决于Honeywell的用于500版和将来各版的计划。
高速通道数据接口模件(HIM)—通过高速通道和就地控制网络(LCN),该模件用于Tricon控制器和Honeywell控制系统的接口,HIM也可通过数据高速路作为Honeywell更老的控制系统的接口。
HIM使得LCN与数据高速路上的有更高的级别的计算机,操作站等设备与Tricon通讯。
HIM允许冗余的BNC接头直接和数据高速通道连接,并具有同样的功能容量,最大可有四个外部高速通道地址(DHP)。
先进的通讯模件(ACM)—该模件用于Tricon控制器和Foxboro的智能化自动化(I/A)系列DCS之间的接口。
ACM允许Foxboro系统将Tricon指定为它的一个“安全节点”,允许Tricon在整个I/ADCS环境内管理过程数据。
Tricon用I/A操作者所熟悉的显示格式发送数据别名和诊断信息,ACM支持一定数量的Tricon协议和应用以及用户自编应用,包括TCP/IP及UDP/IP协议,见表1-3。
表1-3NCM和ACM的协议和用途
Troconex协议
NCM
ACM
Peer-to-Peer
√
时间同步
√
TriStation
√
√
Tricon系统存取应用(TSAA)
√
√
用户编写的协议(非专用的)
TCP-IP/TCP-UDP
√
√
Triconex应用
DOSTCP/IP驱动接口
√
√
SOE
√
√
SOE记录器
√
√
网络DDE服务器
√
√
TriStation
√
√
2.7.8系统诊断与状态指示灯
Tricon具有全面的在线诊断能力。
故障监控电路可以预先检测出可能发生的故障,此电路包括有I/O回路检测、事故自动制动定时器、电源丢失检测器等部件等。
这使得Tricon可以自行重新配置并根据各个模件和分电路的工作情况进行一定限度的自我修理。
每个Tricon模件的报警都可激发系统的“完整”的报警。
报警包括每个电源模件上的一对NC/NO继电器触点。
任何故障时,包括系统电源的中断或“保险烧断”都可使激发报警动作,从而提醒工厂的维护人员。
每个模件的前面板上都有指示器(LED)。
它们指示出模件的状态或者可能与之相连接的外部系统的状态。
通常显示的状态为PASS(通过)、FAULT(故障)和ACTIVE(工作)。
别的指示器依模件而不同。
维护工作包括更换插入式的各模件。
点亮了的故障指示器表示在该模件上发现有故障,必须更换。
指示器的控制电路和三条支路的每一条都是隔离的,而且是冗余的。
2.7.9电源模件—型号
V9Tricon机架上装有下列电源模件之一:
型号#
电源模件
8310
120VAC/VDC
8311
24VDC
8312
230VAC
每层机架有两个电源模件,每一个电源都足以支持本层机架的全部电源需求。
电源模件可以在线更换,并可视作热备。
电源模件,把外部电压转换成适合各Tricon模件使用的DC电源。
每个电源模件上备有供每个外部电源用的在线缓燃保险,装在模件之内。
需要换模件时,不需要折卸任何接线或卸掉电源模件只要把模件从机架上卸下即可。
图2-5主/扩展电源模件
图中:
①电源模件用的连接条(位于电源模件的上方,背板上)
电源模件,把外部电压转换成适合各Tricon模件使用的DC电源
每个电源模件上备有供每个外部电源用的在线缓燃保险,装在模件之内。
需要换模件时,不需要折卸任何接线或卸掉电源模件只要把模件从机架上卸下即可。
表中系统供电要求
输入电压
输入频率
120VAC(-15%~10%)
47~63Hz
220VAC(-15%~20%)
47~63Hz
120VDC(-15%~20%)防止逆流连接
—
2.8对系统接地的要求
2.8.1安全接地
将各个主机架和扩展机架用低阻抗电缆连接到安全地,其供电电源的接地必须符合本地区的防火和电气法规。
2.8.2信号接地
TRICON的信号地允许相对于安全地浮动。
每个电源模件都有一个内部的RC网用以限制信号地和安全地之间的电位差。
在绝大多数安装情况中,把信号地与安全地连在一起,并仅连在一个点上。
2.8.3屏蔽接地
对于模拟信号,必须将连接现场电缆的屏蔽层单端接地.TRICON的外部模拟终端板上备有屏蔽接线端子,当使用该端子时,应该利用外部的屏蔽总接线排给出一个靠近外部模拟终端板的连接点。
2.9环境条件
2.9.1环境温度:
10~28℃
2.9.2相对湿度:
20%~80%,无凝结。
2.9.3对空气要求:
不要让TRICON机架和模件暴露在金属碎屑、能导电的颗粒或由钻削和锉削产生的灰尘中,否则会引起短路现象的发生。
第三章TRICON系统组态
3.1前言:
Tristation1131的应用平台是WindowsNT、WindowsXP。
Tristation1131程序支持四种语言。
1函数方块图(FBD)功能块图。
2梯形图(LD