安全仪表系统SISPPT课件.ppt

题目：安全仪表系统（安全仪表系统（SIS））主讲人：安全仪表系统SIS第一节第一节￿ ￿概述概述随着大型石化装置的发展，生产产品多样化、控制工程越趋复杂，安全保护越来越被重视安全保护在石化生产过程中的表现形式是逐级上升的，即生产中使控制参数在正常范围内时使用的仪表调节系统；当调节系统不及时或出现干扰等异常，控制参数超出正常范围时使用报警联锁系统，此时需要采取手动或自动措施使生产恢复到正常状态上去；当情况进一步恶化达到临界状态时使用紧急停车系统，即ESD系统，按照预先设定的程序，包括紧急放空、仪表的选用事故状态、动设备停止运行等等措施，通过局部或整体停车方式消除危险；当事故已经出现，包括可燃气体泄漏、火灾等形成时采用火气消防系统来补救；对特殊场所，火气消防系统不能彻底消除事故时，采用物理防爆措施，即使用防爆墙等；物理防爆无法彻底消除灾害时采取最后一项措施时紧急疏散撤离安全仪表系统SISIEC61511对安全防护的分层描述见下图所示安全仪表系统SIS在工艺生产过程中，存在各种各样的工艺参数和工艺设备状态，这些参数和状态被检测出来就是过程信号生产中当这些参数控制在规定的范围内时，说明生产过程处于正常状态；超出这个范围说明出现异常，要求以声光形式提醒操作者采取调节措施（参数调整或设备适当操作）或者通过预定的程序使其恢复到正常值范围内，这个声光表现形式称为报警，根据预定程序的操作就是联锁；如果异常进一步扩大，为防止事故发生而采取的局部或整体生产装置停车的仪表系统，称为安全仪表系统（SIS），或紧急停车系统（ESD），它是生产过程中的一种自动安全保护系统，能对石油化工等生产过程中可能发生的危险（超出安全限定）及不采取措施而继续恶化的状态进行及时地响应和保护，使其进入预定的安全停车状态，从而保证人员、设备、生产和装置的安全。

￿￿￿￿￿从正常生产到危险发生过程不同阶段示意如图2—4—1所示￿￿￿￿￿安全仪表系统的基本功能结构示意如图2—4—2所示安全仪表系统SIS安全仪表系统SIS一、通用安全标准一、通用安全标准由于SIS属于保护装置的安全仪表系统，所以对SIS控制器本身安全要求很高，有关国际机构对控制器的可靠性、安全性制定了相关的安全标准，并对相关控制器产品和使用的编程软件平台、应用于SIS程序的标准功能块等进行等级认证1、DIN V19250德国标准，规定安全系统的设计等级必须符合生产过程现场的危险性等级AK1～AK8(1～8级)2、IEC61508国际电工组织制定的国际标准，用于确定过程、交通、医药工业等的安全周期(Safety life cycle)，对设备的完整性、设计、操作、测试和维护提出要求，主要针对制造商和设备供应商标准根据发生故障的可能性分成四个SIL等级，即等级等级表示符号表示符号描述描述一级一级SIL1每年故障危险的平均概率为每年故障危险的平均概率为0.1～～0.01 二级二级SIL2每年故障危险的平均概率为每年故障危险的平均概率为0.01～～0.001 三级三级SIL3每年故障危险的平均概率为每年故障危险的平均概率为0.001～～0.0001四级四级SIL4每年故障危险的平均概率为每年故障危险的平均概率为0.0001～～0.00001安全仪表系统SIS3、ANSI/SIA S84.01-1996美国对工业过程的安全系统设立的标准，是IEC61508和DIN V 19250的结合，但去除了SIL4这个最高级别。

4、Draft IEC 61511第1～4部分，适用于工艺过程工业的安全仪表系统（包括SIS设计者、系统集成商和最终用户）的国际化标准，是IEC61508的补充5、EN54的第三部分适用于火灾检测报警系统的欧洲标准，NFPA72则是美国“国家火灾报警标准”等二、联锁保护系统设置二、联锁保护系统设置：根据《石油化工安全仪表系统设计规范》SH/T3018-2003有关要求，安全仪表系统应符合下列规定1、独立安全联锁保护和停车系统独立于过程控制系统，以降低控制功能和安全功能同时失效的概率，使联锁和停车系统不依附于过程控制系统就能独立完成自动保护联锁的安全功能见图2—4—3 “独立的安全仪表系统”安全仪表系统SIS安全仪表系统(Safety Instrumented System - SIS)包括传感器（Sensor）、逻辑运算器（Logic solver) 和最终执行元件(Final element) 1.1 SIS传感器选用：独立设置原则：￿￿￿￿1级￿￿SIS传感器可与DCS共用；￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿2级￿￿SIS传感器宜与DCS分开；￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿3级￿￿SIS传感器应与DCS分开；冗余设置原则：￿￿￿￿1级￿￿SIS传感器可采用单一的传感器；￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿2级￿￿SIS传感器宜采用冗余的传感器；￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿3级￿￿SIS传感器应采用冗余的传感器；冗余选择原则：保证系统的安全性时，采用“或”逻辑结构；保证系统的可用性时，采用“与”逻辑结构；当系统的安全性和可用性均需保证时，采用“三取二”逻辑结构；传感器宜采用隔爆型的变送器（压力、差压、差压流量、差压液位、温度），不宜采用开关型传感器；传感器由SIS系统供电。

安全仪表系统SIS1.2 SIS逻辑运算器选用：SIS逻辑运算器：继电器系统，可编程序电子系统，混合系统三种；继电器用于I/O点较少,逻辑功能简单的场合；可编程电子系统用于I/O点较多,逻辑功能复杂，与DCS、MES通信等场合；可编程电子系统可以是经TUV认证的PLC系统，也可是DCS和其他专用系统；独立设置原则：1级SIS逻辑运算器宜与DCS分开；￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿2级SIS逻辑运算器应与DCS分开；￿￿￿￿￿￿￿￿3级SIS逻辑运算器必须与DCS分开；冗余设置原则：1级SIS可采用单一的逻辑运算器；￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿2级SIS宜采用冗余或容错逻辑运算器；￿￿￿￿￿￿3级SIS应采用冗余容错逻辑运算器；1.3 SIS执行元件选用：执行元件：气动切断阀（带电磁阀），气动控制阀（带电磁阀），电动阀或液动阀等￿独立设置原则：1级￿SIS 阀门可与DCS共用，应确保SIS优先于DCS动作；￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿2级SIS阀门宜于DCS分开；￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿3级SIS阀门宜于DCS分开；安全仪表系统SIS冗余设置原则：1级￿SIS 可采用单一阀门；￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿2级宜采用冗余阀门；如采用单一阀门，电磁阀宜冗余配置；￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿3级宜采用冗余阀门；可采用一个控制阀和一个切断阀；电磁阀设置原则：电磁阀应采用长期带电，低功耗，隔爆型；由SIS系统供电。

1.4 独立设置的目的1.4.1 降低控制功能和安全功能同时失效概率，当维护DCS部分故障时也不会危及安全保护系统；1.4.2 对于大型装置或旋转机械设备，紧急停车系统响应速度越快越好，这有利于保护设备，避免事故扩大和分析事故原因记录，DCS处理大量过程监测信息，因此其响应速度难以作得很快；1.4.3 DCS系统是过程控制系统，是动态的，需要人工频繁的干预，这有可能引起人为误动作；而SIS是静态的，不需要人为干预，这样设置SIS可以避免人为误动作2、冗余（用多个相同的模块或部件实现特定功能或数据处理）2.1 元件冗余：具有指定的独立的N：1重元件，并且自动检测故障，切换到后备设备上；2.2 表决（用多数原则确定结论）结构：如三取二表决电路，排除由于元件故障而出现的虚假动作，避免不应有的停车事故安全仪表系统SIS3、故障安全（安全仪表系统发生故障时，使被控制过程转入预定安全状态）3.1 报警、联锁的检测元件接点采用正常时闭合，越限时断开；3.2 执行元件在系统正常时应是励磁（带电）状态，非正常时应是非励磁（不带电）状态，重要联锁电磁阀采用双三通电磁阀，即两个电磁阀并联运行，防止电磁阀出故障；3.3 调节阀选择是事故状态下，工艺装置处于安全状态分别选用气开式和气关式（保证在起源终端是装置处于安全状态）。

4、人机接口操作站可以采用过程控制系统操作站，但操作站不能修改安全仪表系统的编程软件；工程师站完成安全仪表系统编程组态和维护，可采用台式PC机或便携式PC机；辅助操作台：在CCR辅助操作台上安装的硬件，包括紧急停车按钮、开关、选择器、旁路开关和信号报警器等用硬线接到CCR的SIS控制器，通过冗余安全以太网通信接到现场机柜室SIS控制器逻辑运算4.1 手动复位：当工艺参数由非正常状态恢复到正常状态时，由操作人员有步骤地进行手动复位，重要的联锁系统和工艺变量一般采用手动复位，避免自动复位的缺陷；安全仪表系统SIS4.2 手动旁路：人为切除和投入，在两种情况下使用，一是解除某些变量的联锁，为动设备的启动创造条件；二是用于检修事故开关；4.3 延时电路：使用时间继电器过滤脉冲干扰或瞬间突发事件引起的停机动作5、安全仪表系统应具有硬件和软件诊断和测试功能安全仪表系统SIS6、软件组态应符合IEC61131-3工业标准，￿￿￿￿￿软件应能修改和下载，在系统投用前应对软件组态进行100%功能测试7、￿SIS与DCS区别7.1 DCS用于生产过程的连续测量、常规控制（连续、顺序、间歇等）、操作控制管理，保证生产装置的平稳运行；SIS用于监视生产装置的运行状况，对出现异常工况迅速进行处理，使危害降到最低，使人员和生产装置处于安全状态；7.2 DCS是“动态”系统，它始终对过程变量连续进行检测、运算和控制，对生产过程进行动态控制，确保产品的质量和产量；SIS是“静态”系统，正常工况时，它始终监视生产装置的运行，系统输出不变，对生产过程不产生影响，非正常工况下时，它将按照预先的设计进行逻辑运算，使生产装置安全联锁或停车；7.3 SIS比DCS在可靠性、可用性上要求更严格，IEC61508、IEC61511、ISA S84.01、SH/T3018强烈推荐SIS与DCS硬件独立设置。

安全仪表系统SIS三、三、￿ ￿ESD系统控制器系统控制器1、结构类型按照控制器划分为双重冗余和三重冗余两种1.1 双重冗余ESD系统从I/O模件和CPU都配置了两重化，其中一套处于工作状态，另一套则处在热备用状态，CPU不停监测运行的和热备的硬件，当CPU检测到运行卡件有故障时，会自动切换到备用卡件上，同时系统会周期性的切换运行和热备卡，以保证系统的安全见图2—4—6 “双重冗余ESD系统”安全仪表系统SIS1.2 三重化硬件结构组成每个I/O 模件内有3 个独立的分电路输入模件的每个分电路读入过程数据并将此信息送至各主处理器3个主处理器可利用其专有的高速三重化总线(TRIBus)进行相互间的通信每扫描一次，3个主处理器通过三重化总线与其相邻两个主处理器进行通信，达到同步；同时三重化总线可对数字输入数据进行表决，对输出数据进行比较，并将模拟输入数据进行复制并送到每个处理器，主处理器执行各种控制算法，并将运算输出值送到各输出模件除表决输入数据外，TRICON 还表决输出数据输出数据的表决是在输出模件中完成的，这样可使其尽可能与现场靠近，并对三总线表决与驱动现场的最终输出间可能发生的任何错误进行检测和补偿。

见图2—4—7 “三重冗余ESD系统”安全仪表系统SIS2、联锁保护系统试验信号报警和联锁保护系统正式投入使用前必须对其进行检查和测试，测试参与方包括施工单位、监理、业主仪表、电气、设备等各专业，联锁试验由业主工艺车间组织，施工单位配合，测试合格并得到有关方面的确认后才能投入使用，具体包括：2.1 检查：2.1.1 所有仪表单校合格；￿2.1.2 检查设备安装和电缆接线正确；2.1.3 检查电源和气源满足要求2.2 供电：对仪表设备和回路逐个供电，检查以下内容2.2.1 通过状态指示灯检查逻辑控制器运行状态是否正常；2.2.2检查输入输出设备运行状态是否正常；2.2.3 检查输入输出接点状态指示灯目前状态是否与现场一致；2.2.4 检查联锁系统控制站与操作站之间通信状态，确认操作站画面显示正常2.3 模拟联动按照信号报警和联锁保护逻辑图，将其划分为多个逻辑包，根据各个逻辑包的动作条件，逐个进行试验，检查动作结果是否符合设计要求安全仪表系统SIS2.4 可能存在的问题问题问题￿ ￿造成的可能原因造成的可能原因￿检查内容检查内容￿误动误动作作（（1）电源失电或电压）电源失电或电压波动超过规定值波动超过规定值￿检查电源熔断丝和供电方式是否合理检查电源熔断丝和供电方式是否合理￿（（2）检测元件故障）检测元件故障￿检查接点接触是否良好，安装位置是否合理检查接点接触是否良好，安装位置是否合理￿（（3）执行元件故障）执行元件故障￿电磁阀开路或短路，导压管泄漏，空气脏造电磁阀开路或短路，导压管泄漏，空气脏造成电磁阀关闭不严成电磁阀关闭不严（（4）导线短路或开路）导线短路或开路包括机械损伤、绝缘老化、接线端子接触不包括机械损伤、绝缘老化、接线端子接触不牢固等牢固等￿拒动拒动作作（（1）检测元件不动作）检测元件不动作￿检查设定值是否正确和调整的动作偏差；开关接检查设定值是否正确和调整的动作偏差；开关接点表面氧化或集灰；触点容量不够多次动作时出点表面氧化或集灰；触点容量不够多次动作时出现粘结现象现粘结现象￿（（2）执行器故障）执行器故障￿电气线路问题（短路电气线路问题（短路/断路、接地、绝缘）；断路、接地、绝缘）；电磁阀卡或机械结构失灵电磁阀卡或机械结构失灵￿安全仪表系统SIS第二节第二节￿ ￿主要厂家的主要厂家的SIS系统系统安全仪表系统(SIS)主要包括FSC、ELOPⅡ、Trusted 、TRICON等紧急停车安全仪表控制系统。

一、一、FSC美国Honeywell公司的FAIL SAFE CONTROL（FSC）系统，由它执行安全联锁系统的控制部分代替原来在DCS中执行的联锁内容，按照规范将安全联锁系统独立出来，以确保人身和设备的安全FSC系统是基于微处理器的、模件化、且可软件编程的系统，系统的核心控制元件为FSC安全管理器The FSC Safety Manager (FSC-SM)，它与HPM一样，在TPS系统中，是UCN（Universal Control Network）上的一个节点，可提供UCN节点的功能，也可以直接与现场设备进行通讯该系统硬件基于双重化结构，软硬件均通过IEC的IEC61508认证FSC自应用以来，利用了组态软件强大数据处理和图形表现的能力，融合了较先进的自动化技术、计算机技术、通讯技术、故障诊断技术和软件技术，具有可靠性高、操作简单、维护容易等特点表现出了它强大的安全稳定的控制能力和通讯功能，为装置事故状态下的安全提供了保证安全仪表系统SIS二、二、ELOPⅡⅡ兰州石化年产70万吨乙烯改扩建工程乙烯装置ESD系统采用的是德国HIMA PES系统中的ELOPⅡ软件在整个装置处于非常危险的情况下，启动裂解炉停车按钮时裂解炉停车。

只要启动停车按钮，联锁系统将关闭所有进料阀、燃烧阀，稀释蒸汽保持当前的流量设定值或最小流量设定值（90%正常流量），使裂解炉逐渐缓慢冷却此为手动停车当裂解炉燃烧气压力低、超高压蒸汽温度高等有任一发生时，安全联锁系统自动关闭所有进料阀、燃烧阀，此为自动停车三、三、TrustedICS Triplex 在三重化（TMR）控制系统领域是世界上著名的领导者，其旗舰产品￿Trusted 系统是市场上最先进的三重化冗余系统Trusted ESD 系统是一个高效的全面综合的安全保护系统Trusted ESD 系统适用于各种规模类型的紧急停车系统，特别是那些安装了大型装置或旋转机械设备的领域Trusted ESD 系统已取得￿TÜV 的安全认证，可应用于￿AK6 和￿IEC61508 SIL1 到￿3 安全等级环境，TÜV 认证包括系统硬件及系统软件Trusted ESD 系统为要求紧急关闭的过程提供最高￿SIL 等级的安全性，高可用性使得￿Trusted™ 成为确保环境、人员和安全投资的理想解决方案安全仪表系统SISTrusted ESD 系统可用在：•     安全关键控制•     机组控制•     火与气•     阀门测试•     压力容器保护系统Trusted 部件都采用了完全三重化（TMR）的电路，达到最佳的￿TMR 容错水平，硬件实现容错(HIFT)技术，所有部件对在￿I/O 模块和处理器层面处理的所有数据提供3取2(2oo3)表决制，采用安全运行模式￿3-3-2-0 容错技术，达到最高的可用性和可靠性，确保￿Trusted ESD 系统可达到100%的运行时间，并允许更换系统部件。

Trusted 系统的￿SOE 是内置的在板￿1msec 分辨率时间戳，快速、准确的记录信息，为￿ESD分辨事故原因、排除故障提供了最先输出探测和分析的能力Trusted 系统控制器￿CPU 为64位微处理器，主频为100MHz，信号处理的全过程时间小于100mS（32-100mS），具备快速响应处理能力安全仪表系统SISTrusted 系统￿AI 和￿DI 模块每通道都有3个独立的￿A/D 转换器，DI 点采集的模拟化，使得安全、快速控制系统的利用率和容错能力达到最高精确判断故障点的类型，避免了开关量点本身的故障引起的虚假跳车带来的经济损失；DO 模块每通道有6个￿FET，提高了模块的电流负载能力，有全面的自诊断、自测试和过流保护功能Trusted 系统所有￿I/O 模块都具有2500VDC光电隔离、在板1ms分辨率的￿SOE 和基于每个通道的线监视功能Trusted ESD 系统按照安全独立原则要求，独立于集散控制系统，安全级别高于￿DCS响应速度非常快，有利于保护设备，避免事故扩大；并有利于分辨事故原因记录Trusted ESD 系统非常先进可靠，其组态编程工具￿IEC61131-3 TOOLSET 非常简单易学，并提供安全保护专用的功能块，实现安全、可靠、精确的安全控制。

卓越的容错能力使得Trusted 成为行业市场上性能最可靠、运行最安全的系统四、四、TRICONTriconex公司的Tricon采用三重化冗余容错（功能模块在出现故障或错误时，仍继续执行特定功能的能力）技术，即三重化系统包含了三个相互独立的通道，每个通道都相互独立运算，对从现场来的数字量输入输出变量都由硬件完成表决，模拟量则进行中值选择，当某一个通道出现错误时，它被另外两个通道抛弃，所以可以更换故障模件，更换后重新恢复到完整的三重化操作；安全仪表系统SIS第三节第三节￿ ￿F&G火气系统火气系统火气系统（FGS）是火灾和气体检测报警系统（fire & gas detection alarm system）的简称，即通过专用的传感器和监测器，预测即将发生的火灾、爆炸、中毒事故，由声光发出警告提醒有关操作人员进行相应操作，组织疏散和逃生，或者通过预先编制的联锁逻辑自动的启动相应的保护、救护装置，通过远程报警得到及时增援，从而使得可能发生的事故能在萌芽状态被发现并消除火气系统的基本组成框图如图2—4—8所示安全仪表系统SISFGS系统接收来自现场的火灾、气体检测器或手动报警信号，将报警信号送到MIMIC盘，FGS与消防管理系统通信，将相关消防需求信息及时传送到消防系统。

FGS有自身的控制报警设备和自动防护系统，还将信号传递到ESD系统实现紧急停车，传递到DCS系统用于过程控制的配合火气系统与ESD和DCS系统的组合图见2—4—9安全仪表系统SIS装置常见火气系统分布和总貌见图2—4—10安全仪表系统SIS一、基本构成1、现场传感器单元：包括烟感探头、温感探头、UV/UR火焰探头、人工手动报警按钮和各种气体检测器2、逻辑控制器实现报警和自动后续动作，现在一般采用TRICON系统、HIMA系统等，控制器将检测来的信号进行分析和运算，同时对信号回路的线路状态的好坏进行判断，然后根据不同类型和级别的报警，将运算结果发送到目标单元（主要是现场的执行单元）3、执行单元：执行由控制器发出的命令的设备和元件中央控制室：MIMIC Panel，画有装置区地图的模拟盘嵌有表示不同类型报警的LED灯（发光二极管）和表示不同报警级别的不同声音的报警音响，如扬巴乙烯中盘上有红、黄、蓝三种颜色报警灯，分别代表火灾、毒性气体和可燃气体；有消防水泵的运行状态（绿色）和故障状态（红色）；有风向风速指示表（与风速风向检测仪配合使用，360°圆形LED灯指示风向，两个发光二极管窗口分别指示当前风速和最高风速）；工厂紧急相应中心：大屏幕显示器；装置现场：报警喇叭（HORN）、闪灯（BEACON）、楼宇报警铃、中央空调风机、通风挡板、CO2是防系统，泡沫系统、喷淋系统和高压消防水喷射系统等。

安全仪表系统SIS4、通信网络连接到急救中心、消防机构等获得援助5、系统对信号的监测模拟量输入线路的监测是根据信号值偏离正常值来判断的，无论是短路还是断路，表现出来各自特点数字量输入（开关量）监测是通过与现场接点串并联合适的电阻，在现场线路开路、短路、断路状态下线路的电阻值会有所不同，从而使得转化为模拟量信号的值在不同的范围内，系统根据接收到的信号的具体的电流值来判断现场线路的情况R1=250Ω，R2=180Ω，R3=500Ω，R4=1KΩ，不同情况下的线路电阻值、电流值安全仪表系统SIS线路状态线路状态接点状接点状态态回路电阻回路电阻值值24VDC电流值电流值正常正常断开断开24309.88mA闭合闭合176313.61mA短路短路断开断开143016.78mA闭合闭合断线断线断开断开无穷大无穷大0mA闭合闭合安全仪表系统SIS6、Honeywell火气系统的设备类型6.1 气体/火焰检测器输入见图2—4—116.2 火灾检测输入信号见2—4—12安全仪表系统SIS6.3 监测的报警设备，见图2—4—136.4 输出线路状态监测系统定时向现场发出极短的检测脉冲，检测输出线路的通断；或选用对现场回路检测的安全栅。

安全仪表系统SIS二、火灾和气体检测1、火灾检测2、气体检测分为可燃气体和有毒气体，前者使用接触催化燃烧式，后者使用电化学式3、保护联锁3.1室外装置设备保护：包括喷淋降温保护（控制雨淋阀）、消防灭火保护（自动启动高压消防水）、泡沫覆盖隔离（对易燃易爆物料覆盖隔离）等；方法方法原理原理实施实施人工监视人工监视人员巡检人员巡检按动附近人工报警按钮按动附近人工报警按钮￿烟雾检测烟雾检测烟雾遮断光学通道改变信号大小烟雾遮断光学通道改变信号大小￿使用烟感探头使用烟感探头￿温度检测温度检测易融片遇火融化掉控制喷淋气源压力，阀门易融片遇火融化掉控制喷淋气源压力，阀门自动开启自动开启￿气源管路上设置易融片气源管路上设置易融片￿火焰检测火焰检测热红外线检测热红外线检测￿设置光敏元件设置光敏元件￿安全仪表系统SIS3.2 电气和控制设备保护：不能用消防水和液体泡沫，一般用CO2释放系统，在密闭空间内使用，而且人员必须撤离3.3 室内人员保护：控制室周围设置的可燃气体、有毒气体检测器，发现时FGS自动停空调的换气风机，并关闭风道上的挡板，以阻止有害气体进入操作人员滞留的环境中第四节第四节￿ ￿TRICON系统结构及使用系统结构及使用TRICON是一种提供了高水平冗余容错技术的可编程逻辑和过程控制器，容错是指系统监测到瞬间或稳态的系统错误时能采取适当动作进行纠正，TRICON系统是通过采用三重冗余结构实现容错功能的，即系统包含了三个相互独立的通路，每个系统通道都与其它两个通道平行的、独立的进行运算，对于所有从现场来的数字量输入输出变量都由硬件完成表决，而对于模拟量则进行中值选择。

TRISTATION（多功能系统工作站）是个人计算机，它是TRICON系统开发和编译系统中运行的应用程序，诊断系统的各种状态，在回路测试、现场仪表维护时，强制某些必要的点的平台和界面安全仪表系统SIS一、一、TRICON系统结构系统结构1、系统结构1.1 物理结构一个TRICON系统是由外部的接线端子板(external terminal panel)、安装有各种卡件的机架(chassis)和连接它们的集束电缆(elco cable)组成其中外部接线端子(ETP)是一块安装有接线端子的印刷电路板，将现场信号引入系统，并为输出信号提供输出电源（配有保护用保险丝）ELCO电缆用来连接ETP与I/O模件系统由一个主机架和最多14个扩展机架组成，每个机架都有其唯一的地址，各机架的地址在1～15之间，其中主机架地址为1TRICON控制器主机架布置见图2-4-14“TRICON主机架结构”安全仪表系统SIS安全仪表系统SIS扩展机架可根据现场的需要放置在不同的位置，主机架与扩展机架之间通过三重化I/O扩展总线电缆连接，当总的系统I/O总线电缆长度在每个分电路小于30米时，系统使用扩展机架在扩展机架中，除了最左边的槽位放上下冗余电源模件外，其余有8个逻辑槽位可放置I/O模件。

TRICON系统的总线包括TRI-BUS(TRI总线)、I/O-BUS(I/O总线)和COMM-BUS(通讯总线),这三个三重化总线系统被蚀刻在主机架背面COM-BUS通讯总线实现三个主处理器与通信模件之间的信息传递；I/O-BUS(I/O总线)实现I/O模件与主处理器模件之间的信息传递；TRI-BUS包括三条独立的串联链路，连接三个主处理器模件，实现三个主处理器之间的信息传递和数字输入数据的传递和表决1.2 系统控制模式：4档位置开关1.2.1 RUN（运行）：只读操作方式，主处理器执行已经下装的应用程序1.2.2 PROGRAM（程序）：用于程序下装和检查允许TRISTATION对TRICON系统的控制，包括全部整体下装（Download  ALL）和修改部分下装（Download  Change），也允许Modbus主机或外部上位机对程序变量的写入1.2.3 STOP（停止）：停止读入输入值，强制非保持型数字和模拟输出回零，中断控制程序（保持型输出将保持在钥匙开关转到该位置前的最后值），该位置也是安装和维护其它设备时推荐位置安全仪表系统SIS1.2.4 REMOTE（遥控）：允许TRISTATION，Modbus主机和外部上位机对程序变量写入。

￿￿￿￿2、系统模件在主机架上安装了各种系统模件，它们分别对应不同的功能2.1 电源模件：两个电源模件以冗余的方式工作，支持更换电源模件上的报警灯分别表示：2.1.1 硬件结构与控制程序的逻辑组态不一致；2.1.2 模件故障；2.1.3 模件在系统中丢失；2.1.4 主处理器检测出一个系统故障；2.1.5 电源模件输入供电线路故障；2.1.6 电源处于“后备电池电压低”或“超温”警告2.2 通信模件实现REICON系统与modbus主机和从机、点对点网络通信上的其他TRICON、Honeywell和Foxboro等DCS进行通信同心模件一般安装在主机架上在上面的结构框图中，列出了两种通信模件，即增强型智能通信模件(EICM)和网络通信模件(NCM).2.2.1 增强型智能通信模件EICM：支持RS-232,RS-485串行通信，4个串行口实现TRICON系统与Modbus主机、从机通信，一个并行口连接TRISTATION（工作站）或打印机见图2-4-15EICM通信接口与PC连接安全仪表系统SIS2.2.2 网络通信模件(NCM)：通过这个模件，TRICON系统可与802.3网络上的其他TRICON设备通信。

2.3 主处理器模件三个主处理器平等运行，每个主处理器内包含两个微处理器，分别用于执行控制程序和管理I/O通信2.3.1 数据采集：主处理器完成对输入模块数据扫描存放在对应的输入数据表中；2.3.2 比较&表决：三重总线在三个主处理器之间输入传递数据并通过通讯方式实现数据比较，修正后的数据分别参与控制程序运算，运算结果送到输出模件表决；2.3.3 运行程序：按照预先组态的控制程序运行；安全仪表系统SIS2.3.4 事件顺序记录（sequence of events，SOE）：列出导致生产过程不安全状态或停车的事件序列在每次扫描期间，主处理器检查所制定的被称为事件的离散变量状态是否改变，当发生一个事件时，主处理器就将变量的当前状态和时间标签存储在缓冲区内，这个缓冲区是SOE块的一部分，SOE块是主处理器为记录某些事件所保留的内存的容量，SOE块内容使用TRISTATION 1131组态完成；2.3.5 自诊断功能：主处理器检查所有的内存和接口，故障类型通过硬件表决电路识别，永久故障支持更换2.4 输入模件：所有的TMR数字输入模件都能完全地不间断地对每个分电路进行诊断，任何一个分电路诊断出故障，模件的故障（FAUIT）灯就点亮，随即在机架上发出报警信号。

FAULT灯亮表明仅仅指出某一个分电路有故障，而不是模件失效，模件可以使故障容错，带着某种故障指示灯继续正常工作2.4.1 脉冲输入PI模件：提供8路非常灵敏的高频输入，尤其适用装在旋转设备上的磁电式速度传感器模件感受来自磁电传感器输入设备的电压跃变，并在所选的时间窗里对电压跃变进行累加（速率测量），计数结果产生一频率或RPM，传到主处理器2.4.2 模拟输入（AI）模件：0-5VDC、0-10VDC在模拟输入模件中，包括三个隔离的输入分电路，每个分电路从每点接受不同的电压信号并通过多路转换器进行数模转换将其转换成数字值，按照命令将此数值送到三个主处理器，每个主处理器为了确保每次扫描的正确数据，采用中间值进行运算，模件精度＜0.15%FSR安全仪表系统SIS2.4.3 热电偶模件：3706A型热电偶模件支持J、K、T热电偶，3708E型热电偶模件支持J、K、T、E热电偶热电偶输入模件有三个隔离的输入分电路，每个输入分电路可以接受不同的电压信号，进行线性化和冷端补偿（0～60℃），并将其转换为摄式度或华式度模件精度：3706A：J型±2.8℃；K型±3.4℃；T型±2.8℃          3708E：J型±3.1℃；K型±3.9℃；T型±2.5℃；E型±2.8℃2.4.4 数字输入模件（DI）：数字输入模件每个分电路内均采用光电隔离措施，使得TRICON控制器与现场得到隔离。

每个TMR数字输入模件都有三个隔离的输入分电路，能独立处理输入到模件的全部数据TMR数字输入模件具有热备功能，可以更换有差错的模件或连续工作的模件作后备2.4.5 模拟输出（AO）模件：模拟输出模件上的三个分电路接受主处理器模件上输出信号，每一分电路都有模数转换器进行转换，每个数据组经表决选出正确的分电路来驱动8路4-20mA模拟输出信号，模件精度：＜0.25%FSR2.4.6 数字输出（DO）模件：每个数字输出模件内有三个相同的隔离分电路，每个分电路均有IOP微处理器，它接受从相应的主处理器的IOP处理器来的输出信号内设专用的“方型输出表决器”输出电路，该输出电路对每组三个输出信号在他们送至负载之前进行表决安全仪表系统SIS二、二、TRISTATION1131编程系统的使用编程系统的使用1、系统编程人机界面组态，硬件和逻辑功能组态分别用两种软件实现，前者用WONDERWARE公司开发的INTOUCH软件（Windows平台），后者用TRICONEX公司的Tristation1131完成，Tristation 1131工作平台满足IEC1131-3标准，它在windowsNT 或windows2000操作系统环境下运行，支持三种编程语言，即功能块图、梯形图和结构文本。

LD梯形图结构形式见图2-4-16安全仪表系统SIS功能块画面见图2-4-17安全仪表系统SISTriconex公司为每套ESD系统都提供了基于Windows的系统组态软件TriStation1131（Tri 是“三”的意思，“Station”是工作站），该软件装在工程师站中，用户可以利用它进行系统硬件配置、定义输入/输出点，还可以通过调用各种功能模块进行控制程序组态用户的组态程序经过编译后再下装到TRICON控制器的主处理器中执行该软件还具有硬件运行状态监视和仿真功能，可以用来做系统硬件的故障诊断、维护以及控制程序的调试和模拟试验￿当使用TRISTATION开始为某一个生产过程建立一个安全系统时，第一步是建立一个项目(PROJECT)，一个项目对应一个安全控制系统，包括运行程序（是由程序语言元素组成的实体，实现对机械、工艺过程的控制，可使用2000个参数，包括输入/输出和本地变量，调用功能块和功能）、功能块（能产生一个或多个输出值的拥有独立实体名称的可执行单元，按照周期变化，如时间脉冲功能块）和功能（只产生一个可变结果的可执行元素，结果在赋值时立即得到，如AND逻辑）应用程序本身不能直接执行，它是比较容易读懂的程序语言，要执行程序还必须把它编译成可执行的Program Instance(程序实体)并Download(下载)到控制器中。

安全仪表系统SIS1.2 创建项目project在TRISTATION1131的平台上配置一个系统，首先要建立一个“项目”，然后对这个项目进行硬件的配置和控制软件的编制1.2.1 在file下点击“new project”，出现“新项目”对话框；1.2.2 在编写工具选项中选择“TRICON”，点击“OK”；1.2.3 在新项目命名对话框中键入名称，如SAMPLE，确认后该项目被存储到指定的文件夹中，默认的存储路径为c:\program file\triconex\TS1131\project；1.2.4 点击“SAVE”，标准库函数（standard library）、TRICONEX library和TRICON library等标准数据库导入到新建项目中；1.2.5 新项目创建成功，出现“project directory”对话框，见图2-4-18 此时用户可以开始编制控制程序和系统配置安全仪表系统SIS1.3 创建新元素1.3.1 点击“user defined”按钮，在对话框中选择“new”，出现创建一个新“可执行元素”的对话框；1.3.2 键入新元素的名称，选择描述的编程语言（功能块图、梯形图、结构文本等）和元素的类型（程序、功能块、功能）；选择应用类型（用于控制还是安全），安全模式时标准库函数中的控制功能块将被限制使用；1.3.3 点击OK，创建完成，此时出现用户所建的新元素的第一页SHEET。

1.4 在SHEET上安排参数，建立逻辑结构（举例：将一个输入参数的值赋于另外一个输出参数）1.4.1 在工具栏中选择输入参数按钮；1.4.2 将光标移至SHEET中合适的位置，点击鼠标左键，就放置了一个输入参数；1.4.3 在标准库中选择“MOVE”功能，在SHEET上合适位置电机数表左键放置；1.4.4 在工具栏中激活并选择输出参数，同样放置在合适位置；1.4.5 使用对接连接，按住鼠标左键拖动所需要连接的参数或功能块，对准要连接的参数端线后松开，参数就自动连接上了也可以用工具栏中的笔用画线的方法将两个参数或功能块参数端画上连接线安全仪表系统SIS1.5 硬件组态选定包括CPU卡件型号，I/O卡件型号和安装位置，各个I/O卡件的地址分配和变量定义等内容（使每个过程点对应到卡件的通道上并定义变量位号，以便在逻辑中软引用这个位号）1.5.1 在TRICON的下拉菜单中选择configuration，弹出TRICON configuration画面，包括program instance declarations（程序实体申报）、TRICON point connections（点的连接）、TRICON system configuration（系统组态,包括存储器分布和系统硬件定位两个方面）和TRICON SOE configuration (SOE组态)；1.5.2 在左侧窗口激活TRICON system configuration 目录下的Hardware Allocation（硬件定位），弹出的对话框中右边是机架布置图，左边是各SLOT基本模件的配置（大部分为empty，需要定义）；见图2-4-19“机架组态图”安全仪表系统SIS安全仪表系统SIS1.5.3 先定义三个CPU主处理器卡型号，默认为3006，如果实际不符的话通过双击需要修改的卡件，在上面的窗口中双击MP，弹出属性窗口，在属性窗口中点击REMOVE移去原MP，再点击INSERT插入新的CPU；1.5.4 在Chassis 1:HD_MAIN中选择机架类型（可选的机架包括有8110主机架—CPU和通信卡必须安装在主机架上；8111扩展机架—通过TriBUS电缆与主机架相连；8112远程扩展机架）并通过点击各个卡槽SLOT在机架中任意插入所需的输入卡、输出卡和通信卡。

￿1.6 应用设置点击主目录TRICON system configuration，在窗口中，设定系统的节点号（network node）和扫描周期（scan rate），设定组态口令（password required for connection）另外可选择是否在机架上用钥匙停系统，是否允许远程设备改写相应的存储器，是否允许在系统运行时强制相关的数据点如果用到TRICON系统间通信，还可设定PEER TO PEER的通信量（发送和接收）见图2-4-20“系统组态”安全仪表系统SIS系统设置中包括了内存分配（memory allocation），设定各类的点占用寄存器规模1.7 TRICON点的建立点击TRICON point connections子菜单，看到三个下拉菜单：内存点（memory points）、输入点（input points）和输出点（output points），再下一级包含了可选择的各种类型的数据点一旦I/O卡件确定后，输入输出点（未命名）就会被排在相应的目录中，用户可以将I/O点一一放置到相应的通道上程序中一些中间变量，用于通信的软点等需要连接到内存点上去，要设置相应的内存点。

1.8 程序实体申报完成上述编程工作后，需要对程序进行程序实体申报，使它成为可执行的实体双击program instance declaration目录，弹出增删instance属性框，根据提示将program申报建立成可执行的实体，完成后将可执行文件的各参数与输入点、输出点或内存点进行连接，从而使得程序的运算从现场读取数据，运算结果驱动执行机构连接可以选择自动或手动完成,如果程序中使用的位号和对应的输入/输出内存点的位号完全一样，使用自动连接就可以非常迅速地完成1.9 SOE组态SOE是TRICON系统的一个事件顺序记录，其分辨率与系统的数据更新速率（poll time）有关一般1000个左右输入输出点的系统大约20ms安全仪表系统SIS点击TRICON菜单下的edit configuration打开窗口，选择SOE point configuration，可以建立最多16个SOE Block,双击SOE Block子目录，在属性对话框中定义该block的名称以及该block允许存放的最多的SOE点数点击SOE points configuration目录，右边窗口中自动列出所有能够被SOE收集的数据点，将其进行分组，双击某参数点，在该点的属性框中选择需要该点记录的相关SOE block上打钩。

SOE的启动、停止和清除需要程序控制，可以使用相应的功能块完成，输入点采用手动输入或系统参数first scan（第一次扫描）作输入控制，可以使用SOESTP和SOESTAT两个功能块，编制SOE块的停止控制和SOE块的状态读取程序，这样下载完程序后第一次启动程序时SOE Block就被自动启动了SOE程序完成后，进行编译下载，TRICON就可以执行SOE的收集工作了1.10 项目组态的保存和编译用户完成一个功能、功能块和系统组态后必须保存并编译，方法是选择工具栏中的按钮（分为整体编译和个体编译两个）或者在TRICON的下拉菜单上选择building或rebuilding指令完成在编译过程中，TRISTATION自动检查硬件配置是否匹配，程序语言是否合法，各参数间连接有无冲突等，所有的语法错误和冲突再编译完成后在提示栏中显示，提醒用户哪些错误需要修改安全仪表系统SISTRISTATION1131可以根据修改的范围大小进行个体编译或整体编译，如果用户只是对某个程序中的逻辑做了小的改动，没有涉及到点的连接，只需要对所改动的程序做个体编译即可如果改动较大，涉及到的程序多而且硬件组态有改动，就需要做整体编译。

1.11 仿真测试TRISTATION 1131提供了一个可以离线进行模拟试验的仿真面板，可以在仿真环境下测试用户程序逻辑是否与过程控制的设计要求一致打开仿真平台，它与实际的程序监视几乎一样，具有下载和运行指令，不同的是点的数值是人为给定而不是从外界读来的1.11.1 选择“TRICON”下拉菜单中的“emulator control panel”进入仿真面板；1.11.2 在工具栏内点击蓝色的连接按钮完成连接，出现绿色的运行按钮，点击进入仿真状态；1.11.3 在左侧实体目录中选择所要测试的程序，再点击带字母“P”的按钮，可以看到逻辑图画面；1.11.4 双击需要设定的参数，在弹出的该参数属性框内键入所需的数值，检查程序运行的结果出现问题时可以返回到程序编辑状态修改参数，再编译，再仿真直到符合设计要求为止见图2-4-21“参数仿真”安全仪表系统SIS1.12 项目下载和运行监控在TRICON的下拉菜单上选择TRICON Control Panel就进入到了实际的控制面板，然后像仿真程序一样进行连接、下载和运行过程，在实际的控制面板下进入到逻辑图画面，此时的参数是从现场或从DCS读取的实际值，参数值不能任意强制输入，必须先在属性框中把该点的状态由enable改变成为disable，使它屏蔽掉从外部输入的值，然后才可以输入强制值。

2、系统诊断用两种方式解读报警和故障信息，一是检查卡件的前面板上的指示灯，二是TRISTATION诊断画面安全仪表系统SIS2.1 模件面板指示灯所有的模件都有PASS和FAULT灯，除电源外其它模件还有ACTIVE灯，另外有些模件还提供了对现场异常情况的报警指示，如通信丢失、现场电源丢失、现场线路短路、开路等2.1.1 电源模件PASSFAULTALARMBATLOWTEMP说明与处理说明与处理ONOFFOFFOFFOFF模件运行正常模件运行正常ONOFFONOFFON模件运行正常，环境温度高模件运行正常，环境温度高ONOFFONONOFF模件运行正常，建议更换电池模件运行正常，建议更换电池OFFONONEITHEREITHER模件故障或电源输入丢失，模件更换，输入丢失需要检查模件故障或电源输入丢失，模件更换，输入丢失需要检查OFFOFFEITHEREITHEREITHER指示或信号的线路发生故障，更换电池模件指示或信号的线路发生故障，更换电池模件ONOFFEITHEREITHEREITHER模件运行正常，另一个电源故障，需要更换另一个电池模件运行正常，另一个电源故障，需要更换另一个电池安全仪表系统SIS2.1.2主处理器模件PASSFAULTACTIVEMAINT1MAINT2说明与处理说明与处理ONOFFBLINKOFFOFF模件运行正常模件运行正常ONOFFOFFEITHEREITHER控制程序没有被下载到机器中，或已下载但没有启动控制程序没有被下载到机器中，或已下载但没有启动ONOFFOFFBLINKOFF更换新更换新MP后，在后，在ACTIVE后后10min内，内，PASS灯亮正常灯亮正常￿OFFONOFF同步闪烁同步闪烁三个三个MP之间不匹配，更换之间不匹配，更换OFFONOFF交替闪烁交替闪烁指示或信号的线路发生故障，更换电池模件指示或信号的线路发生故障，更换电池模件OFFONEITHERONEITHERMP模件故障，更换模件故障，更换OFFOFFEITHEREITHEREITHER指示或信号的线路发生故障，更换指示或信号的线路发生故障，更换MP模件模件ONOFFEITHEROFFONMP累计的软故障太多，更换累计的软故障太多，更换MP模件模件安全仪表系统SIS2.1.3 I/O卡件每个I/O卡件都有PASS、FAULT、ACTIVE三个灯，DO和AO有POWER和LOAD/FUSE等，DI和DO的每一个点都有状态指示灯。

带有现场检测功能的DO卡每一个点都有一个LOAD灯，具有LOOP CHECK功能，一旦检测到回路短路或开路，相应面板上该点的LOAD指示灯点亮2.2 具有诊断面板窗口（参见图2-4-22）安全仪表系统SIS列出了模件状态信息和特定的故障信息在诊断总貌画面上显示整个TRICON系统中哪个机架正常，哪个报警，正常窗口呈现绿色，报警窗口显示红色要查看报警机架的具体情况，则点击需要查看的机架号，画面出现该机架的状态显示画面，如果该机架某个槽位有故障，该槽位上会有相应的指示，此时双击该槽位会出现一个属性窗口，提供故障原因列表，包括field faults（现场故障）、power fault（电源故障）、voter fault（表决故障）2.2.1 现场故障：输出卡主要是负载或保险丝问题，问题出在接线端子板或现场接线；输入卡主要是卡件本身的内部故障；2.2.2 电源故障：由电源系统反馈过来的故障信息；2.2.3 表决故障：针对DO卡件，需要更换安全仪表系统SIS安全仪表系统SIS安全仪表系统SIS。