引言

    煉油化工裝置具有高溫、高壓、易燃、易爆、工藝復(fù)雜而連續(xù)性強、安全要求高等特點，為了最大限度地降低裝置惡性事故發(fā)生的概率，減少計劃外停車，避免重大人身傷害、重大設(shè)備損壞及重大經(jīng)濟損失的事故發(fā)生，設(shè)計一套安全可靠、動作及時的安全保護系統(tǒng)是非常重要的。

    安全儀表系統(tǒng)SIS（Safety Instrumented System）是一種獨立于生產(chǎn)過程控制系統(tǒng)的用于大型裝置的安全聯(lián)鎖保護系統(tǒng)。在正常情況下，通過安全保護系統(tǒng)實時在線監(jiān)測裝置的安全，當(dāng)裝置出現(xiàn)緊急情況時直接發(fā)出保護聯(lián)鎖信號對工藝流程實行聯(lián)鎖保護或緊急停車，以避免危險擴散造成巨大損失。

    廣州石化乙烯裝置原來的聯(lián)鎖保護系統(tǒng)是用Honeywell公司的LM系統(tǒng)實現(xiàn)的。該套系統(tǒng)自1996年乙烯裝置開工時運行至今，存在版本老化、技術(shù)支持力量不足、主輔控制器不能自動切換、機械故障率高、故障排除困難、維護難度大、沒有事件序列SOE（Sequence of Event）功能、沒有人機界面等缺點，已遠不能滿足安全生產(chǎn)的需要。經(jīng)過多方論證，廣州石化乙烯裝置采用美國TRICONEX公司開發(fā)的TRICON系統(tǒng)對聯(lián)鎖系統(tǒng)進行了更新改造。經(jīng)過4個多月的奮戰(zhàn)，完成了聯(lián)鎖系統(tǒng)的設(shè)計、組態(tài)、安裝、調(diào)試，并于2007年2月17日投入使用，為乙烯裝置一次開車成功發(fā)揮了重要作用。到目前為止，該系統(tǒng)運行非常可靠，確保了裝置安全運行。

    1、TRICON系統(tǒng)簡介

    TRICON系統(tǒng)是基于三重模塊冗余TMR（three moduleredund）結(jié)構(gòu)的容錯控制器。它將三路（每路稱為一個分電路）相互隔離、并行的和具有廣泛的自診斷功能的控制系統(tǒng)集成為一個系統(tǒng)，用三取二表決電路來提供高度完善、無差錯、不間斷的過程操作，不會因為單點的故障而導(dǎo)致系統(tǒng)失效。該系統(tǒng)的硬件、軟件均通過德國技術(shù)監(jiān)督局TaV AK6 級認證。

    TRICON控制器有3個主處理器。傳感器信號至輸入模塊被分成隔離的3路，通過3個獨立的通道分別被送到3個主處理器中。處理器之間的總線按多數(shù)原則對數(shù)據(jù)進行表決，并糾正任何輸入數(shù)據(jù)的偏差。主處理器的輸出沿著3個通道送到輸出模塊，并在輸出模塊中再次進行表決/選擇，如圖1所示。在表決電路中包含有總的“反饋”電路，用于對輸出狀態(tài)做最好的校驗，診斷潛在的故障。

    TRICON系統(tǒng)對每個獨立的分電路、每個模塊組件和每個功能電路都進行廣泛的自診斷，對操作錯誤進行檢測和報告。所有診斷信息均儲存在系統(tǒng)變量里，或由LED和報警觸點指示，或直接進行維護。且所有的故障元件都可以進行在線更換。

    TRICON系統(tǒng)設(shè)計中，將人機界面組態(tài)和硬件、邏輯實現(xiàn)等組態(tài)分別由兩種軟件來實現(xiàn)。硬件組態(tài)、邏輯實現(xiàn)、SOE功能實現(xiàn)等由TRICONEX公司的軟件來實現(xiàn)，包括Tristation 

    1131、SOE和DDE等3 種軟件。人機界面組態(tài)用WONDERWARE公司開發(fā)的INTOUCH來實現(xiàn)。兩種軟件都具有功能強大、使用簡捷方便的特點。

    2 乙烯裝置SIS系統(tǒng)設(shè)計

    2 .1 系統(tǒng)配置

    乙烯裝置聯(lián)鎖控制系統(tǒng)原來使用的是三套HONEYWELL的LM系統(tǒng)，改造設(shè)計為使用三套TRICONEX公司的Tricon V10 TMR系統(tǒng)。三套系統(tǒng)分別為：裂解急冷（A1區(qū)）緊急停車聯(lián)鎖保護系統(tǒng)、壓縮分離（A2區(qū)）緊急停車聯(lián)鎖保護系統(tǒng)、汽油加氫丁二烯（A3區(qū)）緊急停車聯(lián)鎖保護系統(tǒng)。系統(tǒng)配置如圖2所示（以A1區(qū)為例），硬件設(shè)備分別包括一個由1個主機架和7個擴展機架組成的控制站、一個操作站OPS，一個工程師站EWS、三個輔助操作臺（利舊）和兩個硬旁路輔助操作柜等單元。

    控制站是該系統(tǒng)的核心單元，通過Tristation 

    1131所做的各項組態(tài)工作都下載到該控制站運行。該控制站實現(xiàn)主處理器（MP）的三重化冗余。主處理器通過三重化冗余的通信電纜和I / O卡件通信，I/O卡件電源是雙重化冗余的。控制站通過系統(tǒng)自己的通訊卡（TCM卡）連接到兩個互為冗余的交換機（HUB）上，通過HUB與操作站、工程師站進行數(shù)據(jù)交換。工程師站完成所有軟件組態(tài)及其下載，操作站是完整的人機界面，輔助操作臺上安裝各個聯(lián)鎖部分的報警指示燈和停車、復(fù)位按鈕。兩個硬旁路輔助操作柜上安裝硬旁路開關(guān)。

    TRICON控制器采用TCM通訊模件與操作站、SOE站、工程師站及其它系統(tǒng)進行通訊。TCM通訊模件提供冗余的10M/100M 
TCP/IP網(wǎng)絡(luò)接口，用于與操作員站、工程師站、SOE站等上位機的通訊；另外，每塊TCM通訊提供4個RS232/RS485通訊接口，用于與色譜分析系統(tǒng)（僅A3區(qū)）和TDC-3000系統(tǒng)的通訊。

    2 .2 SIS系統(tǒng)硬件組態(tài)

    SIS系統(tǒng)內(nèi)部組態(tài)用TRICON開發(fā)的軟件Tristation1131完成。硬件組態(tài)是控制系統(tǒng)最基礎(chǔ)的部分，它確定了CPU卡件的型號、I/O卡件的分布和選型、I/O地址的分配、變量地址定義等等。

    1）卡件組態(tài)：完成該項目使用到的所有卡件的型號選擇和位置分配。1#主機架配有兩塊電源卡（型號8312），三塊MP卡（型號3008），五塊64點DI卡（型號3564），兩塊TCM卡（型號4351A）；2#、3#、4#擴展機架配有兩塊電源卡（型號8312），四塊32點DI卡（型號3503E），三塊DO卡（型號3604E）；5#擴展機架配有兩塊8312電源卡，兩塊32點3503EDI卡，五塊3604EDO卡；6#、7#擴展機架配有兩塊電源卡（型號8312），七塊DO卡（型號3604E）；8#擴展機架配有兩塊8312電源卡，三塊32點3503EDI卡，三塊3604E DO卡。

    2） I / O 點組態(tài)：本項目采用的I /O卡件有32點的，還有64點的（主要用于聯(lián)鎖硬旁路的輸入）。對SIS系統(tǒng)中需要的所有I/O點進行地址分配，使每個過程點必須對應(yīng)到具體哪個卡籠的哪塊卡的哪個通道。給每個過程點定義硬地址后，系統(tǒng)自動給每個過程點產(chǎn)生一個軟地址。這個軟地址在項目下載時送到控制站，INTOUCH通過DDE通訊協(xié)議與控制站通訊，可以直接使用該地址。給每個I/O點定義一個唯一的位號（TAG NAME），在邏輯程序中引用這些位號作為全局變量使用。

    2 .3 邏輯編程設(shè)計及SOE 的實現(xiàn)

    TRICON系統(tǒng)提供功能方框圖（FBD）、梯形圖（LD）以及結(jié)構(gòu)文本語言（ST）等3種編程語言。本裝置3套聯(lián)鎖系統(tǒng)均采用功能塊語言（FBD）編寫。這種語言用線連接功能塊形成回路，功能塊之間通過連接線傳遞二進制和其他類型的數(shù)據(jù),這種圖形化的編程語言的特點是直接明了,通俗易懂。邏輯編程是SIS系統(tǒng)的關(guān)鍵部分，關(guān)系到系統(tǒng)的邏輯程序是否能完全滿足工藝的控制要求，全部邏輯程序在投用前都需經(jīng)過反復(fù)的調(diào)試確認。

    目前應(yīng)用的SIS系統(tǒng)都具備SOE功能，并且需要在邏輯中編寫程序來啟動SOE。當(dāng)然僅僅啟動SOE程序還不能實現(xiàn)SOE功能，還要在系統(tǒng)中定義SIS系統(tǒng)中的變量哪些需要進入SOE。TRICON系統(tǒng)的SOE定義在Tristation 

    1131中進行。需要指出的是，在TRICON系統(tǒng)中輸出變量（如cXV1108A）不能直接被SOE定義，所以系統(tǒng)涉及的輸出點在SOE中記錄都是采用記錄中間變量（如mXV1108A_SOE）的方式進行的。

    2 .4 主體程序設(shè)計

    主體程序的設(shè)計是實現(xiàn)邏輯控制的核心部分。主體程序分多個部分。每一部分都是乙烯裝置相對獨立或功能相對獨立的部分，根據(jù)生產(chǎn)工藝和生產(chǎn)設(shè)備的特別要求來進行設(shè)計。

    由于篇幅原因，在此只舉裂解爐A爐SD1緊急停車的程序控制為例進行說明，其余類似。

    根據(jù)工藝和設(shè)備的要求，裂解爐SD1緊急停車的程序控制條件：①汽包液位低低報（LSLL1111A）；

    ②石腦油進料流量低低報（FSLL1121A、FSLL1123A）；

    ③裂解爐拱頂溫度高高報（TSHH1171A）；

    ④裂解爐溫度高高報（TSHH1101A）；

    ⑤SD1手動停車按鈕(HS1101A)；

    ⑥裂解爐SD2緊急停車動作(SD2 ACTIVE)； 

    上述條件任何一個存在，裂解爐A爐的SD1緊急停車動作，以保護裂解爐的安全；上述條件都不存在，XV1100A、XV1102A、XV1108A截止閥打開，則裂解爐B1110A具備投爐條件。另外，為了便于日常維護，每個聯(lián)鎖條件都增加了一個旁路開關(guān)，兩者為或的關(guān)系。根據(jù)上述條件，設(shè)計邏輯程序如圖4所示。

    2.5 人機界面設(shè)計

    人機界面組態(tài)設(shè)計采用目前非常流行的Intouch軟件。Intouch 

    軟件是Wonderware公司基于Windows環(huán)境下工作的工程設(shè)計軟件。該軟件編制容易、靈活、功能強。Intouch包括兩個環(huán)境：WindowsMaker和Windowsviewer。WindowsMaker是編程環(huán)境，Windowsviewer是運行應(yīng)用程序環(huán)境，即操作員界面。

    在本系統(tǒng)中，HMI畫面采用WindowMaker開發(fā)，用WindowViewer顯示和監(jiān)控，包括報警總貌畫面、聯(lián)鎖總貌畫面、邏輯圖畫面、軟旁路畫面以及用戶管理窗口等。通過報警總貌畫面，可以了解裝置的聯(lián)鎖報警情況；通過聯(lián)鎖總貌畫面，可以看到整個工段的聯(lián)鎖邏輯號；通過邏輯圖畫面，可以了解整個工段的聯(lián)鎖運行情況；通過軟旁路畫面，可以進行聯(lián)鎖軟旁路選擇操作。通過用戶管理窗口，可以進行配置用戶、更改密碼、用戶登錄、退出系統(tǒng)和退出登錄等操作。如圖6是裂解爐A爐SD1緊急停車系統(tǒng)主體部分的人機界面設(shè)計畫面。

    3 系統(tǒng)調(diào)試

    系統(tǒng)調(diào)試是SIS系統(tǒng)組態(tài)最后的關(guān)鍵階段。在調(diào)試過程中檢驗邏輯程序、SOE、報警提示、操作方便性等，是對系統(tǒng)的綜合測試。測試總體分兩個階段：先離線模擬測試，再在線測試。

    離線模擬測試是邏輯程序運行在Tristation1131模擬情況下通過給強制信號的方式來檢驗邏輯是否正確、人機界面動態(tài)連接是否正確、SOE功能及報警功能是否完善等。

    在線測試除了要完成離線測試的各項工作外，重點是檢查邏輯程序的輸入和輸出能否滿足現(xiàn)場各種設(shè)備的需要。尤其是到電氣去的無源觸點是常開還是常閉觸點信號，電氣來的信號是常開還是常閉觸點信號，各個現(xiàn)場不盡相同。該項目中現(xiàn)場進來的信號以及輸出到現(xiàn)場的信號全部采用故障安全型進行接線。

    4 實際應(yīng)用與效果

    乙烯裝置三套TRICON系統(tǒng)在2007年2月正式投入運行至今，未發(fā)生過因系統(tǒng)故障引起的裝置停車，系統(tǒng)完全滿足控制要求，全面克服了舊系統(tǒng)中存在的各種缺點。但在一年多的使用中，我們也發(fā)現(xiàn)了該系統(tǒng)本身及設(shè)計中尚存在的一些問題。

    ①、由于乙烯裝置的三套TRICON系統(tǒng)共用一個工程師站，而工程師站的通訊電纜的接口只有兩個，分別要接A1、A2、A3三套SIS系統(tǒng)，所以每次在工程師站進行操作時，首先要根據(jù)進行操作的點所在的區(qū)（或系統(tǒng)），選定網(wǎng)絡(luò)連接電纜（主要是切換A1區(qū)和A3區(qū)的電纜，IP地址同為192.168.1.1；A2區(qū)一直保持為插入狀態(tài)，IP地址為192.168.2.1）。

    ②、系統(tǒng)運行至今有幾次A2、A3區(qū)SIS操作站通訊故障，故障狀態(tài)下上位的數(shù)據(jù)能夠?qū)懴氯ィ挛坏臄?shù)據(jù)卻讀不上來。A3區(qū)的SIS操作站經(jīng)過系統(tǒng)重裝后解決了該問題，但A2區(qū)的SIS操作站系統(tǒng)重裝多次都無法解決。至今不能確定通訊故障的原因是因為軟件故障還是硬件故障。

    ③、由于SIS系統(tǒng)是緊急時候使用，在平時操作人員不可能一直在ESD操作站前監(jiān)視各操作界面，所以操作界面的設(shè)計要做到方便、快捷、直接。當(dāng)裝置發(fā)生聯(lián)鎖時，讓操作人員能在最短的時間里判斷出是哪里出了問題、出現(xiàn)問題的原因是什么、應(yīng)該如何處理等。在現(xiàn)有的報警總貌提示功能的基礎(chǔ)上，應(yīng)考慮增加當(dāng)有報警或聯(lián)鎖發(fā)生時自動跳出相關(guān)畫面的設(shè)計，由于當(dāng)SIS系統(tǒng)出現(xiàn)報警時，操作人員不可能去翻各個畫面檢查到底是哪里來了報警，當(dāng)然到報警畫面里查看報警記錄也可以查出，而且由于設(shè)計中有DCS與SIS通訊功能，當(dāng)報警或聯(lián)鎖發(fā)生時，在DCS系統(tǒng)中相應(yīng)的單元報警畫面中也有顯示，但畢竟不是很方便，所以如果在INTOUCH中通過在程序腳本中編寫一段程序來實現(xiàn)這樣一個功能,當(dāng)系統(tǒng)過程點報警或者聯(lián)鎖時自動跳出相關(guān)畫面，讓操作人員在最短時間內(nèi)判斷出裝置的哪里出現(xiàn)了報警。

    總的來說，乙烯裝置這三套TRICON系統(tǒng)雖然尚有有待進一步完善的地方，但從系統(tǒng)的可靠性、安全性、可維護性以及操作的方便快捷等方面都基本上令人滿意。目前加乙烯裝置是廣州石化的重要效益點，也是高溫高壓、易燃易爆裝置之一，通過此次投用SIS系統(tǒng)，在確保裝置安全生產(chǎn)方面發(fā)揮了至關(guān)重要的作用。

    5 結(jié)束語

    在石油化工企業(yè)的大量應(yīng)用表明，SIS系統(tǒng)的投用使裝置安全生產(chǎn)的可靠性和安全性得到極大的提高，同時在避免工業(yè)災(zāi)難、減少工業(yè)事故損失方面起到了積極和重要的作用，為工業(yè)過程中要求最大安全與連續(xù)生產(chǎn)的關(guān)鍵控制提供了一種最佳選擇。我們應(yīng)在SIS系統(tǒng)的應(yīng)用方面繼續(xù)深入地探索并在實踐中不斷地總結(jié)經(jīng)驗，以提高SIS系統(tǒng)的應(yīng)用水平。

    參考文獻

    1 TRICONEX公司，TRICON設(shè)計與安裝手冊；

    2 Wonderware，Wonderware InTouch 9.5使用手冊；