隨著工業(yè)企業(yè)生產(chǎn)裝置的日趨大型化，工藝過程的不斷復(fù)雜化，生產(chǎn)過程中發(fā)生危險的可能性也呈增大趨勢，一旦生產(chǎn)過程出現(xiàn)異常且控制不當(dāng)，將會給人身和財產(chǎn)安全造成嚴(yán)重后果。自動化安全儀表系統(tǒng)能對企業(yè)生產(chǎn)裝置和設(shè)備可能發(fā)生的危險或措施不當(dāng)行為致使繼續(xù)惡化的狀態(tài)進(jìn)行及時響應(yīng)和保護(hù)，使生產(chǎn)裝置和設(shè)備進(jìn)入一個預(yù)定義的安全停車工況，從而使風(fēng)險降低到可以接受的程度，保障人員、設(shè)備和生產(chǎn)裝置的安全。ISA 84.01 中將這類應(yīng)用于安全系統(tǒng)（Safety System）和關(guān)鍵控制（Critical Control）領(lǐng)域的產(chǎn)品稱為安全儀表系統(tǒng)（SIS）。SIS 為企業(yè)正常運轉(zhuǎn)提供一個安全防護(hù)層，它是一種安全儀表聯(lián)鎖系統(tǒng)，IEC61508 中稱為功能相關(guān)的電氣/電子/可編程電子系統(tǒng)，范圍更為寬泛，涵蓋 Emergency ShutdownSystems (ESD)、Burner Management Systems (BMS)、Fire and Gas Systems (F&G)等領(lǐng)域。對 SIS 的要求：一是 SIS 系統(tǒng)的安全完整性等級能夠滿足工藝裝置的要求；二是 SIS 系統(tǒng)具有很高的安全性，在緊急情況下或者系統(tǒng)重大故障狀態(tài)下，能及時發(fā)出聯(lián)鎖保護(hù)信號；三是 SIS 系統(tǒng)具有很高的穩(wěn)定性，在系統(tǒng)正常運行過程中，不會出現(xiàn)誤聯(lián)鎖的情況。

SIS 的主要應(yīng)用原則：

? 獨立設(shè)置原則：安全儀表系統(tǒng)獨立于過程控制系統(tǒng)，獨立完成安全保護(hù)功能

? 安全性：當(dāng)過程達(dá)到預(yù)定條件時，安全儀表系統(tǒng)動作，使被控制過程轉(zhuǎn)入安全狀態(tài)

? 可用性：兼顧可靠性的同時，保證可用性

TCS-900 系統(tǒng)

TCS-900 系統(tǒng)是中控面向流程工業(yè)領(lǐng)域，自主研發(fā)的安全儀表系統(tǒng)，其應(yīng)用范圍涵蓋 ESD、BMS、F&G 等領(lǐng)域。

TCS-900 系統(tǒng)結(jié)合了功能安全和信息安全的兩大理念，是一款具備高可用性、高安全性的大型安全儀表系統(tǒng)。其基于 IEC61508 設(shè)計，滿足 SIL3 應(yīng)用要求。

TCS-900 設(shè)計有內(nèi)置診斷，在在線維護(hù)期間可不用專門工具的情況下拆除模塊或插入新模塊以擴展系統(tǒng)。

組態(tài)軟件 SafeContrix 符合 IEC61131-3 標(biāo)準(zhǔn)，支持 FBD、LD 編制用戶程序，支持 FBD、LD、ST 編制自定義功能塊，支持 ST 編制自定義函數(shù)。程序訪問符合安全要求，修改程序并下載前可通過仿真軟件來驗證新的應(yīng)用，限度地保證系統(tǒng)正常運行。系統(tǒng)還支持在線修改組態(tài)，可在不強迫中斷系統(tǒng)運行的前提下調(diào)整輸入閾值。

2 TCS-900 系統(tǒng)概要 IM25U09-C

1.1 系統(tǒng)工作原理

TCS-900 系統(tǒng)主要由控制站和工程師站組成。

TCS-900 控制站的每個控制器和 I/O 模塊都有三個獨立的通道回路，輸入模塊內(nèi)的三個通道同時采集同一個現(xiàn)場信號并分別進(jìn)行數(shù)據(jù)處理，經(jīng)表決后發(fā)送到三條 I/O 總線，控制器從三條 I/O 總線接收數(shù)據(jù)并進(jìn)行表決，并將表決后的數(shù)據(jù)送三個獨立的處理器，各處理器完成數(shù)據(jù)運算后，控制器對三通道中的運算結(jié)果進(jìn)行表決，并將表決結(jié)果送 I/O 總線，輸出模塊從 I/O 總線接收數(shù)據(jù)并進(jìn)行表決，表決結(jié)果送三個通道進(jìn)行數(shù)據(jù)輸出處理，處理結(jié)果表決后輸出驅(qū)動信號。

圖 1-2 控制站工程原理示意圖

控制站 I/O 模塊和控制器模塊支持冗余設(shè)置，兩個冗余模塊同時工作，無主備之分。冗余模式下，如果檢測到某個模塊出現(xiàn)故障，則可在線更換。

系統(tǒng)表決算法：

l 3 個通道正常時，執(zhí)行 2oo3D 表決算法；

l 2 個通道正常時，隔離故障的通道，執(zhí)行 1oo2D 算法；

l 1 個通道正常時，系統(tǒng)輸出故障安全值。輸入模塊的冗余和表決機制：

l 輸入模塊冗余模式下，現(xiàn)場信號同時進(jìn)入兩個冗余輸入模塊，兩個冗余輸入模塊同時工作，無主備之分；

l 每個輸入模塊由三路采樣和處理通道構(gòu)成，通道間相互獨立工作（無需同步）；

l 輸入模塊的實時輸入數(shù)據(jù)經(jīng)過 3 個通道的表決之后，被送到控制器中；控制器模塊的冗余和表決機制：

l 冗余配置時，各控制器獨立工作，無主備之分；

l 每個控制器首先對來自每一對冗余輸入模塊的兩份實時輸入數(shù)據(jù)進(jìn)行冗余選擇，選擇故障等級較低模塊的數(shù)據(jù)；

l 完成冗余選擇后，控制器模塊對 3 個通道間的輸入數(shù)據(jù)進(jìn)行表決?？刂破魇褂帽頉Q后的輸入數(shù)據(jù)進(jìn)行用戶程序運算；

l 控制器將運算得到的實時輸出數(shù)據(jù)再次進(jìn)行三通道間的表決，將表決后的輸出數(shù)據(jù)發(fā)送到輸出模塊中。輸出模塊的冗余和表決機制：

l 輸出模塊首先對來自冗余控制器的兩份輸出數(shù)據(jù)進(jìn)行冗余選擇，選擇故障等級較低的控制器模塊的數(shù)據(jù)；

l 完成冗余選擇后，3 個通道的數(shù)據(jù)進(jìn)行表決，表決后的數(shù)據(jù)驅(qū)動輸出電路輸出信號；

l 輸出信號采用硬件 2oo3D 表決后，輸出驅(qū)動信號；兩塊冗余的輸出模塊同時驅(qū)動負(fù)載。

1.2 系統(tǒng)功能

TCS-900 系統(tǒng)具備以下功能：

l 安全控制功能：采集輸入信號，經(jīng)過安全控制邏輯運算后，輸出驅(qū)動信號；

l 安全站間通信功能：安全控制站之間交互安全數(shù)據(jù)；

l 系統(tǒng)診斷功能：內(nèi)部診斷系統(tǒng)可識別系統(tǒng)運行期間產(chǎn)生的故障并發(fā)出適當(dāng)?shù)膱缶蜖顟B(tài)指示；

l SOE記錄功能：采集并記錄發(fā)生的順序事件記錄；

l 系統(tǒng)事件記錄功能：對系統(tǒng)發(fā)生過的事件進(jìn)行記錄；

l 狀態(tài)指示功能：對系統(tǒng)的當(dāng)前狀態(tài)進(jìn)行指示；

l 網(wǎng)絡(luò)通信功能：與安全控制站以外的設(shè)備進(jìn)行通信，包括與DCS控制站的常規(guī)站間通信，與工程師站或與操作站之間的數(shù)據(jù)交互，與MODBUS設(shè)備之間的數(shù)據(jù)交互；

l 時間同步功能：校對控制站的系統(tǒng)時間；

l 組態(tài)和調(diào)試功能：包括對控制站的組態(tài)進(jìn)行編輯、編譯和下載，以及在聯(lián)機狀態(tài)下的數(shù)據(jù)調(diào)試功能。

l 現(xiàn)場信號回路檢測功能：檢測現(xiàn)場信號回路故障，例如開/短路、變送器故障等。

1.3 系統(tǒng)特性

l 模塊采用三重化結(jié)構(gòu)設(shè)計，三個相同的通道獨立工作，模塊的輸入和輸出采用表決機制；

l 能忍受嚴(yán)酷的工業(yè)環(huán)境；

l 所有模塊支持在線熱更換，組態(tài)軟件支持在線下載，可實現(xiàn)不停車維護(hù)；

l 安全模塊支持雙模塊冗余配置，冗余配置時按照 3-3-2-0 降級，非冗余配置時按 3-2-0 降級； 

l 每個模塊內(nèi)置實時環(huán)境溫度監(jiān)測，支持超溫報警；

l 系統(tǒng)采用多級表決機制，增加故障隔離區(qū)，避免性能降級；

l 機架采用單模光纖擴展，最長擴展距離可達(dá)10km；

l 系統(tǒng)內(nèi)建信息安全機制，易于構(gòu)建縱深系統(tǒng)安全防御機制；

l 全系列硬件支持G3防腐要求，符合ISA-S71.04標(biāo)準(zhǔn)；

l 獲得獨立第三方安全認(rèn)證機構(gòu)TüV Rheinland的IEC61508 SIL3認(rèn)證。

l TCS-900系統(tǒng)支持與ECS-700系統(tǒng)一體化設(shè)計，共享網(wǎng)絡(luò)和HMI

1.4 系統(tǒng)結(jié)構(gòu)

1）TCS-900 系統(tǒng)構(gòu)成

TCS-900 系統(tǒng)由工程師站和安全控制站構(gòu)成，控制站由控制器模塊、安全輸入模塊及其端子板、安全輸出模塊及其端子板、網(wǎng)絡(luò)通信模塊組成。

4 TCS-900 系統(tǒng)概要 IM25U09-C

圖 1-3 TCS-900 系統(tǒng)邏輯結(jié)構(gòu)圖

2）系統(tǒng)應(yīng)用網(wǎng)絡(luò)結(jié)構(gòu)： 

TCS-900 系統(tǒng)的工程師站和控制站間通過網(wǎng)絡(luò)通信模塊和以太網(wǎng)SCNet IV實現(xiàn)連接，系統(tǒng)的控制器模塊、網(wǎng)絡(luò)通信模塊和I/O模塊都安裝在機架中，TCS-900 系統(tǒng)的機架分為主機架和擴展/遠(yuǎn)程機架，主機架與擴展機架通過擴展通信模塊和光纖電纜實現(xiàn)連接。系統(tǒng)應(yīng)用網(wǎng)絡(luò)如 圖 1-4 所示。

OPC 服務(wù)器從控制站收集數(shù)據(jù)并將其顯示在 HMI 中，通過 SCnet IV 網(wǎng)絡(luò)的常規(guī)站間通信也可將來自 DCS 的實時數(shù)據(jù)傳送到 SIS 的控制站或者將 SIS 控制站的實時數(shù)據(jù)傳輸?shù)?/span> DCS。

安全控制站之間通過專用安全網(wǎng)絡(luò) SafeEthernet 實現(xiàn)數(shù)據(jù)通信。

Modbus 主站設(shè)備通過 Modbus TCP 或 Modbus RTU 網(wǎng)絡(luò)實現(xiàn)與 TCS-900 系統(tǒng)的通信。其中Modbus TCP 與 SCnet IV 共用一個網(wǎng)絡(luò)。

現(xiàn)場 I/O 信號接入與 I/O 模塊配套的 I/O 端子板，再通過 DB 線接入到 I/O 模塊的三組通道中。

5 TCS-900 系統(tǒng)概要 IM25U09-C

6 

圖 1-4 TCS-900 系統(tǒng)應(yīng)用網(wǎng)絡(luò)結(jié)構(gòu)圖