石化炼油厂催化ESD系统更新项目安全仪表系统技术协议.pdf

技技 术术 协协 议议 中石化股份有限公司北京燕山分公司生产运行保障中心中石化股份有限公司北京燕山分公司生产运行保障中心 一部二催化一部二催化 esd 系统更新项目安全仪表系统系统更新项目安全仪表系统 北京燕山分公司北京燕山分公司 生产运行保障中心生产运行保障中心 北京天时盈达自动化设备北京天时盈达自动化设备 有限公司有限公司 _ _ 2009 年年 03 月月 05 日日 第 1 页 目目 录录 第一章 供货原则声明 3 第二章 公司介绍 4 2.1 制造商介绍 4 2.2 集成商介绍 4 2.3 公司产品及领域 5 第三章 控制系统概述 6 3.1 系统介绍 6 3.2 trusted 概述 6 3.3 系统软件 10 3.4 主要技术性能.11 第四章 控制系统实现方案 15 4.1 系统配置总图 15 4.2 系统功能说明 16 4.3 工作站及打印机 16 4.4 通讯接口 16 4.5 辅助操作台 16 4.6 通讯网络及设备 16 4.7 机柜 17 4.8 电缆及连接配件 17 4.9 供电要求 17 4.10 机柜接地 17 4.11 布线要求 18 4.12 接地要求 18 4.13 系统输入输出 i/o 汇总. 19 4.5 系统硬件配置清单 20 4.14 系统机柜布置图 23 第五章 系统参数计算表 25 第六章 系统资料 27 6.1 工程设计文件资料 27 6.2 应用手册文件 27 6.3 中间文件资料 27 6.4 组态培训资料 27 6.5 文件资料的文字 27 第七章 技术培训、组态及服务 28 7.1 项目管理 28 7.2 项目进度安排 28 7.3 项目开工会 28 7.4 现场技术服务 28 7.5 培训 29 7.6 工程组态 29 7.7 出厂测试和验收（fat）. 29 7.8 现场验收（sat）. 30 7.9 运输 30 7.10 工作界面 30 第八章 售后服务及保证 31 8.1 质量保证 31 8.2 备件支持 31 8.3 开工技术服务 31 8.4 软件版本更新 31 8.5 售后服务与技术支持 31 8.6 保修期 31 第 2 页 第九章 资质认证及标准 32 9.1 国际标准 32 9.2 iso 9001 认证证书 33 9.3 tuv ak 6 级认证证书 36 9.4 tuv sil 3 级认证证书. 37 第十章 国内业绩 42 第 3 页 第一章第一章 供货原则声明供货原则声明 我们 北京天时盈达自动化设备有限公司在此特别声明并保证，本公司的技术协议完全符合买方 提出的下列原则： 1 服从原则服从原则 买方所提供的技术规格书及修改通知中规定的所有要求， 投标方都将100的满足。 所有不能满 足技术规格书或修改通知中规定的要求之处，均需在投标书中特别说明，并提出相应的替代方案，以 便买方确认。 2 完整性原则完整性原则 将为买方提供一套完整的、可优质连续运行的、满足买方技术规格书中所有要求的系统。对技 术规格书中未提及的但又是必须的系统配置和有关附件，供货厂商有责任向询价方提出建议，并提供 完善的sis系统配置，以便买方确认。 3 冗余原则冗余原则 整个系统应具有完备的冗余容错技术，各级网络通讯设备、部件和总线、控制站处理器等功能 卡、所有电源设备和部件、对要求冗余配置的i/o卡都应三重冗余。 4 负荷原则负荷原则 控制站cpu的负荷不应高于50%；当控制站满负荷时，系统的电源、软件的负荷不应高于50%； 各级通讯负荷不应高于50%；其他各种负载应具有至少40%以上的工作裕量。i/o卡件插槽要求预留 20%的余量。 第 4 页 第二章第二章 公司介绍公司介绍 2.1 制造商介绍制造商介绍 ics triplex是一家从事对关键生产过程和危险生产领域提供控制服务的跨国公司。ics triplex公司 自1966年成立以来，一直致力于关键控制（critical control）系统，包括紧急停车/安全联锁系统 （esd/sis） 、机组控制系统（tmc/itcc） 、火灾气体检测系统（f&g） 、锅炉管理系统（bms） 、高压 保护系统（hipps）等的开发、设计、应用和服务。迄今为止，全世界已经有超过4000套ics triplex的 系统在运行，所控制现场i/o点超过100万个，广泛应用于航空航天、石油和天然气加工、精细化工、海 上石油开采、大型电站、大型锅炉管理和机组控制等领域。 ics triplex公司的总部在英国，公司在世界各地均设有办事机构和下属公司，有400多名雇员为用 户提供全面的服务。亚太区的分公司位于新加坡。ics triplex公司在上世纪九十年代与中国石化在深圳 建立过合资企业，2001年开始转而在北京设立中国代表处。在国内运行的关键控制系统近100套。国内 的几家授权系统集成商分别对石油石化市场、化工市场、各主机厂等相应的最终和中间用户提供技术服 务和支持。 ics triplex公司既是一个硬件系统制造商，又是一个软件供应商。旗下公司还提供isagraf和 hibeam等软件。 isagraf实际上已经成为iec 61131-3工业控制软件标准的代名词。最初在 1990年发布的时候， 其目的是在基于微处理器的控制器和plc之间搭建起通讯结构。而发展至今，isagraf作为开放式自控 的领先软件，已逐渐渗透到传统自动化控制、嵌入式控制和逻辑软件等领域的应用，为全球plc制造商 提供了30万套一次软件供其进行编程环境的二次开发，其中甚至包括ics triplex公司系统的竞争对手 xriconex。 hibeam既是一个嵌入式的事件驱动的数据服务器，也是一个嵌入式的基于java的网络服务器，甚 至可以是一个专用的网页编辑器。它可以把信息流通过数据和/或图形方式显示出来。通过互联网或局域 网， 强大的 hibeam组件可以对实时的工艺进行可视化、 诊断和图形化调试。 通过图形化接口， hibeam 可以用图形来显示实时数据，同时/或者可以对实时设备进行操作。其应用领域覆盖了从远程监控到就地 单人机界面监控。 ics triplex公司还是一个承包商，其下属的silvertech公司为陆上用户和海上石油平台以及采油船 提供整体的控制方案，而不囿于ics triplex公司的传统领域。1984年ics triplex公司通过了iso9001质 量体系的认证。 2.2 集成商介绍集成商介绍 北京天时盈达自动化设备有限公司是 ics triplex 授权的在中国地区的合作供应商和服务商，负责 ics triplex 全线产品的销售及系统集成，同时针对目前中国市场中使用的系统提供维护、升级服务。公 司拥有一批硕士、学士等管理人才和具有丰富的现场经验的工程技术人员，可为国内外用户提供安全控 制系统的咨询、设计、安装、调试、培训及维护等专业技术服务。而且还具备承接国际合作项目的能力， 并在已完成的国际项目中与 ics triplex 保持了良好的合作关系，得到了业主的高度评价。 作为中国石油化工总公司认可的一级网络供应商，北京天时盈达自动化设备有限公司将为本项目提 供完整可靠的解决方案。 第 5 页 2.3 公司产品及领域公司产品及领域 2.2.1 主要技术产品：主要技术产品： 1） 安全控制安全控制 trustedtm安全仪表系统 2） 透平机械控制透平机械控制 t6050 surgegard t6100 单控制器 t6200 冗余控制器 t6250 冗余控制器 t6300 trustedtm容错控制器 3） 软件软件 isagraf控制软件 hibeam资产管理软件 2.2.2 有效和可靠的解决方案：有效和可靠的解决方案： ? 成立于1966年超过40年的经验 ? 在透平控制领域有超过30年的经验 ? 数千套成功安装的系统 ? 石油和气体（oil & gas）行业的丰富经验 ? 营业额10,000万美元（2005年） ? 通过各办事处为世界各地提供长期的支持与服务 ? 公司内部持续的研究与开发 ? tuv、bv、iso 9001/2和nfpa认证 2.2.3 主要服务的领域主要服务的领域 ? 石化、化工压缩机/透平控制 ? 海上/陆地平台压缩机/透平控制 ? 管线压缩机/透平控制 ? 海上/陆地平台紧急关闭以及火气探测保护 ? 钻井船/浮式采油、存储和卸载（fpso）的安全和控制 ? 炼油厂的安全和关键控制系统 ? 石化、化工安全系统 ? 液化天然气和气体操作安全和关键控制系统 第 6 页 第三章第三章 控制系统概述控制系统概述 3.1 系统介绍系统介绍 北京天时盈达自动化设备有限公司为北京燕山分公司生产运行保障中心一部二催化 esd 系统更新 项目提供完整的 tmr 紧急停车系统。系统实现了人身保护、环境保护、工厂和设备保护的功能并且独 立于 dcs 系统和其它子系统单独设置。 本系统包括 trusted 三重化容错型紧急停车系统（esd），其中还包括工程师站、操作员站、辅助 操作台等。系统实现了自动监测异常操作和设备状态、自动停车和隔离装置以防止异常条件引起的其他 严重后果、事故报警和记录，以达到对装置和人员的保护等功能。为提高控制系统运行的安全性，专用 安全控制系统与 dcs 系统的控制单元之间应相互独立，并且分别安装在不同的控制机柜内，控制系统 独立完成自己保护的安全控制任务，与 dcs 系统互不影响。控制单元（控制站）、工程师站及 soe 站 都直接连接在系统的高速通讯网络冗余的以太网上。连结在网络上的设备，可以在站与站之间进行 数据交换， 并且不分主站和从站。 控制系统可通过标准 opc 或标准 modbus rtu 协议与第三方产品 （如 dcs、bently 3500 等）进行通讯。并且通讯介质支持串行电缆及光缆，重要信号参数（如联锁信号、 负荷信号）则通过硬接线连接。 3.2 trusted概述概述 3.2.1 控制器原理控制器原理 trusted是一个基于三重化处理器的系统， 内部所有 的重要电路均采用三重化容错的设计。 trusted保证系统 在内部出现故障的状态下，仍能正确地执行程序。系统 所有的模块均能在线热更换。 这种设计使得trusted系统 几乎可以保持100%在线。trusted被用来实时地处理各 种复杂和危险的生产过程的控制，接受现场信号，执行 逻辑运算、pid等各种控制程序，输出控制信号，驱动 现场执行单元。trusted的应用程序采用iec 61131 toolset软件编制。 trusted连续地、高速地进行上述操作，实现快速的闭环数据处理。如果trusted系统中发生了一个 内部故障，这个故障将通过表决器被限制。系统中广泛分布的表决芯片确保系统中的任何内部故障都不 会传播到程序处理过程中去，并且能够准确地指示出系统内部故障的位置。每个寄存器和程序控制器都 以同样的方式进行表决。所有的内部通讯都有接收电路进行通讯校验。 图图 1 trusted 三重化结构简图 上图说明了trusted三重化容错操作的几个核心单元。系统操作包括如下几个基本步骤： ? 对现场信号，输入模块进行信号接收、信号缓存以及各种必需的转换。然后输入信号经三重化 第 7 页 的内部总线传送到三重化处理器模块； ? 三重化处理器模块的微处理器从三重化的内部总线的每个通道接收输入的信号，并对数据进行 表决； ? 在数据处理过程中，每个处理器都将自己的输入信号跟其它两个 cpu 的输入信号进行比较； ? 三重化处理器同步地执行应用程序，产生的输出信号被送回三重化的内部总线； ? 输出模块接受处理器送来的信号，进行 3 选 2 表决，对表决后的信号进行必要的转换工作，送 出系统，驱动现场执行单元。 3.2.2 iec61508 安全系统标准安全系统标准 iec61508 是一个有关工业安全系统的国际标准。它涉及电子、电路以及可编程电子系统，涵盖硬 件和软件两个方面。为了划分危险区域的等级，iec提出了整体安全水平（sil）的概念。iec 61508根 据安全系统满足安全要求的程度，将安全系统分为4个等级（sil-1-4）。整体安全水平和工业安全系统 的技术性能密切相关。在iec61508中，对整体安全水平是这样表述的： 整体安全水平分为级，它表明了安全系统中安全功能满足综合安全要求的能力。sil-4是最高级， sil-1是最低级。iec 61508 对安全系统从设计到使用的整个过程的管理文件的内容和结构也给予指导。 以下是trusted系统在设计上满足的两个整体安全水平等级的简介。 sil1安全操作安全操作 这是安全性和独立性要求的最低等级。trusted系统提供安全和保密操作。系统的硬件故障诊断措施 都是基本的。这种结构主要用在一些基本的控制和监视上。 sil3容错容错 高度的可用性和失效安全操作是这时trusted系统的主要要求。当系统中出现一个或者多个故障 时，系统能正常运行，同时故障模块能够在线更换。如果故障超出了系统的容错能力，则系统将按照预 先的设定，转为失效安全模式，确保用户生产装置和设备的安全。这种设计适用于高可靠性、高可用 度以及对系统在线时间要求很高的应用场合，如海上平台以及石油化工行业等。下表说明了德国tuv标 准和国际电工委员会iec 61508标准的对应关系 tuv din v vde 0801 ak iec 61508 2 3 sil-1 4 sil-2 5 6 sil-3 7 sil-4 tuv ak和和iec61508 sil安全等级对应表安全等级对应表 3.2.3 i/o 保护的等级保护的等级 trusted系统提供高集成度的i/o模块。这些模块可以灵活地组态，实现不同安全等级综合应用的功 能。在这种高集成度容错型i/o模块中，全面采用了三重化技术，每个通道均按照三重化的设计，模块内 部有三个信号转换电路。 模块内部的故障限制区串接在一起，和现场设备相连，以确保实现容错功能。 模块内部还有全面的自诊断功能。这种模块支持单个模块、相邻槽方式和智能槽方式的组态 。 3.2.4 接线板接线板 采用trusted接线板，配合trusted专用电缆可以简单、迅速地实现trusted i/o与现场设备之间的连 接。采用trusted接线板也可以最大程度地降低系统的安装、组态、维修和维护的时间。 trusted接线板具有以下特性： ? 提供标准化的盘面安装布置 ? 实现柜间连线的方便拆装，便于运输和现场就位 ? 可直接连接用户现场的电缆 ? 标准化的电缆 ? 标准化的连接结构 ? 节省人工接线时间 ? 和智能槽配合使用的功能 第 8 页 3.2.5 emc 性能性能 trusted系统的设计满足最新的国际emc 电磁兼容性标准，而且经过严格测试，满足iec801和en 50081等国际标准。ics 在trusted设计中对emc做了充分的考虑，系统在安装、调试、日常操作以及系 统维护期间，均能够保持良好的emc性能： ? 模块前面板带屏蔽。保证即使在维护过程中打开了机柜，对用户工程师随身携带的手持通讯设 备的射频信号干扰也能屏蔽。 ? 机架以及 i/o 连接电缆也带有屏蔽防护。在上电和维修时，如果有工程人员在机柜后面工作， 也能保持良好的射频信号屏蔽能力。 ? pcb 级别的接地以及保护带，进一步提高系统的抗电磁性能。 3.2.6 三重化处理器三重化处理器 t8110b 三重化处理器是trusted系统的核心部分，实现全面的系统控制功能。trusted 系统采用功能强大的 64位power pc 603 100mhz 处理器， 通过三重化内部通讯总线， 能高速处理各种模拟量和数字量信息。 三重化处理器的外型美观，宽度90mm，高度6u。 trusted 三重化处理器由5个电路板构成： ? 三块完全独立的处理器电路板，每块电路板上有一块 64 位 risc 100mhz 处理器，以及相 应的内存、电路等。 ? 接口电路板包括模块内部总线和前面板控制电路。 ? 基板，用于电路板的连接。 ? 这三块处理器主板构成了三重化处理器模块的基础。三个处理器完全同步地工作，确保处理器 所有数据的一致。每个处理器独立地完成数据存储、程序执行、i/o 扫描以及系统故障诊断等工 作。 （图 2） 3.2.7 接口模块接口模块 trusted 接口模块提供trusted系统跟工程师工作站、 第三方设备以及ics各种i/o子系统的通讯。 目 前trusted 系统提供三类接口模块： ? trusted 三重化接口模块 ? trusted 通讯接口模块 ? trusted 扩展机架接口模块 控制器机架中最多可以容纳8个各种trusted接口模块的组合。每个trusted 接口模块的前面板上有 led指示接口模块的运行状态，以及模块是否存在故障。通讯模块上也有故障诊断口。当trusted 接口 模块接收到外部送来的数据，数据首先被送到数据缓存区。在处理器的控制下，数据被分成独立的三路， 并通过三重化总线传送到三重化处理器模块。当系统需要向外部送出数据，三重化处理器通过三重化总 线将数据送到trusted 接口模块。接口模块对总线上来的数据进行三选二表决，然后将表决后的数据送 出。 各种接口模块的供电都来自底板上的双重化24vdc电源分配线路。 而且模块内部有专门的调整电路， 将电源整定到模块电路需要的电压。 3.2.8.2 通讯接口模块通讯接口模块 t8151b 通讯模块是一个单重化的智能i/o模块。通讯模块为trusted 控制器提供强大的通讯功能，极大降低 了三重化处理器的负担。通讯模块可以组态，它支持多种通讯方式，它的主要作用是实现trusted 系统 和各种外部设备之间的通讯。模块本身具有独立的64位处理器，具有2个100m以太网和4个高速串行通 讯接口。 通讯模块安装在控制机架内，一个trusted系统最多支持4个通讯模块。（图4） 3.2.8.3 扩展机架接口模块扩展机架接口模块 t8311 扩展机架接口模块提供trusted三重化控制器内部总线和扩展机架总线之间的通讯。扩展机架接 口模块实现trusted 三重化处理器和扩展机架中i/o模块间的数据传输、系统“看门狗”信号以及故障诊 断信息的传递。通过扩展机架接口模块，一套三重化处理器能够控制由多个机架组成的trusted系统。 扩展机架接口模块安装在控制机架内，一个trusted系统可以支持4个该模块，每个模块可以最多连 接7个扩展i/o机架，因此trusted系统可以最多支持28个扩展i/o机架。（图3） 第 9 页 3.2.8 扩展处理器模块扩展处理器模块 t8310 trusted 扩展处理器用于扩展机架接口模块和扩展机架中i/o模块之间的通讯。 扩展处理器模块安装在扩展机架内。（图5） 3.2.9 控制器机架和扩展机架控制器机架和扩展机架 trusted 系统的控制器机架和扩展i/o机架均为19”安装，各有14个单槽位的位置。 控制器机架t8100的左边2个位置固定为安装2个处理器模块，每个处理器模块占3个单槽位。其余8 个为单槽位，可以安装任何接口模块或者i/o模块（扩展处理器模块除外）。 扩展机架t8300为14个单槽位，其中左边的2个固定为安装扩展处理器模块，其余12个可以安装任 意i/o模块。扩展机架可以本地安装也可以远程安装，trusted系统支持通过sil3认证的远程扩展机架的 光纤连接，这大大提高了系统的灵活性，并可为用户节省投入。 00 图图 2 处理器模块 图图 3 扩展接口模块 图图 4 通讯模块 图图 5 扩展处理器 图图 6 i/o 模块 图图 7 pi 速度模块 3.2.10 高集成度高集成度 i/o 模块模块 高集成度的三重化容错i/o 最多可接收40个现场信号输入或驱动40个现场负载。每个通道的信号均 通过独立的三重化线路实现容错。三重化容错型i/o的主要特点包括： ? 全面的自诊断和回路诊断； ? 1ms 的 soe 分辨率，每个通道可选择组态； ? 支持在线热更换。 由于soe记录在i/o模块上完成， 因此soe不再像过去那样依赖于系统扫描， 而和系统扫描时间没有 关系，并且大大减轻了三重化处理器的负担。三重化容错型i/o模块可以放置在处理器机架或者扩展机架 中。一旦i/o组态被确定，可以通过独特设计的机械开关，防止模块被插入不正确的槽位中。（图6） 3.2.11.1 数字量数字量 i/o 三重化数字量输入模块中的每个部分对输入信号进行独立的处理，并且与现场进行电气隔离。每个 部分将其处理后的数据送往三选二表决器，表决后的数据送trusted 三重化处理器进行处理。 三重化数字量输出模块提供容错的输出，从trusted 三重化处理器来的输出信号在输出模块中进行 三选二表决，然后经过电气隔离驱动现场单元。输出电路具有六元素表决结构，而且内部连续进行全面 的自诊断。输出模块还有线监测功能，可以检测现场回路的短路和断路故障。 数字量输入输出模块前面板上有40个通道状态指示灯，这些指示灯的显示状态可以通过软件进行组 态。各组通道间具有光电隔离。 3.2.11.2 模拟量模拟量 i/o 模拟量三重化输入模块中的每个部分将输入到模块中的模拟量信号通过每路独立的高精度a/d转换 器转换成数字量（一个模块有120个a/d转换器）。每个部分将其处理后的数据送往三选二表决器，表决 第 10 页 后的数据送 trusted 三重化处理器进行处理。各组通道间具有光电隔离。 模拟量输出提供40个420ma的电流输出，驱动现场负载。三重化处理器输出的三路数字量经过三 选二表决后，由12位d/a转换器转换成420ma电流信号。模块内部使用三重化线路以实现容错。另外 模块上有自动的在线标定和测试电路。对发生故障部分的切换时间为1ms。输出模块接收来自trusted电 源模块的双重化24vdc 供电，并用于驱动经电气隔离的现场负载。各组通道间具有光电隔离。 3.2.11 trusted 系统特点系统特点 trusted 系统采用目前世界上最先进的容错技术， 满足用户日益变化的现场需求。 下面是trusted 系 统的几个重要特点： ? trusted 系统是目前市场上集成度最高、体积最小、重量最轻的 tmr 系统，是其它系统体积的 1/3，重量的 1/4。 ? 专利的 hift 设计，保证系统的安全性、可靠性和运行速度。 ? 无限制的在线修改： 装置不停车的组态修改对于许多过程工业是危险但又必须的， trusted 系统 能够帮助你实现多变量无次数限制的在线修改。该系统的离线仿真也是全局有效，而不仅仅是 针对局部。 ? 采用高密度的 trusted i/o 模块，可以在一个机架中实现 240 个三重化 i/o 点的小型控制，非常 适用于安全保护系统（sis） 。 ? 可嵌入的 irig-b 时间信号解码技术：trusted 系统提供 irig-b 卫星时间解码技术，来解决多 套系统的 ms 级时间同步问题。 ? 用户可定义的模块前面板 led 灯颜色，trusted 系统提供最多 12 种 led 灯颜色用来组态不同 的现场变量状态。 ? trusted 系统和现场的电气隔离为 2500 伏。 ? 每个模拟量点都有独立的三重化 a/d 转换器，因此在一个 40 点三重化模拟量模块内部实际上 有 120 个独立的 a/d 转换。 ? 每个输入点（di 和 ai）最多可组态设置 4 个 soe，记录门限值或事件，分辨率均为 1ms。 ? 1ms 的 soe 分辨率和系统规模没有关系。 ? 数字量输出模块没有保险，通过可组态的软件复位的限流保护电路输出。 ? 预诊断， 对现场设备进行特征分析并进行趋势预测。 trusted 控制器能够对回路进行动态监测并 与正常值比较。如果回路特征发生较大变化，系统将进行报警，并向操作员提供资料，以便进 行分析处理。 ? 可以直接对 regent 以及 regent + plus 进行升级，用户如需要进行系统升级，只需要用一套配 备 trusted 三重化处理器和通讯模块的控制器机架取代原有的控制器机架即可，无需对 i/o 部 分做出任何变动。 ? trusted 的操作系统通过了最新的 iec61508 安全认证sil3 级。 ? 专利的 hift 时钟设计。hift 时钟具有三重化的结构，并在时钟机构内部设立了多个故障限制 区，确保单点故障不会影响系统的正常工作。 ? tuv 认证的防火墙设计确保不同安全等级的应用程序可以同时在系统中运行而互不影响。 ? 支持全部 5 种 iec61131 编程组态语言：梯形逻辑图、功能块、结构化文本、指令表和顺控图。 ? 易于使用和维护，虽然系统是完全的三重化设计，但对用户来讲，可以把它当作一套独立的控 制器，编程过程中不需要考虑三重化的问题。系统的内部连接也非常简单。 ? 负荷平衡。trusted 系统允许用户对系统中的某部分设定优先级别，以优化系统响应时间。优先 级可以针对机架设置，也可以针对模块设置。 ? 自动的切断阀测试功能：trusted 系统能利用独有的阀门测试软件来自动监测阀门行程的变 化，诊断出安全停车阀的工作情况，以提高整个回路的安全性。 ? 无保险丝的输出保护， trusted 系统能够在 1ms 内感应到输出电流超范围而进行输出切断保护， 而且能自动恢复，消除系统未知的故障。 ? 提供 opc 连接。 3.3 系统软件系统软件 国际标准的iec61131编程环境，支持5种程序语言：功能块图表（fbd）、文本构造（st）、梯形 图表（ld）、顺序功能图表（sfc）和指令表（il）。具有兼容性强、优异的程序管理、不同语言可混 合使用和调试方便等优点。可运行在windows xp、2000、nt、98/95或3.1环境下。允许用户设定变量 名称，i/o地址和数据寄存器。可用鼠标设定各种参数。剪切、拷贝、粘贴等功能简化了编程过程。通过 第 11 页 鼠标即可通过系统通信网络或直接电缆将程序下装到控制器中。可在线监视或编辑程序，允许在线修改 并自动下装没有限制，也可离线模拟或仿真。为了便于调试和维护，所有i/o点和数据寄存器都可以被强 制赋值。上位机组态软件可采用intouch、ifix、indusoft、cimplicity、wincc、组态王等。 3.3.1 编程软件特点编程软件特点 ? 在线和离线程序开发 ? 在线显示，更改，常规显示和参数值 ? 简易菜单驱动软件具有图像放大功能 ? 删除、拷贝和粘贴功能 ? 内装 pid 功能 ? 四级加密口令 ? 热键和广泛有效的帮助 ? 符号参数程序设计 ? 组态存档或保存在不同的子程序中，结构 非常清晰，现场调试方便 ? 常规打印能力 ? 能在 pc 与 控制器和其它计算机之间完成 数据传输 ? cpu 故障诊断显示以监视和清除故障 ? 运行停止方式控制 3.3.2 组态方式组态方式 功能库的功能块可任意组合。用户可在同一个project或不同projects之间将一个功能块与另一个功 能块连接。超过100个运算功能块的选择能力，使得trusted控制器具有独特的性能，能够适应特殊的过 程应用控制。 3.3.3 预装的控制软件包预装的控制软件包 trusted控制器可在订货时由工厂预装各种各样控制算法。当然，这些算法是由功能块组成的，可根 据现场要求进行调整（需经授权及密码）。 3.3.4 操作界面操作界面 操作员界面为一台与各控制器进行通讯的台式工业pc（或嵌入式pc机）。通过lcd（tft）显示 面板显示信息和菜单， 并配有键盘鼠标/触摸屏进行用户输入。 具有彩色显示功能及强大的cpu处理能力， 其操作员界面极其灵活，并提供了各种预先格式化的显示方式和明确的交互操作。 3.3.5 控制器功能库控制器功能库 操作员界面为一台与各控制器进行通讯的台式工业pc（或嵌入式pc机）。通过lcd（tft）显示 面板显示信息和菜单， 并配有键盘鼠/触摸屏标进行用户输入。 具有彩色显示功能及强大的cpu处理能力， 其操作员界面极其灵活，并提供了各种预先格式化的显示方式和明确的交互操作。 3.4 主要技术性能主要技术性能 3.4.1 主要系统指标：主要系统指标： cpu型号： power pc 603.e cpu速率： 100mhz 处理器位数： 64位 处理器指令集类型： risc soe分辨率： 1ms 容错方式： hift（硬件容错技术） 通讯内存： 128mb 第 12 页 远程i/o能力： 10km 每个模拟量模块的a/d转换器数量： 120个 每个i/o点的更新速率： 0.23ms/点 系统开放性： 2+4个serial 口, 2个ethernet口,1个组态/诊断口 编程语言： 提供5种编程语言 tuv认证： ak6级别 iec认证： iec61508 sil3 处理容量： 7200点 3.4.2 容错容错 所谓容错是指当系统内部一个或者多个元件发生故障时，系统能够不间断地、连续地正常地运行。 真正的容错同时还包括在不中断运行的情况下自动恢复的功能，如支持对模块进行不受限制的在线热更 换等。 ics trusted三重化处理器以及容错型的的trusted接口模块均采用ics独家专利技术的hift芯片进 行容错和表决处理并全面采用tmr（三重模块化冗余）的处理结构。 硬件容错硬件容错hift hardware implemented fault tolerance，即所谓hift，是指ics trusted系统采用硬件电路和芯片 （而不是用与之相对应的，完全采用软件计算的软件容错 sift）完成系统的故障诊断、冗余和容错 管理工作。hift技术相对于sift技术的另一个明显优势在于，hift减轻了sift必需的处理器之间的通 讯负担，使主处理器有更充分的时间对过程控制程序进行处理。正是这一原因使ics 公司采用hift技术 的trusted系统在速度上明显地超过其它采用sift技术的系统。 3.4.3 失效方式（失效运行失效方式（失效运行/失效安全）失效安全） ics trusted系统是一个高安全性的系统，它采用专用的硬件和软件测试机制，能够迅速发现内部各 种故障并做出反应。 由于采用三重化结构，ics trusted 系统被设计为兼有失效运行/失效安全的特性。这个特性是 指，当系统发生一个故障时，系统将保持正常运行状态，即失效运行状态。系统在此状态下保持正常 工作，直到失效模块被更换，系统恢复完全正常为止。如果由于某种原因，失效模块没有被更换，而这 时与故障电路并行的另外两个电路中又有一个出现了故障，这一故障将会导致系统停车并进入失效安 全状态。 失效运行/失效安全设计也被称为3-2-0 操作。对采用三重化技术的系统来讲，3-2-0 操作是唯 一绝对安全的方案。 第 13 页 3.4.4 故障限制区故障限制区 fcr fault containment region，即fcr，指故障限制区技术，它确保模块中某一区域中的故障不会蔓 延到模块的其它区域。对于系统来讲也是如此。这项技术允许系统的不同区域可以同时存在多个故障而 不会影响系统的正常运行。trusted系统的所有模块均采用了fcr技术。 3.4.5 容错时钟容错时钟 trusted 系统中的容错元件严格地同步工作，使系统的表决结构尽可能简单。同步也被称为 “lock-step”操作。“lock-step”同步的结果是所有的处理元件在同一时间处理同样的指令和数据。 trusted系统时钟的同步可以达到纳秒级。为了保证系统的容错属性，系统的时钟也是容错的。trusted 系统采用ics独家专利的hift容错时钟。即使时钟单元中出现故障，fcr技术能把故障限制在该单元内 部，而保持输出正确的时钟信号，确保系统正常运行。 3.4.6 故障指示故障指示 每个trusted 模块前面板上都有一个healthy 指示灯指示模块的状态。另外，在trusted处理器上还 有一个system healthy 灯指示系统的状态。当系统内部发生故障时，与之对应的模块上的红色故障指示 灯将闪烁，指示模块故障。在trusted 系统中，任何故障发生的位置和时间都将会被记录下来。模块故 障状态也可以通过api被应用程序调用，以便在需要的情况下对某个模块进行操作。 3.4.7 容错步骤容错步骤 系统操作包括如下几个基本步骤： ? 对现场信号，输入模块进行信号接收、信号缓存以及各种必需的转换。然后输入信号经三重化 的内部总线传送到三重化处理器模块； ? 三重化处理器模块的微处理器从三重化的内部总线的每个通道接收输入的信号， 并对数据进行 表决； ? 在数据处理过程中，每个处理器都将自己的输入信号跟其它两个 cpu 的输入信号进行比较； ? 三重化处理器同步地执行应用程序，产生的输出信号被送回三重化的内部总线； ? 输出模块接受处理器送来的信号，进行 3 选 2 表决，对表决后的信号进行必要的转换工作，送 出系统，驱动现场执行单元。 ics trusted连续地、高速地进行上述操作，实现快速的闭环数据处理。 如果ics trusted系统中发生了一个内部故障，这个故障将通过表决器被限制。系统中广泛分布的表 决芯片确保系统中的任何内部故障都不会传播到程序处理过程中去，并且能够准确地指示出系统内部故 障的位置。 每个寄存器和程序控制器都以同样的方式进行表决。所有的内部通讯都有接收电路进行通讯校验。 3.4.8 soe 分辨率分辨率 1ms 1ms 的soe分辨率和系统规模没有关系。由于soe记录在输入模块上完成，因此soe不再象过去 那样依赖于系统扫描，而和系统扫描时间没有关系，并且大大减轻了三重化处理器的负担。 3.4.9 设备技术性能要求设备技术性能要求 ? 允许模块在线插拔更换及维修旁路，既不会中断控制，也不必改动硬接线； ? 允许在线修改、下装程序； ? 允许同时运行 255 个程序； ? 整个系统配置相邻槽或智能槽冗余。 3.4.10 系统可靠性系统可靠性 在关于系统可靠性的计算中，以下参数将参与计算： diagnostic coverage诊断覆盖率诊断覆盖率 即通过系统内部自动检测发现故障所能覆盖的比例。 自动检测 不能发现的故障只能由外部人工检测发现。ics的系统能对在暂态及稳态故障状态下对所有硬件作 持续检查。 repair time 即系统平均修复时间（mttr），或指一旦系统发生故障情况下人为修复系统所需 的平均时间。 manual test interval 即人工测试间隔平均时间。系统最多的允许间隔时间为3年。 第 14 页 同原因同原因beta因子因子系统同原因故障是指系统发生的故障可影响超过一个模块，比如系统的供电中 断、温度或湿度越限。 各装置系统可靠性计算请参考参数计算表。 3.4.11 系统安全性系统安全性 ics trusted系统共有15个权限等级，以保证系统操作的安全性。 3.4.12 系统的可扩展性系统的可扩展性 输入/输出模块及端子排预留了20%的备用处理量，系统机柜留有20%备用安装空间。系统控制器、 电源和通讯等的负载能力均具有40%以上的余量。 3.4.13 系统抗干扰性能系统抗干扰性能 所有部件可抗每米10毫伏场强的电磁及无线电干扰（rf）。 3.4.14 与与 dcs 通讯通讯 系统通过冗余通讯模块上的rs485接口，采用modbus rtu通讯协议与dcs进行通讯。 3.4.15 与工作站的通讯与工作站的通讯 系统控制站与操作站、工程师站/soe站的通讯配置成冗余以太网方式。 3.4.16 初步的系统硬件设计初步的系统硬件设计 电源要求以及环境要求： 用户将提供trusted系统所需的两路220vac ups电源, 进入电源分配柜。系统电源模块将提供系统 及现场回路的24vdc冗余供电，并提供电源故障报警。 各装置系统功率消耗及散热请参考参数计算表。 下面的环境要求是trusted系统保持正常工作的条件： 表表 t1系统工作条件系统工作条件 参参 数数 最最 小小 典典 型型 最最 大大 单单 位位 模块供电电压（持续工作） +18 +24 +36 vdc 模块供电电压（极限值） -1 +40 vdc 模块供电隔离（持续工作） -100 +100 vdc 模块供电隔离（极限值） -250 +250 vdc 现场隔离（持续工作） -250 +250 vdc 现场隔离（极限值） -2500 +2500 vdc imb 时钟以及数据传输速率 12.5 mhz 温度监测范围 -25 +125 oc 温度监测精度 5 +/-oc 温度监测分辨率 0.5 +/-oc 表表 t2操作环境要求操作环境要求 参 数参 数 说 明说 明 最最 低低 最最 高高 单单 位位 工作温度工作温度 -20 +70 oc 工作湿度工作湿度 不凝结 +5 +95 %相对湿度 保存温度保存温度 -40 +100 oc 温度变化率温度变化率 +0.5 oc /分钟 1057hz（峰-峰值） 0.012 in 震动震动 57500hz 1 g 冲击冲击 11ms，半正弦 15 g rfi/emi 敏感性敏感性 iec801 27mhz 500mhz 10v/m 第 15 页 第四章第四章 控制系统实现方案控制系统实现方案 4.1 系统配置总图系统配置总图 第 16 页 4.2 系统功能说明系统功能说明 本项目为北京燕山分公司生产运行保障中心一部二催化esd系统更新项目，仪表及控制系统应安全 可靠、技术先进，满足工艺过程的操作要求，自动控制水平将达到国内石油化工企业的先进水平。 本改造项目全厂工艺装置的位置集中布置，改造项目装置区内安全仪表系统的控制站集中在现场联 合机柜间，操作站、工程师站和辅助操作台均集中在原有中心控制室，进行集中操作、控制和管理。从 现场机柜室到中心控制室的网络用冗余铠装单模光缆连接。 整个sis 控制系统由控制站、操作站、工程师站和辅助操作台等组成。各装置的sis控制单元必须 按装置的控制器分区分别设置，以保证各装置在正常生产和开、停工过程中互不干扰，减少关联影响。 在中央控制室和现场机柜室设有工程师站和ser工作站。工程师站用于esd系统的组态、下装、调 试和日常维护，ser工作站用于顺序时间事件的记录。工程师站和ser工作站互为备用。 esd系统与其他子系统的连接采用硬接线的方式（dcs系统除外）。 4.3 工作站及打印机工作站及打印机 4.3.1 工程师站（兼工程师站（兼 soe 站、兼操作站）站、兼操作站） 本项目设置 1 个工程师站，通过冗余的通讯方式接在各控制器的通讯接口上，用于控制器的组态、 除错、修改、测试、软件装载及维护等。工程师站应能对系统进行诊断并显示系统故障。 工程师站应具 备打印组态数据和图形的能力。 工程师站应具有兼作顺序事件记录(soe/ser)站的功能， 应配备整套顺序事件记录的软件。 工程师站为优质品牌工业用台式 pc 机，基本技术规格不低于： 主频： 2.0ghz； 内存： 1gb； 硬盘： 160gb； 宽屏液晶显示器：22”； 显示卡：128mb 10241024256 图形加速卡。 工程师站应配备光盘刻录机 dvd-rw 等外设。 所有的外设及接口应是通用的，硬盘驱动器、显示器、通用键盘、鼠标或球标、打印机等应当是商 业化可互换的。 4.3.3 打印机打印机 系统配备2台hp a3彩色激光打印机。hp 5200l 4.4 通讯接口通讯接口 本项目sis 系统的每一控制器设置1对冗余的与dcs 系统的通讯接口， 实现与dcs 进行数据通讯。 本项目各机柜室的sis 系统与dcs 系统的通讯最大距离为50m。 4.5 辅助操作台辅助操作台 辅助操作台由sis供货商提供。 sis供货商需提供按钮、开关、指示灯、声光报警等设施，具体数量开工会定。 辅助操作台上的开关和按钮接到相应控制器在中心控制室内的远程i/o机箱的远程di卡上。 控制器与 远程i/o 机箱用冗余铠装光缆连接。 4.6 通讯网络及设备通讯网络及设备 所有的通讯卡件、通讯网络及设备采用工业级冗余配置。其中工程师站/soe站与控制器之间采用以 太网tcp/ip通讯， 以太网通讯介质采用超5类通讯电缆。 sis系统与dcs之间采用modbus rtu rs485 通讯方式，其中sis系统做为从站。 第 17 页 4.7 机柜机柜 sis 系统按设备需要配置相应的机柜。机柜应包括i/o 卡所用的i/o 端子柜。系统所用安全栅、电 源装在机柜中。 必须按各个装置分别配置相应的控制器及机柜。不同控制分区的i/o 卡件、控制器等不得装于同一 机柜内。 机柜应留有20%的i/o卡及i/o端子备用安装空间。 sis 的机柜采用rittal ts 系列机柜， 前后单开门， 左轴方式， 尺寸统一为2100mm(高)800mm(宽) 800mm(深)（包括底座），颜色为海灰色（sh3043-2003, b05）。机柜门内带a3 横向聚苯乙烯电路 图盒（带自粘固定带）。门内带机柜的前、后面标签，门内、外均带机柜编号标牌。 4.8 电缆及连接配件电缆及连接配件 通讯电缆及连接配件随sis配套，由sis供货商供货、安装。系统各设备之间的连接电缆和所用接插 件由sis 供货商供货、安装，并应留有足够的长度。sis内部电源系统电缆，由sis供货商供货并安装。 连接现场机柜室和中心控制室之间的光缆三路配置，每路至少备用2芯，单模铠装。光缆由sis供货商供 货，光缆的熔接由sis供货商负责。 4.9 供电要求供电要求 系统供电包括220vac和24vdc电源分配。所有电源为冗余配置，任何一路电源故障具有报警，失去 任何一路电源，不会影响系统的正常供电。 220vac电源由用户提供，电源规格220vac，50hz，具体分配如下： 控制站：每个机柜引入3路：两路ups、一路gps 工程师站：每个站引入1路：一路ups 打印机：1路ups。 24vdc直流电源分为独立的冗余电源，由安全可靠的稳压电源提供。给系统的控制器机架、扩展i/o 机架以及fta端子板提供冗余供电，系统所有模块的工作电压从系统电源的冗余电源模块获得。 电源是系统工作稳定的一个重要的保证，因此，在电源部分采用了稳定净化措施，我们在各单元供 电方式上采用独立供电，以稳压加净化来保证电源的质量，杜绝由电源线窜入功率模块的干扰，在空间 抗干扰上采用双重电磁屏蔽等方法，确保系统工作稳定、可靠。使系统对电网的电压波动及不可预测的 干扰，有良好的适应能力，克服工业中常见的pc死机现象。为了保证系统的不间断工作，我们建议用户 采用不间断ups电源供电（切换时间要求不大于30ms），在停电状态下至少保证30分钟系统供电。 4.10 机柜接地机柜接地 每个系统机包含两个接地铜排，分