石油化工属流程工业,具有高温,高压,易燃,易爆等特征,在生产中具有极高的危险性,因此实现生产装置的安全,稳定,高效运行不仅是提高效益的关键,而且对生产人员,生产设备,以及整个社区安全都十分重要.在新一轮乙烯改造中,扬子石化选用了国际先进的ESD(Emergency Shut down, 紧急停车)系统实现装置的安全控制.650kt/a乙烯扩建装置ESD系统由两个层次的方式构成:裂解炉区,压缩区,急冷区和公用工程区实现联锁保护控制;冷区和热区的塔系统控制除要求实现联锁控制外,还要求实现SI(Safety Instrumented System)控制,以确保装置在发生
　电力,循环水装置或仪表系统等公共故障时火炬的排放量得到有效控制.原400kt/a乙烯装置采用的是Honeywell公司的LM(逻辑管理器)系统对装置进行联锁控制,因本轮改造经费所限该部分没有改为安全性更好的ESD系统.
一 乙烯ESD系统的设计原则
1. 系统部分的设计原则
(1)为确保装置安全,稳定,可靠地运行,提高系统的运算速度,在扩建的新区设计中采用两套ESD系统分别控制两个重要的区域,一套用于控制裂解炉区, 急冷区,压缩区,加氢区和公用工程区,另一套用于冷区和热区.
(2)中央控制室(CCR)在原有控制室内进行扩容,DCS在原有系统的基础上进行扩容,US操作站与原系统保持统一.ESD系统主机安装在新机柜(NRR)间,装在DCS辅操台上的按钮,开关,报警灯的控制采用远程控制站(RXM)控制,远程控制站设在CCR,CCR和NRR之间的通信由三冗余的光缆构成.
(3)为提高程序的扫描速率,ESD系统内部未设计第一事故报警程序,区分第一事故的设备选用美国Ronan公司的分体式报警器,报警器的灯屏部分安装在辅助操作台上,作为操作人员的一种人机界面,控制部分安装在机柜间.
(4)本着安全高于控制的原则,所有关键联锁检测点采用先进ESD系统,再 通过SMM(安全管理器模件)与DCS中的UCN(万能控制网络)通信,实现在US(通用操作站)上的数据显示.
(5)新区和老区分别设计SOE(事故顺序记录仪)站,两套ESD系统共设有4个SOE站,各站间用以太网(Enternet)相连.
(6)重要的I/O点全部选用热备冗余方式,输入卡全部选用光电隔离型,非SIL(Safety Interity Level)级的输出卡选用继电器隔离或光电隔离型,避免现场干扰信号的影响.
(7)交流电源采用双路方式供给电源模件,一路电源经UPS(不间断电源)供给ESD电源主模件,另一路市电电源供给ESD备用电源模件.
24V DC电源因其容量很大,分两部分供给,一部分供给现场仪表和继电器,报警灯屏以及按钮开关的工作电源,采用美国Acopian公司的冗余电源供给;另一部分供给现场电磁阀工作的电源,由配电所的直流电源装置供给. 控制电磁阀的电源总线要选用铠装电缆,额定功率不能超出其总功率的50%,以避免电缆故障而造成大面积停车,在乙烯老区曾发生过因联锁电源电缆漏电而导致裂解炉全线停车的事故.
2. 现场仪表的设计原则
(1)SIS控制部分采用了SIL3级标准(SIL为美国ISA-S84.01标准要求的安全等级),SIL3级ESD部分的检测仪表一律采用2oo3(3选2表决)的方式检测.如塔压和循环水的测量都采用3台变送器同时测量,电网电压采用3个电压检测器同时测量,压缩机轴位移采用3个探头和趋近器同时监测等.3个检测点的信号分别送入3个不同的三重化输入模块(TMR),由主处理器执行3选2表决运算.
(2)控制裂解炉,透平泵的联锁和其他一些常规联锁则采用单台检测仪表,信号被送入TMR型输入模块.
(3)SIL3级紧急停车部分用于控制切断阀门的电磁阀一律采用2个串联方式设置,以防止某一个电磁阀失效而造成联锁动作失效;切断阀上应设置阀位变送器,将阀位的准确状态及时反馈给控制室.
(4)输入ESD的测量仪表均独立设置,不与控制回路合用,无需分配器分配.
(5)所有重要的切断阀要求独立设置,切断阀均采用密封等级高的球阀,阀位开关信号由限位开关发出并传送入DCS指示.
(6)对于塔系统控制加热源的切断阀,根据TEC(日本东洋工程公司)的计算采用调节阀与切断阀合一的方法,如图1所示方案1.此方案要求阀的密封等级在5 级(Class 5)以上,采用上述设计经过TEC计算,符合SIL3级要求.而如果采用方案2,将调节阀和切断阀分开设置,不加阀位变送器,则只能达到SIL1级标准,故方案2不予采用.TMR表示ESD系统内三重化输出模块,其输出信号与电磁阀相接,控制电磁阀的动作;与电磁阀相连的带有双斜线的管线是控制阀
门动作的气源管线.
二 ESD系统的基本结构和技术特点
1. 基本结构
　　　根据乙烯工艺SIL3级的要求,选用的ESD系统必须具有TüV的AK6级认证(TüV认证是德国莱茵技术认证机构,该机构专门对电子产品的安全性进行认证,对安全型控制系统的认证具有最高权威性,TüV的AK6级标准对应于IEC和ISA安全标准的3级).经过技术交流和商务投标,最后美国Triconex公司的TRICON系统中标.该公司是较早生产ESD的专业公司,主要生产表决型安全系统,该系统中所有软硬件都通过了TüV的AK6级认证. TRICON系统是一套从主处理器到输入,输出模件完全三重化的容错控制系统。
　　　每个I/O模件内有3个独立的分电路.输入模件的每个分电路读入过程数据并将此信息送至各主处理器.3个主处理器可利用其专有的高速三重化总线 (TRIBus)进行相互间的通信.每扫描一次,3个主处理器通过三重化总线与其相邻两个主处理器进行通信,达到同步;同时三重化总线可对数字输入数据进行表决,对输出数据进行比较,并将模拟输入数据进行复制并送到每个处理器,主处理器执行各种控制算法,并将运算输出值送到各输出模件.除表决输入数据外, TRICON还表决输出数据.输出数据的表决是在输出模件中完成的,这样可使其尽可能与现场靠近,并对三总线表决与驱动现场的最终输出间可能发生的任何错误进行检测和补偿.系统对每个I/O模件都有热备模件支持,在操作中如工作模件发生故障,能立即投入控制.热备模件还可起到在线修复系统的作用.
2. 主处理器的组成和硬件性能
(1)主处理器结构

(2)主处理器性能
　　　TRICON系统有3个主处理器(MP),用来控制系统的3个隔离的分电路,主处理器(3006)内含一个主CPU,一个通信CPU,一个I/O通信CPU。每个MP内有一个专用的I/O通信(IOP),管理MP和I/O模件间的数据交换;另一个通信CPU(IOC)管理MP和通信模件间的数据交换.在每个输入模件采集数据的同时,新的输入数据通过I/O总线相应分电路传送到MP,存入输入表,通过专用TRIBus传送到相邻主处理器中,在传送的同时进行硬件表决出一个正确的输入值作为MP的输入,送到应用程序中(DI点采取三取二的方式,AI点采取取中值的方式).CPU记录下识别到的错误,在扫描的末期用容错程序进行错误分析以判断是否为卡件故障.
(3)电源,通信总线及性能
　　　卡件电源由位于机架最左边的冗余电源模块通过机架背面的冗余电源Bus供应.机架背面共有3种总线:TRIBus,I/O Bus,通信Bus,此3种总线的性能如表2所示.TRIBus同一个机架MP与I/O卡和通信卡件间的通信通过背板上的三重化总线完成,不同机架间的数据交换通过机架左上角的三重化I/O电缆完成.
3. 通信卡件及I/O卡件的性能特点
因乙烯装置ESD系统的I/O点数达6000多点,应用的卡件种类较多,下面
作具体介绍.
(1)DI卡(3503E,3564)
TRICON V9系统有两种DI卡:TMR(三重冗余)卡和单点卡.
　　3503E为TMR卡,有3个输入分电路,分别处理输入到模件上的全部数据,
　　各路之间完全隔离,并在TRICON系统和现场全部采用光电隔离.3503E DI 卡 完全不间断地诊断每个分电路,如发现任何故障即点亮卡上的FAULT,同时将本机架和主机架电源模块上的FAULT灯点亮.FAULT灯亮只说明某一个分电路有故障,并不说明模件失效,模件的容错功能使之能带着某种故障继续正常工作.3503E能够自测试STACK ON(ON粘住测试),即在输入回路中将一个开关闭合,通过光电隔离回路读入一个OFF值.测试时,卡件内置的微处理器读入OFF值前的最后数据值在通信处理器中保持. 3564为单点卡,它只有一个输入电路,输入到模件中的数据分成3路分别送入3个MP中,具有STACK ON及STACK OFF的检测功能,如发现错误, 在500ms后将输入数据置为安全状态,由于TRICON是设计成故障安全型,安全
状态为OFF.
(2)DO卡(3664,3604E,3636R)
　　所有DO卡均有3路完全隔离的输出分电路,3604E及3636R利用具有TRICON专利的四方表决器进行表决.3664双通道输出卡在两个输出间进行表决,如一致输出结果至现场,不一致则输出安全状态为OFF. 所有输出卡具有OVD(Output Voter Diagnostic)检测功能,即DO卡定期发出一个反状态信号以检测输出分电路是否故障,时间保证在2ms内,一般为500ms,不会影响现场控制. 所有输出卡均具有STACK ON及STACK OFF功能,如发现STACK OFF故障,由于是故障安全型设计,DO卡输出保持故障状态,热备卡不切换. 3636R为继电器型输出卡.
(3)通信卡(4329,4409)
　　NCM(网络通信模件)网卡(4329)支持的通信协议如表3所示.
　　SMM卡(4409)是专门针对Honeywell TDC 3000而设计,使TRCION系统作
　　为UCN网络的一个子站与DCS系统进行通信.功能如下:
(a)传送所有I/O点至DCS;
(b)将所有TRICON系统报警信号传送至DCS;
(c)与DCS进行所有Alias的读/写;
(d)在DCS上对TRICON系统进行诊断;
(e)在TDC-3000上对TRICON系统进行写保护;
(f)与DCS时间同步;
(g)在DCS上作SOE ;
(h)可作热备通信.
(4)远程机架通信卡(RXM)
　　在同一个TRICON系统中,如果相邻两个机架距离太远时,可利用三重化远程机架通信卡进行通信.
(5)TRICON V9系统容量
　　TRICON V9系统由一个主机架和最多14个扩展机架或14个远程扩展机架组成.最大系统是15个机架,可支持总数为118个I/O模件(控制点总数由各模件型号决定);并可通过通信卡与上位操作站,Modbus主机,Foxboro与Honeywell的DCS等设备通信. TRICON V9系统还具有在线修改程序的功能,在修改过程中能保证系统控制不间断,并具有I/O点的强制功能,能根据现场改变变量值.