中國石油蘭州化學(xué)工業(yè)公司（以下簡稱蘭化公司）新投入生產(chǎn)的一套 8000t/y石油加氫樹脂裝置，由于其自身的高溫、高壓、強腐蝕、易爆炸等化工生產(chǎn)的特點， 控制系統(tǒng)DCS選用了橫河CS-3000系統(tǒng)，ESD選用德國HIMA公司的H51q-HRS系統(tǒng)。按照設(shè)計要求，DCS部分完成一半的工藝控制（包括單回路調(diào)節(jié)、串級調(diào)節(jié)、比值調(diào)節(jié)、分程調(diào)節(jié)和選擇調(diào)節(jié)）和一般的聯(lián)鎖控制，ESD部分完成關(guān)鍵工藝流程的監(jiān)控和主要的聯(lián)鎖控制。由于ESD存在的不可操作性，為了提高系統(tǒng)的可靠度，ESD和DCS采用冗余的雙電纜遠(yuǎn)程I/O通迅。本文將主要對H5IG-HRS系統(tǒng)的工作原理以及它與CS-3000系統(tǒng)的通訊技術(shù)做一介紹?！　?
　　
　　1 DCS-ESD系統(tǒng)構(gòu)成及通訊連接
　　
　

　　　　
　　圖1 系統(tǒng)構(gòu)成及通訊連接圖
　　
　　 系統(tǒng)構(gòu)成及通訊連接圖如圖1所示?！　?BR>　　2 HIMA公司的ESD系統(tǒng)　　
　　2.1 安全控制技術(shù)的要求　
　　 安全控制系統(tǒng)是專門用于危險場所（如石油化工裝置）聯(lián)鎖和緊急事故停車的控制系統(tǒng)。它與用于普通工藝過程控制的DCS和PLC的本質(zhì)區(qū)別在于，其功能是在事故和故障狀態(tài)下（包括裝置事故和控制系統(tǒng)本身發(fā)生故障時），使裝置能夠安全停車，避免對裝置人員的傷害和對環(huán)境造成惡劣的影響等， 因而安全控制系統(tǒng)本身必須是故障安全型（Fail to Safe）的，系統(tǒng)的硬件和軟件的可靠性都要求很高。在國際標(biāo)準(zhǔn)IEC-61508和IEC61131-3中，對安全等級及安全控制系統(tǒng)的硬/軟件要求具有詳盡的規(guī)定。TüV是目前世界上唯一的對安全控制系統(tǒng)的硬/軟件進(jìn)行認(rèn)證的機構(gòu)。
　　2.2 PES（可編程電子系統(tǒng)）安全控制系統(tǒng)的CPU結(jié)構(gòu)　
　　 目前世界上符合IEC-61508標(biāo)準(zhǔn)并獲得TüV AK6/SIL3等級認(rèn)證的可編程安全控制系統(tǒng)有以下三種主流CPU結(jié)構(gòu)：　　
　　 (1) 冗余容錯完全自診斷結(jié)構(gòu)，即1oo2D結(jié)構(gòu)。其生產(chǎn)廠家主要有Honeywell-FCS系統(tǒng)。 　　
　　當(dāng)?shù)谝粋€CPU被診斷出故障時，該CPU被切除、另一個CPU繼續(xù)工作。當(dāng)?shù)诙€CPU在被診斷出故障時，系統(tǒng)停車。該種結(jié)構(gòu)的故障修復(fù)時間限制為：AK6級時為1個小時，AK5級時為72個小時。即當(dāng)用于AK6級時，第一個CPU被診斷出故障一個小時內(nèi)必須進(jìn)行修復(fù)，即更換CPU，否則系統(tǒng)會在一個小時內(nèi)自動停車以保證故障安全。
　　 (2) 三重化表決部分自診斷結(jié)構(gòu)，即2oo3D結(jié)構(gòu)（TMR）。其生產(chǎn)廠家主要有 Triconex系統(tǒng)。　　
　　采用三取二表決方式，即三個CPU中若一個運算結(jié)果與其它兩個不同，即表示該CPU故障，然后進(jìn)行切除，其它兩個繼續(xù)工作。當(dāng)其它兩個CPU運算結(jié)果再有不同時，則無法表決出哪一個正確，系統(tǒng)停車。該種結(jié)構(gòu)的故障修復(fù)時間限制為：AK6級時為1~1 500小時，AK5級時為1 500小時。即當(dāng)用于AK6級時，第一個CPU被診斷出故障1~1 500小時內(nèi)必須進(jìn)行修復(fù)，即更換CPU，否則系統(tǒng)會在1~1 500小時自動停車以保證故障安全?！　?BR>　　 (3) CPU四重化冗余容錯完全自診斷，即2oo4D結(jié)構(gòu)（QMR）。其生產(chǎn)廠家主要有德國HIMA公司的H41q和H51q系統(tǒng)。
　　 四個CPU分成二對，即同時工作又相對獨立。當(dāng)其中一對CPU診斷出故障時，則該對CPU切除，切換到2-0工作方式，所剩余一對CPU以1oo2D繼續(xù)工作，這對獨立的CPU仍滿足安全等級AK6/SIL3要求，當(dāng)這對CPU其中再有一個故障時，系統(tǒng)停車。所以無故障修復(fù)時間限制。
　　2.3 HIMA的四重化結(jié)構(gòu)（QMR）產(chǎn)品H41q和H51q　　
　　 H41q和H51q的CPU結(jié)構(gòu)為四重化結(jié)構(gòu)（QMR），系統(tǒng)的中央處共由四個微處理器構(gòu)成。四個處理器同時工作，每兩個微處理器安裝在一塊CPU卡上，一塊CPU卡即構(gòu)成1oo2D結(jié)構(gòu)。圖2為QMR系統(tǒng)結(jié)構(gòu)示意圖。
　　
　　
　　

　　　　圖2 QMR系統(tǒng)結(jié)構(gòu)示意圖　　　　 　　
　　 從圖2可以看出通道A和通道B既同時工作，又相互獨立，每一通道都滿足安全等級AK6/SIL3標(biāo)準(zhǔn)。若其中一通道故障切除后，另一通道繼續(xù)工作，由2oo4D功能轉(zhuǎn)化成1oo2D功能，安全等級仍可滿足AK6/SIL3標(biāo)準(zhǔn)。故該QMR結(jié)構(gòu)沒有故障修復(fù)時間限制。當(dāng)1oo2D結(jié)構(gòu)和2oo3結(jié)構(gòu)的一個CPU發(fā)生故障后雖可繼續(xù)工作，但因其安全性能等級下降了，已不能滿足安全控制的要求，因而要求在故障修復(fù)時間限制內(nèi)對系統(tǒng)進(jìn)行修復(fù)。若在此時間限制內(nèi)不進(jìn)行修復(fù)，根據(jù)安全控制標(biāo)準(zhǔn)要求，在限制時間到達(dá)時，系統(tǒng)會自動停車。圖3為HIMA的QMR CPU功能結(jié)構(gòu)原理圖。
　　

　　　　
　　圖3 QMR CPU功能結(jié)構(gòu)原理圖

　　
　　3 DCS-ESD通訊設(shè)置　　
　　 (1) 首先在橫河CS-3000上，F(xiàn)CS0101\commDataWW目錄下組態(tài)如下：
　　
　　
　

　　
　　 (2) 其次，F(xiàn)CS0101\SWITCH\WBTagDef.edf目錄下組態(tài)如下：