作者：秦仲雄 来源：www.tech-ex.com　发布时间：2010-01-07 15:39:04　来源：中国工控网

采用ESD系统的背景
1. 安全系统的重要性随着过程工业的产生和发展，过程控制系统显得越来越重要。过去，直接On/Off控制已经可以满足简单的设备装置要求，而现在，则需要更复杂的控制功能。由于过程的复杂性，原料的变化，最终产品的质量要求，装置规模以及设备、人身、环境的保护等因素，适当的过程控制以及安全系统的设置显得尤为必要和重要。因此，许多企业运用过程控制概念以保证人员安全的{zj0}可靠性、生产设备的寿命、环境保护、有关利润和持续性的可应用性。
2. 安全系统的要求随着石油化工装置的规模日趋大型化，设计操作指标离安全临界点越来越近，造成发生危险的可能性也增加，所以越来越多石化企业用户非常重视生产过程的安全，同时又要不断提高产品产量，以追求企业效益利润{zd0}化。在过去几年中，有的企业虽然配置了某种安全系统，但由于该系统并不提供所要求安全的xx性，而发生了许多大事故。随着现代科学技术的发展，人们对安全系统的认识也得到了提高，这就对安全系统提出了新的要求：
(1)安全系统必须比继电器控制或是固态逻辑控制xxx可靠；
(2)必须减少安全系统误动作或误停车的次数和频率；
(3)系统必须易于维护和查找故障，并具有自诊断功能；
(4)系统必须易于组态，并且有在线修改组态的功能；
(5)安全系统必须可与DCS和其他计算机系统通信；
(6)系统必须有硬件和软件的权限保护；
(7)必须提供{dy}次事故记录(SOE)功能；
(8)安全系统必须独立于其他控制系统。

需要配置安全系统的典型设备、过程或系统有石油与天然气平台、化学系统、旋转机械(汽轮机、压缩机等)、发电厂与配电系统、电站锅炉等。
3. ESD系统投入的必要性
由于当今工业的高度发展，整个工业过程是在一种高强度、高度自控的环境下进行，尤其是对于天然气、石油化工、化工及电力行业来说，由于企业生产的性质所决定，所处的生产环境是具有爆炸危险性的。这样，设备、人身及生产过程的安全可靠性就成为重要的保证。而传统的DCS、PLC系统等控制手段在这方面表现出的薄弱性也就越来越明显，这显然不能满足石油化工等危险场合的生产工艺要求。
随着现代计算机技术的发展，ESD系统的设备配置也在不断地更新换代，由低级到高级；由气动逻辑到继电器逻辑；由简单的继电器系统到以微处理器为主的ESD系统；由单回路联锁系统到三重模块冗余系统，即TMR(Triple Modular Redundancy)。
TMR技术，早在20世纪80年代中期便由美国宇航专利技术开发出来，并从80年代末期被用于工业安全系统的设计上。它是将安全系统的关键电路都实行三重化，每个通道各自独立，但又同时完成同一功能。TMR技术保证了安全系统的连续性和可预测性，从而在本质上可以提高石油化工生产装置的安全运行水平，并{zd0}限度地xx误停车事故的发生。由于TMR系统具有满足这些场合的生产工艺要求，它既可保证生产过程的连续可靠进行，又可在如发生重大故障时确保设备、人身的安全，大大提高生产的可靠性与安全性。所以，TMR技术已被人们认识并广泛应用在石油化工、天然气、电力系统等工业领域。
由此可见，在讲究高效安全生产的石油化工行业，如今投入ESD系统已是众多企业的选择，并是保证生产可靠性与安全性，提高经济效益的必要手段之一。
4. 容错控制与安全系统
从20世纪70年xx始，基于处理器的联锁系统由于比传统的继电器或固态逻辑联锁系统更易于联锁逻辑的修改及再组态而被广泛用于工业控制领域。但由于处理器单元的出错容易导致整个联锁控制系统的失败，从而使得基于处理器联锁系统的可靠性相对于传统联锁系统来说较差些。传统联锁系统由于具有多种结构而使其拥有较大程度上的容错性。某一部件的故障也仅仅只会导致控制的某部分失败。
但是对于任何一种联锁控制系统，基于处理器或是传统的系统结构，如引起部分或整个控制失败的故障是不可接受的，它将直接导致生产产量的下降或更严重的后果，如人员的伤亡等。于是一种能允许系统部分故障，而又不影响正常生产的系统结构的要求摆到人们眼前。这种联锁系统必须达到{bfb}可靠且始终严格按照指令运行。
a. 容错控制
容错是指系统在一个或多个元件出现故障时能继续运行的能力。真正的容错还具有在不干扰系统运行的情况下，xx自动恢复的功能。它不同于一般的冗余：一般的冗余仅仅是模块或总线上简单的双热备，一旦输入模块出现故障，处理器模块也会出现故障，这时系统可能会因此而瘫痪；但是具有容错功能的系统，除了模块、总线、通信上的冗余设计外，还具有自诊断功能。基于具有容错能力的处理器的系统必须能准确识别各部件的故障(即全面诊断)，并对任何故障能进行补偿，这可通过将故障部件的信号强制为指定状态，并使用另一种不同的信号线(冗余)，这类似于传统系统的结构，而那些不能被诊断出来的故障部件则被视为危险故障。
ESD系统就是设计为高度容错性，用来将工业过程置为已知的安全状态。ESD系统必须具有高可靠性，故障自动保险，不能有导致不利于停车的误动作。
b. 容错系统的几种形式
(1)双重冗余系统
容错系统最简单的形式便是提供第二条信号线路，并在两套系统间提供某种表决格式，如图1所示。
如果表决器进行1002(2选1)表决，则使信号为操作状态的单元一旦发生故障，将导致系统产生一个不正确的输出动作。如果是使信号保持在非操作状态的单元发生故障，则系统的另一单元则起到控制作用。系统则变为1001来控制输出，而故障单元则为故障自动保险。
如果表决器进行2002(2选2)表决，使信号保持非操作状态的单元发生故障时，会导致系统的另一单元不能控制系统的输出，整个表决则失去控制。而使信号为操作状态的单元的故障就不会使系统产生不正确的输出动作，而且整个部件处于故障自动保险。
1002表决结构与2002表决结构相比，不易产生危险故障，但更易产生不正确的输出动作。
虽然双重PLC系统提供了一定程度的容错功能，但由于任何系统上的变更(包括增加输入和输出，应用逻辑更改等)均会导致对系统测试硬件的更改、增加及分析测试程序的修改，从而使得双重PLC系统显得不够灵活。
(2)三重系统
三重冗余系统提供3条独立的信号通道，并对输出进行3选2表决，如图2所示。
输出的容错由2003(3选2)表决器提供，并可在故障发生时复原为1002或2002，特别适用于工业过程。
为提高三重冗余系统从输入到输出的响应时间，系统单元需要定期地协调同步，假设每个单元的响应时间为10ms，则最坏情况下三重冗余系统(没有同步)的响应时间可能为20ms。响应时间的可预测性在对数字化模拟信号进行表决时显得特别重要。
三重冗余提供了较大程度上的容错性能，但它同样对任何系统的变化相对显得不够灵活。
(3)三重模块冗余
三重模块冗余控制系统(TMR)使用3个相互隔离的、并行主处理器控制系统，并带有扩展的诊断作用综合而成的一套硬件。每扫描一次，3个主处理器通过三重化总线与其相邻的两个主处理器进行通信，达到同步；同时三重化总线可对其数据进行比较，并表决有效数据。瞬态的数据错误和单元的失效不会对控制系统造成影响。在系统内的表决器选举原则为3取2，这样，单点的错误就不会影响控制系统的操作，如图3所示。
c. 安全系统的标准
在安全系统的设计中，安全度等级是设计的标准，应根据生产装置的安全度等级选择合适的安全系统技术和配置方式。安全度等级是系统在指定的状态下，xx执行要求的紧急功能的概念。安全度等级可用于简化和理论化系统结构中各部分的安全要求，并使其定量化。IEC 61508定义了4个安全度等级及相应于每个等级的两个定量安全要求，包括对系统连续操作的目标故障率要求和对系统按照要求切换到安全功能的目标故障率要求。安全度等级与定量要求的关系如表1所示。
随着安全标准的推出以及对安全系统重视度的不断升级，安全系统的认证也就变得越来越重要。根据德国电工协会DIN的标准，在过程工业中，典型工业过程的危险系数将安全要求级别定位在5级。因此，在德国的专门认证安全系统的机构Tü(Technischer üerwachungs Verein)将应用在过程工业的安全系数定义为安全要求级别5。在设置安全系统时，既要满足工业过程安全度要求，又要保证可靠性。因此，必须先对具体的工业过程进行安全度的评价。但是，目前我国尚无具体安全等级划分的标准和设计规范，在应用中应参照国际上的有关标准，参比同类装置已经采用的ESD系统的运行情况以及结合本企业的生产实际情况来确定采用ESD系统的安全要求等级。根据经验，石油化工生产装置一般采用ESD系统的安全等级为SIL3级，即相当于T?的AK5、AK6级。表2列出了国际上DIN、IEC和ISA标准的安全要求等级对比情况。
随着实践经验的丰富和安全工程理论的深入发展，以及近年来新的工业安全标准的诞生，这些标准有力地推动着TMR技术的逐渐推广。众多ESD系统应用实例证明，ESD系统在避免工业灾难、减少工业事故损失方面起到了积极和重要的作用，它为工业过程中要求{zd0}安全与连续生产的关键控制提供了一种{zj0}选择。