兖矿鲁南化工有限公司仪表一车间计算机班 王 力 张衍更

一、Trusted系统介绍：

1.Trusted系统三重化介绍

Trusted系统是ICS Triplex公司集几十年安全系统领域的理论和实践经验，于1998年推出的最新一代ESD控制系统。该系统采用硬件容错，即采用硬件电路和芯片完成系统的故障诊断、冗余和容错管理工作，而不是采用软件计算的软件容错。在Trusted系统中，所有重要电路都实现了三重化，三重化的每个部分都是独立的，但单个部分的功能又完全相同。三重化电路的输出信号在成为系统输出之前，经过一个三选二的表决芯片，当三个电路中有一路发生故障，输出错误信号，经过三选二表决后该错误信号被屏蔽掉，系统仍然输出正确的信号，系统不会因为内部故障而对过程产生影响。被用来实时地处理各种复杂和危险的生产过程控制，接受现场信号，执行逻辑运算，PID等各种控制程序，输出控制信号，驱动现场执行单元。

2.Trusted容错系统的好处

①没有单点故障：所有关键组件都是三重化的，即使出现一个或多个故障，Trusted系统将继续正确运行。

②100%的故障检测：当一个关键组件发生故障，它将被检测到。故障检测是容错系统的一个重要部分。通过鉴别出故障部件，可以减小平均修复时间并且增加系统的可利用性。

③自动隔离故障而不会造成性能降级：当一个关键电路中发生了一个故障，它将被立即隔离以防止影响系统的运行。因此在故障出现时，不会有性能下降或降级。

④无扰的故障处理：当一个故障发生，系统继续提供控制功能而不会延迟或降级系统性能。

⑤模块热更换：在上电的情况下模块可以被移除和更换，更换模块可以被重新初始化而不会造成系统性能的降级。

⑥容错对应用程序是透明的：应用程序可以象非冗余控制器一样被开发，不需要针对Trusted系统内建的三重化特性而进行特殊编程。

⑦实现过程容错：Trusted系统的容错可以被扩展到现场设备已保证过程中出现故障时继续正确运行。

⑧小而轻：与其他竞争厂家的TMR系统比较，Trusted系统只有1/3的尺寸和1/4的重量。

⑨集控制与安全在同一系统中：Trusted系统是经TUV认证的，可用于控制系统与安全系统。

⑩开放互联：Trusted系统可作为一个OPC server运行。

3.整个系统硬件结构

控制器部分由控制器机架、处理器模块、通信模块、网关模块、扩展接口模块、I/O模块（一个控制器机架可以安装一个主处理器和它的后备处理器，以及最大8个模块：I/O模块，通信模块，网关模块，和扩展模块）等组成。

扩展器部分由扩展处理器、I/O模块、通信模块组成。

电源系统由电源机架和电源模块组成，电源模块可以提供现场供电和系统供电。

组件名称 型号 通道数

TMR处理器 T8100B

扩展处理器 T8310

扩展接口模块 T8311

通信接口模块 T8151B

AI模块 T8431(40通道24V DC)

DI模块 T8403(40通道24V DC)

DO模块 T8461(40通道24V DC)

4.Trusted系统运行过程

1）过程状态处理数据(开关位置，变送器读入等)由输入模块送入。过程状态数据先被缓存在每一个输入模块，然后被发送到三重化的内部模块总线IMB上。

2）TMR处理器读入并表决过程状态信息。然后处理器执行保存在内存中的应用程序。处理器以三重化的组的方式运行，彼此之间共享信息，并且以紧密的同步方式运行。TMR处理器计算得到输出指令并将其发送到输出模块。

3）三重化的输出命令被发送回IMB总线，然后再到正确的输出模块上。输出模块接受命令并且表决数据，然后输出电路被经多数表决后的命令驱动。

Trusted系统以非常快的速度连续地重复这种扫描顺序，并提供连续的容错控制。如果系统内的一个内部电路发生故障，它被输出表决，然后故障被通知，处理器继续运行而没有任何中断。Trusted系统是容错系统，被设计为“故障运行/故障安全”。当单个故障发生在一个故障限制区内，系统将继续运行。这被认为是故障运行状态。系统将继续运行在这种状态，直到故障模块被更换并且系统返回到完整的运行状态。如果在第一个故障模块被更换前，第二个故障发生在剩下的两个平行电路中，第二个故障将导致系统停车，这被认为是故障安全状态，故障运行/故障安全设计也被称为3-2-0运行。

二、整个控制系统运行过程

本次系统改造为3台德士古气化炉，每一套气化炉使用一套Trusted ESD系统，三套系统之间互相独立，互不影响。上位监控机由3台操作站及一台工程师站电脑组成，其中每一台操作站均可以监控另外两台气化炉画面，而不会因一台操作站的故障导致无法监控气化炉ESD画面，而工程师站用于维护整个控制系统，可以实现3套系统的组态和所有上位联锁复位、打旁路及假信号等操作。因这套Trusted系统没有服务器，任何一台操作站电脑都可以独立关闭与启动，互不影响。操作站及工程师站硬件上通过两台交换机和两个通信模块实现和控制器之间的通信，通讯也是完全冗余，安全可靠。

气化炉的仪表公共测量点通过P+F安全栅将现场来的信号一分为三在每台炉子ESD监控画面给予显示，重要测量点通过电缆将信号引至DCS通道，在DCS上显示，供工艺人员监控。通过硬件接线实现ESD与DCS的通讯，安全可靠。

下位程序功能由IEC1131 TOOLSET软件实现，完成渣水锁斗顺控、气化炉开停车步骤、气化炉联锁逻辑、旁路及假信号操作等实际联锁功能，上位监控画面的编辑及监控均完全由Intouch软件实现。上下位之间通过OPC服务器实现通信，OPC(面向过程控制的对象链接与嵌入)服务器允许OPC客户端通过以太网通信与一个Trusted系统连接并且访问过程数据。

另外，这套系统可以通过顺序事件记录和过程历史软件包来收SOE数据。其中顺序事件记录收集（SOE）程序产生所有离散变量的时间标日志（例如系统内故障，输出阀门动作等）对阀门动作时间要求很高的锁斗系统来说，SOE可以收集到每个阀门动作的时间，提供了很大的方便。而过程历史程序（PH）提供记录模拟变量的功能，可以滚动记录并且保持最大4000个记录。当开始收集SOE数据时，任何当前被缓存在Trusted TMR通信接口模块中的事件信息可以被收集并添加到SOE显示画面中。一旦SOE收集器得到所有的被缓存的事件信息，它将轮询新的事件信息。所有新的事件信息将被添加到显示画面中。

三、运行结果

通过仪表计算机班人员内部的反复调试，完全实现了所有气化炉的所有安全联锁要求。其中C#气化炉最先改造，目前已经运行一年时间有余，系统运行稳定，A#气化炉改造后也已运行半年时间，均未出现任何系统故障而导致的停车问题，实现了气化炉的长周期安全稳定运行。

[1]北京麦克韦尔信息控制系统有限公司.TrustedTMR培训手册.

[2]ICS Triplex亚太公司中国代表处.Trusted系统中文手册.