论罐区联锁系统与控制系统分离的实现

詹晋荣 程斌 师炜 申锐（兰州石化设备维修公司，甘肃 兰州730060）

1 罐区工艺概况及原联锁情况简介

1.1 工艺概况

由于该罐区储存输转油品品种多，容积大，涉及生产装置多，工艺流程相对较长、跨线多，流程较复杂，且介质多为易挥发、易扩散、易燃易爆介质，危险性大。因此，安全仪表系统的正常、合理、合规的投用对该罐区的安全生产尤为重要。

1.2 罐区原联锁系统简介

该罐区由27 个球罐组成，每个罐均设有雷达液位计及液位开关两个液位测量原件。罐底设有博雷紧急切断阀，切断阀配有ASCO电磁阀用以实现自保。测量信号均引入西门子S7-300PLC控制系统，雷达液位计信号用于正常操作，液位开关信号用于联锁球罐底部的进料切断阀，当液位高于液位开关设定值时，液位开关动作并将信号传入PLC 控制系统，CUP 经过运算输出一个信号去关闭罐底的紧急切断阀（自保阀），以防止溢罐事故的发生，从而保证了安全生产。

然而，西门子S7-300PLC控制系统虽然可以实现安全自保的功能，但由于其本身并非按故障安全性设计，当系统内部元件出现短路故障时，它并不能检测到，因此其输出状态不能保证系统回到预定的安全状态。（既系统元件故障可能导致事故状态下不触发联锁。）另外，依照《功能安全国际标准IEC61508》、国家安监总局116号文件的规定及SIL评估的相关要求：安全仪表系统必须独立于过程控制系统。因此，必须对罐区的安全仪表系统进行改造。

2 罐区SIS系统浙大中控TCS900

2.1 TCS900系统技术说明

TCS900 系统是中控总结了十几年国内外各SIS 产品的工程应用经验自主开发的国产SIS 产品。于2015 年年初正式推出其采用三重化和硬件容错的安全控制技术，在国内外产品中属领先的最优枝术。应用场合涵盖以下领域:

（1）石油液化气开采（乎台）、油气输送和储存

（2）石油化工装置

（3）化工装置

（4）电力、锅炉、核电

（5）交通、冶金、环保、汽车制造

（6）大型机械、旋转设备

2.2 系统的主要特点

TSC900 系统采用目前全球最先进的容错技术满足用户日益变化的现场需求以下是该系统的特点:

模块采用三重化结构设计，三个完全相同的通道独立工作，模块的输入和输出采用表决机制;

能忍受严酷的工业环境;

冗余配置时，可在保持控制器在线期间实现模块的安装与更换，可在不更改现场接线的情况下更换I/O模块;

业界最快最先进的工业级大脑和总线系统,系统响应时间在50ms以内;

支持通过通信模块连接MODBUS主站／从站、DCS、在p-p网络中的其它控制站、在以太网中的外部主机;

SIL3安全系统,完全符合标准的3-2-0降级模式;

支持模块环境实时监测;

通过远程机架可连接距主机架10km远的I/O模块;

自动隔离故障而不会造成性能降级,支持模块热更换,无扰的故障处理;

支持通过SIL3认证的远程扩展机架的光纤连接,大大提高了系统的灵活性;控制器运行期间允许正常维护且不影响控制过程;支持IEC61131编程组态语言;

2.3 系统原理

TCS900控制站的每个控制器和I/O模块都有三个独立的通道回路，输入模块内的三个通道同时采集同一个现场信号并分别进行数据处理，经表决后发送到三条I/O总线，控制器从三条I/O 总线接收数据并进行表决，并将表决后的数据送三个独立的处理器，各处理器完成数据运算后，控制器对三通道中的运算结果进行表决，并将表决结果送I/O 总线，输出模块从I/O 总线接收数据并进行表决，表决结果送三个通道进行数据输出处理，处理结果表决后输出驱动信号。

控制站I/O 模块和控制器模块支持冗余设置，两个冗余模块同时工作，无主备之分。冗余模式下，如果检测到某个模块出现故障，则可在线更换。

图1 TCS900系统原理图

2.4 系统结构

2.4.1 TCS900系统硬件结构

基本的TCS900系统硬件由工程师站和安全控制站构成,控制站由控制器模块、安全输入模块及其端子板、安全输出模块及其端子板、网络通信模块组成。系统的控制器块、网络通信模块和I/O 模块都安装在机架中,TCS900 系统的机架分为主机架和扩展远程机架,主机架与扩展机架通过扩展通信模块和光纤电缆实现连接。现场I/O信号接入与I/O模块配套的I/O端子板,再通过DB电缆接入到I/O模块的三组通道中。

2.4.2 TCS900系统软件结构

SafeContrix系统管理平台软件主要包括:SafeContrix组态软件、SafeManager软件、SOE管理软件、OPC Server软件。

SafeContrix 组态软件包含三种符合IEC61131-3 编程语言标准的图形编辑语言和一种符合IEC61131-3标准的文本化语言。系统软件提供快速、灵活、使捷的组态方式。

SafeManager 软件可以根据SafeContrix 中的硬件组态信息对TCS900系统中的各个硬件设备进行诊断管理。

SOE 管理软件包括SOE 服务器软件和SOE 浏览器软件。一个SOE服务器最多可以支持16个SafeContrix工程。

OPC服务器（安装了OPC Server软件）对外提供安全控制站实时数据,允许OPC客户端（如HMI或SCADA节点）通过OPC服务器访问一个或多个控制站的实时数据，将数据显示在监控画面中。

2.4.3 TCS900系统网络构成

TCS900 系统的工程师站和控制站间通过网络通信模块和以太网SCNET IV实现连接，系统的控制器模块、网络通信模块和I/O模块都安装在机架中，TCS900系统的机架分为主机架和扩展/远程机架，主机架与扩展机架通过扩展通信模块和光纤电缆实现连接。

3 罐区SIS系统改造的控制逻辑

罐区84 号罐为例结合下图对本次改造的控制逻辑加以说明：

图2 系统应用网络图

当84号罐液位大于等于联锁设定值8800mm时，液位开关联锁，并将联锁信号送入SIS 系统，SIS 系统通过运算输出一个关阀信号关闭罐底进料切断阀，防止溢罐你，从而实现联锁自保。当改变工艺流程后（进料改为出料），先在操作画面上将联锁旁路，再点击复位按钮打开切断阀，将罐内介质输出。当液位达到正常值后再投用联锁。

4 结语

目前，罐区SIS 系统改造项目已经结束，当SIS 系统未检测到联锁信号时，操作人员可通过PLC控制系统实现对罐底切断阀的开关控制；一旦发生事故，操作人员未能及时操作PLC 系统关闭罐底切断阀，SIS系统会自动发出联锁信号，关闭罐底切断阀，实现自保。从而达到了设计要求，符合了IEC61508、国家安监总局116号文件等相关规范。