中國石油蘭州化學工業(yè)公司（以下簡稱蘭化公司）新投入生產的一套 8000t/y石油加氫樹脂裝置，由于其自身的高溫、高壓、強腐蝕、易爆炸等化工生產的特點， 控制系統(tǒng)DCS選用了橫河CS-3000系統(tǒng)，ESD選用德國HIMA公司的H51q-HRS系統(tǒng)。按照設計要求，DCS部分完成一半的工藝控制（包括單回路調節(jié)、串級調節(jié)、比值調節(jié)、分程調節(jié)和選擇調節(jié)）和一般的聯(lián)鎖控制，ESD部分完成關鍵工藝流程的監(jiān)控和主要的聯(lián)鎖控制。由于ESD存在的不可操作性，為了提高系統(tǒng)的可靠度，ESD和DCS采用冗余的雙電纜遠程I/O通迅。本文將主要對H5IG-HRS系統(tǒng)的工作原理以及它與CS-3000系統(tǒng)的通訊技術做一介紹?！　?
　　
　　1 DCS-ESD系統(tǒng)構成及通訊連接

　圖1 系統(tǒng)構成及通訊連接圖
　　
　　 系統(tǒng)構成及通訊連接圖如圖1所示?！　?BR>　　2 HIMA公司的ESD系統(tǒng)　　
　　2.1 安全控制技術的要求　
　　 安全控制系統(tǒng)是專門用于危險場所（如石油化工裝置）聯(lián)鎖和緊急事故停車的控制系統(tǒng)。它與用于普通工藝過程控制的DCS和PLC的本質區(qū)別在于，其功能是在事故和故障狀態(tài)下（包括裝置事故和控制系統(tǒng)本身發(fā)生故障時），使裝置能夠安全停車，避免對裝置人員的傷害和對環(huán)境造成惡劣的影響等， 因而安全控制系統(tǒng)本身必須是故障安全型（Fail to Safe）的，系統(tǒng)的硬件和軟件的可靠性都要求很高。在國際標準IEC-61508和IEC61131-3中，對安全等級及安全控制系統(tǒng)的硬/軟件要求具有詳盡的規(guī)定。TüV是目前世界上唯一的對安全控制系統(tǒng)的硬/軟件進行認證的機構。
　　2.2 PES（可編程電子系統(tǒng)）安全控制系統(tǒng)的CPU結構　
　　 目前世界上符合IEC-61508標準并獲得TüV AK6/SIL3等級認證的可編程安全控制系統(tǒng)有以下三種主流CPU結構：　　
　　 (1) 冗余容錯完全自診斷結構，即1oo2D結構。其生產廠家主要有Honeywell-FCS系統(tǒng)。 　　
　　當?shù)谝粋€CPU被診斷出故障時，該CPU被切除、另一個CPU繼續(xù)工作。當?shù)诙€CPU在被診斷出故障時，系統(tǒng)停車。該種結構的故障修復時間限制為：AK6級時為1個小時，AK5級時為72個小時。即當用于AK6級時，第一個CPU被診斷出故障一個小時內必須進行修復，即更換CPU，否則系統(tǒng)會在一個小時內自動停車以保證故障安全。
　　 (2) 三重化表決部分自診斷結構，即2oo3D結構（TMR）。其生產廠家主要有 Triconex系統(tǒng)?！　?BR>　　采用三取二表決方式，即三個CPU中若一個運算結果與其它兩個不同，即表示該CPU故障，然后進行切除，其它兩個繼續(xù)工作。當其它兩個CPU運算結果再有不同時，則無法表決出哪一個正確，系統(tǒng)停車。該種結構的故障修復時間限制為：AK6級時為1~1 500小時，AK5級時為1 500小時。即當用于AK6級時，第一個CPU被診斷出故障1~1 500小時內必須進行修復，即更換CPU，否則系統(tǒng)會在1~1 500小時自動停車以保證故障安全?！　?BR>　　 (3) CPU四重化冗余容錯完全自診斷，即2oo4D結構（QMR）。其生產廠家主要有德國HIMA公司的H41q和H51q系統(tǒng)。
　　 四個CPU分成二對，即同時工作又相對獨立。當其中一對CPU診斷出故障時，則該對CPU切除，切換到2-0工作方式，所剩余一對CPU以1oo2D繼續(xù)工作，這對獨立的CPU仍滿足安全等級AK6/SIL3要求，當這對CPU其中再有一個故障時，系統(tǒng)停車。所以無故障修復時間限制。
　　2.3 HIMA的四重化結構（QMR）產品H41q和H51q　　
　　 H41q和H51q的CPU結構為四重化結構（QMR），系統(tǒng)的中央處共由四個微處理器構成。四個處理器同時工作，每兩個微處理器安裝在一塊CPU卡上，一塊CPU卡即構成1oo2D結構。圖2為QMR系統(tǒng)結構示意圖。

圖2 QMR系統(tǒng)結構示意圖　　　　 　　
　　 從圖2可以看出通道A和通道B既同時工作，又相互獨立，每一通道都滿足安全等級AK6/SIL3標準。若其中一通道故障切除后，另一通道繼續(xù)工作，由2oo4D功能轉化成1oo2D功能，安全等級仍可滿足AK6/SIL3標準。故該QMR結構沒有故障修復時間限制。當1oo2D結構和2oo3結構的一個CPU發(fā)生故障后雖可繼續(xù)工作，但因其安全性能等級下降了，已不能滿足安全控制的要求，因而要求在故障修復時間限制內對系統(tǒng)進行修復。若在此時間限制內不進行修復，根據安全控制標準要求，在限制時間到達時，系統(tǒng)會自動停車。圖3為HIMA的QMR CPU功能結構原理圖。

圖3 QMR CPU功能結構原理圖

　　
　　3 DCS-ESD通訊設置　　
　　 (1) 首先在橫河CS-3000上，F(xiàn)CS0101\commDataWW目錄下組態(tài)如下：

(2) 其次，F(xiàn)CS0101\SWITCH\WBTagDef.edf目錄下組態(tài)如下：

說明：　　
　　 ① %WW0001開始寫到ESD上對應ESD的500~515地址，如果寫入點數(shù)多余16點時，改變SIZE的大小就可以實現(xiàn)?！?BR>　　 ② 開始從%WW0003讀取ESD上對應0~256個點時，依次順序是%WW0003（0~15Bit）為0~16點，%WW0004（ 0~15Bit）為17~32點，