隨著工業企業生產裝置的日趨大型化，工藝過程的不斷復雜化，生產過程中發生危險的可能性也呈增大趨勢，一旦生產過程出現異常且控制不當，將會給人身和財產安全造成嚴重后果。自動化安全儀表系統能對企業生產裝置和設備可能發生的危險或措施不當行為致使繼續惡化的狀態進行及時響應和保護，使生產裝置和設備進入一個預定義的安全停車工況，從而使風險降低到可以接受的程度，保障人員、設備和生產裝置的安全。ISA 84.01 中將這類應用于安全系統（Safety System）和關鍵控制（Critical Control）領域的產品稱為安全儀表系統（SIS）。SIS 為企業正常運轉提供一個安全防護層，它是一種安全儀表聯鎖系統，IEC61508 中稱為功能相關的電氣/電子/可編程電子系統，范圍更為寬泛，涵蓋 Emergency ShutdownSystems (ESD)、Burner Management Systems (BMS)、Fire and Gas Systems (F&G)等領域。對 SIS 的要求：一是 SIS 系統的安全完整性等級能夠滿足工藝裝置的要求；二是 SIS 系統具有很高的安全性，在緊急情況下或者系統重大故障狀態下，能及時發出聯鎖保護信號；三是 SIS 系統具有很高的穩定性，在系統正常運行過程中，不會出現誤聯鎖的情況。

SIS 的主要應用原則：

? 獨立設置原則：安全儀表系統獨立于過程控制系統，獨立完成安全保護功能

? 安全性：當過程達到預定條件時，安全儀表系統動作，使被控制過程轉入安全狀態

? 可用性：兼顧可靠性的同時，保證可用性

TCS-900 系統

TCS-900 系統是中控面向流程工業領域，自主研發的安全儀表系統，其應用范圍涵蓋 ESD、BMS、F&G 等領域。

TCS-900 系統結合了功能安全和信息安全的兩大理念，是一款具備高可用性、高安全性的先進大型安全儀表系統。其基于 IEC61508 設計，滿足 SIL3 應用要求。

TCS-900 設計有內置診斷，在在線維護期間可不用專門工具的情況下拆除模塊或插入新模塊以擴展系統。

組態軟件 SafeContrix 符合 IEC61131-3 標準，支持 FBD、LD 編制用戶程序，支持 FBD、LD、ST 編制自定義功能塊，支持 ST 編制自定義函數。程序訪問符合安全要求，修改程序并下載前可通過仿真軟件來驗證新的應用，最大限度地保證系統正常運行。系統還支持在線修改組態，可在不強迫中斷系統運行的前提下調整輸入閾值。

2 TCS-900 系統概要 IM25U09-C

1.1 系統工作原理

TCS-900 系統主要由控制站和工程師站組成。

TCS-900 控制站的每個控制器和 I/O 模塊都有三個獨立的通道回路，輸入模塊內的三個通道同時采集同一個現場信號并分別進行數據處理，經表決后發送到三條 I/O 總線，控制器從三條 I/O 總線接收數據并進行表決，并將表決后的數據送三個獨立的處理器，各處理器完成數據運算后，控制器對三通道中的運算結果進行表決，并將表決結果送 I/O 總線，輸出模塊從 I/O 總線接收數據并進行表決，表決結果送三個通道進行數據輸出處理，處理結果表決后輸出驅動信號。

圖 1-2 控制站工程原理示意圖

控制站 I/O 模塊和控制器模塊支持冗余設置，兩個冗余模塊同時工作，無主備之分。冗余模式下，如果檢測到某個模塊出現故障，則可在線更換。

系統表決算法：

l 3 個通道正常時，執行 2oo3D 表決算法；

l 2 個通道正常時，隔離故障的通道，執行 1oo2D 算法；

l 1 個通道正常時，系統輸出故障安全值。輸入模塊的冗余和表決機制：

l 輸入模塊冗余模式下，現場信號同時進入兩個冗余輸入模塊，兩個冗余輸入模塊同時工作，無主備之分；

l 每個輸入模塊由三路采樣和處理通道構成，通道間相互獨立工作（無需同步）；

l 輸入模塊的實時輸入數據經過 3 個通道的表決之后，被送到控制器中；控制器模塊的冗余和表決機制：

l 冗余配置時，各控制器獨立工作，無主備之分；

l 每個控制器首先對來自每一對冗余輸入模塊的兩份實時輸入數據進行冗余選擇，選擇故障等級較低模塊的數據；

l 完成冗余選擇后，控制器模塊對 3 個通道間的輸入數據進行表決。控制器使用表決后的輸入數據進行用戶程序運算；

l 控制器將運算得到的實時輸出數據再次進行三通道間的表決，將表決后的輸出數據發送到輸出模塊中。輸出模塊的冗余和表決機制：

l 輸出模塊首先對來自冗余控制器的兩份輸出數據進行冗余選擇，選擇故障等級較低的控制器模塊的數據；

l 完成冗余選擇后，3 個通道的數據進行表決，表決后的數據驅動輸出電路輸出信號；

l 輸出信號采用硬件 2oo3D 表決后，輸出驅動信號；兩塊冗余的輸出模塊同時驅動負載。

1.2 系統功能

TCS-900 系統具備以下功能：

l 安全控制功能：采集輸入信號，經過安全控制邏輯運算后，輸出驅動信號；

l 安全站間通信功能：安全控制站之間交互安全數據；

l 系統診斷功能：內部診斷系統可識別系統運行期間產生的故障并發出適當的報警和狀態指示；

l SOE記錄功能：采集并記錄發生的順序事件記錄；

l 系統事件記錄功能：對系統發生過的事件進行記錄；

l 狀態指示功能：對系統的當前狀態進行指示；

l 網絡通信功能：與安全控制站以外的設備進行通信，包括與DCS控制站的常規站間通信，與工程師站或與操作站之間的數據交互，與MODBUS設備之間的數據交互；

l 時間同步功能：校對控制站的系統時間；

l 組態和調試功能：包括對控制站的組態進行編輯、編譯和下載，以及在聯機狀態下的數據調試功能。

l 現場信號回路檢測功能：檢測現場信號回路故障，例如開/短路、變送器故障等。

1.3 系統特性

l 模塊采用三重化結構設計，三個完全相同的通道獨立工作，模塊的輸入和輸出采用表決機制；

l 能忍受嚴酷的工業環境；

l 所有模塊支持在線熱更換，組態軟件支持在線下載，可實現不停車維護；

l 安全模塊支持雙模塊冗余配置，冗余配置時按照 3-3-2-0 降級，非冗余配置時按 3-2-0 降級； 

l 每個模塊內置實時環境溫度監測，支持超溫報警；

l 系統采用多級表決機制，增加故障隔離區，避免性能降級；

l 機架采用單模光纖擴展，最長擴展距離可達10km；

l 系統內建信息安全機制，易于構建縱深系統安全防御機制；

l 全系列硬件支持G3防腐要求，符合ISA-S71.04標準；

l 獲得獨立第三方安全認證機構TüV Rheinland的IEC61508 SIL3認證。

l TCS-900系統支持與ECS-700系統一體化設計，共享網絡和HMI

1.4 系統結構

1）TCS-900 系統構成

TCS-900 系統由工程師站和安全控制站構成，控制站由控制器模塊、安全輸入模塊及其端子板、安全輸出模塊及其端子板、網絡通信模塊組成。

4 TCS-900 系統概要 IM25U09-C

圖 1-3 TCS-900 系統邏輯結構圖

2）系統應用網絡結構： 

TCS-900 系統的工程師站和控制站間通過網絡通信模塊和以太網SCNet IV實現連接，系統的控制器模塊、網絡通信模塊和I/O模塊都安裝在機架中，TCS-900 系統的機架分為主機架和擴展/遠程機架，主機架與擴展機架通過擴展通信模塊和光纖電纜實現連接。系統應用網絡如 圖 1-4 所示。

OPC 服務器從控制站收集數據并將其顯示在 HMI 中，通過 SCnet IV 網絡的常規站間通信也可將來自 DCS 的實時數據傳送到 SIS 的控制站或者將 SIS 控制站的實時數據傳輸到 DCS。

安全控制站之間通過專用安全網絡 SafeEthernet 實現數據通信。

Modbus 主站設備通過 Modbus TCP 或 Modbus RTU 網絡實現與 TCS-900 系統的通信。其中Modbus TCP 與 SCnet IV 共用一個網絡。

現場 I/O 信號接入與 I/O 模塊配套的 I/O 端子板，再通過 DB 線接入到 I/O 模塊的三組通道中。

5 TCS-900 系統概要 IM25U09-C

6 

圖 1-4 TCS-900 系統應用網絡結構圖