今日頭條
官方微信
官方抖音
資訊頻道摘要:
引言:化工生產通常具有典型的易燃、易爆、有毒及高溫高壓的生產特征,屬于高危行業。隨著化工設備裝置及產能的大型化,由事故導致的危害對社會諸多方面造成的嚴重后果日益引起人們的關注。盡管我們可以通過執行嚴格的規章制度、正確的操作方法、恢復性的年度檢修和日常維護等方式來減少或避免事故和災害的發生,但沒有絕對安全的化工生產。因此,在化工生產裝置中總是設有各種不同類型的安全設備及措施,以盡可能地降低事故或災害對人身安全、設備安全和環境保護造成的影響。化工生產中的安全保護系統按專業主要分為機械、電氣和儀表三類,而近幾年安全儀表系統SIS(safety instrUment system)發展較快并得到廣泛應用。由于大型化工生產裝置中對生產安全性有較高要求,新項目通常獨立配置安全儀表系統,完成過去由繼電器、PLC或DCS完成的邏輯控制功能。為進一步提高裝置儀表的安全防護等級,確保儀表故障或事故狀態下人身設備和環境的安全,達到并符合國家及安監部門的要求,需對現有系統進行改造改造的目標是實現邏輯控制與連續控制功能的獨立最大限度地避免過去同一系統下控制功能同時失效帶來的風險,實現合成氨裝置保護系統的高安全性。
一、安全儀表系統的選型
安全儀表系統的選擇應當符合國際電工委員會 (IEC)2000年發布的IEC 61508《電氣/電子/可編程電子安全相關系統的功能安全》標準,并經TUV認證。作為衡量電氣/電子/可編程電子設備(E/E/PE)功能安全的標尺,IEC 61508標準的發布,為危險工業、安全儀表系統用戶、系統集成商和設備供應商提供了一個統一的、為各方所接受的標準規范。選擇經過TUV認證且符合IEC 61508標準的系統,用戶將不需要依靠長期的實際經驗或進行測試就能獲得所選系統在安全可靠性、有效性、可維護和管理性上的嚴格保障。
1.1 SIS與DCS的主要差異
按照IEC 61508和IEC 61511標準,安全儀表系統和DCS系統是兩種不同類別的系統,但兩者互為補充和聯系,主要差異如下。
①設計標準規范不同
安全儀表系統產品是按照IEC 61508標準設計、生產制造的,產品應用也要遵循IEC 61511提出的要求,有著統一的國際(國內)標準規范,并為制造商、用戶各方所接受。DCS系統只需要達到使用國家及地區的標準規范要求、滿足用戶提出的要求即可。用戶在選擇和綜合評估不同制造商的DCS系統時,更多考慮的是根據市場調查得到的其他用戶的使用經驗和供應商提供的資料數據。
②產品定位不同
安全儀表系統用于生產過程中的安全防護,功能安全是其核心定位,要求具有較高的可靠性和可用性。DCS系統則是用于生產中的過程控制,控制功能是其核心定位,要求滿足和實現生產過程中需要的各種控制功能,并通過各項生產指標的優化控制,實現生產裝置的節能降耗和增效。
③工作特性不同
DCS系統是一個“動態”的過程控制系統,它實時采集現場大量的各種工藝數據,根據預定的控制策略進行運算(通常較為復雜耗時)處理后控制現場執行元件(調節閥)的動作。這個過程經常伴有操作人員的人工干預,響應處理速度一般在幾百毫秒到一秒之間。安全儀表系統可以看作是一個“靜態”的系統,正常工況下,它是“靜止”的,不會發出控制輸出指令,一旦達到或超過臨界點,則快速響應進行邏輯運算(一般較為簡單)處理后控制執行元件(電磁閥、兩位式快動閥等)的動作,使裝置處于所需的安全狀態。這個過程一般沒有人工操作干預,響應處理速度一般在幾十到幾百毫秒,優于DCS系統。
④產品認證不同
安全儀表系統(或該系統中的子系統及部件)需要經過獨立公認的第三方權威安全機構的嚴格認證,如在世界范圍內被認可的德國TUV認證。DCS系統則可以不需要通過這種認證,只需取得通用的認證即可,如UL、CE等。因此,在SIS選型時,要特別注意SIS與DCS的差異,不能按DCS的選型思路來選擇安全儀表系統,且需要重點關注SIS全系統的安全性、可用性與可靠性。
1.2安全完整性等級的確定
安全完整性等級SIL(safety integrity level)是指在一定時間、一定條件下,安全相關系統執行其所規定的安全功能的可能性。選擇安全儀表系統時,需要確定安全儀表系統的安全完整性等級。安全完整性等級是對安全儀表系統安全性能的要求級別,一個裝置的危險性越高,對安全儀表系統要求的安全等級就越高,獲得對應級別安全性能所付出的安全成本也越高。生產裝置的危險由下式決定:
Risk=Probability*Consequences
式中:Risk表示裝置可能的危險;Probability為危險發生的概率;Consequences表示危險的后果
危險發生的概率為危險事件發生概率與安全儀表系統的失效概率的乘積,而SIL與失效概率有著對應關系。因此,SIL反映了安全功能對整體風險水平降低的作用程度。在評估和確定安全完整性等級時,根據生產裝置的特點、工藝的危險性、國家和企業相關法規所要求達到的安全等級,由具有資質的專門機構進行,也可由企業根據自己實踐經驗分析確定,通常大型化工、石化和電力行業所需的安全等級為SIL3級。合成氨裝置作為我公司在當地的重大危險源之一,對企業和周邊地區人身、設備和環保有重大的影響。按照通常大型化工裝置的安全等級防護要求,確定合成氨裝置的安全完整性等級為SIL3。需要強調的是,安全完整性等級是對整個系統而言,包括輸入輸出環節上的所有串聯設備(部件)都應該納入考慮的范疇。然而,現階段輸入輸出設備能夠達到SIL3并經過TUV認證的并不多,輸入輸出設備中的變送器(傳感器)、安全柵、繼電器、電磁閥和閥門等多為SILI或Sl 硯。用戶可以根據具體使用情況和安全性要求進行評估后選擇,盡可能選用接近所要求安全完整性的產品,或在關鍵回路中盡量選用SIL高的產品,或通過其他方法來提高SIL等級,如在安全儀表系統中使用的變送器,單臺使用的情況下,SIL可能只能達到SILI或SlU,如果需要達到SIL3,就需要使用多臺變送器,通過表決取值(三選二、變化率選擇或其他方式)來實現。改造過程中,我們對重要關鍵回路(如壓縮機潤滑油壓等)保留了過去三選二的配置和處理。
1.3 SIS產品本身安全性的識別
停車聯鎖拒動與誤動是系統運行中存在的關鍵問題。誤動帶來的風險是企業短時局部經濟效益的損失,拒動帶來的風險則可能導致企業人身、設備和環境的巨大災難,后果影響是長期重大的。化工安全儀表系統的功能是安全防護,其主要用途之一是化工生產過程中的安全防護,即停車聯鎖控制,此時,也將安全儀表系統稱為緊急停車系統ESD(emergency Shut down)。功能安全是安全儀表系統的核心特征,設計理念與應用須遵循IEC 61508/61511標準,且必須是故障安全型的控制系統。
安全儀表系統本身必須具有很高的安全性。當系統檢測到裝置工藝變量達到或超過臨界值時,必須完成安全保護動作,避免事故或危險擴大,這是它的正常功能。另一方面,安全儀表系統必須有很強的診斷功能,系統中局部故障或失效產生單點故障時,故障不會擴大并可切除或隔離;當系統中的故障足夠嚴重(非工藝參數變量引起),如系統不能正常工作,或者因為系統中的故障導致安全儀表系統的安全完整性等級下降時,安全儀表系統將宕機,系統中獨立的診斷模塊(看門狗)將觸發故障安全保護動作,保證系統不會因為重大儀表系統故障產生拒動的風險而失去安全性,從而保障了工藝裝置的安全性。如本次改造采用霍尼韋爾SM系統集中完成全部輸入邏輯處理運算和輸出設備的控制,集中度高、風險高,對SIL的等級應高于輸入輸出。這種SIL級別的要求包括系統內部邏輯處理器的輸入輸出接口、處理器(CPU)、電源、總線、通信接口和軟件系統,且必須是通過TUV認證的。FSC2OO4D系統結構如圖1所示。控制處理器由冗余的兩塊CPU卡構成,每個CPU卡有兩個微處理器,安全降級模式為4-2-0,正常工作時為SIL3;當一個CPU卡出現故障時,仍為SIL3;當兩塊都壞時,系統將宕機,故障安全保護將動作圖。
二、SIS在化工裝置中的應用
在本次改造中,將關鍵回路的邏輯控制與ESD系統從TPS中獨立出來,從而提升邏輯控制與主要化工設備與裝置的安全性。由于選用的SM系統本身是SIL3系統,因此,改造的關鍵在于輸入輸出環節的可用性與可靠性的處理。
2.1 增強SIS的可用性
應用在安全儀表系統中,可用性也是系統的一項重要指標和性能。簡單地說,可用性是指系統不因單點故障的產生而喪失系統功能(或使用)的性能。在DCS系統中,通常采用冗余技術來獲得系統的可用性,安全儀表系統也不例外。對于我公司大型連續生產的化工生產裝置 ― 合成氨裝置,不能因為系統單點的故障影響到系統的可用性,高可用性是必須的。為了獲得高可用性,在合成氣壓縮機控制中仍然按全冗余進行配置,包括電源等硬件。
2.1.1合成氣 103-J停車邏輯控制
合成103-J透平壓縮機組設置了潤滑油主輔油泵啟停聯鎖、盤車聯鎖、啟停允許聯鎖、緊急停車聯鎖 (ESD)、工藝相關聯鎖和冷凝液泵啟停聯鎖。合成氣壓縮機103-J停車聯鎖設計的目的是使機組安全啟停,進而保護機組。其緊急停車聯鎖邏輯如圖2所示。
根據上述邏輯示意圖,以下任意一個條件滿足都會聯鎖103-J停車,停車信號則送至DCS(XA1203)、現場就地盤(UA01003)、輔操臺(UA1203) ,以及切斷三個停車電磁閥(XY04514 A/B/C)電源,使速關閥快速關閉,同時切斷三個防喘振閥電磁閥(XSVl007/8/9) 電源,使閥門快速打開。
①按下關速關閥按鈕(HSl273B) ,觸發f511_01輸出。
②控制油壓力 PAID4507 A/B/C任意兩個達到聯鎖報警值時,系統通過三選二輸出,觸發f511_01輸出,聯鎖停止壓縮機。
③103-J高、低壓缸密封氣一級放空差(PDI004454-QHH、PDI04458_QHH 、PDI04434_QHH 、PDI04438_QHH) 任意一個達到高高報時,觸發103J-TRIP邏輯輸出。
④將103-J透平壓縮機組的軸瓦溫度、軸振動以及軸位移各監測點引入Bently 3500系統中,各點的邏輯關系在Bently 3500組態完成,并送出TAHH701、TAHH7O4、TAHH733、VAHH701、VAHH7O2、VAHH731、VAHH732、ZAHH703、ZAHH733、TAHH04582 、ZAHH04511、VAHH04510、VAHHO4509等信號到SM系統停車聯鎖。Bendy 3500系統對機組運行情況進行監測,如機組任意一個軸瓦溫度、軸振動以及軸位移達到聯鎖值,Bently 3500系統都送出相對應的停車信號(103J_TRIP)到SM系統聯鎖停止壓縮機。
⑤103-J高、低壓缸密封氣壓差和隔離氣壓差任意一點達到聯鎖報警值,在延時30.0 min后報警未消除則聯鎖停止壓縮機。
⑥當103-J潤滑油總管的三臺壓力變送器中有任意兩個達到聯鎖報警值(PALL04406 A/B/C)時,系統通過三選二輸出聯鎖(103J_TRIP)停止壓縮機。
⑦操作人員按下主控制(HS1203)或現場就地盤 (HS04571)緊急停車按鈕時,聯鎖停止壓縮機。
⑧系統檢測到壓縮機的兩個轉速探頭 (SE01003A/B)都故障時,將送出停車信號(f1SPD_FL)聯鎖停止壓縮機。
⑨在103-J正常運行轉SE01003A/B超過11738.0r/min或在103-J做超速測試實驗時轉速SE01003A/B超過11800.0r/min時,系統將送出停車信號(103J_TRIP)聯鎖停止壓縮機。
⑩當103-JT排氣壓力三臺壓力變送器中任意兩個達到聯鎖報警值(PAHH04465 A/B/C)時,系統通過三選二輸出聯鎖停止壓縮機;103-JT 排氣溫度三個點中任意兩個達到聯鎖報警值(TAll04467 A/B/C)時,系統通過三選二輸出聯鎖停止壓縮機;三選二超速保護系統中三個通道有任意兩個報警(SAll04513 A/B/C)或任意兩個通道檢查到超速發出報警信號( SAHII04513 A/B/C)時,系統通過三選二輸出聯鎖停止壓縮機。
由于系統的邏輯設計是安全儀表系統邏輯運算的重要環節,邏輯設計的可用性對系統 SIL級別影響至關重要。改造中采用的措施如下:①使用冗余輸入的運算邏輯,如檢測元件三重冗余配置的“三選二”邏輯形式,以滿足所要求的可用性;②根據工藝特點,對壓縮機啟停允許聯鎖、工藝相關聯鎖采用觸發器模塊,完成安全保護動作的觸發與復位,規避狀態保持的邏輯自鎖,實現安全保護動作;③根據工藝要求,設置靈活的旁路切除開關。
2.1.2邏輯輸入輸出環節的可用性處理
作為串聯風險的輸入輸出環節,邏輯輸入輸出環節是整個安全儀表系統的主要組成部分。根據工藝要求、改造成本和冗余增加帶來的故障點風險的綜合評估,在改造中對安全儀表系統的輸入輸出環節作相應的處理,力求規避單點故障帶來的短板效應。
①為減小檢測變送環節自身的故障率,本次安全儀表系統的檢測元件增選了部分具有安全水平認證的變送器產品,相關產品達到了SILI-2安全等級并獲得TUV認證,使得部分檢測元件產品的安全等級有了明確的界定。壓縮機的控制油壓力、潤滑油壓力、排氣壓力與溫度、壓縮機轉速等重要參數采用三重檢測并設置偏差報警;對設備自診斷信息進行二次容錯判斷并作為預處理邏輯運算的約束條件,確保輸入環節總體達到SIL3安全完整性等級。
②在執行機構(電磁閥、速開閥、速關閥)的配置上,SIL2及以上等級的安全儀表系統通常采用獨立或冗余配置的執行機構。在單臺執行機構和冗余元件兩種方法都可行時,采用高可靠度執行元件通常比執行元件冗余更好,執行機構優先選用符合IEC 61508安全度等級并取得相關認證的產品。改造中防喘振電磁閥(XSV1007/8/9)分別作用于壓縮機的三段,喘振值根據不同負荷的喘振曲線隨機得出,在電源雙路獨立供電的情況下,對ESD均采用氣關閥失電動作,從而可以最大限度地防止該電磁閥的拒動。三重化輸出的停車電磁閥(XY04514 A/B/C)作用于蒸汽速關閥的控制油系統,從而使油壓推動的蒸汽閥快速關閉,壓縮機安全停車。綜上所述,實際輸出環節整體接近SIL3的安全等級要求。
2.2 SIS可靠性應用的完善
合成氨裝置的生產目標是長、安、穩運行,安全儀表系統聯鎖誤動作盡可能少發生或不發生,實現企業效益的最大化。但化工生產安全不能過度,過度則會使聯鎖動作停車,造成安全目標與生產目標嚴重沖突。
盡管安全儀表系統SM自身是安全可靠的,但也需要綜合考慮實際應用中的各種因素,才能起到有效的安全保護作用。改造中,我們從以下三個方面完善系統的安全可靠性。
2.2.1完善安全功能的設計
原有的聯鎖功能已經在DCS系統中運行多年,穩定可靠,輸入以模擬量為主。當移植到SM中時,邏輯功能不需要作過多的修改,模擬處理功能則需要根據使用要求進行修改,特別對于高溫高壓下的液位測量,需采用軟測量的方法來補正液體密度變化帶來的巨大測量誤差鬧。由于SM主要以處理數字量為主,輸入預處理功能較弱,改造中采用如下措施:①溫壓補正、小信號切除等功能采用自定義功能塊實現;②使用開方、除法器時,規避不能出現負數開方和除數為零的應用,以避免運行時造成非正常停車事故。
2.2.2輸入輸出可靠性的增強
經驗和統計數據表明,傳感器故障率約為40%控制器故障率約為10%,執行機構故障率約50%。系統誤動作的不安全因素主要來自輸入與輸出兩端,是故障率較高的兩個環節。除了選用質量有保證和可靠性較高或經過認證的產品外,改造中采取了如下措施輸入回路使用信號浪涌保護器(防雷柵);24VDC外部供電冗余并安裝浪涌保護器;兩路UPS 220 VAC供電并安裝多級浪涌保護器;干擾比較大的回路安裝隔離柵曰;選用低密度(4或8通道)I/O卡;不相關回路分配到不同的I/0卡上;減少輸入輸出中間連接環節對工藝條件許可的快開閥實現冗余并聯配置,快關閥實現冗余串聯配置。
2.2.3安全的可視化操作界面合成氨裝置原有聯鎖功能在霍尼韋爾公司的TPS系統中完成時,操作監控非常方便,改用SM實現聯鎖功能后,由于安全儀表系統不同于DCS系統,屬于低操作率的系統,正常時不需要過多的人工干預,系統自身的操作監控界面比較簡單、不利于集中監控,操作起來也不方便。為此,按照操作人員在事故狀態下易誤操作的情景模擬,完成了對主控人機操作界面的設計與改造:根據操作習慣和操作的安全性,重新設置操作按鈕的布局與擊鍵確認次數;根據不同故障模式,操作導向圖示化;邏輯控制輸入、控制、輸出三個環節的所有點的有效性狀態顯示;設置了聯鎖單點切除開關功能,方便操作維護。
三、應用效果
系統改造投用后,可用性和可靠性明顯提高,運行穩定。系統運行1年多以來,應用效果對比如表1所示。
四、結束語
在化工生產中,安全儀表系統是非常重要的特殊控制系統,在選型、改造、使用與維護中必須遵循嚴格的安全標準及規范,并根據企業自身的實際情況,綜合采取多種安全可靠性措施,確保系統功能安全的實現,使企業的人身設備安全和環境安全得到充分可靠的保障。
北京市公安局海淀分局備案號:11010802023656號