引言
化工生产通常具有典型的易燃、易爆、有毒及高温高压的生产特征,属于高危行业。随着化工设备装置及产能的大型化,由事故导致的危害对社会诸多方面造成的严重后果日益引起人们的关注。尽管我们可以通过执行严格的规章制度、正确的操作方法、恢复性的年度检修和日常维护等方式来减少或避免事故和灾害的发生,但没有绝对安全的化工生产。因此,在化工生产装置中总是设有各种不同类型的安全设备及措施,以尽可能地降低事故或灾害对人身安全、设备安全和环境保护造成的影响。化工生产中的安全保护系统按专业主要分为机械、电气和仪表三类,而近几年安全仪表系统SIS(safety instrUment system)发展较快并得到广泛应用。由于大型化工生产装置中对生产安全性有较高要求,新项目通常独立配置安全仪表系统,完成过去由继电器、PLC或DCS完成的逻辑控制功能。为进一步提高装置仪表的安全防护等级,确保仪表故障或事故状态下人身设备和环境的安全,达到并符合国家及安监部门的要求,需对现有系统进行改造改造的目标是实现逻辑控制与连续控制功能的独立最大限度地避免过去同一系统下控制功能同时失效带来的风险,实现合成氨装置保护系统的高安全性。
一、安全仪表系统的选型
安全仪表系统的选择应当符合国际电工委员会 (IEC)2000年发布的IEC 61508《电气/电子/可编程电子安全相关系统的功能安全》标准,并经TUV认证。作为衡量电气/电子/可编程电子设备(E/E/PE)功能安全的标尺,IEC 61508标准的发布,为危险工业、安全仪表系统用户、系统集成商和设备供应商提供了一个统一的、为各方所接受的标准规范。选择经过TUV认证且符合IEC 61508标准的系统,用户将不需要依靠长期的实际经验或进行测试就能获得所选系统在安全可靠性、有效性、可维护和管理性上的严格保障。
1.1 SIS与DCS的主要差异
按照IEC 61508和IEC 61511标准,安全仪表系统和DCS系统是两种不同类别的系统,但两者互为补充和联系,主要差异如下。
①设计标准规范不同
安全仪表系统产品是按照IEC 61508标准设计、生产制造的,产品应用也要遵循IEC 61511提出的要求,有着统一的国际(国内)标准规范,并为制造商、用户各方所接受。DCS系统只需要达到使用国家及地区的标准规范要求、满足用户提出的要求即可。用户在选择和综合评估不同制造商的DCS系统时,更多考虑的是根据市场调查得到的其他用户的使用经验和供应商提供的资料数据。
②产品定位不同
安全仪表系统用于生产过程中的安全防护,功能安全是其核心定位,要求具有较高的可靠性和可用性。DCS系统则是用于生产中的过程控制,控制功能是其核心定位,要求满足和实现生产过程中需要的各种控制功能,并通过各项生产指标的优化控制CONTROL ENGINEERING China版权所有,实现生产装置的节能降耗和增效。
③工作特性不同
DCS系统是一个“动态”的过程控制系统,它实时采集现场大量的各种工艺数据,根据预定的控制策略进行运算(通常较为复杂耗时)处理后控制现场执行元件(调节阀)的动作。这个过程经常伴有操作人员的人工干预,响应处理速度一般在几百毫秒到一秒之间。安全仪表系统可以看作是一个“静态”的系统,正常工况下,它是“静止”的,不会发出控制输出指令,一旦达到或超过临界点,则快速响应进行逻辑运算(一般较为简单)处理后控制执行元件(电磁阀、两位式快动阀等)的动作,使装置处于所需的安全状态。这个过程一般没有人工操作干预,响应处理速度一般在几十到几百毫秒,优于DCS系统。
④产品认证不同
安全仪表系统(或该系统中的子系统及部件)需要经过独立公认的第三方权威安全机构的严格认证,如在世界范围内被认可的德国TUV认证。DCS系统则可以不需要通过这种认证,只需取得通用的认证即可,如UL、CE等。因此,在SIS选型时,要特别注意SIS与DCS的差异,不能按DCS的选型思路来选择安全仪表系统,且需要重点关注SIS全系统的安全性、可用性与可靠性。
1.2安全完整性等级的确定
安全完整性等级SIL(safety integrity level)是指在一定时间、一定条件下控制工程网版权所有,安全相关系统执行其所规定的安全功能的可能性。选择安全仪表系统时,需要确定安全仪表系统的安全完整性等级。安全完整性等级是对安全仪表系统安全性能的要求级别,一个装置的危险性越高www.cechina.cn,对安全仪表系统要求的安全等级就越高,获得对应级别安全性能所付出的安全成本也越高。生产装置的危险由下式决定:
Risk=Probability*Consequences
式中:Risk表示装置可能的危险;Probability为危险发生的概率;Consequences表示危险的后果
危险发生的概率为危险事件发生概率与安全仪表系统的失效概率的乘积,而SIL与失效概率有着对应关系。因此,SIL反映了安全功能对整体风险水平降低的作用程度。在评估和确定安全完整性等级时,根据生产装置的特点、工艺的危险性、国家和企业相关法规所要求达到的安全等级,由具有资质的专门机构进行,也可由企业根据自己实践经验分析确定,通常大型化工、石化和电力行业所需的安全等级为SIL3级。合成氨装置作为我公司在当地的重大危险源之一,对企业和周边地区人身、设备和环保有重大的影响。按照通常大型化工装置的安全等级防护要求,确定合成氨装置的安全完整性等级为SIL3。需要强调的是,安全完整性等级是对整个系统而言,包括输入输出环节上的所有串联设备(部件)都应该纳入考虑的范畴。然而,现阶段输入输出设备能够达到SIL3并经过TUV认证的并不多,输入输出设备中的变送器(传感器)、安全栅、继电器、电磁阀和阀门等多为SILI或Sl 砚。用户可以根据具体使用情况和安全性要求进行评估后选择,尽可能选用接近所要求安全完整性的产品,或在关键回路中尽量选用SIL高的产品,或通过其他方法来提高SIL等级,如在安全仪表系统中使用的变送器,单台使用的情况下,SIL可能只能达到SILI或SlU,如果需要达到SIL3,就需要使用多台变送器,通过表决取值(三选二、变化率选择或其他方式)来实现。改造过程中,我们对重要关键回路(如压缩机润滑油压等)保留了过去三选二的配置和处理。
1.3 SIS产品本身安全性的识别
停车联锁拒动与误动是系统运行中存在的关键问题。误动带来的风险是企业短时局部经济效益的损失,拒动带来的风险则可能导致企业人身、设备和环境的巨大灾难,后果影响是长期重大的。化工安全仪表系统的功能是安全防护,其主要用途之一是化工生产过程中的安全防护,即停车联锁控制,此时,也将安全仪表系统称为紧急停车系统ESD(emergency Shut down)。功能安全是安全仪表系统的核心特征,设计理念与应用须遵循IEC 61508/61511标准,且必须是故障安全型的控制系统。
安全仪表系统本身必须具有很高的安全性。当系统检测到装置工艺变量达到或超过临界值时,必须完成安全保护动作,避免事故或危险扩大,这是它的正常功能。另一方面,安全仪表系统必须有很强的诊断功能,系统中局部故障或失效产生单点故障时,故障不会扩大并可切除或隔离;当系统中的故障足够严重(非工艺参数变量引起),如系统不能正常工作,或者因为系统中的故障导致安全仪表系统的安全完整性等级下降时,安全仪表系统将宕机,系统中独立的诊断模块(看门狗)将触发故障安全保护动作,保证系统不会因为重大仪表系统故障产生拒动的风险而失去安全性,从而保障了工艺装置的安全性。如本次改造采用霍尼韦尔SM系统集中完成全部输入逻辑处理运算和输出设备的控制,集中度高、风险高,对SIL的等级应高于输入输出。这种SIL级别的要求包括系统内部逻辑处理器的输入输出接口、处理器(CPU)、电源、总线、通信接口和软件系统,且必须是通过TUV认证的。FSC2OO4D系统结构如图1所示。控制处理器由冗余的两块CPU卡构成,每个CPU卡有两个微处理器,安全降级模式为4-2-0,正常工作时为SIL3;当一个CPU卡出现故障时,仍为SIL3;当两块都坏时,系统将宕机,故障安全保护将动作图。
二、SIS在化工装置中的应用
在本次改造中,将关键回路的逻辑控制与ESD系统从TPS中独立出来,从而提升逻辑控制与主要化工设备与装置的安全性。由于选用的SM系统本身是SIL3系统,因此,改造的关键在于输入输出环节的可用性与可靠性的处理。
2.1 增强SIS的可用性
应用在安全仪表系统中,可用性也是系统的一项重要指标和性能。简单地说,可用性是指系统不因单点故障的产生而丧失系统功能(或使用)的性能。在DCS系统中,通常采用冗余技术来获得系统的可用性,安全仪表系统也不例外。对于我公司大型连续生产的化工生产装置 ― 合成氨装置,不能因为系统单点的故障影响到系统的可用性,高可用性是必须的。为了获得高可用性,在合成气压缩机控制中仍然按全冗余进行配置,包括电源等硬件。
2.1.1合成气 103-J停车逻辑控制
合成103-J透平压缩机组设置了润滑油主辅油泵启停联锁、盘车联锁、启停允许联锁、紧急停车联锁 (ESD)、工艺相关联锁和冷凝液泵启停联锁。合成气压缩机103-J停车联锁设计的目的是使机组安全启停,进而保护机组。其紧急停车联锁逻辑如图2所示。
根据上述逻辑示意图,以下任意一个条件满足都会联锁103-J停车,停车信号则送至DCS(XA1203)、现场就地盘(UA01003)、辅操台(UA1203) ,以及切断三个停车电磁阀(XY04514 A/B/C)电源,使速关阀快速关闭,同时切断三个防喘振阀电磁阀(XSVl007/8/9) 电源,使阀门快速打开。
①按下关速关阀按钮(HSl273B) ,触发f511_01输出。
②控制油压力 PAID4507 A/B/C任意两个达到联锁报警值时,系统通过三选二输出,触发f511_01输出,联锁停止压缩机。
③103-J高、低压缸密封气一级放空差(PDI004454-QHH、PDI04458_QHH 、PDI04434_QHH 、PDI04438_QHH) 任意一个达到高高报时,触发103J-TRIP逻辑输出。
④将103-J透平压缩机组的轴瓦温度、轴振动以及轴位移各监测点引入Bently 3500系统中,各点的逻辑关系在Bently 3500组态完成,并送出TAHH701、TAHH7O4、TAHH733、VAHH701、VAHH7O2、VAHH731、VAHH732、ZAHH703、ZAHH733、TAHH04582 、ZAHH04511、VAHH04510、VAHHO4509等信号到SM系统停车联锁。Bendy 3500系统对机组运行情况进行监测,如机组任意一个轴瓦温度、轴振动以及轴位移达到联锁值,Bently 3500系统都送出相对应的停车信号(103J_TRIP)到SM系统联锁停止压缩机。
⑤103-J高、低压缸密封气压差和隔离气压差任意一点达到联锁报警值,在延时30.0 min后报警未消除则联锁停止压缩机。
⑥当103-J润滑油总管的三台压力变送器中有任意两个达到联锁报警值(PALL04406 A/B/C)时,系统通过三选二输出联锁(103J_TRIP)停止压缩机。
⑦操作人员按下主控制(HS1203)或现场就地盘 (HS04571)紧急停车按钮时,联锁停止压缩机。
⑧系统检测到压缩机的两个转速探头 (SE01003A/B)都故障时,将送出停车信号(f1SPD_FL)联锁停止压缩机。
⑨在103-J正常运行转SE01003A/B超过11738.0r/min或在103-J做超速测试实验时转速SE01003A/B超过11800.0r/min时,系统将送出停车信号(103J_TRIP)联锁停止压缩机。
⑩当103-JT排气压力三台压力变送器中任意两个达到联锁报警值(PAHH04465 A/B/C)时,系统通过三选二输出联锁停止压缩机;103-JT 排气温度三个点中任意两个达到联锁报警值(TAll04467 A/B/C)时,系统通过三选二输出联锁停止压缩机;三选二超速保护系统中三个通道有任意两个报警(SAll04513 A/B/C)或任意两个通道检查到超速发出报警信号( SAHII04513 A/B/C)时,系统通过三选二输出联锁停止压缩机。
由于系统的逻辑设计是安全仪表系统逻辑运算的重要环节,逻辑设计的可用性对系统 SIL级别影响至关重要。改造中采用的措施如下:①使用冗余输入的运算逻辑,如检测元件三重冗余配置的“三选二”逻辑形式,以满足所要求的可用性;②根据工艺特点,对压缩机启停允许联锁、工艺相关联锁采用触发器模块,完成安全保护动作的触发与复位,规避状态保持的逻辑自锁,实现安全保护动作;③根据工艺要求,设置灵活的旁路切除开关。
2.1.2逻辑输入输出环节的可用性处理
作为串联风险的输入输出环节,逻辑输入输出环节是整个安全仪表系统的主要组成部分。根据工艺要求、改造成本和冗余增加带来的故障点风险的综合评估,在改造中对安全仪表系统的输入输出环节作相应的处理,力求规避单点故障带来的短板效应。
①为减小检测变送环节自身的故障率,本次安全仪表系统的检测元件增选了部分具有安全水平认证的变送器产品,相关产品达到了SILI-2安全等级并获得TUV认证,使得部分检测元件产品的安全等级有了明确的界定。压缩机的控制油压力、润滑油压力、排气压力与温度、压缩机转速等重要参数采用三重检测并设置偏差报警;对设备自诊断信息进行二次容错判断并作为预处理逻辑运算的约束条件,确保输入环节总体达到SIL3安全完整性等级。
②在执行机构(电磁阀、速开阀、速关阀)的配置上,SIL2及以上等级的安全仪表系统通常采用独立或冗余配置的执行机构。在单台执行机构和冗余元件两种方法都可行时,采用高可靠度执行元件通常比执行元件冗余更好,执行机构优先选用符合IEC 61508安全度等级并取得相关认证的产品。改造中防喘振电磁阀(XSV1007/8/9)分别作用于压缩机的三段,喘振值根据不同负荷的喘振曲线随机得出,在电源双路独立供电的情况下,对ESD均采用气关阀失电动作,从而可以最大限度地防止该电磁阀的拒动。三重化输出的停车电磁阀(XY04514 A/B/C)作用于蒸汽速关阀的控制油系统,从而使油压推动的蒸汽阀快速关闭,压缩机安全停车。综上所述,实际输出环节整体接近SIL3的安全等级要求。
2.2 SIS可靠性应用的完善
合成氨装置的生产目标是长、安、稳运行,安全仪表系统联锁误动作尽可能少发生或不发生,实现企业效益的最大化。但化工生产安全不能过度,过度则会使联锁动作停车,造成安全目标与生产目标严重冲突。
尽管安全仪表系统SM自身是安全可靠的,但也需要综合考虑实际应用中的各种因素,才能起到有效的安全保护作用。改造中,我们从以下三个方面完善系统的安全可靠性。
2.2.1完善安全功能的设计
原有的联锁功能已经在DCS系统中运行多年,稳定可靠,输入以模拟量为主。当移植到SM中时,逻辑功能不需要作过多的修改,模拟处理功能则需要根据使用要求进行修改,特别对于高温高压下的液位测量,需采用软测量的方法来补正液体密度变化带来的巨大测量误差闹。由于SM主要以处理数字量为主www.cechina.cn,输入预处理功能较弱,改造中采用如下措施:①温压补正、小信号切除等功能采用自定义功能块实现;②使用开方、除法器时,规避不能出现负数开方和除数为零的应用,以避免运行时造成非正常停车事故。
2.2.2输入输出可靠性的增强
经验和统计数据表明,传感器故障率约为40%控制器故障率约为10%,执行机构故障率约50%。系统误动作的不安全因素主要来自输入与输出两端,是故障率较高的两个环节。除了选用质量有保证和可靠性较高或经过认证的产品外,改造中采取了如下措施输入回路使用信号浪涌保护器(防雷栅);24VDC外部供电冗余并安装浪涌保护器;两路UPS 220 VAC供电并安装多级浪涌保护器;干扰比较大的回路安装隔离栅曰;选用低密度(4或8通道)I/O卡;不相关回路分配到不同的I/0卡上;减少输入输出中间连接环节对工艺条件许可的快开阀实现冗余并联配置,快关阀实现冗余串联配置。
2.2.3安全的可视化操作界面合成氨装置原有联锁功能在霍尼韦尔公司的TPS系统中完成时,操作监控非常方便,改用SM实现联锁功能后,由于安全仪表系统不同于DCS系统,属于低操作率的系统,正常时不需要过多的人工干预,系统自身的操作监控界面比较简单、不利于集中监控,操作起来也不方便。为此CONTROL ENGINEERING China版权所有,按照操作人员在事故状态下易误操作的情景模拟,完成了对主控人机操作界面的设计与改造:根据操作习惯和操作的安全性,重新设置操作按钮的布局与击键确认次数;根据不同故障模式,操作导向图示化;逻辑控制输入、控制、输出三个环节的所有点的有效性状态显示;设置了联锁单点切除开关功能,方便操作维护。
三、应用效果
系统改造投用后,可用性和可靠性明显提高,运行稳定。系统运行1年多以来,应用效果对比如表1所示。
四、结束语
在化工生产中,安全仪表系统是非常重要的特殊控制系统,在选型、改造、使用与维护中必须遵循严格的安全标准及规范,并根据企业自身的实际情况,综合采取多种安全可靠性措施,确保系统功能安全的实现,使企业的人身设备安全和环境安全得到充分可靠的保障。