方心意 張 銳

（浙江泰鴿安全科技有限公司）

一、引言

眾所周知，化工生產(chǎn)過(guò)程中具有易燃、易爆、強(qiáng)腐蝕、開/停車頻繁且復(fù)雜的特點(diǎn)，為確保設(shè)備和人員的安全，最大限度地減少由于過(guò)程失控而造成的設(shè)備損壞和人身傷害，自動(dòng)化安全控制系統(tǒng)的采用是必不可少的。

二、自動(dòng)化安全控制系統(tǒng)的特點(diǎn)

自動(dòng)化安全控制系統(tǒng)是對(duì)生產(chǎn)裝置可能發(fā)生的危險(xiǎn)進(jìn)行響應(yīng)和保護(hù)的自動(dòng)化儀表控制系統(tǒng)，其作用是保障企業(yè)的安全生產(chǎn)，避免人身傷害及重大設(shè)備損壞。自動(dòng)化安全控制系統(tǒng)主要由檢測(cè)變送單元、邏輯控制單元、執(zhí)行控制單元等組成，其中邏輯控制單元（簡(jiǎn)稱LCU）是系統(tǒng)的中樞與核心，它采用電子器件和微機(jī)控制技術(shù)，用軟件實(shí)現(xiàn)控制電路邏輯關(guān)系。

自動(dòng)化安全控制系統(tǒng)應(yīng)具有以下特點(diǎn)：（1）簡(jiǎn)單，可靠；（2）獨(dú)立成系統(tǒng)、分散性好；（3）自身故障易于排查、恢復(fù)。

一個(gè)系統(tǒng)的可靠性，一方面和它的結(jié)構(gòu)有關(guān)，另外還與構(gòu)成它的元器件的可靠性及相關(guān)的運(yùn)行環(huán)境有關(guān)。通常系統(tǒng)的可靠性可以用下式描述：

式中：S——系統(tǒng)的可靠性系數(shù)；

Fu——系統(tǒng)的非安全因素；

Fa——其他非安全因素。

由上式可以看出，系統(tǒng)的非安全因素Fu越低，其安全系數(shù)S越趨近于1，表明該系統(tǒng)的可靠性越高。系統(tǒng)的非安全因素Fu一般由下列內(nèi)容構(gòu)成：（1）系統(tǒng)的體系結(jié)構(gòu)；（2）構(gòu)成系統(tǒng)的元器件的可靠性指標(biāo)；（3）邏輯程序設(shè)計(jì)的合理性；（4）運(yùn)行環(huán)境的可靠性。

三、PLC系統(tǒng)的特點(diǎn)分析及實(shí)際應(yīng)用

PLC即可編程邏輯控制器，是一種主要進(jìn)行邏輯操作的控制設(shè)備。安全聯(lián)鎖邏輯在PLC中實(shí)現(xiàn)也是非常容易的，從硬件結(jié)構(gòu)上看可以分為3種：

（1）單一結(jié)構(gòu)。這種結(jié)構(gòu)由單臺(tái)PLC構(gòu)成聯(lián)鎖系統(tǒng)，利用梯形圖或邏輯語(yǔ)言構(gòu)成聯(lián)鎖邏輯程序，硬件由單一的CPU，I/O通道組成，安全系數(shù)較低，化工裝置不宜采用這種形式。

（2）雙臺(tái)結(jié)構(gòu)。由雙臺(tái)PLC構(gòu)成的聯(lián)鎖系統(tǒng)，考慮到了冗余的問(wèn)題，可以做到一開一備。但2臺(tái)PLC之間只能做到冷備份，很難達(dá)到熱備份即平滑無(wú)擾動(dòng)自動(dòng)瞬間切換的效果。因?yàn)?臺(tái)PLC的數(shù)據(jù)庫(kù)不能進(jìn)行實(shí)時(shí)映像拷貝，不具備用于自動(dòng)切換的硬件和相應(yīng)的軟件，運(yùn)行中的PLC只能從初始狀態(tài)投入運(yùn)行，不能保證過(guò)程的連續(xù)性。

（3）三選二結(jié)構(gòu)。三選二PLC構(gòu)成的系統(tǒng)示意圖見圖1。

圖1 三選二系統(tǒng)示意圖

這種結(jié)構(gòu)是利用A、B、C 3臺(tái)PLC接收來(lái)自現(xiàn)場(chǎng)的信號(hào)，并運(yùn)行邏輯程序，運(yùn)行的結(jié)果送PLC-D進(jìn)行比較，正確的結(jié)果輸送到現(xiàn)場(chǎng)。這是一個(gè)三選二系統(tǒng)，一旦3臺(tái)PLC的運(yùn)行結(jié)果不一致，則認(rèn)為系統(tǒng)故障；而當(dāng)其中1臺(tái)的結(jié)果同另2臺(tái)有差別時(shí)，則認(rèn)為該設(shè)備出現(xiàn)故障并發(fā)出警報(bào)提示修理，這大大地提高了系統(tǒng)運(yùn)行的可靠性。但作為選擇用的PLC-D只能是單臺(tái)構(gòu)成，其正常與否直接關(guān)系到系統(tǒng)的可靠性，一旦損壞勢(shì)必造成整個(gè)裝置的停車。

利用PLC構(gòu)成的連鎖系統(tǒng)具有簡(jiǎn)單直觀，相對(duì)獨(dú)立于管控組態(tài)，修改容易，占地面積小等優(yōu)點(diǎn)，近幾年得到了廣泛的應(yīng)用，相對(duì)利用DCS實(shí)現(xiàn)安全聯(lián)鎖的系統(tǒng)，可靠性有了明顯提高。通過(guò)對(duì)上述三種不同構(gòu)成的分析，可以看出：由于PLC是一種基于微處理器的電子設(shè)備，其結(jié)構(gòu)上的集中處理部分仍是影響可靠性的主要因素。盡管雙CPU或多CPU的PLC已經(jīng)問(wèn)世，但構(gòu)成安全系數(shù)高，可靠性好的系統(tǒng)仍非常困難，如PLC之間的自動(dòng)無(wú)擾切換仍非常困難，PLC內(nèi)部的冗余熱備問(wèn)題、通訊問(wèn)題等。

因此，國(guó)外的企業(yè)或公司一般不選用PLC構(gòu)成安全聯(lián)鎖系統(tǒng)，他們認(rèn)為這樣的系統(tǒng)安全系數(shù)“S”不能達(dá)到“1”；日本的一些工廠在某些裝置上嘗試過(guò)用PLC構(gòu)成聯(lián)鎖系統(tǒng)，但都是結(jié)合邏輯繼電器實(shí)現(xiàn)的，同時(shí)所選用的PLC均具備2個(gè)或多個(gè)CPU，采用的方案或雙臺(tái)結(jié)構(gòu)，或是三選二結(jié)構(gòu)。這樣的選擇從投資上看，對(duì)于200點(diǎn)以上的系統(tǒng)是合適的。

四、DCS系統(tǒng)的特點(diǎn)分析及實(shí)際應(yīng)用

目前，各種型號(hào)的D C S 均具備很強(qiáng)的邏輯處理能力，比如橫河（YOKOGAWA）的CENTUM系列DCS，利用順控表（SEQUENCE TABLE）的形式進(jìn)行邏輯控制；最新推出的CENTUM CS系統(tǒng)HIA具有梯形圖功能、SFC語(yǔ)言、SEBOL功能塊等，為多途徑實(shí)現(xiàn)邏輯控制提供了方便。

另外，如貝利的INFI-90、霍尼維爾的TDC-3000X等，均具備很強(qiáng)的實(shí)現(xiàn)邏輯功能的軟件包。顯然，在DCS中實(shí)現(xiàn)安全聯(lián)鎖邏輯是非常容易的，但這樣做的可靠性難以確定。

我們知道，DCS之所以被稱作集散控制系統(tǒng)，是由于它具備集中管理和分散控制的特點(diǎn)。但是它的分散性是相對(duì)的和有度的，并不是真正意義上的絕對(duì)分散。高的分散性必然帶來(lái)高的成本。因此，各種型號(hào)DCS的控制檢測(cè)部分或多或少都要有一定的集成，如CENTUM CS系統(tǒng)，其系統(tǒng)結(jié)構(gòu)見圖2。

圖2 CENTUM CS系統(tǒng)結(jié)構(gòu)圖

從其硬件構(gòu)造上可以看出，盡管這種系統(tǒng)比原有的老系統(tǒng)分散性提高了，但它的I/O接口單元（NODE）和數(shù)字I/O模件等仍采用的是多點(diǎn)模件。

以丙烯氧化反應(yīng)系統(tǒng)為例，其化學(xué)反應(yīng)式如下：

這是一個(gè)控制要求非常嚴(yán)格的過(guò)程，3種物料的比例保持在一定的范圍內(nèi)，才能既完成高效率的反應(yīng)，又保證不致由于失控而引起爆炸，其工藝過(guò)程見圖3。

圖3 丙烯氧化反應(yīng)工藝過(guò)程簡(jiǎn)圖

該過(guò)程的停車系統(tǒng)分為兩步：

SD-1——僅停止氧氣供料；

SD-2——停止包括氧氣在內(nèi)的原料供應(yīng)，停止循環(huán)氣壓縮機(jī)，并用大量氮?dú)獯祾哐鯕夥磻?yīng)工序。

上述兩個(gè)停車系統(tǒng)共有12個(gè)回路，46點(diǎn)（含模擬量輸入輸出，數(shù)字量輸入輸出）各種信號(hào)參與邏輯控制操作。這么多的信號(hào)從現(xiàn)場(chǎng)或硬警報(bào)設(shè)定器進(jìn)入DCS，不可能做到各自獨(dú)立占用一個(gè)通道，至少由它們組成的邏輯程序是在同一個(gè)CPU中運(yùn)行。這就存在著一種危險(xiǎn)，一旦集中多個(gè)信號(hào)的模件故障或CPU故障，亦或邏輯程序執(zhí)行有誤（如通訊環(huán)路阻塞，系統(tǒng)死機(jī)等），都會(huì)造成整個(gè)裝置的總停車。盡管在硬件上可以采用冗余措施，以防止系統(tǒng)硬件損壞造成事故，但對(duì)于大系統(tǒng)，其成本會(huì)顯著提高2—3倍。

因此從可靠性來(lái)講，DCS硬件體系的相對(duì)集中不適合安全聯(lián)鎖系統(tǒng)的運(yùn)行要求，也就是說(shuō)將安全聯(lián)鎖系統(tǒng)依托于同常規(guī)控制、管理相同的硬件平臺(tái)，極易造成一損俱損的局面。這樣做的結(jié)果使得危險(xiǎn)更加集中，也就是系統(tǒng)的非安全因素Fu增大。從DCS的發(fā)展史看出，DCS之所以得到廣泛的應(yīng)用，主要是由于它具備分散性的特點(diǎn)，分散性越高，單個(gè)元件或單個(gè)回路故障對(duì)整個(gè)系統(tǒng)造成的影響越小，其安全系數(shù)“S”越趨近于“1”，同時(shí)系統(tǒng)的簡(jiǎn)單化、直觀化、獨(dú)立化特點(diǎn)有利于故障的排除和維護(hù)。

五、ESD系統(tǒng)及SIS系統(tǒng)的特點(diǎn)分析及實(shí)際應(yīng)用

（一）ESD系統(tǒng)與SIS系統(tǒng)關(guān)系及區(qū)別

ESD（Emergency Shutdown Device）：緊急停車系統(tǒng)，是一個(gè)獨(dú)立于DCS系統(tǒng)的控制單元，在工藝發(fā)生危險(xiǎn)狀況時(shí)，對(duì)設(shè)備、環(huán)境等進(jìn)行緊急的啟挺，開關(guān)操作。配置設(shè)備以高檔的PLC居多，多數(shù)處理DI/DO點(diǎn)，現(xiàn)在多數(shù)與DCS進(jìn)行通訊。

SIS（Safety Instrumented System）：安全儀表系統(tǒng)，IEC61511將安全儀表系統(tǒng)SIS定義為用于執(zhí)行一個(gè)或多個(gè)安全儀表功能的儀表系統(tǒng)。SIS是由傳感器（如各類開關(guān)、變送器及附屬的安全柵等）、邏輯控制器以及最終元件（如電磁閥、電動(dòng)門及附屬的繼電器等）的組合組成。

IEC61511有進(jìn)一步指出，SIS可以包括，也可以不包括軟件。另外，如果在安全規(guī)格書中對(duì)人員操作動(dòng)作的有效性和可靠性做出明確規(guī)定，操作人員的手動(dòng)操作也視為SIS的有機(jī)組成部分，包括在SIS的績(jī)效計(jì)算中。

SIS是安全儀表系統(tǒng)，ESD屬于SIS的一部分。SIS包括現(xiàn)場(chǎng)儀表、ESD系統(tǒng)、緊急開閉閥三部分，采用HART+4---20mA通訊連線，每個(gè)SIS的功能回路均要做SIL評(píng)估。為實(shí)現(xiàn)SIL2 或SIL3 安全等極，采用兩臺(tái)電磁閥控制緊急開閉閥，三臺(tái)差壓變送器測(cè)量同一液位，采用雷達(dá)及超聲波各一臺(tái)儀表測(cè)同一液位等方法。當(dāng)然系統(tǒng)安裝完成后還要做SIL計(jì)算驗(yàn)證，以確保系統(tǒng)達(dá)到要求。

SIL（Safety Integrity Level），即安全等級(jí)，按照國(guó)際標(biāo)準(zhǔn)的規(guī)定，將安全等級(jí)分為4級(jí)，即SIL1—4。其中SIL4等級(jí)為最高。所謂SIL其全名為安全完整性等級(jí)（Safety Integrity Level），英文縮寫為SIL，由每小時(shí)發(fā)生的危險(xiǎn)失效概率來(lái)區(qū)分（SIL2為≥10-7至＜10-6；SIL3為≥10-8至＜10-7）。

生產(chǎn)過(guò)程所需要的安全等級(jí)由專門的第三方來(lái)評(píng)估確定。一般對(duì)安全要求比較高的工藝生產(chǎn)過(guò)程需要的安全等級(jí)為SIL3，SIL4一般應(yīng)用在核工業(yè)上。

（二）SIS系統(tǒng)在化工裝置上的應(yīng)用

一個(gè)典型的化工裝置為安全所設(shè)置的層層保護(hù)包括：工藝過(guò)程設(shè)計(jì)；基本調(diào)節(jié)，過(guò)程報(bào)警及操作員監(jiān)視；緊急報(bào)警，操作員監(jiān)視并且手動(dòng)干預(yù)；自動(dòng)操作安全儀表系統(tǒng) SIS（Safety Instrumented System）；物理保護(hù)（泄壓閥、爆破膜）；工廠緊急響應(yīng)；所在區(qū)域緊急響應(yīng)。

由此可見，從第二層到第四層的保護(hù)都是由儀表及自控系統(tǒng)來(lái)實(shí)現(xiàn)。而儀表系統(tǒng)的最后一層保護(hù)（SIS）更是至關(guān)重要。它在事故和故障狀態(tài)下（包括裝置事故和控制系統(tǒng)本身發(fā)生的故障），使裝置能夠安全停車并處于安全模式下，從而避免災(zāi)難的發(fā)生，即避免對(duì)裝置內(nèi)人員的傷害及對(duì)環(huán)境造成惡劣的影響。因而，SIS本身必須是故障安全型（Fail to Safe）的，系統(tǒng)的硬件和軟件的可靠性都要求很高。

一個(gè)系統(tǒng)的安全等級(jí)是包括系統(tǒng)的輸入、輸出及系統(tǒng)本身硬件在內(nèi)的整體等級(jí)。圖4是一個(gè)基于停車檢修間隔為5年，平均修復(fù)時(shí)間 MTTR 為24h等一系列假設(shè)條件下的典型的SIL2的回路結(jié)構(gòu)：在SIS的輸入部分，用3個(gè)變送器組成三取二（2oo3）表決。在系統(tǒng)輸出環(huán)節(jié)，則是各帶一個(gè)電磁閥的控制閥和切斷閥。然而這是基于5年停車檢修間隔。SIL4只在核電工業(yè)裝置中出現(xiàn)，石油化工裝置最高只需SIL3。因此，一些做總承包的工程公司在設(shè)計(jì)中考慮達(dá)到所要求的SIL的同時(shí)，也會(huì)在硬件成本上衡量一下，采用價(jià)廉物美的方案。如日本的TEC就選擇去掉回路中的切斷閥，用一個(gè)帶雙電磁閥的控制閥加一個(gè)閥位變送器來(lái)組成SIS的系統(tǒng)輸出部分。

圖4 某條件下典型的SIL2的回路結(jié)構(gòu)圖

而事實(shí)上所有軟件的安全運(yùn)行都是基于硬件安全運(yùn)行的基礎(chǔ)上，因此要確定一個(gè)能實(shí)現(xiàn)所要求的安全功能的硬件配置是一件非常復(fù)雜而重要的工作，只有經(jīng)過(guò)縝密的計(jì)算，才能設(shè)計(jì)出一個(gè)相對(duì)安全可靠的系統(tǒng)。

六、小結(jié)

從近年來(lái)自動(dòng)化安全控制系統(tǒng)發(fā)揮的作用來(lái)看，危險(xiǎn)化學(xué)品企業(yè)在“安全、可靠、經(jīng)濟(jì)、適用原則”條件下通過(guò)建設(shè)與改造自動(dòng)化安全控制系統(tǒng)使生產(chǎn)安全得到了保障，很多企業(yè)在生產(chǎn)過(guò)程中的一些危險(xiǎn)情況均及時(shí)得到連鎖響應(yīng)和保護(hù)；同時(shí)也減少了手動(dòng)操作所帶來(lái)的工藝參數(shù)波動(dòng)大的問(wèn)題，保持了生產(chǎn)運(yùn)行的持續(xù)、穩(wěn)定，降低了生產(chǎn)消耗，提高了產(chǎn)品的質(zhì)量和產(chǎn)量；另外還將操作人員從惡劣、危險(xiǎn)的工作環(huán)境和重復(fù)機(jī)械的體力勞動(dòng)中解放出來(lái)，改善了員工工作環(huán)境并減少了企業(yè)生產(chǎn)成本。