劉念

(中國(guó)五環(huán)工程有限公司，湖北 武漢 430223)

根據(jù)IEC 61511的定義，安全儀表系統(tǒng)(SIS)是指執(zhí)行1個(gè)或多個(gè)安全儀表功能(SIF)的儀表系統(tǒng)，SIS由傳感器、邏輯控制器以及最終元件組成[1]，用于當(dāng)預(yù)定的過程條件或狀態(tài)出現(xiàn)背離時(shí)，將過程置于安全狀態(tài)。SIF的最根本特征是應(yīng)對(duì)特定的危險(xiǎn)時(shí)間并將風(fēng)險(xiǎn)降低，根據(jù)風(fēng)險(xiǎn)降低的要求評(píng)估其SIL等級(jí)。

1 概 述

合成氨裝置合成氣分離器液位控制的SIF與基本過程控制系統(tǒng)(BPCS)的控制功能相互獨(dú)立。安全儀表回路組成如圖1所示，分離器液位過高時(shí)，需要通過BPCS的調(diào)節(jié)回路，使LV-32002閥打開，液位降低；當(dāng)液位繼續(xù)升高，BPCS無法滿足保護(hù)要求時(shí)，安全聯(lián)鎖系統(tǒng)中的液位高高LSHH-32003觸發(fā)聯(lián)鎖ESD-3201動(dòng)作，使得合成氣壓縮機(jī)ESD-3201跳車，保護(hù)壓縮機(jī)不受損壞，該安全儀表回路經(jīng)過危險(xiǎn)與可操作性分析(HAZOP)和風(fēng)險(xiǎn)圖校驗(yàn)(CRG)的結(jié)果，得出SIL至少為SIL2。

圖1 安全儀表回路組成示意

SIL等級(jí)主要由失效率、表決形式、診斷覆蓋率、檢驗(yàn)測(cè)試的時(shí)間間隔、平均恢復(fù)時(shí)間、公共原因失效6個(gè)主要參數(shù)決定；目前，SIL等級(jí)評(píng)估可以通過保護(hù)層分析法、風(fēng)險(xiǎn)矩陣法及風(fēng)險(xiǎn)圖等方法確定；SIL等級(jí)的計(jì)算方式主要有概率計(jì)算法、事故樹分析法、馬爾可夫過程分析等方法。低要求操作模式下平均失效概率PFDavg的劃分[2]見表1所列。

表1 低要求操作模式下的PFDavg

2 SIS設(shè)計(jì)的主要原則

2.1 可靠性原則

為了保證工藝裝置的生產(chǎn)安全，工藝過程對(duì)SIF的可靠性要求會(huì)考慮非計(jì)劃性停車的成本等因素，SIS的作用只能降低風(fēng)險(xiǎn)而非消除風(fēng)險(xiǎn)，由于SIS本身的失效或故障所造成的工藝過程誤停車就不可能完全避免。因此，SIS必須具備與工藝過程相適應(yīng)的SIL等級(jí)的可靠度，不能拒絕“動(dòng)作”。

2.2 可用性原則

根據(jù)安全要求規(guī)格書，每個(gè)SIF的功能描述、目標(biāo)SIL、與預(yù)防或減輕的風(fēng)險(xiǎn)、工藝參數(shù)、邏輯、旁路和維護(hù)要求、響應(yīng)時(shí)間等，都應(yīng)該體現(xiàn)在SIS中。為了提高系統(tǒng)的可用性，SIS應(yīng)具有硬件和軟件自診斷和測(cè)試功能，不能“誤動(dòng)”。

2.3 獨(dú)立性原則

SIS應(yīng)獨(dú)立于BPCS，可獨(dú)立完成安全保護(hù)功能，原則上要求獨(dú)立設(shè)置的部分有檢測(cè)元件、執(zhí)行元件、邏輯運(yùn)算器以及系統(tǒng)或設(shè)備間的通信。如果工藝要求同時(shí)進(jìn)行聯(lián)鎖和控制的情況下，SIS和BPCS應(yīng)各自設(shè)置獨(dú)立的檢測(cè)元件和取源點(diǎn)，降低控制功能和安全功能同時(shí)失效的概率[3]。SIS應(yīng)配置獨(dú)立的通信網(wǎng)絡(luò)，包括獨(dú)立的網(wǎng)絡(luò)交換機(jī)、服務(wù)器、工程師站等；應(yīng)采用冗余電源，由獨(dú)立的雙路配電回路供電。

2.4 標(biāo)準(zhǔn)認(rèn)證原則

隨著安全標(biāo)準(zhǔn)的推出以及對(duì)安全系統(tǒng)重視度的不斷提高，SIS的認(rèn)證也變得越來越重要，系統(tǒng)的設(shè)計(jì)思想、結(jié)構(gòu)都須嚴(yán)格遵守相應(yīng)標(biāo)準(zhǔn)并取得權(quán)威機(jī)構(gòu)的認(rèn)證，這些標(biāo)準(zhǔn)主要包括IEC 61508， IEC 61511， ANSI/ISA S 84， NFPA/UL 98， DIN 19250等。SIS中使用的硬件、軟件、儀表必須遵守正式版本并已商業(yè)化，同時(shí)必須獲得國(guó)家有關(guān)防爆、計(jì)量、壓力容器等強(qiáng)制認(rèn)證，嚴(yán)禁使用任何試驗(yàn)產(chǎn)品。

2.5 故障安全原則

根據(jù)故障安全的設(shè)計(jì)理念，緊急停車系統(tǒng)應(yīng)采取失電聯(lián)鎖的設(shè)計(jì)，即“負(fù)邏輯”設(shè)計(jì)：

1)正常狀態(tài)為邏輯“1”狀態(tài)，現(xiàn)場(chǎng)的DI信號(hào)為“1”并顯示正常，工藝參數(shù)到達(dá)聯(lián)鎖設(shè)定點(diǎn)時(shí)，則DI信號(hào)為“0”。

2)同理，DO信號(hào)為“1”并顯示正常，電磁閥等信號(hào)帶電，當(dāng)聯(lián)鎖邏輯動(dòng)作時(shí)，則DO為“0”信號(hào)，電磁閥等信號(hào)失電。

該設(shè)計(jì)原則保證了諸如斷電/氣、回路斷線等故障狀態(tài)時(shí)，工藝參數(shù)處于安全的狀態(tài)，方便后續(xù)的設(shè)計(jì)與校驗(yàn)工作[3]。

2.6 冗余原則

為了提高SIS的SIL等級(jí)，對(duì)系統(tǒng)的各個(gè)單元實(shí)現(xiàn)冗余是必須的， SIS供應(yīng)商應(yīng)以“1oo2”“2oo3”“2oo4”的方式提供冗余硬件的配置。這些冗余配置的應(yīng)用，目的是提供更高等級(jí)的可靠性，同時(shí)降低非必要關(guān)斷對(duì)過程造成影響的可能性。

3 SIS應(yīng)用案例

3.1 項(xiàng)目介紹

該項(xiàng)目主裝置采用2.05 kt/d天然氣制合成氨和3.25 kt/d尿素，并包括了3臺(tái) 50 t/h燃?xì)忮仩t和發(fā)電機(jī)，配套有原水、除鹽水、循環(huán)水、污水、罐區(qū)、廢水氣提、空壓站、火炬、原料儲(chǔ)運(yùn)等裝置。

合成氨裝置采用了CASALE低壓氨合成技術(shù)，合成氨裝置主要包括以下工序： 天然氣的脫硫及轉(zhuǎn)化、一氧化碳變換及甲烷化、二氧化碳的脫除、合成氣壓縮、氨合成及冷凍、氫回收、氨回收、冷凝液汽提系統(tǒng)，合成氨工藝流程如圖2所示。

圖2 合成氨工藝流程示意

3.2 合成氨工藝的危險(xiǎn)特性

合成氨生產(chǎn)過程具有高溫、高壓、有毒、易燃并且易爆的特點(diǎn)，在生產(chǎn)過程中使用和處理的主要化學(xué)品有液氨，NH3，CO2，CO，H2，H2S，CH4等，具體表現(xiàn)如下：

1)高溫、高壓使可燃?xì)怏w爆炸范圍擴(kuò)寬，氣體物料一旦遇到氧氣，極易在設(shè)備和管道內(nèi)發(fā)生爆炸。

2)高溫、高壓氣體物料從設(shè)備管線泄漏時(shí)，會(huì)迅速膨脹與空氣混合形成爆炸性混合物，遇到明火或因高流速物料與噴口處摩擦產(chǎn)生靜電火花，引起著火和空間爆炸。

3)氣體壓縮機(jī)等轉(zhuǎn)動(dòng)設(shè)備在高溫下運(yùn)行會(huì)使?jié)櫥蛽]發(fā)裂解，在附近管道內(nèi)造成積炭，容易導(dǎo)致燃燒和爆炸。

4)高溫、高壓可加速設(shè)備金屬材料發(fā)生蠕變，改變金相組織，還會(huì)加劇氫氣、氮?dú)鈱?duì)鋼材的氫蝕及滲氮，加劇設(shè)備的疲勞腐蝕，使其機(jī)械強(qiáng)度減弱，引發(fā)物理爆炸。

5)液氨儲(chǔ)罐大規(guī)模泄漏，容易引起大范圍人群中毒，遇明火更是會(huì)產(chǎn)生空間爆炸。

3.3 合成氨裝置HAZOP分析

HAZOP分析將合成氨裝置的不同工藝過程劃分為適當(dāng)?shù)墓?jié)點(diǎn)，按照科學(xué)的程序和方法使用引導(dǎo)詞HAZOP分析法，用引導(dǎo)詞來定性或定量地給出針對(duì)設(shè)計(jì)意圖或操作參數(shù)的偏離，以激發(fā)頭腦風(fēng)暴式的思維來模擬出相應(yīng)的非正常的工況，找出引發(fā)偏離的誘因和偏離的后果，確定現(xiàn)有的安保措施，并提出建議。在引導(dǎo)詞法中，系統(tǒng)地針對(duì)工藝過程中的每個(gè)節(jié)點(diǎn)，將每個(gè)引導(dǎo)詞應(yīng)用于工藝變量上，如此重復(fù)，直到整個(gè)工藝過程分析完畢，對(duì)后果的風(fēng)險(xiǎn)等級(jí)進(jìn)行分類，提出可以采取的建議措施，確定建議措施響應(yīng)的責(zé)任方和建議關(guān)閉的時(shí)間。

3.3.1冗余結(jié)構(gòu)

該項(xiàng)目合成氨裝置SIS的CPU采用四重化冗余結(jié)構(gòu)[4]，系統(tǒng)結(jié)構(gòu)如圖3所示。

圖3 合成氨裝置SIS的CPU四重化冗余結(jié)構(gòu)示意

四重化冗余系統(tǒng)架構(gòu)通過冗余控制器實(shí)現(xiàn)，其中每個(gè)CPU都包含2個(gè)微處理器，即使系統(tǒng)的1條線路由于錯(cuò)誤或替換停機(jī)，該結(jié)構(gòu)也可確保系統(tǒng)的完整；在系統(tǒng)出現(xiàn)問題后，系統(tǒng)可以一次降級(jí)到“1oo2D”的系統(tǒng)繼續(xù)運(yùn)行。

3.3.2HAZOP分析流程

該項(xiàng)目合成氨裝置HAZOP分析小組研究了40個(gè)節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)都有若干個(gè)偏差，總共對(duì)343個(gè)偏差、655個(gè)原因、661個(gè)結(jié)果和1 664個(gè)保護(hù)措施進(jìn)行了風(fēng)險(xiǎn)分析，并在給出的眾多建議中經(jīng)過篩選最終采納了62項(xiàng)。HAZOP的分析流程如圖4所示。

圖4 HAZOP分析流程示意

通常的引導(dǎo)詞包括“不”“多”和“少”，但也有許多其他常用的詞，并不是所有的引導(dǎo)詞都適用于每個(gè)工藝參數(shù)，圖5給出了常用的引導(dǎo)詞與工藝參數(shù)組合，表2給出了一些指導(dǎo)詞及其含義。

圖5 引導(dǎo)詞與工藝參數(shù)的關(guān)系示意

為了方便后續(xù)跟蹤和處理合成氨裝置HAZOP 分析中發(fā)現(xiàn)的問題，筆者從選取節(jié)點(diǎn)、工藝參數(shù)、偏差、原因、后果、保護(hù)措施和建議措施等方面對(duì)風(fēng)險(xiǎn)分析項(xiàng)目進(jìn)行了總結(jié)，給出了表3所列的實(shí)例。

表2 常用HAZOP引導(dǎo)詞及其含義示意

表3 合成氨裝置HAZOP分析實(shí)例

根據(jù)HAZOP分析報(bào)告，通過記錄引發(fā)事件和保護(hù)層阻止或降低風(fēng)險(xiǎn)，該項(xiàng)目合成氨裝置通過使用CRG對(duì)SIS的SIL評(píng)估定級(jí)。

3.4 合成氨裝置CRG及SIL定級(jí)

根據(jù)IEC 61511標(biāo)準(zhǔn)，CRG的半定性方法能夠根據(jù)與工藝和基本過程控制系統(tǒng)相關(guān)的風(fēng)險(xiǎn)因素的知識(shí)確定安全相關(guān)回路的安全完整性水平。在合成氨裝置的SIS中，考慮了所涉及的決策標(biāo)準(zhǔn)和審查的完整性水平，以確?？山邮艿娘L(fēng)險(xiǎn)。在CRG中，風(fēng)險(xiǎn)是以下4個(gè)參數(shù)的函數(shù)：

1)危險(xiǎn)狀況的后果(C)。發(fā)生危險(xiǎn)事件很可能導(dǎo)致的死亡和/或嚴(yán)重受傷的人數(shù)、財(cái)產(chǎn)損失及環(huán)境影響的程度。

2)占有率(F)。在發(fā)生危險(xiǎn)事件時(shí)段內(nèi)暴露區(qū)被占用的概率。

3)避免風(fēng)險(xiǎn)狀況的概率(P)。如果要求時(shí)SIF失效，暴露的人員能夠避免存在的風(fēng)險(xiǎn)狀況的概率。

4)要求率(W)。在所考慮的SIF不存在的情況下，每年發(fā)生危險(xiǎn)狀況的次數(shù)。

危險(xiǎn)狀況的后果分為安全(S)、環(huán)境(E)和財(cái)產(chǎn)，各個(gè)風(fēng)險(xiǎn)參數(shù)值類別及程度見表4和表5所列。

表4 一般風(fēng)險(xiǎn)參數(shù)值類別及程度

表5 其他風(fēng)險(xiǎn)參數(shù)值類別及程度

在CRG中，每個(gè)參數(shù)都被賦予一系列的值，以便在組合應(yīng)用時(shí)，對(duì)在沒有安全特定功能的情況下存在的風(fēng)險(xiǎn)進(jìn)行分級(jí)評(píng)估，因此確定了對(duì)所述SIF的依賴程度的度量。SIL定級(jí)所用的風(fēng)險(xiǎn)圖如圖6所示。

在HAZOP研究中識(shí)別出1個(gè)SIF(FSLL-14004A)，為合成氨裝置二段爐進(jìn)氣流量低低。引發(fā)事件有4個(gè)，分別是壓縮機(jī)故障，HV-16001閥門開啟，PV-16023閥門開啟，HV-14001閥門關(guān)閉；各自導(dǎo)致的后果見表6所列，由此對(duì)照風(fēng)險(xiǎn)圖表，分別定性整個(gè)SIF中關(guān)于安全、財(cái)產(chǎn)和環(huán)境的SIL等級(jí)，最終確定整個(gè)SIF的SIL等級(jí)。

圖6 SIL定級(jí)用的風(fēng)險(xiǎn)圖示意(含安全、財(cái)產(chǎn)和環(huán)境)

表6 通過校驗(yàn)的風(fēng)險(xiǎn)圖法確定SIF的SIL等級(jí)

續(xù)表6

該項(xiàng)目合成氨裝置最終識(shí)別和確定了52個(gè)SIF，每個(gè)SIF評(píng)估的SIL等級(jí)見表7所列。

表7 合成氨裝置SIF評(píng)估的SIL等級(jí)

4 SIS結(jié)構(gòu)

IEC 61508/IEC 61511對(duì)安全控制系統(tǒng)在過程工業(yè)領(lǐng)域的應(yīng)用具有很重要的意義，SIS按照故障安全型設(shè)計(jì)。該項(xiàng)目合成氨裝置SIS設(shè)置了專門的工程師站，事件順序記錄站SER(sequence event recorder)并配套打印系統(tǒng)，與DCS一起完成記錄任務(wù)。由于DCS要處理大量過程測(cè)量信息，其動(dòng)作速度偏慢，因此單獨(dú)設(shè)置順序事件記錄站可以快速分辨事故原因。SIS結(jié)構(gòu)如圖7所示。

圖7 SIS結(jié)構(gòu)示意

4.1 通信技術(shù)

該項(xiàng)目合成氨裝置SIS與DCS之間數(shù)據(jù)通信遵循Modbus-RTU協(xié)議，DCS作為主站，其他系統(tǒng)作為從站，物理串行接口采用RS-485，SIS與DCS之間的接口規(guī)則如下：

1)硬接線連接。主要包括急停信號(hào)、主旁路MOS開關(guān)、重要的報(bào)警信號(hào)、輔操臺(tái)去ESD的按鈕信號(hào)以及來自MCC的停止/跳車命令。

2)Modbus-RTU。非安全性動(dòng)作的信號(hào)，主要包括復(fù)位信號(hào)、報(bào)警信號(hào)、狀態(tài)指示、故障指示以及一些模擬測(cè)量值。

4.2 維護(hù)及操作旁路開關(guān)的設(shè)置

維護(hù)旁路開關(guān)設(shè)置的主要目的是對(duì)SIS的變送器及檢測(cè)開關(guān)進(jìn)行在線檢修，在使用維護(hù)旁路開關(guān)的時(shí)候，在對(duì)整個(gè)工程狀態(tài)指示和檢測(cè)方面，相關(guān)人員需要采取必要的措施。旁路開關(guān)有三種設(shè)置方式： 軟件開關(guān)設(shè)置在SIS的操作員站；軟件開關(guān)設(shè)置在基本過程控制系統(tǒng)的操作員站；硬件開關(guān)設(shè)置在輔助操作臺(tái)或者機(jī)柜上。

操作旁路開關(guān)設(shè)置在輸入信號(hào)的通道上，其動(dòng)作應(yīng)設(shè)置報(bào)警和記錄。當(dāng)工藝過程變量從初始值變化到工藝條件正常值，信號(hào)狀態(tài)不改變時(shí)，不應(yīng)設(shè)置操作旁路開關(guān)；當(dāng)工藝過程變量從初始值變化到工藝條件正常值，信號(hào)狀態(tài)發(fā)生改變時(shí)，應(yīng)設(shè)置操作旁路開關(guān)；操作旁路開關(guān)的三種設(shè)置方式與維護(hù)旁路相同。緊急停車按鈕應(yīng)設(shè)置在輔助操作臺(tái)上，并且應(yīng)設(shè)狀態(tài)報(bào)警和記錄，不應(yīng)設(shè)置維護(hù)或操作旁路開關(guān)[5]。

該項(xiàng)目合成氨裝置儀表維護(hù)旁路采用軟件開關(guān)，主要是考慮到以下三點(diǎn)：

1)儀表維護(hù)旁路開關(guān)非急用設(shè)施，不必在輔助操作臺(tái)或者機(jī)柜上設(shè)置硬件開關(guān)，操作臺(tái)面要求簡(jiǎn)潔、清晰。

2)儀表維護(hù)旁路開關(guān)數(shù)量多，若布置于臺(tái)面，將影響操作人員對(duì)臺(tái)面設(shè)備的辨識(shí)，眾多的儀表維護(hù)旁路開關(guān)需要多個(gè)操作臺(tái)來安裝，不切實(shí)際。

3)大量的硬開關(guān)增加了SIS的輸入信號(hào)數(shù)量，增大了投資。 合成氨裝置的操作旁路狀態(tài)設(shè)置了報(bào)警功能，以提醒工藝操作人員注意觀察工藝參數(shù)，及時(shí)將旁路狀態(tài)切換到正常狀態(tài)。

在設(shè)計(jì)旁路開關(guān)方案的時(shí)候，旁路設(shè)計(jì)的合理性對(duì)提升SIS可用性具有十分重要的意義，維護(hù)旁路設(shè)置的合理性對(duì)維護(hù)和檢測(cè)現(xiàn)場(chǎng)儀表具有十分重要的影響，可以有效防止裝置誤動(dòng)作情況的發(fā)生，這種裝置誤動(dòng)作主要是由安全儀表維護(hù)造成的。

4.3 時(shí)鐘同步系統(tǒng)

該項(xiàng)目合成氨裝置中，SIS與基本過程控制系統(tǒng)的時(shí)鐘同步，DCS控制節(jié)點(diǎn)、操作節(jié)點(diǎn)和二級(jí)時(shí)鐘服務(wù)器的時(shí)鐘將與一級(jí)服務(wù)器(GPS)同步。一級(jí)時(shí)鐘同步服務(wù)器是工廠時(shí)鐘源，為DCS提供2個(gè)獨(dú)立的RJ-45接口，它通過SNTP協(xié)議上的雙絞線連接到DCS的交換設(shè)備上。DCS接收時(shí)鐘數(shù)據(jù)，每15 min同步一次，二級(jí)時(shí)鐘同步服務(wù)器是DCS的內(nèi)部操作節(jié)點(diǎn)，它從一級(jí)時(shí)鐘同步服務(wù)器以及DCS的控制節(jié)點(diǎn)和操作節(jié)點(diǎn)接收時(shí)鐘數(shù)據(jù)；當(dāng)一級(jí)時(shí)鐘同步服務(wù)器出現(xiàn)故障時(shí)，二級(jí)時(shí)鐘同步服務(wù)器與DCS的其他內(nèi)部控制節(jié)點(diǎn)和操作節(jié)點(diǎn)同步，保證DCS的時(shí)鐘同步。

時(shí)鐘信號(hào)分配器INK 711與GPS時(shí)間同步服務(wù)器配合使用，可實(shí)現(xiàn)1 ms級(jí)控制站的時(shí)間同步精度。利用該分配器，用戶可以將GPS時(shí)間同步服務(wù)器的1 s脈沖信號(hào)分解為多個(gè)ECS-700控制站使用的多個(gè)脈沖信號(hào)，實(shí)現(xiàn)多個(gè)控制站的高精度時(shí)間同步，時(shí)鐘同步示意如圖8所示。

圖8 時(shí)鐘同步示意

5 結(jié)束語

石化裝置SIS的設(shè)計(jì)，在國(guó)內(nèi)外項(xiàng)目中的要求越來越高。SIS在合成氨裝置的開車、停車、運(yùn)行、維護(hù)操作期間，對(duì)人員健康、裝置設(shè)備及環(huán)境提供安全保護(hù)。無論是生產(chǎn)裝置本身出現(xiàn)的故障危險(xiǎn)，還是人為因素導(dǎo)致的危險(xiǎn)以及一些不可抗因素引發(fā)的危險(xiǎn)，SIS都能立即做出反應(yīng)并給出相應(yīng)的邏輯信號(hào)，使合成氨裝置安全聯(lián)鎖或停車，阻止危險(xiǎn)的發(fā)生和事故的擴(kuò)散，將危害降低到最少。SIS在合成氨裝置中的應(yīng)用，保證了該項(xiàng)目合成氨裝置的穩(wěn)定運(yùn)行，同時(shí)給類似項(xiàng)目的SIS設(shè)計(jì)提供參考和借鑒意義。