肖 正

（1.瓦斯災(zāi)害監(jiān)控與應(yīng)急技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室，重慶 400037；2.中煤科工集團(tuán)重慶研究院有限公司 瓦斯研究分院，重慶 400037）

0 引 言

現(xiàn)有的瓦斯蓄熱氧化井筒加熱系統(tǒng)是一種新型的工業(yè)過程控制系統(tǒng)。溫度、瓦斯氣體流量、濃度及壓力等參數(shù)經(jīng)過傳感器采集后直接顯示在監(jiān)控系統(tǒng)上?，F(xiàn)有的監(jiān)控系統(tǒng)存在無法實(shí)現(xiàn)遠(yuǎn)程、智能化的故障診斷和緊急停車等問題，很大程度上制約了系統(tǒng)安全穩(wěn)定運(yùn)行。安全儀表系統(tǒng)作為一種能夠診斷潛在危險(xiǎn)的停車保護(hù)系統(tǒng)，在本質(zhì)安全中起著安全防范的作用。

20世紀(jì)科學(xué)技術(shù)的飛速發(fā)展促進(jìn)了經(jīng)濟(jì)和工業(yè)的進(jìn)步，同時(shí)也造成了嚴(yán)重的能源消耗。信息化、機(jī)械化的大量應(yīng)用和工業(yè)的快速發(fā)展伴隨著潛在風(fēng)險(xiǎn)的增加。為了降低設(shè)備的故障率，有必要開發(fā)一個(gè)對(duì)設(shè)備異常進(jìn)行預(yù)檢測(cè)和診斷的決策系統(tǒng)。

20世紀(jì)60年代，以繼電器元件為起始，逐漸從簡(jiǎn)單的繼電器系統(tǒng)發(fā)展到微處理器和可變程序調(diào)節(jié)器，從單回路系統(tǒng)發(fā)展到冗余容錯(cuò)系統(tǒng)，能夠檢測(cè)系統(tǒng)的異常行為，并啟動(dòng)計(jì)劃給予反饋。

20世紀(jì)70年代，在冗余機(jī)制方面，安全系統(tǒng)采用了三重冗余多數(shù)表決機(jī)制(TMR)。

20世紀(jì)90年代，伍德沃德公司的Micro-net TMR系統(tǒng)、康吉森公司的Tricon系統(tǒng)、霍尼韋爾公司的FSC系統(tǒng)、英國(guó)工業(yè)控制服務(wù)集團(tuán)公司的Regent系統(tǒng)等推出了三重化冗余、冗錯(cuò)功能的安全系統(tǒng)。

容錯(cuò)機(jī)制是指當(dāng)一個(gè)或多個(gè)組件發(fā)生故障時(shí)，系統(tǒng)可以繼續(xù)運(yùn)行。容錯(cuò)系統(tǒng)的目的是發(fā)現(xiàn)故障并清除故障的影響。安全儀表系統(tǒng)能夠?qū)崿F(xiàn)系統(tǒng)相關(guān)設(shè)備故障冗余和自診斷的容錯(cuò)特性。

1 安全儀表系統(tǒng)

1.1 系統(tǒng)組成

安全儀表系統(tǒng)（SIS）對(duì)生產(chǎn)設(shè)備裝置存在的潛在的危險(xiǎn)或不采取措施將繼續(xù)惡化的態(tài)勢(shì)作出反應(yīng)，使系統(tǒng)能處于安全停車的工況，降低危險(xiǎn)的程度和損失。

一般安全等級(jí)高于控制系統(tǒng)，聯(lián)鎖信號(hào)由安全儀表系統(tǒng)直接觸發(fā)。安全儀表系統(tǒng)由傳感器、運(yùn)算處理器和執(zhí)行元件組成。傳感器檢測(cè)現(xiàn)場(chǎng)的數(shù)據(jù)是否異常，通過運(yùn)算處理器開發(fā)的算法輸出控制信號(hào)，執(zhí)行元件接收到控制信號(hào)并發(fā)出指令，消除過程中隱患。

安全儀表系統(tǒng)主要分為2類：硬線式和可編程式。

（1）硬件線路采用模塊化架構(gòu)，設(shè)計(jì)了獨(dú)立的器件，器件之間的邏輯關(guān)系是通過硬線構(gòu)建的。同時(shí)，可以在線診斷和測(cè)試系統(tǒng)的輸入/輸出通道，便于故障識(shí)別和處理、串行通信、維修更換。通常采用冗余配置來提高系統(tǒng)冗余容錯(cuò)性能。

（2）可編程系統(tǒng)應(yīng)用最廣泛。系統(tǒng)以運(yùn)算處理器為基礎(chǔ)，一般采用模塊化結(jié)構(gòu)。通過軟件和電子固件對(duì)邏輯程序進(jìn)行編程，具有強(qiáng)大、方便的編程能力。

安全儀表系統(tǒng)組成結(jié)構(gòu)如圖1所示。

圖1 安全儀表系統(tǒng)組成結(jié)構(gòu)Fig.1 Composition structure of safety instrument system

1.2 安全回路設(shè)計(jì)

對(duì)于蓄熱氧化復(fù)雜的生產(chǎn)工藝技術(shù)，將同時(shí)設(shè)計(jì)安全儀表系統(tǒng)和過程控制系統(tǒng)，2個(gè)系統(tǒng)的控制對(duì)象相同，2個(gè)系統(tǒng)之間既有區(qū)別又有聯(lián)系。

區(qū)別在于過程控制是一個(gè)實(shí)時(shí)動(dòng)態(tài)系統(tǒng)，設(shè)計(jì)了控制反饋回路，系統(tǒng)的輸入/輸出主要是模擬量信號(hào)，運(yùn)算處理器根據(jù)被控對(duì)象的偏差結(jié)合算法調(diào)節(jié)過程變量。同時(shí)，在系統(tǒng)運(yùn)行的過程中，要根據(jù)工況調(diào)整系統(tǒng)的被控參數(shù)（如濃度、工藝、閥門開度的設(shè)定值等）。

安全儀表系統(tǒng)的自動(dòng)運(yùn)行不需要人為干擾，相對(duì)處于被動(dòng)靜止的狀態(tài)。它的控制回路是由傳感器、運(yùn)算處理器、執(zhí)行元件組成的簡(jiǎn)單開環(huán)回路。安全系統(tǒng)不產(chǎn)生任何動(dòng)作，只有當(dāng)安全回路的測(cè)量值達(dá)到設(shè)定值時(shí)，才會(huì)觸發(fā)回路動(dòng)作。

過程控制系統(tǒng)的主要目標(biāo)是保證生產(chǎn)過程的連續(xù)性，而安全儀表系統(tǒng)則提高了生產(chǎn)過程的可靠性。2個(gè)系統(tǒng)通過標(biāo)準(zhǔn)工業(yè)協(xié)議進(jìn)行通信，使過程控制系統(tǒng)能夠?qū)崟r(shí)監(jiān)控安全儀表系統(tǒng)的當(dāng)前狀態(tài)、運(yùn)行狀態(tài)和聯(lián)鎖結(jié)果。

過程控制系統(tǒng)與安全儀表系統(tǒng)的設(shè)置和分工如圖2所示。

圖2 控制系統(tǒng)與安全儀表系統(tǒng)的設(shè)置和分工Fig.2 Setting and division of process control system and safety instrument system

安全回路由傳遞單元、邏輯控制單元和最終執(zhí)行單元組成?；芈分袃x表越多，可靠性越差。特別是在本質(zhì)安全電路中，基本上沒有零隔爆區(qū)，為減少本質(zhì)安全類隔離模塊引起的故障停機(jī)，應(yīng)盡量配置隔爆型儀表。

安全儀表系統(tǒng)回路結(jié)構(gòu)如圖3所示。

圖3 安全儀表系統(tǒng)回路結(jié)構(gòu)Fig.3 Circuit structure of safety instrument system

以蓄熱氧化工藝的液位控制單元為例，液位儀表回路由5個(gè)元件組成：液位傳感器、程序邏輯運(yùn)算器、執(zhí)行元件（液位控制閥）、安全完整性等級(jí)（SIL）和響應(yīng)時(shí)間。

其中，液位高報(bào)警-L1接點(diǎn)閉合-繼電器Z帶電，觸點(diǎn)Z1常閉，電磁閥S線圈斷電。切斷電磁閥S，關(guān)閉調(diào)節(jié)閥發(fā)出的控制信號(hào)，切斷工藝流體，完成聯(lián)鎖保護(hù)功能。

開關(guān)按鈕K起有復(fù)位并聯(lián)鎖保護(hù)回路的作用，開關(guān)按鈕K停則對(duì)人工強(qiáng)制起動(dòng)聯(lián)鎖做保護(hù)，開關(guān)按鈕K旁為旁路聯(lián)鎖保護(hù)，一般用于開車或檢修。

液位安全儀表系統(tǒng)回路如圖4所示。

圖4 液位安全儀表系統(tǒng)回路Fig.4 Circuit of liquid level safety instrument system

2 安全儀表系統(tǒng)設(shè)計(jì)

在工藝生產(chǎn)運(yùn)行過程中，當(dāng)安全儀表系統(tǒng)發(fā)生危險(xiǎn)故障時(shí)，將當(dāng)前狀態(tài)切到設(shè)計(jì)的安全狀態(tài)。在安全儀表系統(tǒng)的設(shè)計(jì)過程中，一般根據(jù)安全生命周期的內(nèi)容來制定，設(shè)計(jì)過程中的關(guān)鍵環(huán)節(jié)為：①以標(biāo)準(zhǔn)IEC61508為依據(jù)確定對(duì)象的SIL安全度等級(jí)；②確定SRS安全要求技術(shù)規(guī)范、完成SIS的初步設(shè)計(jì)和詳細(xì)設(shè)計(jì)；③SIS不夠完善時(shí)判斷是否停用或改進(jìn)安全控制系統(tǒng)等。

SIS設(shè)計(jì)步驟如圖5所示。

圖5 SIS設(shè)計(jì)步驟Fig.5 SIS design step

2.1 蓄熱氧化SIS設(shè)計(jì)原則

新建的蓄熱氧化井筒加裝置的SIS采用了基于康吉森公司基于TMR（三重化）技術(shù)的TRICON平臺(tái)，主處理器和IO卡件完全三重化設(shè)計(jì)，系統(tǒng)已通過TUVAK6認(rèn)證，滿足IEC91150 SIL3的安全等級(jí)要求。

在硬件配置和方案上，安全儀表系統(tǒng)應(yīng)設(shè)計(jì)與生產(chǎn)工藝過程相匹配的安全完整性等級(jí)SIL（Safety Integrity Level），安全等級(jí)分為SIL1～SIL4，SIL評(píng)價(jià)參數(shù)為平均危險(xiǎn)故障率，由高到低分為1～4級(jí)，只有SIL1，SIL2，SIL3級(jí)適用于煤炭化工相關(guān)領(lǐng)域，危險(xiǎn)性的工藝單元才涉及SIL4級(jí)。

SIL等級(jí)與故障概率相應(yīng)關(guān)系見表1。

表1 SIL等級(jí)與故障概率相應(yīng)關(guān)系Table 1 Corresponding relationship between SIL level and failure probability

結(jié)合安全度等級(jí)，根據(jù)方案中三取二的信號(hào)，將現(xiàn)場(chǎng)變送器信號(hào)接入3組不同的IO卡，避免因任一卡件故障導(dǎo)致現(xiàn)場(chǎng)停機(jī)。

當(dāng)現(xiàn)場(chǎng)變送器信號(hào)同時(shí)進(jìn)入SIS系統(tǒng)和過程控制系統(tǒng)時(shí)，應(yīng)設(shè)計(jì)為先進(jìn)入SIS系統(tǒng)，再通過信號(hào)轉(zhuǎn)換器將信號(hào)接入過程控制系統(tǒng)。

從故障安全的角度對(duì)執(zhí)行機(jī)構(gòu)進(jìn)行設(shè)計(jì)是有必要的，正常工況為帶電狀態(tài)。

采取電磁閥冗余設(shè)計(jì)時(shí)，優(yōu)先采用隔爆、低功耗的原則，并聯(lián)方式提高可用性，串聯(lián)方式提高安全性。

2.2 TMR容錯(cuò)冗余設(shè)計(jì)

容錯(cuò)功能通常是在軟件算法上得以體現(xiàn)，而TMR系統(tǒng)則利用電子電路和物理芯片來完成系統(tǒng)的故障診斷、冗余和容錯(cuò)管理功能的搭建。

物理硬件的容錯(cuò)設(shè)計(jì)降低了處理器之間的通信負(fù)荷。三重化冗余技術(shù)是指實(shí)現(xiàn)重要電路的三重化，每個(gè)單元是獨(dú)立的但功能又完全相同。在信號(hào)輸出之前，通過物理芯片的表決進(jìn)行處理。當(dāng)三路中有一路發(fā)生故障時(shí)，經(jīng)三取二芯片表決后，信號(hào)將被屏蔽，系統(tǒng)仍能正常工作，不會(huì)因內(nèi)部故障而聯(lián)鎖相關(guān)動(dòng)作。

現(xiàn)場(chǎng)過程數(shù)據(jù)經(jīng)輸入模塊檢測(cè)后，寄存在各輸入模塊的緩存器中，然后傳輸?shù)饺鼗哂嗄K的內(nèi)部總線處理。主處理器以同步方式運(yùn)行，計(jì)算結(jié)果傳送到輸出模塊進(jìn)行表決，最終控制驅(qū)動(dòng)輸出電路。

TMR系統(tǒng)按周期掃描程序提供周期性容錯(cuò)控制。如果內(nèi)部電路發(fā)生故障，在發(fā)布故障通知后，主處理器不會(huì)中斷。

TMR主控制器三重化結(jié)構(gòu)如圖6所示。

圖6 TMR主控制器三重化結(jié)構(gòu)Fig.6 Triple structure of TMR main controller

2.3 安全聯(lián)鎖設(shè)計(jì)

蓄熱氧化井筒加熱裝置甲烷氧化工藝運(yùn)行工況的溫度為1 000℃，生產(chǎn)過程中涉及到的物質(zhì)有甲烷、柴油、蒸汽等，且多在高溫、高壓下進(jìn)行，為保障工藝以及設(shè)備安全，儀表安全系統(tǒng)按SIL3等級(jí)設(shè)計(jì)了相關(guān)的緊急停車和安全連鎖方案。

原料氣瓦斯摻混后濃度C01_A、C01_B、C01_C三取二＞1.2%時(shí)，瓦斯切斷閥關(guān)閉、原料氣放空閥打開、蓄熱氧化裝置旁通閥打開同時(shí)執(zhí)行動(dòng)作。

摻混瓦斯?jié)舛嚷?lián)鎖圖如圖7所示。

圖7 摻混瓦斯?jié)舛嚷?lián)鎖圖Fig.7 Interlocking diagram of mixed gas concentration

蓄熱氧化裝置氧化室溫度TE_1A、TE_1B、TE_1C三取二或＞1 050℃時(shí)，主風(fēng)機(jī)自動(dòng)降負(fù)荷，瓦斯切斷閥關(guān)閉、原料氣放空閥打開、蓄熱氧化裝置旁通閥打開同時(shí)執(zhí)行動(dòng)作。

蓄熱氧化室溫度聯(lián)鎖圖如圖8所示。

圖8 蓄熱氧化室溫度聯(lián)鎖圖Fig.8 Temperature interlock diagram of regenerative oxidation chamber

3 結(jié) 語

安全儀表系統(tǒng)能夠完成一項(xiàng)或多項(xiàng)安全性能，是集故障診斷、冗余容錯(cuò)、事件日志等多功能于一體的安全系統(tǒng)。安全儀表系統(tǒng)作為現(xiàn)代流程工業(yè)降低風(fēng)險(xiǎn)、保證安全的有效手段，越來越受到人們的重視。

安全儀表系統(tǒng)與過程控制系統(tǒng)既有區(qū)別又有聯(lián)系。其主要目的是提高生產(chǎn)過程的可靠性，降低整個(gè)系統(tǒng)的風(fēng)險(xiǎn)。

在瓦斯蓄熱氧化井筒加熱項(xiàng)工藝生產(chǎn)過程中，存在多種因素導(dǎo)致工況參數(shù)異常，當(dāng)被控參數(shù)失調(diào)（不在工藝參數(shù)設(shè)計(jì)范圍）時(shí)，這時(shí)不僅影響產(chǎn)品的質(zhì)量和產(chǎn)量，還可能導(dǎo)致生產(chǎn)事故的發(fā)生，造成設(shè)備的損壞甚至危及人身安全。