石油化工裝置應(yīng)用ESD系統(tǒng)的淺見

1、緊急停車系統(tǒng)，即ESD系統(tǒng)(Emergency Shut Down system)是對(duì)石油化工生產(chǎn)裝 置可能發(fā)生的危險(xiǎn)或不采取措施將繼續(xù)惡化的狀態(tài)進(jìn)行及時(shí)響應(yīng)和保護(hù)，使生產(chǎn) 裝置進(jìn)入一個(gè)預(yù)定義的安全停車工況，從而使危險(xiǎn)降低到可以接受的最低程度， 以保證人員、設(shè)備、生產(chǎn)和裝置的安全。為了提高企業(yè)的經(jīng)濟(jì)效益，安全平穩(wěn)、 長(zhǎng)周期地連續(xù)生產(chǎn)是至關(guān)重要的，這就需要一種高度可靠的安全保護(hù)手段，ESD 系統(tǒng)因此應(yīng)運(yùn)而生。ESD系統(tǒng)是適用于高溫、高壓、易燃、易爆等連續(xù)性生產(chǎn)裝 置的安全保護(hù)系統(tǒng)。本文結(jié)合上海石油化工股份有限公司高壓聚乙烯裝置配置應(yīng) 用ESD系統(tǒng)的情況，探討在石油化工企業(yè)實(shí)施ESD系統(tǒng)的重要性和

2、必要性。一 采用ESD系統(tǒng)的背景安全系統(tǒng)的重要性隨著過程工業(yè)的產(chǎn)生和發(fā)展，過程控制系統(tǒng)顯得越來越重要。過去，直接On/Off 控制已經(jīng)可以滿足簡(jiǎn)單的設(shè)備裝置要求，而現(xiàn)在，則需要更復(fù)雜的控制功能。由 于過程的復(fù)雜性，原料的變化，最終產(chǎn)品的質(zhì)量要求，裝置規(guī)模以及設(shè)備、人身、 環(huán)境的保護(hù)等因素，適當(dāng)?shù)倪^程控制以及安全系統(tǒng)的設(shè)置顯得尤為必要和重要。 因此，許多企業(yè)運(yùn)用過程控制概念以保證人員安全的最佳可靠性、生產(chǎn)設(shè)備的壽 命、環(huán)境保護(hù)、有關(guān)利潤(rùn)和持續(xù)性的可應(yīng)用性。安全系統(tǒng)的要求隨著石油化工裝置的規(guī)模日趨大型化，設(shè)計(jì)操作指標(biāo)離安全臨界點(diǎn)越來越近，造 成發(fā)生危險(xiǎn)的可能性也增加，所以越來越多石化企業(yè)用戶非常重

3、視生產(chǎn)過程的安 全，同時(shí)又要不斷提高產(chǎn)品產(chǎn)量，以追求企業(yè)效益利潤(rùn)最大化。在過去幾年中， 有的企業(yè)雖然配置了某種安全系統(tǒng)，但由于該系統(tǒng)并不提供所要求安全的完全 性，而發(fā)生了許多大事故。隨著現(xiàn)代科學(xué)技術(shù)的發(fā)展，人們對(duì)安全系統(tǒng)的認(rèn)識(shí)也 得到了提高，這就對(duì)安全系統(tǒng)提出了新的要求：安全系統(tǒng)必須比繼電器控制或是固態(tài)邏輯控制更安全可靠；必須減少安全系統(tǒng)誤動(dòng)作或誤停車的次數(shù)和頻率；系統(tǒng)必須易于維護(hù)和查找故障，并具有自診斷功能；系統(tǒng)必須易于組態(tài)，并且有在線修改組態(tài)的功能；安全系統(tǒng)必須可與DCS和其他計(jì)算機(jī)系統(tǒng)通信；系統(tǒng)必須有硬件和軟件的權(quán)限保護(hù)；必須提供第一次事故記錄(SOE)功能；安全系統(tǒng)必須獨(dú)立于其他控制系

4、統(tǒng)。需要配置安全系統(tǒng)的典型設(shè)備、過程或系統(tǒng)有石油與天然氣平臺(tái)、化學(xué)系統(tǒng)、旋 轉(zhuǎn)機(jī)械(汽輪機(jī)、壓縮機(jī)等)、發(fā)電廠與配電系統(tǒng)、電站鍋爐等。ESD系統(tǒng)投入的必要性由于當(dāng)今工業(yè)的高度發(fā)展，整個(gè)工業(yè)過程是在一種高強(qiáng)度、高度自控的環(huán)境下進(jìn) 行，尤其是對(duì)于天然氣、石油化工、化工及電力行業(yè)來說，由于企業(yè)生產(chǎn)的性質(zhì) 所決定，所處的生產(chǎn)環(huán)境是具有爆炸危險(xiǎn)性的。這樣，設(shè)備、人身及生產(chǎn)過程的 安全可靠性就成為重要的保證。而傳統(tǒng)的DCS、PLC系統(tǒng)等控制手段在這方面表 現(xiàn)出的薄弱性也就越來越明顯，這顯然不能滿足石油化工等危險(xiǎn)場(chǎng)合的生產(chǎn)工藝 要求。隨著現(xiàn)代計(jì)算機(jī)技術(shù)的發(fā)展，ESD系統(tǒng)的設(shè)備配置也在不斷地更新?lián)Q代，由低級(jí)

5、到高級(jí)；由氣動(dòng)邏輯到繼電器邏輯；由簡(jiǎn)單的繼電器系統(tǒng)到以微處理器為主的 ESD系統(tǒng)；由單回路聯(lián)鎖系統(tǒng)到三重模塊冗余系統(tǒng)，即TMR(Triple Modular Redundancy)。TMR技術(shù)，早在20世紀(jì)80年代中期便由美國(guó)宇航專利技術(shù)開發(fā)出來，并從80 年代末期被用于工業(yè)安全系統(tǒng)的設(shè)計(jì)上。它是將安全系統(tǒng)的關(guān)鍵電路都實(shí)行三重 化，每個(gè)通道各自獨(dú)立，但又同時(shí)完成同一功能TMR技術(shù)保證了安全系統(tǒng)的連 續(xù)性和可預(yù)測(cè)性，從而在本質(zhì)上可以提高石油化工生產(chǎn)裝置的安全運(yùn)行水平，并 最大限度地消除誤停車事故的發(fā)生。由于TMR系統(tǒng)具有滿足這些場(chǎng)合的生產(chǎn)工藝 要求，它既可保證生產(chǎn)過程的連續(xù)可靠進(jìn)行，又可在如發(fā)生

6、重大故障時(shí)確保設(shè)備、 人身的安全，大大提高生產(chǎn)的可靠性與安全性。所以，TMR技術(shù)已被人們認(rèn)識(shí)并 廣泛應(yīng)用在石油化工、天然氣、電力系統(tǒng)等工業(yè)領(lǐng)域。由此可見，在講究高效安全生產(chǎn)的石油化工行業(yè)，如今投入ESD系統(tǒng)已是眾多企 業(yè)的選擇，并是保證生產(chǎn)可靠性與安全性，提高經(jīng)濟(jì)效益的必要手段之一。容錯(cuò)控制與安全系統(tǒng)從20世紀(jì)70年代開始，基于處理器的聯(lián)鎖系統(tǒng)由于比傳統(tǒng)的繼電器或固態(tài)邏輯 聯(lián)鎖系統(tǒng)更易于聯(lián)鎖邏輯的修改及再組態(tài)而被廣泛用于工業(yè)控制領(lǐng)域。但由于處 理器單元的出錯(cuò)容易導(dǎo)致整個(gè)聯(lián)鎖控制系統(tǒng)的失敗，從而使得基于處理器聯(lián)鎖系 統(tǒng)的可靠性相對(duì)于傳統(tǒng)聯(lián)鎖系統(tǒng)來說較差些。傳統(tǒng)聯(lián)鎖系統(tǒng)由于具有多種結(jié)構(gòu)而 使其擁有

7、較大程度上的容錯(cuò)性。某一部件的故障也僅僅只會(huì)導(dǎo)致控制的某部分失 敗。但是對(duì)于任何一種聯(lián)鎖控制系統(tǒng)，基于處理器或是傳統(tǒng)的系統(tǒng)結(jié)構(gòu)，如引起部分 或整個(gè)控制失敗的故障是不可接受的，它將直接導(dǎo)致生產(chǎn)產(chǎn)量的下降或更嚴(yán)重的 后果，如人員的傷亡等。于是一種能允許系統(tǒng)部分故障，而又不影響正常生產(chǎn)的 系統(tǒng)結(jié)構(gòu)的要求擺到人們眼前。這種聯(lián)鎖系統(tǒng)必須達(dá)到100%可靠且始終嚴(yán)格按 照指令運(yùn)行。容錯(cuò)控制容錯(cuò)是指系統(tǒng)在一個(gè)或多個(gè)元件出現(xiàn)故障時(shí)能繼續(xù)運(yùn)行的能力。真正的容錯(cuò)還具 有在不干擾系統(tǒng)運(yùn)行的情況下，完全自動(dòng)恢復(fù)的功能。它不同于一般的冗余：一 般的冗余僅僅是模塊或總線上簡(jiǎn)單的雙熱備，一旦輸入模塊出現(xiàn)故障，處理器模 塊也會(huì)

8、出現(xiàn)故障，這時(shí)系統(tǒng)可能會(huì)因此而癱瘓；但是具有容錯(cuò)功能的系統(tǒng)，除了 模塊、總線、通信上的冗余設(shè)計(jì)外，還具有自診斷功能。基于具有容錯(cuò)能力的處 理器的系統(tǒng)必須能準(zhǔn)確識(shí)別各部件的故障（即全面診斷），并對(duì)任何故障能進(jìn)行補(bǔ) 償，這可通過將故障部件的信號(hào)強(qiáng)制為指定狀態(tài)，并使用另一種不同的信號(hào)線（冗 余），這類似于傳統(tǒng)系統(tǒng)的結(jié)構(gòu)，而那些不能被診斷出來的故障部件則被視為危 險(xiǎn)故障。ESD系統(tǒng)就是設(shè)計(jì)為高度容錯(cuò)性，用來將工業(yè)過程置為已知的安全狀態(tài)。ESD系 統(tǒng)必須具有高可靠性，故障自動(dòng)保險(xiǎn)，不能有導(dǎo)致不利于停車的誤動(dòng)作。容錯(cuò)系統(tǒng)的幾種形式（1）雙重冗余系統(tǒng)容錯(cuò)系統(tǒng)最簡(jiǎn)單的形式便是提供第二條信號(hào)線路，并在兩套系統(tǒng)間

9、提供某種表決 格式，如圖1所示。如果表決器進(jìn)行1002（2選1）表決，則使信號(hào)為操作狀態(tài)的單元一旦發(fā)生故障， 將導(dǎo)致系統(tǒng)產(chǎn)生一個(gè)不正確的輸出動(dòng)作。如果是使信號(hào)保持在非操作狀態(tài)的單元 發(fā)生故障，則系統(tǒng)的另一單元?jiǎng)t起到控制作用。系統(tǒng)則變?yōu)?001來控制輸出， 而故障單元?jiǎng)t為故障自動(dòng)保險(xiǎn)。如果表決器進(jìn)行2002（2選2）表決，使信號(hào)保持非操作狀態(tài)的單元發(fā)生故障時(shí)， 會(huì)導(dǎo)致系統(tǒng)的另一單元不能控制系統(tǒng)的輸出，整個(gè)表決則失去控制。而使信號(hào)為 操作狀態(tài)的單元的故障就不會(huì)使系統(tǒng)產(chǎn)生不正確的輸出動(dòng)作，而且整個(gè)部件處于 故障自動(dòng)保險(xiǎn)。1002表決結(jié)構(gòu)與2002表決結(jié)構(gòu)相比，不易產(chǎn)生危險(xiǎn)故障，但更易產(chǎn)生不正確的 輸

10、出動(dòng)作。雖然雙重PLC系統(tǒng)提供了一定程度的容錯(cuò)功能，但由于任何系統(tǒng)上的變更（包括 增加輸入和輸出，應(yīng)用邏輯更改等）均會(huì)導(dǎo)致對(duì)系統(tǒng)測(cè)試硬件的更改、增加及分 析測(cè)試程序的修改，從而使得雙重PLC系統(tǒng)顯得不夠靈活。（2）三重系統(tǒng)三重冗余系統(tǒng)提供3條獨(dú)立的信號(hào)通道，并對(duì)輸出進(jìn)行3選2表決，如圖2所示。輸出的容錯(cuò)由2003（3選2）表決器提供，并可在故障發(fā)生時(shí)復(fù)原為1002或2002, 特別適用于工業(yè)過程。為提高三重冗余系統(tǒng)從輸入到輸出的響應(yīng)時(shí)間，系統(tǒng)單元需要定期地協(xié)調(diào)同步， 假設(shè)每個(gè)單元的響應(yīng)時(shí)間為10ms，則最壞情況下三重冗余系統(tǒng)(沒有同步)的響 應(yīng)時(shí)間可能為20ms。響應(yīng)時(shí)間的可預(yù)測(cè)性在對(duì)數(shù)字化模

11、擬信號(hào)進(jìn)行表決時(shí)顯得 特別重要。三重冗余提供了較大程度上的容錯(cuò)性能，但它同樣對(duì)任何系統(tǒng)的變化相對(duì)顯得不 夠靈活。三重模塊冗余三重模塊冗余控制系統(tǒng)(TMR)使用3個(gè)相互隔離的、并行主處理器控制系統(tǒng)，并 帶有擴(kuò)展的診斷作用綜合而成的一套硬件。每掃描一次，3個(gè)主處理器通過三重 化總線與其相鄰的兩個(gè)主處理器進(jìn)行通信，達(dá)到同步；同時(shí)三重化總線可對(duì)其數(shù) 據(jù)進(jìn)行比較，并表決有效數(shù)據(jù)。瞬態(tài)的數(shù)據(jù)錯(cuò)誤和單元的失效不會(huì)對(duì)控制系統(tǒng)造 成影響。在系統(tǒng)內(nèi)的表決器選舉原則為3取2,這樣，單點(diǎn)的錯(cuò)誤就不會(huì)影響控 制系統(tǒng)的操作，如圖3所示。安全系統(tǒng)的標(biāo)準(zhǔn)在安全系統(tǒng)的設(shè)計(jì)中，安全度等級(jí)是設(shè)計(jì)的標(biāo)準(zhǔn)，應(yīng)根據(jù)生產(chǎn)裝置的安全度等級(jí)

12、選擇合適的安全系統(tǒng)技術(shù)和配置方式。安全度等級(jí)是系統(tǒng)在指定的狀態(tài)下，完全 執(zhí)行要求的緊急功能的概念。安全度等級(jí)可用于簡(jiǎn)化和理論化系統(tǒng)結(jié)構(gòu)中各部分 的安全要求，并使其定量化。IEC 61508定義了 4個(gè)安全度等級(jí)及相應(yīng)于每個(gè)等 級(jí)的兩個(gè)定量安全要求，包括對(duì)系統(tǒng)連續(xù)操作的目標(biāo)故障率要求和對(duì)系統(tǒng)按照要 求切換到安全功能的目標(biāo)故障率要求。安全度等級(jí)與定量要求的關(guān)系如表1所 示。隨著安全標(biāo)準(zhǔn)的推出以及對(duì)安全系統(tǒng)重視度的不斷升級(jí)，安全系統(tǒng)的認(rèn)證也就變 得越來越重要。根據(jù)德國(guó)電工協(xié)會(huì)DIN的標(biāo)準(zhǔn)，在過程工業(yè)中，典型工業(yè)過程的 危險(xiǎn)系數(shù)將安全要求級(jí)別定位在5級(jí)。因此，在德國(guó)的專門認(rèn)證安全系統(tǒng)的機(jī)構(gòu) Tu(Technischer uerwachungs Verein)將應(yīng)用在過程工業(yè)的安全系數(shù)定義為安全 要求級(jí)別5。在設(shè)置安全系統(tǒng)時(shí)，既要滿足工業(yè)過程安全度要求，又要保證可靠 性。因此，必須先對(duì)具體的工業(yè)過程進(jìn)行安全度的評(píng)價(jià)。但是，目前我國(guó)尚無具 體安全等級(jí)劃分的標(biāo)準(zhǔn)和設(shè)計(jì)規(guī)范，在應(yīng)用中應(yīng)參照國(guó)際上的有關(guān)標(biāo)準(zhǔn)，參比同 類裝置已經(jīng)采用的ESD系統(tǒng)的運(yùn)行情況以及結(jié)合本企業(yè)的生產(chǎn)實(shí)際情況來確定 采用ESD系統(tǒng)的安全要求等級(jí)。根據(jù)經(jīng)驗(yàn)，石油化工生產(chǎn)裝置一般采用ESD系統(tǒng) 的安全等級(jí)為