论文部分内容阅读
摘要:现代化工业生产装置,为了预防、控制或减少来自过程及安全相关设备的特定危险,采用降低外部风险设施、工艺参数条件控制、安全保护控制、SIS安全儀表系统及火灾及气体检测保护系统,构筑生产装置无懈可击的安全保护层,确保生产装置长期连续稳定运行。即使安全功能出现失效危险, SIS安全仪表系统也能自动将受控过程转入预定的安全状态。
关键词:安全保护层,保护控制,安全完整性等级(Safety integrity levels),SIS
安全仪表系统( safyte instrumente system)
中图分类号: TU714 文献标识码: A
1 生产装置安全保护层
1.1第一安全保护层:装置设计
(1)工艺设计:根据安全需要,在工艺设备或管道上设置安全放空阀、防爆膜、排气阻火器,设备电化学保护及特殊工艺管道的静电接地保护等安全设施来降低外部风险。
(2) 构筑物设计:高层构筑物或有爆炸危险设备(例如有爆炸危险的气柜)设有防雷
击的安全保护装置。
(3)仪表设计:根据现场危险区域划分,针对所划分的危险区域类别,为满足安全要求,现场仪表采用隔爆或由本安仪表和安全栅关联设备构成的本安防爆系统来防止爆炸危险发生。此外,在雷区现场采用防雷仪表和防雷接地设施防止雷击危险。
1.2第二安全保护层:过程检测和控制
以过程检测、控制及参数越限报警为目的, 针对生产过程的物料流和能量流,设置必要的物料平衡控制、能量平衡控制和约束条件控制,以及保护控制来确保生产装置长期在最适宜的工况下运行。
图1是大型离心式压缩机特性曲线。图中N1~N4为离心式压缩机的速度线;在某一恒速运行都有一个喘震极限流量称为喘震点,喘震点的轨迹形成喘震线。喘震线的左边区域称为喘震区;喘震线的右边区域称为安全工作区。大于喘震流量的10~15%
P2
P1
安
喘N1
A 全B
N2 线
震 工线
N3 震 作 制
区
N4 喘区 控
QA QB
通过离心压缩机流量
图1 离心式压缩机特性曲线
流量值的轨迹线称为离心式压缩机的控制线。
假定离心式压缩机在额定转速为N2下运行,当通过离心式压缩机的流量低于某一极限流量QA时,压缩机产生的压头不能克服系统外部阻力,使压缩机出口气体出现倒流,引起流量和出口压力迅速变化的不稳定现象称为离心式压缩机喘震。喘震发生时压缩机产生轴向高频反推力,使压缩机叶轮和压缩机基础遭到毁灭性破坏而造成设备人员伤亡。为确保设备和人身安全,设立离心式压缩机流量定值抗喘震保护控制系统,流量控制的设定值为图中的QB =[1+(10~15%)]QA,当通过压缩机的流量≤QB时,流量定值抗喘震控制系统打开压缩机旁路调节阀,将压缩机出口气体旁路而回流到压缩机入口,迅速增大通过压缩机的流量来防止喘震发生。
1.3第三安全保护层:SIS安全仪表系统
SIS安全仪表系统,目前已取代了ESD紧急停车系统。该系统采用与过程控制系统在物理上完全分离的SIS安全仪表系统。在正常状态下,SIS安全仪表系统的自诊断测试几乎复盖所有的输入、输出硬件设备和系统软件,一旦安全功能出现危险故障时, SIS安全仪表系统执行安全功能,将被控过程自动转入预定的安全状态。
1.4第四安全保护层:火灾及气体检测保护系统(FGS)
在工业领域中,火灾及气体检测保护系统是非常重要的安全保护系统。随着经济的发展,人们对安全、健康和环保的要求越来越高。设置火灾及气体检测保护系统用来处理可燃性气体及有毒气体产生的危险。当火灾发生时,火灾及气体检测保护系统立即启动消防灭火系统,必要时同时启动SIS安全仪表系统执行停车安全保护。当检测到有毒气体泄漏发生时, 火灾及气体检测保护系统迅速切断并封堵有毒气体。
2SIS安全仪表系统
2.1SIS安全仪表系统构成、硬件和软件结构及系统功能
2.1.1SIS安全仪表系统构成
如图2所示,SIS安全仪表系统通常由以下四部分组成:
(1)输入端(传感器):包括不可编程设备和可编程电子设备;
(2)逻辑控制系统(控制器):包括用作输入/输出接口的输入/ 输出模块、SIS控制器和通讯网络;
(3)输出端(执行元件) :包括不可编程设备和可编程电子设备。
(4)安全操作中心:包括安全工作站、辅助操作台及打印机 。
输入端(传感器) 逻辑控制系统(控制器)输出端(执行元件)
不可编程可编程电子器件不可编程
设备 设备
可编程电子 可编程电子器件可编程电子
设备设备
硬件 软件硬件 软件硬件 软件
打印机安全工作站 辅助操作台
图2SIS安全仪表系统构成
2.1.2 硬件和软件结构:硬件和软件结构如表1所示,系统软件包括嵌入软件和应用软件 。
2.1.3SIS安全仪表的系统功能:
2.1.3.1 系统设备功能
(1)输入端设备:实现安全功能所需的各类传感器,包括模拟量和开关量输入设备,
用于逻辑控制系统的逻辑变量输入。
(2)逻辑控制设备(逻辑控制器):用于逻辑运算和逻辑控制的设备。该部分设备是系统核心设备,包括逻辑输入/输出模块、控制器及通讯设备。
表1可编程电子器件硬件和软件结构。
可编程电子器件结构
硬件结构 软件结构(由嵌入软件和应用软件组成)
一般和特殊硬件 可编程电子器件嵌入软件 可编程电子器件应用软件
包括:
- 诊断测试;例如: 例如:
- 冗余微处理器;– 通讯驱动程序; - 输入/输出操作;
-多重化I/O模块– 故障处理软件; - 如果没有提供嵌入式软件服务
- 执行软件. ,具有检测器校验功能软件。
(3)输出端设备:该部分设备通常是系统执行元件。例如,继电器驱动带二位三通或五位二通电磁阀的开关阀或动力设备(机泵或压缩机)。
(4)辅助设备
* 安全工作站:系统安全状态画面监视。包括输入/输出状态显示、参数越限和SIS系统执行输出功能的内部报警及SOE事件顺序记录;
* 辅助操作台:用于系统输入和执行停车外部强制声光报警的第一事故信号识别及声光报警的试验按钮、手动紧急停车按钮、系统复位按钮的手动操作;
* 打印机:事件发生在线打印记录。
2.1.3.2 系统安全功能
(1)保护装置内部和事故区周围的人身安全;
(2)防止事故发生,造成环境污染;
(3)保护生产设备免遭损坏,确保投资效益;
(4)避免误停车带来的不必要的停车损失。
2.2SIS安全仪表系统工作原理
2.2.1 SIS系统工作原理(以创康系统三重化(TMR)为例)
如图3所示,在输入端输入一个模拟信号,自动备份成三个信号进入各自的AI模件。从输入模件经主处理器到输出模件完全是三重化。每个I/O模件内有三个独立的通道(分电路)。输入模件中每个通道读入过程数据并将此信息送到各自的主处理器,三个主处理器利用其专有的称作TriBus(三重化总线)的高速数据总线进行互相间通讯。系统每扫描一次,三个主处理器其中之一通过TriBus总线与其相邻的二个主处理器进行同步通讯,TriBus总线对数字输入数据进行表决,对输出数据进行比较,将模拟输入数据复制并送到各主处理器,主处理器执行各种控制算法,并送到各自的输出模件。除表决输入数据外,还表决输出数据。输出数据表决在输出模件中完成。
2.2.2 三重化总线
自动备份自动备份
I/O模件 I/O模件
输入 I/O BUS主输出
通道处理器通道
A TriBus AA
I/O模件 TriBus I/O模件
输入主输出 表
通道处理器 I/O BUS通道 决
输入端 BBB 输出端
I/O模件 I/O模件
输入主输出
通道TriBus处理器 通道
CCC
I/O BUS
图3系统三重化(TMR)工作原理
三重化总线(TriBus)包括三条独立的串行的电路,速率为4M波特。每次扫描
开始时都能使每个主处理器保持同步。每个主处理器将它的数据送入它上游和下游
的主处理器。它有以下三个功能:
(1)传输模拟的、诊断的、通讯的数据;
(2)传输和表决数字输入数据;
(3)对上次扫描的输出数据和控制程序存贮器进行数据比较并对不同之处进行标识。
2.2.3I/O BUS功能
每个三重化I/O模件通过接收对应的现场信号或向现场传送数据。可使数据在I/O模件与主处理器之间传送,速率为375波特。I/O BUS的每个通道在每个主处理器与其对应的I/O模件上的相应通道间分别通过三条I/OBUS电缆传递信息。
2.3SIS安全仪表系统特点、类型及典型产品
2.3.1 SIS安全仪表系统的特点
(1) 主处理器和I/O模件完全多重化(二重化、三重化和四重化);
(2)不会因系统输入端单点故障而引起系统停车;
(3)系统经过(TUV)AK6级的标准认证,满足IEC61508 SIS 3安全完整性等级要求;
(4)系统内置诊断功能,诊断复盖率高,故障诊断非常方便;
(5)毫秒级的SOE事件顺序记录功能,为停车事故原因分析及系统维修提供极大帮助;
(6)灵活可变的模块化设计,通常在系统使用I/O模件槽旁设有备用维修逻辑槽,当使用槽I/O模件故障时,只要在备用维修逻辑槽中在线插入新的I/O模件,即完成维修。并为系统扩建提供极大便利,有效降低扩建成本;
(7)系统具有强大的通讯功能,具有标准的RS232/485 MODBUS、TCP/IP网络和OPC协议,使SIS系统与DCS系统实现无缝连接。
2.3.2SIS安全仪表系统类型
(1)继电器型:输入/输出隔离,可靠性高,不受大多数干扰的影响,驱动电压适应范围宽,
系统一次投资费用低。但体积较大,灵活性差,由于硬接线连接,系统修改及扩展不便,不
能与其它系统通讯。一般用于小规模安全仪表系统。
(2)固态电路型:采用微处理器和固态集成电子器件搭成具有安全功能的集成电路来完
成所需逻辑功能,可以克服继电器类诸多缺点。电路设计有故障自诊断功能,可采用冗余
配置来改善其技术性能,增强容错性, 但受集成度和功能灵活性限制,使应用也受到一
定的限制。
(3)可编程電子型:该系统的主流设计是以微处理器技术为基础, 采用专门的软件和微
程序固件,具有强大的,方便灵活的编程能力。系统可对所有运行通道(包括I/O模块)进
行在线自诊断测试,便于与过程控制系统和工厂管理网络融为一体的系统集成。该类系
统,根据安全功能和应用需要,可配置单级安全仪表系统和冗余双重化安全仪表系统,以
及冗余容错三重化安全仪表系统。
2.3.3SIS安全仪表系统的典型产品
(1)美国TRICONEX公司三重化模件冗余表决式SIS安全仪表系统;
(2)德国P+F公司双重化模件冗余式SIS安全仪表系统;
(3)英国ROTORK公司ES逻辑陈列模块KLAM三重化表决SIS安全仪表系统;
(4)费希尔-罗斯蒙特公司固态逻辑陈列模块化设计的四重化SIS安全仪表系统;
(5)北京康吉森公司安全仪表系统(SIS)是基于TRICON三重化模件冗余(TMR)结构的冗余容错式控制系统。
3安全完整性等级(SIL)及确定方法
3.1安全完整性等级(SIL):分为SIL1、SIL2、SIL3及SIL4四级。其中SIL1为安全完整
性等级的最低级;SIL4为安全完整性等级的最高级。采用计算法、功能安全评估法、
风险图法及风险矩陈法其中之一的方法,均可确定安全完整性等级(SIL) 。
3.2 安全完整性等级(SIL)确定方法:
3.2.1计算法:该法是由诊断复盖范围DC(%) 、共因失效分数β、设备等效平均停机时间
tDE及系统等效平均停机时间tSE计算每个通道平均失效率,然后求系统平均失效率
PFDAVG,再由PFDAVG值查表2得到安全完整性等级(SIL) 。,本文 限于篇幅,计算从略。
表2:安全完整性等级(SIL):低需求操作方式运行
安全完整性
等级(SIL) 低需求运行方式 安全保障率
履行设计所需功能的平均失效率)
4 ≥10-5~<10-4 >99.99%
3 ≥10-4~<10-399.9%~99.99%
2 ≥10-3~<10-2 99%~99.9%
1 ≥10-2~<10-190%~99%
3.2.2 功能安全评估法
按系统功能安全要求初定安全完整性等级(SIL)和风险参数(DC、β和λ值)及表决逻
辑。查表求各元件平均失效率和总失效率。由总失效率查表2得到安全完整性等级(SIL)与初定的(SIL)比较,如评估法所得的(SIL)低于初定的(SIL),通过安全改进和计算,使安全
完整性等级(SIL)达到系统功能安全要求。
3.2.3风险图法:
(1)风险参数:
* C- 风险事件的危害度;
* F- 在危险区域,人员存在(停留)时间和频繁程度;
* P- 避免危险事件发生或风险失效的可能性;
* W- 不希望事件出现的可能性。
* 文字说明:
图4中 Ca<Cb<Cc<Cd ;Fa<Fb ; Pa<Pb ;W1<W2<W3
----- 无安全要求;
a - 无特别安全要求;
b- 使用一套电气/电子/可编程电子器件不能满足系统安全要求;
1,2,3,4- 安全完整性等级(SIL1,SIL2,SIL3,SIL4) 。
W1W2 W3
CaX1
a --- ---
X2
Pa 1a ---
判断减少Cb FaPb X3
风险起点 Fb2 1a
Pa
Cc Fa PbX4 3 2 1
Fb
Pa
Cd Pb X5 4 3 2
Fa
Fb Pa
PbX6 b 4 3
图4 风险图
(2)风险图法确定安全完整性等级(SIL):
* 通常根据工程项目复杂程度、国家或行业标准、风险特性和降低风险的要求、人
员素质和技能及风险参数信息等因素,根据风险分析和风险存在情况,由表3风险参数表确定(C1~C4,F1,F2,P1,P2和W1~W3)其中的风险参数;
* 根据已确定的风险参数,由图4风险图确定X1~X6其中之一的箭头所指向W1或W2或W3其中之一,例如X3箭头指向的W1右面方格中2, 从而获得安全完整性等级(SIL2) 。
(3)由最低风险确定安全完整性等级(SIL) :
* 根据风险分析和风险存在情况,由表3确定(C1~C4,F1,F2,P1,P2和W1~3)其中风险参数;
* 根据已确定的风险参数,由图5最低风险与安全完整性等级(SIL)之间的链接图,确定
箭头指向其中之一的W1或W2或W3,例如箭头指向的W3右面的方格中d, 再在
本图的下面的鏈接表中d右边的数字2获得安全完整性等级(SIL2) 。
B AND联锁
(正常为”1”)(表决逻辑输出)
图82取1表决逻辑
(3)3取2逻辑:图9所示,如果系统安全要求SIS3或SIS3以上,须采用3取2表决逻辑。采用3个检测器(A,B,C),如果A/B, B/C, A/C的三个3取2其中之一个3取2表决逻辑的两个输入均为”0”时, 表决逻辑输出为”0”, 系统发生联锁动作;如果其中一个3取2表决逻辑的输入之一非”0”,联锁不动作。但报警。
(正常为”1”,异常为”0”报警) (正常为”1”,异常为”0”报警)
AND报警
A A/B/C
OR (正常为”1”,异常为”0”联锁)
B A/B AND联锁
OR (表决逻辑输出)
B/C
C OR
A/C
图93取2逻辑
4.2.3传感器(检测端)冗余:安全功能要求安全完整性等级SIL2或SIL2以上均采用传感器冗余。有以下配置方式:
(1)设置两个双重功能变送器(模拟信号+触点开关), 触点开关信号直接作为SIS系统逻辑输入;模拟量通过SIS逻辑控制器转换成触点信号,由SIS系统采集该触点信号作为SIS系统逻辑输入;
(2)设置一个参数开关(例如温度、压力、流量和液位开关其中之一)直接作为SIS系统逻辑输入;另外设置两台不同类型的变送器通过SIS逻辑控制器转换成触点信号,由SIS系统采集该触点信号作为SIS系统逻辑输入;
(3)采用两台不同类型的变送器,其中一台变送器通过有源或无源隔离安全栅实现单输入双独立输出, 再通过SIL逻辑控器转换成触点信号,由SIS系統采集该触点信号作为SIS系统逻辑输入;
4.2.4 最终元件(执行端)冗余:通常有以下配置方式:
(1)电磁阀冗余配置:用于SIS 2级或SIS2以上,采用双电磁阀冗余配置。如果系统要求高安全性,两个电磁阀采用”与”逻辑”(串联运行);如系统要求高可靠性,两个电磁
阀采用”或”逻辑”(并联运行)。电磁阀在正常时励磁。例如图9所示的电磁阀采用”或”逻辑。正常时,A,B电磁阀1-3通,将气动控制信号(AS)送到两个电磁阀并联运
行控制提高可靠性。异常时, DO输出为”0”, 两个气开式调节阀的A,B电磁阀2-3通;1-3不通, 切断气动控制信号(AS),调节阀膜头气体同时通过两个电磁阀的2,3通道快速放空来切断工艺介质。由此可见,由于两个电磁阀总是同时动作,即使一个电磁阀故障,也能确保系统可靠性要求。
(2)气动开关阀冗余: 串联安装两台气动开关阀用于切断,两阀总有一台阀切断或两台开关阀同时切断来增加系统可靠性(例如液氯贮槽放液切断);并联安装的两台气动开关阀用于放空(例如煤气柜超压放空到火炬系统的紧急排放系统)。
电源
供电单元 供电单元
CPUCPU
DI DO DI DO
PLC-A PLC-B
A (电开)B(电开)
双触点开关
AS1313
气动控制信号
2 2
FC
膜头气体在此端放空
图9最终元件(执行端)冗余
4.3故障安全型设置:
4.3.1隔离用继电器:在正常状态,SIS系统输出为“1”使继电器得电(励磁),常开触点闭合;在故障时,SIS系统输出为“0”,继电器失电(非励磁)输出触点断开。触点断开动作总是安全的,称为故障安全型设置,从而避免暴露在空气中的触点因积灰、环境锈蚀引起接触不良或开路的故障。
4.3.2电磁阀:系统须选用高质量的”ASCO”电磁阀。正常状态电磁阀励磁;故障时电磁阀转为非励磁。
4.3.3气动开关阀:气动开关阀选用单作用弹簧回复式故障安全型的气动球阀或蝶阀。
4.3.4装置无条件停车:在下列之一情况发生时,全装置执行无条件停车:
(1) 设置紧急停车按钮,在特急情况下(例如局部火灾),按下紧急停车按钮,SIS系统无条件执行全装置紧急停车;
(2) 仪表空气中断:仪表空气压力下降时, 为避免不必要的停车损失,首先报警进行操作处理。如延时处理仍然无效(气源压力低于0.4MPa),系统执行全装置无条件停车;
(3) 动力电源中断: 电网电压波动下降, 首先进行报警,提前进行操作处理。如延时处理仍然无效(电源中断),系统执行全装置无条件停车。
4.3.5停车复位:联锁发生后,系统始终处在被锁定的故障状态。在下次开车前,系统必须复位。为确保安全可靠的复位,按下停车复位按钮,执行5分钟锁定复位。系统开车时,维修开关处在维修位置,SIS系统不投入使用。装置进入正常运行后,将维修开关
处于维修切除(SIS系统投入位置)。该开关采用二位式转换开关。
5SIS安全仪表系统输入/输出设备技术规定
5.1 SIS系统开关量输入:
(1) 温度、压力、流量和液位开关触点:采用常闭触点。工艺条件正常时,触点接通为“1”;异常时,触点断开为“0”。该类触点为干接点,无锁定功能。
(2) 手动紧急停车按钮:采用带塑料防护罩和背灯弹簧返回式常闭按钮(干接点),正
常时接通为“1”,按下按钮触点断开为“0”,背灯亮。该按钮有锁定功能。
(3)手动复位按钮:采用带塑料防护罩和背灯常开按钮(干接点),正常断开为“0”
按下接通为“1”,背灯亮。该按钮无锁定功能。
5.2 参于联锁的模拟量输入:用于SIS系统的模拟量输入,通过逻辑控制器内部转换成開关信号,SIS系统采集开关信号作为SIS系统的开关信号输入。对于既用于DCS监控,又用于SIS系统的模拟量输入要通过一个单输入双输出的配电器或隔离安全栅,将其中之一输出由控制器内部转换成开关量用作SIS系统的开关量输入;另一个模拟量送到DCS系统。该类开关有自保持功能,正常输出为“0”,异常输出为“1”。
5.3SIS系统执行端设备要采用非励磁停车状态:
(1) 系统隔离用继电器:工艺条件正常时继电器得电处于励磁状态;异常时继电器失电处于非励磁状态。继电器的隔离输出触点用于驱动电磁阀或动力设备均采用常开触点,触点容量为5A。SIS控制器的执行输出均有保持功能,直到系统被复位。
(2) SIS系统执行元件(电磁阀);工艺条件正常时电磁阀得电处于励磁状态;异常时电
磁阀失电处于非励磁状态。
5.4维修开关(旁路开关):SIS系统输入回路或重要的输出回路需要设置维修开关。维修开关又名旁路开关,用于SIS系统输入回路的维修投入/维修切除(SIS系统投入),SIS系统处于维修投入,使系统输入设备或输出设备被旁路检修。该开关可设置成软开关,根据联锁输入接点信号或作用不同,分为常开或常闭型,由SIS系统组态实现。设有受权无法对软开关作组态修改。但用于每个3取2表决逻辑、SIS系统执行端的电磁阀和电气跳闸回路必须设置维修用外部硬接线二位转换式旁路开关,并将其安装在SIS系统控制柜。当操作任意一个维修开关时,该组维修开关指示灯亮。
5.6 系统第一事故信号识别:对于特别重要的工艺参数或SIS系统执行输出时,要有参数越限报警和SIS系统执行输出时的外部声光报警,在辅助操作台上设有第一事故信号识别用的报警光字牌。事故状态的报警光字牌为红色闪光,蜂鸣器发声,确认后指示灯仍为红色闪光。但蜂鸣声消失。
5.6SIS安全仪表系统的安全可靠性设计:
(1) 故障安全型设计:SIS系统输入开关量通常强调安全性,即采用正常闭合,故障断开的故障安全型设计;SIS系统输出执行端强调执行动作的可靠性。例如,驱动电磁阀或电气跳闸回路设备的触点通常采用“或”逻辑实现安全可靠性。
(2) 采用2取2或3取2表决逻辑来进一步提高系统的可靠性。避免不必要的停车损失。
5.7SIS安全仪表系统的通讯接口
(1) 人-机接口:系统配置工程师站和操作站(SER安全相关系统和SOE事件顺序记录功
能)。
(2) 辅助操作台:用于安装外部硬接线声光报警器、声/光试验按钮及手动停车和复位按
钮等。
(3) 与DCS通讯:在SIS系统控制站备有RS-232/RS-485硬件接口,采用RS-485总线和
MODBAS通讯协议,通过组态将DCS组态为主站,SIS系统为从站,DCS系统从SIS系
统从站获得信息。
参考文献:
1.电气/电子/可编程电子器件安全相关系统的功能安全《IEC61508-1~74》4.0版本,国际电工委员会标准;
2.石油化工紧急停车及安全联锁设计导则《SHB-206-1999》石油化工部标准;
3.创康安全和关键控制系统《北京康吉森自动化设备技术有限责任公司》产品使用说明书。
关键词:安全保护层,保护控制,安全完整性等级(Safety integrity levels),SIS
安全仪表系统( safyte instrumente system)
中图分类号: TU714 文献标识码: A
1 生产装置安全保护层
1.1第一安全保护层:装置设计
(1)工艺设计:根据安全需要,在工艺设备或管道上设置安全放空阀、防爆膜、排气阻火器,设备电化学保护及特殊工艺管道的静电接地保护等安全设施来降低外部风险。
(2) 构筑物设计:高层构筑物或有爆炸危险设备(例如有爆炸危险的气柜)设有防雷
击的安全保护装置。
(3)仪表设计:根据现场危险区域划分,针对所划分的危险区域类别,为满足安全要求,现场仪表采用隔爆或由本安仪表和安全栅关联设备构成的本安防爆系统来防止爆炸危险发生。此外,在雷区现场采用防雷仪表和防雷接地设施防止雷击危险。
1.2第二安全保护层:过程检测和控制
以过程检测、控制及参数越限报警为目的, 针对生产过程的物料流和能量流,设置必要的物料平衡控制、能量平衡控制和约束条件控制,以及保护控制来确保生产装置长期在最适宜的工况下运行。
图1是大型离心式压缩机特性曲线。图中N1~N4为离心式压缩机的速度线;在某一恒速运行都有一个喘震极限流量称为喘震点,喘震点的轨迹形成喘震线。喘震线的左边区域称为喘震区;喘震线的右边区域称为安全工作区。大于喘震流量的10~15%
P2
P1
安
喘N1
A 全B
N2 线
震 工线
N3 震 作 制
区
N4 喘区 控
QA QB
通过离心压缩机流量
图1 离心式压缩机特性曲线
流量值的轨迹线称为离心式压缩机的控制线。
假定离心式压缩机在额定转速为N2下运行,当通过离心式压缩机的流量低于某一极限流量QA时,压缩机产生的压头不能克服系统外部阻力,使压缩机出口气体出现倒流,引起流量和出口压力迅速变化的不稳定现象称为离心式压缩机喘震。喘震发生时压缩机产生轴向高频反推力,使压缩机叶轮和压缩机基础遭到毁灭性破坏而造成设备人员伤亡。为确保设备和人身安全,设立离心式压缩机流量定值抗喘震保护控制系统,流量控制的设定值为图中的QB =[1+(10~15%)]QA,当通过压缩机的流量≤QB时,流量定值抗喘震控制系统打开压缩机旁路调节阀,将压缩机出口气体旁路而回流到压缩机入口,迅速增大通过压缩机的流量来防止喘震发生。
1.3第三安全保护层:SIS安全仪表系统
SIS安全仪表系统,目前已取代了ESD紧急停车系统。该系统采用与过程控制系统在物理上完全分离的SIS安全仪表系统。在正常状态下,SIS安全仪表系统的自诊断测试几乎复盖所有的输入、输出硬件设备和系统软件,一旦安全功能出现危险故障时, SIS安全仪表系统执行安全功能,将被控过程自动转入预定的安全状态。
1.4第四安全保护层:火灾及气体检测保护系统(FGS)
在工业领域中,火灾及气体检测保护系统是非常重要的安全保护系统。随着经济的发展,人们对安全、健康和环保的要求越来越高。设置火灾及气体检测保护系统用来处理可燃性气体及有毒气体产生的危险。当火灾发生时,火灾及气体检测保护系统立即启动消防灭火系统,必要时同时启动SIS安全仪表系统执行停车安全保护。当检测到有毒气体泄漏发生时, 火灾及气体检测保护系统迅速切断并封堵有毒气体。
2SIS安全仪表系统
2.1SIS安全仪表系统构成、硬件和软件结构及系统功能
2.1.1SIS安全仪表系统构成
如图2所示,SIS安全仪表系统通常由以下四部分组成:
(1)输入端(传感器):包括不可编程设备和可编程电子设备;
(2)逻辑控制系统(控制器):包括用作输入/输出接口的输入/ 输出模块、SIS控制器和通讯网络;
(3)输出端(执行元件) :包括不可编程设备和可编程电子设备。
(4)安全操作中心:包括安全工作站、辅助操作台及打印机 。
输入端(传感器) 逻辑控制系统(控制器)输出端(执行元件)
不可编程可编程电子器件不可编程
设备 设备
可编程电子 可编程电子器件可编程电子
设备设备
硬件 软件硬件 软件硬件 软件
打印机安全工作站 辅助操作台
图2SIS安全仪表系统构成
2.1.2 硬件和软件结构:硬件和软件结构如表1所示,系统软件包括嵌入软件和应用软件 。
2.1.3SIS安全仪表的系统功能:
2.1.3.1 系统设备功能
(1)输入端设备:实现安全功能所需的各类传感器,包括模拟量和开关量输入设备,
用于逻辑控制系统的逻辑变量输入。
(2)逻辑控制设备(逻辑控制器):用于逻辑运算和逻辑控制的设备。该部分设备是系统核心设备,包括逻辑输入/输出模块、控制器及通讯设备。
表1可编程电子器件硬件和软件结构。
可编程电子器件结构
硬件结构 软件结构(由嵌入软件和应用软件组成)
一般和特殊硬件 可编程电子器件嵌入软件 可编程电子器件应用软件
包括:
- 诊断测试;例如: 例如:
- 冗余微处理器;– 通讯驱动程序; - 输入/输出操作;
-多重化I/O模块– 故障处理软件; - 如果没有提供嵌入式软件服务
- 执行软件. ,具有检测器校验功能软件。
(3)输出端设备:该部分设备通常是系统执行元件。例如,继电器驱动带二位三通或五位二通电磁阀的开关阀或动力设备(机泵或压缩机)。
(4)辅助设备
* 安全工作站:系统安全状态画面监视。包括输入/输出状态显示、参数越限和SIS系统执行输出功能的内部报警及SOE事件顺序记录;
* 辅助操作台:用于系统输入和执行停车外部强制声光报警的第一事故信号识别及声光报警的试验按钮、手动紧急停车按钮、系统复位按钮的手动操作;
* 打印机:事件发生在线打印记录。
2.1.3.2 系统安全功能
(1)保护装置内部和事故区周围的人身安全;
(2)防止事故发生,造成环境污染;
(3)保护生产设备免遭损坏,确保投资效益;
(4)避免误停车带来的不必要的停车损失。
2.2SIS安全仪表系统工作原理
2.2.1 SIS系统工作原理(以创康系统三重化(TMR)为例)
如图3所示,在输入端输入一个模拟信号,自动备份成三个信号进入各自的AI模件。从输入模件经主处理器到输出模件完全是三重化。每个I/O模件内有三个独立的通道(分电路)。输入模件中每个通道读入过程数据并将此信息送到各自的主处理器,三个主处理器利用其专有的称作TriBus(三重化总线)的高速数据总线进行互相间通讯。系统每扫描一次,三个主处理器其中之一通过TriBus总线与其相邻的二个主处理器进行同步通讯,TriBus总线对数字输入数据进行表决,对输出数据进行比较,将模拟输入数据复制并送到各主处理器,主处理器执行各种控制算法,并送到各自的输出模件。除表决输入数据外,还表决输出数据。输出数据表决在输出模件中完成。
2.2.2 三重化总线
自动备份自动备份
I/O模件 I/O模件
输入 I/O BUS主输出
通道处理器通道
A TriBus AA
I/O模件 TriBus I/O模件
输入主输出 表
通道处理器 I/O BUS通道 决
输入端 BBB 输出端
I/O模件 I/O模件
输入主输出
通道TriBus处理器 通道
CCC
I/O BUS
图3系统三重化(TMR)工作原理
三重化总线(TriBus)包括三条独立的串行的电路,速率为4M波特。每次扫描
开始时都能使每个主处理器保持同步。每个主处理器将它的数据送入它上游和下游
的主处理器。它有以下三个功能:
(1)传输模拟的、诊断的、通讯的数据;
(2)传输和表决数字输入数据;
(3)对上次扫描的输出数据和控制程序存贮器进行数据比较并对不同之处进行标识。
2.2.3I/O BUS功能
每个三重化I/O模件通过接收对应的现场信号或向现场传送数据。可使数据在I/O模件与主处理器之间传送,速率为375波特。I/O BUS的每个通道在每个主处理器与其对应的I/O模件上的相应通道间分别通过三条I/OBUS电缆传递信息。
2.3SIS安全仪表系统特点、类型及典型产品
2.3.1 SIS安全仪表系统的特点
(1) 主处理器和I/O模件完全多重化(二重化、三重化和四重化);
(2)不会因系统输入端单点故障而引起系统停车;
(3)系统经过(TUV)AK6级的标准认证,满足IEC61508 SIS 3安全完整性等级要求;
(4)系统内置诊断功能,诊断复盖率高,故障诊断非常方便;
(5)毫秒级的SOE事件顺序记录功能,为停车事故原因分析及系统维修提供极大帮助;
(6)灵活可变的模块化设计,通常在系统使用I/O模件槽旁设有备用维修逻辑槽,当使用槽I/O模件故障时,只要在备用维修逻辑槽中在线插入新的I/O模件,即完成维修。并为系统扩建提供极大便利,有效降低扩建成本;
(7)系统具有强大的通讯功能,具有标准的RS232/485 MODBUS、TCP/IP网络和OPC协议,使SIS系统与DCS系统实现无缝连接。
2.3.2SIS安全仪表系统类型
(1)继电器型:输入/输出隔离,可靠性高,不受大多数干扰的影响,驱动电压适应范围宽,
系统一次投资费用低。但体积较大,灵活性差,由于硬接线连接,系统修改及扩展不便,不
能与其它系统通讯。一般用于小规模安全仪表系统。
(2)固态电路型:采用微处理器和固态集成电子器件搭成具有安全功能的集成电路来完
成所需逻辑功能,可以克服继电器类诸多缺点。电路设计有故障自诊断功能,可采用冗余
配置来改善其技术性能,增强容错性, 但受集成度和功能灵活性限制,使应用也受到一
定的限制。
(3)可编程電子型:该系统的主流设计是以微处理器技术为基础, 采用专门的软件和微
程序固件,具有强大的,方便灵活的编程能力。系统可对所有运行通道(包括I/O模块)进
行在线自诊断测试,便于与过程控制系统和工厂管理网络融为一体的系统集成。该类系
统,根据安全功能和应用需要,可配置单级安全仪表系统和冗余双重化安全仪表系统,以
及冗余容错三重化安全仪表系统。
2.3.3SIS安全仪表系统的典型产品
(1)美国TRICONEX公司三重化模件冗余表决式SIS安全仪表系统;
(2)德国P+F公司双重化模件冗余式SIS安全仪表系统;
(3)英国ROTORK公司ES逻辑陈列模块KLAM三重化表决SIS安全仪表系统;
(4)费希尔-罗斯蒙特公司固态逻辑陈列模块化设计的四重化SIS安全仪表系统;
(5)北京康吉森公司安全仪表系统(SIS)是基于TRICON三重化模件冗余(TMR)结构的冗余容错式控制系统。
3安全完整性等级(SIL)及确定方法
3.1安全完整性等级(SIL):分为SIL1、SIL2、SIL3及SIL4四级。其中SIL1为安全完整
性等级的最低级;SIL4为安全完整性等级的最高级。采用计算法、功能安全评估法、
风险图法及风险矩陈法其中之一的方法,均可确定安全完整性等级(SIL) 。
3.2 安全完整性等级(SIL)确定方法:
3.2.1计算法:该法是由诊断复盖范围DC(%) 、共因失效分数β、设备等效平均停机时间
tDE及系统等效平均停机时间tSE计算每个通道平均失效率,然后求系统平均失效率
PFDAVG,再由PFDAVG值查表2得到安全完整性等级(SIL) 。,本文 限于篇幅,计算从略。
表2:安全完整性等级(SIL):低需求操作方式运行
安全完整性
等级(SIL) 低需求运行方式 安全保障率
履行设计所需功能的平均失效率)
4 ≥10-5~<10-4 >99.99%
3 ≥10-4~<10-399.9%~99.99%
2 ≥10-3~<10-2 99%~99.9%
1 ≥10-2~<10-190%~99%
3.2.2 功能安全评估法
按系统功能安全要求初定安全完整性等级(SIL)和风险参数(DC、β和λ值)及表决逻
辑。查表求各元件平均失效率和总失效率。由总失效率查表2得到安全完整性等级(SIL)与初定的(SIL)比较,如评估法所得的(SIL)低于初定的(SIL),通过安全改进和计算,使安全
完整性等级(SIL)达到系统功能安全要求。
3.2.3风险图法:
(1)风险参数:
* C- 风险事件的危害度;
* F- 在危险区域,人员存在(停留)时间和频繁程度;
* P- 避免危险事件发生或风险失效的可能性;
* W- 不希望事件出现的可能性。
* 文字说明:
图4中 Ca<Cb<Cc<Cd ;Fa<Fb ; Pa<Pb ;W1<W2<W3
----- 无安全要求;
a - 无特别安全要求;
b- 使用一套电气/电子/可编程电子器件不能满足系统安全要求;
1,2,3,4- 安全完整性等级(SIL1,SIL2,SIL3,SIL4) 。
W1W2 W3
CaX1
a --- ---
X2
Pa 1a ---
判断减少Cb FaPb X3
风险起点 Fb2 1a
Pa
Cc Fa PbX4 3 2 1
Fb
Pa
Cd Pb X5 4 3 2
Fa
Fb Pa
PbX6 b 4 3
图4 风险图
(2)风险图法确定安全完整性等级(SIL):
* 通常根据工程项目复杂程度、国家或行业标准、风险特性和降低风险的要求、人
员素质和技能及风险参数信息等因素,根据风险分析和风险存在情况,由表3风险参数表确定(C1~C4,F1,F2,P1,P2和W1~W3)其中的风险参数;
* 根据已确定的风险参数,由图4风险图确定X1~X6其中之一的箭头所指向W1或W2或W3其中之一,例如X3箭头指向的W1右面方格中2, 从而获得安全完整性等级(SIL2) 。
(3)由最低风险确定安全完整性等级(SIL) :
* 根据风险分析和风险存在情况,由表3确定(C1~C4,F1,F2,P1,P2和W1~3)其中风险参数;
* 根据已确定的风险参数,由图5最低风险与安全完整性等级(SIL)之间的链接图,确定
箭头指向其中之一的W1或W2或W3,例如箭头指向的W3右面的方格中d, 再在
本图的下面的鏈接表中d右边的数字2获得安全完整性等级(SIL2) 。
B AND联锁
(正常为”1”)(表决逻辑输出)
图82取1表决逻辑
(3)3取2逻辑:图9所示,如果系统安全要求SIS3或SIS3以上,须采用3取2表决逻辑。采用3个检测器(A,B,C),如果A/B, B/C, A/C的三个3取2其中之一个3取2表决逻辑的两个输入均为”0”时, 表决逻辑输出为”0”, 系统发生联锁动作;如果其中一个3取2表决逻辑的输入之一非”0”,联锁不动作。但报警。
(正常为”1”,异常为”0”报警) (正常为”1”,异常为”0”报警)
AND报警
A A/B/C
OR (正常为”1”,异常为”0”联锁)
B A/B AND联锁
OR (表决逻辑输出)
B/C
C OR
A/C
图93取2逻辑
4.2.3传感器(检测端)冗余:安全功能要求安全完整性等级SIL2或SIL2以上均采用传感器冗余。有以下配置方式:
(1)设置两个双重功能变送器(模拟信号+触点开关), 触点开关信号直接作为SIS系统逻辑输入;模拟量通过SIS逻辑控制器转换成触点信号,由SIS系统采集该触点信号作为SIS系统逻辑输入;
(2)设置一个参数开关(例如温度、压力、流量和液位开关其中之一)直接作为SIS系统逻辑输入;另外设置两台不同类型的变送器通过SIS逻辑控制器转换成触点信号,由SIS系统采集该触点信号作为SIS系统逻辑输入;
(3)采用两台不同类型的变送器,其中一台变送器通过有源或无源隔离安全栅实现单输入双独立输出, 再通过SIL逻辑控器转换成触点信号,由SIS系統采集该触点信号作为SIS系统逻辑输入;
4.2.4 最终元件(执行端)冗余:通常有以下配置方式:
(1)电磁阀冗余配置:用于SIS 2级或SIS2以上,采用双电磁阀冗余配置。如果系统要求高安全性,两个电磁阀采用”与”逻辑”(串联运行);如系统要求高可靠性,两个电磁
阀采用”或”逻辑”(并联运行)。电磁阀在正常时励磁。例如图9所示的电磁阀采用”或”逻辑。正常时,A,B电磁阀1-3通,将气动控制信号(AS)送到两个电磁阀并联运
行控制提高可靠性。异常时, DO输出为”0”, 两个气开式调节阀的A,B电磁阀2-3通;1-3不通, 切断气动控制信号(AS),调节阀膜头气体同时通过两个电磁阀的2,3通道快速放空来切断工艺介质。由此可见,由于两个电磁阀总是同时动作,即使一个电磁阀故障,也能确保系统可靠性要求。
(2)气动开关阀冗余: 串联安装两台气动开关阀用于切断,两阀总有一台阀切断或两台开关阀同时切断来增加系统可靠性(例如液氯贮槽放液切断);并联安装的两台气动开关阀用于放空(例如煤气柜超压放空到火炬系统的紧急排放系统)。
电源
供电单元 供电单元
CPUCPU
DI DO DI DO
PLC-A PLC-B
A (电开)B(电开)
双触点开关
AS1313
气动控制信号
2 2
FC
膜头气体在此端放空
图9最终元件(执行端)冗余
4.3故障安全型设置:
4.3.1隔离用继电器:在正常状态,SIS系统输出为“1”使继电器得电(励磁),常开触点闭合;在故障时,SIS系统输出为“0”,继电器失电(非励磁)输出触点断开。触点断开动作总是安全的,称为故障安全型设置,从而避免暴露在空气中的触点因积灰、环境锈蚀引起接触不良或开路的故障。
4.3.2电磁阀:系统须选用高质量的”ASCO”电磁阀。正常状态电磁阀励磁;故障时电磁阀转为非励磁。
4.3.3气动开关阀:气动开关阀选用单作用弹簧回复式故障安全型的气动球阀或蝶阀。
4.3.4装置无条件停车:在下列之一情况发生时,全装置执行无条件停车:
(1) 设置紧急停车按钮,在特急情况下(例如局部火灾),按下紧急停车按钮,SIS系统无条件执行全装置紧急停车;
(2) 仪表空气中断:仪表空气压力下降时, 为避免不必要的停车损失,首先报警进行操作处理。如延时处理仍然无效(气源压力低于0.4MPa),系统执行全装置无条件停车;
(3) 动力电源中断: 电网电压波动下降, 首先进行报警,提前进行操作处理。如延时处理仍然无效(电源中断),系统执行全装置无条件停车。
4.3.5停车复位:联锁发生后,系统始终处在被锁定的故障状态。在下次开车前,系统必须复位。为确保安全可靠的复位,按下停车复位按钮,执行5分钟锁定复位。系统开车时,维修开关处在维修位置,SIS系统不投入使用。装置进入正常运行后,将维修开关
处于维修切除(SIS系统投入位置)。该开关采用二位式转换开关。
5SIS安全仪表系统输入/输出设备技术规定
5.1 SIS系统开关量输入:
(1) 温度、压力、流量和液位开关触点:采用常闭触点。工艺条件正常时,触点接通为“1”;异常时,触点断开为“0”。该类触点为干接点,无锁定功能。
(2) 手动紧急停车按钮:采用带塑料防护罩和背灯弹簧返回式常闭按钮(干接点),正
常时接通为“1”,按下按钮触点断开为“0”,背灯亮。该按钮有锁定功能。
(3)手动复位按钮:采用带塑料防护罩和背灯常开按钮(干接点),正常断开为“0”
按下接通为“1”,背灯亮。该按钮无锁定功能。
5.2 参于联锁的模拟量输入:用于SIS系统的模拟量输入,通过逻辑控制器内部转换成開关信号,SIS系统采集开关信号作为SIS系统的开关信号输入。对于既用于DCS监控,又用于SIS系统的模拟量输入要通过一个单输入双输出的配电器或隔离安全栅,将其中之一输出由控制器内部转换成开关量用作SIS系统的开关量输入;另一个模拟量送到DCS系统。该类开关有自保持功能,正常输出为“0”,异常输出为“1”。
5.3SIS系统执行端设备要采用非励磁停车状态:
(1) 系统隔离用继电器:工艺条件正常时继电器得电处于励磁状态;异常时继电器失电处于非励磁状态。继电器的隔离输出触点用于驱动电磁阀或动力设备均采用常开触点,触点容量为5A。SIS控制器的执行输出均有保持功能,直到系统被复位。
(2) SIS系统执行元件(电磁阀);工艺条件正常时电磁阀得电处于励磁状态;异常时电
磁阀失电处于非励磁状态。
5.4维修开关(旁路开关):SIS系统输入回路或重要的输出回路需要设置维修开关。维修开关又名旁路开关,用于SIS系统输入回路的维修投入/维修切除(SIS系统投入),SIS系统处于维修投入,使系统输入设备或输出设备被旁路检修。该开关可设置成软开关,根据联锁输入接点信号或作用不同,分为常开或常闭型,由SIS系统组态实现。设有受权无法对软开关作组态修改。但用于每个3取2表决逻辑、SIS系统执行端的电磁阀和电气跳闸回路必须设置维修用外部硬接线二位转换式旁路开关,并将其安装在SIS系统控制柜。当操作任意一个维修开关时,该组维修开关指示灯亮。
5.6 系统第一事故信号识别:对于特别重要的工艺参数或SIS系统执行输出时,要有参数越限报警和SIS系统执行输出时的外部声光报警,在辅助操作台上设有第一事故信号识别用的报警光字牌。事故状态的报警光字牌为红色闪光,蜂鸣器发声,确认后指示灯仍为红色闪光。但蜂鸣声消失。
5.6SIS安全仪表系统的安全可靠性设计:
(1) 故障安全型设计:SIS系统输入开关量通常强调安全性,即采用正常闭合,故障断开的故障安全型设计;SIS系统输出执行端强调执行动作的可靠性。例如,驱动电磁阀或电气跳闸回路设备的触点通常采用“或”逻辑实现安全可靠性。
(2) 采用2取2或3取2表决逻辑来进一步提高系统的可靠性。避免不必要的停车损失。
5.7SIS安全仪表系统的通讯接口
(1) 人-机接口:系统配置工程师站和操作站(SER安全相关系统和SOE事件顺序记录功
能)。
(2) 辅助操作台:用于安装外部硬接线声光报警器、声/光试验按钮及手动停车和复位按
钮等。
(3) 与DCS通讯:在SIS系统控制站备有RS-232/RS-485硬件接口,采用RS-485总线和
MODBAS通讯协议,通过组态将DCS组态为主站,SIS系统为从站,DCS系统从SIS系
统从站获得信息。
参考文献:
1.电气/电子/可编程电子器件安全相关系统的功能安全《IEC61508-1~74》4.0版本,国际电工委员会标准;
2.石油化工紧急停车及安全联锁设计导则《SHB-206-1999》石油化工部标准;
3.创康安全和关键控制系统《北京康吉森自动化设备技术有限责任公司》产品使用说明书。