在工业自动化领域,特别是过程控制,一直关注温度、压力、流量、液位等主要工艺参数的稳定和优化,因为它是在正常运作状态下,保证物料平衡、能量平衡,特别是保证产品质量和数量的主要手段,但报警和联锁保护等功能一直是不可或缺的。这些功能除在控制系统(如DCS)中完成外,还有采用专门安全保护控制系统的形式。
近年来,由于设备的大型化、高参数(高温、高压)和快速反应,对保护设备安全、人身安全、防止事故发生造成环境污染以及便于维护修复等提出了更高要求。一些大的自动化系统供应商,如横河、西门子等公司都吸纳了安全保护控制系统的专业公司GTI-1A(荷兰)、摩尔(美国)等公司。我国炼油、石化企业的新建系统中采用“DCS+ESD”模式已有多家,油、气田的系统也有采用“DCS+ESD+RTU”模式的。
一 安全及安全要求等级
安全是指人或物在一定环境中不发生危险与不受到损害的状态,而安全性是表明人或物在一个环境中对危险的损伤所能承受的最大能力。
安全性最终目标是避免事故的发生,为达到此目的,对产品我国有“3C”(China Compulsory Certification)市场准入强制性认证制度(包括产品安全性及电磁兼容、环境保护等方面);对工业装置的自动化系统中设置了安全保护控制系统(以下简称安全系统),并对其设置与整个生产装置的安全要求等级进行了规定。ISA美国仪表学会称安全系统为安全仪表系统(Safety Instrument System, SIS),对应ISA-S84.01标准,IEC国际电工委员会称安全要求等级为“安全完整性等级”(Safety Integrity Levels, SIL),对应IEC61508标准。目前国内尚无国家标准,石化行业有相关的设计导则:石油化工紧急停车及安全联锁系统设计导则(SHB-Z06-1999),采用IEC的SIL概念。
在石油化工、火力发电、钢铁和有色金属冶炼等行业设备选用设计安全系统时,都有危险性分析和可操作性分析,要求各种运行参数在工程设计规范内,如果超过此范围,则表示不安全,需要安全系统发挥作用;又在正常范围内允许控制系统手自动切换和手动操作,但操作人员某些重大失误也可能造成不安全,为了克服人为的不安全因素,安全系统应从一般控制系统分离出来;装置周围环境如发生火灾或可燃性气体、有毒气体导致影响设备安全和人身安全时,也需要安全系统发挥作用,所以研究安全要求等级划分问题很重要。
当人们均衡利害关系,认为所从事活动的危险程度可以接受时,则这种活动状态是安全的,这种危险程度对应的风险度就成为安全指标。
风险度:单位时间内系统可能接受的损失,包括财产损失、人员伤亡、工作损失和环境损失。计算风险度R(损失/时间)是以系统存在的危险因素为基础的,测算系统可能发生的事故概率P(次/时间)及一旦发生事故可能造成的损失S(损失/次),就可得出R=PS。
风险度大,即风险大,危险程度高。
安全指标:是指人们能接受的风险度。安全指标是对某一种职业活动或某一系统运行风险最高容许限度。安全指标有多种表示方法。
IEC安全要求等级分为4级,安全性能由低到高为SIL1、SIL2、SIL3、SIL4。美国对SIL4只承认其存在,标准中不包括在SIL4要求下如何实施安全系统的内容。德国DIN V 19250及DIN V VDE0804对安全要求等级(Safety Requirement Classes)分为8级,安全要求从低到高为AK1~AK8,由于其产生较早,故被很多工程采用,对应各标准的安全等级对比如表所示。1个定义故障不会引发危险性事故的要求,对应AK1;1个故障不会引发危险性事故的要求,对应AK2;两个及两个以下故障组合不会引发危险性事故的要求,对应AK3、AK4;3个及3个以下的故障组合不会引发危险性事故的要求,对应AK5;无论何时发生故障,任何故障的组合均不会引发危险性事故的要求,对应AK6。AK7、AK8对应特殊考虑的安全要求。
由于工业应用场合工艺和生产设备特点不同,潜在危险不同,在发生危险结果之前的安全时间不同,此外还要考虑到实际事故发生的可能性及防止其发生可能性的结合,可以确定其风险等级。风险等级越高,则安全要求等级越高。DIN标准给出风险图(图1),可以帮助确定实际工艺装置应用场合的安全要求等级。图1中有S、A、G、W四级危险参数,现分别说明如下:
估计危险损害度S,其中S0:轻度损害,无人员伤亡;S1:中度损害,人员轻伤;S2:重度损害,1人或多人重伤,包括1个死亡的情况;S3:严重损害,多人死亡或众多人员重伤;S4:灾难性事故,众多人员死亡。
危险区域内人员存在的可能性A,其中A1:人员偶尔存在或不固定的短期存在;A2:经常或始终有人存在。
短时间内防止危险发生的可能性G,其中G1:在某些情况下是可能的;G2:几乎是不可能的。
不考虑安装安全系统出现危险事故的可能性W,其中W1:非常低;W2:低;W3:相对较高。
大多数使用安全系统的工业应用场合属于AK4~AK6级,其中一般锅炉、加热炉为4级,石化、化工为AK5级,涉及到人身安全要求等级的场合很少,要特殊考虑。
二 设计选用原则
为了保证生产安全运行,根据具体要求对安全保护控制系统的设计选型工作是非常重要的。按上节安全要求等级标准及风险图,让实际生产装置对号入座,从而确定选用哪一类的安全系统。由图1可知,安全系统应分如下几类,即ü监视设备、满足安全要求等级AK1~AK4的Z-1、满足安全要求等级AK1~AK5的Z-2、满足安全要求等级AK1~AK6的Z-3及安全要求等级AK7~AK8的需要特殊考虑的等共5类。如ü监视设备的功能由一般控制系统(如DCS)实现,则安全控制系统分为4类。
对安全系统本身都有哪些要求?总的来说有两方面,一是系统本身要具有高度的可靠性和可用性;另一方面就是要具有实时和快速丰富的逻辑运算功能,可满足安全保护及故障记录(SOE)的各项要求。具体的如能做到使整个工艺装置在安全时间内完成一系列开车、停车、局部停车、联锁动作、自动处理紧急事故的各种任务,同时还要做到停车次数减少,连续运行时间延长,取得“经济损失少”的效果。至于安全系统本身硬件元件的先进性、独立性和系统结构的冗余性、中间环节最少原则、机械结构和配线合理、适应苛刻环境及做到故障安全型的软件设计(如非励磁停车设计)等项均是安全系统分类原则。另外安全系统除控制部分外,还有现场检测仪表和执行器两部分也需满足上述两方面要求。现代安全系统还须有与主控系统(DCS等)或全厂信息系统的数据通信能力,其数据应即时传输给主控系统和全厂调度中心。
安全系统的发展,按硬件构成分有继电器型、硬接线固态电路型和可编程微机安全系统3个阶段。目前前两种只在逻辑不复杂、安全要求不高的小系统中使用。绝大多数场合采用可编程微机安全系统,只在安全要求不高的场合采用PLC可编程序控制器或在DCS系统内部完成安全联锁保护功能。安全系统分Z-1、Z-2、Z-3三类。
Z-1类的安全系统可用性“一般”,一个中央CPU模块通过单总线与I/O模块相连,它与普通PLC不同之处为通过中央CPU的自我测试以及采用可测试I/O模块、失效时输出保证安全状态等满足系统安全要求。
Z-2类的安全系统可用性“较高”,中央CPU模块冗余,其他与Z-1相同,这样允许一个CPU模块出故障,另一个CPU模块维持正常工作,这样可以在AK5级安全要求等级以下的场合,维持72h之内。
Z-3类的安全系统可用性“很高”,结构为全冗余,即CPU模块、总线、I/O模块均双重化,在AK6级安全要求等级的场合,允许单通道操作时间不超过1h,即在此期间内将出故障的模块更换掉,即可保证生产不中断。
综上所述,除专业生产厂生产的安全系统外,只有能满足上述要求的经过安全论证的PLC系统,才能作为安全系统使用。
对于安全要求等级AK7、AK8级的应用场合选用的安全系统,还要考虑双重化冗余系统中两者比较结果不一致又无法判断谁对谁错时的情况,应采用三重模件冗余(TMR)方式,系统根据少数服从多数原则,即“3中取2”表决方式,如两模件为“ON”,一模件的结果为“OFF”,则系统取“ON”状态。另外系统还应具有容错性,采用故障容错辅助软件技术(SIFT),做到在本系统某部分出现故障时,系统可继续工作。
实际安全系统中冗余和容错的程度多种方案与价格关系很大,所以应按应用场所安全要求等级选取不同类别专业厂家生产的安全系统。
三 可编程微机安全保护控制系统
安全系统有多种,通用的有紧急停车系统(Emergency Shut Down, ESD)安全联锁系统(Safety Interlocking System, SIS)、故障安全控制系统(FSC)等,专用的有炉膛安全监控系统(FSSS)、燃烧器管理系统(BMS)、防火和防气系统(FGS)、锅炉熄火保护系统、大型旋转机组安全保护系统等。以August Sys