ESD紧急停车系统


ESD紧急停车系统（Emergency Shutdown System），是为生产过程的安全而设置的，它适用于高温、高压、易燃、易爆等连续性生产作业领域。当生产过程出现意外波动或紧急情况需要采取某些动作或停车时，该系统能精确监测，并及时、准确地做出响应，使装置停在一定的安全水平上，确保装置和人身的安全。
ESD由检测元件，逻辑单元和执行元件组成。
1、 ESD和DCS的关系
ESD与DCS是完全分离的。DCS主要用于过程工业参数指标的动态控制。在正常情况下，DCS动态监控着生产过程的连续运行，保证能生产出符合要求的优良产品。而ESD则是对于一些关键的工艺及设备参数进行连续的监测，在正常情况下ESD是“静止的”，不采取任何动作。但是当参数发生异常波动或故障时，它会按照已定的程序采取相应的安全动作，使装置停在安全水平线上。所以ESD和DCS在过程工业中所起的作用不同，既有分工，又成互补关系。
同时，ESD也不单是实现联锁关系，它应该凌驾于生产过程控制之上，具有独立性，这样降低了两者同时失效的概率，ESD的安全等级要高于DCS。ESD与DCS的主要区别见对照表1。


表1
ESD与DCS的的主要区别



DCS


ESD



动态控制


静态监测、保护



故障自动显示


必须测试潜在故障



维修时间不太关键


维修时间非常关键



可以进行自动/手动切换


必须始终在线，不允许离线


2、 ESD的设计
此部分主要涉及ESD系统逻辑单元的设计，为了设计合适的ESD系统，应该遵循以下的原则：

(1)
在紧急停车系统的设计中，安全度等级是设计的标准。在ESD的设计过程中，首先应该确定生产装置的安全度等级，依据此安全度等级，选择合适的安全系统技术和配置方式。
目前，我国对于生产装置的安全度等级的划分尚没有设计规范和标准，在应用中应该参照国际上的有关标准，参比同类装置已经采用的ESD运行情况，结合本企业的生产实际情况，来确定采用ESD的安全等级要求。根据经验，石化装置一般采用的ESD安全等级为SIL3，即TÜV的AK5或AK6。

(2)
紧急停车系统必须是故障安全型
故障安全指ESD系统在故障时使得生产装置按已知预定方式进入安全状态，从而可以避免由于ESD自身故障或因停电，停气而使生产装置处于危险状态。

(3)
紧急停车系统必须是容错系统
容错是指系统在一个或多个元件出现故障时，系统仍能继续运行的能力。一个容错系统应该具有以下的功能：A）检测出发生故障的元件。B）报告操作人员何处发生故障。C）即使存在故障，系统依然能够持续正常运行。D）检测出系统是否已被修理恢复常态。
容错系统不同于一般的双机热备份系统。一般的双机热备份系统仅仅是模块或总线上的简单的双热备，一旦输入模块出现了故障，处理器模块也有一块出现了故障，这时系统可能因此而瘫痪；但是具有容错功能的系统，除了在模块、总线、通讯上有冗余设计之外，还具有自诊断功能，能准确识别各部件的故障，并对任何故障能进行补偿。（如：对故障部件的信号强制为指定状态）
在选择容错系统时有两个方面需要考虑：
①
系统是软件容错还是硬件容错
为实现容错，一种是在使用标准硬件的基础上用软件实现容错，即SIFT（软件实现容错）；另一种认为软件是系统中最不可靠的部分，因此把软件的应用减少到最少，即用硬件实现容错（HIFT）。在ESD系统中最明显的同原因故障（是指影响系统多处的故障）就是操作系统，HIFT和SIFT最基本的区别就是为实现容错而需要的软件复杂程度不一样，只有软件的作用得到了限制，才能保证一定的安全水平。所以应该采用硬件实现系统容错。
②
容错系统结构的确定
在基于处理器的容错系统中大致可以分成两类系统，一类是双重冗余系统，另一类是三重冗余系统或三重模块冗余系统，它们的共同特点是都具有表决电路，但究竟选用哪类系统，又可由装置所要求安全性和可靠性（可用度）来决定。
可用度是基于导致系统的故障进行计算的，这故障有引起系统进入安全状态的故障（故障安全故障或显性故障）和引起系统进入危险状态的故障（故障危险故障或隐性故障），它是系统故障频度的度量。高可用度的重要性在于系统很少出现进入安全状态或危险状态的故障。高安全性的目标在于避免故障的发生，即使系统出现故障时也不会出现灾难性的事故。一个理想的紧急停车系统应该兼顾安全性和可用性的要求。
A
双重冗余系统
双重冗余系统提供了第二条信号线路，并在两条信号线路之间提供某种表决格式。一般采用的表决原则有1OO2（双通道2选1表决）和2OO2（双通道2选2表决）。
双通道2选1表决，在此系统中，任何一个通道的故障将导致系统误动作，构成或逻辑。由于两通道均可导致系统停车，因此其安全性高（隐性故障率低），但误停车率高（显性故障率高）。
双通道2选2表决，在此系统中，必须两个通道同时故障才导致系统误动作，构成与逻辑。由于需要两个一致才可以停车，因此误停车率低（显性故障率低），如果2选2系统的某一通道中存在隐性故障，则有可能引起系统的失效，导致危险发生（隐性故障率高），因此2选2表决系统安全性低。
由此可见虽然双重冗余系统提供了一定程度的容错功能，但由于系统具有公用的切换部分（这是导致系统同原因故障的最大隐患环节），会使得系统可靠性大打折扣。再者其系统无论采用1OO2或2OO2表决原则，都不能同时兼顾安全性和可用性的要求。
B
三重冗余系统或三重模块冗余系统
在三重冗余系统或三重模块冗余系统中，系统采用的表决原则都是2OO3（通道3选2表决），在此系统中，任何两个通道的故障将导致系统误动作，其逻辑图见图1。


AND




AND




AND










OR













图1
2OO3表决的逻辑图


3选2表决原则意味着出现单个故障的元件不会导致误停车或危险的发生，兼顾了可用性与安全性的要求。
在三重模块冗余系统中是通过多重模块实现容错的，而三重冗余系统是采用一个模块中的多重电路实现容错的，由于把电路组合在一块卡或模块上增加了潜在的同原因故障，所以系统设计不应采用此种方案。较好的设计就是不论处理器还是输入输出都采用模块设计，使同原因故障减到最少。
综上所述，采用了三重化模块冗余技术和硬件实现容错，并进行3选2表决逻辑控制运算的紧急停车系统，是最优的选择。同时若将现场重要的检测点改为用3台变送器同时测量，将3选2表决逻辑运算从微处理器一直前推到检测点，会从根本上保证系统的安全性和可用性。

(4)
其它注意的问题
①
ESD选用的PLC一定是有安全证书的PLC。
②
应该充分考虑系统扫描时间，1ms可运行1000个梯形逻辑。
③
系统必须易于组态并具有在线修改组态的功能。
④
系统必须易于维护和查找故障并具有自诊断功能。
⑤
系统必须可与DCS及其它计算机系统通讯。
⑥
系统必须有硬件和软件的权限人保护。
⑦
系统必须有提供第一次事故记录（SOE）的功能。
3
相关