1、故障安全型
GB/T50770-2013《石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》規(guī)定:“安全儀表系統(tǒng)發(fā)生故障時(shí),使被控制過程轉(zhuǎn)入預(yù)定安全狀態(tài)”。同時(shí),在條文說明中,又強(qiáng)調(diào)了“安全儀表系統(tǒng)的檢測(cè)元件、邏輯控制器和執(zhí)行元件等內(nèi)部發(fā)生故障,不能繼續(xù)工作時(shí),石油化工生產(chǎn)應(yīng)轉(zhuǎn)入安全狀態(tài)”。在GB/T21109.1-2022《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全 第1部分:框架、定義、系統(tǒng)、硬件和軟件要求》中,安全狀態(tài)的定義是指“達(dá)到安全時(shí)的過程狀態(tài)”。事實(shí)上,GB/T21109.1-2022中第10.3.2條規(guī)定:“安全需求規(guī)格書(SRS)中應(yīng)包括每個(gè)確定的儀表安全功能(SIF)安全狀態(tài)的定義”。GB/T21109.1-2022中第11.3.1條規(guī)定:對(duì)于“達(dá)到安全狀態(tài)的所需的規(guī)定動(dòng)作,可以是過程的安全停車”。HG/T20511-2014《信號(hào)報(bào)警、安全聯(lián)鎖系統(tǒng)設(shè)計(jì)規(guī)定》條文說明中第4.5.1條要求:“對(duì)于傳感器,故障安全型通常指斷電、CPU故障、斷線時(shí),傳感器傳輸?shù)男盘?hào)可以執(zhí)行聯(lián)鎖動(dòng)作,使設(shè)備/單元/裝置等達(dá)到安全狀態(tài)”。
眾所周知,石油化工生產(chǎn)過程中,存在高溫、低溫,高壓,放熱、吸熱反應(yīng)等工況,只要有化工生產(chǎn)過程,就會(huì)存在能量非受控釋放的風(fēng)險(xiǎn)。因此,切斷進(jìn)料、終止反應(yīng)、隔離高低壓介質(zhì)或安全泄壓是化工生產(chǎn)過程的安全狀態(tài)。所以,SIS的檢測(cè)元件、邏輯控制器和執(zhí)行元件等內(nèi)部發(fā)生故障,不能繼續(xù)工作時(shí),應(yīng)能從本質(zhì)上實(shí)現(xiàn)過程(或部分)控制的安全聯(lián)鎖停機(jī),這樣才是故障安全型設(shè)計(jì)。
2、測(cè)量儀表及其失效模式
SIS的測(cè)量儀表包括:生產(chǎn)過程的工藝測(cè)量儀表、來自電氣專業(yè)的聯(lián)鎖信號(hào)、緊急停車按鈕、聯(lián)鎖旁路開關(guān)等。生產(chǎn)過程的工藝測(cè)量儀表一般有兩種:一種是開關(guān)量儀表,只有“通”和“斷”兩種狀態(tài);一種是模擬量型儀表,GB/T50770-2013中第6.1.2條要求:“測(cè)量儀表宜采用4-20mA+HART傳輸信號(hào)的智能變送器”,本文模擬量測(cè)量儀表,就是該類儀表。來自電氣專業(yè)的信號(hào),大多數(shù)是繼電器、接觸器觸點(diǎn)信號(hào),屬于開關(guān)量信號(hào);對(duì)于來自電氣專業(yè)的電流、電壓、功率、轉(zhuǎn)速等的信號(hào),一般是4-20mA信號(hào),參照生產(chǎn)過程的工藝模擬量測(cè)量儀表考慮。緊急停車按鈕、聯(lián)鎖旁路開關(guān)等屬于開關(guān)量儀表。
要合理設(shè)置測(cè)量儀表的故障安全狀態(tài),必須充分了解測(cè)量儀表的故障失效模式,確定哪些故障失效是危險(xiǎn)的,哪些是安全的,然后根據(jù)分析結(jié)果確定儀表的故障安全設(shè)置。具體如下:
1)緊急停車按鈕
線路斷路(失電)是大概率故障,這就要在線路斷路(失電)時(shí)急停以實(shí)現(xiàn)安全功能,即可靠的停車;如果設(shè)置成閉合聯(lián)鎖,正常時(shí)斷開,一旦線路發(fā)生故障,需要聯(lián)鎖時(shí)卻無法可靠地執(zhí)行聯(lián)鎖動(dòng)作。因此,緊急停車按鈕應(yīng)設(shè)置成正常閉合,故障(聯(lián)鎖)斷開。其他開關(guān)量儀表按類似設(shè)置。
2)模擬量型儀表
電路復(fù)雜,自身有自診斷功能,失效模式較多,主要有安全失效、危險(xiǎn)失效、通報(bào)失效、診斷失效等模式。這些失效模式對(duì)應(yīng)的安全儀表功能(SIF)失效模式有兩種,即安全失效和危險(xiǎn)失效。比如1個(gè)液位高聯(lián)鎖SIF回路,當(dāng)液位變送器故障時(shí)低限輸出就是危險(xiǎn)失效,因?yàn)樽兯推鞴收虾舐?lián)鎖失去保護(hù)作用;而液位變送器故障時(shí)高限輸出則是安全失效;所有非安全失效都是危險(xiǎn)失效。常見現(xiàn)場(chǎng)儀表故障模式見表1所列。
表1 常見現(xiàn)場(chǎng)儀表故障模式
危險(xiǎn)失效意味著該SIF回路聯(lián)鎖保護(hù)功能的喪失,對(duì)化工過程是非常危險(xiǎn)的;安全失效只是增加SIS的誤動(dòng)作,造成誤停車,安全失效不降低系統(tǒng)的安全性。當(dāng)測(cè)量儀表發(fā)生功能故障時(shí),應(yīng)盡可能地避免發(fā)生危險(xiǎn)失效,即帶有自診斷功能的現(xiàn)場(chǎng)儀表檢測(cè)到故障時(shí),應(yīng)通過預(yù)先定義的組態(tài)設(shè)置,將輸出轉(zhuǎn)到安全狀態(tài)(聯(lián)鎖動(dòng)作)。對(duì)于智能變送器無法識(shí)別的危險(xiǎn)失效,可以通過在DCS中的軟件、人工巡屏、自診斷技術(shù)的提高等方法,降低危險(xiǎn)失效概率。同時(shí),應(yīng)通過冗余、容錯(cuò)、自診斷等提高系統(tǒng)的可用性,降低安全失效概率。在《中國石化煉化企業(yè)聯(lián)鎖保護(hù)系統(tǒng)管理指導(dǎo)意見》中,對(duì)不同冗余架構(gòu)的現(xiàn)場(chǎng)儀表,故障動(dòng)作方向也做了明確規(guī)定。不同冗余架構(gòu)故障安全設(shè)置見表2所列。
表2 不同冗余架構(gòu)故障安全設(shè)置
表2中需要說明的是:“1oo2”聯(lián)鎖本來是為了提高安全性,1個(gè)信號(hào)出現(xiàn)故障就停車,但是為了可用性,采取了非故障安全型的設(shè)置。1臺(tái)儀表故障后,為了避免誤停車,采用和聯(lián)鎖反方向的設(shè)置方式;當(dāng)這種情況發(fā)生時(shí),一是設(shè)置故障報(bào)警,提醒相關(guān)人員采取相應(yīng)的措施,二是必須在規(guī)定的時(shí)間內(nèi)修復(fù),否則,原來“1oo2”架構(gòu)變成了“1oo1”,表面上安全性降低較少,但是如果在故障修復(fù)期間另1臺(tái)儀表故障,該回路聯(lián)鎖將完全失效,這是非常危險(xiǎn)的。因此,需要在制度或應(yīng)急處置措施中明確故障修復(fù)時(shí)間。
智能儀表故障電流輸出不是自診斷的唯一故障輸出形式,比如火焰檢測(cè)、可燃?xì)怏w爆炸下限檢測(cè)等儀表,經(jīng)過安全認(rèn)證的故障輸出模式是安全繼電器輸出。
3、邏輯控制器的故障安全設(shè)置原則
SIS的邏輯控制器是經(jīng)過安全認(rèn)證(SIL認(rèn)證)的可編程控制器(PLC)。目前,主流邏輯控制器有兩種:一種是冗余加診斷的雙重化(1oo2D)或者四重化(2oo4D)邏輯控制器,如HIMA、FSC等;另一種是三重化表決(2oo3),如TRICON、ICS等。
對(duì)于安全型邏輯控制器,當(dāng)故障發(fā)生時(shí),安全型I/O模件的輸入將被置位安全“0”,輸出模件將斷開,這是安全型邏輯控制器的自有功能,本文不再討論。
安全型邏輯控制器正常運(yùn)行時(shí),檢測(cè)到輸入卡件故障或者現(xiàn)場(chǎng)測(cè)量儀表的故障狀態(tài),也要通過邏輯組態(tài)進(jìn)入安全狀態(tài)。不同現(xiàn)場(chǎng)儀表輸出信號(hào)范圍和控制器輸入檢測(cè)電流范圍見表3所列。
表3 不同現(xiàn)場(chǎng)儀表輸出信號(hào)范圍和控制器輸入檢測(cè)電流范圍 mA
邏輯控制器的輸入卡件都是基于閉環(huán)電路電流原則。對(duì)于低電流,可能是故障,也可能是正常低限,高電流也類似。儀表電流輸出的正常超限和故障輸出超限對(duì)工藝安全的影響是不同的,對(duì)于1個(gè)SIF回路,可能只有聯(lián)鎖方向是存在安全隱患的,聯(lián)鎖的反方向從工藝角度來看即使超限,也是安全的。但是儀表故障不同,儀表自檢出現(xiàn)故障,表明該SIF回路已經(jīng)失去聯(lián)鎖保護(hù)作用,這就要求安全型邏輯控制器能夠判斷測(cè)量儀表信號(hào)電流是正常高低限還是故障狀態(tài)輸出。由表3可知,現(xiàn)場(chǎng)儀表正常的信號(hào)電流超限(上下限)和故障輸出電流是不同的。需要說明的是,安全型邏輯控制器檢測(cè)電流上下限是可以設(shè)置的,但是一定要寬于正常測(cè)量儀表的超限電流。
事實(shí)上,NAMUR NE 43:2021 Standardization of the signal level for the failure information of digital transmitters規(guī)定了智能變送器故障電流的范圍:變送器的正常工作電流范圍是3.8-20.5mA(含超限),小于3.6 mA或者大于21.0mA屬于故障電流范圍。大多數(shù)智能變送器、智能儀表廠家都遵循該標(biāo)準(zhǔn)。
4、最終元件的安全位置
SIF回路的最終元件一般是電磁閥驅(qū)動(dòng)開關(guān)閥(或調(diào)節(jié)閥)、去電氣的觸點(diǎn)。按照GB/T21109.1-2022中第11.3.1條規(guī)定:最終元件的故障狀態(tài)是斷開、非勵(lì)磁、失電的(工藝有特殊要求的除外);正常運(yùn)行時(shí)電磁閥是帶電、繼電器觸點(diǎn)是閉合的;聯(lián)鎖動(dòng)作時(shí)電磁閥失電、繼電器觸點(diǎn)斷開。
5、工程實(shí)施
儀表的故障安全型設(shè)置是個(gè)系統(tǒng)性工作,現(xiàn)場(chǎng)不同的儀表故障輸出設(shè)置方法是不同的,具體如下:
1)變送器
SIS系統(tǒng)的故障安全設(shè)置
對(duì)于大多數(shù)智能變送器,在變送器本體有故障輸出跳線或者組態(tài)設(shè)置選項(xiàng),當(dāng)變送器自診斷有故障發(fā)生時(shí),會(huì)按照組態(tài)或者跳線設(shè)置,轉(zhuǎn)到定義的安全輸出狀態(tài)。如YR-ER100單晶硅壓力變送器故障設(shè)置:若自診斷檢測(cè)出是變送器故障,則輸出信號(hào)為一個(gè)低于3.6mA或者高于21mA的電流提醒用戶。電流輸出的高低可由用戶設(shè)置來選擇。
2)溫度儀表
熱電偶、熱電阻本身沒有自診斷功能,但是配套的溫度變送器有診斷或報(bào)警輸出功能。如 E+H的溫度變送器具有開路檢測(cè)功能,當(dāng)檢測(cè)到線路開路,溫度變送器按照跳線設(shè)置,轉(zhuǎn)到定義的安全輸出狀態(tài)。具體設(shè)置:超量程下限,電流降至3.8mA;超量程上限,電流升至20.5mA;傳感器開路或者短路故障,輸出電流小于3.6mA或者高于21mA。
3)盤裝儀表
包括:開關(guān)型安全柵、輸入(電流)安全柵、溫度安全柵、超速保護(hù)器以及Bently 3500繼電器卡等。模擬量安全柵參考變送器跳線(或組態(tài))設(shè)置;開關(guān)型安全柵輸出注意分清觸點(diǎn)類型,確保信號(hào)正常時(shí)回路是閉合的,聯(lián)鎖時(shí)斷開。
4)安全型邏輯控制器
安全型邏輯控制器將卡件故障信號(hào)、測(cè)量儀表故障狀態(tài)以及旁路信號(hào)共同參與聯(lián)鎖,并和聯(lián)鎖方向一致。邏輯控制器故障安全組態(tài)方式如圖1所示。
圖1 邏輯控制器故障安全組態(tài)方式示意
圖1中,液位高選表示現(xiàn)場(chǎng)液位計(jì)通過比較模塊后的輸出,輸入卡故障是SIS自診斷的通道或卡件故障標(biāo)志,液位計(jì)故障是根據(jù)現(xiàn)場(chǎng)液位計(jì)故障電流系統(tǒng)做出的判斷,這三者任意一個(gè)都會(huì)觸發(fā)液位高聯(lián)鎖,這就是控制器的故障安全組態(tài)。邏輯描述都是正邏輯,所謂正邏輯就是變量字面描述的事件發(fā)生時(shí),變量值為“真”(賦值1);按照GB/T 50770-2013中第11.1.1條要求,邏輯控制器的應(yīng)用軟件采用正邏輯。需要說明的是:正邏輯和故障安全型沒有沖突,邏輯控制器的故障安全型是IO模件的輸入置位安全“0”,輸出模件斷開。正邏輯是為了方便邏輯的可讀性,避免歧義;邏輯組態(tài)的中間變量沒有故障安全的概念。
5)最終元件
根據(jù)最終元件的故障安全設(shè)置,電磁閥要設(shè)計(jì)成耐高溫型、雙向流通、隔爆和低功耗型。電磁閥常年帶電工作,為了降低能耗和溫升,線圈應(yīng)選低功耗、耐高溫型;同時(shí)為了保證電磁閥動(dòng)作時(shí)能夠快速排氣,避免執(zhí)行機(jī)構(gòu)憋壓,造成執(zhí)行機(jī)構(gòu)拒動(dòng)作或者動(dòng)作緩慢,要設(shè)計(jì)成雙向流通型;冗余雙電磁閥的設(shè)計(jì)也要求電磁閥氣路是雙向流通的。
此外,還有以下幾點(diǎn)注意事項(xiàng):
a)調(diào)節(jié)閥的電磁閥應(yīng)安裝在閥門定位器和執(zhí)行器之間;切斷閥帶的電磁閥應(yīng)安裝在執(zhí)行器上。
b)聯(lián)鎖用的切斷閥一般選擇氣動(dòng)執(zhí)行機(jī)構(gòu)。
c)氣動(dòng)活塞式執(zhí)行機(jī)構(gòu)應(yīng)選配合適的儲(chǔ)氣罐,保證聯(lián)鎖動(dòng)作時(shí)閥門能回到安全位置。
d)當(dāng)選用電動(dòng)執(zhí)行機(jī)構(gòu)時(shí),根據(jù)GB/T21109.1-2022中第11.2.11條要求,應(yīng)考慮電源的安全完整性,即故障狀態(tài)時(shí)的輔助電源,這是電動(dòng)執(zhí)行機(jī)構(gòu)能夠在失電時(shí)保證回到安全狀態(tài)(位置)的重要手段。
e)《中國石化煉化企業(yè)聯(lián)鎖保護(hù)系統(tǒng)管理指導(dǎo)意見》中第4.1.5條要求:去電氣聯(lián)鎖的繼電器觸點(diǎn)和重要閥門的電磁閥觸點(diǎn)信號(hào)應(yīng)接入(邏輯)控制器中,用于監(jiān)視動(dòng)作的真實(shí)性。
6、結(jié)束語
儀表的故障安全型設(shè)置是個(gè)系統(tǒng)性工作,應(yīng)該在出具SRS后立即著手組織。按照每條SIF回路,根據(jù)聯(lián)鎖邏輯,逐個(gè)分析,梳理形成統(tǒng)計(jì)表;項(xiàng)目施工完畢,在回路測(cè)試時(shí)逐項(xiàng)檢查,防止有遺漏。盤裝儀表在工程實(shí)施中容易忽視,特別是跳線設(shè)置以及繼電器端子觸點(diǎn)接線。故障安全型設(shè)置是SIS儀表硬件安全完整性的重要一環(huán),涉及到工藝包提供商,設(shè)計(jì),SIS提供商,測(cè)量儀表、控制閥提供商,建設(shè)施工單位等,需要多方共同把關(guān),才能保證安全完整性等級(jí)滿足工藝要求,做到本質(zhì)安全。
作者簡介
徐強(qiáng),2003年畢業(yè)于青島科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè),獲工學(xué)學(xué)士學(xué)位,現(xiàn)就職于中國石化股份有限公司齊魯分公司運(yùn)維中心,主要從事儀表設(shè)備管理工作,任中石化氣化技術(shù)中心首批技術(shù)專家,二化運(yùn)維副主任,高級(jí)工程師。
