1、故障安全型
GB/T50770-2013《石油化工安全儀表系統(tǒng)設(shè)計規(guī)范》規(guī)定:“安全儀表系統(tǒng)發(fā)生故障時,使被控制過程轉(zhuǎn)入預(yù)定安全狀態(tài)”。同時,在條文說明中,又強調(diào)了“安全儀表系統(tǒng)的檢測元件、邏輯控制器和執(zhí)行元件等內(nèi)部發(fā)生故障,不能繼續(xù)工作時,石油化工生產(chǎn)應(yīng)轉(zhuǎn)入安全狀態(tài)”。在GB/T21109.1-2022《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全 第1部分:框架、定義、系統(tǒng)、硬件和軟件要求》中,安全狀態(tài)的定義是指“達到安全時的過程狀態(tài)”。事實上,GB/T21109.1-2022中第10.3.2條規(guī)定:“安全需求規(guī)格書(SRS)中應(yīng)包括每個確定的儀表安全功能(SIF)安全狀態(tài)的定義”。GB/T21109.1-2022中第11.3.1條規(guī)定:對于“達到安全狀態(tài)的所需的規(guī)定動作,可以是過程的安全停車”。HG/T20511-2014《信號報警、安全聯(lián)鎖系統(tǒng)設(shè)計規(guī)定》條文說明中第4.5.1條要求:“對于傳感器,故障安全型通常指斷電、CPU故障、斷線時,傳感器傳輸?shù)男盘柨梢詧?zhí)行聯(lián)鎖動作,使設(shè)備/單元/裝置等達到安全狀態(tài)”。
眾所周知,石油化工生產(chǎn)過程中,存在高溫、低溫,高壓,放熱、吸熱反應(yīng)等工況,只要有化工生產(chǎn)過程,就會存在能量非受控釋放的風(fēng)險。因此,切斷進料、終止反應(yīng)、隔離高低壓介質(zhì)或安全泄壓是化工生產(chǎn)過程的安全狀態(tài)。所以,SIS的檢測元件、邏輯控制器和執(zhí)行元件等內(nèi)部發(fā)生故障,不能繼續(xù)工作時,應(yīng)能從本質(zhì)上實現(xiàn)過程(或部分)控制的安全聯(lián)鎖停機,這樣才是故障安全型設(shè)計。
2、測量儀表及其失效模式
SIS的測量儀表包括:生產(chǎn)過程的工藝測量儀表、來自電氣專業(yè)的聯(lián)鎖信號、緊急停車按鈕、聯(lián)鎖旁路開關(guān)等。生產(chǎn)過程的工藝測量儀表一般有兩種:一種是開關(guān)量儀表,只有“通”和“斷”兩種狀態(tài);一種是模擬量型儀表,GB/T50770-2013中第6.1.2條要求:“測量儀表宜采用4-20mA+HART傳輸信號的智能變送器”,本文模擬量測量儀表,就是該類儀表。來自電氣專業(yè)的信號,大多數(shù)是繼電器、接觸器觸點信號,屬于開關(guān)量信號;對于來自電氣專業(yè)的電流、電壓、功率、轉(zhuǎn)速等的信號,一般是4-20mA信號,參照生產(chǎn)過程的工藝模擬量測量儀表考慮。緊急停車按鈕、聯(lián)鎖旁路開關(guān)等屬于開關(guān)量儀表。
要合理設(shè)置測量儀表的故障安全狀態(tài),必須充分了解測量儀表的故障失效模式,確定哪些故障失效是危險的,哪些是安全的,然后根據(jù)分析結(jié)果確定儀表的故障安全設(shè)置。具體如下:
1)緊急停車按鈕
線路斷路(失電)是大概率故障,這就要在線路斷路(失電)時急停以實現(xiàn)安全功能,即可靠的停車;如果設(shè)置成閉合聯(lián)鎖,正常時斷開,一旦線路發(fā)生故障,需要聯(lián)鎖時卻無法可靠地執(zhí)行聯(lián)鎖動作。因此,緊急停車按鈕應(yīng)設(shè)置成正常閉合,故障(聯(lián)鎖)斷開。其他開關(guān)量儀表按類似設(shè)置。
2)模擬量型儀表
電路復(fù)雜,自身有自診斷功能,失效模式較多,主要有安全失效、危險失效、通報失效、診斷失效等模式。這些失效模式對應(yīng)的安全儀表功能(SIF)失效模式有兩種,即安全失效和危險失效。比如1個液位高聯(lián)鎖SIF回路,當(dāng)液位變送器故障時低限輸出就是危險失效,因為變送器故障后聯(lián)鎖失去保護作用;而液位變送器故障時高限輸出則是安全失效;所有非安全失效都是危險失效。常見現(xiàn)場儀表故障模式見表1所列。
表1 常見現(xiàn)場儀表故障模式
危險失效意味著該SIF回路聯(lián)鎖保護功能的喪失,對化工過程是非常危險的;安全失效只是增加SIS的誤動作,造成誤停車,安全失效不降低系統(tǒng)的安全性。當(dāng)測量儀表發(fā)生功能故障時,應(yīng)盡可能地避免發(fā)生危險失效,即帶有自診斷功能的現(xiàn)場儀表檢測到故障時,應(yīng)通過預(yù)先定義的組態(tài)設(shè)置,將輸出轉(zhuǎn)到安全狀態(tài)(聯(lián)鎖動作)。對于智能變送器無法識別的危險失效,可以通過在DCS中的軟件、人工巡屏、自診斷技術(shù)的提高等方法,降低危險失效概率。同時,應(yīng)通過冗余、容錯、自診斷等提高系統(tǒng)的可用性,降低安全失效概率。在《中國石化煉化企業(yè)聯(lián)鎖保護系統(tǒng)管理指導(dǎo)意見》中,對不同冗余架構(gòu)的現(xiàn)場儀表,故障動作方向也做了明確規(guī)定。不同冗余架構(gòu)故障安全設(shè)置見表2所列。
表2 不同冗余架構(gòu)故障安全設(shè)置
表2中需要說明的是:“1oo2”聯(lián)鎖本來是為了提高安全性,1個信號出現(xiàn)故障就停車,但是為了可用性,采取了非故障安全型的設(shè)置。1臺儀表故障后,為了避免誤停車,采用和聯(lián)鎖反方向的設(shè)置方式;當(dāng)這種情況發(fā)生時,一是設(shè)置故障報警,提醒相關(guān)人員采取相應(yīng)的措施,二是必須在規(guī)定的時間內(nèi)修復(fù),否則,原來“1oo2”架構(gòu)變成了“1oo1”,表面上安全性降低較少,但是如果在故障修復(fù)期間另1臺儀表故障,該回路聯(lián)鎖將完全失效,這是非常危險的。因此,需要在制度或應(yīng)急處置措施中明確故障修復(fù)時間。
智能儀表故障電流輸出不是自診斷的唯一故障輸出形式,比如火焰檢測、可燃氣體爆炸下限檢測等儀表,經(jīng)過安全認證的故障輸出模式是安全繼電器輸出。
3、邏輯控制器的故障安全設(shè)置原則
SIS的邏輯控制器是經(jīng)過安全認證(SIL認證)的可編程控制器(PLC)。目前,主流邏輯控制器有兩種:一種是冗余加診斷的雙重化(1oo2D)或者四重化(2oo4D)邏輯控制器,如HIMA、FSC等;另一種是三重化表決(2oo3),如TRICON、ICS等。
對于安全型邏輯控制器,當(dāng)故障發(fā)生時,安全型I/O模件的輸入將被置位安全“0”,輸出模件將斷開,這是安全型邏輯控制器的自有功能,本文不再討論。
安全型邏輯控制器正常運行時,檢測到輸入卡件故障或者現(xiàn)場測量儀表的故障狀態(tài),也要通過邏輯組態(tài)進入安全狀態(tài)。不同現(xiàn)場儀表輸出信號范圍和控制器輸入檢測電流范圍見表3所列。
表3 不同現(xiàn)場儀表輸出信號范圍和控制器輸入檢測電流范圍 mA
邏輯控制器的輸入卡件都是基于閉環(huán)電路電流原則。對于低電流,可能是故障,也可能是正常低限,高電流也類似。儀表電流輸出的正常超限和故障輸出超限對工藝安全的影響是不同的,對于1個SIF回路,可能只有聯(lián)鎖方向是存在安全隱患的,聯(lián)鎖的反方向從工藝角度來看即使超限,也是安全的。但是儀表故障不同,儀表自檢出現(xiàn)故障,表明該SIF回路已經(jīng)失去聯(lián)鎖保護作用,這就要求安全型邏輯控制器能夠判斷測量儀表信號電流是正常高低限還是故障狀態(tài)輸出。由表3可知,現(xiàn)場儀表正常的信號電流超限(上下限)和故障輸出電流是不同的。需要說明的是,安全型邏輯控制器檢測電流上下限是可以設(shè)置的,但是一定要寬于正常測量儀表的超限電流。
事實上,NAMUR NE 43:2021 Standardization of the signal level for the failure information of digital transmitters規(guī)定了智能變送器故障電流的范圍:變送器的正常工作電流范圍是3.8-20.5mA(含超限),小于3.6 mA或者大于21.0mA屬于故障電流范圍。大多數(shù)智能變送器、智能儀表廠家都遵循該標準。
4、最終元件的安全位置
SIF回路的最終元件一般是電磁閥驅(qū)動開關(guān)閥(或調(diào)節(jié)閥)、去電氣的觸點。按照GB/T21109.1-2022中第11.3.1條規(guī)定:最終元件的故障狀態(tài)是斷開、非勵磁、失電的(工藝有特殊要求的除外);正常運行時電磁閥是帶電、繼電器觸點是閉合的;聯(lián)鎖動作時電磁閥失電、繼電器觸點斷開。
5、工程實施
儀表的故障安全型設(shè)置是個系統(tǒng)性工作,現(xiàn)場不同的儀表故障輸出設(shè)置方法是不同的,具體如下:
1)變送器
SIS系統(tǒng)的故障安全設(shè)置
對于大多數(shù)智能變送器,在變送器本體有故障輸出跳線或者組態(tài)設(shè)置選項,當(dāng)變送器自診斷有故障發(fā)生時,會按照組態(tài)或者跳線設(shè)置,轉(zhuǎn)到定義的安全輸出狀態(tài)。如YR-ER100單晶硅壓力變送器故障設(shè)置:若自診斷檢測出是變送器故障,則輸出信號為一個低于3.6mA或者高于21mA的電流提醒用戶。電流輸出的高低可由用戶設(shè)置來選擇。
2)溫度儀表
熱電偶、熱電阻本身沒有自診斷功能,但是配套的溫度變送器有診斷或報警輸出功能。如 E+H的溫度變送器具有開路檢測功能,當(dāng)檢測到線路開路,溫度變送器按照跳線設(shè)置,轉(zhuǎn)到定義的安全輸出狀態(tài)。具體設(shè)置:超量程下限,電流降至3.8mA;超量程上限,電流升至20.5mA;傳感器開路或者短路故障,輸出電流小于3.6mA或者高于21mA。
3)盤裝儀表
包括:開關(guān)型安全柵、輸入(電流)安全柵、溫度安全柵、超速保護器以及Bently 3500繼電器卡等。模擬量安全柵參考變送器跳線(或組態(tài))設(shè)置;開關(guān)型安全柵輸出注意分清觸點類型,確保信號正常時回路是閉合的,聯(lián)鎖時斷開。
4)安全型邏輯控制器
安全型邏輯控制器將卡件故障信號、測量儀表故障狀態(tài)以及旁路信號共同參與聯(lián)鎖,并和聯(lián)鎖方向一致。邏輯控制器故障安全組態(tài)方式如圖1所示。
圖1 邏輯控制器故障安全組態(tài)方式示意
圖1中,液位高選表示現(xiàn)場液位計通過比較模塊后的輸出,輸入卡故障是SIS自診斷的通道或卡件故障標志,液位計故障是根據(jù)現(xiàn)場液位計故障電流系統(tǒng)做出的判斷,這三者任意一個都會觸發(fā)液位高聯(lián)鎖,這就是控制器的故障安全組態(tài)。邏輯描述都是正邏輯,所謂正邏輯就是變量字面描述的事件發(fā)生時,變量值為“真”(賦值1);按照GB/T 50770-2013中第11.1.1條要求,邏輯控制器的應(yīng)用軟件采用正邏輯。需要說明的是:正邏輯和故障安全型沒有沖突,邏輯控制器的故障安全型是IO模件的輸入置位安全“0”,輸出模件斷開。正邏輯是為了方便邏輯的可讀性,避免歧義;邏輯組態(tài)的中間變量沒有故障安全的概念。
5)最終元件
根據(jù)最終元件的故障安全設(shè)置,電磁閥要設(shè)計成耐高溫型、雙向流通、隔爆和低功耗型。電磁閥常年帶電工作,為了降低能耗和溫升,線圈應(yīng)選低功耗、耐高溫型;同時為了保證電磁閥動作時能夠快速排氣,避免執(zhí)行機構(gòu)憋壓,造成執(zhí)行機構(gòu)拒動作或者動作緩慢,要設(shè)計成雙向流通型;冗余雙電磁閥的設(shè)計也要求電磁閥氣路是雙向流通的。
此外,還有以下幾點注意事項:
a)調(diào)節(jié)閥的電磁閥應(yīng)安裝在閥門定位器和執(zhí)行器之間;切斷閥帶的電磁閥應(yīng)安裝在執(zhí)行器上。
b)聯(lián)鎖用的切斷閥一般選擇氣動執(zhí)行機構(gòu)。
c)氣動活塞式執(zhí)行機構(gòu)應(yīng)選配合適的儲氣罐,保證聯(lián)鎖動作時閥門能回到安全位置。
d)當(dāng)選用電動執(zhí)行機構(gòu)時,根據(jù)GB/T21109.1-2022中第11.2.11條要求,應(yīng)考慮電源的安全完整性,即故障狀態(tài)時的輔助電源,這是電動執(zhí)行機構(gòu)能夠在失電時保證回到安全狀態(tài)(位置)的重要手段。
e)《中國石化煉化企業(yè)聯(lián)鎖保護系統(tǒng)管理指導(dǎo)意見》中第4.1.5條要求:去電氣聯(lián)鎖的繼電器觸點和重要閥門的電磁閥觸點信號應(yīng)接入(邏輯)控制器中,用于監(jiān)視動作的真實性。
6、結(jié)束語
儀表的故障安全型設(shè)置是個系統(tǒng)性工作,應(yīng)該在出具SRS后立即著手組織。按照每條SIF回路,根據(jù)聯(lián)鎖邏輯,逐個分析,梳理形成統(tǒng)計表;項目施工完畢,在回路測試時逐項檢查,防止有遺漏。盤裝儀表在工程實施中容易忽視,特別是跳線設(shè)置以及繼電器端子觸點接線。故障安全型設(shè)置是SIS儀表硬件安全完整性的重要一環(huán),涉及到工藝包提供商,設(shè)計,SIS提供商,測量儀表、控制閥提供商,建設(shè)施工單位等,需要多方共同把關(guān),才能保證安全完整性等級滿足工藝要求,做到本質(zhì)安全。
作者簡介
徐強,2003年畢業(yè)于青島科技大學(xué)計算機科學(xué)與技術(shù)專業(yè),獲工學(xué)學(xué)士學(xué)位,現(xiàn)就職于中國石化股份有限公司齊魯分公司運維中心,主要從事儀表設(shè)備管理工作,任中石化氣化技術(shù)中心首批技術(shù)專家,二化運維副主任,高級工程師。
