1、故障安全型
GB/T50770-2013《石油化工安全儀表系統設計規范》規定:“安全儀表系統發生故障時,使被控制過程轉入預定安全狀態”。同時,在條文說明中,又強調了“安全儀表系統的檢測元件、邏輯控制器和執行元件等內部發生故障,不能繼續工作時,石油化工生產應轉入安全狀態”。在GB/T21109.1-2022《過程工業領域安全儀表系統的功能安全 第1部分:框架、定義、系統、硬件和軟件要求》中,安全狀態的定義是指“達到安全時的過程狀態”。事實上,GB/T21109.1-2022中第10.3.2條規定:“安全需求規格書(SRS)中應包括每個確定的儀表安全功能(SIF)安全狀態的定義”。GB/T21109.1-2022中第11.3.1條規定:對于“達到安全狀態的所需的規定動作,可以是過程的安全停車”。HG/T20511-2014《信號報警、安全聯鎖系統設計規定》條文說明中第4.5.1條要求:“對于傳感器,故障安全型通常指斷電、CPU故障、斷線時,傳感器傳輸的信號可以執行聯鎖動作,使設備/單元/裝置等達到安全狀態”。
眾所周知,石油化工生產過程中,存在高溫、低溫,高壓,放熱、吸熱反應等工況,只要有化工生產過程,就會存在能量非受控釋放的風險。因此,切斷進料、終止反應、隔離高低壓介質或安全泄壓是化工生產過程的安全狀態。所以,SIS的檢測元件、邏輯控制器和執行元件等內部發生故障,不能繼續工作時,應能從本質上實現過程(或部分)控制的安全聯鎖停機,這樣才是故障安全型設計。
2、測量儀表及其失效模式
SIS的測量儀表包括:生產過程的工藝測量儀表、來自電氣專業的聯鎖信號、緊急停車按鈕、聯鎖旁路開關等。生產過程的工藝測量儀表一般有兩種:一種是開關量儀表,只有“通”和“斷”兩種狀態;一種是模擬量型儀表,GB/T50770-2013中第6.1.2條要求:“測量儀表宜采用4-20mA+HART傳輸信號的智能變送器”,本文模擬量測量儀表,就是該類儀表。來自電氣專業的信號,大多數是繼電器、接觸器觸點信號,屬于開關量信號;對于來自電氣專業的電流、電壓、功率、轉速等的信號,一般是4-20mA信號,參照生產過程的工藝模擬量測量儀表考慮。緊急停車按鈕、聯鎖旁路開關等屬于開關量儀表。
要合理設置測量儀表的故障安全狀態,必須充分了解測量儀表的故障失效模式,確定哪些故障失效是危險的,哪些是安全的,然后根據分析結果確定儀表的故障安全設置。具體如下:
1)緊急停車按鈕
線路斷路(失電)是大概率故障,這就要在線路斷路(失電)時急停以實現安全功能,即可靠的停車;如果設置成閉合聯鎖,正常時斷開,一旦線路發生故障,需要聯鎖時卻無法可靠地執行聯鎖動作。因此,緊急停車按鈕應設置成正常閉合,故障(聯鎖)斷開。其他開關量儀表按類似設置。
2)模擬量型儀表
電路復雜,自身有自診斷功能,失效模式較多,主要有安全失效、危險失效、通報失效、診斷失效等模式。這些失效模式對應的安全儀表功能(SIF)失效模式有兩種,即安全失效和危險失效。比如1個液位高聯鎖SIF回路,當液位變送器故障時低限輸出就是危險失效,因為變送器故障后聯鎖失去保護作用;而液位變送器故障時高限輸出則是安全失效;所有非安全失效都是危險失效。常見現場儀表故障模式見表1所列。
表1 常見現場儀表故障模式
危險失效意味著該SIF回路聯鎖保護功能的喪失,對化工過程是非常危險的;安全失效只是增加SIS的誤動作,造成誤停車,安全失效不降低系統的安全性。當測量儀表發生功能故障時,應盡可能地避免發生危險失效,即帶有自診斷功能的現場儀表檢測到故障時,應通過預先定義的組態設置,將輸出轉到安全狀態(聯鎖動作)。對于智能變送器無法識別的危險失效,可以通過在DCS中的軟件、人工巡屏、自診斷技術的提高等方法,降低危險失效概率。同時,應通過冗余、容錯、自診斷等提高系統的可用性,降低安全失效概率。在《中國石化煉化企業聯鎖保護系統管理指導意見》中,對不同冗余架構的現場儀表,故障動作方向也做了明確規定。不同冗余架構故障安全設置見表2所列。
表2 不同冗余架構故障安全設置
表2中需要說明的是:“1oo2”聯鎖本來是為了提高安全性,1個信號出現故障就停車,但是為了可用性,采取了非故障安全型的設置。1臺儀表故障后,為了避免誤停車,采用和聯鎖反方向的設置方式;當這種情況發生時,一是設置故障報警,提醒相關人員采取相應的措施,二是必須在規定的時間內修復,否則,原來“1oo2”架構變成了“1oo1”,表面上安全性降低較少,但是如果在故障修復期間另1臺儀表故障,該回路聯鎖將完全失效,這是非常危險的。因此,需要在制度或應急處置措施中明確故障修復時間。
智能儀表故障電流輸出不是自診斷的唯一故障輸出形式,比如火焰檢測、可燃氣體爆炸下限檢測等儀表,經過安全認證的故障輸出模式是安全繼電器輸出。
3、邏輯控制器的故障安全設置原則
SIS的邏輯控制器是經過安全認證(SIL認證)的可編程控制器(PLC)。目前,主流邏輯控制器有兩種:一種是冗余加診斷的雙重化(1oo2D)或者四重化(2oo4D)邏輯控制器,如HIMA、FSC等;另一種是三重化表決(2oo3),如TRICON、ICS等。
對于安全型邏輯控制器,當故障發生時,安全型I/O模件的輸入將被置位安全“0”,輸出模件將斷開,這是安全型邏輯控制器的自有功能,本文不再討論。
安全型邏輯控制器正常運行時,檢測到輸入卡件故障或者現場測量儀表的故障狀態,也要通過邏輯組態進入安全狀態。不同現場儀表輸出信號范圍和控制器輸入檢測電流范圍見表3所列。
表3 不同現場儀表輸出信號范圍和控制器輸入檢測電流范圍 mA
邏輯控制器的輸入卡件都是基于閉環電路電流原則。對于低電流,可能是故障,也可能是正常低限,高電流也類似。儀表電流輸出的正常超限和故障輸出超限對工藝安全的影響是不同的,對于1個SIF回路,可能只有聯鎖方向是存在安全隱患的,聯鎖的反方向從工藝角度來看即使超限,也是安全的。但是儀表故障不同,儀表自檢出現故障,表明該SIF回路已經失去聯鎖保護作用,這就要求安全型邏輯控制器能夠判斷測量儀表信號電流是正常高低限還是故障狀態輸出。由表3可知,現場儀表正常的信號電流超限(上下限)和故障輸出電流是不同的。需要說明的是,安全型邏輯控制器檢測電流上下限是可以設置的,但是一定要寬于正常測量儀表的超限電流。
事實上,NAMUR NE 43:2021 Standardization of the signal level for the failure information of digital transmitters規定了智能變送器故障電流的范圍:變送器的正常工作電流范圍是3.8-20.5mA(含超限),小于3.6 mA或者大于21.0mA屬于故障電流范圍。大多數智能變送器、智能儀表廠家都遵循該標準。
4、最終元件的安全位置
SIF回路的最終元件一般是電磁閥驅動開關閥(或調節閥)、去電氣的觸點。按照GB/T21109.1-2022中第11.3.1條規定:最終元件的故障狀態是斷開、非勵磁、失電的(工藝有特殊要求的除外);正常運行時電磁閥是帶電、繼電器觸點是閉合的;聯鎖動作時電磁閥失電、繼電器觸點斷開。
5、工程實施
儀表的故障安全型設置是個系統性工作,現場不同的儀表故障輸出設置方法是不同的,具體如下:
1)變送器
SIS系統的故障安全設置
對于大多數智能變送器,在變送器本體有故障輸出跳線或者組態設置選項,當變送器自診斷有故障發生時,會按照組態或者跳線設置,轉到定義的安全輸出狀態。如YR-ER100單晶硅壓力變送器故障設置:若自診斷檢測出是變送器故障,則輸出信號為一個低于3.6mA或者高于21mA的電流提醒用戶。電流輸出的高低可由用戶設置來選擇。
2)溫度儀表
熱電偶、熱電阻本身沒有自診斷功能,但是配套的溫度變送器有診斷或報警輸出功能。如 E+H的溫度變送器具有開路檢測功能,當檢測到線路開路,溫度變送器按照跳線設置,轉到定義的安全輸出狀態。具體設置:超量程下限,電流降至3.8mA;超量程上限,電流升至20.5mA;傳感器開路或者短路故障,輸出電流小于3.6mA或者高于21mA。
3)盤裝儀表
包括:開關型安全柵、輸入(電流)安全柵、溫度安全柵、超速保護器以及Bently 3500繼電器卡等。模擬量安全柵參考變送器跳線(或組態)設置;開關型安全柵輸出注意分清觸點類型,確保信號正常時回路是閉合的,聯鎖時斷開。
4)安全型邏輯控制器
安全型邏輯控制器將卡件故障信號、測量儀表故障狀態以及旁路信號共同參與聯鎖,并和聯鎖方向一致。邏輯控制器故障安全組態方式如圖1所示。
圖1 邏輯控制器故障安全組態方式示意
圖1中,液位高選表示現場液位計通過比較模塊后的輸出,輸入卡故障是SIS自診斷的通道或卡件故障標志,液位計故障是根據現場液位計故障電流系統做出的判斷,這三者任意一個都會觸發液位高聯鎖,這就是控制器的故障安全組態。邏輯描述都是正邏輯,所謂正邏輯就是變量字面描述的事件發生時,變量值為“真”(賦值1);按照GB/T 50770-2013中第11.1.1條要求,邏輯控制器的應用軟件采用正邏輯。需要說明的是:正邏輯和故障安全型沒有沖突,邏輯控制器的故障安全型是IO模件的輸入置位安全“0”,輸出模件斷開。正邏輯是為了方便邏輯的可讀性,避免歧義;邏輯組態的中間變量沒有故障安全的概念。
5)最終元件
根據最終元件的故障安全設置,電磁閥要設計成耐高溫型、雙向流通、隔爆和低功耗型。電磁閥常年帶電工作,為了降低能耗和溫升,線圈應選低功耗、耐高溫型;同時為了保證電磁閥動作時能夠快速排氣,避免執行機構憋壓,造成執行機構拒動作或者動作緩慢,要設計成雙向流通型;冗余雙電磁閥的設計也要求電磁閥氣路是雙向流通的。
此外,還有以下幾點注意事項:
a)調節閥的電磁閥應安裝在閥門定位器和執行器之間;切斷閥帶的電磁閥應安裝在執行器上。
b)聯鎖用的切斷閥一般選擇氣動執行機構。
c)氣動活塞式執行機構應選配合適的儲氣罐,保證聯鎖動作時閥門能回到安全位置。
d)當選用電動執行機構時,根據GB/T21109.1-2022中第11.2.11條要求,應考慮電源的安全完整性,即故障狀態時的輔助電源,這是電動執行機構能夠在失電時保證回到安全狀態(位置)的重要手段。
e)《中國石化煉化企業聯鎖保護系統管理指導意見》中第4.1.5條要求:去電氣聯鎖的繼電器觸點和重要閥門的電磁閥觸點信號應接入(邏輯)控制器中,用于監視動作的真實性。
6、結束語
儀表的故障安全型設置是個系統性工作,應該在出具SRS后立即著手組織。按照每條SIF回路,根據聯鎖邏輯,逐個分析,梳理形成統計表;項目施工完畢,在回路測試時逐項檢查,防止有遺漏。盤裝儀表在工程實施中容易忽視,特別是跳線設置以及繼電器端子觸點接線。故障安全型設置是SIS儀表硬件安全完整性的重要一環,涉及到工藝包提供商,設計,SIS提供商,測量儀表、控制閥提供商,建設施工單位等,需要多方共同把關,才能保證安全完整性等級滿足工藝要求,做到本質安全。
作者簡介
徐強,2003年畢業于青島科技大學計算機科學與技術專業,獲工學學士學位,現就職于中國石化股份有限公司齊魯分公司運維中心,主要從事儀表設備管理工作,任中石化氣化技術中心首批技術專家,二化運維副主任,高級工程師。
