化工裝置中自動化安全控制系統的選型與應用

方心意 張 銳

（浙江泰鴿安全科技有限公司）

一、引言

眾所周知，化工生產過程中具有易燃、易爆、強腐蝕、開/停車頻繁且復雜的特點，為確保設備和人員的安全，最大限度地減少由于過程失控而造成的設備損壞和人身傷害，自動化安全控制系統的采用是必不可少的。

二、自動化安全控制系統的特點

自動化安全控制系統是對生產裝置可能發生的危險進行響應和保護的自動化儀表控制系統，其作用是保障企業的安全生產，避免人身傷害及重大設備損壞。自動化安全控制系統主要由檢測變送單元、邏輯控制單元、執行控制單元等組成，其中邏輯控制單元（簡稱LCU）是系統的中樞與核心，它采用電子器件和微機控制技術，用軟件實現控制電路邏輯關系。

自動化安全控制系統應具有以下特點：（1）簡單，可靠；（2）獨立成系統、分散性好；（3）自身故障易于排查、恢復。

一個系統的可靠性，一方面和它的結構有關，另外還與構成它的元器件的可靠性及相關的運行環境有關。通常系統的可靠性可以用下式描述：

式中：S——系統的可靠性系數；

Fu——系統的非安全因素；

Fa——其他非安全因素。

由上式可以看出，系統的非安全因素Fu越低，其安全系數S越趨近于1，表明該系統的可靠性越高。系統的非安全因素Fu一般由下列內容構成：（1）系統的體系結構；（2）構成系統的元器件的可靠性指標；（3）邏輯程序設計的合理性；（4）運行環境的可靠性。

三、PLC系統的特點分析及實際應用

PLC即可編程邏輯控制器，是一種主要進行邏輯操作的控制設備。安全聯鎖邏輯在PLC中實現也是非常容易的，從硬件結構上看可以分為3種：

（1）單一結構。這種結構由單臺PLC構成聯鎖系統，利用梯形圖或邏輯語言構成聯鎖邏輯程序，硬件由單一的CPU，I/O通道組成，安全系數較低，化工裝置不宜采用這種形式。

（2）雙臺結構。由雙臺PLC構成的聯鎖系統，考慮到了冗余的問題，可以做到一開一備。但2臺PLC之間只能做到冷備份，很難達到熱備份即平滑無擾動自動瞬間切換的效果。因為2臺PLC的數據庫不能進行實時映像拷貝，不具備用于自動切換的硬件和相應的軟件，運行中的PLC只能從初始狀態投入運行，不能保證過程的連續性。

（3）三選二結構。三選二PLC構成的系統示意圖見圖1。

圖1 三選二系統示意圖

這種結構是利用A、B、C 3臺PLC接收來自現場的信號，并運行邏輯程序，運行的結果送PLC-D進行比較，正確的結果輸送到現場。這是一個三選二系統，一旦3臺PLC的運行結果不一致，則認為系統故障；而當其中1臺的結果同另2臺有差別時，則認為該設備出現故障并發出警報提示修理，這大大地提高了系統運行的可靠性。但作為選擇用的PLC-D只能是單臺構成，其正常與否直接關系到系統的可靠性，一旦損壞勢必造成整個裝置的停車。

利用PLC構成的連鎖系統具有簡單直觀，相對獨立于管控組態，修改容易，占地面積小等優點，近幾年得到了廣泛的應用，相對利用DCS實現安全聯鎖的系統，可靠性有了明顯提高。通過對上述三種不同構成的分析，可以看出：由于PLC是一種基于微處理器的電子設備，其結構上的集中處理部分仍是影響可靠性的主要因素。盡管雙CPU或多CPU的PLC已經問世，但構成安全系數高，可靠性好的系統仍非常困難，如PLC之間的自動無擾切換仍非常困難，PLC內部的冗余熱備問題、通訊問題等。

因此，國外的企業或公司一般不選用PLC構成安全聯鎖系統，他們認為這樣的系統安全系數“S”不能達到“1”；日本的一些工廠在某些裝置上嘗試過用PLC構成聯鎖系統，但都是結合邏輯繼電器實現的，同時所選用的PLC均具備2個或多個CPU，采用的方案或雙臺結構，或是三選二結構。這樣的選擇從投資上看，對于200點以上的系統是合適的。

四、DCS系統的特點分析及實際應用

目前，各種型號的D C S 均具備很強的邏輯處理能力，比如橫河（YOKOGAWA）的CENTUM系列DCS，利用順控表（SEQUENCE TABLE）的形式進行邏輯控制；最新推出的CENTUM CS系統HIA具有梯形圖功能、SFC語言、SEBOL功能塊等，為多途徑實現邏輯控制提供了方便。

另外，如貝利的INFI-90、霍尼維爾的TDC-3000X等，均具備很強的實現邏輯功能的軟件包。顯然，在DCS中實現安全聯鎖邏輯是非常容易的，但這樣做的可靠性難以確定。

我們知道，DCS之所以被稱作集散控制系統，是由于它具備集中管理和分散控制的特點。但是它的分散性是相對的和有度的，并不是真正意義上的絕對分散。高的分散性必然帶來高的成本。因此，各種型號DCS的控制檢測部分或多或少都要有一定的集成，如CENTUM CS系統，其系統結構見圖2。

圖2 CENTUM CS系統結構圖

從其硬件構造上可以看出，盡管這種系統比原有的老系統分散性提高了，但它的I/O接口單元（NODE）和數字I/O模件等仍采用的是多點模件。

以丙烯氧化反應系統為例，其化學反應式如下：

這是一個控制要求非常嚴格的過程，3種物料的比例保持在一定的范圍內，才能既完成高效率的反應，又保證不致由于失控而引起爆炸，其工藝過程見圖3。

圖3 丙烯氧化反應工藝過程簡圖

該過程的停車系統分為兩步：

SD-1——僅停止氧氣供料；

SD-2——停止包括氧氣在內的原料供應，停止循環氣壓縮機，并用大量氮氣吹掃氧氣反應工序。

上述兩個停車系統共有12個回路，46點（含模擬量輸入輸出，數字量輸入輸出）各種信號參與邏輯控制操作。這么多的信號從現場或硬警報設定器進入DCS，不可能做到各自獨立占用一個通道，至少由它們組成的邏輯程序是在同一個CPU中運行。這就存在著一種危險，一旦集中多個信號的模件故障或CPU故障，亦或邏輯程序執行有誤（如通訊環路阻塞，系統死機等），都會造成整個裝置的總停車。盡管在硬件上可以采用冗余措施，以防止系統硬件損壞造成事故，但對于大系統，其成本會顯著提高2—3倍。

因此從可靠性來講，DCS硬件體系的相對集中不適合安全聯鎖系統的運行要求，也就是說將安全聯鎖系統依托于同常規控制、管理相同的硬件平臺，極易造成一損俱損的局面。這樣做的結果使得危險更加集中，也就是系統的非安全因素Fu增大。從DCS的發展史看出，DCS之所以得到廣泛的應用，主要是由于它具備分散性的特點，分散性越高，單個元件或單個回路故障對整個系統造成的影響越小，其安全系數“S”越趨近于“1”，同時系統的簡單化、直觀化、獨立化特點有利于故障的排除和維護。

五、ESD系統及SIS系統的特點分析及實際應用

（一）ESD系統與SIS系統關系及區別

ESD（Emergency Shutdown Device）：緊急停車系統，是一個獨立于DCS系統的控制單元，在工藝發生危險狀況時，對設備、環境等進行緊急的啟挺，開關操作。配置設備以高檔的PLC居多，多數處理DI/DO點，現在多數與DCS進行通訊。

SIS（Safety Instrumented System）：安全儀表系統，IEC61511將安全儀表系統SIS定義為用于執行一個或多個安全儀表功能的儀表系統。SIS是由傳感器（如各類開關、變送器及附屬的安全柵等）、邏輯控制器以及最終元件（如電磁閥、電動門及附屬的繼電器等）的組合組成。

IEC61511有進一步指出，SIS可以包括，也可以不包括軟件。另外，如果在安全規格書中對人員操作動作的有效性和可靠性做出明確規定，操作人員的手動操作也視為SIS的有機組成部分，包括在SIS的績效計算中。

SIS是安全儀表系統，ESD屬于SIS的一部分。SIS包括現場儀表、ESD系統、緊急開閉閥三部分，采用HART+4---20mA通訊連線，每個SIS的功能回路均要做SIL評估。為實現SIL2 或SIL3 安全等極，采用兩臺電磁閥控制緊急開閉閥，三臺差壓變送器測量同一液位，采用雷達及超聲波各一臺儀表測同一液位等方法。當然系統安裝完成后還要做SIL計算驗證，以確保系統達到要求。

SIL（Safety Integrity Level），即安全等級，按照國際標準的規定，將安全等級分為4級，即SIL1—4。其中SIL4等級為最高。所謂SIL其全名為安全完整性等級（Safety Integrity Level），英文縮寫為SIL，由每小時發生的危險失效概率來區分（SIL2為≥10-7至＜10-6；SIL3為≥10-8至＜10-7）。

生產過程所需要的安全等級由專門的第三方來評估確定。一般對安全要求比較高的工藝生產過程需要的安全等級為SIL3，SIL4一般應用在核工業上。

（二）SIS系統在化工裝置上的應用

一個典型的化工裝置為安全所設置的層層保護包括：工藝過程設計；基本調節，過程報警及操作員監視；緊急報警，操作員監視并且手動干預；自動操作安全儀表系統 SIS（Safety Instrumented System）；物理保護（泄壓閥、爆破膜）；工廠緊急響應；所在區域緊急響應。

由此可見，從第二層到第四層的保護都是由儀表及自控系統來實現。而儀表系統的最后一層保護（SIS）更是至關重要。它在事故和故障狀態下（包括裝置事故和控制系統本身發生的故障），使裝置能夠安全停車并處于安全模式下，從而避免災難的發生，即避免對裝置內人員的傷害及對環境造成惡劣的影響。因而，SIS本身必須是故障安全型（Fail to Safe）的，系統的硬件和軟件的可靠性都要求很高。

一個系統的安全等級是包括系統的輸入、輸出及系統本身硬件在內的整體等級。圖4是一個基于停車檢修間隔為5年，平均修復時間 MTTR 為24h等一系列假設條件下的典型的SIL2的回路結構：在SIS的輸入部分，用3個變送器組成三取二（2oo3）表決。在系統輸出環節，則是各帶一個電磁閥的控制閥和切斷閥。然而這是基于5年停車檢修間隔。SIL4只在核電工業裝置中出現，石油化工裝置最高只需SIL3。因此，一些做總承包的工程公司在設計中考慮達到所要求的SIL的同時，也會在硬件成本上衡量一下，采用價廉物美的方案。如日本的TEC就選擇去掉回路中的切斷閥，用一個帶雙電磁閥的控制閥加一個閥位變送器來組成SIS的系統輸出部分。

圖4 某條件下典型的SIL2的回路結構圖

而事實上所有軟件的安全運行都是基于硬件安全運行的基礎上，因此要確定一個能實現所要求的安全功能的硬件配置是一件非常復雜而重要的工作，只有經過縝密的計算，才能設計出一個相對安全可靠的系統。

六、小結

從近年來自動化安全控制系統發揮的作用來看，危險化學品企業在“安全、可靠、經濟、適用原則”條件下通過建設與改造自動化安全控制系統使生產安全得到了保障，很多企業在生產過程中的一些危險情況均及時得到連鎖響應和保護；同時也減少了手動操作所帶來的工藝參數波動大的問題，保持了生產運行的持續、穩定，降低了生產消耗，提高了產品的質量和產量；另外還將操作人員從惡劣、危險的工作環境和重復機械的體力勞動中解放出來，改善了員工工作環境并減少了企業生產成本。