1、故障安全型
GB/T50770-2013《石油化工安全仪表系统设计规范》规定:“安全仪表系统发生故障时,使被控制过程转入预定安全状态”。同时,在条文说明中,又强调了“安全仪表系统的检测元件、逻辑控制器和执行元件等内部发生故障,不能继续工作时,石油化工生产应转入安全状态”。在GB/T21109.1-2022《过程工业领域安全仪表系统的功能安全 第1部分:框架、定义、系统、硬件和软件要求》中,安全状态的定义是指“达到安全时的过程状态”。事实上,GB/T21109.1-2022中第10.3.2条规定:“安全需求规格书(SRS)中应包括每个确定的仪表安全功能(SIF)安全状态的定义”。GB/T21109.1-2022中第11.3.1条规定:对于“达到安全状态的所需的规定动作,可以是过程的安全停车”。HG/T20511-2014《信号报警、安全联锁系统设计规定》条文说明中第4.5.1条要求:“对于传感器,故障安全型通常指断电、CPU故障、断线时,传感器传输的信号可以执行联锁动作,使设备/单元/装置等达到安全状态”。
众所周知,石油化工生产过程中,存在高温、低温,高压,放热、吸热反应等工况,只要有化工生产过程,就会存在能量非受控释放的风险。因此,切断进料、终止反应、隔离高低压介质或安全泄压是化工生产过程的安全状态。所以,SIS的检测元件、逻辑控制器和执行元件等内部发生故障,不能继续工作时,应能从本质上实现过程(或部分)控制的安全联锁停机,这样才是故障安全型设计。
2、测量仪表及其失效模式
SIS的测量仪表包括:生产过程的工艺测量仪表、来自电气专业的联锁信号、紧急停车按钮、联锁旁路开关等。生产过程的工艺测量仪表一般有两种:一种是开关量仪表,只有“通”和“断”两种状态;一种是模拟量型仪表,GB/T50770-2013中第6.1.2条要求:“测量仪表宜采用4-20mA+HART传输信号的智能变送器”,本文模拟量测量仪表,就是该类仪表。来自电气专业的信号,大多数是继电器、接触器触点信号,属于开关量信号;对于来自电气专业的电流、电压、功率、转速等的信号,一般是4-20mA信号,参照生产过程的工艺模拟量测量仪表考虑。紧急停车按钮、联锁旁路开关等属于开关量仪表。
要合理设置测量仪表的故障安全状态,必须充分了解测量仪表的故障失效模式,确定哪些故障失效是危险的,哪些是安全的,然后根据分析结果确定仪表的故障安全设置。具体如下:
1)紧急停车按钮
线路断路(失电)是大概率故障,这就要在线路断路(失电)时急停以实现安全功能,即可靠的停车;如果设置成闭合联锁,正常时断开,一旦线路发生故障,需要联锁时却无法可靠地执行联锁动作。因此,紧急停车按钮应设置成正常闭合,故障(联锁)断开。其他开关量仪表按类似设置。
2)模拟量型仪表
电路复杂,自身有自诊断功能,失效模式较多,主要有安全失效、危险失效、通报失效、诊断失效等模式。这些失效模式对应的安全仪表功能(SIF)失效模式有两种,即安全失效和危险失效。比如1个液位高联锁SIF回路,当液位变送器故障时低限输出就是危险失效,因为变送器故障后联锁失去保护作用;而液位变送器故障时高限输出则是安全失效;所有非安全失效都是危险失效。常见现场仪表故障模式见表1所列。
表1 常见现场仪表故障模式
危险失效意味着该SIF回路联锁保护功能的丧失,对化工过程是非常危险的;安全失效只是增加SIS的误动作,造成误停车,安全失效不降低系统的安全性。当测量仪表发生功能故障时,应尽可能地避免发生危险失效,即带有自诊断功能的现场仪表检测到故障时,应通过预先定义的组态设置,将输出转到安全状态(联锁动作)。对于智能变送器无法识别的危险失效,可以通过在DCS中的软件、人工巡屏、自诊断技术的提高等方法,降低危险失效概率。同时,应通过冗余、容错、自诊断等提高系统的可用性,降低安全失效概率。在《中国石化炼化企业联锁保护系统管理指导意见》中,对不同冗余架构的现场仪表,故障动作方向也做了明确规定。不同冗余架构故障安全设置见表2所列。
表2 不同冗余架构故障安全设置
表2中需要说明的是:“1oo2”联锁本来是为了提高安全性,1个信号出现故障就停车,但是为了可用性,采取了非故障安全型的设置。1台仪表故障后,为了避免误停车,采用和联锁反方向的设置方式;当这种情况发生时,一是设置故障报警,提醒相关人员采取相应的措施,二是必须在规定的时间内修复,否则,原来“1oo2”架构变成了“1oo1”,表面上安全性降低较少,但是如果在故障修复期间另1台仪表故障,该回路联锁将完全失效,这是非常危险的。因此,需要在制度或应急处置措施中明确故障修复时间。
智能仪表故障电流输出不是自诊断的唯一故障输出形式,比如火焰检测、可燃气体爆炸下限检测等仪表,经过安全认证的故障输出模式是安全继电器输出。
3、逻辑控制器的故障安全设置原则
SIS的逻辑控制器是经过安全认证(SIL认证)的可编程控制器(PLC)。目前,主流逻辑控制器有两种:一种是冗余加诊断的双重化(1oo2D)或者四重化(2oo4D)逻辑控制器,如HIMA、FSC等;另一种是三重化表决(2oo3),如TRICON、ICS等。
对于安全型逻辑控制器,当故障发生时,安全型I/O模件的输入将被置位安全“0”,输出模件将断开,这是安全型逻辑控制器的自有功能,本文不再讨论。
安全型逻辑控制器正常运行时,检测到输入卡件故障或者现场测量仪表的故障状态,也要通过逻辑组态进入安全状态。不同现场仪表输出信号范围和控制器输入检测电流范围见表3所列。
表3 不同现场仪表输出信号范围和控制器输入检测电流范围 mA
逻辑控制器的输入卡件都是基于闭环电路电流原则。对于低电流,可能是故障,也可能是正常低限,高电流也类似。仪表电流输出的正常超限和故障输出超限对工艺安全的影响是不同的,对于1个SIF回路,可能只有联锁方向是存在安全隐患的,联锁的反方向从工艺角度来看即使超限,也是安全的。但是仪表故障不同,仪表自检出现故障,表明该SIF回路已经失去联锁保护作用,这就要求安全型逻辑控制器能够判断测量仪表信号电流是正常高低限还是故障状态输出。由表3可知,现场仪表正常的信号电流超限(上下限)和故障输出电流是不同的。需要说明的是,安全型逻辑控制器检测电流上下限是可以设置的,但是一定要宽于正常测量仪表的超限电流。
事实上,NAMUR NE 43:2021 Standardization of the signal level for the failure information of digital transmitters规定了智能变送器故障电流的范围:变送器的正常工作电流范围是3.8-20.5mA(含超限),小于3.6 mA或者大于21.0mA属于故障电流范围。大多数智能变送器、智能仪表厂家都遵循该标准。
4、最终元件的安全位置
SIF回路的最终元件一般是电磁阀驱动开关阀(或调节阀)、去电气的触点。按照GB/T21109.1-2022中第11.3.1条规定:最终元件的故障状态是断开、非励磁、失电的(工艺有特殊要求的除外);正常运行时电磁阀是带电、继电器触点是闭合的;联锁动作时电磁阀失电、继电器触点断开。
5、工程实施
仪表的故障安全型设置是个系统性工作,现场不同的仪表故障输出设置方法是不同的,具体如下:
1)变送器
SIS系统的故障安全设置
对于大多数智能变送器,在变送器本体有故障输出跳线或者组态设置选项,当变送器自诊断有故障发生时,会按照组态或者跳线设置,转到定义的安全输出状态。如YR-ER100单晶硅压力变送器故障设置:若自诊断检测出是变送器故障,则输出信号为一个低于3.6mA或者高于21mA的电流提醒用户。电流输出的高低可由用户设置来选择。
2)温度仪表
热电偶、热电阻本身没有自诊断功能,但是配套的温度变送器有诊断或报警输出功能。如 E+H的温度变送器具有开路检测功能,当检测到线路开路,温度变送器按照跳线设置,转到定义的安全输出状态。具体设置:超量程下限,电流降至3.8mA;超量程上限,电流升至20.5mA;传感器开路或者短路故障,输出电流小于3.6mA或者高于21mA。
3)盘装仪表
包括:开关型安全栅、输入(电流)安全栅、温度安全栅、超速保护器以及Bently 3500继电器卡等。模拟量安全栅参考变送器跳线(或组态)设置;开关型安全栅输出注意分清触点类型,确保信号正常时回路是闭合的,联锁时断开。
4)安全型逻辑控制器
安全型逻辑控制器将卡件故障信号、测量仪表故障状态以及旁路信号共同参与联锁,并和联锁方向一致。逻辑控制器故障安全组态方式如图1所示。
图1 逻辑控制器故障安全组态方式示意
图1中,液位高选表示现场液位计通过比较模块后的输出,输入卡故障是SIS自诊断的通道或卡件故障标志,液位计故障是根据现场液位计故障电流系统做出的判断,这三者任意一个都会触发液位高联锁,这就是控制器的故障安全组态。逻辑描述都是正逻辑,所谓正逻辑就是变量字面描述的事件发生时,变量值为“真”(赋值1);按照GB/T 50770-2013中第11.1.1条要求,逻辑控制器的应用软件采用正逻辑。需要说明的是:正逻辑和故障安全型没有冲突,逻辑控制器的故障安全型是IO模件的输入置位安全“0”,输出模件断开。正逻辑是为了方便逻辑的可读性,避免歧义;逻辑组态的中间变量没有故障安全的概念。
5)最终元件
根据最终元件的故障安全设置,电磁阀要设计成耐高温型、双向流通、隔爆和低功耗型。电磁阀常年带电工作,为了降低能耗和温升,线圈应选低功耗、耐高温型;同时为了保证电磁阀动作时能够快速排气,避免执行机构憋压,造成执行机构拒动作或者动作缓慢,要设计成双向流通型;冗余双电磁阀的设计也要求电磁阀气路是双向流通的。
此外,还有以下几点注意事项:
a)调节阀的电磁阀应安装在阀门定位器和执行器之间;切断阀带的电磁阀应安装在执行器上。
b)联锁用的切断阀一般选择气动执行机构。
c)气动活塞式执行机构应选配合适的储气罐,保证联锁动作时阀门能回到安全位置。
d)当选用电动执行机构时,根据GB/T21109.1-2022中第11.2.11条要求,应考虑电源的安全完整性,即故障状态时的辅助电源,这是电动执行机构能够在失电时保证回到安全状态(位置)的重要手段。
e)《中国石化炼化企业联锁保护系统管理指导意见》中第4.1.5条要求:去电气联锁的继电器触点和重要阀门的电磁阀触点信号应接入(逻辑)控制器中,用于监视动作的真实性。
6、结束语
仪表的故障安全型设置是个系统性工作,应该在出具SRS后立即着手组织。按照每条SIF回路,根据联锁逻辑,逐个分析,梳理形成统计表;项目施工完毕,在回路测试时逐项检查,防止有遗漏。盘装仪表在工程实施中容易忽视,特别是跳线设置以及继电器端子触点接线。故障安全型设置是SIS仪表硬件安全完整性的重要一环,涉及到工艺包提供商,设计,SIS提供商,测量仪表、控制阀提供商,建设施工单位等,需要多方共同把关,才能保证安全完整性等级满足工艺要求,做到本质安全。
作者简介
徐强,2003年毕业于青岛科技大学计算机科学与技术专业,获工学学士学位,现就职于中国石化股份有限公司齐鲁分公司运维中心,主要从事仪表设备管理工作,任中石化气化技术中心首批技术专家,二化运维副主任,高级工程师。
