陳 彥，陳超聲

（中國石油西部管道公司，烏魯木齊 830013）

0 引言

大多石化生產過程存在高溫、高壓、易燃、易爆、有毒等介質，當某些參數超出可控范圍，未及時被發(fā)現和正確處理時，將有可能造成物質財產損失、人員傷亡、環(huán)境污染等嚴重事故[1]，例如1984年印度博帕爾農藥廠甲基異氰酸鹽泄漏，造成近兩萬人死亡，約5萬人失明，20多萬人受害，受害面積40平方公里。為了降低潛在風險，保護工藝設備和人員的安全，減少財產損失和安全事故，需要采取一個有效的安全防護裝置為過程工藝和設備提供一層安全保障[2]，即安全儀表控制系統 SIS（Safety Instrument System）。

1 安全儀表系統及其功能安全

1.1 安全儀表系統簡介

站Mokveld閥門的HIPPS系統。本文中僅對站場ESD系統做進一步分析研究。

1.2 安全儀表系統的安全功能和功能安全

SIS是一種遵循相應設計要求，具有相應安全完整性水平，用于防止事故的發(fā)生或降低事故帶來的危害及其影響的安全保護系統。SIS由檢測元件(開關、變送器等)、邏輯控制單元（輸入模塊、邏輯運算模塊和輸出模塊）和執(zhí)行元件組成（電磁閥、調節(jié)閥等）[3]。

按照SIS的定義，以下系統均屬于安全儀表系統：緊急停車系統ESD(Emergency Shutdown Systems)、高完整性壓力保護系統HIPPS(High Integrity Protection System)、列車自動防護系統ATP(Automatic Train Protection)等。

在西氣東輸二線工程（下文簡稱西二線）中，站場上涉及到的SIS包括站場ESD系統、壓縮機組ESD系統和聯絡

SIS的安全功能：用一個或多個檢測元件、邏輯控制單元、執(zhí)行元件來防止或減少危險事件發(fā)生或保持過程安全狀態(tài)。西二線站場ESD系統的安全功能就是當站場工藝中出現諸如可燃氣、火焰探測器等報警或調控中心和站場ESD命令觸發(fā)時，運行緊急停運機制，執(zhí)行關閉進出站閥門、開啟越站閥門、停運壓縮機組、停運廠房風機、開啟放空閥門、觸發(fā)聲光報警等一系列動作，以避免可能出現的安全事故，減小物質財產損失和人員傷亡。

SIS的功能安全：設備安全的一部分，取決于安全儀表系統系統在必要的時候的正確執(zhí)行。對功能安全進行分析的目的是：避免由于安全儀表系統在故障或者失效的情況下導致的風險。

根據國際電工委員會IEC61508中的定義，甄別SIS的功能安全主要可以通過兩種途徑:失效識別和安全完整性水平(SIL，safety integrity level)判斷。

本文主要通過分析安全完整性水平來評價SIS的功能安全。

通常來講，石化生產過程中所采用的SIS均屬于低要求操作模式（IEC61508將安全功能的生產過程工藝定義為低要求操作模式和高要求操作模式）。在低要求操作模式下，SIL等級的定義由平均失效概率（PFDavg，average probability of failure on demand）來表示，如表1所示。

表1 SIL等級與PFDavg的對應關系

PFD=MTTR/(MTBF+MTTR)

PFD：失效概率；

MTTR（Mean Time to Repair）:平均修復時間；

MTBF（Mean Time Between Failure）: 平均無故障工作時間。

T：時間間隔，實際計算中用TI（建議測試間隔）替代。

2 西二線站場安全儀表系統的功能安全的分析與建議

注：此次分析著重針對關鍵設備（生產中承擔關鍵工序的設備），對如進排風機、喇叭等數量眾多，且功能安全對整個站場ESD系統的功能實現影響不大的設備，不做分析討論。

因為站場ESD系統所有輸入和輸出模塊都經過浪涌保護器與現場設備隔離，故暫不考慮因回路內增加一個浪涌保護器對SIL等級的影響。

2.1 檢測元件

2.1.1 對功能安全的分析

表2 分析檢測元件的SIL等級

6 Shafer氣液聯動執(zhí)行機構，SIL等級未知無未知 無7 ESD按鈕AVW332R，SIL等級未知無未知 無8 Net Safety火焰探測器，SIL等級未知無未知（如火焰探測器為SIL1，則回路達到SIL2）有，已接廠房內每個區(qū)域同時被3個火焰探測器監(jiān)視，回路采用“2oo3”冗余結構9 Optima PLUS可燃氣體探測器，SIL等級未知無未知（如可燃氣體探測器為SIL1，則回路達到SIL2）有，已接考慮到氣體的擴散性，回路至少實現了“2oo3”冗余結構

2.1.2 對功能安全的說明與建議

1）羅斯蒙特壓力變送器和溫度變送器都達到SIL2，回路采用“2oo3”冗余結構[4]。利用故障樹分析法(FTA，Fault Tree Analysis)，如圖1所示，因3個變送器的PFD1oo1avg相等，得PFD2oo3avg=3（PFD1oo1avg）2+（PFD1oo1avg）3，該回路可以達到SIL3。

圖1 2oo3冗余結構的PFD故障樹

2）壓縮機控制系統需給站場ESD系統傳送壓縮機帶壓/不帶壓ESD反饋、壓縮機運行/停止、就地/遠控等信號，這些信號十分重要，不僅關系到站場ESD邏輯，還關系到壓縮機遠程啟/停邏輯，因為中間環(huán)節(jié)采用魏德米勒繼電器DRM270024L將濕接點（壓縮機控制系統的輸出通道均帶有24VDC）轉換為干接點，但該繼電器未找到SIL等級認證，考慮到該繼電器采用機械觸點方式，易發(fā)生觸頭磨損、污染、粘結及機械振動、慣性等問題，故將其認定為比SIL1更低，故該回路的SIL等級只能是SIL1或者更低[5]，西二線運行至今，已發(fā)生多起因繼電器故障而導致的信號中斷。建議將繼電器型號更換為歐姆龍安全繼電器G7SA—2A2B（繼電器達到SIL2，且為西三線站場ESD系統的繼電器型號），使回路達到SIL2。

3）RMG安全截斷閥應用在分輸計量撬上，回路采用“1oo2”冗余結構，即一條線路上有兩個RMG安全截斷閥。利用故障樹分析法(FTA)，如圖2所示，因2個安全截斷閥的PFD1oo1avg相等，得出PFD1oo2avg=（PFD1oo1avg）2，因為RMG安全截斷閥達到SIL1，該回路可以達到SIL2。

4）“Shafer氣液聯動執(zhí)行機構的SIL等級未知”將在執(zhí)行元件的功能安全分析中做詳細說明。

圖2 1oo2冗余結構的PFD故障樹

5）ESD按鈕（型號：AVW332R）SIL等級未知，但在和泉按鈕的產品手冊中查到“注： AVW3按鈕開關不能作為緊急停止開關使用。若需使用緊急停止開關時，請使用XW 或HW 系列按鈕開關?！苯ㄗh采用和泉按鈕的XW 或HW 系列按鈕開關，使ESD按鈕具備“直接開路動作功能”（即使萬一NC觸點被熔接，也能通過外力按壓按鈕強制斷開NC觸點，切實切斷電路）和“安全鎖定結構”（即使因疏忽接觸到按鈕，NC觸點也不會斷開直至操作部的機構被鎖定為止），以上兩種功能是IEC60947-5-5的強制要求。

6）Net Safety火焰探測器和Optima PLUS可燃氣體探測器的SIL等級均未知，但因回路實現了“2oo3”冗余結構，借鑒2.1.2中1）的分析結果，如探測器達到SIL1，則回路達到SIL2；如探測器達到SIL2，則回路達到SIL3。

2.2 邏輯控制單元

2.2.1 對功能安全的分析

表3 分析邏輯控制單元的SIL等級

表4 SM輸入輸出模塊的診斷類型和解釋

2.2.2 對功能安全的說明與建議

1）根據GB/T50770-2013“8.5.6需要線路檢測的回路，應采用帶有線路短路和開路檢測功能的輸入、輸出卡”，建議將“數字輸入模塊SDI-1624”改為“帶接地故障監(jiān)控的安全在線監(jiān)測數字輸入模塊SDIL-1608”，將“數字輸出模塊SDO-0824”改為“安全環(huán)監(jiān)測數字輸出模塊SDOL-0424”——因為SDIL-1608和SDOL-0424具備所有診斷類型，即能滿足線路短路和開路的檢測功能，需要提出的是，如果更換SDIL-1608，需相應更換現場的ESD按鈕，如圖3所示，只能提供閉合/斷開兩種狀態(tài)，改造后的按鈕如圖4所示，通過串聯1K電阻和并聯10K電阻，達到能提供閉合/斷開/斷路/短路，如圖4所示。

圖3 原先ESD按鈕結構

圖4 改造后ESD按鈕結構

2）改用“SDIL-1608”另一原因：由于SDI-1624模塊沒有開路的檢測功能，無法區(qū)分線纜中斷和拍下ESD按鈕的區(qū)別，因此經常發(fā)生由于線纜中斷而導致的站場ESD誤觸發(fā)事件，導致站場天然氣大量放空，造成巨大經濟損失。僅西二線西段2010年及2013年就因線纜中斷而誤觸發(fā)全站ESD至少7次。如改用SDIL-1608模塊，將有效避免以上事件的發(fā)生。

3）改用“SDOL-0424”另一原因：SDOL-0424 模塊能提供4個通道，每個通道24 VDC, 最大帶負載能力為1 A和24 W；SDO-0824模塊提供8個通道，每個通道24 VDC, 最大帶負載能力為0.55A和13W。Shafer氣液聯動閥的ESD電磁閥的額定功率為7.2W，額定的工作電流為0.3A,假設2.5mm2的銅芯軟導線電阻率為10Ω/km，現場到機柜間的距離為2km，線路上電阻為40Ω，線路上消耗功率3.6W,如再加上多個端子上的接觸電阻，整個回路上消耗的功率將接近或超過SDO-0824模塊所能提供的13W。西二線現在的做法：將電源模塊的24VDC的正極通過繼電器的常閉觸點接到電磁閥，以保證對其的驅動，這種做法增加了不可靠的中間環(huán)節(jié)，大幅度增加PFDavg，如果改用SDOL-0424 模塊，不需再接入繼電器就能保證對電磁閥的驅動。

2.3 執(zhí)行元件

2.3.1 對功能安全的分析

表5 分析執(zhí)行元件的SIL等級

3 RMG安全截斷閥，SIL1 無 SIL2 無回路采用“1oo2”冗余結構，達到SIL2等級4 Shafer氣液聯動執(zhí)行機構，SIL等級未知有，魏德米勒繼電器 未知 無

2.3.2 對功能安全的說明與建議

1）壓縮機控制系統需接收站場ESD系統傳送的壓縮機不帶壓ESD命令，因為中間環(huán)節(jié)采用繼電器將濕接點（壓縮機控制系統的輸入通道均帶有24VDC）轉換為干接點，由2.1.2中2）的分析得出：建議將更換繼電器型號，使回路達到SIL2。

2）RMG安全截斷閥應用在分輸計量撬上，回路采用“1oo2”冗余結構，即一條線路上游兩個RMG安全截斷閥，當觸發(fā)ESD命令時，兩個截斷閥同時動作，借鑒2.1.2中3）的分析結論，回路達到SIL2。

3）Shafer氣液聯動執(zhí)行機構存在中間環(huán)節(jié)繼電器：借鑒2.2.2中3）的分析結論，建議邏輯控制單元中改用SDOL-0424模塊，即可省去中間環(huán)節(jié)，如若暫時不能改用模塊，也應該更換繼電器型號。

4）Shafer氣液聯動執(zhí)行機構的SIL等級未知，且在每年的站場ESD系統測試過程中，Shafer氣液聯動執(zhí)行機構的確是最容易發(fā)生故障的設備，且一旦發(fā)生故障，將嚴重影響站場ESD邏輯的執(zhí)行。建議措施：以西二線精河壓氣分輸站的Shafer氣液聯動執(zhí)行機構ESD1201為例，如圖5所示，可將Rotork電動執(zhí)行機構XV1203所有信號接入站場ESD系統中，參與到ESD邏輯中，與ESD1201構成“1oo2”冗余結構，即當ESD觸發(fā)時，ESD1201和XV1203將同時收到ESD命令，執(zhí)行關閥動作，因為Rotork電動執(zhí)行機構達到SIL2，所以該回路能達到SIL2，但也需考慮Rotork電動執(zhí)行機構動作時間相對較長對ESD邏輯造成的影響。

圖5 ESDV1201與XV1203位置示意

3 結束語

2013年9月1日施行的國家標準GB/T50770-2013《石油化工安全儀表系統設計規(guī)范》參考了IEC61508和IEC61511，標志我國的安全儀表系統的設計工作已經走上了規(guī)范化，也為我們尋找現有安全儀表系統的缺陷和不足提供了依據。上文對西二線站場ESD系統的功能安全分析只是從現場維護人員的角度做的一次有益嘗試，我們的愿景是嚴格遵循國內外關于SIS的通用技術規(guī)范和參考，為投用工程的SIS優(yōu)化提供建議，為擬建工程的SIS設計嚴格把關?！?/p>

[1] 鄭斌.天然氣凈化裝置DCS/ESD系統獨立設置要求[J].石油與天然氣化工,2010:70-72,86.

[2] 路紅梅.安全PLC系統在ESD系統中的應用[J].宿州師專學報,2001:47-48,86.

[3] 楊斌,李銳,候山,等.蘇里格氣田天然氣處理廠ESD系統標準化方案探究[J].石油化工應用,2012:84-87.

[4] 路永宇.提高ESD系統可靠性的途徑[J].化工自動化及儀表,2011:88-90.

[5] 臧振勝.SIS設計中應注意的幾個問題[J].中國儀器儀表,2012:162-166