HIMA安全儀表系統(tǒng)在45萬噸/年醋酸乙烯裝置上的應用

何貫亞

摘 要：為確?；ぱb置生產過程的安全，安全儀表系統(tǒng)已越來越多地得到重視并應用。安全儀表系統(tǒng)（SIS）既可以自動也可以人工手動使設備或工藝過程緊急停車，并且任何一種停車方式都不會損壞設備或造成人員傷害。本文介紹了HIMA安全儀表系統(tǒng)在醋酸乙烯裝置上的應用。

關鍵詞：化工 HIMA SIS安全儀表系統(tǒng) QMR四重化結構

中圖分類號：TP273 文獻標識碼：A 文章編號：1672-3791（2014）01（c）-0116-02

1 項目概述

國電中國石化寧夏能源化工有限公司新建45萬噸年醋酸乙烯裝置由中石化寧波設計院設計，醋酸乙烯裝置生產規(guī)模為目前國內單套最大，采用電石乙炔法來合成醋酸乙烯，原料乙炔經大型羅茨風機壓送與原料醋酸蒸汽混合，在適當的條件下進行反應得到醋酸乙烯。該裝置為易燃易爆、高度危險、連續(xù)生產的重要化工裝置，采用德國HIMA公司的H51q安全儀表系統(tǒng)。

2 HIMA安全儀表系統(tǒng)簡介

2.1 系統(tǒng)特點

HIMA的H51q-HRS系統(tǒng)為CPU四重化結構（QMR），即系統(tǒng)的中央控制單元CPU共有四個微處理器，4個微處理器CPU同時工作。中央處理單元（CU）共有兩塊CPU 卡，每兩個微處理器CPU安裝在一塊CPU卡上，通過一個硬件比較器以納秒極的速度進行連續(xù)的互相檢測，一塊CPU卡即可滿足安全等級AK6/SIL3，1oo2D的雙重化結構。兩個中央處理單元（CU）既同時工作，又相互獨立，兩個中央處理單元（CU）之間的通訊由高速雙重RAM接口（DPR）來完成。從輸入模塊經中央處理單元到輸出模塊，完全是四重化的，每個輸入模塊將讀入的過程數據送到中央處理單元的四個微處理器，四個微處理器CPU利用DRP進行通訊而達到同步，每兩個微處理器CPU對其數字輸出數據進行正、反向存儲和比較，并將最后計算的結果送到輸出模塊。若其中一中央處理單元（CU）故障切除后，另一中央處理單元（CU）繼續(xù)工作，CPU由2004D 功能轉化為1002D功能。

采用雙1oo2D結構，即2oo4/QMR結構 （Quadruple Modular Redundant）的目的是為用戶提供最大的實用性（可用性），其容錯功能使得系統(tǒng)中任何一個部件發(fā)生故障，均不影響系統(tǒng)的正常運行。與傳統(tǒng)的三重化結構相比，它的容錯功能更加完善。

H51q系統(tǒng)為模塊化的結構，所有SIS卡件滿足G3（ANSI/ISA-S71.04-1985）標準。

2.2 系統(tǒng)的安全性和可用性

HIMA的SIS系統(tǒng)，既可達到AK6的安全等級要求（DINV19250），又能滿足非常高的可用性的需要。根據安全性和可用性的需要，HIMA的SIS不僅在中央設備而且在I/O級上，均可提供單的或冗余的設備配置。冗余配置增加了系統(tǒng)可用性，當其中一個模件發(fā)生故障時將被自動切除，它所對應的另一個冗余模件將保持工作，對工藝過程無任何擾動。

2.3 系統(tǒng)的診斷功能

HIMA SIS系統(tǒng)采用冗余容錯2oo4D技術，輸入/輸出模塊和中央處理器模塊都具有內部故障自診斷功能，并能檢測內部接點的通斷故障。輸出模塊的自診斷應帶回路監(jiān)督功能，整個系統(tǒng)及部件是故障安全型，系統(tǒng)所有模件1∶1冗余配置，確保在不間斷控制的前提下，在線更換各類故障模件。

HIMA的自診斷技術可在一個掃描周期內對系統(tǒng)的全部硬件進行100%診斷，包括中央單元、I/O模塊、I/O總線、數據通訊及電源系統(tǒng)等所有可能的潛在故障點，一旦故障發(fā)生，CPU和I/O卡件的故障信息均可以4位字符顯示在CU的信息窗以及系統(tǒng)的工作站上，例如，機柜號、I/O卡件的機架號、I/O槽路號等。自動按時間順序在工程師站上顯示故障地址、物理位置和性質，或通訊給DCS系統(tǒng)進行故障顯示，以聲光提醒操作人員，以便維護人員得知故障所在，并替換相應的I/O卡件，同時存儲和打印診斷信息。

在系統(tǒng)內部發(fā)生故障的情況下，系統(tǒng)可通過一個獨立于中央單元處理器之外，擁有更高優(yōu)先級的看門狗（watchdog）硬電路發(fā)出安全停車信號，并通過獨立于DO模件輸出通道之外的輸出元器件輸出到現場，從而使生產裝置處于安全狀態(tài)。

watchdog信號不僅可以實現控制器故障時的切換，而且watchdog信號還在主機架的背板輸出并連接到其他I/O機架，使每個機架內的輸出模件都可以引入“看門狗”計時器信號，當CPU內部故障時令所有輸出模件各通道切換到關狀態(tài)，與安全相關的工藝設備被快速關斷，保證了系統(tǒng)的安全。watchdog信號的存在以及被引入到每一個I/O機架這一形式是HIMA安全儀表系統(tǒng)與普通PLC的重要區(qū)別之一。

2.4 一體化安全停車功能

在HIMA安全系統(tǒng)中，一體化安全停車被分為三個級別：

安全組切除：類似于控制系統(tǒng)中的“控制域”的概念，不相關裝置的信號被分在不同的安全組中，一個安全組的硬件故障僅僅造成相關安全組被切除，不會使問題擴大化。

部分功能切除：在QMR結構下，如果一個中央單元（CU）或一條I/O總線或一塊I/O模件或一條看門狗（watchdog）電路出現故障，系統(tǒng)僅僅切除有故障的部分，其余部分還是平穩(wěn)運行，不受影響，安全等級也不會降低?，F場并不會停車，還是正常運行。

整體安全停車：假如兩個中央單元或兩條I/O總線或兩塊冗余的I/O模件均出現故障，超出了QMR結構的兩級容錯功能。系統(tǒng)會通過DO通道中獨立的第三方輸出元件使現場停車，達到一個安全的狀態(tài)。

2.5 系統(tǒng)軟件ELOP II

工程師站使用HIMA專用編程組態(tài)軟件ELOP-II，對HIMA系統(tǒng)進行組態(tài)、監(jiān)視、操作和文檔管理、用戶程序輸入，且把它編譯成機器碼，這些工作可以在個人計算機上完成，而不需要連結SIS。

安全儀表系統(tǒng)的軟件操作系統(tǒng)都是以嵌入的方式直接集成到控制器中。在運行過程中，操作系統(tǒng)除了以循環(huán)掃描的形式來處理用戶程序外，還通過監(jiān)視程序的代碼版本號、運行版本號、數據版本號、區(qū)域代碼號的更改來保證程序的安全性。

ELOP II軟件包是符合IEC61131-3標準的工業(yè)化軟件包，提供標準功能塊語言進行編程，可執(zhí)行邏輯運算、PID、順序控制等各種控制程序。軟件中還集成了源代碼比較器、目標代碼比較器和經過認證的編譯器。這些工具在創(chuàng)建、下載和修改用戶程序過程中分別對源代碼和目標代碼進行測試并標識出來，只有經過測試的應用程序才允許被下載到控制器中。

ELOP II軟件包的反向編譯功能允許在線修改，下裝程序，無須進行下裝后的100%的逐點測試（此功能經TV認證），在線修改并自動下裝的次數無限制。完全可以滿足煉油、石化、天然氣等行業(yè)的，各類危險型裝置和各種設備的安全控制要求。

3 HIMA安全儀表系統(tǒng)在年產45萬噸醋酸乙烯裝置上的應用

3.1 HIMA系統(tǒng)在本項目的應用配置

國電中國石化寧夏能源化工有限公司45萬噸年醋酸乙烯裝置設置1套SIS系統(tǒng)用于醋酸乙烯裝置的安全聯鎖。SIS機柜設置在現場機柜間，SIS的操作站和工程師站設置在中央控制室，通過冗余光纜實現從現場機柜間到中央控制室的通訊。輔助操作臺上的按鈕、開關信號采用硬接線實現輔助操作臺與醋酸乙烯裝置機柜間SIS系統(tǒng)的安全信號傳輸。

HIMA系統(tǒng)采用了雙系列并列運行的冗余方式。在其運行狀態(tài)下，隨時可以拔取并且更換故障的卡件（包括CU、電源、通訊、I/O卡等）。由于沒有通常系統(tǒng)中更換卡件時的切換以及數據導入過程，因此也就避免了切換過程可能帶來的擾動，是真正意義上的“熱插拔”系統(tǒng)。

3.2 工程師站兼SOE站

設置有1臺操作員工作站和2臺工程師站（1臺安裝在機柜間，1臺在中控室）。其中中控室工程師站兼具有SOE功能的工程師站，可用于SIS系統(tǒng)軟件的離線或在線組態(tài)，并且可離線模擬調試。SOE站用于在線記錄系統(tǒng)的各類報警及動作事件，配備整套順序事件記錄的軟件為Control Maestro-logline，順序事件記錄的時間分辨率為不大于10 ms，記錄的數據總數大于100，000條。

3.3 操作站

在中央控制室內配備1臺SIS系統(tǒng)操作站，通過冗余以太網通訊方式與HIMA系統(tǒng)進行數據通訊，操作站軟件為CM-DEV，開發(fā)版，500點，可以提供多種級別的安全和管理機制。

3.4 打印機

配置2臺獨立打印機。

3.5 與DCS通訊

采用冗余的RS485接口（MODBUS協議）完成裝置的DCS進行數據通訊。

3.6 系統(tǒng)網絡的構成

HIMA的安全系統(tǒng)之間可以采用安全以太網（safeethernet）連接，HIMA是全球首家將將這種安全技術商業(yè)化的公司，系統(tǒng)間通訊采用了經TüV認證的HIPRO-S協議，構成了滿足AK6/SIL3等級的安全以太網。采用F8627X 作為以太網通訊模塊，SIS系統(tǒng)控制器可以同時傳送安全相關的安全以太網數據和非安全相關的OPC協議數據，符合IEC802.3規(guī)程，10BaseT或100 BaseTX，RJ45口。

4 醋酸乙烯裝置主要安全聯鎖邏輯的實現

醋酸乙烯裝置合成單元每個列都有1臺10 kV大型羅茨風機用于壓送原料乙炔，羅茨風機屬于合成單元重要設備，隔音罩內安裝有可燃性氣體檢測儀、測溫計、通風機，乙炔氣極易爆炸，如裝置區(qū)內出現乙炔泄露、燃燒、以及羅茨風機、工藝異常超限等情況時應采取緊急措施防止危險發(fā)生保證裝置安全。

4.1 10 kV羅茨風機允許啟動聯鎖

啟動條件：（1）羅茨風機可燃氣體濃度<25%LEL（AZT-055231/1，2，3經2003輸出）；（2）風機通風機C055201/1，2，3均處于運行狀態(tài)；（3）羅茨風機入口壓力>1.0 kPa（PZT-055273、PZT-055274均滿足條件）；（4）新乙炔入口壓力>3.0 kPa；（5）HV-055273（A～I）回流閥全開；（6）機封水流量≥2600 kg/h；以上條件均需滿足則羅茨風機允許啟動。

4.2 10 kV羅茨風機聯鎖停車

聯鎖條件：（1）SIS輔操臺羅茨風機停止按鈕按下；（2）羅茨風機入口壓力≤0.5 kPa（PZT-055273、PZT-055274均滿足條件）；（3）新乙炔入口壓力≤1.5 kPa；（4）羅茨風機出口壓力≥55 kPa；（5）風機通風機C055201/1，2，3均處于非運行狀態(tài)；（6）機封水流量≥2600 kg/h；（7）羅茨風機可燃氣體濃度≥60%LEL（AZT-055231/1，2，3經2003輸出）；以上條件任一條件滿足則羅茨風機聯鎖停車。

4.3 醋酸乙烯合成裝置緊急停車聯鎖

聯鎖條件：當合成裝置緊停按鈕被按下（保持型）；聯鎖輸出：（1）乙炔閥關閉，不可調節(jié)；（2）氮氣閥打開；（3）循環(huán)氣開關閥打開；聯鎖復位后：（1）乙炔閥打開，可調節(jié)；（2）氮氣閥關閉；（3）循環(huán)氣開關閥關閉。

由于系統(tǒng)的邏輯設計是安全儀表系統(tǒng)邏輯運算的重要環(huán)節(jié)，邏輯設計的可用性對系統(tǒng)SIL級別影響至關重要，邏輯組態(tài)中采用的措施如下：（1）使用冗余輸入的運算邏輯，如檢測元件三重冗余配置的“三選二”邏輯形式，以滿足所要求的可用性；（2）根據工藝特點，對羅茨風機啟停允許聯鎖、工藝相關聯鎖采用觸發(fā)器模塊，完成安全保護動作的觸發(fā)與復位，規(guī)避狀態(tài)保持的邏輯自鎖，實現安全保護動作；（3）根據工藝要求，設置靈活的旁路切除開關；（4）采用“故障-安全（fail-safe）”原則，為了體現出這一原則，邏輯組態(tài)應采用“正邏輯”，同時與安全相關的輸出通道和就地執(zhí)行機構的電磁閥在正常工況下應處于帶電狀態(tài)，保證安全保護系統(tǒng)出現故障或滿足跳閘條件時，使工藝過程處于安全狀態(tài)。

5 結語

HIMA四重化結構（QMR）冗余容錯安全儀表系統(tǒng)的硬件、軟件具有極高的安全性和可靠性，從而最大限度地保證了年產45萬噸醋酸乙烯裝置設備和人身安全，進一步了提高企業(yè)效益和競爭力。

參考文獻

[1] HIMA H41qH51q系統(tǒng)手冊[Z].

[2] 曲濤.HIMA四重化結構和PLANAR在高壓聚乙烯裝置中的應用[J].河北化工，2008，8.

[3] HIMA安全控制系統(tǒng)在電廠FSSS中的應用[Z].2010，12.