緊急停車系統(tǒng)ESD

郭英才

中國化學(xué)工程第十一建設(shè)有限公司 河南開封 475002

大多石油和化工生產(chǎn)過程具有高溫、高壓、易燃、易爆、有毒等危險。當(dāng)某些工藝參數(shù)超出安全極限，未及時處理或處理不當(dāng)時，便有可能造成人員傷亡、設(shè)備損壞、周邊環(huán)境污染等惡性事故。這就是說，從安全的角度出發(fā)，石油和化工生產(chǎn)過程自身存在著固有的風(fēng)險。ESD 是Emergency shutdown System 的簡稱，中文的意思是緊急停車系統(tǒng)，它用于監(jiān)視裝置的操作，如果生產(chǎn)過程超出安全操作范圍，可以使其進(jìn)入安全狀態(tài)，確保裝置具有一定的安全度。ESD 主要應(yīng)用于生產(chǎn)過程的聯(lián)鎖保護(hù)控制和停車控制以及裝置的整體安全控制；火焰和氣體檢測控制；鍋爐安全控制；燃?xì)廨啓C(jī)、透平機(jī)、壓縮機(jī)的機(jī)組控制；化學(xué)反應(yīng)器控制；電站、核電站控制；鐵路、地鐵控制等領(lǐng)域。

1 工作原理

ESD 是一種經(jīng)專門機(jī)構(gòu)認(rèn)證、具有一定安全度等級，用于降低生產(chǎn)過程風(fēng)險的安全保護(hù)系統(tǒng)。它不僅能響應(yīng)生產(chǎn)過程因超出安全極限而帶來的危險，而且能檢測和處理自身的故障，從而按預(yù)定的條件或程序使生產(chǎn)過程處于安全狀態(tài)，以確保人員、設(shè)備及工廠周邊環(huán)境的安全。

ESD 由檢測單元（如各類開關(guān)、變送器等）、控制單元和執(zhí)行單元（如電磁閥、電動門等）組成，其核心部分是控制單元。從ESD 的發(fā)展過程看，其控制單元部分經(jīng)歷了電氣繼電器（Electrical）、電子固態(tài)電路（Electronic）和可編程電子系統(tǒng)（Programmable Electronic System），即E/ E/ PES 三個階段。圖1為由PES 構(gòu)成的ESD。

2 特點及優(yōu)越性

圖1 ESD的構(gòu)成

ESD 緊急停車系統(tǒng)按照安全獨立原則要求，獨立于DCS 集散控制系統(tǒng)，其安全級別高于DCS。在正常情況下，ESD 系統(tǒng)是處于靜態(tài)的，不需要人為干預(yù)。作為安全保護(hù)系統(tǒng)，凌駕于生產(chǎn)過程控制之上，實時在線監(jiān)測裝置的安全性。只有當(dāng)生產(chǎn)裝置出現(xiàn)緊急情況時，不需要經(jīng)過DCS 系統(tǒng)，而直接由ESD 發(fā)出保護(hù)聯(lián)鎖信號，對現(xiàn)場設(shè)備進(jìn)行安全保護(hù)，避免危險擴(kuò)散造成巨大損失。

根據(jù)有關(guān)資料，當(dāng)人在危險時刻的判斷和操作往往是滯后的、不可靠的，當(dāng)操作人員面臨生命危險時，要在60s 內(nèi)做出反應(yīng)，錯誤決策的概率高達(dá)99.9%。因此設(shè)置獨立于控制系統(tǒng)的安全聯(lián)鎖是十分有必要的，這是做好安全生產(chǎn)的重要準(zhǔn)則。該動則動，不該動則不動，這是ESD 系統(tǒng)的一個顯著特點。

當(dāng)然一般安全聯(lián)鎖保護(hù)功能也可由DCS 來實現(xiàn)。那么為何要獨立設(shè)置ESD 系統(tǒng)呢？因為對于較大規(guī)模的緊急停車系統(tǒng)應(yīng)按照安全獨立原則與DCS 分開設(shè)置，這樣做主要有以下幾方面原因：

（1）降低控制功能和安全功能同時失效的概率，當(dāng)維護(hù)DCS 部分故障時也不會危及安全保護(hù)系統(tǒng)；

（2）對于大型裝置或旋轉(zhuǎn)機(jī)械設(shè)備而言，緊急停車系統(tǒng)響應(yīng)速度越快越好。這有利于保護(hù)設(shè)備，避免事故擴(kuò)大，并有利于分辨事故原因記錄。而DCS 處理大量過程監(jiān)測信息，因此其響應(yīng)速度難以作得很快；

（3）DCS 系統(tǒng)是過程控制系統(tǒng)，是動態(tài)的，需要人工頻繁的干預(yù)，這有可能引起人為誤動作,而ESD 是靜態(tài)的，不需要人為干預(yù)，這樣設(shè)置ESD 可以避免人為誤動作。

ESD 緊急停車裝置，在石化行業(yè)以及大型化工企業(yè)中都有著廣泛的應(yīng)用。實際上它也是通過高速運算PLC 來實現(xiàn)控制的，它與PLC 的本質(zhì)區(qū)別在于它的輸入輸出卡件上，因為一切為了安全考慮，所以在硬件保護(hù)上做得較為完善，而且考慮到在事故狀態(tài)下，現(xiàn)場控制閥位及各個開關(guān)的位置。

3 ESD設(shè)計應(yīng)遵循的原則

ESD 設(shè)計原則上應(yīng)獨立設(shè)置（含檢測和執(zhí)行單元），中間環(huán)節(jié)應(yīng)做到最少；應(yīng)為故障安全型；并應(yīng)采用冗余容錯結(jié)構(gòu)。

3.1 故障安全原則

組成ESD 的各環(huán)節(jié)自身出現(xiàn)故障的概率不可能為零，且供電、供氣中斷亦可能發(fā)生。當(dāng)內(nèi)部或外部原因使ESD 失效時，被保護(hù)的對象（裝置）應(yīng)按預(yù)定的順序安全停車，自動轉(zhuǎn)入安全狀態(tài)（Fault to Safety），這就是故障安全原則。具體體現(xiàn)：

（1）現(xiàn)場開關(guān)儀表選用常閉接點，工藝正常時，觸點閉合，達(dá)到安全極限時觸點斷開，觸發(fā)聯(lián)鎖動作，必要時采用“二選一”、“二選二”或“三選二”配置。

（2）電磁閥采用正常勵磁，聯(lián)鎖未動作時，電磁閥線圈帶電，聯(lián)鎖動作時斷電。

（3）送往電氣配電室用以開/ 停電機(jī)的接點用中間繼電器隔離，其勵磁電路應(yīng)為故障安全型。

（4）作為控制裝置（如PLC）“故障安全”意味著當(dāng)其自身出現(xiàn)故障而不是工藝或設(shè)備超過極限工作范圍時，至少應(yīng)該聯(lián)鎖動作，以便按預(yù)定的順序安全停車（這對工藝和設(shè)備而言是安全的）；進(jìn)而應(yīng)通過硬件和軟件的冗余和容錯技術(shù)，在過程安全時間（PST- Process Safety Time）內(nèi)檢測到故障，自動執(zhí)行糾錯程序，排除故障。

3.2 安全性及響應(yīng)失效率

當(dāng)工藝條件達(dá)到或超過安全極限值時，ESD 本應(yīng)引導(dǎo)工藝過程停車，但由于其自身存在隱故障（危險故障）而不能響應(yīng)此要求，即該停車而拒停，降低了安全性。衡量安全性的指標(biāo)為響應(yīng)失效率或稱要求的故障率, 它是安全聯(lián)鎖系統(tǒng)按要求執(zhí)行指定功能的故障概率, 是度量安全聯(lián)鎖系統(tǒng)按要求模式工作故障率的目標(biāo)值。

3.3 冗余和容錯

3.3.1 冗余（Redundant）

冗余是指具有指定的獨立的N∶1 重元件，并且可以自動地檢測故障，切換到后備設(shè)備上。

3.3.2 冗余系統(tǒng)（Redundant System）

冗余系統(tǒng)是指并行地使用多個系統(tǒng)部件，以提供錯誤檢測和錯誤校正能力的系統(tǒng)。

3.3.3 容錯（Fault Tolerant）

容錯是指具有內(nèi)部冗余的并行元件和集成邏輯，當(dāng)硬件或軟件部分故障時，能夠識別故障并使故障旁路，進(jìn)而繼續(xù)執(zhí)行指定的功能或在硬件和軟件發(fā)生故障的情況下，系統(tǒng)仍具有繼續(xù)運行的能力。它往往包括三方面的功能：

（1）約束故障，即限制過程或進(jìn)程的動作，以防止在錯誤被檢測出來之前繼續(xù)擴(kuò)大；

（2）檢測故障，即對信息和過程或進(jìn)程的動作進(jìn)行動態(tài)檢測；

（3）故障恢復(fù)即更換或修正失效的部件。

3.3.4 容錯系統(tǒng)（Fault Tolerant System）：

容錯系統(tǒng)是指具有容錯結(jié)構(gòu)的硬件與軟件系統(tǒng)，通過冗余和故障屏蔽的結(jié)合來實現(xiàn)容錯。

容錯系統(tǒng)一定是冗余系統(tǒng)，冗余系統(tǒng)不一定是容錯系統(tǒng)。容錯系統(tǒng)的冗余形式有雙重、三重、四重等。圖2 和圖3 分別表示CPU 冗余（雙機(jī)熱備）和三重模塊冗余（TMR）容錯系統(tǒng)?，F(xiàn)場設(shè)備

圖2 CPU冗余（雙機(jī)熱備）

圖3 模塊三重冗余容錯系統(tǒng)

4 ESD和DCS的區(qū)別以及普通PLC和安全PLC的區(qū)別

4.1 ESD和DCS的區(qū)別

如表1 所示。

表1 ESD和DCS的區(qū)別

4.2 普通PLC和安全PLC的區(qū)別

普通PLC 和可以作為ESD 控制部分的安全PLC 的主要區(qū)別在于，普通PLC 不是按故障安全型設(shè)計的，當(dāng)系統(tǒng)內(nèi)部元件出現(xiàn)短路故障時，它并不能檢測到，因此其輸出狀態(tài)不能保證系統(tǒng)回到預(yù)定的安全狀態(tài)。這種PLC 只能用于安全度等級要求低的場合。

4.3 安全PLC具備的條件

作為安全PLC，至少應(yīng)具備以下幾點：

（1）滿足相關(guān)安全標(biāo)準(zhǔn)規(guī)范要求，且經(jīng)過權(quán)威機(jī)構(gòu)認(rèn)證，取得了相應(yīng)安全等級證書；

（2）在硬件和軟件上采用冗余、容錯措施，具有完善的測試手段，當(dāng)檢測到系統(tǒng)故障，特別是危險故障時能使系統(tǒng)回到安全狀態(tài)；

（3）能進(jìn)行系統(tǒng)故障報警、指示故障原因、故障位置，便于在線維護(hù)；

（4）能與DCS 或其它設(shè)備進(jìn)行通訊。

5 工藝過程風(fēng)險的評估及安全度等級的評定

5.1 不同標(biāo)準(zhǔn)對工藝過程風(fēng)險的評估及安全度等級的要求

不同的工藝過程（以生產(chǎn)規(guī)模、原料和產(chǎn)品的種類、工藝和設(shè)備的復(fù)雜程度等）對安全的要求是不同的。一個具體的工藝過程，是否需要配置ESD、配置何種等級的ESD，其前提應(yīng)該是對具體的工藝過程進(jìn)行風(fēng)險的評估及安全度等級（SIL）的評定。

SIL 是Safety Integrity Level 的簡稱，中文的意思就是安全等級，它是美國儀表學(xué)會(ISA)在S84.01 標(biāo)準(zhǔn)中對過程工業(yè)中安全儀表系統(tǒng)所作的分類等級。SIL 分為1、2、3 級，SIL1 級每年故障危險的平均概率為0.10- 0.01 之間，僅對少量的財產(chǎn)和簡單的生產(chǎn)進(jìn)行保護(hù)；

SIL2 級每年故障危險的平均概率為0.01- 0.001 之間，對大量的財產(chǎn)和復(fù)雜的生產(chǎn)進(jìn)行保護(hù)，也對生產(chǎn)操作人員進(jìn)行保護(hù)；

SIL3 級每年故障危險的平均概率為0.001- 0.0001 之間，對工廠的財產(chǎn)、全體員工的生命和整個社區(qū)的安全進(jìn)行保護(hù)。

IEC61508 標(biāo)準(zhǔn)是國際電工委員會（IEC）對與安全相關(guān)的控制系統(tǒng)制定的性能安全標(biāo)準(zhǔn)，與ISA 的SIL 相比，除了覆蓋ISA中的SIL1- 3 級以外，增加了第4 級標(biāo)準(zhǔn)。IEC SIL4 級標(biāo)準(zhǔn)每年故障危險的平均概率為0.0001- 0.00001 之間，避免災(zāi)難性的、會對整個社區(qū)形成巨大沖擊的事故。

T V 標(biāo)準(zhǔn)是德國萊茵認(rèn)證機(jī)構(gòu)對工業(yè)過程安全控制系統(tǒng)所作的分類等級，T V 共分為8 級（AK1- AK8），AK1/ 2 對應(yīng)于SIL1 級，AK3/ 4 對應(yīng)于SIL2，AK5/ 6 對應(yīng)于SIL3,AK7 對應(yīng)于SIL4，AK8 是目前最高級別的安全標(biāo)準(zhǔn)，故障概率大于十萬分之一。幾個標(biāo)準(zhǔn)對風(fēng)險的評估及安全度等級之間的關(guān)系見表2。

在確定了某個具體工藝過程的安全度等級（SIL）之后，再配置與之相適應(yīng)的ESD。

由表2 可以看出，若某工藝過程經(jīng)評定后為SIL 2，則配置達(dá)到AK4 的ESD 即可，其響應(yīng)失效率（PFD）為百分之一至千分之一之間。應(yīng)該注意的是不同安全級別的ESD，只能確保響應(yīng)失效率（PFD）在一定的范圍內(nèi)，安全級別越高的ESD，其PFD越小，即發(fā)生事故的可能性越小，但它不能改變事故造成的后果。因此，工藝過程安全度等級的評定是一項十分重要的工作。但目前我國尚無如何評定安全度等級的標(biāo)準(zhǔn)和規(guī)范。

表2 幾個標(biāo)準(zhǔn)對風(fēng)險的評估及安全度等級之間的關(guān)系表

5.2 風(fēng)險矩陣（RISKMATRIX）評估方法

這種方法以工藝過程事故出現(xiàn)的頻率（可能性）及其危害程度（嚴(yán)重性）為風(fēng)險評估的指標(biāo)，并對頻率和危害程度人為量化為若干級，做出矩陣表（見表3）。以此確定工藝過程度安全度等級。

表3 風(fēng)險矩陣（RISKMATRIX）評估方法矩陣表

表3 中頻率分級的年限（多少年出現(xiàn)一次）考慮了采用DCS進(jìn)行監(jiān)視、控制以及正常操作規(guī)程等對于降低事故出現(xiàn)頻率的貢獻(xiàn)，但不考慮ESD 的存在。

表4 中危害程度從經(jīng)濟(jì)損失、人身傷害和環(huán)境危害三個方面予以量化。

表4 風(fēng)險危害程度量化表

緊急停車系統(tǒng)作為一套安全保護(hù)系統(tǒng)具有很高的可靠性、安全性和可用性。隨著現(xiàn)代計算機(jī)技術(shù)的發(fā)展，緊急停車系統(tǒng)ESD 的設(shè)備配置也在不斷地更新?lián)Q代，由低級到高級；由氣動邏輯到繼電器邏輯；由簡單的繼電器系統(tǒng)到微控制系統(tǒng)為主的系統(tǒng)；由單回路系統(tǒng)到冗余和冗錯系統(tǒng)?？梢灶A(yù)計ESD 系統(tǒng)在現(xiàn)代工業(yè)生產(chǎn)安全控制中將得到更廣泛的應(yīng)用。