ESD 系统介绍

ESD 系统介绍

一、什么是 ESD?为什么要用 ESD?

ESD 是英文 Emergency Shutdown Device 紧急停车系统的缩写。这种专用的安全保护系统。是 90 年代发展起来的,以它的高可靠性和灵活性而受到一致好评。ESD 紧急停车系统按照安全独立原则要求,独立于DCS 集散控制系统,其安全级别高于 DCS。在正常情况下,ESD 系统是处于静态的,不需要人为干预。作为安全保护系统,凌驾于生产过程控制之上,实时在线监测装置的安全性。只有当生产装置出现紧急情况时,不需要经过 DCS 系统,而直接由 ESD 发出保护联锁信号,对现场设备进行安全保护,避免危险扩散造成巨大损失。据有关资料显示,当人在危险时刻的判断和操作往往是滞后的、不可靠的,当操作人员面临生命危险时,要在 60s 内做出反应,错误决策的概率高达 99.9%。因此设置独立于控制系统的安全联锁是十分有必要的,这是作好安全生产的重要准则。该动则动,不该动则不动,这是 ESD 系统的一个显著特点。

为何要独立设置 ESD 系统呢?当然一般安全联锁保护功能也可由 DCS 来实现。但是对于较大规模的紧急停车系统应按照安全独立原则与 DCS 分开设置,这样做主要有以下几方面原因:

(1)降低控制功能和安全功能同时失效的概率,当维护 DCS 部分故障时也不会危及安全保护系统;

(2)对于大型装置或旋转机械设备而言,紧急停车系统响应速度越快越好。这有利于保护设备,避免事故扩大;并有利于分辨事故原因记录。而 DCS 处理大量过程监测信息,因此其响应速度难以作得很快;

(3)DCS 系统是过程控制系统,是动态的,需要人工频繁的干预,这有可能引起人为误动作;而 ESD 是静态的,不需要人为干预,这样设置 ESD 可以避免人为误动作。

ESD 现在应用的越来越多了,在控制系统中已经独立于 DCS。现在 ESD 的国外厂商在国内有应用的有, HIMA 公司的 PES,TRICONEX(TROCON),HONEYWELL 公司的 FCS(原 P F 公司产品),ICS 公司的 TRUSTED ,GE 公司的 GMR,ABB 公司的 TRIGUARDSC300E,YOKOGAWA 公司的 ProSafe-PLC。以上七家厂商的产品已经占 90%以上的市场了。其中 HIMA,TRICONEX,ICS 专业做安全控制的厂商,其它几家是老牌的 DCS 的厂商,因为 ESD 的市场逐渐成熟,也推出了自己的产品。其中还有 EMERSON,就产品的成熟度和市场份额来说,HIMA 和 TRICONEX 是这个行业的双雄,两家各自代表了 ESD 产品的两种设计理念。

二、安全及安全要求等级

安全是指人或物在一定环境中不发生危险与不受到损害的状态,而安全性是表明人或物在一个环境中对危险的损伤所能承受的最大能力。

安全性最终目标是避免事故的发生,为达到此目的,对产品我国有“3C”(China Compulsory Certification)市场准入强制性认证制度(包括产品安全性及电磁兼容、环境保护等方面);对工业装置的自动化系统中设置了安全保护控制系统(以下简称安全系统),并对其设置与整个生产装置的安全要求等级进行了规定。ISA 美国仪表学会称安全系统为安全仪表系统(Safety Instrument System, SIS),对应 ISA-S84.01 标准,IEC 国际电工委员会称安全要求等级为“安全完整性等级”(Safety Integrity Levels, SIL),对应 IEC61508 标准。目前国内尚无国家标准,石化行业有相关的设计导则:石油化工紧急停车及安全联锁系统设计导则(SHB-Z06-1999),采用 IEC 的 SIL 概念。

在石油化工、火力发电、钢铁和有色金属冶炼等行业设备选用设计安全系统时,都有危险性分析和可操作性分析,要求各种运行参数在工程设计规范内,如果超过此范围,则表示不安全,需要安全系统发挥作用;又在正常范围内允许控制系统手自动切换和手动操作,但操作人员某些重大失误也可能造成不安全,为了克服人为的不安全因素,安全系统应从一般控制系统分离出来;装置周围环境如发生火灾或可燃性气体、有毒气体导致影响设备安全和人身安全时,也需要安全系统发挥作用,所以研究安全要求等级划分问题很重要。

当人们均衡利害关系,认为所从事活动的危险程度可以接受时,则这种活动状态是安全的,这种危险程度对应的风险度就成为安全指标。

风险度:单位时间内系统可能接受的损失,包括财产损失、人员伤亡、工作损失和环境损失。计算风险度R(损失/时间)是以系统存在的危险因素为基础的,测算系统可能发生的事故概率 P(次/时间)及一旦发生事故可能造成的损失 S(损失/次),就可得出 R=PS。风险度大,即风险大,危险程度高。

安全指标:是指人们能接受的风险度。安全指标是对某一种职业活动或某一系统运行风险最高容许限度。安全指标有多种表示方法。

IEC 安全要求等级分为 4 级,安全性能由低到高为 SIL1、SIL2、SIL3、SIL4。美国对 SIL4 只承认其存在,标准中不包括在 SIL4 要求下如何实施安全系统的内容。德国 DIN V 19250 及 DIN V VDE0804 对安全要求等级(Safety Requirement Classes)分为 8 级,安全要求从低到高为 AK1~AK8,由于其产生较早,故被很多工程采用,对应各标准的安全等级对比如表所示。1 个定义故障不会引发危险性事故的要求,对应 AK1;1 个故障不会引发危险性事故的要求,对应 AK2;两个及两个以下故障组合不会引发危险性事故的要求,对应 AK3、AK4;3 个及 3 个以下的故障组合不会引发危险性事故的要求,对应 AK5;无论何时发生故障,任何故障的组合均不会引发危险性事故的要求,对应 AK6。AK7、AK8 对应特殊考虑的安全要求。

由于工业应用场合工艺和生产设备特点不同,潜在危险不同,在发生危险结果之前的安全时间不同,此外还要考虑到实际事故发生的可能性及防止其发生可能性的结合,可以确定其风险等级。风险等级越高,则安全要求等级越高。DIN 标准给出风险图(图 1),可以帮助确定实际工艺装置应用场合的安全要求等级。图 1 中有 S、A、G、W 四级危险参数,现分别说明如下:

估计危险损害度 S,其中 S0:轻度损害,无人员伤亡;S1:中度损害,人员轻伤;S2:重度损害,1人或多人重伤,包括 1 个死亡的情况;S3:严重损害,多人死亡或众多人员重伤;S4:灾难性事故,众多人员死亡。

危险区域内人员存在的可能性 A,其中 A1:人员偶尔存在或不固定的短期存在;A2:经常或始终有人存在。

短时间内防止危险发生的可能性 G,其中 G1:在某些情况下是可能的;G2:几乎是不可能的。

不考虑安装安全系统出现危险事故的可能性 W,其中 W1:非常低;W2:低;W3:相对较高。

大多数使用安全系统的工业应用场合属于 AK4~AK6 级,其中一般锅炉、加热炉为 4 级,石化、化工为 AK5级,涉及到人身安全要求等级的场合很少,要特殊考虑。

三、设计选用原则

为了保证生产安全运行,根据具体要求对安全保护控制系统的设计选型工作是非常重要的。按上节安全要求等级标准及风险图,让实际生产装置对号入座,从而确定选用哪一类的安全系统。由图 1 可知,安全系统应分如下几类,即 ü 监视设备、满足安全要求等级 AK1~AK4 的 Z-1、满足安全要求等级 AK1~AK5 的 Z-2、满足安全要求等级 AK1~AK6 的 Z-3 及安全要求等级 AK7~AK8 的需要特殊考虑的等共 5 类。如 ü 监视设备的功能由一般控制系统(如 DCS)实现,则安全控制系统分为 4 类。

对安全系统本身都有哪些要求?总的来说有两方面,一是系统本身要具有高度的可靠性和可用性;另一方面就是要具有实时和快速丰富的逻辑运算功能,可满足安全保护及故障记录(SOE)的各项要求。具体的如能做到使整个工艺装置在安全时间内完成一系列开车、停车、局部停车、联锁动作、自动处理紧急事故的各种任务,同时还要做到停车次数减少,连续运行时间延长,取得“经济损失少”的效果。至于安全系统本身硬件元件的先进性、独立性和系统结构的冗余性、中间环节最少原则、机械结构和配线合理、适应苛刻环境及做到故障安全型的软件设计(如非励磁停车设计)等项均是安全系统分类原则。另外安全系统除控制部分外,还有现场检测仪表和执行器两部分也需满足上述两方面要求。现代安全系统还须有与主控系统(DCS 等)或全厂信息系统的数据通信能力,其数据应即时传输给主控系统和全厂调度中心。

安全系统的发展,按硬件构成分有继电器型、硬接线固态电路型和可编程微机安全系统 3 个阶段。目前前两种只在逻辑不复杂、安全要求不高的小系统中使用。绝大多数场合采用可编程微机安全系统,只在安全要求不高的场合采用 PLC 可编程序控制器或在 DCS 系统内部完成安全联锁保护功能。安全系统分 Z-1、Z-2、Z-3 三类。

Z-1 类的安全系统可用性“一般”,一个中央 CPU 模块通过单总线与 I/O 模块相连,它与普通 PLC 不同之处为通过中央 CPU 的自我测试以及采用可测试 I/O 模块、失效时输出保证安全状态等满足系统安全要求。

Z-2 类的安全系统可用性“较高”,中央 CPU 模块冗余,其他与 Z-1 相同,这样允许一个 CPU 模块出故障,另一个 CPU 模块维持正常工作,这样可以在 AK5 级安全要求等级以下的场合,维持 72h 之内。

Z-3 类的安全系统可用性“很高”,结构为全冗余,即 CPU 模块、总线、I/O 模块均双重化,在 AK6 级安全要求等级的场合,允许单通道操作时间不超过 1h,即在此期间内将出故障的模块更换掉,即可保证生产不中断。

综上所述,除专业生产厂生产的安全系统外,只有能满足上述要求的经过安全论证的 PLC 系统,才能作为安全系统使用。

对于安全要求等级 AK7、AK8 级的应用场合选用的安全系统,还要考虑双重化冗余系统中两者比较结果不一致又无法判断谁对谁错时的情况,应采用三重模件冗余(TMR)方式,系统根据少数服从多数原则,即“3 中取2”表决方式,如两模件为“ON”,一模件的结果为“OFF”,则系统取“ON”状态。另外系统还应具有容错性,采用故障容错辅助软件技术(SIFT),做到在本系统某部分出现故障时,系统可继续工作。

实际安全系统中冗余和容错的程度多种方案与价格关系很大,所以应按应用场所安全要求等级选取不同类别专业厂家生产的安全系统。

滚动至顶部