您的位置:控制工程论坛网论坛 » PLC与PAC » ESD紧急停车系统设计

liyong2008bj

liyong2008bj   |   当前状态:在线

总积分:3165  2024年可用积分:0

注册时间: 2004-05-19

最后登录时间: 2019-07-02

空间 发短消息加为好友

ESD紧急停车系统设计

liyong2008bj  发表于 2008/12/12 17:13:44      1494 查看 0 回复  [上一主题]  [下一主题]

手机阅读

 

ESD紧急停车系统(Emergency Shutdown System),是为生产过程的安全而设置的,它适用于高温、高压、易燃、易爆等连续性生产作业领域。当生产过程出现意外波动或紧急情况需要采取某些动作或停车时,该系统能精确监测,并及时、准确地做出响应,使装置停在一定的安全水平上,确保装置和人身的安全。
ESD
由检测元件,逻辑单元和执行元件组成。
1
ESDDCS的关系
ESD
DCS是完全分离的。DCS主要用于过程工业参数指标的动态控制。在正常情况下,DCS动态监控着生产过程的连续运行,保证能生产出符合要求的优良产品。而ESD则是对于一些关键的工艺及设备参数进行连续的监测,在正常情况下ESD静止的,不采取任何动作。但是当参数发生异常波动或故障时,它会按照已定的程序采取相应的安全动作,使装置停在安全水平线上。所以ESDDCS在过程工业中所起的作用不同,既有分工,又成互补关系。
同时,ESD也不单是实现联锁关系,它应该凌驾于生产过程控制之上,具有独立性,这样降低了两者同时失效的概率,ESD的安全等级要高于DCSESDDCS的主要区别见对照表1

1
ESD
DCS的的主要区别

DCS

ESD

动态控制

静态监测、保护

故障自动显示

必须测试潜在故障

维修时间不太关键

维修时间非常关键

可以进行自动/手动切换

必须始终在线,不允许离线

2 ESD的设计
此部分主要涉及ESD系统逻辑单元的设计,为了设计合适的ESD系统,应该遵循以下的原则:

(1)
在紧急停车系统的设计中,安全度等级是设计的标准。在ESD的设计过程中,首先应该确定生产装置的安全度等级,依据此安全度等级,选择合适的安全系统技术和配置方式。
目前,我国对于生产装置的安全度等级的划分尚没有设计规范和标准,在应用中应该参照国际上的有关标准,参比同类装置已经采用的ESD运行情况,结合本企业的生产实际情况,来确定采用ESD的安全等级要求。根据经验,石化装置一般采用的ESD安全等级为SIL3,即TÜVAK5AK6

(2)
紧急停车系统必须是故障安全型
故障安全指ESD系统在故障时使得生产装置按已知预定方式进入安全状态,从而可以避免由于ESD自身故障或因停电,停气而使生产装置处于危险状态。

(3)
紧急停车系统必须是容错系统
容错是指系统在一个或多个元件出现故障时,系统仍能继续运行的能力。一个容错系统应该具有以下的功能:A)检测出发生故障的元件。B)报告操作人员何处发生故障。C)即使存在故障,系统依然能够持续正常运行。D)检测出系统是否已被修理恢复常态。
容错系统不同于一般的双机热备份系统。一般的双机热备份系统仅仅是模块或总线上的简单的双热备,一旦输入模块出现了故障,处理器模块也有一块出现了故障,这时系统可能因此而瘫痪;但是具有容错功能的系统,除了在模块、总线、通讯上有冗余设计之外,还具有自诊断功能,能准确识别各部件的故障,并对任何故障能进行补偿。(如:对故障部件的信号强制为指定状态)
在选择容错系统时有两个方面需要考虑:

系统是软件容错还是硬件容错
为实现容错,一种是在使用标准硬件的基础上用软件实现容错,即SIFT(软件实现容错);另一种认为软件是系统中最不可靠的部分,因此把软件的应用减少到最少,即用硬件实现容错(HIFT。在ESD系统中最明显的同原因故障(是指影响系统多处的故障)就是操作系统,HIFTSIFT最基本的区别就是为实现容错而需要的软件复杂程度不一样,只有软件的作用得到了限制,才能保证一定的安全水平。所以应该采用硬件实现系统容错。

容错系统结构的确定
在基于处理器的容错系统中大致可以分成两类系统,一类是双重冗余系统,另一类是三重冗余系统或三重模块冗余系统,它们的共同特点是都具有表决电路,但究竟选用哪类系统,又可由装置所要求安全性和可靠性(可用度)来决定。
可用度是基于导致系统的故障进行计算的,这故障有引起系统进入安全状态的故障(故障安全故障或显性故障)和引起系统进入危险状态的故障(故障危险故障或隐性故障),它是系统故障频度的度量。高可用度的重要性在于系统很少出现进入安全状态或危险状态的故障。高安全性的目标在于避免故障的发生,即使系统出现故障时也不会出现灾难性的事故。一个理想的紧急停车系统应该兼顾安全性和可用性的要求。
A
双重冗余系统
双重冗余系统提供了第二条信号线路,并在两条信号线路之间提供某种表决格式。一般采用的表决原则有1OO2(双通道21表决)和2OO2(双通道22表决)。
双通道21表决,在此系统中,任何一个通道的故障将导致系统误动作,构成或逻辑。由于两通道均可导致系统停车,因此其安全性高(隐性故障率低),但误停车率高(显性故障率高)。
双通道22表决,在此系统中,必须两个通道同时故障才导致系统误动作,构成与逻辑。由于需要两个一致才可以停车,因此误停车率低(显性故障率低),如果22系统的某一通道中存在隐性故障,则有可能引起系统的失效,导致危险发生(隐性故障率高),因此22表决系统安全性低。
由此可见虽然双重冗余系统提供了一定程度的容错功能,但由于系统具有公用的切换部分(这是导致系统同原因故障的最大隐患环节),会使得系统可靠性大打折扣。再者其系统无论采用1OO22OO2表决原则,都不能同时兼顾安全性和可用性的要求。
B
三重冗余系统或三重模块冗余系统
在三重冗余系统或三重模块冗余系统中,系统采用的表决原则都是2OO3(通道32表决),在此系统中,任何两个通道的故障将导致系统误动作,其逻辑图见图1

AND

 

AND

 

AND

 

OR

1
2OO3
表决的逻辑图

32表决原则意味着出现单个故障的元件不会导致误停车或危险的发生,兼顾了可用性与安全性的要求。
在三重模块冗余系统中是通过多重模块实现容错的,而三重冗余系统是采用一个模块中的多重电路实现容错的,由于把电路组合在一块卡或模块上增加了潜在的同原因故障,所以系统设计不应采用此种方案。较好的设计就是不论处理器还是输入输出都采用模块设计,使同原因故障减到最少。
综上所述,采用了三重化模块冗余技术和硬件实现容错,并进行32表决逻辑控制运算的紧急停车系统,是最优的选择。同时若将现场重要的检测点改为用3台变送器同时测量,将32表决逻辑运算从微处理器一直前推到检测点,会从根本上保证系统的安全性和可用性。

(4)
其它注意的问题

ESD
选用的PLC一定是有安全证书的PLC

应该充分考虑系统扫描时间,1ms可运行1000个梯形逻辑。

系统必须易于组态并具有在线修改组态的功能。

系统必须易于维护和查找故障并具有自诊断功能。

系统必须可与DCS及其它计算机系统通讯。

系统必须有硬件和软件的权限人保护。

系统必须有提供第一次事故记录(SOE)的功能。
3
相关仪表的选型原则

(1)
独立设置原则
为使ESD免受其他关联设备的影响,现场仪表设计时应遵循独立设置原则,从检测元件到执行元件尽量采用专用设备或仪表。

检测元件
液位开关和压力开关单独设置;既做控制又做联锁的温度检测点用一块双支热电偶;既做控制又做联锁的流量检测点用一块孔板加两台变送器。

执行器
在停电,停气时能自动回到使生产过程处于安全状态的位置;电磁阀宜选用单控型,应带有阀位开关,以确认阀位;联锁阀一般不设手轮;电磁阀离控制室较远时,其电源最好选用220VAC

(2)
中间环节最少原则
回路中仪表越多可靠性越差,典型情况是本安回路的应用。在石化装置中,防爆区域在0区的很少,因此可尽量采用隔爆型仪表,减少由于安全栅而产生的故障源,减少误停车。
(3)
故障安全原则
意味着现场仪表出现故障时,ESD能使装置处于安全状态。现场仪表采用何种故障安全配置回路,由发生的主要故障来决定的。

检测元件
对于一个压力开关,如果确定断电或断线为主要故障,则可确定正常情况下,触点闭合为故障安全型,事故状态时触点断开,产生报警或联锁。这种情况下,如果要求压力超高报警联锁,采用常闭触点,工艺超压时为事故状态,压力开关的常闭触点断开产生报警或联锁。同样情况下,采用同一压力开关,如果要求压力超低报警联锁,则应采用常开触点,工艺过程正常时,压力高于低限,触点是闭合的,当工艺过程压力低于联锁设定值时为事故状态,压力开关的常开触点断开产生报警或联锁。
同样以压力开关为例,如果确定触点粘连为主要故障,则与以上情况相反,可确定正常情况下,触点断开为故障安全型,事故状态时触点闭合,产生报警或联锁。压力开关的应用也与以上情况相反。

执行元件
对以电磁阀为执行机构的来说,ESD的输出接点经导线向现场电磁阀供电。对不同的故障因素,故障安全型的结构不一样。
如果确定断电或断线为主要故障,则可确定正常情况下,输出接点闭合为故障安全型,向电磁阀供电。事故状态时输出接点断开,电磁阀断电,执行机构动作,发生工艺联锁。这种情况下,ESD输出接点采用常闭触点(即正常时ESD输出为1,故障时输出为0)。
如果确定触点粘连或弹簧损坏为主要故障,则情况相反,可确定正常情况下,输出接点断开为故障安全型,不向电磁阀供电。事故状态时输出接点闭合,电磁阀通电,执行机构动作,发生工艺联锁。这种情况下,ESD输出接点采用常开触点(即正常时ESD输出为0,故障时输出为1)。

送往电器配电室用以开 / 停电机的接点信号用中间继电器隔离,其励磁电路设计成故障安全型。即启动信号一般为常开触点,而停机信号,对于小容量电机一般为常闭触点,对于大容量电机一般为常开触点。
4
ESD
系统的典型逻辑关系
(1)
逻辑运算关系
ESD
系统的功能是由逻辑运算实现的,在PLC中是由软件实现的,一般采用布尔代数运算。输入信号对输出的影响,或者说输出对输入信号的响应,即原因导致结果,这就是联锁逻辑关系。

(2)
对触发联锁结果的处理
因为石油化工装置的很多工艺过程的安全联锁过程,不是随意可逆的,为了防止工艺过程不能按正常顺序或意外地恢复或启动,再次形成事故,所以当ESD动作后,输入信号恢复到正常值时,系统不应回到正常状态,应继续保持联锁结果,待操作员确认系统正常后,由人工复位使系统恢复正常。
联锁切除(Cut,切除一部分联锁)、自动联锁(Auto)、人工联锁(Manual)的实现可以采用一个三位开关或两个两位开关。如果用三位开关,则中间位置应为自动位置,两边分别为联锁切除和人工联锁。而采用两个两位开关时,应该一个开关用于联锁切除,其位置为联锁切除和正常,另一个开关用于自动联锁和人工联锁。由于两个两位开关功能分开互不影响,所以此方案较好一些。
当然,也有一些工艺过程的安全联锁动作是可逆过程,其安全联锁不需要设置自锁功能,系统在过程恢复正常时,是自动回到正常状态的,也就是没有人工恢复过程。
(3)
联锁阀的双重确认
在某些装置中一些联锁阀在联锁时关闭后的重新开启,除了在辅助操作台进行确认以外(硬复位),为了安全还需操作人员在操作画面上进行确认(软复位),即联锁阀的双重确认。
例如在重油催化裂化装置中,应工艺的要求,烟气蝶阀、烟气闸阀和主风进口止回阀应采用双重确认,即在主风机复位后,由操作员界面再次确认后方可开阀。

5
ESD
系统的工程应用
ESD的工程应用中,首先应在工艺分析的基础之上确定控制方案,然后利用组态软件进行系统组态和控制程序的设计,最后对编译好的组态程序下装,进行在线的调试正常后,就可将系统投入使用了。
下面对ESD系统工程应用中的两个主要部分加以说明。

(1)
ESD
系统的组态
ESD
系统组态的主要内容是系统参数设置,硬件配置和通讯通道的连接。控制程序的设计主要是利用硬件厂商提供的编程软件进行逻辑描述,只要拖、选中各种逻辑门或触发器,进行有机连接就可实现联锁功能。其一般步骤包括:
首先确定工艺正常时联锁输入,联锁输出采用常开触点,还是常闭触点,即联锁输入,联锁输出逻辑值为0还是1(开关量触点闭合,逻辑值为1;开关量触点断开,逻辑值为0。此时现场开关量仪表有可能接常开触点或常闭触点)。一般习惯规定工艺正常时联锁输入、联锁输出值为1,即联锁输入、联锁输出正常时为1,联锁输入值变为0时达到自动联锁条件,联锁输出值变为0时启动自动联锁。如果有多个联锁输入,其中任意一个达到自动联锁条件时,启动自动联锁,则联锁输入应采用与门联接。要特别注意的是:工艺正常时常开触点(0)或常闭触点(1)与继电器的常开触点或常闭触点并非完全相同。失电状态下断开的继电器触点为继电器常开触点,失电状态下闭合的继电器触点为继电器常闭触点。
依据控制方案,由真值表或因果图设计信号逻辑关系,并采用逻辑代数的方法进行化简,列出表达式,按表达式绘出逻辑图。

根据绘出的逻辑图,用硬件厂商提供的编程软件进行逻辑图的描述,即进行离线程序的开发。硬件厂商提供的编程软件一般都要遵守可编程控制器的IEC1131-3国际标准,支持包括梯形图、顺序功能图、功能块图、结构化文本、指令表以及第三方编程器在内的多种编程语言和方法。
(2)
在线程序的调试
程序在线的调试对于检验系统组态和控制程序的正确与否,起着关键的作用,其调试的具体内容包括:

联锁的再次确认
由工艺、设备和自控专业技术人员,讨论联锁设置是否正确,根据工艺设备的要求,再次对联锁条件进行确认。

对系统的输入、输出值进行检查核对
观察卡件诊断图上有无显示输入、输出开路的现象。如有,应检查输入、输出与现场仪表是否连接好,现场仪表接线是否正确。
对于模拟量输入,断开现场仪表接线,从现场加相应信号,检查对应位号显示是否正确,并根据文件核对仪表量程;对于数字量开关输入信号,使其闭合和断开,观察其状态是否正确。而对于压力开关或液位开关等,要使用专用仪器,使其处于正常工况和异常工况,来检查开关的动作值与设计是否相符。对于辅助操作台的硬开关和按钮以及操作画面上的软开关和按钮,都应一一核对其所处位置与组态定义的是否一致;对于数字量开关输出信号,应将其强制为逻辑1或逻辑0,观察系统卡件相应通道指示灯或继电器指示灯指示的是否正确。(一般逻辑1时指示灯亮,逻辑0时指示灯灭)。

联锁的调试
依据联锁图,人为操作使联锁条件满足(注意做到使每个联锁条件分别满足),激发联锁回路动作,检查联锁输出状态是否正确,检查现场各个执行机构动作是否灵敏,位置是否正确。
将可能出现的各种条件都予以考虑,形成各种条件组合,作为联锁激发条件,检查联锁回路动作是否正确。

联锁画面检查
由工艺专业技术人员仔细检查工艺流程有无错误,设备名称、工艺管线,物料等标注是否正确,联锁画面的翻页,切换和调用是否方便。
由自控专业技术人员检查联锁画面中的软开关和按钮动作是否正确,显示数据,图中的色变是否正确,设备的开停状态和电磁阀的开关状态显示是否正确。

检查第一事故记录(SOE)的功能
SOE
Sequence of Event)是系统专门对事件的发生情况进行记录的事件程序,它使得操作员在联锁动作以后,可以方便的找到第一事件的记录,为进一步查找故障原因提供方便。
在调试过程中,可以人为改变DIDO信号的逻辑值,然后在SOE程序中查看是否正确记录即可。

组态数据库的保存
在调试完成后,应该将控制器中的组态数据库文件及时进行转存,并标注转存时间,以便以后进行恢复或继续修改,避免因各种原因造成组态数据库文件丢失,未及时转存则工作徒劳。

1楼 0 0 回复