品牌 | 各种品牌 |
---|---|
型号 | 各种型号 |
ESD系统(Emergency Shutdown System)
ESD紧急停车系统按照安全独立原则要求,独立于DCS集散控制系统,其安全级别高于DCS。在正常情况下,ESD系统是处于静态的,不需要人为干预。作为安全保护系统,凌驾于生产过程控制之上,实时在线监测装置的安全性。只有当生产装置出现紧急情况时,不需要经过DCS系统,而直接由ESD发出安全联锁信号,对现场设备进行安全保护,避免危险扩散造成巨大损失。
连续控制功能由DCS实现,安全联锁保护功能由ESD来实现。在应用上按照安全、独立的原则ESD必须与DCS分开设置, 其原因:
① 降低控制功能和安全功能同时失效的概率,当维护DCS部分故障时也不会危及安全保护系统。
② ESD的响应速度越快越有利于保护设备,避免事故扩大,也有利于分辨事故原因的记录而DCS要处理大量过程监测信息,难以快速响应。
③ DCS是过程控制系统,是动态的,需人工频繁干预,这会引起人为误操作;而ESD是静态的,不需要人为干预,避免人为误操作。
1.西门子PCS7
安全等级:SIL2或SIL3
2.罗克韦尔Contrologix
安全等级:SIL2
3.横河Prosafe-RS
安全等级:SIL3
ESD介绍**节 ESD简介
一、什么是ESD?为什么要用ESD?
ESD是英文Emergency Shutdown Device紧急停车系统的缩写。这种专用的安全保护系统。是90年代发展起来的,以它的高可靠性和灵活性而受到一致好评。ESD紧急停车系统按照安全独立原则要求,独立于DCS集散控制系统,其安全级别高于DCS。在正常情况下,ESD系统是处于静态的,不需要人为干预。作为安全保护系统,凌驾于生产过程控制之上,实时在线监测装置的安全性。只有当生产装置出现紧急情况时,不需要经过DCS系统,而直接由ESD发出保护联锁信号,对现场设备进行安全保护,避免危险扩散造成巨大损失。据有关资料显示,当人在危险时刻的判断和操作往往是滞后的、不可靠的,当操作人员面临生命危险时,要在60s内做出反应,错误决策的概率高达99.9%。因此设置独立于控制系统的安全联锁是十分有必要的,这是作好安全生产的重要准则。该动则动,不该动则不动,这是ESD系统的一个显著特点。
为何要独立设置ESD系统呢?当然一般安全联锁保护功能也可由DCS来实现。但是对于较大规模的紧急停车系统应按照安全独立原则与DCS分开设置,这样做主要有以下几方面原因:
(1)降低控制功能和安全功能同时失效的概率,当维护DCS部分故障时也不会危及安全保护系统;
(2)对于大型装置或旋转机械设备而言,紧急停车系统响应速度越快越好。这有利于保护设备,避免事故扩大;并有利于分辨事故原因记录。而DCS处理大量过程监测信息,因此其响应速度难以作得很快;
(3)DCS系统是过程控制系统,是动态的,需要人工频繁的干预,这有可能引起人为误动作;而ESD是静态的,不需要人为干预,这样设置ESD可以避免人为误动作。
ESD现在应用的越来越多了,在控制系统中已经独立于DCS。现在ESD的国外厂商在国内有应用的有,HIMA公司的PES,TRICONEX(TROCON),HONEYWELL公司的FCS(原P F公司产品),ICS 公司的TRUSTED ,GE 公司的GMR,ABB 公司的TRIGUARD
SC300E,YOKOGAWA公司的ProSafe-PLC。以上七家厂商的产品已经占90%以上的市场了。其中HIMA,TRICONEX,ICS专业做安全控制的厂商,其它几家是老牌的DCS的厂商,因为ESD的市场逐渐成熟,也推出了自己的产品。其中还有EMERSON**产品的成熟度和市场份额来说,HIMA和TRICONEX是这个行业的双雄,两家各自代表了ESD产品的两种设计理念。
二、安全及安全要求等级
安全是指人或物在一定环境中不发生危险与不受到损害的状态,而安全性是表明人或物在一个环境中对危险的损伤所能承受的**大能力。
安全性**终目标是避免事故的发生,为达到此目的,对产品我国有“3C”
(China Compulsory Certification)市场准入强制性认证制度(包括产品安全性及电磁兼容、环境保护等方面);对工业装置的自动化系统中设置了安全保护控制系统(以下简称安全系统),并对其设置与整个生产装置的安全要求等级进行了规定。ISA美国仪表学会称安全系统为安全仪表系统(Safety Instrument System, SIS),对应ISA-S84.01标准,IEC国际电工委员会称安全要求等级为“安全完整性等级”(Safety Integrity Levels, SIL),对应IEC61508标准。目前国内尚无**标准,石化行业有相关的设计导则:石油化工紧急停车及安全联锁系统设计导则(SHB-Z06-1999),采用IEC的SIL概念。
在石油化工、火力发电、钢铁和有色金属冶炼等行业设备选用设计安全系统时,都有危险性分析和可操作性分析,要求各种运行参数在工程设计规范内,如果超过此范围,则表示不安全,需要安全系统发挥作用;又在正常范围内允许控制系统手自动切换和手动操作,但操作人员某些重大失误也可能造成不安全,为了克服人为的不安全因素,安全系统应从一般控制系统分离出来;装置周围环境如发生火灾或可燃性气体、有毒气体导致影响设备安全和人身安全时,也需要安全系统发挥作用,所以研究安全要求等级划分问题很重要。
当人们均衡利害关系,认为所从事活动的危险程度可以接受时,则这种活动状态是安全的,这种危险程度对应的风险度**成为安全指标。
风险度:单位时间内系统可能接受的损失,包括财产损失、人员伤亡、工作损失和环境损失。计算风险度R(损失/时间)是以系统存在的危险因素为基础的,测算系统可能发生的事故概率P(次/时间)及一旦发生事故可能造成的损失S(损失/次)**可得出R=PS。风险度大,即风险大,危险程度高。
安全指标:是指人们能接受的风险度。安全指标是对某一种职业活动或某一系统运行风险**高容许限度。安全指标有多种表示方法。
IEC安全要求等级分为4级,安全性能由低到高为SIL1、SIL2、SIL3、SIL4。美国对SIL4只承认其存在,标准中不包括在SIL4要求下如何实施安全系统的内容。德国DIN V 19250及DIN V VDE0804对安全要求等级(Safety Requirement Classes)分为8级,安全要求从低到高为AK1~AK8,由于其产生较早,故被很多工程采用,对应各标准的安全等级对比如表所示。1个定义故障不会引发危险性事故的要求,对应AK1;1个故障不会引发危险性事故的要求,对应AK2;两个及两个以下故障组合不会引发危险性事故的要求,对应AK3、AK4;3个及3个以下的故障组合不会引发危险性事故的要求,对应AK5;无论何时发生故障,任何故障的组合均不会引发危险性事故的要求,对应AK6。AK7、AK8对应特殊考虑的安全要求。
由于工业应用场合工艺和生产设备特点不同,潜在危险不同,在发生危险结果之前的安全时间不同,此外还要考虑到实际事故发生的可能性及防止其发生可能性的结合,可以确定其风险等级。风险等级越高,则安全要求等级越高。DIN标准给出风险图(图1),可以帮助确定实际工艺装置应用场合的安全要求等级。图1中有S、A、G、W四级危险参数,现分别说明如下:
估计危险损害度S,其中S0:轻度损害,无人员伤亡;S1:中度损害,人员轻伤;S2:重度损害,1人或多人重伤,包括1个死亡的情况;S3:严重损害,多人死亡或众多人员重伤;S4:灾难性事故,众多人员死亡。
危险区域内人员存在的可能性A,其中A1:人员偶尔存在或不固定的短期存在;A2:经常或始终有人存在。
短时间内防止危险发生的可能性G,其中G1:在某些情况下是可能的;G2:几乎是不可能的。
不考虑安装安全系统出现危险事故的可能性W,其中W1:非常低;W2:低;W3:相对较高。
大多数使用安全系统的工业应用场合属于AK4~AK6级,其中一般锅炉、加热炉为4级,石化、化工为AK5级,涉及到人身安全要求等级的场合很少,要特殊考虑。
三、设计选用原则
为了保证生产安全运行,根据具体要求对安全保护控制系统的设计选型工作是非常重要的。按上节安全要求等级标准及风险图,让实际生产装置对号入座,从而确定选用哪一类的安全系统。由图1可知,安全系统应分如下几类,即ü监视设备、满足安全要求等级AK1~AK4的Z-1、满足安全要求等级AK1~AK5的Z-2、满足安全要求等级AK1~AK6的Z-3及安全要求等级AK7~AK8的需要特殊考虑的等共5类。如ü监视设备的功能由一般控制系统(如DCS)实现,则安全控制系统分为4类。
对安全系统本身都有哪些要求?总的来说有两方面,一是系统本身要具有高度的可靠性和可用性;另一方面**是要具有实时和快速丰富的逻辑运算功能,可满足安全保护及故障记录(SOE)的各项要求。具体的如能做到使整个工艺装置在安全时间内完成一系列开车、停车、局部停车、联锁动作、自动处理紧急事故的各种任务,同时还要做到停车次数减少,连续运行时间延长,取得“经济损失少”的效果。至于安全系统本身硬件元件的先进性、独立性和系统结构的冗余性、中间环节**少原则、机械结构和配线合理、适应苛刻环境及做到故障安全型的软件设计(如非励磁停车设计)等项均是安全系统分类原则。另外安全系统除控制部分外,还有现场检测仪表和执行器两部分也需满足上述两方面要求。现代安全系统还须有与主控系统(DCS等)或全厂信息系统的数据通信能力,其数据应即时传输给主控系统和全厂调度中心。
安全系统的发展,按硬件构成分有继电器型、硬接线固态电路型和可编程微机安全系统3个阶段。目前前两种只在逻辑不复杂、安全要求不高的小系统中使用。绝大多数场合采用可编程微机安全系统,只在安全要求不高的场合采用PLC可编程序控制器或在DCS系统内部完成安全联锁保护功能。安全系统分Z-1、Z-2、Z-3三类。
Z-1类的安全系统可用性“一般”,一个中央CPU模块通过单总线与I/O模块相连,它与普通PLC不同之处为通过中央CPU的自我测试以及采用可测试I/O模块、失效时输出保证安全状态等满足系统安全要求。
Z-2类的安全系统可用性“较高”,中央CPU模块冗余,其他与Z-1相同,这样允许一个CPU模块出故障,另一个CPU模块维持正常工作,这样可以在AK5级安全要求等级以下的场合,维持72h之内。
Z-3类的安全系统可用性“很高”,结构为全冗余,即CPU模块、总线、I/O模块均双重化,在AK6级安全要求等级的场合,允许单通道操作时间不超过1h,即在此期间内将出故障的模块更换掉,即可保证生产不中断。
综上所述,除专业生产厂生产的安全系统外,只有能满足上述要求的经过安全论证的PLC系统,才能作为安全系统使用。
对于安全要求等级AK7、AK8级的应用场合选用的安全系统,还要考虑双重化冗余系统中两者比较结果不一致又无法判断谁对谁错时的情况,应采用三重模件冗余(TMR)方式,系统根据少数服从多数原则,即“3中取2”表决方式,如两模件为“ON”,一模件的结果为“OFF”,则系统取“ON”状态。另外系统还应具有容错性,采用故障容错辅助软件技术(SIFT),做到在本系统某部分出现故障时,系统可继续工作。
实际安全系统中冗余和容错的程度多种方案与价格关系很大,所以应按应用场所安全要求等级选取不同类别专业厂家生产的安全系统。