何貫亞

摘 要：為確保化工裝置生產(chǎn)過程的安全，安全儀表系統(tǒng)已越來越多地得到重視并應(yīng)用。安全儀表系統(tǒng)（SIS）既可以自動也可以人工手動使設(shè)備或工藝過程緊急停車，并且任何一種停車方式都不會損壞設(shè)備或造成人員傷害。本文介紹了HIMA安全儀表系統(tǒng)在醋酸乙烯裝置上的應(yīng)用。

關(guān)鍵詞：化工 HIMA SIS安全儀表系統(tǒng) QMR四重化結(jié)構(gòu)

中圖分類號：TP273 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2014）01（c）-0116-02

1 項目概述

國電中國石化寧夏能源化工有限公司新建45萬噸年醋酸乙烯裝置由中石化寧波設(shè)計院設(shè)計，醋酸乙烯裝置生產(chǎn)規(guī)模為目前國內(nèi)單套最大，采用電石乙炔法來合成醋酸乙烯，原料乙炔經(jīng)大型羅茨風(fēng)機(jī)壓送與原料醋酸蒸汽混合，在適當(dāng)?shù)臈l件下進(jìn)行反應(yīng)得到醋酸乙烯。該裝置為易燃易爆、高度危險、連續(xù)生產(chǎn)的重要化工裝置，采用德國HIMA公司的H51q安全儀表系統(tǒng)。

2 HIMA安全儀表系統(tǒng)簡介

2.1 系統(tǒng)特點

HIMA的H51q-HRS系統(tǒng)為CPU四重化結(jié)構(gòu)（QMR），即系統(tǒng)的中央控制單元CPU共有四個微處理器，4個微處理器CPU同時工作。中央處理單元（CU）共有兩塊CPU 卡，每兩個微處理器CPU安裝在一塊CPU卡上，通過一個硬件比較器以納秒極的速度進(jìn)行連續(xù)的互相檢測，一塊CPU卡即可滿足安全等級AK6/SIL3，1oo2D的雙重化結(jié)構(gòu)。兩個中央處理單元（CU）既同時工作，又相互獨立，兩個中央處理單元（CU）之間的通訊由高速雙重RAM接口（DPR）來完成。從輸入模塊經(jīng)中央處理單元到輸出模塊，完全是四重化的，每個輸入模塊將讀入的過程數(shù)據(jù)送到中央處理單元的四個微處理器，四個微處理器CPU利用DRP進(jìn)行通訊而達(dá)到同步，每兩個微處理器CPU對其數(shù)字輸出數(shù)據(jù)進(jìn)行正、反向存儲和比較，并將最后計算的結(jié)果送到輸出模塊。若其中一中央處理單元（CU）故障切除后，另一中央處理單元（CU）繼續(xù)工作，CPU由2004D 功能轉(zhuǎn)化為1002D功能。

采用雙1oo2D結(jié)構(gòu)，即2oo4/QMR結(jié)構(gòu) （Quadruple Modular Redundant）的目的是為用戶提供最大的實用性（可用性），其容錯功能使得系統(tǒng)中任何一個部件發(fā)生故障，均不影響系統(tǒng)的正常運行。與傳統(tǒng)的三重化結(jié)構(gòu)相比，它的容錯功能更加完善。

H51q系統(tǒng)為模塊化的結(jié)構(gòu)，所有SIS卡件滿足G3（ANSI/ISA-S71.04-1985）標(biāo)準(zhǔn)。

2.2 系統(tǒng)的安全性和可用性

HIMA的SIS系統(tǒng)，既可達(dá)到AK6的安全等級要求（DINV19250），又能滿足非常高的可用性的需要。根據(jù)安全性和可用性的需要，HIMA的SIS不僅在中央設(shè)備而且在I/O級上，均可提供單的或冗余的設(shè)備配置。冗余配置增加了系統(tǒng)可用性，當(dāng)其中一個模件發(fā)生故障時將被自動切除，它所對應(yīng)的另一個冗余模件將保持工作，對工藝過程無任何擾動。

2.3 系統(tǒng)的診斷功能

HIMA SIS系統(tǒng)采用冗余容錯2oo4D技術(shù)，輸入/輸出模塊和中央處理器模塊都具有內(nèi)部故障自診斷功能，并能檢測內(nèi)部接點的通斷故障。輸出模塊的自診斷應(yīng)帶回路監(jiān)督功能，整個系統(tǒng)及部件是故障安全型，系統(tǒng)所有模件1∶1冗余配置，確保在不間斷控制的前提下，在線更換各類故障模件。

HIMA的自診斷技術(shù)可在一個掃描周期內(nèi)對系統(tǒng)的全部硬件進(jìn)行100%診斷，包括中央單元、I/O模塊、I/O總線、數(shù)據(jù)通訊及電源系統(tǒng)等所有可能的潛在故障點，一旦故障發(fā)生，CPU和I/O卡件的故障信息均可以4位字符顯示在CU的信息窗以及系統(tǒng)的工作站上，例如，機(jī)柜號、I/O卡件的機(jī)架號、I/O槽路號等。自動按時間順序在工程師站上顯示故障地址、物理位置和性質(zhì)，或通訊給DCS系統(tǒng)進(jìn)行故障顯示，以聲光提醒操作人員，以便維護(hù)人員得知故障所在，并替換相應(yīng)的I/O卡件，同時存儲和打印診斷信息。

在系統(tǒng)內(nèi)部發(fā)生故障的情況下，系統(tǒng)可通過一個獨立于中央單元處理器之外，擁有更高優(yōu)先級的看門狗（watchdog）硬電路發(fā)出安全停車信號，并通過獨立于DO模件輸出通道之外的輸出元器件輸出到現(xiàn)場，從而使生產(chǎn)裝置處于安全狀態(tài)。

watchdog信號不僅可以實現(xiàn)控制器故障時的切換，而且watchdog信號還在主機(jī)架的背板輸出并連接到其他I/O機(jī)架，使每個機(jī)架內(nèi)的輸出模件都可以引入“看門狗”計時器信號，當(dāng)CPU內(nèi)部故障時令所有輸出模件各通道切換到關(guān)狀態(tài)，與安全相關(guān)的工藝設(shè)備被快速關(guān)斷，保證了系統(tǒng)的安全。watchdog信號的存在以及被引入到每一個I/O機(jī)架這一形式是HIMA安全儀表系統(tǒng)與普通PLC的重要區(qū)別之一。

2.4 一體化安全停車功能

在HIMA安全系統(tǒng)中，一體化安全停車被分為三個級別：

安全組切除：類似于控制系統(tǒng)中的“控制域”的概念，不相關(guān)裝置的信號被分在不同的安全組中，一個安全組的硬件故障僅僅造成相關(guān)安全組被切除，不會使問題擴(kuò)大化。

部分功能切除：在QMR結(jié)構(gòu)下，如果一個中央單元（CU）或一條I/O總線或一塊I/O模件或一條看門狗（watchdog）電路出現(xiàn)故障，系統(tǒng)僅僅切除有故障的部分，其余部分還是平穩(wěn)運行，不受影響，安全等級也不會降低?，F(xiàn)場并不會停車，還是正常運行。

整體安全停車：假如兩個中央單元或兩條I/O總線或兩塊冗余的I/O模件均出現(xiàn)故障，超出了QMR結(jié)構(gòu)的兩級容錯功能。系統(tǒng)會通過DO通道中獨立的第三方輸出元件使現(xiàn)場停車，達(dá)到一個安全的狀態(tài)。

2.5 系統(tǒng)軟件ELOP II

工程師站使用HIMA專用編程組態(tài)軟件ELOP-II，對HIMA系統(tǒng)進(jìn)行組態(tài)、監(jiān)視、操作和文檔管理、用戶程序輸入，且把它編譯成機(jī)器碼，這些工作可以在個人計算機(jī)上完成，而不需要連結(jié)SIS。

安全儀表系統(tǒng)的軟件操作系統(tǒng)都是以嵌入的方式直接集成到控制器中。在運行過程中，操作系統(tǒng)除了以循環(huán)掃描的形式來處理用戶程序外，還通過監(jiān)視程序的代碼版本號、運行版本號、數(shù)據(jù)版本號、區(qū)域代碼號的更改來保證程序的安全性。

ELOP II軟件包是符合IEC61131-3標(biāo)準(zhǔn)的工業(yè)化軟件包，提供標(biāo)準(zhǔn)功能塊語言進(jìn)行編程，可執(zhí)行邏輯運算、PID、順序控制等各種控制程序。軟件中還集成了源代碼比較器、目標(biāo)代碼比較器和經(jīng)過認(rèn)證的編譯器。這些工具在創(chuàng)建、下載和修改用戶程序過程中分別對源代碼和目標(biāo)代碼進(jìn)行測試并標(biāo)識出來，只有經(jīng)過測試的應(yīng)用程序才允許被下載到控制器中。

ELOP II軟件包的反向編譯功能允許在線修改，下裝程序，無須進(jìn)行下裝后的100%的逐點測試（此功能經(jīng)TV認(rèn)證），在線修改并自動下裝的次數(shù)無限制。完全可以滿足煉油、石化、天然氣等行業(yè)的，各類危險型裝置和各種設(shè)備的安全控制要求。

3 HIMA安全儀表系統(tǒng)在年產(chǎn)45萬噸醋酸乙烯裝置上的應(yīng)用

3.1 HIMA系統(tǒng)在本項目的應(yīng)用配置

國電中國石化寧夏能源化工有限公司45萬噸年醋酸乙烯裝置設(shè)置1套SIS系統(tǒng)用于醋酸乙烯裝置的安全聯(lián)鎖。SIS機(jī)柜設(shè)置在現(xiàn)場機(jī)柜間，SIS的操作站和工程師站設(shè)置在中央控制室，通過冗余光纜實現(xiàn)從現(xiàn)場機(jī)柜間到中央控制室的通訊。輔助操作臺上的按鈕、開關(guān)信號采用硬接線實現(xiàn)輔助操作臺與醋酸乙烯裝置機(jī)柜間SIS系統(tǒng)的安全信號傳輸。

HIMA系統(tǒng)采用了雙系列并列運行的冗余方式。在其運行狀態(tài)下，隨時可以拔取并且更換故障的卡件（包括CU、電源、通訊、I/O卡等）。由于沒有通常系統(tǒng)中更換卡件時的切換以及數(shù)據(jù)導(dǎo)入過程，因此也就避免了切換過程可能帶來的擾動，是真正意義上的“熱插拔”系統(tǒng)。

3.2 工程師站兼SOE站

設(shè)置有1臺操作員工作站和2臺工程師站（1臺安裝在機(jī)柜間，1臺在中控室）。其中中控室工程師站兼具有SOE功能的工程師站，可用于SIS系統(tǒng)軟件的離線或在線組態(tài)，并且可離線模擬調(diào)試。SOE站用于在線記錄系統(tǒng)的各類報警及動作事件，配備整套順序事件記錄的軟件為Control Maestro-logline，順序事件記錄的時間分辨率為不大于10 ms，記錄的數(shù)據(jù)總數(shù)大于100，000條。

3.3 操作站

在中央控制室內(nèi)配備1臺SIS系統(tǒng)操作站，通過冗余以太網(wǎng)通訊方式與HIMA系統(tǒng)進(jìn)行數(shù)據(jù)通訊，操作站軟件為CM-DEV，開發(fā)版，500點，可以提供多種級別的安全和管理機(jī)制。

3.4 打印機(jī)

配置2臺獨立打印機(jī)。

3.5 與DCS通訊

采用冗余的RS485接口（MODBUS協(xié)議）完成裝置的DCS進(jìn)行數(shù)據(jù)通訊。

3.6 系統(tǒng)網(wǎng)絡(luò)的構(gòu)成

HIMA的安全系統(tǒng)之間可以采用安全以太網(wǎng)（safeethernet）連接，HIMA是全球首家將將這種安全技術(shù)商業(yè)化的公司，系統(tǒng)間通訊采用了經(jīng)TüV認(rèn)證的HIPRO-S協(xié)議，構(gòu)成了滿足AK6/SIL3等級的安全以太網(wǎng)。采用F8627X 作為以太網(wǎng)通訊模塊，SIS系統(tǒng)控制器可以同時傳送安全相關(guān)的安全以太網(wǎng)數(shù)據(jù)和非安全相關(guān)的OPC協(xié)議數(shù)據(jù)，符合IEC802.3規(guī)程，10BaseT或100 BaseTX，RJ45口。

4 醋酸乙烯裝置主要安全聯(lián)鎖邏輯的實現(xiàn)

醋酸乙烯裝置合成單元每個列都有1臺10 kV大型羅茨風(fēng)機(jī)用于壓送原料乙炔，羅茨風(fēng)機(jī)屬于合成單元重要設(shè)備，隔音罩內(nèi)安裝有可燃性氣體檢測儀、測溫計、通風(fēng)機(jī)，乙炔氣極易爆炸，如裝置區(qū)內(nèi)出現(xiàn)乙炔泄露、燃燒、以及羅茨風(fēng)機(jī)、工藝異常超限等情況時應(yīng)采取緊急措施防止危險發(fā)生保證裝置安全。

4.1 10 kV羅茨風(fēng)機(jī)允許啟動聯(lián)鎖

啟動條件：（1）羅茨風(fēng)機(jī)可燃?xì)怏w濃度<25%LEL（AZT-055231/1，2，3經(jīng)2003輸出）；（2）風(fēng)機(jī)通風(fēng)機(jī)C055201/1，2，3均處于運行狀態(tài)；（3）羅茨風(fēng)機(jī)入口壓力>1.0 kPa（PZT-055273、PZT-055274均滿足條件）；（4）新乙炔入口壓力>3.0 kPa；（5）HV-055273（A～I(xiàn)）回流閥全開；（6）機(jī)封水流量≥2600 kg/h；以上條件均需滿足則羅茨風(fēng)機(jī)允許啟動。

4.2 10 kV羅茨風(fēng)機(jī)聯(lián)鎖停車

聯(lián)鎖條件：（1）SIS輔操臺羅茨風(fēng)機(jī)停止按鈕按下；（2）羅茨風(fēng)機(jī)入口壓力≤0.5 kPa（PZT-055273、PZT-055274均滿足條件）；（3）新乙炔入口壓力≤1.5 kPa；（4）羅茨風(fēng)機(jī)出口壓力≥55 kPa；（5）風(fēng)機(jī)通風(fēng)機(jī)C055201/1，2，3均處于非運行狀態(tài)；（6）機(jī)封水流量≥2600 kg/h；（7）羅茨風(fēng)機(jī)可燃?xì)怏w濃度≥60%LEL（AZT-055231/1，2，3經(jīng)2003輸出）；以上條件任一條件滿足則羅茨風(fēng)機(jī)聯(lián)鎖停車。

4.3 醋酸乙烯合成裝置緊急停車聯(lián)鎖

聯(lián)鎖條件：當(dāng)合成裝置緊停按鈕被按下（保持型）；聯(lián)鎖輸出：（1）乙炔閥關(guān)閉，不可調(diào)節(jié)；（2）氮氣閥打開；（3）循環(huán)氣開關(guān)閥打開；聯(lián)鎖復(fù)位后：（1）乙炔閥打開，可調(diào)節(jié)；（2）氮氣閥關(guān)閉；（3）循環(huán)氣開關(guān)閥關(guān)閉。

由于系統(tǒng)的邏輯設(shè)計是安全儀表系統(tǒng)邏輯運算的重要環(huán)節(jié)，邏輯設(shè)計的可用性對系統(tǒng)SIL級別影響至關(guān)重要，邏輯組態(tài)中采用的措施如下：（1）使用冗余輸入的運算邏輯，如檢測元件三重冗余配置的“三選二”邏輯形式，以滿足所要求的可用性；（2）根據(jù)工藝特點，對羅茨風(fēng)機(jī)啟停允許聯(lián)鎖、工藝相關(guān)聯(lián)鎖采用觸發(fā)器模塊，完成安全保護(hù)動作的觸發(fā)與復(fù)位，規(guī)避狀態(tài)保持的邏輯自鎖，實現(xiàn)安全保護(hù)動作；（3）根據(jù)工藝要求，設(shè)置靈活的旁路切除開關(guān)；（4）采用“故障-安全（fail-safe）”原則，為了體現(xiàn)出這一原則，邏輯組態(tài)應(yīng)采用“正邏輯”，同時與安全相關(guān)的輸出通道和就地執(zhí)行機(jī)構(gòu)的電磁閥在正常工況下應(yīng)處于帶電狀態(tài)，保證安全保護(hù)系統(tǒng)出現(xiàn)故障或滿足跳閘條件時，使工藝過程處于安全狀態(tài)。

5 結(jié)語

HIMA四重化結(jié)構(gòu)（QMR）冗余容錯安全儀表系統(tǒng)的硬件、軟件具有極高的安全性和可靠性，從而最大限度地保證了年產(chǎn)45萬噸醋酸乙烯裝置設(shè)備和人身安全，進(jìn)一步了提高企業(yè)效益和競爭力。

參考文獻(xiàn)

[1] HIMA H41qH51q系統(tǒng)手冊[Z].

[2] 曲濤.HIMA四重化結(jié)構(gòu)和PLANAR在高壓聚乙烯裝置中的應(yīng)用[J].河北化工，2008，8.

[3] HIMA安全控制系統(tǒng)在電廠FSSS中的應(yīng)用[Z].2010，12.