如何提高Tricon ESD系统在50万吨/年合成氨应用中的可靠性及可用性

2015-02-06 08:51李发林云南大为制氨有限公司云南曲靖655338
自动化博览 2015年4期
关键词:卡件空分仪表

李发林(云南大为制氨有限公司,云南 曲靖 655338)

如何提高Tricon ESD系统在50万吨/年合成氨应用中的可靠性及可用性

李发林(云南大为制氨有限公司,云南 曲靖 655338)

本文论述了生产装置在配套了Tricon三重冗余ESD系统、高性能仪表及仪表回路冗余结构等硬件配置,保证控制系统在高可靠性条件下,如何正确有序地维护系统,升级更新设备硬件及软件、设置ESD系统的逻辑算法及合理的人为干预信号处理过程,充分发挥ESD系统保安全的同时最大限度兼顾可用性,保证生产装置经济合理的长周期连续运行。

Tricon;三重冗余;生命周期;升级更新;合理的ESD逻辑算法;人为干预管理

1 引言

紧急停车系统ESD(Emergency Shutdown Systems),对电力、石化和化工等生产装置和设备可能发生的危险或不采取措施将继续恶化的状态进行及时响应和保护,使生产装置和设备进入一个预定义的安全停车工况,从而使危险降低到可以接受的最低程度,以保证人员、设备和生产装置的安全。紧急停车系统ESD对提高企业的经济效益、安全平稳、长周期地连续生产至关重要。

根据工业过程安全度的要求,用户可以选择取得相应认证的安全联锁系统,如何根据装置的特点,选择一个合适的安全联锁系统已成为安全联锁系统工程设计的关键。安全联锁系统设计的目的,首先要满足装置的安全度等级,衡量标准在于它能否达到故障概率PFD(Probability of Failure on Demand)要求,即在实现系统的安全功能上,为了达到装置的安全度等级,系统需具有高的可靠性;但片面追求系统的高可靠性可能会造成设备停车次数增多,降低系统的可用性。在大型化工生产中,由于生产的连续化程度极高,设备停车会造成重大的经济损失,这就要求系统既具有高可靠性,又有高可用性。但是,在应用中,除了通过配套合理的ESD系统结构、高性能仪表及仪表回路冗余结构等硬件配置,保证控制系统在高可靠性条件下,如何正确有序地系统维护,更新升级设备硬件及软件、设置ESD系统的逻辑算法及合理的人为干预信号处理过程,才能满足安全生产和操作的要求,又能使投资经济合理,同时最大限度地发挥ESD系统可靠性及可用性,使生产处于安全可控状态下长周期连续运行,已经是一个值得探讨并力争完善的应用课题。

2 生产装置ESD系统的配置及应用情况

笔者所在公司是采用2700吨/日投煤量的SHELL气化工艺单机炉配套单线合成联合装置生产50万吨/年合成氨的装置。根据同类装置安全运行数据库对照本装置所选择的工艺路线、所处的地理和气候、操作模式等诸多因素中的风险评估,对涉及ESD的监测仪表、回路及控制系统的安全等级要求达到SIL3,对照该要求我们选择了满足德国标准DIN V 19250要求的AK6级标准要求配置的美国TRICONNEX公司的Tricon系统,AK5-AK6级等同于IEC的Sil3级,此级要求配置的安全系统、现场检测、控制及执行元件,能对工厂的财产、全体员工的生命和整个社区的安全进行保护。

我公司50万吨/年合成氨装置于2007年投运3套Tricon系统,分别是SHELL煤气化ESD、合成联合装置汽轮压缩机组ITCC和林德空分ESD/ITCC(以下简称:气化ESD、合成ITCC、空分ESD/ ITCC)。3套Tricon系统配置如表1所示。3套系统放置于生产区中间的控制室内,装置所处地区年平均雷电天数69天,属于强雷暴区,而装置所处位置年平均雷电天数超过70天;经过5年多运行,系统本身的硬件安全性、可靠性非常优良,软件满足工艺控制的所有功能。但在生产区复杂的环境下,因机柜间通风、静电、雷电冲击、温度、湿度及腐蚀气体等影响下,积累的灰尘对系统设备造成短路、过热、腐蚀线路及元件等危害已经出现并导致各类型系统设备故障,系统设备经常处于故障报警状态下,健康状况已不在三重化冗余容错的安全状态下运行,可靠性及可用性已经降低。需要在应用现场综合处理,系统地对所有卡件、中间仪表、集成设备进行有序检查维护保养,最大限度屏蔽使用过程带入的系统风险。同时,因3套系统出于2005年不同时段不同设计院配套,导致2个应用维护难题:第一、气化ESD和合成ITCC的系统硬件版本为10.2,空分ESD/ITCC硬件版本为10.1,导致主控器3008不能全部通用;第二、2005年选型配置的系统部分设备型号到2013年已到制造商生命周期服务末期或者是停产期,要保证3个系统经济合理地保养维护更新设备,需要适时分析做系统硬件升级及版本同步处理。

表1 3套Tricon系统配置表

3 应用实践解决方案

采用三重化冗余的系统使用了3取2的表决,99%的诊断覆盖又实现了系统容错运行、可靠的在线维护性能;使系统的高可靠性和高可用性得到了有效的兼顾。 安全系统的可靠性等级实际上是一个动态的值,长期使用中会随着时间下降,在实践中有效地降低其下降的速度和定期提高及改善系统安全性,就是系统维护者的主要任务。

3.1 正确有序地维护系统

虽然Tricon系统具备极高的三重化冗余容错功能,增强系统设备自身的可靠性及可用性。但是要知道任何设备只要使用就必然会发生故障,就会损坏,不能过分依赖于设备本身的容错性能,而且,在运用过程中难免因为维护不当或者使用环境条件不佳导致设备本身的性能下降。

自2011年下半年起3套Tricon系统均出现少量3700A模拟量输入卡件某个通道中的1个LEG报警或几个通道的1个LEG报警,不过,因其硬件三重化冗余容错功能的设计,在故障报警状态下系统依然安全正确处理生产装置过程控制功能,未丢失控制点造成停车事故。而后,故障报警卡扩散到模拟量输出卡件3805E及数字量输入卡件3503E,所幸未造成停车事故(故障记录如图1、图2、图3所示)。

图1 空分ESD/ITCC中 C3S8L AI 3700A故障卡记录

图2 空分ESD/ITCC中C2S6R AO 3805E的第4通道故障记录

图3 气化ESD C2S7L AI 3700A的故障卡记录

至此,3套Tricon系统的健康状态已经开始下降,如果不及时分析处理有可能会出现超过Tricon系统自身故障安全运行模式的可控状态,出现Tricon系统硬件故障导致的停车事故。由于自3套Tricon系统投运4年以来并未发生过此类故障,在无维护经验情况下,公司的保养维护工作仅仅针对外围冗余供电及系统端子外的仪表回路设备进行常规检查维护,急需开展系统性的检测维护保养工作,于2012年2月请Tricon系统售后工程师按照Tricon系统的点检规程组织对3套ESD系统进行点检工作,发现如下问题:

(1)发现了诸多日常维护不当或漏检情况,如:热插拔卡件后坏卡并未及时拔出,供电、信号端子及接地等的紧固螺栓未紧固到位甚至是虚接,24VDC直流电负端乱接,冗余二极管损坏未及时发现且导致1路24VDC供电卡件受损使得输出电压不稳定,灰尘堆积严重,中央空调失效环境温度偏高。

(2)现场不具备检测条件而未周期性地对机架I/O通讯链路、主控器及输入输出卡件的通道及表决功能进行检测,此次检测发现空分ESD/ITCC的1个扩展机架I/O通讯链路已失效1路。

(3)发现系统受H2S和NH3等酸性气体腐蚀伤害等隐性危害存在,安装施工中存缺陷:3套系统机柜系统地及安全地有漏接及虚接,部分机柜系统地及安全地接地电阻均超过14Ω(Tricon系统接地电阻要求小于4Ω),接地电阻不均衡可能导致机柜间电位差,在雷击天气对Tricon系统设备造成冲击损伤;接地端子及信号线端子腐蚀氧化发黑严重,仪表回路用继电器腐蚀氧化发黑严重。

以上这些问题恰好就是导致3套Tricon系统设备故障率增加及影响设备使用寿命的因素。通过点检工作纠正及处理了所有维护保养缺陷后,我公司制定出规范的ESD系统维护检修规程,确定出以下3个步骤:

(1)根据3套Tricon系统故障发生率适时联系Tricon系统工程师开展全面ESD点检工作,找出系统设备隐患。

(2)确定规范的ESD维护保养规程。严格按照Tricon系统点检规程规范维护保养工作,屏蔽人为差异带入维护质量隐患;在每次停车检修期间均开展:冗余供电检测及进行必要的输出电压调整、各类接线端子加固(特别关注接地端子)、机柜机架清灰、易损件寿命件检查更新(如:电池、保险、继电器)等现场具备检测维护条件的工作。

(3)保持控制室空调设备正常运转,控制好环境温度;做好控制室电缆口及机柜进线口密封工作,各机柜采用仪表空气进行正压通风限制H2S和NH3等酸性气体的渗入。

3.2 升级设备硬件及软件

3.2.1 通过记录观察,确定特殊使用环境下,卡件的维修意义

3套Tricon系统在点检工作维护处理的基础上,虽然已明显降低Tricon系统设备的故障率,但由于3套Tricon系统长期处于高温、灰尘、不良接地及腐蚀气体环境内运行,已导致许多卡件设备的电子元器件可能受冲击产生老化损伤,卡件故障已成大概率事件,目前,只是短暂控制故障出现周期。表2所示是公司ESD系统设备状态及故障更换记录的典型代表,从统计数据可以看出,2007年投运的3块3700A卡件第一次故障位置与修复再使用出现的第二次故障位置并不相同。卡件暴露出更多不同位置的故障,说明这些卡件并不是维修质量问题,而是卡件的其它通道已经存在隐性损伤,只是还未达到损坏的程度,当再次投运起来后才暴露出其它通道的故障。

表2 ESD系统设备状态及故障更换记录

由此可见,由于装置现场环境的复杂性和未及时跟进正确的维护保养工作,使得第一批投运设备已经存在卡件设备的电子元器件受冲击产生老化损伤的隐患,使3套Tricon系统常处于故障安全模式下运行。需要开展批量卡件更新工作,以便有效防止Tricon系统设备故障导致危险停车事故的发生。

3.2.2 Tricon系统硬件生命周期、配套软件版本及使用环境对应高性价比的升级方案

公司3套Tricon系统硬件版本为2个,分别是10.1,10.2,导致主处理器3008不能全部通用,增加硬件备件成本,且硬件版本不同加重维护管理工作;Tricon系统每一个版本的推出是一个不断完善、优化系统功能的过程,版本升级,能保证系统内所有卡件版本兼容性,保持技术的先进性,有效提高系统安全性及可用性。我公司Tricon系统在用卡件类别生命周期对比如图4~图10所示:

图4 V9.6-V10.5主处理器3008

图5 TCM通讯卡 4351A

图6 4351A对应最新型号TCM 通讯卡4351B

图7 AI卡3700A

图8 3700A对应最新型号AI卡3721

图9 DO卡3664

图10 3664对应最新型号DO卡3625

综合以上我公司在用卡件系列的生命周期,对3套Tricon系统做如下升级处理:

(1)版本统一方案(如表3所示)

表3 升级版本分析对比

(2)分阶段整体更新

综合我公司现场运行状况,使得第一批投运设备已经存在卡件设备的电子元器件受冲击产生老化损伤的隐患,另从公司生产装置的特点可看出3套Tricon系统的重要程度,空分工序作为原料生产线之一,是整个生产装置各工序正常运行的必要条件,空分工序停车或减产将直接导致气化工序停车,气化工序停车直接导致合成联合装置停车。因此空分工序的稳定性,直接影响整套生产装置的稳定性及运行经济性。综合考虑,对空分工序ESD/ITCC系统进行升级更新改造,采用一套10.5版本对应最新硬件及软件成套更新,把空分ESD/ITCC系统的故障隐患一次消除,有效减少空分工序的停车或减产事故,更好地保证整套生产装置稳定长周期运行。而空分ESD/ITCC系统的旧设备则作为气化ESD及合成ITCC系统的备件,使老版本的硬件备件库存得到较好的保证。此外,气化ESD及合成ITCC系统已存在损伤隐患,需紧密观察气化ESD及合成ITCC系统在正确有序维护管理下的健康状况,适时采取分阶段对这2套系统开展10.5版本对应最新硬件及软件成套更新工作,梯队式更新,在保持Tricon系统拥有最佳使用性能的同时,兼顾老版本的硬件备件库存压力及备件供货成本(新型号产品供货期及成本比老型号产品供货期及成本优良)。

考虑生命周期的限制,4351A将于2014年4月停产,3700A于2009年1月开始已不在推荐销售,只在限定时间内提供技术支持,3664在2022年4开始退出市场,现已有对应最新型号DO卡3625。综合货期及成本,在保证系统内所有卡件版本兼容性,保持技术的先进性,有效提高系统安全性及可用性,空分ESD/ ITCC系统全套硬件更新后硬件版本如图11所示,软件版本统一定制为表3所示版本。

图11 空分ESD/ITCC全新更新后的配置

3.3 配置合理ESD系统逻辑算法及人为干预信号处理增强ESD系统可靠性及可用性

3.3.1 合理配置ESD系统的逻辑算法

采用适当的逻辑算法和信号处理方法,以机组轴系仪表的监测为例,在机组运行过程中,现场的轴系仪表是故障高发点。常出现由于轴振动、轴位移及温度异常造成误停车的事件,这种故障发生突然,没有预兆,往往给生产和操作带来很大影响。究其原因是由于轴系仪表的探头传感器前置放大器都在现场安装,易受环境温度和现场振动的影响,易受到干扰,使得信号瞬间漂移造成停车,但在ESD程序的设计中,可以借助系统本身丰富的逻辑功能和运算能力来避免干扰产生破坏。

目前,对同源信号测点的逻辑处理功能主流有4种逻辑功能配置,分别是1取1,2取1,2取2,3取2。笔者通过理论结合应用分析发现,1取1和2取1,对仪表可靠性要求高,仪表接线松动,仪表故障、可能引起联锁动作,发生误停车的显性故障,2取1比1取1可靠性较高一点。对同源信号进行2取2运算时,基于同样的故障不会同时同地发生的理论,只要有一个探头正常工作就不会发生误停车,这样可以在一定程度上避免单个信号异常出现误报警造成的误停车,但是这种2取2的逻辑算法又会给系统带来2种安全风险: 其一,当其中一个失效,不能发出联锁报警时,该点的联锁就失效的显性故障,导致机组拒跳车的危险事故发生;其二,2取2这种逻辑有可能产生联锁动作不及时的情况,比如其中1#同源测点到了高联锁信号,而2#同源测点由于某种原因,未与1#同源测点同时检测到高联锁信号,因而未及时发出联锁动作的隐性故障,这时联锁就不能及时动作,导致机组延迟跳出或拒跳车的危险事故发生。对同源信号进行3取2运算时,可有效防止隐性故障和显性故障的发生,但在机组轴系控制中,因为受限机组几何尺寸安装空间及仪表成本,常规配置2个同源测点。

公司4套汽轮机组(林德空分工序2套,合成联合装置2套)轴系均配置2个同源测点。为有效综合提高ESD系统控制的可靠性及可用性,在公司的联锁中,采用了如下处理:第一,2取2改为1取1,选用BENTLY或派利斯高性能仪表且机组轴系仪表回路中间连接点采用焊接;第二,经过分析机组轴系仪表发生故障时的表现类型以及机组联锁动作可接受的最大信号延迟,并进行多次的仿真试验及试运行后确定出合适的滤波系数,屏蔽类似尖峰脉冲的短时间信号干扰导致误停车事故。第三,经过观察轴系仪表发生仪表自身故障时,其测量值要么发出最小信号,要么是测量值波动,但是极少发生测量值飘高导致高联锁动作的情况。通过加强工艺监控,发现1#同源测点异常时,即可通过观察2#同源测点是否正常,同时观察附近同类型测点位置是否有变化,正常则采取人为干预更改系统设定屏蔽此测点联锁,2#同源测点与1#同源测点发生同样测量值波动异常时,则认为机组轴系可能产生故障,不作人为干预处理,交与设备专业综合分析机组运行状况。通过合理配置逻辑功能及监控方法使ESD系统的可靠性和可用性都得到有效提高,有效防止误停车及拒停车事故发生,保证了机组设备安全长周期的运行。

3.3.2 人为干预管理

在化工生产中,笔者认为,国家对安全生产监控越来越重视,生产装置设计中过程检测点越来越多,参与安全联锁的检测回路也越来越多。化工装置在配置了ESD紧急停车系统的基础上,不但ESD紧急停车系统自身故障会导致生产装置停车,参与联锁的检测回路自身故障也会导致生产装置停车且检测回路越多发生的概率越大。这样一来,生产装置安全生产是得到有效监控,但同时非生产装置危险工艺过程导致的误停车事故频繁发生。为有效防止此类事故发生,公司采用如下处理:第一,建立规范的ESD系统维护保养工作规程,严格执行,做到及时发现ESD系统故障安全模式运行的隐患,及时消除;适时合理升级ESD系统软硬件,平衡备件货期、备件成本及软件版本适应性。第二,建立规范的ESD系统程序联锁修改管理规程,例如:规定仪表工程师24小时参与不间断监控,发现或接到工艺工程师报告有参与联锁的监测回路异常时,立即与工艺工程师分析异常检测回路故障真伪。异常是检测回路故障导致,则及时人为干预更改系统设定,屏蔽此点联锁,同时,会签ESD系统程序联锁修改记录表,有条件修复检测回路的,在24小时内修复并试投运观察,在72个小时内恢复设定更改,恢复联锁保护功能,保持生产装置ESD系统监控完整性;无条件修复检测回路或超过72个小时未能恢复设定更改,恢复联锁保护功能的,则工艺工程师填写“联锁报告”,申请该检测回路联锁长期屏蔽,并在报告中填写与该检测回路联锁相对应操作监控变动的应急监控预案。公司组织分析后作出批示意见,工艺工程师根据批示意见及应急监控预案,综合监控生产装置继续运行,在具备再次投入联锁条件时,再填写“联锁报告”,申请该检测回路联锁恢复,设定更改,恢复联锁保护功能。这样通过人为干预管理,灵活谨慎地做出ESD程序联锁设定更改,弥补ESD系统保护下生产装置在高安全可靠性运行下,避免了生产装置长周期高可用性运行的硬伤。

4 结语

紧急停车系统ESD对提高企业的经济效益,安全平稳、长周期地连续生产是至关重要的。但实际应用中,ESD系统能使生产装置处于高安全可靠状况下运行,同时也牺牲了生产装置长周期高可用性的运行。在大型化工生产中,由于生产的连续化程度极高,设备停车可能造成重大的经济损失,这就要求系统既具有高可靠性,又要有高可用性。这就需要根据我们生产现场状况分析,准确制定出具体实用的应用方案,来弥补紧急停车系统ESD在高安全可靠保护生产装置的同时,也能充分发挥生产装置长周期运行的经济性能。公司通过规范有序的系统维护管理,最大限度保证ESD系统的健康状况,梯队式更新升级设备硬件及软件,充分发挥设备使用投资的经济性,针对性配置合理的ESD系统逻辑算法及合理的人为干预信号处理,在保持ESD系统高可靠性下,最大限度挖掘生产装置长周期运行的经济性能。通过这3个方面工作管理,公司现有3套Tricon系统未再发生误跳车事故及拒跳车的危险事故,系统硬件设备故障导致停车事故显著降低,生产装置长周期运行的经济性能发挥到最大,深得生产分厂的好评,创造了SHELL煤气化的生产装置长周期运行世界最好记录。

[1] 左信, 朱春丽. 安全仪表系统设计与SIL的计算方法[R]. 中国石油大学(北京)自动化研究所, 2008, 11.

[2] TRICON ITCC控制系统点检服务报告[Z]. 云南大为制氨有限公司, 2012, 2.

How to Improve the Reliability of Tricon ESD System in the 500,000 Tons/Year of Synthetic Ammonia in Application and Availability

This paper discusses how to maintain the system in the exact and order manner with high stability of the control system after installing the three redundant ESD system of Tricon, high performance instrument and instrument loop redundancy structure. How to update the software and hardware of device, set up the logical algorithm of ESD system, and make the reasonable humanmachine interaction in processing is also discussed. Making full use of safety of the ESD system with the account of the availability at the maximum limit and ensuring the long-term reasonable running of production device are deserved to think about and make better.

Tricon; Triple modular redundancy; Life cycle; Update; ESD logic algorithm reasonable; Human intervention management

李发林(1980-),男,云南曲靖人,工程师,本科,现就职于云南大为制氨有限公司,主要从事汽轮机组综合保护控制方面的研究。

B

1003-0492(2015)04-0092-05

TP273

猜你喜欢
卡件空分仪表
锅炉与空分装置及蒸汽放空阀联锁逻辑优化浅析
浙江中控自动化仪表有限公司
浙江中控自动化仪表有限公司
在线更换TPS02卡件风险分析及控制措施
中国“10万大空分”核心技术实现自主化突破
醋酸DCS系统改造效果分析
热工仪表自动化安装探讨的认识
火电厂新华控制系统网络及卡件升级改造
奔驰E260车行驶过程中仪表灯熄灭
空分设备自动变负荷控制技术探讨