杨永研,李文悦
(北京中燕信息技术有限公司,北京 102500)
随着DCS 控制系统在石油化工工业中特别是大型石油化工装置中使用越来越广泛,DCS 系统由于前期设计不合理等多方面原因导致的DCS 报警过多的问题成为了操作人员的困扰,严重的甚至干扰了装置的正常运行。因此,对DCS 报警进行优化管理成为提高装置运行可靠性的重要工作。
报警是DCS 系统本身或生产工况发生异常时对操作工进行第一时间提醒的重要手段,关键报警有益于操作工及时发现设备故障和生产过程控制指标偏离等问题,但报警过多会影响操作员正常操作,所以相关企业有必要了解、使用和管理好系统的报警资源,让报警为安全生产、生态环境及产品质量发挥最大的绩效。不同厂家的集散控制系统(以下简称DCS)在报警系统的功能上各有特色,但基本功能大同小异。报警大体分为系统报警和过程报警,系统报警是指当DCS 系统设备出现异常时的报警,它可对整个DCS 系统包括操作站、控制站、网络、输出设备等进行实时检测。过程报警指生产过程变量数值超过工艺指标允许范围发出的报警。当前产生的报警会出现在屏幕上方的信息区域[1],之前的报警可以在操作站上调用过程报警画面和系统报警画面,其报警内容是按照时间顺序显示过去最新的报警。如果还需查寻更早的报警,可以进入到历史记录画面,在历史记录里可以按站点、按位号、按报警发生时段,有选择性地进行报警检索。
一个报警系统的主要功能可以被定义为报警系统的目的是将操作人员的注意力引导到需要及时的评估或行动的生产条件上来。因此,报警系统需要告诉操作人员应该怎样做,帮助操作人员管理任务和资源并且把注意力集中在最重要的事件上。为了达到以上目的,每一个报警都应该提醒、告知和指导;每一个呈献给操作人员的报警都应该是有用的且与操作人员相关的;每一个报警都需要有一个明确的反应,操作人员需要有足够的时间来做出对报警的明确反应。为了确保以上目的的实现,报警系统设计时需要明确考虑人的局限性。
以往的经验表明,报警系统的大多数失败是源于人的失败而不是设备的失败,因此特别需要关注人为因素的问题。在实践中,风险的减小主要得益于提高可用性而不是提高设备的完整性。因此,在报警系统中,装置无论是在正常状态下还是混乱状态下,操作人员不应该被过多的超过负担的报警所干扰;报警系统的性能需要定期的检查以确保报警超负荷不会发生;呈现在操作人员面前的报警应该是非常有用的且很少有虚假的或者没有价值的;操作人员需要接受使用报警系统的相关培训;报警需要被适当的分优先级。
但是对于石化企业,由于装置大型化、复杂化,每天大量报警困扰着操作人员,重要的报警信息往往被忽略,这给正常生产带来很多隐患。过多的报警使操作人员容易忽略潜在的重要问题,干扰操作人员的正常操作。另外,报警过于分散,很难从报警信息中分析报警原因及改进措施。同时,DCS 报警中还存在着无效报警、陈旧报警、重复报警、报警设定值不合理等问题。
图1 有效与无效报警Fig.1 Effective and ineffective alarms
由DCS 系统实现的过程工艺指标参数或设备运行参数报警的终极目的是为了提示操作人员及时对应过程物理量的量值接近或超过了设计指标,或者影响装置平稳运行,或者影响工段产品质量指标,或者濒临过程安全管控指标阈值。因此,通过基于风险可接受标准的危险及可操作分析、保护层分析,必要时采用定量风险评估方法,确定必要的过程工艺变量或设备运行参数,对其超出一定数值(阈值)时进行报警提示,提醒操作人员启动某一程序或作业,以使生产过程保持在有条件的安全运行状态。报警阈值的设定需考虑参数偏离对产品质量的影响,需考虑装置安全时间内值岗操作人员岗位能力和响应及作业程序完美执行的有效性。
DCS 系统的报警设定值,一般分为高报警值、低报警值、高高报警值和低低报警值4 种,其中高高报警值和低低报警值一般为设置的安全仪表系统的联锁值,即达到此报警值时安全仪表系统将会发生动作,以防止严重后果的发生。而高报警和低报警是用来提醒工艺操作人员现场工艺条件产生了异常,以便工艺人员尽早采取措施防止工艺条件的进一步恶化而导致达到高高报警或低低报警,以触发联锁。如图1 所示,有效的工艺高低报警是提示工艺条件进入不稳定状态的边界,一旦有工艺高低报警产生表明装置运行进入了不稳定状态。根据EEMUA 所指定的报警系统的原则,报警设定值一般要考虑如下因素:可接受的正常的操作波动的振幅和持续时间;安全仪表系统将要起作用的界限;操作人员解决由报警所产生的问题的时间;报警值因为严重的不稳定状态而产生改变的频率。
在装置实际运行过程中,DCS 系统高低报警设定值并没有严格遵循有关原则,报警设定值的设定大多是根据现场操作经验,这就导致各个装置的DCS 系统报警值的设定不合理,特别是存在报警设定值设定偏于保守的状况,即工艺条件仍然处于正常状态,只是发生了正常的波动并不需要工艺操作人员采取措施,而DCS 系统却产生了报警的情况。此种状况会导致报警产生过多且频繁,也会降低工艺操作人员的警惕性。
图2 报警阈值Fig.2 Alarm threshold
因此,根据EEMUA 制定的报警系统管理的规则对大量的此类报警重新进行了报警值的设定。如2 图所示,将报警设定值设定于最大的工艺正常操作波动以上,同时要给工艺操作人员留有足够的反应时间,使工艺人员在测量值达到联锁设定值之前有足够时间进行处理。
由于各方面的原因DCS 系统中存在着大量的无用的重复报警,以及对操作人员没有实际参考意义的报警,这里统称为无效报警,此种类型的报警一般分为这几种情况:
首先,是在装置工程建设期间,DCS 制造商技术支撑人员在对DCS 系统组态的过程中,在系统中建立了大量的用于实验目的报警点,但是在整个系统组态完成之后并没有对这些报警点进行处理,这就导致DCS 系统报警画面中经常出现一些报警描述为字母或者英文、意义不明的报警产生,此类报警经常会干扰工艺人员的操作,甚至可能引起不必要的恐慌。
其次,也是在DCS 系统组态的过程中,可能由于疏忽或者其他原因,部分装置DCS 系统中存在同一个报警点出现两次的情况,但是只将一个报警点引了控制逻辑中,这就导致一旦测量值达到报警设定值,DCS 系统的报警画面中就会同时产生两条完全一样的报警信息,而多出的报警信息对工艺人员的操作是没有意义的。
对于这些报警可以在系统中将这些报警点进行删除。此外,安监总管三〔2014〕116 号文件[3],国家安全监管总局关于加强化工安全仪表系统管理的指导意见,要求安全仪表系统独立于过程控制系统,因此报警管理应该完全独立。
在石油化工的生产装置中,对于运行中重要的压缩机、风机以及各种泵类,一般都会采用一备一用的方式。平时只有一台设备运行,另外一台设备备用,一旦运行的设备产生了问题则切换到备用设备。这样就保证了装置生产的正常运行,但是这也导致了产生了大量DCS 报警。
对于这些在装置运行中起到重要作用的机泵类设备,一般会安装有各类的温度、压力、流量、液位以及机械状态检测量的仪表测点,以用来监控机泵的运行状态。对于正在运行的设备[2],各类仪表测点测量的是处于正常范围的工艺参数,但是对于处于备用状态的设备,设备上的各类仪表测点测的工艺参数则是处于非正常状态,因此这些测点会产生大量的报警,由于设备处于停止状态,所以这些报警对于工艺操作人员并没有价值,反而会对日常的操作严重干扰,甚至会误导工艺人员认为运行设备产生了报警;而且当两台设备切换时,会产生更多的无用和误导报警,所以消除此类报警造成的影响也非常的必要[2]。
为了减少这类报警产生的影响,可以使用DCS 系统的报警抑制功能,当一台设备运行时,将它的备用设备上的各类测点进行报警抑制,这样备用设备上的各类测点则不会产生报警;当两台设备切换时,再将原被用设备上各类测点的报警抑制解除,然后对现备用设备上的各类测点进行报警抑制,这样就消除了备用设备产生的报警对工艺操作的影响。虽然通过以上的方式很好消除了停备用设备造成的影响,但是这种方法并不便捷,特别是设备切换频繁时也会对工艺人员产生操作负担,这也是接下去需要进一步改进和提升的地方。
对于各类现场仪表,为了保证测量的准确,其测量方式、安装方式或者选型必须与现场的工艺条件相符合,但是由于设计或者选型的原因,现场部分仪表的测量安装方式并不满足现场工艺条件的要求,特别是部分流量类仪表,存在着安装位置错误、前后直管段不满足仪表要求、物料粘稠寒冷天气容易堵塞管路、介质的电导率过低等问题,这就导致了仪表测量的不准确,测得的数值过大或者过小,从而可能触发了DCS 报警。
面对由于此类原因产生的报警,需要采取更改仪表的安装方式、安装位置、仪表类型或者型号的方法,以达到使仪表准确测量从而消除报警的目的。
通过实施一系列的报警优化及处理措施,可以使各个生产装置的DCS 报警总数及平均每小时的报警数量显著降低,从而降低了工艺操作人员的负担,提高了装置运行的可靠性,为取得良好的经营和EHSS 业绩平添动力。