煤化工仪表联锁保护系统的完善

冯 飞

(中国中煤能源集团有限公司，北京 100013)

我国新型、大型煤化工项目起步于“十二五”期间，随着一批示范项目建成投产，煤化工产业在“十三五”期间得到快速发展。煤制合成氨联产尿素、硝酸硝铵，煤制甲醇联产聚烯烃是煤化工产业主要产品技术路线，相关煤化工企业属于“两重点一重大”危化品生产企业，生产过程中需要高温、高压的反应条件，伴随有毒、有害、易燃、易爆物料，安生生产压力大，安全监管要求高。按照法律法规要求，危化品生产企业需要配备仪表联锁保护系统等自动化安全设施，在生产过程异常时，引发危险后果前，通过自动终止化学反应、紧急停止大型机组设备、快速启动泄压设施，使生产装置转入安全状态。

煤化工企业常用的仪表联锁保护系统包括SIS(安全仪表系统)、ESD(紧急停车系统)等。由于我国煤化工产业起步晚，相关技术不够成熟，专业技术人员短缺，导致早期建设的煤化工项目仪表联锁保护系统存在原设计不满足现行法律法规和设计标准要求、设置不完善、管理不健全等缺陷。当仪表联锁保护系统因为缺陷在需要联锁保护动作时拒动，就可能导致设备损害，甚至引发火灾爆炸，造成财产损失、人员伤亡等严重后果，例如，某企业氮压机因三级轴承温度联锁拒动导致三级轴瓦严重损坏；而联锁保护系统频繁误动，则会造成生产装置波动、非计划停车，严重影响企业安、稳、长、满、优运行，例如，某企业一年内因仪表联锁误动非计划停车6次，造成上千万的经济损失。因此，煤化工企业需要通过完善设计、优化设置、强化管理等手段提高仪表联锁保护系统的可靠性和可用性，保证仪表联锁有效发挥保护作用。

1 仪表联锁保护系统的设计完善

1.1 SIS系统的独立性设置

安全仪表系统作为仪表联锁保护系统，需要独立完成安全仪表功能。安监总管三〔2014〕116号《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》明确要求，安全仪表系统应独立于基本过程控制系统，要求依据法律法规和标准规范进行安全风险评估，确定风险降低要求，在保证安全仪表功能的功能性和完整性要求下，编制安全仪表系统安全要求技术文件，依据技术文件进行安全仪表系统的设计。

然而，2014年前设计投产的煤化工项目在安全仪表系统设计方面存在以下3种未独立设置的情况：一是“两重点一重大”装置所有联锁均由DCS系统实现，未设置安全仪表系统，即整体安全仪表系统的未独立；二是装置已有SIS系统，但经过安全仪表完整性等级评估后发现部分SIL1(安全完整性等级1级)以上等级安全仪表功能由DCS实现，未放入SIS系统，即部分安全功能的未独立；三是装置安全仪表功能的条件、逻辑或结果一部分在SIS系统，另一部分在DCS系统，整个安全功能的执行需要SIS与DCS共同动作，即安全功能的部分未独立。

1.1.1 安全仪表系统整体独立设置完善

部分煤化工企业“两重点一重大”装置因为设计较早，设计标准不高，在建厂阶段未设置SIS系统，根据法律法规需增设安全仪表系统。

某煤化工企业年产18万t合成氨装置及罐区没有设置SIS系统，而合成氨工艺是首批重点监管的危险化工工艺，合成氨工艺产生的液氨和氨气是重点监管危化品，氨罐区属于1级重大危险源。由于没有设置安全仪表系统，氨罐区按照安监总管三〔2017〕121号《化工和危险化学品生产经营单位重大生产安全事故隐患判定标准(试行)》可判定为重大生产安全事故隐患。针对该问题，企业组织对合成氨装置及罐区进行安全仪表系统设计，根据SIL定级分析报告，在不改变原有联锁逻辑关系和相关设置参数的条件下，将联锁组态移至新增的安全仪表系统中，测量变送器和执行机构与DCS分离，无法分离的新增仪表设备；并对整个SIS系统进行SIL等级验证，保证安全仪表功能完整性。

1.1.2 完善部分安全功能的独立设置

煤化工项目部分安全功能未独立设置的主要原因是项目设计前未做SIL评估，未确定安全仪表功能并按安全功能需求设计SIS系统。企业在对现役装置进行SIL评估后，发现个别安全功能未设置联锁保护或联锁保护由基本过程控制系统实现，不满足法律法规要求。

某煤化工企业对全厂装置进行SIL评估后，发现26个SIL1及以上联锁回路设置在DCS系统，例如煤浆槽液位低低联锁，通过LOPA(保护层分析)分析，液位低低导致后果中财产损失可达1 180万元，要求的PFD(要求危险失效概率)为<1e-2，要求达到SIL1级，经过验证该功能PFD为2.03E-03，整体达到的SIL1级，但由于该联锁设置在DCS系统，根据法律法规和标准规范要求，将该功能移入SIS系统，实现安全仪表功能的独立设置。

1.1.3 完善安全功能部分未独立的设置

煤化工项目安全功能部分未独立主要违反了GB/T 50770《石油化工安全仪表系统设计规范》关于“安全仪表系统应独立完成安全仪表功能”和“基本过程控制系统不应介入安全仪表系统的运行和运算”的安全仪表系统设计基本原则。

例如，某煤化工企业液氨槽液位高高联锁进口液位调节阀关闭，液位变送信号进SIS系统进行逻辑运算，结果输出到DCS系统液位PID功能块，当液位高高时SIS系统联锁DCS系统PID块输出为0，使液位调节阀关闭。该联锁测量、运算在SIS系统，输出控制在DCS系统，整个安全功能由SIS与DCS共同执行，没有实现安全功能的整体独立性，同时，DCS系统扫描周期为1 s，大大增加了整个安全功能执行周期。由于该安全功能为SIL1级，按照GB/T 50770设计规范要求，SIS可与DCS共用执行元件，因此在调节阀阀门定位器与气缸间增加电磁阀，由SIS系统控制，保证SIS系统执行动作的优先级，实现了该安全仪表功能由SIS系统的独立完成。在类似问题整改过程中，若安全功能为SIL2级及以上，SIS系统的执行元件需与基本过程控制系统分开，需要新增切断阀由SIS系统控制。

1.2 安全仪表系统通讯功能完善

煤化工项目在采用国外专利工艺包时，一些国外工艺包将SIS与DCS系统进行无缝集成设计，2个系统间通过PROFIBUS共用一个通信网络，实现系统间物理上集成。这种集成方案在国内工程实践中应用较少，个别设计院在工艺包转化时以MODBUS代替PROFIBUS进行SIS与DCS系统间联锁指令的交互，忽略了两者协议主体、协议特点和传输特点的不同。加载在PROFIBUS上的PROFIsafe通信符合IEC 61508《电气/电子/可编程电子安全相关系统的功能安全》功能安全国际标准，达到SIL3级；而MODBUS不符合相关标准，无法达到SIS系统功能安全通信要求。

例如，某煤化工企业液氮洗装置采用MODBUS通讯协议，RS485接口进行SIS与DCS的系统集成，联锁指令在系统间交互控制，而MODBUS通讯中断、延时、数据丢包以及RS485半双工传输方式对装置安全稳定运行带来隐患。同时，该通讯方案也不符合GB/T 50770关于“除旁路信号和复位信号外，基本过程控制系统不应采用通信方式向安全仪表系统发送指令”的设计要求。企业按照GB/T 50770设计规范，对液氮洗装置SIS与DCS系统间信号重新梳理，将安全仪表功能回路全部移入SIS系统，非安全功能信号采用硬接线方式进行系统间信号传输，保证系统间通讯及信号交互符合规范。

2 联锁方案的优化

联锁仪表误动作是困扰煤化工企业仪表联锁保护系统运行的主要问题，一个关键联锁回路的误动作会导致一次全厂性的非计划停车事故，造成上百万元的财产损失。为了避免联锁仪表误动引起非计划停车，企业往往选择摘除联锁，给安全生产带来隐患，而长期摘除也违反了安监总管三〔2015〕113号《化工(危险化学品)企业安全检查重点指导目录》关于安全联锁摘除不得超过一个月的相关要求。

煤化工企业可以通过联锁条件优化、合理仪表选型提高联锁可靠性，减少联锁误动，保证装置的安全稳定运行。

2.1 联锁条件2oo3

常见联锁条件表决的PFD性能关系为2oo2<1oo1<2oo3<1oo2<2oo4，综合联锁仪表的可靠性、可用性要求，重要联锁条件可以采用2oo3表决方式进行优化。2oo3联锁条件的实施需要从取源部件、变送元件、输入卡件以及联锁逻辑多个部分进行整体优化。取源点独立，安全栅取自不同的供电模块，进入3块不同的输入卡件实现同种分离，有效降低随机失效概率；采用不同的测量方式(例如选用差压变送器、雷达液位计、浮球液位开关进行同一液位联锁)实现异种分类，有效降低系统失效和共因失效概率。2oo3联锁逻辑根据仪表联锁保护系统是否具备仪表故障检测功能而不同，对于不具备故障检测功能的系统，按照故障安全原则，当2台及以上仪表故障时触发联锁动作；对于具备故障检测功能的系统，当2台仪表故障时联锁表决变为1oo1，当3台仪表故障时触发联锁动作。

2.2 联锁条件延时

信号干扰是联锁仪表误动作的重要原因之一。仪表联锁保护系统由大量电子设备组成，会受电阻耦合、电容电感耦合、附加电势、变频电磁等电子干扰，也会受到线路虚接、环境扰动等测量干扰。有些干扰可以通过隔离、屏蔽、接地等措施去除，但对于瞬时性干扰通常采用条件延时。在联锁条件后增加延时器，当联锁条件动作瞬间，启动延时器计时，在延迟设定时间内只有联锁条件保持动作信号才会最终触发联锁；而瞬时信号干扰只会触发延时器计时，无法保持状态至计时结束，这样就可以避免信号瞬时干扰造成的联锁误动作。联锁条件延迟时间的设置需要综合考虑测量对象变化速率、测量仪表灵敏度与干扰信号时长等因素确定，避免条件延迟屏蔽正确的联锁动作，通常延迟时间设定为0.5～3 s。对于2oo2联锁，因为可靠性较低，可以增加带延时的1oo2联锁，提高可靠性。

2.3 仪表选型优化

联锁仪表的误动作除了信号干扰外，还有一部分原因是所选用仪表在生产工况下无法保证稳定准确的测量，由于指示波动、测量错误导致误停车。煤化工项目可以进行以下仪表选型优化：① 针对蒸汽流量测量，由差压式改为涡街式；② 针对余热锅炉液位测量，由差压式改为雷达式；③ 针对安装在振动频率大的管道上阀门，采用分体式阀门电位器，气源管选用金属绕性管；④ 针对因结构约束方面限制安全仪表回路SIL能力的情况，选用SIL等级更高的仪表设备。

3 联锁管理的完善

仪表联锁保护系统稳定运行既需要技术上的优化，也需要管理上的完善。煤化工产业起步晚，新建企业管理人员来自不同系统，仪表联锁管理思路、理念不统一，个别企业联锁管理制度一年一大变，联锁管理体系不成熟、不健全。总结国家法律法规和石化行业先进做法，煤化工企业联锁管理要点概括如下：

(1)做好四项工作。一是评估，按照要求进行安全仪表系统SIL等级评估；二是完善，根据SIL评估结果完善安全仪表系统；三是维护，做好日常巡检、定期检验测试；四是作业，严格仪表联锁摘除、恢复、取消、变更等作业的审批和票证管理。

(2)落实四个要求。一是分级，仪表联锁应按生产影响程度和安全影响程度进行分级管理；二是分类，按照工艺联锁和设备联锁进行分类管理；三是分功能，根据SIL评估按照安全功能联锁和非安全功能联锁进行管理；四是分专业，按照仪表、工艺、设备、安全、技术等进行专业管理。

(3)实现两个目标。一是仪表联锁投用达到100%，所有仪表联锁有效投用，长周期稳定工作；二是仪表联锁动作正确率达到100%，杜绝联锁误动、拒动等情况。

(4)贯穿一条线。管理活动贯穿仪表联锁的全生命周期。

4 结 语

主要研究了煤化工企业仪表联锁保护系统存在的主要问题，并就问题形成原因、产生后果进行了分析，针对性地提出了问题解决措施，并对处理过程和关键技术环节进行了描述。通过规范设计、优化方案、合理选型、完善管理，可以消除系统隐患、减少联锁误动、提高仪表可靠性，使煤化工企业仪表联锁保护系统更为完善，为企业安稳长满优运行提供保障。