国外项目中典型报警的设计方法

皮宇

(中石化广州工程有限公司，广东 广州 510620)

先进报警管理的核心是控制报警的数量及频率，合理定义报警优先等级。当前，中国还没有标准或规范来定义报警的设计，可参考的国外规范为EEMUA 191： 2013Alarmsystems：aguidetodesign，managementandprocurement[1]， ISA 18.2： 2016Managementofalarmsystemfortheprocessindustries[2]及IEC 62682： 2014Managementofalarmsystemsfortheprocessindustries[3]，常规工艺委托的过程变量的报警及喇叭、闪光报警器等硬件设备产生的报警，不属于本文讨论范畴。

对于一个自动化管理水平高的工厂而言，先进的报警管理，仅仅为工艺委托的过程变量报警是远不够的，报警设计过多则报警泛滥，但是报警设计不够则严重影响生产。很多典型的报警，都具有相对固定的特定功能，如： 分散控制系统(DCS)与安全仪表系统(SIS)的偏差报警、故障报警、仿真报警、SIS报警、系统诊断报警、典型工艺及撬装设备报警、火灾与可燃有毒气体报警、动态报警设定、建筑物报警、雨淋阀报警等，针对这类报警的设计方法，国内文献中很少涉及，本文借鉴国外项目，给出一套完整的解决方案，供同行参考。

1 报警数量及优先级别的设计原则

笔者参与的国外项目是按照EEMUA 191： 2013推荐的5级报警系统性能中“ROBUST，报警适应性强”来设计报警频率[1]，级别为4级[4]： 紧急、高级、低级、记录，实现方式见表1所列。

表1 报警优先等级实现方式

优先级别与事件的潜在风险等级以及操作员响应时间、工艺过程响应时间及工艺安全时间有关系[5]，国外项目是通过类似于危险与可操作分析(HAZOP)及安全完整性等级(SIL)活动的专门AOA报警目标分析会议来对每个报警逐个分析合理性，并使用专用软件计算确定优先等级及合理性，风险后果等级可直接参考HAZOP及SIL活动的结果，该计算方法适用于常规工艺报警，本文不赘述，对于功能固定的典型报警，不分析而直接定级。

2 DCS与SIS的偏差报警

对于偏差报警，当引入SIL等级的评估及验证后，其对于诊断SIS现场仪表失效及通过SIL验证的作用显得更为重要。设计方法如下：

1)在SIS现场仪表同样工艺功能的安装位置，设计1块同样量程的现场仪表并引入DCS，既可以在保护层分析LOPA时将DCS报警作为独立保护层，也可以用于SIL验证时，通过对SIS仪表的失效诊断，来降低SIS检测元件要求时的失效概率，量程设计尽量做到一样便于计算偏差。

2)确认偏差存在持续10 s后报警，偏差不设量程，不设报警死区，偏差设定值不是一个绝对的值，可根据仪表精度及工况调整，常用偏差报警设定值设定方法见表2所列。

表2 偏差报警设定值设定方法

3)当SIS表决架构仪表超过3台时，推荐奇数使用中间值与DCS仪表读数相减，偶数取中间2个值的平均值参与偏差计算；当SIS表决架构仪表为3台时，使用中间值与DCS仪表读数相减，当1台SIS仪表失效，架构降级使用时[6]，另外2台使用平均值参与偏差计算，当第2台仪表继续失效时，使用最后1台仪表的读数。当SIS中全部仪表失效时，SIS将联锁[6]，DCS偏差报警也失去了意义；表决架构仪表为2台时，使用平均值与DCS测量值进行偏差计算。

4)对于有表决架构的SIS回路，设计2个偏差报警，一个是SIS架构内部表决仪表之间的偏差报警，由SIS产生，报警设定值同DCS一样。当SIS产生偏差报警时，DCS偏差报警失效，避免报警泛滥。

5)当SIS仪表仅为1个检测元件时，直接用其参与偏差计算；当其失效时，产生故障报警，为避免无效滋扰报警，偏差报警功能失效。

6)当DCS仪表故障失效时，已产生故障报警，偏差报警功能失效。

7)DCS与SIS的检测仪表偏差值计算应为仪表测量值初始读数，不应使用有其他测量值参与的经过复杂计算或逻辑处理后的读数，例如： 流量值使用温压补偿前读数来计算偏差。

8)该偏差报警在DCS中计算并报警，SIS读数通过通信传到DCS。

对于DCS的偏差报警，不用分析其优先等级，全部定义为高级，SIS内部产生的偏差报警全部定义为低级。

3 故障报警

本章节故障指除控制系统以外的现场仪表故障，仪表失效的状态由系统诊断得到。该类故障报警的设计方法有以下几个方面：

1)当信号为模拟量时诊断标准根据NAMUR NE 43，总线仪表根据NAMUR NE 107，设计原则如下：

a)该仪表如果有多个工艺报警优先等级，故障报警按照最高优先级别设计，例如： 同一个仪表位号高报警为紧急，低报警为低级，故障报警设计为紧急。

b)如果没有工艺报警优先等级划分，直接按照低级报警或不报警处理。

当仪表超量程且仪表本身没有损坏时，是否报警可由控制系统中的特定组态来确定。例如： 某控制系统数据获取模块有选择开关“Clamping option”，当选择“enable”时，测量值超限时根据NAMUR NE 43规定保持在限值上，但是不输出报警；当选择“disable”时，超限时输出故障“BadPV”报警，视为故障报警的一种。优先等级如上定义，除正常工况一直处于超量程的特殊情况，例如大小量程双表测量宽范围流量等，其余超量程处理为报警。

2)对于马达电机的故障报警推荐设计方法。一般设计为低级，对于特别重要的电机以及参与安全功能的电机，设计为紧急。

3)对于阀门的故障报警推荐设计方法。如果DCS控制阀门动作但是超过设计的阀门行程时间后，反馈的阀位与动作不符，产生故障报警并设计为低级。

4 仿真报警

当现场总线仪表被仿真，或控制系统某输入变量被仿真时，正常生产状况下，该动作是严格受限的，系统触发仿真报警，报警优先等级设计为高级。

5 SIS报警

SIS的主要功能是联锁而不是报警，关键报警主要依靠SIS驱动现场就地盘的报警灯、喇叭及控制室内辅操台声光报警器来实现。国外有的项目中SIS没有设计独立操作站，SIS报警信号通信到DCS操作站实现报警；国内项目设计根据GB/T 50770—2013《石油化工安全仪表系统设计规范》，报警应在SIS独立设置的操作站完成[7]。

为预防联锁频繁发生，工艺预报警尤为重要，该报警应由与SIS检测元件同样功能位置的DCS检测元件在DCS中实施。根据《中国石化安全风险评估指导意见》(中国石化安风〔2018〕38号文)中的附件5规定： SIS报警不作为独立保护层，SIS仪表不应设定额外预报警，避免重复报警，除非由于经济原因，例如分析仪表参与联锁，不合适另加1块分析仪表等情况，此时可以使用SIS仪表设置预报警通信到DCS，DCS中也不宜设置高高或低低与SIS联锁一致功能的报警，避免大量的重复报警。

其他典型SIS报警的设计方法推荐如下：

1)联锁发出的命令无需操作干预时仅设计为记录。

2)每个逻辑组的旁路允许使能旋钮总开关将产生硬件指示灯报警。

3)每个旁路开关不应旁路任何报警功能。

4)每个测量元件的维修旁路开关的激活应设置定时器，定时器根据工厂维修情况及工艺重要性设置4～12 h不等。定时器释放如果旁路仍然激活则产生重复报警，报警优先级设计参照上述故障报警。

5)如果有旁路自动激活，如设置了开工旁路等，则需设置定时器，建议时间为1 h，定时器释放如果旁路仍然激活则在DCS产生报警，报警优先级别参照上述故障报警。

6)当一个检测元件联锁触发多个联锁报警，则一定时间内会发生全厂停车，如果操作员来得及反应避免全厂停车，则该联锁报警宜设计为紧急。

7)当阀位作为联锁元件时，根据其失效率，推荐其触发的报警优先级定为低级。

8)辅操台按钮触发联锁报警设计为记录。

9)检测元件故障产生的报警，优先级别参考上述故障报警原则设计。

10)Reset复位设计为记录。

11)动作命令与SIS执行元件真实反馈不一致时，设计为紧急级别，例如阀位或机泵状态反馈超过设计时间，说明联锁没有有效实施，需要操作工立即进行人工响应。

对于SIS检测元件的报警优先级别，目前做法的争议较大，笔者推荐如果为局部动作但可能继续引发全厂停车而造成经济损失较大的，操作员有时间响应并可以逆转异常工况，可适当提高其优先级别到紧急；如果不需要操作或操作响应时间超过1 h，或如果该联锁直接导致全厂停车，操作工根本来不及反应，优先等级没必要设置较高，推荐为低级或记录。

6 系统诊断报警

系统诊断报警指控制系统本身诊断到卡件、交换机或其他网络设备的故障产生的报警，与工艺故障报警不同，这些报警在各个局域网络相互独立，一般集中于局域网段上的专用维护操作站，其设计理念为尽量不在工艺操作站产生滋扰报警。

推荐如下的系统硬件故障在系统中产生报警：

1)冗余的服务器丧失同步功能。

2)操作站或操作站组通信异常。

3)网络打印机队列异常。

4)网络交换机插口通信异常。

当这些报警严重影响操作行为时，才需要在工艺操作站显示，可直接设计为紧急或根据需要分析，例如服务器通信异常等，其他系统诊断报警推荐最高优先等级为低级。

7 典型工艺及撬装设备报警

有些工艺或撬块设备功能比较固定，各个装置都类似，不用逐个分析评估优先等级，推荐设计方法如下：

1)液位高低报警二位式控制泵，液位高低报警处理为记录。

2)放火炬控制阀不动作时如果没有全关阀位反馈，优先级处理为高级。

3)泵最小流量调节器宜将设定值限制在最小流量报警值110%以上，防止误操作并尽量避免报警。

4)有些正常工艺操作过程中无法避免的报警，应使用动态或静态报警抑制设计方法[4]，例如开泵前流量低报警或压力低报警等，该技术本文不赘述。

5)对于电动阀等复杂设备的现场操作就地/远程、手动/自动切换按钮的状态，不作为报警处理。

6)顺序控制被中断时，原则上有必要提醒操作工重启或紧急停时才处理为报警，需随其工艺逐个分析必要性及优先等级。

7)所有报警确认或恢复正常，处理为记录。

8 动态报警设定

并非所有的报警设定点都为固定值，设定点可能根据工况或操作条件变化动态设定。API 682中规定的典型机封方案seal plan 53BCirculatesapressurizedbarrierfluidbetweentheinboardandoutboardseals中压力低报警设定值为大气温度的线性函数关系，需要设置动态浮动低报警设定点，该项目中所有同类场合都引入了中心控制室楼顶设置的统一环境温度检测点并通信到各个装置来计算浮动设定值，国内很多项目类似的场合都参考常温来设计报警值，笔者建议有条件尽量严格执行使用动态设定方案，报警优先级随工艺分析确定或设为紧急。

该技术仅应用于DCS层面的报警，不适用于SIS报警或联锁及引发联锁的工艺预报警。

9 火灾与可燃、有毒气体系统报警

石油化工行业的火灾与可燃、有毒气体报警都比较类似，AOA报警分析评估会议不用逐个分析，直接可参考下述原则设计优先等级：

1)洗眼器流量开关报警，直接处理为紧急。

2)检测系统探头正常工作产生的所有火灾或气体泄漏的报警全部定义为紧急。

3)气体及火灾探头被系统诊断为“故障报警”定义为高级，例如断电故障等。

4)探头处于“标定中”、红外点式探头被仪表本身诊断为“镜头脏”、开路式探头被仪表本身诊断为“光路受阻”时，均会通过预定的低于4 mA的固定电流整定值(例如1 mA)输出到检测系统产生报警，定为低级。

5)检测探头的禁用开关类似于SIS的旁路开关，系统中触发时应报警并定义为低级。

6)检测系统触发室外闪光报警灯及喇叭，仅设计为记录。

7)当火灾系统需要自动消防喷淋动作时，触发报警需要提高到紧急。

8)扩音对讲系统来的静音报警设计为记录。

火灾与可燃、有毒气体系统报警设计原则： 如果需要向操作工警示设计为高级，如果仅仅需要仪表维修人员择时检修设计为低级。

关于火灾与可燃、有毒气体系统，国内外设计方法差别较大，但是都是在独立的检测系统操作站实施报警，火灾与可燃、有毒气体的报警组记录与工艺报警组记录应分开设置，所有的火灾与可燃、有毒气体报警不使用报警抑制技术，所有火灾与可燃、有毒气体相关因果动作及报警均应进行记录。

应优先执行项目所在地国家的法律及法规，当没有规定约束时，可参考上述原则设计。

10 建筑物报警

建筑物内的典型报警分级见表3所列。

表3 建筑物内的典型报警分级

分析小屋新风流量低自启动备用风机设计为紧急。对于建筑物的HVAC等相关动作报警设计可参考如下原则：

1)HVAC联锁停、HVAC联锁内循环、电池室氢气浓度高触发联锁强制通风及UPS电池充电停、触发气体消防、各类室内报警灯及喇叭等，系统中动作命令不做报警设计。

2)室内火灾盘报警，设计为紧急优先级别。

11 消防雨淋阀报警

对于消防雨淋阀相关动作报警设计可参考如下原则：

1)雨淋阀阀位反馈与逻辑不符报警，设计为低级。

2)雨淋阀压力报警，设计为高级。

3)雨淋阀开关动作命令不设计报警。

12 结束语

设计如上众多报警并不是先进报警管理的目的，对于事实上不可避免出现的报警，应全面设置不应回避，并合理对应优先等级[5]。如需达到相关规范所述关于各个优先级别对应的报警频率目标，合理设计工艺报警设定点是减少工艺报警的根本，合理的工艺本质安全设计和稳定操作，可尽量减小报警事件发生的初始频率，如某一报警因工艺原因频繁发生，事实上无法消除而大幅增加操作人员负荷，应增加保护层避免频繁报警。评估报警合理性的流程比较复杂，本文不讨论。

对于硬件本身产生的故障及诊断等报警，消除的方法为使用质量可靠的控制系统及现场仪表，加强仪表维护，减少故障报警触发的初始频率。

报警管理的目的在于消除虚假报警及无效报警，国外项目中，每类报警根据温压流液的工艺特点都设计了死区，部分气体压力波动大的场合等设计了防抖动延时，还有静态及动态报警抑制技术来消除大量非正常工况的不合理报警，目标都是尽量控制不合理报警的数量及频率达到上述的目标，限于篇幅不详细论述。如报警发生不可避免，应合理分级来减轻操作员负荷。

提高工厂的自动化水平才是合理的报警管理的最终目标，本文提供的解决方案比较完整，但是因为每个工厂的操作工技术及管理水平都不同，设计过程中部分案例可适当取舍且调整优先级以适应项目的特点。