无效报警的优化方案

皮宇

(中石化广州工程有限公司,广东 广州 510620)

本文仅讨论工艺参数在控制系统操作站产生的报警,对于其他涉及可燃有毒气体检测及安全系统、现场声光设备等报警不属于本文讨论范畴。根据ANSI/ISA-18.2： 2016Managementofalarmsystemfortheprocessindustries,报警的定义可简要描述为：“将设备功能异常、工艺偏差,或者非正常状态,采用声和/或光的措施告知操作员,并要求及时做出响应”[1]。该定义为讨论所有与报警相关问题的重要基础。无效报警包含的种类主要有三种： 应报警的未报、不应报警的误报、应报警的虽然报警,但是无法做出正确或及时响应。无效报警的危害是显而易见的,当出现应报警未报的情况,工艺将被扰乱或导致停车,该报警属于独立保护层时,可能导致危险发生或降低安全保护等级;当出现不应报警而误报的情况,该类报警多了将产生报警泛滥,使操作员不堪重负,严重违反人体工学原理,极大干扰操作员的正常操作行为。报警未及时响应是报警优先等级设计不合理,在突然出现异常工况时,大量的报警同时涌入,操作员无法在同一时间段针对所有报警做出正确响应[2],其涉及内容比较复杂,限于篇幅,本文不讨论该类涉及报警优先等级的无效报警。

当报警作为LOPA分析的独立保护层时,报警的可靠性将更有意义。对于消除无效报警的技术,很多文献仅有个别概念提及,但是缺乏全面分析且没有实施方案,国外项目对报警很重视,解决方案也比较详尽,本文将结合笔者设计的国外项目给出详细的解决方案供同行参考。

1 本质安全层面合理设定报警值

1.1 报警值和响应时间的关系

根据报警的定义,报警设计的初衷是需要操作员的响应和响应时间,ANSI/ISA-18.2： 2016中定义的报警管理生命周期的含义中,评估报警设定点的合理性是在本质安全层面上避免无效报警的重要手段[1]。工艺参数与响应时间关系曲线如图1所示。

图1 工艺参数与响应时间关系曲线示意

关于涉及时间的术语,中国的国家标准与国外标准略有不同,但是含义大致相同,包含如下三个涉及响应时间的定义：

1)实际响应时间。从报警被触发开始,到正确按照操作规程完成减缓或修正异常工艺的操作动作所需时间。

2)过程响应时间。从正确的操作动作结束开始,到异常工艺参数的变化趋势开始向安全方向反转所需时间。

3)过程安全时间。从报警被触发开始,在工艺可操作且无安全保护的前提下,能够维持安全直到设计所容忍的限度所需时间[3]。

1.2 合理设置报警点的思路

参考图1,仅以高报警为例说明：A时刻工艺触发报警,B时刻操作员正确识别报警,点击画面确认消声并开始按照操作规程动作,C时刻操作员完成动作,D时刻工艺参数趋势开始反转,E时刻工艺过程已经超过了设计允许的限度,有发生危险的可能,对应图1操作员响应时间为AC段,工艺响应时间为CD段,工艺安全时间为AE段。AB段代表操作员的反应速度及优先级设计的合理性,BC段代表工厂管理及应急操作的培训水平,整个工艺参数趋势的变化过程仅有AB和BC段是人为可控的,AC段是先进报警管理研究的核心及报警目标分析的重点。A点的报警设计如果能保证ADAE,曲线将按照工艺参数变化趋势1发展导致事态进一步失控,或来不及操作响应而直接触发联锁停车,失去工艺预报警独立保护层的作用导致经济损失,当A点的设计值偏低接近操作目标范围上限时,导致报警泛滥,扰乱正常操作。

如上所述的解决方案是分析当前设计的报警设定点是否在合理的报警设定区域内;报警设定区域应位于联锁设定点到操作目标范围上限的区域内;区域上限应综合考虑报警优先级设计、工厂管理、对操作工的培训水平;结合HAZOP分析中针对该事故场景的分析结果,区域上限尽量远离联锁设定点,区域下限要综合考虑先进报警管理的关键性能指标(KPI),控制报警频率[3]。当A点在报警设定区域以外时,可以判断当前设计的设定点不合理且可能频繁触发无效报警,国外项目通过专门的报警目标分析(AOA)会议及专用软件计算来辅助分析设定点合理性并计算推荐优先等级。对于无法保证AD

当工艺为多种复杂工况时,例如API 682规定的机封方案seal plan 53B中压力低报警设定值与大气温度呈线性函数关系时,设定点如果为定值,夏季与冬季气温差别较大将频繁导致无效报警,或因顺控触发等原因工艺处于不同工况也可能频繁触发无效报警,解决方案为通过DCS组态函数运算模块或选择模块,设计“浮动”设定点来防止无效报警。

对于同一工艺方向设计过多设定点也可能造成无效报警,例如高高报警对应的优先级别与高报警没有区别或无特殊操作响应,则该高高报警的设置为无效报警应取消。

2 非正常工况无效报警的消除

2.1 静态报警抑制技术的应用

开车阶段,撬装设备启动前或备用泵、压缩机启动前,无法建立正常操作工艺条件,将产生大量的无效报警,例如压力、液位、流量、温度等参数的低报警等,这些非常态工况在生产计划的某个阶段长期存在且是可以预见的,此时的解决方案是使用静态报警抑制技术,静态报警抑制逻辑组态如图2所示。

图2 静态报警抑制逻辑组态示意

组态时应注意,操作员确认是抑制报警组的必要条件之一,但却是解除抑制的充分条件,即不确认立即解除抑制。对于报警组清单仅为一条报警时,可以仅选择一个允许抑制工艺状态信号,当报警组包含多条报警时,应设计多条工艺状态信号来参与NooN表决,且每条信号都可以因故障被禁用,当禁用时,该信号被排除在表决以外。应选择不同工艺表征参数信号参与表决避免共因失效,客观反应工艺状态,例如对于蒸汽透平压缩机停机状态,可选择入口蒸汽阀阀位全关,透平转速不高等多个参数,每个信号均设计为自动复位。当选择模拟量作为条件参与表决时,宜设计报警死区,防止反复触发或复位。当所有条件均成立后,报警组才被抑制。

2.2 动态报警抑制技术的应用

一个报警或联锁产生后,因工艺关联而短时间产生一系列操作员已经知道的非正常工况报警,例如炉膛熄火作为初级报警导致加热炉停,随后一系列次级报警相应产生,次级报警就属于不应报警误报的情况,上游泵或压缩机停了,下游也将产生一系列无效报警,此时的解决方案是使用动态报警抑制技术,动态报警抑制逻辑如图3所示,动态报警抑制顺控逻辑如图4所示。

图3 动态报警抑制逻辑示意

图4 动态报警抑制顺控逻辑示意

参考图3,t1推荐参考值为30 min,t2推荐参考值为1 min,t1为抑制时间脉冲,仅针对其中某一个初级报警条件有效,当另一个初级报警条件也触发时,t1将被重置。t2的值为检查周期,当包括所有报警可能被触发的时间,t2可能超过30 min时,为确保t1>t2,t1适当延长。当发现组内已发生报警时,输出不一致提示信号给操作员处理。

参考图4,t1开始计时后,如报警组内已有报警发生但未确认,将自动确认并抑制,t1计时时间到期后,原已经被抑制的报警继续保持抑制直到测量参数复位。图3,图4所示为国外工程公司的组态方法,仅供参考,如DCS中有自行开发的功能块,可直接选择使用。

2.3 静态和动态报警抑制的特点和局限性

动态抑制选择的初始报警与静态抑制选择的工艺允许抑制条件要求相同,当来源于SIS信号时,触发条件的旁路功能也生效。相比静态抑制,动态抑制发生时间不受控,逻辑组态也不同,动态抑制引入了时间管理及顺序控制,动态抑制是有时间限制的,初级报警本身是不能被抑制的,次级报警组清单的选择是受控的,一定是不需要操作员响应的报警,推荐在多方参加的报警目标分析会议上确定。动态报警无法抑制那些工艺关联过快的报警,次级报警被触发的时间因触发条件不同而不同,即使每次被同样条件触发,触发时间也可能不同,当小于DCS通过网络读取初级报警信号的时间加逻辑运行时间时,例如初级报警在不同的控制器,读取时间可能长达4 s,此时某些次级报警可能已经被触发,动态抑制不能保证每次都成功抑制全部报警组,如果每次通过检查,都是同样的报警位号出现在不一致清单中,则这些次级报警无法在DCS中被成功抑制,为避免无效报警,这些报警可不由DCS实施。

当静态及动态抑制有效时,报警参数不正常,程序将自动确认报警,不触发声光报警,但是事件管理将进行记录。

3 测量导致的无效报警

报警的触发是由现场仪表来检测实施的,与仪表测量有关的无效报警主要有如下几种：

1)仪表故障产生的无效报警。解决方案： 在控制系统中设置故障模式,正确辨识信号故障,模拟量信号根据NAMUR NE 43或FF总线信号根据NAMUR NE 107[4]来诊断故障,合理设置信号走向,触发故障报警,或根据工艺要求决定是否触发工艺报警,设置合理的优先级别及响应程序。

当仪表没有被系统诊断出故障,但是不明原因频繁报警,工艺判断无需响应时,操作员可以启动控制系统中的报警搁置功能将该位号仪表临时限时搁置,启动报警搁置计时器并限时检查仪表或工艺,计时器释放时将反复要求操作员确认是否继续搁置并重启计时器[2]。

2)信号检测产生的无效报警。控制系统对现场仪表的测量信号读取都有滞后,仪表读数从零到达最终指示读数的63%所需要的时间,国外定义该时间为仪表时间常数,控制系统中定义该常数的意义为信号的当前值,不一定代表真实值,对于快速突破设定点瞬间又复位的信号,有可能是由于信号噪音或测量原理造成的,操作员没必要过于敏感地做出响应,仅需对稳定的信号反应。即便消除了信号本身的影响,确认是工艺触发,工艺过程也可能短时间波动触发报警后立即复位,极短时间的触发将干扰操作员确认报警是否真的发生,是否需要响应,该类报警也属于无效报警。

解决方案： 控制系统中可启用过滤器及防抖动功能,过滤器中可设置仪表时间常数,在信号稳定时才确认触发,一旦触发,防抖动设置锁住报警在一定的时间不允许反复复位,使报警能被有效确认,这两种功能都与工艺参数特性有关,ISA标准推荐的基于信号类型的时间常数及防抖动计时器时间设定见表1所列。

表1 时间常数及防抖动计时器时间设定 s

3)工艺长时间波动产生的无效报警。当工艺在设定点附近长时间频繁微小波动时,也将反复触发报警,该报警无需操作员响应,属于无效报警。

解决方案： 控制系统中针对测量信号的量程设置一个百分比作为死区,死区仅针对报警复位有效,不影响报警触发,复位不发生在设定点,而发生在信号触发报警的反方向,信号反向越过设定点及死区后才复位,可以确认此时工艺已经稳定且远离设定点,可避免在设定点附近出现频繁的无效报警,死区的设置与工艺特性有关,见表2所列。

表2 死区设定 %

死区的设置不是一个绝对的值,以上仅为国外工程公司常用参考值,例如高或高高报警设定点过于靠近时,以上死区可能过大,特殊场合用户可结合实际经验设置。

4)精度或量程不合适导致的无效报警。当工艺需要精确测量时,无效报警的主要原因来源于不合适的精度与量程设计。例如炉膛微负压,一般均为-294～490 Pa,如果选用普通的压力变送器或绝压变送器,仪表工作范围为-0.1～0.1 MPa,该范围较大,虽然可以覆盖工况,但是精度太差,经常出现无效报警。解决方案为选用高精度小量程的仪表或合理的测量原理,提高测量精度,例如可选用微差压变送器等。

当工艺工况比较复杂,例如要求检测的范围较大要包含暂时出现的异常工况,异常工况又远离操作目标范围,此时设计仪表量程过大或报警设定点距离零点或量程过近,例如加热炉燃料气要求做泄漏检测时量程要求表压设置为1 MPa,但其低报警表压仅为7 kPa,报警设定点仅占量程的0.7%,基本无法正常报警;例如加氢装置切断阀两侧差压,报警值非常小,还有常减压装置的进料缓冲罐,液位波动10 m左右,工艺要求的高低报警设定点相差非常大,类似场合设定点靠近量程的2个极限点仅1%左右,对于仪表的量程选择是非常困难的。基于工程实践,参考国外工程标准,推荐能保证正常报警的报警设定点相对量程的比值见表3所列。

表3 报警设定点相对量程的推荐比值 %

解决方案： 针对报警点,单独使用小量程的仪表测量及采用超量程报警抑制技术,在满足表3的条件下可正常触发报警同时也可消除正常工况下超量程的无效报警。工艺的全范围测量功能使用另外的仪表完成。

4 DCS组态导致的无效报警

DCS组态中很多功能块都包含报警设置,如果组态不合理,将产生系列重复报警。例如一个复杂回路同一工艺位置,同时有几块仪表测量,信号经过各种功能块,例如AI模块、选择模块、温度压力补偿计算模块、比较模块、指示模块、PID控制模块等,信号链上所有的模块最终工艺测量目标只有1个,如果每个模块都设置报警,将造成无效的大量重复报警。

解决方案： 仅在信号链的最终环节功能模块中设置1个报警,例如计算后的指示模块或PID模块中,该方案在组态中很容易实现。

5 结束语

无效报警的消除是先进报警管理中非常重要的环节,而设计合理的设定点是最根本的解决方案,不能因为防止过多的报警而取消真正影响工艺操作或安全的报警,也不能因为过度敏感而制造大量根本无法响应的无效报警,当确认所有触发的报警都有效时,才可能真正意义上实施先进的报警管理及设计优先级别,提高炼化企业的自动化管理水平。