吴文瑞 石 峰 庞 洲

(1.甘肃金昌化学工业集团有限公司，甘肃 金昌 737100；2.浙江中控技术股份有限公司，杭州 310027)

ESD系统作为安全控制系统，是一种独立于生产过程控制系统的用于大型装置的安全联锁保护系统，用来减少过程失控的风险，确保人员、设备和现场环境的安全。在正常生产情况下，ESD系统是不需要人为干预的，处于静态，并通过安全保护系统在线监测生产过程；当生产过程出现紧急情况且联锁条件满足时，ESD系统就会触发联锁动作信号，对现场设备实行联锁保护或者紧急停车，以避免危险扩散造成巨大的财产损失甚至人员伤亡。

甘肃金昌化学工业集团有限公司以焦炉气为原料、密闭电石炉尾气为燃料，新建20万t/a合成氨项目。该项目采用了浙江中控技术股份有限公司集成的AADvance安全表决系统及其软件系统，先后完成了ESD系统的设计、组态、安装、FAT测试和现场调试。

1 危险因素分析①

合成氨装置的原料、燃料、过程产物和产品，大多为甲类或乙类火灾危险性物质，其中还有有毒物质，生产过程又在高温、高压条件下进行。生产设备一旦发生故障，往往会造成全装置停车。如果故障处理不当，还有可能造成重大事故。

焦炉气生产合成氨的主要工序有焦炉气压缩、脱硫、转化、变换、脱碳、甲烷化、净化及合成等，主要设备有压缩机、脱硫塔、转化炉、罗茨鼓风机、合成塔及液氨球罐等。生产过程是在密闭、高温、高压条件下连续进行的。正常生产时，设备运行正常，工艺参数稳定，即使发生小幅波动，操作人员进行及时调节后都能保持安全稳定运行。但是当有些重要工艺参数偏离指标达到一定的时间和范围时，装置就会产生故障甚至引发事故。

2 AADvance系统设计

AADvance系统用以实现对现场装置异常操作和设备状态的自动监测、自动停车和/或隔离装置，以防止异常条件引起的事故报警、记录和其他严重后果，实现对装置及工作人员的保护等功能。

作为关键控制系统，AADvance秉承了ICS Triplex历经数十年的TMR技术，并考虑到用户的多层次安全控制和机组控制要求。在三重化的总线架构上，可以任意进行处理器模块和I/O模块从单重化、双重化到三重化的搭建，以实现从失效-安全到容错、从小规模到大规模系统点数、从集散式到集中式结构、从SIL1～SIL3安全等级的多重选择。AADvance系统的主要特点：可通过采用多块各自独立的模块实现系统的灵活配置；可作为一个单独的系统或分布式架构的一部分；可从单重化模式转变为容错系统；在不中断系统的情况下扩展I/O模块；支持IEC611499分布式功能模块；支持各类行业标准协议，如HART、以太网、Modbus RTU、开放的Modbus TCP、CIP和OPC；专利的HIFT设计，保证系统的安全性、可靠性和运行速度；无限制的在线修改，装置不停车的组态修改对于许多过程工业是危险但又必须的，AADvance系统能够帮助实现多变量无次数限制的在线修改，该系统的离线仿真也是全局有效，而不仅仅是针对局部；可组态设置SOE，记录门限值或事件，分辨率均为1ms；预诊断，对现场设备进行特征分析并进行趋势预测，AADvance控制器能够对回路进行动态监测并与正常值比较，如果回路特征发生较大变化系统将进行报警，并向操作员提供资料，以便进行分析处理；专利的HIFT时钟设计，HIFT时钟具有三重化结构，并在时钟机构内部设立了多个故障限制区，确保单点故障不会影响系统的正常工作；TUV认证的防火墙设计确保不同安全等级的应用程序可以同时在系统中运行而互不影响；支持全部5种IEC61131编程组态语言——梯形逻辑图、功能块、结构化文本、指令表和顺控图；完全根据IEC61508标准设计，通过了功能安全的TUV认证。

2.1 设计原则

AADvance系统的设计需遵循独立原则、故障安全型原则、共享原则和可靠性原则；采用符合国际安全标准IEC61508的紧急停车系统，具体如下：

a. 安全等级设计为SIL3；

b. ESD系统符合故障安全型原则，当ESD系统本身故障时使装置按已知预定方式进入安全状态，从而避免由于ESD自身故障或因停电、停气导致生产装置处于危险状态；

c. 系统满足硬件容错，容错系统不同于一般的双机热备份系统，一般的双机热备份系统只是模块或总线上简单的双热备，一旦输入模块出现故障，处理器模块也有一块出现故障时，系统可能因此而瘫痪，但是具有容错功能的系统，除了在模块、总线、通信上有冗余设计之外，还具有自诊断功能，能准确识别各部件的故障，具备广泛的系统自诊断能力。

2.2 系统配置和功能

在合成氨项目中为满足设计安全等级和系统冗余容错的要求，控制器采用冗余I/O卡件，设计为SIL 3级。同时，采用3-2-1-0降级模式，系统由两个CPU，集成在底板的冗余以太网通信口和冗余RS485通信口，以及相关的I/O模块和底板组成。AI和DI各采用双卡配置一个输入点通过1oo2完成表决。DO采用双卡配置(一个输出点由两路开关通过1oo2完成表决输出方式)。

安全联锁系统主要包括焦炉气转化区、合成区和氨罐区3个工段的安全控制，系统配置如图1所示。

图1 某合成氨生产过程的ESD系统配置

根据该项目ESD技术规格书及其附件中确定的I/O点数，共配置了两块T9110作为控制器模块，3组(6块)T9432(AI，48点)作为模拟量输入模块，一组(两块)T9402(DI，24V(DC)，32点)作为数字量输入模块，5组(10块)T9451(DO，24V(DC)，40点)作为数字量输出模块，所有I/O模块都为冗余配置。

所有现场仪表信号都分两条总线进入相应的冗余I/O卡件，冗余I/O模块始终处于同时工作的状态，满足了系统的容错要求。冗余输出模块在失电跳车的应用中输出满足SIL3要求。当系统中I/O输入模块将在第一次检测到自身故障危险时降至1oo1D模式，该危险无修复时间限制。当系统自检测到某一处理器模块出错时系统降至1oo1D模式，并且必须在MTTR内更换故障控制器以保证在SIL3等级。该项目按故障安全型设计，用于SIL3等级的失电跳车模式。系统中I/O输出模块检测到自身故障时，该危险无修复时间限制。

该项目的整体设计遵循1oo2D配置，具体数据流走向如图2所示。

图2 1oo2D冗余容错系统数据流向

系统控制的基本步骤为：

a. 现场信号由输入模块接收、缓存并进行各种必须的转换后，输入信号经冗余的内部总线传送到冗余处理器模块；

b. 处理器模块的微处理器从冗余内部总线的每个通道接收输入信号，并对数据进行二取一表决；

c. 通过控制器进行表决后的数据将通过冗余总线送至输出模块；

d. 输出模块接收处理器送来的信号，进行二选二自诊断表决，对表决后的信号进行必要的转换后送出系统，驱动现场执行单元。

工程师站兼SOE站是用于SIS系统的应用软件编程、组态、调试、在线监测、诊断和操作。工程师站同时作为SOE站用于顺序事件收集，存入硬盘，供查询、追溯判断停车事故原因。操作员站是用户监控现场信息并进行现场操作的。

2.3 故障安全型联锁逻辑说明

联锁条件正常，即工厂生产装置在正常生产状态下，ESD系统切断控制回路中的继电器及电磁阀等皆不处于加电状态，即ESD系统输出为1。联锁动作发生时，即系统输出从1变为0时，现场电磁阀从得电变为失电状态，从而按照具体工艺要求实现切断和放空操作。运用这种设计方案即可实现当ESD联锁控制回路中的某一个环节(如供电、卡件、气源、继电器、电磁阀、安全栅及电缆等)出现硬件故障时，整个控制回路将进入工艺预设的安全工况，相应电磁阀即可回到安全的状态，从而确保工艺过程的安全。

此合成氨生产装置中有8个电磁阀，分别作为焦炉气转化工段和氨罐装卸的安全控制阀，即采用故障安全型控制方案。当联锁条件满足且联锁动作发生后，如果系统需要复位则需要人工进行确认。联锁动作是由系统通过逻辑判断实现，而联锁动作的复位则需要人为确认故障危险情况排除后才能复位。

AADvance通过RS232/485与DCS系统进行串行通信，执行Modbus RTU通信协议。以DCS系统为主站，ESD系统为从站，ESD系统和DCS系统虽然独立完成不同的功能，但服务的对象却是同一套装置，两者之间也应该建立数据联系，特别是ESD系统，其动作条件、联锁结果及保护措施等都需要在上位机通过各种方式在线监视。通过建立DCS和ESD系统的通信，获取ESD设备的数据信息并在操作员站实现数据记录及趋势记录等功能，从而实现在线监控和故障追忆功能。

该合成氨项目安全联锁系统中，转化工段富氧空气与蒸焦气压差、混合器进口燃料气压力、入工段焦炉气流量、汽包液位及富氧空气流量等模拟信号各通过独立的3路检测仪表，经过三取二表决后参与系统联锁动作。

2.4 ESD联锁逻辑说明

合成氨生产过程的工艺联锁条件为转化炉出口转化气温度、转化炉汽包液位、富氧空气与蒸焦气压差和富氧空气与焦炉气比值，当任一联锁源触发，装置将进入预设的安全状态：切断入转富氧空气阀US-0501、打开富氧空气放空阀US-0502、打开密封蒸汽阀US-0503并停焦炉气压缩机和净化压缩机。

转化炉出口的转化气温度TE-0504A/B/C，当任一温度不小于1 100℃或者不大于680℃时，表示该点温度不符合工艺生产要求，当3个温度点中有两点温度异常且此工艺联锁条件处于投运状态时触发联锁跳车。

转化炉汽包液位LT-0501A/B/C，当任一液位不大于35%，表示该点液位不符合工艺生产要求，当3个液位探测点中有两点液位异常且此工艺联锁条件处于投运状态，则将触发联锁跳车。

富氧空气与蒸焦气压差PT-0503A/B/C，当任一压力不大于50kPa，表示该点压差不符合工艺生产要求，当3个压差探测点中有两点压差异常且此工艺联锁条件处于投运状态，则将触发联锁跳车。

富氧空气与焦炉气比值EBZ001/2/3，当任一比值不小于0.715，表示此比值不符合工艺生产要求，当3个比值中有两点比值异常且此工艺联锁条件处于投运状态时，触发联锁跳车。

联锁逻辑图中联锁旁路按钮的功能是对联锁条件使能/非使能的切换，装置稳定生产中必须将此按钮打到联锁投运状态，此时此按钮所对应的联锁条件有效，一旦联锁条件不符合工艺生产要求，装置联锁将被触发，装置立即进入预设的安全状态，确保人员、装置本体和环境的安全，为了保证生产的连续性，在装置启运阶段若某些工艺值暂时不能达到正常工况值或是现场某一检查机构故障维修需要一定时间但又要保证生产持续，此时可以将按钮打到联锁旁路状态，待装置按工艺要求持续运行一定时间后或仪表维修完毕后必须及时将此按钮打到联锁投运状态，以确保装置的整体安全运行；复位按钮是当工艺联锁条件恢复正常后，可触动此按钮，装置将再次启动。

3 系统运行效果分析

合成氨生产过程的AADvance系统经工厂验收测试(Factory Acceptance Test，FAT)和现场验收测试(Site Acceptance Test，SAT),效果良好，测试内容包括机柜内部硬件安装和确认，机柜外观的完整性确认，端子排接线的规范，测试结果显示逻辑控制程序和关键阀门全部能够按照要求关闭或开启，紧急停车模拟运行状态良好。测试报告表明，AADvance系统的软/硬件和逻辑控制程序均能按照设计要求实现相关功能。该项目一次投产成功，AADvance系统运行稳定。

4 结束语

AADvance ESD系统自投产以来，经过近一年的观察，系统运行稳定，满足了生产要求，其高可靠性、高安全性和高可用性的容错控制功能，为生产过程提供了坚实的安全后盾，使得控制系统能够自动识别元件故障并加以排除，实现了在线更换所有卡件，在SOE中查找系统故障和各种操作记录，保证了合成氨生产系统的安全、稳定、长周期运行。

ESD系统在化工生产过程中的应用，为安全生产提供了一种优于DCS的控制思路和方法。由于生产过程中工艺故障现象比较复杂，一旦工艺指标超限，ESD系统的正确判断和及时动作，给生产和现场工作人员的人身安全提供了保障。但ESD系统在提高安全系数的情况下也降低了装置的可用性，停车几率相对增加。因此，只有加强对ESD系统的维护管理，才能确保化工生产安全、高效、稳定运行。