方心意 张 锐

（浙江泰鸽安全科技有限公司）

一、引言

众所周知，化工生产过程中具有易燃、易爆、强腐蚀、开/停车频繁且复杂的特点，为确保设备和人员的安全，最大限度地减少由于过程失控而造成的设备损坏和人身伤害，自动化安全控制系统的采用是必不可少的。

二、自动化安全控制系统的特点

自动化安全控制系统是对生产装置可能发生的危险进行响应和保护的自动化仪表控制系统，其作用是保障企业的安全生产，避免人身伤害及重大设备损坏。自动化安全控制系统主要由检测变送单元、逻辑控制单元、执行控制单元等组成，其中逻辑控制单元（简称LCU）是系统的中枢与核心，它采用电子器件和微机控制技术，用软件实现控制电路逻辑关系。

自动化安全控制系统应具有以下特点：（1）简单，可靠；（2）独立成系统、分散性好；（3）自身故障易于排查、恢复。

一个系统的可靠性，一方面和它的结构有关，另外还与构成它的元器件的可靠性及相关的运行环境有关。通常系统的可靠性可以用下式描述：

式中：S——系统的可靠性系数；

Fu——系统的非安全因素；

Fa——其他非安全因素。

由上式可以看出，系统的非安全因素Fu越低，其安全系数S越趋近于1，表明该系统的可靠性越高。系统的非安全因素Fu一般由下列内容构成：（1）系统的体系结构；（2）构成系统的元器件的可靠性指标；（3）逻辑程序设计的合理性；（4）运行环境的可靠性。

三、PLC系统的特点分析及实际应用

PLC即可编程逻辑控制器，是一种主要进行逻辑操作的控制设备。安全联锁逻辑在PLC中实现也是非常容易的，从硬件结构上看可以分为3种：

（1）单一结构。这种结构由单台PLC构成联锁系统，利用梯形图或逻辑语言构成联锁逻辑程序，硬件由单一的CPU，I/O通道组成，安全系数较低，化工装置不宜采用这种形式。

（2）双台结构。由双台PLC构成的联锁系统，考虑到了冗余的问题，可以做到一开一备。但2台PLC之间只能做到冷备份，很难达到热备份即平滑无扰动自动瞬间切换的效果。因为2台PLC的数据库不能进行实时映像拷贝，不具备用于自动切换的硬件和相应的软件，运行中的PLC只能从初始状态投入运行，不能保证过程的连续性。

（3）三选二结构。三选二PLC构成的系统示意图见图1。

图1 三选二系统示意图

这种结构是利用A、B、C 3台PLC接收来自现场的信号，并运行逻辑程序，运行的结果送PLC-D进行比较，正确的结果输送到现场。这是一个三选二系统，一旦3台PLC的运行结果不一致，则认为系统故障；而当其中1台的结果同另2台有差别时，则认为该设备出现故障并发出警报提示修理，这大大地提高了系统运行的可靠性。但作为选择用的PLC-D只能是单台构成，其正常与否直接关系到系统的可靠性，一旦损坏势必造成整个装置的停车。

利用PLC构成的连锁系统具有简单直观，相对独立于管控组态，修改容易，占地面积小等优点，近几年得到了广泛的应用，相对利用DCS实现安全联锁的系统，可靠性有了明显提高。通过对上述三种不同构成的分析，可以看出：由于PLC是一种基于微处理器的电子设备，其结构上的集中处理部分仍是影响可靠性的主要因素。尽管双CPU或多CPU的PLC已经问世，但构成安全系数高，可靠性好的系统仍非常困难，如PLC之间的自动无扰切换仍非常困难，PLC内部的冗余热备问题、通讯问题等。

因此，国外的企业或公司一般不选用PLC构成安全联锁系统，他们认为这样的系统安全系数“S”不能达到“1”；日本的一些工厂在某些装置上尝试过用PLC构成联锁系统，但都是结合逻辑继电器实现的，同时所选用的PLC均具备2个或多个CPU，采用的方案或双台结构，或是三选二结构。这样的选择从投资上看，对于200点以上的系统是合适的。

四、DCS系统的特点分析及实际应用

目前，各种型号的D C S 均具备很强的逻辑处理能力，比如横河（YOKOGAWA）的CENTUM系列DCS，利用顺控表（SEQUENCE TABLE）的形式进行逻辑控制；最新推出的CENTUM CS系统HIA具有梯形图功能、SFC语言、SEBOL功能块等，为多途径实现逻辑控制提供了方便。

另外，如贝利的INFI-90、霍尼维尔的TDC-3000X等，均具备很强的实现逻辑功能的软件包。显然，在DCS中实现安全联锁逻辑是非常容易的，但这样做的可靠性难以确定。

我们知道，DCS之所以被称作集散控制系统，是由于它具备集中管理和分散控制的特点。但是它的分散性是相对的和有度的，并不是真正意义上的绝对分散。高的分散性必然带来高的成本。因此，各种型号DCS的控制检测部分或多或少都要有一定的集成，如CENTUM CS系统，其系统结构见图2。

图2 CENTUM CS系统结构图

从其硬件构造上可以看出，尽管这种系统比原有的老系统分散性提高了，但它的I/O接口单元（NODE）和数字I/O模件等仍采用的是多点模件。

以丙烯氧化反应系统为例，其化学反应式如下：

这是一个控制要求非常严格的过程，3种物料的比例保持在一定的范围内，才能既完成高效率的反应，又保证不致由于失控而引起爆炸，其工艺过程见图3。

图3 丙烯氧化反应工艺过程简图

该过程的停车系统分为两步：

SD-1——仅停止氧气供料；

SD-2——停止包括氧气在内的原料供应，停止循环气压缩机，并用大量氮气吹扫氧气反应工序。

上述两个停车系统共有12个回路，46点（含模拟量输入输出，数字量输入输出）各种信号参与逻辑控制操作。这么多的信号从现场或硬警报设定器进入DCS，不可能做到各自独立占用一个通道，至少由它们组成的逻辑程序是在同一个CPU中运行。这就存在着一种危险，一旦集中多个信号的模件故障或CPU故障，亦或逻辑程序执行有误（如通讯环路阻塞，系统死机等），都会造成整个装置的总停车。尽管在硬件上可以采用冗余措施，以防止系统硬件损坏造成事故，但对于大系统，其成本会显著提高2—3倍。

因此从可靠性来讲，DCS硬件体系的相对集中不适合安全联锁系统的运行要求，也就是说将安全联锁系统依托于同常规控制、管理相同的硬件平台，极易造成一损俱损的局面。这样做的结果使得危险更加集中，也就是系统的非安全因素Fu增大。从DCS的发展史看出，DCS之所以得到广泛的应用，主要是由于它具备分散性的特点，分散性越高，单个元件或单个回路故障对整个系统造成的影响越小，其安全系数“S”越趋近于“1”，同时系统的简单化、直观化、独立化特点有利于故障的排除和维护。

五、ESD系统及SIS系统的特点分析及实际应用

（一）ESD系统与SIS系统关系及区别

ESD（Emergency Shutdown Device）：紧急停车系统，是一个独立于DCS系统的控制单元，在工艺发生危险状况时，对设备、环境等进行紧急的启挺，开关操作。配置设备以高档的PLC居多，多数处理DI/DO点，现在多数与DCS进行通讯。

SIS（Safety Instrumented System）：安全仪表系统，IEC61511将安全仪表系统SIS定义为用于执行一个或多个安全仪表功能的仪表系统。SIS是由传感器（如各类开关、变送器及附属的安全栅等）、逻辑控制器以及最终元件（如电磁阀、电动门及附属的继电器等）的组合组成。

IEC61511有进一步指出，SIS可以包括，也可以不包括软件。另外，如果在安全规格书中对人员操作动作的有效性和可靠性做出明确规定，操作人员的手动操作也视为SIS的有机组成部分，包括在SIS的绩效计算中。

SIS是安全仪表系统，ESD属于SIS的一部分。SIS包括现场仪表、ESD系统、紧急开闭阀三部分，采用HART+4---20mA通讯连线，每个SIS的功能回路均要做SIL评估。为实现SIL2 或SIL3 安全等极，采用两台电磁阀控制紧急开闭阀，三台差压变送器测量同一液位，采用雷达及超声波各一台仪表测同一液位等方法。当然系统安装完成后还要做SIL计算验证，以确保系统达到要求。

SIL（Safety Integrity Level），即安全等级，按照国际标准的规定，将安全等级分为4级，即SIL1—4。其中SIL4等级为最高。所谓SIL其全名为安全完整性等级（Safety Integrity Level），英文缩写为SIL，由每小时发生的危险失效概率来区分（SIL2为≥10-7至＜10-6；SIL3为≥10-8至＜10-7）。

生产过程所需要的安全等级由专门的第三方来评估确定。一般对安全要求比较高的工艺生产过程需要的安全等级为SIL3，SIL4一般应用在核工业上。

（二）SIS系统在化工装置上的应用

一个典型的化工装置为安全所设置的层层保护包括：工艺过程设计；基本调节，过程报警及操作员监视；紧急报警，操作员监视并且手动干预；自动操作安全仪表系统 SIS（Safety Instrumented System）；物理保护（泄压阀、爆破膜）；工厂紧急响应；所在区域紧急响应。

由此可见，从第二层到第四层的保护都是由仪表及自控系统来实现。而仪表系统的最后一层保护（SIS）更是至关重要。它在事故和故障状态下（包括装置事故和控制系统本身发生的故障），使装置能够安全停车并处于安全模式下，从而避免灾难的发生，即避免对装置内人员的伤害及对环境造成恶劣的影响。因而，SIS本身必须是故障安全型（Fail to Safe）的，系统的硬件和软件的可靠性都要求很高。

一个系统的安全等级是包括系统的输入、输出及系统本身硬件在内的整体等级。图4是一个基于停车检修间隔为5年，平均修复时间 MTTR 为24h等一系列假设条件下的典型的SIL2的回路结构：在SIS的输入部分，用3个变送器组成三取二（2oo3）表决。在系统输出环节，则是各带一个电磁阀的控制阀和切断阀。然而这是基于5年停车检修间隔。SIL4只在核电工业装置中出现，石油化工装置最高只需SIL3。因此，一些做总承包的工程公司在设计中考虑达到所要求的SIL的同时，也会在硬件成本上衡量一下，采用价廉物美的方案。如日本的TEC就选择去掉回路中的切断阀，用一个带双电磁阀的控制阀加一个阀位变送器来组成SIS的系统输出部分。

图4 某条件下典型的SIL2的回路结构图

而事实上所有软件的安全运行都是基于硬件安全运行的基础上，因此要确定一个能实现所要求的安全功能的硬件配置是一件非常复杂而重要的工作，只有经过缜密的计算，才能设计出一个相对安全可靠的系统。

六、小结

从近年来自动化安全控制系统发挥的作用来看，危险化学品企业在“安全、可靠、经济、适用原则”条件下通过建设与改造自动化安全控制系统使生产安全得到了保障，很多企业在生产过程中的一些危险情况均及时得到连锁响应和保护；同时也减少了手动操作所带来的工艺参数波动大的问题，保持了生产运行的持续、稳定，降低了生产消耗，提高了产品的质量和产量；另外还将操作人员从恶劣、危险的工作环境和重复机械的体力劳动中解放出来，改善了员工工作环境并减少了企业生产成本。