燃气SCADA报警设置点再评估研究
2023-09-12彭超龙陈媛秀杨秀平
彭超龙,陈媛秀,杨秀平
(深圳市燃气集团股份有限公司,广东 深圳 518049)
20世纪50年代,世界上第一台过程控制计算机TRW-300在美国德克萨斯州的一个炼油厂正式投入运行,标志着过程控制技术的正式应用。历经起步期、试验期、推广期、发展期、成熟期五个阶段的发展,到20世纪80年代,工业过程控制技术已变得很成熟,并广泛应用于石油、核电、化工、水利、电力、冶金等行业。随着自动化水平的不断提高,可编程逻辑控制系统、分散控制系统、总线控制系统等被广泛使用,增加报警点的设置变得十分容易且廉价,只需在组态软件中简单设置即可[1]。然而正是由于报警点设置的便捷性、任意性以及人们对报警的认识不足,从20世纪70年代末开始,美洲几个国家便陆续发生了几起特别重大的安全事故[2-5]。这些事故发生的原因均是操作人员无法及时从海量的报警信息中找出关键报警信息而导致。
基于以上惨重事故的教训,人们开始对报警有了新的认识。报警并不是设置的越多越好,过多的报警反而更容易增加操作人员的工作负担甚至超出操作人员的处理能力和应对能力,报警信息得不到及时有效处理,将给企业的安全稳定生产埋下严重隐患。因此,系统、科学、有效地设置报警点对保障生产过程安全、可靠运行至关重要[6-7]。
1 报警设置点再评估目的及流程
1.1 报警设置点再评估目的
报警管理是一个持续改进的过程,需要不断地对报警系统定期评估和优化[8]。国际自动化协会(ISA)发布的ANSI/ISA-18.2定义了工业过程报警系统的管理由“操作—监测评估—维护—操作”“操作—监测评估—变更管理—报警识别—合理化审查—详细设计—实施—操作”和“报警识别—合理化审查—详细设计—实施—操作—维护—监测评估—变更管理—报警识别”3个闭环回路构成。第1个回路描述了通过发现现行系统局部的小问题来对报警进行维护,第2个回路描述了在原有系统的基础上运用新的技术方法进行二次改良的过程,第3个回路则是描述了新建报警系统管理的全生命周期过程[9]。报警管理全生命周期流程如图1所示。
图1 报警管理全生命周期流程示意
报警识别提出要基于工程经验、设计要求、失效模式与后果分析(FEMA)、危险与可操作分析(HAZOP)报告、PID图、SIL表、事故因果图等历史资料判断哪里需要设置报警点;合理化审查则提出要对报警系统进行全面检查和设置报警点分类、级别合理化评估,从而建立主报警库。由此可见,对已投运的生产监控系统而言,进行报警点再评审十分重要,识别出重复设置的报警点和无意义的报警点,保留必须设置的报警点。
1.2 报警设置点再评估的流程
以某门站报警设置点为研究对象,为了全面、准确地识别出门站重复设置的报警点,前期必需要对门站的设计要求和生产过程有充分的认识。经梳理可作为门站报警点再评审的依据有:
1)国家和地方颁发的有关城市燃气建设的法律、法规、条例和文件规定等。
2)GB 50028—2006《城镇燃气设计规范》[10]。
3)石油化工、燃气火灾防范,安全联锁控制系统等设计技术规范等。
4)报警设计导则、报警目标、报警设计策略、报警管理策略、报警点表等。
5)报警系统功能要求(ASRS)、管道与仪表流程图(P&ID)、报警设置文档等。
6)危险源识别报告、HAZOP报告、故障树分析报告等。
报警点再评审是一个系统性的工作,既需要多部门协同工作,又需要专门的工具和方法。因此,本文在相关理论综述研究的基础上,采用头脑风暴、因果报警识别与专家评审技术相结合的方法,对该门站SCADA中重复设置的报警点进行了识别和再评估[11-12]。具体流程如下: 在研究相关文献综述的基础上,构建报警点评审分析模型;采用头脑风暴的方法,针对报警点评审分析模型,分别从报警产生的原因、可能造成的后果、报警响应的动作和时间进行分析;根据报警分析的初步结果并结合审查该门站的工艺流程图,采用时延网络技术进一步识别重复设置的因果报警,得到拟取消重复设置报警点清单;邀请专家对拟取消的重复设置报警点进行评审,得到目标报警点。
报警设置点再评估流程如图2所示。
图2 报警设置点再评估流程示意
1.3 报警设置点再评审分析模型的建立
该门站属于易燃、易爆场所,SCADA中设置的报警点涉及多个部门的管理需求。为了全面、准确地将门站所有重复设置和无意义的报警点都识别出来,特别邀请场站运行部、生产调度部、运行调度部、计量管理部、系统运行部、安全技术部专家7人组成报警点再评估分析团队。再评审团队成员基本资料见表1所列。
项目团队成员站在自己专业的角度和出于安全生产管理的需要,对报警点设置再评估分析提出了不同的见解,具体如下:
1)运行调度部认为报警点设置再评审分析应充分利用历史生产数据曲线以及考虑报警发生的频次、报警时间的长短、报警产生的规律等。
2)场站运行部认为报警点再评审分析应从报警点设置的依据、报警点设置的合理性、生产安全的需要、消防法规以及过程安全仪表设计文件的硬性要求等角度分析。
3)生产调度部认为报警点再评审分析应从报警点设置的合理性、必要性、处理的时效性和闭环管理的可能性等角度分析。
4)计量管理部认为报警点再评审分析应考虑贸易计量结算、气质合同要求、供销差和上游管理的便捷等。
5)系统运行部认为报警点再评审分析要考虑报警设置的必要性、报警设置的合理性以及约束条件,无意义和重复设置的报警点不要出现在报警点列表中。
6)安全服务部认为报警点的分析应考虑安全需要和生产需要的相结合,避免关键节点、重要报警的遗漏和疏忽。
7)在开展项目评审前,考虑到系统运行部对报警系统较为熟悉,因此推荐系统运行部的仪器仪表高级工程师担任报警点再评审分析团队的组长,从而引导其他成员参与分析和评审的过程。经与会成员充分讨论,并经过反复沟通,最终形成比较统一的意见。大家一致认为报警点再评审分析可以从报警产生的原因、可能造成的后果、报警响应的动作与时间三个方面分析,从而发现每个报警点设置的依据、设置的必要性和合理性。
报警点再评审分析模型如图3所示。
如图3所示,报警点评审分析模型由三部分组成。生产监控系统设置的报警点出现报警的原因主要有报警参数设置不当、生产过程波动震荡大、生产操作频繁以及设备、仪器仪表自身的异常报警等。报警响应动作与时间主要由两部分组成,一部分是实际操作现场工艺设备的耗时,另一部分是处理报警所需的准备工作耗时,如电话请示、对讲呼叫以及检修、检查仪器的配置等。报警可能产生的后果主要有: 燃气站停输、安全设施保护破坏、爆炸火灾、管道破裂、气体污染、贸易计量纠纷等。
1.4 报警设置点再评审分析
经梳理该门站需要再评估的报警点数量有164个,为了便于分类讨论评估报警过程,本文采用树状分类方法将待评审的报警点分为工艺类、设备类、自控逻辑类和系统通信类四大报警。工艺类是指在模拟量上设定报警上下限,该类报警主要有管道压力、温度、热水及复热前后燃气温度、流量、热值以及加臭量、燃气累积量等,其中限值类报警又分为低限值报警和高限值报警两种。设备类报警是指由于现场设备自身状态发生的异常改变而触发的报警,比如: 紧急切断阀的切断报警,阀门的关闭启动报警、UPS状态异常报警、流量计算机故障报警等。自控逻辑类报警是指逻辑指令的启动或触发而产生的报警,比如: 阀门ESD启动报警、密码错误报警、触发及失败报警等。系统通信类报警主要是指通信数据中断的报警,比如: 上位与下位站点的通信中断报警、串口通信失败报警、网络传输异常报警等。
1.4.1报警产生的原因分析
从报警点再评审分析模型可以看出,报警点产生报警的主要原因有工艺操作、设备故障、生产过程波动和报警阈值设置不当等,对于不同类别的报警点报警产生的原因则会有一定差别。经与会专家讨论,报警点产生报警的主要原因分析见表2所列。
表2 报警点产生报警的主要原因分析
1.4.2报警可能造成的后果分析
从报警点再评审分析模型可以看出,报警点可能造成的后果主要有燃气停输、贸易结算纠纷、爆炸与火灾事故、生产系统瘫痪等。因报警的类型不同、报警产生的原因不同,不同区域设置的报警点可能造成的后果也不尽相同。报警点可能造成的后果分析见表3所列。
表3 报警点可能造成的后果分析
1.4.3报警响应动作与时间分析
生产监控系统报警一经产生,如果报警产生后操作人员无处置措施或者未有足够的时间来处理报警,那么这样的报警可认为是无意义的报警点,系统中则不应设置该报警。从报警点再评审分析模型可以看出,现场调度操作人员针对报警采取的报警响应动作包括主要操作和辅助操作。主操时间是实际进行具体操作需要的时间,如开启阀门操作所需的时间;辅助操作时间则是判断报警、确认报警等所需的时间。报警响应动作与操作时间见表4所列。
表4 报警响应动作与操作时间
2 因果报警设置点分析
本文以生产装置的进站压力高报警为例,识别报警的因果链,旨在进行合理的报警分组时,减少因果报警点的设置数量。在报警评估工作表的基础上,针对门站与工艺相关的生产过程模拟量报警和开关量报警,依据先验知识和评审团队成员的意见,采用时延Petri网分析了目标报警点间的因果关系,并编制了门站进站压力报警关联产生规则表,见表5所列。
表5 门站进站压力报警关联产生规则
鉴于生产系统因果报警的识别和合理的报警分组,可以在短暂时间内甄别出关键报警事件从而避免大规模报警蔓延的恶劣状况发生。为了更好地描述该门站各库所之间的因果关联关系,依据关联规则绘制了报警事件时延Petri网络模型,如图4所示。
图4 报警事件时延Petri网络模型示意
图4中时延Petri网络模型中的符号含义见表6所列。
表6 时延Petri网络模型中的符号含义
从图4可以看出,报警链有H11—H6—H7—H1—H5,H11—H6—H7—H1—H2—H3—H4,H8—H6—H7—H1—H2—H3—H4,H8—H6—H9,H8—H6—H10,H8—H6—H7—H1—H5,H11—H6—H10和H11—H6—H9共8条,报警分组明细见表7所列。当以H1为报警源时,若该报警不处理,时延若干时间后将会产生H1—H2—H3—H4和H1—H5两条因果报警链,从而触发一系列的因果联锁报警。另外,从图4可以看出,触发H1高报警的有H6,H7,H8和H11压力高报警源。由于H4,H5,H9,H10均位于时延网络的末端,其报警可以通过前面的报警给予反映或发出预警提示,因此,站在生产工艺的角度上来说,该报警在压力高报警中可视为重复设置的压力报警点,系统中不宜设置该类报警点。生产装置压力高报警分组见表7所列。
表7 生产装置压力高报警分组
3 重复报警设置点识别
从报警点再评审分析的过程可以看出,若报警管理系统内设置了多个重复的报警点,则它们报警产生的原因、可能造成的后果以及报警响应动作与时间应该是一样的。基于此,本文利用报警点评审分析的结果、因果报警的分组与识别以及结合对该门站工艺流程图的审查,总结出该门站SCADA重复设置报警点的类型见表8所列。
表8 重复设置报警点的类型
基于上述重复设置报警点分类的方法,报警点再评审人员对该门站164个报警点进行了再评审分析和因果报警识别,共识别出同一位置设置多个重复报警点3个,互联互通管道重复设置报警点11个,无意义报警点在系统的堆叠28个,因果联锁反应报警12个,合计54个。
4 结束语
通过对该天然气门站164个报警点进行再评审分析,累计取消了54个重复设置报警点,识别新增了16个报警点,最终保留启用了126个目标报警点,报警设置点总量较评估前减少了23.17%,为改善燃气SCADA报警泛滥提供了目标报警点。但在报警点评审中还应注意: 为了确保拟取消的报警点是合理和安全的,建议由公司安全生产监督管理机构牵头召集燃气工程、机械电子工程、仪器仪表工程、化工安全工程和电气工程等专业的专家对拟取消的报警点进行二次评审;为了保证取消的重复设置报警点是被认可和可追溯的,建议由生产部门在公司OA等数字化管理平台提出了拟取消报警点申请,在完成相关职能部门逐级进行审批后,最终由SCADA维护工程师在报警管理系统中取消相关报警点的设置。