基于蓄熱氧化的安全儀表技術設計研究

肖 正

（1.瓦斯災害監控與應急技術國家重點實驗室，重慶 400037；2.中煤科工集團重慶研究院有限公司 瓦斯研究分院，重慶 400037）

0 引 言

現有的瓦斯蓄熱氧化井筒加熱系統是一種新型的工業過程控制系統。溫度、瓦斯氣體流量、濃度及壓力等參數經過傳感器采集后直接顯示在監控系統上。現有的監控系統存在無法實現遠程、智能化的故障診斷和緊急停車等問題，很大程度上制約了系統安全穩定運行。安全儀表系統作為一種能夠診斷潛在危險的停車保護系統，在本質安全中起著安全防范的作用。

20世紀科學技術的飛速發展促進了經濟和工業的進步，同時也造成了嚴重的能源消耗。信息化、機械化的大量應用和工業的快速發展伴隨著潛在風險的增加。為了降低設備的故障率，有必要開發一個對設備異常進行預檢測和診斷的決策系統。

20世紀60年代，以繼電器元件為起始，逐漸從簡單的繼電器系統發展到微處理器和可變程序調節器，從單回路系統發展到冗余容錯系統，能夠檢測系統的異常行為，并啟動計劃給予反饋。

20世紀70年代，在冗余機制方面，安全系統采用了三重冗余多數表決機制(TMR)。

20世紀90年代，伍德沃德公司的Micro-net TMR系統、康吉森公司的Tricon系統、霍尼韋爾公司的FSC系統、英國工業控制服務集團公司的Regent系統等推出了三重化冗余、冗錯功能的安全系統。

容錯機制是指當一個或多個組件發生故障時，系統可以繼續運行。容錯系統的目的是發現故障并清除故障的影響。安全儀表系統能夠實現系統相關設備故障冗余和自診斷的容錯特性。

1 安全儀表系統

1.1 系統組成

安全儀表系統（SIS）對生產設備裝置存在的潛在的危險或不采取措施將繼續惡化的態勢作出反應，使系統能處于安全停車的工況，降低危險的程度和損失。

一般安全等級高于控制系統，聯鎖信號由安全儀表系統直接觸發。安全儀表系統由傳感器、運算處理器和執行元件組成。傳感器檢測現場的數據是否異常，通過運算處理器開發的算法輸出控制信號，執行元件接收到控制信號并發出指令，消除過程中隱患。

安全儀表系統主要分為2類：硬線式和可編程式。

（1）硬件線路采用模塊化架構，設計了獨立的器件，器件之間的邏輯關系是通過硬線構建的。同時，可以在線診斷和測試系統的輸入/輸出通道，便于故障識別和處理、串行通信、維修更換。通常采用冗余配置來提高系統冗余容錯性能。

（2）可編程系統應用最廣泛。系統以運算處理器為基礎，一般采用模塊化結構。通過軟件和電子固件對邏輯程序進行編程，具有強大、方便的編程能力。

安全儀表系統組成結構如圖1所示。

圖1 安全儀表系統組成結構Fig.1 Composition structure of safety instrument system

1.2 安全回路設計

對于蓄熱氧化復雜的生產工藝技術，將同時設計安全儀表系統和過程控制系統，2個系統的控制對象相同，2個系統之間既有區別又有聯系。

區別在于過程控制是一個實時動態系統，設計了控制反饋回路，系統的輸入/輸出主要是模擬量信號，運算處理器根據被控對象的偏差結合算法調節過程變量。同時，在系統運行的過程中，要根據工況調整系統的被控參數（如濃度、工藝、閥門開度的設定值等）。

安全儀表系統的自動運行不需要人為干擾，相對處于被動靜止的狀態。它的控制回路是由傳感器、運算處理器、執行元件組成的簡單開環回路。安全系統不產生任何動作，只有當安全回路的測量值達到設定值時，才會觸發回路動作。

過程控制系統的主要目標是保證生產過程的連續性，而安全儀表系統則提高了生產過程的可靠性。2個系統通過標準工業協議進行通信，使過程控制系統能夠實時監控安全儀表系統的當前狀態、運行狀態和聯鎖結果。

過程控制系統與安全儀表系統的設置和分工如圖2所示。

圖2 控制系統與安全儀表系統的設置和分工Fig.2 Setting and division of process control system and safety instrument system

安全回路由傳遞單元、邏輯控制單元和最終執行單元組成。回路中儀表越多，可靠性越差。特別是在本質安全電路中，基本上沒有零隔爆區，為減少本質安全類隔離模塊引起的故障停機，應盡量配置隔爆型儀表。

安全儀表系統回路結構如圖3所示。

圖3 安全儀表系統回路結構Fig.3 Circuit structure of safety instrument system

以蓄熱氧化工藝的液位控制單元為例，液位儀表回路由5個元件組成：液位傳感器、程序邏輯運算器、執行元件（液位控制閥）、安全完整性等級（SIL）和響應時間。

其中，液位高報警-L1接點閉合-繼電器Z帶電，觸點Z1常閉，電磁閥S線圈斷電。切斷電磁閥S，關閉調節閥發出的控制信號，切斷工藝流體，完成聯鎖保護功能。

開關按鈕K起有復位并聯鎖保護回路的作用，開關按鈕K停則對人工強制起動聯鎖做保護，開關按鈕K旁為旁路聯鎖保護，一般用于開車或檢修。

液位安全儀表系統回路如圖4所示。

圖4 液位安全儀表系統回路Fig.4 Circuit of liquid level safety instrument system

2 安全儀表系統設計

在工藝生產運行過程中，當安全儀表系統發生危險故障時，將當前狀態切到設計的安全狀態。在安全儀表系統的設計過程中，一般根據安全生命周期的內容來制定，設計過程中的關鍵環節為：①以標準IEC61508為依據確定對象的SIL安全度等級；②確定SRS安全要求技術規范、完成SIS的初步設計和詳細設計；③SIS不夠完善時判斷是否停用或改進安全控制系統等。

SIS設計步驟如圖5所示。

圖5 SIS設計步驟Fig.5 SIS design step

2.1 蓄熱氧化SIS設計原則

新建的蓄熱氧化井筒加裝置的SIS采用了基于康吉森公司基于TMR（三重化）技術的TRICON平臺，主處理器和IO卡件完全三重化設計，系統已通過TUVAK6認證，滿足IEC91150 SIL3的安全等級要求。

在硬件配置和方案上，安全儀表系統應設計與生產工藝過程相匹配的安全完整性等級SIL（Safety Integrity Level），安全等級分為SIL1～SIL4，SIL評價參數為平均危險故障率，由高到低分為1～4級，只有SIL1，SIL2，SIL3級適用于煤炭化工相關領域，危險性的工藝單元才涉及SIL4級。

SIL等級與故障概率相應關系見表1。

表1 SIL等級與故障概率相應關系Table 1 Corresponding relationship between SIL level and failure probability

結合安全度等級，根據方案中三取二的信號，將現場變送器信號接入3組不同的IO卡，避免因任一卡件故障導致現場停機。

當現場變送器信號同時進入SIS系統和過程控制系統時，應設計為先進入SIS系統，再通過信號轉換器將信號接入過程控制系統。

從故障安全的角度對執行機構進行設計是有必要的，正常工況為帶電狀態。

采取電磁閥冗余設計時，優先采用隔爆、低功耗的原則，并聯方式提高可用性，串聯方式提高安全性。

2.2 TMR容錯冗余設計

容錯功能通常是在軟件算法上得以體現，而TMR系統則利用電子電路和物理芯片來完成系統的故障診斷、冗余和容錯管理功能的搭建。

物理硬件的容錯設計降低了處理器之間的通信負荷。三重化冗余技術是指實現重要電路的三重化，每個單元是獨立的但功能又完全相同。在信號輸出之前，通過物理芯片的表決進行處理。當三路中有一路發生故障時，經三取二芯片表決后，信號將被屏蔽，系統仍能正常工作，不會因內部故障而聯鎖相關動作。

現場過程數據經輸入模塊檢測后，寄存在各輸入模塊的緩存器中，然后傳輸到三重化冗余模塊的內部總線處理。主處理器以同步方式運行，計算結果傳送到輸出模塊進行表決，最終控制驅動輸出電路。

TMR系統按周期掃描程序提供周期性容錯控制。如果內部電路發生故障，在發布故障通知后，主處理器不會中斷。

TMR主控制器三重化結構如圖6所示。

圖6 TMR主控制器三重化結構Fig.6 Triple structure of TMR main controller

2.3 安全聯鎖設計

蓄熱氧化井筒加熱裝置甲烷氧化工藝運行工況的溫度為1 000℃，生產過程中涉及到的物質有甲烷、柴油、蒸汽等，且多在高溫、高壓下進行，為保障工藝以及設備安全，儀表安全系統按SIL3等級設計了相關的緊急停車和安全連鎖方案。

原料氣瓦斯摻混后濃度C01_A、C01_B、C01_C三取二＞1.2%時，瓦斯切斷閥關閉、原料氣放空閥打開、蓄熱氧化裝置旁通閥打開同時執行動作。

摻混瓦斯濃度聯鎖圖如圖7所示。

圖7 摻混瓦斯濃度聯鎖圖Fig.7 Interlocking diagram of mixed gas concentration

蓄熱氧化裝置氧化室溫度TE_1A、TE_1B、TE_1C三取二或＞1 050℃時，主風機自動降負荷，瓦斯切斷閥關閉、原料氣放空閥打開、蓄熱氧化裝置旁通閥打開同時執行動作。

蓄熱氧化室溫度聯鎖圖如圖8所示。

圖8 蓄熱氧化室溫度聯鎖圖Fig.8 Temperature interlock diagram of regenerative oxidation chamber

3 結 語

安全儀表系統能夠完成一項或多項安全性能，是集故障診斷、冗余容錯、事件日志等多功能于一體的安全系統。安全儀表系統作為現代流程工業降低風險、保證安全的有效手段，越來越受到人們的重視。

安全儀表系統與過程控制系統既有區別又有聯系。其主要目的是提高生產過程的可靠性，降低整個系統的風險。

在瓦斯蓄熱氧化井筒加熱項工藝生產過程中，存在多種因素導致工況參數異常，當被控參數失調（不在工藝參數設計范圍）時，這時不僅影響產品的質量和產量，還可能導致生產事故的發生，造成設備的損壞甚至危及人身安全。