DCS与ESD系统

1、DCS与 ESD系统ESD即紧急停车系统(Emergency Shutdown System)，是为生产过程的安全而设置的，它适用于高温、高压、易燃、易爆等连续性生产作业领域。当生产过程出现意 外波动或紧急情况需要采取某些动作或停车时，该系统能精确监测，并及时、准确 地做出响应，使装置停在一定的安全水平上，确保装置和人身的安全。ESD由检测元件，逻辑单元和执行元件组成。1 ESD和DCS的关系ESD与 DCS是完全分离的。DCS主要用于过程工业参数指标的动态控制。在正常情 况下，DCS动态监控着生产过程的连续运行，保证能生产出符合要求的优良产品。 而ESD则是对于一些关键的工艺及设备参数进行连

2、续的监测，在正常情况下ESD是静止的，不采取任何动作。但是当参数发生异常波动或故障时，它会按照已定的 程序采取相应的安全动作，使装置停在安全水平线上。所以ESD和DCS在过程工业中所起的作用不同，既有分工，又成互补关系。同时，ESD也不单是实现联锁关系，它应该凌驾于生产过程控制之上，具有独立性，这样降低了两者同时失效的概率，ESD的安全等级要高于DCS ESD与 DCS的主要区别见对照表1。表1 ESD与DCS的的主要区别2 ESD的设计此部分主要涉及ESD系统逻辑单元的设计，为了设计合适的 ESD系统，应该遵循以 下的原则：(1) 在紧急停车系统的设计中，安全度等级是设计的标准。在ESD的设

3、计过程中，首先应该确定生产装置的安全度等级，依据此安全度等级，选择合适的安全系统技 术和配置方式。目前，我国对于生产装置的安全度等级的划分尚没有设计规范和标准，在应用中应 该参照国际上的有关标准，参比同类装置已经采用的ESD运行情况，结合本企业的 生产实际情况，来确定采用ESD的安全等级要求。根据经验，石化装置一般采用的ESD安全等级为SIL3，即T?V的AK5或AK6（2）紧急停车系统必须是故障安全型故障安全指ESD系统在故障时使得生产装置按已知预定方式进入安全状态，从而可 以避免由于ESD自身故障或因停电，停气而使生产装置处于危险状态。（3）紧急停车系统必须是容错系统容错是指系统在一个或多

4、个元件出现故障时，系统仍能继续运行的能力。一个容错 系统应该具有以下的功能：A）检测出发生故障的元件。B）报告操作人员何处发生故 障。C）即使存在故障，系统依然能够持续正常运行。D）检测出系统是否已被修理恢复常态。容错系统不同于一般的双机热备份系统。一般的双机热备份系统仅仅是模块或总线 上的简单的双热备，一旦输入模块出现了故障，处理器模块也有一块出现了故障， 这时系统可能因此而瘫痪；但是具有容错功能的系统，除了在模块、总线、通讯上 有冗余设计之外，还具有自诊断功能，能准确识别各部件的故障，并对任何故障能 进行补偿。（如：对故障部件的信号强制为指定状态）在选择容错系统时有两个方面需要考虑： 系统

5、是软件容错还是硬件容错为实现容错，一种是在使用标准硬件的基础上用软件实现容错，即SIFT（软件实现容错）；另一种认为软件是系统中最不可*的部分，因此把软件的应用减少到最少， 即用硬件实现容错（HIFT）。在ESD系统中最明显的同原因故障（是指影响系统多处 的故障）就是操作系统，HIFT和SIFT最基本的区别就是为实现容错而需要的软件 复杂程度不一样，只有软件的作用得到了限制，才能保证一定的安全水平。所以应 该采用硬件实现系统容错。 容错系统结构的确定在基于处理器的容错系统中大致可以分成两类系统，一类是双重冗余系统，另一类 是三重冗余系统或三重模块冗余系统，它们的共同特点是都具有表决电路，但究竟

6、 选用哪类系统，又可由装置所要求安全性和可 *性（可用度）来决定。可用度是基于导致系统的故障进行计算的，这故障有引起系统进入安全状态的故障（故障安全故障或显性故障）和引起系统进入危险状态的故障（故障危险故障或隐性 故障），它是系统故障频度的度量。高可用度的重要性在于系统很少出现进入安全 状态或危险状态的故障。高安全性的目标在于避免故障的发生，即使系统出现故障时也不会出现灾难性的事故。一个理想的紧急停车系统应该兼顾安全性和可用性的 要求。A双重冗余系统双重冗余系统提供了第二条信号线路，并在两条信号线路之间提供某种表决格式。一般采用的表决原则有1002双通道2选1表决）和2002双通道2选2表决）

7、。双通道2选1表决，在此系统中，任何一个通道的故障将导致系统误动作，构成或 逻辑。由于两通道均可导致系统停车，因此其安全性高 （隐性故障率低），但误停车 率高（显性故障率高）。双通道2选2表决，在此系统中，必须两个通道同时故障才导致系统误动作，构成 与逻辑。由于需要两个一致才可以停车，因此误停车率低 （显性故障率低），如果2 选2系统的某一通道中存在隐性故障，则有可能引起系统的失效，导致危险发生 （隐性故障率高），因此2选2表决系统安全性低。由此可见虽然双重冗余系统提供了一定程度的容错功能，但由于系统具有公用的切 换部分（这是导致系统同原因故障的最大隐患环节），会使得系统可*性大打折扣。 再者

8、其系统无论采用1002或 2002表决原则，都不能同时兼顾安全性和可用性的要 求。B三重冗余系统或三重模块冗余系统在三重冗余系统或三重模块冗余系统中，系统采用的表决原则都是 2003通道3选 2表决），在此系统中，任何两个通道的故障将导致系统误动作，其逻辑图见图 1。图1 2003表决的逻辑图3选2表决原则意味着出现单个故障的元件不会导致误停车或危险的发生，兼顾了 可用性与安全性的要求。在三重模块冗余系统中是通过多重模块实现容错的，而三重冗余系统是采用一个模 块中的多重电路实现容错的，由于把电路组合在一块卡或模块上增加了潜在的同原 因故障，所以系统设计不应采用此种方案。较好的设计就是不论处理器

9、还是输入输 出都采用模块设计，使同原因故障减到最少。综上所述，采用了三重化模块冗余技术和硬件实现容错，并进行3选2表决逻辑控制运算的紧急停车系统，是最优的选择。同时若将现场重要的检测点改为用3台变送器同时测量，将3选2表决逻辑运算从微处理器一直前推到检测点，会从根本上 保证系统的安全性和可用性。(4) 其它注意的问题 ESD选用的PLC 定是有安全证书的PLC 应该充分考虑系统扫描时间，1ms可运行1000个梯形逻辑。 系统必须易于组态并具有在线修改组态的功能。 系统必须易于维护和查找故障并具有自诊断功能。 系统必须可与DCS及其它计算机系统通讯。 系统必须有硬件和软件的权限人保护。 系统必须

10、有提供第一次事故记录(SOE)的功能。3相关仪表的选型原则(1) 独立设置原则为使ESD免受其他关联设备的影响，现场仪表设计时应遵循 独立设置原则，从检 测元件到执行元件尽量采用专用设备或仪表。 检测元件液位开关和压力开关单独设置；既做控制又做联锁的温度检测点用一块双支热电 偶；既做控制又做联锁的流量检测点用一块孔板加两台变送器。 执行器在停电，停气时能自动回到使生产过程处于安全状态的位置；电磁阀宜选用单控 型，应带有阀位开关，以确认阀位；联锁阀一般不设手轮；电磁阀离控制室较远 时，其电源最好选用220VAC(2) 中间环节最少原则回路中仪表越多可*性越差，典型情况是本安回路的应用。在石化装置

11、中，防爆区 域在0区的很少，因此可尽量采用隔爆型仪表，减少由于安全栅而产生的故障源， 减少误停车。(3) 故障安全原则意味着现场仪表出现故障时，ESD能使装置处于安全状态。现场仪表采用何种故障 安全配置回路，由发生的主要故障来决定的。 检测元件对于一个压力开关，如果确定断电或断线为主要故障，则可确定正常情况下，触点 闭合为故障安全型，事故状态时触点断开，产生报警或联锁。这种情况下，如果要 求压力超高报警联锁，采用常闭触点，工艺超压时为事故状态，压力开关的常闭触 点断开产生报警或联锁。同样情况下，采用同一压力开关，如果要求压力超低报警 联锁，贝炖采用常开触点，工艺过程正常时，压力高于低限，触点是

12、闭合的，当工 艺过程压力低于联锁设定值时为事故状态，压力开关的常开触点断开产生报警或联 锁。同样以压力开关为例，如果确定触点粘连为主要故障，则与以上情况相反，可确定 正常情况下，触点断开为故障安全型，事故状态时触点闭合，产生报警或联锁。压 力开关的应用也与以上情况相反。 执行元件对以电磁阀为执行机构的来说，ESD的输出接点经导线向现场电磁阀供电。对不同 的故障因素，故障安全型的结构不一样。如果确定断电或断线为主要故障，则可确定正常情况下，输出接点闭合为故障安全 型，向电磁阀供电。事故状态时输出接点断开，电磁阀断电，执行机构动作，发生 工艺联锁。这种情况下，ESD俞出接点采用常闭触点（即正常时E

13、SD俞出为1,故障 时输出为0）。如果确定触点粘连或弹簧损坏为主要故障，则情况相反，可确定正常情况下，输出 接点断开为故障安全型，不向电磁阀供电。事故状态时输出接点闭合，电磁阀通 电，执行机构动作，发生工艺联锁。这种情况下，ESD俞出接点采用常开触点（即正常时ESD俞出为0,故障时输出为1）。 送往电器配电室用以开/停电机的接点信号用中间继电器隔离，其励磁电路设计 成故障安全型。即启动信号一般为常开触点，而停机信号，对于小容量电机一般为 常闭触点，对于大容量电机一般为常开触点。4 ESD系统的典型逻辑关系 （1）逻辑运算关系ESD系统的功能是由逻辑运算实现的，在 PLC中是由软件实现的，一般采

14、用布尔代 数运算。输入信号对输出的影响，或者说输出对输入信号的响应，即原因导致结 果，这就是联锁逻辑关系。(2) 典型应用1对触发联锁结果的处理因为石油化工装置的很多工艺过程的安全联锁过程，不是随意可逆的，为了防止工 艺过程不能按正常顺序或意外地恢复或启动，再次形成事故，所以当ESD动作后，输入信号恢复到正常值时，系统不应回到正常状态，应继续保持联锁结果，待操作 员确认系统正常后，由人工复位使系统恢复正常，其典型的逻辑关系见图2(a)和图3。图2典型应用1的联锁图1与梯形逻辑图注意其中RS触发器是R优先的触发器，保证了只要联锁条件成立，复位按钮就不 起作用。过程变量的信号旁路开关(系统软按钮)

15、，仅在输入信号入口将其旁路即 可。另外为保证报警状态的正确，信号旁路逻辑不应屏蔽报警显示输出。过程变量 的信号旁路开关的设置原则是过程变量低限联锁必须设置，而过程变量高限联锁一 般不需要设置。联锁切除(Cut,切除一部分联锁)、自动联锁(Auto)、人工联锁(Manual)的实现可以 采用一个三位开关或两个两位开关。如果用三位开关，则中间位置应为自动位置，两边分别为联锁切除和人工联锁。而采用两个两位开关时，应该一个开关用于 联锁切除，其位置为联锁切除和正常，另一个开关用于自动联锁和人工联锁。由于 两个两位开关功能分开互不影响，所以此方案较好一些。当然，也有一些工艺过程的安全联锁动作是可逆过程，

16、其安全联锁不需要设置自锁 功能，系统在过程恢复正常时，是自动回到正常状态的，也就是没有人工恢复过 程。(3) 典型应用2:联锁阀的双重确认在某些装置中一些联锁阀在联锁时关闭后的重新开启，除了在辅助操作台进行确认 以外(硬复位)，为了安全还需操作人员在操作画面上进行确认 (软复位)，即联锁阀 的双重确认。例如在重油催化裂化装置中，应工艺的要求，烟气蝶阀、烟气闸阀和主风进口止回 阀应采用双重确认，即在主风机复位后，由操作员界面再次确认后方可开阀，逻辑 图见图4。图3典型应用1的联锁图25 ESD系统的工程应用在ESD的工程应用中，首先应在工艺分析的基础之上确定控制方案，然后利用组态 软件进行系统组

17、态和控制程序的设计，最后对编译好的组态程序下装，进行在线的 调试正常后，就可将系统投入使用了。下面对ESD系统工程应用中的两个主要部分加以说明。(1)ESD系统的组态ESD系统组态的主要内容是系统参数设置，硬件配置和通讯通道的连接。控制程序 的设计主要是利用硬件厂商提供的编程软件进行逻辑描述，只要拖、选中各种逻辑 门或触发器，进行有机连接就可实现联锁功能。其一般步骤包括： 首先确定工艺正常时联锁输入，联锁输出采用常开触点，还是常闭触点，即联锁输入，联锁输出逻辑值为0还是1(开关量触点闭合，逻辑值为1;开关量触点断 开，逻辑值为0。此时现场开关量仪表有可能接常开触点或常闭触点)。一般习惯规定工艺

18、正常时联锁输入、联锁输出值为 1,即联锁输入、联锁输出正常时为 1， 联锁输入值变为0时达到自动联锁条件，联锁输出值变为 0时启动自动联锁。如果 有多个联锁输入，其中任意一个达到自动联锁条件时，启动自动联锁，则联锁输入应采用与门联接。要特别注意的是：工艺正常时常开触点(0)或常闭触点(1)与继电器的常开触点或常闭触点并非完全相同。失电状态下断开的继电器触点为继电器常 开触点，失电状态下闭合的继电器触点为继电器常闭触点。 依据控制方案，由真值表或因果图设计信号逻辑关系，并采用逻辑代数的方法进 行化简，列出表达式，按表达式绘出逻辑图。 根据绘出的逻辑图，用硬件厂商提供的编程软件进行逻辑图的描述，即

19、进行离线 程序的开发。硬件厂商提供的编程软件一般都要遵守可编程控制器的IEC1131-3国际标准，支持包括梯形图、顺序功能图、功能块图、结构化文本、指令表以及第三方编程器在内 的多种编程语言和方法。由于梯形图方法简单明了且执行速度快，所以下面对前面 提到的典型应用用梯形图的方法进行描述，见图2(b)和图4(b)。其中图2(b)中的复位(RESET)联锁切除(CUT)、人工联锁(MANUAL和信号旁路 (BY1, BY2)均为1有效；其他输入参数1表示正常，0表示故障；输出参数1 表示正常，0表示故障；I1是一个中间变量，为1时联锁条件成立，0时表示 正常；V1变量对应于电磁阀的输出通道。其中图

20、4（b）中的复位（RES）、人工联锁（MAN和开阀确认（KS1, KS2）均为1有效； 11变量为1时表示联锁条件成立，0表示正常；V1, V2变量对应于电磁阀的输 出通道，1表示阀打开，0表示阀关闭。（2）在线程序的调试程序在线的调试对于检验系统组态和控制程序的正确与否，起着关键的作用，其调 试的具体内容包括： 联锁的再次确认由工艺、设备和自控专业技术人员，讨论联锁设置是否正确，根据工艺设备的要 求，再次对联锁条件进行确认。 对系统的输入、输出值进行检查核对观察卡件诊断图上有无显示输入、输出开路的现象。如有，应检查输入、输出与现 场仪表是否连接好，现场仪表接线是否正确。对于模拟量输入，断开现场仪表接线，从现场加相应信号，检查对应位号显示是否 正确，并根据文件核对仪表量程；对于数字量开关输入信号，使其闭合和断开，观 察其状态是否正确。而对于压力开关或液位开关等，要使用专用仪器，使其处于正 常工况和异常工况，来检查开关的动作值与设计是否相符。对于辅助操作台的硬开 关和按钮以及操作画面上的软开关和按钮，都应一一核对其所处位置与组态定义的 是否一致；对于数字量开关输出信号，应将其强制为逻辑1或逻辑0,观察系统卡件相应通道指示灯或继电器指示灯指示的是否正确。（一般逻辑1时指示灯亮，逻辑0时指示灯灭）