浅析西气东输二线ESD系统的功能安全现状

陈 彦，陈超声

（中国石油西部管道公司，乌鲁木齐 830013）

0 引言

大多石化生产过程存在高温、高压、易燃、易爆、有毒等介质，当某些参数超出可控范围，未及时被发现和正确处理时，将有可能造成物质财产损失、人员伤亡、环境污染等严重事故[1]，例如1984年印度博帕尔农药厂甲基异氰酸盐泄漏，造成近两万人死亡，约5万人失明，20多万人受害，受害面积40平方公里。为了降低潜在风险，保护工艺设备和人员的安全，减少财产损失和安全事故，需要采取一个有效的安全防护装置为过程工艺和设备提供一层安全保障[2]，即安全仪表控制系统 SIS（Safety Instrument System）。

1 安全仪表系统及其功能安全

1.1 安全仪表系统简介

站Mokveld阀门的HIPPS系统。本文中仅对站场ESD系统做进一步分析研究。

1.2 安全仪表系统的安全功能和功能安全

SIS是一种遵循相应设计要求，具有相应安全完整性水平，用于防止事故的发生或降低事故带来的危害及其影响的安全保护系统。SIS由检测元件(开关、变送器等)、逻辑控制单元（输入模块、逻辑运算模块和输出模块）和执行元件组成（电磁阀、调节阀等）[3]。

按照SIS的定义，以下系统均属于安全仪表系统：紧急停车系统ESD(Emergency Shutdown Systems)、高完整性压力保护系统HIPPS(High Integrity Protection System)、列车自动防护系统ATP(Automatic Train Protection)等。

在西气东输二线工程（下文简称西二线）中，站场上涉及到的SIS包括站场ESD系统、压缩机组ESD系统和联络

SIS的安全功能：用一个或多个检测元件、逻辑控制单元、执行元件来防止或减少危险事件发生或保持过程安全状态。西二线站场ESD系统的安全功能就是当站场工艺中出现诸如可燃气、火焰探测器等报警或调控中心和站场ESD命令触发时，运行紧急停运机制，执行关闭进出站阀门、开启越站阀门、停运压缩机组、停运厂房风机、开启放空阀门、触发声光报警等一系列动作，以避免可能出现的安全事故，减小物质财产损失和人员伤亡。

SIS的功能安全：设备安全的一部分，取决于安全仪表系统系统在必要的时候的正确执行。对功能安全进行分析的目的是：避免由于安全仪表系统在故障或者失效的情况下导致的风险。

根据国际电工委员会IEC61508中的定义，甄别SIS的功能安全主要可以通过两种途径:失效识别和安全完整性水平(SIL，safety integrity level)判断。

本文主要通过分析安全完整性水平来评价SIS的功能安全。

通常来讲，石化生产过程中所采用的SIS均属于低要求操作模式（IEC61508将安全功能的生产过程工艺定义为低要求操作模式和高要求操作模式）。在低要求操作模式下，SIL等级的定义由平均失效概率（PFDavg，average probability of failure on demand）来表示，如表1所示。

表1 SIL等级与PFDavg的对应关系

PFD=MTTR/(MTBF+MTTR)

PFD：失效概率；

MTTR（Mean Time to Repair）:平均修复时间；

MTBF（Mean Time Between Failure）: 平均无故障工作时间。

T：时间间隔，实际计算中用TI（建议测试间隔）替代。

2 西二线站场安全仪表系统的功能安全的分析与建议

注：此次分析着重针对关键设备（生产中承担关键工序的设备），对如进排风机、喇叭等数量众多，且功能安全对整个站场ESD系统的功能实现影响不大的设备，不做分析讨论。

因为站场ESD系统所有输入和输出模块都经过浪涌保护器与现场设备隔离，故暂不考虑因回路内增加一个浪涌保护器对SIL等级的影响。

2.1 检测元件

2.1.1 对功能安全的分析

表2 分析检测元件的SIL等级

6 Shafer气液联动执行机构，SIL等级未知无未知 无7 ESD按钮AVW332R，SIL等级未知无未知 无8 Net Safety火焰探测器，SIL等级未知无未知（如火焰探测器为SIL1，则回路达到SIL2）有，已接厂房内每个区域同时被3个火焰探测器监视，回路采用“2oo3”冗余结构9 Optima PLUS可燃气体探测器，SIL等级未知无未知（如可燃气体探测器为SIL1，则回路达到SIL2）有，已接考虑到气体的扩散性，回路至少实现了“2oo3”冗余结构

2.1.2 对功能安全的说明与建议

1）罗斯蒙特压力变送器和温度变送器都达到SIL2，回路采用“2oo3”冗余结构[4]。利用故障树分析法(FTA，Fault Tree Analysis)，如图1所示，因3个变送器的PFD1oo1avg相等，得PFD2oo3avg=3（PFD1oo1avg）2+（PFD1oo1avg）3，该回路可以达到SIL3。

图1 2oo3冗余结构的PFD故障树

2）压缩机控制系统需给站场ESD系统传送压缩机带压/不带压ESD反馈、压缩机运行/停止、就地/远控等信号，这些信号十分重要，不仅关系到站场ESD逻辑，还关系到压缩机远程启/停逻辑，因为中间环节采用魏德米勒继电器DRM270024L将湿接点（压缩机控制系统的输出通道均带有24VDC）转换为干接点，但该继电器未找到SIL等级认证，考虑到该继电器采用机械触点方式，易发生触头磨损、污染、粘结及机械振动、惯性等问题，故将其认定为比SIL1更低，故该回路的SIL等级只能是SIL1或者更低[5]，西二线运行至今，已发生多起因继电器故障而导致的信号中断。建议将继电器型号更换为欧姆龙安全继电器G7SA—2A2B（继电器达到SIL2，且为西三线站场ESD系统的继电器型号），使回路达到SIL2。

3）RMG安全截断阀应用在分输计量撬上，回路采用“1oo2”冗余结构，即一条线路上有两个RMG安全截断阀。利用故障树分析法(FTA)，如图2所示，因2个安全截断阀的PFD1oo1avg相等，得出PFD1oo2avg=（PFD1oo1avg）2，因为RMG安全截断阀达到SIL1，该回路可以达到SIL2。

4）“Shafer气液联动执行机构的SIL等级未知”将在执行元件的功能安全分析中做详细说明。

图2 1oo2冗余结构的PFD故障树

5）ESD按钮（型号：AVW332R）SIL等级未知，但在和泉按钮的产品手册中查到“注： AVW3按钮开关不能作为紧急停止开关使用。若需使用紧急停止开关时，请使用XW 或HW 系列按钮开关。”建议采用和泉按钮的XW 或HW 系列按钮开关，使ESD按钮具备“直接开路动作功能”（即使万一NC触点被熔接，也能通过外力按压按钮强制断开NC触点，切实切断电路）和“安全锁定结构”（即使因疏忽接触到按钮，NC触点也不会断开直至操作部的机构被锁定为止），以上两种功能是IEC60947-5-5的强制要求。

6）Net Safety火焰探测器和Optima PLUS可燃气体探测器的SIL等级均未知，但因回路实现了“2oo3”冗余结构，借鉴2.1.2中1）的分析结果，如探测器达到SIL1，则回路达到SIL2；如探测器达到SIL2，则回路达到SIL3。

2.2 逻辑控制单元

2.2.1 对功能安全的分析

表3 分析逻辑控制单元的SIL等级

表4 SM输入输出模块的诊断类型和解释

2.2.2 对功能安全的说明与建议

1）根据GB/T50770-2013“8.5.6需要线路检测的回路，应采用带有线路短路和开路检测功能的输入、输出卡”，建议将“数字输入模块SDI-1624”改为“带接地故障监控的安全在线监测数字输入模块SDIL-1608”，将“数字输出模块SDO-0824”改为“安全环监测数字输出模块SDOL-0424”——因为SDIL-1608和SDOL-0424具备所有诊断类型，即能满足线路短路和开路的检测功能，需要提出的是，如果更换SDIL-1608，需相应更换现场的ESD按钮，如图3所示，只能提供闭合/断开两种状态，改造后的按钮如图4所示，通过串联1K电阻和并联10K电阻，达到能提供闭合/断开/断路/短路，如图4所示。

图3 原先ESD按钮结构

图4 改造后ESD按钮结构

2）改用“SDIL-1608”另一原因：由于SDI-1624模块没有开路的检测功能，无法区分线缆中断和拍下ESD按钮的区别，因此经常发生由于线缆中断而导致的站场ESD误触发事件，导致站场天然气大量放空，造成巨大经济损失。仅西二线西段2010年及2013年就因线缆中断而误触发全站ESD至少7次。如改用SDIL-1608模块，将有效避免以上事件的发生。

3）改用“SDOL-0424”另一原因：SDOL-0424 模块能提供4个通道，每个通道24 VDC, 最大带负载能力为1 A和24 W；SDO-0824模块提供8个通道，每个通道24 VDC, 最大带负载能力为0.55A和13W。Shafer气液联动阀的ESD电磁阀的额定功率为7.2W，额定的工作电流为0.3A,假设2.5mm2的铜芯软导线电阻率为10Ω/km，现场到机柜间的距离为2km，线路上电阻为40Ω，线路上消耗功率3.6W,如再加上多个端子上的接触电阻，整个回路上消耗的功率将接近或超过SDO-0824模块所能提供的13W。西二线现在的做法：将电源模块的24VDC的正极通过继电器的常闭触点接到电磁阀，以保证对其的驱动，这种做法增加了不可靠的中间环节，大幅度增加PFDavg，如果改用SDOL-0424 模块，不需再接入继电器就能保证对电磁阀的驱动。

2.3 执行元件

2.3.1 对功能安全的分析

表5 分析执行元件的SIL等级

3 RMG安全截断阀，SIL1 无 SIL2 无回路采用“1oo2”冗余结构，达到SIL2等级4 Shafer气液联动执行机构，SIL等级未知有，魏德米勒继电器 未知 无

2.3.2 对功能安全的说明与建议

1）压缩机控制系统需接收站场ESD系统传送的压缩机不带压ESD命令，因为中间环节采用继电器将湿接点（压缩机控制系统的输入通道均带有24VDC）转换为干接点，由2.1.2中2）的分析得出：建议将更换继电器型号，使回路达到SIL2。

2）RMG安全截断阀应用在分输计量撬上，回路采用“1oo2”冗余结构，即一条线路上游两个RMG安全截断阀，当触发ESD命令时，两个截断阀同时动作，借鉴2.1.2中3）的分析结论，回路达到SIL2。

3）Shafer气液联动执行机构存在中间环节继电器：借鉴2.2.2中3）的分析结论，建议逻辑控制单元中改用SDOL-0424模块，即可省去中间环节，如若暂时不能改用模块，也应该更换继电器型号。

4）Shafer气液联动执行机构的SIL等级未知，且在每年的站场ESD系统测试过程中，Shafer气液联动执行机构的确是最容易发生故障的设备，且一旦发生故障，将严重影响站场ESD逻辑的执行。建议措施：以西二线精河压气分输站的Shafer气液联动执行机构ESD1201为例，如图5所示，可将Rotork电动执行机构XV1203所有信号接入站场ESD系统中，参与到ESD逻辑中，与ESD1201构成“1oo2”冗余结构，即当ESD触发时，ESD1201和XV1203将同时收到ESD命令，执行关阀动作，因为Rotork电动执行机构达到SIL2，所以该回路能达到SIL2，但也需考虑Rotork电动执行机构动作时间相对较长对ESD逻辑造成的影响。

图5 ESDV1201与XV1203位置示意

3 结束语

2013年9月1日施行的国家标准GB/T50770-2013《石油化工安全仪表系统设计规范》参考了IEC61508和IEC61511，标志我国的安全仪表系统的设计工作已经走上了规范化，也为我们寻找现有安全仪表系统的缺陷和不足提供了依据。上文对西二线站场ESD系统的功能安全分析只是从现场维护人员的角度做的一次有益尝试，我们的愿景是严格遵循国内外关于SIS的通用技术规范和参考，为投用工程的SIS优化提供建议，为拟建工程的SIS设计严格把关。□

[1] 郑斌.天然气净化装置DCS/ESD系统独立设置要求[J].石油与天然气化工,2010:70-72,86.

[2] 路红梅.安全PLC系统在ESD系统中的应用[J].宿州师专学报,2001:47-48,86.

[3] 杨斌,李锐,候山,等.苏里格气田天然气处理厂ESD系统标准化方案探究[J].石油化工应用,2012:84-87.

[4] 路永宇.提高ESD系统可靠性的途径[J].化工自动化及仪表,2011:88-90.

[5] 臧振胜.SIS设计中应注意的几个问题[J].中国仪器仪表,2012:162-166