ESD緊急停車系統

1. 名稱、作用、構成

緊急停車系統（Emergency ShutDown system – ESD）亦稱為安全儀錶系統（Safety –Instrument System – SIS）、安全聯鎖系統（Safety Interlock System–SIS）、安全關聯繫統（Safety Related System – SRS）、儀錶保護系統（InstrumentProtective System – IPS）等。以下統稱ESD。

大多石油和化工生產過程具有高溫、高壓、易燃、易爆、有毒等危險。當某些工藝參數超出安全極限，未及時處理或處理不當時，便有可能造成人員傷亡、設備損壞、周邊環境污染等惡性事故。這就是說，從安全的角度出發，石油和化工生產過程自身存在著固有的風險。

ESD是一種經專門機構認證、具有一定安全度等級，用於降低生產過程風險的安全保護系統。它不僅能響應生產過程因超出安全極限而帶來的危險，而且能檢測和處理自身的故障，從而按預定的條件或程序使生產過程處於安全狀態，以確保人員、設備及工廠周邊環境的安全。

ESD由檢測單元（如各類開關、變送器等）、控制單元和執行單元（如電磁閥、電動門等）組成，其核心部分是控制單元。從ESD的發展過程看，其控制單元部分經歷了電氣繼電器（Electrical）、電子固態電路（Electronic）和可編程電子系統（ProgrammableElectronic System），即E/E/PES三個階段。圖1為由PES構成的ESD。

圖1 ESD的構成

2. ESD的相關標準及認證機構

鑒於ESD涉及到人員、設備、環境的安全，因此各國均制定了相關的標準、規範，使得ESD的設計、製造、使用均有章可循。並有權威的認證機構對產品能達到的安全等級進行確認。這些標準、規範及認證機構主要有：

① 我國石化集團制定的行業標準SHB-Z06-1999《石油化工緊急停車及安全聯鎖系統設計導則》。

② 國際電工委員會1997年制定的IEC61508/61511標準，對用機電設備（繼電器）、固態電子設備、可編程電子設備（PLC）構成的安全聯鎖系統的硬體、軟體及應用作出了明確規定。

③ 美國儀錶學會制定的ISA-S84.01-1996《安全儀錶系統在過程工業中的應用》。

④ 美國化學工程學會制定的AICHE（ccps）-1993，《化學過程的安全自動化導則》。

⑤ 英國健康與安全執行委員會制定的HSE PES-1987，《可編程電子系統在安全領域的應用》。

⑥ 德國國家標準中有安全系統製造廠商標準-DIN V VDE 0801、過程操作用戶標準-DIN V 19250和DIN V19251、燃燒管理系統標準-DIN VDE 0116等。

⑦德國技術監督協會（TÜV）是一個獨立的、權威的認證機構，它按照德國國家標準（DIN），將ESD所達到的安全等級分為AK1～AK8，AK8安全級別最高。其中AK4、AK5、AK6為適用於石油和化學工業應用要求的等級。

3. ESD和DCS的比較

DCS與由PES構成的ESD的主要區別有：

4. ESD設計應遵循的原則

① 原則上應獨立設置（含檢測和執行單元）；

② 中間環節最少；

③ 應為故障安全型；

④ 採用冗餘容錯結構。

5. 故障安全原則

組成ESD的各環節自身出現故障的概率不可能為零， 且供電、供氣中斷亦可能發生。

當內部或外部原因使ESD失效時，被保護的對象（裝置）應按預定的順序安全停車，自動轉入安全狀態（Fault toSafety），這就是故障安全原則。

具體體現：

①現場開關儀錶選用常閉接點，工藝正常時，觸點閉合，達到安全極限時觸點斷開，觸發聯鎖動作，必要時採用「二選一」、「二選二」或「三選二」配置。

② 電磁閥採用正常勵磁，聯鎖未動作時，電磁閥線圈帶電，聯鎖動作時斷電。

③ 送往電氣配電室用以開/停電機的接點用中間繼電器隔離，其勵磁電路應為故障安全型。

④作為控制裝置（如PLC）「故障安全」意味著當其自身出現故障而不是工藝或設備超過極限工作範圍時，至少應該聯鎖動作，以便按預定的順序安全停車（這對工藝和設備而言是安全的）；進而應通過硬體和軟體的冗餘和容錯技術，在過程安全時間（PST-ProcessSafety Time）內檢測到故障，自動執行糾錯程序，排除故障。

6. 隱故障與顯故障

① 隱故障（CovertFault）：不對危險產生報警，允許危險發展的故障，是故障危險故障（SHB-Z06-1999）。

Covert Fault：Fault that can be classified as hidden， concealed，undetected， unrevealed， latent， ect. （ISA-S84.01-1996）

② 顯故障（Overt Fault）：能顯示出故障自身存在的故障，是故障安全故障（SHB-Z06-1999）。

Overt Fault：Fault that can be classified as announced， detected，revealed，ect.（ISA-S84.01-1996）

7. 安全性及響應失效率

當工藝條件達到或超過安全極限值時，ESD本應引導工藝過程停車，但由於其自身存在隱故障（危險故障）而不能響應此要求，即該停車而拒停，降低了安全性。

衡量安全性的指標為響應失效率或稱要求的故障率（PFD：Probability of Failure onDemand）。它是安全聯鎖系統按要求執行指定功能的故障概率。是度量安全聯鎖系統按要求模式工作故障率的目標值（SHB-Z06-1999）。

不同的工業過程（如生產規模、原料和產品的種類、工藝和設備的複雜程度等）對安全的要求是不同的。上述的國際標準將其劃分為若干安全度等級（SIL：SafetyIntegrity Level）。SIL和PFD的對應關係見表1：

表1

工藝條件並未達到安全極限值，ESD不應引導工藝過程停車，但由於其自身存在顯故障（安全故障）而導致工藝過程停車，即不該停車而誤停，降低了可用性。

8. 可用性及可用度

可用度（A：Availability）是指系統可使用工作時間的概率，用百分數計算：

MTBF：平均故障間隔時間（Mean Time Between Failures）

MDT：平均停車時間（Mean Downtime）

9. 冗餘和容錯

冗餘（Redundant）：具有指定的獨立的N：1重元件，並且可以自動地檢測故障，切換到後備設備上。（SHB – Z06 –1999）

冗餘系統（Redundant System）：并行地使用多個系統部件，以提供錯誤檢測和錯誤校正能力的系統。（SHB – Z06– 1999）。

容錯（FaultTolerant）：具有內部冗餘的并行元件和集成邏輯，當硬體或軟體部分故障時，能夠識別故障並使故障旁路，進而繼續執行指定的功能。或在硬體和軟體發生故障的情況下，系統仍具有繼續運行的能力。它往往包括三方面的功能：第一是約束故障，即限制過程或進程的動作，以防止在錯誤被檢測出來之前繼續擴大；第二是檢測故障，即對信息和過程或進程的動作進行動態檢測；第三是故障恢復即更換或修正失效的部件。（SHB– Z06 – 1999）

容錯系統（Fault Tolerant System）：具有容錯結構的硬體與軟體系統。（SHB – Z06 –1999）

總之，通過冗餘和故障屏蔽的結合來實現容錯。容錯系統一定是冗餘系統，冗餘系統不一定是容錯系統。容錯系統的冗餘形式有雙重、三重、四重等。圖2和圖3A.B分別表示CPU冗餘（雙機熱備）和三重化冗餘容錯系統。

圖2 CPU冗餘（雙機熱備）

圖3A 三重模塊冗餘容錯系統

圖3B 三重信號冗餘容錯系統

10. 冗餘邏輯的表決方法及其與安全性、可用性的關係

註：此表中故障概率數據摘自西門子公司資料

以上可見：

① 隱故障（危險故障）使ESD該動而拒動，隱故障概率越高，安全性越差。

② 顯故障（安全故障）使ESD不該動而誤動，顯故障概率越高，可用性越差。

③1oo2（二選一）安全性最好，但可用性最差；2oo2（二選二）可用性最好，但安全性最差；2oo3（三選二）可兼顧安全性和可用性，但結構複雜，成本高。

11. 普通PLC和安全PLC的區別

普通PLC和可以作為ESD控制部分的安全PLC的主要區別是：普通PLC不是按故障安全型設計的，當系統內部元件出現短路故障時，它並不能檢測到，因此其輸出狀態不能保證系統回到預定的安全狀態。這種PLC只能用於安全度等級要求低的場合。現以輸出電路為例予以說明。圖4是普通PLCDO卡示意圖。

圖4 普通PLC DO卡示意圖

當1、2兩點短路時，來自PLC的控制信號將不起作用（失效），電磁閥將一直處於帶電（勵磁）狀態，即需要聯鎖動作（電磁閥釋電停車）時，由於此故障的存在而拒動，其輸出不能保證處於安全停車狀態。這就是違背了故障安全（Faultto Safety）的原則。

當1、2兩點開路時，將導致誤動作而停車，同樣會帶來損失。可見，這種普通PLC的DO卡輸出電路的安全性和可用性都是不高的。

圖5所示為一種帶有安全性單容錯的DO卡示意圖（它是Honeywell SMS FSC-101型輸出示意圖）。

圖5 安全性單容錯DO卡示意圖

這裡，中央處理器不僅向串聯的場效應管（FET）發出控制信號，而且還接受來自場效應管的狀態反饋信號，以便對其輸出進行全面測試。當測得某管輸出發生短路時，中央處理器即啟動糾錯動作，隔離相關的故障。看門狗（WatchDog）是個多通道的計時器電路。它由中央處理器和內存等周期性地觸發，如果兩個觸發之間的時間小於某設定值或者大於某最大值，則看門狗的輸出將失效。同時看門狗還能監視內部工作電壓，使之在正常的電壓範圍內。

以上僅是DO卡上的差別。作為安全PLC，至少應具備以下幾點：

① 滿足相關安全標準規範要求，且經過權威機構認證，取得了相應安全等級證書；

② 在硬體和軟體上採用冗餘、容錯措施，具有完善的測試手段，當檢測到系統故障，特別是危險故障時能使系統回到安全狀態；

③ 能進行系統故障報警，指示故障原因、故障位置，便於在線維護；

④ 能與DCS或其它設備進行通訊。

12. 取得TÜV認證的ESD產品

① FSC（Fail Safe Control）由荷蘭P＆F（Pepperl &Fuchs）公司開發，1994年被Honeywell公司收購。安全等級可達AK6。

② Regent Trusted 美國ICS利用宇航技術開發的安全系統。安全等級 AK4～AK6。

③ Tricon、Trident美國Triconex公司開發，用於壓縮機綜合控制（ITCC）和緊急停車系統。安全等級為AK6。

④ GE Fanuc 90-70 美國GE公司開發。其中GMR（模塊式冗餘容錯系統）的安全等級為Class5（2oo3）、Class 4（1oo2）和Class 5（2oo2）。

⑤ QUADLOG 由Moore公司開發。日本橫河公司收購后稱Prosafe PLC，其1oo2D結構安全等級達AK6。

⑥ SIMATIC S7-400F/FH德國SIEMENS公司產品。400F和400F分別為1個CPU和2個CPU運行fail-safe（F）用戶程序，均取得TUV認證，安全等級為AK1～AK6。

⑦ SC300E AUGUST System公司開發，1997年成為ABB集團成員之一。安全等級為Class 5和Class6。

13. 工藝過程風險的評估及安全度等級的評定

不同的工藝過程（生產規模、原料和產品的種類、工藝和設備的複雜程度等）對安全的要求是不同的。一個具體的工藝過程，是否需要配置ESD、配置何種等級的ESD，其前提應該是對此具體的工藝過程進行風險的評估及安全度等級（SIL）的評定。在確定了某個具體工藝過程的安全度等級（SIL）之後，再配置與之相適應的ESD。表1可以看出，若某工藝過程經評定後為SIL2，則配置達到AK4的ESD即可，其響應失效率（PFD）為百分之一至千分之一之間。應該注意的是不同安全級別的ESD，只能確保響應失效率（PFD）在一定的範圍內，安全級別越高的ESD，其PFD越小，即發生事故的可能性越小，但它不能改變事故造成的後果。因此，工藝過程安全度等級的評定是一項十分重要的工作。但目前我國尚無如何評定安全度等級的標準和規範。2中列出的國際、國外標準中提供了某些評定方法。下面介紹的風險矩陣（RISKMATRIX）評估方法可供參考。

這種方法以工藝過程事故出現的頻率（可能性）及其危害程度（嚴重性）為風險評估的指標，並對頻率和危害程度人為量化為若干級，作出矩陣表（見表2）。以此確定工藝過程度安全度等級。

表2

表2中頻率分級的年限（多少年出現一次）考慮了採用DCS進行監視、控制以及正常操作規程等對於降低事故出現頻率的貢獻，但不考慮ESD的存在。

表2中危害程度從經濟損失、人身傷害和環境危害三個方面予以量化。如表3所示。

表3

14. 邏輯運算的基本規則