一、 前言
苯酚丙酮装置生产具有高温、易爆、易燃等特点,为了确保装置安全稳定运行,在生产过程中,可以通过采用紧急停车系统(ESD:Emergency Shut Down)确保在生产过程发生异常时使装置的生产过程回到安全状态。所谓紧急停车系统(ESD),是对生产装置可能发生的危险或不采取措施将继续恶化的状态进行响应和保护,使生产装置进入一个预定的安全停车工况,从而使危险降低到最低程度,以保证人员、设备、生产和装置或工厂周边社区安全的系统。FSC是Fail Safe Control故障安全控制系统的缩写,是美国HONEYWELL公司推出的ESD系统。该系统符合安全标准DIN V 19250 AK1-6级和IEC 61508 SIL1-3级。其主要特点是:采用双重冗余技术,FSC系统的双重冗余不同于一般的DCS系统,它的两个CP是同时独立工作的,只相互监视运行状态不进行数据交换;在过程安全时间间隔内进行逻辑回路故障诊断和系统自诊断。作为安全生产的最后一道防线,其I/O扫描率较高(一般为几十毫秒),可靠性安全性更高,主要处理开关量信号,进行逻辑运算。系统根据采自生产过程的工艺参数,判断生产过程的运行状态,当生产过程发生异常或故障时,其以比DCS快几十倍的速度自动进行处理,避免事故的发生或把事故异常造成的损失控制在最小限度。FSC是基于高度自诊断的、微处理器技术的硬件容错系统,该系统连续监测其硬件,通过自诊断程序能诊断出系统内部部件的故障,并消除潜在的隐患,使系统可靠性增强。FSC支持在线监视、程序在线修改。具有安全控制、串行通讯、系统诊断、故障报警、实时记录和历史记录查询等功能。其高度的自诊断功能确保FSC能在过程安全时间内发挥作用,由于FSC系统具有上述特点,2003年苯酚装置扩建,采用了此系统作为联锁停车保护系统,自投用以来,FSC系统确保了苯酚丙酮装置的安全生产。
二、FSC系统构成及工作原理
苯酚装置FSC系统硬件主要由PC机和FSC机柜组成,核心部分是FSC控制站。PC机提供软、硬件组态和SOE事件的实时记录和历史记录查询等功能;FSC控制站则进行安全控制、串行通讯、系统诊断和故障报警等。系统配置如图1所示。
PC机选用1台DELL计算机作为该装置的工程师站、SOE(Sequence of Event)站兼作FIX操作站,采用串行口与FSC机柜中的COM卡进行通讯。
工程师站运行的NAVIGATER在线逻辑监控软件主要通过通讯来完成FSC系统的硬件、数据库、控制逻辑等组态、下装、在线修改、在线检测、离线测试及系统维护等功能。在线状态监测和输入输出强制功能使维护更加方便直观。FSC系统的连续自诊断功能使其对自身软硬件及现场设备做出诊断,以获得有效信息,确保工厂安全连续生产。同时将这些诊断信息通过FSC浏览器提供给显示画面。通过诊断,FSC系统使维护工程师能够有效迅速地定位并解决故障,减少故障率,降低对工厂产生的危害。NAVIGATER软件允许用户将FSC系统中的控制程序与FSC用户工作站中的应用数据库做比较。这种特性将保证FSC运行程序与FSC用户工作站的程序一致。
FSC系统的事件顺序记录功能由PC机上的SOE软件实现。FSC系统自身具有事件顺序记录(SER)功能,可以将最近发生的200个事件顺序记录到自身的缓存中,而SOE事件记录软件通过与FSC系统的通讯把缓存中的事件记录读入计算机并允许用户查阅、检索等。SOE事件记录软件通过对事件发生的历史顺序进行记录,时间精度高,事件记录以FSC程序运行周期为准,分辨率在300Ms左右,完全可以满足需要。一旦程序开始执行,FSC系统检查所有定义的过程变量的状态,一旦任何过程变量发生变化,系统的时间缓冲区就会记录下此事件,这些事件对分析联锁停车事故及为有利,可以快速地分析出引起故障的原因,最大限度地减少停车事件,提高生产效益。
操作员站安装的是FIX监控软件,利用此软件进行联锁流程画面绘制、数据库、报警点等的组态,通过MODBUS协议与FSC系统进行通讯。作为操作站工艺员可以对流程画面进行实时监控。
辅操台在操作室操作站旁是系统的辅操台,上面安装着一些硬手操开关。开关主要有三类:停机开关、允许启动开关、置位开关。
停机开关式是两位式开关,允许开关和置位开关是复合式开关,即将开关打到“置位”或“允许启动”的位置后松开,它会自动弹回。要启动一些带联锁的设备必须置开关于“开”位置,设备开启之后如因工艺条件造成联锁停车,只有当工艺条件具备并将必须置位的开关打到允许设备开的位置才能正常开车。
苯酚FSC系统机柜采用FSC-1002D配置。即冗余的中央控制器、部分冗余,部分单个的I/O模块配置方式。结构如下图2所示
CP(中央控制器部分)是模块化的微处理器系统,是FSC系统的核心部分。每个CP都由CPU、通讯口(COM)、WATCHDOG 和I/O通信接口等组成。每个CP上都有一个VBD和一条V-Bus,用于控制所有I/O模件。一个VBD可以控制10个I/Orack,即I/O卡笼。每个I/O卡笼由HBD控制H-BUS通讯。CP从现场读入数据,按照逻辑图中组态的控制程序执行,并将执行结果传输到输出模块,并且对FSC硬件做连续的测试,确保系统安全可靠。冗余的CP之间通过专门的通讯线路保持同步,并将两个CP的输出结果进行内部校验,以保证逻辑关系的正确性。当其中一套CP发生故障时,不会影响到另一套,自动切换到另一套CP,切换过程实现0延时切换,也就不会影响生产过程。同时双CP结构在对组态进行修改时,分别在一套CP 上进行,不会影响装置的运行。
三、FSC系统的通讯端口设置:
FSC系统具有强大的通讯功能,可以支持冗余CP之间的通讯,FSC与FSC之间的通讯;与组态维护PC之间的通讯及与TPS系统的通讯等。
每个CP最多可容纳4个通讯模块,卡的序号由左向右排放。每块卡上有两个通讯端口,可根据用户需要配备RS485,RS422,RS232等不同接口。8条通讯线路,可以单独运行,也可以通过通讯线路与具有标准通讯接口的系统/设备通讯。在苯酚装置FSC系统中,共设置了三块通讯卡COM1、COM2、COM3,每块卡上有A、B两个通讯口。
1、FSC系统内部通讯
RS-422通讯口 通讯卡1(COM1)A通讯口,作为冗余CP间的通讯端口(冗余CP间通讯必须用RS-422通讯口,且为第一块卡第一个口)保持冗余CP间同步,并将两个CP的输出结果进行内部校验,以保证逻辑关系的正确性。
2、FSC系统与PC机之间的通讯
这台PC机上有上三个COM口分别对应如下通讯口,进而建立了工程师站、FIX站、SOE站与FSC控制柜之间的通讯。
RS-232通讯口 通讯卡1(COM1)B通讯口
RS-485通讯口 通讯卡2(COM2)A通讯口
RS-232通讯口 通讯卡2(COM2)B通讯口
3、与HONEYWELL TPS系统之间的通讯
FSC系统可以通过通讯卡SMM挂在UCN网上,成为UCN网上的节点,也可以RS-233/485通讯方式通过HPM上的SM卡(串行通讯卡)将数据传送到TPS系统中。
在本系统中通过10008/2/通讯卡(COM3)利用UCN电缆与HONEYWELL TPS系统建立起通讯。如图3所示:
图3
四、应用
1、氧化塔联锁的实现
氧化工段是苯酚丙酮生产中的一个很重要的环节。氧化反应的目的是以一个合适的速度和最高的效率来合成CHP(异丙苯),而异丙苯的氧化是典型的链式,自催化反应,产品过氧化氢异丙苯是其引发剂,它的存在使反应在一定条件下产生加快的趋势,而过快的反应会带来安全隐患,其中最大的威胁就是氧化塔的温度过高将引起爆炸,因此工艺要求每个氧化塔都设有四级温度报警联锁。一级报警提醒操作人员注意。当温度进入二级报警时联锁系统启动,将自动关闭循环冷却器旁路调节阀和加热蒸汽调节阀,使系统有足够的冷循环物料进入氧化塔以降低氧化塔的温度,使其回到正常温度。当温度进入三级报警时,联锁系统将自动关闭进料控制阀,停止异丙苯、空气进料;如果温度继续上升达到氧化塔四级联锁温度,氧化塔将自动泄压,同时将事故激冷水直接注入氧化塔,阻止氧化的继续进行,并使氧化塔的温度迅速降低到65度以下,从而达到装置的安全联锁停车。
氧化单元温度工艺参数如表3所示 :
氧化塔PT-1的联锁:TT3105A、TT3106A、TT3107A分别是氧化塔PT-1的上部、中部、下部的三个温度,当其中任一温度超过106℃时,氧化塔PT-1就产生温度高报警。
TT3101、TT3102、TT3103是氧化塔PT-1的上部、中部、下部的三个温度,TY3104B是一个高选器,TSHH3104是二级温度联锁设定值。TV3104是氧化塔PT-1的冷却器旁路调节阀,故障关(FC),即联锁时此阀关闭;FV3110是氧化塔PT-1循环至冷却器调节阀,故障开(FO),即联锁时此阀打开;XV3110是氧化塔PT-1冷却器蒸汽切断阀,故障关(FC),即联锁时此阀关闭。三个温度点通过高选器输出其中最高的温度值。正常条件下,三个温度都应低于二级温度联锁设定值110℃,此时,TSHH3104输出为1。当三个温度中有任一个高于设定值110℃时,通过高选器输出后在与设定值比较输出0,这时阀开始动作:TV3104关闭、FV3110打开、XV3110关闭。切断蒸汽加热,达到使温度降低的目的。
二级温度联锁FLD图如图4所示:
相对于二级温度联锁,氧化塔的三级温度联锁相对复杂,且只要有一个塔的一个温度超过各自的三级温度联锁设定值,整个氧化塔就停车(PT-1、PT-2、PT-3、PT-4都停)。其FLD图如图5所示:
TT3105A、TT3106A、TT3107A分别是氧化塔PT-1的上、中、下三个温度,TT3205A、TT3206A、TT3207A分别是氧化塔PT-2上、中、下三个温度,每个温度点都要与设定值进行比较,正常条件下,每个设定值比较器输出值都是1,经过与门(AND)输出1。FV303是氧化塔PT-3进料调节阀,气开阀;LV3400是氧化塔PT-4液位调节阀,气开阀;LV3100是氧化塔PT-1液位调节阀,气开阀;LV3200是氧化塔PT-4液位调节阀,气开阀;XV3102是氧化塔PT-1进料切断阀,气开阀; XV3202是氧化塔PT-2进料切断阀,气开阀; XV3302是氧化塔PT-3进料切断阀,气开阀; XV3402是氧化塔PT-1进料切断阀,气开阀;XV3000是氧化进料加热器蒸汽切断阀,气开阀。当有任一温度高于设定值时,经过比较器输出0,联锁,FV303、LV3400、LV3100、LV3200、XV3102、XV3203、XV3302、XV3402、XV3000关闭,整个氧化单元停车。
氧化塔PT-3、PT-4三级温度联锁设定值与PT-1、PT-2不同,分别是109℃、107℃。
氧化塔如果达到四级联锁温度,氧化塔就要注入激冷水,使其温度迅速降下来。
以氧化塔PT-1来说,TT3105B、TT3106B、TT3107B分别是氧化塔PT-1的上、中、下三个温度点,当有任一温度值超过四级温度联所设定值116℃时,氧化塔PT-1的塔顶激冷水切断阀XV3103自动打开,向塔内注入激冷水使其温度迅速降低确保安全,避免氧化塔发生恶性事故。
2、氧化塔循环泵联锁的实现
以氧化塔循环泵联锁系统为例(联锁关系见附图),当氧化塔循环流量低时会导致循环泵停泵,反之,当循环泵停泵时也会导致氧化塔循环流量低,两个条件互为因果,互相影响。这样,当系统联锁发生时,判断分析出哪一个条件是导致联锁产生的原因就是十分重要的。
如:2004年3月3日1点25分,PP-9E泵停止运转,工艺人员现场启动PP-9F泵,但无法启动,最终导致氧化系统联锁停车。
PP-9E,PP-9F泵联锁停条件如下:
a、FT3310,FT3311A,FT3311B三个流量中有两个低于90m3/h。(当FT3310,FT3311A,FT3311B三个流量中有两个低于90m3/h后10分钟,氧化停车)
b、XV3301开度小于90%(ZSO3301为0)。
c、TT3310,TT3311高于116℃。
PP-9E,PP-9F泵可以启动条件如下:
a、 XV3301开度大于90%(ZSO3301为1)。
b、手动复位HS-3311。
c、复位30秒内,启动泵,使FT3310,FT3311A,FT3311B三个流量中至少有两个高于90m3/h。(如果在30秒后,FT3310,FT3311A,FT3311B三个流量中不能有两个高于90m3/h,则启动失败。)
经事后分析检查FSC系统的SOE事件记录和FIX的报警事件记录发现:1点25分FT3110,FT3311A,FT3311B流量分别降至87.94m3/h,71.54m3/h,70.20m3/h,低于FT3310,FT3311A,FT3311B的联锁设定值90m3/h,经联锁逻辑延时20秒后,产生报警FALL-3311信号,同时送往电气的停泵信号SPP-9E,SPP-9F联锁停泵。10分钟后,1点35分氧化联锁停车。1点44分,送往电气的停泵信号SPP-9E,SPP-9F恢复,判断是因为工艺人员手动复位HS-3311。30秒后, 由于FT3310,FT3311A,FT3311B的流量并未恢复,送往电气的停泵信号SPP-9E,SPP-9F再次联锁停泵。1点45分,SPP-9E,SPP-9F再次恢复,判断是因为工艺人员再次手动复位HS-3311。30秒后, FT3310,FT3311A,FT3311B的流量仍未恢复,送往电气的停泵信号SPP-9E,SPP-9F再次联锁停泵。1点47分,SPP-9E,SPP-9F再次复位,26秒后,FT3110,FT3311A,FT3311B流量分别提升至278.71m3/h,289.97m3/h,295.50m3/h,报警信号FALL-3311恢复正常。此后,系统恢复正常。在此期间,ZSO3301,TT3310,TT3311信号均无异常变化的记录。
由以上记录分析,1点25分FT3110,FT3311A,FT3311B流量下降低于联锁值90m3/h,因而送往电气的停泵信号SPP-9E,SPP-9F联锁,导致工艺人员现场无法启动PP-9F泵。虽然工艺人员后来两次手动复位启动泵,但由于FT3110,FT3311A,FT3311B流量都未能及时达到联锁要求,使启动失败,直到第三次复位启动才成功。因此,此次联锁发生原因是由于FT3110,FT3311A,FT3311B流量低于联锁值造成的,因为FT3110,FT3311A,FT3311B测量的是同一点的流量,且为三选二逻辑,并且由于后来FT3110,FT3311A,FT3311B流量又都能够恢复正常值,故可以认为现场测量仪表没有故障,1点25分循环流量下降的原因是由于工艺条件不具备造成的。
通过这一事例可见,通过对SOE事件记录等历史记录的分析对于判断这种有互锁关系的逻辑事件发生的原因是极有帮助。
此外, SOE事件记录软件记录的是开关量输入输出点的变化,利用NAVIGATER软件的在线逻辑实时监控功能和FIX软件历史数据可以完成对一些中间变量和模拟量的变化的监控分析。
3、苯酚装置I-3联锁事故过程
7月26日23时55分,苯酚装置氧化温度超高触发I-3联锁;造成联锁的事故过程和事故分析如下:
一. 事故过程
2007年7月26日23时55分,苯酚装置I-3联锁被触发,造成氧化、提浓和分解工段停车;经仪表值班人员检查SOE记录和联锁逻辑,发现氧化三塔TT3307A氧化塔底下部温度超过109度三级联锁值造成系统I-3联锁触发。
二. 处理经过及分析
从DCS流程画面上看该点温度显示为-2.8度。其它温度点包括一点两取的温度点TT3307B均在94度左右。去现场对温度TT3307A/B一点两取的热电偶(T型)进行端子检查,无松动和进水生锈的情况。并且对其双只热电偶进行毫伏值测量,均为2.82mv,对应温度值为94度左右。拆除信号线,在信号线上加载4~20mA电流信号,室内FSC及DCS上温度显示均在0~150度间对应变化。现怀疑温度变送器存在问题。拆除温度变送器,从车间库房取得一个新的温度变送器,进行调校,并且安装。温度指示正常其值为94.41度。
对下线的温变进行检查,在温变上加载一只热电偶并用275进行通讯,275通讯显示无任何故障。串进电流表,其电流值指示也正常。在DCS的历史局势画面上看,在26日23点58分有一个向上的跳变的过程,其峰值将近103度左右,已经达到报警值,但历史局势没有记录到触发联锁值109度的温度值,(在瞬间DCS没有采集到这个峰值)随即下落到-2.8度。直到更换一个新温变之后温度值恢复正常。
对原TT3307A温变经过三天的试验测试观察,捕捉到一个突然向上的峰值。所以本次事故的主要原因,终于尘埃落定。解除了FSC系统存在隐患的顾虑。
五、应用体会
1、SOE软件要打开,SOE事件记录要定期导出,也可以在SOE中设置每个星期自动导出,如果不导出,事件过多就会淹没以前的事件不便于查询。
2、若出现联锁停车事故,SOE记录所有引起FSC系统参数的改变,可以通过SOE事件记录、FIX操作站参数历史趋势结合FSC联锁逻辑图很容易分析出引起系统停车的原因,根次采取相应措施处理故障以及避免类似情况的发生。
3、在FSC系统运行期间尽量不要把CP中强制锁打到强制挡,如果需要进行强制要及时解除如没有及时解除在机柜门在做好标识,以免有人误操作把强制锁打到不强制位置而解除了强制,这将有可能造成联锁停车事故。
4、每日巡检要进行自诊断以便及时发现存在的隐患。
六、总结
FSC系统自使用以来,大大提高了联锁安全系统的可靠性,通过各种在线通讯软件的使用,对生产装置中的联锁量信息进行实时采集和记录,在PC机上显示,实现了把过程控制与信息管理有机的结合起来,有利于工艺人员对整个生产流程的控制操作,方便了仪表维修人员对联锁故障的分析处理,提高了对联锁故障处理的效率。从而可以及时解决出现的问题,降低安全设备的安装成本,减少为符合安全标准的所需成本,提供更具生产效率的工具,改进工厂的生产效率。整套安全管理方案可大大降低故障率,减少或避免非故障停车,增加生产线的运作时间。帮助工厂实现安全管理,降低安全维护费用,提高工厂的生产效率及利润。
参考文献:
1. FSC手册
2. 联锁逻辑图
3. 苯酚丙酮岗位操作法
作者简介:
孟庆丽,2001年毕业于北京石油化工学院自动化系,现工作于燕山石化生产运行保障中心,从事仪表技术工作。