2014年11月13日,國家安全監管總局發布的《國家安全監管總局關于加強化工安全儀表系統管理的指導意見》(安監總管三〔2014〕116號)文件,對GDS的設置產生了重要影響。目前,在編制GDS的規格書時,有些設計將GDS當作是安全儀表系統,有的要求其安全完整性等級(SIL)為SIL1,SIL2或SIL3,也有的只要求其具有SIL等級,而并沒有明確提出具體的SIL等級,相對來說比較混亂。本文根據有關標準規范、管理文件并結合大型聯合化工廠的實際情況,討論GDS的設置。
現代大型聯合化工廠是由多套化工生產裝置及公用工程裝置組成的,各生產裝置之間通過各種物料相互聯系,使生產裝置與公用工程裝置構成了一個有機整體。化工生產裝置都配置了用于過程控制和數據采集的分散型控制系統(DCS),用于生產裝置安全聯鎖保護的SIS,用于生產環境監測的GDS等。
大型聯合化工廠的地域較大,生產裝置現場中的操作人員較少。為減少信號線路的長度,采用中心控制室和現場儀表機柜室相結合的方式,中心控制室設置在遠離生產裝置的安全區域,現場儀表機柜室設置在緊鄰生產裝置的適當區域。該模式下按照安裝區域可大致劃分為以下5個部分,各部分的安裝位置是相對固定的。
1)安裝在生產裝置現場的有溫度、壓力、液位、流量、成分分析等檢測儀表和控制閥、切斷閥等執行類儀表。
2)安裝在現場儀表機柜室內的控制站(器),包括電源柜、系統柜、安全柵柜、繼電器柜、接線端子柜及儀表控制系統的一層網絡柜等設備。
3)現場儀表機柜室與中心控制室的機柜室之間相連接的不同路徑的冗余光纖。
4)安裝在中心控制室的儀表機柜室內的設備,包括電源柜、各控制系統的二層及三層網絡柜、SIS或CCS的遠程I/O柜等。
5)安裝在中心控制室內的各控制系統的操作站、SIS或CCS的輔助操作臺、打印機等設備。
現場儀表與安裝在現場儀表機柜室內的控制站相連接,控制站與各自的一層網絡交換設備相連接;現場儀表機柜室內的各控制系統的網絡設備,通過不同路徑的光纖與中心控制室的儀表機柜室內的各自控制系統網絡設備或SIS,CCS的遠程I/O柜等設備相連接;中心控制室內的操作站與中心控制室的儀表機柜室內的各自二層網絡設備相連接;SIS或CCS的遠程I/O(或控制器)與中心控制室內的輔助操作臺,通過儀表信號電纜相連接。
在大型聯合化工廠的中心控制室建筑里,除了辦公房間外,操作大廳、消防值班室、生產調度室等可稱為操作人員常駐的有人值守房間。
大型聯合化工廠中,與現場可燃及有毒氣體探測器相連接的報警控制器安裝在現場儀表機柜室內,顯示報警設備安裝在中心控制室或消防值班室內。
保護層是通過控制、預防、減緩等手段降低風險的措施。石油化工典型風險降低保護層如圖1所示。
?
從圖1可以看出:DCS處于第二保護層;GDS及重要的過程報警處于第三保護層,當GDS發出報警時,需要工藝操作人員及時采取措施,以避免惡劣事故的發生;SIS處于第四保護層,用于防止或減少危險事件的發生;火災消防應處于第七保護層,用于減輕和抑制危險事件的后果。
原國家安全監管總局安監總管三〔2014〕116號文件第一部分規定:“化工安全儀表系統,包括安全聯鎖系統、緊急停車系統和有毒有害、可燃氣體及火災檢測保護系統等。安全儀表系統獨立于過程控制系統(例如分散控制系統等),生產正常時處于休眠或靜止狀態,一旦生產裝置或設施出現可能導致安全事故的情況時,能夠瞬間準確動作,使生產過程安全停止運行或自動導入預定的安全狀態,……”。根據安全儀表功能失效產生的后果及風險,將安全儀表功能劃分為不同SIL等級。
該文件的第四部分規定:“嚴格按照相關標準設計和實施有毒有害和可燃氣體檢測保護系統,為確保其功能可靠,相關系統應獨立于基本過程控制系統。”
SIS是用來完成一個或多個安全功能的系統,應由測量儀表、邏輯控制器和最終元件組成。通常在項目設計初期要根據風險及可操作性評估(HAZOP)確定檢測和控制回路是否需要SIS并確定所需要的SIL等級。在進行SIS工程設計時需要核算配備的測量儀表、邏輯控制器和最終元件是否符合相應的SIL等級。
SIS的作用是主動的,不需要人為干預。當過程變量超過聯鎖設定值時,按照預定的方式動作,使生產過程停止運行或進入預定的安全維持狀態。安全功能是為了達到或保持過程的安全狀態,由SIS、其他安全相關系統或外部風險降低設施實現的功能。安全儀表功能(SIF)是為了防止、減少危險事件發生或保持過程安全狀態,用測量儀表、邏輯控制器、最終執行元件及相關軟件等實現的安全保護或安全控制功能。
SIS是保障生產安全的重要措施,在危險事件發生之前能夠正確執行安全功能,可避免或減少事故發生。SIS的最重要的特性是故障安全,一是使工藝過程可能發生故障時維持過程安全;二是SIS本身故障時使工藝過程保持安全。
安全完整性是在規定的條件下和規定的時間內安全相關系統成功完成所要求的安全功能的概率,SIL等級是一種離散的等級,用于規定分配給E/E/PE(電氣/電子/可編程電子)安全相關系統的安全功能的安全完整性的要求。
風險通常定義為一件非預期事件的出現概率和出現后果的乘積,能夠采取風險降低的措施,要么是降低其發生的概率,要么是減輕其災害發生的后果。SIL等級代表著SIS使過程風險出現的概率降低的數量級。
GDS用于檢測環境中可燃及有毒氣體濃度,通過聲光報警提醒工藝操作人員及相關人員。GDS由可燃及有毒氣體探測器、報警控制器及聲光報警設備組成。石油化工企業可燃及有毒氣體的檢測,除了極個別的對象有特殊的聯動要求以外,絕大多數用于報警。當出現報警時,需要工藝操作人員和其他有關人員確認情況并采取相應的措施,防止惡劣事故發生。
可燃及有毒氣體探測器工作在自然環境中,檢測的是環境中的可燃及有毒氣體的濃度,由于檢測技術、探測器制造、自然環境條件所限,因而可燃氣體探測器的誤報、漏報的情況遠比溫度、壓力、流量等其他過程檢測儀表更多,即便是在按時校驗的情況下,因為雨雪、高溫、大風、塵暴等惡劣天氣情況也會對探測器造成影響,使探測器出現誤報、漏報。此外,可燃及有毒氣體的泄漏大多是隨機事件,不可事前預知,探測器的分布不可能恰到好處,安裝位置也受到地理環境、設備分布等因素的影響,使檢測不準確,都會使可燃及有毒氣體探測器出現漏報的情況。
可燃及有毒氣體泄漏的原因很多,當發生泄漏時,制止泄漏或消除原因的方式因泄漏點和泄漏原因的不同,處理方法也不同,不可能完全按照預案處理泄漏事件,檢測報警系統僅僅報警,沒有執行元件和既定的處理方式,因此GDS不是一種故障安全儀表系統,也不具備SIS的故障安全的特性。
綜上所述,由于GDS與SIS的用途、作用及工作原理不同,GDS不能起到SIS的防止、減少危險事件發生或保持過程安全狀態的作用,GDS也不具備SIS的特性,GDS不能使過程風險出現的概率降低,同時GDS報警準確度受檢測環境及探測器的分布影響較大,用SIL等級來衡量GDS是沒有意義的。因此,GDS不屬于SIS的范疇,在設置GDS時也不需要考慮SIL等級的問題。
目前GDS的設置方式仍按文獻[7]執行,該文獻中的3.0.9條規定:“GDS宜獨立設置”。3.0.9的條文說明為“獨立設置是指可燃氣體和有毒氣體檢測報警系統的檢測與發出報警信號的功能,不受對應裝置生產控制儀表系統故障的影響”。即GDS的檢測與發出報警信號的功能,不受對應裝置生產控制系統故障的影響,即認為是GDS獨立設置。
根據工廠(裝置)的規模和特點,文獻[7]中第5.3.2條給出了可燃及有毒氣體報警控制器的設置方式。
1)GDS與火災檢測報警系統(FAS)合并設置。目前,除了極個別的工廠采用GDS與FAS合并為火災及可燃氣體報警系統(FGS)外,絕大部分的工廠還是采用GDS與FAS分立設置的方式。
GB 50116—2013《火災自動報警設計規范》第8.1.2規定:“可燃氣體探測報警系統應獨立組成,可燃氣體探測器不應接入火災報警控制器的探測回路;當可燃氣體的報警信號需要接入火災自動報警系統時,應由可燃報警控制器接入”。
2)指示報警設備采用獨立的工業程序控制器、可編程控制器等。近年來,對于新建或改建的工廠或裝置,采用PLC、專用的可燃有毒氣體巡檢儀等用作GDS控制器的較多,該方式成本較低、功能有限,適合大型聯合化工廠的應用,也滿足相關的文件及相關的標準規范要求。
3)指示報警設備采用常規的模擬儀表。雖然該設置方式滿足相關的文件及相關的標準規范要求,但不適合采用中心控制室與現場儀表機柜室相結合設置的大型聯合化工廠。利用常規儀表來作為GDS的顯示報警設備,就需要將其安裝在有人值守的中心控制室,而中心控制室遠離生產裝置,受到儀表信號電纜長度的限制,無法利用儀表信號電纜將生產裝置現場的可燃及有毒氣體檢測信號傳遞到GDS的顯示報警設備,此外在中心控制室也無法安裝數量龐大的常規模擬儀表。
4)當GDS與生產過程控制系統合并設置時,輸入/輸出卡件應獨立設置。對于已建成投入正常生產的大型聯合化工廠采用這種方式較多,效果較好、較經濟合理,當現場發生可燃及有毒氣體泄漏時應當及時報警并通知室內外的工藝操作人員。該設置方式雖然符合現有的GB 50116—2013和GB 50493—2009,但近期該設置方式是否屬于“獨立設置”、是否滿足安監總管三〔2014〕116號文件的要求存有爭議。主要問題在于DCS控制器是否需要為GDS單獨設置,DCS的控制器發生故障時可燃及有毒氣體探測器是否還能正常報警。
在中心控制室設置獨立的過程控制系統的操作站,專用于顯示可燃及有毒氣體檢測的信息,該操作站設置有別于過程報警的聲音,當出現可燃及有毒氣體濃度超標、線路檢測異常、探測器故障、電源故障等時,利用該操作站能及時發出聲光報警信息,這樣可達到GDS的顯示報警設備與BPCS的監控設備相對獨立的目的。可燃及有毒氣體檢測信號輸入過程控制系統的獨立卡件,在控制系統其他I/O卡件故障或其他現場儀表故障時,對可燃及有毒氣體檢測沒有影響。此外,由于大多數的可燃及有毒氣體探測器自身帶有聲光警報器,一般采用外部冗余的24 V直流電源通過帶有保險的供電端子或電源分配器分別給各可燃及有毒氣體探測器供電,并不是采用過程控制系統的模擬輸入卡件給可燃及有毒氣體探測器供電,當過程控制系統與可燃及有毒氣體探測器相連接的卡件故障或整個過程控制系統故障時,雖然會導致GDS的顯示報警設備失去作用,在中心控制室無法看到可燃及有毒氣體探測器的報警信息,但由于采用冗余24 V直流電源分別給各可燃及有毒氣體探測器獨立供電,生產裝置現場的可燃及有毒氣體探測器也能正常顯示泄漏氣體濃度,當可燃及有毒氣體濃度超標時,可燃及有毒氣體探測器自身的聲光警報器仍能發出聲光報警信號。
如上所述,通過采用獨立的DCS I/O卡件并利用外部的冗余電源分別給各可燃及有毒氣體探測器供電,可達到GDS的檢測與發出報警信號的功能不受對應裝置控制系統故障的影響的目的,符合GB 50493—2009,同時與安監總管三〔2014〕116號文件的第四部分的第十一條要求也不完全矛盾,在現階段該GDS設置方式是可行的,但由于DCS控制器容量較大,用于報警系統控制器有些浪費,成本稍高。
對于大型聯合化工廠來說,GDS的設置既要滿足可燃及有毒氣體檢測與發出的報警信號功能不受對應裝置控制系統故障的影響,也需要滿足中心控制室與現場儀表機柜室相結合的設置特點,即GDS的控制器只能安裝在緊鄰生產裝置的現場儀表機柜室,其顯示報警設備只能安裝在中心控制室內,為此建議如下:
1)對于新建、擴建或大規模改建的工廠或裝置。建議GDS報警控制器采用獨立DCS控制器、可編程邏輯控制器、專用可燃及有毒氣體檢測報警控制器等,為使GDS的控制器更加可靠,建議GDS報警控制器的CPU卡件、電源卡件、I/O卡件及網絡設備等均采用冗余配置。采用冗余24 V直流電源利用帶保險的供電端子或電源分配器分別給各可燃及有毒氣體探測器供電。將GDS報警控制器及一層網絡通信設備安裝在緊鄰生產裝置的現場儀表機柜室,在中心控制室機柜室內安裝GDS的二層網絡設備,在中心控制室內的生產裝置操作區域內,設置有別于過程報警聲音的專用的GDS顯示報警操作站,實現可燃有毒氣體的濃度顯示及超限、故障等聲光報警的功能。GDS的可燃氣體二級報警信息及故障信息,利用硬接線與設置在同一現場儀表機柜室內的火災自動報警系統(FAS)控制器相連接,以便消防人員掌握生產裝置的可燃氣體泄漏信息及各種故障信息。在中心控制室內設置1套獨立的GDS報警控制器,用于檢測中心控制室附近的可燃氣體和有毒氣體濃度,同時,利用該GDS報警控制器及網絡通信功能,將各生產裝置的可燃氣體和有毒氣體超限的區域報警信號分別送到各生產裝置操作區域的輔助操作臺,提醒工藝操作人員注意,以便及時采取應對的措施。采用獨立的DCS控制器和操作站作為GDS的控制器,充分利用DCS的顯示、報警和記錄等功能,不僅可以減少儀表人員的維護工作量,而且還能夠當出現可燃氣體和有毒氣體泄漏超限報警時,及時提醒工藝操作人員,是一種比較好的設置方式。GDS的網絡架構如圖2所示。
?
2)對于已投入正常生產運行的工廠或裝置,目前,大多數的可燃及有毒氣體的信號連接到過程控制系統的獨立卡件。建議在工藝生產裝置沒有進行較大規模的改建前,不必急于將這些可燃及有毒氣體檢測信號從過程控制系統中剝離出來,否則需要設置新的GDS并對現有的可燃及有毒氣體檢測的儀表信號連接進行改動,除了需要增加投資且工作量較大外,還需要對現有的過程控制系統的組態進行改動,會給過程控制系統正常運行帶來一定的影響。據此,可以先對GDS的顯示報警設備及可燃及有毒氣體探測器的供電方式等進行局部改造,采用冗余24 V直流電源及單獨配電系統為現場可燃及有毒氣體探測器供電,達到GDS與過程控制系統相對獨立的目的。同時在中心控制室,除保持原有的操作站既用于生產過程監控又用于可燃及有毒氣體報警外,設置獨立的一臺操作站用于GDS的顯示報警設備,設置有別于過程報警的聲音,專用于顯示可燃及有毒氣體濃度信息,并可進行超限報警及各種故障報警等。待生產裝置進行較大規模改擴建時,增設獨立的GDS。
3)建議在壓縮機廠房、泵房、分析小屋、物料筒倉等相對封閉且有可能出現可燃有毒氣體泄漏的空間,除按相關的標準規范設置可燃及有毒氣體探測器之外,在這些空間的出口或入口等醒目的位置設置帶有眩光的聲光警報器,聲光警報器的驅動信號來自GDS系統的控制器。
4)建議對可燃及有毒氣體探測器在生產裝置中的分布給予足夠的重視。若探測器的分布不當,無論可燃及有毒氣體探測器多么可靠,也不論GDS是否獨立于其他儀表控制系統,當生產裝置現場出現可燃及有毒氣體泄漏時也會使GDS漏報,起不到應有的作用。建議對可燃及有毒氣體探測器在生產裝置中的安裝位置及分布數量進行評估??扇技坝卸練怏w探測器的數量并不是越多越好,應對檢測區域是否為密閉空間、半密閉空間、敞開空間等空間形態,檢測氣體的密度,檢測區域的主導風向,最大及最小風速,氣體探測器與釋放源間的距離,探測器與釋放源間是否有遮擋物等因素綜合考慮,使可燃及有毒氣體探測器分布合理,盡最大努力避免使GDS出現漏報、誤報等情況。