在煉油、石油化工、煤化工等行業的生產過程中不可避免地存在各種可燃或有毒氣體,這些氣體一旦泄漏並積聚在周圍環境中,有可能釀成火災、爆炸或人身中毒等惡性事故,合理設置可燃氣體和有毒氣體檢測報警系統(GDS),做好可燃有毒氣體檢測及報警,防患於未然,是十分必要的。安全生產和防災減災的基本原則是「安全第一、預防為主」,對GDS的設置自然是越來越受到重視。
2014年11月13日,國家安全監管總局發布的《國家安全監管總局關於加強化工安全儀表系統管理的指導意見》(安監總管三〔2014〕116號)文件,對GDS的設置產生了重要影響。目前,在編制GDS的規格書時,有些設計將GDS當作是安全儀表系統,有的要求其安全完整性等級(SIL)為SIL1,SIL2或SIL3,也有的只要求其具有SIL等級,而並沒有明確提出具體的SIL等級,相對來說比較混亂。本文根據有關標準規範、管理文件並結合大型聯合化工廠的實際情況,討論GDS的設置。
大型聯合化工廠主要控制系統
現代大型聯合化工廠是由多套化工生產裝置及公用工程裝置組成的,各生產裝置之間通過各種物料相互聯繫,使生產裝置與公用工程裝置構成了一個有機整體。化工生產裝置都配置了用於過程控制和數據採集的分散型控制系統(DCS),用於生產裝置安全聯鎖保護的SIS,用於生產環境監測的GDS等。
大型聯合化工廠的地域較大,生產裝置現場中的操作人員較少。為減少信號線路的長度,採用中心控制室和現場儀表機櫃室相結合的方式,中心控制室設置在遠離生產裝置的安全區域,現場儀表機櫃室設置在緊鄰生產裝置的適當區域。該模式下按照安裝區域可大致劃分為以下5個部分,各部分的安裝位置是相對固定的。
1)安裝在生產裝置現場的有溫度、壓力、液位、流量、成分分析等檢測儀表和控制閥、切斷閥等執行類儀表。
2)安裝在現場儀表機櫃室內的控制站(器),包括電源櫃、系統櫃、安全柵櫃、繼電器櫃、接線端子櫃及儀表控制系統的一層網絡櫃等設備。
3)現場儀表機櫃室與中心控制室的機櫃室之間相連接的不同路徑的冗餘光纖。
4)安裝在中心控制室的儀表機櫃室內的設備,包括電源櫃、各控制系統的二層及三層網絡櫃、SIS或CCS的遠程I/O櫃等。
5)安裝在中心控制室內的各控制系統的操作站、SIS或CCS的輔助操作台、印表機等設備。
現場儀表與安裝在現場儀表機櫃室內的控制站相連接,控制站與各自的一層網絡交換設備相連接;現場儀表機櫃室內的各控制系統的網絡設備,通過不同路徑的光纖與中心控制室的儀表機櫃室內的各自控制系統網絡設備或SIS,CCS的遠程I/O櫃等設備相連接;中心控制室內的操作站與中心控制室的儀表機櫃室內的各自二層網絡設備相連接;SIS或CCS的遠程I/O(或控制器)與中心控制室內的輔助操作台,通過儀表信號電纜相連接。
在大型聯合化工廠的中心控制室建築里,除了辦公房間外,操作大廳、消防值班室、生產調度室等可稱為操作人員常駐的有人值守房間。
大型聯合化工廠中,與現場可燃及有毒氣體探測器相連接的報警控制器安裝在現場儀表機櫃室內,顯示報警設備安裝在中心控制室或消防值班室內。
各類控制系統在保護層中的位置
保護層是通過控制、預防、減緩等手段降低風險的措施。石油化工典型風險降低保護層如圖1所示。
從圖1可以看出:DCS處於第二保護層;GDS及重要的過程報警處於第三保護層,當GDS發出報警時,需要工藝操作人員及時採取措施,以避免惡劣事故的發生;SIS處於第四保護層,用於防止或減少危險事件的發生;火災消防應處於第七保護層,用於減輕和抑制危險事件的後果。
GDS和SIS的關係分析
3.1 國家部委文件的規定
原國家安全監管總局安監總管三〔2014〕116號文件第一部分規定:「化工安全儀表系統,包括安全聯鎖系統、緊急停車系統和有毒有害、可燃氣體及火災檢測保護系統等。安全儀表系統獨立於過程控制系統(例如分散控制系統等),生產正常時處於休眠或靜止狀態,一旦生產裝置或設施出現可能導致安全事故的情況時,能夠瞬間準確動作,使生產過程安全停止運行或自動導入預定的安全狀態,……」。根據安全儀表功能失效產生的後果及風險,將安全儀表功能劃分為不同SIL等級。
該文件的第四部分規定:「嚴格按照相關標準設計和實施有毒有害和可燃氣體檢測保護系統,為確保其功能可靠,相關系統應獨立於基本過程控制系統。」
3.2 SIS的作用和結構及安全完整性等級
3.2.1 SIS的作用及結構
SIS是用來完成一個或多個安全功能的系統,應由測量儀表、邏輯控制器和最終元件組成。通常在項目設計初期要根據風險及可操作性評估(HAZOP)確定檢測和控制迴路是否需要SIS並確定所需要的SIL等級。在進行SIS工程設計時需要核算配備的測量儀表、邏輯控制器和最終元件是否符合相應的SIL等級。
SIS的作用是主動的,不需要人為干預。當過程變量超過聯鎖設定值時,按照預定的方式動作,使生產過程停止運行或進入預定的安全維持狀態。安全功能是為了達到或保持過程的安全狀態,由SIS、其他安全相關系統或外部風險降低設施實現的功能。安全儀表功能(SIF)是為了防止、減少危險事件發生或保持過程安全狀態,用測量儀表、邏輯控制器、最終執行元件及相關軟體等實現的安全保護或安全控制功能。
SIS是保障生產安全的重要措施,在危險事件發生之前能夠正確執行安全功能,可避免或減少事故發生。SIS的最重要的特性是故障安全,一是使工藝過程可能發生故障時維持過程安全;二是SIS本身故障時使工藝過程保持安全。
3.2.2 安全完整性等級
安全完整性是在規定的條件下和規定的時間內安全相關系統成功完成所要求的安全功能的概率,SIL等級是一種離散的等級,用於規定分配給E/E/PE(電氣/電子/可編程電子)安全相關系統的安全功能的安全完整性的要求。
風險通常定義為一件非預期事件的出現概率和出現後果的乘積,能夠採取風險降低的措施,要麼是降低其發生的概率,要麼是減輕其災害發生的後果。SIL等級代表著SIS使過程風險出現的概率降低的數量級。
3.3 GDS的作用及結構
GDS用於檢測環境中可燃及有毒氣體濃度,通過聲光報警提醒工藝操作人員及相關人員。GDS由可燃及有毒氣體探測器、報警控制器及聲光報警設備組成。石油化工企業可燃及有毒氣體的檢測,除了極個別的對象有特殊的聯動要求以外,絕大多數用於報警。當出現報警時,需要工藝操作人員和其他有關人員確認情況並採取相應的措施,防止惡劣事故發生。
可燃及有毒氣體探測器工作在自然環境中,檢測的是環境中的可燃及有毒氣體的濃度,由於檢測技術、探測器製造、自然環境條件所限,因而可燃氣體探測器的誤報、漏報的情況遠比溫度、壓力、流量等其他過程檢測儀表更多,即便是在按時校驗的情況下,因為雨雪、高溫、大風、塵暴等惡劣天氣情況也會對探測器造成影響,使探測器出現誤報、漏報。此外,可燃及有毒氣體的泄漏大多是隨機事件,不可事前預知,探測器的分布不可能恰到好處,安裝位置也受到地理環境、設備分布等因素的影響,使檢測不準確,都會使可燃及有毒氣體探測器出現漏報的情況。
可燃及有毒氣體泄漏的原因很多,當發生泄漏時,制止泄漏或消除原因的方式因泄漏點和泄漏原因的不同,處理方法也不同,不可能完全按照預案處理泄漏事件,檢測報警系統僅僅報警,沒有執行元件和既定的處理方式,因此GDS不是一種故障安全儀表系統,也不具備SIS的故障安全的特性。
綜上所述,由於GDS與SIS的用途、作用及工作原理不同,GDS不能起到SIS的防止、減少危險事件發生或保持過程安全狀態的作用,GDS也不具備SIS的特性,GDS不能使過程風險出現的概率降低,同時GDS報警準確度受檢測環境及探測器的分布影響較大,用SIL等級來衡量GDS是沒有意義的。因此,GDS不屬於SIS的範疇,在設置GDS時也不需要考慮SIL等級的問題。
相關文件及標準規範對GDS設置的要求
目前GDS的設置方式仍按文獻[7]執行,該文獻中的3.0.9條規定:「GDS宜獨立設置」。3.0.9的條文說明為「獨立設置是指可燃氣體和有毒氣體檢測報警系統的檢測與發出報警信號的功能,不受對應裝置生產控制儀表系統故障的影響」。即GDS的檢測與發出報警信號的功能,不受對應裝置生產控制系統故障的影響,即認為是GDS獨立設置。
根據工廠(裝置)的規模和特點,文獻[7]中第5.3.2條給出了可燃及有毒氣體報警控制器的設置方式。
1)GDS與火災檢測報警系統(FAS)合併設置。目前,除了極個別的工廠採用GDS與FAS合併為火災及可燃氣體報警系統(FGS)外,絕大部分的工廠還是採用GDS與FAS分立設置的方式。
GB 50116—2013《火災自動報警設計規範》第8.1.2規定:「可燃氣體探測報警系統應獨立組成,可燃氣體探測器不應接入火災報警控制器的探測迴路;當可燃氣體的報警信號需要接入火災自動報警系統時,應由可燃報警控制器接入」。
2)指示報警設備採用獨立的工業程序控制器、可編程控制器等。近年來,對於新建或改建的工廠或裝置,採用PLC、專用的可燃有毒氣體巡檢儀等用作GDS控制器的較多,該方式成本較低、功能有限,適合大型聯合化工廠的應用,也滿足相關的文件及相關的標準規範要求。
3)指示報警設備採用常規的模擬儀表。雖然該設置方式滿足相關的文件及相關的標準規範要求,但不適合採用中心控制室與現場儀表機櫃室相結合設置的大型聯合化工廠。利用常規儀表來作為GDS的顯示報警設備,就需要將其安裝在有人值守的中心控制室,而中心控制室遠離生產裝置,受到儀表信號電纜長度的限制,無法利用儀表信號電纜將生產裝置現場的可燃及有毒氣體檢測信號傳遞到GDS的顯示報警設備,此外在中心控制室也無法安裝數量龐大的常規模擬儀表。
4)當GDS與生產過程控制系統合併設置時,輸入/輸出卡件應獨立設置。對於已建成投入正常生產的大型聯合化工廠採用這種方式較多,效果較好、較經濟合理,當現場發生可燃及有毒氣體泄漏時應當及時報警並通知室內外的工藝操作人員。該設置方式雖然符合現有的GB 50116—2013和GB 50493—2009,但近期該設置方式是否屬於「獨立設置」、是否滿足安監總管三〔2014〕116號文件的要求存有爭議。主要問題在於DCS控制器是否需要為GDS單獨設置,DCS的控制器發生故障時可燃及有毒氣體探測器是否還能正常報警。
在中心控制室設置獨立的過程控制系統的操作站,專用於顯示可燃及有毒氣體檢測的信息,該操作站設置有別於過程報警的聲音,當出現可燃及有毒氣體濃度超標、線路檢測異常、探測器故障、電源故障等時,利用該操作站能及時發出聲光報警信息,這樣可達到GDS的顯示報警設備與BPCS的監控設備相對獨立的目的。可燃及有毒氣體檢測信號輸入過程控制系統的獨立卡件,在控制系統其他I/O卡件故障或其他現場儀表故障時,對可燃及有毒氣體檢測沒有影響。此外,由於大多數的可燃及有毒氣體探測器自身帶有聲光警報器,一般採用外部冗餘的24 V直流電源通過帶有保險的供電端子或電源分配器分別給各可燃及有毒氣體探測器供電,並不是採用過程控制系統的模擬輸入卡件給可燃及有毒氣體探測器供電,當過程控制系統與可燃及有毒氣體探測器相連接的卡件故障或整個過程控制系統故障時,雖然會導致GDS的顯示報警設備失去作用,在中心控制室無法看到可燃及有毒氣體探測器的報警信息,但由於採用冗餘24 V直流電源分別給各可燃及有毒氣體探測器獨立供電,生產裝置現場的可燃及有毒氣體探測器也能正常顯示泄漏氣體濃度,當可燃及有毒氣體濃度超標時,可燃及有毒氣體探測器自身的聲光警報器仍能發出聲光報警信號。
如上所述,通過採用獨立的DCS I/O卡件並利用外部的冗餘電源分別給各可燃及有毒氣體探測器供電,可達到GDS的檢測與發出報警信號的功能不受對應裝置控制系統故障的影響的目的,符合GB 50493—2009,同時與安監總管三〔2014〕116號文件的第四部分的第十一條要求也不完全矛盾,在現階段該GDS設置方式是可行的,但由於DCS控制器容量較大,用於報警系統控制器有些浪費,成本稍高。
大型聯合化工廠GDS設置建議
對於大型聯合化工廠來說,GDS的設置既要滿足可燃及有毒氣體檢測與發出的報警信號功能不受對應裝置控制系統故障的影響,也需要滿足中心控制室與現場儀表機櫃室相結合的設置特點,即GDS的控制器只能安裝在緊鄰生產裝置的現場儀表機櫃室,其顯示報警設備只能安裝在中心控制室內,為此建議如下:
1)對於新建、擴建或大規模改建的工廠或裝置。建議GDS報警控制器採用獨立DCS控制器、可編程邏輯控制器、專用可燃及有毒氣體檢測報警控制器等,為使GDS的控制器更加可靠,建議GDS報警控制器的CPU卡件、電源卡件、I/O卡件及網絡設備等均採用冗餘配置。採用冗餘24 V直流電源利用帶保險的供電端子或電源分配器分別給各可燃及有毒氣體探測器供電。將GDS報警控制器及一層網絡通信設備安裝在緊鄰生產裝置的現場儀表機櫃室,在中心控制室機櫃室內安裝GDS的二層網絡設備,在中心控制室內的生產裝置操作區域內,設置有別於過程報警聲音的專用的GDS顯示報警操作站,實現可燃有毒氣體的濃度顯示及超限、故障等聲光報警的功能。GDS的可燃氣體二級報警信息及故障信息,利用硬接線與設置在同一現場儀表機櫃室內的火災自動報警系統(FAS)控制器相連接,以便消防人員掌握生產裝置的可燃氣體泄漏信息及各種故障信息。在中心控制室內設置1套獨立的GDS報警控制器,用於檢測中心控制室附近的可燃氣體和有毒氣體濃度,同時,利用該GDS報警控制器及網絡通信功能,將各生產裝置的可燃氣體和有毒氣體超限的區域報警信號分別送到各生產裝置操作區域的輔助操作台,提醒工藝操作人員注意,以便及時採取應對的措施。採用獨立的DCS控制器和操作站作為GDS的控制器,充分利用DCS的顯示、報警和記錄等功能,不僅可以減少儀表人員的維護工作量,而且還能夠當出現可燃氣體和有毒氣體泄漏超限報警時,及時提醒工藝操作人員,是一種比較好的設置方式。GDS的網絡架構如圖2所示。
2)對於已投入正常生產運行的工廠或裝置,目前,大多數的可燃及有毒氣體的信號連接到過程控制系統的獨立卡件。建議在工藝生產裝置沒有進行較大規模的改建前,不必急於將這些可燃及有毒氣體檢測信號從過程控制系統中剝離出來,否則需要設置新的GDS並對現有的可燃及有毒氣體檢測的儀表信號連接進行改動,除了需要增加投資且工作量較大外,還需要對現有的過程控制系統的組態進行改動,會給過程控制系統正常運行帶來一定的影響。據此,可以先對GDS的顯示報警設備及可燃及有毒氣體探測器的供電方式等進行局部改造,採用冗餘24 V直流電源及單獨配電系統為現場可燃及有毒氣體探測器供電,達到GDS與過程控制系統相對獨立的目的。同時在中心控制室,除保持原有的操作站既用於生產過程監控又用於可燃及有毒氣體報警外,設置獨立的一台操作站用於GDS的顯示報警設備,設置有別於過程報警的聲音,專用於顯示可燃及有毒氣體濃度信息,並可進行超限報警及各種故障報警等。待生產裝置進行較大規模改擴建時,增設獨立的GDS。
3)建議在壓縮機廠房、泵房、分析小屋、物料筒倉等相對封閉且有可能出現可燃有毒氣體泄漏的空間,除按相關的標準規範設置可燃及有毒氣體探測器之外,在這些空間的出口或入口等醒目的位置設置帶有眩光的聲光警報器,聲光警報器的驅動信號來自GDS系統的控制器。
4)建議對可燃及有毒氣體探測器在生產裝置中的分布給予足夠的重視。若探測器的分布不當,無論可燃及有毒氣體探測器多麼可靠,也不論GDS是否獨立於其他儀表控制系統,當生產裝置現場出現可燃及有毒氣體泄漏時也會使GDS漏報,起不到應有的作用。建議對可燃及有毒氣體探測器在生產裝置中的安裝位置及分布數量進行評估。可燃及有毒氣體探測器的數量並不是越多越好,應對檢測區域是否為密閉空間、半密閉空間、敞開空間等空間形態,檢測氣體的密度,檢測區域的主導風向,最大及最小風速,氣體探測器與釋放源間的距離,探測器與釋放源間是否有遮擋物等因素綜合考慮,使可燃及有毒氣體探測器分布合理,盡最大努力避免使GDS出現漏報、誤報等情況。