HIMA安全仪表系统在45万吨/年醋酸乙烯装置上的应用

摘 要：为确保化工装置生产过程的安全，安全仪表系统已越来越多地得到重视并应用。安全仪表系统（SIS）既可以自动也可以人工手动使设备或工艺过程紧急停车，并且任何一种停车方式都不会损坏设备或造成人员伤害。本文介绍了HIMA安全仪表系统在醋酸乙烯装置上的应用。

关键词：化工 HIMA SIS安全仪表系统 QMR四重化结构

中图分类号：TP273 文献标识码：A 文章编号：1672-3791（2014）01（c）-0116-02

1 项目概述

国电中国石化宁夏能源化工有限公司新建45万吨年醋酸乙烯装置由中石化宁波设计院设计，醋酸乙烯装置生产规模为目前国内单套最大，采用电石乙炔法来合成醋酸乙烯，原料乙炔经大型罗茨风机压送与原料醋酸蒸汽混合，在适当的条件下进行反应得到醋酸乙烯。该装置为易燃易爆、高度危险、连续生产的重要化工装置，采用德国HIMA公司的H51q安全仪表系统。

2 HIMA安全仪表系统简介

2.1 系统特点

HIMA的H51q-HRS系统为CPU四重化结构（QMR），即系统的中央控制单元CPU共有四个微处理器，4个微处理器CPU同时工作。中央处理单元（CU）共有两块CPU 卡，每两个微处理器CPU安装在一块CPU卡上，通过一个硬件比较器以纳秒极的速度进行连续的互相检测，一块CPU卡即可满足安全等级AK6/SIL3，1oo2D的双重化结构。两个中央处理单元（CU）既同时工作，又相互独立，两个中央处理单元（CU）之间的通讯由高速双重RAM接口（DPR）来完成。从输入模块经中央处理单元到输出模块，完全是四重化的，每个输入模块将读入的过程数据送到中央处理单元的四个微处理器，四个微处理器CPU利用DRP进行通讯而达到同步，每两个微处理器CPU对其数字输出数据进行正、反向存储和比较，并将最后计算的结果送到输出模块。若其中一中央处理单元（CU）故障切除后，另一中央处理单元（CU）继续工作，CPU由2004D 功能转化为1002D功能。

采用双1oo2D结构，即2oo4/QMR结构 （Quadruple Modular Redundant）的目的是为用户提供最大的实用性（可用性），其容错功能使得系统中任何一个部件发生故障，均不影响系统的正常运行。与传统的三重化结构相比，它的容错功能更加完善。

H51q系统为模块化的结构，所有SIS卡件满足G3（ANSI/ISA-S71.04-1985）标准。

2.2 系统的安全性和可用性

HIMA的SIS系统，既可达到AK6的安全等级要求（DINV19250），又能满足非常高的可用性的需要。根据安全性和可用性的需要，HIMA的SIS不仅在中央设备而且在I/O级上，均可提供单的或冗余的设备配置。冗余配置增加了系统可用性，当其中一个模件发生故障时将被自动切除，它所对应的另一个冗余模件将保持工作，对工艺过程无任何扰动。

2.3 系统的诊断功能

HIMA SIS系统采用冗余容错2oo4D技术，输入/输出模块和中央处理器模块都具有内部故障自诊断功能，并能检测内部接点的通断故障。输出模块的自诊断应带回路监督功能，整个系统及部件是故障安全型，系统所有模件1∶1冗余配置，确保在不间断控制的前提下，在线更换各类故障模件。

HIMA的自诊断技术可在一个扫描周期内对系统的全部硬件进行100%诊断，包括中央单元、I/O模块、I/O总线、数据通讯及电源系统等所有可能的潜在故障点，一旦故障发生，CPU和I/O卡件的故障信息均可以4位字符显示在CU的信息窗以及系统的工作站上，例如，机柜号、I/O卡件的机架号、I/O槽路号等。自动按时间顺序在工程师站上显示故障地址、物理位置和性质，或通讯给DCS系统进行故障显示，以声光提醒操作人员，以便维护人员得知故障所在，并替换相应的I/O卡件，同时存储和打印诊断信息。

在系统内部发生故障的情况下，系统可通过一个独立于中央单元处理器之外，拥有更高优先级的看门狗（watchdog）硬电路发出安全停车信号，并通过独立于DO模件输出通道之外的输出元器件输出到现场，从而使生产装置处于安全状态。

watchdog信号不仅可以实现控制器故障时的切换，而且watchdog信号还在主机架的背板输出并连接到其他I/O机架，使每个机架内的输出模件都可以引入“看门狗”计时器信号，当CPU内部故障时令所有输出模件各通道切换到关状态，与安全相关的工艺设备被快速关断，保证了系统的安全。watchdog信号的存在以及被引入到每一个I/O机架这一形式是HIMA安全仪表系统与普通PLC的重要区别之一。

2.4 一体化安全停车功能

在HIMA安全系统中，一体化安全停车被分为三个级别：

安全组切除：类似于控制系统中的“控制域”的概念，不相关装置的信号被分在不同的安全组中，一个安全组的硬件故障仅仅造成相关安全组被切除，不会使问题扩大化。

部分功能切除：在QMR结构下，如果一个中央单元（CU）或一条I/O总线或一块I/O模件或一条看门狗（watchdog）电路出现故障，系统仅仅切除有故障的部分，其余部分还是平稳运行，不受影响，安全等级也不会降低。现场并不会停车，还是正常运行。

整体安全停车：假如两个中央单元或两条I/O总线或两块冗余的I/O模件均出现故障，超出了QMR结构的两级容错功能。系统会通过DO通道中独立的第三方输出元件使现场停车，达到一个安全的状态。

2.5 系统软件ELOP II

工程师站使用HIMA专用编程组态软件ELOP-II，对HIMA系统进行组态、监视、操作和文档管理、用户程序输入，且把它编译成机器码，这些工作可以在个人计算机上完成，而不需要连结SIS。

安全仪表系统的软件操作系统都是以嵌入的方式直接集成到控制器中。在运行过程中，操作系统除了以循环扫描的形式来处理用户程序外，还通过监视程序的代码版本号、运行版本号、数据版本号、区域代码号的更改来保证程序的安全性。

ELOP II软件包是符合IEC61131-3标准的工业化软件包，提供标准功能块语言进行编程，可执行逻辑运算、PID、顺序控制等各种控制程序。软件中还集成了源代码比较器、目标代码比较器和经过认证的编译器。这些工具在创建、下载和修改用户程序过程中分别对源代码和目标代码进行测试并标识出来，只有经过测试的应用程序才允许被下载到控制器中。

ELOP II软件包的反向编译功能允许在线修改，下装程序，无须进行下装后的100%的逐点测试（此功能经TV认证），在线修改并自动下装的次数无限制。完全可以满足炼油、石化、天然气等行业的，各类危险型装置和各种设备的安全控制要求。

3 HIMA安全仪表系统在年产45万吨醋酸乙烯装置上的应用

3.1 HIMA系统在本项目的应用配置

国电中国石化宁夏能源化工有限公司45万吨年醋酸乙烯装置设置1套SIS系统用于醋酸乙烯装置的安全联锁。SIS机柜设置在现场机柜间，SIS的操作站和工程师站设置在中央控制室，通过冗余光缆实现从现场机柜间到中央控制室的通讯。辅助操作台上的按钮、开关信号采用硬接线实现辅助操作台与醋酸乙烯装置机柜间SIS系统的安全信号传输。

HIMA系统采用了双系列并列运行的冗余方式。在其运行状态下，随时可以拔取并且更换故障的卡件（包括CU、电源、通讯、I/O卡等）。由于没有通常系统中更换卡件时的切换以及数据导入过程，因此也就避免了切换过程可能带来的扰动，是真正意义上的“热插拔”系统。

3.2 工程师站兼SOE站

设置有1台操作员工作站和2台工程师站（1台安装在机柜间，1台在中控室）。其中中控室工程师站兼具有SOE功能的工程师站，可用于SIS系统软件的离线或在线组态，并且可离线模拟调试。SOE站用于在线记录系统的各类报警及动作事件，配备整套顺序事件记录的软件为Control Maestro-logline，顺序事件记录的时间分辨率为不大于10 ms，记录的数据总数大于100，000条。

3.3 操作站

在中央控制室内配备1台SIS系统操作站，通过冗余以太网通讯方式与HIMA系统进行数据通讯，操作站软件为CM-DEV，开发版，500点，可以提供多种级别的安全和管理机制。

3.4 打印机

配置2台独立打印机。

3.5 与DCS通讯

采用冗余的RS485接口（MODBUS协议）完成装置的DCS进行数据通讯。

3.6 系统网络的构成

HIMA的安全系统之间可以采用安全以太网（safeethernet）连接，HIMA是全球首家将将这种安全技术商业化的公司，系统间通讯采用了经TüV认证的HIPRO-S协议，构成了满足AK6/SIL3等级的安全以太网。采用F8627X 作为以太网通讯模块，SIS系统控制器可以同时传送安全相关的安全以太网数据和非安全相关的OPC协议数据，符合IEC802.3规程，10BaseT或100 BaseTX，RJ45口。

4 醋酸乙烯装置主要安全联锁逻辑的实现

醋酸乙烯装置合成单元每个列都有1台10 kV大型罗茨风机用于压送原料乙炔，罗茨风机属于合成单元重要设备，隔音罩内安装有可燃性气体检测仪、测温计、通风机，乙炔气极易爆炸，如装置区内出现乙炔泄露、燃烧、以及罗茨风机、工艺异常超限等情况时应采取紧急措施防止危险发生保证装置安全。

4.1 10 kV罗茨风机允许启动联锁

启动条件：（1）罗茨风机可燃气体浓度<25%LEL（AZT-055231/1，2，3经2003输出）；（2）风机通风机C055201/1，2，3均处于运行状态；（3）罗茨风机入口压力>1.0 kPa（PZT-055273、PZT-055274均满足条件）；（4）新乙炔入口压力>3.0 kPa；（5）HV-055273（A～I）回流阀全开；（6）机封水流量≥2600 kg/h；以上条件均需满足则罗茨风机允许启动。

4.2 10 kV罗茨风机联锁停车

联锁条件：（1）SIS辅操台罗茨风机停止按钮按下；（2）罗茨风机入口压力≤0.5 kPa（PZT-055273、PZT-055274均满足条件）；（3）新乙炔入口压力≤1.5 kPa；（4）罗茨风机出口压力≥55 kPa；（5）风机通风机C055201/1，2，3均处于非运行状态；（6）机封水流量≥2600 kg/h；（7）罗茨风机可燃气体浓度≥60%LEL（AZT-055231/1，2，3经2003输出）；以上条件任一条件满足则罗茨风机联锁停车。

4.3 醋酸乙烯合成装置紧急停车联锁

联锁条件：当合成装置紧停按钮被按下（保持型）；联锁输出：（1）乙炔阀关闭，不可调节；（2）氮气阀打开；（3）循环气开关阀打开；联锁复位后：（1）乙炔阀打开，可调节；（2）氮气阀关闭；（3）循环气开关阀关闭。

由于系统的逻辑设计是安全仪表系统逻辑运算的重要环节，逻辑设计的可用性对系统SIL级别影响至关重要，逻辑组态中采用的措施如下：（1）使用冗余输入的运算逻辑，如检测元件三重冗余配置的“三选二”逻辑形式，以满足所要求的可用性；（2）根据工艺特点，对罗茨风机启停允许联锁、工艺相关联锁采用触发器模块，完成安全保护动作的触发与复位，规避状态保持的逻辑自锁，实现安全保护动作；（3）根据工艺要求，设置灵活的旁路切除开关；（4）采用“故障-安全（fail-safe）”原则，为了体现出这一原则，逻辑组态应采用“正逻辑”，同时与安全相关的输出通道和就地执行机构的电磁阀在正常工况下应处于带电状态，保证安全保护系统出现故障或满足跳闸条件时，使工艺过程处于安全状态。

5 结语

HIMA四重化结构（QMR）冗余容错安全仪表系统的硬件、软件具有极高的安全性和可靠性，从而最大限度地保证了年产45万吨醋酸乙烯装置设备和人身安全，进一步了提高企业效益和竞争力。

参考文献

[1]HIMA H41qH51q系统手册[Z].

[2]曲涛.HIMA四重化结构和PLANAR在高压聚乙烯装置中的应用[J].河北化工，2008，8.

[3]HIMA安全控制系统在电厂FSSS中的应用[Z].2010，12.