國外項目中典型報警的設計方法

皮宇

(中石化廣州工程有限公司，廣東 廣州 510620)

先進報警管理的核心是控制報警的數量及頻率，合理定義報警優(yōu)先等級。當前，中國還沒有標準或規(guī)范來定義報警的設計，可參考的國外規(guī)范為EEMUA 191： 2013Alarmsystems：aguidetodesign，managementandprocurement[1]， ISA 18.2： 2016Managementofalarmsystemfortheprocessindustries[2]及IEC 62682： 2014Managementofalarmsystemsfortheprocessindustries[3]，常規(guī)工藝委托的過程變量的報警及喇叭、閃光報警器等硬件設備產生的報警，不屬于本文討論范疇。

對于一個自動化管理水平高的工廠而言，先進的報警管理，僅僅為工藝委托的過程變量報警是遠不夠的，報警設計過多則報警泛濫，但是報警設計不夠則嚴重影響生產。很多典型的報警，都具有相對固定的特定功能，如： 分散控制系統(tǒng)(DCS)與安全儀表系統(tǒng)(SIS)的偏差報警、故障報警、仿真報警、SIS報警、系統(tǒng)診斷報警、典型工藝及撬裝設備報警、火災與可燃有毒氣體報警、動態(tài)報警設定、建筑物報警、雨淋閥報警等，針對這類報警的設計方法，國內文獻中很少涉及，本文借鑒國外項目，給出一套完整的解決方案，供同行參考。

1 報警數量及優(yōu)先級別的設計原則

筆者參與的國外項目是按照EEMUA 191： 2013推薦的5級報警系統(tǒng)性能中“ROBUST，報警適應性強”來設計報警頻率[1]，級別為4級[4]： 緊急、高級、低級、記錄，實現方式見表1所列。

表1 報警優(yōu)先等級實現方式

優(yōu)先級別與事件的潛在風險等級以及操作員響應時間、工藝過程響應時間及工藝安全時間有關系[5]，國外項目是通過類似于危險與可操作分析(HAZOP)及安全完整性等級(SIL)活動的專門AOA報警目標分析會議來對每個報警逐個分析合理性，并使用專用軟件計算確定優(yōu)先等級及合理性，風險后果等級可直接參考HAZOP及SIL活動的結果，該計算方法適用于常規(guī)工藝報警，本文不贅述，對于功能固定的典型報警，不分析而直接定級。

2 DCS與SIS的偏差報警

對于偏差報警，當引入SIL等級的評估及驗證后，其對于診斷SIS現場儀表失效及通過SIL驗證的作用顯得更為重要。設計方法如下：

1)在SIS現場儀表同樣工藝功能的安裝位置，設計1塊同樣量程的現場儀表并引入DCS，既可以在保護層分析LOPA時將DCS報警作為獨立保護層，也可以用于SIL驗證時，通過對SIS儀表的失效診斷，來降低SIS檢測元件要求時的失效概率，量程設計盡量做到一樣便于計算偏差。

2)確認偏差存在持續(xù)10 s后報警，偏差不設量程，不設報警死區(qū)，偏差設定值不是一個絕對的值，可根據儀表精度及工況調整，常用偏差報警設定值設定方法見表2所列。

表2 偏差報警設定值設定方法

3)當SIS表決架構儀表超過3臺時，推薦奇數使用中間值與DCS儀表讀數相減，偶數取中間2個值的平均值參與偏差計算；當SIS表決架構儀表為3臺時，使用中間值與DCS儀表讀數相減，當1臺SIS儀表失效，架構降級使用時[6]，另外2臺使用平均值參與偏差計算，當第2臺儀表繼續(xù)失效時，使用最后1臺儀表的讀數。當SIS中全部儀表失效時，SIS將聯鎖[6]，DCS偏差報警也失去了意義；表決架構儀表為2臺時，使用平均值與DCS測量值進行偏差計算。

4)對于有表決架構的SIS回路，設計2個偏差報警，一個是SIS架構內部表決儀表之間的偏差報警，由SIS產生，報警設定值同DCS一樣。當SIS產生偏差報警時，DCS偏差報警失效，避免報警泛濫。

5)當SIS儀表僅為1個檢測元件時，直接用其參與偏差計算；當其失效時，產生故障報警，為避免無效滋擾報警，偏差報警功能失效。

6)當DCS儀表故障失效時，已產生故障報警，偏差報警功能失效。

7)DCS與SIS的檢測儀表偏差值計算應為儀表測量值初始讀數，不應使用有其他測量值參與的經過復雜計算或邏輯處理后的讀數，例如： 流量值使用溫壓補償前讀數來計算偏差。

8)該偏差報警在DCS中計算并報警，SIS讀數通過通信傳到DCS。

對于DCS的偏差報警，不用分析其優(yōu)先等級，全部定義為高級，SIS內部產生的偏差報警全部定義為低級。

3 故障報警

本章節(jié)故障指除控制系統(tǒng)以外的現場儀表故障，儀表失效的狀態(tài)由系統(tǒng)診斷得到。該類故障報警的設計方法有以下幾個方面：

1)當信號為模擬量時診斷標準根據NAMUR NE 43，總線儀表根據NAMUR NE 107，設計原則如下：

a)該儀表如果有多個工藝報警優(yōu)先等級，故障報警按照最高優(yōu)先級別設計，例如： 同一個儀表位號高報警為緊急，低報警為低級，故障報警設計為緊急。

b)如果沒有工藝報警優(yōu)先等級劃分，直接按照低級報警或不報警處理。

當儀表超量程且儀表本身沒有損壞時，是否報警可由控制系統(tǒng)中的特定組態(tài)來確定。例如： 某控制系統(tǒng)數據獲取模塊有選擇開關“Clamping option”，當選擇“enable”時，測量值超限時根據NAMUR NE 43規(guī)定保持在限值上，但是不輸出報警；當選擇“disable”時，超限時輸出故障“BadPV”報警，視為故障報警的一種。優(yōu)先等級如上定義，除正常工況一直處于超量程的特殊情況，例如大小量程雙表測量寬范圍流量等，其余超量程處理為報警。

2)對于馬達電機的故障報警推薦設計方法。一般設計為低級，對于特別重要的電機以及參與安全功能的電機，設計為緊急。

3)對于閥門的故障報警推薦設計方法。如果DCS控制閥門動作但是超過設計的閥門行程時間后，反饋的閥位與動作不符，產生故障報警并設計為低級。

4 仿真報警

當現場總線儀表被仿真，或控制系統(tǒng)某輸入變量被仿真時，正常生產狀況下，該動作是嚴格受限的，系統(tǒng)觸發(fā)仿真報警，報警優(yōu)先等級設計為高級。

5 SIS報警

SIS的主要功能是聯鎖而不是報警，關鍵報警主要依靠SIS驅動現場就地盤的報警燈、喇叭及控制室內輔操臺聲光報警器來實現。國外有的項目中SIS沒有設計獨立操作站，SIS報警信號通信到DCS操作站實現報警；國內項目設計根據GB/T 50770—2013《石油化工安全儀表系統(tǒng)設計規(guī)范》，報警應在SIS獨立設置的操作站完成[7]。

為預防聯鎖頻繁發(fā)生，工藝預報警尤為重要，該報警應由與SIS檢測元件同樣功能位置的DCS檢測元件在DCS中實施。根據《中國石化安全風險評估指導意見》(中國石化安風〔2018〕38號文)中的附件5規(guī)定： SIS報警不作為獨立保護層，SIS儀表不應設定額外預報警，避免重復報警，除非由于經濟原因，例如分析儀表參與聯鎖，不合適另加1塊分析儀表等情況，此時可以使用SIS儀表設置預報警通信到DCS，DCS中也不宜設置高高或低低與SIS聯鎖一致功能的報警，避免大量的重復報警。

其他典型SIS報警的設計方法推薦如下：

1)聯鎖發(fā)出的命令無需操作干預時僅設計為記錄。

2)每個邏輯組的旁路允許使能旋鈕總開關將產生硬件指示燈報警。

3)每個旁路開關不應旁路任何報警功能。

4)每個測量元件的維修旁路開關的激活應設置定時器，定時器根據工廠維修情況及工藝重要性設置4～12 h不等。定時器釋放如果旁路仍然激活則產生重復報警，報警優(yōu)先級設計參照上述故障報警。

5)如果有旁路自動激活，如設置了開工旁路等，則需設置定時器，建議時間為1 h，定時器釋放如果旁路仍然激活則在DCS產生報警，報警優(yōu)先級別參照上述故障報警。

6)當一個檢測元件聯鎖觸發(fā)多個聯鎖報警，則一定時間內會發(fā)生全廠停車，如果操作員來得及反應避免全廠停車，則該聯鎖報警宜設計為緊急。

7)當閥位作為聯鎖元件時，根據其失效率，推薦其觸發(fā)的報警優(yōu)先級定為低級。

8)輔操臺按鈕觸發(fā)聯鎖報警設計為記錄。

9)檢測元件故障產生的報警，優(yōu)先級別參考上述故障報警原則設計。

10)Reset復位設計為記錄。

11)動作命令與SIS執(zhí)行元件真實反饋不一致時，設計為緊急級別，例如閥位或機泵狀態(tài)反饋超過設計時間，說明聯鎖沒有有效實施，需要操作工立即進行人工響應。

對于SIS檢測元件的報警優(yōu)先級別，目前做法的爭議較大，筆者推薦如果為局部動作但可能繼續(xù)引發(fā)全廠停車而造成經濟損失較大的，操作員有時間響應并可以逆轉異常工況，可適當提高其優(yōu)先級別到緊急；如果不需要操作或操作響應時間超過1 h，或如果該聯鎖直接導致全廠停車，操作工根本來不及反應，優(yōu)先等級沒必要設置較高，推薦為低級或記錄。

6 系統(tǒng)診斷報警

系統(tǒng)診斷報警指控制系統(tǒng)本身診斷到卡件、交換機或其他網絡設備的故障產生的報警，與工藝故障報警不同，這些報警在各個局域網絡相互獨立，一般集中于局域網段上的專用維護操作站，其設計理念為盡量不在工藝操作站產生滋擾報警。

推薦如下的系統(tǒng)硬件故障在系統(tǒng)中產生報警：

1)冗余的服務器喪失同步功能。

2)操作站或操作站組通信異常。

3)網絡打印機隊列異常。

4)網絡交換機插口通信異常。

當這些報警嚴重影響操作行為時，才需要在工藝操作站顯示，可直接設計為緊急或根據需要分析，例如服務器通信異常等，其他系統(tǒng)診斷報警推薦最高優(yōu)先等級為低級。

7 典型工藝及撬裝設備報警

有些工藝或撬塊設備功能比較固定，各個裝置都類似，不用逐個分析評估優(yōu)先等級，推薦設計方法如下：

1)液位高低報警二位式控制泵，液位高低報警處理為記錄。

2)放火炬控制閥不動作時如果沒有全關閥位反饋，優(yōu)先級處理為高級。

3)泵最小流量調節(jié)器宜將設定值限制在最小流量報警值110%以上，防止誤操作并盡量避免報警。

4)有些正常工藝操作過程中無法避免的報警，應使用動態(tài)或靜態(tài)報警抑制設計方法[4]，例如開泵前流量低報警或壓力低報警等，該技術本文不贅述。

5)對于電動閥等復雜設備的現場操作就地/遠程、手動/自動切換按鈕的狀態(tài)，不作為報警處理。

6)順序控制被中斷時，原則上有必要提醒操作工重啟或緊急停時才處理為報警，需隨其工藝逐個分析必要性及優(yōu)先等級。

7)所有報警確認或恢復正常，處理為記錄。

8 動態(tài)報警設定

并非所有的報警設定點都為固定值，設定點可能根據工況或操作條件變化動態(tài)設定。API 682中規(guī)定的典型機封方案seal plan 53BCirculatesapressurizedbarrierfluidbetweentheinboardandoutboardseals中壓力低報警設定值為大氣溫度的線性函數關系，需要設置動態(tài)浮動低報警設定點，該項目中所有同類場合都引入了中心控制室樓頂設置的統(tǒng)一環(huán)境溫度檢測點并通信到各個裝置來計算浮動設定值，國內很多項目類似的場合都參考常溫來設計報警值，筆者建議有條件盡量嚴格執(zhí)行使用動態(tài)設定方案，報警優(yōu)先級隨工藝分析確定或設為緊急。

該技術僅應用于DCS層面的報警，不適用于SIS報警或聯鎖及引發(fā)聯鎖的工藝預報警。

9 火災與可燃、有毒氣體系統(tǒng)報警

石油化工行業(yè)的火災與可燃、有毒氣體報警都比較類似，AOA報警分析評估會議不用逐個分析，直接可參考下述原則設計優(yōu)先等級：

1)洗眼器流量開關報警，直接處理為緊急。

2)檢測系統(tǒng)探頭正常工作產生的所有火災或氣體泄漏的報警全部定義為緊急。

3)氣體及火災探頭被系統(tǒng)診斷為“故障報警”定義為高級，例如斷電故障等。

4)探頭處于“標定中”、紅外點式探頭被儀表本身診斷為“鏡頭臟”、開路式探頭被儀表本身診斷為“光路受阻”時，均會通過預定的低于4 mA的固定電流整定值(例如1 mA)輸出到檢測系統(tǒng)產生報警，定為低級。

5)檢測探頭的禁用開關類似于SIS的旁路開關，系統(tǒng)中觸發(fā)時應報警并定義為低級。

6)檢測系統(tǒng)觸發(fā)室外閃光報警燈及喇叭，僅設計為記錄。

7)當火災系統(tǒng)需要自動消防噴淋動作時，觸發(fā)報警需要提高到緊急。

8)擴音對講系統(tǒng)來的靜音報警設計為記錄。

火災與可燃、有毒氣體系統(tǒng)報警設計原則： 如果需要向操作工警示設計為高級，如果僅僅需要儀表維修人員擇時檢修設計為低級。

關于火災與可燃、有毒氣體系統(tǒng)，國內外設計方法差別較大，但是都是在獨立的檢測系統(tǒng)操作站實施報警，火災與可燃、有毒氣體的報警組記錄與工藝報警組記錄應分開設置，所有的火災與可燃、有毒氣體報警不使用報警抑制技術，所有火災與可燃、有毒氣體相關因果動作及報警均應進行記錄。

應優(yōu)先執(zhí)行項目所在地國家的法律及法規(guī)，當沒有規(guī)定約束時，可參考上述原則設計。

10 建筑物報警

建筑物內的典型報警分級見表3所列。

表3 建筑物內的典型報警分級

分析小屋新風流量低自啟動備用風機設計為緊急。對于建筑物的HVAC等相關動作報警設計可參考如下原則：

1)HVAC聯鎖停、HVAC聯鎖內循環(huán)、電池室氫氣濃度高觸發(fā)聯鎖強制通風及UPS電池充電停、觸發(fā)氣體消防、各類室內報警燈及喇叭等，系統(tǒng)中動作命令不做報警設計。

2)室內火災盤報警，設計為緊急優(yōu)先級別。

11 消防雨淋閥報警

對于消防雨淋閥相關動作報警設計可參考如下原則：

1)雨淋閥閥位反饋與邏輯不符報警，設計為低級。

2)雨淋閥壓力報警，設計為高級。

3)雨淋閥開關動作命令不設計報警。

12 結束語

設計如上眾多報警并不是先進報警管理的目的，對于事實上不可避免出現的報警，應全面設置不應回避，并合理對應優(yōu)先等級[5]。如需達到相關規(guī)范所述關于各個優(yōu)先級別對應的報警頻率目標，合理設計工藝報警設定點是減少工藝報警的根本，合理的工藝本質安全設計和穩(wěn)定操作，可盡量減小報警事件發(fā)生的初始頻率，如某一報警因工藝原因頻繁發(fā)生，事實上無法消除而大幅增加操作人員負荷，應增加保護層避免頻繁報警。評估報警合理性的流程比較復雜，本文不討論。

對于硬件本身產生的故障及診斷等報警，消除的方法為使用質量可靠的控制系統(tǒng)及現場儀表，加強儀表維護，減少故障報警觸發(fā)的初始頻率。

報警管理的目的在于消除虛假報警及無效報警，國外項目中，每類報警根據溫壓流液的工藝特點都設計了死區(qū)，部分氣體壓力波動大的場合等設計了防抖動延時，還有靜態(tài)及動態(tài)報警抑制技術來消除大量非正常工況的不合理報警，目標都是盡量控制不合理報警的數量及頻率達到上述的目標，限于篇幅不詳細論述。如報警發(fā)生不可避免，應合理分級來減輕操作員負荷。

提高工廠的自動化水平才是合理的報警管理的最終目標，本文提供的解決方案比較完整，但是因為每個工廠的操作工技術及管理水平都不同，設計過程中部分案例可適當取舍且調整優(yōu)先級以適應項目的特點。