ESD安全设计.docxVIP

ESD紧急停车系统ESD紧急停车系统（Emergency Shutdown System），是为生产过程的安全而设置的，它适用于高温、高压、易燃、易爆等连续性生产作业领域。当生产过程出现意外波动或紧急情况需要采取某些动作或停车时，该系统能精确监测，并及时、准确地做出响应，使装置停在一定的安全水平上，确保装置和人身的安全。ESD由检测元件，逻辑单元和执行元件组成。1、 ESD和DCS的关系ESD与DCS是完全分离的。DCS主要用于过程工业参数指标的动态控制。在正常情况下，DCS动态监控着生产过程的连续运行，保证能生产出符合要求的优良产品。而ESD则是对于一些关键的工艺及设备参数进行连续的监测，在正常情况下ESD是“静止的”，不采取任何动作。但是当参数发生异常波动或故障时，它会按照已定的程序采取相应的安全动作，使装置停在安全水平线上。所以ESD和DCS在过程工业中所起的作用不同，既有分工，又成互补关系。同时，ESD也不单是实现联锁关系，它应该凌驾于生产过程控制之上，具有独立性，这样降低了两者同时失效的概率，ESD的安全等级要高于DCS。ESD与 DCS的主要区别见对照表1。表1 ESD与DCS的的主要区别DCS ESD 动态控制静态监测、保护故障自动显示必须测试潜在故障维修时间不太关键维修时间非常关键可以进行自动/手动切换必须始终在线，不允许离线2、 ESD的设计此部分主要涉及ESD系统逻辑单元的设计，为了设计合适的ESD系统，应该遵循以下的原则：(1) 在紧急停车系统的设计中，安全度等级是设计的标准。在ESD的设计过程中，首先应该确定生产装置的安全度等级，依据此安全度等级，选择合适的安全系统技术和配置方式。目前，我国对于生产装置的安全度等级的划分尚没有设计规范和标准，在应用中应该参照国际上的有关标准，参比同类装置已经采用的ESD运行情况，结合本企业的生产实际情况，来确定采用ESD的安全等级要求。根据经验，石化装置一般采用的ESD安全等级为SIL3，即TUuml;V的AK5或AK6。(2) 紧急停车系统必须是故障安全型故障安全指ESD系统在故障时使得生产装置按已知预定方式进入安全状态，从而可以避免由于ESD自身故障或因停电，停气而使生产装置处于危险状态。(3) 紧急停车系统必须是容错系统容错是指系统在一个或多个元件出现故障时，系统仍能继续运行的能力。一个容错系统应该具有以下的功能：A）检测出发生故障的元件。B）报告操作人员何处发生故障。C）即使存在故障，系统依然能够持续正常运行。D）检测出系统是否已被修理恢复常态。容错系统不同于一般的双机热备份系统。一般的双机热备份系统仅仅是模块或总线上的简单的双热备，一旦输入模块出现了故障，处理器模块也有一块出现了故障，这时系统可能因此而瘫痪；但是具有容错功能的系统，除了在模块、总线、通讯上有冗余设计之外，还具有自诊断功能，能准确识别各部件的故障，并对任何故障能进行补偿。（如：对故障部件的信号强制为指定状态）在选择容错系统时有两个方面需要考虑：①系统是软件容错还是硬件容错为实现容错，一种是在使用标准硬件的基础上用软件实现容错，即SIFT（软件实现容错）；另一种认为软件是系统中最不可靠的部分，因此把软件的应用减少到最少，即用硬件实现容错（HIFT）。在ESD系统中最明显的同原因故障（是指影响系统多处的故障）就是操作系统，HIFT和SIFT最基本的区别就是为实现容错而需要的软件复杂程度不一样，只有软件的作用得到了限制，才能保证一定的安全水平。所以应该采用硬件实现系统容错。②容错系统结构的确定在基于处理器的容错系统中大致可以分成两类系统，一类是双重冗余系统，另一类是三重冗余系统或三重模块冗余系统，它们的共同特点是都具有表决电路，但究竟选用哪类系统，又可由装置所要求安全性和可靠性（可用度）来决定。可用度是基于导致系统的故障进行计算的，这故障有引起系统进入安全状态的故障（故障安全故障或显性故障）和引起系统进入危险状态的故障（故障危险故障或隐性故障），它是系统故障频度的度量。高可用度的重要性在于系统很少出现进入安全状态或危险状态的故障。高安全性的目标在于避免故障的发生，即使系统出现故障时也不会出现灾难性的事故。一个理想的紧急停车系统应该兼顾安全性和可用性的要求。A 双重冗余系统双重冗余系统提供了第二条信号线路，并在两条信号线路之间提供某种表决格式。一般采用的表决原则有1OO2（双通道2选1表决）和2OO2（双通道2选2 表决）。双通道2选1表决，在此系统中，任何一个通道的故障将导致系统误动作，构成或逻辑。由于两通道均可导致系统停车，因此其安全性高（隐性故障率低），但误停车率高（显性故障率高）。双通道2选2表决，在此系统中，必须两个通道同时故障才导致系统误动作，构成与逻辑。由于需要两个一致才可以停车，因此误停