無效報警的優化方案

皮宇

(中石化廣州工程有限公司,廣東 廣州 510620)

本文僅討論工藝參數在控制系統操作站產生的報警,對于其他涉及可燃有毒氣體檢測及安全系統、現場聲光設備等報警不屬于本文討論范疇。根據ANSI/ISA-18.2： 2016Managementofalarmsystemfortheprocessindustries,報警的定義可簡要描述為：“將設備功能異常、工藝偏差,或者非正常狀態,采用聲和/或光的措施告知操作員,并要求及時做出響應”[1]。該定義為討論所有與報警相關問題的重要基礎。無效報警包含的種類主要有三種： 應報警的未報、不應報警的誤報、應報警的雖然報警,但是無法做出正確或及時響應。無效報警的危害是顯而易見的,當出現應報警未報的情況,工藝將被擾亂或導致停車,該報警屬于獨立保護層時,可能導致危險發生或降低安全保護等級;當出現不應報警而誤報的情況,該類報警多了將產生報警泛濫,使操作員不堪重負,嚴重違反人體工學原理,極大干擾操作員的正常操作行為。報警未及時響應是報警優先等級設計不合理,在突然出現異常工況時,大量的報警同時涌入,操作員無法在同一時間段針對所有報警做出正確響應[2],其涉及內容比較復雜,限于篇幅,本文不討論該類涉及報警優先等級的無效報警。

當報警作為LOPA分析的獨立保護層時,報警的可靠性將更有意義。對于消除無效報警的技術,很多文獻僅有個別概念提及,但是缺乏全面分析且沒有實施方案,國外項目對報警很重視,解決方案也比較詳盡,本文將結合筆者設計的國外項目給出詳細的解決方案供同行參考。

1 本質安全層面合理設定報警值

1.1 報警值和響應時間的關系

根據報警的定義,報警設計的初衷是需要操作員的響應和響應時間,ANSI/ISA-18.2： 2016中定義的報警管理生命周期的含義中,評估報警設定點的合理性是在本質安全層面上避免無效報警的重要手段[1]。工藝參數與響應時間關系曲線如圖1所示。

圖1 工藝參數與響應時間關系曲線示意

關于涉及時間的術語,中國的國家標準與國外標準略有不同,但是含義大致相同,包含如下三個涉及響應時間的定義：

1)實際響應時間。從報警被觸發開始,到正確按照操作規程完成減緩或修正異常工藝的操作動作所需時間。

2)過程響應時間。從正確的操作動作結束開始,到異常工藝參數的變化趨勢開始向安全方向反轉所需時間。

3)過程安全時間。從報警被觸發開始,在工藝可操作且無安全保護的前提下,能夠維持安全直到設計所容忍的限度所需時間[3]。

1.2 合理設置報警點的思路

參考圖1,僅以高報警為例說明：A時刻工藝觸發報警,B時刻操作員正確識別報警,點擊畫面確認消聲并開始按照操作規程動作,C時刻操作員完成動作,D時刻工藝參數趨勢開始反轉,E時刻工藝過程已經超過了設計允許的限度,有發生危險的可能,對應圖1操作員響應時間為AC段,工藝響應時間為CD段,工藝安全時間為AE段。AB段代表操作員的反應速度及優先級設計的合理性,BC段代表工廠管理及應急操作的培訓水平,整個工藝參數趨勢的變化過程僅有AB和BC段是人為可控的,AC段是先進報警管理研究的核心及報警目標分析的重點。A點的報警設計如果能保證ADAE,曲線將按照工藝參數變化趨勢1發展導致事態進一步失控,或來不及操作響應而直接觸發聯鎖停車,失去工藝預報警獨立保護層的作用導致經濟損失,當A點的設計值偏低接近操作目標范圍上限時,導致報警泛濫,擾亂正常操作。

如上所述的解決方案是分析當前設計的報警設定點是否在合理的報警設定區域內;報警設定區域應位于聯鎖設定點到操作目標范圍上限的區域內;區域上限應綜合考慮報警優先級設計、工廠管理、對操作工的培訓水平;結合HAZOP分析中針對該事故場景的分析結果,區域上限盡量遠離聯鎖設定點,區域下限要綜合考慮先進報警管理的關鍵性能指標(KPI),控制報警頻率[3]。當A點在報警設定區域以外時,可以判斷當前設計的設定點不合理且可能頻繁觸發無效報警,國外項目通過專門的報警目標分析(AOA)會議及專用軟件計算來輔助分析設定點合理性并計算推薦優先等級。對于無法保證AD

當工藝為多種復雜工況時,例如API 682規定的機封方案seal plan 53B中壓力低報警設定值與大氣溫度呈線性函數關系時,設定點如果為定值,夏季與冬季氣溫差別較大將頻繁導致無效報警,或因順控觸發等原因工藝處于不同工況也可能頻繁觸發無效報警,解決方案為通過DCS組態函數運算模塊或選擇模塊,設計“浮動”設定點來防止無效報警。

對于同一工藝方向設計過多設定點也可能造成無效報警,例如高高報警對應的優先級別與高報警沒有區別或無特殊操作響應,則該高高報警的設置為無效報警應取消。

2 非正常工況無效報警的消除

2.1 靜態報警抑制技術的應用

開車階段,撬裝設備啟動前或備用泵、壓縮機啟動前,無法建立正常操作工藝條件,將產生大量的無效報警,例如壓力、液位、流量、溫度等參數的低報警等,這些非常態工況在生產計劃的某個階段長期存在且是可以預見的,此時的解決方案是使用靜態報警抑制技術,靜態報警抑制邏輯組態如圖2所示。

圖2 靜態報警抑制邏輯組態示意

組態時應注意,操作員確認是抑制報警組的必要條件之一,但卻是解除抑制的充分條件,即不確認立即解除抑制。對于報警組清單僅為一條報警時,可以僅選擇一個允許抑制工藝狀態信號,當報警組包含多條報警時,應設計多條工藝狀態信號來參與NooN表決,且每條信號都可以因故障被禁用,當禁用時,該信號被排除在表決以外。應選擇不同工藝表征參數信號參與表決避免共因失效,客觀反應工藝狀態,例如對于蒸汽透平壓縮機停機狀態,可選擇入口蒸汽閥閥位全關,透平轉速不高等多個參數,每個信號均設計為自動復位。當選擇模擬量作為條件參與表決時,宜設計報警死區,防止反復觸發或復位。當所有條件均成立后,報警組才被抑制。

2.2 動態報警抑制技術的應用

一個報警或聯鎖產生后,因工藝關聯而短時間產生一系列操作員已經知道的非正常工況報警,例如爐膛熄火作為初級報警導致加熱爐停,隨后一系列次級報警相應產生,次級報警就屬于不應報警誤報的情況,上游泵或壓縮機停了,下游也將產生一系列無效報警,此時的解決方案是使用動態報警抑制技術,動態報警抑制邏輯如圖3所示,動態報警抑制順控邏輯如圖4所示。

圖3 動態報警抑制邏輯示意

圖4 動態報警抑制順控邏輯示意

參考圖3,t1推薦參考值為30 min,t2推薦參考值為1 min,t1為抑制時間脈沖,僅針對其中某一個初級報警條件有效,當另一個初級報警條件也觸發時,t1將被重置。t2的值為檢查周期,當包括所有報警可能被觸發的時間,t2可能超過30 min時,為確保t1>t2,t1適當延長。當發現組內已發生報警時,輸出不一致提示信號給操作員處理。

參考圖4,t1開始計時后,如報警組內已有報警發生但未確認,將自動確認并抑制,t1計時時間到期后,原已經被抑制的報警繼續保持抑制直到測量參數復位。圖3,圖4所示為國外工程公司的組態方法,僅供參考,如DCS中有自行開發的功能塊,可直接選擇使用。

2.3 靜態和動態報警抑制的特點和局限性

動態抑制選擇的初始報警與靜態抑制選擇的工藝允許抑制條件要求相同,當來源于SIS信號時,觸發條件的旁路功能也生效。相比靜態抑制,動態抑制發生時間不受控,邏輯組態也不同,動態抑制引入了時間管理及順序控制,動態抑制是有時間限制的,初級報警本身是不能被抑制的,次級報警組清單的選擇是受控的,一定是不需要操作員響應的報警,推薦在多方參加的報警目標分析會議上確定。動態報警無法抑制那些工藝關聯過快的報警,次級報警被觸發的時間因觸發條件不同而不同,即使每次被同樣條件觸發,觸發時間也可能不同,當小于DCS通過網絡讀取初級報警信號的時間加邏輯運行時間時,例如初級報警在不同的控制器,讀取時間可能長達4 s,此時某些次級報警可能已經被觸發,動態抑制不能保證每次都成功抑制全部報警組,如果每次通過檢查,都是同樣的報警位號出現在不一致清單中,則這些次級報警無法在DCS中被成功抑制,為避免無效報警,這些報警可不由DCS實施。

當靜態及動態抑制有效時,報警參數不正常,程序將自動確認報警,不觸發聲光報警,但是事件管理將進行記錄。

3 測量導致的無效報警

報警的觸發是由現場儀表來檢測實施的,與儀表測量有關的無效報警主要有如下幾種：

1)儀表故障產生的無效報警。解決方案： 在控制系統中設置故障模式,正確辨識信號故障,模擬量信號根據NAMUR NE 43或FF總線信號根據NAMUR NE 107[4]來診斷故障,合理設置信號走向,觸發故障報警,或根據工藝要求決定是否觸發工藝報警,設置合理的優先級別及響應程序。

當儀表沒有被系統診斷出故障,但是不明原因頻繁報警,工藝判斷無需響應時,操作員可以啟動控制系統中的報警擱置功能將該位號儀表臨時限時擱置,啟動報警擱置計時器并限時檢查儀表或工藝,計時器釋放時將反復要求操作員確認是否繼續擱置并重啟計時器[2]。

2)信號檢測產生的無效報警。控制系統對現場儀表的測量信號讀取都有滯后,儀表讀數從零到達最終指示讀數的63%所需要的時間,國外定義該時間為儀表時間常數,控制系統中定義該常數的意義為信號的當前值,不一定代表真實值,對于快速突破設定點瞬間又復位的信號,有可能是由于信號噪音或測量原理造成的,操作員沒必要過于敏感地做出響應,僅需對穩定的信號反應。即便消除了信號本身的影響,確認是工藝觸發,工藝過程也可能短時間波動觸發報警后立即復位,極短時間的觸發將干擾操作員確認報警是否真的發生,是否需要響應,該類報警也屬于無效報警。

解決方案： 控制系統中可啟用過濾器及防抖動功能,過濾器中可設置儀表時間常數,在信號穩定時才確認觸發,一旦觸發,防抖動設置鎖住報警在一定的時間不允許反復復位,使報警能被有效確認,這兩種功能都與工藝參數特性有關,ISA標準推薦的基于信號類型的時間常數及防抖動計時器時間設定見表1所列。

表1 時間常數及防抖動計時器時間設定 s

3)工藝長時間波動產生的無效報警。當工藝在設定點附近長時間頻繁微小波動時,也將反復觸發報警,該報警無需操作員響應,屬于無效報警。

解決方案： 控制系統中針對測量信號的量程設置一個百分比作為死區,死區僅針對報警復位有效,不影響報警觸發,復位不發生在設定點,而發生在信號觸發報警的反方向,信號反向越過設定點及死區后才復位,可以確認此時工藝已經穩定且遠離設定點,可避免在設定點附近出現頻繁的無效報警,死區的設置與工藝特性有關,見表2所列。

表2 死區設定 %

死區的設置不是一個絕對的值,以上僅為國外工程公司常用參考值,例如高或高高報警設定點過于靠近時,以上死區可能過大,特殊場合用戶可結合實際經驗設置。

4)精度或量程不合適導致的無效報警。當工藝需要精確測量時,無效報警的主要原因來源于不合適的精度與量程設計。例如爐膛微負壓,一般均為-294～490 Pa,如果選用普通的壓力變送器或絕壓變送器,儀表工作范圍為-0.1～0.1 MPa,該范圍較大,雖然可以覆蓋工況,但是精度太差,經常出現無效報警。解決方案為選用高精度小量程的儀表或合理的測量原理,提高測量精度,例如可選用微差壓變送器等。

當工藝工況比較復雜,例如要求檢測的范圍較大要包含暫時出現的異常工況,異常工況又遠離操作目標范圍,此時設計儀表量程過大或報警設定點距離零點或量程過近,例如加熱爐燃料氣要求做泄漏檢測時量程要求表壓設置為1 MPa,但其低報警表壓僅為7 kPa,報警設定點僅占量程的0.7%,基本無法正常報警;例如加氫裝置切斷閥兩側差壓,報警值非常小,還有常減壓裝置的進料緩沖罐,液位波動10 m左右,工藝要求的高低報警設定點相差非常大,類似場合設定點靠近量程的2個極限點僅1%左右,對于儀表的量程選擇是非常困難的?；诠こ虒嵺`,參考國外工程標準,推薦能保證正常報警的報警設定點相對量程的比值見表3所列。

表3 報警設定點相對量程的推薦比值 %

解決方案： 針對報警點,單獨使用小量程的儀表測量及采用超量程報警抑制技術,在滿足表3的條件下可正常觸發報警同時也可消除正常工況下超量程的無效報警。工藝的全范圍測量功能使用另外的儀表完成。

4 DCS組態導致的無效報警

DCS組態中很多功能塊都包含報警設置,如果組態不合理,將產生系列重復報警。例如一個復雜回路同一工藝位置,同時有幾塊儀表測量,信號經過各種功能塊,例如AI模塊、選擇模塊、溫度壓力補償計算模塊、比較模塊、指示模塊、PID控制模塊等,信號鏈上所有的模塊最終工藝測量目標只有1個,如果每個模塊都設置報警,將造成無效的大量重復報警。

解決方案： 僅在信號鏈的最終環節功能模塊中設置1個報警,例如計算后的指示模塊或PID模塊中,該方案在組態中很容易實現。

5 結束語

無效報警的消除是先進報警管理中非常重要的環節,而設計合理的設定點是最根本的解決方案,不能因為防止過多的報警而取消真正影響工藝操作或安全的報警,也不能因為過度敏感而制造大量根本無法響應的無效報警,當確認所有觸發的報警都有效時,才可能真正意義上實施先進的報警管理及設計優先級別,提高煉化企業的自動化管理水平。