SIS系统紧急切断阀的在线维护及安全问题

安全仪表SIS系统,作为工业生产的一种安全保障系统,在国内的危险化工生产中逐渐得到应用,特别是近年来国家对安全生产的不断重视,对新建的化工生产从项目设计之初就进行安全危险评估,根据危害等级重要程度设立安全仪表系统,这种设计属于一种强制性规范,用户方没有选择权利,因此新建的化工生产中大部分生产装置都配备了安全仪表系统。

  安全仪表系统应用越来越多,但其维修维护尤其是在开车状态下的故障处理经验却非常欠缺。因为安全仪表系统在正常的生产中是不进行动作的,虽然安全仪表系统的各种检测仪表、控制系统都在正常的运转,但作为安全仪表系统最重要的一个环节——执行机构,却始终处于初始的安全工作状态。

工作状态的稳定性造成执行机构的切断阀长期处于不动作状态,其本身具有的缺陷、隐患以及非动作性故障都无法体现出来,甚至有的切断阀在长时间不动作过程中已经失效。当危险将要发生,安全仪表SIS系统做出应急安全处理,形成连锁事件的时候,作为最关键的执行机构却不动作,造成安全仪表系统失去作用,而无法避免装置的危险发生,使安全仪表系统成为摆设。

任何设备都有出现故障的时候,安全仪表系统也不例外。特别是现场的执行机构紧急切断阀,长期处于恶劣的现场生产环境中,经受温度、湿度、灰尘、振动、电磁干扰、雨水、油污,甚至外力破坏,其性能会逐渐下降,甚至突然失灵,触发连锁引起误动作,而造成处于安全状态下的生产突然终止,造成巨大的经济损失,甚至产生安全事故。

安全仪表系统现场执行器的这两大弊端,给安全仪表系统本身带来了不安全因素,所以安全仪表系统的设计本身都充分考虑了各种情况,尽可能的做到安全仪表系统各个环节的安全稳定性,如:现场工艺各种参数的检测大都使用了三取二的仪表检测模式;控制系统本身的各种卡件、网络通讯模块使用了双重甚至三重冗余模式;现场的执行机构使用了双气源和双电磁阀的模式。这种设计的目的是尽最大可能的减少因系统本身的硬件原因而引起的系统误动作触发连锁或不动作而不发生连锁的几率,最大程度的保证SIS系统自身的安全可靠性。 

安全仪表系统这种自身的安全可靠性保证虽然能够降低系统的不稳定性却无法彻底消除系统各部分的缺陷、故障以及紧急情况下的故障排除。检测仪表系统由于使用了三取二的检测模式,在对仪表维护、维修、故障排除中可以单个的进行而不会对导致系统出现连锁动作状态。但现场的执行机构的紧急切断阀却无法在线进行维护和维修,这给生产的安全运行带来隐患。

安全仪表系统的执行机构突发故障而触发连锁,造成生产装置停车的事故时有发生。现就厂里一套柴油加氢装置加热炉燃气进料安全仪表系统中的紧急切断阀突发异常造成切断阀关闭,而使加热炉燃气进料被切断,造成加热炉系统连锁而产生停车事故的经过,紧急故障排除,以及后续的切断阀在线维护改进措施进行简单概述。

一、故障经过

2016年4月16日,厂内新建的一套120万吨/年柴油加氢装置正处于开车状态,晚9点43分,调度突然打来电话告知,加氢装置加热炉燃气进料阀连锁关闭,引起加热炉停车。接电话后仪表维修人员紧急赶往中控室查看状况,,到达中控室后操作人员告知,现场切断阀又自行的开启,为确保生产的安全仪表人员在中控室观察一个多小时,切断阀一直处于正常的开启状态。由于装置处于开车状态,工艺操作人员严禁仪表维修人员到现场查看切断阀上安装的两个电磁阀的状况,仪表人员在中控室查找故障原因未果,分析可能是安全仪表系统中加热炉连锁投入自动原因造成的,一再叮嘱中控操作人员开车期间,安全仪表回路要切除连锁投入旁路。

2016年4月16日晚11点25分,调度再次电话,说加氢加热炉燃气进料阀再次发生连锁,造成加热炉停车。赶往中控后,确认安全仪表系统中的燃气回路处于旁路状态,检查盘后接线处及保险正常,怀疑是安全仪表系统组态有问题(装置处于第一次开车,有一些程序出现错误),正在查找期间,切断阀自行回复正常,但在晚11点50分时切断阀再一次出现故障紧急关闭。仪表人员紧急赶往现场切断阀处查看,以求找到故障原因。

在对现场燃气切断阀上面的两个冗余电磁阀检查中发现,两电磁阀分别进水,其中一个电磁阀线圈已经烧坏,另一个也出现间歇性的电阻跳变,于是紧急更换两电磁阀后切断阀回复正常。

下图为出现故障的燃气紧急切断阀的现场图片,从图片中可以看到,供应加热炉的燃气管线上安装的连锁紧急切断阀没有工艺旁路管线,而后续的调节阀有工艺旁路管线,因此连锁紧急切断阀在生产过程中不具备离线维修的特征。

图片

二、故障分析

  在现场紧急故障处理过程中,寻找电磁阀进水的原因,是因为电磁阀上面的接线盒压盖没有完全固定,而切断阀上面十四米处有一加热炉废热利用饱和蒸汽排空管线,其排放口排出的废弃蒸汽水在下落过程中溅到切断阀上面的两个电磁阀上,从电磁阀上面的压盖渗入电磁阀内部,造成冗余的电磁阀一个损坏,一个处于间歇故障状态,从而造成切断阀间歇性的出现自动关闭,引起加热炉燃气切断造成停车。

  下图为连锁紧急切断阀上各部分部件的功能,其主要分为三部分:

  一是双电磁阀模式,其主要作用就是为了保证安全仪表系统在生产装置将要发生危险时,紧急切断工艺管线内介质的流动,达到安全停车的目的,设置双电磁阀是为了提高电磁阀本身的可靠性;二是切断阀开关气路的控制部分,其核心部件是一个气动的指挥阀——气控阀;三是切断阀本身开关的信号反馈,目的是实现安全仪表SIS系统的自动控制,以及工艺操作人员对现场阀门开关的确认。

图片

进一步分析双电磁阀的气路构造,可以得出一个电磁阀失效不影响切断阀的安全运行,但如果两个电磁阀都失效,其电磁阀控制的气路将被切断,后续的气控阀将没有气动控制信号,而造成气控阀动作切换,引起切断阀动作。而这次故障的原因,就是两个电磁阀上方的密封盖没有禁锢到位,导致电磁阀外面的热水渗入电磁阀线圈,烧毁后面的2号电磁阀,前方的1号电磁阀也间歇性的出现故障,引发切断阀间歇性的误动作。

图片

三、后续补救——在线维护故障排查

  这次事故以后仪表人员高度重视,与工艺沟通想咋开车状态下彻底的把现场的所有的紧急连锁切断阀上的电磁阀仔细检查排查一边,已确认所有的切断阀的电磁阀都处于可靠状态。但工艺人员要求,在生产进行的状况下,不能现场检查电磁阀以防止在排查过程中人为的触发连锁,引起装置停车,最后协商得到一个方案,在仪表人员拿出一套预防应急措施情况下可以进行在线维护故障排查工作。,

  要想制定保证生产的应急措施,那么就要保证切断阀在现场维护电磁阀中不会出现动作切换,那么就要围绕切断阀上的气控阀进行研究,首要做到的就是明白气控阀各部分的功能及工作原理。

  下图就是气动阀气路中各部分的作用图

图片

进一步分析气控阀的切换条件,可通过下图的标注来分析,正常运行状态下,双电磁阀带电,电磁阀输出的气路中有气控阀的气动仪表信号风,于是气控阀工作在气控状态绿色图示1。当两个电磁阀同时断电后,电磁阀的气路被切断,此时电磁阀输出到气控阀的气动仪表信号风通大气压力为零,于是气控阀处于初始的失气状态,此时气动阀状态发生切换为红色的图示2。

图片

  在制定应急处理预案中,仪表人员围绕的是怎样保证生产的安全连续进行,怎样确保排查工作中不会造成切断阀的异常关闭。最后在实际查看后想到了一个确保切断阀不会紧急切断的方法,在维护排查工作中得到了使用,确保切断阀的安全状态运行,现具体的分析如下。

  根据现场切断阀上的气控阀的构造和工作原理,设计了一种确保电磁阀失效状况下,切断阀不动作的方案,那就是时刻保证处于切断阀开阀气缸的仪表风压力正常,那么可以把气控阀输出的关阀出口的接口卸下,使用一个软连接管连接到气控阀开阀泄压孔处。其连接图如下。

图片

  分析此时的工作原理,当维护电磁阀前,如果两个电磁阀保持良好,或者一个损坏另一个工作,那么气控阀的气动控制仪表信号风没有中断,其气控阀工作在正常的开阀状态,此时拆卸气控阀的关阀输出端,没有仪表风输出,连接好软管后,进行电磁阀的维护。

  当一个电磁阀损坏,而在维护另一个好的电磁阀不当而造成两个电磁阀同时失效时,电磁阀控制的气控阀的气动控制仪表风被切断,气控阀进行状态切换,此时气控阀的气路输出变成关阀通风,开阀排大气,但由于用软管把气控阀的关阀端与开阀排大气端连接起来,此时气动阀输出的仪表风仍然通入切断阀开阀气缸侧,切断阀仍然处于开阀状态,保证了生产的安全连续进行。

  当对紧急切断阀的两个电磁阀都维护维修完成,检测合格后,在拆掉连接软管,把气控阀的气路回复先前状态,此时就能安全完成了一个紧急切断阀的在线维护。同样的方法用这根软管可以进行其他的连锁切断阀的在线维护,而不会对生产造成任何影响。

  通过对紧急连锁切断阀的这种在线维护,消除了安全仪表SIS系统本身硬件损坏而可能带来的误动作,而引发的停车事故,增强了安全仪表系统的安全稳定性,此种方法已经在厂内其余的安全仪表系统中推广使用。

SIS切断阀常见安全问题

我们平常所说的“切断阀”,其实功能不仅仅是切断,也有正常生产中是关闭的,联锁时打开泄压。切断阀是SIS的最终执行机构,是关系安全保护的非常重要的执行机构。在实际使用中,切断阀是安全仪表环节中最容易失效环节,切断阀气动元件的不同,安全使命不同。下面介绍切断阀的几种结构。

我们平常所说的:
FC——气源丢失,阀门处于关闭位置
FO——气源丢失,阀门处于打开位置
FL——气源丢失,阀门处于最后时刻位置并一直保持
FLC——气源丢失,阀门保位但趋于关闭,阀门最终处于关闭位置(气缸中气体消耗完)
FLO——气源丢失,阀门保位但趋于打开,阀门最终处于打开位置(气缸中气体消耗完)
这是联锁设计中非常重要的控制点,也是关乎安全生产的非常关键的部分。那么我们在安全检查中如何判断一个阀门的故障状态呢。首先我们要了解阀门的组成部分。切断阀由阀体和气缸两大部分组成,就像我们家用的水阀一样,阀体是和水管连接部分,气缸就相当于水阀手柄。很多切断阀的阀体和气缸都并非一个企业生产的,比如国际上知名的阀门厂,很多都以生产阀门而著名,气缸则是外配。切断阀的故障模式,完全取决于气缸部分,气缸的结构比较复杂,而气缸上电磁阀、气控阀、气动加速器、锁止阀的搭配则更为复杂,所以在安全检查时,对切断阀的故障模式判断需要仔细观察。下面介绍几种阀门结构。

图片

1、单缸单作用
  单杠单作用是切断阀中最简单的结构,也是最容易判断故障模式的一种阀门。

图片

图片

  缸体部分,一端是气缸一端是弹簧,正常情况下,电磁阀带电,动力风进入气缸,推动气缸移动压缩弹簧,从而带动阀门打开或者关闭;当电磁阀失电(联锁启动)后,气缸中的动力风迅速排出,弹簧推动气缸移动,带动阀门关闭或者打开。
2、双缸双作用
  两侧都是气缸,一端进风时,另一端排风,推动气缸移动,从而带动阀门打开或者关闭。

图片


  这种结构的阀门,在动力风中断或者电磁阀失电状态是停止不动的,不关闭也不打开,保持原位不动(注*不考虑电磁阀和气动阀结构)。在实际使用中,阀门的故障模式,完全决定于其附件(电磁阀、气控阀等)的组合。

3、双缸单作用
  双缸单作用是集合单缸单作用及双缸双作用的优点,两端都是气缸,其中一个气缸中带有弹簧,当动力风中断时在弹簧作用下,阀门关闭或者打开;在联锁启动时,在动力风和弹簧双重作用下,快速关闭阀门。

图片

 
  是不是这种阀门最好呢,也不一定,这种结构的阀门最大的弊端是,不好判断弹簧作用力的可靠性,当联锁需要紧急启动,而动力风又中断的紧急状态下,弹簧如果乏力,那阀门会无法关闭或者打开。而弹簧是否可靠,在正常联锁测试中不好判断。
  常见切断阀的结构就这三种模式,了解这三种气缸结构就了解阀门的故障状态了吗,这还远远不够。气缸的动作模式完全由外部气动元件来控制,而气控元件的组合根据联锁的需要千变万化。举几个简单的例子:
1、单缸单作用在动力风中断时一定会关闭或者打开吗?
大部分联锁阀门在动力风中断时要求关闭或者打开,但是联锁的设计一定是可用性和可靠性的综合考虑。在考虑安全性的同时一定会考虑可用性,且有时候的动力风中断并非全部中断,而是局部动力风管线的受损。关闭某个切断阀会造成较大的经济损失或者给生产带来次生安全风险。这种情况下,一般阀门上会带有锁止阀,其作用就是当动力风压力降到一定的设定值时,切断动力风,气缸中的压力始终推动弹簧使得阀门保持原有状态。加上锁止阀就变为FL。什么情况下用到这种阀呢,比如大型的气体净化项目,当下游生产装置发生故障时,需要紧急切断上游供料阀门,下游装置全部停工,可能会造成几千万的经济损失。但是动力风暂时故障,能在短时间恢复,倒不如设置成FLC。

图片

  也就是说这样的结构,在动力风中断时,阀门是保持的。
2、双缸双作用阀门在动力风中断时一定保持不动吗?
  也不一定,需要看气动元件的结构。从气路图可以看出,阀门虽然是双缸双作用,但是通过气动元件的组合,阀门变为FC.
一个切断阀的失效概率并非完全取决于切断阀本身。我们能从各种渠道查到的失效数据只是阀门本身的,并不包含气控阀、电磁阀、锁止阀、气动加速器等等。就其阀门本身来说,一般都是比较可靠的,但是这些阀门附件的失效概率较高,也就是说我们用于现场紧急切断的阀门,其失效概率大部分是由气动元件导致的,而我们查到的失效概率只是阀门的,生搬硬套用这个数据去做SIL验算是不符合实际的。把所有的气动元件失效概率一起算不就可以了吗?当然可以,但是气路组合千变万化,这个计算过程超复杂。

图片


 

图片


另外,切断阀的使用介质对切断阀是非常关键的,同一台阀门用于不同的工况,如一台用于干净的汽油,一台用于恶略工况(如煤化工、S-Zorb、聚丙烯粉料、粘稠性较大的浆料)等环境下,其失效概率差别会非常大,用于汽油的可能用30年没问题,用于恶略工况能用三个月就不错了。

图片


这几年国内阀门技术突飞猛进,在攻关恶略工况环境的阀门取得了很大的成就。但是就其阀门的可靠性来说,在考虑阀门的失效概率时,一定要考虑阀门的使用工况。
在整个联锁回路中,SIS系统相对故障率最低,测量部分次之,执行部分故障率最高。