一起DCS程序下裝引起的設備事故分析

1引言

　　隨著企業生產變化，方大特鋼4500nm3/h制氧由最初定位的過渡機組變成了主力機組，為提高該制氧機組運行的性能，2010年1月對該機組控制系統實施了全面改造，由常規儀表結合小型plc控制改為dcs系統控制，所采用的dcs系統為hollias-macs系統，所有控制信號點均進入dcs系統，經過1個余月時間安裝、調試，完成了改造工程。實現了：空壓機、膨脹機、氧壓機、氮壓機啟停自動控制及聯鎖，分子篩系統自動控制、空分裝置調節閥自動控制、空壓機、膨脹機雙油泵互備控制等功能。

　　2010年4月初，4500nm3/h制氧開機，從運行情況看，所設計的主控制方案滿足了系統需要，但由于4500制氧機組本身的特性，加上組態時局部的漏項，部分報警參數、畫面的設置仍存有一定的不合理性，為此在設備運行期間多次進行了在線修改、下裝， hollias-macs系統良好的無擾動下裝、增量下裝功能，在線下載一直沒有影響設備的正常運行。但2010年6月20日的一次程序下載，不僅引起了空分裝置停機，同時造成了空壓機燒瓦重大事故發生。dcs程序下載引起裝置停機可以想象(行業內有事例)；造成空壓機燒瓦卻難以理解，表明空壓機的自動聯鎖都沒有發生作用。為此專門組織力量對本次事故進行剖析。

2 事故描述

　　2010年6月20日10:30左右，由于v1212閥門閥開信號未在規定的時間閉合，造成分子篩切換系統控制程序自動轉為暫停。

　　分子篩系統控制程序是制氧機組的主控制程序，是通過dcs系統控制14個閥及電加熱器的周期動作。執行1#分子篩吸附器“卸壓→加熱→冷吹→充壓→切換”——2#分子篩吸附器“卸壓→加熱→冷吹→充壓→切換”動作，除系統初始化步，控制系統共分10步動作，不斷循環，兩個分子篩吸附器輪流工作、再生。一旦不能正常運行或故障較長時間不能發現，將影響生產正常運行，甚至較長時間停產。v1212閥位開關不到位造成分子篩程序暫停已出現數次，雖經處理，但經過一段時間運行后，總是不理想(并且經常處于報警臨界狀態)，給生產造成了一定影響。

　　v1212閥門實際動作是正常的，只是閥位反饋不正常。程序設計是：閥位反饋與閥門動作不同步超30s報警，且聯鎖程序轉為手動。為此對程序進行修改，同時進行了下裝(考慮到和利時系統可以增量下裝)，但在本次下裝后，卻最終造成了制氧機組的停機，空壓機燒瓦事故。

3 事故分析

　　程序下裝因素造成設備停機是可預測的，但程序下裝造成空壓機燒瓦事故難以理解。在本案例中，程序下裝后，各聯鎖都沒有發生作用，油泵沒有聯鎖啟動，壓縮機沒有聯鎖停機，這是很不正常的現象。

　　3.1 下裝事后檢查

　　本次程序修改做了兩部分工作：

　　首先進入控制算法組態，對下位控制程序進行修改，將v1212閥門不同步時間修改為40秒。點擊在線登錄，系統彈出確定小畫面，提示需重新下裝(增量下裝)，點擊確認下裝正常。

　　其次對數據庫中四個參數進行修改：

　　(1)“閥門故障”；

　　(2)“v1212閥門不同步”；

　　(3)“v1213閥門不同步”；

　　(4)ticas1223量程，由0-300℃，改為0-250℃(對它的修改是為了與ticas1224量程一至，使趨勢圖直觀方便操作人員的對比)進行了數據庫的編譯，編譯正常。

　　再次進入控制算法組態，檢查程序運行情況，編譯程序、在線登錄，系統提示下裝，點擊確認下裝。點確認，即發生“制氧機組分子篩系統突然停止工作，轉為手動、各閥門自動關閉；其它系統設備工作也不正常；參數異常，設備并沒有聯鎖停機”事故。

　　事后分析，第二次下裝速度較快，系統其實是提示初始化下裝。為什么數據庫沒有實質性變化，系統卻要進行初始化下裝？為此與和利時服務工程師聯系得知：系統軟件對于熱電阻測溫認定0～275℃為一檔，量程由由0～300℃改為0～250℃，系統自動認為跳檔，要初始化下裝。初始化下裝后，所有do自動置于off，用于空分裝置中分子篩切換閥的電磁閥自動失電，閥門關閉，初始化下裝是造成本次停機事故的直接因素。

　　3.3 查聯鎖未發生作用原因

　　圖1為空壓機聯鎖停車彈出式畫面。從圖中可以看到，對各工藝參數是否參與聯鎖，都設置了手動控制按鍵。

圖1空壓機聯鎖停車彈出式畫面

　　本例中，程序下裝后，發現只有“切除空壓機聯鎖/投入空壓機聯鎖”處于投入空壓機聯鎖位置，聯鎖停空壓機的其它參數的“取消聯鎖/投入聯鎖”均處于取消聯鎖位置。調出氧壓機、氮壓機、膨脹機等其它設備彈出式畫面(聯鎖畫面)，發現絕大多數“取消聯鎖/投入聯鎖”處于取消聯鎖位置。“取消聯鎖/投入聯鎖”處于取消聯鎖位置，造成設備(含空壓機)不能正常聯鎖停機，油泵也不能自動啟動，設備缺油運行，這是造成空壓機最終燒瓦事故主要原因，dcs程序在設計上存在缺陷。

4 處置措施

　　4.1 dcs程序修改

　　根據生產工藝、設備安全運行要求，各類裝置都設置了報警、聯鎖控制參數，一旦參數異常，當參數超過報警值時，dcs發出報警提示，當參數超過聯鎖值時，dcs系統聯鎖停機。保護設備，是設置聯鎖參數的主要目的，一臺設備設置了聯鎖參數，除特殊情況，都應該及時投入聯鎖，如表1所示。

表1 事故前空壓機聯鎖“取消聯鎖/投入聯鎖”參數表

　　表1為空壓機聯鎖“取消聯鎖/投入聯鎖”參數表，這些點均為dcs自定義一字節變量點，專門用于各測點聯鎖是否投用，是為了儀表檢修、設備調試等因素設置。這些參數在系統進行初始化下裝時有的為on，有的為off，是由于系統初始化設置不同。

　　為此進入控制算法→資源→變量設置程序段，對聯鎖用變量按實際需要進行修改，表2為修改前后，空壓機變量設置部分程序段。變量屬性修改后，在初始化下裝時，參數的聯鎖能自動投用，油泵能自動隨設備、工藝參數變化自動控制，設備能聯鎖停機，提高了設備運行的安全性。

表2 修改前后空壓機變量設置部分程序段對比

　　4.2 完善應急操作措施

　　在程序下裝后，從dcs操作畫面上可以看到分子篩系統閥門全部關閉，空壓機自動放空，一系列參數報警發生了。空壓機兩油泵均停止了工作，油壓只有0.04mpa(低于聯鎖停車值)，空壓機仍在運行，操作人員立即在dcs上手動啟動空壓機油泵(約10s時間)，而后空壓機軸承溫度、軸位移等參數出現報警，軸位移超過聯鎖設定值，操作人員到現場確認空壓機運行情況，空壓機有異聲響，為此，操作人員在dcs上緊急將空壓機停下來(整個過程約45s)。通知維護人員檢查空壓機狀況，拆開空壓機，發現止推瓦、徑向瓦受到嚴重的損傷，空壓機軸承亦有一定量的磨損。

　　整個事故發生在不足1分鐘的時間，但空壓機卻受到了較大的損壞(該空壓機還帶有高位油箱)。如果一發現空壓機油泵停止運行，且油壓低于聯鎖值，立即將空壓機停下來，設備的損傷可能會更小一些。為此，一是在dcs每幅操作畫面上設置緊急停機操作鍵；二是修改應急操作措施，明確規定，一旦出現類似情況，立即實施停機操作。

5結束語

　　事故發生瞬間，損失很大，教訓深刻，筆者有三點體會，希望對同行有所啟發：

　　(1)在dcs系統維護方面存在問題：多次在線下裝程序，設備運行正常，主要是和利時系統具備增量下裝功能，多次在線下裝成功又致使維護人員思想麻痹，以至系統提示都未能認真看清，dcs系統是工藝、設備的控制核心，從安全角度考慮，最好是不要在線下裝。

　　(2)廠家在dcs維護手冊上說明存在缺陷：275℃為熱電阻測溫分界點之一，這是系統軟件上的一個隱性點(廠家許多工程人員都知道，可能在有的地方也出現過類似事故)，但dcs維護手冊上沒能說明，這樣，即使系統提示，維護人員看到了，也不能發現問題所在。

　　(3)dcs程序設計存在缺陷，程序設計人員未能考慮設備運行的安全性，主機廠現場工程師沒有與用戶充分交流，用戶系統維護工程師亦未能領悟到一字節變量是否設置為true的意義，這一點理解不透，事故出現都不知道是什么原因。