什么是ESD？为什么要用ESD?

一.简介

       ESD是英文Emergency Shutdown Device紧急停车系统的缩写。这种专用的安全保护系统。是90年代发展起来的，以它的高可靠性和灵活性而受到一致好评。ESD紧急停车系统按照安全独立原则要求，独立于DCS集散控制系统，其安全级别高于DCS。在正常情况下，ESD系统是处于静态的，不需要人为干预。作为安全保护系统，凌驾于生产过程控制之上，实时在线监测装置的安全性。只有当生产装置出现紧急情况时，不需要经过DCS系统，而直接由ESD发出保护联锁信号，对现场设备进行安全保护，避免危险扩散造成巨大损失。据有关资料显示，当人在危险时刻的判断和操作往往是滞后的、不可靠的，当操作人员面临生命危险时，要在60s内做出反应，错误决策的概率高达99.9%。因此设置独立于控制系统的安全联锁是十分有必要的，这是作好安全生产的重要准则。该动则动，不该动则不动，这是ESD系统的一个显著特点。
       为何要独立设置ESD系统呢？当然一般安全联锁保护功能也可由DCS来实现。但是对于较大规模的紧急停车系统应按照安全独立原则与DCS分开设置，这样做主要有以下几方面原因：
（1）降低控制功能和安全功能同时失效的概率，当维护DCS部分故障时也不会危及安全保护系统; 
（2）对于大型装置或旋转机械设备而言，紧急停车系统响应速度越快越好。这有利于保护设备，避免事故扩大；并有利于分辨事故原因记录。而DCS处理大量过程监测信息，因此其响应速度难以作得很快；
（3）DCS系统是过程控制系统，是动态的，需要人工频繁的干预，这有可能引起人为误动作；而ESD是静态的，不需要人为干预，这样设置ESD可以避免人为误动作。

      ESD现在应用的越来越多了，在控制系统中已经独立于DCS。现在ESD的国外厂商在国内有应用的有，HIMA公司的PES，TRICONEX（TROCON），HONEYWELL公司的FCS（原P F公司产品），ICS 公司的TRUSTED ，GE 公司的GMR，ABB 公司的TRIGUARD SC300E,YOKOGAWA公司的ProSafe-PLC。以上七家厂商的产品已经占90%以上的市场了。其中HIMA，TRICONEX，ICS专业做安全控制的厂商，其它几家是老牌的DCS的厂商，因为ESD的市场逐渐成熟，也推出了自己的产品。其中还有EMERSON，就产品的成熟度和市场份额来说，HIMA和TRICONEX是这个行业的双雄，两家各自代表了ESD产品的两种设计理念。

二、安全及安全要求等级

       安全是指人或物在一定环境中不发生危险与不受到损害的状态，而安全性是表明人或物在一个环境中对危险的损伤所能承受的最大能力。

       安全性最终目标是避免事故的发生，为达到此目的，对产品我国有“3C”(China Compulsory Certification)市场准入强制性认证制度(包括产品安全性及电磁兼容、环境保护等方面)；对工业装置的自动化系统中设置了安全保护控制系统(以下简称安全系统)，并对其设置与整个生产装置的安全要求等级进行了规定。ISA美国仪表学会称安全系统为安全仪表系统(Safety Instrument System, SIS)，对应ISA-S84.01标准，IEC国际电工委员会称安全要求等级为“安全完整性等级”(Safety Integrity Levels, SIL)，对应IEC61508标准。目前国内尚无国家标准，石化行业有相关的设计导则：石油化工紧急停车及安全联锁系统设计导则(SHB-Z06-1999)，采用IEC的SIL概念。

       在石油化工、火力发电、钢铁和有色金属冶炼等行业设备选用设计安全系统时，都有危险性分析和可操作性分析，要求各种运行参数在工程设计规范内，如果超过此范围，则表示不安全，需要安全系统发挥作用；又在正常范围内允许控制系统手自动切换和手动操作，但操作人员某些重大失误也可能造成不安全，为了克服人为的不安全因素，安全系统应从一般控制系统分离出来；装置周围环境如发生火灾或可燃性气体、有毒气体导致影响设备安全和人身安全时，也需要安全系统发挥作用，所以研究安全要求等级划分问题很重要。

        当人们均衡利害关系，认为所从事活动的危险程度可以接受时，则这种活动状态是安全的，这种危险程度对应的风险度就成为安全指标。

        风险度：单位时间内系统可能接受的损失，包括财产损失、人员伤亡、工作损失和环境损失。计算风险度R(损失/时间)是以系统存在的危险因素为基础的，测算系统可能发生的事故概率P(次/时间)及一旦发生事故可能造成的损失S(损失/次)，就可得出R=PS。风险度大，即风险大，危险程度高。
安全指标：是指人们能接受的风险度。安全指标是对某一种职业活动或某一系统运行风险最高容许限度。安全指标有多种表示方法。

       IEC安全要求等级分为4级，安全性能由低到高为SIL1、SIL2、SIL3、SIL4。美国对SIL4只承认其存在，标准中不包括在SIL4要求下如何实施安全系统的内容。德国DIN V 19250及DIN V VDE0804对安全要求等级(Safety Requirement Classes)分为8级，安全要求从低到高为AK1～AK8，由于其产生较早，故被很多工程采用，对应各标准的安全等级对比如表所示。1个定义故障不会引发危险性事故的要求，对应AK1；1个故障不会引发危险性事故的要求，对应AK2；两个及两个以下故障组合不会引发危险性事故的要求，对应AK3、AK4；3个及3个以下的故障组合不会引发危险性事故的要求，对应AK5；无论何时发生故障，任何故障的组合均不会引发危险性事故的要求，对应AK6。AK7、AK8对应特殊考虑的安全要求。

       由于工业应用场合工艺和生产设备特点不同，潜在危险不同，在发生危险结果之前的安全时间不同，此外还要考虑到实际事故发生的可能性及防止其发生可能性的结合，可以确定其风险等级。风险等级越高，则安全要求等级越高。DIN标准给出风险图(图1)，可以帮助确定实际工艺装置应用场合的安全要求等级。图1中有S、A、G、W四级危险参数，现分别说明如下：
　　估计危险损害度S，其中S0：轻度损害，无人员伤亡；S1：中度损害，人员轻伤；S2：重度损害，1人或多人重伤，包括1个死亡的情况；S3：严重损害，多人死亡或众多人员重伤；S4：灾难性事故，众多人员死亡。

       危险区域内人员存在的可能性A，其中A1：人员偶尔存在或不固定的短期存在；A2：经常或始终有人存在。
短时间内防止危险发生的可能性G，其中G1：在某些情况下是可能的；G2：几乎是不可能的。

不考虑安装安全系统出现危险事故的可能性W，其中W1：非常低；W2：低；W3：相对较高。

       大多数使用安全系统的工业应用场合属于AK4～AK6级，其中一般锅炉、加热炉为4级，石化、化工为AK5级，涉及到人身安全要求等级的场合很少，要特殊考虑。

<span class="Apple-style-span" style="WORD-SPACING: 0px; FONT: 16px Simsun; TEXT-TRANSFORM: none; COLOR: rgb(0,0,0); TEXT-INDENT: 0px; WHITE-SPACE: normal; LETTER-SPACING: normal; BORDER-COLLAPSE: separate; WIDOWS: 2; ORPHANS: 2; webkit-border-horizontal-spacing: 0px; webkit-border-vertical-spacing: 0px; webki