由于近幾年重特大安全事故頻發,使得“安全儀表系統” 風聲大起,它被當作了成為石油化工行業安全的”救世主”,儀表專業被賦予了更多的責任的同時也被大風吹到了風口浪尖。一時間,“安全儀表設置不合規,聯鎖未啟動,可燃、有毒氣體檢測報警系統未按規定設置” 等問題,像誰都不想要的“綠帽子”一樣,都想往儀表專業頭上戴。小編要問這些都跟儀表專業有多大關系嗎?即使有,到底有多大的關系?上套安全儀表系統企業就高枕無憂了嗎?工廠安全是靠儀表一個專業守護的嗎?
如今各省市鋪天蓋地的“關于加強化工儀表管理”的發文及管理規定,各類“專家”聞風而動,四處出擊,面對頻繁的檢查,儀表人不知道該何去何從,該怎樣才能做好自己的本職工作,如何做,才能以自己的微薄之力,承擔起該有的責任?
作為儀表人,我們面對檢查,面對專家質疑,面對安全儀表管理,我們只能積極提升自己的認知和業務技能,武裝自己,本文對安全儀表管理工作中經常面對的一些問題進行歸納總結和對一些標準、規范文件內容進行解讀,分享給大家,拋磚引玉,與儀表人交流學習。
問題一:到底什么是安全儀表系統Safety Instrumentedsystem(SIS)?
◆安全儀表系統在IEC 61511和GB/T 21109-2007中的定義:用于執行一個或多個SIF(安全儀表功能)的儀表系統。SIS由傳感器、邏輯控制器,以及最終元件的任何組合構成。SIS可以包括或不包括軟件,可以包括人員動作作為SIF的一部分。
◆安全儀表系統在GB/T 50770-2013中的定義:用于實現一個或多個安全儀表功能的儀表系統。
白話解讀:
①安全儀表系統功能:安全儀表系統是執行一個或多個安全儀表組成的系統,也就是說最少要執行或實現一個安全儀表功能(SIF),這里再做簡單說明,SIF是實現單一的功能(例如超溫聯鎖關閉蒸汽閥門),而SIS是將很多SIF整合到一起的一個完整的系統。不執行安全儀表功能的系統不叫安全儀表系統?(這句話反著理解好像不成立);安全儀表系統可以執行非安全儀表功能嗎?筆者認為是可以的。
②組成:是由傳感器、邏輯控制器,以及最終執行元件的任何組合構成。也就是說,SIS可以沒有傳感器、可以沒有邏輯控制器、可以沒有最終執行元件的一個或多個;沒有傳感器怎么辦?危險被人發現了,去啟動急停按鈕,應該也算完成一個安全儀表功能。(因為后面補充了一句可以包括人員動作作為SIF的一部分)
③SIS系統并不是必須有控制器和軟件,原始的繼電器搭接、固態系統以及PLC方式也同樣是被認可的,相對比,這些系統在小系統中更能體現優勢,例如繼電器搭接結構簡單、成本低、快速響應、不需要軟件編程,故障安全等;
④雖然人員動作可以作為SIF一部分,但一個事故鏈中,只允許有限的且有效的報警加有效的人員干預,并且人工干預也要有條件,例如在有效的反應時間,采取有效的行動;
⑤當人作為一個安全功能的組成部分時,應考慮所有的人為因素;通常在SIF考慮中,不考慮人的因素,因為在緊急情況下,不論人是否受過良好的教育和培訓,人往往是不可靠的。
⑥BPCS不允許執行安全儀表功能,GB/T 50770-2013中明確規定,基本過程控制系統不應執行SIL1、SIL2、SIL3的安全儀表功能。但沒有SIL的等級的安全儀表功能是否可以在BPCS上實現呢?理論上是可以的,例如系統本身有很多安全聯鎖,但經評估后沒有SIL等級要求,當然也可以保留安全儀表功能在SIS系統中實現,但不做SIL等級要求。這也就是說,進入SIS系統的回路并非一定都需要SIL等級要求。
問題二:安全儀表系統的范圍?
國家安監總局116號文第一條即說明了安全儀表系統(SIS)的范圍包括安全聯鎖系統、緊急停車系統和有毒有害、可燃氣體及火災檢測保護系統等。
白話解讀:
①總局將安全聯鎖系統、緊急停車系統和有毒有害、可燃氣體及火災檢測保護系統都納入SIS范圍,但全文除了提到安全儀表系統獨立于過程控制系統(例如分散控制系統等),以及第十一條“嚴格按照相關標準設計和實施有毒和可燃氣體檢測報警系統,為確保其功能可靠,相關系統應獨立于基本過程控制系統”之外,通篇再也沒有說這些都要實現安全儀表功能(SIF),也沒提到需要SIL等級認證。
②所以筆者認為,關于可燃、有毒及火災檢測保護系統,目前需要關注116號文里一句話:系統要獨立于過程控制系統,其它的按GB 50493-2009執行,因為這句話與GB 50493-2009中“當可燃氣體和有毒氣體檢測報警系統與生產過程控制系統(包括DCS、SCADA等)合并設計時,I/O卡件應獨立設置”的要求有所不同。現在的說法是不允許合并設計,不僅獨立的卡件不行、獨立的機籠也不行,要求控制器、網絡都要獨立,各地安全檢查也都提出了此問題,相信后期國家及行業對系統管理要求會不斷提高,待新版規范發布,也許會有明確的說法。
注:可不可以這樣理解,只要涉及安全聯鎖,必須要在SIS系統里實現呢?筆者認為,有SIL等級要求的安全聯鎖必須在SIS系統里實現。
問題三:哪些企業需要上安全儀表系統?企業需要上什么樣的系統?
依據1:《國家安全監管總局關于加強化工安全儀表系統管理的指導意見》[安監總管三(2014)116號]
◆第十二條:從2016年1月1日起,大型和外商獨資合資等具備條件的化工企業新建涉及“兩重點一重大”的化工裝置和危險化學品儲存設施,要按照本指導意見的要求設計符合相關標準規定的安全儀表系統。
◆第十三條:從2018年1月1日起,所有新建涉及“兩重點一重大”的化工裝置和危險化學品儲存設施要設計符合要求的安全儀表系統。其他新建化工裝置、危險化學品儲存設施安全儀表系統,從2020年1月1日起,應執行功能安全相關標準要求,設計符合要求的安全儀表系統。
解讀:兩條要求里均提到了“兩重點一重大”,那么什么是“兩重點一重大”?
◆兩重點:“第一個重點”是:重點監管的危險化工工藝;“第二個重點”是:重點監管的危險化重點監管危險化學品名錄。詳見《國家安全監管總局關于公布第二批重點監管危險化工工藝目錄和調整首批重點監管危險化工工藝中部分典型工藝的通知》(安監總管三[2013]3號)
◆一重大是:危險化學品重大危險源。詳見:《危險化學品重大危險源辨識》GB 18218-2018,2019年3月1日實施
依據2:國家安全監管總局制定印發了《化工和危險化學品生產經營單位重大生產安全事故隱患判定標準(試行)》(以下簡稱《判定標準》)
第四條:涉及重點監管危險化工工藝的裝置未實現自動化控制,系統未實現緊急停車功能,裝備的自動化控制系統、緊急停車系統未投入使用。
①沒有實現自動化控制(BPCS),例如DCS或PLC
②系統未實現緊急停車功能(SIS\ESD)
③設置了BPCS,SIS,但因為各種原因沒有投用。
依據3:安監總管三[2012]87號文《關于開展提升危險化學品領域本質安全水平專項行動的通知》在其工作目標中提到:“全面完成涉及重點監管危險化工工藝的化工裝置、涉及重點監管危險化學品的生產儲存裝置和重大危險源(以下統稱“兩重點一重大”)的自動化控制系統改進,本質安全水平得到明顯提升;對未經過正規設計的在役化工裝置進行安全設計診斷,全面消除安全設計隱患”。
問題四:各級檢查要求安全儀表系統獨立,該如何獨立?
依據1:《判定標準》 第五條:構成一級、二級重大危險源的危險化學品罐區未實現緊急切斷功能;涉及毒性氣體、液化氣體、劇毒液體的一級、二級重大危險源的危險化學品罐區未配備獨立的安全儀表系統。
解讀:為什么各級文件屢次提到獨立的概念?這需要從源頭說起,通常情況下,安全儀表系統要求設計為故障安全型,且現場儀表、控制系統要求獨立,是出于避免共因失效的風險,即一個環節失效,導致兩個保護層同時失效,這個問題可以和獨立保護層一起來討論,獨立保護層意味著不能有共因失效,或者即使有共因失效,失效概率也要遠遠小于其他失效;獨立保護層的有效性、獨立性和可審查性三個特性強調了獨立的概念;另外獨立也考慮了BPCS和SIS系統的不同管理要求,安全儀表技術要求、選擇、測試、維護標準以及對人員、流程審批的要求通常要比BPCS要嚴格。
哪些因素可能導致共因失效?邏輯控制器(SIS系統)、電源(供電及電源柜)、網絡、現場儀表(取源部件)、接線箱、橋架、氣源、執行機構、環境(包括機柜間設置)、接地,甚至人都可能造成共因失效,如何盡可能的降低共因失效的概率,對安全儀表系統來說,哪些是容易出現安全失效的元器件,如何通過獨立或冗余配置亦或其它方式來避免共因失效是值得考慮的問題。
哪些情況可以共用?筆者認為,對于同一臺儀表,在安全儀表功能(SIF)中執行安全儀表功能,可以采用通訊方式進入BPCS進行顯示或監控(但不能為獨立的保護層)。或者同一支多點溫度計,其中一支進入SIS,一支進入BPCS,可以作為互相比對功能,當然,進入BPCS的也不能為獨立的保護層。(總的原則,是當一個失效不能導致所有保護層失效);
安全儀表系統中哪些部件必須要分開?
①核心的控制器(DCS、SIS和GDS);
②現場傳感器(包括取源部件,引壓管,閥門等);
③供電、網絡、電纜、光纖、接線箱、氣源等;
④最終執行元件(電磁閥、切斷閥、電動閥,控制電器設備的繼電器);
注:用于安全儀表的切斷閥,不應設置手輪,如果有,則需要加簽上鎖等措施;
經驗數據:安全儀表系統由傳感器、邏輯控制器及執行機構組成,現場儀表(包括執行機構)的失效通常占系統失效的90%以上,這也是為什么人們把關注點集中到現場設備上的原因之一。
問題五:前面提到了獨立性,設計時也考慮了和BPCS獨立的現場儀表和閥門,但每次檢查還是會提出很多問題,各類儀表、控制器該怎么配?到底配幾個?
對于邏輯控制器,國內外控制系統廠家都推出了滿足SIL3等級的產品,要求比較容易滿足;但對于現場儀表和執行機構,數量多,品種多,與控制器及機柜間的設備相比,受現場使用環境的影響,故障率高,很多設計為冗余傳感器,但怎么配備更合理?例如:為了提高SIF的SIL等級,傳感器配1個,設計為一取一(1oo1),還是配兩個?兩個的話,還要考慮是采用二取一(1oo2),還是二取二(2oo2),亦或是配三個?筆者觀點如下:
①最基本也是必須做到的是,用于安全系統的現場儀表和執行機構(不管傳感器設置幾個),應該與基本過程系統與其它安全系統分開,并獨立設置(見上一點,獨立性要求)。
②根據現場儀表和非可編程邏輯控制器的最小硬件故障裕度要求進行配備。
③考慮SIS系統生命周期成本,如果裝置停車一次發生的費用不大,僅僅是財產損失,則需要比較增加SIS后,其硬件、維護費用產生的成本和發生事故產生成本;如果產生危害是巨大的,則就高原則,通常來說,出于安全性和可用性考慮,對于關鍵SIF,設置為三取二(2oo3)是比較可靠地做法,既保證了安全性,又保證了可用性,畢竟,誤停一次或者發生安全風險沒有停下的產生的成本,遠遠要大于增加幾臺儀表的成本。
④如果感覺上面看著比較復雜,可以直接看下面的建議原則:
◆邏輯控制器的冗余原則,建議直接采用SIL3等級的控制器;
◆傳感器冗余原則:通常情況下冗余是為了系統可用性,而不是為了提高安全性;對于SIL1的回路,可以采用單一的傳感器,對于SIL2的回路,宜采用1oo2D或2oo3冗余的傳感器,對于SIL3的回路,應采用2oo3冗余的傳感器。
◆執行機構的冗余原則,對于SIL1的回路,可以采用單一電磁閥,單SIS控制閥,對于SIL2的回路,宜采用冗余電磁閥,單SIS控制閥,對于SIL3的回路,應采用冗余電磁閥,雙SIS控制閥;(冗余控制閥可以為分別帶電磁閥的兩個SIS開關閥,也可以為1個帶電磁閥的調節閥加一個SIS開關閥)。
問題六:和安全儀表系統相關的都有哪些技術標準和法規?
◆116號文:《國家安全監管總局關于加強化工安全儀表系統管理的指導意見》(安監總管三〔2014〕116號),近幾年提的非常頻繁一個文件。
◆GB/T 50770-2013石油化工安全儀表設計規范,此國標是按國際標準翻譯過來,里面很多內容與新規定有矛盾,據說,按50770來操作,至少有1/3以上不合規,所以116號文里并沒有提到這個文件。
◆GB-T 21109.1.2.3-2007 /IEC61511-3 功能安全與61511(現2010版)
◆GB/T 20438.2-2017《電氣/電子/可編程電子安全相關系統的功能安全》
◆GB 50493-2009《石油化工可燃氣體和有毒氣體檢測報警設計規范》,在修訂中。
問題七:通知要求組織對在役安全儀表進行評估,評估現有安全儀表功能是否滿足風險降低的要求,如何進行評估?
在相關文件中,提到了SIL定級及驗證,因為是安全儀表系統,很多人自然而然就想到了這個工作是儀表工程師的責任,事實上,SIL定級和驗證是安全儀表系統生命周期中兩個不同階段的工作,而且,評估和驗證是需要工藝、設備、操作、安全及儀表工程師共同來完成的。
通常國內大部分用戶都是請第三方機構進行HAZOP分析時同步進行SIL定級工作(LOPA)分析,但這種方式是否合適,不同的人有不同的看法,正常是要根據不同裝置的風險來定,但有一點明確的是HAZOP分析和LOPA分析本身是單獨的一項工作。
注:SIL定級及驗證的主體,是針對每個安全儀表功能(SIF),現在通常說的上了SIL幾的SIS系統并不科學。
事實上,在SIS的設計方案確定后,(初次驗證)驗證每一個安全儀表功能(SIF)是否滿足安全完整性登記(SIL)的要求是非常關鍵的;但并不是做一次驗證就可以高枕無憂了,SIS系統安裝并投入使用后,還要進行周期性驗證或審查,如果不按既有規程或設計進行,也不會降低工廠的風險,所以就需要對系統進行周期性驗證或評審(每年或者發生SIS系統啟動或重大變更出現,既要啟動周期性驗證或評估工作),對安全儀表系統進行周期性評估驗證,這個工作是一個系統工程,需要從使用效果和出現的問題出發,評估前期的SRS需求是否合理?同時結合SIL定級、設計、變更(MOC))儀表和系統質量、施工、測試及后期管理全生命周期進行評估,只有這樣,不斷的進行完善,安全儀表系統才會可靠地在特定危險狀態下做出合理的響應,降低危險狀態下的風險等級;特殊強調一下:必須關注后期的變更管理、維護管理是否按照既定規程來進行。
問題八:安全儀表系統實施各階段,對單位相關資質是什么要求?
◆設計單位:按北京市《化工安全儀表系統專項整治工作方案》的要求,設計單位要具備化工甲級資質或工程設計綜合甲級資質。
◆施工單位:按北京市《化工安全儀表系統專項整治工作方案》的要求, 施工單位要具備有化工施工過程總承包三級和電子與智能化工程專業承包二級及以上資質。
◆定級驗證單位:按北京市《化工安全儀表系統專項整治工作方案》的要求,企業要按照《技術指導書》的有關程序和要求,自行或聘請具有相關能力和經驗的專業技術機構……劃分安全完整性等級,并驗證安全儀表系統是否滿足裝置和設施要求。
◆審查評估階段:應急管理局委托第三方技術機構,對安全儀表系統安全完整性等級(SIL)進行驗證。
◆系統管理人員要求:云南省應急管理廳印發的《云南省危險化學品生產儲存企業化工安全儀表系統管理指導意見》中對企業加快安全儀表系統功能安全先關技術和管理人才培養,對人員培訓做了明確規定;文中對安全儀表系統全生命周期各階段的要求做了明確說明(里面關于測量儀表和執行機構設置部分,與50770相同,但此部分剛好與獨立相悖)
注:SIS并不是萬能的,SIL并不能降低風險到零,而是通過一些措施,把識別出來的風險降低到可接受的水平(如果發生的風險,不是識別出來的起因,即使有SIS可能也并不能降低風險。
問題九:對儀表人員的要求是什么?
依據1:《特種作業人員安全技術培訓考核管理規定》(國家安全監管總局令第30號)對特種作業人員的培訓和相應資格提出了明確要求。
依據2:江蘇省安全生產監督管理局關于規范危險化學品生產企業從業人員安全生產基本從業條件的意見。
危化品生產企業主要危險作業崗位操作人員的基本從業條件:危險化學品特種作業人員應當具備高中或者相當于高中及以上文化程度。并具有5年以上直接從事危險作業崗位操作的從業經歷。
對儀表維護人員的要求:危險化工工藝過程操作及化工自動化控制儀表安裝、維修、維護作業(包含光氣及光氣化工藝、氯堿電解工藝、氯化工藝、硝化工藝、合成氨工藝、裂解[裂化]工藝、氟化工藝、加氫工藝、重氮化工藝、氧化工藝、過氧化工藝、胺基化工藝、磺化工藝、聚合工藝、烷基化工藝等15種危險工藝過程操作,及化工自動化控制儀表安裝、維修、維護)。
對其它人員的要求,這里面包括設計、施工、系統硬件及軟件編程。
前面已經闡述了對設計、施工、以及現場儀表維護的人員資質大部分有要求,但對于安全儀表系統硬件設計和軟件編程沒找到合適的文件規定,但SIS供應商通常配備了經過認證的功能安全工程師(例如TUV認證的功能安全工程師),所以我們可以這樣理解,對于安全儀表邏輯控制器及軟件進行維護,需要有經過認證的功能安全工程師并且經過系統廠家培訓認可的系統工程師進行。
雖然提的要求嚴格一點,但作為儀表維護人員,這也是對自己的保護吧,所有職責都落到儀表或系統工程師身上也是不太合適的。總之,作為儀表或系統工程師要有“底線思維”,嚴格按自己公司安全儀表管理規定進行,例如建立健全SIS全生命周期檔案(維護保養制度,維護計劃和規程,故障處理記錄等資料至關重要);按周期巡檢,按周期進行測試,作業前必須開票,提高安全儀表系統管理要求和審批權限,不隨意解除聯鎖,涉及到安全聯鎖的需要使用部門開具聯鎖工作票,并附風險分析及應急預案,請公司相關技術老總簽字確認等等。
問題十:在安全儀表系統建設過程中,技術資料管理要求?
從事安全安全儀表系統管理要關注從需求提出、設計、選型、制造、出廠前測試(FAT),安裝、工廠驗收測試(SAT),操作、變更、維護以及系統資料管理。
安全儀表系統必須有一套詳細、系統性以及可追溯的完整的文檔和記錄。
系統技術要求規格書應該由誰來提呢?毫無疑問,只有系統的用戶才能提出了最適合裝置的技術規格書,而安全儀表系統失效,44%的意外事故是由于SRS不恰當或錯誤。
安全儀表系統設計的越簡單越好,還是越復雜越好?如果風險能夠用儀表之外的措施預防或避免,其實是最經濟的,畢竟安全儀表系統成本比較高,維護也比較復雜,是需要人來參與的,而且也不能做100%安全,例如,本質安全設計是最好的預防措施,傻瓜式的系統應該是最優的選擇。
問題十一:安全儀表系統,對儀表、系統及附件認證特殊要求?
認證過的真的好嗎?面對各種野雞認證,有證就可以嗎?由于利益驅使,很多國內制造商取得了各種符合標準的認證,而且認證證書是由獨立的第三方完成的,由于潛在巨大利益的驅使,為了證明產品的適配性,很多廠家,不惜重金取得進口的SIL等級認證證書,其實工業產品并沒有強制規定采用第三方獨立認證的產品,作為用戶也應該有權利選擇沒有經過第三方認證的儀表設備或系統(也就是說對現有系統改造,并非把所有的儀表、閥門都改為帶SIL等級認證的),但大部分用戶考慮到責任的問題,有證的即使質量不好,出了問題,最起碼有證,無證的即使質量再好,也難免出問題,出了問題,也是有口難辨;只有到了我的安全,我做主的時候,也許會改變這種狀態吧!
目前對于系統、儀表的認證已經很普遍了,但對于系統組成的其它部分,例如開關電源、安全柵、繼電器等是否也需要驗證呢?而國內,又有幾家SIS系統配備了安全型繼電器?只采購了滿足SIL等級的控制器和儀表,是否能夠滿足要求呢?此問題是筆者的疑問。
注:再可靠的系統和儀表,也要嚴格遵循儀表的安裝調試和聯合確認,“聯合”,非常關鍵,和誰聯合也是有學問的?
問題十二:BPCS、GDS、SIS幾類系統,在專業管理和要求上,是有很大不同?
此問題如果展開,會比較冗長,建議儀表人熟讀相關規范,從設計階段開始,就要確保系統合規,后面有機會對這幾類系統管理進行論述。
筆者水平有限,錯誤或不當之處,還望大家留言討論。
作者:平常心
