自2013年至2023年,安全仪表系统已经经过了十年的发展,无论是专业人士还是普通人都在关注它。过渡设计、为了上SIS而上SIS、有了SIS就高枕无忧等等,导致很多单位安全仪表系统的“经”念歪了,为什么念歪了?笔者结合多年的从业经验,对这十年间有关SIS系统设计与实施的问题进行了分析,旨在为大家提供交流、探讨和学习的资料,欢迎补充!
1、化工安全仪表系统管理技术标准不明确
目前我国安全仪表管理相关的技术标准存在的问题较多,主要表现在以下几个方面:
①标准归口单位多,未形成体系化
功能安全相关规范-《GB/T20438-2017电气电子可编程电子安全相关系统的功能安全》、危险与可操作分析HAZOP的标准-《GB/T35320-2017危险与可操作性分析应用指南》、保护层分析的标准-《GB/T32857-2016保护层分析(LOPA)应用指南》,以上几个标准的归口单位均为机械工业仪器仪表综合技术经济研究所;SRS功能安全规格书的主要标准为《TCIS 71001-2021化工安全仪表系统安全要求规格书编制导则》,归口单位为中国仪器仪表学会;安全仪表系统的设计规范《GB/T50770-2013石油化工安全仪表系统设计规范》的主编单位为中国石油化工集团公司,《T/CCSAS 001-2018危险与可操作性分析质量控制与审查导则》的主编单位为中国化学品安全协会。
个人观点:不同标准由于编制的角度不同,在关键内容的理解上存在一定的差异,难以围绕安全仪表系统SIS的生命周期形成系统化的指导文件。有些标准虽然为推荐国标,但是由于其主要内容都是由IEC61508/61511的国际标准直接转化输出的,国内外的企业现状存在一定差异性,因此在标准落地实施上也存在一定的问题。当前最大的问题是没有形成与工程实践、企业现状锲合度高、紧密相关、指导性强的整套指导文件。
②核心标准缺失,存在较大短板
安全仪表系统验算/验证、SIS的检验测试方案及FSA功能安全评估等,目前在行业内还未形成统一的叫法,完全是凭专家自我认知进行评判,差距较大。针对验算/验证方法的主要依据仍然是来自《GB/T20438.6-2017电气电子可编程电子安全相关系统的功能安全 第6部分》,而标准中这部分内容的描述比较笼统,理论性较强,仅进行了简单的方法论介绍,与企业实战还存在一定的差距。
个人观点:目前行业内验算的方法也存在较大的差距,有的机构采用可靠性框图进行验算,有些机构则引进了马尔科夫链的计算方法,还有一部分则采用了事故树的计算方法,尽管所以方法都是可用的,但最终的计算结果有一定的差距,为项目验收带来极多不便。比如:企业比较棘手的SIS系统检验测试规程,到底是该如何测试,是仅仅联校就可以,还是必须进行单体校验,需要达到什么标准,目前也缺乏权威的支持文件。SIL证书是否必须有,也是各执一词,有的要求必须提供,有的则要求失效数据库或者现场失效数据也可以。
③关键条款不同意,难以统筹理解
针对SIL等级的划分,《GB/T50770-2013石油化工安全仪表系统设计规范》仅划分了SIL1/2/3,而在《GB/T20438-2017电气电子可编程电子安全相关系统的功能安全》的附件5中,其风险图表法的介绍中则包含了SIL1/2/3,SILA,SIL-等五个常用等级,因此SILA等级的联锁回路如何实施改造及设计上存在较大的分歧,有的认为必须进SIS系统,有的则要求进DCS也可以。
个人观点:针对SIS系统的仪表/阀门与DCS的共用问题上,GBT20438/21109与GB/T50770两个国标,在要求尺度上也存在一定的差异性,有的认为共用问题需要考虑共用元件的可靠性及共因失效β,有的则要求强制分开。SRS安全要求规格书的编制在GB/T20438/21109里有条款解释,但是看起来有些专业,甚至晦涩难懂。《TCIS 71001-2021化工安全仪表系统安全要求规格书编制导则》的内容与其有一定差异性,尤其是针对仪表、SIS及阀门本身的设计参数是否需要罗列在内,也存在不同见解。
④行业/团队标准多,实施难度较大
针对油气管道行业,有关部门专门编制了《GBT 32202-2015油气管道安全仪表系统的功能安全评估规范》,在具体项目执行时,到底是依据《GB/T20438-2017电气电子可编程电子安全相关系统的功能安全》还是《GB/T32202-2015油气管道安全仪表系统的功能安全评估规范》存在一定的分歧,当然本身两个标准在编制的时候肯定也进行了统一。
个人观点:有些机构针对HAZOP分析,还制定了团体标准《T_CCSAS 001-2018危险与可操作性分析质量控制与审查导则》,在一些国家级及省级检查的时候,一些专家将其作为审核的主要依据,有些地方甚至要求必须严格按照该标准进行逐一审核,该标准是否可以作为支撑文件,是不是需要结合企业性质、规模或者行业特征进行区别性对待,也同样存在一定的争议。
⑤国家/地方法规与标准的统一性
针对如何上安全仪表系统,目前行业的主流做法均为依据SIL定级的结论来实施,但是有些省/市则提出了一些刚性的要求-“对于一/二级重大危险源必须使用SIL2以及以上的安全仪表系统来实现”,这就给SIL定级工作带来一定的挑战,需要评估人员统筹兼顾SIL分析结果与当地法规的硬性条款,通过综合权衡后进行结果的评定。有些专家在检查的时候,甚至凭借直觉进行结果的评判,比如:当看到企业存在重点工艺时,没看具体的风险大小、保护层的设置情况,直接建议企业按照SIL2或者3进行设置。
个人观点:江苏省应急管理厅颁发的《危险化学品企业安全仪表系统检查评估指南(试行)》,对SIS系统的生命周期进行了系统性的梳理,算是一个比较不错的指导文件,有些企业是按照现有的国标及行标进行设计及管理的,各省新出的指导文件,其条款要求较为苛刻,中小企业整改难度较大。
2、对安全仪表系统的风险评估重视不够
安全仪表系统的管理是围绕着功能安全开展的全生命周期各环节的综合管理,包含了HAZOP分析、SIL定级、SRS功能安全规格书及SIL验证、SIS设计、安装调试、试运行及维护管理等几个大方面,其中涉及到了工艺、功能安全、设备及仪表等几个专业,因此对风险评估人员的能力提出了较高的要求,具体体现在以下几个方面:
①HAZOP分析未做到风险的全覆盖
在HAZOP分析的过程中需要对装置中温度、压力、流量、液位等关键指标的异常进行分析,还需要维护操作、置换、吹扫放空及开停车工况等特殊工况进行风险辨识,因此需要对现场的工艺及设备操作有一定的了解,还需要具备一定的安全风险评估理念,懂得如果利用头脑风暴及风险辨识的方法来进行合理引导,从而形成完善的风险分析报告及指导意见。
个人观点:当前行业内存在的普遍问题有:HAZOP分析严重偏离实际,PID图纸和现场装置存在很大差异,导致风险辨识的结果不准确。照猫画虎,直接复制其他企业报告,进行随意编制。
②对SIL定级规则及计算机理理解不透彻
目前SIL定级主要采用的方法为保护层分析LOPA,该方法在应用时如何把握后果的严重程度;如何界定可容忍/可接受概率的范围;如何甄别IPL独立保护层并确定其有效性,如何进行计算;如何对点燃概率、致死概率等削减因子进行计算等,均需要从专业评估的角度,结合行业经验及具体项目现状进行综合考量。
个人观点:当前很多企业在做LOPA分析时,不清楚基本规则,IPL独立保护层随意削减,可接受标准严重脱离企业实际,对于高风险场景甚至通过拼凑的形式降低SIL等级。
③SIL验证需要具备设备可靠性的知识储备
SIL验证时如果仅针对元件的厂家和型号有一定了解则远不能达到验证的要求,在进行SIL验证时,需要对设备的失效模式、失效数据的收集、SIL证书的辨识有深入的了解,需要结合每个联锁回路的冗余及表决进行解析,并且需要结合企业实际的检验测试要求,提取数据进行分析。因此SIL验证除了具备基本的自动化仪表常识外,还需要基本可靠性计算的理论知识。
个人观点:仪表的失效数据库是当前行业一个严重缺失的内容,笔者也曾经参与过类似的科研项目,但最后都无疾而终。究其根本,任何参与的企业会考虑如果耗费大量的资金和精力,换回来的成果到底有什么商业价值,能不能直接见效。我们有时候经常提起智慧工厂、信息化平台或者工业大数据,试想,如果我们连基本的“小数据”都没法建立,“大数据”更无从谈起。
3、安全仪表系统的专业管理人才缺失
目前我国在安全仪表系统的管理上存在专业人才储备不足的情况,尽管近年来各协会组织及第三方机构等均已经开展了一些专业培训,但是仍然存在一定的不足,主要表现为以下几个方面:
①参与第三方培训较少
我国安全仪表系统相关的培训基本起源于《关于加强化工安全仪表系统管理指导意见安监总管三[2014]116号》发布后,该文件还要求各化工企业应逐步建立一支具备功能安全管理能力的团队,但是根据近几年行业培训情况的统计分析可知,培训参与的人员仍然主要是以设计院及第三方咨询机构为主,化工企业相关专业人员的参与率较低,对安全仪表系统没有系统性地了解,仅知道安全仪表系统的基本结构和维护常识,对安全仪表系统如何通过风险评估的工具分析而来,安全仪表系统如何进行选型和设计、如何进行有效地检验和测试等均存在一定欠缺。
②专业人员的储备不足
根据目前行业的统计,大多数化工企业仍然缺少专业、对口的安全仪表系统管理人才,由于近年来我国对化工企业的全流程自动化提出了更严格的要求,反而导致企业对自动化仪表人员进行了精简,专业人数的减少、自动化技术的快速迭代更新及新理念的推广普及也对自动化仪表人员的专业技能提出了更严苛的要求,因此化工企业中多数的自动化仪表人员对安全仪表系统的管理上仍然停留较浅的层次,仍然无法自主开展相关的风险分析及维护测试工作。
③高校对口专业教材缺失
很多高校逐步将安全仪表系统的内容引入到了现有的教学体系中,但是现在行业内可用的教材不多,甚至没有一本可以讲SIS系统讲通透的书籍。有的侧重于SIS系统的设计、有的则着重讲SIS系统的开发、有的则仅侧重于SIL定级和验算,没有让学生建立一个完整的生命周期的概念,从而导致学习内容不扎实,甚至脱离了实际。
4、缺失行之有效的监管/审核体系
针对SIS系统的审核或者验收,在历次的专家检查过程中,涉及到SIS系统设计方面的内容较多,原因是与设计相关的内容,容易在检查中被找出来,且可以准确的找到标准和依据,尽管也存在一些争议性的问题,但是总体来讲,可执行性较强。但是风险评估报告中相关内容,就需要专业知识较强的人来进行检查,即使在检查过程中发现了一些问题,也不容易找到准确的依据,原因是风险分析的过程大多数是定性或者半定量的分析,采用头脑风暴的形式,与“人的因素”有很大关系,笔者见过某省的几个市的典型做法,找到一些第三方咨询的单位作为常驻评审专家,去审核其他同行的报告,基本上就是在鸡蛋里挑骨头,最后的结果是其他企业报告都不合格,接下来的事情,大家自己去猜。
5、缺失正规及时的宣贯以及全面准确的技术引导
当一个新的法规或者标准规范发布时,企业往往在信息的接收上存在一定滞后性,对其内容了解的深度也不够,往往是专家怎么说,就怎么改,反反复复。权威部门应该通过多种渠道、正式场合对新法规或者标准的条款进行详细解读,并针对企业遇到的实际问题或疑问进行及时回复。对于有争议的问题,应该积极组织专家进行研讨,并出具相关的指导文件。
写在最后:安全仪表系统的“经”千万不能念歪了,如果为了上SIS而上SIS,极可能产生新的风险。以下七点心得分享给业内的良师益友:
①SIS系统很重要,切忌过度设计。
②SIS系统的可靠性很强,但它不是万能的,也会“打盹”。
③千万不能只顾安全仪表系统的可靠性,还要兼顾可用性,误动作同样可能导致安全风险。
④SIL定级和验证是一种相对科学的评估方法,想要找错很容易,切忌鸡蛋挑骨头。⑤SIL证书不是“一张废纸”,背后的数据及失效机理更重要。
⑥SIS系统的维护管理很重要,需要定期校验测试,不能“束之高阁”。
⑦SIS系统和其它独立保护层共同起到风险削减的作用,切忌“重此薄彼”。
作者:冯双虎(中国自动化学会石油化工应用专委会委员)