仪表人在安全仪表管理工作面临的十二个问题

2019/4/11 3:15:26 人评论 次浏览 分类:热点聚焦  文章地址://www.e-cumulus.com/news/2439.html

由于近几年重特大安全事故频发,使得“安全仪表系统” 风声大起,它被当作了成为石油化工行业安全的”救世主”,仪表专业被赋予了更多的责任的同时也被大风吹到了风口浪尖。一时间,“安全仪表设置不合规,联锁未启动,可燃、有毒气体检测报警系统未按规定设置” 等问题,像谁都不想要的“绿帽子”一样,都想往仪表专业头上戴。小编要问这些都跟仪表专业有多大关系吗?即使有,到底有多大的关系?上套安全仪表系统企业就高枕无忧了吗?工厂安全是靠仪表一个专业守护的吗?

如今各省市铺天盖地的“关于加强化工仪表管理”的发文及管理规定,各类“专家”闻风而动,四处出击,面对频繁的检查,仪表人不知道该何去何从,该怎样才能做好自己的本职工作,如何做,才能以自己的微薄之力,承担起该有的责任?


作为仪表人,我们面对检查,面对专家质疑,面对安全仪表管理,我们只能积极提升自己的认知和业务技能,武装自己,本文对安全仪表管理工作中经常面对的一些问题进行归纳总结和对一些标准、规范文件内容进行解读,分享给大家,抛砖引玉,与仪表人交流学习。


问题一:到底什么是安全仪表系统Safety Instrumentedsystem(SIS)?

◆安全仪表系统在IEC 61511和GB/T 21109-2007中的定义:用于执行一个或多个SIF(安全仪表功能)的仪表系统。SIS由传感器、逻辑控制器,以及最终元件的任何组合构成。SIS可以包括或不包括软件,可以包括人员动作作为SIF的一部分。
安全仪表系统在GB/T 50770-2013中的定义:用于实现一个或多个安全仪表功能的仪表系统。

白话解读:

①安全仪表系统功能:安全仪表系统是执行一个或多个安全仪表组成的系统,也就是说最少要执行或实现一个安全仪表功能(SIF),这里再做简单说明,SIF是实现单一的功能(例如超温联锁关闭蒸汽阀门),而SIS是将很多SIF整合到一起的一个完整的系统。不执行安全仪表功能的系统不叫安全仪表系统?(这句话反着理解好像不成立);安全仪表系统可以执行非安全仪表功能吗?笔者认为是可以的。
②组成:是由传感器、逻辑控制器,以及最终执行元件的任何组合构成。也就是说,SIS可以没有传感器、可以没有逻辑控制器、可以没有最终执行元件的一个或多个;没有传感器怎么办?危险被人发现了,去启动急停按钮,应该也算完成一个安全仪表功能。(因为后面补充了一句可以包括人员动作作为SIF的一部分)
③SIS系统并不是必须有控制器和软件,原始的继电器搭接、固态系统以及PLC方式也同样是被认可的,相对比,这些系统在小系统中更能体现优势,例如继电器搭接结构简单、成本低、快速响应、不需要软件编程,故障安全等;
④虽然人员动作可以作为SIF一部分,但一个事故链中,只允许有限的且有效的报警加有效的人员干预,并且人工干预也要有条件,例如在有效的反应时间,采取有效的行动;
⑤当人作为一个安全功能的组成部分时,应考虑所有的人为因素;通常在SIF考虑中,不考虑人的因素,因为在紧急情况下,不论人是否受过良好的教育和培训,人往往是不可靠的。
⑥BPCS不允许执行安全仪表功能,GB/T 50770-2013中明确规定,基本过程控制系统不应执行SIL1、SIL2、SIL3的安全仪表功能。但没有SIL的等级的安全仪表功能是否可以在BPCS上实现呢?理论上是可以的,例如系统本身有很多安全联锁,但经评估后没有SIL等级要求,当然也可以保留安全仪表功能在SIS系统中实现,但不做SIL等级要求。这也就是说,进入SIS系统的回路并非一定都需要SIL等级要求。

问题二:安全仪表系统的范围?

国家安监总局116号文第一条即说明了安全仪表系统(SIS)的范围包括安全联锁系统、紧急停车系统和有毒有害、可燃气体及火灾检测保护系统等。

白话解读:

①总局将安全联锁系统、紧急停车系统和有毒有害、可燃气体及火灾检测保护系统都纳入SIS范围,但全文除了提到安全仪表系统独立于过程控制系统(例如分散控制系统等),以及第十一条“严格按照相关标准设计和实施有毒和可燃气体检测报警系统,为确保其功能可靠,相关系统应独立于基本过程控制系统”之外,通篇再也没有说这些都要实现安全仪表功能(SIF),也没提到需要SIL等级认证。
②所以笔者认为,关于可燃、有毒及火灾检测保护系统,目前需要关注116号文里一句话:系统要独立于过程控制系统,其它的按GB 50493-2009执行,因为这句话与GB 50493-2009中“当可燃气体和有毒气体检测报警系统与生产过程控制系统(包括DCS、SCADA等)合并设计时,I/O卡件应独立设置”的要求有所不同。现在的说法是不允许合并设计,不仅独立的卡件不行、独立的机笼也不行,要求控制器、网络都要独立,各地安全检查也都提出了此问题,相信后期国家及行业对系统管理要求会不断提高,待新版规范发布,也许会有明确的说法。
注:可不可以这样理解,只要涉及安全联锁,必须要在SIS系统里实现呢?笔者认为,有SIL等级要求的安全联锁必须在SIS系统里实现。

问题三:哪些企业需要上安全仪表系统?企业需要上什么样的系统?

依据1:《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》[安监总管三(2014)116号]
第十二条:从2016年1月1日起,大型和外商独资合资等具备条件的化工企业新建涉及“两重点一重大”的化工装置和危险化学品储存设施,要按照本指导意见的要求设计符合相关标准规定的安全仪表系统。
第十三条:从2018年1月1日起,所有新建涉及“两重点一重大”的化工装置和危险化学品储存设施要设计符合要求的安全仪表系统。其他新建化工装置、危险化学品储存设施安全仪表系统,从2020年1月1日起,应执行功能安全相关标准要求,设计符合要求的安全仪表系统。

解读:两条要求里均提到了“两重点一重大”,那么什么是“两重点一重大”?

两重点:“第一个重点”是:重点监管的危险化工工艺;“第二个重点”是:重点监管的危险化重点监管危险化学品名录。详见《国家安全监管总局关于公布第二批重点监管危险化工工艺目录和调整首批重点监管危险化工工艺中部分典型工艺的通知》(安监总管三[2013]3号)
一重大是:危险化学品重大危险源。详见:《危险化学品重大危险源辨识》GB 18218-2018,2019年3月1日实施

依据2:国家安全监管总局制定印发了《化工和危险化学品生产经营单位重大生产安全事故隐患判定标准(试行)》(以下简称《判定标准》)

第四条:涉及重点监管危险化工工艺的装置未实现自动化控制,系统未实现紧急停车功能,装备的自动化控制系统、紧急停车系统未投入使用。
①没有实现自动化控制(BPCS),例如DCS或PLC
②系统未实现紧急停车功能(SIS\ESD)
③设置了BPCS,SIS,但因为各种原因没有投用。

依据3:安监总管三[2012]87号文《关于开展提升危险化学品领域本质安全水平专项行动的通知》在其工作目标中提到:“全面完成涉及重点监管危险化工工艺的化工装置、涉及重点监管危险化学品的生产储存装置和重大危险源(以下统称“两重点一重大”)的自动化控制系统改进,本质安全水平得到明显提升;对未经过正规设计的在役化工装置进行安全设计诊断,全面消除安全设计隐患”。


问题四:各级检查要求安全仪表系统独立,该如何独立?

依据1:《判定标准》 第五条:构成一级、二级重大危险源的危险化学品罐区未实现紧急切断功能;涉及毒性气体、液化气体、剧毒液体的一级、二级重大危险源的危险化学品罐区未配备独立的安全仪表系统。

解读:为什么各级文件屡次提到独立的概念?这需要从源头说起,通常情况下,安全仪表系统要求设计为故障安全型,且现场仪表、控制系统要求独立,是出于避免共因失效的风险,即一个环节失效,导致两个保护层同时失效,这个问题可以和独立保护层一起来讨论,独立保护层意味着不能有共因失效,或者即使有共因失效,失效概率也要远远小于其他失效;
独立保护层的有效性、独立性和可审查性三个特性强调了独立的概念;另外独立也考虑了BPCS和SIS系统的不同管理要求,安全仪表技术要求、选择、测试、维护标准以及对人员、流程审批的要求通常要比BPCS要严格。

哪些因素可能导致共因失效?逻辑控制器(SIS系统)、电源(供电及电源柜)、网络、现场仪表(取源部件)、接线箱、桥架、气源、执行机构、环境(包括机柜间设置)、接地,甚至人都可能造成共因失效,如何尽可能的降低共因失效的概率,对安全仪表系统来说,哪些是容易出现安全失效的元器件,如何通过独立或冗余配置亦或其它方式来避免共因失效是值得考虑的问题。


哪些情况可以共用?笔者认为,对于同一台仪表,在安全仪表功能(SIF)中执行安全仪表功能,可以采用通讯方式进入BPCS进行显示或监控(但不能为独立的保护层)。或者同一支多点温度计,其中一支进入SIS,一支进入BPCS,可以作为互相比对功能,当然,进入BPCS的也不能为独立的保护层。(总的原则,是当一个失效不能导致所有保护层失效);


安全仪表系统中哪些部件必须要分开?

①核心的控制器(DCS、SIS和GDS);
②现场传感器(包括取源部件,引压管,阀门等);
③供电、网络、电缆、光纤、接线箱、气源等;
④最终执行元件(电磁阀、切断阀、电动阀,控制电器设备的继电器);
注:用于安全仪表的切断阀,不应设置手轮,如果有,则需要加签上锁等措施;
经验数据:安全仪表系统由传感器、逻辑控制器及执行机构组成,现场仪表(包括执行机构)的失效通常占系统失效的90%以上,这也是为什么人们把关注点集中到现场设备上的原因之一。

问题五:前面提到了独立性,设计时也考虑了和BPCS独立的现场仪表和阀门,但每次检查还是会提出很多问题,各类仪表、控制器该怎么配?到底配几个?

对于逻辑控制器,国内外控制系统厂家都推出了满足SIL3等级的产品,要求比较容易满足;但对于现场仪表和执行机构,数量多,品种多,与控制器及机柜间的设备相比,受现场使用环境的影响,故障率高,很多设计为冗余传感器,但怎么配备更合理?例如:为了提高SIF的SIL等级,传感器配1个,设计为一取一(1oo1),还是配两个?两个的话,还要考虑是采用二取一(1oo2),还是二取二(2oo2),亦或是配三个?笔者观点如下:
①最基本也是必须做到的是,用于安全系统的现场仪表和执行机构(不管传感器设置几个),应该与基本过程系统与其它安全系统分开,并独立设置(见上一点,独立性要求)。
②根据现场仪表和非可编程逻辑控制器的最小硬件故障裕度要求进行配备。
③考虑SIS系统生命周期成本,如果装置停车一次发生的费用不大,仅仅是财产损失,则需要比较增加SIS后,其硬件、维护费用产生的成本和发生事故产生成本;如果产生危害是巨大的,则就高原则,通常来说,出于安全性和可用性考虑,对于关键SIF,设置为三取二(2oo3)是比较可靠地做法,既保证了安全性,又保证了可用性,毕竟,误停一次或者发生安全风险没有停下的产生的成本,远远要大于增加几台仪表的成本。
④如果感觉上面看着比较复杂,可以直接看下面的建议原则:
◆逻辑控制器的冗余原则,建议直接采用SIL3等级的控制器;
◆传感器冗余原则:通常情况下冗余是为了系统可用性,而不是为了提高安全性;对于SIL1的回路,可以采用单一的传感器,对于SIL2的回路,宜采用1oo2D或2oo3冗余的传感器,对于SIL3的回路,应采用2oo3冗余的传感器。
◆执行机构的冗余原则,对于SIL1的回路,可以采用单一电磁阀,单SIS控制阀,对于SIL2的回路,宜采用冗余电磁阀,单SIS控制阀,对于SIL3的回路,应采用冗余电磁阀,双SIS控制阀;(冗余控制阀可以为分别带电磁阀的两个SIS开关阀,也可以为1个带电磁阀的调节阀加一个SIS开关阀)。

问题六:和安全仪表系统相关的都有哪些技术标准和法规?

◆116号文:《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》(安监总管三〔2014〕116号),近几年提的非常频繁一个文件。
GB/T 50770-2013石油化工安全仪表设计规范,此国标是按国际标准翻译过来,里面很多内容与新规定有矛盾,据说,按50770来操作,至少有1/3以上不合规,所以116号文里并没有提到这个文件。
GB-T 21109.1.2.3-2007 /IEC61511-3 功能安全与61511(现2010版)
GB/T 20438.2-2017《电气/电子/可编程电子安全相关系统的功能安全》
GB 50493-2009《石油化工可燃气体和有毒气体检测报警设计规范》,在修订中。

问题七:通知要求组织对在役安全仪表进行评估,评估现有安全仪表功能是否满足风险降低的要求,如何进行评估?

在相关文件中,提到了SIL定级及验证,因为是安全仪表系统,很多人自然而然就想到了这个工作是仪表工程师的责任,事实上,SIL定级和验证是安全仪表系统生命周期中两个不同阶段的工作,而且,评估和验证是需要工艺、设备、操作、安全及仪表工程师共同来完成的。

通常国内大部分用户都是请第三方机构进行HAZOP分析时同步进行SIL定级工作(LOPA)分析,但这种方式是否合适,不同的人有不同的看法,正常是要根据不同装置的风险来定,但有一点明确的是HAZOP分析和LOPA分析本身是单独的一项工作。
注:SIL定级及验证的主体,是针对每个安全仪表功能(SIF),现在通常说的上了SIL几的SIS系统并不科学。

事实上,在SIS的设计方案确定后,(初次验证)验证每一个安全仪表功能(SIF)是否满足安全完整性登记(SIL)的要求是非常关键的;但并不是做一次验证就可以高枕无忧了,SIS系统安装并投入使用后,还要进行周期性验证或审查,如果不按既有规程或设计进行,也不会降低工厂的风险,所以就需要对系统进行周期性验证或评审(每年或者发生SIS系统启动或重大变更出现,既要启动周期性验证或评估工作),对安全仪表系统进行周期性评估验证,这个工作是一个系统工程,需要从使用效果和出现的问题出发,评估前期的SRS需求是否合理?同时结合SIL定级、设计、变更(MOC))仪表和系统质量、施工、测试及后期管理全生命周期进行评估,只有这样,不断的进行完善,安全仪表系统才会可靠地在特定危险状态下做出合理的响应,降低危险状态下的风险等级;特殊强调一下:必须关注后期的变更管理、维护管理是否按照既定规程来进行。

问题八:安全仪表系统实施各阶段,对单位相关资质是什么要求?

◆设计单位:按北京市《化工安全仪表系统专项整治工作方案》的要求,设计单位要具备化工甲级资质或工程设计综合甲级资质。
施工单位:按北京市《化工安全仪表系统专项整治工作方案》的要求, 施工单位要具备有化工施工过程总承包三级和电子与智能化工程专业承包二级及以上资质。
定级验证单位:按北京市《化工安全仪表系统专项整治工作方案》的要求,企业要按照《技术指导书》的有关程序和要求,自行或聘请具有相关能力和经验的专业技术机构……划分安全完整性等级,并验证安全仪表系统是否满足装置和设施要求。
审查评估阶段:应急管理局委托第三方技术机构,对安全仪表系统安全完整性等级(SIL)进行验证。
系统管理人员要求:云南省应急管理厅印发的《云南省危险化学品生产储存企业化工安全仪表系统管理指导意见》中对企业加快安全仪表系统功能安全先关技术和管理人才培养,对人员培训做了明确规定;文中对安全仪表系统全生命周期各阶段的要求做了明确说明(里面关于测量仪表和执行机构设置部分,与50770相同,但此部分刚好与独立相悖)
注:SIS并不是万能的,SIL并不能降低风险到零,而是通过一些措施,把识别出来的风险降低到可接受的水平(如果发生的风险,不是识别出来的起因,即使有SIS可能也并不能降低风险。

问题九:对仪表人员的要求是什么?

依据1:《特种作业人员安全技术培训考核管理规定》(国家安全监管总局令第30号)对特种作业人员的培训和相应资格提出了明确要求。
依据2:江苏省安全生产监督管理局关于规范危险化学品生产企业从业人员安全生产基本从业条件的意见。

危化品生产企业主要危险作业岗位操作人员的基本从业条件:危险化学品特种作业人员应当具备高中或者相当于高中及以上文化程度。并具有5年以上直接从事危险作业岗位操作的从业经历。


对仪表维护人员的要求:危险化工工艺过程操作及化工自动化控制仪表安装、维修、维护作业(包含光气及光气化工艺、氯碱电解工艺、氯化工艺、硝化工艺、合成氨工艺、裂解[裂化]工艺、氟化工艺、加氢工艺、重氮化工艺、氧化工艺、过氧化工艺、胺基化工艺、磺化工艺、聚合工艺、烷基化工艺等15种危险工艺过程操作,及化工自动化控制仪表安装、维修、维护)。


对其它人员的要求,这里面包括设计、施工、系统硬件及软件编程。


前面已经阐述了对设计、施工、以及现场仪表维护的人员资质大部分有要求,但对于安全仪表系统硬件设计和软件编程没找到合适的文件规定,但SIS供应商通常配备了经过认证的功能安全工程师(例如TUV认证的功能安全工程师),所以我们可以这样理解,对于安全仪表逻辑控制器及软件进行维护,需要有经过认证的功能安全工程师并且经过系统厂家培训认可的系统工程师进行。


虽然提的要求严格一点,但作为仪表维护人员,这也是对自己的保护吧,所有职责都落到仪表或系统工程师身上也是不太合适的。总之,作为仪表或系统工程师要有“底线思维”,严格按自己公司安全仪表管理规定进行,例如建立健全SIS全生命周期档案(维护保养制度,维护计划和规程,故障处理记录等资料至关重要);按周期巡检,按周期进行测试,作业前必须开票,提高安全仪表系统管理要求和审批权限,不随意解除联锁,涉及到安全联锁的需要使用部门开具联锁工作票,并附风险分析及应急预案,请公司相关技术老总签字确认等等。


问题十:在安全仪表系统建设过程中,技术资料管理要求?

从事安全安全仪表系统管理要关注从需求提出、设计、选型、制造、出厂前测试(FAT),安装、工厂验收测试(SAT),操作、变更、维护以及系统资料管理。

安全仪表系统必须有一套详细、系统性以及可追溯的完整的文档和记录。


系统技术要求规格书应该由谁来提呢?毫无疑问,只有系统的用户才能提出了最适合装置的技术规格书,而安全仪表系统失效,44%的意外事故是由于SRS不恰当或错误。


安全仪表系统设计的越简单越好,还是越复杂越好?如果风险能够用仪表之外的措施预防或避免,其实是最经济的,毕竟安全仪表系统成本比较高,维护也比较复杂,是需要人来参与的,而且也不能做100%安全,例如,本质安全设计是最好的预防措施,傻瓜式的系统应该是最优的选择。


问题十一:安全仪表系统,对仪表、系统及附件认证特殊要求?

认证过的真的好吗?面对各种野鸡认证,有证就可以吗?由于利益驱使,很多国内制造商取得了各种符合标准的认证,而且认证证书是由独立的第三方完成的,由于潜在巨大利益的驱使,为了证明产品的适配性,很多厂家,不惜重金取得进口的SIL等级认证证书,其实工业产品并没有强制规定采用第三方独立认证的产品,作为用户也应该有权利选择没有经过第三方认证的仪表设备或系统(也就是说对现有系统改造,并非把所有的仪表、阀门都改为带SIL等级认证的),但大部分用户考虑到责任的问题,有证的即使质量不好,出了问题,最起码有证,无证的即使质量再好,也难免出问题,出了问题,也是有口难辨;只有到了我的安全,我做主的时候,也许会改变这种状态吧!

目前对于系统、仪表的认证已经很普遍了,但对于系统组成的其它部分,例如开关电源、安全栅、继电器等是否也需要验证呢?而国内,又有几家SIS系统配备了安全型继电器?只采购了满足SIL等级的控制器和仪表,是否能够满足要求呢?此问题是笔者的疑问。

注:再可靠的系统和仪表,也要严格遵循仪表的安装调试和联合确认,“联合”,非常关键,和谁联合也是有学问的?

问题十二:BPCS、GDS、SIS几类系统,在专业管理和要求上,是有很大不同?

此问题如果展开,会比较冗长,建议仪表人熟读相关规范,从设计阶段开始,就要确保系统合规,后面有机会对这几类系统管理进行论述。

笔者水平有限,错误或不当之处,还望大家留言讨论。
作者:平常心

共有访客发表了评论 网友评论

  客户姓名:
邮箱或QQ:
验证码: 看不清楚?