安全仪表系统(SIS)是近年来的热门话题,也是一些学者和专业技术人员津津乐道的事儿。有人说:“SIS是保证化工生产安全极其重要的、行之有效的、不可替代的、非上不可的、国际国外的……工具和手段”。近年来的化工装置如雨后春笋,赚钱使老板们不思安全,防范让位给利润,有隐患也不在意。几次大的安全事故震惊了上上下下,于是安全监督、安全检查等部门非常重视,接连发布若干指导文件,敦促执行,一些管理部门不时地派出专家到化工厂进行安全监督、隐患检查,使得企业迎接检查、整治隐患而忙个不停。不少“专家”和管理人员认为似乎只有上了SIS才能保证安全、心安理得、万无一失,声称近年来危险化工工业的火灾和爆炸事故原因就是没有SIS,没有安全评估。
SIS曾几何时成了议论中心,近几年来开过无数讨论、解读、解答、贯彻会议。这确实需要管理人员、技术人员静下心来实事求是、科学客观地动动脑子,以工程师的知识、技术,运用标准规范,排除干扰,做好工程设计,实现上级指导文件防灾减灾的初衷。
SIS设计到底该怎么做?石油化工、化工工厂该怎么办?一系列相关问题使一些技术人员既明白、又含糊。本文把一些问题、质疑和讨论整理一番,辨析异议。
01、安全仪表系统的起源及如何发展?
中国炼油工业初起时工艺专业对于安全就是非常重视的,有很多设施和手段是为了异常工况和安全运行设置的,工艺专业是多面手,称为“龙头”专业。联锁设计自然就是工艺专业的关注范围,分成工艺联锁和安全联锁(紧急停车)。采用的设备是继电器、模拟仪表、DCS,早年甚至还有气动仪表;到了20世纪90年代,有了PLC,并用于逻辑控制且物美价廉,不知不觉地普及起来。开始是用于电气逻辑控制和机床控制,接着炼油厂也开始用于联锁控制。先是国内美誉华公司代理销售国外产品,并宣传采用专用的PLC做紧急停车系统,以DIN19250标准为根据。后来国外供应商也看到了中国石油化工工业的发展,开始宣传、推销紧急停车用的PLC。IEC在20年前发布了IEC61508和IEC61511,紧急停车系统也改称为“安全仪表系统”。
02、安全仪表系统标准的性质是什么?
国外与SIS相关的标准有DIN19250,ISA84.01,IEC61508,IEC61511等。这些标准属于普及知识、推荐参考性质的技术标准,属于部分可靠性理论和技术的初级本,难以用在工程设计上。GB/T20438,GB/T21109是直接翻译等同采用IEC61508,IEC61511,比较生硬,老外看不懂,国人不明白,同样不能直接作为工程设计规范,因此,中国石化集团公司编制了GB/T50770—2013《石油化工安全仪表系统》,用于工程设计。编制过程中就发现IEC标准有很多不适合工程的规定,尽管根据国内外石油化工工程的实际情况做了一些调整和补充,但在IEC标准的束缚下,难以脱胎换骨,在实际工程设计中就有勉强之处。
03、谁是安全仪表系统的主人?
IEC标准描述了SIS的设计、集成、运行、维护过程。包括:概念设计和定义、工程设计方案、过程风险评估与操作可行分析、系统技术规格书、基础工程设计、详细工程设计、招标采购、系统集成、调试验收、现场装配施工、操作、维护、变更及测试、停用等。不同的时期SIS的归属和宿主不一样,系统多次易主,难以衔接。另外,标准里所说的工程设计是指石油化工建设项目的工程设计吗?
04、安全仪表系统谁说了算?
一个装置该不该上SIS,由两种方式确定:
一是对装置的工艺、流程、设备、配管、仪表等进行危险与可操作分析(HAZOP),评估并确定装置是否有SIL1,2,3的回路,如果有,则需要SIS,否则不需要SIS。
二是管理者(业主或保险公司)有权自行决定是否采用SIS,可以不经HAZOP分析确定决策,如果管理者说需要SIS,SIL等级也由管理者确定,该说法来自IEC61511。如果说不需要SIS,则可以不要,风险和灾难后果由决策者自行承担。
原国家安监局发布的一系列指令文件、通知、指导意见(相当于法令)就是第二种,例如:安监总管三[2014]116号等。
05、安全仪表系统由哪个专业负责?
有人说:既然是“仪表系统”,理所应当是仪表专业的活儿了。
SIS原来叫安全联锁系统、紧急停车系统。国外工程公司分工明细,安全专业管安全,采用的安全分析方法属于一种格式化检查方式,有一套指导文件叫安全及风险辨识方法。有关安全的风险识别、分析、安全条件等是安全专业的事儿。
实际上,SIS是采用仪表实现工艺流程的安全功能,就像用仪表来实现工艺流程的过程控制一样,过程控制方案是工艺专业决定的,安全功能是安全专业或工艺专业确定的,仪表专业仅是辅助专业。
归根结底,有关安全的设计就应该是安全专业的事儿,其他专业在安全专业不具备相应专业技术知识的情况下,可以协助工作。
06、安全专业的职责是什么?
国外的安全专业同样是后来才分出来的。IEC615XX的两项标准是1998年后才有的,之前欧美建石油化工厂时,也没有安全专业按照HAZOP的方法评估和设计。近20年来欧美工程公司的设计才有安全专业,中国稍晚几年。
而能够懂专利流程、工艺流程、控制工程、测控仪表、配管、静设备、动设备等知识的安全专业工程师凤毛麟角,所以才有HAZOP联席会议,把各专业招来开会,安全专业工程师当主持,按照规则清单的条条框框,让各专业一起做评估,国内外都是这样。国外还有一个最重要的主儿——保险公司,具有决定权。由于安全评估的工作较少,很多工程公司不养这些人,所以,安全评估公司应运而生,美其名为“第三方”公司。
中国自主工艺流程是考虑了安全工艺的,但是近些年来,中国的石油化工工业也引进国外专利,专利流程和工艺流程并不包括完全的安全相关设计,工艺专业不能补充完善引进的工艺流程,所以需要安全专业来做工作。
因为IEC标准中有“安全仪表”的字样,于是仪表专业承担了好多安全专业的职责。
07、为什么安全专业的事要拉上仪表专业?
(1)SIS是采用仪表实现安全功能,就像用仪表来实现工艺流程控制一样,过程控制方案是工艺专业决定的,仪表通过软、硬件的选型、配置和组态实现其功能。同样,定什么安全功能就是安全专业的事情,或者说是进一步细分到工艺、设备、安全、环保、消防等,提出目标和方案,通过仪表实现,安全方案有合理、量化要求,仪表系统才能更好地实现。
(2)仪表专业是个解决问题的专业。从词汇上说,标准上有仪表两个字就似乎是仪表专业的事儿。不仅仅是设计,现在很多企业的仪表人员也做了很多专业外的事儿。看似仪表有本事,却反映出工艺、安全等专业的缺失。
(3)现在供需双方互相不信任,于是找个“第三方”做法官。但是,安全评估公司有几个是凭专业搞安全的?即便是国际知名公司、或者是知名院校的安全评估专家,有几个是既懂安全,又懂工艺、流程、仪表、设备、配管的?有几个做过工程设计,又有现场工作经验的?有几个比工程设计人员更明白?几个比现场技术人员更明白?
08、HAZOP分析会议的作用是什么?
国外工程公司的专业分工也有同样问题,虽然安全工艺是安全专业提出的,由其他专业实现,但是安全专业也不懂工艺、仪表等技术,要想做到工艺流程的安全分析离不开其他专业,因此求助于各相关专业,于是就召开HAZOP分析会议,请各专业帮忙一起分析,确定安全流程和相关设计,包括SIL等级的评估。
中国的自主工艺流程是自己设计出来的,工艺专业的设计是全盘考虑的,工艺流程自然也包括安全流程和安全方案。但是随着近年来引进工艺的增加以及设计方式和角色的转变,有些工程设计也出现安全流程和安全方案的不完善,工艺专业也不再负责流程安全和运行安全。很多设计单位和工程公司没有安全专业,形成专业空缺。有些项目只好请第三方评估公司做主持,调集各专业召开HAZOP分析会。各专业当然不愿意多此一举,所以积极性不高。第三方评估公司一般采用LOPA、马尔科夫模型之类的方法,其实离工艺流程和实际工程的要求大老远呢!
有人发现这里存在一些商机,于是办起大大小小的研讨会、学习班、培训班,试图把仪表工程师培养成安全专业的助手,收取不菲的培训费,省事又省钱,乐此不疲。
本来这些知识就不是仪表专业的知识,换个角色来看,仪表专业给外专业讲根轨迹、零极点分析、多变量预测、状态空间等,也同样难以理解。
“过程危险分析”(见116号文)和“评估确定安全仪表功能”过程中,应该以安全专业为主,根据HAZOP分析的原理和方法确定装置中是否有SIL1,2,3的回路,仪表专业和其他专业协助,提供相关专业设计背景和设计调整。
09、仪表专业根据什么来进行SIS工程设计和选型?
根据安全专业向仪表专业提交的设计资料。包括需要采用SIS的控制(联锁)回路清单和各回路的SIL等级以及控制逻辑。没有输入条件就是无米之炊,但现在很多情况是没有安全专业或安全专业不提资料,没有“米面”,也要仪表“做出饭”来。
设计院的安全专业在SIS的设计中具体做什么?简单地说:负责工艺流程的安全设计,做HAZOP分析,向相关专业提交有关安全设计的资料,解答有关安全的技术问题。
有时没有安全专业或者安全工程师知识和经验欠缺,结果会导致接到SIS的乱七八糟回路越来越多,不光有过程控制、工艺联锁,几乎所有的开关变量都接进来,连两位式控制也接进来,弄得仪表专业也没招儿。
10、安全仪表系统混淆的根源是什么?
当初美誉华等公司在普及宣传紧急停车系统(即现在的SIS)概念和技术的时候,对于安全PLC的设置和作用曾经有过一些浅显又不准确的比喻,例如:平时是不动作的,静止的,像狗熊冬眠一样,但是工程知识就应该用知识的语言讲课、论述,不能用简单又不准确的比喻了。安监总管三[2014]116号文的理解,几年来,大大小小研讨会、解读会开了无数,仍有一些技术人员和专家不得其解。
起初的SIS设置是作为过程控制系统的辅助停车手段的,意在过程控制系统控制失灵或操作人员失误的情况下自动停装置或将工艺过程按程序转到安全操作过程或超驰控制过程。采用的检测仪表是开关类的“检测元件”,IEC标准里叫做“传感器”,停车逻辑控制的PLC叫“逻辑解算器”,开关阀等叫“执行元件”。确实,工艺过程正常的时候这些设备是不会动作的,但是时时刻刻在监测过程变量,随时准备动作的,平时不动作可不是“冬眠”了,绝不是可以用静止、“冬眠”来误导人的。
11、安全完整性等级是安全的保证吗?
装置中安全联锁的安全完整性等级(SIL)是否越高越好?
控制回路的SIL等级仅仅表征控制失效后可能产生的危险和可能造成的灾害损失,不是保证安全的指标。对于一个装置来说,具有的SIL等级越低越好,数量越少越好,说明安全运行的风险小、控制失效后的危险或发生灾害时的损失小。IEC标准中SIL等级的划分采用等比幂级数,没有实践与风险科学根据,更没有工艺故障概率分析。
举个例子:SIL等级的平均失效概率数值是怎么来的?与工艺过程有关系吗?与电气、电子和可编程设备的故障率有关系吗?机械、电气、电子、集成电路等不同的设备一概采用同一种失效概率评估和确定,有科学依据和实验验证吗?也难怪SIL认证仅仅是文件和资料的认证,而没有试验检验。
12、安全仪表系统是如何构成的?
SIS的设置是生产安全的需要,也与欧美的操作方式有关。欧美的操作人员是不管防灾减灾的,不处理非正常工艺状态,所以,DCS之外的事情就设置SIS,用来在异常情况下停止装置运行,才有了采用检测元件、PLC和开关阀组成的SIS。没有人机接口,不需要操作工干预,没有模拟输出和调节阀。其实是和DCS一样,SIS每时每刻都在工作的,差别仅在于不到危险状态执行机构不动作,一旦动作就停装置。
IEC61508和IEC61511根据外国的某种可靠性技术和自动停车的需要,做了理论上的科普,形成了技术标准,而不是工程标准。而国内石化化工行业工程技术人员误将这两项标准当做工程标准,才有了“剪不断,理还乱”的现实。(更多精彩请看:仪商网www.861718.com)