葉向東老師細(xì)說安全儀表系統(tǒng)
09
儀表專業(yè)進(jìn)行SIS工程設(shè)計(jì)和選型的依據(jù)
根據(jù)安全專業(yè)向儀表專業(yè)提交的設(shè)計(jì)資料。包括需要采用SIS的控制(聯(lián)鎖)回路清單和各回路的SIL等級(jí)以及控制邏輯。沒有輸入條件就是無(wú)米之炊,但現(xiàn)在很多情況是沒有安全專業(yè)或安全專業(yè)不提資料,沒有“米面”,也要儀表“做出飯”來。
設(shè)計(jì)院的安全專業(yè)在SIS的設(shè)計(jì)中具體做什么?簡(jiǎn)單地說:負(fù)責(zé)工藝流程的安全設(shè)計(jì),做HAZOP分析,向相關(guān)專業(yè)提交有關(guān)安全設(shè)計(jì)的資料,解答有關(guān)安全的技術(shù)問題。
有時(shí)沒有安全專業(yè)或者安全工程師知識(shí)和經(jīng)驗(yàn)欠缺,結(jié)果會(huì)導(dǎo)致接到SIS的亂七八糟回路越來越多,不光有過程控制、工藝聯(lián)鎖,幾乎所有的開關(guān)變量都接進(jìn)來,連兩位式控制也接進(jìn)來,弄得儀表專業(yè)也沒招兒。
10 安全儀表系統(tǒng)概念混淆的根據(jù)
當(dāng)初美譽(yù)華等公司在普及宣傳緊急停車系統(tǒng)(即現(xiàn)在的SIS)概念和技術(shù)的時(shí)候,對(duì)于安全PLC的設(shè)置和作用曾經(jīng)有過一些淺顯又不準(zhǔn)確的比喻,例如:平時(shí)是不動(dòng)作的,靜止的,像狗熊冬眠一樣,但是工程知識(shí)就應(yīng)該用知識(shí)的語(yǔ)言講課、論述,不能用簡(jiǎn)單又不準(zhǔn)確的比喻了。安監(jiān)總管三[2014]116號(hào)文的理解,幾年來,大大小小研討會(huì)、解讀會(huì)開了無(wú)數(shù),仍有一些技術(shù)人員和專家不得其解。
起初的SIS設(shè)置是作為過程控制系統(tǒng)的輔助停車手段的,意在過程控制系統(tǒng)控制失靈或操作人員失誤的情況下自動(dòng)停裝置或?qū)⒐に囘^程按程序轉(zhuǎn)到安全操作過程或超馳控制過程。采用的檢測(cè)儀表是開關(guān)類的“檢測(cè)元件”,IEC標(biāo)準(zhǔn)里叫做“傳感器”,停車邏輯控制的PLC叫“邏輯解算器”,開關(guān)閥等叫“執(zhí)行元件”。確實(shí),工藝過程正常的時(shí)候這些設(shè)備是不會(huì)動(dòng)作的,但是時(shí)時(shí)刻刻在監(jiān)測(cè)過程變量,隨時(shí)準(zhǔn)備動(dòng)作的,平時(shí)不動(dòng)作可不是“冬眠”了,絕不是可以用靜止、“冬眠”來誤導(dǎo)人的。
11 安全完整性等級(jí)是安全的保證嗎?
裝置中安全聯(lián)鎖的安全完整性等級(jí)(SIL)是否越高越好?
控制回路的SIL等級(jí)僅僅表征控制失效后可能產(chǎn)生的危險(xiǎn)和可能造成的災(zāi)害損失,不是保證安全的指標(biāo)。對(duì)于一個(gè)裝置來說,具有的SIL等級(jí)越低越好,數(shù)量越少越好,說明安全運(yùn)行的風(fēng)險(xiǎn)小、控制失效后的危險(xiǎn)或發(fā)生災(zāi)害時(shí)的損失小。IEC標(biāo)準(zhǔn)中SIL等級(jí)的劃分采用等比冪級(jí)數(shù),沒有實(shí)踐與風(fēng)險(xiǎn)科學(xué)根據(jù),更沒有工藝故障概率分析。
舉個(gè)例子:SIL等級(jí)的平均失效概率數(shù)值是怎么來的?與工藝過程有關(guān)系嗎?與電氣、電子和可編程設(shè)備的故障率有關(guān)系嗎?機(jī)械、電氣、電子、集成電路等不同的設(shè)備一概采用同一種失效概率評(píng)估和確定,有科學(xué)依據(jù)和實(shí)驗(yàn)驗(yàn)證嗎?也難怪SIL認(rèn)證僅僅是文件和資料的認(rèn)證,而沒有試驗(yàn)檢驗(yàn)。
12 安全儀表系統(tǒng)的構(gòu)成
SIS的設(shè)置是生產(chǎn)安全的需要,也與歐美的操作方式有關(guān)。歐美的操作人員是不管防災(zāi)減災(zāi)的,不處理非正常工藝狀態(tài),所以,DCS之外的事情就設(shè)置SIS,用來在異常情況下停止裝置運(yùn)行,才有了采用檢測(cè)元件、PLC和開關(guān)閥組成的SIS。沒有人機(jī)接口,不需要操作工干預(yù),沒有模擬輸出和調(diào)節(jié)閥。其實(shí)是和DCS一樣,SIS每時(shí)每刻都在工作的,差別僅在于不到危險(xiǎn)狀態(tài)執(zhí)行機(jī)構(gòu)不動(dòng)作,一旦動(dòng)作就停裝置。
IEC 61508和IEC 61511根據(jù)外國(guó)的某種可靠性技術(shù)和自動(dòng)停車的需要,做了理論上的科普,形成了技術(shù)標(biāo)準(zhǔn),而不是工程標(biāo)準(zhǔn)。而國(guó)內(nèi)石化化工行業(yè)工程技術(shù)人員誤將這兩項(xiàng)標(biāo)準(zhǔn)當(dāng)做工程標(biāo)準(zhǔn),才有了“剪不斷,理還亂”的現(xiàn)實(shí)。
13 到底是單體儀表還是系統(tǒng)?
SIS這個(gè)術(shù)語(yǔ)是否包括測(cè)量?jī)x表和執(zhí)行機(jī)構(gòu)?不同的場(chǎng)景和語(yǔ)境有不同的答案。
如TRICONEX的設(shè)備叫什么?答案是:安全儀表系統(tǒng)。
包括檢測(cè)元件和執(zhí)行元件嗎?答案是:不包括。
這是用詞的問題:tank在軍事上叫坦克,在煉油廠叫油罐,cock在水管子上叫水龍頭,在雞窩里是公雞。
IEC標(biāo)準(zhǔn)把測(cè)量?jī)x表、執(zhí)行機(jī)構(gòu)+開關(guān)閥稱為“元件”也說明這兩項(xiàng)標(biāo)準(zhǔn)是脫離實(shí)際的。把安全控制器稱為“邏輯解算器”,一是表示可以采用不同的設(shè)備實(shí)現(xiàn),二來也表明SIS的作用是根據(jù)預(yù)定的程序執(zhí)行邏輯動(dòng)作,停止或緩解裝置運(yùn)行,確實(shí)不管過程控制的事兒。
SIS采用開關(guān)信號(hào)為主,根據(jù)信號(hào)變化的邏輯輸出開關(guān)信號(hào)驅(qū)動(dòng)執(zhí)行機(jī)構(gòu)。
SIS有兩個(gè)含義:一是實(shí)現(xiàn)邏輯控制功能的控制器,有人翻譯成“邏輯解算器”;二是包括過程檢測(cè)器、邏輯控制器和執(zhí)行機(jī)構(gòu)在內(nèi)的系統(tǒng),有人還加上邏輯控制器的軟件。
SIS是Safety Instrumentation System的縮寫,但常常指用于安全系統(tǒng)的PLC,如《×××裝置安全儀表系統(tǒng)SIS招標(biāo)技術(shù)文件》一定是采購(gòu)“邏輯解算器”的,多年來已經(jīng)成為專有名詞。
IEC標(biāo)準(zhǔn)說SIS是“由測(cè)量?jī)x表、邏輯控制器和最終元件等組成”,但在核算SIL等級(jí)或響應(yīng)失效概率PFD時(shí)又多以單體儀表為單位。另外,如果說SIS是“實(shí)現(xiàn)安全功能”的系統(tǒng),就不僅應(yīng)該包括“測(cè)量?jī)x表、邏輯控制器和最終元件”,還應(yīng)該包括測(cè)量管路、電線、電氣連接、氣動(dòng)連接等環(huán)節(jié),這些環(huán)節(jié)就不需要“核算”了嗎?有的人還提出包括PLC中的軟件,軟件包括PLC的系統(tǒng)軟件(操作系統(tǒng)和程序語(yǔ)言)和工程實(shí)現(xiàn)軟件(組態(tài)或應(yīng)用程序)。在安全PLC核算的時(shí)候是沒有包括軟件的,是不需要了嗎?而工程實(shí)現(xiàn)軟件的編制不確定性往往是執(zhí)行安全功能的隱形因素。而軟件又怎么驗(yàn)證呢?怎樣評(píng)估軟件的失效率呢?
有人延伸安全系統(tǒng)的范圍,提出電源系統(tǒng)和機(jī)械結(jié)構(gòu)的閥門也需要有SIL等級(jí),這是明顯帶有盲目、隨意行為的。
14 關(guān)于儀表故障
安全儀表系統(tǒng)的設(shè)置有兩個(gè)原則:故障安全和獨(dú)立設(shè)置。
IEC兩項(xiàng)標(biāo)準(zhǔn)關(guān)于SIS的核心內(nèi)容之一是實(shí)現(xiàn)過程的故障安全、用安全功能實(shí)現(xiàn)功能安全,不具備故障安全的過程用不著SIS。
火災(zāi)或者可燃?xì)怏w有毒氣體泄漏有故障安全狀態(tài)和手段嗎?因?yàn)闆]有手段自動(dòng)撲滅裝置中不可預(yù)見的火災(zāi),或者沒有手段停止意外大量泄漏的可燃?xì)怏w或有毒氣體!所以不具備故障安全過程。有必要采用SIS嗎?著火燒壞了儀表和閥門,不去琢磨火是怎么著起來的,不琢磨怎么避免著火,而是想法兒怎么讓儀表和閥門燒不壞。就像家里水管漏水淹了地板和家具,不去修水管,而是琢磨不怕水淹的地板和家具。
15 獨(dú)立設(shè)置的來龍去脈
關(guān)于SIS與BPCS的分開或者說是獨(dú)立設(shè)置的問題既簡(jiǎn)單又復(fù)雜。
老外推崇的是工作按導(dǎo)則行事兒,專業(yè)分工細(xì)致,標(biāo)準(zhǔn)規(guī)范指南齊全,只要經(jīng)過培訓(xùn)就能干活,不過難免記不住,時(shí)常也出錯(cuò)。所以老外認(rèn)為人是最不可靠的,只有自動(dòng)化設(shè)備才是可靠的。中國(guó)人認(rèn)為有了盡職敬業(yè)、訓(xùn)練有素的人,什么問題都能解決。
正因?yàn)闅W美的SIS是不要人干預(yù)的,是作為人工操作的安全補(bǔ)充手段,才有了需要獨(dú)立設(shè)置的做法,才有了不采用BPCS的做法,避免“人工”這個(gè)“共因”失效,解釋為獨(dú)立保護(hù)層,也似乎有些勉強(qiáng),實(shí)際上這不是什么新鮮概念。
SIS與BPCS分開,獨(dú)立設(shè)置應(yīng)該到什么程度?作為過程控制的安全冗余,只要能夠?qū)崿F(xiàn)不受影響的故障安全控制即可。
按照IEC標(biāo)準(zhǔn),不能給人機(jī)會(huì)。SIS是不配備顯示操作的人機(jī)接口的,也不配備人工干預(yù)的停車按鈕。SIS的邏輯解算器是按照安全功能配置的,本身不聯(lián)網(wǎng)。由此可見:“獨(dú)立設(shè)置”是指安全儀表系統(tǒng)本身,而不是延伸設(shè)備,更不能隨意擴(kuò)大范圍。
SIS獨(dú)立設(shè)置是循序漸進(jìn)的,是相對(duì)的,不是絕對(duì)的,不可隨意延伸?,F(xiàn)在資金充裕,有條件把檢測(cè)儀表、控制器、執(zhí)行機(jī)構(gòu)都獨(dú)立設(shè)置,當(dāng)然不錯(cuò)。例如:有個(gè)項(xiàng)目的某測(cè)量回路采用“三取二”設(shè)置聯(lián)鎖,在控制系統(tǒng)中用3臺(tái)變送器取平均值做測(cè)量值,一下子就用了6臺(tái)變送器,這下子變送器不愁賣了!
16 供電的UPS要獨(dú)立嗎?
SIS獨(dú)立設(shè)置的目的是避免操作人員使用控制系統(tǒng)的時(shí)候,對(duì)SIS產(chǎn)生人為干預(yù)的影響,同時(shí)在控制系統(tǒng)外配備1套SIS作為備用的自動(dòng)停車手段,跟UPS是否獨(dú)立沒有直接關(guān)系。何況電源是一級(jí)負(fù)荷中的特別重要負(fù)荷!SIS是故障安全型,即使停電也是安全的!如果一級(jí)負(fù)荷停電,意味著至少是變電站系統(tǒng)停電,裝置就該停了,能夠?qū)崿F(xiàn)裝置停車就夠了。工程技術(shù)人員要熟悉和了解相關(guān)規(guī)范,領(lǐng)會(huì)其中的科學(xué)道理,首先要搞清楚:規(guī)范說獨(dú)立設(shè)置指的是SIS和DCS要分別設(shè)置,沒有說專用UPS!現(xiàn)在有些專家不管三七二十一,不搞清楚SIS的設(shè)置用意,不顧企業(yè)的實(shí)際情況,弄得工廠為難。說得嚴(yán)重點(diǎn),要不要獨(dú)立變電站和獨(dú)立的高壓外線?