关于“SIS”的十大争议

转载。

"
SIS是近年来的热门话题,开过无数讨论、解读、解答、贯彻会议。相信关注功能安全的圈友们,都听过、读过或者研究过“安监总管三 [2014] 116号 国家安全监管总局关于加强化工安全仪表系统管理的指导意见”这篇文章,此文至今已过去了将近十年,这过程中一系列相关问题使一些技术人员既明白、又含糊。接下来小圈将把一些问题和质疑整理一番,辨析异议。
"


原则问题:要不要上SIS?

不少“专家”和管理人员认为似乎只有上了SIS才能保证安全、心安理得、万无一失,神话了SIS,让其承担了过多的期待。

问1:

装置上不上SIS,到底谁说了算?

答:首先,我们要搞清楚SIS是干什么用的,其实SIS没有想象的那么神秘,其功能和安全阀、爆破片等一样,就是一个安全的保护层。那么SIS和其它保护层有什么不一样呢,其实SIS是用于消除BPCS、安全阀、爆破片等独立保护层所未能消除的残余风险。
就装置该不该上SIS,何龙老师认为涉及毒性气体、液化气体、剧毒液体的一级或者二级重大危险源,应配备独立的安全仪表系统(SIS)。
对于仪表回路等级在SIL1及以上的需要独立的SIS来消除安全风险。(这条有争议,因为在GB/T50770正文中为SIL1宜与过程控制系统独立,也就是说推荐独立但不强制独立,但是在条文解释中又说SIL1不应在过程控制系统中实现,但是规范中有言在先,条文解释不具备和正文同等的效力),目前大量的SIL1在过程控制系统实现,这是现状。
叶向东老师认为应该对装置的工艺、流程、设备、配管、仪表等进行危险与可操作分析(HAZOP),评估并确定装置是否有SIL1,2,3的回路,如果有,则需要SIS,否则不需要SIS。
其次是管理者(业主或保险公司)有权自行决定是否采用SIS,可以不经HAZOP分析确定决策,如果管理者说需要SIS,SIL等级也由管理者确定,该说法来自IEC61511。如果说不需要SIS,则可以不要,风险和灾难后果由决策者自行承担。
那么是不是不涉及“两重点一重大”就不上SIS系统了呢?完全不是,比如一台柴油锅炉,如果在锅炉液位断水独立保护层严重不足时,锅炉液位仪表回路很有可能为SIL2及以上,那就必须要用安全仪表系统来消除锅炉爆炸风险。
是不是涉及“两重点一重大”就一定要上SIS系统了呢?也完全不是举个例子,某装置使用氢气钢瓶,氢气属于重点监管危险化学品,那我们是不是要给氢气钢瓶装备一套SIS系统呢?显然不是。
所以,上不上SIS,不是解读的专家说了算,是各种标准和条例说了算。严谨态度、科学方法才能帮助企业提升本质安全水平,教条化只能越帮越乱,不要再拿指导性文件说事儿了,文件本身没有效力,我们应该依据规范、依据条例。不要把SIS越搅越乱。

基础理论薄弱,知识混淆


问2:

DCS的可靠性不如SIS?


答:DCS的可靠性不如SIS,那是偏见!

SIS并不见得一定比DCS更安全更可靠,主要原因是SIS系统升级换代需要重新安全认证,安全认证耗时、耗力和耗财,所以限制了SIS系统的软硬件升级;而DCS则不需要安全认证,每5年更新一代,而且CPU和卡件也做到冗余,其并不见得就输给SIS。

用数据说话,在4年中对1012套DCS进行统计,发生过故障的为211 套,故障概率0.0525;对602 套SIS系统进行统计,4年发生240次故障,故障概率0.1。(由于涉及到商业问题,统计数据不详细公开)。相信这会改变很多人对SIS的认识。但是不能说DCS一定就比SIS强,那就大错特错了,SIS系统在运行速度,数据扫描周期等方面要远远强于DCS。

DCS和SIS孰强孰弱,需根据自身情况综合考虑。
图片


问3:

SIS与ESD、DCS、PLC傻傻分不清楚?


答:SIS是安全仪表系统,ESD是紧急停车系统,ESD属于SIS的一部分。

SIS包括现场仪表、逻辑解决器、执行机构三部分,这三个部分都要是安全设计的,常规的ESD系统只是SIS的逻辑解决器这部分,当然也要是安全设计的。

DCS系统是过程控制系统,是动态的,需要人工频繁的干预,这有可能引起人为误动作而SIS(ESD)是静态的,不需要人为干预,这样设置可以避免人为误动作。

图片

PLC programmable logic controller,通常作为成套设备的控制方案,比如说真空、废水、集装、 压缩机等等自成一个体系的系统。 

ESD紧急停车系统,SIS 安全联锁系统,个人认为这是不同厂家对安全系统的叫法不同,还有的叫safety manager。这类系统往往用于石化等高危行业。

  • SIS与DCS之间的区别

SIS与DCS在石油、石化生产过程中分别起着不同的作用,如下图所示:生产装置从安全角度来讲,可分为3个层次:第一层为生产过程层,第二层为过程控制层,第三层为安全仪表系统停车保护层。

图片
  • SIS与ESD之间的区别

SIS是系统化的概念,更关注整体性的概念,从命名就可以看出来,SIS关注回路,关注系统整体。而ESD 通常是指,安全控制系统厂家生产的,安全型控制器,(CPU),IO,等纯控制系统的概念。

ESD是生产厂家的安全性控制器用在不同的场合,根据不同的用途,有着这些不同的叫法,从理论上说,只有ESD,“未必” 会是个完整的SIS控制系统。ESD仅仅是 SIS中的一环,而且是在实体硬件中,是最重要的一环。

  • DCS与PLC之间的区别

图片

由上图,可清晰的看出PLC与DCS的区别,但我们应该认识到,PLC与DCS发展到今天,事实上都在向彼此靠拢,严格的说,现在的PLC与DCS已经不能一刀切开,很多时候之间的概念已经模糊了。现在,我们来讨论一下彼此的相同(似)之处。

图片


问4:

安全专业的事要拉上仪表专业?

答:SIS是采用仪表实现安全功能,就像用仪表来实现工艺流程控制一样,过程控制方案是工艺专业决定的,仪表通过软、硬件的选型、配置和组态实现其功能。同样,定什么安全功能就是安全专业的事情,或者说是进一步细分到工艺、设备、安全、环保、消防等,提出目标和方案,通过仪表实现,安全方案有合理、量化要求,仪表系统才能更好地实现。

仪表专业是个解决问题的专业。从词汇上说,标准上有仪表两个字就似乎是仪表专业的事儿。不仅仅是设计,现在很多企业的仪表人员也做了很多专业外的事儿。看似仪表有本事,却反映出工艺、安全等专业的缺失。

现在供需双方互相不信任,于是找个“第三方”做法官。但是,安全评估公司有几个是凭专业搞安全的?即便是国际知名公司、或者是知名院校的安全评估专家,有几个是既懂安全,又懂工艺、流程、仪表、设备、配管的?有几个做过工程设计,又有现场工作经验的?有几个比工程设计人员更明白?几个比现场技术人员更明白?

实际操作,问题层出不穷!


问5:

SIL证书真的会严重影响工厂安全吗?

答:在进行安全仪表系统设计应用时,我们都会遵循IEC61508和IEC61511或者是我国的标准GB20438和GB21109。然而,大多数企业却天真的要求认证标准中不要求/不需要的要素,同时却忽略了其基本要素。我们质疑,SIL证书会严重影响工厂安全,造成人员风险以及社会风险。

许多公司在咨询中提出,必须经专家认证的组件SIL证书。但他们却未要求安全手册或包含数据的认证报告,也未要求提供功能安全管理证明。遗憾的是,前者并没有出现在标准中,后者却是基本的基本要求。

为什么很多获得了证书的公司拒绝发布/提供报告? 他们声称专有信息或商业机密信息在报告中。 从阀门和变送器到基本过程系统的各种产品都能听到这种说法。

这是否合理?

不合理,我们应该清楚:如果没有安全性和可靠性数据,我们如何来进行相关计算?没有报告依据,我们怎么确定该产品的能力?而且这些数据是标准所要求的绝对必要的部分。没有数据的工程师是无奈的(巧妇难为无米之炊)。

然而,证书的推广是有价值的和重要的,在项目实施以及生产中,仪表工程师更应该注重安全手册及包含数据的认证报告。

问6:
安全仪表系统只有定级,没有验算?


答:安全仪表系统的定级是比较简单的事情,但看报告总会有一些让人哭笑不得的错误。其实在管理规范的省市,定级和验算早已完成,验算不合格的也整改完成,但是还有部分小地方,只定级不验算,原因是116号文上没出现“验算”两个字,过于教条。116号文上的“评估”就是定级+验算。没验算怎么说明你的SIS是合格的。

有些企业错误的认为SIL定级和验算只能是设计单位做。一般SIL定级和验算是第三方机构或者一些安全机构,只要取得TUV功能安全工程师资质就可以。相同,HAZOP分析也一样。

安全的等级是搭配出来的,并不是用的仪表是SIL2,回路一定是SIL2,这属于基础性概念错误,就像有些定级,觉得工艺越危险,那SIL等级就越高,完全错误。很危险的工艺,只要有足够的独立保护层,完全可以是SIL0。不是很危险的工艺,没有保护层,也可能是SIL2相同SIL的验算也一样。对一个安全仪表系统来说,细节是关键,核心的地方是电源和接地,这两个地方可以导致整个系统的瘫痪或者装置的飞车。

在SIL验算中必须给出PFDavg和MTTFs,只有这两个值都合格了,才是一个合格的回路。SIL等级再高,MTTFs过低也没有用,毕竟,SIS系统是用的,而不是供起来看的。


问7:
参与SIS连锁的可燃气体探头是否接入GDS进行状态显示?

答:规范未具体对“参与SIS安全联锁的探头是否要在GDS的操作站上进行集中显示进行规定”,但是既然参与联锁了,当然应该有显示报警。所以,参与SIS安全联锁的可燃气体探头应该接入GDS的操作站中集中显示,具体做法可以使用SIS与GDS硬接线,将信号传递至GDS系统进行显示,或通过SIS采用串行通讯至GDS,在GDS操作站上显示,同时也有圈友说是否可以采用信号分配器,可以的。

问8:

SIS系统管理的任务是保持SIS系统设备的完好状况,保证安全生产,其日常维护和管理有何影响?


答:

  • 前期管理

SIS联锁保护系统的前期管理是指规划、设计、选型、购置、安装、投运阶段的全部管理工作,是全过程管理的重要部分。应依据安全可靠、技术先进、经济合理、购置要坚持质量第一、性能价格比高和寿命周期费用最经济的原则,严格把控进厂质量验收程序,保证施工按照设计要求及相关规章进行。为使寿命周期费用最经济、综合效率最高,必须重视前期管理工作。

  • 系统管理

对SIS联锁保护系统中进行变更、执行、特殊情况的停用及长期停用恢复等情况时,必须经相关负责人/技术人员/作业人员检查确认,填写相应的表单,保证全流程系统化管理。

  • 日常维护

全面检查SIS控制系统软硬件情况,记录好异常情况,及时维护运行出现的故障。对停机检修,应对机柜、工程师站、操作站、网络及接口设备、模件系统机柜电源等进行详细维护。冗余性能需针对操作员站、主控制器和模件、通信总线、模件、系统或机柜供电等四部分进行冗余切换试验。

  • 档案管理

设备管理部必须定期组织仪表、电气、机械等专业人员会同生产装置认真复查、审定各装置SIS联锁保护系统的相关技术资料,建立健全SIS联锁保护系统的技术档案。

以上就是SIS日常维护和管理的四个方面,加强SIS系统管理,让SIS系统切实担任起维护生产安全保障工作是我们每一位仪表人员必修课。

安全检查,“专家”争议多!

问9:

SIS和DCS共用一个阀门后患无穷?

答:实际工程上,强烈建议DCS和SIS相互独立,包括传感器、控制器和最终元件。DCS和SIS共用元件不符合独立保护层方法论初衷。应注意SIS和DCS共用设备元件对SIF的PFD(PFH)、HFT、SC的要求都有影响。只有满足共用设备元件的要求时危险失效平均概率足够低、相关SIF经验证满足其安全完整性等级要求、符合安全生命周期的所有要求、充分考虑了DCS操作维护等对SIS的影响以及按照功能安全标准要求编制相关检测及维护规程等前提条件后才能共用。

问10:

在安全联锁中紧急切断阀主要应用场景到底有哪些?究竟能不能带手轮?


答:紧急切断装置在石油化工工艺过程中主要就是紧急切断阀,可以在遇到突发危及到人员安全,装置或设备安全运行,造成严重的环境污染时紧急切断阀能快速响应,继而避免事故发生或者危险扩大。

在石油化工工艺过程中,要求紧急切断和隔离的场所无处不在。例如:切断反应进料,切断加热炉燃料;高低压紧急隔离;紧急切断汽轮机蒸汽;泵设火灾隔离等等。

可以说是紧急切断阀是安全运行的“卫士”。

应用场景1:切断进料

图片

应用场景2:高低压隔离

图片

应用场景3:泵设隔离

图片
应用场景4:切断加热炉燃料
图片

究竟能不能带手轮这个问题首先我们要找到那个明确规定紧急切断阀不能带手轮的标准规范,看看其条文到底是怎么要求的。根据目前已查阅的标准规范,明确提出紧急切断阀不能带手轮的只有一个标准,即《HG/T 20507-2014 自动化仪表设计选型规范》,在该标准的第11.9.7条,原文如下: 

图片

其中第2条:“工艺生产安全联锁用于紧急切断阀的控制阀,不应设置手轮机构”,那么这里的“工艺生产安全联锁”该怎么理解呢,那些没有生产装置的储运罐区是否也适用呢?

如果对HG 20507标准仔细研究的话,就会发现无论是HG 20507-2014版还是HG 20507-2000版,都明确规定了适用范围为化工装置,很显然是不适合储运罐区的。

图片

图片

除了适用范围的不同之外,我们再来看看“工艺生产安全联锁控制的紧急切断阀”,为什么不能带手轮。我们知道,在工艺装置的生产过程中,难免会有超温超压超液位的意外状况发生,一旦发生,事故概率大大增加,为了遏制这种超限后果的发生,降低或者消除其带来的潜在安全风险,在生产工艺过程中,通常都会采用信号联锁切断管路,或者信号联锁停车等。

其次,在HG/T 20507-2014第11.9.7条中的第一句话“未设置旁路的控制阀,应设置手轮机构”,我们知道,工艺流程中用于调节作用的控制阀,一般都会设置副线或旁路,一旦控制阀发生故障需要拆卸维修,可以投用旁路,来维持正常生产。

图片

那么如果作为工艺生产安全联锁用的紧急切断阀,其设置有副线或旁路的情况下,也可以不用设置手轮机构。但是如果该紧急切断阀没有副线的话,那么一旦发生非联锁原因造成的意外故障,致使紧急切断阀关闭,系统憋压或者抽空,此时如果没有应急的措施来恢复紧急切断阀的状态的话,只会造成风险进一步扩大,直至单元装置停车。从工程实践上来看,这是一个得不偿失的做法,所以避免此类后果发生的有效措施,就是增加一个旁路,如果增加旁路不可行(规范要求或者现场不具备可行性),那么紧急切断阀最好配置手轮。