叶向东老师细说安全仪表系统

09


仪表专业进行SIS工程设计和选型的依据

根据安全专业向仪表专业提交的设计资料。包括需要采用SIS的控制(联锁)回路清单各回路的SIL等级以及控制逻辑没有输入条件就是无米之炊,但现在很多情况是没有安全专业或安全专业不提资料,没有“米面”,也要仪表“做出饭”来。

 

设计院的安全专业在SIS的设计中具体做什么?简单地说:负责工艺流程的安全设计,做HAZOP分析,向相关专业提交有关安全设计的资料,解答有关安全的技术问题。

 

有时没有安全专业或者安全工程师知识和经验欠缺,结果会导致接到SIS的乱七八糟回路越来越多,不光有过程控制、工艺联锁,几乎所有的开关变量都接进来,连两位式控制也接进来,弄得仪表专业也没招儿。


10


安全仪表系统概念混淆的根据

当初美誉华等公司在普及宣传紧急停车系统(即现在的SIS)概念和技术的时候,对于安全PLC的设置和作用曾经有过一些浅显又不准确的比喻,例如:平时是不动作的,静止的,像狗熊冬眠一样,但是工程知识就应该用知识的语言讲课、论述,不能用简单又不准确的比喻了。安监总管三[2014]116号文的理解,几年来,大大小小研讨会、解读会开了无数,仍有一些技术人员和专家不得其解。

 

起初的SIS设置是作为过程控制系统的辅助停车手段的,意在过程控制系统控制失灵或操作人员失误的情况下自动停装置或将工艺过程按程序转到安全操作过程或超驰控制过程。采用的检测仪表是开关类的“检测元件”,IEC标准里叫做“传感器”,停车逻辑控制的PLC叫“逻辑解算器”,开关阀等叫“执行元件”。确实,工艺过程正常的时候这些设备是不会动作的,但是时时刻刻在监测过程变量,随时准备动作的,平时不动作可不是“冬眠”了绝不是可以用静止、“冬眠”来误导人的


11


安全完整性等级是安全的保证吗?

装置中安全联锁的安全完整性等级(SIL)是否越高越好?

 

控制回路的SIL等级仅仅表征控制失效后可能产生的危险和可能造成的灾害损失,不是保证安全的指标。对于一个装置来说,具有的SIL等级越低越好,数量越少越好,说明安全运行的风险小、控制失效后的危险或发生灾害时的损失小。IEC标准中SIL等级的划分采用等比幂级数,没有实践与风险科学根据,更没有工艺故障概率分析。

 

举个例子:SIL等级的平均失效概率数值是怎么来的?与工艺过程有关系吗?与电气、电子和可编程设备的故障率有关系吗?机械、电气、电子、集成电路等不同的设备一概采用同一种失效概率评估和确定,有科学依据和实验验证吗?也难怪SIL认证仅仅是文件和资料的认证,而没有试验检验。


12


安全仪表系统的构成

SIS的设置是生产安全的需要,也与欧美的操作方式有关。欧美的操作人员是不管防灾减灾的,不处理非正常工艺状态,所以,DCS之外的事情就设置SIS,用来在异常情况下停止装置运行,才有了采用检测元件、PLC和开关阀组成的SIS。没有人机接口,不需要操作工干预,没有模拟输出和调节阀。其实是和DCS一样,SIS每时每刻都在工作的,差别仅在于不到危险状态执行机构不动作,一旦动作就停装置

 

IEC 61508和IEC 61511根据外国的某种可靠性技术和自动停车的需要,做了理论上的科普,形成了技术标准,而不是工程标准。而国内石化化工行业工程技术人员误将这两项标准当做工程标准,才有了“剪不断,理还乱”的现实。

13


到底是单体仪表还是系统?

SIS这个术语是否包括测量仪表和执行机构?不同的场景和语境有不同的答案。

如TRICONEX的设备叫什么?答案是:安全仪表系统。

包括检测元件和执行元件吗?答案是:不包括。

 

这是用词的问题:tank在军事上叫坦克,在炼油厂叫油罐,cock在水管子上叫水龙头,在鸡窝里是公鸡。

 

IEC标准把测量仪表、执行机构+开关阀称为“元件”也说明这两项标准是脱离实际的。把安全控制器称为“逻辑解算器”,一是表示可以采用不同的设备实现,二来也表明SIS的作用是根据预定的程序执行逻辑动作,停止或缓解装置运行,确实不管过程控制的事儿。

 

SIS采用开关信号为主,根据信号变化的逻辑输出开关信号驱动执行机构。

 

SIS有两个含义:一是实现逻辑控制功能的控制器,有人翻译成“逻辑解算器”二是包括过程检测器、逻辑控制器和执行机构在内的系统,有人还加上逻辑控制器的软件。

 

SIS是Safety Instrumentation System的缩写,但常常指用于安全系统的PLC,如《×××装置安全仪表系统SIS招标技术文件》一定是采购“逻辑解算器”的,多年来已经成为专有名词。

 

IEC标准说SIS是“由测量仪表、逻辑控制器和最终元件等组成”,但在核算SIL等级或响应失效概率PFD时又多以单体仪表为单位。另外,如果说SIS是“实现安全功能”的系统,就不仅应该包括“测量仪表、逻辑控制器和最终元件”,还应该包括测量管路、电线、电气连接、气动连接等环节,这些环节就不需要“核算”了吗?有的人还提出包括PLC中的软件,软件包括PLC的系统软件(操作系统和程序语言)和工程实现软件(组态或应用程序)。在安全PLC核算的时候是没有包括软件的,是不需要了吗?而工程实现软件的编制不确定性往往是执行安全功能的隐形因素。而软件又怎么验证呢?怎样评估软件的失效率呢?

 

有人延伸安全系统的范围,提出电源系统和机械结构的阀门也需要有SIL等级,这是明显带有盲目、随意行为的。


14


关于仪表故障

安全仪表系统的设置有两个原则:故障安全独立设置

 

IEC两项标准关于SIS的核心内容之一是实现过程的故障安全、用安全功能实现功能安全,不具备故障安全的过程用不着SIS。

 

火灾或者可燃气体有毒气体泄漏有故障安全状态和手段吗?因为没有手段自动扑灭装置中不可预见的火灾,或者没有手段停止意外大量泄漏的可燃气体或有毒气体!所以不具备故障安全过程。有必要采用SIS吗?着火烧坏了仪表和阀门,不去琢磨火是怎么着起来的,不琢磨怎么避免着火,而是想法儿怎么让仪表和阀门烧不坏。就像家里水管漏水淹了地板和家具,不去修水管,而是琢磨不怕水淹的地板和家具。


15


独立设置的来龙去脉

关于SIS与BPCS的分开或者说是独立设置的问题既简单又复杂。

 

老外推崇的是工作按导则行事儿,专业分工细致,标准规范指南齐全,只要经过培训就能干活,不过难免记不住,时常也出错。所以老外认为人是最不可靠的,只有自动化设备才是可靠的。中国人认为有了尽职敬业、训练有素的人,什么问题都能解决。

 

正因为欧美的SIS是不要人干预的,是作为人工操作的安全补充手段,才有了需要独立设置的做法,才有了不采用BPCS的做法,避免“人工”这个“共因”失效,解释为独立保护层,也似乎有些勉强,实际上这不是什么新鲜概念。

 

SIS与BPCS分开,独立设置应该到什么程度?作为过程控制的安全冗余,只要能够实现不受影响的故障安全控制即可。

 

按照IEC标准,不能给人机会。SIS是不配备显示操作的人机接口的,也不配备人工干预的停车按钮。SIS的逻辑解算器是按照安全功能配置的,本身不联网。由此可见:“独立设置”是指安全仪表系统本身,而不是延伸设备,更不能随意扩大范围。

 

SIS独立设置是循序渐进的,是相对的,不是绝对的,不可随意延伸。现在资金充裕,有条件把检测仪表、控制器、执行机构都独立设置,当然不错。例如:有个项目的某测量回路采用“三取二”设置联锁,在控制系统中用3台变送器取平均值做测量值,一下子就用了6台变送器,这下子变送器不愁卖了!


16


供电的UPS要独立吗?

SIS独立设置的目的是避免操作人员使用控制系统的时候,对SIS产生人为干预的影响,同时在控制系统外配备1套SIS作为备用的自动停车手段,跟UPS是否独立没有直接关系。何况电源是一级负荷中的特别重要负荷!SIS是故障安全型,即使停电也是安全的!如果一级负荷停电,意味着至少是变电站系统停电,装置就该停了,能够实现装置停车就够了。工程技术人员要熟悉和了解相关规范,领会其中的科学道理,首先要搞清楚:规范说独立设置指的是SIS和DCS要分别设置,没有说专用UPS!现在有些专家不管三七二十一,不搞清楚SIS的设置用意,不顾企业的实际情况,弄得工厂为难。说得严重点,要不要独立变电站和独立的高压外线?