安全仪表系统对遏制化工过程重特大事故的深远意义
2017年1月3日,浙江华邦医药化工有限公司C4车间发生爆炸火灾事故,造成 3人死亡,直接经济损失400多万元。导致事故的直接原因是蒸汽加热失控,反应釜超温,反应产物(含乳清酸)急剧分解放热,压力持续攀升超过釜内承受极限,发生了物理爆炸。
2017年7月2日,九江之江化工有限公司对(邻)硝基苯胺车间反应釜发生爆炸,造成3人死亡、3人受伤,直接经济损失2380万元。事后调查,该公司在生产过程,长期停用反应釜压力、温度联锁,失控的反应不能得到有效遏制,最终酿成了爆炸的惨剧。
2018年3月12日,九江一石化企业柴油加氢装置原料缓冲罐(设计压力0.38MPa)发生爆炸着火事故,造成2人死亡、1人轻伤。造成事故的原因是循环氢压机润滑油压力低低联锁停机,加氢原料进料泵随即联锁停泵,但因泵出口未设置紧急切断阀且单向阀功能失效,反应系统内高压介质(压力5.7MPa)通过加氢原料泵出入口回窜至加氢原料缓冲罐,导致缓冲罐超压爆炸着火。
所有事故的发生都不是因为涉及新的或未知的化学物质,也不是由单一问题或单一失效造成的,而是多方面的瑕疵、缺陷共同导致的。哪些诱因、何时何地、在什么情况下共同作用导致事故发生,我们很难去鉴定,只能是在事后进行追溯。美国国防部长唐纳德·拉姆斯菲尔德在2002年一次新闻发布会上讲道:“有些是已知的已知,即有些事情我们知道我们是知道的,我们也知道有已知的未知,也就是说我们知道有些事情我们不知道,但也有未知的未知,即我们不知道还有什么不知道。”未知的未知才是最可怕的,也就是人们常常说的黑天鹅事件,从某种意义来说,每一起事故的发生都是一次黑天鹅事件。
虽然事故发生的随机性无法掌控,但从原因到后果演变的整个过程,却有很多固有屏障可以控制,只要这些固有屏障中的任意一个切断了事故演变的链条,都可以避免事故的发生。这就是我们经常说的独立保护层。对于化工企业来说,一般存在的独立保护层有:工艺设计、基本过程控制系统、关键报警及人员干预、安全仪表系统、泄压装置、泄漏后的物理保护、工厂应急响应等。
工艺实现本质安全型设计是理想状态,很难达到;基本过程控制系统建立的稳态非常脆弱,系统内的任何因素的变化都可能导致已经这种稳态向失控方向发散;关键报警及人员干预则非常依赖报警的独立性、报警的管理以及人员的应变能力;而安全仪表系统则能有效监控“失事点”,快速发出指令,将工艺过程带入相对安全的状态,是非常重要的安全保护屏障,在预防化工过程的火灾、爆炸事故方面,有着非常重要的意义。
上述的三起事故,因安全仪表系统缺失、长期未投用以及设计不规范等问题,致使遏制过程失控的关键保护屏障失效,结果造成了严重的火灾爆炸、群死群伤事故,社会影响极其恶劣。我们经常说安全是发展的红线,是生存的底线,对化工过程来说,如此重要的安全仪表系统为何在行业难以有效落实呢?笔者总结大概有以下几点原因:
什么是安全仪表系统(SIS)?顾名思义就是执行一个或多个安全仪表功能(SIF)的仪表系统,它依赖于传感器(感知并传递状态参数变化)、逻辑控制器(运算并发出指令)、以及最终元件(执行最终动作)的组合协调作用,共同完成特定功能安全目的。《关于加强化工安全仪表系统管理的指导意见》(安监总管三〔2014〕116号)中也指出,安全仪表系统生产正常时处于休眠或静止状态,一旦生产装置或设施出现可能导致安全事故的情况时,能够瞬间准确动作,使生产过程安全停止运行或自动导入预定的安全状态,所以安全仪表系统的目的是为了确保过程安全,重在防止失事点进一步恶化。
哪些系统属于安全仪表系统的范畴呢?《关于加强化工安全仪表系统管理的指导意见》(安监总管三〔2014〕116号)指出,包括安全联锁系统、紧急停车系统和有毒有害、可燃气体及火灾检测保护系统等。IEC61511将SIS的类型分为仪表保护系统、安全联锁、安全相关系统、紧急停车系统、燃烧器管理系统、火气系统以及高完整性(压力)保护系统等等。无论怎么分类,SIS都是执行了一个或多个安全仪表功能,例如有毒有害、可燃气体及火灾检测保护系统就可以通过检测并处理特定信号,自动触发执行元件动作,将泄漏和火灾消灭在萌芽状态。
很多企业的管理模式还沿用传统的生产组织方式,为了减少非计划停工带来的损失,安全仪表系统长期处于停用状态,完全依靠人员的“应变能力”去实现操作控制,安全仪表系统成为应付各类安全检查的一种摆设;更有甚者将擅自摘除安全仪表联锁、避免装置非计划停工的操作者视为“英雄”,对其进行鼓励嘉奖。
《国家安全监管总局关于推动安全生产科技创新的若干意见》(安监总科技〔2016〕100号)第八条明确指出,要着力推进机械化换人、自动化减人的整体思路,目的就是为了深入贯彻落实习近平总书记系列重要讲话精神,牢固树立安全发展观念,大力弘扬创新驱动发展理念,切实提升安全生产风险防控能力,为有效遏制重特大事故频发势头、促进安全生产形势持续稳定好转提供强有力的科技支撑和保障。
如果企业不能主动出击,着力提升本质安全化水平,因循守旧,继续保持错误导向,非但不能有效降低成本,且增加了化工过程安全事故发生概率。
安全仪表系统的管理能力不足,联锁误动作频发,企业未深入分析解决,直接采用摘除联锁的方式予以应对
《关于加强化工安全仪表系统管理的指导意见》(安监总管三〔2014〕116号)中强调,“化工设计、施工单位和危险化学品生产、储存单位要组织对相关负责人、工艺和仪表等工程技术人员开展安全仪表专业培训,普及功能安全相关知识,学习有关标准规范。要针对安全仪表系统全生命周期不同的环节,分别对设计、安装调试和操作维护管理人员进行具有针对性的培训,使相关人员熟练掌握安全仪表系统、风险分析和控制、风险降低等相关专业技术。”
培训的目的是提升管理,为确保安全仪表系统可靠性和完整性奠定基础。通过企业走访,发现针对安全学习、操作规程培训的资料内容不计其数,而针对安全仪表系统相关知识内容的培训却是凤毛麟角,少之又少。
建设时间早、涉及“两重大一重大”在役化工装置或储存设施,对安全监管要求理解不透彻,执行乏力
《关于加强化工安全仪表系统管理的指导意见》(安监总管三〔2014〕116号)中针对“两重点一重大”在役生产装置或储存设施提出,“要在全面开展HAZOP分析的基础上,结合风险降低的要求,评估现有安全仪表功能是否满足风险降低的要求。”
《化工和危险化学品生产经营单位重大生产安全事故隐患判定标准(试行)》(安监总管三〔2017〕121号)中也明确指出:
a.涉及重点监管危险化工工艺的装置未实现自动化控制,系统未实现紧急停车功能,装备的自动化控制系统、紧急停车系统未投入使用,构成重大隐患。
b.一级、二级重大危险源的危险化学品罐区未实现紧急切断功能;涉及毒性气体、液化气体、剧毒液体的一级、二级重大危险源的危险化学品罐区未配备独立的安全仪表系统也构成重大隐患。
通过对以上文件的综合判断,在役的“两重大一重大”化工装置或储存设施如果未设置安全仪表系统,现在应该设置安全仪表系统,如果已经设置了安全仪表系统,还应该在HAZOP分析、LOPA分析、SIL定级与验证的基础上,分析判断当前安全仪表系统是否满足风险降低的要求,如不满足,则需进一步整改。
为什么针对“两重大一重大”在役化工装置或储存设施如此要求呢?原因就是其固有危险性较大,曾经发生的事故也较多,为了规范管理、遏制事故发生,国家提出的统一监管要求。
针对以上存在问题,我们究竟该如何做,才能守住安全仪表系统这个遏制事故发生的重要屏障呢?笔者认为,应该从以下几点入手去做:
明确风险降低的要求,规范安全仪表系统设计。
根据在英国发生的34起意外事故的调查报告,导致失效的原因在“实物”系统形成之前约占了60%的比率(安全要求规格书+设计和工程执行)。
为了防止系统在形成之前就埋下失效的“基因”,必须严格分析并确定功能安全需求。116号文中提到,要通过过程危险分析,充分辨识危险与危险事件,科学确定必要的安全仪表功能,并根据国家法律法规和标准规范对安全风险进行评估,确定必要的风险降低要求。根据所有安全仪表功能的功能性和完整性要求,编制安全仪表系统安全要求规格书(SRS)。SRS是对实现安全仪表功能起着决定性作用。
企业应根据风险降低的要求,科学组织分析安全完整性等级(SIL)的定级和验证工作。
以风险矩阵为基础,组织工艺、设备、仪表、电气、安全等专业人员,使用危险与可操作性分析(HAZOP)和保护层分析(LOPA)分析,确定安全仪表系统的SIL等级,然后再借助第三方咨询服务机构力量,对当前运行的安全仪表系统SIL等级进行验证,确定其是否满足SIL定级的要求并落实相应整改措施。
科学组织安全仪表系统操作及维护管理。
科学管理实际上就是在做两件事,一是细化分工,二是提高效率。人和系统怎么进行分工,如何提高效率?肯定是将重复性高、执行目标明确、要求执行速度快的工作交给系统;完善系统、优化管理的决策性工作交由人员去负责。
116号文对安全仪表系统的维护管理这样描述,“要按照符合安全完整性要求的检验测试周期,对安全仪表功能进行定期全面检验测试,并详细记录测试过程和结果。要加强安全仪表系统相关设备故障管理(包括设备失效、联锁动作、误动作情况等)和分析处理,逐步建立相关设备失效数据库。要规范安全仪表系统相关设备选用,建立安全仪表设备准入和评审制度以及变更审批制度,并根据企业应用和设备失效情况不断修订完善。”
这里提出的要求有两个方面,第一是定期全面的检验测试,SIL等级再高的系统,缺乏维护,终究也是会故障和失效的,满足不了风险降低的要求。执行机构可能受到使用工况的影响而失效、通信元件可能受到信号干扰而中断,所以定期全面测试是非常有必要的;第二是要求收集数据,建立失效数据库,这对安全仪表系统管理也非常重要,相同SIL等级的执行元件,在真实使用环境的失效概率未必一致,同样是联锁误动作,每次触发的原因未必相同,只有收集到足够多的数据才能支撑安全仪表系统管理完善化。
完善安全仪表系统变更管理。
安全仪表系统的变更包括联锁值修定、联锁的摘除与投用、联锁逻辑的修改完善、备品备件非同类替换(包括更换厂家)、以及软件系统的的迭代升级等,都视为安全仪表系统变更管理范畴,企业必须建立一套系统完整的管理流程,确保风险辨识到位,安全措施已落实。
《关于加强化工过程安全管理的指导意见》(安监总管三〔2013〕88号)对变更管理程序有要求,明确指出任何变更都应经过申请、审批、实施和验收四个步骤,这是一套闭环管理思维,不仅可以应用到安全仪表系统变更,还可进一步应用于任何变更管理环节。
确保安全仪表系统的独立性符合要求。
要清楚理解安全仪表系统独立性概念,它是指系统执行安全仪表功能的独立性,不是指系统必须完全孤立,不予任何外界系统进行交互;一般来说,SIS系统逻辑控制器独立是必要的,而测量仪表和最终执行元件是否独立则需要综合考虑SIL定级和验证的结果。安全仪表系统也可以与基本过程控制系统进行数据交互,比如以只读的方式向基本过程控制系统传输信号,基本过程控制系统也可以向SIS传输旁路信号和复位信号。
国家层面针对安全仪表系统的重视程度非常高,《关于加强化工安全仪表系统管理的指导意见》安监总管三〔2014〕116号)对加强安全仪表系统管理方面提出治理期限的要求:
(1)2016年1月1日起,大型和外商独资、合资等具备条件的化工企业新建涉及“两重点一重大”的化工装置和危险化学品储存设施,要设计符合相关标准规定的安全仪表系统。
(2)2018年1月1日起,所有新建涉及“两重点一重大”化工装置和危险化学品储存设施要设计符合要求的安全仪表系统,其他新建化工装置、危险化学品储存设施安全仪表系统,从2020年1月1日起,应执行功能安全相关标准要求,设计符合要求的安全仪表系统。
(3)2019年底前,在役的“两重点一重大”化工企业和危险化学品储存单位,要完成安全仪表系统评估和完善工作。
可以看出,国家层面针对企业安全仪表系统管理提出了分阶段、分层次、科学合理的治理要求,既考虑了实施的可行性,也考虑了工作开展的可持续性问题。
加强企业安全仪表系统管理制度和体系,加大资金投入,保障新建装置安全仪表系统达到功能安全标准的要求;针对在役装置安全仪表系统不满足功能安全要求的,积极投入整改,努力消除潜在事故隐患,对提升企业本质安全水平、遏制化工过程重特大事故具有深远意义。