為什么裝置在有了DCS后還要上SIS?
導(dǎo) 讀
安全儀表系統(tǒng)SIS是由傳感單元、邏輯控制單元、執(zhí)行機(jī)構(gòu)組成的能夠行使一項(xiàng)或多項(xiàng)安全儀表功能(SIF)的儀表系統(tǒng)。近年來,功能安全評估成為研究的熱點(diǎn),而中國功能安全評估研究起步較晚,相關(guān)標(biāo)準(zhǔn)普及不高,導(dǎo)致許多企業(yè)在SIS設(shè)置上存在安全隱患。人們常認(rèn)為安裝了SIS就能達(dá)到安全要求,卻忽略了SIS在結(jié)構(gòu)設(shè)置、儀表選型及軟件等方面的問題。國外對SIS的研究較早,陸續(xù)出臺了一系列相關(guān)國際和國家標(biāo)準(zhǔn),如IEC 61508《電氣/電子/可編程電子安全系統(tǒng)的功能安全》、IEC 61511《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全要求》及ANSI/ISAS84-2004《各產(chǎn)業(yè)中安全儀表系統(tǒng)的應(yīng)用》等。
國內(nèi)于2007年引入IEC61508/61511標(biāo)準(zhǔn),并等同轉(zhuǎn)化為GB/T20438-2006《電氣/電子/可編程電子安全系統(tǒng)的功能安全》、GB/T21109-2007《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全要求》用于指導(dǎo)國內(nèi)的SIS安全完整性評估工作。國內(nèi)許多企業(yè)的裝置建設(shè)較早,在進(jìn)行SIS的設(shè)計(jì)及安裝時(shí)未能按照GB/T20438-2006及GB/T21109-2007的要求實(shí)施。目前主要的問題是有些企業(yè)聯(lián)鎖回路設(shè)置在DCS中,未設(shè)置獨(dú)立的SIS。由于DCS沒有認(rèn)證要求,因而在進(jìn)行SIS的功能安全評估時(shí),缺少驗(yàn)證數(shù)據(jù),而無法進(jìn)行系統(tǒng)評估。
以某甲醇低溫甲醇洗裝置的聯(lián)鎖設(shè)置情況進(jìn)行說明,低溫甲醇洗是一種新型的煤化工技術(shù),是酸性氣脫除技術(shù)的首選技術(shù),作為目前國內(nèi)先進(jìn)的煤氣凈化工藝,它對酸性氣體有較高的吸收選擇性,并且凈化程度高。甲醇為有毒液體,并且易燃,裝置中工藝氣中含有氫氣、一氧化碳、硫化氫等易燃易爆氣體,一旦泄漏將有可能引起火災(zāi)、爆炸事故,對環(huán)境造成無法挽回的損壞。我們將根據(jù)企業(yè)資料,采用保護(hù)層分析(LOPA)方法對裝置23條聯(lián)鎖回路逐條進(jìn)行定級分析,分析步驟如下圖所示。
聯(lián)鎖回路統(tǒng)計(jì)見下表所列。
SIS的獨(dú)立性要求我們在LOPA分析過程中,以上分析結(jié)果均基于保護(hù)層的獨(dú)立性原則,根據(jù)IEC61511-1關(guān)于基本過程控制系統(tǒng)(BPCS)作為獨(dú)立保護(hù)層時(shí)有以下規(guī)定:當(dāng)觸發(fā)條件是BPCS保護(hù)層防控的觸發(fā)源為BPCS本身時(shí),應(yīng)確保觸發(fā)源與BPCS保護(hù)層之間的隔離和獨(dú)立,如下圖所示。
在工程實(shí)踐中,很難達(dá)到上圖中所示的獨(dú)立性要求,因?yàn)镈CS中的冗余CPU通常采用“熱備用”機(jī)制,不具備圖中控制器1和控制器2之間的獨(dú)立性,除非配置2套DCS。
因此,當(dāng)同一危險(xiǎn)場景下,如果DCS控制故障,則設(shè)置在DCS中的相應(yīng)聯(lián)鎖就會失效。GB/T50770-2013《石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》中規(guī)定了SIS設(shè)計(jì)的基本原則:SIS獨(dú)立于過程控制系統(tǒng),獨(dú)立完成安全保護(hù)功能。
國外一些設(shè)計(jì)資料及規(guī)范中也提到在工業(yè)中將安全聯(lián)鎖系統(tǒng)與DCS分開。比如:英國健康與安全執(zhí)行委員會在《可編程電子系統(tǒng)在有關(guān)安全方面的應(yīng)用》中提到“強(qiáng)烈推薦提供將控制和保護(hù)分開的系統(tǒng)”;美國化學(xué)工程研究院在《化學(xué)過程的安全自動化導(dǎo)則》中提到“提供物理上和功能上的分離,并且將基本過程控制系統(tǒng)與安全聯(lián)鎖系統(tǒng)之間的邏輯運(yùn)算器、I/O模件和機(jī)架區(qū)別開來”;IECTC65WG10在《電氣/電子/可編程的有關(guān)安全系統(tǒng)》概況中提到“受控設(shè)備(EUC)控制系統(tǒng)應(yīng)是獨(dú)立的,并與有關(guān)安全系統(tǒng)和減少外部危險(xiǎn)的設(shè)備分開”;ISASP84在《用于安全應(yīng)用方面的可編程電子系統(tǒng)》中提到“用于控制的元件不能用于安全系統(tǒng)”,“某些過程可能要求多于一個(gè)安全系統(tǒng)保護(hù)層,每一個(gè)安全儀表系統(tǒng)(SIS)層必須與其他的SIS層完全分開和不相同”。美國核工業(yè)要求冗余的安全系統(tǒng)“應(yīng)是相互獨(dú)立的和物理上分開的”等法規(guī)及草案中都提到將SIS與DCS分開的意義。而如果用DCS來承擔(dān)SIS的任務(wù),則相應(yīng)的要求水平較常規(guī)的過程控制系統(tǒng)更高、花費(fèi)也更大,因而都建議將SIS與DCS硬件獨(dú)立設(shè)置。3SIS與DCS的區(qū)別SIS更關(guān)注對故障狀態(tài)的反應(yīng)速度,而DCS更關(guān)注的是過程處理。兩系統(tǒng)設(shè)計(jì)的出發(fā)點(diǎn)不同,SIS側(cè)重故障安全性組態(tài),而DCS一般是非故障安全型。SIS與DCS的主要區(qū)別見下表所列。
將聯(lián)鎖設(shè)置在DCS中,不僅從硬件要求和軟件要求上無法滿足SIS的規(guī)定,在后期維護(hù)與保養(yǎng)上也區(qū)別于過程控制系統(tǒng),GB/T21109-2001第1部分中對SIS操作與維護(hù)的要求規(guī)定:“1)應(yīng)編制安全儀表系統(tǒng)的操作和維護(hù)計(jì)劃;2)應(yīng)根據(jù)相關(guān)的安全計(jì)劃編制制訂操作和維護(hù)規(guī)程;3)應(yīng)根據(jù)相關(guān)規(guī)程進(jìn)行操作和維護(hù);4)應(yīng)就操作員所在領(lǐng)域內(nèi)的SIS功能和操作對他們進(jìn)行培訓(xùn);5)應(yīng)分析預(yù)計(jì)的和實(shí)際SIS行為之間的差異,必要時(shí)應(yīng)作修改以保持要求的安全;6)應(yīng)編寫每個(gè)SIF回路的書面檢驗(yàn)測試規(guī)程,以便暴露診斷未檢測到的危險(xiǎn)失效”。SIS修改和停用涉及的相應(yīng)信息及文檔要求,都從規(guī)定上展現(xiàn)了SIS與DCS的要求不同。