叶向东 | DCS的可靠性不如SIS,那是偏见!



 >> 本文选自《石油化工自动化》期刊2021年第5期增刊
 
"
安全仪表系统(SIS)是近年来的热门话题,也是一些学者和专业技术人员津津乐道的事儿。有人说:“SIS是保证化工生产安全极其重要的、行之有效的、不可替代的、非上不可的、国际国外的……工具和手段”。近年来的化工装置如雨后春笋,赚钱使老板们不思安全,防范让位给利润,有隐患也不在意。几次大的安全事故震惊了上上下下,于是安全监督、安全检查等部门非常重视,接连发布若干指导文件,敦促执行,一些管理部门不时地派出专家到化工厂进行安全监督、隐患检查,使得企业迎接检查、整治隐患而忙个不停。不少“专家”和管理人员认为似乎只有上了SIS才能保证安全、心安理得、万无一失,声称近年来危险化工工业的火灾和爆炸事故原因就是没有SIS,没有安全评估。
 
SIS曾几何时成了议论中心,近几年来开过无数讨论、解读、解答、贯彻会议。这确实需要管理人员、技术人员静下心来实事求是、科学客观地动动脑子,以工程师的知识、技术,运用标准规范,排除干扰,做好工程设计,实现上级指导文件防灾减灾的初衷。
"
 
SIS设计到底该怎么做?石油化工、化工工厂该怎么办?一系列相关问题使一些技术人员既明白、又含糊。本文把一些问题、质疑和讨论整理一番,辨析异议。(下期)

 
 
01
到底是单体仪表还是系统?
 
 
SIS这个术语是否包括测量仪表和执行机构?不同的场景和语境有不同的答案。如TRICONEX的设备叫什么?答案是:安全仪表系统,包括检测元件和执行元件吗?答案是:不包括。
这是用词的问题:tank在军事上叫坦克,在炼油厂叫油罐,cock在水管子上叫水龙头,在鸡窝里是公鸡。
 
IEC标准把测量仪表、执行机构+开关阀称为“元件”也说明这两项标准是脱离实际的。把安全控制器称为“逻辑解算器”,一是表示可以采用不同的设备实现,二来也表明SIS的作用是根据预定的程序执行逻辑动作,停止或缓解装置运行,确实不管过程控制的事儿。
 
SIS采用开关信号为主,根据信号变化的逻辑输出开关信号驱动执行机构。
 
SIS有两个含义: 一是实现逻辑控制功能的控制器,有人翻译成“逻辑解算器”;二是包括过程检测器、逻辑控制器和执行机构在内的系统,有人还加上逻辑控制器的软件。
 
SIS是safetyinstrumentationsystem的缩写,但常常指用于安全系统的PLC,如《×××装置安全仪表系统SIS招标技术文件》一定是采购“逻辑解算器”的,多年来已经成为专有名词。
 
IEC标准说SIS是“由测量仪表、逻辑控制器和最终元件等组成”,但在核算SIL等级或响应失效概率PFD(probabilityoffailureondemand)时又多以单体仪表为单位。另外,如果说SIS是“实现安全功能”的系统,就不仅应该包括“测量仪表、逻辑控制器和最终元件”,还应该包括测量管路、电线、电气连接、气动连接等环节,这些环节就不需要“核算”了吗?有的人还提出包括PLC中的软件,软件包括PLC的系统软件(操作系统和程序语言)和工程实现软件(组态或应用程序)。在安全PLC核算的时候是没有包括软件的,是不需要了吗?而工程实现软件的编制不确定性往往是执行安全功能的隐形因素。而软件又怎么验证呢?怎样评估软件的失效率呢?
 
有人延伸安全系统的范围,提出电源系统和机械结构的阀门也需要有SIL等级,这是明显带有盲目、随意行为的。
 
 
02
什么是安全故障?
 
 
安全仪表系统的设置有两个原则:故障安全独立设置
 
IEC 两项标准关于SIS的核心内容之一是实现过程的故障安全、用安全功能实现功能安全,不具备故障安全的过程用不着SIS。
 
火灾或者可燃气体有毒气体泄漏有故障安全状态和手段吗?因为没有手段自动扑灭装置中不可预见的火灾,或者没有手段停止意外大量泄漏的可燃气体或有毒气体!所以不具备故障安全过程。有必要采用SIS吗?着火烧坏了仪表和阀门,不去琢磨火是怎么着起来的,不琢磨怎么避免着火,而是想法儿怎么让仪表和阀门烧不坏。就像家里水管漏水淹了地板和家具,不去修水管,而是琢磨不怕水淹的地板和家具。
 
 
03
SIS独立设置是如何出现的
 
 
关于SIS与BPCS的分开或者说是独立设置的问题既简单又复杂。
 
老外推崇的是工作按导则行事儿,专业分工细致,标准规范指南齐全,只要经过培训就能干活,不过难免记不住,时常也出错。所以老外认为人是最不可靠的,只有自动化设备才是可靠的。中国人认为有了尽职敬业、训练有素的人,什么问题都能解决。
 
正因为欧美的SIS是不要人干预的,是作为人工操作的安全补充手段,才有了需要独立设置的做法,才有了不采用BPCS的做法,避免“人工”这个“共因”失效,解释为独立保护层,也似乎有些勉强,实际上这不是什么新鲜概念。
 
SIS与BPCS分开,独立设置应该到什么程度?作为过程控制的安全冗余,只要能够实现不受影响的故障安全控制即可。
 
按照IEC标准,不能给人机会。SIS是不配备显示操作的人机接口的,也不配备人工干预的停车按钮。SIS的逻辑解算器是按照安全功能配置的,本身不联网。由此可见:“独立设置”是指安全仪表系统本身,而不是延伸设备,更不能随意扩大范围。
 
SIS独立设置是循序渐进的,是相对的,不是绝对的,不可随意延伸。现在资金充裕,有条件把检测仪表、控制器、执行机构都独立设置,当然不错。例如: 有个项目的某测量回路采用“三取二”设置联锁,在控制系统中用3台变送器取平均值做测量值,一下子就用了6台变送器,这下子变送器不愁卖了!
 
 
04
供电的UPS要独立吗?
 
 
SIS独立设置的目的是避免操作人员使用控制系统的时候,对SIS产生人为干预的影响,同时在控制系统外配备1套SIS作为备用的自动停车手段,跟UPS是否独立没有直接关系。何况电源是一级负荷中的特别重要负荷!SIS是故障安全型,即使停电也是安全的!如果一级负荷停电,意味着至少是变电站系统停电,装置就该停了,能够实现装置停车就够了。工程技术人员要熟悉和了解相关规范,领会其中的科学道理,首先要搞清楚: 规范说独立设置指的是SIS和DCS要分别设置,没有说专用UPS!现在有些专家不管三七二十一,不搞清楚SIS的设置用意,不顾企业的实际情况,弄得工厂为难。说得严重点,要不要独立变电站和独立的高压外线?
 
 
05
设不设监视接口?
 
SIS的设置初衷之一是不需要人工干预自动执行防灾减灾动作的,所以,规定了SIS的独立设置和不设人机接口,放任SIS自动行事。包括安全PLC和执行机构都不设人为干预手段。
 
但是,随着石油化工等过程控制的工艺流程发展和对安全联锁的关注,老外也觉得SIS平时看不见,摸不着,只有联锁动作才知道,有点不甘心,操作人员有时也关心SIS是不是正常?于是有的项目就利用PLC的通信方式把一些数据传到有人机接口的DCS上显示,其实也是不符合IEC标准的初衷的。由于通信涉及PLC和DCS两个系统,采用串行接口或联网方式,不时会发生通信故障。这也是“通信”不可靠的由来。
 
倒是中国人没那么多顾虑,给PLC插块通信卡,接台PC机,画几幅图添上变量,取消报警灯屏,实现了高效、可靠、可观测、简洁好用。由于操作站是直接接在PLC的通信卡上,又没有别的任务,所以可靠性非常令人满意。后来又采用变送器代替开关检测,提高了可靠性和可观察性。
 
06
为什么要验证安全系统的功能?
 
 
仪表专业在设计工作中承担了很重要的工作:按照安全专业提交的资料,即为具备SIL等级的控制回路和联锁方案设计配备仪表和PLC,实现所需要的功能。到这一步按理说就应该完成工作了。但是!有人不相信仪表所做的设计和选配的仪表能够满足安全专业提出的安全功能的需要,于是就有了验证。
 
本来按照裁判员不当运动员的说法,应该由提出功能需要的安全专业进行验证,所需要的仪表性能由仪表专业提资料,就像仪表给配管提安装资料一样。可是,国内很多设计单位没有安全专业,有了安全专业也不会或者不愿意做此项工作。于是,验证工作还是由仪表专业来做,还“教”给仪表专业一套验证方法。
 
 
07
安全仪表系统失效率有用吗?
 
 
计算和确定安全仪表系统失效率需要仪表或元件的失效率,要仪表供应商提数据。于是有些进口仪表供应商提交了,有的交不出来就采用某公司整理的通用数据表,声称只适用于国外生产的仪表。难道国外不同公司、不同设计、不同制造的产品就一致吗?如果能用通用数据,还用得着供应商单独提供吗?仪表产品更新换代很快,平均5年到8年就彻底更新一代,有的连上一代产品的影子都没了,有积累失效率的机会和时间吗?国外的老牌仪表生产商采用收集故障仪表样品分析和模拟计算的方式,间接获取可靠性和失效率等数据,可信程度连老外自己都将信将疑。实际应用中,平均无故障时间计算出来为几十年的仪表,不也照样出故障吗?
 
08
为什么和失效概率联系起来?
 
 
IEC标准的HAZOP,LOPA,SIL等方法和评价程度是一种针对工业工艺装置部件的评估方法,用于评估过程运行可能的风险和可以正常运行操作的程度。在确定SIL等级和评估SIS设备是否能够满足安全需要的时候,要有失效率、可靠性、可用性等基础数据,这些数据是需要实验或根据数学模型计算得到的,而且每一种设备、仪表、部件等数据不一样,没有基础数据,评估方法和得到的结果就是无源之水、无本之木,是不符合实际的。这就是这些年来HAZOP安全评估和SIS的问题根源。
 
 
09
SIS和DCS在可靠性上有什么区别?
 
 
IEC的两项标准最初版本是20年前出的,电子器件和设备平均5年更新一代,现在的DCS的可靠性比20年前高出不知道多少倍!即使是20年前的安全PLC,其可靠性也不比DCS高!现在还说DCS的可靠性不如SIS,那就是偏见了
 
虽然SIS的设计考虑到冗余容错和本身的故障安全,但受到高额认证费用的约束,制造商没有更新换代的积极性,反而是DCS每5年更新一代,紧密跟踪并采用现代电子技术和网络技术。
 
 
10
认证有什么作用和商机?
 
 
既然安全仪表功能SIF的PFD的计算那么烦,又那么没谱儿,有没有省事儿的路子呢?认证应运而生,德国的TUV等认证机构在中国大行其道,似乎只要经过认证的仪表那就是绝对安全可靠,是否真有用,无人知晓。
 
确实,IEC标准并没有规定认证的事儿,只给出了验证计算的方法。但是,对于使用者来说,要计算清楚那么多元器件组成的PLC、检测仪表不是一件简单事儿,所以早早就有安全PLC制造商取得认证来实现并证明安全功能符合IEC标准,为使用者提供了方便。
 
用于SIS的检测仪表、执行机构必须经过认证吗?IEC的两项标准倒是有“使用经验法”可以免于失效计算和认证,而自然符合需要之说。
 
近年来认证有蔓延泛滥的趋势,一些制造商和认证机构也看准了这个商机,大肆宣传用于SIS的仪表需要取得“权威机构”的认证,先是从某外国仪表公司的安全认证的变送器开始,继而到安全栅、继电器、电磁阀等,甚至到调节阀。
 
 
11
认证的代价是什么?还有哪些疑惑要解决?
 
如果作为证明性质或者资格性质的认证,收取适当费用,也无可厚非,但安全认证费用远远超出了人们的预期,认证的繁琐程度和时间的拖累也复杂和漫长,尤其是对中国制造的仪表!几乎到了没有认证就寸步难行的地步!
 
根据老外的说法:要把仪表的所有设计资料和生产资料交给老外“验证”。只做形式验证和文档验证,不做也不可能做实验验证。
 
认证不仅需要付出几十甚至几百万元人民币的高昂费用,还要经过几个月甚至几年的漫长时间,难怪仪表制造商哀叹:受煎熬啊!现在甚至连从事SIS相关工作的工程师都要被认证了。其实从事某种工作的人需要经过培训,合格以后具备上岗资格,这属于职业合格证书。对于有些行业或专业是有用的,例如:建造师资格、压力容器设计资格、高级电焊工资格、厨师等级资格等,但不是所有的职业都适用的。安全资格并非仪表专业的技术范围。这几年在仪表圈子里HAZOP培训、SIL培训大行其道,背后是利益的驱使。
 
现在某些认证证书甚至只有2年的有效时间,到期就要再去交费复审。既然取证的根据是没有实验根据的数据,认证的结论与产品实际的可靠性、可用性、安全性又有多少相关呢?既然认证是根据设计和文档,根据定型产品的属性,还有时间限制吗?几年以后设计和产品没有变,为什么还要重复认证呢?


声明:
本文由仪表圈整理编辑,如需转载,请联系圈秘微信:ybren2022全文转载,不得断章取义。
更多技术问题,欢迎加圈秘微信进群,和专家一对一探讨交流!

 
责编:园园
审核:任三多、 甜甜


说点什么