2014年,国家安监总局发布了安监总管三 [2014] 116号 《关于加强化工安全仪表系统管理的指导意见》,2020年初,国务院安全生产委员会印发了《全国安全生产专项整治三年行动计划》,相关附录里再次强调了安全仪表系统的重要性,本文将简单介绍安全仪表系统的功能、特点等,欢迎广大读者朋友提出宝贵意见。 安全仪表系统 SIS的全称是安全仪表系统,它对装置或设备可能发生的危险采取紧急措施,并对继续恶化的状态进行及时响应,使其进入一个预定义的安全停车工况,从而使危险和损失降到最低程度,保证生产设备、环境和人员安全。目前,SIS已经被广泛应用于石化等流程工业领域,是工厂企业自动控制中的重要组成部分。 SIS涉及的一些专业术语 (摘自GB/T50770-2013): 安全仪表系统/safety instrumented system 实现一个或多个安全仪表功能的仪表系统。 过程风险/process risk 因非正常事件引起过程条件改变而产生的风险。 安全生命周期/safety lifecycle 从工程方案设计开始到所有安全仪表功能停止使用的全部时间。 安全仪表功能/safety instrumented function 为了防止、减少危险事件发生或保持过程安全状态,用测量仪表、逻辑控制器、最终元件以及相关软件等实现的安全保护功能或安全控制功能。 安全完整性/safety integrity 在规定的条件和时间内,安全仪表系统完成安全仪表功能的平均概率。 安全完整性等级/safety integrity level 安全功能的等级,安全完整性等级由低到高为SIL1~SIL4。 危险失效/dangerous failure 可能导致安全仪表系统处于潜在危险或丧失功能的失效。 测量仪表/sensor SIS的组成部分,用于测量过程变量的设备。 逻辑控制器/logic solver SIS的组成部分,用于测量过程变量的设备。 最终元件/final element SIS的组成部分,执行逻辑控制器指令或设定的动作,使过程达到安全状态的设备。 基本过程控制系统/basic process control system 相应过程测量以及其他相关设备、其他仪表,控制系统或操作员的输入信号,按过程控制规律、算法、方式,产生输出信号实现过程控制及其相关设备运行的系统。 故障安全/failsafe 安全仪表系统发生故障时,使被控制过程转入预定安全状态。 冗余/redundancy 采用独立执行同一个功能的两个或多个部件或系统,互为备用及切换。 容错/fault tolerant 在出现故障或错误时,功能单元仍继续执行规定功能的能力。 触点/mechanical contact 由到点的金属元件组成的机械式电气器件,在外界因素作用下可以改变接通或断开到点状态。 接点/contact 在外界因素作用下可以改变接通或断开到点状态的电气器件。 SIS的基本原则 SIS被定义为实现一个或多个安全仪表功能的仪表系统。SIS包括测量仪表、逻辑运算器和最终元件、关联软件及部件。目前,仪表保护系统IPS、安全联锁系统SIS(Safety Interlocking System)、紧急停车系统ESD、压力保护系统HIPPS和火气保护系统F&GS等都属于安全仪表系统的范畴。 SIS在生产装置的开车、停车、运行以及维护期间,对人员健康、装置设备及环境提供安全保护。无论是生产装置本身出现的故障危险,还是人为因素导致的危险以及一些不可抗拒因素引发的危险,SIS都应立即做出正确反应并给出相应的逻辑信号,使生产装置安全联锁或停车,阻止危险的发生和事故的扩散,使危害减少到最小。 安全仪表系统应具备高的可靠性、可用性和可维护性。当安全仪表系统本身出现故障时仍能提供安全保护功能。 SIS主要特点 1.一定的安全完整性等级 SIS充分考虑了系统的整体安全生命周期,提出了评估安全完整性等级(SIL)的方法,规范了为实现必要的功能安全所使用的工具与措施。SIS系统的设计与开发过程必须遵循IEC61508,并应通过独立机构(如德国TÜV)的功能安全评估和认证,取得认证证书,才能在工业现场中应用。 2.较高的可用性和可维护性 SIS系统的构成部分应充分考虑到构成单元所能达到的安全仪表功能,其采用的逻辑冗余结构构成形式,以及系统本身的单一故障是否会造成系统的误停车等。同时,还要考虑系统带故障运行时,是否可对故障卡件在线维护,而不需要停整个系统。 3.容错性的多重冗余系统 SIS系统一般采用多重冗余结构以提高系统的硬件故障裕度,单一故障不会导致SIS系统安全功能丧失。如SIS系统主流的三重化结构(TMR):它将三路隔离、并行的控制系统(每路称为一个分电路)和广泛的诊断集成在一个系统中,用三取二表决提供高度完善、无差错,不会中断控制。 4.全面的故障自诊断能力 SIS系统的安全完整性要求还包括避免失效的要求和系统故障控制的要求,同时,构成系统的各个部件均需明确故障诊断措施和失效后的行为。系统整体诊断覆盖率一般高达90%以上。SIS系统的硬件具有高度可靠性,能承受大多数环境应力,如现场电磁干扰等,从而可以较好地应用于各种工业环境。 5.响应速度快 SIS系统的实时性很好,从输入变化到输出变化的响应时间一般在50~100ms,一些小型SIS系统的响应时间更短。 6.具备顺序事件记录功能 为了更好地进行事故分析与事后追忆,SIS一般具有事件顺序记录(SOE)功能,即可按时间顺序记录各个指定输入和输出及状态变量的变化时间,记录精度一般精确到毫秒级。 7.产品的功能安全设计 实现从传感器到执行元件所组成的整个回路的安全性设计,具有输入/输出(I/O)短路、断线等监测功能。 SIS与DCS等过程控制系统的区别 01 DCS用于生产过程的连续测量、常规控制(连续、顺序、间歇等)、操作控制管理,保证生产装置的平稳运行;SIS用于监视生产装置的运行状况,对出现异常工况迅速处理,使危害降到最低,使人员和生产装置处于安全状态。 02 DCS是“动态”系统,始终对过程变量连续进行检测、运算和控制,对生产过程进行动态控制,确保产品的质量和产量;SIS是“静态”系统,正常工况时,始终监视生产装置的运行,系统输出不变,对生产过程不产生影响;非正常工况时,按照预先的设计进行逻辑运算,使生产装置安全联锁或停车。 03 SIS比DCS安全性、可靠性、可用性要求更严格,因此SIS与DCS硬件理论上应独立设置。 SIS的设计原则 当对仪表的安全系统进行设计时,必须遵循以下几条基本原则: 可靠性原则 · 系统的可靠性是指在一定的时间间隔内,发生故障的概率。整个系统的可靠性是由组成系统的各单元可靠性的乘积,任何一个环节可靠性的下降都会导致整个系统可靠性的下降。人们通常对于逻辑控制系统的可靠性十分重视,往往忽视检测元件和执行元件的可靠性,使得整套安全仪表系统可靠性低,达不到降低受控设备风险的要求。可靠性决定系统的安全性。 可用性原则 · 可用性(可用度)是指可维修的产品在规定的条件下使用时,在某时刻正常工作的概率。可用性不影响系统的安全性,但系统的可用性低可能会导致装置或工厂无法进行正常的生产。 而对于安全仪表系统对工艺过程的认知过程,还应当重视系统的可用性,正确地判断过程事故,尽量减少装置的非正常停工,减少开、停工造成的经济损失。 故障安全原则 · 故障安全原则是指,当内部或外部原因使SIS失效时,被保护的对象(装置)应按预定的顺序安全停车,自动转入安全状态。具体体现为: (1)现场开关仪表选用常闭接点,工艺正常时,触点闭合,达到安全极限时触点断开,触发联锁动作; (2)电磁阀采用正常励磁,联锁未动作时,电磁阀线圈带电,联锁动作时断电; (3)送往电气配电室用来开/停电机的接点用中间继电器隔离,其励磁电路应为故障安全型; (4)作为控制装置,“故障安全”意味着当其自身出现故障而不是工艺或设备超过极限工作范围时,至少应该联锁动作。以便按预定的顺序安全停车(这对工艺和设备而言是安全的),进而通过硬件和软件的冗余和容错技术,在过程安全时间内检测到故障,自动执行纠错程序,排除故障。 过程适应原则 · 安全仪表系统的设置必须根据工艺过程的运行规律,为工艺过程在正常运行和非正常运行时服务。正常时安全仪表系统不能影响过程运行,在工艺过程发生危险情况时安全仪表系统要发挥作用,保证工艺装置的安全。这就是系统设计的过程适应原则。 独立设置 · 所谓独立设置原则,是指整个SIS系统应独立于过程控制系统(如DCS),以降低控制功能和安全功能同时失效的概率,使其不依附于过程控制系统就能独立完成自动保护联锁的安全功能。要求独立设置的单元应当有检测元件、执行元件、逻辑运算元件、通讯设备。复杂的SIS应该合理分解为多个子系统,各个子系统应该相对独立,且分组设置后备手动功能。 中间环节最少原则 · SIS的中间环节应该是最少的。一个回路中仪表越多可靠性越差,典型情况是本安回路的应用。因此可尽量采用隔爆型仪表,减少由于安全栅而产生的故障源,减少误停车。 冗余原则 · 针对测量仪表,SIL1级安全仪表功能,可采用单一测量仪表;SIL2级安全仪表功能,宜采用冗余测量仪表;SIL3级安全仪表功能,应采用冗余测量仪表;当要求高安全性时,应采用“或”逻辑结构;当要求高可用性时,应采用“与”逻辑结构;当安全性和可用性均需保障时,应宜采用“三取二”逻辑结构。 针对最终元件,SIL1级安全仪表功能,可采用单一控制阀;SIL2级安全仪表功能,宜采用冗余控制阀;SIL3级安全仪表功能,应采用冗余控制阀;可采用1台调节阀和1台切断阀,也可采用2台切断阀。控制阀的冗余设置并不表示冗余设置就对应安全完整性等级。不能冗余配置控制阀的场合,采用单一控制阀,但配套的电磁阀宜冗余配置。安全仪表系统的电磁阀应优先选用耐高温绝缘线圈,长期带电型,隔爆型。在工艺过程正常运行时,电磁阀应励磁(带电);在工艺过程非正常运行时,电磁阀非励磁(失电)。 针对逻辑控制器,SIL1级安全仪表功能,宜采用冗余逻辑控制器;SIL2级安全仪表功能,应采用冗余逻辑控制器;SIL3级安全仪表功能,必须采用冗余逻辑控制器。 安全仪表系统与基本过程控制系统通信接口应冗余配置, 冗余通信接口应有诊断功能。 SIS系统管理的任务是通过加强专业技术管理,保持SIS系统设备的完好状况,保证安全生产,减少非计划停工,避免重大设备及人身伤亡事故的发生,提高公司整体经济效益。那么日常维护和管理我们应该怎么做呢? SIS联锁保护系统的前期管理是指规划、设计、选型、购置、安装、投运阶段的全部管理工作,是全过程管理的重要部分。为使寿命周期费用最经济、综合效率最高,必须重视前期管理工作。
对设计选型的可靠性、维修性、适用性、经济性、先进性、安全性提出要求。SIS联锁保护系统设计应符合《GB 50770-2013 石油化工安全仪表系统设计规范》。
严格进厂质量验收程序,进口设备应有必备的维修配件。设备管理部应参与SIS联锁保护系统的购置,并负责或参与技术协议的签订工作。 SIS联锁保护系统施工必须按设计要求及《SHT3521-2015石油化工仪表工程施工技术规程》进行。在新、改、扩建工程中负责仪表设备施工的单位必须具有相应的施工资质,具有按设计要求进行施工的能力,具有健全的工程质量保证体系。 设备管理部应负责或参与仪表设备工程项目的竣工验收等方面的工作。竣工验收必须按设计要求及相关规范进行。要做到竣工资料齐全,工程竣工验收资料应包括: (1)工程竣工图(包括装置整套仪表自控设计图纸及竣工图)。 (2)设计修改文件和材料代用文件。 (3)隐蔽工程资料和记录。 (4)SIS联锁保护系统安装及质量检查记录。 (5)电缆绝缘测试记录。 (6)接地电阻测试记录。 (7)仪表风和导压管等扫线、试压、试漏记录。 (8)SIS联锁保护系统和材料的产品质量合格证明。 (9)SIS联锁保护系统校准和试验记录。 (10)回路试验和系统试验记录。 (11)SIS联锁保护系统交接清单。 (12)报警、联锁系统调试记录。 (13)SIS联锁保护系统组态记录工作单。 (14)未完工程项目明细表等。 (15)SIS联锁保护系统说明书。 其中:(1)、(2)、(10)、(15)内容除档案部门外还应交给SIS联锁保护系统维护部门、SIS联锁保护系统管理部门及使用单位。 SIS联锁保护系统投用前,使用单位和/或维护单位应根据设备的特点编制相关规程,开展技术培训、事故预案演练等工作。 1
由于工艺、设备原因需变更SIS联锁保护系统的由生产装置负责办理,由于仪表原因需变更SIS联锁保护系统的由电仪车间负责办理,工艺联锁保护系统,由装置经理负责审核;关键机组等设备的SIS联锁保护系统由设备部主管人员负责审核,主管副总批准,仪表(电仪)专业负责实施。
由于工艺过程原因需临时停运SIS联锁保护系统,必须由工艺装置负责办理,经生产装置主任同意签字,各车间负责SIS联锁系统投切的专职人员负责实施。由于仪表原因需检修,临时停运SIS联锁保护系统,由仪表专业人员办理,经生产装置主任同意签字后方可进行作业。因以上两种原因临时停运的SIS联锁保护系统,必须限期恢复,双方作好备案。
由于工艺过程原因的由工艺装置负责办理,由于仪表原因的由仪表负责办理,仪表专业人员执票作业。生产技术部、工艺装置、设备部存档。
新增SIS联锁保护系统,需经公司设备管理部向电仪车间下达任务书和图纸、资料,由各装置设备部仪表专业负责执行。 在摘除SIS联锁保护前,必须由生产装置工艺人员制定预案并采取相应措施,并经两名及以上仪表作业人员确认,然后摘除联锁。摘除联锁后要检查确认。 仪表专业人员处理SIS联锁保护系统中的问题时,事先必须确定联锁解除方案,采取可靠措施,对程序进行修改、增删,还必须保证不影响DCS、PLC、SIS的正常运行。对于处理问题过程中涉及的检测仪表、开关、继电器、联锁程序、执行器及其附件等,必须有两人以上确认核实,并有专人监护,然后严格按照操作规程进行作业。
SIS联锁保护系统的操作开关、按钮均由车间指定人员操作。 SIS联锁保护系统所用检测元件、逻辑单元、执行元件,必须随装置、机组大检修进行检修、校验。 SIS联锁保护系统仪表、设备及附件等,必须有明显的红色联锁标记;紧急停车按钮、开关,应设防护罩。 根据储备标准和备品配件管理规定,联锁保护系统必须储备足够的备品配件,联锁保护系统的供电系统元器件、一次检测元件、逻辑单元、执行单元仪表等必须按规定的使用周期定期更新。 1
全面检查SIS控制系统硬件的状况,将异常情况做好记录,并列入下次检修项目:
全面检查SIS控制系统软件的状况,将异常情况做好记录,并列入下次检修项目:
运行期间维护项目
检修前,应按SIS控制系统的正常停电程序停运设备,关闭电源,拔下待检修设备电源插头; 机柜检修:(1)机柜除尘,对每个需清扫的模件的机柜和插槽编号,跳线设置作好详细,准确的记录。清扫模件,散热风扇等部件;模件检查完毕,机柜,机架和槽位清扫干净后,按照模件上的机柜和插槽编号将模件逐个装回到相应槽位中,就位必须准确无误,可靠;(2)检查SIS控制系统后备电池,电量不足应及时更换新电池;(3)模件检查内容:SIS控制系统各模件中的电子元器件应无烧痕,破损现象;元件间连接插针应无变形,磨损;对模件安装底板变形的插针进行矫正,插针断裂的底板应进行更换;检修后要求底板固定牢固,插针完整,无变形和断裂;检查SIS控制系统的所有I/O柜及中间柜的通信电缆接头,分离器和分支器等应连接良好,特别是接头内的屏蔽线须固定扎实;恢复系统,检查各I/O模件,回路接线和插件应紧固无松动,各设置开关(DIP开关)和跳线设置正确;(4)确认电缆接线正确后,恢复供电;检查风扇转向正确,各模件指示灯正常,并在显示器上确认SIS控制系统通信正常,无报警和出错信息; 工程师站、操作站检修:(1)工程师站、操作站除尘, 清扫机壳内,外部件及散热风扇。清扫后应清洁,无灰,无污渍,散热风扇转动灵活。(2)接通电源启动后,设备应无异音,异味等异常现象发生,能正常地启动并进入操作系统,自检过程无出错信息,各状态指示灯及界面显示正常;检查散热风扇转动应正常无卡涩,方向正确;显示器画面应清晰,按钮功能正常;鼠标应灵活无滞涩,响应正确;键盘的各键应反应灵敏,响应正确;(3)启动应用系统软件过程应无异常,无出错信息提示;(4)检查各操作员站、工程师站和服务站的用户权限设置,应符合管理和安全要求; 对于有防静电要求的设备,检修时必须做好防静电措施,工作人员必须带好防静电接地腕带,并尽可能不触及电路部分;拆卸的设备应放在防静电板上,吹扫用压缩空气枪应接地; 吹扫用的压缩空气须干燥无水,无油污,压力应控制在0.05MPa左右;清洁用吸尘器须有足够大的功率,以便及时吸走扬起的灰尘;设备清洗须使用专用清洗剂; 网络及接口设备检修:(1)更换故障网线或光缆;检修后通信电缆应无破损,断线,光缆布线应无弯折;网线或光缆应绑扎整齐,固定良好;(2)对交换机、转发器、光端机等网络设备内、外进行清扫、检修,紧固接线;检修后设备外观应清洁无尘、无污渍,各连接线或电缆的连接应正确、无松动、无断线;各接插头完好无损,接触良好;(3)通电后,检查模件指示灯状态或通过系统诊断功能,确认通信模件状态和通信总线系统应工作正常,无异常报警。冗余总线应处于冗作工作状态,交换机、转发器、总线模件等通电后指示均应显示正常。查看每个控制系统,所有I/O通道及其通信指示均应正常; 模件电源、系统电源和机柜电源检修:清扫电源设备和风扇, 检修后设备应清洁无灰,无污渍;根据记录标记插好所有插头并确认正确后上电。 上电检查试验:
操作员站冗余切换试验:(1)对于并行工作的设备,如操作员站等,停用其中一个或一部分设备,应不影响整个计算机控制系统的正常运行;(2)对于冗余切换的设备,当通过停电或停运应用软件等手段使主运行设备停运后,从运行设备应立即切换备用设备运行状态;(3)按同样方法进行反向切换试验;(4)上述试验过程中,除发生与该试验设备相关的故障报警外,系统不得发生出错,死机或其他异常现象,故障诊断显示应正确。 主控制器和模件冗余切换试验:(1)选择下列方法进行主控制器或模件的冗余切换试验:取出主运行的主控制器或模件的保险;将主运行的主控制器或模件拔出(模件可带电插拔时)。按同样方法进行反向切换试验;(2)试验过程中,系统应能无扰动切换到备用控制器或模件运行,故障诊断显示应正确,除模件故障和冗余失去等相关报警外,系统应无任何异常发生。 通信总线冗余切换试验:(1)投切通信网络上任意节点的设备,总线通信应正常; (2)在通信网络任意节点上轮流切断节点设备与总线间的某一通信连接线,系统应无出错、死机或其他异常现象;(3)选择下列方法,进行通信总线冗余切换试验:切断主运行总线模件的电源;拔出主运行总线的插头; 断开主运行总线电缆或终端匹配器;(4)同样方法进行反向切换试验;(5)试验过程中,通信总线应自动切换至冗余总线运行;指示灯指示和系统工作应正常;检查系统数据不得丢失、通信不得中断、故障报警正确、诊断画面显示应与试验实际相符。 模件、系统或机柜供电冗余切换试验:(1)模件、控制系统及机柜的冗余供电系统,应逐一进行冗余切换试验:切断工作电源回路,检查备用供电须自动投入;对于冗余供电系统,切断任一路供电;按同样方法进行反向切换试验;(2)上述试验过程中,控制系统应工作正常,中间数据及累计数据不得丢失,故障诊断显示应正确,系统不得发生出错、死机或其他异常现象。
模拟量输入(AI)通道测试:用相应的标准信号源,在测点相应的端子上分别输入量程的0、25%、50%、75%、100%信号,在操作员站或工程师站读取该测点的显示值,确保测量设备及测量回路能正常工作。 脉冲量输入(PI)信号测试: 用标准频率信号源,在测点相应的端子上分别输入量程的10%,25%,50%,75%,100%信号,在操作员站或工程师站读取该测点的显示值,确保测量设备及测量回路能正常工作。 模拟量输出(AO)信号测试:通过操作员站(或工程师站,或手操器),分别按量程的0,25%,50%,75%,100%设置各点的输出值,确保自保设备动作正常。 开关量输入(DI)信号测试:通过短接/断开无源接点或加入/去除电平信号分别改变各输入点的状态,在操作员站或工程师站(手操器)上检查各输入点的状态变化,确保正确无误。 开关量输出(DO)信号测试 系统组态和在线下载功能测试: (1)检查工程师站权限设置应正确,以工程师级别登录工程师站。 (2)根据工艺要求更改SIS控制系统逻辑组态,在条件许可情况下进行编译生成,组态,在线,下装,SOE等功能正常。 (3)检查操作员站权限设置应正确,以操作员级别登录操作员站。 (4)根据逻辑变更变更监控画面,画面编辑软件使用正常,检查各流程画面、参数监视画面等应无异常。报警,历史趋势功能正常。 1 设备管理部必须定期组织仪表、电气、机械等专业人员会同生产装置认真复查、审定各装置SIS联锁保护系统的相关技术资料,建立健全SIS联锁保护系统的技术档案。
|
|