本文内容来自:
中石油华东设计院有限公司副总工程师林洪俊
先生
,
于“
2024全国石油化工数字化(储运)罐区大会暨第六届全国石油化工罐区测量控制与安全管理技术交流大会
”上发表的报告。
经燕化工平台作为此次大会官方合作媒体,享有会议资料独家分享权,如需转载请注明出处,如未经许可或未注明出处,将追究法律责任!
论坛现场影像
罐区,本来默默无闻,近几年却成了处处露脸的“明星”,尤其在安全领域,罐区似乎成了危险源的代名词。罐区实际安全表现也确实不优。因此,罐区安全要求一个接一个出台,安全紧箍咒一道加一道,一道比一道紧。但争议也一直争议不断。从而也使罐区话题热度持续保持高位。罐区大会开到第六届了,人数一直不少,报告一直不少,说明问题一直不少,都想来切磋、取经。
今天,我挑几个热度较高的安全控制问题,汇报下看法,供批评指正,换取正经。
3. 共用原则
不同罐区、罐区工艺装置
的安全仪表系统逻辑控制器之间可独立设置,
也可
共用
。
应根据生产
风险控制
需求、
信息安全
防护需求、装置
开停工
计划需求、
系统检
维修管理
需求、控制
点数量
等因素确定是否独立。
根据需求确定控制网络共用、控制器间共用、I/O卡共用。
基本策略
:
根据生产
风险控制
需求,确定共用原则;
根据
信息安全
防护
需求,确定控制网络原则;
根据
开停工计划
、控制
点数量
,确定控制器共用;
根据检
维修管理
需求,确
定I/O卡共用。
二. 安全完整等级需求为SIL1时,
能否只用DCS?
DCS不是按照按照安全仪表系统的要求进行产品设计的;
DCS不是按照安全仪表系统的要求进行产品制造的;
DCS不是按照安全仪表系统的要求进行工程设计的;
DCS不是按照安全仪表系统的要求进行工程集成的;
DCS不是按照安全仪表系统的要求进行运行维护的;
硬件、软件、系统性能力都没有安全信任度,能担当SIS大任吗?
你能让一个好厨子作你的救命医生吗?
SILa、SIL0的安全功能可以在DCS内实现。
当然,SILa、SIL0的安全功能也可以在SIS内实现。
三. 安全完整等级需求为SIL1时,
能否只用SIS而不用DCS?
安全保护的原则是多个保护层组合。
单个保护层风险高。
SIS达到某安全等级SIL,正面说是安全概率达到了一定的水平,反面
说
只是风险漏洞大小达到了容许值而已。
SIS不是安全铁板一块,而只是
挡险的筛子。
GB/T 50770-2013《石油化工安全仪表系统设计规范》:
5.0.10 基本过程控制系统不应介入安全仪表系统的运行或逻辑运算。
受此影响,许多人、许多地区认为DCS不能控制SIS的控制阀、机泵,包括
DCS输出信号不能接入SIS控制器去控制控制阀、机泵,不能直接去控制控制
阀、机泵。
GB/T 50770-2013(2024年修订):
5.0.10 基本过程控制系统不应执行SIL1、SIL2、SIL3级的安全仪表功能。
不影响安全性、可用性,DCS控制SIS的控制阀、机泵,有啥不可以?
共用控制器,抵御不同风险,可以;抵御同一风险,则需要提
高控制器的安全性等级,且不推荐。
GB/T 50770-2013《石油化工安全仪表系统设计规范》:
5.0.9 安全仪表系统不应介入或取代基本过程控制系统的工作。
GB/T 50770-2013(2024年修订):
5.0.9 当安全仪表系统与基本过程控制系统或其他控制系统有共用设备
时,安全仪表系统应具有优先权,基本过程控制系统或其他控制系统的
失效或指令不应影响安全仪表系统的功能安全,不应降低安全仪表功能
的目标安全完整性等级。
不影响安全性、可用性,SI
S控制DCS的控制阀、机泵,有啥不可以?
想不影响,需要满足条件:
六.如何实现安监总局40号令、20条判则关于设置
独立SIS的要求?
安监总局2011年40号令,2017年20条判则:
涉及毒性气体、液化气体、剧毒液体的一二级重大危险源,应设
置
独立的安全仪表系统
。
这里的“独立”,与谁独立?
有的人,有的地区,认定为跟谁都独立,包括跟同罐区的DCS独
立,跟同罐区其它用途的SIS独立,必须是孤独绝情的侠客。
观点肯定是错误的。不需要去找领导核实。只需要从SIS的用途去理解
——客服更高的风险,够强救性;只需要从红头文件的背景、目的去理解——面对混沌初开的局面,对已透明的风险给出肯定需要使用的措施。
时至今日,对于独立,不要过度敏感,不要过度解读,不要制造神秘。
大道至简。所谓独立,就是与DCS独立。
汲取教训:搬文件,引规范,玩套词,弄文字,极端主义不可取,文字
之狱害死人。
原因:操作行为没有失效率数据,SIL验证时没法验证。
例如:
为了应对储罐液位、储罐压力等参数之外的安全联锁,如火灾;
为了在储罐液位、储罐压力检测仪表维修时,失效时,不能实现
自动安全联锁功能。
因为操作行为没有失效率数据其功能就被彻底枪毙了?
那样,几乎所有的失效率数据不不可能取得。
所谓的失效率都是在一定规定条件下,对有限样本的统计数据。不存
在绝对准确值。硬件是这样,软件是这样,行为也是这样(SC)。这是安
全仪表系统的基本原则。
因此,对于有操作规程、有演练制度等保证措施,人工操作紧急停车
按钮算安全仪表功能。否则不算。
至于人工操作紧急停车按钮的失效率根据你企业的保证程度确定。
本不应该成为问题,应根据风险评估确定即可。
问题出在标准规范上。有的有要求,有的无要求,有要求还不一样。
SH/T 3007—2014,石化罐区设计,宜联锁停泵。
SH/T 3184—2017,石化罐区自动化,应联锁停泵,关阀。
SH/T 50074—2014,石油库设计,应联锁停泵,关阀。
联锁停车是双刃剑,正确联锁,可保证消除安全隐患的可靠性;误联
锁,可伤害连续生产的可用性。而这两者都客观存在。
储罐,既有安全需求,作为下游装置进料,对可用性极又其敏感,对
于低低液位联锁不可简单处置。必须根据具体风险确定是否需要联锁,包括罐的功能,罐的类型,泵的类型,工艺流程,控制方案,操作规程等。能不联锁则不联锁。
九.罐区SIS逻辑控制器是否
必须采用
安全PLC?
问题由来:
罐区需要SIS。
但是,I/O点数量很少。
SIS控制器都选用安全PLC。
但是,价格太高。心痛!
这不是厂商心黑,而是因为咱马小。大马拉小车,价格岂能不贵。
对于逻辑控制,继电器也可以胜任。继电器价格低到不当回事了。
但是,专家A说了,继电器不行,身份太低,哪能充当SIS这么高大上
的角色!它有SIL等级吗?沾不上边!
结论:专家的话错了,继电器有SIL等级。并且,GB/T 50770专门说
了SIS逻辑控制器可以采用继电器。
但是,好景不长,专家B来说了,你不能用继电器,不合规,改!
企业有依据,自然不服,自信地堆笑请教专家:为啥不能用继电器?
不合啥规?
专家冷笑:你只知其一,不知其二。SIS需要自诊断功能,自报警功
能,自记录功能,继电器有吗?
企业哑口无言了。心中只感到悟空能耐再大也跳不出玉来佛的掌心。
结论:专家的话错了,自诊断、自报警是PLC安全性达标的条件;记
录是可选的功能,不是安全功能。
继电器本身安全性已达标,及格了。
