在流程操作的關鍵時刻旁路你的 SIS是"好的工程實踐"嗎?
雖然大多數生產裝置采納『ANSI/ISA 84.00.01-2004 (IEC 61511) 和安全生命周期(SLC)』作為遵守監(jiān)管規(guī)范(如OSHA 1910.119)的方法,然而確有一些具體的事例,其中很多操作偏離了標準。在停車,開車和流程過渡階段,有設計充分的安全儀表 (SIF)的流程,依據編制完好的安全規(guī)范要求 (SRS)驗證過,通常被閑置了,雖然是短暫地。實際取而代之的是一個操作人員,經理和專業(yè)人員的團隊。旁路、抑制,或屏蔽在這些工廠狀況是司空見慣的做法。這些情況下,安全儀表系統 (SIS) 暫時被緊密監(jiān)視流程的人所取代了。
為什么會這樣,它是個好主意嗎?實踐中這樣操作所隱含的假定是什么?
功能性安全的概念已在流程工業(yè)中廣泛采用,并作為處理過程風險及控制安全操作的一種方法。特別是,S84.00.01-2004 (IEC61511mod.)標準已成為公認的基本定義,即如何在流程工業(yè)中執(zhí)行SLC概念和設計SISs。然而,它的應用被局限于穩(wěn)態(tài)操作的保護功能,很少應用于順序控制,例如開車、停車或動態(tài)過渡階段。順序操作幾乎總是依靠人工程序和操作人員的判斷力。
在流程工業(yè)開車、停車或動態(tài)過渡階段一直被認為是最危險的操作階段。如果是這樣,在這期間安全系統被暫停其背后的原因是什么,這些原因的推理正當嗎?此外,進步的技術有沒有提供新的方式來解決這些關于順序控制的假定?
裝備了一整套穩(wěn)態(tài)工況和一系列過程約束條件,SIS設計目的是提供一個位于基本過程控制系統 (BPCS)和操作團隊之上的保護層。雖然旨在保護穩(wěn)定狀態(tài)下的流程,但進入穩(wěn)態(tài)通常涉及順序控制。在工廠的條件下,旁路、抑制,或屏蔽是常見的做法, 在這些情況下 SIS 被暫時中止了。
為了理解使用安全系統受限背后的原因,我們首先要了解執(zhí)行順序控制都包括什么。順序控制具有三個特點︰
•必須考慮時間相關性
• 變量檻值或界限的變化性
• 聯鎖變化或抑制或旁路的需求。
有五個關鍵的假定用于解釋,說明在流程過渡過程中暫停SIFs的合理性︰
1. 相較于穩(wěn)態(tài)的操作,開車、停車或流程過渡不是頻繁的操作,并且是短期的。因此,SIFs可以暫停,通過手動操作,按照書面的程序,在管理人員的監(jiān)督下進行開車。
2. 不同流程之間缺乏相似性。不可能做到標準化,很難找出最佳做法。因此,在特定的的條件下進行手動操作似乎可以接受。
3. 過渡操作和穩(wěn)態(tài)操作之間缺乏相似性。安全系統是設計操作在穩(wěn)態(tài)條件下,而大多數操作時間是穩(wěn)態(tài)。SIS 設計者將不得不創(chuàng)建完全新的和相互沖突的SIS來應對過渡流程。
4. 相對于穩(wěn)態(tài)運行,過渡流程的操作更受操作的主觀性和規(guī)定程序的影響,這揭示了一個問題︰聯鎖應該旁路多長時間?因此,對于自動過渡流程需要在開發(fā)過程中提供更多操作層面的信息。
5. 因為過渡操作是順序的、動態(tài)的,過程步驟的時間和聯鎖的變化是至關重要的。沒有具體的操作知識和足夠(正確)的仿真操作,這些都難以檢驗和驗證。
雖然這些假定可能乍看起來似乎有效,也是合理的,讓我們更仔細地逐項審視,根據基本的過程安全概念證明其實不然。
1. 流程的過渡很少而且持續(xù)時間短
過渡流程對于流程操作往往是變化最大最多的時刻。參數可以變化明顯,基本過程控制系統(BPCS)可能沒有能力或設計來去應對這種流程變化。把它們都交給操作人員進行手動操作,這是危險的時刻,因為還有大量的其它事情需要操作人員監(jiān)測和執(zhí)行。過渡過程的復雜性(計時,限值變化)需要操作人員的充分關注。在這些重點關注之上,要求他們承擔額外的安全保護層會增加風險級別,是危險的。
人為因素視為對‘風險減低’要素其可靠性的嚴重限制。一個保護層必須是可靠和可審核的。這些特征看起來都不適用于旁路情況。在流程過渡期間參數變化迅速,保護限值也要變化。依賴于不可靠的保護層,這不是好的時候。
2. 不同工藝流程之間缺乏相似性
工藝流程之間缺乏相似性,確實增加使用SISs的難度,但它不應免除確保工藝流程在所有的時間安全操作的責任。如果它難以實現自動化,我們?yōu)槭裁磿诖僮魅藛T在復雜過渡操作中,很容易做出正確的決定?事實上,流程之間缺乏相似性是提前設計過渡程序的理由,以確保安全系統仍然有效。
同時,不同流程的控制策略有相似之處,我們將展示是有方法以一致的方式應對它們。
3. 過渡流程和穩(wěn)態(tài)操作之間缺乏相似性。
在許多流程中大部分時間都是穩(wěn)態(tài)操作,更危險的時期是過渡階段,這時參數迅速改變,BPCS的設計不是為了處理這個工況。例如,在流程過渡期間整定的控制器參數不能滿足控制回路的需要。我們真正要質疑的是,因為很難使用SIS來處理過渡過程,實踐中讓操作人員去做。例外的是一些適用嚴格規(guī)范標準的應用,例如 NFPA 85 和 86。
如果我們正確做我們的工作,花費時間編寫程序和訓練操作人員正確使用少用的開車程序,不如更好地用在正確設計SIS 處理過渡流程。適當設計的 SIS 應始終勝過承擔壓力的操作人員。
我們稍后將表明通過編程技術的發(fā)展,簡化設計和驗證是可能的。
4. 相對于穩(wěn)態(tài)運行,過渡流程的操作更受操作的主觀性和規(guī)定程序的影響。
又一次,我們以"困難"為借口,放棄了安全。現實中,為過渡例程寫操作規(guī)程和寫自動化的SIS程序需要同量的操作層面的投入。從操作層面獲得適當投入有兩個實際困難。
首先是項目各步驟的順序。在軟件設計第一階段很難獲得操作層面的投入,但在寫操作規(guī)程時不困難。為了正確設計,操作人員必須參與整個項目過程。
第二是在操作團隊和軟件設計團隊之間缺乏溝通的工具。流程操作的需求翻譯成可用的SIS代碼不是容易的。
5. 由于過渡是連續(xù)的、動態(tài)的,流程步驟的時間和聯鎖的更改是關鍵的。
流程的動態(tài)特性正是應該實現自動化的主要原因。它需要流程和操作人員參與的具有魯棒性的仿真程序。
但是,我們把這樣一個過渡操作交給書面規(guī)程的做法降低了獨立保護層的可靠性。既然用手動規(guī)程來模擬是很困難的,使用適當的仿真工具實現自動化是更好的答案。
充分定義并實現順序控制自動化需要兩件事情︰
· 全面的流程和操作的知識
· 一套工具來處理動態(tài)安全邏輯
在設計 SISs 的過程中,操作管理團隊通常在早期階段參與危害分析(PHA)以及設計審查以確保最終設計方案滿足操作能力。然后交付完整的單元給操作人員運行。因此,大量的設計數據是基于通常處于穩(wěn)態(tài)的過程信息。要在關鍵的工藝流程過渡期間實現安全功能自動化,在軟件設計階段除了基本過程數據操作人員必須提供足夠的投入,信息。
這很難得到操作人員的持續(xù)關注、重視。此外,操作團隊和軟件設計團隊來自不同的背景,使用不同術語,使設計團隊針對需求進行有效溝通更難。任何經歷了與操作團隊一起設計審查的人,折騰過梯形邏輯圖的堆棧,將了解所面臨的挑戰(zhàn)。
然而,如果安全保護在流程過渡期間保持不變,理解操作人員沿用的程序,理解現實中預期的實際操作是什么就是至關重要。如果不以"合理"的方式使用安全保護,那么在實際操作過程中它們可能就會被旁路掉。
因此,第一步是要找到操作和工程人員之間溝通的共同語言。
表示過程停車邏輯的傳統方法是使用原因和結果圖(Cause-and-Effect)。原因和結果矩陣最初源自海上平臺標準API RP14 C中的安全圖表,普遍用于工藝安全行業(yè),作為安全需求的文檔。
在原因和結果圖中,在左側列出一組過程的偏差或原因,在列頂部表示一組過程的響應或結果。矩陣中的交叉單元格定義原因和結果之間的關系。
