当初美誉华等公司在普及宣传紧急停车系统(即现在的SIS)概念和技术的时候,对于安全PLC的设置和作用曾经有过一些浅显又不准确的比喻,例如:平时是不动作的,静止的,像狗熊冬眠一样,但是工程知识就应该用知识的语言讲课、论述,不能用简单又不准确的比喻了。安监总管三[2014]116号文的理解,几年来,大大小小研讨会、解读会开了无数,仍有一些技术人员和专家不得其解。
起初的SIS设置是作为过程控制系统的辅助停车手段的,意在过程控制系统控制失灵或操作人员失误的情况下自动停装置或将工艺过程按程序转到安全操作过程或超驰控制过程。采用的检测仪表是开关类的“检测元件”,IEC标准里叫做“传感器”,停车逻辑控制的PLC叫“逻辑解算器”,开关阀等叫“执行元件”。确实,工艺过程正常的时候这些设备是不会动作的,但是时时刻刻在监测过程变量,随时准备动作的,平时不动作可不是“冬眠”了,绝不是可以用静止、“冬眠”来误导人的。
11、安全完整性等级是安全的保证吗?
装置中安全联锁的安全完整性等级(SIL)是否越高越好?
控制回路的SIL等级仅仅表征控制失效后可能产生的危险和可能造成的灾害损失,不是保证安全的指标。对于一个装置来说,具有的SIL等级越低越好,数量越少越好,说明安全运行的风险小、控制失效后的危险或发生灾害时的损失小。IEC标准中SIL等级的划分采用等比幂级数,没有实践与风险科学根据,更没有工艺故障概率分析。
举个例子:SIL等级的平均失效概率数值是怎么来的?与工艺过程有关系吗?与电气、电子和可编程设备的故障率有关系吗?机械、电气、电子、集成电路等不同的设备一概采用同一种失效概率评估和确定,有科学依据和实验验证吗?也难怪SIL认证仅仅是文件和资料的认证,而没有试验检验。
12、安全仪表系统是如何构成的?
SIS的设置是生产安全的需要,也与欧美的操作方式有关。欧美的操作人员是不管防灾减灾的,不处理非正常工艺状态,所以,DCS之外的事情就设置SIS,用来在异常情况下停止装置运行,才有了采用检测元件、PLC和开关阀组成的SIS。没有人机接口,不需要操作工干预,没有模拟输出和调节阀。其实是和DCS一样,SIS每时每刻都在工作的,差别仅在于不到危险状态执行机构不动作,一旦动作就停装置。
IEC61508和IEC61511根据外国的某种可靠性技术和自动停车的需要,做了理论上的科普,形成了技术标准,而不是工程标准。而国内石化化工行业工程技术人员误将这两项标准当做工程标准,才有了“剪不断,理还乱”的现实。
>>本文选自《石油化工自动化》期刊2021年第5期增刊
