朱东利
(南京聚高工程技术有限公司,江苏 南京 210000)
GB/T 50770—2013《石油化工安全仪表系统设计规范》[1]3.1.3条中,把安全仪表系统(SIS)的全生命周期划分为工程设计、调试、操作维护三大部分。操作维护阶段占据了SIS全生命周期中大部分时间,因SIS平时处于静默状态,当需要它动作时若拒动作,则无法将装置带到安全状态。保证SIS能够持续保持功能安全完整性,是操作维护阶段重点工作之一,故在文献[1]中3.4.4条要求,“功能测试间隔应按安全仪表系统的技术要求确定,并应按测试程序进行功能测试”[1]。
根据原国家安监总局发布的《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》(安监总管三〔2014〕116号)要求,“化工企业要编制安全仪表系统操作维护计划和规程;要按照符合安全完整性要求的检验测试周期,对安全仪表功能进行定期全面检验测试,并详细记录测试过程和结果”[2]。
IEC 61511.1: 2016《过程工业领域安全仪表系统的功能安全 第1部分: 框架、定义、系统、硬件和软件要求》(国内等同规范GB/T 21109.1)中,对SIS周期性测试要求为[3]:
1)测试范围。应测试包括传感器、逻辑控制器和执行元件在内的整个SIS,这和分散控制系统(DCS)点检是不同的。目前DCS厂家点检的对象是机柜内的硬件和上位机的软件,现场仪表、阀门及整个逻辑是由工厂维护人员测试。在做SIS周期性测试时,若测试方案依旧是针对控制系统的硬件和软件,是不全面的。相比于冗余容错配置、运行环境良好的SIS机柜内硬件,现场的仪表、控制阀受本身质量、使用环境、维护水平的影响,发生失效的概率更大,故应该测试完整的安全仪表功能(SIF)回路。
2)测试周期。文献[3]中16.3.1.3条规定,“检验测试周期应该符合安全要求规格书(SRS)的要求;并与平均失效概率PFDavg计算时所采用的测试间隔时间一致”,“SIS的不同部分要求不同的测试间隔时间,例如逻辑控制器的测试间隔时间与传感器或执行元件的不同”。
故测试周期可以从SRS报告或者安全完整性等级(SIL)验证报告上获取,一般等同于装置的检修周期,常见有1a、2a或4a等。因现场仪表或执行元件的失效概率相对较高,故可缩短其测试周期来降低PFDavg;相反逻辑控制器因本身冗余设计且失效概率低,从PFDavg计算的角度看,适当地延长测试周期,也可以通过计算。但在实际测试过程中,若现场条件允许,建议测试整个SIF回路,而不是仅测试其中的某一部分。
在应急管理部2022年2月颁布的《危险化学品生产使用企业老旧装置安全风险评估指南(试行)》中要求,“基本过程控制系统控制器、输入/输出卡件、系统配件等的检修周期,原则上随装置停工大修同步进行,且应不超过6a,应保存控制系统逻辑控制器、安全卡件及其他附件的点检记录”。部分企业依照上述条文,要求每6a进行一次SIS周期性测试是不可取的,因为在一些企业可能仪表、控制阀的有效使用寿命都不足6a,应该依据SRS报告或者SIL验证报告上对测试间隔的要求进行测试。
当然,测试周期也不是一成不变的。文献[3]中16.3.1.5条规定,“应以某些定期的间隔(由用户确定),根据各种因素,包括: 历史测试数据、工厂经验、硬件降级和软件可靠性等,重新评价测试频率等”。
3)测试人员。文献[3]中要求编制SIS的操作、维护计划和规程,维护人员应受到有效的培训。目前国内无相关文件对测试单位和人员的资质提出要求,按文献[3]中16.2.8条的理解,掌握如何使得SIS(硬件和软件)的功能特性能维持其目标完整性的测试人员,无论是来自系统厂家、工程公司、企业等,都可以根据测试计划和规程实施SIS周期性测试。
4)测试内容。文献[3]中16.2.11条规定,“应编写每个SIF的书面检验测试规程,以便发现诊断未检测到的危险失效。该类书面测试规程应描述需要执行的每个步骤并应包括: 每个传感器和执行元件的正确操作,正确的逻辑动作,正确的报警和指示”。
5)测试成果。文献[3]中16.3.3条对检验和测试的文档做出要求,至少要记录检验和测试的说明、日期、人员、被测系统的序列号或位号(如回路号、设备号等)、检验和测试的结论。
ISA 84.00.03: 2019《安全仪表系统SIS的自动化资产完整性》[4]中介绍了SIS的预测性维护与检验、测试的方法。
相比于“不坏不修”的被动式维护,预防性维护是按照固定的时间和程序实施维修或更换的主动式维护方法,如定期地更换控制器内的电池、根据维护经验定期更换传感器、控制阀电器元件等。
变送器类产品可以直观地在SIS和DCS画面上显示数值,可以对比分别进入DCS和SIS的2个独立的变送器的数值,也可以根据工艺判断设备是否故障。大型工厂可以设置智能设备管理系统(AMS),通过HART协议远程监控智能变送器,智能变送器通过内部诊断电路将信息发送给AMS,维护人员可提前进行维护。但智能变送器并不能检测出所有故障,剩余的未检测到的故障需通过离线检验、测试判断。
SIS的切断阀平时处于静止状态,当SIS联锁时可能会出现阀门内漏、阀门卡涩、阀门无法开(或关)到位的情况。有的企业为SIS切断阀设置了部分行程测试(PVST)实现在线测试,但这只能测试供电回路及元器件的完整性,不能完整地检测阀内件是否有故障,如内漏、开关不到位等,且因投资较多并担心部分行程测试时会影响生产,PVST并未被广泛应用。对于制造商有定期更换盘根要求的,则需根据制造商的建议进行预测性维护。尽管SH/T 3104—2013《石油化工仪表安装设计规范》中规定,用于紧急停车功能的切断阀可不安装旁路[5],但对于检修周期长的连续生产装置SIS阀门,设置旁路更便于切断阀在线测试和检修,但需制定和有效执行SIS切断阀旁路管理规程。
开关信号(DI)的现场仪表是故障率较高的,如急停按钮、开关量输出的音叉开关和压力开关等,且无法像变送器类仪表能够直观地看到数值,该类型的仪表不具备预测性维护的功能。故SH/T 3005—2016《石油化工自动化仪表选型设计规范》中规定,“SIS 的输入信号源应首选变送器。当要求选择开关型仪表时,其接点宜采用双刀双掷(DPDT) 干接点型或NAMUR 型。如果开关接点不支持DPDT接点,应选用具有2 个SPDT 接点的仪表”[6]。在SIS离线检验、测试时,输出开关量信号的仪表是测试重点之一。
当工厂停电时不间断电源(UPS)若切换失效,如某些故障位置设计成FO的高压放空阀,打开后可能会造成生产事故。对于大型UPS需实时监控其状态,并将故障信号送至DCS报警,同时可为SIS设计双UPS供电的方案,提高供电可靠性。人员需定期对UPS进行巡检和维护,并根据厂家推荐和维护经验,定期更换UPS蓄电池或主机。
根据文献[3]和文献[4],结合实际情况,可制定如下检验和测试内容。
通过采用温湿度计、电磁波辐射检测仪等检验工具,参照SH/T 3006—2012《石油化工控制室设计规范》所要求的合格标准[7],检验控制室和机柜间的温度、湿度、空调运行情况、环境腐蚀情况、电磁干扰、振动情况、门窗孔洞封堵情况、防静电地板完好性等内容。
保持控制室和机柜间良好的环境可以减少硬件的失效概率,在实际应用中,因近年来改造控制室增加拼接大屏幕,部分企业空调风量不足,导致控制室温度较高,出现平时关闭拼接大屏幕,有检查时再打开的情况;同样部分企业因自动化升级机柜间内的UPS数量逐步增多但未设置独立的UPS间,机柜间的温度、电磁辐射的数值较高。有些项目现场检查要求将机柜底部进线处用防爆胶泥或防火胶泥封堵,但采用阻燃电缆后堵塞机柜底部进线处意义不大,且不便于检维修。
使用经过校验并在有效期内的万用表、示波器、手持热成像仪等检验测试工具,参照SH/T 3082—2019《石油化工仪表供电设计规范》所要求的合格标准[8],记录各UPS的品牌、型号、屏幕显示状态、使用年限等,查看UPS维修记录,建议更换超期服役或故障频发的UPS;UPS放电测试、切换测试、输出电能质量检验,进机柜内的市电电能质量检验,直流电源模块输出电能质量检验,直流电源模块冗余测试;控制器后备电池检验;查看配电回路元器件标识完好性;查看电器元件发热情况。部分供电检验、测试记录(节选)见表1所列。
表1 供电检验与测试记录(节选)
UPS的蓄电池需定期更换,具体时间根据产品的使用说明和使用维护经验。有些品牌的SIS控制器后备电池需定期更换,有些品牌则未对此作出要求。竣工图缺失或竣工图与实际接线不一致是普遍存在的问题,因不断的升级改造,未能及时更新电器元件标识、电缆线号、机柜内部图纸,增加了检维修的难度。
使用接地电阻测试仪,参照SH/T 3081—2019《石油化工仪表接地设计规范》要求的合格标准[9],检验机柜的工作接地、保护接地电阻值,操作台、UPS的保护接地电阻值,检查接地线完好性。
使用吸尘器、防静电毛刷等工具,清理机柜、操作台、电脑、滤网、风扇等上的灰尘。
灰尘容易产生静电,增加设备故障率。有的控制系统厂家建议定期更换风扇和滤网,但在实际应用中,机柜处于良好的运行环境中,即使风扇和滤网损坏短时间内并不会引起故障,故大部分企业还是“不坏不修”。
使用网络测试仪,查看控制器、IO卡件、安全栅等指示灯状态,是否有故障提示;记录控制器、IO卡件、交换机、电源模块等的型号、版本号,若之前测试报告已经记录过,可直接引用,记录各硬件使用年限;对网络通信、控制器和IO模块进行冗余测试;查看柜内接线标识完整性;检验接线端子是否松动;检测计算机性能。
记录硬件的品牌、型号、版本号等是为了便于维修更换;有些厂家的IO卡件是用一个外壳内部封装了多个卡件实现冗余的,对于这样的配置,IO模块冗余测试不方便。安全型逻辑控制器应遵循SIS全生命周期中的退役流程,《危险化学品生产使用企业老旧装置安全风险评估指南(试行)》中要求,“不存在安全仪表系统在役运行15 a以上,且超过备件供应期限”,若已超期服役,建议更换;若计算机性能下降需要更换时,需备份软件数据以便恢复。
SIS软件检验过程的主要工作内容包括: 查看软件操作、授权、报警功能、记录功能、通信功能是否正常,人员权限分配是否合理;通过诊断软件查看控制器负荷、网络负荷、硬件运行情况;检验SIS和DCS的时钟同步;备份软件数据。
部分SIS软件检验记录(节选)见表2所列。
表2 SIS软件检验记录(节选)
在测试过程中,可把相应的画面截图,做为SIS周期性测试报告的附件。一些企业SIS是后增设的,SIS和DCS未能实现时钟同步。有的测试方案中会增加电脑杀毒,需根据不同品牌的SIS上位机要求而定,杀毒软件可能会导致软件数据丢失,若要运行杀毒软件,需提前做好软件数据备份。
使用经过校验并在有效期内的高精度信号发生器或集成的工具进行测试,如浙江中控的TCS-900周期性检验测试系统,能够高效率地测试卡件精度、响应速度等。对AI卡件各通道打点测试,至少要包括量程的5%,50%,95%这三个点[6],测试卡件精度。
AI卡件是现场测量仪表信号传输转换中的一个环节,相比于现场仪表的工况,运行环境良好、高可靠性的冗余卡件故障率会低得多,因此对投入运行时间不长的SIS,测试方案中不建议把AI卡件通道精度的测试当做重中之重,更多的侧重于整个SIF回路的功能完整性。但随着安全型逻辑控制器服役时间增加,其本身的失效概率也会提高,此时需加强对控制器、I/O卡件等硬件的测试。整体而言,安全型逻辑控制器的测试周期,和汽车的年检逻辑类似,前几年免检,随着使用年限增长,检验的频率也越高。
使用经过校验并在有效期内的高精度干式温度校验炉、压力标定装置,HART手操器、绝缘电阻表等工具,参照《石油化工设备维护检修规程第七册 仪表》中要求的合格标准[10],记录设备使用年限,查看维护记录;目测检查安装状况和仪表外观,如从外观看是否有腐蚀、损伤,防爆密封接头是否完整,表头显示是否正常等;检查接线情况,如接线端子是否牢固、外壳接地线完整性等;测试、校验传感器本身的性能指标,包括信号输出、测量精度、零点等;带HART功能的传感器,可以通过HART手操器读取设备内部信息,查看是否有报错。
理想情况是在装置检修时,在线和离线检验、测试所有传感器单元,但因检修时间短、任务重,拆、装传感器耗时费力,且有一定的安全风险,故往往无法做到全面检验测试,也有部分企业装置投用以来,从未主动去校验传感器,维护策略是“不坏不修”。制药企业的做法值得肯定,定期校验温度、压力等仪表,只有经过校验并在有效校验期的仪表方可投入使用。还有部分间歇生产的精细化工企业,因为安全检查提出要做SIS周期性测试并要限期完成,但是生产又无法完全停下来,想要在规定期限内完成测试,所有传感器离线检验不现实。
针对上述情况,以压力变送器为例,可通过如图1所示的压力变送器测试流程,筛选出需要离线测试的仪表,重点是工况恶劣、检测结果存疑的仪表。但注意,开关量输出的仪表是必须要做离线检测的,如音叉开关等。
图1 压力变送器测试流程(参考)示意
首先采用在线测试的方法,通过外观检查、HART手操器检查、SIS与DCS数值对比等方法判断压力变送器是否运行完好。若外观检查不合格、仪表有报错信息则需维修或更换,若仪表不在有效的校验期、或SIS与DCS数值偏差过大、或DCS未设置相应仪表无法对比、或仪表运行在强腐蚀、堵塞等恶劣工况时,则需采用离线测试的方法。
使用防爆手持热红外成像仪、绝缘电阻表、打压测试设备,参照文献[10]中要求的合格标准,以切断阀为例,记录使用年限,查看维护记录;检查执行机构、阀体的外观、标识、密封件的完好性;检查电磁阀供电、供气、排气、电缆密封结构等完好性,电磁阀的排气口应避免进水、进尘,电磁阀在通电状态下,检测线圈温度无异常;检查限位开关外观的完好性,现场开关指示正常;检查空气过滤减压器外观完整性,清洗过滤网,排放杂质;检查所有电器元件电缆连接无松动,外壳接地电缆完好、绝缘良好;检查阀门动作正常,开关到位,无明显卡涩。
切断阀可以和压力变送器一样,筛选出需要离线维修、打压测试等的阀门。日常维护过程中,可采用防爆阀门内漏检测仪,在线检测阀门内漏,便于装置停工后有针对性地进行检修。
可以和执行元件同步进行DI和DO的信号测试,SIS中大部分的DI和DO信号来自于切断阀的电磁阀和阀位反馈。
部分切断阀检验、测试记录(节选)见表3所列,型号可从采购清单或SIL验证报告中获取。
表3 切断阀检验和测试记录(节选)
使用信号发生器,参照文献[1]要求的合格标准,测试每个SIF回路的动作,旁路功能、复位功能等。某SIF回路联锁测试(节选)见表4所列。
表4 某SIF回路切断阀检验、测试记录表(节选)
检验、测试后会形成一份SIS周期性测试报告,报告包括如下内容:
1)概述。介绍项目SIS设置的概况,报告的编制依据、编制范围,检验测试的目的和局限性等。
2)测试规程。介绍项目测试规程和计划、各项测试具体方法及合格指标、测试人员及职责、测试工具等。
3)测试记录表。根据项目实际情况制定测试记录表,并如实记录测试结果。
4)结论和建议。根据测试结果,总结SIS的功能完整性,汇总存在的问题并给出建议措施。若存在SIS的变更,应遵循变更流程的规定。
5)附件。在测试过程中形成的如权限分配、联锁画面、报警画面、记录画面、软硬件诊断画面、备份记录等软件画面或硬件校验报告,做为报告的附件,便于追溯和审查。
SIS的周期性测试能够提早发现硬件、软件存在的问题,避免因SIS失效导致拒停车或误停车。在测试的过程中,发现一些行业普遍存在的现象,如系统、仪表阀门厂家等未能系统地制定完整有效的维护、更换计划;企业未能有效执行全生命周期中的退役制度等。如何提高软硬件在线和离线的诊断覆盖率,还需要不断的摸索。