石油化工聯鎖保護系統全生命周期管理的探索與實踐

邢勐

(中國石油化工股份有限公司 煉油事業部，北京 100728)

石油化工工業是國家的重要經濟基礎工業，具有高投資、高危險、高價值、高效益，大規模連續生產的特點，工廠多處于易燃易爆危險場所，生產安全關系重大，一旦發生事故，經濟影響、政治影響、災害影響都非常嚴重，保障安全生產有多重技術和管理措施，裝置的聯鎖保護系統就是措施之一。聯鎖保護系統需要嚴謹的工程設計，合適的儀表設備，完善無誤的施工及調試，工廠運行過程中還需要科學的管理和精心的維護，所以石油化工企業需要制定一套完備的、科學管理的規范，包括前期管理、評估管理、運行管理、操作管理、維護和檢修管理、變更管理等相關內容。

聯鎖保護系統是由測量儀表、邏輯控制器、執行器及相關軟件組成的儀表控制系統。當過程變量或設備狀態參數超過預設定的限值時，執行預先設定的相應控制動作，使生產過程和設備停車，或自動轉移到安全運行狀態，防止或減少危險事件發生，實現防災減災的目的。聯鎖保護系統的技術內容源自GB/T 20438.2—2017/IEC 61508—2： 2010《電氣/電子/可編程電子安全相關系統的功能安全》[1]、GB/T 21109.2—2007/IEC 61511—2： 2003《過程工業領域安全儀表系統的功能安全》[2]，但是，這兩項標準不適合直接用于工程設計、生產運行和設備檢維修管理。工程設計和生產運行一般依據GB/T 50770—2013《石油化工安全儀表系統設計規范》，運維、檢維修管理則依據《石油化工設備完整性管理》和《石油化工設備維護檢修規程 第七冊 儀控設備》。

1 管理職責分工

以往只是籠統規定了設備或工藝主管部門歸口管理聯鎖保護系統，造成了管理存在諸多漏洞。為此，應建立健全聯鎖保護系統的具體管理規定，明確儀控、工藝、設備、安全、投資等專業及部門的管理職責、審批權限、監督行為、執行程序等內容。

1.1 儀控專業主管部門

負責聯鎖保護系統軟硬件的管理，組織制訂聯鎖保護系統管理制度，并監督檢查制度執行情況；組織在役裝置的SIL定級、SIL驗證等工作；負責聯鎖KPI指標統計，監督聯鎖回路投用情況，會同工藝專業主管部門組織聯鎖回路投用情況年度評估，審核評估報告及問題整改措施。

1.2 工藝/動設備專業主管部門

負責工藝/動設備聯鎖的管理，分別組織制訂工藝聯鎖和大機組、關鍵機泵等動設備本體聯鎖管理要求，并監督檢查執行情況；負責聯鎖的操作管理，負責組織運行部編制聯鎖保護系統操作規程和監督聯鎖操作紀律管理；組織對新建裝置或原裝置新增的工藝/動設備聯鎖邏輯圖、聯鎖值、聯鎖報警值的審核確認；負責工藝/動設備聯鎖KPI指標考核。

1.3 安全主管部門

是聯鎖管理的監督部門。對聯鎖變更的安全評估過程實施監督。

1.4 投資主管部門

負責組織新建、改擴建裝置的HAZOP分析、SIL評估工作。

2 前期管理

聯鎖保護系統的前期管理指系統投運前的管理，包括設計、采購、施工、調試、驗收等階段，應遵循GB/T 50770—2013的規定，結合裝置生產實際及安全設施配置情況，全面識別危險場景的初始原因及獨立保護層，正確辨識所需的安全儀表功能及其安全完整性等級，防止設計不足，避免過度設計[3]。

2.1 基本要求

SIL等級不小于1的安全儀表功能的聯鎖保護系統應采用安全儀表系統(SIS)，基本過程控制系統(BPCS)不應用于SIL等級不小于1的安全儀表功能，也可根據裝置的實際情況，采用SIS實現非安全功能的聯鎖。SIS不應用于過程控制。

2.2 聯鎖保護系統設計要求

2.2.1冗余配置

單點聯鎖(即1oo1聯鎖)是儀控原因影響裝置平穩運行的主要因素。2018年某石化廠原油罐進料閥自動關閉，導致管道公司輸油站管線憋壓，輸油泵停運，直接原因是該原油罐超聲波液位開關(1oo1高聯鎖)誤報，導致該儲罐緊急切斷閥聯鎖誤動作，自動關閉閥門。

目前由于SIL評估對誤動作停車造成的經濟損失考慮不多，造成部分聯鎖回路采用“1oo1”結構。為此，當聯鎖測量儀表故障強度等級為1～4級時，測量儀表應設計為“2oo3”或“2oo2”冗余配置，以提高聯鎖保護功能的可用性，降低誤動作概率，儀表設備故障強度的分級見表1所列。冗余配置有兩種方式： 同一工藝參數的多臺測量儀表，或不同工藝參數的測量儀表組合。

表1 儀表設備故障強度分級

2.2.2測量儀表

除安裝條件受限、工藝包專利商要求等特殊情況外，聯鎖保護系統中的測量儀表應采用模擬量類型，不應采用開關量類型，模擬量測量儀表的取源點應獨立設置且取源點不應與工藝設備共用[3]。測量儀表不應采用通信方式作為聯鎖保護系統的輸入信號，測量儀表為閥門回訊開關的，回訊開關宜冗余配置；測量儀表為手動開關、按鈕、繼電器的，應使用同一設備的多對觸點。

2.2.3旁路開關

測量儀表旁路開關有以下3種設置方式： SIS的邏輯控制器中設置軟旁路開關、BPCS中設置軟旁路開關、輔助操作臺或機柜設置硬旁路開關，應優先使用軟旁路。每臺測量儀表宜設置獨立的維護旁路開關。緊急停車信號不應設置旁路開關，嚴禁在輸出信號上設置旁路開關[4]。

2.2.4測量儀表故障后的動作方向設置

除工藝技術包有要求外，測量儀表故障后的指示值及判斷準則按如下原則設置： 單點聯鎖的儀表及回路故障后宜朝聯鎖方向動作，“2oo2”聯鎖的儀表及回路故障后應朝聯鎖方向動作，“1oo2”聯鎖的儀表及回路故障后應朝聯鎖反方向動作，“2oo3”聯鎖的儀表及回路故障后應朝聯鎖方向動作。為提高聯鎖可用性，對單點聯鎖儀表故障后的動作方向設置宜采取延時等防信號抖動措施，防止聯鎖誤動。

2.2.5邏輯控制器

雙重化冗余的同一聯鎖回路的測量儀表應接到不同的輸入卡件，三重化冗余的同一聯鎖回路的測量儀表宜接到不同的輸入卡件，冗余的執行器應接到不同的輸出卡件。SIS的系統報警信號、測量儀表信號以及冗余測量儀表信號的偏差報警、旁路開關狀態等應以通信方式接到BPCS中，嚴禁BPCS和SIS一體化監視和控制。

2.2.6執行器

2021年某石化企業低溫甲醇洗單元入口界區閥的電磁閥內部進水短路，造成控制閥突然關閉，導致煤制氫聯鎖停車，供氫中斷。為此，當兼顧高安全性及可用性時，應配多臺電磁閥，電磁閥控制邏輯結構應為“2oo3”；大機組停機電磁閥應按“2oo3”或“2oo4”邏輯結構配置。電磁閥宜選用24 V直流供電低功耗類型，為實現冗余供電不宜采用220 V交流供電[5]。

當對應SIL2級及以上的安全儀表功能時，若執行元件的檢驗測試間隔Ti小于裝置檢修周期或工藝專利包的要求時，氣動切斷閥形式的執行元件宜配置部分行程測試(PST)功能。

2.3 集成調試和驗收測試要求

邏輯控制器工廠集成后，應組織儀控和工藝人員參與工廠驗收測試(FAT)，測試前應編制FAT方案。安裝過程中，應重視聯鎖回路中的現場儀表，特別要檢查執行器是否進水，應對每個電磁閥接線盒開蓋檢查[6]。邏輯控制器上電后，應組織包括由系統集成商、運行人員參加安全儀表功能的測試和確認，測試前應編制現場驗收測試(SAT)報告。

3 評估管理

3.1 聯鎖回路評估

儀控專業和工藝專業主管部門每年要共同組織工藝、儀控、電氣、設備等相關專業開展聯鎖回路評估，評估內容包括聯鎖解除、投用統計分析，解除聯鎖的整改計劃及工藝風險防控措施等內容。

3.2 SIL評估

1個大修周期內裝置HAZOP評估有變化且涉及到SIS的，應對變化部分開展SIL定級和SIL驗證工作。應采取其他的外部安全防護措施降低對SIS的依賴，避免出現過高的安全完整性要求，煉化裝置安全儀表功能不宜高于SIL2級[7]。

3.3 聯鎖保護系統壽命評估

按照安全儀表手冊中推薦的的聯鎖保護系統使用壽命，結合實際情況，開展聯鎖保護系統壽命評估，細化相關儀控設備使用壽命。

4 運行管理

4.1 聯鎖回路統計

聯鎖回路數量按聯鎖觸發的工藝條件或設備狀態計算，需要注意： 當N個不同工藝參數組成1個聯鎖觸發條件的，按N個回路計算；當測量同1個工藝參數的N臺儀表中的M個動作(1≤M1)，按1個回路計算；當1臺測量儀表設定2個定值，分別產生不同動作結果時，按2個回路計算，代表某一種設備狀態的開關量測量儀表，不論幾個觸點，按同1個回路計算。

4.2 臺賬管理

應建立并及時更新“聯鎖回路臺賬”“聯鎖設定值清單”“聯鎖保護系統聯動試驗確認單”“聯鎖邏輯說明”“聯鎖邏輯圖”“聯鎖保護系統臺賬”等?！奥撴i邏輯圖”“聯鎖設定值清單”“聯鎖保護系統聯動試驗確認單”應有會簽記錄。新建、改擴建裝置的聯鎖邏輯圖應以設計資料為基礎，應在裝置投料開工前、最遲不超過投料開工后的2個月轉化成內部審批版。

4.3 備份管理

應保存至少1套聯鎖保護系統邏輯控制器的應用系統軟件及2套在用的應用組態軟件備份(或應用數據包)，2套應用組態軟件備份應異地保存，宜在備份的基礎上采用GHOST硬盤在操作站和工程師站主機內離線存放。任何情況下，組態軟件的備份間隔時間不應大于1個檢修周期，對于沒有停工機會的裝置備份周期與主裝置同步。

5 操作管理

操作管理是日常運行管理的重要內容。聯鎖保護系統操作規程應包括聯鎖保護系統動作的原因、動作過程和結果，防止發生的危險和事故，聯鎖設定值，旁路開關的啟用，系統動作后的復位，人工啟動聯鎖保護系統的方法，聯鎖保護系統故障或失效等緊急情況下的應急響應等內容。

聯鎖保護系統操作臺上及操作站上的旁路開關由工藝/設備人員操作；儀表盤/機柜內的旁路開關由儀控人員操作，軟旁路應設置權限，應由工藝班長管理，嚴禁將操作權限的用戶名和密碼公開張貼或隨意放置。

2020年某LNG爆炸人身傷害事故中，儀表工程師因為違章操作聯鎖保護系統被追訴了法律責任。所以對于需要調用邏輯程序、在邏輯程序中進行的聯鎖變更作業，儀控人員應采用“手指口述法”。

6 維護和檢修管理

6.1 維護管理

運行期間對聯鎖保護系統中具備條件試驗的設備應進行試驗，對緊急放空(放火炬)閥，在有上游截止閥時，應定期做開關動作試驗；對工藝流程上的關鍵切斷閥，在有PST功能時，應定期做部分行程測試。

儀控人員應定時開展預防性維護保養工作，包括： 至少每周一次的邏輯控制器各硬件指示燈、后備電池的檢查；至少每月二次的SOE軟件運行情況檢查，不應有頻繁報警、開路/短路報警等現象；至少每季度一次的220 V(AC)、110 V(DC)等聯鎖電磁閥進行紅外溫度檢測等[8]。

6.2 檢修管理

裝置大檢修時，應安排聯鎖保護系統中測量儀表、邏輯控制器及最終執行器的檢修和校驗，主要包括：

1)檢修時應對全部聯鎖切斷閥進行動作試驗并記錄。對正常運行時全開、緊急情況下需要切斷的切斷閥，內漏檢查不應超過1個檢修周期；新安裝或檢修后的聯鎖切斷閥嚴格按照GB/T 4213—2008《氣動調節閥》進行泄漏量測試[9]。嚴禁使用填料函密封試驗和耐壓強度試驗壓力代替泄漏量試驗。

2)應對聯鎖回路中的所有接線端子松動、銹蝕等情況進行緊固、檢查；應對邏輯控制器進行點檢，檢查保險端子、繼電器、安全柵運行狀況，更換電池、風扇等消耗性部件，檢查系統接地情況[10]。

3)解決聯鎖保護系統存在的隱患。完善聯鎖回路和軟旁路設置，測試SOE記錄、趨勢快速記錄情況、實現第一事件記錄報警功能。

4)聯動試驗確認。檢修后的生產裝置(單元)、新建裝置、新增回路的所有聯鎖、聯鎖報警，必須在開工前或投運前進行聯動試驗確認。備用設備的聯鎖必須與運行設備一樣處于完好狀態。

6.3 其 他

解除時間不小于1 a的聯鎖回路恢復投用之前，應確認聯鎖回路的狀態，裝置檢修期間應實施聯鎖年度評估結論，對于評估結果為“取消”“恢復”“修改”的聯鎖應在檢修期間予以實施完畢，不應超過1個檢修周期仍然維持在原狀態。

7 變更管理

聯鎖保護系統在長期的運行過程和裝置檢修中會有包括聯鎖回路的解除、臨時解除、修改、恢復、取消等變更。

7.1 基本要求

裝置建成后的首次聯鎖聯動試驗簽字確認后，后續裝置在開工、運行、停工、檢修等過程的聯鎖變更均屬于聯鎖變更監管范圍。72 h內的聯鎖解除規定為臨時解除，否則為解除。

7.2 解除、臨時解除與恢復

裝置或單元開停工時不投運的聯鎖回路，應經原聯鎖設計單位確認后在裝置工藝操作規程中予以明確，否則按程序辦理變更手續。

生產期間聯鎖解除時間超過72 h的，必須及時辦理聯鎖變更審批手續。解除1 a以上需經原設計單位同意，無法聯系原設計單位的，應組織技術評估，確保風險可控，同時制訂針對性管控措施和應急預案，并組織演練。當同一設備上有自動控制回路又有聯鎖回路時，如果未投自動控制回路，不應解除或臨時解除聯鎖，避免保護層雙重失效。

7.3 聯鎖修改

開工、停工時的聯鎖修改屬于變更管理范疇，除崗位操作法或工藝操作規程規定外，開停工期間的聯鎖修改應辦理變更手續。聯鎖修改后，聯鎖保護系統必須經過聯鎖聯動試驗確認方可投運。裝置運行期間對聯鎖邏輯器的在線修改和下裝應列入重大作業風險范圍，原則上不應進行。

8 結束語

聯鎖保護系統的管理是要從項目建設初期抓起，科學、合理地設置檢測儀表、邏輯控制器和執行器，遵照設計規范和企業長期積累的經驗，符合安全管理部門的要求和規定，要經常進行人員操作培訓，建立簡明有效的管理制度。聯鎖保護系統的管理是長期、重要、細致的工作，關系到系統各部分的設備的“健康”狀態，關系到安全生產和工藝過程的正常運行，管理工作的好壞也體現了石油化工裝置全面管理的規范程度和水平。