關于安全儀表系統旁路的思考

徐志杰,王立奉,杜佐政

(1． Kenexis咨詢公司,天津 300270；2． 中國石化燕山石化公司，北京 102500；3． 中沙(天津)石化有限公司，天津 300271)

在流程工業中，安全儀表系統(SIS)主要用于檢測工藝裝置是否存在失控情況，然后采取動作將工藝(過程)置于安全狀態。SIS的應用涉及設備組件的定期功能測試和自動診斷，旨在檢測設備組件潛在危險失效。為了便于開展在線測試，有必要為設備配置在線測試時臨時打旁路[1]的手段，一旦檢測到設備組件失效，旁路便可以使設備組件的修復成為可能。為實現工藝單元在某些工況下(例如，維護、測試，以及某些特定操作模式下)的持續運行，必須要設置旁路。用于旁路的設備和系統不但是SIS工程的重要組成部分，也是旁路后續管理的必要控制措施。SIS旁路系統通常能夠與基于PLC的邏輯控制器進行數字通信，實施并跟蹤SIS傳感器的應用情況。從管理的角度上講，所有旁路應該由級別適當的管理人員進行審批，然后，再將存儲在過程歷史記錄中有關旁路事件的自動日志與報警授權記錄進行比較，定期審核旁路程序。

1 旁路的設計要求

SIS的旁路設計應遵照IEC 61511： 2016《過程工業領域安全儀表系統的功能安全》[2]的相關要求。該標準從總體上描述了SIS的設計、操作和維護，允許實施旁路，但限制了旁路的使用和設計方式。該標準對于SIS旁路相關要求如下：

1)SIS安全要求規格書(SRS)應包含旁路要求的描述，旁路投用期間適用的書面程序，以及如何對旁路進行管理控制和后續摘除。該標準明確指出，必須對旁路實施管理控制，確保旁路正確地執行，然后再適當地摘除。有關旁路的物理設計方面，該標準也給出了相應要求。

2)旁路開關或手段應加以保護，以防止未經授權的使用，例如，通過鑰匙鎖或密碼與有效管理控制相結合的方式。

3)SIS測試或旁路設施時，應符合如下規定：

a)SIS應按照SRS中的維護和測試要求進行設計。

b)SIS任意部分進行旁路時應通過報警或操作程序提醒操作人員注意。

4)當SIS處于旁路狀態時(維修或測試)，應依據該標準的第11.3條提供確保SIS持續安全運行所需的補償措施。

上述第3)項除了指出旁路系統的設計應符合維護和測試要求，特別是需要在裝置運行期間進行測試，還要求旁路投用時必須告知相關操作人員。投用旁路由操作人員通過操作員界面觸發，與SIS通信，在裝置DCS報警系統中提示和記錄。有的時候，特別是最終元件，其旁路可通過現場的物理設備(例如，旁路閥)來實現。操作人員若要知曉旁路狀態需要借助管理控制措施及相關程序，有時甚至還需要使用特殊儀表裝置(例如，閥門限位開關)。第4)項進一步強化了旁路在管理控制方面的內容，要求在旁路投用時，必須采取補償措施。補償措施指工藝裝置在線運行期間旁路投用時采取的措施，例如使用冗余設備或管理控制措施。

2 旁路管理的最佳實踐

旁路管理包括進入旁路之前的審查和批準程序(有可能涉及風險評估)、要求的補償措施程序、投用旁路的告知和跟蹤，以及對旁路正確使用的審核。通過使用自動化設備和旁路管理軟件，可為上述任務的執行提供便利。當然，如果人工活動日志使用得當，也可取得同樣的效果。旁路管理的第一步是授權。在將設備投旁路之前，首先要審查設備旁路的理由和與旁路有關的風險，旁路的持續時間、補償措施的類別與有效性、以及與打旁路組件所預防危害有關的風險程度等。若旁路時限超過最長允許維護時間，或者出于常規維修或維護[3]以外的原因，則應開展旁路風險評估。

如果打旁路的組件沒有冗余(即容錯)，則應制定管理性質的備用保護計劃并將其作為旁路時的補償措施。對于通用性的應用，清單上的信息可以預先寫好，也可以即興開發，然后存儲在數據庫系統中，以便需要時進行檢索。

旁路投用且所有的補償措施均確定后，還需要定期審查旁路的狀態。一般可由操作人員在交接班期間來完成，需要審查所有的旁路，并確認旁路能否繼續按要求使用。如果旁路超過允許時限，則旁路的繼續使用必須升級管理，有可能還需要進行額外的風險評估。除所述的旁路投用和摘除之外，還應該定期開展審核，以確保SIS旁路沒有被濫用。跟蹤和記錄旁路活動的自動系統，強化了這一審核過程。該審核過程首先要獲得目標時間段內旁路投用和批準的記錄，最佳做法是將旁路投用的情況記錄在DCS的報警日志當中，然后再過濾與旁路報警有關的報警信息。旁路審批的最佳實踐是使用數據庫系統，將旁路投用與旁路批準進行比較，確保一一對應關系。若發現與上述情況不符，則通常意味著旁路的設置未經授權或批準。此外，還可定期抽查批準的情況，驗證旁路投用的目的是否充分。

3 常用的旁路方法

本章將主要介紹五種常見的現場最終元件的旁路方法。

3.1 閥門旁路管線組件

對關斷閥進行全功能測試時，通常需要包含多臺閥門及相關管線的旁路組件，以便接受測試的關斷閥關閉時管線中的流量不會中斷。關斷閥旁路組件如圖1所示。

圖1 關斷閥旁路管線組件示意

該類旁路首先手動打開旁路閥，然后關閉關斷閥前后兩側切斷閥的方式來實現。一旦完成測試，關斷閥前后的2臺切斷閥重新開啟，而旁路閥則應關閉。該套組件的潛在危險失效是，在進行完測試/維護之后，旁路閥仍有可能保持在開啟位置，關斷閥接到關閉指令關閉后，工藝流體繼續流經旁路閥，故不能阻止物流流動。

為了防止該類情況的發生，必須落實管理控制措施，確保測試完成后旁路閥處于關閉位置。管理控制措施最簡單的方式是在測試書面程序中寫入有關旁路閥關閉的內容。具備執行程序且經過資質認證的操作人員簽字確認所有程序步驟已經完成。另一種方式較為高級，即為旁路閥加上限位開關，該限位開關向控制系統發送信號，指示旁路閥是否處于關閉狀態。此外，還可落實定期審核控制系統報警日志的程序，確認指示為開啟狀態的旁路閥是否正在進行維護。

對旁路閥進行管理控制的折中辦法是將旁路閥列入鉛封清單，定期對鉛封狀態進行審核。鉛封是指采用可拆卸的約束手段(例如，束線帶)將設備以打鉛封的方式固定在“安全”位置。維修活動結束后，設備應重新置于安全位置，并再次打上鉛封。鉛封程序必須包括對鉛封狀態的定期物理檢查(按周或按月例行巡檢)，基于云的移動式計算工具能夠為該項工作提供便利。

3.2 閥門卡銷裝置

在運行條件下采用旁路管線組件對關斷閥進行全功能測試時，可使用卡銷裝置對關斷閥進行部分行程測試(PST)[4]，測試期間盡管閥位發生變化，但關斷閥并不會處于全關狀態。典型的卡銷裝置如圖2所示。

圖2 閥門卡銷裝置示意

關斷閥的PST通過將卡銷裝置插入閥門執行器，然后切斷閥門的電磁閥信號。一旦電磁閥失電，關斷閥卡銷裝置能夠限制其移動的位置，閥門開度通常為5%～10%。重新接通電磁閥信號，關斷閥回到100%全開的位置。如果電磁閥失電時，閥門移動至卡銷裝置所處位置，則PST測試成功；否則PST測試失敗，閥門需要維修。使用該類旁路方式的主要風險在于旁路裝置(卡銷裝置)有可能會在測試完成后意外留在原處。要解決該類失效模式，只能通過管理控制措施或重新設計PST，例如，采用不需要機械卡銷裝置的方式。管理控制措施應包括程序、培訓和簽字等，但筆者建議將閥門卡銷方式納入鉛封程序進行管理。

3.3 電磁閥閂鎖

關斷閥的旁路管線組件和閥門卡銷裝置可以專門用于測試。另一種較為常見的旁路方法是使用電磁閥手動復位閂鎖。由于停車時最終元件(閥門)置于安全位置并保持不變，直至手動復位，手動復位通常內置于閥門的關停控制裝置。電磁閥的手動復位閂鎖分為三類，即勵磁(得電)鎖定手動復位式，失磁(失電)鎖定手動復位式和防篡改式(tamper-proof)手動復位式。帶手動復位閂鎖的電磁閥如圖3所示。

圖3 帶手動復位閂鎖的電磁閥示意

復位閂鎖的作用是防止閥門意外改變閥位，即便是在電磁閥重新勵磁(得電)之后。只有在電磁閥重新勵磁(得電)且閥桿上移至鎖定位置，相關停車閥才會開啟。有時當電磁閥失磁(失電)后，閂鎖會恢復至非鎖定位置，電磁閥處于能夠使相關停車閥執行器排氣的位置，從而使停車閥關閉。復位閂鎖產生的潛在危險失效是保持在鎖定位置。某些型號的電磁閥，若手動復位閂鎖保持在鎖定位置，即使電磁閥失電，停車閥仍能保持其正常閥位(但不會觸發停車)。要做到這一點，復位閂鎖必須以不得觸動的方式進行操作。有時可通過使用鐵絲或繩子將復位閂鎖綁扎在其上方的管道或手輪上的方式來實現。此外，上述情形還可由冰暴天氣意外導致，即整個組件上覆蓋了一屋薄冰，這足以將電磁閂鎖固定住。單就解決影響安全的問題而言，管理控制措施從技術上講并非鉛封，而是一種檢查。可以利用鉛封程序的基礎框架來安排和記錄相應的檢查工作。

3.4 閥門手輪

上述的三種旁路方式均為有意進行的旁路，閥門手輪并不用于執行旁路，常用于閥門測試或驗證閥位開關指示是否正確，很多時候造成閥門意外旁路的人員也并未意識到自己的行為導致旁路的發生。

通常情況下，執行機構驅動的閥門通過改變執行器的氣壓來調節。某些情況下，有可能需要在現場手動調節閥位。該項工作可通過手輪直接作用于閥桿，從而對閥位進行物理調節。手輪在使用之后，閥門要回到自動位，即，將閥位的控制權交還給SIS。手輪處于工作位期間，表明閥門已進入旁路狀態，也就是說閥門基本上會忽略SIS發出的讓其進入安全狀態的指令。當閥門手輪處于工作位時，必須進行必要的旁路管理[5]活動和授權，包括制定備用保護計劃，為受到影響而不再處于投用狀態的SIS組件提供相應的補償措施。

如上文所述，閥門手輪處于工作位時會使閥門及其相關的安全儀表功能(SIF)進入旁路狀態。因此，控制相關閥門何時進入手輪的工作位模式，以及驗證閥門其他時間是否始終處于自動模式顯得尤為重要。確保閥門的手輪處于自動模式，以及在非自動模式下對手輪進行適當管理，可通過管理控制措施加以實現。當前的最佳實踐是將閥門手輪的管理納入生產裝置的鉛封系統。此外，還應審查閥門手輪的使用程序，同時開展相應的培訓，強調閥門使用手輪時的危險性。管理控制措施的替代方法是，如果閥門上的手輪并非必須，則可考慮將其拆除。

3.5 手動/自動切換開關

最后一種意外旁路是手動/自動切換開關(HOA)。HOA用于操控信號并控制電機運行。HOA有三種位置，即手動(HAND)位置、關(OFF)位置和自動(AUTO)位置。HOA撥至關位置時，控制信號切斷，電機啟動器會將電機斷電。當電機(包括相關機泵或壓縮機)需要自動運行時，可將HOA撥至自動位置，啟/停信號由控制邏輯和/或SIS邏輯接通或斷開。正常情況下，不應使用手動位置。只有在電機離線和停止運行時，才可將HOA撥至手動位置對電機及其相關電路進行維護和故障排查。事實上，當HOA置于手動位置時，電機啟動器的控制電路會直接通電，將所有的控制和SIS功能旁路掉。此時，任何控制動作或關停動作均不會對電機啟動器的運行造成影響。

有的時候，SIS的潛在危險失效還有可能是將HOA撥至手動位置而非自動位置造成機泵錯誤啟動所致。能夠避免該類意外旁路的選項有以下幾種： 最簡單的方法是采用啟/停操作柱(無旁路SIS功能的手動位置)來取代SIS中的HOA；另一種選擇是將自動和手動電路一起接線，當SIS發出關/停機泵或壓縮機的指令時，手動和自動兩個電路同時斷電。若采用傳統的HOA，則必須借助管理控制措施管控其使用。此外，還應為操作人員提供正常操作時如何使用HOA的培訓，并在操作程序中寫明HOA操作位置錯誤引發的后果。HOA同樣也可以納入鉛封程序進行管理，確保其不會被意外置于錯誤位置。

4 現場設備的旁路管理

現場存在諸多能夠在不經意間將SIS置于旁路的情況，良好的管理控制程序對于將該類意外旁路的風險降低至可容忍水平而言至關重要。管理控制程序最好通過正式的審核或檢查[6]，以定期開展的方式加以落實。鉛封審核和檢查計劃比較容易建立和實施，通過使用基于云的工具(同時輔以移動式設備)，可以大幅簡化該過程。鉛封程序執行的第一步是識別需要打鉛封的設備并編制鉛封清單，鉛封清單的編制最好從管道和儀表流程圖(P&ID)開始。通常情況下，需要打鉛封的閥門都會在P&ID圖中標注“鉛封開(CSO)”或“鉛封關(CSC)”，明確鉛封的具體位置和要求。除了要對P&ID圖進行審查外，鉛封還是過程危害分析(PHA)期間需要定期討論的話題，內容包括手動閥門的意外操作等。對于SIS而言，不但需要在P&ID圖上標明，而且最終元件的鉛封要求還可能需要記錄在SRS當中。對于某些歷來忽略鉛封要求的生產裝置，則應考慮對所有的手動關斷閥及其誤操作的后果進行團隊審查，辨識閥門打鉛封的必要性，這或許也是改善過程安全的一種有效方法。一旦創建好鉛封清單，接下來要在現場為相關設備打上鉛封并做好標記，鉛封一般采用金屬線或束線帶。鉛封程序的目的并非從物理上阻止人員改變閥門或其他設備的位置，它只是一種實物提醒，旨在提警相關人員在無適宜授權的情況下不得操作設備。從某種意義上講，上述設備操作預防的實施手段(例如，束線帶與鏈條和掛鎖)只是企業(組織)基于安全文化和管理實踐的一種政策問題。鉛封應懸掛標簽并注明相關設備的位號、工況、鉛封位置和警告等信息。使用移動式設備(例如，智能手機)可以掃描的條形碼或二維碼或許對鉛封有所幫助，便于檢索設備的規格信息和與該設備所預防危害有關的PHA分析項的鏈接。

打完鉛封之后，需要定期檢查鉛封的完整性。檢查頻次可由生產裝置依據現場維護和測試活動的頻率進行確定。對于大多數工藝裝置而言，每月一次的檢查通常是適宜的。檢查活動需要事先規劃，完成情況應進行核實。程序化的維護管理系統是規劃并完成該項工作的最常用方法。然而，某些企業(組織)的管理體系導致鉛封檢查要么被忽略，要么開展的并不理想。與移動式設備相配套的基于云的程序執行跟蹤軟件，為該類檢查實踐提供了便利。程序跟蹤系統允許創建電子程序，包括程序當中必須執行的所有步驟的清單。

對于步驟清單中的每個步驟，可以定義多種屬性，包括： 任務持續時間(最長、最短、預計)；任務位置，包括圖像、GPS坐標、裝置標準二維碼；任務執行視頻；任務許可條件或先決條件；任務完成的二維碼確認。

一旦將這些信息嵌入程序，任務執行人員便可以訪問該類信息以獲取幫助。此外，還可以集中規劃和跟蹤程序的進度(安排)和執行情況。當程序需要執行時，會自動生成提示(例如，電子郵件或文本)并能夠將所有預定程序的狀態和時間儀表板化。待執行該程序的相關人員接受之后，便可以使用移動式設備執行該程序。對于每個步驟，技術人員或操作人員均可通過自持的移動設備獲取任務的說明、圖像、GPS地圖和視頻。隨后，還可以掃描二維碼確認該步驟的執行情況。

除了程序執行的移動視圖外，還有一個能夠涵蓋所有程序活動(包括過去和現在)的綜合性視圖。借助該數據視圖，便可以知曉目前正在執行的所有程序，何人在執行程序，處在程序的什么步驟，以及執行程序的時間戳。

5 結束語

綜上所述，將SIS有意和無意置于旁路的方法有很多種。在許多情況下，需要制定并落實旁路機制，以便在裝置運行時能夠對安全關鍵設備進行測試。SIS盡管允許進行旁路，但必須使用適宜的工程設備并落實相應的管理控制措施進行嚴格管控。使用基于云和移動式計算系統來跟蹤、記錄和推進所需的檢查和授權，為意在正確使用旁路的程序(包括鉛封清單和相關檢查)的執行提供了便利。該方法對于預防SIS處于旁路而相關人員不知曉的情況具有指導意義，此外，對于預防DCS聯鎖的意外旁路也有一定的參考價值。