安全儀表系統對遏制化工過程重特大事故的深遠意義
2017年1月3日,浙江華邦醫藥化工有限公司C4車間發生爆炸火災事故,造成 3人死亡,直接經濟損失400多萬元。導致事故的直接原因是蒸汽加熱失控,反應釜超溫,反應產物(含乳清酸)急劇分解放熱,壓力持續攀升超過釜內承受極限,發生了物理爆炸。
2017年7月2日,九江之江化工有限公司對(鄰)硝基苯胺車間反應釜發生爆炸,造成3人死亡、3人受傷,直接經濟損失2380萬元。事后調查,該公司在生產過程,長期停用反應釜壓力、溫度聯鎖,失控的反應不能得到有效遏制,最終釀成了爆炸的慘劇。
2018年3月12日,九江一石化企業柴油加氫裝置原料緩沖罐(設計壓力0.38MPa)發生爆炸著火事故,造成2人死亡、1人輕傷。造成事故的原因是循環氫壓機潤滑油壓力低低聯鎖停機,加氫原料進料泵隨即聯鎖停泵,但因泵出口未設置緊急切斷閥且單向閥功能失效,反應系統內高壓介質(壓力5.7MPa)通過加氫原料泵出入口回竄至加氫原料緩沖罐,導致緩沖罐超壓爆炸著火。
所有事故的發生都不是因為涉及新的或未知的化學物質,也不是由單一問題或單一失效造成的,而是多方面的瑕疵、缺陷共同導致的。哪些誘因、何時何地、在什么情況下共同作用導致事故發生,我們很難去鑒定,只能是在事后進行追溯。美國國防部長唐納德·拉姆斯菲爾德在2002年一次新聞發布會上講道:“有些是已知的已知,即有些事情我們知道我們是知道的,我們也知道有已知的未知,也就是說我們知道有些事情我們不知道,但也有未知的未知,即我們不知道還有什么不知道。”未知的未知才是最可怕的,也就是人們常常說的黑天鵝事件,從某種意義來說,每一起事故的發生都是一次黑天鵝事件。
雖然事故發生的隨機性無法掌控,但從原因到后果演變的整個過程,卻有很多固有屏障可以控制,只要這些固有屏障中的任意一個切斷了事故演變的鏈條,都可以避免事故的發生。這就是我們經常說的獨立保護層。對于化工企業來說,一般存在的獨立保護層有:工藝設計、基本過程控制系統、關鍵報警及人員干預、安全儀表系統、泄壓裝置、泄漏后的物理保護、工廠應急響應等。
工藝實現本質安全型設計是理想狀態,很難達到;基本過程控制系統建立的穩態非常脆弱,系統內的任何因素的變化都可能導致已經這種穩態向失控方向發散;關鍵報警及人員干預則非常依賴報警的獨立性、報警的管理以及人員的應變能力;而安全儀表系統則能有效監控“失事點”,快速發出指令,將工藝過程帶入相對安全的狀態,是非常重要的安全保護屏障,在預防化工過程的火災、爆炸事故方面,有著非常重要的意義。
上述的三起事故,因安全儀表系統缺失、長期未投用以及設計不規范等問題,致使遏制過程失控的關鍵保護屏障失效,結果造成了嚴重的火災爆炸、群死群傷事故,社會影響極其惡劣。我們經常說安全是發展的紅線,是生存的底線,對化工過程來說,如此重要的安全儀表系統為何在行業難以有效落實呢?筆者總結大概有以下幾點原因:
什么是安全儀表系統(SIS)?顧名思義就是執行一個或多個安全儀表功能(SIF)的儀表系統,它依賴于傳感器(感知并傳遞狀態參數變化)、邏輯控制器(運算并發出指令)、以及最終元件(執行最終動作)的組合協調作用,共同完成特定功能安全目的。《關于加強化工安全儀表系統管理的指導意見》(安監總管三〔2014〕116號)中也指出,安全儀表系統生產正常時處于休眠或靜止狀態,一旦生產裝置或設施出現可能導致安全事故的情況時,能夠瞬間準確動作,使生產過程安全停止運行或自動導入預定的安全狀態,所以安全儀表系統的目的是為了確保過程安全,重在防止失事點進一步惡化。
哪些系統屬于安全儀表系統的范疇呢?《關于加強化工安全儀表系統管理的指導意見》(安監總管三〔2014〕116號)指出,包括安全聯鎖系統、緊急停車系統和有毒有害、可燃氣體及火災檢測保護系統等。IEC61511將SIS的類型分為儀表保護系統、安全聯鎖、安全相關系統、緊急停車系統、燃燒器管理系統、火氣系統以及高完整性(壓力)保護系統等等。無論怎么分類,SIS都是執行了一個或多個安全儀表功能,例如有毒有害、可燃氣體及火災檢測保護系統就可以通過檢測并處理特定信號,自動觸發執行元件動作,將泄漏和火災消滅在萌芽狀態。
很多企業的管理模式還沿用傳統的生產組織方式,為了減少非計劃停工帶來的損失,安全儀表系統長期處于停用狀態,完全依靠人員的“應變能力”去實現操作控制,安全儀表系統成為應付各類安全檢查的一種擺設;更有甚者將擅自摘除安全儀表聯鎖、避免裝置非計劃停工的操作者視為“英雄”,對其進行鼓勵嘉獎。
《國家安全監管總局關于推動安全生產科技創新的若干意見》(安監總科技〔2016〕100號)第八條明確指出,要著力推進機械化換人、自動化減人的整體思路,目的就是為了深入貫徹落實習近平總書記系列重要講話精神,牢固樹立安全發展觀念,大力弘揚創新驅動發展理念,切實提升安全生產風險防控能力,為有效遏制重特大事故頻發勢頭、促進安全生產形勢持續穩定好轉提供強有力的科技支撐和保障。
如果企業不能主動出擊,著力提升本質安全化水平,因循守舊,繼續保持錯誤導向,非但不能有效降低成本,且增加了化工過程安全事故發生概率。
安全儀表系統的管理能力不足,聯鎖誤動作頻發,企業未深入分析解決,直接采用摘除聯鎖的方式予以應對
《關于加強化工安全儀表系統管理的指導意見》(安監總管三〔2014〕116號)中強調,“化工設計、施工單位和危險化學品生產、儲存單位要組織對相關負責人、工藝和儀表等工程技術人員開展安全儀表專業培訓,普及功能安全相關知識,學習有關標準規范。要針對安全儀表系統全生命周期不同的環節,分別對設計、安裝調試和操作維護管理人員進行具有針對性的培訓,使相關人員熟練掌握安全儀表系統、風險分析和控制、風險降低等相關專業技術。”
培訓的目的是提升管理,為確保安全儀表系統可靠性和完整性奠定基礎。通過企業走訪,發現針對安全學習、操作規程培訓的資料內容不計其數,而針對安全儀表系統相關知識內容的培訓卻是鳳毛麟角,少之又少。
建設時間早、涉及“兩重大一重大”在役化工裝置或儲存設施,對安全監管要求理解不透徹,執行乏力
《關于加強化工安全儀表系統管理的指導意見》(安監總管三〔2014〕116號)中針對“兩重點一重大”在役生產裝置或儲存設施提出,“要在全面開展HAZOP分析的基礎上,結合風險降低的要求,評估現有安全儀表功能是否滿足風險降低的要求。”
《化工和危險化學品生產經營單位重大生產安全事故隱患判定標準(試行)》(安監總管三〔2017〕121號)中也明確指出:
a.涉及重點監管危險化工工藝的裝置未實現自動化控制,系統未實現緊急停車功能,裝備的自動化控制系統、緊急停車系統未投入使用,構成重大隱患。
b.一級、二級重大危險源的危險化學品罐區未實現緊急切斷功能;涉及毒性氣體、液化氣體、劇毒液體的一級、二級重大危險源的危險化學品罐區未配備獨立的安全儀表系統也構成重大隱患。
通過對以上文件的綜合判斷,在役的“兩重大一重大”化工裝置或儲存設施如果未設置安全儀表系統,現在應該設置安全儀表系統,如果已經設置了安全儀表系統,還應該在HAZOP分析、LOPA分析、SIL定級與驗證的基礎上,分析判斷當前安全儀表系統是否滿足風險降低的要求,如不滿足,則需進一步整改。
為什么針對“兩重大一重大”在役化工裝置或儲存設施如此要求呢?原因就是其固有危險性較大,曾經發生的事故也較多,為了規范管理、遏制事故發生,國家提出的統一監管要求。
針對以上存在問題,我們究竟該如何做,才能守住安全儀表系統這個遏制事故發生的重要屏障呢?筆者認為,應該從以下幾點入手去做:
明確風險降低的要求,規范安全儀表系統設計。
根據在英國發生的34起意外事故的調查報告,導致失效的原因在“實物”系統形成之前約占了60%的比率(安全要求規格書+設計和工程執行)。
為了防止系統在形成之前就埋下失效的“基因”,必須嚴格分析并確定功能安全需求。116號文中提到,要通過過程危險分析,充分辨識危險與危險事件,科學確定必要的安全儀表功能,并根據國家法律法規和標準規范對安全風險進行評估,確定必要的風險降低要求。根據所有安全儀表功能的功能性和完整性要求,編制安全儀表系統安全要求規格書(SRS)。SRS是對實現安全儀表功能起著決定性作用。
企業應根據風險降低的要求,科學組織分析安全完整性等級(SIL)的定級和驗證工作。
以風險矩陣為基礎,組織工藝、設備、儀表、電氣、安全等專業人員,使用危險與可操作性分析(HAZOP)和保護層分析(LOPA)分析,確定安全儀表系統的SIL等級,然后再借助第三方咨詢服務機構力量,對當前運行的安全儀表系統SIL等級進行驗證,確定其是否滿足SIL定級的要求并落實相應整改措施。
科學組織安全儀表系統操作及維護管理。
科學管理實際上就是在做兩件事,一是細化分工,二是提高效率。人和系統怎么進行分工,如何提高效率?肯定是將重復性高、執行目標明確、要求執行速度快的工作交給系統;完善系統、優化管理的決策性工作交由人員去負責。
116號文對安全儀表系統的維護管理這樣描述,“要按照符合安全完整性要求的檢驗測試周期,對安全儀表功能進行定期全面檢驗測試,并詳細記錄測試過程和結果。要加強安全儀表系統相關設備故障管理(包括設備失效、聯鎖動作、誤動作情況等)和分析處理,逐步建立相關設備失效數據庫。要規范安全儀表系統相關設備選用,建立安全儀表設備準入和評審制度以及變更審批制度,并根據企業應用和設備失效情況不斷修訂完善。”
這里提出的要求有兩個方面,第一是定期全面的檢驗測試,SIL等級再高的系統,缺乏維護,終究也是會故障和失效的,滿足不了風險降低的要求。執行機構可能受到使用工況的影響而失效、通信元件可能受到信號干擾而中斷,所以定期全面測試是非常有必要的;第二是要求收集數據,建立失效數據庫,這對安全儀表系統管理也非常重要,相同SIL等級的執行元件,在真實使用環境的失效概率未必一致,同樣是聯鎖誤動作,每次觸發的原因未必相同,只有收集到足夠多的數據才能支撐安全儀表系統管理完善化。
完善安全儀表系統變更管理。
安全儀表系統的變更包括聯鎖值修定、聯鎖的摘除與投用、聯鎖邏輯的修改完善、備品備件非同類替換(包括更換廠家)、以及軟件系統的的迭代升級等,都視為安全儀表系統變更管理范疇,企業必須建立一套系統完整的管理流程,確保風險辨識到位,安全措施已落實。
《關于加強化工過程安全管理的指導意見》(安監總管三〔2013〕88號)對變更管理程序有要求,明確指出任何變更都應經過申請、審批、實施和驗收四個步驟,這是一套閉環管理思維,不僅可以應用到安全儀表系統變更,還可進一步應用于任何變更管理環節。
確保安全儀表系統的獨立性符合要求。
要清楚理解安全儀表系統獨立性概念,它是指系統執行安全儀表功能的獨立性,不是指系統必須完全孤立,不予任何外界系統進行交互;一般來說,SIS系統邏輯控制器獨立是必要的,而測量儀表和最終執行元件是否獨立則需要綜合考慮SIL定級和驗證的結果。安全儀表系統也可以與基本過程控制系統進行數據交互,比如以只讀的方式向基本過程控制系統傳輸信號,基本過程控制系統也可以向SIS傳輸旁路信號和復位信號。
國家層面針對安全儀表系統的重視程度非常高,《關于加強化工安全儀表系統管理的指導意見》安監總管三〔2014〕116號)對加強安全儀表系統管理方面提出治理期限的要求:
(1)2016年1月1日起,大型和外商獨資、合資等具備條件的化工企業新建涉及“兩重點一重大”的化工裝置和危險化學品儲存設施,要設計符合相關標準規定的安全儀表系統。
(2)2018年1月1日起,所有新建涉及“兩重點一重大”化工裝置和危險化學品儲存設施要設計符合要求的安全儀表系統,其他新建化工裝置、危險化學品儲存設施安全儀表系統,從2020年1月1日起,應執行功能安全相關標準要求,設計符合要求的安全儀表系統。
(3)2019年底前,在役的“兩重點一重大”化工企業和危險化學品儲存單位,要完成安全儀表系統評估和完善工作。
可以看出,國家層面針對企業安全儀表系統管理提出了分階段、分層次、科學合理的治理要求,既考慮了實施的可行性,也考慮了工作開展的可持續性問題。
加強企業安全儀表系統管理制度和體系,加大資金投入,保障新建裝置安全儀表系統達到功能安全標準的要求;針對在役裝置安全儀表系統不滿足功能安全要求的,積極投入整改,努力消除潛在事故隱患,對提升企業本質安全水平、遏制化工過程重特大事故具有深遠意義。