确保过程自动化的安全和效率——报警管理与过程安全管理
明确报警管理和过程安全管理之间的相互作用,可以确保生产制造过程的安全和高效。
在过程自动化行业,两个高度专业化的领域是报警管理和过程安全管理。尽管您可能认为这些是单独的主题,但它们实际上是密切相关的。本文将讨论一下两者的关系以及之间的相互作用。
报警管理是利用人为因素(人机工程学)设计和维护报警系统,以最大限度地发挥其有效性的一种应用。报警管理是将人机工程学的应用,用于设计和维护报警系统,以最大程度的提高其有效性。一个常见问题是在工厂发生故障时,会发出过多的报警,通常称之为“报警泛洪”。但是,报警系统还可能存在其它问题,例如优先级低、报警点设置不当、无效报警、报警不清晰等等。不合适的报警管理是计划外停机的主要原因之一,每年会造成超过200 亿美元的生产损失,并会导致重大工业事故,例如2005 年美国德克萨斯城的炼油厂爆炸。
过程安全管理(PSM),是用于管理有害物质处置的系统和过程的完整性规范框架。它依赖于良好的设计原则、实施良好的自动化系统及工程、运营和维护实践。它负责预防和控制可能释放有害物质的事件发生。对于过程工业,重点放在过程安全上, 以防止可能导致重大事故有害物质的排放,而意外事件通常是由危险化学品意外释放引发的。此外,结构故障或稳定性下降也可能成为重大事故的诱发因素。
风险分析的3个步骤
报警管理如何影响过程安全?除了确保更好的运营设施外,它还可以在确定给定过程中的风险(或更确切地说是剩余风险)时发挥作用。过程安全管理风险分析可以分为3 个步骤:
步骤1
首先,您必须系统地评估给定过程装置运营中的危害(固有风险)。这通常由执行过程危险分析的团队完成,最常见的方法是危险和可操作性(HAZOP)研究。识别危险并进行单独评估,以确定发生危险的可能性以及危险的严重程度(如果识别为危险的话)。在大多数公司中,总风险被定义为概率乘以严重程度。
步骤2
对于每个识别出的危害,团队必须评估减轻这些危害的任何防护措施(例如,报警系统),以确定在考虑防护措施后仍有多少剩余风险。这些防护措施称为独立保护层。独立性很重要,因为如果一项保障措施失败,独立性可以确保其不会影响到任何其它保障措施降低风险的能力。有几种方法用于评估安全措施,最常见的是保护层分析。
步骤3
在确定独立保护层后,团队将比较剩余风险与公司定义的可承受风险水平,以确定是否需要采取其它措施。如果剩余风险大于可承受的风险,则需要重新设计过程或安装其它防护措施。常见的安全措施是安装安全仪表系统(SIS),以将剩余风险降低到可接受的水平。剩余风险和可容忍风险之间的差距,大小决定了安全完整性等级(SIL),该等级可以衡量SIS 系统需要达到的“安全”程度(见图1)。
图1 :残留风险超过此图所示的可承受风险级别。剩余风险和可接受风险之间的的差距,将决定安全完整性等级(SIL)。
图片来源:Maverick Technologies
在图1 所示的情况下,即使在考虑了独立保护层,例如基本过程控制系统(BPCS)和机械保护(例如安全阀或破裂盘)之后,剩余风险水平仍超过了可承受的风险水平。为了填补保护方面的空白,可以实施SIS 系统,以将残留风险降低到可接受的水平。
请注意,基本过程控制系统独立保护层可触发运行人员对危险事件的响应,或某种类型的自动控制,从而防止过程达到危险状态,因此作为安全报警,一般是可信的。但是,您只能依靠基本过程控制系统为一个独立保护层提供保障,因为报警和自动控制功能并不是真正独立的。某些基本过程控制系统故障可能会导致这两个功能同时丧失。
获得独立性
如前所述,出于独立性的原因,只能将基本过程控制系统视为一项可信的独立保护层。但是,如果自动控制已经是可信的保护层,并且还想将安全独立保护层报警视为可信的保护层,该怎么办?有没有一种方法可以实现将报警的实施与基本过程控制系统分开?答案是肯定的。
下面是两种常见方法
1
您可以将现场仪表直接连接到灯箱指示器。在过去的面板控制系统中,这是用于报警的传统方法,如今仍在使用。由于信号和通知与基本过程控制系统保持分开,因此除了基本过程控制系统中的自动控制之外,您还可以从报警中获得可信的独立保护层来执行运行人员的操作。
2
为避免使用灯箱指示器所具有的局限性,可以将现场仪表连接到独立于基本过程控制系统人机界面(HMI)的监控系统。SIS 系统或专用的可编程逻辑控制器(PLC)可以为独立的HMI 供电。请注意,此独立系统的整体可用性需要具有0.1 或更小的按需故障概率(PFD)。
关键是使独立保护层安全报警功能与基本过程控制系统完全分开,以使任何故障(包括网络安全攻击)不会同时危害到两个系统的功能。这种独立性包括不能与基本过程控制系统共享现场仪表。
独立保护层安全报警需求
要将报警用作安全独立保护层,需要满足下面4 个要求:
专用:报警必须设计为可用于特定始发事件,该事件会导致您要预防的危险。
可审计的:您需要以适当的频率测试报警,包括相关的仪表,以验证报警是否可以正常工作。
独立:报警必须独立于其它独立保护层,并且引发危险的事件不能导致报警功能的丧失。
可靠:报警触发以及运行人员做出正确响应的可能性,是否满足要求,在设计独立保护层时都需要加以考虑。完整报警功能(传感器+ 逻辑控制器+HMI+ 运行人员响应)的按需故障概率必须小于或等于0.1。在化学过程安全中心(CCPS)相关的各种书籍中,例如“化学过程的安全自动化和保护分析层指南”,都对此主题进行了详细介绍。
过程危险分析的团队职责
在执行过程危险分析时,团队成员必须正确评估和记录已指定用于独立保护层的每个报警,这一点至关重要。
这包括以下职责
· 报警是否满足上述独立保护层安全报警定义的4个要求?
· 运行人员是否有足够的时间来识别报警,并在危险发生之前采取必要的措施?
· 报警设定值应该是多少?
· 测试频率是多少?
· 为缓解危害,运行人员需要采取哪些适当行动?
所有这些信息都需要根据安全独立保护层报警的指定类别,输入到报警管理系统中,以确保它们不会被修改,除非进行了新的过程危险分析分析。无论使用哪种报警管理系统,都需要明确指定独立保护层报警,因为它们需要特殊处理。
对报警管理的影响
将报警用作过程安全危险的保障措施,增加了执行报警管理的重要性。正确的报警管理变得比以往任何时候都至关重要。
保持报警系统的稳定性能,对于确保运行人员及时、准确地响应至关重要。报警泛滥、抖动或活动报警过多,将减少安全独立保护层报警受到关注的机会。报警响应程序应清晰易懂(最好在HMI 中),以便运行人员可以快速有效地响应。
审计是ANSI/ISA-18.2 生命周期的需求,要求对报警系统进行全面评估,包括评估报警系统性能和用于管理报警系统的工作实践。定期检查安全独立保护层报警的触发频率,以及相关运行人员响应的时间和准确性,将有助于发现常规监控中尚不明显的差距,并确定必要的改进措施。
报警管理和过程安全管理之间存在许多相互作用。每个学科都需要采用严格的方法来正确实施,但是了解它们之间的相互作用,对于确保安全和高效的过程同样重要。
本文来自于《控制工程中文版》(CONTROL ENGINEERING China )2019年11-12月刊《技术文章》栏目,原标题为:报警管理与过程安全管理
在线研讨会预告