徐志杰,王立奉,杜佐政

(1． Kenexis咨询公司,天津 300270；2． 中国石化燕山石化公司，北京 102500；3． 中沙(天津)石化有限公司，天津 300271)

在流程工业中，安全仪表系统(SIS)主要用于检测工艺装置是否存在失控情况，然后采取动作将工艺(过程)置于安全状态。SIS的应用涉及设备组件的定期功能测试和自动诊断，旨在检测设备组件潜在危险失效。为了便于开展在线测试，有必要为设备配置在线测试时临时打旁路[1]的手段，一旦检测到设备组件失效，旁路便可以使设备组件的修复成为可能。为实现工艺单元在某些工况下(例如，维护、测试，以及某些特定操作模式下)的持续运行，必须要设置旁路。用于旁路的设备和系统不但是SIS工程的重要组成部分，也是旁路后续管理的必要控制措施。SIS旁路系统通常能够与基于PLC的逻辑控制器进行数字通信，实施并跟踪SIS传感器的应用情况。从管理的角度上讲，所有旁路应该由级别适当的管理人员进行审批，然后，再将存储在过程历史记录中有关旁路事件的自动日志与报警授权记录进行比较，定期审核旁路程序。

1 旁路的设计要求

SIS的旁路设计应遵照IEC 61511： 2016《过程工业领域安全仪表系统的功能安全》[2]的相关要求。该标准从总体上描述了SIS的设计、操作和维护，允许实施旁路，但限制了旁路的使用和设计方式。该标准对于SIS旁路相关要求如下：

1)SIS安全要求规格书(SRS)应包含旁路要求的描述，旁路投用期间适用的书面程序，以及如何对旁路进行管理控制和后续摘除。该标准明确指出，必须对旁路实施管理控制，确保旁路正确地执行，然后再适当地摘除。有关旁路的物理设计方面，该标准也给出了相应要求。

2)旁路开关或手段应加以保护，以防止未经授权的使用，例如，通过钥匙锁或密码与有效管理控制相结合的方式。

3)SIS测试或旁路设施时，应符合如下规定：

a)SIS应按照SRS中的维护和测试要求进行设计。

b)SIS任意部分进行旁路时应通过报警或操作程序提醒操作人员注意。

4)当SIS处于旁路状态时(维修或测试)，应依据该标准的第11.3条提供确保SIS持续安全运行所需的补偿措施。

上述第3)项除了指出旁路系统的设计应符合维护和测试要求，特别是需要在装置运行期间进行测试，还要求旁路投用时必须告知相关操作人员。投用旁路由操作人员通过操作员界面触发，与SIS通信，在装置DCS报警系统中提示和记录。有的时候，特别是最终元件，其旁路可通过现场的物理设备(例如，旁路阀)来实现。操作人员若要知晓旁路状态需要借助管理控制措施及相关程序，有时甚至还需要使用特殊仪表装置(例如，阀门限位开关)。第4)项进一步强化了旁路在管理控制方面的内容，要求在旁路投用时，必须采取补偿措施。补偿措施指工艺装置在线运行期间旁路投用时采取的措施，例如使用冗余设备或管理控制措施。

2 旁路管理的最佳实践

旁路管理包括进入旁路之前的审查和批准程序(有可能涉及风险评估)、要求的补偿措施程序、投用旁路的告知和跟踪，以及对旁路正确使用的审核。通过使用自动化设备和旁路管理软件，可为上述任务的执行提供便利。当然，如果人工活动日志使用得当，也可取得同样的效果。旁路管理的第一步是授权。在将设备投旁路之前，首先要审查设备旁路的理由和与旁路有关的风险，旁路的持续时间、补偿措施的类别与有效性、以及与打旁路组件所预防危害有关的风险程度等。若旁路时限超过最长允许维护时间，或者出于常规维修或维护[3]以外的原因，则应开展旁路风险评估。

如果打旁路的组件没有冗余(即容错)，则应制定管理性质的备用保护计划并将其作为旁路时的补偿措施。对于通用性的应用，清单上的信息可以预先写好，也可以即兴开发，然后存储在数据库系统中，以便需要时进行检索。

旁路投用且所有的补偿措施均确定后，还需要定期审查旁路的状态。一般可由操作人员在交接班期间来完成，需要审查所有的旁路，并确认旁路能否继续按要求使用。如果旁路超过允许时限，则旁路的继续使用必须升级管理，有可能还需要进行额外的风险评估。除所述的旁路投用和摘除之外，还应该定期开展审核，以确保SIS旁路没有被滥用。跟踪和记录旁路活动的自动系统，强化了这一审核过程。该审核过程首先要获得目标时间段内旁路投用和批准的记录，最佳做法是将旁路投用的情况记录在DCS的报警日志当中，然后再过滤与旁路报警有关的报警信息。旁路审批的最佳实践是使用数据库系统，将旁路投用与旁路批准进行比较，确保一一对应关系。若发现与上述情况不符，则通常意味着旁路的设置未经授权或批准。此外，还可定期抽查批准的情况，验证旁路投用的目的是否充分。

3 常用的旁路方法

本章将主要介绍五种常见的现场最终元件的旁路方法。

3.1 阀门旁路管线组件

对关断阀进行全功能测试时，通常需要包含多台阀门及相关管线的旁路组件，以便接受测试的关断阀关闭时管线中的流量不会中断。关断阀旁路组件如图1所示。

图1 关断阀旁路管线组件示意

该类旁路首先手动打开旁路阀，然后关闭关断阀前后两侧切断阀的方式来实现。一旦完成测试，关断阀前后的2台切断阀重新开启，而旁路阀则应关闭。该套组件的潜在危险失效是，在进行完测试/维护之后，旁路阀仍有可能保持在开启位置，关断阀接到关闭指令关闭后，工艺流体继续流经旁路阀，故不能阻止物流流动。

为了防止该类情况的发生，必须落实管理控制措施，确保测试完成后旁路阀处于关闭位置。管理控制措施最简单的方式是在测试书面程序中写入有关旁路阀关闭的内容。具备执行程序且经过资质认证的操作人员签字确认所有程序步骤已经完成。另一种方式较为高级，即为旁路阀加上限位开关，该限位开关向控制系统发送信号，指示旁路阀是否处于关闭状态。此外，还可落实定期审核控制系统报警日志的程序，确认指示为开启状态的旁路阀是否正在进行维护。

对旁路阀进行管理控制的折中办法是将旁路阀列入铅封清单，定期对铅封状态进行审核。铅封是指采用可拆卸的约束手段(例如，束线带)将设备以打铅封的方式固定在“安全”位置。维修活动结束后，设备应重新置于安全位置，并再次打上铅封。铅封程序必须包括对铅封状态的定期物理检查(按周或按月例行巡检)，基于云的移动式计算工具能够为该项工作提供便利。

3.2 阀门卡销装置

在运行条件下采用旁路管线组件对关断阀进行全功能测试时，可使用卡销装置对关断阀进行部分行程测试(PST)[4]，测试期间尽管阀位发生变化，但关断阀并不会处于全关状态。典型的卡销装置如图2所示。

图2 阀门卡销装置示意

关断阀的PST通过将卡销装置插入阀门执行器，然后切断阀门的电磁阀信号。一旦电磁阀失电，关断阀卡销装置能够限制其移动的位置，阀门开度通常为5%～10%。重新接通电磁阀信号，关断阀回到100%全开的位置。如果电磁阀失电时，阀门移动至卡销装置所处位置，则PST测试成功；否则PST测试失败，阀门需要维修。使用该类旁路方式的主要风险在于旁路装置(卡销装置)有可能会在测试完成后意外留在原处。要解决该类失效模式，只能通过管理控制措施或重新设计PST，例如，采用不需要机械卡销装置的方式。管理控制措施应包括程序、培训和签字等，但笔者建议将阀门卡销方式纳入铅封程序进行管理。

3.3 电磁阀闩锁

关断阀的旁路管线组件和阀门卡销装置可以专门用于测试。另一种较为常见的旁路方法是使用电磁阀手动复位闩锁。由于停车时最终元件(阀门)置于安全位置并保持不变，直至手动复位，手动复位通常内置于阀门的关停控制装置。电磁阀的手动复位闩锁分为三类，即励磁(得电)锁定手动复位式，失磁(失电)锁定手动复位式和防篡改式(tamper-proof)手动复位式。带手动复位闩锁的电磁阀如图3所示。

图3 带手动复位闩锁的电磁阀示意

复位闩锁的作用是防止阀门意外改变阀位，即便是在电磁阀重新励磁(得电)之后。只有在电磁阀重新励磁(得电)且阀杆上移至锁定位置，相关停车阀才会开启。有时当电磁阀失磁(失电)后，闩锁会恢复至非锁定位置，电磁阀处于能够使相关停车阀执行器排气的位置，从而使停车阀关闭。复位闩锁产生的潜在危险失效是保持在锁定位置。某些型号的电磁阀，若手动复位闩锁保持在锁定位置，即使电磁阀失电，停车阀仍能保持其正常阀位(但不会触发停车)。要做到这一点，复位闩锁必须以不得触动的方式进行操作。有时可通过使用铁丝或绳子将复位闩锁绑扎在其上方的管道或手轮上的方式来实现。此外，上述情形还可由冰暴天气意外导致，即整个组件上覆盖了一屋薄冰，这足以将电磁闩锁固定住。单就解决影响安全的问题而言，管理控制措施从技术上讲并非铅封，而是一种检查。可以利用铅封程序的基础框架来安排和记录相应的检查工作。

3.4 阀门手轮

上述的三种旁路方式均为有意进行的旁路，阀门手轮并不用于执行旁路，常用于阀门测试或验证阀位开关指示是否正确，很多时候造成阀门意外旁路的人员也并未意识到自己的行为导致旁路的发生。

通常情况下，执行机构驱动的阀门通过改变执行器的气压来调节。某些情况下，有可能需要在现场手动调节阀位。该项工作可通过手轮直接作用于阀杆，从而对阀位进行物理调节。手轮在使用之后，阀门要回到自动位，即，将阀位的控制权交还给SIS。手轮处于工作位期间，表明阀门已进入旁路状态，也就是说阀门基本上会忽略SIS发出的让其进入安全状态的指令。当阀门手轮处于工作位时，必须进行必要的旁路管理[5]活动和授权，包括制定备用保护计划，为受到影响而不再处于投用状态的SIS组件提供相应的补偿措施。

如上文所述，阀门手轮处于工作位时会使阀门及其相关的安全仪表功能(SIF)进入旁路状态。因此，控制相关阀门何时进入手轮的工作位模式，以及验证阀门其他时间是否始终处于自动模式显得尤为重要。确保阀门的手轮处于自动模式，以及在非自动模式下对手轮进行适当管理，可通过管理控制措施加以实现。当前的最佳实践是将阀门手轮的管理纳入生产装置的铅封系统。此外，还应审查阀门手轮的使用程序，同时开展相应的培训，强调阀门使用手轮时的危险性。管理控制措施的替代方法是，如果阀门上的手轮并非必须，则可考虑将其拆除。

3.5 手动/自动切换开关

最后一种意外旁路是手动/自动切换开关(HOA)。HOA用于操控信号并控制电机运行。HOA有三种位置，即手动(HAND)位置、关(OFF)位置和自动(AUTO)位置。HOA拨至关位置时，控制信号切断，电机启动器会将电机断电。当电机(包括相关机泵或压缩机)需要自动运行时，可将HOA拨至自动位置，启/停信号由控制逻辑和/或SIS逻辑接通或断开。正常情况下，不应使用手动位置。只有在电机离线和停止运行时，才可将HOA拨至手动位置对电机及其相关电路进行维护和故障排查。事实上，当HOA置于手动位置时，电机启动器的控制电路会直接通电，将所有的控制和SIS功能旁路掉。此时，任何控制动作或关停动作均不会对电机启动器的运行造成影响。

有的时候，SIS的潜在危险失效还有可能是将HOA拨至手动位置而非自动位置造成机泵错误启动所致。能够避免该类意外旁路的选项有以下几种： 最简单的方法是采用启/停操作柱(无旁路SIS功能的手动位置)来取代SIS中的HOA；另一种选择是将自动和手动电路一起接线，当SIS发出关/停机泵或压缩机的指令时，手动和自动两个电路同时断电。若采用传统的HOA，则必须借助管理控制措施管控其使用。此外，还应为操作人员提供正常操作时如何使用HOA的培训，并在操作程序中写明HOA操作位置错误引发的后果。HOA同样也可以纳入铅封程序进行管理，确保其不会被意外置于错误位置。

4 现场设备的旁路管理

现场存在诸多能够在不经意间将SIS置于旁路的情况，良好的管理控制程序对于将该类意外旁路的风险降低至可容忍水平而言至关重要。管理控制程序最好通过正式的审核或检查[6]，以定期开展的方式加以落实。铅封审核和检查计划比较容易建立和实施，通过使用基于云的工具(同时辅以移动式设备)，可以大幅简化该过程。铅封程序执行的第一步是识别需要打铅封的设备并编制铅封清单，铅封清单的编制最好从管道和仪表流程图(P&ID)开始。通常情况下，需要打铅封的阀门都会在P&ID图中标注“铅封开(CSO)”或“铅封关(CSC)”，明确铅封的具体位置和要求。除了要对P&ID图进行审查外，铅封还是过程危害分析(PHA)期间需要定期讨论的话题，内容包括手动阀门的意外操作等。对于SIS而言，不但需要在P&ID图上标明，而且最终元件的铅封要求还可能需要记录在SRS当中。对于某些历来忽略铅封要求的生产装置，则应考虑对所有的手动关断阀及其误操作的后果进行团队审查，辨识阀门打铅封的必要性，这或许也是改善过程安全的一种有效方法。一旦创建好铅封清单，接下来要在现场为相关设备打上铅封并做好标记，铅封一般采用金属线或束线带。铅封程序的目的并非从物理上阻止人员改变阀门或其他设备的位置，它只是一种实物提醒，旨在提警相关人员在无适宜授权的情况下不得操作设备。从某种意义上讲，上述设备操作预防的实施手段(例如，束线带与链条和挂锁)只是企业(组织)基于安全文化和管理实践的一种政策问题。铅封应悬挂标签并注明相关设备的位号、工况、铅封位置和警告等信息。使用移动式设备(例如，智能手机)可以扫描的条形码或二维码或许对铅封有所帮助，便于检索设备的规格信息和与该设备所预防危害有关的PHA分析项的链接。

打完铅封之后，需要定期检查铅封的完整性。检查频次可由生产装置依据现场维护和测试活动的频率进行确定。对于大多数工艺装置而言，每月一次的检查通常是适宜的。检查活动需要事先规划，完成情况应进行核实。程序化的维护管理系统是规划并完成该项工作的最常用方法。然而，某些企业(组织)的管理体系导致铅封检查要么被忽略，要么开展的并不理想。与移动式设备相配套的基于云的程序执行跟踪软件，为该类检查实践提供了便利。程序跟踪系统允许创建电子程序，包括程序当中必须执行的所有步骤的清单。

对于步骤清单中的每个步骤，可以定义多种属性，包括： 任务持续时间(最长、最短、预计)；任务位置，包括图像、GPS坐标、装置标准二维码；任务执行视频；任务许可条件或先决条件；任务完成的二维码确认。

一旦将这些信息嵌入程序，任务执行人员便可以访问该类信息以获取帮助。此外，还可以集中规划和跟踪程序的进度(安排)和执行情况。当程序需要执行时，会自动生成提示(例如，电子邮件或文本)并能够将所有预定程序的状态和时间仪表板化。待执行该程序的相关人员接受之后，便可以使用移动式设备执行该程序。对于每个步骤，技术人员或操作人员均可通过自持的移动设备获取任务的说明、图像、GPS地图和视频。随后，还可以扫描二维码确认该步骤的执行情况。

除了程序执行的移动视图外，还有一个能够涵盖所有程序活动(包括过去和现在)的综合性视图。借助该数据视图，便可以知晓目前正在执行的所有程序，何人在执行程序，处在程序的什么步骤，以及执行程序的时间戳。

5 结束语

综上所述，将SIS有意和无意置于旁路的方法有很多种。在许多情况下，需要制定并落实旁路机制，以便在装置运行时能够对安全关键设备进行测试。SIS尽管允许进行旁路，但必须使用适宜的工程设备并落实相应的管理控制措施进行严格管控。使用基于云和移动式计算系统来跟踪、记录和推进所需的检查和授权，为意在正确使用旁路的程序(包括铅封清单和相关检查)的执行提供了便利。该方法对于预防SIS处于旁路而相关人员不知晓的情况具有指导意义，此外，对于预防DCS联锁的意外旁路也有一定的参考价值。