CCPS安全可靠儀表保護系統(tǒng)指南

化工裝置一般設(shè)有生產(chǎn)自動化控制系統(tǒng)，生產(chǎn)自動化控制系統(tǒng)包括基本生產(chǎn)過程控制系統(tǒng)（BPCS）、安全儀表系統(tǒng)（SIS）和可燃有毒氣體檢測報警系統(tǒng)（GDS），化工裝置根據(jù)需要設(shè)置其中一套或幾套系統(tǒng)。

對于BPCS報警值和SIS聯(lián)鎖值的設(shè)定要求，是圈友們關(guān)注的熱點，近期有圈友提出“有沒有什么規(guī)范或文件規(guī)定了BPCS和SIS報警聯(lián)鎖值的設(shè)定要求？二者之間有什么關(guān)系？SIS的復(fù)位有什么權(quán)限和管理要求嗎？”。本文就該問題，特邀儀表圈技術(shù)專家結(jié)合規(guī)范進行深入討論并整理成文，供圈友參考。

問題一、有沒有什么規(guī)范或文件規(guī)定BPCS和SIS報警聯(lián)鎖值的設(shè)定要求？二者之間有什么關(guān)系？

·?從具體的針對性要求來看

SH/T 3007-2014 《石油化工儲運系統(tǒng)罐區(qū)設(shè)計規(guī)范》，給出了如何設(shè)置高液位報警、高高液位報警。 ? 可以看出，高液位報警和高高液位報警之間應(yīng)有10min～15min儲罐最大進液量折算高度，m，也就是留出了操作人員根據(jù)BPCS報警的響應(yīng)時間，如果在一定的時間內(nèi)（比如10min～15min）不能有效響應(yīng)，那么就進入高高液位報警/聯(lián)鎖，故BPCS報警先于SIS聯(lián)鎖。

? ·?從合理性要求來看 ? GB/T 50770-2013 《石油化工安全儀表系統(tǒng)設(shè)計規(guī)范》，條文說明2.1.7給出了，圖1-石油化工工廠或裝置的典型多保護層結(jié)構(gòu)（見下文）。 ? 從中可以清楚的知道BPCS報警值和SIS聯(lián)鎖之間的順序關(guān)系，即BPCS報警先于SIS聯(lián)鎖。 ?
·?從間接要求來看 ? SH/T 3184-2017 《石油化工罐區(qū)自動化系統(tǒng)設(shè)計規(guī)范》，給出了間接要求，也可以看出相互之間的關(guān)系，即BPCS報警先于SIS聯(lián)鎖以及更細化的儀表配置要求。

? ·?從其他可能的要求方式來看 ? GB/T 41394-2022 《爆炸危險化學(xué)品儲罐防溢系統(tǒng)功能安全要求》，根據(jù)儲罐監(jiān)控方式和儀表配置分類情況，給出了相關(guān)要求。 ? CCPS 《Guidelines for Safe and Reliable Instrumented Protective Systems》，F(xiàn)igure 4.4. Process Condition Changes With Time?可以看出BPCS報警和SIS聯(lián)鎖之間的順序關(guān)系。 ? GB/T 41261-2022 《過程工業(yè)報警系統(tǒng)管理》也可以獲得有參考價值的信息。 ? API RECOMMENDED PRACTICE 556 《Instrumentation, Control, and Protective Systems for Gas Fired Heaters》也可以看出BPCS報警和SIS聯(lián)鎖之間的順序關(guān)系。 ? DEP 32.80.10.14-Gen-2017 《ALARM MANAGEMENT?Figure 3.1 Example of Limit and Constraint Hierarchy》Table 3.1 Engineering Constraint?也可以看出BPCS報警和SIS聯(lián)鎖之間的順序關(guān)系。

? 綜上所述，BPCS報警和SIS聯(lián)鎖之間的關(guān)系是BPCS報警先于SIS聯(lián)鎖。 ? ·

?從方法論理解 ? 危險事件自下而上，逐層穿透保護層。 ?

? ? ? 拓展思考

根據(jù)SH/T3007-2014，在一些場景需要設(shè)置第二套液位儀表，比如如下要求：

5.4.3 儲存I級和II級毒性液體的儲罐、容量大于或等于3000 m3的甲B和乙A 類可燃液體儲罐、容量大于或等于10000 m3 的其他液體儲罐應(yīng)設(shè)高高液位報警及聯(lián)鎖，高高液位報警應(yīng)聯(lián)鎖關(guān)閉儲罐進口管道控制閥。高高液位報警的設(shè)定高度，宜按下式計算： ? ?h6 =h+h2…………（5.4.3） ? 式中：h6 ——高高液位報警器的設(shè)定高度，m。 ? 5.4.4 裝置原料儲罐宜設(shè)低低液位報警，低低液位報警宜聯(lián)鎖停泵。 ? 5.4.5 儲罐高高、低低液位報警信號的液位測量儀表應(yīng)采用單獨的液位連續(xù)測量儀表或液位開關(guān)，報警信號應(yīng)傳送至自動控制系統(tǒng)。 ? 從以上要求可以看出，對于滿足5.4.3條款的儲罐需要設(shè)置高高液位報警及聯(lián)鎖，液位測量儀表應(yīng)采用單獨的液位連續(xù)測量儀表或液位開關(guān)，報警信號應(yīng)傳送至自動控制系統(tǒng)。 ? 這里的聯(lián)鎖可以是BPCS聯(lián)鎖，也可以是SIS聯(lián)鎖，具體選擇應(yīng)滿足法律法規(guī)和標準規(guī)范的要求，比如應(yīng)滿足安監(jiān)局40號令的相關(guān)規(guī)定，比如應(yīng)根據(jù)HAZOP和LOPA分析結(jié)果進行配置。 ? 有朋友可能會問，為什么BPCS聯(lián)鎖也需要設(shè)置第二套液位儀表，這個可以從為什么設(shè)置聯(lián)鎖進行思考，設(shè)置聯(lián)鎖是為了降低風(fēng)險，設(shè)置聯(lián)鎖的場景是風(fēng)險相對較高的場景，見5.4.3提到的情況，從降低風(fēng)險、減小共因失效的角度思考，需要設(shè)置第二套液位儀表。

問題二、關(guān)于復(fù)位有什么權(quán)限和管理要求 ? 可以分析復(fù)位的設(shè)置原因、作用，實現(xiàn)方式，這樣就容易得到其權(quán)限。復(fù)位屬于重新開車。 ?

問題三、企業(yè)能否在SIS動作后自行復(fù)位？企業(yè)有自控系統(tǒng)維護維修特種作業(yè)人員和沒有維護維修特種作業(yè)人員是不是不一樣？

建議多以認識論和方法論進行思考和分析，與確定方案和策略。 ? 開車和局部開車、恢復(fù)，企業(yè)能否自行實施。（文末摘錄部分關(guān)于復(fù)位按鈕的設(shè)計及使用要求。） ? 復(fù)位前的工作有多種，其中設(shè)備可能有問題需要維護，也可能設(shè)備沒有問題不需要維修。不同場景和情況，自然需要滿足相應(yīng)的要求。哪些工作需要由特種作業(yè)人員實施。需要由特種作業(yè)人員實施的工作自然需要由特種作業(yè)人員實施，不管是哪個階段或者場景的工作。 ? 了解了以上，不難得出答案。 ? ? 關(guān)于相關(guān)的標準摘錄

報警和聯(lián)鎖相關(guān)的一些標準摘錄：

GB/T 50770-2013 《石油化工安全儀表系統(tǒng)設(shè)計規(guī)范》

2.1.7 保護層 protection layer

通過控制、預(yù)防、減緩等手段降低風(fēng)險的措施。

SH/T 3007-2014 《石油化工儲運系統(tǒng)罐區(qū)設(shè)計規(guī)范》

4 儲罐選用

4.1 儲罐容量

4.1.8 儲罐的設(shè)計儲存高液位應(yīng)符合下列規(guī)定：

a) 固定頂罐的設(shè)計儲存高液位宜按下式計算

h=H1-(h1+h2+h3) ......（4.1.8-1）

式中：

h-----儲罐的設(shè)計儲存高液位，m；

H1-----罐壁高度，m；

h1-----泡沫產(chǎn)生器下緣至罐壁頂端的高度，m；

h2-----10min～15min儲罐最大進液量折算高度，m；

h3-----安全裕量，m，可取0.3m（包括泡沫混合層厚度和液體的膨脹高度）；

b）浮頂罐、內(nèi)浮頂罐的設(shè)計儲存高液位宜按下式計算：

h=h4-（h2+h5）......（4.1.8-2）

式中：

h4-----浮頂設(shè)計最大高度（浮頂?shù)孛妫琺；

h5-----安全裕量，m，可取0.3m（包括液體的膨脹高度和保護浮盤所需裕量）；

c) 壓力儲罐的設(shè)計儲存高液位宜按下式計算：

h=H2-h2 ......（4.1.8-3）

式中：

H2-----液相體積達到儲罐設(shè)計容積的90%時的高度，m。

條文說明：

4.1.8

a）固定頂罐的h1參考值如下：

釆用PC-4型泡沫產(chǎn)生器時，h1 =213mm。

采用PC-8型泡沫產(chǎn)生器時，h1 =240mm。

釆用PC-16型泡沫產(chǎn)生器時，h1 =303mm。

b）浮頂罐、內(nèi)浮頂罐浮盤設(shè)計最大高度（浮頂?shù)酌妫﹨⒖贾等缦拢?/p>

浮頂罐：罐壁頂以下1.5m～1.6m。

采用鋼浮盤的內(nèi)浮頂罐：罐壁頂以下0.9m～1.0m。

釆用鋁浮盤的內(nèi)浮頂罐（罐壁無通氣口）：罐壁頂以下0.5m～0.6m。

采用鋁浮盤的內(nèi)浮頂罐（罐壁有通氣口）：罐壁頂以下0.8m～0.9m。

4.1.9 儲罐的設(shè)計儲存低液位應(yīng)符合下列規(guī)定：

a）應(yīng)滿足從低液位報警開始10min～15min內(nèi)泵不會發(fā)生汽蝕的要求；

b）浮頂儲罐或內(nèi)浮頂儲罐的設(shè)計儲存低液位宜高出浮頂落底高度0.2m；

c）不應(yīng)低于罐內(nèi)加熱器的最高點。

條文說明：

4.1.9 規(guī)定“浮頂儲罐和內(nèi)浮頂儲罐的設(shè)計儲存低液位宜高出浮頂落底高度0.2m”，是為了提醒操作人員，使用過程中要避免浮頂落底。浮頂罐和內(nèi)浮頂罐的浮頂一般情況下漂浮在液面上，直接與液面接觸，可以有效抑制油氣揮發(fā)，且除密封圈處外沒有氣相空間，極大地消除了爆炸環(huán)境。浮頂一旦落底，就會在液面與浮頂之間出現(xiàn)氣相空間，對于易燃液體來說，有氣相空間就會有爆炸性氣體，就大大增加了火災(zāi)危險性。

SH/T 3007-2014 《石油化工儲運系統(tǒng)罐區(qū)設(shè)計規(guī)范》

5 常壓和低壓儲罐區(qū)

5.4 儀表選用與安裝

5.4.1 容量大于100 m3 的儲罐應(yīng)設(shè)液位連續(xù)測量遠傳儀表。

5.4.2 應(yīng)在自動控制系統(tǒng)中設(shè)高、低液位報警并應(yīng)符合下列規(guī)定：

a）儲罐高液位報警的設(shè)定高度，不應(yīng)高于儲罐的設(shè)計儲存高液位；

b）儲罐低液位報警的設(shè)定高度，不應(yīng)低于儲罐的設(shè)計儲存低液位。

5.4.3 儲存I級和II級毒性液體的儲罐、容量大于或等于3000 m3的甲B和乙A 類可燃液體儲罐、容量大于或等于10000 m3 的其他液體儲罐應(yīng)設(shè)高高液位報警及聯(lián)鎖，高高液位報警應(yīng)聯(lián)鎖關(guān)閉儲罐進口管道控制閥。高高液位報警的設(shè)定高度，宜按下式計算：

h6 =h+h2…………（5.4.3）

式中：

h6 ——高高液位報警器的設(shè)定高度，m。

5.4.4 裝置原料儲罐宜設(shè)低低液位報警，低低液位報警宜聯(lián)鎖停泵。

5.4.5 儲罐高高、低低液位報警信號的液位測量儀表應(yīng)采用單獨的液位連續(xù)測量儀表或液位開關(guān)，報警信號應(yīng)傳送至自動控制系統(tǒng)。

條文說明：

5.4.1液位是儲罐需要監(jiān)控的最重要參數(shù)，故本條要求“儲罐應(yīng)設(shè)液位測量遠傳儀表”。

5.4.2設(shè)置高（低）液位報警的目的，是預(yù)報罐內(nèi)液位將升高（降低）到所規(guī)定的極限高度，要求操作人員聽到報警后，需在規(guī)定的時間內(nèi)完成切換儲罐的工作，才能避免發(fā)生事故。

5.4.3高高液位聯(lián)鎖關(guān)進口閥可防止儲罐進料時滿溢，對本條所列三種情況需采取更嚴格的安全保護措施。

6 壓力儲罐區(qū)

6.3 儲罐儀表選用和安裝

6.3.1 壓力儲罐應(yīng)設(shè)壓力就地指示儀表和壓力遠傳儀表。壓力就地指示儀表和壓力遠傳儀表不得共用一個開口。

6.3.2 壓力儲罐液位測量應(yīng)設(shè)一套遠傳儀表和一套就地指示儀表，就地指示儀表不應(yīng)選用玻璃板液位計。

6.3.3 液位測量遠傳儀表應(yīng)設(shè)高、低液位報警。高液位報警的設(shè)定高度應(yīng)為儲罐的設(shè)計儲存高液位；低液位報警的設(shè)定高度，應(yīng)滿足從報警開始10min~15min內(nèi)泵不會汽蝕的要求。

6.3.4 壓力儲罐應(yīng)另設(shè)一套專用于高高液位報警并聯(lián)鎖切斷儲罐進料管道閥門的液位測量儀表或液位開關(guān)。高高液位報警的設(shè)定高度，不應(yīng)大于液相體積達到儲罐計算容積的90%時的高度。

GB 50074-2014 《石油庫設(shè)計規(guī)范》

15 自動控制和電信

15.1 自動控制系統(tǒng)及儀表

15.1.1 容量大于100m3的儲罐應(yīng)設(shè)液位測量遠傳儀表，并應(yīng)符合下列規(guī)定：

（1）液位連續(xù)測量信號應(yīng)采用模擬信號或通信方式接入自動控制系統(tǒng)。

（2）應(yīng)在自動控制系統(tǒng)中設(shè)高、低液位報警。

（3）儲罐高液位報警的設(shè)定高度應(yīng)符合現(xiàn)行行業(yè)標準《石油化工儲運系統(tǒng)罐區(qū)設(shè)計規(guī)范》SH/T 3007的有關(guān)規(guī)定。

（4）儲罐低液位報警的設(shè)定高度應(yīng)滿足泵不發(fā)生汽蝕的要求，外浮頂儲罐和內(nèi)浮頂儲罐的低液位報警設(shè)定高度(距罐底板)宜高于浮頂落底高度0.2m及以上。

條文說明：

15.1.1 相對于本規(guī)范2002版，本次修訂提高了石油庫的自動化監(jiān)控水平，這是與我國現(xiàn)階段經(jīng)濟實力、技術(shù)水平、安全和環(huán)保需求相適應(yīng)的。液位是儲罐需要監(jiān)控的最重要參數(shù)，故本條要求“儲罐應(yīng)設(shè)液位測量遠傳儀表”。對1、4款說明如下：

1 為防止儲罐滿溢引起火災(zāi)、爆炸，在儲罐上最好設(shè)液位計和高液位報警器。只要有信號遠傳儀表，就可以很方便地設(shè)置報警。儲罐都有測量遠傳儀表，這樣就充分利用了儀表資源。

4 本款規(guī)定，是為了提醒操作人員，使用過程中需避免泵發(fā)生汽蝕和浮頂落底。外浮頂罐和內(nèi)浮頂罐的浮頂一般情況下漂浮在液面上，直接與液面接觸，可以有效抑制液體揮發(fā)，且除密封圈處外沒有氣相空間，極大地消除了爆炸環(huán)境。浮頂一旦落底，就會在液面與浮頂之間出現(xiàn)氣相空間，對于易燃液體來說，有氣相空間就會有爆炸性氣體，就大大增加了火災(zāi)危險性。2010年發(fā)生的北方某大型油庫火災(zāi)事故中，有多個100000m3儲罐在10余米的近距離受到火焰的烘烤，但只有103號罐被引燃并最終被燒毀，主要原因是該罐當(dāng)時浮頂已落底，罐內(nèi)有少量存油，在火焰的烘烤下，存在于氣相空間的油氣很容易就被引爆起火了。

15.1.2 下列儲罐應(yīng)設(shè)高高液位報警及聯(lián)鎖，高高液位報警應(yīng)能同時聯(lián)鎖關(guān)閉儲罐進口管道控制閥：

（1）年周轉(zhuǎn)次數(shù)大于6次，且容量大于或等于10000m3的甲B、乙類液體儲罐；

（2）年周轉(zhuǎn)次數(shù)小于或等于6次，且容量大于20000m3的甲B、乙類液體儲罐；

（3）儲存Ⅰ、Ⅱ級毒性液體的儲罐。

條文說明：

15.1.2 高高液位聯(lián)鎖關(guān)閉進口閥可防止儲罐進油時溢油，對本條所列三種情況需采取更嚴格的安全保護措施。

15.1.3 容量大于或等于50000m3的外浮頂儲罐和內(nèi)浮頂儲罐應(yīng)設(shè)低低液位報警。低低液位報警設(shè)定高度(距罐底板)不應(yīng)低于浮頂落底高度，低低液位報警應(yīng)能同時聯(lián)鎖停泵。

條文說明：

15.1.3 低低液位開關(guān)的設(shè)置是為了避免浮頂支腿降落到罐底。由于大型儲罐一旦發(fā)生事故危害性也大，所以對大于或等于50000m3的儲罐的要求更高些。

15.1.4 用于儲罐高高、低低液位報警信號的液位測量儀表應(yīng)采用單獨的液位連續(xù)測量儀表或液位開關(guān)，并應(yīng)在自動控制系統(tǒng)中設(shè)置報警及聯(lián)鎖。

條文說明：

15.1.4 “單獨的液位連續(xù)測量儀表或液位開關(guān)”是指，除了“應(yīng)設(shè)液位測量遠傳儀表”外，還需設(shè)置一套專門用于儲罐高高、低低液位報警及聯(lián)鎖的液位測量儀表。

SH/T 3184-2017 《石油化工罐區(qū)自動化系統(tǒng)設(shè)計規(guī)范》

4 儲罐計量與測量方案

4.2 儲罐的儀表測量方案

4.2.1 計量級常壓和低壓儲罐

4.2.1.1 容積大于 100m3 的儲罐應(yīng)在罐頂設(shè)置液位連續(xù)測量儀表，容積不小于 1×100000m3 的儲罐宜設(shè)置2套，液位連續(xù)測量儀表應(yīng)配罐旁指示儀顯示液位，應(yīng)在控制系統(tǒng)中設(shè)置高、低液位報警。

4.2.1.2 應(yīng)根據(jù)工藝要求在控制系統(tǒng)中設(shè)置高高、低低液位報警及聯(lián)鎖，信號所用的測量儀表應(yīng)單獨設(shè)置，宜采用連續(xù)測量儀表，也可采用液位開關(guān)；應(yīng)設(shè)置高高液位聯(lián)鎖關(guān)閉罐進口管道開關(guān)閥、低低液位聯(lián)鎖停泵并關(guān)閉出口管道開關(guān)閥的控制方案，報警及聯(lián)鎖應(yīng)在控制系統(tǒng)中實現(xiàn)。

條文說明：

4.2.1.2 本條中的工藝要求應(yīng)由工藝專業(yè)參照 SH/T 3007—2014《石油化工儲運系統(tǒng)罐區(qū)設(shè)計規(guī)范》5.4.3 規(guī)定：“儲存Ⅰ級和Ⅱ級毒性液體的儲罐、容量大于或等于 3000m3 的甲B 和乙A 類可燃液體儲罐、容量大于或等于 10000m3 的其他液體儲罐應(yīng)設(shè)置高高液位報警及聯(lián)鎖……”以及其他條件提出。由于連續(xù)測量儀表的信號是連續(xù)的，可以實時測量過程變量、確定儀表的工作狀態(tài)，比不常動作的開關(guān)類儀表更可靠，并且報警值的設(shè)定不受安裝位置的限制，所以，可靠性要求較高的場合應(yīng)采用連續(xù)液位測量儀表代替液位開關(guān)。

采用連續(xù)液位測量儀表代替液位開關(guān)的儲罐應(yīng)設(shè)置 2 套連續(xù)液位測量儀表，即一套用于液位連續(xù)測量和高、低液位報警，另一套用于高高、低低液位報警及聯(lián)鎖。

4.2.2 非計量級常壓和低壓儲罐

4.2.2.1 容積大于 100m3 的儲罐應(yīng)在罐頂設(shè)置液位連續(xù)測量儀表，容積不小于1×100000m3的儲罐宜設(shè) 2 套，液位連續(xù)測量儀表應(yīng)配罐旁指示儀顯示液位，應(yīng)在控制系統(tǒng)中設(shè)置高、低液位報警。

4.2.2.2 應(yīng)根據(jù)工藝要求在控制系統(tǒng)中設(shè)置高高、低低液位報警及聯(lián)鎖，信號所用的測量儀表應(yīng)單獨設(shè)置，宜采用連續(xù)測量儀表，也可采用液位開關(guān)；應(yīng)設(shè)置高高液位聯(lián)鎖關(guān)閉罐進口管道開關(guān)閥、低低液位聯(lián)鎖停泵并關(guān)閉出口管道開關(guān)閥的控制方案，報警及聯(lián)鎖應(yīng)在控制系統(tǒng)中實現(xiàn)。

條文說明：

4.2.2.2 參見 4.2.1.2 條文說明。

4.2.3 計量級壓力儲罐

4.2.3.1 應(yīng)在罐頂設(shè)置 2 套配備罐旁指示儀的液位連續(xù)測量儀表，其中一套用于在控制系統(tǒng)中設(shè)置高、低液位報警。

4.2.3.2 應(yīng)根據(jù)工藝要求在控制系統(tǒng)中設(shè)置高高液位報警及聯(lián)鎖關(guān)閉儲罐進料管道開關(guān)閥的控制方案，信號采用上述另一套液位連續(xù)測量儀表；當(dāng)需要第三套液位儀表時，宜采用連續(xù)測量儀表，也可采用液位開關(guān)。

條文說明：

4.2.3 壓力儲罐采用球形儲罐，目前我國還沒有球形壓力儲罐的計量標準和相關(guān)算法，因此本條規(guī)定的儀表設(shè)置應(yīng)按照目前球形儲罐容積標定的方法考慮，以備我國未來球形壓力儲罐的計量標準出臺后，現(xiàn)有的儀表設(shè)置能滿足球形壓力儲罐的計量交接要求。

4.2.3.1 2套液位連續(xù)測量儀表可采用不同測量原理的儀表，當(dāng)某種測量原理的儀表不適用于介質(zhì)特性時，也可采用 2 套相同的儀表。

4.2.4 非計量級壓力儲罐

4.2.4.1 應(yīng)在罐頂設(shè)置 2 套配備罐旁指示儀的液位連續(xù)測量儀表，其中一套用于在控制系統(tǒng)中設(shè)置高、低液位報警。

4.2.4.2 應(yīng)根據(jù)工藝要求在控制系統(tǒng)中設(shè)置高高液位報警及聯(lián)鎖關(guān)閉儲罐進料管道開關(guān)閥的控制方案，信號采用上述另一套液位連續(xù)測量儀表；當(dāng)需第三套液位儀表時，宜采用連續(xù)測量儀表，也可采用液位開關(guān)。

條文說明：

4.2.4.1 參見 4.2.3.1 條文說明。

GB/T 41394-2022 《爆炸危險化學(xué)品儲罐防溢系統(tǒng)功能安全要求》

?

CCPS Guidelines for Safe and Reliable Instrumented Protective Systems

CCPS? ?Guidelines for Safe and Reliable Instrumented Protective Systems

For any process excursion, multiple protective functions may be used to detect and respond to the process deviation. As illustrated in Figure 4.4, a process alarm(non-protective) indicates a process condition resulting in a quality control excursion. The operator takes action to maintain the process within the normal operating range.

If the control action is ineffective, a protective alarm indicates that the process condition has propagated outside the normal operating range. In this illustration,the operator takes immediate action on the process to bring the process to a safe state. Again, if the operator action is ineffective, the process condition worsens,leading to a challenge on a protective instrumented function (PIF), which takes the process to the safe state. Finally, if the PIF fails to operate correctly, the process condition exceeds the design limits and vessel failure may occur, leading to a hazardous event.

Process lag time affects the choice of set point. Longer lag times require lower (or higher) set points to prevent the process condition from exceeding the designlimit or to achieve a particular protection layer sequence. Process lag is illustrated in Figure 4.4 by the continued progression of the process variable for a time period after each set point. Set points should be selected to provide sufficient time for each IPF to complete its action in the proper sequence.

For the protective alarm, the allocated process safety time is the time between the alarm occurrence TALARM and the hazardous event occurrence TEVENT. For this alarm to be allocated risk reduction, the operator should be able to complete the required actions in less than one-half this process safety time. The operator response time begins with alarm initiation and stops when the operator actions have resulted in a safe state of the process.

The time available for the operator to prevent an automated trip is limited by how close the process alarm set point is to the protective alarm and/or the PIF set point. For protective actions, trained operators should receive a clear and unambiguous alarm and the intended response should be covered by written procedures. Operators should be trained and tested on procedures related to IPF indications and alarms.

The more time available for the operator’s overall response, the more likely the operator will be able to bring the process under control and prevent the need to take the process to a safe state. But at some point, the operator should take a specified action to achieve or maintain a safe state based on “never exceed never deviate” process conditions.

翻譯：

CCPS安全可靠儀表保護系統(tǒng)指南

對于任何過程偏移，可以使用多個保護功能來檢測和響應(yīng)過程偏差。如圖4.4所示，過程警報（非保護性）表示導(dǎo)致質(zhì)量控制偏差的過程狀態(tài)。操作員采取措施將工藝保持在正常操作范圍內(nèi)。

如果控制措施無效，則保護警報表明工藝條件已超出正常操作范圍。在本圖中，操作員立即對流程采取行動，使流程處于安全狀態(tài)。同樣，如果操作員操作無效，則工藝條件會惡化，從而對保護儀表功能（PIF）產(chǎn)生挑戰(zhàn)，使工藝進入安全狀態(tài)。最后，如果PIF無法正確運行，則工藝條件超過設(shè)計極限，可能發(fā)生容器故障，導(dǎo)致危險事件。

過程滯后時間影響設(shè)定點的選擇。較長的滯后時間需要較低（或較高）的設(shè)定值，以防止工藝條件超過設(shè)計極限或?qū)崿F(xiàn)特定的保護層順序。圖4.4通過每個設(shè)定點后一段時間內(nèi)過程變量的持續(xù)變化來說明過程滯后。應(yīng)選擇設(shè)定點，以便為每個IPF提供足夠的時間，以適當(dāng)?shù)捻樞蛲瓿善洳僮鳌?/p>

對于保護警報，分配的過程安全時間是警報發(fā)生TALARM和危險事件發(fā)生TEVENT之間的時間。為了分配此警報以降低風(fēng)險，操作員應(yīng)能夠在不到一半的過程安全時間內(nèi)完成所需的操作。操作員響應(yīng)時間從警報啟動開始，當(dāng)操作員操作導(dǎo)致過程處于安全狀態(tài)時停止。

操作員防止自動跳閘的可用時間受限于過程報警設(shè)置點與保護報警和/或PIF設(shè)置點的距離。對于保護措施，經(jīng)過培訓(xùn)的操作員應(yīng)收到清晰明確的警報，書面程序應(yīng)涵蓋預(yù)期響應(yīng)。操作員應(yīng)接受IPF指示和警報相關(guān)程序的培訓(xùn)和測試。

操作員的整體響應(yīng)時間越長，操作員就越有可能控制過程，并防止需要將過程置于安全狀態(tài)。但在某些情況下，操作員應(yīng)根據(jù)“永不超過、永不偏離”的工藝條件采取特定措施以達到或保持安全狀態(tài)。

API RECOMMENDED PRACTICE 556 Instrumentation, Control, and Protective Systems for Gas Fired Heaters

3.4.1.6 Operator Response to Alarms

Alarms may be configured to notify the operator of abnormal process conditions, allowing the operator to take corrective action prior to an automated response by the safety shutdown system.

The basis for alarm setpoints, the correct operator actions in response to the alarms, and the response time requirements to safe state should be documented during the design phase. Alarms that do not have a clear operator response should be avoided. It is important to identify which alarms require immediate response to assign them an appropriate priority. The operator response to each alarm should be defined in the process unit's operating procedures.

See 3.4.8 and Table 1 for the summary of alarms.

翻譯：

API推薦規(guī)程556燃氣加熱器的儀表、控制和保護系統(tǒng)

3.4.1.6操作員對警報的響應(yīng)

警報可被配置為通知操作員異常過程條件，允許操作員在安全停機系統(tǒng)自動響應(yīng)之前采取糾正措施。

在設(shè)計階段，應(yīng)記錄報警設(shè)置點的依據(jù)、響應(yīng)報警的正確操作以及安全狀態(tài)的響應(yīng)時間要求。應(yīng)避免沒有明確操作員響應(yīng)的警報。確定哪些警報需要立即響應(yīng)以分配適當(dāng)?shù)膬?yōu)先級非常重要。應(yīng)在工藝裝置的操作程序中定義操作員對每個警報的響應(yīng)。

報警匯總見3.4.8和表1。

DEP 32.80.10.14-Gen-2017 ALARM MANAGEMENT

?

*下拉查看全部內(nèi)容

復(fù)位相關(guān)的一些標準摘錄：

GB/T 50770-2013 《石油化工安全儀表系統(tǒng)設(shè)計規(guī)范》

9 通信接口

9.1 一般規(guī)定

9.1.4 除旁路信號和復(fù)位信號外，基本過程控制系統(tǒng)不應(yīng)采用通信方式向安全儀表系統(tǒng)發(fā)送指令。

10 人機接口

10.5 復(fù)位按鈕的設(shè)置

10.5.1 復(fù)位按鈕可按下列方式設(shè)置：

1 在安全儀表系統(tǒng)的操作員站設(shè)置軟件按鈕；

2 在基本過程控制系統(tǒng)的操作員站設(shè)置軟件按鈕；

3 在輔助操作臺設(shè)置硬件按鈕。

10.5.2 復(fù)位按鈕的動作應(yīng)設(shè)置報警和記錄。

SH/T 3521-2013 《石油化工儀表工程施工技術(shù)規(guī)程》

7 綜合控制系統(tǒng)的安裝與調(diào)試

7.4 可編程序控制器(PLC) 和安全儀表系統(tǒng)(SIS) 系統(tǒng)調(diào)試

7.4.3 PLC 設(shè)備的安全儀表系統(tǒng)(SIS) 功能檢查，應(yīng)符合下列規(guī)定：

l) SIS 系統(tǒng)控制的最終執(zhí)行器"復(fù)位"試驗，根據(jù)工藝設(shè)計安全操作要求，不允許遠程起動的設(shè)備，應(yīng)檢查現(xiàn)場局部復(fù)位和總聯(lián)鎖復(fù)位功能；要求如下：

1) 最終執(zhí)行元件在所有的聯(lián)鎖初始條件未恢復(fù)正常狀態(tài)， SIS 保持"跳車"狀態(tài)，復(fù)位功能不起作用；

2) 總聯(lián)鎖復(fù)位操作在前，局部就地于動復(fù)位方可有效；

3) 聯(lián)鎖初始條件分別恢復(fù)正常狀態(tài)時，總聯(lián)鎖復(fù)位操作可消除相關(guān)的報警信號。

n) 事件順序記錄(SER) 功能試驗，根據(jù)工藝要求，檢查SIS 系統(tǒng)自動"時間同步"和帶時間標簽(SOE) 的DI/DO 卡信號，通過報警信息、操作信息檢查確認如下：

1) 工藝過程聯(lián)鎖停車第一原因；

2) 確定聯(lián)鎖復(fù)位的條件；

3) 工藝操作步驟記錄。

7.4.4 安全儀表(SIS) 試驗應(yīng)檢查邏輯控制站的邏輯組態(tài)，根據(jù)邏輯圖檢查SIS 盤的手動開關(guān)、報警系統(tǒng)應(yīng)正確實現(xiàn)邏輯運算控制，與以SIS 邏輯試驗為主，試驗過程如下：

e) 邏輯條件變?yōu)檎?，手動?fù)位，確認監(jiān)視信號燈恢復(fù)正常；

SY/T 7351-2016 《油氣田工程安全儀表系統(tǒng)設(shè)計規(guī)范》

4 系統(tǒng)組成與緊急停車功能

4.3緊急停車(ESD)功能

4.3.8邏輯重啟前應(yīng)先復(fù)位。

條文說明：

4.3.8邏輯動作，如停車執(zhí)行后，邏輯不應(yīng)自動重啟，應(yīng)先復(fù)位，復(fù)位方式有如下三種：

1 自動邏輯復(fù)位：非主流程上的單元級停車，如容器液位低低停車，在液位恢復(fù)后，可自動邏輯復(fù)位。

2 手動邏輯復(fù)位：除自動邏輯復(fù)位外，必須先在HMI和或硬手操盤上手動復(fù)位，安全邏輯才能重啟。

3 就地手動復(fù)位：緊急放空閥、重要流程上的切斷閥、轉(zhuǎn)動設(shè)備、現(xiàn)場鎖定手動按鈕（如ESD按鈕）應(yīng)就地手動復(fù)位。

GB/T 50823-2013 《油氣田及管道工程計算機控制系統(tǒng)設(shè)計規(guī)范》

5 安全儀表系統(tǒng)（SIS）和火氣系統(tǒng)（FGS）

5.2 安全儀表系統(tǒng)（SIS）

5.2.6 安全儀表邏輯重啟前應(yīng)先復(fù)位。

條文說明：

5.2.6 安全儀表邏輯動作，如停車執(zhí)行后，不應(yīng)自動重啟，應(yīng)先復(fù)位，復(fù)位方式有如下三種：

（1）自動邏輯復(fù)位：非主流程上的單元級停車，如容器液位低低停車，在液位恢復(fù)后，可自動邏輯復(fù)位。

（2）手動邏輯復(fù)位：除自動邏輯復(fù)位外，必須先在HMI和或硬手操盤上手動復(fù)位，安全邏輯才能重啟。

（3）就地手動復(fù)位：緊急泄放閥、重要流程上的切斷閥、轉(zhuǎn)動設(shè)備、現(xiàn)場鎖定手動按鈕（如ESD按鈕）應(yīng)就地手動復(fù)位。

HG/T 20511-2014 《信號報警、安全聯(lián)鎖系統(tǒng)設(shè)計規(guī)定》

4 聯(lián)鎖系統(tǒng)

4.1 一般要求

4.1.1 聯(lián)鎖系統(tǒng)的設(shè)計應(yīng)滿足化工裝置的試車、運行和聯(lián)鎖回路的調(diào)試、測試和維護等要求。

注：這些要求通常包括聯(lián)鎖的投入/解除、復(fù)位、強制等功能。

4.1.5 安全聯(lián)鎖系統(tǒng)宜設(shè)計成只要把過程置于某個安全狀態(tài)，則該狀態(tài)將一直保持到啟動復(fù)位為止。

條文說明：

4.1.1這些要求通常包括聯(lián)鎖的投入/解除、復(fù)位、強制等功能。

4.1.5 復(fù)位一般采用操作員手動動作實現(xiàn)，不采用自動復(fù)位，因為自動復(fù)位啟動過程時可能產(chǎn)生潛在的危險。當(dāng)安全聯(lián)鎖系統(tǒng)執(zhí)行多個動作，聯(lián)鎖復(fù)位執(zhí)行時各最終元件也應(yīng)保持在安全狀態(tài)，再根據(jù)工藝操作手冊分步啟動最終元件。

4.10 聯(lián)鎖復(fù)位按鈕的設(shè)置

4.10.1 聯(lián)鎖復(fù)位按鈕可采用下列方式設(shè)置：

1 對于安全聯(lián)鎖系統(tǒng)，可在安全聯(lián)鎖系統(tǒng)的操作員站設(shè)置軟件按鈕，或在BPCS的操作員站設(shè)置軟件按鈕，開關(guān)的狀態(tài)信號可采用通信方式與安全聯(lián)鎖系統(tǒng)連接；

2 對于非安全聯(lián)鎖系統(tǒng)，可在BPCS的操作員站設(shè)置軟件按鈕；

3 可在輔助操作臺設(shè)置硬件按鈕。

GB/T 50892-2013 《油氣田及管道工程儀表控制系統(tǒng)設(shè)計規(guī)范》

4 儀表控制系統(tǒng)設(shè)計

4.4 安全儀表系統(tǒng)

4.4.1 安全儀表系統(tǒng)設(shè)計應(yīng)符合下列要求：

1 安全儀表系統(tǒng)的設(shè)計應(yīng)根據(jù)確定的安全完整性等級(SIL)設(shè)計。

2 生產(chǎn)過程達到觸發(fā)條件時，安全儀表系統(tǒng)應(yīng)立即動作，將生產(chǎn)過程帶入安全狀態(tài)，且該狀態(tài)應(yīng)保持至復(fù)位信號產(chǎn)生為止。

3 生產(chǎn)故障或危險排除后，安全邏輯重啟前系統(tǒng)應(yīng)先進行手動復(fù)位。

編輯：黃飛

?