高帅,左信,张惠良
(1.中国石油大学(北京),北京102249;2.北京安稳优科技有限公司,北京102200)
在石油/天然气、化工、发电等为代表的过程工业领域,安全仪表系统(SIS)已经广泛应用于不同的工艺或设备防护场合,保护人员、生产设备及环境。由于系统结构、硬件及软件的复杂程度不同、周围环境气候的影响及维护不当等原因,SIS不可避免地存在着一定的安全性问题[1-2]。IEC61508和IEC61511标准颁布后,以安全生命周期为框架,SIS从概念、设计、实施、操作、维护到系统改造等实践活动都有了可依据的标准,从而保证其功能安全。IEC61511[3]建议在SIS工程设计前、安装调试前、操作和维修过程中、修改前和停用前等五处节点进行功能安全评估。笔者结合某公司重油催化装置压缩机组和三机组2套独立的SIS,使用可靠性评估软件Isograph和功能安全评估软件exSILentia,分别对SIS进行可靠性分析和功能安全评估,并讨论SIS在实际运行中如何提高运行可靠性及保证其功能安全的措施。
可靠性和安全性理论及工程研究是建立在概率和统计理论基础之上,但要成功评价一个系统的可靠性,需要了解系统中所使用的元件、元件的失效模式及其对系统的影响、系统失效模式和系统环境中失效应力的来源[3-5]。通过对过程控制系统失效的原因分析,根据IEC61508及IEC61511标准,笔者把对系统结构的划分和安全功能回路的辨析两部分相结合,既从系统结构入手,定性的讨论其可靠性,又从功能安全回路SIL核算入手,定量地讨论其安全性,最后结合两方面的结果给出整改意见。具体流程如图1所示。
故障树分析FTA(Fault Tree Analysis)是采用逻辑符号,并用可靠性框图(Reliability Block Diagram)的方式将逻辑门按照发生的逻辑条件连接起来,形成树状结构[6]。笔者采用故障树分析故障传递的路径,对SIS关键环节进行详细分析。
1.8 Mt/a重油催化装置是某石化分公司的关键装置之一,其运行的平稳性和可靠性不仅影响该装置的经济效益,同时还影响其他装置的运行平稳性(其为气分装置提供原料,而气分装置又为聚丙烯提供原料)[5],因而对装置生产的可靠性和安全性要求很高。
对重催装置SIS现场的调研和从现场收集的资料进行分析,找出可能存在的故障事件,并根据其故障事件所引起的故障表现,从系统级的角度,分别对SIS主控系统、SIS工程师站、SIS操作员站三大块对其进行定性的可靠性分析。
主控系统是SIS控制系统的关键部分,该装置SIS主控系统均采用Tricon TS3000系统,主要由控制器MP,I/O模块,TCM模块以及电源模块构成。由I/O模件通过安全栅与现场仪表相连,采集现场数据,并直接实现对生产系统的联锁保护。通过Isograph软件对SIS进行故障树分析,首先找出直接导致顶事件发生的各种可能因素或因素组合,这些因素包括功能故障、部件不良、程序错误、人为错误、环境影响等,而后再找出第一步中各因素的直接原因。按此方法逐级向下演绎,直到找出各个基本事件为止[7]。本文从系统级的角度,以SIS故障作为顶事件,分别分成主控系统故障、工程师站故障以及操作员站故障。主控系统故障又分成系统硬件失效、系统软件失效、通信运行失效、电源失效和接地失效。再将每个失效因素细分至各故障基本事件。工程师站和操作员站按照同样的思路进行分析,最终得到的某重油催化装置SIS的故障树包含了一个顶事件、71个中间失效事件和125个基本事件,该故障树还表达了失效事件之间的逻辑关系。经过综合分析发现,导致SIS主控系统、工程师站和操作员站故障的主要原因见表1所列,在日常运行以及维护中应着重考虑。
表1 导致SIS各系统故障的各部件失效原因
笔者对某重油催化用SIS的功能安全进行分析,主要是对SIL等级进行核算与评估,具体分析步骤如下:
a)根据已有的联锁逻辑,识别出包括在联锁逻辑中的各SIF回路。
续 表1
b)针对每个SIF回路,确定其回路中的设备,包括传感器、逻辑控制器、最终执行元件,还包括回路中的辅助设备,如安全栅、继电器等。
c)针对每个SIF回路中的设备,选择数据源确定失效率λ。失效数据大部分来自exSILentia软件中嵌入的美国EXIDA公司的《Safety Equipment Reliability Handbook》失效数据库[8]。exSILentia能够提供完整的SIL选择、安全要求规范和SIL验证,其结合了厂商设备相关数据,包括了几百个传感器、逻辑解算器和执行器产品[9]。其余数据来自仪表供货商提供的可靠性数据、英国ESC公司的Failure Rate Database以及OREDA数据库。
d)使用exSILentia软件完成最终的SIL等级的计算。
e)将计算结果与目标值进行比较,确定是否满足要求,若不满足要求,则提出改进措施。
以某气压机转速保护控制回路为例,气压机转速(传感器SI001,SI002,SI003“三取二”)大于9 425r/min时,SIS将执行联锁动作——气压机组停机:停汽轮机电磁阀cSCV2222,至放火炬DG300阀cPC1201B,富气入口调节阀回零vHC1501,富气出口调节阀回零vHC1502。按照上文提到的分析步骤,通过exSILentia软件的使用,得到该功能安全回路的各单元功能安全参数表2以及SIF回路的功能参数表3,各个元件对PFDavg和MTTFS的贡献率如图2所示。
图2 各个元件对PFDavg和MTTFS的贡献率(2009exida.com.L.L.C.)
表2 SIF回路各单元功能安全参数
表3 SIF回路功能安全参数
从表2和表3可以看出,虽然传感器和逻辑控制器单元的SIL分别为2级和3级,但整体回路的SIL仅为1级。该回路的风险降低因子RRF为18,结构约束条件下的SIL也为1级。从图2可以看出,SIS中的主控单元(Tricon系统)安全度等级较高,而检测仪表和执行机构则相对较小。因此,检测仪表和执行机构是SIS中的薄弱环节。图2中传感器对MTTFS的贡献率较PFDavg而言有所提升,这说明该SIF回路中的传感器对误停车的影响比对功能安全的影响更大。
该装置的2套SIS在1998年投用之初,并没有按照IEC61508和IEC61511的规定进行安全生命周期中的评估和定级,即使是2005年和2009年的SIS升级改造也并没有涉及相关内容。因此,在该次评估过程中,需要根据现有实际装置工艺配置和安全设备配备情况,重新确定SIS及SIF安全功能回路的SIL等级要求。笔者根据重油催化装置SIS联锁逻辑图,分解出不同的SIF安全仪表功能回路,综合考虑危险发生的可能性和危险发生后的危害程度,采用风险矩阵法[10],结合现场工艺人员和专家经验,确定每一个SIF回路要求的SIL等级。项目中2套SIS的SIF回路确定的初步SIL等级主要集中在SIL1及SIL2级,一些关键的涉及重大安全隐患的回路设为SIL3级。将使用exSILentia软件计算出来的SIL等级与设定级数进行比较,得到表4的结果,企业需对未达标的SIF回路进行改进之后再次进行SIL核算直到完全符合标准。
表4 SIL评估结果统计
a)加强SIS的管理与维护是系统安全运行的保证。建议制订检修、运行和调试规程,将需要修改的内容和措施形成文件,如量程修改、联锁修改或增加测点等。
b)进一步完善控制操作室的管理制度,制定UPS电源定期试验制度、工程师站及操作员站程序更改审批制度等,在细节方面应做明确规定,如显示器、UPS电池等耗材的管理。
c)建立报警管理机制,各种硬件、软件报警要及时进行分类整理、汇总,各种冗余的硬件切换要能及时通知相关人员。
a)建议建立SIS定期检验测试规程,结合企业实际生产情况对测试时间间隔、测试范围、测试方法、测试用例、测试评判标准以及测试存在问题的处理方法进行规定。
b)建立SIS维护、修改的可追溯性文档,包括:申请提出,功能评估,批准、实施、确认等相关文档。
c)建立SIS操作员和维护人员的技能和安全知识的培训,并评估他们的培训是否充分,并建立可追溯性记录文档。
d)完善检验测试结果的可追溯性文档。
通过exSILentia软件对功能安全回路SIL等级的核算,建议对重油催化2套SIS未达标的11个SIF回路进行整改,具体方法如下:
a)在SIS联锁回路可靠性降到最低限以前,应及时维护或更换新仪表、执行机构。
b)当SIF回路的SIL等级不达标时,由于执行单元是整个SIF回路的薄弱环节,可以尝试调整该回路中执行单元的检验周期,再进行SIL核算。
c)增加安全仪表检测手段,提高故障检测覆盖率。
d)若系统冗余结构裕度不达标,则需要通过功能安全管理相关规定,调整该回路的冗余结构或在影响其SIL等级的部分,如检测机构或执行机构更换SIL等级更高的仪表来满足SIL等级的需求。
e)重油催化装置已经运行数年,积累了装置运行经验与风险认识,建议进行一次装置生产的过程危险与风险评估,使得SIS的SIL符合当前的安全生产要求。
随着工业规模的不断扩大,SIS的可靠性和安全性对于化工企业的安全生产至关重要。将IEC61508及IEC61511运用到实际的SIS工程实践中,并不是一蹴而就的事情,在SIS工程实践中,还有许多方面的工作要做。笔者一方面利用Isograph故障树软件,通过对重油催化SIS进行可靠性分析,找到SIS失效的各种原因及逻辑关系,得出SIS中应维护的环节及元件内容;另一方面,使用exSILentia软件对SIF回路进行SIL评估。最后综合可靠性分析与SIL等级核算,对重油催化在用SIS提出维护及整改建议,对提高SIS的可靠性、充分发挥SIS的功能安全具有现实意义。
[1] 刘建侯.石化工业仪表安全系统安全生命周期要求和安全完整性等级的评估[J].石油化工自动化.2007,43(02):1-4.
[2] 王秉义,张惠良,左信.SIS安全联锁功能可用性分析[J].石油化工自动化.2012,48(01):13-17.
[3] IEC.IEC 61511-1~3Functional Safety-safety Instrumented Systems for the Process Industry Sector[S].IEC,2004.
[4] IEC.IEC 61508-1~6Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems,International Electrotechnical Commission[S].IEC,2000.
[5] ISA.ISA-TR 84.00.0—2002Safety Instrumented Functions(SIF)-Safety Integrity Level(SIL)Evaluation Techniques[S].The Instrumentation System and Automation Society,2002.
[6] 曹晋华.GB 7829—87电工电子产品可靠性与维修性标准:故障树分析程序[S].北京:中国标准出版社,1987.
[7] 阳宪惠,郭海涛.安全仪表系统的功能安全[M].北京:清华大学出版社,2007.
[8] Exida.Safety Equipment Reliability Handbook-3rd Edition[M].Exida.com LLC,2007.
[9] 华镕.安全相关的标准,评估和认证机构[J].仪器仪表标准化与计量,2008(02):20-23.
[10] 李树清,颜智,段瑜.风险矩阵法在危险有害因素分级中的应用[J].中国安全科学学报,2010,20(04):83-87.