王志勇,贾付泽
(中海油惠州作业公司,广东 深圳 518067)
安全仪表系统中传感器的选择探讨
王志勇,贾付泽
(中海油惠州作业公司,广东 深圳 518067)
安全仪表系统(SIS)能否保障装置的安全运行并降低事故发生的风险显得至关重要.结合海上采油平台的特性说明SIS中安全完整性等级(SIL)的选择方法,并针对IEC 61511的要求,简要讨论了在安全仪表回路中采用基于IEC 61508认证的传感器和基于使用经验的传感器时的选择方法、步骤、配置要求、使用限制、回路的PFD的计算确认等,以满足整个回路SIL的要求。
安全仪表系统传感器要求时失效概率风险
Abstracts: Whether safety instrument system can guarantee safe operation of installation and reduce incident occurrence risk is of great importance. Combining with characteristics of oil extraction platform, selection method for safety integrity level of SIS is explained. Based on requirement of IEC 61511, selection method, steps, configuration requirement, application limitation, confirmation of loop PFD calculation and so on of IEC61508 certificated and experience based sensors in SIS loop are discussed briefly to meet SIL requirement for whole loop.
在石油化工行业和海上采油平台,设置专门的仪表和控制系统,实时监控装置的各个参数,在检测到参数范围偏离设定值时,生产过程控制系统(DCS)控制调节阀动作,使偏离的参数返回正常值;如果系统干扰太大或者生产过程控制系统失效,参数超过预先设定值——这些值通常被认为是正常生产的极限值,则立即按照预先的设计,关停工艺生产,启动应急消防设备,预防灾难性事故的发生、扩大和蔓延,在此过程中,应急关停系统(ESD)在一定程度上是灾难性事故控制的最后一道防护栏。紧急关停系统的名称在各个不同的发展时期和不同的行业也有所不同,在海上石油行业,在20世纪80年代末到90年代初被称作主控盘和就地控制盘,在20世纪90年代中期被称作紧急关停系统,21世纪初被称作故障安全关停系统(FSSS),现在则被称作安全仪表系统(SIS)。紧急关停系统名称的变化也体现和反映了业界对紧急关停系统的认识和理解以及安全仪表系统理论的发展过程。紧急关停系统发展各阶段系统类型及特点见表1所列。
2010年,国际电工委员会发表了过程工业领域安全仪表系统的功能安全IEC 61511作为过程工业设计、应用、操作的最新标准,以取代1998年版本。在安全仪表系统中,多个安全仪表功能组成SIS。每套安全仪表功能由逻辑解算器、最终控制元件和传感器组成,这和DCS大体相似。
逻辑解算器和PID控制器类似,逻辑解算器编程以完成特定的功能,在现场传感器检测到参数超出预先的设定时将工艺恢复到安全状态以避免危险;最终控制元件,通常是关断阀和放空阀,完成逻辑解算器的动作;传感器(在DCS中也称作变送器),提供给逻辑解算器工艺过程参数以确定安全仪表功能是否应启动并将工艺生产中断,恢复工艺过程到安全状态,这也是本文讨论的重点。
表1 紧急关停系统类型及特点
1) 确定工艺过程所需要的危险降低因子。
2) 确定要求的安全完整性等级SIL(safety integrity level)和要求时失效概率(PFD)范围。
3) 确定传感器是IEC 61508 认证的或者是有使用经验的传感器。
4) 评估传感器的故障率,安全失效分数SFF(safe failure fraction),系统容量(systematic capability)和随机能力(random capability)以确保符合要求的SIL。
5) 选择平均维修时间、任务时间(mission time),验证测试间隔,并计算传感器PFD。
6) 确保整个安全仪表功能的PFD数据在步骤2的PFD的范围内。
7) 安装传感器和安全仪表功能的其他部件。
2.1确定危险降低因子
在选择安全仪表功能合适的传感器之前,先需要确定设施需要达到的危险降低因子,这时候先需要进行工艺过程危险分析PHA(process hazard analysis),如危险和可操作性分析,以确定一个风险发生的可能性。例如在进行风险分析时,认为1个阀门不能正确关闭的风险是每年发生1次,但是设施可接受的故障率不超过每5000年1次,因而需要将此类风险从1.0次/年降低到2×10-4次/年,这意味着风险降低因子是5000。
2.2确定SIL等级和设备的PFD
国际标准IEC 61511 提供了一个将风险降低因子转化为安全仪表功能要求的安全完整性等级表,见表2所列。
例如,如果风险降低因子要求在10~100,那么需要设计安全仪表功能的安全完整性等级是1;如果风险降低因子在1×103~1×104,则需要SIL3的安全仪表功能。表2提供了PFD的数值范围,PFD代表了在需要将工艺过程恢复到安全状态下时,设备故障的可能性。
表2 安全完整性等级: 要求时的失效概率
安全仪表功能的PFD是其中各部件包括逻辑解算器,最终控制元件和传感器的PFD的总和。因此,设计一个满足要求SIL的安全仪表功能,需要确定安全仪表功能中每个部件的PFD并选择符合要求的设备,并计算其总的PFD之和以使整体的PFD在表2所确定的范围内。
在上例,风险降低因子是5000,这意味要设计的系统SIL是3,按照表2,目标PFD的范围是10-4~10-3,所有SIF组件的PFD总计不超过10-3。
2.3选择传感器
按照IEC 61511的要求,传感器的选择,可以是设计和制造遵从IEC 61508的标准传感器;或者传感器有良好的使用记录,可以证明在类似的应用场合使用过,具备比较齐全的故障率数据。需要注意的是,传感器的制造商对传感器本身的电路部分和敏感元件的可靠性负责;用户在选择传感器时,仍需对传感器的使用和安装负责。例如由于介质结晶、凝固,可能会堵塞压力传感器的引压管线;由于安装不当,液体引压管线中可能会存有气泡导致测量不准等;由于材质选择不当,导致温度不合适、渗氢致材料变脆、腐蚀等,这些都可能导致安全仪表功能回路的故障率上升。
2.4故障数据分析
对一个合格地应用于安全仪表系统的传感器,需要有失效数据以便确定回路的PFD是否满足要求。这些失效数据包括传感器的失效频数FITs和安全失效因数SFF。FITs的单位是失效次数/109h,等价于平均每10亿小时运行发生1次失效,计算SFF需要用到4种形式的FITs: 检测到的安全失效率λSD;未检测到的安全失效率λSU;检测到的危险失效率λDD;未检测到的危险失效率λDU。
设备的安全失效因数描述了设备的安全或可检测到的故障的比率,计算式如下:
SFF=(λSD+λSU+λDD)/(λSD+λSU+λDD+λDU)
(1)
SFF用来评估一个传感器对于一个指定的SIS是否足够安全,通常SFF以百分数的形式给出,SFF为85%意味着85%的故障是安全的或可被检测到的。
一个经过认证的符合IEC 61508的传感器,制造商会提供上面的数据以供用户选择和计算PFD。这些数据可能在测试报告上或者认证证书上。表3给出了一个产品功能安全数据表的样例。
表3 功能安全数据表样例
对于在安全仪表功能回路中使用经过IEC 61508认证的仪表,IEC 61508认证时会给仪表1个重要的数据-系统性能,系统性能表示了仪表适用安全仪表系统的最高等级,但是该仪表是否适合,还需要与回路中的其他仪表一起计算后确定,有时同一个检测点可能需要采用多个传感器,采用“MooN”(表示N选M)的方式,增加投资以满足要求的PFD。
安全仪表的冗余和随机性能表明了安全仪表可以使用的最高的SIL以及应用于相应的SIL时冗余数量的要求。安全仪表的随机性能在它的IEC 61508的符合性证书中标明出来。
对一个用在特定的SIL上的传感器的随机性能,IEC 61508中给出了一个限制表,见表4所列,找到IEC 61508认证证书上的SFF数据,对应于步骤2.2确定的SIL的数据,在顶部栏上给出了相应的硬件容错要求。
表4 Type B设备结构限制
IEC 61508-2对Type A设备和Type B设备作出了明确的定义。如果一个设备的所有部件的失效模式均有定义,失效的后果可以完全确定,并且有充分可靠的数据表明检测到的故障率和未检测到的危险故障率数据可靠,那么这个设备可以看作是A类设备,否则为B类设备。
基于有使用经验的传感器,则需要使用维修记录的数据,从而得到失效率数据。在一些重要关键的场合,也可以安装超出SIL要求的传感器的数量,这能增加系统的可用性,降低误跳闸的概率。例如在SIL3@HFT=1中,如果2个传感器中的1个故障,工艺过程将关闭。但是,如果系统安装了额外的传感器,其中的1个故障不会引起工艺过程关停,故障的传感器可以更换或者维修。
2.5计算传感器的PFD
IEC 61508-6提供了计算PFD的方法。要计算PFD,需要用到平均恢复时间MTTR, 一般取8h,检验测试时间间隔T1。先计算通道等效平均停止工作时间tCE,对于“1oo1”结构的传感器,IEC 61508-6给出的具体计算公式为
tCE=λDU/λD×(T1/2+MTTR)+
λDD/λD×MTTR
(2)
PFD=(λDD+λDU)×tCE
(3)
对于“1oo2”, “1oo2D”, “2oo3”结构的子系统,IEC 61508也给出了详细的计算公式,在此不一一列出。
有一点需要注意的是: 检验测试时检测出所有的潜在故障只是一种理想状态,必然有未检测出的危险故障存在。在此种情况下,潜在的故障持续到系统发出真实的请求时才会被发现,这将会影响系统的PFD,对PFD的影响和系统请求的间隔有关,IEC 61508-6对此也给出了详细的计算公式。
2.6确保安全仪表功能的PFD在要求的范围内
根据安全手册或者历史维修记录的数据,在为安全仪表功能选择传感器后,采用同样的方式选择其他设备,将安全仪表功能中各组件的PFD相加,确保总的PFD不超出规定的范围。如果超出PFD的范围,则必须重新选择传感器,或者增加额外的传感器或选择缩短检测测试的时间降低PFD。
2.7安装、验证和维护传感器
在安装传感器时,遵循制造商的仪表安全手册的指导,规范要求制造商为所有的认证设备提供安全手册,该手册提供了设备投入使用,达到相应的安全要求所需要的信息。组件安装完成后,对回路进行一次有效性测试。有效性测试应该模拟安全仪表功能在安全事故中完成的功能,并确认工艺过程能达到的安全状态,因而也确认了符合性。
IEC 61511要求安全仪表功能得到正确的维护,确保每个组件功能正常。维护的频率和内容由要求的PFD确定。
SIS的设计是一个复杂的过程,应该严格按照标准执行以确保设施安全运行。在安全运行和灾难性事故之间,SIS通常是最后一道屏障。故障率、验证性测试和维护频率是达到设定的安全等级的关键性因子。
因此,必须仔细选择仪表并加以评估以确认安全功能达到和超过要求的SIL,在选择合适的传感器时,必须要考虑很多因素,如是否采用符合IEC 61508标准、有经过认证的系统性能的产品或者按照IEC 61511,采用基于使用经验的传感器。
[1]IEC. IEC 61508—2010 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems[S]. Geneva: IEC, 2010.
[2]IEC. IEC 61511-1—2003 Functional safety — Safety Instrumented Systems for the Process Industry Sector[S]. Geneva: IEC, 2003.
[3]华镕.按IEC 61511标准选择安全仪表系统的传感器[J].安全控制技术,2008(06): 21-25.
[4]包蕾.浅析平均要求失效率PFDAVG计算[J].中国石油和化工,2010(12): 62-64.
[5]潘浩,刘青松.交叠分段拟合在热传感器线性化中的应用[J].化工自动化及仪表,2015,42(03): 253-258,354.
[6]杜俊贤,王连桂.弹性体结构光纤光栅应变传感器的设计与性能研究[J].化工自动化及仪表,2015,42(05): 516-518,598.
Discussion on Selection of Sensor for Safety Instrumented System
Wang Zhiyong, Jia Fuze
(CNOOC China Limited Huizhou Operating Company, Shenzhen, 518067, China)
safety instrumented system;sensor;PFD;risk
王志勇(1973—),湖北天门人,毕业于中国石油大学(华东)电力系统及自动化专业,1993年始工作于胜利油田石油化工总厂,现就职于中海油深圳分公司惠州作业公司。
TP273
B
1007-7324(2016)04-0013-04
稿件收到日期: 2016-03-15,修改稿收到日期: 2016-04-05。