浅议石化装置SIS系统安全等级的提高

2017-07-07 11:04
河南化工 2017年6期
关键词:可用性执行器电磁阀

薛 明

(洛阳三隆安装有限公司 , 河南 洛阳 471012)



浅议石化装置SIS系统安全等级的提高

薛 明

(洛阳三隆安装有限公司 , 河南 洛阳 471012)

安全完整性等级(SIL)是衡量安全仪表系统(SIS)安全防护能力的重要指标,本文介绍了SIL评估的相关概念以及提高SIL等级措施的一些方法,结合石化装置SIS系统更新项目实际工程提出了提高系统安全性的一些方法。

安全仪表系统 ; 安全完整性等级 ; 危险故障率 ; 结构约束

0 引言

在石油化工装置的建设过程中,从安全仪表系统的设计源头展开风险控制,对石油化工装置的功能安全水平进行评估。SIL等级是全世界广泛认可的安全完整性定义方法,目前国内大型石油化工项目在项目执行期间或项目建成后都要求对其中的重要单元或装置进行SIL评估,因此在项目设计初期就应全方位考虑,为装置的SIL评估打好基础。以下结合某石化装置SIS系统更新项目如何提高SIL等级提出一些方法以供参考。

1 相关概念

1.1 整体安全生命周期

安全生命周期(Safety Lifecycle)是指在安全相关系统实现过程中所必需的生命活动。这些活动发生在从一项工程的概念阶段开始,直至所有的E/E/PE(电气/电子/可编程设备)安全相关系统、其他技术安全相关系统,以及外部风险降低设施停止使用为止的一段时间内。

系统的安全性不仅仅是由系统的设计和实现决定的,同时还取决于系统的安装、运行和维护等活动。因此,整体安全生命周期不仅覆盖安全相关系统的设计,还包括安全相关系统的规划、设计、安装、调试、运行、维护和停用等主要阶段。整体安全生命周期的基本思想是与功能安全相关的所有活动都按照一个有计划的、系统的方法进行管理。

1.2 功能安全

IEC 61508(国际电工委员发布的名为《电气/电子/可编程电子安全系统的功能安全》标准)定义为:“功能安全是与受控设备或受控设备的控制系统(或过程)有关的整体安全的组成部分,它决定于E/E/PE安全相关系统、其他技术安全相关系统和外部风险降低设施功能的正确执行。”可见功能安全是设备安全的一部分,其主要是从E/E/PE相关的控制系统考虑,着重避免由于受控设备及其相关系统在故障或者失效的情况下导致的风险[1]。

1.3 SIS

安全仪表系统SIS(Safety Instrument System)是指能实现一个或多个安全功能的系统。安全仪表系统是一种可编程控制系统,它对生产装置或设备可能发生的危险采取紧急措施,并对继续恶化的状态进行及时响应,使其进入一个预定义的安全停车工况,从而使危险和损失降到最低程度,保证生产、设备、环境和人员安全[2]。根据IEC 61508标准,一套完整的安全仪表系统由传感变送器、逻辑运算器和最终执行元件构成。安全仪表系统的设计与开发过程必须遵循IEC 61508,并应通过独立机构(如德国TüV)的功能安全评估和认证才能在工业现场中应用。

1.4 故障安全

故障安全是指当SIS的元件、设备、环节、能源发生故障或者失效时,系统设计应当使工艺过程能够趋向安全运行或者安全状态。能否实现“故障安全”取决于整个SIS设计,包括现场仪表和执行器,都应设计成绝对安全的形式:对于现场触点应开路报警,正常操作条件下闭合;对于执行器,一般情况下应设计成安全联锁动作时,切断阀在安全的即失气的状态。对于故障安全应该具体情况具体分析,要确定最有可能发生的故障状态,并不是一律“常闭接点,正常带电”。

1.5 可靠性与可用性

为了达到装置的安全度等级,系统需具有高的可靠性,而高可靠性必然使设备停车次数增多,降低系统的可用性。在石化装置生产中,由于生产的连续化程度极高,设备停车可能造成重大的经济损失,这就要求系统既有高可靠性,又有高可用性。

可靠性R(Reliability):安全联锁系统在故障危险模式下,对随机硬件或软件故障的安全度、可靠性用概率表示时称为可靠度。

可用性A(Availability):系统可使用工作时间的概率,用百分数计算A=MTBF/(MTBF+MDT),要使系统可用度增加,就要增加平均无故障工作时间(MTBF),或减少平均停车时间(MDT)。表1给出了各种冗余结构的可靠性与可用性对比,在此不再通过计算验证。

表1 各种结构可靠性与可用性对比

1.6 SIL

SIS的等级用SIL(Safety Integrity Level)来表示,SIL4是安全完整性的最高等级,SIL1为最低等级。SIL是针对SIF(Safety Instrumentation Function)而言的,即单个仪表不具备SIL。一般SIF由传感器单元(Sensor),逻辑运算单元(Logic Solver),最终执行元件单元(Final Element)和电源(Power Supply)构成。如果要求某一安全仪表功能的SIL等级为3,并不是简单地把几个PFD为3级子系统串接起来就可以了,而是必须要进行计算与分析,全系统综合考虑才能实现。

1.7 PFD

平均危险失效率(Probability of Failure on Demand,PFD)用于SIL评估。一个SIF的总PFD为4部分PFD之和:

PFD(AVG)=PFD(S)+PFD(L)+PFD(FE)+PFD(PS)

GB 50770-2013《石油化工安全仪表系统设计规范》指出,通常石油化工和煤化工装置的SIS工作于低要求操作模式,应采用低要求操作模式下检验测试时间跨度上的平均危险故障率来计算和验证安全仪表系统的SIL[3]。其对应关系见表2。

表2 在低要求操作模式下分配给1个回路的PFD(AVG)

1.8 结构约束

结构约束是除PFD(AVG)之外,在某个特定应用中使用某个设备的附加约束。根据设备类型及其SFF(安全失效分数)和设备所在子系统的HFT(硬件故障裕度,又称硬件容错能力)来确定设备子系统能够用于哪个级别的SIL水平的安全仪表系统。IEC 61508提供了一张表,分别为设备类型A(所有故障模式都被定义过,所有故障行为都被定义过,而且有充足的故障数据的元件,如普通传感器)和B(故障类型没有被完整的定义,也没有足够的故障数据的元件,如智能传感器、逻辑运算器等)的子系统定义了结构约束,如表3所示。

表3 IEC61508中对A类及B类设备的结构约束

HFT和系统或者元件的结构有关。常见的系统或者元件冗余设计结构有1oo1、2oo2、1oo2、2oo3、1oo3、2oo4。这种MooN结构指的是需要总共N个通道中的M个独立通道来实现安全功能。而HFT的定义是,假如硬件容错能力是X,那么当出现X+1个危险故障时,将会导致安全功能的丧失。所以在MooN结构中,硬件容错能力HFT=N-M。

HFT与冗余结构容易混淆。例如1oo3、2oo3、3oo3的设备冗余数都是3,而它们的HFT却分别是2、1、0。有时冗余的设备是为了提高过程的可用性,而不是为了提高可靠性。如果某个B类设备具有92%的安全失效分数,硬件故障裕度为0,根据表3可得到它满足SIL2的要求。但在实际工程中,结构约束是以另一种方式使用的,已知的是目标SIL水平,设备类型及其安全失效分数,要确定的是硬件故障裕度。例如,某A类设备的SFF为50%,安全仪表功能的目标SIL水平为2,那么根据表3,硬件裕度为1,所以该设备的子系统需要为1oo2或2oo3之类的冗余结构。

2 SIL评估

2.1 SIF元件参数收集

SIF所有的元件包括变送器、安全栅、逻辑控制器、继电器、电磁阀、阀门等,认证机构(如TüV)颁发的证书上都有计算SIL所需要的参数。

2.2 验证SIF元件冗余结构

根据表3可以验证SIF元件冗余结构是否满足SIL等级要求。例如一个SIF要求SIL2等级,现场传感器(B类)SFF为74%,那么其HFT为1,也就是说现场传感器需要布置为1oo2或2oo3的冗余结构,但若实际现场传感器为1oo1结构,则PFDS会拉低PFDAVG ,使SIF很难达到SIL2级别。

2.3 SIL的PFD计算

IEC 61508给出了SIS系统在不同冗余结构下的PFD量化公式。以一个计算整个系统安全完整性为实例:

SIS系统为故障安全型设计,不需要考虑电源的PFDPS;传感器的PFDS=0.005,逻辑控制器的PFDL=0.000 5,输出阀门的PFDFE=0.05,将他们连接成一套系统后,系统PFD(AVG)=0.005+0.000 5+0.05=0.055 5,只能满足SIL1级。

3 提高SIL等级措施

一个SIL3 等级的SIF基本配置如图1所示。

图1 SIL3等级安全仪表回路配置

图1中,现场传感器、PLC、执行器都采用冗余配置,以降低整个SIS拒动作的概率。根据IEC 61508的分析计算,图中安全回路危险故障率的权重概率分别为:现场传感器占35%、PLC占15%、执行器占50%。因此提高安全仪表回路中任何一个节点的PFD,都会对影响整个回路的SIL等级。这三部分权重配置应遵循以下要求:

3.1 现场传感器配置

现场传感器在危险故障率中所占的比例为35%,传感器应尽可能采用模拟量信号,同时尽可能采用“三取二”判断方式;若选用开关型仪表,则尽可能采用“二取一”判断方式。通过这些配置,可以提高来自现场信号判断的可靠性。

3.2 PLC配置

PLC在危险故障率中所占的比例为15% ,是三部分权重中最低的,因为PLC的硬件和软件的配置通常均可达到SIL的等级要求,而且其应用非常成熟,因此在使用过程中出现危险故障的可能性也较低。通常PLC与DCS完全独立,其硬件要求主处理器CPU、输入/输出卡件、电源卡、通信卡、通信总线和UPS电源均为冗余设置,同时具备SIL3的国际认证。

3.3 执行器配置

执行器在危险故障率中所占的比例为50%,它显然是最容易产生危险故障的环节。以下列出4种能够最大限度降低危险故障可能性的执行器配置方式。

3.3.1 串联切断阀的方式

阀门2可以是调节阀,为“二取一”判断,即任何一个电磁阀失电非励磁时,切断阀即失气关闭,切断物料,如图2所示。

图2 串联切断阀

3.3.2 串联电磁阀的方式

这种方式安全性好,为“二取一”判断,即任何一个电磁阀失电非励磁时,切断阀即失气关闭,保证切断阀能联锁动作切断物料,如图3所示 。

图3 串联电磁阀

3.3.3 并联电磁阀方式

这种方式可用性好,为“二取二”判断,即只有电磁阀1和2同时失电非励磁时,切断阀才会失气关闭,避免因电磁阀失效引发联锁误动作,如图4所示。

图4 并联电磁阀

3.3.4 串联切断阀与串联电磁阀方式(阀门2可以是调节阀)

这种方式为“四取二”判断,即任何一个电磁阀失电非励磁时,切断阀即失气关闭,确保切断物料,这种方式最具安全性和可用性,但配置费用较高,如图5所示 。

图5 串联切断阀与串联电磁阀

3.4 提高可靠性与可用性

①提高系统的可靠性,选择系统可靠度R指标高的三重化系统,同时选取质量过硬的外部连接器件,如安全栅、信号分配器等;现场的输入/输出过程点信号采用带电常闭接点,减少回路连接的中间环节,信号直接接到安全联锁系统的端子板,模拟信号直接接到安全栅;对关键回路设置停车通道。 ②提高系统的可用性,选择系统平均无故障工作时间(MTBF)指标高的三重化系统,同时对系统的输入/输出三重化卡件采用冗余配置,以防止单块卡件故障造成装置误停车。

4 提高石化装置SIS安全等级的方法

4.1 SIS与DCS之间通讯

以某石化装置为例,提出在SIS系统更新时的一些提高装置安全等级的方法。

①GB 50770-2013中指出:除旁路信号和复位信号外,基本过程控制系统不应采用通信方式向安全仪表系统发送指令。当前装置DCS往SIS发送的指令除联锁旁路信号外,还包括18个停电机命令、38台阀门的开/关命令,建议这些信号由DCS的DO卡件向SIS的DI卡件发送。②DCS往SIS发送的联锁旁路指令,应该在SIS 的上位画面增加这些旁路开关软按钮,功能上实现在DCS与SIS通讯中断时,可由SIS上位画面直接操作旁路开关。当然最好的方式还是改变操作习惯,把在DCS画面上使用这些旁路按钮转移到从SIS上位画面上使用这些旁路按钮。

4.2 现场传感器

当前装置的联锁逻辑绝大部分为“一取一”,即现场传感器为非冗余的单一测量仪表方式。建议重要回路采用冗余测量仪表,冗余方式改为“三取二”逻辑结构,并且选用基于不同工作原理及测量技术的现场传感器,兼顾高可靠性和高可用性。

4.3 执行器

①当前装置的联锁逻辑执行器为单一切断阀设置,并且切断阀平时作为调节阀来使用。建议在每个重要回路中增加一台切断阀,配置方式为“串联切断阀”或“串联切断阀与串联电磁阀方式”。②切断阀所带的电磁阀应使用经过TüV认证的24VDC长期励磁型低功耗电磁阀。

4.4 逻辑程序

当前装置的程序逻辑上包含一些顺序控制,不属于核心自保联锁逻辑,即不作为保护装置安全来使用。建议在有条件的时候把这部分顺序控制逻辑移除SIS系统,只保留与装置安全相关的逻辑,减少系统控制器的负荷,增强系统稳定度。

4.5 其它

①根据IEC 61508安全生命周期模型,在各阶段的各个活动中递交所有相关文档。这些文档应规定能够有效执行整体安全生命周期各阶段所必需的信息,规定能够有效执行功能安全管理、验证以及功能安全评估等活动所必需的信息,以及有关的报告和记录。②SIL等级评估涉及流程、需要具备的条件以及不合格时应采取的措施和建议、可靠性数据的采用等多个方面的内容,建议在装置开展HAZOP分析的基础上找经过TüV验证的SIL验证软件和安全评估人员来进行SIL评估,从而更加清晰地了解装置安全联锁系统的状况,做出更加科学的改进和管理,排除安全隐患。

5 结语

不论是新建石化装置还是装置SIS系统更新,必须了解SIL评估的内容和不同阶段需要注意的事项,这样就可以在设计过程中对SIS的硬件配置、接线等每个环节都考虑周全,避免由于在小细节上出现差错而导致整个装置SIL等级的降低,使装置更加安全高效地运行。

[1] IEC.IEC 61508-2010 Functional of electrical/electronic/programmable electronic safety-related systems[S].Geneva:IEC,2010.

[2] 国家技术监督局.GB/T 20438-2006 电气/电子/可编程电子安全相关系统的功能安全[S].北京:中国标准出版社,2006.

[3] 中华人民共和国住房和城乡建设部.GB/T 50770-2013 石油化工安全仪表系统设计规范[S].北京:中国计划出版社,2013.

欢 迎 订 阅 欢 迎 投 稿

电话:0371-67712879 E-mail:hnhgbjb@126.com

2017-03-28

薛 明(1983-),男,工程师,从事生产过程自动化控制工作,电话:13603884033,0379-66992123。

TQ056.22

B

1003-3467(2017)06-0037-05

猜你喜欢
可用性执行器电磁阀
基于ANSYS Maxwell的比例电磁阀隔磁环仿真分析与优化
低速机电控喷油器电磁阀换热特性计算
基于辐射传输模型的GOCI晨昏时段数据的可用性分析
高锁螺母自动化安装机器人末端执行器设计
福特6F35变速器的电磁阀控制策略
从可用性角度分析精密空调的配电形式
飞机装配预连接紧固件自动化安装末端执行器设计
医疗器械的可用性工程浅析
考虑执行器饱和的改进无模型自适应控制
一类具有执行器饱和的非线性系统抗饱和方法研究