高嗣晟
(中国石油集团东北炼化工程有限公司 葫芦岛设计院,辽宁 葫芦岛 125000)
安全仪表功能回路设计及SIL验算
高嗣晟
(中国石油集团东北炼化工程有限公司 葫芦岛设计院,辽宁 葫芦岛 125000)
简要介绍了安全仪表功能(SIF)回路安全完整性等级(SIL)定级的方法;分别介绍了IEC 61508和ISA TR84.00.02中SIL验算的方法;以普通仪表和经过安全完整性等级认证的仪表为例,计算其平均失效概率(PFDavg),得出SIF回路的SIL。比较普通仪表和经过安全完整性等级认证的仪表组成的SIF回路,结合实际设计和应用情况,给出安全仪表系统(SIS)设计的建议。
安全仪表功能 安全完整性等级 安全仪表系统 失效概率
近些年石化行业频发重大安全事故,安监局发布的相关安全文件中均提到安全仪表系统(SIS)。《中国石化安全仪表系统安全完整性等级评估管理规定(试行)》(中国石化安[2013]259号文)1.3条要求:“各单位应将建设项目安全完整性等级(SIL)评估纳入建设项目设计管理,将在役装置SIL评估纳入日常安全生产管理”;3.2条要求:“各单位或设计单位应对建设项目以及在役装置所涉及的安全仪表功能(SIF)确定相应的SIL,保证安全仪表功能满足目标SIL要求”[1]。在SIS设计过程中, SIF回路中SIL的定级和验算是设计的重点和难点。
目前SIF回路的SIL的确定,主要依靠危险与可操作性分析(HAZOP)结合保护层分析(LOPA)的方法来实现。
HAZOP分析是在安全专业人员主导下,工艺、自控、设备专业人员以及操作人员共同构成的分析小组进行的一种分析方法。HAZOP分析是采用标准化“引导词”对装置过程系统的中间变量设定“偏离”,沿“偏离”在系统中反向查找非正常“原因”,沿“偏离”在系统中正向查找不利“后果”,确定后果严重性等级[2]。HAZOP具体分析方法详见AQ/T 3049—2013《危险与可操作性分析(HAZOP分析)应用导则》[3]。
当HAZOP分析确定后果严重性等级为高风险或很高风险时,需进一步进行LOPA分析,计算目前偏差导致的后果发生的频率,判断现有保护措施是否足够,建议措施是否能够有效地降低事故发生频率等。可通过增加SIF回路保护层,降低事故发生概率,从而得出SIF回路的SIL。LOPA具体分析方法详见AQ/T 3054—2015《保护层分析(LOPA)方法应用导则》[4]。
为了方便分析,假定偏差导致的后果严重性为最严重等级的5级,事故发生年频率等级为n×10-3,根据表1 LOPA风险评估矩阵可得知,事故风险为高风险,需采取进一步的保护措施。
表1 风险评估矩阵[4]
上述SIL分析中选取了最严重的风险等级、最高的初始时间发生概率、最高的独立保护层失效概率,可以看出SIL1的保护层即可将风险降为中风险,中风险是可选择性的采取行动;当采用SIL3保护层时可将风险降为低风险,低风险不需要采取行动。若风险等级小于5级或其他独立保护层的失效概率小于1×10-1时,采用SIL2保护层时可将风险降为低风险,低风险不需要采取行动。因此,SIS中,大部分SIF回路的SIL可定在1级;少数SIF回路的SIL可定在2级;极少数SIF回路的SIL定为3级。
IEC 61508[5]中的SIL验算方法适用于已取得SIL认证的仪表、控制逻辑器、执行元件等,常用的品牌型号产品认证参数见表2所列,其中,λsd为被检测到的安全故障率;λsu为未被检测到的安全故障率;λdd为被检测到的危险故障率;λdu为未被检测到的危险故障率;λs为安全失效故障率;λd为危险失效故障率(故障率的单位为Fit,1 Fit=1×10-9);DC为诊断覆盖率;SFF为安全失效分数。计算公式如下所示[6]:
(1)
式(1)中λsd,λsu,λdd,λdu可从仪表设备SIL认证证书中获取。根据GB/T 50770—2013《石油化工安全仪表系统设计规范》[7]中4.1.3条规定:“通常石油化工工厂和装置的安全仪表系统工作于低要求操作模式”,故下文中的参数均是低要求操作模式下的认证参数。
通过式(1)的计算可得出安全失效分数,而表3和表4列出了硬件的SIL,其中A类仪表有浪涌保护器、液位开关、安全栅、电磁阀、阀体、执行机构、阀门定位器等,B类有安全型控制逻辑器、现场变送器等。
结合表2,表3和表4可以看出,通过SIL认证的温度变送器、压力变送器、流量计、液位计等B类子系统SFF多在90%~99%,符合SIL2的要求,可以通过冗余配置达到SIL3。而A类子系统SFF在90%~99%已满足SIL3要求。
SIS投入运行后需进行周期性的离线维护,某些故障或失效只能通过离线的人工测试才能发现,例如变送器的膜盒损坏、引压管的堵塞、测量精度、阀门的腐蚀内漏、阀芯的卡死等[8-10]。大多数SIS设备的检验测试在装置的停车大修期间进行。在低操作要求模式下,检测平均时间间隔T1有3 d,6 d,1 a,一般选用T1=1 a,平均恢复时间MTTR=8 h。
表2 常用品牌型号安全完整性等级认证参数
表3 硬件安全完整性: A类安全相关子系统的结构约束[6]
表4 硬件安全完整性: B类安全相关子系统的结构约束
工程设计中,常见的仪表组合有“1oo1”,“1oo2”,“2oo3”,通过下列步骤分别计算组合后的PFDavg。
1) 计算通道等效停止时间tCE:
(2)
2) 计算“1oo1”时的PFDavg:
PFDavg=λd×tCE
(3)
3) 计算系统等效停止工作时间tGE:
(4)
4) 计算“1oo2”时的PFDavg:
PFDavg=2(1-β)λdu[(1-β)λdu+
(1-βD)λdd+λsd]tCEtGE+
(5)
式中:βD——具有共同原因已被检测到的失效分数;β——具有共同原因没有被检测到的失效分数,β=2βD。
β的值可根据GB/T 20438.6—2006[6]/IEC 61508: 2000中的表D.1评分获得,β取值有1%,2%,5%,10%;对应的βD分别为0.5%,1%,2.5%,5%。将上述数据分别代入式(5)中验算,结果相差无几,且β评分方法繁琐,为了方便工程计算,现场仪表可统一将β取值为10%,βD取值为5%。
5) 计算“2oo3”时的PFDavg:
PFDavg=6[(1-βD)λdd+(1-β)λdu]2tCEtGE+
(6)
将表2内的认证参数代入式(2)~式(6),可得出分别在“1oo1”,“1oo2”,“2oo3”情况下的PFDavg,并将该值填入表2中。
6) 分别计算SIF回路中的传感器、逻辑系统、执行元件等的PFDavg后,计算SIF回路系统的平均失效概率PFDsys:
∑PFDsys=∑PFDS+∑PFDL+∑PFDFE
(7)
式中: ∑PFDS——传感器子系统平均失效概率;∑PFDL——逻辑子系统平均失效概率;∑PFDFE——执行元件子系统平均失效概率。
因SIS的设计为故障安全型,电源的失效会将装置带到安全位置,故系统平均失效概率不考虑电源失效。
文献[11]中SIL的计算方法相对简单,未经SIL认证的普通仪表采用IEC 61508计算时,λsd,λsu,λdd,λdu无数据可查,此时可通过文献[11]进行SIL验算,步骤如下所示:
1) 计算危险失效故障率λd:
λd=1/MTTFd
(8)
式中:MTTFd——平均危险失效前时间,实际验算过程中精确的数值可从供货商处获取仪表平均故障时间MTBF,MTTFd=MTBF-MTTR,因MTTR时间很短为8 h,则MTTFd≈MTBF[12]。在MTTFd无数据可循的情况下,可参考文献[11]中part 1 表5.1中5个工厂经验值,详细数据见表5所列。
表5 常规仪表平均危险失效前时间 a
因λdu=λd×(1-DC),可假设未经过SIL认证的常规仪表诊断覆盖率DC=0,则λdu=λd。
2) “1oo1”时的PFDavg:
(9)
3) “1oo2”时的PFDavg:
(10)
4) “2oo3”时的PFDavg:
PFDavg=(λdu·T1)2
(11)
5) 根据式(7)计算SIF回路的PFDavg。
假设P&ID中某节点需设置SIF回路,当采用差压变送器测量储罐液位时,液位高高或压力高高时联锁停进料切断阀,如图1所示,该SIF回路经HAZOP,LOPA分析后得出SIF回路的SIL=2。
图1 验算案例P&ID一
1) 当现场采用未经SIL认证的普通传感器和执行元件“1oo1”时,SIF回路的PFDavg见表6所列,∑PFDsys=2.700 5×10-2,SIF回路SIL=1,不满足SIL2的要求。
表6 未经SIL认证的传感器及执行元件构成的 SIF回路PFDavg
从表6可以看出,SIF回路的PFDavg中现场变送器和执行元件占了大部分的比例,安全栅、继电器、安全型控制逻辑器占比例较少,需降低现场变送器和执行元件子系统的PFDavg。
现场变送器采用“1oo2”,设置双压力变送器和液位变送器,如图2所示。执行元件采用“1oo2”,设置双切断阀,此时SIF回路的∑PFDsys=4.45×10- 4<1×10-2,满足SIL2的要求。文献[11]中指明,该规范中的计算步骤适用于SIL1和SIL2的SIF回路验证,除非完全掌握简化公式的计算方法和限制条件才可以进行SIL3的SIF回路验证。
图2 验算案例P&ID二
2) 当SIF回路的现场传感器及执行元件均采用取得SIL认证的仪表时,SIF回路PFDavg见表7所列。
当变送器、不带PVST功能的电磁阀、气动切断球阀采用SIL2认证的产品,与SIL3认证的SM系统、安全栅、继电器构成的“1oo1”SIF回路∑PFDsys=1.503×10-3,SIF回路SIL=2;当采用冗余的SIL2认证的变送器、电磁阀、气动切断球阀、安全栅、继电器,与SM系统构成的“1oo2”SIF回路∑PFDsys=8.22×10-5,SIF回路满足SIL3的要求。
表7 经SIL认证的传感器及执行元件构成的 SIF回路PFDavg
当电磁阀带PVST功能时,其“1oo1”时PFDavg查表2为1.503×10-5,代入到表7中,采用SIL2认证的变送器、气动切断球阀,与SIL3认证的SM系统、安全栅、继电器、带PVST功能的电磁阀构成的“1oo1”SIF回路∑PFDsys=6.980 3×10-4,SIF回路满足SIL3的要求。
3) 当检测器子系统采用未经安全完整性等级认证的普通仪表“1oo2”,执行元件子系统采用经过安全完整性等级认证的不带PVST功能电磁阀、气动切断球阀“1oo1”,如图3所示。∑PFDsys=1.029×10-3,满足SIL2的要求。
图3 验算案例P&ID三
SIF回路的SIL验算需大量的数据支撑,准确数据获取不易,对于工程设计而言,可粗略的得出如下结论,方便快速验算:
1) 对一个SIF回路的PFDavg进行分解,传感器子系统约占35%,安全型控制逻辑器约占15%,执行元件子系统约占50%。
SIL2认证的仪表“1oo1”结构PFDavg在10-4左右,“1oo2”结构PFDavg在10-6左右,“2oo3”结构PFDavg在10-5左右,如没有具体数据可参考上述数量级进行粗略计算。
2) 用于紧急停车功能的安全型控制逻辑器、安全栅、浪涌保护器、继电器宜首选SIL3认证的产品;对于装置规模较小、联锁简单、事故后果可控的中小型生产企业若LOPA分析所有SIF回路SIL均为1时,可选用SIL2认证的安全型控制器、安全栅等。
3) 采用质量可靠(MTBF≥50 a)、应用广泛、未取得SIL认证的传感器、执行元件子系统构成的“1oo1” SIF回路,在传感器子系统和执行元件子系统中仪表数量较少的情况下,基本可满足SIL1的要求。
采用经SIL认证的仪表、或未经SIL认证的普通仪表组成“1oo2”,“2oo3” SIF回路、或经过SIL认证的执行元件与未经过SIL认证的“1oo2”,“2oo3”传感器子系统混合型的方式来降低回路的PFDavg以满足SIL2的要求。采用经SIL认证的传感器子系统与带PVST功能的执行元件配套使用可达到SIL3的要求。
4) 当传感器子系统采用“1oo2”,“2oo3”的方式时,仪表的取源部件不应共用,以免因取源部件的堵塞导致SIF回路的失效。
5) GB/T 50770—2013《石油化工安全仪表系统设计规范》中,SIL1的回路中测量仪表、控制阀可与BPCS共用;SIL2的回路中测量仪表、控制阀宜与BPCS分开;SIL3回路中的测量仪表、控制阀应与BPCS分开[7]。
从LOPA分析来看,BPCS与SIS是两个独立的保护层,如SIF回路中的测量仪表、控制阀与BPCS共用,测量仪表或控制阀的失效可能导致BPCS和SIS的同时失效,破坏SIS保护层的独立性。
因此,在设计过程中SIS中SIF回路的检测仪表、控制阀不建议与BPCS共用,不推荐采用调节阀配电磁阀的方式进行控制、联锁。
[1] 吴少国,张丽丽,俞文光.在役安全仪表系统的SIL验证方法与实例[J].自动化仪表,2016,37(01): 6-8.
[2] 李娜,孙文勇,宁信道.HAZOP,LOPA和SIL方法的应用分析[J].中国安全生产科学技术,2012,8(05): 101-106.
[3] 张海峰,牟善军,白永忠,等.AQ/T 3049—2013危险与可操作性分析(HAZOP分析)应用导则[S].北京: 煤炭工业出版社,2013.
[4] 白永忠,韩中枢,党文义,等.AQ/T 3054—2015 保护层分析(LOPA)方法应用导则[S].北京: 国家安全生产监督管理总局,2015.
[5] IEC. IEC 61508-2010. Functional Safety of Electrical, Electronic, Programmable Electronic Safety-related Systems[S]. Geneva: IEC, 2010.
[6] 冯晓升,王莉,梅恪,等.GB/T 20438—2006 电气/电子/可编程电子安全相关系统的功能安全[S].北京: 中国标准出版社,2007.
[7] 黄步余,叶向东,范宗海,等.GB/T 50770—2013 石油化工安全仪表系统设计规范[S].北京: 中国计划出版社,2013.
[8] 王东峰.安全仪表系统的回路设计探讨[J].石油化工自动化,2014,50(04): 10-15.
[9] 赵亮.80万吨/年甲醇项目安全完整性等级(SIL)回路计算实例分析[J].自动化博览,2011(03): 64-68.
[10] 张建国.安全仪表系统在过程工业中的应用[M].北京: 中国电力出版社,2010.
[11] ISA. ISA 84.00.02.2002 Safety Instrumented Function(SIF)-Safety Integrity Level (SIL) Evaluation Techniques[S]. ISA, 2002.
[12] 周雁鹏.安全仪表回路改造的可靠性及误动作概率计算[J].石油化工自动化,2013,49(05): 1-6.
Design of Safety Instrumented Function Loop & SIL Certification
Gao Sicheng
(Hu Ludao Design Institute,PetroChina Northeast Refining & Chemical Engineering Co. Ltd., Hu Ludao, 125000, China)
s: The grading method of safety integrity level (SIL) of safety instrumented function (SIF) loop is introduced briefly.The calculation method of SIL certification through IEC 61508 and ISA TR84.00.02 are introduced respectively. Average probability of failure is calculated with ordinary and SIL certificated instruments as example. The SIL of SIF loop is obtained.SIF loops consisted of ordinary and SIL certificated instruments are compared.Suggestion to SIS design is proposed with combination of the actual design and application.
safety instrumented function; safety integrity level; safety instrumented system; probability of failure
高嗣晟(1979—),男,辽宁葫芦岛人,2004年毕业于辽宁石油化工大学测控技术与仪器专业,获学士学位,现就职于中国石油集团东北炼化工程有限公司葫芦岛设计院,从事自控设计工作,任工程师。
TP273
A
1007-7324(2017)04-0008-06
稿件收到日期: 2017-02-03,修改稿收到日期: 2017-05-18。