王 凯
(海洋石油工程股份有限公司,天津 300451)
随着海上油气田的不断勘探开发,越来越多的石油平台被投入使用。在油气生产过程中,中央控制系统起着至关重要的作用[1-2]。它主要进行工艺参数的指示报警、数据处理、偏差调节以及关断等操作。安全仪表系统(safety instrumentation system,SIS)作为中控系统的重要组成部分,其主要功能是在紧急情况下(如发生故障、火灾)执行相应的操作,例如关断阀关闭、放空阀打开、消防泵启动等,从而保护工艺过程的正常运行和平台的安全[3]。鉴于安全仪表系统的重要性,探讨其设计流程及相关注意事项具有重要的现实意义。
安全仪表系统包括传感器、输入电路、逻辑控制器、输出电路、终端元件以及与其他系统的接口电路等。它的作用是在出现故障时,切断危险源与系统的联系,使工艺流程处于安全状态。按测量参数分类,传感器主要分压力、温度、流量、液位四种;输入输出信号主要包括模拟输入(analog input,AI)、数字输入(digital input,DI)、模拟输出(analog output,AO)、数字输出(digital output,DO)等;逻辑控制器大多采用PLC实现控制功能;而终端元件包括关断阀、电磁阀、电机和泵等。
安全仪表系统的设计流程通常也称为安全生命周期,即从开始、概念过程到该系统停止工作为止。安全仪表系统设计流程如图1所示。
图1 安全仪表系统设计流程图
概念过程是对受控设备(equipment under control,EUC)及环境情况有全面的认识,从而保证整个安全生命周期的顺利进行。它要求确定危险源和危险种类(如有毒性、易燃、腐蚀等),收集设计需要的相关规范;另外还需要注意邻近受控设备由于相互关联而可能导致的危险。
总体范围定义一方面包括受控设备和安全控制系统的界定,另一方面包括危险性和风险性的分析。受控设备指根据生产过程的要求而需要进行参数控制的设备。控制系统则包括从传感器到执行器的整个回路,它保证了控制功能的具体实现。危险性和风险性的分析,既要考虑外部因素和子系统的工作状况对系统的影响,又要考虑偶然性故障因素。
在实际生产中,工艺流程往往比较复杂,控制要求也很高,所以SIS的应用是大势所趋。
在确定需要采用SIS以后,必须先定义目标系统的安全完整性等级(security integrity level,SIL)。仪表设备及系统的设计必须满足安全完整性等级的要求。
2.4.1 期望故障率
期望故障率(probability of failure on demand,PFD)反映了正常情况下系统停止响应的概率值。PFDavg是指系统在一定的时间间隔内SIS的平均值。其通常采用以下公式计算:
PFDavg=∑PFDse+∑PFDls+∑PFDfe
(1)
式中:PFDse为传感器和输入接口电路的期望故障率;PFDls为逻辑控制器的期望故障率;PFDfe为执行元件和输出电路的期望故障率。
SIL与平均故障率关系如表1所示。
表1 SIL与平均故障率关系
在某安全系统中,∑PFDse=0.01、∑PFDls=0.02、∑PFDfe=0.01,那么平均故障率为:
PFDavg=0.01+0.02+0.01=0.04
(2)
根据表1 可知,该系统属于SIL1。
2.4.2 确定SIL的具体操作
SIL的具体定义工作主要由专门的过程安全小组完成,参与人员包含直接负责设备操作和具有丰富维修经验的人员。小组人员还应了解过程及设备操作的基本技术、设备或者复杂过程系统的工作原理。
2.4.3 安全完整性等级的确定方法
①安全保护层矩阵法。
基于对过程危险的定性理解,需要对后果危害及影响有一个定性的评估[4]。安全保护层矩阵法需要识别各种发生的事件及其潜在的后果。
②故障树法。
故障树是一种表示故障后果的逻辑图表[5]。从传感器故障等基本事件开始一直到顶级事件故障或事故,都被列在图表上。
③改进HAZOP法。
改进HAZOP法的本质是对工艺图纸和操作规程进行分析[6]。它包括了对后果的严重性、发生的可能性以及其他相关风险因素的考虑。从有效性方面评估降低风险的建议。基于这些评估过程,过程安全小组决定是否采用这些推荐意见,或者决定现在的风险控制措施是否足够。
安全要求说明书由安全功能要求和安全完整性要求两部分组成[7]。安全功能包括定义已确定事件的过程安全状态、SIS输入及动作设定点、SIS的输出及作用和复位功能等许多方面[8]。安全完整性要求包括安全系统的SIL等级及其诊断、维修、试验和可靠性方面的要求。
概念设计是根据安全要求说明书,对SIS的理论设计进行验证,以保证其满足安全要求规格书[9]。详细设计是整个设计过程的重要环节。设计不仅要考虑满足安全完整性等级要求、SIS动作前后的状态和手自动复位等方面,还要考虑环境和危险区域划分对安全仪表系统的影响等。
2.6.1 传感器要求
传感器主要负责工艺参数的检测。传感器的工作稳定性直接决定了整个控制回路的质量。
在一些设计中,基础过程控制系统(basic process control system,BPCS)通常与SIS共用一个传感器。对于要求不高的场合,如SIL1时,其平均故障率范围为10-1~10-2,故共用传感器的做法是合适的。但是对于等级要求较高的场合,如SIL2 时,BPCS与SIS都应该设置单独的传感器。如果采用公用传感器,一旦传感器在过程控制系统的设定点以下范围失效,而此时实际控制参数已经超过设定值,出现的情况可能是BPCS系统根据检测元件故障前的值进行反方向的调节,这就加大了工艺参数与设定点的偏差;而SIS却得不到控制参数超出或低于安全限的信号,这就导致了安全系统的动作失败。因此,传感器分离是必要的。对于SIL3,系统对传感器提出了更高的要求,有时要求采用不同的传感器,从而防止同一产品存在相同故障或隐患。
2.6.2 SIS执行元件的要求
大多数系统的执行功能是由关断阀来实现的。对于SIL1,只要阀的平均故障率满足安全等级要求,调节阀(带电磁阀的)可同时应用于过程控制系统和安全系统。需要明确的是,调节阀对安全系统的响应不仅要快于控制系统,而且要具有足够的优先权,这样才能保证安全方面的要求。对于SIL2和SIL3,调节阀(关断阀)的分离就显得非常重要。例如在某个工艺过程,BPCS和SIS共用调节阀。正常情况下,调节阀根据控制器的输出对流量进行调节,安全系统在紧急情况下能够实现调节阀完全关闭,以保证后续工艺过程的安全。极端情况下,当调节阀在开的状态时发生故障,例如被卡住,而此时恰巧发生了危险,要求SIS关闭该调节阀,这就产生了矛盾。目前,海洋石油平台通常采用调节阀与关断阀(或放空阀)分离的方法。
在PY30-1项目中,安全完整性等级为3级。因此,在设计中对于同一参数的测量,控制系统与安全系统的传感器采用了不同的分离设计。例如在燃料气洗涤器的液位控制中,当液位太高时,液体有可能被燃料气从洗涤器的顶部带走,对后续的工艺过程产生不利影响,因此设置了液位的高限报警。当液位过低时,燃料气会从洗涤器的底部进入压力较低的火炬分液罐。为满足工艺要求,采用了两个液位传感器。一个传感器用于紧急停车(emergency shutdown device,ESD)系统。当液位过高时,ESD系统发出信号使燃料气入口管路的关断阀动作,以防止液体溢流;当液位过低时,ESD系统发出关断信号至火炬分液罐管线上的关断阀,防止气体进入火炬分液罐。另一个传感器用于过程控制系统,传感器信号进入分布式控制系统(distributed control system,DCS),控制器根据设定液位,在偏差运算后,输出调节信号至调节阀,以此来控制液位高度。即使BPCS 系统的液位变送器故障或调节阀故障,ESD系统由于采用分离液位变送器和关断阀,在紧急情况下能迅速关断,从而保证系统安全。
2.6.3 SIS控制器的要求
逻辑控制器的内部设计主要由厂商来完成。首先,应了解逻辑控制器的有关接口设备和软件等方面的情况,如输入、输出模块,通信和公用软件等。其次,厂商应提供控制器的平均无故障时间(mean time to failure,MTTF)、隐性故障模式清单等。逻辑控制器负责信息的处理和动作指令的发出,它是SIS的关键环节;同时,由于它又是软件和硬件的结合体,这就决定了逻辑控制器具有更高的故障率或更多的隐患。因此,对SIL1、SIL2和SIL3来说,安全系统和过程控制系统相互独立是比较普遍的。为了进一步提高安全等级,经常采用控制器的冗余设计。
2.6.4 输入/输出接口电路要求
输入/输出接口是联系现场与控制器的桥梁,它们通过输入/输出模块来实现数据的传输功能。通常情况下,输入/输出通道由厂商来完成其设计工作,能满足不同的SIL等级要求,而且要得到第三方机构认证。
SIS的主要部分设计涉及冗余理论的应用,而且冗余也在系统安全中扮演了十分重要的角色。下面将详细介绍冗余的结构形式及具体功能的实现。
2.6.5 冗余的几种形式
表2列出了几种常见的冗余形式。
表2 几种常见的冗余形式
根据详细设计,对安全仪表系统进行安装、调试和预启动试验,使其性能符合安全要求规格书。主要内容包括检查设备接线、动力源、安全设备设定点,关断顺序动作、旁通及复位,手动关断流程以及相关文件的整理。
在这个过程中,需要设计人员的参与,以便协调设计与现场施工的衔接问题,保证系统的顺利应用。
SIS投入使用后,操作人员经过培训或通过对操作手册的学习,进行安全仪表的操作和维护以及周期性的功能试验等工作。当SIS需要修改时,设计人员应根据现场的要求,对SIS系统的概念过程或者其他环节进行分析和设计。
在SIS失效或系统没有安全要求的情况下,安全系统停运,但必须要评估停运SIS对相邻操作单元和设备的影响。
目前,工艺过程对系统安全性能的要求不断提高,这也对仪表的设计工作提出了更高的要求,而设计工作的优劣直接影响生产能否安全、平稳地运行。因此,在进行安全仪表设计时,设计人员应以国际标准和行业标准作为指导,不断学习新的技术,优化整体设计。同时,在进行仪表选型时,应充分考虑后期维护和维修的成本,尽可能选取标准产品,减少项目的整体投资。
[1] 朱春丽,洪毅,丁传晖.海洋石油平台安全仪表系统安全完整性等级评估缺[J].化工自动化及仪表,2014,41(4):410-413.
[2] 聂炳林,张剑波,林波.海洋石油平台自控仪表系统的安全设计[J].石油工程建设,2003,29(3):23-24.
[3] 张双亮,李庆涛.海洋石油平台安全仪表系统的设计与应用[J].自动化仪表,2011,32(9):83-86.
[4] 朱常龙,蒋军成,袁雄军.保护层分析方法探讨[J].工业安全与环保,2013,39(11):39-41.
[5] 许荣,车建国,杨作宾,等.故障树分析法及其在系统可靠性分析中的应用[J].指挥控制与仿真,2010,32(1):112-115.
[6] 张艳辉,陈晓春.改进的HAZOP风险评价方法[J].中国安全生产科学技术,2011(7):174-178.
[7] 刘宇,王惠平.介绍海洋石油平台安全仪表系统的功能安全评估技术方法[J].自动化应用,2016(3):33-35.
[8] 沈学强,白焰.安全仪表系统的功能安全评估方法性能分析[J].化工自动化及仪表,2012,39(6):703-706.
[9] 李菲.海洋石油平台安全仪表系统分析[J].工程技术,2016(34):181.