谢腾腾 闵祥红 李华
摘 要:結合生产工艺要求,通过对工艺流程HAZOP分析和安全完整性等级(Safety Integrity Level,SIL)定级,确定了安全仪表系统的总体设计方案。通过对具体生产过程和紧急关断原则进行分析,制定了具体安全仪表系统因果逻辑图,确定了化工装置安全仪表系统检测参数和关断对象。结合因果逻辑图、相关检测参数和具体关断对象,完成了安全仪表系统的传感器、执行设备和逻辑控制系统的选型设计,满足了安全仪表系统安全等级要求,提高了工艺装置的可靠性。
关键词:SIS;SIL;冗余;仪表回路
DOI:10.16640/j.cnki.37-1222/t.2018.14.005
0 前言
本项目属于间歇生产,要求原料和产品品种更换频繁,要求装置灵活度高。工艺过程涉及高温、剧毒、高粘稠、高腐蚀的工艺介,整个生产工艺对控制水平、安全性、可靠性要求极高。因此,设置BPCS,SIS,GDS三大系统确保工艺装置安全、高效生产,本文只对SIS系统设计进行详细介绍。
1 安全仪表系统的总体结构设计
经过HAZOP分析和SIL定级,安全仪表系统(Safety Instrumented Systems,SIS)设计了32个安全仪表功能(Safety Instrumented Function,SIF),最高定SIF级为SIL2,共105个安全联锁输入输出。
SIS系统的设计严格遵国内外的设计标准、设计规范及相关法律法规,特别要准守化工相关规范。根据安全仪表系统的关断要求、网络通信要求、安全完整性等级要求这些条件,结合生产工艺流程,本系统也有自己特有的性质,最终制定出符合本项目的安全仪表系统总体结构要求,结构示意图如图1所示[1-4]。
系统从现场表、控制器、执行设备均硬件独立,在控制室独立设置工程师站,工程师站兼有操作员站及SOE站的功能。SIS系统具有完备的冗余容错技术,包括SIS系统控制器(CPU)、I/O设备和通讯部件冗余。整个SIS系统通过ISO9001认证、CE认证,符合IEC61508 SIL3。整个系统供电,采用两路UPS电源进行供电。
经过招标采办最终确定,采用罗克韦尔控制器及I/O卡件、采用霍尼韦尔管理软件Experion PKS监控管理记录报警及历史数据,整套控制系统通过SIL3认证。根据SIL3系统要求,I/O卡件均需冗余,。最终规划出SIS系统硬件构架,硬件主要配置为2台冗余服务器、两台冗余工业交换机、两台显示器、一台打印机、一台机柜(柜内主要包括2个7槽机架、4个11槽机架、2台CPU、6台电源、2个Ethernet模块、6台Controlnet模块、2台冗余模块、16块AI、12块DI、6块DO、端子排及信号分配器等)[5-7]。
2 安全仪表系统的详细设计与开发
2.1 系统关断等级制定
根据特种聚氨酯的生产工艺要求,本安全仪表系统的联锁等级定义四个关断级别:一级关断、二级关断、过程关断和单元关断。
一级关断为最高级别关断,当厂内发生重大火灾、泄漏、爆炸或发生人类不可抗拒的自然灾害等恶劣危险时触发,具体联锁原因为辅操台一级关断按钮。此关断触发时,联锁所有二级关断,此外,联锁应急发电机延时10min后进行关断,同时,弃厂状态灯蓝灯亮、应急广播系统将被激活。
二级关断是厂内发生重大生产事故的关断,联锁原因为辅操台二级关断按钮。主要联锁原因为发生火灾、一些可燃气体泄漏、仪表风系统出现重大故障或者电路系统出现重大故障时候执行此关断。二级关断将联锁所有三级关断。
过程关断主要是生产工艺出现危险或者故障的时进行过程停车,关断原因主要是原料储罐液位低低及产品储罐液位高高,以及单个设备发生故障。联锁时将引发水性或者改性生产装置紧急停车。过程关断将触发所有对应装置的单元关断。
单元关断主要是单个设备上的压力高高、低低,液位高高、低低等引起的单个设备关断,同时中控室有手动关断按钮,可对单个设备进行手动关断。
综上所述,高等级的关断可以引起低等级关断,但是低等级关断不能触发高等级关断,这样确保了整个安全仪表系统的逻辑的条理性[8]。
2.2 系统设备设计与PFD分配
IEC61508/IEC61511给出了SIS系统各个设备的选型指导原则,最终目的是让SIS系统的各个安全仪表功能要求时平均失效概率达到要求。安全仪表功能要求时平均失效概率来源可以分三种:具有SIL认证的设备数据、“经验使用”(Prior Use)设备数据以及用户根据大量现场操作经验提供的SIF的数据。通过这些数据,根据IEC61508给出的PFD计算公式,计算出整个SIF的PFD,乃至整个SIS系统的PFD。
本项目SIF的最高为SIL2,设备选用采用通过SIL验证的设备。根据根据IEC61508标准得出的计算公式,具体公式见标准,计算每个SIF的PFD。以变送器、控制器、切断阀为例,结合供应商及业主提供数据进行PFD计算,设备供应商数据如下:
变送器的λD = 5×10-3,调试频率为每年,MTTR=24 h,结构为lool;紧急切断阀的λD=6X10-3,调试频率为每年一次,MTTR=24 h,结构为lool;逻辑处理器的PFD为1.2×10-4。
计算出变送器的PFD:PFDs=λD(MTTR+TI/2)=2.5×10-3
紧急切断阀阀整体的PFD:PFDv=λD(MTTR+TI/2)=3×10-3
因系统设计为障安全性,PFDavgPS=0
所以本SIF的PFD为:PFDavg=2.5×10-3+3×10-3+1.2×10-4+0=5.62×10-3
计算结果为SIL2,符合SIF的SIL等级要求,同时符合结构约束。经过业主经济核算及审查,此方案交业主最终通过。
2.3 系统关断逻辑制定
SIS系统逻辑设计原则为故障安全型[4],若不能准守这一原则,PFDavgPS将大于零,严重时会影响SIL等级。为了方便维护,SIS系统的每个输入高限增加旁路逻辑,旁路时间(1S~24h可设置)、剩余时间和剩余时间报警。因为当投产或者维护的时候,如果没有旁路功能系统在没有达到工艺稳态前,高高联锁原因将导致SIF关断,导致整个系统没法正常投产。因此默认每个高高触发的原因ESD原因都需要启动旁路。SIS系統所有的阀门在控制室设置手动复位按钮。电气停泵信号,在电气二次回路设计常开继电器。
通过上述原则,结合因果表、P&ID;及工艺逻辑描述,根据每个触发原因开始指定控制逻辑。一个低液位触发一个开关阀关断为例,关断逻辑如图2所示。
2.4 SIS系统其他设计
根据P&ID;,结合业主要求对SIS系统监控画面进行设计。SIS系统画面设关断层次画面,SIS系统维护、旁路画面、报警总汇画面以及在BPCS控制画面显示相应的关断状态和报警。
ControlLogix控制器为了达到SIL3认证,需要I/O卡件冗余。具体实现为,现场信号通过传感元件进行现场参数检测,变送器将传感元件输入信号转化为4~20mA标准信号,经过分线器内部串联250Ω精密电阻将电流信号转化为1~5V电压信号,分为两路后进输入模块。数字量的输入就是通过变送器将电压信号输入到分线器,分线器将数字信号变换为两路相同信号进入PLC。PLC数字量输出模块将两路数字量信号输出到端子排,通过与逻辑变为一路信号,经过继电器实现对现场执行机构的控制。通过这一结构,实现了现场设备1oo1,输入卡件、控制器、输出卡件的硬件冗余。
3 结论
SIS系统通过合理的系统选型设计,提高了整个工艺装置的安全性,对项目的顺利投产和安全运行起到了至关重要的作用。
SIS系统设备选型时,仍然有以下问题需要考虑:
(1)计算时未考虑安全栅、继电器、防电涌保护器等回路中的电器元件,实际项目的SIL验证也需将其计算在内。电器元件越多,故障率越高。因此,在系统满足安全的前提下应尽量减少安全栅、继电器、防电涌保护器的使用,必须选用时应选择。
(2)安全仪表的SIF功能的SIL定级往往通过经验值,可能部分回路定级较高,会提高仪表选型的投资,造成过渡设计。
(3)安全仪表安全失效概率是在特定情况下给出的,该值通常是个约数。现场情况发生改变有可能造成失效概率增加,因此严格讲需要对每个SIF重新进行评定。
(4)设备安装过程中,有可能降低整个SIF的PFD。因此,考虑到安全期间,SIS设备的安装应按照标准安装图进行安装,应尽量避免未经长期验证的安装方式。
参考文献:
[1]Donald Sikora. Emergency Shutdown System. TRANSACTIONS ON INDUSTRY APPLICATIONS.1991,3(27):254-256.
[2]IEC 61511-1 3 Functional Safety Safety Instrumented Systems for the Process Industry Sector[S].2016.
[3]IEC 61508-1 6 Functional Safety of Electrical/Electronic/Programmable Electronic Safetyrelated systems[S].2010.
[4] CN-GB/T50770-2013.石油化工安全仪表系统设计规范[S].2013.
[5]杨宪惠,郭海涛.安全仪表系统的功能安全[M].北京:清华大学出版社,2007:9-10.
[6]张建国.安全仪表系统在过程工业中的应用[M].北京:中国电力出版社,2010:4-5.
[7]朱乜,徐中亨.浅谈Experion PKS控制方案组态[J].石油化工自动化,2007,4(04):46-49.
[8]刘亮.安全系统逻辑设计在工程上的应用[J].中国仪器仪表, 2007,7(01):11-12.