陈 昀
(中国石化工程建设有限公司,北京100101)
石油化工厂大多是易燃、易爆、高温和高压装置,安全仪表系统(SIS)是确保人身安全、财产安全和环境安全的重要措施之一。石油化工装置设计应进行危险与可操作性分析(HAZOP)、保护层分析(LOPA)及安全完整性等级(SIL)评估。在工程的设计、建设、运行维护及变更时均应进行SIL评估。
SIS是实现一个或多个安全仪表功能(SIF)的系统[1]。SIL是衡量SIS功能的安全等级。国际标准IEC 61508 Functional Safety of Electrical/Electronic/Programmable/Electronic Safety-Related Systems[2]对SIL的定义为:在一定时间一定条件下,安全相关系统执行其所规定的安全功能的可能性。
本文介绍了中国石化工程建设有限公司(SEI)所承担的国外某聚丙烯装置安全仪表系统SIL评估的步骤,遵循的标准规范[3]以及平均失效概率(PFDavg)的计算。
聚丙烯装置工艺流程如图1所示,丙烯、氢气、催化剂和助催化剂等反应原料进行相应准备处理后,进入反应器进行聚合,生成的聚丙烯粉料与各种添加剂按比例进行挤压造粒处理,最后成为各种不同牌号聚丙烯粒料成品。聚丙烯的反应动力受催化剂和聚合条件的影响,如催化剂的化学物理结构和活化剂的性能、催化剂和活化剂的比例及浓度、氢浓度、温度、搅拌速度等。由于催化剂体系的活性以及助催化剂的遇空气燃烧、遇水即爆炸的危险性,工厂停水、停电,聚合反应器操作安全性等要求,聚丙烯装置必须设置完善的SIS。
在SIS设计前,首先根据工艺操作及安全联锁说明、P&ID图对过程对象进行HAZOP分析和SIL等级确定,确定相关控制对象的功能安全需求[4]。
图1 聚丙烯装置工艺流程示意
对生产中的风险和危害进行识别、评价,根据风险事故的后果和发生的概率,采用风险矩阵分析法确定SIL等级,将风险降低到可以容忍的范围之内。SIL等级的确定是SIF回路设计的基础,为SIS执行安全功能提供依据。该装置风险等级见表1所列。
表1 风险等级
表1中,可能性采用半定量分析形式,按照事故发生频率从低到高依次分为4个等级。可能性半定量分析见表2所列。
风险矩阵表的后果严重性分析从人员伤害、环境影响、财产损失和声誉影响四个方面分类,每类影响按照严重性从低到高依次分为4个等级。后果严重性分析见表3所列。
表2 可能性半定量分析
表3 后果严重性分析
由表1~3可见,与国内的风险可能性和后果严重性的分析度量要求相比,国外石化装置的危险分析和SIL等级确定标准更高更严格。
在HAZOP分析和SIL等级确定完成基础上,可进行SIF回路的设计和SIL计算。该装置的SIS采用低要求模式的PFDavg来衡量和计算SIS的SIL等级。该装置SIL等级为1~2级,对应平均失效概率值见表4所列。
表4 安全仪表系统SIL等级(低要求操作模式)
IEC 61508中,安全相关系统的安全功能要求时的平均失效概率 PFDSYS,通过计算所有子系统,包括传感器、逻辑控制器、最终元件等的平均失效概率后确定。
式中:PFDSYS——安全相关系统的安全功能要求时的平均失效概率;PFDS——传感器子系统安全功能要求时的平均失效概率;PFDL——逻辑子系统安全功能要求时的平均失效概率;PFDFE——最终元件子系统安全功能要求时的平均失效概率。
ISA 84.00.02 Saf ety Instrumented Function(SIF)-Safety Integrity Level (SIL)Evaluation Techniques[6]中安全功能的平均失效概率公式为
式中:PFDA——安全功能要求时最终元件的平均失效概率;PFDPS——安全功能要求时电源的平均失效概率;i——安全功能中组成元件的数量。
安全相关系统设计为故障安全,则当电源失效时,安全相关系统仍处于安全状态,电源的平均失效概率 PFDPS不会对系统要求的平均失效概率产生影响。此时式(2)可简化等同于式(1)。
在该聚丙烯装置中,采用了三种表决结构。它们的PFDavg计算公式,分述如下。
2.2.1 “1oo1”结构
IEC 61508中 “1oo1”的计算公式:
式中:tCE——通道的等效平均停止工作时间;λD——子系统中通道的危险失效率;λDU——未检测到的危险失效率;λDD——检测到的危险失效率;T1——检验测试时间间隔,h;MTTR——平均修复时间,h。
2.2.2 “1oo2”结构
IEC 61508中“1oo2”公式:
式中:tGE——表决组的等效平均停止工作时间,h;λSD——子系统中被检测到的安全失效率;β——有共同原因没有被检测到的失效分数;βD——具有共同原因已被检测到的失效分数;β=2βD。
β可根据IEC 61508附录中的表D.1评分得到。β取1%,2%,5%,10%,对应的 βD分别为0.5%,1%,2.5%,5%。将上述数据分别代入式(5)~(7)中计算,结果相差很小,可以忽略。为简化计算,现场仪表计算将β取2%,βD取1%。
2.2.3 “2oo3”结构
IEC 61508中 “2oo3”的计算公式:
由上述各公式可见,IEC 61508中的计算方法需要知道仪表λSD,λDD,λDU,λD等数据,这些数据由仪表制造厂提供;该方法适用于已取得SIL认证的仪表、逻辑控制器、最终元件等。
ISA 84.00.02中的PFDavg计算公式简单便捷。ISA 84.00.02中的简化公式的前提是不考虑β以及MTTR小至可以忽略[7]。这样的简化计算和实际的验证结果有些微偏差。ISA 84.00.02明确指出该公式仅适用于SIL1和SIL2的安全仪表系统验证。
聚丙烯装置中,废水冲洗罐D-101需设置SIF回路。采用压力变送器PT-101测量废水冲洗罐压力,当压力高高时关闭进料切断阀UV-101。该回路SIL等级要求为SIL2。
该装置SIL验证研究假设的架构约束基于IEC 61508,全生命周期假定为15 a。每个SIF回路只在符合低要求操作模式下运行。
对于传感器,逻辑控制器和最终元件的冗余设备,该装置中β为0.2%。所有组件的MTTR均为8 h。该装置每个SIF回路的 T1按1 a计算。
废水冲洗罐安全仪表回路如图2所示,该回路由压力变送器、逻辑控制器及执行机构阀门等组成。若采用未经SIL认证的传感器和最终元件子系统,IEC 61508中的计算公式较复杂,所需参数较多,可采用ISA 84.00.02中的简化公式进行计算[8]。
图2 废水冲洗罐安全仪表回路示意
假设未经SIL认证的普通仪表诊断覆盖率DC=0,λDU=λD-λDD=λD-λDDC=λD(1-DC),则λDU=λD。对于没有采用安全仪表的装置,仪表的参数很难得到。为解决该难点,ISA收集了6个工厂的经验数据,见表5所列。
表5 ISA统计的6个工厂经验数据 a
若无法获得该装置的参数,可以用ISA 84.00.02中的工厂经验值进行计算。λD=1/MTTFD,代入式(4),各子系统的平均失效概率如下:
根据式(1),整个系统的平均失效概率为
用结果查表4可知,安全仪表回路SIL=1。在传感器子系统和最终元件子系统的仪表数量较少,表决结构简单的情况下,质量可靠、工程应用广泛但未取得SIL认证的传感器和最终元件构成的“1oo1”SIF回路,基本满足了整个系统SIL1的要求,但不满足SIL2的要求,需要通过降低系统的平均失效概率提升SIL等级。
从表5和计算结果可以看出,整个安全仪表系统的PFDavg中,压力变送器约占28%,逻辑控制器约占14%,执行机构阀门约占57%。传感器和最终元件的PFDavg占大部分的比例,逻辑控制器占比例较少,三部分子系统的平均失效概率最大值决定了整个系统的SIL等级。为达到提升回路的安全完整性等级,可优先降低传感器和最终元件子系统的平均失效概率。
该装置全部采用经过SIL2认证的传感器和最终元件子系统等仪表产品,逻辑控制器系统采用SIL3认证的CPU,I/O卡件等,使用的品牌型号认证参数见表6所列。
表6 某聚丙烯装置仪表SIL认证参数
将表6的参数代入IEC 61508公式(3)中,可得∑PFDS=8.14×10-4;∑PFDL=3.14×10-3;∑PFDFE=5.73×10-3。整个系统的平均失效概率PFDSYS=9.684×10-3。安全仪表系统回路等级为SIL2级,安全完整性等级得到了提高。
仪表检验测试能有效地降低λDU。且由各种表决结构的PFDavg公式可知,T1对PFDavg也有影响,仪表的检验测试时间间隔越短,PFDavg越小。
该装置中,每个安全仪表的 T1定义为1 a。在该条件下,将表6的参数代入式(3)中,可得∑PFDS=2.78×10-4;∑PFDL=1.05×10-3;∑PFDFE=3.93×10-3。整个系统的PFDSYS=5.258×10-3。
通过冗余配置各子系统的表决结构,可增加整个系统的SIL等级。该装置在冗余配置压力变送器PT-101时,使用几种不同的表决结构进行了对比计算,其结果分析如下。
3.4.1 传感器“1oo2”配置
传感器“1oo2”配置如图3所示,传感器子系统由2个并联的压力变送器构成,无论哪个压力变送器都能处理安全功能。当2个压力变送器同时失效时,传感器子系统才被认为安全功能失效。
图3 传感器“1oo2”配置示意
压力变送器参数代入式(5)~(7)中,可得:PFDavg=1×10-7。
因为使用“1oo2”冗余配置的方法,所以传感器子系统的PFDavg大幅降低。实际使用时,虽然“1oo2”的配置结构使得整个系统的安全性增加但可用性降低,不便于装置的生产运行。
3.4.2 传感器“2oo3”配置
传感器“2oo3”配置如图4所示,传感器子系统由3个并联的压力变送器组成。当仅有1个压力变送器失效时,子系统仍旧可以实现安全功能;当任意2个或者3个压力变送器都失效时,传感器子系统被认为安全功能失效。
图4 传感器“2oo3”配置示意
压力变送器参数代入式(5),式(6),式(9)中,可得传感器子系统PFDavg=4.96×10-7。
由以上三种结构的计算结果可见,采用“2oo3”冗余配置的方法,传感器子系统的 PFDavg降低,系统的安全完整性增加,同时还兼顾了该装置仪表系统实际生产时的可用性,是优化选择。装置SIS最终采用了压力变送器“2oo3”的配置方式。
该装置安全相关回路采用了独立的逻辑控制器。SIS具备SIL3认证,系统的主处理器CPU,I/O卡件、电源、通信卡等硬件设备均冗余设置,并具有完善的硬件、软件在线自诊断功能。在出现故障时可进行无扰动切换,并自动记录故障报警提示维护人员进行维护[9]。如果装置不使用AI/DO安全栅,计算逻辑控制器子系统的PFDavg=4.79×10-4。
对比计算可知,减少安全栅、继电器等附件的使用,能提升SIF回路的SIL等级。
该装置中最终执行元件UV-101在危险失效率中所占的比例最大,它是最容易产生危险故障的环节。降低最终元件子系统的PFDavg,有利于提高SIS的安全完整性等级。
最终元件开关阀主要由阀门本体、执行机构和电磁阀等组成。系统的改善,可以通过以下几种方式。
3.6.1 最终元件子系统冗余配置
增加1台阀门,将2台开关阀串联,使用“1oo2”的表决结构[10],阀门“1oo2”配置如图5所示。即任1台阀门的电磁阀失电非励磁,导致相应阀门失气关闭时,保证物料入口管线切断关闭。
图5 开关阀门“1oo2”配置示意
该方法降低了系统的危险失效率,但需要额外增加1台阀门,采购成本较高。
3.6.2 选用危险失效率低的阀门
通过PFDavg计算看出,如果减小λDD和λDU的值,将使子系统PFDavg值相应降低,选用危险失效率低的阀门可降低整个系统的PFDFE。但是阀门的采购成本有很大提高,装置不宜采用。
3.6.3 阀门局部附件冗余配置
增加1台电磁阀,使2台电磁阀串联,使用“1oo2”的表决结构。任一电磁阀失电非励磁时,阀门就失气关闭,阀门电磁阀“1oo2”配置如图6所示。
图6 阀门电磁阀“1oo2”配置示意
该方法降低了整个最终元件子系统的PFDavg,提升了系统的SIL等级,控制了整个项目的实际成本,增加了安全性。该装置采用该配置方案。
石化装置仪表安全系统的设计,在国内外项目中的要求越来越高。对于国内外石油化工项目,后期安全方面设计的改动必然涉及投资的增加,因而工程设计阶段安全仪表系统的SIL计算尤为重要。
1)通过安全仪表功能回路的PFDavg分析可知,最终元件的 PFDavg比例最大,传感器其次。在进行安全仪表系统回路设计时应首先对最终元件分析计算,确定最终元件选型和表决结构;其次确定传感器选型和表决结构。
2)根据IEC 61508和ISA 84.00.02,检验测试时间间隔对PFDavg有较大影响。仪表的检验测试时间间隔短,PFDavg小。大型化、一体化的石油化工企业通常检验测试时间间隔3~4 a,安全仪表系统SIL等级按该要求设计。
3)逻辑控制器子系统中安全栅、继电器等附件越多,失效概率越高,PFDavg增加。在满足系统安全要求的前提下,回路硬件设计要减少安全栅、继电器等附件的使用。当必须选用时应选择具有SIL认证的产品,降低逻辑控制器系统的PFDavg。
4)传感器采用“1oo2”表决结构的冗余配置时,安全仪表系统 PFDavg有所降低,这种配置结构使得整个系统的可用性降低。传感器采用“2oo3”表决结构时,安全仪表功能回路的SIL升高,兼顾了装置实际生产时的安全性和可用性。
5)当最终元件子系统需要降低PFDavg时,若整个子系统的仪表选型和表决结构的改善导致采购成本过高时,可通过配置部分元件,如电磁阀的选型和表决结构来提高子系统的SIL等级。